Captain Kirk

Let's Encrypt stopt volgend jaar augustus met de support van het Online Certificate Status Protocol (OCSP), zo heeft de certificaatautoriteit aangekondigd. Het einde van de ondersteuning vindt gefaseerd plaats. Volgens Let's Encrypt is de voornaamste reden om met de OCSP-support te stoppen dat het een aanzienlijk risico voor de privacy op internet vormt. Tls-certificaten, zoals Let's Encrypt uitgeeft, zorgen voor een versleutelde verbinding tussen website en bezoekers en maken het mogelijk om websites te identificeren. Vertrouwen in deze certificaten is dan ook belangrijk. Wanneer een certificaat niet meer is te vertrouwen, bijvoorbeeld door een incident zoals bij DigiNotar, kan het tls-certificaat worden ingetrokken. Deze informatie moet vervolgens aan de browser van gebruikers worden gecommuniceerd. Hiervoor zijn Certificate Revocation Lists (CRLs) en het Online Certificate Status Protocol (OCSP) bedacht. CRLs zijn eigenlijk gewoon lijsten met alle ingetrokken certificaten van een bepaalde certificaatautoriteit. Dergelijke lijsten zijn dan ook vaak zeer groot en daardoor inefficiënt om te downloaden als de browser één specifiek certificaat van een bezochte website wil controleren. Als alternatief werd OCSP ontwikkeld. Hierbij wordt alleen het certificaat van de bezochte website gecontroleerd. De browser moet hiervoor wel verbinding met een OCSP-server kunnen maken. Wanneer de browser geen antwoord ontvangt zal die in veel gevallen het certificaat in kwestie gewoon accepteren. Aanvallers kunnen hier misbruik van maken door al het verkeer naar de OCSP-server te blokkeren. Doordat de browser voor elke bezochte website een OCSP-request verstuurt kan een malafide of gedwongen certificaatautoriteit die de OCSP responder beheert daarnaast bijhouden welke websites iemand vanaf een bepaald ip-adres bezoekt. "Zelfs wanneer een certificaatautoriteit deze informatie niet bewaart, zoals het geval is met Let's Encrypt, kunnen certificaatautoriteiten juridisch worden gedwongen dit te doen. Dit speelt niet bij CRLs", zegt Josh Aas van de Internet Security Research Group (ISRG), de organisatie achter Let's Encrypt. Daarnaast wordt de OCSP-support uitgefaseerd om de infrastructuur van Let's Encrypt zo eenvoudig mogelijk te houden, voegt Aas toe. Het ondersteunen van OCSP zou 'aanzienlijke middelen' kosten die de certificaatautoriteit liever aan andere onderdelen uitgeeft. Aas roept alle organisaties en partijen op die van OCSP-services gebruikmaken om deze afhankelijkheid zo snel mogelijk af te bouwen. Let's Encrypt zal het einde van de support gefaseerd laten plaatsvinden. Zo wordt vanaf januari de support van 'OCSP Must-Staple requests' gestopt. Vanaf 7 mei zullen er geen OCSP URL's meer aan uitgegeven certificaten worden toegevoegd. Op 6 augustus schakelt Let's Encrypt de eigen OCSP responders uit. "CRLs worden breed door browsers ondersteund en kunnen privacyvoordelen aan alle sites bieden, zonder dat hiervoor een speciale webserverconfiguratie is vereist", aldus Aas. bron: https://www.security.nl

Een securitybedrijf heeft proof-of-concept exploitcode gepubliceerd waarmee Mitel MiCollab-servers zijn over te nemen. De exploit maakt gebruik van twee kwetsbaarheden. Voor één van de beveiligingslekken is nog geen update beschikbaar. Mitel MiCollab is een communicatieplatform dat 'voice, video, chat, sms, webconferencing en team collaboration tools' combineert. Er zouden meer dan zestienduizend MiCollab-servers vanaf het internet benaderbaar zijn. In mei van dit jaar kwam Mitel met een beveiligingsupdate voor een kritieke SQL Injection-kwetsbaarheid (CVE-2024-35286). Onderzoekers van securitybedrijf watchTowr wilden zien of ze het beveiligingslek konden reproduceren. De manier waarop de onderzoekers dit deden leverde een nieuwe kwetsbaarheid op, aangeduid als CVE-2024-41713. Het ging om een kritiek path traversal-lek waardoor een ongeauthenticeerde aanvaller op afstand ongeautoriseerde 'administrative actions' op de server kan uitvoeren. Mitel kwam op 9 oktober met een beveiligingsupdate voor dit probleem. Tijdens verder onderzoek naar het platform ontdekten de onderzoekers dat het mogelijk is voor een geauthenticeerde gebruiker om allerlei war-bestanden van Apache Tomcat te benaderen. Via één van deze bestanden bleek het mogelijk om allerlei willekeurige bestanden op de MiCollab-server te lezen. Deze kwetsbaarheid werd op 26 augustus gerapporteerd, maar Mitel heeft het probleem nog altijd niet verholpen. Een update zou in de eerste week van december moeten verschijnen, maar is nog altijd niet beschikbaar. De onderzoekers merken op dat het beveiligingslek alleen door een geauthenticeerde gebruiker is te misbruiken. Ze hebben nu proof-of-concept exploitcode gepubliceerd die CVE-2024-41713 en de Arbitrary File Read kwetsbaarheid, die nog geen CVE-nummer heeft, combineert. bron: https://www.security.nl

Een bootloader-kwetsbaarheid in de Cisco NX-OS software raakt meer dan honderd modellen Nexus-, MDS- en UCS-switches, zo waarschuwt het netwerkbedrijf, dat updates beschikbaar heeft gesteld om het probleem te verhelpen. Via het beveiligingslek kan een ongeauthenticeerde aanvallen met fysieke toegang tot een kwetsbare switch of een geauthenticeerde lokale aanvaller met admin-inloggegevens, de NX-OS image signature verification omzeilen. Deze controle moet ervoor zorgen dat alleen geverifieerde software images door de switch worden geladen. Een aanvaller die de controle kan omzeilen kan zo ongeverifieerde software images laden. Volgens Cisco wordt de kwetsbaarheid veroorzaakt door onveilige bootloader-instellingen. "Een aanvaller kan deze kwetsbaarheid misbruiken door een aantal bootloader-commando's uit te voeren", aldus de uitleg in het beveiligingsbulletin. De impact van de kwetsbaarheid, aangeduid als CVE-2024-20397, is op een schaal van 1 tot en met 10 beoordeeld met een 5.2. "Het beveiligingslek raakt de volgende Cisco-producten als die een versie van Cisco NX-OS software draaien die een kwetsbare BIOS-versie bevat, ongeacht de apparaatconfiguratie", laat Cisco verder weten. Het gaat om switches in de volgende series: MDS 9000, Nexus 3000, 7000 en 9000 en UCS 6400 en 6500. Bij elkaar gaat het om meer dan honderd kwetsbare modellen. bron: https://www.security.nl

Antivirusbedrijf Kaspersky heeft de IDA Pro plug-in die het gebruikt voor het reverse engineeren van malware open source gemaakt en de broncode op GitHub gepubliceerd. IDA Pro is een tool voor het analyseren van software door middel van reverse engeering. Het wordt onder andere vaak gebruikt bij het onderzoeken van malware. Voor de tool zijn allerlei plug-ins beschikbaar. Kaspersky ontwikkelde in 2016 een eigen plug-in genaamd hrtng. Het betreft een fork van de hexrays_tools plug-in. Sindsdien heeft Kaspersky naar eigen zeggen allerlei features aan de plug-in toegevoegd die ontbreken in IDA Pro, zoals string decryptie en het decompileren van obfuscated assemblies. Onlangs besloot Kaspersky hrtng open source te maken en de broncode onder de GPLv3-licentie via GitHub aan te bieden. Het antivirusbedrijf heeft nu een blogposting gemaakt waarin het uitlegt hoe de plug-in het eenvoudiger voor malware-analisten kan maken om complexe malware-exemplaren te reverse engineeren. bron: https://www.security.nl

De Japanse hardwarefabrikant I-O Data waarschuwt voor actief misbruik van kwetsbaarheden in twee type hybride LTE (Long-Term Evolution) routers waardoor aanvallers het apparaat op afstand kunnen overnemen en updates om de problemen te verhelpen zijn nog niet beschikbaar. Details over de aanvallen zelf zijn niet gegeven. Het Japanse Computer Emergency Response Team Coordination Center (JPCERT/CC) heeft vandaag ook een waarschuwing gegeven. De twee kwetsbare hybride LTE-routers zijn de UD-LT1 en UD-LT1/EX. Beide apparaten ondersteunen 3G en 4G/LTE alsmede 'vaste lijnen'. Ze zijn onder andere ontworpen om op afgelegen locaties en onbemande plekken te worden gebruikt, aldus de uitleg van de fabrikant. De routers bieden daarnaast vpn-functionaliteit. De routers bevatten drie kwetsbaarheden waardoor verschillende aanvallen mogelijk zijn. Een aanvaller die het guest-account kent kan een specifiek bestand op de router met inloggegevens stelen. Een tweede kwetsbaarheid laat een aanvaller met adminrechten OS-commando's op de router uitvoeren. Het derde beveiligingslek laat een remote aanvaller de firewall uitschakelen. Vervolgens is het mogelijk om OS-commando's uit te voeren of de configuratie-instellingen aan te passen. Firmware-updates om de problemen te verhelpen staan gepland voor 18 december. Als tijdelijke workaround wordt aangeraden bepaalde instellingen aan te passen. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om twee versies van de Solana Web3.js JavaScript-library van een backdoor te voorzien die private keys van gebruikers steelt en cryptowallets kan legen. Er is inmiddels een versie zonder backdoor verschenen en Solana app-ontwikkelaars worden opgeroepen naar de laatste versie (1.95.8) te upgraden. Solana is een blockchainplatform ontwikkeld voor het ondersteunen van smart contracts en decentralized apps (dapps). Door middel van de Solana JavaScript SDK, waar de gecompromitteerde library onderdeel van is, kunnen ontwikkelaars Solana-apps ontwikkelen. Aanvallers hebben aan versies 1.95.6 en 1.95.7 van de library een backdoor toegevoegd waarmee private keys zijn te stelen en het mogelijk is om geld van dapps te stelen. Hoe de backdoor kon worden toegevoegd is niet bekendgemaakt. De malafide versies waren een aantal uur te downloaden voordat ze offline werden gehaald. Cryptobeurs Binance laat weten dat er geen grote wallets zijn getroffen, maar er wel meerdere incidenten zijn gemeld. GitHub waarschuwt in een advisory dat elke computer waarop de betreffende package is geïnstalleerd als volledig gecompromitteerd moet worden beschouwd. Alle keys en andere secrets op de machine moeten meteen worden gewijzigd. Tevens stelt GitHub dat alleen het verwijderen van de besmette packages geen garantie is dat alle malware die als gevolg ervan is geïnstalleerd ook wordt verwijderd. bron: https://www.security.nl

Verschillende modellen indoor wifi-beveiligingscamera's van fabrikant Lorex zijn via een kritieke kwetsbaarheid op afstand over te nemen. De fabrikant heeft firmware-updates uitgebracht om het probleem te verhelpen. Inmiddels is ook proof-of-concept exploitcode beschikbaar, zo meldt securitybedrijf Rapid7 dat het beveiligingslek ontdekte en rapporteerde. Lorex biedt verschillende beveiligingscamera's voor binnen. Verschillende kwetsbaarheden maken het mogelijk voor een ongeauthenticeerde aanvaller om op afstand een root shell op de apparaten te krijgen. Het gevaarlijkste beveiligingslek wordt aangeduid als CVE-2024-52544. Hierdoor kan een ongeauthenticeerde aanvaller op afstand het adminwachtwoord resetten. De impact van dit lek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Zodra de aanvaller toegang heeft kan die via een andere kwetsbaarheid (CVE-2024-52547) een buffer overflow veroorzaken en zo OS-commando's met rootrechten uitvoeren. Een derde kwetsbaarheid in de kernel (CVE-2024-52548) maakt het mogelijk om de 'code signing enforcements' te omzeilen en willekeurige 'native code' uit te voeren. De kwetsbaarheden zijn aanwezig in negen verschillende modellen van de Lorex 2K Indoor Wi-Fi Security Camera. Lorex werd op 29 oktober over de kwetsbaarheden ingelicht en kwam op 25 november met firmware-updates. Gebruikers van de camera's die de Lorex-app openen krijgen een melding van een firmware-update. De update moet geaccepteerd worden. Het is niet mogelijk die te weigeren of uit te stellen, aldus de fabrikant. Rapid7 heeft nu details over de kwetsbaarheden en broncode van de exploit chain openbaar gemaakt. bron: https://www.security.nl

Aanvallers maken actief misbruik van een path traversal-lek in firewalls van fabrikant Zyxel, zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Onlangs kwam ook Zyxel al met een waarschuwing dat kwetsbare firewalls het doelwit van ransomware-aanvallen zijn. Details over de bij deze aanvallen gebruikte kwetsbaarheden werden in eerste instantie niet door Zyxel gegeven. De fabrikant kwam onlangs met een update, gevolgd door de waarschuwing van het CISA. Het beveiligingslek dat de aanvallers gebruiken wordt aangeduid als CVE-2024-11667 en betreft een path traversal-kwetsbaarheid. Via het beveiligingslek kan een aanvaller via een speciaal geprepareerde URL bestanden uploaden en downloaden, aldus de uitleg. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 7.5. Het probleem is aanwezig in de Zyxel ZLD firewall firmware versies 5.00 tot en met 5.38. Gebruikers en beheerders worden aangeraden om te updaten naar versie 5.39 of nieuwer waarin het probleem is verholpen. Bij path traversal krijgt een aanvaller door het aanpassen van gebruikersinvoer toegang tot directories en bestanden waar hij eigenlijk geen toegang toe zou moeten hebben. Path traversal is al een zeer oud en bekend probleem. De FBI en het CISA deden onlangs een oproep aan softwareontwikkelaars om een einde aan path traversal te maken. bron: https://www.security.nl

De Belgische overheid waarschuwt ouders in de aanloop naar Sinterklaas voor de risico's van met internet verbonden speelgoed. "Achter hun verleidelijke eigenschappen schuilen potentiële risico's voor de privacy en veiligheid van gebruikers, vooral van de allerkleinsten", aldus Safeonweb, een initiatief van het Centrum voor Cybersecurity België (CCB), de nationale autoriteit voor cyberveiligheid in België. Volgens Safeonweb verzamelt veel met internet verbonden speelgoed persoonlijke gegevens. Het zou dan gaan om stemopnames, video's, locatiegegevens of informatie over de gewoonten van een kind. "Slecht beveiligd, kunnen deze gegevens in de verkeerde handen vallen." Andere risico's die worden genoemd is dat verzamelde gegevens voor gerichte reclame zijn te gebruiken en dat slecht beveiligd speelgoed het mogelijk maakt voor kwaadwillenden om gesprekken af te luisteren of speelgoed op afstand te bedienen. De Belgische overheidsinstantie adviseert ouders om voor de aanschaf goed de reputatie van de speelgoedfabrikant te controleren. Daarnaast moet het privacybeleid zorgvuldig worden gelezen en gekozen worden voor speelgoed dat geregeld beveiligingsupdates ontvangt. Tevens geeft Safeonweb het advies standaard wachtwoorden te wijzigen, onnodige opties zoals geolocatie uit te schakelen en het online gedrag van kinderen in de gaten te houden. bron: https://www.security.nl

Een beveiligingsonderzoeker heeft software ontwikkeld om te demonstreren dat malware het indicatielampje van de webcam kan uitschakelen om gebruikers zo onopgemerkt te filmen. Fysieke toegang tot het systeem is daarbij niet vereist. Al meer dan tien jaar geleden werd er bericht dat de FBI webcams via malware ongezien kan aanzetten. Security-engineer Andrey Konovalov gaf eerder deze maand tijdens een beveiligingsconferentie in Seoul een presentatie over zijn onderzoek en software (pdf). De software van Konovalov reflasht de firmware van de webcam, waardoor het indicatielampje door een aanvaller is te bedienen. Die kan zo het lampje uitschakelen en toch opnames met de webcam maken. Voor zijn demonstratie gebruikte de engineer zijn ThinkPad X230, maar hij merkt op dat de manier om de firmware te flashen zeer waarschijnlijk ook bij tal van andere laptops en merken werkt. "Een sticker op de webcam van je laptop plakken is niet zo paranoïde", sloot Konovalov zijn presentatie af. Het werk van de engineer zorgde voor meer dan vijfhonderd reacties op Hacker News. bron: https://www.security.nl

Het Tor Project heeft het publiek gevraagd om het opzetten van WebTunnel bridges, om zo online overheidscensuur te omzeilen. WebTunnel bridges nemen het Tor-verkeer en vermommen dat als gewoon webverkeer. Dagelijks maken miljoenen mensen gebruik van het Tor-netwerk om hun privacy te beschermen, maar ook om websites te bezoeken die in het land van herkomst worden geblokkeerd. Het Tor-netwerk bestaat uit allerlei servers van vrijwilligers die het verkeer van Tor-gebruikers verwerken. Zo is de eerste server de entry guard, die het verzoek van de Tor-gebruiker naar de relay-node doorstuurt. Vervolgens gaat het van deze server naar de exitnode, die het verzoek naar het internet stuurt. De servers waar het Tor-netwerk uit bestaat zijn openbaar. Regimes die niet willen dat hun bevolking van het Tor-netwerk gebruikmaakt kunnen de ip-adressen van al deze servers blokkeren. Om dergelijke blokkades te omzeilen zijn er "Tor-bridges". Dit zijn privé Tor-servers die als springplank dienen om toegang tot het Tor-netwerk te krijgen. Niet alleen zijn de Tor-bridges privé, ze kunnen ook hun netwerkverkeer aanpassen waardoor het lastig is om te zien dat iemand van Tor gebruikmaakt. Een deel van de huidige Tor Bridges wordt gehost bij bekende hostingproviders. Volgens het Tor Project heeft de Russische telecomtoezichthouder Roscomnadzor internetproviders in het land opgedragen sommige van deze providers te blokkeren, waardoor ook de Tor Bridges niet meer toegankelijk zijn. Daarnaast worden ook bekende Tor-servers actief geblokkeerd, aldus de organisatie. Om ervoor te zorgen dat Tor-gebruikers in het land toch het netwerk kunnen gebruiken zijn WebTunnel bridges nu dringend nodig, zegt Gustavo Gus van het Tor Project. Doordat de bridges het verkeer als normaal internetverkeer doen lijken is het veel moeilijker te blokkeren. Gus roept mensen op een WebTunnel bridge te hosten. Het doel is dat er eind december tweehonderd nieuwe bridges bij zijn gekomen. Wie vijf of meer bridges host krijgt een T-shirt. bron: https://www.security.nl

Microsoft heeft een beveiligingsupdate voor een spoofinglek in Exchange Server opnieuw uitgerold, nadat het de patch eerder wegens problemen had teruggetrokken. De kwetsbaarheid (CVE-2024-49040) laat een aanvaller spoofingaanvallen tegen Exchange-servers uitvoeren. Op 12 november kwam Microsoft met een update die het beveiligingslek niet verhelpt, maar gebruikers bij een vermoedelijke spoofingaanval een waarschuwing toont. Het beveiligingslek wordt veroorzaakt door de huidige implementatie van de 'P2 FROM header verificatie', die tijdens het e-mailtransport plaatsvindt. De P2 FROM header in een e-mail is onderdeel van de message header die in de e-mailclient van de ontvanger wordt weergegeven. "De huidige implementatie laat sommige non-RFC 5322 compliant P2 FROM headers door, wat ervoor kan zorgen dat de e-mailclient (bijvoorbeeld Microsoft Outlook), een vervalste afzender als legitiem weergeeft", aldus de uitleg van Microsoft. Twee dagen na het uitbrengen van de update besloot Microsoft op 14 november die wegens problemen terug te trekken. Klanten hadden geklaagd dat na de installatie van de update ingestelde transport rules stopten met werken, wat ervoor zorgde dat e-mail niet meer werd afgeleverd. Microsoft heeft het probleem met de update verholpen en biedt die nu weer aan. Daarbij worden alle organisaties aangeraden de nieuwe versie van de patch te installeren, ook als ze bij installatie van de eerste versie niet met problemen te maken kregen. bron: https://www.security.nl

Mozilla heeft na vier jaar besloten om over te stappen op .tar.xz packaging voor Linux-versies van Firefox, wat ervoor moet zorgen dat nieuwe versies sneller zijn te downloaden en installeren. Op dit moment maakt Mozilla voor het comprimeren en uitpakken van de Firefox-installatie nog gebruik van .tar.bz2 packaging. De overstap naar tar.xz zou voor kleinere bestanden en snellere installaties moeten zorgen. Mozilla stelt dat .tar.xz packages gemiddeld 25 procent kleiner zijn dan hun .tar.bz2 tegenhangers. Daarnaast pakt .tar.xz twee keer zo snel uit als tar.bz2, aldus de Firefox-ontwikkelaar. Een ander bekend algoritme voor het inpakken en uitpakken van bestanden is het Zstandard (.zst) algoritme. Mozilla erkent dat dit algoritme sneller bestanden uitpakt dan .tar.xz, maar er voor de laatste is gekozen omdat die bestanden beter kan comprimeren wat daardoor bandbreedte bespaart. Een ander punt dat Mozilla noemt is dat .tar.xz breed onder Linux-systemen wordt ondersteund. Firefox-gebruikers op Linux hoeven geen actie te ondernemen voor de overstap. Op dit moment wordt .tar.xz packaging alleen in de Firefox Nightly testversie voor Linux toegepast. Het doel is om het vanaf Firefox 135 ook de in standaardversie te gebruiken. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in ProjectSend, een webapplicatie voor het uitwisselen van bestanden en een groot aantal servers is kwetsbaar, zo meldt securitybedrijf VulnCheck. Een beveiligingsupdate voor de kwetsbaarheid (CVE-2024-11680) is sinds 3 augustus beschikbaar. ProjectSend is een applicatie die op een webserver wordt geïnstalleerd. Vervolgens is het mogelijk om via de applicatie bestanden naar de server te uploaden en die met anderen te delen. Een 'improper authentication' kwetsbaarheid maakt het mogelijk voor ongeauthenticeerde aanvallers om op afstand een HTTP-request naar de applicatie te sturen, waarmee de configuratie is aan te passen (pdf). Vervolgens kunnen aanvallers zo zelf accounts aanmaken en webshells uploaden om toegang tot de server te behouden en verdere aanvallen uit te voeren. Daarnaast is het embedden van malafide JavaScript mogelijk. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. ProjectSend kwam op 3 augustus met versie r1720 waarin de kwetsbaarheid is verholpen. Eind augustus en begin september verschenen op internet exploits om misbruik van het beveiligingslek te maken en inmiddels is ook daadwerkelijk misbruik waargenomen, aldus VulnCheck. Volgens securitybedrijf Censys zijn meer dan vierduizend ProjectSend-servers vanaf internet toegankelijk. Onderzoekers van VulnCheck ontwikkelden een scanner om de versie van toegankelijke servers te controleren. Daaruit blijkt dat slechts één procent versie r1720 draait. De overige servers maken gebruik van een kwetsbare versie. bron: https://www.security.nl

Onderzoekers van antivirusbedrijf ESET hebben naar eigen zeggen de eerste proof of concept UEFI-bootkit voor Linux ontdekt. Het hoofddoel van de bootkit is het uitschakelen van de signature verification feature van de Linux-kernel en het vooraf laden van twee nog onbekende ELF-binaries via het Linux “init”-proces, het eerste proces dat de Linux-kernel uitvoert tijdens het opstarten van het systeem. De Unified Extensible Firmware Interface (UEFI) zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Wanneer malware de firmware weet aan te passen kan dit grote gevolgen voor de veiligheid van het systeem hebben. Een bootkit kan code op UEFI-niveau uitvoeren en het besturingssysteem aanpassen voordat het is geladen. De bootkit, met de naam Bootkitty, ondersteunt op het moment alleen een aantal Ubuntu-versies. De malware werd geüpload naar Googles online virusscandienst VirusTotal en kwam zo bij de onderzoekers terecht. Bootkitty is gesigneerd door een zelfondertekend certificaat en kan dus niet worden uitgevoerd op systemen waarop UEFI Secure Boot standaard is ingeschakeld. De bootkit is ontworpen om de Linux-kernel naadloos op te starten, of UEFI Secure Boot nu is ingeschakeld of niet, omdat het in het geheugen de noodzakelijke functies patcht die verantwoordelijk zijn voor integriteitsverificatie, nog voordat de GRUB-bootloader wordt gestart. "De bootkit is een geavanceerde rootkit die de bootloader kan vervangen en de kernel kan patchen voordat deze wordt uitgevoerd", aldus de onderzoekers. Via de bootkit kunnen aanvallers volledige controle over het getroffen systeem krijgen, omdat het opstartproces wordt overgenomen en het mogelijk is malware uit te voeren nog voordat het besturingssysteem is opgestart. Tijdens de analyse werd een mogelijk gerelateerde niet-ondertekende kernelmodule ontdekt die mogelijk door dezelfde auteur is ontwikkeld. Deze module laadt een andere, voor de onderzoekers nog onbekende kernelmodule. Op basis van de werking van de bootkit, waaronder het crashen van systemen, denken de onderzoekers dat het hier om een proof of concept gaat. ESET heeft de malware nog niet in het wild aangetroffen. De virusbestrijder merkt op dat Bootkitty op dit moment geen echte bedreiging voor Linux-systemen vormt, maar de ontdekking een interessante ontwikkeling is. bron: https://www.security.nl

Twee kwetsbaarheden in de vpn-software van SonicWall en Palo Alto Networks maken het mogelijk voor aanvallers om via een malafide vpn-server bij gebruikers malware te installeren als die verbinding met de server maken, zo laten onderzoekers van securitybedrijf AmberWolf weten. Beide bedrijven hebben inmiddels beveiligingsupdates voor de kwetsbaarheden (CVE-2024-29014 en CVE-2024-5921) uitgebracht. In het geval van SonicWall bevindt de kwetsbaarheid zich in de SonicWALL NetExtender vpn-client voor Windows versie 10.2.339. De software laat gebruikers verbinding met een vpn-server maken. De kwetsbaarheid (CVE-2024-29014) maakt het mogelijk voor een aanvaller om malafide updates naar gebruikers te sturen als die verbinding met een malafide vpn-server maken. Een aanvaller zou dit bijvoorbeeld door middel van social engineering kunnen doen. Zodra de gebruiker verbonden met de malafide vpn-server is kan de aanvaller een malafide update naar de gebruiker sturen. De enige voorwaarde is dat de 'update' gesigneerd is met een geldig code-signing certificaat. Dergelijke certificaten kunnen aanvallers bij derde partijen stelen of zelf aanschaffen. Vervolgens is het mogelijk om code op het systeem van de gebruiker met SYSTEM-rechten uit te voeren. Een andere aanvalsvector is via de SonicWall SMA Connect Agent die op basis van web-requests de vpn-client kan starten. Zodra de gebruiker een malafide website bezoekt kan die een request versturen waardoor de SMA Connect Agent verbinding met de malafide vpn-server maakt en de aanvaller de update naar het systeem van de gebruiker kan sturen, zo stellen de onderzoekers in hun analyse. De kwetsbaarheid in de GlobalProtect vpn-client van Palo Alto Networks is ook door middel van een malafide update te misbruiken. Wederom moet een gebruiker eerst met de vpn-server van de aanvallers verbinding maken. Vervolgens zijn zowel macOS- als Windows-gebruikers van de software aan te vallen. Een aanvaller kan daarna inloggegevens stelen, willekeurige code met verhoogde rechten uitvoeren en een malafide rootcertificaat installeren, wat verdere aanvallen mogelijk maakt. De onderzoekers van AmberWolf gaven onlangs een presentatie over de twee kwetsbaarheden en maakten een opensourcetool genaamd NachoVPN beschikbaar, waarmee de aanvallen zijn uit te voeren. bron: https://www.security.nl

Mozilla heeft een nieuwe versie van Firefox uitgebracht die is voorzien van bounce tracking protection, om zo deze manier van tracking tegen te gaan. Bounce tracking protection is een trackingmethode waarbij een gebruiker op een link klinkt en vervolgens via een trackingpagina bij de uiteindelijke bestemming komt. Omdat eerst de trackingpagina wordt bezocht kunnen trackers 'first-party cookies' plaatsen en lezen die niet door de browser geblokkeerd worden, in tegenstelling tot zogenoemde third-party cookies waarbij dit wel het geval is. Een gebruiker zit bijvoorbeeld op de website rabbits.example en klikt op een link naar turtles.example. De tracker die op de eerstgenoemde website actief is wijzigt op het laatste moment de link naar tracker.example. De gebruiker komt zo eerst uit op de trackingsite, die de gebruiker vervolgens doorstuurt naar turtles.example. Zo weet de trackingsite dat de betreffende gebruiker interesse in konijnen en schildpadden heeft. Wanneer tracker.example zichzelf maar vaak genoeg bij het browsen van de gebruiker weet te injecteren, kan er een uitgebreid profiel van hem worden gemaakt. Firefox biedt standaard 'Enhanced Tracking Protection' (ETP) waarmee het zaken als trackers en cross-site cookies blokkeert om tracking tegen te gaan. Bounce tracking protection is nu toegevoegd aan het strengste niveau van ETP, de zogenoemde 'Strict' mode. Eenmaal actief zal bounce tracking protection periodiek de cookies en site data van bounce trackers verwijderen om zo tracking tegen te gaan. Bounce tracking protection is beschikbaar in Firefox 133. Updaten kan via de automatische updatefunctie en Mozilla.org. bron: https://www.security.nl

Aanvallers hebben een kwetsbaarheid in Mozilla Firefox en Windows gecombineerd voor het automatisch infecteren van gebruikers met een backdoor, zo laat antivirusbedrijf ESET weten. Op het moment van de aanvallen waren er geen beveiligingsupdates voor de kwetsbaarheden beschikbaar. Mozilla werd op 8 oktober over het beveiligingslek ingelicht en kwam op 9 oktober met een patch voor Firefox. Het onderzoek naar de kwetsbaarheid in Firefox (CVE-2024-9680) leverde een tweede aangevallen kwetsbaarheid op die zich in Windows bevond (CVE-2024-49039). Microsoft werd op 14 oktober ingelicht en verhielp het probleem op 12 november. De aanvallen begonnen met een malafide website die slachtoffers naar een exploitserver stuurde. Was de aanval succesvol, dan werd er shellcode uitgevoerd die de uiteindelijke backdoor op het systeem van de gebruiker installeerde. Het beveiligingslek in Firefox maakte het mogelijk voor aanvallers om code binnen de browser uit te voeren. Firefox maakt gebruik van een sandbox, om te voorkomen dat kwetsbaarheden in de browser een aanvaller meteen toegang tot het hele systeem geven. Het beveiligingslek in Windows maakte het mogelijk om uit de sandbox van de browser te breken en zo code op het systeem uit te voeren. Het beveiligingslek in de Task Scheduler van Windows is alleen te misbruiken door een aanvaller die al toegang tot het systeem heeft. Van 10 tot 16 oktober, net nadat de Firefox-kwetsbaarheid was gepatcht, ontdekten onderzoekers van ESET andere servers waarop de exploit draaide. Eenmaal actief kan de backdoor wachtwoorden, cookies en andere inloggegevens stelen, alsmede allerlei soorten bestanden, screenshots maken en gebruikt worden voor het aanvallen van andere systemen. Volgens het antivirusbedrijf bevinden de meeste potentiële slachtoffers zich in Europa en de Verenigde Staten. De aanval is het werk van een aan Rusland gelieerde groep die zich met cybercrime en spionage bezighoudt, aldus ESET. bron: https://www.security.nl

Microsoft zou Word- en Excel-documenten van gebruikers gebruiken voor het trainen van 'AI', zo stelt een Canadese auteur. Het techbedrijf ontkent dit. Op 14 november schreef Dr. Casey Lawrence in een blogpost op Medium met de titel 'MS Word is Using You to Train AI' dat Microsoft een feature in Office heeft ingeschakeld die Word- en Exel-documenten scrapet voor het trainen van "interne AI-systemen". Een aantal dagen eerder was hier op Facebook voor gewaarschuwd, waarna het bericht in de 'writers community' circuleerde. Lawrence wijst in haar blogposting ook naar het in september 2024 bijgewerkte privacybeleid van Microsoft. Daarin staat dat het techbedrijf persoonlijke data voor het trainen van AI kan gebruiken. De feature in kwestie wordt 'Connected experiences' genoemd. Dit zijn 'experiences' die content van de gebruiker analyseren voor het doen van aanbevelingen, suggesties, inzichten en soortgelijke features, aldus de uitleg van Microsoft. In het privacybeleid wordt Connected experiences niet expliciet genoemd. Het bericht op Medium werd door een X-gebruiker genaamd nixCraft onder meer dan 374.000 volgers verspreid en zo door allerlei media opgepikt. In een reactie op het bericht van nixCraft laat Microsoft weten dat het in Microsoft 365-apps geen klantdata gebruikt om large language models (LLMs) te trainen. De instelling is volgens Microsoft nodig om features mogelijk te maken waardoor verschillende personen aan een document kunnen werken. Gebruikers kunnen Connected experiences via de privacyopties van Office uitschakelen. Update De Privacy Company uit Den Haag publiceerde in 2019 voor Strategic Vendor Management Microsoft (SLM Rijk) van het ministerie van Justitie en Veiligheid een Data protection impact assessment (DPIA) over Office 365, waarin ook Connected experiences wordt besproken (pdf). De DPIA levert vijf hoge databeschermingsrisico's op, die volgens de onderzoekers onder andere worden veroorzaakt doordat Microsoft nog geen centrale opt-out functionaliteit voor de Connected Experiences in Office Online en in de mobiele Office apps heeft ingebouwd. Als één van de aanbevelingen om de databeschermingsrisico's te mitigeren werden overheidsinstanties opgeroepen om beleid op te stellen geen gebruik van Connected experiences te maken. Een Microsoft 365 MVP (Most Valuable Professional) laat via X weten dat Connected experiences data naar Microsoft kan sturen, maar geen data verstuurt voor het trainen van AI-modellen. Een andere MVP merkt op dat Connected experiences niet nieuw is, maar Microsoft onlangs heeft aangepast hoe de feature is uit te schakelen en dat veel privacybewuste organisaties de optie hebben uitgeschakeld. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in de ssl vpn gateways van fabrikant Array Networks, zo meldt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Via het beveiligingslek (CVE-2023-28461) kan een ongeauthenticeerde aanvaller op afstand het filesystem van de ssl vpn gateway verkennen of code op het apparaat uitvoeren. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Vorig jaar maart kwam Array Networks met een beveiligingsupdate voor het probleem. Het CISA geeft geen details over de aanvallen. Vorig jaar juli meldde een beveiligingsonderzoeker op X dat misbruik van CVE-2023-28461 plaatsvond, maar verdere informatie werd niet gegeven. De ssl vpn gateway van Array Networks geeft gebruikers op afstand toegang tot applicaties, desktops, file shares, netwerken en websites. bron: https://www.security.nl

Meer dan honderdduizend WordPress-sites zijn kwetsbaar voor aanvallen door kritieke kwetsbaarheden in de plug-in 'Anti-Spam, FireWall by CleanTalk'. Via de kwetsbaarheden (CVE-2024-10542 en CVE-2024-10781) kan een ongeauthenticeerde aanvaller op afstand willekeurige plug-ins op WordPress-sites installeren, wat kan leiden tot remote code execution. Anti-Spam, FireWall by CleanTalk moet WordPres-sites beschermen tegen spam in onder andere reacties en andere onderdelen. De plug-in is kwetsbaar voor een 'authorization bypass via reverse dns-spoofing', zo meldt securitybedrijf Wordfence. Een functie voor het installeren van plug-ins kijkt naar verschillende onderdelen voordat het mogelijk is een plug-in te installeren, waaronder ip-adres en de aanwezigheid van het domein 'cleantalk.org' in het request. De genoemde kwetsbaarheid maakt het mogelijk voor een aanvaller om deze controle te omzeilen. Zo vindt de controle op het ip-adres plaats op basis van door de gebruiker gedefinieerde parameters. Een gebruiker kan dan ook een ander ip-adres opgeven, waardoor het lijkt alsof het om het ip-adres van ontwikkelaar CleanTalk gaat. Daarnaast wordt gecontroleerd of het request om een plug-in te installeren afkomstig is van het domein cleantalk.org. De controle kijkt alleen naar de aanwezigheid van de string 'cleantalk.org'. Een aanvaller kan de controle omzeilen door een subdomein te gebruiken zoals ‘cleantalk.org.evilsite.com'. Zodoende kan een aanvaller een request naar de kwetsbare functie sturen waarmee het mogelijk is om op de betreffende WordPress-site een plug-in te installeren. De ontwikkelaar werd op 30 oktober ingelicht en kwam op 1 november met een gedeeltelijke oplossing (6.44). Een aantal dagen werd een tweede authorization bypass ontdekt (CVE-2024-10542), waardoor het wederom mogelijk is voor aanvallers om op afstand plug-ins te installeren. Op 14 november verscheen versie 6.45 waarin ook dit probleem is opgelost. Uit cijfers van WordPress.org blijkt dat een groot aantal websites nog versie 6.44 of lager draait en kwetsbaar is. Het zou om zo'n 56 procent van de meer dan 200.000 websites gaan die van de plug-in gebruikmaken. bron: https://www.security.nl

QNAP heeft meerdere kwetsbaarheden die onder de CVSS-beoordeling als kritiek zijn aangemerkt zelf als 'belangrijk' bestempeld. De NAS- en routerfabrikant kwam dit weekend met beveiligingsupdates voor onder andere de NAS-applicatie Notes Station 3 en QuRouter, het besturingssysteem dat op de NAS-apparaten van QNAP draait. Via de kwetsbaarheden zouden in het ergste geval remote aanvallers toegang tot de apparaten kunnen krijgen. De beveiligingsbulletins voor Notes Station 3 en QuRouter zijn door QNAP aangemerkt als 'important'. Twee kwetsbaarheden in Notes Station 3 (CVE-2024-38643 en CVE-2024-38645) alsmede een beveiligingslek in QuRouter (CVE-2024-48860) zijn volgens de CVSS-beoordeling kritiek. Het Common Vulnerability Scoring System (CVSS) is bedacht voor het beoordelen van de impact van kwetsbaarheden. Een CVSS-score bestaat uit een schaal van 1 tot en met 10, waarbij 10 de maximale score is. De score is uit verschillende onderdelen opgebouwd. Zo wordt gekeken wat de aanvalsvector is (lokaal, fysiek of netwerk), hoe lastig het is om misbruik van de kwetsbaarheid te maken, of er interactie van de gebruiker is vereist en of de aanvaller over bepaalde permissies moet beschikken om de aanval uit te voeren. Verder wordt er ook gekeken wat de gevolgen van de kwetsbaarheid zijn voor de beschikbaarheid, vertrouwelijkheid en integriteit van informatie of het systeem. Dit leidt tot een "basisscore" die kan worden aangevuld met een tijdelijke score, bijvoorbeeld de beschikbaarheid van exploitcode, en een omgevingsscore, die specifiek voor de organisatie van een gebruiker is. Organisaties kunnen zo zien welke kwetsbaarheden de grootste prioriteit moeten krijgen. Beveiligingslekken met een basisscore van 10 komen geregeld in het nieuws. CVE-2024-48860 betreft command injection, waardoor een remote aanvaller commando's op de router kan uitvoeren. CVE-2024-38643 wordt omschreven als 'ontbrekende authenticatie', waardoor remote aanvallers toegang tot belangrijke functies kunnen krijgen en uitvoeren. CVE-2024-38645 is een server-side request forgery (SSRF) kwetsbaarheid waardoor een geauthenticeerde aanvaller applicatiedata kan lezen. Door niet aan te geven dat het om kritieke kwetsbaarheden gaat kan het zijn dat gebruikers de updates later installeren dan ze zouden doen bij kritieke beveiligingslekken. bron: https://www.security.nl

Microsoft heeft 240 domeinnamen in beslag genomen die werden gebruikt voor het aanbieden en functioneren van phishingkits, zo heeft het techbedrijf zelf bekendgemaakt. Phishingkits bieden allerlei templates voor het uitvoeren van phishingaanvallen. Volgens Microsoft werden de aangeboden "ONNX" phishingkits door allerlei criminelen afgenomen en gebruikt voor aanvallen op Microsoft-accounts. De dienst bood verschillende abonnementen en opties aan. "Phishingmails afkomstig van deze 'doe-het-zelf' kits zijn verantwoordelijk voor een groot deel van de tientallen tot honderden miljoenen phishingberichten die Microsoft elke maand ziet", aldus het techbedrijf. Dat stelt dat ONNX qua e-mailvolume in top vijf zit van aanbieders van phishingkits. Microsoft vroeg een rechter met succes om de domeinnamen in beslag te kunnen nemen. Hoewel de domeinen in beslag zijn genomen merkt Microsoft op dat andere aanbieders het nu ontstane gat zullen vullen. Het techbedrijf verdenkt een Egyptische man van het ontwikkelen en aanbieden van de phishingdienst. bron: https://www.security.nl

Vijf kwetsbaarheden in needrestart, een tool die standaard wordt mee geïnstalleerd met Ubuntu Server sinds versie 21.04, maakt het mogelijk voor een lokale gebruiker om willekeurige code als root uit te voeren. De beveiligingslekken zijn in de nieuwste versie van needrestart (versie 3.8) verholpen. Needrestart is een tool die het systeem scant om te kijken of het systeem of services herstart moeten worden. De tool controleert met name op services die verouderde gedeelde libraries gebruiken, zoals wanneer een library tijdens een package-update is vervangen. Omdat het in de server-images is geïntegreerd wordt needrestart automatisch gestart na APT-operaties zoals install, upgrade of remove. Securitybedrijf Qualys vond verschillende 'fundamentele kwetsbaarheden' in de tool waar een lokale aanvaller misbruik van kan maken. Zo kan een lokale aanvaller willekeurige als root uitvoeren door needrestart de Ruby of Python interpreter te laten uitvoeren met een door de aanvaller gecontroleerde omgevingsvariabele. Een andere kwetsbaarheid betreft een 'race condition' waardoor een aanvaller zijn eigen, fake Python interpreter door needrestart kan laten uitvoeren. Ook kan een aanvaller via needrestart de ScanDeps module van Perl aanroepen met zijn eigen malafide bestanden. Qualys, dat de kwetsbaarheden 'alarmerend' noemt, zegt dat het vooralsnog geen exploitcode beschikbaar stelt. Het securitybedrijf waarschuwt dat de beveiligingslekken in kwestie eenvoudig te misbruiken zijn en andere onderzoekers mogelijk wel met exploits zullen komen. bron: https://www.security.nl

Zoekmachine DuckDuckGo heeft de Europese Commissie opgeroepen om drie onderzoeken uit te voeren naar het naleven van de Europese Digitale Markets Act (DMA) door Google. Volgens DuckDuckGo voldoet Google niet aan de eisen van de DMA. Het techbedrijf deelt geen geanonimiseerde click en query data, heeft het aanpassen van de standaard zoekinstellingen niet eenvoudig gemaakt en biedt gedownloade zoek- en browserapps niet de mogelijkheid om eenvoudig de standaard optie te worden, terwijl dit wel onder de DMA verplicht is, aldus DuckDuckGo. De DMA zorgt voor toezicht en maatregelen voor de grootste online platforms met een zogenoemde poortwachterspositie. De regels zouden voor een eerlijker speelveld op de digitale markt moeten zorgen en kaders aan deze bedrijven stellen, ook die van buiten de EU. Volgens DuckDuckGo probeert Google de DMA te ondermijnen. Zo zou het bedrijf selectief aan bepaalde verplichtingen voldoen, terwijl het andere negeert. Dit heeft ervoor gezorgd dat de zoekmarkt in de EU nauwelijks is veranderd, zo stelt DuckDuckGo. Zo verplicht de DMA dat poortwachters het eenvoudig maken om van zoekmachine en browser te veranderen. Iets wat bij Google niet het geval is, benadrukt DuckDuckGo. "Voordat de DMA in werking trad waren er meer dan vijftien stappen nodig om je standaard zoekmachine op Android te wijzigen en dat is vandaag de dag nog steeds het geval. Er zijn geen enkele wijzigingen doorgevoerd." Ook het aanpassen van de zoekmachine in Google Chrome is niet eenvoudiger gemaakt. Daarnaast stelt DuckDuckGo dat Google een aangepast Android-keuzescherm nog onder meer dan 250 miljoen Europese gebruikers moet uitrollen. "Toezichthouders wereldwijd zouden moeten zien wat er met de DMA gebeurt, en leren hoe Google de mazen in de wet weet te misbruiken en die zo omzeilt, en dan maatregelen nemen om ervoor te zorgen dat Google geen nieuwe barrières kan opwerpen tegen vooruitgang en een eerlijke spelveld", concludeert DuckDuckGo, dat toevoegt dat de DMA ook niet goed inspeelt op het schaalvoordeel dat Google heeft. bron: https://www.security.nl