Captain Kirk

Tijdens de Pwn2Own-hackwedstrijd in Ierland hebben onderzoekers combi-aanvallen tegen een router van QNAP en TrueNAS Mini X gedemonstreerd. Voor de gedemonstreerde kwetsbaarheden zijn nog geen beveiligingsupdates beschikbaar. Pwn2Own is een evenement waarbij onderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden in veel gebruikte producten en software. De Pwn2Own-editie in Ierland laat onderzoekers uit verschillende categorieën kiezen. Het gaat dan om smartphones (Samsung Galaxy S24, Google Pixel 8 en Apple iPhone 15), WhatsApp, beveiligingscamera's, automatiseringshubs, printers, smart speakers, NAS-apparaten en routers. Onderzoekers kunnen via de 'SOHO Smashup' een extra beloning verdienen, door eerst een router te compromitteren en daarvandaan het aangesloten NAS-apparaat. Een succesvolle aanval op beide apparaten binnen dertig minuten is goed voor een beloning van 100.000 dollar. "De groei van thuiswerken heeft ervoor gezorgd dat veel bedrijven hun netwerkperimeter naar de thuiswerkplek hebben verplaatst. Aanvallers die thuisrouters en consumentenelektronica misbruiken, kunnen deze gebruiken als een springplank voor laterale bewegingen naar bedrijfssystemen. Dit willen we tijdens de wedstrijd demonstreren", aldus de organisatie. Op de eerste dag van het evenement gebruikte onderzoeker Sina Kheirkhah van Summoning Team negen verschillende kwetsbaarheden om via een QNAP QHora-322-router de aangesloten TrueNAS Mini X te compromitteren, wat 100.000 dollar opleverde. Ook onderzoekers van Viettel Cyber Security wisten een combi-aanval tegen beide apparaten uit te voeren en gebruikten hiervoor vier verschillende onbekende kwetsbaarheden. Naast de QNAP QHora-322 en TrueNAS Mini X werden gisteren ook kwetsbaarheden in Lorex 2K wifi-camera, Synology DiskStation DS1823xs+, Ubiquiti AI Bullet, Synology TC500, QNAP TS-464 NAS, Canon imageCLASS MF656Cdw printer, HP Color LaserJet Pro MFP 3301fdw printer en Sonos Era 300 smart speaker gedemonstreerd. Voor geen van deze kwetsbaarheden zijn beveiligingsupdates beschikbaar. De betreffende fabrikanten zijn ingelicht en kunnen nu updates ontwikkelen. De onderzoekers zullen de details pas na het verschijnen van de patches openbaar maken. Vandaag vindt dag twee van het evenement plaats. bron: https://www.security.nl

Het Tor Project heeft Tor Browser 14 gelanceerd, die allerlei nieuwe features en bugfixes bevat, en een langere ondersteuning van Windows 7, 8 en 8.1, alsmede macOS Sierra, High Sierra en Mojave aangekondigd. Dagelijks maken miljoenen mensen gebruik van het Tor-netwerk om hun privacy te beschermen en gecensureerde websites te bezoeken. Hiervoor wordt gebruikgemaakt van Tor Browser, wat uit een aangepaste Firefox-versie bestaat. Bij de lancering van Tor Browser 13.5, die gebaseerd is op Firefox ESR 115, waarschuwde het Tor Project gebruikers van Windows 7, 8, 8.1 en macOS Sierra, High Sierra en Mojave, dat dit de laatste ondersteunde versie was. Nu laat het Tor Project weten dat gebruikers van deze besturingssystemen tot maart 2025 beveiligingsupdates blijven ontvangen. Hiervoor zullen aparte updates voor Tor Browser 13.5 verschijnen. De aankondiging volgt op de beslissing van Mozilla om Firefox-gebruikers op oudere platforms langer te ondersteunen. De nu gelanceerde Tor Browser 14.0 is gebaseerd op Firefox ESR 128, die geen oudere Windows- en macOS-versies ondersteunt. Door het gebruik van Firefox ESR 128 is een jaar aan veranderingen en features die aan Firefox zijn toegevoegd nu ook beschikbaar in Tor Browser. Daarnaast zijn er nieuwe features beschikbaar, zoals de mogelijkheid voor Androidgebruikers om een nieuw Tor-circuit voor een geopende website aan te vragen. Tor Browser 14.0 is een automatische update voor gebruikers op nieuwere macOS- en Windows-versies. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kwetsbaarheid in Microsoft SharePoint waardoor remote code execution (RCE) mogelijk is, zo laat het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security weten. Microsoft kwam op 9 juli met een beveiligingsupdate voor de kwetsbaarheid, aangeduid als CVE-2024-38094. Op het moment dat de patch uitkwam was Microsoft niet bekend met misbruik, maar het techbedrijf liet weten dat dit waarschijnlijk wel in de toekomst zou gebeuren. SharePoint is een omgeving voor het uitwisselen van bestanden en informatie tussen gebruikers en laat die ook met elkaar communiceren. Om misbruik van het lek te maken moet een aanvaller over SharePoint-inloggegevens beschikken en Site Owner-permissies hebben. Vervolgens is het mogelijk om willekeurige code te injecteren en uit te voeren in de context van de SharePoint-server. Het CISA laat nu weten dat aanvallers actief misbruik van de kwetsbaarheid maken en dit een risico voor overheidsorganisaties is. Details over de waargenomen aanvallen zijn niet gegeven. Wel heeft het CISA Amerikaanse federale overheidsinstanties opgedragen om de beveiligingsupdate voor 12 november te installeren. bron: https://www.security.nl

OpenSSL heeft versie 3.4.0 uitgebracht die van allerlei nieuwe features is voorzien. Het gaat hier om een 'feature release' die volgens de ontwikkelaars 'aanzienlijke nieuwe functionaliteit' aan de software toevoegt. OpenSSL behoort tot de meestgebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen. Onder de nieuwe features bevindt zich onder andere support van het RSA-SHA2-256-algoritme, implementatie van Password-Based Message Authentication Code 1 (PBMAC1) in PKCS#12, FIPS-gerelateerde aanpassingen, support voor integrity-only cipher suites en Initial Attribute Certificate en het gebruik van een extra random seed source RNG JITTER. OpenSSL kent verschillende versies. De 3.0-serie valt onder Long Term Support (LTS) en wordt tot 7 september 2026 ondersteund. De OpenSSL-downloadpagina laat nog niet weten tot wanneer versie 3.4.x wordt ondersteund, maar de 3.3-serie kan tot 9 april 2026 op ondersteuning rekenen. bron: https://www.security.nl

Cryptoplatform Transak heeft de gegevens van ruim 92.000 gebruikers gelekt, waaronder namen, kopieën van identiteitsdocumenten en selfies. Transak biedt een platform waarmee apps en websites hun gebruikers crypto kunnen laten kopen en verkopen. Voor de controle van gebruikers werkt Transak samen met een derde partij die de Know Your Customer (KTC)-controles uitvoert. Volgens Transak wist een aanvaller door middel van een 'geraffineerde phishingaanval' toegang tot de laptop van een medewerker te krijgen. Vervolgens kon de aanvaller inloggen op het systeem van de niet nader genoemde KYC-leverancier en daar toegang tot opgeslagen klantgegevens krijgen. Het gaat om namen, geboortedatum, kopie van identiteitsbewijs en selfies van 92.554 gebruikers. E-mailadressen, telefoonnummers, wachtwoorden en creditcardgegevens zijn niet gecompromitteerd. Ook lopen de cryptovaluta van gebruikers geen risico, zo stelt het bedrijf in een verklaring. Getroffen gebruikers zullen een e-mail ontvangen. Daarnaast zegt het cryptoplatform de training, software en systemen te zullen verbeteren om phishing- en social engineering-aanvallen op medewerkers te voorkomen en schade te beperken mocht een aanval zich voordoen. Het datalek is bij verschillende privacytoezichthouders gemeld. Transak zegt wereldwijd zes miljoen klanten te hebben. bron: https://www.security.nl

VMware kwam vorige maand met een beveiligingsupdate voor een kritieke kwetsbaarheid in vCenter, waardoor servers op afstand zijn over te nemen. Het bedrijf laat nu weten dat die update onvoldoende is en heeft een tweede update uitgebracht om het probleem volledig te verhelpen. VCenter is een oplossing voor het beheer van virtual machines en gevirtualiseerde servers. Kwetsbaarheden in de oplossing zijn in het verleden geregeld gebruikt voor het uitvoeren van aanvallen. Vorige maand liet VMware weten dat de implementatie van het DCERPC-protocol binnen vCenter een heap-overflow kwetsbaarheid bevat. Door het versturen van speciaal geprepareerde netwerkpakketten kan een aanvaller met toegang tot een vCenter-server code op het systeem uitvoeren. De impact van het beveiligingslek (CVE-2024-38812) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het probleem werd gedemonstreerd tijdens een hackwedstrijd in China genaamd Matrix Cup, die afgelopen juni plaatsvond. Vervolgens kwam VMware op 17 september met patches, maar in een update van het beveiligingsbulletin laat VMware nu weten dat de eerste patch ontoereikend was. Organisaties worden dan ook opgeroepen de nu uitgebrachte update te installeren om zo volledig beschermd te zijn. bron: https://www.security.nl

Criminelen gebruiken malafide CAPTCHA's om malware te verspreiden waarmee wachtwoorden en cryptowallets worden gestolen. Daarvoor waarschuwt securitybedrijf Qualys. De methode werd vorige maand ook al tegen softwareontwikkelaars op GitHub ingezet. De aanval begint met een malafide webpagina die gebruikers laat geloven dat ze een CAPTCHA moeten oplossen, om zo aan te tonen dat ze mens zijn. De benodigde 'verificatiestappen' bestaan uit het starten van PowerShell, ctrl+v te doen en dan enter. Hierdoor wordt de net gekopieerde code geplakt en uitgevoerd. Deze code downloadt de malware op het systeem. Het gaat om de Lumma-infostealer. Deze malware zoekt naar wachtwoord- en cryptowallet-gerelateerde bestanden. Zo wordt er specifiek gezocht op bestanden als *seed*.txt, *pass*.txt, *.kbdx, *ledger*.txt, *trezor*.txt, *metamask*.txt, bitcoin*.txt, *word* en *wallet*.txt. Gevonden bestanden worden vervolgens naar de aanvaller gestuurd. bron: https://www.security.nl

Facebook en Instagram testen een nieuwe methode voor gebruikers om een gekaapt account door middel van een videoselfie en gezichtsherkenning terug te krijgen, zo laat Meta weten. Volgens het techbedrijf zijn er verschillende manieren waardoor gebruikers toegang tot hun account kunnen verliezen, waaronder het afstaan van inloggegevens aan scammers. "Als we denken dat een account is gecompromitteerd, vereisen we dat de accounthouder zijn identiteit verifieert voordat hij weer toegang krijgt, door een officieel identiteitsbewijs of officieel certificaat met zijn naam te uploaden", aldus Meta over de huidige herstelmethode. Bij de methode die nu wordt getest moeten gebruikers een videoselfie uploaden. Vervolgens wordt gezichtsherkenning toegepast en de geüploade videoselfie vergeleken met de profielfoto van het betreffende account. Meta stelt dat geüploade videoselfies versleuteld en veilig opgeslagen worden. "We zullen alle gezichtsdata die na de vergelijking is gegenereerd, ongeacht of er een match is of niet, direct verwijderen", laat het bedrijf verder weten. Meta claimt dat deze herstelmethode lastiger is voor aanvallers om te misbruiken dan traditionele identiteitsbewijs-gebaseerde identiteitsverificatie. bron: https://www.security.nl

Duizenden WordPress-sites zijn door aanvallers besmet en voorzien van malafide code die bezoekers door middel van zogenaamde updates voor Google Chrome met malware probeert te infecteren. In werkelijkheid gaat het om 'infostealers' die wachtwoorden en andere inloggegevens van de besmette gebruiker stelen. Dat laat het securityteam van hostingbedrijf GoDaddy in een analyse weten. De onderzoekers ontdekten meer dan zesduizend WordPress-sites wereldwijd die de afgelopen maanden van malafide code zijn voorzien. De websites zijn door middel van gestolen inloggegevens gecompromitteerd. Vervolgens werden er malafide, maar voor beheerders onschuldig lijkende plug-ins, toegevoegd. Deze plug-ins kijken welke browser bezoekers gebruiken en laten vervolgens een pop-up zien met een zogenaamde browser-update. Volgens de pop-up is er een nieuwe versie van de browser beschikbaar. Wanneer gebruikers de "update" installeren raakt het systeem besmet en worden aanwezige inloggegevens op het systeem gestolen. Mogelijk zijn op deze manier ook de inloggegevens voor de WordPress-sites gestolen, doordat beheerders zelf ook besmet raakten. Sinds augustus vorig jaar telde het securityteam van GoDaddy meer dan 25.000 besmette WordPres-sites. De meest recente variant van deze aanvalscampagne is sinds afgelopen juni actief en op meer dan zesduizend websites aangetroffen. bron: https://www.security.nl

Antivirusbedrijf Sophos neemt securitybedrijf Secureworks voor een bedrag van 859 miljoen dollar over, zo is vandaag bekendgemaakt. Secureworks werd in 2011 voor een onbekend bedrag door Dell overgenomen en werd in 2016 naar de beurs gebracht. Vorig jaar kreeg het securitybedrijf met verschillende ontslagrondes te maken. Sophos, dat eerder voor 3,9 miljard dollar door de Amerikaanse investeringsmaatschappij Thoma Bravo werd overgenomen, wil de oplossingen van Secureworks, dat onder andere endpoint- en netwerkbeveiliging biedt, binnen de eigen producten integreren. bron: https://www.security.nl

Onderzoekers hebben in verschillende end-to-end versleutelde clouddiensten kwetsbaarheden gevonden, waardoor een aanvaller via een gecompromitteerde server allerlei aanvallen kan uitvoeren. In het ergste geval kan er zo toegang tot gegevens worden verkregen. Het gaat om Sync, pCloud, Icedrive en Seafile. De bedrijven bieden end-to-end versleutelde cloudopslag. Daarbij stellen de cloudproviders dat ze geen toegang tot gebruikersdata hebben. Ze noemen dit zelf "zero-knowledge encryption". Jonas Hofmann en Kien Tuong Truong van ETH Zurich besloten de clouddiensten te onderzoeken. Eerder vonden onderzoekers van de universiteit al een manier om bij MEGA opgeslagen data te ontsleutelen. Nu keken de onderzoekers naar de eerder genoemde clouddiensten, waarbij er wordt uitgegaan van een gecompromitteerde cloudserver. De aanvaller kan hierbij bestanden lezen, aanpassen en data injecteren. Dit leverde tien soorten aanvallen op. Volgens de onderzoekers hoeven aanvallers geen uitgebreide kennis van encryptie te hebben om die uit te voeren en zijn het ook praktische aanvallen, die niet al teveel middelen vereisen. Het gaat onder andere om het niet authenticeren van user key material, waardoor een aanvaller zijn eigen keys kan injecteren. Andere problemen betreffen ongeauthenticeerde public keys, protocol downgrades, het delen van bestanden via links, niet-geauthenticeerde encryptiemodes, 'unauthenticated chunking', het aanpassen van bestandsnamen en hun locatie, het aanpassen van de metadata van bestanden en het injecteren van mappen en bestanden. De onderzoekers informeerden Sync, pCloud, Seafile en Icedrive eind april. Volgens de onderzoekers liet Icedrive weten de problemen niet te zullen verhelpen.Seafile gaf aan de problemen met het downgraden van protocollen te verhelpen. Van Sync en pCloud hadden de onderzoekers per 10 oktober nog altijd geen reactie ontvangen. Voor het onderzoek werd ook naar cloudprovider Tresorit gekeken, maar deze dienst bleek voor de meeste aanvallen niet kwetsbaar. bron: https://www.security.nl

Aanvallers maken opnieuw actief misbruik van een XSS-kwetsbaarheid in Roundcube Webmail, zo meldt securitybedrijf Positive Technologies. Roudcube is opensource-webmailsoftware en wordt door allerlei organisaties gebruikt. De afgelopen jaren werden er meerdere kwetsbaarheden in de software misbruikt waardoor cross-site scripting (XSS) mogelijk is. CVE-2024-37383 is de nieuwste XSS-kwetsbaarheid die bij aanvallen wordt ingezet. Roundcube kwam op 19 mei met een beveiligingsupdate voor het probleem. Via het beveiligingslek kan een aanvaller door middel van een malafide bericht berichten van de mailserver stelen. Ook wordt gebruikers een html-pagina getoond die hen vraagt om opnieuw in te loggen. Ingevulde gegevens worden vervolgens naar de aanvaller gestuurd. Aanvallers blijken al sinds 8 juni misbruik van het beveiligingslek te maken, door een e-mail met malafide bijlage te sturen naar een niet nader genoemd land van het Gemenebest van Onafhankelijke Staten, aldus het securitybedrijf. Eerder dit jaar waarschuwde de Amerikaanse overheid nog voor twee misbruikte XSS-kwetsbaarheden in RoundCube Webmail (CVE-2023-43770 en CVE-2020-13965). ESET meldde daarnaast misbruik van een ander XSS-probleem (CVE-2023-5631). bron: https://www.security.nl

Aanvallers zijn erin geslaagd de Zendesk-omgeving van het Internet Archive te compromitteren en hebben naar gebruikers die ooit een supportvraag indienden een e-mail gestuurd. Onlangs wisten aanvallers gegevens van 31 miljoen gebruikers van het Internet Archive te stelen. Nu blijkt ook de Zendesk-omgeving gecompromitteerd. Zendesk biedt een online omgeving waarmee organisaties vragen van klanten en gebruikers kunnen verwerken. Tal van mensen die ooit een supportticket bij het Internet Archive aanmaakten ontvingen onderstaande e-mail, zo blijkt uit meldingen op X en Reddit. Volgens het bericht heeft het Internet Archive gelekte API-keys niet geroteerd, waardoor gecompromitteerde tokens die onder andere toegang tot de Zendesk-omgeving bieden nog steeds werken. Het Internet Archive kwam vorige week met een 'services update' over het datalek en de aanval. "We nemen een voorzichtige, doordachte aanpak om onze verdediging opnieuw op te bouwen en te versterken. Onze prioriteit is ervoor te zorgen dat het Internet Archive sterker en veiliger online komt." Er is nog niet op het nieuwste incident gereageerd. bron: https://www.security.nl

Beveiligingscamera's en BeeStation NAS-apparaten van fabrikant Synology zijn via kritieke kwetsbaarheden op afstand over te nemen. Er zijn firmware-updates uitgebracht om de problemen te verhelpen. Via de beveiligingslekken in de Synology-camera's kan een remote aanvaller willekeurige code uitvoeren, beveiligingsmaatregelen omzeilen en denial of service-aanvallen uitvoeren. Gebruikers van Synology Camera BC500, TC500 en CC400W worden aangeraden te updaten naar firmware-versie 1.1.3-0442 of nieuwer. Daarnaast is er ook een beveiligingsupdate voor de Synology BeeStation Manager (BSM) uitgekomen. De Synology BeeStation is een eenvoudig NAS-apparaat. Een kritieke kwetsbaarheid laat een aanvaller op afstand willekeurige code uitvoeren. Gebruikers wordt aangeraden te updaten naar versie 1.1-65373 of nieuwer. De kwetsbaarheden hebben geen CVE-nummers gekregen. Verdere details zijn niet gegeven. bron: https://www.security.nl

Microsoft is door een bug weken aan beveiligingslogs van klanten verloren, zo heeft techbedrijf laten weten. De logbestanden kunnen een belangrijke rol spelen bij het detecteren van aanvallen of de aanwezigheid van aanvallers op een netwerk. De bug, die op 2 september door Microsoft werd geintroduceerd, zorgde ervoor dat er geen logdata naar het interne loggingplatform van het techbedrijf werd verstuurd. Het gaat om sign-in logs en activiteitslogs van Microsoft Entra, platformlogs van Azure Logic Apps en Azure Healthcare API's, incomplete beveiligingswaarschuwingen van Microsoft Sentinel. onvolledige SignTransaction en SignHistory logs van Azure Trusted Signing, onvolledige logs in Application Insights van Azure Virtual Desktop en 'datadiscrepanties' in rapportages van Microsofts Power Platform. Nadat de bug zich op 2 september voordeed startte Microsoft op 6 september een onderzoek. Op 18 september werd duidelijk dat het probleem groter was dan het techbedrijf in eerste instantie dacht. Uiteindelijk werd het probleem op 30 september volledig verholpen. Microsoft meldde het probleem in het Microsoft 365 portal, maar volgens beveiligingsonderzoeker Kevin Beaumont zijn er adminrechten nodig om hier toegang tot te krijgen en zullen securityteams de melding daardoor hebben gemist. De onderzoeker zegt met twee Microsoft-klanten bekend te zijn die niet via de portal werden ingelicht. Microsoft laat aan TechCrunch weten dat alle getroffen klanten zijn ingelicht en waar nodig worden geholpen. Microsoft kwam recentelijk nog onder vuur te liggen vanwege de toegang tot logbestanden. Vorig juli werd bekend dat aanvallers hadden ingebroken op de Exchange Online-omgeving van het techbedrijf, waarbij tienduizenden e-mails werden gestolen. De Amerikaanse overheid kwam vervolgens met het advies aan organisaties om hun Exchange Online-omgeving te monitoren. Misbruik zou alleen aan de hand van een bepaald item in de logbestanden zijn te detecteren. Deze optie was echter alleen beschikbaar voor klanten die van een Enterprise E5-licentie gebruikmaken. Dit zorgde voor felle kritiek van beveiligingsonderzoekers en de Amerikaanse overheid, die stellen dat alle klanten toegang tot dergelijke logs moeten hebben. Na de kritiek besloot Microsoft logs voor Exchange Online en andere Microsoft 365-diensten zonder extra kosten beschikbaar te maken. bron: https://www.security.nl

Aanvallers hebben recentelijk besmette advertenties gebruikt om Windowsgebruikers zonder enige interactie met malware te infecteren. Daarbij werd gebruikgemaakt van een kwetsbaarheid in Internet Explorer (IE). Microsoft kwam afgelopen augustus met updates voor het beveiligingslek (CVE-2024-38178), dat al voor het uitkomen van de patches actief werd misbruikt. Dat melden antivirusbedrijf AhnLab en het Zuid-Koreaanse National Cyber Security Center (NCSC). Internet Explorer staat uitgeschakeld in Windows, maar is nog wel in het besturingssysteem aanwezig. Applicaties kunnen ook nog altijd van Internet Explorer gebruikmaken. Daarbij hadden de aanvallers het voorzien op een specifiek advertentieprogramma dat bij allerlei gratis software wordt meegeïnstalleerd en allerlei advertenties laat zien. Dit advertentieprogramma maakt gebruik van een op IE-gebaseerde WebView voor het weergeven van advertenties. Kwetsbaarheden in Internet Explorer zijn via een dergelijke WebView te misbruiken. De aanvallers maakten hier misbruik van door een Zuid-Koreaans advertentiebedrijf te compromitteren en zo besmette advertenties te verspreiden. Deze advertenties werden automatisch via het kwetsbare advertentieprogramma weergegeven, waarbij de malafide code in de advertenties dankzij het IE-lek automatisch werd uitgevoerd. Er was geen enkele interactie van slachtoffers vereist. Via de besmette advertenties werd de RokRAT-malware geïnstalleerd die allerlei bestanden van het systeem steelt en terugstuurt naar de aanvallers. Ook slaat de malware toetsaanslagen op, monitort het clipboard en maakt screenshots. Volgens de Zuid-Koreaanse autoriteiten en AhnLab is de aanval het werk van een Noord-Koreaanse groep genaamd StarCruft en APT37. bron: https://www.security.nl

Google is begonnen om de populaire adblocker uBlock Origin bij gebruikers uit te schakelen, zo meldt ontwikkelaar Raymond Hill op X en blijkt uit screenshots van gebruikers. In augustus kwam Google al met een melding bij gebruikers van uBlock Origin dat het de adblocker gaat uitschakelen en vorige week verscheen een melding binnen de browser dat de support van uBlock Origin stopt. Gebruikers hebben nu allerlei screenshots gedeeld waarin te zien is dat Google Chrome uBlock Origin heeft uitgeschakeld. De manier waarop extensies binnen Chrome mogen werken staat beschreven in een manifest. Google gaat Manifest V2 vervangen door Manifest V3. Eén van de aanpassingen in Manifest V3 betreft het grotendeels uitfaseren van de webRequest API. Adblockers maken van deze API gebruik voor het onderscheppen, blokkeren, doorsturen en aanpassen van in- en uitgaand verkeer van de browser. Verschillende partijen hebben al geklaagd dat adblockers met de komst van Manifest V3 minder effectief worden. Vanwege de beperkingen is er geen Manifest V3-versie van uBlock Origin beschikbaar. Google liet eerder al weten dat het Manifest V2-extensies bij Chrome-gebruikers gaat uitschakelen. Volgens cijfers van het techbedrijf is bijna veertig procent van de Chrome-extensies nog niet naar V3 gemigreerd. Tegenover The Verge laat Google weten dat meer dan 93 procent van de 'actief beheerde' extensies in de Chrome Web Store inmiddels van V3 gebruikmaakt. bron: https://www.security.nl

Tijdens de patchronde van oktober heeft Oracle 334 patches uitgebracht, waaronder voor kritieke kwetsbaarheden in WebLogic Server en andere producten. Net als bij vorige patchrondes zegt Oracle dat het berichten blijft ontvangen van aanvallen waarbij er misbruik wordt gemaakt van kwetsbaarheden waarvoor het al beveiligingsupdates heeft uitgebracht. Sommige van de aanvallen waren ook succesvol omdat klanten hadden nagelaten de patches te installeren, aldus het softwarebedrijf. Verschillende van de kwetsbaarheden die nu zijn verholpen hebben op een schaal van 1 tot en met 10 een impactscore van 9.8. Het gaat onder andere om Oracle Outside In Technology, Oracle WebLogic Server, Oracle Business Intelligence Enterprise Edition, Oracle Solaris Cluster, Oracle Commerce Guided Search, Oracle Communications Unified Assurance, Oracle Enterprise Communications Broker en Oracle SD-WAN (Aware/Edge). Van deze producten is vooral WebLogic Server een populair doelwit in het verleden geweest, waarbij kwetsbaarheden kort na het verschijnen van updates werden aangevallen. De nu verholpen kwetsbaarheid in het product (CVE-2024-21216) is volgens Oracle eenvoudig door een ongeauthenticeerde aanvaller te misbruiken. Verdere details zijn niet gegeven. In tegenstelling tot bijvoorbeeld Adobe of Microsoft komt Oracle niet elke maand maar elk kwartaal met updates. De volgende patchronde staat gepland voor 21 januari 2025. bron: https://www.security.nl

Een spoofing-kwetsbaarheid in Zendesk maakte het mogelijk voor een beveiligingsonderzoeker om op eenvoudige wijze toegang tot interne tickets en Slack-kanalen van honderden grote bedrijven te krijgen. Zendesk heeft het probleem inmiddels verholpen. Zendesk biedt een online omgeving voor klantsupport. Bedrijven kunnen een eigen e-mailadres voor klantensupport, zoals support@company.com, aan de Zendesk-omgeving koppelen. Wanneer een klant het e-mailadres mailt genereert Zendesk automatisch een ticket, waarna een supportteam het ticket kan oppakken. Zendesk voorziet hierbij elke e-mail van een uniek ticket-ID. Ook genereert Zendesk een automatisch reply-to e-mailadres bestaand uit support+uniek ticket-ID@company.com. Dit adres zorgt ervoor dat alle communicatie aan het juiste ticket wordt toegevoegd. Zendesk biedt ook een feature voor 'ticket collaboration'. Wanneer iemand in de CC van een e-mail reply wordt gezet, zal Zendesk deze persoon automatisch toevoegen aan het ticket, waardoor die de volledige ticketgeschiedenis in het supportportaal kan bekijken. Een aanvaller kon hier op eenvoudige wijze misbruik van maken. Als een aanvaller het support e-mailadres en ticket-ID wist, die vaak eenvoudig te raden zijn om dat deze ID's opeenvolgend zijn, kon de aanvaller zich via e-mailspoofing als de originele afzender voordoen. De aanvaller stuurt hiervoor een fake e-mail naar support+uniek ticket-ID@company.com en voegt zijn eigen e-mailadres in de CC. Zendesk denkt dat het toegevoegde CC-adres legitiem is en geeft het e-mailadres van de aanvaller toegang tot de ticketgeschiedenis. De onderzoeker meldde het probleem bij Zendesk, maar volgens het bedrijf was de kwetsbaarheid 'out of scope'. Slack De onderzoeker ontdekte dat het probleem was te misbruiken om ook toegang tot de Slack-omgevingen van bedrijven te krijgen. Slack is een populaire zakelijke communicatietool waar talloze organisaties en bedrijven gebruik van maken. De Zendesk-kwetsbaarheid maakte het mogelijk om de verificatie van Slack te omzeilen. Slack laat gebruikers onder andere inloggen via een Apple-account gekoppeld aan het bedrijfsdomein. Een aanvaller kon hier misbruik van maken door eerst een Apple-account aan te maken met het e-mailadres support@company.com en de verificatiecode aan te vragen. Apple stuurt de verificatiecode vanaf appleid@id.apple.com naar support@company.com en Zendesk creëert automatisch een ticket. De aanvaller stuurt tegelijkertijd een e-mail naar support@company.com, om zo te zien waar de nummering van unieke ticket-ID's is. Via de spoofing-bug in Zendesk stuurt de aanvaller nu een gespoofte e-mail afkomstig van appleid@id.apple.com met het geraden unieke ticket-ID en plaatst zijn eigen e-mailadres in de CC. De aanvaller krijgt nu toegang tot de Zendesk-tickets en kan de verificatiecode voor het Apple-account zien en daarmee inloggen op het Slack-kanaal van de betreffende onderneming. De onderzoeker informeerde naar eigen zeggen meerdere bedrijven voor het probleem, wat hem 50.000 dollar aan beloningen opleverde. Uiteindelijk kwam ook Zendesk met een oplossing. Omdat de onderzoeker informatie al met Zendesk-klanten had gedeeld, wat in strijd met de regels van het bugbountyprogramma is, besloot Zendesk de onderzoeker geen beloning uit te keren. bron: https://www.security.nl

Een kritieke kwetsbaarheid in de populaire WordPressplug-in Jetpack maakt het mogelijk voor aanvallers om gebruikersdata van websites te stelen. Er zijn updates uitgebracht om het probleem te verhelpen. Jetpack is een door Automattic ontwikkelde plug-in voor het maken en terugzetten van back-ups, blokkeren van spam, scannen op malware, monitoren van up- en downtime, beschermen tegen bruteforce-aanvallen en het inschakelen van tweefactorauthenticatie. Meer dan vier miljoen websites maken er gebruik van. Automattic is het hostingbedrijf achter WordPress.com. Een kwetsbaarheid die sinds 2016 in de plug-in aanwezig is maakt het mogelijk voor ingelogde gebruikers om ingevulde webformulieren van bezoekers te lezen. De kwetsbaarheid bevindt zich in een optie van Jetpack voor het toevoegen van web- en contactformulieren. Volgens Automattic zijn er geen aanwijzingen dat er misbruik van het lek is gemaakt, maar nu er updates beschikbaar zijn bestaat het risico dat dit wel gaat gebeuren. WordPress-beheerders worden opgeroepen de update te installeren, maar op de meeste sites zal dit automatisch gebeuren, aldus Automattic. bron: https://www.security.nl

Microsoft waarschuwt organisaties voor het einde van de support van Exchange Server 2016 en 2019 over precies een jaar. Na 14 oktober 2025 zal Microsoft geen beveiligingsupdates, bugfixes en technische support meer bieden voor problemen die zich met de mailserversoftware voordoen. "Klantinstallaties van Exchange 2016 en Exchange 2019 blijven natuurlijk na 14 oktober 2025 draaien; vanwege de aankomende end of support datum en mogelijke toekomstige beveiligingsrisico's raden we ten sterkte aan om nu in actie te komen." Het techbedrijf adviseert klanten om te migreren naar Exchange Online of Microsoft 365. Voor bedrijven en organisaties die de mailserversoftware on-premises willen draaien komt Microsoft met Exchange Server SE. Deze versie zal aan het begin van het derde kwartaal van 2025 verschijnen. In het geval van Exchange 2016 adviseert Microsoft om eerst naar Exchange 2019 te upgraden en dan in een in-place upgrade naar Exchange Server SE uit te voeren. bron: https://www.security.nl

Cisco onderzoekt de mogelijke diefstal van broncode en andere gegevens, nadat iemand op internet claimt deze data in handen te hebben en aanbiedt. Het zou naast broncode ook gaan om zaken als certificaten, hardcoded credentials, API-tokens, AWS private buckets, Azure storage buckets, ssl-certificaten en private en public keys. "Cisco is bekend met berichten dat een aanvaller claimt toegang te hebben tot bepaalde Cisco-gerelateerde bestanden", aldus een woordvoerder van het netwerkbedrijf tegenover Bleeping Computer. "We zijn een onderzoek gestart om deze claim te verifieren en het onderzoek is nog gaande." Na berichten op X over de mogelijke datadiefstal daalde de koers van Cisco. In 2022 wisten criminelen in te breken op systemen van Cisco, waarna de gestolen data op internet werd gepubliceerd. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in Veeam Backup & Replication bij het uitvoeren van ransomware-aanvallen. Dat meldt antivirusbedrijf Sophos. Veaam kwam begin vorige maand met updates voor het beveiligingslek. Het bedrijf biedt oplossingen voor het maken en restoren van back-ups en repliceren van software. Een kwetsbaarheid in Backup & Replication maakt het mogelijk voor een ongeauthenticeerde aanvaller om op afstand code op de back-uperserver uit te voeren. De impact van de kwetsbaarheid (CVE-2024-40711) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Sophos zegt vorige maand meerdere ransomware-aanvallen te hebben gezien, waarbij aanvallers gecompromitteerde inloggegevens en de Veeam-kwetsbaarheid gebruikten. De aanvallen begonnen via gecompromitteerde vpn-gateways zonder multifactorauthenticatie. Sommige van de vpn-servers draaiden verouderde softwareversies. Zodra er toegang was verkregen werd de Veaam-kwetsbaarheid gebruikt en maakten aanvallers een lokaal account aan. Vervolgens werden gegevens gestolen en uiteindelijk de ransomware uitgerold. In het verleden zijn kwetsbaarheden in Veeam vaker gebruikt bij ransomware-aanvallen. bron: https://www.security.nl

ChatGPT wordt gebruikt voor de ontwikkeling en verspreiding van malware, zo stelt OpenAI in een rapport. Het gaat dan om het debuggen van malware, ondersteuning bij de ontwikkeling van Android-malware en maken van scripts voor het aanvallen van vitale infrastructuur. In het rapport beschrijft de ChatGPT-ontwikkelaar hoe verschillende groepen van de chatbot gebruikmaken voor het uitvoeren van aanvallen. Naast malware gaat het ook om beïnvloedings campagnes en het maken van nep-accounts op social media. "Aanvallers gebruiken onze modellen vooral voor taken in een specifieke, tussenliggende fase van de activiteit - nadat ze basale tools hadden verkregen zoals internettoegang, e-mailadressen en socialmedia-accounts, maar voordat ze “afgeronde” producten zoals socialmediaposts of malware via verschillende distributiekanalen op internet verspreidden", aldus OpenAI. Het gebruik van ChatGPT heeft echter niet geleid tot doorbraken in de mogelijkheid om nieuwe malware te ontwikkelen of viraal met bepaalde content te gaan, zo laat het rapport verder weten. Tevens stelt OpenAI dat het zelf ook doelwit van aanvallen is. Zo waren persoonlijke en zakelijke e-mailadressen van OpenAI-medewerkers het doelwit van spearphishing. De aanvallen waren echter niet succesvol, aldus het rapport. bron: https://www.security.nl

Google waarschuwt Chrome-gebruikers dat de ondersteuning van de populaire adblocker uBlock Origin op korte termijn mogelijk stopt. "Deze extensie wordt binnenkort misschien niet meer ondersteund omdat deze de best practices voor Chrome-extensies niet volgt", zo laat de Chrome Web Store weten. In augustus kwam het techbedrijf al met een melding bij gebruikers van uBlock dat het de adblocker gaat uitschakelen. De manier waarop extensies binnen Chrome mogen werken staat beschreven in een manifest. Google gaat Manifest V2 vervangen door Manifest V3. Eén van de aanpassingen in Manifest V3 betreft het grotendeels uitfaseren van de webRequest API. Adblockers maken van deze API gebruik voor het onderscheppen, blokkeren, doorsturen en aanpassen van in- en uitgaand verkeer van de browser. Verschillende partijen hebben al geklaagd dat adblockers met de komst van Manifest V3 minder effectief worden. Volgens cijfers van Google is bijna veertig procent van de Chrome-extensies nog niet naar V3 gemigreerd. Zo zal er geen V3-versie van uBlock Origin komen. De ontwikkelaar van de adblocker stelt dat dit niet mogelijk is door de beperkingen die Google via V3 oplegt. Aangezien V2 straks niet meer in Chrome wordt ondersteund is Google een traject gestart, waarbij deze extensies straks niet meer via de Web Store zijn te downloaden en uiteindelijk bij gebruikers worden uitgeschakeld. "Google gebruikt zijn dominante marktaandeel onder Windows-browsers concurrentieverstorend om zijn advertentiemonopolie te versterken door adblockers te blokkeren", aldus Tim Sweeney van gameontwikkelaar Epic Games. bron: https://www.security.nl