Captain Kirk

Beetje late reactie, was zelf even op vakantie. Eerder meld je dat je weinig bereik hebt. ik denk hier eerder aan een storing plaatselijk bij een van de Duitse masten/providers waardoor je even niet hebt kunnen bellen. Wie weet komt je eigen provider ook met dit antwoord. In ieder geval prettig dat je nu wel weer kunt bellen.

Een logicafout in de firewalls van Cisco zorgen ervoor dat access control lists (ACL's) niet bij een herstart van het apparaat worden geladen. Cisco heeft updates uitgebracht om het probleem te verhelpen. ACL's bepalen het netwerkverkeer van en naar de firewall. Problemen met ACL's kunnen ervoor zorgen dat toegestaan verkeer wordt geblokkeerd en te blokkeren verkeer wordt toegestaan. Volgens Cisco wordt het probleem veroorzaakt door een logicafout die zich voordoet tijdens het programmeren van de ACL's tijdens het opstarten. Afhankelijk van de volgorde in de opstartconfiguratie kan het bij een herstart voorkomen dat bepaalde regels van de ACL's niet worden uitgevoerd. Cisco heeft updates uitgebracht, maar waarschuwt dat het installeren van de updates er niet voor zorgt dat ontbrekende ACL's weer worden hersteld. "Handmatig herstel is noodzakelijk", aldus de netwerkfabrikant. Verder stelt Cisco dat na de hersteloperatie er geen nieuwe objectgroepen aan bestaande ACL-regels moeten worden toegevoegd, omdat hierdoor de configuratie kan stoppen met werken. Cisco zegt niet bekend te zijn met misbruik van het probleem, dat werd ontdekt tijdens het oplossen van een probleem bij een klant. Het probleem is aanwezig in Cisco ASA 9.18 en 9.19 en Cisco FTD 7.2 en 7.3. bron: https://www.security.nl

Meta heeft in Australië een boete van 20 miljoen dollar gekregen voor het misleiden van gebruikers van de Onavo Protect vpn-app. Onavo Protect werd in 2013 door Facebook overgenomen en bood gebruikers een gratis vpn-dienst aan. Meta (destijds nog Facebook) stelde dat de app de gegevens en activiteiten van gebruikers zou beschermen en dat de verzamelde data alleen werd gebruikt voor het kunnen aanbieden van de vpn-dienst. In werkelijkheid werd het gedrag van gebruikers, zoals welke apps ze gebruikten en hoelang, door Onavo en Facebook Israel verzameld, en vervolgens geanonimiseerd, geaggregeerd en gedeeld met moederbedrijf Meta. De data werd gebruikt voor Meta's marktonderzoek. De vpn-app werd tussen februari 2016 en oktober 2017 meer dan 270.000 keer door Australische gebruikers geïnstalleerd. De Australische toezichthouder ACCC stapte naar de rechter, omdat het vond dat gebruikers niet duidelijk werd verteld dat ze Meta hielpen met het gebruik van hun data voor commercieel gewin. Een federale Australische rechtbank heeft nu geoordeeld dat Meta's dochterondernemingen Facebook Israel en Onavo het publiek hebben misleid door niet te melden dat hun gegevens voor andere doeleinden zouden worden gebruikt dan het aanbieden van de vpn-dienst. bron: https://www.security.nl

De makers van de Vivaldi-browser slaan alarm over een nieuw voorstel van Google en spreken zelfs van een "grote bedreiging" voor het open web die bestreden moet worden. Ook Mozilla is tegen het plan omdat het in strijd is met de principes en visie die de Firefox-ontwikkelaar naar eigen zeggen voor het web heeft. Het voorstel waar de browserontwikkelaars over vallen heeft de naam "Web Environment Integrity Explainer" is bedacht door vier Google-engineers. Het biedt websites een API waarmee ze kunnen vertellen dat de browser en platform van bezoekers worden vertrouwd door een derde partij, de "attester". Volgens de Google-engineers moet op deze manier fraude worden voorkomen. Zo kunnen websites controleren dat bezoekers mensen zijn en geen bots. Een van de grootste kritiekpunten is dat de attester bepaalt welke omgevingen zijn te vertrouwen. Zo zou Google Play een attester op Android zijn. Dit houdt in dat Google bepaalt welke browsers op het eigen platform te vertrouwen zijn, aldus Julien Picalausa van Vivaldi. In het geval van Windows verwacht hij dat de beslissing bij de Windows Store komt te liggen en op macOS bij Apple. Edge en Safari zouden dan zeker worden goedgekeurd, maar andere browsers zijn afhankelijk van de drie techbedrijven, stelt Picalausa. Volgens webontwikkelaar Alex Ivanovs kan Googles voorstel ook worden gebruikt om gedrag op het web te controleren. "Sommige critici zijn bang dat het een verborgen introductie van Digital Rights Management (DRM) op webpagina's is, waardoor adblocking zo goed als onmogelijk wordt gemaakt." Hij voegt toe dat de gevolgen van het voorstel voor de privacy van gebruikers en de openheid van het web niet genegeerd mogen worden. Ook Picalausa maakt zich zorgen. "Het is al lang bekend dat de dominantie van Google op de browsermarkt ze de potentie geeft om een existentiële bedreiging voor het web te worden. Met elk slecht idee dat ze hebben geopperd, zoals FLOC, TOPIC en Client Hints, zijn ze dichter bij die potentie gekomen." Eén van de Google-engineers kwam gisteren met een reactie op de ontstane ophef en stelt dat het voorstel niet bedoeld is om bepaalde browsers of extensies uit te zonderen. "Het doel van WEI is om een signaal te bieden dat een apparaat is te vertrouwen, niet om data of signalen over de browser op het apparaat te delen." bron: https://www.security.nl

Organisaties zouden hun medewerkers alleen toegang tot een vpn moeten geven als voor het account multifactorauthenticatie (MFA) is ingeschakeld, zo stelt Cisco. Het netwerkbedrijf hielp in het tweede kwartaal meerdere organisaties en bedrijven die het slachtoffer van een aanval waren geworden. In bijna veertig procent van de incidenten wisten de aanvallers door middel van gestolen inloggegevens van een geldig account binnen te dringen. Hoe de inloggegevens konden worden gestolen kan Cisco niet zeggen. Wel blijkt dat veel van de aanvallen voorkomen hadden kunnen worden als er voor belangrijke diensten gebruik zou zijn gemaakt van MFA. "In bijna veertig procent van de onderzoeken wisten aanvallers inloggegevens te misbruiken om toegang tot geldige accounts te krijgen, waarvan negentig procent geen MFA had ingeschakeld", zegt Nicole Hoffman van Cisco. Bij een aantal aanvallen wisten de aanvallers het gebruik van MFA door middel van "MFA fatigue" te omzeilen. Bij dergelijke aanvallen logt de aanvaller herhaaldelijk in met gestolen inloggegevens, waardoor het slachtoffer allerlei push-notificaties op zijn telefoon ontvangt om de inlogpoging op zijn account goed te keuren en dat uiteindelijk ook doet, waardoor de aanvaller toegang tot het account krijgt. Vanwege het belang van MFA adviseert Cisco om accounts zonder MFA geen vpn-toegang te geven, en het gebruik van de beveiligingsmaatregel naar alle gebruikersaccounts uit te breiden. Tevens wordt aangeraden om een "password audit" op alle accounts uit te voeren, om zo te controleren dat gebruikte wachtwoorden sterk genoeg zijn. bron: https://www.security.nl

Opnieuw maken cybercriminelen gebruik van malafide advertenties die bij de zoekmachines van Google en Bing worden getoond om malware te verspreiden, die uiteindelijk tot ransomware kan leiden. Dat meldt antivirusbedrijf Sophos. Daarbij worden mensen die niet via de malafide advertenties, maar direct naar de website gaan gerickrolled. De advertenties verschijnen wanneer er wordt gezocht op populaire software zoals AnyDesk, WinSCP en Cisco AnyConnect VPN. De advertenties wijzen naar gecompromitteerde WordPress-sites, waarop bijvoorbeeld een nagemaakte downloadpagina van Cisco de malware aanbiedt. Ook komt het voor dat de aanvallers hun eigen malafide sites hosten en die bijvoorbeeld voordoen als de officiële website van WinSCP. Wanneer de website direct wordt bezocht zal die de bezoeker "rickrollen" en doorsturen naar een video van Rick Astleys klassieker “Never Gonna Give You Up”, zo meldt onderzoeker Gabor Szappanos. De installer die zowel op de gecompromitteerde als malafide websites is te vinden bevat de verwachte legitieme software, alsmede een malafide DLL-bestand dat de malware installeert. Deze malware kan uiteindelijk tot verdere infecties met ransomware leiden. Eerder stelde antivirusbedrijf Trend Micro dat slachtoffers van de ALPHV-ransomware, ook bekend als BlackCat, via de malafide advertenties besmet waren geraakt. Sophos adviseert internetgebruikers onder andere om alert te zijn op advertenties van zoekmachines en een adblocker te gebruiken. bron: https://www.security.nl

Aanvallers maken steeds vaker gebruik van HTML- en OneNote-bestanden voor het uitvoeren van aanvallen, terwijl het gebruik van Word- en Excel-bestanden juist afneemt, zo stelt Googles online virusscandienst VirusTotal. Via VirusTotal is het mogelijk om bestanden door de engines van tientallen virusscanners te laten scannen. Op basis van geüploade bestanden heeft de virusscandienst een rapport genaamd "Emerging Formats and Delivery Techniques" gepubliceerd met informatie over trends en ontwikkelingen. Daaruit blijkt dat aanvallers vooral gebruikmaken van HTML-bestanden, die weer JavaScript laden, voor het uitvoeren van phishingaanvallen. De bestanden worden als e-mailbijlage verspreid en hebben het voorzien op inloggegevens van slachtoffers. Daarnaast is er volgens VirusTotal ook een toename van OneNote-bestanden. OneNote is software voor het maken en synchroniseren van notities. Het programma is standaard op Windows geïnstalleerd en onderdeel van Office 2019 en Microsoft 365. OneNote-bestanden ondersteunen geen macro's, maar wel toegevoegde scripts of embedded bestanden die door middel van een dubbelklik zijn te starten. Daarbij krijgen gebruikers wel eerst een waarschuwing te zien en moet er nog een keer worden geklikt om het script daadwerkelijk uit te voeren. Om gebruikers zover te krijgen gebruiken aanvallers allerlei trucs, die ook werden toegepast om gebruikers macro's te laten inschakelen. Zodra gebruikers de waarschuwing negeren wordt er malware gedownload en uitgevoerd. Macro's in Office-bestanden waren jarenlang een populaire aanvalsvector voor cybercriminelen, maar Microsoft is die in verschillende Office-versies op zo'n manier gaan blokkeren dat die niet meer eenvoudig zijn in te schakelen. Daardoor kijken cybercriminelen nu naar andere oplossingen. VirusTotal stelt dat OneNote voor aanvallers een "betrouwbaar alternatief" is voor de macro's in Office-producten. ISO-bestanden VirusTotal meldt ook een toename dit jaar van verdachte ISO-bestanden. "ISO-bestanden voor het verspreiden van malware is een flexibel alternatief voor zowel grootschalige als gerichte aanvallen", stelt de virusscandienst, die toevoegt dat sommige beveiligingsoplossingen moeite hebben met het scannen van ISO-bestanden. Dergelijke bestanden zijn images die allerlei soorten bestanden kunnen bevatten. De ontwikkelingen van het afgelopen jaar laten volgens VirusTotal zien dat aanvallers continu van bestandsformaten wisselen om malware te verspreiden. bron: https://www.security.nl

De makers van de Zimbra collaborative software suite hebben beveiligingsupdates uitgebracht voor een actief aangevallen XSS-zerodaylek in de webmail-client, alsmede een kwetsbaarheid die een aanvaller toegang tot interne JSP- en XML-bestanden kan geven. Volgens een beveiligingsonderzoeker kan deze laatste kwetsbaarheid tot remote code execution leiden. Zimbra is een collaborative software suite die onder andere mailserversoftware en een webmailclient bevat. De software zou door meer dan 200.000 organisaties wereldwijd worden gebruikt. De afgelopen jaren is Zimbra geregeld het doelwit geweest van aanvallen. Twee weken geleden waarschuwde Google nog voor een actief aangevallen zerodaylek in Zimbra waarvoor inmiddels ook een beveiligingsupdate was verschenen. Details over de kwetsbaarheid werden echter niet gegeven. Ook ontbrak een CVE-nummer waarmee beveiligingslekken worden aangeduid. Het probleem zou alleen aanwezig zijn in Zimbra 8.8.15. Gisteren kwam Zimbra voor verschillende versies van de software met beveiligingsupdates, waaronder voor drie kwetsbaarheden in versie 8.8.15. Het gaat onder andere om CVE-2023-37580, een kwetsbaarheid die cross-site scripting mogelijk maakt. Daardoor is het bijvoorbeeld mogelijk om cookies te stelen en toegang tot e-mails te krijgen. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security verstuurde gisterenavond een e-mail dat er actief misbruik is gemaakt van CVE-2023-37580. De link in de e-mail wijst op het moment van schrijven naar een pagina die de melding "Acces denied" geeft. Daarnaast is in Zimbra 10.0.2, 9.0.0 en 8.8.15 een beveiligingslek verholpen aangeduid als CVE-2023-38750. Een "bug die interne JSP- en XML-bestanden kan openbaren", aldus de beschrijving. Volgens beveiligingsonderzoeker Ivan Kwiatkowski gaat het om een kwetsbaarheid die een aanvaller willekeurige bestanden laat lezen en in het geval van Zimbra zich vertaalt naar remote code execution, waardoor een aanvaller kwetsbare servers kan overnemen. De impact van de kwetsbaarheid is nog niet berekend. bron: https://www.security.nl

De criminelen achter de ALPHV-ransomware, ook bekend als BlackCat, hebben een API (application programming interface) beschikbaar gesteld die het eenvoudiger moet maken om informatie over slachtoffers op te halen. Dat melden verschillende onderzoekers op Twitter. De meeste ransomwaregroepen hebben inmiddels een eigen website waarop de namen van getroffen organisaties verschijnen. Op deze manier proberen de criminelen slachtoffers onder druk te zetten om het gevraagde losgeld te betalen. Wanneer slachtoffers niet betalen dreigen de criminelen om gestolen data via hun eigen website te publiceren. Beveiligingsonderzoekers en media houden de websites van ransomwaregroepen in de gaten om zo te weten welke organisaties slachtoffer zijn geworden. Om het monitoren van nieuwe slachtoffers eenvoudiger te maken, zodat die eerder in de openbaarheid komen en zo de druk wordt opgevoerd, is nu de API gelanceerd. Die biedt verschillende opties voor het ophalen van artikelen die op de website van de ALPHV-groep verschijnen. bron: https://www.security.nl

Honderdduizenden MikroTik-routers die vanaf internet benaderbaar zijn bevatten een kwetsbaarheid waardoor een aanvaller super-admin kan worden. MikroTik kwam vorig jaar oktober en afgelopen juni met updates, maar in de release notes staat niet dat een kwetsbaarheid is verholpen. Volgens zoekmachine Shodan zouden 900.000 routers de patch niet geïnstalleerd hebben, zo meldt securitybedrijf Vulncheck. Via het beveiligingslek, aangeduid als CVE-2023-30799, kan een aanvaller met admin-toegang tot de router super-admin worden. De vereiste dat een aanvaller als admin moet kunnen inloggen maakt de kwetsbaarheid niet minder gevaarlijk, aldus onderzoeker Jacob Baines. RouterOS, het besturingssysteem dat op MikroTik-routers draait, wordt standaard geleverd met een "admin" gebruiker. Beheerders die hun router extra willen beveiligen wordt aangeraden deze admin-gebruiker te verwijderen. Volgens Baines blijkt uit onderzoek onder 5500 MikroTik-routers dat bijna zestig procent nog steeds de standaard admin-gebruiker gebruikt. Het standaard wachtwoord voor deze gebruiker is een lege string en pas vanaf RouterOS 6.49 die in oktober 2021 verscheen wordt beheerders gevraagd om het lege wachtwoord te vervangen door een nieuw wachtwoord. RouterOS maakt geen gebruik van wachtwoordregels, waardoor beheerders elk wachtwoord kunnen kiezen, hoe eenvoudig ook. Het besturingssysteem biedt, op de SSH-interface na, geen bescherming tegen bruteforce-aanvallen. "RouterOS heeft te maken met een aantal problemen waardoor het raden van admin-inloggegevens eenvoudiger is dan het zou moeten zijn. We denken dat CVE-2023-30799 veel eenvoudiger te misbruiken is dan de CVSS-vector aangeeft", merkt Baines op. Beheerders wordt aangeraden om de beheerdersinterfaces van de router niet benaderbaar vanaf het internet te maken. Het aantal ip-adressen te beperken waarmee kan worden ingelogd. De Winbox-webinterface uit te schakelen en alleen SSH voor beheer te gebruiken. SSH zo te configureren dat er met publice/private keys wordt gewerkt en inloggen met een wachtwoord uit te schakelen en natuurlijk het installeren van updates. De kwetsbaarheid is verholpen in RouterOS stable versie 6.49.7 (oktober 2022) en RouterOS long-term versie 6.49.8 (juli 2023). bron: https://www.security.nl

Google-onderzoeker Tavis Ormandy heeft een beveiligingslek in verschillende processors van AMD ontdekt waardoor een aanvaller vertrouwelijke informatie van systemen kan stelen zoals wachtwoorden en encryptiesleutels. AMD heeft een microcode-update beschikbaar gemaakt om het probleem te verhelpen. Zenbleed, zoals de kwetsbaarheid wordt genoemd, wordt veroorzaakt door de "speculative execution" van de processor, net zoals bij de Spectre-kwetsbaarheid het geval is. Speculative execution moet de prestaties van processors verbeteren, waarbij sommige taken worden uitgevoerd die mogelijk niet nodig blijken. In het geval van het probleem dat Ormandy ontdekte is het mogelijk om de processor een bepaalde functie uit te laten voeren die de cpu later zal terugdraaien. Dit kan ervoor zorgen dat data van een ander proces of thread in een register wordt opgeslagen waar een aanvaller toegang toe heeft, waardoor vertrouwelijke informatie kan lekken. Een aanvaller heeft geen speciale rechten nodig om de aanval uit te voeren. Wel zou een aanvaller in staat moeten zijn om code op het systeem van een slachtoffer uit te voeren, bijvoorbeeld via malware of de browser van het slachtoffer. Aanvallen kunnen zich dan bijvoorbeeld richten op shared hosting-omgevingen of individuele gebruikers die via een malafide of gecompromitteerde site worden aangevallen. Ormandy merkt op dat het probleem alle besturingssystemen raakt en aanwezig is in de AMD Ryzen 3000, Pro 3000, Threadripper 3000, 4000, PRO 4000, 5000, 7020 en EPYC “Rome” processors. AMD werd op 15 mei ingelicht en kwam op 20 juli, sneller dan Ormandy verwachtte, met updates. Details over de kwetsbaarheid en proof-of-concept exploitcode zijn nu openbaar gemaakt. AMD heeft de impact van het beveiligingslek (CVE-2023-20593) beoordeeld als "medium". bron: https://www.security.nl

In België zijn honderd organisaties een campagne gestart om de digitale kloof in het land te dichten. Volgens de coalitie, met de naam DigitAll, vormt digitale uitsluiting een bedreiging voor mensenrechten. Uit onderzoek blijkt dat het aantal Belgen dat digitale uitsluiting riskeert is toegenomen van 40 procent in 2019 naar 46 procent in 2021. "De digitalisering gaat razendsnel, waardoor de digitale kloof steeds groter wordt. Digitale exclusie treft niet alleen kwetsbare groepen, maar treedt op in alle lagen van de samenleving in België", aldus de coalitie. Het niet beschikken over de technologische middelen of het ontbreken van de nodige vaardigheden zijn de meest voor de hand liggende reden dat mensen digitale uitsluiting riskeren. Het gaat echter niet alleen over de kwaliteit van de technologische middelen, maar ook over de kwaliteit van de toegang tot het internet, met name het netwerk of de plaats/de omgeving. "Mensen digitaal uitsluiten, is ze uitsluiten van de maatschappij. Het is alsof je een sleutel mist om een huis binnen te kunnen gaan", zegt minister van Telecommunicatie Petra De Sutter. "En ja, het gaat om zoveel meer dan geen laptop of smartphone hebben." De onderzoekers stellen dat de digitale geletterdheid ook bij jongeren achteruitgaat. In 2022 had 33 procent van de Belgische jongeren tussen 16 en 24 jaar zwakke algemene digitale vaardigheden ten opzichte van 21 procent in 2019. Ook bij de werkzoekenden is de situatie verontrustend, zo stelt de coalitie. Meer dan de helft (52 procent) van hen heeft zwakke digitale vaardigheden, een cijfer dat oploopt tot 74 procent voor laaggeschoolde werkzoekenden. Met de campagne wil DigitAll meer aandacht voor de digitale kloof vragen. "De campagne vestigt de aandacht op onze mensenrechten, die we sinds mensenheugenis hebben verworven en die nu door digitale uitsluiting worden bedreigd. Want zo goed als alles wat we vandaag doen, is digitaal. En wanneer we niet over de juiste technologie of nodige vaardigheden beschikken, dreigen onze meest elementaire rechten verloren te gaan. Zoals ons recht op huisvesting, op onderwijs, op werk, op privacy, en vele andere." bron: https://www.security.nl

De MITRE Corporation heeft weer de Top 25 van gevaarlijkste kwetsbaarheden gepubliceerd en de top 3 is ten opzichte van vorig jaar onveranderd. Wederom staat "out-of-bounds write" op de eerste plek, gevolgd door cross-site scripting en SQL Injection. MITRE is de organisatie achter het Common Vulnerabilities and Exposures (CVE) systeem om kwetsbaarheden mee te identificeren. De organisatie stelt jaarlijks een Top 25 vast van gevaarlijke kwetsbaarheden die veel in software voorkomen, eenvoudig zijn te vinden en misbruiken, en aanvallers de mogelijkheid geven om systemen volledig over te nemen, data te stelen of een denial of service uit te voeren. Volgens MITRE biedt de Top 25 professionals een praktische en handige bron om risico's te mitigeren. Het gaat dan om programmeurs, testers, gebruikers, projectmanagers en beveiligingsonderzoekers. De Top 25 is gebaseerd op duizenden kwetsbaarheden die in 2021 en 2022 werden gevonden. Vervolgens werd er een scoreformule gebruikt om de ranking van elke kwetsbaarheid te bepalen. Deze formule kijkt hoe vaak de betreffende kwetsbaarheid voorkomt en de beoogde impact wanneer die wordt misbruikt. Dan staat wederom out-of-bounds write bovenaan. Via deze klasse van kwetsbaarheden is het mogelijk voor een aanvaller om een applicatie te laten crashen of code op het systeem uit te voeren. De grootste stijgers dit jaar waren imrproper privilege management, incorrecte autorisatie, ontbrekende autorisatie en Use After Free. Problemen zoals hard-coded wachtwoorden en incorrecte standaardpermissies werden juist minder vaak waargenomen en daalden een aantal plekken in het overzicht. bron: https://www.security.nl

Spywareleverancier LetMeSpy heeft de gegevens van klanten en slachtoffers gelekt, waaronder onderschepte berichten en gespreksgeschiedenis. Het bedrijf biedt een Android-app waarmee het mogelijk is om allerlei informatie te verzamelen van de telefoon waarop de spyware is geïnstalleerd. In een bericht op de eigen website meldt LetMeSpy dat het op 21 juni met een beveiligingsincident te maken heeft gekregen. Daarbij hebben de aanvallers toegang gekregen tot e-mailadressen, telefoonnummers en de inhoud van verzamelde berichten van slachtoffers. LetMeSpy kan de inhoud van sms-berichten onderscheppen en verzamelt de gespreksgeschiedenis van slachtoffers. Gebruikers weten zo met wie het slachtoffer op welke datum heeft gebeld. Vanwege het incident kunnen gebruikers geen gebruik meer van hun account maken. Dit zal pas worden hersteld als de kwetsbaarheid waardoor de aanvallers konden toeslaan is verholpen, aldus de verklaring van de spywareleverancier. Om welk beveiligingslek het gaat is niet bekendgemaakt. Beveiligingsonderzoeker Maia Arson Crimew, die bezig is met onderzoek naar stalkerware, ontving een link naar de gestolen data. Dan blijkt dat het datalek groter is dan de spywareleverancier zelf aangeeft. Naast gespreksgeschiedenis en berichten zijn ook locatiegegevens, ip-adressen, betaalgegevens, gebruikers-ID's en wachtwoordhashes gelekt. De spyware zou op zo'n tienduizend telefoons zijn geïnstalleerd. bron: https://www.security.nl

Een kwetsbaarheid in een populaire "Learning Management System" (LMS) plug-in voor WordPress maakt het mogelijk voor een aanvaller om het wachtwoord van elke gebruiker te resetten, waaronder de beheerder. LearnDash LMS is een plug-in die op meer dan 100.000 websites is geïnstalleerd en het mogelijk maakt een online leeromgeving op te zetten met cursussen en trainingen. Een IDOR-kwetsbaarheid maakt het mogelijk voor aanvallers om het wachtwoord van elke willekeurige wachtwoord te wijzigen. IDOR staat voor Insecure Direct Object Reference (IDOR) en doet zich bijvoorbeeld voor wanneer een webapplicatie of API een identifier gebruikt om een object in een database op te vragen zonder authenticatie of andere vorm van toegangscontrole. Zo kan een gebruiker door het aanpassen van bepaalde data toegang tot de gegevens van andere gebruikers krijgen. Ondanks de eenvoud van IDOR-kwetsbaarheden komen die nog altijd geregeld voor. In het geval van LearnDash LMS biedt de plug-in de optie voor gebruikers om via een webformulier hun wachtwoord te wijzigen. Daarbij wordt er een e-mail met resetlink en "activation key" verstuurd. De link wijst weer naar een pagina om het wachtwoord op de WordPress-site te resetten. De plug-in controleert alleen bij het laden van de resetpagina of de activation key bij de betreffende gebruiker hoort. Bij het uitvoeren van de wachtwoordreset blijkt de plug-in de activation key niet te controleren en is het mogelijk om een andere gebruiker op te geven waarvan het wachtwoord wordt gewijzigd. De kwetsbaarheid is aanwezig in versie 4.6.0 en eerder en werd gevonden door securitybedrijf Wordfence. Dat waarschuwde de ontwikkelaar op 5 juni, die op 6 juni met een update kwam. Wordfence heeft vandaag de details van de kwetsbaarheid openbaar gemaakt. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 8.8. bron: https://www.security.nl

Google heeft websites gevraagd die een nieuwe trackingmethode genaamd Topics gaan gebruiken om hier geen misbruik van te maken. Dat is de reactie van het techbedrijf op zorgen dat Topics te gebruiken is voor het fingerprinten van internetgebruikers. Trackingcookies spelen een belangrijke rol bij het volgen van gebruikers op internet en tonen van gerichte advertenties. Vanwege privacyzorgen worden dergelijke cookies door meerdere browsers inmiddels geblokkeerd. Om gebruikers zonder het gebruik van third-party cookies toch gerichte advertenties te kunnen blijven tonen bedacht Google de "Privacy Sandbox", een verzameling van technieken waarmee gepersonaliseerde reclame is te tonen. Bij Topics, zoals één van de trackingmethodes wordt genoemd, bepaalt de browser op basis van het browsegedrag van de gebruiker welke onderwerpen hij interessant vindt en stemt daar advertenties op af. Wanneer gebruikers een website bezoeken die Topics ondersteunt zal de technologie drie onderwerpen kiezen waar de gebruiker interesse in heeft en die met de website en diens advertentiepartners delen. Vervolgens kunnen websites en adverteerders op basis van deze onderwerpen advertenties tonen. Topics worden voor een periode van drie weken bewaard. Gebruikers kunnen de door de browser gekozen onderwerpen zien en die verwijderen. De feature zal standaard in Chrome worden ingeschakeld, maar het is mogelijk om die uit te schakelen. Google stelt dat de browser lokaal een keuze van interessante onderwerpen bepaalt en hierbij geen verbinding met externe servers maakt. Gekozen onderwerpen zullen geen gevoelige onderwerpen bevatten zoals geslacht of ras. Voor het kiezen van de onderwerpen worden hostnames aan topics gekoppeld. Oorspronkelijk zou Chrome 350 verschillende onderwerpen bevatten, maar dat is inmiddels uitgebreid naar zo'n 470. Vorig jaar mei opende Alexandre Gilotte van advertentieplatform een discussie op GitHub waarin hij waarschuwde dat Topics is te gebruiken voor het fingerprinten van gebruikers, zodat die fijnmazig zijn te volgen. Een aantal dagen geleden werd het onderwerp door Josh Karlin van Google gesloten. "Sinds deze discussie hebben we de voorwaarde opgenomen dat ontwikkelaars die van de API gebruikmaken verklaren dat ze geen misbruik van de API maken. Dat is geen technische oplossing, maar ik denk dat het een goede oplossing voor het probleem is." Het is echter de vraag hoe populair de nieuwe trackingmethode wordt. Eerder lieten Brave en DuckDuckGo weten dat ze niets van Topics moesten hebben en ook Mozilla ziet het niet zitten. "We zien gewoon niet hoe dit vanuit een privacystandpunt kan werken. Hoewel de informatie die de API biedt klein is, denken we dat de kans groter is dat het de bruikbaarheid voor adverteerders vermindert, dan dat het een betekenisvolle privacybescherming biedt. Het is helaas lastig om concrete manieren te zien hoe dit te verbeteren valt", aldus Mozillas Martin Thomson. Apple maakte eerder al bekend dat Topics geen goede aanvulling op het webplatform is. Google is van plan om de Topics API samen met Chrome 115 op 12 juli te lanceren. bron: https://www.security.nl

De Amerikaanse autoriteiten melden actief misbruik van een kritieke kwetsbaarheid in NAS-apparaten van fabrikant Zyxel. Een beveiligingsupdate verscheen op 20 juni. Nog geen drie dagen later werd het eerste misbruik al waargenomen, aldus het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Dat heeft federale overheidsinstanties die met Zyxel NAS-apparaten werken opgeroepen om de update voor 14 juli te installeren. De kwetsbaarheid in de NAS-apparaten, aangeduid als CVE-2023-27992, maakt "pre-authentication command injection" mogelijk, waardoor een aanvaller systeemcommando's op het NAS-apparaat kan uitvoeren, waarbij inloggegevens niet zijn vereist. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het probleem is aanwezig in de Zyxel NAS326, NAS540 en NAS542. Voor deze modellen is versie 5.21 van de firmware verschenen. De kwetsbaarheid werd door drie verschillende partijen aan Zyxel gerapporteerd. Het CISA houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren. De lijst, die inzicht geeft in kwetsbaarheden waarvan aanvallers misbruik maken, wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. De nieuwste update van de lijst bevat onder andere CVE-2023-27992. Het CISA heeft echter geen details over de aanvallen gegeven. bron: https://www.security.nl

Iedere wijsheid of kennis start met de vraag: "Ik weet het niet"...Mr. Data (Star Trek)

In de Chrome Web Store zijn weer malafide browser-extensies met miljoenen downloads ontdekt. Sommige van de extensies blijken al jaren in de Store te staan, zo meldt Wladimir Palant, beveiligingsonderzoeker en ontwikkelaar van de bekende adblocker Adblock Plus. Onlangs vond Palant al tientallen malafide apps in de Chrome Web Store die bij elkaar 87 miljoen downloads hadden. Deze extensies injecteerden code op elke door gebruikers bezochte websites. Palant besloot verder onderzoek te doen en ontdekte weer een reeks dubieuze extensies. Die blijken onder andere gebruikers bij het bezoeken van bepaalde sites naar andere websites door te sturen. Volgens de onderzoeker gaat het om "affiliate fraud", waarbij extensies worden beloond voor het genereren van verkeer naar bepaalde sites. Van de 109 extensies die Palant onderzocht vroegen er 102 toegang tot alle websites die de gebruiker bezoekt, vaak in combinatie met de 'tabs privilege'. Daarmee kunnen de extensies te bezoeken sites detecteren en vervolgens de fraude plegen door de gebruiker naar een andere site door te sturen. Niet alleen kunnen de extensies een uitgebreid profiel aanleggen van de websites die de gebruiker bezoekt, maar ook het injecteren van JavaScript op bezochte websites is mogelijk. Verder blijkt dat de extensies, die bij elkaar meer dan 62 miljoen gebruikers hebben, in strijd met het beleid van de Chrome Web Store zijn. Zo zijn meerdere extensies nagenoeg identiek aan elkaar en proberen ze zoveel mogelijk permissies als mogelijk te krijgen, terwijl dit niet voor de werking van de extensie is vereist. bron: https://www.security.nl

Na anderhalf jaar verschijnt er binnenkort een nieuwe versie van encryptiesoftware VeraCrypt, waarin de support van legacy hashing algoritmes RIPEMD160 en GOST89 volledig is verwijderd. Daardoor is het niet meer mogelijk om harde schijven of andere volumes te mounten waarbij deze hashing algoritmes zijn gebruikt. VeraCrypt is een opensource-encryptieprogramma voor Linux, macOS en Windows gebaseerd op het populaire TrueCrypt waarvan de ondersteuning in 2014 werd gestopt. Het wordt voor het grootste deel door één persoon ontwikkeld. Via de software is het mogelijk om systemen volledig te versleutelen of versleutelde containers aan te maken. De laatste versie van VeraCrypt, versie 1.25.9, dateert van 19 februari 2022. Al enige tijd is versie 1.26 in ontwikkeling. Daarvan is nu een testversie voor Windows verschenen. De grootste verandering is het verwijderen van de support voor RIPEMD160 en GOST89. VeraCrypt gebruikte deze algoritmes bij het encryptieproces van schijven en containers. Het is al enige tijd niet meer mogelijk om deze algoritmes voor de versleuteling te kiezen, maar de support was wel aanwezig om oude volumes te kunnen mounten. Met VeraCrypt 1.26 wordt de support echter verwijderd, waardoor volumes waarvoor de algoritmes zijn gebruikt niet meer te mounten zijn. Daarnaast voegt de nieuwe versie BLAKE2s als algoritme toe voor het versleutelen van schijven en volumes. BLAKE2 is een hashfunctie die veiliger dan SHA-3 en sneller dan MD5 zou moeten zijn. Wanneer de releaseversie van VeraCrypt 1.26 verschijnt is nog onbekend. bron: https://www.security.nl

VMware waarschuwt organisaties voor een kritiek beveiligingslek in Aria Operations for Networks, een tool voor het monitoren van netwerken, dat voorheen bekend stond als vRealize Network Insight. Via de kwetsbaarheid, aangeduid als CVE-2023-20887, kan een aanvaller met toegang tot het systeem willekeurige code uitvoeren. De impact van het lek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Er zijn beveiligingsupdates beschikbaar gemaakt die het probleem verhelpen, alsmede twee andere kwetsbaarheden (CVE-2023-20888 en CVE-2023-20889) waardoor het ook mogelijk is voor een aanvaller om code uit te voeren of informatie te stelen. De impact van deze twee kwetsbaarheden zijn beoordeeld met respectievelijk een 9.1 en 8.8. Bij eerdere kritieke lekken in vRealize adviseerde VMware om de betreffende updates meteen te installeren, maar dat staat nu niet in de advisory vermeld. bron: https://www.security.nl

Duizenden zakelijke WordPress-sites lopen risico via een kwetsbaarheid in de Directorist-plug-in te worden overgenomen door aanvallers. WordPress.org heeft de plug-in tijdelijk gesloten, waardoor gebruikers de update voor het probleem niet via het WordPress-dashboard kunnen installeren en dit handmatig moeten doen. Dat laat securitybedrijf Wordfence weten, dat beheerders adviseert de update zelf te installeren of anders de plug-in tijdelijk te verwijderen. Directorist is een op bedrijven gerichte plug-in waarmee het mogelijk is om rubrieksadvertenties en allerlei lokale telefoongidsen, van bijvoorbeeld restaurants, hotels, makelaars, evenementen en andere zaken, aan de WordPress-site toe te voegen. Volgens ontwikkelaar Wpwax maken meer dan tienduizend bedrijven er gebruik van. Een kwetsbaarheid in de plug-in maakt het mogelijk voor bezoekers die zich als 'subscriber' hebben kunnen registeren om het wachtwoord van de beheerder aan te passen en zo toegang tot de website te krijgen. Het beveiligingslek werd begin april door Wordfence aan de ontwikkelaar gemeld, maar die gaf geen reactie. Daarop besloot WordPress.org om de plug-in tijdelijk te sluiten voor verder onderzoek. Inmiddels is er een update beschikbaar, maar die kan door de tijdelijke sluiting op WordPress.org niet meer via het WordPress-dashboard worden geïnstalleerd, wat inhoudt dat beheerders dit handmatig moeten doen. Vanwege deze reden heeft Wordfence besloten geen uitgebreide details over het lek (CVE-2023-1888) te delen, waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 8.8. bron: https://www.security.nl

Netwerkbeveiliger Barracuda heeft klanten opgeroepen om hun Email Security Gateway direct te vervangen als aanvallers die via een recent zerodaylek met malware hebben besmet. Eerder werd klanten al opgeroepen om de apparaten niet meer te gebruiken. De Email Security Gateway is een product dat e-mailverkeer op malware, phishing en andere zaken controleert. Een kwetsbaarheid (CVE-2023-2868) in de gateway maakt het mogelijk voor een aanvaller, door het versturen van een speciaal geprepareerd .tar-bestand, systeemcommando's op de gateway uit te voeren en zo een backdoor te installeren. Het probleem wordt veroorzaakt doordat de gateway onvoldoende invoervalidatie uitvoert. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.4. Barracuda ontdekte het zerodaylek op 19 mei, nadat het een dag eerder voor verdacht verkeer van een gateway was gewaarschuwd. Verder onderzoek wees uit dat er sinds oktober 2022 misbruik van het lek is gemaakt om toegang tot gateways van klanten te krijgen. Daar installeerden de aanvallers allerlei malware om e-mailverkeer te monitoren en door middel van backdoors toegang te behouden. Op 21 mei rolde Barracuda een script naar alle gecompromitteerde gateways om "ongeautoriseerde toegangsmethodes" tegen te gaan. Een dag eerder was het bedrijf al met een beveiligingsupdate gekomen. Hoeveel gateways zijn getroffen laat Barracuda niet weten. Klanten werden onder andere via de gebruikersinterface van de gateway gewaarschuwd. In een laatste update over het incident stelt Barracuda dat klanten van wie de gateway is gecompromitteerd die meteen dienen te vervangen. Barracuda geeft geen verdere details waarom dit advies nu wordt gegeven. bron: https://www.security.nl

Er is een nieuwe versie van wachtwoordmanager KeePass verschenen die een kwetsbaarheid (CVE-2023-32784) verhelpt waardoor het master password uit het geheugen is te stelen. Wanneer gebruikers het master password invoeren, blijft voor elk getypt karakter een string in het geheugen achter. Eenmaal gecreëerd zijn die lastig te verwijderen. Een aanvaller die toegang tot het systeem heeft kan het wachtwoord vervolgens uit het geheugen halen. Het probleem doet zich voor met de manier waarop de tekstbox van KeePass voor het invoeren van het master password en andere wachtwoorden invoer verwerkt wanneer de gebruiker een wachtwoord invoert. Daardoor blijven er strings in het geheugen achter. Wanneer bijvoorbeeld "Password" wordt getypt, blijven de strings: •a, ••s, •••s, ••••w, •••••o, ••••••r, •••••••d in het geheugen achter. Onlangs verscheen er op GitHub een tool genaamd "KeePass 2.X Master Password Dumper" waarmee deze strings uit het geheugen zijn te halen. Een aanvaller moet wel toegang tot het systeem hebben om de aanval uit te voeren. Daarnaast werkt de aanval alleen tegen KeePass versie 2, de eerste versie van de wachtwoordmanager is niet kwetsbaar. Dominik Reichl, de ontwikkelaar van KeePass, heeft echter een oplossing in versie 2.54 verwerkt. Zo worden de betreffende strings, die uit het geheugen zijn te dumpen, in de meeste gevallen niet meer door KeePass gemaakt. Daarnaast creëert de wachtwoordmanager nu "dummy fragmenten" in het procesgeheugen. Die moeten het lastiger maken om met karakters die in het geheugen zijn te vinden het master password samen te stellen. De ontwikkelaar van de dumptool bevestigt dat deze twee maatregelen ervoor zorgen dat de aanval niet meer werkt. Gebruikers wordt aangeraden om naar KeePass 2.54 of nieuwer te updaten. Daarnaast adviseert de ontwikkelaar van de dumptool om het master password te wijzigen, crash dumps, hibernation bestand en swap file te verwijderen, verwijderde data te overschrijven en de computer te herstarten. bron: https://www.security.nl

Aanvallers maken steeds vaker gebruik van accounts van leveranciers en 'contractors' om netwerken bij organisaties binnen te dringen of verder te compromitteren, zo stelt Cisco op basis van eigen gegevens. Volgens het netwerkbedrijf krijgen supplychain-aanvallen veel aandacht, maar wordt misbruik van accounts van derde partijen vaak over het hoofd gezien. Het account van een leverancier is voor aanvallers veel handiger dan andere accounts met vergelijkbare rechten, stelt onderzoeker Nick Biasini. Leveranciers kunnen onregelmatig en op ongewone tijden op de omgeving inloggen, waardoor het lastig is voor securityteams om een baseline voor dergelijke accounts op te stellen. Ook kan het lastig zijn om afwijkende locaties te detecteren wanneer organisaties met freelance consultants werken die vanuit andere gebieden of landen inloggen. Biasini merkt op dat de aanvallers de initiële toegang tot een netwerk vaak via een low-privilege account weten te verkrijgen, maar dan snel het account van een leverancier proberen te gebruiken om verdere toegang te krijgen. Cisco adviseert om accounts van leveranciers die niet in gebruik zijn uit te schakelen, deze accounts zo min mogelijk rechten te geven, leveranciers onderdeel te maken van 'remote access health checks' en de toegang van leveranciers via een 'jump box' of aparte applicatie te regelen. bron: https://www.security.nl