Captain Kirk

Een groep cybercriminelen buit een nieuwe zero-day kwetsbaarheid in on-premises implementaties van SysAid software voor supportafdelingen uit voor de verspreiding van de ransomware Clop. Een update die het beveiligingslek dicht is inmiddels beschikbaar. Het Microsoft Threat Intelligence team waarschuwt voor de zero-day kwetsbaarheid, die is geïdentificeerd als CVE-2023-47246. Lace Tempest (DEV-0950), een threat actor die zich bezig houdt met de verspreiding van de Clop-ransomware, buit de kwetsbaarheid naar verluid actief uit. Update beschikbaar SysAid bevestigt de zero-day kwetsbaarheid in een blogpost. Het meldt op 2 november op de hoogte te zijn gesteld, waarna het bedrijf aan de slag is gegaan met het dichten van het lek. Een update is inmiddels beschikbaar. SysAid adviseert klanten met een SysAid on-premises serverinstallatie hun systemen te updaten naar versie 23.3.36. Daarnaast adviseert SysAid een uitgebreide netwerkanalyse uit te voeren en te zoeken naar Indicators of Compromise. Deze deelt het bedrijf in de blogpost. Bij de aanval uploadt de aanvaller een WAR-archief met een WebShell en andere payloads naar de webroot van een SysAid Tomcat webservice. De WebShell geeft de aanvaller ongeautoriseerde toegang en controle over het getroffen systeem. Vervolgens laadt de aanvaller een PowerShell-script via de WebShell, en voert een malware loader genaamd user.exe uit op de besmette host. Deze laadt op zijn beurt de trojan GraceWire, die wordt geïnjecteerd in de processen spoolsv.exe, msiexec.exe en svhost.exe. Vervolgens zetten de aanvallers een tweede PowerShell-script in waarmee zij bewijsmateriaal van hun actie verwijderen uit logbestanden. bron: https://www.security.nl

De website van het bedrijf is hierdoor korte tijd uit de lucht geweest. De aanval is opgeëist door Anonymous Sudan. De aanval zou slechts kort tot problemen hebben geleid op de website van Cloudflare. Een woordvoerder meldt aan Bleeping Computer dat de website enkele minuten offline is geweest. Andere dienstverlening van Cloudflare is naar verluid niet getroffen. De woordvoerder wijst erop dat de website van Cloudflare bewust niet op dezelfde infrastructuur wordt gehost als andere services van de partij. De DDoS-aanval is het werk van Anonymous Sudan, ook bekend als Storm-1359. Recentelijk is deze groep in verband gebracht met onder meer een DDoS-aanval op ChatGPT van OpenAI, Outlook.com, OneDrive en Azure Portal. bron: https://www.security.nl

De generatieve AI-gebaseerde chatbot ChatGPT en diens API zijn momenteel slecht bereikbaar. De diensten zijn met enige regelmaat volledig onbereikbaar, en op andere momenten moeilijker bereikbaar dan gebruikelijk. De oorzaak ligt in een DDoS-aanval, meldt ontwikkelaar OpenAI. In een incident rapport meldt OpenAI dat het bedrijf kampt met een DDoS-aanval, die voor abnormale verkeersstromen zorgen en leiden tot periodieke storingen. Het bedrijf zegt druk aan het werk te zijn om de problemen op te lossen. Gebruikers krijgen onder meer foutmeldingen te zien indien zij de chatbot proberen te gebruiken. De problemen zijn vooralsnog niet opgelost. De afgelopen dagen zijn er meer problemen geweest bij ChatGPT. Zo kampte de Dall-E API maandag met problemen, waarna ChatGPT en de API dinsdag ook door tijdelijke storingen werden getroffen. Gisterochtend was het opnieuw raak bij OpenAI; het bedrijf spreekt van een 'grote storing' die alle diensten van het bedrijf heeft geraakt. OpenAI meldt de oorzaak van deze storing te hebben achterhaald en het probleem te hebben opgelost. bron: https://www.security.nl

Een frauduleuze Ledger Live-app in de Microsoft Store heeft tot veel schade geleid. Meerdere gebruikers zijn via de app opgelicht, waarbij de oplichters zeker 719.000 euro aan cryptovaluta wisten buit te maken. De app is inmiddels door Microsoft uit de Microsoft Store verwijderd. De app was beschikbaar onder de naam Ledger Live Web3, waarmee de app zich voordoet als de legitieme cryptowallet Ledger Live. ZachXBT, een cryptohandelaar die op Twitter onder meer informatie deelt over malafide activiteiten in de cryptowereld, trok over de malafide app aan de bel. 719.000 euro gestolen ZachXBT deelde onder meer het adres van een cryptowallet, waar de aanvaller 16,8 bitcoin ter waarde van zo'n 556.635 euro had ondergebracht. Later deelde ZachXBT het adres van een tweede cryptowallet waar in totaal ruim 168.000 dollar aan gestolen cryptovaluta was ondergebracht. De aanvaller heeft dan ook zeker 719.000 euro buitgemaakt. De app is inmiddels niet meer in de Microsoft Store te vinden. De app was gepubliceerd door een ontwikkelaar die als accountnaam 'Official Dev' gebruikte. Daarnaast viel ook op dat de app een beoordeling van vijf sterren had, gebaseerd op slechts één review. Hoeveel gebruikers in de oplichtingspoging zijn getrapt is onbekend. bron: https://www.security.nl

Cybercriminelen buiten een recent ontdekt lek in Atlassian Confluence Data Center en Server (CVE-2023-22518) actief uit voor onder meer het uitvoeren van ransomware-aanvallen. De CVSS-score van het lek is verhoogd van 9,1 naar 10, wat de hoogst mogelijke score is. Dit meldt Atlassian in een security advisory. Het onderschrijft hiermee een advisory door Rapid7, die waarschuwde dat zijn onderzoekers in het weekend een sterke toename te zien in het aantal aanvallen waarin CVE-2023-22518 wordt uitgebuit. Ongeautoriseerd een beheerdersaccount aanmaken Het beveiligingslek zit in de autorisatie van gebruikers met een beheerdersaccount. Een ongeautoriseerde aanvallen kan Confluence in de praktijk resetten en vervolgens een Confluence instance beheerdersaccount aanmaken, meldt Atlassian in de advisory. Met behulp van dit account kan de aanvaller vervolgens alle beheertaken uitvoeren die beschikbaar zijn voor de Confluence instance administrator. Dit kan onder meer leiden tot datadiefstal, aantasting van de integriteit van data en het onbeschikbaar raken van Confluence. Atlassian stelt momenteel niet te kunnen vaststellen welke instances van klanten door aanvallen zijn getroffen. Wel deelt het een aantal signalen waarop securityteams kunnen letten: Verlies van toegang of inlogmogelijkheid Verzoeken voor /json/setup-restore* in logbestanden Installatie van onbekende plugins, waarbij het onder meer gaat om een plugin genaamd "web.shell.Plugin" Versleutelde of corrupte data Onverwachte leden van de Confluence-administrators groep Onverwacht nieuw gecreëerde gebruikersaccounts bron: https://www.security.nl

Cybercriminelen maken in toenemende mate gebruik van legitieme clouddiensten voor het hosten van hun command & control (C2)-infrastructuur. De infrastructuur is gratis beschikbaar en wordt daarnaast vertrouwd door veel gebruikers, waardoor C2-verkeer makkelijker in legitiem dataverkeer opgaat. Hiervoor waarschuwt de Threat Analysis Group (TAG) van Google in een nieuw rapport (pdf). Het team benadrukt dat alle cloudvendoren en hun producten met deze nieuwe ontwikkeling te maken hebben. Denk hierbij aan cloudopslag en productiviteitstools. In het rapport kijkt het specifiek naar Google Calendar. Proof of concept In juni 2023 is op GitHub een proof-of-concept gepubliceerd voor een zogeheten 'Google Calendar RAT' (CGR). De RAT maakt gebruik van Google Calendar-events voor C2-communicatie. De aanvaller plaatst commando's in het omschrijvingsveld van agendapunten die het aanmaak in Google Calendar. TAG meldt vooralsnog geen gebruik van CGR in het wild te hebben gedetecteerd. Wel merkte Mandiant eerder echter al op dat de proof of concept op fora op het dark web actief worden gedeeld. Dit doet vermoeden dat cybercriminelen interesse hebben in de werkwijze. Commando's versturen via Dropbox C2-communicatie via clouddiensten is niet nieuw. TAG waarschuwde begin dit jaar al voor een aanvalscampagne opgezet door een aanvaller die hierbij wordt gesteund door de Chinese staat. De aanvaller zette malafide PowerShell-scrips in die met Dropbox communiceerde om commando's op te halen en data te exfiltreren. bron: https://www.security.nl

Cybercriminelen richten met behulp van de malware Kinsing hun pijlen op cloudomgevingen. De focus ligt hierbij specifiek op systemen die kwetsbaar zijn voor Looney Tunables, een kwetsbaarheid in Linux-systemen die lokale aanvallers de mogelijkheid biedt root-rechten te verkrijgen. Looney Tunables is een buffer overflow in de dynamic loader van glibc. Het beveiligingsprobleem (CVE-2023-4911) is sinds april 2021 aanwezig en is geïntroduceerd in glibc 2.34. Het lek is echter pas in oktober 2023 aan het licht gekomen. Enkele dagen nadat het lek openbaar werd gemaakt zijn proof-of-concept exploits verschenen. Combinatie van PHPUnit en Looney Tunables Cloud security-bedrijf Aqua Nautilus meldt nu dat de makers van Kinsing-malware actief inspelen op deze kwetsbaarheid. De aanval start met het uitbuiten van een bekende kwetsbaarheid in het PHP-testraamwerk PHPUnit, waarmee de aanvallers toegang weten te krijgen tot het systeem. Met behulp van Looney Tunables hogen zij vervolgens hun rechten op. Kinsing staat bekend voor aanvallen op cloud-gebaseerde systemen en applicaties. Zo wees Microsoft onlangs nog op aanvallen op Kubernetes-clusters, waarbij de aanvallers PostgreSQL-containers met configuratiefouten probeerden uit te buiten. bron: https://www.security.nl

De Europese Cyber Resilience Act kan tot grootschalige verstoringen in toeleverketens zorgen, waarschuwen diverse grote elektronicabedrijven. De verstoringen kunnen zelfs vergelijkbaar zijn met de problemen die we de COVID-19 pandemie zagen. Deze waarschuwing is afkomstig van de European Information, Communications and Consumer Electronics Technology Industry Associations (DIGITALEUROPE), een branchevereniging van bedrijven in de elektronica- en telecommiunicatiesector. Onder meer Ericsson, ESET, Nokia, Robert Bosch, Schneider Electric en Siemens zijn hierbij aangesloten. Securityrisico's beoordelen en aanpakken In een brief (pdf) uiten de partijen hun zorgen over de aanstormende Cyber Resilience Act. Deze wet verplicht fabrikanten securityrisico's verbonden aan hun producten te beoordelen en problemen op te lossen gedurende een periode van vijf jaar, of de verwachte levensduur van producten. DIGITALEUROPE schrijft in de brief gericht aan Eurocommissaris voor de Digitale Interne Markt Thierry Breton en vice-president van de Europese Commissie Vera Jourova dat de Cyber Resilience Act tot bottlenecks in toeleverketens kan leiden. Onder meer door een groot tekort aan onafhankelijke experts voor het uitvoeren van de beoordelingen die de Cyber Resilience Act vereist. Kan Europese interne markt schaden De bottlenecks kunnen volgens DIGITALEUROPE de Europese interne markt schaden. De problemen kunnen uiteenlopende producten raken, variërend van wasmachine tot speelgoed, cybersecurityproducten, onderdelen voor warmtepompen en high tech productiesystemen. "We riskeren een COVID-achtige blokkade in Europese toeleverketens te veroorzaken, de interne markt te verstoren en ons concurrentievermogen te beschadigen", aldus DIGITALEUROPE. bron: https://www.security.nl

Microsoft wil het gebruik van multi-factor authentificatie (MFA) bij zijn beheerdersportalen vergroten. Het rolt daarom nieuwe Conditional Access-policies voor MFA uit, die het standaard toevoegt aan de beheerdersportalen van onder meer Microsoft Entra, Microsoft 365, Azure en Exchange. Beheerders bepalen zelf of zij de policies willen omarmen. De Amerikaanse techgigant wijst in een blogpost op eerder onderzoek waaruit blijkt dat MFA het risico op overgenomen accounts met 99% terugdringt. Microsoft stelt zichzelf daarom als doel tot 100% MFA te komen. De nieuwe Conditional Access-policies die het nu introduceert moeten hieraan bijdragen. Drie policies beschikbaar De policies zijn afgestemd op verschillende gebruikssituaties en bieden op basis daarvan een variërend veiligheidsniveau. Drie policies zijn beschikbaar: Require multifactor authentication for admin portals (gericht op alle gebruikers) - Dit beleid is onder meer gericht op beheerders functies met verhoogde rechten en vereist MFA indien een beheerder op een Microsoft beheerdersportaal wil inloggen. Require multifactor authentication for per-user multifactor authentication users (gericht op bestaande per-user MFA klanten) - Dit beleid is van toepassing op gebruikers met per-user MFA en vereist MFA voor alle cloudapps. Dit beleid helpt organisaties volgens Microsoft bij de overstap naar Conditional Access. Require multifactor authentication for high-risk sign-ins (gericht op Microsoft Entra ID Premium Plan 2-klanten) - Dit beleid van toepassing op alle gebruikers en vereist MFA en herauthentificatie bij risicovolle inlogpogingen. Opt-out Beheerders bepalen zelf welke Conditional Access-policy zij willen omarmen. Microsoft adviseert voor de eerste optie te gaan en MFA in te schakelen voor alle beheerdersportalen. Microsoft rolt de policies als opt-out uit. Beheerders bepalen dan ook zelf of zij hiermee aan de slag willen. Wel merkt Microsoft op dat teams binnen Microsoft in toenemende mate MFA vereisen bij specifieke interactie, wat al langer het geval is bij onder meer het beheer van Azure-abonnementen en het Partner Center van Microsoft. bron: https://www.security.nl

QNAP waarschuwt voor twee kritieke kwetsbaarheden in zijn QTS besturingsysteem en applicaties voor zijn NAS-systemen. In beide gevallen stellen de kwetsbaarheden kwaadwillenden in staat code uit te voeren op getroffen systemen. De ernst van de eerste kwetsbaarheid (CVE-2023-23368) is beoordeeld met een 9,8 uit 10. Het gaat om een kwetsbaarheid waarmee kwaadwillenden via een netwerk commando's kunnen injecteren in kwetsbare NAS-systemen. De kwetsbaarheid is aanwezig in QTS 5.0.x en 4.5.x, QuTS hero h5.0.x en h4.5.x, en QuTScloud c5.0.1. Het lek is gedicht in de volgende releases: QTS 5.0.1.2376 build 20230421 en later QTS 4.5.4.2374 build 20230416 en later QuTS hero h5.0.1.2376 build 20230421 en later QuTS hero h4.5.4.2374 build 20230417 en later QuTScloud c5.0.1.2374 en later Ook tweede lek gedicht De tweede kwetsbaarheid (CVE-2023-23369) krijgt een beoordeling van 9.0 uit 10. Ook in dit geval stelt het beveiligingsprobleem kwaadwillenden in staat via een netwerk commando's te injecteren. Onder meer QTS versies 5.1.x, 4.3.6, 4.3.4, 4.3.3 en 4.2.x, Multimedia Console 2.1.x en 1.4.x, en Media Streaming add-on 500.1.x en 500.0.x zijn kwetsbaar. Het lek is door QNAP gedicht in: QTS 5.1.0.2399 build 20230515 en later QTS 4.3.6.2441 build 20230621 en later QTS 4.3.4.2451 build 20230621 en later QTS 4.3.3.2420 build 20230621 en later QTS 4.2.6 build 20230621 en later Multimedia Console 2.1.2 (2023/05/04) en later Multimedia Console 1.4.8 (2023/05/05) en later Media Streaming add-on 500.1.1.2 (2023/06/12) en later Media Streaming add-on 500.0.0.11 (2023/06/16) en later bron: https://www.security.nl

Een botnet genaamd Socks5Systemz omvat zo'n 10.000 systemen en richt zich op het aanbieden van proxy-diensten. Hiermee kunnen bijvoorbeeld cybercriminelen hun verkeer omleiden via het botnet, en zo hun identiteit verbergen. Het botnet is ontdekt door BitSight. Het malafide netwerk is al zeker sinds 2016 actief, maar is al die tijd relatief onopgemerkt gebleven. Het botnet is opgezet met behulp van een tweetal malwareloaders: PrivateLoader en Amadey. Deze malware besmet systemen, maakt hen onderdeel van het botnet en zet de systemen om in proxy-servers die dataverkeer doorzetten. De beheerders van het botnet bieden met behulp van hun botnet betaalde diensten aan. Zo betalen gebruikers een bedrag dat varieert van 1 tot 140 dollar per dag voor toegang tot het botnet. Servers in meerdere landen De command & control (C&C)-infrastructuur van het botnet maakt gebruik van servers verspreid over de EU. Het gaat daarbij met name om servers in Frankrijk, al maken ook servers in Bulgarije, Zweden en Nederland onderdeel uit van Socks5Systemz. BitSight analyseerde het gedrag van het netwerk afgelopen maand. Hierbij zijn in totaal zo'n 10.000 individuele pogingen om met geïdentificeerde aan het botnet verbonden servers te benaderen. Op basis hiervan concludeert BitSight dat zeker zo'n 10.000 systemen onderdeel uitmaken van het botnet. De aanvallers maken slachtoffers over de hele wereld; systemen uit Argentinië, Brazilië, Colombia, India, Nigeria, de Verenigde Staten en Zuid-Korea zijn het vaakst onderdeel van Socks5Systemz. bron: https://www.security.nl

Discord stapt over op tijdelijke URL's voor bestanden die gebruikers delen via de officiële Discord-cliënt. De maatregel moet helpen de verspreiding van malware via het content delivery netwerk (CDN) van het platform tegen te gaan. Het bedrijf meldt aan Bleeping Computer de tijdelijke links automatisch te vernieuwen. Dit betekent in de praktijk dat gebruikers content kunnen blijven delen op de manier die zij gewend zijn. Tijdelijke links zijn 24 uur geldig, waarna de link vervalt en Discord een nieuwe tijdelijke link aanmaakt. Wel meldt Discord in een verklaring dat gebruikers het platform niet langer kunnen gebruiken voor het hosten van content. "Indien gebruikers Discord gebruiken voor het hosten van bestanden, adviseren wij een meer geschikte dienst te vinden", aldus het bedrijf. Voor ontwikkelaars brengt de aanpassing wel veranderingen met zich mee. Discord belooft op korte termijn meer informatie te delen over de aanpassingen die ontwikkelaars moeten doen. "Discord-ontwikkelaars kunnen minimale impact ervaren en we werken nauw samen met de community rond de transitie. Deze veranderingen rollen later dit jaar uit en we delen in de komende weken meer informatie met ontwikkelaars", aldus Discord. bron: https://www.security.nl

Een plan van Europese beleidsmakers als onderdeel van de Europese digitale identiteit brengt de privacy en security van internetgebruikers in gevaar, zo stelt Google. Het techbedrijf verstuurde eerder deze week al samen met andere organisaties en bedrijven een open brief over Artikel 45 van de eIDAS 2.0-verordening, wat staat voor ‘Electronic Identities And Trust Services’. Security.NL besteedde ook aandacht aan deze brief. Artikel 45 verplicht browserleveranciers om Qualified Website Authentication Certificates (QWACs) te accepteren die door Qualified Trusted Service Providers worden uitgegeven. Qualified Trusted Service Providers is een andere naam voor certificaatautoriteiten, de partijen die tls-certificaten uitgeven gebruikt voor identificatie en versleutelde verbindingen tussen websites en bezoekers. Op dit moment accepteren browsers alleen certificaatautoriteiten die aan verschillende standaarden voldoen. De Europese Commissie wil browserleveranciers kunnen dwingen om Qualified Trusted Service Providers te vertrouwen en aan hun browser toe te voegen, ongeacht of ze aan de eisen voldoen die voor andere certificaatautoriteiten gelden. Daarnaast hebben browserleveranciers geen mogelijkheid om Qualified Trusted Service Providers die zich misdragen uit de browser te verwijderen. Naast de brief waarschuwt Google nu in een aparte blogposting voor de risico's van Artikel 45. Het zou namelijk de mogelijkheid van browsers hinderen om bepaalde veiligheidsvereisten voor certificaten te handhaven, en daarmee de voortgang die de afgelopen tientallen jaren op dit front is geboekt weer terugdraaien. "Wij en andere vorige en huidige leiders in de internationale webcommunity hebben grote zorgen over de impact van Artikel 45 op security", aldus Google. "We roepen beleidsmakers op om te luisteren naar de waarschuwingen van wetenschappers en beveiligingsexperts en dit deel van de wetgeving te herzien, in plaats van de privacy en security van internetgebruikers aan te tasten." bron: https://www.security.nl

De overstap naar kwantumbestendige encryptie zal in veel gevallen niets meer zijn dan het installeren van een software-update, hoewel dat niet overal het geval is, zo stelt het Britse National Cyber Security Centre (NCSC). "Het upgraden van de meeste internetdiensten (en de apps die deze diensten gebruiken) zal waarschijnlijk een van de 'eenvoudigere' onderdelen van de overstap zijn", aldus de Britse overheidsdienst. In het geval van legacy of sector-specifieke protocollen zal er meer werk zijn vereist, maar zijn academici en de industrie daar al enige tijd mee bezig. In het geval deze systemen niet naar kwantumbestendige crypto kunnen overstappen zullen die uiteindelijk tijdens geplande levenscyclus worden vervangen. Het NCSC zal de komende jaren specifieke adviezen voor vitale organisaties gaan geven om bij de overstap te helpen. Toch zal de overstap in de meeste gevallen niets meer zijn dan het installeren van een update. "Veel van de gevallen betreft internetdiensten of apps die door grote serviceproviders worden ontwikkeld en beheerd. In zulke gevallen zal de overstap door middel van een update van de betreffende provider plaatsvinden. Personen en organisaties die voor hun encryptie van grote aanbieders afhankelijk zijn, moeten het advies van het NCSC volgen over het up-to-date houden van software en apparaten, en dan zal de overstap grotendeels achter de schermen plaatsvinden." bron: https://www.security.nl

Een kritiek beveiligingslek in Apache ActiveMQ wordt actief gebruikt bij ransomware-aanvallen. De Amerikaanse overheid heeft federale instanties opgedragen om de beveiligingsupdate voor het probleem, die vorige week verscheen, binnen drie weken te installeren. Apache ActiveMQ is een open source 'message broker' voor het uitwisselen van berichten tussen verschillende applicaties. Een kritieke remote code execution kwetsbaarheid in de software, aangeduid als CVE-2023-46604, maakt het mogelijk voor aanvallers om willekeurige shellcommando's op systemen uit te voeren. De impact van het lek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Op 25 en 26 oktober verscheen een patch voor de kwetsbaarheid. Inmiddels maken aanvallers actief misbruik van het lek om systemen met ransomware te infecteren, zo meldt securitybedrijf Rapid7. Organisaties worden opgeroepen om de patch zo snel mogelijk uit te rollen. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft federale overheidsinstanties gisteren opgedragen om de update voor 17 november te installeren. Vandaag kwam de Apache Foundation met verdere uitleg over de kwetsbaarheid, aangezien die voor veel vragen van gebruikers zorgt. De Shadowserver Foundation meldde onlangs dat duizenden kwetsbare ActiveMQ-instances vanaf het internet toegankelijk zijn. bron: https://www.security.nl

Mozilla krijgt een optie waardoor gebruikers links zonder trackingparameters kunnen kopiëren, zo blijkt uit een vroege testversie van de browser. Firefox kan dergelijke parameters al strippen als gebruikers bijvoorbeeld op links klikken. Bij het kopiëren van een link wordt op dit moment het trackinggedeelte ook gekopieerd, wat inhoudt dat gebruikers dit handmatig moeten verwijderen. Trackingparameters worden overal op internet gebruikt. Het gaat dan bijvoorbeeld om het Facebook click ID dat Facebook aan url's op het platform toevoegt en het mogelijk maakt om clicks naar externe sites te tracken. Andere voorbeelden waar het vaak wordt toegepast zijn nieuwsbrieven en zoekmachines. Het gaat dan om url's als https://example.com?utm_source=newsletter1&utm_medium=email&utm_campaign=sale, https://example.com?fbclid=<61-char-long-unique-identifier> en https://google.com/search?q=my+search&gs_lcp=<128-char-long-unique-identifier>. Firefox kan trackingparameters in de 'strict mode' van de Enhanced Tracking Protection (ETP) strippen. Via ETP blokkeert Firefox allerlei trackers. Het is echter mogelijk om de privacyfeature strenger in te stellen, waardoor ook trackingparameters worden gestript. In een nieuwe versie van de browser kunnen gebruikers deze trackingparameters ook bij het kopiëren van een link laten strippen. De feature is nu al beschikbaar in Firefox Nightly, een vroege testversie van de browser. Als alles goed gaat zal de feature in de uiteindelijke versie van Firefox 120 verschijnen, die voor 21 november gepland staat. bron: https://www.security.nl

Verschillende internetbedrijven en organisaties, waaronder Mozilla, Mullvad, Cloudflare en de Linux Foundation, slaan alarm over het certificaatplan dat onderdeel van de Europese digitale identiteit is. Volgens de organisaties vormt het plan een gevaarlijke ingreep in een systeem dat essentieel is voor het beveiligen van het internet. De kritiek is gericht op de eIDAS 2.0-verordening, wat staat voor ‘Electronic Identities And Trust Services’. "Oftewel een Europees raamwerk voor Digitale Identiteit", zo liet demissionair staatssecretaris Van Huffelen eind oktober weten (pdf). De verordening bevat bepalingen voor de Europese digitale identiteit. Een onderdeel van het voorstel, aangeduid als artikel 45 en 45a, verplicht browserleveranciers om Qualified Website Authentication Certificates (QWACs) te accepteren die door Qualified Trusted Service Providers worden uitgegeven. Qualified Trusted Service Providers is een andere naam voor certificaatautoriteiten, de partijen die tls-certificaten uitgeven gebruikt voor identificatie en versleutelde verbindingen tussen websites en bezoekers. Op dit moment accepteren browsers alleen certificaatautoriteiten die aan verschillende standaarden voldoen. De Europese Commissie wil browserleveranciers kunnen dwingen om Qualified Trusted Service Providers te vertrouwen en aan hun browser toe te voegen, ongeacht of ze aan de eisen voldoen die voor andere certificaatautoriteiten gelden. Daarnaast hebben browserleveranciers geen mogelijkheid om Qualified Trusted Service Providers die zich misdragen uit de browser te verwijderen. Volgens experts kan dit grote gevolgen voor de veiligheid van het web hebben en de EU werd dan ook opgeroepen om het certificaatplan te wijzigen. Ondanks steun van verschillende commissies voor het aanpassen van de tekst ging de Europese Raad toch akkoord met het omstreden certificaatplan. "Artikelen 45 en 45a van de voorgestelde eIDAS-verordening zullen waarschijnlijk de veiligheid van het gehele internet verzwakken", aldus Bytecode Alliance, Cloudflare, DNS0.EU, Fastly, Internet Security Research Group, Linux Foundation, Mozilla, Mullvad, OpenSSF en Sigstore in een gezamenlijke verklaring (pdf). Naast de eerder genoemde risico's bestaat er ook de mogelijkheid dat gebruikers en bedrijven buiten Europa een aparte lijst van certificaatautoriteiten gaan gebruiken, zonder de extra verplichte toevoegingen van de EU. "Dit beperkt de veiligheidsgevolgen van deze aanpassingen tot alleen Europese burgers, maar kan ook tot een gefragmenteerd web leiden waar sommige sites buiten Europa niet toegankelijk zijn", zo waarschuwen de organisaties. Die verzoeken het Europees Parlement en de lidstaten niet met de twee artikelen akkoord te gaan. Vermoedelijk zal er eind november of begin december over het voorstel worden gestemd. bron: https://www.security.nl

Onderzoekers melden grootschalig misbruik van een kritieke kwetsbaarheid in NetScaler ADC en NetScaler Gateway waardoor aanvallers toegang tot systemen kunnen krijgen. Volgens securitybedrijf Mandiant zijn onder andere overheidsinstanties en techbedrijven getroffen. Onder de aanvallers bevinden zich ook verschillende ransomwaregroepen. NetScaler ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. Via de NetScaler Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. Via de kwetsbaarheid (CVE-2023-4966) kan een ongeauthenticeerde aanvaller toegang tot geheugen van het systeem krijgen en zo sessietokens van gebruikers stelen. Met deze tokens kan vervolgens toegang tot het systeem worden verkregen, zonder dat hiervoor nog inloggegevens of multifactorauthenticatie is vereist. Een aanvaller kan de gestolen session key opnieuw afspelen en zo toegang krijgen. Eenmaal ingelogd verkennen de aanvallers zowel het aangevallen systemen als andere systemen in het netwerk van de organisatie, proberen ze verdere inloggegevens te stelen en zich via het remote desktop protocol (RDP) lateraal door het netwerk te bewegen. Mandiant stelt dat onderzoek naar misbruik van CVE-2023-4966 lastig is, omdat de webserver op het systeem geen requests of foutmeldingen naar het kwetsbare endpoint opslaat. Citrix ontdekte de kwetsbaarheid zelf en kwam hiervoor op 10 oktober met een beveiligingsupdate. Volgens Mandiant maken aanvallers echter al sinds eind augustus misbruik van de kwetsbaarheid voor het aanvallen van organisaties. In eerste instantie ging het om beperkte aanvallen, maar sinds een week is er sprake van grootschalig misbruik, zegt beveiligingsonderzoeker Kevin Beaumont. Vorige week besloot Citrix organisaties op te roepen om de update meteen te installeren. Mandiant laat weten dat zeker vier verschillende groepen bezig zijn om organisaties via de kwetsbaarheid aan te vallen. Beaumont spreekt over zeer veel groepen. "Je hebt eigenlijk een 1998-achtige kwetsbaarheid in je remote access oplossing. Het lijkt erop dat mensen sessietokens verzamelen alsof het Pokemon zijn", aldus de onderzoeker. bron: https://www.security.nl

Bitwarden heeft support voor passkeys aan de browser-extensie van de wachtwoordmanager toegevoegd, tot ongenoegen van gebruikers die ondersteuning ook in de mobiele app wilden. Met Bitwarden 2023.10.0 is het mogelijk om passkeys in de wachtwoordkluis op te slaan en die vervolgens via de browser-extensie te gebruiken om in te loggen. Passkeys zijn een gezamenlijk initiatief van Apple, Google en Microsoft en moeten wachtwoorden overbodig maken. Ze zijn gebaseerd op de Web Authentication (WebAuthn) standaard en maken gebruik van public key cryptography. Gebruikers moeten eerst een passkey voor een account of website genereren. De bijbehorende private key blijft op het toestel van de gebruiker, terwijl de bijbehorende public key door de website of app wordt opgeslagen. Het toestel van de gebruiker genereert vervolgens een signature gebaseerd op de private key die bij het inloggen wordt verstuurd. Tijdens het inloggen gebruikt de website of app waarop wordt ingelogd de public key om de signature van de private key te verifiëren. Om de passkey op het toestel te kunnen gebruiken moet eerst een vinger of het gezicht van de gebruiker worden gescand, of een ontgrendelingspatroon of pincode worden opgegeven. Passkeys maken namelijk gebruik van het mechanisme waarmee het betreffende apparaat of systeem van de gebruiker wordt ontgrendeld. Ze zijn echter niet gebonden aan het betreffende apparaat en dezelfde private key kan op meerdere toestellen bestaan. Verschillende wachtwoordmanagers ondersteunen inmiddels passkeys of hebben support hiervoor aangekondigd. Op Reddit en Hacker News reageren veel Bitwarden-gebruikers teleurgesteld dat de support voor passkeys alleen in de browser-extensie aanwezig is en niet in de mobiele app. Wanneer dit zal worden toegevoegd is nog onbekend. Bitwarden organiseert op 9 november een webcast over 'Bitwarden and Passkeys'. bron: https://www.security.nl

Mozilla heeft het mogelijk gemaakt om via een Google of Apple ID op een Mozilla-account in te loggen of een account aan te maken. Het Mozilla-account, dat eerder nog bekendstond als Firefox Account, is nodig om verschillende diensten van Mozilla te gebruiken, zoals Firefox Sync, Firefox Relay en Mozilla's eigen vpn-dienst. Zowel DuckDuckGo en Brave blokkeren het inloggen via Google om de privacy van gebruikers te beschermen. "Wanneer je inlogt, is Google je aan het volgen wat je op die websites doet en koppelt dat aan je identiteit", aldus DuckDuckGo. Door gebruik te maken van inloggen via Apple of Google wordt de authenticatie door deze techbedrijven gedaan, die dan een token uitgeven waarmee kan worden ingelogd. "We ontvangen je e-mailadres van Google of Apple, dat we voor authenticatiedoeleinden gebruiken. Daarnaast ontvangen we je profielfoto, hoewel we deze data nergens voor gebruiken. We geven geen data terug aan Google of Apple", zo laat Mozilla in een uitleg weten. De Firefox-ontwikkelaar merkt op dat gebruikers met een Google of Apple ID op hun Mozilla-account kunnen inloggen, maar nog steeds een wachtwoord voor hun Mozilla-account moeten instellen als ze hun bookmarks, geschiedenis, wachtwoorden, open tabs en meer tussen apparaten willen synchroniseren. bron: https://www.security.nl

Een groot Internet of Things (IoT)-botnet, dat sinds 2019 actief was en zeker 1,5 miljoen apparaten wist te infecteren, is door middel van een killswitsch uitgeschakeld. Dat laat antivirusbedrijf ESET weten. Mozi infecteerde IoT-apparaten, zoals digitale videorecorders, via zwakke Telnet-wachtwoorden en bekende kwetsbaarheden. Besmette machines werden onder andere voor ddos-aanvallen op websites en cryptomining ingezet. In 2021 waarschuwde Microsoft nog dat op besmette routers, die onderdeel van het botnet waren, man-in-the-middle-aanvallen werden uitgevoerd. Twee weken later meldde securitybedrijf Qihoo 360 dat de auteurs van het Mozi-botnet door de Chinese autoriteiten waren aangehouden. Het grootste deel van de besmette IoT-apparaten bevond zich in China. Sinds augustus is het botnet plotseling verdwenen, zo ontdekte ESET. Iemand stuurde een update naar de besmette apparaten die als killswitch fungeerde. Deze update schakelde de Mozi-malware uit, alsmede verschillende systeemservices zoals sshd en dropbear. Ook verving de update het originele Mozi-bestand met zichzelf. Tevens werd toegang tot verschillende poorten uitgeschakeld. De killswitch heeft veel overeenkomsten met de originele Mozi-code. Dat doet ESET vermoeden dat de botnetbeheerders hun eigen botnet hebben uitgeschakeld of dit onder dwang van de Chinese autoriteiten hebben gedaan. bron: https://www.security.nl

Google heeft het topleveldomein .ing gelanceerd, dat het gebruik van HTTPS voor alle .ing-websites verplicht. In mei van dit jaar lanceerde Google al de topleveldomeinen .dad, .phd, .prof, .esq, .foo, .zip, .mov en .nexus. Het is mogelijk om tot 5 december tegen een eenmalige betaling en onder bepaalde voorwaarden een .ing-domein te registreren. Vanaf 5 december kan iedereen een .ing-domein tegen een jaarlijkse prijs bij een willekeurige registrar vastleggen. Verschillende bedrijven hebben inmiddels een .ing-site vastgelegd, zoals Adobe met edit.ing en sign.ing. Eén van de eigenschappen van het .ing topleveldomein is dat het domein en alle sites die eronder vallen, op de HSTS preload list staan. HTTP Strict Transport Security (HSTS) zorgt ervoor dat websites die via HTTPS te bezoeken zijn alleen via HTTPS worden bezocht. Google Chrome maakt gebruik van een HSTS preload list, een lijst met websites die alleen over HTTPS mogen worden bezocht. Voor alle .ing-websites wordt standaard HSTS toegepast. "Dat maakt HTTPS verplicht voor alle verbindingen naar .ing-websites en -pagina's, zonder dat er een aparte HSTS-registratie of -configuratie nodig is", aldus Google. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid om BIG-IP-servers aan te vallen, zo waarschuwt fabrikant F5. Een beveiligingsupdate voor het probleem verscheen op 26 oktober. Gisteren werd het beveiligingsbulletin bijgewerkt met de vermelding dat aanvallers inmiddels misbruik van het beveiligingslek maken. Via de kwetsbaarheid, aangeduid als CVE-2023-46748, kan een ongeauthenticeerde aanvaller de authenticatie van de configuratietool omzeilen, waarna remote code execution mogelijk is. Aanvallers gebruiken dit beveiligingslek om toegang tot BIG-IP-servers te krijgen. Vervolgens maken ze misbruik van een andere kwetsbaarheid (CVE-2023-46748) om het systeem over te nemen. De impact van CVE-2023-46748 is op een schaal van 1 tot en met 10 beoordeeld met een 9.8, terwijl CVE-2023-46748 een impactscore van 8.8 heeft. Dit laatste lek maakt het mogelijk voor een geauthenticeerde aanvaller om SQL Injection uit te voeren. Drie dagen na het verschijnen van de patch verschenen de eerste proof-of-concept exploits op internet. Volgens F5 zitten meerdere 'threat actors' achter de aanvallen op CVE-2023-46747. Het BIG-IP-platform van F5 wordt voor verschillende toepassingen gebruikt, zoals load balancing en application delivery. De afgelopen jaren zijn kwetsbaarheden in BIG-IP geregeld het doelwit van aanvallen geweest. F5 heeft indicators of compromise (IoC's) beschikbaar gemaakt, waarmee organisaties kunnen kijken of hun servers zijn gecompromitteerd. bron: https://www.security.nl

Een groep criminelen gebruikt het topleveldomein .US voor een malafide URL-shortener, zo stelt securitybedrijf Infoblox. Sinds april registreerde de groep, die de naam 'Prolific Puma' heeft gekregen, tussen de 35.000 en 75.000 unieke domeinnamen. Deze domeinnamen worden vervolgens gebruikt om voor andere criminelen verkorte links te genereren die naar malafide sites wijzen. Het kan dan gaan om websites gebruikt voor phishing, malware of andere scams. Door het gebruik van een URL-shortener kunnen aanvallers de werkelijke bestemming van de link verbergen. Daarbij kiezen de aanvallers voor het .US-topleveldomein. De te registreren domeinen, meestal drie of vier karakters lang, worden via een algoritme gegenereerd. Ook gaat het om niet verlengde domeinnamen die de groep opnieuw registreert. Voor de registratie van de domeinnamen wordt vaak gebruik gemaakt van NameSilo. De registrar vereist alleen een e-mailadres en betaalmethode, aldus Infoblox. Wanneer een houder iets met zijn domeinnaam wil doen zijn een naam en adresgegevens verplicht. Volgens de onderzoekers is het opmerkelijk dat de criminele groep zoveel .US-domeinen registreert, omdat het topleveldomein transparantie verplicht. Geen enkel domein mag privé worden geregistreerd, wat inhoudt dat zaken als adres, naam en telefoonnummer publiek zichtbaar zijn. "Dit lijkt misschien criminelen af te schrikken, maar het is niet effectief, aangezien het .US-topleveldomein bekendstaat om het misbruik", aldus Infoblox. Daarnaast blijkt dat de criminelen een manier hebben gevonden om de .US-domeinen toch met afgeschermde gegevens te registreren, wat in strijd met de voorwaarden is. bron: https://www.security.nl

E-mailclient Thunderbird kan weer onveilige op SHA-1-gebaseerde signatures voor S/MIME e-mails accepteren, zo hebben de ontwikkelaars aangekondigd. Thunderbird-gebruikers kunnen hun e-mail digitaal ondertekenen, waarvoor de e-mailclient lange tijd het SHA-1-algoritme gebruikte. Er zijn verschillende SHA-versies in omloop. Sinds 2005 zijn er collision-aanvallen op het SHA-1-algoritme bekend waar verschillende invoer dezelfde uitvoer geeft. Het algoritme wordt dan ook al lange tijd als onveilig beschouwd. Al tien jaar geleden werd het Thunderbird-ontwikkelteam gevraagd om met het gebruik van SHA-1 voor het signeren van e-mails te stoppen. Inmiddels maakt Thunderbird al jaren gebruik van SHA-256. Met de lancering van Thunderbird 115 (Supernova) in juli van dit jaar accepteert Thunderbird geen op SHA-1 gebaseerde digitale handtekeningen van S/MIME e-mails meer. Wanneer voor de betreffende signature toch SHA-1 is gebruikt laat Thunderbird een melding zien dat de digitale handtekening ongeldig is. De ontwikkelaars stellen dat de meeste moderne e-mailclients die S/MIME ondersteunen een ander hashing-algoritme ondersteunen, zoals SHA-256. Recentelijk kregen de ontwikkelaars te horen dat SHA-1 in sommige omgevingen nog wordt gebruikt. Het gaat dan om overheidsinstanties die op SHA-1 gebaseerde berichten blijven versturen. De ontvangers van deze e-mails hebben het Thunderbird-ontwikkelteam gevraagd naar een manier om de geldigheid van dergelijke signatures te verifiëren, ondanks het risico dat de handtekening is vervalst. Om deze gebruikers tegemoet te komen biedt Thunderbird vanaf versie 115.4.1 de optie 'mail.smime.accept_insecure_sha1_message_signatures', waarmee dit mogelijk is. Het Thunderbird-ontwikkelteam adviseert deze instelling niet in te schakelen. Organisaties zouden de betreffende afzenders moeten oproepen om naar SHA-256 voor hun signatures te migreren. Zodra dit is gedaan zou de instelling weer moeten worden uitgeschakeld. Het aanpassen van de instelling heeft geen gevolgen voor gesigneerde berichten die via Thunderbird worden verstuurd, aangezien de e-mailclient daarvoor SHA-256 gebruikt. bron: https://www.security.nl