Captain Kirk

Netwerkfabrikant Fortinet waarschuwt voor een kwetsbaarheid in FortiOS en FortiProxy waardoor een aanvaller de cookies van administrators kunnen stelen. Er zijn updates uitgebracht om het probleem te verhelpen. FortiOS is het besturingssysteem van Fortinet dat op allerlei netwerkapparaten draait, zoals firewalls en vpn-systemen. FortiProxy is een webgateway. Het beveiligingslek, aangeduid als CVE-2023-41677, wordt door Fortinet omschreven als een 'insufficiently protected credentials' kwetsbaarheid. Om de cookies te kunnen stelen zou een aanvaller een administrator eerst een malafide website moeten laten bezoeken via de vpn. Met de gestolen cookies kan een aanvaller vervolgens ongeautoriseerde code of commando's op het systeem uitvoeren. De impact is op een schaal van 1 tot en met 10 beoordeeld met een 7.5. bron: https://www.security.nl

Duizenden WordPress-sites kunnen door kwaadwillenden op afstand worden overgenomen omdat ze updates voor kritieke kwetsbaarheden niet hebben geïnstalleerd. De websites in kwestie maken gebruik van een plug-in genaamd MasterStudy, waarmee WordPress-sites zijn om te vormen tot een 'learning management system' (LMS). De plug-in is op meer dan tienduizend websites actief en wordt vooral gebruikt door online coaches, trainers en andere websites die zich met elearning bezighouden. De eerste kritieke kwetsbaarheid (CVE-2024-2409) maakt het mogelijk voor een ongeauthenticeerde aanvaller om zichzelf tijdens de registratie, door de user metadata aan te passen, beheerder van de website te maken. Via het tweede en derde beveiligingslek (CVE-2024-2411 en CVE-2024-3136) kan een ongeauthenticeerde aanvaller PHP-bestanden uploaden en zo willekeurige bestanden op de server uitvoeren. De impact van de drie kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.8, zo meldt securitybedrijf Wordfence. De problemen zijn via drie beveiligingsupdates verholpen, waarvan de laatste op 4 april verscheen. Uit cijfers van WordPress.org blijkt echter dat nog duizenden websites de updates niet geïnstalleerd hebben en daardoor risico lopen om te worden aangevallen. bron: https://www.security.nl

De Europese privacytoezichthouder EDPS heeft bij de presentatie van het jaaroverzicht 2023 opnieuw gewaarschuwd voor Europese plannen om chatberichten van Europese burgers te controleren, wat tot 'onomkeerbare surveillance' kan leiden (pdf). Al in 2022 sloeg de EDPS alarm over het voorstel van de Europese Commissie om de communicatie van burgers te controleren, als maatregel om kindermisbruik tegen te gaan. Begin 2022 kwam de Europese Commissie met een voorstel om alle chatberichten en ander verkeer van burgers te inspecteren. In het geval van end-to-end versleutelde chatdiensten zou dit via client-side scanning moeten plaatsvinden, waarbij alle berichten van alle burgers zouden worden gecontroleerd. Eind vorig jaar bleek dat het Europees Parlement tegen het voorstel van de Europese Commissie is en kwam met een eigen voorstel. De Europese lidstaten hebben nog geen gezamenlijke positie ingenomen en die is er nog altijd niet. Onlangs kwam de Raad Justitie en Binnenlandse Zaken (JBZ) bijeen, waarbij ook de CSAM-verordening aan bod kwam. EU-voorzitter België presenteerde toen een nieuw tekstvoorstel over de CSAM-verordening. Daarbij zou er een 'meer proportionele' aanpak worden gekozen, maar volgens critici is dat niet het geval en loopt de vertrouwelijkheid van communicatie nog steeds gevaar. Vorig jaar organiseerde de EDPS een seminar over het 'Brusselse scanplan'. "Ik sprak uit de volle overtuiging dat het CSAM-voorstel het internet en digitale communicatie zoals we die kennen fundamenteel zou veranderen, en een omslagpunt zou bereiken waarvan geen weg terug is", aldus EDPS-voorzitter Wojciech Wiewiorowski tijdens zijn presentatie aan een commissie van het Europees Parlement (pdf). bron: https://www.security.nl

Aanvallers maken actief misbruik van een backdoor en een kwetsbaarheid in zeker 92.000 NAS-systemen van fabrikant D-Link. De kwetsbare apparaten zijn end-of-life en ontvangen geen beveiligingsupdates meer. Zowel D-Link als securitybedrijven roepen gebruikers op om de NAS-systemen offline te halen. Het probleem speelt onder andere bij de D-Link DNS-340L, DNS-320L, DNS-327L en DNS-325. Het betreft een command injection-kwetsbaarheid en het gebruik van hardcoded credentials, of een 'backdoor account' zoals D-Link het noemt. Via de kwetsbaarheden kan een aanvaller zonder authenticatie willekeurige commando's op het NAS-systeem uitvoeren, wat kan leiden tot remote code execution (RCE). Om kwetsbare NAS-systemen aan te kunnen vallen moeten een aanvaller hier wel een malafide HTTP-request naar toe kunnen sturen. "We zien vanaf meerdere ip-adressen scans/exploits voor CVE-2024-3273 (kwetsbaarheid in end-of-life D-Link NAS-systemen). Het gaat om een combinatie van een backdoor en command injection om RCE mogelijk te maken", aldus de Shadowserver Foundation op X. Dit is een organisatie die zich met de bestrijding van botnets en cybercrime bezighoudt. "Aangezien er geen patch voor deze kwetsbaarheid beschikbaar is, moeten deze apparaten worden vervangen/offline gehaald, en minimaal hun remote toegang achter een firewall hebben zitten." "Actief misbruik van een remote code execution-kwetsbaarheid in D-Link NAS-systemen, raakt minstens 92.000 apparaten", laat securitybedrijf GreyNoise weten. Volgens het bedrijf worden de aanvallen uitgevoerd door een botnet waarbij wordt geprobeerd om de NAS-systemen met malware te infecteren. GreyNoise roept eigenaren van een kwetsbaar NAS-systeem op om in ieder geval hun UPnP-configuratie te controleren. bron: https://www.security.nl

De onlangs gevonden backdoor in datacompressietool XZ maakt niet alleen remote code execution mogelijk, maar ook een volledige authenticatie bypass waardoor een aanvaller met elk willekeurig wachtwoord op een systeem kan inloggen, zo stelt de Nederlandse beveiligingsonderzoeker Peter “blasty” Geissler op basis van eigen onderzoek. Volgens Geissler heeft de maker van de backdoor uitgebreide kennis van OpenSSH. Veel details over de backdoor zijn nog altijd onbekend, zoals de exacte werking en wie verantwoordelijk is. Lasse Collin, de maker van XZ, meldde vorige week dat hij een eigen onderzoek naar de backdoor zal uitvoeren. Het enige dat Collin sindsdien heeft gemeld zijn mogelijke plannen voor XZ wat betreft recent doorgevoerde commits aan de code en het gebruik van een nieuw versienummer. Verschillende onderzoekers hebben echter al wel hun bevindingen gedeeld, waaronder Geissler. Hij meldt via X dat hij een wat lastiger te activeren functionaliteit van de backdoor heeft gevonden, maar er nog meer te verkennen is. Daarbij is het via de backdoor mogelijk om de authenticatie volledig te omzeilen en met elk willekeurig wachtwoord in te loggen. "Wie dit heeft ontworpen heeft zich behoorlijke in de openSSH(d) internals verdiept", aldus Geissler. Er is inmiddels ook een Wikipedia-pagina waarin de werking van de backdoor wordt beschreven. bron: https://www.security.nl

Netwerkfabrikant D-Link waarschuwt voor een backdoor-account in niet meer ondersteunde NAS-systemen, waardoor aanvallers de apparaten op afstand kunnen aanvallen. Volgens een beveiligingsonderzoeker zijn meer dan 92.000 kwetsbare NAS-systemen op internet te vinden. Aangezien de apparaten geen patches meer ontvangen adviseert D-Link die niet meer te gebruiken en door een nieuwe NAS te vervangen. Het probleem speelt onder andere bij de D-Link DNS-340L, DNS-320L, DNS-327L en DNS-325. Het betreft een command injection-kwetsbaarheid en het gebruik van hardcoded credentials, of een 'backdoor account' zoals D-Link het noemt. Via de kwetsbaarheden kan een aanvaller zonder authenticatie willekeurige commando's op het NAS-systeem uitvoeren, wat kan leiden tot toegang tot gevoelige informatie, het aanpassen van de systeemconfiguratie of een denial of service. D-Link stelt dat de betreffende NAS-systemen end-of-life zijn en niet meer worden ondersteund. Gebruikers worden dan ook opgeroepen deze apparaten niet meer te gebruiken en te vervangen door nog wel ondersteunde apparatuur. Om kwetsbare NAS-systemen aan te kunnen vallen moeten een aanvaller hier wel een malafide HTTP-request naar toe kunnen sturen. Volgens een onderzoek met het alias 'NetworkSecurityFish' zijn echter meer dan 92.000 kwetsbare NAS-systemen vanaf het internet bereikbaar. bron: https://www.security.nl

De populaire broncode- en teksteditor Notepad++ heeft gebruikers om hulp gevraagd bij het offline halen van een 'parasitaire website'. Het gaat om de website 'notepad.plus' die zich in de kleine letters onderaan de pagina omschrijft als een 'onofficiële fan website'. Volgens Don Ho, maker van Notepad++, denken sommige gebruikers ten onrechte dat notepad.plus de officiële website van Notepad++ is. "Deze website heeft een verborgen agenda. Het zit op elke pagina vol malafide advertenties. Deze advertenties proberen nietsvermoedende Notepad++-gebruikers te laten klikken, wat geld voor de eigenaren van de site oplevert", aldus Ho. Volgens de ontwikkelaar heeft notepad.plus als doel om verkeer van de legitieme Notepad++-website weg te leiden, wat de veiligheid van gebruikers in gevaar brengt en de integriteit van de community ondermijnt. Ho roept gebruikers dan ook op om de site als schadelijke website bij Google te rapporteren. De oproep lijkt succesvol, want notepad.plus is niet meer bereikbaar. bron: https://www.security.nl

Mozilla heeft twee kritieke kwetsbaarheden in Firefox die onlangs tijdens de Pwn2Own-wedstrijd in Vancouver werden gedemonstreerd, en waardoor aanvallers systemen kunnen overnemen, binnen 21 uur gepatcht. Daarmee was het van de andere browserontwikkelaars de eerste om de Pwn2Own-kwetsbaarheden te verhelpen. Tijdens Pwn2Own worden onderzoekers beloond voor het demonstreren van onbekende kwetsbaarheden in populaire producten. Tijdens de laatste editie, die plaatsvond op 20 en 21 maart, werden succesvolle aanvallen tegen Chrome, Edge, Firefox en Safari gedemonstreerd. Alleen in het geval van Firefox ging het om kritieke kwetsbaarheden waarmee een aanvaller code op het onderliggende systeem kan uitvoeren. Onderzoeker Manfred Paul wist via zijn exploit uit de sandbox van Firefox te ontsnappen om zo code buiten de browser uit te voeren. Mozilla laat weten dat de eigen engineers altijd stand-by staan als Pwn2Own plaatsvindt, zodat het snel op gevonden problemen kan reageren. In dit geval werden de kwetsbaarheden binnen 21 uur met een update verholpen. Google kwam voor de Pwn2Own-lekken op 26 maart en 2 april met updates. Microsoft deed dat op 27 maart en 4 april. Apple moet nog met patches komen. bron: https://www.security.nl

Firefox is een samenwerking aangegaan met zoekmachine Qwant, die volgens Mozilla privacy van gebruikers en het blokkeren van trackers als prioriteit heeft. "Qwant is een op privacy-gerichte zoekmachine die gebruikers op de eerste plek zet en tegelijkertijd persoonlijke data beschermt. Door het blokkeren van trackers en advertenties helpt Qwant om je zoekresultaten neutraal en volledig te houden. Net als Firefox." De zoekmachine heeft als slogan: "Qwant doesn’t know anything about you and that changes everything!" Mozilla stelt dat de ontwikkelaars van de zoekmachine toegewijd zijn aan het beschermen van de privacy van gebruikers en het beschermen van de gedecentraliseerde aard van het web. "Waar mensen controle over hun eigen online ervaring hebben." bron: https://www.security.nl

Cisco waarschuwt voor een kwetsbaarheid in zes types vpn-routers waardoor een aanvaller in het ergste geval toegang tot de apparaten kan krijgen. Een beveiligingsupdate wordt echter niet beschikbaar gemaakt, omdat de routers end-of-life zijn, zo laat Cisco weten. Het gaat om Cisco Small Business RV016, RV042, RV042G, RV082, RV320 en RV325 vpn-routers. Doordat de webinterface gebruikersinvoer onvoldoende valideert is cross-site scripting (XSS) mogelijk. Een aanvaller zou in dit geval het doelwit wel eerst een malafide of gecompromitteerde website moeten laten uitvoeren. Vervolgens zou een aanvaller scriptcode in de context van de webinterface kunnen uitvoeren of toegang tot gevoelige informatie in de browser kunnen krijgen. Cisco meldt dat er geen updates en workarounds voor het probleem zijn. Het netwerkbedrijf adviseert als mitigatie om remote management uit te schakelen en toegang tot poorten 443 en 60443 te blokkeren. Een andere optie is de aanschaf van een nieuwe router. bron: https://www.security.nl

Linux-distributie Ubuntu heeft vanwege de XZ-backdoor besloten een bètaversie van Ubuntu 24.04 LTS (Noble Numbat) met een week uit te stellen. Oorspronkelijk stond deze versie voor morgen gepland, maar dat is verschoven naar 11 april. Als gevolg van de backdoor, aangeduid als CVE-2024-3094, heeft Canonical de beslissing genomen om alle binary packages voor Noble Numbat, die na de commit van de backdoor aan XZ-utils zijn gemaakt, te verwijderen en opnieuw te builden. "Dit geeft ons het vertrouwen dat geen enkele binary in onze builds door deze opkomende dreiging getroffen is", aldus Lukasz Zemczak van Canonical, de ontwikkelaar van Ubuntu. Eerder werd gewaarschuwd dat de gecompromitteerde versies van XZ aan verschillende Linux-distributies waren toegevoegd, waaronder Fedora Linux 40 beta en Fedora Rawhide. Wired kwam vandaag met een artikel over 'Jia Tan', de persoon die de backdoor aan datacompressietool XZ toevoegde. Onderzoekers vermoeden dat het om een persona van een statelijke actor gaat met als langetermijndoel het compromitteren van opensourceprojecten. bron: https://www.security.nl

De betaalde enquêtewebsite SurveyLama heeft de persoonlijke gegevens van 4,4 miljoen gebruikers gelekt. Het gaat om e-mailadressen, ip-adressen, adresgegevens, telefoonnummers, geboortedatum en wachtwoordhashes. Via SurveyLama kunnen gebruikers tegen betaling allerlei enquêtes invullen. Hoe de gegevens konden worden gestolen is onbekend. De gelekte e-mailadressen zijn toegevoegd aan datalekzoekmachine Have I Been Pwned. Via de website kunnen gebruikers kijken of hun gegevens in een bekend datalek voorkomen. Van de 4,4 miljoen e-mailadressen die via SurveyLama op straat zijn beland was 28 procent al via een ander datalek bij Have I Been Pwned bekend. SurveyLama claimt dat het gebruikers via e-mail over het datalek heeft ingelicht. bron: https://www.security.nl

Microsoft start later dit jaar met het aanbieden van een licentie voor betaalde beveiligingsupdates voor Windows 10. Het techbedrijf waarschuwt dat dit geen langetermijnoplossing is voor organisaties die niet naar Windows 11 willen upgraden. Op 14 oktober 2025 stopt Microsoft de support van Windows 10. Organisaties die na deze datum het besturingssysteem willen gebruiken kunnen via het Extended Security Update (ESU) programma toch beveiligingsupdates blijven ontvangen. "Extended Security Updates zijn niet bedoeld als een langetermijnoplossing, maar meer een tijdelijke overbrugging", zegt Microsofts Jason Leznek. De ESU-licentie wordt vanaf oktober dit jaar aangeboden. De prijs van de licentie zal elk opvolgend jaar worden verdubbeld, met een maximum van drie jaar. Organisaties die pas in het tweede jaar van het ESU-programma deelnemen moeten ook voor het eerste jaar betalen, omdat de updates cumulatief zijn, aldus Leznek. De Microsoft-medewerker benadrukt het belang om naar een ondersteunde versie van Windows te migreren. "Organisaties die met legacy software werken lopen een groter risico op datalekken en mogelijk compliance-overtredingen." Volgens StatCounter heeft Windows 10 op Windowscomputers wereldwijd nog een aandeel van 69 procent. In Nederland is dat 66,3 procent. bron: https://www.security.nl

Google heeft een nieuwe maatregel aangekondigd die gebruikers tegen cookiediefstal moet beschermen. Het techbedrijf stelt dat het geen nieuwe trackingmethode wordt en gebruikers het kunnen uitschakelen. Volgens Google raken veel internetgebruikers besmet met malware die sessiecookies van het systeem steelt. Deze cookies geven aan dat de gebruiker op een bepaalde website of account is ingelogd. Ze worden aangemaakt nadat de gebruiker is ingelogd. Door sessiecookies te stelen heeft een aanvaller dan ook direct toegang tot het betreffende account, waardoor het niet meer nodig is om het wachtwoord van de gebruiker te hebben of tweefactorauthenticatie te omzeilen. Als oplossing tegen dergelijke cookiediefstal heeft Google nu 'Device Bound Session Credentials' (DBSC) bedacht. Het techbedrijf wil dat dit uiteindelijk een open webstandaard wordt. DBSC koppelt de ingelogde sessie van de gebruiker aan het onderliggende apparaat. Een aanvaller kan dan nog steeds cookies stelen, maar ze niet op zijn eigen systeem gebruiken omdat ze alleen op het betreffende apparaat van de gebruiker werken. Bij DBSC maakt de browser een public/private key pair aan op het apparaat en gebruikt het besturingssysteem om de private key zo op te slaan dat die lastig is te exporteren. Dit kan bijvoorbeeld via de Trusted Platform Module (TPM). Daarnaast wordt er ook naar softwarematige oplossingen gekeken. De server waarop de gebruiker inlogt koppelt de sessie aan de public key van de gebruiker en kan gedurende de levensduur van de sessie verifiëren of de gebruiker de bijbehorende private key bezit. Google stelt dat voor elke sessie een unieke key wordt gebruikt en DBSC websites niet in staat stelt om keys van verschillende sessies op hetzelfde apparaat te correleren. Dit moet volgens Google 'persistent user tracking' voorkomen. Verder claimt het techbedrijf dat DBSC geen betekenisvolle informatie over het apparaat lekt. De enige informatie die naar de server wordt gestuurd is de per-sessie public key, die de server gebruikt om later te controleren dat de gebruiker ook de bijbehorende private key in bezit heeft. Gebruikers kunnen de gemaakte keys op elk moment verwijderen. Wanneer gebruikers geen cookies accepteren wordt DBSC uitgeschakeld. Google verwacht op basis van de hardware waarmee Chrome-gebruikers werken dat DBSC voor ongeveer de helft van desktopgebruikers beschikbaar komt. Op dit moment wordt er geëxperimenteerd met een prototype van DBSC dat alleen bij een Google-account is te gebruiken. Later dit jaar moeten er verdere tests plaatsvinden. Google benadrukt verder dat DBSC in een third-party context dezelfde beschikbaarheid en segmentatie heeft als third-party cookies, om er zo voor te zorgen dat DBSC geen nieuwe trackingmethode wordt zodra third-party cookies zijn uitgefaseerd. bron: https://www.security.nl

De ontwikkelaar van datacompressietool XZ, waar vorige week een backdoor in werd aangetroffen, begint de komende dagen met een onderzoek naar de aanval. Hij is op vakantie en had de situatie niet meekregen, totdat hij toevallig zijn e-mail bekeek, zo laat ontwikkelaar Lasse Collin in een bericht op de Linux Kernel Mailing List (LKML) weten. Daarnaast hebben allerlei overheidsdiensten over de backdoor alarm geslagen. XZ is een tool voor het comprimeren en decomprimeren van data en in veel Linux-distributies aanwezig. Vorige week werd ontdekt dat bepaalde versies een backdoor bevatten waardoor een aanvaller code op systemen kan uitvoeren. De backdoor was toegevoegd door iemand die ook aan het XZ-project werkte. Rob Mensching, ceo van FireGiant en eerder software-engineer bij Microsoft en verantwoordelijk voor het maken van Windows Installer XML, maakte een analyse over de aanval. Daarin bespreekt Mensching hoe de aanvaller contact met Collin zocht, die te maken had met een burn-out. De aanvaller biedt de XZ-ontwikkelaar aan om te helpen bij de ontwikkeling van de tool en voegt uiteindelijk de code toe waarin de backdoor aanwezig is. "Alleen ik had toegang tot de tukaani.org website, git.tukaani.org repositories en gerelateerde bestanden", zegt collins. De aanvaller had alleen toegang tot zaken die op GitHub werden gehost, zo laat de XZ-ontwikkelaar verder weten. Hij voegt toe deze week met het onderzoek naar de backdoor te starten. Inmiddels hebben ook allerlei overheidsinstanties waarschuwingen gegeven. Na het Nationaal Cyber Security Centrum (NCSC) en het Amerikaanse cyberagentschap CISA, gaat het ook om het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, en het Digital Trust Center van het ministerie van Economische Zaken. Ze adviseren gebruikers en organisaties om de betreffende Linux-distributies niet te gebruiken en naar een niet-gecompromitteerde versie te downgraden. bron: https://www.security.nl

Meta's vpn-dienst Onavo stripte via een man-in-the-middle (mitm) aanval de ssl-verbindingen van concurrenten, zodat het vervolgens het verkeer van gebruikers kon analyseren. Vorige week werd al bekend dat Meta een aantal jaren geleden, dat destijds nog Facebook werd genoemd, in het geheim Snapchat-gebruikers had afgeluisterd. Uit een document dat als onderdeel van een rechtszaak tegen Meta openbaar is geworden blijkt dat het bedrijf hiervoor een mitm-aanval uitvoerde (pdf). Onavo Protect werd in 2013 door Facebook overgenomen en bood gebruikers een gratis vpn-dienst aan. Meta (destijds nog Facebook) stelde dat de app de gegevens en activiteiten van gebruikers zou beschermen en dat de verzamelde data alleen werd gebruikt voor het kunnen aanbieden van de vpn-dienst. In werkelijkheid werd het gedrag van gebruikers, zoals welke apps ze gebruikten en hoelang, door Onavo en Facebook verzameld. Hiervoor werden gebruikers gevraagd en betaald om een rootcertificaat te installeren, waarmee het mogelijk was om de ssl-verbindingen van Snapchat-gebruikers te strippen en zo het analytics-verkeer te bekijken. Na Snapchat werd deze tactiek later ook gebruikt om verkeer van Amazon- en YouTube-gebruikers te inspecteren. Volgens de aanklagers in deze zaak heeft Facebook de Amerikaanse 'Wiretap' wetgeving overtreden, die het verbiedt om elektronische communicatie van mensen af te luisteren. "Als een persoon dit had gedaan zou de computerfraudewetgeving tegen ze zijn gebruikt. Met Meta is dat nog afwachten", reageert iemand op Hacker News. bron: https://www.security.nl

Google moet miljoenen records die het via de Incognito-mode van Chrome verzamelde vernietigen of de-identificeren, zo blijk uit een schikking die het techbedrijf trof. De vijf miljard dollar die de klagers hadden geëist hoeft Google niet te betalen. Wel moet het techbedrijf gebruikers informeren over welke informatie het in de Incognito-mode verzamelt en moet het gebruikers in deze mode de optie geven om third-party cookies te blokkeren. Afgelopen december werd beken dat Google een rechtszaak in de Verenigde Staten over de Incognito-mode had geschikt, maar details waren destijds nog niet openbaar gemaakt en zijn dat nu wel. Volgens de aanklacht, die in juni 2020 werd ingediend, heeft Google gebruikers van Chrome misleid door ze te laten geloven dat ze via de Incognito-mode privé konden browsen, maar in werkelijkheid toch door het techbedrijf werden gevolgd, waarmee de Amerikaanse aftapwetgeving en Californische privacywetgeving is overtreden. De Incognito-mode zorgt er alleen voor dat het surfgedrag van de gebruiker niet in de browser of op zijn computer wordt opgeslagen. Gebruikers denken echter dat de browsermode bijvoorbeeld tracking, geolocatie en advertenties voorkomt, zo laat onderzoek zien (pdf). Ook de engineers van Google waren zich hiervan bewust. Zo laat één engineer in een e-mail weten dat er moet worden gestopt met het woord incognito en de afbeelding van een spion. "Maak incognito mode echt privé", schrijft ze. "We zijn beperkt in hoe sterk we Incognito kunnen aanprijzen omdat het niet echt privé is, en dus echt vage, indekkende taal vereist die bijna schadelijk is." Een andere engineer reageert met een grap door te stellen dat "Guy Incognito" uit The Simpsons eigenlijk als icoon gebruikt had moeten worden, aangezien dit beter de geboden privacybescherming zou duidelijk maken. Google stelt in een reactie op de rechtszaak dat het algemeen bekend is dat de incognito mode het browsen niet echt afschermt en gebruikers toestemming hebben gegeven om door het techbedrijf te worden gevolgd. Een poging van Google om de rechtszaak als kort geding af te doen werd begin vorig jaar verworpen. De schikking moet nog wel door een rechter worden goedgekeurd en zou dan voor 136 miljoen Chrome-gebruikers in de staat Californië gelden. Voor het 'dataherstelproces' moet Google informatie verwijderen waarmee het mogelijk is om gebruikers van private browsing te identificeren. "Google zal deze data mitigeren door gedeeltelijk ip-adressen weg te laten en user-agent strings te generaliseren", zo staat in het vonnis. De eisers hadden een bedrag van 5 miljard dollar geëist, maar dat hoeft Google niet te betalen. Chrome-gebruikers in Californië kunnen nog wel zelf een schadeclaim indienen. Dat zou inmiddels vijftig keer zijn gedaan. bron: https://www.security.nl

Het Open Web Application Security Project (OWASP), een organisatie die zich met de veiligheid van webapplicaties bezighoudt, heeft via de misconfiguratie van een webserver de persoonsgegevens van leden gelekt. Dat heeft de organisatie zelf bekendgemaakt. Het gaat om cv's met e-mailadressen, telefoonnummers, adresgegevens en andere persoonlijke identificeerbare informatie van mensen die van 2006 tot en met 2014 hun cv hadden verstrekt om lid te worden. In de genoemde periode moesten leden cv verstrekken, wat inmiddels niet meer het geval is om lid te worden. Wat de misconfiguratie precies is wordt niet genoemd, maar OWASP zegt naar aanleiding van het datalek specifiek directory browsing te hebben uitgeschakeld. Tevens heeft het de webserver en wikiconfiguratie op andere beveiligingsproblemen gecontroleerd. Daarnaast zijn de cv's van leden van de wikiwebsite verwijderd en is de CloudFlare-cache opgeschoond om verdere toegang te voorkomen. Tevens is het Web Archive verzocht de informatie te verwijderen. Volgens OWASP is het lastig om slachtoffers van het datalek in te lichten. Veel van de getroffen personen zijn geen lid meer en de data uit het datalek is tussen de tien en achttien jaar oud en daardoor waarschijnlijk niet meer actueel. Wel zal er een datalekmelding naar de gelekte e-mailadressen worden gestuurd. De organisatie zegt het datalek te betreuren, zeker omdat het zich juist met cybersecurity bezighoudt. bron: https://www.security.nl

De backdoor die in datacompressietool XZ werd aangetroffen is geen authenticatie bypass, maar maakt remote code execution mogelijk, zo stelt onderzoeker Filippo Valsorda. Hij spreekt van een nachtmerriescenario en noemt het mogelijk de best uitgevoerde supplychain-aanval ooit die ontdekt is. Daarnaast blijkt dat het zeer lastig is om op de aanwezigheid van de backdoor te scannen. XZ is een tool voor het comprimeren en decomprimeren van bestanden en is in veel Linux-distributies aanwezig. Deze week werd bekend dat verschillende versies van de tool een backdoor bevatten. "Een kwaadwillende kan de kwetsbaarheid mogelijk misbruiken om authenticatie te omzeilen en lijkt gebruikt te worden om SSH te compromitteren. Het is nog onbekend wat nodig is voor het omzeilen van authenticatie. Het is mogelijk dat bij het verbinding met een kwetsbaar systeem via SSH dat er performance problemen optreden", aldus het Nationaal Cyber Security Centrum (NCSC) in een update van het eerder uitgebrachte beveiligingsbulletin. Volgens de overheidsinstanties is een systeem hoogstwaarschijnlijk alleen kwetsbaar als het voldoet aan de volgende voorwaarden: een Linux-distributie met glibc (for IFUNC) en versie 5.6.0 of 5.6.1 van xz of liblzma geïnstalleerd (XZ Utils wordt geleverd met de library liblzma). Valsorda stelt dat de de backdoor informatie gebruikt uit een door de aanvaller aangeboden certificaat. Vervolgens kan er een payload op het systeem worden uitgevoerd, aldus de onderzoeker. Waarbij een aanvaller in het geval van een authenticatie bypass alleen toegang krijgt als de gebruiker waarmee wordt ingelogd, kan er in het geval van de nu ontdekte backdoor code binnen het sshd (SSH daemon) proces worden uitgevoerd, zo reageert iemand op de analyse van Valsorda op Hacker News. Als sshd als root draait wordt ook de payload van de aanvaller als root uitgevoerd. Valsorda voegt toe dat als de aan de backdoor aangeboden payload niet klopt of de signature van de key van de aanvaller niet overeenkomt, de backdoor weer terugvalt op zijn normale werking. Dit maakt het volgens de onderzoeker lastig om een betrouwbare netwerkscanner te maken waarmee de aanwezigheid van de backdoor is te detecteren. "Dit is mogelijk de best uitgevoerde supplychain-aanval die ooit in het openbaar is beschreven, en het is een nachtmerriescenario: kwaadaardig, competent, geautoriseerde upstream in een veelgebruikte library", aldus Valsorda. Bij toeval De onderzoeker merkt op dat de backdoor bij toeval is ontdekt. "Vraag me af hoelang het anders had geduurd." De backdoor werd tijdens het uitvoeren van postgres benchmarks gevonden door Andres Freund, een postgres-ontwikkelaar die bij Microsoft werkt. Ook onderzoeker Gynvael Coldwind stelt in zijn analyse dat iemand zeer veel moeite heeft gedaan om de backdoor onschuldig te doen lijken en dat die redelijk goed verborgen is. "Ik kan niet anders dan mezelf afvragen (net zoals ik denk de rest van onze security community) - als dit bij toeval is gevonden, hoeveel dingen zijn er dan nog niet ontdekt." bron: https://www.security.nl

Cisco waarschuwt organisaties voor password spraying-aanvallen op vpn-diensten, wat ervoor kan zorgen dat personeel niet meer kan inloggen. Securitybedrijven Arctic Wolf en High Wire Networks meldden eerder deze maand dat er sinds eind februari een toename is van password spraying gericht tegen firewalls en vpn-servers van Cisco, Palo Alto Networks en WatchGuard. Een security-engineer genaamd Aaron Martin meldde soortgelijke aanvallen tegen apparatuur van Fortinet, Palo Alto Networks, Sonicwall en Cisco. De aanvallen zijn volgens Martin het werk van een botnet. Password spraying is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen gebruikt een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Door deze techniek voorkomt de aanvaller dat een account wordt geblokkeerd en de aanval wordt opgemerkt. Vaak wordt er ook vanaf allerlei verschillende ip-adressen ingelogd. Cisco is nu met een document gekomen waarin het maatregelen adviseert waarmee organisaties zich tegen dergelijke aanvallen kunnen wapenen, alsmede wat de gevolgen van de aanvallen kunnen zijn. Zo kan password spraying ervoor zorgen dat het eigen personeel niet meer op de vpn-server kan inloggen omdat er een lockout van hun account heeft plaatsgevonden. Cisco benadrukt dat de aanvallen niet beperkt zijn tot Cisco-apparatuur. Verder wordt het inschakelen van logging aangeraden en het gebruik certificaat-gebaseerde authenticatie. bron: https://www.security.nl

De standaard end-to-end encryptie van chatberichten in Messenger wordt de komende maanden wereldwijd uitgerold, zo heeft Meta bekendgemaakt. Het bedrijf begon afgelopen december met het inschakelen van deze maatregel. Sinds 2016 hebben gebruikers van Messenger de optie om end-to-end encryptie in te schakelen, maar de beveiligingsmaatregel stond niet standaard ingeschakeld. Iets dat Meta nu gaat veranderen. "We rollen nu end-to-end encryptie in Messenger uit en al je persoonlijke berichten worden standaard versleuteld. Tijdens de uitrol zul je merken dat sommige chats eerder end-to-end zijn versleuteld dan anderen. Dit is te verwachten", aldus Meta. Wanneer chats end-to-end versleuteld zijn krijgen gebruikers hier melding van. De wereldwijde uitrol van de beveiligingsmaatregel zou de komende maanden moeten worden afgerond. Gebruikers kunnen ervoor kiezen om hun chatgeschiedenis lokaal op te slaan of op de servers van Meta. Het bedrijf adviseert gebruikers voor deze laatste optie te kiezen. Wanneer de chatapp chats end-to-end versleutelt krijgen gebruikers ook de vraag of ze van deze 'Secure Storage' feature gebruik willen maken. De bij Meta opgeslagen chatgeschiedenis is dan te bereiken via een zescijferige pincode of een virtuele key die in de Google Drive of Apple iCloud van de gebruiker wordt opgeslagen. bron: https://www.security.nl

De Python Package Index (PyPI) accepteert weer nieuwe gebruikers en projecten nadat die wegens een campagne met malafide packages tijdelijk werden geblokkeerd. De Python Package Index is een repository voor de Python-programmeertaal en bevat allerlei door de Python-community ontwikkelde packages. Geregeld komt het voor dat aanvallers malafide packages uploaden en die bijvoorbeeld zijn voorzien van namen die erg lijken op die van legitieme packages. Deze packages worden na te zijn gevonden weer verwijderd. Het afgelopen jaar kreeg PyPI met meerdere aanvallen te maken, waaronder vorig jaar mei en december. Gisteren meldde de Python Package Index dat het wederom het aanmaken van nieuwe projecten en gebruikers tijdelijk had gestaakt als reactie op een actieve campagne waarbij malware werd geüpload. Dit duurde ongeveer zes uur, waarna de blokkade werd opgeheven. PyPI geeft geen details over de genoemde campagne, maar securitybedrijf Checkmarx meldde gisteren dat aanvallers de afgelopen dagen honderden malafide packages naar de repository hadden geüpload met malware die informatie van besmette systemen probeert te stelen. bron: https://www.security.nl

Criminelen maken gebruik van een besmette versie van McAfee Security om Androidtelefoons met bankmalware te infecteren en zo geld van bankrekeningen te stelen. De aanval begint met een sms-bericht, waarin staat dat er een grote geldtransactie heeft plaatsgevonden en als de ontvanger dit niet heeft geautoriseerd het opgegeven telefoonnummer moet worden gebeld. Zodra het slachtoffer dit nummer belt ontvangt hij tijdens het gesprek een tweede sms-bericht met een link die naar een besmette versie van de McAfee Security-app wijst. In werkelijkheid is dit een 'dropper' die de uiteindelijke Vultur-bankmalware installeert, maar ook de functionaliteit van de security-app biedt, om slachtoffers zo niets te laten vermoeden. De Vultur-malware geeft criminelen toegang tot de telefoon om daarvandaan fraude te plegen. De eerste versies maakten het al mogelijk om besmette Androidtelefoons op afstand te bedienen en toetsaanslagen op te slaan. Onlangs is er een nieuwe versie van de Vultur-bankmalware ontdekt, zo laat securitybedrijf Fox-IT weten. Deze versie kan aanvallers bestanden laten installeren, verwijderen en zoeken. Ook is het mogelijk om de audio in en uit te schakelen, te swipen of klikken. Tevens kan de malware voorkomen dat er bepaalde apps draaien, aangepaste notificaties in de statusbalk tonen en Keyguard uitschakelen, om de schermvergrendeling te omzeilen. Om de Vultur-malware te installeren proberen de aanvallers de Accessibility Service privileges te krijgen. Apps met Accessibility Service permissies kunnen volledige zichtbaarheid over events van de gebruikersinterface krijgen, zowel bij systeem-apps als apps van derden. "Hoewel deze services bedoeld zijn om gebruikers te ondersteunen, zijn ze ook door malafide apps te misbruiken voor activiteiten zoals keylogging, het zichzelf automatisch toekennen van extra permissies, monitoren van apps in de voorgrond en daar overlay-vensters over plaatsen voor het uitvoeren van phishingaanvallen", zo stellen de onderzoekers. "De recente ontwikkelingen van Vulture laten zien dat de aandacht is verlegd naar het verkrijgen van volledige controle over besmette toestellen. Met de mogelijkheid om commando's te geven voor het scrollen, swipen, klikken, volumecontrole, het blokkeren van apps en zelfs het toevoegen van een file manager functie, is het duidelijk dat het primaire doel is om volledige controle over gecompromitteerde toestellen te krijgen", zo laten de onderzoekers verder weten. bron: https://www.security.nl

De Duitse overheid heeft een digitaal veiligheidskeurmerk voor videovergaderdiensten gelanceerd, zodat gebruikers de veiligheid van de producten kunnen beoordelen. De diensten moeten in dit geval aan de DIN SPEC 27008-specificatie voldoen, die door een consortium van aanbieders is opgesteld. Daarin staan minimale veiligheidseisen, zoals de bescherming van accounts, updatebeheer, authenticatiemechanismes en gebruikte encryptie. Zo moeten videovergaderdiensten die aan de specificatie voldoen standaard instellen dat meetings standaard privé zijn en beveiligd met een lastig te raden code of andere vorm van 'toegangsdata'. Verder moeten de oplossingen ook beschikken over een wachtkamer, zodat beheerders deelnemers handmatig toegang tot de meeting kunnen geven. Daarnaast moeten videovergaderdiensten het mogelijk maken dat alle deelnemers aan de meeting zichtbaar zijn. Tevens moet de deelname van nieuwe deelnemers worden duidelijk gemaakt via een audio- of videosignaal. Een andere voorwaarde om voor het keurmerk in aanmerking te komen is dat kwetsbaarheden in de diensten direct worden gemeld aan zowel gebruikers als het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken. Zodra het keurmerk is verleend blijft het BSI over een periode van vier jaar controles uitvoeren om te kijken of er nog steeds aan de gestelde eisen wordt voldaan. Producten die over het keurmerk beschikken zijn ook voorzien van een qr-code, waarmee eenvoudig verdere informatie kan worden opgevraagd. Het digitale veiligheidskeurmerk is er ook voor e-mailproviders, routers, 'slimme camera's' en Internet of Things-apparaten. bron: https://www.security.nl

Stichting Consumers United in Court (CUIC) is een collectieve procedure tegen antivirusbedrijf Avast gestart waarbij het wegens 'spionage' door de virusscanner per gebruiker 1000 euro plus een deel van de winst eist. Acht maanden geleden maakte Stichting CUIC bekend dat het een rechtszaak tegen Avast zou starten. Inmiddels hebben ruim tienduizend Nederlandse Avast-gebruikers zich bij de rechtszaak aangesloten. Al in 2019 werd bekend dat Avast miljoenen aan het browsegedrag van gebruikers verdiende. Deze gegevens werden verhandeld via databedrijf Jumpshot, waar Avast een meerheidsbelang in had. Naar aanleiding van de onthulling over het dataverzamelen besloten Google en Mozilla de browserextensies van Avast uit hun extensie-stores te verwijderen. In een reactie op de ontstane ophef besloot Avast vervolgens verschillende aanpassingen door te voeren, maar vanwege de aanhoudende kritiek werd Jumpshot begin 2020 opgeheven. Volgens CUIC hadden tussen 2014 en 2020 vele honderdduizenden Nederlanders de antivirussoftware van Avast en AVG op hun computer staan. "Mensen waanden zich veilig met een virusscanner, maar juist de maker ervan volgde alles wat ze dede n op hun computer . Avast verkocht deze informatie voor grof geld aan derden. Ze adverteerden zelfs met de goudmijn aan data die ze hadden buitgemaakt. Bedrijven zoals Avast mogen hier niet mee wegkomen. Daarom voeren wij deze rechtszaak. Wie niet horen wil, moet maar voelen", zegt CUIC-voorzitter Wilmar Hendriks. De stichting is een initiatief van privacyorganisatie None of Your Business (noyb) en stichting Privacy First. "Avast bespioneerde haar gebruikers zonder ze te informeren of toestemming te vragen, kopieerde en verkocht op grote schaal hun gegevens door aan derden via dochterbedrijf Jumpshot. Met klanten zoals Google, Unilever en Microsoft heeft Avast via Jumpshot de heimelijk verkregen gegevens zeer wijd kunnen verspreiden", zo laat CUIC verder weten. De stichting heeft nu de dagvaardingen uitgebracht aan Avast. Per gebruiker eist CUIC een schadevergoeding van duizend euro en daar bovenop voor iedere gedupeerde een deel van de door Avast onrechtmatig gerealiseerde winst. Gebruikers kunnen zich kosteloos bij de rechtszaak aansluiten. Dat is op basis van "no cure, no pay". Net als bij andere massaclaims wordt er gebruikgemaakt van een externe procesfinancier die als de rechtszaak slaagt een deel van de schadevergoeding ontvangt. Het gaat om maximaal 25 procent. bron: https://www.security.nl