Captain Kirk

Duizenden kwetsbare NAS-systemen van fabrikant D-Link zijn vanaf internet bereikbaar en lopen het risico om door kwaadwillenden te worden overgenomen. De apparaten zijn end-of-life en zullen daardoor geen updates meer ontvangen. Aanvallers maken inmiddels actief misbruik van de problemen met de NAS-systemen.

In eerste instantie meldde D-Link dat vier modellen kwetsbaar zijn, maar dat zijn er twintig. "De gerapporteerde kwetsbaarheden betreffen command injection en een backdoor-account voor de webinterface waardoor een malafide gebruiker misbruik van de apparaten kan maken", aldus D-Link in een vandaag gepubliceerde update van het beveiligingsbulletin.

Eerder deze week werd nog aangekondigd dat 92.000 kwetsbare NAS-systemen op internet zijn te vinden, maar dat zijn er volgens securitybedrijf Censys veel minder, namelijk 3700. Bij meer dan 350 van deze apparaten staat remote access ingeschakeld en een kleine tweehonderd beschikken over een VoIP-functionaliteit. De meeste NAS-systemen werden gevonden in de Verenigde Staten, Rusland, Italië, Duitsland en Frankrijk. Zowel D-Link als de Amerikaanse overheid roepen eigenaren op om de apparaten door een nieuw NAS-systeem te vervangen.

 

bron: https://www.security.nl

De op privacygerichte zoekmachine DuckDuckGo heeft vandaag een eigen vpn-dienst, dataverwijdertool en id-fraudehulp gelanceerd. De drie diensten zijn onderdeel van één abonnement dat tien dollar per maand of 99 dollar per jaar kost. Op dit moment is DuckDuckGo Privacy Pro alleen beschikbaar in de Verenigde Staten, maar het is de bedoeling om het abonnement in de toekomst in andere regio's aan te bieden.

DuckDuckGo laat weten dat het de vpn-dienst zelf heeft ontwikkeld en beheert. "We houden geen logs van je vpn-activiteiten bij. Dit houdt in dat we niet in staat zijn om wat je met de DuckDuckGo VPN doet aan jou als individu te koppelen - of aan iets anders dat je op DuckDuckGo doet, zoals zoeken." Op dit moment zijn er vpn-servers in de VS, Canada en Europa beschikbaar. De vpn-dienst maakt gebruik van het WireGuard-protocol en dns-verzoeken gaan automatisch via de vpn naar dns-servers van DuckDuckGo zelf.

Het tweede deel van het abonnement betreft 'Personal Information Removal' waarmee gebruikers hun persoonlijke informatie bij datahandelaren en personenzoekmachines kunnen laten verwijderen. Dan is er nog de 'Identity Theft Restoration' dienst. Slachtoffers van identiteitsfraude kunnen daarmee hun kredietscore laten herstellen, identiteitsdocumenten opnieuw aanvragen en bij het betwisten van frauduleuze transacties ondersteuning krijgen. Eerder deze week stelde DuckDuckGo nog dat online privacy niet iets is voor mensen die iets te verbergen hebben, maar een mensenrecht.

 

bron: https://www.security.nl

Tijdens de patchcyclus van april heeft Microsoft 147 kwetsbaarheden verholpen, waaronder twee actief aangevallen zerodaylekken in Windows. De eerste zeroday (CVE-2024-29988) bevindt zich in SmartScreen. Dit is een beveiligingsmaatregel van Windows die gebruikers een waarschuwing toont bij het openen van bestanden afkomstig van internet.

Windows kent het Mark-of-the-Web (MOTW) toe aan bestanden die vanaf internet zijn gedownload. Bestanden worden dan van een aparte tag voorzien. Bij het openen van bestanden met een MOTW-tag zal Windows een extra waarschuwing aan gebruikers tonen of ze het bestand echt willen openen, aangezien het van internet afkomstig is. Het zerodaylek zorgt ervoor dat de waarschuwing niet verschijnt. In het beveiligingsbulletin staat dat de kwetsbaarheid niet wordt misbruikt, maar tegenover securitybedrijf ZDI laat Microsoft weten dat dit wel het geval is.

De tweede zeroday (CVE-2024-26234) wordt door Microsoft omschreven als een 'proxy driver spoofing vulnerability'. Dit beveiligingslek werd gebruikt om een malafide driver gesigneerd te krijgen via een geldig Microsoft Hardware Publisher Certificate, zo meldt antivirusbedrijf Sophos dat de kwetsbaarheid ontdekte en bij Microsoft rapporteerde. Het betreffende certificaat is inmiddels ingetrokken.

Drie andere kwetsbaarheden die volgens het ZDI de aandacht verdienen zijn een spoofinglek in Outlook waardoor NTLM-hashes zijn te stelen, een remote code execution-lek in Windows DNS Server en een kwetsbaarheid in Remote Procedure Call (RPC) waardoor remote code execution voor een geauthenticeerde aanvaller mogelijk is. Volgens ZDI zijn zo'n 1,3 miljoen systemen op internet te vinden waarbij TCP-poort 135 benaderbaar is en daardoor risico op aanvallen via het RPC-lek lopen. De updates van Microsoft worden op de meeste systemen automatisch geïnstalleerd.

 

bron: https://www.security.nl

Netwerkfabrikant Fortinet waarschuwt voor een kwetsbaarheid in FortiOS en FortiProxy waardoor een aanvaller de cookies van administrators kunnen stelen. Er zijn updates uitgebracht om het probleem te verhelpen. FortiOS is het besturingssysteem van Fortinet dat op allerlei netwerkapparaten draait, zoals firewalls en vpn-systemen. FortiProxy is een webgateway.

Het beveiligingslek, aangeduid als CVE-2023-41677, wordt door Fortinet omschreven als een 'insufficiently protected credentials' kwetsbaarheid. Om de cookies te kunnen stelen zou een aanvaller een administrator eerst een malafide website moeten laten bezoeken via de vpn. Met de gestolen cookies kan een aanvaller vervolgens ongeautoriseerde code of commando's op het systeem uitvoeren. De impact is op een schaal van 1 tot en met 10 beoordeeld met een 7.5.

 

bron: https://www.security.nl

Duizenden WordPress-sites kunnen door kwaadwillenden op afstand worden overgenomen omdat ze updates voor kritieke kwetsbaarheden niet hebben geïnstalleerd. De websites in kwestie maken gebruik van een plug-in genaamd MasterStudy, waarmee WordPress-sites zijn om te vormen tot een 'learning management system' (LMS). De plug-in is op meer dan tienduizend websites actief en wordt vooral gebruikt door online coaches, trainers en andere websites die zich met elearning bezighouden.

De eerste kritieke kwetsbaarheid (CVE-2024-2409) maakt het mogelijk voor een ongeauthenticeerde aanvaller om zichzelf tijdens de registratie, door de user metadata aan te passen, beheerder van de website te maken. Via het tweede en derde beveiligingslek (CVE-2024-2411 en CVE-2024-3136) kan een ongeauthenticeerde aanvaller PHP-bestanden uploaden en zo willekeurige bestanden op de server uitvoeren. De impact van de drie kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.8, zo meldt securitybedrijf Wordfence.

De problemen zijn via drie beveiligingsupdates verholpen, waarvan de laatste op 4 april verscheen. Uit cijfers van WordPress.org blijkt echter dat nog duizenden websites de updates niet geïnstalleerd hebben en daardoor risico lopen om te worden aangevallen.

 

bron: https://www.security.nl

De Europese privacytoezichthouder EDPS heeft bij de presentatie van het jaaroverzicht 2023 opnieuw gewaarschuwd voor Europese plannen om chatberichten van Europese burgers te controleren, wat tot 'onomkeerbare surveillance' kan leiden (pdf). Al in 2022 sloeg de EDPS alarm over het voorstel van de Europese Commissie om de communicatie van burgers te controleren, als maatregel om kindermisbruik tegen te gaan.

Begin 2022 kwam de Europese Commissie met een voorstel om alle chatberichten en ander verkeer van burgers te inspecteren. In het geval van end-to-end versleutelde chatdiensten zou dit via client-side scanning moeten plaatsvinden, waarbij alle berichten van alle burgers zouden worden gecontroleerd. Eind vorig jaar bleek dat het Europees Parlement tegen het voorstel van de Europese Commissie is en kwam met een eigen voorstel.

De Europese lidstaten hebben nog geen gezamenlijke positie ingenomen en die is er nog altijd niet. Onlangs kwam de Raad Justitie en Binnenlandse Zaken (JBZ) bijeen, waarbij ook de CSAM-verordening aan bod kwam. EU-voorzitter België presenteerde toen een nieuw tekstvoorstel over de CSAM-verordening. Daarbij zou er een 'meer proportionele' aanpak worden gekozen, maar volgens critici is dat niet het geval en loopt de vertrouwelijkheid van communicatie nog steeds gevaar.

Vorig jaar organiseerde de EDPS een seminar over het 'Brusselse scanplan'. "Ik sprak uit de volle overtuiging dat het CSAM-voorstel het internet en digitale communicatie zoals we die kennen fundamenteel zou veranderen, en een omslagpunt zou bereiken waarvan geen weg terug is", aldus EDPS-voorzitter Wojciech Wiewiorowski tijdens zijn presentatie aan een commissie van het Europees Parlement (pdf).

 

bron: https://www.security.nl

Aanvallers maken actief misbruik van een backdoor en een kwetsbaarheid in zeker 92.000 NAS-systemen van fabrikant D-Link. De kwetsbare apparaten zijn end-of-life en ontvangen geen beveiligingsupdates meer. Zowel D-Link als securitybedrijven roepen gebruikers op om de NAS-systemen offline te halen.

Het probleem speelt onder andere bij de D-Link DNS-340L, DNS-320L, DNS-327L en DNS-325. Het betreft een command injection-kwetsbaarheid en het gebruik van hardcoded credentials, of een 'backdoor account' zoals D-Link het noemt. Via de kwetsbaarheden kan een aanvaller zonder authenticatie willekeurige commando's op het NAS-systeem uitvoeren, wat kan leiden tot remote code execution (RCE). Om kwetsbare NAS-systemen aan te kunnen vallen moeten een aanvaller hier wel een malafide HTTP-request naar toe kunnen sturen.

"We zien vanaf meerdere ip-adressen scans/exploits voor CVE-2024-3273 (kwetsbaarheid in end-of-life D-Link NAS-systemen). Het gaat om een combinatie van een backdoor en command injection om RCE mogelijk te maken", aldus de Shadowserver Foundation op X. Dit is een organisatie die zich met de bestrijding van botnets en cybercrime bezighoudt. "Aangezien er geen patch voor deze kwetsbaarheid beschikbaar is, moeten deze apparaten worden vervangen/offline gehaald, en minimaal hun remote toegang achter een firewall hebben zitten."

"Actief misbruik van een remote code execution-kwetsbaarheid in D-Link NAS-systemen, raakt minstens 92.000 apparaten", laat securitybedrijf GreyNoise weten. Volgens het bedrijf worden de aanvallen uitgevoerd door een botnet waarbij wordt geprobeerd om de NAS-systemen met malware te infecteren. GreyNoise roept eigenaren van een kwetsbaar NAS-systeem op om in ieder geval hun UPnP-configuratie te controleren.

 

bron: https://www.security.nl

De onlangs gevonden backdoor in datacompressietool XZ maakt niet alleen remote code execution mogelijk, maar ook een volledige authenticatie bypass waardoor een aanvaller met elk willekeurig wachtwoord op een systeem kan inloggen, zo stelt de Nederlandse beveiligingsonderzoeker Peter “blasty” Geissler op basis van eigen onderzoek. Volgens Geissler heeft de maker van de backdoor uitgebreide kennis van OpenSSH.

Veel details over de backdoor zijn nog altijd onbekend, zoals de exacte werking en wie verantwoordelijk is. Lasse Collin, de maker van XZ, meldde vorige week dat hij een eigen onderzoek naar de backdoor zal uitvoeren. Het enige dat Collin sindsdien heeft gemeld zijn mogelijke plannen voor XZ wat betreft recent doorgevoerde commits aan de code en het gebruik van een nieuw versienummer.

Verschillende onderzoekers hebben echter al wel hun bevindingen gedeeld, waaronder Geissler. Hij meldt via X dat hij een wat lastiger te activeren functionaliteit van de backdoor heeft gevonden, maar er nog meer te verkennen is. Daarbij is het via de backdoor mogelijk om de authenticatie volledig te omzeilen en met elk willekeurig wachtwoord in te loggen. "Wie dit heeft ontworpen heeft zich behoorlijke in de openSSH(d) internals verdiept", aldus Geissler. Er is inmiddels ook een Wikipedia-pagina waarin de werking van de backdoor wordt beschreven.

 

bron: https://www.security.nl

Netwerkfabrikant D-Link waarschuwt voor een backdoor-account in niet meer ondersteunde NAS-systemen, waardoor aanvallers de apparaten op afstand kunnen aanvallen. Volgens een beveiligingsonderzoeker zijn meer dan 92.000 kwetsbare NAS-systemen op internet te vinden. Aangezien de apparaten geen patches meer ontvangen adviseert D-Link die niet meer te gebruiken en door een nieuwe NAS te vervangen.

Het probleem speelt onder andere bij de D-Link DNS-340L, DNS-320L, DNS-327L en DNS-325. Het betreft een command injection-kwetsbaarheid en het gebruik van hardcoded credentials, of een 'backdoor account' zoals D-Link het noemt. Via de kwetsbaarheden kan een aanvaller zonder authenticatie willekeurige commando's op het NAS-systeem uitvoeren, wat kan leiden tot toegang tot gevoelige informatie, het aanpassen van de systeemconfiguratie of een denial of service.

D-Link stelt dat de betreffende NAS-systemen end-of-life zijn en niet meer worden ondersteund. Gebruikers worden dan ook opgeroepen deze apparaten niet meer te gebruiken en te vervangen door nog wel ondersteunde apparatuur. Om kwetsbare NAS-systemen aan te kunnen vallen moeten een aanvaller hier wel een malafide HTTP-request naar toe kunnen sturen. Volgens een onderzoek met het alias 'NetworkSecurityFish' zijn echter meer dan 92.000 kwetsbare NAS-systemen vanaf het internet bereikbaar.

 

bron: https://www.security.nl

De populaire broncode- en teksteditor Notepad++ heeft gebruikers om hulp gevraagd bij het offline halen van een 'parasitaire website'. Het gaat om de website 'notepad.plus' die zich in de kleine letters onderaan de pagina omschrijft als een 'onofficiële fan website'. Volgens Don Ho, maker van Notepad++, denken sommige gebruikers ten onrechte dat notepad.plus de officiële website van Notepad++ is.

"Deze website heeft een verborgen agenda. Het zit op elke pagina vol malafide advertenties. Deze advertenties proberen nietsvermoedende Notepad++-gebruikers te laten klikken, wat geld voor de eigenaren van de site oplevert", aldus Ho. Volgens de ontwikkelaar heeft notepad.plus als doel om verkeer van de legitieme Notepad++-website weg te leiden, wat de veiligheid van gebruikers in gevaar brengt en de integriteit van de community ondermijnt. Ho roept gebruikers dan ook op om de site als schadelijke website bij Google te rapporteren. De oproep lijkt succesvol, want notepad.plus is niet meer bereikbaar.

 

bron: https://www.security.nl

Mozilla heeft twee kritieke kwetsbaarheden in Firefox die onlangs tijdens de Pwn2Own-wedstrijd in Vancouver werden gedemonstreerd, en waardoor aanvallers systemen kunnen overnemen, binnen 21 uur gepatcht. Daarmee was het van de andere browserontwikkelaars de eerste om de Pwn2Own-kwetsbaarheden te verhelpen. Tijdens Pwn2Own worden onderzoekers beloond voor het demonstreren van onbekende kwetsbaarheden in populaire producten.

Tijdens de laatste editie, die plaatsvond op 20 en 21 maart, werden succesvolle aanvallen tegen Chrome, Edge, Firefox en Safari gedemonstreerd. Alleen in het geval van Firefox ging het om kritieke kwetsbaarheden waarmee een aanvaller code op het onderliggende systeem kan uitvoeren. Onderzoeker Manfred Paul wist via zijn exploit uit de sandbox van Firefox te ontsnappen om zo code buiten de browser uit te voeren.

Mozilla laat weten dat de eigen engineers altijd stand-by staan als Pwn2Own plaatsvindt, zodat het snel op gevonden problemen kan reageren. In dit geval werden de kwetsbaarheden binnen 21 uur met een update verholpen. Google kwam voor de Pwn2Own-lekken op 26 maart en 2 april met updates. Microsoft deed dat op 27 maart en 4 april. Apple moet nog met patches komen.

 

bron: https://www.security.nl

Firefox is een samenwerking aangegaan met zoekmachine Qwant, die volgens Mozilla privacy van gebruikers en het blokkeren van trackers als prioriteit heeft. "Qwant is een op privacy-gerichte zoekmachine die gebruikers op de eerste plek zet en tegelijkertijd persoonlijke data beschermt. Door het blokkeren van trackers en advertenties helpt Qwant om je zoekresultaten neutraal en volledig te houden. Net als Firefox."

De zoekmachine heeft als slogan: "Qwant doesn’t know anything about you and that changes everything!" Mozilla stelt dat de ontwikkelaars van de zoekmachine toegewijd zijn aan het beschermen van de privacy van gebruikers en het beschermen van de gedecentraliseerde aard van het web. "Waar mensen controle over hun eigen online ervaring hebben."

 

bron: https://www.security.nl

Cisco waarschuwt voor een kwetsbaarheid in zes types vpn-routers waardoor een aanvaller in het ergste geval toegang tot de apparaten kan krijgen. Een beveiligingsupdate wordt echter niet beschikbaar gemaakt, omdat de routers end-of-life zijn, zo laat Cisco weten. Het gaat om Cisco Small Business RV016, RV042, RV042G, RV082, RV320 en RV325 vpn-routers.

Doordat de webinterface gebruikersinvoer onvoldoende valideert is cross-site scripting (XSS) mogelijk. Een aanvaller zou in dit geval het doelwit wel eerst een malafide of gecompromitteerde website moeten laten uitvoeren. Vervolgens zou een aanvaller scriptcode in de context van de webinterface kunnen uitvoeren of toegang tot gevoelige informatie in de browser kunnen krijgen. Cisco meldt dat er geen updates en workarounds voor het probleem zijn. Het netwerkbedrijf adviseert als mitigatie om remote management uit te schakelen en toegang tot poorten 443 en 60443 te blokkeren. Een andere optie is de aanschaf van een nieuwe router.

 

bron: https://www.security.nl

Microsoft start later dit jaar met het aanbieden van een licentie voor betaalde beveiligingsupdates voor Windows 10. Het techbedrijf waarschuwt dat dit geen langetermijnoplossing is voor organisaties die niet naar Windows 11 willen upgraden. Op 14 oktober 2025 stopt Microsoft de support van Windows 10. Organisaties die na deze datum het besturingssysteem willen gebruiken kunnen via het Extended Security Update (ESU) programma toch beveiligingsupdates blijven ontvangen.

"Extended Security Updates zijn niet bedoeld als een langetermijnoplossing, maar meer een tijdelijke overbrugging", zegt Microsofts Jason Leznek. De ESU-licentie wordt vanaf oktober dit jaar aangeboden. De prijs van de licentie zal elk opvolgend jaar worden verdubbeld, met een maximum van drie jaar. Organisaties die pas in het tweede jaar van het ESU-programma deelnemen moeten ook voor het eerste jaar betalen, omdat de updates cumulatief zijn, aldus Leznek.

De Microsoft-medewerker benadrukt het belang om naar een ondersteunde versie van Windows te migreren. "Organisaties die met legacy software werken lopen een groter risico op datalekken en mogelijk compliance-overtredingen." Volgens StatCounter heeft Windows 10 op Windowscomputers wereldwijd nog een aandeel van 69 procent. In Nederland is dat 66,3 procent.

 

bron: https://www.security.nl

Google heeft een nieuwe maatregel aangekondigd die gebruikers tegen cookiediefstal moet beschermen. Het techbedrijf stelt dat het geen nieuwe trackingmethode wordt en gebruikers het kunnen uitschakelen. Volgens Google raken veel internetgebruikers besmet met malware die sessiecookies van het systeem steelt. Deze cookies geven aan dat de gebruiker op een bepaalde website of account is ingelogd. Ze worden aangemaakt nadat de gebruiker is ingelogd.

Door sessiecookies te stelen heeft een aanvaller dan ook direct toegang tot het betreffende account, waardoor het niet meer nodig is om het wachtwoord van de gebruiker te hebben of tweefactorauthenticatie te omzeilen. Als oplossing tegen dergelijke cookiediefstal heeft Google nu 'Device Bound Session Credentials' (DBSC) bedacht. Het techbedrijf wil dat dit uiteindelijk een open webstandaard wordt.

DBSC koppelt de ingelogde sessie van de gebruiker aan het onderliggende apparaat. Een aanvaller kan dan nog steeds cookies stelen, maar ze niet op zijn eigen systeem gebruiken omdat ze alleen op het betreffende apparaat van de gebruiker werken. Bij DBSC maakt de browser een public/private key pair aan op het apparaat en gebruikt het besturingssysteem om de private key zo op te slaan dat die lastig is te exporteren. Dit kan bijvoorbeeld via de Trusted Platform Module (TPM). Daarnaast wordt er ook naar softwarematige oplossingen gekeken.

 

De server waarop de gebruiker inlogt koppelt de sessie aan de public key van de gebruiker en kan gedurende de levensduur van de sessie verifiëren of de gebruiker de bijbehorende private key bezit. Google stelt dat voor elke sessie een unieke key wordt gebruikt en DBSC websites niet in staat stelt om keys van verschillende sessies op hetzelfde apparaat te correleren. Dit moet volgens Google 'persistent user tracking' voorkomen.

Verder claimt het techbedrijf dat DBSC geen betekenisvolle informatie over het apparaat lekt. De enige informatie die naar de server wordt gestuurd is de per-sessie public key, die de server gebruikt om later te controleren dat de gebruiker ook de bijbehorende private key in bezit heeft. Gebruikers kunnen de gemaakte keys op elk moment verwijderen. Wanneer gebruikers geen cookies accepteren wordt DBSC uitgeschakeld.

Google verwacht op basis van de hardware waarmee Chrome-gebruikers werken dat DBSC voor ongeveer de helft van desktopgebruikers beschikbaar komt. Op dit moment wordt er geëxperimenteerd met een prototype van DBSC dat alleen bij een Google-account is te gebruiken. Later dit jaar moeten er verdere tests plaatsvinden. Google benadrukt verder dat DBSC in een third-party context dezelfde beschikbaarheid en segmentatie heeft als third-party cookies, om er zo voor te zorgen dat DBSC geen nieuwe trackingmethode wordt zodra third-party cookies zijn uitgefaseerd.

 

bron: https://www.security.nl

De ontwikkelaar van datacompressietool XZ, waar vorige week een backdoor in werd aangetroffen, begint de komende dagen met een onderzoek naar de aanval. Hij is op vakantie en had de situatie niet meekregen, totdat hij toevallig zijn e-mail bekeek, zo laat ontwikkelaar Lasse Collin in een bericht op de Linux Kernel Mailing List (LKML) weten. Daarnaast hebben allerlei overheidsdiensten over de backdoor alarm geslagen.

XZ is een tool voor het comprimeren en decomprimeren van data en in veel Linux-distributies aanwezig. Vorige week werd ontdekt dat bepaalde versies een backdoor bevatten waardoor een aanvaller code op systemen kan uitvoeren. De backdoor was toegevoegd door iemand die ook aan het XZ-project werkte. Rob Mensching, ceo van FireGiant en eerder software-engineer bij Microsoft en verantwoordelijk voor het maken van Windows Installer XML, maakte een analyse over de aanval.

Daarin bespreekt Mensching hoe de aanvaller contact met Collin zocht, die te maken had met een burn-out. De aanvaller biedt de XZ-ontwikkelaar aan om te helpen bij de ontwikkeling van de tool en voegt uiteindelijk de code toe waarin de backdoor aanwezig is. "Alleen ik had toegang tot de tukaani.org website, git.tukaani.org repositories en gerelateerde bestanden", zegt collins. De aanvaller had alleen toegang tot zaken die op GitHub werden gehost, zo laat de XZ-ontwikkelaar verder weten. Hij voegt toe deze week met het onderzoek naar de backdoor te starten.

Inmiddels hebben ook allerlei overheidsinstanties waarschuwingen gegeven. Na het Nationaal Cyber Security Centrum (NCSC) en het Amerikaanse cyberagentschap CISA, gaat het ook om het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, en het Digital Trust Center van het ministerie van Economische Zaken. Ze adviseren gebruikers en organisaties om de betreffende Linux-distributies niet te gebruiken en naar een niet-gecompromitteerde versie te downgraden.

 

bron: https://www.security.nl

Google moet miljoenen records die het via de Incognito-mode van Chrome verzamelde vernietigen of de-identificeren, zo blijk uit een schikking die het techbedrijf trof. De vijf miljard dollar die de klagers hadden geëist hoeft Google niet te betalen. Wel moet het techbedrijf gebruikers informeren over welke informatie het in de Incognito-mode verzamelt en moet het gebruikers in deze mode de optie geven om third-party cookies te blokkeren.

Afgelopen december werd beken dat Google een rechtszaak in de Verenigde Staten over de Incognito-mode had geschikt, maar details waren destijds nog niet openbaar gemaakt en zijn dat nu wel. Volgens de aanklacht, die in juni 2020 werd ingediend, heeft Google gebruikers van Chrome misleid door ze te laten geloven dat ze via de Incognito-mode privé konden browsen, maar in werkelijkheid toch door het techbedrijf werden gevolgd, waarmee de Amerikaanse aftapwetgeving en Californische privacywetgeving is overtreden.

De Incognito-mode zorgt er alleen voor dat het surfgedrag van de gebruiker niet in de browser of op zijn computer wordt opgeslagen. Gebruikers denken echter dat de browsermode bijvoorbeeld tracking, geolocatie en advertenties voorkomt, zo laat onderzoek zien (pdf). Ook de engineers van Google waren zich hiervan bewust. Zo laat één engineer in een e-mail weten dat er moet worden gestopt met het woord incognito en de afbeelding van een spion. "Maak incognito mode echt privé", schrijft ze. "We zijn beperkt in hoe sterk we Incognito kunnen aanprijzen omdat het niet echt privé is, en dus echt vage, indekkende taal vereist die bijna schadelijk is."

Een andere engineer reageert met een grap door te stellen dat "Guy Incognito" uit The Simpsons eigenlijk als icoon gebruikt had moeten worden, aangezien dit beter de geboden privacybescherming zou duidelijk maken. Google stelt in een reactie op de rechtszaak dat het algemeen bekend is dat de incognito mode het browsen niet echt afschermt en gebruikers toestemming hebben gegeven om door het techbedrijf te worden gevolgd. Een poging van Google om de rechtszaak als kort geding af te doen werd begin vorig jaar verworpen.

De schikking moet nog wel door een rechter worden goedgekeurd en zou dan voor 136 miljoen Chrome-gebruikers in de staat Californië gelden. Voor het 'dataherstelproces' moet Google informatie verwijderen waarmee het mogelijk is om gebruikers van private browsing te identificeren. "Google zal deze data mitigeren door gedeeltelijk ip-adressen weg te laten en user-agent strings te generaliseren", zo staat in het vonnis. De eisers hadden een bedrag van 5 miljard dollar geëist, maar dat hoeft Google niet te betalen. Chrome-gebruikers in Californië kunnen nog wel zelf een schadeclaim indienen. Dat zou inmiddels vijftig keer zijn gedaan.

 

bron: https://www.security.nl

Het Open Web Application Security Project (OWASP), een organisatie die zich met de veiligheid van webapplicaties bezighoudt, heeft via de misconfiguratie van een webserver de persoonsgegevens van leden gelekt. Dat heeft de organisatie zelf bekendgemaakt. Het gaat om cv's met e-mailadressen, telefoonnummers, adresgegevens en andere persoonlijke identificeerbare informatie van mensen die van 2006 tot en met 2014 hun cv hadden verstrekt om lid te worden.

In de genoemde periode moesten leden cv verstrekken, wat inmiddels niet meer het geval is om lid te worden. Wat de misconfiguratie precies is wordt niet genoemd, maar OWASP zegt naar aanleiding van het datalek specifiek directory browsing te hebben uitgeschakeld. Tevens heeft het de webserver en wikiconfiguratie op andere beveiligingsproblemen gecontroleerd. Daarnaast zijn de cv's van leden van de wikiwebsite verwijderd en is de CloudFlare-cache opgeschoond om verdere toegang te voorkomen. Tevens is het Web Archive verzocht de informatie te verwijderen.

Volgens OWASP is het lastig om slachtoffers van het datalek in te lichten. Veel van de getroffen personen zijn geen lid meer en de data uit het datalek is tussen de tien en achttien jaar oud en daardoor waarschijnlijk niet meer actueel. Wel zal er een datalekmelding naar de gelekte e-mailadressen worden gestuurd. De organisatie zegt het datalek te betreuren, zeker omdat het zich juist met cybersecurity bezighoudt.

 

bron: https://www.security.nl

Cisco waarschuwt organisaties voor password spraying-aanvallen op vpn-diensten, wat ervoor kan zorgen dat personeel niet meer kan inloggen. Securitybedrijven Arctic Wolf en High Wire Networks meldden eerder deze maand dat er sinds eind februari een toename is van password spraying gericht tegen firewalls en vpn-servers van Cisco, Palo Alto Networks en WatchGuard. Een security-engineer genaamd Aaron Martin meldde soortgelijke aanvallen tegen apparatuur van Fortinet, Palo Alto Networks, Sonicwall en Cisco. De aanvallen zijn volgens Martin het werk van een botnet.

Password spraying is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen gebruikt een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Door deze techniek voorkomt de aanvaller dat een account wordt geblokkeerd en de aanval wordt opgemerkt. Vaak wordt er ook vanaf allerlei verschillende ip-adressen ingelogd.

Cisco is nu met een document gekomen waarin het maatregelen adviseert waarmee organisaties zich tegen dergelijke aanvallen kunnen wapenen, alsmede wat de gevolgen van de aanvallen kunnen zijn. Zo kan password spraying ervoor zorgen dat het eigen personeel niet meer op de vpn-server kan inloggen omdat er een lockout van hun account heeft plaatsgevonden. Cisco benadrukt dat de aanvallen niet beperkt zijn tot Cisco-apparatuur. Verder wordt het inschakelen van logging aangeraden en het gebruik certificaat-gebaseerde authenticatie.

 

bron: https://www.security.nl

De standaard end-to-end encryptie van chatberichten in Messenger wordt de komende maanden wereldwijd uitgerold, zo heeft Meta bekendgemaakt. Het bedrijf begon afgelopen december met het inschakelen van deze maatregel. Sinds 2016 hebben gebruikers van Messenger de optie om end-to-end encryptie in te schakelen, maar de beveiligingsmaatregel stond niet standaard ingeschakeld. Iets dat Meta nu gaat veranderen.

"We rollen nu end-to-end encryptie in Messenger uit en al je persoonlijke berichten worden standaard versleuteld. Tijdens de uitrol zul je merken dat sommige chats eerder end-to-end zijn versleuteld dan anderen. Dit is te verwachten", aldus Meta. Wanneer chats end-to-end versleuteld zijn krijgen gebruikers hier melding van. De wereldwijde uitrol van de beveiligingsmaatregel zou de komende maanden moeten worden afgerond.

Gebruikers kunnen ervoor kiezen om hun chatgeschiedenis lokaal op te slaan of op de servers van Meta. Het bedrijf adviseert gebruikers voor deze laatste optie te kiezen. Wanneer de chatapp chats end-to-end versleutelt krijgen gebruikers ook de vraag of ze van deze 'Secure Storage' feature gebruik willen maken. De bij Meta opgeslagen chatgeschiedenis is dan te bereiken via een zescijferige pincode of een virtuele key die in de Google Drive of Apple iCloud van de gebruiker wordt opgeslagen.

 

bron: https://www.security.nl