Kwetsbaarheden CVE's
Kwetsbaarheden nieuws
Kritiek Beveiligingslek in Synology Beveiligingscamera's Stelt Aanvallers in Staat om Apparaten op Afstand over te Nemen
Een recent ontdekt kritiek beveiligingslek in beveiligingscamera's van Synology heeft het voor aanvallers mogelijk gemaakt om deze apparaten op afstand over te nemen. Het lek werd geïdentificeerd in twee camera's van de fabrikant en vormde een ernstig risico voor gebruikers. Synology heeft echter snel gereageerd door firmware-updates uit te brengen om het probleem op te lossen. Het lek kwam aan het licht tijdens de Pwn2Own-hackwedstrijd in Toronto, waar onderzoekers met succes meerdere aanvallen tegen de BC500-beveiligingscamera van Synology demonstreerden. De kwetsbaarheid stelde aanvallers in staat om willekeurige code uit te voeren op de camera en bood remote gebruikers met een kwetsbare firmwareversie de mogelijkheid om beveiligingsbeperkingen te omzeilen. Naast de BC500 bleek ook de TC500, een ander model van Synology, kwetsbaar te zijn voor hetzelfde beveiligingslek. Om gebruikers te beschermen, heeft Synology dringend geadviseerd om te updaten naar firmwareversie 1.0.7-0298 of een nieuwere versie. Dit stelt gebruikers in staat om de kwetsbaarheid te patchen en hun beveiligingscamera's te beschermen tegen potentiële aanvallen. Dit incident benadrukt het belang van regelmatige firmware-updates en beveiligingspatches voor IoT-apparaten, met name beveiligingscamera's die vaak in huiselijke en zakelijke omgevingen worden gebruikt. Door tijdig updates te installeren, kunnen gebruikers de beveiliging van hun apparaten verbeteren en zichzelf beschermen tegen potentiële cyberaanvallen. Synology heeft snel en adequaat gereageerd op deze kwetsbaarheid, waardoor gebruikers nu de nodige maatregelen kunnen nemen om hun beveiligingscamera's te beschermen. Het incident benadrukt ook het voortdurende belang van cybersecurity-bewustzijn en de noodzaak om kwetsbaarheden in IoT-apparaten actief te monitoren en aan te pakken om de digitale veiligheid te waarborgen. [1, 2]
Kritieke bug in ownCloud-bestandsdelingsapp blootstelt beheerderswachtwoorden
OwnCloud, een open-source bestandsynchronisatie- en deeloplossing, heeft gewaarschuwd voor drie ernstige beveiligingskwetsbaarheden, waarvan er één beheerderswachtwoorden en e-mailserverreferenties kan blootstellen. Dit platform wordt gebruikt door individuen, organisaties en overheden die de controle over hun gegevens willen behouden in plaats van deze bij derden op te slaan. De beveiligingslekken kunnen ernstige gegevensinbreuken veroorzaken en moeten onmiddellijk worden aangepakt. De eerste kwetsbaarheid, aangeduid als CVE-2023-49103, heeft de hoogst mogelijke CVSS v3-score van 10. Het stelt aanvallers in staat om in containerimplementaties referenties en configuratiegegevens te stelen, waardoor eigenCloud-beheerderswachtwoorden, e-mailserverreferenties en licentiesleutels worden blootgesteld. De aanbevolen oplossing omvat het verwijderen van bepaalde bestanden en het wijzigen van gevoelige gegevens. Het tweede probleem, met een CVSS v3-score van 9.8, betreft een authenticatie-omzeilingsprobleem dat het mogelijk maakt om bestanden te benaderen, te wijzigen of te verwijderen zonder verificatie als de gebruikersnaam van de gebruiker bekend is en geen ondertekeningsleutel is geconfigureerd. Het derde en minder ernstige probleem (CVSS v3-score: 9) is een subdomeinvalidatie-omzeilingskwestie die van invloed is op alle versies van de oauth2-bibliotheek onder 0.6.1. Het is van cruciaal belang dat beheerders van ownCloud onmiddellijk de aanbevolen oplossingen toepassen en de bibliotheekupdates uitvoeren om deze risico's te minimaliseren. Beveiligingslekken in bestandsdelingsplatforms worden vaak misbruikt door kwaadwillende groepen, en het is van het grootste belang om proactief te handelen om gevoelige informatie en gegevensinbreuken te voorkomen. Dit nieuws benadrukt het belang van regelmatige beveiligingsupdates en het nauwlettend volgen van de beveiligingsbulletins van softwareleveranciers, vooral in de context van bestandsdelingsplatforms die gevoelige gegevens bevatten. [1, 2, 3, 4]
Kritische Beveiligingslek in WordPress-plug-in UserPro Stelt Wachtwoorden Bloot
Een ernstige kwetsbaarheid in de WordPress-plug-in UserPro, bekend als CVE-2023-2449, heeft tot grote bezorgdheid geleid binnen de cybersecuritygemeenschap. Deze kwetsbaarheid stelde aanvallers in staat om de wachtwoorden van alle gebruikers op een WordPress-site te wijzigen, inclusief die van de beheerders. Dit lek had potentieel verstrekkende gevolgen omdat het aanvallers de mogelijkheid bood om volledige controle over een website te krijgen. UserPro, een plug-in gebruikt op meer dan 20.000 websites, verbetert de standaard gebruikersbeheerfuncties van WordPress door opties zoals aangepaste registratieformulieren en inlogschermen toe te voegen. Het beveiligingsprobleem ontstond omdat UserPro de standaard wachtwoordresetfunctie van WordPress gebruikt, maar niet adequaat valideert. De plug-in gebruikte de plaintext waarde van de wachtwoordreset-key in plaats van een gehashte versie, wat het voor kwaadwillenden gemakkelijk maakte om deze te onderscheppen en te misbruiken. Wordfence, een securitybedrijf, ontdekte en rapporteerde het lek. Zij merkten op dat voor het misbruik van dit specifieke lek, aanvallers toegang moesten hebben tot een andere kwetsbaarheid. Wordfence identificeerde zelfs twee andere dergelijke kwetsbaarheden. De ontwikkelaars van UserPro werden op 10 mei geïnformeerd over de kwetsbaarheid. Op 27 juli brachten zij een gedeeltelijke oplossing uit, gevolgd door een volledige patch op 31 oktober in versie 5.1.5 van de plug-in. De ernst van het lek werd met een 9.8 beoordeeld op een schaal van 1 tot 10, wat de kritieke aard ervan onderstreept. Met het vrijgeven van de patch en het bekendmaken van de details door Wordfence, kunnen websitebeheerders nu actie ondernemen om hun sites tegen dergelijke aanvallen te beschermen. [1]
Routers en Videorecorders Kwetsbaar door Zerodaylekken
Een recent ontdekt botnet gebruikt zerodaylekken om routers en digitale videorecorders te infecteren, met als doel het uitvoeren van Distributed Denial of Service (DDoS) aanvallen. Deze ontdekking, gedaan door internetbedrijf Akamai en gepubliceerd op Security op 22 november 2023, onthult een significante kwetsbaarheid in deze apparaten. Het botnet richt zich op apparaten met standaard admin-inloggegevens. Het lijkt specifiek één model router van een niet nader genoemde fabrikant te targeten, hoewel een variant van dit model ook kwetsbaar lijkt. De gebruikte exploit maakt misbruik van een feature die in veel producten voorkomt, wat suggereert dat de code mogelijk ook voor andere apparaten gebruikt kan worden. Wat de digitale videorecorders betreft, betreft het een fabrikant die ongeveer honderd verschillende camera's produceert. Het is echter onduidelijk hoeveel modellen precies kwetsbaar zijn, aangezien systeeminformatie van besmette apparaten niet via het internet te achterhalen is. Akamai heeft de namen van de getroffen fabrikanten en modellen niet vrijgegeven, waarschijnlijk vanwege het ontbreken van beveiligingsupdates, die pas volgende maand worden verwacht. Om het risico op infectie te minimaliseren, heeft Akamai Snort- en YARA-regels vrijgegeven. Deze regels kunnen door beheerders worden gebruikt om mogelijke infecties in hun netwerken op te sporen. Het artikel benadrukt het belang van deze preventieve maatregelen, gezien de ernst van de kwetsbaarheid en het gebrek aan directe oplossingen. De reacties op het artikel onderstrepen de frustratie over het gebrek aan specifieke informatie en suggereren dat fabrikanten apparaten zouden moeten verschepen met willekeurige, voorgeïnstalleerde wachtwoorden om de veiligheid te verbeteren. Dit zou het risico op misbruik van dergelijke kwetsbaarheden verminderen. [1]
Kwetsbaarheden in Vingerafdrukcontrole van Windows Hello Blootgelegd
Onderzoekers hebben een kritieke kwetsbaarheid ontdekt in de vingerafdrukcontrole van Windows Hello op laptops van Dell, Lenovo en Microsoft. Dit systeem, dat gebruikers in staat stelt in te loggen met een vingerafdrukscan, werd onderzocht door het securitybedrijf Blackwing in opdracht van Microsoft. De bevindingen toonden aan dat de vingerafdrukauthenticatie op alle drie de geteste modellen – Dell Inspiron 15, Lenovo ThinkPad T14 en Microsoft Surface Pro Type Cover met Fingerprint ID – kon worden omzeild. Deze laptops gebruiken 'match on chip' (MoC) vingerafdruksensoren, waarbij biometrische gegevens op de chip zelf worden opgeslagen en verwerkt. Deze benadering is bedoeld om het risico van diefstal van biometrische data te minimaliseren. Echter, de onderzoekers identificeerden dat MoC-sensoren kwetsbaar zijn voor spoofing- en relay-aanvallen. Om deze kwetsbaarheden aan te pakken, heeft Microsoft het Secure Device Connection Protocol (SDCP) ontwikkeld. Dit protocol zorgt ervoor dat de vingerafdruksensor betrouwbaar en goed beveiligd is. Desondanks ontdekten de onderzoekers dat SDCP niet op alle laptops was geactiveerd. Bij de Dell-laptop werd een man-in-the-middle-aanval uitgevoerd waarbij de sensor werd vervangen door een Raspberry Pi, waardoor de aanvallers toegang kregen tot de vingerafdrukdatabase van Windows. Bij de Lenovo- en Microsoft-laptops werden succesvolle spoofing-aanvallen uitgevoerd. Als gevolg hiervan konden de onderzoekers zich voordoen als legitieme gebruikers. Het onderzoek benadrukt het belang van het activeren van veiligheidsprotocollen zoals SDCP en het continue verbeteren van de beveiliging van biometrische authenticatiesystemen. De resultaten hebben geleid tot diverse aanbevelingen voor fabrikanten om de beveiliging te versterken en de kwetsbaarheden aan te pakken. [1]
'Looney Tunables' Kwetsbaarheid in Linux
Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft recent melding gemaakt van actief misbruik van een ernstige kwetsbaarheid in Linux-systemen. Deze kwetsbaarheid, bekend als 'Looney Tunables' of CVE-2023-4911, bevindt zich in de GNU C Library, een cruciaal onderdeel van vele Linux-distributies. Deze kwetsbaarheid stelt aanvallers die reeds toegang hebben tot een Linux-systeem in staat om rootrechten te verkrijgen, waardoor ze volledige controle over het systeem kunnen uitoefenen. Het securitybedrijf Aqua Nautilus heeft ontdekt dat deze kwetsbaarheid actief wordt uitgebuit voor het installeren van Kinsing-malware, met name gericht op cloudomgevingen. Eenmaal toegang verkregen, verhogen de aanvallers hun rechten via deze kwetsbaarheid en installeren ze een webshell voor het behouden van toegang en het uitvoeren van verdere aanvallen. Het primaire doel van deze aanvallen lijkt het stelen van inloggegevens van cloudserviceproviders te zijn. In reactie op deze dreiging heeft CISA federale overheidsinstanties opgedragen de kwetsbaarheid te patchen voor 12 december. Er zijn al updates beschikbaar gesteld om deze kwetsbaarheid te verhelpen. Echter, kort na het uitkomen van deze updates, verschenen de eerste proof-of-concept exploits online, wat aangeeft dat de dreiging nog steeds actueel en ernstig is. Dit incident benadrukt het belang van snelle en effectieve reacties op beveiligingslekken in kritieke infrastructuur en systemen. Het toont ook de noodzaak aan voor continue monitoring en beveiligingsupdates om tegen dergelijke kwetsbaarheden beschermd te blijven. [1, 2]
Belangrijke Veiligheidsupdate voor NetScaler vereist actieve sessiebeëindiging
Organisaties die NetScaler ADC of NetScaler Gateway gebruiken, moeten een kritieke beveiligingsupdate installeren en vervolgens alle actieve of persistente sessies uitschakelen. NetScaler ADC wordt gebruikt om inkomend verkeer over servers te verdelen, terwijl NetScaler Gateway werknemers op afstand toegang biedt tot bedrijfsapplicaties en intranetten, wat essentieel is voor thuiswerken. De update, uitgebracht op 10 oktober, richt zich op de kritieke kwetsbaarheid CVE-2023-4966, ook bekend als 'CitrixBleed'. Dit lek stelt ongeauthenticeerde aanvallers in staat om toegang te krijgen tot het systeemgeheugen en sessietokens van gebruikers te stelen. Met deze tokens kunnen aanvallers toegang verkrijgen tot het systeem zonder inloggegevens of multifactorauthenticatie. Het lek werd al actief uitgebuit door aanvallers, waaronder de criminelen achter de LockBit-ransomware. Naast het installeren van de update, is het noodzakelijk voor organisaties om actieve en persistente sessies uit te schakelen en naar verdachte sessiepatronen en logs te kijken. NetScaler adviseert ook eigen forensisch onderzoek op ongepatchte servers. Gebruikersreacties benadrukken de complexiteit van het beheren van beveiligingsupdates, vooral wanneer continuïteit en veiligheid tegenstrijdig zijn. Sommigen suggereren dat high-availability opstellingen met meerdere apparaten een oplossing kunnen bieden, maar erkennen dat dit hogere kosten met zich meebrengt en geen absolute veiligheidsgarantie biedt. Het artikel benadrukt het belang van zorgvuldig beheer van beveiligingsupdates in een tijdperk van toenemende cyberaanvallen en afhankelijkheid van digitale technologieën in bedrijfsoperaties. [1]
Kwetsbaarheid in SSH-verbindingen Maakt RSA-sleutelonttrekking Mogelijk
Een groep academische onderzoekers uit Californië en Massachusetts heeft aangetoond dat passieve netwerkaanvallers onder bepaalde omstandigheden geheime RSA-sleutels kunnen verkrijgen uit fouten die leiden tot mislukte SSH (secure shell) verbindingspogingen. SSH is een cryptografisch netwerkprotocol voor beveiligde communicatie, veel gebruikt voor toegang op afstand, bestandsoverdrachten en systeembeheertaken. RSA, een veelgebruikt openbare-sleutelcryptosysteem in SSH voor gebruikersauthenticatie, maakt gebruik van een privé, geheime sleutel om communicatie te ontsleutelen die is gecodeerd met een openbare, deelbare sleutel. De onderzoekers Keegan Ryan, Kaiwen He, Nadia Heninger en George Arnold Sullivan publiceerden een paper waarin ze aantonen dat een passieve netwerkaanvaller een privé RSA-sleutel kan verkrijgen van SSH-servers die fouten ervaren tijdens de handtekeningberekening. Deze fouten, hoewel zeldzaam, zijn onvermijdelijk door hardwaregebreken. Ze ontdekten dat, door een groot genoeg pool van gegevens te analyseren, een aanvaller veel kansen voor exploitatie kan vinden. Een bekend probleem dat oudere versies van TLS beïnvloedt, werd in TLS 1.3 aangepakt door de handshake, die de verbinding tot stand brengt, te versleutelen. Dit voorkomt dat passieve afluisteraars de handtekeningen lezen. SSH werd eerder als veilig beschouwd tegen deze aanval, maar de onderzoekers bewezen dat het mogelijk is om RSA-geheimen te onttrekken met behulp van roostergebaseerde aanvallen die de privésleutel herstellen uit gedeeltelijk bekende nonces. De onderzoekers slaagden erin om 4,962 ongeldige handtekeningen te vinden die de factorisatie van de overeenkomstige RSA openbare sleutels onthulden, waardoor de bijbehorende privésleutels werden teruggevonden. Veel van deze geheimen kwamen van apparaten met kwetsbare implementaties, waarbij Zyxel-apparaten de grootste hoeveelheid handtekeningen leverden. De kwestie werd eerder dit jaar aan Cisco en Zyxel bekendgemaakt. Cisco bepaalde dat een geschikte mitigatie vorig jaar was geïntroduceerd in Cisco ASA en FTD Software. Zyxel ontdekte dat de door de onderzoekers gebruikte ZLD-firmwareversie was overgeschakeld op het gebruik van OpenSSL, wat het risico elimineert. De onderzoekers adviseren implementaties die handtekeningen valideren voordat ze worden verzonden, zoals de OpenSSH-suite die afhankelijk is van OpenSSL om handtekeningen te genereren. [pdf]
Kritieke Kwetsbaarheid in CrushFTP: Urgente Patch Vereist
In augustus 2023 ontdekten Converge beveiligingsonderzoekers een kritieke kwetsbaarheid in de CrushFTP enterprise suite, aangeduid als CVE-2023-43177. Deze kwetsbaarheid stelt ongeauthenticeerde aanvallers in staat om bestanden op de server te benaderen, code uit te voeren en platte tekstwachtwoorden te verkrijgen. De ontwikkelaars van CrushFTP reageerden snel met een patch in versie 10.5.2. Onlangs is een proof-of-concept (PoC) exploit voor deze kwetsbaarheid gepubliceerd door Converge, wat de urgentie verhoogt voor CrushFTP-gebruikers om de beveiligingsupdates zo snel mogelijk te installeren. De exploit maakt gebruik van een ongeauthenticeerde massatoewijzing kwetsbaarheid, waarbij AS2 header parsing wordt misbruikt om gebruikerssessie-eigenschappen te controleren. Dit stelt aanvallers in staat om bestanden te lezen en te verwijderen, wat kan leiden tot volledige systeemcontrole en root-level remote code execution. Aanvallers kunnen specifieke poorten (80, 443, 8080, 9090) gebruiken om payloads naar de CrushFTP-service te sturen, wat sporen achterlaat in logbestanden. Vervolgens overschrijven ze sessiegegevens met Java's 'putAll()' functie, waardoor ze zich als 'administrators' kunnen voordoen en de 'drain_log()' functie kunnen gebruiken om bestanden naar behoefte te manipuleren voor stealth. Door het 'sessions.obj' bestand in de programmainstallatiemap te misbruiken, kunnen aanvallers live gebruikerssessies van admin-accounts kapen, wat leidt tot privilege-escalatie. Met admin-toegang kunnen aanvallers fouten in de admin panel's behandeling van SQL driver laden en database configuratie testen (testDB) uitbuiten om willekeurige Java-code uit te voeren. Converge meldt dat er ongeveer 10.000 publiek toegankelijke CrushFTP-instanties zijn, plus mogelijk vele meer achter bedrijfsfirewalls. Dit maakt het een aantrekkelijk doelwit voor ransomware-acteurs zoals Clop. De onderzoekers benadrukken dat zelfs met de patches, CrushFTP-endpoints niet volledig beveiligd zijn tegen alle dreigingen. Ze raden aanom CrushFTP te updaten naar de laatste versie, automatische beveiligingsupdates in te schakelen, het wachtwoordalgoritme te wijzigen naar Argon, ongeautoriseerde gebruikers te controleren en de nieuwe Limited Server-modus te activeren voor verbeterde beveiliging. Extra maatregelen omvatten het gebruik van een beperkt privilege besturingssysteem serviceaccount voor CrushFTP, het implementeren van Nginx of Apache als reverse proxy voor publiek toegankelijke servers, en firewallregels instellen om CrushFTP-verkeer te beperken tot vertrouwde IP-bereiken en hosts. Deze maatregelen zijn essentieel om opportunistische aanvallen te voorkomen. [1]
Kritieke Kwetsbaarheid in Sophos Web Appliance Actief Misbruikt
Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft een waarschuwing uitgegeven over een kritieke kwetsbaarheid in de Sophos Web Appliance. Deze kwetsbaarheid, aangeduid als CVE-2023-1671, maakt het mogelijk voor aanvallers om op afstand code uit te voeren. De Sophos Web Appliance is een webproxy die wordt ingezet voor het controleren van internetverkeer. In april van dit jaar heeft Sophos een update uitgebracht om deze kritieke kwetsbaarheid aan te pakken. De ernst van de kwetsbaarheid is beoordeeld met een 9.8 op een schaal van 1 tot 10, wat duidt op een zeer hoge impact. Sophos gaf aan dat klanten geen actie hoefden te ondernemen bij het verschijnen van de update, aangezien hun systemen standaard zijn ingesteld om updates automatisch te installeren. Echter, sinds 20 juli is de betreffende appliance end-of-life verklaard, wat betekent dat deze niet meer wordt ondersteund door Sophos. Het CISA heeft CVE-2023-1671 toegevoegd aan hun lijst van actief aangevallen kwetsbaarheden. Specifieke details over de aard van de aanvallen of hoe deze worden uitgevoerd, zijn niet door de overheidsinstantie verstrekt. Wel is er een dringende oproep aan Amerikaanse overheidsorganisaties gedaan om voor 7 december van dit jaar de noodzakelijke update te installeren, om zich tegen deze kwetsbaarheid te beschermen. Deze situatie benadrukt het belang van tijdige updates en voortdurende ondersteuning voor cybersecurity-apparatuur, vooral in het licht van toenemende cyberdreigingen. (bron)
Beveiligingsexpert Bekritiseert Citrix voor Rol in Ransomware-aanvallen
In een recent artikel bekritiseert beveiligingsexpert Kevin Beaumont Citrix vanwege hun rol in recente ransomware-aanvallen, waarbij een kritieke kwetsbaarheid in Citrix NetScaler ADC en NetScaler Gateway is uitgebuit. Deze servers, gebruikt door organisaties om internetverkeer te beheren en werknemers op afstand toegang te geven tot bedrijfsapplicaties, zijn kwetsbaar door CVE-2023-4966. Deze kwetsbaarheid stelt een ongeauthenticeerde aanvaller in staat om toegang tot het systeemgeheugen te krijgen en sessietokens van gebruikers te stelen, waardoor ze toegang tot het systeem kunnen krijgen zonder inloggegevens of multifactorauthenticatie. Beaumont merkt op dat veel slachtoffers van de Lockbit-ransomware een kwetsbaar NetScaler-apparaat in hun netwerk hadden. Hij benadrukt de noodzaak van snelle actie bij dergelijke kwetsbaarheden, met name binnen 24 uur. De onderzoeker bekritiseert ook het feit dat Citrix NetScaler de exploit requests niet logt, waardoor organisaties niet kunnen weten of ze zijn aangevallen, een gebrek dat Citrix moet aanpakken. Verder wordt opgemerkt dat veel leveranciers, waaronder Citrix, producten leveren met lagere beveiligingsstandaarden dan in de jaren 1990, terwijl ze zichzelf als experts voordoen. Beaumont pleit ervoor dat leveranciers veiligere producten moeten maken of door overheden daartoe gedwongen moeten worden. Hij sluit af met de oproep aan overheden om te stoppen met het betalen van losgeld voor ransomware en dringt aan op strengere beveiligingsmaatregelen van leveranciers. Reacties op het artikel wijzen op eerdere problemen met Citrix en benadrukken de noodzaak van interne audits bij bedrijven om lekken op te sporen, met name in het licht van toegenomen thuiswerken. (bron)
Kritieke Beveiligingskwetsbaarheid Ontdekt in FortiSIEM van Fortinet
Fortinet heeft klanten geïnformeerd over een kritieke OS-commando-injectiekwetsbaarheid in de FortiSIEM-rapportserver, die door externe, niet-geauthenticeerde aanvallers kan worden misbruikt om commando's uit te voeren via speciaal vervaardigde API-verzoeken. FortiSIEM, een uitgebreide cyberbeveiligingsoplossing, wordt gebruikt in diverse sectoren zoals gezondheidszorg, financiën, detailhandel, e-commerce, overheid en publieke sector.
De kwetsbaarheid, nu geïdentificeerd als CVE-2023-36553, werd ontdekt door het productbeveiligingsteam van Fortinet en kreeg een ernstscore van 9.3, terwijl het Amerikaanse National Institute of Standards and Technology (NIST) een score van 9.8 toekende. Deze kwetsbaarheid is een variant van een andere kritieke beveiligingskwestie, CVE-2023-34992, die eerder in oktober werd verholpen. Het probleem ontstaat door onjuiste neutralisatie van speciale elementen in commando's, waardoor een externe, niet-geauthenticeerde aanvaller ongeautoriseerde commando's kan uitvoeren. Dit kan leiden tot ongeoorloofde gegevenstoegang, wijziging of verwijdering. Getroffen versies zijn FortiSIEM-uitgaven van 4.7 tot 5.4. Fortinet raadt systeembeheerders aan om te upgraden naar versies 6.4.3, 6.5.2, 6.6.4, 6.7.6, 7.0.1, of 7.1.0 en later. Fortinet-producten, waaronder firewalls, endpoint-beveiliging en inbraakdetectiesystemen, worden vaak getarget door geavanceerde, door staten gesteunde hackgroepen voor toegang tot netwerken van organisaties. In 2023 bevestigden verschillende cybersecurityrapporten dat bugs in Fortinet-producten werden uitgebuit door Iraanse hackers om Amerikaanse luchtvaartbedrijven en Chinese cyber-espionageclusters aan te vallen. Bovendien zijn er gevallen geweest waarin hackers zero-day kwetsbaarheden in Fortinet-producten exploiteerden om overheidsnetwerken te infiltreren. (bron, bron2, bron3)
SQL Injectie Kwetsbaarheid in WP Fastest Cache Plugin Risico voor 600K WordPress Sites
De WP Fastest Cache plugin voor WordPress, een tool gebruikt om de laadsnelheid van pagina's te verbeteren en zo de gebruikerservaring en Google-zoekrangschikking te optimaliseren, is geïdentificeerd als kwetsbaar voor een SQL injectie. Dit beveiligingslek, met de aanduiding CVE-2023-6063 en een hoge ernstscore van 8.6, kan onbevoegden toegang geven tot de inhoud van de site's database. Meer dan 600.000 websites die nog steeds een kwetsbare versie van de plugin gebruiken, lopen risico op mogelijke aanvallen. De kwetsbaarheid, die alle versies van de plugin voor 1.2.2 beïnvloedt, treedt op wanneer software invoer accepteert die rechtstreeks SQL-query's manipuleert. Dit kan leiden tot het uitvoeren van willekeurige SQL-code, die privé-informatie kan ophalen of commando's kan uitvoeren. De specifieke fout bevindt zich in de 'is_user_admin'-functie van de 'WpFastestCacheCreateCache'-klasse, die bedoeld is om te controleren of een gebruiker een beheerder is door de '$username'-waarde uit cookies te halen. Echter, omdat de '$username'-invoer niet wordt gesaneerd, kan een aanvaller deze cookie-waarde manipuleren om de SQL-query van de plugin te wijzigen, wat leidt tot ongeoorloofde toegang tot de database. De databases van WordPress bevatten over het algemeen gevoelige informatie zoals gebruikersgegevens (IP-adressen, e-mails, ID's), accountwachtwoorden, configuratie-instellingen voor plugins en thema's, en andere gegevens die nodig zijn voor de functies van de site. Hoewel WPScan, een team van Automattic, een proof-of-concept (PoC) exploit voor CVE-2023-6063 zal vrijgeven op 27 november 2023, is de kwetsbaarheid niet complex en kunnen hackers mogelijk zelf uitvinden hoe deze te misbruiken. Een fix is beschikbaar gesteld door de ontwikkelaar van WP Fastest Cache in versie 1.2.2. Alle gebruikers van de plugin worden geadviseerd om zo snel mogelijk naar de nieuwste versie te upgraden. Een reactie van PluginVulns onthult enkele onnauwkeurigheden in het verslag van het probleem. Ze benadrukken dat de ontwikkelaar de kwetsbaarheid bijna had onthuld, maar de fix niet onmiddellijk algemeen beschikbaar maakte. Verder wijzen ze erop dat de kwetsbaarheid niet alle eerdere versies beïnvloedt, maar pas werd geïntroduceerd in versie 1.0.8, en dat de fix niet ideaal is, omdat deze geen gebruik maakt van een voorbereide verklaring voor de getroffen SQL-instructie. (bron, bron2, bron3)
Intel repareert kritieke Reptar-CPU-kwetsbaarheid in moderne processoren
Intel heeft een ernstige kwetsbaarheid in de CPU's van moderne desktop-, server-, mobiele en ingebedde systemen gerepareerd, waaronder de recente Alder Lake, Raptor Lake en Sapphire Rapids microarchitecturen. Deze kwetsbaarheid, bekend als CVE-2023-23583 en beschreven als een 'Redundant Prefix Issue', kan door aanvallers worden uitgebuit om privileges te escaleren, toegang te krijgen tot gevoelige informatie of een denial of service-toestand te veroorzaken, wat vooral voor cloudproviders kostbaar kan zijn. Onder bepaalde microarchitecturale omstandigheden kan de uitvoering van een instructie (REP MOVSB) met een overbodige REX-prefix leiden tot onvoorspelbaar systeemgedrag, zoals systeemcrashes of hangs. In sommige gevallen kan dit zelfs leiden tot privilege escalatie. Intel verwacht echter niet dat deze kwestie in de praktijk door niet-malafide software zal worden ondervonden, aangezien overbodige REX-prefixen doorgaans niet in code aanwezig zijn of door compilers worden gegenereerd. Specifieke systemen met de getroffen processoren hebben al vóór november 2023 geüpdatete microcodes ontvangen, zonder waargenomen of verwachte impact op de prestaties. Intel heeft ook microcode-updates uitgebracht voor andere CPU's en adviseert gebruikers hun BIOS, besturingssysteem en drivers bij te werken om de nieuwste microcode van hun OEM, OSV en hypervisorleveranciers te ontvangen. Intel beveelt aan de getroffen processoren zo snel mogelijk bij te werken naar de microcodeversie die in de tabel van getroffen processoren staat vermeld. Besturingssysteemleveranciers (OSVs) kunnen ook updates met deze nieuwe microcode zo snel mogelijk beschikbaar stellen. Google-onderzoeker Tavis Ormandy onthulde dat deze beveiligingsbug ook onafhankelijk door meerdere onderzoeksteams binnen Google is ontdekt, waaronder Google Information Security Engineering en het silifuzz-team, die het Reptar noemden. De kwetsbaarheid is gerelateerd aan hoe overbodige prefixes door de CPU worden geïnterpreteerd, wat kan leiden tot het omzeilen van de beveiligingsgrenzen van de CPU indien succesvol uitgebuit. Tijdens tests werden ongebruikelijke gedragingen waargenomen, zoals vertakkingen naar onverwachte locaties, en het negeren van onvoorwaardelijke vertakkingen. Als meerdere kernen dezelfde bug activeerden, begon de processor machine check exceptions te rapporteren en stil te vallen. Eerder dit jaar ontdekten Google-onderzoekers ook de Downfall-kwetsbaarheid die moderne Intel CPU's treft en de Zenbleed-kwetsbaarheid, waardoor aanvallers gevoelige gegevens zoals wachtwoorden en encryptiesleutels van systemen met AMD Zen2 CPU's kunnen stelen. Ook heeft AMD vandaag een kwetsbaarheid gepatcht genaamd CacheWarp, waardoor kwaadwillenden AMD SEV-beveiligde VM's kunnen hacken voor privilege escalatie en externe code-uitvoering. (bron, bron2, bron3, bron4, bron5)
New write-up on an Intel Ice Lake CPU vulnerability, we can effectively corrupt the RoB with redundant prefixes! 🔥 An updated microcode is available today for all affected products, cloud providers should patch ASAP.https://t.co/7fPo45iddV
— Tavis Ormandy (@taviso) November 14, 2023
Belangrijke Beveiligingsupdates in Microsoft's November 2023 Patch Tuesday
Microsoft's November 2023 Patch Tuesday omvatte belangrijke beveiligingsupdates voor in totaal 58 kwetsbaarheden en vijf zero-day kwetsbaarheden. Er werden veertien externe code-uitvoeringsfouten (RCE) gerepareerd, waarvan er slechts één als kritiek werd beoordeeld. Drie kritieke fouten die werden hersteld zijn een Azure-informatielek, een RCE in Windows Internet Connection Sharing (ICS), en een Hyper-V ontsnappingsfout die de uitvoering van programma's op de host met SYSTEM-bevoegdheden mogelijk maakt. De 58 kwetsbaarheden omvatten 16 verhogingen van bevoorrechte kwetsbaarheden, zes beveiligingsfunctie-omzeilingskwetsbaarheden, vijftien externe code-uitvoeringskwetsbaarheden, zes informatie-onthullingskwetsbaarheden, vijf ontkenning-van-dienst kwetsbaarheden en elf spoofing-kwetsbaarheden. Deze telling van 58 fouten omvat niet vijf Mariner-beveiligingsupdates en twintig Microsoft Edge-beveiligingsupdates die eerder deze maand zijn uitgebracht. Van de vijf zero-day kwetsbaarheden waren er drie actief uitgebuit en drie publiekelijk onthuld. De drie actief uitgebuite zero-day kwetsbaarheden in de updates van vandaag zijn: CVE-2023-36036 (Windows Cloud Files Mini Filter Driver Elevation of Privilege Vulnerability), CVE-2023-36033 (Windows DWM Core Library Elevation of Privilege Vulnerability) en CVE-2023-36025 (Windows SmartScreen Security Feature Bypass Vulnerability). Daarnaast werden twee andere publiekelijk onthulde zero-day bugs, CVE-2023-36413 (Microsoft Office Security Feature Bypass Vulnerability) en CVE-2023-36038 (ASP.NET Core Denial of Service Vulnerability), ook opgelost als onderdeel van de Patch Tuesday van deze maand. Andere leveranciers die updates of adviezen uitbrachten in november 2023 zijn onder meer Cisco, Citrix, Google, Juniper, Microsoft Exchange, QNAP, SAP en SysAid. Deze bedrijven losten verschillende kwetsbaarheden op variërend van kritieke commando-injectiefouten tot zero-day kwetsbaarheden die in Clop ransomware-aanvallen werden uitgebuit. (bron)
Kritieke Azure CLI Kwetsbaarheid Verholpen: Bescherming Tegen Credential Leaks
Microsoft heeft een kritieke beveiligingsfout in Azure CLI, de command-line interface voor Azure, gerepareerd. Deze kwetsbaarheid, aangeduid als CVE-2023-36052, maakte het mogelijk voor aanvallers om inloggegevens te stelen uit logbestanden gegenereerd door GitHub Actions of Azure DevOps. Het lek werd ontdekt door beveiligingsonderzoeker Aviad Hahami van Palo Alto. De fout liet ongeautoriseerde aanvallers toe om toegang te krijgen tot platte tekstgegevens in CI/CD-logbestanden (Continuous Integration and Continuous Deployment) die door Azure CLI waren geschreven. Dit betekende dat aanvallers wachtwoorden en gebruikersnamen konden herstellen uit de betrokken logbestanden. Om beschermd te zijn tegen deze kwetsbaarheid, moeten gebruikers hun Azure CLI updaten naar versie 2.53.1 of hoger. Dit geldt ook voor klanten die deze commando's hebben gebruikt via Azure DevOps en/of GitHub Actions. Microsoft adviseerde alle klanten om hun Azure CLI-software te updaten naar de nieuwste versie (2.54) en heeft stappen aanbevolen om onbedoelde blootstelling van geheimen in CI/CD-logbestanden te voorkomen. Deze omvatten het regelmatig bijwerken van Azure CLI, het vermijden van het openbaar maken van Azure CLI-uitvoer in logbestanden, het regelmatig roteren van sleutels en geheimen, en het naleven van best practices voor het beheren van geheimen in Azure-diensten. Naast de update heeft Microsoft de standaardconfiguratie van Azure CLI aangepast om de veiligheid te verhogen en onbedoelde blootstelling van gevoelige informatie te voorkomen. De nieuwe instelling beperkt de weergave van geheimen in de uitvoer die wordt gegenereerd door update-opdrachten met betrekking tot diensten binnen de App Service-familie. Versies van Azure CLI vóór 2.53.1 blijven echter kwetsbaar voor exploitatie. Verder heeft Microsoft de mogelijkheden voor het herkennen en verbergen van sleutelpatronen in GitHub Actions en Azure Pipelines uitgebreid. Dit zorgt ervoor dat Microsoft-uitgegeven sleutels worden gedetecteerd voordat ze per ongeluk worden gelekt in openbaar toegankelijke logbestanden. Hahami benadrukt het belang van het updaten van Azure CLI-versies in CI-runners en ontwikkelmachines naar 2.54 om te zorgen dat geen geheimen worden geprint naar de logs. (bron, bron2)
Belangrijke Windows 10 KB5032189 Update met Elf Verbeteringen
Microsoft heeft een cruciale cumulatieve update, KB5032189, uitgebracht voor Windows 10 versies 21H2 en 22H2. Deze update bevat elf fixes voor diverse problemen en maakt deel uit van de beveiligingsupdates van Patch Tuesday van november 2023. Het is een verplichte update die automatisch wordt geïnstalleerd na het controleren op updates via de instellingen van Windows Update, maar gebruikers kunnen de tijd van de herstart van hun computer plannen om de installatie te voltooien. Na installatie wordt Windows 10 22H2 bijgewerkt naar build 19045.3693 en Windows 10 21H2 naar build 19044.3693. De update pakt verschillende problemen aan, waaronder een probleem met touchscreens die niet goed werken bij gebruik van meer dan één display, ondersteuning voor wijzigingen in zomertijd in Syrië, en geheugenlekken in ctfmon.exe en TextInputHost.exe. Er zijn ook fixes voor een afdrukfout met v4 printdrivers, een probleem waarbij Outlook niet reageert bij het printen naar IPP-printers met trage reactietijden, en connectiviteitsproblemen gerelateerd aan netwerkinterfacekaarten zonder standaard gateway. Bovendien zijn COSA-profielen bijgewerkt voor bepaalde mobiele operators, problemen met Windows Defender Application Control (WDAC) aangepakt, wijzigingen aangebracht in de kwartaallijst van kwetsbare drivers in de Windows Kernel, en een probleem opgelost met robocopy en de /efsraw-schakelaar. Het enige bekende probleem met deze update is een rapportagefout in BitLocker, maar Microsoft verzekert dat deze fouten genegeerd kunnen worden en dat er aan een oplossing wordt gewerkt. (bron, bron2, bron3, bron4)
Kritieke Beveiligingslek in VMware Cloud Director Appliance
VMware heeft een waarschuwing uitgegeven over een kritieke kwetsbaarheid in de VMware Cloud Director Appliance (VCD Appliance). Deze kwetsbaarheid, geïdentificeerd als CVE-2023-34060, stelt een aanvaller in staat om de authenticatie te omzeilen. Dit kan leiden tot ongeautoriseerde toegang tot het systeem via poort 22 (SSH) of poort 5480 (appliance management console). Het probleem treedt op bij systemen die van een oudere versie naar versie 10.5 zijn geüpgraded; het is niet aanwezig in nieuwe installaties van de VCD Appliance. De ernst van dit beveiligingslek is hoog, met een score van 9.8 op een schaal van 10. Hoewel er nog geen update beschikbaar is om het probleem volledig te verhelpen, heeft VMware een tijdelijke oplossing aangeboden in de vorm van een script. (bron, bron2)
Microsoft Pakt Drie Actief Exploiteerde Zero-Day Leemtes in Windows Aan
In november heeft Microsoft tijdens haar maandelijkse patchdinsdag 63 kwetsbaarheden in Windows aangepakt, waaronder drie zero-day leemtes die actief werden uitgebuit. De details van deze aanvallen zijn niet door Microsoft bekendgemaakt, maar de gevolgen ervan zijn significant. De eerste twee kwetsbaarheden, gevonden in de Windows DWM Core Library (CVE-2023-36033) en de Windows Cloud Files Mini Filter Driver (CVE-2023-36036), stelden een aanvaller die al toegang tot het systeem had in staat om SYSTEM-rechten te verkrijgen. Deze rechten zijn cruciaal, aangezien ze de aanvaller volledige controle over het systeem geven, waardoor hij of zij naar wens wijzigingen kan aanbrengen of gegevens kan stelen. De derde kwetsbaarheid, geïdentificeerd als CVE-2023-36025, betrof een omzeiling van Microsofts SmartScreen-beveiligingsfunctie. SmartScreen is ontworpen om gebruikers te waarschuwen wanneer ze bestanden openen die van het internet zijn gedownload, door potentieel gevaarlijke inhoud te markeren. Door deze beveiliging te omzeilen, konden kwaadwillenden bestanden laten lijken alsof ze veilig waren, wat in het afgelopen jaar is uitgebuit in onder andere ransomware-aanvallen. Deze kwetsbaarheden benadrukken het voortdurende risico van cyberaanvallen en de noodzaak voor regelmatige software-updates om systemen te beschermen. Microsoft heeft aangegeven dat de updates voor deze kwetsbaarheden op de meeste systemen automatisch geïnstalleerd zullen worden, wat een cruciale stap is in het handhaven van de veiligheid van gebruikers en het voorkomen van toekomstige exploits. Deze gebeurtenis onderstreept het belang van waakzaamheid in de steeds evoluerende wereld van cybersecurity, waarin bedreigingen snel opduiken en net zo snel aangepakt moeten worden. Het blijft essentieel voor organisaties en individuele gebruikers om alert te blijven op updates en wijzigingen in hun software, om hun gegevens en privacy te beschermen tegen deze constant veranderende cyberdreigingen. (bron)
Ernstige Citrix-kwetsbaarheid leidt tot significante incidenten in het VK
Een kritieke kwetsbaarheid in Citrix NetScaler, aangeduid als CVE-2023-3519, heeft in het Verenigd Koninkrijk tot dertien 'nationaal aanzienlijke incidenten' geleid, zoals gerapporteerd door het Britse National Cyber Security Centre (NCSC). Citrix waarschuwde in juli voor dit zerodaylek, dat actief werd gebruikt in cyberaanvallen, en bracht updates uit om de kwetsbaarheid te verhelpen. Het NCSC ontving in totaal een recordaantal van tweeduizend meldingen over beveiligingsincidenten gedurende het jaar. De meeste incidenten waren gerelateerd aan het misbruik van kwetsbaarheden in applicaties, waardoor aanvallers toegang konden krijgen tot organisatienetwerken. De Citrix-kwetsbaarheid stelde ongeauthenticeerde aanvallers in staat om kwetsbare servers over te nemen, met name de NetScaler ADC en NetScaler Gateway. Laatstgenoemde wordt veelal gebruikt door bedrijven om thuiswerkend personeel toegang te verlenen tot bedrijfssystemen. Om toekomstige incidenten te voorkomen en de gevolgen van slechte cyberhygiëne tegen te gaan, heeft het NCSC meer dan zestien duizend waarschuwingen over kwetsbare applicaties verstuurd. Details over de specifieke incidenten en hun impact zijn echter niet openbaar gemaakt.
Dringende Waarschuwing van CISA over Actief Uitgebuite Kwetsbaarheden in Juniper Apparaten
CISA (Cybersecurity and Infrastructure Security Agency) heeft federale agentschappen in de Verenigde Staten gewaarschuwd om Juniper netwerkapparaten te beveiligen tegen vier kwetsbaarheden die momenteel worden uitgebuit voor Remote Code Execution (RCE) aanvallen. Deze waarschuwing volgde nadat Juniper een update van hun advies uitbracht waarin klanten werden geïnformeerd over de actieve uitbuiting van deze kwetsbaarheden in de J-Web interface, geïdentificeerd als CVE-2023-36844, CVE-2023-36845, CVE-2023-36846, en CVE-2023-36847. Juniper's Security Incident Response Team (SIRT) bevestigde de succesvolle uitbuiting van deze kwetsbaarheden en drong er bij klanten op aan onmiddellijk hun systemen te upgraden. ShadowServer, een dreigingsmonitoringservice, had al exploitatiepogingen opgemerkt sinds 25 augustus, een week na Juniper's beveiligingsupdates en de publicatie van een Proof-of-Concept (PoC) exploit door watchTowr Labs onderzoekers. Volgens ShadowServer-data zijn meer dan 10.000 Juniper-apparaten met kwetsbare J-Web interfaces online blootgesteld, waarvan de meeste zich in Zuid-Korea bevinden. Netwerkbeheerders worden aangespoord hun apparaten onmiddellijk te beveiligen door JunOS te upgraden naar de nieuwste versie of, als minimale voorzorgsmaatregel, de toegang tot de J-Web interface vanaf het internet te beperken. CISA heeft deze kwetsbaarheden ook toegevoegd aan hun 'Known Exploited Vulnerabilities Catalog', waarmee ze aangemerkt worden als frequente aanvalsvectoren voor kwaadwillende cyberactoren en een aanzienlijk risico vormen. Amerikaanse federale agentschappen moeten nu binnen een bepaalde termijn actie ondernemen om hun Juniper-apparaten te beveiligen, in lijn met een bindende operationele richtlijn (BOD 22-01) die een jaar geleden werd uitgevaardigd. (bron, bron2)
Ernstige Kwetsbaarheid in Qualcomm Software Bedreigt Androidtelefoons via Wifi
Op 10 november 2023 werd een ernstige kwetsbaarheid in de software van chipfabrikant Qualcomm bekend, die een directe bedreiging vormt voor Androidtelefoons door middel van wifi-aanvallen. Als reactie hierop heeft Google beveiligingsupdates vrijgegeven. Deze updates, onderdeel van de november patchronde, pakken 39 kwetsbaarheden aan in zowel de eigen code van Google als in de componenten van chipsetfabrikanten, inclusief Qualcomm.
Een van de meest kritieke kwetsbaarheden, geïdentificeerd als CVE-2023-40113, bevindt zich in het Android System. Deze kwetsbaarheid maakt het voor lokale aanvallers of schadelijke apps mogelijk om zonder extra rechten gevoelige informatie van gebruikers te stelen. Hoewel specifieke details ontbreken, worden dergelijke 'local information disclosure' kwetsbaarheden normaal niet als kritiek beschouwd. Verder zijn er vier kritieke kwetsbaarheden in Qualcomm's software verholpen, waaronder CVE-2023-33045 en CVE-2023-22388. Deze stellen aanvallers in staat om op afstand code uit te voeren, met een risicoscore van 9.8 op een schaal van 1 tot 10. In het bijzonder CVE-2023-33045, een lek in de wifi-firmware, treft meer dan 128 verschillende Qualcomm-chipsets en kan worden uitgebuit door het versturen van een kwaadaardig NAN (Neighbor Awareness Networking) frame, wat kan leiden tot geheugencorruptie. Google gebruikt patchniveaus, aangeduid met datums, om hun updates te classificeren. Apparaten die de november-updates hebben ontvangen, zullen '2023-11-01' of '2023-11-05' als patchniveau weergeven. Om dit niveau te bereiken, moeten fabrikanten alle updates van het novemberbulletin van Google integreren in hun eigen updates, die vervolgens worden uitgerold naar gebruikers. De updates zijn beschikbaar voor Android-versies 11, 12, 12L en 13. Ondanks dat fabrikanten een maand voor de openbaarmaking zijn gewaarschuwd, is het niet zeker dat alle Androidtoestellen de updates ontvangen, afhankelijk van de ondersteunings- en updatestrategieën van de fabrikanten. Dit benadrukt het cruciale belang van regelmatige software-updates en alertheid op mogelijke cyberdreigingen voor mobiele apparaten. (bron, bron2)
⚠️ Kritiek Atlassian Confluence Lek Leidt tot Maximale CVSS-Score
Een recent ontdekt beveiligingslek in Atlassian Confluence Data Center en Server, geïdentificeerd als CVE-2023-22518, wordt actief uitgebuit door cybercriminelen. Deze kwetsbaarheid maakt onder meer het uitvoeren van ransomware-aanvallen mogelijk. Als gevolg van de actieve uitbuiting is de CVSS-score (Common Vulnerability Scoring System) van het lek verhoogd naar de maximale waarde van 10. Dit is bekendgemaakt door Atlassian in een security advisory, wat wordt bevestigd door een advisory van Rapid7, die een significante toename in het aantal aanvallen rapporteerde. De kwetsbaarheid betreft een probleem met de autorisatie van gebruikers met een beheerdersaccount. Onbevoegden kunnen het systeem resetten en een nieuw beheerdersaccount voor Confluence aanmaken. Met dit account kunnen aanvallers alle administratieve taken uitvoeren die normaal gesproken alleen door de Confluence-beheerder worden gedaan. De gevolgen kunnen variëren van datadiefstal en corruptie tot het onbereikbaar maken van het Confluence-systeem. Atlassian kan op dit moment niet bepalen welke klantinstances getroffen zijn door de aanvallen. Het bedrijf heeft wel waarschuwingssignalen gedeeld waar securityteams op kunnen letten. Deze signalen omvatten het verlies van toegang of inlogmogelijkheden, verdachte verzoeken in logbestanden, de installatie van onbekende plugins zoals "web.shell.Plugin", encryptie of corruptie van data, onverwachte leden in de Confluence-administrators groep, en onverwachts aangemaakte gebruikersaccounts. Deze ontwikkeling benadrukt de noodzaak voor organisaties om hun beveiligingsmaatregelen voortdurend te evalueren en te verbeteren, en om alert te blijven op tekenen van compromittering, met name in de licht van steeds verfijndere aanvalsmethoden van cybercriminelen. (bron)
Kritieke Kwetsbaarheden in Veeam ONE Platform Aangepakt met Hotfixes
Veeam heeft vandaag hotfixes uitgebracht voor vier kwetsbaarheden in hun Veeam ONE IT-infrastructuur monitoring- en analyseplatform, waarvan twee kritiek zijn. De kritieke beveiligingslekken, met bijna maximale ernstscores van 9.8 en 9.9 op 10, stellen aanvallers in staat om op afstand code uit te voeren (RCE) en NTLM hashes te stelen van kwetsbare servers. De overige twee kwetsbaarheden zijn van gemiddelde ernst en vereisen interactie van de gebruiker of hebben een beperkte impact. Eén kritieke kwetsbaarheid, geïdentificeerd als CVE-2023-38547, maakt het voor een niet-geauthenticeerde gebruiker mogelijk om informatie te verkrijgen over de SQL-serververbinding die Veeam ONE gebruikt voor toegang tot zijn configuratiedatabase, wat kan leiden tot RCE op de SQL-server die de Veeam ONE configuratiedatabase host. De tweede kritieke kwetsbaarheid, CVE-2023-38548, stelt een onbevoegde gebruiker die toegang heeft tot de Veeam ONE Web Client in staat om de NTLM-hash van de account gebruikt door de Veeam ONE Reporting Service te verkrijgen. Een andere beveiligingsfout, CVE-2023-38549, zou aanvallers met de rol van Power User in staat kunnen stellen om het toegangstoken van een admin te stelen in een Cross-Site Scripting (XSS)-aanval, wat gebruikersinteractie vereist van iemand met de Veeam ONE Administrator-rol. De vierde kwetsbaarheid, CVE-2023-41723, stelt kwaadwillenden met de rol van Read-Only User in staat om toegang te krijgen tot de Dashboard Schedule, hoewel zij geen wijzigingen kunnen aanbrengen. Deze kwetsbaarheden hebben invloed op actief ondersteunde versies van Veeam ONE tot aan de nieuwste release. Veeam heeft hotfixes vrijgegeven om ze te verhelpen, en beheerders moeten de monitoring- en rapportageservices van Veeam ONE op getroffen servers stoppen, de bestanden op de schijf vervangen door de bestanden in de hotfix en de services herstarten om de hotfixes te implementeren. In maart repareerde Veeam ook een ernstige Backup Service-kwetsbaarheid in de Backup & Replication-software, die later werd aangevallen door de FIN7-dreigingsgroep, bekend om zijn connecties met meerdere ransomware-operaties. Maanden later exploiteerde de Cuba ransomware-bende de bug om doelwitten in de Verenigde Staten en IT-bedrijven in Latijns-Amerika aan te vallen. Veeam meldt dat hun software wordt gebruikt door meer dan 450.000 klanten wereldwijd, inclusief 82% van de Fortune 500-bedrijven en 72% van de bedrijven genoteerd in de Global 2,000. (bron, bron2)
Kritieke Beveiligingslekken in QNAP NAS-Systemen Aangepakt
QNAP heeft gebruikers van zijn NAS-systemen gewaarschuwd voor twee kritieke beveiligingslekken die kwaadwillenden de mogelijkheid geven om via het netwerk commando's te injecteren en code uit te voeren op de getroffen systemen. De eerste kwetsbaarheid, aangeduid met CVE-2023-23368 en met een ernstscore van 9,8 op een schaal van 10, treft de QTS versies 5.0.x en 4.5.x, QuTS hero h5.0.x en h4.5.x, en QuTScloud c5.0.1. QNAP heeft updates uitgebracht om deze kwetsbaarheid te dichten, beschikbaar vanaf QTS 5.0.1.2376 build 20230421 en later, met overeenkomstige updates voor andere versies. Een tweede lek, gelabeld als CVE-2023-23369 met een ernstscore van 9,0, betreft meerdere versies van QTS, Multimedia Console en Media Streaming add-on. Voor alle kwetsbare versies zijn patches uitgebracht, beginnend bij QTS 5.1.0.2399 build 20230515 en latere versies, toten met updates voor de Multimedia Console en Media Streaming add-on die in juni 2023 zijn vrijgegeven. Gebruikers van QNAP NAS-systemen worden dringend aangeraden hun systemen zo spoedig mogelijk te updaten om zich te beschermen tegen deze beveiligingsrisico's. De uitgebrachte patches zorgen ervoor dat de kwetsbaarheden worden aangepakt en voorkomen dat aanvallers misbruik kunnen maken van de beveiligingslekken om ongeautoriseerde commando's uit te voeren op de netwerkopslagapparaten. QNAP blijft zich inzetten voor het beschermen van zijn klanten door regelmatig beveiligingsupdates te bieden voor zijn producten.
Microsoft Repareerde Exchange-kwetsbaarheid al in Augustus
In augustus heeft Microsoft een kritieke kwetsbaarheid in Exchange gepatcht, een feit dat het bedrijf naar voren bracht om recente berichten van het Zero Day Initiative (ZDI) te ontkrachten. ZDI publiceerde een blogpost en adviezen waarin het wees op vier kwetsbaarheden in Exchange, die een geauthenticeerde aanvaller zou kunnen uitbuiten voor code-uitvoering en informatiediefstal, waaronder gevoelige data. Volgens ZDI had het Microsoft op de hoogte gesteld van deze issues op 7 september, maar Microsoft had geen directe patches voor de problemen beloofd noch een tijdschema voor updates gegeven. Microsoft heeft tegenover Bleeping Computer verklaard dat de kwetsbaarheid die de uitvoering van externe code mogelijk maakt, reeds in augustus is verholpen. Wat betreft de andere drie kwetsbaarheden, deze zullen worden aangepakt indien noodzakelijk. Het bedrijf heeft tevens ontkend dat het via twee van de lekken mogelijk is om gevoelige klantgegevens te ontfutselen of gebruikersrechten te verhogen, wat in tegenstelling is tot de beweringen van ZDI. Deze ontkenning en het voorafgaande patchen door Microsoft illustreren de voortdurende strijd tegen cyberdreigingen en het belang van tijdige communicatie en transparantie tussen cybersecurity organisaties en softwareleveranciers. De discussie benadrukt ook de complexiteit van het beheren van softwarekwetsbaarheden, vooral wanneer er discrepanties zijn in de rapportage en de communicatie van beveiligingsrisico's en de daaropvolgende maatregelen. (bron, bron2)
⚠️ Kritieke Zero-day Kwetsbaarheden Ontdekt in Microsoft Exchange
Recent zijn vier zero-day kwetsbaarheden geïdentificeerd in Microsoft Exchange, waarmee aanvallers op afstand willekeurige code kunnen uitvoeren of gevoelige informatie kunnen onthullen. Deze kwetsbaarheden zijn gerapporteerd door Trend Micro's Zero Day Initiative (ZDI) en aan Microsoft doorgegeven in september 2023. Ondanks de erkenning door Microsoft, hebben hun veiligheidsingenieurs besloten dat de fouten niet ernstig genoeg waren voor onmiddellijke reparatie, waardoor de oplossingen uitgesteld werden. ZDI was het niet eens met deze beoordeling en heeft ervoor gekozen om de details van de kwetsbaarheden te publiceren om beheerders van Exchange-servers te waarschuwen voor de veiligheidsrisico's. Hieronder volgt een overzicht van de kwetsbaarheden:
- ZDI-23-1578: Een fout in de klasse 'ChainedSerializationBinder' maakt het mogelijk voor aanvallers om niet-vertrouwde gegevens te deserialiseren en willekeurige code uit te voeren met 'SYSTEM'-rechten.
- ZDI-23-1579 & ZDI-23-1580: Deze fouten zijn het resultaat van onvoldoende validatie van een URI voordat de toegang tot de bron plaatsvindt, wat kan leiden tot ongeautoriseerde informatielekken.
- ZDI-23-1581: Lijkt op de voorgaande fouten, met onvoldoende URI-validatie en risico op blootstelling van gevoelige gegevens.
Hoewel voor het uitbuiten van deze kwetsbaarheden authenticatie vereist is, wat de ernst van de Common Vulnerability Scoring System (CVSS) score verlaagt naar tussen 7.1 en 7.5, benadrukt ZDI dat cybercriminelen vele manieren hebben om aan Exchange-referenties te komen. Ondanks de noodzakelijke authenticatie moeten de zero-days niet als onbelangrijk worden beschouwd, met name ZDI-23-1578, die kan leiden tot een volledige compromittering van het systeem. Als mitigatiestrategie suggereert ZDI interactie met Exchange-apps te beperken, maar dit kan onacceptabel ontwrichtend zijn voor veel bedrijven en organisaties. Multi-factor authenticatie wordt ook aanbevolen om de toegang tot Exchange-instanties te beveiligen, zelfs wanneer accountgegevens zijn gecompromitteerd.
⚠️ Proof-of-concept gepubliceerd Cisco IOS XE
Onderzoekers hebben achtergrondinformatie en een Proof-of-Concept-code (PoC) gepubliceerd waarmee de kwetsbaarheid aangetoond kan worden. Dit verhoogt de kans op een toename van scan- en misbruikverkeer op korte termijn aanzienlijk. Het advies blijft om met spoed de noodzakelijke updates te installeren. Daarom is het van groot belang extra alert te zijn op systemen die mogelijk gecompromitteerd zijn. (update)
⚠️ Dringende Waarschuwing van Atlassian voor Kritieke Confluence Beveiligingsfout
Atlassian heeft beheerders gewaarschuwd dat er een publiekelijk exploit beschikbaar is voor een kritieke beveiligingsfout in Confluence. Deze fout maakt het mogelijk om data te wissen op servers die via internet toegankelijk zijn en niet zijn gepatcht. De kwetsbaarheid, aangeduid als CVE-2023-22518, betreft een onjuiste autorisatie en heeft een ernstscore van 9.1/10. Het treft alle versies van Confluence Data Center en Confluence Server software. Het bedrijf heeft in een update op de oorspronkelijke veiligheidswaarschuwing aangegeven dat het een publiekelijk beschikbaar exploit heeft waargenomen. Deze informatie verhoogt het risico op misbruik van de kwetsbaarheid aanzienlijk voor publiek toegankelijke instanties. Hoewel er tot nu toe geen meldingen zijn van actieve uitbuiting, wordt klanten dringend aangeraden direct maatregelen te nemen om hun instanties te beschermen. Voor wie de patch al heeft toegepast, zijn geen verdere acties vereist. De kwetsbaarheid maakt het mogelijk voor aanvallers om data te wissen, maar niet om gegevens te stelen van de kwetsbare instanties. Atlassian Cloud sites die toegankelijk zijn via een atlassian.net domein zijn niet getroffen. Na de ontdekking van de kwetsbaarheid heeft Atlassian patches uitgebracht voor Confluence Data Center en Server in versies 7.19.16, 8.3.4, 8.4.4, 8.5.3 en 8.6.1. Als direct patchen niet mogelijk is, heeft Atlassian aanbevelingen gedaan voor tijdelijke maatregelen. Deze omvatten het back-uppen van niet-gepatchte instanties en het blokkeren van internettoegang tot de servers totdat ze zijn bijgewerkt. Beheerders kunnen ook bepaalde endpoints blokkeren door aanpassingen in de /<confluence-install-dir>/confluence/WEB-INF/web.xml en door het herstarten van de kwetsbare instantie. Atlassian benadrukt dat deze tijdelijke maatregelen geen vervanging zijn voor het patchen en dat klanten hun instanties zo snel mogelijk moeten bijwerken. Eerdere waarschuwingen over andere kwetsbaarheden en de uitbuiting ervan door staatsgesteunde hackers onderstrepen het belang van het beveiligen van Confluence servers, gezien de eerdere gerichte aanvallen die hebben geleid tot ransomware en andere malware infecties. (bron)
⚠️ Groeiende dreiging door misbruik kritieke NetScaler-lek"
Securitybedrijf Mandiant signaleert een intensivering van cyberaanvallen gericht op een ernstige kwetsbaarheid in NetScaler ADC en NetScaler Gateway-apparaten, veel gebruikt voor verkeersverdeling van internetverkeer en toegang op afstand binnen organisaties. Overheidsinstanties en techbedrijven zijn reeds getroffen, waarbij diverse ransomwaregroepen betrokken zijn. De specifieke kwetsbaarheid, aangeduid als CVE-2023-4966, stelt niet-geauthenticeerde aanvallers in staat om het geheugen van kwetsbare systemen te benaderen en sessietokens van gebruikers te ontvreemden. Deze tokens kunnen misbruikt worden om zonder verdere authenticatie toegang te verkrijgen tot de systemen. Aanvallers kunnen zich zo ongezien lateraal bewegen binnen netwerken via het remote desktop protocol (RDP), waarbij ze uitbreiding van hun controle nastreven. Onderzoek naar de aanvallen is uitdagend doordat de webservers geen logs bijhouden van verzoeken of fouten die naar het kwetsbare endpoint gaan. Citrix, de producent van de getroffen apparaten, heeft op 10 oktober een beveiligingsupdate vrijgegeven na zelf de kwetsbaarheid te hebben ontdekt. Desondanks rapporteert Mandiant dat kwaadwillenden sinds eind augustus misbruik maken van de kwetsbaarheid, met een significante toename van de aanvallen de laatste week. Volgens beveiligingsonderzoeker Kevin Beaumont gaat het om een zeer ernstige kwetsbaarheid die herinnert aan de staat van cybersecurity in 1998. Het aantal groepen dat actief uitbuiting van deze kwetsbaarheid nastreeft, is volgens hem aanzienlijk. Hij vergelijkt de situatie met het verzamelen van sessietokens alsof het om Pokémon gaat, wat de urgentie en omvang van het probleem benadrukt. De urgentie voor organisaties om de aangeboden beveiligingsupdate te installeren en de systemen te controleren op indicaties van compromittering is bijzonder hoog, gezien de actieve en brede exploitatie van het lek. (bron, bron2)
Een Nieuwe Standaard in Kwetsbaarheidsbeoordeling: Introductie van CVSS 4.0
Het Forum of Incident Response and Security Teams (FIRST) heeft een significante update uitgerold voor het Common Vulnerability Scoring System (CVSS), het bekende raamwerk voor het beoordelen van de impact van beveiligingskwetsbaarheden. CVSS 4.0 vervangt versie 3.1, die sinds juni 2019 in gebruik was, en introduceert verfijningen voor een meer nauwkeurige risico-inschatting. De CVSS-score, lopend van 1 tot 10, is een cruciale indicator binnen cybersecurity, met 10 als indicatie voor de meest kritieke kwetsbaarheden. De berekening van deze score is complex en houdt rekening met factoren zoals de aanvalsvector (lokaal, fysiek, netwerk), de complexiteit van het misbruik van de kwetsbaarheid, eventuele gebruikersinteractie, en de vereiste permissies voor de aanvaller. De nieuwe update biedt een verfijnde basisscore, die aangevuld kan worden met een tijdelijke score - gebaseerd op bijvoorbeeld de beschikbaarheid van exploitatiecode - en een omgevingsscore, die toegespitst is op de specifieke context van een organisatie. Dit helpt organisaties om prioriteiten te stellen in hun respons op kwetsbaarheden. Belangrijke verbeteringen in versie 4.0 zijn de verhoogde aandacht voor omgevingsvariabelen en 'threat intelligence'. Daarnaast is er een nieuwe categorie toegevoegd die rekening houdt met aspecten gerelateerd aan de leverancier en de gebruiker. Deze aanpassingen zijn volgens FIRST een game-changer voor de sector. De eerste CVSS-versie zag het levenslicht in 2005. Met regelmatige updates blijft FIRST het systeem ontwikkelen om beter aan te sluiten bij de dynamische wereld van cybersecurity. De nieuwe versie belooft een aanzienlijke stap voorwaarts in de strijd tegen cyberdreigingen, door organisaties een accurater en gedetailleerder beoordelingsinstrument te bieden. (bron, bron2)
⚠️ 3.000 Apache ActiveMQ Servers Kwetsbaar voor Kritieke RCE-aanvallen
Onlangs is gebleken dat meer dan drieduizend Apache ActiveMQ-servers, die online toegankelijk zijn, vatbaar zijn voor een kritieke kwetsbaarheid die remote code execution (RCE) mogelijk maakt. Apache ActiveMQ, een schaalbare, open-source message broker, faciliteert de communicatie tussen clients en servers in ondernemingsomgevingen, waarbij het diverse protocollen ondersteunt zoals AMQP, MQTT, OpenWire en STOMP. De specifieke kwetsbaarheid, geïdentificeerd als CVE-2023-46604 en met de maximale CVSS v3-score van 10.0, laat aanvallers toe om willekeurige shell-commando's uit te voeren door misbruik te maken van de geserialiseerde klasse-types in het OpenWire-protocol. Apache heeft op 27 oktober 2023 deze kwetsbaarheid bekendgemaakt, die invloed heeft op verschillende versies van Apache Active MQ en het Legacy OpenWire Module. Versies vóór 5.15.16, 5.16.x vóór 5.16.7, 5.17.x vóór 5.17.6 en 5.18.x vóór 5.18.3 zijn kwetsbaar, met updates die dezelfde dag nog beschikbaar zijn gesteld. Onderzoek door ShadowServer heeft uitgewezen dat er 7.249 toegankelijke servers met ActiveMQ-services zijn, waarvan er 3.329 draaien op een kwetsbare versie van ActiveMQ. Het grootste aantal kwetsbare servers staat in China, gevolgd door de Verenigde Staten, Duitsland, en andere landen waaronder Nederland, met elk honderd blootgestelde servers. De ernst van de kwetsbaarheid schuilt in de rol van Apache ActiveMQ als berichtenmakelaar: exploitatie kan leiden tot onderschepping van berichten, verstoring van werkstromen, datadiefstal, en zelfs laterale bewegingen binnen het netwerk. Aangezien de technische details voor het uitbuiten van CVE-2023-46604 publiekelijk beschikbaar zijn, is het toepassen van de beveiligingsupdates urgent. Deze kwetsbaarheid duidt op een significante bedreiging voor organisaties die gebruikmaken van de getroffen Apache ActiveMQ-servers. Het is cruciaal dat zij zo snel mogelijk handelen om de beveiligingsupdates toe te passen en zich tegen mogelijke aanvallen te beschermen. (bron, bron2)
WhatsApp Pakt Eerste Beveiligingsissues van 2023 aan
In de eerste maanden van 2023 heeft WhatsApp direct actie ondernomen om twee beveiligingsproblemen, aangeduid als CVE-2023-38537 en CVE-2023-38538, op te lossen. Deze kwetsbaarheden waren aanwezig in de functionaliteit van zowel uitgaande als binnenkomende audio- en videogesprekken. De lekken maakten het mogelijk voor een aanvaller om een 'use-after-free' situatie te creëren, wat potentieel zou kunnen leiden tot het onverwachts afsluiten van de applicatie of een 'unexpected control flow'. Ondanks dat de kans op deze gebeurtenissen klein werd geacht door Meta, het moederbedrijf van WhatsApp, was het toch noodzakelijk om maatregelen te treffen. De specifieke details van deze kwetsbaarheden en de versies die beïnvloed werden, zijn niet vrijgegeven, evenmin als welke versies reeds gepatcht zijn. De ernst van deze kwetsbaarheden werd op een schaal van 1 tot 10 geschat met een 5.0 en een 5.6, wat duidt op een gemiddeld risico. Het aantal gedocumenteerde beveiligingsproblemen binnen WhatsApp blijft relatief laag, waarbij de teller voor 2023 op dit moment op twee staat. Ter vergelijking, in 2022 waren er vier gerapporteerde problemen en in 2021 vijf. Het jaar 2020 vormde met vijftien opgeloste problemen een uitzondering. Deze inspanningen zijn van cruciaal belang gezien WhatsApp door ongeveer twee miljard mensen wereldwijd wordt gebruikt voor communicatie, en daarmee een essentieel onderdeel van de digitale infrastructuur vormt. (bron)
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers