Captain Kirk

De populaire back-up- en synchronisatiesoftware rsync bevat zes verschillende kwetsbaarheden die een aanvaller in het ergste geval willekeurige code op een rsync-server laten uitvoeren. Gebruikers en organisaties die van rsync gebruikmaken worden door het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit opgeroepen om zo snel mogelijk naar versie 3.4.0 te updaten. De gevaarlijkste rsync-kwetsbaarheid is CVE-2024-12084, een heap-buffer-overflow. Gecombineerd met CVE-2024-12085, een informatielek, kan een client willekeurige code uitvoeren op systemen waarop een rsync-server draait. De enige vereiste is dat de client anonieme lees-toegang tot de server heeft, zoals bij publieke mirrors het geval is. "Vergeet niet dat de standaard rsyncd configuratie van rsync anonieme bestandssynchronisatie toestaat, wat ook risico door deze kwetsbaarheid loopt. Anders heeft een aanvaller geldig inloggegevens voor servers nodig die authenticatie vereisen", aldus Red Hat. Dat heeft de impact van CVE-2024-12084 op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het CERT/CC waarschuwt dat aanvallers ook via een malafide server willekeurige bestanden van elke verbonden client kunnen lezen/schrijven. "Gevoelige data, zoals SSH keys, kunnen worden achterhaald, en malafide code kan worden uitgevoerd door bestanden zoals ~/.bashrc of ~/.popt te overschrijven." Veel back-upsoftware, zoals Rclone, DeltaCopy en ChronoSync, maakt gebruik van rsync als backend voor het synchroniseren van bestanden. Rsync wordt ook door allerlei publieke mirrors gebruikt voor het synchroniseren en distribueren van bestanden over meerdere servers. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Windows maakt remote code execution mogelijk als Outlook-gebruikers een speciaal geprepareerde e-mail openen of wanneer het bericht via de previewfunctie wordt weergegeven. Microsoft heeft beveiligingsupdates uitgebracht om de kwetsbaarheid te dichten en adviseert Outlook-gebruikers als workaround het plain text weergeven van e-mail. Het techbedrijf verwacht dat aanvallers binnenkort misbruik van het beveiligingslek zullen maken. De kwetsbaarheid (CVE-2025-21298) bevindt zich in Windows OLE. Object Linking and Embedding (OLE) is een door Microsoft ontwikkelde technologie die het mogelijk maakt om documenten en andere objecten te embedden en linken. Het beveiligingslek is via e-mail te misbruiken. Een aanvaller zou het doelwit een speciaal geprepareerde e-mail kunnen sturen. Het doelwit moet de e-mail openen of Outlook moet een preview van het bericht weergeven. Vervolgens kan de aanvaller code op het systeem uitvoeren, zo laat Microsoft weten. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Als workaround adviseert Microsoft het instellen van Outlook zodat e-mail in plain text wordt weergegeven. Dit kan echter wel gevolgen hebben als het gaat om het weergeven van bijvoorbeeld afbeeldingen, animaties en bepaalde fonts. "Als een mitigatie kun je Outlook instellen om standaard alle e-mail als plain text weer te geven, maar gebruikers zullen waarschijnlijk tegen een dergelijke instelling in verzet komen. De beste optie is om deze patch snel te testen en uit te rollen", aldus Dustin Childs van securitybedrijf Zero Day Initiative (ZDI). Het ZDI rapporteerde de kwetsbaarheid bij Microsoft. Het techbedrijf stelt dat aanvallers nog geen misbruik van de kwetsbaarheid maken, maar stelt voor de toekomst dat 'exploitation more likely' is. bron: https://www.security.nl

Adobe Photoshop bevat twee kritieke kwetsbaarheden die een aanvaller willekeurige code op het systeem laten uitvoeren als de gebruiker een malafide bestand opent. Ook twee kritieke beveiligingslekken in Adobe Illustrator voor iPad maken 'arbitrary code execution' mogelijk. Adobe heeft voor beide programma's updates uitgebracht om de problemen te verhelpen. In het geval van Adobe Photoshop wordt aangeraden om te updaten naar Photoshop 2024 versie 25.12.1 of Photoshop 2025 versie 26.2. Het gaat zowel om de macOS- als Windows-versies. Voor gebruikers van Adobe Illustrator is versie 3.0.8 verschenen. Drie van de vier verholpen kwetsbaarheden betreffen een 'integer underflow' met een maximale impactscore van 7.8 op een schaal van 1 tot en met 10. Adobe adviseert beheerders om de updates te installeren als het hen uitkomt. Adobe werkt als het om de installatie van beveiligingsupdates gaat met een prioriteitsbeoordeling. In het geval van Photoshop en Illustrator krijgen beide producten prioriteit 3 toegekend, omdat beide producten in het verleden geen doelwit van aanvallers zijn geweest, zo laat Adobe weten. bron: https://www.security.nl

Softwarebedrijf Ivanti waarschuwt klanten voor kritieke path traversal-kwetsbaarheden in Ivanti Endpoint Manager waardoor een ongeauthenticeerde aanvaller op afstand gevoelige informatie van organisaties en bedrijven kan stelen. Er zijn updates uitgebracht om de problemen te verhelpen. Via Ivanti Endpoint Manager (EPM) kunnen organisaties laptops, smartphones en servers beheren. Dit wordt gedaan door middel van de EPM-server die met een agent op beheerde clients communiceert. Het product bevat vier kritieke path traversal-kwetsbaarheden waardoor het mogelijk is voor een aanvaller om op afstand gevoelige informatie buit te maken (CVE-2024-10811, CVE-2024-13161, CVE-2024-13160 en CVE-2024-13159). De impact van de kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Bij path traversal krijgt een aanvaller door het aanpassen van gebruikersinvoer toegang tot directories en bestanden waar hij eigenlijk geen toegang toe zou moeten hebben. Path traversal is al een zeer oud en bekend probleem. De FBI en het Amerikaanse cyberagentschap CISA riepen softwareontwikkelaars vorig jaar op om een einde aan path traversal te maken. De afgelopen jaren zijn meerdere kwetsbaarheden in Ivanti Endpoint Manager actief misbruikt bij aanvallen, zo laat blijkt uit de Known Exploited Vulnerabilities Catalog van het CISA. Volgens Ivanti wordt er nog geen misbruik gemaakt van de nu verholpen path traversal-lekken. bron: https://www.security.nl

Drie kwetsbaarheden in Windows Hyper-V NT Kernel Integration VSP zijn actief misbruikt bij aanvallen, zo laat Microsoft weten, dat tevens beveiligingsupdates heeft uitgebracht om de problemen te verhelpen. VSP staat voor Virtualization Service Provider en is een onderdeel van het Hyper-V virtualisatieplatform op Windows. De tool fungeert als een brug tussen de Hyper-V hypervisor en de Windows NT-kernel en zorgt voor communicatie en beheer van de virtual machine die op het host-systeem draaien. De drie actief aangevallen kwetsbaarheden (CVE-2025-21333, CVE-2025-21334 en CVE-2025-21335) maken het mogelijk voor een aanvaller die toegang tot het systeem heeft om zijn rechten te verhogen naar die van SYSTEM. De impact van de drie beveiligingslekken is op een schaal van 1 tot. en met 10 beoordeeld met een 7.8. Microsoft geeft geen details over de aanvallen, zoals hoe die plaatsvinden en sinds wanneer. Eén van de kwetsbaarheden werd door een niet nader genoemde externe onderzoeker aan Microsoft gemeld. bron: https://www.security.nl

Fortinet waarschuwt organisaties voor een actief misbruikte kwetsbaarheid in FortiOS en FortiProxy waardoor aanvallers kwetsbare apparaten op afstand kunnen overnemen. Fortinet heeft updates uitgebracht om het probleem te verhelpen. De impact van de kwetsbaarheid (CVE-2024-55591) is op een schaal van 1 tot en met 10 beoordeeld met een 9.6. FortiOS is het besturingssysteem van Fortinet dat op allerlei netwerkapparaten draait, zoals firewalls en vpn-systemen. FortiProxy is een webgateway. CVE-2024-55591 betreft een 'authentication bypass'. Een aanvaller kan door het versturen van een speciaal geprepareerd request naar de Node.js websocket module 'super-admin privileges' krijgen. Fortinet adviseert klanten om de update te installeren. Als workaround wordt aangeraden om de HTTP/HTTPS admin-interface uit te schakelen of toegang hiertoe te beperken. Fortinet heeft nog geen details over de aanvallen gegeven. Fortinet geeft wel verschillende Indicators of Compromise, zoals door de aanvallers gebruikte ip-adressen. Daarmee kunnen organisaties kijken of ze zijn gecompromitteerd. Een aantal van de ip-adressen die Fortinet noemt verschenen vorige week in een blogposting van securitybedrijf Arctic Wolf. Dat schrijft over een campagne gericht tegen Fortinet FortiGate-firewalls die sinds halverwege november plaatsvindt. Arctic Wolf zegt de gebruikte aanvalsvector niet te kennen, maar stelt dat grootschalig misbruik van een zerodaylek waarschijnlijk is. bron: https://www.security.nl

Het Duitse softwarebedrijf SAP waarschuwt klanten voor twee kritieke kwetsbaarheden in NetWeaver waardoor een aanvaller toegang tot systemen en afgeschermde informatie kan krijgen. Er zijn beveiligingsupdates voor de kwetsbaarheden uitgebracht, waarvan de impact op een schaal van 1 tot en met 10 met een 9.9 is beoordeeld. SAP Netweaver is een platform voor het draaien van SAP-applicaties. De SAP NetWeaver Application Server voor ABAP (Advanced Business Application Programming) biedt de runtime omgeving en ontwikkelomgeving voor alle ABAP-programma's. Een probleem met de authenticatie (CVE-2025-0070) van de SAP NetWeaver ABAP Server en het ABAP Platform zorgt ervoor dat een geauthenticeerde aanvaller 'ongeoorloofde toegang' kan krijgen. De tweede kritieke kwetsbaarheid, CVE-2025-0066, bevindt zich in de SAP NetWeaver Application Server voor ABAP. Het beveiligingslek zorgt ervoor dat een aanvaller toegang tot 'restricted information' kan krijgen, wat grote gevolgen voor de vertrouwelijkheid en beschikbaarheid van een applicatie kan hebben, aldus de uitleg. Securitybedrijf Onapsis stelt dat SAP-klanten de kritieke kwetsbaarheden meteen moeten patchen. Kwetsbaarheden in NetWeaver zijn in het verleden actief misbruikt bij aanvallen. Het Amerikaanse cyberagentschap CISA houdt een database bij met actief aangevallen beveiligingslekken. Daarin staan acht NetWeaver-kwetsbaarheden. bron: https://www.security.nl

De Britse mededingingsautoriteit CMA is een onderzoek gestart naar de dominantie van Googles zoekmachines. Volgens de Competition and Markets Authority (CMA) is Google goed voor meer dan negentig procent van alle zoekopdrachten in het Verenigd Koninkrijk en maken meer dan tweehonderdduizend adverteerders gebruik van de advertentiediensten die Googles zoekmachine biedt. De CMA stelt dat zoeken op internet vitaal voor economische groei is. "Gegeven het belang van zoeken als essentiële digitale dienst voor mensen, bedrijven en de economie, is het essentieel dat concurrentie goed werkt", aldus de toezichthouder. Die gaat onderzoeken in hoeverre concurrentie op de zoekmachinemarkt mogelijk is en of er aanvullende verplichtingen moeten worden ingesteld. Zo wordt er specifiek gekeken of Google barrières opwerpt die het lastiger voor nieuwe partijen maken om de zoekmachinemarkt te betreden. Het gaat dan ook of Google de ontwikkeling van nieuwe AI-diensten en -interfaces kan bepalen op manieren die concurrentie voor de eigen zoekmachine lastiger maken. Tevens zal de CMA kijken of Google de eigen positie gebruikt om eigen diensten voor te trekken. De mededingingsautoriteit gaat ook onderzoeken of Google grote hoeveelheden persoonlijke gegevens van mensen gebruikt, zonder dat het hiervoor geïnformeerde toestemming heeft. Op basis van de uitkomsten kan Google bijvoorbeeld worden verplicht om de verzamelde data met andere bedrijven te delen. Het onderzoek van de CMA moet binnen negen maanden zijn afgerond. bron: https://www.security.nl

Een aanvaller is erin geslaagd om een admin-account van de game Path of Exile 2 te kapen en zo accounts van tientallen spelers aan te vallen en over te nemen. Volgens spelontwikkelaar Grinding Gear Games (GGG) was de aanval mogelijk doordat een Steam-account dat aan het admin-account was gekoppeld door de aanvaller werd overgenomen. Dat liet GGG onlangs in een podcast weten. De aanvaller wist de supportafdeling van gamingplatform Steam zover te krijgen om de inloggegevens te wijzigen, waarschijnlijk door het geven van bepaalde informatie, zoals de laatste vier cijfers van de creditcard. Vervolgens kon de aanvaller via het admin-account de wachtwoorden van spelers resetten en als deze spelers in het spel inloggen. Zo was het mogelijk om allerlei items van deze spelers te stelen. Vermoedelijk heeft de aanvaller toegang tot de accounts van zeker 66 spelers gekregen. Wanneer een medewerker van GGG aanpassingen doorvoert wordt dit gelogd. Wanneer er een wachtwoord werd aangepast werd dit door een bug als 'notitie' opgeslagen en niet als gebeurtenis. Vervolgens kon de aanvaller de notitie verwijderen waarin stond dat het wachtwoord was gewijzigd. Hierdoor was het voor GGG niet meteen duidelijk wat er gebeurde. Uiteindelijk bleek dat er 66 notities waren verwijderd, maar GGG verwijdert logbestanden na dertig dagen. Voor een periode van vijf dagen is onduidelijk wat de aanvaller heeft gedaan. Op het forum van Path of Exile 2 klaagden tal van spelers dat hun accounts waren gekaapt. GGG heeft aangekondigd om voor alle support-accounts meteen tweefactorauthenticatie te implementeren. Daarnaast zijn er geen admin-accounts meer aan Steam-accounts gekoppeld. Er zijn nog geen plannen bekend over het compenseren van gedupeerde spelers. bron: https://www.security.nl

Datalekzoekmachine Have I Been Pwned heeft een dataset ontvangen met 167 miljoen unieke wachtwoorden die afkomstig zijn van computers besmet met infostealer-malware. Dit soort malware is ontwikkeld om inloggegevens van geïnfecteerde pc's te stelen om daarna naar de aanvaller terug te sturen. Aanvallers beschikken vaak over logbestanden met grote hoeveelheden gecompromitteerde accounts. De dataset die Have I Been Pwned (HIBP) ontving bestaat uit honderden tekstbestanden die bij elkaar meer dan honderd gigabyte groot zijn. Het gaat om 167 miljoen unieke wachtwoorden en 71 miljoen e-mailadressen van gecompromitteerde accounts. HIBP-oprichter Troy Hunt heeft een screenshot gedeeld van een logbestand waarop te zien is hoe de infostealer-malware allerlei inloggegevens heeft gestolen van een gebruiker die onder andere bij Amazon en Facebook inlogde. Eigenaren van de 71 miljoen e-mailaccounts kunnen nu via Have I Been Pwned zoeken welke accounts, die aan hun e-mailadres gekoppeld zijn, door infostealer-malware zijn gecompromitteerd. Via HIBP kunnen mensen kijken of hun e-mailadres in een bekend datalek voorkomt. Van de 71 miljoen e-mailaccounts was 72 procent al via een ander datalek bij de zoekmachine bekend. Naast de mogelijkheid om e-mailadressen in bekende datalekken te zoeken biedt HIBP ook een dienst genaamd 'Pwned Passwords'. Dit is een verzameling van wachtwoorden en wachtwoordhashes die in datalekken voorkomen. Deze dataset is zowel te downloaden als online te doorzoeken en laat onder andere zien hoe vaak een wachtwoord in datalekken voorkomt. Daarnaast kunnen beheerders via de wachtwoordhashes kijken of die overeenkomen met de wachtwoordhashes in hun omgeving. Van de 167 miljoen unieke wachtwoorden bleken er al 61 miljoen in de Pwned Passwords-lijst voor te komen. De overige 106 miljoen zijn nu aan de lijst toegevoegd. Naast gestolen inloggegevens geven de logbestanden ook een blik in iemands privéleven. Zo staan er tal van pornosites, politieke websites, religieuze websites en gezondheidsgerelateerde sites in de logbestanden. Dat maakt het volgens Hunt een gevoelig datalek en zijn door infostealer-malware gecompromitteerde accounts daarom niet door iedereen te doorzoeken, maar alleen door de eigenaar van het betreffende e-mailaccount, die eerst moet bevestigen de eigenaar van het account te zijn. bron: https://www.security.nl

De Britse registry Nominet is aangevallen via een kwetsbaarheid in de vpn-software van Ivanti, zo heeft de organisatie die de .uk-domeinnamen beheert zelf bekendgemaakt. In een e-mail aan klanten laat Nominet weten dat het eind vorige week verdachte activiteit op het netwerk ontdekte. De aanvallers waren binnengekomen via de vpn-software van Ivanti. Nominet gebruikt de software om personeel op afstand toegang tot systemen te geven. Nominet stelt verder dat de aanvallers misbruik maakten van een kwetsbaarheid waarvoor op het moment van de aanval geen beveiligingsupdate beschikbaar was. Ivanti Connect Secure, eerder nog bekend als Pulse Secure, is een vpn-oplossing waarmee gebruikers toegang tot het netwerk van hun organisatie kunnen krijgen. Een stack-based buffer overflow in de vpn-oplossing maakt remote code execution mogelijk. Het beveiligingslek wordt aangeduid als CVE-2025-0282 en heeft op een schaal van 1 tot en met 10 een score van 9.0. Securitybedrijf Mandiant liet vorige week weten dat het halverwege december de eerste aanvallen heeft waargenomen die misbruik van de kwetsbaarheid maken. Ivanti kwam vorige week met beveiligingsupdates voor het probleem. Volgens Nominet zijn er geen aanwijzingen dat de aanvallers gegevens hebben gestolen. Ook zijn er geen backdoors of andere ongeautoriseerde toegang geïdentificeerd. Het onderzoek is nog gaande en Nominet zegt de vpn-toegang van personeel te hebben beperkt. bron: https://www.security.nl

Microsoft heeft tien mensen beschuldigd van het ontwikkelen van tooling waarmee de 'guardrails' van OpenAI-diensten werden omzeild, en het mogelijk was om onder andere via DALL-E 'schadelijke afbeeldingen' te genereren. Guardrails zijn beveiligingsmaatregelen die onbedoeld gebruik van 'AI-diensten' moeten voorkomen. Volgens Microsoft hebben de tien niet bij naam genoemde verdachten gestolen inloggegevens en zelfontwikkelde software gebruikt om in te breken op systemen waarop Microsoft Azure OpenAI-dienst draait. Vervolgens zouden er duizenden 'schadelijke afbeeldingen' zijn gegenereerd waarmee de gebruiksvoorwaarden werden overtreden, aldus het techbedrijf. Om wat voor afbeeldingen het gaat laat Microsoft niet weten. Microsoft stelt dat de verdachten inloggegevens van publieke websites scrapeten, waarmee ze toegang kregen tot accounts van betalende klanten. Het ging dan voornamelijk om gestolen Azure API keys en andere 'authenticatie-informatie'. Vervolgens werden de gecompromitteerde accounts en zelfontwikkelde software gebruikt om de werking van Microsofts 'AI-diensten' aan te passen. Deze aangepaste diensten werden daarna aan andere malafide actoren aangeboden, met instructies hoe ze de zelfgemaakte tools konden gebruiken voor het genereren van 'schadelijke en illegale content' via diensten zoals DALL-E. Microsoft heeft de toegang van de verdachten inmiddels geblokkeerd en van de rechter toestemming gekregen om een door de verdachten gebruikt domein in beslag te nemen. bron: https://www.security.nl

Gebruikers van iMessage zijn al een aantal maanden tijd het doelwit van phishingaanvallen waarbij aanvallers proberen om gebruikers de meegestuurde link te laten openen. Links in berichten van onbekende gebruikers zijn, als beveiligingsmaatregel, standaard niet klikbaar in iMessage. De phishingaanvallen gericht tegen iMessage-gebruikers bevatten instructies om ervoor te zorgen dat de link toch klikbaar en geopend wordt. Gebruikers worden namelijk gevraagd om het bericht met een 'Y' te beantwoorden, het bericht daarna te sluiten en opnieuw te openen. De link in het bericht zal dan klikbaar zijn. De instructies stellen verder dat de gebruiker de link ook kan kopiëren om vervolgens in de Safari-browser te openen. De tactiek wordt al maanden toegepast, zo blijkt uit berichten op X en Reddit. De berichten stellen onder andere dat de ontvanger tol moet betalen of dat er een pakketje niet kon worden afgeleverd. Volgens Bleeping Computer is er de afgelopen maanden een toename van deze berichten zichtbaar. bron: https://www.security.nl

Dat zou inderdaad de volgende adviserende stap zijn geweest.

Topic is gesloten maar wil toch dit even meegeven: HD uitbouwen is echt niet zo spannend. En met een setje als hieronder in de link kun je je HD heel eenvoudig uitlezen en bestanden kopiëren alsof het een USB-stick is. De kosten om het te proberen is het ook nniet. Gebruik zelf regelmatig een soort gelijk setje en heb mij al heel populair gemaakt onder collega's met kapotte pc's 😄 Gembird AUSI01 - Adapterkabel, IDE + SATA - USB

Dubbel scherm via de netwerkkabel begrijp ik niet helemaal. Zo met deze info denk ik aan het volgende: - heb je de HDMI-kabel al eens omgedraaid aangesloten? Dus de kant van de laptop in de tv en visaversa. - al geprobeerd het tweede scherm te selecteren met Windowstoets-P?

Wanneer je eerst wel contact kon maken met het netwerk en nu niet, zou je wifiadapter goed moeten zijn. Begrijp ik het goed dat je met de andere apparaten wel gewoon wifi-contact hebt? Dan zou het kunnen zijn dat het ip van de laptop al vergeven is aan een ander apparaat. Controleer in je router of de ip-adressen op dynamisch staan en niet op vast. Kijk dan ook even hoe vaak je router deze ip-adressen 'ververst'. Kijk daarbij ook gelijk of de kanalen waarover je wifi gaan niet gestoord worden door de routers in je omgeving. Wat je ook kan proberen is de naam van je router aanpassen en dan kijken of hij wel weer verschijnt. Nadeel is wel dat je al je apparaten weer opnieuw moet instellen. Ook is er een manier om al je wifi-instellingen in je laptop te schonen, maar dat is buiten mijn vakgebied, dus kan je niet even uitleggen hoe. Maar wifi is altijd gedoe en kwestie van trail and error. Los van dit alles vind ik het persoonlijk van Odido niet zo netjes dat ze je niet een stukje op weg kunnen of willen helpen an alleen maar de standaard check uit te voeren. Ik zou er nog een belletje aan wagen.

Een kritieke kwetsbaarheid in Microsoft Purview maakte het mogelijk voor aanvallers om gevoelige informatie van bedrijven en organisaties te stelen, zo laat Microsoft weten, dat het probleem inmiddels heeft opgelost. Microsoft Purview bestaat uit een reeks tools voor onder andere het beveiligen en beheren van gegevens, alsmede compliancebeheer en data governance. De oplossing was kwetsbaar voor Server-Side Request Forgery (SSRF). Server-side request forgery is een kwetsbaarheid waarbij een aanvaller de functionaliteit van een server kan misbruiken om toegang tot resources te krijgen waar hij anders geen directe toegang toe zou hebben. "De webserver ontvangt van een upstream-onderdeel een URL of soortgelijk request en haalt de inhoud van deze URL op, maar zorgt er niet voldoende voor dat het request naar de bedoelde bestemming wordt gestuurd", aldus de uitleg van de MITRE Corporation. Microsoft stelt dat de kwetsbaarheid, aangeduid als CVE-2025-21385, tot 'information disclosure' door een 'geautoriseerde aanvaller' kon leiden. Normaliter worden dergelijke beveiligingslekken waarbij het stelen van informatie mogelijk is niet als kritiek aangeduid, maar in dit geval heeft Microsoft dat wel gedaan. Klanten hoeven geen actie te ondernemen om tegen het beveiligingslek beschermd te zijn, zo laat Microsoft verder weten, dat ook meldt dat het geen misbruik heeft waargenomen. Verdere details zijn niet gegeven. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kwetsbaarheid in de GFI KerioControl firewall, zo meldt securitybedrijf Censys op basis van data van securitybedrijf GreyNoise. De CRLF-kwetsbaarheid maakt cross-site scripting mogelijk, wat tot '1-click remote code execution' kan leiden. Wanneer een ingelogde firewallbeheerder op een malafide link klikt, is het mogelijk om via de upgradefunctie van de firewall een malafide bestand te uploaden, wat de aanvaller uiteindelijk roottoegang tot de firewall geeft. GFI kwam op 19 december met een beveiligingsupdate voor het probleem, aangeduid als CVE-2024-52875. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 8.8. De score hangt samen met de vereiste dat een aanvaller het doelwit op een malafide link moet laten klikken. Volgens Censys zijn er bijna 24.000 KerioControl-installaties vanaf het internet toegankelijk en mogelijk kwetsbaar. Proof-of-concept exploitcode is al een aantal weken online beschikbaar. GreyNoise stelt dat het inmiddels meerdere ip-adressen heeft gezien die geprobeerd hebben om misbruik van CVE-2024-52875 te maken. bron: https://www.security.nl

Kwetsbaarheden in het op privacy gerichte besturingssysteem Tails OS maken het mogelijk voor aanvallers om een malafide upgrade uit te voeren en de installatie zo permanent te compromitteren en de gebruiker te de-anonimiseren. Er is een nieuwe versie uitgebracht waarin de problemen zijn verholpen. Gebruikers die extra voorzichtig zijn worden aangeraden een handmatige upgrade uit te voeren in plaats van een automatische upgrade. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Tails kan vanaf een usb-stick of dvd worden gestart. Het maakt gebruik van het Tor-netwerk om het ip-adres van de gebruiker af te schermen en biedt allerlei op privacy gerichte applicaties. Tijdens een externe security-audit zijn meerdere kwetsbaarheden in het besturingssysteem aangetroffen. In Tails 6.10 en eerder kan een aanvaller die een met Tails meegeleverde applicatie weet te compromitteren een beveiligingslek in de Tails Upgrader misbruiken om een malafide upgrade te installeren en zo permanente controle over de Tails-installatie te krijgen. In de bovenstaande situatie kan een aanvaller die een met Tails meegeleverde applicatie heeft gecompromitteerd ook kwetsbaarheden in andere applicaties misbruiken om gebruikers te de-anonimiseren en hun browsegedrag te monitoren. Daarnaast zou een aanvaller de instellingen van de Persistent Storage kunnen aanpassen. Gebruikers die extra voorzichtig zijn worden aangeraden om een handmatige upgrade naar Tails 6.11 uit te voeren. Bij een handmatige upgrade wordt namelijk eventueel aanwezige malware geïnstalleerd door een aanvaller verwijderd. bron: https://www.security.nl

Kwetsbaarheden in de firewall-migratietool van Palo Alto Networks maken het mogelijk voor aanvallers om wachtwoorden en andere gevoelige data te stelen. Vorig jaar werden drie soortgelijke kwetsbaarheden actief misbruikt door aanvallers. Palo Alto Networks Expedition is een migratietool waarmee het mogelijk is om de configuratie van een firewall van een andere leverancier om te zetten naar een firewall van Palo Alto Networks. Een SQL Injection-kwetsbaarheid (CVE-2025-0103) in de software maakt het mogelijk voor een geauthenticeerde aanvaller om de inhoud van de Expedition-database te stelen. Het gaat dan om wachtwoordhashes, gebruikersnamen, firewallconfiguratie en API-keys. Ook maakt het lek het mogelijk voor aanvallers om willekeurige bestanden te lezen of aan te maken. Een command injection-kwetsbaarheid kan een geauthenticeerde aanvaller toegang tot cleartext wachtwoorden geven. De impact van CVE-2025-0103 is op een schaal van 1 tot en met 10 beoordeeld met een 9.2. CVE-2025-0107 heeft een impactscore van 6.3. De kwetsbaarheden in Palo Alto Networks Expedition waar vorig jaar actief misbruik van werd gemaakt waren door een ongeauthenticeerde aanvaller te misbruiken en hadden daardoor een hogere impactscore. Expedition is sinds 31 december end-of-life. De nu aangekondigde kwetsbaarheden zijn al voor deze datum verholpen, zo stelt Palo Alto Networks. Voor nieuwe problemen zullen geen updates meer verschijnen. bron: https://www.security.nl

Softwarebedrijf Ivanti waarschuwt organisaties, net als een jaar geleden, voor een actief aangevallen kwetsbaarheid in Connect Secure VPN en roept op de nu beschikbaar gestelde update te installeren. Het beveiligingslek (CVE-2025-0282) laat een ongeauthenticeerde aanvaller via een stack-based buffer overflow op afstand code op de vpn-server uitvoeren. Ivanti Connect Secure, eerder nog bekend als Pulse Secure, is een vpn-oplossing waarmee gebruikers toegang tot het netwerk van hun organisatie kunnen krijgen. Ivanti stelt dat de vpn-server van een 'beperkt aantal klanten' via CVE-2025-0282 is gecompromitteerd. Volgens het softwarebedrijf werden de aanvallen door middel van de Integrity Checker Tool (ICT) op dezelfde dag dat ze plaatsvonden geïdentificeerd. Wanneer dit was laat Ivanti niet weten. Het bedrijf zegt verder met getroffen klanten samen te werken. In het geval van een besmette vpn-server adviseert Ivanti het uitvoeren van een fabrieksreset. Verdere details over de aanvallen, aanvallers of getroffen klanten zijn niet gegeven. De ICT is een tool om gecompromitteerde vpn-servers mee te identificeren. In het verleden zijn aanvallers erin geslaagd deze tool te omzeilen en ook Ivanti erkent dat de oplossing activiteit van aanvallers niet altijd detecteert. Er wordt dan ook aangeraden de ICT in combinatie met andere monitoringtools te gebruiken. Vorig jaar waren Ivani vpn-servers ook het doelwit van aanvallen, waarop de Amerikaanse overheid met een waarschuwing kwam dat het gebruik van deze servers een 'aanzienlijk risico' met zich meebrengt. CVE-2025-0282 is naast Ivanti Connect Secure ook aanwezig in Ivanti Policy Secure en Ivanti Neurons for ZTA gateways. bron: https://www.security.nl

Het registreren van verlopen domeinnamen maakt het mogelijk om toegang tot allerlei gebackdoorde backdoors op systemen te krijgen, zo stellen onderzoekers van securitybedrijf watchTowr op basis van eigen onderzoek. De onderzoekers merken op dat veel van de backdoors die cybercriminelen gebruiken zelf ook van een backdoor zijn voorzien, waardoor de ontwikkelaar van de backdoor toegang tot systemen kan krijgen die door anderen zijn gecompromitteerd. Het gaat in veel gevallen om webshells die op gecompromitteerde webservers worden geïnstalleerd en aanvallers toegang tot de server geven. Voor de communicatie met de backdoors wordt vaak gebruikgemaakt van domeinnamen die vaak hardcoded in de betreffende backdoor staan. De onderzoekers analyseerden allerlei backdoors en zochten daarbij naar gebruikte domeinnamen, waarvan een groot aantal verlopen was. Het zou om meer dan vierduizend unieke backdoors gaan die nog actief op systemen zijn, maar waarvan de domeinnaam is verlopen of de gebruikte infrastructuur niet meer actief wordt gebruikt. De onderzoekers registreerden tientallen van deze domeinnamen en zagen vervolgens allerlei requests van gecompromitteerde systemen binnenkomen. Het ging onder andere om systemen van overheden in Bangladesh, China en Nigeria, alsmede verschillende universiteiten. De onderzoekers hebben de geregistreerde domeinnamen aan The Shadowserver Foundation overgedragen, een stichting die zich bezighoudt met de bestrijding van cybercrime. bron: https://www.security.nl

Aanvallers maken actief misbruik van een oude kritieke kwetsbaarheid in Oracle WebLogic Server of hebben dit gedaan, zo meldt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Oracle kwam in april 2020 met een beveiligingsupdate voor het probleem, aangeduid als CVE-2020-2883. Dat aanvallers misbruik van het lek maken of hebben gemaakt was nog niet bekend. Oracle WebLogic is een populaire Java-applicatieserver en een geliefd doelwit van cybercriminelen. Zo zijn kwetsbaarheden in WebLogic soms al een paar uur na het uitkomen van een patch aangevallen. Aanvallers gebruikten kwetsbare gecompromitteerde servers in het verleden voor onder andere cryptomining of het installeren van ransomware. Via CVE-2020-2883 kan een ongeauthenticeerde aanvaller kwetsbare WebLogic-servers op afstand overnemen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Uit het beveiligingsbulletin van Oracle blijkt dat destijds zes verschillende beveiligingsonderzoekers de kwetsbaarheid hadden ontdekt en aan Oracle gerapporteerd. Oracle brengt elk kwartaal beveiligingsupdates uit en stelt daarbij altijd dat het berichten blijft ontvangen van aanvallen waarbij er misbruik is gemaakt van kwetsbaarheden waarvoor het al beveiligingsupdates heeft uitgebracht. Het CISA heeft geen details over de waargenomen aanvallen gegeven. bron: https://www.security.nl

SonicWall heeft een authentication bypass in de SSLVPN-functionaliteit van SonicOS verholpen, het besturingssysteem dat op de firewalls van het bedrijf draait, en waarschuwt klanten volgens een bericht op Reddit voor 'naderend misbruik'. Op Reddit deelde iemand een bericht dat van SonicWall afkomstig zou zijn en partners van het securitybedrijf informeert over het beveiligingslek dat 'susceptible to actual exploitation' is. Via de authentication bypass kan een remote aanvaller de authenticatie omzeilen en zo toegang tot de vpn-server krijgen. De impact van het beveiligingslek (CVE-2024-53704) is op een schaal van 1 tot en met 10 beoordeeld met een 8.2. In het bericht stelt SonicWall dat SSL VPN-gebruikers ervan uit moeten gaan dat aanvallers op korte termijn misbruik van het lek kunnen maken en klanten die SSLVPN of SSH-management hebben ingeschakeld meteen de nieuwste firmware moeten installeren zodra die vandaag beschikbaar komt. Update SonicWall heeft het beveiligingsbulletin uitgebracht waarin het laat weten dat er geen actief misbruik van de kwetsbaarheid plaatsvindt. Het artikel is hierop aangepast. bron: https://www.security.nl