Captain Kirk

Mozilla heeft besloten om Firefox voor Windows 7 tot maart 2025 van beveiligingsupdates te voorzien en een verdere verlenging wordt niet uitgesloten. Ook Firefox voor Windows 8 en oudere macOS-versies zullen tot die datum op support kun rekenen. Begin juli had Mozilla laten weten dat Firefox 115 ESR, waarvan de laatste versie vorige week verscheen, ook de laatste ondersteunde versie zou zijn. Firefox ESR 115-gebruikers op moderne Windows- en macOS-versies zullen volgende maand automatisch naar Firefox ESR 128.3 gaan. Voor gebruikers van de oudere Windows- en macOS-versies is nu besloten om Firefox ESR 115 langer te blijven ondersteunen. De laatste versie, Firefox 115.21, zal op 4 maart 2025 verschijnen. Mozilla sluit een langere ondersteuningsperiode echter niet uit. Volgens cijfers van Mozilla draait negen procent van alle Firefox-gebruikers nog op Windows 7. bron: https://www.security.nl

Een kritieke kwetsbaarheid in de firewalls van SonicWall wordt gebruikt bij ransomware-aanvallen, zo stellen verschillende securitybedrijven. De kwetsbaarheid (CVE-2024-40766) is aanwezig in de management acces- en SSLVPN-feature van SonicOS, het besturingssysteem dat op de firewalls van SonicWall draait. Via het beveiligingslek kan een aanvaller ongeautoriseerde toegang tot resources krijgen of de firewall laten crashen. Onlangs liet SonicWall weten dat aanvallers actief misbruik van het beveiligingslek maken. Zowel securitybedrijf Rapid7 als Arctic Wolf melden dat het hierbij ook om ransomware-aanvallen gaat. Bij de aanvallen weten de aanvallers SSLVPN-accounts op de SonicWall-firewalls te compromitteren. Bij de waargenomen aanvallen ging het om lokale accounts die werden gecompromitteerd en waarvoor multifactorauthenticatie (MFA) was uitgeschakeld. SonicWall heeft updates voor het probleem beschikbaar gemaakt en organisaties worden opgeroepen die te installeren. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security waarschuwt ook voor actief misbruik en heeft federale overheidsinstanties die van SonicWall gebruikmaken opgedragen de update voor 30 september te installeren. bron: https://www.security.nl

De Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert, heeft vandaag de gegevens van domeinnaamhouders via de Whois op Sidn.nl gelekt. Dit is de zoekfunctie op Sidn.nl waarmee informatie over een domeinnaam is op te zoeken. Gegevens van zakelijke domeinnaamhouders zijn openbaar, gegevens van particuliere domeinnaamhouders mogen niet gepubliceerd worden. "Tijdens het onderhoud zijn webservers vervangen. Hiervoor zijn nieuwe verbindingen gelegd, waarbij een fout is gemaakt. De nieuwe machines hadden onbedoeld meer toegang. Hierdoor waren in de Whois meer registratiegegevens van de betrokken domeinnaamhouder zichtbaar", aldus een verklaring van SIDN. De gelekte gegevens bestaan uit naam, adresgegevens, e-mailadres en telefoonnummer van de houder. "Deze gegevens horen alleen zichtbaar te zijn voor de beherende registrar en SIDN", legt de stichting uit. Er is inmiddels een onderzoek gestart naar de exacte impact. SIDN zegt maatregelen te treffen om een dergelijk datalek in de toekomst te voorkomen. Daarnaast zal er melding worden gedaan bij de Autoriteit Persoonsgegevens. bron: https://www.security.nl

Zo'n 38.000 ip-camera's van fabrikant AVTech die end-of-life zijn, en daardoor geen beveiligingsupdates meer ontvangen, zijn vanaf internet benaderbaar. Dat stelt securitybedrijf Censys. Eind augustus werd bekend dat ip-camera's van AVTech al sinds maart via een kwetsbaarheid met malware worden besmet en zo onderdeel van een botnet worden dat ddos-aanvallen uitvoert. De kwetsbaarheid wordt aangeduid als CVE-2024-7029. Proof of concept (PoC) exploitcode om misbruik van het beveiligingslek te maken is al sinds 2019 openbaar. Tot deze maand had de kwetsbaarheid nog geen CVE-nummer toegekend gekregen. Via de kwetsbaarheid kan een aanvaller op afstand willekeurige code op ip-camera's van AV-Tech uitvoeren. Volgens internetbedrijf Akamai gaat het onder andere om de AVM1203, die niet meer door AVTech wordt ondersteund. Voor deze camera zal dan ook geen update verschijnen en gebruikers doen er verstandig aan om het apparaat te vervangen, aldus het internetbedrijf. Censys voerde een online scan uit en detecteerde 38.000 AVTech-camera's. "Niet al deze camera's zijn per definitie kwetsbaar voor deze CVE, maar het zijn allemaal end-of-life producten die niet blootgesteld aan internet zouden moeten zijn", zo stellen de onderzoekers. bron: https://www.security.nl

De makers van Tor Browser overwegen om user agent spoofing standaard uit te schakelen, zo hebben ze aangekondigd. Tor Browser wordt dagelijks door miljoenen mensen gebruikt die hun ip-adres willen afschermen, privacy beschermen en overheidscensuur omzeilen. De user agent die een browser standaard naar websites verstuurt bevat allerlei informatie over het systeem van de gebruiker. Tor Browser spooft de user agent om te voorkomen dat websites of malafide exitnodes het besturingssysteem van de gebruiker kunnen achterhalen. Het Tor Project, de ontwikkelaars van Tor Browser, hebben nu een optie aan een testversie van de browser toegevoegd waardoor de user agent niet meer wordt gespooft en overwegen om die standaard in te schakelen. Tor Browser zal dan aan websites doorgeven wat voor soort besturingssysteem iemand gebruikt (Windows, macOS, Linux of Android). De reden hiervoor is dat het spoofen van de user agent ervoor kan zorgen dat websites niet goed werken. Daarnaast zou de meerwaarde beperkt zijn. Er zijn allerlei andere manieren om gebruikers te tracken en de spoofingfeature werkt alleen als JavaScript staat uitgeschakeld. Verder zou de HTTPS-Only mode van Tor Browser het passief sniffen van http-verkeer op user agents ook beperken. Het Tor Project is dan ook benieuwd wat gebruikers en 'domeinexperts' ervan vinden om het spoofen uit te schakelen en vraagt om feedback. Het is dan ook nog niet bekend of en wanneer het spoofen wordt uitgeschakeld. bron: https://www.security.nl

Beste Annemie, Aangezien je het probleem zelf ook hebt maar, zoals je aan geeft, op meerdere pc's, wil ik je vragen een eigen nieuw topic te starten met deze hulpvraag. Zo zien onze helpers je vraag en kunnen ze kijken of ze je verder kunnen helpen. Nu staat je vraag in het topic van iemand anders en wordt jouw hulpvraag soms over het hoofd gezien

SonicWall waarschuwt organisaties voor actief misbruik van een kritieke kwetsbaarheid in de firewalls die het levert. Organisaties worden opgeroepen de eind augustus beschikbaar gestelde beveiligingsupdates zo snel mogelijk te installeren. Het beveiligingsbulletin is vandaag door het bedrijf bijgewerkt, waarin SonicWall niet alleen meldt dat er actief misbruik plaatsvindt, maar ook dat de SSLVPN-functionaliteit een mogelijke 'point of impact' is. De kwetsbaarheid (CVE-2024-40766) is aanwezig in SonicOS, het besturingssysteem dat op de firewalls van SonicWall draait. Via het beveiligingslek kan een aanvaller ongeautoriseerde toegang tot resources krijgen of de firewall laten crashen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. Verdere details over de aanvallen zijn niet gegeven. Kort na het uitkomen van het beveiligingsbulletin gaf SonicWall het advies aan SSLVPN-gebruikers met lokale accounts om hun wachtwoorden te wijzigen en multifactorauthenticatie (MFA) in te schakelen. bron: https://www.security.nl

Nieuw Sociaal Contract (NSC) en GroenLinks-PvdA willen opheldering van minister Van Weel van Justitie en Veiligheid over de terugkeer van het onderwerp chatcontrole op de Europese agenda, zoals Security.NL afgelopen zondag berichtte. Kamerleden Six-Dijkstra (NSC) en Kathmann (GL-PvdA) willen onder andere van de minister weten wat het standpunt van het kabinet is ten aanzien van dit voorstel en van overige maatregelen van chatcontrole waarbij end-to-end en generiek verzwakt of omzeild wordt. De Europese Commissie kwam een aantal jaar geleden met het plan om alle chatberichten van burgers te controleren. Europese wetgeving vindt plaats via een trialoog, waarbij de Europese Commissie, het Europees Parlement en de Raad van Ministers onderhandelen over wetgevende voorstellen. Het Europees Parlement zag het voorstel van de Europese Commissie voor chatcontrole niet zitten en kwam met een eigen voorstel, waar nog steeds kritiek op is, maar wat end-to-end versleutelde diensten uitzondert. Eind juni wilde toenmalig EU-voorzitter België binnen de Raad over een eigen versie van het plan stemmen. België had een voorstel bedacht waardoor "hoog risicovolle" chatdiensten zouden worden verplicht om overheidssoftware toe te voegen waarmee alle berichten van Europese gebruikers worden geïnspecteerd. Dit kreeg de naam "upload moderation". Gebruikers die niet met de controle akkoord zouden gaan zouden dan geen foto's, video en url's meer via de betreffende chatapp kunnen versturen. De stemmig werd geschrapt omdat er niet voldoende voorstemmers waren. Deze week stond er een overleg van de Raad van de Europese Unie gepland waar het onderwerp weer op de agenda stond. "Is u bekend wanneer dit voorstel in de Raad besproken en in stemming gebracht zal worden?", willen de Kamerleden verder weten. De minister moet ook duidelijk maken hoe het kabinetsstandpunt zich verhoudt tot het recht op eerbiediging van de persoonlijke levenssfeer en het recht op eerbiediging van het telecommunicatiegeheim, zoals in de Grondwet is opgenomen. "Hoe verhoudt het kabinetsstandpunt zich tot het standpunt van het Europees Hof voor de Rechten van de Mens, namelijk: “Wetten en wetsvoorstellen waarbij chatdiensten worden verplicht om toegang tot end-to-end versleutelde data te geven, wat kan leiden tot het verzwakken van encryptie, is niet proportioneel en heeft geen plaats in een democratische samenleving”?", vragen Kathmann en Six-Dijkstra verder. Als laatste willen ze weten hoe het kabinetsstandpunt zich verhoudt tot het proportionaliteitsbeginsel. Minister Van Weel heeft drie weken om met een reactie te komen. bron: https://www.security.nl

Miljoenen WordPress-sites lopen door een kritieke kwetsbaarheid in de plug-in LiteSpeed Cache het risico op aanvallen. Een update is beschikbaar, maar die is door de meeste websites nog niet geïnstalleerd. Onlangs werd een ander kritiek beveiligingslek in de plug-in actief gebruikt voor het aanvallen van WordPress-sites. Securitybedrijf Patchstack verwacht ook dat de nieuwste kritieke kwetsbaarheid op grote schaal zal worden misbruikt. De impact van het lek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. LiteSpeed Cache is een plug-in die ervoor moet zorgen dat WordPress-sites sneller worden geladen. Meer dan zes miljoen websites maken er gebruik van. Een 'cookie leak' kwetsbaarheid (CVE-2024-44000) zorgt ervoor dat een ongeauthenticeerde aanvaller admin-accounts kan overnemen. Vervolgens is het mogelijk om malafide plug-ins te installeren. De kwetsbaarheid is alleen te misbruiken als de 'debug log feature' is ingeschakeld, of ooit ingeschakeld is geweest, en het /wp-content/debug.log niet is verwijderd. Wanneer een aanvaller dit bestand kan benaderen is het mogelijk om sessioncookies te stelen van gebruikers die zijn of waren ingelogd. Gisteren verscheen versie 6.5.0.1 van LiteSpeed Cache waarin het probleem is opgelost. Op het moment van schrijven is deze versie volgens cijfers van WordPress.org door 1,2 miljoen websites geïnstalleerd, wat inhoudt dat een groot aantal WordPress-sites nog kwetsbaar is. Volgens WordPress.org maakt het grootste deel van de websites nog gebruik van versie 6.4.x. bron: https://www.security.nl

Microsoft gaat het Windows Common Log Filesystem (CLFS) beter beveiligen, om zo misbruik door aanvallers te voorkomen, zo heeft het techbedrijf aangekondigd. Het CLFS is een Windowsonderdeel dat wordt gebruikt voor logging. Applicaties die logbestanden willen opslaan kunnen er gebruik van maken. In de afgelopen vijf jaar zijn er 24 kwetsbaarheden in CLFS ontdekt. Meerdere daarvan werden actief misbruikt voordat een update van Microsoft beschikbaar was en voor andere verschenen allerlei exploits. Het gaat hier om 'Elevation of Privilege' kwetsbaarheden, waardoor een aanvaller met toegang tot het systeem zijn rechten kan verhogen. Volgens Microsoft is het lastig om alle data in een logbestand goed te valideren. Een aanvaller kan hier misbruik van maken door een malafide logbestand te maken of een bestaand logbestand te corrumperen en die bestanden vervolgens door het Common Log Filesystem te laten verwerken, om zo SYSTEM-rechten te krijgen. Om dergelijke aanvallen te voorkomen heeft Microsoft nu een oplossing bedacht. In plaats van individuele waardes in een logbestand te valideren, zal CLFS straks detecteren of logbestanden zijn aangepast door iets anders dan de CLFS-driver. Hiervoor zal er gebruik worden gemaakt van Hash-based Message Authentication Codes (HMAC), die aan het einde van het logbestand worden toegevoegd. "Net zoals je de integriteit zou controleren van een bestand dat je downloadt van het internet door de hash of checksum te controleren, kan CLFS de integriteit van logbestanden valideren door de HMAC te berekenen en die te vergelijken met de HMAC opgeslagen in het logbestand. Zolang de aanvaller de encryptiesleutel niet kent, heeft die niet de informatie om een geldige HMAC te produceren die CLFS zal accepteren", legt Microsoft uit. Alleen CLFS en administrators op het systeem hebben toegang tot de sleutel. De nieuwe CLFS-versie komt als eerste beschikbaar in het Windows Insiders Canary channel. Daarbij zal CLFS oude logbestanden naar het nieuwe format overzetten. bron: https://www.security.nl

Cisco waarschuwt organisaties voor een kritieke kwetsbaarheid in de Smart Licensing Utility waardoor een ongeauthenticeerde aanvaller op afstand kan inloggen. Het probleem wordt veroorzaakt door een ongedocumenteerd hardcoded admin-wachtwoord, zo laat het bedrijf in een beveiligingsbulletin weten. Via de Smart Licensing Utility kunnen organisaties hun Cisco-licenties en bijbehorende producten beheren. "De kwetsbaarheid wordt veroorzaakt door een ongedocumenteerd statisch wachtwoord voor een admin-account", legt Cisco uit. Via het hardcoded wachtwoord kan een aanvaller op de applicatie inloggen. Dit kan via de API van de Cisco Smart Licensing Utility applicatie. De impact van de kwetsbaarheid (CVE-2024-20439) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Daarnaast heeft Cisco ook een andere kwetsbaarheid (CVE-2024-20440) met een zelfde impactscore verholpen. Dit beveiligingslek wordt veroorzaakt door 'excessive verbosity' in een debug logbestand. Een aanvaller kan naar een kwetsbaar systeem een speciaal geprepareerd http-request sturen, om zo logbestanden in handen te krijgen die gevoelige data bevatten, waaronder inloggegevens waarmee er toegang tot de API van de applicatie kan worden verkregen. Cisco zegt niet met misbruik van de kwetsbaarheden bekend te zijn. bron: https://www.security.nl

Verschillende modellen YubiKeys van fabrikant Yubico zijn kwetsbaar voor een side-channel-aanval waardoor een aanvaller private keys kan stelen en een kloon kan maken. Yubico heeft nieuwe versies uitgebracht om het probleem te verhelpen. Omdat de firmware van YubiKeys niet is te updaten, blijven oude versies permanent kwetsbaar. Volgens de fabrikant zou misbruik onderdeel van een 'geraffineerde en gerichte aanval' moeten zijn en moet een aanvaller fysieke toegang tot de YubiKey hebben. YubiKeys zijn fysieke beveiligingssleutels waarmee gebruikers op hun accounts kunnen inloggen. Een kwetsbare cryptolibrary in de Infineon security microcontroller waar de sleutels gebruik van maken, maakt het mogelijk om via een side-channel-aanval de ECDSA secret key te achterhalen, aldus de onderzoekers van NinjaLab die het probleem ontdekten (pdf). Ze stellen dat hiervoor een paar minuten genoeg is. De kwetsbaarheid is al veertien jaar in de aanwezige library aanwezig, zo laten ze verder weten. Het uitvoeren van de aanval zou zo'n 10.000 euro aan materiaal kosten. Bij een side-channel-aanval weet een aanvaller door alleen de werking van een apparaat, protocol of algoritme vertrouwelijke informatie af te leiden. In dit geval is de side-channel de hoeveelheid tijd die nodig is voor een wiskundige berekening, ook bekend als 'modular inversion'. De cryptolibrary van Infineon maakt geen gebruik van een bekende side-channel-verdediging genaamd constant time. Deze maatregel zorgt ervoor dat de berekeningstijd niet afhankelijk is van de invoer. De kwetsbaarheid is aanwezig in YubiKey 5, YubiKey 5 FIPS, YubiKey 5 CSPN, YubiKey Bio, Security Key, YubiHSM 2 en YubiHSM 2 FIPS. NinjaLab informeerde Yubico op 19 april over het probleem. Op 21 mei verscheen YubiKey 5.7 waarin het probleem is verholpen. Afgelopen maandag kwam YubiHSM 2.4 uit, waarop gisteren het beveiligingsbulletin van Yubico verscheen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 4.9. bron: https://www.security.nl

D-Link heeft eigenaren van een DIR-846W wifi-router opgeroepen om het apparaat te vervangen, aangezien dit een risico voor aangesloten apparatuur kan zijn. De router bevat verschillende kritieke kwetsbaarheden waardoor het apparaat op afstand is over te nemen. Aangezien de DIR-846W al vier jaar end-of-life is zullen er geen updates verschijnen om de beveiligingslekken te verhelpen. Hoewel de router al sinds begin 2020 niet meer wordt ondersteund bracht D-Link onlangs wel een beveiligingsbulletin voor de DIR-846W uit. Daarin wordt gewaarschuwd voor vier kwetsbaarheden, waaronder twee die als kritiek zijn aangemerkt (CVE-2024-44341 en CVE-2024-44342). Via deze twee beveiligingslekken kan een aanvaller op afstand OS-commando's op het apparaat uitvoeren. De impact van de twee kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Aangezien de router niet meer met beveiligingsupdates wordt ondersteund raadt D-Link'ten zeerste' aan om die te vervangen en waarschuwt dat verder gebruik van het product risico's met zich meebrengt voor apparaten die ermee verbonden zijn. bron: https://www.security.nl

Zyxel waarschuwt eigenaren van verschillende accesspoints en een 'security router' voor een kritieke kwetsbaarheid waardoor de apparaten op afstand door een ongeauthenticeerde aanvaller zijn over te nemen. De enige vereiste is dat een aanvaller het apparaat kan benaderen. Vervolgens is het mogelijk om via het versturen van een speciaal geprepareerd cookie willekeurige OS-commando's op het apparaat uit te voeren. De impact van de kwetsbaarheid (CVE-2024-7261) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het probleem raakt in totaal 28 verschillende modellen accesspoints, alsmede de USG LITE 60AX 'security router'. Zyxel heeft firmware-updates beschikbaar gemaakt om het probleem te verhelpen. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke path traversal-kwetsbaarheid in Kingsoft WPS Office, waardoor een aanvaller malafide code op het systeem van de gebruiker kan uitvoeren. Alleen het openen van een malafide document met een kwetsbare versie is hiervoor voldoende. Vorige week waarschuwde antivirusbedrijf ESET al voor misbruik van het beveiligingslek, aangeduid als CVE-2024-7262. Dat vond plaats voordat een beveiligingsupdate beschikbaar was. Ontwikkelaar Kingsoft kwam volgens ESET in maart met een patch die het probleem 'stilletjes' had moeten verhelpen, maar die bood geen volledige oplossing, waardoor de kwetsbare code nog steeds was te misbruiken. Vervolgens kwam de ontwikkelaar met een tweede update om de kwetsbaarheid echt op te lossen. WPS Office is vooral in Azië zeer populaire kantoorsoftware, vergelijkbaar met Microsoft Office. Volgens ESET liet ontwikkelaar Kingsoft weten dat het geen interesse had om klanten te waarschuwen dat aanvallers actief misbruik maken van CVE-2024-7262, waarop de virusbestrijder naar eigen zeggen met een blogposting kwam om klanten op die manier te waarschuwen. Op de website van WPS Office is geen enkele melding over het CVE-nummer te vinden. Nu waarschuwt ook het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security dat aanvallers actief misbruik van de kwetsbaarheid maken. Het cyberagentschap heeft Amerikaanse overheidsinstanties die met de software werken opgedragen de update voor 24 september te installeren. Kingsoft claimt dat WPS Office meer dan tweehonderd miljoen gebruikers heeft. bron: https://www.security.nl

Mozilla heeft een nieuwe versie van Firefox gelanceerd met een 'AI Chatbot feature'. Via de optie kunnen gebruikers een chatbot naar keuze aan de browser toevoegen die dan via de sidebar van de browser snel toegankelijk is, aldus de uitleg van de Firefox-ontwikkelaar. Gebruikers kunnen op dit moment kiezen uit de chatbots: Anthropic Claude, ChatGPT, Google Gemini, HuggingChat en Le Chat Mistral. De ingestelde chatbot is vervolgens via de sidebar te gebruiken om bijvoorbeeld informatie op webpagina's samen te vatten of teksten te vereenvoudigen. Mozilla liet eerder al weten dat het nieuwe AI-chatbots als keuzeoptie zal toevoegen als die aan de eisen voor 'kwaliteit en gebruikerservaring' voldoen. De 'AI Chatbot feature' staat standaard uitgeschakeld. Verder zijn met Firefox 130 ook verschillende kwetsbaarheden verholpen. Updaten naar de nieuwe versie kan via de automatische updatefunctie of Mozilla.org. bron: https://www.security.nl

Opnieuw zijn WhatsUp Gold-servers het doelwit van aanvallen, waarbij aanvallers nu een kritieke SQL Injection-kwetsbaarheid gebruiken. Onlangs werden dergelijke systemen aangevallen via een kritiek path traversal-lek. Dat meldt. The Shadowserver Foundation, een stichting die zich bezighoudt met de bestrijding van cybercrime en geregeld scans op internet uitvoert naar kwetsbare systemen. Via WhatsUp Gold kunnen organisaties hun netwerken monitoren en beheren. De oplossing biedt inzicht in netwerkapparatuur, servers, applicaties en verkeer. Op 16 augustus kwam ontwikkelaar Progress met beveiligingsupdates voor kritieke kwetsbaarheden in de oplossing. Het gaat onder andere om CVE-2024-6670, een kritieke SQL Injection-kwetsbaarheid waardoor een ongeauthenticeerde aanvaller het versleutelde wachtwoord van een gebruiker kan stelen, aldus het beveiligingsbulletin. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Een aanvaller kan zo de authenticatie omzeilen en uiteindelijk willekeurige code op de server uitvoeren, aldus onderzoeker Manish Kishan Tanwar die het probleem ontdekte en op 22 mei rapporteerde. Volgens Progress is de aanval alleen mogelijk wanneer de applicatie met één gebruiker is geconfigureerd. Vorige week maakte Tanwar details en proof-of-concept exploitcode voor de kwetsbaarheid openbaar. Vandaag meldt The Shadowserver Foundation dat het de eerste aanvallen via het beveiligingslek heeft waargenomen. Organisaties worden dan ook opgeroepen de update te installeren mocht dat nog niet zijn gedaan. bron: https://www.security.nl

Microsoft heeft opnieuw gewaarschuwd voor een groep die op grote schaal password spray-aanvallen uitvoert. De groep, die door Microsoft 'Peach Sandstorm' wordt genoemd, is volgens het techbedrijf verantwoordelijk voor aanvallen op duizenden organisaties. Password spraying is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen gebruikt een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. "In tegenstelling tot bruteforce-aanvallen, waarbij een enkel account met veel wachtwoorden wordt bestookt, helpen password spray-aanvallen aanvallers om hun kans op succes te vergroten en de kans op automatische lock-outs te verkleinen", aldus Microsoft. Vaak wordt er ook vanaf allerlei verschillende ip-adressen ingelogd. Zodra het de aanvallers lukt om op een account in te loggen, maken ze gebruik van zowel publiek beschikbare als zelfontwikkelde tools om het netwerk van de organisatie verder te verkennen, daar toegang toe te behouden en zich lateraal naar andere machines te bewegen. Vorig jaar september kwam Microsoft ook al met een waarschuwing voor de groep. In april en mei van dit jaar zag Microsoft password spray-aanvallen tegen organisaties in de defensie-, ruimte-, onderwijs- en overheidssector in de Verenigde Staten en Australië. Daarbij maakte de groep, net als bij andere aanvallen, gebruik van de “go-http-client” user agent, aldus Microsoft. In het geval van een succesvolle aanval adviseert Microsoft naast het resetten van wachtwoorden ook het intrekken van session cookies, alsmede het ongedaan maken van MFA-aanpassingen die de aanvallers bij gecompromitteerde accounts doorvoerden. Verder moeten organisaties onveilige wachtwoorden weren en is het verstandig om bij accounts met hogere rechten die het doelwit waren een onderzoek uit te voeren. bron: https://www.security.nl

Meer dan honderdduizend websites lopen door een kritieke kwetsbaarheid in een gebruikte plug-in het risico om te worden aangevallen en een beveiligingsupdate is niet beschikbaar. Volgens securitybedrijf Patchstack gaat het om een zeer gevaarlijke kwetsbaarheid en zal het naar verwachting op grote schaal door criminelen worden misbruikt. Het beveiligingslek is aanwezig in TI WooCommerce Wishlist waarmee webshops klanten de optie kunnen bieden om producten op een wishlist te plaatsen, zodat die op een later moment zijn aan te schaffen. WooCommerce is een plug-in om van WordPress-sites een webwinkel te maken. De plug-in is op meer dan zeven miljoen WordPress-sites geïnstalleerd. Voor WooCommerce zijn ook weer allerlei plug-ins beschikbaar, waaronder de Wishlist-plug-in. Volgens cijfers van WordPress.org maken meer dan honderdduizend websites gebruik van de plug-in. Die blijkt gebruikersinvoer niet goed te escapen, waardoor voor ongeauthenticeerde aanvallers SQL-Injection mogelijk is. Een aanvaller kan zo bijvoorbeeld de inhoud van de database stelen of andere aanvallen uitvoeren. Patchstack heeft de impact van de kwetsbaarheid op een schaal van 1 tot en met 10 beoordeeld met een 9.3. Securitybedrijf Wordfence hanteert een impactscore van 9.8. De ontwikkelaar van de plug-in heeft geen update beschikbaar gesteld, waardoor alle websites die van de plug-in gebruikmaken risico lopen. bron: https://www.security.nl

Google heeft de beloning voor kwetsbaarheden in Chrome waardoor remote code execution (RCE) mogelijk is verhoogd naar meer dan 250.000 dollar. Eerder bedroeg dit nog meer dan 40.000 dollar. Het beloningsprogramma van het techbedrijf werkt met verschillende staffels. Zo werd een 'Sandbox escape / Memory corruption in a non-sandboxed process' eerder nog beloond met maximaal 40.000 dollar, afhankelijk van de kwaliteit van de bugmelding en meegeleverde exploit. Afhankelijk voor de voorwaarden dat misbruik mogelijk was, kon ook de beloning voor 'Renderer RCE' worden toegevoegd, die maximaal 15.000 dollar bedroeg. Google laat nu weten dat het met hogere beloningen "dieper onderzoek" wil belonen, waarbij er meer nadruk ligt op kritieke kwetsbaarheden waardoor een aanvaller code op systemen kan uitvoeren. De categorie 'Sandbox escape / Memory corruption / RCE in a non-sandboxed process' is goed voor een beloning van 250.000 dollar. Als de remote code execution in een niet-gesandboxt proces mogelijk is zonder eerst de renderer te compromitteren, wordt ook de 'Renderer RCE' beloning toegevoegd. Die bedraagt maximaal 55.000 dollar, wederom afhankelijk van de kwaliteit van de bugmelding. Vorig jaar keerde Google in totaal 2,1 miljoen dollar uit voor gerapporteerde Chrome-kwetsbaarheden. Het bedrag ging naar 359 unieke bugmeldingen. bron: https://www.security.nl

De makers van chatsoftware Pidgin waarschuwen voor een malafide plug-in die via de officiële website werd geadverteerd en een keylogger bevatte. Ook maakte de 'ss-otr' plug-in screenshots en stuurt die samen met onderschepte inloggegevens naar derden. Pidgin biedt een pagina met daarop third-party plug-ins die volgens de omschrijving zijn ontwikkeld door 'trusted authors'. De malafide plug-in werd op 6 juli aan het overzicht op Pidgin.im toegevoegd. Op 16 augustus kregen de Pidgin-ontwikkelaars een melding dat er een keylogger in de plug-in aanwezig was en die screenshots maakte. Daarop werd de plug-in 'stilletjes' van de pagina verwijderd en een onderzoek gestart. Vorige week kon worden bevestigd dat er inderdaad een keylogger in de plug-in aanwezig is. Volgens de Pidgin-ontwikkelaars werd de keylogger niet opgemerkt omdat de plug-in geen broncode verstrekte, maar alleen binaries om te downloaden. Voortaan wordt voor alle plug-ins verplicht dat ze een link naar een OSI Approved Open Source License hebben en er enige due diligence is verricht om te verifiëren dat de plug-in veilig voor gebruikers is. Pidgin adviseert gebruikers die de malafide plug-in hebben geïnstalleerd om die meteen te verwijderen. bron: https://www.security.nl

Internetproviders en managed serviceproviders zijn sinds juni het doelwit van aanvallen waarbij een kwetsbaarheid in Versa Director wordt gebruikt om malware te installeren waarmee inloggegevens van klanten kunnen worden gestolen, zo stelt securitybedrijf Lumen. Versa kwam gisteren met een beveiligingsbulletin waarin het voor de kwetsbaarheid waarschuwt. Vorige week waarschuwde de Amerikaanse overheid al voor actief misbruik van het lek. Versa Director is een platform dat wordt gebruikt om netwerkconfiguraties te beheren van clients die de SD-WAN software van Versa gebruiken. Het wordt vooral gebruikt door internetproviders en managed serviceproviders. Een kwetsbaarheid in het product (CVE-2024-39717) maakt het mogelijk voor een aanvaller met adminrechten om malafide bestanden naar de server te uploaden. Bij de aanvallen die Lumen waarnam werd via het beveiligingslek een webshell geïnstalleerd. Via een webshell kunnen aanvallers toegang tot een gecompromitteerde server behouden en verdere aanvallen uitvoeren. In dit geval bleek dat het primaire doel van de webshell was om inloggegevens te onderscheppen, waarmee het mogelijk was om als geauthenticeerde gebruiker toegang tot de netwerken van downstream klanten te krijgen. De gegevens worden in plaintext onderschept als klanten ze invoeren, aldus de uitleg van Lumen. "Eenmaal geïnjecteerd kaapt de webshell de authenticatiefunctie van Versa, waardoor aanvallers passief inloggegevens in plaintext kunnen onderscheppen, waardoor het mogelijk wordt om de downstream infrastructuur van klanten via legitieme inloggegevens te compromitteren", zo stelt het securitybedrijf. Dat zegt dat het bij vijf internetproviders en managed serviceproviders de malware heeft aangetroffen, maar geeft geen namen. De aanvallen werden begin deze maand nog waargenomen. Er zijn meerdere Indicators of Compromise gepubliceerd waarmee organisaties kunnen kijken of ze gecompromitteerd zijn. bron: https://www.security.nl

Een kritieke kwetsbaarheid in WPML, een plug-in voor WordPress-sites met meer dan één miljoen installaties, maakt het mogelijk om kwetsbare websites op afstand over te nemen. De impact van de kwetsbaarheid (CVE-2024-6386) is op een schaal van 1 tot en met 10 beoordeeld met een 9.9. Op 20 augustus is een update voor de plug-in verschenen en nu zijn de details van de kwetsbaarheid openbaar gemaakt. WPML is een plug-in die WordPress-sites meertalig maakt. Meer dan één miljoen websites maken er gebruik van. Door onvoldoende invoervalidatie is server-side template injection mogelijk, wat kan leiden tot remote code execution. Daarmee is het mogelijk om de website volledig over te nemen, aldus securitybedrijf Wordfence. Om misbruik van de aanval te maken moet een aanvaller wel geauthenticeerde toegang tot de post editor hebben. Wordfence zegt dat het de ontwikkelaar van de plug-in op 27 juni informeerde. Er kwam geen reactie, waarop op 7 juli een tweede poging werd gedaan. Wederom kwam er geen reactie, waarop op 29 juli een derde poging volgde. Uiteindelijk verscheen op 20 augustus versie 4.6.13 waarin het probleem is verholpen. WPML is een betaalde plug-in, er zijn dan ook geen cijfers beschikbaar van het aantal installaties dat is bijgewerkt of niet, zoals bij plug-ins het geval is die direct via WordPress.org worden aangeboden. Beheerders krijgen het advies om zo snel mogelijk te updaten. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kwetsbaarheid in Chrome waar op 21 augustus een update voor verscheen. Het beveiligingslek, aangeduid als CVE-2024-7965, bevindt zich in V8, de JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript. Het afgelopen jaar zijn er al meerdere actief aangevallen kwetsbaarheden in V8 gevonden en gepatcht. Op 21 augustus kwam Google met updates voor Chrome die een actief aangevallen V8-kwetsbaarheid verhielpen met het CVE-nummer CVE-2024-7971. Gisterenavond heeft Google het beveiligingsbulletin bijgewerkt en laat nu weten dat aanvallers ook misbruik van CVE-2024-7965 maken. Dit werd na het uitkomen van de updates bij Google gemeld. Details over de aanvallen zijn niet gegeven. De impact van beide kwetsbaarheden is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Beide kwetsbaarheden zijn verholpen in Google Chrome 128.0.6613.84/.85 voor macOS en Windows. Voor Linux is versie 128.0.6613.84 verschenen. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is de update waarmee beide beveiligingslekken zijn verholpen op 22 augustus uitgekomen. bron: https://www.security.nl

Een kritieke kwetsbaarheid in het besturingssysteem dat op firewalls van fabrikant SonicWall draait maakt het mogelijk voor aanvallers om de apparaten of stand aan te vallen. SonicWall heeft beveiligingsupdates uitgebracht om het probleem te verhelpen. Via het beveiligingslek in SonicOS, aangeduid als CVE-2024-40766, kan een aanvaller ongeautoriseerde toegang tot resources krijgen of de firewall laten crashen. Verdere details zijn niet door SonicWall gegeven, behalve dat het een 'improper access control' kwetsbaarheid betreft. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. Als workaround wordt aangeraden om toegang tot het firewall management te beperken tot alleen vertrouwde bronnen of toegang vanaf het internet tot het firewall WAN management uit te schakelen. bron: https://www.security.nl