Captain Kirk

Zeshonderdduizend WordPress-sites zijn kwetsbaar door een beveiligingslek in de plug-in WP Fastest Cache. De ontwikkelaar heeft twee dagen geleden een beveiligingsupdate uitgebracht, maar die is door het grootste deel van de sites nog niet geïnstalleerd. WP Fastest Cache is een plug-in die ervoor moet zorgen dat WordPress-sites sneller worden geladen. Het is op meer dan één miljoen websites geïnstalleerd. Een kwetsbaarheid (CVE-2023-6063) in de plug-in zorgt ervoor dat een ongeauthenticeerde aanvaller door middel van SQL-injection de volledige inhoud van de database kan uitlezen, zo meldt WPScan. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 8.6. De ontwikkelaar kwam twee dagen geleden met versie 1.2.2 waarin het probleem is verholpen, maar uit cijfers van WordPress.org blijkt dat vierhonderdduizend sites de update hebben geïnstalleerd en dus nog zeshonderdduizend websites kwetsbaar zijn. bron: https://www.security.nl

De FBI heeft het IPstorm-botnet offline gehaald, dat besmette systemen als proxy gebruikte. Volgens de beheerder, die inmiddels in de Verenigde Staten schuld heeft bekend, telde het botnet 23.000 proxies. Het Amerikaanse ministerie van Justitie stelt dat de IPstorm-malware wereldwijd Android-, Linux-, macOS- en Windows-systemen infecteerde. De besmette systemen werden vervolgens via de websites proxx.io en proxx.net als proxy aangeboden. Klanten van de proxydienst betaalden honderden dollars per maand om hun verkeer via de besmette machines te laten lopen. De botnetbeheerder bekende dat hij minstens 550.000 dollar met het proxybotnet heeft verdiend. Naast de 'plea agreement' waarmee de verdachte schuld bekende, heeft hij ook aangegeven afstand van al zijn cryptowallets te doen die voor de dienst werden gebruikt. De verdachte bekende drie keer schuldig te zijn aan het beschadigen van beveiligde computers, waarop een gevangenisstraf van maximaal dertig jaar staat. bron: https://www.security.nl

VMware waarschuwt organisaties voor een kritieke kwetsbaarheid in VMware Cloud Director Appliance (VCD Appliance) waardoor een aanvaller de authenticatie kan omzeilen om zo via poort 22 (ssh) of poort 5480 (appliance management console) toegang tot het systeem te krijgen. De VCD Appliance is een vooraf geconfigureerde virtual machine voor het draaien van VMware Cloud Director services. De kwetsbaarheid (CVE-2023-34060) doet zich alleen voor wanneer de VMware Cloud Director Appliance van een oudere versie is geüpgraded naar versie 10.5. Bij nieuwe installaties van de VCD Appliance is het probleem niet aanwezig. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. VMware heeft nog geen update beschikbaar om het probleem te verhelpen, maar biedt een script als workaround. bron: https://www.security.nl

Tijdens de patchdinsdag van november heeft Microsoft in totaal 63 kwetsbaarheden verholpen, waaronder drie zerodaylekken. Via de drie kwetsbaarheden kan een aanvaller die al toegang tot het systeem heeft zijn rechten verhogen of Microsofts SmartScreen-beveiligingsmaatregel omzeilen. Details over de aanvallen zijn niet door Microsoft gegeven. Twee kwetsbaarheden in de Windows DWM Core Library (CVE-2023-36033) en Windows Cloud Files Mini Filter Driver (CVE-2023-36036) maken het mogelijk voor een aanvaller die toegang tot het systeem heeft om SYSTEM-rechten te krijgen. Via CVE-2023-36025 is het mogelijk om SmartScreen te omzeilen. SmartScreen is een beveiligingsmaatregel van Windows die gebruikers een waarschuwing toont bij het openen van bestanden afkomstig van internet. Via de kwetsbaarheid is het mogelijk om ervoor te zorgen dat er geen waarschuwingen worden getoond. Het afgelopen jaar zijn SmartScrreen-kwetsbaarheden onder andere bij ransomware-aanvallen gebruikt. De Windows-updates zullen op de meeste systemen automatisch worden geïnstalleerd. bron: https://www.security.nl

Versleutelde e-maildienst Tuta, dat eerder nog bekendstond als Tutanota, ontkent een honeypot voor inlichtingendiensten uit de Five Eyes-landen te zijn, zoals een voormalige Canadese inlichtingenfunctionaris beweert. De man staat in Canada terecht voor het lekken van vertrouwelijke informatie. Hij zou informatie verkregen door de Canadese inlichtingendiensten, alsmede die uit de Verenigde Staten, Australië, Nieuw-Zeeland en het Verenigd Koninkrijk, hebben verkocht aan criminelen. Een evenknie bij een buitenlandse inlichtingendienst zou de functionaris in 2014 hebben ingelicht over het plan om door middel van het opzetten van een versleutelde e-maildienst met de naam Tutanota inlichtingen over criminelen te verzamelen. Het idee was dat criminelen de dienst zouden gebruiken en diensten dan met alle berichten konden meelezen. Op deze manier zou Tutanota dan als honeypot fungeren. In een verklaring laat Tuta weten dat de getuigenis van de inlichtingenfunctionaris volledig verzonnen is. "Deze beschuldigingen tegen Tuta zijn vals. Tutanota is nooit en zal nooit een dekmantel voor inlichtingendiensten zijn. Dit is in strijd met onze missie als privacybeschermende organisatie." De e-maildienst noemt het met name gevaarlijk dat dergelijke beschuldigingen de geloofwaardigheid van het bedrijf in twijfel trekken. "Het is niet acceptabel dat deze vermeende crimineel zonder enig bewijs te geven dat we hebben deelgenomen aan het gedrag in zijn verklaring, Tutanota voor de bus kan gooien, en ook zonder te laten weten welke 'buitenlandse inlichtingendienst' deze informatie heeft gegeven." Tuta spreekt dan ook van lasterlijke uitspraken. bron: https://www.security.nl

Internet.nl heeft een Docker-container gelanceerd waarmee het mogelijk is om web- en mailservers op moderne internetstandaarden te testen. Daarnaast moet het 'kant-en-klaar Docker-pakket' ervoor zorgen dat het uitrollen, doorontwikkelen, testen en schalen van de code veel eenvoudiger wordt. Internet.nl is een initiatief van het Platform Internetstandaarden en maakt het mogelijk om websites, mailservers en verbindingen op verschillende standaarden te testen. Het gaat dan bijvoorbeeld om zaken als IPv6, DNSSEC, HTTPS, HSTS, DANE en RPKI. "Tot nu toe was het opzetten van Internet.nl uitdagend en omslachtig. Dit was regelmatig een ergernis voor onszelf, en belemmerde ook anderen die de Internet.nl-code wilden gebruiken en eraan wilden bijdragen", aldus de ontwikkelaars. De Docker-container moet het eenvoudiger maken om servers te gaan testen. "Niet alleen op onze eigen servers die de afgelopen 12 maanden meer dan 5 miljoen tests hebben uitgevoerd, maar ook op de servers van anderen", laten de ontwikkelaars verder weten. "Wij geloven dat deze 'containerisation' van Internet.nl een enorme stap voorwaarts is", zegt Gerben Klein Baltink, voorzitter van Platform Internetstandaarden dat Internet.nl ontwikkelt. "Het 'kant-en-klare' pakket maakt het gebruik van de code gebruiksvriendelijker voor onszelf en voor anderen. Dat komt ook de kwaliteit van de code ten goede." De nieuwe versie moet het voor anderen eenvoudiger maken om de Internet.nl-code op hun eigen servers te gebruiken of voor externe ontwikkelaars om aan het project bij te dragen. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in de firewalls, routers en switches van fabrikant Juniper om organisaties aan te vallen, zo melden het bedrijf en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Juniper kwam op 17 augustus van dit jaar met updates voor vijf kwetsbaarheden in Junos OS, het besturingssysteem dat op de netwerkapparaten van de fabrikant draait. Eén van deze kwetsbaarheden, aangeduid als CVE-2023-36845, maakt het mogelijk voor een ongeauthenticeerde aanvaller om op afstand code op de apparaten uit te voeren. De impact van dit beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De andere vier kwetsbaarheden hebben een lagere impact, maar zijn bij elkaar ook te gebruiken voor het uitvoeren van een aanval. Alle vijf de beveiligingslekken worden bij de aanvallen misbruikt. Het CISA heeft Amerikaanse federale overheidsinstanties opgedragen om de updates voor 17 november te installeren en roept andere organisaties op om de patches ook zo snel mogelijk te installeren mocht dat nog niet zijn gedaan. bron: https://www.security.nl

Windows 11 gaat gebruikers de optie geven om meer vooraf geïnstalleerde apps te verwijderen. Dat heeft Microsoft bij de aankondiging van een nieuwe Windows 11 Insider Preview Build laten weten. Gebruikers kunnen na de installatie al bepaalde apps verwijderen, maar niet allemaal. Met Preview Build 23585 van Windows 11 is het mogelijk om de Camera app, Cortana, Photos app en People app te verwijderen, alsmede de Remote Desktop (MSTSC) client. Vanaf maart 2024 moeten verschillende grote techbedrijven, waaronder Microsoft, aan de nieuwe Digital Markets Act (DMA) voldoen. Door de DMA moeten gebruikers onder andere vooraf geïnstalleerde apps kunnen verwijderen. Ook mogen app-ontwikkelaars niet meer worden gedwongen om het betaalsysteem te gebruiken van appstores en mogen platforms eigen producten of diensten niet bevoordelen, bijvoorbeeld door ze bovenaan de zoekresultaten te zetten. Verder zorgt de DMA ervoor dat gebruikers eigen data van een platform naar een ander platform kunnen meenemen en chatdiensten interoperabel zijn. bron: https://www.security.nl

Bij de wereldwijde zeroday-aanval die eind mei van dit jaar plaatsvond en gebruikmaakte van een kwetsbaarheid in MOVEit Transfer zijn zo'n 2600 organisaties getroffen en de gegevens van meer dan zeventig miljoen personen gestolen. Dat stelt antivirusbedrijf Emsisoft op basis van datalekmeldingen. De Amerikaanse staat Maine is één van de nieuwste slachtoffers die zich heeft gemeld, en stelt dat criminelen bij de aanval de gegevens van 1,3 miljoen individuen in handen kregen. MOVEit Transfer is een door softwarebedrijf Progress aangeboden applicatie voor het uitwisselen van bestanden. Allerlei organisaties maken er gebruik van om onder andere vertrouwelijke informatie binnen de organisatie te delen. Een zerodaylek in deze software werd eind mei bij een wereldwijde aanval gebruikt, waarbij criminelen achter de Clop-ransomware toegang tot de MOVEit-servers van duizenden organisaties kregen en daarbij allerlei gegevens buitmaakten. Op de eigen website publiceert de Clop-groep vervolgens de namen van getroffen organisaties. Als het gevraagde losgeld niet wordt betaald dreigt de groep de gestolen data te publiceren. Progress Software, de ontwikkelaar van MOVEit Transfer, heeft tot nu toe van 23 klanten bericht gehad dat ze door de aanval zijn getroffen. Een aantal van hen wil een schadevergoeding. Daarnaast is Progress onderdeel van 58 massaclaims die zijn aangespannen door personen van wie gegevens bij de zeroday-aanval zijn gestolen. Nog altijd zijn er organisaties die laten weten getroffen te zijn. De Amerikaanse staat Maine moest bij de eigen procureur-generaal melden dat het ook slachtoffer was geworden. Bij de aanval zijn onder andere rijbewijsnummers en social-securitynummers buitgemaakt. Het gaat om de gegevens van 1,32 miljoen mensen. De meeste organisaties die doelwit van de zeroday-aanval werden bevinden zich in de Verenigde Staten. Het gaat meestal om onderwijsinstellingen, gezondheidsorganisaties en financieel en professioneel dienstverleners. bron: https://www.security.nl

Windows Server 2012 krijgt tot eind 2026 betaalde beveiligingsupdates, zo heeft Microsoft aangekondigd. De support van Windows Server 2012 en Windows Server R2 eindigde afgelopen 10 oktober, wat inhoudt dat Microsoft geen patches meer voor gevonden kwetsbaarheden uitbrengt. Net als het met andere Windowsversies heeft gedaan biedt Microsoft ook voor Windows Server 2012 'Extended Security Updates'. Het gaat hier om betaalde beveiligingsupdates die voor een periode van steeds een jaar worden afgenomen. In totaal zullen de betaalde updates maximaal drie jaar worden aangeboden. Organisaties die nu een driejarig abonnement afsluiten kunnen dan van 14 november tot en met 13 oktober 2026 op beveiligingsupdates rekenen. Volgens Microsoft moet dit organisaties die nog met Windows Server 2012 werken de gelegenheid geven om naar een nieuwere Windowsversie te migreren. bron: https://www.security.nl

Een groep cybercriminelen buit een nieuwe zero-day kwetsbaarheid in on-premises implementaties van SysAid software voor supportafdelingen uit voor de verspreiding van de ransomware Clop. Een update die het beveiligingslek dicht is inmiddels beschikbaar. Het Microsoft Threat Intelligence team waarschuwt voor de zero-day kwetsbaarheid, die is geïdentificeerd als CVE-2023-47246. Lace Tempest (DEV-0950), een threat actor die zich bezig houdt met de verspreiding van de Clop-ransomware, buit de kwetsbaarheid naar verluid actief uit. Update beschikbaar SysAid bevestigt de zero-day kwetsbaarheid in een blogpost. Het meldt op 2 november op de hoogte te zijn gesteld, waarna het bedrijf aan de slag is gegaan met het dichten van het lek. Een update is inmiddels beschikbaar. SysAid adviseert klanten met een SysAid on-premises serverinstallatie hun systemen te updaten naar versie 23.3.36. Daarnaast adviseert SysAid een uitgebreide netwerkanalyse uit te voeren en te zoeken naar Indicators of Compromise. Deze deelt het bedrijf in de blogpost. Bij de aanval uploadt de aanvaller een WAR-archief met een WebShell en andere payloads naar de webroot van een SysAid Tomcat webservice. De WebShell geeft de aanvaller ongeautoriseerde toegang en controle over het getroffen systeem. Vervolgens laadt de aanvaller een PowerShell-script via de WebShell, en voert een malware loader genaamd user.exe uit op de besmette host. Deze laadt op zijn beurt de trojan GraceWire, die wordt geïnjecteerd in de processen spoolsv.exe, msiexec.exe en svhost.exe. Vervolgens zetten de aanvallers een tweede PowerShell-script in waarmee zij bewijsmateriaal van hun actie verwijderen uit logbestanden. bron: https://www.security.nl

De website van het bedrijf is hierdoor korte tijd uit de lucht geweest. De aanval is opgeëist door Anonymous Sudan. De aanval zou slechts kort tot problemen hebben geleid op de website van Cloudflare. Een woordvoerder meldt aan Bleeping Computer dat de website enkele minuten offline is geweest. Andere dienstverlening van Cloudflare is naar verluid niet getroffen. De woordvoerder wijst erop dat de website van Cloudflare bewust niet op dezelfde infrastructuur wordt gehost als andere services van de partij. De DDoS-aanval is het werk van Anonymous Sudan, ook bekend als Storm-1359. Recentelijk is deze groep in verband gebracht met onder meer een DDoS-aanval op ChatGPT van OpenAI, Outlook.com, OneDrive en Azure Portal. bron: https://www.security.nl

De generatieve AI-gebaseerde chatbot ChatGPT en diens API zijn momenteel slecht bereikbaar. De diensten zijn met enige regelmaat volledig onbereikbaar, en op andere momenten moeilijker bereikbaar dan gebruikelijk. De oorzaak ligt in een DDoS-aanval, meldt ontwikkelaar OpenAI. In een incident rapport meldt OpenAI dat het bedrijf kampt met een DDoS-aanval, die voor abnormale verkeersstromen zorgen en leiden tot periodieke storingen. Het bedrijf zegt druk aan het werk te zijn om de problemen op te lossen. Gebruikers krijgen onder meer foutmeldingen te zien indien zij de chatbot proberen te gebruiken. De problemen zijn vooralsnog niet opgelost. De afgelopen dagen zijn er meer problemen geweest bij ChatGPT. Zo kampte de Dall-E API maandag met problemen, waarna ChatGPT en de API dinsdag ook door tijdelijke storingen werden getroffen. Gisterochtend was het opnieuw raak bij OpenAI; het bedrijf spreekt van een 'grote storing' die alle diensten van het bedrijf heeft geraakt. OpenAI meldt de oorzaak van deze storing te hebben achterhaald en het probleem te hebben opgelost. bron: https://www.security.nl

Een frauduleuze Ledger Live-app in de Microsoft Store heeft tot veel schade geleid. Meerdere gebruikers zijn via de app opgelicht, waarbij de oplichters zeker 719.000 euro aan cryptovaluta wisten buit te maken. De app is inmiddels door Microsoft uit de Microsoft Store verwijderd. De app was beschikbaar onder de naam Ledger Live Web3, waarmee de app zich voordoet als de legitieme cryptowallet Ledger Live. ZachXBT, een cryptohandelaar die op Twitter onder meer informatie deelt over malafide activiteiten in de cryptowereld, trok over de malafide app aan de bel. 719.000 euro gestolen ZachXBT deelde onder meer het adres van een cryptowallet, waar de aanvaller 16,8 bitcoin ter waarde van zo'n 556.635 euro had ondergebracht. Later deelde ZachXBT het adres van een tweede cryptowallet waar in totaal ruim 168.000 dollar aan gestolen cryptovaluta was ondergebracht. De aanvaller heeft dan ook zeker 719.000 euro buitgemaakt. De app is inmiddels niet meer in de Microsoft Store te vinden. De app was gepubliceerd door een ontwikkelaar die als accountnaam 'Official Dev' gebruikte. Daarnaast viel ook op dat de app een beoordeling van vijf sterren had, gebaseerd op slechts één review. Hoeveel gebruikers in de oplichtingspoging zijn getrapt is onbekend. bron: https://www.security.nl

Cybercriminelen buiten een recent ontdekt lek in Atlassian Confluence Data Center en Server (CVE-2023-22518) actief uit voor onder meer het uitvoeren van ransomware-aanvallen. De CVSS-score van het lek is verhoogd van 9,1 naar 10, wat de hoogst mogelijke score is. Dit meldt Atlassian in een security advisory. Het onderschrijft hiermee een advisory door Rapid7, die waarschuwde dat zijn onderzoekers in het weekend een sterke toename te zien in het aantal aanvallen waarin CVE-2023-22518 wordt uitgebuit. Ongeautoriseerd een beheerdersaccount aanmaken Het beveiligingslek zit in de autorisatie van gebruikers met een beheerdersaccount. Een ongeautoriseerde aanvallen kan Confluence in de praktijk resetten en vervolgens een Confluence instance beheerdersaccount aanmaken, meldt Atlassian in de advisory. Met behulp van dit account kan de aanvaller vervolgens alle beheertaken uitvoeren die beschikbaar zijn voor de Confluence instance administrator. Dit kan onder meer leiden tot datadiefstal, aantasting van de integriteit van data en het onbeschikbaar raken van Confluence. Atlassian stelt momenteel niet te kunnen vaststellen welke instances van klanten door aanvallen zijn getroffen. Wel deelt het een aantal signalen waarop securityteams kunnen letten: Verlies van toegang of inlogmogelijkheid Verzoeken voor /json/setup-restore* in logbestanden Installatie van onbekende plugins, waarbij het onder meer gaat om een plugin genaamd "web.shell.Plugin" Versleutelde of corrupte data Onverwachte leden van de Confluence-administrators groep Onverwacht nieuw gecreëerde gebruikersaccounts bron: https://www.security.nl

Cybercriminelen maken in toenemende mate gebruik van legitieme clouddiensten voor het hosten van hun command & control (C2)-infrastructuur. De infrastructuur is gratis beschikbaar en wordt daarnaast vertrouwd door veel gebruikers, waardoor C2-verkeer makkelijker in legitiem dataverkeer opgaat. Hiervoor waarschuwt de Threat Analysis Group (TAG) van Google in een nieuw rapport (pdf). Het team benadrukt dat alle cloudvendoren en hun producten met deze nieuwe ontwikkeling te maken hebben. Denk hierbij aan cloudopslag en productiviteitstools. In het rapport kijkt het specifiek naar Google Calendar. Proof of concept In juni 2023 is op GitHub een proof-of-concept gepubliceerd voor een zogeheten 'Google Calendar RAT' (CGR). De RAT maakt gebruik van Google Calendar-events voor C2-communicatie. De aanvaller plaatst commando's in het omschrijvingsveld van agendapunten die het aanmaak in Google Calendar. TAG meldt vooralsnog geen gebruik van CGR in het wild te hebben gedetecteerd. Wel merkte Mandiant eerder echter al op dat de proof of concept op fora op het dark web actief worden gedeeld. Dit doet vermoeden dat cybercriminelen interesse hebben in de werkwijze. Commando's versturen via Dropbox C2-communicatie via clouddiensten is niet nieuw. TAG waarschuwde begin dit jaar al voor een aanvalscampagne opgezet door een aanvaller die hierbij wordt gesteund door de Chinese staat. De aanvaller zette malafide PowerShell-scrips in die met Dropbox communiceerde om commando's op te halen en data te exfiltreren. bron: https://www.security.nl

Cybercriminelen richten met behulp van de malware Kinsing hun pijlen op cloudomgevingen. De focus ligt hierbij specifiek op systemen die kwetsbaar zijn voor Looney Tunables, een kwetsbaarheid in Linux-systemen die lokale aanvallers de mogelijkheid biedt root-rechten te verkrijgen. Looney Tunables is een buffer overflow in de dynamic loader van glibc. Het beveiligingsprobleem (CVE-2023-4911) is sinds april 2021 aanwezig en is geïntroduceerd in glibc 2.34. Het lek is echter pas in oktober 2023 aan het licht gekomen. Enkele dagen nadat het lek openbaar werd gemaakt zijn proof-of-concept exploits verschenen. Combinatie van PHPUnit en Looney Tunables Cloud security-bedrijf Aqua Nautilus meldt nu dat de makers van Kinsing-malware actief inspelen op deze kwetsbaarheid. De aanval start met het uitbuiten van een bekende kwetsbaarheid in het PHP-testraamwerk PHPUnit, waarmee de aanvallers toegang weten te krijgen tot het systeem. Met behulp van Looney Tunables hogen zij vervolgens hun rechten op. Kinsing staat bekend voor aanvallen op cloud-gebaseerde systemen en applicaties. Zo wees Microsoft onlangs nog op aanvallen op Kubernetes-clusters, waarbij de aanvallers PostgreSQL-containers met configuratiefouten probeerden uit te buiten. bron: https://www.security.nl

De Europese Cyber Resilience Act kan tot grootschalige verstoringen in toeleverketens zorgen, waarschuwen diverse grote elektronicabedrijven. De verstoringen kunnen zelfs vergelijkbaar zijn met de problemen die we de COVID-19 pandemie zagen. Deze waarschuwing is afkomstig van de European Information, Communications and Consumer Electronics Technology Industry Associations (DIGITALEUROPE), een branchevereniging van bedrijven in de elektronica- en telecommiunicatiesector. Onder meer Ericsson, ESET, Nokia, Robert Bosch, Schneider Electric en Siemens zijn hierbij aangesloten. Securityrisico's beoordelen en aanpakken In een brief (pdf) uiten de partijen hun zorgen over de aanstormende Cyber Resilience Act. Deze wet verplicht fabrikanten securityrisico's verbonden aan hun producten te beoordelen en problemen op te lossen gedurende een periode van vijf jaar, of de verwachte levensduur van producten. DIGITALEUROPE schrijft in de brief gericht aan Eurocommissaris voor de Digitale Interne Markt Thierry Breton en vice-president van de Europese Commissie Vera Jourova dat de Cyber Resilience Act tot bottlenecks in toeleverketens kan leiden. Onder meer door een groot tekort aan onafhankelijke experts voor het uitvoeren van de beoordelingen die de Cyber Resilience Act vereist. Kan Europese interne markt schaden De bottlenecks kunnen volgens DIGITALEUROPE de Europese interne markt schaden. De problemen kunnen uiteenlopende producten raken, variërend van wasmachine tot speelgoed, cybersecurityproducten, onderdelen voor warmtepompen en high tech productiesystemen. "We riskeren een COVID-achtige blokkade in Europese toeleverketens te veroorzaken, de interne markt te verstoren en ons concurrentievermogen te beschadigen", aldus DIGITALEUROPE. bron: https://www.security.nl

Microsoft wil het gebruik van multi-factor authentificatie (MFA) bij zijn beheerdersportalen vergroten. Het rolt daarom nieuwe Conditional Access-policies voor MFA uit, die het standaard toevoegt aan de beheerdersportalen van onder meer Microsoft Entra, Microsoft 365, Azure en Exchange. Beheerders bepalen zelf of zij de policies willen omarmen. De Amerikaanse techgigant wijst in een blogpost op eerder onderzoek waaruit blijkt dat MFA het risico op overgenomen accounts met 99% terugdringt. Microsoft stelt zichzelf daarom als doel tot 100% MFA te komen. De nieuwe Conditional Access-policies die het nu introduceert moeten hieraan bijdragen. Drie policies beschikbaar De policies zijn afgestemd op verschillende gebruikssituaties en bieden op basis daarvan een variërend veiligheidsniveau. Drie policies zijn beschikbaar: Require multifactor authentication for admin portals (gericht op alle gebruikers) - Dit beleid is onder meer gericht op beheerders functies met verhoogde rechten en vereist MFA indien een beheerder op een Microsoft beheerdersportaal wil inloggen. Require multifactor authentication for per-user multifactor authentication users (gericht op bestaande per-user MFA klanten) - Dit beleid is van toepassing op gebruikers met per-user MFA en vereist MFA voor alle cloudapps. Dit beleid helpt organisaties volgens Microsoft bij de overstap naar Conditional Access. Require multifactor authentication for high-risk sign-ins (gericht op Microsoft Entra ID Premium Plan 2-klanten) - Dit beleid van toepassing op alle gebruikers en vereist MFA en herauthentificatie bij risicovolle inlogpogingen. Opt-out Beheerders bepalen zelf welke Conditional Access-policy zij willen omarmen. Microsoft adviseert voor de eerste optie te gaan en MFA in te schakelen voor alle beheerdersportalen. Microsoft rolt de policies als opt-out uit. Beheerders bepalen dan ook zelf of zij hiermee aan de slag willen. Wel merkt Microsoft op dat teams binnen Microsoft in toenemende mate MFA vereisen bij specifieke interactie, wat al langer het geval is bij onder meer het beheer van Azure-abonnementen en het Partner Center van Microsoft. bron: https://www.security.nl

QNAP waarschuwt voor twee kritieke kwetsbaarheden in zijn QTS besturingsysteem en applicaties voor zijn NAS-systemen. In beide gevallen stellen de kwetsbaarheden kwaadwillenden in staat code uit te voeren op getroffen systemen. De ernst van de eerste kwetsbaarheid (CVE-2023-23368) is beoordeeld met een 9,8 uit 10. Het gaat om een kwetsbaarheid waarmee kwaadwillenden via een netwerk commando's kunnen injecteren in kwetsbare NAS-systemen. De kwetsbaarheid is aanwezig in QTS 5.0.x en 4.5.x, QuTS hero h5.0.x en h4.5.x, en QuTScloud c5.0.1. Het lek is gedicht in de volgende releases: QTS 5.0.1.2376 build 20230421 en later QTS 4.5.4.2374 build 20230416 en later QuTS hero h5.0.1.2376 build 20230421 en later QuTS hero h4.5.4.2374 build 20230417 en later QuTScloud c5.0.1.2374 en later Ook tweede lek gedicht De tweede kwetsbaarheid (CVE-2023-23369) krijgt een beoordeling van 9.0 uit 10. Ook in dit geval stelt het beveiligingsprobleem kwaadwillenden in staat via een netwerk commando's te injecteren. Onder meer QTS versies 5.1.x, 4.3.6, 4.3.4, 4.3.3 en 4.2.x, Multimedia Console 2.1.x en 1.4.x, en Media Streaming add-on 500.1.x en 500.0.x zijn kwetsbaar. Het lek is door QNAP gedicht in: QTS 5.1.0.2399 build 20230515 en later QTS 4.3.6.2441 build 20230621 en later QTS 4.3.4.2451 build 20230621 en later QTS 4.3.3.2420 build 20230621 en later QTS 4.2.6 build 20230621 en later Multimedia Console 2.1.2 (2023/05/04) en later Multimedia Console 1.4.8 (2023/05/05) en later Media Streaming add-on 500.1.1.2 (2023/06/12) en later Media Streaming add-on 500.0.0.11 (2023/06/16) en later bron: https://www.security.nl

Een botnet genaamd Socks5Systemz omvat zo'n 10.000 systemen en richt zich op het aanbieden van proxy-diensten. Hiermee kunnen bijvoorbeeld cybercriminelen hun verkeer omleiden via het botnet, en zo hun identiteit verbergen. Het botnet is ontdekt door BitSight. Het malafide netwerk is al zeker sinds 2016 actief, maar is al die tijd relatief onopgemerkt gebleven. Het botnet is opgezet met behulp van een tweetal malwareloaders: PrivateLoader en Amadey. Deze malware besmet systemen, maakt hen onderdeel van het botnet en zet de systemen om in proxy-servers die dataverkeer doorzetten. De beheerders van het botnet bieden met behulp van hun botnet betaalde diensten aan. Zo betalen gebruikers een bedrag dat varieert van 1 tot 140 dollar per dag voor toegang tot het botnet. Servers in meerdere landen De command & control (C&C)-infrastructuur van het botnet maakt gebruik van servers verspreid over de EU. Het gaat daarbij met name om servers in Frankrijk, al maken ook servers in Bulgarije, Zweden en Nederland onderdeel uit van Socks5Systemz. BitSight analyseerde het gedrag van het netwerk afgelopen maand. Hierbij zijn in totaal zo'n 10.000 individuele pogingen om met geïdentificeerde aan het botnet verbonden servers te benaderen. Op basis hiervan concludeert BitSight dat zeker zo'n 10.000 systemen onderdeel uitmaken van het botnet. De aanvallers maken slachtoffers over de hele wereld; systemen uit Argentinië, Brazilië, Colombia, India, Nigeria, de Verenigde Staten en Zuid-Korea zijn het vaakst onderdeel van Socks5Systemz. bron: https://www.security.nl

Discord stapt over op tijdelijke URL's voor bestanden die gebruikers delen via de officiële Discord-cliënt. De maatregel moet helpen de verspreiding van malware via het content delivery netwerk (CDN) van het platform tegen te gaan. Het bedrijf meldt aan Bleeping Computer de tijdelijke links automatisch te vernieuwen. Dit betekent in de praktijk dat gebruikers content kunnen blijven delen op de manier die zij gewend zijn. Tijdelijke links zijn 24 uur geldig, waarna de link vervalt en Discord een nieuwe tijdelijke link aanmaakt. Wel meldt Discord in een verklaring dat gebruikers het platform niet langer kunnen gebruiken voor het hosten van content. "Indien gebruikers Discord gebruiken voor het hosten van bestanden, adviseren wij een meer geschikte dienst te vinden", aldus het bedrijf. Voor ontwikkelaars brengt de aanpassing wel veranderingen met zich mee. Discord belooft op korte termijn meer informatie te delen over de aanpassingen die ontwikkelaars moeten doen. "Discord-ontwikkelaars kunnen minimale impact ervaren en we werken nauw samen met de community rond de transitie. Deze veranderingen rollen later dit jaar uit en we delen in de komende weken meer informatie met ontwikkelaars", aldus Discord. bron: https://www.security.nl

Een plan van Europese beleidsmakers als onderdeel van de Europese digitale identiteit brengt de privacy en security van internetgebruikers in gevaar, zo stelt Google. Het techbedrijf verstuurde eerder deze week al samen met andere organisaties en bedrijven een open brief over Artikel 45 van de eIDAS 2.0-verordening, wat staat voor ‘Electronic Identities And Trust Services’. Security.NL besteedde ook aandacht aan deze brief. Artikel 45 verplicht browserleveranciers om Qualified Website Authentication Certificates (QWACs) te accepteren die door Qualified Trusted Service Providers worden uitgegeven. Qualified Trusted Service Providers is een andere naam voor certificaatautoriteiten, de partijen die tls-certificaten uitgeven gebruikt voor identificatie en versleutelde verbindingen tussen websites en bezoekers. Op dit moment accepteren browsers alleen certificaatautoriteiten die aan verschillende standaarden voldoen. De Europese Commissie wil browserleveranciers kunnen dwingen om Qualified Trusted Service Providers te vertrouwen en aan hun browser toe te voegen, ongeacht of ze aan de eisen voldoen die voor andere certificaatautoriteiten gelden. Daarnaast hebben browserleveranciers geen mogelijkheid om Qualified Trusted Service Providers die zich misdragen uit de browser te verwijderen. Naast de brief waarschuwt Google nu in een aparte blogposting voor de risico's van Artikel 45. Het zou namelijk de mogelijkheid van browsers hinderen om bepaalde veiligheidsvereisten voor certificaten te handhaven, en daarmee de voortgang die de afgelopen tientallen jaren op dit front is geboekt weer terugdraaien. "Wij en andere vorige en huidige leiders in de internationale webcommunity hebben grote zorgen over de impact van Artikel 45 op security", aldus Google. "We roepen beleidsmakers op om te luisteren naar de waarschuwingen van wetenschappers en beveiligingsexperts en dit deel van de wetgeving te herzien, in plaats van de privacy en security van internetgebruikers aan te tasten." bron: https://www.security.nl

De overstap naar kwantumbestendige encryptie zal in veel gevallen niets meer zijn dan het installeren van een software-update, hoewel dat niet overal het geval is, zo stelt het Britse National Cyber Security Centre (NCSC). "Het upgraden van de meeste internetdiensten (en de apps die deze diensten gebruiken) zal waarschijnlijk een van de 'eenvoudigere' onderdelen van de overstap zijn", aldus de Britse overheidsdienst. In het geval van legacy of sector-specifieke protocollen zal er meer werk zijn vereist, maar zijn academici en de industrie daar al enige tijd mee bezig. In het geval deze systemen niet naar kwantumbestendige crypto kunnen overstappen zullen die uiteindelijk tijdens geplande levenscyclus worden vervangen. Het NCSC zal de komende jaren specifieke adviezen voor vitale organisaties gaan geven om bij de overstap te helpen. Toch zal de overstap in de meeste gevallen niets meer zijn dan het installeren van een update. "Veel van de gevallen betreft internetdiensten of apps die door grote serviceproviders worden ontwikkeld en beheerd. In zulke gevallen zal de overstap door middel van een update van de betreffende provider plaatsvinden. Personen en organisaties die voor hun encryptie van grote aanbieders afhankelijk zijn, moeten het advies van het NCSC volgen over het up-to-date houden van software en apparaten, en dan zal de overstap grotendeels achter de schermen plaatsvinden." bron: https://www.security.nl

Een kritiek beveiligingslek in Apache ActiveMQ wordt actief gebruikt bij ransomware-aanvallen. De Amerikaanse overheid heeft federale instanties opgedragen om de beveiligingsupdate voor het probleem, die vorige week verscheen, binnen drie weken te installeren. Apache ActiveMQ is een open source 'message broker' voor het uitwisselen van berichten tussen verschillende applicaties. Een kritieke remote code execution kwetsbaarheid in de software, aangeduid als CVE-2023-46604, maakt het mogelijk voor aanvallers om willekeurige shellcommando's op systemen uit te voeren. De impact van het lek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Op 25 en 26 oktober verscheen een patch voor de kwetsbaarheid. Inmiddels maken aanvallers actief misbruik van het lek om systemen met ransomware te infecteren, zo meldt securitybedrijf Rapid7. Organisaties worden opgeroepen om de patch zo snel mogelijk uit te rollen. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft federale overheidsinstanties gisteren opgedragen om de update voor 17 november te installeren. Vandaag kwam de Apache Foundation met verdere uitleg over de kwetsbaarheid, aangezien die voor veel vragen van gebruikers zorgt. De Shadowserver Foundation meldde onlangs dat duizenden kwetsbare ActiveMQ-instances vanaf het internet toegankelijk zijn. bron: https://www.security.nl