Captain Kirk

De commerciële Predator-spyware die aan overheden wordt geleverd blijkt slachtoffers op allerlei manieren af te luisteren, zo hebben onderzoekers van Cisco ontdekt. De Predator-spyware is te vergelijken met de beruchte Pegasus-spyware en werd eind 2021 voor het eerst ontdekt door onderzoekers van Citizen Lab. Vorig jaar meldde Google dat de spyware vijf verschillende zerodaylekken gebruikte om Androidtelefoons te infecteren. De spyware is echter ook beschikbaar voor iOS. Details over de werking van de spyware waren niet beschikbaar, maar Cisco heeft nu een analyse gepubliceerd. Daaruit blijkt dat Predator gesprekken die via de microfoon, oordopjes en voip worden gevoerd kan afluisteren. Ook kan de spyware eigen certificaten voor certificaatautoriteiten aan de certificaatstore toevoegen, waardoor het mogelijk is om TLS-verkeer binnen de browser te ontsleutelen. Verder kan Predator willekeurige code op het systeem uitvoeren, bepaalde applicaties verbergen of voorkomen dat die bij een herstart van de telefoon worden geladen. Tevens verzamelt Predator allerlei informatie over de besmette telefoon, zoals adresboek en gespreksgeschiedenis. De onderzoekers van Cisco denken dat de spyware ook in staat is om de camera in te schakelen, geolocatiegegevens te verzamelen en het kan doen lijken alsof de telefoon is uitgeschakeld, terwijl die in werkelijkheid nog actief is. De functionaliteit zou mogelijk in een module aanwezig zijn waar de onderzoekers niet de beschikking over hebben, maar waar wel in de onderzochte code naar werd verwezen. Google stelde eerder dat de aanpak van commerciële surveillancebedrijven een robuuste en gemeenschappelijke inzet van inlichtingenteams, netwerkbeveiligers, academische onderzoekers en techplatformen vereist. Citizen Lab waarschuwde dat het ontbreken van internationale en binnenlandse wetgeving en waarborgen ervoor zorgt dat journalisten, mensenrechtenactivisten en oppositiegroepen in de nabije toekomst slachtoffer van dergelijke spyware zullen blijven. bron: https://www.security.nl

Firewalls van fabrikant Zyxel worden op grote schaal gecompromitteerd door een Mirai-botnet, zo stelt beveiligingsonderzoeker Kevin Beaumont. De aanvallers maken misbruik van een kritieke kwetsbaarheid waarvoor Zyxel eind april beveiligingsupdates uitbracht. Destijds werden klanten door de fabrikant opgeroepen om de patch ook te installeren. Via de kwetsbaarheid, aangeduid als CVE-2023-28771, kan een ongeauthenticeerde aanvaller door middel van speciaal geprepareerd netwerkverkeer OS-commando's op de firewall uit te voeren. Onlangs publiceerde securitybedrijf Rapid7 een proof-of-concept exploit op internet en waarschuwde dat er nog geen aanvallen waren waargenomen, maar dat dit waarschijnlijk slechts een kwestie van tijd was. Rapid7 detecteerde 42.000 Zyxel-firewalls waarvan de webinterface vanaf het internet toegankelijk is en mogelijk risico lopen, hoewel er ook grotere aantallen zijn genoemd. Volgens Beaumont is een Mirai-botnet nu begonnen om kwetsbare firewalls aan te vallen en die onderdeel van het botnet te maken. Door Mirai besmette apparaten worden onder andere voor het uitvoeren van ddos-aanvallen gebruikt. Deze week waarschuwde Zyxel ook voor twee andere kritieke kwetsbaarheden waardoor firewalls zijn over te nemen. bron: https://www.security.nl

Inderdaad, ik ben ook bang dat je accu hier minder origineel is dan aangegeven. De laptop en accu werken niet goed samen, accu is opeens op maar systeem en dus ook jij zelf krijgt geen waarschuwing.

PCH alweer 17 waarvan ik er geloof ik ook al 15 van mee mag maken...Gefeliciteerd!

Firewalls van Zyxel bevatten twee kritieke kwetsbaarheden waardoor een ongeauthenticeerde aanvaller de apparaten op afstand kan overnemen. De netwerkfabrikant heeft patches uitgebracht om de problemen (CVE-2023-33009 en CVE-2023-33010) te verhelpen. Het gaat in beide gevallen om buffer overflows waardoor een denial of service of remote code execution mogelijk is. Een aanvaller hoeft hiervoor niet eerst over inloggegevens te beschikken, wat de impact van beide beveiligingslekken vergroot. Updates zijn beschikbaar gemaakt voor de Zyxel ATP, USG FLEX, USG FLEX50(W) / USG20(W)-VPN, VPN en ZyWALL/USG. De impact van beide kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Vorig jaar waarschuwde de Amerikaanse geheime dienst NSA nog voor actief misbruik van een andere kritieke kwetsbaarheid in de firewalls van Zyxel. Dit probleem werd vier dagen na het verschijnen van de update misbruikt. bron: https://www.security.nl

Bedrijven en organisaties die gebruikmaken van de Barracuda Email Security Gateway zijn het doelwit geworden van een zeroday-aanval met een .tar-bestand, waarmee aanvallers toegang tot de gateway kregen, zo heeft de netwerkbeveiliger bekendgemaakt. Barracuda ontdekte op 19 mei een kwetsbaarheid in de Email Security Gateway waarvoor het op 20 en 21 mei beveiligingsupdates uitbracht. Al voor het uitkomen van de patches maakten aanvallers misbruik van het beveiligingslek, dat wordt aangeduid als CVE-2023-2868. De kwetsbaarheid zorgt ervoor dat een aanvaller door het versturen van een speciaal geprepareerd .tar-bestand naar de e-mail gateway systeemcommando's op het apparaat kan uitvoeren. Het probleem wordt veroorzaakt doordat de gateway onvoldoende invoervalidatie uitvoert. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.4. Barracuda heeft de patches automatisch onder klanten uitgerold en zegt getroffen klanten te hebben geïnformeerd. Details over de aanvallen, het aantal getroffen klanten en in welke sectoren en regio's die zich bevinden zijn niet gegeven. bron: https://www.security.nl

GitLab roept organisaties op om een kritieke path traversal-kwetsbaarheid, waardoor een ongeauthenticeerde aanvaller willekeurige bestanden op de server kan lezen, zo snel mogelijk te patchen. De impact van het beveiligingslek, aangeduid als CVE-2023-2825, is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. GitLab is een online DevOps-tool waarmee ontwikkelaars samen software kunnen ontwikkelen. Organisaties kunnen GitLab op hun eigen server of servers installeren. Het probleem is aanwezig in zowel de GitLab Community Edition (CE) als de Enterprise Edition (EE) versie 16.0.0. Eerdere versies zijn niet kwetsbaar. Via het lek kan een ongeauthenticeerde gebruiker via path traversal willekeurige bestanden op de server lezen als een bijlage in een publiek project aanwezig dat in minstens vijf groepen is ingebed. Bij path traversal is het mogelijk voor een aanvaller om toegang tot mappen en bestanden te krijgen waar hij eigenlijk geen toegang toe zou moeten hebben. GitLab geeft echter geen verdere details over de kwetsbaarheid. Wel raadt het organisaties ten sterkste aan om versie 16.0.1 zo snel mogelijk te installeren. bron: https://www.security.nl

Al een aantal dagen vindt er een grootschalige aanval plaats tegen WordPress-sites, waarbij aanvallers via een XSS-kwetsbaarheid in een cookiebanner-plug-in kwaadaardige code proberen te injecteren, zo meldt securitybedrijf Wordfence. Het beveiligingslek bevindt zich in de Beautiful Cookie Consent Banner, een plug-in die op meer dan veertigduizend WordPress-sites is geïnstalleerd. Via de banner kunnen websites toestemming vragen voor het plaatsen van cookies. "De plug-in zorgt ervoor dat je website klaar is voor allerlei cookiewetgeving", aldus de ontwikkelaar, die daarbij onder andere de AVG noemt. De plug-in is echter kwetsbaar voor stored cross-site scripting (XSS), waardoor een aanvaller kwaadaardige JavaScript in de website kan injecteren, die vervolgens in de browser van bezoekers wordt uitgevoerd. Zo is het mogelijk voor aanvallers om bezoekers van de WordPress-site naar malafide websites door te sturen of een beheerdersaccount toe te voegen, aldus Wordfence. Details over de waargenomen aanvallen zijn niet gegeven, maar via stored XSS kunnen cookies van ingelogde gebruikers worden gestolen. De XSS-kwetsbaarheid werd in januari van dit jaar verholpen. Wordfence heeft sinds 23 mei naar eigen zeggen aanvallen tegen meer dan 1,5 miljoen WordPress-sites waargenomen, waarbij werd geprobeerd om via het lek in de cookiebanner-plug-in code te injecteren. De aanvallen waren van bijna veertienduizend ip-adressen afkomstig. Beheerders wordt opgeroepen om de update te installeren mocht dat nog niet zijn gedaan. Uit cijfers van WordPress blijkt dat 54 procent de meest recente versie van de plug-in draait. bron: https://www.security.nl

De FBI en de Amerikaanse geheime dienst NSA hebben een vernieuwde handleiding gepubliceerd om ransomware te stoppen (pdf). De oorspronkelijke handleiding verscheen in 2020, maar volgens de overheidsdiensten hebben aanvallers sindsdien hun tactieken en technieken verder ontwikkeld. De aangepaste handleiding bevat onder andere geleerde lessen van de afgelopen jaren en aanvullende aanbevelingen om de impact van ransomware beperken. De handleiding beschrijft verschillende stappen die bij het voorkomen van ransomware of beperken van de impact belangrijk zijn, zoals het voorbereid zijn op een aanval door het maken van back-ups, het opstellen en onderhouden van een cyber incident response plan en het implementeren van een zero trust-architectuur. Ook wordt er ingegaan op het voorkomen van infecties waarbij aanvallers gebruikmaken van kwetsbaarheden en misconfiguraties. Zo wordt aangeraden om Server Message Block (SMB) v1 en v2 uit te schakelen, het gebruik van het remote desktop protocol (RDP) te beperken, wachtwoorden van minimaal vijftien karakters te gebruiken en dagelijkse werkzaamheden niet via accounts met roottoegang uit te voeren. Tevens moet personeel tijdens de jaarlijkse securitytraining op wachtwoordveiligheid worden gewezen en is het nodig om veelgebruikte bestandstypes door malware via een e-mailfilter te stoppen. Ook moeten macro's in Microsoft Office-bestanden die via e-mail zijn verstuurd worden uitgeschakeld, wat ook geldt voor de Windows Script Host (WSH). De handleiding geeft verder ook "best practices" advies om systemen te hardenen. Het tweede deel van de handleiding bevat adviezen wat organisaties moeten doen als hun systemen door ransomware zijn getroffen. Het gaat dan bijvoorbeeld om het isoleren van systemen of het uitschakelen daarvan als ze niet uit het netwerk zijn te verwijderen, maar ook het opschonen van systemen en herstel. De aanpassingen ten opzichte van de eerste versie gaan vooral over infectievectoren, waaronder gecompromitteerde inloggegevens en geavanceerde vormen van social engineering en een uitgebreidere ransomware response checklist, met tips voor 'threat hunting' en detectie. bron: https://www.security.nl

MikroTik heeft een kwetsbaarheid verholpen waardoor routers van het bedrijf door een ongeauthenticeerde aanvaller zijn over te nemen. Het beveiligingslek werd vijf maanden geleden al gedemonstreerd tijdens de Pwn2Own-wedstrijd in Toronto en volgens de organisatie meteen gemeld bij MikroTik, maar de routerfabrikant ontkent dit. Via het beveiligingslek kan een aanvaller die zich in hetzelfde netwerk als de router bevindt willekeurige code op het apparaat uitvoeren. Pwn2Own is een jaarlijks terugkerende wedstrijd georganiseerd door het Zero Day Initiative (ZDI), waarbij onderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden in allerlei producten. De betreffende fabrikant wordt vervolgens over het probleem ingelicht. Het ZDI stelt dat het MikroTik op 9 december 2022 heeft ingelicht over het beveiligingslek, aangeduid als CVE-2023-32154.MikroTik zegt dat het de bugmelding nooit heeft ontvangen. Normaliter maakt het ZDI gerapporteerde kwetsbaarheden na een bepaalde tijd openbaar, ook al heeft de betreffende fabrikant nog geen patches beschikbaar gemaakt. Het bedrijf vroeg MikroTik op 9 mei om een update over de stand van zaken en stuurde een dag later op verzoek van de routerfabrikant de bugmelding nogmaals op. Tevens stelde het ZDI dat het de details van de kwetsbaarheid op 17 mei openbaar zou maken. In een blogposting stelt MikroTik dat het probleem alleen speelt in MikroTik RouterOS versie 6.xx en 7.xx en zich alleen voordoet als de IPv6 advertisement receiver functionaliteit is ingeschakeld. Volgens MikroTik wordt de kwetsbare instelling zelden gebruikt. Als oplossing kunnen IPv6 advertisements worden uitgeschakeld of kan er worden geüpdatet naar een nieuwere versie van RouterOS, het besturingssysteem dat op MikroTik-routers draait. bron: https://www.security.nl

Windows 11 krijgt binnenkort ingebouwde ondersteuning voor archiefbestandstypes zoals 7-Zip, RAR en GZ, zo heeft heeft Microsoft aangekondigd. Hiervoor wordt gebruikgemaakt van libarchive, een opensourceproject. Windows ondersteunt al lange tijd .zip-bestanden, maar voor andere archiefformaten moest een apart programma worden geïnstalleerd. Vorig jaar stelden securitybedrijven nog dat aanvallers steeds vaker van archiefbestandstypes zoals RAR en ISO gebruikmaken om malware te verspreiden, aangezien Microsoft besloot om macro's in Office 365 standaard te blokkeren. Het Internet Storm Center waarschuwde vorige week nog voor een toename van malafide RAR SFX-bestanden die malware bevatten. De support voor 7-Zip, RAR en GZ wordt deze week als eerste onder Windows Insiders uitgerold. bron: https://www.security.nl

De Spaanse overheid wil dat het voor EU-gebaseerde aanbieders wordt verboden om end-to-end encryptie aan hun gebruikers aan te bieden, zo meldt Wired op basis van een gelekt document (pdf). Daarnaast zijn vijftien Europese landen in meer of mindere mate voorstander van het omstreden scanplan van de Europese Commissie om alle chatberichten en ander verkeer van Europese burgers te controleren. Het gelekte document heeft als onderwerp regels om kindermisbruik tegen te gaan en vraagt twintig landen naar hun mening over het scannen van versleuteld materiaal. Spanje laat daarop weten dat het voorstander is van wetgeving die het EU-gebaseerde serviceproviders verbiedt om end-to-end encryptie te implementeren. Ook vindt de Spaanse overheid dat opsporingsdiensten toegang tot data moeten hebben om hun taken uit te voeren. Nederland stelt in de reactie dat het heeft gepleit voor een toevoeging aan het voorstel dat end-to-end encryptie niet onmogelijk mag worden gemaakt. Aan de andere kant wordt ook gewezen naar de eigen technische experts die stellen dat het inspecteren van de inhoud van chatberichten en ander verkeer op het apparaat van de gebruiker de enige vorm van detectie is waarbij end-to-end encryptie niet wordt gecompromitteerd. Critici stellen dat ook bij inspecties op het toestel end-to-end encryptie wordt ondermijnd. Bij deze vorm van versleuteling is de inhoud namelijk alleen voor de afzender en ontvanger beschikbaar en wanneer een derde partij de inhoud kan controleren is dat niet meer het geval. Naast Nederland lieten ook Duitsland en Estland weten dat encryptie niet mag worden verzwakt. Roemenië stelt in het gelekte document dat end-to-end encryptie geen "schuilplaats" voor kwaadwillenden mag worden en vindt daarom naar eigen zeggen het beschermen van kinderen belangrijker. Eerder meldde The Guardian dat België, Bulgarije, Cyprus, Hongarije, Ierland, Italië, Letland, Litouwen, Roemenië en Spanje het scanplan van Brussel steunen. bron: https://www.security.nl

De AVG is deze week vijf jaar van kracht, maar Europese toezichthouders laten na om de privacywetgeving goed te handhaven, zo stelt noyb, de organisatie van privacyactivist Max Schrems. Met name de Autoriteit Persoonsgegevens heeft nog tientallen klachten van noyb op de plank liggen. Een klacht die noyb bij de Ierse privacytoezichthouder indiende leidde tot een boete van 1,2 miljard euro voor Meta, maar volgens de privacyorganisatie is dit juist een voorbeeld van niet-werkende handhaving. De Ierse privacytoezichthouder DPC had namelijk meer dan tien jaar nodig om tot een eerste beslissing te komen, waar Meta nu tegen in beroep gaat. Daarnaast moest Schrems ook drie verschillende zaken tegen de DPC aanspannen zodat die zijn werk deed, aldus noyb. De kosten hiervan bedragen naar schatting meer dan tien miljoen euro. Ook stelt noyb dat de beslissing van de Ierse toezichthouder om met de boete van 1,2 miljard euro te komen strategisch was vertraagd tot het vijfjarig jubileum van de AVG. Het is niet alleen de Ierse privacytoezichthouder die ervan langs krijgt. Noyb heeft een kaart gemaakt met Europese privacytoezichthouders waar bepaalde problematiek speelt. Ook de Autoriteit Persoonsgegevens (AP) staat op deze kaart vermeld. Volgens noyb zijn klachten die het jaren geleden bij de Nederlandse privacytoezichthouder indiende nog altijd niet behandeld. De afgelopen jaren diende noyb meer dan achthonderd klachten bij Europese privacytoezichthouders in. 85 procent daarvan wacht nog altijd op een beslissing en 470 klachten liggen al meer dan anderhalf jaar op de plank. Zestig van deze privacyklachten werden bij de AP ingediend. De Nederlandse privacytoezichthouder is daarmee koploper. Geen enkel ander land heeft meer privacyklachten van noyb op de plank liggen. "De AVG had sterke politiek steun. Vijf jaar verder zien we veel weerstand bij toezichthouders en rechtbanken om de wet te handhaven. De wetgever heeft gesproken, maar nationale rechtbanken en autoriteiten vinden continu nieuwe manieren om niet te luisteren", aldus Schrems. "Het voelt vaak dat er meer energie wordt gestoken in het ondermijnen van de AVG dan die te volgen." De privacyactivist hoopt dan ook dat toezichthouders hun houding veranderen en op een "serieuze handhavingscultuur" overstappen. bron: https://www.security.nl

Microsoft gaat e-mail die vanaf kwetsbare Exchange 2016/2019-servers naar Exchange Online wordt verstuurd vanaf volgend jaar mei blokkeren. Exchange 2007 is al in augustus aan de beurt, gevolgd door Exchange Server 2010 en 2013 in respectievelijk november en februari. Dat heeft Microsoft bekendgemaakt. Volgens het techbedrijf wordt de maatregel genomen om het "Exchange-ecosysteem" te beschermen en is het geen manier om klanten naar de cloud te krijgen. Exchange Server 2007, 2010 en 2013 zijn inmiddels end-of-life en ontvangen geen beveiligingsupdates meer. Exchange 2016 en 2019 worden nog wel door Microsoft ondersteund, maar alleen als die een bepaalde Cumulative Update (CU) hebben geïnstalleerd. Wanneer een Exchange 2016/2019-server geen up-to-date CU-versie draait, beschouwt Microsoft die als kwetsbaar. Om het aantal kwetsbare Exchange-servers terug te dringen kondigde Microsoft begin dit jaar het plan aan om mail afkomstig van deze servers en bedoeld voor Exchange Online te blokkeren. Zodra een kwetsbare Exchange-server verbinding maakt met Exchange Online voor het afleveren van e-mails zal dit in het Exchange admin center van de kwetsbare server worden gemeld. Beheerders krijgen dan dertig dagen de tijd om actie te ondernemen. Na deze periode zal Exchange Online beginnen met het "throttelen" van verbindingen afkomstig van de server en een SMTP 450 foutmelding geven. In eerste instantie zal het throttelen vijf minuten per uur zijn, maar dit zal met de tijd verder toenemen. Als deze maatregel niet helpt zal Exchange Online beginnen met het blokkeren van verbindingen, en daarmee e-mails, afkomstig van de kwetsbare Exchange-server. Ook de periode dat Exchange Online verbindingen blokkeert vindt geleidelijk plaats, totdat het helemaal niet meer mogelijk is om vanaf de kwetsbare Exchange-server e-mails naar Exchange Online te sturen. Microsoft was oorspronkelijk van plan om eind mei met het waarschuwen van Exchange 2007-beheerders te beginnen, maar heeft nu besloten om hier een maand mee te wachten. Daardoor is de hele tijdlijn met een maand verschoven. bron: https://www.security.nl

Begin deze maand lanceerde Google verschillende nieuwe top level domains (TLD's) waaronder .zip. Criminelen maken nu gebruik van .zip-domeinen voor het uitvoeren van phishingaanvallen, zo meldt internetbedrijf Netcraft. Organisaties wordt onder andere geadviseerd om .zip-domeinen op hun netwerk te blokkeren, terwijl Mozilla werd verzocht om het TLD van de "public suffix" lijst te verwijderen. Die bevat een overzicht van bekende top level domains. Beveiligingsexperts waarschuwden dat de .zip-TLD zich uitermate leent voor phishing en andere aanvallen. Inmiddels zijn verschillende van dergelijke aanvallen waargenomen, aldus Netcraft en securitybedrijf Silent Push. Organisaties krijgen van securitybedrijf Arctic Wolf het advies om het .zip-TLD op hun netwerk te blokkeren. Google stelt in een reactie tegenover The Register dat het risico op verwarring tussen domeinnamen en bestandsnamen niet nieuw is en het de ontwikkelingen rond het top level domain in de gaten zal houden. bron: https://www.security.nl

Mozilla heeft een nieuwe API voor het filteren van verkeer voor alle Firefox-extensies beschikbaar gemaakt die volgens de Firefox-ontwikkelaar meer privacy biedt dan de huidige gebruikte application programming interface (API). Adblockers in Firefox maken op dit moment vooral gebruik van de webRequest API voor het onderscheppen, blokkeren, doorsturen en aanpassen van in- en uitgaand verkeer van de browser. Google heeft in de plaats van deze API een nieuwe API voorgesteld genaamd declarativeNetRequest (DNR). Die beperkt de mogelijkheden van adblockers door een limiet te stellen aan het aantal regels alsmede het aantal beschikbare filters en acties van een extensie. Google gaat de webRequest API uitfaseren en vervangen door DNR. Mozilla liet eerder al weten een andere richting te kiezen. De Firefox-ontwikkelaar blijft de webRequest API ondersteunen, alsmede een compatibele versie van DNR. Volgens Mozilla biedt de webRequest API meer flexibiliteit dan DNR, waar adblockers en andere privacy- en security-extensies op creatieve wijze gebruik van kunnen maken. DNR heeft echter ook voordelen, stelt Mozillas Rob Wu. Zo biedt het meer privacy, omdat het netwerk requests naar bijvoorbeeld advertenties of trackers zonder host permissions kan blokkeren en er geen toegang tot de details van de requests meer wordt gegeven. DNR is vanaf Firefox 113 voor alle extensies beschikbaar. Mozilla laat wel aan extensie-ontwikkelaars weten dat de DNR-implementatie binnnen Firefox nog in ontwikkeling is. bron: https://www.security.nl

De afgelopen dagen zijn duizenden WordPress-sites besmet geraakt via een wachtwoordreset-lek in een populaire Elementor-plug-in, zo meldt securitybedrijf Sucuri. Elementor is een zogeheten "page builder" plug-in die de standaard WordPress-editor vervangt. Het biedt gebruikers meer vrijheid en mogelijkheden voor het vormgeven van hun WordPress-site en introduceert allerlei extra functionaliteit. Voor Elementor zijn ook weer allerlei plug-ins beschikbaar, waaronder Essential Addons for Elementor. Deze uitbreiding voorziet Elementor van allerlei nieuwe onderdelen. Meer dan één miljoen WordPress-sites maken er gebruik van. De wachtwoordresetfunctie van de plug-in bevat een kwetsbaarheid. De functie controleert namelijk niet of een door de gebruiker opgegeven key voor het uitvoeren van een wachtwoordreset wel geldig is en wijzigt vervolgens direct het wachtwoord van de opgegeven gebruiker. Een aanvaller kan zo het wachtwoord van de beheerder wijzigen en de website overnemen. Het probleem is aanwezig in versie 5.4.0 tot en met 5.7.1. Vorige week verscheen versie 5.7.2 waarin de kwetsbaarheid is verholpen, maar dit is niet duidelijk vermeld. Wel is duidelijk dat veel WordPress-sites de update niet hebben geïnstalleerd. Sucuri meldt dat het al meer dan zesduizend besmette WordPress-sites heeft gedetecteerd. Vervolgens installeren de aanvallers backdoors en een plug-in die malafide code bevat. Daarmee worden onder andere bezoekers naar andere websites doorgestuurd. Beheerders van websites waarop de plug-in draait worden dan ook opgeroepen om die te updaten mocht dat nog niet zijn gedaan. bron: https://www.security.nl

De ontwikkelaar van wachtwoordmanager KeePass heeft een beveiligingsupdate aangekondigd voor een kwetsbaarheid (CVE-2023-32784) waardoor een aanvaller die toegang tot een systeem heeft het master password, op het eerste karakter na, in plain text uit het geheugen kan halen. Onlangs verscheen er op GitHub een tool genaamd "KeePass 2.X Master Password Dumper" waarmee de aanval is uit te voeren. "Het maakt niet uit waar het geheugen vandaan komt, het kan de process dump, swap file, hibernation file of RAM dump van het gehele systeem zijn. Het maakt niet uit of de workspace vergrendeld is. Het is ook mogelijk om het wachtwoord uit het RAM te halen nadat KeePass niet meer draait, hoewel de kans dat dit werkt afneemt naarmate het programma langer is gesloten", aldus de ontwikkelaar van de dumptool. Wanneer gebruikers het master password invoeren, blijft voor elk getypt karakter een string in het geheugen achter. Eenmaal gecreëerd zijn die lastig te verwijderen, zo stelt de ontwikkelaar. Wanneer bijvoorbeeld "Password" wordt getypt, blijven de strings: •a, ••s, •••s, ••••w, •••••o, ••••••r, •••••••d achter. De tool zoekt in de geheugendump naar deze patronen en toont voor elke positie in het wachtwoord het waarschijnlijke wachtwoordkarakter. De aanval werkt alleen tegen KeePass versie 2, de eerste versie van de wachtwoordmanager is niet kwetsbaar. Dominik Reichl, de ontwikkelaar van KeePass, heeft echter een oplossing in versie 2.54 verwerkt die begin juni zou moeten verschijnen. Gebruikers van KeePass stellen dat de impact van de kwetsbaarheid beperkt is, aangezien een aanvaller al toegang tot het systeem moet hebben en dan ook allerlei andere aanvallen kan uitvoeren. bron: https://www.security.nl

Verschillende switches van Cisco bevatten kritieke kwetsbaarheden waardoor een ongeauthenticeerde aanvaller de apparaten op afstand volledig kan overnemen. Proof-of-concept exploitcode waarmee er misbruik van de beveiligingslekken kan worden gemaakt is volgens Cisco al op internet te vinden. De in totaal vier kritieke kwetsbaarheden zijn aanwezig in de "Small Business Series Switches" van de netwerkfabrikant en bevinden zich in de webinterface van de apparaten. De webinterface blijkt requests niet goed te valideren. Een aanvaller kan door het versturen van een speciaal geprepareerd request naar de webinterface in het ergste geval willekeurige code als root op de apparaten uitvoeren en zo volledige controle over de switch krijgen. De impact van de vier beveiligingslekken (CVE-2023-20159, CVE-2023-20160, CVE-2023-20161 en CVE-2023-20189) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Cisco heeft firmware-updates beschikbaar gesteld om de problemen te verhelpen. bron: https://www.security.nl

Het op privacygerichte besturingssysteem Tails maakt voortaan gebruik van LUKS2 voor het versleutelen van volumes, omdat dit volgens de ontwikkelaars betere bescherming biedt dan LUKS1, wat hiervoor werd gebruikt. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Tails kan vanaf een usb-stick of dvd worden gestart. Het maakt gebruik van het Tor-netwerk om het ip-adres van de gebruiker af te schermen. Het besturingssysteem, dat wordt aangeraden door verschillende burgerrechtenbewegingen, privacy-experts en klokkenluider Edward Snowden, wordt tienduizenden keren per dag gestart. Wanneer Tails wordt uitgeschakeld zal alles wat de gebruiker heeft gedaan verdwijnen. Het is echter mogelijk om sommige bestanden, zoals documenten en bookmarks, en de configuratie, zoals wifi-wachtwoorden, in een versleutelde Persistent Storage op de Tails usb-stick op te slaan. Hiervoor maakt het besturingssysteem gebruik van de Linux Unified Key Setup (LUKS). Met de lancering van Tails 5.13 wordt nu standaard LUKS2 voor alle nieuwe Persistent Storage toegepast. Voor gebruikers van wie de Persistent Storage met LUKS1 is versleuteld zal met het verschijnen van Tails 5.14 begin juni ook een migratieplan beschikbaar komen voor het migreren naar LUKS2. Gebruikers kunnen zowel handmatig als via de automatische updatefunctie naar Tails versie 5.13 updaten. bron: https://www.security.nl

Google heeft een kritieke kwetsbaarheid in Chrome verholpen waardoor een aanvaller op afstand code op het systeem kan uitvoeren. Een gebruiker hoeft hiervoor alleen een gecompromitteerde of besmette website te bezoeken of een geïnfecteerde advertentie te zien krijgen. Er is geen verdere interactie vereist. Dergelijke aanvallen worden ook wel drive-by downloads genoemd. Het komt zelden voor dat Google een kritiek lek in Chrome verhelpt. Dit jaar werd één keer eerder een kritieke kwetsbaarheid in Chrome verholpen. Dat gebeurde eind februari. Het nu verholpen beveiligingsprobleem, aangeduid als CVE-2023-2721, bevindt zich in het "Navigation" onderdeel van de browser. De kwetsbaarheid kan leiden tot een use after free waardoor remote code execution mogelijk is. Het beveiligingslek werd gevonden en gerapporteerd door onderzoeker Guang Gong van securitybedrijf Qihoo 360. Gong ontdekte in het verleden vaker kritieke kwetsbaarheden in Chrome. Welke beloning de onderzoeker voor zijn bugmelding krijgt is nog niet bekend. Google Chrome 113.0.5672.126/.127 is beschikbaar voor Windows, voor Linux en macOS is versie 113.0.5672.126 verschenen. Updaten zal op de meeste systemen automatisch gebeuren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar. bron: https://www.security.nl

Het aantal populaire websites in Frankrijk dat trackingcookies plaatst is de afgelopen jaren gedaald, alsmede het aantal trackingcookies dat nog wel wordt geplaatst, zo stelt de Franse privacytoezichthouder CNIL, dat zich al enige tijd met de aanpak van online tracking bezighoudt. Toch blijkt uit onderzoek dat een meerderheid van de Fransen nog altijd akkoord geeft voor het plaatsen van cookies. CNIL ontwikkelde een tool genaamd CookieViz om het gebruik van trackingcookies op de duizend populairste websites in Frankrijk te monitoren. Daaruit blijkt dat het aantal websites dat zes of meer third-party cookies plaatst daalde van 24 procent in 2021 naar 12 procent in 2022. Verder daalde het aantal websites dat helemaal geen cookies van derden plaatst van 29 procent naar 20 procent. Ook het gemiddeld aantal trackingcookies dat websites plaatsen nam af. Op basis van de cijfers die via CookieViz werden verzameld controleerde de Franse privacytoezichthouder of websites zich wel aan de privacywetgeving houden. Dat bleek niet altijd het geval, want CNIL verstuurde 94 formele waarschuwingen. Daarnaast legde de toezichthouder in totaal 421 miljoen euro aan boetes op aan bedrijven die zonder toestemming cookies plaatsten, bezoekers hier onvoldoende over informeerden of geen optie gaven om cookies te weigeren. CookieViz is nu ook als browserplug-in voor eindgebruikers beschikbaar. bron: https://www.security.nl

Een datalek bij de Amerikaanse saas-aanbieder Brightly Software raakt drie miljoen gebruikers, zo heeft het bedrijf bekendgemaakt. Brightly Software is een dochteronderneming van Siemens en levert "intelligent asset management solutions" voor het beheer van gebouwen en onderhoud. Daarnaast biedt het ook een online cloudplatform voor onderwijsinstellingen genaamd SchoolDude. Dat wordt onder andere gebruikt voor beheer, gebouwautomatisering, inventarismanagement, alarmautomatisering en andere zaken. Onlangs wist een aanvaller toegang tot de gegevens van SchoolDude-gebruikers te krijgen. Het gaat om naam, e-mailadres, accountwachtwoord, telefoonnummer en naam van schooldistrict. Uit een datalekmelding die bij de procureur-genaal van de Amerikaanse staat Maine werd gedaan blijkt dat van in totaal drie miljoen gebruikers de gegevens zijn gestolen. Hoe de aanval kon plaatsvinden laat Brightly Software niet weten. Vanwege het datalek heeft het bedrijf besloten om van alle gebruikers het wachtwoord te resetten. bron: https://www.security.nl

Antivirusbedrijf Doctor Web blokkeert alle licenties die door online webshop AvirKey.com zijn verkocht, zo heeft het bedrijf aangekondigd. Volgens de virusbestrijder maakt de Russische webwinkel gebruik van illegale methodes voor het aanbieden van licenties tegen een gereduceerde prijs. Naast Doctor Web zijn er ook licenties voor de producten van andere antivirusleveranciers te vinden. Welke illegale wijze AvirKey.com toepast laat Doctor Web niet weten. Het antivirusbedrijf merkt op dat de webwinkel geen officiële partner is en roept mensen op om licenties alleen via de officiële webshop of gecertificeerde partners aan te schaffen. Verschillende antivirusbedrijven, waaronder ESET, waarschuwen gebruikers voor licenties die met hoge korting worden aangeboden, aangezien het hier om piraterij kan gaan. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kwetsbaarheid in de WordPress Advanced Custom Fields plug-in waardoor cross-site scripting (XSS) mogelijk is en aanvallers gegevens van ingelogde gebruikers kunnen stelen, zoals de beheerder, of code toevoegen die bezoekers naar andere websites doorstuurt. Dat laat internetbedrijf Akamai weten. Advanced Custom Fields is een plug-in voor WordPress die de mogelijkheden van het contentmanagementplatform verder uitbreidt, zodat gebruikers allerlei velden en andere onderdelen kunnen aanpassen. Op 5 mei berichtte securitybedrijf Patchstack dat er een XSS-kwetsbaarheid in de plug-in zit waardoor een ongeauthenticeerde aanvaller "gevoelige informatie" van ingelogde gebruikers zoals de beheerder kan stelen. Daarmee kan een aanvaller vergaande toegang tot de website krijgen. Voorwaarde is wel dat een aanvaller een ingelogde gebruiker van de website een speciaal geprepareerde url op de website laat bezoeken. Het kan dan bijvoorbeeld gaan om een reactie of een andere plek waar het mogelijk is voor een bezoeker om code in te voeren. Patchstack had het probleem op 2 mei aan de ontwikkelaars van de plug-in gemeld, die op 4 mei met een beveiligingsupdate kwamen. Vervolgens kwam Patchstack op 5 mei met een blogposting waarin het de details bekendmaakte en proof-of-concept exploitcode publiceerde. Nog geen 24 uur na het verschijnen van de details en code vonden de eerste aanvallen op kwetsbare websites plaats, aldus Akamai. Daarbij maken de aanvallers gebruik van de proof-of-concept exploit van Patchstack. Hoewel er inmiddels updates voor het probleem zijn verschenen, blijkt uit cijfers van WordPress dat een aanzienlijk aantal websites nog een kwetsbare versie van de plug-in draait. bron: https://www.security.nl