Analyse van kwetsbaarheden op het gebied van cyberbeveiliging november 2024
Reading in 🇬🇧 or another language
Juniper Networks heeft een noodupdate uitgebracht om een ernstige kwetsbaarheid aan te pakken die leidt tot authenticatieomzeiling in Session Smart Router (SSR), Session Smart Conductor en WAN Assurance Router producten. Deze kwetsbaarheid, aangeduid als CVE-2024-2973, stelt een aanvaller in staat om volledige controle over het apparaat te krijgen. Het probleem treedt op bij apparaten die in een hoge beschikbaarheid redundante configuratie draaien. Deze configuratie is vaak te vinden in kritieke netwerkinfrastructuren zoals grote ondernemingen, datacenters en overheidsdiensten. De getroffen versies zijn alle versies van SSR en Conductor voor 5.6.15, 6.1.9-lts en 6.2.5-sts. Voor WAN Assurance Routers geldt hetzelfde. De update heeft een minimale impact op de productietrafiek, met ongeveer 30 seconden downtime voor webgebaseerd beheer en API’s. Er zijn geen workarounds beschikbaar, dus het wordt aanbevolen de beschikbare fixes toe te passen. 1
Een ernstige kwetsbaarheid treft bepaalde versies van GitLab Community en Enterprise Edition-producten, waarmee pipelines kunnen worden uitgevoerd als elke gebruiker. Het probleem heeft een ernstigheidscore van 9.6 op 10. GitLab heeft versies 17.1.1, 17.0.3 en 16.11.5 uitgebracht om het probleem aan te pakken. Upgrades naar de nieuwste versies brengen echter twee veranderingen met zich mee, waaronder het handmatig starten van pipelines voor bepaalde acties. Andere beveiligingsproblemen zijn ook opgelost, waarbij enkele een hoge ernst hadden. Het wordt sterk aanbevolen om alle installaties die worden beïnvloed door de beschreven problemen zo snel mogelijk bij te werken naar de nieuwste versie. 1, 2
De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft onderzoek gepubliceerd naar 172 belangrijke open source projecten en hun kwetsbaarheid voor geheugenfouten. Uit het rapport blijkt dat meer dan de helft van deze projecten code bevat die geschreven is in geheugenoveilige talen. Belangrijke bevindingen zijn dat 52% van de onderzochte projecten onveilige code bevat en dat 55% van de totale codelijnen in onveilige talen is geschreven. Vooral de grootste projecten bevatten disproportioneel veel onveilige code. CISA erkent dat ontwikkelaars vaak genoodzaakt zijn onveilige talen te gebruiken vanwege beperkingen in resources en prestatie-eisen. De agency raadt aan om nieuwe code in veilige talen als Rust, Java en GO te schrijven en bestaande projecten daarnaar over te zetten. Ook worden veilige codeerpraktijken, zorgvuldig beheer van afhankelijkheden en continu testen aanbevolen om geheugenproblematiek aan te pakken.
Een ernstige SQL-injectiekwetsbaarheid is ontdekt in Fortra FileCatalyst Workflow, een platform voor bestandsuitwisseling en -deling. Deze kwetsbaarheid, aangeduid als CVE-2024-5276, stelt niet-geauthenticeerde externe aanvallers in staat om beheerderaccounts aan te maken en gegevens in de applicatiedatabase te manipuleren. De fout treft versies tot en met 5.1.6 Build 135 en is opgelost in versie 5.1.6 build 139. Hoewel het lek op 15 mei 2024 werd ontdekt, is het pas onlangs openbaar gemaakt. Een proof-of-concept exploit is nu beschikbaar, wat het risico op actieve aanvallen vergroot. De exploit maakt gebruik van de 'jobID'-parameter in verschillende URL-eindpunten van de Workflow-webapplicatie om kwaadaardige code in te voegen. Fortra benadrukt dat het niet mogelijk is om via deze kwetsbaarheid gegevens te stelen, maar adviseert gebruikers dringend om te upgraden naar de nieuwste versie om misbruik te voorkomen. 1, 2
Softwarebedrijf Progress heeft een ernstige kwetsbaarheid ontdekt in MOVEit Transfer, een applicatie voor het uitwisselen van bestanden. Deze kwetsbaarheid (CVE-2024-5806) maakt het mogelijk voor ongeauthenticeerde aanvallers om toegang tot de server te krijgen en zich voor te doen als elke willekeurige gebruiker. De impact van het lek is beoordeeld met een 9.1 op een schaal van 1 tot 10. MOVEit Transfer wordt door veel organisaties gebruikt om vertrouwelijke informatie te delen. Vorig jaar vond een van de grootste ransomware-aanvallen in de geschiedenis plaats via een lek in deze software, waarbij gegevens van ongeveer 96 miljoen personen werden gestolen. Progress heeft klanten geïnformeerd en patches uitgerold. Ondanks deze maatregelen zijn kort na het bekendmaken van de details de eerste exploitatiepogingen waargenomen. Organisaties worden aangeraden hun systemen zo snel mogelijk bij te werken om misbruik te voorkomen. 1, 2
Very shortly after vulnerability details were published today we started observing Progress MOVEit Transfer CVE-2024-5806 POST /guestaccess.aspx exploit attempts. If you run MOVEit & have not patched yet - please do so now: https://t.co/AenLgqg1wM
— The Shadowserver Foundation (@Shadowserver) June 25, 2024
NVD: https://t.co/OHQRNFNE9p
Apple heeft een beveiligingslek in de Bluetooth-software van verschillende draadloze koptelefoons opgelost. Het probleem trof modellen zoals AirPods, AirPods Pro, AirPods Max, Powerbeats Pro en Beats Fit Pro. De kwetsbaarheid stelde een aanvaller in de buurt in staat om ongeautoriseerde toegang tot de koptelefoons te krijgen. Het lek deed zich voor wanneer de koptelefoons verbinding zochten met een eerder gekoppeld apparaat. Een aanvaller kon zich voordoen als dit apparaat en zo toegang krijgen. De maximale afstand voor een dergelijke aanval is ongeveer twintig meter. Apple heeft firmware-updates uitgebracht om het probleem te verhelpen. Deze updates worden automatisch geïnstalleerd wanneer de koptelefoons worden opgeladen en verbonden zijn met een iPhone, iPad of Mac die op wifi is aangesloten. Voor gebruikers zonder Apple-apparatuur is het mogelijk om een afspraak te maken bij een Apple Store of erkende serviceprovider voor het updaten van de firmware. 1, 2
End-of-life NAS-apparaten van Zyxel zijn het doelwit geworden van een 'Mirai-achtig' botnet. Aanvallers maken misbruik van een kritieke kwetsbaarheid om de systemen te compromitteren. Hoewel de apparaten niet meer ondersteund worden, bracht Zyxel begin deze maand een noodpatch uit om vijf beveiligingslekken te verhelpen, waaronder drie kritieke. The Shadowserver Foundation meldt dat het botnet actief misbruik maakt van één van deze kwetsbaarheden (CVE-2024-29973), waarmee aanvallers op afstand code kunnen uitvoeren op kwetsbare NAS-apparaten. De ernst van dit lek is beoordeeld met een 9.8 op een schaal van 10. Experts raden gebruikers aan om de patch zo snel mogelijk toe te passen, te controleren op tekenen van compromittering en te overwegen om deze niet meer ondersteunde apparaten te vervangen. Vorig jaar mei was er een vergelijkbaar incident waarbij een Mirai-botnet kwetsbare Zyxel-firewalls compromitteerde.
We have started observing Zyxel NAS CVE-2024-29973 RCE exploitation attempts by a Mirai-like botnet in our sensors. Zyxel has released patches for this and other vulnerabilities (though affected products are EOL)https://t.co/IiPxfSxcEj
— The Shadowserver Foundation (@Shadowserver) June 21, 2024
Review for signs of compromise and patch!
Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft gewaarschuwd voor meerdere kwetsbaarheden in ANPR-camera's van Motorola Solutions. Deze camera's, gebruikt door politiekorpsen voor het scannen van kentekens, bevatten zeven beveiligingslekken die aanvallers in staat stelden verschillende aanvallen uit te voeren en toegang te krijgen tot gevoelige informatie. De kwetsbaarheden varieerden van onbeveiligde opslag van data tot mogelijkheden voor het installeren van backdoors. Een van de ernstigste problemen was een standaard ingeschakeld wifi-netwerk met een universeel wachtwoord, waardoor iedereen in de buurt verbinding kon maken met de camera's. Motorola Solutions heeft inmiddels de meeste kwetsbaarheden verholpen en werkt aan een oplossing voor de resterende problemen. De Amerikaanse burgerrechtenbeweging EFF waarschuwt dat deze situatie de gevaren van massasurveillance voor de openbare veiligheid aantoont en pleit voor beperktere gegevensverzameling door politiediensten. 1, 2
Een ernstige kwetsbaarheid genaamd 'UEFICANHAZBUFFEROVERFLOW' is ontdekt in de Phoenix SecureCore UEFI-firmware van talrijke Intel-processors. De bug, aangeduid als CVE-2024-0762, betreft een bufferoverloop in de TPM-configuratie die mogelijk kan worden misbruikt voor code-uitvoering op kwetsbare apparaten.mDe kwetsbaarheid treft honderden modellen van fabrikanten als Lenovo, Dell, Acer en HP. UEFI-firmware is een waardevol doelwit voor aanvallers omdat het de Secure Boot-functie bevat die malware tijdens het opstarten blokkeert. Eclypsium, die de bug ontdekte, waarschuwt dat aanvallers mogelijk privileges kunnen verhogen en malware kunnen installeren. Lenovo heeft al firmware-updates uitgebracht voor meer dan 150 modellen om het probleem op te lossen. Phoenix heeft een advies gepubliceerd en andere fabrikanten zullen naar verwachting volgen met updates. Gebruikers worden aangeraden hun firmware bij te werken zodra updates beschikbaar komen om hun systemen te beschermen tegen deze ernstige kwetsbaarheid. 1
VMware heeft een beveiligingsadvies uitgebracht over kritieke kwetsbaardheden in vCenter Server, waaronder external control execution en lokale privilege-escalatielekken. De leverancier heeft updates vrijgegeven voor CVE-2024-37079, CVE-2024-37080 en CVE-2024-37081 die kwetsbaarheden in de DCERPC-protocolimplementatie en een sudoconfiguratiefout in vCenter Server verhelpen. Deze lekken kunnen leiden tot externe code-uitvoering en rootprivileges voor aanvallers. De beveiligingsupdates zijn beschikbaar voor VMware vCenter Server versies 7.0 en 8.0 en VMware Cloud Foundation 4.x en 5.x. VMware adviseert gebruikers dringend de updates zo snel mogelijk toe te passen, aangezien er geen werkarounds beschikbaar zijn. Hoewel er nog geen actieve aanvallen zijn waargenomen, worden dergelijke vCenter-lekken vaak snel door dreigingsactoren misbruikt na bekendmaking. Een tijdelijke onderbreking van managementinterfaces is te verwachten tijdens de update. 1, 2
Het Taiwanese Computer Emergency Response Team (TWCERT) heeft gewaarschuwd voor een verborgen backdoor in verschillende D-Link router modellen. Deze backdoor stelt aanvallers in staat om zonder authenticatie in te loggen op de routers via een speciaal URL-pad. Hierdoor kunnen zij vervolgens met de in de firmware opgeslagen admin-inloggegevens toegang krijgen tot de apparaten. D-Link heeft firmware-updates uitgebracht om dit ernstige lek (CVE-2024-6045) te verhelpen. De kwetsbaarheid heeft een hoge risicoscore van 8.8 en treft de volgende router modellen: E15, G403, G415, G416, M15, M18, M32, R03, R04, R12, R15, R18, R32 en de AQUILA PRO AI Family. Gebruikers worden geadviseerd om de updates zo snel mogelijk te installeren om hun routers te beveiligen tegen mogelijke aanvallen. 1, 2
Twee ernstige beveiligingslekken in modem-routers en wifi-routers van Asus stellen aanvallers in staat de apparaten op afstand over te nemen. De eerste kwetsbaarheid (CVE-2024-3912) betreft een "willekeurige firmware upload" kwetsbaarheid waardoor ongeauthenticeerde aanvallers op afstand systeemcommando's kunnen uitvoeren. Voor sommige modellen zijn updates beschikbaar, maar voor andere verouderde modellen niet meer. Het Taiwanese Computer Emergency Response Team (TWCERT) adviseert gebruikers om deze niet-ondersteunde apparaten te vervangen. De tweede kwetsbaarheid (CVE-2024-3080) is een "authentication bypass" waardoor aanvallers de authenticatie kunnen omzeilen en inloggen op de routers. Asus heeft voor enkele modellen updates uitgebracht, maar details over de kwetsbaarheid zelf zijn nog niet openbaar gemaakt. Gebruikers worden geadviseerd updates te installeren of verouderde apparatuur te vervangen om de risico's te beperken. 1, 2
Een proof-of-concept (PoC) exploit is vrijgegeven voor een kritieke authenticatieomzeilingskwetsbaarheid in Veeam Recovery Orchestrator, met het volgnummer CVE-2024-29855. Deze kwetsbaarheid stelt aanvallers in staat om zonder authenticatie in te loggen met administratorrechten. De kwetsbaarheid wordt veroorzaakt door het gebruik van een statische JSON Web Token (JWT) sleutel, waardoor aanvallers geldige tokens kunnen genereren voor elke gebruiker. Hoewel Veeam aangeeft dat enkele voorwaarden vereist zijn om de kwetsbaarheid uit te buiten, laat de onderzoeker zien dat deze eenvoudig kunnen worden omzeild. Bijwerken naar de nieuwste versies 7.1.0.230 en 7.0.0.379 is daarom cruciaal om aanvallen te voorkomen. Het publiek beschikbaar komen van deze exploit verhoogt de urgentie om snel beveiligingsupdates toe te passen. 1, 2, 3
SolarWinds roept klanten op om een ernstige kwetsbaarheid in de Serv-U software onmiddellijk te patchen. Het beveiligingslek, een path traversal-kwetsbaarheid (CVE-2024-28995), stelt ongeauthenticeerde aanvallers in staat om op afstand toegang te krijgen tot alle bestanden op de server. Serv-U is software waarmee organisaties FTP-, FTPS- en SFTP-servers kunnen opzetten voor het uitwisselen van bestanden. Het beveiligingslek maakt "smash-and-grab"-aanvallen mogelijk, waarbij aanvallers gevoelige informatie kunnen stelen en mogelijk losgeld eisen. SolarWinds heeft een hotfix uitgebracht om het probleem te verhelpen. Securitybedrijf Rapid7 waarschuwt dat misbruik van de kwetsbaarheid zeer eenvoudig is en adviseert organisaties de update meteen te installeren. 1
Het Europees Agentschap voor cyberbeveiliging (ENISA) is geautoriseerd als een Common Vulnerabilities and Exposures (CVE) Numbering Authority (CNA). Dit betekent dat ENISA voortaan CVE-nummers kan toekennen aan kwetsbaarheden. Een CVE-nummer is een uniek identificatienummer voor een beveiligingslek, waardoor het eenvoudiger is om kwetsbaarheden te volgen, informatie uit te wisselen en beveiligingsproducten te beoordelen. Als CNA kan ENISA ondersteuning bieden aan Europese Computer Security Incident Response Teams bij het toekennen van CVE-nummers aan gemelde of ontdekte kwetsbaarheden. Dit draagt bij aan een verantwoorde en gestructureerde aanpak van kwetsbaarheden in Europa. 1
Google heeft patches uitgebracht voor 50 beveiligingslekken die de Pixel-apparaten treffen, waaronder een ernstige kwetsbaarheid die al werd misbruikt in gerichte aanvallen. De kwetsbaarheid, aangeduid als CVE-2024-32896, is een privilege-escalatielek in de Pixel firmware en wordt als een ernstig risico beschouwd. Google adviseerde gebruikers de updates voor het juni 2024 patchniveau te installeren om hun apparaten te beschermen tegen mogelijke aanvallen. Naast CVE-2024-32896 werden nog 44 andere beveiligingsproblemen opgelost, waaronder zeven kritieke kwetsbaarheden die escalatie van privileges mogelijk maken in verschillende Pixel-componenten. Gebruikers kunnen de beveiligingsupdate installeren via Instellingen > Beveiliging en privacy > Systeem en updates > Beveiligingsupdate. [1]
JetBrains heeft klanten gewaarschuwd voor een kritiek beveiligingslek in de IntelliJ geïntegreerde ontwikkelomgeving (IDE) dat GitHub-toegangstokens blootlegt. Het lek, aangeduid als CVE-2024-37051, treft alle IntelliJ-gebaseerde IDE's vanaf versie 2023.1 waar de JetBrains GitHub-plugin is ingeschakeld en geconfigureerd. JetBrains heeft beveiligingsupdates uitgebracht om dit kritieke lek te verhelpen in de getroffen IDE-versies vanaf 2023.1. De kwetsbare JetBrains GitHub-plugin is ook gepatcht en eerdere kwetsbare versies zijn verwijderd uit de officiële pluginmarktplaats. Klanten die de GitHub-functionaliteit actief hebben gebruikt, wordt dringend geadviseerd hun GitHub-toegangstokens in te trekken, aangezien deze potentieel toegang kunnen geven tot de gekoppelde GitHub-accounts. [jetbrains]
In de juni 2024 Patch Tuesday heeft Microsoft beveiligingsupdates uitgebracht voor 51 kwetsbaarheden, waaronder 18 remote code execution (RCE) lekken. Eén van de kritieke lekken betrof een RCE-kwetsbaarheid in Microsoft Message Queuing (MSMQ). Er werd ook één openbaar gemaakte zero-day kwetsbaarheid verholpen, de 'Keytrap' aanval op het DNS-protocol.
Andere interessante gelekte lekken waren onder meer RCE-kwetsbaarheden in Microsoft Office, waaronder voor Outlook die kunnen worden misbruikt vanuit de voorvertoningsfunctie. Microsoft loste verder zeven Windows Kernel kwetsbaarheden op waarmee een lokale aanvaller SYSTEM-privileges kon verkrijgen.
Het totale aantal opgeloste lekken was als volgt: 25 elevation of privilege kwetsbaarheden, 18 RCE-lekken, 3 information disclosure lekken en 5 denial of service kwetsbaarheden. De 51 lekken omvatten niet de 7 Microsoft Edge-lekken die op 3 juni werden gedicht.
Een ernstige kwetsbaarheid in Microsoft Outlook stelt aanvallers in staat om willekeurige code uit te voeren op systemen, zonder enige gebruikersinteractie vereist. Hoewel Microsoft het beveiligingslek als 'hoog' heeft aangemerkt en misbruik als 'minder waarschijnlijk', waarschuwen securityonderzoekers dat de kwetsbaarheid (CVE-2024-30103) kritiek is en eenvoudig uit te buiten. De kwetsbaarheid, met een impactscore van 8.8 op een schaal van 10, laat aanvallers toe de Outlook registry blocklist te omzeilen en schadelijke DLL-bestanden aan te maken. Het voorbeeldvenster van Outlook vormt hierbij een aanvalsvector, waarbij e-mails worden weergegeven zonder dat de gebruiker ze zelf opent. Hoewel Microsoft reeds updates heeft uitgebracht, zullen securityonderzoekers tijdens de aankomende Def Con-conferentie meer details en proof-of-concept code vrijgeven. Het techbedrijf benadrukt dat een aanvaller over geldige inloggegevens moet beschikken om de kwetsbaarheid te misbruiken. 1
Tag | CVE ID | CVE Title | Severity |
---|---|---|---|
Azure Data Science Virtual Machines | CVE-2024-37325 | Azure Science Virtual Machine (DSVM) Elevation of Privilege Vulnerability | Important |
Azure File Sync | CVE-2024-35253 | Microsoft Azure File Sync Elevation of Privilege Vulnerability | Important |
Azure Monitor | CVE-2024-35254 | Azure Monitor Agent Elevation of Privilege Vulnerability | Important |
Azure SDK | CVE-2024-35255 | Azure Identity Libraries and Microsoft Authentication Library Elevation of Privilege Vulnerability | Important |
Azure Storage Library | CVE-2024-35252 | Azure Storage Movement Client Library Denial of Service Vulnerability | Important |
Dynamics Business Central | CVE-2024-35248 | Microsoft Dynamics 365 Business Central Elevation of Privilege Vulnerability | Important |
Dynamics Business Central | CVE-2024-35249 | Microsoft Dynamics 365 Business Central Remote Code Execution Vulnerability | Important |
Microsoft Dynamics | CVE-2024-35263 | Microsoft Dynamics 365 (On-Premises) Information Disclosure Vulnerability | Important |
Microsoft Edge (Chromium-based) | CVE-2024-5498 | Chromium: CVE-2024-5498 Use after free in Presentation API | Unknown |
Microsoft Edge (Chromium-based) | CVE-2024-5493 | Chromium: CVE-2024-5493 Heap buffer overflow in WebRTC | Unknown |
Microsoft Edge (Chromium-based) | CVE-2024-5497 | Chromium: CVE-2024-5497 Out of bounds memory access in Keyboard Inputs | Unknown |
Microsoft Edge (Chromium-based) | CVE-2024-5495 | Chromium: CVE-2024-5495 Use after free in Dawn | Unknown |
Microsoft Edge (Chromium-based) | CVE-2024-5499 | Chromium: CVE-2024-5499 Out of bounds write in Streams API | Unknown |
Microsoft Edge (Chromium-based) | CVE-2024-5494 | Chromium: CVE-2024-5494 Use after free in Dawn | Unknown |
Microsoft Edge (Chromium-based) | CVE-2024-5496 | Chromium: CVE-2024-5496 Use after free in Media Session | Unknown |
Microsoft Office | CVE-2024-30101 | Microsoft Office Remote Code Execution Vulnerability | Important |
Microsoft Office | CVE-2024-30104 | Microsoft Office Remote Code Execution Vulnerability | Important |
Microsoft Office Outlook | CVE-2024-30103 | Microsoft Outlook Remote Code Execution Vulnerability | Important |
Microsoft Office SharePoint | CVE-2024-30100 | Microsoft SharePoint Server Remote Code Execution Vulnerability | Important |
Microsoft Office Word | CVE-2024-30102 | Microsoft Office Remote Code Execution Vulnerability | Important |
Microsoft Streaming Service | CVE-2024-30090 | Microsoft Streaming Service Elevation of Privilege Vulnerability | Important |
Microsoft Streaming Service | CVE-2024-30089 | Microsoft Streaming Service Elevation of Privilege Vulnerability | Important |
Microsoft WDAC OLE DB provider for SQL | CVE-2024-30077 | Windows OLE Remote Code Execution Vulnerability | Important |
Microsoft Windows | CVE-2023-50868 | MITRE: CVE-2023-50868 NSEC3 closest encloser proof can exhaust CPU | Important |
Microsoft Windows Speech | CVE-2024-30097 | Microsoft Speech Application Programming Interface (SAPI) Remote Code Execution Vulnerability | Important |
Visual Studio | CVE-2024-30052 | Visual Studio Remote Code Execution Vulnerability | Important |
Visual Studio | CVE-2024-29060 | Visual Studio Elevation of Privilege Vulnerability | Important |
Visual Studio | CVE-2024-29187 | GitHub: CVE-2024-29187 WiX Burn-based bundles are vulnerable to binary hijack when run as SYSTEM | Important |
Windows Cloud Files Mini Filter Driver | CVE-2024-30085 | Windows Cloud Files Mini Filter Driver Elevation of Privilege Vulnerability | Important |
Windows Container Manager Service | CVE-2024-30076 | Windows Container Manager Service Elevation of Privilege Vulnerability | Important |
Windows Cryptographic Services | CVE-2024-30096 | Windows Cryptographic Services Information Disclosure Vulnerability | Important |
Windows DHCP Server | CVE-2024-30070 | DHCP Server Service Denial of Service Vulnerability | Important |
Windows Distributed File System (DFS) | CVE-2024-30063 | Windows Distributed File System (DFS) Remote Code Execution Vulnerability | Important |
Windows Event Logging Service | CVE-2024-30072 | Microsoft Event Trace Log File Parsing Remote Code Execution Vulnerability | Important |
Windows Kernel | CVE-2024-30068 | Windows Kernel Elevation of Privilege Vulnerability | Important |
Windows Kernel | CVE-2024-30064 | Windows Kernel Elevation of Privilege Vulnerability | Important |
Windows Kernel-Mode Drivers | CVE-2024-30084 | Windows Kernel-Mode Driver Elevation of Privilege Vulnerability | Important |
Windows Kernel-Mode Drivers | CVE-2024-35250 | Windows Kernel-Mode Driver Elevation of Privilege Vulnerability | Important |
Windows Link Layer Topology Discovery Protocol | CVE-2024-30075 | Windows Link Layer Topology Discovery Protocol Remote Code Execution Vulnerability | Important |
Windows Link Layer Topology Discovery Protocol | CVE-2024-30074 | Windows Link Layer Topology Discovery Protocol Remote Code Execution Vulnerability | Important |
Windows NT OS Kernel | CVE-2024-30099 | Windows Kernel Elevation of Privilege Vulnerability | Important |
Windows NT OS Kernel | CVE-2024-30088 | Windows Kernel Elevation of Privilege Vulnerability | Important |
Windows Perception Service | CVE-2024-35265 | Windows Perception Service Elevation of Privilege Vulnerability | Important |
Windows Remote Access Connection Manager | CVE-2024-30069 | Windows Remote Access Connection Manager Information Disclosure Vulnerability | Important |
Windows Routing and Remote Access Service (RRAS) | CVE-2024-30095 | Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability | Important |
Windows Routing and Remote Access Service (RRAS) | CVE-2024-30094 | Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability | Important |
Windows Server Service | CVE-2024-30062 | Windows Standards-Based Storage Management Service Remote Code Execution Vulnerability | Important |
Windows Server Service | CVE-2024-30080 | Microsoft Message Queuing (MSMQ) Remote Code Execution Vulnerability | Critical❗️ |
Windows Standards-Based Storage Management Service | CVE-2024-30083 | Windows Standards-Based Storage Management Service Denial of Service Vulnerability | Important |
Windows Storage | CVE-2024-30093 | Windows Storage Elevation of Privilege Vulnerability | Important |
Windows Themes | CVE-2024-30065 | Windows Themes Denial of Service Vulnerability | Important |
Windows Wi-Fi Driver | CVE-2024-30078 | Windows Wi-Fi Driver Remote Code Execution Vulnerability | Important |
Windows Win32 Kernel Subsystem | CVE-2024-30086 | Windows Win32 Kernel Subsystem Elevation of Privilege Vulnerability | Important |
Windows Win32K - GRFX | CVE-2024-30087 | Win32k Elevation of Privilege Vulnerability | Important |
Windows Win32K - GRFX | CVE-2024-30091 | Win32k Elevation of Privilege Vulnerability | Important |
Windows Win32K - GRFX | CVE-2024-30082 | Win32k Elevation of Privilege Vulnerability | Important |
Winlogon | CVE-2024-30067 | Winlogon Elevation of Privilege Vulnerability | Important |
Winlogon | CVE-2024-30066 | Winlogon Elevation of Privilege Vulnerability | Important |
Onderzoekers van antivirusbedrijf Kaspersky ontdekten 24 kwetsbaarheden in biometrische terminals van fabrikant ZkTeco, waaronder de ProFace X, Smartec ST-FR043 en Smartec ST-FR041ME. De meest opvallende kwetsbaarheid (CVE-2023-3938) maakt SQL-injectie mogelijk door misbruik van de QR-code scan functie. De terminals gebruiken data uit gescande QR-codes onveilig in SQL-queries, waardoor aanvallers zich kunnen authenticeren als geldige gebruikers. Daarnaast veroorzaken QR-codes met meer dan 1KB data een noodherstel van de apparaten. ZkTeco heeft nog geen updates uitgebracht om de kwetsbaarheden te verhelpen. Kaspersky adviseert gebruikers om updates te installeren zodra deze beschikbaar komen. [securelist, github]
Arm heeft een beveiligingsbulletin uitgegeven dat waarschuwt voor een geheugengerelateerde kwetsbaarheid in de Bifrost en Valhall GPU kernel drivers die actief wordt misbruikt. De kwetsbaarheid, aangeduid als CVE-2024-4610, is een use-after-free kwetsbaarheid die alle versies van de Bifrost en Valhall drivers vanaf r34p0 tot en met r40p0 treft. Deze bug kan leiden tot informatielekken en willekeurige code-executie. Arm bevestigt dat de kwetsbaarheid in het wild wordt aangevallen en raadt gebruikers aan om te upgraden naar versie r41p0 of hoger, die het probleem heeft opgelost. De getroffen Mali GPU's worden gebruikt in smartphones, tablets, Chromebooks en andere ingebedde systemen, waardoor de impact van deze kwetsbaarheid aanzienlijk kan zijn. Sommige oudere apparaten krijgen mogelijk geen beveiligingsupdates meer. [developer]
Onderzoekers hebben zes kwetsbaarheden van verschillende ernst ontdekt in de Netgear WNR614 N300 router, een populair budgetvriendelijk model voor huishoudens en kleine bedrijven. Hoewel deze router niet meer wordt ondersteund door Netgear, is hij nog steeds in veel omgevingen aanwezig vanwege zijn betrouwbaarheid, gebruiksgemak en prestaties. De kwetsbaarheden omvatten authenticatie omzeiling, zwakke wachtwoordbeleid, opslag van wachtwoorden in platte tekst en blootstelling van de WiFi Protected Setup (WPS) PIN. Deze bevindingen stellen aanvallers in staat om ongeautoriseerde toegang tot de router te krijgen, de netwerkinstellingen te manipuleren en gevoelige gebruikersgegevens bloot te stellen. Omdat de router zijn levensduur heeft bereikt, wordt er geen beveiligingsupdate van Netgear verwacht. Gebruikers wordt daarom geadviseerd mitigerende maatregelen te nemen, zoals het uitschakelen van externe beheersfuncties, gebruikmaken van sterke wachtwoorden, het opschonen van de router en het beperken van toegang tot de beheerinterface. Uiteindelijk wordt aangeraden om de router te vervangen door een actueel ondersteund model voor betere beveiliging. [redfoxsec, netgear]
Er is een proof-of-concept (PoC) exploit openbaar gemaakt voor een kritieke authenticatieomzeilingskwetsbaarheid in Veeam Backup Enterprise Manager, met code CVE-2024-29849. Deze kwetsbaarheid stelt aanvallers in staat om zonder authenticatie in te loggen als willekeurige gebruiker. Veeam heeft een beveiligingsupdate uitgebracht om dit lek te dichten, en dringt er bij gebruikers op aan om zo snel mogelijk bij te werken naar versie 12.1.2.172 of nieuwer. De exploit maakt misbruik van een fout in de verificatie van VMware single-sign-on (SSO) tokens door de Veeam API. Door een speciaal gegenereerd SSO-token te sturen, kan een aanvaller zich voordoen als een administrator en toegang krijgen tot het beheerportaal. Hoewel er nog geen actieve aanvallen bekend zijn, zorgt de openbare beschikbaarheid van een werkende exploit voor een verhoogd risico. Bedrijven wordt daarom geadviseerd de updates zo snel mogelijk te installeren of alternatieve beveiligingsmaatregelen te treffen. [summoning, veeam]
PHP, een veelgebruikte open-source scripttaal voor webontwikkeling, heeft een kritieke kwetsbaarheid verholpen die alle versies voor Windows sinds versie 5.x trof. De fout, aangeduid als CVE-2024-4577, maakte het mogelijk voor aanvallers om op afstand code uit te voeren op kwetsbare servers. Dit werd veroorzaakt door een tekortkoming in het verwerken van karaktercodering op Windows, specifiek de 'Best Fit'-functie in de CGI-modus. De kwetsbaarheid omzeilt de beveiligingsmaatregelen van een eerdere kwetsbaarheid, CVE-2012-1823. PHP heeft patches uitgebracht voor ondersteunde versies, maar beheerders van verouderde versies moeten mitigerende maatregelen nemen of upgraden om de fout te verhelpen. Gezien het wijdverspreide gebruik van PHP dreigt een groot aantal servers wereldwijd kwetsbaar te blijven totdat updates zijn doorgevoerd. [devco]
Attention! We see multiple IPs testing PHP/PHP-CGI CVE-2024-4577 (Argument Injection Vulnerability) against our honeypot sensors starting today, June 7th. Vulnerability affects PHP running on Windows.
— The Shadowserver Foundation (@Shadowserver) June 7, 2024
Patches released June 6th: https://t.co/jM5HgGUZJF
Exploit PoC is public.
Er zijn meerdere kwetsbaarheden ontdekt in de cloudversie van Cisco Webex, de populaire online vergadersoftware van Cisco. Eén van de beveiligingslekken maakte het mogelijk om metagegevens van vergaderingen, zoals organisator, tijden en titels, te achterhalen. Hoewel er geen aanwijzingen zijn van actief misbruik, heeft Cisco deze kwetsbaarheid inmiddels verholpen. Daarnaast is er een aanvullende kwetsbaarheid ontdekt die onder bepaalde omstandigheden kan optreden. Het Nationaal Cyber Security Centrum (NCSC) adviseert organisaties om vergaderingen die vóór 4 juni zijn aangemaakt opnieuw in te plannen, aangezien deze nog kwetsbaar kunnen zijn. Verder wordt aangeraden standaard hygiënemaatregelen toe te passen, zoals het instellen van een wachtruimte, gebruikmaken van wachtwoorden en het controleren van deelnemers. Voor organisaties met een specifieke configuratie van Webex wordt geadviseerd contact op te nemen met Cisco voor mogelijke technische oplossingen. Het NCSC houdt nauw contact met Cisco om de situatie te monitoren. [ncsc]
Apple negeerde jarenlang meldingen van ethische hackers over een lek in de Schermtijd-app waardoor kinderen toegang konden krijgen tot geblokkeerde websites. Ook cybercriminelen konden het lek misbruiken om malware te installeren in bedrijfsnetwerken. Ondanks herhaalde waarschuwingen sinds 2021 greep Apple niet in. Pas na vragen van een journalist beloofde het bedrijf een oplossing in de volgende software-update. De onderzoekers vinden het onverantwoord dat Apple niet reageerde op hun meldingen, gezien de risico's. Zo geeft het een ontmoedigend signaal voor ethische hackers die beloning kunnen verwachten voor het vinden van kwetsbaarheden. Een van hen vreest dat sommigen dan misschien geneigd zijn hun bevindingen aan kwaadwillenden te verkopen. Apple heeft vooralsnog geen uitleg gegeven voor de gebrekkige opvolging. [demorgen]
Self check-in systemen van Ariane Systems, geïnstalleerd in duizenden hotels wereldwijd, bevatten een kwetsbaarheid waardoor onbevoegden toegang kunnen krijgen tot persoonlijke informatie van gasten en kamersleutels. Deze terminals, die gasten in staat stellen om zelf in te checken en betalingen af te handelen, draaien de Ariane Allegro Scenario Player in kioskmodus. Onderzoeker Martin Schobert ontdekte dat het invoeren van een enkel aanhalingsteken de terminal doet vastlopen, waarna gebruikers toegang krijgen tot het onderliggende Windows-bureaublad met alle klantgegevens. Deze kwetsbare terminals worden vaak gebruikt in kleine tot middelgrote hotels waar 24/7 check-in personeel te duur is. Ariane Systems claimt dat hun oplossing wordt gebruikt door 3.000 hotels in 25 landen. Ondanks meerdere pogingen van Schobert om Ariane te waarschuwen, heeft hij nog geen gedetailleerde reactie ontvangen over een oplossing. Hotelbeheerders wordt aangeraden om de terminals te isoleren van het hotelnetwerk en contact op te nemen met de leverancier voor beveiligingsupdates. [pentagrid]
Afgelopen week hebben aanvallers prominente TikTok-accounts van verschillende bedrijven en beroemdheden overgenomen door misbruik te maken van een zero-day kwetsbaarheid in de berichtenfunctie van het platform. Onder de getroffen accounts bevonden zich die van Sony, CNN en Paris Hilton. Deze kwetsbaarheid maakte het mogelijk om een account over te nemen door simpelweg een schadelijk bericht te openen, zonder dat verdere interactie nodig was. TikTok heeft inmiddels maatregelen genomen om deze aanval te stoppen en werkt samen met de getroffen accountbezitters om de toegang te herstellen. Hoewel slechts een klein aantal accounts gecompromitteerd was, heeft TikTok geen verdere details over de kwetsbaarheid vrijgegeven totdat het probleem volledig is opgelost. Deze incidenten zijn niet de eerste van hun soort; TikTok heeft in het verleden al meerdere beveiligingslekken moeten dichten die gebruikersinformatie in gevaar brachten en accountovernames mogelijk maakten. [forbes]
Zyxel Networks heeft een dringende beveiligingsupdate uitgebracht om drie kritieke kwetsbaarheden in oudere NAS-apparaten, die het einde van hun levenscyclus hebben bereikt, aan te pakken. De kwetsbaarheden betreffen de NAS326 en NAS542 modellen met firmwareversies 5.21(AAZF.16)C0 en ouder, respectievelijk 5.21(ABAG.13)C0 en ouder. Deze fouten stellen aanvallers in staat om command-injectie en remote code execution uit te voeren. Twee andere kwetsbaarheden die privilege-escalatie en informatielekken mogelijk maken, zijn niet verholpen in deze verouderde producten. Onderzoeker Timothy Hjort van Outpost24 ontdekte en rapporteerde alle vijf kwetsbaarheden aan Zyxel. Hoewel deze NAS-modellen sinds 31 december 2023 geen ondersteuning meer hebben, heeft Zyxel de kritieke fouten verholpen in de nieuwste firmwareversies 5.21(AAZF.17)C0 voor NAS326 en 5.21(ABAG.14)C0 voor NAS542. Gebruikers wordt aangeraden deze beveiligingsupdates zo snel mogelijk toe te passen, aangezien er nu openbare proof-of-concept exploits beschikbaar zijn. [outpost24, zyxel]
Androidtelefoons zijn recent geïdentificeerd als kwetsbaar voor aanvallen via een rogue base station, volgens chipfabrikant Qualcomm. Google heeft tijdens de maandelijkse patchronde updates uitgebracht om deze kritieke kwetsbaarheid aan te pakken. Deze maand zijn er in totaal veertig kwetsbaarheden in Android verholpen, waarvan de meest ernstige zich in het System-onderdeel van de Androidcode bevindt. Dit lek stelt een malafide app in staat om zonder extra permissies zijn rechten te verhogen, wat door Google als 'High' is geclassificeerd. Daarnaast zijn er drie kritieke kwetsbaarheden in de onderdelen van Qualcomm-chips opgelost. Eén van deze kwetsbaarheden, CVE-2023-43551, treft de multi-mode call processor van meer dan 240 chipsets. Dit lek stelt een rogue base station in staat om de authenticatiefase te omzeilen en direct het 'Security Mode Command' naar de telefoon te sturen. Qualcomm heeft deze kwetsbaarheid beoordeeld met een 9.1 op een schaal van 1 tot 10. De updates zijn beschikbaar voor Android 12, 12L, 13 en 14, en fabrikanten zijn ten minste een maand geleden op de hoogte gesteld om deze updates te implementeren. [android, qualcom]
Cox Communications heeft een autorisatie bypass kwetsbaarheid opgelost die externe aanvallers in staat stelde om blootgestelde backend-API's te misbruiken. Dit probleem maakte het mogelijk om de instellingen van miljoenen door Cox geleverde modems te resetten en gevoelige persoonlijke informatie van klanten te stelen. Deze kwetsbaarheid, ontdekt door bug bounty hunter Sam Curry, gaf aanvallers vergelijkbare rechten als de technische ondersteuning van de ISP. Hierdoor konden ze configuratie-instellingen overschrijven en onbevoegde commando's uitvoeren op de apparaten van klanten. Via deze kwetsbaarheid konden aanvallers ook persoonlijke identificeerbare informatie, zoals MAC-adressen, e-mailadressen en telefoonnummers, stelen. Daarnaast konden ze de Wi-Fi-wachtwoorden en andere gegevens van verbonden apparaten verzamelen. Cox heeft de blootgestelde API's binnen zes uur na het rapport van Curry offline gehaald en de kwetsbaarheid de volgende dag gepatcht. Een nader veiligheidsonderzoek wees uit dat deze aanvalsmethode nog niet eerder was misbruikt. [samcurry]
Onderzoekers van Tenable hebben een ernstige kwetsbaarheid ontdekt in Azure Service Tags, waarmee aanvallers toegang kunnen krijgen tot privégegevens van klanten. Azure Service Tags zijn groepen IP-adressen voor specifieke Azure-diensten, gebruikt voor firewallfiltering en toegangscontrollijsten. De kwetsbaarheid stelt kwaadwillenden in staat om SSRF-achtige webverzoeken te creëren en firewallregels te omzeilen, wat leidt tot onbevoegde toegang tot gevoelige gegevens. Deze kwetsbaarheid maakt misbruik van de "availability test" functie in de Azure Application Insights service, waardoor interne API's op poorten 80/443 toegankelijk worden. Tenable adviseert Azure-gebruikers om extra authenticatie- en autorisatielagen toe te voegen bovenop netwerkcontroles om hun systemen te beschermen. Microsoft betwist echter dat dit een beveiligingsprobleem is en benadrukt dat Service Tags niet bedoeld zijn als een beveiligingsgrens, maar als een routeringsmechanisme. Microsoft adviseert aanvullende beveiligingsmaatregelen voor een gelaagde netwerkbeveiliging om onbevoegde toegang te voorkomen. [tenable, microsoft]
Onderzoekers hebben een proof-of-concept (PoC) exploit gepubliceerd die een keten van kwetsbaarheden benut voor remote code execution (RCE) op Progress Telerik Report Servers. Deze servers, gebruikt voor rapportbeheer, hebben te maken met twee beveiligingsfouten: een authenticatie-bypass (CVE-2024-4358) en een deserialisatiekwetsbaarheid (CVE-2024-1800). De authenticatie-bypass, met een CVSS-score van 9.8, laat aanvallers beheerdersaccounts creëren zonder verificatie. De deserialisatiekwetsbaarheid (CVSS-score 8.8) stelt aanvallers in staat om willekeurige code uit te voeren via speciaal vormgegeven XML-payloads. Onderzoeker Sina Kheirkha, met hulp van Soroush Dalili, heeft deze kwetsbaarheden ontdekt en gedetailleerd beschreven. Hoewel er nog geen meldingen zijn van actieve exploitatie, wordt organisaties sterk aangeraden om te updaten naar versie 10.1.24.514 of later, die deze problemen verhelpt. Gegeven de ernst van deze kwetsbaarheden en het wijdverbreide gebruik van Progress-software, is snelle actie noodzakelijk om mogelijke aanvallen te voorkomen. [summoning, Google Progress Telerik]
Check Point heeft klanten opgeroepen om een fix te installeren voor een kwetsbaarheid in hun Remote Access VPN, die sinds april actief wordt aangevallen. Volgens securitybedrijf Watchtowr is het lek eenvoudig te misbruiken en wordt de ernst door Check Point gebagatelliseerd. De kwetsbaarheid (CVE-2024-24919) maakt het mogelijk voor aanvallers om bepaalde informatie uit te lezen. Watchtowr waarschuwt dat de bug als ongeauthenticeerde remote code execution moet worden behandeld en dat de impact groot is. Check Point heeft een tijdelijke update uitgerold via de Security Auto Update service, maar adviseert klanten dringend om de volledige fix te installeren om de systemen volledig te beveiligen. Securitybedrijf Censys meldt dat er nog duizenden kwetsbare VPN-systemen via het internet toegankelijk zijn. [checkpoint]
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Reading in 🇬🇧 or another language
Reading in 🇬🇧 or another language
Reading in 🇬🇧 or another language
Reading in 🇬🇧 or another language
Reading in 🇬🇧 or another language
🇳🇱 🇬🇧