Captain Kirk

Fortinet heeft meer dan 50.000 klanten gewaarschuwd dat ze kwetsbare vpn-software draaien en risico lopen om te worden aangevallen. De organisaties in kwestie hebben al anderhalf jaar geen updates voor hun vpn-systeem geïnstalleerd. Op 24 mei 2019 bracht Fortinet een beveiligingsupdate uit voor een kwetsbaarheid in de FortiOS SSL VPN webportal. Het beveiligingslek, aangeduid als CVE-2018-13379, is op een schaal van 1 tot en met 10 wat betreft de impact beoordeeld met een 9,8. Door middel van path traversal kan een ongeauthenticeerde aanvaller FortiOS-systeembestanden downloaden. Op deze manier kan een aanvaller de inloggegevens van ingelogde vpn-gebruikers bemachtigen. Exploits die misbruik van het beveiligingslek maken zijn al ruim een jaar beschikbaar. In juli stelden de Amerikaanse en Britse autoriteiten nog dat Russische inlichtingendiensten het Fortinet-lek gebruikten om vaccinontwikkelaars aan te vallen. In oktober kwamen de FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaansee ministerie van Homeland Security nog met een waarschuwing dat aanvallers het op kwetsbare Fortinet vpn-systemen hadden voorzien. Ondanks alle aandacht voor de kwetsbaarheid en de beschikbaarheid van een beveiligingsupdate zijn er nog altijd meer dan 50.000 klanten van Fortinet die risico lopen. Aanleiding voor Fortinet om deze klanten direct te benaderen en te informeren. "Na achttien maanden, meer dan zeven verschillende Fortinet-notificaties en nieuwsdiensten en overheidsinstellingen die voor het risico waarschuwen zijn er nog steeds veel ongepatchte apparaten", aldus het bedrijf. Onlangs werd gemeld dat lijsten met de ip-adressen van deze apparaten op internet worden verhandeld. Maatregelen Naar aanleiding van de huidige situatie heeft Fortinet besloten om verschillende maatregelen door te voeren. Zo zal het voortaan elke eerste dinsdag van de maand met een patchdinsdag komen. In het geval van zeer ernstige of aangevallen kwetsbaarheden wordt hiervan afgeweken. Verder zullen ernstige kwetsbaarheden ook duidelijk in de grafische gebruikersinterface worden vermeld en zal het voor bepaalde firmware "long-time support" gaan bieden. Op deze manier hoopt het bedrijf dat klanten beschikbare beveiligingsupdates zullen installeren. bron: https://www.security.nl

Volgende week dinsdag 8 december zal er een belangrijke beveiligingsupdate voor OpenSSL verschijnen, zo heeft het OpenSSL Project Team aangekondigd. OpenSSL versie 1.1.1i zal één of meerdere kwetsbaarheden verhelpen waarvan de impact als "high" is bestempeld. Zelden worden er kwetsbaarheden met een dergelijke impact in OpenSSL gevonden. Een aantal keren per jaar verschijnt er een nieuwe versie van de software, waarmee onder andere beveiligingslekken worden verholpen. OpenSSL kent vier niveaus om de impact van kwetsbaarheden te beoordelen: low, moderate, high en critical. Voor beveiligingslekken die als high en critical zijn beoordeeld zal het OpenSSL-team een nieuwe versie uitbrengen. De overige twee categorieën kwetsbaarheden worden tijdens geplande updaterondes verholpen. Via kritieke kwetsbaarheden kunnen aanvallers bijvoorbeeld servers overnemen of de private keys van de server stelen, waarmee versleuteld verkeer is te ontsleutelen. Daardoor kunnen aanvallers allerlei gevoelige gegevens stelen. Bij beveiligingslekken met de beoordeling high is dit ook mogelijk, maar kan het zijn dat misbruik lastiger is of alleen systemen met bepaalde configuraties raakt. De laatste OpenSSL-kwetsbaarheid waarvan de impact als high was beoordeeld dateert van april dit jaar, wat meteen het eerste high-lek in drie jaar tijd was. Via het beveiligingslek was het mogelijk om denial of service-aanvallen tegen servers uit te voeren. In 2018 en 2019 werden er geen kwetsbaarheden in de high-categorie ontdekt. Details over het probleem dat volgende week wordt gepatcht zijn nog niet gegeven. OpenSSL versie 1.1.1i verschijnt volgende week dinsdag 8 december tussen 14:00 en 18:00 uur Nederlandse tijd. OpenSSL behoort tot de meest gebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen. Kwetsbaarheden in OpenSSL kunnen zeer grote gevolgen voor het internet hebben, zo heeft de Heartbleed Bug in het verleden aangetoond. bron: https://www.security.nl

Microsoft waarschuwt voor een spionagegroep die bedrijven en overheidsinstellingen in Frankrijk en Vietnam aanvalt en cryptominers als afleidingsmanoeuvre installeert. De groep wordt door Microsoft "Bismuth" genoemd en vertoont volgens het techbedrijf overeenkomsten met een groep aanvallers die bekendstaat als OceanLotus en APT32. De groep maakt gebruik van phishingmails om organisaties te infecteren. In sommige gevallen wordt er eerst enige tijd met het doelwit gecorrespondeerd voordat die een kwaadaardig document krijgt toegestuurd. Dit document bevat kwaadaardige code die, wanneer door de gebruiker geactiveerd, malware op het systeem installeert. De aanvallers maken hierbij gebruik van een techniek genaamd DLL-sideloading. Ze laten een legitiem programma een kwaadaardig DLL-bestand uitvoeren dat in werkelijkheid malware is. In dit geval downloaden de aanvallers een oude versie van Microsoft Defender Antivirus die kwetsbaar is voor DLL-sideloading en zorgen ervoor dat de virusscanner tijdens het starten van het systeem wordt geladen. Zodra Defender wordt gestart zal die een tevens geïnstalleerd kwaadaardig DLL-bestand uitvoeren. Naast Microsoft Defender Antivirus maken de aanvallers ook gebruik van verouderde versies van Sysinternal DebugView, de McAfee on-demand scanner en Microsoft Word 2007. Vervolgens proberen de aanvallers andere systemen in het netwerk te infecteren en allerlei inloggegevens te stelen. Bij aanvallen die in juli en augustus plaatsvonden installeerden de aanvallers ook een cryptominer die de rekenkracht van besmette machines gebruikte om de digitale valuta Monero te delven. Volgens Microsoft deed de groep dit opzettelijk als afleidingsmanoeuvre om de andere activiteiten te verbergen. Cryptominers zouden minder aandacht van verdedigers trekken omdat het als minder gevaarlijke malware wordt beschouwd, aldus Microsoft. In de tussentijd kunnen de aanvallers doorgaan met het stelen van vertrouwelijke gegevens. Daarnaast levert het gebruik van de cryptominer ook extra inkomsten op. Volgens het techbedrijf werd er met de ontdekte cryptominers in totaal duizenden dollars verdiend. bron: https://www.security.nl

Onderzoekers van het Nederlands Security Meldpunt hebben 313.000 WordPress-sites met een .nl-domeinnaam gescand op kwetsbaarheden. Zo werd er onder andere gekeken naar het versienummer van de WordPress-installatie en geïnstalleerde plug-ins. Aan de hand van de scanresultaten zijn de onderzoekers begonnen met het waarschuwen van de betreffende webmasters en eigenaren. De eerste waarschuwingen die zijn verstuurd gaan over publiekelijk leesbare dump.sql- en installer-log.txt-bestanden. Deze bestanden kunnen gevoelige informatie bevatten. Zo is via installer-log.txt de inhoud van een zip-bestand te vinden met daarin weer bestanden die bijvoorbeeld databasewachtwoorden bevatten. Het bestand blijft achter bij de migratie via de Wordpress-plug-in Duplicator. Door middel van de bestanden kunnen aanvallers WordPress-sites volledig overnemen of toegang tot allerlei vertrouwelijke informatie krijgen. In de e-mail die het Nederlands Security Meldpunt verstuurt wordt advies gegeven om gevonden problemen te verhelpen. Daarnaast wordt WordPress-beheerders aangeraden om hun installaties en plug-ins up-to-date te houden. bron: https://www.security.nl

Antivirusbedrijf Sophos heeft klanten gewaarschuwd voor een datalek dat ontstond door een probleem met toegangsrechten. Dat blijkt uit een e-mail die klanten ontvingen. De virusbestrijder werd op 24 november gewezen op een "acces permission" probleem met een tool die wordt gebruikt voor het opslaan van de gegevens van klanten die contact met de helpdesk opnemen. Daardoor waren gegevens van een "klein deel" van de Sophos-klanten voor derden toegankelijk. Het gaat om naam, e-mailadres en telefoonnummer. Sophos zegt in de e-mail aan klanten dat het stappen heeft genomen waardoor de informatie inmiddels weer is afgeschermd. Daarnaast worden er aanvullende maatregelen getroffen om herhaling te voorkomen. bron: https://www.security.nl

Een kwetsbaarheid in de website van Xbox Live maakte het mogelijk om het e-mailadres en de naam van gebruikers te achterhalen. De enige vereiste voor een aanvaller was dat hij over de gamertag van een doelwit beschikte. Meerdere personen wisten het beveiligingslek te vinden voordat het door Microsoft werd verholpen. De kwetsbaarheid was aanwezig in de website enforcement.xbox.com, waar gamers terecht kunnen als ze bijvoorbeeld op het Xbox-netwerk zijn geschorst. Wanneer gebruikers op de website inloggen wordt er een cookie aangemaakt met details over de sessie. Dit cookiebestand bevatte een onversleuteld Xbox user ID (XUID). Door het XUID via standaard browsertools met een ander XUID te vervangen was het mogelijk om de voor- en achternaam en het e-mailadres dat bij dit XUID hoorde te bekijken. "Ik probeerde de cookiewaarde te vervangen en deed een refresh, waarna ik het e-mailadres van andere gebruikers kon zien", laat beveiligingsonderzoeker Joseph "Doc" Harris tegenover ZDNet weten. Eerder berichtte ook al Vice Magazine over de kwetsbaarheid. Microsoft heeft het probleem verholpen door het XUID te versleutelen, stelt Harris. In onderstaande video demonstreert hij de kwetsbaarheid met een testaccount. bron: https://www.security.nl

Microsoft Defender, de gratis antivirussoftware die standaard aanwezig is in Windows 10, heeft wederom tijdens een antivirustest van het Duitse testlab AV-Test Institute de maximale score gehaald. De gratis virusscanner scoorde beter dan betaalde pakketten zoals Bitdefender, ESET en G Data. Voor de test werden in totaal 22 anti-viruspakketten beoordeeld op de detectie van malware, prestaties en bruikbaarheid. Voor de drie onderdelen konden de pakketten bij elkaar 18 punten verdienen. Bij de detectie van malware werd gekeken naar 334 "zero-day" malware-exemplaren en ruim 12.000 malware-exemplaren die in de laatste vier weken voor de test werden ontdekt. Voor de detectie van de zero-day malware, wat in de definitie van AV-Test onbekende, nieuwe malware is, werd er een gemiddelde score van 98,8 procent gehaald. De test met de ruim 12.000 malware-exemplaren leverde een gemiddelde detectiescore van 100 procent op. Veertien virusscanners scoren op beide onderdelen 100 procent. Om op dit onderdeel zes punten te scoren was het niet noodzakelijk om ook alle malware te detecteren. Cylance en PC Matic zetten met respectievelijk 2,5 en 4 punten de laagste detectiescore neer. Bij het tweede onderdeel, de prestaties, werd naar zaken als het bezoeken van websites, downloaden van bestanden, installeren en draaien van software en het kopiëren van bestanden gekeken en welke invloed de pakketten hierop hadden. Achttien van de 22 pakketten scoren de maximale 6 punten. De overige vier antivirusprogramma's volgen met 5,5 punten, wat aangeeft dat virusscanners tegenwoordig nog nauwelijks impact op systemen hebben. Tijdens het laatste onderdeel van de test, de bruikbaarheid, kwamen de 'false positives' aan bod. In deze gevallen beschouwt de virusscanner schone software als malware of schone websites als besmet. Iets wat als het bijvoorbeeld om systeembestanden gaat vervelende gevolgen kan hebben. Voor de test werden meer dan een miljoen schone websites en bestanden gebruikt. Zestien pakketten halen de maximale 6 punten. Cylance eindigt met vier punten wederom onderaan. Van de 22 virusscanners weten er uiteindelijk tien op de alle drie de vlakken maximaal te scoren. Het gaat om AhnLab, BullGuard, F-Secure, Kaspersky, McAfee, Microsoft, Northguard, NortonLifeLock, Trend Micro en Vipre Security. Cylance is met 12,5 punten hekkensluiter. Het is de derde test op rij van dit jaar dat Microsoft Defender van AV-Test de maximale score krijgt. Informatie die Microsoft via Defender verzameld wordt ook binnen de zakelijke beveiligingsoplossing van het techbedrijf gebruikt, waar organisaties voor moeten betalen. bron: https://www.security.nl

Het Britse National Cyber Security Centre (NCSC) heeft een waarschuwing afgegeven voor een kwetsbaarheid in de software van MDM-aanbieder MobileIron waar landen en criminelen gebruik van maken om Britse organisaties aan te vallen. MobileIron is een aanbieder van mobile device management (MDM)-software waarmee organisaties de apparaten van hun medewerkers op afstand kunnen beheren. De centrale server waarop de MDM-software draait is een aantrekkelijk doelwit voor aanvallers, aldus het NCSC. Op 15 juni kwam MobileIron met een beveiligingsupdate voor een kritieke kwetsbaarheid in MobileIron Core & Connector, MobileIron Sentry en MobileIron Monitor and Reporting Database (RDB). Het beveiligingslek (CVE-2020-15505) is op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,8 beoordeeld. Door middel van "ongespecificeerde vectoren" kan een aanvaller op afstand willekeurige code op de MDM-server uitvoeren. In september verscheen er proof-of-concept exploitcode waarmee kwetsbare systemen zijn aan te vallen. Sindsdien maken zowel vijandelijke statelijke actoren als cybercriminelen misbruik van de kwetsbaarheid, aldus het NCSC. Zowel gezondheidszorg, lokale overheden, logistieke bedrijven en de juridische sector zijn het doelwit van aanvallen geweest. In oktober waarschuwden de FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security dat organisaties via het MobileIron-lek waren aangevallen. Daarnaast stond CVE-2020-15505 in een Top 25 van meest aangevallen kwetsbaarheden die de NSA publiceerde. Eind oktober kwam MobileIron met een bericht dat het sinds het verschijnen van de beveiligingsupdate klanten onder andere heeft gebeld en gemaild om de patch te installeren. Dat zou ervoor hebben gezorgd dat eind oktober naar schatting tussen de 90 en 95 procent van alle MDM-systemen up-to-date was. Organisaties die de update nog niet hebben geïnstalleerd worden door het NCSC en MobileIron opgeroepen dit te doen. bron: https://www.security.nl

Een kwetsbaarheid in cPanel, een populair controlepaneel voor het beheren van websites, maakte het mogelijk om de tweefactorauthenticatie (2FA) tijdens het inloggen te omzeilen. CPanel wordt volgens de ontwikkelaars door meer dan 70 miljoen websites gebruikt. Als extra beveiliging kunnen webmasters tweefactorauthenticatie inschakelen, zodat er naast een wachtwoord een extra code moet worden ingevoerd. CPanel bleek geen beperkingen aan het aantal ingevoerde 2FA-codes te stellen. Door middel van een bruteforce-aanval had een aanvaller op deze manier de tweefactorauthenticatie kunnen omzeilen. De kwetsbaarheid werd op een schaal van 1 tot en met 10 wat betreft de ernst met een 4,3 beoordeeld. CPanel heeft een update uitgebracht om het probleem te verhelpen. Het controlepaneel behandelt een verkeerde ingevoerde 2FA-code nu op dezelfde manier als een verkeerd ingevoerd wachtwoord. Daarnaast wordt er nu rate limiting toegepast om het aantal inlogpogingen te beperken. Beheerders krijgen het advies om te updaten naar cPanel build 11.92.0.2, 11.90.0.17 of 11.86.0.32. bron: https://www.security.nl

Wie een gratis tls-certificaat voor zijn website zoekt kan voortaan naast Let's Encrypt ook bij certificaatautoriteit ZeroSSL terecht. Het bedrijf biedt via het ACME-protocol gratis tls-certificaten aan. ACME (Automated Certificate Management Environment) is een communicatieprotocol waar webservers geautomatiseerd certificaten mee kunnen aanvragen. Door ZeroSSL uitgegeven certificaten zijn, net als bij Let's Encrypt, negentig dagen geldig. ZeroSSL ondersteunt ook multidomein- en wildcardcertificaten. Volgens beveiligingsonderzoeker Scott Helme kan ZeroSSL als alternatief voor Let's Encrypt dienen en zorgt het voor meer diversiteit. Wanneer Let's Encrypt bijvoorbeeld met een storing te maken heeft kan er door middel van ACME snel op ZeroSSL worden teruggevallen. Op deze manier wordt een "single point of failure" voorkomen, merkt Helme op. Daarnaast wordt het zo eenvoudiger gemaakt om van certificaatautoriteit te veranderen. Let's Encrypt liet onlangs nog weten dat miljoenen sites die van de certificaten gebruikmaken volgend jaar niet meer op oude Androidtelefoons werken. Dan verloopt het rootcertificaat dat deze telefoons gebruiken om de certificaten van Let's Encrypt te vertrouwen. Een update naar een nieuwer rootcertificaat hebben deze telefoons nooit ontvangen. Het rootcertificaat waar ZeroSSL gebruik van maakt is sinds Android 6.0 aanwezig en verloopt pas in 2038. bron: https://www.security.nl

Onderzoekers hebben in een onbeveiligde database die voor iedereen op internet toegankelijk was honderdduizenden gestolen Spotify-wachtwoorden ontdekt. De inloggegevens waren bij andere websites buitgemaakt en vervolgens gebruikt om op Spotify-accounts in te loggen van gebruikers die hun wachtwoorden hergebruiken. De in totaal 72 gigabyte grote Elasticsearch-database bevatte meer dan 380 miljoen records, waaronder e-mailadressen, gebruikersnamen en wachtwoorden en de locatie van de gebruikers. Elasticsearch is zoekmachinesoftware voor het indexeren van allerlei soorten informatie. Het wordt onder andere ingezet voor het doorzoeken van websites, documenten en applicaties, maar is ook te gebruiken voor analytics, monitoring en data-analyse. In dit geval was de database van een fraudeur die door middel van een credential stuffing-aanval had geverifieerd of de gestolen wachtwoorden ook bij Spotify werkte. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. Volgens onderzoekers van vpnMentor, die de database ontdekten, ging het om de inloggegevens van 300.000 tot 350.000 Spotify-gebruikers. De onderzoekers waarschuwden de online muziekdienst, waarna Spotify besloot om de wachtwoorden van alle getroffen gebruikers te resetten. bron: https://www.security.nl

VMware heeft een waarschuwing gegeven voor een kritieke kwetsbaarheid in One Access en gerelateerde onderdelen waarvoor nog geen beveiligingsupdate beschikbaar is. Wel is er als oplossing een workaround gegeven. Het beveiligingslek is aanwezig in Workspace One Access, Workspace One Access Connector, Identity Manager, Identity Manager Connector, Cloud Foundation en vRealize Suite Lifecycle Manager. Een aanvaller met toegang tot de configuratiemanager op poort 8443 en een geldig wachtwoord voor het beheerdersaccount kan op het onderliggende besturingssysteem commando's met onbeperkte rechten uitvoeren. Ondanks de verschillende voorwaarden voor een succesvolle aanval is de kwetsbaarheid (CVE-2020-4006) op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,1 beoordeeld. VMware werkt aan een beveiligingsupdate voor de kwetsbaarheid. Wanneer die zal verschijnen is nog onbekend. In de tussentijd is er een workaround die organisaties kunnen implementeren. bron: https://www.security.nl

Een verzameling van 226 miljoen gestolen e-mailadressen en 40 miljoen wachtwoorden, afkomstig van mogelijk 23.000 gecompromitteerde websites, is aan datalekzoekmachine Have I Been Pwned toegevoegd. De dataverzameling is afkomstig van Cit0day, een inmiddels uit de lucht gehaalde website. Deze website bood tegen betaling toegang tot gestolen databases met e-mailadressen, gebruikersnamen en plaintext wachtwoorden. Volgens de website beschikte het over 23.000 gestolen databases. Cit0day werd in september door de Amerikaanse autoriteiten offline gehaald, waarna de complete databaseverzameling op allerlei fora en Telegramkanalen verscheen. Zowel e-mailadressen als wachtwoorden zijn aan Have I Been Pwned toegevoegd, zo laat oprichter en onderzoeker Troy Hunt weten. Via de zoekmachine kunnen gebruikers kijken of hun gegevens in bekende datalekken voorkomen. Van de 226 miljoen gestolen e-mailadressen was 65 procent al via een ander datalek bij Have I Been Pwned bekend. Naast het zoeken op gelekte e-mailadressen biedt Have I Been Pwned ook een service genaamd "Pwned Passwords". Dit is een verzameling van wachtwoorden die bij websites zijn gestolen. Gebruikers kunnen op wachtwoorden zoeken of die gecompromitteerd zijn of de volledige verzameling als wachtwoordhash downloaden. De dataverzameling van Cit0day bevatte 40 miljoen wachtwoorden die aan Pwned Passwords zijn toegevoegd. Het gaat om wachtwoorden die plaintext door websites waren opgeslagen of waarvan de hash is gekraakt. bron: https://www.security.nl

Een beveiligingslek in videoconferentiesoftware Cisco Webex maakt het mogelijk voor een ongeauthenticeerde aanvaller om ongezien aan een vergadering deel te nemen. Daarnaast zijn er twee kwetsbaarheden gevonden waardoor geschorste deelnemers de audio van de vergadering kunnen blijven beluisteren en een ongeauthenticeerde aanvaller gevoelige informatie van de meeting room lobby kan bekijken. Cisco heeft updates uitgebracht om de problemen te verhelpen. Het probleem waarbij een aanvaller aan een vergadering kon deelnemen zonder op de deelnemerslijst te verschijnen werd volgens Cisco veroorzaakt door het niet goed verwerken van authenticatietokens. Verdere details worden niet gegeven. Wel meldt Cisco dat een aanvaller over de link en het wachtwood van de meeting moest beschikken. Vervolgens was het mogelijk om aan de meeting deel te nemen zonder in deelnemerslijst te verschijnen en had de aanvaller volledige toegang tot audio, video, chat en screensharingmogelijkheden. Daarnaast was er een probleem waarbij een uit de vergadering verwijderde aanvaller of deelnemer toegang tot de audio kon behouden. Een synchronisatieprobleem tussen meeting- en mediaservices op een kwetsbare Webex-site was de boosdoener, aldus Cisco. Dit probleem werd veroorzaakt door het droppen van bepaalde "key control messages" die over de opgezette WebSockets werden uitgewisseld. Dit zorgde ervoor dat de deelnemer niet meer zichtbaar was op de deelnemerslijst, maar de audioverbinding actief bleef. Bij de derde kwetsbaarheid werd gevoelige deelnemersinformatie niet goed beveiligd, waardoor een aanvaller toegang kon krijgen tot onder andere e-mailadressen en ip-adressen van Webex-deelnemers die in de lobby wachtten. Uitgebreide details over de drie kwetsbaarheden, die door IBM werden gevonden, zijn niet gegeven. Mogelijk dat die na de uitrol van de beveiligingsupdates verschijnen. bron: https://www.security.nl

Extensies voor Google Chrome laten vanaf januari 2021 aan gebruikers zien welke data ze verzamelen en hoe hiermee wordt omgegaan, zo heeft Google aangekondigd. Daarnaast heeft Google het beleid aangepast waarin staat wat ontwikkelaars met verzamelde data mogen doen. Extensies moeten straks in de Chrome Web Store vermelden welke data ze verzamelen, op een manier die vergelijkbaar is met het privacylabel van Apple. Het gaat dan bijvoorbeeld om zaken als persoonlijke identificeerbare informatie, authenticatiegegevens en gebruikersactiviteit. Naast informatie over de verzamelde data moet de extensie-ontwikkelaar ook aangeven wat hij niet met de gegevens zal doen. Dit is gebaseerd op aangepast beleid van Google. Zo mag gebruikersdata niet voor gepersonaliseerde advertenties worden gebruikt, is de verkoop van gebruikersdata niet toegestaan, mag gebruikersdata niet worden gebruikt om de kredietwaardigheid van de gebruiker te bepalen en is het uitwisselen van gebruikersdata alleen toegestaan wanneer dit in het belang van de gebruiker is en overeenkomt met het doel van de extensie. Ontwikkelaars kunnen de informatie over hun extensie via het developer dashboard van Google toevoegen. Vanaf 18 januari 2021 zal de informatie in de Chrome Web Store worden getoond. Bij extensies waar dit niet is gedaan zal Google een melding tonen dat de ontwikkelaar geen informatie heeft gegeven over het verzamelen en gebruiken van gebruikersdata. bron: https://www.security.nl

De Amerikaanse hostingprovider Managed.com is na een ransomware-aanval offline gegaan, waardoor ook websites van klanten onbereikbaar zijn. Dat heeft het bedrijf via de eigen statuspagina bekendgemaakt. De aanval vond afgelopen maandag plaats. In eerste instantie meldde Managed.com dat er een "probleem" met de hostingdiensten was, wat gevolgen had voor de bereikbaarheid van de websites van "sommige klanten". Gisteren liet de hostingprovider in een nieuwe verklaring weten dat het om een ransomware-aanval ging. "Om de integriteit van de data van onze klanten te beschermen is een beperkt aantal getroffen sites meteen offline gehaald", aldus de verklaring. Na verder onderzoek werd vervolgens, uit voorzorg volgens Managed.com, besloten om het gehele systeem uit te schakelen en zo de websites van klanten te beschermen. "Onze eerste prioriteit is de veiligheid van uw data", zo stelt het bedrijf. De hostingprovider is nu bezig om de getroffen systemen op te schonen en te herstellen. Om wat voor ransomware het gaat en hoe de systemen besmet konden raken is niet bekendgemaakt. Op Twitter klagen verschillende klanten dat hun websites offline zijn. Ook de website van Managed.com is op het moment van schrijven onbereikbaar. bron: https://www.security.nl

Cisco waarschuwt organisaties voor meerdere kwetsbaarheden in Security Manager, een product voor het monitoren en beheren van firewalls, routers en andere netwerkapparaten. Via de beveiligingslekken kan een aanvaller gevoelige informatie van het systeem stelen of hierop willekeurige commando's uitvoeren. Het gaat in totaal om drie kwetsbaarheden waarvan er twee zijn gepatcht. Een update voor de derde kwetsbaarheid zou binnenkort moeten verschijnen. De kwetsbaarheden waren door beveiligingsonderzoeker Florian Hauser ontdekt en aan Cisco gerapporteerd. Op 11 november liet hij via Twitter weten dat hij Cisco vier maanden geleden voor de problemen had gewaarschuwd. Cisco bracht op 10 november Security Manager versie 4.22 uit, maar in de release notes werd niets over de kwetsbaarheden vermeld. Daarop besloot Hauser om op 16 november verschillende proof-of-concept exploits te publiceren. Cisco liet vervolgens weten dat twee van de drie kwetsbaarheden in versie 4.22 waren verholpen en publiceerde de bijbehorende security-advisories. De gevaarlijkste kwetsbaarheid is CVE-2020-27130. Op een schaal van 1 tot en met 10 wat betreft de ernst is dit lek met een 9,1 beoordeeld. Door middel van path traversal kan een ongeauthenticeerde aanvaller op afstand gevoelige informatie van het systeem benaderen en willekeurige bestanden downloaden. Het tweede beveiligingslek waarvoor een update verscheen is CVE-2020-27125. Het betreft een kwetsbaarheid waardoor statische credentials in de software niet goed zijn beschermd. Een ongeauthenticeerde aanvaller kan deze inloggegevens zodoende op afstand bekijken en voor verdere aanvallen gebruiken. Dit beveiligingslek werd met een 7,4 beoordeeld. Voor kwetsbaarheid nummer drie, aangeduid als CVE-2020-27131, is nog geen update beschikbaar. Via dit beveiligingslek kan een ongeauthenticeerde aanvaller op afstand commando's met systeemrechten op het systeem uitvoeren. De patch voor dit probleem zal worden verwerkt in Service Pack 1, die in de komende weken moet verschijnen. bron: https://www.security.nl

Er is een grootschalige aanval tegen WordPress-sites ontdekt die gebruikmaken van themes die op het Epsilon-framework zijn gebaseerd, zo meldt securitybedrijf Wordfence. De in totaal vijftien themes waar de aanvallers het op hebben voorzien zijn naar schatting op meer dan 150.000 WordPress-sites geïnstalleerd. Het aantal WordPress-sites dat de aanvallers op de kwetsbare themes controleren ligt vele malen hoger. Zo zag Wordfence aanvallen tegen meer dan 1,5 miljoen websites. Het gaat hier alleen om websites die van de Wordfence-plug-in gebruikmaken. Het werkelijke aantal sites ligt dan ook mogelijk hoger. Volgens het securitybedrijf zijn de aanvallen afkomstig van meer dan 18.000 ip-adressen. Vooralsnog kijken de aanvallers alleen of de kwetsbare themes geïnstalleerd zijn. Via de beveiligingslekken is remote code execution mogelijk en kan een aanvaller volledige controle over de website krijgen. Details over de aanvallen wil Wordfence nog niet geven. Van de vijftien kwetsbare themes zijn Shapely (60.000 installaties), NewsMag (20.000 installaties), Activello en Illdy (beide 10.000 installaties) het populairst. Gebruikers van de themes wordt aangeraden om, wanneer mogelijk, naar de nieuwste versie te updaten. In het geval er geen update beschikbaar is wordt geadviseerd het theme in kwestie uit te schakelen. bron: https://www.security.nl

Gebruikers van Google Chrome die naar de nieuwste versie van de browser updaten hebben een grote kans dat ze standaard geen gebruik meer van FTP kunnen maken. Google heeft in Chrome 87 de FTP-ondersteuning bij de helft van de gebruikers namelijk uitgeschakeld. Gebruikers kunnen in deze versie de FTP-support nog wel inschakelen. In de volgende Chrome-versie zal de ondersteuning van FTP echter volledig zijn verwijderd. Gebruikers die dan bijvoorbeeld een FTP-link willen openen zullen hiervoor een apart programma moeten gebruiken. Het uit 1971 stammende File Transfer Protocol (FTP). FTP maakt geen gebruik van encryptie waardoor inloggegevens en data als platte tekst naar de FTP-server worden verstuurd. Het wordt dan ook als een onveilig en verouderd protocol beschouwd. Daarnaast zijn er allerlei veiligere alternatieven voor het uitwisselen van data beschikbaar. Verder zijn met de lancering van Chrome 87 in totaal 33 kwetsbaarheden in de browser verholpen. De beveiligingslekken zijn als "high" bestempeld. Het gaat in dit geval om lekken waardoor een aanvaller code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. De beveiligingslekken zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google is niet bekend met misbruik van de nu verholpen lekken. Updaten naar Chrome 87.0.4280.66 zal op de meeste systemen automatisch gebeuren. bron: https://www.security.nl

Een zerodaylek in FreeType dat werd gebruikt om gebruikers van Google Chrome aan te vallen vormde geen risico voor Firefox-gebruikers, tenzij die een bepaalde optie hadden ingesteld. Dat heeft Mozilla bekendgemaakt. FreeType is een gratis library voor het weergeven van fonts waar browsers gebruik van maken. Vorige maand maakte Google bekend dat Chrome-gebruikers via een kwetsbaarheid in FreeType waren aangevallen. Bij deze aankondiging liet Google weten dat het alleen aanvallen tegen Chrome-gebruikers had gezien, maar dat alle software die van FreeType gebruikmaakte risico liep. Vandaag heeft Mozilla Firefox 83 uitgebracht, waarmee in totaal 21 kwetsbaarheden worden verholpen. Het ging onder andere om het zerodaylek in FreeType dat door Google was onthuld. Firefox was in de standaardconfiguratie niet kwetsbaar, zo meldt Mozilla. Alleen als Firefox-gebruikers op Android of Linux een bepaalde "verborgen" instelling hadden ingeschakeld konden ze via de kwetsbaarheid worden aangevallen. Om welke instelling het gaat is nog niet bekendgemaakt. Firefox biedt naast het instellingenmenu ook via about:config allerlei configuratieopties. Firefox voor andere besturingssystemen was helemaal niet kwetsbaar. Updaten naar Firefox 83 kan via de automatische updatefunctie en Mozilla.org. bron: https://www.security.nl

Microsoft heeft vandaag een nieuwe security-processor genaamd Pluton aangekondigd die AMD, Intel en Qualcomm aan hun eigen processors gaan toevoegen. Pluton moet onder andere bescherming tegen fysieke aanvallen bieden. Veel computers maken tegenwoordig gebruik van een Trusted Platform Module (TPM). Dit is een apart hardwareonderdeel dat wordt gebruikt voor de opslag van keys en het controleren van de integriteit van het systeem. De TPM wordt onder andere voor Windows Hello en BitLocker gebruikt. Doordat de TPM allerlei beveiligingstaken uitvoert is het een doelwit van aanvallers geworden, aldus Microsoft. Aanvallers richten zich daarbij op het communicatiekanaal tussen de processor en de TPM, wat meestal een bus-interface is. Deze interface biedt de mogelijkheid om informatie tussen de hoofdprocessor en security-processor uit te wisselen. Het biedt echter ook mogelijkheden voor een aanvaller om tijdens deze uitwisseling informatie via een fysieke aanval te stelen of aan te passen. De Pluton-processor elimineert deze aanvalsvector door de security direct in de cpu te integreren. Windowscomputers die van de Pluton-architectuur gebruikmaken zullen een TPM emuleren. Daarbij zal de Pluton-processor encryptiesleutels, identiteiten en persoonlijke data beschermen. Zelfs wanneer een aanvaller malware heeft geïnstalleerd of fysieke toegang tot de computer heeft kan hij geen informatie uit de Pluton-processor stelen, zo claimt Microsoft. Hiervoor wordt gevoelige data, zoals encryptiesleutels, binnen de Pluton-processor opgeslagen, die geïsoleerd is van het systeem. Verder biedt Pluton een technologie genaamd Secure Hardware Cryptography Key (SHACK) die ervoor moet zorgen dat keys nooit buiten de beveiligde hardware beschikbaar zijn. Firmware Een ander probleem dat Pluton volgens Microsoft moet gaan oplossen is het updaten van firmware. Alle computers zijn uitgerust met firmware. Firmware-updates zijn echter van verschillende partijen afkomstig, wat het lastig kan maken om beschikbare updates tijdig te installeren. Pluton zal het proces voor het updaten van firmware gaan integreren met het Windows Update-proces. Zodoende wil Microsoft de firmware voor het gehele pc-ecosysteem up-to-date kunnen houden. Wanneer de eerste AMD- en Intel-processors met de nieuwe Pluton-processor verschijnen is nog onbekend. bron: https://www.security.nl

Mozilla stopt op 26 januari 2021 de ondersteuning van Adobe Flash Player in Firefox, zo heeft de browserontwikkelaar vandaag aangekondigd. Ook Adobe en andere browserontwikkelaars zullen vanaf januari de support van Flash eindigen. Firefox 84, die op 15 december uitkomt, is de laatste Firefox-versie die met Flash Player werkt. Waneer Firefox 85 op 26 januari 2021 verschijnt zal de browser Flash niet meer ondersteunen. Dit zal volgens Mozilla de veiligheid en prestaties van de browser verbeteren. Voor gebruikers van Firefox Nightly en Beta, twee testversies van de browser, zal de Flash-support op respectievelijk vandaag en 14 december eindigen. Het is dan niet meer mogelijk om Flash op enige manier in de browser in te schakelen. Flash Player zal na 12 januari 2021 geen Flash-content meer laden, zo laat Mozilla verder weten. Adobe riep gebruikers eerder al op om de browserplug-in te verwijderen. Sinds vorige maand laat Flash Player ook meldingen zien waarin dit aan gebruikers wordt gevraagd. Dagelijks maken 223 miljoen mensen gebruik van de desktopversie van Firefox. Daarvan heeft 35 procent (78 miljoen) Flash Player op het systeem geïnstalleerd staan. Vanwege een lange geschiedenis van beveiligingsproblemen en het feit dat Flash inmiddels een verouderde technologie is, kondigde Adobe in 2017 aan dat het de ondersteuning van de browserplug-in in 2020 beëindigt. Flash Player werd gebruikt voor het weergeven van video's en andere content, maar inmiddels is de functionaliteit op steeds meer websites door html5 vervangen. bron: https://www.security.nl

Op internet zijn nog altijd honderdduizenden servers te vinden die kwetsbaar zijn voor beveiligingslekken zoals BlueKeep en Heartbleed, ook al zijn beveiligingsupdates om de kwetsbaarheden te verhelpen al lange tijd beschikbaar. Dat stelt Jan Kopriva, handler bij het Internet Storm Center (ISC), op basis van eigen onderzoek. Kopriva voerde een scan uit met zoekmachine Shodan en verifieerde een deel van de resultaten met handmatige Nmap-scans. Zo bleken er 247.000 servers kwetsbaar te zijn voor BlueKeep. De kwetsbaarheid, die de naam BlueKeep kreeg, is aanwezig in de Remote Desktop Services (RDS) van Windows XP, Server 2003, Windows 7 en Server 2008. Een aanvaller hoeft alleen via het remote desktopprotocol verbinding te maken om kwetsbare machines over te nemen. Het is daarbij niet nodig om geldige inloggegevens te gebruiken. Microsoft bracht op 14 mei 2019 een beveiligingsupdate voor de kwetsbaarheid uit. Kopriva telde ook meer dan 200.000 servers die de update voor de Heartbleed-kwetsbaarheid niet hebben geïnstalleerd. Via dit beveiligingslek uit 2014 is het mogelijk om de inhoud van het geheugen van webservers die OpenSSL gebruiken uit te lezen. Tevens bevatten zo'n 247.000 Exim-servers een bekende kwetsbaarheid waarvan actief misbruik wordt gemaakt. "De resultaten laten zien dat zelfs zeer bekende kwetsbaarheden soms jarenlang niet worden gepatcht", aldus Kopriva. "Alleen omdat we er niet meer over praten verdwijnen Heartbleed, Bluekeep en andere beveiligingslekken niet." De ISC-handler voegt toe dat voor bedrijven die hun patchmanagement niet op orde hebben "historische" kwetsbaarheden nog altijd een risico vormen. bron: https://www.security.nl

De bekende hacker Peiter Zatko, alias Mudge, is het nieuwe hoofd security van Twitter. Zatko was een lid van de hackersgroep L0pht en het hackerscollectief Cult of the Dead Cow. Hij werkte in 1995 mee aan de eerste onderzoeken naar buffer overflows, toen nog een nieuw soort beveiligingslek. In 1998 getuigde Zatko samen met andere leden van L0pht voor het Amerikaanse Congres over de slechte beveiliging van Amerikaanse overheidssystemen. Ze claimden dat ze het internet binnen 30 minuten uit de lucht konden halen. Voor zijn overstap naar Twitter was Zatko 'head security' bij betaalverwerker Stripe. Daarvoor werkte hij bij de Motorola Mobility’s Advanced Technology & Projects (ATAP) groep, onderdeel van Google en het Defense Advanced Research and Projects Agency (DARPA) van het Pentagon. Tegenover persbureau Reuters laat Zeitko weten dat hij bij Twitter onder andere naar de informatiebeveiliging, fysieke beveiliging, platformintegriteit en engineering zal kijken. bron: https://www.security.nl

Mozilla introduceert vandaag een nieuwe Firefox-versie die van een beveiligingsfeature is voorzien waardoor http-sites standaard niet meer worden geladen. De HTTPS-Only Mode zorgt ervoor dat Firefox standaard elke website via https zal benaderen. In het geval een website geen https ondersteunt vraagt de browser de gebruiker om toestemming om de site toch te laden. De meeste websites maken inmiddels gebruik van https. Toch vallen websites volgens Mozilla nog geregeld terug op het onveilige en gedateerde http-protocol. Daarnaast zijn er nog miljoenen oude http-links op het web te vinden die naar de http-versie van websites wijzen. Met de HTTPS-Only Mode zal Firefox geen onbeveiligde verbindingen met websites meer opzetten tenzij de gebruiker dit toestaat. Ook wanneer de gebruiker http in de adresbalk tikt of op een http-link klikt zal Firefox bij deze mode standaard er https van maken. Wanneer een website geen https aanbiedt toont de browser een foutmelding en legt het beveiligingsrisico uit. Vervolgens kan de gebruiker ervoor kiezen om de website wel of niet te bezoeken. In het geval van 'mixed-content', waarbij de website van https gebruikmaakt, maar bijvoorbeeld afbeeldingen, advertenties of filmpjes via http laadt, kan HTTPS-Only ervoor zorgen dat de website niet goed wordt weergegeven. In deze situaties is het mogelijk om de beveiligingsfeature tijdelijk voor de betreffende website uit te schakelen. Mozilla stelt dat als het gebruik van https verder toeneemt browsers de ondersteuning van http volledig kunnen uitschakelen en https voor elke website kunnen verplichten. Volgens cijfers van Let's Encrypt wordt zo'n 84 procent van de websites die Firefox-gebruikers bezoeken via https geladen. De HTTPS Only Mode is beschikbaar in Firefox 83 die later vandaag verschijnt. Gebruikers moeten de optie wel zelf inschakelen. bron: https://www.security.nl