Kwetsbaarheden CVE's
Kwetsbaarheden nieuws
⚠️ Ernstige Samengestelde Kwetsbaarheden in Juniper EX Switches en SRX Firewalls Noodzaken Directe Actie
Op 31 augustus 2023 heeft het Digital Trust Center (DTC), onderdeel van het Ministerie van Economische Zaken en Klimaat, een waarschuwing uitgegeven over meerdere kwetsbaarheden in het besturingssysteem JuneOS van Juniper Networks. Deze kwetsbaarheden treffen Juniper EX switches en SRX firewalls. Hoewel de individuele kwetsbaarheden (CVE-2023-36844, CVE-2023-36846, CVE-2023-36847, CVE-2023-36845) niet als kritiek worden beschouwd, kunnen ze in combinatie ernstige gevolgen hebben. Een 'Proof of Concept' (POC) heeft dit aangetoond, en het Nationaal Cyber Security Centrum (NCSC) heeft het risiconiveau daarom opgeschaald naar 'High/High'.
Risico's
De kwetsbaarheden stellen een aanvaller in staat om zonder inloggegevens willekeurige code uit te voeren met administratorrechten op de getroffen apparaten. Voor een succesvolle aanval is netwerktoegang tot de beheerinterface (J-Web) vereist. Als deze interface publiek toegankelijk is, neemt het risico op misbruik aanzienlijk toe.
Aanbevelingen
Juniper heeft beveiligingsupdates uitgebracht die zo snel mogelijk geïnstalleerd dienen te worden. Daarnaast wordt sterk aangeraden om de toegang tot beheerinterfaces te beperken. Als externe toegang noodzakelijk is, wordt geadviseerd dit alleen toe te staan via een VPN-verbinding of door toegang te beperken tot specifieke IP-adressen.
Deze informatie is vooral relevant voor ondernemers en securityverantwoordelijken. Het DTC biedt een breed scala aan cybersecurity-informatie en tools, en men kan zich aansluiten bij de DTC Community voor meldingen van ernstige cyberdreigingen.
Beveiligingslek in WordPress Migratie Plugin Riskeert Datalekken
All-in-One WP Migration, een populaire migratieplugin voor WordPress-websites met meer dan 5 miljoen actieve installaties, bevat een ernstig beveiligingslek. Dit lek maakt het mogelijk voor ongeverifieerde gebruikers om toegangstokens te manipuleren, wat kan leiden tot ongeautoriseerde toegang tot gevoelige website-informatie. De plugin is ontworpen om het voor niet-technische gebruikers eenvoudig te maken om databases, media, plugins en thema's te exporteren naar een nieuwe locatie. Echter, volgens een rapport van Patchstack, bevatten verschillende premium extensies van de plugin kwetsbare code die ontbreekt aan de juiste permissies en nonce-validatie. Deze kwetsbaarheid, aangeduid als CVE-2023-40004, stelt aanvallers in staat om de tokenconfiguraties op de getroffen extensies te manipuleren. Dit kan resulteren in het omleiden van website-migratiegegevens naar de cloudservice-accounts van de aanvallers of het herstellen van kwaadaardige back-ups. Het belangrijkste risico van het succesvol uitbuiten van deze kwetsbaarheid is een datalek, dat gebruikersdetails, kritieke websitegegevens en bedrijfseigen informatie kan omvatten. Hoewel het risico enigszins wordt verminderd doordat de plugin normaal gesproken alleen actief is tijdens migratieprojecten, blijft het een ernstig beveiligingsprobleem. De kwetsbaarheid werd ontdekt door onderzoeker Rafie Muhammad van PatchStack op 18 juli 2023 en gemeld aan ServMask, de ontwikkelaar van de plugin. ServMask heeft op 26 juli 2023 een beveiligingsupdate uitgebracht om het probleem te verhelpen. Gebruikers van de getroffen extensies worden geadviseerd om te upgraden naar de nieuwste versies om het risico te minimaliseren. (bron, bron2)
Kritiek Lek in VMware Aria Operations Riskeert SSH-Authenticatie
VMware heeft een waarschuwing uitgegeven over een ernstige kwetsbaarheid in hun Aria Operations for Networks software, voorheen bekend als vRealize Network Insight. Deze kwetsbaarheid, aangeduid als CVE-2023-34039, stelt een aanvaller in staat om SSH-authenticatie te omzeilen en toegang te krijgen tot de command-line interface (CLI) van het getroffen systeem. De impact van dit lek is beoordeeld met een 9.8 op een schaal van 1 tot 10, wat het als zeer kritiek classificeert. Het probleem ontstaat door het niet genereren van unieke cryptografische sleutels, waardoor een aanvaller die al toegang heeft tot het systeem de SSH-authenticatie kan omzeilen. VMware heeft een update uitgebracht om deze kwetsbaarheid te verhelpen. Dit is niet de eerste keer dat Aria Operations for Networks in het nieuws komt vanwege beveiligingsproblemen. In juni werd bekend dat aanvallers actief misbruik maakten van een andere kwetsbaarheid, CVE-2023-20887. Organisaties worden dringend geadviseerd om de nieuwste update te installeren om zich tegen deze ernstige kwetsbaarheid te beschermen. (bron)
Kritieke Kwetsbaarheden in Juniper SRX Firewalls Openen Deur voor Grootschalige Aanvallen
Er is een proof-of-concept exploit code publiekelijk vrijgegeven voor meerdere kwetsbaarheden in Juniper SRX firewalls. Deze kwetsbaarheden kunnen, indien gecombineerd, ongeauthenticeerde aanvallers in staat stellen om op afstand code uit te voeren op apparaten die draaien op Juniper's JunOS en die niet zijn gepatcht. Juniper had twee weken geleden al vier medium-ernstige bugs bekendgemaakt in zijn EX switches en SRX firewalls en daarvoor beveiligingspatches uitgebracht. De beveiligingslekken zijn ontdekt in de PHP-gebaseerde J-Web interface, die beheerders gebruiken om Juniper-apparaten op hun netwerken te beheren en configureren. Een specifiek verzoek dat geen authenticatie vereist, stelt een aanvaller in staat om willekeurige bestanden te uploaden via J-Web. Dit leidt tot een verlies van integriteit in een bepaald deel van het bestandssysteem en kan worden gekoppeld aan andere kwetsbaarheden voor verdere exploitatie. Onderzoekers van watchTowr Labs hebben een proof-of-concept exploit ontwikkeld die gebruikmaakt van deze kwetsbaarheden. Ze hebben ook een technische analyse gepubliceerd die het proces van hun kwetsbaarheidsanalyse en de ontwikkeling van de PoC beschrijft. De onderzoekers waarschuwen voor waarschijnlijke grootschalige aanvallen op ongepatchte Juniper-apparaten en adviseren beheerders dringend om de patches van Juniper toe te passen of JunOS te upgraden naar de nieuwste versie. Gezien de eenvoud van de exploitatie en de bevoorrechte positie die JunOS-apparaten innemen in een netwerk, is de verwachting dat er op korte termijn grootschalige exploitatie zal plaatsvinden. Beheerders worden dringend geadviseerd om te updaten naar een gepatchte versie of, indien mogelijk, de toegang tot de J-Web-interface uit te schakelen. (bron, bron2)
Kritieke Kwetsbaarheden Ontdekt in Jupiter X Core WordPress Plugin: Directe Actie Vereist
Twee ernstige kwetsbaarheden zijn ontdekt in de Jupiter X Core WordPress plugin, die gebruikt wordt op meer dan 172.000 websites. De kwetsbaarheden zijn ontdekt door Rafie Muhammad van het WordPress-beveiligingsbedrijf Patchstack en stellen aanvallers in staat om accounts over te nemen en bestanden te uploaden zonder authenticatie. De eerste kwetsbaarheid, geïdentificeerd als CVE-2023-38388, maakt het uploaden van bestanden zonder authenticatie mogelijk, en heeft een ernstscore van 9.0 gekregen. Deze kwetsbaarheid treft alle versies van JupiterX Core vanaf 3.3.5 en lager. De ontwikkelaar heeft dit probleem opgelost in versie 3.3.8.
De tweede kwetsbaarheid, CVE-2023-38389, stelt aanvallers zonder authenticatie in staat om controle over elke WordPress-gebruikersaccount te krijgen, mits zij het e-mailadres kennen. Deze heeft een kritieke ernstbeoordeling van 9.8 en beïnvloedt alle versies van Jupiter X Core vanaf 3.3.8 en lager. ArtBees, de ontwikkelaar van de plugin, heeft dit probleem op 9 augustus verholpen door versie 3.4.3 uit te brengen. Gebruikers van de JupiterX Core plugin wordt dringend aangeraden om zo snel mogelijk te upgraden naar versie 3.4.3 om de ernstige risico's die deze kwetsbaarheden met zich meebrengen te verminderen. Op het moment van schrijven zijn er geen openbare meldingen over uitbuiting van deze kwetsbaarheden in het wild. (bron, bron2)
Kritieke Kwetsbaarheid in Ivanti Sentry Misbruikt als Zero-Day Aanval: Exploit Vrijgegeven
Op 24 augustus 2023 werd een proof-of-concept (PoC) exploit code gepubliceerd voor een kritieke authenticatie-omzeilingsfout in Ivanti Sentry die aanvallers in staat stelt code op kwetsbare systemen op afstand uit te voeren als root. Deze fout, geïdentificeerd als CVE-2023-38035, werd ontdekt door het cybersecuritybedrijf mnemonic en maakt het misbruik van een ontoereikende Apache HTTPD-configuratie mogelijk. De exploitatie van deze fout kan leiden tot het uitvoeren van systeemopdrachten of het schrijven van bestanden op systemen die Ivanti Sentry versies 9.18 en eerder draaien. Security-onderzoekers bij Horizon3 hebben een technische analyse gepubliceerd samen met de PoC-exploit, waarin ze gebruikers aanraden om te patchen en te controleren of het product niet extern aan het internet is blootgesteld. De kwetsbaarheid is ook als zero-day gebruikt in aanvallen. Ivanti heeft gedetailleerde informatie verstrekt over het toepassen van de beveiligingsupdates, maar volgens een Shodan-zoekopdracht zijn er nog meer dan 500 online blootgestelde Ivanti Sentry-instanties. CISA heeft de beveiligingsfout toegevoegd aan haar catalogus van bekende uitgebuite kwetsbaarheden, waarbij federale agentschappen is opgedragen hun systemen uiterlijk op 14 september te beveiligen. Daarnaast zijn er meldingen over eerdere kwetsbaarheden in Ivanti's producten, zoals de in april misbruikte authenticatie-omzeilingsfout CVE-2023-35078, die is gebruikt om de netwerken van meerdere overheidsorganisaties in Noorwegen te infiltreren, en een paar andere kritieke overloopfouten die recent zijn gepatcht. Het nieuws benadrukt het belang van constante waakzaamheid en snelle reactie op de steeds evoluerende bedreigingen in de cyberbeveiligingswereld. (bron, bron2, bron3, bron4, bron5, bron6)
Check out our latest blog detailing CVE-2023-38035, effecting #Ivanti #Sentry.📷
— Horizon3 Attack Team (@Horizon3Attack) August 24, 2023
🔺 Auth Bypass to root RCE
🔺 Limited Logs for IOCs
🔺 Internet Exposurehttps://t.co/K4ekO4MgZt pic.twitter.com/7GCSZjXZWx
FBI Waarschuwt: Barracuda-Beveiligingsupdates voor Zerodaylek Zijn Ineffectief
De FBI heeft bekendgemaakt dat de beveiligingsupdates die Barracuda heeft uitgebracht voor een actief aangevallen zerodaylek in de Email Security Gateway niet werken. Hierdoor blijven de apparaten kwetsbaar voor aanvallen. De kwetsbaarheid, geclassificeerd als CVE-2023-2868, stelt een aanvaller in staat om systeemcommando's uit te voeren via een speciaal geprepareerd .tar-bestand. De impact van dit lek is beoordeeld met een 9.4 op een schaal van 10. Hoewel Barracuda patches heeft vrijgegeven, worden deze als ineffectief beschouwd door de FBI. De aanvallers, die vermoedelijk vanuit China opereren, hebben een "aanzienlijk aantal" gateways gecompromitteerd, en de FBI adviseert organisaties om hun apparaten direct uit het netwerk te verwijderen. Er zijn ook richtlijnen gegeven om te bepalen of een gateway is gecompromitteerd, en organisaties worden aangemoedigd om eventuele compromittering te melden bij de FBI.
Kwetsbaarheid in meer dan 3.000 Openfire-servers maakt overname mogelijk
Duizenden Openfire-servers lopen het risico op CVE-2023-32315, een actief uitgebuite kwetsbaarheid voor het overschrijden van paden, waardoor een niet-geauthenticeerde gebruiker nieuwe beheerdersaccounts kan aanmaken. Openfire is een veelgebruikte op Java gebaseerde open-source chatserver (XMPP) die 9 miljoen keer is gedownload. Ondanks beschikbare beveiligingsupdates blijven meer dan 3.000 servers kwetsbaar. Een onderzoeker heeft aangetoond dat aanvallers de kwetsbaarheid kunnen uitbuiten en kwaadaardige plugins kunnen uploaden zonder een beheerdersaccount aan te maken, wat het voor cybercriminelen aantrekkelijker maakt. Administrators van Openfire-servers worden dringend geadviseerd om naar de gepatchte versies te upgraden om mogelijke aanvallen te voorkomen. (bron, bron2,bron3)
Microsoft brengt optionele update KB5029351 voor Windows 11 uit met fixes voor de Zoek-app
Microsoft heeft de optionele cumulatieve update voor augustus 2023 uitgebracht voor Windows 11, versie 22H2, met oplossingen voor verschillende problemen die de Zoek-app beïnvloeden. Deze update, met het KB5029351-nummer, stelt Windows-beheerders en gebruikers in staat om fixes en verbeteringen te testen die gepland zijn voor de aankomende uitrol van Patch Tuesday in september 2023. De update pakt een probleem aan dat zich voordoet na het ontwaken van het systeem uit de slaapstand, waarbij de Zoek-app niet start wanneer je op het zoekpictogram klikt. Bovendien verbetert het de betrouwbaarheid van de Zoek-app en lost het een probleem op dat de afmetingen van het zoekvak beïnvloedt op Microsoft Surface Pro- en Surface Book-apparaten in de tabletmodus. Deze maandelijkse "C"-updates zijn optioneel en bevatten, in tegenstelling tot de Patch Tuesday-updates, geen beveiligingsgerelateerde fixes. Om de KB5029351-update te installeren, klik je op de knop 'Downloaden en installeren' in Instellingen > Windows Update om te controleren op nieuwe updates. Je kunt het ook handmatig downloaden vanuit de Microsoft Update Catalogus. De update brengt ook nieuwe functionaliteiten met betrekking tot app-standaardinstellingen en lost problemen op met printopdrachten die naar een virtuele printfout worden gestuurd, hoge CPU-belasting en problemen met schijfpartities. Microsoft heeft tevens een nieuw beleid geïntroduceerd genaamd "Enable optional updates," waarmee beheerders betere controle hebben over hoe maandelijkse optionele updates op bedrijfsapparaten worden geïnstalleerd. Dit beleid kan ook worden gebruikt om de uitrol van gecontroleerde functie-updates (CFR) op endpoints te beheren. Voor het omzeilen van provisioning-problemen wordt Windows-beheerders aangeraden om tijdelijke oplossingen te implementeren voordat de upgrade naar Windows 11 22H2 plaatsvindt. Raadpleeg de KB5029351-ondersteuningsbulletin voor een volledige lijst met fixes en verbeteringen. (bron, bron2)
Kwetsbaarheden in TP-Link Slimme Lampen Bedreigen WiFi-wachtwoorden
Onderzoekers uit Italië en het Verenigd Koninkrijk hebben vier ernstige kwetsbaarheden ontdekt in de TP-Link Tapo L530E slimme lamp en bijbehorende app. Deze kwetsbaarheden stellen hackers in staat om WiFi-wachtwoorden te stelen. De lamp is populair maar kwetsbaar door gebrekkige authenticatie en encryptie. Hackers kunnen de lamp imiteren, wachtwoorden stelen en toegang krijgen tot andere apparaten op het netwerk. TP-Link is op de hoogte en belooft fixes, maar de beschikbaarheid is onduidelijk. Gebruikers moeten IoT-apparaten isoleren, firmware en apps updaten en sterke wachtwoorden en tweefactorauthenticatie gebruiken om beveiliging te versterken. (bron, bron2)
Ivanti waarschuwt voor ernstig zerodaylek in MobileIron Sentry
Op maandag 21 augustus 2023 heeft softwarebedrijf Ivanti gewaarschuwd voor een actief aangevallen zerodaylek in MobileIron Sentry, wat de derde zerodaymelding in korte tijd voor het bedrijf is. MobileIron is een mobiel apparaat beheersoplossing waarmee organisaties op afstand de mobiele apparaten van hun medewerkers kunnen beheren. Sentry is een component waarmee beheerd kan worden welke apparaten toegang hebben tot de Exchange-mailserver van de organisatie. Dit ernstige beveiligingslek, geïdentificeerd als CVE-2023-38035, bevindt zich in de beheerdersinterface van Ivanti MobileIron Sentry en stelt ongeauthenticeerde aanvallers in staat om de authenticatie te omzeilen en toegang tot het systeem te verkrijgen. Eenmaal binnen kunnen aanvallers de configuratie wijzigen, systeemcommando's uitvoeren en bestanden naar het systeem schrijven. De ernst van dit lek wordt beoordeeld met een 9.8 op een schaal van 1 tot 10. Hoewel er inmiddels een beveiligingsupdate beschikbaar is gesteld, zijn al een "beperkt aantal" klanten aangevallen voordat de patch werd uitgebracht. Ivanti heeft niet bekendgemaakt hoeveel organisaties precies zijn getroffen. Als voorzorgsmaatregel adviseert het softwarebedrijf ook om de beheerdersinterface niet vanaf het internet toegankelijk te maken. Dit incident volgt op de onthulling dat aanvallers eerder twee zerodaylekken in een ander product van Ivanti, genaamd Endpoint Manager Mobile, maandenlang hebben benut bij aanvallen op de Noorse overheid en verschillende organisaties. Het benadrukt het belang van snelle updates en strikte beveiligingsmaatregelen om dergelijke kwetsbaarheden te voorkomen. Bovendien is bekend geworden dat een van de getroffen klanten de Zwitserse Politie van het kanton Bern is, waarbij persoonlijke gegevens van 2800 medewerkers met smartphones in handen van criminelen zijn gevallen. Dit onderstreept de ernstige gevolgen van dergelijke beveiligingslekken voor organisaties en hun werknemers. (bron, bron2)
Ivanti Sentry server 0-day vulnerability. Patch now!https://t.co/nZMH5kwOyT
— Per Morten (@pmsandstad) August 21, 2023
Ernstige WinRAR Kwetsbaarheid Stelt Hackers in Staat Programma's Uit te Voeren bij het Openen van RAR-Archief
Een recent ontdekte kwetsbaarheid in WinRAR, de populaire bestandsarchiveringssoftware voor Windows, heeft gebruikers wereldwijd blootgesteld aan ernstige beveiligingsrisico's. Deze kwetsbaarheid, bekend als CVE-2023-40477, stelt kwaadwillende actoren in staat om op afstand opdrachten uit te voeren op een computer door eenvoudigweg een RAR-archief te openen. De kwetsbaarheid werd ontdekt door onderzoeker "goodbyeselene" van het Zero Day Initiative, die het probleem op 8 juni 2023 aan leverancier RARLAB meldde. Het specifieke beveiligingslek doet zich voor tijdens de verwerking van herstelvolumes en ontstaat door gebrekkige validatie van door gebruikers geleverde gegevens, wat kan resulteren in het overschrijden van de grenzen van een toegewezen buffer in het geheugen. Hoewel de ernst van de kwetsbaarheid volgens CVSS wordt beoordeeld op 7,8 (op een schaal van 0 tot 10), vereist deze aanval dat een aanvaller het slachtoffer overtuigt om een speciaal geprepareerd RAR-bestand te openen. Dit vermindert de ernst van het risico echter niet aanzienlijk, gezien het grote aantal WinRAR-gebruikers wereldwijd. Gelukkig heeft RARLAB op 2 augustus 2023 WinRAR-versie 6.23 uitgebracht om CVE-2023-40477 aan te pakken. WinRAR-gebruikers wordt ten zeerste aangeraden om onmiddellijk de beschikbare beveiligingsupdate toe te passen. Deze update lost niet alleen het probleem met de verwerking van herstelvolumes op, maar ook een ander ernstig probleem met speciaal geprepareerde archieven die tot verkeerde bestandsinitialisatie leiden. Het is ook vermeldenswaardig dat Microsoft nu native ondersteuning test voor RAR-, 7-Zip- en GZ-bestanden in Windows 11, waardoor derde partijen zoals WinRAR mogelijk niet meer nodig zijn, tenzij geavanceerde functies vereist zijn. Voor gebruikers die WinRAR blijven gebruiken, is het essentieel om de software regelmatig bij te werken, aangezien vergelijkbare kwetsbaarheden in het verleden werden misbruikt door hackers om malware te installeren. Daarnaast wordt aanbevolen om voorzichtig te zijn bij het openen van RAR-bestanden en een antivirusprogramma te gebruiken dat archieven kan scannen als extra beveiligingsmaatregel. (bron, bron2)
Cisco rolt beveiligingsupdates uit voor zakelijke applicaties na ontdekken van meerdere kwetsbaarheden
Cisco heeft recentelijk belangrijke beveiligingsupdates vrijgegeven voor diverse zakelijke applicaties, waaronder Cisco Unified Communications Manager en ClamAV. Deze updates zijn ontworpen om meerdere beveiligingslekken te verhelpen die zijn aangetroffen in verschillende applicaties. De meest kritieke kwetsbaarheid bevindt zich in de web management interface van Unified Communications Manager (Unified CM) en Unified Communications Manager Session Management Edition (Unified CM SME). Deze bug, geclassificeerd als CVE-2023-20211, maakt het voor een hacker met externe authenticatie mogelijk om een SQL-injectie uit te voeren. Deze kwetsbaarheid wordt beoordeeld met een CVSS-score van 8,1, volgens meldingen van Securityweek. Een succesvolle exploitatie van deze bug zou een aanvaller in staat stellen om toegang te krijgen tot de onderliggende database, gegevens te lezen en aan te passen, en zijn privileges te verhogen. Hoewel er een proof-of-concept (PoC)-exploit code in omloop is die deze kwetsbaarheid benut, zijn er momenteel geen aanwijzingen voor actief misbruik door kwaadwillende hackers. Gebruikers en systeembeheerders wordt aangeraden om de benodigde beveiligingsupdate zo snel mogelijk te installeren om potentiële risico's te minimaliseren. Tegelijkertijd heeft Cisco ook beveiligingsupdates uitgebracht voor andere zakelijke applicaties, zoals ThousandEyes Enterprise Agent. Deze updates zijn bedoeld om beveiligingslekken te dichten die een aanvaller met de juiste inloggegevens in staat zouden stellen om commando's met root-privileges uit te voeren. Voor de Duo Device Health Application is eveneens een beveiligingsupdate beschikbaar gesteld (versie 5.2.0). Daarnaast heeft Cisco patches uitgebracht voor de gratis antimalware-toolkit ClamAV, die in Secure Endpoint-software is geïntegreerd, om twee Denial-of-Service-kwetsbaarheden te verhelpen. Het is belangrijk op te merken dat er ook voor deze specifieke kwetsbaarheid een PoC-code openbaar beschikbaar is. Gezien de ernst van de geïdentificeerde kwetsbaarheden wordt aangeraden dat organisaties en gebruikers deze beveiligingsupdates zo snel mogelijk toepassen om hun systemen te beschermen tegen mogelijke aanvallen en ongeautoriseerde toegang. (bron, bron2)
Microsoft's PowerShell Gallery Kwetsbaar voor Spoofing en Supply Chain Aanvallen
Microsoft's PowerShell Gallery, een populaire online codeopslagplaats beheerd door Microsoft, is kwetsbaar voor spoofing en potentiële supply chain aanvallen. Dit komt door lakse beleidsregels voor pakketnaamgeving. Hierdoor kunnen kwaadwillenden typosquatting-aanvallen uitvoeren, populaire pakketten nabootsen en de basis leggen voor grootschalige supply chain aanvallen. PowerShell Gallery wordt veel gebruikt door de PowerShell-gemeenschap en sommige pakketten worden maandelijks tientallen miljoenen keren gedownload. Aqua Nautilus identificeerde problemen in het beleid van de markt in september 2022. Hoewel Microsoft de ontvangst van de bugrapporten en PoC-exploits heeft erkend, zijn er geen maatregelen genomen om de gebreken te verhelpen. Een van de ontdekte problemen is dat gebruikers pakketten kunnen indienen bij de PS Gallerymet namen die sterk lijken op bestaande repositories. Dit wordt 'typosquatting' genoemd. Een voorbeeld hiervan is het populaire "AzTable" module, dat gemakkelijk kan worden nagebootst met een naam als 'Az.Table'. Dit maakt het voor gebruikers moeilijk om ze te onderscheiden. Bovendien kunnen onderzoekers module-details, waaronder auteur en copyright, vervalsen door ze te kopiëren van legitieme projecten. Dit kan worden misbruikt om willekeurige pakketten te laten lijken alsof ze van betrouwbare uitgevers zijn. Daarnaast verbergt PS Gallery standaard het betrouwbaardere 'Eigenaar'-veld onder 'Pakketdetails'. Een derde ontdekte fout betreft het vermogen om niet-gelijste pakketten/modules op het platform bloot te leggen. Onderzoekers vonden een XML-bestand dat uitgebreide details gaf over zowel gelijste als niet-gelijste pakketten. AquaSec rapporteerde alle fouten aan Microsoft in september 2022. Ondanks beweringen van Microsoft dat ze de problemen hadden opgelost, bleken de gebreken in augustus 2023 nog steeds te bestaan. Gebruikers van de PS Gallery worden geadviseerd om beleid aan te nemen dat alleen de uitvoering van ondertekende scripts toestaat en om regelmatig te scannen op gevoelige gegevens in modulebroncode. (bron, bron2)
⚠️ Ernstige Beveiligingslekken in Citrix NetScaler Producten: Actie Vereist
Op 16 augustus 2023 heeft het Digital Trust Center (DTC) van het Ministerie van Economische Zaken en Klimaat (EZK) een waarschuwing uitgegeven over ernstige kwetsbaarheden in de NetScaler Gateway en NetScaler ADC producten van softwarebedrijf Citrix. Deze producten stonden voorheen bekend als Citrix Gateway en Citrix ADC. Securitybedrijf Fox-IT, in samenwerking met het Dutch Institute for Vulnerability Disclosure (DIVD), heeft een rapport uitgebracht waarin wordt aangegeven dat één van deze kwetsbaarheden, met kenmerk CVE-2023-3519, actief wordt misbruikt. Bovendien is er een risico dat systemen die in een eerder stadium beveiligingsupdates hebben ontvangen, alsnog geïnfecteerd kunnen zijn. De betreffende kwetsbaarheid heeft een CVSS-score van 9,8, wat wijst op een zeer kritieke situatie. Het Nationaal Cyber Security Centrum (NCSC) heeft deze kwetsbaarheid ook als 'High/High' bestempeld, wat betekent dat er een grote kans is op misbruik en dat de potentiële schade aanzienlijk is. Kwaadwillenden kunnen deze kwetsbaarheden benutten om beheerdersrechten te verkrijgen, willekeurige code uit te voeren en cross-site-scripting aanvallen uit te voeren op kwetsbare systemen. Citrix heeft beveiligingsupdates uitgebracht voor verschillende versies van de NetScaler producten. Organisaties die gebruik maken van deze producten worden dringend geadviseerd om contact op te nemen met hun systeembeheerder of IT-dienstverlener en de nodige updates zo snel mogelijk te installeren. Specifieke versies van de software hebben de End-of-Life status bereikt en worden niet meer ondersteund met beveiligingsupdates. Gebruikers van deze versies worden aangeraden om te upgraden naar een ondersteunde versie. Tot slot biedt het DTC ondersteuning aan ondernemers in de vorm van cybersecurity informatie en tools. Ondernemers en security verantwoordelijken kunnen zich aansluiten bij de DTC Community voor updates over cyberdreigingen. (bron)
Actief misbruik van ernstige kwetsbaarheid in Citrix ShareFile gemeld
Op 17 augustus 2023 heeft het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security gewaarschuwd voor actief misbruik van een kritieke kwetsbaarheid in Citrix ShareFile. Citrix ShareFile is een platform dat organisaties gebruiken voor het opslaan van bestanden. In recente maanden zijn er vergelijkbare beveiligingsproblemen geconstateerd in producten zoals MOVEit Transfer, Accellion File Transfer Appliance, Fortra GoAnywhere en IBM Aspera Faspex. Criminelen hebben deze lekken op grote schaal benut om gevoelige informatie te stelen en organisaties te chanteren. De specifieke kwetsbaarheid in ShareFile, aangeduid als CVE-2023-24489, stelt een ongeauthenticeerde aanvaller in staat om de ShareFile storage zones controller te compromitteren, waardoor ze toegang krijgen tot de opgeslagen bestanden. Op 13 juni is er een beveiligingsupdate uitgebracht om dit lek te dichten. De ernst van deze kwetsbaarheid is beoordeeld met een 9.1 op een schaal van 1 tot 10. Het securitybedrijf GreyNoise heeft een aanzienlijke toename in aanvallen opgemerkt en adviseert organisaties dringend om hun ShareFile-systemen te updaten indien dit nog niet is gebeurd. (bron, bron2)
⚠️ We are continuing to monitor CVE-2023-24489 (Citrix ShareFile RCE) exploit activity closely. All flagged IPs are marked malicious. There's been a huge spike in activity today. Make sure your systems are up to date with the latest patches. pic.twitter.com/AlgCE57QH6
— GreyNoise (@GreyNoiseIO) August 16, 2023
Google introduceert wekelijkse beveiligingsupdates voor Chrome en dicht 26 kwetsbaarheden
Google heeft een nieuw patchbeleid voor zijn Chrome-browser aangekondigd, waarbij het nu wekelijkse beveiligingsupdates zal uitrollen. Deze verandering is bedoeld om gebruikers beter te beschermen tegen kwetsbaarheden in de opensource-componenten van de browser. In het verleden zijn er situaties geweest waarin een beveiligingslek in een van deze componenten door de ontwikkelaar werd aangepakt, maar Google had de update nog niet in Chrome geïntegreerd en naar de gebruikers uitgerold. Dit leidde tot een verhoogd risico op aanvallen voor de gebruikers. Met de introductie van Chrome versie 116 wordt dit wekelijkse patchbeleid in werking gesteld. In de recente update van Chrome 116 heeft Google 26 kwetsbaarheden verholpen. Acht van deze beveiligingslekken zijn als 'high' geclassificeerd. Deze kwetsbaarheden kunnen aanvallers in staat stellen om code binnen de browsercontext uit te voeren, waardoor ze potentieel gevoelige informatie van gebruikers kunnen stelen of data van andere websites kunnen manipuleren. Er zijn ook kwetsbaarheden die het mogelijk maken om uit de beveiligde omgeving van Chrome, de zogenaamde 'sandbox', te ontsnappen. Hoewel de 'high' kwetsbaarheden op zichzelf niet voldoende zijn om een systeem volledig over te nemen, kunnen ze in combinatie met andere lekken wel tot grotere problemen leiden. Veel van deze beveiligingsproblemen zijn gerapporteerd door externe onderzoekers. Voor een van de kwetsbaarheden heeft Google zelfs een beloning van 30.000 dollar uitgekeerd aan de melder. De nieuwste update wordt automatisch geïnstalleerd op de meeste systemen. Echter, in het geval van 'high' impact kwetsbaarheden kan dit proces tot zestig dagen duren. Gebruikers die de update direct willen hebben, worden geadviseerd om handmatig op updates te controleren. (bron)
Microsoft herstelt problemen met beveiligingsupdates voor Exchange Server
Op 16 augustus 2023 heeft Microsoft aangekondigd dat het beveiligingsupdates voor Exchange Server opnieuw heeft uitgebracht. Deze actie volgde nadat de eerste versie van de updates, die op 8 augustus verscheen, problemen veroorzaakte op servers met een niet-Engelstalig besturingssysteem. Deze oorspronkelijke update was bedoeld om meerdere kwetsbaarheden aan te pakken, waaronder een ernstig beveiligingslek waardoor een ongeauthenticeerde aanvaller zich als een andere gebruiker kon aanmelden. Het kernprobleem met de eerste versie van de updates was dat servers met een niet-Engelstalig besturingssysteem de installatie van de patch niet konden voltooien. Dit leidde tot het stoppen van Exchange-services. Microsoft heeft dit "localization issue" nu opgelost en heeft versie 2 van de updates uitgebracht. Voor servers waarop de eerste versie handmatig en zonder problemen is geïnstalleerd, zijn geen verdere acties nodig. Echter, als de eerste versie via Microsoft / Windows Update was geïnstalleerd, zal de installatie van de tweede versie automatisch gebeuren. Beheerders van Exchange-servers met een niet-Engelstalig besturingssysteem die de eerste versie van de updates konden installeren via een workaround die door Microsoft werd verstrekt, worden geadviseerd deze versie te verwijderen voordat ze versie 2 installeren. Microsoft heeft een tabel met aanbevolen acties voor beheerders gepubliceerd en benadrukt het belang van het zo snel mogelijk installeren van de nieuwe versie van de updates. (bron)
Kritieke Buffer Overflow Kwetsbaarheden Bedreigen Ivanti Avalanche
Ivanti Avalanche, een oplossing voor enterprise mobility management (EMM) ontworpen om een breed scala aan mobiele apparaten te beheren, monitoren en beveiligen, is getroffen door twee kritieke stack-based buffer overflow kwetsbaarheden, gezamenlijk gevolgd als CVE-2023-32560. Deze kwetsbaarheden zijn beoordeeld als kritiek met een CVSS v3 score van 9.8. Ze zijn op afstand uit te buiten zonder gebruikersauthenticatie, wat aanvallers potentieel in staat stelt willekeurige code uit te voeren op het doelsysteem. De kwetsbaarheid treft de WLAvalancheService.exe versie 6.4.0.0 en ouder, die communicatie ontvangt via TCP-poort 1777. Aanvallers kunnen een buffer overflow veroorzaken door speciaal vervaardigde datapakketten te sturen die hex strings of een lijst van decimale strings bevatten. Een buffer overflow treedt op wanneer een programma meer gegevens schrijft naar een aangrenzend geheugenblok dan het kan bevatten, wat kan leiden tot crashes of het uitvoeren van willekeurige code. De problemen werden ontdekt door onderzoekers van Tenable en gemeld aan Ivanti op 4 april 2023. Na het verlengen van de openbaarmakingsperiode bracht Ivanti op 3 augustus 2023 een beveiligingsupdate uit met Avalanche versie 6.4.1. Deze versie repareert ook andere kwetsbaarheden gerelateerd aan authenticatie omzeiling en externe code-uitvoering. Het is belangrijk op te merken dat Ivanti-software wordt gebruikt in kritieke systemen. Vorige maand werd onthuld dat hackers een zero-day authenticatie omzeilingskwetsbaarheid in Ivanti Endpoint Manager Mobile gebruikten om toegang te krijgen tot een platform van twaalf Noorse overheidsministeries, waardoor potentieel gevoelige en geclassificeerde informatie werd blootgesteld. (bron, bron2)
Microsoft activeert oplossing voor Windows Kernel-kwetsbaarheid voor alle gebruikers
Microsoft heeft een oplossing geactiveerd voor een kwetsbaarheid in de Windows Kernel die informatie zou kunnen lekken. Deze oplossing is nu standaard ingeschakeld voor alle gebruikers, nadat het bedrijf deze eerder had uitgeschakeld vanwege zorgen dat het problemen zou kunnen veroorzaken in het Windows-besturingssysteem. De kwetsbaarheid, aangeduid als CVE-2023-32019, heeft een gemiddelde ernstscore van 4.7 op 10. Microsoft heeft deze kwetsbaarheid als 'belangrijk' bestempeld. De bug werd ontdekt door Mateusz Jurczyk, een beveiligingsonderzoeker van Google Project Zero. Deze kwetsbaarheid stelt een geauthenticeerde aanvaller in staat om toegang te krijgen tot het geheugen van een bevoorrecht proces en daaruit informatie te extraheren. Hoewel er geen aanwijzingen zijn dat deze kwetsbaarheid in de praktijk is misbruikt, bracht Microsoft aanvankelijk de beveiligingsupdate uit met de oplossing uitgeschakeld. Ze waarschuwden dat het activeren van de oplossing problemen kon veroorzaken in het besturingssysteem. Gebruikers moesten de update handmatig inschakelen door bepaalde registerwaarden toe te voegen. Microsoft gaf destijds niet specifiek aan welke problemen er konden ontstaan door de update te activeren, maar gaf wel aan dat het in de toekomst standaard zou worden ingeschakeld. Door deze onzekerheid besloten veel Windows-beheerders de oplossing niet te implementeren uit angst voor mogelijke problemen. Echter, zoals eerst opgemerkt door Neowin, heeft Microsoft nu de oplossing voor CVE-2023-32019 standaard ingeschakeld in de updates van Patch Tuesday van augustus 2023. Volgens een update van Microsoft's ondersteuningsbulletin is er geen verdere actie van de gebruiker vereist. BleepingComputer heeft met verschillende Windows-beheerders gesproken over deze update, en niemand heeft problemen gemeld met deze ingeschakelde wijziging. (bron, bron2, bron3)
Ford's SYNC3 Infotainmentsysteem Kwetsbaar, maar Rijveiligheid Niet Beïnvloed
Ford heeft gewaarschuwd voor een bufferoverloop kwetsbaarheid in hun SYNC3 infotainmentsysteem, dat aanwezig is in diverse Ford en Lincoln modellen. Deze kwetsbaarheid kan externe code-uitvoering mogelijk maken. Het beveiligingslek, geïdentificeerd als CVE-2023-29468, bevindt zich in de WL18xx MCP-driver voor het WiFi-subsysteem van het infotainmentsysteem. Dit kan een aanvaller in staat stellen om een bufferoverloop te activeren als hij zich binnen het WiFi-bereik bevindt. Ford benadrukt echter dat, ondanks deze kwetsbaarheid, de rijveiligheid van de voertuigen niet wordt beïnvloed. Als tijdelijke oplossing kunnen klanten de wifi-functionaliteit uitschakelen via het instellingenmenu van het SYNC3-systeem. Ford is van plan binnenkort een softwarepatch uit te brengen die klanten kunnen downloaden en installeren via een USB-stick. Het bedrijf heeft ook aangegeven dat het tot nu toe geen bewijs heeft gezien van misbruik van deze kwetsbaarheid en nodigt beveiligingsonderzoekers uit om kwetsbaarheden te rapporteren via hun HackerOne-programma. (bron. bron2, bron3)
Wereldwijde impact op industriële PLC's door CODESYS V3 RCE-lekken
Industriële PLC's (Programmable Logic Controllers) wereldwijd worden bedreigd door maar liefst 15 kwetsbaarheden in de CODESYS V3 softwareontwikkelingskit. Deze kwetsbaarheden kunnen leiden tot het op afstand uitvoeren van code (Remote Code Execution, RCE) en het veroorzaken van Denial of Service (DoS) aanvallen. Meer dan 500 apparaatfabrikanten gebruiken de CODESYS V3 SDK voor de programmering van meer dan 1.000 PLC-modellen conform de IEC 61131-3-standaard. Deze SDK stelt gebruikers in staat om aangepaste automatiseringsreeksen te ontwikkelen en bevat een Windows-beheerinterface en een simulator voor het testen van PLC-configuraties vóór daadwerkelijke implementatie. De kwetsbaarheden in de CODESYS V3 SDK werden ontdekt door onderzoekers van Microsoft en in september 2022 gerapporteerd aan CODESYS. Hoewel CODESYS in april 2023 beveiligingsupdates uitbracht, worden deze apparaten vanwege hun aard zelden bijgewerkt om beveiligingsproblemen te verhelpen. Microsoft heeft daarom een gedetailleerde post gepubliceerd om het bewustzijn te vergroten en het patchproces te versnellen. De hoofdoorzaak van de kwetsbaarheden ligt in het decoderen van tags door de SDK. Tags worden zonder grootteverificatie naar het apparaatbuffer gekopieerd, wat kwaadwillenden de kans geeft op bufferoverloop. Deze tags zijn cruciaal voor de werking van de PLC. Ondanks dat de lekken authenticatie vereisen, kan deze vereiste omzeild worden door een ander lek in CODESYS V3, waardoor gebruikersgegevens onversleuteld worden verzonden. Beheerders worden dringend geadviseerd om zo snel mogelijk te upgraden naar CODESYS V3 v3.5.19.0. Microsoft raadt tevens aan om PLC's en andere cruciale industriële apparaten los te koppelen van het internet. (bron, bron2)
Update voor iTerm2 verhelpt meerdere beveiligingslekken
Een recente versie van de macOS terminal emulator, iTerm2, is uitgebracht om verschillende kwetsbaarheden te adresseren. Hoewel de specifieke CVE-nummers en gedetailleerde informatie nog niet zijn vrijgegeven, is bekend dat de beveiligingsproblemen betrekking hebben op control sequences die responses versturen. Deze lekken kunnen in bepaalde omstandigheden misbruikt worden om commando's op de computer van een gebruiker uit te voeren. Gebruikers worden dringend geadviseerd te updaten naar iTerm2 versies 3.4.20 en 3.5.0beta11. Ter informatie, vier jaar geleden werd een ernstige kwetsbaarheid in iTerm2 ontdekt waardoor kwaadwillenden commando's konden uitvoeren via de terminal van de gebruiker.
Dell's Compellent Software Bevat Kwetsbare Statische Encryptiesleutel
Een recent ontdekte kwetsbaarheid in Dell's Compellent Integration Tools voor VMware (CITV) stelt aanvallers in staat om opgeslagen vCenter-beheerdersreferenties te ontcijferen en het wachtwoord in klare tekst op te halen. Deze kwetsbaarheid, aangeduid als CVE-2023-39250, is te wijten aan een statische AES-encryptiesleutel die universeel wordt gebruikt in alle installaties. Deze sleutel wordt gebruikt om de vCenter-referenties te versleutelen die zijn opgeslagen in het configuratiebestand van het programma. Tom Pohl, een onderzoeker van LMG Security, ontdekte tijdens een penetratietest dat de CITV van Dell een identieke statische AES-encryptiesleutel bevat voor alle Dell-klanten. Aangezien AES een symmetrisch versleutelingsalgoritme is, maakt het gebruik van dezelfde sleutel voor zowel encryptie als decryptie. Dit betekent dat als een aanvaller de sleutel kan verkrijgen, hij gemakkelijk het configuratiebestand kan ontcijferen en het versleutelde wachtwoord kan ophalen. Het LMG Security-team ontdekte dat de softwaremap van Dell Compellent een JAR-bestand bevatte. Na decompilatie van dit bestand werd de hardcoded statische AES-sleutel onthuld. Met deze sleutel kon Pohl de configuratie van Dell Compellent ontcijferen en de gebruikersnaam en het wachtwoord voor de VMware vCenter-beheerder ophalen. Dell werd op de hoogte gebracht van deze bevindingen op 11 april 2023. Hoewel het bedrijf aanvankelijk het rapport negeerde, beloofden ze na verdere communicatie een oplossing uit te rollen in november 2023. Na het verstrijken van het standaard 90-dagen beleid voor het melden van kwetsbaarheden, heeft Pohl zijn onderzoek publiekelijk gedeeld. Als tijdelijke oplossing heeft Dell geadviseerd dat gebruikers het root-wachtwoord van hun Compellent-apparaten wijzigen. Het blijft echter onduidelijk hoe dit het extraheren van de AES-sleutel door een lokale gebruiker zou voorkomen. (bron, bron2)
Nieuwe Kwetsbaarheid Bedreigt Miljoenen Crypto Wallets
Cryptocurrencies en blockchains stellen gebruikers in staat om hun eigen activa te beheren zonder tussenkomst van derden. Echter, deze technologie is niet zonder kwetsbaarheden. Volgens een recent onderzoeksrapport van crypto-infrastructuurbedrijf Fireblocks zijn er ernstige kwetsbaarheden ontdekt in de wallets van 15 verschillende providers. Deze softwarematige problemen, door Fireblocks 'BitForge' genoemd, zijn 'Zero Day-exploits', wat betekent dat ze nog nooit eerder zijn waargenomen. Als hackers deze kwetsbaarheden ontdekken en sneller handelen dan de updates, zijn miljoenen crypto wallets in gevaar. Fireblocks heeft de getroffen bedrijven, waaronder grote spelers zoals Binance, Coinbase WaaS en Zengo, op de hoogte gesteld en hen 90 dagen de tijd gegeven om de problemen aan te pakken. Coinbase en Zengo hebben reeds actie ondernomen en bevestigd dat hun wallets niet zijn gehackt. Het is nog onduidelijk welke andere walletproviders zijn getroffen en hoeveel van hen de problemen hebben opgelost. Opvallend is dat hardware wallets niet lijken te zijn getroffen. De kwetsbaarheid is bijzonder zorgwekkend omdat het voor hackers slechts enkele seconden zou kosten om wallets van zowel consumenten als institutionele klanten te legen, zonder enige informatie over de gebruiker of de walletprovider. Dit nieuws komt in een tijd waarin crypto hacks frequent voorkomen. Ondanks de hoop op een rustiger 2023 na een recordjaar voor cybercriminelen in 2022, blijven de aanvallen doorgaan, met recentelijk een grote hack op het DeFi-platform Curve Finance waarbij meer dan 40 miljoen dollar aan crypto werd gestolen. (bron)
Kwetsbaarheid in Magento 2 Bedreigt Webwinkels
Aanvallers exploiteren een oude kwetsbaarheid in het Magento 2 webshopplatform om backdoors te installeren en betaalstatistieken te verzamelen, volgens een rapport van internetbedrijf Akamai. Magento 2, gebruikt door meer dan honderdduizend winkels, had vorig jaar een noodpatch ontvangen van Adobe om deze kwetsbaarheid, gelabeld als CVE-2022-24086, te verhelpen. Desondanks blijven aanvallen plaatsvinden, waarbij webshops op afstand kunnen worden overgenomen. Deze kwetsbaarheid heeft een hoge impactscore van 9.8 op een schaal van 10. Ondanks de beschikbare beveiligingsupdate blijven veel webshops kwetsbaar. Aanvallers maken gebruik van het beveiligingslek om een webshell te installeren en een "backdoor admin user" toe te voegen, waardoor ze toegang behouden tot de gecompromitteerde sites. Hoewel het exacte doel van deze aanvallen nog onduidelijk is, lijkt het erop dat de aanvallers geïnteresseerd zijn in de betaalstatistieken van de getroffen winkels. Akamai suggereert dat de aanvallers mogelijk creditcardskimmers willen installeren om klantbetaalgegevens te onderscheppen. Het rapport benadrukt het belang van het up-to-date houden van systemen, aangezien oude kwetsbaarheden vaak jaren na hun ontdekking nog worden misbruikt. (bron)
BitForge-kwetsbaarheden bedreigen populaire cryptocurrency-portemonnees
Op 9 augustus 2023 rapporteerde BleepingComputer over meerdere zero-day-kwetsbaarheden, gezamenlijk aangeduid als 'BitForge'. Deze kwetsbaarheden zijn ontdekt in de implementatie van cryptografische protocollen zoals GG-18, GG-20 en Lindell 17. Bekende cryptocurrency-portemonnee-leveranciers zoals Coinbase, ZenGo en Binance zijn hierdoor getroffen. Deze kwetsbaarheden stellen aanvallers in staat om binnen enkele seconden digitale activa te stelen uit de getroffen portemonnees, zonder enige interactie met de gebruiker of de leverancier. Het Fireblocks Cryptography Research Team ontdekte deze gebreken in mei 2023 en noemde ze 'BitForge'. Tijdens een recente BlackHat-presentatie hebben analisten details over BitForge onthuld. Coinbase en ZenGo hebben sindsdien maatregelen genomen om de problemen aan te pakken. Echter,volgens Fireblocks blijven Binance en vele andere portemonnee-providers kwetsbaar voor deze bedreigingen. Een van de belangrijkste kwetsbaarheden betreft de GG18- en GG20-drempelhandtekeningschema's. Afhankelijk van de implementatieparameters kan een aanvaller een specifiek bericht verzenden om sleutelfragmenten te extraheren, wat resulteert in het verkrijgen van de volledige privésleutel na slechts 16 pogingen. Een andere kwetsbaarheid in het Lindell17 2PC-protocol stelt aanvallers in staat om na ongeveer 200 handtekeningpogingen de volledige privésleutel te verkrijgen. Coinbase heeft bevestigd dat ze de kwetsbaarheden in hun Wallet as a Service (WaaS) oplossing hebben verholpen en bedankte de onderzoekers voor hun verantwoordelijke openbaarmaking. (bron)
Google intensiveert strijd tegen hackers met wekelijkse Chrome-updates
Google heeft besloten de frequentie van beveiligingsupdates voor Google Chrome te verhogen. Waar voorheen elke twee weken een update werd uitgebracht, zal dit nu wekelijks gebeuren. Deze verandering is ingevoerd om het groeiende 'patch gap'-probleem aan te pakken. Dit probleem houdt in dat er een tijdsverschil zit tussen het ontdekken van een beveiligingsprobleem en het daadwerkelijk uitbrengen van een patch. Hierdoor krijgen kwaadwillenden de kans om deze kwetsbaarheden te misbruiken. Deze nieuwe updatefrequentie gaat van start met Google Chrome 116. Google benadrukt dat Chromium, de basis van Chrome, een open-sourceproject is. Dit betekent dat iedereen de broncode kan inzien en kan volgen welke wijzigingen ontwikkelaars aanbrengen. Hoewel dit transparantie biedt, heeft het ook nadelen. Door deze openheid kunnen hackers sneller zwakke plekken inde software ontdekken en misbruiken voordat de meerderheid van de gebruikers de patch heeft geïnstalleerd. In het verleden duurde het gemiddeld 35 dagen voordat een beveiligingsprobleem werd opgelost. In 2020 heeft Google dit proberen te verminderen door over te schakelen naar tweewekelijkse updates. Met de nieuwe wekelijkse updates hoopt Google dit tijdsvenster verder te verkleinen tot slechts één week. Desondanks is het belangrijk te realiseren dat niet alle beveiligingsproblemen binnen een week kunnen worden opgelost. Sommige zijn complexer en vereisen meer tijd. Toch is deze stap een positieve ontwikkeling voor de veiligheid van Chrome-gebruikers. Het doel is om kritieke beveiligingsproblemen sneller aan te pakken en gebruikers beter te beschermen. Daarnaast wijst het artikel erop dat het 'patch gap'-probleem niet alleen bij Chrome speelt, maar ook bij Android. Hier zijn de uitdagingen echter groter, omdat fabrikanten vaak maanden nodig hebben om patches in hun telefoonbesturingssystemen te integreren. (bron)
Cryptolek in populaire Chinese Sogou keyboard-app blootgelegd
De populaire Chinese keyboard-app Sogou, met 450 miljoen maandelijkse actieve gebruikers, heeft een ernstig beveiligingsprobleem gehad waardoor toetsaanslagen van gebruikers eenvoudig konden worden afgeluisterd. Onderzoekers van Citizen Lab ontdekten dat de ontwikkelaars van de app hun eigen encryptiesysteem hadden gecreëerd, dat meerdere kwetsbaarheden bevatte. Deze kwetsbaarheden stelden netwerkaanvallers in staat om de toetsaanslagen van gebruikers in plaintext te zien. Wanneer gebruikers Chinese karakters invoerden, deed een cloudgebaseerde service suggesties als er geen lokale suggesties beschikbaar waren. Het door de ontwikkelaars bedachte encryptiesysteem bleek echter kwetsbaar voor een CBC padding oracle-aanval. Hierdoor kon een aanvaller versleuteld netwerkverkeer ontcijferen en de ingevoerde teksten van de gebruiker zien. Bij de Android-versie van de app konden de onderzoekers zelfs de helft van de symmetrische sleutels achterhalen die voor encryptie werden gebruikt. Na hun ontdekking waarschuwden de onderzoekers Tencent, de ontwikkelaar achter de app, over de beveiligingsproblemen. Aanvankelijk werder niet gereageerd, maar na herhaalde meldingen erkende Tencent de ernst van de situatie en bracht updates uit voor de app op alle platforms. Citizen Lab benadrukte het belang voor ontwikkelaars om gevestigde encryptiesystemen te gebruiken in plaats van hun eigen systemen te creëren. (bron)
Microsoft Office Update Neutraliseert Actief Misbruikte RCE Kwetsbaarheid
Op 8 augustus 2023 heeft Microsoft een cruciale update voor Microsoft Office uitgebracht. Deze update is gericht op het voorkomen van de exploitatie van een kwetsbaarheid in externe code-uitvoering (RCE), aangeduid als CVE-2023-36884. Deze kwetsbaarheid werd al actief uitgebuit door kwaadwillende actoren. Deze kwetsbaarheid werd voor het eerst onthuld in juli, waarbij Microsoft destijds geen patch beschikbaar stelde maar wel advies gaf over mogelijke mitigatie. Oorspronkelijk werd deze fout gemeld als een RCE-probleem specifiek voor Microsoft Office. Echter, na verdere evaluatie bleek dat het eigenlijk een externe code-uitvoering betrof voor Windows Search. De RomCom-dreigingsgroep had dit beveiligingslek gebruikt om kwaadaardige code op afstand uit te voeren via geïnfecteerde Microsoft Office-documenten. Hun doel was zowel financieel gewin als spionage. Microsoft benadrukt het belang van deze update door te stellen dat het een "diepgaande verdediging" biedt tegen dergelijke aanvallen. Het bedrijf adviseert gebruikers dringend om zowel de nieuwste Office-updates als de Windows-updates van deze maand te installeren. De kwetsbaarheid kan door aanvallers worden misbruikt door speciaal vervaardigde bestanden te verzenden via e-mail of berichtcommunicatie. Hoewel interactie van de gebruiker nodig is om het bestand te openen, kunnen aanvallers gemakkelijk overtuigende lokmiddelen creëren om slachtoffers te verleiden. Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot aanzienlijke schade, waaronder verlies van vertrouwelijkheid, integriteit en beschikbaarheid van gegevens. Het zou aanvallers ook in staat stellen om beveiligingsmechanismen zoals Mark of the Web (MoTW) te omzeilen. Tot slot zijn de updates nu beschikbaar voor Microsoft Office 2013, 2016, Suite en apps voor 2019, en ondersteunen zowel 32-bits als 64-bits systemen. De ernst van deze update is als "matig" beoordeeld. (bron)
Belangrijke Update voor Windows 11 Geïntroduceerd
Op 8 augustus 2023 heeft Microsoft de cumulatieve update KB5029263 voor Windows 11 22H2 uitgebracht. Deze update is bedoeld om diverse beveiligingsproblemen aan te pakken en brengt 27 wijzigingen, verbeteringen en oplossingen voor bugs met zich mee. Enkele belangrijke punten van deze update zijn: - De update is onderdeel van de Augustus 2023 Patch Tuesday en pakt 87 kwetsbaarheden aan, waaronder twee nuldagen in diverse Microsoft-producten. - Na installatie van deze update zal het buildnummer van Windows 11 22H2 veranderen naar 22621.2134. - Verbeteringen zijn onder andere nauwkeurigere helderheidsinstellingen en betere herkenning van Chinese karakters in handschrifthulpmiddelen. - Er zijn ook enkele bugs opgelost, zoals een probleem waarbij bepaalde weergave- en audioapparaten verdwenen na het ontwaken uit slaapstand en een bug die VPN-prestatieproblemen veroorzaakte voor gebruikers van draadloze mesh-netwerken. - Microsoft heeft tevens extra stuurprogramma's toegevoegd aan de Windows Kernel Vulnerable Driver Blocklist om aanvallen te voorkomen. - Er is echter een bekend probleem met deze update: het aanbieden van pakketten werkt niet zoals verwacht. Gebruikers kunnen deze update installeren via de Windows-update instellingen of handmatig downloaden van de Catalogus voor Microsoft-updates. (bron, bron2, bron3)
Microsoft's Patch Tuesday van Augustus 2023
Op 8 augustus 2023 heeft Microsoft zijn maandelijkse Patch Tuesday uitgebracht, waarbij in totaal 87 beveiligingsproblemen zijn aangepakt. Onder deze problemen bevonden zich twee actief uitgebuite zero-day-kwetsbaarheden en drieëntwintig kwetsbaarheden gerelateerd aan het uitvoeren van externe code. Hoewel alle 23 RCE-bugs zijn opgelost, heeft Microsoft slechts zes daarvan als 'kritiek' bestempeld. De kwetsbaarheden zijn onderverdeeld in verschillende categorieën, waaronder 18 voor privilegeverhoging, 3 voor beveiligingsbypass, 10 voor informatieverschaffing, 8 voor ontkenning van service en 12 voor spoofing. Daarnaast zijn er twaalf kwetsbaarheden in Microsoft Edge (gebaseerd op Chromium) die eerder deze maand zijn aangepakt. Twee van de meest opvallende kwetsbaarheden waren ADV230003, een openbaar bekende kwetsbaarheid in Microsoft Office, en CVE-2023-38180, een kwetsbaarheid in .NET en Visual Studio die kan leiden tot een Denial of Service-aanval. De eerste werd actief uitgebuit door de RomCom-hackgroep, die nu bekend staat als 'Underground'. Naast de updates van Microsoft hebben ook andere bedrijven, waaronder Adobe, AMD, Cisco en Google, beveiligingsupdates uitgebracht voor hun producten in augustus 2023. (bron)
Nieuwe Windows 10 Updates KB5029244 en KB5029247 Gelanceerd
Op 8 augustus 2023 heeft Microsoft twee nieuwe cumulatieve updates voor Windows 10 uitgebracht, namelijk KB5029244 en KB5028168. Deze updates zijn specifiek voor de versies 22H2, 21H2 en 1809 van het besturingssysteem. Het doel van deze updates is om diverse problemen op te lossen en nieuwe functies toe te voegen. Als onderdeel van de Patch Tuesday van augustus 2023 zal Microsoft in de komende dagen automatisch beveiligingsupdates installeren. Deze updates bevatten essentiële beveiligingsoplossingen. Gebruikers die de update direct willen installeren, kunnen dit doen via 'Instellingen', vervolgens 'Windows Update' en dan 'Controleer op updates' selecteren. De KB5029244 update bevat een reeks bugfixes. Enkele van de opgeloste problemen zijn: - Een fout die kan optreden tijdens het spelen van een spel, wat leidt tot een "Timeout Detection and Recovery (TDR) error". - Een bug die bepaalde display- en audioapparaten laat verdwijnen na het ontwaken van de computer uit slaapstand. - VPN-problemen die sommige gebruikers ondervonden, zijn ook aangepakt. Deze update lost een probleem op waarbij sommige VPN-clients geen verbinding konden maken. - Tot slot heeft Microsoft een zoekinterface-glitch gerepareerd die het Start-menu blokkeerde en gebruikers verhinderde het zoekpaneel te sluiten. Voor een volledige lijst van fixes, bugs en wijzigingen kunnen gebruikers terecht in het KB5029244 support bulletin. (bron)
Groot aantal MikroTik-routers missen cruciale beveiligingsupdate
Volgens het securitybedrijf Censys zijn er ongeveer 450.000 MikroTik-routers die nog steeds een essentiële beveiligingsupdate missen. Deze update adresseert een kwetsbaarheid, aangeduid als CVE-2023-30799, waardoor aanvallers super-admin rechten op de router kunnen verkrijgen. MikroTik heeft in oktober van het vorige jaar en in juni van dit jaar updates uitgebracht, maar veel routers hebben deze nog niet geïnstalleerd, zelfs niet na recente berichtgeving over het beveiligingslek eind juli. De kwetsbaarheid maakt het voor een aanvaller met admin-toegang mogelijk om super-admin te worden. Onderzoeker Jacob Baines benadrukt dat het feit dat een aanvaller als admin moet kunnen inloggen, de kwetsbaarheid niet minder gevaarlijk maakt. Het standaard besturingssysteem van MikroTik-routers, RouterOS, wordt geleverd met een "admin" gebruiker. Het standaardwachtwoord voor deze gebruiker is een lege string. Pas vanaf RouterOS versie 6.49, gelanceerd in oktober 2021, worden beheerders gevraagd dit lege wachtwoord te vervangen. Bovendien hanteert RouterOS geen strikte wachtwoordregels, waardoor beheerders elk wachtwoord kunnen kiezen, ongeacht de eenvoud. Op 27 juli heeft MikroTik een blogpost gepubliceerd waarin het beheerders aanspoort om de updates te installeren. Censys adviseert daarnaast om een sterk wachtwoord in te stellen en ervoor te zorgen dat de beheerdersinterface niet direct toegankelijk is vanaf het internet. Door de beheerdersinterface niet onnodig bloot te stellen aan het publieke internet, kan het aanvalsoppervlak van een organisatie aanzienlijk worden verkleind. (bron, bron2)
Kwetsbaarheden in WordPress-plug-ins blijven onopgelost
In 2023 zijn er 2.500 kwetsbaarheden gemeld in plug-ins voor het populaire websiteplatform WordPress. Ondanks deze alarmerende cijfers zijn er voor honderden van deze beveiligingsproblemen nog geen updates uitgebracht. Dit is naar voren gebracht door het beveiligingsbedrijf Wordfence. Uit gegevens van W3Techs blijkt dat maar liefst 43,2% van alle websites wereldwijd op WordPress draait. Hoewel er dit jaar slechts zes kwetsbaarheden direct in WordPress zelf zijn gerapporteerd, ligt het aantal voor de bijbehorende plug-ins aanzienlijk hoger, namelijk 2.500. De meeste van deze kwetsbaarheden betreffen cross-site scripting, waardoor aanvallers potentieel cookies van websitebeheerders kunnen stelen en zo controle over de website kunnen krijgen. Wordfence heeft verder aangegeven dat het merendeel van deze kwetsbaarheden, ongeveer 2.000, een gemiddelde impact heeft. Echter, van de 2.500 gemelde kwetsbaarheden zijn er 678 nog niet aangepakt door de ontwikkelaars. Dit is meer dan een kwart van alle bekende beveiligingsproblemen. Veel van deze plug-ins worden niet meer actief ondersteund door hun ontwikkelaars. Hoewel WordPress vaak dergelijke plug-ins uit hun repository verwijdert, blijft het probleem bestaan voor websites die deze plug-ins al hebben geïnstalleerd. Daarom adviseert Wordfence websitebeheerders dringend om deze risicovolle plug-ins te verwijderen voordat ze worden geëxploiteerd door kwaadwillenden. (bron, bron2, bron3)
Kritieke Kwetsbaarheden Bedreigen Androidtelefoons
Op 8 augustus 2023 meldde Security.NL dat Androidtelefoons vatbaar zijn voor een ernstige kwetsbaarheid waarmee ze op afstand kunnen worden overgenomen zonder enige interactie van de gebruiker. Google heeft in reactie hierop beveiligingsupdates uitgebracht. In de patchronde van augustus zijn 48 kwetsbaarheden in Android aangepakt, waarvan vier als zeer kritiek zijn bestempeld. De gevaarlijkste van deze kwetsbaarheden, aangeduid als CVE-2023-21273, bevindt zich in het System-onderdeel van Android. Deze stelt aanvallers in staat om op afstand code uit te voeren op de telefoon zonder enige interactie van de gebruiker of speciale toestemmingen. Hoewel Google geen specifieke details heeft gegeven, suggereren ze dat een aanvaller fysiek "dichtbij" het doelapparaat moet zijn, wat kan wijzen op een mogelijke Bluetooth-aanval. Een andere kritieke kwetsbaarheid, CVE-2023-21282, bevindt zich in het Media Framework van Android en maakt ook externe code-uitvoering mogelijk, maar vereist wel gebruikersinteractie. De exacte aard van deze interactie is echter niet gespecificeerd door Google. Een derde kwetsbaarheid, CVE-2023-21264, in de Android-kernel, kan een kwaadaardige app of gebruiker met bestaande toegang in staat stellen zijn rechten te verhogen. De laatste kritieke kwetsbaarheid, CVE-2022-40510, is te vinden in een component van chipfabrikant Qualcomm. Hierdoor kan een aanvaller via een telefoongesprek geheugencorruptie veroorzaken. Deze specifieke kwetsbaarheid heeft een impactscore van 9,8 op een schaal van 10. Google heeft updates uitgebracht voor Android-versies 11, 12, 12L en 13. Hoewel fabrikanten van Androidtoestellen een maand geleden zijn geïnformeerd over deze kwetsbaarheden, is het niet gegarandeerd dat alle toestellen de updates zullen ontvangen. Sommige toestellen krijgen mogelijk geen updates meer van hun fabrikant, of de updates worden later uitgebracht. (bron)
Synology repareert kritiek lek in SRM-software voor routers
Voor de derde keer in 2023 heeft Synology een patch uitgebracht voor een ernstige kwetsbaarheid in zijn SRM-software, die wordt gebruikt voor het besturingssysteem van zijn routers. De recente update, genaamd Versie 1.3.1-9346 Update 6, is bedoeld om kritieke kwetsbaarheden in de software aan te pakken. Deze kwetsbaarheden zouden hackers de mogelijkheid kunnen geven om schade aan te richten bij zowel individuele gebruikers als bedrijven die vertrouwen op de wifi-routers van Synology. De risico's van deze kwetsbaarheden zijn aanzienlijk. Aanvallers zouden op afstand toegang kunnen krijgen tot bestanden, gevoelige informatie kunnen verzamelen, webcode of HTML kunnen injecteren en zelfs man-in-the-middle-aanvallen kunnen uitvoeren. Als ze over inloggegevens beschikken, kunnen ze de router zelfs willekeurige commando's laten uitvoeren of DDoS-aanvallen starten.Systemen die niet zijn bijgewerkt, lopen een hoog risico op schade. Eerdere kwetsbaarheden dit jaar waren gerelateerd aan de ingebouwde VPN-functionaliteit van de routers. Ondanks de geavanceerde en uitgebreide software van Synology's routers, die is geïnspireerd op hun DSM-software voor NAS-systemen, zijn er duidelijke beveiligingsproblemen aan het licht gekomen. Gelukkig reageert Synology meestal snel met patches en kunnen gebruikers de automatische installatie van deze patches configureren in SRM. Gezien de ernst van deze dreigingen wordt gebruikers dringend geadviseerd hun systemen zo snel mogelijk bij te werken. In het verleden hebben aanvallers snel gebruik gemaakt van publiekelijk bekende bugs, wat de noodzaak van snelle actie onderstreept. (bron)
Microsoft lost beveiligingsfout op na kritiek van Tenable CEO
Op 4 augustus 2023 rapporteerde Sergiu Gatlan dat Microsoft een beveiligingsfout heeft verholpen in hun Power Platform Custom Connectors-functie. Deze fout maakte het mogelijk voor niet-geverifieerde aanvallers om toegang te krijgen tot cross-tenant applicaties en de gevoelige gegevens van Azure-klanten. Het probleem kwam aan het licht nadat de CEO van Tenable, een cyberbeveiligingsbedrijf, Microsoft bekritiseerde en hen "grof onverantwoordelijk" noemde. De kern van het probleem lag in ontoereikende toegangscontrolemaatregelen voor Azure Function-hosts die door deze connectoren werden gebruikt. Hoewel interacties met deze connectoren normaal gesproken via geauthenticeerde API's plaatsvonden, werden verzoeken aan de Azure-functie gedaan zonder de noodzakelijke authenticatie. Dit opende de deur voor aanvallers om OAuth-client-ID's en geheimen te onderscheppen. Tenable, het bedrijf dat de fout ontdekte, bracht Microsoft hier op 30 maart van op de hoogte. Tenable's CEO, Amit Yoran, gaf aan dat hun team authenticatiegeheimen van een bank had ontdekt door deze fout. Ondanks de ernst van het probleem, nam Microsoft ruim vijf maanden de tijd om de fout volledig te verhelpen. Het bedrijf kwam uiteindelijk op 2 augustus met een oplossing, nadat een eerdere poging in juni als onvolledig werd bestempeld door Tenable. (bron, bron2, bron3)
Kritieke PaperCut-bug Riskeert Ongepatchte Windows Servers
PaperCut, een bekend printbeheersoftwarebedrijf, heeft een ernstig beveiligingslek in zijn NG/MF software gerepareerd. Dit lek, aangeduid als CVE-2023-39143, maakt het voor niet-geverifieerde aanvallers mogelijk om externe code uit te voeren op ongepatchte Windows-servers. Het lek ontstond door twee traversale zwakheden die zijn geïdentificeerd door Horizon3's beveiligingsonderzoekers. Deze zwakheden stellen kwaadwillenden in staat om bestanden te lezen, verwijderen en uploaden op gecompromitteerde systemen zonder enige interactie van de gebruiker. Het probleem treft voornamelijk servers met een specifieke niet-standaardconfiguratie waarbij de instelling voor externe apparaatintegratie is ingeschakeld. Horizon3 meldde dat de meeste Windows PaperCut-servers deze instelling hebben ingeschakeld, vooral in bepaalde versies zoals PaperCut NG Commercial en PaperCut MF. Beheerders kunnen een specifieke opdracht uitvoeren om te controleren of hun server kwetsbaar is. Als ze niet direct beveiligingsupdates kunnen toepassen, wordt geadviseerd om alleen vertrouwde IP-adressen toe te voegen aan een allowlist. Een recente Shodan-zoekopdracht toonde aan dat ongeveer 1.800 PaperCut-servers online zijn, maar niet allemaal zijn ze kwetsbaar voor deze specifieke aanval. Eerder dit jaar werden PaperCut-servers ook getarget door ransomwarebendes en staatshackers, die gebruik maakten van andere kritieke kwetsbaarheden. Na de onthulling van deze kwetsbaarheden hebben Horizon3-onderzoekers een Proof-of-Concept exploit vrijgegeven, wat leidde tot meer aanvallen op kwetsbare servers. Microsoft heeft deze aanvallen gelinkt aan bekende ransomwarebendes zoals Clop en LockBit. (bron, bron2, bron3, bron4)
Oud Fortinet-lek blijft een Top 12 bedreiging door nalatigheid in patchbeheer
Een jaren oude kwetsbaarheid in Fortinet SSL VPN's blijft een van de meest misbruikte beveiligingslekken, volgens de Top 12 van het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA). Het CISA heeft vastgesteld dat aanvallers vaker misbruik maken van oude, bekende kwetsbaarheden dan van recente beveiligingslekken. In de Top 12 van 2022 staan vijf kwetsbaarheden van dat jaar, terwijl de overige zeven van eerdere jaren zijn, waaronder CVE-2018-13379, een kritieke kwetsbaarheid in Fortinet SSL VPN's. Deze kwetsbaarheid, waarvoor in mei 2019 een beveiligingsupdate is uitgebracht, stelt een ongeautoriseerde aanvaller in staat om systeembestanden te downloaden en zo de inloggegevens van ingelogde VPN-gebruikers te bemachtigen. Het CISA stelt dat het voortdurende misbruik van deze Fortinet-kwetsbaarheid aantoont dat veel organisaties er niet in slagen om hun software tijdig te patchen, waardoor ze kwetsbaar blijven voor aanvallen. Daarnaast waren er drie beveiligingslekken in Microsoft Exchange waarvoor in juli 2021 patches van Microsoft verschenen, die vorig jaar nog steeds in veel systemen aanwezig waren. Het CISA adviseert organisaties om beveiligingsupdates snel uit te rollen en software die het einde van haar levensduur heeft bereikt en niet meer wordt ondersteund, te vervangen. (bron)
Kritiek Beveiligingslek in Ivanti's MobileIron Core Onthuld
Het IT-softwarebedrijf Ivanti heeft een nieuw kritiek beveiligingslek in zijn MobileIron Core mobiele apparaatbeheersoftware onthuld. De fout, aangeduid als CVE-2023-35082, is een extern niet-geverifieerd beveiligingslek voor API-toegang dat invloed heeft op MobileIron Core versie 11.2 en ouder. Bij succesvolle exploitatie krijgen aanvallers toegang tot persoonlijk identificeerbare informatie (PII) van gebruikers van mobiele apparaten en kunnen ze gecompromitteerde servers achterdeuren geven door webshells te implementeren wanneer de bug met andere gebreken wordt geketend. Ivanti heeft aangegeven geen beveiligingspatches uit te geven om deze fout op te lossen, omdat deze al is aangepakt in nieuwere versies van het product, nu bekend als Endpoint Manager Mobile (EPMM). Volgens het bedrijf is upgraden naar de nieuwste versie van EPMM de beste manier om uw omgeving tegen bedreigingen te beschermen. Het cybersecuritybedrijf Rapid7, dat de bug ontdekte en rapporteerde, biedt compromisindicatoren (IOCs) om verdedigers te helpen bij het detecteren van tekenen van een CVE-2023-35082-aanval en dringt er bij Ivanti-klanten op aan om MobileIron Core-software onmiddellijk bij te werken naar de nieuwste versie. Meer dan 2.200 MobileIron-gebruikersportalen zijn momenteel online blootgesteld, inclusief meer dan een dozijn verbonden met Amerikaanse lokale en overheidsinstanties. (bron, bron2, bron3)
We would consider this a bypass for the fix for CVE-2023-35078, but notably, it only works on unsupported versions of MobileIron Core (11.2 and below). CVE-2023-35082 could be chained with CVE-2023-35081 to allow an attacker write malicious webshell files to the appliance.
— Caitlin Condon (@catc0n) August 2, 2023
Cisco ontdekt bijna 300 kwetsbaarheden in populaire routers
Onderzoekers van Cisco hebben bijna driehonderd kwetsbaarheden ontdekt in populaire routers die veel worden gebruikt door eindgebruikers en mkb-bedrijven. Deze beveiligingslekken kunnen aanvallers toegang geven tot de apparaten en hen in staat stellen verdere aanvallen uit te voeren. Volgens Cisco worden deze beveiligingsproblemen veroorzaakt doordat fabrikanten of gebruikers basale beveiligingsmaatregelen niet implementeren. Het onderzoek volgde op de ontdekking van de VPNFilter-malware in 2018, die apparaten van verschillende merken zoals Linksys, MikroTik, Netgear, QNAP, Asus, D-Link, Ubiquiti, Upvel, Huawei en ZTE kan infecteren. Routers zijn een aantrekkelijk doelwit voor aanvallers vanwege hun positie in het netwerk en de brede toepassing. Hoewel de beveiliging van routers de afgelopen jaren is verbeterd, benadrukt Cisco het belang van het nemen van bepaalde maatregelen. Deze omvatten het uitschakelen van onnodige functies en services, het standaard niet beheren van de router vanaf het internet, het niet vertrouwen van gebruikersinvoer, het up-to-date houden van de door fabrikanten gebruikte third-party code en het niet vertrouwen op ongedocumenteerde en obscure diagnostische functies en inloggegevens. Elk van de ontdekte kwetsbaarheden valt in een van deze categorieën, aldus Cisco. (bron)
Kritiek Beveiligingslek in BeyondTrust Remote Support en Privileged Remote Access
Een ernstige kwetsbaarheid is ontdekt in twee oplossingen van het beveiligingsbedrijf BeyondTrust, namelijk Remote Support en Privileged Remote Access. Deze kwetsbaarheid kan een ongeautoriseerde aanvaller op afstand toegang geven tot het systeem. Door het versturen van een speciaal geprepareerde HTTP-request kan de aanvaller commando's uitvoeren op het systeem waarop de software draait. De kwetsbaarheid heeft nog geen CVE-nummer, maar de impact is beoordeeld met een 10.0 op een schaal van 1 tot 10. De versies 23.2.1 en 23.2.2 van beide softwareoplossingen zijn kwetsbaar. BeyondTrust is van plan het probleem in versie 23.2.3 te verhelpen, maar deze versie is nog niet beschikbaar. In de tussentijd is er een patch beschikbaar gesteld. De informatie over deze kwetsbaarheid is alleen beschikbaar via het klantenportaal, maar IT-journalist Brian Krebs heeft besloten de informatie via Mastodon te delen. Voor klanten die de cloudversie gebruiken, is het belangrijk om te weten dat deze sites al de patch hebben ontvangen en dat deze zonder onderbrekingen is toegepast. (bron)
CoDWorm Infecteert Call of Duty Spelers via Jaren Oude Kwetsbaarheid
Een computerworm, genaamd "CoDWorm", infecteert spelers van het spel Call of Duty: Modern Warfare 2 door gebruik te maken van een kwetsbaarheid die al in 2018 bij speluitgever Activision was gemeld. De worm verspreidt zich via "gehackte lobbies" op het gameplatform Steam, waarbij een dll-bestand van het spel wordt vervangen. Beveiligingsonderzoeker Maurice Heumann onthulde dat de aanvallers waarschijnlijk een kwetsbaarheid gebruikten die hij in 2018 had gerapporteerd maar die nooit werd gepatcht. Volgens Heumann is het beveiligingslek zeer eenvoudig te misbruiken, aangezien het een simpele buffer overflow betreft met weinig beperkingen. Ondanks de ernst van de situatie heeft Activision geen verdere verklaring gegeven. Het bedrijf heeft onlangs de servers van het spel offline gehaald vanwege een probleem, maar heeft niet gereageerd opvragen van TechCrunch. Het doel van de malware is nog onbekend. Deze situatie heeft geleid tot kritiek op Activision, met beschuldigingen van grove nalatigheid. (bron)
BleedingPipe-kwetsbaarheid bedreigt Minecraft-servers en -spelers
Hackers exploiteren actief een kwetsbaarheid genaamd 'BleedingPipe' in Minecraft-mods om kwaadaardige opdrachten uit te voeren op servers en clients, waardoor ze controle over de apparaten kunnen krijgen. BleedingPipe is een kwetsbaarheid die wordt veroorzaakt door het onjuiste gebruik van deserialisatie in de 'ObjectInputStream'-klasse in Java, die wordt gebruikt om netwerkpakketten uit te wisselen tussen servers en clients. Aanvallers sturen speciaal vervaardigde netwerkpakketten naar kwetsbare Minecraft-modservers om de servers over te nemen. Deze gehackte servers kunnen vervolgens worden gebruikt om de gebreken in dezelfde Minecraft-mods te benutten die worden gebruikt door spelers die verbinding maken met de server, waardoor ze ook malware op die apparaten kunnen installeren. De kwetsbaarheid van BleedingPipe is ontdekt in veel Minecraft-mods, waaronder EnderCore, LogisticsPipes, BDLib, Slim bewegen, Brazier, DankNull, Gadomancy, Advent of Ascension, Astral Sorcery, JourneyMap, Minecraft Comes Alive, RebornCore en Thaumic Tinkerer. Het is echter belangrijk op te merken dat deze lijst niet volledig is en dat BleedingPipe mogelijk veel meer mods beïnvloedt. De Minecraft-beveiligingsgemeenschap (MMPA) meldt dat een bedreigingsactor actief op internet zoekt naar Minecraft-servers die door deze fout worden getroffen om aanvallen uit te voeren. Om je diensten en apparaten te beschermen tegen BleedingPipe, wordt aangeraden om de nieuwste release van getroffen mods te downloaden van de officiële releasekanalen. Als de mod die je gebruikt de kwetsbaarheid niet heeft aangepakt via een beveiligingsupdate, moet je migreren naar een fork die de fixes heeft overgenomen. Het MMPA-team heeft ook een 'PipeBlocker'-mod uitgebracht om zowel forge-servers als clients te beschermen door 'ObjectInputSteam'-netwerkverkeer te filteren. (bron, bron2, bron3)
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers