Captain Kirk

Authenticatieplatform Okta waarschuwt klanten voor een grootschalige credential stuffing-aanval op gebruikersaccounts die afgelopen week plaatsvond en waarbij gebruik werd gemaakt van zogenoemde 'residential proxies'. Het gaat hier om proxydiensten die het verkeer van betalende klanten via de systemen en internetverbindingen van legitieme thuisgebruikers laten lopen.

Okta biedt een platform waar wereldwijd duizenden bedrijven gebruik van maken om werknemers toegang tot systemen en applicaties te geven. Criminelen voeren geregeld phishingaanvallen uit waarbij medewerkers van organisaties sms-berichten ontvangen die naar Okta-phishingsites linken. Op deze manier wordt geprobeerd om inloggegevens voor accounts te ontfutselen. Bij de nu waargenomen aanval proberen de aanvallers direct op het account van medewerkers in te loggen.

De aanvallers maken hiervoor gebruik van credential stuffing. Bij een dergelijk aanval worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan.

Onlangs waarschuwde ook Cisco voor credential stuffing-aanvallen tegen ssh- en vpn-servers. Volgens Okta zijn beide aanvallen afkomstig van dezelfde infrastructuur, waarbij gebruik wordt gemaakt van het Tor-netwerk en proxydiensten. Het gaat dan specifiek om 'residential proxies'. Deze diensten maken zoals gezegd gebruik van de systemen en internetverbindingen van legitieme thuisgebruikers om het internetverkeer van betalende klanten te routeren.

Deze thuisgebruikers kunnen hun systemen bewust aanmelden bij een proxydienst en krijgen dan in ruil voor hun proxy een vergoeding. Ook komt het voor dat met malware besmette systemen onderdeel van een proxynetwerk worden gemaakt. Okta meldt dat een groot aantal mobiele telefoons onderdeel van een proxynetwerk is geworden, doordat gebruikers een app installeerden die door middel van een besmette SDK (software development kit) was gemaakt. De app-ontwikkelaars kunnen bewust de app hebben gebruikt of zijn zich niet bewuste van de aanwezige kwaadaardige code, laat Okta verder weten.

Het voordeel voor aanvallers om residential proxies te gebruiken is dat het verkeer van de credential stuffing-aanvallen afkomstig lijkt van de telefoons, computers en browsers van normale gebruikers, in plaats van de ip-adressen van VPS-providers die ook vaak door proxydiensten worden gebruikt. Okta adviseert organisaties om inlogpogingen afkomstig van residential proxies te blokkeren en multifactorauthenticatie voor accounts in te stellen. Ook heeft het bedrijf een Top 20 van netwerkproviders gegeven die door de aanvallers zijn gebruikt, waaronder Surf B.V., OVH en Akamai Connected Cloud.

bron: https://www.security.nl

Een groot deel van de CrushFTP-servers mist een belangrijke beveiligingsupdate voor een actief aangevallen kwetsbaarheid waardoor een aanvaller het systeem kan overnemen. In eerste instantie werd gemeld dat een aanvaller via de kwetsbaarheid willekeurige bestanden kon lezen, maar securitybedrijf Rapid7 laat weten dat het beveiligingslek het omzeilen van de authenticatie voor het admin-account en volledige remote code execution mogelijk maakt.

Vorige week waarschuwden de CrushFTP-makers voor een actief aangevallen zerodaylek, waar op het moment van de aanvallen geen patch voor beschikbaar was. Inmiddels zijn er wel updates beschikbaar gemaakt, maar blijken veel beheerders die nog niet geïnstalleerd te hebben. The Shadowserver Foundation telde op 24 april minstens 1400 kwetsbare CrushFTP-servers. Volgens securitybedrijf Censys zijn er op internet zo'n 2400 CrushFTP-servers te vinden. De meeste kwetsbare servers bevinden zich in de Verenigde Staten. In Nederland zijn er zo'n vijftig geteld.

bron: https://www.security.nl

Microsoft is al enige tijd bezig met een plan om kwetsbare Windows-bootmanagers in te trekken, om systemen zo tegen aanvallen met de BlackLotus-malware te beschermen. Een eerdere mitigatie die Microsoft vorig jaar uitbracht is te omzeilen, zo stelt het bedrijf in een nieuwe blogposting. Daarom gaat Microsoft een eigen certificaatautoriteit intrekken, maar dat kan ervoor zorgen dat systemen straks niet meer kunnen opstarten.

De BlackLotus-malware maakt gebruik van een kwetsbaarheid in Windows voor het omzeilen van UEFI Secure Boot en het plaatsen van malafide bestanden in de EFI-systeempartitie (ESP) die door de UEFI-firmware worden geladen. Hierdoor kan de malware onder andere BitLocker en Microsoft Defender uitschakelen. UEFI-malware kan ook een herinstallatie van het besturingssysteem of vervangen van hardware overleven.

De Unified Extensible Firmware Interface (UEFI) zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Wanneer malware de firmware weet aan te passen kan dit grote gevolgen voor de veiligheid van het systeem hebben. Vorig jaar kwam Microsoft met een mitigatie, maar die is te omzeilen.

Daarom gaat het techbedrijf de Microsoft Windows Production PCA (Product Certificate Authority) 2011 intrekken. Dit zal door middel van een DBX-update worden gedaan. Dit heeft echter tot gevolg dat op systemen waarop secure boot staat ingeschakeld, het systeem niet meer kan opstarten via een Windows-bootmanager die is gesigneerd door het Microsoft Windows Production PCA 2011.

Het gaat dan ook om het opstarten via bestaande herstelmedia, usb-media en network boot (WSD/PXE/HTTP) servers waarvan de bootmanager niet is bijgewerkt. Microsoft verwacht met name problemen met PXE boot. "Dat komt doordat je binaries die via PXE worden aangeboden niet kan updaten totdat alle machines ondersteund door de network boot server zijn geüpdatet om de nieuwe database-update te gebruiken", legt Microsofts Sochi Ogbuanya uit. Het techbedrijf heeft een plan van aanpak gepubliceerd hoe organisaties en gebruikers met deze DBX-update kunnen omgaan.

bron: https://www.security.nl

Microsoft gaat een technologie van Windows 11 die voor kleinere updates zorgt ook voor Windows 10 toepassen. Volgens het techbedrijf zorgt het gebruik van 'efficient packaging' in Windows 11 voor veertig procent kleinere updates. Hoe kleiner de updates, hoe sneller beveiligingspatches worden geïnstalleerd en gebruikers beschermd zijn, aldus Microsoft.

Het techbedrijf meldt dat dezelfde technologie van Windows 11 aan Windows 10 versie 22H2 wordt toegevoegd. Daarmee zou de omvang van maandelijkse 'latest cumulative update' (LCU) packages met twintig procent worden verminderd. "Het verkleinen van de omvang van LCU-packages heeft verschillende voordelen, zoals verminderd bandbreedtegebruik, snellere downloads, beperkter netwerkverkeer en verbeterde prestaties op tragere verbindingen", zegt Microsofts Santosh Kumar Patil.

bron: https://www.security.nl

Firewalls van Cisco zijn al maandenlang het doelwit van aanvallen waarbij twee zerodaylekken worden gebruikt, zo heeft het bedrijf zelf laten weten. Bij de aanvallen weten de aanvallers malware op de firewalls te installeren. Hoe de aanvallers toegang tot de firewalls weten te krijgen is onbekend. Het zerodaylek aangeduid als CVE-2024-20359 maakt het mogelijk voor een aanvaller om willekeurige code met rootrechten op de firewall uit te voeren.

Dit is echter alleen mogelijk als de aanvaller al admintoegang tot de firewall heeft. De andere zeroday, CVE-2024-20353, wordt gebruikt om te voorkomen dat de firewall een crash dump kan genereren, wat details over de aanval bevat. Via de kwetsbaarheid vindt er meteen een reboot van de firewall plaats, wat forensisch onderzoek zo bemoeilijkt.

Zodra de aanvallers toegang tot een Cisco-firewall hebben worden er twee backdoors geïnstalleerd die Cisco "Line Runner" en "Line Dancer" noemt. Via de backdoors wijzigen de aanvallers de configuratie van de firewall, verzamelen netwerkverkeer en kunnen zich lateraal door het netwerk bewegen. De Britse overheid maakte een analyse van beide backdoors (pdf1, pdf2).

Cisco stelt dat begin januari de eerste aanvallen zijn waargenomen waarbij de zerodays zijn ingezet. Vorig jaar juli zouden de aanvallers echter al zijn begonnen met het testen van de aanval. De Australische overheid laat weten dat verschillende firewalls in Australië zijn gecompromitteerd. Cisco heeft updates beschikbaar gemaakt om de zerodays te verhelpen. Volgens het netwerkbedrijf zijn de aanvallen het werk van een statelijke actor en is "klein aantal" klanten doelwit geworden.

bron: https://www.security.nl

De Open Source Security Foundation (OpenSSF) en OpenJS Foundation waarschuwen opensource-ontwikkelaars voor social engineering, zoals bij de ontwikkelaar van datacompressietool XZ werd toegepast. Antivirusbedrijf Kaspersky verwacht dat de komende maanden meer gecompromitteerde opensourceprojecten bekend zullen worden. Eerder publiceerde Google-onderzoeker Russ Cox een overzicht van hoe social engineering bij de XZ-ontwikkelaar werd toegepast.

Eén of meerdere aanvallers die zich voordeden als een persoon genaamd 'Jia Tan' wisten het vertrouwen van XZ-ontwikkelaar Lasse Collin te winnen en konden uiteindelijk een backdoor aan code van het project toevoegen. Collin heeft aangegeven met een eigen analyse van de aanval te komen, maar de XZ-ontwikkelaar heeft zijn website sinds 15 april niet meer bijgewerkt.

Volgens de OpenJS Foundation en Open Source Security Foundation is de aanval op XZ waarschijnlijk geen geïsoleerd incident. Ze roepen dan ook alle opensource-ontwikkelaars op om alert te zijn op social engineering, dergelijke patronen te leren herkennen en maatregelen te nemen om hun opensourceprojecten te beschermen. De stichtingen hebben ook verschillende voorbeelden gegeven van hoe social engineering is te herkennen.

"Deze social engineering-aanvallen maken misbruik van het plichtsgevoel dat maintainers voor hun project en community hebben om ze zo te manipuleren", aldus de stichtingen. "Let op hoe interacties je laten voelen. Interacties die zorgen voor twijfel, het gevoel tekort te schieten of het niet genoeg doen aan het project, etc., kunnen onderdeel van een social engineering-aanval zijn", aldus de stichtingen.

"Het is duidelijk dat social engineering veel minder technische vereisten heeft om volledige toegang tot ontwikkelomgevingen te krijgen dan bij supplychain-aanvallen zoals SolarWinds, M.E.Doc en Asus het geval was", zegt antivirusbedrijf Kaspersky. De virusbestrijder verwacht dat de komende maanden meer incidenten zoals XZ bekend zullen worden.

bron: https://www.security.nl

'Edge devices' zoals vpn's, firewalls en e-mail gateways, zijn steeds vaker het doelwit van spionageaanvallen, zo stelt Googles securitybedrijf Mandiant in het eigen jaarrapport. Het aanvallen van dit soort apparaten heeft verschillende voordelen voor aanvallers, zo laat het bedrijf weten. Zo draait er vaak geen beveiligings- of monitoringsoftware op, is er geen gebruikersinteractie vereist om ze te compromitteren, biedt het een springplank om het achterliggende netwerk aan te vallen en bemoeilijkt de vaak proprietary omgeving forensisch onderzoek.

Volgens Mandiant maken aanvallers gebruik van ingebouwde features binnen edge devices, wat de complexiteit van de eigen malware vermindert. Het gaat dan bijvoorbeeld om het gebruik van speciale bestandsformaten of configuratiebestanden. "Dit is met name effectief op edge devices omdat de werking vaak niet gemonitord wordt door netwerkbeheerders en de activiteiten daardoor onopgemerkt blijven", aldus het securitybedrijf.

Firewalls, gateways en vpn-oplossingen ondersteunen zelden beveiligingssoftware waarmee het apparaat op infecties of verdacht gedrag kan worden gemonitord. Verder kunnen de onderliggende platforms proprietary zijn, wat eventueel onderzoek bemoeilijkt. "Exploits voor deze apparaten zijn zeer waardevol voor aanvallers, omdat ze geen gebruikersinteractie vereisen, wat de kans op detectie verkleint."

Wanneer aanvallers over een zeroday-exploit beschikken kunnen ze via het edge device de organisatie binnendringen en vaak lange tijd onopgemerkt blijven. "Als je malware op een Windowscomputer uitrolt is de kans veel groter dat je wordt gepakt dan wanneer je dezelfde malware op een vpn-apparaat uitrolt", zegt Charles Carmakal van Mandiant tegenover The Record. In het jaarrapport meldt Mandiant dat twee van de drie meest aangevallen kwetsbaarheden vorig jaar betrekking hadden op edge devices. Het ging om lekken in MOVEit Transfer en Barracuda Email Security Gateway.

Onlangs waarschuwden het Nederlandse Nationaal Cyber Security Centrum (NCSC) en het Britse National Cyber Security Centre (NCSC) ook dat publiek benaderbare edge devices zoals firewalls, vpn-servers en e-mailservers steeds interessanter voor aanvallers worden.

bron: https://www.security.nl

Aanvallers hebben via het updatemechanisme van virusscanner eScan een onbekend aantal organisaties met backdoors en cryptominers geïnfecteerd. Dat laat antivirusbedrijf Avast weten. De antivirussoftware van eScan maakte standaard altijd via http verbinding voor het downloaden van updates. De aanvallers wisten door middel van een man-in-the-middle (mitm) aanval een malafide update bij aangevallen organisaties te verspreiden.

Vervolgens voert de virusscanner de malafide update uit en wordt het systeem geïnfecteerd. De updates werden wel gecontroleerd, maar via een malafide dll die gesideload werd kon de malware worden uitgevoerd. Hoe de aanvallers de mitm-aanval konden uitvoeren is onbekend, maar Avast denkt dat de aanvallers al toegang tot het systeem of het netwerk van de aangevallen organisatie hadden en zo het verkeer konden omleiden. Bij de aanval werden twee soorten backdoors ingezet, gericht op grote bedrijfsnetwerken.

Daarnaast worden besmette systemen geïnfecteerd met een cryptominer die de rekenkracht van de computer gebruikt voor het minen van cryptovaluta. Avast waarschuwde eScan. De virusbestrijder laat weten dat de nieuwste versies van de antivirussoftware gebruikmaken van https voor het downloaden van updates. Volgens Avast hebben de aanvallers mogelijk banden met een Noord-Koreaanse aanvalsgroep.

bron: https://www.security.nl

Mozilla heeft een een recent toegevoegde feature aan Firefox waardoor onbetrouwbaar geachte downloads proactief worden geblokkeerd wegens een bug tijdelijk uitgeschakeld. De feature zorgde in bepaalde gevallen voor problemen met het downloaden van bestanden. Met de lancering van Firefox 125.0.1 worden downloads van url's die als potentieel onbetrouwbaar worden beschouwd 'proactiever' geblokkeerd, aldus de uitleg van Mozilla.

De feature zorgde echter voor problemen bij het downloaden van bestanden, zo blijkt uit klachten van meerdere gebruikers. Die melden onder andere dat de verkeerde content wordt gedownload en ook het downloaden van documenten vanaf een intranet niet goed meer gaat. Vanwege de impact heeft Mozilla Firefox 125.0.2 als spoedoplossing uitgebracht en besloten de feature tijdelijk uit te schakelen. De maatregel zal in een toekomstige versie weer worden ingeschakeld.

bron: https://www.security.nl

Een zerodaylek in de Windows Print Spooler-service, dat door de Amerikaanse geheime dienst NSA aan Microsoft werd gerapporteerd, is jarenlang gebruikt bij aanvallen, aldus het techbedrijf. Via de kwetsbaarheid kan een aanvaller die al toegang tot een systeem heeft zijn rechten verhogen tot het SYSTEM-niveau, waarmee volledige controle over het systeem wordt verkregen.

Microsoft kwam op 11 oktober 2022 met een beveiligingsupdate voor de kwetsbaarheid, aangeduid als CVE-2022-38028. Het techbedrijf bedankte destijds de NSA voor het rapporteren van het probleem. In een nieuwe analyse meldt Microsoft dat een aan de Russische geheime dienst gelieerde groep die wordt aangeduid als APT28, Fancy Bear en Forest Blizzard, sinds juni 2020 misbruik van het beveiligingslek maakt en dit mogelijk al sinds april 2019 doet.

Zodra de aanvallers toegang tot een systeem hebben misbruiken ze de kwetsbaarheid om hun rechten te verhogen en vervolgens inloggegevens te stelen, aldus Microsoft. Het techbedrijf roept organisaties op om de kwetsbaarheid voor CVE-2022-38028 zo snel mogelijk te installeren als dat nog niet is gedaan. Verder adviseert Microsoft het uitschakelen van de Windows Print Spooler-service op domaincontrollers, omdat deze service niet vereist is voor het functioneren van de controller.

bron: https://www.security.nl

Het aantal slachtoffers van ransomware dat losgeld betaalt is naar het laagste niveau in vijf jaar tijd gedaald, zo stelt securitybedrijf Coveware. Volgens onderzoekers van het bedrijf besloot 28 procent van de slachtoffers in het eerste kwartaal van dit jaar criminelen te betalen, tegenover 85 procent in het eerste kwartaal van 2019. Ook heeft de daling doorgezet van de hoogte van het losgeldbedrag. Het gemiddelde losgeldbedrag dat werd betaald bedroeg 382.000 dollar, een daling van 32 procent ten opzichte van het vierde kwartaal van 2023.

Volgens Coveware wordt de daling onder andere veroorzaakt door de aanpak van Ransomware-as-a-Service (RaaS) ontwikkelaars en de manier waarop die zich de afgelopen maanden gedroegen. Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen (partners van de ransowmare-ontwikkelaars) moeten in dit geval de ransomware nog wel zelf verspreiden.

Begin dit jaar werden een website en servers van de LockBit-ransomware in beslag genomen. LockBit werd als Ransomware-as-a-Service aangeboden. Daarnaast bleek dat een andere ransomwaregroep, genaamd BlackCat (ALPHV), partners had opgelicht. De manier waarop RaaS-ontwikkelaars op de ontwikkelingen reageerden was verbijsterend, aldus de onderzoekers. In plaats van moeite te doen om het vertrouwen van partners te versterken, deden de ontwikkelaars juist het tegenovergestelde. Daardoor zijn veel van de partners gestopt of kijken naar het ontwikkelen van hun eigen ransomware.

De onderzoekers keken ook naar de kwetsbaarheden die bij ransomware-aanvallen in het eerste kwartaal werden ingezet. Dan blijkt dat het vooral gaat om beveiligingslekken in vpn-producten van Cisco en NetScaler en ScreenConnect-installaties. Verder was de Akira-ransomware het meest actief in het eerste kwartaal.

bron: https://www.security.nl

Honderdduizenden WordPress-sites zijn kwetsbaar voor aanvallen door een kritieke kwetsbaarheid in de Forminator-plug-in. Via de plug-in kunnen websites allerlei soorten webformulieren maken, zoals contactformulieren, polls, quizzen en betaalformulieren. Meer dan een half miljoen WordPress-sites maken gebruik van de plug--in. Die bevat echter een kritiek beveiligingslek waardoor een aanvaller gevaarlijke bestandstypes naar de webserver kan uploaden en uitvoeren.

De impact van dit beveiligingslek (CVE-2024-28890) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Volgens het Japanse Computer Emergency Response Team Coordination Center (JPCERT/CC), dat voor de kwetsbaarheid waarschuwt, is het probleem aanwezig in alle versies van de plug-in voor versie 1.29.0. Deze versie verscheen eind januari.

De ontwikkelaar maakt in de release notes echter geen melding van het oplossen van het probleem. Cijfers van WordPress.org laten zien dat zo'n 55 procent van de sites met Forminator gebruikmaakt van versie 1.29.0 of nieuwer, wat inhoudt dat een groot aantal nog kwetsbaar is. Als er wordt gekeken naar de dagelijkse downloads na het uitkomen van een nieuwe versie, dan blijkt dat zo'n tweehonderdduizend websites up-to-date zijn, waardoor het aantal kwetsbare sites nog veel groter zou zijn.

bron: https://www.security.nl

Thunderbird krijgt in juli support voor Exchange, zo hebben de ontwikkelaars aangekondigd. Vooralsnog zal het eerst alleen om e-mail gaan en wordt ondersteuning van kalender en adresboek later toegevoegd. Het is voor het eerst in het 20-jarig bestaan van Thunderbird dat er een nieuw e-mailprotocol aan de e-mailclient wordt toegevoegd en dit is dan ook een hele onderneming. "Microsoft Exchange is een populaire e-maildienst voor bedrijven en onderwijsinstellingen, dus het is geen verrassing dat er onder Thunderbird-gebruikers vraag is naar support voor Exchange", aldus de ontwikkelaars.

Op dit moment is het mogelijk om via een betaalde extensie Exchange-accounts via Thunderbird te beheren, maar het wordt niet standaard vanuit de software aangeboden. De ingebouwde support van het Exchange-protocol wordt mogelijk doordat Thunderbird ondersteuning van de Rust-programmeertaal krijgt. Door middel van een zogenoemd 'Rust crate' kan het Exchange-protocol straks binnen de e-mailclient worden gebruikt.

Het ontwikkelteam heeft nu meer technische details gegeven over hoe ze de support voor het Microsoft Exchange Web Services e-mailprotocol binnen Thunderbird toevoegen. Daarbij wordt vooral het belang van Rust genoemd. "Thunderbird is een groot project beheerd door een klein team, dus het kiezen van een taal voor nieuwe zaken wordt niet zomaar gedaan. We hebben krachtige tools nodig om complexe features relatief snel te ontwikkelen, maar moeten dit balanceren met langetermijnbeheer. Het kiezen van Rust heeft verschillende belangrijke voordelen." De ontwikkelaars wijzen dan naar memory safety, prestaties, modulariteit en ecosysteem.

bron: https://www.security.nl

Het Project Zero-team van Google heeft bij een onderzoek naar de Windows Registry vijftig kwetsbaarheden in de Windows-kernel gevonden die inmiddels door Microsoft zijn verholpen. Dat heeft onderzoeker Mateusz Jurczyk in een blogposting bekendgemaakt. In zo'n tachtig procent van de gevallen gaat het om beveiligingslekken waarmee een aanvaller die al toegang tot een systeem heeft zijn rechten kan verhogen.

"In essentie is het register een hiërarchische database bestaande uit "keys" en "values", die door Windows en applicaties worden gebruikt om allerlei instellingen en configuratiedata op te slaan", aldus de onderzoeker. Het kernelgedeelte van het Windows-register is de afgelopen jaren flink gegroeid. Ging het bij Windows NT 4.0 nog om 10.000 regels code, dat is met Windows 11 naar zo'n 100.000 regels code gestegen.

Jurczyk deed van mei 2022 tot en met december vorig jaar een uitgebreide audit van de Windows Registry, op zoek naar zogeheten 'local privilege escalation' bugs. Dat leverde zoals gezegd vijftig kwetsbaarheden op. Achttien daarvan waren er volgens de onderzoeker eenvoudig te misbruiken, tien hadden een gemiddelde moeilijkheidsgraad. Gemiddeld had Microsoft 81 dagen nodig om na de melding met een update te komen.

Google geeft softwareontwikkelaars standaard negentig dagen de tijd om een kwetsbaarheid te verhelpen, anders maakt het de details openbaar. Volgens Jurczyk laat zijn onderzoek zien dat het register een zeer complex onderdeel van de Windows-kernel is, en één met veel potentie voor het vinden van interessante bugs.

bron: https://www.security.nl

Wachtwoordmanager LastPass waarschuwt gebruikers voor een telefonische phishingaanval waarbij wordt geprobeerd om inloggegevens te stelen. De aanval begint met een telefoontje waarin wordt beweerd dat er vanaf een nieuw apparaat op het LastPass-account van de gebruiker is ingelogd. De gebruiker moet vervolgens een '1' indrukken om dit toe te staan of een '2' om de inlogpoging te blokkeren.

Wanneer gebruikers op '2' drukken krijgen ze te horen dat een helpdeskmedewerker met hen contact op zal nemen. Deze 'medewerker' belt vanaf een gespooft telefoonnummer en zegt voor LastPass te werken. Vervolgens stuurt de 'medewerker' een e-mail waarmee gebruikers de toegang tot hun account zouden kunnen resetten. De link in deze e-mail wijst in werkelijkheid naar de phishingsite help-lastpass[.]com. Op deze site ingevoerde gegevens worden naar de aanvaller gestuurd.

In het geval gebruikers hun master password op de phishingsite invoeren probeert de aanvaller op het LastPass-account in te loggen. Dan worden de instellingen binnen het account aangepast om te voorkomen dat de echte gebruiker kan inloggen. Zo kunnen telefoonnummer en e-mailadres door de aanvaller worden gewijzigd, alsmede het master password. LastPass adviseert gebruikers om meteen op te hangen als ze worden gebeld door iemand die zegt voor LastPass te werken.

bron: https://www.security.nl

Er is een toename van het aantal aanvallen waarbij misbruik wordt gemaakt van een zerodaylek in de firewalls van Palo Alto Networks, zo heeft het bedrijf bekendgemaakt. Daarnaast blijkt dat eerder gegeven mitigatie-advies niet meer effectief is en zijn er ook proof-of-concept exploits voor de kwetsbaarheid (CVE-2024-3400) online verschenen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0.

De kwetsbaarheid is aanwezig in PAN-OS, het besturingssysteem dat op de firewalls van Palo Alto Networks draait. Voor verschillende versies van PAN-OS is inmiddels een hotfix beschikbaar, maar nog zeker zeven versies wachten hierop. In de tussentijd kunnen organisaties die met deze versies werken (10.2.3-h13, 10.2.1-h2, 10.2.2-h5, 10.2.0-h3, 10.2.4-h16, 11.0.1-h4 en 11.0.0-h3) een mitigatie doorvoeren om aanvallen te voorkomen.

In eerste instantie werd aangeraden om telemetrie op het apparaat uit te schakelen, maar dat is geen effectieve mitigatie meer, aldus Palo Alto Networks in een update van het beveiligingsbulletin. Daarin wordt ook meer informatie over de aanvallen gegeven, zoals hoe organisaties kunnen controleren of hun firewall is gecompromitteerd. Via het beveiligingslek kan een ongeauthenticeerde aanvaller willekeurige code met rootrechten op de firewall uitvoeren. Aanvallers zouden zeker al sinds 26 maart misbruik van het lek maken.

bron: https://www.security.nl

Oracle heeft tijdens de patchronde van april 441 patches uitgebracht voor een groot aantal kritieke kwetsbaarheden, onder andere in Oracle WebLogic Server, een product dat in het verleden geregeld is aangevallen. De 441 patches willen niet zeggen dat er 441 kwetsbaarheden zijn. Sommige kwetsbaarheden zijn in meerdere producten aanwezig waar aparte patches voor worden gemaakt.

In het overzicht van beveiligingslekken staan meerdere kwetsbaarheden met een impactscore van 9.8 of 9.9 op een schaal van 10. Het gaat onder andere om Oracle Hospitality Simphony, Oracle Commerce Platform, Oracle Communications Network Integrity, Oracle Application Testing Suite, Oracle Enterprise Manager for Fusion Middleware, Oracle HTTP Server, Oracle Identity Manager, Oracle Internet Directory, Oracle Web Services Manager, Oracle Solaris Cluster en Oracle WebLogic Server.

Via de kritieke beveiligingslekken kan een ongeauthenticeerde aanvaller kwetsbare systemen in het ergste geval op afstand overnemen. Oracle WebLogic is een populaire Java-applicatieserver en een geliefd doelwit van cybercriminelen. In het verleden zijn kwetsbaarheden in de software vaker het doelwit van aanvallen geweest. Meerdere keren werden WebLogic-lekken kort na het uitkomen van de patches misbruikt.

Oracle zegt dat het berichten blijft ontvangen van aanvallen waarbij er misbruik wordt gemaakt van kwetsbaarheden waarvoor het al beveiligingsupdates heeft uitgebracht. Sommige van de aanvallen waren ook succesvol omdat klanten hadden nagelaten de patches te installeren, aldus het softwarebedrijf. Oracle roept organisaties dan ook op om de nu beschikbaar gestelde updates meteen te installeren.

In tegenstelling tot bijvoorbeeld Adobe of Microsoft komt Oracle niet elke maand maar elk kwartaal met updates. De volgende patchronde staat gepland voor 16 juli.

bron: https://www.security.nl

Er is een toename van bruteforce-aanvallen tegen vpn- en ssh-servers, zo waarschuwt Cisco vandaag, dat tevens een lijst met door de aanvallers gebruikte ip-adressen, wachtwoorden en gebruikersnamen heeft gepubliceerd. De aanvallen zijn onder andere gericht tegen vpn-oplossingen van Cisco zelf, alsmede Checkpoint, Fortinet en SonicWall. Daarnaast zijn ook RD Web Services en apparatuur van Miktrotik, Draytek en Ubiquiti doelwit.

Bij de aanvallen proberen de aanvallers generieke gebruikersnamen en geldige gebruikersnamen voor bepaalde organisaties. De aanvallen lijken ongericht en hebben niet een specifieke regio of industrie als doelwit. Volgens Cisco zijn de aanvallen afkomstig van verschillende proxy-diensten en het Tor-netwerk.

"Afhankelijk van de aangevallen omgeving, kunnen dit soort aanvallen wanneer succesvol leiden tot ongeautoriseerde netwerktoegang, lockouts van accounts of denial of service-omstandigheden", aldus Cisco. De netwerkgigant merkt op dat het verkeer van deze aanvallen de afgelopen tijd is toegenomen en waarschijnlijk zal blijven toenemen.

bron: https://www.security.nl

Microsoft gaat de hoeveelheid bulkmail die via Exchange Online is te versturen beperken, zo heeft het techbedrijf aangekondigd. Vanaf januari 2025 zullen organisaties die van Exchange Online gebruikmaken berichten naar maximaal tweeduizend ontvangers per dag kunnen versturen. Op dit moment handhaaft Microsoft nog geen limiet voor bulkmail. Via de Recipient Rate (ERR) limiet wil Microsoft naar eigen zeggen 'oneerlijk gebruik' en misbruik van Exchange Online tegengaan.

Exchange Online zal een limiet van maximaal tienduizend ontvangers gaan hanteren. De limiet van tweeduizend ontvangers binnen 24 uur zal een sub-limiet binnen deze limiet worden. Wanneer de grens van tweeduizend externe ontvangers binnen 24 uur niet wordt bereikt, kunnen er nog steeds berichten naar in totaal tienduizend ontvangers worden verstuurd.

De nu aangekondigde limiet zal gefaseerd worden ingevoerd. Vanaf 1 januari geldt die voor cloud-hosted mailboxes van nieuwe klanten. Tussen juli en december 2025 wordt dit ook voor bestaande klanten doorgevoerd. Organisaties die meer mail willen versturen worden door Microsoft naar Azure Communication Services for Email verwezen.

bron: https://www.security.nl

Cisco heeft klanten die gebruikmaken van de Duo-authenticatieoplossingen gewaarschuwd voor een datalek met MFA SMS-logbestanden. Duo, dat in 2018 voor een bedrag van 2,35 miljard dollar door Cisco werd overgenomen, biedt oplossingen voor het inloggen via multifactorauthenticatie (MFA). Een telecomprovider die Duo gebruikt voor het versturen van MFA-berichten via SMS en VoIP naar klanten is begin deze maand gecompromitteerd, waarbij de aanvaller toegang kreeg tot logbestanden.

De aanvaller wist met inloggegevens van een medewerker van de telecomprovider toegang tot interne systemen te krijgen. Deze inloggegevens werden via een phishingaanval verkregen. Via de interne systemen van de provider kon de aanvaller de logbestanden downloaden. De logbestanden bevatten niet de inhoud van het verstuurde bericht, maar wel telefoonnummer, telecomprovider, land en staat waar elk bericht naar toe werd gestuurd, alsmede andere metadata. De niet nader genoemde provider zegt maatregelen te hebben genomen om herhaling in de toekomst te voorkomen. Naast technische maatregelen moeten medewerkers ook een aanvullende awareness-training over social engineering volgen.

Duo roept aangeschreven managed serviceproviders op om hun klanten met getroffen gebruikers direct te waarschuwen en dat die alert moet zijn op mogelijke social engineering-aanvallen die kunnen volgen. Het bericht van Cisco Duo werd gedeeld op Reddit in een subreddit van managed serviceproviders (MSP's). Meerdere deelnemers aan deze subreddit laten weten dat ze het bericht hebben ontvangen. Duo biedt een MSP-programma waarbij deze bedrijven de authenticatieoplossingen voor hun klanten kunnen gebruiken.

bron: https://www.security.nl