Captain Kirk

Versleutelde e-maildienst ProtonMail en vpn-dienst ProtonVPN zijn tijdelijk overgestapt op tls-certificaten van Let's Encrypt. Aanleiding zijn ddos-aanvallen op certificaatautoriteit SwissSign waar ProtonMail en ProtonVPN normaliter gebruik van maken. De aanvallen op SwissSign zorgden ervoor dat de diensten van ProtonMail en ProtonVPN met onderbrekingen te maken kregen. "Belangrijk om te vermelden is dat de data van onze gebruikers geen risico heeft gelopen", laat ProtonMail weten. "Totdat SwissSign de aanval kan afslaan zijn we tijdelijk overgestapt op een andere certificaatautoriteit genaamd Let's Encrypt." Gebruikers van ProtonMail of ProtonVPN die het certificaat van beide diensten controleren zien dat die nu door Let's Encrypt zijn uitgegeven en niet door SwissSign. In de aankondiging heeft ProtonMail ook de SHA-256- en SHA-1-fingerprint van het certificaat vermeld. Het Cybersecurity and Infrastructure Security Agency (CISA) van de Amerikaanse overheid meldt dat organisaties en bedrijven wereldwijd het doelwit van ddos-aanvallen zijn geworden. Ook de FBI heeft een soortgelijke waarschuwing gegeven (pdf). Criminelen die claimen de groep "Fancy Bear" te zijn hebben verantwoordelijkheid voor de aanvallen opgeëist. Sommige van de aangevallen organisaties zijn ook afgeperst, waarbij ze een bedrag moesten betalen om verdere aanvallen te voorkomen. Het betalen van losgeld wordt door de FBI afgeraden. bron: security.nl

Een kritieke kwetsbaarheid in Cisco Jabber voor Windows maakt remote code execution mogelijk, waardoor aanvallers in het ergste geval volledige controle over het systeem van het slachtoffer kunnen krijgen. Alleen het versturen van een een speciaal geprepareerd bericht is voldoende. Er is geen interactie van het slachtoffer vereist, behalve dat hij Cisco Jabber in de achtergrond heeft draaien. Cisco Jabber is een programma dat instant messaging, desktopsharing en audio-, video- en webconferenties biedt. Het is met name bedoeld voor interne communicatie binnen organisaties, maar is ook voor het meetings met personen buiten de organisatie te gebruiken. Onderzoekers van securitybedrijf Watchcom ontdekten via kwetsbaarheden in de software. Eén daarvan, CVE-2020-3495, maakt het mogelijk voor een aanvaller om op afstand systemen met een kwetsbare Jabber-versie over te nemen. De kwetsbaarheid is op een schaal van 1 tot en met 10 wat betreft de impact met een 9,9 beoordeeld. Het probleem wordt veroorzaakt doordat Cisco Jabber de inhoud van inkomende HTML-berichten niet goed valideert. Door het versturen van een speciaal geprepareerd bericht kan een aanvaller een kwaadaardig exe-bestand naar de gebruiker sturen en dat vervolgens uitvoeren. Ook is het mogelijk om commando's met de rechten van de ingelogde gebruiker uit te voeren. Cisco heeft beveiligingsupdates uitgebracht. De kwetsbaarheid, die volgens de onderzoekers ook door een worm misbruikt kan worden, is niet aanwezig in Cisco Jabber voor MacOS of Cisco Jabber voor mobile platforms. In onderstaande video wordt het beveiligingslek gedemonstreerd. bron: security.nl

Een kritiek beveiligingslek in een cloudplatform van securitybedrijf SonicWall maakte het mogelijk om toegang tot miljoenen apparaten van zo'n 500.000 organisaties te krijgen, zo stelt securitybedrijf Pen Test Partners. Ruim twee weken nadat SonicWall was ingelicht werd de kwetsbaarheid verholpen. SonicWall biedt allerlei netwerkapparaten, zoals firewalls, vpn's en UTM-appliances. Via een cloudplatform kunnen organisaties deze apparaten beheren. Organisaties kunnen voor hun omgeving gebruikers met verschillende rechten aanmaken. Beveiligingsonderzoeker Vangelis Stykas ontdekte een insecure direct object reference (IDOR) kwetsbaarheid in een API-request van het cloudplatform. Via dit beveiligingslek was het mogelijk om elke willekeurige gebruiker aan elke willekeurige groep van elke willekeurige organisatie toe te voegen. Het enige dat was vereist was een geldig gebruikersaccount voor het cloudplatform. SonicWall maakte in de API-request gebruik van de parameter "partyGroupId". Dit Id bestaat uit zeven cijfers. Alleen door het Id in het request te veranderen kon een gebruiker aan een andere groep worden toegevoegd. Aangezien het Id uit zeven cijfers bestond was het eenvoudig om alle mogelijke Id's via een bruteforce-aanval te vinden, aldus Stykas. De toegevoegde gebruiker zou vervolgens via het cloudplatform toegang tot de apparaten van het bedrijf kunnen krijgen, zoals firewalls, routers, vpn's en voip-systemen. Zo zouden bijvoorbeeld firewallregels kunnen worden aangepast of was het mogelijk om remote toegang te krijgen. In totaal was het mogelijk om aan 1,9 miljoen groepen van zo'n 500.000 organisaties te worden toegevoegd. Zeker tien miljoen unieke apparaten die via het cloudplatform waren te bedienen liepen risico, zo stelt Pen Test Partners. Volgens Stykas is het ironisch dat een beveiligingsproduct het mogelijk maakte om de netwerken van klanten te compromitteren. De onderzoeker waarschuwde SonicWall op 13 augustus, en ontving drie kwartier later een bevestiging. Het probleem werd echter pas 17 dagen later verholpen. In de tussentijd werd het platform niet offline gehaald, waardoor klanten risico liepen, zo stelt Stykas. "Soortgelijke kwetsbaarheden die we aan andere organisaties melden worden meestal binnen 48 uur verholpen", merkt de onderzoeker op. bron: security.nl

Ruim 300.000 WordPress-sites lopen het risico om door aanvallers te worden overgenomen doordat ze een kwetsbare versie van de plug-in File Manager gebruiken. De kwetsbaarheid, die op een schaal van 1 tot en met 10 wat betreft de ernst met een 10 is beoordeeld, werd al aangevallen voordat een beveiligingsupdate beschikbaar was. Hoewel er inmiddels een patch is te downloaden hebben de meeste kwetsbare sites die nog niet geïnstalleerd. Via File Manager kunnen WordPress-beheerders eenvoudig bestanden van hun website beheren zonder hiervoor van FTP gebruik te maken. De plug-in draait op meer dan 700.000 websites. File Manager bevat een library genaamd elFinder, een open source file manager die voor een eenvoudige bestandsmanagementinterface zorgt en de kernfunctionaliteit achter de plug-in biedt. Het probleem met File Manager werd veroorzaakt doordat de plug-in de naam van een bestand van de elFinder-library had hernoemd van .dist naar .php. Dit php-bestand is voor iedereen toegankelijk. Een aanvaller kan het bestand aanroepen en gebruiken om de library een commando uit te laten voeren, zoals het uploaden van een webshell waarmee er toegang tot de website kan worden verkregen. Na ontdekking van de aanvallen kwam de ontwikkelaar van File Manager gisteren met een beveiligingsupdate. De kwetsbaarheid is aanwezig in versie 6.0 tot en met 6.8. Uit statistieken van WordPress blijkt dat 45 procent van de WordPress-sites met deze plug-in gebruikmaakt van versie 6.4, 6.5 of 6.7, en zijn zodoende kwetsbaar. Bij elkaar gaat het om 315.000 websites. Van 29 procent wordt het versienummer niet vermeld, waardoor het aantal kwetsbare websites mogelijk nog veel hoger is. Securitybedrijf Wordfence meldt dat het al 450.000 aanvallen tegen WordPress-sites heeft voorbij zien komen. NinTechNet laat weten dat aanvallers in het geval van een succesvolle aanval het kwetsbare bestand van een wachtwoord voorzien, om zo misbruik door andere aanvallers te voorkomen. Beheerders worden dan ook opgeroepen om versie 6.9 te installeren, die de kwetsbaarheid verhelpt. Deze versie draait inmiddels op 7 procent van de WordPress-sites met File Manager. bron: security.nl

Aanvallers maken gebruik van een drie jaar oude kwetsbaarheid om NAS-systemen van fabrikant QNAP van een backdoor te voorzien, stelt securitybedrijf Qihoo 360 in een analyse. QNAP-systemen zijn vaker het doelwit van aanvallen, maar volgens onderzoekers van het securitybedrijf was het nog niet bekend dat ervan het betreffende beveiligingslek gebruik werd gemaakt. Via de kwetsbaarheid kan een ongeautenticeerde aanvaller op afstand commando's op het systeem uitvoeren. Het beveiligingslek is aanwezig in een CGI-programma gebruikt voor het uitloggen van de gebruiker. Dit programma blijkt gebruikersinvoer niet goed te filteren en roept de systeemfunctie aan voor het uitvoeren van een opgegeven string, waardoor command injection mogelijk is. In het geval van een succesvolle aanval installeren de aanvallers een reverse shell, waarmee ze toegang tot het systeem houden. Verdere andere activiteiten, zoals bijvoorbeeld het versleutelen van bestanden voor losgeld of het gebruik van het NAS-systeem voor ddos-aanvallen zijn nog niet waargenomen. Qihoo 360 informeerde QNAP waarop de NAS-fabrikant liet weten dat de onderliggende kwetsbaarheid al in 2017 via een update voor het QTS-besturingssysteem van de NAS-systemen was verholpen. Gebruikers wordt aangeraden om nieuwe firmware-updates tijdig te installeren en op ongewone processen en netwerkverbindingen te controleren. bron: security.nl

Het Tor Project, verantwoordelijk voor het Tor-netwerk, is een nieuw lidmaatschap gestart voor bedrijven en organisaties die de softwareontwikkelaar financieel willen ondersteunen. Dagelijks maken zo'n 2,5 miljoen mensen gebruik van het Tor-netwerk om hun privacy te beschermen en overheidscensuur te omzeilen. Het netwerk en de software om er gebruik van te maken worden door het Tor Project onderhouden, een non-profitorganisatie die volledig dankzij giften bestaat. De organisatie wil minder afhankelijk worden van de donaties van de Amerikaanse overheid. In 2017 ontving het Tor Project 4,1 miljoen dollar. Daarvan was 2,1 miljoen dollar afkomstig van Amerikaanse overheidsinstellingen, zoals de National Science Foundation, het Stanford Research Institute en een afdeling van het Amerikaanse ministerie van Buitenlandse Zaken. In 2015 waren donaties van de Amerikaanse overheid nog goed voor 85 procent van de inkomsten. Al enige tijd vraagt het Tor Project aan individuele gebruikers om donaties. Vorig jaar ontving de organisatie een recordbedrag van 834.000 dollar. Toch zag het Tor Project zich in april van dit jaar vanwege de economische situatie genoodzaakt om een derde van al het personeel te ontslaan. Daarnaast zijn de giften die van overheidsinstellingen afkomstig zijn alleen voor eerder vastgestelde voorstellen te gebruiken. Het Tor Project doet geregeld voorstellen om het netwerk of de software te verbeteren. Tussen de tijd dat het voorstel is ingediend, de overheidsinstelling het heeft goedgekeurd en een contract is getekend kan soms meer dan een jaar zitten. Als softwareontwikkelaar wil het Tor Project snel op nieuwe ontwikkeling kunnen reageren, iets wat met de giften van overheidsinstellingen niet mogelijk is. Met het nieuwe "Tor Project Membership Program" hoopt de organisatie meer giften aan te trekken die vervolgens sneller zijn in te zetten. Het lidmaatschapsprogramma is mede opgezet door Avast, DuckDuckGo, Insurgo, Mullvad VPN en Team Cymru. Bedrijven en organisaties die willen meedoen krijgen toegang tot een adviesgroep die deelnemers helpt om Tor binnen hun product te integreren. Ook wordt er informatie gedeeld over nog in ontwikkeling zijnde projecten. Sponsoren kunnen uit drie verschillende lidmaatschappen kiezen. Het goedkoopste lidmaatschap kost tussen de 10.000 en 50.000 dollar. Voor het tweede lidmaatschap moet tussen de 50.000 en 100.000 dollar worden betaalt en "Shallot Onion" leden mogen jaarlijks 100.000 dollar of afrekenen. Alle lidmaatschappen bieden toegang tot de adviesgroep en webinars. Het verschil zit in de bijkomende promotie vanuit het Tor Project. bron: security.nl

Cisco waarschuwt voor een actief aangevallen kwetsbaarheid in de IOS XR-software waardoor een aanvaller een denial of service (dos) kan veroorzaken en een beveiligingsupdate is nog niet beschikbaar. De IOS XR-software draait op verschillende series routers, waaronder de NCS 540, 560, 5500 en 8000 en ASR 9000. Het gaat om zogenoemde "carrier-grade" routers. De kwetsbaarheid (CVE-2020-3566) bevindt zich in de Distance Vector Multicast Routing Protocol (DVMRP) feature van de Cisco IOS XR-software. DVMRP is een routeringsprotocol gebruikt voor multicasting over ip-netwerken. Het probleem wordt veroorzaakt door onvoldoende queue management voor Internet Group Management Protocol (IGMP)-pakketten. Door het versturen van speciaal geprepareerd IGMP-verkeer naar een kwetsbare router kan een aanvaller al het geheugen van de machine verbruiken, wat voor problemen bij andere processen van de router kan zorgen. Het gaat dan bijvoorbeeld om routeringsprotocollen. Cisco laat weten dat het met een beveiligingsupdate zal komen. Op dit moment zijn er geen workarounds voorhanden, wel kunnen organisaties verschillende mitigaties doorvoeren. Zoals het instellen van een rate limiter voor IGMP-verkeer of het aanmaken van een access control list (ACL) die inkomend DVMRP-verkeer voor een bepaalde interface blokkeert. Ook het uitschakelen van IGMP-routering voor interfaces die geen IGMP hoeven te verwerken wordt aangeraden. bron: security.nl

Miljoenen internetgebruikers maken gebruik van browserextensies, maar de toekomst van deze extensies is in gevaar, zo waarschuwt Wladimir Palant, ontwikkelaar van de bekende adblocker Adblock Plus. Extensies bieden allerlei extra functionaliteit aan de browser, bijvoorbeeld op het gebied van privacy en security. Mozilla lanceerde onlangs een nieuwe Firefox voor Android. Ondersteunde de oude Firefox voor Android nog tal van extensies, de nieuwe editie laat gebruikers op dit moment uit negen extensies kiezen. Palant stelt dat er geen technische reden is waarom de extensies niet meer werken. "Het is een beleidskeuze", zo merkt hij op in een blog. De meeste add-ons blijken gewoon in de nieuwe versie te kunnen werken, maar Mozilla staat dit niet toe. Een mogelijke reden hiervoor is kostenbesparingen. Begin deze maand maakte Mozilla bekend dat het een kwart van het personeel zal ontslaan wegens de economische situatie. Alle Firefox-extensies worden door Mozilla gecontroleerd, wat een kostbaar proces is. De Firefox-ontwikkelaar liet wel weten dat het later meer extensies zal gaan ondersteunen, maar maakte niet kenbaar om welke extensies het gaat en wanneer. Een bijkomend probleem is dat elke nieuwe extensie klein begint. Deze extensies zullen waarschijnlijk geen kans krijgen, waardoor ontwikkelaars ook geen nieuwe extensies meer zullen ontwikkelen, vreest Palant. De situatie is op de desktop niet veel beter. Mozilla besloot daar het eigen extensiemodel te verruilen voor het WebExtensions-model waar Google Chrome mee werkt. Dit beperkte Firefox-extensies tot de functionaliteit die door Chrome wordt ondersteund. Mozilla liet weten dat het nieuwe functionaliteit zou toevoegen, om krachtigere extensies mogelijk te maken. Ook zou er een mogelijkheid voor extensie-ontwikkelaars komen om nieuwe extensie-API's te schrijven. Dit is echter nooit van de grond gekomen. "En dus bepaalt Google nu met de eigen Chrome-browser wat extensies moeten kunnen doen", gaat Palant verder. Eén van aankondigingen waar extensie-ontwikkelaars zich zorgen over maken is het plan van Google om de WebRequest API uit te faseren. Adblockers maken hiervan gebruik voor het onderscheppen, blokkeren, doorsturen en aanpassen van in- en uitgaand verkeer van de browser. Google heeft in de plaats van deze API een nieuwe API voorgesteld. Die zou echter de mogelijkheden van adblockers beperken door een limiet te stellen aan het aantal regels alsmede het aantal beschikbare filters en acties van een extensie. Adblockers zouden hierdoor requests van de browser alleen nog kunnen observeren en niet meer aanpassen of blokkeren. Mozilla liet eind vorig jaar weten dat het niet alle aanpassingen van Google zal volgen, maar Palant is bang dat de Firefox-ontwikkelaar vroeger of later toch overstag gaat. Daardoor is Google Chrome de standaard voor browseraanpassingen geworden. Voor mobiele apparaten bood Google al geen extensie-support en op de desktop heeft het techbedrijf volgens Palant weinig reden om veel in extensie-support te steken. De Adblock Plus-ontwikkelaar verwacht dan ook verder functionaliteitsverlies in de naam van prestaties en security. "En ondanks deze nobele doelen, houdt het in dat gebruikers aan het kortste eind trekken. De innovatieve impact van add-ons zal verdwijnen. In de toekomst zal alle innovatie van browserontwikkelaars zelf moeten komen, er zal geen ruimte meer zijn voor experimenten of nicheoplossingen", besluit de extensie-ontwikkelaar. bron: security.nl

Een ernstige kwetsbaarheid in de desktopapplicatie van de zakelijke berichtendienst Slack maakte het mogelijk voor aanvallers om op afstand code uit te voeren. Slack heeft het beveiligingslek verholpen en onderzoeker Oskars Vegeris die het probleem ontdekte en rapporteerde met 1750 dollar beloond. De enige vereiste voor het uitvoeren van de aanval was dat de gebruiker op een Slack-bericht klikte. Vegeris omschrijft een scenario waarbij een aanvaller een kwaadaardig Slack-bericht maakt waarop de gebruiker klikt. Slack verbiedt het uitvoeren van JavaScript in berichten van gebruikers, maar het is wel mogelijk om HTML-tags te gebruiken. De onderzoeker maakt hiervan gebruik voor zijn aanval. Zodra de gebruiker op het bericht klikt wordt de Slack-desktopapplicatie via een HTML-redirect naar een kwaadaardige website gestuurd. Deze website reageert met JavaScript, die vervolgens door de Slack-app wordt uitgevoerd. In een videodemonstratie laat Vegeris zien hoe hij na een enkele klik van de gebruiker calc.exe start. De onderzoeker merkt op dat de payload eenvoudig is aan te passen. Zo is het ook mogelijk om toegang tot privégesprekken, bestanden en tokens van de gebruiker te krijgen, zonder dat hiervoor commando's op het systeem van de gebruiker moeten worden uitgevoerd. Daarnaast ontdekte Vegeris dat het domein files.slack.com kwetsbaar was voor cross-site scripting. Hierdoor zou het mogelijk zijn om phishingpagina's op het domein van Slack te hosten of de eerder genoemde exploit. De onderzoeker waarschuwde Slack eind januari, waarna het probleem begin maart werd verholpen. Op Twitter is er de nodige kritiek dat Slack 1750 dollar voor een ernstige kwetsbaarheid betaalt. Het bedrijf biedt via HackerOne een bugbounty-programma en dat laat onderzoekers van tevoren weten dat er maximaal 1500 dollar voor kritieke kwetsbaarheden wordt uitgekeerd. bron: security.nl

Wie een tls-certificaat wil aanschaffen dat langer dan 398 dagen geldig is heeft alleen vandaag nog de tijd om dit te regelen. Vanaf morgen zullen nieuw uitgegeven certificaten met een levensduur van meer dan 398 dagen niet meer door browsers en besturingssystemen worden geaccepteerd. Websites gebruiken tls-certificaten voor identificatie en het opzetten van een https-verbinding. Op dit moment mogen tls-certificaten voor een periode van maximaal 825 dagen geldig zijn, anders worden ze door browsers geblokkeerd. Dat is bepaald door het CA/Browser (CA/B) Forum, een consortium van certificaatautoriteiten en ontwikkelaars van browsers, besturingssystemen en andere PKI-applicaties dat zich bezighoudt met het opstellen van regels voor certificaten en certificaatautoriteiten. Verschillende partijen, waaronder Apple, Cisco, Google, Microsoft, Mozilla en Opera, wilden de levensduur van certificaten naar 398 dagen verkorten. Een eerste voorstel hierover werd niet door het CA/B Forum aangenomen. Daarop lieten Apple, Google en Mozilla weten dat ze de maatregel eenzijdig gingen doorvoeren. Volgens Mozilla kan er zo sneller op beveiligingsincidenten worden gereageerd en kan veiligere technologie sneller worden doorgevoerd. Daarnaast lopen privésleutels van tls-certificaten die langer dan een jaar geldig zijn meer kans om te worden gecompromitteerd, aldus de browserontwikkelaar. Hoewel certificaten maximaal 398 dagen geldig mogen zijn adviseerde Apple certificaatautoriteiten om certificaten met een maximale levensduur van 397 dagen uit te geven. Certificaatautoriteiten hebben daarop hun beleid aangepast. Zo besloot DigiCert vorige week al te stoppen met het uitgeven van certificaten die 825 dagen geldig zijn. De maatregel heeft geen effect op de populaire certificaatautoriteit Let's Encrypt. Certificaten van Let's Encrypt hebben een levensduur van maximaal negentig dagen. bron: security.nl

Miljoenen servers die via OpenSSH toegankelijk zijn draaien een kwetsbare versie van de software, zo blijkt uit onderzoek van securitybedrijf Rapid7. Het bedrijf voerde een internetbrede scan uit en ontdekte ruim 17,8 miljoen systemen die via SSH toegankelijk zijn. Secure Shell (SSH) is een protocol om op afstand op servers in te loggen en bijvoorbeeld machines te beheren. Vanwege de beveiligde manier van inloggen is SSH inmiddels de standaard geworden en heeft daarmee de onbeveiligde inlogmethode Telnet verdrongen. Voor elke machine die op internet via Telnet toegankelijk is zijn er zes via SSH benaderbaar. In de VS gaat het zelfs om een ratio van 1 op 28. Zo werden er 232.000 Telnet-servers geteld tegenover 6,6 miljoen SSH-servers. In China is de verhouding zo'n 1 op 3, namelijk 734.000 Telnet-servers tegenover 2,4 miljoen SSH-servers. Als er wordt gekeken naar de top tien landen met SSH-toegang staat Nederland op een negende plek in het onderzoek van Rapid7. Er zijn verschillende SSH-oplossingen, waarbij OpenSSH veruit het populairst is. Ruim 92,2 procent van alle SSH-servers draait op OpenSSH. OpenSSH, ook bekend als OpenBSD Secure Shell, is een verzameling van netwerktools gebaseerd op het SSH-protocol. SSH-software Dropbear volgt met 7,3 procent op de tweede plek. Het onderzoek laat verder zien dat veel servers kwetsbare OpenSSH-versies draaien. OpenSSH versie 7.4 werd het vaakst aangetroffen, namelijk op meer dan 4,7 miljoen servers. Deze versie verscheen op 19 december 2016 en bevat negen bekende kwetsbaarheden. OpenSSH versie 5.3, die op 1 oktober 2009 uitkwam, draait op meer dan 1,5 miljoen servers en telt 32 bekende kwetsbaarheden. De meest recente versie van OpenSSH is versie 8.3. Deze versie komt echter niet terug in het overzicht van de onderzoekers. "Elke OpensSSH-versie in top twintig heeft tussen de 2 en 32 kwetsbaarheden, wat inhoudt dat er een duidelijk gebrek aan patchmanagement is voor miljoenen systemen die aan het koude, harde internet zijn blootgesteld", aldus onderzoeker Tod Beardsley. bron: security.nl

Een beveiligingslek in de vpn-software van Pulse Secure maakt het mogelijk voor aanvallers om willekeurige code uit te voeren. Voorwaarde is wel dat een beheerder eerst een malafide link opent. Via een andere kwetsbaarheid kan een aanvaller het Google Time-based One-time Password (TOTP) omzeilen. Pulse Secure bracht vorige maand beveiligingsupdates voor de kwetsbaarheden uit. Details over één van de verholpen beveiligingslekken is nu online verschenen. Het gaat om een lek aangeduid als CVE-2020-8218. Op een schaal van 1 tot en met 10 wat betreft de impact is de kwetsbaarheid beoordeeld met een 7,2. Dit komt omdat het beveiligingslek alleen door een geauthenticeerde aanvaller is te misbruiken. Zodra een aanvaller beheerdersrechten heeft kan die via een cgi-bestand op het systeem, bedoeld om de licentie te controleren, zijn eigen code aanroepen en uitvoeren. "Hoewel een aanvaller geauthenticeerd moet zijn, is het feit dat de kwetsbaarheid via een eenvoudige phishingaanval op het juiste slachtoffer is te misbruiken, voldoende bewijs dat dit beveiligingslek niet moet worden genegeerd", zegt Jean-Frédéric Gauron van GoSecure, het securitybedrijf dat de kwetsbaarheid ontdekte. Eind juli kwam Pulse Secure met beveiligingsupdates voor verschillende problemen in de eigen vpn-software. De kwetsbaarheid met de Google TOTP scoort wat de impact betreft een 8,1. Uitgebreide details over dit lek ontbreken echter, behalve dat een aanvaller de Google TOTP, die als tweede factor bij het inloggen op de vpn dient, kan omzeilen als de primaire inloggegevens bekend zijn. bron: security.nl

Internationale bedrijven zullen de komende tien jaar drastisch veranderen door de opkomst van Bring your own PC en secure access service edge (SASE), zo voorspelt marktvorser Gartner. Bring your own PC (BYOPC) is een strategie waarbij medewerkers hun eigen apparatuur gebruiken voor het draaien van zakelijke applicaties en het benaderen van bedrijfsservices en data. Via SASE kunnen endpoints op een beveiligde manier toegang tot applicaties krijgen, ongeacht het gebruikte netwerk. Volgens Gartner zullen BYOPC en SASE voor een transformatie van internationale ondernemingen zorgen. De ontwikkeling wordt mede door de coronapandemie veroorzaakt. "Voor de coronapandemie was er weinig interesse in BYOPC", zegt Rob Smith, onderzoeksdirecteur van Gartner. "Aan het begin van de pandemie hadden organisaties eenvoudigweg geen andere keuze. De noodzaak om medewerkers vanaf huis te laten werken en een gebrek aan beschikbare hardware heeft wereldwijd de toepassing versterkt." Vanwege de sterke groei is het aan chief information security officers (CISO's) en "security leaders" om beveiligingsregels op te stellen. "CISO's en security leaders moeten ervan uitgaan dat de noodzaak om BYOPC te ondersteunen van een thuiswerkstrategie voor de lange termijn afhankelijk is, en moeten er ook rekening mee houden om securitytools te ondersteunen die voor een BYOPC-omgeving zijn vereist", aldus Smith. Volgens de onderzoeksdirecteur van Gartner moeten bedrijven inzetten op zaken als multifactorauthenticatie (MFA) voor bedrijfsapplicaties, -systemen en -data, ongeacht of die virtueel zijn of niet, of dat ze wel of niet in de cloud worden gehost. In het geval van cloudapplicaties adviseert Smith om lokale opslag bij medewerkers te verbieden en het uploaden van data afkomstig van een BYOPC naar de cloud ook niet toe te staan, aangezien op deze manier het cloudsysteem besmet kan raken. "Aangezien BYOPC's vaak besmet zijn met malware of ransomware en slachtoffer van phishingaanvallen worden, moet de it-afdeling de toegang beperken en controleren door de hardware-aanschaf te compenseren met beveiligingstechnologieën zoals MFA, cloud access security brokers (CASB), zero trust network access (ZTNA), virtuele desktopinfrastructuur en desktop as a service", laat Gartner weten. De marktvorser adviseert tevens om in samenwerking met HR, juridische zaken en de ondernemingsraad een goed thuiswerkbeleid op te stellen. bron: security.nl

Microsoft heeft besloten om de Enterprise-, Education- en IoT Enterprise-edities van Windows 10 versie 1803 zes maanden langer te ondersteunen. Aanleiding is de impact van de coronapandemie op organisaties en bedrijven. Oorspronkelijk zouden deze versies op 10 november 2020 de laatste beveiligingsupdates uitvangen. Dat heeft Microsoft nu verlengd tot 11 mei 2021. Dit moet organisaties meer tijd geven om naar een nieuwere Windows 10-versie te upgraden. Twee keer per jaar brengt Microsoft een grote feature-update uit voor Windows 10. Feature-updates die rond september verschijnen worden voor Windows 10 Enterprise en Education 30 maanden met beveiligingsupdates ondersteund. Feature-updates die rond maart voor deze Windowsversies uitkomen kunnen 18 maanden op beveiligingsupdates rekenen. Daarna stopt de ondersteuning en zullen de betreffende versies geen beveiligingsupdates meer ontvangen. Volgens Microsoft zijn bedrijven in deze tijd meer bezig met hun bedrijfscontinuïteit en is de supportperiode daarom verlengd. Eerder besloot het techbedrijf dit ook te doen voor de Enterprise-, Education- en IoT Enterprise-edities van Windows 10 versie 1709 en de Home- en Pro-edities van Windows 10 versie 1809. bron: security.nl

De ontwikkelaars van Thunderbird hebben besloten om gebruikers van de Enigmail-extensie nog niet automatisch naar de nieuwste versie van de e-mailclient te upgraden. Via de Enigmail-extensie is het mogelijk om Thunderbird met OpenPGP te gebruiken, volgens de ontwikkelaars de meestgebruikte encryptiestandaard ter wereld. Zo kunnen gebruikers versleuteld e-mailen. Thunderbird 68 is echter de laatste versie die met de Enigmail-extensie werkt. De Thunderbird-ontwikkelaars hebben besloten om de ondersteuning van OpenPGP direct in de e-mailclient in te bouwen. Oorspronkelijk was het plan om deze functionaliteit met de lancering van Thunderbird 78 gereed te hebben, maar dat bleek niet haalbaar. In plaats daarvan zou OpenPGP-support in Thunderbird 78.2 verschijnen. Deze versie zou Enigmail-gebruikers automatisch naar de nieuwste versie upgraden en automatisch hun Enigmail-instellingen in de nieuwe OpenPGP-feature van Thunderbird importeren. Thunderbird 78.2 is nu uitgekomen, maar Enigmail-gebruikers zullen nog niet automatisch worden geüpgraded. Vanwege laatste wijzigingen en tests door vrijwilligers is besloten dit tijdelijk uit te stellen. Wanneer de upgrade nu zal plaatsvinden is nog onbekend. Thunderbird 78.2 is wel handmatig te downloaden, maar Enigmail-gebruikers wordt afgeraden dit te doen. Thunderbird 68 zal tot de herfst van dit jaar beveiligingsupdates blijven ontvangen. bron: security.nl

Softwarebedrijf Autodesk waarschuwt bedrijven die van 3ds Max gebruikmaken voor een actief aangevallen kwetsbaarheid in de software. Bij de aanvallen wordt gebruikgemaakt van een exploit waardoor er kwaadaardige code via 3ds Max op systemen kan worden uitgevoerd. 3ds Max, voorheen bekend als 3D Studio en 3D Studio Max, is professionele software voor modellering, rendering en animatie. Bij de nu waargenomen aanvallen lukt het aanvallers om bedrijven een zogenoemde "MAXScript-exploit" te laten uitvoeren. De exploit zit verborgen in een bestand dat zich voordoet als een plug-in voor 3ds Max. Zodra het bestand wordt geopend in 3ds Max kan de exploit het programma kwaadaardige code laten uitvoeren en zichzelf naar andere MAX-bestanden verspreiden, zo laat Autodesk weten. Het bedrijf heeft nu een plug-in uitgebracht die de kwaadaardige kan detecteren en verwijderen. Antivirusbedrijf Bitdefender heeft een analyse gepubliceerd van een aanval waarbij een MAXScript-exploit succesvol door aanvallers tegen een niet nader genoemd bedrijf werd ingezet. De aanvallers wisten na infectie van het systeem allerlei bedrijfsgegevens te stelen. Daarbij was industriële spionage in de vastgoedindustrie het doel, aldus de onderzoekers. Het aangevallen bedrijf is betrokken bij grote vastgoedprojecten in New York, Londen, Australië en Oman, stelt Bitdefender. De virusbestrijder was bij het onderzoek naar de aanval betrokken en ontdekte dat de aanvallers via een tot dan toe onbekende kwetsbaarheid in 3ds Max waren binnengekomen. bron: security.nl

Routers van fabrikant MikroTik krijgen ingebouwde ondersteuning voor het vpn-protocol WireGuard. Een nieuwe testversie van RouterOS, het besturingssysteem dat op MikrokTik-routers draait, voegt WireGuard-support toe. Een feature waar gebruikers al sinds om vragen. In maart van dit jaar werd versie 1.0 van WireGuard aan de Linux-kernel toegevoegd en nu heeft MikroTik besloten om het vpn-protocol ook in RouterOS te ondersteunen. Hierbij wordt gebruik gemaakt van de eerder verschenen versie 1.0. Zo kunnen gebruikers op de router een WireGuard-server instellen en daar vanaf andere locaties mee verbinding maken. Vooralsnog gaat het om beta-firmware van RouterOS. Volgens WireGuard-ontwikkelaar Jason Donenfeld is zijn vpn-protocol een snellere, eenvoudigere en modernere vpn dan IPSec. Ook zou het beter moeten presteren dan de populaire vpn-oplossing OpenVPN. Het aantal regels code van WireGuard is veel kleiner dan dat van andere vpn-protocollen, wat het eenvoudiger uit te rollen, te gebruiken en te auditen zou moeten maken. bron: security.nl

Op internet zijn ruim 2,8 miljoen apparaten te vinden die via Telnet toegankelijk zijn, wat een serieus beveiligingsrisico is, zo stelt securitybedrijf Rapid7. Onderzoekers van het bedrijf voerden een online scan uit en troffen 2.829.555 apparaten aan die via tcp-poort 23 (Telnet) zijn te benaderen. Het uit 1969 stammende Telnet laat gebruikers op afstand op machines inloggen. Het maakt geen gebruik van encryptie, wat inhoudt dat gebruikersnaam en wachtwoord onversleuteld worden verstuurd. Het grootste probleem met Telnet zijn echter standaard gebruikersnamen en wachtwoorden. Wanneer Telnet toegankelijk is kan een aanvaller zo eenvoudig toegang krijgen. Iets wat de Mirai in 2016 liet zien. De malware wist honderdduizenden ip-camera's, digitale videorecorders en andere IoT-apparaten via Telnet en standaard wachtwoorden over te nemen en onderdeel van een ddos-botnet te maken. "Verder geven bronnen aan dat zo'n veertien procent van de Cisco-apparaten en elf procent van de Huawei-apparaten vandaag de dag via standaardwachtwoorden toegankelijk zijn", zegt Tod Beardsley van Rapid7. "Dit gebrek aan zorg en onderhoud aan de ruggengraat van duizenden organisaties wereldwijd is teleurstellend, en elk van deze apparaten moet als gecompromitteerd worden beschouwd." De onderzoekers troffen met name in China veel apparaten aan die via Telnet toegankelijk zijn, gevolgd door Argentinië, de Verenigde Staten en Zuid-Korea. Van de aanvallen tegen Telnet-apparaten maakt zo'n negentig procent gebruik van standaard inloggegevens. Volgens Beardsley hoort Telnet niet toegankelijk vanaf het internet te zijn en moeten netwerkbeheerders zowel inkomend als uitgaand Telnet-verkeer blokkeren. bron: security.nl

Onderzoekers hebben spionagemalware ontdekt die zich via usb-sticks kan verspreiden en wereldwijd honderden systemen heeft besmet, waaronder in Nederland. Dat laat antivirusbedrijf Kaspersky in een analyse weten. De Crimson remote access trojan (RAT) die de aanvallers gebruiken om slachtoffers te bespioneren is al geruime tijd bekend, maar het gedeelte dat voor de verspreiding via usb wordt gebruikt is nooit publiek besproken, aldus de virusbestrijder. De aanval begint, net als veel andere aanvallen, met een e-mail. Het bericht heeft als bijlage een Microsoft Office-document dat van een kwaadaardige macro is voorzien. Wanneer de gebruiker de macro inschakelt wordt de "thin client" van de Crimson RAT geïnstalleerd. Daarmee kunnen de aanvallers informatie over het systeem verzamelen, screenshots maken en aanvullende componenten uitvoeren. Eén van deze componenten is de usb-worm, die op het systeem aangesloten usb-sticks infecteert en bestanden van usb-sticks kan stelen. Daarnaast kan de usb-worm de thin client op nog niet besmette systemen installeren. Om zich via usb-sticks te kunnen verspreiden maakt de worm gebruik van een eenvoudig truc. Zodra een schone usb-stick op een besmet systeem wordt aangesloten maakt de worm alle aanwezige mappen onzichtbaar en plaatst vervolgens gelijknamige exe-bestanden in de root directory, alleen dan voorzien van een map-icoon. De gebruiker denkt hierdoor dat hij een map opent, terwijl in werkelijkheid de usb-worm wordt gestart. Om het slachtoffer niets te laten vermoeden opent de malware ook de verborgen gemaakte map. Eenmaal actief controleert de usb-worm of de Crimson RAT al op het systeem draait. Is dat niet het geval, dan zal de usb-worm de thin client installeren. Vervolgens wordt er een registersleutel aangemaakt die ervoor zorgt dat de usb-worm bij een herstart van het systeem wordt geladen. De usb-worm kan zo weer nieuw aangesloten usb-sticks besmetten en aanwezige bestanden stelen. Van usb-sticks gestolen bestanden worden op het al besmette systeem bewaard, waar ze door de aanvallers zijn te downloaden. Kaspersky ontdekte tussen juni 2019 en juni 2020 meer dan duizend systemen die met de betreffende Crimson RAT waren besmet. In 87 procent van de gevallen ging het om infecties met de usb-worm. Ook in Nederland laat het antivirusbedrijf besmettingen zien. De meeste infecties werden in Afghanistan, India, Pakistan, Duitsland en Iran waargenomen. bron: security.nl

Sinds 2013 houdt back-updienst Backblaze bij hoeveel procent van de harde schijven die het gebruikt uitvalt, en sinds de metingen begonnen heeft fabrikant Seagate niet zo goed gepresteerd als het afgelopen kwartaal. Over de gehele linie nam het aantal defecte schijven echter af en fabrikant HGST kent nog altijd de minste uitval. Dat blijkt uit de kwartaalcijfers over het tweede kwartaal. De cijfers zijn gebaseerd op zo'n 140.000 schijven die Backblaze het tweede kwartaal in gebruik had. Vanwege het grote aantal schijven zijn er bepaalde trends zichtbaar als het om merken en modellen gaat. Backblaze werkt met schijven van HGST, Seagate en Toshiba en alle drie de fabrikanten kennen sinds het derde kwartaal van 2017 een dalende lijn als het om uitval gaat. Als het puur om de uitval dit kwartaal gaat kwam Seagate op 0,90 procent uit, het laagste percentage sinds de metingen in 2013 begonnen. HGST deed het met een uitvalspercentage van 0,43 procent echter een stuk beter. In het tweede kwartaal raakte net iets meer dan één procent van de Toshiba-schijven defect. Naast de kwartaalcijfers verzamelt Backblaze ook cumulatieve data, waarbij de cijfers over een bepaalde periode worden verzameld. Via deze gegevens worden langetermijntrends duidelijk. En die trend is dat harde schijven minder vaak uitvallen. Seagate kent met 2 procent de meeste uitval, gevolgd door Toshiba (1 procent) en HGST (0,47 procent). Als het gaat om de genormaliseerde periode van 2013 tot 30 juni 2020, kenden de 4TB- en 12TB-schijven van HGST de minste uitval. De 12TB- en 4TB-schijven van Seagate moesten het vaakst wegens een defect worden vervangen. bron: security.nl

Webwinkels die zijn gebaseerd op WordPress WooCommerce en gebruikmaken van de kortingsplug-in "Discount Rules" worden op het moment actief aangevallen. Ruim 22.000 webshops zijn kwetsbaar en lopen risico doordat een beschikbare beveiligingsupdate nog niet is geïnstalleerd. De aanvallers maken misbruik van kwetsbaarheden waardoor een aanvaller in het ergste geval de webwinkel kan overnemen. Discount Rules laat webwinkels allerlei soorten kortingen voor de producten en bestellingen in hun webshop instellen, alsmede op klantniveau. Meer dan dertigduizend webwinkels maken gebruik van de plug-in. Onderzoekers ontdekten dat Discount Rules verschillende kwetsbaarheden bevat, zoals SQL-injection en unauthenticated stored cross-site scripting. Via de beveiligingslekken kan een ongeauthenticeerde aanvaller gegevens van klanten opvragen, alle kortingscodes bemachtigen, voor alle klanten kortingscodes instellen of gegevens van de beheerder stelen om zo de website over te nemen. Onderzoekers van securitybedrijf WebArx ontdekten de problemen en waarschuwden de ontwikkelaars van Discount Rules op 7 augustus. Die kwamen op 13 augustus met een beveiligingsupdate (versie 2.1.0). Een week later publiceerde WebArx de details over de kwetsbaarheid. De volgende dag meldde het securitybedrijf dat webwinkels die van de plug-in gebruikmaken actief worden aangevallen. Volgens cijfers van WordPress is versie 2.1.x door 26 procent van de webwinkels geïnstalleerd. Dat houdt in dat ruim 22.000 webwinkels nog kwetsbaar zijn en risico lopen. bron: security.nl

De FBI heeft een waarschuwing gegeven voor telefonische phishingaanvallen gericht op het verkrijgen van vpn-gegevens. Verschillende niet nader genoemde organisaties waren vorige maand het doelwit van de aanvallen, aldus de Amerikaanse opsporingsdienst in een Cybersecurity Advisory waar it-journalist Brian Krebs over bericht (pdf). De aanval bestaat uit verschillende stappen, waarbij de aanvallers eerst domeinen registreren die de naam van de aangevallen organisatie bevatten. Vervolgens worden deze domeinen gebruikt voor phishingpagina's die identiek zijn aan de vpn-inlogpagina van de betreffende organisatie. De volgende stap voor de aanvallers is om hun slachtoffers naar deze phishingpagina's te lokken. Hiervoor maken ze gebruik van publieke informatie op socialmediaplatformen, marketing- en recruitmenttools en openbronnenonderzoek. Zo krijgen de aanvallers allerlei informatie in handen, waaronder namen van medewerkers, adresgegevens, persoonlijke telefoonnummers, functie en hoe lang men al bij het bedrijf werkt. Met deze informatie bellen de aanvallers de werknemers op, soms vanaf gespoofte telefoonnummers die van andere bedrijfslocaties lijken. De aanvallers doen zich bijvoorbeeld voor als de it-helpdesk en gebruiken de eerder verzamelde informatie om het vertrouwen van het slachtoffer te wekken. De zogenaamde helpdeskmedewerker vertelt het slachtoffer dat hij een nieuwe vpn-link krijgt toegestuurd om in te loggen. Deze link wijst naar de eerder gemaakte phishingpagina. Gegevens die slachtoffers hier invoeren, waaronder tweefactorauthenticatie, worden in real-time door de aanvallers gebruikt om op het echte vpn-account van het slachtoffer in te loggen. De FBI geeft organisaties verschillende adviezen om zich tegen dergelijke aanvallen te wapenen. Zo moeten vpn-verbindingen alleen toegankelijk zijn voor door de organisatie beheerde systemen, iets wat via hardwarmatige controles of geïnstalleerde certificaten is te doen. Verder moet het aantal uren dat de vpn-dienst beschikbaar is waar mogelijk worden beperkt, kunnen organisaties via domeinmonitoring kijken of aanvallers domeinen met de bedrijfsnaam registreren en wordt een formeel authenticatieproces voor communicatie tussen medewerkers via de telefoon aangeraden. bron: security.nl

Een vpn-provider uit Hong Kong die claimt geen logs bij te houden heeft via een onbeveiligde Elasticsearch-server miljoenen logbestanden met informatie over gebruikers gelekt. Het gaat om vpn-aanbieder UFO VPN die beweert meer dan 20 miljoen gebruikers te hebben. Ook stelt het bedrijf een "0 log policy" te hanteren. Onderzoeker Bob Diachenko ontdekte op 1 juli de onbeveiligde server, die 894 gigabyte aan data bevatte. Het ging onder andere om plaintext wachtwoorden van vpn-gebruikers, vpn session secrets en tokens, ip-adressen van zowel gebruikers als de vpn-servers waarmee ze verbinding hadden, connectie timestamps, geo-tags en kenmerken van de systemen van gebruikers. UFO VNP stelt in een verklaring dat de data "anoniem" is, maar volgens Diachenko is het mogelijk om met de gegevens gebruikers te identificeren en hun activiteiten online te volgen. De server was op 27 juni door zoekmachine Shodan.io geïndexeerd en op 1 juli door Diachenko gevonden. De onderzoeker waarschuwde meteen de vpn-provider. Aangezien de server toegankelijk bleef waarschuwde Diachenko twee weken later de hostingprovider waar de server was ondergebracht. De volgende dag was de server beveiligd. In een reactie aan de onderzoeker, die twee weken later volgde, stelt UFO VPN dat vanwege personeelswijzigingen door corona, de fouten in de firewallregels waardoor het datalek mogelijk was niet direct waren gevonden. "Alle verzamelde informatie op deze server is anoniem en wordt alleen gebruikt voor het analyseren van de netwerkprestaties en problemen van gebruikers om de dienstverlening te verbeteren. Tot nu toe is er geen enkele informatie gelekt", aldus UFO VPN. bron: security.nl

Een router van elektronicafabrikant Tenda is door verschillende kwetsbaarheden, waaronder een hardcoded Telnet-wachtwoord, op afstand over te nemen en een beveiligingsupdate is niet beschikbaar, ook al werd het bedrijf in januari van dit jaar over de problemen geïnformeerd. Dat laat securitybedrijf Independent Security Evaluators weten. De in totaal vijf kwetsbaarheden zijn aanwezig in de Tenda AC15 AC1900, die ook door Nederlandse webshops wordt aangeboden. Twee kwetsbaarheden zijn minder ernstig van aard en zouden een denial of service kunnen veroorzaken. Het derde beveiligingslek is een ander verhaal. Een ongeauthenticeerde remote aanvaller kan Telnet op de router starten en dankzij een hardcoded wachtwoord als root inloggen. Daarnaast blijkt dat twee parameters direct aan een doSystemCmd-functie worden doorgegeven, waardoor een aanvaller remote commando's op de router kan uitvoeren. Hiervoor moet de webinterface wel toegankelijk zijn. Tenda werd op 17 januari door de onderzoekers over de kwetsbaarheden geïnformeerd, maar gaf geen reactie. De laatste firmware-update voor de AC15 AC1900 dateert van oktober 2019. bron: security.nl

Mozilla heeft na bijna een jaar een geheel nieuwe versie van Thunderbird uitgebracht, maar gebruikers van de Enigmail-extensie, gebruikt om versleuteld te e-mailen, wordt geadviseerd die nog niet te installeren. Thunderbird 78 die vanochtend uitkwam biedt onder andere een aangepaste vormgeving, dark mode en heeft Thunderbirds Lightning Calendar geïntegreerd. Voorheen was dit nog een losse extensie. Ook de schermen voor het instellen en beheren van accounts zijn aangepast, alsmede de weergave van mappen en iconen. Eén van de grootste veranderingen is echter de ingebouwde ondersteuning van versleutelde e-mail via OpenPGP. Thunderbird ondersteunt al jaren de mogelijkheid om versleutelde e-mails te versturen via de S/MIME (Secure/Multipurpose Internet Mail Extensions) encryptiestandaard en zal dit ook blijven doen. Via de Enigmail-extensie is het mogelijk om Thunderbird met OpenPGP te gebruiken, volgens de ontwikkelaars de meestgebruikte encryptiestandaard ter wereld. Thunderbird 68 is echter de laatste versie die met de Enigmail-extensie werkt. De Thunderbird-ontwikkelaars hebben besloten om de ondersteuning van OpenPGP direct in de e-mailclient in te bouwen. Oorspronkelijk was het plan om deze functionaliteit met de lancering van Thunderbird 78 gereed te hebben, maar dat bleek niet haalbaar. In plaats daarvan zal OpenPGP-support in Thunderbird 78.2 verschijnen, die de "komende maanden" moet uitkomen. Aangezien Thunderbird 78 niet werkt met Enigmail wordt gebruikers van de extensie aangeraden om de nieuwe versie nog niet te installeren. Vooralsnog is Thunderbird 78 alleen beschikbaar als handmatige upgrade. Gebruikers moeten de versie zelf via Thunderbird.net downloaden en installeren. In de nabije toekomst zullen Thunderbird-gebruikers automatisch naar deze versie worden geüpgraded. In het geval van Enigmail-gebruikers zal dit pas met de lancering van Thunderbird 78.2 zijn. Deze versie zal namelijk alle Enigmail-instellingen automatisch importeren in de nieuwe OpenPGP-feature van Thunderbird. Thunderbird 68 wordt tot de herfst van dit jaar met beveiligingsupdates ondersteund. Volgens Mozilla is Thunderbird 78 het begin van een nieuw tijdperk voor de e-mailclient en ziet de toekomst er goed uit. In 2018 liet Mozilla nog weten dat de e-mailclient meer dan 26 miljoen gebruikers heeft. bron: security.nl