Captain Kirk

Aanvallers hebben een kwetsbaarheid in Mozilla Firefox en Windows gecombineerd voor het automatisch infecteren van gebruikers met een backdoor, zo laat antivirusbedrijf ESET weten. Op het moment van de aanvallen waren er geen beveiligingsupdates voor de kwetsbaarheden beschikbaar. Mozilla werd op 8 oktober over het beveiligingslek ingelicht en kwam op 9 oktober met een patch voor Firefox. Het onderzoek naar de kwetsbaarheid in Firefox (CVE-2024-9680) leverde een tweede aangevallen kwetsbaarheid op die zich in Windows bevond (CVE-2024-49039). Microsoft werd op 14 oktober ingelicht en verhielp het probleem op 12 november. De aanvallen begonnen met een malafide website die slachtoffers naar een exploitserver stuurde. Was de aanval succesvol, dan werd er shellcode uitgevoerd die de uiteindelijke backdoor op het systeem van de gebruiker installeerde. Het beveiligingslek in Firefox maakte het mogelijk voor aanvallers om code binnen de browser uit te voeren. Firefox maakt gebruik van een sandbox, om te voorkomen dat kwetsbaarheden in de browser een aanvaller meteen toegang tot het hele systeem geven. Het beveiligingslek in Windows maakte het mogelijk om uit de sandbox van de browser te breken en zo code op het systeem uit te voeren. Het beveiligingslek in de Task Scheduler van Windows is alleen te misbruiken door een aanvaller die al toegang tot het systeem heeft. Van 10 tot 16 oktober, net nadat de Firefox-kwetsbaarheid was gepatcht, ontdekten onderzoekers van ESET andere servers waarop de exploit draaide. Eenmaal actief kan de backdoor wachtwoorden, cookies en andere inloggegevens stelen, alsmede allerlei soorten bestanden, screenshots maken en gebruikt worden voor het aanvallen van andere systemen. Volgens het antivirusbedrijf bevinden de meeste potentiële slachtoffers zich in Europa en de Verenigde Staten. De aanval is het werk van een aan Rusland gelieerde groep die zich met cybercrime en spionage bezighoudt, aldus ESET. bron: https://www.security.nl

Microsoft zou Word- en Excel-documenten van gebruikers gebruiken voor het trainen van 'AI', zo stelt een Canadese auteur. Het techbedrijf ontkent dit. Op 14 november schreef Dr. Casey Lawrence in een blogpost op Medium met de titel 'MS Word is Using You to Train AI' dat Microsoft een feature in Office heeft ingeschakeld die Word- en Exel-documenten scrapet voor het trainen van "interne AI-systemen". Een aantal dagen eerder was hier op Facebook voor gewaarschuwd, waarna het bericht in de 'writers community' circuleerde. Lawrence wijst in haar blogposting ook naar het in september 2024 bijgewerkte privacybeleid van Microsoft. Daarin staat dat het techbedrijf persoonlijke data voor het trainen van AI kan gebruiken. De feature in kwestie wordt 'Connected experiences' genoemd. Dit zijn 'experiences' die content van de gebruiker analyseren voor het doen van aanbevelingen, suggesties, inzichten en soortgelijke features, aldus de uitleg van Microsoft. In het privacybeleid wordt Connected experiences niet expliciet genoemd. Het bericht op Medium werd door een X-gebruiker genaamd nixCraft onder meer dan 374.000 volgers verspreid en zo door allerlei media opgepikt. In een reactie op het bericht van nixCraft laat Microsoft weten dat het in Microsoft 365-apps geen klantdata gebruikt om large language models (LLMs) te trainen. De instelling is volgens Microsoft nodig om features mogelijk te maken waardoor verschillende personen aan een document kunnen werken. Gebruikers kunnen Connected experiences via de privacyopties van Office uitschakelen. Update De Privacy Company uit Den Haag publiceerde in 2019 voor Strategic Vendor Management Microsoft (SLM Rijk) van het ministerie van Justitie en Veiligheid een Data protection impact assessment (DPIA) over Office 365, waarin ook Connected experiences wordt besproken (pdf). De DPIA levert vijf hoge databeschermingsrisico's op, die volgens de onderzoekers onder andere worden veroorzaakt doordat Microsoft nog geen centrale opt-out functionaliteit voor de Connected Experiences in Office Online en in de mobiele Office apps heeft ingebouwd. Als één van de aanbevelingen om de databeschermingsrisico's te mitigeren werden overheidsinstanties opgeroepen om beleid op te stellen geen gebruik van Connected experiences te maken. Een Microsoft 365 MVP (Most Valuable Professional) laat via X weten dat Connected experiences data naar Microsoft kan sturen, maar geen data verstuurt voor het trainen van AI-modellen. Een andere MVP merkt op dat Connected experiences niet nieuw is, maar Microsoft onlangs heeft aangepast hoe de feature is uit te schakelen en dat veel privacybewuste organisaties de optie hebben uitgeschakeld. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in de ssl vpn gateways van fabrikant Array Networks, zo meldt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Via het beveiligingslek (CVE-2023-28461) kan een ongeauthenticeerde aanvaller op afstand het filesystem van de ssl vpn gateway verkennen of code op het apparaat uitvoeren. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Vorig jaar maart kwam Array Networks met een beveiligingsupdate voor het probleem. Het CISA geeft geen details over de aanvallen. Vorig jaar juli meldde een beveiligingsonderzoeker op X dat misbruik van CVE-2023-28461 plaatsvond, maar verdere informatie werd niet gegeven. De ssl vpn gateway van Array Networks geeft gebruikers op afstand toegang tot applicaties, desktops, file shares, netwerken en websites. bron: https://www.security.nl

Meer dan honderdduizend WordPress-sites zijn kwetsbaar voor aanvallen door kritieke kwetsbaarheden in de plug-in 'Anti-Spam, FireWall by CleanTalk'. Via de kwetsbaarheden (CVE-2024-10542 en CVE-2024-10781) kan een ongeauthenticeerde aanvaller op afstand willekeurige plug-ins op WordPress-sites installeren, wat kan leiden tot remote code execution. Anti-Spam, FireWall by CleanTalk moet WordPres-sites beschermen tegen spam in onder andere reacties en andere onderdelen. De plug-in is kwetsbaar voor een 'authorization bypass via reverse dns-spoofing', zo meldt securitybedrijf Wordfence. Een functie voor het installeren van plug-ins kijkt naar verschillende onderdelen voordat het mogelijk is een plug-in te installeren, waaronder ip-adres en de aanwezigheid van het domein 'cleantalk.org' in het request. De genoemde kwetsbaarheid maakt het mogelijk voor een aanvaller om deze controle te omzeilen. Zo vindt de controle op het ip-adres plaats op basis van door de gebruiker gedefinieerde parameters. Een gebruiker kan dan ook een ander ip-adres opgeven, waardoor het lijkt alsof het om het ip-adres van ontwikkelaar CleanTalk gaat. Daarnaast wordt gecontroleerd of het request om een plug-in te installeren afkomstig is van het domein cleantalk.org. De controle kijkt alleen naar de aanwezigheid van de string 'cleantalk.org'. Een aanvaller kan de controle omzeilen door een subdomein te gebruiken zoals ‘cleantalk.org.evilsite.com'. Zodoende kan een aanvaller een request naar de kwetsbare functie sturen waarmee het mogelijk is om op de betreffende WordPress-site een plug-in te installeren. De ontwikkelaar werd op 30 oktober ingelicht en kwam op 1 november met een gedeeltelijke oplossing (6.44). Een aantal dagen werd een tweede authorization bypass ontdekt (CVE-2024-10542), waardoor het wederom mogelijk is voor aanvallers om op afstand plug-ins te installeren. Op 14 november verscheen versie 6.45 waarin ook dit probleem is opgelost. Uit cijfers van WordPress.org blijkt dat een groot aantal websites nog versie 6.44 of lager draait en kwetsbaar is. Het zou om zo'n 56 procent van de meer dan 200.000 websites gaan die van de plug-in gebruikmaken. bron: https://www.security.nl

QNAP heeft meerdere kwetsbaarheden die onder de CVSS-beoordeling als kritiek zijn aangemerkt zelf als 'belangrijk' bestempeld. De NAS- en routerfabrikant kwam dit weekend met beveiligingsupdates voor onder andere de NAS-applicatie Notes Station 3 en QuRouter, het besturingssysteem dat op de NAS-apparaten van QNAP draait. Via de kwetsbaarheden zouden in het ergste geval remote aanvallers toegang tot de apparaten kunnen krijgen. De beveiligingsbulletins voor Notes Station 3 en QuRouter zijn door QNAP aangemerkt als 'important'. Twee kwetsbaarheden in Notes Station 3 (CVE-2024-38643 en CVE-2024-38645) alsmede een beveiligingslek in QuRouter (CVE-2024-48860) zijn volgens de CVSS-beoordeling kritiek. Het Common Vulnerability Scoring System (CVSS) is bedacht voor het beoordelen van de impact van kwetsbaarheden. Een CVSS-score bestaat uit een schaal van 1 tot en met 10, waarbij 10 de maximale score is. De score is uit verschillende onderdelen opgebouwd. Zo wordt gekeken wat de aanvalsvector is (lokaal, fysiek of netwerk), hoe lastig het is om misbruik van de kwetsbaarheid te maken, of er interactie van de gebruiker is vereist en of de aanvaller over bepaalde permissies moet beschikken om de aanval uit te voeren. Verder wordt er ook gekeken wat de gevolgen van de kwetsbaarheid zijn voor de beschikbaarheid, vertrouwelijkheid en integriteit van informatie of het systeem. Dit leidt tot een "basisscore" die kan worden aangevuld met een tijdelijke score, bijvoorbeeld de beschikbaarheid van exploitcode, en een omgevingsscore, die specifiek voor de organisatie van een gebruiker is. Organisaties kunnen zo zien welke kwetsbaarheden de grootste prioriteit moeten krijgen. Beveiligingslekken met een basisscore van 10 komen geregeld in het nieuws. CVE-2024-48860 betreft command injection, waardoor een remote aanvaller commando's op de router kan uitvoeren. CVE-2024-38643 wordt omschreven als 'ontbrekende authenticatie', waardoor remote aanvallers toegang tot belangrijke functies kunnen krijgen en uitvoeren. CVE-2024-38645 is een server-side request forgery (SSRF) kwetsbaarheid waardoor een geauthenticeerde aanvaller applicatiedata kan lezen. Door niet aan te geven dat het om kritieke kwetsbaarheden gaat kan het zijn dat gebruikers de updates later installeren dan ze zouden doen bij kritieke beveiligingslekken. bron: https://www.security.nl

Microsoft heeft 240 domeinnamen in beslag genomen die werden gebruikt voor het aanbieden en functioneren van phishingkits, zo heeft het techbedrijf zelf bekendgemaakt. Phishingkits bieden allerlei templates voor het uitvoeren van phishingaanvallen. Volgens Microsoft werden de aangeboden "ONNX" phishingkits door allerlei criminelen afgenomen en gebruikt voor aanvallen op Microsoft-accounts. De dienst bood verschillende abonnementen en opties aan. "Phishingmails afkomstig van deze 'doe-het-zelf' kits zijn verantwoordelijk voor een groot deel van de tientallen tot honderden miljoenen phishingberichten die Microsoft elke maand ziet", aldus het techbedrijf. Dat stelt dat ONNX qua e-mailvolume in top vijf zit van aanbieders van phishingkits. Microsoft vroeg een rechter met succes om de domeinnamen in beslag te kunnen nemen. Hoewel de domeinen in beslag zijn genomen merkt Microsoft op dat andere aanbieders het nu ontstane gat zullen vullen. Het techbedrijf verdenkt een Egyptische man van het ontwikkelen en aanbieden van de phishingdienst. bron: https://www.security.nl

Vijf kwetsbaarheden in needrestart, een tool die standaard wordt mee geïnstalleerd met Ubuntu Server sinds versie 21.04, maakt het mogelijk voor een lokale gebruiker om willekeurige code als root uit te voeren. De beveiligingslekken zijn in de nieuwste versie van needrestart (versie 3.8) verholpen. Needrestart is een tool die het systeem scant om te kijken of het systeem of services herstart moeten worden. De tool controleert met name op services die verouderde gedeelde libraries gebruiken, zoals wanneer een library tijdens een package-update is vervangen. Omdat het in de server-images is geïntegreerd wordt needrestart automatisch gestart na APT-operaties zoals install, upgrade of remove. Securitybedrijf Qualys vond verschillende 'fundamentele kwetsbaarheden' in de tool waar een lokale aanvaller misbruik van kan maken. Zo kan een lokale aanvaller willekeurige als root uitvoeren door needrestart de Ruby of Python interpreter te laten uitvoeren met een door de aanvaller gecontroleerde omgevingsvariabele. Een andere kwetsbaarheid betreft een 'race condition' waardoor een aanvaller zijn eigen, fake Python interpreter door needrestart kan laten uitvoeren. Ook kan een aanvaller via needrestart de ScanDeps module van Perl aanroepen met zijn eigen malafide bestanden. Qualys, dat de kwetsbaarheden 'alarmerend' noemt, zegt dat het vooralsnog geen exploitcode beschikbaar stelt. Het securitybedrijf waarschuwt dat de beveiligingslekken in kwestie eenvoudig te misbruiken zijn en andere onderzoekers mogelijk wel met exploits zullen komen. bron: https://www.security.nl

Zoekmachine DuckDuckGo heeft de Europese Commissie opgeroepen om drie onderzoeken uit te voeren naar het naleven van de Europese Digitale Markets Act (DMA) door Google. Volgens DuckDuckGo voldoet Google niet aan de eisen van de DMA. Het techbedrijf deelt geen geanonimiseerde click en query data, heeft het aanpassen van de standaard zoekinstellingen niet eenvoudig gemaakt en biedt gedownloade zoek- en browserapps niet de mogelijkheid om eenvoudig de standaard optie te worden, terwijl dit wel onder de DMA verplicht is, aldus DuckDuckGo. De DMA zorgt voor toezicht en maatregelen voor de grootste online platforms met een zogenoemde poortwachterspositie. De regels zouden voor een eerlijker speelveld op de digitale markt moeten zorgen en kaders aan deze bedrijven stellen, ook die van buiten de EU. Volgens DuckDuckGo probeert Google de DMA te ondermijnen. Zo zou het bedrijf selectief aan bepaalde verplichtingen voldoen, terwijl het andere negeert. Dit heeft ervoor gezorgd dat de zoekmarkt in de EU nauwelijks is veranderd, zo stelt DuckDuckGo. Zo verplicht de DMA dat poortwachters het eenvoudig maken om van zoekmachine en browser te veranderen. Iets wat bij Google niet het geval is, benadrukt DuckDuckGo. "Voordat de DMA in werking trad waren er meer dan vijftien stappen nodig om je standaard zoekmachine op Android te wijzigen en dat is vandaag de dag nog steeds het geval. Er zijn geen enkele wijzigingen doorgevoerd." Ook het aanpassen van de zoekmachine in Google Chrome is niet eenvoudiger gemaakt. Daarnaast stelt DuckDuckGo dat Google een aangepast Android-keuzescherm nog onder meer dan 250 miljoen Europese gebruikers moet uitrollen. "Toezichthouders wereldwijd zouden moeten zien wat er met de DMA gebeurt, en leren hoe Google de mazen in de wet weet te misbruiken en die zo omzeilt, en dan maatregelen nemen om ervoor te zorgen dat Google geen nieuwe barrières kan opwerpen tegen vooruitgang en een eerlijke spelveld", concludeert DuckDuckGo, dat toevoegt dat de DMA ook niet goed inspeelt op het schaalvoordeel dat Google heeft. bron: https://www.security.nl

Een beveiligingslek in de populaire archiveringssoftware 7-Zip maakt remote code execution mogelijk. Op 19 juni van dit jaar verscheen een versie waarin het probleem is verholpen, maar in de release notes wordt het bestaan van de kwetsbaarheid (CVE-2024-11477) nergens vermeld. Details over de kwetsbaarheid zijn nu door securitybedrijf ZDI openbaar gemaakt. Het bedrijf waarschuwde 7-Zip op 12 juni voor het probleem. De kwetsbaarheid bevindt zich in de implementatie van het Zstandard (ZSTD) compressie-algoritme. Via het algoritme is het mogelijk om bestanden te comprimeren. De manier waarop 7-Zip dit algoritme had geïmplementeerd zorgde ervoor dat gebruikersinvoer niet goed werd gevalideerd, wat bij het uitpakken van een archief kan leiden tot een 'Integer Underflow'. Een aanvaller kan de kwetsbaarheid gebruiken om code in de context van het huidige proces uit te voeren. Het ZDI stelt dat er afhankelijk van de implementatie verschillende aanvalsvectoren zijn waarop een aanvaller misbruik van het beveiligingslek kan maken, maar de meest voor de hand liggende is een doelwit een malafide archiefbestand laten openen. De kwetsbaarheid is verholpen in 7-Zip 24.07. De release notes van deze versie laten alleen weten dat er een 'bug' is gefixt waardoor 7-Zip bij sommige incorrecte ZSTD-archieven zou kunnen crashen. Nergens wordt echter het CVE-nummer of het bestaan van een kwetsbaarheid vermeld. bron: https://www.security.nl

De Europese Commissie heeft vandaag in het Publicatieblad van de Europese Unie de Cyber Resilience Act (CRA) gepubliceerd, die onder andere ervoor moet zorgen dat producten minimaal vijf jaar beveiligingsupdates ontvangen. Ook komt er een meldplicht voor actief misbruikte kwetsbaarheden. De CRA treedt op 10 december dit jaar in werking. Vanaf 10 december 2027 moeten alle producten met digitale elementen aan de CRA voldoen. De Cyber Resilience Act stelt onder andere 'essentiële cyberbeveiligingsvereisten' aan producten met digitale elementen. Het gaat hierbij niet alleen om fysieke, digitale apparaten, zoals IoT-apparatuur, firewalls of netwerkapparatuur, maar ook software zoals videogames, mobiele apps of besturingssystemen en componenten zoals videokaarten en software libraries. "Twee grote problemen die kosten voor gebruikers en de samenleving met zich meebrengen, moeten worden aangepakt: een laag niveau van cyberbeveiliging van producten met digitale elementen, dat tot uiting komt in wijdverbreide kwetsbaarheden en de ontoereikende en inconsistente verstrekking van beveiligingsupdates om die aan te pakken, en onvoldoende inzicht in en toegang tot informatie door gebruikers, waardoor zij niet in staat zijn producten met passende cyberbeveiligingskenmerken te kiezen of die op een veilige manier te gebruiken", zo staat in de tekst van de CRA. De eisen die de CRA stelt moeten ervoor zorgen dat. fabrikanten op een veilige manier producten ontwerpen, ontwikkelen en onderhouden. Zo moeten fabrikanten hun product minimaal vijf jaar van beveiligingsupdates voorzien. Ook vereist de wet dat feabrikanten een proces inrichten om te reageren op kwetsbaarheden en om deze direct te kunnen verhelpen, bijvoorbeeld door een beveiligingsupdate te verstrekken. Meldplicht Een ander punt is een meldplicht voor actief misbruikte kwetsbaarheden en incidenten. Deze verplichting gaat op 10 september 2026 in. Fabrikanten moeten dergelijke beveiligingslekken binnen 24 uur bij een centraal meldingsplatform rapporteren. In Nederland zou dit het Nationaal Cyber Security Centrum (NCSC) zijn. Verdere informatie zou binnen 72 uur moeten volgen, zoals te nemen mitigatiemaatregelen. Een brede coalitie van beveiligings- en privacyexperts die werkzaam zijn voor securitybedrijven, antivirusleveranciers en burgerrechtenbewegingen, waarschuwden eerder nog voor deze meldplicht. De verstrekte informatie zou voor surveillance en inlichtingendoeleinden zijn te misbruiken. Ondanks de zorgen wordt de meldplicht toch ingevoerd. "De CRA gaat gefaseerd van kracht, zodat fabrikanten de tijd krijgen om aan de nieuwe eisen te voldoen", zo laat de Rijksinspectie Digitale Infrastructuur (RDI) weten. "De eerste achttien maanden staan in het teken van voorbereiding, waarin onder andere geharmoniseerde standaarden ontwikkeld worden." De RDI gaat toezicht op het naleven van de CRA houden. bron: https://www.security.nl

De ontwikkelaars van Brave hebben de in de browser ingebouwde adblocker voorzien van 'procedureel filteren', om zo advertenties te blokkeren. Dat hebben de ontwikkelaars aangekondigd. Het blokkeren van advertenties kan ervoor zorgen dat websites er visueel niet goed uitzien, zoals lege ruimtes waar normaal advertenties worden getoond. Een ander punt is dat advertenties soms niet door middel van netwerk requests zijn te blokkeren, omdat de advertenties en webcontent gecombineerd zijn. In deze gevallen past Brave 'cosmetisch filteren' toe om zo ongewenste pagina-elementen te verbergen. Dit wordt gedaan door middel van CSS selectors. Niet alle elementen op een pagina zijn echter door middel van CSS selectors te verbergen. "CSS is declaratief, wat inhoudt dat het het uiterlijk en de layout van een pagina controleert op basis van de paginastructuur in plaats van de inhoud. Dit maakt het lastiger voor ons om het verschil tussen een advertentie en andere paginacontent te bepalen wanneer een advertentie eruitziet als de rest van de pagina", aldus de Brave-ontwikkelaars. Om ook dergelijke advertenties te verbergen ondersteunt Brave nu procedureel filteren. Hierbij geeft de browser een omschrijving van hoe te blokkeren elementen eruitzien. "Procedureel filteren laat ons condities definiëren zoals "blokkeer elementen met de tekst KOOP DIT PRODUCT”. Dit maakt het mogelijk om nauwkeurig pagina-elementen te matchen: we kunnen elementen met specifieke elementen kiezen, die aan een minimale tekstlengte voldoen, of met een bepaalde HTML ancestor. Al met al vergroot dit het soort ongewenste content dat we op het web kunnen blokkeren." Procedureel filteren is toegevoegd aan Brave versie 1.73 voor alle platforms. bron: https://www.security.nl

Palo Alto Networks is bang dat een kritieke kwetsbaarheid in PAN-OS, het besturingssysteem dat op de firewalls van het securitybedrijf draait, op grotere schaal kan worden misbruikt nu exploitcode op internet is verschenen. Securitybedrijf Watchtowr, dat de exploit publiceerde, noemt het verbazingwekkend dat de betreffende kwetsbaarheden in de firewalls van Palo Alto Networks konden verschijnen. Vorige week waarschuwde Palo Alto Networks voor een actief misbruikte kwetsbaarheid in de managementinterface van PAN-OS, Via kwetsbaarheid CVE-2024-0012, een authentication bypass in de managementinterface, kan een ongeauthenticeerde aanvaller PAN-OS adminrechten krijgen en als beheerder allerlei acties uitvoeren. Maandag kwam het bedrijf met een beveiligingsupdate, alsmede de waarschuwing voor een tweede actief misbruikte kwetsbaarheid (CVE-2024-9474) die in combinatie met CVE-2024-0012 wordt gebruikt. Aanvallers gebruiken beide kwetsbaarheden om firewalls met malware te infecteren zoals webshells, om zo toegang tot het apparaat te behouden, aldus Palo Alto Networks. Dat heeft inmiddels een lijst met 23 ip-adressen gegeven die de aanvallers bij de eerder waargenomen aanvallen gebruikten. Het gaat in veel gevallen om ip-adressen van vpn-providers. Nu een exploit online is verschenen zal dit voor een 'bredere dreigingsactiviteit' kunnen zorgen, zo laat een update van het beveiligingsbulletin weten. Klanten worden opgeroepen de update te installeren en ervoor te zorgen dat de managementinterface van hun firewall niet vanaf het internet toegankelijk is. bron: https://www.security.nl

D-Link roept gebruikers op om kwetsbare end-of-life vpn-routers te vervangen en biedt korting bij de aanschaf van een wel ondersteund model. Een kritieke kwetsbaarheid in de producten maakt het voor ongeauthenticeerde aanvallers mogelijk om op afstand code uit te voeren. D-Link heeft geen CVE-nummer van de kwetsbaarheid, maar laat weten dat het probleem speelt in zes modellen vpn-routers: DSR-150, DSR-150N, DSR-250, DSR-250N, DSR-500N en DSR-1000N. Het gaat om een 'stack buffer overflow', maar verdere details zijn niet beschikbaar. De eerste vier van deze modellen worden sinds 1 mei van dit jaar niet meer door D-Link met beveiligingsupdates ondersteund. De DSR-500N en DSR-1000N zijn al sinds eind 2015 end-of-life. D-Link roept gebruikers op om de apparaten door wel ondersteunde routers te vervangen en biedt twintig procent korting bij de aanschaf van een wel ondersteund model. Gebruikers die de kwetsbare routers blijven gebruiken worden onder andere opgeroepen om een uniek wachtwoord voor de webinterface in te stellen. bron: https://www.security.nl

Microsoft gaat begin volgend jaar een nieuwe feature uitrollen genaamd 'Quick Machine Recovery' die ervoor moet zorgen dat Windowscomputers in het geval van problemen zoals een crash sneller te herstellen zijn. Ook wordt het mogelijk voor virusscanners en andere beveiligingssoftware om buiten de kernelmode van Windows te draaien. Daarnaast komt er een nieuwe feature genaamd Administrator Protection, waarmee Windowsgebruikers zonder adminrechten systeemaanpassingen of installaties kunnen uitvoeren. De features en aanpassingen zijn onderdeel van het 'Windows Resiliency Initiative' en moeten helpen om een wereldwijde computerstoring zoals de beveiligingssoftware van CrowdStrike veroorzaakte te voorkomen. Met Quick Machine Recovery kunnen systeembeheerders straks op afstand bepaalde fixes van Windows Update doorvoeren, ook als een Windowscomputer niet kan opstarten. Quick Machine Recovery zal begin volgend jaar als eerste via het Windows Insider Program beschikbaar komen. Kernelmode In juli 2025 wil Microsoft beginnen met het testen van een optie waardoor virusscanners en andere beveiligingssoftware niet meer altijd of volledig in kernelmode moeten draaien. Wanneer applicaties met kernelrechten crashen heeft dit grote gevolgen voor het systeem en maakt herstel lastiger, zoals het probleem met de software van CrowdStrike liet zien. De aanpassing moet volgens Microsoft ervoor zorgen dat zowel security geborgd is als eenvoudiger herstel in het geval van een crash of fout. Administrator Protection laat gebruikers bepaalde zaken waarvoor adminrechten zijn vereist, zoals systeemaanpassingen of de installatie van apps, zonder deze rechten uitvoeren. De aanpassing of installatie kan dan worden bevestigd door middel van Windows Hello, het biometrische authenticatiesysteem van Microsoft. Windows maakt dan een tijdelijk, geisoleerd admintoken aan om de taak uit te voeren. Een andere nieuwe feature die Microsoft vandaag aankondigde zijn 'safe deployment practices' voor beveiligingsproducten. Alle leden van het Microsoft Virus Initiative moeten verschillende 'deployment rings' en uitgebreide monitoring voor hun beveiligingsproducten toepassen. Dit moet voorkomen dat een defecte update voor een grote storing zorgt, omdat de fout dan in een vroeger stadium kan worden opgemerkt. Verder laat Microsoft weten dat het veiligere programmeertalen gaat gebruiken, waarbij implementaties van C++ uiteindelijk worden vervangen door Rust. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid om LoadMaster-loadbalancers van Progress Kemp aan te vallen. Daarvoor waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. De impact van het beveiligingslek (CVE-2024-1212) is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Een loadbalancer verdeelt verkeer over beschikbare servers en kan ook aanvullende functionaliteit bieden, zoals een Web Application Firewall. Een kritiek beveiligingslek in de LoadMaster-loadbalancer maakt het mogelijk voor een ongeauthenticeerde aanvaller, die toegang tot de managementinterface heeft, om via een speciaal geprepareerd commando willekeurige systeemcommando's uit te voeren. Vanwege de ernst van het beveiligingslek liet de supportpagina van Kemp, dat in 2021 door softwarebedrijf Progress werd overgenomen, begin dit jaar een rode banner zien om klanten te waarschuwen. In het beveiligingsbulletin dat in februari verscheen liet Kemp ook weten dat het wachtwoordbeleid is aangepast en werden klanten opgeroepen hun accountwachtwoord te wijzigen. Het CISA geeft geen details over de waargenomen aanvallen. bron: https://www.security.nl

Aanvallers maken actief misbruik van twee kwetsbaarheden in VMware vCenter Server, waaronder een kritiek beveiligingslek dat het voor ongeauthenticeerde aanvallers mogelijk maakt om op afstand code op kwetsbare servers uit te voeren. Dat laat Broadcom weten, dat op 17 september met beveiligingsupdates voor beide kwetsbaarheden (CVE-2024-38812 en CVE-2024-38813) kwam. >VCenter Server is een oplossing om vanaf één gecentraliseerde plek virtual machines, meerdere ESXi-hosts en andere onderdelen te beheren. Zo kunnen organisaties hun virtuele omgevingen configureren, controleren en monitoren. VCenter maakt gebruik van DCE RPC, een protocol voor het aanroepen van een procedure op een remote machine alsof het een local procedure call is. Het DCE RPC-protocol binnen vCenter bevatte een heap-overflow kwetsbaarheid. Door het versturen van speciaal geprepareerde netwerkpakketten kan een aanvaller met toegang tot een vCenter-server code op het systeem uitvoeren. De impact van het beveiligingslek (CVE-2024-38812) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De tweede actief aangevallen kwetsbaarheid, CVE-2024-38813, maakt het mogelijk voor een aanvaller met netwerktoegang tot de vCenter-server om zijn rechten te verhogen naar die van root. Dit kan door het versturen van een speciaal geprepareerd netwerkpakket. Eind oktober maakte Broadcom bekend dat de in september uitgebrachte update voor CVE-2024-38812 onvoldoende is. Er werd een tweede update uitgebracht om het beveiligingslek volledig te verhelpen. Gisteren liet het bedrijf weten dat aanvallers inmiddels actief misbruik van CVE-2024-38812 en CVE-2024-38813 maken. Details over de aanvallen zijn niet gegeven. bron: https://www.security.nl

Oracle heeft buiten de vaste patchcyclus om een noodupdate uitgebracht voor een actief aangevallen kwetsbaarheid in Agile Product Lifecycle Management (PLM). De aanvallen vonden al voor het uitkomen van de patch plaats. Oracle Agile PLM is een platform dat bedrijven moet helpen bij de levenscyclus van een product, zoals het ontwerp, de ontwikkeling, lancering en beheer. De oplossing draait op een eigen applicatieserver en bevat allerlei informatie over nog te ontwerpen, ontwikkelen en lanceren producten. Een kwetsbaarheid in Oracle PLM maakt het mogelijk voor ongeauthenticeerde aanvallers met toegang tot de oplossing om vertrouwelijke bestanden te stelen. Oracle werd door securitybedrijf CrowdStrike ingelicht dat de kwetsbaarheid bij aanvallen werd ingezet. De impact van het beveiligingslek, aangeduid als CVE-2024-21287, is op een schaal van 1 tot en met 10 beoordeeld met 7.5. Oracle roept bedrijven op om de update zo snel mogelijk te installeren. Oracle geeft geen details over de waargenomen aanvallen of technische details over de kwetsbaarheid, behalve dat het beveiligingslek op afstand is te misbruiken, waarbij de aanvaller niet over een gebruikersnaam en wachtwoord hoeft te beschikken. bron: https://www.security.nl

Het Internet Storm Center (ISC) meldt vandaag dat aanvallers actief misbruik maken van kwetsbaarheden in 'Citrix Session Recording' waarvoor op 12 november updates verschenen. Citrix Virtual Apps and Desktops is software voor het virtualiseren van applicaties. Het is een remote access oplossing die ervoor zorgt dat Windowsapplicaties, die op een server draaien, vanaf allerlei apparaten toegankelijk zijn. De virtualisatiesoftware zorgt ervoor dat eindgebruikers applicaties kunnen draaien ongeacht het besturingssysteem en interface van hun apparaat, aldus de uitleg van Citrix. Het wordt vooral voor thuiswerken gebruikt. Citrix biedt ook de mogelijkheid om de sessie van de gebruiker op te nemen, zodat een beheerder die later kan bekijken. Deze 'Session Recording Server', kan op dezelfde machine draaien waarop de Citrix Virtual Apps and Desktop is geïnstalleerd of een aparte machine. De Session Recording Service bevat een deserialization kwetsbaarheid waar een ongeauthenticeerde aanvaller misbruik van kan maken. Die kan een speciaal geprepareerd request naar de server sturen die uiteindelijk bij de kwetsbare service terechtkomt en wordt uitgevoerd, aldus securitybedrijf Watchtowr dat de kwetsbaarheid vorige week beschreef, alsmede proof-of-concept exploitcode gaf. Het Internet Storm Center laat weten dat het actief misbruik van de kwetsbaarheid heeft waargenomen, waarbij aanvallers een request versturen dat de server een script laat uitvoeren. Wat het script precies doet is onbekend. Update Citrix kwam op 12 november met updates voor de door Watchtowr gevonden kwetsbaarheden, aangeduid als CVE-2024-8068 en CVE-2024-8069. Op 14 november wijzigde Citrix het beveiligingsbulletin en veranderde de naam van 'Citrix Virtual Apps and Desktops' in 'Citrix Session Recording', om beter het kwetsbare product weer te geven. Het artikel is hierop aangepast. Watchtowr publiceerde op 12 november informatie over beide kwetsbaarheden, maar stelde toen dat er nog geen CVE-nummers bekend waren. bron: https://www.security.nl

Palo Alto Networks heeft twee actief aangevallen kwetsbaarheden in PAN-OS gedicht (CVE-2024-9474 en CVE-2024-0012) die worden gebruikt voor het aanvallen van firewalls. Vorige week waarschuwde het securitybedrijf voor de aanvallen, die plaatsvinden via de managementinterface van PAN-OS, het besturingssysteem dat op de firewalls van Palo Alto Networks draait. Via kwetsbaarheid CVE-2024-0012, een authentication bypass in de managementinterface, kan een ongeauthenticeerde aanvaller PAN-OS adminrechten krijgen en als beheerder allerlei acties uitvoeren. Palo Alto Networks waarschuwde vorige week al voor dit beveiligingslek, maar had toen geen verdere technische details of een CVE-nummer. In afwachting op een update werd organisaties aangeraden de managementinterface niet toegankelijk vanaf internet te maken. Vanmiddag is de beveiligingsupdate verschenen waarmee het probleem wordt verholpen. Daarnaast waarschuwt het securitybedrijf voor een tweede actief aangevallen kwetsbaarheid die in combinatie met CVE-2024-0012 is gebruikt. Het gaat om CVE-2024-9474, een kwetsbaarheid in de managementinterface waardoor een aanvaller die al toegang heeft zijn rechten kan verhogen. Een PAN-OS-beheerder met toegang tot de managementinterface kan via deze kwetsbaarheid acties op de firewall met rootrechten uitvoeren. Dit beveiligingslek, met een impactscore van 6.9, is bij de recent waargenomen aanvallen gecombineerd met CVE-2024-0012. Ook voor deze kwetsbaarheid zijn updates verschenen. Organisaties worden opgeroepen de updates met de 'highest urgency' te installeren. bron: https://www.security.nl

Europese privacytoezichthouders moeten de AVG strenger handhaven, want het schenden van de Europese privacywetgeving heeft in de praktijk vaak weinig tot geen gevolgen, zo stelt de bekende privacyactivist Max Schrems. Wie verkeerd parkeert of een snelheidsovertreding begaat krijgt vaak meteen een boete. Er is geen e-mail of uitleg dat je niet de snelheid moet overtreden, aldus Schrems in een interview ter gelegenheid van het 20-jarig bestaan van de Europese privacytoezichthouder EDPS. "Maar als je een bigtechbedrijf, of zelfs een gemiddeld bedrijf bent, dan heeft het zeer weinig gevolgen als de wet wordt geschonden", stelt Schrems. Hij voegt toe dat deze cultuur van het niet naleven nu ook op juridische conferenties zichtbaar wordt. Zo stellen advocaten op het podium dat er niets zal gebeuren als de AVG wordt overtreden, laat de privacyactivist weten. Volgens Schrems weten alle organisaties en bedrijven inmiddels dat ze zich aan de AVG zouden moeten houden. De wet zou dan ook streng moeten worden gehandhaafd, maar in de praktijk blijken veel toezichthouders zich nog altijd veel op voorlichting te richten. Bedrijven die de fout in gaan krijgen niet meteen een boete, maar eerst een waarschuwing om de overtreding te stoppen. Daarnaast zijn er meerdere toezichthouders die hun beslissingen niet publiceren. Daardoor weet het publiek niet welke bedrijven de AVG hebben overtreden en gaat er ook geen afschrikwekkende werking uit van boete of berispingen. Een ander punt dat Schrems noemt zijn de boetebedragen. "We weten dat met name Sillicon Valley denkt dat als je slechts één of twee procent per jaar als 'privacybelasting' betaalt, je gewoon kunt doorgaan." Als een AVG-overtreding echt gevolgen zou hebben, zou de manier van denken mogelijk ook veranderen, aldus Schrems, die oproept duidelijke en strenge handhaving. bron: https://www.security.nl

Een kritieke kwetsbaarheid in videoservers en een ANPR-systeem voor het lezen van kentekenplaten van GeoVision wordt actief misbruikt voor het aanvallen van kwetsbare apparaten, zo melden de fabrikant, de Taiwanese overheid en The Shadowserver Foundation. De apparaten in kwestie zijn end-of-life en zullen dan ook geen beveiligingsupdates meer ontvangen. Zeventienduizend Geovision-apparaten zijn vanaf internet toegankelijk, waarvan 75 in Nederland. Niet al deze apparaten zijn ook kwetsbaar, aldus The Shadowserver Foundation, een stichting die zich met de bestrijding van cybercrime bezighoudt. Het beveiligingslek (CVE-2024-11120) betreft command injection en laat een ongeauthenticeerde aanvaller op afstand willekeurige systeemcommando's op het apparaat uitvoeren. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het probleem speelt bij de GV-VS11 en GV-VS12, twee videoservers van GeoVision waarmee het mogelijk is om analoge beveiligingscamera's met een netwerk te verbinden. Daarnaast is ook de GV-DSP_LPR kwetsbaar, een systeem voor Automatic Number Plate Recognition (ANPR), waarmee het mogelijk is om kentekenplaten te herkennen. Tevens zijn ook verschillende andere GeoVision-apparaten kwetsbaar. De devices in kwestie zijn end-of-life, wat inhoudt dat ze niet meer door GeoVision worden ondersteund. De fabrikant zal dan ook niet met beveiligingsupdates komen. The Shadowserver Foundation waarschuwt dat aanvallers de kwetsbaarheid misbruiken om kwetsbare apparaten met malware te infecteren en zo onderdeel van een botnet te maken. Eigenaren worden dan ook aangeraden de apparaten offline te halen en te vervangen door nog wel ondersteunde apparatuur. bron: https://www.security.nl

Een beveiligingslek in de vpn-client van Fortinet wordt actief gebruikt voor het stelen van inloggegevens, zo stelt securitybedrijf Volexity. Een update voor de kwetsbaarheid is nog niet beschikbaar, alsmede een CVE-nummer, aldus de onderzoekers. Die ontdekten het beveiligingslek tijdens onderzoek naar de Deepdata-malware. Die blijkt op besmette systemen uit het geheugen de inloggegevens van de FortiClient voor Windows te stelen. Volexity waarschuwde Fortinet op 18 juli en kreeg op 24 juli bevestiging van het probleem. Via het beveiligingslek in FortiClient is het mogelijk voor malware op het systeem om gebruikersnaam, wachtwoord, remote gateway en poort uit twee verschillende JSON-objecten in het geheugen uit te lezen, zo leggen de onderzoekers uit. De gestolen informatie wordt vervolgens naar de aanvallers gestuurd. Naast inloggegevens van FortiClient kan de malware ook van zeventien andere programma's informatie stelen, waaronder KeePass, OneDrive, OpenSSH, WinSCP, SecureCRT, Putty, Windows en Xftp. bron: https://www.security.nl

Aanvallers gebruiken een nieuwe kwetsbaarheid om firewalls van Palo Alto Networks met een webshell te infecteren. Een update voor het beveiligingslek, details of een CVE-nummer zijn nog altijd niet door het securitybedrijf gegeven. Een webshell is een programma dat aanvallers op een gecompromitteerd systeem plaatsen om zo toegang tot het systeem te behouden en verdere aanvallen te kunnen uitvoeren. Vorige week waarschuwde Palo Alto Networks dat aanvallers actief misbruik maken van een kwetsbaarheid in PAN-OS, het besturingssysteem dat op de firewalls van het securitybedrijf draait. Via de kwetsbaarheid kan een ongeauthenticeerde aanvaller op afstand code op de firewall uitvoeren. Voorwaarde is wel dat de managementinterface toegankelijk is. Verdere details over het beveiligingslek zijn niet gegeven. Dit weekend kwam Palo Alto Networks met aanvullende informatie. Zo heeft het bedrijf verschillende ip-adressen gegeven waarvandaan de aanvallen worden uitgevoerd. Daarbij wordt benadrukt dat het om ip-adressen van legitieme vpn-providers kan gaan. Daarnaast installeren de aanvallers een niet nader genoemde webshell, waarvan een checksum is gegeven. De enige oplossing die Palo Alto Networks op dit moment heeft is het beveiligen van toegang tot de managementinterface van de firewall. Het bedrijf zegt aan een update te werken, maar laat niet weten wanneer die te verwachten valt. bron: https://www.security.nl

Een beveiligingsonderzoeker kon door middel van verschillende kwetsbaarheden miljoenen Electronic Arts-accounts overnemen, zonder dat hier enige interactie van gebruikers voor was vereist. Dat laat onderzoeker Sean Kahler in een analyse weten. Electronic Arts (EA) heeft de problemen inmiddels verholpen, maar had daar wel zo'n vier maanden en vijf patches voor nodig. Kahler beschrijft hoe hij binnen de authentication API-omgeving van Electronic Arts een 'privileged access token' had bemachtigd. Hoe dit precies mogelijk was zegt de onderzoeker op een later moment bekend te maken, maar het zou gaan om een executable bestand van een EA-game met daarin hardcoded credentials. Vervolgens wist Kahler via een bereikbaar endpoint andere endpoints te vinden. Elk account dat wordt gekoppeld aan een EA-account krijgt een 'persona', waaronder het standaard EA-account. Kahler weet via de gevonden endpoints en API's zijn eigen persona's aan elk willekeurig EA-account koppelen alsmede elk willekeurig persona aan zijn eigen EA-account en zo op de accounts van andere gebruikers in te loggen. In eerste instantie loopt de onderzoeker hierbij tegen een probleem aan dat er een e-mailverificatie is vereist, omdat er vanaf een nieuwe locatie wordt ingelogd. Kahler ontdekt dat deze controle is te omzeilen door meteen in te loggen via een spelcomputer, zoals de Xbox, wat ervoor zorgt dat EA de locatie 'vertrouwt'. Daarna is het gewoon mogelijk om via de EA-website op het account in te loggen. Via de kwetsbaarheden kan de onderzoekers gebruikersnamen van andere gebruikers stelen, alsmede hun game data, inloggen op de accounts van andere gebruikers, persona's van andere gebruikers bannen en opgelegde bans omzeilen. Al deze zaken zijn zonder enige interactie van de betreffende gebruikers uit te voeren. Electronic Arts wordt op 16 juni door Kahler over de kwetsbaarheden ingelicht en stelt dat het om een kritiek probleem gaat. In de volgende maanden verschijnen er vijf patches om de problemen te verhelpen, waarbij de laatste update op 8 oktober wordt uitgerold. "Gegeven de ernst is het vreemd hoe lang EA nodig had om de fixes uit te rollen. Hun originele inschatting was dat het pas tegen het einde van dit jaar was opgelost, ondanks dat het een eenvoudig geval is van blootgestelde documentatie en een enkel onbeveiligd endpoint." Daarnaast noemt de onderzoeker het teleurstellend dat EA geen bugbountyprogramma heeft. bron: https://www.security.nl

QNAP voorziet de nieuwste versies van besturingssystemen QTS en QuTS hero tot augustus 2029 van beveiligingsupdates. Dat heeft de NAS-fabrikant vandaag bekendgemaakt. QTS en QuTS zijn de besturingssystemen die op de NAS-apparaten van QNAP draaien. QTS 5.2 en QuTS hero h5.2 zijn aangemerkt als long-term support (LTS) releases en zullen daardoor langer met beveiligingsupdates worden ondersteund dan normale versies. "Wanneer een besturingssysteemversie de LTS-fase ingaat, ontvangen bepaalde niet-ingebouwde toepassingen voor het besturingssysteem ook continue ondersteuning met verbeteringen in de beveiliging en bugfixes. Deze toepassingen hebben betrekking op belangrijke functies zoals opslag, back-up en synchronisatie, virtualisatie en gegevensbescherming", aldus QNAP. Met het toepassen van een levenscyclus moet het volgens de NAS-fabrikant eenvoudiger voor beheerders worden om hun it-infrastructuur te beheren. bron: https://www.security.nl