Captain Kirk

De overstap naar kwantumbestendige encryptie zal in veel gevallen niets meer zijn dan het installeren van een software-update, hoewel dat niet overal het geval is, zo stelt het Britse National Cyber Security Centre (NCSC). "Het upgraden van de meeste internetdiensten (en de apps die deze diensten gebruiken) zal waarschijnlijk een van de 'eenvoudigere' onderdelen van de overstap zijn", aldus de Britse overheidsdienst. In het geval van legacy of sector-specifieke protocollen zal er meer werk zijn vereist, maar zijn academici en de industrie daar al enige tijd mee bezig. In het geval deze systemen niet naar kwantumbestendige crypto kunnen overstappen zullen die uiteindelijk tijdens geplande levenscyclus worden vervangen. Het NCSC zal de komende jaren specifieke adviezen voor vitale organisaties gaan geven om bij de overstap te helpen. Toch zal de overstap in de meeste gevallen niets meer zijn dan het installeren van een update. "Veel van de gevallen betreft internetdiensten of apps die door grote serviceproviders worden ontwikkeld en beheerd. In zulke gevallen zal de overstap door middel van een update van de betreffende provider plaatsvinden. Personen en organisaties die voor hun encryptie van grote aanbieders afhankelijk zijn, moeten het advies van het NCSC volgen over het up-to-date houden van software en apparaten, en dan zal de overstap grotendeels achter de schermen plaatsvinden." bron: https://www.security.nl

Een kritiek beveiligingslek in Apache ActiveMQ wordt actief gebruikt bij ransomware-aanvallen. De Amerikaanse overheid heeft federale instanties opgedragen om de beveiligingsupdate voor het probleem, die vorige week verscheen, binnen drie weken te installeren. Apache ActiveMQ is een open source 'message broker' voor het uitwisselen van berichten tussen verschillende applicaties. Een kritieke remote code execution kwetsbaarheid in de software, aangeduid als CVE-2023-46604, maakt het mogelijk voor aanvallers om willekeurige shellcommando's op systemen uit te voeren. De impact van het lek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Op 25 en 26 oktober verscheen een patch voor de kwetsbaarheid. Inmiddels maken aanvallers actief misbruik van het lek om systemen met ransomware te infecteren, zo meldt securitybedrijf Rapid7. Organisaties worden opgeroepen om de patch zo snel mogelijk uit te rollen. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft federale overheidsinstanties gisteren opgedragen om de update voor 17 november te installeren. Vandaag kwam de Apache Foundation met verdere uitleg over de kwetsbaarheid, aangezien die voor veel vragen van gebruikers zorgt. De Shadowserver Foundation meldde onlangs dat duizenden kwetsbare ActiveMQ-instances vanaf het internet toegankelijk zijn. bron: https://www.security.nl

Mozilla krijgt een optie waardoor gebruikers links zonder trackingparameters kunnen kopiëren, zo blijkt uit een vroege testversie van de browser. Firefox kan dergelijke parameters al strippen als gebruikers bijvoorbeeld op links klikken. Bij het kopiëren van een link wordt op dit moment het trackinggedeelte ook gekopieerd, wat inhoudt dat gebruikers dit handmatig moeten verwijderen. Trackingparameters worden overal op internet gebruikt. Het gaat dan bijvoorbeeld om het Facebook click ID dat Facebook aan url's op het platform toevoegt en het mogelijk maakt om clicks naar externe sites te tracken. Andere voorbeelden waar het vaak wordt toegepast zijn nieuwsbrieven en zoekmachines. Het gaat dan om url's als https://example.com?utm_source=newsletter1&utm_medium=email&utm_campaign=sale, https://example.com?fbclid=<61-char-long-unique-identifier> en https://google.com/search?q=my+search&gs_lcp=<128-char-long-unique-identifier>. Firefox kan trackingparameters in de 'strict mode' van de Enhanced Tracking Protection (ETP) strippen. Via ETP blokkeert Firefox allerlei trackers. Het is echter mogelijk om de privacyfeature strenger in te stellen, waardoor ook trackingparameters worden gestript. In een nieuwe versie van de browser kunnen gebruikers deze trackingparameters ook bij het kopiëren van een link laten strippen. De feature is nu al beschikbaar in Firefox Nightly, een vroege testversie van de browser. Als alles goed gaat zal de feature in de uiteindelijke versie van Firefox 120 verschijnen, die voor 21 november gepland staat. bron: https://www.security.nl

Verschillende internetbedrijven en organisaties, waaronder Mozilla, Mullvad, Cloudflare en de Linux Foundation, slaan alarm over het certificaatplan dat onderdeel van de Europese digitale identiteit is. Volgens de organisaties vormt het plan een gevaarlijke ingreep in een systeem dat essentieel is voor het beveiligen van het internet. De kritiek is gericht op de eIDAS 2.0-verordening, wat staat voor ‘Electronic Identities And Trust Services’. "Oftewel een Europees raamwerk voor Digitale Identiteit", zo liet demissionair staatssecretaris Van Huffelen eind oktober weten (pdf). De verordening bevat bepalingen voor de Europese digitale identiteit. Een onderdeel van het voorstel, aangeduid als artikel 45 en 45a, verplicht browserleveranciers om Qualified Website Authentication Certificates (QWACs) te accepteren die door Qualified Trusted Service Providers worden uitgegeven. Qualified Trusted Service Providers is een andere naam voor certificaatautoriteiten, de partijen die tls-certificaten uitgeven gebruikt voor identificatie en versleutelde verbindingen tussen websites en bezoekers. Op dit moment accepteren browsers alleen certificaatautoriteiten die aan verschillende standaarden voldoen. De Europese Commissie wil browserleveranciers kunnen dwingen om Qualified Trusted Service Providers te vertrouwen en aan hun browser toe te voegen, ongeacht of ze aan de eisen voldoen die voor andere certificaatautoriteiten gelden. Daarnaast hebben browserleveranciers geen mogelijkheid om Qualified Trusted Service Providers die zich misdragen uit de browser te verwijderen. Volgens experts kan dit grote gevolgen voor de veiligheid van het web hebben en de EU werd dan ook opgeroepen om het certificaatplan te wijzigen. Ondanks steun van verschillende commissies voor het aanpassen van de tekst ging de Europese Raad toch akkoord met het omstreden certificaatplan. "Artikelen 45 en 45a van de voorgestelde eIDAS-verordening zullen waarschijnlijk de veiligheid van het gehele internet verzwakken", aldus Bytecode Alliance, Cloudflare, DNS0.EU, Fastly, Internet Security Research Group, Linux Foundation, Mozilla, Mullvad, OpenSSF en Sigstore in een gezamenlijke verklaring (pdf). Naast de eerder genoemde risico's bestaat er ook de mogelijkheid dat gebruikers en bedrijven buiten Europa een aparte lijst van certificaatautoriteiten gaan gebruiken, zonder de extra verplichte toevoegingen van de EU. "Dit beperkt de veiligheidsgevolgen van deze aanpassingen tot alleen Europese burgers, maar kan ook tot een gefragmenteerd web leiden waar sommige sites buiten Europa niet toegankelijk zijn", zo waarschuwen de organisaties. Die verzoeken het Europees Parlement en de lidstaten niet met de twee artikelen akkoord te gaan. Vermoedelijk zal er eind november of begin december over het voorstel worden gestemd. bron: https://www.security.nl

Onderzoekers melden grootschalig misbruik van een kritieke kwetsbaarheid in NetScaler ADC en NetScaler Gateway waardoor aanvallers toegang tot systemen kunnen krijgen. Volgens securitybedrijf Mandiant zijn onder andere overheidsinstanties en techbedrijven getroffen. Onder de aanvallers bevinden zich ook verschillende ransomwaregroepen. NetScaler ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. Via de NetScaler Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. Via de kwetsbaarheid (CVE-2023-4966) kan een ongeauthenticeerde aanvaller toegang tot geheugen van het systeem krijgen en zo sessietokens van gebruikers stelen. Met deze tokens kan vervolgens toegang tot het systeem worden verkregen, zonder dat hiervoor nog inloggegevens of multifactorauthenticatie is vereist. Een aanvaller kan de gestolen session key opnieuw afspelen en zo toegang krijgen. Eenmaal ingelogd verkennen de aanvallers zowel het aangevallen systemen als andere systemen in het netwerk van de organisatie, proberen ze verdere inloggegevens te stelen en zich via het remote desktop protocol (RDP) lateraal door het netwerk te bewegen. Mandiant stelt dat onderzoek naar misbruik van CVE-2023-4966 lastig is, omdat de webserver op het systeem geen requests of foutmeldingen naar het kwetsbare endpoint opslaat. Citrix ontdekte de kwetsbaarheid zelf en kwam hiervoor op 10 oktober met een beveiligingsupdate. Volgens Mandiant maken aanvallers echter al sinds eind augustus misbruik van de kwetsbaarheid voor het aanvallen van organisaties. In eerste instantie ging het om beperkte aanvallen, maar sinds een week is er sprake van grootschalig misbruik, zegt beveiligingsonderzoeker Kevin Beaumont. Vorige week besloot Citrix organisaties op te roepen om de update meteen te installeren. Mandiant laat weten dat zeker vier verschillende groepen bezig zijn om organisaties via de kwetsbaarheid aan te vallen. Beaumont spreekt over zeer veel groepen. "Je hebt eigenlijk een 1998-achtige kwetsbaarheid in je remote access oplossing. Het lijkt erop dat mensen sessietokens verzamelen alsof het Pokemon zijn", aldus de onderzoeker. bron: https://www.security.nl

Bitwarden heeft support voor passkeys aan de browser-extensie van de wachtwoordmanager toegevoegd, tot ongenoegen van gebruikers die ondersteuning ook in de mobiele app wilden. Met Bitwarden 2023.10.0 is het mogelijk om passkeys in de wachtwoordkluis op te slaan en die vervolgens via de browser-extensie te gebruiken om in te loggen. Passkeys zijn een gezamenlijk initiatief van Apple, Google en Microsoft en moeten wachtwoorden overbodig maken. Ze zijn gebaseerd op de Web Authentication (WebAuthn) standaard en maken gebruik van public key cryptography. Gebruikers moeten eerst een passkey voor een account of website genereren. De bijbehorende private key blijft op het toestel van de gebruiker, terwijl de bijbehorende public key door de website of app wordt opgeslagen. Het toestel van de gebruiker genereert vervolgens een signature gebaseerd op de private key die bij het inloggen wordt verstuurd. Tijdens het inloggen gebruikt de website of app waarop wordt ingelogd de public key om de signature van de private key te verifiëren. Om de passkey op het toestel te kunnen gebruiken moet eerst een vinger of het gezicht van de gebruiker worden gescand, of een ontgrendelingspatroon of pincode worden opgegeven. Passkeys maken namelijk gebruik van het mechanisme waarmee het betreffende apparaat of systeem van de gebruiker wordt ontgrendeld. Ze zijn echter niet gebonden aan het betreffende apparaat en dezelfde private key kan op meerdere toestellen bestaan. Verschillende wachtwoordmanagers ondersteunen inmiddels passkeys of hebben support hiervoor aangekondigd. Op Reddit en Hacker News reageren veel Bitwarden-gebruikers teleurgesteld dat de support voor passkeys alleen in de browser-extensie aanwezig is en niet in de mobiele app. Wanneer dit zal worden toegevoegd is nog onbekend. Bitwarden organiseert op 9 november een webcast over 'Bitwarden and Passkeys'. bron: https://www.security.nl

Mozilla heeft het mogelijk gemaakt om via een Google of Apple ID op een Mozilla-account in te loggen of een account aan te maken. Het Mozilla-account, dat eerder nog bekendstond als Firefox Account, is nodig om verschillende diensten van Mozilla te gebruiken, zoals Firefox Sync, Firefox Relay en Mozilla's eigen vpn-dienst. Zowel DuckDuckGo en Brave blokkeren het inloggen via Google om de privacy van gebruikers te beschermen. "Wanneer je inlogt, is Google je aan het volgen wat je op die websites doet en koppelt dat aan je identiteit", aldus DuckDuckGo. Door gebruik te maken van inloggen via Apple of Google wordt de authenticatie door deze techbedrijven gedaan, die dan een token uitgeven waarmee kan worden ingelogd. "We ontvangen je e-mailadres van Google of Apple, dat we voor authenticatiedoeleinden gebruiken. Daarnaast ontvangen we je profielfoto, hoewel we deze data nergens voor gebruiken. We geven geen data terug aan Google of Apple", zo laat Mozilla in een uitleg weten. De Firefox-ontwikkelaar merkt op dat gebruikers met een Google of Apple ID op hun Mozilla-account kunnen inloggen, maar nog steeds een wachtwoord voor hun Mozilla-account moeten instellen als ze hun bookmarks, geschiedenis, wachtwoorden, open tabs en meer tussen apparaten willen synchroniseren. bron: https://www.security.nl

Een groot Internet of Things (IoT)-botnet, dat sinds 2019 actief was en zeker 1,5 miljoen apparaten wist te infecteren, is door middel van een killswitsch uitgeschakeld. Dat laat antivirusbedrijf ESET weten. Mozi infecteerde IoT-apparaten, zoals digitale videorecorders, via zwakke Telnet-wachtwoorden en bekende kwetsbaarheden. Besmette machines werden onder andere voor ddos-aanvallen op websites en cryptomining ingezet. In 2021 waarschuwde Microsoft nog dat op besmette routers, die onderdeel van het botnet waren, man-in-the-middle-aanvallen werden uitgevoerd. Twee weken later meldde securitybedrijf Qihoo 360 dat de auteurs van het Mozi-botnet door de Chinese autoriteiten waren aangehouden. Het grootste deel van de besmette IoT-apparaten bevond zich in China. Sinds augustus is het botnet plotseling verdwenen, zo ontdekte ESET. Iemand stuurde een update naar de besmette apparaten die als killswitch fungeerde. Deze update schakelde de Mozi-malware uit, alsmede verschillende systeemservices zoals sshd en dropbear. Ook verving de update het originele Mozi-bestand met zichzelf. Tevens werd toegang tot verschillende poorten uitgeschakeld. De killswitch heeft veel overeenkomsten met de originele Mozi-code. Dat doet ESET vermoeden dat de botnetbeheerders hun eigen botnet hebben uitgeschakeld of dit onder dwang van de Chinese autoriteiten hebben gedaan. bron: https://www.security.nl

Google heeft het topleveldomein .ing gelanceerd, dat het gebruik van HTTPS voor alle .ing-websites verplicht. In mei van dit jaar lanceerde Google al de topleveldomeinen .dad, .phd, .prof, .esq, .foo, .zip, .mov en .nexus. Het is mogelijk om tot 5 december tegen een eenmalige betaling en onder bepaalde voorwaarden een .ing-domein te registreren. Vanaf 5 december kan iedereen een .ing-domein tegen een jaarlijkse prijs bij een willekeurige registrar vastleggen. Verschillende bedrijven hebben inmiddels een .ing-site vastgelegd, zoals Adobe met edit.ing en sign.ing. Eén van de eigenschappen van het .ing topleveldomein is dat het domein en alle sites die eronder vallen, op de HSTS preload list staan. HTTP Strict Transport Security (HSTS) zorgt ervoor dat websites die via HTTPS te bezoeken zijn alleen via HTTPS worden bezocht. Google Chrome maakt gebruik van een HSTS preload list, een lijst met websites die alleen over HTTPS mogen worden bezocht. Voor alle .ing-websites wordt standaard HSTS toegepast. "Dat maakt HTTPS verplicht voor alle verbindingen naar .ing-websites en -pagina's, zonder dat er een aparte HSTS-registratie of -configuratie nodig is", aldus Google. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid om BIG-IP-servers aan te vallen, zo waarschuwt fabrikant F5. Een beveiligingsupdate voor het probleem verscheen op 26 oktober. Gisteren werd het beveiligingsbulletin bijgewerkt met de vermelding dat aanvallers inmiddels misbruik van het beveiligingslek maken. Via de kwetsbaarheid, aangeduid als CVE-2023-46748, kan een ongeauthenticeerde aanvaller de authenticatie van de configuratietool omzeilen, waarna remote code execution mogelijk is. Aanvallers gebruiken dit beveiligingslek om toegang tot BIG-IP-servers te krijgen. Vervolgens maken ze misbruik van een andere kwetsbaarheid (CVE-2023-46748) om het systeem over te nemen. De impact van CVE-2023-46748 is op een schaal van 1 tot en met 10 beoordeeld met een 9.8, terwijl CVE-2023-46748 een impactscore van 8.8 heeft. Dit laatste lek maakt het mogelijk voor een geauthenticeerde aanvaller om SQL Injection uit te voeren. Drie dagen na het verschijnen van de patch verschenen de eerste proof-of-concept exploits op internet. Volgens F5 zitten meerdere 'threat actors' achter de aanvallen op CVE-2023-46747. Het BIG-IP-platform van F5 wordt voor verschillende toepassingen gebruikt, zoals load balancing en application delivery. De afgelopen jaren zijn kwetsbaarheden in BIG-IP geregeld het doelwit van aanvallen geweest. F5 heeft indicators of compromise (IoC's) beschikbaar gemaakt, waarmee organisaties kunnen kijken of hun servers zijn gecompromitteerd. bron: https://www.security.nl

Een groep criminelen gebruikt het topleveldomein .US voor een malafide URL-shortener, zo stelt securitybedrijf Infoblox. Sinds april registreerde de groep, die de naam 'Prolific Puma' heeft gekregen, tussen de 35.000 en 75.000 unieke domeinnamen. Deze domeinnamen worden vervolgens gebruikt om voor andere criminelen verkorte links te genereren die naar malafide sites wijzen. Het kan dan gaan om websites gebruikt voor phishing, malware of andere scams. Door het gebruik van een URL-shortener kunnen aanvallers de werkelijke bestemming van de link verbergen. Daarbij kiezen de aanvallers voor het .US-topleveldomein. De te registreren domeinen, meestal drie of vier karakters lang, worden via een algoritme gegenereerd. Ook gaat het om niet verlengde domeinnamen die de groep opnieuw registreert. Voor de registratie van de domeinnamen wordt vaak gebruik gemaakt van NameSilo. De registrar vereist alleen een e-mailadres en betaalmethode, aldus Infoblox. Wanneer een houder iets met zijn domeinnaam wil doen zijn een naam en adresgegevens verplicht. Volgens de onderzoekers is het opmerkelijk dat de criminele groep zoveel .US-domeinen registreert, omdat het topleveldomein transparantie verplicht. Geen enkel domein mag privé worden geregistreerd, wat inhoudt dat zaken als adres, naam en telefoonnummer publiek zichtbaar zijn. "Dit lijkt misschien criminelen af te schrikken, maar het is niet effectief, aangezien het .US-topleveldomein bekendstaat om het misbruik", aldus Infoblox. Daarnaast blijkt dat de criminelen een manier hebben gevonden om de .US-domeinen toch met afgeschermde gegevens te registreren, wat in strijd met de voorwaarden is. bron: https://www.security.nl

E-mailclient Thunderbird kan weer onveilige op SHA-1-gebaseerde signatures voor S/MIME e-mails accepteren, zo hebben de ontwikkelaars aangekondigd. Thunderbird-gebruikers kunnen hun e-mail digitaal ondertekenen, waarvoor de e-mailclient lange tijd het SHA-1-algoritme gebruikte. Er zijn verschillende SHA-versies in omloop. Sinds 2005 zijn er collision-aanvallen op het SHA-1-algoritme bekend waar verschillende invoer dezelfde uitvoer geeft. Het algoritme wordt dan ook al lange tijd als onveilig beschouwd. Al tien jaar geleden werd het Thunderbird-ontwikkelteam gevraagd om met het gebruik van SHA-1 voor het signeren van e-mails te stoppen. Inmiddels maakt Thunderbird al jaren gebruik van SHA-256. Met de lancering van Thunderbird 115 (Supernova) in juli van dit jaar accepteert Thunderbird geen op SHA-1 gebaseerde digitale handtekeningen van S/MIME e-mails meer. Wanneer voor de betreffende signature toch SHA-1 is gebruikt laat Thunderbird een melding zien dat de digitale handtekening ongeldig is. De ontwikkelaars stellen dat de meeste moderne e-mailclients die S/MIME ondersteunen een ander hashing-algoritme ondersteunen, zoals SHA-256. Recentelijk kregen de ontwikkelaars te horen dat SHA-1 in sommige omgevingen nog wordt gebruikt. Het gaat dan om overheidsinstanties die op SHA-1 gebaseerde berichten blijven versturen. De ontvangers van deze e-mails hebben het Thunderbird-ontwikkelteam gevraagd naar een manier om de geldigheid van dergelijke signatures te verifiëren, ondanks het risico dat de handtekening is vervalst. Om deze gebruikers tegemoet te komen biedt Thunderbird vanaf versie 115.4.1 de optie 'mail.smime.accept_insecure_sha1_message_signatures', waarmee dit mogelijk is. Het Thunderbird-ontwikkelteam adviseert deze instelling niet in te schakelen. Organisaties zouden de betreffende afzenders moeten oproepen om naar SHA-256 voor hun signatures te migreren. Zodra dit is gedaan zou de instelling weer moeten worden uitgeschakeld. Het aanpassen van de instelling heeft geen gevolgen voor gesigneerde berichten die via Thunderbird worden verstuurd, aangezien de e-mailclient daarvoor SHA-256 gebruikt. bron: https://www.security.nl

Twee kwetsbaarheden in de Wyze Cam V3 camera maken het mogelijk voor aanvallers om de apparaten op afstand over te nemen. Wyze heeft onlangs een beveiligingsupdate uitgebracht om de problemen te verhelpen, hoewel dit niet duidelijk staat vermeld. Er is inmiddels ook een proof-of-concept exploit online verschenen en de onderzoeker die de kwetsbaarheid ontdekte stelt dat ook andere Wyze-producten kwetsbaar zijn, maar daarvoor geen patches zijn verschenen. Wyze kwam op 22 oktober met een firmware-update voor de V3-camera. In de release notes wordt alleen vermeld dat de update wat 'beveiligingsverbeteringen' bevat. Verdere details worden niet gegeven. Op 24 oktober vond de Pwn2Own-hackwedstrijd in Toronto plaats, waar ook de Wyze V3-camera een doelwit was. De update die Wyze twee dagen eerder uitbracht verhielp verschillende problemen, waaronder een authenticatie bypass. Verschillende onderzoekers die aan de wedstrijd deelnamen wilden dit lek voor hun demonstratie gebruiken. Toen bleek dat dit niet kon trokken ze hun inzending terug. "Ik denk dat Wyze een mini PR-nachtmerrie wilde voorkomen, in de hoop dat hun camera tijdens Pwn2Own niet zou worden gepwned. Dat heeft niet gewerkt, sommige andere teams hadden andere kwetsbaarheden die geen gebruik van de authenticatie bypass maakten. Je vraagt je af waarom ze zolang met deze patch hebben gewacht, terwijl hun klanten in de tussentijd kwetsbaar waren", stelt onderzoeker Peter Geissler die de proof-of-concept exploit publiceerde. Via deze exploit, die misbruik van twee kwetsbaarheden maakt, krijgt een aanvaller een shell op het apparaat en kan hier zo toegang toe behouden of andere apparaten in het netwerk proberen aan te vallen. In een reactie stelt Wyze dat het jarenlang niet van het probleem afwist en pas een paar dagen voor Pwn2Own de bugmelding hierover ontving. Vervolgens werd het probleem in drie dagen gepatcht en de update aan gebruikers aangeboden. "Aan iedereen die het Wyze-verhaal gelooft dat ze net voor de wedstrijd over de authenticatie bypass werden ingelicht: vraag jezelf af waarom ze het probleem alleen in de Wyze CaM V3 hebben verholpen (Pwn2Own doelwit) en niet in hun andere producten die dezelfde kwetsbaarheid bevatten", aldus Geissler op X. Wyze stelt tegenover een andere onderzoeker dat het inmiddels onderzoekt of andere apparaten dezelfde kwetsbaarheid bevatten. Uiteindelijk wisten meerdere onderzoekers tijdens de Pwn2Own-wedstrijd de Wyze V3-camera alsnog te compromitteren. Voor de hiervoor gebruikte kwetsbaarheden zijn nog geen beveiligingsupdates beschikbaar. bron: https://www.security.nl

De Canadese overheid heeft software van antivirusbedrijf Kaspersky en de populaire app WeChat verboden op de werktelefoons van ambtenaren. In het geval ambtenaren de apps op hun toestel hebben geïnstalleerd zullen die worden verwijderd. Daarnaast wordt het downloaden van de apps geblokkeerd. Volgens de Canadese overheid vormen de apps van WeChat en Kaspersky een onacceptabel risico voor de privacy en veiligheid. Concreet bewijs voor deze risico's worden niet gegeven, maar in een persbericht wordt gesteld dat de betreffende apps vergaande toegang tot content op het toestel hebben. "De beslissing om WeChat en Kaspersky-applicaties te blokkeren is genomen om ervoor te zorgen dat Canadese overheidsnetwerken en -data veilig en beschermd blijven en is in lijn met de aanpak van onze internationale partners." Verder stelt de Canadese overheid dat de risico's van de betreffende applicaties duidelijk zijn, maar er geen bewijs is dat er ook informatie is gestolen. Wat betreft het gebruik van WeChat door de Canadese bevolking noemen de autoriteiten dit een persoonlijke keuze, maar wordt er gewezen naar advies van het Canadese Centrum voor Cybersecurity, waarin staat dat het gebruik van Facebook, Twitter, TikTok, WhatsApp, LinkedIn en WeChat aanvallers eenvoudig toegang tot persoonlijke informatie en toestellen kan geven. bron: https://www.security.nl

Google heeft besloten om bij alle gebruikers nu standaard https voor alle verbindingen te gebruiken. Wanneer gebruikers op een http-link klikken maakt de browser er automatisch https van. Alleen als de betreffende website geen https ondersteunt wordt er vervolgens op http teruggevallen. Volgens Google werkt de techniek in bijna alle situaties, behalve als de site zoals gezegd geen https aanbiedt. "Browsers versturen nog steeds onveilige http requests naar websites die https ondersteunen, tenzij de sitebeheerder de nodige configuraties heeft doorgevoerd en hun site aan de HSTS preload list heeft toegevoegd", aldus Google in een uitleg over HTTPS Upgrade, zoals de feature in de browser wordt genoemd. HTTP Strict Transport Security (HSTS) zorgt ervoor dat websites die via HTTPS te bezoeken zijn alleen via HTTPS worden bezocht. De HSTS preload list die Google noemt bevat hostnames waarvoor de browser automatisch een https-verbinding afdwingt. Het kan echter voorkomen dat een gebruiker iets via http laadt vanaf een website die HSTS ondersteunt, maar nog niet eerder is bezocht en ook niet op de preload list staat. Een ander scenario is wanneer er een website wordt bezocht die de gebruiker van http naar https redirect, maar geen HSTS gebruikt, of een site die zowel http als https ondersteunt, maar geen redirect van http naar https doet. Via de preload list worden websites meteen via https geladen, maar die lijst is niet allesomvattend. Via HTTPS Upgrade wordt er altijd https gebruikt, en zal http als fallback optie worden gebruikt. Google besloot de feature eerder dit jaar eerst in versie 115 van de browser te testen, maar heeft die begin deze maand onder alle gebruikers uitgerold, zo laat Chris Thompson van Google weten. De feature is één van de maatregelen waar Google mee bezig is om http-verkeer te verminderen. bron: https://www.security.nl

Zo'n 42.000 Roundcube Webmail-servers bevatten een kwetsbaarheid waar aanvallers op dit moment actief misbruik van maken. Negenhonderd van de servers staan in Nederland, zo stelt de Shadowserver Foundation op basis van eigen scans. Roudcube is opensource-webmailsoftware en wordt door allerlei organisaties gebruikt. Een kwetsbaarheid (CVE-2023-5631) in de software maakt stored cross-site scripting (XSS) mogelijk. Door het versturen van een malafide e-mail kan een aanvaller zo JavaScript in de browser van het slachtoffer uitvoeren en vervolgens alle e-mails in zijn of haar e-mailaccount stelen. De makers van Roundcube kwamen op 16 oktober met updates voor de Webmail-server. Vorige week maakte ESET bekend dat aanvallers al voor het uitkomen van de patches misbruik van de kwetsbaarheid maken. De Shadowserver Foundation is een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich bezighoudt met de bestrijding van botnets en cybercrime. De organisatie scant regelmatig op kwetsbare systemen. Dan blijkt dat er nog 42.000 Roundcube Webmail-servers zijn die de update voor CVE-2023-5631 niet geïnstalleerd hebben. Het grootste aantal kwetsbare server staat in de Verenigde Staten (9500). In Nederland gaat het om 908 servers. bron: https://www.security.nl

De Russische overheid is bezig met de ontwikkeling van een eigen versie van VirusTotal, Googles online virusscandienst, wat moet voorkomen dat gegevens op Amerikaanse servers worden opgeslagen. Via VirusTotal kunnen gebruikers bestanden door tientallen virusscanners laten controleren. Vervolgens wordt er allerlei informatie over het gecontroleerde bestand getoond. Geüploade gegevens worden door Google opgeslagen en gedeeld met antivirusbedrijven. Daarnaast is de Amerikaanse wetgeving op de bestanden van toepassing. De Russische krant Rossiyskaya Gazeta meldt vandaag dat het nieuwe nationale Russische centrum voor digitale cryptografie een Russisch alternatief voor VirusTotal gaat ontwikkelen met de naam 'Multiscanner'. Net als VirusTotal zal Multiscanner bestanden door middel van statische analyse kunnen controleren, maar ook door middel van een sandbox gedragsanalyses kunnen uitvoeren. Verschillende antivirusbrieven werken aan de ontwikkeling mee, waaronder Kaspersky en Doctor Web. Dit jaar wordt al een werkend prototype van het platform verwacht en zullen er in 2024 nieuwe functies worden toegevoegd. In 2025 moet Multiscanner volledig operationeel zijn. De Russische overheid is van plan om Multiscanner met 'staatsdiensten' te integreren. Daarnaast komt de online virusscandienst ook beschikbaar voor eindgebruikers, die het platform gratis en zonder installatie van software kunnen gebruiken. bron: https://www.security.nl

Fabrikanten van Internet of Things (IoT) apparaten moeten potentiële kopers duidelijke informatie over de veiligheid van het apparaat geven, zoals hoelang er updates voor verschijnen en welke authenticatie wordt ondersteunt. Daarvoor pleiten onder andere NXP, ARM, Google en verschillende andere bedrijven in een gezamenlijke verklaring. "Hoewel een IoT-label op zichzelf niet het probleem van IoT-veiligheid oplost, kan transparantie zowel consumenten onderwijzen als de coördinatie van de securityverantwoordelijkheden tussen de verschillende onderdelen in het IoT-ecosysteem faciliteren", zo stellen de bedrijven. "Ons doel is om de veiligheid van IoT-apparaten en -ecosystemen te versterken en individuen en organisaties te beschermen, en alle voordelen van IoT mogelijk te maken." Volgens de bedrijven kan een securitylabel consumenten helpen bij het maken van een keuze, wat er vervolgens voor zou moeten zorgen dat fabrikanten allerlei veiligheidsverbeteringen gaan doorvoeren. "Maar alleen als het label geloofwaardig, bruikbaar en eenvoudig te begrijpen is. We hebben goede hoop dat de publieke sector en industrie kunnen samenwerken om beleid af te stemmen dat dit doel kan bereiken." bron: https://www.security.nl

Vermoedelijk zijn er nog wereldwijd tienduizenden Cisco IOS XE-systemen besmet met een backdoor waardoor de aanvallers toegang tot de apparaten hebben, zo stelt securitybedrijf Censys. Voor verschillende versies van IOS XE zijn nog altijd geen beveiligingsupdates beschikbaar om de kwetsbaarheden te verhelpen waardoor de backdoor wordt geïnstalleerd. Op dit moment is er alleen voor versie 17.9 van IOS XE een update verkrijgbaar. Wanneer de updates voor versies 17.6, 17.3 en 16.12 verschijnen is nog niet bekend. Eerder deze maand werd bekend dat aanvallers twee zerodaylekken in IOS XE (CVE-2023-20273 en CVE-2023-20198) gebruiken om systemen op afstand volledig over te nemen. IOS XE draait op de switches en routers van Cisco. Vervolgens kan een aanvaller verdere aanvallen uitvoeren of verkeer onderscheppen. De aanvallers installeerden een backdoor om toegang tot de gecompromitteerde systemen te behouden. Censys telde op het hoogtepunt 53.000 besmette IOS XE-systemen. Nadat erover de zerodaylekken werd bericht besloten de aanvallers hun backdoor te upgraden, zodat die alleen op de juiste http header reageert. Hierdoor konden onderzoekers niet meer zien hoeveel apparaten er nog besmet zijn. Er is echter een nieuwe manier gevonden waarmee kan worden gekeken of de backdoor nog actief is, hoewel deze methode niet heel precies is. Dan komt Censys bij een nieuwe telling uit op zo'n 29.000 systemen die sporen van de backdoor bevatten. "Hoewel het op het eerste gezicht lijkt dat deze aanvallers hun zero-day hebben verbruikt, is het duidelijk dat dit een gecoördineerde, goed geplande en goed uitgevoerde aanval was. Niet alleen hebben ze de kwetsbaarheid in deze apparaten gevonden (als het lek niet was gekocht), maar gebruikten ze ook de onderliggende technologie die op deze apparaten draait om een backdoor te installeren. Dit houdt in dat er redelijk wat moeite is gedaan om de technologie te leren en systeemspecifieke backdoors te implementeren", aldus Censys. bron: https://www.security.nl

Softwarebedrijf CCleaner heeft klanten gewaarschuwd voor een datalek dat zich eind mei voordeed via een zerodaylek in MOVEit Transfer. Het gaat om naam, contactgegevens en informatie over de aangeschafte CCleaner-software, aldus de datalekmelding aan getroffen klanten. De gestolen data is inmiddels door criminelen op internet gepubliceerd. MOVEit Transfer is een applicatie voor het uitwisselen van bestanden. Allerlei organisaties maken er gebruik van om onder andere vertrouwelijke informatie binnen de organisatie te delen. Een zerodaylek in deze software werd eind mei bij een wereldwijde aanval gebruikt, waarbij criminelen achter de Clop-ransomware toegang tot de MOVEit-servers van duizenden organisaties kregen en daarbij allerlei gegevens buitmaakten. Op de eigen website publiceert de Clop-groep vervolgens de namen van getroffen organisaties. Als het gevraagde losgeld niet wordt betaald dreigt de groep de gestolen data te publiceren. Van hoeveel klanten van CCleaner de gegevens zijn gestolen is onbekend. Het bedrijf stelt dat het recent geleden ontdekte dat gestolen klantdata op internet staat. Slachtoffers kunnen zes maanden lang kosteloos gebruikmaken van BreachGuard, een dienst van moederbedrijf Avast die op datalekken monitort. CCleaner werd in 2017 door Avast overgenomen. Volgens antivirusbedrijf Emsisoft zijn via het zerodaylek in MOVEit Transfer bijna 2600 organisaties aangevallen, waarbij de gegevens van meer dan 66,3 miljoen personen zijn gestolen. De Amerikaanse beurswaakhond SEC kondigde eerder deze maand een onderzoek naar de aanval aan. Daarnaast blijkt dat MOVEit-ontwikkelaar Progress onderdeel van 58 massaclaims is die zijn aangespannen door personen van wie gegevens bij de zeroday-aanval zijn gestolen. bron: https://www.security.nl

Onderzoekers van Cisco hebben in SoftEther VPN meerdere kwetsbaarheden gevonden waardoor het mogelijk is voor aanvallers om het verkeer van gebruikers te onderscheppen of code op kwetsbare systemen uit te voeren. SoftEther VPN is een gratis open source, cross-platform, multi-protocol vpn-client en vpn-serversoftware. Een kritieke kwetsbaarheid in de software (CVE-2023-27395) maakt het mogelijk voor een aanvaller door het versturen van een speciaal geprepareerd netwerkpakket om willekeurige code op het systeem van de gebruiker uit te voeren. De impact van dit beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.0. Twee andere kwetsbaarheden (CVE-2023-32634 en CVE-2023-27516) geven een ongeautoriseerde aanvaller toegang tot de vpn-sessie. Vervolgens kan de aanvaller via zijn eigen certificaat een man-in-the-middle-aanval uitvoeren, zonder dat de gebruiker hier een melding van krijgt, of de authenticatie-instellingen van de vpn achterhalen, en het systeem van de gebruiker zo verder compromitteren. Cisco waarschuwde de ontwikkelaars afgelopen juni, die twee weken later met een update kwamen. De kwetsbaarheden zijn nu openbaar gemaakt. bron: https://www.security.nl

Aanvallers hebben een zerodaylek in Roundcube Webmail gebruikt voor het stelen van e-mail, zo ontdekte antivirusbedrijf ESET begin deze maand. De ontwikkelaars van Roundcube hebben inmiddels beveiligingsupdates uitgebracht. Roudcube is opensource-webmailsoftware en wordt door allerlei organisaties gebruikt. Een kwetsbaarheid (CVE-2023-5631) in de software maakt stored cross-site scripting (XSS) mogelijk. Door het versturen van een malafide e-mail kan een aanvaller zo JavaScript in de browser van het slachtoffer uitvoeren en vervolgens alle e-mails in zijn of haar e-mailaccount stelen. De aanval is volgens ESET het werk van een spionagegroep genaamd Winter Vivern die zich richt op overheden in Europa en Centraal-Azië en eerder een XSS-kwetsbaarheid in Zimbra-webmail gebruikte voor het stelen van e-mail. ESET meldde het probleem op 12 oktober aan Roundcube en vier dagen later waren er patches beschikbaar. Organisaties wordt aangeraden om te updaten naar Roundcube 1.6.4, 1.5.5 of 1.4.15. bron: https://www.security.nl

Een kritieke kwetsbaarheid in VMware vCenter Server en VMware Cloud Foundation maakt het mogelijk voor aanvallers om servers op afstand over te nemen. VMware heeft beveiligingsupdates uitgebracht om het probleem te verhelpen en roept organisaties op die zo snel mogelijk te installeren. In het verleden zijn kwetsbaarheden in vCenter vaker aangevallen. VCenter is een oplossing voor het beheer van virtual machines en gevirtualiseerde servers. De kritieke kwetsbaarheid (CVE-2023-34048) betreft een 'out-of-bounds write' in het DCERPC-protocol, waardoor een aanvaller code op de server kan uitvoeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De enige vereiste voor het uitvoeren van een aanval is dat een aanvaller toegang tot de server heeft. bron: https://www.security.nl

De Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert, gaat het .nl-domein naar een nieuw registratieplatform migreren dat het samen met het Canadese CIRA zal ontwikkelen en beheren. CIRA is verantwoordelijk voor het .ca-domein. Na de migratie zal .nl draaien op een nieuwe cloudversie van het huidige CIRA Registry Platform. Er zijn inmiddels meer dan 6,3 miljoen .nl-domeinnamen geregistreerd. In 2010 lanceerde SIDN het Domeinnaam Registratie Systeem (DRS) 5, voor het registreren en verhuizen van .nl-domeinnamen. SIDN zocht een opvolger voor DRS5 en besloot uiteindelijk om in samenwerking met een bestaande registry een nieuw systeem te ontwikkelen. "De keuze viel op CIRA vanwege de toonaangevende technologie, interne expertise en gedeelde waarden", aldus SIDN, dat in het verleden vaker met CIRA samenwerkte. "Op kortere termijn zijn er voordelen door onder andere een versnelde ingebruikname van een nieuw, state-of-the-art registratiesysteem tegen lagere kosten en met lagere risico's dan wanneer we alles van voren af aan intern zouden ontwikkelen", zegt SIDN-directeur Roelof Meijer. Financiële details met betrekking tot de overeenkomst worden op dit moment niet bekendgemaakt. bron: https://www.security.nl

Internetbedrijf Cloudflare is opnieuw slachtoffer geworden van een inbraak bij authenticatieplatform Okta en roept het bedrijf op om meldingen van beveiligingsincidenten serieus te nemen. Okta biedt een platform waar wereldwijd duizenden bedrijven gebruik van maken om werknemers toegang tot systemen en applicaties te geven. Een aanvaller wist in te breken op het supportsysteem van Okta en kon zo gevoelige gegevens stelen die klanten met supportmedewerkers delen. Met de gestolen klantgegevens, waaronder sessietokens, wist de aanvaller vervolgens in te loggen op de Okta-omgeving van Cloudflare. Het internetbedrijf ontdekte de aanval meer dan 24 uur voordat het door Okta werd geïnformeerd. Volgens Cloudflare werden twee Okta-accounts door de aanvaller gecompromitteerd. Vorig jaar kreeg Okta ook al met een inbraak te maken, waarop Cloudflare besloot om de wachtwoorden van medewerkers te resetten. Cloudflare haalt in een analyse van de meest recente aanval uit naar Okta. Volgens Cloudflare had Okta meldingen over de aanval serieus te nemen. Okta werd voor het eerst op 2 oktober door securitybedrijf BeyondTrust ingelicht, maar de aanvallers hadden zeker nog tot en met 18 oktober toegang tot het supportsysteem. Cloudflare stelt ook dat Okta klanten tijdig over beveiligingsincidenten moet informeren en de toegang tot systemen door middel van hardwarematige beveiligingssleutels moet beveiligen. bron: https://www.security.nl