Captain Kirk

Mozilla verwijdert binnenkort de Do Not Track (DNT) feature uit Firefox, zo heeft de browserontwikkelaar aangekondigd. Volgens Mozilla wordt DNT door veel websites niet gerespecteerd en kan het in sommige gevallen zelfs privacy verminderen. Het 'DNT signaal' wordt via de browser naar websites verstuurd. Gebruikers kunnen zo aangeven dat ze niet door websites gevolgd willen worden. Naleving van DNT is echter geheel vrijwillig. De eerste versie van Firefox waarin DNT zat ingebouwd verscheen begin 2011. Nu laat Mozilla weten dat de feature met de lancering van Firefox 135 uit de browser zal worden verwijderd. In plaats daarvan wijst Mozilla naar het gebruik van Global Privacy Control (GPC). Deze optie is sinds Firefox 120 in de browser aanwezig en laat gebruikers aan websites weten dat ze niet willen dat hun data wordt gedeeld en verkocht aan derden. In sommige jurisdicties, zoals in de Amerikaanse staat Californië, wordt Global Privacy Control als een juridisch handhaafbare methode gezien waarmee consumenten zich voor gerichte advertenties kunnen afmelden of websites kunnen verzoeken om de verkoop of het delen van hun persoonlijke data te beperken, aldus Mozilla. Firefox 135 staat gepland voor 4 februari volgend jaar. bron: https://www.security.nl

De Europese privacytoezichthouder EDPS gaat onderzoeken of het Microsoft 365-gebruik van de Europese Commissie inmiddels aan de privacyregels voldoet. In maart oordeelde de EDPS dat Brussel met het gebruik van Microsoft 365 de privacywetgeving voor EU-instellingen (EUI's) overtreedt. De toezichthouder droeg de Europese Commissie op om vanaf 9 december te stoppen met het doorsturen van data naar Microsoft en diens partners en subverwerkers die zich buiten de EU bevinden en niet onder een besluit vallen waarbij het beschermingsniveau passend wordt verklaard. Tevens werd de Commissie opgedragen om het gebruik van Microsoft 365 aan de geldende regelgeving te laten voldoen. Ook dit moest uiterlijk 9 december zijn geregeld. Volgens de EDPS heeft Brussel niet voor voldoende waarborgen gezorgd dat persoonlijke data die buiten de EU wordt verstuurd net zo goed beschermd is als binnen de EU. Verder heeft de Europese Commissie in het contract met Microsoft over het gebruik van Microsoft 365 niet voldoende duidelijk gemaakt welke persoonlijke data mag worden verzameld en voor welke expliciet vermelde doeleinden, aldus de toezichthouder begin dit jaar. De Europese Commissie diende op 6 december bij de EDPS een rapport in om aan te tonen dat het Microsoft 365-gebruik inmiddels volgens de regels is. EDPS-voorzitter Wojciech Wiewiorowski zegt in een reactie te onderzoeken of dit ook het geval is. "Gezien de breedte van de informatie en complexiteit van de betrokken verwerkingsoperaties, zal deze analyse extra aandacht vereisen en binnen een gepast tijdsvenster grondig worden uitgevoerd." Zowel Microsoft als de Europese Commissie maakten bezwaar tegen de beslissing van de EPDS. De gerechtelijke procedures hierover lopen nog. bron: https://www.security.nl

Aanvallers maken op grote schaal misbruik van een kritieke kwetsbaarheid in de file transfer software van Cleo, zo meldt securitybedrijf Huntress. Cleo heeft een beveiligingsupdate uitgebracht, maar volgens onderzoekers wordt het probleem daar niet mee verholpen. Organisaties die van Cleo’s LexiCom, VLTransfer en Harmony software gebruikmaken worden opgeroepen de systemen niet vanaf internet toegankelijk te maken en achter een firewall te plaatsen. Cleo’s LexiCom, VLTransfer en Harmony software laat organisaties bestanden uitwisselen. Het bedrijf claimt meer dan 4200 klanten wereldwijd te hebben. Een 'unrestricted file upload and download' kwetsbaarheid (CVE-2024-50623) in Cleo Harmony, Cleo VLTrader en Cleo LexiCom maakt remote code execution mogelijk, aldus een eind oktober verschenen beveiligingsbulletin van Cleo. Securitybedrijf Huntress ontdekte op 3 december naar eigen zeggen grootschalig misbruik van de kwetsbaarheid, waardoor een ongeauthenticeerde aanvaller op afstand code op kwetsbare systemen kan uitvoeren. Verder onderzoek wees uit dat de door Cleo uitgerolde beveiligingsupdate het probleem niet verhelpt. Zes uur geleden kwam Cleo met een update voor het beveiligingsbulletin, waarin het klanten oproept naar versie 5.8.0.21 te updaten. Volgens Huntress is deze versie nog steeds kwetsbaar. Het securitybedrijf adviseert organisaties om de kwetsbare file transfer software achter een firewall te plaatsen totdat er een nieuwe patch beschikbaar is. Update Securitybedrijf Rapid7 meldt ook grootschalig misbruik van de kwetsbaarheid. Inmiddels zou Cleo voor de misbruikte kwetsbaarheid een nieuw CVE-nummer hebben aangevraagd, meldt beveiligingsonderzoeker Kevin Beaumont. bron: https://www.security.nl

De Duitse overheid waarschuwt organisaties voor bruteforce-aanvallen tegen Citrix Netscaler gateways. Het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, zegt dat het van verschillende vitale sectoren en internationale partners meldingen van deze aanvallen heeft ontvangen. Ook media en securitybedrijven berichten hierover. Wat de huidige aanvalsgolf doet opvallen is vooral het aantal aanvallen, aldus de Duitse overheidsinstantie. Nadat aanvallers via de bruteforce-aanval toegang tot het systeem hebben gekregen, proberen ze meestal toegang te behouden door het installeren van backdoors. Vervolgens wordt geprobeerd andere systemen te compromitteren, wat kan leiden tot datalekken en ransomware-aanvallen, aldus het BSI. De overheidsinstantie voegt toe dat bescherming tegen bruteforce-aanvallen een basale beveiligingsmaatregel is. Toch ziet het BSI in de praktijk dat dergelijke aanvallen geregeld succesvol zijn en vaak een ingang voor aanvallers vormen tot interne netwerken. "Blootgestelde systemen zijn met name kwetsbare als inloggegevens eenvoudig zijn te raden of in gecompromitteerde datasets voorkomen. Het is belangrijk dat wachtwoorden niet alleen voldoende complex zijn, maar het is ook belangrijk om aanvullende beveiligingsmaatregelen te nemen, zoals multifactorauthenticatie", aldus het BSI. Via NetScaler gateways kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. bron: https://www.security.nl

Microsoft gaat NTLM-authenticatie binnen Windows in de toekomst standaard uitschakelen, zo laat het techbedrijf opnieuw in een blogpost weten, waarin organisaties worden opgeroepen op modernere authenticatieprotocollen over te stappen. De NT LAN Manager (NTLM), en diens opvolger NTLMv2, is een challenge-en-response protocol voor het authenticeren van gebruikers, waarbij gebruik wordt gemaakt van wachtwoordhashes. NTLM is een legacy protocol dat onder andere kwetsbaar is voor relay-aanvallen. Daarbij weet een aanvaller de hash van een doelwit te onderscheppen en kan die vervolgens gebruiken om zich als het doelwit bij een dienst te authenticeren. In het verleden zijn er tal van relay-aanvallen geweest waarbij aanvallers NTLM-hashes probeerden te stelen. Eerder dit jaar waarschuwde Microsoft nog dat Exchange-servers het doelwit van relay-aanvallen waren geworden. Microsoft adviseert Kerberos als alternatief voor NTLM. Dit is sinds 2000 het standaard Windows-authenticatieprotocol, liet Microsofts Matthew Palko eerder weten. Desondanks wordt NTLM nog veel gebruikt. Organisaties kunnen NTLM wel uitschakelen, maar dit kan voor problemen zorgen met applicaties waarbij het NTLM-gebruik hardcoded is. Het uitschakelen van NTLM kan ook voor problemen zorgen bij scenario's die niet mer Kerberos werken. "Ons doel is het elimineren van de noodzaak om NTLM te gebruiken en de authenticatiebeveiliging voor alle Windowsgebruikers te versterken", aldus Palko eind vorig jaar. Aangezien NTLM nog steeds in gebruik is heeft Microsoft inmiddels voor Exchange Server 2019 en Windows Server 2025 de optie 'Extended Protection for Authentication' (EPA) standaard ingeschakeld. Deze maatregel moet tegen relay-aanvallen beschermen. Microsoft wil EPA in de toekomst voor meer diensten standaard gaan inschakelen. Het techbedrijf herhaalt echter het uiteindelijke doel, namelijk dat NTLM standaard zal zijn uitgeschakeld in een toekomstige versie van Windows. Organisaties worden dan ook opgeroepen om op modernere authenticatieprotocollen zoals Kerberos over te stappen. In de tussentijd is Microsoft naar eigen zeggen van plan om meer 'secure-by-default NTLM hardening' maatregelen te nemen. bron: https://www.security.nl

Een kwetsbaarheid in de OpenWrt Sysupgrade Server maakte het mogelijk om malafide images onder gebruikers te verspreiden die dan op hun router zou worden geïnstalleerd. Het beveiligingslek is inmiddels verholpen en voor zover bekend is er geen misbruik van gemaakt. De logs gaan echter tot maximaal zeven dagen terug en de kwetsbaarheid was al enige tijd aanwezig, zo laat een onderzoeker van securitybedrijf Flatt Security weten, die het probleem ontdekte. OpenWrt is een populair op Linux-gebaseerd besturingssysteem voor routers. Het is op meer dan achttienhonderd verschillende routermodellen te installeren. Naast de images die OpenWrt aanbiedt is het via de OpenWrt Sysupgrade Server mogelijk om een aparte image te laten bouwen, gebaseerd op de betreffende router en gewenste packages van de gebruiker. De gebruiker geeft zijn wensen op, waarna de server de nieuwe firmware maakt en terugstuurt naar OpenWrt, dat vervolgens de nieuwe image op de router installeert. De dienst bleek twee kwetsbaarheden te bevatten. De imagebuilder bleek vatbaar voor command injection. Gebruikers kunnen namen van packages opgeven die moeten worden meegenomen in de nieuwe image. Opgegeven namen werden echter niet goed gecontroleerd en zo uitgevoerd via de 'make' commando's. Een aanvaller had zo willekeurige commando's in het build proces kunnen injecteren, wat ervoor zorgde dat er malafide firmware-images met de legitieme build key werden gesigneerd. De andere kwetsbaarheid betrof een hash collision. De server maakt gebruik van hashes om de juiste image naar de juiste gebruiker te sturen. Het gebruikte hashingmechanisme kapt SHA-256 hashes af tot slecht twaalf karakters, wat het uitvoeren van een collision-aanval mogelijk maakt voor aanvallers. Hierdoor was het mogelijk om de hash van een malafide firmware-image overeen te laten komen met die van een legitieme image en zo de gebruiker de malafide image te sturen. Na te zijn ingelicht werd de OpenWrt Sysupgrade Server meteen offline gehaald en drie uur later werd het probleem verholpen en de dienst weer online gebracht. bron: https://www.security.nl

Met wifi is het altijd lastig en maar de vraag waar het aan kan liggen. Het eerste waar ik aan denk is dat alles over een wifikanaal werkt die last heeft van storing van andere kanalen. Al eens geprobeerd de modem te resetten en een wat vrijer wifi kanaal te gebruiken?

Ik gebruik ook de Androidsticks van Xiomi. Uit mij hoofd kun je bij de instellingen kiezen voor het koppelen van een apparaat. Daar laat je de stick zoeken en druk je op de afstandsbediening de twee knoppen in zoals pop de afbeelding. Deze houd je net zo lang ingedrukt totdat de bediening gekoppeld is.

Let's Encrypt stopt volgend jaar augustus met de support van het Online Certificate Status Protocol (OCSP), zo heeft de certificaatautoriteit aangekondigd. Het einde van de ondersteuning vindt gefaseerd plaats. Volgens Let's Encrypt is de voornaamste reden om met de OCSP-support te stoppen dat het een aanzienlijk risico voor de privacy op internet vormt. Tls-certificaten, zoals Let's Encrypt uitgeeft, zorgen voor een versleutelde verbinding tussen website en bezoekers en maken het mogelijk om websites te identificeren. Vertrouwen in deze certificaten is dan ook belangrijk. Wanneer een certificaat niet meer is te vertrouwen, bijvoorbeeld door een incident zoals bij DigiNotar, kan het tls-certificaat worden ingetrokken. Deze informatie moet vervolgens aan de browser van gebruikers worden gecommuniceerd. Hiervoor zijn Certificate Revocation Lists (CRLs) en het Online Certificate Status Protocol (OCSP) bedacht. CRLs zijn eigenlijk gewoon lijsten met alle ingetrokken certificaten van een bepaalde certificaatautoriteit. Dergelijke lijsten zijn dan ook vaak zeer groot en daardoor inefficiënt om te downloaden als de browser één specifiek certificaat van een bezochte website wil controleren. Als alternatief werd OCSP ontwikkeld. Hierbij wordt alleen het certificaat van de bezochte website gecontroleerd. De browser moet hiervoor wel verbinding met een OCSP-server kunnen maken. Wanneer de browser geen antwoord ontvangt zal die in veel gevallen het certificaat in kwestie gewoon accepteren. Aanvallers kunnen hier misbruik van maken door al het verkeer naar de OCSP-server te blokkeren. Doordat de browser voor elke bezochte website een OCSP-request verstuurt kan een malafide of gedwongen certificaatautoriteit die de OCSP responder beheert daarnaast bijhouden welke websites iemand vanaf een bepaald ip-adres bezoekt. "Zelfs wanneer een certificaatautoriteit deze informatie niet bewaart, zoals het geval is met Let's Encrypt, kunnen certificaatautoriteiten juridisch worden gedwongen dit te doen. Dit speelt niet bij CRLs", zegt Josh Aas van de Internet Security Research Group (ISRG), de organisatie achter Let's Encrypt. Daarnaast wordt de OCSP-support uitgefaseerd om de infrastructuur van Let's Encrypt zo eenvoudig mogelijk te houden, voegt Aas toe. Het ondersteunen van OCSP zou 'aanzienlijke middelen' kosten die de certificaatautoriteit liever aan andere onderdelen uitgeeft. Aas roept alle organisaties en partijen op die van OCSP-services gebruikmaken om deze afhankelijkheid zo snel mogelijk af te bouwen. Let's Encrypt zal het einde van de support gefaseerd laten plaatsvinden. Zo wordt vanaf januari de support van 'OCSP Must-Staple requests' gestopt. Vanaf 7 mei zullen er geen OCSP URL's meer aan uitgegeven certificaten worden toegevoegd. Op 6 augustus schakelt Let's Encrypt de eigen OCSP responders uit. "CRLs worden breed door browsers ondersteund en kunnen privacyvoordelen aan alle sites bieden, zonder dat hiervoor een speciale webserverconfiguratie is vereist", aldus Aas. bron: https://www.security.nl

Een securitybedrijf heeft proof-of-concept exploitcode gepubliceerd waarmee Mitel MiCollab-servers zijn over te nemen. De exploit maakt gebruik van twee kwetsbaarheden. Voor één van de beveiligingslekken is nog geen update beschikbaar. Mitel MiCollab is een communicatieplatform dat 'voice, video, chat, sms, webconferencing en team collaboration tools' combineert. Er zouden meer dan zestienduizend MiCollab-servers vanaf het internet benaderbaar zijn. In mei van dit jaar kwam Mitel met een beveiligingsupdate voor een kritieke SQL Injection-kwetsbaarheid (CVE-2024-35286). Onderzoekers van securitybedrijf watchTowr wilden zien of ze het beveiligingslek konden reproduceren. De manier waarop de onderzoekers dit deden leverde een nieuwe kwetsbaarheid op, aangeduid als CVE-2024-41713. Het ging om een kritiek path traversal-lek waardoor een ongeauthenticeerde aanvaller op afstand ongeautoriseerde 'administrative actions' op de server kan uitvoeren. Mitel kwam op 9 oktober met een beveiligingsupdate voor dit probleem. Tijdens verder onderzoek naar het platform ontdekten de onderzoekers dat het mogelijk is voor een geauthenticeerde gebruiker om allerlei war-bestanden van Apache Tomcat te benaderen. Via één van deze bestanden bleek het mogelijk om allerlei willekeurige bestanden op de MiCollab-server te lezen. Deze kwetsbaarheid werd op 26 augustus gerapporteerd, maar Mitel heeft het probleem nog altijd niet verholpen. Een update zou in de eerste week van december moeten verschijnen, maar is nog altijd niet beschikbaar. De onderzoekers merken op dat het beveiligingslek alleen door een geauthenticeerde gebruiker is te misbruiken. Ze hebben nu proof-of-concept exploitcode gepubliceerd die CVE-2024-41713 en de Arbitrary File Read kwetsbaarheid, die nog geen CVE-nummer heeft, combineert. bron: https://www.security.nl

Een bootloader-kwetsbaarheid in de Cisco NX-OS software raakt meer dan honderd modellen Nexus-, MDS- en UCS-switches, zo waarschuwt het netwerkbedrijf, dat updates beschikbaar heeft gesteld om het probleem te verhelpen. Via het beveiligingslek kan een ongeauthenticeerde aanvallen met fysieke toegang tot een kwetsbare switch of een geauthenticeerde lokale aanvaller met admin-inloggegevens, de NX-OS image signature verification omzeilen. Deze controle moet ervoor zorgen dat alleen geverifieerde software images door de switch worden geladen. Een aanvaller die de controle kan omzeilen kan zo ongeverifieerde software images laden. Volgens Cisco wordt de kwetsbaarheid veroorzaakt door onveilige bootloader-instellingen. "Een aanvaller kan deze kwetsbaarheid misbruiken door een aantal bootloader-commando's uit te voeren", aldus de uitleg in het beveiligingsbulletin. De impact van de kwetsbaarheid, aangeduid als CVE-2024-20397, is op een schaal van 1 tot en met 10 beoordeeld met een 5.2. "Het beveiligingslek raakt de volgende Cisco-producten als die een versie van Cisco NX-OS software draaien die een kwetsbare BIOS-versie bevat, ongeacht de apparaatconfiguratie", laat Cisco verder weten. Het gaat om switches in de volgende series: MDS 9000, Nexus 3000, 7000 en 9000 en UCS 6400 en 6500. Bij elkaar gaat het om meer dan honderd kwetsbare modellen. bron: https://www.security.nl

Antivirusbedrijf Kaspersky heeft de IDA Pro plug-in die het gebruikt voor het reverse engineeren van malware open source gemaakt en de broncode op GitHub gepubliceerd. IDA Pro is een tool voor het analyseren van software door middel van reverse engeering. Het wordt onder andere vaak gebruikt bij het onderzoeken van malware. Voor de tool zijn allerlei plug-ins beschikbaar. Kaspersky ontwikkelde in 2016 een eigen plug-in genaamd hrtng. Het betreft een fork van de hexrays_tools plug-in. Sindsdien heeft Kaspersky naar eigen zeggen allerlei features aan de plug-in toegevoegd die ontbreken in IDA Pro, zoals string decryptie en het decompileren van obfuscated assemblies. Onlangs besloot Kaspersky hrtng open source te maken en de broncode onder de GPLv3-licentie via GitHub aan te bieden. Het antivirusbedrijf heeft nu een blogposting gemaakt waarin het uitlegt hoe de plug-in het eenvoudiger voor malware-analisten kan maken om complexe malware-exemplaren te reverse engineeren. bron: https://www.security.nl

De Japanse hardwarefabrikant I-O Data waarschuwt voor actief misbruik van kwetsbaarheden in twee type hybride LTE (Long-Term Evolution) routers waardoor aanvallers het apparaat op afstand kunnen overnemen en updates om de problemen te verhelpen zijn nog niet beschikbaar. Details over de aanvallen zelf zijn niet gegeven. Het Japanse Computer Emergency Response Team Coordination Center (JPCERT/CC) heeft vandaag ook een waarschuwing gegeven. De twee kwetsbare hybride LTE-routers zijn de UD-LT1 en UD-LT1/EX. Beide apparaten ondersteunen 3G en 4G/LTE alsmede 'vaste lijnen'. Ze zijn onder andere ontworpen om op afgelegen locaties en onbemande plekken te worden gebruikt, aldus de uitleg van de fabrikant. De routers bieden daarnaast vpn-functionaliteit. De routers bevatten drie kwetsbaarheden waardoor verschillende aanvallen mogelijk zijn. Een aanvaller die het guest-account kent kan een specifiek bestand op de router met inloggegevens stelen. Een tweede kwetsbaarheid laat een aanvaller met adminrechten OS-commando's op de router uitvoeren. Het derde beveiligingslek laat een remote aanvaller de firewall uitschakelen. Vervolgens is het mogelijk om OS-commando's uit te voeren of de configuratie-instellingen aan te passen. Firmware-updates om de problemen te verhelpen staan gepland voor 18 december. Als tijdelijke workaround wordt aangeraden bepaalde instellingen aan te passen. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om twee versies van de Solana Web3.js JavaScript-library van een backdoor te voorzien die private keys van gebruikers steelt en cryptowallets kan legen. Er is inmiddels een versie zonder backdoor verschenen en Solana app-ontwikkelaars worden opgeroepen naar de laatste versie (1.95.8) te upgraden. Solana is een blockchainplatform ontwikkeld voor het ondersteunen van smart contracts en decentralized apps (dapps). Door middel van de Solana JavaScript SDK, waar de gecompromitteerde library onderdeel van is, kunnen ontwikkelaars Solana-apps ontwikkelen. Aanvallers hebben aan versies 1.95.6 en 1.95.7 van de library een backdoor toegevoegd waarmee private keys zijn te stelen en het mogelijk is om geld van dapps te stelen. Hoe de backdoor kon worden toegevoegd is niet bekendgemaakt. De malafide versies waren een aantal uur te downloaden voordat ze offline werden gehaald. Cryptobeurs Binance laat weten dat er geen grote wallets zijn getroffen, maar er wel meerdere incidenten zijn gemeld. GitHub waarschuwt in een advisory dat elke computer waarop de betreffende package is geïnstalleerd als volledig gecompromitteerd moet worden beschouwd. Alle keys en andere secrets op de machine moeten meteen worden gewijzigd. Tevens stelt GitHub dat alleen het verwijderen van de besmette packages geen garantie is dat alle malware die als gevolg ervan is geïnstalleerd ook wordt verwijderd. bron: https://www.security.nl

Verschillende modellen indoor wifi-beveiligingscamera's van fabrikant Lorex zijn via een kritieke kwetsbaarheid op afstand over te nemen. De fabrikant heeft firmware-updates uitgebracht om het probleem te verhelpen. Inmiddels is ook proof-of-concept exploitcode beschikbaar, zo meldt securitybedrijf Rapid7 dat het beveiligingslek ontdekte en rapporteerde. Lorex biedt verschillende beveiligingscamera's voor binnen. Verschillende kwetsbaarheden maken het mogelijk voor een ongeauthenticeerde aanvaller om op afstand een root shell op de apparaten te krijgen. Het gevaarlijkste beveiligingslek wordt aangeduid als CVE-2024-52544. Hierdoor kan een ongeauthenticeerde aanvaller op afstand het adminwachtwoord resetten. De impact van dit lek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Zodra de aanvaller toegang heeft kan die via een andere kwetsbaarheid (CVE-2024-52547) een buffer overflow veroorzaken en zo OS-commando's met rootrechten uitvoeren. Een derde kwetsbaarheid in de kernel (CVE-2024-52548) maakt het mogelijk om de 'code signing enforcements' te omzeilen en willekeurige 'native code' uit te voeren. De kwetsbaarheden zijn aanwezig in negen verschillende modellen van de Lorex 2K Indoor Wi-Fi Security Camera. Lorex werd op 29 oktober over de kwetsbaarheden ingelicht en kwam op 25 november met firmware-updates. Gebruikers van de camera's die de Lorex-app openen krijgen een melding van een firmware-update. De update moet geaccepteerd worden. Het is niet mogelijk die te weigeren of uit te stellen, aldus de fabrikant. Rapid7 heeft nu details over de kwetsbaarheden en broncode van de exploit chain openbaar gemaakt. bron: https://www.security.nl

Aanvallers maken actief misbruik van een path traversal-lek in firewalls van fabrikant Zyxel, zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Onlangs kwam ook Zyxel al met een waarschuwing dat kwetsbare firewalls het doelwit van ransomware-aanvallen zijn. Details over de bij deze aanvallen gebruikte kwetsbaarheden werden in eerste instantie niet door Zyxel gegeven. De fabrikant kwam onlangs met een update, gevolgd door de waarschuwing van het CISA. Het beveiligingslek dat de aanvallers gebruiken wordt aangeduid als CVE-2024-11667 en betreft een path traversal-kwetsbaarheid. Via het beveiligingslek kan een aanvaller via een speciaal geprepareerde URL bestanden uploaden en downloaden, aldus de uitleg. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 7.5. Het probleem is aanwezig in de Zyxel ZLD firewall firmware versies 5.00 tot en met 5.38. Gebruikers en beheerders worden aangeraden om te updaten naar versie 5.39 of nieuwer waarin het probleem is verholpen. Bij path traversal krijgt een aanvaller door het aanpassen van gebruikersinvoer toegang tot directories en bestanden waar hij eigenlijk geen toegang toe zou moeten hebben. Path traversal is al een zeer oud en bekend probleem. De FBI en het CISA deden onlangs een oproep aan softwareontwikkelaars om een einde aan path traversal te maken. bron: https://www.security.nl

De Belgische overheid waarschuwt ouders in de aanloop naar Sinterklaas voor de risico's van met internet verbonden speelgoed. "Achter hun verleidelijke eigenschappen schuilen potentiële risico's voor de privacy en veiligheid van gebruikers, vooral van de allerkleinsten", aldus Safeonweb, een initiatief van het Centrum voor Cybersecurity België (CCB), de nationale autoriteit voor cyberveiligheid in België. Volgens Safeonweb verzamelt veel met internet verbonden speelgoed persoonlijke gegevens. Het zou dan gaan om stemopnames, video's, locatiegegevens of informatie over de gewoonten van een kind. "Slecht beveiligd, kunnen deze gegevens in de verkeerde handen vallen." Andere risico's die worden genoemd is dat verzamelde gegevens voor gerichte reclame zijn te gebruiken en dat slecht beveiligd speelgoed het mogelijk maakt voor kwaadwillenden om gesprekken af te luisteren of speelgoed op afstand te bedienen. De Belgische overheidsinstantie adviseert ouders om voor de aanschaf goed de reputatie van de speelgoedfabrikant te controleren. Daarnaast moet het privacybeleid zorgvuldig worden gelezen en gekozen worden voor speelgoed dat geregeld beveiligingsupdates ontvangt. Tevens geeft Safeonweb het advies standaard wachtwoorden te wijzigen, onnodige opties zoals geolocatie uit te schakelen en het online gedrag van kinderen in de gaten te houden. bron: https://www.security.nl

Een beveiligingsonderzoeker heeft software ontwikkeld om te demonstreren dat malware het indicatielampje van de webcam kan uitschakelen om gebruikers zo onopgemerkt te filmen. Fysieke toegang tot het systeem is daarbij niet vereist. Al meer dan tien jaar geleden werd er bericht dat de FBI webcams via malware ongezien kan aanzetten. Security-engineer Andrey Konovalov gaf eerder deze maand tijdens een beveiligingsconferentie in Seoul een presentatie over zijn onderzoek en software (pdf). De software van Konovalov reflasht de firmware van de webcam, waardoor het indicatielampje door een aanvaller is te bedienen. Die kan zo het lampje uitschakelen en toch opnames met de webcam maken. Voor zijn demonstratie gebruikte de engineer zijn ThinkPad X230, maar hij merkt op dat de manier om de firmware te flashen zeer waarschijnlijk ook bij tal van andere laptops en merken werkt. "Een sticker op de webcam van je laptop plakken is niet zo paranoïde", sloot Konovalov zijn presentatie af. Het werk van de engineer zorgde voor meer dan vijfhonderd reacties op Hacker News. bron: https://www.security.nl

Het Tor Project heeft het publiek gevraagd om het opzetten van WebTunnel bridges, om zo online overheidscensuur te omzeilen. WebTunnel bridges nemen het Tor-verkeer en vermommen dat als gewoon webverkeer. Dagelijks maken miljoenen mensen gebruik van het Tor-netwerk om hun privacy te beschermen, maar ook om websites te bezoeken die in het land van herkomst worden geblokkeerd. Het Tor-netwerk bestaat uit allerlei servers van vrijwilligers die het verkeer van Tor-gebruikers verwerken. Zo is de eerste server de entry guard, die het verzoek van de Tor-gebruiker naar de relay-node doorstuurt. Vervolgens gaat het van deze server naar de exitnode, die het verzoek naar het internet stuurt. De servers waar het Tor-netwerk uit bestaat zijn openbaar. Regimes die niet willen dat hun bevolking van het Tor-netwerk gebruikmaakt kunnen de ip-adressen van al deze servers blokkeren. Om dergelijke blokkades te omzeilen zijn er "Tor-bridges". Dit zijn privé Tor-servers die als springplank dienen om toegang tot het Tor-netwerk te krijgen. Niet alleen zijn de Tor-bridges privé, ze kunnen ook hun netwerkverkeer aanpassen waardoor het lastig is om te zien dat iemand van Tor gebruikmaakt. Een deel van de huidige Tor Bridges wordt gehost bij bekende hostingproviders. Volgens het Tor Project heeft de Russische telecomtoezichthouder Roscomnadzor internetproviders in het land opgedragen sommige van deze providers te blokkeren, waardoor ook de Tor Bridges niet meer toegankelijk zijn. Daarnaast worden ook bekende Tor-servers actief geblokkeerd, aldus de organisatie. Om ervoor te zorgen dat Tor-gebruikers in het land toch het netwerk kunnen gebruiken zijn WebTunnel bridges nu dringend nodig, zegt Gustavo Gus van het Tor Project. Doordat de bridges het verkeer als normaal internetverkeer doen lijken is het veel moeilijker te blokkeren. Gus roept mensen op een WebTunnel bridge te hosten. Het doel is dat er eind december tweehonderd nieuwe bridges bij zijn gekomen. Wie vijf of meer bridges host krijgt een T-shirt. bron: https://www.security.nl

Microsoft heeft een beveiligingsupdate voor een spoofinglek in Exchange Server opnieuw uitgerold, nadat het de patch eerder wegens problemen had teruggetrokken. De kwetsbaarheid (CVE-2024-49040) laat een aanvaller spoofingaanvallen tegen Exchange-servers uitvoeren. Op 12 november kwam Microsoft met een update die het beveiligingslek niet verhelpt, maar gebruikers bij een vermoedelijke spoofingaanval een waarschuwing toont. Het beveiligingslek wordt veroorzaakt door de huidige implementatie van de 'P2 FROM header verificatie', die tijdens het e-mailtransport plaatsvindt. De P2 FROM header in een e-mail is onderdeel van de message header die in de e-mailclient van de ontvanger wordt weergegeven. "De huidige implementatie laat sommige non-RFC 5322 compliant P2 FROM headers door, wat ervoor kan zorgen dat de e-mailclient (bijvoorbeeld Microsoft Outlook), een vervalste afzender als legitiem weergeeft", aldus de uitleg van Microsoft. Twee dagen na het uitbrengen van de update besloot Microsoft op 14 november die wegens problemen terug te trekken. Klanten hadden geklaagd dat na de installatie van de update ingestelde transport rules stopten met werken, wat ervoor zorgde dat e-mail niet meer werd afgeleverd. Microsoft heeft het probleem met de update verholpen en biedt die nu weer aan. Daarbij worden alle organisaties aangeraden de nieuwe versie van de patch te installeren, ook als ze bij installatie van de eerste versie niet met problemen te maken kregen. bron: https://www.security.nl

Mozilla heeft na vier jaar besloten om over te stappen op .tar.xz packaging voor Linux-versies van Firefox, wat ervoor moet zorgen dat nieuwe versies sneller zijn te downloaden en installeren. Op dit moment maakt Mozilla voor het comprimeren en uitpakken van de Firefox-installatie nog gebruik van .tar.bz2 packaging. De overstap naar tar.xz zou voor kleinere bestanden en snellere installaties moeten zorgen. Mozilla stelt dat .tar.xz packages gemiddeld 25 procent kleiner zijn dan hun .tar.bz2 tegenhangers. Daarnaast pakt .tar.xz twee keer zo snel uit als tar.bz2, aldus de Firefox-ontwikkelaar. Een ander bekend algoritme voor het inpakken en uitpakken van bestanden is het Zstandard (.zst) algoritme. Mozilla erkent dat dit algoritme sneller bestanden uitpakt dan .tar.xz, maar er voor de laatste is gekozen omdat die bestanden beter kan comprimeren wat daardoor bandbreedte bespaart. Een ander punt dat Mozilla noemt is dat .tar.xz breed onder Linux-systemen wordt ondersteund. Firefox-gebruikers op Linux hoeven geen actie te ondernemen voor de overstap. Op dit moment wordt .tar.xz packaging alleen in de Firefox Nightly testversie voor Linux toegepast. Het doel is om het vanaf Firefox 135 ook de in standaardversie te gebruiken. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in ProjectSend, een webapplicatie voor het uitwisselen van bestanden en een groot aantal servers is kwetsbaar, zo meldt securitybedrijf VulnCheck. Een beveiligingsupdate voor de kwetsbaarheid (CVE-2024-11680) is sinds 3 augustus beschikbaar. ProjectSend is een applicatie die op een webserver wordt geïnstalleerd. Vervolgens is het mogelijk om via de applicatie bestanden naar de server te uploaden en die met anderen te delen. Een 'improper authentication' kwetsbaarheid maakt het mogelijk voor ongeauthenticeerde aanvallers om op afstand een HTTP-request naar de applicatie te sturen, waarmee de configuratie is aan te passen (pdf). Vervolgens kunnen aanvallers zo zelf accounts aanmaken en webshells uploaden om toegang tot de server te behouden en verdere aanvallen uit te voeren. Daarnaast is het embedden van malafide JavaScript mogelijk. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. ProjectSend kwam op 3 augustus met versie r1720 waarin de kwetsbaarheid is verholpen. Eind augustus en begin september verschenen op internet exploits om misbruik van het beveiligingslek te maken en inmiddels is ook daadwerkelijk misbruik waargenomen, aldus VulnCheck. Volgens securitybedrijf Censys zijn meer dan vierduizend ProjectSend-servers vanaf internet toegankelijk. Onderzoekers van VulnCheck ontwikkelden een scanner om de versie van toegankelijke servers te controleren. Daaruit blijkt dat slechts één procent versie r1720 draait. De overige servers maken gebruik van een kwetsbare versie. bron: https://www.security.nl

Onderzoekers van antivirusbedrijf ESET hebben naar eigen zeggen de eerste proof of concept UEFI-bootkit voor Linux ontdekt. Het hoofddoel van de bootkit is het uitschakelen van de signature verification feature van de Linux-kernel en het vooraf laden van twee nog onbekende ELF-binaries via het Linux “init”-proces, het eerste proces dat de Linux-kernel uitvoert tijdens het opstarten van het systeem. De Unified Extensible Firmware Interface (UEFI) zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Wanneer malware de firmware weet aan te passen kan dit grote gevolgen voor de veiligheid van het systeem hebben. Een bootkit kan code op UEFI-niveau uitvoeren en het besturingssysteem aanpassen voordat het is geladen. De bootkit, met de naam Bootkitty, ondersteunt op het moment alleen een aantal Ubuntu-versies. De malware werd geüpload naar Googles online virusscandienst VirusTotal en kwam zo bij de onderzoekers terecht. Bootkitty is gesigneerd door een zelfondertekend certificaat en kan dus niet worden uitgevoerd op systemen waarop UEFI Secure Boot standaard is ingeschakeld. De bootkit is ontworpen om de Linux-kernel naadloos op te starten, of UEFI Secure Boot nu is ingeschakeld of niet, omdat het in het geheugen de noodzakelijke functies patcht die verantwoordelijk zijn voor integriteitsverificatie, nog voordat de GRUB-bootloader wordt gestart. "De bootkit is een geavanceerde rootkit die de bootloader kan vervangen en de kernel kan patchen voordat deze wordt uitgevoerd", aldus de onderzoekers. Via de bootkit kunnen aanvallers volledige controle over het getroffen systeem krijgen, omdat het opstartproces wordt overgenomen en het mogelijk is malware uit te voeren nog voordat het besturingssysteem is opgestart. Tijdens de analyse werd een mogelijk gerelateerde niet-ondertekende kernelmodule ontdekt die mogelijk door dezelfde auteur is ontwikkeld. Deze module laadt een andere, voor de onderzoekers nog onbekende kernelmodule. Op basis van de werking van de bootkit, waaronder het crashen van systemen, denken de onderzoekers dat het hier om een proof of concept gaat. ESET heeft de malware nog niet in het wild aangetroffen. De virusbestrijder merkt op dat Bootkitty op dit moment geen echte bedreiging voor Linux-systemen vormt, maar de ontdekking een interessante ontwikkeling is. bron: https://www.security.nl

Twee kwetsbaarheden in de vpn-software van SonicWall en Palo Alto Networks maken het mogelijk voor aanvallers om via een malafide vpn-server bij gebruikers malware te installeren als die verbinding met de server maken, zo laten onderzoekers van securitybedrijf AmberWolf weten. Beide bedrijven hebben inmiddels beveiligingsupdates voor de kwetsbaarheden (CVE-2024-29014 en CVE-2024-5921) uitgebracht. In het geval van SonicWall bevindt de kwetsbaarheid zich in de SonicWALL NetExtender vpn-client voor Windows versie 10.2.339. De software laat gebruikers verbinding met een vpn-server maken. De kwetsbaarheid (CVE-2024-29014) maakt het mogelijk voor een aanvaller om malafide updates naar gebruikers te sturen als die verbinding met een malafide vpn-server maken. Een aanvaller zou dit bijvoorbeeld door middel van social engineering kunnen doen. Zodra de gebruiker verbonden met de malafide vpn-server is kan de aanvaller een malafide update naar de gebruiker sturen. De enige voorwaarde is dat de 'update' gesigneerd is met een geldig code-signing certificaat. Dergelijke certificaten kunnen aanvallers bij derde partijen stelen of zelf aanschaffen. Vervolgens is het mogelijk om code op het systeem van de gebruiker met SYSTEM-rechten uit te voeren. Een andere aanvalsvector is via de SonicWall SMA Connect Agent die op basis van web-requests de vpn-client kan starten. Zodra de gebruiker een malafide website bezoekt kan die een request versturen waardoor de SMA Connect Agent verbinding met de malafide vpn-server maakt en de aanvaller de update naar het systeem van de gebruiker kan sturen, zo stellen de onderzoekers in hun analyse. De kwetsbaarheid in de GlobalProtect vpn-client van Palo Alto Networks is ook door middel van een malafide update te misbruiken. Wederom moet een gebruiker eerst met de vpn-server van de aanvallers verbinding maken. Vervolgens zijn zowel macOS- als Windows-gebruikers van de software aan te vallen. Een aanvaller kan daarna inloggegevens stelen, willekeurige code met verhoogde rechten uitvoeren en een malafide rootcertificaat installeren, wat verdere aanvallen mogelijk maakt. De onderzoekers van AmberWolf gaven onlangs een presentatie over de twee kwetsbaarheden en maakten een opensourcetool genaamd NachoVPN beschikbaar, waarmee de aanvallen zijn uit te voeren. bron: https://www.security.nl

Mozilla heeft een nieuwe versie van Firefox uitgebracht die is voorzien van bounce tracking protection, om zo deze manier van tracking tegen te gaan. Bounce tracking protection is een trackingmethode waarbij een gebruiker op een link klinkt en vervolgens via een trackingpagina bij de uiteindelijke bestemming komt. Omdat eerst de trackingpagina wordt bezocht kunnen trackers 'first-party cookies' plaatsen en lezen die niet door de browser geblokkeerd worden, in tegenstelling tot zogenoemde third-party cookies waarbij dit wel het geval is. Een gebruiker zit bijvoorbeeld op de website rabbits.example en klikt op een link naar turtles.example. De tracker die op de eerstgenoemde website actief is wijzigt op het laatste moment de link naar tracker.example. De gebruiker komt zo eerst uit op de trackingsite, die de gebruiker vervolgens doorstuurt naar turtles.example. Zo weet de trackingsite dat de betreffende gebruiker interesse in konijnen en schildpadden heeft. Wanneer tracker.example zichzelf maar vaak genoeg bij het browsen van de gebruiker weet te injecteren, kan er een uitgebreid profiel van hem worden gemaakt. Firefox biedt standaard 'Enhanced Tracking Protection' (ETP) waarmee het zaken als trackers en cross-site cookies blokkeert om tracking tegen te gaan. Bounce tracking protection is nu toegevoegd aan het strengste niveau van ETP, de zogenoemde 'Strict' mode. Eenmaal actief zal bounce tracking protection periodiek de cookies en site data van bounce trackers verwijderen om zo tracking tegen te gaan. Bounce tracking protection is beschikbaar in Firefox 133. Updaten kan via de automatische updatefunctie en Mozilla.org. bron: https://www.security.nl