Captain Kirk

Het Project Zero-team van Google heeft bij een onderzoek naar de Windows Registry vijftig kwetsbaarheden in de Windows-kernel gevonden die inmiddels door Microsoft zijn verholpen. Dat heeft onderzoeker Mateusz Jurczyk in een blogposting bekendgemaakt. In zo'n tachtig procent van de gevallen gaat het om beveiligingslekken waarmee een aanvaller die al toegang tot een systeem heeft zijn rechten kan verhogen. "In essentie is het register een hiërarchische database bestaande uit "keys" en "values", die door Windows en applicaties worden gebruikt om allerlei instellingen en configuratiedata op te slaan", aldus de onderzoeker. Het kernelgedeelte van het Windows-register is de afgelopen jaren flink gegroeid. Ging het bij Windows NT 4.0 nog om 10.000 regels code, dat is met Windows 11 naar zo'n 100.000 regels code gestegen. Jurczyk deed van mei 2022 tot en met december vorig jaar een uitgebreide audit van de Windows Registry, op zoek naar zogeheten 'local privilege escalation' bugs. Dat leverde zoals gezegd vijftig kwetsbaarheden op. Achttien daarvan waren er volgens de onderzoeker eenvoudig te misbruiken, tien hadden een gemiddelde moeilijkheidsgraad. Gemiddeld had Microsoft 81 dagen nodig om na de melding met een update te komen. Google geeft softwareontwikkelaars standaard negentig dagen de tijd om een kwetsbaarheid te verhelpen, anders maakt het de details openbaar. Volgens Jurczyk laat zijn onderzoek zien dat het register een zeer complex onderdeel van de Windows-kernel is, en één met veel potentie voor het vinden van interessante bugs. bron: https://www.security.nl

Wachtwoordmanager LastPass waarschuwt gebruikers voor een telefonische phishingaanval waarbij wordt geprobeerd om inloggegevens te stelen. De aanval begint met een telefoontje waarin wordt beweerd dat er vanaf een nieuw apparaat op het LastPass-account van de gebruiker is ingelogd. De gebruiker moet vervolgens een '1' indrukken om dit toe te staan of een '2' om de inlogpoging te blokkeren. Wanneer gebruikers op '2' drukken krijgen ze te horen dat een helpdeskmedewerker met hen contact op zal nemen. Deze 'medewerker' belt vanaf een gespooft telefoonnummer en zegt voor LastPass te werken. Vervolgens stuurt de 'medewerker' een e-mail waarmee gebruikers de toegang tot hun account zouden kunnen resetten. De link in deze e-mail wijst in werkelijkheid naar de phishingsite help-lastpass[.]com. Op deze site ingevoerde gegevens worden naar de aanvaller gestuurd. In het geval gebruikers hun master password op de phishingsite invoeren probeert de aanvaller op het LastPass-account in te loggen. Dan worden de instellingen binnen het account aangepast om te voorkomen dat de echte gebruiker kan inloggen. Zo kunnen telefoonnummer en e-mailadres door de aanvaller worden gewijzigd, alsmede het master password. LastPass adviseert gebruikers om meteen op te hangen als ze worden gebeld door iemand die zegt voor LastPass te werken. bron: https://www.security.nl

Vorig jaar was er een toename van de intensiteit, omvang en het technische niveau van spionagecampagnes door Chinese statelijke hackersgroepen, waarbij vooral 'edge devices' zoals vpn-apparatuur, routers en firewalls het doelwit waren, zo stelt de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) in het vandaag verschenen openbaar jaarverslag 2023. "In 2023 waren Nederlandse en bondgenootschappelijke (defensie) bedrijven en overheidsinstellingen veelvuldig doelwit van diverse Chinese cybereenheden", aldus de MIVD. Bij de aanvallen werd voornamelijk gezocht naar intellectueel eigendom, persoonsgegevens en voorkennis omtrent politiek-bestuurlijke beleid- en besluitvorming. "Het tempo van Chinese cyberoperaties op westerse doelwitten ligt hoog en Chinese inlichtingendiensten schroeven de capaciteiten om westerse doelwitten aan te vallen steeds verder op", zo laat de dienst weten. De MIVD merkt op dat Chinese statelijke hackersgroepen al geruime tijd grootschalige en persistente cyberspionagecampagnes uitvoeren tegen Nederlandse en bondgenootschappelijke belangen, maar er vorig jaar een toename zichtbaar was van de intensiteit, omvang en het technische niveau van deze cybercampagnes. Zo richten de aanvallen zich nadrukkelijk op edge devices zoals vpn-apparatuur. Worden bekendgemaakte kwetsbaarheden soms op de dag van de publicatie misbruikt en worden er steeds vaker zerodaylekken ingezet. Defensie werd vorig jaar zelf ook slachtoffer van Chinese statelijke hackers. Een aantal FortiGate-apparaten van Defensie werden met malware besmet. De MIVD meldt dat het vorig jaar voornamelijk grootschalige scanactiviteit waarnam gericht tegen kwetsbare systemen van een breed scala aan doelwitten, waaronder ABDO-bedrijven en defensieorganisaties. "Het patroon is dat aanvallers geautomatiseerde toegang proberen te verkrijgen tot netwerken van doelwitten en in een later stadium bepalen of deze access-posities relevant zijn voor China", aldus de dienst. Verder stelt de MIVD dat tientallen Chinese bedrijven offensieve cyberoperaties ondersteunen met kwetsbaarheden, malware, aanvalsinfrastructuur en specialistische soft- en hardware voor cyberaanvallen "De hoge mate van professionalisering en strategische clustering van Chinese hackerseenheden in combinatie met de samenwerking met Chinese (staats)bedrijven geven China hoogwaardige capaciteiten om aanvallen op Nederland en bongenoten uit te voeren." Ook dragen Chinese universiteiten bij aan de opbouw van offensieve capaciteiten, zo valt in het jaarverslag te lezen. bron: https://www.security.nl

Er is een toename van het aantal aanvallen waarbij misbruik wordt gemaakt van een zerodaylek in de firewalls van Palo Alto Networks, zo heeft het bedrijf bekendgemaakt. Daarnaast blijkt dat eerder gegeven mitigatie-advies niet meer effectief is en zijn er ook proof-of-concept exploits voor de kwetsbaarheid (CVE-2024-3400) online verschenen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. De kwetsbaarheid is aanwezig in PAN-OS, het besturingssysteem dat op de firewalls van Palo Alto Networks draait. Voor verschillende versies van PAN-OS is inmiddels een hotfix beschikbaar, maar nog zeker zeven versies wachten hierop. In de tussentijd kunnen organisaties die met deze versies werken (10.2.3-h13, 10.2.1-h2, 10.2.2-h5, 10.2.0-h3, 10.2.4-h16, 11.0.1-h4 en 11.0.0-h3) een mitigatie doorvoeren om aanvallen te voorkomen. In eerste instantie werd aangeraden om telemetrie op het apparaat uit te schakelen, maar dat is geen effectieve mitigatie meer, aldus Palo Alto Networks in een update van het beveiligingsbulletin. Daarin wordt ook meer informatie over de aanvallen gegeven, zoals hoe organisaties kunnen controleren of hun firewall is gecompromitteerd. Via het beveiligingslek kan een ongeauthenticeerde aanvaller willekeurige code met rootrechten op de firewall uitvoeren. Aanvallers zouden zeker al sinds 26 maart misbruik van het lek maken. bron: https://www.security.nl

Oracle heeft tijdens de patchronde van april 441 patches uitgebracht voor een groot aantal kritieke kwetsbaarheden, onder andere in Oracle WebLogic Server, een product dat in het verleden geregeld is aangevallen. De 441 patches willen niet zeggen dat er 441 kwetsbaarheden zijn. Sommige kwetsbaarheden zijn in meerdere producten aanwezig waar aparte patches voor worden gemaakt. In het overzicht van beveiligingslekken staan meerdere kwetsbaarheden met een impactscore van 9.8 of 9.9 op een schaal van 10. Het gaat onder andere om Oracle Hospitality Simphony, Oracle Commerce Platform, Oracle Communications Network Integrity, Oracle Application Testing Suite, Oracle Enterprise Manager for Fusion Middleware, Oracle HTTP Server, Oracle Identity Manager, Oracle Internet Directory, Oracle Web Services Manager, Oracle Solaris Cluster en Oracle WebLogic Server. Via de kritieke beveiligingslekken kan een ongeauthenticeerde aanvaller kwetsbare systemen in het ergste geval op afstand overnemen. Oracle WebLogic is een populaire Java-applicatieserver en een geliefd doelwit van cybercriminelen. In het verleden zijn kwetsbaarheden in de software vaker het doelwit van aanvallen geweest. Meerdere keren werden WebLogic-lekken kort na het uitkomen van de patches misbruikt. Oracle zegt dat het berichten blijft ontvangen van aanvallen waarbij er misbruik wordt gemaakt van kwetsbaarheden waarvoor het al beveiligingsupdates heeft uitgebracht. Sommige van de aanvallen waren ook succesvol omdat klanten hadden nagelaten de patches te installeren, aldus het softwarebedrijf. Oracle roept organisaties dan ook op om de nu beschikbaar gestelde updates meteen te installeren. In tegenstelling tot bijvoorbeeld Adobe of Microsoft komt Oracle niet elke maand maar elk kwartaal met updates. De volgende patchronde staat gepland voor 16 juli. bron: https://www.security.nl

Er is een toename van bruteforce-aanvallen tegen vpn- en ssh-servers, zo waarschuwt Cisco vandaag, dat tevens een lijst met door de aanvallers gebruikte ip-adressen, wachtwoorden en gebruikersnamen heeft gepubliceerd. De aanvallen zijn onder andere gericht tegen vpn-oplossingen van Cisco zelf, alsmede Checkpoint, Fortinet en SonicWall. Daarnaast zijn ook RD Web Services en apparatuur van Miktrotik, Draytek en Ubiquiti doelwit. Bij de aanvallen proberen de aanvallers generieke gebruikersnamen en geldige gebruikersnamen voor bepaalde organisaties. De aanvallen lijken ongericht en hebben niet een specifieke regio of industrie als doelwit. Volgens Cisco zijn de aanvallen afkomstig van verschillende proxy-diensten en het Tor-netwerk. "Afhankelijk van de aangevallen omgeving, kunnen dit soort aanvallen wanneer succesvol leiden tot ongeautoriseerde netwerktoegang, lockouts van accounts of denial of service-omstandigheden", aldus Cisco. De netwerkgigant merkt op dat het verkeer van deze aanvallen de afgelopen tijd is toegenomen en waarschijnlijk zal blijven toenemen. bron: https://www.security.nl

Microsoft gaat de hoeveelheid bulkmail die via Exchange Online is te versturen beperken, zo heeft het techbedrijf aangekondigd. Vanaf januari 2025 zullen organisaties die van Exchange Online gebruikmaken berichten naar maximaal tweeduizend ontvangers per dag kunnen versturen. Op dit moment handhaaft Microsoft nog geen limiet voor bulkmail. Via de Recipient Rate (ERR) limiet wil Microsoft naar eigen zeggen 'oneerlijk gebruik' en misbruik van Exchange Online tegengaan. Exchange Online zal een limiet van maximaal tienduizend ontvangers gaan hanteren. De limiet van tweeduizend ontvangers binnen 24 uur zal een sub-limiet binnen deze limiet worden. Wanneer de grens van tweeduizend externe ontvangers binnen 24 uur niet wordt bereikt, kunnen er nog steeds berichten naar in totaal tienduizend ontvangers worden verstuurd. De nu aangekondigde limiet zal gefaseerd worden ingevoerd. Vanaf 1 januari geldt die voor cloud-hosted mailboxes van nieuwe klanten. Tussen juli en december 2025 wordt dit ook voor bestaande klanten doorgevoerd. Organisaties die meer mail willen versturen worden door Microsoft naar Azure Communication Services for Email verwezen. bron: https://www.security.nl

Cisco heeft klanten die gebruikmaken van de Duo-authenticatieoplossingen gewaarschuwd voor een datalek met MFA SMS-logbestanden. Duo, dat in 2018 voor een bedrag van 2,35 miljard dollar door Cisco werd overgenomen, biedt oplossingen voor het inloggen via multifactorauthenticatie (MFA). Een telecomprovider die Duo gebruikt voor het versturen van MFA-berichten via SMS en VoIP naar klanten is begin deze maand gecompromitteerd, waarbij de aanvaller toegang kreeg tot logbestanden. De aanvaller wist met inloggegevens van een medewerker van de telecomprovider toegang tot interne systemen te krijgen. Deze inloggegevens werden via een phishingaanval verkregen. Via de interne systemen van de provider kon de aanvaller de logbestanden downloaden. De logbestanden bevatten niet de inhoud van het verstuurde bericht, maar wel telefoonnummer, telecomprovider, land en staat waar elk bericht naar toe werd gestuurd, alsmede andere metadata. De niet nader genoemde provider zegt maatregelen te hebben genomen om herhaling in de toekomst te voorkomen. Naast technische maatregelen moeten medewerkers ook een aanvullende awareness-training over social engineering volgen. Duo roept aangeschreven managed serviceproviders op om hun klanten met getroffen gebruikers direct te waarschuwen en dat die alert moet zijn op mogelijke social engineering-aanvallen die kunnen volgen. Het bericht van Cisco Duo werd gedeeld op Reddit in een subreddit van managed serviceproviders (MSP's). Meerdere deelnemers aan deze subreddit laten weten dat ze het bericht hebben ontvangen. Duo biedt een MSP-programma waarbij deze bedrijven de authenticatieoplossingen voor hun klanten kunnen gebruiken. bron: https://www.security.nl

Vanaf 29 april mogen fabrikanten in het Verenigd Koninkrijk geen Internet of Things (IoT) apparaten meer aanbieden met standaard wachtwoorden. Ook moeten ze dan laten weten hoelang ze het apparaat van beveiligingsupdates voorzien en een aanspreekpunt hebben waar kwetsbaarheden kunnen worden gemeld. De eisen zijn onderdeel van de Product Security and Telecommunications Infrastructure wetgeving die over twee weken van kracht wordt in het VK. Het Britse National Cyber Security Centre (NCSC) heeft nu een poster ontwikkeld die in winkels gehangen kan worden en klanten uitlegt waarom het belangrijk is om cyberveilige producten te kiezen (pdf). De Britse overheidsinstantie roept alle winkels op om de poster te printen en op te hangen. Verder worden gebruikers van IoT-apparaten opgeroepen om de standaard instellingen van apparatuur te controleren en waar nodig te wijzigen, en de laatste updates te installeren. bron: https://www.security.nl

Duizenden kwetsbare NAS-systemen van fabrikant D-Link zijn vanaf internet bereikbaar en lopen het risico om door kwaadwillenden te worden overgenomen. De apparaten zijn end-of-life en zullen daardoor geen updates meer ontvangen. Aanvallers maken inmiddels actief misbruik van de problemen met de NAS-systemen. In eerste instantie meldde D-Link dat vier modellen kwetsbaar zijn, maar dat zijn er twintig. "De gerapporteerde kwetsbaarheden betreffen command injection en een backdoor-account voor de webinterface waardoor een malafide gebruiker misbruik van de apparaten kan maken", aldus D-Link in een vandaag gepubliceerde update van het beveiligingsbulletin. Eerder deze week werd nog aangekondigd dat 92.000 kwetsbare NAS-systemen op internet zijn te vinden, maar dat zijn er volgens securitybedrijf Censys veel minder, namelijk 3700. Bij meer dan 350 van deze apparaten staat remote access ingeschakeld en een kleine tweehonderd beschikken over een VoIP-functionaliteit. De meeste NAS-systemen werden gevonden in de Verenigde Staten, Rusland, Italië, Duitsland en Frankrijk. Zowel D-Link als de Amerikaanse overheid roepen eigenaren op om de apparaten door een nieuw NAS-systeem te vervangen. bron: https://www.security.nl

De op privacygerichte zoekmachine DuckDuckGo heeft vandaag een eigen vpn-dienst, dataverwijdertool en id-fraudehulp gelanceerd. De drie diensten zijn onderdeel van één abonnement dat tien dollar per maand of 99 dollar per jaar kost. Op dit moment is DuckDuckGo Privacy Pro alleen beschikbaar in de Verenigde Staten, maar het is de bedoeling om het abonnement in de toekomst in andere regio's aan te bieden. DuckDuckGo laat weten dat het de vpn-dienst zelf heeft ontwikkeld en beheert. "We houden geen logs van je vpn-activiteiten bij. Dit houdt in dat we niet in staat zijn om wat je met de DuckDuckGo VPN doet aan jou als individu te koppelen - of aan iets anders dat je op DuckDuckGo doet, zoals zoeken." Op dit moment zijn er vpn-servers in de VS, Canada en Europa beschikbaar. De vpn-dienst maakt gebruik van het WireGuard-protocol en dns-verzoeken gaan automatisch via de vpn naar dns-servers van DuckDuckGo zelf. Het tweede deel van het abonnement betreft 'Personal Information Removal' waarmee gebruikers hun persoonlijke informatie bij datahandelaren en personenzoekmachines kunnen laten verwijderen. Dan is er nog de 'Identity Theft Restoration' dienst. Slachtoffers van identiteitsfraude kunnen daarmee hun kredietscore laten herstellen, identiteitsdocumenten opnieuw aanvragen en bij het betwisten van frauduleuze transacties ondersteuning krijgen. Eerder deze week stelde DuckDuckGo nog dat online privacy niet iets is voor mensen die iets te verbergen hebben, maar een mensenrecht. bron: https://www.security.nl

Microsoft gaat de oorzaak van kwetsbaarheden in de eigen producten voortaan via de CWE-standaard beschrijven. CWE staat voor Common Weakness Enumeration en is een industriestandaard waarmee de onderliggende oorzaak van een kwetsbaarheid wordt beschreven zoals bijvoorbeeld 'verkeerde invoervalidatie', 'gebruik van hard-coded credentials' of 'verkeerde authenticatie'. Volgens Microsoft moet het gebruik van de CWE-standaard binnen de eigen beveiligingsbulletins voor betere discussies zorgen over het vinden en voorkomen van dergelijke kwetsbaarheden in bestaande software en hardware, en ze ook in toekomstige updates en releases zoveel mogelijk te beperken. "Als industrie kunnen we niet managen wat we niet kunnen meten. Door onze eigen kwetsbaarheden van nauwkeurige CWE's te voorzien, alsmede sectorgenoten op te roepen hetzelfde te doen, is de sleutel tot het systematisch begrijpen, verhelpen en neutraliseren van gehele klasse kwetsbaarheden", aldus Microsofts Lisa Olson. bron: https://www.security.nl

Tijdens de patchcyclus van april heeft Microsoft 147 kwetsbaarheden verholpen, waaronder twee actief aangevallen zerodaylekken in Windows. De eerste zeroday (CVE-2024-29988) bevindt zich in SmartScreen. Dit is een beveiligingsmaatregel van Windows die gebruikers een waarschuwing toont bij het openen van bestanden afkomstig van internet. Windows kent het Mark-of-the-Web (MOTW) toe aan bestanden die vanaf internet zijn gedownload. Bestanden worden dan van een aparte tag voorzien. Bij het openen van bestanden met een MOTW-tag zal Windows een extra waarschuwing aan gebruikers tonen of ze het bestand echt willen openen, aangezien het van internet afkomstig is. Het zerodaylek zorgt ervoor dat de waarschuwing niet verschijnt. In het beveiligingsbulletin staat dat de kwetsbaarheid niet wordt misbruikt, maar tegenover securitybedrijf ZDI laat Microsoft weten dat dit wel het geval is. De tweede zeroday (CVE-2024-26234) wordt door Microsoft omschreven als een 'proxy driver spoofing vulnerability'. Dit beveiligingslek werd gebruikt om een malafide driver gesigneerd te krijgen via een geldig Microsoft Hardware Publisher Certificate, zo meldt antivirusbedrijf Sophos dat de kwetsbaarheid ontdekte en bij Microsoft rapporteerde. Het betreffende certificaat is inmiddels ingetrokken. Drie andere kwetsbaarheden die volgens het ZDI de aandacht verdienen zijn een spoofinglek in Outlook waardoor NTLM-hashes zijn te stelen, een remote code execution-lek in Windows DNS Server en een kwetsbaarheid in Remote Procedure Call (RPC) waardoor remote code execution voor een geauthenticeerde aanvaller mogelijk is. Volgens ZDI zijn zo'n 1,3 miljoen systemen op internet te vinden waarbij TCP-poort 135 benaderbaar is en daardoor risico op aanvallen via het RPC-lek lopen. De updates van Microsoft worden op de meeste systemen automatisch geïnstalleerd. bron: https://www.security.nl

Netwerkfabrikant Fortinet waarschuwt voor een kwetsbaarheid in FortiOS en FortiProxy waardoor een aanvaller de cookies van administrators kunnen stelen. Er zijn updates uitgebracht om het probleem te verhelpen. FortiOS is het besturingssysteem van Fortinet dat op allerlei netwerkapparaten draait, zoals firewalls en vpn-systemen. FortiProxy is een webgateway. Het beveiligingslek, aangeduid als CVE-2023-41677, wordt door Fortinet omschreven als een 'insufficiently protected credentials' kwetsbaarheid. Om de cookies te kunnen stelen zou een aanvaller een administrator eerst een malafide website moeten laten bezoeken via de vpn. Met de gestolen cookies kan een aanvaller vervolgens ongeautoriseerde code of commando's op het systeem uitvoeren. De impact is op een schaal van 1 tot en met 10 beoordeeld met een 7.5. bron: https://www.security.nl

Duizenden WordPress-sites kunnen door kwaadwillenden op afstand worden overgenomen omdat ze updates voor kritieke kwetsbaarheden niet hebben geïnstalleerd. De websites in kwestie maken gebruik van een plug-in genaamd MasterStudy, waarmee WordPress-sites zijn om te vormen tot een 'learning management system' (LMS). De plug-in is op meer dan tienduizend websites actief en wordt vooral gebruikt door online coaches, trainers en andere websites die zich met elearning bezighouden. De eerste kritieke kwetsbaarheid (CVE-2024-2409) maakt het mogelijk voor een ongeauthenticeerde aanvaller om zichzelf tijdens de registratie, door de user metadata aan te passen, beheerder van de website te maken. Via het tweede en derde beveiligingslek (CVE-2024-2411 en CVE-2024-3136) kan een ongeauthenticeerde aanvaller PHP-bestanden uploaden en zo willekeurige bestanden op de server uitvoeren. De impact van de drie kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.8, zo meldt securitybedrijf Wordfence. De problemen zijn via drie beveiligingsupdates verholpen, waarvan de laatste op 4 april verscheen. Uit cijfers van WordPress.org blijkt echter dat nog duizenden websites de updates niet geïnstalleerd hebben en daardoor risico lopen om te worden aangevallen. bron: https://www.security.nl

De Europese privacytoezichthouder EDPS heeft bij de presentatie van het jaaroverzicht 2023 opnieuw gewaarschuwd voor Europese plannen om chatberichten van Europese burgers te controleren, wat tot 'onomkeerbare surveillance' kan leiden (pdf). Al in 2022 sloeg de EDPS alarm over het voorstel van de Europese Commissie om de communicatie van burgers te controleren, als maatregel om kindermisbruik tegen te gaan. Begin 2022 kwam de Europese Commissie met een voorstel om alle chatberichten en ander verkeer van burgers te inspecteren. In het geval van end-to-end versleutelde chatdiensten zou dit via client-side scanning moeten plaatsvinden, waarbij alle berichten van alle burgers zouden worden gecontroleerd. Eind vorig jaar bleek dat het Europees Parlement tegen het voorstel van de Europese Commissie is en kwam met een eigen voorstel. De Europese lidstaten hebben nog geen gezamenlijke positie ingenomen en die is er nog altijd niet. Onlangs kwam de Raad Justitie en Binnenlandse Zaken (JBZ) bijeen, waarbij ook de CSAM-verordening aan bod kwam. EU-voorzitter België presenteerde toen een nieuw tekstvoorstel over de CSAM-verordening. Daarbij zou er een 'meer proportionele' aanpak worden gekozen, maar volgens critici is dat niet het geval en loopt de vertrouwelijkheid van communicatie nog steeds gevaar. Vorig jaar organiseerde de EDPS een seminar over het 'Brusselse scanplan'. "Ik sprak uit de volle overtuiging dat het CSAM-voorstel het internet en digitale communicatie zoals we die kennen fundamenteel zou veranderen, en een omslagpunt zou bereiken waarvan geen weg terug is", aldus EDPS-voorzitter Wojciech Wiewiorowski tijdens zijn presentatie aan een commissie van het Europees Parlement (pdf). bron: https://www.security.nl

Aanvallers maken actief misbruik van een backdoor en een kwetsbaarheid in zeker 92.000 NAS-systemen van fabrikant D-Link. De kwetsbare apparaten zijn end-of-life en ontvangen geen beveiligingsupdates meer. Zowel D-Link als securitybedrijven roepen gebruikers op om de NAS-systemen offline te halen. Het probleem speelt onder andere bij de D-Link DNS-340L, DNS-320L, DNS-327L en DNS-325. Het betreft een command injection-kwetsbaarheid en het gebruik van hardcoded credentials, of een 'backdoor account' zoals D-Link het noemt. Via de kwetsbaarheden kan een aanvaller zonder authenticatie willekeurige commando's op het NAS-systeem uitvoeren, wat kan leiden tot remote code execution (RCE). Om kwetsbare NAS-systemen aan te kunnen vallen moeten een aanvaller hier wel een malafide HTTP-request naar toe kunnen sturen. "We zien vanaf meerdere ip-adressen scans/exploits voor CVE-2024-3273 (kwetsbaarheid in end-of-life D-Link NAS-systemen). Het gaat om een combinatie van een backdoor en command injection om RCE mogelijk te maken", aldus de Shadowserver Foundation op X. Dit is een organisatie die zich met de bestrijding van botnets en cybercrime bezighoudt. "Aangezien er geen patch voor deze kwetsbaarheid beschikbaar is, moeten deze apparaten worden vervangen/offline gehaald, en minimaal hun remote toegang achter een firewall hebben zitten." "Actief misbruik van een remote code execution-kwetsbaarheid in D-Link NAS-systemen, raakt minstens 92.000 apparaten", laat securitybedrijf GreyNoise weten. Volgens het bedrijf worden de aanvallen uitgevoerd door een botnet waarbij wordt geprobeerd om de NAS-systemen met malware te infecteren. GreyNoise roept eigenaren van een kwetsbaar NAS-systeem op om in ieder geval hun UPnP-configuratie te controleren. bron: https://www.security.nl

De onlangs gevonden backdoor in datacompressietool XZ maakt niet alleen remote code execution mogelijk, maar ook een volledige authenticatie bypass waardoor een aanvaller met elk willekeurig wachtwoord op een systeem kan inloggen, zo stelt de Nederlandse beveiligingsonderzoeker Peter “blasty” Geissler op basis van eigen onderzoek. Volgens Geissler heeft de maker van de backdoor uitgebreide kennis van OpenSSH. Veel details over de backdoor zijn nog altijd onbekend, zoals de exacte werking en wie verantwoordelijk is. Lasse Collin, de maker van XZ, meldde vorige week dat hij een eigen onderzoek naar de backdoor zal uitvoeren. Het enige dat Collin sindsdien heeft gemeld zijn mogelijke plannen voor XZ wat betreft recent doorgevoerde commits aan de code en het gebruik van een nieuw versienummer. Verschillende onderzoekers hebben echter al wel hun bevindingen gedeeld, waaronder Geissler. Hij meldt via X dat hij een wat lastiger te activeren functionaliteit van de backdoor heeft gevonden, maar er nog meer te verkennen is. Daarbij is het via de backdoor mogelijk om de authenticatie volledig te omzeilen en met elk willekeurig wachtwoord in te loggen. "Wie dit heeft ontworpen heeft zich behoorlijke in de openSSH(d) internals verdiept", aldus Geissler. Er is inmiddels ook een Wikipedia-pagina waarin de werking van de backdoor wordt beschreven. bron: https://www.security.nl

Netwerkfabrikant D-Link waarschuwt voor een backdoor-account in niet meer ondersteunde NAS-systemen, waardoor aanvallers de apparaten op afstand kunnen aanvallen. Volgens een beveiligingsonderzoeker zijn meer dan 92.000 kwetsbare NAS-systemen op internet te vinden. Aangezien de apparaten geen patches meer ontvangen adviseert D-Link die niet meer te gebruiken en door een nieuwe NAS te vervangen. Het probleem speelt onder andere bij de D-Link DNS-340L, DNS-320L, DNS-327L en DNS-325. Het betreft een command injection-kwetsbaarheid en het gebruik van hardcoded credentials, of een 'backdoor account' zoals D-Link het noemt. Via de kwetsbaarheden kan een aanvaller zonder authenticatie willekeurige commando's op het NAS-systeem uitvoeren, wat kan leiden tot toegang tot gevoelige informatie, het aanpassen van de systeemconfiguratie of een denial of service. D-Link stelt dat de betreffende NAS-systemen end-of-life zijn en niet meer worden ondersteund. Gebruikers worden dan ook opgeroepen deze apparaten niet meer te gebruiken en te vervangen door nog wel ondersteunde apparatuur. Om kwetsbare NAS-systemen aan te kunnen vallen moeten een aanvaller hier wel een malafide HTTP-request naar toe kunnen sturen. Volgens een onderzoek met het alias 'NetworkSecurityFish' zijn echter meer dan 92.000 kwetsbare NAS-systemen vanaf het internet bereikbaar. bron: https://www.security.nl

De populaire broncode- en teksteditor Notepad++ heeft gebruikers om hulp gevraagd bij het offline halen van een 'parasitaire website'. Het gaat om de website 'notepad.plus' die zich in de kleine letters onderaan de pagina omschrijft als een 'onofficiële fan website'. Volgens Don Ho, maker van Notepad++, denken sommige gebruikers ten onrechte dat notepad.plus de officiële website van Notepad++ is. "Deze website heeft een verborgen agenda. Het zit op elke pagina vol malafide advertenties. Deze advertenties proberen nietsvermoedende Notepad++-gebruikers te laten klikken, wat geld voor de eigenaren van de site oplevert", aldus Ho. Volgens de ontwikkelaar heeft notepad.plus als doel om verkeer van de legitieme Notepad++-website weg te leiden, wat de veiligheid van gebruikers in gevaar brengt en de integriteit van de community ondermijnt. Ho roept gebruikers dan ook op om de site als schadelijke website bij Google te rapporteren. De oproep lijkt succesvol, want notepad.plus is niet meer bereikbaar. bron: https://www.security.nl

Mozilla heeft twee kritieke kwetsbaarheden in Firefox die onlangs tijdens de Pwn2Own-wedstrijd in Vancouver werden gedemonstreerd, en waardoor aanvallers systemen kunnen overnemen, binnen 21 uur gepatcht. Daarmee was het van de andere browserontwikkelaars de eerste om de Pwn2Own-kwetsbaarheden te verhelpen. Tijdens Pwn2Own worden onderzoekers beloond voor het demonstreren van onbekende kwetsbaarheden in populaire producten. Tijdens de laatste editie, die plaatsvond op 20 en 21 maart, werden succesvolle aanvallen tegen Chrome, Edge, Firefox en Safari gedemonstreerd. Alleen in het geval van Firefox ging het om kritieke kwetsbaarheden waarmee een aanvaller code op het onderliggende systeem kan uitvoeren. Onderzoeker Manfred Paul wist via zijn exploit uit de sandbox van Firefox te ontsnappen om zo code buiten de browser uit te voeren. Mozilla laat weten dat de eigen engineers altijd stand-by staan als Pwn2Own plaatsvindt, zodat het snel op gevonden problemen kan reageren. In dit geval werden de kwetsbaarheden binnen 21 uur met een update verholpen. Google kwam voor de Pwn2Own-lekken op 26 maart en 2 april met updates. Microsoft deed dat op 27 maart en 4 april. Apple moet nog met patches komen. bron: https://www.security.nl

Firefox is een samenwerking aangegaan met zoekmachine Qwant, die volgens Mozilla privacy van gebruikers en het blokkeren van trackers als prioriteit heeft. "Qwant is een op privacy-gerichte zoekmachine die gebruikers op de eerste plek zet en tegelijkertijd persoonlijke data beschermt. Door het blokkeren van trackers en advertenties helpt Qwant om je zoekresultaten neutraal en volledig te houden. Net als Firefox." De zoekmachine heeft als slogan: "Qwant doesn’t know anything about you and that changes everything!" Mozilla stelt dat de ontwikkelaars van de zoekmachine toegewijd zijn aan het beschermen van de privacy van gebruikers en het beschermen van de gedecentraliseerde aard van het web. "Waar mensen controle over hun eigen online ervaring hebben." bron: https://www.security.nl

Cisco waarschuwt voor een kwetsbaarheid in zes types vpn-routers waardoor een aanvaller in het ergste geval toegang tot de apparaten kan krijgen. Een beveiligingsupdate wordt echter niet beschikbaar gemaakt, omdat de routers end-of-life zijn, zo laat Cisco weten. Het gaat om Cisco Small Business RV016, RV042, RV042G, RV082, RV320 en RV325 vpn-routers. Doordat de webinterface gebruikersinvoer onvoldoende valideert is cross-site scripting (XSS) mogelijk. Een aanvaller zou in dit geval het doelwit wel eerst een malafide of gecompromitteerde website moeten laten uitvoeren. Vervolgens zou een aanvaller scriptcode in de context van de webinterface kunnen uitvoeren of toegang tot gevoelige informatie in de browser kunnen krijgen. Cisco meldt dat er geen updates en workarounds voor het probleem zijn. Het netwerkbedrijf adviseert als mitigatie om remote management uit te schakelen en toegang tot poorten 443 en 60443 te blokkeren. Een andere optie is de aanschaf van een nieuwe router. bron: https://www.security.nl

Linux-distributie Ubuntu heeft vanwege de XZ-backdoor besloten een bètaversie van Ubuntu 24.04 LTS (Noble Numbat) met een week uit te stellen. Oorspronkelijk stond deze versie voor morgen gepland, maar dat is verschoven naar 11 april. Als gevolg van de backdoor, aangeduid als CVE-2024-3094, heeft Canonical de beslissing genomen om alle binary packages voor Noble Numbat, die na de commit van de backdoor aan XZ-utils zijn gemaakt, te verwijderen en opnieuw te builden. "Dit geeft ons het vertrouwen dat geen enkele binary in onze builds door deze opkomende dreiging getroffen is", aldus Lukasz Zemczak van Canonical, de ontwikkelaar van Ubuntu. Eerder werd gewaarschuwd dat de gecompromitteerde versies van XZ aan verschillende Linux-distributies waren toegevoegd, waaronder Fedora Linux 40 beta en Fedora Rawhide. Wired kwam vandaag met een artikel over 'Jia Tan', de persoon die de backdoor aan datacompressietool XZ toevoegde. Onderzoekers vermoeden dat het om een persona van een statelijke actor gaat met als langetermijndoel het compromitteren van opensourceprojecten. bron: https://www.security.nl

De betaalde enquêtewebsite SurveyLama heeft de persoonlijke gegevens van 4,4 miljoen gebruikers gelekt. Het gaat om e-mailadressen, ip-adressen, adresgegevens, telefoonnummers, geboortedatum en wachtwoordhashes. Via SurveyLama kunnen gebruikers tegen betaling allerlei enquêtes invullen. Hoe de gegevens konden worden gestolen is onbekend. De gelekte e-mailadressen zijn toegevoegd aan datalekzoekmachine Have I Been Pwned. Via de website kunnen gebruikers kijken of hun gegevens in een bekend datalek voorkomen. Van de 4,4 miljoen e-mailadressen die via SurveyLama op straat zijn beland was 28 procent al via een ander datalek bij Have I Been Pwned bekend. SurveyLama claimt dat het gebruikers via e-mail over het datalek heeft ingelicht. bron: https://www.security.nl