Captain Kirk

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in Apache HugeGraph Server waarvoor in april een beveiligingsupdate verscheen. Dat laat het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security weten. Apache HugeGraph maakt het mogelijk om applicaties te ontwikkelen gebaseerd op graph databases. Een kwetsbaarheid in de software maakt het mogelijk voor aanvallers op om afstand code uit te voeren en zo de server volledig over te nemen. De impact van het beveiligingslek (CVE-2024-27348) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Eind april kwam de Apache Foundation met updates om het probleem te verhelpen. Begin juni werden technische details over de kwetsbaarheid openbaar gemaakt. Een maand later meldde The Shadowserer Foundation dat er aanvalspogingen plaatsvonden. Nu meldt ook het CISA dat aanvallers actief misbruik van het beveiligingslek maken. Amerikaanse overheidsinstanties zijn opgedragen om de beschikbare beveiligingsupdate voor 9 oktober te installeren mocht dat nog niet zijn gedaan. bron: https://www.security.nl

Antivirusbedrijf Doctor Web brengt weer updates uit na aanval op systemen Antivirusbedrijf Doctor Web brengt weer updates uit voor klanten nadat het hier eerder wegens een aanval op de eigen infrastructuur mee was gestopt. Details over het incident zijn nog altijd niet gegeven. Zo zijn de aard en omvang onbekend. De virusbestrijder spreekt van een 'gevaarlijke situatie' met betrekking tot de aanval op de eigen infrastructuur, die afgelopen zaterdag 14 september begon. Op 16 september ontdekte Doctor Web 'ongeautoriseerde inmenging' binnen de eigen it-infrastructuur. Daarop werd besloten om alle servers van het netwerk los te koppelen. Uiteindelijk wist Doctor Web naar eigen zeggen de dreiging te isoleren. Vanwege de beslissing om de servers offline te halen konden er geen updates voor de antivirussoftware worden uitgerold. Inmiddels brengt het antivirusbedrijf weer updates uit en stelt dat geen klanten door het incident zijn getroffen. bron: https://www.security.nl

Een kritieke kwetsbaarheid maakt het mogelijk om VMware vCenter-servers op afstand over te nemen. Broadcom heeft beveiligingsupdates uitgebracht om het probleem te verhelpen. VCenter is een oplossing voor het beheer van virtual machines en gevirtualiseerde servers. Kwetsbaarheden in de oplossing zijn in het verleden geregeld gebruikt voor het uitvoeren van aanvallen. Volgens VMware bevat de implementatie van het DCERPC-protocol binnen vCenter een heap-overflow kwetsbaarheid. Door het versturen van speciaal geprepareerde netwerkpakketten kan een aanvaller met toegang tot een vCenter-server code op het systeem uitvoeren. De impact van het beveiligingslek (CVE-2024-38812) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. In juni kwam Broadcom ook al met updates voor kritieke kwetsbaarheden die met het DCERPC-protocol te maken hadden. Daarnaast heeft VMware een kwetsbaarheid in vCenter opgelost (CVE-2024-38813) waardoor een aanvaller met netwerktoegang tot een vCenter-server zijn rechten kan verhogen naar die van root. Broadcom zegt dat het niet bekend is met actief misbruik van de nu verholpen beveiligingslekken. Organisaties worden opgeroepen de updates zo snel mogelijk te installeren. bron: https://www.security.nl

De infrastructuur van Doctor Web was afgelopen weekend het doelwit van een gerichte aanval, zo heeft het antivirusbedrijf vandaag bekendgemaakt. Vanwege het incident worden er tijdelijk geen nieuwe Doctor Web virus databases, met informatie over nieuwe malware, uitgebracht. Doctor Web spreekt over een gerichte aanval om de infrastructuur te beschadigen en dat die tijdig gestopt is. De aanval heeft volgens het bedrijf geen gevolgen gehad voor gebruikers van de antivirussoftware. Details over de aard en omvang van de aanval zijn niet gegeven. In de vrij korte verklaring meldt Doctor Web dat "alle resources" zijn losgekoppeld van het netwerk zodat die kunnen worden gecontroleerd. Verder wordt gemeld dat het uitbrengen van virus databases tijdelijk is gestaakt, maar snel weer zal worden hervat. bron: https://www.security.nl

Google is niet te spreken over third-party dependency scanners die claimen dat er kwetsbaarheden in de producten van het techbedrijf aanwezig zijn, terwijl dat niet het geval is. Daardoor ontvangt Google naar eigen zeggen irrelevante bugmeldingen van beveiligingsonderzoekers. Een dependency scanner kijkt welke software op een host geïnstalleerd is en of daar bekende beveiligingslekken in voorkomen. Volgens Google komt het vaak voor dat deze scanners kwetsbaarheden rapporteren die eigenlijk false positives zijn of dat het om zaken gaat die Google niet als 'security relevant' beschouwt. Het techbedrijf is nu met een blogposting gekomen om beveiligingsonderzoekers erop te wijzen om alleen zaken in Googles producten te melden die security relevant zijn. Erik Varga van Google stelt dat de false positives die de scanners genereren in vier categorieën te verdelen zijn, namelijk ingetrokken kwetsbaarheden, onjuiste versies, verkeerd platform en niet security relevante meldingen. "De bevindingen van dependency scanners moeten met een korreltje zout worden genomen, aangezien er veel factoren zijn die beïnvloeden of een kwetsbaarheid in een programma op het gescande systeem van toepassing is", aldus Varga. Google hoopt dat de nu gegeven uitleg voor betere bugmeldingen van onderzoekers zal zorgen. bron: https://www.security.nl

Cybercriminelen gebruiken de kioskmode van browsers om zo inloggegevens van gebruikers te stelen, zo waarschuwen onderzoekers van OALabs. De kioskmode zorgt ervoor dat een opgegeven pagina fullscreen wordt geladen en de gebruiker die niet eenvoudig kan sluiten. Criminelen maken hier misbruik van door op een besmet systeem een bepaalde inlogpagina, vaak die van Google, in de kioskmode te laden, aldus de onderzoekers. Slachtoffers kunnen denken dat ze hun inloggegevens moeten invoeren om de pagina te sluiten. De ingevoerde gebruikersnaam en wachtwoord kunnen vervolgens worden gestolen. De malware heeft het niet op één specifieke browser voorzien, maar kijkt naar welke browsers op het systeem aanwezig zijn, om die vervolgens in de kioskmode op te starten. Daarbij worden ook parameters opgegeven om het sluiten van de kioskmode via de F11- en Escape-knoppen te voorkomen. Er zijn echter nog wel andere toetsencombinaties waarmee gebruikers de browser kunnen sluiten. bron: https://www.security.nl

Kritieke kwetsbaarheden maken het mogelijk om verschillende type wifi-routers van fabrikant D-Link op afstand over te nemen. Het gaat onder andere om een 'verborgen functie' waardoor Telnet wordt ingeschakeld en een aanvaller met hardcoded credentials kan inloggen. D-Link heeft firmware-updates beschikbaar gemaakt om de problemen te verhelpen. De problemen spelen bij de D-Link DIR-X5460, DIR-X4860 en COVR-X1870. De webservice van de X5460 en X4860 bevat een stack-based buffer overflow, waardoor een ongeauthenticeerde aanvaller op afstand willekeurige code op de apparaten kan uitvoeren, zo waarschuwt het Taiwanese Computer Emergency Response Team (TWCERT). De impact van de kwetsbaarheid (CVE-2024-45694) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Een andere buffer overflow die remote code execution mogelijk maakt (CVE-2024-45695) raakt alleen de DIR-X4860. De DIR-X4860 en COVR-X1870 bevatten een kwetsbaarheid (CVE-2024-45696) waardoor een aanvaller, door het versturen van speciaal geprepareerde pakketten naar de webservice, Telnet kan inschakelen. Vervolgens is het mogelijk om met hardcoded credentials op de wifi-routers in te loggen. Het TWCERT spreekt over een 'verborgen functie'. Een beveiligingslek (CVE-2024-45697) in de DIR-X4860 zorgt ervoor dat Telnet wordt ingeschakeld wanneer de WAN-poort wordt ingeplugd. Wederom kan een ongeautoriseerde aanvaller op afstand dan met hardcoded credentials inloggen, laat het TWCERT weten, dat ook deze kwetsbaarheid als 'verborgen functie' aanduidt. Gebruikers worden opgeroepen de firmware-updates te installeren. bron: https://www.security.nl

Een kwetsbaarheid in Windows waarvoor Microsoft vorige week een beveiligingsupdate uitbracht werd voor het uitkomen van de patch actief misbruikt, zo heeft techbedrijf alsnog bevestigd. In eerste instantie gaf Microsoft aan dat er geen misbruik van het beveiligingslek, aangeduid als CVE-2024-43461, bekend was. Securitybedrijf ZDI liet direct na het uitkomen van de update weten dat Windowsgebruikers wel via de kwetsbaarheid werden aangevallen. "Dit beveiligingslek is gelijk aan de kwetsbaarheid die we in juli rapporteerden en werd gepatcht. Het ZDI Threat Hunting team ontdekte deze exploit in het wild en meldde het afgelopen juni aan Microsoft. Het lijkt erop dat aanvallers de vorige patch snel wisten te omzeilen. Toen we Microsoft over de kwetsbaarheid rapporteerden hebben we aangegeven dat er actief misbruik van werd gemaakt. We weten niet waarom Microsoft niet meldt dat actief misbruik plaatsvindt", aldus Dustin Childs van ZDI afgelopen dinsdag. Volgens Microsoft gaat het om een "Windows MSHTML platform spoofing kwetsbaarheid". Via het beveiligingslek proberen aanvallers het doelwit een malafide bestand te laten openen dat op een PDF-bestand lijkt, maar in werkelijkheid een MSHTML-bestand is dat via Internet Explorer wordt uitgevoerd, ook al is de browser op het systeem uitgeschakeld, zo werd afgelopen juli al duidelijk. Het malafide bestand is in werkelijkheid malware waarmee allerlei wachtwoorden en inloggegevens worden gestolen, aldus antivirusbedrijf Trend Micro. Microsoft heeft inmiddels het beveiligingsbulletin aangepast en laat weten dat er wel actief misbruik van de kwetsbaarheid wordt gemaakt. In de uitleg stelt het techbedrijf dat CVE-2024-43461 actief werd misbruikt voor juli als onderdeel van een aanvalsketen met betrekking tot CVE-2024-38112. De update die in juli verscheen zorgde ervoor dat de aanval niet meer werkt, aldus Microsoft. Om volledig beschermd te zijn moeten Windowsgebruikers zowel de update van juli als die van afgelopen dinsdag installeren. bron: https://www.security.nl

De Belgische overheid waarschuwt voor een malafide e-mail die afkomstig lijkt van het Centrum voor Cybersecurity België (CCB) en waarin ontvangers worden opgeroepen een virusscanner te installeren. Volgens de e-mail is 'onmiddellijke actie vereist' en moet de ontvanger 'betrouwbare antivirusbescherming' installeren. Daarbij doet de malafide e-mail voorkomen alsof het om een bericht van het CCB gaat. "Er doet momenteel een bericht de ronde dat het logo en de naam van het Centrum voor Cybersecurity België (CCB) misbruikt. In het bericht word je aangemoedigd om een virusscanner te downloaden. Doe dit in geen geval. Het is duidelijk een poging tot phishing. Dit bericht is niet afkomstig van het CCB", zo waarschuwt Safeonweb, dat een initiatief van het Centrum voor Cybersecurity België is. Waar de link naartoe wijst laat het overheidsorgaan niet weten. bron: https://www.security.nl

Microsoft en antivirusbedrijven hebben deze week de weerbaarheid van Windows besproken. Aanleiding was de wereldwijde storing veroorzaakt door de beveiligingssoftware van CrowdStrike. "Zowel onze klanten en ecosysteempartners hebben Microsoft opgeroepen om aanvullende beveiligingsmogelijkheden buiten de kernelmode te bieden", zegt Microsofts David Weston. Beveiligingssoftware en virusscanners draaien met kernelrechten, om zo te voorkomen dat malafide gebruikers met adminrechten of malware de software kunnen uitschakelen. In het geval van een crash of probleem met de beveiligingssoftware heeft dit echter grote gevolgen voor het systeem, omdat een herstart niet mogelijk is zoals bij gebruikersapplicaties mogelijk is. Tijdens het overleg dat deze week plaatsvond werden de vereisten besproken voor het ontwikkelen van een 'nieuw platform' dat tegemoet komt aan de eisen van antivirusbedrijven. Microsoft zegt dat het deze nieuwe platformmogelijkheden zal ontwerpen en ontwikkelen, waarbij de betrouwbaarheid moet worden vergroot, zonder dat dit ten koste van de veiligheid gaat. Exacte details zijn niet gegeven. In een reactie stelt antivirusbedrijf ESET dat het aanpassingen aan het Windows-ecosysteem steunt, als dit voor een meetbaar betere stabiliteit zorgt, zonder dat dit ten koste gaat van veiligheid, prestaties en de mogelijkheid voor klanten om beveiligingssoftware te kiezen. "Het blijft belangrijk dat kerneltoegang mogelijk blijft voor beveiligingsproducten om toekomstige cyberdreigingen te detecteren en blokkeren", aldus de virusbestrijder. bron: https://www.security.nl

Securitybedrijf Fortinet waarschuwt klanten voor een datalek, nadat een aanvaller toegang tot een third-party cloudomgeving wist te krijgen. In deze 'cloud-based shared file drive' stonden gegevens van een 'klein aantal' klanten die door de aanvaller zijn gestolen. Hoe de aanvaller toegang tot de cloudomgeving kon krijgen laat het securitybedrijf niet weten. De aankondiging bevat nauwelijks informatie. Fortinet zegt dat het politie en cyberagentschappen over het datalek heeft ingelicht. De melding van Fortinet volgt op een bericht dat iemand gisteren op een forum plaatste. In het bericht claimt deze persoon dat hij 440 gigabyte aan bestanden uit de Azure SharePoint-omgeving van Fortinet heeft gestolen. Vervolgens zou Fortinet zijn benaderd om in ruil voor de gestolen data losgeld te betalen, wat het bedrijf weigerde. bron: https://www.security.nl

Een kwetsbaarheid in de Windows Installer waar aanvallers actief misbruik van maken bij aanvallen was al sinds januari bij Microsoft bekend. Dat meldt securitybedrijf SEC Consult dat het probleem bij Microsoft op 24 januari meldde. Het techbedrijf kwam afgelopen dinsdag met beveiligingsupdates voor de kwetsbaarheid. Via het beveiligingslek kan een aanvaller die al toegang tot een systeem heeft zijn rechten verhogen en SYSTEM-rechten krijgen. Microsoft meldt in het beveiligingsbulletin dat het bekend is met misbruik van de kwetsbaarheid (CVE-2024-38014), maar geeft geen verdere details over het waargenomen misbruik. Het probleem doet zich voor bij de verwerking van MSI-installers. Het MSI-bestandsformaat maakt het mogelijk om gestandaardiseerde installers te maken waarmee het mogelijk is om software te installeren, verwijderen en repareren. Het installeren en verwijderen van software vereist vaak verhoogde rechten, maar de repareerfunctie voor al geïnstalleerde software kan ook door een gebruiker met lage rechten worden uitgevoerd. De repareerfunctie kan echter met SYSTEM-rechten worden uitgevoerd. Iets waar een aanvaller misbruik van kan maken om zelf SYSTEM-rechten te krijgen, waarmee het systeem volledig kan worden overgenomen. SEC Consult waarschuwde Microsoft zoals gezegd op 24 januari. Op 8 februari bevestigde Microsoft het probleem en liet weten dat het in mei met een beveiligingsupdate zou komen. Deze datum werd vanwege de complexiteit en mogelijk impact van regressies vervolgens verzet naar juli, aldus het securitybedrijf. De beveiligingsupdate werd echter opnieuw uitgesteld, omdat Microsoft meer tijd voor de oplossing nodig had. Afgelopen dinsdag verscheen de patch voor alle ondersteunde Windowsversies. Daarop heeft SEC Consult nu de details openbaar gemaakt. bron: https://www.security.nl

De populaire online DevOps-tool GitLab waarschuwt voor een kritieke kwetsbaarheid waardoor een aanvaller in bepaalde gevallen als willekeurige gebruiker een pipeline kan uitvoeren. De impact van het beveiligingslek (CVE-2024-6678) is op een schaal van 1 tot en met 10 beoordeeld met een 9.9. GitLab roept organisaties op om de beschikbaar gestelde update zo snel mogelijk te installeren. Organisaties kunnen GitLab op hun eigen server of servers installeren. Het probleem is aanwezig in zowel de GitLab Community Edition (CE) als de Enterprise Edition (EE). Via een GitLab pipeline worden verschillende jobs binnen het ontwikkelproces stap voor stap met behulp van geautomatiseerde code uitgevoerd. Wanneer een softwareontwikkelaar nieuwe code aan zijn project op GitLab toevoegt wordt die door de pipeline uitgevoerd, getest en uitgerold. GitLab geeft op dit moment niet veel details over de kwetsbaarheid prijs, behalve dat een aanvaller hierdoor in bepaalde gevallen als een willekeurige gebruiker een pipeline kan uitvoeren. Meer informatie zal het platform over dertig dagen bekendmaken, zoals het met alle kwetsbaarheden doet. Gebruikers van GitLab Community Edition en Enterprise Edition wordt aangeraden te updaten naar versies 17.3.2, 17.2.5 of 17.1.7. bron: https://www.security.nl

Ontwikkelaars van plug-ins en themes voor WordPress die hun creaties via WordPress.org aanbieden worden vanaf volgende maand verplicht om tweefactorauthenticatie (2FA) tijdens het inloggen te gebruiken. Met de maatregel wil WordPress.org naar eigen zeggen het 'WordPress-ecosysteem' beschermen. Aanvallers die toegang tot het account van een ontwikkelaar weten te krijgen kunnen zo malafide code onder miljoenen WordPress-gebruikers verspreiden. Naast de 2FA-verplichting komt WordPress.org ook met SVN-wachtwoorden voor het doorvoeren van aanpassingen aan de code van plug-ins en themes. Ontwikkelaars gebruiken daar nu nog het WordPress.org gebruikersaccount voor. Ook deze maatregel moet als extra bescherming bieden. Het moet het primaire wachtwoord beschermen. Mocht het SVN-wachtwoord worden gecompromitteerd, kan die worden gereset zonder dat het nodig is de inloggegevens voor WordPress.org te wijzigen. bron: https://www.security.nl

Adobe heeft een kritieke kwetsbaarheid Acrobat en Acrobat Reader verholpen waarvoor al maandenlang proof-of-concept (poc) exploitcode beschikbaar is. Het softwarebedrijf is echter niet bekend met misbruik van het beveiligingslek, aangeduid als CVE-2024-41869. Op 23 juni waarschuwde beveiligingsonderzoeker Haifei Li dat zijn sandbox-gebaseerd systeem EXPMON, bij het analyseren van een grote hoeveelheid publieke pdf-bestanden, proof-of-concept exploit voor een kwetsbaarheid in de pdf-lezers van Adobe had gevonden. Via het beveiligingslek zou een aanvaller willekeurige code kunnen uitvoeren. De onderzoeker waarschuwde Adobe, dat op 13 augustus met beveiligingsupdates voor de kwetsbaarheid kwam, toen nog aangeduid als CVE-2024-39383. Een dag later meldde Li dat de kwetsbaarheid nog steeds aanwezig was. Adobe kende het beveiligingslek een nieuw CVE-nummer toe (CVE-2024-41869) en kwam afgelopen dinsdag opnieuw met updates. Li zal binnenkort meer details over de kwetsbaarheid delen en roept gebruikers en organisaties op om de updates te installeren. Het gaat om Acrobat DC en Acrobat Reader DC versie 24.003.20112, Acrobat Classic 2024 versie 24.001.30187, en Acrobat 2020 en Acrobat Reader 2020 versie 20.005.30680. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Ivanti Endpoint Manager maakt het mogelijk voor ongeauthenticeerde aanvallers om servers op afstand over te nemen, wat grote gevolgen voor organisaties kan hebben. Ivanti heeft updates uitgebracht om het probleem te verhelpen. Via Ivanti Endpoint Manager (EPM) kunnen organisaties laptops, smartphones en servers beheren. Dit wordt gedaan door middel van de EPM-server die met een agent op beheerde clients communiceert. De oplossing bevat in totaal zestien kwetsbaarheden, waarvan er tien als kritiek zijn aangemerkt. Negen keer gaat het om een 'ongespecificeerde SQL-Injection', waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 9.1. De meest in het oog springende kwetsbaarheid is CVE-2024-29847, omschreven als 'Deserialization of untrusted data in the agent portal'. De impactscore van dit beveiligingslek is beoordeeld met een 10.0 en maakt het voor ongeauthenticeerde aanvallers mogelijk om op afstand code op de EPM-server uit te voeren. Ivanti meldt dat het niet bekend is met misbruik van de kwetsbaarheden. In het verleden zijn beveiligingslekken in Ivanti-producten geregeld gebruikt bij aanvallen. Organisaties worden onder andere door het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security opgeroepen de updates te installeren. bron: https://www.security.nl

Tijdens de patchdinsdag van september heeft Microsoft vier actief aangevallen kwetsbaarheden verholpen. De beveiligingslekken werden al misbruikt voordat de patches beschikbaar waren. Het gaat om drie kwetsbaarheden in Windows en één in Publisher. De gevaarlijkste kwetsbaarheid betreft remote code execution in Windows Update (CVE-2024-43491). Via dit beveiligingslek is een downgrade-aanval mogelijk waardoor eerder gepatchte kwetsbaarheden weer in het systeem aanwezig komen en te misbruiken zijn. Microsoft benadrukt dat er geen misbruik van CVE-2024-43491 is gemaakt, maar wel van de kwetsbaarheden die via de downgrade-aanval opnieuw geïntroduceerd worden. Verder is opnieuw een Windows Mark-of-the-Web security feature bypass verholpen. Windows kent het Mark-of-the-Web (MOTW) toe aan bestanden die vanaf internet zijn gedownload. Bestanden worden dan van een aparte tag voorzien. Bij het openen van bestanden met een MOTW-tag zal Windows SmartScreen een extra waarschuwing aan gebruikers tonen of ze het bestand echt willen openen, aangezien het van internet afkomstig is. Het beveiligingslek (CVE-2024-38217) zorgt ervoor dat de waarschuwing niet verschijnt. De tweede actief aangevallen security feature bypass van deze maand bevindt zich in Microsoft Publisher (CVE-2024-38226). Via het beveiligingslek kan een aanvaller ingesteld Office-macrobeleid omzeilen dat wordt gebruikt voor het blokkeren van niet-vertrouwde of malafide bestanden. Een aanvaller moet het doelwit wel een malafide Publisher-bestand laten openen om het lek te misbruiken. Vervolgens worden aanwezige malafide macro's automatisch uitgevoerd, ook al staat ingesteld dat die moeten worden geblokkeerd. In het geval van de actief aangevallen kwetsbaarheid in Windows Installer kan een aanvaller die al toegang tot het systeem heeft zijn rechten verhogen (CVE-2024-38014). Een aanvaller kan op deze manier SYSTEM-rechten krijgen. De door Microsoft beschikbaar gestelde beveiligingsupdates zullen op de meeste systemen automatisch worden geïnstalleerd. bron: https://www.security.nl

Mozilla heeft besloten om Firefox voor Windows 7 tot maart 2025 van beveiligingsupdates te voorzien en een verdere verlenging wordt niet uitgesloten. Ook Firefox voor Windows 8 en oudere macOS-versies zullen tot die datum op support kun rekenen. Begin juli had Mozilla laten weten dat Firefox 115 ESR, waarvan de laatste versie vorige week verscheen, ook de laatste ondersteunde versie zou zijn. Firefox ESR 115-gebruikers op moderne Windows- en macOS-versies zullen volgende maand automatisch naar Firefox ESR 128.3 gaan. Voor gebruikers van de oudere Windows- en macOS-versies is nu besloten om Firefox ESR 115 langer te blijven ondersteunen. De laatste versie, Firefox 115.21, zal op 4 maart 2025 verschijnen. Mozilla sluit een langere ondersteuningsperiode echter niet uit. Volgens cijfers van Mozilla draait negen procent van alle Firefox-gebruikers nog op Windows 7. bron: https://www.security.nl

Een kritieke kwetsbaarheid in de firewalls van SonicWall wordt gebruikt bij ransomware-aanvallen, zo stellen verschillende securitybedrijven. De kwetsbaarheid (CVE-2024-40766) is aanwezig in de management acces- en SSLVPN-feature van SonicOS, het besturingssysteem dat op de firewalls van SonicWall draait. Via het beveiligingslek kan een aanvaller ongeautoriseerde toegang tot resources krijgen of de firewall laten crashen. Onlangs liet SonicWall weten dat aanvallers actief misbruik van het beveiligingslek maken. Zowel securitybedrijf Rapid7 als Arctic Wolf melden dat het hierbij ook om ransomware-aanvallen gaat. Bij de aanvallen weten de aanvallers SSLVPN-accounts op de SonicWall-firewalls te compromitteren. Bij de waargenomen aanvallen ging het om lokale accounts die werden gecompromitteerd en waarvoor multifactorauthenticatie (MFA) was uitgeschakeld. SonicWall heeft updates voor het probleem beschikbaar gemaakt en organisaties worden opgeroepen die te installeren. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security waarschuwt ook voor actief misbruik en heeft federale overheidsinstanties die van SonicWall gebruikmaken opgedragen de update voor 30 september te installeren. bron: https://www.security.nl

De Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert, heeft vandaag de gegevens van domeinnaamhouders via de Whois op Sidn.nl gelekt. Dit is de zoekfunctie op Sidn.nl waarmee informatie over een domeinnaam is op te zoeken. Gegevens van zakelijke domeinnaamhouders zijn openbaar, gegevens van particuliere domeinnaamhouders mogen niet gepubliceerd worden. "Tijdens het onderhoud zijn webservers vervangen. Hiervoor zijn nieuwe verbindingen gelegd, waarbij een fout is gemaakt. De nieuwe machines hadden onbedoeld meer toegang. Hierdoor waren in de Whois meer registratiegegevens van de betrokken domeinnaamhouder zichtbaar", aldus een verklaring van SIDN. De gelekte gegevens bestaan uit naam, adresgegevens, e-mailadres en telefoonnummer van de houder. "Deze gegevens horen alleen zichtbaar te zijn voor de beherende registrar en SIDN", legt de stichting uit. Er is inmiddels een onderzoek gestart naar de exacte impact. SIDN zegt maatregelen te treffen om een dergelijk datalek in de toekomst te voorkomen. Daarnaast zal er melding worden gedaan bij de Autoriteit Persoonsgegevens. bron: https://www.security.nl

Zo'n 38.000 ip-camera's van fabrikant AVTech die end-of-life zijn, en daardoor geen beveiligingsupdates meer ontvangen, zijn vanaf internet benaderbaar. Dat stelt securitybedrijf Censys. Eind augustus werd bekend dat ip-camera's van AVTech al sinds maart via een kwetsbaarheid met malware worden besmet en zo onderdeel van een botnet worden dat ddos-aanvallen uitvoert. De kwetsbaarheid wordt aangeduid als CVE-2024-7029. Proof of concept (PoC) exploitcode om misbruik van het beveiligingslek te maken is al sinds 2019 openbaar. Tot deze maand had de kwetsbaarheid nog geen CVE-nummer toegekend gekregen. Via de kwetsbaarheid kan een aanvaller op afstand willekeurige code op ip-camera's van AV-Tech uitvoeren. Volgens internetbedrijf Akamai gaat het onder andere om de AVM1203, die niet meer door AVTech wordt ondersteund. Voor deze camera zal dan ook geen update verschijnen en gebruikers doen er verstandig aan om het apparaat te vervangen, aldus het internetbedrijf. Censys voerde een online scan uit en detecteerde 38.000 AVTech-camera's. "Niet al deze camera's zijn per definitie kwetsbaar voor deze CVE, maar het zijn allemaal end-of-life producten die niet blootgesteld aan internet zouden moeten zijn", zo stellen de onderzoekers. bron: https://www.security.nl

De makers van Tor Browser overwegen om user agent spoofing standaard uit te schakelen, zo hebben ze aangekondigd. Tor Browser wordt dagelijks door miljoenen mensen gebruikt die hun ip-adres willen afschermen, privacy beschermen en overheidscensuur omzeilen. De user agent die een browser standaard naar websites verstuurt bevat allerlei informatie over het systeem van de gebruiker. Tor Browser spooft de user agent om te voorkomen dat websites of malafide exitnodes het besturingssysteem van de gebruiker kunnen achterhalen. Het Tor Project, de ontwikkelaars van Tor Browser, hebben nu een optie aan een testversie van de browser toegevoegd waardoor de user agent niet meer wordt gespooft en overwegen om die standaard in te schakelen. Tor Browser zal dan aan websites doorgeven wat voor soort besturingssysteem iemand gebruikt (Windows, macOS, Linux of Android). De reden hiervoor is dat het spoofen van de user agent ervoor kan zorgen dat websites niet goed werken. Daarnaast zou de meerwaarde beperkt zijn. Er zijn allerlei andere manieren om gebruikers te tracken en de spoofingfeature werkt alleen als JavaScript staat uitgeschakeld. Verder zou de HTTPS-Only mode van Tor Browser het passief sniffen van http-verkeer op user agents ook beperken. Het Tor Project is dan ook benieuwd wat gebruikers en 'domeinexperts' ervan vinden om het spoofen uit te schakelen en vraagt om feedback. Het is dan ook nog niet bekend of en wanneer het spoofen wordt uitgeschakeld. bron: https://www.security.nl

Beste Annemie, Aangezien je het probleem zelf ook hebt maar, zoals je aan geeft, op meerdere pc's, wil ik je vragen een eigen nieuw topic te starten met deze hulpvraag. Zo zien onze helpers je vraag en kunnen ze kijken of ze je verder kunnen helpen. Nu staat je vraag in het topic van iemand anders en wordt jouw hulpvraag soms over het hoofd gezien

SonicWall waarschuwt organisaties voor actief misbruik van een kritieke kwetsbaarheid in de firewalls die het levert. Organisaties worden opgeroepen de eind augustus beschikbaar gestelde beveiligingsupdates zo snel mogelijk te installeren. Het beveiligingsbulletin is vandaag door het bedrijf bijgewerkt, waarin SonicWall niet alleen meldt dat er actief misbruik plaatsvindt, maar ook dat de SSLVPN-functionaliteit een mogelijke 'point of impact' is. De kwetsbaarheid (CVE-2024-40766) is aanwezig in SonicOS, het besturingssysteem dat op de firewalls van SonicWall draait. Via het beveiligingslek kan een aanvaller ongeautoriseerde toegang tot resources krijgen of de firewall laten crashen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. Verdere details over de aanvallen zijn niet gegeven. Kort na het uitkomen van het beveiligingsbulletin gaf SonicWall het advies aan SSLVPN-gebruikers met lokale accounts om hun wachtwoorden te wijzigen en multifactorauthenticatie (MFA) in te schakelen. bron: https://www.security.nl

Nieuw Sociaal Contract (NSC) en GroenLinks-PvdA willen opheldering van minister Van Weel van Justitie en Veiligheid over de terugkeer van het onderwerp chatcontrole op de Europese agenda, zoals Security.NL afgelopen zondag berichtte. Kamerleden Six-Dijkstra (NSC) en Kathmann (GL-PvdA) willen onder andere van de minister weten wat het standpunt van het kabinet is ten aanzien van dit voorstel en van overige maatregelen van chatcontrole waarbij end-to-end en generiek verzwakt of omzeild wordt. De Europese Commissie kwam een aantal jaar geleden met het plan om alle chatberichten van burgers te controleren. Europese wetgeving vindt plaats via een trialoog, waarbij de Europese Commissie, het Europees Parlement en de Raad van Ministers onderhandelen over wetgevende voorstellen. Het Europees Parlement zag het voorstel van de Europese Commissie voor chatcontrole niet zitten en kwam met een eigen voorstel, waar nog steeds kritiek op is, maar wat end-to-end versleutelde diensten uitzondert. Eind juni wilde toenmalig EU-voorzitter België binnen de Raad over een eigen versie van het plan stemmen. België had een voorstel bedacht waardoor "hoog risicovolle" chatdiensten zouden worden verplicht om overheidssoftware toe te voegen waarmee alle berichten van Europese gebruikers worden geïnspecteerd. Dit kreeg de naam "upload moderation". Gebruikers die niet met de controle akkoord zouden gaan zouden dan geen foto's, video en url's meer via de betreffende chatapp kunnen versturen. De stemmig werd geschrapt omdat er niet voldoende voorstemmers waren. Deze week stond er een overleg van de Raad van de Europese Unie gepland waar het onderwerp weer op de agenda stond. "Is u bekend wanneer dit voorstel in de Raad besproken en in stemming gebracht zal worden?", willen de Kamerleden verder weten. De minister moet ook duidelijk maken hoe het kabinetsstandpunt zich verhoudt tot het recht op eerbiediging van de persoonlijke levenssfeer en het recht op eerbiediging van het telecommunicatiegeheim, zoals in de Grondwet is opgenomen. "Hoe verhoudt het kabinetsstandpunt zich tot het standpunt van het Europees Hof voor de Rechten van de Mens, namelijk: “Wetten en wetsvoorstellen waarbij chatdiensten worden verplicht om toegang tot end-to-end versleutelde data te geven, wat kan leiden tot het verzwakken van encryptie, is niet proportioneel en heeft geen plaats in een democratische samenleving”?", vragen Kathmann en Six-Dijkstra verder. Als laatste willen ze weten hoe het kabinetsstandpunt zich verhoudt tot het proportionaliteitsbeginsel. Minister Van Weel heeft drie weken om met een reactie te komen. bron: https://www.security.nl