Captain Kirk

Netwerkbeveiliger Barracuda heeft klanten opgeroepen om hun Email Security Gateway direct te vervangen als aanvallers die via een recent zerodaylek met malware hebben besmet. Eerder werd klanten al opgeroepen om de apparaten niet meer te gebruiken. De Email Security Gateway is een product dat e-mailverkeer op malware, phishing en andere zaken controleert. Een kwetsbaarheid (CVE-2023-2868) in de gateway maakt het mogelijk voor een aanvaller, door het versturen van een speciaal geprepareerd .tar-bestand, systeemcommando's op de gateway uit te voeren en zo een backdoor te installeren. Het probleem wordt veroorzaakt doordat de gateway onvoldoende invoervalidatie uitvoert. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.4. Barracuda ontdekte het zerodaylek op 19 mei, nadat het een dag eerder voor verdacht verkeer van een gateway was gewaarschuwd. Verder onderzoek wees uit dat er sinds oktober 2022 misbruik van het lek is gemaakt om toegang tot gateways van klanten te krijgen. Daar installeerden de aanvallers allerlei malware om e-mailverkeer te monitoren en door middel van backdoors toegang te behouden. Op 21 mei rolde Barracuda een script naar alle gecompromitteerde gateways om "ongeautoriseerde toegangsmethodes" tegen te gaan. Een dag eerder was het bedrijf al met een beveiligingsupdate gekomen. Hoeveel gateways zijn getroffen laat Barracuda niet weten. Klanten werden onder andere via de gebruikersinterface van de gateway gewaarschuwd. In een laatste update over het incident stelt Barracuda dat klanten van wie de gateway is gecompromitteerd die meteen dienen te vervangen. Barracuda geeft geen verdere details waarom dit advies nu wordt gegeven. bron: https://www.security.nl

Er is een nieuwe versie van wachtwoordmanager KeePass verschenen die een kwetsbaarheid (CVE-2023-32784) verhelpt waardoor het master password uit het geheugen is te stelen. Wanneer gebruikers het master password invoeren, blijft voor elk getypt karakter een string in het geheugen achter. Eenmaal gecreëerd zijn die lastig te verwijderen. Een aanvaller die toegang tot het systeem heeft kan het wachtwoord vervolgens uit het geheugen halen. Het probleem doet zich voor met de manier waarop de tekstbox van KeePass voor het invoeren van het master password en andere wachtwoorden invoer verwerkt wanneer de gebruiker een wachtwoord invoert. Daardoor blijven er strings in het geheugen achter. Wanneer bijvoorbeeld "Password" wordt getypt, blijven de strings: •a, ••s, •••s, ••••w, •••••o, ••••••r, •••••••d in het geheugen achter. Onlangs verscheen er op GitHub een tool genaamd "KeePass 2.X Master Password Dumper" waarmee deze strings uit het geheugen zijn te halen. Een aanvaller moet wel toegang tot het systeem hebben om de aanval uit te voeren. Daarnaast werkt de aanval alleen tegen KeePass versie 2, de eerste versie van de wachtwoordmanager is niet kwetsbaar. Dominik Reichl, de ontwikkelaar van KeePass, heeft echter een oplossing in versie 2.54 verwerkt. Zo worden de betreffende strings, die uit het geheugen zijn te dumpen, in de meeste gevallen niet meer door KeePass gemaakt. Daarnaast creëert de wachtwoordmanager nu "dummy fragmenten" in het procesgeheugen. Die moeten het lastiger maken om met karakters die in het geheugen zijn te vinden het master password samen te stellen. De ontwikkelaar van de dumptool bevestigt dat deze twee maatregelen ervoor zorgen dat de aanval niet meer werkt. Gebruikers wordt aangeraden om naar KeePass 2.54 of nieuwer te updaten. Daarnaast adviseert de ontwikkelaar van de dumptool om het master password te wijzigen, crash dumps, hibernation bestand en swap file te verwijderen, verwijderde data te overschrijven en de computer te herstarten. bron: https://www.security.nl

Aanvallers maken steeds vaker gebruik van accounts van leveranciers en 'contractors' om netwerken bij organisaties binnen te dringen of verder te compromitteren, zo stelt Cisco op basis van eigen gegevens. Volgens het netwerkbedrijf krijgen supplychain-aanvallen veel aandacht, maar wordt misbruik van accounts van derde partijen vaak over het hoofd gezien. Het account van een leverancier is voor aanvallers veel handiger dan andere accounts met vergelijkbare rechten, stelt onderzoeker Nick Biasini. Leveranciers kunnen onregelmatig en op ongewone tijden op de omgeving inloggen, waardoor het lastig is voor securityteams om een baseline voor dergelijke accounts op te stellen. Ook kan het lastig zijn om afwijkende locaties te detecteren wanneer organisaties met freelance consultants werken die vanuit andere gebieden of landen inloggen. Biasini merkt op dat de aanvallers de initiële toegang tot een netwerk vaak via een low-privilege account weten te verkrijgen, maar dan snel het account van een leverancier proberen te gebruiken om verdere toegang te krijgen. Cisco adviseert om accounts van leveranciers die niet in gebruik zijn uit te schakelen, deze accounts zo min mogelijk rechten te geven, leveranciers onderdeel te maken van 'remote access health checks' en de toegang van leveranciers via een 'jump box' of aparte applicatie te regelen. bron: https://www.security.nl

Google heeft een noodpatch uitgebracht voor een actief aangevallen zerodaylek in Chrome. De kwetsbaarheid bevindt zich in V8, de JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript en waarin met name vorig jaar al tal van andere zerodaylekken werden gevonden. Ook het eerste zerodaylek van dit jaar in Chrome, waarvoor in januari een update verscheen, bevond zich in V8. De impact van de kwetsbaarheid, aangeduid als CVE-2023-3079, is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google geeft geen details over de doelwitten van de waargenomen aanvallen en hoe ze precies plaatsvinden. De kwetsbaarheid werd gevonden door Clément Lecigne, een onderzoeker van Googles Threat Analysis Group. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. Vorig jaar werden in Chrome negen zerodaylekken verholpen, waarvan vijf in V8. Google Chrome 114.0.5735.110 is beschikbaar voor Windows. Voor macOS en Linux verscheen versie 114.0.5735.106. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar. bron: https://www.security.nl

De criminelen achter de Clop-ransomware, waar de Universiteit Maastricht slachtoffer van werd, zitten ook achter de zeroday-aanvallen via een kwetsbaarheid in MOVEit Transfer, zo claimt Microsoft. Eerder maakte de groep ook gebruik van zerodays Fortra GoAnywhere en Accellion File Transfer Appliance (FTA), en een bekende kwetsbaarheid in PaperCut, voor het stelen van gegevens. Vervolgens worden de organisaties met de gestolen data afgeperst. GoAnywhere, FTA en MOVEit Transfer zijn applicaties voor het uitwisselen van bestanden. Allerlei organisaties maken er gebruik van om onder andere vertrouwelijke informatie binnen de organisatie te delen. PaperCut levert een printmanagementserver waarmee organisaties allerlei printgerelateerde zaken kunnen beheren, zoals het inzien van het aantal geprinte pagina's, beheer van print queues, toevoegen van watermerken en access control. Maken ransomwaregroepen vaak gebruik van bekende kwetsbaarheden voor het aanvallen van organisaties, in het geval van GoAnywhere, FTA en MOVEit Transfer werden zerodays ingezet, waarvoor op het moment van de aanvallen nog geen update voor beschikbaar is. De aanvallen gericht op GoAnywhere en FTA zorgden voor een explosie aan datalekken. Hoeveel organisaties door de zeroday in MOVEit Transfer zijn getroffen is nog niet bekend. bron: https://www.security.nl

Gigabyte heeft bios-updates uitgebracht om een 'backdoor' van allerlei moederborden te verwijderen. Eind mei stelde securitybedrijf Eclypsium dat er in een groot aantal modellen moederborden van Gigabyte een backdoor aanwezig is waardoor een aanvaller systemen met malware kan infecteren. De UEFI-firmware die op de moederborden draait bevat een Windows executable die bij het opstarten van het systeem naar de schijf van de computer wordt geschreven. Een techniek die vaak door UEFI-malware en backdoors wordt toegepast, aldus Eclypsium. Het gaat om een .NET-applicatie die vervolgens aanvullende code downloadt. Het gaat om de update-service die onderdeel van het Gigabyte App Center is, een programma voor het updaten van apps, drivers en bios. Afhankelijk van de configuratie gebeurt het downloaden van de code via het onversleutelde HTTP. Een aanvaller kan via een man-in-the-middle (MITM) aanval zo andere bestanden naar de gebruiker sturen. Een dergelijke aanval is ook bij HTTPS mogelijk, aangezien de controle van het servercertificaat niet goed is geïmplementeerd, waardoor ook hier een MITM-aanval mogelijk is. Verder blijkt de firmware de digitale handtekening van bestanden niet te controleren of andere validatie toe te passen. Eclypsium spreekt in het eigen onderzoek van een backdoor, maar Gigabyte heeft het over kwetsbaarheden. De moederbordfabrikant heeft nu updates uitgebracht die de problemen moet verhelpen. Zo worden digitale handtekeningen en certificaten nu beter gecontroleerd. "Dit garandeert dat bestanden alleen van servers met geldige en vertrouwde certificaten worden gedownload", aldus Gigabyte. Zo'n 270 modellen moederborden hebben volgens Eclypsium met het probleem te maken. Voor moederborden met de Intel 700/600 en AMD 600/500/400 chipsets zijn er nu updates te vinden. bron: https://www.security.nl

Zyxel adviseert organisaties die gebruikmaken van de firewalls van de fabrikant om de beheerinterface aan de WAN (wide area network) kant van het apparaat uit te schakelen. Aanleiding zijn de recente aanvallen op firewalls van Zyxel. Eind mei kwam Zyxel met beveiligingsupdates voor twee kritieke kwetsbaarheden waardoor firewalls op afstand zijn over te nemen. Een aantal dagen later bleek een botnet op grote schaal kwetsbare firewalls te compromitteren. Securitybedrijf Rapid7 spreekt van grootschalig misbruik. Het bedrijf telde 42.000 Zyxel-apparaten die vanaf internet benaderbaar zijn. Het gaat hierbij alleen om firewalls waarvan de webinterface vanaf het internet is te benaderen, wat niet de standaardinstelling is. "Aangezien de kwetsbaarheid in de vpn-service aanwezig is, die standaard op het WAN staat ingeschakeld, denken we dat het daadwerkelijke aantal blootgestelde apparaten veel groter is", aldus onderzoeker Drew Burton. Volgens securitybedrijf Censys zijn erop internet ruim 24.000 potentieel kwetsbare firewalls en vpn's van Zyxel te vinden die mogelijk kwetsbaar zijn. Meer dan 86 procent daarvan heeft het IKE (Internet Key Exchange) protocol ingeschakeld staan dat voor misbruik van het beveiligingslek vereist is. Zyxel adviseert klanten nu om HTTP/HTTPS-services die voor het beheer van de apparaten wordt gebruikt aan de WAN-kant uit te schakelen, zodat ze niet vanaf het internet benaderbaar zijn. Daarnaast wordt aangeraden, wanneer de IPSec VPN-functie niet wordt gebruikt, om UDP-poorten 500 en 4500 uit te schakelen. bron: https://www.security.nl

Beste Agie, Heb je al eens geprobeerd je browser even op te schonen. Dus de geschiedenis en de cache te legen? Dit wil het probleem wel eens oplossen.

In de Chrome Web Store zijn achttien malafide extensies gevonden die bij elkaar 55 miljoen gebruikers hebben en JavaScript op elke bezochte website injecteren. Dat laat Wladimir Palant weten, beveiligingsonderzoeker en ontwikkelaar van de bekende adblocker Adblock Plus. Gebruikers van de extensies lieten al bijna twee jaar geleden weten dat er iets mis was. Zo zorgde de malafide code ervoor dat deze gebruikers naar andere websites werden doorverwezen, bijvoorbeeld als ze een bepaalde zoekmachine wilden gebruiken. Of dat nog steeds het geval is, is onduidelijk, merkt Palant op. Twee weken geleden publiceerde de onderzoeker al een artikel over de aanwezigheid van de malafide code in de PDF Toolbox-extensie. Palant waarschuwde Google, maar de extensie is nog steeds in de Chrome Web Store te vinden en kreeg na de publicatie van zijn bevindingen aanzienlijk meer gebruikers. Ook de andere malafide extensies zijn niet verwijderd. "Alleen omdat de extensies twee jaar geleden geld verdienden met het redirecten van zoekpagina's, wil niet zeggen dat dit nog steeds het geval is. Er zijn veel gevaarlijkere dingen die je kunt doen met de mogelijkheid om JavaScript in elke website te injecteren", zo waarschuwt de onderzoeker. Het gaat onder andere om de extensies Autoskip for Youtube, Crystal Ad block, Brisk VPN, Clipboard Helper, Maxi Refresher, Quick Translation, Easyview Reader view en Zoom Plus. bron: https://www.security.nl

Mozilla stopt volgend jaar september met de ondersteuning van Firefox op Windows 7, zo heeft de softwareontwikkelaar aangekondigd. Ook de support van meerdere macOS-versies wordt gestopt. Terwijl andere browsers, zoals Google Chrome en Microsoft Edge, al niet meer op de oude Windowsversie worden ondersteund, besloot Mozilla om Firefox-gebruikers op Windows 7 wel van beveiligingsupdates te voorzien. Nu is bekendgemaakt dat ook deze support zal stoppen. Firefox versie 115 is de laatste ondersteunde versie voor gebruikers van Windows 7, Windows 8 en Windows 8.1. De ESR-versie van Firefox 115 wordt tot en met september 2024 van beveiligingsupdates voorzien. Daarna zullen er geen patches meer verschijnen en adviseert Mozilla om naar een nog wel ondersteunde Windowsversie te migreren. Ook voor macOS 10.12, 10.13 en 10.14 zal Firefox 115 ESR de laatste ondersteunde versie zijn. Volgens cijfers van Mozilla draait 13 procent van de Firefox-gebruikers nog op Windows 7. bron: https://www.security.nl

In een groot aantal moederborden van fabrikant Gigabyte is een backdoor aanwezig waardoor het mogelijk is om systemen met malware te infecteren, zo claimt securitybedrijf Eclypsium. Firmware-updates van Gigabyte om het probleem te verhelpen zijn nog niet beschikbaar. Het probleem is in meer dan 250 modellen moederborden van Gigabyte aanwezig, aldus de onderzoekers. De UEFI-firmware die op de moederborden draait bevat een Windows executable die bij het opstarten van het systeem naar de schijf van de computer wordt geschreven. Een techniek die vaak door UEFI-malware en backdoors wordt toegepast, aldus Eclypsium. Het gaat om een .NET-applicatie die vervolgens aanvullende code downloadt. Afhankelijk van de configuratie gebeurt dat via het onversleutelde HTTP. Een aanvaller kan via een man-in-the-middle (MITM) aanval zo andere bestanden naar de gebruiker sturen. Een dergelijke aanval is ook bij HTTPS mogelijk, aangezien de controle van het servercertificaat niet goed is geïmplementeerd, waardoor ook hier een MITM-aanval mogelijk is. Verder blijkt de firmware de digitale handtekening van bestanden niet te controleren of andere validatie toe te passen. "Als je zo'n moederbord hebt moet je je zorgen maken over het feit dat er zonder je betrokkenheid iets op onveilige wijze van het internet wordt gedownload", zegt John Loucaides van Eclypsium tegenover Wired. "De meeste mensen vinden het niet fijn als ze worden gepasseerd en hun machine overgenomen." Eclypsium stelt dat het Gigabyte heeft gewaarschuwd en de moederbordfabrikant aan een oplossing werkt. In de tussentijd krijgen gebruikers het advies om de “APP Center Download & Install" feature in de UEFI/BIOS uit te schakelen, een BIOS-wachtwoord in te stellen zodat de feature niet is in te schakelen, verschillende domeinen te blokkeren en te controleren of er nieuwe firmware-updates beschikbaar zijn. bron: https://www.security.nl

De Belgische overheid heeft twaalf miljoen euro uitgetrokken om de cyberveiligheid van mkb-bedrijven te versterken. Daarnaast is er een campagne gestart en kunnen ondernemers een "cyberscan" doen. "‘De gevolgen van een aanval kunnen een grote impact hebben. Dit geldt op financieel vlak, maar ook voor het vertrouwen van de klanten dat verloren gaat", zegt de Belgische minister van Telecom Petra De Sutter. Volgens De Stutter beschikken mkb-bedrijven niet altijd over voldoende middelen en kennis om hun systemen en gegevens te beveiligen. "Het is daarom onze rol om hen te informeren en te ondersteunen." Vorig jaar juli deed de Belgische overheid een oproep voor het aanmelden van projecten die de cyberweerbaarheid van mkb'ers vergroten. In totaal zijn er twaalf projecten gekozen (pdf). De projecten moeten technische en organisatorische tools aanreiken om de cyberveiligheid van mkb-ondernemingen te verhogen en hen hierin zo goed mogelijk begeleiden. Het gaat onder andere om het gebruik van software voor netwerkisolatie, het opdoen van vaardigheden en het uitvoeren van audits. "De voordelen van digitalisering zijn enorm, maar we moeten ook de risico’s voor de economische actoren in het land ervan inperken. Deze projectoproepen dragen daar gegarandeerd aan bij", besluit De Sutter. bron: https://www.security.nl

Een zerodaylek in de Barracuda Email Security Gateway is zeker sinds oktober 2022 misbruikt voor het stelen van data bij organisaties, zo heeft de netwerkbeveiliger zelf bekendgemaakt. Die waarschuwt klanten om gecompromitteerde gateways niet te gebruiken en met de klantensupport contact op te nemen voor een nieuwe gateway. Vorige week kwam Barrucada met een beveiligingsupdate voor de kwetsbaarheid, die via malafide .tar-bestanden is te misbruiken. De Email Security Gateway is een product dat e-mailverkeer op malware, phishing en andere zaken controleert. Het beveiligingslek (CVE-2023-2868) bevindt zich in een module die bijlagen van inkomende e-mail scant. Een aanvaller kan door het versturen van een speciaal geprepareerd .tar-bestand systeemcommando's op de gateway uitvoeren en zo een backdoor installeren. Het probleem wordt veroorzaakt doordat de gateway onvoldoende invoervalidatie uitvoert. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.4. In een update over het zerodaylek laat Barracuda weten dat het de kwetsbaarheid op 19 mei ontdekte, nadat het een dag eerder voor verdacht verkeer van een gateway was gewaarschuwd. Verder onderzoek wees uit dat er sinds oktober 2022 misbruik van het lek is gemaakt om toegang tot gateways van klanten te krijgen. Daar installeerden de aanvallers allerlei malware om e-mailverkeer te monitoren en toegang te behouden. Het gaat onder andere om een getrojaniseerde module, die door Barracuda Saltwater wordt genoemd, en als een backdoor fungeert waardoor het voor aanvallers mogelijk is om willekeurige bestanden te up- en downloaden, commando's uit te voeren of de gateway als proxy te gebruiken. Daarnaast installeerden de aanvallers ook een andere backdoor genaamd SeaSpy die zich als legitieme Barracuda Networks service voordoet en verkeer op poort 25 (SMTP) kan monitoren. Een tweede malafide module die de aanvallers installeerden, met de naam SeaSide, monitort SMTP-commando's en is te gebruiken voor het opzettten van een reverse shell. Barracuda adviseert klanten om gecompromitteerde gateways niet meer te gebruiken en alle inloggegevens voor de gateway te vervangen, wat ook geldt voor private TLS-certificaten. Tevens moeten klanten hun logbestanden op Indicators of Compromise controleren. bron: https://www.security.nl

WordPress.org heeft besloten om een beveiligingsupdate voor de Jetpack-plug-in wegens een kritieke kwetsbaarheid op vijf miljoen websites te installeren. Jetpack is een door Automattic ontwikkelde plug-in voor het maken en terugzetten van back-ups, blokkeren van spam, scannen op malware, monitoren van up- en downtime, beschermen tegen bruteforce-aanvallen en het inschakelen van tweefactorauthenticatie. Via de kwetsbaarheid, die al sinds 2012 in de code van de plug-in aanwezig is, kan een aanvaller elk bestand van een WordPress-installatie aanpassen. Automattic is ook het bedrijf achter WordPress.com, waar tegen betaling WordPress-sites zijn te hosten. WordPress.org is de organisatie achter de opensourceversie van WordPress, het gelijknamige contentplatform dat volgens W3Techs voor 43,1 procent van alle websites op internet wordt gebruikt. Automattic heeft in overleg met het WordPress.org Security Team besloten om de update voor de kwetsbaarheid in Jetpack automatisch uit te rollen. De plug-in is op meer dan vijf miljoen websites geinstalleerd. Inmiddels hebben meer dan 4,3 miljoen websites de update ook ontvangen, zo blijkt uit cijfers van WordPress.org. Automattic zegt dat het niet bekend is met misbruik van het beveiligingslek, maar stelt dat nu de patch is verschenen aanvallen kunnen gaan plaatsvinden. WordPress.org heeft sinds WordPress versie 3.7 de mogelijkheid om beveiligingsupdates voor plug-ins geforceerd te installeren. In 2021 werd op deze manier ook al een update voor Jetpack uitgerold. Eerder stelde een ontwikkelaar van het WordPress Team dat het geforceerd installeren van updates al meerdere keren wegens kwetsbaarheden was toegepast. Iets wat in het verleden voor kritiek van gebruikers zorgde, die het automatisch updaten van hun plug-ins niet hadden ingeschakeld. bron: https://www.security.nl

Het Duitse testlab AV-TEST Institute gaat virusscanners vaker op Windows 11 testen, zo laat oprichter en ceo Andreas Marx aan Security.NL weten. Vandaag verscheen pas de tweede test waarbij de nieuwste Windowstelg als testplatform is gebruikt. De eerste test vond vorig jaar augustus plaats. Windows 10 is volgens StatCounter met een marktaandeel van 71 procent de populairste Windowsversie, gevolgd door Windows 11 op 23 procent. Voor de nieuwste test, die in maart en april plaatsvond, koos AV-Test om Windows 11 te gebruiken. "Windows 11 wordt steeds vaker gebruikt, dus de tijd is gekomen om van tijd tot tijd van Windows 10 naar Windows 11 te gaan en weer terug." Voor de test vergeleek het testlab in totaal zestien antiviruspakketten voor eindgebruikers. Daarbij werd gekeken naar de detectie van malware, prestaties en bruikbaarheid. Voor de drie onderdelen konden de pakketten bij elkaar 18 punten verdienen. Bij de detectie van malware werd gekeken naar 326 "zero-day" malware-exemplaren en bijna 16.000 malware-exemplaren die in de laatste vier weken voor de test werden ontdekt. Voor de detectie van de zero-day malware, wat in de definitie van AV-Test onbekende, nieuwe malware is, werd er een gemiddelde score van 99,4 procent gehaald. De test met de ongeveer 16.000 malware-exemplaren leverde een gemiddelde detectiescore van 100 procent op. Avast, AVG, Bitdefender, F-Secure, Kaspersky, McAfee, Microsoft, Norton en PC Matic weten voor beide detectietests 100 procent te scoren. Om op dit onderdeel zes punten te scoren was het niet noodzakelijk om ook alle malware te detecteren. Protected.net, Microwold en Malwarebytes zetten met 5 punten de laagste score neer. Bij het tweede onderdeel, de prestaties, werd naar zaken als het bezoeken van websites, downloaden van bestanden, installeren en draaien van software en het kopiëren van bestanden gekeken en welke invloed de pakketten hierop hadden. Elf pakketten halen de maximale score van zes punten, gevolgd door de overige virusscanners met 5,5 punten. Volgens AV-Test laat dit zien dat virusscanners tegenwoordig nog nauwelijks impact op systemen hebben. Tijdens het laatste onderdeel van de test, de bruikbaarheid, kwamen de 'false positives' aan bod. In deze gevallen beschouwt de virusscanner schone software als malware of schone websites als besmet. Iets wat als het bijvoorbeeld om systeembestanden gaat vervelende gevolgen kan hebben. Voor de test werden 1,2 miljoen schone websites en bestanden gebruikt. Alleen PC Matic gaat op dit onderdeel met vier punten onderuit, de overige pakketten scoren 5,5 of 6 punten. Van de zestien virusscanners worden er tien als "Top product" bestempeld. Het gaat onder andere om de gratis antiviruspakketten Avast Free Antivirus en Microsoft Defender Antivirus. De laatste is standaard onderdeel van Windows 11. PC Matic eindigt met zestien punten onderaan. Volgens Marx werken virusscanners zowel goed op Windows 10 als Windows 11, maar waren erbij de test op Windows 10 een paar meer pakketten met het label "Top product". bron: https://www.security.nl

Tijdens de afgelopen Pwn2Own-wedstrijd lieten verschillende onderzoekers zien hoe ze de Sonos One Speaker op afstand konden overnemen. Details zijn nu openbaar gemaakt, waaruit blijkt dat twee van de kwetsbaarheden het uitvoeren van code als root mogelijk maken. Pwn2Own is een jaarlijkse wedstrijd waarbij onderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden in veelgebruikte software en hardware. Afgelopen december vond het evenement in Toronto plaats en was de Sonos One Speaker één van de doelwitten. In totaal besloten drie onderzoeksteams de smart speaker aan te vallen. Al de aanvallen vonden plaats vanuit het netwerk waar de Sonos onderdeel van is. Als eerste blijkt dat alle drie de teams een kwetsbaarheid gebruiken voor het verkrijgen van informatie. Twee van de teams maken hierbij gebruik van de SMB-functionaliteit van de Sonos. Vervolgens blijkt het met de verkregen informatie mogelijk om via een speciaal geprepareerd SMB directory query commando willekeurige code als root op de smart speaker uit te voeren. De onderzoekers van DEVCORE Team kiezen een andere aanpak, waarbij ze voor het verkrijgen van de benodigde informatie zich eerst als een "rogue" Sonos-speaker voordoen. De verkregen informatie wordt daarna gebruikt voor het versturen van een speciaal geprepareerd .ts-audiobestand, waarmee het de onderzoekers via een kwetsbaarheid in de MPEG-TS parser ook lukt om willekeurige code als root uit te voeren. De impact van de twee kwetsbaarheden die code execution mogelijk maken is op een schaal van 1 tot en met 10 beoordeeld met een 8.8. De drie teams kregen bij elkaar een beloning van 105.000 dollar voor de aanvallen op de Sonos-speaker. De gebruikte kwetsbaarheden zijn verholpen in versie 15.2 van de S2-app en versie 117.1 van de S1-app. bron: https://www.security.nl

Ruim 47.000 routers van fabrikant DrayTek met een Nederlands ip-adres zijn vanaf het internet toegankelijk via HTTP of SSH, zo stelt securitybedrijf Censys op basis van een scan. Ook vijfhonderd Zyxel-routers met een Nederlands ip-adres zijn op deze manier vanaf het internet te benaderen. Wereldwijd werden 510.000 "soho-routers" met een publiek toegankelijke HTTP-managementpoort of SSH-service aangetroffen. Aanleiding voor het onderzoek was berichtgeving van Microsoft en de Amerikaanse, Australische, Britse, Canadese en Nieuw-Zeelandse autoriteiten over een groep aanvallers die het op Amerikaanse organisaties in de vitale infrastructuur heeft voorzien. De aanvallers weten volgens Microsoft op een nog onbekende manier via Fortinet FortiGuard-apparaten toegang tot de netwerken van hun slachtoffers te krijgen. De groep maakt daarnaast gebruik van gecompromitteerde routers en andere "SOHO network edge devices" waarvan de beheerdersinterface via HTTP of SSH vanaf internet toegankelijk is om het eigen verkeer te proxyen. Het gaat om apparaten van fabrikanten Asus, Cisco RV, Draytek Vigor, FatPipe IPVPN/MPVPN/WARP, Fortinet Fortigate, Netgear Prosafe en Zyxel USG-apparaten. Hoe de routers worden gecompromitteerd is ook onbekend, maar het toegankelijk maken van de beheerdersinterface vergroot het aanvalsoppervlak, aldus Censys. Het bedrijf besloot te kijken hoeveel van de genoemde apparaten vanaf internet via HTTP of SSH te bereiken zijn. Het grootste aantal apparaten betreft routers van fabrikant DrayTek. Van deze routers bevinden zich er 47.666 in Nederland. Censys roept beheerders van deze apparaten op om ervoor te zorgen dat de beheerdersinterface niet vanaf het publieke internet toegankelijk is. bron: https://www.security.nl

De makers van de Brave-browser hebben een nieuwe feature gelanceerd die het browsegedrag van gebruikers voor anderen die toegang tot de smartphone of computer hebben moet afschermen. Via Request Off the Record kunnen websites aangeven dat de inhoud "gevoelig" is. Vervolgens zal Brave de gebruiker vragen of de betreffende site in de Request Off the Record-mode moet worden geladen. Daarbij wordt er niets over het bezoek aan de website op de harde schijf opgeslagen. Alle andere bezochte websites worden wel gewoon behandeld, waardoor er voor anderen niet zichtbaar is dat er een bepaalde website is bezocht. Als voorbeeld voor het gebruik van de feature noemt Brave onder andere mensen die met huiselijk geweld te maken hebben. De feature is wel afhankelijk van websites. Die moeten een specifieke header meesturen of zich voor de preload-list van Brave aanmelden. Brave hoopt dan ook dat Request Off the Record een standaard kan worden zodat ook andere browsers er gebruik van kunnen maken en dat meer websites de feature zullen omarmen. bron: https://www.security.nl

De commerciële Predator-spyware die aan overheden wordt geleverd blijkt slachtoffers op allerlei manieren af te luisteren, zo hebben onderzoekers van Cisco ontdekt. De Predator-spyware is te vergelijken met de beruchte Pegasus-spyware en werd eind 2021 voor het eerst ontdekt door onderzoekers van Citizen Lab. Vorig jaar meldde Google dat de spyware vijf verschillende zerodaylekken gebruikte om Androidtelefoons te infecteren. De spyware is echter ook beschikbaar voor iOS. Details over de werking van de spyware waren niet beschikbaar, maar Cisco heeft nu een analyse gepubliceerd. Daaruit blijkt dat Predator gesprekken die via de microfoon, oordopjes en voip worden gevoerd kan afluisteren. Ook kan de spyware eigen certificaten voor certificaatautoriteiten aan de certificaatstore toevoegen, waardoor het mogelijk is om TLS-verkeer binnen de browser te ontsleutelen. Verder kan Predator willekeurige code op het systeem uitvoeren, bepaalde applicaties verbergen of voorkomen dat die bij een herstart van de telefoon worden geladen. Tevens verzamelt Predator allerlei informatie over de besmette telefoon, zoals adresboek en gespreksgeschiedenis. De onderzoekers van Cisco denken dat de spyware ook in staat is om de camera in te schakelen, geolocatiegegevens te verzamelen en het kan doen lijken alsof de telefoon is uitgeschakeld, terwijl die in werkelijkheid nog actief is. De functionaliteit zou mogelijk in een module aanwezig zijn waar de onderzoekers niet de beschikking over hebben, maar waar wel in de onderzochte code naar werd verwezen. Google stelde eerder dat de aanpak van commerciële surveillancebedrijven een robuuste en gemeenschappelijke inzet van inlichtingenteams, netwerkbeveiligers, academische onderzoekers en techplatformen vereist. Citizen Lab waarschuwde dat het ontbreken van internationale en binnenlandse wetgeving en waarborgen ervoor zorgt dat journalisten, mensenrechtenactivisten en oppositiegroepen in de nabije toekomst slachtoffer van dergelijke spyware zullen blijven. bron: https://www.security.nl

Firewalls van fabrikant Zyxel worden op grote schaal gecompromitteerd door een Mirai-botnet, zo stelt beveiligingsonderzoeker Kevin Beaumont. De aanvallers maken misbruik van een kritieke kwetsbaarheid waarvoor Zyxel eind april beveiligingsupdates uitbracht. Destijds werden klanten door de fabrikant opgeroepen om de patch ook te installeren. Via de kwetsbaarheid, aangeduid als CVE-2023-28771, kan een ongeauthenticeerde aanvaller door middel van speciaal geprepareerd netwerkverkeer OS-commando's op de firewall uit te voeren. Onlangs publiceerde securitybedrijf Rapid7 een proof-of-concept exploit op internet en waarschuwde dat er nog geen aanvallen waren waargenomen, maar dat dit waarschijnlijk slechts een kwestie van tijd was. Rapid7 detecteerde 42.000 Zyxel-firewalls waarvan de webinterface vanaf het internet toegankelijk is en mogelijk risico lopen, hoewel er ook grotere aantallen zijn genoemd. Volgens Beaumont is een Mirai-botnet nu begonnen om kwetsbare firewalls aan te vallen en die onderdeel van het botnet te maken. Door Mirai besmette apparaten worden onder andere voor het uitvoeren van ddos-aanvallen gebruikt. Deze week waarschuwde Zyxel ook voor twee andere kritieke kwetsbaarheden waardoor firewalls zijn over te nemen. bron: https://www.security.nl

Inderdaad, ik ben ook bang dat je accu hier minder origineel is dan aangegeven. De laptop en accu werken niet goed samen, accu is opeens op maar systeem en dus ook jij zelf krijgt geen waarschuwing.

PCH alweer 17 waarvan ik er geloof ik ook al 15 van mee mag maken...Gefeliciteerd!

Firewalls van Zyxel bevatten twee kritieke kwetsbaarheden waardoor een ongeauthenticeerde aanvaller de apparaten op afstand kan overnemen. De netwerkfabrikant heeft patches uitgebracht om de problemen (CVE-2023-33009 en CVE-2023-33010) te verhelpen. Het gaat in beide gevallen om buffer overflows waardoor een denial of service of remote code execution mogelijk is. Een aanvaller hoeft hiervoor niet eerst over inloggegevens te beschikken, wat de impact van beide beveiligingslekken vergroot. Updates zijn beschikbaar gemaakt voor de Zyxel ATP, USG FLEX, USG FLEX50(W) / USG20(W)-VPN, VPN en ZyWALL/USG. De impact van beide kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Vorig jaar waarschuwde de Amerikaanse geheime dienst NSA nog voor actief misbruik van een andere kritieke kwetsbaarheid in de firewalls van Zyxel. Dit probleem werd vier dagen na het verschijnen van de update misbruikt. bron: https://www.security.nl

Bedrijven en organisaties die gebruikmaken van de Barracuda Email Security Gateway zijn het doelwit geworden van een zeroday-aanval met een .tar-bestand, waarmee aanvallers toegang tot de gateway kregen, zo heeft de netwerkbeveiliger bekendgemaakt. Barracuda ontdekte op 19 mei een kwetsbaarheid in de Email Security Gateway waarvoor het op 20 en 21 mei beveiligingsupdates uitbracht. Al voor het uitkomen van de patches maakten aanvallers misbruik van het beveiligingslek, dat wordt aangeduid als CVE-2023-2868. De kwetsbaarheid zorgt ervoor dat een aanvaller door het versturen van een speciaal geprepareerd .tar-bestand naar de e-mail gateway systeemcommando's op het apparaat kan uitvoeren. Het probleem wordt veroorzaakt doordat de gateway onvoldoende invoervalidatie uitvoert. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.4. Barracuda heeft de patches automatisch onder klanten uitgerold en zegt getroffen klanten te hebben geïnformeerd. Details over de aanvallen, het aantal getroffen klanten en in welke sectoren en regio's die zich bevinden zijn niet gegeven. bron: https://www.security.nl

GitLab roept organisaties op om een kritieke path traversal-kwetsbaarheid, waardoor een ongeauthenticeerde aanvaller willekeurige bestanden op de server kan lezen, zo snel mogelijk te patchen. De impact van het beveiligingslek, aangeduid als CVE-2023-2825, is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. GitLab is een online DevOps-tool waarmee ontwikkelaars samen software kunnen ontwikkelen. Organisaties kunnen GitLab op hun eigen server of servers installeren. Het probleem is aanwezig in zowel de GitLab Community Edition (CE) als de Enterprise Edition (EE) versie 16.0.0. Eerdere versies zijn niet kwetsbaar. Via het lek kan een ongeauthenticeerde gebruiker via path traversal willekeurige bestanden op de server lezen als een bijlage in een publiek project aanwezig dat in minstens vijf groepen is ingebed. Bij path traversal is het mogelijk voor een aanvaller om toegang tot mappen en bestanden te krijgen waar hij eigenlijk geen toegang toe zou moeten hebben. GitLab geeft echter geen verdere details over de kwetsbaarheid. Wel raadt het organisaties ten sterkste aan om versie 16.0.1 zo snel mogelijk te installeren. bron: https://www.security.nl