Captain Kirk

Een beveiligingslek in de populaire archiveringssoftware 7-Zip maakt remote code execution mogelijk. Op 19 juni van dit jaar verscheen een versie waarin het probleem is verholpen, maar in de release notes wordt het bestaan van de kwetsbaarheid (CVE-2024-11477) nergens vermeld. Details over de kwetsbaarheid zijn nu door securitybedrijf ZDI openbaar gemaakt. Het bedrijf waarschuwde 7-Zip op 12 juni voor het probleem. De kwetsbaarheid bevindt zich in de implementatie van het Zstandard (ZSTD) compressie-algoritme. Via het algoritme is het mogelijk om bestanden te comprimeren. De manier waarop 7-Zip dit algoritme had geïmplementeerd zorgde ervoor dat gebruikersinvoer niet goed werd gevalideerd, wat bij het uitpakken van een archief kan leiden tot een 'Integer Underflow'. Een aanvaller kan de kwetsbaarheid gebruiken om code in de context van het huidige proces uit te voeren. Het ZDI stelt dat er afhankelijk van de implementatie verschillende aanvalsvectoren zijn waarop een aanvaller misbruik van het beveiligingslek kan maken, maar de meest voor de hand liggende is een doelwit een malafide archiefbestand laten openen. De kwetsbaarheid is verholpen in 7-Zip 24.07. De release notes van deze versie laten alleen weten dat er een 'bug' is gefixt waardoor 7-Zip bij sommige incorrecte ZSTD-archieven zou kunnen crashen. Nergens wordt echter het CVE-nummer of het bestaan van een kwetsbaarheid vermeld. bron: https://www.security.nl

De Europese Commissie heeft vandaag in het Publicatieblad van de Europese Unie de Cyber Resilience Act (CRA) gepubliceerd, die onder andere ervoor moet zorgen dat producten minimaal vijf jaar beveiligingsupdates ontvangen. Ook komt er een meldplicht voor actief misbruikte kwetsbaarheden. De CRA treedt op 10 december dit jaar in werking. Vanaf 10 december 2027 moeten alle producten met digitale elementen aan de CRA voldoen. De Cyber Resilience Act stelt onder andere 'essentiële cyberbeveiligingsvereisten' aan producten met digitale elementen. Het gaat hierbij niet alleen om fysieke, digitale apparaten, zoals IoT-apparatuur, firewalls of netwerkapparatuur, maar ook software zoals videogames, mobiele apps of besturingssystemen en componenten zoals videokaarten en software libraries. "Twee grote problemen die kosten voor gebruikers en de samenleving met zich meebrengen, moeten worden aangepakt: een laag niveau van cyberbeveiliging van producten met digitale elementen, dat tot uiting komt in wijdverbreide kwetsbaarheden en de ontoereikende en inconsistente verstrekking van beveiligingsupdates om die aan te pakken, en onvoldoende inzicht in en toegang tot informatie door gebruikers, waardoor zij niet in staat zijn producten met passende cyberbeveiligingskenmerken te kiezen of die op een veilige manier te gebruiken", zo staat in de tekst van de CRA. De eisen die de CRA stelt moeten ervoor zorgen dat. fabrikanten op een veilige manier producten ontwerpen, ontwikkelen en onderhouden. Zo moeten fabrikanten hun product minimaal vijf jaar van beveiligingsupdates voorzien. Ook vereist de wet dat feabrikanten een proces inrichten om te reageren op kwetsbaarheden en om deze direct te kunnen verhelpen, bijvoorbeeld door een beveiligingsupdate te verstrekken. Meldplicht Een ander punt is een meldplicht voor actief misbruikte kwetsbaarheden en incidenten. Deze verplichting gaat op 10 september 2026 in. Fabrikanten moeten dergelijke beveiligingslekken binnen 24 uur bij een centraal meldingsplatform rapporteren. In Nederland zou dit het Nationaal Cyber Security Centrum (NCSC) zijn. Verdere informatie zou binnen 72 uur moeten volgen, zoals te nemen mitigatiemaatregelen. Een brede coalitie van beveiligings- en privacyexperts die werkzaam zijn voor securitybedrijven, antivirusleveranciers en burgerrechtenbewegingen, waarschuwden eerder nog voor deze meldplicht. De verstrekte informatie zou voor surveillance en inlichtingendoeleinden zijn te misbruiken. Ondanks de zorgen wordt de meldplicht toch ingevoerd. "De CRA gaat gefaseerd van kracht, zodat fabrikanten de tijd krijgen om aan de nieuwe eisen te voldoen", zo laat de Rijksinspectie Digitale Infrastructuur (RDI) weten. "De eerste achttien maanden staan in het teken van voorbereiding, waarin onder andere geharmoniseerde standaarden ontwikkeld worden." De RDI gaat toezicht op het naleven van de CRA houden. bron: https://www.security.nl

De ontwikkelaars van Brave hebben de in de browser ingebouwde adblocker voorzien van 'procedureel filteren', om zo advertenties te blokkeren. Dat hebben de ontwikkelaars aangekondigd. Het blokkeren van advertenties kan ervoor zorgen dat websites er visueel niet goed uitzien, zoals lege ruimtes waar normaal advertenties worden getoond. Een ander punt is dat advertenties soms niet door middel van netwerk requests zijn te blokkeren, omdat de advertenties en webcontent gecombineerd zijn. In deze gevallen past Brave 'cosmetisch filteren' toe om zo ongewenste pagina-elementen te verbergen. Dit wordt gedaan door middel van CSS selectors. Niet alle elementen op een pagina zijn echter door middel van CSS selectors te verbergen. "CSS is declaratief, wat inhoudt dat het het uiterlijk en de layout van een pagina controleert op basis van de paginastructuur in plaats van de inhoud. Dit maakt het lastiger voor ons om het verschil tussen een advertentie en andere paginacontent te bepalen wanneer een advertentie eruitziet als de rest van de pagina", aldus de Brave-ontwikkelaars. Om ook dergelijke advertenties te verbergen ondersteunt Brave nu procedureel filteren. Hierbij geeft de browser een omschrijving van hoe te blokkeren elementen eruitzien. "Procedureel filteren laat ons condities definiëren zoals "blokkeer elementen met de tekst KOOP DIT PRODUCT”. Dit maakt het mogelijk om nauwkeurig pagina-elementen te matchen: we kunnen elementen met specifieke elementen kiezen, die aan een minimale tekstlengte voldoen, of met een bepaalde HTML ancestor. Al met al vergroot dit het soort ongewenste content dat we op het web kunnen blokkeren." Procedureel filteren is toegevoegd aan Brave versie 1.73 voor alle platforms. bron: https://www.security.nl

Palo Alto Networks is bang dat een kritieke kwetsbaarheid in PAN-OS, het besturingssysteem dat op de firewalls van het securitybedrijf draait, op grotere schaal kan worden misbruikt nu exploitcode op internet is verschenen. Securitybedrijf Watchtowr, dat de exploit publiceerde, noemt het verbazingwekkend dat de betreffende kwetsbaarheden in de firewalls van Palo Alto Networks konden verschijnen. Vorige week waarschuwde Palo Alto Networks voor een actief misbruikte kwetsbaarheid in de managementinterface van PAN-OS, Via kwetsbaarheid CVE-2024-0012, een authentication bypass in de managementinterface, kan een ongeauthenticeerde aanvaller PAN-OS adminrechten krijgen en als beheerder allerlei acties uitvoeren. Maandag kwam het bedrijf met een beveiligingsupdate, alsmede de waarschuwing voor een tweede actief misbruikte kwetsbaarheid (CVE-2024-9474) die in combinatie met CVE-2024-0012 wordt gebruikt. Aanvallers gebruiken beide kwetsbaarheden om firewalls met malware te infecteren zoals webshells, om zo toegang tot het apparaat te behouden, aldus Palo Alto Networks. Dat heeft inmiddels een lijst met 23 ip-adressen gegeven die de aanvallers bij de eerder waargenomen aanvallen gebruikten. Het gaat in veel gevallen om ip-adressen van vpn-providers. Nu een exploit online is verschenen zal dit voor een 'bredere dreigingsactiviteit' kunnen zorgen, zo laat een update van het beveiligingsbulletin weten. Klanten worden opgeroepen de update te installeren en ervoor te zorgen dat de managementinterface van hun firewall niet vanaf het internet toegankelijk is. bron: https://www.security.nl

D-Link roept gebruikers op om kwetsbare end-of-life vpn-routers te vervangen en biedt korting bij de aanschaf van een wel ondersteund model. Een kritieke kwetsbaarheid in de producten maakt het voor ongeauthenticeerde aanvallers mogelijk om op afstand code uit te voeren. D-Link heeft geen CVE-nummer van de kwetsbaarheid, maar laat weten dat het probleem speelt in zes modellen vpn-routers: DSR-150, DSR-150N, DSR-250, DSR-250N, DSR-500N en DSR-1000N. Het gaat om een 'stack buffer overflow', maar verdere details zijn niet beschikbaar. De eerste vier van deze modellen worden sinds 1 mei van dit jaar niet meer door D-Link met beveiligingsupdates ondersteund. De DSR-500N en DSR-1000N zijn al sinds eind 2015 end-of-life. D-Link roept gebruikers op om de apparaten door wel ondersteunde routers te vervangen en biedt twintig procent korting bij de aanschaf van een wel ondersteund model. Gebruikers die de kwetsbare routers blijven gebruiken worden onder andere opgeroepen om een uniek wachtwoord voor de webinterface in te stellen. bron: https://www.security.nl

Microsoft gaat begin volgend jaar een nieuwe feature uitrollen genaamd 'Quick Machine Recovery' die ervoor moet zorgen dat Windowscomputers in het geval van problemen zoals een crash sneller te herstellen zijn. Ook wordt het mogelijk voor virusscanners en andere beveiligingssoftware om buiten de kernelmode van Windows te draaien. Daarnaast komt er een nieuwe feature genaamd Administrator Protection, waarmee Windowsgebruikers zonder adminrechten systeemaanpassingen of installaties kunnen uitvoeren. De features en aanpassingen zijn onderdeel van het 'Windows Resiliency Initiative' en moeten helpen om een wereldwijde computerstoring zoals de beveiligingssoftware van CrowdStrike veroorzaakte te voorkomen. Met Quick Machine Recovery kunnen systeembeheerders straks op afstand bepaalde fixes van Windows Update doorvoeren, ook als een Windowscomputer niet kan opstarten. Quick Machine Recovery zal begin volgend jaar als eerste via het Windows Insider Program beschikbaar komen. Kernelmode In juli 2025 wil Microsoft beginnen met het testen van een optie waardoor virusscanners en andere beveiligingssoftware niet meer altijd of volledig in kernelmode moeten draaien. Wanneer applicaties met kernelrechten crashen heeft dit grote gevolgen voor het systeem en maakt herstel lastiger, zoals het probleem met de software van CrowdStrike liet zien. De aanpassing moet volgens Microsoft ervoor zorgen dat zowel security geborgd is als eenvoudiger herstel in het geval van een crash of fout. Administrator Protection laat gebruikers bepaalde zaken waarvoor adminrechten zijn vereist, zoals systeemaanpassingen of de installatie van apps, zonder deze rechten uitvoeren. De aanpassing of installatie kan dan worden bevestigd door middel van Windows Hello, het biometrische authenticatiesysteem van Microsoft. Windows maakt dan een tijdelijk, geisoleerd admintoken aan om de taak uit te voeren. Een andere nieuwe feature die Microsoft vandaag aankondigde zijn 'safe deployment practices' voor beveiligingsproducten. Alle leden van het Microsoft Virus Initiative moeten verschillende 'deployment rings' en uitgebreide monitoring voor hun beveiligingsproducten toepassen. Dit moet voorkomen dat een defecte update voor een grote storing zorgt, omdat de fout dan in een vroeger stadium kan worden opgemerkt. Verder laat Microsoft weten dat het veiligere programmeertalen gaat gebruiken, waarbij implementaties van C++ uiteindelijk worden vervangen door Rust. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid om LoadMaster-loadbalancers van Progress Kemp aan te vallen. Daarvoor waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. De impact van het beveiligingslek (CVE-2024-1212) is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Een loadbalancer verdeelt verkeer over beschikbare servers en kan ook aanvullende functionaliteit bieden, zoals een Web Application Firewall. Een kritiek beveiligingslek in de LoadMaster-loadbalancer maakt het mogelijk voor een ongeauthenticeerde aanvaller, die toegang tot de managementinterface heeft, om via een speciaal geprepareerd commando willekeurige systeemcommando's uit te voeren. Vanwege de ernst van het beveiligingslek liet de supportpagina van Kemp, dat in 2021 door softwarebedrijf Progress werd overgenomen, begin dit jaar een rode banner zien om klanten te waarschuwen. In het beveiligingsbulletin dat in februari verscheen liet Kemp ook weten dat het wachtwoordbeleid is aangepast en werden klanten opgeroepen hun accountwachtwoord te wijzigen. Het CISA geeft geen details over de waargenomen aanvallen. bron: https://www.security.nl

Aanvallers maken actief misbruik van twee kwetsbaarheden in VMware vCenter Server, waaronder een kritiek beveiligingslek dat het voor ongeauthenticeerde aanvallers mogelijk maakt om op afstand code op kwetsbare servers uit te voeren. Dat laat Broadcom weten, dat op 17 september met beveiligingsupdates voor beide kwetsbaarheden (CVE-2024-38812 en CVE-2024-38813) kwam. >VCenter Server is een oplossing om vanaf één gecentraliseerde plek virtual machines, meerdere ESXi-hosts en andere onderdelen te beheren. Zo kunnen organisaties hun virtuele omgevingen configureren, controleren en monitoren. VCenter maakt gebruik van DCE RPC, een protocol voor het aanroepen van een procedure op een remote machine alsof het een local procedure call is. Het DCE RPC-protocol binnen vCenter bevatte een heap-overflow kwetsbaarheid. Door het versturen van speciaal geprepareerde netwerkpakketten kan een aanvaller met toegang tot een vCenter-server code op het systeem uitvoeren. De impact van het beveiligingslek (CVE-2024-38812) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De tweede actief aangevallen kwetsbaarheid, CVE-2024-38813, maakt het mogelijk voor een aanvaller met netwerktoegang tot de vCenter-server om zijn rechten te verhogen naar die van root. Dit kan door het versturen van een speciaal geprepareerd netwerkpakket. Eind oktober maakte Broadcom bekend dat de in september uitgebrachte update voor CVE-2024-38812 onvoldoende is. Er werd een tweede update uitgebracht om het beveiligingslek volledig te verhelpen. Gisteren liet het bedrijf weten dat aanvallers inmiddels actief misbruik van CVE-2024-38812 en CVE-2024-38813 maken. Details over de aanvallen zijn niet gegeven. bron: https://www.security.nl

Oracle heeft buiten de vaste patchcyclus om een noodupdate uitgebracht voor een actief aangevallen kwetsbaarheid in Agile Product Lifecycle Management (PLM). De aanvallen vonden al voor het uitkomen van de patch plaats. Oracle Agile PLM is een platform dat bedrijven moet helpen bij de levenscyclus van een product, zoals het ontwerp, de ontwikkeling, lancering en beheer. De oplossing draait op een eigen applicatieserver en bevat allerlei informatie over nog te ontwerpen, ontwikkelen en lanceren producten. Een kwetsbaarheid in Oracle PLM maakt het mogelijk voor ongeauthenticeerde aanvallers met toegang tot de oplossing om vertrouwelijke bestanden te stelen. Oracle werd door securitybedrijf CrowdStrike ingelicht dat de kwetsbaarheid bij aanvallen werd ingezet. De impact van het beveiligingslek, aangeduid als CVE-2024-21287, is op een schaal van 1 tot en met 10 beoordeeld met 7.5. Oracle roept bedrijven op om de update zo snel mogelijk te installeren. Oracle geeft geen details over de waargenomen aanvallen of technische details over de kwetsbaarheid, behalve dat het beveiligingslek op afstand is te misbruiken, waarbij de aanvaller niet over een gebruikersnaam en wachtwoord hoeft te beschikken. bron: https://www.security.nl

Het Internet Storm Center (ISC) meldt vandaag dat aanvallers actief misbruik maken van kwetsbaarheden in 'Citrix Session Recording' waarvoor op 12 november updates verschenen. Citrix Virtual Apps and Desktops is software voor het virtualiseren van applicaties. Het is een remote access oplossing die ervoor zorgt dat Windowsapplicaties, die op een server draaien, vanaf allerlei apparaten toegankelijk zijn. De virtualisatiesoftware zorgt ervoor dat eindgebruikers applicaties kunnen draaien ongeacht het besturingssysteem en interface van hun apparaat, aldus de uitleg van Citrix. Het wordt vooral voor thuiswerken gebruikt. Citrix biedt ook de mogelijkheid om de sessie van de gebruiker op te nemen, zodat een beheerder die later kan bekijken. Deze 'Session Recording Server', kan op dezelfde machine draaien waarop de Citrix Virtual Apps and Desktop is geïnstalleerd of een aparte machine. De Session Recording Service bevat een deserialization kwetsbaarheid waar een ongeauthenticeerde aanvaller misbruik van kan maken. Die kan een speciaal geprepareerd request naar de server sturen die uiteindelijk bij de kwetsbare service terechtkomt en wordt uitgevoerd, aldus securitybedrijf Watchtowr dat de kwetsbaarheid vorige week beschreef, alsmede proof-of-concept exploitcode gaf. Het Internet Storm Center laat weten dat het actief misbruik van de kwetsbaarheid heeft waargenomen, waarbij aanvallers een request versturen dat de server een script laat uitvoeren. Wat het script precies doet is onbekend. Update Citrix kwam op 12 november met updates voor de door Watchtowr gevonden kwetsbaarheden, aangeduid als CVE-2024-8068 en CVE-2024-8069. Op 14 november wijzigde Citrix het beveiligingsbulletin en veranderde de naam van 'Citrix Virtual Apps and Desktops' in 'Citrix Session Recording', om beter het kwetsbare product weer te geven. Het artikel is hierop aangepast. Watchtowr publiceerde op 12 november informatie over beide kwetsbaarheden, maar stelde toen dat er nog geen CVE-nummers bekend waren. bron: https://www.security.nl

Palo Alto Networks heeft twee actief aangevallen kwetsbaarheden in PAN-OS gedicht (CVE-2024-9474 en CVE-2024-0012) die worden gebruikt voor het aanvallen van firewalls. Vorige week waarschuwde het securitybedrijf voor de aanvallen, die plaatsvinden via de managementinterface van PAN-OS, het besturingssysteem dat op de firewalls van Palo Alto Networks draait. Via kwetsbaarheid CVE-2024-0012, een authentication bypass in de managementinterface, kan een ongeauthenticeerde aanvaller PAN-OS adminrechten krijgen en als beheerder allerlei acties uitvoeren. Palo Alto Networks waarschuwde vorige week al voor dit beveiligingslek, maar had toen geen verdere technische details of een CVE-nummer. In afwachting op een update werd organisaties aangeraden de managementinterface niet toegankelijk vanaf internet te maken. Vanmiddag is de beveiligingsupdate verschenen waarmee het probleem wordt verholpen. Daarnaast waarschuwt het securitybedrijf voor een tweede actief aangevallen kwetsbaarheid die in combinatie met CVE-2024-0012 is gebruikt. Het gaat om CVE-2024-9474, een kwetsbaarheid in de managementinterface waardoor een aanvaller die al toegang heeft zijn rechten kan verhogen. Een PAN-OS-beheerder met toegang tot de managementinterface kan via deze kwetsbaarheid acties op de firewall met rootrechten uitvoeren. Dit beveiligingslek, met een impactscore van 6.9, is bij de recent waargenomen aanvallen gecombineerd met CVE-2024-0012. Ook voor deze kwetsbaarheid zijn updates verschenen. Organisaties worden opgeroepen de updates met de 'highest urgency' te installeren. bron: https://www.security.nl

Europese privacytoezichthouders moeten de AVG strenger handhaven, want het schenden van de Europese privacywetgeving heeft in de praktijk vaak weinig tot geen gevolgen, zo stelt de bekende privacyactivist Max Schrems. Wie verkeerd parkeert of een snelheidsovertreding begaat krijgt vaak meteen een boete. Er is geen e-mail of uitleg dat je niet de snelheid moet overtreden, aldus Schrems in een interview ter gelegenheid van het 20-jarig bestaan van de Europese privacytoezichthouder EDPS. "Maar als je een bigtechbedrijf, of zelfs een gemiddeld bedrijf bent, dan heeft het zeer weinig gevolgen als de wet wordt geschonden", stelt Schrems. Hij voegt toe dat deze cultuur van het niet naleven nu ook op juridische conferenties zichtbaar wordt. Zo stellen advocaten op het podium dat er niets zal gebeuren als de AVG wordt overtreden, laat de privacyactivist weten. Volgens Schrems weten alle organisaties en bedrijven inmiddels dat ze zich aan de AVG zouden moeten houden. De wet zou dan ook streng moeten worden gehandhaafd, maar in de praktijk blijken veel toezichthouders zich nog altijd veel op voorlichting te richten. Bedrijven die de fout in gaan krijgen niet meteen een boete, maar eerst een waarschuwing om de overtreding te stoppen. Daarnaast zijn er meerdere toezichthouders die hun beslissingen niet publiceren. Daardoor weet het publiek niet welke bedrijven de AVG hebben overtreden en gaat er ook geen afschrikwekkende werking uit van boete of berispingen. Een ander punt dat Schrems noemt zijn de boetebedragen. "We weten dat met name Sillicon Valley denkt dat als je slechts één of twee procent per jaar als 'privacybelasting' betaalt, je gewoon kunt doorgaan." Als een AVG-overtreding echt gevolgen zou hebben, zou de manier van denken mogelijk ook veranderen, aldus Schrems, die oproept duidelijke en strenge handhaving. bron: https://www.security.nl

Een kritieke kwetsbaarheid in videoservers en een ANPR-systeem voor het lezen van kentekenplaten van GeoVision wordt actief misbruikt voor het aanvallen van kwetsbare apparaten, zo melden de fabrikant, de Taiwanese overheid en The Shadowserver Foundation. De apparaten in kwestie zijn end-of-life en zullen dan ook geen beveiligingsupdates meer ontvangen. Zeventienduizend Geovision-apparaten zijn vanaf internet toegankelijk, waarvan 75 in Nederland. Niet al deze apparaten zijn ook kwetsbaar, aldus The Shadowserver Foundation, een stichting die zich met de bestrijding van cybercrime bezighoudt. Het beveiligingslek (CVE-2024-11120) betreft command injection en laat een ongeauthenticeerde aanvaller op afstand willekeurige systeemcommando's op het apparaat uitvoeren. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het probleem speelt bij de GV-VS11 en GV-VS12, twee videoservers van GeoVision waarmee het mogelijk is om analoge beveiligingscamera's met een netwerk te verbinden. Daarnaast is ook de GV-DSP_LPR kwetsbaar, een systeem voor Automatic Number Plate Recognition (ANPR), waarmee het mogelijk is om kentekenplaten te herkennen. Tevens zijn ook verschillende andere GeoVision-apparaten kwetsbaar. De devices in kwestie zijn end-of-life, wat inhoudt dat ze niet meer door GeoVision worden ondersteund. De fabrikant zal dan ook niet met beveiligingsupdates komen. The Shadowserver Foundation waarschuwt dat aanvallers de kwetsbaarheid misbruiken om kwetsbare apparaten met malware te infecteren en zo onderdeel van een botnet te maken. Eigenaren worden dan ook aangeraden de apparaten offline te halen en te vervangen door nog wel ondersteunde apparatuur. bron: https://www.security.nl

Een beveiligingslek in de vpn-client van Fortinet wordt actief gebruikt voor het stelen van inloggegevens, zo stelt securitybedrijf Volexity. Een update voor de kwetsbaarheid is nog niet beschikbaar, alsmede een CVE-nummer, aldus de onderzoekers. Die ontdekten het beveiligingslek tijdens onderzoek naar de Deepdata-malware. Die blijkt op besmette systemen uit het geheugen de inloggegevens van de FortiClient voor Windows te stelen. Volexity waarschuwde Fortinet op 18 juli en kreeg op 24 juli bevestiging van het probleem. Via het beveiligingslek in FortiClient is het mogelijk voor malware op het systeem om gebruikersnaam, wachtwoord, remote gateway en poort uit twee verschillende JSON-objecten in het geheugen uit te lezen, zo leggen de onderzoekers uit. De gestolen informatie wordt vervolgens naar de aanvallers gestuurd. Naast inloggegevens van FortiClient kan de malware ook van zeventien andere programma's informatie stelen, waaronder KeePass, OneDrive, OpenSSH, WinSCP, SecureCRT, Putty, Windows en Xftp. bron: https://www.security.nl

Aanvallers gebruiken een nieuwe kwetsbaarheid om firewalls van Palo Alto Networks met een webshell te infecteren. Een update voor het beveiligingslek, details of een CVE-nummer zijn nog altijd niet door het securitybedrijf gegeven. Een webshell is een programma dat aanvallers op een gecompromitteerd systeem plaatsen om zo toegang tot het systeem te behouden en verdere aanvallen te kunnen uitvoeren. Vorige week waarschuwde Palo Alto Networks dat aanvallers actief misbruik maken van een kwetsbaarheid in PAN-OS, het besturingssysteem dat op de firewalls van het securitybedrijf draait. Via de kwetsbaarheid kan een ongeauthenticeerde aanvaller op afstand code op de firewall uitvoeren. Voorwaarde is wel dat de managementinterface toegankelijk is. Verdere details over het beveiligingslek zijn niet gegeven. Dit weekend kwam Palo Alto Networks met aanvullende informatie. Zo heeft het bedrijf verschillende ip-adressen gegeven waarvandaan de aanvallen worden uitgevoerd. Daarbij wordt benadrukt dat het om ip-adressen van legitieme vpn-providers kan gaan. Daarnaast installeren de aanvallers een niet nader genoemde webshell, waarvan een checksum is gegeven. De enige oplossing die Palo Alto Networks op dit moment heeft is het beveiligen van toegang tot de managementinterface van de firewall. Het bedrijf zegt aan een update te werken, maar laat niet weten wanneer die te verwachten valt. bron: https://www.security.nl

Een beveiligingsonderzoeker kon door middel van verschillende kwetsbaarheden miljoenen Electronic Arts-accounts overnemen, zonder dat hier enige interactie van gebruikers voor was vereist. Dat laat onderzoeker Sean Kahler in een analyse weten. Electronic Arts (EA) heeft de problemen inmiddels verholpen, maar had daar wel zo'n vier maanden en vijf patches voor nodig. Kahler beschrijft hoe hij binnen de authentication API-omgeving van Electronic Arts een 'privileged access token' had bemachtigd. Hoe dit precies mogelijk was zegt de onderzoeker op een later moment bekend te maken, maar het zou gaan om een executable bestand van een EA-game met daarin hardcoded credentials. Vervolgens wist Kahler via een bereikbaar endpoint andere endpoints te vinden. Elk account dat wordt gekoppeld aan een EA-account krijgt een 'persona', waaronder het standaard EA-account. Kahler weet via de gevonden endpoints en API's zijn eigen persona's aan elk willekeurig EA-account koppelen alsmede elk willekeurig persona aan zijn eigen EA-account en zo op de accounts van andere gebruikers in te loggen. In eerste instantie loopt de onderzoeker hierbij tegen een probleem aan dat er een e-mailverificatie is vereist, omdat er vanaf een nieuwe locatie wordt ingelogd. Kahler ontdekt dat deze controle is te omzeilen door meteen in te loggen via een spelcomputer, zoals de Xbox, wat ervoor zorgt dat EA de locatie 'vertrouwt'. Daarna is het gewoon mogelijk om via de EA-website op het account in te loggen. Via de kwetsbaarheden kan de onderzoekers gebruikersnamen van andere gebruikers stelen, alsmede hun game data, inloggen op de accounts van andere gebruikers, persona's van andere gebruikers bannen en opgelegde bans omzeilen. Al deze zaken zijn zonder enige interactie van de betreffende gebruikers uit te voeren. Electronic Arts wordt op 16 juni door Kahler over de kwetsbaarheden ingelicht en stelt dat het om een kritiek probleem gaat. In de volgende maanden verschijnen er vijf patches om de problemen te verhelpen, waarbij de laatste update op 8 oktober wordt uitgerold. "Gegeven de ernst is het vreemd hoe lang EA nodig had om de fixes uit te rollen. Hun originele inschatting was dat het pas tegen het einde van dit jaar was opgelost, ondanks dat het een eenvoudig geval is van blootgestelde documentatie en een enkel onbeveiligd endpoint." Daarnaast noemt de onderzoeker het teleurstellend dat EA geen bugbountyprogramma heeft. bron: https://www.security.nl

QNAP voorziet de nieuwste versies van besturingssystemen QTS en QuTS hero tot augustus 2029 van beveiligingsupdates. Dat heeft de NAS-fabrikant vandaag bekendgemaakt. QTS en QuTS zijn de besturingssystemen die op de NAS-apparaten van QNAP draaien. QTS 5.2 en QuTS hero h5.2 zijn aangemerkt als long-term support (LTS) releases en zullen daardoor langer met beveiligingsupdates worden ondersteund dan normale versies. "Wanneer een besturingssysteemversie de LTS-fase ingaat, ontvangen bepaalde niet-ingebouwde toepassingen voor het besturingssysteem ook continue ondersteuning met verbeteringen in de beveiliging en bugfixes. Deze toepassingen hebben betrekking op belangrijke functies zoals opslag, back-up en synchronisatie, virtualisatie en gegevensbescherming", aldus QNAP. Met het toepassen van een levenscyclus moet het volgens de NAS-fabrikant eenvoudiger voor beheerders worden om hun it-infrastructuur te beheren. bron: https://www.security.nl

Een kritieke kwetsbaarheid maakt het mogelijk voor een ongeauthenticeerde aanvaller om Cisco Ultra-Reliable Wireless Backhaul (URWB) access points op afstand over te nemen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Cisco heeft beveiligingsupdates uitgebracht om het probleem te verhelpen. De kwetsbaarheid (CVE-2024-20418) bevindt zich in de webinterface van de Cisco Unified Industrial Wireless Software. Deze software draait op de Ultra-Reliable Wireless Backhaul (URWB) access points. Deze access points zijn vooral bedoeld voor 'industrieel buitengebruik' en 'vitale toepassingen'. Het access point biedt wifi-mogelijkheden waar industriële systemen gebruik van kunnen maken. Het apparaat wordt onder andere in havens en autonome voertuigen gebruikt. CVE-2024-20418 betreft een command injection-kwetsbaarheid in de webinterface van het access point. Doordat de validatie van gebruikersinvoer tekort schiet kan een aanvaller een speciaal geprepareerd http-request naar de webinterface sturen en zo willekeurige commando's met rootrechten uitvoeren. Een aanvaller kan zo volledige controle over het systeem krijgen. Het beveiligingslek is aanwezig in de Catalyst IW9165D en IW9167E heavy duty access points en Catalyst IW9165E rugged access points en wireless clients. Access points die niet in de 'URWB mode' draaien zijn niet kwetsbaar. bron: https://www.security.nl

Duizenden systemen waarmee organisaties de toegang tot gebouwen beheren zijn door middel van een kritieke kwetsbaarheid op afstand door een ongeauthenticeerde aanvaller over te nemen. De fabrikant werd vijf maanden geleden ingelicht, maar heeft nog altijd geen beveiligingsupdate uitgebracht. Het probleem is aanwezig in de Linear eMerge E3 van fabrikant Nice. De Linear eMerge is een browser-gebaseerd toegangsplatform waarmee organisaties de fysieke toegang tot hun gebouwen kunnen beheren. Via het systeem kunnen beheerders toegangspermissies instellen, het binnenkomen van personen monitoren en overzichten genereren. Het systeem biedt ook een webportaal waarmee het mogelijk is om op afstand op het systeem in te loggen. Een kwetsbaarheid in de oplossing maakt command injection mogelijk, waardoor een ongeauthenticeerde aanvaller op afstand willekeurige commando's op het systeem kan uitvoeren. Hoewel Nice werd geïnformeerd over het beveiligingslek is een update nog niet beschikbaar. Securitybedrijf Censys voerde een online scan uit en ontdekte meer dan 2700 webportalen die vanaf internet toegankelijk zijn en risico lopen. Organisaties wordt geadviseerd om de systemen offline te halen, netwerksegmentatie toe te passen, toegang door ongeautoriseerde personen te beperken en het monitoren op verdacht gedrag. De impact van de kwetsbaarheid (CVE-2024-9441) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. bron: https://www.security.nl

Google Cloud gaat het gebruik van multifactorauthenticatie (MFA) voor alle gebruikers verplichten die nu nog met alleen met een gebruikersnaam en wachtwoord inloggen. De verplichting zal volgend jaar gefaseerd wereldwijd worden uitgerold. Daarbij zullen zowel organisaties als gebruikers worden gewaarschuwd voor de aankomende verplichting en de manier waarop ze MFA kunnen instellen. Deze maand start het techbedrijf met het informeren van gebruikers en organisaties via meldingen in de Google Cloud console. Vervolgens zal begin volgend jaar MFA worden verplicht voor alle nieuwe en bestaande gebruikers die met alleen een wachtwoord inloggen. Als laatste volgen eind 2025 de 'federated users' die via een identiteitsprovider inloggen. Google benadrukt dat MFA een 'cruciale maatregel' is om accounts tegen ongeautoriseerde toegang te beschermen en roept gebruikers op om het zo snel mogelijk in te stellen. bron: https://www.security.nl

Onderzoekers hebben een phishingaanval ontdekt waarbij slachtoffers worden misleid om een virtual machine met backdoor te installeren. De aanval begint zeer vermoedelijk met een phishingmail, waarbij wordt gelinkt naar een zogenaamde enquête genaamd 'OneAmerica Survey'. In werkelijkheid gaat het om een 285 megabyte groot bestand, dat een installatie van QEMU bevat, een open source emulator. De QEMU-installatie laadt een Linux-instance die voorzien is van een backdoor, waardoor de aanvaller verbinding met de besmette machine kan maken. "Deze setup stelt de aanvaller in staat om onopvallend aanwezig te blijven op de machine van het slachtoffer, verdere aanvallen vanuit een verborgen omgeving uit te voeren, wat detectie voor traditionele virusscanners lastig maakt. Aangezien QEMU legitieme software is, die vaak wordt gebruikt in ontwikkeling en onderzoek, zal de aanwezigheid ervan meestal geen alarm laten afgaan", aldus securitybedrijf Securonix. "Niet een veelvoorkomende techniek, toch? Eigenlijk kan ik me op dit moment zelfs niet herinneren of ik QEMU ooit eerder op deze manier in een malwarecampagne heb gezien. Zelfs als dit niet volledig nieuw is, is het zeker niet gewoon", aldus MalwareHunterTeam op X. Organisaties wordt onder andere aangeraden om het gebruik van legitieme software op ongebruikelijke locaties te monitoren en alert te zijn op het downloaden van bestanden van externe bronnen. bron: https://www.security.nl

Meer dan dertig beveiligingslekken in IBM Security Verify Access, waardoor een aanvaller de oplossing kan compromitteren, zijn na anderhalf jaar gepatcht, wat volgens beveiligingsonderzoeker Pierre Kim 'zeer zorgwekkend' is. IBM Security Verify Access is een 'authorization and network security policy management solution' waarmee organisaties hun gebruikers op intra- en extranetten kunnen authenticeren en autoriseren. Het is te gebruiken voor applicaties en client/server-toepassingen. Kim ontdekte in totaal 32 kwetsbaarheden in de oplossing waardoor een aanvaller zijn rechten op het systeem kan verhogen, het mogelijk is de authenticatie te omzeilen en remote code execution kan plaatsvinden. "TL;DR: Een aanvaller kan IBM Security Verify Access door middel van meerdere kwetsbaarheden compromitteren", vat Kim zijn onderzoek samen. Daarnaast werden in de IBM Security Verify Access runtime Docker images verouderde en niet meer vertrouwde certificaatautoriteiten aangetroffen, waaronder DigiNotar. Voorwaarde om misbruik van de kwetsbaarheden te maken is dat de aanvaller in staat is om een man-in-the-middle (MITM)-aanval op de verbinding naar de Security Verify Access-server uit te voeren of vanuit het lokale netwerk toegang krijgt. De beveiligingslekken werden in oktober 2022 ontdekt en begin 2023 aan IBM gerapporteerd. Uiteindelijk waren die eind juni van dit jaar allemaal gepatcht. "Anderhalf jaar nodig hebben om te komen met beveiligingsupdates voor een Single sign-on (SSO)-oplossing lijkt niet in lijn te zijn met huidige cybersecurityrisico's en is zeer verontrustend", aldus Kim. bron: https://www.security.nl

QNAP heeft een beveiligingsupdate uitgebracht voor een kritieke kwetsbaarheid in QuRouter (CVE-2024-50389), waardoor routers van de fabrikant op afstand zijn over te nemen. Het beveiligingslek werd op 22 oktober tijdens de Pwn2Own-hackwedstrijd in Ierland gedemonstreerd. Het evenement beloont onderzoekers voor het demonstreren van onbekende beveiligingslekken in veel gebruikte producten en software, waaronder verschillende routers. Onderzoekers van Viettel Cyber Security lieten zien hoe ze via de kritieke kwetsbaarheid de QNAP QHora-322-router op afstand konden compromitteren, om daarvandaan de aangesloten TrueNAS Mini X over te nemen. QNAP heeft nu een update voor QuRouter uitgebracht, het besturingssysteem dat op de routers van de fabrikant draait. Details over het beveiligingslek zelf zijn echter niet gegeven, behalve dat het om een kritiek probleem gaat dat in versie 2.4.5.032 en nieuwer is verholpen. bron: https://www.security.nl

Nog altijd vinden er phishingaanvallen plaats via gekaapte hotel-accounts op Booking.com, zo bevestigt het reserveringsplatform. Afgelopen juni riep Booking zowel hotels als gasten op om tweefactorauthenticatie (2FA) voor hun accounts te gebruiken. Bij de phishingaanvallen weten aanvallers de systemen van hotels met malware te infecteren en kunnen zo de inloggegevens voor het account op Booking.com stelen. Vervolgens sturen de aanvallers naar gasten die bij het betreffende hotel hebben geregistreerd een phishingbericht dat de gegevens opnieuw bevestigd moeten worden. De meegestuurde link is een phishingsite die om creditcardgegevens en andere informatie vraagt. Doordat het bericht van het hotel zelf via het Booking.com-platform afkomstig is, kunnen gasten denken dat het om een legitiem bericht gaat. Deze werkwijze vindt al enige tijd plaats. Een jaar geleden beschreef securitybedrijf Secureworks hoe een hotel met infostealer-malware werd gecompromitteerd. Infostealer-malware steelt allerlei gegevens van het systeem, waaronder ook de inloggegevens van het hotel voor Booking.com. Het hotel in kwestie waarover Secureworks schreef maakte geen gebruik van 2FA, waardoor de aanvallers met de gestolen data meteen op het account konden inloggen. Vervolgens werden er phishingberichten naar gasten gestuurd. It-journalist Brian Krebs meldt op basis van een nieuw gecompromitteerd hotel dat deze phishingaanvallen nog altijd plaatsvinden. Booking.com bevestigt dit. Volgens het reserveringsplatform was het hotel waarover Krebs schrijft besmet geraakt met malware. Booking voegt toe dat 2FA inmiddels voor partners verplicht is en wordt gehandhaafd. Krebs merkt op dat het onduidelijk is of deze 2FA-verplichting voor alle of alleen nieuwe partners geldt die via het platform actief zijn. bron: https://www.security.nl

Cisco heeft door een configuratiefout op de eigen DevHub-site bestanden bedoeld voor klanten onbedoeld gelekt, die zodoende door een aanvaller gestolen konden worden. Via DevHub maakt Cisco scripts, templates, code en andere software beschikbaar voor klanten en gebruikers van de site. Het grootste deel van de informatie op DevHub is bewust publiek beschikbaar, aldus het netwerkbedrijf in een melding over een security-incident. Vorige maand claimde iemand op een online forum een 'Cisco Data Breach'. Volgens deze persoon beschikte hij over allerlei gevoelige informatie van Cisco. Het bedrijf deed daarop een onderzoek en stelde dat het om bestanden van de DevHub-site ging. Verder onderzoek wees uit dat een configuratiefout ervoor zorgde dat bestanden bedoeld voor klanten, die niet publiek hadden moeten zijn, toch zijn gepubliceerd. Volgens Cisco betreft het een 'beperkt aantal' CX Professional Services-klanten die inmiddels zijn ingelicht. Om wat voor soort configuratiefout het precies gaat laat Cisco niet weten. Het probleem is inmiddels verholpen, aldus de verklaring. Verder stelt Cisco op basis van voorlopig onderzoek dat er geen informatie is gelekt waardoor een aanvaller toegang kan krijgen tot de productie- of bedrijfsomgevingen van het bedrijf. bron: https://www.security.nl