Analyse van kwetsbaarheden op het gebied van cyberbeveiliging november 2024
Reading in 🇬🇧 or another language
JetBrains heeft een belangrijke waarschuwing afgegeven voor organisaties die hun TeamCity-platform gebruiken. Een eerder dit jaar uitgebrachte "security patch plugin" voor twee kritieke kwetsbaarheden blijkt te kunnen worden omzeild, waardoor de servers nog steeds risico lopen. JetBrains heeft nu een nieuwe bugfix uitgebracht en roept klanten op deze te installeren. TeamCity, een platform voor softwareontwikkeling met meer dan dertigduizend klanten wereldwijd, wordt gebruikt voor het compileren, bouwen, testen en uitbrengen van software. De beveiligingslekken stellen aanvallers in staat om authenticatie te omzeilen en volledige beheerderstoegang te verkrijgen. In maart bood JetBrains twee opties: een 'bug-fix release' of een 'security patch plugin' voor klanten die hun servers niet konden updaten. De patch bleek echter niet afdoende. Nu zijn er bugfixes voor oudere en niet-ondersteunde TeamCity-versies beschikbaar, inclusief verbeterde beveiligingsupdates. Dit is een reactie op eerdere misbruikgevallen van soortgelijke kwetsbaarheden door de Russische geheime dienst en andere ontdekte beveiligingslekken. [jetbrains]
Check Point heeft noodfixes uitgebracht voor een zero-day kwetsbaarheid in hun VPN-software, die door aanvallers werd misbruikt om toegang te krijgen tot firewalls en netwerken van bedrijven. Op maandag waarschuwde het bedrijf voor een toename van aanvallen gericht op VPN-apparaten. Deze aanvallen maakten gebruik van een zero-day kwetsbaarheid, aangeduid als CVE-2024-24919, die aanvallers in staat stelt om bepaalde informatie te lezen op internet-geëxposeerde Check Point Security Gateways met ingeschakelde remote Access VPN of Mobile Access Software Blades. De kwetsbaarheid treft verschillende productversies, waaronder CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways, en Quantum Spark Appliances. Check Point heeft beveiligingsupdates uitgebracht voor deze producten, die binnen tien minuten geïnstalleerd kunnen worden en een herstart vereisen. Naast de hotfixes zijn er ook handmatige updates beschikbaar voor end-of-life versies. Verder biedt Check Point een script aan voor remote access validatie en aanvullende beveiligingsmaatregelen zoals het bijwerken van Active Directory wachtwoorden. [checkpoint]
Onderzoekers hebben een proof-of-concept (PoC) exploit vrijgegeven voor een kritieke kwetsbaarheid in Fortinet's SIEM-oplossing, die in februari werd gepatcht. De kwetsbaarheid, bekend als CVE-2024-23108, is een commando-injectiefout ontdekt door Zach Hanley van Horizon3. Deze fout stelt een ongeauthenticeerde aanvaller in staat om op afstand commando's uit te voeren als root. De fout treft FortiSIEM versies 6.4.0 en hoger en werd samen met een tweede RCE-kwetsbaarheid (CVE-2024-23109) gepatcht, beide met een maximale ernstscore. Fortinet had aanvankelijk de geldigheid van deze CVE's ontkend en beweerde dat ze duplicaten waren van een eerder verholpen fout (CVE-2023-34992). Na bevestiging van de kwetsbaarheid heeft Horizon3 nu een technische deep-dive en PoC exploit gepubliceerd, waardoor ongepatchte FortiSIEM-apparaten kwetsbaar blijven voor aanvallen. Fortinet-kwetsbaarheden worden vaak uitgebuit in ransomware- en spionageaanvallen, waaronder aanvallen op overheidsnetwerken. [horizon3, github]
Onderzoekers hebben via een kwetsbaarheid in de wachtwoordmanager RoboForm het wachtwoord van een cryptowallet met drie miljoen dollar aan bitcoin gekraakt. De eigenaar had in 2013 het wachtwoord via RoboForm gegenereerd en opgeslagen in een TrueCrypt-versleuteld bestand. Toen dit bestand corrupt raakte, verloor hij toegang tot zijn 44 bitcoins. De gebruikte versie van RoboForm in 2013 bevatte een kwetsbaarheid in de pseudo-random number generator, waardoor wachtwoorden niet volledig willekeurig waren. RoboForm gebruikte de datum en tijd op de computer om wachtwoorden te genereren. Door deze informatie te combineren met andere parameters konden onderzoekers het wachtwoord berekenen. Uiteindelijk achterhaalden ze dat het wachtwoord op 15 mei was gegenereerd en geen speciale tekens bevatte. RoboForm heeft deze kwetsbaarheid in juni 2015 opgelost, maar de onderzoekers waarschuwen dat wachtwoorden gegenereerd vóór deze fix nog steeds kwetsbaar kunnen zijn. Ze adviseren voorzichtigheid met alle versies van RoboForm totdat duidelijk is hoe het probleem is opgelost. [wired]
TP-Link heeft een kritieke beveiligingsfout (CVE-2024-5035) in zijn populaire Archer C5400X gaming router verholpen. Deze kwetsbaarheid stelde ongeauthenticeerde, externe aanvallers in staat om willekeurige opdrachten uit te voeren op het apparaat, wat kon leiden tot het kapen van routers, data-interceptie, wijzigen van DNS-instellingen en potentiële inbreuken op interne netwerken. De kwetsbaarheid werd ontdekt door onderzoekers van OneKey via binaire statische analyse en betrof het 'rftest'-programma, dat gevoelig was voor opdrachtinjectie en buffer overflows op TCP-poorten 8888, 8889 en 8890. TP-Link heeft de fout gemeld gekregen op 16 februari 2024 en bracht op 24 mei 2024 een beveiligingsupdate uit (versie 1.1.7 Build 20240510), waarin opdrachten met shell-metatekens worden weggefilterd om ongeautoriseerde acties te voorkomen. Gebruikers wordt aangeraden de firmware-update te downloaden en te installeren via het officiële downloadportaal van TP-Link of het router-beheerpaneel. [onekey, tplink]
Opnieuw zijn gebruikers van Google Chrome het doelwit geworden van aanvallen door een kwetsbaarheid in de JavaScript-engine V8, aangeduid als CVE-2024-5274. Dit is de vierde keer deze maand dat Google een update heeft uitgebracht voor een actief aangevallen lek. Deze kwetsbaarheid, die door Google als "high" is beoordeeld, maakt het mogelijk voor aanvallers om code uit te voeren binnen de context van de browser. Hierdoor kunnen zij bijvoorbeeld data van andere websites lezen of aanpassen en gevoelige informatie van gebruikers stelen. Hoewel beveiligingslekken met de classificatie "high" op zichzelf niet voldoende zijn om een systeem volledig over te nemen, kan dit in combinatie met een tweede kwetsbaarheid wel mogelijk zijn. Google geeft geen verdere details over de doelwitten of de methoden van de aanvallen. Gebruikers van Chrome worden geadviseerd om de nieuwste versie te installeren, aangezien updates op de meeste systemen automatisch worden uitgevoerd, maar dit kan tot zeven dagen duren. [google, chromium, chrome]
Onderzoekers hebben ontdekt dat het opnieuw verschijnen van lang geleden verwijderde foto's op iPhones werd veroorzaakt door een bug in iOS 17.5.1 en niet door een probleem met iCloud. Gebruikers meldden dat foto's die jaren geleden waren verwijderd, plotseling weer opdoken in hun galerijen. Deze bug maakte deel uit van de publieke beta en bereikte uiteindelijk een brede gebruikersbasis, wat leidde tot bezorgdheid over de privacy. Synactiv, een beveiligingsonderzoeksbureau, reverse-engineerde de iOS 17.5.1-update en ontdekte dat de bug werd veroorzaakt door veranderingen in de 'PhotoLibraryServices'. Een specifieke functie die verantwoordelijk was voor het opnieuw importeren van foto's werd aangepast, waardoor oude bestanden opnieuw werden geïndexeerd. Apple heeft deze bug opgelost in de recente update, wat gebruikers geruststelt dat hun verwijderde foto's niet op iCloud werden opgeslagen, maar benadrukt dat verwijderde bestanden op apparaten kunnen blijven bestaan totdat ze volledig worden overschreven. [synacktiv]
GitLab heeft een ernstige kwetsbaarheid gepatcht die door niet-geauthenticeerde aanvallers kan worden misbruikt om gebruikersaccounts over te nemen via cross-site scripting (XSS) aanvallen. Deze beveiligingsfout (CVE-2024-4835) bevindt zich in de VS code editor (Web IDE) en stelt dreigingsactoren in staat om vertrouwelijke informatie te stelen met kwaadaardig opgezette pagina's. Hoewel geen authenticatie nodig is om deze kwetsbaarheid uit te buiten, is gebruikersinteractie wel vereist, wat de complexiteit van de aanvallen vergroot. GitLab heeft nieuwe versies uitgebracht (17.0.1, 16.11.3, en 16.10.6) voor zowel de Community Edition (CE) als de Enterprise Edition (EE), en raadt alle GitLab-installaties aan om onmiddellijk te updaten. Naast deze XSS-kwetsbaarheid heeft GitLab ook zes andere beveiligingsfouten van middelmatige ernst gerepareerd, waaronder een Cross-Site Request Forgery (CSRF) en een denial-of-service (DOS) bug. Gecompromitteerde GitLab-accounts kunnen leiden tot aanzienlijke schade, zoals supply chain aanvallen waarbij kwaadwillige code wordt ingevoegd in CI/CD-omgevingen. [gitlab]
Een beveiligingsonderzoeker van Positive Technologies, Igor Sak-Sakovskiy, heeft met behulp van ChatGPT kwetsbaarheden in Apple Safari en Google Chrome gevonden. Hij ontving hiervoor 28.000 dollar aan beloningen. Sak-Sakovskiy gebruikte ChatGPT om voorbeelden te genereren voor het ophalen en aanpassen van data via eXtensible Stylesheet Language (XSL), in plaats van de documentatie door te nemen. Door een voorbeeld van ChatGPT aan te passen, ontdekte hij toegang tot het /etc/hosts-bestand op zijn iPhone te krijgen. Bovendien bleken ook andere belangrijke bestanden zoals /etc/passwd toegankelijk. In Chrome op Android kon eveneens de inhoud van /etc/hosts worden uitgelezen. Sak-Sakovskiy waarschuwde Apple en Google, die hierop updates voor de browsers uitbrachten. Apple en Google beloonde de onderzoeker met respectievelijk 25.000 en 3.000 dollar. De kwetsbaarheid is gemeld op de website van Google als CVE-2023-4357, maar is nog niet op de site van Apple (CVE-2023-40415) te vinden. [swarm, google]
🧧 Our researcher Igor Sak-Sakovskiy has discovered an XXE in Chrome and Safari by ChatGPT!
— PT SWARM (@ptswarm) May 22, 2024
Bounty: $28,000 💸
Here is the write-up 👉https://t.co/EMnydNEoed pic.twitter.com/8UaeZBGYwa
Ivanti, een softwarebedrijf, heeft gewaarschuwd voor zes kritieke SQL-injectie-kwetsbaarheden in hun Endpoint Manager (EPM) software. Deze kwetsbaarheden stellen ongeauthenticeerde aanvallers in staat om willekeurige code op de EPM-server uit te voeren, wat ernstige gevolgen kan hebben voor organisaties. De EPM-software wordt gebruikt om laptops, smartphones en servers binnen een organisatie te beheren door middel van een server die communiceert met agents op de beheerde apparaten. De zes kwetsbaarheden hebben een ernstscore van 9,6 op een schaal van 10. Ivanti heeft inmiddels updates uitgebracht om deze beveiligingslekken te verhelpen en heeft aangegeven dat er nog geen meldingen zijn van actief misbruik van deze kwetsbaarheden. Eerdere producten van Ivanti zijn echter vaker doelwit geweest van aanvallen. Organisaties wordt aangeraden de updates zo snel mogelijk te installeren om de beveiligingsrisico’s te minimaliseren. [ivanti, ivanti2]
Er is een exploit ontdekt voor Git, aangeduid als CVE-2024-32002, die remote code execution (RCE) mogelijk maakt. Git, een gedistribueerd versiebeheersysteem, wordt veelal door programmeurs gebruikt voor gezamenlijke softwareontwikkeling. De exploit maakt gebruik van de manier waarop Git submodules en symbolische links op case-insensitieve besturingssystemen afhandelt. Door een repository te creëren met submodules die alleen door hoofdlettergebruik verschillen, kan een aanvaller Git misleiden om bestanden in de .git-map te schrijven in plaats van in de submodule's werkboom. Dit kan leiden tot de uitvoering van een schadelijk script tijdens het kloonproces, zonder medeweten of toestemming van de gebruiker. De kwetsbare Git-versies omvatten onder andere v2.45.0, v2.44.0 en alle versies tot en met v2.39.3. Gebruikers worden dringend geadviseerd om hun Git-installatie bij te werken naar de laatste versie, zoals v2.45.1, om zichzelf te beschermen tegen deze ernstige kwetsbaarheid.
Veeam heeft klanten gewaarschuwd voor een kritieke beveiligingskwetsbaarheid in de Veeam Backup Enterprise Manager (VBEM). Deze kwetsbaarheid, aangeduid als CVE-2024-29849, stelt niet-geauthenticeerde aanvallers in staat om toegang te krijgen tot elk account via de webinterface van VBEM. VBEM is een webgebaseerd platform dat beheerders in staat stelt om back-up- en hersteloperaties te beheren via één webconsole. Hoewel VBEM niet standaard is ingeschakeld en niet alle omgevingen vatbaar zijn voor deze aanval, heeft Veeam de kwetsbaarheid een CVSS-score van 9.8/10 gegeven. Voor beheerders die niet direct kunnen upgraden naar de gepatchte versie 12.1.2.172, raadt Veeam aan om de diensten VeeamEnterpriseManagerSvc en VeeamRESTSvc te stoppen en uit te schakelen, of om VBEM volledig te de-installeren indien niet in gebruik. Naast deze kritieke kwetsbaarheid heeft Veeam ook twee andere ernstige VBEM-kwetsbaarheden gepatcht die accountovername mogelijk maken via een NTLM-relay en de diefstal van de NTLM-hash van de serviceaccount. In het verleden zijn Veeam-producten al eerder het doelwit geweest van ransomware-aanvallen door groepen zoals FIN7 en Cuba-ransomware, die kwetsbaarheden in de software hebben misbruikt om kritieke infrastructuren en IT-bedrijven aan te vallen. [veeam, helpcentrum]
Onderzoekers van Mandiant hebben ontdekt dat kwaadwillenden AWS-accounts hebben gehackt door gebruik te maken van in platte tekst gelekte authenticatiesleutels in Atlassian Bitbucket artefactbestanden. Bitbucket, een door Atlassian beheerde versiebeheer- en hostingdienst, biedt ontwikkelaars de mogelijkheid om hun code te beheren en samen te werken. Bitbucket Pipelines, een geïntegreerde CI/CD-dienst, automatiseert bouw-, test- en implementatieprocessen en kan vaak direct aan AWS worden gekoppeld voor snelle implementatie van applicaties. Ondanks dat beveiligde variabelen in Bitbucket versleuteld zijn opgeslagen, ontdekte Mandiant dat deze variabelen als platte tekst in artefactbestanden terecht kunnen komen tijdens pipeline-uitvoeringen. Dit gebeurt bijvoorbeeld wanneer ontwikkelaars omgevingsvariabelen opslaan in tekstbestanden die vervolgens in artefactobjecten worden opgenomen. Als deze artefactbestanden openbaar toegankelijk zijn, kunnen kwaadwillenden eenvoudig de gevoelige informatie stelen. Mandiant adviseert ontwikkelaars om Bitbucket niet te gebruiken voor het beheren van geheimen en raadt aan om speciale producten voor geheime sleutels te gebruiken, artefacten zorgvuldig te controleren en code scans uit te voeren om blootstelling van geheimen te voorkomen. Atlassian benadrukt dat het printen van beveiligde variabelen tegen de beveiligingsrichtlijnen ingaat en adviseert gebruikers om best practices te volgen. [mandiant]
Rockwell Automation heeft klanten gewaarschuwd om alle industriële controlesystemen (ICS) die niet ontworpen zijn voor online gebruik, los te koppelen van het internet vanwege toenemende kwaadaardige activiteiten wereldwijd. Netwerkbeheerders moeten ervoor zorgen dat dergelijke apparaten nooit op afstand toegankelijk zijn vanuit systemen buiten het lokale netwerk. Door ze offline te halen, wordt het aanvalsoppervlak aanzienlijk verkleind, wat voorkomt dat dreigingsactoren directe toegang krijgen tot systemen die mogelijk niet zijn bijgewerkt tegen beveiligingslekken. Rockwell Automation benadrukt dat, door de verhoogde geopolitieke spanningen en vijandige cyberactiviteiten wereldwijd, onmiddellijke actie vereist is om de connectiviteit van niet-ontworpen apparaten voor publieke internetverbindingen te verwijderen. Dit proactieve stappenplan vermindert het aanvalsoppervlak en de blootstelling aan ongeautoriseerde en kwaadaardige cyberactiviteiten. Bovendien raadt Rockwell aan om de nodige maatregelen te nemen om de apparaten te beveiligen tegen specifieke beveiligingslekken die van invloed zijn op Rockwell ICS-apparaten. Tot slot heeft de Cybersecurity and Infrastructure Security Agency (CISA) ook een waarschuwing uitgegeven met betrekking tot de nieuwe richtlijnen van Rockwell Automation om de blootstelling van ICS-apparaten aan cyberaanvallen te verminderen. [rockwell, cisa]
GitHub heeft een kritieke kwetsbaarheid in Enterprise Server geïdentificeerd, waardoor aanvallers admintoegang kunnen verkrijgen. Dit beveiligingslek, beoordeeld met een maximale score van 10.0, treft systemen die SAML single sign-on (SSO) authenticatie gebruiken met de optionele feature voor versleutelde assertions. Door een vervalste SAML response kunnen aanvallers adminrechten verkrijgen. GitHub Enterprise Server is een self-hosted platform voor softwareontwikkeling binnen organisaties. Gebruikers die geen SAML SSO gebruiken of SAML SSO zonder versleutelde assertions zijn niet kwetsbaar. De versleutelde assertions zorgen ervoor dat berichten van de SAML-identiteitsprovider standaard zijn versleuteld, maar deze feature is niet standaard ingeschakeld. De kwetsbaarheid, aangeduid als CVE-2024-4985, treft alle versies van GitHub Enterprise Server voor versie 3.13.0 en is opgelost in versies 3.9.15, 3.10.12, 3.11.10 en 3.12.4. Het wordt sterk aanbevolen om zo snel mogelijk te updaten naar een gepatchte versie om het risico te mitigeren. [github, nist]
Een kritieke kwetsbaarheid in Fluent Bit, een veelgebruikte logging- en metricsoplossing voor Windows, Linux en macOS, treft alle grote cloudproviders en diverse technologiebedrijven. De kwetsbaarheid, aangeduid als CVE-2024-4323 en ontdekt door Tenable, werd geïntroduceerd in versie 2.0.7 en is te wijten aan een heap buffer overflow in de ingebedde HTTP-server van Fluent Bit. Deze kwetsbaarheid kan door onbevoegde aanvallers worden uitgebuit voor denial-of-service (DoS)-aanvallen en het verkrijgen van gevoelige informatie. Bovendien kan, onder de juiste omstandigheden, zelfs remote code execution (RCE) worden bereikt. Tenable rapporteerde deze bug op 30 april 2024 aan de leverancier, waarna op 15 mei fixes werden aangebracht in de hoofdbranch. De officiële releases met de patch worden verwacht in versie 3.0.4. Gebruikers kunnen het risico beperken door de toegang tot de monitoring API te beperken tot geautoriseerde gebruikers en diensten, of de kwetsbare API endpoint uit te schakelen indien deze niet in gebruik is. [cncf, tenable]
Een uitgebreide veiligheidsaudit van QNAP QTS, het besturingssysteem voor de NAS-producten van QNAP, heeft vijftien kwetsbaarheden aan het licht gebracht, waarvan er elf nog niet zijn opgelost. Een van de meest kritieke is CVE-2024-27130, een onbeveiligde stack buffer overflow in de 'No_Support_ACL'-functie van 'share.cgi', die aanvallers in staat kan stellen om op afstand code uit te voeren. Ondanks dat de kwetsbaarheden tussen december 2023 en januari 2024 aan QNAP zijn gemeld, zijn slechts vier van de vijftien problemen opgelost. De ontdekte kwetsbaarheden omvatten problemen zoals code-uitvoering, buffer overflows, geheugenbeschadiging, omzeiling van authenticatie en cross-site scripting (XSS). Een proof-of-concept exploit voor CVE-2024-27130 werd gepubliceerd door WatchTowr Labs, waarbij zij aantoonden hoe een kwaadwillende een speciaal vervaardigd verzoek kan gebruiken om toegang te krijgen tot een QNAP-apparaat en verhoogde rechten te verkrijgen. QNAP heeft vooralsnog geen volledige oplossing voor alle gerapporteerde kwetsbaarheden uitgebracht. [labs, github]
Google heeft een noodbeveiligingsupdate uitgebracht voor Chrome om de derde zero-day kwetsbaarheid in een week tijd aan te pakken. Deze kwetsbaarheid, aangeduid als CVE-2024-4947, is ontdekt in de V8 JavaScript-engine van Chrome en kan door aanvallers worden gebruikt om willekeurige code uit te voeren op getroffen apparaten. De update (versie 125.0.6422.60/.61 voor Mac/Windows en 125.0.6422.60 voor Linux) wordt geleidelijk uitgerold naar alle gebruikers in het stabiele desktopkanaal. Hoewel Chrome automatisch bijwerkt, kunnen gebruikers de nieuwste versie handmatig controleren en installeren via het Chrome-menu. Deze specifieke kwetsbaarheid is veroorzaakt door een typeverwarring in de JavaScript-engine en is gemeld door onderzoekers van Kaspersky. Hoewel dergelijke fouten vaak leiden tot crashes door geheugenschendingen, kunnen ze ook wordenmisbruikt voor het uitvoeren van willekeurige code. Dit is de zevende zero-day kwetsbaarheid die Google in 2024 heeft verholpen. Google heeft verdere details over de exploit en gerelateerde aanvallen nog niet vrijgegeven om de veiligheid van gebruikers te waarborgen. [google]
GitHub heeft recent een waarschuwing uitgebracht over een kritieke kwetsbaarheid binnen Git, die het mogelijk maakt voor aanvallers om remote code execution uit te voeren. Deze kwetsbaarheid stelt kwaadwillenden in staat om tijdens het klonen van repositories met submodules ongezien code uit te voeren. Dit risico ontstaat door de wijze waarop Git omgaat met directories en symbolische links, wat kan leiden tot misleiding van het systeem. Johannes Schindelin van GitHub legt uit dat deze aanvalsmethode niet effectief is als de ondersteuning voor symbolische links binnen Git uitgeschakeld is. Daarnaast wordt sterk aangeraden om geen repositories te klonen van bronnen die niet vertrouwd zijn. De ernst van deze beveiligingslek is beoordeeld met een 9.1 op een schaal van 1 tot 10, wat de hoge impact ervan benadrukt. Gebruikers worden opgeroepen om hun Git-installaties te updaten naar de nieuwste versie om zich tegen deze kwetsbaarheid te beschermen. [github]
De D-Link EXO AX4800 (DIR-X4860) router, een geavanceerd apparaat dat Wi-Fi 6 ondersteunt en snelheden tot 4800 Mbps kan bereiken, is geïdentificeerd als kwetsbaar voor een ernstige beveiligingslek. Dit lek maakt het mogelijk voor aanvallers om zonder authenticatie op afstand commando's uit te voeren en volledige controle over het apparaat te verkrijgen. De kwetsbaarheid, gevonden in de laatste firmwareversie (DIRX4860A1_FWV1.04B03), is ontdekt door het SSD Secure Disclosure team. Zij melden dat het exploiteren van de fout relatief eenvoudig is via de HNAP-poort die toegankelijk is via HTTP of HTTPS. De exploit begint met een speciaal geformuleerde inlogaanvraag op de beheerinterface van de router, gevolgd door een aanval die de authenticatie omzeilt en commando-injectie mogelijk maakt. Ondanks meerdere pogingen om D-Link te informeren over deze kwetsbaarheid, zijn deze tot op heden onbeantwoord gebleven. Als tijdelijke oplossing wordt aanbevolen om de externe toegang tot de beheerinterface van de router uit te schakelen, om misbruik te voorkomen totdat een beveiligingsupdate beschikbaar is. [disclosure]
Microsoft heeft een zero-day kwetsbaarheid in Windows aangepakt die misbruikt werd voor de verspreiding van QakBot en andere malwaresoorten. Deze kwetsbaarheid, geïdentificeerd als CVE-2024-30051, betreft een privilege escalatie bug veroorzaakt door een buffer overflow in de kernbibliotheek van Desktop Window Manager (DWM). Na succesvolle exploitatie kunnen aanvallers SYSTEM-rechten verkrijgen. De kwetsbaarheid werd ontdekt door onderzoekers van Kaspersky tijdens het analyseren van een vergelijkbare exploit in CVE-2023-36033. Informatie over deze nieuwe kwetsbaarheid kwam aan het licht na de upload van een bestand op VirusTotal, dat ondanks de gebrekkige kwaliteit voldoende details bevatte om de bedreiging te bevestigen. Microsoft heeft de kwetsbaarheid gepatcht tijdens hun meest recente Patch Tuesday. Beveiligingsexperts van Google Threat Analysis Group en anderen meldden ook deze zero-day, wat wijst op een breed gebruik ervan in malware-aanvallen. Oorspronkelijk was QakBot een banktrojan maar evolueerde tot een malwaredistributieservice, die onder andere betrokken was bij ransomware-aanvallen en data-diefstal.
We are going to publish technical details about CVE-2024-30051. But before that, we have seen that this vulnerability is actively used by threat actors. It is important to patch as soon as possible. https://t.co/cJ9uVaSn2L
— Mert Değirmenci (@r00tten) May 14, 2024
Op de Patch Tuesday van mei 2024 heeft Microsoft beveiligingsupdates uitgebracht voor 61 kwetsbaarheden, waaronder drie zero-day exploits die actief werden uitgebuit of al bekend waren bij het publiek. In totaal heeft Microsoft één kritieke kwetsbaarheid verholpen, namelijk een kwetsbaarheid in de Microsoft SharePoint Server die externe code-uitvoering mogelijk maakte. Van de overige fouten betroffen 17 kwetsbaarheden privilegeverhoging, 2 omzeilingen van beveiligingsfuncties, 27 externe code-uitvoeringen, 7 informatielekken, 3 denial-of-service aanvallen en 4 spoofing kwetsbaarheden. De zero-day kwetsbaarheden omvatten twee actief uitgebuite kwetsbaarheden en één publiekelijk bekendgemaakte kwetsbaarheid. Deze waren met name geassocieerd met de Windows MSHTML Platform Security Feature Bypass en de Windows DWM Core Library, waarbij de laatste aanvallers SYSTEM-rechten kon verlenen. Deze beveiligingsfouten werden door verschillende beveiligingsonderzoekers ontdekt en gerapporteerd, wat de snelle identificatie en patching van deze kritieke problemen mogelijk maakte. Naast deze patches heeft Microsoft ook updates voor andere producten vrijgegeven en zijn vergelijkbare beveiligingsupdates door andere technologiebedrijven zoals Adobe, Apple, Cisco en Google aangekondigd, om de beveiliging van hun systemen verder te versterken.
Tag | CVE ID | CVE Title | Severity |
---|---|---|---|
.NET and Visual Studio | CVE-2024-30045 | .NET and Visual Studio Remote Code Execution Vulnerability | Important |
Azure Migrate | CVE-2024-30053 | Azure Migrate Cross-Site Scripting Vulnerability | Important |
Microsoft Bing | CVE-2024-30041 | Microsoft Bing Search Spoofing Vulnerability | Important |
Microsoft Brokering File System | CVE-2024-30007 | Microsoft Brokering File System Elevation of Privilege Vulnerability | Important |
Microsoft Dynamics 365 Customer Insights | CVE-2024-30048 | Dynamics 365 Customer Insights Spoofing Vulnerability | Important |
Microsoft Dynamics 365 Customer Insights | CVE-2024-30047 | Dynamics 365 Customer Insights Spoofing Vulnerability | Important |
Microsoft Edge (Chromium-based) | CVE-2024-4558 | Chromium: CVE-2024-4558 Use after free in ANGLE | Unknown |
Microsoft Edge (Chromium-based) | CVE-2024-4331 | Chromium: CVE-2024-4331 Use after free in Picture In Picture | Unknown |
Microsoft Edge (Chromium-based) | CVE-2024-4671 | Chromium: CVE-2024-4671 Use after free in Visuals | Unknown |
Microsoft Edge (Chromium-based) | CVE-2024-30055 | Microsoft Edge (Chromium-based) Spoofing Vulnerability | Low |
Microsoft Edge (Chromium-based) | CVE-2024-4368 | Chromium: CVE-2024-4368 Use after free in Dawn | Unknown |
Microsoft Edge (Chromium-based) | CVE-2024-4559 | Chromium: CVE-2024-4559 Heap buffer overflow in WebAudio | Unknown |
Microsoft Intune | CVE-2024-30059 | Microsoft Intune for Android Mobile Application Management Tampering Vulnerability | Important |
Microsoft Office Excel | CVE-2024-30042 | Microsoft Excel Remote Code Execution Vulnerability | Important |
Microsoft Office SharePoint | CVE-2024-30044 | Microsoft SharePoint Server Remote Code Execution Vulnerability | Critical❗️ |
Microsoft Office SharePoint | CVE-2024-30043 | Microsoft SharePoint Server Information Disclosure Vulnerability | Important |
Microsoft WDAC OLE DB provider for SQL | CVE-2024-30006 | Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability | Important |
Microsoft Windows SCSI Class System File | CVE-2024-29994 | Microsoft Windows SCSI Class System File Elevation of Privilege Vulnerability | Important |
Microsoft Windows Search Component | CVE-2024-30033 | Windows Search Service Elevation of Privilege Vulnerability | Important |
Power BI | CVE-2024-30054 | Microsoft Power BI Client JavaScript SDK Information Disclosure Vulnerability | Important |
Visual Studio | CVE-2024-30046 | Visual Studio Denial of Service Vulnerability | Important |
Visual Studio | CVE-2024-32004 | GitHub: CVE-2024-32004 Remote Code Execution while cloning special-crafted local repositories | Important |
Visual Studio | CVE-2024-32002 | CVE-2024-32002 Recursive clones on case-insensitive filesystems that support symlinks are susceptible to Remote Code Execution | Important |
Windows Cloud Files Mini Filter Driver | CVE-2024-30034 | Windows Cloud Files Mini Filter Driver Information Disclosure Vulnerability | Important |
Windows CNG Key Isolation Service | CVE-2024-30031 | Windows CNG Key Isolation Service Elevation of Privilege Vulnerability | Important |
Windows Common Log File System Driver | CVE-2024-29996 | Windows Common Log File System Driver Elevation of Privilege Vulnerability | Important |
Windows Common Log File System Driver | CVE-2024-30037 | Windows Common Log File System Driver Elevation of Privilege Vulnerability | Important |
Windows Common Log File System Driver | CVE-2024-30025 | Windows Common Log File System Driver Elevation of Privilege Vulnerability | Important |
Windows Cryptographic Services | CVE-2024-30020 | Windows Cryptographic Services Remote Code Execution Vulnerability | Important |
Windows Cryptographic Services | CVE-2024-30016 | Windows Cryptographic Services Information Disclosure Vulnerability | Important |
Windows Deployment Services | CVE-2024-30036 | Windows Deployment Services Information Disclosure Vulnerability | Important |
Windows DHCP Server | CVE-2024-30019 | DHCP Server Service Denial of Service Vulnerability | Important |
Windows DWM Core Library | CVE-2024-30008 | Windows DWM Core Library Information Disclosure Vulnerability | Important |
Windows DWM Core Library | CVE-2024-30051 | Windows DWM Core Library Elevation of Privilege Vulnerability | Important |
Windows DWM Core Library | CVE-2024-30035 | Windows DWM Core Library Elevation of Privilege Vulnerability | Important |
Windows DWM Core Library | CVE-2024-30032 | Windows DWM Core Library Elevation of Privilege Vulnerability | Important |
Windows Hyper-V | CVE-2024-30011 | Windows Hyper-V Denial of Service Vulnerability | Important |
Windows Hyper-V | CVE-2024-30017 | Windows Hyper-V Remote Code Execution Vulnerability | Important |
Windows Hyper-V | CVE-2024-30010 | Windows Hyper-V Remote Code Execution Vulnerability | Important |
Windows Kernel | CVE-2024-30018 | Windows Kernel Elevation of Privilege Vulnerability | Important |
Windows Mark of the Web (MOTW) | CVE-2024-30050 | Windows Mark of the Web Security Feature Bypass Vulnerability | Moderate |
Windows Mobile Broadband | CVE-2024-30002 | Windows Mobile Broadband Driver Remote Code Execution Vulnerability | Important |
Windows Mobile Broadband | CVE-2024-29997 | Windows Mobile Broadband Driver Remote Code Execution Vulnerability | Important |
Windows Mobile Broadband | CVE-2024-30003 | Windows Mobile Broadband Driver Remote Code Execution Vulnerability | Important |
Windows Mobile Broadband | CVE-2024-30012 | Windows Mobile Broadband Driver Remote Code Execution Vulnerability | Important |
Windows Mobile Broadband | CVE-2024-29999 | Windows Mobile Broadband Driver Remote Code Execution Vulnerability | Important |
Windows Mobile Broadband | CVE-2024-29998 | Windows Mobile Broadband Driver Remote Code Execution Vulnerability | Important |
Windows Mobile Broadband | CVE-2024-30000 | Windows Mobile Broadband Driver Remote Code Execution Vulnerability | Important |
Windows Mobile Broadband | CVE-2024-30005 | Windows Mobile Broadband Driver Remote Code Execution Vulnerability | Important |
Windows Mobile Broadband | CVE-2024-30004 | Windows Mobile Broadband Driver Remote Code Execution Vulnerability | Important |
Windows Mobile Broadband | CVE-2024-30021 | Windows Mobile Broadband Driver Remote Code Execution Vulnerability | Important |
Windows Mobile Broadband | CVE-2024-30001 | Windows Mobile Broadband Driver Remote Code Execution Vulnerability | Important |
Windows MSHTML Platform | CVE-2024-30040 | Windows MSHTML Platform Security Feature Bypass Vulnerability | Important |
Windows NTFS | CVE-2024-30027 | NTFS Elevation of Privilege Vulnerability | Important |
Windows Remote Access Connection Manager | CVE-2024-30039 | Windows Remote Access Connection Manager Information Disclosure Vulnerability | Important |
Windows Routing and Remote Access Service (RRAS) | CVE-2024-30009 | Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability | Important |
Windows Routing and Remote Access Service (RRAS) | CVE-2024-30024 | Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability | Important |
Windows Routing and Remote Access Service (RRAS) | CVE-2024-30015 | Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability | Important |
Windows Routing and Remote Access Service (RRAS) | CVE-2024-30029 | Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability | Important |
Windows Routing and Remote Access Service (RRAS) | CVE-2024-30023 | Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability | Important |
Windows Routing and Remote Access Service (RRAS) | CVE-2024-30014 | Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability | Important |
Windows Routing and Remote Access Service (RRAS) | CVE-2024-30022 | Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability | Important |
Windows Task Scheduler | CVE-2024-26238 | Microsoft PLUGScheduler Scheduled Task Elevation of Privilege Vulnerability | Important |
Windows Win32K - GRFX | CVE-2024-30030 | Win32k Elevation of Privilege Vulnerability | Important |
Windows Win32K - ICOMP | CVE-2024-30038 | Win32k Elevation of Privilege Vulnerability | Important |
Windows Win32K - ICOMP | CVE-2024-30049 | Windows Win32 Kernel Subsystem Elevation of Privilege Vulnerability | Important |
Windows Win32K - ICOMP | CVE-2024-30028 | Win32k Elevation of Privilege Vulnerability | Important |
Apple heeft recent een zero-day kwetsbaarheid in de Safari-webbrowser aangepakt, die uitgebuit werd tijdens de Pwn2Own-hackwedstrijd in Vancouver dit jaar. De kwetsbaarheid, geïdentificeerd als CVE-2024-27834, betrof systemen die macOS Monterey en macOS Ventura draaien. Apple heeft verbeterde controles ingevoerd om deze beveiligingslek te dichten. Deze kwetsbaarheid werd aan het licht gebracht door Manfred Paul, die in samenwerking met Trend Micro's Zero Day Initiative, een belangrijke rol speelde door een integer underflow bug te combineren met deze fout om op afstand code uit te voeren, wat hem $60.000 opleverde. Tijdens de Pwn2Own 2024 in Vancouver verzamelden onderzoekers een totaal van $1.132.500 door 29 zero-days te exploiteren en te rapporteren. Google en Mozilla hebben ook snel gehandeld door binnen enkele dagen na de wedstrijd patches uit te brengen voor de door hen geëxploiteerde zero-days. Apple heeft bovendien beveiligingsupdates uit maart teruggeport naar oudere iPhones en iPads, waardoor een iOS zero-day die in aanvallen werd gebruikt, werd opgelost.
VMware heeft recent vier kritieke beveiligingskwetsbaarheden verholpen in hun Workstation en Fusion desktop hypervisors. Drie van deze kwetsbaarheden, die tijdens de Pwn2Own Vancouver 2024 hackwedstrijd aan het licht kwamen, betroffen zero-day exploits. De ernstigste kwetsbaarheid, een zogenaamde 'use-after-free' fout in de vbluetooth apparaatdemo, kon door kwaadwillenden gebruikt worden om code uit te voeren met beheerdersrechten op de virtuele machine. VMware heeft naast de patches ook een tijdelijke oplossing aangeboden voor beheerders die de beveiligingsupdates niet direct kunnen installeren, door het uitschakelen van Bluetooth-ondersteuning op de VM. Andere kwetsbaarheden omvatten informatie-onthullingsbugs en een heap buffer overflow probleem in de Shader functionaliteit, waarbij de laatste misbruikt kon worden om een denial-of-service aanval te veroorzaken als 3D graphics ingeschakeld waren. Deze lekken werden ook gerapporteerd door onderzoekers van STAR Labs SG en Theori tijdens hetzelfde evenement. De Pwn2Own 2024 leverde in totaal $1,132,500 op voor beveiligingsonderzoekers die 29 zero-day kwetsbaarheden demonstreerden. Naast VMware, hebben ook andere grote technologiebedrijven zoals Google en Mozilla snel gereageerd door binnen enkele dagen na de wedstrijd hun eigen kwetsbaarheden te dichten. [broadcom, broadcom2]
Apple heeft onlangs een beveiligingsupdate uitgerold voor oudere iPhones en iPads, waarbij een kritieke kwetsbaarheid in het iOS-kernel, bekend als zero-day en gemarkeerd als misbruikt in aanvallen, is aangepakt. De fout, een geheugencorruptie in Apple's RTKit besturingssysteem, stelde aanvallers in staat om de kernelgeheugenbeveiligingen te omzeilen door willekeurige kernellees- en schrijfacties uit te voeren. Deze kwetsbaarheid was oorspronkelijk gepatcht in maart voor nieuwere modellen van iPhone, iPad en Mac, maar is nu ook beschikbaar gemaakt voor oudere versies zoals iOS 16.7.8 en macOS Ventura 13.6.7, waarbij de validatie van invoer is verbeterd. De update is van toepassing op een aantal oudere apparaten, waaronder iPhone 8 en X, evenals verschillende iPad-modellen. Hoewel de specifieke details van de exploitatie van deze kwetsbaarheid en de identiteit van de ontdekker niet zijn vrijgegeven, worden dergelijke zero-days vaak gebruikt in spionageaanvallen door statelijke actoren tegen hoogrisicogroepen zoals journalisten en politieke dissidenten. Gezien het gerichte karakter van de aanvallen en de ernst van de kwetsbaarheid, wordt gebruikers van de betreffende oudere apparaten sterk aangeraden de updates zo snel mogelijk te installeren om toekomstige aanvalspogingen te blokkeren. [apple]
Google heeft een beveiligingsupdate uitgebracht voor de Chrome-browser om de vijfde zero-day kwetsbaarheid van dit jaar aan te pakken, die actief werd uitgebuit. De kwetsbaarheid, met kenmerk CVE-2024-4671, is een 'use-after-free' fout in het visuele component dat de weergave van content in de browser regelt. Deze fout kan leiden tot datalekken, uitvoering van code of crashes door het verkeerd omgaan met vrijgegeven geheugen. De kwetsbaarheid werd ontdekt en gerapporteerd door een anonieme onderzoeker. Google heeft updates uitgerold voor zowel Mac en Windows als Linux, die over de komende dagen en weken beschikbaar zullen zijn. Gebruikers kunnen handmatig controleren of ze de nieuwste versie hebben door naar 'Instellingen' > 'Over Chrome' te gaan, waarna een automatische update gevolgd door een herstart de fix zal toepassen. Dit probleem is de vijfde zero-day kwetsbaarheid die dit jaar in Chrome is aangepakt, naast andere ernstige kwetsbaarheden die eerder tijdens de Pwn2Own-hackwedstrijd in Vancouver werden ontdekt. [chromereleases]
Citrix heeft recent zijn klanten gewaarschuwd om handmatig een kwetsbaarheid in de PuTTY SSH-cliënt te mitigeren die aanvallers in staat zou stellen om de privé SSH-sleutel van een XenCenter-beheerder te stelen. Deze kwetsbaarheid, aangeduid als CVE-2024-31497, beïnvloedt meerdere versies van XenCenter voor Citrix Hypervisor 8.2 CU1 LTSR, die PuTTY gebruiken voor SSH-verbindingen naar gast-VM's. Oudere versies van PuTTY, in het bijzonder vóór versie 0.81, hebben een specifiek probleem in de wijze waarop ECDSA nonces worden gegenereerd, wat in bepaalde scenario's kan leiden tot het uitlekken van de privé SSH-sleutel. Citrix adviseert beheerders die de "Open SSH Console" functionaliteit niet gebruiken om de PuTTY-component volledig te verwijderen. Degenen die PuTTY blijven gebruiken, moeten de oudere versies vervangen door minstens versie 0.81. Dit advies volgt op eerdere meldingen van ernstige kwetsbaarheden in andere Citrix-producten, zoals de Citrix Netscaler, die eveneens actief werden uitgebuit door kwaadwillenden. De situatie onderstreept het belang van het bijwerken en veilig configureren van software om weerstand te bieden tegen ransomware-aanvallen en andere cyberdreigingen. [citrix]
F5 heeft onlangs twee ernstige beveiligingsproblemen in hun BIG-IP Next Central Manager opgelost, die aanvallers de mogelijkheid boden om volledige beheerdersrechten te verkrijgen en onzichtbare schaduwaccounts aan te maken op beheerde systemen. Deze kwetsbaarheden, geïdentificeerd als SQL-injectie (CVE-2024-26026) en OData-injectie (CVE-2024-21793), stelden ongeauthenticeerde aanvallers in staat om schadelijke SQL-commando's op ongepatchte apparaten uit te voeren. Deze aanvallen, die via de beheerdersinterface van de Next Central Manager konden worden uitgevoerd, maakten volledige overname van het beheerderspaneel mogelijk. Beveiligingsfirma Eclypsium, die de kwetsbaarheden rapporteerde, benadrukt dat de nieuw gecreëerde accounts na een compromittering niet zichtbaar zijn vanuit de Next Central Manager, wat ze ideaal maakt voor blijvende ongeoorloofde toegang binnen een organisatie. F5 heeft beheerders die de veiligheidsupdates nog niet kunnen installeren aangeraden om de toegang tot de Next Central Manager te beperken tot vertrouwde gebruikers binnen een beveiligd netwerk, als tijdelijke maatregel tegen potentiële aanvallen. Tot nu toe zijn er geen aanwijzingen dat deze beveiligingslekken daadwerkelijk zijn uitgebuit in aanvallen. [eclypsium]
Apple heeft recent een kritieke kwetsbaarheid in de Windowsversie van iTunes aangepakt. Deze kwetsbaarheid, geïdentificeerd als CVE-2024-27793, bevond zich in het Core Media framework dat wordt gebruikt voor het verwerken van mediabestanden. Deze fout stelde aanvallers in staat om de applicatie te laten crashen of zelfs willekeurige code uit te voeren op getroffen systemen. Het probleem kwam aan het licht nadat een onderzoeker van de University of Texas het lek rapporteerde. De ernst van de kwetsbaarheid is beoordeeld met een 9.1 op een schaal van 10, wat de hoge risicofactor aangeeft. Gebruikers van de betreffende software worden dringend aangeraden om hun iTunes te updaten naar versie 12.13.2 om zich tegen mogelijke aanvallen te beschermen. Deze update moet het probleem verhelpen en gebruikers beschermen tegen potentieel misbruik van deze beveiligingslek. [apple]
Google heeft recent een waarschuwing uitgegeven over een kritieke kwetsbaarheid in het Android-besturingssysteem, specifiek genaamd CVE-2024-23706. Dit lek, geïdentificeerd in het System-onderdeel van Android, stelt apps en lokale gebruikers in staat hun rechten te verhogen zonder extra permissies, een situatie bekend als 'escalation of privilege'. Dit type kwetsbaarheid wordt zelden als kritiek beschouwd, maar de ernst van dit specifieke lek heeft ertoe geleid dat het als zodanig is geclassificeerd. De kwetsbaarheid is aangepakt in de meest recente patchronde van Android, met updates voor Android 12, 12L, 13 en 14, die vanaf mei 2024 worden uitgerold. Google gebruikt een patchniveau-systeem om de implementatie van deze updates te organiseren, en fabrikanten zijn minstens een maand voor de publicatie van de patches geïnformeerd om adequate tijd te geven voor de ontwikkeling van hun eigen updates. Echter, niet alle Android-toestellen zullen deze updates ontvangen, voornamelijk vanwege het ontbreken van ondersteuning van sommige fabrikanten of vertragingen in het uitbrengen van updates. Deze situatie onderstreept het belang van snelle en uitgebreide updateprocessen door fabrikanten om de veiligheid van hun gebruikers te waarborgen tegen dergelijke ernstige bedreigingen. [android]
Bijna 52.000 online Tinyproxy-servers zijn vatbaar voor het kritieke beveiligingslek CVE-2023-49606, waardoor ongeautoriseerde externe code-uitvoering mogelijk is. Tinyproxy, een lichtgewicht proxyserver voor UNIX-systemen, wordt veel gebruikt door kleine bedrijven, openbare WiFi-aanbieders en thuisgebruikers. Het lek, een 'use-after-free' fout ontdekt door Cisco Talos in december 2023, betreft de functie 'remove_connection_headers' waarbij specifieke HTTP-headers onjuist worden beheerd. Ondanks inspanningen van Cisco om de ontwikkelaars van Tinyproxy te waarschuwen, was er aanvankelijk geen reactie en werd geen patch aangeboden. Dit lek werd uiteindelijk breed bekendgemaakt begin mei 2024, waarna een patch snel volgde. De fout maakt misbruik mogelijk via een eenvoudig misvormd HTTP-verzoek en kan, zonder authenticatie, leiden tot een crash van de server of erger. Hoewel een patch beschikbaar is, was er kritiek op de communicatie rond de melding van het lek. Met ongeveer 57% van de online zichtbare Tinyproxy-servers nog steeds kwetsbaar, vormt dit een ernstig risico, vooral in de Verenigde Staten waar de meeste kwetsbare servers zijn geïdentificeerd. [talos, censys, github CVE-2023-49606, github fix]
Uit onderzoek van de Consumentenbond onder bijna twaalfhonderd Windows-computers blijkt dat bijna een kwart van de systemen kwetsbaar is doordat er verouderde software op draait. Deze software ontvangt geen beveiligingsupdates meer of is niet bijgewerkt ondanks beschikbare updates. Meer dan de helft van de computers draait op Windows 10, terwijl de rest voornamelijk Windows 11 gebruikt. Op 180 van de onderzochte systemen werd sterk verouderde software gevonden die geen beveiligingsondersteuning meer krijgt, waardoor eventuele beveiligingslekken niet worden gerepareerd. Daarnaast waren er op ruim honderdvijftig computers verouderde versies van populaire programma's zoals WinRAR, Adobe Acrobat Reader en 7-Zip geïnstalleerd, die bekende kwetsbaarheden bevatten. Een klein deel gebruikte zelfs oude versies van Java en Windows Live Mesh. Windows zelf bleek op de meeste computers wel up-to-date te zijn. De Consumentenbond adviseert gebruikers om hun software regelmatig te updaten om beveiligingsproblemen te voorkomen. [consumentenbond]
De VPN-dienst Mullvad heeft een waarschuwing uitgegeven voor gebruikers van hun Android-applicatie betreffende een potentieel privacyrisico. Het probleem ontstaat wanneer DNS-verzoeken van de gebruiker kunnen lekken tijdens het gebruik van de VPN, wat de privacy ernstig kan schaden. Dit type verzoek bevat gegevens over de websites die een gebruiker wil bezoeken, gegevens die normaal gesproken door de VPN-dienst worden afgeschermd. Het lekken van DNS-verzoeken doet zich voor in twee specifieke situaties: ten eerste als de VPN actief is maar er geen DNS-server is ingesteld, en ten tweede wanneer de VPN-app de VPN-tunnel herconfigureert of crasht. Mullvad heeft aangegeven dat dit probleem door een specifieke kwetsbaarheid in Android zelf wordt veroorzaakt en invloed heeft op meerdere apps, hoewel niet gespecificeerd is welke andere apps nog meer getroffen zijn. Deze kwetsbaarheid blijft aanwezig ongeacht of de 'Always-on VPN' en 'Block connections without VPN'-opties zijn ingeschakeld. Mullvad werkt aan een oplossing die binnenkort beschikbaar moet zijn en heeft het probleem ook bij Google aangekaart om verder onderzoek en herstel te bevorderen. [mullvad, issuetracker]
Microsoft heeft een ernstige path traversal-kwetsbaarheid blootgelegd in diverse populaire Android-applicaties, met een totaal van meer dan vier miljard installaties. Dit lek maakt het mogelijk voor kwaadwillende apps om bestanden te overschrijven in de home directory van getroffen apps, wat kan resulteren in het uitvoeren van willekeurige code of het stelen van authenticatietokens. Deze tokens kunnen vervolgens gebruikt worden om toegang te verkrijgen tot gebruikersaccounts. De kwetsbaarheid treft onder meer apps van Xiaomi en WPS Office, maar Microsoft vermoedt dat het probleem bij een breder scala aan applicaties voorkomt. Een van de kernproblemen ligt in de implementatie van Android's 'content provider', een component dat normaal gesproken de veilige uitwisseling van data tussen apps faciliteert. Echter, in sommige gevallen verwerkt deze component de data-aanvragen op een wijze die misbruik toelaat, zoals het overschrijven van cruciale bestanden. Microsoft heeft in samenwerking met Google een document uitgebracht om ontwikkelaars te waarschuwen en aan te moedigen om gebruikersinvoer met de nodige voorzichtigheid te behandelen en bepaalde data-aanvragen te negeren. [microsoft, android]
De Cybersecurity and Infrastructure Security Agency (CISA) en de Federal Bureau of Investigation (FBI) hebben softwarebedrijven opgeroepen om hun producten grondig te beoordelen en pad traversal (of directory traversal) kwetsbaarheden te verwijderen voordat deze worden verspreid. Deze kwetsbaarheden stellen aanvallers in staat om essentiële bestanden te creëren of te overschrijven, wat kan leiden tot het uitvoeren van codes of het omzeilen van beveiligingsmechanismen zoals authenticatie. Ook kunnen gevoelige gegevens zoals inloggegevens worden geraadpleegd, wat mogelijk leidt tot brute-force aanvallen op bestaande accounts. Deze oproep volgt op recente aanvallen op kritieke infrastructuur, waarbij onder andere de gezondheidszorg getroffen werd. Softwareontwikkelaars worden geadviseerd om effectieve tegenmaatregelen te implementeren, zoals het genereren van een willekeurige identificatie voor elk bestand en het strikt beperken van toegestane tekens in bestandsnamen. Deze kwetsbaarheden staan bekend als een belangrijke veiligheidsrisico en bevinden zich in de top 25 van meest gevaarlijke softwarezwaktes volgens MITRE, benadrukt door hun aanhoudende prevalentie ondanks jaren van waarschuwingen. [mitre, cisa]
In april 2024 heeft HPE Aruba Networking een beveiligingsadvies uitgebracht over kritieke kwetsbaarheden voor externe code-uitvoering (RCE) in meerdere versies van ArubaOS, hun eigen netwerkbesturingssysteem. De melding omvat tien kwetsbaarheden, waarvan er vier, met een kritieke ernstscore van 9.8 volgens CVSS v3.1, betrekking hebben op ongeauthenticeerde bufferoverloopproblemen die externe code-uitvoering mogelijk maken. De getroffen producten zijn onder meer de Mobility Conductor, Mobility Controllers, WLAN Gateways en SD-WAN Gateways die door Aruba Central worden beheerd. De specifieke versies die kwetsbaar zijn, omvatten ArubaOS 10.5.1.0 en lager, en verscheidene andere oudere releases tot aan de modellen die het einde van hun levensduur hebben bereikt. De vier ernstige kwetsbaarheden maken het mogelijk voor niet-geauthenticeerde aanvallers om op afstand code uit te voeren door speciaal geconstrueerde pakketten te versturen naar de PAPI UDP-poort, gebruikt door Aruba's toegangspuntbeheerprotocol. Als tegenmaatregel raadt de fabrikant aan om Enhanced PAPI Security in te schakelen en te upgraden naar gepatchte versies van ArubaOS. De nieuwste versies verhelpen ook nog zes andere kwetsbaarheden met een "medium" ernstscore, die kunnen leiden tot een denial-of-service op kwetsbare apparaten. Systembeheerders worden aangeraden om de beschikbare beveiligingsupdates zo snel mogelijk toe te passen. [arubanetworks]
Een recent ontdekte kwetsbaarheid in de R programmeertaal kan leiden tot willekeurige code-uitvoering wanneer speciaal vervaardigde RDS- en RDX-bestanden worden gedeserialiseerd. R, een open-source programmeertaal, is populair onder statistici en data-analisten en wordt steeds vaker gebruikt in het opkomende AI/ML-veld. Onderzoekers van HiddenLayer identificeerden de kwetsbaarheid, bekend als CVE-2024-27322, die een ernstige score van 8.8 heeft op de CVSS v3-schaal. De kwetsbaarheid maakt gebruik van de manier waarop R serialisatie ('saveRDS') en deserialisatie ('readRDS') afhandelt, met name door middel van promise objecten en "lui evalueren". Aanvallers kunnen promise objecten met willekeurige code in de metadata van de RDS-bestanden inbedden. Deze code wordt geëvalueerd tijdens de deserialisatie, wat leidt tot de uitvoering ervan. De aanval vereist vaak een sociaal technische benadering, waarbij het slachtoffer wordt overtuigd of misleid om deze bestanden uit te voeren. Aanvallers kunnen ook een passievere benadering kiezen door de pakketten te verspreiden via veelgebruikte repositories, in afwachting dat slachtoffers ze downloaden. De impact van CVE-2024-27322 is aanzienlijk vanwege het uitgebreide gebruik van R in kritische sectoren en het grote aantal pakketten dat wordt ingezet in data-analyseomgevingen. Als mitigatiemaatregel heeft R Core versie 4.4.0, uitgebracht op 24 april 2024, beperkingen ingevoerd op het gebruik van beloftes in de serialisatiestroom om willekeurige code-uitvoering te voorkomen. Organisaties die niet onmiddellijk kunnen upgraden, wordt aangeraden om RDS/RDX-bestanden in geïsoleerde omgevingen uit te voeren, zoals zandbakken en containers, om de uitvoering van code op het onderliggende systeem te voorkomen. [hiddenlayer, cert, rstudio]
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Reading in 🇬🇧 or another language
Reading in 🇬🇧 or another language
Reading in 🇬🇧 or another language
Reading in 🇬🇧 or another language
Reading in 🇬🇧 or another language
🇳🇱 🇬🇧