Captain Kirk

Onderzoekers van Cisco hebben in SoftEther VPN meerdere kwetsbaarheden gevonden waardoor het mogelijk is voor aanvallers om het verkeer van gebruikers te onderscheppen of code op kwetsbare systemen uit te voeren. SoftEther VPN is een gratis open source, cross-platform, multi-protocol vpn-client en vpn-serversoftware. Een kritieke kwetsbaarheid in de software (CVE-2023-27395) maakt het mogelijk voor een aanvaller door het versturen van een speciaal geprepareerd netwerkpakket om willekeurige code op het systeem van de gebruiker uit te voeren. De impact van dit beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.0. Twee andere kwetsbaarheden (CVE-2023-32634 en CVE-2023-27516) geven een ongeautoriseerde aanvaller toegang tot de vpn-sessie. Vervolgens kan de aanvaller via zijn eigen certificaat een man-in-the-middle-aanval uitvoeren, zonder dat de gebruiker hier een melding van krijgt, of de authenticatie-instellingen van de vpn achterhalen, en het systeem van de gebruiker zo verder compromitteren. Cisco waarschuwde de ontwikkelaars afgelopen juni, die twee weken later met een update kwamen. De kwetsbaarheden zijn nu openbaar gemaakt. bron: https://www.security.nl

Aanvallers hebben een zerodaylek in Roundcube Webmail gebruikt voor het stelen van e-mail, zo ontdekte antivirusbedrijf ESET begin deze maand. De ontwikkelaars van Roundcube hebben inmiddels beveiligingsupdates uitgebracht. Roudcube is opensource-webmailsoftware en wordt door allerlei organisaties gebruikt. Een kwetsbaarheid (CVE-2023-5631) in de software maakt stored cross-site scripting (XSS) mogelijk. Door het versturen van een malafide e-mail kan een aanvaller zo JavaScript in de browser van het slachtoffer uitvoeren en vervolgens alle e-mails in zijn of haar e-mailaccount stelen. De aanval is volgens ESET het werk van een spionagegroep genaamd Winter Vivern die zich richt op overheden in Europa en Centraal-Azië en eerder een XSS-kwetsbaarheid in Zimbra-webmail gebruikte voor het stelen van e-mail. ESET meldde het probleem op 12 oktober aan Roundcube en vier dagen later waren er patches beschikbaar. Organisaties wordt aangeraden om te updaten naar Roundcube 1.6.4, 1.5.5 of 1.4.15. bron: https://www.security.nl

Een kritieke kwetsbaarheid in VMware vCenter Server en VMware Cloud Foundation maakt het mogelijk voor aanvallers om servers op afstand over te nemen. VMware heeft beveiligingsupdates uitgebracht om het probleem te verhelpen en roept organisaties op die zo snel mogelijk te installeren. In het verleden zijn kwetsbaarheden in vCenter vaker aangevallen. VCenter is een oplossing voor het beheer van virtual machines en gevirtualiseerde servers. De kritieke kwetsbaarheid (CVE-2023-34048) betreft een 'out-of-bounds write' in het DCERPC-protocol, waardoor een aanvaller code op de server kan uitvoeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De enige vereiste voor het uitvoeren van een aanval is dat een aanvaller toegang tot de server heeft. bron: https://www.security.nl

De Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert, gaat het .nl-domein naar een nieuw registratieplatform migreren dat het samen met het Canadese CIRA zal ontwikkelen en beheren. CIRA is verantwoordelijk voor het .ca-domein. Na de migratie zal .nl draaien op een nieuwe cloudversie van het huidige CIRA Registry Platform. Er zijn inmiddels meer dan 6,3 miljoen .nl-domeinnamen geregistreerd. In 2010 lanceerde SIDN het Domeinnaam Registratie Systeem (DRS) 5, voor het registreren en verhuizen van .nl-domeinnamen. SIDN zocht een opvolger voor DRS5 en besloot uiteindelijk om in samenwerking met een bestaande registry een nieuw systeem te ontwikkelen. "De keuze viel op CIRA vanwege de toonaangevende technologie, interne expertise en gedeelde waarden", aldus SIDN, dat in het verleden vaker met CIRA samenwerkte. "Op kortere termijn zijn er voordelen door onder andere een versnelde ingebruikname van een nieuw, state-of-the-art registratiesysteem tegen lagere kosten en met lagere risico's dan wanneer we alles van voren af aan intern zouden ontwikkelen", zegt SIDN-directeur Roelof Meijer. Financiële details met betrekking tot de overeenkomst worden op dit moment niet bekendgemaakt. bron: https://www.security.nl

Internetbedrijf Cloudflare is opnieuw slachtoffer geworden van een inbraak bij authenticatieplatform Okta en roept het bedrijf op om meldingen van beveiligingsincidenten serieus te nemen. Okta biedt een platform waar wereldwijd duizenden bedrijven gebruik van maken om werknemers toegang tot systemen en applicaties te geven. Een aanvaller wist in te breken op het supportsysteem van Okta en kon zo gevoelige gegevens stelen die klanten met supportmedewerkers delen. Met de gestolen klantgegevens, waaronder sessietokens, wist de aanvaller vervolgens in te loggen op de Okta-omgeving van Cloudflare. Het internetbedrijf ontdekte de aanval meer dan 24 uur voordat het door Okta werd geïnformeerd. Volgens Cloudflare werden twee Okta-accounts door de aanvaller gecompromitteerd. Vorig jaar kreeg Okta ook al met een inbraak te maken, waarop Cloudflare besloot om de wachtwoorden van medewerkers te resetten. Cloudflare haalt in een analyse van de meest recente aanval uit naar Okta. Volgens Cloudflare had Okta meldingen over de aanval serieus te nemen. Okta werd voor het eerst op 2 oktober door securitybedrijf BeyondTrust ingelicht, maar de aanvallers hadden zeker nog tot en met 18 oktober toegang tot het supportsysteem. Cloudflare stelt ook dat Okta klanten tijdig over beveiligingsincidenten moet informeren en de toegang tot systemen door middel van hardwarematige beveiligingssleutels moet beveiligen. bron: https://www.security.nl

Microsoft heeft een policy voor Windows 11 geïntroduceerd waarmee organisaties kunnen instellen dat personeel zonder wachtwoord op systemen kan inloggen. Dit moet volgens het techbedrijf bijdragen aan een wereld zonder wachtwoorden. "Wachtwoorden zijn inherent onveilig, onhandig en een geliefd doelwit voor aanvallen. Vorig jaar traceerde Microsoft elke seconde 1287 wachtwoordaanvallen. De afgelopen twaalf maanden zagen we gemiddeld meer dan vierduizend wachtwoordaanvallen per seconde", zegt Microsofts Sayali Kale. Organisaties die van Windows 11 versie 22H2 gebruikmaken kunnen nu door middel van de 'EnablePasswordlessExperience' policy op beheerde systemen in een Microsoft Entra ID-omgeving instellen dat gebruikers niet meer met een wachtwoord kunnen inloggen. In plaats daarvan wordt er gebruikgemaakt van een fysieke beveiligingssleutel, pincode, Windows Hello of vingerafdruk. "Dit helpt organisaties en gebruikers om geleidelijk afscheid van wachtwoorden te nemen", aldus Kale. bron: https://www.security.nl

Citrix roept organisaties op om een kritieke kwetsbaarheid in NetScaler ADC en NetScaler Gateway meteen te patchen, aangezien aanvallers misbruik van het beveiligingslek maken. Via een kwetsbaarheid in de producten (CVE-2023-4966) kan een aanvaller gevoelige informatie van systemen achterhalen, zoals ingelogde sessies van gebruikers, waarmee toegang tot het systeem kan worden verkregen. NetScaler ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. Via de NetScaler Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. Citrix ontdekte de kwetsbaarheid zelf en kwam hiervoor op 10 oktober met een beveiligingsupdate. Volgens securitybedrijf Mandiant maken aanvallers echter al sinds eind augustus misbruik van de kwetsbaarheid voor het aanvallen van organisaties. In een blogposting worden organisaties nu door Citrix opgeroepen om de update voor CVE-2023-4966 meteen te installeren. Daarnaast wordt aangeraden om alle actieve en 'persistant' sessies te beëindigen. Citrix zegt geen forensische analyse te kunnen bieden om te bepalen of systemen al gecompromitteerd zijn. Details over het beveiligingslek zelf zijn nog altijd niet gegeven. Citrix zegt dit te doen om klanten tegen misbruik te willen beschermen. bron: https://www.security.nl

Wachtwoordmanager 1Password heeft te maken gekregen met een beveiligingsincident nadat criminelen eerder bij authenticatieplatform Okta wisten in te breken. Dat laat het bedrijf in een rapport weten (pdf). Okta biedt een platform waar wereldwijd duizenden bedrijven gebruik van maken om werknemers toegang tot systemen en applicaties te geven. Een aanvaller wist in te breken op het supportsysteem van Okta en kon zo gevoelige gegevens stelen die klanten met supportmedewerkers delen. Met de gestolen klantgegevens wist de aanvaller vervolgens in te loggen op de Okta-omgeving van 1Password. Het it-team van de wachtwoordmanager ontdekte dit toen het op 29 september een e-mailbericht ontving dat ze bij Okta een overzicht van admins hadden opgevraagd. Daarop werd een onderzoek ingesteld, waaruit bleek dat een aanvaller met adminrechten op de Okta-omgeving had ingelogd. Volgens 1Password heeft de aanvaller geen toegang gekregen tot systemen buiten Okta en lijkt het erop dat er gegevens werden verzameld voor een volgende aanval. De aanvaller kon op de Okta-omgeving van 1Password inloggen omdat een it-medewerker van de wachtwoordmanager op verzoek van de helpdesk van Okta een bestand met gevoelige informatie deelde, waaronder sessiecookies. De aanvaller kon dit bestand stelen en zo toegang tot de Okta-omgeving van 1Password krijgen. Vervolgens probeerde de aanvaller toegang tot het dashboard van de it-medewerker te krijgen, maar dat werd geblokkeerd door Okta. Daarop besloot de aanvaller een identiteitsprovider waar 1Password gebruik van maakt te updaten en activeren, om daar op een later moment mee te kunnen inloggen. Toen de aanvaller als laatste een overzicht van beheerders opvroeg ging er een e-mail naar het it-team van 1Password en werd de aanval opgemerkt. De wachtwoordmanager heeft inmiddels een aantal aanpassingen aan de Okta-configuratie doorgevoerd, waaronder het blokkeren van inlogpogingen afkomstig van andere identiteitsproviders dan Okta, het verkorten van de sessieduur voor beheerders, strengere regels voor multifactorauthenticatie voor beheerders en het verminderen van het aantal 'super administrators'. Okta werd vorig jaar ook al het slachtoffer van een aanval. bron: https://www.security.nl

QNAP heeft vorige week een server offline laten halen die werd gebruikt voor het uitvoeren van bruteforce-aanvallen op NAS-systemen. De NAS-fabrikant stelt dat het onlangs een 'golf van zwakke wachtwoordaanvallen' waarnam gericht tegen NAS-systemen die vanaf internet benaderbaar zijn. De aanval was afkomstig van een botnet dat uit honderden ip-adressen bestaat. Daarop besloot QNAP eerst een update voor de QuFirewall uit te brengen om deze ip-adressen te blokkeren. Binnen 48 uur werd vervolgens de command & control-server gevonden. In samenwerking met hostingprovider Digital Ocean werd de server offline gehaald. QNAP roept eigenaren van NAS-systemen op om het standaard admin-account van de NAS uit te schakelen, sterke wachtwoorden voor alle accounts te gebruiken, de firmware te updaten en de QuFirewall te installeren. bron: https://www.security.nl

TikTok heeft gebruikers tot anderhalve week geleden geen inzage gegeven in de data die het van hen op andere websites verzamelde, zo meldt BNR. Via een trackingpixel kan de populaire video-app gebruikers buiten de eigen app volgen. Websites plaatsen de code van de trackingpixel, waarna informatie over bezoekers naar TikTok gaat. Het bedrijf kan zo gerichte advertenties tonen aan gebruikers binnen de app. Onder de AVG heeft iedereen een recht op inzage en kan zo opvragen welke persoonsgegevens een organisatie over hem of haar heeft. De organisatie moet die vervolgens binnen een bepaalde tijd verstrekken. TikTok-gebruikers die inzage in de verzamelde gegevens vroegen kregen te horen dat ze niet bestonden. "Als je een verzoek doet, moet TikTok een volledig overzicht geven van de persoonsgegevens die ze over jou hebben", laat Gerrit-Jan Zwenne weten, hoogleraar recht en de informatiemaatschappij aan de Universiteit Leiden. BNR vroeg TikTok begin september voor het eerst om opheldering over de 'heimelijke dataverzameling', maar kreeg geen inhoudelijke reactie. Sinds anderhalve week kunnen gebruikers met terugwerkende kracht alsnog bij TikTok opvragen welke gegevens de video-app over hen heeft opgeslagen. Dan blijkt dat TikTok zeker sinds mei vorig jaar al gegevens registreert en mogelijk nog langer. "Dit onderzoek laat namelijk weer zien dat ze bij TikTok maar doen wat ze willen", zegt GroenLinks-Europarlementariër Kim van Sparrentak. "Ik wil heel graag dat er een grote toezichthouder voor de big tech-bedrijven in Europa komt." bron: https://www.security.nl

Cisco heeft de eerste update beschikbaar gemaakt voor actief aangevallen zerodays in IOS XE. De patch is er alleen voor versie 17.9 van het besturingssysteem. Wanneer de updates voor versies 17.6, 17.3 en 16.12 verschijnen wordt nog bekendgemaakt. Via de kwetsbaarheden (CVE-2023-20273 en CVE-2023-20198) kan een aanvaller op afstand volledige controle over een systeem krijgen. IOS XE draait op de switches en routers van Cisco. Vervolgens kan een aanvaller verdere aanvallen uitvoeren of verkeer onderscheppen. Volgens securitybedrijven Onyphe en Censys waren er op het hoogtepunt van de aanvallen respectievelijk 53.000 en 42.000 systemen door aanvallers van een backdoor voorzien. Inmiddels is dat aantal gedaald naar respectievelijk 5000 en 1200. Volgens Orange Cyberdefense zijn de aanvallers echter bezig om de toegevoegde backdoor te verbergen. Het is daardoor nog onduidelijk hoeveel systeem erop dit moment nog zijn gecompromitteerd. bron: https://www.security.nl

IPv4 is niet langer het standaard Internet Protocol maar IPv6, zo stelt de Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert. "Bij de nieuwbouw en opwaardering van computernetwerken moet IPv6 nu leidend zijn en wordt de ontsluiting van IPv4-only systemen verzorgd door een dienst boven op die IPv6-basis." SIDN wijst onder andere naar cijfers van Google. Die laten zien dat 45 procent van de gebruikers die verbinding met de diensten van het techbedrijf maakt dit via IPv6 doet. In Nederland blijft de IPv6-adoptie echter achter, met nog geen 22 procent. In de Europese Unie is Frankrijk koploper met meer dan 74 procent, gevolgd door Duitsland dat de 72 procent nadert. Volgens SIDN wordt de IPv6-adoptie in Duitsland vooral gestimuleerd door de federale overheid, die strategisch ingezet op IPv6 als fundament onder de digitalisering van overheidsdiensten. Vanwege de ontwikkeling stelt de stichting dat oude mechanismen om IPv4 te blijven gebruiken, als dual-stack met NAT en CGNAT, nu moeten plaatsmaken voor nieuwere mechanismen gebaseerd op NAT64, DNS64 en 464XLAT. "Vanaf een bepaald kantelpunt is het dus om zowel economische redenen als vanwege de complexiteit van alle IPv4-lapmiddelen verstandiger om te kiezen voor een IPv6-netwerk met daarop een aparte faciliteit voor toegang tot IPv4-only systemen", zegt SIDN, dat toevoegt dat IPv6 fundamenteel niet anders of ingewikkelder is dan IPv4. "Zeker als je daarbij ook alle lapmiddelen voor IPv4 in ogenschouw neemt. Maar de transitie van IPv4 naar IPv6 is een apart onderwerp en vraagt aandacht op netwerk-strategisch niveau." bron: https://www.security.nl

Aanvallers maken misbruik van een twee jaar oude kwetsbaarheid in IOS XE waardoor het mogelijk is om rootrechten op gecompromitteerde systemen te krijgen. Het gaat hier om een andere kwetsbaarheid dan het zerodaylek waardoor al 42.000 IOS XE-systemen van een backdoor zijn voorzien. Cisco IOS XE is het besturingssysteem dat op de switches en routers van het netwerkbedrijf draait. In maart 2021 kwam Cisco met een beveiligingsupdate voor een kwetsbaarheid aangeduid als CVE-2021-1435. Via dit beveiligingslek kan een geauthenticeerde aanvaller op afstand willekeurige commando's injecteren die als root worden uitgevoerd. Op het moment dat Cisco met de update kwam werd er nog geen misbruik van het beveiligingslek gemaakt. Dat is inmiddels wel het geval, zo laat het netwerkbedrijf in een update van het beveiligingsbulletin weten. Details over de aanvallen zijn niet door Cisco gegeven. De melding valt echter samen met actief misbruik van een zerodaylek in Cisco IOS XE (CVE-2023-20198) waarvoor nog geen update beschikbaar is. De Amerikaanse overheid heeft federale instanties opgedragen om de patch voor CVE-2021-1435 voor 9 november geïnstalleerd te hebben. bron: https://www.security.nl

Horloge- en rekenmachinefabrikant Casio heeft van klanten in 149 landen de persoonlijke gegevens gelekt. Het gaat om naam, e-mailadres, land, bestelgegevens en gebruiksinformatie, zoals logdata en nicknames. Volgens Casio wisten aanvallers toegang te krijgen tot een database van de ontwikkelomgeving van ClassPad.net, een online wiskundetool. Uit onderzoek blijkt dat de datadiefstal mogelijk was doordat de netwerkbeveiliging van de ontwikkelomgeving als gevolg van een 'operationele fout' was uitgeschakeld. Casio heeft het datalek bij de Japanse privacytoezichthouder gerapporteerd en is bezig met onderzoek naar de hoofdoorzaak en het implementeren van maatregelen om herhaling te voorkomen. De horloge- en rekenmachinefabrikant stelt dat bijna 92.000 'items' van Japanse klanten zijn buitgemaakt, alsmede 1100 onderwijsinstellingen die klant zijn. Daarnaast zijn van klanten in 148 andere landen en regio's 35.000 items gestolen. Casio zal alle getroffen klanten via e-mail informeren. bron: https://www.security.nl

De privacy op internet heeft een 'heel eng' niveau bereikt, zo stelt Mozilla dat internetgebruikers hier via de nieuw gelanceerde 'Creep-O-Meter' voor wil waarschuwen. De meter is gebaseerd op de bekende Doomsday Clock en meet de dreiging die technologie voor de persoonlijke privacy van personen vormt. Op een schaal van 1 tot en met 100 heeft de meter 75.6 aangetikt. Om de score te berekenen heeft Mozilla gekeken naar vijf jaar aan data van de 'Privacy Not Included' gids. Via deze gids beoordeelt de Firefox-ontwikkelaar de privacy-impact van technologische producten zoals gadgets, apps en auto's. "We zijn in de 'Age of Creepy' aangekomen, gedefinieerd door een groeiend verlies aan privacy. Bedrijven weten nu meer over ons dan we zelf over ons weten en een gevoel dat hier niets aan te doen is", zegt Mozilla's Jen Caltrider. Volgens Caltrider hebben consumenten wel degelijk macht en is het belangrijker dan ooit tevoren dat mensen beter gedrag van bedrijven eisen en gekozen politici oproepen om betere wetgeving te maken. Mozilla ziet vooral dat bedrijven steeds meer persoonlijke data verzamelen voor het tonen van gerichte advertenties of het trainen van AI. Gebruikersgegevens worden 'als nooit tevoren' verzamelt, gedeeld en verkocht, zo claimt de Firefox-ontwikkelaar. Daarnaast zijn er ook steeds minder 'domme' apparaten. Veel producten hebben geen 'offline' mode meer en vereisen een internetverbinding, waardoor gebruikers zich niet voor de dataverzameling kunnen afmelden. bron: https://www.security.nl

De schade door phishing in België is vorig jaar met zestig procent gestegen naar veertig miljoen euro, zo meldt Febelfin, de koepelorganisatie van Belgische banken, die burgers oproept een browser-extensie van de overheid te installeren om zo malafide websites te herkennen. Volgens Febelfin is de toename vooral te verklaren door de enorme stijging van het aantal uitgestuurde phishingberichten. Zo heeft 69 procent van de Belgen de afgelopen zes maanden minstens één phishingbericht ontvangen, aldus Febelfin. Acht procent van de Belgen geeft aan slachtoffer te zijn geworden van phishing. Bij jongeren ligt dit percentage hoger, namelijk twaalf procent. Van de Belgen die slachtoffer werden van phishing wist 62 procent welke stappen ze moesten ondernemen. Daarnaast heeft acht procent van de Belgen nog nooit van phishing gehoord en is dit bij jongeren zelfs 23 procent, zo stelt de koepelorganisatie van Belgische banken. "Phishingberichten zijn een ware plaag. Ze blijven in grote aantallen circuleren en slachtoffers maken. Waarom krijgen we dat fenomeen de wereld niet uit? De mens is gemakkelijk nieuwsgierig of bang te maken. We kunnen niet weerstaan aan een aantrekkelijk aanbod", zegt Miguel De Bruycker van het Centrum voor Cybersecurity België. "Phishers spelen in op die typische eigenschappen van de mensen. Ze proberen via allerhande smoesjes hun slachtoffers te benaderen en te overtuigen." URL's begrijpen Volgens Febelfin blijft het voor veel mensen lastig om een URL goed te lezen en begrijpen. Daarom heeft de Belgische overheid een browser-extensie voor Google Chrome ontwikkeld die de betrouwbaarheid van websites beoordeelt. Dit niveau is gebaseerd op bekende factoren over het domein van de website, de eigenaar ervan en het certificatieniveau dat is verkregen bij een certificeringsautoriteit. De extensie heeft op het moment van schrijven meer dan tweeduizend gebruikers. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Citrix NetScaler waarvoor op 10 oktober een beveiligingsupdate verscheen wordt al sinds eind augustus misbruikt bij aanvallen, zo stelt securitybedrijf Mandiant. In een eerste versie van het beveiligingsbulletin werd niet door Citrix vermeld dat het om een actief aangevallen zerodaylek ging. Gisteren werd het bulletin van een update voorzien, waarin nu wel wordt gemeld dat aanvallen plaatsvinden. NetScaler ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. Via de NetScaler Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. Via een kwetsbaarheid in het product, aangeduid als CVE-2023-4966, kan een aanvaller gevoelige informatie van systemen achterhalen. Verdere details over het soort informatie werden niet door Citrix gegeven. Mandiant stelt dat aanvallen via de kwetsbaarheid al sinds eind augustus plaatsvinden. Via het beveiligingslek kan een aanvaller bestaande ingelogde sessies van gebruikers kapen, en zo de multifactorauthenticatie of andere inlogvereisten omzeilen. Deze gekaapte sessies kunnen ook na het installeren van de beveiligingsupdate voor CVE-2023-4966 bestaan of worden gebruikt. Mandiant zegt dat het aanvallen heeft gezien waarbij aanvallers sessiegegevens wisten te stelen voordat de patch werd geïnstalleerd, en de gegevens na de installatie van de update pas gebruikten. Afhankelijk van de gekaapte sessiegegevens kan de aanvaller vervolgens andere inloggegevens stelen en verdere toegang krijgen. Onder andere professionele dienstverleners, techbedrijven en overheidsinstellingen zijn via het zerodaylek aangevallen. bron: https://www.security.nl

Amazon en WhatsApp hebben ondersteuning voor passkeys toegevoegd, waardoor gebruikers zonder wachtwoord kunnen inloggen. De implementatie van Amazon laat echter te wensen over, zo stelt authenticatie-expert Vincent Delitz. Passkeys zijn een gezamenlijk initiatief van Apple, Google en Microsoft. Ze zijn gebaseerd op de Web Authentication (WebAuthn) standaard en maken gebruik van public key cryptography. <>/p> Gebruikers moeten eerst een passkey voor een account of website genereren. De bijbehorende private key blijft op het toestel van de gebruiker, terwijl de bijbehorende public key door de website of app wordt opgeslagen. Het toestel van de gebruiker genereert vervolgens een signature gebaseerd op de private key die bij het inloggen wordt verstuurd. Tijdens het inloggen gebruikt de website of app waarop wordt ingelogd de public key om de signature van de private key te verifiëren. Om de passkey op het toestel te kunnen gebruiken moet eerst een vinger of het gezicht van de gebruiker worden gescand, of een ontgrendelingspatroon of pincode worden opgegeven. Passkeys maken namelijk gebruik van het mechanisme waarmee het betreffende apparaat of systeem van de gebruiker wordt ontgrendeld. Ze zijn echter niet gebonden aan het betreffende apparaat en dezelfde private key kan op meerdere toestellen bestaan. WhatsApp maakte de support voor passkeys via X bekend. De inlogmethode is vooralsnog alleen beschikbaar op Androidtelefoons met Android 9 of nieuwer. Daarnaast moet een Google-account zijn gekoppeld, schermvergrendeling zijn ingesteld en de nieuwste versie van de Google Play Store zijn geïnstalleerd. Wanneer passkeys voor iOS-gebruikers beschikbaar komt is niet bekend. De feature wordt de komende weken en maanden onder Androidgebruikers van de chatapp uitgerold. Naast WhatsApp ondersteunt ook Amazon inloggen via passkeys. Er is echter sprake van een matige implementatie, aldus Vincent Delitz, authenticatie-expert en medeoprichter van de Duitse tech start-up Corbado. De webwinkel vereist namelijk voor elk Amazon-domein, zoals Amazon.com of Amazon.de, een aparte passkey. Daarnaast ontbreekt support voor 'Passkey Autofill', wat het juist eenvoudiger voor gebruikers moet maken. Verder zijn er problemen met de detectie van passkeys op verschillende apparaten, ondersteunt de Amazon-app geen passkeys en moeten ook gebruikers die tweestapsverificatie hebben ingesteld een one-time code invullen, wat volgens Delitz overbodig is, aangezien passkeys standaard al als tweede factor fungeren. Amazon laat tegenover TechCrunch weten dat het nog in de beginfase is van het toevoegen van passkeys aan Amazon.com. bron: https://www.security.nl

Netwerkfabrikant D-Link heeft bevestigd dat aanvallers gegevens een systeem hebben gestolen nadat een medewerker slachtoffer van een phishingaanval werd. Op zondag 1 oktober verscheen op een forum een bericht van iemand die claimde bij D-Link miljoenen regels aan klantgegevens te hebben buitgemaakt, alsmede broncode van de D-View netwerkbeheersoftware. In een reactie bevestigt D-Link het datalek, maar stelt dat het om oude registratiegegevens van een oud D-View 6-systeem gaat, dat sinds begin 2015 end-of-life is. De gestolen gegevens bestaan uit naam, e-mailadres, adresgegevens, bedrijfsnaam, telefoonnummer, registratiedatum en laatste inlogdatum. Volgens D-Link is het incident veroorzaakt door een medewerker die in een phishingaanval trapte, waardoor er toegang tot de 'al lang niet meer en verouderde' data werd verkregen. In totaal gaat het om zevenhonderd records van gebruikers die 'vermoedelijk' niet meer actief zijn. Verder stelt D-Link dat de aanbieder van de gestolen data de laatste inlogdatum opzettelijk heeft aangepast, om de oude data zo recent te laten lijken. De gegevens werden door D-Link in een 'testlabomgeving' gebruikt. Deze omgeving is inmiddels van het bedrijfsnetwerk afgesloten, wat ook voor de betreffende servers geldt. Waarom D-Link een al acht jaar niet meer ondersteund systeem gebruikte laat het bedrijf niet weten. bron: https://www.security.nl

Kwaadwillenden buiten een zerodaylek (CVE-2023-20198) in Cisco IOS XE-systemen op grote schaal uit. Duizenden systemen zijn inmiddels van malware voorzien. Hiervoor waarschuwt VulnCheck, dat een internetscan uitvoerde. CVE-2023-20198 is een kwetsbaarheid die aanvallers de mogelijkheid geeft Cisco IOS XE volledig over te nemen. Het besturingssysteem draait op switches en routers van het bedrijf. Het beveiligingslek zit in de webinterface van IOS XE. Aanvallers kunnen via het lek een account met 'privilege 15' aanmaken en zo de controle over het systeem overnemen. Dit maakt het mogelijk een implant te installeren, die communicatie met het gecompromitteerde systeem mogelijk maakt. "Dit is een slechte situatie, aangezien verhoogde toegang op IOS XE de aanvallers waarschijnlijk toestaat om netwerkverkeer te monitoren, of naar beschermde netwerken te springen, en allerlei man-in-the-middle-aanvallen uit te voeren", zegt Jacob Baines van VulnCheck Het securitybedrijf heeft een scanner beschikbaar gemaakt waarmee beheerders van Cisco IOS XE-systemen kunnen controleren of hun apparaten zijn voorzien van een implant. Het bedrijf noemt het van groot belang vast te stellen of systemen gecompromitteerd zijn en actie te ondernemen indien een implant is ontdekt. Een beveiligingsupdate van Cisco voor het probleem is nog altijd niet voorhanden, wel een mitigerende maatregel die systemen kan beschermen. De Amerikaanse overheid heeft federale instanties in het land verplicht om deze maatregel uiterlijk 20 oktober te hebben doorgevoerd. bron: https://www.security.nl

Verschillende websites van de Belgische overheid zijn de afgelopen dagen getroffen door cyberaanvallen. Onder meer de website van de Belgische belastingdienst, premier en Koningshuis waren doelwit. zo meldt het Centrum voor Cybersecurity Belgium (CCB). Het is voor de derde keer in korte tijd dat websites van de Belgische overheid op de korrel worden genomen. De eerste reeks DDoS-aanvallen vond donderdag plaats. Het ging toen onder meer om de website van de Belgische Senaat, het Koningshuis en de premier. Zondagavond waren diverse websites opnieuw doelwit van aanvallen. Katrien Eggers, woordvoerster van het CCB, meldt aan Data News dat diverse websites die zondagavond doelwit waren, maandag opnieuw zijn getroffen door aanvallen. De aanvallen op donderdag zijn opgeëist door een pro-Russische groepering die zich 'Noname' noemt. De groep stelt de aanvallen te hebben uitgevoerd in reactie op de Belgische steun aan Oekraïne en de aankondiging dat België F16's gaat leveren aan Oekraïne. bron: https://www.security.nl

Microsoft heeft tijdens de BlueHat-conferentie het Microsoft AI Bounty Program geïntroduceerd. Onderzoekers kunnen via dit programma op verantwoorde wijze beveiligingsproblemen die zij ontdekken in de AI-functionaliteiten in Bing melden bij de Amerikaanse techgigant. Zij kunnen hiervoor een beloning ontvangen die kan oplopen tot 15.000 dollar. Het bugbountyprogramma is gericht op kwetsbaarheden in een viertal producten: AI-gedreven Bing ervaringen op bing.com via webbrowser (alle grote leveranciers en inclusief Bing Chat, Bing Chat for Enterprise en Bing Image Creator) AI-gedreven Bing integratie in Microsoft Edge op het Windows platform, inclusief Bing Chat for Enterprise AI-gedreven Bing integratie in de Microsoft Start Application op iOS en Android AI-gedreven Bing integratie in de mobiele app van Skype op iOS en Android Kwetsbaarheden in Bing-gerelateerde online diensten van Microsoft vallen niet onder het programma. Onderzoekers kunnen deze beveiligingsproblemen melden via het M365 Bounty Program. Microsoft benadrukt dat indien kwetsbaarheden bij het verkeerde programma worden aangemeld, het deze meldingen automatisch doorzet naar het juiste programma. Hogere beloningen zijn mogelijk Wie via het nieuwe bugbountyprogramma een kwetsbaarheid meldt kan indien deze wordt goedgekeurd hiervoor een beloning ontvangen. De beloningen die Microsoft via het programma uitlooft variëren van 2.000 tot 15.000 dollar, en zijn afhankelijk van de aard van het lek. Indien een zeer ernstige kwetsbaarheid met grote impact gemeld wordt kan Microsoft besluiten hiervan af te wijken en een hogere beloning toe te kennen. Alleen kwetsbaarheden die niet eerder zijn gemeld komen in aanmerking voor een beloning. Ook moet het gaan om een kritieke of ernstige kwetsbaarheid, zoals gedefinieerd via het Microsoft Vulnerability Severity Classification for AI Systems. Het lek moet daarnaast reproduceerbaar zijn op een up-to-date versie van het getroffen product of dienst. Ook moeten onderzoekers hun melding voorzien van duidelijke en reproduceerbare stappen, die zij in zowel tekst als video kunnen aanleveren. bron: https://www.security.nl

Ondanks de beschikbaarheid van generatieve AI zoals ChatGPT en andere oplossingen zijn typefouten nog steeds relevant voor het herkennen van phishingmails, zo stelt Jan Kopriva, handler bij het Internet Storm Center (ISC). Het is een algemeen gegeven beveiligingsadvies dat phishingmails onder andere aan typfouten zijn te herkennen. "Veel phishingmails bevatten taal- en/of typfouten, maar soms zijn de opmaak en het taalgebruik lastig van een echte mail te onderscheiden", zo laat de Consumentenbond weten. Volgens sommige experts worden deze typfouten opzettelijk toegevoegd, om zo beter potentiële slachtoffers te vinden. Ook Kopriva merkt op dat typfouten een bewuste actie van de aanvaller kunnen zijn. Onlangs ontving het ISC verschillende phishingmails met typo's. "Ze laten zien dat we nog steeds niet op een punt zijn gekomen waarbij typo's volledig irrelevant zijn geworden voor het herkennen van potentiële phishingberichten", aldus de ISC-handler. Volgens Kopriva is de aanwezigheid van typfouten misschien niet meer zo bruikbaar als het eerst was, maar kan het gebruikers wel de juiste kant op wijzen. bron: https://www.security.nl

Cisco waarschuwt organisaties voor een actief aangevallen zerodaylek in IOS XE waardoor een ongeauthenticeerde aanvaller systemen op afstand volledig kan overnemen. De impact van het beveiligingslek (CVE-2023-20198) is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Het probleem raakt zowel fysieke als virtuele devices die IOS XE draaien en ook de HTTP of HTTPS Server feature hebben ingeschakeld. De eerste aanwijzingen van misbruik dateren van 18 september. Cisco IOS XE is een besturingssysteem dat op switches en routers van het netwerkbedrijf kan draaien en wordt omschreven als een 'nieuwe en verbeterde' versie van Cisco's IOS-besturingssysteem. Een kwetsbaarheid in de web UI feature van IOS XE maakt het mogelijk voor een ongeauthenticeerde aanvaller om een account met 'privilege 15' aan te maken. Via dit account kan de aanvaller controle over het systeem krijgen. De Web Management User Interface is een systeembeheertool voor het uitrollen en beheer van het systeem en het 'verbeteren van de gebruikerservaring'. Via de web UI is het ook mogelijk om configuraties te maken en het systeem te monitoren en troubleshooten, zonder dat er ervaring met de command-line interface vereist is. Cisco merkt op dat de web UI niet vanaf het internet of onbetrouwbare netwerken toegankelijk zou moeten zijn. Via de kwetsbaarheid installeren de aanvallers een implant waarmee ze met het systeem kunnen communiceren. Deze implant kan een reboot van het systeem niet overleven. Dat geldt echter niet voor de lokale gebruikersaccounts die de aanvallers aanmaken. Naast de waarschuwing voor de kwetsbaarheid heeft Cisco ook Indicators of Compromise gegeven waarmee kan worden gecontroleerd of een systeem is gecompromitteerd. Er is nog geen update beschikbaar om het probleem te verhelpen. Cisco adviseert als mitigatie om de HTTP Server feature op alle systemen die vanaf het internet toegankelijk zijn uit te schakelen. Het netwerkbedrijf ontdekte de kwetsbaarheid en misbruik tijdens meerdere supportzaken. bron: https://www.security.nl

Techreuzen zoals Amazon, Facebook en Google hebben een vijandige overname van het internet gedaan en er is nog tot 2029 de tijd om hier weerstand tegen te bieden, daarna kan het onmogelijk worden, zo stelt Martin Andree, auteur van het boek Big Tech muss weg! en docent digitale media aan de Universiteit van Keulen. "Als we niet snel iets doen kan het de ondergang van onze democratie betekenen!", aldus Andree tegenover DW. De meeste online activiteit speelt zich af op een handvol websites, die zeventig procent van het internetverkeer ontvangen, zo voegt hij toe. De media-expert doet al vijftien jaar onderzoek naar de dominantie van Big Tech. Bedrijven zoals Amazon, Facebook en Google hebben deze positie weten te bemachtigen door misbruik te maken van de mazen in de wet en daarbij overheidsinstanties te misleiden, laat Andree weten. Dit leidt tot een 'feodalistisch systeem' van regelgeving, waarbij Big Tech de regels bepaalt voor handel op hun platforms of welke gebruikersgegevens ze kunnen verzamelen. Ook spelen de techreuzen door middel van 'strategische lobbytactieken' al jaren een kat-en-muisspel met de autoriteiten. Door hun marktmacht weet Big Tech gebruikers en adverteerders te trekken, wat weer voor allerlei geldstromen zorgt, waardoor ze concurrenten kunnen overnemen. De situatie kan nog wel worden veranderd, maar er is wel haast bij aldus Andree, die als uiterste datum 2029 noemt. Hij maakte een 'blauwdruk voor het bevrijden van het internet', waarbij onder andere wordt ingezet op open standaarden, aanpassen van wet- en regelgeving en ervoor zorgen dat techreuzen eerlijk belasting betalen. bron: https://www.security.nl