Kwetsbaarheden CVE's
Kwetsbaarheden nieuws
QNAP looft 20.000 dollar uit voor ernstige kwetsbaarheden in NAS-systemen
NAS-fabrikant QNAP is een bugbountyprogramma gestart waarbij het onderzoekers 20.000 dollar betaalt voor het melden van ernstige kwetsbaarheden in de software en apparatuur van het bedrijf. De afgelopen jaren zijn NAS-systemen van QNAP geregeld het doelwit van ransomware-aanvallen geworden. Vaak maakten aanvallers daarbij gebruik van bekende kwetsbaarheden waardoor eigenaren van de NAS-systemen de updates niet hadden geïnstalleerd, maar ook de inzet van zerodays is voorgekomen. Het nu gelanceerde bugbountyprogramma geldt voor de besturingssystemen, applicaties en clouddiensten van QNAP. De hoogste beloningen zijn te verdienen met het vinden van beveiligingslekken in QTS, QuTS hero en QuTScloud, de besturingssystemen die op de NAS-systemen van QNAP draaien. Daarvoor is een maximale beloning van 20.000 dollar beschikbaar. Kwetsbaarheden in applicaties en clouddiensten worden respectievelijk met maximaal 10.000 en 5.000 dollar beloond.
Kritieke kwetsbaarheid in Fortinet FortiNAC wordt actief misbruikt na verschijnen beveiligingsupdate
Een kritieke kwetsbaarheid in Fortinet FortiNAC wordt nog geen week na het verschijnen van de beveiligingsupdate actief misbruikt voor het aanvallen van organisaties, zo waarschuwen securitybedrijven. Fortinet FortiNAC is een "network access control" oplossing waarmee organisaties kunnen bepalen welke apparaten toegang tot het netwerk mogen krijgen. Ook geeft de oplossing een overzicht van alle apparaten op het netwerk, bepaalt het risico van elk endpoint en biedt netwerksegmentatie. Zo kunnen organisaties instellen dat alleen apparaten met een bepaald patchniveau verbinding mogen maken. FortiNAC kan worden geïnstalleerd op een virtual machine of fysieke server. Op 16 februari kwam Fortinet met een patch voor het product. Een kritiek lek in de FortiNAC-webserver, aangeduid als CVE-2022-39952, maakt het voor een ongeauthenticeerde aanvaller mogelijk om naar het systeem te schrijven en willekeurige code als root uit te voeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Twee dagen geleden verscheen er proof-of-concept exploitcode voor de kwetsbaarheid. Securitybedrijven GreyNoise en Dark Sky liet gisterenavond weten dat er inmiddels actief misbruik van het lek wordt gemaakt. Ook de Shadowserver Foundation, een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich met de bestrijding van botnets en cybercrime bezighoudt, meldt dat het aanvallen heeft waargenomen. Bij de aanvallen wordt een reverse shell geïnstalleerd waarmee aanvallers toegang tot de apparaten krijgen en zo verdere aanvallen tegen het achterliggende netwerk kunnen uitvoeren.
Kritieke kwetsbaarheid ontdekt in ClamAV antivirussoftware van Cisco met risico op overname systeem
Vorige week verscheen er een beveiligingsupdate voor een kritieke kwetsbaarheid in de gratis opensource-virusscanner ClamAV. Inmiddels is er ook een proof-of-concept exploit openbaar geworden om misbruik van het beveiligingslek te maken, zo laat Cisco weten. Via de kwetsbaarheid is remote code execution of een denial of service mogelijk. Een aanvaller zou zo in het ergste geval via de antivirussoftware het systeem kunnen overnemen. Door ClamAV een speciaal geprepareerde HFS+ partitie te laten scannen kan een heap buffer overflow write ontstaan en kan een aanvaller willekeurige code met rechten van de ClamAV-scanner op het systeem uitvoeren. De impact van de kwetsbaarheid, aangeduid als CVE-2023-20032, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. ClamAV is onderdeel van Cisco. Het Cisco Product Security Incident Response Team (PSIRT) meldde gisteren dat er een proof-of-concept exploit beschikbaar is gekomen waarmee er een buffer overflow kan worden veroorzaakt, om vervolgens het ClamAV-proces te laten crashen. Daarnaast is er ook uitgebreide technische informatie over de kwetsbaarheid verschenen. Vooralsnog is Cisco niet bekend met aanvallen die misbruik van het beveiligingslek maken.
Servers met R1Soft Server Backup Manager kwetsbaar voor backdoor na exploit van ZK Java Framework-lek
Aanvallers zijn erin geslaagd om honderden servers waarop de R1Soft Server Backup Manager draait te voorzien van een backdoor en via de software verbonden clients aan te vallen. Dat stelt securitybedrijf Fox-IT op basis van eigen onderzoek. Server Backup Manager is een oplossing waarmee organisaties back-ups van werkstations en andere systemen binnen hun netwerk kunnen maken. Hiervoor wordt er een "agent" op de systemen geïnstalleerd die met verhoogde rechten draait en voor de connectie met de back-upserver zorgt. Vorig jaar mei verscheen er een beveiligingsupdate voor een kwetsbaarheid in het ZK Java Framework (CVE-2022-36537). De R1Soft Server Backup Manager blijkt van het ZK Framework gebruik te maken en onderzoekers demonstreerden afgelopen oktober hoe de kwetsbaarheid is te gebruiken om de authenticatie te omzeilen en vervolgens willekeurige code uit te voeren op de server en alle verbonden agents. Fox-IT deed naar eigen zeggen onderzoek bij een organisatie waar de aanvallers via een kwetsbare back-upserver waren binnengedrongen en vervolgens toegang tot verbonden systemen hadden gekregen. Verder onderzoek wees uit dat de aanvallers al op 29 november misbruik van de kwetsbaarheid hadden gemaakt. Op 9 december verschenen er proof-of-concept exploits voor het beveiligingslek. Op kwetsbare back-upservers installeerden aanvallers een malafide driver die als backdoor fungeert. Onderzoekers ontdekten vorige maand 286 R1Soft-servers die van de backdoor waren voorzien. Het grootste deel daarvan werd in de Verenigde Staten, Zuid-Korea en het Verenigd Koninkrijk aangetroffen. Fox-IT waarschuwde het Nationaal Cyber Security Centrum (NCSC), dat vervolgens nationale Computer Emergency Response Teams informeerde, zodat die weer de getroffen organisaties konden inlichten. Hierdoor is het aantal back-upservers met een backdoor inmiddels naar 146 gedaald.
Kritieke kwetsbaarheden in IBM Aspera Faspex en Mitel MiVoice misbruikt
Aanvallers maken actief misbruik van kritieke kwetsbaarheden in IBM Aspera Faspex en Mitel MiVoice Connect voor het aanvallen van organisaties, zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Het zou onder andere om ransomware-aanvallen gaan. IBM Aspera Faspex is een webapplicatie voor het uitwisselen van bestanden en draait op een Aspera-server. Op 26 januari kwam IBM met een beveiligingsupdate voor een kritieke kwetsbaarheid in Aspera Faspex, aangeduid als CVE-2022-47986. Door een speciaal geprepareerde API-call te versturen kan een aanvaller willekeurige code op het systeem uitvoeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Op 13 februari meldde de Shadowserver Foundation, een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich met de bestrijding van botnets en cybercrime bezighoudt, dat aanvallers misbruik van de kwetsbaarheid maken. De eerste gedetecteerde aanvalspogingen bleken van 3 februari te dateren, een week na het uitkomen van de beveiligingsupdate. Volgens beveiligingsonderzoeker Raphael Mendonca wordt CVE-2022-47986 gebruikt voor ransomware-aanvallen op kwetsbare servers. Ook het CISA meldt nu misbruik van het Aspera-lek. Tevens stelt de Amerikaanse overheidsinstantie dat aanvallers ook misbruik maken van twee kwetsbaarheden in Mitel MiVoice Connect. Het gaat om CVE-2022-41223 en CVE-2022-40765. Mitel MiVoice Connect is een voip-platform voor organisaties dat communicatie- en collaboration tools via één interface aanbiedt. Het draait zowel op fysieke als virtuele hardware. Via de beveiligingslekken kan een geauthenticeerde aanvaller willekeurige code of commando's op het systeem uitvoeren. Details over de aanvallen zijn niet gegeven. In het verleden is een andere kwetsbaarheid in Mitel MiVoice Connect gebruikt bij ransomware-aanvallen, zo ontdekte securitybedrijf CrowdStrike destijds. De twee Mitel-beveiligingslekken waar het CISA nu voor waarschuwt zijn ook door CrowdStrike gevonden. Het CISA heeft Amerikaanse overheidsinstanties opgedragen om de updates voor Aspera en Mitel voor 14 maart te installeren mocht dat nog niet zijn gedaan.
Apple verhelpt meer kwetsbaarheden dan eerst gemeld met recente beveiligingsupdates voor iOS en macOS
Apple heeft met recente beveiligingsupdates voor iOS en macOS meer kwetsbaarheden verholpen dan het bedrijf eerst meldde. Dat blijkt uit een update van de betreffende beveiligingsbulletins. Het gaat om macOS Ventura 13.2, iOS 16.3 en iPadOS 16.3, die op 23 januari verschenen en meerdere beveiligingslekken verhielpen. Gisteren werden de beveiligingsbulletins met drie niet eerder gemelde kwetsbaarheden bijgewerkt. Het gaat om CVE-2023-23520, CVE-2023-23530 en CVE-2023-23531. De eerste kwetsbaarheid maakt het mogelijk voor een gebruiker om willekeurige bestanden als root te lezen. De andere twee beveiligingslekken bieden een malafide app de mogelijkheid om willekeurige code buiten de sandbox uit te voeren of dit met bepaalde rechten te doen. Volgens securitybedrijf Trellix, dat CVE-2023-23530 en CVE-2023-23531 ontdekte, gaat het om een nieuwe klasse van 'privilege escalation' kwetsbaarheden, waardoor een lokale aanvaller of malafide app hogere rechten kunnen krijgen. Apple kwam eind 2021 met een mitigatie voor een zero-click exploit voor iOS, die voornamelijk uit denylists bestond. De onderzoekers van Trellix ontdekten een methode om deze denylists te legen, waardoor de eerdere aanvalsmethodes weer beschikbaar waren. Het komt vaker voor dat Apple eerder uitgegeven beveiligingsbulletins op een later moment van verdere informatie voorziet. Iets waar onder andere Google in het verleden kritiek op uitte.
Kritiek lek in virusscanner ClamAV maakt remote code execution mogelijk
De makers van de gratis opensource-virusscanner ClamAV hebben een belangrijke beveiligingsupdate uitgebracht die onder andere een kritieke kwetsbaarheid verhelpt waardoor remote code execution mogelijk is. Een aanvaller zou zo via de antivirussoftware het systeem kunnen overnemen. Het probleem is aanwezig in de HFS+ parser van de virusscanner. Door ClamAV een speciaal geprepareerde HFS+ partitie te laten scannen kan een heap buffer overflow write ontstaan en kan een aanvaller willekeurige code met rechten van de ClamAV-scanner op het systeem uitvoeren. De impact van de kwetsbaarheid, aangeduid als CVE-2023-20032, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het beveiligingslek is aanwezig in ClamAV 1.0.0 en eerder, versie 0.105.1 en eerder en versie 0.103.7. Gebruikers wordt aangeraden om te updaten naar ClamAV 0.103.8, 0.105.2 of 1.0.1.
Hyundai en Kia komen met update tegen autodiefstal via usb-kabel
Hyundai en Kia gaan in de Verenigde Staten miljoenen auto's van een gratis software-update voorzien om autodiefstallen via alleen een usb-kabel tegen te gaan. Er is zelfs een TikTok "Kia challenge" waarbij mensen laten zien hoe ze voertuigen van beide fabrikanten op eenvoudige wijze kunnen stelen. Dit heeft volgens de National Highway Traffic Safety Administration tot al zeker veertien auto-ongelukken en acht doden geleid. Volgens het politiekorps van Los Angeles is de diefstal mogelijk omdat auto's van Hyundai en Kia die tussen 2010 en 2021 zijn geproduceerd niet over een startonderbreker beschikken en door alleen een usb-kabel zijn te starten. Vanwege de golf aan autodiefstallen werden Kia en Hyundai vijf maanden geleden al in de VS aangeklaagd. De software-update die beide autofabrikanten de komende tijd gaan aanbieden verlengt het autoalarm van dertig seconden naar een minuut en vereist de aanwezigheid van de autosleutel in het contactslot om de auto te starten. Tevens biedt Hyundai stickers waarmee klanten aan mogelijke dieven kunnen laten zien dat hun voertuig over diefstalbescherming beschikt.
The Los Angeles Police Department's Commercial Crimes Division is aware of a recent social media trend regarding vehicle thefts. Please read the attached Community Alert for more information. pic.twitter.com/E5NfRcXVer
— LAPD HQ (@LAPDHQ) August 26, 2022
Citrix patcht kritieke kwetsbaarheden voor verschillende oplossingen
Citrix heeft onlangs een reeks patches uitgebracht voor kwetsbaarheden in Virtual Apps, Desktops Apps en Workspace Apps. De patches zijn de enige manier om de kwetsbaarheden te verhelpen. Volgens Citrix kunnen de ontdekte kwetsbaarheden in zijn oplossingen een hoge impact hebben op bedrijven. Via de ontdekte kwetsbaarheden zijn cybercriminelen met lokale toegang in staat de privileges van aangevallen systemen over te nemen. Zo krijgen zij dan de volledige controle over deze systemen. ‘Privilege escalation’ kan leiden tot ergere cyberaanvallen, zoals cyberspionage en aanvallen met ransomware. De cybercriminelen kunnen zo data wegsluizen, bestaande security-oplossingen onschadelijk maken en andere systemen aanvallen. Concreet gaat het om vier kwetsbaarheden. De belangrijkste is CVE-2023-24483. Dit is een onjuiste privilege management-fout die tot privilege escalation leidt voor het NT AUTHORITY\SYSTEM. NT AUTHORITY\SYSTEM is het hoogste niveau van toegangsprivileges voor Windows en gebruikers met deze rechten kunnen eenvoudig willekeurige code draaien op getroffen systemen en toegang krijgen tot gevoelige informatie. Ook kunnen deze gebruikers zonder restricties de systeemconfiguratie wijzigen. Deze kwetsbaarheid geldt voor installaties van Citrix Virtual Apps en Desktops voor versie 2212, versie 2203 LTSR voor CU2 en versie 1912 LTSR voor CU6. Twee andere kwetsbaarheden zijn CVE-2023-24484 en CVE-2023-24485. De eerste kwetsbaarheid geeft een onjuiste controlefout. Hierdoor kunnen logs worden geschreven in een directory die voor normale gebruikers niet bereikbaar is. De getroffen oplossing is Citrix Workspace App for Windows voor versie 2212, versie 2203 LTSR voor CU2 en versie 1912 LTSR voor CU6. CVE-2023-24485 is een onjuiste controlefout die tot privilege escalation leidt. Dit treft Citrix Workspace App for Windows voor versie 2212, versie 2203 LTSR voor CU2 en versie 1912 LTSR voor CU6. De laatste aangetroffen kwetsbaarheid, CVE-2023-24486, is een onjuiste toegangscontrolefout die tot het overnemen van een sessie kan leiden. Deze kwetsbaarheid treft Citrix Workspace App for Linux voor versie 2302. De security alerts van Citrix geven aan dat er geen workarounds voor deze kwetsbaarheden bestaan. Klanten met de specifieke oplossingen worden daarom met klem aangeraden te updaten naar nieuwe versies waarin de patches inmiddels standaard zijn ondergebracht. Ook CISA, de cyberwaakhond van de Amerikaanse overheid, waarschuwt eindgebruikers van Citrix Virtual Apps and Desktops en Citrix Workspace Apps de patches door te voeren.
Microsoft verhelpt drie actief aangevallen zerodays in Office en Windows
Tijdens de patchdinsdag van februari heeft Microsoft 75 kwetsbaarheden in meerdere producten verholpen, waaronder drie actief aangevallen zerodaylekken in Windows en Office. Het gaat om twee beveiligingslekken in Windows waardoor een aanvaller die al toegang tot het systeem heeft zijn rechten kan verhogen. De derde zeroday bevindt zich in Office en wordt door Microsoft omschreven als een "Security Features Bypass" kwetsbaarheid. De zerodays in Windows bevinden zich in de Windows Common Log File System Driver (CVE-2023-23376) en het Windows Graphics Component (CVE-2023-21823). In de eerstgenoemde werden vorig jaar ook al twee zerodays verholpen. In het geval van de kwetsbaarheid in Office is het mogelijk om instellingen die het openen van macro's voorkomen te omzeilen. Een andere kwetsbaarheid (CVE-2023-21716) die deze maand de aandacht verdient bevindt zich in Microsoft Word. Het beveiligingslek maakt remote code execution mogelijk. De kwetsbaarheid is via de Preview Pane (voorbeeldvenster) van Outlook te misbruiken. Een aanvaller kan een e-mail met een speciaal geprepareerd RTF-bestand versturen en zo code op het systeem van de gebruiker uitvoeren. De updates van deze maand zullen op de meeste systemen automatisch worden geïnstalleerd.
Apple brengt beveiligingsupdate uit voor actief aangevallen zerodaylek
Apple heeft vanavond beveiligingsupdates uitgebracht voor een actief aangevallen zerodaylek in iOS en macOS. De kwetsbaarheid, aangeduid als CVE-2023-23529, is aanwezig in WebKit en laat een aanvaller willekeurige code op het systeem uitvoeren. Alleen het bezoeken van een malafide of gecompromitteerde website of het te zien krijgen van een besmette advertentie is hiervoor voldoende. Dergelijke aanvallen worden ook wel een drive-by download genoemd. Details over de aanvallen zijn niet door Apple gegeven en ook de naam van de onderzoeker die het probleem aan het techbedrijf rapporteerde is niet bekendgemaakt. WebKit is de door Apple ontwikkelde browser-engine. Alle browsers op iOS en iPadOS zijn verplicht om van WebKit gebruik te maken. Het zerodaylek is verholpen in iOS 16.3.1, iPadOS 16.3.1, macOS Ventura 13.2.1 en Safari 16.3.1 voor macOS Big Sur en macOS Monterey. Updaten kan via iTunes, de updatefunctie en de Mac App Store. Vorig jaar kwam Apple ook met patches voor meerdere zerodays in WebKit.
Het Dahua-lek maakt het mogelijk om de tijd van de beveiligingscamera's aan te passen
Een kwetsbaarheid in beveiligingscamera's van fabrikant Dahua maakt het mogelijk om de systeemtijd aan te passen, waardoor cameraopnames van verkeerde timestamps worden voorzien. Volgens de ontdekkers van het beveiligingslek, aangeduid als CVE-2022-30564, kan dit grote gevolgen voor forensisch onderzoek hebben. De kwetsbaarheid is vanaf het internet te misbruiken. Alleen het versturen van een special geprepareerd http-request naar een toegankelijke camera is voldoende. Volgens de onderzoekers van securitybedrijf Redinent zijn er duizenden Dahua-camera's vanaf het internet toegankelijk. Dahua werd in oktober over het beveiligingslek ingelicht en kwam gisteren met een beveiligingsbulletin over kwetsbare modellen en versies, alsmede beschikbare firmware-updates.
OpenSSL-lek maakt dos-aanvallen en uitlezen van geheugen mogelijk
Een kwetsbaarheid in OpenSSL maakt het mogelijk om de geheugeninhoud van systemen uit te lezen of een denial of service te veroorzaken. De ontwikkelaars hebben gisteren een beveiligingsupdate voor het probleem uitgebracht. OpenSSL behoort tot de meest gebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen. Kwetsbaarheden in OpenSSL kunnen zeer grote gevolgen voor het internet hebben, zo heeft de Heartbleed Bug in het verleden aangetoond. Gisteren verschenen nieuwe versies van OpenSSL die in totaal acht kwetsbaarheden verhelpen. De impact van zeven van de acht beveiligingslekken is beoordeeld als "moderate". De resterende kwetsbaarheid, CVE-2023-0286, kreeg het stempel "high" en doet zich voor bij de verwerking van een X509-certificaat. Wanneer het gebruik van een certificate revocation list (CRL) staat ingeschakeld is het mogelijk voor een aanvaller om de inhoud van het geheugen uit te lezen of een denial of service te veroorzaken. Om de aanval mogelijk te maken moet daarnaast een aanvaller zowel de 'certificate chain' als de CRL aanbieden. Die hoeven echter niet van een geldige signature te zijn voorzien. CRL's zijn lijsten met alle ingetrokken certificaten van een bepaalde certificaatautoriteit. Als een aanvaller over slechts één van de twee controle heeft, moet de andere input al een X.400-adres als CRL distribution point hebben. Dat komt volgens het OpenSSL-ontwikkelteam niet zoveel voor. De kwetsbaarheid zou dan ook waarschijnlijk alleen applicaties raken die hun eigen functionaliteit hebben geïmplementeerd voor het ophalen van CRL's over een netwerk. Aangezien de voorwaarden voor een succesvolle aanval alleen in bepaalde gevallen zich kunnen voordoen is de impact van het beveiligingslek als 'high' beoordeeld en niet als 'critical'. Gebruikers van OpenSSL wordt aangeraden om te updaten naar OpenSSL 1.1.1t of OpenSSL 3.0.8. Voor organisaties die nog een betaald onderhoudscontract voor versie 1.0.2 hebben is update 1.0.2zg verschenen.
Serieuze beveiligingsfout gevonden in Baicells Telecom-apparatuurBaicells
Technologies, een Amerikaanse fabrikant van 4G en 5G telecommunicatie-apparatuur, heeft volgens een rapport een ernstige fout in zijn draadloze communicatie-basisstations. Een bedreigingsanalist, Rustam Amin, ontdekte dat ten minste enkele van de Nova-basisstations van Baicells kwetsbaar zijn voor een ernstige commandoinjectiefout die op afstand kan worden uitgebuit zonder authenticatie door het sturen van speciaal ontworpen HTTP-verzoeken naar het gerichte apparaat. Hierdoor kan een aanvaller shell-commando's uitvoeren met root-bevoegdheden en totale controle krijgen over een apparaat. Het bedrijf heeft snel gereageerd op de melding van Amin en een patch uitgebracht. Alhoewel andere producten ook kwetsbaar kunnen zijn, geeft het bedrijf alleen advies voor de Nova-producten.
Androidtelefoons opnieuw kwetsbaar voor bluetooth- en wifi-aanvallen
Androidtelefoons met een chipset van fabrikant Qualcomm zijn opnieuw kwetsbaar voor aanvallen via wifi en bluetooth. Google heeft updates uitgebracht om de kwetsbaarheden in Android te verhelpen. Elke maand komt Google met updates voor Android. Tijdens de patchronde van februari zijn in totaal veertig beveiligingslekken in het besturingssysteem verholpen. Het gaat zowel om kwetsbaarheden die direct in de Androidcode aanwezig zijn, als in de software van andere partijen waar Android gebruik van maakt. De impact van de kwetsbaarheden in de Androidcode maken het mogelijk voor apps om zonder enige permissies of interactie van gebruikers hun rechten te verhogen. Het zijn echter twee kwetsbaarheden in de software van chipfabrikant Qualcomm waarvan Android gebruikmaakt die opvallen. Het eerste beveiligingslek, CVE-2022-33280, betreft een kritieke kwetsbaarheid in de bluetooth-software en is op afstand uit te buiten via een AVRCP (Audio / Video Remote Control Profile) packet. De tweede kwetsbaarheid (CVE-2022-40514) bevindt zich in de wifi-firmware. Dit kritieke beveiligingslek is ook op afstand te misbruiken en kan tot een buffer overflow leiden, waardoor een aanvaller vervolgens zijn code op het toestel kan uitvoeren. De impact van deze kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Vorige maand kwam Google ook al met updates voor beveiligingslekken in de wifi- en bluetooth-software van Qualcomm. Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de februari-updates ontvangen zullen '2023-02-01' of '2023-02-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van februari aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 10, 11, 12, 12L en 13. Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.
VMware adviseert uitschakelen van OpenSLP-service op ESXi-servers
VMware adviseert organisaties om de OpenSLP-service op ESXi-servers uit te schakelen en beschikbare beveiligingsupdates te installeren. Aanleiding is de recente ransomware-aanval op ESXi-servers. De aanvallen maken misbruik van een kwetsbaarheid in de OpenSLP-implementatie van VMware binnen ESXi. SLP (Service Location Protocol) is een protocol waarmee netwerkapplicaties het bestaan, de locatie en configuratie van netwerkdiensten op het netwerk kunnen vinden. Een kwetsbaarheid in de implementatie van VMware, aangeduid als CVE-2021-21974, maakt het mogelijk voor een aanvaller om willekeurige code op kwetsbare ESXi-servers uit te voeren. ESXi, onderdeel van VMware's vSphere, is een 'bare metal hypervisor' voor het virtualiseren van besturingssystemen. De virtualisatiesoftware wordt direct op een server geïnstalleerd en kan vervolgens het gevirtualiseerde besturingssysteem laden. In februari 2021 kwam VMWare met beveiligingsupdates voor meerdere kwetsbaarheden in de software, waaronder CVE-2021-21974. Volgens VMware wordt er bij de aanvallen geen misbruik gemaakt van een onbekende kwetsbaarheid. Daarnaast zouden vooral ESXi-versies zijn getroffen waarvan de algemene supportperiode is afgelopen of die al lang geen updates meer hebben ontvangen. VMware adviseert dan ook om systemen te updaten en OpenSLP uit te schakelen. Iets wat standaard door VMware wordt gedaan sinds de lancering van ESXi 7.0 U2c in 2021. Volgens cijfers van securitybedrijf Censys zijn bij de aanval 2400 ESXi-servers versleuteld.
NCSC waarschuwt voor misbruik van oud VMWare ESXi-lek door ransomware
Het Nationaal Cyber Security Cerntrum (NCSC) van het ministerie van Justitie en Veiligheid waarschuwt Nederlandse organisaties en bedrijven voor actief misbruik van een oude kwetsbaarheid in VMWare ESXi bij ransomware-aanvallen. Het NCSC brengt vrijwel dagelijks beveiligingsadviezen uit over kwetsbaarheden in allerlei software, maar komt zelden met aparte waarschuwingen voor actief aangevallen beveiligingslekken. De waarschuwing volgt nadat eerder het Franse Computer Emergency Response Team (CERT-FR) alarm had geslagen. In het land zouden tientallen systemen besmet zijn geraakt met ransommware. ESXi, onderdeel van VMware's vSphere, is een 'bare metal hypervisor' voor het virtualiseren van besturingssystemen. De virtualisatiesoftware wordt direct op een server geïnstalleerd en kan vervolgens het gevirtualiseerde besturingssysteem laden. In februari 2021 kwam VMWare met beveiligingsupdates voor meerdere kwetsbaarheden in de software, waaronder CVE-2021-21974. Via dit beveiligingslek kan een aanvaller op afstand code op kwetsbare ESXi-servers uitvoeren. Gisteren meldde CERT-FR dat aanvallers nu van deze kwetsbaarheid misbruik maken om ransomware uit te rollen. Aanleiding voor het NCSC om de waarschuwing door te zetten en Nederlandse organisaties op te roepen hun ESXi-systemen te patchen.
⚠️Alerte CERT-FR⚠️
— CERT-FR (@CERT_FR) February 3, 2023
CERTFR-2023-ALE-015 : Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi (03 février 2023). https://t.co/KN6GDUdXcL
Actief misbruik van lekken in SugarCRM en Oracle E-Business Suite
De Amerikaanse overheid waarschuwt voor actief misbruik van kwetsbaarheden in SugarCRM en Oracle E-Business Suite. Via de beveiligingslekken kunnen aanvallers volledige controle over kwetsbare systemen krijgen. SugarCRM biedt een platform voor customer relationship management (CRM) dat op eigen servers is te installeren en als cloudoplossing beschikbaar is. Eind december werd op de Full Disclosure-mailinglist een zeroday-exploit voor SugarCRM gepubliceerd. Via de kwetsbaarheid kan een aanvaller de authenticatie omzeilen en toegang tot de SugarCRM-server krijgen. Aanvallers gebruiken het beveiligingslek om een webshell op de server te installeren, waarmee verdere aanvallen mogelijk zijn. Begin januari werd bekend dat honderden SugarCRM-servers via de kwetsbaarheid waren gecompromitteerd. SugarCRM kwam eerst met een hotfix, gevolgd door een beveiligingsupdate en meer informatie. Het probleem (CVE-2023-22952) bevindt zich in de Email Templates van SugarCRM. Door middel van een speciaal geprepareerd request is het mogelijk om via Email Templates PHP-code te injecteren. Dit is mogelijk doordat de invoer van gebruikers niet wordt gecontroleerd. Elke gebruiker kan misbruik van de kwetsbaarheid maken, er zijn geen speciale rechten vereist. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 8.8. Het beveiligingslek in Oracle E-Business Suite heeft een impactscore van 9.8 en is zonder authenticatie op afstand te misbruiken. De kwetsbaarheid is specifiek in de Oracle Web Applications Desktop Integrator aanwezig. Via deze tool is het mogelijk om Oracles E-Business Suite-applicaties met desktopapplicaties zoals Microsoft Word of Excel te integreren. Afgelopen oktober kwam Oracle met een update voor de kwetsbaarheid (CVE-2022-21587). Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security houdt een lijst bij van actief aangevallen kwetsbaarheden en kan federale overheidsinstanties opdragen om de betreffende patches voor deze beveiligingslekken voor een bepaalde datum te installeren. De lijst is nu uitgebreid met de kwetsbaarheden in SugarCRM en Oracle E-Business Suite. Federale overheidsinstanties die de software gebruiken moeten die voor 23 februari patchen. Details over de waargenomen aanvallen zijn niet gegeven.
Thunderbird controleerde niet of S/Mime-certificaten waren ingetrokken
E-mailclient Thunderbird controleerde niet of S/Mime-certificaten zijn ingetrokken, waardoor e-mail die met een ingetrokken certificaat is gesigneerd wordt weergeven alsof die over een geldige handtekening beschikt. Er is een update voor Thunderbird uitgekomen die de kwetsbaarheid, aangeduid als CVE-2023-0430 verhelpt. Via een S/Mime-certificaat is het mogelijk om een e-mail digitaal te signeren. Zo is de identiteit van de afzender te verifiëren, kan worden bevestigd dat de afzender het bericht daadwerkelijk heeft verstuurd en dat de inhoud niet is aangepast. Thunderbird kan via het Online Certificate Status Protocol (OCSP) controleren of een certificaat is ingetrokken. In dit geval hoort de e-mailclient een melding te geven dat de e-mail digitaal is gesigneerd, maar een ongeldige handtekening bevat. Thunderbird bleek deze controle echter niet uit te voeren en gaf ook bij een ingetrokken certificaat weer dat de e-mail over een geldige handtekening beschikte. Dat is in versie 102.7.1 verholpen. Daarnaast verhelpt deze versie ook een probleem met de authenticatie van Microsoft Office 365-accounts, waardoor ook deze gebruikers weer via Thunderbird kunnen inloggen. Vanwege dit specifieke probleem werd besloten om Thunderbird 102.7.0 niet automatisch onder gebruikers uit te rollen. Thunderbird kondigde een oplossing aan, maar die bleek in eerste instantie niet werken. Alleen wanneer gebruikers handmatig op updates zochten werd Thunderbird 102.7.0 daarom geïnstalleerd. Met de komst van Thunderbird 102.7.1 worden updates weer automatisch onder alle gebruikers uitgerold.
30.000 QNAP NAS-systemen onveilig door gemiste beveiligingsupdate
Dertigduizend NAS-systemen van fabrikant QNAP missen een beveiligingsupdate voor een kritieke kwetsbaarheid waardoor een aanvaller de apparaten op afstand kan overnemen, zo stelt securitybedrijf Censys op basis van eigen onderzoek. Afgelopen maandag waarschuwde QNAP voor een kritiek beveiligingslek in QTS 5.0.1 en QuTS hero h5.0.1, het besturingssysteem dat op de apparaten van de NAS-fabrikant draait. Volgens Censys gaat het om een SQL-injection kwetsbaarheid waardoor een remote aanvaller kwaadaardige code op het NAS-systeem kan injecteren. Het beveiligingslek vereist geen authenticatie en zou eenvoudig te misbruiken zijn. Het probleem is verholpen in QTS 5.0.1.2234 build 20221201 en nieuwer en QuTS hero h5.0.1.2248 build 20221215 en nieuwer. Censys voerde een scan uit op internet en detecteerde meer dan 67.000 QNAP-systemen. Van ruim dertigduizend NAS-apparaten was het mogelijk om het versienummer vast te stellen. Dan blijkt dat zo'n 550 QNAP-systemen up-to-date zijn, terwijl bijna 30.000 apparaten de kritieke beveiligingsupdate missen en daardoor risico lopen. De meeste kwetsbare systemen werden aangetroffen in de Verenigde Staten, Italië en Taiwan. In het verleden zijn kwetsbaarheden in de software van QNAP gebruikt voor ransomware-aanvallen op NAS-apparaten. Gebruikers wordt dan ook aangeraden hun systemen te updaten.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers