Captain Kirk

De malafide 'e-bookwebsite' Z-Lib heeft de gegevens van bijna tien miljoen gebruikers gelekt, die nu aan datalekzoekmachine Have I Been Pwned zijn toegevoegd. Z-Lib deed zich voor als een kloon van de bekende e-bookwebsite Z-Library. Volgens onderzoekers was het eigenlijk een phishingsite die inloggegevens van gebruikers verzamelde en om betalingen vroeg. Z-Lib verscheen online nadat de domeinen van Z-Library eind 2022 door de Amerikaanse autoriteiten offline waren gehaald. De website deed zich voor als de officiële versie van Z-Library. Afgelopen augustus waarschuwde Z-Library via X nog voor de scamwebsite. Sinds Z-Lib online was probeerden bijna tien miljoen mensen van de website gebruik te maken en met hun inloggegevens voor Z-Library in te loggen. Eind juli ontdekten onderzoekers dat de website een back-upbestand met gegevens van zo'n tien miljoen gebruikers lekte. De back-up was voor iedereen op internet toegankelijk. De gelekte informatie bestaat uit walletadressen, e-mailadressen, geografische locatie, wachtwoorden, aankopen en gebruikersnamen van meer dan 9,7 miljoen gebruikers. De e-mailadressen zijn toegevoegd aan Have I Been Pwned. Via de zoekmachine kunnen gebruikers kijken of hun gegevens in een bekend datalek voorkomen. Van de gelekte e-mailadressen was 49 procent al via een ander datalek bij de zoekmachine bekend. bron: https://www.security.nl

Het Tor-netwerk is het doelwit geworden van een censuur-aanval waarbij gespoofte ip-adressen worden gebruikt, zo stelt Osservatorio Nessuno, een Italiaanse non-profitorganisatie die zich inzet voor het recht op privacy en anonimiteit en de vrijheid van informatie, meningsuiting en communicatie en digitale rechten in het algemeen. Dagelijks maken miljoenen mensen gebruik van het Tor-netwerk om hun privacy te beschermen en gecensureerde websites te bezoeken. Het netwerk draait volledig op servers en bandbreedte die door vrijwilligers wordt gedoneerd. Het verkeer van Tor-gebruikers loopt via meerdere servers om zo de identiteit van de gebruiker te maskeren. Volgens Osservatorio Nessuno hebben de afgelopen dagen veel Tor-serverbeheerders abusemeldingen ontvangen dat hun servers zijn gebruikt voor het uitvoeren van bruteforce-aanvallen via SSH. Uit onderzoek blijkt dat de servers geen onderdeel van de aanval waren, maar de verantwoordelijke aanvaller de ip-adressen van de Tor-servers spooft. Daardoor lijkt het voor de aangevallen netwerken alsof de Tor-servers hiervoor verantwoordelijk zijn. Vanwege de aanvallen krijgen de ip-adressen van de Tor-server een 'slechte reputatie' en worden vervolgens door allerlei instanties op blocklists gezet, aldus Osservatorio Nessuno. Beheerders van Tor-servers worden opgeroepen om tegen de abusemeldingen bezwaar te maken. Providers wordt gevraagd om te controleren dat hun informatie correct is, om zo te voorkomen dat ze nep-abusemeldingen versturen. bron: https://www.security.nl

Microsoft heeft besloten om de uitrol van Windows Recall opnieuw uit te stellen, nu naar december. De feature zal dan beschikbaar komen voor Windows Insiders die werken met een Copilot+ pc. Het is de derde keer dat uitstel plaatsvindt. Recall is een nieuwe 'AI-feature' van Microsoft, waarbij continu screenshots van het scherm van gebruikers worden gemaakt. De screenshots worden vervolgens door AI geanalyseerd en doorzoekbaar gemaakt. Microsoft omschrijft het als een 'fotografisch geheugen'. Experts gebruikten de term keylogger en privacynachtmerrie. Oorspronkelijk zou Recall standaard zijn ingeschakeld, maar vanwege de felle kritiek besloot Microsoft voor een opt-in te kiezen en aanvullende beveiligings- en privacymaatregelen toe te voegen. Microsoft was eerst van plan om Recall in juni te lanceren, maar kwam daarop terug. Vervolgens zou de eerste publieke testversie in oktober beschikbaar komen, maar dat is nu verschoven naar december. Volgens Microsoft is dit nodig om de 'experience' te 'verfijnen'. Verdere details zijn niet gegeven. "Ze zouden de tijd moeten nemen om het goed te doen. Ik begrijp nog steeds niet wat ze dachten toen de ceo op het podium stond en aankondigde dat het zes maanden geleden zou lanceren en volledig veilig zou zijn, toen ze er niet eens een basale securityreview van hadden gedaan", zegt beveiligingsonderzoeker Kevin Beaumont. bron: https://www.security.nl

Al meer dan een jaar maken aanvallers gebruik van een botnet bestaande uit gecompromitteerde TP-Link-routers voor het uitvoeren van password spraying-aanvallen, zo waarschuwt Microsoft. Via het botnet zijn verschillende klanten van Microsoft aangevallen, aldus het techbedrijf in een blogposting. Deze klanten zijn hier inmiddels over ingelicht. Welke kwetsbaarheid of kwetsbaarheden de aanvallers precies gebruiken voor het compromitteren van de TP-Link-routers laat Microsoft niet weten. Het botnet zou gemiddeld uit zo'n achtduizend besmette routers bestaan. Zodra de aanvallers toegang tot de router krijgen installeren ze een backdoor en software waardoor het apparaat voor de password spraying-aanvallen is te gebruiken. Password spraying is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen gebruikt een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Volgens Microsoft zijn aanvallen via het botnet lastig te detecteren, omdat het over duizenden ip-adressen van thuisgebruikers en kleine bedrijven beschikt. Zodra aanvallers via het botnet toegang tot een account of systeem weten te krijgen, gebruiken ze 'scanning en credential dumping tools' om inloggegevens te stelen en zich lateraal door het netwerk te bewegen. Vervolgens wordt aanvullende malware geïnstalleerd en allerlei data gestolen. Microsoft adviseert organisaties om gebruikers voor te lichten over wachtwoordhygiëne en het hergebruik van wachtwoorden te voorkomen. Tevens moet multifactorauthenticatie (MFA) voor alle accounts worden ingesteld. bron: https://www.security.nl

Aanvallers maken actief misbruik van twee kwetsbaarheden in PTZ (pan tilt zoom)-beveiligingscamera's van verschillende fabrikanten. Inmiddels zijn er firmware-updates beschikbaar gemaakt om de problemen te verhelpen, maar de aanvallen vonden al plaats voor het uitkomen van de patches. Via de twee beveiligingslekken (CVE-2024-8956 en CVE-2024-8957) kan een ongeauthenticeerde aanvaller op afstand de camera overnemen.De enige voorwaarde is dat de camera bereikbaar is voor de aanvaller. Dat melden securitybedrijven GreyNoise en VulnCheck. De kwetsbare beveiligingscamera's maken gebruik van VHD PTZ camera firmware voor versie 6.3.40. De firmware wordt onder andere gebruikt in apparaten van PTZOptics, Multicam Systems SAS en SMTAV Corporation gebaseerd op de Hisilicon Hi3516A V600 SoC V60, V61 en V63 chips. De camera's, die in allerlei sectoren zoals gezondheidszorg, productie, bedrijfsleven en overheid worden gebruikt, beschikken over een ingebouwde webserver, zodat ze eenvoudig via een browser zijn te benaderen. De beveiligingslekken zorgen ervoor dat een aanvaller de apparaten op afstand kan overnemen. CVE-2024-8956 betreft een kritiek authenticatieprobleem. Een aanvaller kan door het versturen van speciaal geprepareerde requests gevoelige informatie opvragen, zoals gebruikersnamen, wachtwoordhashes en configuratiegegevens. Ook kan een aanvaller de configuratiewaardes aanpassen of het gehele bestand overschrijven. De impact van deze kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.1. Zodra de aanvaller via CVE-2024-8956 toegang heeft gekregen kan die CVE-2024-8957 gebruiken. Deze kwetsbaarheid maakt command injection mogelijk en zorgt ervoor dat de aanvaller willekeurige OS-commando's op de camera kan uitvoeren. Door de twee kwetsbaarheden te combineren kan een ongeauthenticeerde aanvaller op afstand volledige controle over de camera krijgen. Het is onbekend sinds wanneer aanvallers misbruik van de lekken maken en hoeveel apparaten zijn gecompromitteerd. bron: https://www.security.nl

Bittorrent-client qBittorrent was ruim veertien jaar lang kwetsbaar voor man-in-the-middle (mitm)-aanvallen. Sinds april 2010 werd elk willekeurig tls-certificaat geaccepteerd, waaronder verlopen en zelf-gesigneerde certificaten. Eerder deze week verscheen versie 5.0.1 waarin het probleem is verholpen. Dat laat Sharp Security in een analyse weten. In de release notes staat als bugfix vermeld 'Don't ignore SSL errors'. Een aanvaller zou op verschillende manieren misbruik van het probleem kunnen maken. QBittorrent voert namelijk verschillende controles uit, waarbij het hardcoded URL's gebruikt om te kijken of de gebruiker Python moet downloaden/installeren, of er nieuwe updates beschikbaar zijn, het automatisch downloaden van een .gz extension binary en het updaten van RSS-feeds. "Een ander aspect van de hardcoded URL's is dat een aanvaller alleen verzoeken van qBittorrent kan onderscheppen die de verbinding niet verifiëren, in plaats van een slachtoffer te waarschuwen wanneer zijn browser of andere applicaties er niet in slagen om veilig verbinding te maken met internet", aldus Sharp Security. Dat voegt toe dat een aanvaller via de mitm-aanval links in de qBittorrent RSS-viewer, update URL's en aangeboden Python-bestanden kan vervangen door malware. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om cryptostelende malware toe te voegen aan de npm-package van Lottie-Player, zo waarschuwt LottieFiles. LottieFiles is een library van Lottie-animaties, een bestandsformaat voor vectoranimaties. Lottie-animaties zijn in websites, apps en andere digitale producten te gebruiken en moeten voor 'beweging en interactiviteit' zorgen, aldus de uitleg. Volgens LottieFiles worden de animaties en diensten die het biedt door bijna tien miljoen ontwerpers en ontwikkelaars van meer dan 280.000 bedrijven wereldwijd gebruikt. Voor het embedden en weergeven van Lottie-animaties op websites is er de Lottie-Player, die via npm wordt aangeboden. Dit is de standaard package manager voor de JavaScript-omgeving Node.js en naar eigen zeggen het grootste softwarearchief ter wereld. Via het npm registry biedt het een groot archief met openbare, besloten en commerciële packages. LottieFiles meldt via X dat het aanvallers is gelukt om nieuwe versies van Lottie-Player te verspreiden die zijn voorzien van malware. Volgens de verklaring konden de aanvallers deze besmette versies verspreiden door middel van een gestolen access token van een ontwikkelaar die over de vereiste permissies beschikte. Hoe dit token kon worden gestolen laat LottieFiles niet weten. De malware in de besmette Lottie-Player probeerde toegang tot de cryptowallets van gebruikers te krijgen. De besmette versies zijn inmiddels verwijderd en er is een nieuwe, schone versie gepubliceerd. Ontwikkelaars en ontwerpers die hun player niet meteen kunnen updaten wordt aangeraden om naar eindgebruikers van de Lottie-Player te communiceren dat ze verzoeken om hun cryptowallets te koppelen moeten negeren. bron: https://www.security.nl

Het Amerikaanse ministerie van Volksgezondheid en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security waarschuwen voor misbruik van verschillende kwetsbaarheden in Oracle-producten aangeduid als 'The Miracle Exploit'. De beveiligingslekken (CVE-2022-21445 en CVE-2022-21497) bevinden zich in het Oracle Application Development Framework (ADF) en de Oracle Web Services Manager, die onderdeel van Oracle Fusion Middleware zijn. Oracle kwam in april 2022 met updates voor de problemen. Via de beveiligingslekken kan een ongeauthenticeerde aanvaller systemen op afstand overnemen. CVE-2022-21445 maakt het mogelijk voor een aanvaller om door het versturen van speciaal geprepareerde HTTP-requests naar een kwetsbaar systeem hier willekeurige code op uit te voeren. De impact is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. CVE-2022-21497 betreft een server-side request forgery (SSRF) kwetsbaarheid en zorgt ervoor dat een aanvaller zich lateraal naar andere kwetsbare Oracle-systemen kan bewegen. Ook dit beveiligingslek, met een impactscore van 8.1, zorgt ervoor dat door het sturen van speciaal geprepareerde data 'arbitrary code execution' mogelijk is. De onderzoekers die de kwetsbaarheden in juni 2022 openbaarden noemden dit een 'mega 0-day' en gaven hun aanval de naam 'The Miracle Exploit'. Een goede twee jaar later kwam het Amerikaanse cyberagentschap CISA vorige maand met de melding dat aanvallers actief misbruik maken van CVE-2022-21445 en CVE-2020-14644. Een andere Oracle-kwetsbaarheid die met CVE-2022-21445 is te combineren. CVE-2020-14644 werd door andere onderzoekers gevonden en in juli 2020 door Oracle gepatcht. Het CISA gaf geen details over de waargenomen aanvallen. Naar aanleiding van die waarschuwing is het Health Sector Cybersecurity Coordination Center (HC3) van het Amerikaanse ministerie van Volksgezondheid nu met een waarschuwing voor The Miracle Exploit gekomen (pdf). De overheidsinstantie stelt dat, op de melding van het CISA na, er nog geen publieke meldingen van actief misbruik zijn. Wel kan de impact op zorginstellingen groot zijn, aangezien die vaak van middleware gebruikmaken voor het beheer van essentiële functies en patiëntengegevens. Daar komt bij dat Oracle tijdens elke patchronde waarschuwt dat het bekend is met succesvolle aanvallen op klanten die hebben nagelaten updates te installeren. Het HC3 roept zorginstanties dan ook op om de updates te installeren mocht dat nog niet zijn gedaan. bron: https://www.security.nl

Aanvallers installeren op gecompromitteerde systemen antivirussoftware om daarmee de aanwezige securitysoftware uit te schakelen, zo laat securitybedrijf Rapid7 weten. Het bedrijf deed onlangs onderzoek naar een aanval, die begon via een gecompromitteerde SharePoint-server. Om detectie binnen de gecompromitteerde omgeving te voorkomen installeerde de aanvaller Huorong Internet Security, dat in de Microsoft Store verkrijgbaar is. De installatie van deze antivirussoftware zorgde voor een conflict met de al aanwezige beveiligingsoplossingen op het systeem, waardoor de services van deze producten crashten. Door het wegvallen van de beveiligingsoplossingen kon de aanvaller verder met zijn aanval. Voordat hij Huorong AntiVirus installeerde had de aanvaller namelijk geprobeerd om Impacket te installeren. Dit is een verzameling Python-scripts om met netwerkprotocollen te werken. De installatie van Impacket werd door de aanwezige beveiligingsoplossing tegengehouden, waarop de aanvaller Huorong Internet Security installeerde en alsnog verder kon. "De installatie van een extern antivirusproduct om securitytooling uit te schakelen is een interessante techniek die we tijdens dit onderzoek ontdekten", aldus het securitybedrijf. Rapid7 heeft Indicators of Compromise met betrekking tot de aanval en het gebruik van de antivirussoftware voor 'Defense Evasion' via het eigen blog gedeeld. De naam van de uitgeschakelde securityproducten is niet bekendgemaakt. bron: https://www.security.nl

Een groot aantal Xlight ftp-servers die vanaf internet benaderbaar zijn bevatten een kritieke kwetsbaarheid waardoor de systemen op afstand door een ongeauthenticeerde aanvaller zijn over te nemen. Daarnaast is proof-of-concept exploitcode beschikbaar, wat de kans op actief misbruik vergroot, aldus securitybedrijf Censys. De ontwikkelaar heeft een update uitgebracht waarmee het probleem wordt verholpen, maar heeft de impact van het lek niet duidelijk in de release notes vermeld. Xlight is software voor het opzetten van een ftp-/sftp-server. Een kritieke kwetsbaarheid (CVE-2024-46483) in het onderdeel dat netwerkpakketten verwerkt kan voor een 'integer overflow' zorgen. Hierdoor kan een aanvaller zijn code op de server uitvoeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Op 21 augustus kwam de ontwikkelaar met versie 3.9.4.3 waarin het probleem is verholpen. Volgens de beschrijving van de update gaat het om een kwetsbaarheid waardoor het mogelijk is de server te laten crashen. De aanval kan echter ook leiden tot het uitvoeren van code, wat de impact veel groter maakt. Onlangs verscheen er proof-of-concept exploitcode online. Censys voerde een online scan uit en ontdekte meer dan 3500 Xlight ftp-servers die vanaf het internet benaderbaar zijn. De helft van deze ftp-servers geeft de gebruikte versie weer. Op basis daarvan blijkt dat bijna de helft van alle online te vinden Xlight ftp-servers een kwetsbare versie draait. Er werden slechts veertig servers gevonden die versie 3.9.4.3 of nieuwer draaien. bron: https://www.security.nl

Fortinet heeft meer informatie gegeven over de aanvallen waar FortiManager-servers al maanden het doelwit van zijn, waaronder ip-adressen die de aanvallers gebruiken. Aanvallers maken al zeker sinds juni misbruik van een kritieke kwetsbaarheid in FortiManager, aangeduid als CVE-2024-47575. Op het moment dat de aanvallen plaatsvonden was er geen update voor de kwetsbaarheid beschikbaar. De Shadowserver Foundation, een organisatie die zich bezighoudt met de bestrijding van cybercrime, stelde onlangs dat alle organisaties met een FortiManager-server ervan moeten uitgaan dat het systeem is gecompromitteerd, tenzij uitgebreid onderzoek uitwijst dat dit niet het geval is. FortiManager is een netwerkapparaat waarmee organisaties al hun Fortinet-apparaten kunnen beheren. Een succesvolle aanval kan dan ook vergaande gevolgen voor organisaties hebben, omdat zo ook andere apparaten zijn aan te vallen die vaak een belangrijke rol in het netwerk spelen. Via het beveiligingslek kan een ongeauthenticeerde aanvaller op afstand willekeurige code of commando's op kwetsbare apparaten uitvoeren. Bij de nu waargenomen aanvallen stelen aanvallers configuratiedata van de aangevallen FortiManager-server. Deze data bevat configuratiegegevens van zowel via de FortiManager beheerde apparaten, alsmede de gebruikers van deze apparaten en hun gehashte wachtwoorden. De afgelopen dagen heeft Fortinet meer informatie aan het beveiligingsbulletin over CVE-2024-47575 toegevoegd. Het gaat onder andere om Indicators of Compromise (IoCs), waarmee organisaties kunnen kijken of hun FortiManager-servers gecompromitteerd zijn. De nieuwste IoCs bestaan onder andere uit verschillende ip-adressen die de aanvallers gebruiken of hebben gebruikt. Updates voor de kwetsbaarheid zijn al voor het uitkomen van het beveiligingsbulletin onder klanten beschikbaar gemaakt. Organisaties worden opgeroepen de update te installeren mocht dat nog niet zijn gedaan. De Duitse overheid liet laatst weten dat het bekend is met tientallen gecompromitteerde FortiManager-servers in het land. Ook de Britse overheid meldde aanvallen. bron: https://www.security.nl

Aanvallers maken bij phishingaanvallen op grote schaal gebruik van Remote Desktop Protocol (RDP) configuratiebestanden om individuen en organisaties te compromitteren, zo waarschuwt Microsoft. Volgens het techbedrijf hebben meer dan duizend doelwitten in meer dan honderd organisaties de phishingmails ontvangen. De e-mails hebben als bijlage een .RDP-bestand. Het Remote Desktop Protocol maakt het mogelijk om computers op afstand te besturen. De RDP-bestanden die bij de aanvalscampagne worden gebruikt zijn met een certificaat van Let's Encrypt gesigneerd. Zodra de ontvanger het RDP-bestand opent wordt er vanaf zijn computer een verbinding met de RDP-server van de aanvallers opgezet. Die kunnen vervolgens via RDP de computer van het doelwit overnemen. Volgens Microsoft zijn de gebruikte RDP-bestanden voorzien van gevoelige instellingen, waardoor er allerlei informatie van het doelwit wordt gelekt. Zodra het doelsysteem is gecompromitteerd maakt het verbinding met de server van de aanvallers en worden lokale resources voor de RDP-server beschikbaar. Het gaat dan bijvoorbeeld om harde schijven, inhoud van het clipboard, printers, aangesloten apparaten, audio en authenticatiefeatures van Windows, waaronder smartcards. "Met deze toegang zouden de aanvallers malware het de lokale schijf of netwerkshares van het doelwit kunnen installeren", aldus Microsoft. Op deze manier kan de aanvaller toegang behouden als de RDP-sessie wordt gesloten. Tevens stelt het techbedrijf dat bij het opzetten van de RDP-verbinding naar de server van de aanvallers ook de inloggegevens van het doelwit kunnen worden verstuurd. Volgens Microsoft zijn overheden, academici, de defensiesector en NGO's het doelwit van de aanvallen. Het techbedrijf stelt dat die het werk zijn van een aan Rusland gelieerde groep genaamd Midnight Blizzard, die ook bekendstaat als APT29 en Cozy Bear. Onlangs waarschuwde ook Amazon dat het domeinen had geïdentificeerd die bij deze aanval zijn gebruikt. bron: https://www.security.nl

Synology heeft twee kritieke kwetsbaarheden verholpen waardoor NAS-apparaten op afstand zijn over te nemen. De beveiligingslekken werden vorige week tijdens de Pwn2Own-hackwedstrijd in Ierland gedemonstreerd. Tijdens de wedstrijd worden onderzoekers beloond voor het demonstreren van onbekende kwetsbaarheden in populaire producten en software. Tijdens de editie in Ierland waren onder andere NAS-apparaten van QNAP, Synology en TrueNAS het doelwit van deelnemende onderzoekers. Het lukte meerdere onderzoekers om NAS-systemen van de drie fabrikanten te compromitteren. Eerder kwam QNAP al voor een gedemonstreerde kwetsbaarheid met een beveiligingsupdate. Ook Synology is met patch gekomen om twee beveiligingslekken te verhelpen. De eerste kritieke kwetsbaarheid bevindt zich in Synology Photos 1.6 en 1.7 voor DSM 7.2. Synology Photos maakt het mogelijk om fotoalbums op de NAS aan te maken en met anderen te delen. Gebruikers moeten de applicatie zelf op hun NAS installeren. DiskStation Manager (DSM) is het besturingssysteem dat op NAS-apparaten van Synology draait. Het tweede kritieke beveiligingslek is verholpen in BeePhotos voor BeeStation OS 1.0 en 1.1. BeePhotos is een app voor het maken van foto's op een BeeStation NAS. TrueNAS moet nog met beveiligingsupdates voor de gedemonstreerde kwetsbaarheden komen. bron: https://www.security.nl

Aanvallers hebben via kritieke kwetsbaarheden in CyberPanel 22.000 servers met ransomware geïnfecteerd, die daardoor offline gingen, zo stellen onderzoekers en securitybedrijf LeakIX. Voor getroffen gebruikers is inmiddels een gratis decryptor beschikbaar. CyberPanel is een webhosting controlepaneel voor het beheren van webservers en websites, vergelijkbaar met het bekende cPanel. Kwetsbaarheden in de software maken het mogelijk voor een ongeauthenticeerde aanvaller om als root commando's op de server uit te voeren. CyberPanel werd door twee beveiligingsonderzoekers over de problemen ingelicht. De ontwikkelaar vroeg op 23 oktober aan één van de onderzoekers met het alias DreyAnd om 'een aantal dagen' te wachten met het publiceren van details. Op 27 oktober maakte de onderzoeker details en proof-of-concept exploitcode beschikbaar. Op dat moment was er volgens de onderzoeker nog geen update aan gebruikers aangeboden en ook nog geen CVE-nummer aan de kwetsbaarheden toegekend. CyberPanel liet gisteren weten dat het de beveiligingsupdate stilletjes aan een routine update had toegevoegd, zonder dit aan gebruikers te laten weten. Daarnaast had het de onderzoekers gevraagd vooralsnog geen details te delen, om zo gebruikers de tijd te geven om te updaten. Uiteindelijk verschenen details van de kwetsbaarheden online, wat volgens CyberPanel voor zorgen bij gebruikers zorgde. De ontwikkelaar heeft besloten om vooralsnog geen details over de kwetsbaarheid vrij te geven, maar zegt dit later wel te zullen doen. De beveiligingslekken hebben inmiddels wel een CVE-nummer (CVE-2024-51567 en CVE-2024-51568). De onderzoeker DreyAnd erkent dat hij een fout heeft gemaakt met het te vroeg vrijgeven van de details en exploitcode. Securitybedrijf LeakIX meldde maandag dat er 22.000 kwetsbare CyberPanel-servers op internet te vinden waren, waarvan een kleine vijfhonderd in Nederland. Het grootste deel daarvan was gisteren offline en gecompromitteerd, aldus LeakIX en een onderzoeker met het alias Gi7w0rm. De servers zijn getroffen door de PSAUX-ransomware. De aanvallers eisen tweehonderd dollar losgeld voor het ontsleutelen van versleutelde data. Gisterenavond maakte LeakIX bekend dat het een gratis decryptor voor getroffen servers heeft ontwikkeld, zodat gebruikers en beheerders hun data kunnen terugkrijgen. bron: https://www.security.nl

Mozilla heeft een nieuwe versie van Firefox uitgebracht die allerlei nieuwe features bevat voor het afspelen van streamingcontent, alsmede HTTP-favicons blokkeert als ze niet over HTTPS beschikbaar zijn. Ook worden alle third-party cookies voortaan geblokkeerd als de Strict mode van de Enhanced Tracking Protection door de gebruiker is ingeschakeld. Wanneer een HTTPS-website bijvoorbeeld scripts, iframes, advertenties, afbeeldingen, video's en audio over HTTP aanbiedt wordt dit 'mixed content' genoemd. Dit is een beveiligingsrisico, omdat een aanvaller via een man-in-the-middle-aanval de HTTP-content kan onderscheppen om zo aanvallen tegen de gebruiker uit te voeren. Browsers maakten altijd een onderscheid tussen actieve mixed content, zoals scripts of iframes, en passieve mixed content, zoals afbeeldingen. Met name actieve mixed content vormt een groot beveiligingsrisico en wordt dan ook door de meeste browsers geblokkeerd. In het geval van passieve mixed content werd dit risico kleiner geacht en werd dergelijke content toch geladen. Er verschijnt dan wel een waarschuwing in de adresbalk. Sinds Firefox 127 wordt voor afbeeldingen, video en audio die via HTTP worden aangeboden geprobeerd om die via HTTPS te laden. De upgrade naar HTTPS vindt automatisch door de browser plaats. Is de upgrade niet mogelijk, dan zal Firefox de content blokkeren. Met de lancering van Firefox 132 vindt deze upgrade ook voor HTTP-favicons plaats. Firefox kijkt of het icoon via HTTPS beschikbaar is en zal die laden. Wordt het favicon alleen via HTTP aangeboden, dan zal Firefox die blokkeren. Third-party cookies Firefox blokkeert al enige tijd trackingcookies via Enhanced Tracking Protection (ETP). Hiervoor maakt de browser gebruik van een lijst met bekende trackers van trackerblocker Disconnect. Op dit moment blokkeert ETP een paar duizend van de meestgebruikte en waargenomen trackers. ETP kent verschillende niveaus. Op het niveau 'Strict mode', wat gebruikers zelf kunnen instellen, worden voortaan alle third-party cookies tegengehouden. Mozilla's Tim Huang merkt op dat Firefox al jaren een effectieve verdediging tegen third-party cookietracking heeft. Andere browserleveranciers kijken echter naar opties zoals het blokkeren van alle third-party cookies. Om ervoor te zorgen dat alle browser-engines een zelfde aanpak hanteren heeft Mozilla nu ook de optie toegevoegd om alle third-party cookies te blokkeren. Updaten naar Firefox 132 kan via de automatische updatefunctie en Mozilla.org. bron: https://www.security.nl

QNAP heeft een beveiligingsupdate uitgebracht voor een kritieke kwetsbaarheid waardoor NAS-apparaten van de fabrikant door een remote aanvaller zijn over te nemen. Via het beveiligingslek, aangeduid als CVE-2024-50388, kan een ongeauthenticeerde aanvaller die de NAS kan benaderen willekeurige systeemcommando's uitvoeren. De kwetsbaarheid werd vorige week tijdens de Pwn2Own-wedstrijd in Ierland gedemonstreerd. Tijdens het evenement worden onderzoekers beloond voor het demonstreren van onbekende kwetsbaarheden in veelgebruikte producten en software. De QNAP QHora-322 router en TS-464 NAS waren onderdeel van de wedstrijd en werden door verschillende onderzoekers via meerdere beveiligingslekken gecompromitteerd, wat QNAP een 'leerervaring' noemde. Het 'command injection' beveiligingslek dat onderzoekers van Viettel Cyber Security demonstreerden, en het injecteren van systeemcommando's mogelijk maakt, is door QNAP verholpen in HBS 3 Hybrid Backup Sync 25.1.1.673 en nieuwer. HBS 3 is een oplossing van QNAP voor het maken en terugplaatsen van back-ups. Het ondersteunt een groot aantal lokale, remote server en cloudopslagdiensten. Gebruikers moeten de oplossing wel zelf via het QNAP App Center installeren. Kwetsbaarheden in HBS 3 zijn in het verleden gebruikt bij ransomware-aanvallen op QNAP NAS-apparaten. Wanneer de overige tijdens Pwn2Own gedemonstreerde kwetsbaarheden een update krijgen is onbekend. bron: https://www.security.nl

Politiediensten hebben bij een internationale operatie tegen de RedLine- en META-infostealers miljoenen gestolen wachtwoorden, e-mailadressen, cookies, creditcardnummers en andere informatie aangetroffen. De Nederlandse politie gebruikte de hackbevoegdheid om de infrastructuur van beide infostealers offline te halen, zo is vandaag bekendgemaakt. Gisteren werd al bekend dat de Nederlandse politie en andere diensten toegang tot de servers van beide infostealers hadden gekregen. Infostealers zijn malware waarmee aanvallers inloggegevens en allerlei andere gevoelige informatie van systemen kunnen stelen. De RedLine-infostealer werd aangeboden als standalone en abonnementsversie. Volgens de politiediensten maakten duizenden mensen gebruik van de malware om wereldwijd aanvallen mee uit te voeren. De Amerikaanse autoriteiten spreken over miljoenen slachtoffers. Zodra de infostealer was aangeschaft moest die nog onder slachtoffers worden verspreid. Zo werd de malware onder andere aangeboden als beveiligingsupdate. Eenmaal actief stuurde de malware gestolen data door naar de aanvallers. Die gebruikten de informatie voor het compromitteren van accounts en stelen van cryptovaluta. Ook werden gestolen inloggegevens aan anderen doorverkocht. Tijdens het onderzoek naar de malware ontdekten autoriteiten een infrastructuur die uit meer dan twaalfhonderd servers bestond. "Met gebruikmaking van de hackbevoegdheid is de politie met een technisch hoogstandje in staat geweest de infrastructuur van de beide infostealers offline te halen. Hierdoor functioneert de malware niet meer en is het niet mogelijk om nieuwe data van (geïnfecteerde) slachtoffers te stelen", aldus de Nederlandse politie. Op door de malware gebruikte servers werden miljoenen unieke gebruikersnamen en wachtwoorden aangetroffen, alsmede e-mailadressen, rekeningnummers, cryptowalletadressen, creditcardnummers en andere informatie, aldus de Amerikaanse autoriteiten. Die stellen dat de werkelijke gestolen hoeveelheid data waarschijnlijk veel groter is. Naast gegevens van slachtoffers werd ook informatie over vermeende afnemers aangetroffen. De politie voert nu verder onderzoek naar deze personen uit. Daarnaast hebben vermeende afnemers een bericht ontvangen waarin ze zijn gevraagd om informatie met de autoriteiten te delen. Tevens zijn verschillende personen in verband met de infostealers aangehouden. Ook is een vermeende beheerder en ontwikkelaar in de VS aangeklaagd. Antivirusbedrijf ESET heeft een online scanner waarmee beide infostealers zijn te detecteren. bron: https://www.security.nl

Verschillende laptops van bekende merken zoals Dell en Lenovo maken gebruik van SD-cardreaders van fabrikant Realtek. Een kwetsbaarheid in de gebruikte Realtek-driver zorgt ervoor dat een gebruiker of aanvaller met beperkte rechten zijn rechten kan verhogen en zelfs het fysieke geheugen kan lezen en schrijven. Realtek heeft updates voor het probleem uitgebracht, maar in ieder geval Dell en mogelijk andere fabrikanten hebben die updates nog niet aan hun klanten aangeboden, zo meldt een beveiligingsonderzoeker met het alias 'ZwClose'. De Realtek-driver RtsPer.sys laat het besturingssysteem met de SD-cardreader communiceren. De onderzoeker ontdekte verschillende kwetsbaarheden in de driver. Een gebruiker of aanvaller met beperkte rechten kan via deze driver naar het kernelgeheugen schrijven, wat eigenlijk niet zou moeten kunnen. Zo kan een aanvaller zijn rechten verhogen waardoor het systeem verder is te compromitteren. Het meest opmerkelijke noemde de onderzoeker de mogelijkheid om naar het fysieke geheugen te schrijven en dat te lezen. Meer informatie hierover wordt later bekendgemaakt. Realtek kwam afgelopen juli of augustus met updates, maar het blijkt dat in ieder geval Dell, en mogelijk andere fabrikanten, hun driver packages niet hebben geüpdatet, waardoor de kwetsbaarheden nog aanwezig zijn. Het gaat om de volgende modellen SD-cardreaders (RTS5227, RTS5228, RTS522A, RTS5249, RTS524A, RTS5250, RTS525A, RTS5287, RTS5260, RTS5261 en RTS5264) die onder andere door Dell, HP, Lenovo en MSI worden gebruikt. De problemen zijn verholpen in driver-versie 10.0.26100.21374 en hoger. Nieuwe versies zijn onder andere via de Microsoft Update Catalog te downloaden. bron: https://www.security.nl

Misschien heb je hier iets aan: https://support.microsoft.com/nl-nl/windows/oudere-apps-of-programma-s-compatibel-maken-met-windows-783d6dd7-b439-bdb0-0490-54eea0f45938

Beste Peter, Dit is zeker niet prettig en geeft een onveilig gevoel. Wat ik je sowieso als Privacy Officier aan zou raden is aangifte doen bij de politie. Niet dat het dan direct opgelost is, maar er ligt dan al een melding voor dossiervorming mocht dit verder uit de hand gaan lopen.

Dat klinkt aardig irritant. Het lijkt of de software niet compatibel is met je W11. Ik heb een beetje zitten zoeken voor je. Misschien heb je iets aan het volgende artikel: Oudere programma’s uitvoeren in compatibiliteitsmodus in Windows 11. Hoop dat dit het probleem voor je kan oplossen.

Een kwetsbaarheid in de Mallox-ransomware maakt het mogelijk om versleutelde bestanden te ontsleutelen, zonder dat het nodig is de aanvallers hiervoor te betalen. Dat meldt antivirusbedrijf Avast dat een gratis decryptor heeft gemaakt. De Mallox-ransomware stond eerder nog bekend als de TargetCompany-ransomware. In 2022 werd een kwetsbaarheid in de gebruikte encryptie gevonden, waardoor Avast een decryptor kon ontwikkelen. De makers van de ransomware verhielpen het probleem een paar weken later en hernoemden de ransomware naar Mallox. Onderzoek wees uit dat de makers opnieuw een fout met de encryptie hebben gemaakt, waardoor bestanden zonder de private ECDH-key zijn te ontsleutelen. Het gaat hierbij om de versie die in 2023 en begin dit jaar door de ransomwaregroep is ingezet. Afgelopen maart werd de kwetsbaarheid door de makers verholpen. Voor slachtoffers die met de te ontsleutelen Mallox-ransomware zijn getroffen is nu een gratis decryptor beschikbaar. De ransomware zou vooral in Turkije, Argentinië, Mexico, Brazilië en Italië zijn ingezet. Dat de groep meer fouten op securitygebied maakte werd ook begin dit jaar al duidelijk. Toen bleek dat de ransomwaregroep, als gevolg van een IDOR-kwetsbaarheid in de eigen website, decryptiesleutels van slachtoffers lekte. bron: https://www.security.nl

Cisco waarschuwt organisaties voor meerdere kritieke kwetsbaarheden in de Firepower Threat Defense (FTD), Adaptive Security Appliance (ASA) en Secure Firewall Management Center (FMC) software waardoor aanvallers kwetsbare apparaten kunnen overnemen. De impact van de drie kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.9. De Cisco ASA-software biedt onder andere firewall-, antivirus- en vpn-functionaliteit. Een kwetsbaarheid (CVE-2024-20329) in het SSH-subsystem laat een geauthenticeerde remote aanvaller commando's als root uitvoeren. Dit is mogelijk doordat gebruikersinvoer niet goed wordt gevalideerd. Een aanvaller met beperkte gebruikersrechten kan dit beveiligingslek gebruiken om volledige controle over het systeem te krijgen. Systemen zijn alleen kwetsbaar als ze een kwetsbare ASA-versie draaien, de CiscoSSH-stack staat ingeschakeld en SSH-toegang op tenminste één interface wordt toegestaan. De tweede kritieke kwetsbaarheid (CVE-2024-20412) is aanwezig in de FTD-software van de Firepower 1000, 2100, 3100 en 4200 firewalls. Door de aanwezigheid van een statisch account met een hardcoded wachtwoord kan een ongeauthenticeerde, lokale aanvaller op het systeem inloggen. Vervolgens is het mogelijk gevoelige informatie te stelen, de configuratie aan te passen of het apparaat buiten werking te stellen, zodat het systeem opnieuw geimaged moet worden. Het kritieke beveiligingslek in FMC (CVE-2024-20424), wat wordt gebruikt voor firewallbeheer, maakt het mogelijk voor een geauthenticeerde aanvaller om als root commando's op het onderliggende besturingssysteem uit te voeren of commando's op managed FTD-apparaten. Hiervoor is het nodig om speciaal geprepareerde HTTP-requests naar de webinterface te sturen. Wederom is het onvoldoende valideren van gebruikersinvoer de oorzaak. Voor alle drie de kritieke kwetsbaarheden zijn updates beschikbaar. Cisco zegt niet met misbruik van de beveiligingslekken bekend te zijn. bron: https://www.security.nl

Fortinet waarschuwt klanten voor een actief misbruikte kwetsbaarheid in FortiManager en FortiManager Cloud waardoor een ongeauthenticeerde aanvaller het systeem op afstand kan overnemen. FortiManager is een netwerkapparaat waarmee organisaties als hun Fortinet-apparaten kunnen beheren. De afgelopen dagen werd er veelvuldig over het bestaan van het beveiligingslek, aangeduid als CVE-2024-47575, gespeculeerd. Beveiligingsonderzoeker Kevin Beaumont stelde dat statelijke actoren misbruik van het lek maken om via managed serviceproviders spionage-aanvallen uit te voeren. Fortinet bleef echter stil over het probleem en de beschikbaarheid van beveiligingsupdates, tot vandaag. In het beveiligingsbulletin laat het bedrijf weten dat het berichten over actief misbruik heeft ontvangen en roept klanten op om de beschikbaar gestelde update te installeren. Door het versturen van speciaal geprepareerde requests kan een ongeauthenticeerde aanvaller namelijk op afstand willekeurige code of commando's op de FortiManager uitvoeren en zo controle over het systeem krijgen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Sinds wanneer er misbruik van het beveiligingslek plaatsvindt laat Fortinet niet weten. bron: https://www.security.nl

Een vanuit Noord-Korea opererende spionagegroep gebruikte een tankspelletje om gebruikers van Google Chrome via een kwetsbaarheid met malware te infecteren, zo meldt antivirusbedrijf Kaspersky. Op het moment van de aanvallen was er geen update voor het beveiligingslek beschikbaar. Kaspersky rapporteerde op 13 mei van dit jaar het beveiligingslek (CVE-2024-4947) aan Google, dat twee dagen later met een patch kwam. De Lazarus Group wordt onder andere verantwoordelijk gehouden voor de verspreiding van de WannaCry-ransomware, de hack van Sony Pictures Entertainment in 2014 en de diefstal van 81 miljoen dollar van een bank in Bangladesh in 2016. De groep richt zich ook vaak op cryptobedrijven. Individuen zijn zelden het doelwit, zo stelt Kaspersky. Op 13 mei ontdekte het antivirusbedrijf dat een gebruiker met een backdoor besmet was geraakt die Lazarus vaak inzet. Verder onderzoek wees uit dat de infectie had plaatsgevonden via Google Chrome, waarbij een website van een tankspelletje genaamd DeTankZone was bezocht. Volgens de omschrijving ging het om een decentralized finance (DeFi) NFT (non-fungible token)-gebaseerde multiplayer online battle arena (MOBA) game. Gebruikers konden op uitnodiging het spel testen. Wanneer de website met Google Chrome werd bezocht kon via verschillende kwetsbaarheden de Manuscrypt-backdoor worden geïnstalleerd. Via de backdoor hebben de aanvallers volledige controle over de computer. Verder onderzoek wees uit dat het hier om een volledig werkende game ging. Kaspersky ontdekte dat het spel een kopie was van een andere game genaamd DeFiTankLand (DFTL). De aanvallers begonnen op 20 februari met het adverteren van hun tankgame op X. Twee weken later liet de ontwikkelaar van DeFiTankLand weten dat een cold wallet was gecompromitteerd, waarbij 20.000 dollar aan DFTL2 coins was gestolen. Kaspersky denkt dat de aanvallers ook de broncode van DeFiTankLand hebben gestolen, om daarmee vervolgens hun eigen game DeTankZone te maken en zo de aanvalscampagne overtuigender te maken. "Wat de aanvallen van Lazarus zeer gevaarlijk maakt is het veelvuldig gebruik van zeroday-exploits. Alleen op een link klikken op een sociaal netwerk of e-mail kan al leiden tot een volledig gecompromitteerde pc of bedrijfsnetwerk", aldus het antivirusbedrijf. bron: https://www.security.nl