Captain Kirk

Organisaties die gebruikmaken van een NetScaler ADC of NetScaler Gateway moeten na het installeren van de recent uitgebrachte kritieke beveiligingsupdate ook alle actieve of persistente sessies door middel van een kill-commando uitschakelen. Tevens zijn er verschillende stappen die organisaties kunnen nemen om te kijken of hun NetScaler-servers zijn gecompromitteerd, zo laat NetScaler in een vandaag gepubliceerd advies weten. NetScaler ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. Via de NetScaler Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. Op 10 oktober kwam NetScaler met een update voor een kritieke kwetsbaarheid aangeduid als CVE-2023-4966 en 'CitrixBleed'. Via het lek kan een ongeauthenticeerde aanvaller toegang tot geheugen van het systeem krijgen en zo sessietokens van gebruikers stelen. Met deze tokens kan vervolgens toegang tot het systeem worden verkregen, zonder dat hiervoor nog inloggegevens of multifactorauthenticatie is vereist. Een aanvaller kan de gestolen session key opnieuw afspelen en zo toegang krijgen. Al voor het uitkomen van de update bleek dat aanvallers misbruik van het beveiligingslek maken, maar dat was toen nog niet bij NetScaler bekend. Inmiddels vinden er grootschalige aanvallen plaats, waarbij onder andere de criminelen achter de LockBit-ransomware het op kwetsbare systemen hebben voorzien. Beveiligingsonderzoeker Kevin Beaumont liet onlangs weten op basis van een scan via zoekmachine Shodan dat veel LockBit-slachtoffers een kwetsbaar NetScaler-apparaat in hun netwerk hadden staan. Volgens NetScaler moeten organisaties na de installatie van de update voor CVE-2023-4966 alle actieve en persistente sessies via een kill-commando uitschakelen. Daarnaast moet ernaar verdachte patronen van 'verdachte sessies' worden gezocht, alsmede verschillende logs worden gecontroleerd. Verder geeft NetScaler advies voor organisaties die hun eigen forensisch onderzoek op ongepatchte servers uitvoeren. bron: https://www.security.nl

Adblockers zijn een belangrijke maatregel waarmee internetgebruikers zich tegen malafide advertenties, besmette downloads en scams kunnen beschermen, en het is dan ook duidelijk waarom iedereen er één zou moeten gebruiken, zo stelt Jonathan Munshaw van Cisco. De afgelopen tijd zijn verschillende uitgevers en Google begonnen met het aanpakken van adblockers. Zo kunnen gebruikers van YouTube in bepaalde gevallen alleen video's bekijken als ze hun adblocker uitschakelen of een betaald abonnement nemen. Ook Spotify heeft in de algemene voorwaarden opgenomen dat het gebruik van een adblocker niet is toegestaan en veel nieuwswebsites tonen meldingen dat een adblocker eerst moet worden uitgeschakeld voordat er content kan worden gelezen. "Het is prima dat uitgevers geld vragen voor hun content of het achter een betaalmuur zetten, of zelfs betaalde abonnementen om geen advertenties in podcasts of video's te tonen. Maar we kunnen het er allemaal over eens zijn dat adblockers goed voor het internet zijn en gebruikers beschermen", merkt Munshaw op. Volgens Munshaw van Cisco Talos is het argument van bedrijven zoals Google dat adblockers ervoor zorgen dat contentmakers door adblockers inkomsten mislopen grotendeels ongegrond. YouTube-sterren zouden de effecten van een adblocker nauwelijks merken, wat ook geldt voor doorsnee YouTubers, zo stelt hij. Munshaw hoopt dan ook dat de recentelijk ingediende klacht over de adblocker-blokkade op YouTube, dat het in strijd met Europees recht is, effect zal hebben. bron: https://www.security.nl

Google heeft een nieuwe versie van de eigen Titan Security Key gelanceerd, die onder andere 250 unieke passkeys kan opslaan. De eerste versie van de fysieke beveiligingssleutel werd in 2018 gelanceerd. De Titan Security Key maakt gebruik van een protocol dat op standaard public key-cryprografie is gebaseerd. Een gebruiker die zijn beveiligingssleutel voor een website wil gebruiken moet dit eerst instellen. Tijdens het instellen registreert de gebruiker een publieke sleutel. Bij het inloggen vraagt de website vervolgens om een cryptografische handtekening die bewijst dat de gebruiker de eigenaar is van de privésleutel die bij de publieke sleutel hoort. Hierdoor werkt de beveiligingssleutel alleen op de website waarvoor die is geregistreerd. Inmiddels zet Google ook vol in op het gebruik van passkeys, een gezamenlijk initiatief van Apple, Google en Microsoft. Passkeys zijn gebaseerd op de Web Authentication (WebAuthn) standaard en maken ook gebruik van public key cryptography. Gebruikers moeten eerst op hun computer of smartphone een passkey voor een account of website genereren. De bijbehorende private key blijft op het toestel van de gebruiker, terwijl de bijbehorende public key door de website of app wordt opgeslagen. Het toestel van de gebruiker genereert vervolgens een signature gebaseerd op de private key die bij het inloggen wordt verstuurd. Tijdens het inloggen gebruikt de website of app waarop wordt ingelogd de public key om de signature van de private key te verifiëren. Om de passkey op het toestel te kunnen gebruiken moet eerst een vinger of het gezicht van de gebruiker worden gescand, of een ontgrendelingspatroon of pincode worden opgegeven. Passkeys maken namelijk gebruik van het mechanisme waarmee het betreffende apparaat of systeem van de gebruiker wordt ontgrendeld. Ze zijn echter niet gebonden aan het betreffende apparaat en dezelfde private key kan op meerdere toestellen bestaan. "We zijn zeer enthousiast over de potentie van passkeys, maar we weten ook dat er geen security wondermiddel voor iedereen is. Sommige mensen willen een oplossing die niet afhankelijk is van smartphones of gebruiken apparaten die passkeys niet ondersteunen. Iedereen heeft verschillende manieren voor security, maar we delen allemaal hetzelfde doel: het stoppen van aanvallen", zegt Christiaan Brand van Google. Het techbedrijf heeft ervoor gekozen om de nieuwste versie van de Titan Security Key dan ook de mogelijkheid te geven om 250 passkeys op te slaan. Wanneer de nieuwe beveiligingssleutel wordt gebruikt voor een Google-account, biedt de sleutel de optie om een pincode in te stellen om zo toegang tot het account te krijgen in plaats van een wachtwoord. De nieuwe sleutel is beschikbaar als USB-A en USB-C en ondersteunt NFC. bron: https://www.security.nl

Wie een TikTok-account wil aanmaken kan hiervoor het beste een apart e-mailadres gebruiken, zo adviseert de Belgische politie. Daarnaast wordt in plaats van de TikTok-app aangeraden de site via een browser te gebruiken. "TikTok zal uiteraard nog steeds info kunnen vergaren via de cookies of andere trackers. Maar als je Firefox gebruikt, kun je in de privacy- en veiligheidsinstellingen de strikte modus activeren om het delen te beperken", zegt commissaris Olivier Bogaert. Verder adviseert Bogaert het gebruik van een apart e-mailadres voor het aanmaken van een TikTok-account. "Kijk ook de instellingen na, want hier is het mogelijk om het delen van bepaalde gegevens te beperken. Om je te beschermen geef je TikTok best geen toestemming om de contacten van de telefoon of je vrienden op Facebook te synchroniseren." bron: https://www.security.nl

De Europese privacytoezichthouders zijn richtlijnen overeengekomen die moeten verduidelijken welke trackingtechnieken onder de ePrivacy Verordening zijn toegestaan. Daarmee wil de EDPB meer 'juridische zekerheid' aan dataverwerkers en individuen geven. Het gaat dan om zaken als trackinglinks, trackingpixels, lokale verwerking en unieke identifiers, om er zo voor te zorgen dat de verplichtingen van de verordening niet worden omzeild. Het gaat dan specifiek om Artikel 5.3 van de ePrivacy Verordening. "Het is geen geheim dat het volgen van de activiteiten van internetgebruikers de privacy van mensen ernstig kan schaden", zegt Anu Talus, voorzitter van de EDPB. "De onduidelijkheden met betrekking tot waarop Artikel 5.3 van de ePrivacy Verordening op van toepassing is en de opkomst van nieuwe technieken, als aanvulling op of alternatief voor traditionele cookies, hebben voor allerlei nieuwe privacyrisico's gezorgd." Om het artikel en de toepassing daarvan te verduidelijken gaan de richtlijnen van de EDPB vooral in op sleutelbegrippen zoals 'informatie', 'eindapparatuur van een abonnee of gebruiker', 'elektronisch communicatienetwerk', 'het verkrijgen van toegang' en 'opgeslagen informatie/opslag'. Daarnaast biedt de richtlijn ook praktische use cases over het gebruik van populaire trackingtechnieken. De overeengekomen richtlijnen worden nu op juridische inhoud gecontroleerd en vertaald, en zullen dan online verschijnen. Vervolgens kan het publiek er gedurende zes weken op reageren. Het Europees Comité voor gegevensbescherming (EDPB). De EDPB is een orgaan waarin alle nationale privacytoezichthouders uit de Europese Unie samenwerken bij hun toezicht op de Algemene verordening gegevensbescherming (AVG), waaronder ook de Autoriteit Persoonsgegevens. bron: https://www.security.nl

Een kwetsbaarheid in de Microsoft Azure Command-Line Interface (CLI) maakt het mogelijk voor aanvallers om wachtwoorden en inloggegevens via logbestanden te stelen. Microsoft heeft een update uitgebracht om het probleem te verhelpen. De Azure command-line interface is een verzameling commando's voor het creëren en beheren van Azure resources en wordt onder andere voor softwareontwikkeling gebruikt. Bij sommige van de commando's die de Azure CLI uitvoert worden inloggegevens plaintext in logbestanden opgeslagen. In het geval de logs in 'open source repositories' zijn opgeslagen kan een aanvaller zo gebruikersnamen en wachtwoorden van gebruikers achterhalen. Ook bij afgeschermde repositories waarbij een aanvaller bijvoorbeeld minimale leesrechten heeft is dit mogelijk. "Vanwege de data die ze opslaan en workloads die ze uitvoeren, behoren Continuous Integration and Continuous Deployment (CI/CD) systemen door de belangrijkste en gevoeligste in je organisatie", aldus Aviad Hahami van securitybedrijf Palo Alto Networks die het probleem ontdekte. Volgens Microsoft gaat het hier om een kritieke kwetsbaarheid, aangeduid als CVE-2023-36052. De impact is op een schaal van 1 tot en met 10 beoordeeld met een 8.6. Organisaties worden door Microsoft opgeroepen om te updaten naar Azure CLI versie 2.54 en gegeven advies op te volgen om te voorkomen dat inloggegevens onbedoeld in logbestanden voor CI/CD-omgevingen verschijnen. bron: https://www.security.nl

Mozilla wil dat Brussel het voorlopige voorstel over de Europese digitale identiteit publiceert, aangezien hier binnenkort al een eerste stemming over plaatsvindt. Vorige week bereikten het Europees Parlement, de Raad van de Europese Unie en de Europese Commissie een voorlopig akkoord over de Europese digitale identiteit. Er volgen nu formele stemmingen over het plan, die voor deze maand, volgende maand en februari volgend jaar gepland staan. De Commissie industrie, onderzoek en energie (ITRE) van het Europees Parlement stemt eind november over het overeengekomen voorstel. Volgende maand zal de Europese Raad dit doen, gevolgd door een plenaire stemming in het Europees Parlement in februari volgend jaar. De tekst van het voorstel is echter nog steeds niet openbaar, tot onvrede van Mozilla. De Firefox-ontwikkelaar maakt zich grote zorgen over Artikel 45 van het voorstel, wat volgens Mozilla de veiligheid van versleutelde verbindingen op het web ondermijnt. Digitale rechtenbeweging epicenter.works stelde dat Brussel, na felle kritiek van techbedrijven, beveiligingsexperts en academici, aanpassingen aan het artikel heeft doorgevoerd, maar Mozilla maakt zich nog altijd grote zorgen over Artikel 45 en de gevolgen ervan. De Europese Commissie stelde in een reactie op de kritiek dat het om een 'misverstand' ging en dat experts die het had gesproken stelden dat er geen risico is dat overheden hierdoor kunnen spioneren of de vertrouwelijkheid van versleutelde verbindingen in het geding is. Brussel heeft echter niet laten weten met welke experts het contact heeft gehad. Ook bij het voorstel voor client-side scanning, om zo alle chatberichten van burgers te controleren, wilde de Europese Commissie dit niet openbaar maken. Mozilla wil nu dat het Europees Parlement, de Raad van de Europese Unie en de Europese Commissie de uiteindelijke tekst voor de Europese digitale identiteit zo snel mogelijk openbaar maken, beveiligingsexperts voldoende tijd krijgen om het wetsvoorstel te bestuderen voordat er verdere actie wordt ondernomen en transparant zijn over welke experts er zijn geraadpleegd. bron: https://www.security.nl

Zeshonderdduizend WordPress-sites zijn kwetsbaar door een beveiligingslek in de plug-in WP Fastest Cache. De ontwikkelaar heeft twee dagen geleden een beveiligingsupdate uitgebracht, maar die is door het grootste deel van de sites nog niet geïnstalleerd. WP Fastest Cache is een plug-in die ervoor moet zorgen dat WordPress-sites sneller worden geladen. Het is op meer dan één miljoen websites geïnstalleerd. Een kwetsbaarheid (CVE-2023-6063) in de plug-in zorgt ervoor dat een ongeauthenticeerde aanvaller door middel van SQL-injection de volledige inhoud van de database kan uitlezen, zo meldt WPScan. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 8.6. De ontwikkelaar kwam twee dagen geleden met versie 1.2.2 waarin het probleem is verholpen, maar uit cijfers van WordPress.org blijkt dat vierhonderdduizend sites de update hebben geïnstalleerd en dus nog zeshonderdduizend websites kwetsbaar zijn. bron: https://www.security.nl

De FBI heeft het IPstorm-botnet offline gehaald, dat besmette systemen als proxy gebruikte. Volgens de beheerder, die inmiddels in de Verenigde Staten schuld heeft bekend, telde het botnet 23.000 proxies. Het Amerikaanse ministerie van Justitie stelt dat de IPstorm-malware wereldwijd Android-, Linux-, macOS- en Windows-systemen infecteerde. De besmette systemen werden vervolgens via de websites proxx.io en proxx.net als proxy aangeboden. Klanten van de proxydienst betaalden honderden dollars per maand om hun verkeer via de besmette machines te laten lopen. De botnetbeheerder bekende dat hij minstens 550.000 dollar met het proxybotnet heeft verdiend. Naast de 'plea agreement' waarmee de verdachte schuld bekende, heeft hij ook aangegeven afstand van al zijn cryptowallets te doen die voor de dienst werden gebruikt. De verdachte bekende drie keer schuldig te zijn aan het beschadigen van beveiligde computers, waarop een gevangenisstraf van maximaal dertig jaar staat. bron: https://www.security.nl

VMware waarschuwt organisaties voor een kritieke kwetsbaarheid in VMware Cloud Director Appliance (VCD Appliance) waardoor een aanvaller de authenticatie kan omzeilen om zo via poort 22 (ssh) of poort 5480 (appliance management console) toegang tot het systeem te krijgen. De VCD Appliance is een vooraf geconfigureerde virtual machine voor het draaien van VMware Cloud Director services. De kwetsbaarheid (CVE-2023-34060) doet zich alleen voor wanneer de VMware Cloud Director Appliance van een oudere versie is geüpgraded naar versie 10.5. Bij nieuwe installaties van de VCD Appliance is het probleem niet aanwezig. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. VMware heeft nog geen update beschikbaar om het probleem te verhelpen, maar biedt een script als workaround. bron: https://www.security.nl

Tijdens de patchdinsdag van november heeft Microsoft in totaal 63 kwetsbaarheden verholpen, waaronder drie zerodaylekken. Via de drie kwetsbaarheden kan een aanvaller die al toegang tot het systeem heeft zijn rechten verhogen of Microsofts SmartScreen-beveiligingsmaatregel omzeilen. Details over de aanvallen zijn niet door Microsoft gegeven. Twee kwetsbaarheden in de Windows DWM Core Library (CVE-2023-36033) en Windows Cloud Files Mini Filter Driver (CVE-2023-36036) maken het mogelijk voor een aanvaller die toegang tot het systeem heeft om SYSTEM-rechten te krijgen. Via CVE-2023-36025 is het mogelijk om SmartScreen te omzeilen. SmartScreen is een beveiligingsmaatregel van Windows die gebruikers een waarschuwing toont bij het openen van bestanden afkomstig van internet. Via de kwetsbaarheid is het mogelijk om ervoor te zorgen dat er geen waarschuwingen worden getoond. Het afgelopen jaar zijn SmartScrreen-kwetsbaarheden onder andere bij ransomware-aanvallen gebruikt. De Windows-updates zullen op de meeste systemen automatisch worden geïnstalleerd. bron: https://www.security.nl

Versleutelde e-maildienst Tuta, dat eerder nog bekendstond als Tutanota, ontkent een honeypot voor inlichtingendiensten uit de Five Eyes-landen te zijn, zoals een voormalige Canadese inlichtingenfunctionaris beweert. De man staat in Canada terecht voor het lekken van vertrouwelijke informatie. Hij zou informatie verkregen door de Canadese inlichtingendiensten, alsmede die uit de Verenigde Staten, Australië, Nieuw-Zeeland en het Verenigd Koninkrijk, hebben verkocht aan criminelen. Een evenknie bij een buitenlandse inlichtingendienst zou de functionaris in 2014 hebben ingelicht over het plan om door middel van het opzetten van een versleutelde e-maildienst met de naam Tutanota inlichtingen over criminelen te verzamelen. Het idee was dat criminelen de dienst zouden gebruiken en diensten dan met alle berichten konden meelezen. Op deze manier zou Tutanota dan als honeypot fungeren. In een verklaring laat Tuta weten dat de getuigenis van de inlichtingenfunctionaris volledig verzonnen is. "Deze beschuldigingen tegen Tuta zijn vals. Tutanota is nooit en zal nooit een dekmantel voor inlichtingendiensten zijn. Dit is in strijd met onze missie als privacybeschermende organisatie." De e-maildienst noemt het met name gevaarlijk dat dergelijke beschuldigingen de geloofwaardigheid van het bedrijf in twijfel trekken. "Het is niet acceptabel dat deze vermeende crimineel zonder enig bewijs te geven dat we hebben deelgenomen aan het gedrag in zijn verklaring, Tutanota voor de bus kan gooien, en ook zonder te laten weten welke 'buitenlandse inlichtingendienst' deze informatie heeft gegeven." Tuta spreekt dan ook van lasterlijke uitspraken. bron: https://www.security.nl

Internet.nl heeft een Docker-container gelanceerd waarmee het mogelijk is om web- en mailservers op moderne internetstandaarden te testen. Daarnaast moet het 'kant-en-klaar Docker-pakket' ervoor zorgen dat het uitrollen, doorontwikkelen, testen en schalen van de code veel eenvoudiger wordt. Internet.nl is een initiatief van het Platform Internetstandaarden en maakt het mogelijk om websites, mailservers en verbindingen op verschillende standaarden te testen. Het gaat dan bijvoorbeeld om zaken als IPv6, DNSSEC, HTTPS, HSTS, DANE en RPKI. "Tot nu toe was het opzetten van Internet.nl uitdagend en omslachtig. Dit was regelmatig een ergernis voor onszelf, en belemmerde ook anderen die de Internet.nl-code wilden gebruiken en eraan wilden bijdragen", aldus de ontwikkelaars. De Docker-container moet het eenvoudiger maken om servers te gaan testen. "Niet alleen op onze eigen servers die de afgelopen 12 maanden meer dan 5 miljoen tests hebben uitgevoerd, maar ook op de servers van anderen", laten de ontwikkelaars verder weten. "Wij geloven dat deze 'containerisation' van Internet.nl een enorme stap voorwaarts is", zegt Gerben Klein Baltink, voorzitter van Platform Internetstandaarden dat Internet.nl ontwikkelt. "Het 'kant-en-klare' pakket maakt het gebruik van de code gebruiksvriendelijker voor onszelf en voor anderen. Dat komt ook de kwaliteit van de code ten goede." De nieuwe versie moet het voor anderen eenvoudiger maken om de Internet.nl-code op hun eigen servers te gebruiken of voor externe ontwikkelaars om aan het project bij te dragen. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in de firewalls, routers en switches van fabrikant Juniper om organisaties aan te vallen, zo melden het bedrijf en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Juniper kwam op 17 augustus van dit jaar met updates voor vijf kwetsbaarheden in Junos OS, het besturingssysteem dat op de netwerkapparaten van de fabrikant draait. Eén van deze kwetsbaarheden, aangeduid als CVE-2023-36845, maakt het mogelijk voor een ongeauthenticeerde aanvaller om op afstand code op de apparaten uit te voeren. De impact van dit beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De andere vier kwetsbaarheden hebben een lagere impact, maar zijn bij elkaar ook te gebruiken voor het uitvoeren van een aanval. Alle vijf de beveiligingslekken worden bij de aanvallen misbruikt. Het CISA heeft Amerikaanse federale overheidsinstanties opgedragen om de updates voor 17 november te installeren en roept andere organisaties op om de patches ook zo snel mogelijk te installeren mocht dat nog niet zijn gedaan. bron: https://www.security.nl

Windows 11 gaat gebruikers de optie geven om meer vooraf geïnstalleerde apps te verwijderen. Dat heeft Microsoft bij de aankondiging van een nieuwe Windows 11 Insider Preview Build laten weten. Gebruikers kunnen na de installatie al bepaalde apps verwijderen, maar niet allemaal. Met Preview Build 23585 van Windows 11 is het mogelijk om de Camera app, Cortana, Photos app en People app te verwijderen, alsmede de Remote Desktop (MSTSC) client. Vanaf maart 2024 moeten verschillende grote techbedrijven, waaronder Microsoft, aan de nieuwe Digital Markets Act (DMA) voldoen. Door de DMA moeten gebruikers onder andere vooraf geïnstalleerde apps kunnen verwijderen. Ook mogen app-ontwikkelaars niet meer worden gedwongen om het betaalsysteem te gebruiken van appstores en mogen platforms eigen producten of diensten niet bevoordelen, bijvoorbeeld door ze bovenaan de zoekresultaten te zetten. Verder zorgt de DMA ervoor dat gebruikers eigen data van een platform naar een ander platform kunnen meenemen en chatdiensten interoperabel zijn. bron: https://www.security.nl

Bij de wereldwijde zeroday-aanval die eind mei van dit jaar plaatsvond en gebruikmaakte van een kwetsbaarheid in MOVEit Transfer zijn zo'n 2600 organisaties getroffen en de gegevens van meer dan zeventig miljoen personen gestolen. Dat stelt antivirusbedrijf Emsisoft op basis van datalekmeldingen. De Amerikaanse staat Maine is één van de nieuwste slachtoffers die zich heeft gemeld, en stelt dat criminelen bij de aanval de gegevens van 1,3 miljoen individuen in handen kregen. MOVEit Transfer is een door softwarebedrijf Progress aangeboden applicatie voor het uitwisselen van bestanden. Allerlei organisaties maken er gebruik van om onder andere vertrouwelijke informatie binnen de organisatie te delen. Een zerodaylek in deze software werd eind mei bij een wereldwijde aanval gebruikt, waarbij criminelen achter de Clop-ransomware toegang tot de MOVEit-servers van duizenden organisaties kregen en daarbij allerlei gegevens buitmaakten. Op de eigen website publiceert de Clop-groep vervolgens de namen van getroffen organisaties. Als het gevraagde losgeld niet wordt betaald dreigt de groep de gestolen data te publiceren. Progress Software, de ontwikkelaar van MOVEit Transfer, heeft tot nu toe van 23 klanten bericht gehad dat ze door de aanval zijn getroffen. Een aantal van hen wil een schadevergoeding. Daarnaast is Progress onderdeel van 58 massaclaims die zijn aangespannen door personen van wie gegevens bij de zeroday-aanval zijn gestolen. Nog altijd zijn er organisaties die laten weten getroffen te zijn. De Amerikaanse staat Maine moest bij de eigen procureur-generaal melden dat het ook slachtoffer was geworden. Bij de aanval zijn onder andere rijbewijsnummers en social-securitynummers buitgemaakt. Het gaat om de gegevens van 1,32 miljoen mensen. De meeste organisaties die doelwit van de zeroday-aanval werden bevinden zich in de Verenigde Staten. Het gaat meestal om onderwijsinstellingen, gezondheidsorganisaties en financieel en professioneel dienstverleners. bron: https://www.security.nl

Windows Server 2012 krijgt tot eind 2026 betaalde beveiligingsupdates, zo heeft Microsoft aangekondigd. De support van Windows Server 2012 en Windows Server R2 eindigde afgelopen 10 oktober, wat inhoudt dat Microsoft geen patches meer voor gevonden kwetsbaarheden uitbrengt. Net als het met andere Windowsversies heeft gedaan biedt Microsoft ook voor Windows Server 2012 'Extended Security Updates'. Het gaat hier om betaalde beveiligingsupdates die voor een periode van steeds een jaar worden afgenomen. In totaal zullen de betaalde updates maximaal drie jaar worden aangeboden. Organisaties die nu een driejarig abonnement afsluiten kunnen dan van 14 november tot en met 13 oktober 2026 op beveiligingsupdates rekenen. Volgens Microsoft moet dit organisaties die nog met Windows Server 2012 werken de gelegenheid geven om naar een nieuwere Windowsversie te migreren. bron: https://www.security.nl

Een groep cybercriminelen buit een nieuwe zero-day kwetsbaarheid in on-premises implementaties van SysAid software voor supportafdelingen uit voor de verspreiding van de ransomware Clop. Een update die het beveiligingslek dicht is inmiddels beschikbaar. Het Microsoft Threat Intelligence team waarschuwt voor de zero-day kwetsbaarheid, die is geïdentificeerd als CVE-2023-47246. Lace Tempest (DEV-0950), een threat actor die zich bezig houdt met de verspreiding van de Clop-ransomware, buit de kwetsbaarheid naar verluid actief uit. Update beschikbaar SysAid bevestigt de zero-day kwetsbaarheid in een blogpost. Het meldt op 2 november op de hoogte te zijn gesteld, waarna het bedrijf aan de slag is gegaan met het dichten van het lek. Een update is inmiddels beschikbaar. SysAid adviseert klanten met een SysAid on-premises serverinstallatie hun systemen te updaten naar versie 23.3.36. Daarnaast adviseert SysAid een uitgebreide netwerkanalyse uit te voeren en te zoeken naar Indicators of Compromise. Deze deelt het bedrijf in de blogpost. Bij de aanval uploadt de aanvaller een WAR-archief met een WebShell en andere payloads naar de webroot van een SysAid Tomcat webservice. De WebShell geeft de aanvaller ongeautoriseerde toegang en controle over het getroffen systeem. Vervolgens laadt de aanvaller een PowerShell-script via de WebShell, en voert een malware loader genaamd user.exe uit op de besmette host. Deze laadt op zijn beurt de trojan GraceWire, die wordt geïnjecteerd in de processen spoolsv.exe, msiexec.exe en svhost.exe. Vervolgens zetten de aanvallers een tweede PowerShell-script in waarmee zij bewijsmateriaal van hun actie verwijderen uit logbestanden. bron: https://www.security.nl

De website van het bedrijf is hierdoor korte tijd uit de lucht geweest. De aanval is opgeëist door Anonymous Sudan. De aanval zou slechts kort tot problemen hebben geleid op de website van Cloudflare. Een woordvoerder meldt aan Bleeping Computer dat de website enkele minuten offline is geweest. Andere dienstverlening van Cloudflare is naar verluid niet getroffen. De woordvoerder wijst erop dat de website van Cloudflare bewust niet op dezelfde infrastructuur wordt gehost als andere services van de partij. De DDoS-aanval is het werk van Anonymous Sudan, ook bekend als Storm-1359. Recentelijk is deze groep in verband gebracht met onder meer een DDoS-aanval op ChatGPT van OpenAI, Outlook.com, OneDrive en Azure Portal. bron: https://www.security.nl

De generatieve AI-gebaseerde chatbot ChatGPT en diens API zijn momenteel slecht bereikbaar. De diensten zijn met enige regelmaat volledig onbereikbaar, en op andere momenten moeilijker bereikbaar dan gebruikelijk. De oorzaak ligt in een DDoS-aanval, meldt ontwikkelaar OpenAI. In een incident rapport meldt OpenAI dat het bedrijf kampt met een DDoS-aanval, die voor abnormale verkeersstromen zorgen en leiden tot periodieke storingen. Het bedrijf zegt druk aan het werk te zijn om de problemen op te lossen. Gebruikers krijgen onder meer foutmeldingen te zien indien zij de chatbot proberen te gebruiken. De problemen zijn vooralsnog niet opgelost. De afgelopen dagen zijn er meer problemen geweest bij ChatGPT. Zo kampte de Dall-E API maandag met problemen, waarna ChatGPT en de API dinsdag ook door tijdelijke storingen werden getroffen. Gisterochtend was het opnieuw raak bij OpenAI; het bedrijf spreekt van een 'grote storing' die alle diensten van het bedrijf heeft geraakt. OpenAI meldt de oorzaak van deze storing te hebben achterhaald en het probleem te hebben opgelost. bron: https://www.security.nl

Een frauduleuze Ledger Live-app in de Microsoft Store heeft tot veel schade geleid. Meerdere gebruikers zijn via de app opgelicht, waarbij de oplichters zeker 719.000 euro aan cryptovaluta wisten buit te maken. De app is inmiddels door Microsoft uit de Microsoft Store verwijderd. De app was beschikbaar onder de naam Ledger Live Web3, waarmee de app zich voordoet als de legitieme cryptowallet Ledger Live. ZachXBT, een cryptohandelaar die op Twitter onder meer informatie deelt over malafide activiteiten in de cryptowereld, trok over de malafide app aan de bel. 719.000 euro gestolen ZachXBT deelde onder meer het adres van een cryptowallet, waar de aanvaller 16,8 bitcoin ter waarde van zo'n 556.635 euro had ondergebracht. Later deelde ZachXBT het adres van een tweede cryptowallet waar in totaal ruim 168.000 dollar aan gestolen cryptovaluta was ondergebracht. De aanvaller heeft dan ook zeker 719.000 euro buitgemaakt. De app is inmiddels niet meer in de Microsoft Store te vinden. De app was gepubliceerd door een ontwikkelaar die als accountnaam 'Official Dev' gebruikte. Daarnaast viel ook op dat de app een beoordeling van vijf sterren had, gebaseerd op slechts één review. Hoeveel gebruikers in de oplichtingspoging zijn getrapt is onbekend. bron: https://www.security.nl

Cybercriminelen buiten een recent ontdekt lek in Atlassian Confluence Data Center en Server (CVE-2023-22518) actief uit voor onder meer het uitvoeren van ransomware-aanvallen. De CVSS-score van het lek is verhoogd van 9,1 naar 10, wat de hoogst mogelijke score is. Dit meldt Atlassian in een security advisory. Het onderschrijft hiermee een advisory door Rapid7, die waarschuwde dat zijn onderzoekers in het weekend een sterke toename te zien in het aantal aanvallen waarin CVE-2023-22518 wordt uitgebuit. Ongeautoriseerd een beheerdersaccount aanmaken Het beveiligingslek zit in de autorisatie van gebruikers met een beheerdersaccount. Een ongeautoriseerde aanvallen kan Confluence in de praktijk resetten en vervolgens een Confluence instance beheerdersaccount aanmaken, meldt Atlassian in de advisory. Met behulp van dit account kan de aanvaller vervolgens alle beheertaken uitvoeren die beschikbaar zijn voor de Confluence instance administrator. Dit kan onder meer leiden tot datadiefstal, aantasting van de integriteit van data en het onbeschikbaar raken van Confluence. Atlassian stelt momenteel niet te kunnen vaststellen welke instances van klanten door aanvallen zijn getroffen. Wel deelt het een aantal signalen waarop securityteams kunnen letten: Verlies van toegang of inlogmogelijkheid Verzoeken voor /json/setup-restore* in logbestanden Installatie van onbekende plugins, waarbij het onder meer gaat om een plugin genaamd "web.shell.Plugin" Versleutelde of corrupte data Onverwachte leden van de Confluence-administrators groep Onverwacht nieuw gecreëerde gebruikersaccounts bron: https://www.security.nl

Cybercriminelen maken in toenemende mate gebruik van legitieme clouddiensten voor het hosten van hun command & control (C2)-infrastructuur. De infrastructuur is gratis beschikbaar en wordt daarnaast vertrouwd door veel gebruikers, waardoor C2-verkeer makkelijker in legitiem dataverkeer opgaat. Hiervoor waarschuwt de Threat Analysis Group (TAG) van Google in een nieuw rapport (pdf). Het team benadrukt dat alle cloudvendoren en hun producten met deze nieuwe ontwikkeling te maken hebben. Denk hierbij aan cloudopslag en productiviteitstools. In het rapport kijkt het specifiek naar Google Calendar. Proof of concept In juni 2023 is op GitHub een proof-of-concept gepubliceerd voor een zogeheten 'Google Calendar RAT' (CGR). De RAT maakt gebruik van Google Calendar-events voor C2-communicatie. De aanvaller plaatst commando's in het omschrijvingsveld van agendapunten die het aanmaak in Google Calendar. TAG meldt vooralsnog geen gebruik van CGR in het wild te hebben gedetecteerd. Wel merkte Mandiant eerder echter al op dat de proof of concept op fora op het dark web actief worden gedeeld. Dit doet vermoeden dat cybercriminelen interesse hebben in de werkwijze. Commando's versturen via Dropbox C2-communicatie via clouddiensten is niet nieuw. TAG waarschuwde begin dit jaar al voor een aanvalscampagne opgezet door een aanvaller die hierbij wordt gesteund door de Chinese staat. De aanvaller zette malafide PowerShell-scrips in die met Dropbox communiceerde om commando's op te halen en data te exfiltreren. bron: https://www.security.nl

Cybercriminelen richten met behulp van de malware Kinsing hun pijlen op cloudomgevingen. De focus ligt hierbij specifiek op systemen die kwetsbaar zijn voor Looney Tunables, een kwetsbaarheid in Linux-systemen die lokale aanvallers de mogelijkheid biedt root-rechten te verkrijgen. Looney Tunables is een buffer overflow in de dynamic loader van glibc. Het beveiligingsprobleem (CVE-2023-4911) is sinds april 2021 aanwezig en is geïntroduceerd in glibc 2.34. Het lek is echter pas in oktober 2023 aan het licht gekomen. Enkele dagen nadat het lek openbaar werd gemaakt zijn proof-of-concept exploits verschenen. Combinatie van PHPUnit en Looney Tunables Cloud security-bedrijf Aqua Nautilus meldt nu dat de makers van Kinsing-malware actief inspelen op deze kwetsbaarheid. De aanval start met het uitbuiten van een bekende kwetsbaarheid in het PHP-testraamwerk PHPUnit, waarmee de aanvallers toegang weten te krijgen tot het systeem. Met behulp van Looney Tunables hogen zij vervolgens hun rechten op. Kinsing staat bekend voor aanvallen op cloud-gebaseerde systemen en applicaties. Zo wees Microsoft onlangs nog op aanvallen op Kubernetes-clusters, waarbij de aanvallers PostgreSQL-containers met configuratiefouten probeerden uit te buiten. bron: https://www.security.nl

De Europese Cyber Resilience Act kan tot grootschalige verstoringen in toeleverketens zorgen, waarschuwen diverse grote elektronicabedrijven. De verstoringen kunnen zelfs vergelijkbaar zijn met de problemen die we de COVID-19 pandemie zagen. Deze waarschuwing is afkomstig van de European Information, Communications and Consumer Electronics Technology Industry Associations (DIGITALEUROPE), een branchevereniging van bedrijven in de elektronica- en telecommiunicatiesector. Onder meer Ericsson, ESET, Nokia, Robert Bosch, Schneider Electric en Siemens zijn hierbij aangesloten. Securityrisico's beoordelen en aanpakken In een brief (pdf) uiten de partijen hun zorgen over de aanstormende Cyber Resilience Act. Deze wet verplicht fabrikanten securityrisico's verbonden aan hun producten te beoordelen en problemen op te lossen gedurende een periode van vijf jaar, of de verwachte levensduur van producten. DIGITALEUROPE schrijft in de brief gericht aan Eurocommissaris voor de Digitale Interne Markt Thierry Breton en vice-president van de Europese Commissie Vera Jourova dat de Cyber Resilience Act tot bottlenecks in toeleverketens kan leiden. Onder meer door een groot tekort aan onafhankelijke experts voor het uitvoeren van de beoordelingen die de Cyber Resilience Act vereist. Kan Europese interne markt schaden De bottlenecks kunnen volgens DIGITALEUROPE de Europese interne markt schaden. De problemen kunnen uiteenlopende producten raken, variërend van wasmachine tot speelgoed, cybersecurityproducten, onderdelen voor warmtepompen en high tech productiesystemen. "We riskeren een COVID-achtige blokkade in Europese toeleverketens te veroorzaken, de interne markt te verstoren en ons concurrentievermogen te beschadigen", aldus DIGITALEUROPE. bron: https://www.security.nl