Captain Kirk

Miljoenen WordPress-sites lopen door een kritieke kwetsbaarheid in de plug-in LiteSpeed Cache het risico op aanvallen. Een update is beschikbaar, maar die is door de meeste websites nog niet geïnstalleerd. Onlangs werd een ander kritiek beveiligingslek in de plug-in actief gebruikt voor het aanvallen van WordPress-sites. Securitybedrijf Patchstack verwacht ook dat de nieuwste kritieke kwetsbaarheid op grote schaal zal worden misbruikt. De impact van het lek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. LiteSpeed Cache is een plug-in die ervoor moet zorgen dat WordPress-sites sneller worden geladen. Meer dan zes miljoen websites maken er gebruik van. Een 'cookie leak' kwetsbaarheid (CVE-2024-44000) zorgt ervoor dat een ongeauthenticeerde aanvaller admin-accounts kan overnemen. Vervolgens is het mogelijk om malafide plug-ins te installeren. De kwetsbaarheid is alleen te misbruiken als de 'debug log feature' is ingeschakeld, of ooit ingeschakeld is geweest, en het /wp-content/debug.log niet is verwijderd. Wanneer een aanvaller dit bestand kan benaderen is het mogelijk om sessioncookies te stelen van gebruikers die zijn of waren ingelogd. Gisteren verscheen versie 6.5.0.1 van LiteSpeed Cache waarin het probleem is opgelost. Op het moment van schrijven is deze versie volgens cijfers van WordPress.org door 1,2 miljoen websites geïnstalleerd, wat inhoudt dat een groot aantal WordPress-sites nog kwetsbaar is. Volgens WordPress.org maakt het grootste deel van de websites nog gebruik van versie 6.4.x. bron: https://www.security.nl

Microsoft gaat het Windows Common Log Filesystem (CLFS) beter beveiligen, om zo misbruik door aanvallers te voorkomen, zo heeft het techbedrijf aangekondigd. Het CLFS is een Windowsonderdeel dat wordt gebruikt voor logging. Applicaties die logbestanden willen opslaan kunnen er gebruik van maken. In de afgelopen vijf jaar zijn er 24 kwetsbaarheden in CLFS ontdekt. Meerdere daarvan werden actief misbruikt voordat een update van Microsoft beschikbaar was en voor andere verschenen allerlei exploits. Het gaat hier om 'Elevation of Privilege' kwetsbaarheden, waardoor een aanvaller met toegang tot het systeem zijn rechten kan verhogen. Volgens Microsoft is het lastig om alle data in een logbestand goed te valideren. Een aanvaller kan hier misbruik van maken door een malafide logbestand te maken of een bestaand logbestand te corrumperen en die bestanden vervolgens door het Common Log Filesystem te laten verwerken, om zo SYSTEM-rechten te krijgen. Om dergelijke aanvallen te voorkomen heeft Microsoft nu een oplossing bedacht. In plaats van individuele waardes in een logbestand te valideren, zal CLFS straks detecteren of logbestanden zijn aangepast door iets anders dan de CLFS-driver. Hiervoor zal er gebruik worden gemaakt van Hash-based Message Authentication Codes (HMAC), die aan het einde van het logbestand worden toegevoegd. "Net zoals je de integriteit zou controleren van een bestand dat je downloadt van het internet door de hash of checksum te controleren, kan CLFS de integriteit van logbestanden valideren door de HMAC te berekenen en die te vergelijken met de HMAC opgeslagen in het logbestand. Zolang de aanvaller de encryptiesleutel niet kent, heeft die niet de informatie om een geldige HMAC te produceren die CLFS zal accepteren", legt Microsoft uit. Alleen CLFS en administrators op het systeem hebben toegang tot de sleutel. De nieuwe CLFS-versie komt als eerste beschikbaar in het Windows Insiders Canary channel. Daarbij zal CLFS oude logbestanden naar het nieuwe format overzetten. bron: https://www.security.nl

Cisco waarschuwt organisaties voor een kritieke kwetsbaarheid in de Smart Licensing Utility waardoor een ongeauthenticeerde aanvaller op afstand kan inloggen. Het probleem wordt veroorzaakt door een ongedocumenteerd hardcoded admin-wachtwoord, zo laat het bedrijf in een beveiligingsbulletin weten. Via de Smart Licensing Utility kunnen organisaties hun Cisco-licenties en bijbehorende producten beheren. "De kwetsbaarheid wordt veroorzaakt door een ongedocumenteerd statisch wachtwoord voor een admin-account", legt Cisco uit. Via het hardcoded wachtwoord kan een aanvaller op de applicatie inloggen. Dit kan via de API van de Cisco Smart Licensing Utility applicatie. De impact van de kwetsbaarheid (CVE-2024-20439) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Daarnaast heeft Cisco ook een andere kwetsbaarheid (CVE-2024-20440) met een zelfde impactscore verholpen. Dit beveiligingslek wordt veroorzaakt door 'excessive verbosity' in een debug logbestand. Een aanvaller kan naar een kwetsbaar systeem een speciaal geprepareerd http-request sturen, om zo logbestanden in handen te krijgen die gevoelige data bevatten, waaronder inloggegevens waarmee er toegang tot de API van de applicatie kan worden verkregen. Cisco zegt niet met misbruik van de kwetsbaarheden bekend te zijn. bron: https://www.security.nl

Verschillende modellen YubiKeys van fabrikant Yubico zijn kwetsbaar voor een side-channel-aanval waardoor een aanvaller private keys kan stelen en een kloon kan maken. Yubico heeft nieuwe versies uitgebracht om het probleem te verhelpen. Omdat de firmware van YubiKeys niet is te updaten, blijven oude versies permanent kwetsbaar. Volgens de fabrikant zou misbruik onderdeel van een 'geraffineerde en gerichte aanval' moeten zijn en moet een aanvaller fysieke toegang tot de YubiKey hebben. YubiKeys zijn fysieke beveiligingssleutels waarmee gebruikers op hun accounts kunnen inloggen. Een kwetsbare cryptolibrary in de Infineon security microcontroller waar de sleutels gebruik van maken, maakt het mogelijk om via een side-channel-aanval de ECDSA secret key te achterhalen, aldus de onderzoekers van NinjaLab die het probleem ontdekten (pdf). Ze stellen dat hiervoor een paar minuten genoeg is. De kwetsbaarheid is al veertien jaar in de aanwezige library aanwezig, zo laten ze verder weten. Het uitvoeren van de aanval zou zo'n 10.000 euro aan materiaal kosten. Bij een side-channel-aanval weet een aanvaller door alleen de werking van een apparaat, protocol of algoritme vertrouwelijke informatie af te leiden. In dit geval is de side-channel de hoeveelheid tijd die nodig is voor een wiskundige berekening, ook bekend als 'modular inversion'. De cryptolibrary van Infineon maakt geen gebruik van een bekende side-channel-verdediging genaamd constant time. Deze maatregel zorgt ervoor dat de berekeningstijd niet afhankelijk is van de invoer. De kwetsbaarheid is aanwezig in YubiKey 5, YubiKey 5 FIPS, YubiKey 5 CSPN, YubiKey Bio, Security Key, YubiHSM 2 en YubiHSM 2 FIPS. NinjaLab informeerde Yubico op 19 april over het probleem. Op 21 mei verscheen YubiKey 5.7 waarin het probleem is verholpen. Afgelopen maandag kwam YubiHSM 2.4 uit, waarop gisteren het beveiligingsbulletin van Yubico verscheen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 4.9. bron: https://www.security.nl

D-Link heeft eigenaren van een DIR-846W wifi-router opgeroepen om het apparaat te vervangen, aangezien dit een risico voor aangesloten apparatuur kan zijn. De router bevat verschillende kritieke kwetsbaarheden waardoor het apparaat op afstand is over te nemen. Aangezien de DIR-846W al vier jaar end-of-life is zullen er geen updates verschijnen om de beveiligingslekken te verhelpen. Hoewel de router al sinds begin 2020 niet meer wordt ondersteund bracht D-Link onlangs wel een beveiligingsbulletin voor de DIR-846W uit. Daarin wordt gewaarschuwd voor vier kwetsbaarheden, waaronder twee die als kritiek zijn aangemerkt (CVE-2024-44341 en CVE-2024-44342). Via deze twee beveiligingslekken kan een aanvaller op afstand OS-commando's op het apparaat uitvoeren. De impact van de twee kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Aangezien de router niet meer met beveiligingsupdates wordt ondersteund raadt D-Link'ten zeerste' aan om die te vervangen en waarschuwt dat verder gebruik van het product risico's met zich meebrengt voor apparaten die ermee verbonden zijn. bron: https://www.security.nl

Zyxel waarschuwt eigenaren van verschillende accesspoints en een 'security router' voor een kritieke kwetsbaarheid waardoor de apparaten op afstand door een ongeauthenticeerde aanvaller zijn over te nemen. De enige vereiste is dat een aanvaller het apparaat kan benaderen. Vervolgens is het mogelijk om via het versturen van een speciaal geprepareerd cookie willekeurige OS-commando's op het apparaat uit te voeren. De impact van de kwetsbaarheid (CVE-2024-7261) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het probleem raakt in totaal 28 verschillende modellen accesspoints, alsmede de USG LITE 60AX 'security router'. Zyxel heeft firmware-updates beschikbaar gemaakt om het probleem te verhelpen. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke path traversal-kwetsbaarheid in Kingsoft WPS Office, waardoor een aanvaller malafide code op het systeem van de gebruiker kan uitvoeren. Alleen het openen van een malafide document met een kwetsbare versie is hiervoor voldoende. Vorige week waarschuwde antivirusbedrijf ESET al voor misbruik van het beveiligingslek, aangeduid als CVE-2024-7262. Dat vond plaats voordat een beveiligingsupdate beschikbaar was. Ontwikkelaar Kingsoft kwam volgens ESET in maart met een patch die het probleem 'stilletjes' had moeten verhelpen, maar die bood geen volledige oplossing, waardoor de kwetsbare code nog steeds was te misbruiken. Vervolgens kwam de ontwikkelaar met een tweede update om de kwetsbaarheid echt op te lossen. WPS Office is vooral in Azië zeer populaire kantoorsoftware, vergelijkbaar met Microsoft Office. Volgens ESET liet ontwikkelaar Kingsoft weten dat het geen interesse had om klanten te waarschuwen dat aanvallers actief misbruik maken van CVE-2024-7262, waarop de virusbestrijder naar eigen zeggen met een blogposting kwam om klanten op die manier te waarschuwen. Op de website van WPS Office is geen enkele melding over het CVE-nummer te vinden. Nu waarschuwt ook het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security dat aanvallers actief misbruik van de kwetsbaarheid maken. Het cyberagentschap heeft Amerikaanse overheidsinstanties die met de software werken opgedragen de update voor 24 september te installeren. Kingsoft claimt dat WPS Office meer dan tweehonderd miljoen gebruikers heeft. bron: https://www.security.nl

Mozilla heeft een nieuwe versie van Firefox gelanceerd met een 'AI Chatbot feature'. Via de optie kunnen gebruikers een chatbot naar keuze aan de browser toevoegen die dan via de sidebar van de browser snel toegankelijk is, aldus de uitleg van de Firefox-ontwikkelaar. Gebruikers kunnen op dit moment kiezen uit de chatbots: Anthropic Claude, ChatGPT, Google Gemini, HuggingChat en Le Chat Mistral. De ingestelde chatbot is vervolgens via de sidebar te gebruiken om bijvoorbeeld informatie op webpagina's samen te vatten of teksten te vereenvoudigen. Mozilla liet eerder al weten dat het nieuwe AI-chatbots als keuzeoptie zal toevoegen als die aan de eisen voor 'kwaliteit en gebruikerservaring' voldoen. De 'AI Chatbot feature' staat standaard uitgeschakeld. Verder zijn met Firefox 130 ook verschillende kwetsbaarheden verholpen. Updaten naar de nieuwe versie kan via de automatische updatefunctie of Mozilla.org. bron: https://www.security.nl

Opnieuw zijn WhatsUp Gold-servers het doelwit van aanvallen, waarbij aanvallers nu een kritieke SQL Injection-kwetsbaarheid gebruiken. Onlangs werden dergelijke systemen aangevallen via een kritiek path traversal-lek. Dat meldt. The Shadowserver Foundation, een stichting die zich bezighoudt met de bestrijding van cybercrime en geregeld scans op internet uitvoert naar kwetsbare systemen. Via WhatsUp Gold kunnen organisaties hun netwerken monitoren en beheren. De oplossing biedt inzicht in netwerkapparatuur, servers, applicaties en verkeer. Op 16 augustus kwam ontwikkelaar Progress met beveiligingsupdates voor kritieke kwetsbaarheden in de oplossing. Het gaat onder andere om CVE-2024-6670, een kritieke SQL Injection-kwetsbaarheid waardoor een ongeauthenticeerde aanvaller het versleutelde wachtwoord van een gebruiker kan stelen, aldus het beveiligingsbulletin. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Een aanvaller kan zo de authenticatie omzeilen en uiteindelijk willekeurige code op de server uitvoeren, aldus onderzoeker Manish Kishan Tanwar die het probleem ontdekte en op 22 mei rapporteerde. Volgens Progress is de aanval alleen mogelijk wanneer de applicatie met één gebruiker is geconfigureerd. Vorige week maakte Tanwar details en proof-of-concept exploitcode voor de kwetsbaarheid openbaar. Vandaag meldt The Shadowserver Foundation dat het de eerste aanvallen via het beveiligingslek heeft waargenomen. Organisaties worden dan ook opgeroepen de update te installeren mocht dat nog niet zijn gedaan. bron: https://www.security.nl

Microsoft heeft opnieuw gewaarschuwd voor een groep die op grote schaal password spray-aanvallen uitvoert. De groep, die door Microsoft 'Peach Sandstorm' wordt genoemd, is volgens het techbedrijf verantwoordelijk voor aanvallen op duizenden organisaties. Password spraying is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen gebruikt een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. "In tegenstelling tot bruteforce-aanvallen, waarbij een enkel account met veel wachtwoorden wordt bestookt, helpen password spray-aanvallen aanvallers om hun kans op succes te vergroten en de kans op automatische lock-outs te verkleinen", aldus Microsoft. Vaak wordt er ook vanaf allerlei verschillende ip-adressen ingelogd. Zodra het de aanvallers lukt om op een account in te loggen, maken ze gebruik van zowel publiek beschikbare als zelfontwikkelde tools om het netwerk van de organisatie verder te verkennen, daar toegang toe te behouden en zich lateraal naar andere machines te bewegen. Vorig jaar september kwam Microsoft ook al met een waarschuwing voor de groep. In april en mei van dit jaar zag Microsoft password spray-aanvallen tegen organisaties in de defensie-, ruimte-, onderwijs- en overheidssector in de Verenigde Staten en Australië. Daarbij maakte de groep, net als bij andere aanvallen, gebruik van de “go-http-client” user agent, aldus Microsoft. In het geval van een succesvolle aanval adviseert Microsoft naast het resetten van wachtwoorden ook het intrekken van session cookies, alsmede het ongedaan maken van MFA-aanpassingen die de aanvallers bij gecompromitteerde accounts doorvoerden. Verder moeten organisaties onveilige wachtwoorden weren en is het verstandig om bij accounts met hogere rechten die het doelwit waren een onderzoek uit te voeren. bron: https://www.security.nl

Meer dan honderdduizend websites lopen door een kritieke kwetsbaarheid in een gebruikte plug-in het risico om te worden aangevallen en een beveiligingsupdate is niet beschikbaar. Volgens securitybedrijf Patchstack gaat het om een zeer gevaarlijke kwetsbaarheid en zal het naar verwachting op grote schaal door criminelen worden misbruikt. Het beveiligingslek is aanwezig in TI WooCommerce Wishlist waarmee webshops klanten de optie kunnen bieden om producten op een wishlist te plaatsen, zodat die op een later moment zijn aan te schaffen. WooCommerce is een plug-in om van WordPress-sites een webwinkel te maken. De plug-in is op meer dan zeven miljoen WordPress-sites geïnstalleerd. Voor WooCommerce zijn ook weer allerlei plug-ins beschikbaar, waaronder de Wishlist-plug-in. Volgens cijfers van WordPress.org maken meer dan honderdduizend websites gebruik van de plug-in. Die blijkt gebruikersinvoer niet goed te escapen, waardoor voor ongeauthenticeerde aanvallers SQL-Injection mogelijk is. Een aanvaller kan zo bijvoorbeeld de inhoud van de database stelen of andere aanvallen uitvoeren. Patchstack heeft de impact van de kwetsbaarheid op een schaal van 1 tot en met 10 beoordeeld met een 9.3. Securitybedrijf Wordfence hanteert een impactscore van 9.8. De ontwikkelaar van de plug-in heeft geen update beschikbaar gesteld, waardoor alle websites die van de plug-in gebruikmaken risico lopen. bron: https://www.security.nl

Google heeft de beloning voor kwetsbaarheden in Chrome waardoor remote code execution (RCE) mogelijk is verhoogd naar meer dan 250.000 dollar. Eerder bedroeg dit nog meer dan 40.000 dollar. Het beloningsprogramma van het techbedrijf werkt met verschillende staffels. Zo werd een 'Sandbox escape / Memory corruption in a non-sandboxed process' eerder nog beloond met maximaal 40.000 dollar, afhankelijk van de kwaliteit van de bugmelding en meegeleverde exploit. Afhankelijk voor de voorwaarden dat misbruik mogelijk was, kon ook de beloning voor 'Renderer RCE' worden toegevoegd, die maximaal 15.000 dollar bedroeg. Google laat nu weten dat het met hogere beloningen "dieper onderzoek" wil belonen, waarbij er meer nadruk ligt op kritieke kwetsbaarheden waardoor een aanvaller code op systemen kan uitvoeren. De categorie 'Sandbox escape / Memory corruption / RCE in a non-sandboxed process' is goed voor een beloning van 250.000 dollar. Als de remote code execution in een niet-gesandboxt proces mogelijk is zonder eerst de renderer te compromitteren, wordt ook de 'Renderer RCE' beloning toegevoegd. Die bedraagt maximaal 55.000 dollar, wederom afhankelijk van de kwaliteit van de bugmelding. Vorig jaar keerde Google in totaal 2,1 miljoen dollar uit voor gerapporteerde Chrome-kwetsbaarheden. Het bedrag ging naar 359 unieke bugmeldingen. bron: https://www.security.nl

De makers van chatsoftware Pidgin waarschuwen voor een malafide plug-in die via de officiële website werd geadverteerd en een keylogger bevatte. Ook maakte de 'ss-otr' plug-in screenshots en stuurt die samen met onderschepte inloggegevens naar derden. Pidgin biedt een pagina met daarop third-party plug-ins die volgens de omschrijving zijn ontwikkeld door 'trusted authors'. De malafide plug-in werd op 6 juli aan het overzicht op Pidgin.im toegevoegd. Op 16 augustus kregen de Pidgin-ontwikkelaars een melding dat er een keylogger in de plug-in aanwezig was en die screenshots maakte. Daarop werd de plug-in 'stilletjes' van de pagina verwijderd en een onderzoek gestart. Vorige week kon worden bevestigd dat er inderdaad een keylogger in de plug-in aanwezig is. Volgens de Pidgin-ontwikkelaars werd de keylogger niet opgemerkt omdat de plug-in geen broncode verstrekte, maar alleen binaries om te downloaden. Voortaan wordt voor alle plug-ins verplicht dat ze een link naar een OSI Approved Open Source License hebben en er enige due diligence is verricht om te verifiëren dat de plug-in veilig voor gebruikers is. Pidgin adviseert gebruikers die de malafide plug-in hebben geïnstalleerd om die meteen te verwijderen. bron: https://www.security.nl

Internetproviders en managed serviceproviders zijn sinds juni het doelwit van aanvallen waarbij een kwetsbaarheid in Versa Director wordt gebruikt om malware te installeren waarmee inloggegevens van klanten kunnen worden gestolen, zo stelt securitybedrijf Lumen. Versa kwam gisteren met een beveiligingsbulletin waarin het voor de kwetsbaarheid waarschuwt. Vorige week waarschuwde de Amerikaanse overheid al voor actief misbruik van het lek. Versa Director is een platform dat wordt gebruikt om netwerkconfiguraties te beheren van clients die de SD-WAN software van Versa gebruiken. Het wordt vooral gebruikt door internetproviders en managed serviceproviders. Een kwetsbaarheid in het product (CVE-2024-39717) maakt het mogelijk voor een aanvaller met adminrechten om malafide bestanden naar de server te uploaden. Bij de aanvallen die Lumen waarnam werd via het beveiligingslek een webshell geïnstalleerd. Via een webshell kunnen aanvallers toegang tot een gecompromitteerde server behouden en verdere aanvallen uitvoeren. In dit geval bleek dat het primaire doel van de webshell was om inloggegevens te onderscheppen, waarmee het mogelijk was om als geauthenticeerde gebruiker toegang tot de netwerken van downstream klanten te krijgen. De gegevens worden in plaintext onderschept als klanten ze invoeren, aldus de uitleg van Lumen. "Eenmaal geïnjecteerd kaapt de webshell de authenticatiefunctie van Versa, waardoor aanvallers passief inloggegevens in plaintext kunnen onderscheppen, waardoor het mogelijk wordt om de downstream infrastructuur van klanten via legitieme inloggegevens te compromitteren", zo stelt het securitybedrijf. Dat zegt dat het bij vijf internetproviders en managed serviceproviders de malware heeft aangetroffen, maar geeft geen namen. De aanvallen werden begin deze maand nog waargenomen. Er zijn meerdere Indicators of Compromise gepubliceerd waarmee organisaties kunnen kijken of ze gecompromitteerd zijn. bron: https://www.security.nl

Een kritieke kwetsbaarheid in WPML, een plug-in voor WordPress-sites met meer dan één miljoen installaties, maakt het mogelijk om kwetsbare websites op afstand over te nemen. De impact van de kwetsbaarheid (CVE-2024-6386) is op een schaal van 1 tot en met 10 beoordeeld met een 9.9. Op 20 augustus is een update voor de plug-in verschenen en nu zijn de details van de kwetsbaarheid openbaar gemaakt. WPML is een plug-in die WordPress-sites meertalig maakt. Meer dan één miljoen websites maken er gebruik van. Door onvoldoende invoervalidatie is server-side template injection mogelijk, wat kan leiden tot remote code execution. Daarmee is het mogelijk om de website volledig over te nemen, aldus securitybedrijf Wordfence. Om misbruik van de aanval te maken moet een aanvaller wel geauthenticeerde toegang tot de post editor hebben. Wordfence zegt dat het de ontwikkelaar van de plug-in op 27 juni informeerde. Er kwam geen reactie, waarop op 7 juli een tweede poging werd gedaan. Wederom kwam er geen reactie, waarop op 29 juli een derde poging volgde. Uiteindelijk verscheen op 20 augustus versie 4.6.13 waarin het probleem is verholpen. WPML is een betaalde plug-in, er zijn dan ook geen cijfers beschikbaar van het aantal installaties dat is bijgewerkt of niet, zoals bij plug-ins het geval is die direct via WordPress.org worden aangeboden. Beheerders krijgen het advies om zo snel mogelijk te updaten. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kwetsbaarheid in Chrome waar op 21 augustus een update voor verscheen. Het beveiligingslek, aangeduid als CVE-2024-7965, bevindt zich in V8, de JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript. Het afgelopen jaar zijn er al meerdere actief aangevallen kwetsbaarheden in V8 gevonden en gepatcht. Op 21 augustus kwam Google met updates voor Chrome die een actief aangevallen V8-kwetsbaarheid verhielpen met het CVE-nummer CVE-2024-7971. Gisterenavond heeft Google het beveiligingsbulletin bijgewerkt en laat nu weten dat aanvallers ook misbruik van CVE-2024-7965 maken. Dit werd na het uitkomen van de updates bij Google gemeld. Details over de aanvallen zijn niet gegeven. De impact van beide kwetsbaarheden is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Beide kwetsbaarheden zijn verholpen in Google Chrome 128.0.6613.84/.85 voor macOS en Windows. Voor Linux is versie 128.0.6613.84 verschenen. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is de update waarmee beide beveiligingslekken zijn verholpen op 22 augustus uitgekomen. bron: https://www.security.nl

Een kritieke kwetsbaarheid in het besturingssysteem dat op firewalls van fabrikant SonicWall draait maakt het mogelijk voor aanvallers om de apparaten of stand aan te vallen. SonicWall heeft beveiligingsupdates uitgebracht om het probleem te verhelpen. Via het beveiligingslek in SonicOS, aangeduid als CVE-2024-40766, kan een aanvaller ongeautoriseerde toegang tot resources krijgen of de firewall laten crashen. Verdere details zijn niet door SonicWall gegeven, behalve dat het een 'improper access control' kwetsbaarheid betreft. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. Als workaround wordt aangeraden om toegang tot het firewall management te beperken tot alleen vertrouwde bronnen of toegang vanaf het internet tot het firewall WAN management uit te schakelen. bron: https://www.security.nl

Ik heb jaren met Pinnacle gewerkt en had toen ook al last van dit probleem. Wanneer je een beetje Google-t, kom je op meerdere fora mensen met dit probleem tegen. Er worden wel wat mogelijke oplossingen besproken, maar deze helpen niet of maar een beetje. Het lijkt een vaak voorkomend probleem te zijn waar niet echt een oplossing voor is. Ik hoop dat je de licentiesleutel weer naar voren kunt toveren en dat dan een nieuwe installatie wel het probleem voor je op zal lossen. Hou ons op de hoogte.

De criminelen achter de Qilin-ransomware stelen bij aangevallen bedrijven en organisaties wachtwoorden van besmette machines. Het gaat dan specifiek om inloggegevens die door medewerkers in Google Chrome zijn opgeslagen. Dat laat antivirusbedrijf Sophos weten. De virusbestrijder roept op om geen wachtwoorden in de browser op te slaan en een aparte wachtwoordmanager te gebruiken. Net als veel andere ransomwaregroepen steelt ook de Qilin-groep eerst allerlei data van organisaties, voordat systemen worden versleuteld. Onlangs onderzocht Sophos een aanval op een organisatie. De aanvallers hadden door middel van gecompromitteerde VPN-inloggegevens toegang tot de organisatie gekregen. De niet nader genoemde VPN-oplossing maakte geen gebruik van multifactorauthenticatie. Nadat de aanvallers toegang hadden voerden ze een script uit waarmee van alle op het netwerk aangesloten machines de in Google Chrome opgeslagen wachtwoorden werden gestolen. Hierna werden alle hierbij gebruikte bestanden en event logs van zowel de domeincontroller als besmette machines verwijderd. Volgens het antivirusbedrijf werd dit gedaan om het lastiger te maken om de omvang van de datadiefstal te bepalen. Nadat het bewijs was verwijderd werden op de systemen alle bestanden versleuteld en de 'ransom note' achtergelaten. "Een dergelijke succesvolle aanval houdt in dat verdedigers niet alleen alle Active Directory-wachtwoorden moeten wijzigen, maar ook (in theorie) eindgebruikers moeten vragen om hun websites voor tientallen, mogelijk honderden, third-party sites aan te passen waarvoor gebruikers hun inloggegevens in de Chrome-browser hebben opgeslagen", zegt Lee Kirkpatrick van Sophos. Hij adviseert organisaties om van aparte wachtwoordmanager-applicaties gebruik te maken. "Het is keer op keer bewezen dat het gebruik van een browser-gebaseerde wachtwoordmanager onveilig is." bron: https://www.security.nl

WordPress-sites aangevallen via kritiek lek in LiteSpeed Cache Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in de plug-in LiteSpeed Cache voor het aanvallen van WordPress-sites, zo waarschuwt securitybedrijf Wordfence. Miljoenen websites hebben de update waarmee het probleem wordt verholpen nog niet geïnstalleerd. LiteSpeed Cache is een plug-in die ervoor moet zorgen dat WordPress-sites sneller worden geladen. Meer dan vijf miljoen websites maken er gebruik van. Een kritieke kwetsbaarheid in de plug-in maakt het mogelijk voor een ongeauthenticeerde aanvaller om zijn user ID te spoofen en zich als beheerder te registreren, waarmee vervolgens de website kan worden overgenomen. De kwetsbaarheid (CVE-2024-28000), waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 9.8, werd door securitybedrijf Patchstack aan de ontwikkelaars gerapporteerd. Op 13 augustus verscheen versie 6.4 waarin het probleem is opgelost. Afgelopen woensdag liet Wordfence al weten dat het op korte termijn misbruik van de kwetsbaarheid verwachtte. In het eigen dashboard meldt het securitybedrijf dat het de afgelopen 24 uur bijna dertigduizend aanvallen heeft geblokkeerd waarbij aanvallers via het beveiligingslek WordPress-sites probeerden aan te vallen. Beheerders die de update nog niet geïnstalleerd hebben worden opgeroepen dit te doen. Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in de plug-in LiteSpeed Cache voor het aanvallen van WordPress-sites, zo waarschuwt securitybedrijf Wordfence. Miljoenen websites hebben de update waarmee het probleem wordt verholpen nog niet geïnstalleerd. LiteSpeed Cache is een plug-in die ervoor moet zorgen dat WordPress-sites sneller worden geladen. Meer dan vijf miljoen websites maken er gebruik van. Een kritieke kwetsbaarheid in de plug-in maakt het mogelijk voor een ongeauthenticeerde aanvaller om zijn user ID te spoofen en zich als beheerder te registreren, waarmee vervolgens de website kan worden overgenomen. De kwetsbaarheid (CVE-2024-28000), waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 9.8, werd door securitybedrijf Patchstack aan de ontwikkelaars gerapporteerd. Op 13 augustus verscheen versie 6.4 waarin het probleem is opgelost. Afgelopen woensdag liet Wordfence al weten dat het op korte termijn misbruik van de kwetsbaarheid verwachtte. In het eigen dashboard meldt het securitybedrijf dat het de afgelopen 24 uur bijna dertigduizend aanvallen heeft geblokkeerd waarbij aanvallers via het beveiligingslek WordPress-sites probeerden aan te vallen. Beheerders die de update nog niet geïnstalleerd hebben worden opgeroepen dit te doen.

De helpdesksoftware van SolarWinds is kwetsbaar door de aanwezigheid van een hardcoded credential, waardoor een ongeauthenticeerde aanvaller toegang tot het systeem kan krijgen en data kan aanpassen. Het gaat om een kritiek beveiligingslek waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 9.1. SolarWinds Web Help Desk is webgebaseerde helpdesksoftware waarmee organisaties verzoeken van hun medewerkers of gebruikers kunnen afhandelen. SolarWinds kwam vandaag met een beveiligingsbulletin dat er een update voor de kwetsbaarheid beschikbaar is, die wordt aangeduid als CVE-2024-28987. Details over het lek zijn verder niet gegeven. Het probleem is verholpen in versie 12.8.3 HF2. Een week geleden waarschuwde het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security voor actief misbruik van een andere kwetsbaarheid (CVE-2024-28986) in de helpdesksoftware. bron: https://www.security.nl

Google waarschuwt voor een kwetsbaarheid in Chrome waar aanvallers actief misbruik van maken en heeft gisterenavond updates uitgebracht om het probleem te verhelpen. Misbruik van het beveiligingslek vond al voor het uitkomen van de patches plaats. De kwetsbaarheid in V8 werd gevonden en gerapporteerd door Microsoft. V8 is de JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript. Het afgelopen jaar zijn er al meerdere actief aangevallen kwetsbaarheden in V8 gevonden en gepatcht. De impact van de kwetsbaarheid is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google geeft geen details over de doelwitten van de waargenomen aanvallen en hoe ze precies plaatsvinden. Het probleem werd op 19 augustus door Microsoft aan Google gemeld. Het is al de zesde keer dit jaar dat Google actief aangevallen Chrome-kwetsbaarheden patcht. Google Chrome 128.0.6613.84/.85 is beschikbaar voor macOS en Windows. Voor Linux is versie 128.0.6613.84 verschenen. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar. bron: https://www.security.nl

Microsoft maakt de omstreden Windows-feature Recall in oktober beschikbaar voor Windows Insiders. In juni kreeg Microsoft felle kritiek te verduren van beveiligings- en privacyexperts, die voor de gevolgen van Recall waarschuwden. Recall is een nieuwe 'AI-feature' van Microsoft, waarbij continu screenshots van het scherm van gebruikers worden gemaakt. De screenshots worden vervolgens door AI geanalyseerd en doorzoekbaar gemaakt. Microsoft omschrijft het als een 'fotografisch geheugen'. Experts gebruikten de term keylogger en privacynachtmerrie. Vanwege de felle kritiek kondigde Microsoft aan dat het Recall opt-in ging maken, in plaats van standaard in te schakelen. Daarnaast werd ook de release uitgesteld. Nu laat het techbedrijf weten dat Recall in oktober beschikbaar komt voor Windows Insiders. Microsoft stelt dat security de "topprioriteit" van het bedrijf blijft en het bij de uitrol van Recall met meer details komt. bron: https://www.security.nl

Miljoenen WordPress-sites lopen het risico om via een kritieke kwetsbaarheid in de plug-in LiteSpeed Cache door aanvallers te worden overgenomen. Een update is beschikbaar, maar een groot aantal websites heeft die nog niet geïnstalleerd. LiteSpeed Cache is een plug-in die ervoor moet zorgen dat WordPress-sites sneller worden geladen. Meer dan vijf miljoen websites maken er gebruik van. Een kritieke kwetsbaarheid in de plug-in maakt het mogelijk voor een ongeauthenticeerde aanvaller om zijn user ID te spoofen en zich als beheerder te registreren, waarmee vervolgens de website kan worden overgenomen. Daarvoor waarschuwt securitybedrijf Wordfence dat op korte termijn actief misbruik van het beveiligingslek verwacht. De kwetsbaarheid (CVE-2024-28000), waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 9.8, werd door securitybedrijf Patchstack aan de ontwikkelaars gerapporteerd. Op 13 augustus verscheen versie 6.4 waarin het probleem is opgelost. In de dagen na het uitkomen van de update werd die door zo'n anderhalf miljoen WordPress-sites geïnstalleerd, zo blijkt uit cijfers van WordPress.org, wat inhoudt dat nog miljoenen sites kwetsbaar zijn en risico lopen. bron: https://www.security.nl

Een kritieke kwetsbaarheid in GitHub Enterprise Server maakt het voor ongeauthenticeerde aanvallers mogelijk om kwetsbare servers op afstand over te nemen. GitHub heeft updates uitgebacht om het probleem te verhelpen. GitHub Enterprise Server is een self-hosted platform voor softwareontwikkeling binnen een organisatie. Via het platform is het mogelijk om software te ontwikkelen en leveren. Toegang kan onder andere worden geregeld door middel van SAML (Security Assertion Markup Language) single sign-on (SSO) via een identiteitsprovider. Een "XML signature wrapping" kwetsbaarheid bij enterprise servers die van SAML-authenticatie met bepaalde identiteitsproviders gebruikmaken zorgt ervoor dat een ongeauthenticeerde aanvaller met toegang tot de server, SAML-responses kan vervalsen om zo toegang te krijgen tot een gebruiker met beheerdersrechten. Misbruik van het beveiligingslek zorgt ervoor dat een aanvaller zonder eerst in te loggen ongeautoriseerde toegang kan krijgen, aldus de beschrijving van het lek. De impact van de kwetsbaarheid (CVE-2024-6800) is op een schaal van 1 tot en met 10 beoordeeld met een 9.5. Het probleem is verholpen in versies 3.13.3, 3.12.8, 3.11.14 en 3.10.16. bron: https://www.security.nl