Analyse van kwetsbaarheden op het gebied van cyberbeveiliging oktober 2024
Reading in 🇬🇧 or another language
"HET ONZICHTBARE ZICHTBAAR MAKEN"
Uit recent onderzoek blijkt dat meer dan een miljoen domeinnamen, inclusief die van grote bedrijven, kwetsbaar zijn voor overname door cybercriminelen vanwege zwakke authenticatie bij grote webhosting- en domeinregistratiebedrijven. Deze kwetsbaarheid, bekend als "lame" DNS-records, ontstaat wanneer een domein niet correct geconfigureerd is, waardoor onbevoegden het kunnen claimen zonder toegang tot het echte account van de eigenaar.
Onderzoekers ontdekten dat deze zwakte al jaren bestaat en dat verschillende cybercriminelen er misbruik van maken om gestolen domeinen te gebruiken voor kwaadaardige activiteiten, zoals phishing en malwareverspreiding. Ondanks eerdere waarschuwingen en incidenten, zoals de aanval in 2019 via GoDaddy, blijft dit probleem bestaan bij meerdere grote DNS-providers.
De beveiligingsexperts pleiten voor betere samenwerking en verificatieprocedures om deze kwetsbaarheden aan te pakken. Zonder verbeterde beveiligingsmaatregelen zullen aanvallen op deze kwetsbare domeinen blijven toenemen, wat zowel domeineigenaren als internetgebruikers in gevaar brengt. 1
Ruim twintigduizend VMware ESXi-servers, waaronder 750 in Nederland, hebben nog steeds geen beveiligingsupdate ontvangen voor een ernstige kwetsbaarheid. Deze kwetsbaarheid, bekend als CVE-2024-37085, maakt het mogelijk voor aanvallers om via een Active Directory-groep genaamd 'ESX Admins' beheerdersrechten te verkrijgen. Ondanks dat VMware op 25 juni een update uitbracht, werd deze kwetsbaarheid al eerder door aanvallers misbruikt voor ransomware-aanvallen. De Shadowserver Foundation, die wereldwijd onderzoek doet naar cyberdreigingen, heeft dit probleem aan het licht gebracht door online scans uit te voeren. Hierdoor zijn duizenden servers als "potentieel kwetsbaar" geïdentificeerd. Het blijft echter onduidelijk of sommige beheerders tijdelijke oplossingen hebben geïmplementeerd. Het is cruciaal dat alle beheerders de benodigde updates zo snel mogelijk doorvoeren om verdere aanvallen te voorkomen. 1
Google heeft een kritieke kwetsbaarheid in de Chrome-browser verholpen die aanvallers in staat stelde om willekeurige code op systemen uit te voeren. Deze kwetsbaarheid, CVE-2024-6990, bevindt zich in Dawn, een implementatie van de WebGPU-standaard. Door simpelweg een besmette website te bezoeken of een geïnfecteerde advertentie te bekijken, kon een gebruiker slachtoffer worden van deze aanval. Google werd op 15 juli door een anonieme melder, 'gelatin dessert', op de hoogte gebracht van dit lek. Details over de beloning voor de ontdekker zijn nog niet bekendgemaakt.
De update naar Chrome versie 127.0.6533.88/89 is beschikbaar voor Windows en macOS, terwijl Linux-gebruikers versie 127.0.6533.88 kunnen downloaden. Google streeft ernaar om updates voor kritieke kwetsbaarheden binnen dertig dagen bij alle gebruikers uit te rollen. De meeste systemen zullen automatisch worden bijgewerkt, maar gebruikers kunnen ook handmatig controleren op updates als ze deze direct willen ontvangen.
Google LLC, gevestigd in Mountain View, Californië, is een wereldwijd technologiebedrijf dat internetgerelateerde diensten en producten aanbiedt, waaronder online advertenties, zoektechnologie en software. Het bedrijf is vooral bekend om zijn zoekmachine, de Android-besturingssystemen en de Chrome-webbrowser. 1, 2
Diverse kwetsbaarheden in de spraakassistent Siri van Apple maken het mogelijk voor aanvallers met fysieke toegang om gevoelige gegevens te stelen van vergrendelde iPhones en Macs. Apple heeft beveiligingsupdates uitgebracht voor deze problemen. Specifiek voor iOS 17.6 en iPadOS 17.6 zijn vier kwetsbaarheden aangepakt, evenals een kwetsbaarheid in VoiceOver. Deze laatste maakte het mogelijk voor een aanvaller om afgeschermde content op vergrendelde apparaten te bekijken. Twee van de Siri-kwetsbaarheden zijn ook in macOS opgelost door de functionaliteiten op vergrendelde toestellen te beperken. Daarnaast heeft Apple in macOS een kwetsbaarheid in OpenSSH gepatcht, die bekendstaat als 'regreSSHion'. Deze kwetsbaarheid stelde een ongeauthenticeerde aanvaller in staat om op afstand code als root uit te voeren. Mac-gebruikers kunnen updaten naar macOS Monterey 12.7.6, macOS Ventura 13.6.8 of macOS Sonoma 14.6. Voor eigenaren van een iPhone of iPad zijn iOS en iPadOS 16.7.9 en iOS en iPadOS 17.6 verschenen.
Op 27 juli 2024 ontdekte Google een bug in Chrome die ervoor zorgde dat opgeslagen wachtwoorden tijdelijk niet beschikbaar waren voor vijftien miljoen gebruikers. Dit probleem duurde achttien uur, waarin gebruikers klaagden dat hun wachtwoorden waren verdwenen en nieuwe wachtwoorden niet konden worden opgeslagen. Daarnaast vroeg de browser om inloggegevens op websites waar gebruikers eerder hadden aangegeven dit niet te doen. Google identificeerde een aanpassing in de browser, uitgevoerd zonder adequate beveiliging, als oorzaak. De aanpassing was uitgerold naar een kwart van de Chrome-gebruikers, waarvan twee procent werd getroffen door het probleem. Google adviseert getroffen gebruikers om hun browser te updaten naar de laatste versie en deze opnieuw te starten. 1, 2, 3
Een recent ontdekte beveiligingsfout in de nieuwste versie van WhatsApp voor Windows stelt gebruikers in staat om Python- en PHP-bestanden te versturen die automatisch worden uitgevoerd wanneer de ontvanger ze opent. Voor deze aanval is het vereist dat Python op de computer van de ontvanger is geïnstalleerd, wat de potentiële slachtoffers beperkt tot softwareontwikkelaars, onderzoekers en ervaren gebruikers. Ondanks het feit dat WhatsApp verschillende bestandstypen blokkeert die als risicovol worden beschouwd, staan Python- en PHP-scripts niet op de blokkadelijst. Onderzoeker Saumyajeet Das ontdekte dit lek en rapporteerde het aan Meta, die de melding afwees. De kwetsbaarheid maakt het mogelijk dat kwaadwillenden schadelijke scripts naar contactpersonen kunnen sturen of in openbare en privéchatgroepen kunnen delen. Meta heeft aangegeven geen plannen te hebben om dit probleem op te lossen, ondanks de eenvoudige oplossing door deze bestandstypen toe te voegen aan de blokkeerlijst.
Google heeft recentelijk een kwetsbaarheid verholpen waardoor kwaadwillenden de e-mailverificatie konden omzeilen bij het aanmaken van een Google Workspace-account. Deze zwakte stelde hen in staat zich voor te doen als domeinhouders bij diensten van derden die gebruikmaken van de "Inloggen met Google"-functie. Het probleem kwam aan het licht toen een gebruiker meldde dat zijn e-mailadres was gebruikt voor een mogelijk kwaadaardig Workspace-account, dat door Google was geblokkeerd. Volgens Google misbruikten de aanvallers een speciaal geconstrueerd verzoek om de verificatiestap te omzeilen, waardoor zij toegang kregen tot externe applicaties. De malafide activiteiten begonnen eind juni en betroffen enkele duizenden accounts die zonder domeinverificatie waren aangemaakt. Google heeft binnen 72 uur na ontdekking de kwetsbaarheid verholpen en extra beveiligingsmaatregelen getroffen om dergelijke aanvallen in de toekomst te voorkomen. Volgens Google zijn de accounts niet gebruikt om Google-diensten te misbruiken, maar om zich voor te doen als domeinhouders bij andere online diensten. 1
Een ernstige firmware-kwetsbaarheid, genaamd PKfail, stelt honderden UEFI-producten van tien fabrikanten bloot aan risico's. Dit probleem, ontdekt door het Binarly Research Team, laat aanvallers Secure Boot omzeilen en malware installeren. De kwetsbaarheid is ontstaan doordat apparaten een test Secure Boot "master key" van American Megatrends International (AMI) gebruiken, die niet vervangen is door eigen veilig gegenereerde sleutels. Hierdoor kunnen aanvallers de gehele beveiligingsketen van firmware tot besturingssysteem compromitteren. Onder de getroffen fabrikanten bevinden zich bekende namen zoals Acer, Dell, HP, Intel, Lenovo en anderen. De kwetsbaarheid stelt aanvallers in staat om UEFI-malware zoals CosmicStrand en BlackLotus te verspreiden. Om PKfail te mitigeren, wordt aanbevolen dat fabrikanten cryptografische sleutelbeheer best practices volgen en eigen sleutels genereren. Gebruikers moeten firmware-updates nauwlettend in de gaten houden en beveiligingspatches zo snel mogelijk toepassen. Binarly biedt ook een gratis online tool aan om firmwarebinaries te scannen op kwetsbaarheden en schadelijke payloads. 1
Progress Software waarschuwt klanten voor een ernstige kwetsbaarheid in de Telerik Report Server, aangeduid als CVE-2024-6327. Deze kwetsbaarheid, veroorzaakt door het deserialiseren van onbetrouwbare data, stelt aanvallers in staat om op afstand code uit te voeren op niet-gepatchte servers. Telerik Report Server, een platform voor gecentraliseerde rapportopslag en beheer, is getroffen in versies 2024 Q2 (10.1.24.514) en eerder. De kwetsbaarheid is opgelost in versie 2024 Q2 (10.1.24.709). Progress Software adviseert dringend om te updaten naar de laatste versie. Voor systemen die niet direct kunnen worden bijgewerkt, biedt Progress tijdelijke maatregelen, zoals het wijzigen van de gebruikersrechten van de applicatiepool. Eerdere kwetsbaarheden in Telerik-software zijn in het verleden actief misbruikt, wat het belang van tijdige updates benadrukt. 1
In 2018 werd een ernstige kwetsbaarheid in Docker ontdekt die aanvallers in staat stelde om autorisatieplug-ins te omzeilen en ongeautoriseerde acties uit te voeren. Deze kwetsbaarheid kreeg een impactscore van 10.0 op een schaal van 1 tot 10. Ondanks een update begin 2019 om dit probleem te verhelpen, werd in juli 2019 een versie van Docker uitgebracht waarin de patch ontbrak door een regressie. Deze fout bleef onopgemerkt totdat het in april 2024 aan het licht kwam. Docker heeft inmiddels versie 27.1.1 uitgebracht waarin de benodigde beveiligingsupdate weer is toegevoegd. Deze situatie onderstreept het belang van voortdurende beveiligingsmonitoring en snelle reactie op ontdekte kwetsbaarheden. 1, 2, 3
Microsoft heeft een nieuwe usb-tool geïntroduceerd om bedrijven te helpen bij het herstellen van Windows-systemen die niet meer werken door een recente update van CrowdStrike's beveiligingssoftware. Dit probleem heeft ongeveer 8,5 miljoen computers getroffen. De tool is ontworpen om systemen, zowel met als zonder BitLocker, te repareren. Voor BitLocker-versleutelde systemen is het invoeren van de BitLocker herstelcode vereist. Deze tool voert de herstelmethodes uit die door CrowdStrike worden aanbevolen. Hoewel CrowdStrike verschillende handleidingen heeft gepubliceerd om organisaties bij te staan, biedt de usb-tool een vereenvoudigde manier om de herstelscripts uit te voeren en zo de getroffen systemen weer operationeel te maken. Microsoft en CrowdStrike werken samen om de impact van dit probleem te minimaliseren en verdere schade te voorkomen. 1, 2
Onderzoekers van Wiz hebben vijf beveiligingsfouten ontdekt in het cloudgebaseerde platform SAP AI Core. Deze fouten, gezamenlijk aangeduid als SAPwned, kunnen aanvallers toegang geven tot klantgegevens en toegangstokens. SAP AI Core biedt infrastructuur en tools voor het bouwen, beheren en implementeren van voorspellende AI-workflows. De onderzoekers toonden aan dat door legitieme AI-trainingsprocedures en willekeurige code uit te voeren, zij uitgebreide toegang konden krijgen tot privégegevens en inloggegevens van klanten. Ze konden Docker-images lezen en wijzigen, evenals beheerderstoegang verkrijgen tot SAP's Kubernetes-cluster. Deze kwetsbaarheden maakten het mogelijk om klantomgevingen te infiltreren en aan te tasten. Wiz rapporteerde de fouten aan SAP op 25 januari 2024, en SAP loste deze op tegen 15 mei 2024. De onderzoekers benadrukten de noodzaak voor verbeterde isolatie en sandboxing standaarden bij het uitvoeren van AI-modellen om dergelijke risico's in de toekomst te voorkomen. 1
SolarWinds heeft acht kritieke kwetsbaarheden in zijn Access Rights Manager (ARM) software opgelost. Zes van deze kwetsbaarheden stelden aanvallers in staat om op afstand code uit te voeren op kwetsbare apparaten. De kwetsbaarheden, die scores van 9,6/10 kregen, maakten het mogelijk voor ongeautoriseerde gebruikers om acties uit te voeren op niet-gepatchte systemen door code of opdrachten uit te voeren. Daarnaast werden er drie directory traversal-fouten verholpen, waarmee onbevoegde gebruikers willekeurige bestanden konden verwijderen en gevoelige informatie konden verkrijgen. Ook werd een authenticatie-bypass kwetsbaarheid aangepakt, waarmee aanvallers domeinbeheerderstoegang binnen de Active Directory-omgeving konden krijgen. De kwetsbaarheden werden gemeld door Trend Micro's Zero Day Initiative en verholpen in de Access Rights Manager 2024.3 update. SolarWinds heeft nog niet bekendgemaakt of er bewijs is dat deze kwetsbaarheden actief zijn uitgebuit. 1
Adobe heeft webshops die gebruikmaken van Adobe Commerce of Magento Open Source dringend verzocht om een kritieke kwetsbaarheid (CVE-2024-34102) zo snel mogelijk te patchen. Deze kwetsbaarheid, met een impactscore van 9.8 op een schaal van 10, betreft een probleem met de beperking van XML External Entity-referenties (XXE). Volgens beveiligingsbedrijf Sansec is dit de grootste kwetsbaarheid voor Magento- en Adobe Commerce-webshops in de afgelopen twee jaar. Ongeauthenticeerde aanvallers kunnen hierdoor op afstand toegang krijgen tot gevoelige bestanden van de webshop, waaronder wachtwoorden, en mogelijk volledige controle overnemen. Adobe heeft de prioriteit voor het installeren van de patch verhoogd naar het hoogste niveau en adviseert webshops de update binnen 72 uur te installeren. Ook het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft organisaties die deze software gebruiken opgedragen de update uiterlijk 7 augustus te installeren om misbruik te voorkomen. 1
Cisco heeft een ernstige kwetsbaarheid (CVE-2024-20401) ontdekt in hun Secure Email Gateway, voorheen bekend als de Email Security Appliance. Deze kwetsbaarheid maakt het mogelijk voor een ongeauthenticeerde aanvaller om het systeem op afstand over te nemen door een malafide e-mailbijlage te versturen. De kwetsbaarheid is beoordeeld met een score van 9.8 op een schaal van 1 tot 10, wat de ernst ervan onderstreept. Een aanvaller kan via deze kwetsbaarheid bestanden op het onderliggende systeem van de gateway vervangen, gebruikers met rootrechten toevoegen, de configuratie aanpassen, willekeurige code uitvoeren of een permanente denial of service (DoS) veroorzaken. Voor het oplossen van een DoS-aanval is handmatig ingrijpen vereist. Cisco heeft inmiddels beveiligingsupdates uitgebracht om deze kwetsbaarheid te verhelpen en meldt dat er tot nu toe geen misbruik van hetlek bekend is.
Cisco heeft een ernstige kwetsbaarheid verholpen in hun Smart Software Manager On-Prem (Cisco SSM On-Prem) licentieservers. Deze fout maakte het voor aanvallers mogelijk om wachtwoorden van willekeurige gebruikers, inclusief beheerders, te wijzigen. De kwetsbaarheid, geïdentificeerd als CVE-2024-20419, was aanwezig in SSM On-Prem-versies ouder dan Release 7.0. Door een onjuiste implementatie in het wachtwoordveranderingsproces konden aanvallers via speciaal gevormde HTTP-verzoeken wachtwoorden resetten zonder de oorspronkelijke inloggegevens te kennen. Cisco adviseert beheerders dringend om hun systemen te updaten naar een gepatchte versie, aangezien er geen tijdelijke oplossingen beschikbaar zijn. Tot op heden zijn er geen aanwijzingen dat deze kwetsbaarheid actief is misbruikt. Eerder deze maand heeft Cisco ook een zero-day kwetsbaarheid in NX-OS verholpen die door kwaadwillenden was gebruikt om malware te installeren op kwetsbare switches. Dit benadrukt het belang van tijdig patchen en updaten van systemen om beveiligingsrisico's te minimaliseren. 1
Oracle heeft tijdens de reguliere patchronde van juli gewaarschuwd voor ernstige kwetsbaarheden in diverse producten en roept organisaties op om de patches onmiddellijk te installeren. In totaal zijn er 386 nieuwe beveiligingsupdates uitgebracht, waarvan meerdere kritieke kwetsbaarheden met een impactscore van 9.8 op een schaal van 10. Deze kwetsbaarheden kunnen aanvallers op afstand in staat stellen systemen over te nemen. Vooral producten zoals Billing and Revenue Management, WebLogic Server, en MySQL Cluster zijn kwetsbaar gebleken. WebLogic Server is eerder een populair doelwit geweest, waarbij kwetsbaarheden vaak snel na het uitbrengen van updates werden misbruikt. Oracle benadrukt dat succesvolle aanvallen soms mogelijk zijn omdat gebruikers nalaten de patches tijdig te installeren. Het bedrijf adviseert dan ook om de nu beschikbare updates direct toe te passen om beveiligingsrisico's te minimaliseren. Oracle brengt elk kwartaal updates uit, met de volgende patchronde gepland voor 15 oktober. 1
CISA waarschuwt voor een kritieke kwetsbaarheid in GeoServer's GeoTools-plugin, bekend als CVE-2024-36401, die actief wordt misbruikt. GeoServer is een open-source server voor het delen, verwerken en aanpassen van geografische gegevens. De kwetsbaarheid, ontdekt op 30 juni, heeft een ernstscore van 9,8 en wordt veroorzaakt door onveilige evaluatie van eigenschapsnamen als XPath-expressies. Dit kan leiden tot willekeurige code-uitvoering. Hoewel de kwetsbaarheid aanvankelijk niet werd uitgebuit, verschenen er snel proof-of-concept-exploits die demonstreerden hoe aanvallers servers konden compromitteren. GeoServer-beheerders hebben de fout hersteld in versies 2.23.6, 2.24.4 en 2.25.2, en raden gebruikers aan deze updates onmiddellijk te installeren. Alternatieve oplossingen zijn beschikbaar, maar kunnen sommige functionaliteiten verstoren. CISA heeft CVE-2024-36401 toegevoegd aan zijn catalogus van bekende geëxploiteerde kwetsbaarheden en eist dat federale agentschappen hun servers voor 5 augustus 2024 patchen. Ook private organisaties wordt sterk aangeraden deze updates snel door te voeren om aanvallen te voorkomen en systemen te controleren op mogelijke compromittering. 1, 2
VPN-gebruikers wereldwijd lopen gevaar door een nieuw ontdekte aanvalsmethode genaamd "port shadow". Deze aanval maakt het mogelijk om verbindingen af te luisteren, over te nemen en gebruikers door te sturen naar schadelijke websites. De kwetsbaarheid is aanwezig in VPN-software zoals OpenVPN, WireGuard en OpenConnect, die draaien op Linux en FreeBSD. Bij de port shadow-aanval stuurt een aanvaller vanaf een externe locatie speciaal geprepareerde pakketten naar de VPN-server, waardoor andere gebruikers die dezelfde server gebruiken, kunnen worden aangevallen. De aanval maakt gebruik van het 'connection tracking framework' dat VPN-servers gebruiken om verkeer te beheren, en dit framework kan door elke gebruiker worden aangepast. Momenteel is er nog geen beveiligingsupdate beschikbaar, maar VPN-providers kunnen firewallregels instellen om de aanval te voorkomen. Als alternatieve oplossingen kunnen gebruikers ShadowSocks of Tor overwegen. Sommige VPN-diensten, zoals NordVPN, ExpressVPN en Surfshark, zijn niet kwetsbaar voor deze specifieke aanval. 1, 2
Een ernstige beveiligingsfout is ontdekt in de Backup and Staging by WP Time Capsule plugin voor WordPress, die meer dan 20.000 actieve installaties heeft. Deze plugin helpt bij het maken van websiteback-ups en het beheren van updates. Onderzoekers van Patchstack vonden een kwetsbaarheid in versies 1.22.20 en lager, waarbij een gebroken authenticatiemechanisme aanvallers in staat stelde onbevoegd toegang te krijgen tot de beheerdersaccounts van de betreffende sites. De kwetsbaarheid werd veroorzaakt door een logische fout in de code van het bestand wptc-cron-functions.php. Door het manipuleren van JSON-gecodeerde POST-gegevens konden aanvallers kritieke authenticatiecontroles omzeilen en administratieve toegang verkrijgen. De ontwikkelaars reageerden snel op de melding en brachten versie 1.22.20 uit, maar deze oplossing bleek slechts gedeeltelijk effectief. Een meer robuuste fix volgde in versie 1.22.21, die aanvullende hash-vergelijkingen omvatte om verdere exploits te voorkomen. Gebruikers van de WP Time Capsule plugin worden dringend geadviseerd om onmiddellijk te updaten naar versie 1.22.21 of later om hun sites te beveiligen. 1
Netgear heeft gebruikers gewaarschuwd om hun apparaten te updaten naar de nieuwste firmwareversie, die kwetsbaarheden in opgeslagen cross-site scripting (XSS) en authenticatieomzeiling verhelpt in verschillende WiFi 6 routermodellen. De XSS-kwetsbaarheid (PSV-2023-0122) treft de XR1000 Nighthawk gaming router en kan aanvallers toestaan gebruikerssessies over te nemen, gebruikers naar schadelijke sites te leiden of valse inlogformulieren weer te geven. De authenticatieomzeiling (PSV-2023-0138) beïnvloedt de CAX30 Nighthawk AX6 6-Stream kabelmodem routers en kan onbevoegde toegang tot de administratieve interface bieden, wat kan resulteren in een volledige overname van de apparaten. Gebruikers wordt sterk aangeraden om de nieuwste firmware zo snel mogelijk te downloaden en te installeren. Eerder deze maand ontdekten onderzoekers ook verschillende kwetsbaarheden in de Netgear WNR614 N300, een populair model bij thuisgebruikers en kleine bedrijven, waarvoor geen beveiligingspatches meer worden uitgebracht. 1, 2
Google heeft aangekondigd dat de beloningen voor het vinden van bugs in zijn systemen en applicaties via het Vulnerability Reward Program (VRP) met vijf keer zijn verhoogd, met een nieuwe maximale beloning van $151.515 voor een enkele veiligheidsfout. Google verklaarde dat hun systemen steeds veiliger worden, waardoor het vinden van bugs langer duurt. Om deze reden hebben ze de beloningen verhoogd om onderzoekers te blijven motiveren. Vanaf 11 juli 2024 zullen nieuwe kwetsbaarheidsmeldingen in aanmerking komen voor deze verhoogde beloningen. Naast hogere uitbetalingen heeft Google ook nieuwe betaalopties geïntroduceerd, waaronder betalingen via Bugcrowd. Sinds de lancering van het VRP in 2010 heeft Google meer dan $50 miljoen uitbetaald aan beveiligingsonderzoekers voor meer dan 15.000 gerapporteerde kwetsbaarheden. 1
Een recente scan van securitybedrijf Censys onthult dat ruim anderhalf miljoen Exim-mailservers wereldwijd een kwetsbare versie draaien, waaronder 66.000 in Nederland. Exim, een populaire message transfer agent (MTA), wordt blootgesteld aan het beveiligingslek CVE-2024-39929. Dit lek maakt het mogelijk om de "$mime_filename extension-blocking" te omzeilen door gebruik te maken van een fout in de verwerking van multiline RFC2231 bestandsnamen in e-mailbijlagen. Hierdoor kunnen malafide uitvoerbare bestanden worden verzonden. Alle Exim-versies tot en met 4.97.1 zijn getroffen. Exim bracht op 10 juli versie 4.98 uit om dit lek te verhelpen. De scan van Censys toont echter aan dat slechts 98 van de gedetecteerde servers met deze nieuwste versie zijn bijgewerkt, waarbij de meeste kwetsbare servers zich in de VS bevinden. Nederland staat op de vierde plaats in het aantal kwetsbare servers. 1, 2
GitLab heeft vandaag gewaarschuwd dat een kritieke kwetsbaarheid in de GitLab Community en Enterprise edities het aanvallers mogelijk maakt om pipeline taken uit te voeren als een andere gebruiker. Deze kwetsbaarheid, aangeduid als CVE-2024-6385, heeft een ernstigheidsscore van 9.6/10 en treft GitLab CE/EE versies van 15.8 tot 17.1.2. Hierdoor kunnen aanvallers onder bepaalde omstandigheden een nieuwe pipeline starten als een willekeurige gebruiker. GitLab heeft security updates vrijgegeven en adviseert alle admins om onmiddellijk te upgraden. Dit is niet de eerste keer dat GitLab een dergelijke kwetsbaarheid verhelpt, en het benadrukt het belang van het snel patchen van beveiligingslekken om misbruik door aanvallers te voorkomen. 1
Microsoft heeft op de juli 2024 Patch Tuesday beveiligingsupdates uitgebracht die 142 kwetsbaarheden verhelpen, waaronder vier zero-day-lekken. Twee van deze zero-days werden actief misbruikt: een elevation of privilege-kwetsbaarheid in Windows Hyper-V en een spoofing-kwetsbaarheid in Windows MSHTML. De andere twee publiek bekende zero-days betreffen een remote code execution-lek in .NET en Visual Studio en een side-channel-aanval op Arm-processors.
Van de 142 opgeloste kwetsbaarheden zijn er vijf als kritiek geclassificeerd. De meeste lekken vallen in de categorieën remote code execution (59), elevation of privilege (26) en security feature bypass (24). Microsoft adviseert gebruikers de updates zo snel mogelijk te installeren om systemen te beschermen tegen potentiële aanvallen die misbruik maken van deze kwetsbaarheden.
Tag | CVE ID | CVE Title | Severity |
---|---|---|---|
.NET and Visual Studio | CVE-2024-30105 | .NET Core and Visual Studio Denial of Service Vulnerability | Important |
.NET and Visual Studio | CVE-2024-38081 | .NET, .NET Framework, and Visual Studio Elevation of Privilege Vulnerability | Important |
.NET and Visual Studio | CVE-2024-35264 | .NET and Visual Studio Remote Code Execution Vulnerability | Important |
.NET and Visual Studio | CVE-2024-38095 | .NET and Visual Studio Denial of Service Vulnerability | Important |
Active Directory Rights Management Services | CVE-2024-39684 | Github: CVE-2024-39684 TenCent RapidJSON Elevation of Privilege Vulnerability | Moderate |
Active Directory Rights Management Services | CVE-2024-38517 | Github: CVE-2024-38517 TenCent RapidJSON Elevation of Privilege Vulnerability | Moderate |
Azure CycleCloud | CVE-2024-38092 | Azure CycleCloud Elevation of Privilege Vulnerability | Important |
Azure DevOps | CVE-2024-35266 | Azure DevOps Server Spoofing Vulnerability | Important |
Azure DevOps | CVE-2024-35267 | Azure DevOps Server Spoofing Vulnerability | Important |
Azure Kinect SDK | CVE-2024-38086 | Azure Kinect SDK Remote Code Execution Vulnerability | Important |
Azure Network Watcher | CVE-2024-35261 | Azure Network Watcher VM Extension Elevation of Privilege Vulnerability | Important |
Intel | CVE-2024-37985 | Arm: CVE-2024-37985 Systematic Identification and Characterization of Proprietary Prefetchers | Important |
Line Printer Daemon Service (LPD) | CVE-2024-38027 | Windows Line Printer Daemon Service Denial of Service Vulnerability | Important |
Microsoft Defender for IoT | CVE-2024-38089 | Microsoft Defender for IoT Elevation of Privilege Vulnerability | Important |
Microsoft Dynamics | CVE-2024-30061 | Microsoft Dynamics 365 (On-Premises) Information Disclosure Vulnerability | Important |
Microsoft Graphics Component | CVE-2024-38079 | Windows Graphics Component Elevation of Privilege Vulnerability | Important |
Microsoft Graphics Component | CVE-2024-38051 | Windows Graphics Component Remote Code Execution Vulnerability | Important |
Microsoft Office | CVE-2024-38021 | Microsoft Office Remote Code Execution Vulnerability | Important |
Microsoft Office Outlook | CVE-2024-38020 | Microsoft Outlook Spoofing Vulnerability | Moderate |
Microsoft Office SharePoint | CVE-2024-38024 | Microsoft SharePoint Server Remote Code Execution Vulnerability | Important |
Microsoft Office SharePoint | CVE-2024-38023 | Microsoft SharePoint Server Remote Code Execution Vulnerability | Critical❗️ |
Microsoft Office SharePoint | CVE-2024-32987 | Microsoft SharePoint Server Information Disclosure Vulnerability | Important |
Microsoft Office SharePoint | CVE-2024-38094 | Microsoft SharePoint Remote Code Execution Vulnerability | Important |
Microsoft Streaming Service | CVE-2024-38057 | Kernel Streaming WOW Thunk Service Driver Elevation of Privilege Vulnerability | Important |
Microsoft Streaming Service | CVE-2024-38054 | Kernel Streaming WOW Thunk Service Driver Elevation of Privilege Vulnerability | Important |
Microsoft Streaming Service | CVE-2024-38052 | Kernel Streaming WOW Thunk Service Driver Elevation of Privilege Vulnerability | Important |
Microsoft Windows Codecs Library | CVE-2024-38055 | Microsoft Windows Codecs Library Information Disclosure Vulnerability | Important |
Microsoft Windows Codecs Library | CVE-2024-38056 | Microsoft Windows Codecs Library Information Disclosure Vulnerability | Important |
Microsoft WS-Discovery | CVE-2024-38091 | Microsoft WS-Discovery Denial of Service Vulnerability | Important |
NDIS | CVE-2024-38048 | Windows Network Driver Interface Specification (NDIS) Denial of Service Vulnerability | Important |
NPS RADIUS Server | CVE-2024-3596 | CERT/CC: CVE-2024-3596 RADIUS Protocol Spoofing Vulnerability | Important |
Role: Active Directory Certificate Services; Active Directory Domain Services | CVE-2024-38061 | DCOM Remote Cross-Session Activation Elevation of Privilege Vulnerability | Important |
Role: Windows Hyper-V | CVE-2024-38080 | Windows Hyper-V Elevation of Privilege Vulnerability | Important |
SQL Server | CVE-2024-28928 | SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-38088 | SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-20701 | SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-21317 | SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-21331 | SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-21308 | SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-21333 | SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-35256 | SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-21303 | SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-21335 | SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-35271 | SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-35272 | SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-21332 | SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-38087 | SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-21425 | SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-21449 | SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-37324 | SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-37330 | SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-37326 | SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-37329 | SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-37328 | SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-37327 | SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-37334 | Microsoft OLE DB Driver for SQL Server Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-37321 | SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-37320 | SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-37319 | SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-37322 | SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-37333 | SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-37336 | SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-37323 | SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-37331 | SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-21398 | SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-21373 | SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-37318 | SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-21428 | SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-21415 | SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-37332 | SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-21414 | SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability | Important |
Windows BitLocker | CVE-2024-38058 | BitLocker Security Feature Bypass Vulnerability | Important |
Windows COM Session | CVE-2024-38100 | Windows File Explorer Elevation of Privilege Vulnerability | Important |
Windows CoreMessaging | CVE-2024-21417 | Windows Text Services Framework Elevation of Privilege Vulnerability | Important |
Windows Cryptographic Services | CVE-2024-30098 | Windows Cryptographic Services Security Feature Bypass Vulnerability | Important |
Windows DHCP Server | CVE-2024-38044 | DHCP Server Service Remote Code Execution Vulnerability | Important |
Windows Distributed Transaction Coordinator | CVE-2024-38049 | Windows Distributed Transaction Coordinator Remote Code Execution Vulnerability | Important |
Windows Enroll Engine | CVE-2024-38069 | Windows Enroll Engine Security Feature Bypass Vulnerability | Important |
Windows Fax and Scan Service | CVE-2024-38104 | Windows Fax Service Remote Code Execution Vulnerability | Important |
Windows Filtering | CVE-2024-38034 | Windows Filtering Platform Elevation of Privilege Vulnerability | Important |
Windows Image Acquisition | CVE-2024-38022 | Windows Image Acquisition Elevation of Privilege Vulnerability | Important |
Windows Imaging Component | CVE-2024-38060 | Windows Imaging Component Remote Code Execution Vulnerability | Critical❗️ |
Windows Internet Connection Sharing (ICS) | CVE-2024-38105 | Windows Layer-2 Bridge Network Driver Denial of Service Vulnerability | Important |
Windows Internet Connection Sharing (ICS) | CVE-2024-38053 | Windows Layer-2 Bridge Network Driver Remote Code Execution Vulnerability | Important |
Windows Internet Connection Sharing (ICS) | CVE-2024-38102 | Windows Layer-2 Bridge Network Driver Denial of Service Vulnerability | Important |
Windows Internet Connection Sharing (ICS) | CVE-2024-38101 | Windows Layer-2 Bridge Network Driver Denial of Service Vulnerability | Important |
Windows iSCSI | CVE-2024-35270 | Windows iSCSI Service Denial of Service Vulnerability | Important |
Windows Kernel | CVE-2024-38041 | Windows Kernel Information Disclosure Vulnerability | Important |
Windows Kernel-Mode Drivers | CVE-2024-38062 | Windows Kernel-Mode Driver Elevation of Privilege Vulnerability | Important |
Windows LockDown Policy (WLDP) | CVE-2024-38070 | Windows LockDown Policy (WLDP) Security Feature Bypass Vulnerability | Important |
Windows Message Queuing | CVE-2024-38017 | Microsoft Message Queuing Information Disclosure Vulnerability | Important |
Windows MSHTML Platform | CVE-2024-38112 | Windows MSHTML Platform Spoofing Vulnerability | Important |
Windows MultiPoint Services | CVE-2024-30013 | Windows MultiPoint Services Remote Code Execution Vulnerability | Important |
Windows NTLM | CVE-2024-30081 | Windows NTLM Spoofing Vulnerability | Important |
Windows Online Certificate Status Protocol (OCSP) | CVE-2024-38068 | Windows Online Certificate Status Protocol (OCSP) Server Denial of Service Vulnerability | Important |
Windows Online Certificate Status Protocol (OCSP) | CVE-2024-38067 | Windows Online Certificate Status Protocol (OCSP) Server Denial of Service Vulnerability | Important |
Windows Online Certificate Status Protocol (OCSP) | CVE-2024-38031 | Windows Online Certificate Status Protocol (OCSP) Server Denial of Service Vulnerability | Important |
Windows Performance Monitor | CVE-2024-38028 | Microsoft Windows Performance Data Helper Library Remote Code Execution Vulnerability | Important |
Windows Performance Monitor | CVE-2024-38019 | Microsoft Windows Performance Data Helper Library Remote Code Execution Vulnerability | Important |
Windows Performance Monitor | CVE-2024-38025 | Microsoft Windows Performance Data Helper Library Remote Code Execution Vulnerability | Important |
Windows PowerShell | CVE-2024-38043 | PowerShell Elevation of Privilege Vulnerability | Important |
Windows PowerShell | CVE-2024-38047 | PowerShell Elevation of Privilege Vulnerability | Important |
Windows PowerShell | CVE-2024-38033 | PowerShell Elevation of Privilege Vulnerability | Important |
Windows Remote Access Connection Manager | CVE-2024-30071 | Windows Remote Access Connection Manager Information Disclosure Vulnerability | Important |
Windows Remote Access Connection Manager | CVE-2024-30079 | Windows Remote Access Connection Manager Elevation of Privilege Vulnerability | Important |
Windows Remote Desktop | CVE-2024-38076 | Windows Remote Desktop Licensing Service Remote Code Execution Vulnerability | Critical❗️ |
Windows Remote Desktop | CVE-2024-38015 | Windows Remote Desktop Gateway (RD Gateway) Denial of Service Vulnerability | Important |
Windows Remote Desktop Licensing Service | CVE-2024-38071 | Windows Remote Desktop Licensing Service Denial of Service Vulnerability | Important |
Windows Remote Desktop Licensing Service | CVE-2024-38073 | Windows Remote Desktop Licensing Service Denial of Service Vulnerability | Important |
Windows Remote Desktop Licensing Service | CVE-2024-38074 | Windows Remote Desktop Licensing Service Remote Code Execution Vulnerability | Critical❗️ |
Windows Remote Desktop Licensing Service | CVE-2024-38072 | Windows Remote Desktop Licensing Service Denial of Service Vulnerability | Important |
Windows Remote Desktop Licensing Service | CVE-2024-38077 | Windows Remote Desktop Licensing Service Remote Code Execution Vulnerability | Critical❗️ |
Windows Remote Desktop Licensing Service | CVE-2024-38099 | Windows Remote Desktop Licensing Service Denial of Service Vulnerability | Important |
Windows Secure Boot | CVE-2024-38065 | Secure Boot Security Feature Bypass Vulnerability | Important |
Windows Secure Boot | CVE-2024-37986 | Secure Boot Security Feature Bypass Vulnerability | Important |
Windows Secure Boot | CVE-2024-37981 | Secure Boot Security Feature Bypass Vulnerability | Important |
Windows Secure Boot | CVE-2024-37987 | Secure Boot Security Feature Bypass Vulnerability | Important |
Windows Secure Boot | CVE-2024-28899 | Secure Boot Security Feature Bypass Vulnerability | Important |
Windows Secure Boot | CVE-2024-26184 | Secure Boot Security Feature Bypass Vulnerability | Important |
Windows Secure Boot | CVE-2024-38011 | Secure Boot Security Feature Bypass Vulnerability | Important |
Windows Secure Boot | CVE-2024-37984 | Secure Boot Security Feature Bypass Vulnerability | Important |
Windows Secure Boot | CVE-2024-37988 | Secure Boot Security Feature Bypass Vulnerability | Important |
Windows Secure Boot | CVE-2024-37977 | Secure Boot Security Feature Bypass Vulnerability | Important |
Windows Secure Boot | CVE-2024-37978 | Secure Boot Security Feature Bypass Vulnerability | Important |
Windows Secure Boot | CVE-2024-37974 | Secure Boot Security Feature Bypass Vulnerability | Important |
Windows Secure Boot | CVE-2024-38010 | Secure Boot Security Feature Bypass Vulnerability | Important |
Windows Secure Boot | CVE-2024-37989 | Secure Boot Security Feature Bypass Vulnerability | Important |
Windows Secure Boot | CVE-2024-37970 | Secure Boot Security Feature Bypass Vulnerability | Important |
Windows Secure Boot | CVE-2024-37975 | Secure Boot Security Feature Bypass Vulnerability | Important |
Windows Secure Boot | CVE-2024-37972 | Secure Boot Security Feature Bypass Vulnerability | Important |
Windows Secure Boot | CVE-2024-37973 | Secure Boot Security Feature Bypass Vulnerability | Important |
Windows Secure Boot | CVE-2024-37971 | Secure Boot Security Feature Bypass Vulnerability | Important |
Windows Secure Boot | CVE-2024-37969 | Secure Boot Security Feature Bypass Vulnerability | Important |
Windows Server Backup | CVE-2024-38013 | Microsoft Windows Server Backup Elevation of Privilege Vulnerability | Important |
Windows TCP/IP | CVE-2024-38064 | Windows TCP/IP Information Disclosure Vulnerability | Important |
Windows Themes | CVE-2024-38030 | Windows Themes Spoofing Vulnerability | Important |
Windows Win32 Kernel Subsystem | CVE-2024-38085 | Windows Graphics Component Elevation of Privilege Vulnerability | Important |
Windows Win32K - GRFX | CVE-2024-38066 | Windows Win32k Elevation of Privilege Vulnerability | Important |
Windows Win32K - ICOMP | CVE-2024-38059 | Win32k Elevation of Privilege Vulnerability | Important |
Windows Workstation Service | CVE-2024-38050 | Windows Workstation Service Elevation of Privilege Vulnerability | Important |
XBox Crypto Graphic Services | CVE-2024-38032 | Microsoft Xbox Remote Code Execution Vulnerability | Important |
XBox Crypto Graphic Services | CVE-2024-38078 | Xbox Wireless Adapter Remote Code Execution Vulnerability | Important |
Lees ook het artikel: Analyse van kwetsbaarheden op het gebied van cyberbeveiliging juni 2024
Drie kritieke kwetsbaarheden hebben het mogelijk gemaakt om Windows-servers op afstand over te nemen wanneer ze de Remote Desktop Licensing Service draaien. Microsoft heeft updates uitgebracht om deze problemen op te lossen en adviseert organisaties om de service uit te schakelen als deze niet nodig is. Door het versturen van speciaal geprepareerde netwerkpakketten naar een server die is ingesteld als Remote Desktop Licensing-server, kon een ongeautoriseerde aanvaller op afstand willekeurige code uitvoeren op het systeem. Microsoft beoordeelde de impact van deze kwetsbaarheden als 9.8 op een schaal van 1 tot 10 en heeft updates uitgebracht voor alle ondersteunde versies van Windows Server. Het misbruik van deze kwetsbaarheden wordt als 'Less Likely' beschouwd, maar experts zijn van mening dat misbruik snel zal plaatsvinden als de servers vanaf het internet benaderbaar zijn. 1
Citrix heeft recentelijk beveiligingsupdates uitgebracht voor een kritieke kwetsbaarheid, genaamd CVE-2024-6235, die aanvallers toegang tot de NetScaler Console, NetScaler SVM en NetScaler Agent zou kunnen verschaffen. Deze console stelt organisaties in staat hun NetScaler-instances te beheren. De impact van het beveiligingslek is beoordeeld met een 9.4 op een schaal van 1 tot en met 10. Citrix raadt organisaties die hun eigen NetScaler-omgeving beheren aan om de beschikbaar gestelde update te installeren. Er zijn nog geen details vrijgegeven over verdere potentiële risico's, maar Citrix heeft aangegeven het probleem zelf te hebben ontdekt en geen actief misbruik ervan te kennen. 1
Uit een onderzoek van Testaankoop blijkt dat de Linksys Velop Pro 6E en Velop Pro 7 routers inloggegevens voor wifi-netwerken in plaintext naar Amerikaanse servers sturen. Tijdens de installatie worden gegevens zoals SSID-naam, wachtwoord en identificatietokens naar een server van Amazon verstuurd, wat het risico op netwerkinbraak vergroot. Ondanks een firmware-update blijft het beveiligingsprobleem bestaan en Testaankoop adviseert daarom om deze routers niet te kopen vanwege het gevaar voor gegevensverlies. Linksys heeft tot nu toe niet adequaat gereageerd op het probleem, waardoor consumenten geconfronteerd worden met een potentieel risico op cyberaanvallen. 1
Het populaire RADIUS-protocol dat vaak wordt gebruikt voor toegangsbeheer tot netwerken en netwerkapparatuur, is kwetsbaar voor spoofingaanvallen. Onderzoekers, waaronder die van het Nederlandse Centrum Wiskunde & Informatica (CWI), hebben een kwetsbaarheid genaamd Blast-RADIUS ontdekt. Deze kwetsbaarheid maakt het mogelijk voor aanvallers om in te loggen op apparaten die RADIUS voor authenticatie gebruiken en zichzelf netwerkrechten te geven. De aanval maakt gebruik van een basale kwetsbaarheid in de RADIUS-protocolspecificatie door een MD5-hash te gebruiken voor verificatie, wat een chosen-prefix collision mogelijk maakt. Beheerders wordt geadviseerd om te controleren of er patches beschikbaar zijn voor hun apparatuur, en het gebruik van RADIUS/TLS wordt aanbevolen voor betere beveiliging. 1
Een recent ontdekte kwetsbaarheid in de Ghostscript-documentconversietoolkit, die veel wordt gebruikt op Linux-systemen, maakt het mogelijk voor aanvallers om op afstand code uit te voeren. De kwetsbaarheid, bekend als CVE-2024-29510, stelt aanvallers in staat om de -dSAFER sandbox te omzeilen, waardoor ze gevaarlijke bewerkingen kunnen uitvoeren, zoals het uitvoeren van opdrachten en het manipuleren van bestanden. Codean Labs heeft aanbevolen om Ghostscript bij te werken naar de nieuwste versie om deze kwetsbaarheid te verhelpen. De ontwikkelaars van Ghostscript hebben de kwetsbaarheid in mei gepatcht, maar aanvallers maken al gebruik van deze kwetsbaarheid in het wild door EPS-bestanden te gebruiken die zich voordoen als JPG-bestanden. Het is cruciaal om Ghostscript bij te werken naar versie 10.03.1 om deze kwetsbaarheid te verhelpen en mogelijke aanvallen te voorkomen. 1
The Shadowserver Foundation heeft via een online scan ontdekt dat mogelijk 4,5 miljoen OpenSSH-servers, waarvan ongeveer 95.000 in Nederland en 49.000 in Belgie, kwetsbaar zijn voor het recentelijk ontdekte 'regreSSHion'-lek. Deze kwetsbaarheid, ook bekend als CVE-2024-6387, stelt ongeauthenticeerde aanvallers in staat om op afstand code uit te voeren met root-rechten op kwetsbare servers. OpenSSH is een veelgebruikte verzameling van netwerktools gebaseerd op het SSH-protocol. De scan identificeerde in totaal meer dan 23,5 miljoen OpenSSH-servers wereldwijd. Hoewel de scan versiegebaseerd was en daardoor mogelijk onnauwkeurig, benadrukt The Shadowserver Foundation het belang van updaten naar OpenSSH 9.8 voor alle serverbeheerders. Het is belangrijk op te merken dat oudere versies met beveiligingspatches mogelijk niet kwetsbaar zijn, en dat een scan op basis van versienummers alleen niet altijd betrouwbare resultaten oplevert. Desondanks wordt aangeraden om veiligheidsmaatregelen te nemen en systemen bij te werken. 1
Een ernstige kwetsbaarheid in Exim, een populaire e-mailserversoftware, maakt het mogelijk voor aanvallers om beveiligingsmaatregelen te omzeilen en schadelijke uitvoerbare bestanden naar gebruikers te sturen. Deze kwetsbaarheid, aangeduid als CVE-2024-39929, treft alle versies van Exim tot en met 4.97.1. Het probleem ontstaat wanneer de software bestandsnamen in e-mailbijlagen niet correct verwerkt, wat leidt tot het omzeilen van de extensieblokkade. Ondanks de ernst van deze kwetsbaarheid, die een impactscore van 9,1 op een schaal van 10 heeft gekregen, is er nog geen definitieve update beschikbaar. Er is wel een release candidate van versie 4.98 uitgebracht die het probleem aanpakt, maar de releasedatum voor de definitieve versie is nog onbekend. Het wordt beheerders aangeraden om hun systemen te monitoren en passende beveiligingsmaatregelen te nemen totdat een volledige fix beschikbaar is. 1, 2
De ontwikkelaar van de populaire archiveringssoftware 7-Zip heeft onlangs in stilte een buffer overflow-kwetsbaarheid en een ander beveiligingslek in het programma opgelost. Deze kwetsbaarheden werden niet vermeld in de releasenotes of op enige andere manier aan gebruikers gecommuniceerd. Beveiligingsonderzoeker Maxim Suhanov ontdekte deze kwetsbaarheden en rapporteerde ze vorig jaar aan de ontwikkelaar van 7-Zip. De eerste kwetsbaarheid (CVE-2023-52168) betreft een buffer overflow in de 'NTFS handler' van 7-Zip, waardoor een aanvaller mogelijk code kan uitvoeren. Dit beveiligingslek is echter moeilijk te misbruiken omdat een aanvaller het doelwit een kwaadaardig archiefbestand moet laten openen. De tweede kwetsbaarheid maakt een out-of-bounds read mogelijk en kan vooral problematisch zijn voor webservices die gebruikersbestanden verwerken met 7-Zip. Beide kwetsbaarheden werden in augustus vorig jaar gerapporteerd en zijn verholpen in de 7-Zip versie '24.01 beta' van januari dit jaar. Deze aanpassingen zijn echter niet gedocumenteerd in de changelog of elders op de 7-Zip-website. 1, 2
Een recent ontdekte kwetsbaarheid in Xerox WorkCentre-printers maakt het mogelijk voor ongeauthenticeerde aanvallers om op afstand willekeurige code op het systeem uit te voeren. Dit probleem werd gevonden door beveiligingsonderzoeker Arseniy Sharoglazov van Positive Technologies, die nu de details openbaar heeft gemaakt. De kwetsbaarheid stelt aanvallers in staat om door middel van een speciaal geprepareerd verzoek toegang te krijgen, zonder dat authenticatie vereist is. Hoewel Xerox het probleem al in juni vorig jaar zou hebben verholpen, is er geen CVE-nummer of beveiligingsbulletin uitgegeven. Naast deze kwetsbaarheid ontdekte Sharoglazov ook een ander lek waarmee aanvallers rootrechten kunnen verkrijgen en toegang kunnen krijgen tot directories met externe USB-apparaten. Hierdoor kunnen documenten gedownload of aangepast worden. Ondanks de ernst van deze kwetsbaarheden, ontbreken verdere details over de oplossingen. 1
Een beveiligingslek in de populaire game Factorio stelde malafide servers in staat om schadelijke code op de systemen van spelers uit te voeren. Dit probleem, ontdekt door een beveiligingsonderzoeker en opgelost in de 1.1.101-update van december, werd onlangs openbaar gemaakt. Factorio, een spel waarbij spelers fabrieken bouwen, gebruikt de programmeertaal Lua voor logica en zelfgemaakte mappen. De multiplayer modus synchroniseert acties tussen spelers, waardoor kwaadwillenden deze functie kunnen misbruiken. Door een map met malafide Lua-code aan te bieden, kan een aanvaller code op de systemen van verbonden spelers uitvoeren. Deze map maakt gebruik van een kwetsbaarheid in de Lua interpreter van Factorio, waardoor het mogelijk is om geheugenlekken en 'fake objects' te creëren, die uiteindelijk leiden tot de uitvoering van kwaadaardige code. Spelers worden geadviseerd om alleen verbinding te maken met vertrouwde servers om dergelijke aanvallen te voorkomen. 1, 2, 3
Google heeft het kvmCTF-programma gelanceerd, een nieuw beloningsprogramma voor kwetsbaarheden dat werd aangekondigd in oktober 2023. Dit programma is gericht op het verbeteren van de beveiliging van de Kernel-based Virtual Machine (KVM) hypervisor. KVM, een open-source hypervisor die al meer dan 17 jaar in ontwikkeling is, is essentieel voor zowel consumenten- als bedrijfsomgevingen, en ondersteunt onder andere Android en Google Cloud. Het kvmCTF-programma biedt beloningen tot $250.000 voor volledige VM-escape-exploits. Andere beloningen variëren van $10.000 tot $100.000, afhankelijk van de ernst van de gevonden kwetsbaarheid. Het programma biedt beveiligingsonderzoekers een gecontroleerde labomgeving om hun exploits te testen en vlaggen te verzamelen als bewijs van hun succes. Alleen zero-day kwetsbaarheden komen in aanmerking voor beloningen; bekende kwetsbaarheden worden niet beloond. Google zal details van ontdekte zero-day kwetsbaarheden pas ontvangen nadat upstream patches zijn uitgebracht, om te zorgen dat de informatie gelijktijdig wordt gedeeld met de open-source community. Hiermee toont Google hun toewijding aan hoge beveiligingsnormen en samenwerking binnen de techgemeenschap. 1, 2
QNAP heeft een waarschuwing uitgegeven voor een kwetsbaarheid in OpenSSH, die aanwezig is in twee Release Candidates van hun NAS-besturingssystemen QTS 5.2.0 en QuTS hero h5.2.0. Deze kwetsbaarheid, bekend als 'regreSSHion', maakt het mogelijk voor ongeauthenticeerde aanvallers om op afstand code uit te voeren met root-rechten op kwetsbare servers. De fout is veroorzaakt door een 'signal handler race condition' in de OpenSSH server (sshd) en komt voor bij glibc-gebaseerde Linux-systemen. Hoewel OpenSSH het probleem heeft opgelost, zijn de getroffen QNAP-versies nog steeds kwetsbaar. Gebruikers wordt aangeraden de SSH-service uit te schakelen, wat standaard al het geval is. Als SSH toch nodig is, adviseert QNAP om poort 22 niet te gebruiken en IP Access Protection in te schakelen. Officiële releases van andere QNAP-besturingssystemen, zoals QTS 5.1.x en QuTS hero h5.1.x, zijn niet getroffen. QNAP belooft dat de kwetsbaarheid in de officiële versies van QTS 5.2.0 en QuTS hero h5.2.0 zal worden verholpen. 1
Google heeft opnieuw een kritieke kwetsbaarheid in Android verholpen die apps en lokale gebruikers in staat stelde om zonder aanvullende permissies hun rechten te verhogen. Tijdens de patchronde van juli werden 29 kwetsbaarheden gerepareerd, waaronder CVE-2024-3132, die zich in het Android Framework bevindt en als kritiek is aangemerkt. Dit soort beveiligingslekken, ook wel "escalation of privilege" genoemd, worden zelden als kritiek bestempeld. Updates zijn uitgebracht voor Android 12, 12L, 13 en 14. Google informeerde fabrikanten een maand geleden al over deze kwetsbaarheden, maar niet alle Androidtoestellen ontvangen direct de updates, omdat sommige apparaten niet meer worden ondersteund of updates later worden uitgerold. Toestellen die de juli-updates ontvangen, zullen een patchniveau van '2024-07-01' of '2024-07-05' hebben. 1
Cisco heeft een kritieke kwetsbaarheid in NX-OS, CVE-2024-20399, verholpen. Deze zero-day exploit stelde aanvallers in staat om aangepaste malware op kwetsbare switches te installeren. De Chinese staatssponsor Velvet Ant voerde aanvallen uit in april, waarbij ze beheerdersreferenties verzamelden en kwaadaardige code uitvoerden op getroffen Cisco Nexus switches. De exploit maakt gebruik van onvoldoende argumentvalidatie in CLI-commando's, waardoor aanvallers root-toegang konden verkrijgen zonder syslog-waarschuwingen te triggeren. Cisco adviseert regelmatige wijziging van beheerderswachtwoorden en gebruik van de Cisco Software Checker om kwetsbare apparaten te identificeren. 1, 2
Een ernstige kwetsbaarheid in OpenSSH stelt ongeauthenticeerde aanvallers in staat om op afstand code uit te voeren als root op kwetsbare servers, waardoor volledige controle over het systeem mogelijk is. Deze kwetsbaarheid, aangeduid als CVE-2024-6387 en door securitybedrijf Qualys 'regreSSHion' genoemd, treft ongeveer 700.000 systemen wereldwijd. OpenSSH, een verzameling netwerktools gebaseerd op het SSH-protocol, bevat een 'signal handler race condition' in de server (sshd), waardoor remote code execution mogelijk is op glibc-gebaseerde Linux-systemen. Het probleem, een regressie van een eerder in 2006 verholpen lek (CVE-2006-5051), werd opnieuw geïntroduceerd met de release van OpenSSH 8.5p1 in oktober 2020. Hoewel OpenBSD-systemen niet kwetsbaar zijn, worden beheerders van andere systemen aangespoord hun OpenSSH-pakketten te updaten of de configuratie aan te passen om misbruik te voorkomen. Qualys heeft bewust nog geen exploitcode gepubliceerd om misbruik tegen te gaan. 1, 2, 3
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Reading in 🇬🇧 or another language
Reading in 🇬🇧 or another language
Reading in 🇬🇧 or another language
Reading in 🇬🇧 or another language
🇳🇱 🇬🇧
🇳🇱 🇬🇧