Analyse van kwetsbaarheden op het gebied van cyberbeveiliging november 2024
Reading in 🇬🇧 or another language
"HET ONZICHTBARE ZICHTBAAR MAKEN"
Synology heeft snel gereageerd op twee kritieke zero-day kwetsbaarheden die tijdens de Pwn2Own-hackingcompetitie zijn onthuld. Onderzoeker Rick de Jager ontdekte deze zero-click kwetsbaarheden in de software Synology Photos en BeePhotos voor BeeStation. Deze beveiligingslekken, die op afstand konden worden uitgebuit voor root-toegang, zijn samengevoegd onder de aanduiding CVE-2024-10443, ook wel RISK:STATION genoemd. Binnen 48 uur na de presentatie van de kwetsbaarheden zijn er patches vrijgegeven. Synology raadt gebruikers aan hun apparaten onmiddellijk bij te werken, aangezien miljoenen systemen kwetsbaar zijn. Dit snelle handelen is cruciaal, gezien de frequente aanvallen van cybercriminelen op online blootgestelde NAS-apparaten. Beide kwetsbaarheden onderstrepen de noodzaak voor voortdurende beveiliging in een tijd waarin ransomware-aanvallen toenemen.
Bron: 1
Onderzoekers hebben twee kritieke kwetsbaarheden ontdekt in Philips Smart Lighting-producten die gebruikers blootstellen aan hackpogingen. Deze kwetsbaarheden stellen aanvallers in staat om WiFi-credentials te extraheren in platte tekst, vooral bij apparaten met firmwareversies vóór 1.33.1. Dit betekent dat als kwaadwillenden fysieke toegang hebben tot deze verlichtingssystemen, ze eenvoudig de WiFi-informatie kunnen bemachtigen, wat de beveiliging van het hele netwerk in gevaar kan brengen.
Daarnaast is er een probleem met Matrix Deurcontrollers, waarbij aanvallers via een webinterface ongeautoriseerde toegang kunnen verkrijgen. CERT-In adviseert gebruikers om hun firmware bij te werken om zichzelf te beschermen tegen deze risico's en beveelt aan om de toegang tot de deurcontrollers te beperken door middel van netwerksegmentatie en sterke authenticatiemethoden.
Bron: 1
De kwetsbaarheid CVE-2024-38821 in Spring WebFlux stelt aanvallers in staat om beperkte middelen te benaderen door gebruik te maken van bepaalde manipulaties van URL-paden. Dit probleem, ontdekt door onderzoeker Mouad Kondah, ligt in de manier waarop Spring WebFlux omgaat met statische middelen. Aanvallers kunnen door het omzeilen van beveiligingsfilters via zorgvuldig opgestelde URL-paden toegang krijgen tot gevoelige bestanden. De kwetsbaarheid heeft impact op applicaties die afhankelijk zijn van Spring’s ResourceWebHandler, die verantwoordelijk is voor het bedienen van statische middelen zoals HTML-bestanden en afbeeldingen. Om de risico's te mitigeren, wordt aanbevolen om te updaten naar de nieuwste beveiligde versies van Spring. De betrokken versies zijn onder andere 5.7.13, 5.8.15, en 6.0.13.
Bron: 1
Okta, een toonaangevende cloudgebaseerde identiteit- en toegangsbeheerdienst, heeft een ernstige kwetsbaarheid ontdekt die gebruikers in staat stelde om hun accounts te openen zonder een wachtwoord. Deze kwetsbaarheid deed zich voor bij gebruikers met uitzonderlijk lange gebruikersnamen van minstens 52 karakters. Als de cache-sleutel van een eerdere succesvolle login sessie nog was opgeslagen, konden gebruikers inloggen door alleen hun gebruikersnaam op te geven. Okta heeft deze kwetsbaarheid op 30 oktober 2024 gepatcht en raadt klanten aan om hun logboeken te controleren op verdachte logins met lange gebruikersnamen tussen 23 juli en 30 oktober 2024. Ondanks dat lange gebruikersnamen niet gebruikelijk zijn, roept deze situatie bezorgdheid op, vooral gezien eerdere aanvallen op de systemen van Okta. Het bedrijf adviseert ook het gebruik van multi-factor authenticatie voor extra beveiliging.
Bron: 1
Nvidia heeft een belangrijke beveiligingsupdate uitgebracht voor zijn ConnectX en BlueField Data Processing Units (DPUs) vanwege de ontdekking van twee ernstige kwetsbaarheden (CVE-2024-0105 en CVE-2024-0106). Deze kwetsbaarheden kunnen aanvallers in staat stellen om gegevens te manipuleren, diensten te verstoren of toegang te krijgen tot gevoelige informatie. De kwetsbaarheden hebben een hoge CVSS-score van respectievelijk 8.9 en 8.7, wat duidt op aanzienlijke risico's.
De update betreft verschillende modellen, waaronder ConnectX 4-7 en BlueField 1-3. Nvidia raadt gebruikers aan om hun firmware bij te werken naar specifieke versies om de risico's te mitigeren. Het is cruciaal dat gebruikers deze updates implementeren om hun systemen te beschermen tegen mogelijke aanvallen.
Bron: 1
Recent onderzoek heeft zes kwetsbaarheden in Ollama, een populair open-source framework voor het draaien van grote taalmodellen, onthuld. Met de groeiende toepassing van Ollama in bedrijfsomgevingen, brengen deze kwetsbaarheden aanzienlijke risico's met zich mee. Vier van de geïdentificeerde kwetsbaarheden zijn officieel toegewezen als CVE's en zijn gepatcht, terwijl twee worden betwist als "schaduwkwetsbaarheden". De kwetsbaarheden stellen aanvallers in staat om verschillende kwaadaardige acties uit te voeren via één HTTP-verzoek, zoals Denial of Service (DoS)-aanvallen en modeldiefstal. De modelbeheereindpunten missen adequate authenticatie, waardoor aanvallers gemakkelijk toegang kunnen krijgen tot gevoelige gegevens of schadelijke modellen kunnen introduceren. Het rapport benadrukt de noodzaak voor organisaties om patches toe te passen en hun beveiligingsinstellingen te configureren om het risico op aanvallen te minimaliseren.
Bron: 1
Een ernstige kwetsbaarheid is ontdekt in Ricoh's Web Image Monitor, die invloed heeft op verschillende printers en multifunctionele printers (MFP's). Deze kwetsbaarheid, aangeduid als CVE-2024-47939 en met een CVSS-score van 9.8, stelt aanvallers in staat om willekeurige code uit te voeren of een denial-of-service (DoS) aanval te veroorzaken. Het probleem ontstaat door een buffer overflow die het gevolg is van onjuist verwerkte HTTP-verzoeken.
Als de kwetsbaarheid wordt geëxploiteerd, kunnen aanvallers volledige controle krijgen over het apparaat, wat kan leiden tot datalekken en verstoring van printdiensten. Ricoh heeft firmware-updates vrijgegeven om deze kwetsbaarheid te verhelpen, en gebruikers worden dringend aangeraden hun apparaten bij te werken. Het is cruciaal voor organisaties om kwetsbare apparaten snel te patchen om hun netwerken te beschermen tegen mogelijke cyberaanvallen.
Bron: 1
Okta heeft een ernstige kwetsbaarheid verholpen in de Okta Verify Desktop MFA voor Windows, waarmee aanvallers mogelijk gebruikerswachtwoorden konden stelen. Deze kwetsbaarheid, aangeduid als CVE-2024-9191, heeft een CVSS-score van 7.1 en raakt de functie voor wachtwoordloze aanmelding binnen Okta Device Access. Wanneer een aanvaller al toegang had tot een besmet apparaat, konden zij via deze kwetsbaarheid wachtwoorden ophalen die door de Okta Verify-agent werden opgeslagen. Dit kon leiden tot verdere compromittering van het Okta-account van de gebruiker. Het probleem werd ontdekt tijdens routinematige penetratietests. Belangrijk is dat alleen gebruikers die de wachtwoordloze functie van Okta Device Access gebruikten, door deze kwetsbaarheid werden getroffen. Okta heeft versie 5.3.3 van Okta Verify voor Windows uitgebracht om deze kwetsbaarheid te verhelpen; gebruikers van eerdere versies worden aangemoedigd om onmiddellijk te upgraden.
Bron: 1
MediaTek heeft een beveiligingsbulletin uitgegeven waarin meerdere kwetsbaarheden in zijn chipsets worden belicht. Deze kwetsbaarheden treffen een breed scala aan apparaten, zoals smartphones, tablets en slimme displays, en variëren van gemiddeld tot hoog in ernst. Twee belangrijke kwetsbaarheden zijn CVE-2024-20104, die een uitbuitingsmogelijkheid biedt met gebruikersinteractie, en CVE-2024-20106, die zonder gebruikersinteractie kan worden geëxploiteerd, waardoor aanvallers willekeurige code met systeemprivileges kunnen uitvoeren. Daarnaast zijn er verschillende kwetsbaarheden van gemiddelde ernst, die kunnen leiden tot informatielekken en privilegeverhogingen. MediaTek heeft patches beschikbaar gesteld aan fabrikanten, en gebruikers worden dringend aangeraden om deze beveiligingsupdates onmiddellijk te installeren zodra ze beschikbaar zijn.
Bron: 1
Google heeft met zijn AI-tool Big Sleep een zero-day kwetsbaarheid ontdekt in de open-source SQLite database-engine. Dit markeert volgens Google de eerste keer dat een AI-agent een onbekend exploitabele geheugensafety-issue heeft gevonden in veelgebruikte software. De kwetsbaarheid betreft een stack buffer underflow, wat kan leiden tot systeemcrashes of onvoorspelbare code-executie. Deze kwetsbaarheid werd ontdekt in een ontwikkelversie van de SQLite-bibliotheek en is inmiddels verholpen. Big Sleep, dat is voortgekomen uit Project Naptime, gebruikt een grote taalmodel om menselijke gedragssimulatie toe te passen bij het identificeren van kwetsbaarheden. Google benadrukt dat hoewel dit veel potentieel heeft voor defensieve strategieën, de huidige resultaten nog experimenteel zijn. Het doel is om kwetsbaarheden te identificeren voordat ze in officiële releases worden opgenomen, zodat aanvallers geen kans krijgen om deze uit te buiten.
Bron: 1
Een nieuwe kwetsbaarheid, CVE-2024-46538, is ontdekt in pfSense versie 2.5.2, een veelgebruikt open-source firewall- en routerprogramma. Deze cross-site scripting (XSS) kwetsbaarheid stelt aanvallers in staat om kwaadaardige scripts uit te voeren binnen de browser van een beheerder. De kwetsbaarheid is ontstaan door onvoldoende invoerfiltering in het bestand interfaces_groups_edit.php. Wanneer een aanvaller een beheerder weet te misleiden om een speciaal gemaakte aanvraag te doen, kan hij willekeurige opdrachten met beheerdersprivileges uitvoeren, wat kan leiden tot een volledige overname van het systeem.
EQSTLab heeft een proof-of-concept (PoC) exploit gepubliceerd die de ernst van deze kwetsbaarheid aantoont. Het is van cruciaal belang voor gebruikers van pfSense om snel te updaten naar de meest recente versie om hun systemen te beveiligen tegen mogelijke aanvallen.
Bron: 1
Een beveiligingsonderzoeker heeft onthuld dat IBM meer dan anderhalf jaar nodig had om 32 ernstige kwetsbaarheden in hun Security Verify Access-oplossing te patchen. Deze beveiligingslekken, ontdekt in oktober 2022, maakten het mogelijk voor aanvallers om het systeem te compromitteren via rechtenverhoging, authenticatie-omzeiling en remote code execution. De kwetsbaarheden konden worden misbruikt door aanvallers die een man-in-the-middle aanval konden uitvoeren of toegang hadden tot het lokale netwerk.
IBM Security Verify Access, een oplossing voor authenticatie en autorisatie van gebruikers op intra- en extranetten, bevatte ook verouderde en niet meer vertrouwde certificaatautoriteiten in hun Docker images. De onderzoeker noemt de lange periode die nodig was voor het uitbrengen van de patches "zeer zorgwekkend", vooral gezien het feit dat het om een Single sign-on oplossing gaat. Uiteindelijk werden alle beveiligingsproblemen eind juni 2024 opgelost.
Google heeft een nieuwe kwetsbaarheid ontdekt in Android-toestellen die het mogelijk maakt voor aanvallers om op afstand code uit te voeren. Deze kwetsbaarheid (CVE-2024-43091) treft Android-versies 12, 12L, 13, 14 en 15 en is door Google als 'high impact' geclassificeerd.
Naast dit beveiligingslek is er ook een kritieke kwetsbaarheid gevonden in een Bluetooth-component van Qualcomm (CVE-2024-38408). In totaal zijn er in de november-update 46 kwetsbaarheden verholpen.
Google werkt met patchniveaus die worden aangeduid met een datum. Toestellen die de november-updates ontvangen, krijgen '2024-11-01' of '2024-11-05' als patchniveau. Fabrikanten zijn een maand vooraf geïnformeerd over deze kwetsbaarheden om updates te kunnen ontwikkelen. Dit betekent echter niet dat alle Android-toestellen deze updates zullen ontvangen, aangezien sommige toestellen niet meer worden ondersteund of updates later ontvangen.
Bron: 1
QNAP heeft snel gereageerd op een ernstige zero-day kwetsbaarheid (CVE-2024-50389) in zijn QuRouter netwerkbeveiligingsapparaat. Deze kwetsbaarheid werd ontdekt tijdens de Pwn2Own hackingwedstrijd in Ierland, waarbij de Viettel Cyber Security team erin slaagde het apparaat te compromitteren en een deel van de prijzenpot van meer dan 1 miljoen dollar te winnen. In reactie daarop bracht QNAP onmiddellijk een patch uit voor de getroffen QuRouter-versies 2.4.x, en raadde gebruikers aan om te upgraden naar versie 2.4.5.032 of hoger. Dit incident volgt op twee andere zero-day kwetsbaarheden die vorige week door hetzelfde team werden ontdekt en ook snel werden gepatcht. QNAP's snelle actie wordt geprezen, vooral omdat exploit-details meestal 90 dagen na de ontdekking openbaar worden gemaakt. Gebruikers wordt dringend geadviseerd om hun apparaten bij te werken om mogelijke beveiligingsrisico's te minimaliseren.
Bron: 1
Rockwell Automation heeft twee ernstige kwetsbaarheden ontdekt in hun FactoryTalk ThinManager software, die aanzienlijke risico’s kunnen veroorzaken voor industriële automatiseringssystemen. De eerste kwetsbaarheid (CVE-2024-10386) heeft betrekking op een ontbrekende authenticatie voor een cruciale functie, wat aanvallers de mogelijkheid biedt om berichten te manipuleren en de databases van systemen aan te passen. Dit heeft een hoge dreigingsscore van 9,3 (CVSS). De tweede kwetsbaarheid (CVE-2024-10387) betreft een Denial-of-Service (DoS), waarbij aanvallers door middel van op maat gemaakte berichten de werking van het systeem kunnen verstoren, met een score van 8,7 (CVSS). De kwetsbaarheden treffen versies van 11.2.0 tot 14.0.0, en Rockwell heeft inmiddels updates beschikbaar gesteld. Gebruikers worden aangespoord om de nieuwste versies te installeren en netwerkbeveiliging te verbeteren door alleen noodzakelijke communicatiepoorten open te stellen.
Bron: 1
ZoneMinder, een populaire open-source videobewakingssoftware, heeft een ernstige kwetsbaarheid (CVE-2024-51482) die de veiligheid van SQL-databases in gevaar brengt. Deze kwetsbaarheid, die een CVSS-score van 10 heeft gekregen, stelt aanvallers in staat om SQL-query's te manipuleren door een invoervalidatiefout in de functie web/ajax/event.php. Dit maakt het mogelijk om ongeautoriseerde SQL-commando’s uit te voeren, zoals het verwijderen van gegevens of zelfs het verstoren van de service. De fout is aanwezig in ZoneMinder-versies van v1.37.* tot v1.37.64. Een aanvaller kan de kwetsbaarheid benutten door een speciaal gevormde URL in te voeren, waarmee SQL-injectie wordt uitgevoerd. Het oplossen van dit probleem vereist het gebruik van geparameteriseerde queries en inputvalidatie, wat inmiddels is doorgevoerd in versie 1.37.65. Gebruikers wordt aangeraden hun software bij te werken naar deze versie om hun systemen te beveiligen.
Bron: 1
Century Systems heeft een ernstig beveiligingslek ontdekt in zijn FutureNet NXR-routerserie, aangeduid als CVE-2024-50357, met een CVSS-score van 9,8. Het lek maakt het mogelijk voor aanvallers om via onbeveiligde REST-API's op afstand toegang te krijgen tot de routers, zelfs als deze in de fabrieksprestaties zijn uitgeschakeld. Dit probleem ontstaat wanneer de HTTP-server of webauthenticatie is ingeschakeld, wat standaard het geval is bij veel modellen. Aanvallers kunnen misbruik maken van dit lek om routerinstellingen te wijzigen, zoals DNS-configuraties of firewallregels, gevoelige informatie te stelen of zelfs andere apparaten binnen het netwerk aan te vallen. Gebruikers van de FutureNet NXR-G050, NXR-G060 en NXR-G110 series wordt geadviseerd hun firmware onmiddellijk bij te werken om dit risico te verhelpen.
Bron: 1
Google heeft twee actief uitgebuite zero-day kwetsbaarheden in Android verholpen in de novemberbeveiligingsupdate, waarmee in totaal 51 kwetsbaarheden werden aangepakt. De kwetsbaarheden, aangeduid als CVE-2024-43047 en CVE-2024-43093, werden gemeld als doelgerichte aanvallen. CVE-2024-43047 is een ernstige "use-after-free"-fout in Qualcomm-componenten binnen de Android-kernel, die de mogelijkheid biedt om verhoogde privileges te verkrijgen. CVE-2024-43093 betreft een privilege-escalatie in de Android Framework en Google Play systeemupdates. Beide kwetsbaarheden werden actief gebruikt in gerichte aanvallen, mogelijk in spyware-aanvallen. Naast deze twee kwetsbaarheden werden ook andere kwetsbaarheden opgelost, waarvan één als kritiek werd gemarkeerd. Gebruikers wordt aangeraden om de update zo snel mogelijk te installeren om zich te beschermen tegen mogelijke aanvallen.
Bron: 1
AWS' IAM Roles Anywhere, geïntroduceerd in 2022, biedt de mogelijkheid voor externe systemen om tijdelijke beveiligingsreferenties binnen AWS te verkrijgen via X.509-certificaten van een vertrouwde certificeringsinstantie. Hoewel deze functie flexibiliteit biedt, brengt het aanzienlijke beveiligingsrisico’s met zich mee. Een aanvaller die voldoende machtigingen heeft, kan een kwaadaardige certificeringsinstantie (CA) opzetten en deze registreren in een AWS-account, wat hen toegang geeft tot het aanpassen van vertrouwensbeleid en het verkrijgen van tijdelijke AWS-referenties. Dit creëert de mogelijkheid voor aanhoudende toegang tot het account, wat moeilijk te detecteren is zonder grondige monitoring van activiteiten zoals het aanmaken van nieuwe profielen of vertrouwensanchors. Het implementeren van strikte toegangsbeperkingen en het nauwkeurig monitoren van CloudTrail-logs zijn essentieel om dit soort aanvallen te voorkomen.
Bron: 1
Google heeft een update uitgebracht voor de Chrome-browser die twee ernstige kwetsbaarheden verhelpt. De kwetsbaarheden, aangeduid als CVE-2024-10826 en CVE-2024-10827, vallen onder de "use-after-free" categorie, wat betekent dat er toegang kan worden verkregen tot geheugenlocaties die al zijn vrijgegeven, met het risico dat aanvallers schadelijke code uitvoeren of de browser laten crashen. De eerste kwetsbaarheid bevindt zich in het "Family Experiences"-onderdeel, dat zich richt op gezinsbeheersfuncties, terwijl de tweede kwetsbaarheid te maken heeft met communicatie tussen apparaten via de "Serial"-component. Google heeft snel gereageerd op deze bedreigingen door de nodige patches uit te brengen. Gebruikers wordt dringend aangeraden om hun browser bij te werken naar versie 130.0.6723.116/.117 voor Windows en Mac, en 130.0.6723.116 voor Linux.
Bron: 1
Onderzoekers hebben een ernstige kwetsbaarheid ontdekt in Apple's iOS, aangeduid als CVE-2024-44258, die te maken heeft met symbolische links (symlinks) binnen het ManagedConfiguration framework. Deze kwetsbaarheid stelt aanvallers in staat om via een aangepaste back-up het systeem te misleiden en toegang te krijgen tot anders beschermde mappen. Het probleem doet zich voor wanneer tijdens het herstellen van een back-up de bestemming niet goed wordt gecontroleerd op symlinks, waardoor bestanden naar beveiligde locaties kunnen worden omgeleid.
Aanvallers kunnen deze zwakte gebruiken om de sandbox-beperkingen te omzeilen, wat leidt tot ongeautoriseerde toegang tot gegevens en zelfs privilege-escalatie. Apple heeft in de beta-versie van iOS 18.1 een functie toegevoegd die de kwetsbaarheid moet verhelpen door de bestemming van bestanden beter te controleren op veiligheid. Desondanks is het lek al actief misbruikt door cybercriminelen.
Bron: 1
Duizenden toegangssystemen van het merk Linear eMerge E3, gebruikt voor het beheer van fysieke toegang tot gebouwen, zijn kwetsbaar voor een ernstig beveiligingslek. Het lek, dat sinds vijf maanden bekend is bij de fabrikant Nice, stelt ongeauthenticeerde aanvallers in staat om op afstand willekeurige commando's uit te voeren via een 'command injection'. Dit maakt het mogelijk om het systeem over te nemen. De kwetsbaarheid, beoordeeld met een 9.8 op een schaal van 10, heeft al geleid tot de ontdekking van meer dan 2700 onbeschermde webportalen. Ondanks het feit dat het probleem al lange tijd bekend is, is er nog geen beveiligingsupdate uitgebracht. Organisaties wordt aangeraden om de systemen offline te halen, netwerksegmentatie toe te passen en verdachte activiteiten te monitoren om misbruik te voorkomen.
Bron: 1
Cisco heeft een kritieke beveiligingsfout verholpen in zijn Ultra-Reliable Wireless Backhaul (URWB)-access points, die een verbinding bieden voor industriële draadloze automatisering. De kwetsbaarheid, aangeduid als CVE-2024-20418, stelde aanvallers in staat om via een niet-geauthenticeerde aanval commando’s met root-rechten uit te voeren op kwetsbare systemen. Dit werd mogelijk door een fout in de webgebaseerde beheersinterface van de Cisco Unified Industrial Wireless Software. De kwetsbaarheid kan eenvoudig worden misbruikt via speciaal vervaardigde HTTP-verzoeken, zonder dat interactie van de gebruiker nodig is. De impact is significant, aangezien aanvallers root-toegang konden verkrijgen op de onderliggende besturingssystemen van de getroffen apparaten. Cisco heeft de kwetsbaarheid inmiddels gepatcht, maar heeft nog geen bewijs gevonden dat deze al in aanvallen is misbruikt. Gebruikers kunnen controleren of hun apparaten kwetsbaar zijn door een specifieke CLI-opdracht uit te voeren.
Bron: 1
Veritas heeft een beveiligingswaarschuwing uitgegeven voor een ernstige privilege-escalatiekwetsbaarheid in NetBackup op Windows-systemen. De kwetsbaarheid betreft de primaire server, mediaserver en clientcomponenten van NetBackup en stelt systemen bloot aan aanvallen waarbij aanvallers hun rechten kunnen verhogen. Dit gebeurt wanneer een aanvaller schrijfbevoegdheden krijgt op de root-schijf waar NetBackup is geïnstalleerd, waardoor een kwaadaardig DLL-bestand kan worden geïnstalleerd en uitgevoerd. De kwetsbaarheid heeft een hoge ernst, met een CVSS-score van 7,8. Veritas adviseert gebruikers om over te schakelen naar versie 10.5 van NetBackup, waarin deze kwetsbaarheid is verholpen, of om voor oudere versies de aanbevolen hotfixes toe te passen. Voor organisaties die niet direct kunnen upgraden, wordt geadviseerd een 'bin'-map aan te maken op de root-schijf en de toegang strikt te beperken tot beheerders.
Bron: 1
HPE Aruba Networking heeft een beveiligingsadvies uitgegeven over meerdere ernstige kwetsbaarheden in Access Points die draaien op Instant AOS-8 en AOS-10. De meest ernstige kwetsbaarheid, CVE-2024-42509, heeft een CVSS-score van 9.8 en stelt aanvallers in staat om op afstand willekeurige code uit te voeren via een niet-geauthenticeerde command injection. Dit kan leiden tot ongeautoriseerde toegang en volledige systeemcompromittering. Een andere belangrijke kwetsbaarheid, CVE-2024-47460, heeft een score van 9.0 en raakt ook het PAPI-protocol. HPE Aruba adviseert gebruikers dringend om de nieuwste beveiligingspatches toe te passen en toegang tot kwetsbare services te blokkeren indien patching niet mogelijk is. De advisering betreft ook kwetsbaarheden voor zowel geauthenticeerde als niet-geauthenticeerde toegang, wat de risico’s verder vergroot. Tijdige updates en strikte netwerksegmentatie zijn cruciaal om deze bedreigingen te mitigeren.
Bron: 1
Veeam heeft onlangs een ernstige beveiligingskwetsbaarheid (CVE-2024-40715) onthuld in Veeam Backup Enterprise Manager, met een CVSS-score van 7.7. Deze kwetsbaarheid stelt aanvallers in staat om de authenticatie te omzeilen via een Man-in-the-Middle (MITM) aanval. Hierdoor kunnen zij mogelijk gevoelige gegevens onderscheppen, wijzigen of blokkeren, wat aanzienlijke risico's met zich meebrengt voor bedrijven die op Veeam’s back-upoplossingen vertrouwen voor hun databeveiliging. De kwetsbaarheid is gedicht met een hotfix voor versie 12.2.0.334, die op 6 november 2024 is uitgebracht. Gebruikers van oudere versies wordt aangeraden snel te upgraden naar deze versie. Na het installeren van de hotfix kan een herstart nodig zijn. Het is belangrijk voor beheerders om te controleren of de hotfix correct is geïnstalleerd, bijvoorbeeld door de hashwaarde van een specifieke DLL-bestand te verifiëren.
Bron: 1
Cisco heeft een ernstige SQL-injectie kwetsbaarheid onthuld in specifieke versies van de Nexus Dashboard Fabric Controller (NDFC), aangeduid als CVE-2024-20536. Deze kwetsbaarheid stelt aanvallers in staat om kwaadaardige SQL-opdrachten uit te voeren op kwetsbare apparaten, wat ernstige risico's voor netwerkbeveiliging met zich meebrengt. Het probleem ligt in de REST API en de webinterface van de Cisco NDFC, waar onvoldoende validatie van gebruikersinvoer plaatsvindt. Aanvallers kunnen zo data lezen, wijzigen of verwijderen uit interne databases. De kwetsbaarheid is van toepassing op de versies 12.1.2 en 12.1.3 van NDFC en kan worden misbruikt door toegang te krijgen tot de REST API of het beheerdersinterface van een getroffen systeem. Cisco heeft aangegeven dat er geen workarounds zijn, dus organisaties moeten dringend de nieuwste software-updates installeren om zich te beschermen tegen aanvallen.
Bron: 1
Apache ZooKeeper, een veelgebruikte service voor het beheren van configuraties in gedistribueerde systemen, heeft een ernstige beveiligingskwetsbaarheid (CVE-2024-51504) ontdekt in zijn Admin Server. Deze kwetsbaarheid, die de integriteit van de server bedreigt, maakt het mogelijk voor aanvallers om de authenticatie te omzeilen via IP-spoofing. Dit gebeurt door het misbruik van de IP-gebaseerde authenticatiemechanisme, waarbij het "X-Forwarded-For" HTTP-header gemakkelijk gemanipuleerd kan worden door een aanvaller. Door deze kwetsbaarheid kunnen aanvallers toegang krijgen tot gevoelige Admin Server-opdrachten, zoals het herstellen van configuraties en back-ups, wat kan leiden tot datalekken en verstoringen van de service. Het Apache-team raadt dringend aan om te upgraden naar versie 3.9.3, waarin de authenticatiecontrole is verbeterd om deze aanvallen te voorkomen.
Bron: 1
Een ernstige kwetsbaarheid (CVE-2024-10914) in D-Link NAS-apparaten bedreigt wereldwijd meer dan 61.000 systemen. Deze kwetsbaarheid, een command injection in het script account_mgr.cgi, stelt aanvallers in staat om willekeurige commando’s uit te voeren via gemanipuleerde HTTP GET-verzoeken. Het probleem is te wijten aan onvoldoende invoercontrole in de name parameter van het script, wat ongeautoriseerde toegang en mogelijk datamanipulatie of malware-infecties kan veroorzaken. De kwetsbaarheid heeft een hoge ernst (CVSS-score 9.2) en treft verschillende D-Link NAS-modellen, zoals DNS-320 en DNS-340L.
Gebruikers wordt geadviseerd om firmware-updates van D-Link te installeren en netwerktoegang tot het NAS-beheerpaneel te beperken tot vertrouwde IP-adressen. Het is essentieel om alert te blijven op toekomstige beveiligingspatches.
Bron: 1
Palo Alto Networks heeft klanten gewaarschuwd voor een potentiële kwetsbaarheid in de PAN-OS beheerinterface, die kan leiden tot remote code execution (RCE). De waarschuwing kwam na een ontdekking van een mogelijk beveiligingsprobleem, al heeft het bedrijf nog geen tekenen van actieve uitbuiting gevonden. Als voorzorgsmaatregel adviseert Palo Alto om de toegang tot de beheerinterface te beperken tot vertrouwde interne IP-adressen en toegang vanaf het internet te blokkeren. Daarnaast wordt aanbevolen om het beheer te isoleren op een apart VLAN en alleen veilige verbindingen zoals SSH en HTTPS toe te staan. Klanten kunnen ook het Cortex Xpanse-platform gebruiken om internet-exposeerde apparaten te monitoren. Palo Alto benadrukt dat er momenteel geen verdere details beschikbaar zijn, maar dat ze de situatie nauwlettend volgen. Het is cruciaal om de aanbevolen beveiligingsmaatregelen op te volgen om risico’s te beperken.
Bron: 1
Meer dan 60.000 oudere D-Link NAS-apparaten, die hun levenscyclus hebben bereikt, zijn kwetsbaar voor een ernstige kwetsbaarheid. Deze, aangeduid als CVE-2024-10914, heeft een hoge score van 9.2 op de CVSS-schaal en stelt aanvallers in staat om via speciaal ontworpen HTTP-verzoeken shell-opdrachten uit te voeren. Het probleem zit in de 'cgi_user_add' functie, waarbij de naamparameter onvoldoende wordt gecontroleerd. Verschillende D-Link-modellen, veelal gebruikt door kleine bedrijven, zijn getroffen. D-Link heeft bevestigd dat er geen beveiligingsupdate zal komen voor deze apparaten, en raadt gebruikers aan de kwetsbare apparaten uit gebruik te nemen of af te schermen van het internet. Dit sluit aan bij een eerdere kwetsbaarheid die ook al veel van dezelfde apparaten aantrof. De fabrikant heeft aangegeven geen nieuwe updates of ondersteuning te bieden voor deze verouderde producten.
Bron: 1
Een ernstige kwetsbaarheid (CVE-2024-10470) is ontdekt in het populaire WPLMS-thema voor WordPress, dat gebruikt wordt voor online cursussen. Deze beveiligingsfout, die een CVSS-score van 9.8 heeft, maakt het mogelijk voor aanvallers om gevoelige bestanden, zoals de wp-config.php, te lezen en te verwijderen zonder dat ze daarvoor geauthenticeerd hoeven te zijn. Het probleem ligt in de slechte beveiliging van de "zip_file"-parameter in het bestand "envato-setup-export.php", waardoor onbevoegden bestanden op de server kunnen benaderen. Door bijvoorbeeld het wp-config.php-bestand te verwijderen, kunnen aanvallers een website overnemen en de inhoud ervan in gevaar brengen. De kwetsbaarheid werd ontdekt door een beveiligingsonderzoeker en inmiddels is er een update beschikbaar om de fout te verhelpen. Gebruikers van WPLMS wordt dringend aangeraden hun thema bij te werken naar versie 4.963.
Bron: 1
Onderzoekers hebben tientallen ernstige beveiligingslekken ontdekt in verschillende populaire open-source machine learning (ML) tools. De kwetsbaarheden, die zich zowel aan de server- als clientzijde bevinden, kunnen door aanvallers worden misbruikt om kritieke servers binnen organisaties over te nemen, zoals ML-model registries, databases en pijplijnen. Vooral tools zoals Weave, ZenML, Deep Lake, Vanna.AI en Mage AI vertonen zwakke plekken die kunnen leiden tot privilege escalatie, het injecteren van kwaadaardige commando’s of het lezen van gevoelige bestanden. Deze kwetsbaarheden vormen een groot risico, aangezien aanvallers via deze paden toegang kunnen krijgen tot belangrijke gegevens en de controle over het volledige ML-ecosysteem kunnen overnemen. De ontdekking van deze problemen komt na eerdere meldingen van kwetsbaarheden in MLOps-platformen en benadrukt de noodzaak voor strengere beveiligingsmaatregelen in ML-omgevingen.
Bron: 1
Een nieuwe kwetsbaarheid, CVE-2024-47295, bedreigt verschillende SEIKO EPSON-apparaten, zoals printers en scanners, die via het Web Config-softwarepakket worden beheerd. Het probleem ontstaat doordat de apparaten een onveilige initiële wachtwoordinstelling hebben. Wanneer een apparaat zonder wachtwoord op het netwerk wordt aangesloten, kan elke gebruiker binnen hetzelfde netwerk een nieuw beheerderswachtwoord instellen en zo de controle over het apparaat overnemen. Dit kan leiden tot veranderingen in apparaatinstellingen, operationele verstoringen of zelfs toegang tot bredere netwerkaanvallen. Er is momenteel geen patch beschikbaar, maar SEIKO EPSON adviseert gebruikers om direct na installatie een sterk beheerderswachtwoord in te stellen. Dit vermindert het risico van ongeautoriseerde toegang en beschermt de apparaten tegen misbruik.
Een ernstige kwetsbaarheid in de D-Link DSL6740C-modem maakt het mogelijk voor ongeauthenticeerde aanvallers om op afstand het wachtwoord van gebruikers te wijzigen. Dit geeft hen toegang tot belangrijke systemen zoals de webinterface, SSH en Telnet. De kwetsbaarheid, die beoordeeld is met een score van 9,8 op een schaal van 10, betreft een fout in de beveiliging van de API's van het apparaat. Daarnaast is er ook een path traversal-lek gevonden, waardoor aanvallers systeembestanden kunnen uitlezen. De DSL6740C wordt niet langer ondersteund door D-Link, waardoor gebruikers dringend geadviseerd worden om het apparaat te vervangen. Dit advies komt van het Taiwanese Computer Emergency Response Team (TWCERT), dat de kwetsbaarheid heeft gemeld.
NetScaler heeft kritieke beveiligingsupdates uitgebracht voor kwetsbaarheden in zijn ADC- en Gateway-producten. De versies 12.1 en 13.0 van deze producten zijn inmiddels end-of-life en bevatten ernstige beveiligingslekken. Organisaties die deze verouderde versies gebruiken, wordt aangeraden om snel te upgraden naar een ondersteunde versie. De eerste kwetsbaarheid (CVE-2024-8534) kan leiden tot een denial of service of geheugenbeschadiging, met een impactscore van 8.4 op 10. Deze kwetsbaarheid kan misbruikt worden als de ADC is geconfigureerd als VPN-gateway en de RDP-functie ingeschakeld is. De tweede kwetsbaarheid (CVE-2024-8535) heeft een lagere impactscore van 5.8, maar kan ervoor zorgen dat een ingelogde gebruiker ongewenste bevoegdheden krijgt. Organisaties wordt dringend geadviseerd de updates zo snel mogelijk te installeren om de beveiliging te waarborgen.
Bron: 1
Er is een ernstige Denial-of-Service (DoS) kwetsbaarheid ontdekt in XStream, een veelgebruikte Java-bibliotheek voor objectserialisatie. Het gaat om de kwetsbaarheid CVE-2024-47072, die van invloed is op alle versies van XStream tot en met 1.4.20 wanneer de BinaryStreamDriver wordt gebruikt. Het probleem ontstaat door onveilige verwerking van string-ID's tijdens de deserialisatie, wat leidt tot een oneindige recursie en uiteindelijk een stack overflow, met als gevolg dat de toepassing crasht en de service wordt onderbroken. De kwetsbaarheid kan worden misbruikt door kwaadwillenden om de werking van de toepassing te verstoren, vooral bij het verwerken van onbetrouwbare invoer.
Het wordt sterk aanbevolen om XStream te upgraden naar versie 1.4.21, waarin de kwetsbaarheid is opgelost. Als tijdelijke oplossing kan foutafhandelingscode worden toegevoegd om de stackoverflow te onderscheppen, maar dit is geen vervanging voor de update.
Bron: 1
Ghostscript, een veelgebruikte software voor het verwerken van PostScript- en PDF-bestanden, heeft een belangrijke update uitgebracht (versie 10.04.0) die zes kritieke kwetsbaarheden verhelpt. Deze zwaktes kunnen leiden tot ernstige beveiligingsrisico's, zoals het uitvoeren van willekeurige code en het uitlekken van gevoelige informatie. De kwetsbaarheden ontstaan door foutieve verwerking van verschillende bestandsformaten en datatypen in Ghostscript. Aanvallers kunnen deze fouten misbruiken door speciaal aangepaste PostScript- of PDF-bestanden te creëren. De meest zorgwekkende kwetsbaarheden zijn onder andere buffer overflow en directory traversal, wat aanvallers toegang kan geven tot vertrouwelijke bestanden. Gebruikers van Ghostscript wordt sterk aangeraden om snel te upgraden naar de nieuwste versie om deze risico's te minimaliseren.
Bron: 1
Dell heeft beveiligingsupdates uitgebracht voor zijn Enterprise SONIC besturingssysteem om meerdere kwetsbaarheden te verhelpen, waaronder kritieke kwetsbaarheden die aanvallers in staat kunnen stellen getroffen systemen over te nemen. De kwetsbaarheden, aangeduid als CVE-2024-45763, CVE-2024-45764 en CVE-2024-45765, zijn aanwezig in de versies 4.1.x en 4.2.x van het SONIC OS. De eerste twee kwetsbaarheden kunnen op afstand worden misbruikt door aanvallers om commando's uit te voeren of beveiligingsmechanismen te omzeilen. De derde kwetsbaarheid maakt het mogelijk om commando's uit te voeren met hoge rechten, zelfs onder een minder bevoorrechte gebruiker. Dell raadt gebruikers aan om snel te upgraden naar de gepatchte versies 4.1.6 of 4.2.2 om de risico's te minimaliseren.
Bron: 1
In het kader van de SAP Security Patch Day van november 2024 heeft SAP acht nieuwe beveiligingsnotities uitgebracht, evenals twee updates voor eerder gepubliceerde notities. Deze updates richten zich op verschillende kwetsbaarheden in producten zoals SAP Web Dispatcher, SAP NetWeaver, en SAP Cash Management. De geïdentificeerde kwetsbaarheden omvatten onder andere cross-site scripting (XSS), ontbrekende autorisatiecontroles en lokale privilege-escalatie. De ernstigste kwetsbaarheid, CVE-2024-47590, heeft betrekking op een XSS-kwetsbaarheid in SAP Web Dispatcher, die kan leiden tot datadiefstal of sessieovername. Ook de kwetsbaarheid CVE-2024-39592, die te maken heeft met ontbrekende autorisatie in SAP PDCE, kan onbevoegde toegang tot gevoelige data mogelijk maken. SAP raadt sterk aan deze patches zo snel mogelijk toe te passen om de beveiliging van systemen te waarborgen en risico’s te verminderen.
Bron: 1
Schneider Electric heeft een waarschuwing uitgebracht voor ernstige kwetsbaarheden in zijn Modicon M340, Momentum en MC80 controllers. Deze controllers, die veel worden gebruikt in industriële omgevingen, kunnen door deze kwetsbaarheden mogelijk worden gecompromitteerd, wat kan leiden tot ongeautoriseerde toegang en verlies van vertrouwelijkheid, integriteit en beschikbaarheid van systemen. Drie belangrijke kwetsbaarheden zijn geïdentificeerd:
CVE-2024-8936: Onjuiste invoervalidatie kan aanvallers toegang verschaffen via een Man-In-The-Middle aanval.
CVE-2024-8937 en CVE-2024-8938: Onjuiste geheugenbeperkingen stellen aanvallers in staat willekeurige code uit te voeren door het manipuleren van authenticatieprocessen of geheugenberekeningen.
Schneider Electric heeft een firmware-update voor de Modicon M340 uitgebracht en raadt gebruikers aan deze te installeren, samen met andere beveiligingsmaatregelen zoals netwerksegmentatie en firewallconfiguraties. Voor de MC80 en Momentum modellen worden nog oplossingen ontwikkeld.
Bron: 1
Er is een ernstige kwetsbaarheid ontdekt in Siemens TeleControl Server Basic V3.1, een software voor het op afstand beheren van industriële installaties. De kwetsbaarheid, aangeduid als CVE-2024-44102, heeft een CVSS-score van 10, de hoogste ernst. Deze fout stelt onbevoegde aanvallers in staat om willekeurige code uit te voeren op getroffen systemen, wat kan leiden tot volledige controle over het systeem. De oorzaak ligt in een onveilige deserialisatie van gebruikersgegevens, waarmee aanvallers schadelijke code kunnen activeren met systeembeheerdersrechten. Dit biedt de mogelijkheid om gevoelige gegevens te stelen, operaties te verstoren of fysieke schade aan te richten.
Siemens heeft een update uitgebracht (V3.1.2.1) om het probleem te verhelpen. Gebruikers worden dringend geadviseerd hun systemen onmiddellijk bij te werken. Daarnaast wordt aangeraden toegang te beperken tot vertrouwde IP-adressen en overbodige functies uit te schakelen om de aanvalsvector te verkleinen.
Bron: 1
Ivanti heeft een ernstige kwetsbaarheid (CVE-2024-50330) in zijn Endpoint Manager-software ontdekt, die het mogelijk maakt voor aanvallers om op afstand code uit te voeren zonder authenticatie. Deze kwetsbaarheid is beoordeeld met een score van 9.8 op een schaal van 10, wat het als kritisch bestempelt. Endpoint Manager wordt gebruikt door organisaties om apparaten zoals laptops, smartphones en servers te beheren via een centrale server. De patchronde van november bracht de oplossing voor deze kwetsbaarheid, naast de correctie van veertien andere SQL Injection- en vier path traversal-kwetsbaarheden. Hoewel de kwetsbaarheid al bekend was, heeft Ivanti geen meldingen van actief misbruik ontvangen. Vorige maand waarschuwde de Amerikaanse overheid voor de gevaren van SQL Injection-aanvallen op Endpoint Manager. Ivanti adviseert klanten om snel de nieuwste beveiligingsupdates te installeren om risico’s te minimaliseren.
Bron: 1
D-Link heeft aangekondigd geen oplossing te bieden voor een ernstige kwetsbaarheid in duizenden verouderde modems, waaronder de D-Link DSL6740C. Deze modems, die hun einde-van-levensduur (EoL) hebben bereikt, zijn vatbaar voor een beveiligingsprobleem waardoor aanvallers op afstand het wachtwoord van gebruikers kunnen wijzigen en volledige controle over het apparaat kunnen overnemen. De kwetsbaarheid werd ontdekt door beveiligingsonderzoeker Chaio-Lin Yu en heeft een ernstige impact, aangezien het mogelijk maakt om via een onbeveiligde API toegang te krijgen tot het modem. D-Link adviseert gebruikers om verouderde apparaten te vervangen, aangezien er geen updates of beveiligingspatches meer worden uitgebracht voor EoL-apparaten. Bijna 60.000 van deze modems zijn nog steeds openbaar toegankelijk via internet, vooral in Taiwan. Gebruikers wordt geadviseerd om remote toegang te beperken en veilige wachtwoorden in te stellen, indien vervanging niet mogelijk is.
Bron: 1
Onderzoekers hebben twee kritieke kwetsbaarheden ontdekt in Citrix Session Recording Manager, die aanvallers in staat stellen om ongeauthenticeerd code uit te voeren op Citrix Virtual Apps en Desktops. De kwetsbaarheden, aangeduid als CVE-2024-8068 en CVE-2024-8069, ontstaan door een verkeerd geconfigureerde Microsoft Message Queuing (MSMQ)-instantie en het gebruik van de onveilige BinaryFormatter klasse. Dit stelt aanvallers in staat om via HTTP willekeurige code uit te voeren met de rechten van een NetworkService-account.
Citrix heeft gereageerd door klanten te adviseren hun systemen onmiddellijk bij te werken naar de nieuwste beveiligingspatches. Als de kwetsbaarheden worden misbruikt, kunnen aanvallers vertrouwelijke gegevens stelen of zelfs sessie-opnamen manipuleren, wat ernstige privacy- en complianceproblemen veroorzaakt voor organisaties. Gebruikers van Citrix Virtual Apps en Desktops wordt dringend geadviseerd om hun systemen te patchen om risico's te minimaliseren.
Bron: 1
Dell heeft beveiligingsupdates uitgebracht voor zijn SmartFabric OS10-besturingssysteem, waarmee verschillende kwetsbaarheden worden aangepakt. Deze kwetsbaarheden, die invloed hebben op versies 10.5.3.x tot 10.5.6.x, kunnen door kwaadwillende actoren worden misbruikt om bijvoorbeeld code uit te voeren, ongeautoriseerde bestanden te benaderen of zelfs systeemprivileges te escaleren. De meest kritieke kwetsbaarheid, CVE-2024-48837, stelt een aanvaller in staat om willekeurige code uit te voeren met beperkte toegang, wat een hoge dreiging vormt. Andere kwetsbaarheden kunnen leiden tot bestandsinjectie en onbevoegde toegang tot het systeem. Dell heeft patches uitgebracht voor alle getroffen versies van OS10. Gebruikers van dit systeem wordt sterk aangeraden om zo snel mogelijk de nieuwste versies te installeren om de veiligheid te waarborgen en de risico’s te verminderen.
Bron: 1
Er zijn twee ernstige kwetsbaarheden ontdekt in Kanboard, een software voor projectmanagement die de Kanban-methodologie volgt. De zwakheden, geïdentificeerd door Deutsche Telekom Security GmbH, stellen een aanvaller met beheerdersrechten in staat om willekeurige bestanden te lezen, te verwijderen en zelfs schadelijke code uit te voeren op de server. De eerste kwetsbaarheid (CVE-2024-51747) maakt misbruik van onvoldoende bescherming van bestandsnamen, waardoor een aanvaller toegang kan krijgen tot systeembestanden via path traversal technieken. De tweede kwetsbaarheid (CVE-2024-51748) laat een aanvaller toe om kwaadaardige PHP-code uit te voeren door onjuist beheer van taalinstellingen in de applicatie.
Gebruikers van Kanboard wordt dringend aangeraden om te upgraden naar versie 1.2.42, die deze kwetsbaarheden verhelpt door betere validatie van bestands- en taalinstellingen. Bovendien moeten beheerders de toegang tot de server beperken en de logbestanden goed monitoren.
Bron: 1
Zoom heeft een belangrijke beveiligingsupdate uitgebracht om meerdere kwetsbaarheden in zijn Werkplek-apps, SDK's en Rooms Clients te verhelpen. De ernstigste kwetsbaarheid (CVE-2024-45421) betreft een buffer-overflow die aanvallers in staat zou kunnen stellen om verhoogde bevoegdheden te verkrijgen via netwerktoegang. Dit probleem treft Zoom-apps op Windows, macOS, iOS, Android en Linux vóór versie 6.2.0. Een andere ernstige kwetsbaarheid (CVE-2024-45419) heeft betrekking op onjuiste invoervalidatie, waardoor onbevoegde aanvallers gevoelige informatie kunnen uitlekken. Daarnaast zijn er meerdere andere kwetsbaarheden ontdekt, waaronder onvoldoende bronverbruik en symbolische linkproblemen op macOS. Zoom raadt aan om de applicaties onmiddellijk bij te werken naar versie 6.2.0 of hoger om de risico's van mogelijke aanvallen te minimaliseren.
Bron: 1
Apache CloudStack heeft een beveiligingsupdate uitgebracht om een ernstige kwetsbaarheid in KVM-gebaseerde omgevingen aan te pakken. De kwetsbaarheid, aangeduid als CVE-2024-50386, maakt het mogelijk voor aanvallers om malafide sjablonen te registreren en zo toegang te krijgen tot het hostsysteem, wat de integriteit en vertrouwelijkheid van de infrastructuur bedreigt. De kwetsbaarheid is aanwezig in CloudStack-versies van 4.0.0 tot 4.18.2.4 en 4.19.0.0 tot 4.19.1.2. Apache adviseert gebruikers om te upgraden naar de versies 4.18.2.5 of 4.19.1.3 om deze bedreiging te verhelpen. Naast de update wordt aanbevolen om sjablonen grondig te controleren op beveiligingsrisico's. Beheerders kunnen specifieke commando's gebruiken om verdachte sjablonen en mogelijke inbreuken op het bestandssysteem te detecteren. De kwetsbaarheid werd ontdekt door beveiligingsonderzoeker Kiran Chavala, die zijn bevindingen verantwoordelijk bekendmaakte.
Bron: 1
Schneider Electric heeft een ernstige kwetsbaarheid ontdekt in zijn EcoStruxure IT Gateway-platform, dat gebruikt wordt voor het verbinden van IT-infrastructuur met de cloud. De kwetsbaarheid, aangeduid als CVE-2024-10575, kan ongeautoriseerde toegang tot het systeem mogelijk maken, wat leidt tot verlies van gegevensintegriteit en controle over aangesloten apparaten. Met een CVSS-score van 10,0 wordt deze fout als kritisch geclassificeerd. De kwetsbaarheid is aanwezig in versies 1.21.0.6, 1.22.0.3, 1.22.1.5 en 1.23.0.4. Schneider Electric heeft een beveiligingsupdate uitgebracht (versie 1.23.1.10) die de fout verhelpt. Gebruikers worden aangeraden om automatische updates in te schakelen en, indien onmiddellijk updaten niet mogelijk is, het netwerk te isoleren of toegang via een lokale firewall te beperken.
Bron: 1
Ivanti heeft beveiligingsupdates uitgebracht voor zijn producten Connect Secure, Policy Secure en Secure Access Client, die ernstige kwetsbaarheden verhelpen. De meest kritieke zwaktes omvatten remote code execution (RCE) kwetsbaarheden, waarmee aanvallers op afstand kwaadaardige code kunnen uitvoeren of ongeautoriseerde toegang kunnen verkrijgen. Deze kwetsbaarheden kunnen aanzienlijke risico's voor organisaties veroorzaken. Andere kwetsbaarheden kunnen leiden tot denial-of-service (DoS) aanvallen of privilege-escalatie. Ivanti heeft de kwetsbaarheden opgelost in de versies 22.7R2.3 voor Connect Secure, 22.7R1.2 voor Policy Secure en 22.7R4 voor Secure Access Client. Gebruikers van deze producten wordt sterk aangeraden om zo snel mogelijk over te schakelen op de nieuwste versies om beveiligingsrisico's te minimaliseren.
Bron: 1
De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft vijf kwetsbaarheden toegevoegd aan haar catalogus van bekend geëxploiteerde kwetsbaarheden (KEV). Deze kwetsbaarheden betreffen producten van Microsoft, Cisco, Atlassian en Metabase en worden actief misbruikt door aanvallers. De gevaren variëren van NTLM-hashlekken in Microsoft-systemen tot privilege-escalatie in Windows en kritieke zwaktes in de Atlassian Jira en Metabase-software. Aanvallers kunnen deze kwetsbaarheden gebruiken om toegang te krijgen tot gevoelige gegevens, schadelijke scripts uit te voeren of zelfs volledige systeemcontrole te verkrijgen. De CISA heeft een deadline van 3 december 2024 gesteld voor federale agentschappen om deze kwetsbaarheden te verhelpen, wat een waarschuwing is voor alle organisaties om kwetsbaarheidsbeheer serieus te nemen en snel te patchen.
Bron: 1
Google heeft Chrome 131 uitgebracht, een update die meerdere beveiligingslekken oplost, waaronder een ernstige kwetsbaarheid in de Blink-renderengine (CVE-2024-11110). Deze kwetsbaarheid kan door kwaadwillende actoren worden misbruikt om systemen aan te vallen. Naast deze ernstige bug, bevat de update ook patches voor elf andere kwetsbaarheden, variërend van medium tot laag risico. Deze kwetsbaarheden hebben invloed op verschillende componenten van de browser, zoals Autofill, Media, en FileSystem. Het wordt sterk aanbevolen dat gebruikers Chrome 131 onmiddellijk bijwerken om zichzelf te beschermen tegen mogelijke aanvallen. De update is beschikbaar voor Linux, Windows en Mac en wordt in de komende dagen uitgerold. Gebruikers kunnen de update eenvoudig installeren door naar "Help" > "Over Google Chrome" te gaan en de browser automatisch te laten updaten.
Bron: 1
Onderzoek naar de OvrC cloudplatform heeft 10 ernstige kwetsbaarheden aan het licht gebracht die cybercriminelen kunnen gebruiken om op afstand controle te krijgen over IoT-apparaten. Deze beveiligingslekken kunnen worden benut om apparaten zoals slimme stopcontacten, camera’s en routers over te nemen, of zelfs om willekeurige code uit te voeren. OvrC wordt veel gebruikt voor het beheren en configureren van IoT-apparaten, met toepassingen bij zowel bedrijven als consumenten. De meeste kwetsbaarheden hebben te maken met zwakke toegangscodes, mislukte validatie van invoer en hardcoded inloggegevens. Wanneer een aanvaller toegang krijgt tot de cloudinterface, kan hij apparaten overnemen, beheerdersrechten verkrijgen en zelfs firmware-updates uploaden die leiden tot schadelijke code-uitvoering. De ontdekking van deze kwetsbaarheden benadrukt de noodzaak voor strengere beveiliging van cloudgebaseerde beheersystemen voor IoT-apparaten. OvrC heeft inmiddels fixes uitgebracht voor de meeste problemen.
Bron: 1
Er is een ernstig beveiligingslek (CVE-2024-50986) gevonden in versie 1.3.1 van de muziekspeler Clementine. Het lek maakt het mogelijk voor aanvallers om kwaadaardige code uit te voeren via een gemanipuleerd DLL-bestand. De kwetsbaarheid wordt veroorzaakt door een onveilig zoekpad bij het laden van het QUSEREX.DLL bestand.
Een aanvaller kan misbruik maken van dit lek door een kwaadaardig QUSEREX.DLL bestand te plaatsen in de map C:\Users$$gebruikersnaam]\AppData\Local\Microsoft\WindowsApps. Wanneer Clementine vervolgens wordt opgestart, laadt het programma automatisch dit malafide bestand waardoor de code van de aanvaller wordt uitgevoerd.
Het lek werd ontdekt door beveiligingsonderzoeker Utkarsh (r1971d3). Met behulp van tools als Process Monitor kon worden aangetoond hoe Clementine zoekt naar DLL bestanden op verschillende locaties in het systeem. Via een proof-of-concept exploit werd gedemonstreerd hoe een aanvaller toegang kan krijgen tot het getroffen systeem.
Bron: 1
Onderzoekers van Palo Alto Networks hebben twee ernstige kwetsbaarheden ontdekt in Google Vertex AI, het platform voor kunstmatige intelligentie van Google. Deze kwetsbaarheden, bekend als ModeLeak, stellen aanvallers in staat om privileges te escaleren en machine learning-modellen te exfiltreren, wat ernstige risico’s met zich meebrengt voor gevoelige gegevens.
De eerste kwetsbaarheid maakt het mogelijk om toegang te krijgen tot data buiten de toegestane grenzen door misbruik van aangepaste opdrachten binnen Vertex AI. Dit biedt aanvallers de mogelijkheid om gegevens te lezen en exporteren die normaal alleen met hogere autorisatie toegankelijk zouden zijn. De tweede kwetsbaarheid betreft het uploaden van vervuilde modellen naar publieke repositories. Wanneer deze modellen eenmaal in gebruik zijn, kunnen ze gevoelige informatie uit andere modellen in het systeem extraheren.
Google heeft inmiddels patches uitgerold om deze kwetsbaarheden te verhelpen, maar organisaties worden aangeraden om strikte toegangscontrole en nauwkeurige monitoring toe te passen.
Bron: 1
GitLab heeft een belangrijke beveiligingsupdate uitgebracht om een ernstige kwetsbaarheid in Kubernetes-clusters te verhelpen. De kwetsbaarheid, aangeduid als CVE-2024-9693, maakt het mogelijk voor onbevoegden om toegang te krijgen tot de Kubernetes-agent binnen een cluster bij specifieke configuraties. Dit wordt als een hoog-risico probleem beschouwd (CVSS-score 8.5). Naast deze kritieke kwetsbaarheid werden er vijf andere beveiligingsproblemen opgelost, waaronder een kwetsbaarheid in de OAuth-deviceflow, een DoS-aanval, en meerdere XSS- en HTML-injectieproblemen. GitLab roept alle gebruikers op om snel over te stappen naar de nieuwste versies (17.5.2, 17.4.4, 17.3.7) van hun Community en Enterprise Editions. Het is van essentieel belang om deze updates te installeren om de veiligheid van systemen te waarborgen.
Bron: 1
Het National Institute of Standards and Technology (NIST) heeft aangekondigd dat het meer tijd nodig heeft om de achterstand in het verwerken van kwetsbaarheden in zijn National Vulnerability Database (NVD) weg te werken. Deze database bevat cruciale informatie over beveiligingslekken in software en hardware, welke wereldwijd wordt gebruikt voor cybersecuritydoeleinden. Door een aanzienlijke toename van het aantal geregistreerde kwetsbaarheden, heeft het NIST moeite om alle CVE-gegevens (Common Vulnerabilities and Exposures) snel te verwerken. Hoewel de meest kritieke kwetsbaarheden inmiddels zijn geanalyseerd, blijft er nog een aanzienlijke hoeveelheid informatie onbehandeld. De vertraging wordt deels veroorzaakt door het feit dat de gegevens die van externe partners worden ontvangen, in een formaat zijn dat niet efficiënt te verwerken is. Het NIST werkt aan verbeteringen van zijn systemen om deze achterstand op te lossen, maar er is nog geen nieuwe schatting voor de voltooiing van dit proces.
Bron: 1
Er is een beveiligingskwetsbaarheid ontdekt in de e-mailclient Thunderbird, die de inhoud van OpenPGP-versleutelde berichten kan lekken via remote content. Deze kwetsbaarheid, aangeduid als CVE-2024-11159, kan gebruikers blootstellen aan risico’s bij het openen van versleutelde berichten die externe inhoud bevatten, zoals afbeeldingen of scripts. De impact van de bug wordt als "hoog" ingeschat, en het probleem lijkt sterk op een soortgelijk lek uit 2018. Mozilla heeft inmiddels een update uitgebracht (Thunderbird 128.4.3) die het probleem verhelpt. Gebruikers wordt geadviseerd om deze update zo snel mogelijk te installeren om verdere beveiligingsrisico's te voorkomen.
Bron: 1
Een ernstige kwetsbaarheid in de populaire Chartify plugin voor WordPress, die wereldwijd meer dan 2.000 actieve installaties heeft, wordt momenteel actief uitgebuit door cybercriminelen. De kwetsbaarheid (CVE-2024-10571) maakt het mogelijk voor aanvallers om ongeauthentificeerde lokale bestanden in te voegen, wat hen in staat stelt om kwaadaardige PHP-code uit te voeren op getroffen websites. Dit probleem, dat aanwezig is in alle versies tot en met 2.9.5, komt voort uit een onjuiste verwerking van het ‘source’-parameter in de plugin. De exploitatie van deze kwetsbaarheid kan leiden tot het omzeilen van toegangsbeperkingen, het verkrijgen van gevoelige gegevens of het uitvoeren van schadelijke code. Beheerders van websites die Chartify gebruiken, worden dringend aangespoord om snel te updaten naar versie 2.9.6 of hoger om zichzelf te beschermen tegen deze dreiging.
Bron: 1
WordPress.org heeft een geforceerde update uitgerold voor de beveiligingsplug-in Really Simple Security, nadat er een kritieke kwetsbaarheid (CVE-2024-10924) was ontdekt. Deze kwetsbaarheid stelt aanvallers in staat om via tweefactorauthenticatie (2FA) op afstand toegang te krijgen tot websites, inclusief beheerdersaccounts. De kwetsbaarheid is aanwezig in de versies 9.0.0 tot en met 9.1.1.1 en de update naar versie 9.1.2 is nu verplicht voor elke website die de getroffen versie gebruikt. Deze geforceerde update wordt uitgevoerd, zelfs als automatische updates zijn uitgeschakeld. Met meer dan vier miljoen gebruikers vereist Really Simple Security, voorheen bekend als Really Simple SSL, hogere veiligheidsnormen, zoals inlogbescherming en TLS-certificaten. Deze beslissing van WordPress benadrukt de noodzaak om gebruikers te beschermen tegen potentiële aanvallen.
Bron: 1
Onderzoeker Marco Figueroa ontdekte dat de ChatGPT-sandbox, de geïsoleerde werkomgeving van OpenAI, gebruikers in staat stelt om aanzienlijke toegang te krijgen tot interne systemen. Door specifieke commando's uit te voeren, zoals het ophalen van bestandslijsten of het uploaden en uitvoeren van Python-scripts, kon hij de sandbox verkennen. Hoewel de sandbox afgeschermd is van gevoelige gegevens zoals systeemconfiguraties en root-bestanden, bleek het mogelijk om de zogenaamde "playbook" van ChatGPT te downloaden. Deze playbook bevat cruciale informatie over hoe het model reageert op input en kan mogelijk helpen bij het omzeilen van veiligheidsmaatregelen. Figueroa meldde vijf kwetsbaarheden aan OpenAI, maar het bedrijf leek weinig interesse te tonen in verdere restricties. Hoewel deze toegang geen directe bedreiging voor de veiligheid vormt, zou het potentieel gevaarlijk kunnen zijn voor modellen die vertrouwelijke gegevens bevatten.
Bron: 1
Microsoft heeft de uitrol van een beveiligingsupdate voor Exchange Server stopgezet vanwege technische problemen bij klanten. De update was bedoeld om een kwetsbaarheid (CVE-2024-49040) te verhelpen die aanvallers in staat stelt spoofingaanvallen uit te voeren. Dit lek ontstaat door een fout in de implementatie van de 'P2 FROM header verificatie', wat leidt tot verkeerde weergave van vervalste afzenders in e-mailclients zoals Outlook. Hoewel de update een waarschuwing zou tonen bij mogelijke misbruik van de kwetsbaarheid, veroorzaakt deze ook problemen, met name voor klanten met specifieke transport- of DLP-regels. Na de installatie van de update werkten deze regels niet goed meer, wat leidde tot verstoring van de e-mailaflevering. Microsoft adviseert klanten die deze problemen ervaren de update tijdelijk te verwijderen totdat er een nieuwe versie beschikbaar komt.
Bron: 1
Het Life2000 Ventilation System van Baxter, een draagbaar beademingsapparaat, vertoont ernstige beveiligingslekken die het mogelijk maken voor aanvallers om het apparaat te saboteren. Deze kwetsbaarheden, waaronder het gebruik van harde wachtwoorden, onvoldoende logging en het ontbreken van bescherming tegen brute force-aanvallen, kunnen ervoor zorgen dat het apparaat niet goed functioneert zonder dat het wordt opgemerkt. Dit is gevaarlijk voor patiënten die het apparaat gebruiken, bijvoorbeeld bij COPD of herstel van een longtransplantatie. De kwetsbaarheden variëren in ernst, met enkele van de lekken een maximale impactscore van 10. Baxter heeft nog geen updates om deze problemen te verhelpen, maar zal in het tweede kwartaal van 2025 met meer informatie komen. In de tussentijd adviseert het bedrijf gebruikers om het apparaat niet onbeheerd op openbare of onbeveiligde locaties achter te laten.
Bron: 1
Een ernstige beveiligingskwetsbaarheid, CVE-2024-52301, is ontdekt in het Laravel-framework, dat veel wordt gebruikt voor webapplicaties. Deze kwetsbaarheid kan aanvallers in staat stellen om toegang te krijgen tot toepassingen, gegevens te manipuleren en zelfs privileges te verhogen. Het probleem ligt in de onjuiste invoercontrole, specifiek in de verwerking van PHP's register_argc_argv-instelling, die wordt gebruikt voor commandoregelargumenten. Wanneer deze instelling is ingeschakeld, kunnen aanvallers via gemanipuleerde URL's de omgevingsvariabelen in Laravel wijzigen, wat kan leiden tot ongeautoriseerde toegang of code-injectie. De kwetsbaarheid treft verschillende versies van Laravel (van 6.20.45 tot 11.31.0), en Laravel heeft inmiddels patches uitgebracht voor de getroffen versies. Het wordt sterk aangeraden om direct naar de gepatchte versies te upgraden om deze risico's te mitigeren.
Bron: 1
Synology heeft snel beveiligingsupdates uitgebracht voor ernstige kwetsbaarheden in zijn camera’s, ontdekt tijdens de Pwn2Own hackwedstrijd. De kwetsbaarheden, die de modellen BC500, CC400W en TC500 betroffen, konden door aanvallers worden misbruikt om willekeurige code op de apparaten uit te voeren. Dit zou hen in staat stellen volledige controle over de camera’s te krijgen, wat kan leiden tot diefstal van gegevens of zelfs verdere aanvallen. De kwetsbaarheden werden ontdekt door onderzoekers van Viettel Cyber Security en Zien. Synology heeft de getroffen firmwareversies van de camera’s geüpdatet naar versie 1.2.0-0525 en raadt gebruikers dringend aan deze bij te werken om zich tegen mogelijke aanvallen te beschermen. Deze patches werden snel uitgebracht, binnen de gebruikelijke 90-dagenperiode die bedrijven na de ontdekking van kwetsbaarheden in de Pwn2Own-wedstrijd wordt gegeven.
Bron: 1
Er is een ernstige kwetsbaarheid ontdekt in verouderde GeoVision apparaten, gemarkeerd als CVE-2024-11120, die al actief wordt misbruikt. Deze kwetsbaarheid, die een CVSS-score van 9,8 heeft, stelt aanvallers in staat om op afstand willekeurige systeemcommando’s uit te voeren zonder enige authenticatie. De kwetsbaarheid is het gevolg van een OS Command Injection-fout in verschillende oude (EOL) GeoVision-modellen, waaronder de GV-VS12 en GV-DSP_LPR_V3. Omdat deze apparaten niet meer worden ondersteund, zullen er geen patches beschikbaar komen om het probleem op te lossen.
TWCERT/CC waarschuwt gebruikers dat deze kwetsbaarheid al is geëxploiteerd door cybercriminelen, die onder andere een botnet hebben ingezet. Organisaties die deze apparaten gebruiken, wordt geadviseerd om ze onmiddellijk van het netwerk te verwijderen en te vervangen om verdere schade te voorkomen.
Bron: 1
Onderzoekers hebben een ernstige beveiligingsfout ontdekt in het PostgreSQL-databasesysteem, die kwaadwillenden in staat stelt om omgevingsvariabelen te manipuleren. Deze kwetsbaarheid, aangeduid als CVE-2024-10979, heeft een CVSS-score van 8.8 en kan leiden tot onterecht code-executie of het uitlekken van gevoelige informatie. Het probleem doet zich voor wanneer een databasegebruiker, zonder speciale rechten, omgevingsvariabelen zoals de "PATH"-variabele kan aanpassen. Dit kan leiden tot het uitvoeren van kwaadaardige code, zelfs als de aanvaller geen toegang heeft tot het besturingssysteem van de server. PostgreSQL heeft deze kwetsbaarheid inmiddels gepatcht in de versies 17.1, 16.5, 15.9 en oudere versies. Gebruikers wordt aangeraden om hun systemen snel bij te werken en specifieke uitbreidingen te beperken om verdere risico's te vermijden.
Bron: 1
Er is een ernstige kwetsbaarheid ontdekt in Icinga 2, een veelgebruikte open-source monitoringtool. Deze kwetsbaarheid (CVE-2024-49369) maakt het mogelijk om de TLS-certificaatvalidatie te omzeilen, waardoor aanvallers zich kunnen voordoen als legitieme clusterknooppunten of API-gebruikers. Dit kan leiden tot het uitvoeren van kwaadaardige opdrachten en het manipuleren van configuraties, wat de veiligheid van het hele netwerk in gevaar brengt. De kwetsbaarheid is aanwezig in alle versies van Icinga 2 vanaf 2.4.0 en heeft een hoge CVSS-score van 9.8, wat wijst op de ernst van het probleem.
Icinga heeft snel updates uitgebracht voor meerdere versies van de software om deze kwetsbaarheid te verhelpen. Gebruikers wordt dringend aangeraden om hun systemen onmiddellijk bij te werken. Als tijdelijke maatregel kunnen firewalls helpen de toegang tot de API te beperken.
Bron: 1
Cyberbeveiligingsbedrijf Volexity heeft een zero-day kwetsbaarheid ontdekt in de Windows VPN-client van Fortinet, FortiClient, die wordt misbruikt door de BrazenBamboo APT-groep. Deze kwetsbaarheid stelt aanvallers in staat om VPN-inloggegevens, zoals gebruikersnamen en wachtwoorden, uit het geheugen van het proces te extraheren via de DEEPDATA-malware. Deze malware maakt gebruik van een FortiClient-plugin die de gegevens direct uit het geheugen van de VPN-processen haalt. Volexity identificeerde de zwakte in juli 2024, maar Fortinet heeft de kwetsbaarheid nog niet verholpen. BrazenBamboo, een groep die wordt gelinkt aan de Chinese overheid, gebruikt deze methode al langere tijd voor spionage. DEEPDATA is een geavanceerd framework voor gegevensdiefstal dat verder gaat dan het stelen van VPN-gegevens, door ook browsergegevens, audio-opnames en gegevens van berichtenapps zoals WeChat en Telegram te verzamelen. Deze aanval benadrukt de risico's van onbeveiligde veelgebruikte bedrijfssoftware.
Bron: 1
Een beveiligingsfout in de populaire workflowmanagementtool Apache Airflow (CVE-2024-45784) kan gevoelige configuratiegegevens in logbestanden blootstellen, wat de veiligheid van systemen in gevaar brengt. Deze kwetsbaarheid, die voorkomt in alle versies van Airflow vóór 2.10.3, zorgt ervoor dat gevoelige informatie zoals API-sleutels en database-inloggegevens onbedoeld worden opgeslagen in de logbestanden van taken. Indien onbevoegden toegang krijgen tot deze logbestanden, kunnen zij vertrouwelijke gegevens misbruiken, wat kan leiden tot datalekken, systeemcompromittaties en laterale bewegingen binnen netwerken.
Het Apache Airflow-team heeft de kwetsbaarheid opgelost in versie 2.10.3. Gebruikers wordt dringend aangeraden om direct over te schakelen naar deze versie of een latere versie en de logbestanden te controleren op mogelijk blootgestelde gegevens. Het is tevens belangrijk om alle gevonden gevoelige informatie te vernieuwen ter voorkoming van misbruik.
Bron: 1
Een ernstige kwetsbaarheid in de WP Time Capsule plugin voor WordPress, bekend als CVE-2024-8856, heeft meer dan 20.000 websites blootgesteld aan potentiële overnames. De fout, ontdekt door beveiligingsonderzoeker Rein Daelman, maakt het voor aanvallers mogelijk om onbeveiligde bestanden naar de servers van websites te uploaden. Dit kan leiden tot het injecteren van malware of zelfs volledige controle over de website. De kwetsbaarheid wordt veroorzaakt door een gebrek aan bestandstypevalidatie en het ontbreken van preventie tegen directe bestandsaccess. De ernst van de kwetsbaarheid is hoog, met een CVSS-score van 9,8. Het is essentieel dat gebruikers van WP Time Capsule hun plugin bijwerken naar versie 1.22.22 om de beveiliging te herstellen. Om websites te beschermen, wordt aanbevolen om regelmatig updates uit te voeren, sterke wachtwoorden te gebruiken en tweefactorauthenticatie in te schakelen.
Bron: 1
De Apache Software Foundation heeft een belangrijke beveiligingsupdate uitgebracht voor Apache Traffic Server, waarin drie ernstige kwetsbaarheden zijn verholpen. Deze kwetsbaarheden, die de versies 9.0.0 tot 9.2.5 en 10.0.0 tot 10.0.1 beïnvloeden, variëren van cache poisoning tot privilege-escalatie. De eerste kwetsbaarheid (CVE-2024-38479) maakt het mogelijk om de cache key plugin te manipuleren, wat kan leiden tot het injecteren van kwaadaardige inhoud in de servercache en het omleiden van gebruikers naar phishingwebsites. De tweede kwetsbaarheid (CVE-2024-50305) kan een denial-of-service (DoS) aanval veroorzaken door een speciaal geformatteerd 'Host' veld. De derde kwetsbaarheid (CVE-2024-50306) betreft privilege-escalatie tijdens het opstarten van de server, wat aanvallers mogelijk controle over de server kan geven. Gebruikers wordt dringend aangeraden om naar de nieuwste versies 9.2.6 of 10.0.2 te upgraden.
Bron: 1
TIBCO, een leverancier van integratie- en beheersoftware voor bedrijven, heeft twee ernstige beveiligingslekken in zijn Operational Intelligence Hawk platform bekendgemaakt. Deze kwetsbaarheden, aangeduid als CVE-2024-10217 en CVE-2024-10218, hebben een hoge ernst, met een CVSSv4 score van 9.2. De eerste kwetsbaarheid betreft Stored Cross-Site Scripting (XSS), waarmee aanvallers schadelijke scripts kunnen injecteren om toegang te krijgen tot gevoelige informatie. De tweede kwetsbaarheid betreft Stored XML External Entity (XEE), die aanvallers in staat stelt om vertrouwelijke bestanden op de hostmachine te lezen. Deze kwetsbaarheden beïnvloeden verschillende versies van TIBCO Hawk, en TIBCO heeft inmiddels updates uitgebracht om ze te verhelpen. Gebruikers van versies 6.2.0 tot 6.2.4 moeten upgraden naar 6.2.5 of hoger, terwijl gebruikers van versie 6.3.0 naar 6.3.1 moeten upgraden.
PostgreSQL heeft een belangrijke beveiligingsupdate uitgebracht voor alle ondersteunde versies van het open-source databasesysteem, waaronder versies 17.1, 16.5, 15.9, 14.14, 13.17 en 12.21. De update verhelpt vier kwetsbaarheden, waarvan de ernstigste (CVE-2024-10979) het mogelijk maakt voor aanvallers om willekeurige code uit te voeren op de PostgreSQL-server door misbruik te maken van de PL/Perl-programmeertaal. Andere kwetsbaarheden omvatten risico’s bij het omzeilen van rijenbeveiligingsbeleid (CVE-2024-10976) en bij het misbruiken van de libpq clientbibliotheek voor man-in-the-middle aanvallen (CVE-2024-10977). Ook is er een probleem met onjuiste toegangsrechten bij het gebruik van bepaalde commando’s (CVE-2024-10978). Gebruikers wordt aangeraden de update onmiddellijk toe te passen om de veiligheid van hun systemen te waarborgen. Bovendien is versie 12 van PostgreSQL nu end-of-life en wordt gebruikers geadviseerd over te stappen naar een ondersteunde versie.
Bron: 1
Sonatype heeft twee ernstige beveiligingskwetsbaarheden ontdekt in Nexus Repository Manager 2.x, een veelgebruikte tool voor het opslaan en distribueren van software-artikelen. De eerste kwetsbaarheid (CVE-2024-5082) betreft Remote Code Execution (RCE), waarmee aanvallers kwaadaardige code kunnen uitvoeren door een besmette maven-artifact te downloaden. De tweede kwetsbaarheid (CVE-2024-5083) is een Stored Cross-Site Scripting (XSS) probleem, waarbij aanvallers scripts kunnen injecteren in artefacten, die uitgevoerd worden wanneer een beheerder deze bekijkt. Sonatype raadt gebruikers aan om snel te upgraden naar versie 2.15.2 of Nexus Repository 3 te migreren voor langdurige beveiliging. Gebruikers die niet meteen kunnen upgraden, worden aangemoedigd tijdelijke mitigaties zoals aangepaste WAF-regels of reverse proxies in te zetten.
Onderzoekers hebben een ernstige kwetsbaarheid ontdekt in Fortinet’s FortiManager en FortiAnalyzer, aangeduid als CVE-2024-47575. Deze flaw stelt aanvallers in staat om zonder authenticatie op afstand willekeurige code uit te voeren door een mislukte authenticatiemechanisme in het FGFM-protocol te misbruiken. Met een CVSS-score van 9,8 is het een ernstige bedreiging voor de veiligheid van netwerken. Het probleem wordt actief geëxploiteerd, met aanvallen die al sinds juni 2024 plaatsvinden, waarbij gevoelige gegevens zoals IP-adressen, wachtwoorden en apparaatconfiguraties uit de FortiManager-apparaten worden gestolen.
De kwetsbaarheid heeft invloed op verschillende versies van FortiManager en FortiAnalyzer, en heeft wereldwijd al tientallen apparaten getroffen. Onderzoekers hebben een proof-of-concept (PoC) exploit openbaar gemaakt, wat de urgentie vergroot om kwetsbare systemen onmiddellijk te beveiligen. Fortinet heeft tijdelijke oplossingen en updates beschikbaar gesteld voor getroffen versies. Organisaties worden aangespoord snel maatregelen te nemen om hun apparaten te beschermen.
Bron: 1
Citrix heeft gewaarschuwd voor twee ernstige kwetsbaarheden in hun Virtual Apps en Desktops-oplossing, aangeduid als CVE-2024-8068 en CVE-2024-8069. Deze kwetsbaarheden worden actief misbruikt door cybercriminelen en kunnen leiden tot de uitvoering van willekeurige code op getroffen systemen. De kwetsbaarheden ontstaan door een verkeerd geconfigureerde Microsoft Message Queuing (MSMQ) service, gecombineerd met het gebruik van de onveilige BinaryFormatter in de Citrix-software. Aanvallers kunnen hierdoor op afstand toegang krijgen tot systemen en controle verkrijgen over virtuele bureaubladen.
Daarnaast is de Citrix Session Recording Manager kwetsbaar voor een deserialisatie-aanval, die als extra aanvalsvector kan dienen. Citrix heeft patches beschikbaar gesteld en roept gebruikers op deze onmiddellijk toe te passen om verdere schade te voorkomen. De kwetsbaarheden werden voor het eerst geëxploiteerd op 13 november 2024.
Bron: 1
Palo Alto Networks heeft twee kwetsbaarheden in zijn PAN-OS, het besturingssysteem voor hun firewalls, opgelost. De kwetsbaarheden (CVE-2024-9474 en CVE-2024-0012) werden actief misbruikt door aanvallers om toegang te krijgen tot de managementinterface van de firewalls. De eerste kwetsbaarheid, CVE-2024-0012, stelde aanvallers in staat om zonder authenticatie adminrechten te verkrijgen, waardoor ze volledige controle kregen over de firewall. De tweede kwetsbaarheid, CVE-2024-9474, maakte het mogelijk om na toegang de beheerdersrechten te verhogen en roottoegang te verkrijgen. Palo Alto Networks waarschuwde eerder voor deze kwetsbaarheden en heeft inmiddels updates uitgebracht om de problemen te verhelpen. Organisaties worden aangespoord om de updates met de hoogste prioriteit te installeren om hun systemen te beschermen.
Broadcom waarschuwt dat twee kwetsbaarheden in VMware vCenter Server momenteel worden misbruikt, waaronder een kritieke Remote Code Execution (RCE) fout (CVE-2024-38812). Deze kwetsbaarheid is veroorzaakt door een heap overflow in het DCE/RPC protocol van vCenter. Daarnaast is er een privilege-escalatie fout (CVE-2024-38813) die aanvallers in staat stelt om verhoogde rechten te verkrijgen op getroffen systemen. Beide kwetsbaarheden werden gerapporteerd door TZL security onderzoekers tijdens een hackingwedstrijd in China.
Broadcom heeft in september beveiligingsupdates uitgebracht, maar gaf later aan dat de oorspronkelijke patch het probleem niet volledig verholpen had. Het wordt sterk aangeraden dat beheerders de meest recente patches toepassen om misbruik te voorkomen. Er zijn geen workarounds beschikbaar voor deze kwetsbaarheden. Daarnaast heeft Broadcom een aanvullend advies uitgebracht voor de implementatie van updates en mogelijke problemen bij systemen die al geüpdatet zijn.
Bron: 1
Oracle heeft buiten de reguliere patchcyclus een noodupdate uitgebracht voor een kwetsbaarheid in Agile Product Lifecycle Management (PLM). Deze kwetsbaarheid, bekend als CVE-2024-21287, wordt momenteel actief misbruikt door aanvallers. Het betreft een beveiligingslek waarmee ongeauthenticeerde aanvallers vertrouwelijke informatie kunnen stelen, zonder dat ze een gebruikersnaam of wachtwoord nodig hebben. Agile PLM wordt gebruikt door bedrijven voor het beheer van de levenscyclus van producten, van ontwerp tot lancering. De update is dringend, aangezien het lek al voor de uitrol van de patch werd geëxploiteerd. Oracle heeft de ernst van de kwetsbaarheid beoordeeld met een score van 7,5 op een schaal van 10. Het bedrijf roept alle gebruikers op om de update zo snel mogelijk te installeren om verdere schade te voorkomen.
Bron: 1
Er is een ernstige kwetsbaarheid ontdekt in Apache Kafka, een veelgebruikte open-source event streaming platform, aangeduid als CVE-2024-31141. Deze kwetsbaarheid kan aanvallers toegang geven tot gevoelige informatie, zoals bestanden en omgevingsvariabelen, door misbruik te maken van de manier waarop Kafka omgaat met configuratiegegevens. Het probleem ontstaat doordat Apache Kafka Clients configuraties accepteert van niet-vertrouwde bronnen via zogenaamde ConfigProvider-plugins, die onder andere toegang kunnen krijgen tot bestandssystemen en omgevingsinstellingen. Dit risico is bijzonder zorgwekkend in omgevingen zoals SaaS-toepassingen, waar aanvallers via een API mogelijk kunnen escaleren naar systeemtoegang. Gebruikers wordt geadviseerd om Kafka-clients bij te werken naar versie 3.8.0 of hoger en bepaalde systeeminstellingen aan te passen om het risico te beperken.
Bron: 1
Apache Tomcat heeft recent drie kwetsbaarheden bekendgemaakt die de beveiliging van webapplicaties in gevaar kunnen brengen. De eerste kwetsbaarheid (CVE-2024-52316) betreft een mogelijk omzeilen van de authenticatie, waarbij gebruikers zich mogelijk kunnen aanmelden zonder correct te worden geverifieerd. De tweede kwetsbaarheid (CVE-2024-52317) ontstaat door een fout in de verwerking van HTTP/2-verzoeken, waardoor gevoelige gegevens tussen gebruikers kunnen lekken. De derde kwetsbaarheid (CVE-2024-52318) betreft een Cross-Site Scripting (XSS)-fout, die aanvallers in staat zou stellen kwaadaardige scripts in webpagina’s te injecteren, wat kan leiden tot gegevensdiefstal of sessieovername. Gelukkig heeft Apache Tomcat inmiddels updates uitgebracht om deze problemen te verhelpen. Het wordt sterk aanbevolen om naar de nieuwste versies van Apache Tomcat te upgraden om deze kwetsbaarheden te verhelpen.
Er is een kritieke kwetsbaarheid (CVE-2024-51092) ontdekt in het populaire netwerkbewakingssysteem LibreNMS, dat versies tot 24.9.1 betreft. Deze kwetsbaarheid maakt het mogelijk voor een geauthenticeerde aanvaller om willekeurige besturingssysteembesturingen uit te voeren, wat kan leiden tot volledige overname van de server. De kwetsbaarheid ontstaat door een combinatie van ontwerpflaws, zoals onveilige invoerverwerking en het manipuleren van configuratie-instellingen via de webportal. Dit kan de aanvaller in staat stellen om shell-opdrachten uit te voeren en schadelijke bestanden te creëren. De LibreNMS-ontwikkelaars hebben de kwetsbaarheid verholpen in versie 24.10.0. Het is belangrijk dat gebruikers hun systeem snel updaten om misbruik te voorkomen.
Een ernstige beveiligingskwetsbaarheid (CVE-2024-52308) is ontdekt in de GitHub Command Line Interface (CLI), die mogelijk kan leiden tot remote code execution (RCE) op de systemen van gebruikers. Het probleem ligt in de manier waarop de GitHub CLI Secure Shell (SSH) gegevens verwerkt bij interactie met GitHub Codespaces, een cloud-gebaseerde ontwikkelomgeving. Wanneer een gebruiker verbinding maakt met een kwaadaardige Codespace, kan de SSH-server de verbindingsgegevens manipuleren om willekeurige commando's uit te voeren op de machine van de gebruiker. Dit kan leiden tot systeemcompromittatie en gegevensdiefstal. GitHub heeft snel gereageerd door een update (versie 2.62.0) uit te brengen, die gebruikers direct moeten installeren om zich te beschermen tegen dit lek. Het wordt ook aanbevolen om voorzichtig te zijn bij het gebruiken van aangepaste devcontainer-images.
Michael Zhmaylo, een beveiligingsonderzoeker, heeft een uitgebreide collectie samengesteld van openbaar disclosed exploits voor Local Privilege Escalation (LPE) kwetsbaarheden in Windows-besturingssystemen. Deze verzameling, beschikbaar op Github, bevat exploits die betrekking hebben op kwetsbaarheden die zijn ontdekt in 2023 en 2024. Het doel van de collectie is om beveiligingsonderzoekers, penetratietesters en systeembeheerders te helpen bij het identificeren en mitigeren van privilege escalation-aanvallen. De collectie is georganiseerd op basis van CVE-identifiers en biedt gedetailleerde informatie over de kwetsbaarheden, inclusief exploitcode en mogelijke mitigatiestrategieën. LPE-kwetsbaarheden vormen een aanzienlijke bedreiging omdat ze aanvallers in staat stellen om verhoogde rechten te verkrijgen op een gecompromitteerd systeem, wat kan leiden tot systeemovername en datalekken. Deze bron helpt bij het verbeteren van de Windows-beveiliging door het inzichtelijk maken van veelvoorkomende aanvalstechnieken.
Bron: 1
Een nieuwe kwetsbaarheid, geregistreerd als CVE-2024-52940, is ontdekt in AnyDesk, een populaire remote desktop software. Het lek betreft de functie "Allow Direct Connections", die het mogelijk maakt om het publieke IP-adres van een doelwit te achterhalen via het AnyDesk ID, zonder dat de doelcomputer geconfigureerd hoeft te worden. Als beide systemen zich binnen hetzelfde netwerk bevinden, kan ook het privé-IP-adres van het doelwit worden blootgesteld. Het probleem ontstaat wanneer de verbinding wordt gemaakt via poort 7070 op het systeem van de aanvaller. Deze kwetsbaarheid vormt een significant privacyrisico, vooral wanneer remote toegangstools niet goed beveiligd zijn. Momenteel is er geen oplossing beschikbaar, en AnyDesk heeft nog geen update uitgebracht om het lek te verhelpen. Gebruikers wordt geadviseerd om voorzichtig om te gaan met deze functionaliteit totdat er een patch beschikbaar komt.
Bron: 1
Apple heeft twee ernstige kwetsbaarheden in macOS ontdekt die actief worden misbruikt door kwaadwillenden. Via deze beveiligingslekken kan een aanvaller willekeurige code uitvoeren op een systeem, simpelweg door het bezoeken van een schadelijke website of het laden van geïnfecteerde webinhoud. Gebruikersinteractie is niet nodig om een aanval te starten.
De eerste kwetsbaarheid (CVE-2024-44308) zit in JavaScriptCore, een JavaScript-engine die gebruikt wordt door Safari, Apple Mail en andere apps. Deze maakt het mogelijk kwaadaardige code uit te voeren bij het verwerken van schadelijke webinhoud. De tweede kwetsbaarheid (CVE-2024-44309) bevindt zich in WebKit, de browser-engine van Apple, en maakt cross-site scripting-aanvallen mogelijk, zoals het stelen van cookies.
Apple heeft updates uitgebracht, waaronder macOS Sequoia 15.1.1 en Safari 18.1.1, om de problemen te verhelpen. Het is aan te raden deze updates zo snel mogelijk te installeren om verdere risico’s te voorkomen.
D-Link heeft gebruikers gewaarschuwd voor kritieke kwetsbaarheden in enkele van zijn end-of-life vpn-routers. Door een beveiligingslek, een zogenaamde "stack buffer overflow", kunnen aanvallers op afstand ongeautoriseerde toegang krijgen tot deze apparaten. Het gaat om zes modellen: DSR-150, DSR-150N, DSR-250, DSR-250N, DSR-500N en DSR-1000N. De eerste vier worden sinds mei 2024 niet meer ondersteund, terwijl de laatste twee al sinds 2015 geen updates meer ontvangen.
Om de beveiliging te verbeteren, adviseert D-Link gebruikers deze routers te vervangen door nieuwere modellen. Als extra stimulans biedt het bedrijf een korting van twintig procent op de aanschaf van een ondersteunde router. Gebruikers die de oude apparaten blijven gebruiken, wordt aangeraden sterke en unieke wachtwoorden in te stellen voor de webinterface.
Met deze actie benadrukt D-Link het belang van regelmatige vervanging van verouderde apparatuur om cyberrisico's te minimaliseren.
Bron: 1
Apache Software Foundation heeft urgente beveiligingsupdates uitgebracht om twee ernstige kwetsbaarheden in Apache OFBiz te verhelpen. Deze kwetsbaarheden, CVE-2024-47208 en CVE-2024-48962, maken systemen vatbaar voor remote code execution en brengen gevoelige bedrijfsgegevens in gevaar.
CVE-2024-47208 laat aanvallers via malafide URL's Groovy-expressies injecteren, wat kan leiden tot volledige controle over het systeem. Deze kwetsbaarheid combineert Server-Side Request Forgery (SSRF) en code-injectie. CVE-2024-48962 stelt aanvallers in staat om SameSite-beperkingen te omzeilen, een cruciaal beveiligingsmechanisme tegen Cross-Site Request Forgery (CSRF). Hierdoor kunnen kwaadwillenden acties uitvoeren namens het slachtoffer en datalekken veroorzaken.
Gebruikers van eerdere OFBiz-versies worden dringend geadviseerd te upgraden naar versie 18.12.17 om beveiligingsrisico’s, zoals gegevensverlies en bedrijfsverstoring, te voorkomen.
Bron: 1
Een nieuwe kwetsbaarheid in Wget, een veelgebruikte tool voor bestandsoverdracht, stelt aanvallers in staat server-side request forgery (SSRF)-aanvallen uit te voeren. Deze kwetsbaarheid, aangeduid als CVE-2024-10524, is ontdekt door een beveiligingsonderzoeker van JFrog. Het probleem ontstaat door Wget’s ondersteuning voor zogenaamde "shorthand URLs". Hierdoor kunnen aanvallers Wget manipuleren om verbinding te maken met interne of beperkte servers, wat leidt tot potentiële datalekken of andere aanvallen.
Mogelijke misbruikscenario’s zijn onder andere phishing, waarbij gebruikers worden misleid naar schadelijke servers, en man-in-the-middle-aanvallen waarbij communicatie wordt onderschept. De kwetsbaarheid treft alle Wget-versies tot en met 1.24.5. Gebruikers wordt geadviseerd te updaten naar versie 1.25.0 en het gebruik van shorthand URLs te vermijden.
Door deze updates en voorzorgsmaatregelen te implementeren, kunnen organisaties zich beter beschermen tegen misbruik van deze kwetsbaarheid.
Bron: 1
Een ernstige kwetsbaarheid, aangeduid als CVE-2024-47533, is ontdekt in Cobbler, een populair systeem voor het uitrollen van Linux-installaties via netwerken. Deze fout, met een CVSS-score van 9.8, stelt onbevoegde aanvallers in staat om volledige controle te krijgen over Cobbler-servers.
De kwetsbaarheid zit in de functie get_shared_secret(), die verantwoordelijk is voor authenticatie tussen de server en zijn clients. Door een fout in versies vanaf 3.0.0 retourneert deze functie altijd een vaste waarde (-1) in plaats van een unieke geheime sleutel. Hierdoor kunnen aanvallers zich als een legitieme gebruiker voordoen en toegang krijgen tot de server.
Met succes uitgebuit, kunnen aanvallers systeemconfiguraties manipuleren, malware uitrollen en toegang krijgen tot gevoelige gegevens. Een proof-of-concept exploit is gepubliceerd, waardoor deze aanval eenvoudig uit te voeren is. Gebruikers van Cobbler-versies 3.0.0 en hoger worden dringend geadviseerd te updaten naar de beveiligde versies 3.3.7 of 3.2.3.
Bron: 1
Google heeft een nieuwe stabiele versie van de Chrome-browser uitgebracht, waarin drie beveiligingsproblemen zijn opgelost. Een van deze problemen is een ernstig beveiligingslek in de V8 JavaScript-engine, bekend als CVE-2024-11395. Dit typefoutlek kan ervoor zorgen dat de browser geheugen corrumpeert, crasht of zelfs aanvallers toegang geeft tot het systeem van de gebruiker. Dit kwetsbare punt werd op 5 november gemeld door een anonieme onderzoeker en heeft een hoge ernstscore gekregen.
Google benadrukt het belang van een snelle update om risico's te minimaliseren. Aanvallers kunnen het lek mogelijk misbruiken door gebruikers naar schadelijke websites te lokken of geïnfecteerde bestanden te openen. Naast dit lek zijn nog twee andere beveiligingsproblemen opgelost, hoewel details hierover nog niet openbaar zijn gemaakt.
Gebruikers kunnen hun browser updaten via Help > Over Google Chrome, waarna de nieuwste versie automatisch wordt geïnstalleerd.
Bron: 1
Atlassian heeft een ernstige kwetsbaarheid (CVE-2024-21697) ontdekt in zijn Sourcetree-software voor Mac en Windows. Deze kwetsbaarheid maakt remote code execution (RCE) mogelijk, waarmee aanvallers volledige controle over getroffen systemen kunnen verkrijgen. Met een CVSS-score van 8.8 wordt het risico als hoog ingeschat.
Sourcetree is een populaire Git GUI-client die wereldwijd door ontwikkelaars wordt gebruikt. De kwetsbaarheid is aanwezig in Mac-versies tot 4.2.8 en Windows-versies tot 3.4.19. Aanvallers kunnen via social engineering of schadelijke links gebruikers verleiden de exploit te activeren, wat kan leiden tot malware-installatie, gegevensdiefstal of systeemverstoring.
Atlassian adviseert gebruikers dringend hun software bij te werken naar versies 4.2.9 (Mac) of 3.4.20 (Windows) om risico's te mitigeren. Gebruikers die niet direct kunnen updaten, wordt aangeraden een beveiligde tussenversie te installeren.
Bron: 1
In het Needrestart-pakket, dat standaard wordt geïnstalleerd op Ubuntu Server sinds versie 21.04, zijn meerdere ernstige beveiligingslekken ontdekt. Deze kwetsbaarheden, aanwezig sinds 2014, maken het mogelijk voor lokale aanvallers om rootrechten te verkrijgen zonder gebruikersinteractie. Dit betekent dat een aanvaller controle over het systeem kan krijgen.
De kwetsbaarheden, ontdekt door de Qualys Threat Research Unit, omvatten onder andere problemen met de verwerking van omgevingsvariabelen voor Python en Ruby, evenals racecondities. Hoewel er updates beschikbaar zijn, wordt gebruikers aangeraden tijdelijk de interpreter-scanners in Needrestart uit te schakelen als noodmaatregel.
Door deze lekken kunnen kwaadwillenden tijdens software-updates of pakketinstallaties code uitvoeren als root, wat de veiligheid van systemen ernstig in gevaar brengt. Systeembeheerders wordt dringend geadviseerd om zo snel mogelijk de nieuwste beveiligingsupdates te installeren om misbruik te voorkomen.
Bron: 1
Google heeft met behulp van zijn AI-gedreven fuzzing-tool, OSS-Fuzz, 26 kwetsbaarheden blootgelegd in open-source softwareprojecten. Onder deze ontdekkingen bevindt zich een veiligheidslek in de OpenSSL-bibliotheek, genaamd CVE-2024-9143, dat al twee decennia onopgemerkt bleef. Deze kwetsbaarheid kan leiden tot crashes of remote code execution en is inmiddels verholpen in recente updates van OpenSSL.
OSS-Fuzz maakt gebruik van AI om fuzz-tests te genereren, wat de dekking van kwetsbare code aanzienlijk heeft vergroot. Zo werd in ruim 272 projecten meer dan 370.000 regels nieuwe testcode toegevoegd. AI speelt een sleutelrol door ontwikkelaars na te bootsen en complexe foutpaden te ontdekken die handmatige tests zouden missen.
Naast deze verbeteringen zet Google stappen om bestaande C++-projecten veiliger te maken door gebruik van geheugenveilige talen zoals Rust en het versterken van bestaande mechanismen zoals harde limieten op geheugenbeheer. Dit draagt bij aan een veiliger softwarelandschap.
Bron: 1
Een ernstig beveiligingslek in de populaire software 7-Zip maakt het mogelijk voor aanvallers om op afstand code uit te voeren (remote code execution). Het probleem, bekend als CVE-2024-11477, zit in de implementatie van het Zstandard (ZSTD) compressie-algoritme. Onvoldoende validatie van gebruikersinvoer kan bij het uitpakken van een archief leiden tot een zogenaamde 'Integer Underflow', waardoor een aanvaller kwaadaardige code kan uitvoeren binnen het huidige proces.
Hoewel de kwetsbaarheid inmiddels is verholpen in versie 24.07 van 7-Zip, ontbreekt in de release notes een expliciete vermelding van het beveiligingsprobleem. Dit kan organisaties ertoe brengen updates uit te stellen, wat risico's met zich meebrengt. Gebruikers wordt aangeraden om zo snel mogelijk te updaten naar de nieuwste versie om bescherming te garanderen. Het openen van verdachte archiefbestanden blijft echter een risico.
Bron: 1
Een ontwerpfout in de Fortinet VPN-server maakt het mogelijk om succesvolle brute-force aanvallen te verbergen. De fout zit in het logmechanisme: alleen mislukte inlogpogingen worden geregistreerd in de authenticatiefase, terwijl succesvolle inlogpogingen pas worden gelogd na voltooiing van de autorisatiefase. Hierdoor kunnen aanvallers met een nieuwe techniek stoppen na een succesvolle authenticatie, waardoor deze niet in de logs wordt opgenomen.
Onderzoekers ontdekten dat de server tijdens de eerste verificatiestap de status van inloggegevens teruggeeft, zoals "geldig" of "ongeldig". Door de autorisatiefase te omzeilen, blijven succesvolle pogingen onzichtbaar voor beveiligingsteams. Dit kan leiden tot ernstige risico’s, omdat het moeilijk is om te achterhalen of een aanval succesvol was. Hoewel mislukte pogingen nog wel zichtbaar zijn, biedt dit slechts een gedeeltelijk beeld van de aanval.
Fortinet beschouwt het probleem niet als een kwetsbaarheid, wat vragen oproept over mogelijke oplossingen.
Bron: 1
Een nieuwe kwetsbaarheid (CVE-2024-52067) in Apache NiFi kan gevoelige informatie blootleggen via debuglogs. De fout, aanwezig in versies 1.16.0 tot 1.28.0 en 2.0.0-M1 tot 2.0.0-M4, komt voort uit de mogelijkheid om optionele debuglogging in te schakelen tijdens de synchronisatie van datastromen. Wanneer een beheerder de logniveau-instellingen aanpast, kunnen gevoelige parameterwaarden zoals gebruikersgegevens of andere vertrouwelijke informatie in de applicatielogs terechtkomen.
Hoewel de standaardconfiguratie van Apache NiFi niet kwetsbaar is, lopen systemen met aangepaste loginstellingen risico. Het wordt sterk aanbevolen om te upgraden naar versie 1.28.1 of 2.0.0, waarin deze kwetsbaarheid is opgelost. Deze updates verwijderen parameterlogging tijdens de synchronisatie, ongeacht de configuratie.
Beheerders wordt aangeraden om hun systemen te controleren en indien nodig onmiddellijk de aanbevolen updates uit te voeren om datalekken te voorkomen.
Bron: 1
NVIDIA heeft een belangrijke beveiligingsupdate uitgebracht voor de Base Command Manager-software. Deze update verhelpt een kwetsbaarheid (CVE-2024-0138) met een CVSS-score van 9.8, wat duidt op een zeer hoog risico. De fout zit in de CMDaemon-component en kan aanvallers de mogelijkheid geven om code uit te voeren, privileges te verhogen en data te manipuleren.
De kwetsbaarheid treft versie 10.24.09 van de software. NVIDIA raadt gebruikers sterk aan om direct te updaten naar versie 10.24.09a. Dit kan worden gedaan via het BCM Package Repository. Voor een correcte implementatie moeten gebruikers de CMdaemon bijwerken op de head nodes en software-images, en deze daarna herstarten of synchroniseren.
Oudere versies, zoals 10.24.07, zijn niet kwetsbaar. Organisaties die afhankelijk zijn van deze software worden geadviseerd de update met prioriteit te installeren om mogelijke aanvallen te voorkomen.
Bron: 1
Beveiligingsonderzoeker Ryan Emmons heeft meerdere kwetsbaarheden ontdekt in de Wowza Streaming Engine, een populair platform voor live streaming en video-on-demand. Deze kwetsbaarheden, waaronder een ernstig ongeauthenticeerd Cross-Site Scripting (XSS)-probleem, maken het mogelijk voor aanvallers om via de beheerinterface van de software kwaadaardige code uit te voeren. Zodra een beheerder deze code onbedoeld activeert, kan een aanvaller volledige controle over het systeem krijgen, inclusief root- of LocalSystem-rechten op respectievelijk Linux- en Windows-servers.
In totaal zijn vijf kwetsbaarheden geïdentificeerd met verschillende ernstgraden, waarvan de hoogste een CVSS-score van 9,4 heeft. Wereldwijd zijn naar schatting 18.500 servers blootgesteld aan het internet, waardoor directe actie vereist is. Wowza heeft versie 4.9.1 uitgebracht om deze beveiligingslekken te dichten. Gebruikers wordt sterk aangeraden om hun systemen onmiddellijk te updaten om risico's te minimaliseren.
Bron: 1
Onderzoekers hebben een ernstige kwetsbaarheid ontdekt in WinZip, een veelgebruikt compressieprogramma. De fout, aangeduid als CVE-2024-8811, maakt het mogelijk voor aanvallers om beveiligingsmaatregelen te omzeilen en schadelijke code uit te voeren. Het probleem ligt in hoe WinZip omgaat met de "Mark-of-the-Web" (MOTW), een beveiligingsfunctie van Windows die waarschuwt voor bestanden van onbekende of mogelijk onveilige herkomst.
Bij het openen van een gedownload archief verwijdert WinZip onbedoeld deze belangrijke veiligheidsmarkering. Dit kan gebruikers misleiden om schadelijke bestanden te openen zonder waarschuwing, waardoor malware zoals ransomware, spyware of Trojaanse paarden eenvoudig uitgevoerd kan worden.
Gebruikers wordt dringend aangeraden om WinZip te updaten naar versie 76.8 of later. Deze versie lost de kwetsbaarheid op door de MOTW te behouden, waardoor een essentiële beveiligingslaag intact blijft.
Bron: 1
Een ernstige kwetsbaarheid, CVE-2024-9511, is ontdekt in de populaire FluentSMTP WordPress-plugin, die wordt gebruikt voor e-mailintegratie. Met een CVSS-score van 9.8 kan deze fout aanvallers zonder authenticatie in staat stellen om willekeurige code uit te voeren op kwetsbare websites. De kwetsbaarheid komt voort uit het onveilig deserialiseren van gegevens, waardoor PHP Object Injection mogelijk wordt.
Succesvolle aanvallen kunnen leiden tot het verwijderen van cruciale bestanden, het verkrijgen van gevoelige informatie en volledige overname van de website en server. Hoewel een gedeeltelijke oplossing beschikbaar is in versie 2.2.82, wordt dringend aangeraden om te updaten naar versie 2.2.83 of hoger.
Beheerders van WordPress-websites wordt geadviseerd om onmiddellijk actie te ondernemen, zoals het bijwerken van plugins, het gebruik van sterke wachtwoorden, en het implementeren van een webapplicatie-firewall (WAF) om verdere risico’s te beperken.
Bron: 1
QNAP heeft bevestigd dat de recente update voor hun NAS-systemen, QTS 5.2.2.2950 build 20241114, diverse problemen veroorzaakt. Gebruikers klagen over toegangsproblemen tot bestanden, connectiviteitsproblemen en andere aanpassingsproblemen na de installatie van de update. De fabrikant raadt gebruikers van getroffen modellen, waaronder de TS-x53D en TS-x51 series, aan om een downgrade uit te voeren naar een vorige versie van het besturingssysteem. Daarnaast heeft QNAP een nieuwe update uitgebracht om de gemelde problemen op te lossen.
Bron: 1
QNAP heeft gebruikers gewaarschuwd voor ernstige beveiligingslekken in zijn QuRouter-netwerkapparaat. De kwetsbaarheden, aangeduid als CVE-2024-48860 (CVSS-score 9.5) en CVE-2024-48861 (CVSS-score 7.3), kunnen door aanvallers worden misbruikt om op afstand willekeurige opdrachten uit te voeren. Het probleem treft QuRouter-versies 2.4.x.
Om deze risico’s te verhelpen, heeft QNAP een update uitgebracht: versie 2.4.3.106 en nieuwer. Gebruikers wordt dringend geadviseerd om hun apparaten onmiddellijk bij te werken via de firmware-instellingen in QuRouter. Voor extra beveiliging raadt QNAP aan sterke wachtwoorden te gebruiken, apparaatlogs regelmatig te controleren en externe toegang te beperken tot vertrouwde netwerken.
Door deze stappen te ondernemen, kunnen gebruikers voorkomen dat hun netwerkapparaat een doelwit wordt van cyberaanvallen. Het direct toepassen van de aanbevolen beveiligingsupdates is essentieel om de risico’s te minimaliseren.
Bron: 1
Een cybersecurity-onderzoeker heeft zeven ernstige kwetsbaarheden ontdekt in de Android-besturingssysteem en Google Pixel-apparaten. Twee van deze kwetsbaarheden vormen een specifiek gevaar voor Pixel-gebruikers, terwijl de andere vijf ook alle Android-apparaten bedreigen, ongeacht de fabrikant. Voor Pixel-gebruikers omvatten de risico's het uitlekken van geolocatiedata via de camera-app en het omzeilen van VPN-beveiliging door onterecht toegestane applicaties. Daarnaast werd ontdekt dat Android-apparaten kwetsbaar zijn voor aanvallen via Bluetooth, onjuiste besturingsinstellingen voor bestandsoverdracht, en injectie van kwaadaardige HTML in beheerinterfaces. Een specifieke kwetsbaarheid werd actief uitgebuit via de Pinduoduo-app. Alle geïdentificeerde problemen zijn inmiddels verholpen met patches, die gebruikers dringend worden aangeraden te installeren om hun privacy en veiligheid te waarborgen.
Bron: 1
Er zijn twee ernstige kwetsbaarheden ontdekt in de WordPress plugin Anti-Spam by CleanTalk, die meer dan 200.000 actieve installaties beïnvloeden. De eerste kwetsbaarheid (CVE-2024-10542) stelt aanvallers in staat om authenticatiecontroles te omzeilen door middel van reverse DNS spoofing, waardoor ze kwaadaardige plugins kunnen installeren en code kunnen uitvoeren. De tweede kwetsbaarheid (CVE-2024-10781) is het gevolg van een ontbrekende controle op een lege API-sleutel, waardoor ongeautoriseerde toegang mogelijk is. Beide kwetsbaarheden hebben een CVSS-score van 9.8, wat wijst op de ernst ervan. Gebruikers van de plugin wordt dringend aangeraden om meteen over te schakelen naar versie 6.45, die de problemen verhelpt. Dit incident benadrukt het belang van regelmatige updates en het monitoren van websiteactiviteiten.
Bron: 1
QNAP heeft een beveiligingswaarschuwing uitgegeven voor ernstige kwetsbaarheden in Notes Station 3, een applicatie voor het beheren en delen van notities op QNAP-apparaten. De kwetsbaarheden, met CVSS-scores tussen 8,4 en 9,4, kunnen leiden tot ongeautoriseerde toegang tot systemen, diefstal van gegevens en uitvoering van willekeurige commando's als ze niet worden verholpen. Vier specifieke beveiligingslekken zijn geïdentificeerd, waaronder een kwetsbaarheid voor server-side request forgery (SSRF) en een onjuiste toewijzing van machtigingen voor kritieke bronnen. Deze kunnen zowel door lokale als externe aanvallers worden misbruikt. Gebruikers van Notes Station 3 versie 3.9.x wordt dringend aangeraden om naar versie 3.9.7 of hoger te upgraden om de risico's te mitigeren. De update is eenvoudig uit te voeren via het App Center van QTS of QuTS hero.
Bron: 1
De PHP-ontwikkelaars hebben belangrijke beveiligingspatches uitgebracht voor versies vóór 8.1.31, 8.2.26 en 8.3.14, om meerdere kwetsbaarheden te verhelpen. Een van de ernstigste, CVE-2024-8932, heeft een CVSS-score van 9.8 en stelt aanvallers in staat om willekeurige code uit te voeren door gebruik te maken van een kwetsbaarheid in de ldap_escape functie. Deze kan leiden tot een out-of-bounds toegang op 32-bits systemen, wat resulteert in een integer overflow en uit het geheugen schrijven. Daarnaast wordt ook een kwetsbaarheid (CVE-2024-8929) aangepakt die het mogelijk maakt om gevoelige gegevens uit een heapbuffer te lekken via een netwerkverbinding. De updates bevatten verder patches voor verschillende andere kwetsbaarheden, waaronder geheugenlekken en beveiligingsrisico’s met CRLF-injecties. De PHP-ontwikkelaars dringen er bij alle gebruikers op aan om hun versies direct bij te werken om deze kwetsbaarheden te verhelpen en systemen te beschermen.
Bron: 1
Palo Alto Networks heeft een waarschuwing uitgebracht voor een ernstige kwetsbaarheid in de GlobalProtect-app, aangeduid als CVE-2024-5921. Deze kwetsbaarheid stelt aanvallers in staat om via een onvoldoende certificaatvalidatie de app te verbinden met willekeurige servers. Dit kan leiden tot het installeren van kwaadaardige rootcertificaten op eindapparaten, die op hun beurt gebruikt kunnen worden om schadelijke software te installeren. De kwetsbaarheid betreft verschillende versies van de GlobalProtect-app, zowel op Windows, macOS als Linux. Hoewel er momenteel geen meldingen van misbruik zijn, is er publieke exploit-code beschikbaar, wat de dreiging vergroot. Palo Alto Networks adviseert gebruikers om de laatste versie van de app te installeren of de FIPS-CC-modus in te schakelen als tijdelijke maatregel. Organisaties die de app gebruiken, wordt aangeraden snel actie te ondernemen om deze kwetsbaarheid te verhelpen.
Bron: 1
Keycloak, een open-source platform voor identiteits- en toegangsbeheer, heeft belangrijke beveiligingsupdates uitgebracht om meerdere kwetsbaarheden aan te pakken. Deze kwetsbaarheden variëren van denial-of-service (DoS)-aanvallen tot risico's op informatielekken en omzeiling van authenticatie. De meest kritieke kwetsbaarheden zijn onder meer een DoS-aanval door overbelasting van systeembronnen, onbedoeld lekken van gevoelige gegevens via bytecode en de mogelijkheid voor aanvallers om mTLS-authenticatie te omzeilen en gebruikers of clients te imiteren. Daarnaast zijn er andere kwetsbaarheden opgelost, waaronder het onbeveiligd openen van gevoelige informatie in een Vault-bestand en een DoS-kwetsbaarheid door verkeerd verwerkte proxyheaders. Gebruikers wordt aangeraden de nieuwste versies van Keycloak (24.0.9 of 26.0.6) onmiddellijk bij te werken om deze risico's te mitigeren.
Bron: 1
Er zijn recente kwetsbaarheden ontdekt in de VPN-software van SonicWall en Palo Alto Networks, die het mogelijk maken voor cybercriminelen om via malafide VPN-servers malware op de systemen van gebruikers te installeren. In het geval van SonicWall kan de NetExtender VPN-client voor Windows worden misbruikt om malafide updates naar gebruikers te sturen wanneer ze verbinding maken met een vervalste server. Deze updates kunnen schadelijke code uitvoeren met systeemrechten. Ook de SMA Connect Agent van SonicWall kan worden misbruikt via malafide webverzoeken. Bij Palo Alto's GlobalProtect VPN-client kunnen zowel macOS- als Windows-gebruikers getroffen worden, wat kan leiden tot gestolen inloggegevens, verhoogde rechten voor aanvallers en de installatie van rootcertificaten. Beide bedrijven hebben inmiddels beveiligingsupdates uitgebracht om deze kwetsbaarheden te verhelpen.
Bron: 1
IBM heeft een ernstige kwetsbaarheid (CVE-2024-41779) ontdekt in de IBM Engineering Systems Design Rhapsody – Model Manager (RMM), die systemen in gevaar kan brengen. Deze kwetsbaarheid heeft een CVSS-score van 9.8 en maakt het mogelijk voor aanvallers om op afstand code uit te voeren door gebruik te maken van een race-omstandigheid in de software. Dit kan gebeuren wanneer speciaal gemaakte verzoeken naar het systeem worden gestuurd. Hoewel de kwetsbaarheid ernstig is, vormt het geen risico onder normale omstandigheden, aangezien de DEBUG-logging voor de betreffende service standaard is uitgeschakeld. IBM heeft gebruikers aangespoord om hun RMM-software bij te werken naar de laatste versie of een tijdelijke oplossing toe te passen door de DEBUG-logging te deactiveren. Het probleem betreft RMM-versies 7.0.2 en 7.0.3.
Bron: 1
VMware heeft onlangs beveiligingspatches vrijgegeven voor meerdere kwetsbaarheden in zijn Aria Operations-product. De belangrijkste kwetsbaarheden kunnen leiden tot escalatie van lokale bevoegdheden, waardoor aanvallers root-toegang kunnen verkrijgen tot het systeem. De ernstigste kwetsbaarheid, CVE-2024-38830, stelt een aanvaller met lokale beheerdersrechten in staat om privileges te verhogen naar root, wat een ernstige bedreiging vormt voor de veiligheid van het systeem. Daarnaast zijn er kwetsbaarheden gerelateerd aan opgeslagen cross-site scripting (XSS), die het mogelijk maken voor aanvallers om kwaadaardige scripts in te voeren. Gebruikers van de getroffen versies van VMware Aria Operations (8.x) en VMware Cloud Foundation (4.x en 5.x) wordt geadviseerd om te upgraden naar versie 8.18.2 of hoger. VMware heeft de onderzoekers bedankt die de kwetsbaarheden gemeld hebben.
Bron: 1
GitLab heeft een belangrijke beveiligingsupdate uitgebracht om meerdere kwetsbaarheden in zowel de Community Edition (CE) als Enterprise Edition (EE) te verhelpen. De meest ernstige kwetsbaarheid, CVE-2024-8114, kan door aanvallers worden misbruikt om hun privileges te escaleren als ze toegang krijgen tot een persoonlijke toegangstoken van een slachtoffer. Deze kwetsbaarheid heeft een CVSS-score van 8,2 en is aanwezig in versies van GitLab van 8.12 tot en met 17.6.0. Naast deze ernstige kwetsbaarheid zijn er ook verschillende andere beveiligingsproblemen aangepakt, zoals Denial of Service (DoS) kwetsbaarheden en onbevoegde toegang tot gevoelige gegevens. GitLab raadt gebruikers dringend aan om hun installaties bij te werken naar de nieuwste versies (17.6.1, 17.5.3, 17.4.5) om zichzelf te beschermen tegen deze risico's.
Bron: 1
Microsoft’s NTLM-authenticatieprotocol vertoont meerdere ernstige kwetsbaarheden die nog niet zijn verholpen, ondanks dat ze al lang bekend zijn. Deze kwetsbaarheden stellen aanvallers in staat om via NTLM-hashes privilege-escalatie uit te voeren, wat betekent dat ze toegang kunnen krijgen tot beheerdersrechten binnen een netwerk. Het probleem ligt voornamelijk in de manier waarop NTLM kan worden gebruikt bij bestandstoegang via onbetrouwbare servers, waarbij NTLM-hashes per ongeluk kunnen worden gelekt, zelfs zonder actie van de gebruiker. Veel Microsoft-producten, zoals Word, Outlook en Access, vertonen deze zwakheden. Microsoft heeft de risico's vaak als 'gemiddeld' bestempeld en biedt geen onmiddellijke oplossing. Aangezien er geen snelle patch te verwachten is, wordt bedrijven aangeraden NTLM-authenticatie uit te schakelen en de communicatie met niet-betrouwbare netwerken te blokkeren. Gebruikers moeten ook bewust worden gemaakt van de risico's van deze kwetsbaarheden.
Bron: 1
Onderzoekers hebben een ernstige kwetsbaarheid ontdekt in het MallocStackLogging-framework van Apple, aangeduid als CVE-2023-32428. Deze kwetsbaarheid maakt het mogelijk voor aanvallers om lokale privilege-escalatie (LPE) uit te voeren op macOS-systemen. Het probleem ligt in de manier waarop het framework logbestanden schrijft, waardoor het aanvallers in staat stelt om hoge systeemrechten te verkrijgen zonder dat het doelproces hiervan op de hoogte is. De kwetsbaarheid kan worden benut door een raceconditie en een vervangende symlink, waarmee bijvoorbeeld rootrechten kunnen worden verkregen via een bestand in /etc/sudoers.d. De fout is aanwezig in macOS Ventura 13.3 en eerdere versies, maar is inmiddels gepatcht in macOS Ventura 13.4. Gebruikers wordt sterk aangeraden hun apparaten bij te werken om misbruik te voorkomen.
Bron: 1
Jenkins, een veelgebruikte open-source automatiseringsserver, heeft een beveiligingswaarschuwing uitgegeven voor meerdere kwetsbaarheden die zowel het kernsysteem als de plugins aantasten. Een van de grootste risico's is een denial-of-service kwetsbaarheid in de JSON-verwerkingsbibliotheek, die aanvallers in staat stelt om systeembronnen te verbruiken en legitieme gebruikers uit te schakelen. Verder is er een ernstige cross-site scripting (XSS) kwetsbaarheid ontdekt in de Simple Queue Plugin, die gegevensdiefstal of sessieovername kan veroorzaken. Ook de Filesystem List Parameter Plugin bevat een kwetsbaarheid die aanvallers helpt gevoelige informatie te verkrijgen. Jenkins heeft inmiddels updates uitgebracht om deze problemen te verhelpen, en gebruikers wordt dringend aangeraden om naar de nieuwste versies te upgraden. Dit is cruciaal om de integriteit van je CI/CD-pijplijnen te waarborgen en je systeem te beschermen tegen aanvallen.
Bron: 1
Hewlett Packard Enterprise (HPE) heeft een dringend beveiligingsbulletin uitgegeven vanwege meerdere kritieke kwetsbaarheden in de Insight Remote Support-service. Deze kwetsbaarheden, met CVSS-scores tot 9.8, kunnen aanvallers in staat stellen ongeautoriseerde toegang te verkrijgen tot gevoelige gegevens of zelfs kwaadaardige code op afstand uit te voeren. De belangrijkste kwetsbaarheden omvatten XML External Entity (XXE) injecties en een Java-deserialisatiefout, die aanvallers zouden kunnen helpen bij het extraheren van vertrouwelijke gegevens of het uitvoeren van willekeurige code. De ernstigste kwetsbaarheid betreft een Directory Traversal-zwakte, die het mogelijk maakt om op afstand code uit te voeren op getroffen systemen. HPE heeft snel een patch (versie 7.14.0.629) uitgebracht om deze kwetsbaarheden te verhelpen en raadt gebruikers aan onmiddellijk te updaten om risico's te minimaliseren.
Bron: 1
Zabbix, een veelgebruikte open-source tool voor IT-infrastructuurbewaking, bevat een ernstige SQL-injectiekwetsbaarheid (CVE-2024-42327) met een CVSS-score van 9,9. Deze kwetsbaarheid stelt aanvallers in staat om hun privileges te verhogen en volledige controle te krijgen over Zabbix-instanties. Dit kan leiden tot het compromitteren van gevoelige gegevens en systemen die worden bewaakt door Zabbix. De kwetsbaarheid bevindt zich in de "user.get" API en kan worden misbruikt door iedere gebruiker met toegang tot de API, inclusief standaardgebruikers. Bij succesvolle exploitatie kunnen aanvallers gegevens lekken, systemen compromitteren of zelfs monitoringdiensten verstoren. Zabbix heeft inmiddels patches uitgebracht om het probleem in de versies 6.0.32rc1, 6.4.17rc1 en 7.0.1rc1 te verhelpen. Organisaties die Zabbix gebruiken, worden dringend geadviseerd om hun systemen bij te werken en gebruikersrollen goed te controleren.
Bron: 1
Zabbix, een populaire open-source monitoringtool, heeft snel beveiligingsupdates uitgebracht om een ernstige kwetsbaarheid te verhelpen die aanvallers in staat stelt om willekeurige code uit te voeren op kwetsbare systemen. Deze kwetsbaarheid, aangeduid als CVE-2024-42330, heeft een CVSS-score van 9.1 en treft meerdere versies van Zabbix (6.0, 6.4, 7.0). Het probleem ontstaat door een verkeerde codering van HTTP-headers in het HttpRequest-object, wat kan worden misbruikt om kwaadaardige verzoeken te creëren die leiden tot externe code-uitvoering. Zabbix heeft de kwetsbaarheid snel aangepakt met gepatchte versies en raadt alle gebruikers van de getroffen versies aan om direct te updaten. Het benadrukt het belang van het toepassen van beveiligingsupdates om systemen te beschermen tegen cyberaanvallen.
Bron: 1
Microsoft heeft recentelijk een beveiligingsupdate opnieuw uitgebracht voor een kritiek spoofinglek in Exchange Server, geïdentificeerd als CVE-2024-49040. Dit lek stelde aanvallers in staat om spoofingaanvallen uit te voeren, waardoor e-mailclients, zoals Microsoft Outlook, mogelijk vervalste afzenders als legitiem konden weergeven. De kwetsbaarheid heeft zijn oorsprong in de P2 FROM-headerverificatie, die bepaalde non-RFC 5322-conforme headers doorliet.
De oorspronkelijke update op 12 november bood geen volledige oplossing, maar gaf wel meldingen bij verdachte activiteiten. Kort daarna, op 14 november, werd de update ingetrokken nadat gebruikers klaagden dat hun transportregels niet meer werkten, resulterend in niet-afgeleverde e-mails. Microsoft heeft de problemen in de update aangepakt en adviseert alle Exchange Server-gebruikers om de heruitgebrachte patch zo snel mogelijk te installeren. Dit geldt ook voor organisaties die eerder geen problemen ondervonden bij de eerste installatie.
Bron: 1
Microsoft heeft recentelijk vier beveiligingslekken opgelost in zijn diensten, waaronder Microsoft Copilot Studio, het Partner.Microsoft.Com-portaal, Azure PolicyWatch en Dynamics 365 Sales. Eén van de meest kritieke kwetsbaarheden, met een ernstscore van 9.3/10, betrof Microsoft Copilot Studio. Dit lek kon aanvallers via een netwerk extra bevoegdheden geven. Gelukkig zijn gebruikersacties niet nodig, aangezien het probleem volledig is verholpen.
Het Partner.Microsoft.Com-portaal kampte met een ander ernstig probleem (score 8.7/10) waarbij aanvallers zonder authenticatie privileges konden verhogen. Azure PolicyWatch kende een vergelijkbaar risico (8.2/10) door ontbrekende authenticatie voor een cruciale functie.
Tenslotte werd Dynamics 365 Sales getroffen door een spoofingkwetsbaarheid (7.6/10), waarmee aanvallers gebruikers konden misleiden met schadelijke links. Hoewel de risico’s aanzienlijk waren, heeft Microsoft inmiddels alle problemen opgelost zonder dat gebruikers extra stappen hoeven te ondernemen.
Bron: 1
Onderzoekers hebben drie kritieke kwetsbaarheden ontdekt en verholpen in Contiki-NG, een populair open-source besturingssysteem voor Internet of Things (IoT)-apparaten. Deze kwetsbaarheden, die versies tot en met 4.9 treffen, kunnen aanvallers toestaan apparaten te laten crashen of kwaadaardige code uit te voeren. Contiki-NG wordt veel gebruikt in energiezuinige apparaten met beperkte middelen, zoals industriële controlesystemen, slimme huizen en wearables.
De kwetsbaarheden zijn:
CVE-2024-41125 (CVSS 8.4): Een out-of-bounds read in de SNMP-module, waardoor aanvallers gevoelige informatie uit het geheugen kunnen lezen.
CVE-2024-47181 (CVSS 7.5): Een ongealigneerde geheugentoegang in de RPL-implementatie, wat kan leiden tot systeemcrashes.
CVE-2024-41126 (CVSS 8.4): Nog een out-of-bounds read in de SNMP-module, vergelijkbaar met CVE-2024-41125.
Hoewel de SNMP-module standaard is uitgeschakeld, wordt ontwikkelaars die deze hebben ingeschakeld sterk aangeraden hun systemen bij te werken. Patches zijn beschikbaar via Contiki-NG pull requests #2936, #2937 en #2962. Met de groei van IoT-apparaten is het essentieel om veiligheidsmaatregelen te prioriteren en updates snel toe te passen om potentiële bedreigingen te verminderen.
Bron: 1
Een onafhankelijke onderzoeker heeft een kritieke kwetsbaarheid ontdekt in de ksthunk.sys driver van Windows, een component die verantwoordelijk is voor communicatie tussen 32-bit en 64-bit processen. De fout stelt lokale aanvallers in staat om een integer overflow te benutten voor privilege escalatie. Dit werd gedemonstreerd tijdens het TyphoonPWN 2024 evenement, waar het de tweede plaats behaalde.
De kwetsbaarheid ligt in de CKSAutomationThunk::ThunkEnableEventIrp functie, die buffers toewijst voor het beheren van in- en uitvoergegevens binnen de kernel. Het probleem ontstaat door een gebrek aan validatie voor integer overflow tijdens berekeningen van buffergroottes, wat leidt tot onjuist toegewezen geheugen en een heap overflow veroorzaakt. Ondanks meldingen aan Microsoft blijft de kwetsbaarheid uitbuitbaar op Windows 11 23H2, zonder CVE-nummer of gedetailleerde patchinformatie tot op heden.
Bron: 1
Securityonderzoekers van TrustedSec hebben een kritieke zero-day kwetsbaarheid ontdekt, bekend als CVE-2024-49019, die van invloed is op Active Directory Certificate Services (AD CS). Deze kwetsbaarheid maakt misbruik van versie 1-certificaatsjablonen en stelt aanvallers met inschrijfrechten in staat om aanzienlijke privileges te verhogen. Met een CVSS-score van 7.8 werd deze kwetsbaarheid gepatcht tijdens Microsoft's Patch Tuesday van november, maar blijft het belangrijk om de implicaties ervan nauwlettend te volgen. Aanvallers kunnen via deze bug certificaten aanvragen voor ongeautoriseerde doeleinden zoals client-authenticatie en code-ondertekening, wat grote veiligheidsrisico's met zich meebrengt voor getroffen systemen.
Bron: 1
Advantech heeft meer dan twintig kwetsbaarheden ontdekt in zijn industriële wifi-toegangspunten, waarvan sommige ernstig genoeg zijn om op afstand code uit te voeren en ongeautoriseerde toegang te verkrijgen. Deze kwetsbaarheden kunnen leiden tot het verkrijgen van roottoegang, waarmee de vertrouwelijkheid en integriteit van de apparaten volledig worden aangetast. Zes van de geïdentificeerde kwetsbaarheden worden als kritisch beschouwd, met de mogelijkheid voor aanvallers om een backdoor in te voeren, een denial-of-service (DoS) aanval te veroorzaken, of geïnfecteerde apparaten om te zetten in werkstations voor verder netwerk-infiltratie. Bovendien kunnen aanvallers via een kwaadwillige wifi-verbinding toegang krijgen door specifieke data naar een toegangspunt te zenden. Advantech heeft firmware-updates uitgebracht die deze kwetsbaarheden verhelpen. Het is van groot belang dat gebruikers deze updates zo snel mogelijk toepassen om zich te beschermen tegen mogelijke aanvallen.
Bron: 1
Een nieuwe zero-day kwetsbaarheid in de Mark of the Web (MotW)-beveiligingsfunctie van Windows Server 2012 is ontdekt. Deze kwetsbaarheid, die al meer dan twee jaar aanwezig is, maakt het mogelijk voor aanvallers om de MotW-beveiliging te omzeilen, wat inhoudt dat gevaarlijke bestanden van onbetrouwbare bronnen mogelijk niet correct gemarkeerd worden. Hierdoor kunnen kwaadaardige bestanden ongemerkt worden uitgevoerd, met als risico dat malware op systemen geïnstalleerd wordt.
De ontdekking werd gedaan door 0patch, een platform dat onofficiële micropatches aanbiedt voor oudere Windows-versies. De patches zijn gratis beschikbaar voor Windows Server 2012 en 2012 R2, zowel met als zonder de laatste beveiligingsupdates. Om de patches te installeren, moeten beheerders zich registreren bij 0patch en de bijbehorende agent installeren. Deze oplossing helpt servers zonder officiële updates te beschermen tegen aanvallen die gebruik maken van deze kwetsbaarheid.
Bron: 1
De Apache Software Foundation heeft een kritieke kwetsbaarheid (CVE-2024-52338) in het Apache Arrow R-pakket opgelost. Deze kwetsbaarheid, aanwezig in versies 4.0.0 tot 16.1.0, maakt het mogelijk voor aanvallers om willekeurige code uit te voeren via schadelijke datagegevens. Het probleem ligt in de onveilige deserialisatie van gegevens bij het lezen van IPC- en Parquet-bestanden. Toepassingen die bestanden uit niet-vertrouwde bronnen verwerken, lopen een verhoogd risico.
Het gebruik van het kwetsbare pakket kan leiden tot ernstige gevolgen, zoals systeemcompromittering en ongeautoriseerde toegang tot gevoelige gegevens. Gebruikers wordt dringend geadviseerd te upgraden naar versie 17.0.0 of hoger. Voor wie niet direct kan upgraden, is er een tijdelijke oplossing beschikbaar: het verwerken van gegevens met behulp van interne methoden in plaats van direct lezen.
De kwetsbaarheid heeft geen directe impact op andere implementaties van Apache Arrow, maar systemen die samenwerken met het R-pakket blijven kwetsbaar.
Bron: 1
In de populaire "Widget Options" plugin, met meer dan 100.000 actieve installaties, is een ernstige beveiligingskwetsbaarheid ontdekt en gepatcht in de laatste versie (4.0.8). De kwetsbaarheid, aangeduid als CVE-2024-8672 met een CVSSv3-score van 9.9, stelde kwaadwillende actoren in staat om willekeurige code uit te voeren op servers via de plugin. De fout ontstond door onvoldoende filtering in de "display logic" functionaliteit van de plugin, waardoor geauthenticeerde aanvallers met contributor-niveau toegang of hoger code konden injecteren. Hoewel de recente update het probleem aanpakt, waarschuwen beveiligingsexperts voor mogelijke resterende risico's die websitebeheerders moeten blijven monitoren.
Bron: 1
Microsoft heeft tijdens de maandelijkse patch dinsdag van november 2024 updates uitgebracht die in totaal 91 beveiligingsproblemen verhelpen. Hieronder bevinden zich 4 zero-day kwetsbaarheden, waarvan er twee actief werden misbruikt door aanvallers.
De updates bevatten fixes voor verschillende soorten kwetsbaarheden: 26 voor privilege escalatie, 52 voor remote code execution, 4 voor denial of service en 3 voor spoofing. Vier van de opgeloste problemen zijn als kritiek geclassificeerd.
Van de vier zero-days waren er twee die actief werden misbruikt: een NTLM hash disclosure kwetsbaarheid (CVE-2024-43451) en een privilege escalatie probleem in Windows Task Scheduler (CVE-2024-49039). De andere twee zero-days betroffen een spoofing kwetsbaarheid in Exchange Server en een privilege escalatie probleem in Active Directory Certificate Services.
Naast Microsoft hebben ook andere leveranciers zoals Adobe, Cisco, Citrix en Google belangrijke beveiligingsupdates uitgebracht in november 2024.
De Patch Tuesday van deze maand verhelpt vier zero-day kwetsbaarheden, waarvan twee actief werden uitgebuit en drie openbaar zijn gemaakt.
De overige twee kwetsbaarheden die openbaar werden gemaakt, maar niet actief zijn uitgebuit, zijn:
Tag | CVE ID | CVE Title | Severity |
---|---|---|---|
.NET and Visual Studio | CVE-2024-43499 | .NET and Visual Studio Denial of Service Vulnerability | Important |
.NET and Visual Studio | CVE-2024-43498 | .NET and Visual Studio Remote Code Execution Vulnerability | Critical❗️ |
Airlift.microsoft.com | CVE-2024-49056 | Airlift.microsoft.com Elevation of Privilege Vulnerability | Critical❗️ |
Azure CycleCloud | CVE-2024-43602 | Azure CycleCloud Remote Code Execution Vulnerability | Important |
LightGBM | CVE-2024-43598 | LightGBM Remote Code Execution Vulnerability | Important |
Microsoft Defender for Endpoint | CVE-2024-5535 | OpenSSL: CVE-2024-5535 SSL_select_next_proto buffer overread | Important |
Microsoft Edge (Chromium-based) | CVE-2024-10826 | Chromium: CVE-2024-10826 Use after free in Family Experiences | Unknown |
Microsoft Edge (Chromium-based) | CVE-2024-10827 | Chromium: CVE-2024-10827 Use after free in Serial | Unknown |
Microsoft Exchange Server | CVE-2024-49040 | Microsoft Exchange Server Spoofing Vulnerability | Important |
Microsoft Graphics Component | CVE-2024-49031 | Microsoft Office Graphics Remote Code Execution Vulnerability | Important |
Microsoft Graphics Component | CVE-2024-49032 | Microsoft Office Graphics Remote Code Execution Vulnerability | Important |
Microsoft Office Excel | CVE-2024-49029 | Microsoft Excel Remote Code Execution Vulnerability | Important |
Microsoft Office Excel | CVE-2024-49026 | Microsoft Excel Remote Code Execution Vulnerability | Important |
Microsoft Office Excel | CVE-2024-49027 | Microsoft Excel Remote Code Execution Vulnerability | Important |
Microsoft Office Excel | CVE-2024-49028 | Microsoft Excel Remote Code Execution Vulnerability | Important |
Microsoft Office Excel | CVE-2024-49030 | Microsoft Excel Remote Code Execution Vulnerability | Important |
Microsoft Office SharePoint | ADV240001 | Microsoft SharePoint Server Defense in Depth Update | None |
Microsoft Office Word | CVE-2024-49033 | Microsoft Word Security Feature Bypass Vulnerability | Important |
Microsoft PC Manager | CVE-2024-49051 | Microsoft PC Manager Elevation of Privilege Vulnerability | Important |
Microsoft Virtual Hard Drive | CVE-2024-38264 | Microsoft Virtual Hard Disk (VHDX) Denial of Service Vulnerability | Important |
Microsoft Windows DNS | CVE-2024-43450 | Windows DNS Spoofing Vulnerability | Important |
Role: Windows Active Directory Certificate Services | CVE-2024-49019 | Active Directory Certificate Services Elevation of Privilege Vulnerability | Important |
Role: Windows Hyper-V | CVE-2024-43633 | Windows Hyper-V Denial of Service Vulnerability | Important |
Role: Windows Hyper-V | CVE-2024-43624 | Windows Hyper-V Shared Virtual Disk Elevation of Privilege Vulnerability | Important |
SQL Server | CVE-2024-48998 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-48997 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-48993 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-49001 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-49000 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-48999 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-49043 | Microsoft.SqlServer.XEvent.Configuration.dll Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-43462 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-48995 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-48994 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-38255 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-48996 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-43459 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-49002 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-49013 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-49014 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-49011 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-49012 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-49015 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-49018 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-49021 | Microsoft SQL Server Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-49016 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-49017 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-49010 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-49005 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-49007 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-49003 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-49004 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-49006 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-49009 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-49008 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
TorchGeo | CVE-2024-49048 | TorchGeo Remote Code Execution Vulnerability | Important |
Visual Studio | CVE-2024-49044 | Visual Studio Elevation of Privilege Vulnerability | Important |
Visual Studio Code | CVE-2024-49050 | Visual Studio Code Python Extension Remote Code Execution Vulnerability | Important |
Visual Studio Code | CVE-2024-49049 | Visual Studio Code Remote Extension Elevation of Privilege Vulnerability | Moderate |
Windows CSC Service | CVE-2024-43644 | Windows Client-Side Caching Elevation of Privilege Vulnerability | Important |
Windows Defender Application Control (WDAC) | CVE-2024-43645 | Windows Defender Application Control (WDAC) Security Feature Bypass Vulnerability | Important |
Windows DWM Core Library | CVE-2024-43636 | Win32k Elevation of Privilege Vulnerability | Important |
Windows DWM Core Library | CVE-2024-43629 | Windows DWM Core Library Elevation of Privilege Vulnerability | Important |
Windows Kerberos | CVE-2024-43639 | Windows Kerberos Remote Code Execution Vulnerability | Critical❗️ |
Windows Kernel | CVE-2024-43630 | Windows Kernel Elevation of Privilege Vulnerability | Important |
Windows NT OS Kernel | CVE-2024-43623 | Windows NT OS Kernel Elevation of Privilege Vulnerability | Important |
Windows NTLM | CVE-2024-43451 | NTLM Hash Disclosure Spoofing Vulnerability | Important |
Windows Package Library Manager | CVE-2024-38203 | Windows Package Library Manager Information Disclosure Vulnerability | Important |
Windows Registry | CVE-2024-43641 | Windows Registry Elevation of Privilege Vulnerability | Important |
Windows Registry | CVE-2024-43452 | Windows Registry Elevation of Privilege Vulnerability | Important |
Windows Secure Kernel Mode | CVE-2024-43631 | Windows Secure Kernel Mode Elevation of Privilege Vulnerability | Important |
Windows Secure Kernel Mode | CVE-2024-43646 | Windows Secure Kernel Mode Elevation of Privilege Vulnerability | Important |
Windows Secure Kernel Mode | CVE-2024-43640 | Windows Kernel-Mode Driver Elevation of Privilege Vulnerability | Important |
Windows SMB | CVE-2024-43642 | Windows SMB Denial of Service Vulnerability | Important |
Windows SMBv3 Client/Server | CVE-2024-43447 | Windows SMBv3 Server Remote Code Execution Vulnerability | Important |
Windows Task Scheduler | CVE-2024-49039 | Windows Task Scheduler Elevation of Privilege Vulnerability | Important |
Windows Telephony Service | CVE-2024-43628 | Windows Telephony Service Remote Code Execution Vulnerability | Important |
Windows Telephony Service | CVE-2024-43621 | Windows Telephony Service Remote Code Execution Vulnerability | Important |
Windows Telephony Service | CVE-2024-43620 | Windows Telephony Service Remote Code Execution Vulnerability | Important |
Windows Telephony Service | CVE-2024-43627 | Windows Telephony Service Remote Code Execution Vulnerability | Important |
Windows Telephony Service | CVE-2024-43635 | Windows Telephony Service Remote Code Execution Vulnerability | Important |
Windows Telephony Service | CVE-2024-43622 | Windows Telephony Service Remote Code Execution Vulnerability | Important |
Windows Telephony Service | CVE-2024-43626 | Windows Telephony Service Elevation of Privilege Vulnerability | Important |
Windows Update Stack | CVE-2024-43530 | Windows Update Stack Elevation of Privilege Vulnerability | Important |
Windows USB Video Driver | CVE-2024-43643 | Windows USB Video Class System Driver Elevation of Privilege Vulnerability | Important |
Windows USB Video Driver | CVE-2024-43449 | Windows USB Video Class System Driver Elevation of Privilege Vulnerability | Important |
Windows USB Video Driver | CVE-2024-43637 | Windows USB Video Class System Driver Elevation of Privilege Vulnerability | Important |
Windows USB Video Driver | CVE-2024-43634 | Windows USB Video Class System Driver Elevation of Privilege Vulnerability | Important |
Windows USB Video Driver | CVE-2024-43638 | Windows USB Video Class System Driver Elevation of Privilege Vulnerability | Important |
Windows VMSwitch | CVE-2024-43625 | Microsoft Windows VMSwitch Elevation of Privilege Vulnerability | Critical❗️ |
Windows Win32 Kernel Subsystem | CVE-2024-49046 | Windows Win32 Kernel Subsystem Elevation of Privilege Vulnerability | Important |
Lees ook het artikel: Analyse van kwetsbaarheden op het gebied van cyberbeveiliging november 2024
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Reading in 🇬🇧 or another language
Reading in 🇬🇧 or another language
Reading in 🇬🇧 or another language
Reading in 🇬🇧 or another language
Reading in 🇬🇧 or another language
🇳🇱 🇬🇧