Captain Kirk

Mozilla heeft opnieuw laten weten dat het Manifest V2 voor Firefox-extensies blijft ondersteunen, zodat populaire adblockers zoals uBlock Origin binnen de browser blijven werken. De manier waarop extensies binnen Firefox, Chrome en andere browsers mogen werken staat beschreven in een manifest. Lange tijd werkten extensies met Manifest V2, maar Google wil deze versie vervangen door Manifest V3. Eén van de aanpassingen in Manifest V3 betreft het grotendeels uitfaseren van de webRequest API, die wordt vervangen door een andere oplossing genaamd declarativeNetRequest. Adblockers maken van de webRequest API gebruik voor het onderscheppen, blokkeren, doorsturen en aanpassen van in- en uitgaand verkeer van de browser. Verschillende partijen hebben al geklaagd dat adblockers met de komst van Manifest V3 en het verdwijnen van de webRequest API minder effectief worden. Zo is er geen Manifest V3-versie van uBlock Origin, de populairste extensie en adblocker voor zowel Firefox als Google Chrome. Als onderdeel van het uitfaseren van Manifest V2 heeft Google besloten om uBlock Origin en andere Manifest V2-extensies bij Chrome-gebruikers uit te schakelen. Mozilla zegt dat het van plan is om Manifest V2 en V3 naast elkaar te blijven ondersteunen. Daardoor kunnen adblockers van de webRequest API gebruik blijven maken, alsmede van declarativeNetRequest. Dit biedt volgens Mozilla meer keuze en innovatie voor gebruikers, alsmede meer mogelijkheden voor extensie-ontwikkelaars. bron: https://www.security.nl

Aanvallers maken actief misbruik van jarenoude kwetsbaarheden in apparatuur van Cisco, waaronder een kritiek beveiligingslek dat sinds 28 maart 2018 bekend is. Dat laat securitybedrijf GreyNoise op basis van eigen bevindingen weten. Twee andere kritieke kwetsbaarheden die bij aanvallen worden ingezet zijn sinds 2023 bekend. De aanvallen, onder andere gericht tegen Amerikaanse telecomproviders, zouden het werk zijn van een groep genaamd Salt Typhoon. Begin deze maand meldde securitybedrijf Recorded Future op basis van eigen onderzoek dat de groep verschillende Cisco-kwetsbaarheden had gebruikt om systemen te compromitteren. Cisco kwam vervolgens met een reactie op de berichtgeving en stelde dat het misbruik van deze beveiligingslekken niet kon bevestigen. Bij de systemen die Cisco onderzocht wisten de aanvallers via gestolen inloggegevens initiële toegang krijgen, aldus het netwerkbedrijf. Hoe de aanvallers deze inloggegevens konden bemachtigen is niet bekend. Eén systeem dat Cisco onderzocht was via een oude kwetsbaarheid gecompromitteerd (CVE-2018-0171), maar deze activiteit kon Cisco naar eigen zeggen niet aan Salt Typhoon toeschrijven. CVE-2018-0171 betreft een kritieke kwetsbaarheid in de Smart Install feature van Cisco IOS en IOS XE waardoor een ongeauthenticeerde aanvaller willekeurige code op kwetsbare apparaten kan uitvoeren. Smart Install is een 'plug-and-play' feature voor het op afstand configureren en uitrollen van switches, dat 'by design' geen authenticatie vereist. "CVE-2018-0171 werd zeven jaar geleden bekendgemaakt, maar geavanceerde aanvallers blijven er gebruik van maken", aldus Noah Stone van GreyNoise. Twee andere Cisco-beveiligingslekken die aanvallers volgens Stone actief bij aanvallen inzetten zijn CVE-2023-20198 en CVE-2023-20273. Het gaat om twee kwetsbaarheden in de web UI feature van Cisco IOS XE, waardoor een ongeauthenticeerde aanvaller kwetsbare systemen op afstand kan overnemen. De impact van CVE-2023-20198 is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Al voor het uitkomen van updates werd CVE-2023-20198 bij aanvallen ingezet. Ondanks de leeftijd van de Cisco-kwetsbaarheden proberen aanvallers er nog altijd misbruik van te maken, aldus GreyNoise. Organisaties worden dan ook opgeroepen om alle Cisco-updates meteen te installeren en toegang tot management-interfaces te beperken. bron: https://www.security.nl

Google gaat de sms-gebaseerde tweefactorauthenticatie (2FA) voor Gmail vervangen door QR-codes. Op dit moment hebben gebruikers de mogelijkheid om voor het inloggen een 2FA-code via sms te ontvangen. Straks zullen gebruikers via de camera-app op hun smartphone een QR-code moeten scannen. Dat laat het techbedrijf tegenover zakenblad Forbes weten. Volgens Google moet de maatregel het 'phishingrisico' voor Gmail-gebruikers verminderen, die nu nog kunnen worden misleid om beveiligingscodes met een aanvaller te delen. Daarnaast moet het Google minder afhankelijk maken van hoe telecomproviders met abuse op hun netwerk omgaan. "Sms-codes vormen een verhoogde dreiging voor gebruikers", zegt Gmail-woordvoerder Ross Richendrfer. Die stelt dat QR-codes het aanvalsoppervlak voor aanvallers moeten verkleinen en gebruikers tegen malafide activiteiten moeten beschermen. Richendrfer stelt ook dat QR-codes het 'grootschalig, wereldwijd sms-misbruik' moeten verminderen. Zo wordt als voorbeeld sim-swapping genoemd,. Bij sim-swapping weten criminelen het telefoonnummer van een slachtoffer over te zetten op een simkaart waarover zij beschikken en kunnen zo bijvoorbeeld 2FA-codes ontvangen. Dit wordt onder andere gedaan door personeel van telecomproviders te misleiden of hen om te kopen. "Als een fraudeur eenvoudig een telecomprovider kan misleiden om iemands telefoonnummer in handen te krijgen, verdwijnt de securitywaarde van sms", aldus Richendrfer. Google zegt dat het de nieuwe maatregel de komende maanden gaat uitrollen. bron: https://www.security.nl

Zo'n zestigduizend WordPress bevatten een kritieke kwetsbaarheid waardoor een ongeauthenticeerde aanvaller op afstand code kan uitvoeren en de website volledig overnemen. De websites maken gebruik van een plug-in genaamd Everest Forms, waarmee gebruikers hun eigen contactformulieren, nieuwsbrieven, quizzen en betaalformulieren kunnen vormgeven. Meer dan honderdduizend WordPress-sites maken actief gebruik van de plug-in. Een kritieke kwetsbaarheid in de plug-in maakt het mogelijk voor een ongeauthenticeerde aanvaller om op afstand willekeurige bestanden te uploaden wat tot remote code execution kan leiden. Ook kan een ongeauthenticeerde aanvaller willekeurige bestanden lezen en verwijderen, waaronder het wp-config.php bestand. Daardoor is het mogelijk de website over te nemen, aldus securitybedrijf Wordfence. Het probleem wordt veroorzaakt doordat de uploadfunctie aangeboden bestanden niet goed gecontroleerd. Elk .csv- of .txt-bestand met een malafide PHP-script kan worden hernoemd naar een .php-bestand. Vervolgens verplaatst de functie het bestand naar de WordPress-uploadmap, die publiek toegankelijk is, aldus de uitleg van Wordfence. Zodoende kan de aanvaller malafide PHP-code uploaden, die aanroepen en zo code op de server uitvoeren. Wordfence waarschuwde de ontwikkelaars op 9 februari, die op 20 februari met versie 3.0.9.5 kwamen waarin het probleem is verholpen. Sindsdien is de laatste versie zo'n veertigduizend keer gedownload, aldus cijfers van WordPress.org, wat inhoudt dat zo'n zestigduizend WordPress-sites risico lopen. De impact van de kwetsbaarheid (CVE-2025-1128) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. bron: https://www.security.nl

Een kwetsbaarheid in Exim maakt SQL-injection op kwetsbare mailservers mogelijk. De makers van de populaire e-mailserversoftware hebben versie 4.98.1 uitgebracht waarin het probleem is verholpen. Het beveiligingslek, aangeduid als CVE-2025-26794, doet zich alleen voor bij Exim-versie 4.98 en wanneer er aan bepaalde randvoorwaarden is voldaan. Het gaat dan om het gebruik van een bepaalde build time optie en run time configuraties. In deze gevallen is 'remote SQL injection' mogelijk', aldus het beveiligingsbulletin. Verdere details zijn niet gegeven. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 7.5. Exim komt zelden met security-releases. De vorige keer dateert van juli 2024. bron: https://www.security.nl

Het Australische ministerie van Binnenlandse Zaken heeft het gebruik van de antivirussoftware op systemen van de overheid verboden. Volgens minister van Binnenlandse Zaken Stephanie Foster vormt de software van het bedrijf een 'onacceptabel risico' voor de Australische overheid, netwerken en data. Het gaat dan om buitenlandse inmenging, spionage en sabotage, aldus de bewindsvrouw. "Ik heb ook de noodzaak voor een sterk beleidssignaal voor de vitale infrastructuur en andere Australische overheden laten meewegen met betrekking tot het onacceptabele beveiligingsrisico dat met het gebruik van producten en webdiensten van Kaspersky Lab samenhangt", aldus Foster. Overheidsinstanties hebben tot 1 april de tijd gekregen om alle Kaspersky-software van hun systemen te verwijderen, meldt ITnews. Eerder besloot de Amerikaanse overheid de verkoop van Kaspersky-software in de Verenigde Staten te verbieden, alsmede het uitbrengen van updates. Daarop maakte Kaspersky kenbaar dat het de Verenigde Staten zou verlaten, waarop de antivirussoftware bij klanten automatisch werd verwijderd en vervangen door een ander product. bron: https://www.security.nl

Kan mij voorstellen dat dat erg irritant werken is. Ik ken de pen niet. Een snelle search geeft wel dat er in 2024 al gebruikers klaagde over dergelijke problemen. Misschien heb je wat aan wat er in deze link als oplossing aangeboden wordt? Huion komt op de eigen site ook met een aantal mogelijke oorzaken en eventuele oplossingen. Op deze site staat ook hoe je van Huion hulp kunt krijgen indien de aangeboden oplossingen niet werken: How to fix lagging issue

De Belgische overheid waarschuwt bedrijven en zzp'ers voor malafide security-audits die uit naam van de overheid worden aangeboden. Het Centrum voor Cybersecurity België (CCB) van de Belgische overheid zegt dat het de afgelopen dagen meerdere meldingen van kleinen bedrijven en zzp'ers heeft ontvangen waarbij werd geprobeerd hen op te lichten. De bedrijven worden door een zogenaamde ambtenaar benaderd die claimt in het kader van een bewustzijnscampagne over internetveiligheid te bellen. De 'ambtenaar' biedt dan een security-audit aan om zo de digitale veiligheid van het bedrijf te onderzoeken. "De dienst is gratis en de zogenaamde ambtenaar brengt zijn eigen apparatuur mee om verbinding te maken met jouw netwerk. Vervolgens verwijst hij je naar een website om te bevestigen dat alles in orde is", aldus het CCB. Verdere details over wat de oplichter precies doet zijn niet gegeven. De overheidsdienst merkt op dat de “FOD Cyberbeveiliging” of “federale dienst cybercriminaliteit”, waar de oplichter van zegt te zijn, niet bestaan. Tevens stelt het CCB dat de oplichter bijzonder aandringt om een afspraak te krijgen. "Laat je niet misleiden: een fraudeur kan een vals e-mailadres of een valse badge/visitekaart gebruiken om zich voor te doen als een federale agent", aldus het advies van de dienst, die tevens aanraadt om het gebruikte e-maildomein te controleren. "Een federale instelling zal een officieel domein gebruiken (bijvoorbeeld @belgium.be)." bron: https://www.security.nl

Certificaatautoriteit Let's Encrypt, dat dit jaar het tienjarig bestaan viert, heeft voor het eerst een tls-certificaat met een levensduur van zes dagen uitgegeven. Let's Encrypt verstrekte het certificaat aan zichzelf en besloot om het meteen in te trekken. "Dit is de eerste stap om certificaten met een kortere levensduur voor gebruikers beschikbaar te maken", aldus Josh Aas, directeur van de Internet Security Research Group (ISRG), de organisatie achter Let's Encrypt. Volgens Aas zijn certificaten met een korte levensduur goed voor de veiligheid. Hoe langer de levensduur van een certificaat, hoe meer kans op misbruik. Op dit moment zijn de door Let's Encrypt uitgegeven tls-certificaten negentig dagen geldig. Certificaten die maar zes dagen geldig zijn zouden de periode dat misbruik kan plaatsvinden drastisch verminderen, omdat ze juist zo snel verlopen, liet Aas vorige maand weten. De volgende stap in het proces is om de 'shorter-lived' certificaten voor een klein aantal gebruikers beschikbaar te maken. Dit zou in het tweede kwartaal van dit jaar moeten gebeuren. Het is uiteindelijk de bedoeling dat eind dit jaar alle Let's Encrypt-gebruikers certificaten kunnen aanvragen die zes dagen geldig zijn. Certificaten die negentig dagen geldig zijn blijft de certificaatautoriteit ook gewoon aanbieden. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Microsoft Bing maakte remote code execution mogelijk, zo heeft Microsoft laten weten. Het techbedrijf heeft de kwetsbaarheid verholpen en Bing-gebruikers hoeven geen actie te ondernemen. Microsoft kwam gisterenavond met een beveiligingsbulletin waarin het het bestaan van de kwetsbaarheid bekendmaakt. "Ontbrekende authenticatie voor kritieke functie in Microsoft Bing laat een ongeautoriseerde aanvaller code over een netwerk uitvoeren", aldus de summiere omschrijving. Verdere details worden niet gegeven, zoals hoe misbruik zou kunnen plaatsvinden. De impact van het beveiligingslek (CVE-2025-21355) is op een schaal van 1 tot en met 10 beoordeeld met een 8.6. bron: https://www.security.nl

Microsoft heeft een actief aangevallen kwetsbaarheid in Power Pages gedicht waardoor een aanvaller zijn rechten kon verhogen en mogelijk de 'user registration control' omzeilen. Sinds wanneer aanvallers misbruik van het beveiligingslek maken laat Microsoft niet weten. Microsoft Power Pages is een SaaS (Software-as-a-service) platform waarmee gebruikers en organisaties eenvoudig websites kunnen maken en hosten. Power Pages maakt gebruik van een role based access control (RBAC) model om het toegangsniveau van gebruikers te beheren. Daarbij wordt er gewerkt met anonieme en geauthenticeerde gebruikers. Gisterenavond kwam Microsoft met een beveiligingsbulletin waarin het voor de aangevallen kwetsbaarheid waarschuwt en stelt dat een update inmiddels voor de clouddienst is uitgerold. Details over het beveiligingslek (CVE-2025-24989), het waargenomen misbruik en aantal getroffen organisaties geeft Microsoft niet. Het techbedrijf zegt dat het alle getroffen klanten inmiddels heeft gewaarschuwd. De kwetsbaarheid zou door een eigen medewerker zijn ontdekt. bron: https://www.security.nl

Mozilla heeft opnieuw besloten om Firefox langer te blijven ondersteunen op Windows 7, Windows 8 en en oudere macOS-versies. Oorspronkelijk zou de ondersteuning tot en met maart lopen, maar op basis van het aantal Windows 7-gebruikers is besloten de support met nog eens zes maanden te verlengen tot en met september dit jaar. Microsoft stopte de ondersteuning van Windows 7 op 14 januari 2020. Volgens cijfers van Mozilla werkt bijna acht procent van de Firefox-gebruikers nog met Windows 7. De ondersteuning zal echter beperkt zijn tot alleen kritieke beveiligingsupdates en 'kwaliteitsfixes'. Wanneer het einde van de nieuwe supportperiode zich aandient zal Mozilla opnieuw een beslissing nemen of het de ondersteuning stopzet of nogmaals verlengt. bron: https://www.security.nl

Aanvallers maken actief misbruik van drie kwetsbaarheden in firewalls van Palo Alto Networks om kwetsbare apparaten te compromitteren, zo laat de leverancier weten, die van de 'hoogste urgentie' spreekt. Bij de aanvallen worden drie kwetsbaarheden gecombineerd, namelijk CVE-2025-0111, CVE-2025-0108 en CVE-2024-9474. Updates voor de eerste twee kwetsbaarheden zijn sinds vorige week beschikbaar. Voor CVE-2024-9474 verscheen op 18 november een patch. Securitybedrijf GreyNoise meldde al op 13 februari dat CVE-2025-0108 actief bij aanvallen werd ingezet. Via het beveiligingslek kan een ongeauthenticeerde aanvaller de authenticatie van de managementinterface omzeilen en bepaalde PHP-scripts aanroepen. Dit maakt het niet mogelijk om code uit te voeren, maar kan wel de integriteit en vertrouwelijkheid van PAN-OS negatief beïnvloeden, aldus het beveiligingsbulletin. CVE-2025-0111 laat een aanvaller bepaalde bestanden lezen en CVE-2024-9474 laat een aanvaller met admintoegang acties met rootrechten uitvoeren. PAN-OS is het besturingssysteem dat op de firewalls van Palo Alto Networks draait. Verschillende PAN-OS-versies zijn kwetsbaar. Om de aanval uit te kunnen voeren moet een aanvaller de managementinterface van de firewall kunnen benaderen. Iets wat bij duizenden firewalls het geval blijkt te zijn. Wanneer organisaties toestaan dat externe ip-adressen de managementinterface van hun firewall kunnen benaderen is de impact van CVE-2025-0108 op een schaal van 1 tot en met 10 beoordeeld met een 8.8. De overige twee kwetsbaarheden hebben een lagere impactscore. Palo Alto Networks heeft de drie beveiligingsbulletins vandaag van een update voorzien en meldt nu dat aanvallers de drie kwetsbaarheden combineren om zo kwetsbare firewalls aan te vallen. bron: https://www.security.nl

Verschillende kwetsbaarheden in UniFi Protect-camera's van fabrikant Ubiquiti en de bijbehorende applicatie maken remote code execution, het installeren van malafide firmware en het overnemen van de apparaten mogelijk. Er zijn updates uitgebracht om de problemen te verhelpen. Van de vijf kwetsbaarheden zijn er twee als kritiek aangemerkt. Het gaat als eerste om CVE-2025-23115, waardoor een aanvaller met toegang tot de camera willekeurige code kan uitvoeren. De impact van deze kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.0. Het tweede kritieke beveiligingslek, CVE-2025-23116, betreft een 'authentication bypass' en is aanwezig in de UniFi Protect-applicatie. Een aanvaller met toegang tot het netwerk van de camera's kan dit lek gebruiken om de apparaten 'volledig over te nemen', aldus de uitleg van Ubiquiti. De impactscore van deze kwetsbaarheid is vastgesteld op een 9.6. De overige drie kwetsbaarheden betreffen problemen bij het controleren van firmware-updates en certificaten en een tweede authentication bypass die tot remote code execution kan leiden. Gebruikers worden opgeroepen de laatste firmware te installeren. bron: https://www.security.nl

De Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert, waarschuwt organisaties voor het laten verlopen van belangrijke en gevoelige domeinnamen. Aanleiding is een waarschuwing van ICANN, de organisatie die onder andere verantwoordelijk is voor de verdeling van ip-nummers en domeinen. ICANN kwam een aantal weken geleden met een waarschuwing voor malafide Whois-servers. Via een Whois-server is het mogelijk om informatie over domeinnamen op te vragen, zoals contactgegevens van domeinnaamhouders en registratiedata van domeinnamen. Tot voor kort waren alle registry’s van generieke topleveldomeinen verplicht een Whois-server te onderhouden. Deze verplichting is sinds vorig jaar komen te vervallen als de betreffende registry gebruikmaakt van het Registration Data Access Protocol (RDAP). Via RDAP is het ook mogelijk om registratiegegevens van een domeinnaam op te vragen. "Veel registry’s haalden daarop hun Whois-servers offline, vaak uit kostenoverwegingen. De bijbehorende domeinnaam werd ook beëindigd. Deze opgeheven domeinnamen blijken nu te gebruiken als ‘rogue Whois-server’. Dat wil zeggen een malafide Whois-server op een legitiem domein, waarmee cybercriminelen valse gegevens kunnen tonen om bijvoorbeeld frauduleus SSL-certificaten voor phishingwebsites te verkrijgen", aldus SIDN. Vorig jaar lieten beveiligingsonderzoekers zien dat door het registreren van een verlopen Whois-domeinnaam allerlei informatie kan worden verkregen waarmee weer allerlei aanvallen mogelijk zijn. Volgens SIDN zijn de resultaten van het onderzoek pijnlijk, omdat er gebruik werd gemaakt van een eenvoudig te voorkomen kwetsbaarheid. "Als men de domeinnaam die bij de server hoorde had aangehouden. Registry’s horen als geen ander te weten welke risico’s het opheffen van gevoelige domeinnamen met zich meebrengt." SIDN geeft dan ook het advies om belangrijke domeinnamen nooit te laten verlopen, ook al zijn er geen diensten meer op actief. "Het veiligheidsrisico is te groot!" bron: https://www.security.nl

De backdoor die de Britse autoriteiten willen om zo toegang tot end-to-end versleutelde iCloud-back-ups te hebben bedreigt privacyrechten wereldwijd, zo stellen mensenrechtenbewegingen Amnesty International en Human Rights Watch. De organisaties reageren op berichtgeving dat de Britse autoriteiten aan Apple een Capability Notice (TCN) hebben gegeven, waarin ze eisen dat Apple toegang tot end-to-end versleutelde iCloud-back-ups biedt. Human Rights Watch (HRW) stelt dat als de berichten waar zijn, de Britse autoriteiten haar bevoegdheden ver te buiten gaan door toegang te willen tot de privédata van niet alleen mensen in het Verenigd Koninkrijk, maar van iedereen met een Apple-account. "Mensen vertrouwen op veilige en vertrouwelijke communicatie om hun rechten uit te oefenen. Toegang tot back-ups van apparaten is toegang tot je gehele telefoon, en sterke encryptie die toegang voorkomt zou de standaard moeten zijn", zegt HRW-onderzoeker Zach Campbell. De mensenrechtenbewegingen noemen de eis van de Britse autoriteiten om toegang tot versleutelde gebruikersdata te krijgen disproportioneel, omdat het de bescherming voor alle gebruikers verzwakt, niet alleen van degenen die van een misdrijf worden verdacht. Als Apple de eis zou inwilligen zou dit de privacyrechten van gebruikers wereldwijd schaden, zo benadrukken ze. "Staten hebben meer en meer krachtige juridische en technische tools tot hun beschikking en onderzoek laat zien dat ze die gebruiken tegen mensen die demonstreren en zich uitspreken, of alleen om wat ze vertegenwoordigen", zegt Joshua Franco van Amnesty International. "Sterke encryptie is één van de weinige beschermingen die we tegen dergelijke aanvallen hebben, en staten zouden bedrijven moeten aanmoedigen om betere bescherming van onze data en rechten aan te bieden, en geen backdoors te willen die mensen wereldwijd risico laten lopen." bron: https://www.security.nl

Juniper waarschuwt voor een kritieke kwetsbaarheid waardoor routers van het netwerkbedrijf op afstand door een ongeauthenticeerde aanvaller zijn over te nemen. Het bedrijf heeft noodpatches uitgebracht om het probleem, aangeduid als CVE-2025-21589, te verhelpen. Via de kwetsbaarheid kan een aanvaller de authenticatie omzeilen en volledige controle over het apparaat krijgen. Verdere details zijn niet gegeven. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het probleem speelt bij de Session Smart Router, Session Smart Conductor en WAN Assurance Managed Routers. Voor organisaties die gebruikmaken van WAN Assurance, waarbij de configuratie ook wordt beheerd, zullen de beschikbare updates automatisch worden geïnstalleerd. Juniper zegt dat het niet bekend is met actief misbruik van de kwetsbaarheid. bron: https://www.security.nl

Een kwetsbaarheid in OpenSSH maakt het mogelijk om een man-in-the-middle (mitm)-aanval op OpenSSH-clients uit te voeren. Er is een nieuwe versie uitgebracht om de kwetsbaarheid te verhelpen. Ook een beveiligingslek dat tot een denial of service kan leiden is opgelost. OpenSSH, ook bekend als OpenBSD Secure Shell, is een verzameling van netwerktools gebaseerd op het SSH-protocol, en laat gebruikers op een beveiligde manier op bijvoorbeeld servers inloggen of op afstand machines beheren. De mitm-kwetsbaarheid, aangeduid als CVE-2025-26465, doet zich alleen voor als de VerifyHostKeyDNS-optie staat ingeschakeld, wat standaard niet het geval is. Via de optie kan worden aangegeven of de key van de host wordt geverifieerd aan de hand van DNS- en SSHFP-records. Wanneer een kwetsbare client verbinding maakt met een server, kan een actieve man-in-the-middle-aanvaller de controle van de identiteit van de server omzeilen en zich zo als de server voordoen. Het probleem is al sinds december 2014 in OpenSSH aanwezig. De optie stond van september 2013 tot en met maart 2023 bij FreeBSD wel standaard ingeschakeld. Een andere kwetsbaarheid (CVE-2025-26466) maakt het daarnaast mogelijk om een denial of service-aanval op servers uit te voeren. Dit probleem bevindt zich augustus 2023 in de code. Beide kwetsbaarheden werden gevonden door onderzoekers van securitybedrijf Qualys. Beheerders worden opgeroepen om te updaten naar OpenSSH 9.9p2. bron: https://www.security.nl

Microsoft waarschuwt voor Mac-malware die zich via Xcode-projecten verspreidt en volgens het techbedrijf bij 'beperkte aanvallen' is ingezet. Xcode is een ontwikkelomgeving voor macOS waarmee ontwikkelaars Apple-gerelateerde software kunnen ontwikkelen. De malware, met de naam XCSSET, is in staat om op een besmet systeem cryptowallets, data uit Evernote, Notes, Skype, Telegram, QQ en WeChat, wachtwoorden, bestanden en systeeminformatie te stelen. Daarnaast kan de malware andere Xcode-projecten infecteren. De eerste versie van XCSSET werd in 2020 gedetecteerd. In 2021 werd bekend dat de malware een destijds onbekende kwetsbaarheid gebruikte om zonder interactie van gebruikers aanvullende permissies te krijgen, zoals bijvoorbeeld toegang tot de microfoon, webcam, volledige schijftoegang of de mogelijkheid om schermopnamen te maken. Vandaag meldt Microsoft op X dat het een nieuwe variant van de XCSSET-malware heeft ontdekt. Het gaat om de eerste nieuwe variant sinds 2022, aldus het bericht. De nieuwe variant is voorzien van verbeterde obfuscatie en manieren om op het systeem actief te blijven en nieuwe infectiestrategieën. Microsoft beschrijft deze nieuwe toevoegingen, maar geeft geen verdere details over de doelwitten of waar de malware precies is aangetroffen. Microsoft geeft ontwikkelaars het advies om altijd Xcode-projecten te inspecteren die zijn gedownload of gekloond van repositories, aangezien de malware zich via besmette projecten verspreidt. bron: https://www.security.nl

Privacy trekt overal aan het kortste eind, zo stelt beveiligingsexpert Bruce Schneier, die onder andere wijst naar massasurveillance door inlichtingendiensten, toenemend cloudgebruik en surveillance door smartphones en internet of things (IoT)-apparaten. Schneier werkte mee aan de creatie van verschillende cryptografische algoritmes, zoals Blowfish en Twofish. Daarnaast schreef hij verschillende boeken, waaronder Beyond Fear en Applied Cryptography. Verder was hij betrokken bij het onderzoeken van verschillende documenten van klokkenluider Edward Snowden en richtte verschillende securitybedrijven op. Tien jaar geleden schreef hij het boek 'Data and Goliath: The Hidden Battles to Collect Your Data and Control Your World'. Sinds 2015 is er echter weinig veranderd, merkt hij op. "De NSA - en hun tegenhangers wereldwijd, houden zich nog steeds zoveel ze kunnen bezig met massasurveillance", aldus Schneier tegenover The Register. Tegelijkertijd stelt de expert dat de informatieomgeving slechter is geworden. "De meeste van onze data bevindt zich in de cloud, waar bedrijven er eenvoudiger toegang toe hebben." Daarnaast zijn er nu ook veel meer IoT-apparaten dan tien jaar geleden, die ons volgens Schneier continu in de gaten houden. "En iedereen van ons draagt overal een zeer verfijnd surveillance-apparaat bij zich: onze smartphones. Waar je ook gaat, overal trekt privacy aan het kortste eind." Inmiddels is er wel wetgeving gekomen, maar dat zal het probleem niet meteen oplossen, aldus Schneier. "Surveillancekapitalisme is gewoon te diep geworteld als businessmodel en de grote techmonopolies hebben gewoon teveel macht om dat op korte termijn te veranderen." De expert merkt op dat het lastig is om op individueel niveau iets aan de situatie te doen. "Er zijn zeker bepaalde dingen die je kunt doen, maar ze helpen slechts een klein beetje. Ik kan je vertellen om geen smartphone bij je te dragen, geen e-mailadres te hebben en geen creditcard te gebruiken. Dat was in 2015 al dom advies en is nu nog veel dommer advies." Schneier zegt zelf geen clouddiensten te gebruiken, maar voegt toe dat dit steeds lastiger is omdat iedereen anders dat wel doet. Voor de toekomst verwacht Schneier dat dingen zullen verbeteren. "Ik kan me niet voorstellen dat we dit niveau van massasurveillance zullen hebben, of het nu door bedrijven of overheden is. In vijftig jaar tijd denk ik dat we deze werkwijzes zullen zien zoals we nu naar sweatshops kijken: als bewijs van ons minder ethisch verleden." Gezien hoe bedrijven en overheden van data profiteren is er voor hen geen prikkel om te veranderen en zal 'AI-technologie' het alleen maar erger maken, besluit Schneier. Vorig jaar waarschuwde expert nog dat de verwachting van privacy met elke generatie minder wordt. bron: https://www.security.nl

Het Nationaal Cyber Security Centrum (NCSC) waarschuwt organisaties voor aanvallen op filetransfer-applicaties, zoals uitgevoerd door de Cl0p-groep. Ook in Nederland zijn er slachtoffers van deze aanvallen, aldus de overheidsinstantie. Bij de aanvallen maakt de groepering misbruik van onbekende kwetsbaarheden in oplossingen voor het uitwisselen van bestanden, om vervolgens toegang tot de bestandsserver te krijgen en allerlei vertrouwelijke data te stelen. De gestolen gegevens worden vervolgens gebruikt om de betreffende organisatie mee af te persen. Zo werden in 2023 bijna 2800 organisaties slachtoffer van de Cl0p-groep, die toen misbruik maakte van een beveiligingslek in MOVEit Transfer. Daarbij werden gegevens van bijna 96 miljoen personen gestolen. Ook gebruikte de groep kwetsbaarheden in filetransfer-applicaties Accellion FTA en GoAnywhere MFT voor het stelen van data en afpersen van bedrijven. Eind vorig jaar sloeg de groep opnieuw toe, toen via kwetsbaarheden in de bestandsuitwisselingssoftware van softwarebedrijf Cleo. Via kwetsbaarheden in Cleo Harmony, Cleo VLTrader en Cleo LexiCom claimde de Cl0p-groep bij zeker zestig bedrijven en organisaties data te hebben buitgemaakt. "In deze campagnes heeft Cl0p een groot aantal slachtoffers gemaakt waaronder in Nederland tijdens de Accellion FTA-campagne en de MOVEit Transfer-campagne. De campagnes richten zich niet op specifieke landen of sectoren, maar zijn opportunistisch van aard", aldus het NCSC. Volgens de overheidsinstantie beschikt de groep over geavanceerde technieken. "Dat is onder andere af te leiden van het door de groep ontdekken van zeroday-kwetsbaarheden, het ontwikkelen van exploits en het inzetten van op de kwetsbaarheid en applicatie afgestemde webshells." Advies NCSC Het NCSC doet organisaties die met filetransfer-applicaties werken verschillende aanbevelingen. Zo moeten organisaties goed kijken welke applicaties vanaf internet benaderbaar moeten zijn. Ook wordt het gebruik van Access control lists (ACL) aangeraden. "Voer een strikte "default-deny" Access Control List (ACL) strategie in om uitgaand verkeer te beheersen. Zorg ervoor dat al het geweigerde uitgaande verkeer wordt gelogd, indien mogelijk, log ook de toegestane verbindingen." Verder adviseert het NCSC om continue monitoring van het eigen netwerk in te richten, om zo datadiefstal te kunnen detecteren en stoppen. Tevens wordt aangeraden om loggegevens veilig op te slaan en voor een langere periode te bewaren. "Een andere maatregel is het gebruik van kanarie-bestanden in uw authentieke documenten om op deze wijze data-exfiltratie te detecteren. Ten slotte raden we aan om indien mogelijk standaard internettoegang van servers te blokkeren of ten minste te beperken via een firewall." bron: https://www.security.nl

Thunderbird gaat vanaf volgende maand de 'desktop release' versie van de e-mailclient de standaard download maken. Het is de bedoeling dat dit jaar meer dan twee miljoen gebruikers van de software naar deze versie overstappen. Op dit moment maken zo'n dertigduizend mensen gebruik van 'desktop release' versie. Op dit moment biedt Thunderbird nog standaard de ESR-versie aan. ESR staat voor extended support release en betreft een versie die voornamelijk beveiligingsupdates en bugfixes ontvangt. Thunderbird blijft een bepaalde ESR-versie lange tijd ondersteunen. Grote nieuwe features worden alleen bij de overstap naar een nieuwe ESR-versie toegevoegd, wat volgens de ontwikkelaars ontwrichtend kan werken. Daarnaast moeten gebruikers soms lange tijd wachten om van nieuwe features gebruik te kunnen maken. Naast de ESR-versie is er ook de 'desktop release' versie van de e-mailclient. Deze versie wordt nagenoeg elke maand van nieuwe features voorzien, wat voor een soepelere transitie naar nieuwe features en versies moet zorgen, aldus de ontwikkelaars. Sinds vorig jaar oktober is de 'desktop release' op de downloadpagina van Thunderbird te vinden. Deze versie wordt sindsdien door zo'n dertigduizend mensen dagelijks gebruikt. De ESR-versie van Thunderbird heeft bijna 10,8 miljoen actieve installaties. Thunderbird wil nu de 'desktop release' een officieel ondersteund kanaal en de standaard download maken. De ontwikkelaars erkennen dat deze stap alleen er niet voor zal zorgen dat het aantal 'desktop release' gebruikers aanzienlijk zal groeien. Daarom wordt er ook naar andere manieren gekeken, zoals het laten zien van notificaties die ESR-gebruikers vragen om naar de 'desktop release' over te stappen. Voor dit jaar hebben de Thunderbird-ontwikkelaars zich als doel gesteld om het aandeel van 'desktop release' naar tenminste twintig procent van de actieve installaties te laten groeien, wat neerkomt op bijna 2,2 miljoen gebruikers. bron: https://www.security.nl

Er is een toename van aanvallen gericht tegen beveiligingscamera's van PTZOptics, zo meldt securitybedrijf Fortinet. Bij de aanvallen maken aanvallers misbruik van twee bekende kwetsbaarheden waardoor ze in het ergste geval op afstand volledige controle over de camera kunnen krijgen. De enige voorwaarde is dat de camera bereikbaar is voor de aanvaller. De kwetsbare beveiligingscamera's maken gebruik van VHD PTZ camera-firmware voor versie 6.3.40. De firmware wordt onder andere gebruikt in apparaten van PTZOptics, Multicam Systems SAS en SMTAV Corporation gebaseerd op de Hisilicon Hi3516A V600 SoC V60, V61 en V63 chips. De camera's, die in allerlei sectoren zoals gezondheidszorg, productie, bedrijfsleven en overheid worden gebruikt, beschikken over een ingebouwde webserver, zodat ze eenvoudig via een browser zijn te benaderen. De beveiligingslekken zorgen ervoor dat een aanvaller de apparaten op afstand kan overnemen. CVE-2024-8956 betreft een kritiek authenticatieprobleem. Een aanvaller kan door het versturen van speciaal geprepareerde requests gevoelige informatie opvragen, zoals gebruikersnamen, MD5-wachtwoordhashes en configuratiegegevens. Ook kan een aanvaller de configuratiewaardes aanpassen of het gehele bestand overschrijven. De impact van deze kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.1. Zodra de aanvaller via CVE-2024-8956 toegang heeft gekregen kan die CVE-2024-8957 gebruiken. Deze kwetsbaarheid maakt command injection mogelijk en zorgt ervoor dat de aanvaller willekeurige OS-commando's op de camera kan uitvoeren die tot remote code execution kunnen leiden, aldus Fortinet. Door de twee kwetsbaarheden te combineren kan een ongeauthenticeerde aanvaller op afstand volledige controle over de camera krijgen. Vorig jaar oktober waarschuwden securitybedrijven al voor actief misbruik van de kwetsbaarheden. Nu laat Fortinet weten dat het een piek in de aanvallen heeft waargenomen. "FortiGuard Labs heeft aanvallen waargenomen gericht tegen PTZOptics camera's, waarbij de FortiGuard-sensoren telemetrie van wel vierduizend apparaten detecteerden. Deze toename in activiteit laat de kwetsbaarheden zien die aanwezig zijn in deze apparaten, die eenvoudig door aanvallers zijn te misbruiken die ongeautoriseerde toegang willen, wat kan leiden tot het volledig overnemen van de camera, besmetting met bots, het aanvallen van andere apparaten in hetzelfde netwerk of het verstoren van de videofeeds", aldus Fortinet. bron: https://www.security.nl

Een besmette versie van databasesoftware BoltDB is drie jaar lang via de Go Module Proxy aangeboden, zo stelt securitybedrijf Socket op basis van eigen onderzoek. Duizenden packages in de Go-programmeertaal maken gebruik van BoltDB. Aanvallers besloten van deze populariteit misbruik te maken door een malafide versie van BoltDB te maken met de naam BoltDB-go. Net als bij andere programmeertalen is er ook een grote repository van allerlei Go-packages die ontwikkelaars kunnen downloaden. De aanvallers plaatsten de besmette versie op GitHub die daarna door de Go Module Proxy werd opgehaald. Deze proxydienst cachet en biedt Go-packages aan. Wanneer ontwikkelaars Go-packages via de command-line installeren of downloaden, gaat het request naar deze proxydienst. Nadat de malafide BoltDB-go door de proxydienst was gecachet wijzigden de aanvallers de tag in de repository en wezen naar een legitieme versie van BoltDB. Bij een inspectie zou de malware zo niet worden ontdekt, maar de proxydienst bleef ontwikkelaars die een typfout maakten de besmette versie aanbieden. De besmette versie bestond uit een legitieme versie van BoltDB en een backdoor waarmee aanvallers controle over het besmette systeem kunnen krijgen. Alleen ontwikkelaars die een typfout maakten of per ongeluk de verkeerde package kozen kregen de besmette versie. De besmette versie bleek sinds november 2021 in de cache van de Go Module Proxy te staan. Na de ontdekking door onderzoekers is die inmiddels verwijderd. bron: https://www.security.nl

De Duitse overheid heeft een audit gedaan van de opensourcesoftware van Nextcloud en daarbij meerdere kwetsbaarheden gevonden, waaronder een beveiligingslek dat het mogelijk maakte om de tweefactorauthenticatie te omzeilen. De gevonden problemen zijn inmiddels opgelost. Nextcloud is een oplossing voor het opslaan en delen van bestanden, vergelijkbaar met Dropbox en Google Drive. Voor het onderzoek keek het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, zowel naar de client- als serversoftware van Nextcloud. Een van de problemen betrof de 2FA-implementatie. Nextcloud biedt gebruikers de optie om met 2FA in te loggen. Door het onderscheppen en manipuleren van het 2FA-verificatieverzoek was het mogelijk om de controle te omzeilen. Een aanvaller die alleen over de inloggegevens van een gebruiker beschikte had zo toegang tot het account kunnen krijgen, ook al had de gebruiker 2FA ingeschakeld. Een ander probleem betrof het uitwisselen van bestanden tussen twee Nextcloud-installaties. Tussen de twee installaties vond geen authenticatie plaats. Wanneer Nextcloud-installatie A een bestand van installatie B ontvangt, kan installatie A niet verifiëren van wie het bestand van installatie B afkomstig is. Een gebruiker van installatie B kan zo een bestand met een gebruiker van installatie A delen en zich daarbij voordoen als een andere gebruiker van installatie B. Verder ontdekten de onderzoekers een manier om via de applicatie 'External Storage Support' inloggegevens van gebruikers te stelen. Meer gevonden kwetsbaarheden zijn in het openbaar gemaakt auditrapport te vinden. De Duitse autoriteiten rapporteerden alle gevonden problemen aan Nextcloud, waarna de ontwikkelaars met een oplossing kwamen. De audit was onderdeel van een project genaamd Code Analysis of Open Source Software (CAOS). Op deze manier wil de Duitse overheid naar eigen zeggen het vertrouwen in opensourcesoftware vergroten. Eerder werden ook software van Bitwarden, Vaultwarden en KeePass onder de loep genomen. bron: https://www.security.nl