Captain Kirk

Een groep criminelen gebruikt het topleveldomein .US voor een malafide URL-shortener, zo stelt securitybedrijf Infoblox. Sinds april registreerde de groep, die de naam 'Prolific Puma' heeft gekregen, tussen de 35.000 en 75.000 unieke domeinnamen. Deze domeinnamen worden vervolgens gebruikt om voor andere criminelen verkorte links te genereren die naar malafide sites wijzen. Het kan dan gaan om websites gebruikt voor phishing, malware of andere scams. Door het gebruik van een URL-shortener kunnen aanvallers de werkelijke bestemming van de link verbergen. Daarbij kiezen de aanvallers voor het .US-topleveldomein. De te registreren domeinen, meestal drie of vier karakters lang, worden via een algoritme gegenereerd. Ook gaat het om niet verlengde domeinnamen die de groep opnieuw registreert. Voor de registratie van de domeinnamen wordt vaak gebruik gemaakt van NameSilo. De registrar vereist alleen een e-mailadres en betaalmethode, aldus Infoblox. Wanneer een houder iets met zijn domeinnaam wil doen zijn een naam en adresgegevens verplicht. Volgens de onderzoekers is het opmerkelijk dat de criminele groep zoveel .US-domeinen registreert, omdat het topleveldomein transparantie verplicht. Geen enkel domein mag privé worden geregistreerd, wat inhoudt dat zaken als adres, naam en telefoonnummer publiek zichtbaar zijn. "Dit lijkt misschien criminelen af te schrikken, maar het is niet effectief, aangezien het .US-topleveldomein bekendstaat om het misbruik", aldus Infoblox. Daarnaast blijkt dat de criminelen een manier hebben gevonden om de .US-domeinen toch met afgeschermde gegevens te registreren, wat in strijd met de voorwaarden is. bron: https://www.security.nl

E-mailclient Thunderbird kan weer onveilige op SHA-1-gebaseerde signatures voor S/MIME e-mails accepteren, zo hebben de ontwikkelaars aangekondigd. Thunderbird-gebruikers kunnen hun e-mail digitaal ondertekenen, waarvoor de e-mailclient lange tijd het SHA-1-algoritme gebruikte. Er zijn verschillende SHA-versies in omloop. Sinds 2005 zijn er collision-aanvallen op het SHA-1-algoritme bekend waar verschillende invoer dezelfde uitvoer geeft. Het algoritme wordt dan ook al lange tijd als onveilig beschouwd. Al tien jaar geleden werd het Thunderbird-ontwikkelteam gevraagd om met het gebruik van SHA-1 voor het signeren van e-mails te stoppen. Inmiddels maakt Thunderbird al jaren gebruik van SHA-256. Met de lancering van Thunderbird 115 (Supernova) in juli van dit jaar accepteert Thunderbird geen op SHA-1 gebaseerde digitale handtekeningen van S/MIME e-mails meer. Wanneer voor de betreffende signature toch SHA-1 is gebruikt laat Thunderbird een melding zien dat de digitale handtekening ongeldig is. De ontwikkelaars stellen dat de meeste moderne e-mailclients die S/MIME ondersteunen een ander hashing-algoritme ondersteunen, zoals SHA-256. Recentelijk kregen de ontwikkelaars te horen dat SHA-1 in sommige omgevingen nog wordt gebruikt. Het gaat dan om overheidsinstanties die op SHA-1 gebaseerde berichten blijven versturen. De ontvangers van deze e-mails hebben het Thunderbird-ontwikkelteam gevraagd naar een manier om de geldigheid van dergelijke signatures te verifiëren, ondanks het risico dat de handtekening is vervalst. Om deze gebruikers tegemoet te komen biedt Thunderbird vanaf versie 115.4.1 de optie 'mail.smime.accept_insecure_sha1_message_signatures', waarmee dit mogelijk is. Het Thunderbird-ontwikkelteam adviseert deze instelling niet in te schakelen. Organisaties zouden de betreffende afzenders moeten oproepen om naar SHA-256 voor hun signatures te migreren. Zodra dit is gedaan zou de instelling weer moeten worden uitgeschakeld. Het aanpassen van de instelling heeft geen gevolgen voor gesigneerde berichten die via Thunderbird worden verstuurd, aangezien de e-mailclient daarvoor SHA-256 gebruikt. bron: https://www.security.nl

Twee kwetsbaarheden in de Wyze Cam V3 camera maken het mogelijk voor aanvallers om de apparaten op afstand over te nemen. Wyze heeft onlangs een beveiligingsupdate uitgebracht om de problemen te verhelpen, hoewel dit niet duidelijk staat vermeld. Er is inmiddels ook een proof-of-concept exploit online verschenen en de onderzoeker die de kwetsbaarheid ontdekte stelt dat ook andere Wyze-producten kwetsbaar zijn, maar daarvoor geen patches zijn verschenen. Wyze kwam op 22 oktober met een firmware-update voor de V3-camera. In de release notes wordt alleen vermeld dat de update wat 'beveiligingsverbeteringen' bevat. Verdere details worden niet gegeven. Op 24 oktober vond de Pwn2Own-hackwedstrijd in Toronto plaats, waar ook de Wyze V3-camera een doelwit was. De update die Wyze twee dagen eerder uitbracht verhielp verschillende problemen, waaronder een authenticatie bypass. Verschillende onderzoekers die aan de wedstrijd deelnamen wilden dit lek voor hun demonstratie gebruiken. Toen bleek dat dit niet kon trokken ze hun inzending terug. "Ik denk dat Wyze een mini PR-nachtmerrie wilde voorkomen, in de hoop dat hun camera tijdens Pwn2Own niet zou worden gepwned. Dat heeft niet gewerkt, sommige andere teams hadden andere kwetsbaarheden die geen gebruik van de authenticatie bypass maakten. Je vraagt je af waarom ze zolang met deze patch hebben gewacht, terwijl hun klanten in de tussentijd kwetsbaar waren", stelt onderzoeker Peter Geissler die de proof-of-concept exploit publiceerde. Via deze exploit, die misbruik van twee kwetsbaarheden maakt, krijgt een aanvaller een shell op het apparaat en kan hier zo toegang toe behouden of andere apparaten in het netwerk proberen aan te vallen. In een reactie stelt Wyze dat het jarenlang niet van het probleem afwist en pas een paar dagen voor Pwn2Own de bugmelding hierover ontving. Vervolgens werd het probleem in drie dagen gepatcht en de update aan gebruikers aangeboden. "Aan iedereen die het Wyze-verhaal gelooft dat ze net voor de wedstrijd over de authenticatie bypass werden ingelicht: vraag jezelf af waarom ze het probleem alleen in de Wyze CaM V3 hebben verholpen (Pwn2Own doelwit) en niet in hun andere producten die dezelfde kwetsbaarheid bevatten", aldus Geissler op X. Wyze stelt tegenover een andere onderzoeker dat het inmiddels onderzoekt of andere apparaten dezelfde kwetsbaarheid bevatten. Uiteindelijk wisten meerdere onderzoekers tijdens de Pwn2Own-wedstrijd de Wyze V3-camera alsnog te compromitteren. Voor de hiervoor gebruikte kwetsbaarheden zijn nog geen beveiligingsupdates beschikbaar. bron: https://www.security.nl

De Canadese overheid heeft software van antivirusbedrijf Kaspersky en de populaire app WeChat verboden op de werktelefoons van ambtenaren. In het geval ambtenaren de apps op hun toestel hebben geïnstalleerd zullen die worden verwijderd. Daarnaast wordt het downloaden van de apps geblokkeerd. Volgens de Canadese overheid vormen de apps van WeChat en Kaspersky een onacceptabel risico voor de privacy en veiligheid. Concreet bewijs voor deze risico's worden niet gegeven, maar in een persbericht wordt gesteld dat de betreffende apps vergaande toegang tot content op het toestel hebben. "De beslissing om WeChat en Kaspersky-applicaties te blokkeren is genomen om ervoor te zorgen dat Canadese overheidsnetwerken en -data veilig en beschermd blijven en is in lijn met de aanpak van onze internationale partners." Verder stelt de Canadese overheid dat de risico's van de betreffende applicaties duidelijk zijn, maar er geen bewijs is dat er ook informatie is gestolen. Wat betreft het gebruik van WeChat door de Canadese bevolking noemen de autoriteiten dit een persoonlijke keuze, maar wordt er gewezen naar advies van het Canadese Centrum voor Cybersecurity, waarin staat dat het gebruik van Facebook, Twitter, TikTok, WhatsApp, LinkedIn en WeChat aanvallers eenvoudig toegang tot persoonlijke informatie en toestellen kan geven. bron: https://www.security.nl

Google heeft besloten om bij alle gebruikers nu standaard https voor alle verbindingen te gebruiken. Wanneer gebruikers op een http-link klikken maakt de browser er automatisch https van. Alleen als de betreffende website geen https ondersteunt wordt er vervolgens op http teruggevallen. Volgens Google werkt de techniek in bijna alle situaties, behalve als de site zoals gezegd geen https aanbiedt. "Browsers versturen nog steeds onveilige http requests naar websites die https ondersteunen, tenzij de sitebeheerder de nodige configuraties heeft doorgevoerd en hun site aan de HSTS preload list heeft toegevoegd", aldus Google in een uitleg over HTTPS Upgrade, zoals de feature in de browser wordt genoemd. HTTP Strict Transport Security (HSTS) zorgt ervoor dat websites die via HTTPS te bezoeken zijn alleen via HTTPS worden bezocht. De HSTS preload list die Google noemt bevat hostnames waarvoor de browser automatisch een https-verbinding afdwingt. Het kan echter voorkomen dat een gebruiker iets via http laadt vanaf een website die HSTS ondersteunt, maar nog niet eerder is bezocht en ook niet op de preload list staat. Een ander scenario is wanneer er een website wordt bezocht die de gebruiker van http naar https redirect, maar geen HSTS gebruikt, of een site die zowel http als https ondersteunt, maar geen redirect van http naar https doet. Via de preload list worden websites meteen via https geladen, maar die lijst is niet allesomvattend. Via HTTPS Upgrade wordt er altijd https gebruikt, en zal http als fallback optie worden gebruikt. Google besloot de feature eerder dit jaar eerst in versie 115 van de browser te testen, maar heeft die begin deze maand onder alle gebruikers uitgerold, zo laat Chris Thompson van Google weten. De feature is één van de maatregelen waar Google mee bezig is om http-verkeer te verminderen. bron: https://www.security.nl

Zo'n 42.000 Roundcube Webmail-servers bevatten een kwetsbaarheid waar aanvallers op dit moment actief misbruik van maken. Negenhonderd van de servers staan in Nederland, zo stelt de Shadowserver Foundation op basis van eigen scans. Roudcube is opensource-webmailsoftware en wordt door allerlei organisaties gebruikt. Een kwetsbaarheid (CVE-2023-5631) in de software maakt stored cross-site scripting (XSS) mogelijk. Door het versturen van een malafide e-mail kan een aanvaller zo JavaScript in de browser van het slachtoffer uitvoeren en vervolgens alle e-mails in zijn of haar e-mailaccount stelen. De makers van Roundcube kwamen op 16 oktober met updates voor de Webmail-server. Vorige week maakte ESET bekend dat aanvallers al voor het uitkomen van de patches misbruik van de kwetsbaarheid maken. De Shadowserver Foundation is een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich bezighoudt met de bestrijding van botnets en cybercrime. De organisatie scant regelmatig op kwetsbare systemen. Dan blijkt dat er nog 42.000 Roundcube Webmail-servers zijn die de update voor CVE-2023-5631 niet geïnstalleerd hebben. Het grootste aantal kwetsbare server staat in de Verenigde Staten (9500). In Nederland gaat het om 908 servers. bron: https://www.security.nl

De Russische overheid is bezig met de ontwikkeling van een eigen versie van VirusTotal, Googles online virusscandienst, wat moet voorkomen dat gegevens op Amerikaanse servers worden opgeslagen. Via VirusTotal kunnen gebruikers bestanden door tientallen virusscanners laten controleren. Vervolgens wordt er allerlei informatie over het gecontroleerde bestand getoond. Geüploade gegevens worden door Google opgeslagen en gedeeld met antivirusbedrijven. Daarnaast is de Amerikaanse wetgeving op de bestanden van toepassing. De Russische krant Rossiyskaya Gazeta meldt vandaag dat het nieuwe nationale Russische centrum voor digitale cryptografie een Russisch alternatief voor VirusTotal gaat ontwikkelen met de naam 'Multiscanner'. Net als VirusTotal zal Multiscanner bestanden door middel van statische analyse kunnen controleren, maar ook door middel van een sandbox gedragsanalyses kunnen uitvoeren. Verschillende antivirusbrieven werken aan de ontwikkeling mee, waaronder Kaspersky en Doctor Web. Dit jaar wordt al een werkend prototype van het platform verwacht en zullen er in 2024 nieuwe functies worden toegevoegd. In 2025 moet Multiscanner volledig operationeel zijn. De Russische overheid is van plan om Multiscanner met 'staatsdiensten' te integreren. Daarnaast komt de online virusscandienst ook beschikbaar voor eindgebruikers, die het platform gratis en zonder installatie van software kunnen gebruiken. bron: https://www.security.nl

Fabrikanten van Internet of Things (IoT) apparaten moeten potentiële kopers duidelijke informatie over de veiligheid van het apparaat geven, zoals hoelang er updates voor verschijnen en welke authenticatie wordt ondersteunt. Daarvoor pleiten onder andere NXP, ARM, Google en verschillende andere bedrijven in een gezamenlijke verklaring. "Hoewel een IoT-label op zichzelf niet het probleem van IoT-veiligheid oplost, kan transparantie zowel consumenten onderwijzen als de coördinatie van de securityverantwoordelijkheden tussen de verschillende onderdelen in het IoT-ecosysteem faciliteren", zo stellen de bedrijven. "Ons doel is om de veiligheid van IoT-apparaten en -ecosystemen te versterken en individuen en organisaties te beschermen, en alle voordelen van IoT mogelijk te maken." Volgens de bedrijven kan een securitylabel consumenten helpen bij het maken van een keuze, wat er vervolgens voor zou moeten zorgen dat fabrikanten allerlei veiligheidsverbeteringen gaan doorvoeren. "Maar alleen als het label geloofwaardig, bruikbaar en eenvoudig te begrijpen is. We hebben goede hoop dat de publieke sector en industrie kunnen samenwerken om beleid af te stemmen dat dit doel kan bereiken." bron: https://www.security.nl

Vermoedelijk zijn er nog wereldwijd tienduizenden Cisco IOS XE-systemen besmet met een backdoor waardoor de aanvallers toegang tot de apparaten hebben, zo stelt securitybedrijf Censys. Voor verschillende versies van IOS XE zijn nog altijd geen beveiligingsupdates beschikbaar om de kwetsbaarheden te verhelpen waardoor de backdoor wordt geïnstalleerd. Op dit moment is er alleen voor versie 17.9 van IOS XE een update verkrijgbaar. Wanneer de updates voor versies 17.6, 17.3 en 16.12 verschijnen is nog niet bekend. Eerder deze maand werd bekend dat aanvallers twee zerodaylekken in IOS XE (CVE-2023-20273 en CVE-2023-20198) gebruiken om systemen op afstand volledig over te nemen. IOS XE draait op de switches en routers van Cisco. Vervolgens kan een aanvaller verdere aanvallen uitvoeren of verkeer onderscheppen. De aanvallers installeerden een backdoor om toegang tot de gecompromitteerde systemen te behouden. Censys telde op het hoogtepunt 53.000 besmette IOS XE-systemen. Nadat erover de zerodaylekken werd bericht besloten de aanvallers hun backdoor te upgraden, zodat die alleen op de juiste http header reageert. Hierdoor konden onderzoekers niet meer zien hoeveel apparaten er nog besmet zijn. Er is echter een nieuwe manier gevonden waarmee kan worden gekeken of de backdoor nog actief is, hoewel deze methode niet heel precies is. Dan komt Censys bij een nieuwe telling uit op zo'n 29.000 systemen die sporen van de backdoor bevatten. "Hoewel het op het eerste gezicht lijkt dat deze aanvallers hun zero-day hebben verbruikt, is het duidelijk dat dit een gecoördineerde, goed geplande en goed uitgevoerde aanval was. Niet alleen hebben ze de kwetsbaarheid in deze apparaten gevonden (als het lek niet was gekocht), maar gebruikten ze ook de onderliggende technologie die op deze apparaten draait om een backdoor te installeren. Dit houdt in dat er redelijk wat moeite is gedaan om de technologie te leren en systeemspecifieke backdoors te implementeren", aldus Censys. bron: https://www.security.nl

Softwarebedrijf CCleaner heeft klanten gewaarschuwd voor een datalek dat zich eind mei voordeed via een zerodaylek in MOVEit Transfer. Het gaat om naam, contactgegevens en informatie over de aangeschafte CCleaner-software, aldus de datalekmelding aan getroffen klanten. De gestolen data is inmiddels door criminelen op internet gepubliceerd. MOVEit Transfer is een applicatie voor het uitwisselen van bestanden. Allerlei organisaties maken er gebruik van om onder andere vertrouwelijke informatie binnen de organisatie te delen. Een zerodaylek in deze software werd eind mei bij een wereldwijde aanval gebruikt, waarbij criminelen achter de Clop-ransomware toegang tot de MOVEit-servers van duizenden organisaties kregen en daarbij allerlei gegevens buitmaakten. Op de eigen website publiceert de Clop-groep vervolgens de namen van getroffen organisaties. Als het gevraagde losgeld niet wordt betaald dreigt de groep de gestolen data te publiceren. Van hoeveel klanten van CCleaner de gegevens zijn gestolen is onbekend. Het bedrijf stelt dat het recent geleden ontdekte dat gestolen klantdata op internet staat. Slachtoffers kunnen zes maanden lang kosteloos gebruikmaken van BreachGuard, een dienst van moederbedrijf Avast die op datalekken monitort. CCleaner werd in 2017 door Avast overgenomen. Volgens antivirusbedrijf Emsisoft zijn via het zerodaylek in MOVEit Transfer bijna 2600 organisaties aangevallen, waarbij de gegevens van meer dan 66,3 miljoen personen zijn gestolen. De Amerikaanse beurswaakhond SEC kondigde eerder deze maand een onderzoek naar de aanval aan. Daarnaast blijkt dat MOVEit-ontwikkelaar Progress onderdeel van 58 massaclaims is die zijn aangespannen door personen van wie gegevens bij de zeroday-aanval zijn gestolen. bron: https://www.security.nl

Onderzoekers van Cisco hebben in SoftEther VPN meerdere kwetsbaarheden gevonden waardoor het mogelijk is voor aanvallers om het verkeer van gebruikers te onderscheppen of code op kwetsbare systemen uit te voeren. SoftEther VPN is een gratis open source, cross-platform, multi-protocol vpn-client en vpn-serversoftware. Een kritieke kwetsbaarheid in de software (CVE-2023-27395) maakt het mogelijk voor een aanvaller door het versturen van een speciaal geprepareerd netwerkpakket om willekeurige code op het systeem van de gebruiker uit te voeren. De impact van dit beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.0. Twee andere kwetsbaarheden (CVE-2023-32634 en CVE-2023-27516) geven een ongeautoriseerde aanvaller toegang tot de vpn-sessie. Vervolgens kan de aanvaller via zijn eigen certificaat een man-in-the-middle-aanval uitvoeren, zonder dat de gebruiker hier een melding van krijgt, of de authenticatie-instellingen van de vpn achterhalen, en het systeem van de gebruiker zo verder compromitteren. Cisco waarschuwde de ontwikkelaars afgelopen juni, die twee weken later met een update kwamen. De kwetsbaarheden zijn nu openbaar gemaakt. bron: https://www.security.nl

Aanvallers hebben een zerodaylek in Roundcube Webmail gebruikt voor het stelen van e-mail, zo ontdekte antivirusbedrijf ESET begin deze maand. De ontwikkelaars van Roundcube hebben inmiddels beveiligingsupdates uitgebracht. Roudcube is opensource-webmailsoftware en wordt door allerlei organisaties gebruikt. Een kwetsbaarheid (CVE-2023-5631) in de software maakt stored cross-site scripting (XSS) mogelijk. Door het versturen van een malafide e-mail kan een aanvaller zo JavaScript in de browser van het slachtoffer uitvoeren en vervolgens alle e-mails in zijn of haar e-mailaccount stelen. De aanval is volgens ESET het werk van een spionagegroep genaamd Winter Vivern die zich richt op overheden in Europa en Centraal-Azië en eerder een XSS-kwetsbaarheid in Zimbra-webmail gebruikte voor het stelen van e-mail. ESET meldde het probleem op 12 oktober aan Roundcube en vier dagen later waren er patches beschikbaar. Organisaties wordt aangeraden om te updaten naar Roundcube 1.6.4, 1.5.5 of 1.4.15. bron: https://www.security.nl

Een kritieke kwetsbaarheid in VMware vCenter Server en VMware Cloud Foundation maakt het mogelijk voor aanvallers om servers op afstand over te nemen. VMware heeft beveiligingsupdates uitgebracht om het probleem te verhelpen en roept organisaties op die zo snel mogelijk te installeren. In het verleden zijn kwetsbaarheden in vCenter vaker aangevallen. VCenter is een oplossing voor het beheer van virtual machines en gevirtualiseerde servers. De kritieke kwetsbaarheid (CVE-2023-34048) betreft een 'out-of-bounds write' in het DCERPC-protocol, waardoor een aanvaller code op de server kan uitvoeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De enige vereiste voor het uitvoeren van een aanval is dat een aanvaller toegang tot de server heeft. bron: https://www.security.nl

De Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert, gaat het .nl-domein naar een nieuw registratieplatform migreren dat het samen met het Canadese CIRA zal ontwikkelen en beheren. CIRA is verantwoordelijk voor het .ca-domein. Na de migratie zal .nl draaien op een nieuwe cloudversie van het huidige CIRA Registry Platform. Er zijn inmiddels meer dan 6,3 miljoen .nl-domeinnamen geregistreerd. In 2010 lanceerde SIDN het Domeinnaam Registratie Systeem (DRS) 5, voor het registreren en verhuizen van .nl-domeinnamen. SIDN zocht een opvolger voor DRS5 en besloot uiteindelijk om in samenwerking met een bestaande registry een nieuw systeem te ontwikkelen. "De keuze viel op CIRA vanwege de toonaangevende technologie, interne expertise en gedeelde waarden", aldus SIDN, dat in het verleden vaker met CIRA samenwerkte. "Op kortere termijn zijn er voordelen door onder andere een versnelde ingebruikname van een nieuw, state-of-the-art registratiesysteem tegen lagere kosten en met lagere risico's dan wanneer we alles van voren af aan intern zouden ontwikkelen", zegt SIDN-directeur Roelof Meijer. Financiële details met betrekking tot de overeenkomst worden op dit moment niet bekendgemaakt. bron: https://www.security.nl

Internetbedrijf Cloudflare is opnieuw slachtoffer geworden van een inbraak bij authenticatieplatform Okta en roept het bedrijf op om meldingen van beveiligingsincidenten serieus te nemen. Okta biedt een platform waar wereldwijd duizenden bedrijven gebruik van maken om werknemers toegang tot systemen en applicaties te geven. Een aanvaller wist in te breken op het supportsysteem van Okta en kon zo gevoelige gegevens stelen die klanten met supportmedewerkers delen. Met de gestolen klantgegevens, waaronder sessietokens, wist de aanvaller vervolgens in te loggen op de Okta-omgeving van Cloudflare. Het internetbedrijf ontdekte de aanval meer dan 24 uur voordat het door Okta werd geïnformeerd. Volgens Cloudflare werden twee Okta-accounts door de aanvaller gecompromitteerd. Vorig jaar kreeg Okta ook al met een inbraak te maken, waarop Cloudflare besloot om de wachtwoorden van medewerkers te resetten. Cloudflare haalt in een analyse van de meest recente aanval uit naar Okta. Volgens Cloudflare had Okta meldingen over de aanval serieus te nemen. Okta werd voor het eerst op 2 oktober door securitybedrijf BeyondTrust ingelicht, maar de aanvallers hadden zeker nog tot en met 18 oktober toegang tot het supportsysteem. Cloudflare stelt ook dat Okta klanten tijdig over beveiligingsincidenten moet informeren en de toegang tot systemen door middel van hardwarematige beveiligingssleutels moet beveiligen. bron: https://www.security.nl

Microsoft heeft een policy voor Windows 11 geïntroduceerd waarmee organisaties kunnen instellen dat personeel zonder wachtwoord op systemen kan inloggen. Dit moet volgens het techbedrijf bijdragen aan een wereld zonder wachtwoorden. "Wachtwoorden zijn inherent onveilig, onhandig en een geliefd doelwit voor aanvallen. Vorig jaar traceerde Microsoft elke seconde 1287 wachtwoordaanvallen. De afgelopen twaalf maanden zagen we gemiddeld meer dan vierduizend wachtwoordaanvallen per seconde", zegt Microsofts Sayali Kale. Organisaties die van Windows 11 versie 22H2 gebruikmaken kunnen nu door middel van de 'EnablePasswordlessExperience' policy op beheerde systemen in een Microsoft Entra ID-omgeving instellen dat gebruikers niet meer met een wachtwoord kunnen inloggen. In plaats daarvan wordt er gebruikgemaakt van een fysieke beveiligingssleutel, pincode, Windows Hello of vingerafdruk. "Dit helpt organisaties en gebruikers om geleidelijk afscheid van wachtwoorden te nemen", aldus Kale. bron: https://www.security.nl

Citrix roept organisaties op om een kritieke kwetsbaarheid in NetScaler ADC en NetScaler Gateway meteen te patchen, aangezien aanvallers misbruik van het beveiligingslek maken. Via een kwetsbaarheid in de producten (CVE-2023-4966) kan een aanvaller gevoelige informatie van systemen achterhalen, zoals ingelogde sessies van gebruikers, waarmee toegang tot het systeem kan worden verkregen. NetScaler ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. Via de NetScaler Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. Citrix ontdekte de kwetsbaarheid zelf en kwam hiervoor op 10 oktober met een beveiligingsupdate. Volgens securitybedrijf Mandiant maken aanvallers echter al sinds eind augustus misbruik van de kwetsbaarheid voor het aanvallen van organisaties. In een blogposting worden organisaties nu door Citrix opgeroepen om de update voor CVE-2023-4966 meteen te installeren. Daarnaast wordt aangeraden om alle actieve en 'persistant' sessies te beëindigen. Citrix zegt geen forensische analyse te kunnen bieden om te bepalen of systemen al gecompromitteerd zijn. Details over het beveiligingslek zelf zijn nog altijd niet gegeven. Citrix zegt dit te doen om klanten tegen misbruik te willen beschermen. bron: https://www.security.nl

Wachtwoordmanager 1Password heeft te maken gekregen met een beveiligingsincident nadat criminelen eerder bij authenticatieplatform Okta wisten in te breken. Dat laat het bedrijf in een rapport weten (pdf). Okta biedt een platform waar wereldwijd duizenden bedrijven gebruik van maken om werknemers toegang tot systemen en applicaties te geven. Een aanvaller wist in te breken op het supportsysteem van Okta en kon zo gevoelige gegevens stelen die klanten met supportmedewerkers delen. Met de gestolen klantgegevens wist de aanvaller vervolgens in te loggen op de Okta-omgeving van 1Password. Het it-team van de wachtwoordmanager ontdekte dit toen het op 29 september een e-mailbericht ontving dat ze bij Okta een overzicht van admins hadden opgevraagd. Daarop werd een onderzoek ingesteld, waaruit bleek dat een aanvaller met adminrechten op de Okta-omgeving had ingelogd. Volgens 1Password heeft de aanvaller geen toegang gekregen tot systemen buiten Okta en lijkt het erop dat er gegevens werden verzameld voor een volgende aanval. De aanvaller kon op de Okta-omgeving van 1Password inloggen omdat een it-medewerker van de wachtwoordmanager op verzoek van de helpdesk van Okta een bestand met gevoelige informatie deelde, waaronder sessiecookies. De aanvaller kon dit bestand stelen en zo toegang tot de Okta-omgeving van 1Password krijgen. Vervolgens probeerde de aanvaller toegang tot het dashboard van de it-medewerker te krijgen, maar dat werd geblokkeerd door Okta. Daarop besloot de aanvaller een identiteitsprovider waar 1Password gebruik van maakt te updaten en activeren, om daar op een later moment mee te kunnen inloggen. Toen de aanvaller als laatste een overzicht van beheerders opvroeg ging er een e-mail naar het it-team van 1Password en werd de aanval opgemerkt. De wachtwoordmanager heeft inmiddels een aantal aanpassingen aan de Okta-configuratie doorgevoerd, waaronder het blokkeren van inlogpogingen afkomstig van andere identiteitsproviders dan Okta, het verkorten van de sessieduur voor beheerders, strengere regels voor multifactorauthenticatie voor beheerders en het verminderen van het aantal 'super administrators'. Okta werd vorig jaar ook al het slachtoffer van een aanval. bron: https://www.security.nl

QNAP heeft vorige week een server offline laten halen die werd gebruikt voor het uitvoeren van bruteforce-aanvallen op NAS-systemen. De NAS-fabrikant stelt dat het onlangs een 'golf van zwakke wachtwoordaanvallen' waarnam gericht tegen NAS-systemen die vanaf internet benaderbaar zijn. De aanval was afkomstig van een botnet dat uit honderden ip-adressen bestaat. Daarop besloot QNAP eerst een update voor de QuFirewall uit te brengen om deze ip-adressen te blokkeren. Binnen 48 uur werd vervolgens de command & control-server gevonden. In samenwerking met hostingprovider Digital Ocean werd de server offline gehaald. QNAP roept eigenaren van NAS-systemen op om het standaard admin-account van de NAS uit te schakelen, sterke wachtwoorden voor alle accounts te gebruiken, de firmware te updaten en de QuFirewall te installeren. bron: https://www.security.nl

TikTok heeft gebruikers tot anderhalve week geleden geen inzage gegeven in de data die het van hen op andere websites verzamelde, zo meldt BNR. Via een trackingpixel kan de populaire video-app gebruikers buiten de eigen app volgen. Websites plaatsen de code van de trackingpixel, waarna informatie over bezoekers naar TikTok gaat. Het bedrijf kan zo gerichte advertenties tonen aan gebruikers binnen de app. Onder de AVG heeft iedereen een recht op inzage en kan zo opvragen welke persoonsgegevens een organisatie over hem of haar heeft. De organisatie moet die vervolgens binnen een bepaalde tijd verstrekken. TikTok-gebruikers die inzage in de verzamelde gegevens vroegen kregen te horen dat ze niet bestonden. "Als je een verzoek doet, moet TikTok een volledig overzicht geven van de persoonsgegevens die ze over jou hebben", laat Gerrit-Jan Zwenne weten, hoogleraar recht en de informatiemaatschappij aan de Universiteit Leiden. BNR vroeg TikTok begin september voor het eerst om opheldering over de 'heimelijke dataverzameling', maar kreeg geen inhoudelijke reactie. Sinds anderhalve week kunnen gebruikers met terugwerkende kracht alsnog bij TikTok opvragen welke gegevens de video-app over hen heeft opgeslagen. Dan blijkt dat TikTok zeker sinds mei vorig jaar al gegevens registreert en mogelijk nog langer. "Dit onderzoek laat namelijk weer zien dat ze bij TikTok maar doen wat ze willen", zegt GroenLinks-Europarlementariër Kim van Sparrentak. "Ik wil heel graag dat er een grote toezichthouder voor de big tech-bedrijven in Europa komt." bron: https://www.security.nl

Cisco heeft de eerste update beschikbaar gemaakt voor actief aangevallen zerodays in IOS XE. De patch is er alleen voor versie 17.9 van het besturingssysteem. Wanneer de updates voor versies 17.6, 17.3 en 16.12 verschijnen wordt nog bekendgemaakt. Via de kwetsbaarheden (CVE-2023-20273 en CVE-2023-20198) kan een aanvaller op afstand volledige controle over een systeem krijgen. IOS XE draait op de switches en routers van Cisco. Vervolgens kan een aanvaller verdere aanvallen uitvoeren of verkeer onderscheppen. Volgens securitybedrijven Onyphe en Censys waren er op het hoogtepunt van de aanvallen respectievelijk 53.000 en 42.000 systemen door aanvallers van een backdoor voorzien. Inmiddels is dat aantal gedaald naar respectievelijk 5000 en 1200. Volgens Orange Cyberdefense zijn de aanvallers echter bezig om de toegevoegde backdoor te verbergen. Het is daardoor nog onduidelijk hoeveel systeem erop dit moment nog zijn gecompromitteerd. bron: https://www.security.nl

IPv4 is niet langer het standaard Internet Protocol maar IPv6, zo stelt de Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert. "Bij de nieuwbouw en opwaardering van computernetwerken moet IPv6 nu leidend zijn en wordt de ontsluiting van IPv4-only systemen verzorgd door een dienst boven op die IPv6-basis." SIDN wijst onder andere naar cijfers van Google. Die laten zien dat 45 procent van de gebruikers die verbinding met de diensten van het techbedrijf maakt dit via IPv6 doet. In Nederland blijft de IPv6-adoptie echter achter, met nog geen 22 procent. In de Europese Unie is Frankrijk koploper met meer dan 74 procent, gevolgd door Duitsland dat de 72 procent nadert. Volgens SIDN wordt de IPv6-adoptie in Duitsland vooral gestimuleerd door de federale overheid, die strategisch ingezet op IPv6 als fundament onder de digitalisering van overheidsdiensten. Vanwege de ontwikkeling stelt de stichting dat oude mechanismen om IPv4 te blijven gebruiken, als dual-stack met NAT en CGNAT, nu moeten plaatsmaken voor nieuwere mechanismen gebaseerd op NAT64, DNS64 en 464XLAT. "Vanaf een bepaald kantelpunt is het dus om zowel economische redenen als vanwege de complexiteit van alle IPv4-lapmiddelen verstandiger om te kiezen voor een IPv6-netwerk met daarop een aparte faciliteit voor toegang tot IPv4-only systemen", zegt SIDN, dat toevoegt dat IPv6 fundamenteel niet anders of ingewikkelder is dan IPv4. "Zeker als je daarbij ook alle lapmiddelen voor IPv4 in ogenschouw neemt. Maar de transitie van IPv4 naar IPv6 is een apart onderwerp en vraagt aandacht op netwerk-strategisch niveau." bron: https://www.security.nl

Aanvallers maken misbruik van een twee jaar oude kwetsbaarheid in IOS XE waardoor het mogelijk is om rootrechten op gecompromitteerde systemen te krijgen. Het gaat hier om een andere kwetsbaarheid dan het zerodaylek waardoor al 42.000 IOS XE-systemen van een backdoor zijn voorzien. Cisco IOS XE is het besturingssysteem dat op de switches en routers van het netwerkbedrijf draait. In maart 2021 kwam Cisco met een beveiligingsupdate voor een kwetsbaarheid aangeduid als CVE-2021-1435. Via dit beveiligingslek kan een geauthenticeerde aanvaller op afstand willekeurige commando's injecteren die als root worden uitgevoerd. Op het moment dat Cisco met de update kwam werd er nog geen misbruik van het beveiligingslek gemaakt. Dat is inmiddels wel het geval, zo laat het netwerkbedrijf in een update van het beveiligingsbulletin weten. Details over de aanvallen zijn niet door Cisco gegeven. De melding valt echter samen met actief misbruik van een zerodaylek in Cisco IOS XE (CVE-2023-20198) waarvoor nog geen update beschikbaar is. De Amerikaanse overheid heeft federale instanties opgedragen om de patch voor CVE-2021-1435 voor 9 november geïnstalleerd te hebben. bron: https://www.security.nl

Horloge- en rekenmachinefabrikant Casio heeft van klanten in 149 landen de persoonlijke gegevens gelekt. Het gaat om naam, e-mailadres, land, bestelgegevens en gebruiksinformatie, zoals logdata en nicknames. Volgens Casio wisten aanvallers toegang te krijgen tot een database van de ontwikkelomgeving van ClassPad.net, een online wiskundetool. Uit onderzoek blijkt dat de datadiefstal mogelijk was doordat de netwerkbeveiliging van de ontwikkelomgeving als gevolg van een 'operationele fout' was uitgeschakeld. Casio heeft het datalek bij de Japanse privacytoezichthouder gerapporteerd en is bezig met onderzoek naar de hoofdoorzaak en het implementeren van maatregelen om herhaling te voorkomen. De horloge- en rekenmachinefabrikant stelt dat bijna 92.000 'items' van Japanse klanten zijn buitgemaakt, alsmede 1100 onderwijsinstellingen die klant zijn. Daarnaast zijn van klanten in 148 andere landen en regio's 35.000 items gestolen. Casio zal alle getroffen klanten via e-mail informeren. bron: https://www.security.nl

De privacy op internet heeft een 'heel eng' niveau bereikt, zo stelt Mozilla dat internetgebruikers hier via de nieuw gelanceerde 'Creep-O-Meter' voor wil waarschuwen. De meter is gebaseerd op de bekende Doomsday Clock en meet de dreiging die technologie voor de persoonlijke privacy van personen vormt. Op een schaal van 1 tot en met 100 heeft de meter 75.6 aangetikt. Om de score te berekenen heeft Mozilla gekeken naar vijf jaar aan data van de 'Privacy Not Included' gids. Via deze gids beoordeelt de Firefox-ontwikkelaar de privacy-impact van technologische producten zoals gadgets, apps en auto's. "We zijn in de 'Age of Creepy' aangekomen, gedefinieerd door een groeiend verlies aan privacy. Bedrijven weten nu meer over ons dan we zelf over ons weten en een gevoel dat hier niets aan te doen is", zegt Mozilla's Jen Caltrider. Volgens Caltrider hebben consumenten wel degelijk macht en is het belangrijker dan ooit tevoren dat mensen beter gedrag van bedrijven eisen en gekozen politici oproepen om betere wetgeving te maken. Mozilla ziet vooral dat bedrijven steeds meer persoonlijke data verzamelen voor het tonen van gerichte advertenties of het trainen van AI. Gebruikersgegevens worden 'als nooit tevoren' verzamelt, gedeeld en verkocht, zo claimt de Firefox-ontwikkelaar. Daarnaast zijn er ook steeds minder 'domme' apparaten. Veel producten hebben geen 'offline' mode meer en vereisen een internetverbinding, waardoor gebruikers zich niet voor de dataverzameling kunnen afmelden. bron: https://www.security.nl