Kwetsbaarheden CVE's
Kwetsbaarheden nieuws
OpenSSL kondigt belangrijke beveiligingsupdate aan voor 7 februari
De makers van OpenSSL komen volgende week dinsdag 7 februari met een belangrijke beveiligingsupdate, zo heeft het ontwikkelteam vandaag bekendgemaakt. De update verhelpt één of meerdere kwetsbaarheden waarvan de impact als "High" is bestempeld. Dergelijke kwetsbaarheden worden zelden in OpenSSL gerapporteerd. Vorig jaar ging het in totaal om vier van dergelijke beveiligingslekken. Drie daarvan bevonden zich echter in versie 3.0. De meeste OpenSSL-gebruikers werken met versie 1.1.1. Details over de kwetsbaarheden die volgende week worden verholpen geeft het OpenSSL-team niet. Beveiligingslekken die als High zijn aangemerkt maken het mogelijk voor aanvallers om bijvoorbeeld private keys van servers te stelen of remote code uit te voeren. De reden dat dergelijke kwetsbaarheden als High zijn aangemerkt en niet als Critical is dat het probleem niet bij standaard configuraties voorkomt of minder eenvoudig te misbruiken is. OpenSSL versies 3.0.8, 1.1.1t en 1.0.2zg verschijnen volgende week dinsdag 7 februari tussen 14.00 en 18.00 uur. OpenSSL 1.0.2 is end-of-life, de update is dan ook alleen beschikbaar voor betalende klanten. OpenSSL behoort tot de meest gebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen. Kwetsbaarheden in OpenSSL kunnen zeer grote gevolgen voor het internet hebben, zo heeft de Heartbleed Bug in het verleden aangetoond.
Thunderbird-update wegens probleem nog altijd niet automatisch uitgerold
Een beveiligingsupdate voor e-mailclient Thunderbird is wegens een probleem met Microsoft 365 Business-accounts nog altijd niet automatisch uitgerold. Gebruikers die de patch niet handmatig hebben geïnstalleerd zijn al bijna twee weken kwetsbaar. Op 19 januari kwam Thunderbird met versie 102.7.0 die onder andere acht kwetsbaarheden verhelpt. Verschillende van deze beveiligingslekken zouden volgens het ontwikkelteam met genoeg moeite kunnen worden gebruikt om willekeurige code op het systeem van gebruikers uit te voeren. Thunderbird beschikt over een automatische updatefunctie, maar er werd besloten om versie 102.7.0 niet automatisch onder gebruikers uit te rollen. De nieuwe Thunderbird-versie zou een belangrijke aanpassing bevatten in de OAuth2-authenticatie van Microsoft 365 Business-accounts. De doorgevoerde oplossing bleek echter voor problemen te zorgen, wat de reden was om de automatische uitrol voor alle Thunderbird-gebruikers te blokkeren. Vervolgens stelden de Thunderbird-ontwikkelaars dat vorige week versie 102.7.1 zou verschijnen en een oplossing voor het authenticatieprobleem zou bevatten. Testgebruikers klaagden dat ze ook met deze versie tegen problemen aanliepen. Dit weekend meldde het ontwikkelteam dat er nu een andere oplossing is voorgesteld en naar verwachting "snel" zou moeten verschijnen, maar een exact tijdsvenster is niet bekendgemaakt.
QNAP brengt update uit voor kritiek beveiligingslek in NAS-systemen
NAS-fabrikant QNAP heeft een beveiligingsupdate uitgebracht voor een kritieke kwetsbaarheid waardoor aanvallers op afstand kwaadaardige code op NAS-systemen kunnen uitvoeren. Het beveiligingslek, aangeduid als CVE-2022-27596, bevindt zich in QTS 5.0.1 en QuTS hero h5.0.1, het besturingssysteem dat op de NAS-apparaten van QNAP draait. Details worden niet door de fabrikant gegeven, behalve dat het om een kritieke kwetsbaarheid gaat waardoor een remote aanvaller kwaadaardige code op het NAS-systeem kan injecteren. Het beveiligingslek is verholpen in QTS 5.0.1.2234 build 20221201 en nieuwer en QuTS hero h5.0.1.2248 build 20221215 en nieuwer. De update is via de ingebouwde updatefunctie te downloaden of de website van QNAP.
Duizenden ManageEngine-installaties missen update voor actief misbruikt lek"
Wereldwijd zijn duizenden installaties van ManageEngine kwetsbaar voor aanvallen omdat systeembeheerders hebben nagelaten een belangrijke beveiligingsupdate voor een actief aangevallen kritieke kwetsbaarheid te installeren, zo stelt securitybedrijf Censys. Het werkelijke aantal kwetsbare installaties ligt waarschijnlijk veel hoger, aangezien niet van alle ManageEngine-producten de versie kan worden vastgesteld. Het beveiligingslek is aanwezig in verschillende Zoho ManageEngine-producten, waaronder Access Manager Plus, PAM 360, Password Manager Pro en ServiceDesk Plus. In totaal zijn 24 verschillende oplossingen van ManageEngine kwetsbaar. Het beveiligingslek, aangeduid als CVE-2022-47966, maakt het voor een ongeauthenticeerde aanvaller mogelijk om op afstand willekeurige code op kwetsbare systemen uit te voeren. Het beveiligingslek wordt veroorzaakt door een third-party afhankelijkheid van Apache Santuario. Eind oktober en begin november vorig jaar kwam Zoho met beveiligingsupdates voor de kwetsbaarheid. Ruim een week geleden werd proof-of-concept exploitcode voor het beveiligingslek openbaar gemaakt en inmiddels maken aanvallers actief misbruik van de kwetsbaarheid. Censys voerde een online scan uit naar kwetsbare ManageEngine-installaties. Het bleek niet mogelijk om van alle producten het versienummer vast te stellen. Daardoor heeft Censys de resultaten tot zeven ManageEngine-producten beperkt. Het ging bij elkaar om 8100 installaties, waarvan er 5500 door de ontbrekende beveiligingsupdate kwetsbaar waren, wat neerkomt op bijna zeventig procent. Veruit het grootste deel van de installaties betreft ManageEngine ServiceDesk Plus. Dit is software waarmee helpdesks allerlei taken kunnen uitvoeren, zoals incidentmanagement, het beheer van supporttickets en het genereren van rapportages. Ook biedt ServiceDesk Plus een "self-service portal" waarmee eindgebruikers de wachtwoorden van hun accounts kunnen resetten. Kwetsbaarheden in ServiceDesk zijn in het verleden vaker bij aanvallen gebruikt, aldus de FBI. Censys detecteerde op internet ruim 6100 ServiceDesk-installaties. Daarvan waren er meer dan 4400 kwetsbaar. Hierbij moet wel worden opgemerkt dat misbruik van de kwetsbaarheid alleen mogelijk is wanneer SAML-gebaseerde single sign-on staat ingeschakeld of ooit ingeschakeld is geweest. Dat neemt niet weg dat een update voor ServicDesk sinds 27 oktober vorig jaar beschikbaar is en organisaties die drie maanden later nog altijd niet hebben geïnstalleerd. Beheerders wordt dan ook opgeroepen om de beschikbare updates te installeren.
Microsoft roept organisaties op om Exchange-servers te patchen
Microsoft heeft organisaties opnieuw opgeroepen om hun Exchange-servers te patchen. Volgens het techbedrijf zijn de mailservers een aantrekkelijk doelwit voor aanvallers. "Mailboxen van gebruikers bevatten vaak belangrijke en gevoelige data. Daarnaast bevat elke Exchange-server een kopie van het adresboek van de organisatie, wat veel informatie biedt voor social engineering", aldus Microsoft. Als laatste heeft Exchange vergaande koppelingen en permissies binnen de Active Directory, en binnen een hybride omgeving, toegang tot de cloudomgeving. Organisaties die hun Exchange-servers tegen misbruik van bekende kwetsbaarheden willen beschermen moet volgens Microsoft de laatste Cumulative Update (CU) installeren. Voor Exchange Server 2019 is dat CU12, voor Exchange Server 2016 is dat CU23 en in het geval van Exchange Server 2013 gaat het om Software Update 23. Microsoft laat aanvullend weten dat systeembeheerders na de installatie van een update mogelijk nog handmatige acties moeten uitvoeren. Daarvoor wordt verwezen naar het uitvoeren van de "Health Checker" die een overzicht van eventuele handmatige taken toont. "We weten dat het beschermen van je Exchange-omgeving essentieel is en we weten dat het nooit zal stoppen", aldus Microsoft. Het techbedrijf startte onlangs nog een enquête waarin het systeembeheerders naar feedback vraagt over het updateproces van Exchange-servers.
Kwetsbaarheid in Lexmark-printers maakt remote code execution mogelijk
Een kwetsbaarheid in 130 printermodellen van fabrikant Lexmark maakt het mogelijk voor een aanvaller om op afstand code op de apparaten uit te voeren. Proof-of-concept exploitcode is al beschikbaar. Lexmark heeft firmware-updates uitgebracht om de kwetsbaarheid (CVE-2023-23560) te verhelpen (pdf). Het gaat om Server-Side Request Forgery (SSRF) in de webservices van de printer waardoor remote code execution mogelijk is. Een aanvaller kan zo vertrouwelijke informatie via de printer stelen of verdere aanvallen uitvoeren. Verdere details over het beveiligingslek zijn niet door Lexmark gegeven, behalve dat de impact op een schaal van 1 tot en met 10 beoordeeld is met een 9.0. Naast het installeren van de firmware-update geeft de printerfabrikant als workaround het blokkeren van de webservices-service op printer (tcp-poort 65002), wat misbruik van het beveiligingslek voorkomt. Eigenaren van een Lexmark-printer wordt opgeroepen om de update te installeren er is namelijk proof-of-concept exploitcode om misbruik van de kwetsbaarheid beschikbaar. Lexmark heeft naar eigen zeggen nog geen daadwerkelijk misbruik waargenomen.
Amerikaanse overheid waarschuwt voor misbruik van remote beheersoftware zoals AnyDesk en ScreenConnect
De Amerikaanse overheid waarschuwt organisaties voor misbruik van remote beheersoftware zoals AnyDesk en ScreenConnect (ConnectWise Control). Via dergelijke software is het mogelijk om systemen op afstand over te nemen. Aanleiding voor de waarschuwing zijn twee Amerikaanse overheidsinstanties die slachtoffer werden van een aanval waarbij de software werd ingezet. De aanval begon met een phishingmail waarin over een zogenaamde abonnementsverlening werd bericht. Om de verlenging "stop te zetten" moet een opgegeven telefoonnummer worden gebeld. Het gaat hier om een nummer van de aanvaller, die het slachtoffer instructies geeft om een bepaalde website te bezoeken. Deze website bevat een uitvoerbaar bestand dat wanneer uitgevoerd de remote beheersoftware downloadt. Het gaat hier om een portable executable die zonder installatie is te gebruiken en zo geconfigureerd is waardoor de aanvaller meteen verbinding met het systeem van het slachtoffer te maken. Vervolgens krijgt het slachtoffer, dat nog steeds met de aanvaller aan de lijn is, instructies om op internetbankieren in te loggen. De aanvaller wijzigt dan het rekeningoverzicht, waardoor het lijkt alsof het slachtoffer ten onrechte een bedrag bijgeschreven heeft gekregen. De aanvaller vraagt vervolgens dit bedrag naar een opgegeven rekening over te maken. Zeker twee niet nader genoemde Amerikaanse overheidsinstanties zijn hier slachtoffer van geworden. Volgens het Cybersecurity and Infrastructure Security Agency (CISA) en de Amerikaanse geheime dienst NSA hadden de aanvallers een financieel motief, maar bestaat het risico dat ze hun toegang aan andere partijen verkopen, zoals buitenlandse spionagegroepen. Het CISA en de NSA willen met de waarschuwing organisaties wijzen op het malafide gebruik van legitieme remote beheersoftware. Ook moeten beheerders beseffen dat door het gebruik van portable executables zaken als beheerdersrechten en software management control policies zijn te omzeilen. Daarnaast wordt remote beheersoftware niet opgemerkt door antivirussoftware. Om dergelijke aanvallen te voorkomen geven de NSA en het CISA meerdere adviezen, waaronder het blokkeren van inkomende en uitgaande verbindingen naar bekende poorten gebruikt door remote beheersoftware.
Veel Windows-servers kwetsbaar voor kritiek spoofinglek door ontbreken beveiligingsupdate
Veel Windows-servers zijn kwetsbaar voor een kritiek spoofinglek omdat ze een vorig jaar oktober uitgebrachte beveiligingsupdate missen, zo stelt internetbedrijf Akamai. De kwetsbaarheid, aangeduid als CVE-2022-34689, bevindt zich in de Windows CryptoAPI en maakt het mogelijk om een certificaat te spoofen. Een aanvaller kan vervolgens acties uitvoeren als de partij aan wie het certificaat is uitgegeven, zoals authenticatie, het signeren van code. Zo zijn bijvoorbeeld man-in-the-middle-aanvallen mogelijk. De kwetsbaarheid werd door de Amerikaanse geheime dienst NSA en het Britse National Cyber Security Centre (NCSC) aan Microsoft gerapporteerd. Het techbedrijf kwam op 11 oktober vorig jaar met een beveiligingsupdate. De impact van spoofinglekken wordt over het algemeen niet als kritiek beoordeeld, maar dat is met deze kwetsbaarheid wel het geval. Microsoft waarschuwde dat aanvallers waarschijnlijk misbruik van het lek zullen gaan maken. Onderzoekers van Akamai hebben een proof-of-concept exploit ontwikkeld waarmee misbruik van de kwetsbaarheid mogelijk is. Daarnaast keek het internetbedrijf hoe goed machines tegen eventueel misbruik zijn beschermd, maar dat valt tegen. "We ontdekten dat minder dan één procent van de zichtbare machines in datacenters gepatcht is, wat inhoudt dat de rest niet tegen misbruik van deze kwetsbaarheid beschermd is", zegt onderzoeker Tomer Peled. "Certificaten spelen een belangrijke rol bij identiteitsverificatie op internet, wat deze kwetsbaarheid lucratief voor aanvallers maakt", gaat Peled verder. "De kwetsbaarheid heeft een CVSS-score van slechts 7.5 gekregen. We denken dat dit komt door het beperkte aantal kwetsbare applicaties en Windowsonderdelen waar de voorwaarden voor misbruik aanwezig zijn. Dat gezegd hebbende, er is nog steeds veel code dat deze API gebruikt en mogelijk kwetsbaar is, wat zelfs voor niet meer ondersteunde versies van Windows, zoals Windows 7, een patch rechtvaardigt."
NCSC waarschuwt voor beveiligingslek in wachtwoordmanager KeePass
Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid waarschuwt voor een kwetsbaarheid in wachtwoordmanager KeePass waardoor een aanvaller die al toegang tot een systeem heeft gegevens in de KeePass-database, zoals wachtwoorden, kan bemachtigen. De ontwikkelaar stelt dat het hier niet om een kwetsbaarheid gaat en de wachtwoorddatabase van KeePass niet ontworpen is om tegen een aanvaller met dergelijke toegang tot het systeem bescherming te bieden. Er zal dan ook geen beveiligingsupdate verschijnen. Een proof-of-concept exploit waarmee een lokale aanvaller de inhoud van de KeePass-database kan bemachtigen is online verschijnen. Het beveiligingslek wordt veroorzaakt doordat de configuratie van KeePass onversleuteld wordt opgeslagen. Een lokale aanvaller kan deze configuratie aanpassen en een malafide exportregel toevoegen. Wanneer een gebruiker een KeePass-database opent, zorgt de exportregel ervoor dat opgeslagen gegevens ongemerkt naar de aanvaller worden geëxporteerd. Volgens het NCSC kunnen systeembeheerders door middel van een Enforced Configuration misbruik toch voorkomen. "Door de parameter "ExportNoKey" op "false" te zetten wordt ervoor gezorgd dat een masterwachtwoord is vereist voor het exporteren van opgeslagen gegevens. Op die manier wordt voorkomen dat een kwaadwillende heimelijk gevoelige gegevens exporteert", aldus het NCSC. De overheidsinstantie adviseert organisaties om van een Enforced Configuration gebruik te maken en ten minste bovenstaande configuratie te implementeren. Daarnaast wordt organisaties geadviseerd om een risicoafweging te maken voor het gebruik van KeePass. De kwetsbaarheid in KeePass wordt aangeduid als CVE-2023-24055, maar is door de ontwikkelaar betwist.
Apple verhelpt actief aangevallen zerodaylek in oudere iPhones en iPads
Apple heeft een actief aangevallen zerodaylek in iOS nu ook in oudere iPhones en iPads verholpen. Op 13 december kwam Apple met een beveiligingsupdate voor een kwetsbaarheid in WebKit, de door Apple ontwikkelde browser-engine. Alle browsers op iOS en iPadOS zijn verplicht om van WebKit gebruik te maken. Via het beveiligingslek, aangeduid als CVE-2022-42856, kan een aanvaller willekeurige code op het systeem uitvoeren, waarbij alleen het bezoeken van een malafide of gecompromitteerde website of het te zien krijgen van een besmette advertentie voldoende is. Dergelijke aanvallen worden ook wel een drive-by download genoemd. De kwetsbaarheid was ontdekt door een onderzoeker van Googles Threat Analysis Group. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. Volgens Apple is het lek gebruikt in aanvallen tegen iOS-versies voor iOS 15.1. Verdere details over de aanvallen zijn niet gegeven. De update die Apple vorige maand uitbracht, iOS 16.1.2, is alleen beschikbaar voor nieuwere iPhones. Gebruikers van oudere iPhones en iPads zaten zonder update. Nu heeft Apple iOS 12.5.7 beschikbaar gemaakt voor de iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 en iPod touch waarin het probleem is verholpen. Het komt vaker voor dat Apple actief aangevallen zerodaylekken pas later in oudere modellen verhelpt.
Actieve misbruik van kritieke kwetsbaarheid in Zoho ManageEngine-producten, update snel installeren aangeraden
Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in verschillende Zoho ManageEngine-producten, waaronder Access Manager Plus, PAM 360, Password Manager Pro en ServiceDesk Plus. In totaal zijn 24 verschillende oplossingen van ManageEngine kwetsbaar. Het beveiligingslek, aangeduid als CVE-2022-47966, maakt het voor een ongeauthenticeerde aanvaller mogelijk om op afstand willekeurige code op kwetsbare systemen uit te voeren. Het beveiligingslek wordt veroorzaakt door een third-party afhankelijkheid van Apache Santuario. Eind oktober en begin november vorig jaar kwam Zoho met beveiligingsupdates voor de kwetsbaarheid. Een aantal dagen geleden werd proof-of-concept exploitcode voor het beveiligingslek openbaar gemaakt en inmiddels maken aanvallers actief misbruik van de kwetsbaarheid, zo stelt securitybedrijf Rapid7. Installaties van ManageEngine lopen alleen risico als SAML-gebaseerde single sign-on staat ingeschakeld of ooit ingeschakeld is geweest. Gezien de rol die ManageEngine-producten binnen organisaties spelen worden die opgeroepen om de update zo snel mogelijk te installeren. Volgens ManageEngine loggen elke dag meer dan 300.000 systeembeheerders en eindgebruikers op Password Manager Pro in en worden daarmee miljoenen wachtwoorden beheerd. PAM360 is een "privileged access management" oplossing, waarmee organisaties rechten en toegangsbeheer van medewerkers kunnen beheren en monitoren. Met Access Manager Plus is het mogelijk voor organisaties om de toegang tot remote systemen te beheren.
Kans op misbruik kwetsbaarheid Zoho ManageEngine
Onderzoekers van Horizon3 hebben de aangekondigde Proof of concept-code (PoC) gepubliceerd. Het risico van grootschalig misbruik na uitbrengen van deze PoC is aanwezig. Het advies blijft om de beveiligingsupdate met spoed te installeren als dit nog niet gedaan is. De inschaling van dit beveiligingsadvies blijft onverkort HIGH/HIGH.
Onderzoekers vinden 20,000 kwetsbare VPN-routers van Cisco
Onderzoekers hebben op internet twintigduizend vpn-routers van Cisco aangetroffen die een kritieke kwetsbaarheid bevatten. Aangezien de apparaten end-of-life zijn kondigde Cisco eerder al aan het beveiligingslek niet te zullen verhelpen. Een proof-of-concept exploit om misbruik van de kwetsbaarheid te maken is volgens Cisco op internet beschikbaar, maar het netwerkbedrijf heeft nog geen daadwerkelijke aanvallen waargenomen. Het probleem speelt in de RV016, RV042, RV042G en RV082 vpn-routers. Dit is netwerkapparatuur bedoeld voor het mkb. Een kwetsbaarheid in de apparaten (CVE-2023-20025) maakt het mogelijk voor een ongeauthenticeerde aanvaller om de authenticatie te omzeilen en het apparaat over te nemen. Alleen het versturen van een speciaal geprepareerd http-request naar de webinterface maakt het mogelijk voor een aanvaller om root-toegang tot de router te krijgen. Securitybedrijf Censys voerde een scan uit en ontdekte op internet twintigduizend kwetsbare vpn-routers. Ruim twaalfduizend daarvan zijn de RV042. Het grootste deel van apparaten werd in de Verenigde Staten aangetroffen, gevolgd door Canada en India. Aangezien de routers end-of-life zijn zal Cisco zoals gezegd geen updates uitbrengen om de kwetsbaarheid te verhelpen. Als mitigatie adviseert het netwerkbedrijf om remote management uit te schakelen en toegang tot poorten 443 en 60443 te blokkeren.
Oracle brengt kritieke beveiligingsupdates uit voor diverse producten
Oracle heeft tijdens de eerste patchronde van 2023 in totaal 327 beveiligingsupdates uitgebracht. De patches zijn onder andere voor kritieke kwetsbaarheden in Oracle Essbase, Oracle Commerce, Oracle Communications, Primavera Gateway, Oracle Financial Services, Oracle Fusion Middleware, Oracle HealthCare, Oracle JD Edwards, Oracle MySQL, Oracle PeopleSoft, Oracle Siebel, Oracle Support Tools, Oracle Systems en Oracle Utilities. Het gaat om tientallen kwetsbaarheden waarvan de impact op een schaal van 1 tot en met 10 met een 9.9 of 9.8 is beoordeeld. Via dergelijke lekken kan een ongeauthenticeerde aanvaller op afstand systemen overnemen. Eén van de producten met dergelijke beveiligingslekken is Oracle WebLogic Server, dat in het verleden geregeld doelwit van aanvallen is geweest. Bij deze aanvallen werden kwetsbaarheden korte tijd na het uitkomen van de beveiligingsupdates al aangevallen. Oracle stelt dat het geregeld berichten ontvangt van organisaties die succesvol zijn aangevallen omdat ze beschikbare updates niet hadden geïnstalleerd. Het softwarebedrijf roept klanten dan ook op om de nu uitgebrachte patches "zonder vertraging" en "zo snel mogelijk" te installeren. In tegenstelling tot veel andere softwarebedrijven, zoals Adobe en Microsoft die maandelijks met patches komen, brengt Oracle vier keer per jaar beveiligingsupdates uit. De volgende patchronde staat gepland voor 18 april.
Git patches twee ernstige beveiligingsproblemen, code-uitvoering door aanvallers
Git heeft twee ernstige beveiligingsproblemen gepatcht die aanvallers in staat zouden kunnen stellen om willekeurige code uit te voeren na het succesvol exploiteren van heap-gebaseerde buffer overflow zwakheden. Een derde Windows-specifieke fout in de Git GUI tool, veroorzaakt door een niet-vertrouwde zoekpad zwakte, stelt niet-geauthenticeerde bedreigers in staat om niet-vertrouwde code laag-complexe aanvallen uit te voeren. De eerste twee kwetsbaarheden (CVE-2022-41903 in het commit formatting mechanisme en CVE-2022-23521 in de .gitattributes parser) werden woensdag gepatcht in nieuwe versies die teruggaan tot v2.30.7. De derde, getraceerd als CVE-2022-41953, wacht nog steeds op een patch, maar gebruikers kunnen het probleem omzeilen door de Git GUI software niet te gebruiken om repositories te clonen of clonen van onvertrouwde bronnen te vermijden. Beveiligingsexperts van X41 (Eric Sesterhenn en Markus Vervier) en GitLab (Joern Schneeweisz) vonden deze kwetsbaarheden als onderdeel van een beveiligingsbroncode-audit van Git gesponsord door OSTIF. "Het ernstigste probleem dat werd ontdekt staat een aanvaller toe een heap-gebaseerde geheugencorruptie te veroorzaken tijdens kloon- of pull-operaties, wat kan leiden tot het uitvoeren van code. Een ander kritiek probleem maakt code-uitvoering mogelijk tijdens een archiefbewerking, die vaak wordt uitgevoerd door Git-smeden," aldus X41 beveiligingsexperts. "Daarnaast werd een enorm aantal integer gerelateerde problemen geïdentificeerd die kunnen leiden tot denial-of-service situaties, out-of-bound reads of gewoon slecht afgehandelde corner cases op grote invoer."
Sophos firewall-apparaten kwetsbaar voor RCE-aanvallen
Meer dan 4.000 Sophos Firewall-apparaten met toegang tot internet zijn kwetsbaar voor aanvallen gericht op een kritieke kwetsbaarheid voor remote code execution (RCE). Sophos onthulde dit code-injectiefout (CVE-2022-3236), gevonden in Sophos Firewall's User Portal en Webadmin, in september en bracht ook hotfixes uit voor meerdere Sophos Firewall versies (officiële fixes werden drie maanden later uitgegeven, in december 2022). Het bedrijf waarschuwde destijds dat de RCE-bug in het wild werd uitgebuit bij aanvallen tegen organisaties uit Zuid-Azië. De hotfixes van september rolden uit naar alle getroffen instanties (v19.0 MR1/19.0.1 en ouder) omdat automatische updates standaard zijn ingeschakeld - tenzij een beheerder de optie heeft uitgeschakeld. Sophos Firewall-instanties met oudere productversies moesten handmatig worden geüpgraded naar een ondersteunde versie om de CVE-2022-3236 hotfix automatisch te ontvangen. Beheerders die de kwetsbare software niet kunnen patchen, kunnen het aanvalsoppervlak ook verwijderen door WAN-toegang tot het gebruikersportaal en Webadmin uit te schakelen.
Kans op misbruik kwetsbaarheid Zoho ManageEngine
Er is een ernstige kwetsbaarheid ontdekt die verschillende Zoho ManageEngine-producten raakt. De kwetsbaarheid is gepubliceerd als CVE-2022-47966 en maakt het voor een aanvaller mogelijk om op afstand willekeurige code uit te voeren op kwetsbare systemen. Onderzoekers van het cybersecurity bedrijf Horizon3 hebben aangekondigd binnenkort Proof of concept-code uit te brengen waarna het risico op grootschalig misbruik aanwezig is. De kwetsbaarheid is te wijten aan het gebruik van een verouderd en kwetsbaar component van een derde partij genaamd Apache Santuario. Veel verschillende Zoho ManageEngine-producten gebruiken dit of zijn hiervan afhankelijk. De kwetsbaarheid maakt het mogelijk om op afstand willekeurige code uit te voeren met systeemrechten. Op deze manier kan een kwetsbaar systeem volledig worden overgenomen en kwaadaardige software worden geïnstalleerd zoals ransomware. Belangrijk om te vermelden is dat het alleen mogelijk is om deze kwetsbaarheid te misbruiken wanneer de SAML single-sign-on functionaliteit is ingeschakeld of in het verleden ingeschakeld is geweest. Zoho heeft een uitgebreide lijst aan kwetsbare producten en een beveiligingsupdate beschikbaar gesteld om de problemen te verhelpen. Aangeraden wordt om deze zo spoedig mogelijk te (laten) installeren. Dit product wordt veel gebruikt door IT-dienstverleners. Is je IT uitbesteed? Ga dan bij je IT-dienstverlener na of er gebruik wordt gemaakt van kwetsbare ‘Zoho’-producten en of beschikbare updates zijn geïnstalleerd. Verifieer dan ook of de ernstige kwetsbaarheid van begin december in Zoho ManageEngine Desktop Central verholpen is.
Overheid waarschuwde bedrijven 6500 keer voor kwetsbaarheden in systemen
Het Digital Trust Center (DTC) van het ministerie van Economische Zaken heeft vorig jaar ruim 6500 waarschuwingen naar bedrijven gestuurd voor kwetsbaarheden in hun systemen. Vaak worden de kwetsbaarheden veroorzaakt door een configuratiefout en zijn systeembeheerders zich niet bewust van het gevaar, zo laat het DTC in de vandaag verschenen terugblik op 2022 weten. Het DTC informeerde het bedrijfsleven via de eigen website al over bekende beveiligingslekken, maar neemt sinds vorig jaar zomer ook contact op met ondernemingen als die van kwetsbare software gebruikmaken, zijn gecompromitteerd of risico op aanvallen lopen. In de laatste helft van 2021 werd er met het versturen van de waarschuwingen begonnen. Toen ging er 361 keer een notificatie uit, onder andere wegens kwetsbaarheden in Microsoft Exchange en Pulse Connect Secure en gelekte wachtwoorden voor Fortinet vpn-servers. Vorig jaar zijn er in totaal ruim 6500 waarschuwingen via de informatiedienst verstuurd. "Vanwege de positieve reacties en de aanhoudende behoefte van bedrijven naar relevante dreigingsinformatie, zullen wij ook volgend jaar doorgaan met deze dienstverlening", aldus het DTC dat daarmee op 2023 doelt. Om ook bij grootschalige cyberdreigingen, die duizenden individuele bedrijven kunnen raken, tijdig te kunnen waarschuwen, onderzoekt het Digital Trust Center de schaalbaarheid van de informatiedienst. Daarom loopt er parallel aan de uitrol van de informatiedienst een pilot met bedrijven die zich bij het DTC hebben aangemeld. Met een testgroep van 57 bedrijven wordt in een pilot van twaalf maanden onderzocht of de dienst is te automatiseren. De bedrijven die aan de pilot deelnemen hebben hun contact- en technische gegevens, zoals ip-adressen en domeinnamen, aangeleverd waardoor het Digital Trust Center, in samenwerking met het Nationaal Cyber Security Centrum, deze gegevens kan matchen met bij hen bekende cyberdreigingen. Het DTC vult deze informatie aan met andere beschikbare (openbare) bronnen. Bij een match wordt vervolgens geautomatiseerd een waarschuwing verstuurd. In de pilot hebben tot nu toe 46 van de 57 bedrijven een waarschuwing ontvangen. In totaal zijn er gedurende de pilot al ruim 2.100 waarschuwingen gedeeld met de deelnemende bedrijven. Uit een evaluatie blijkt volgens het DTC dat de deelnemende bedrijven over het algemeen tevreden zijn met het verloop van de pilot, zo geef ruim tachtig procent van de deelnemende bedrijven aan dat de dienstverlening hun organisatie helpt om digitaal veiliger te ondernemen. Momenteel vindt er onderzoek plaats naar een vervolg van de pilot.
Cisco waarschuwt voor kritiek lek in vpn-routers dat het niet zal patchen
Cisco waarschuwt organisaties en bedrijven voor een kritieke kwetsbaarheid in verschillende vpn-routers die het niet zal patchen, aangezien de apparaten end-of-life zijn en niet meer met beveiligingsupdates worden ondersteund. Het gaat om de RV016, RV042, RV042G en RV082 vpn-routers. Dit is netwerkapparatuur bedoeld voor het mkb. Een kwetsbaarheid in de apparaten (CVE-2023-20025) maakt het mogelijk voor een ongeauthenticeerde aanvaller om de authenticatie te omzeilen en het apparaat over te nemen. Het versturen van een speciaal geprepareerd http-request naar de webinterface maakt het mogelijk voor een aanvaller om root-toegang tot de router te krijgen. Aangezien de routers end-of-life zijn zal Cisco geen updates uitbrengen om het probleem te verhelpen. Wel adviseert het netwerkbedrijf om remote management uit te schakelen en toegang tot poorten 443 en 60443 te blokkeren. Een andere genoemde oplossing is de overstap naar een nieuwe router.
Veel Cacti-servers kwetsbaar door ontbrekende beveiligingsupdate
Veel servers waarop monitoringsoplossing Cacti draait zijn kwetsbaar voor aanvallen omdat ze een belangrijke beveiligingsupdate voor een kritieke kwetsbaarheid missen, zo stelt securitybedrijf Censys. Cacti is een opensource-monitoringsoplossing waarmee organisaties allerlei informatie over de status van hun netwerk en servers kunnen monitoren. Het gaat dan om zaken als netwerkverkeer, beschikbaarheid en uptime. Vorige maand verscheen er een beveiligingsupdate voor Cacti vanwege een command injection kwetsbaarheid (CVE-2022-46169). Via de kwetsbaarheid kan een ongeauthenticeerde aanvaller willekeurige code op Cacti-servers uitvoeren als gemonitorde servers en andere systemen een specifieke databron gebruiken. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Op 2 januari verscheen er vervolgens een uitgebreide beschrijving van de kwetsbaarheid. Vijf dagen later meldde de Shadowserver Foundation, een stichting die informatie over botnets, malware en andere criminele netwerken verzamelt en deelt met providers en overheidsdiensten, dat aanvallers actief misbruik van de kwetsbaarheid maken voor het infecteren van servers met malware. De aanvallen zouden al sinds 3 januari plaatsvinden. De Shadowserver Foundation adviseerde organisaties naast het patchen van Cacti-servers ook om die niet vanaf het internet toegankelijk te maken. Censys heeft nu onderzocht hoeveel Cacti-servers online te vinden zijn. Dat blijken er ruim 6400 te zijn. Het is niet van alle servers mogelijk om te bepalen welke versie ze draaien. Van de 1600 servers waarbij dat wel het geval is bleken er slechts 26 up-to-date te zijn. Het grootste deel van de gevonden Cacti-servers bevindt zich in Brazilië, gevolgd door Indonesië en de Verenigde Staten. Nederland komt niet in de top 10 voor.
Using Cacti? We started to pick up exploitation attempts for Cacti unauthenticated remote command injection CVE-2022-46169 including subsequent malware download. These started Jan 3rd. Make sure to patch & not expose your Cacti instance to the Internet!https://t.co/tktMJp47Ld
— Shadowserver (@Shadowserver) January 7, 2023
Microsoft verhelpt actief aangevallen zerodaylek in Windows
Tijdens de eerste patchdinsdag van dit jaar heeft Microsoft updates voor 98 kwetsbaarheden uitgebracht, waaronder een actief aangevallen zerodaylek in Windows. Via de kwetsbaarheid (CVE-2023-21674) kan een aanvaller uit de sandbox van de Chromium-browser ontsnappen en vervolgens systeemrechten krijgen. Het gaat hier om een "local elevation of privilege" kwetsbaarheid, wat inhoudt dat een aanvaller al code in de browser moet kunnen uitvoeren. Details over de aanvallen waarbij het zerodaylek werd gebruikt zijn niet door Microsoft gegeven, maar de kwetsbaarheid werd ontdekt door antivirusbedrijf Avast. "Dergelijke bugs worden vaak gecombineerd met het uitvoeren van code om malware of ransomware te verspreiden. Gezien onderzoekers van Avast dit aan Microsoft rapporteerden is dat een waarschijnlijk scenario", zegt Dustin Childs van het Zero Day Initiative. Het Cybersecurity and Infrastructure Security Agency (CISA) van de Amerikaanse overheid heeft federale overheidsinstanties verplicht om de update voor 31 januari te installeren. Op de meeste systemen zal dit automatisch gebeuren. Vorig jaar kwam Microsoft voor in totaal twaalf zerodaylekken met updates.
VS komt met patchbevel voor Exchange-lek gebruikt bij ransomware-aanvallen
De Amerikaanse overheid heeft federale overheidsinstanties een patchbevel gegeven voor een kwetsbaarheid in Microsoft Exchange die gebruikt is bij ransomware-aanvallen. Het beveiligingslek, aangeduid als CVE-2022-41080, werd onder andere gebruikt tegen hostingbedrijf Rackspace, dat had nagelaten de beschikbare beveiligingsupdate te installeren. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security houdt een lijst bij van actief aangevallen kwetsbaarheden en kan federale overheidsinstanties opdragen om de betreffende patches voor deze beveiligingslekken voor een bepaalde datum te installeren. Dat is mogelijk door een "Binding Operational Directive". Het gaat in dit geval om richtlijnen die moeten worden gevolgd voor het beschermen van systemen tegen kwetsbaarheden waarvan bekend is dat er misbruik van wordt gemaakt. Amerikaanse federale overheidsinstanties zijn verplicht om de Directives van het ministerie van Homeland Security te volgen. Eind december maakte securitybedrijf Crowdstrike bekend dat de criminelen achter de Play-ransomware misbruik van de Exchange-kwetsbaarheden CVE-2022-41080 en CVE-2022-41082 maakten voor het aanvallen van organisaties. Microsoft waarschuwde eind september dat aanvallers actief misbruik van CVE-2022-41082 en nog een andere Exchange-kwetsbaarheid maakten. Om organisaties te beschermen kwam het techbedrijf met tijdelijke mitigatiemaatregelen die uit url-rewrites bestonden. Via deze url-rewrites moest misbruik van de twee beveiligingslekken worden voorkomen. Op 8 november kwam Microsoft met beveiligingsupdates om de twee kwetsbaarheden, alsmede CVE-2022-41080, te verhelpen. Microsoft adviseerde organisaties op deze datum ook om de url-rewrites niet meer te gebruiken en de beschikbare patch te installeren. Hostingbedrijf Rackspace raakte op 2 december via Exchange-kwetsbaarheid CVE-2022-41080 besmet met de Play-ransomware, waardoor klanten geen toegang meer tot hun e-mail hadden. Rackspace besloot de updates niet te installeren omdat er operationele problemen mee zouden zijn, aldus een woordvoerder. De gemeente Antwerpen werd ook slachtoffer van de Play-ransomware, de gebruikte infectievector is nog niet bekendgemaakt. Het CISA heeft Amerikaanse federale overheidsinstanties nu opgedragen om de patch voor 31 januari te installeren.
Update kritiek lek SharePoint Server vereist extra handeling systeembeheerder
Microsoft heeft gisteren een beveiligingsupdate voor een kritieke kwetsbaarheid in SharePoint Server uitgebracht, maar systeembeheerders die willen dat hun systemen beschermd zijn moeten naast het installeren van de patch een extra handeling uitvoeren. De kwetsbaarheid (CVE-2023-21743) betreft een "security feature bypass" waardoor een ongeauthenticeerde aanvaller de authenticatie kan omzeilen en een anonieme verbinding naar de SharePoint-server maken. Opvallend aan deze kwetsbaarheid is dat Microsoft die als kritiek heeft bestempeld, terwijl security feature bypasses over het algemeen lager worden beoordeeld. Het installeren van de beveiligingsupdate alleen is niet voldoende om de "SharePoint farm" te beschermen, aldus Microsoft. Er is ook een aanvullende "upgrade action" vereist. Die is uit te voeren via de SharePoint Products Configuration Wizard, de Upgrade-SPFarm PowerShell cmdlet of het "psconfig.exe -cmd upgrade -inplace b2b" commando dat na de installatie van de update op elke SharePoint-server moet worden uitgevoerd. "Dit soort gevallen laat zien waarom mensen die altijd schreeuwen "Just patch it!” nog nooit een bedrijf in de echte wereld hebben moeten patchen", zegt Dustin Childs van het Zero Day Initiative. Microsoft verwacht dat aanvallers misbruik van het beveiligingslek zullen gaan maken.
Zoho adviseert klanten om kwetsbaarheid in ManageEngine meteen te patchen
Softwarebedrijf Zoho adviseert klanten om een kwetsbaarheid in ManageEngine Password Manager Pro, PAM360 en Access Manager Plus direct te patchen. Beveiligingslekken in deze software zijn in het verleden vaker doelwit van aanvallen geweest. Password Manager Pro is een "gecentraliseerde wachtwoordkluis" die bedrijven zelf kunnen hosten. Volgens ManageEngine loggen elke dag meer dan 300.000 systeembeheerders en eindgebruikers op de wachtwoordmanager in en worden daarmee miljoenen wachtwoorden beheerd. PAM360 is een "privileged access management" oplossing, waarmee organisaties rechten en toegangsbeheer van medewerkers kunnen beheren en monitoren. Met Access Manager Plus is het mogelijk voor organisaties om de toegang tot remote systemen te beheren. Door middel van SQL-injection is het mogelijk voor een aanvaller om toegang tot de database van de softwareoplossingen te krijgen. "Gegeven de ernst van deze kwetsbaarheid worden klanten ten zeerste aangeraden om meteen naar de laatste versie van PAM360, Password Manager Pro en Access Manager Plus te upgraden", aldus het beveiligingsbulletin. Twee dagen geleden besloot Zoho klanten opnieuw voor het lek (CVE-2022-47523) te waarschuwen en op de beschikbaarheid van de beveiligingsupdate te wijzen.
In Nederland nog zo'n 1.500 Microsoft Exchange servers kwetsbaar!
Cybersecurityonderzoeksbureau Shadowserver Foundation heeft onderzocht dat er in Nederland nog zo'n 1.500 Microsoft Exchange servers kwetsbaar zijn voor de ProxyNotShell-aanval. Deze kwetsbaarheid wordt aangeduid als CVE-2022-41082. Het overgrote deel van de Nederlandse bedrijven met een kwetsbare Exchange Server heeft de afgelopen weken een waarschuwingsbericht ontvangen van het Digital Trust Center. Hierin worden technisch beheerders opgeroepen om zo snel mogelijk de beschikbare beveiligingsupdates te (laten) installeren om aanvallen op bedrijven (of ketens) te voorkomen. Lees meer over dit soort waarschuwingsberichten en het belang van een up-to-date security.txt-bestand voor het ontvangen van waarschuwingsberichten.
Androidtelefoons kwetsbaar voor aanvallen via bluetooth en wifi
Eigenaren van een Androidtelefoon zijn gewaarschuwd voor verschillende kritieke kwetsbaarheden waardoor een aanvaller via wifi of bluetooth op afstand code op het toestel kan uitvoeren. Google heeft beveiligingsupdates uitgebracht om de problemen te verhelpen. Tijdens de eerste patchronde van 2023 heeft het techbedrijf in totaal zestig kwetsbaarheden in Android verholpen. Het gaat onder andere om vier kwetsbaarheden in de Android-kernel (CVE-2022-42719, CVE-2022-42720, CVE-2022-42721 en CVE-2022-41674) die als kritiek zijn aangemerkt. Via deze beveiligingslekken kan een aanvaller door middel van het injecteren van WLAN-frames een buffer overflow veroorzaken en zo code op de Androidtelefoon uitvoeren. Daarnaast heeft Google ook nog een patch aan Android toegevoegd voor een kritiek lek in de software van chipgigant Qualcomm, aangeduid als CVE-2022-22088. De kwetsbaarheid bevindt zich in de Bluetooth host-software en zorgt ervoor dat een aanvaller via remote responses een buffer overflow kan veroorzaken, waardoor remote code execution mogelijk is. De impact van dit beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Verder zijn er meerdere Androidlekken verholpen waardoor een malafide app zonder aanvullende permissies hogere rechten kan krijgen. Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de januari-updates ontvangen zullen '2023-01-01' of '2023-01-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van januari aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 10, 11, 12, 12L en 13. Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.
66.000 Microsoft Exchange-servers kwetsbaar voor ProxyNotShell
Zo'n 66.000 Microsoft Exchange-servers zijn kwetsbaar voor de ProxyNotShell-aanval omdat beheerders hebben nagelaten beschikbare beveiligingsupdates te installeren, zo stelt de Shadowserver Foundation op basis van eigen onderzoek. In Nederland gaat het om zo'n tweeduizend servers. Shadowserver verzamelt grote hoeveelheden informatie over botnets, malware en andere criminele netwerken en deelt die met providers en overheidsdiensten, zoals Computer Emergency Response Teams (CERTs). Ook voert het scans uit naar kwetsbare systemen. Via Twitter meldt de stichting dat zo'n 66.000 Exchange-servers de beveiligingsupdate voor de kwetsbaarheid aangeduid als CVE-2022-41082, ook bekend als ProxyNotShell, missen. CVE-2022-41082 maakt remote code execution (RCE) mogelijk wanneer PowerShell voor een aanvaller toegankelijk is. Het beveiligingslek werd bij zeroday-aanvallen ingezet, zo waarschuwde Microsoft op 29 september. Als tijdelijke oplossing kwam het techbedrijf met url-rewrites om aanvallen te voorkomen. Op 8 november verscheen er een beveiligingsupdate voor de actief aangevallen kwetsbaarheid. Bijna twee maanden verder blijkt dat deze patch nog altijd op 66.000 Exchange-servers niet is geïnstalleerd. Het grootste deel daarvan bevindt zich in de Verenigde Staten en Duitsland, met respectievelijk 16.000 en 12.000 servers. De Shadowserver Foundation roept organisaties dan ook op om de update te installeren, aangezien de url-rewrite die Microsoft als mitigatie aanbood niet blijkt te werken.
Still around 66K IPs found with likely vulnerable MS Exchange instances. Most in the United States (16K IPs, 37% of discoverable instances in US) and Germany (12K IPs, 29% of discoverable instances in DE). Patch now! #ProxyNotShell https://t.co/tsRTE5fLnL https://t.co/U3pZvFZ6ww
— Shadowserver (@Shadowserver) January 2, 2023
Synology vpn-routers via kritieke kwetsbaarheid op afstand over te nemen
Synology heeft een belangrijke beveiligingsupdate uitgebracht voor een kritieke kwetsbaarheid waardoor vpn-routers op afstand zijn over te nemen. De impact van het beveiligingslek, aangeduid als CVE-2022-43931, is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Synology biedt VPN Plus Server, software waarmee een Synology-router tot vpn-server is "om te toveren". Een out-of-bounds write kwetsbaarheid in de remote desktopfunctionaliteit maakt het mogelijk voor een aanvaller om op afstand willekeurige commando's op de router uit te voeren. Het beveiligingslek werd zelf door Synology gevonden. Gebruikers wordt aangeraden om naar de laatste versie van VPN Plus Server te updaten.
WordPress-sites via dertig kwetsbare plug-ins besmet met backdoor
Aanvallers maken gebruik van dertig kwetsbare plug-ins en themes om WordPress-sites met een backdoor te infecteren, zo meldt antivirusbedrijf Doctor Web. Sommige van de gebruikte kwetsbaarheden zijn zeven jaar oud. Zodra er toegang tot de WordPress-sites is verkregen injecteren de aanvallers malafide code op de webpagina's, die bezoekers doorstuurt naar een website van de aanvallers. Volgens marktvorser W3Techs maakt 43,1 procent van alle websites op internet gebruik van WordPress. Geregeld worden er kwetsbaarheden in plug-ins en themes voor WordPress-sites gevonden. Beheerders blijken in de praktijk beschikbare updates niet te installeren, waardoor aanvallers nog altijd succesvol zijn met oude kwetsbaarheden. Zo stammen drie van de beveiligingslekken waar aanvallers gebruik van maken uit 2016 en 2019, zo laat Doctor Web weten.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers