Captain Kirk

Het Nationaal Cyber Security Centrum (NCSC) en het Digital Trust Center (DTC) gaan dit jaar nauwer samenwerken. Hiervoor wordt een cultuurtraject gestart en naar gezamenlijke producten gewerkt. Uiteindelijk moeten het NCSC, het DTC en het CSIRT-DSP voor digitale serviceproviders in één centraal expertisecentrum samen verder gaan. Voor dit jaar staat de integratie tussen het Nationaal Cybersecurity Centrum en CSIRT-DSP gepland, gevolgd door de integratie van het NCSC en Digital Trust Center in 2026. Dit moet voor meer synergie zorgen en versnippering binnen het overheidslandschap van cybersecurity tegengaan. Het NCSC heeft als primaire doelgroepen het informeren en bijstaan van vitale organisaties, zoals banken, energie- en telecomaanbieders, en de Rijksoverheid zelf. Het DTC is er voor het bedrijfsleven en het CSIRT-DSP voor digitale serviceproviders. "Het afgelopen jaar heeft de integratie van het DTC met het NCSC steeds verder vorm gekregen. Belangrijke ontwikkelingen waren het aanstellen van een transitiemanager en het opstellen en verder vormgeven van de transitieopgave", zo laat demissionair minister Adriaansens van Economische Zaken in een brief aan de Tweede Kamer weten. Daarnaast wordt er onderling tussen het DTC en het NCSC al op verschillende manieren samengewerkt. "Er wordt in teams, waarin alle disciplines van het DTC en het NCSC zijn vertegenwoordigd, langs vier werkstromen aan de transitie naar de vernieuwde cybersecurityorganisatie gewerkt. Tevens is de medezeggenschapsraad voor de vernieuwde nationale cybersecurityorganisatie ook op een gezamenlijke manier ingericht", laat Adriaansens verder weten. Voor dit jaar meldt de minister dat voor zowel het DTC als het CSIRT-DSP de samenwerking met het NCSC steeds verder geïntensiveerd zal worden. Hiervoor wordt onder andere gestart met een cultuurtraject en het werken naar gezamenlijke producten. bron: https://www.security.nl

Opnieuw zijn duizenden WordPress-sites via een kwetsbaarheid in de plug-in Popup Builder besmet geraakt met malware. Dat laat securitybedrijf Sucuri weten. Begin dit jaar raakten 6200 websites besmet. Bij een nieuwe campagne die de afgelopen drie weken plaatsvond zijn meer dan 3300 websites gecompromitteerd. Popup Builder is een plug-in waarmee WordPress-sites pop-ups kunnen maken die aan bezoekers worden getoond. Meer dan tweehonderdduizend websites maken er gebruik van. Begin december werd bekend dat er een stored cross-site scripting kwetsbaarheid in de plug-in aanwezig is. Daarmee kan een ongeauthenticeerde aanvaller dezelfde acties uitvoeren als een ingelogde beheerder, waaronder het installeren van willekeurige plug-ins en toevoegen van nieuwe beheerders. Op 7 december verscheen er een beveiligingsupdate voor de kwetsbaarheid. Drie maanden na het uitkomen van de patch blijkt uit cijfers van WordPress.org dat zeker veertig procent van de WordPress-sites waarop de plug-in is geïnstalleerd de update mist. Daardoor zijn tienduizenden websites nog steeds kwetsbaar. Bij de nieuwste aanvallen maken aanvallers misbruik van het beveiligingslek om kwaadaardige code aan WordPress-sites toe te voegen die bezoekers naar malafide sites doorstuurt. bron: https://www.security.nl

Het internetdomein Fritz.box is offline gehaald na een klacht van netwerkfabrikant AVM. De FRITZ!Box-modems van AVM maken op het interne netwerk gebruik van het domein fritz.box om de gebruikersinterface te openen. Via de gebruikersinterface zijn alle functies van de FRITZ!Box te configureren en is gedetailleerde informatie over het product, de aansluiting en verbindingen te vinden. Op 22 januari van dit jaar werd door iemand het internetdomein Fritz.box geregistreerd, waarop allerlei NFT-advertenties werden getoond. Dit zorgde ervoor dat gebruikers die op hun modem wilden inloggen naar de internetsite werden doorgestuurd. AVM liet vorige maand weten dat het naar 'verschillende oplossingen' keek om de situatie te herstellen. De netwerkfabrikant lijkt inmiddels een beroep te hebben gedaan op het Uniform Rapid Suspension System, waarvan merkhouders gebruik kunnen maken. Het domein liet vorige week namelijk de melding zien: 'This Site is Suspended. The Domain Name you have entered is not available. It has been taken down as a result of dispute resolution proceedings pursuant to the Uniform Rapid Suspension System (URS)." Eigenaren van een FRITZ!Box kunnen de gebruikersinterface van de modem naast het domein fritz.box ook via een ip-adres bereiken. Op Reddit wordt gesuggereerd dat AVM bij de lancering van het .box top level domein (TLD) vergeten is om de domeinnaam te registreren. Security.NL heeft AVM om een reactie gevraagd. bron: https://www.security.nl

Softwarebedrijf JetBrains heeft securitybedrijf Rapid7 de schuld gegeven van de aanvallen op TeamCity-servers die de afgelopen dagen plaatsvonden. Volgens JetBrains heeft Rapid7 'onethisch' gehandeld door details en een exploit voor een kritieke kwetsbaarheid in TeamCity uit te brengen vijf uur nadat een beveiligingsupdate voor het probleem beschikbaar was gemaakt. TeamCity is een platform voor softwareontwikkeling, met wereldwijd meer dan dertigduizend klanten, aldus ontwikkelaar JetBrains. Het platform wordt onder andere gebruikt voor het compileren, builden, testen en uitbrengen van software. De kritieke kwetsbaarheid in het platform (CVE-2024-27198) maakt het mogelijk voor een aanvaller met toegang tot een Jetbrains-server om de authenticatie te omzeilen en een admin-account aan te maken. Zo kan de aanvaller beheerderstoegang tot het systeem krijgen. Het beveiligingslek werd gevonden door Rapid7 dat het probleem bij JetBrains rapporteerde. Vervolgens ontstond er een woordenwisseling tussen beide bedrijven over het aankondigen van de kwetsbaarheid en vrijgeven van details. Rapid7 beschuldigde JetBrains van het stilletjes willen patchen van de kwetsbaarheid, wat weer door de TeamCity-ontwikkelaar werd ontkend. Vijf uur na het uitkomen van de beveiligingsupdate publiceerde Rapid7 details van de kwetsbaarheid en een exploitmodule voor Metasploit. Dit is een opensourceframework voor het testen van de beveiliging van systemen en netwerken en is erg geliefd bij penetratietesters en securityprofessionals. Kort na het verschijnen van de details en exploitmodule werden TeamCity-servers aangevallen. "We vinden dat het publiceren van de volledige technische details van een kwetsbaarheid en exploit gelijktijdig met de update onethisch en schadelijk voor onze klanten is", aldus JetBrains. Het bedrijf stelt dat klanten hierdoor onvoldoende tijd hadden om de patch te installeren en zo konden worden aangevallen. "Na de full disclosure hoorden we van klanten dat hun servers waren gecompromitteerd. Dit was mogelijk door de exploit die Rapid7 ter beschikking stelde", aldus JetBrains. Het softwarebedrijf vindt dan ook dat details pas veel later na het verschijnen van een update openbaar moeten worden. bron: https://www.security.nl

De Europese Commissie overtreedt met het gebruik van Microsoft 365 de privacywetgeving voor EU-instellingen (EUI's), zo heeft de Europese privacytoezichthouder EDPS vastgesteld. De EDPS heeft Brussel opgedragen om vanaf 9 december te stoppen met het doorsturen van data naar Microsoft en diens partners en subverwerkers die zich buiten de EU bevinden en niet onder een besluit vallen waarbij het beschermingsniveau passend wordt verklaard. Tevens heeft de privacytoezichthouder de Europese Commissie opgedragen om het gebruik van Microsoft 365 aan de geldende regelgeving te laten voldoen. Ook dit moet uiterlijk 9 december zijn geregeld. Volgens de EDPS heeft Brussel niet voor voldoende waarborgen gezorgd dat persoonlijke data die buiten de EU wordt verstuurd net zo goed beschermd is als binnen de EU. Verder heeft de Europese Commissie in het contract met Microsoft over het gebruik van Microsoft 365 niet voldoende duidelijk gemaakt welke persoonlijke data mag worden verzameld en voor welke expliciet vermelde doeleinden. De overtredingen van de Europese Commissie als verwerkingsverantwoordelijke hebben ook betrekking op de data die namens haar wordt verwerkt, waaronder het uitwisselen van persoonlijke data. "Het is de verantwoordelijkheid van EU-instellingen, -organen, -instanties en -agentschappen om ervoor te zorgen dat de verwerking van persoonlijke data buiten en binnen de EU, waaronder binnen de context van clouddiensten, is vergezeld van robuuste databeschermingswaarborgen en -maatregelen. Dit is van groot belang om ervoor te zorgen dat de informatie van personen wordt beschermd, zoals is vastgelegd in Regelgeving (EU) 2018/1725, wanneer data wordt verwerkt door, of in naam, van een EUI", aldus EDPS-voorzitter Wojciech Wiewiorowski (pdf). bron: https://www.security.nl

Een kritieke kwetsbaarheid in de wachtwoordresetfunctie van Facebook maakte het mogelijk voor aanvallers om accounts te kapen, soms zonder enige interactie van gebruikers. Meta heeft het probleem inmiddels verholpen, zo meldt beveiligingsonderzoeker Samip Aryal die het probleem ontdekte en op 30 januari rapporteerde. Facebook biedt gebruikers verschillende opties voor het resetten van hun wachtwoord. Een daarvan is de optie om een wachtwoord te resetten door een zescijferige code via een Facebooknotificatie naar een andere app of apparaat te sturen dan waar de gebruiker op is ingelogd. De verstuurde inlogcode bleek zo'n twee uur actief en in deze tijdsduur verstuurde Facebook ook steeds dezelfde code. Daarnaast bleek Facebook geen beveiliging tegen bruteforce-aanvallen te hebben geïmplementeerd, waardoor het mogelijk was om via een tool zoals Burp Suite alle mogelijke combinaties te proberen en zo de wachtwoordreset uit te voeren. Om de aanval uit te voeren zou een aanvaller in naam van een andere gebruiker eerst een wachtwoordreset moeten aanvragen. Deze gebruiker zou dan de notificatie ontvangen. Vervolgens zou de aanvaller dan de bruteforce-aanval kunnen uitvoeren om de door Facebook verstuurde inlogcode te kunnen achterhalen. Bij sommige gebruikers bleek dat de zescijferige code meteen in de notificatie van Facebook werd gegenereerd en weergegeven. Bij andere gebruikers was een extra click op de notificatie vereist voordat de code werd gegenereerd en weergegeven, waarna pas de aanval kon plaatsvinden. Facebook biedt een beloning van 130.000 dollar voor aanvallen waarbij een account zonder enige interactie van gebruikers is over te nemen. Voor een '1-click' aanval, waarbij er nog een click van de gebruiker is vereist, wordt een bedrag van maximaal 50.000 dollar betaald. Facebook stelde dat in het geval van de aanval die Aryal demonstreerde er nog interactie van gebruikers was vereist, maar dat het klikken op een notificatie een veel kleiner obstakel is dan het klikken op een link. Welk bedrag er uiteindelijk is uitgekeerd wil Aryal niet laten weten. bron: https://www.security.nl

Deurbelcamera's van fabrikant Eken, die ook onder allerlei andere namen worden verkocht, zijn zeer eenvoudig door kwaadwillenden over te nemen, die daarna ermanent met beelden van de videofeed kunnen meekijken. Dat meldt de Amerikaanse consumentenorganisatie Consumer Reports. Het enige dat een aanvaller hoeft te doen is een account aanmaken via de Aiwit-app. Vervolgens kan de aanvaller naar de deurbelcamera van zijn slachtoffer gaan en de bel indrukken om de pairingmode te starten. Vervolgens is het mogelijk om de deurbel met een wifi-netwerk te verbinden en het apparaat zo volledig over te nemen. Daarna is het mogelijk om live met de camera mee te kijken. Ook kan de aanvaller dan het serienummer van de camera achterhalen. De oorspronkelijke eigenaar krijgt, wanneer een aanvaller zijn telefoon aan de deurbelcamera koppelt, bericht dat hij geen toegang meer heeft. Door zijn telefoon opnieuw te pairen is het mogelijk voor de eigenaar om de controle weer terug te krijgen. Een probleem is echter dat een aanvaller met het achterhaalde serienummer van de deurbelcamera beelden van de videofeed kan blijven bekijken, ook al is zijn telefoon niet meer gepaird. Hiervoor is geen account of wachtwoord vereist en de eigenaar krijgt hier geen melding van. Tevens blijkt dat de deurbelcamera's ook het ip-adres en wifi-netwerknaam onversleuteld naar het internet versturen. De camera's worden in allerlei webshops en op online marktplaatsen aangeboden, ook in Nederland. De Android-app van Eken is meer dan een miljoen keer gedownload. Consumer Reports meldde de problemen bij de deurbelcamerafabrikant, maar kreeg naar eigen zeggen geen reactie. bron: https://www.security.nl

Onderzoekers hebben op GitHub meer dan honderdduizend besmette repositories ontdekt die zich voordoen als legitieme repositories, maar in werkelijkheid malware bevatten. Repositories bestaan uit broncode en bestanden van softwareprojecten. Bij de waargenomen aanvallen klonen aanvallers bestaande, legitieme repositories. Vervolgens worden de gekloonde repositories van malware voorzien en opnieuw naar GitHub met identieke namen geüpload. Deze gekloonde, besmette repositories worden dan automatisch duizenden keren geforkt. De aanvallers proberen dan door middel van social engineering, bijvoorbeeld via berichten op fora en Discord, gebruikers naar de malafide repositories te lokken. Het komt echter ook voor dat gebruikers zelf de verkeerde repository kiezen, aldus onderzoekers van securitybedrijf Apiiro. De meeste geforkte malafide repositories worden automatisch door GitHub verwijderd, maar de handmatig geüploade repositories worden vaak gemist en weten zo te overleven, zo laten de onderzoekers verder weten. Vanwege het grote aantal malafide repositories gaat het nog steeds om vele duizenden repositories. De malware in de repositories steelt wachtwoorden, cookies en andere vertrouwelijke data en stuurt die terug naar de aanvallers. bron: https://www.security.nl

3D-printerfabrikant Anycubic is een onderzoek gestart nadat gebruikers wereldwijd via hun printer bericht kregen dat die kritieke kwetsbaarheden bevat. In een bericht op Discourse wordt gemeld dat de printers twee kritiek beveiligingslekken bevatten waarvan er één 'catastrofaal' is als die door een aanvaller wordt gevonden. Volgens het bericht zijn de kwetsbaarheden herhaaldelijk bij Anycubic gemeld, maar heeft de fabrikant geen actie ondernomen. Op Reddit regende het klachten en vragen van gebruikers die de boodschap via hun printer ontvingen. Het gaat om een tekstbestand dat op de printers werd geplaatst. Het beveiligingslek zou zich bevinden in de MQTT-service waarmee de printers vanaf het internet zijn te bedienen. Het MQTT (Message Queueing Telemetry Transport)-protocol maakt het mogelijk om berichten tussen apparaten uit te wisselen. In het verleden zijn er vaker kwetsbaarheden in de MQTT-implementaties van fabrikanten gevonden. Op Reddit meldt Anycubic dat het een onderzoek is gestart. Het bedrijf claimt drie miljoen 3D-printers te hebben verkocht. bron: https://www.security.nl

Een beruchte groep cybercriminelen heeft een zerodaylek in Windows gebruikt voor de installatie van een rootkit. De kwetsbaarheid werd deze maand door Microsoft verholpen, zo meldt antivirusbedrijf Avast, dat het beveiligingslek vorig jaar augustus aan Microsoft rapporteerde. De virusbestrijder stelt dat het om een actief aangevallen zerodaylek gaat. Microsoft zegt in het beveiligingsbulletin echter niet bekend te zijn met misbruik van CVE-2024-21338. De kwetsbaarheid maakt het mogelijk voor een aanvaller die al adminrechten op een gecompromitteerd systeem heeft om kernelrechten te krijgen. Volgens Avast heeft de beruchte Lazarus Group het beveiligingslek gebruikt om de FudModule-rootkit op systemen te installeren. De Lazarus Group wordt onder andere verantwoordelijk gehouden voor de verspreiding van de WannaCry-ransomware, de hack van Sony Pictures Entertainment in 2014 en de diefstal van 81 miljoen dollar van een bank in Bangladesh in 2016. Daarnaast zou de groep honderden miljoenen euro's aan cryptovaluta bij cryptobeurzen en -bedrijven hebben gestolen. Via de rootkit, die de groep al jaren gebruikt, kan het antivirus- en monitoringssoftware uitschakelen. Een eerdere versie van de rootkit werd in oktober 2021 door antivirusbedrijf ESET op een systeem van een organisatie in Nederland ontdekt (pdf). "Lazarus is zeer voorzichtig wanneer het de rootkit inzet, en rolt die alleen onder de juiste omstandigheden uit", aldus Avast. De virusbestrijder heeft vandaag details over de rootkit gegeven, die door middel van een nog onbekende remote access trojan werd geïnstalleerd. Details over deze trojan en gebruikte infectievector worden binnenkort gepubliceerd. bron: https://www.security.nl

Brave heeft de in de browser ingebouwde cryptowallet van een update voorzien, zodat nu ook bitcoin wordt ondersteund. De browserontwikkelaar wil met de Brave Wallet naar eigen zeggen de 'veiligste en privacyvriendelijkste' wallet voor dagelijks gebruik aanbieden. Via de Brave Wallet is het nu mogelijk om naar alle soorten bitcoin-adressen geld over te maken of te ontvangen. Op dit moment is het alleen mogelijk om via de Brave Wallet 'native SegWit bitcoin-accounts' aan te maken, maar later dit jaar volgen ook andere soorten accounts. De bitcoin-support is vooralsnog alleen in de desktopversie aanwezig, maar komt ook beschikbaar in de mobiele versie. "In tegenstelling tot de meeste cyptowallets is de Brave Wallet browser-native, wat inhoudt dat geen extra downloads of extensies vereist, wat beveiligingsrisico's vermindert", aldus de browserontwikkelaar. bron: https://www.security.nl

Aanvallers maken al enige tijd gebruik van een reeks kwetsbaarheden in Ivanti Connect Secure VPN om servers te compromitteren en van backdoors te voorzien. Daarbij wordt nu ook geprobeerd om deze backdoors upgrades, patches en zelfs fabrieksresets te laten overleven. Dit is echter door een fout in de malware nog niet gelukt, zo stelt securitybedrijf Mandiant in een analyse. Volgens het bedrijf laat deze ontwikkeling wel zien hoeveel moeite de aanvallers proberen te doen om toegang tot belangrijke doelwitten te behouden en benadrukt tevens het belang om netwerkapparatuur van de laatste updates en patches te voorzien. Mandiant stelt dat waarschijnlijk tal van Ivanti vpn-servers via de recent misbruikte zerodaylekken zijn gecompromitteerd. Vanwege de aanvallen werden Amerikaanse overheidsdiensten opgedragen om Ivanti-apparaten van het netwerk los te koppelen. Ook werden organisaties opgeroepen, onder andere door Europol, om een fabrieksreset van de apparatuur uit te voeren. De aanvallers proberen hierop te anticiperen door hun malware een dergelijke reset te laten overleven. "Dit is tot nu toe niet succesvol geweest vanwege een gebrek aan logica in de malwarecode om rekening te houden met een encryption key mismatch", aldus Mandiant. De aanvallen zijn volgens het securitybedrijf het werk van twee vanuit China opererende spionagegroepen. Ivanti heeft inmiddels een nieuwe versie van de Integrity Checking Tool (ICT) uitgebracht waarmee organisaties de aanwezigheid van malware kunnen detecteren. Afsluitend stelt Mandiant dat de aanvallers via de gebruikte malware en pogingen om fabrieksresets te overleven hebben aangetoond over uitgebreide kennis van Ivanti vpn-servers te beschikken. Het securitybedrijf verwacht dat deze en andere groepen zerodaylekken in netwerk edge apparaten zullen gebruiken om organisaties aan te vallen. bron: https://www.security.nl

Besmette Ubiquiti EdgeRouters zijn door aanvallers gebruikt voor het stelen van inloggegevens en wachtwoordhashes, proxyen van netwerkverkeer en uitvoeren van phishingaanvallen, zo waarschuwen de FBI, de Amerikaanse geheime dienst NSA, het Centrum voor Cybersecurity België, het Britse National Cyber Security Centre (NCSC), het Duitse Bundesamt für Sicherheit in der Informationstechnik (BSI), alsmede politiediensten uit Noorwegen, Zuid-Korea, Letland, Frankrijk, Brazilië, Polen en Litouwen (pdf). De autoriteiten roepen eigenaren op om een fabrieksreset van de routers uit te voeren. In een gezamenlijke waarschuwing stellen de autoriteiten dat de aanvallen zijn uitgevoerd door een eenheid van de Russische geheime dienst, die ook bekendstaat als APT28 en Fancy Bear. Onlangs maakte de Amerikaanse overheid bekend dat het een botnet van besmette Ubiquiti EdgeRouters in de Verenigde Staten had opgeschoond, door de malware van de apparaten te verwijderen en firewall rules te wijzigen. De diensten stellen dat EdgeRouters vaak met standaard inloggegevens worden verscheept en over beperkte of geen firewallbescherming beschikken. Daarnaast installeren EdgeRouters niet automatisch beveiligingsupdates, tenzij beheerders instellen om dit te doen. Volgens de diensten heeft APT28 besmette EdgeRouters gebruikt om inloggegevens te verzamelen, netwerkverkeer te proxyen en gespoofte landingpagina's te hosten. Zo gebruikten de aanvallers scripts voor het verzamelen van inloggegevens van specifieke webmailgebruikers. Tevens zijn besmette EdgeRouters gebruikt voor het uitvoeren van NTLM relay-aanvallen en het stelen van wachtwoordhashes. In het geval van een relay-aanval kan een aanvaller met de onderschepte hash van het slachtoffer inloggen. Aanvallen zijn uitgevoerd tegen overheden, militaire organisaties en bedrijven in allerlei sectoren, aldus de diensten in hun gezamenlijke advisory. Om toegang tot de routers te krijgen maken de aanvallers gebruik van standaard wachtwoorden en 'getrojaniseerde OpenSSH serverprocessen', afkomstig van al aanwezige malware. Deze malware is eerder gebruikt om de routers via standaard inloggegevens te compromitteren. Vervolgens worden legitieme bestanden op de router vervangen door getrojaniseerde versies. Maatregelen De overheidsdiensten roepen eigenaren van Ubiquiti EdgeRouters op om een hardwarematige fabrieksreset uit te voeren, de laatste firmware te installeren, standaard inloggegevens te wijzigen en firewall rules voor de WAN-interfaces in te stellen. In de advisory geven de diensten allerlei informatie om de aanwezigheid van malware op de routers te detecteren. bron: https://www.security.nl

De makers van het op privacy gerichte besturingssysteem Tails hebben een nieuwe versie uitgebracht die gebruikers voortaan ook tegen malafide usb-sticks en andere -apparaten moet beschermen. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Tails kan vanaf een usb-stick of dvd worden gestart. Het maakt gebruik van het Tor-netwerk om het ip-adres van de gebruiker af te schermen. Het besturingssysteem, dat wordt aangeraden door verschillende burgerrechtenbewegingen, privacy-experts en klokkenluider Edward Snowden, wordt tienduizenden keren per dag gestart. Vandaag is versie 6.0 gelanceerd met bescherming tegen malafide usb-apparaten. "Wanneer een aanvaller erin slaagt om een malafide usb-apparaat op je computer aan te sluiten, kan die software draaien die de in Tails ingebouwde security breekt, zonder dat je dit doorhebt", aldus de ontwikkelaars van het besturingssysteem. Om dergelijke aanvallen te voorkomen wanneer een gebruik weg van zijn computer is, zal Tails 6.0 alle usb-apparaten die op een vergrendeld systeem worden aangesloten negeren. Nieuwe usb-apparaten zijn alleen te gebruiken wanneer het scherm is ontgrendeld. De nieuwe versie kan nu ook waarschuwen voor defecte usb-sticks en zal aangesloten usb-sticks of harde schijven voortaan automatisch mounten. Tevens is het nu eenvoudiger om een Gmail-account in Thunderbird te configureren. Tails-gebruikers kunnen vanaf een bestaande versie naar versie 6.0 updaten of een geheel nieuwe versie via Tails.net downloaden. bron: https://www.security.nl

De Amerikaanse staat Nevada wil de uitrol van end-to-end encrypte in Facebook Messenger door middel van een gerechtelijk bevel verbieden. De procureur-generaal van de staat heeft hier een verzoek toe ingediend (pdf). De autoriteiten willen dat de beveiligingsmaatregel, die ervoor zorgt dat berichten alleen zijn te bekijken door afzender en ontvanger, niet voor minderjarigen op het platform beschikbaar komt. "Encryptie is het belangrijkste middel dat we hebben om privacy te beschermen, wat met name belangrijk is voor jongeren op internet. Toch lijkt Nevada onder het mom van het beschermen van kinderen te beweren dat alleen het aanbieden van encryptie op een socialmediaplatform, waarvan Meta weet dat het door criminelen wordt gebruikt, illegaal is", zo reageert de Amerikaanse burgerrechtenbeweging EFF. "Dit kan niet de wet zijn; in de praktijk kan de staat zo alle platforms verbieden om encryptie aan te bieden, en zo'n vonnis zou grote grondwettelijke zorgen met zich meebrengen." Riana Pfefferkorn, van het Stanford Internet Observatory, noemt het een 'compleet gestoorde aanval' op encryptie, alsmede de 'grootste aanval' op encryptie in de Verenigde Staten sinds 2016. Volgens de EFF laten dit soort rechtszaken ook het risico zien van wetsvoorstellen, zoals EARN IT ed Stop CSAM, waarbij ook wordt geprobeerd om encryptie in te perken. bron: https://www.security.nl

Een tijdelijke uitzondering op de Europese ePrivacy-richtlijn, waardoor internetbedrijven privécommunicatie van hun gebruikers vrijwillig op misbruikmateriaal mogen controleren, wordt met twintig maanden verlengd. Dat zijn de Europese Commissie, het Europees Parlement en de Europese Raad overeengekomen, zo laat het kabinet aan de Tweede Kamer weten. De Europese privacytoezichthouder EDPS liet zich onlangs nog kritisch uit over het plan. Vier jaar geleden kwam de Europese Commissie met het voorstel om een tijdelijke uitzondering op de Europese ePrivacy-richtlijn te maken, waardoor communicatieproviders privécommunicatie van hun gebruikers vrijwillig op misbruikmateriaal mogen controleren. Dit is een ander voorstel dan het plan van de Europese Commissie om berichten van burgers door middel van client-side scanning te controleren, waarover de onderhandelingen nog lopen. Het voorstel van de Europese Commissie werd in 2021 door het Europees Parlement aangenomen. Het laat bedrijven op vrijwillige basis het verkeer van hun gebruikers controleren op bekend misbruikmateriaal. In augustus van dit jaar verloopt de tijdelijke uitzondering, maar afgelopen november kwam de Europese Commissie met een voorstel om de uitzondering te verlengen. Vervolgens kan er dan over langetermijnwetgeving worden onderhandeld, aldus Brussel. Kritiek De EDPS was al tegen het oorspronkelijke voorstel uit 2020 en stelt dat de zorgen nog steeds niet zijn weggenomen. Volgens de Europese privacytoezichthouder beperkt het voorstel de fundamentele rechten op privacy en persoonlijke data, waaronder hun recht op vertrouwelijkheid en communicatie. Zelfs wanneer communicatieproviders op vrijwillige basis detectie toepassen, ontslaat dit de Europese Commissie er niet van om met een uitgebreid juridisch raamwerk te komen dat aan de fundamentele rechten van de Europese Unie voldoet. De zorgen die de EDPS vier jaar geleden uitte zijn er nog steeds, zo bleek eind vorige maand. Zo bevat de voorgestelde uitzondering geen bescherming tegen algemene en ongerichte monitoring van privécommunicatie. Daarbij maakt de EDPS zich met name zorgen over de grote foutmarge van huidige detectietechnologie, met name voor het detecteren van nieuw materiaal en grooming. Een andere zorg is dat de technologie consensueel gemaakte en gedeelde beelden als misbruikmateriaal bestempelt, met alle gevolgen van dien voor de betrokken personen, ook al houden die zich niet met CSAM bezig. Akkoord Demissionair minister Weerwind voor Rechtsbescherming en demissionair minister Yesilgöz van Justitie en Veiligheid laten aan de Tweede Kamer weten dat de onderhandelingen zijn afgerond om de uitzondering op de ePrivacy-Richtlijn voor het detecteren van misbruikmateriaal door de internetsector mogelijk te maken. "De bestaande derogatie zal worden verlengd met 20 maanden." Volgens de bewindslieden is het verlengen van de uitzondering een resultaat van het vastlopen van de onderhandelingen over het plan van de Europese Commissie om alle chatberichten van Europese burgers door middel van client-side scanning te inspecteren. Het Europees Parlement is tegen dit plan en ook binnen de Europese Raad kon geen akkoord worden bereikt. Volgende maand komt de Raad Justitie en Binnenlandse Zaken (JBZ) bijeen en zullen ministers van EU-lidstaten onder andere over de bestrijding van misbruikmateriaal en vastgelopen onderhandelingen spreken. "Naar verwachting zal het Voorzitterschap tijdens de Raad ook de contouren willen schetsen hoe zij de discussie over de CSAM-verordening verder willen brengen. Hierbij is geen besluitvorming voorzien", aldus de bewindslieden (pdf). Melding Onlangs liet het Openbaar Ministerie weten dat een misbruikverdachte uit Huizen dankzij meldingen van Facebook en Google kon worden aangehouden. De man zou materiaal via Facebook Messenger en YouTube hebben gedeeld en geüpload en kon zo, vanwege het e-mailadres dat aan het account was gekoppeld, worden opgespoord. bron: https://www.security.nl

Eigenaren van een QNAP NAS-systeem die hun apparaat via myQNAPcloud Link vanaf het internet benaderen moeten een aantal updates doorvoeren, anders kunnen ze vanaf 29 februari de dienst niet meer gebruiken, zo waarschuwt de NAS-fabrikant. MyQNAPcloud Link zorgt ervoor dat het NAS-systeem via een unieke domeinnaam vanaf het internet benaderbaar is. QNAP meldt dat het "architecturale aanpassingen' en 'beveiligingsverbeteringen' aan myQNAPcloud heeft doorgevoerd. Dit zou voor betere en veiligere verbindingen moeten zorgen. Om hiervan gebruik te maken moeten gebruikers myQNAPcloud Link op hun NAS, de QNAP-app op hun telefoon en het QTS-besturingssysteem upgraden. Gebruikers die dit niet doen kunnen vanaf 29 februari niet meer via de mobiele app verbinding met hun NAS-systeem maken. Voor wie niet kan updaten is er nog een oplossing door port forwarding op de router in te stellen, aldus QNAP. bron: https://www.security.nl

Aanvallers maken op grote schaal misbruik van een kritieke kwetsbaarheid in ConnectWise ScreenConnect, software om systemen op afstand mee te beheren en monitoren, zo stelt securitybedrijf Mandiant. ConnectWise kwam op 19 februari met een beveiligingsupdate voor het beveiligingslek (CVE-2024-1708), waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 10.0. Het gaat om een authenticatie bypass, waardoor het mogelijk is om kwetsbare servers op afstand, zonder authenticatie volledig over te nemen. Het probleem zit al sinds de eerste versie in de software. Daarnaast gaat het ook om CVE-2024-1709. Een path traversal-kwetsbaarheid waarmee het mogelijk is om malware op kwetsbare servers te installeren. Nadat de server is gecompromitteerd kan een aanvaller alle systemen die via de server worden beheerd en gemonitord aanvallen. Elke ScreenConnect-server kan 150.000 apparaten beheren. Naast Mandiant meldt ook securitybedrijf WithSecure dat er inmiddels sprake is van "mass exploitation". Het gaat onder andere om ransomware-aanvallen. Volgens cijfers van Shadowserver Foundation zijn er nog duizenden kwetsbare ScreenConnect-servers op internet te vinden, waaronder zo'n dertig in Nederland. bron: https://www.security.nl

Burgerrechtenbeweging Bits of Freedom heeft bij de Europese Commissie een klacht ingediend over LinkedIn. Het zakelijke sociale netwerk zou mogelijk in strijd met de Digital Services Act (DSA) gevoelige gegevens gebruiken voor het tonen van advertenties. Zo mogen bijvoorbeeld seksuele geaardheid, politieke opvattingen en etnische afkomst niet voor advertenties worden gebruikt. "Op basis van ons onderzoek, vermoeden we echter dat LinkedIn dit verbod overtreedt", zegt Lotje Beek van Bits of Freedom. "Daarom hebben we een klacht ingediend bij de Europese Commissie over dit platform. Hiermee hopen we bij te dragen aan effectieve handhaving en de Digital Services Act tot een succes te brengen. Aangezien de klacht op dit moment in behandeling gaat, kunnen we er inhoudelijk nog niet teveel over kwijt. Uiteraard houden we je op de hoogte van de voortgang." De klacht werd samen ingediend met burgerrechtenbewegingen EDRi, Global Witness en Gesellschaft für Freiheitsrechte. Die stellen dat het verbod om gevoelige gegevens voor advertenties te gebruiken een belangrijk wapenfeit van de DSA is. "Aangezien het erkent dat de meest gevoelige data nooit mag worden gebruikt om mensen online te targetten." De Europese Commissie heeft LinkedIn onder de DSA aangemerkt als een Very Large Online Platform (VLOP), waardoor er extra eisen aan het platform worden gesteld. bron: https://www.security.nl

De criminelen achter de LockBit-ransomware hebben een nieuwe website op het Tor-netwerk gelanceerd waar ze namen van hun slachtoffers kunnen publiceren. Daarnaast vermoedt de groep dat de recente politieoperatie mogelijk was via een kwetsbaarheid in PHP. Vorige week wisten politiediensten tijdens een internationale operatie de website van de ransomwaregroep in beslag te nemen, alsmede tientallen servers. Daarbij werden ook de decryptiesleutels van meer dan duizend slachtoffers aangetroffen. De LockBit-website werd gehost op het Tor-netwerk, dat standaard het ip-adres afschermt. Dat moet het lastiger maken om de locatie van de webserver te achterhalen. "Vanwege mijn persoonlijke nalatigheid en onverantwoordelijkheid heb ik verzaakt en PHP niet op tijd geüpdatet. De servers draaiden PHP 8.1.2, en zijn vermoedelijk via CVE-2023-3824 gecompromitteerd", aldus een beheerder van de groep. Het gaat om een kritieke kwetsbaarheid in PHP die tot een buffer overflow kan leiden en al sinds augustus vorig jaar bekend is. De beheerder stelt dat de politiediensten zo toegang tot de twee primaire servers hebben kregen. Er wordt niet uitgesloten dat er een zerodaylek in PHP is gebruikt, maar aangezien er al een kwetsbare versie geïnstalleerd was is dit volgens de beheerder de meest waarschijnlijke methode. De nieuwe servers die de criminelen voor hun website gebruiken draaien PHP 8.3.3. "Als iemand een kwetsbaarheid in deze versie vindt, laat me het dan weten en je ontvangt een beloning", zo stelt de beheerder in een uitleg die door VX-underground werd gedeeld. De beheerder waarschuwt dat iedereen met een kwetsbare PHP-versie risico loopt en met een gecompromitteerde server te maken kan krijgen. "Ik weet zeker dat veel concurrenten op dezelfde manier via PHP zijn gehackt." De groep zegt dat het met de aanvallen zal blijven doorgaan en heeft op de nieuw gelanceerde site een logo van de FBI geplaatst. bron: https://www.security.nl

Kun je nog even laten weten of het allemaal gelukt en opgelost is. Dan kunnen we het topic sluiten

We snappen de paniek. het gaat niet eens zozeer om de grote van het bedrag, maar dat een ander in jouw "leven" komt en er mee aan de haal gaat. Ook al geven enkele banken in Nederland het advies om niet de politie te bellen daar het toch niet veel zin heeft, is mijn advies het zeker wel te doen. Ieder aangifte is hierin belangrijk. En ja, de "hackers" zijn slim. Maar geen paniek. Met de adviezen hier komen we een heel eind. En wanneer je iets niet begrijpt, gewoon aangeven. Leggen we het gewoon op een andere manier uit.

Softwarebedrijf ConnectWise waarschuwt organisaties voor actief misbruik van een kritieke kwetsbaarheid in ScreenConnect, software om systemen op afstand mee te beheren en monitoren. Volgens de Shadowserver Foundation zijn er 3800 kwetsbare ScreenConnect-servers op internet te vinden, wat 93 procent van het totaal is. ConnectWise kwam op 19 februari met een beveiligingsupdate voor het beveiligingslek, waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 10.0. Het gaat om een authenticatie bypass, waardoor het mogelijk is om kwetsbare servers op afstand, zonder authenticatie volledig over te nemen. Vervolgens kan een aanvaller alle systemen die via de server worden beheerd en gemonitord aanvallen. Verdere details zijn niet gegeven. Bij de publicatie van het beveiligingsbulletin meldde ConnectWise dat het geen aanwijzingen heeft van misbruik. Wel werden organisaties opgeroepen om de update meteen te installeren. Volgens securitybedrijven is misbruik van het beveiligingslek zeer eenvoudig en één securitybedrijf publiceerde proof-of-concept exploitcode. Een dag na de publicatie van de update laat ConnectWise weten dat er inmiddels aanvallen plaatsvinden. Vorig jaar waarschuwde de FBI nog voor misbruik van oplossingen zoals ScreenConnect. bron: https://www.security.nl

VMware roept organisaties op om de Enhanced Authentication Plug-in (EAP) van systemen te verwijderen, aangezien die een kritieke kwetsbaarheid (CVE-2024-22245) bevat en niet meer wordt ondersteund. De EAP-plug-in biedt geïntegreerde Windowsauthenticatie en Windowsgebaseerde smartcardfunctionaliteit. Door de plug-in op werkstations te installeren kunnen gebruikers op vSphere managementinterfaces en tools inloggen. VMware's vSphere is een 'bare metal hypervisor' voor het virtualiseren van besturingssystemen. De virtualisatiesoftware wordt direct op een server geïnstalleerd en kan vervolgens het gevirtualiseerde besturingssysteem laden. Begin 2021 kondigde VMware aan dat het de support van de plug-in stopzette. Een onlangs gevonden 'authenticatie relay' kwetsbaarheid in de plug-in maakt het mogelijk voor aanvallers om gebruikers, die de plug-in geïnstalleerd hebben, servicetickets voor willekeurige Active Directory Service Principal Names (SPNs) te laten opvragen en relayen. Een aanvaller kan zo toegang tot elke willekeurige service krijgen die via een SPN toegankelijk is. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.6. Omdat de plug-in niet meer wordt ondersteund moeten organisaties die verwijderen als oplossing voor het gevonden beveiligingslek, aldus VMware. bron: https://www.security.nl

WordPress-sites die gebruikmaken van Bricks Builder worden aangevallen via een kritieke kwetsbaarheid waarvoor vorige week een update verscheen, zo melden securitybedrijven. Bricks Builder is een "theme en page builder" plug-in die de standaard WordPress-editor vervangt. Het biedt gebruikers meer vrijheid en mogelijkheden voor het vormgeven van hun WordPress-site en introduceert allerlei extra functionaliteit. Het gaat om een betaalde plug-in die op zo'n 25.000 WordPress-sites zou draaien. Een kritieke kwetsbaarheid in de software (CVE-2024-25600) maakt ongeauthenticeerde remote code execution mogelijk, waardoor een aanvaller op afstand willekeurige commando's kan uitvoeren en zo de website/server kan overnemen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Vorige week dinsdag 13 februari kwam Bricks Builder met een beveiligingsupdate en riep beheerders op om meteen te updaten naar versie 1.9.6.1. Op dat moment was er nog geen misbruik bekend, aldus het beveiligingsbulletin. Inmiddels is dat wel het geval, zo waarschuwen securitybedrijven Patchstack en Wordfence. Vanwege de aanvallen heeft Patchstack besloten om details over het beveiligingslek eerder dan gepland openbaar te maken. bron: https://www.security.nl