Captain Kirk

Google waarschuwt voor malware die met populaire applicaties zoals vpn-software gebundeld is en aanvallers vergaande controle over het systeem geeft. Volgens onderzoeker Tatsuhiko Ito is de PlayFulGhost-malware een backdoor die functionaliteit deelt met de Gh0st RAT-malware, waarvan de broncode in 2008 openbaar werd gemaakt. De malware wordt verspreid via phishingaanvallen en 'SEO poisoning'. Bij sommige van de phishingaanvallen versturen de aanvallers e-mails met het onderwerp 'gedragscode'. Gebruikers worden vervolgens gevraagd om de meegestuurde malafide RAR-bijlage te openen. Het bestand in de RAR-bijlage downloadt uiteindelijk de backdoor. De andere methode is SEO (search engine optimization) poisoning, waarbij criminelen de index van zoekmachines manipuleren, zodat zoekresultaten naar malafide websites hoger in de zoekresultaten verschijnen. Bij deze laatste methode wordt de malware gebundeld met populaire software, zoals de vpn-applicatie LetsVPN. De malafide bundel verschijnt bovenaan de zoekresultaten, waardoor het om een legitieme download lijkt te gaan, aldus Ito. Zodra gebruikers de bundel openen wordt uiteindelijk de PlayFulGhost-malware op het systeem gedownload. Eenmaal actief kan de malware toetsaanslagen opslaan, screenshots maken, audio opnemen, data in het clipboard kopiëren en verwijderen, informatie over QQ-accounts verzamelen, logbestanden verwijderen, aanvallers commando's laten uitvoeren, aanvullende malware installeren en meer. Opvallend aan de malware is dat die ook verschillende opties biedt die door Google als 'nuisance activity' worden omschreven. Het gaat dan om het aanpassen van de schermresolutie, het blokkeren van muis- en keyboardinvoer, het veranderen van de muisknoppenindeling, het verbergen van de taakbalk, openen en sluiten van de cd-romlade en het maken van piepgeluiden. bron: https://www.security.nl

Gebruikers van oude Firefox-versies worden opgeroepen om hun browser voor 14 maart van dit jaar te updaten, omdat anders alle extensies worden uitgeschakeld en streamingdiensten mogelijk stoppen met werken. Ook lopen gebruikers dan het risico op man-in-the-middle (MiTM) -aanvallen. Op 14 maart zal namelijk een rootcertificaat gebruikt voor het verifiëren van gesigneerde content en extensies voor verschillende Mozilla-projecten, waaronder Firefox, verlopen. Door niet te updaten naar Firefox 128 of Firefox 115.13 ESR of nieuwer zal dit grote gevolgen hebben. Zo zullen geïnstalleerde extensies worden uitgeschakeld en kan er mogelijk geen DRM-beschermde content meer worden afgespeeld, wat gevolgen heeft voor het gebruik van streamingdiensten. De nieuwste Firefox-versie beschikt over een nieuw rootcertificaat. Een ander probleem is dat allerlei andere onderdelen stoppen met werken, waaronder het herkennen van ingetrokken of frauduleus uitgetrokken certificaten, wat tot MiTM-aanvallen en phishing kan leiden. Ook zal de browser dan niet meer waarschuwen voor gecompromitteerde wachtwoorden. bron: https://www.security.nl

Antivirusbedrijf ESET waarschuwt gebruikers van Windows 10 om nu al te upgraden naar Windows 11 of een alternatief besturingssysteem en zo een naderend 'securityfiasco' te voorkomen. "Het is vijf minuten voor twaalf om een securityfiasco voor 2025 te voorkomen. We raden alle gebruikers ten zeerste aan om niet tot oktober te wachten, maar om meteen naar Windows 11 over te stappen of een alternatief besturingssysteem te kiezen als hun apparaat niet naar de nieuwste Windowsversie is te updaten", zegt Thorsten Urbanski van ESET. Volgens de virusbestrijder zijn alleen in Duitsland al 32 miljoen computers die Windows 10 draaien. Op 14 oktober stopt Microsoft de ondersteuning van deze Windowsversie. "De situatie is gevaarlijker dan toen de support voor Windows 7 begin 2020 eindigde", gaat Urbanski verder. "Zelfs voor de officiële datum, tegen het einde van 2019, gebruikte nog slechts twintig procent van de gebruikers Windows 7. Meer dan zeventig procent gebruikte toen het nieuwe Windows 10. De huidige situatie is zeer gevaarlijk." Op dit moment draait Windows 10 volgens StatCounter nog op bijna 63 procent van de Windows-desktops. Volgens Urbanski zijn ook cybercriminelen met deze cijfers bekend en wachten ze op het moment dat de support van Microsoft eindigt. In Duitsland heeft Windows 10 nog een marktaandeel van 65 procent. In Oostenrijk en Zwitserland is dat respectievelijk 63 en 56 procent, merkt Urbanski op. Zowel eindgebruikers als bedrijven kunnen tegen betaling een onderhoudscontract afsluiten om langer beveiligingsupdates te blijven ontvangen. Voor eindgebruikers bedraagt deze extra supportperiode één jaar. Bedrijven en organisaties kunnen maximaal drie jaar lang extra patches ontvangen. Urbanski stelt dat ook bedrijven zo snel mogelijk moeten overstappen. "Het verlengen van de support is kostbaar. Het gewoon laten draaien van de machines is grove nalatigheid. Met name deze verouderde systemen zijn kwetsbaar voor cyberaanvallen." bron: https://www.security.nl

Er is geen ACE-kwetsbaarheid in het populaire archiveringsprogramma 7-Zip aanwezig zoals op X wordt beweerd, zo stelt ontwikkelaar Igor Pavlov. Eerder deze week verscheen op X een bericht van een account met de naam 'NSA_Employee39'. Het account claimde dat er een onbekende ACE-kwetsbaarheid in 7-Zip aanwezig is en wees daarbij naar een zogenaamde exploit. Zowel experts als Pavlov stellen dat de geclaimde kwetsbaarheid niet echt is. Volgens de 7-Zip-ontwikkelaar gaat het om een 'fake exploit' gegenereerd door een 'AI'. Het is dan ook onduidelijk wat de vermeende kwetsbaarheid is. ACE is een bestandstype voor het comprimeren van data. In het verleden zijn er kwetsbaarheden in het ACE-compressieformaat gevonden en gebruikt bij aanvallen. Dat was echter tegen het archiveringsprogramma WinRAR. Het openen van een malafide ACE-bestand zorgde ervoor dat een aanvaller malafide code op het systeem van gebruikers kon plaatsen. Vorige maand liet de maintainer van het veelgebruikte curl-project weten dat hij geregeld door 'AI' verzonnen bugmeldingen ontvangt. 7-Zip kwam vorig jaar nog in het nieuws omdat het stilletjes een buffer overflow-kwetsbaarheid en ander beveiligingslek in het programma was gedicht, zonder dit te melden in de releasenotes of op andere manier aan gebruikers te laten weten. bron: https://www.security.nl

Vorig jaar waren er minder kwetsbaarheden waar actief misbruik van werd gemaakt, en waar op het moment van de aanval geen update voor beschikbaar was, dan het jaar daarvoor, zo stelt Google. Het techbedrijf houdt een overzicht bij van actief aangevallen beveiligingslekken dat teruggaat tot 2014. Vorig jaar registreerde Google 31 kwetsbaarheden zonder patch op het moment van de aanval. In 2023 waren dat er nog 56. De meeste actief aangevallen kwetsbaarheden registreerde Google vorig jaar in de eigen producten (11), gevolgd door Microsoft (9) en Apple (5). Het gaat onder andere om beveiligingslekken in Google Chrome, Android, Windows, WebKit en iOS. Een jaar eerder in 2023 voerde Apple de lijst nog aan (20), met daarachter Microsoft (14) en Google (11). Een verklaring voor de afname is nog niet door Google gegeven. Het techbedrijf komt vaak later in januari met een eigen analyse. 2021 was het jaar waarin Google de meeste actief aangevallen kwetsbaarheden zonder update registreerde, 69 in totaal. Toen was het Microsoft dat de lijst aanvoerde (21) met Google op de tweede plek (17) en Apple als derde (14). Veel van de kwetsbaarheden in het overzicht van Google zijn gebruikt door spywareleveranciers of zijn toegeschreven aan statelijke actoren die ze bij spionageaanvallen zouden hebben ingezet. bron: https://www.security.nl

Een ontwikkelaar heeft een op DOOM-gebaseerde captcha voor websites ontwikkeld. Om te bewijzen dat men geen bot is moeten gebruikers eerst drie monsters afschieten op de "nightmare" moeilijkheidsgraad van het spel. De captcha, gemaakt door Guillermo Rauch, is gebaseerd op een minimale port van de shareware versie van DOOM. De 'doom-captcha, waarvan de broncode via GitHub openbaar is gemaakt, maakt onder andere gebruik van WebAssembly en een JavaScript-gebaseerde captcha user-interface. Het idee is niet geheel nieuw, al in 2021 kwam een andere ontwikkelaar met een 'DOOM Captcha' waarbij drie monsters moesten worden afgeschoten. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om 36 extensies voor Google Chrome, met in totaal 2,6 miljoen gebruikers, via een phishingaanval te kapen en vervolgens te voorzien van malafide code die Facebook-inloggegevens van het systeem steelt. Eén van de getroffen Chrome-extensies was van cybersecuritybedrijf Cyberhaven, waar al eerder over werd bericht. Onder de andere getroffen extensies bevinden zich mede VPNCity, Reader Mode, ChatGPT Assistant, Search Copilot AI Assistant for Chrome, Email Hunter, ChatGPT App, Web3Password Manager en Where is Cookie?, zo meldt Extension Total. De aanvallers gebruikten een phishingmail gericht aan extensie-ontwikkelaars waarin werd gesteld dat hun extensie het beleid van de Chrome Web Store had overtreden en verwijderd zou worden. De e-mail was voorzien van een knop die naar het 'beleid' van de Chrome Web Store linkte. In werkelijkheid linkte de knop naar een OAuth-applicatie genaamd 'Privacy Policy Extension'. Deze applicatie vroeg gebruikers om de permissie om hun Chrome-extensies te bewerken en publiceren in de Chrome Web Store. Meerdere extensie-ontwikkelaars gingen hiermee akkoord, waarna de aanvallers een malafide versie van de extensie naar de Chrome Web Store publiceerden. Google Chrome installeert automatisch updates voor geïnstalleerde extensies. Dit staat standaard ingeschakeld. De besmette update probeert vervolgens inloggegevens van Facebook-accounts te stelen en terug naar de aanvallers te sturen. Extensie-ontwikkelaars zijn voor de phishingaanval gewaarschuwd. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kwetsbaarheid in industriële routers van fabrikant Four-Faith en het is onduidelijk of er updates beschikbaar zijn om het probleem te verhelpen, zo meldt securitybedrijf VulnCheck. Het gaat onder andere om de F3x24 en F3x36, die mede voor onbemande systemen worden gebruikt. Een kwetsbaarheid in de routers, aangeduid als CVE-2024-12856, laat een aanvaller commando's op het systeem uitvoeren. Voorwaarde is wel dat een aanvaller zich eerst heeft geauthenticeerd. Bij de waargenomen aanvallen werd er gebruik gemaakt van het standaard wachtwoord dat niet was gewijzigd. Vervolgens werd het beveiligingslek gebruikt voor het opzetten van een reverse shell. Verdere details over de aanvallen zijn niet door VulnCheck gegeven. Het securitybedrijf waarschuwde Four-Faith op 20 december over de kwetsbaarheid en adviseert klanten om contact met de routerfabrikant op te nemen over hoe het probleem is te verhelpen. Op internet zouden mogelijk vijftienduizend routers van Four-Faith te vinden zijn. bron: https://www.security.nl

GrapheneOS heeft een nieuwe feature toegevoegd waardoor gebruikers een vingerafdruk plus pincode als secundaire unlockmethode kunnen instellen. De optie blijft 48 uur na de laatste primaire unlock geldig. GrapheneOS is een op Android-gebaseerd besturingssysteem voor Pixel-telefoons. De nieuwe feature zou handig kunnen zijn voor gebruikers die een sterke passphrase als primaire unlockmethode hebben ingeschakeld, aldus de makers. Deze gebruikers hoeven hierdoor niet steeds hun passphrase in te voeren om hun telefoon te ontgrendelen, maar kunnen dit dan via de combinatie van een pincode en vingerafdruk doen. De primaire unlockmethode is nog steeds verplicht als de telefoon wordt herstart en de secundaire unlockmethode blijft 48 uur na de laatste primaire unlock actief. Gebruikers die hun passphrase niet in het openbaar willen invoeren kunnen de 48-uurs timers van de secundaire unlockmethode refreshen om het te blijven gebruiken. Daarnaast komt er ook een optie waarmee gebruikers bij een dergelijke refresh het maximaal aantal mislukte vingerafdrukpogingen kunnen instellen. De makers stellen dat ze het idee voor de '2-factor fingerprint unlock feature' al sinds 2015 hebben, maar het zeer lastig was om die correct te implementeren en meerdere upstream Android-bugs verholpen moesten worden. "Het lockscreen is nu nog robuuster, ook als je het niet gebruikt", zo laten de makers verder weten. Die noemen de nieuwe ontgrendelmethode één van de 'flagship features' van GrapheneOS. bron: https://www.security.nl

Mozilla wil de eigen vpn-oplossing de komende jaren nauwer binnen Firefox gaan integreren. Daarnaast komt er een aparte vpn-extensie beschikbaar op addons.mozilla.org. Dat heeft de Firefox-ontwikkelaar tijdens een recente Ask Me Anything op Mozilla Connect laten weten. Mozilla biedt al enige tijd een eigen vpn-oplossing om zo extra inkomsten te genereren. De vpn-dienst, waarvoor een betaald abonnement is vereist, is door Mozilla zelf ontwikkeld en maakt gebruik van servers van vpn-provider Mullvad. Uit het recente jaarrapport over 2023 blijkt dat Mozilla vorig jaar minder verdiende aan 'abonnementen en advertenties' dan het jaar daarvoor. Het ging om zo'n 76 miljoen dollar in 2022 tegenover 65 miljoen dollar in 2023. Het aandeel vpn-abonnementen staat niet apart vermeld. Overeenkomsten met aanbieders van zoekmachines, en dan vooral Google, waren in 2023 goed voor een bedrag van 495 miljoen dollar (pdf). Voor volgend jaar zegt Mozilla met nieuwe 'privacyfeatures' te komen, maar details zijn niet gegeven, wat ook voor de aangekondigde integratie met de eigen vpn-oplossing geldt. bron: https://www.security.nl

Er is een piek in aanvallen op wifi-routers van fabrikant D-Link die end-of-life zijn, zo meldt securitybedrijf Fortinet op basis van eigen telemetrie. Aanvallers maken misbruik van bekende kwetsbaarheden om via de HNAP (Home Network Administration Protocol) interface malafide commando's op het apparaat uit te voeren, waarmee malware wordt geïnstalleerd. De afgelopen jaren zijn meerdere kwetsbaarheden in HNAP aangetroffen waar nu misbruik van wordt gemaakt Het gaat onder andere om een beveiligingslek uit 2015. De afgelopen weken zag Fortinet naar eigen zeggen een piek in aanvallen van twee botnets genaamd Capsaicin en Ficora. Deze laatste malware is een variant van de bekende Mirai-malware. Eenmaal geïnstalleerd kan de malware besmette routers gebruiken om naar andere kwetsbare apparaten te zoeken of ddos-aanvallen uit te voeren. De Ficora-malware gebruikt naast de HNAP-kwetsbaarheden ook een lijst met ruim zeventig wachtwoorden en zo'n twintig gebruikersnamen om op routers in te loggen. Fortinet stelt dat de aanvallen gericht zijn tegen de D-Link DIR-645, D-Link DIR-806, D-Link GO-RT-AC750 en D-Link DIR-845. Deze routers zijn al jaren end-of-life en worden niet meer door D-Link met beveiligingsupdates ondersteund. De fabrikant adviseert eigenaren van end-of-life apparatuur die te vervangen en niet meer te gebruiken. bron: https://www.security.nl

Een tien jaar oude digitale videorecorder van fabrikant DigiEver is het doelwit van een op de Mirai-malware gebaseerd botnet. Er is op dit moment geen beveiligingsupdate beschikbaar voor de kwetsbaarheid waar de malware gebruik van maakt, zo meldt internetbedrijf Akamai. De DS-2105 Pro+ werd in 2014 gelanceerd en biedt volgens de fabrikant een volledig 'network surveillance system' voor het opnemen van beelden van beveiligingscamera's. De videorecorder beschikt ook over opties voor remote beheer. Een jaar geleden demonstreerde een beveiligingsonderzoeker tijdens DefCamp 2023 een kwetsbaarheid in de DS-2105 Pro+, waardoor remote code execution mogelijk is. Het beveiligingslek heeft nog geen CVE-nummer en ook nog geen beveiligingsupdate. Eind november zag internetbedrijf Akamai de eerste aanvallen waarbij misbruik van deze kwetsbaarheid werd gemaakt. Via het beveiligingslek worden vanaf internet bereikbare DigiEver-videorecorders besmet met een variant van de Mirai-malware. Deze malware heeft het ook voorzien op kwetsbare TP-Link Archer AX-21 wifi-routers. Voor het lek in de TP-Link-routers (CVE-2023-1389) is wel een update beschikbaar. Aangezien DigiEver geen patches aanbiedt adviseert Akamai deze apparaten te vervangen. bron: https://www.security.nl

Adobe heeft een noodpatch uitgebracht voor een kritieke kwetsbaarheid in ColdFusion en adviseert gebruikers en organisaties om de patch zo snel mogelijk te installeren, waarbij als voorbeeld binnen 72 uur wordt gegeven. Daarnaast waarschuwt Adobe dat er proof-of-concept exploitcode voor het beveiligingslek op internet beschikbaar is. ColdFusion is een platform voor het ontwikkelen van webapplicaties. In het verleden zijn kwetsbaarheden in ColdFusion geregeld gebruikt voor aanvallen op ColdFusion-applicatieservers. Zo waarschuwde het cyberagentschap van de Amerikaanse overheid onlangs nog voor een actief aangevallen ColdFusion-kwetsbaarheid. De nu verholpen kwetsbaarheid (CVE-2024-53961) betreft path traversal en maakt het mogelijk voor een aanvaller om willekeurige bestanden van het bestandssysteem te lezen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 7.4. De onderzoeker die het probleem aan Adobe rapporteerde ontdekte eerder dit jaar een soortgelijk beveiligingslek (CVE-2024-20767). Adobe komt normaliter elke tweede dinsdag van de maand met beveiligingsupdates, maar heeft deze update buiten de vaste patchcyclus om uitgebracht. Daarnaast heeft Adobe de installatie van deze update de hoogste prioriteit gegeven, waarbij het adviseert dit zo snel mogelijk te doen. Hotelketen Marriott moet na grote datale bron: https://www.security.nl

Een kritieke kwetsbaarheid in Apache Tomcat maakt remote code execution mogelijk. De Apache Foundation kwam vorige week met een beveiligingsupdate, maar die bleek het probleem niet volledig te verhelpen, waarop nu een nieuwe patch beschikbaar is gemaakt. Tomcat is software voor het draaien van een webserver. Vorige week dinsdag waarschuwde de Apache Foundation voor een kwetsbaarheid aangeduid als CVE-2024-50379. Wanneer Tomcat draait op een case insensitive bestandssysteem waarbij de default servlet write enabled is, is het mogelijk om bestanden te uploaden en de controle door Tomcat te omzeilen, wat kan leiden tot remote code execution. De impact van deze kwetsbaarheid is door het Amerikaanse cyberagentschap CISA op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De update die de Apache Foundation uitbracht bleek echter onvolledig, waarop een nieuw CVE-nummer werd toegekend, namelijk CVE-2024-56337. Volgens de Apache Foundation moeten systemen die de eerder genoemde configuratie draaien, wat geen standaardconfiguratie is, afhankelijk van de gebruikte Java-versie aanvullende aanpassingen doorvoeren. bron: https://www.security.nl

OpenAI heeft persoonlijke data gebruikt voor het trainen van ChatGPT zonder dat het over een geldige grondslag hiervoor beschikte. Daarnaast verzweeg de organisatie een datalek, was het niet transparant richting gebruikers, ontbrak leeftijdsverificatie en schoot de verplichte informatievoorziening tekort, zo stelt de Italiaanse privacytoezichthouder GPDP. Die legde OpenAI een boete op van vijftien miljoen euro en verplicht de organisatie tot het voeren van een zes maandenlange informatiecampagne. OpenAI gaat tegen de boete in beroep. Eerder dit jaar oordeelde de GPDP dat ChatGPT vermoedelijk in strijd met de AVG is. Vorig jaar besloot de toezichthouder al om ChatGPT een maand lang te verbieden. Aanleiding voor het verbod was het het illegaal verzamelen van persoonlijke gegevens voor het trainen van de algoritmes en het niet controleren van de leeftijd van minderjarigen. OpenAI, de ontwikkelaar van de chatbot, werd door de Garante per la protezione dei dati personali (GPDP) opgeroepen om per direct het verwerken van de gegevens van Italiaanse gebruikers te stoppen. Op basis van de uitkomsten van het feitenonderzoek eerder dit jaar stelde de GPDP dat het bewijs had gevonden dat erop duidde dat ChatGPT één of meerdere bepalingen van de AVG overtreedt. OpenAI kreeg vervolgens de tijd om met een reactie te komen. De GPDP heeft het onderzoek nu volledig afgerond en stelt dat OpenAI zich niet aan de privacywetgeving heeft gehouden. Bij het opleggen van de boete zegt de toezichthouder rekening te hebben gehouden met de 'coöperatieve houding' van de ChatGPT-ontwikkelaar. OpenAI verwacht dit jaar een omzet van 2,7 miljard dollar. bron: https://www.security.nl

De Europese Commissie is onlangs een aanbesteding gestart voor de ontwikkeling van een 'instrument' voor 'privacyvriendelijke' leeftijdsverificatie. Het 'leeftijdsverificatie-instrument' zal gebaseerd zijn op de wallet voor een Europese digitale identiteit en in toekomst ook voor andere leeftijdsvereisten gebruikt moeten kunnen worden. Dat laat staatssecretaris Szabo voor Digitalisering in een brief aan de Tweede Kamer weten. "Teneinde de naleving van de verplichtingen ter bescherming van minderjarigen uit de Digitaledienstenverordening te ondersteunen, is de Europese Commissie recent een aanbesteding gestart. Het doel daarvan is om een privacyvriendelijk instrument te ontwikkelen waarmee kan worden geverifieerd dat iemand 18 jaar of ouder is, zonder dat de gebruiker van dat instrument meer informatie hoeft te delen", aldus Szabo. De staatssecretaris voegt toe dat De Europese Commissie wil dat het instrument in de toekomst ook voor andere leeftijdsvereisten is te gebruiken. "Het door de Europese Commissie beoogde leeftijdsverificatie-instrument zal gebaseerd zijn op de Europese portemonnees voor digitale identiteit (‘EDI-wallets’). Daarbij zal rekening gehouden moeten worden dat het gebruik van EDI-wallets niet verplicht kan worden gesteld en het gebruik ervan te allen tijde vrijwillig moet zijn", laat Szabo verder in zijn brief weten (pdf). Afsluitend meldt de staatssecretaris dat het kabinet vindt dat online leeftijdsverificatie proportioneel en in lijn met grondrechten moeten zijn, zoals het recht op gegevensbescherming, en tegelijkertijd betrouwbaar, veilig en inclusief moet zijn. 'Universele leeftijdsverificatieoplossing' In de aanbesteding voor de 'universele leeftijdsverificatieoplossing' stelt de Europese Commissie dat hiervoor allerlei toepassingen zijn, zoals social media, online dating, gokplatforms en andere zaken (pdf). In het geval van de aanbesteding wordt specifiek gesproken over toegang tot '18+ online diensten' zoals pornosites, maar voegt Brussel toe dat de oplossing ook voor allerlei andere leeftijden te gebruiken moet zijn, zoals 13+, 16+ of 65+. De aanbesteding beschrijft ook een 'User Journey' waarbij een gebruiker een leeftijdsverificatie-app downloadt. Deze app stelt de leeftijd van de gebruiker vast door middel van een nationale digitale identiteit, een fysiek identiteitsbewijs, een derde partij of een al geïnstalleerde app met leeftijdsinformatie, zoals een bankapp. Daarbij claimt Brussel dat de 'proof of age' geen informatie bevat die naar de gebruiker is te traceren. Als de gebruiker vervolgens op een platform wil inloggen waarvoor een leeftijdscontrole geldt, en de gebruiker al een account heeft, krijgt de gebruiker toegang door middel van een pseudoniem. bron: https://www.security.nl

100% veiligheid zul je inderdaad nooit hebben. Kijk naar een gevangenis, er zit een deur in en dus moet er een manier zijn om eruit te komen. Zo ook met wachtwoorden. Maar hoe lastiger samengesteld of hoe meer karakters, hoe lastiger het zal zijn om je wachtwoorden te achterhalen. De 2FA is altijd verstandig om toe te passen. Hierdoor wordt het nog iets lastiger voor nieuwsgierigen. Je zult verbaasd staan hoeveel mensen nog een geboortedatum, huisdiernaam of de bekende 1234 als wachtwoord gebruiken als ook overal hetzelfde wachtwoord. Ik zelf gebruik wachtwoorden bestaande uit random combinatie van letters en cijfers ne de 2FA. Maar zoals je al zei, 100% zul je nooit halen, maar het ze lastig maken kan altijd.

Al eens geprobeerd om alle instellingen van je hotspot eruit te halen en hierna alles opnieuw te koppelen? Dat wil nog wel eens werken.

Een kritieke kwetsbaarheid in de firewalls van Sophos maakt remote code execution mogelijk of kan een aanvaller SSH-toegang geven. Het bedrijf heeft beveiligingsupdates uitgebracht om het probleem te verhelpen. De eerste kritieke kwetsbaarheid (CVE-2024-12727) maakt het voor een ongeauthenticeerde aanvaller mogelijk om SQL-Injection uit te voeren, waardoor er toegang tot een database van de firewall kan worden verkregen. Wanneer de firewall een specifieke configuratie heeft en in een bepaalde mode draait kan dit tot remote code execution leiden. Volgens Sophos raakt dit probleem 0,05 procent van alle firewalls. Het tweede kritieke beveiligingslek (CVE-2024-12728) zorgt ervoor dat een SSH login passphrase voor High Availability (HA) cluster initialization actief blijft als het initialiseringsproces is afgerond. Wanneer SSH op de firewall staat ingeschakeld kan een aanvaller hier misbruik van maken en via SSH als een 'privileged system account' inloggen. Dit probleem raakt 0,5 procent van de firewalls, aldus Sophos. De impact van beide kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. bron: https://www.security.nl

Meerdere klanten van Juniper hebben te maken gekregen met besmette routers omdat de apparaten nog van standaard wachtwoorden gebruikmaakten, zo laat het netwerkbedrijf weten. Vorige week woensdag maakten meerdere klanten melding van verdacht gedrag op hun Session Smart Routers (SSR). De apparaten bleken met een variant van de Mirai-malware te zijn geïnfecteerd en werden gebruikt voor het uitvoeren van ddos-aanvallen. "De getroffen systemen gebruikten allemaal standaard wachtwoorden. Elke klant die de aanbevolen best practices niet volgt en nog steeds gebruikmaakt van standaard wachtwoorden kan als gecompromitteerd worden beschouwd, aangezien de standaard SSR-wachtwoorden zijn toegevoegd aan de virusdatabase", aldus Juniper in een Knowledge Base-artikel. Mirai-malware gebruikt besmette apparaten om op internet te zoeken naar andere apparaten met standaard wachtwoorden, die vervolgens worden besmet en onderdeel van het botnet worden. Juinper geeft in het artikel meerdere aanwijzingen waarmee organisaties de aanwezigheid van malware op hun routers kunnen vaststellen. Daarnaast wordt advies gegeven om een infectie te voorkomen, waaronder het wijzigen van standaard wachtwoorden. In het geval van besmette routers adviseert Juniper om het systeem in kwestie te re-imagen, omdat niet precies kan worden vastgesteld wat de aanvaller heeft aangepast of van het apparaat heeft verkregen. bron: https://www.security.nl

Het Tor Project wil dat het eenvoudiger wordt om Tor binnen andere apps te integreren en heeft dit één van de speerpunten voor volgend jaar gemaakt. Dagelijks maken meer dan twee miljoen mensen gebruik van het Tor-netwerk om hun privacy te beschermen en gecensureerde websites te bezoeken. In Nederland gaat het om zo'n 75.000 gebruikers, aldus cijfers van het Tor Project. Afgelopen september besloot het Tor Project te gaan samenwerken met Tails. Dit moet zorgen voor een groter bereik en het sneller integreren van features van de ene naar de andere tool. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Tails maakt gebruik van Tor Browser, waarmee het Tor-netwerk is te gebruiken. "Samen bieden Tor en Tails essentiële tools die mensen wereldwijd helpen om veilig op internet te zijn", zegt Isabela Bagueros, directeur van het Tor Project. "Er is een les te leren van het samengaan met Tails en onze groei de afgelopen jaren: samen staan we sterker." Volgend jaar wil Bagueros zich daarom gaan richten om het eenvoudiger te maken om Tor binnen andere apps te integreren. Dit moet ervoor zorgen dat het ecosysteem van 'privacy-preserving tech' samen sterker wordt, aldus de Tor Project-direcreur, die geen verdere details geeft. Verder gaat het Tor Project zich volgend jaar richten op het trainen van de community om online veilig te zijn. bron: https://www.security.nl

Securitybedrijf BeyondTrust is getroffen door een aanval waarbij aanvallers hebben ingebroken op de Remote Support SaaS instances van klanten, zo heeft het bedrijf zelf bekendgemaakt. De Amerikaanse overheid waarschuwt voor een actief misbruikte kwetsbaarheid in BeyondTrust Privileged Remote Access (PRA) en Remote Support (RS). BeyondTrust biedt Privileged Access Management (PAM) oplossingen en software voor remote support waar bijvoorbeeld helpdesks gebruik van kunnen maken. BeyondTrust meldt dat het op 2 december 'potentieel verdacht gedrag' in de Remote Support SaaS instance van een klant ontdekte. Op 5 december werd het verdachte gedrag bevestigd en bleken meer instances van klanten te zijn gecompromitteerd. Volgens het securitybedrijf was een API key voor Remote Support SaaS gecompromitteerd. De key werd vervolgens ingetrokken en getroffen klanten gewaarschuwd. Tijdens het onderzoek naar de aanval ontdekte BeyondTrust naar eigen zeggen twee kwetsbaarheden in zowel de zelf-gehoste als cloudversie van Remote Support en Privileged Remote Access. Vervolgens bracht het bedrijf updates uit. Klanten met een zelf-gehoste installatie moeten die zelf installeren. Het gaat onder andere om een kritiek beveiligingslek aangeduid als CVE-2024-12356 dat command injection mogelijk maakt. Daardoor kan een ongeauthenticeerde aanvaller commando's op het systeem uitvoeren. De impact is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. BeyondTrust maakt geen melding dat de twee ontdekte beveiligingslekken bij de aanvallen zijn misbruikt. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security waarschuwt echter dat misbruik van CVE-2024-12356 is waargenomen. Verdere details over deze aanvallen zijn niet door de overheidsinstantie gegeven. bron: https://www.security.nl

Miljoenen mensen weten niet hoe ze data van een oud apparaat verwijderen, zo stelt de Britse privacytoezichthouder ICO op basis van onderzoek dat het onder bijna 2200 Britten liet uitvoeren. Bijna dertig procent van de deelnemers aan het onderzoek weet niet hoe ze persoonlijke informatie moet wissen, wat neerkomt op zo'n veertien miljoen Britten, aldus de ICO. Volgens het onderzoek zou de doorsnee Brit drie ongebruikte apparaten in huis hebben. Een groot aantal doet de apparatuur niet weg uit zorgen over hun persoonlijke informatie. 71 procent van de deelnemers aan het onderzoek zegt dat het belangrijk is om persoonlijke gegevens te verwijderen, maar 24 procent denkt dat dit te moeilijk is. Met de kerst verwachten veel mensen een nieuwe telefoon of ander apparaat aan te schaffen, laat Suzanne Gordon van de ICO weten. Gordon adviseert het uitvoeren van een factory reset, omdat daarmee persoonlijke informatie van de meeste telefoons is te verwijderen. De Britse toezichthouder heeft ook een document online waarin het de verschillende opties voor het verwijderen van data bespreekt. bron: https://www.security.nl

Een kritieke path traversal-kwetsbaarheid in de Fortinet Wireless Manager (FortiWLM) maakt het voor een ongeauthenticeerde aanvaller mogelijk om toegang tot gevoelige bestanden te krijgen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.6. Fortinet heeft beveiligingsupdates uitgebracht om het probleem te verhelpen. Via de Fortinet Wireless Manager, een 'application suite', kunnen organisaties hun wifi-netwerken monitoren, bedienen en beheren. Fortinet geeft geen verdere details over de kwetsbaarheid (CVE-2023-34990), behalve dat het om een 'relative path traversal' kwetsbaarheid gaat die gevonden en gerapporteerd werd door een onderzoeker van securitybedrijf Horizon3.ai. De onderzoeker maakte afgelopen maart meerdere kwetsbaarheden in FortiWLM openbaar die hij had ontdekt. Het ging onder andere om een beveiligingslek zonder CVE-nummer en update dat het mogelijk maakt om willekeurige logbestanden met admin session ID tokens te stelen en daarmee het apparaat over te nemen. Het beveiligingslek was op 12 mei 2023 aan Fortinet gemeld, aldus de onderzoeker. bron: https://www.security.nl

De Amerikaanse autoriteiten overwegen een verbod op de verkoop van routers van fabrikant TP-Link, zo meldt The Wall Street Journal (WSJ) op basis van bronnen. TP-Link routers zouden geregeld kwetsbaarheden bevatten waarvoor de fabrikant geen updates uitbrengt, aldus anonieme bronnen die de WSJ opvoert. Ook zou het bedrijf niet samenwerken met beveiligingsonderzoekers die kwetsbaarheden aankaarten. Verschillende Amerikaanse ministeries zijn elk een eigen onderzoek gestart, waarbij wordt gekeken of de apparatuur een risico voor de nationale veiligheid vormt, aldus de WSJ. TP-Link zou inmiddels ook zijn gedagvaard. Onlangs waarschuwde Microsoft nog voor een botnet van TP-Link routers dat wordt gebruikt voor het uitvoeren van password spraying-aanvallen. Het botnet zou gemiddeld uit zo'n achtduizend besmette routers bestaan. TP-Link heeft 65 procent van de Amerikaanse routermarkt voor particulieren en kleine bedrijven in handen. De routerfabrikant laat in een reactie tegenover The Wall Street Journal weten dat het graag aan de Amerikaanse autoriteiten laat zien dat de security practices in lijn met industriële veiligheidsstandaarden zijn en toegewijd is aan de Amerikaanse markt en het oplossen van risico's voor de Amerikaanse nationale veiligheid. bron: https://www.security.nl