Captain Kirk

Ik werk zelf met o.a. een Behringer en weet dat wanneer de bit- en samplerate (p/ms) daar niet juist staat er ook een gekraak kan verschijnen. Dus even kijken wat het aanpassen van die instellingen doen kan geen kwaad. Een andere hersenkronkel: ik zie dat je met normale kabels werkt omdat je paneel geen USB-poorten heeft. Al een een kabel met zo een magneetblokje erom geprobeerd?Dit kan soms ook nog wel eens schelen.

Aangezien er niet meer gereageerd is ga ik er vanuit dat je probleem is opgelost en sluit ik het topic. Wil je het toch weer open hebben, stuur dan even een pm.

Vpn-provider Proton VPN heeft een permanente kill switch aan de Linux- en Windows-applicaties toegevoegd om het lekken van het ip-adres van gebruikers tegen te gaan. De software beschikte al enige tijd over een kill switch die al het externe netwerkverkeer van en naar het apparaat blokkeert totdat de applicatie weer verbinding met dezelfde vpn-server heeft. Dit moet voorkomen dat het echte ip-adres van de gebruiker lekt als de vpn-verbinding even wegvalt. Deze kill switch werkt alleen wanneer de gebruiker een vpn-verbinding start en wordt uitgeschakeld wanneer de gebruiker handmatig de vpn-verbinding verbreekt of het apparaat uitzet. De nu geïntroduceerde permanente kill switch voorkomt alle uitgaande en inkomende verbindingen buiten de vpn-interface. "Dit houdt in dat je apparaat geen verbinding met internet heeft tenzij je eerst verbinding met onze vpn-servers maakt", aldus Proton VPN. Dit geldt ook wanneer de gebruiker handmatig de vpn-verbinding verbreekt of het apparaat uitschakelt of opstart. De Windowsapplicatie maakt hiervoor gebruik van het Windows Filtering Platform, om zo via bepaalde filters alle verbindingen buiten de vpn-interface om te blokkeren. Bij de Linux-applicatie wordt gebruikgemaakt van een dummy netwerkinterface om al het uitgaande verkeer naar door te sturen en zo verbindingen te blokkeren. De Android-app van Proton VPN beschikte al enige tijd over een kill switch die nagenoeg op dezelfde manier als de permanente kill switch werkt. bron: https://www.security.nl

Leverancier van cryptowallets Trezor waarschuwt gebruikers via Twitter voor phishingaanvallen die op dit moment plaatsvinden. Gebruikers worden via sms, e-mail en telefonisch benaderd dat er een beveiligingsincident bij Trezor heeft plaatsgevonden en gebruikers via een meegestuurde link een "beveiligingsprocedure" moeten doorlopen voor het beveiligen van hun cryptovaluta. Trezor stelt dat er geen aanwijzingen zijn dat er recentelijk een datalek bij het bedrijf heeft plaatsgevonden waarbij gegevens van gebruikers zijn buitgemaakt. Daarnaast laat het bedrijf weten dat het gebruikers nooit telefonisch of via sms zal benaderen. Vorig jaar april liet Trezor weten dat een aanvaller erin was geslaagd om toegang te krijgen tot een interne tool van e-mailmarketingplatform MailChimp. Trezor gebruikt het platform van MailChimp voor het versturen van nieuwsbrieven. De aanvaller kreeg via MailChimp toegang tot de gegevens van Trezor-gebruikers die zich voor de nieuwsbrief hadden opgegeven. Vervolgens werden buitgemaakte e-mailadressen door de aanvaller gebruikt voor een phishingaanval. Trezor-gebruikers zijn een geliefd doelwit van aanvallers. In 2021 wist een aanvaller via een malafide Trezor-app, die twee weken in de Apple App Store stond, 1,6 miljoen dollar aan cryptovaluta van slachtoffers te stelen. bron: https://www.security.nl

Leverancier van mediaserversoftware Plex is niet bekend met het bestaan van zerodaylekken in de software, zo laat het bedrijf weten na berichtgeving dat een kwetsbaarheid in Plex gebruikt zou zijn voor een aanval op een medewerker van wachtwoordmanager LastPass. Eerder deze week meldde LastPass dat een zeer gevoelig incident waarbij klant- en kluisdata werden gestolen mede plaatsvond via de thuiscomputer van een DevOps-engineer. Deze computer raakte via een kwetsbaarheid in een "third-party media software package", waardoor remote code execution mogelijk was, besmet met malware. Een aanvaller kon via het beveiligingslek een keylogger op de thuiscomputer van de engineer installeren en zijn master password stelen. Zo kreeg de aanvaller toegang tot de zakelijke LastPass-kluis van de DevOps-engineer. ArsTechnica meldde op basis van een anonieme bron dat de niet nader genoemde software Plex was. Plex biedt software voor het opzetten van een mediaserver om daarmee media te streamen. Het bedrijf claimt meer dan 25 miljoen gebruikers wereldwijd. De aanval op LastPass waarbij klant- en kluisgegevens werden gestolen vond vorig jaar plaats, in de periode van 12 augustus tot 26 oktober. Op 24 augustus waarschuwde Plex voor een datalek. Een aanvaller had toegang tot één van de databases van het bedrijf gekregen. Deze database bevatte e-mailadressen, gebruikersnamen en "versleutelde wachtwoorden". De wachtwoorden zijn volgens Plex gehasht, maar uit voorzorg werd besloten om voor alle Plex-accounts een wachtwoordreset te verplichten. Of er een verband is tussen de inbraak bij Plex en LastPass is onbekend. Via Reddit laat een medewerker van Plex weten dat het bedrijf niet bekend is met kritieke kwetsbaarheden die voor het verschijnen van een beveiligingsupdate bekend zijn geworden. Ook heeft LastPass geen contact met Plex opgenomen, aldus de medewerker. "Wanneer kwetsbaarheden via responsible disclosure worden gemeld lossen we die snel en grondig op, en we hebben nog nooit meegemaakt dat er een kritieke kwetsbaarheid openbaar is geworden waarvoor nog geen gepatchte versie beschikbaar was. En wanneer we zelf met incidenten te maken hebben, kiezen we ervoor om er altijd snel over te communiceren. We zijn niet bekend met ongepatchte kwetsbaarheden", laat de medewerker verder weten. De Amerikaanse overheid houdt een overzicht bij van actief aangevallen kwetsbaarheden, maar daar komt de software van Plex niet in voor. bron: https://www.security.nl

De Europese Unie en de Verenigde Staten onderhandelen over een nieuw verdrag voor het uitwisselen van persoonsgegevens, maar de Europese privacytoezichthouders verenigd in de EDPB maken zich zorgen over het Data Privacy Framework (DPF). Het DPF moet het eerder afgeschoten Privacy Shield gaan vervangen. Volgens de EDPB zijn er verschillende positieve punten aan het nieuwe raamwerk, waaronder het toepassen van principes zoals noodzakelijkheid en proportionaliteit voor Amerikaanse inlichtingendiensten die data willen verzamelen en een nieuw mechanisme voor Europeanen om bezwaar aan te tekenen. Er zijn echter ook nog de nodige zorgen en onduidelijkheden in het voorstel. Het gaat dan om de rechten van Europeanen, verdere doorgifte van gegevens, de omvang van de uitzonderingen, tijdelijke bulkverzameling van data en het praktisch functioneren van de beroepsmogelijkheden. "Een hoog niveau van databescherming is essentieel om de rechten en vrijheden van Europese individuen te beschermen", zegt EDPB-voorzitter Andrea Jelinek. Ze stelt dat er grote verbeteringen zijn doorgevoerd in het raamwerk, maar dat de geuite zorgen en onduidelijkheden nog wel moeten worden weggenomen, omdat anders het adequaatheidsbesluit geen stand kan houden. Daarnaast vindt de EDPB dat na de eerste evaluatie van het adequaatheidsbesluit elke drie jaar een nieuwe beoordeling moet plaatsvinden. Het concept-adequaatheidsbesluit waar Jelinek het over heeft werd afgelopen december door de Europese Commissie gepubliceerd en is gebaseerd op het EU-U.S. Data Privacy Framework, dat zoals gezegd het Privacy Shield-verdrag moet vervangen nadat dat eerder door het Europees Hof van Justitie ongeldig was verklaard. De kern van het DPF zijn de EU-US Data Privacy framework principes, afkomstig van het Amerikaanse ministerie van Handel. Het DPF is alleen van toepassing op Amerikaanse organisaties die zich zelf hebben gecertificeerd op basis van de vereisten van het framework. bron: https://www.security.nl

Vpn-provider Proton VPN is vandaag een bètatest gestart van een browser-extensie voor Google Chrome en Mozilla Firefox. Via de extensie kunnen gebruikers vanuit de browser de vpn van Proton VPN in- en uitschakelen. De vpn-provider biedt al software waarmee alle verbindingen van een systeem via de vpn-dienst lopen, maar de browser-extensie zou in bepaalde gevallen handig kunnen zijn, aldus de aankondiging van de bètatest. Als voorbeeld wordt genoemd het privé browsen vanaf de werkcomputer terwijl er al verbinding met de zakelijke vpn is of het gebruik van Proton VPN op systemen waar de gebruiker geen beheerdersrechten heeft om de volledige vpn-app te installeren. Bij gebruik van de extensie gaat alleen verkeer van de browser via de vpn-verbinding, de overige verbindingen die het systeem maakt niet. De extensie is alleen beschikbaar voor gebruikers met een betaald Proton VPN-abonnement. bron: https://www.security.nl

LastPass heeft vandaag advies voor gebruikers gepubliceerd hoe die hun accounts kunnen beveiligen en zegt de gebrekkige communicatie te betreuren die bij klanten en gebruikers voor frustratie zorgde. Aanleiding is de diefstal van klantgegevens bij de wachtwoordmanager, waaronder back-ups met kluisgegevens. Afhankelijk van gebruikte instellingen en sterkte van het master password doen gebruikers er verstandig aan het master password te resetten, aldus het advies. LastPass kreeg vorig jaar met twee incidenten te maken, waarbij twee keer een systeem van een medewerker werd gecompromitteerd. Bij het eerste incident werd de zakelijke laptop van een software-engineer gecompromitteerd en kon de aanvaller zo broncode, technische informatie en bepaalde interne systeem secrets van LastPass stelen. LastPass dacht dat het dit incident had afgehandeld, maar ontdekte later dat de buitgemaakte informatie in dit eerste incident werd gebruikt bij een aanval die tot het tweede incident leidde. Bij het tweede incident werd de thuiscomputer van een DevOps-engineer met malware geïnfecteerd. Via deze computer kreeg de aanvaller uiteindelijk toegang tot de cloudopslag waar LastPass de back-ups van de kluisdata van alle klanten bewaart. De wachtwoordmanager stelt dat alle gevoelige kluisdata van klanten, op url's, file paths van de installatie en bepaalde e-mailadressen, versleuteld was. Deze data is te ontsleutelen met een encryptiesleutel die van het master password is afgeleid. De aanvaller ging er ook vandoor met een back-up van de LastPass MFA/federation database die kopieën van LastPass Authenticator seeds en telefoonnummers voor de MFA back-up optie bevat, alsmede de K2 key gebruikt voor LastPass federation. Deze database was versleuteld, maar de decryptiesleutel om die te ontsleutelen is ook door de aanvaller gestolen. LastPass heeft nu een securitybulletin voor eindgebruikers en zakelijke gebruikers gepubliceerd met aanbevelingen om accounts, naar aanleiding van de gestolen data, te beveiligen en verdere maatregelen te nemen. Daarbij wordt onder andere gekeken naar de sterkte van het master password, gebruikte master password hash iteraties en het gebruik van MFA voor toegang tot de wachtwoordkluis. Verder laat de wachtwoordmanager weten dat veel klanten vonden dat het vaker en duidelijker over de incidenten had moeten communiceren. LastPass stelt dat het gezien de duur van het onderzoek hier een afweging in moest maken, maar zegt de frustratie over de initiële communicatie te begrijpen en betreuren. bron: https://www.security.nl

Het Nationaal Cyber Security Centrum (NCSC) zal dit jaar de eerste stappen zetten om te komen tot het samenwerkingsplatform Cyclotron. Via dit platform zijn publieke en private partners in staat om informatie rondom (dreigende) cyberincidenten sneller en gerichter via een vertrouwde digitale omgeving onderling te delen. Dat heeft het NCSC in het Jaarplan 2023 aangekondigd. Het NCSC heeft dit jaar drie focuspunten: verhogen van de digitale weerbaarheid, incident response en voorbereiden op de toekomst. De ontwikkeling van Cyclotron moet bijdragen aan een betere weerbaarheid. Vorig jaar mei verscheen er al een rapport over Cyclotron, waarin de vraag centraal stond wat de mogelijkheden en randvoorwaarden zijn voor het versterken van de publiek-private samenwerking op operationeel en tactisch niveau zodat effectiever en efficiënter wordt gereageerd op (dreigende) cyberincidenten. Volgens de opstellers van het rapport is er behoefte aan een platform waarin intensiever dan nu het geval is informatie wordt uitgewisseld. Dat is echter niet zo eenvoudig. "Het realiseren van het Cyclotron-platform is een complex proces en implementatie zal stap voor stap moeten vorm krijgen", zo laat het rapport weten. Daarin staat ook dat de gewenste activiteiten in het Cyclotron-platform op dit moment nog niet allemaal kunnen worden uitgevoerd, vanwege beperkingen in de huidige beschikbare juridische kaders. "Zoals toegelicht in de sectie Juridisch kader is het daarom nodig om aanvullende of nieuwe wetgeving te ontwikkelen om het volledige takenpakket mogelijk te maken", maakt het rapport duidelijk. De opstellers stellen verder dat het platform het beste bij het NCSC kan worden ondergebracht en goed aansluit op al bestaande initiatieven in het informatiedelingslandschap. bron: https://www.security.nl

Het is zorgwekkend dat de Britse regering een backdoor in encryptie wil, zo stelt e-maildienst Tutanota. De mailprovider zal het Verenigd Koninkrijk echter niet verlaten als de omstreden Online Safety Bill wordt aangenomen, zoals chatapp Signal eerder aankondigde. Tutanota heeft herhaaldelijk kritiek op het Britse wetsvoorstel geuit en doet dat nu opnieuw. "Het is echt zorgwekkend wat er nu in het VK plaatsvindt, ooit één van de grootste democratieen ter wereld. De Britse regering denkt nog steeds dat het over een 'magische sleutel' kan beschikken om toegang tot versleutelde communicatie te krijgen, en daarbij volledig voorbij gaat aan de technische achtergrond en wat cryptografische experts herhaaldelijk hebben gezegd: Je kunt geen backdoor in encryptie hebben en ervoor zorgen dat daar geen misbruik van wordt gemaakt", aldus Matthias Pfau, medeoprichter van Tutanota. Pfau stelt dat de e-mailprovider nooit een backdoor zal toevoegen. Mocht de Britse regering vinden dat bedrijven versleutelde communicatie wel toegankelijk moeten maken, dan zal het land de toegang tot Tutanota moeten blokkeren, merkt de medeoprichter op. De e-maildienst wordt al in Iran en Rusland geblokkeerd. Mocht de Britse regering doen, dan glijdt het af tot het niveau van autoritaire regimes zoals Rusland, Iran, Noord-Korea en China, stelt Pfau. het Britse House of Commons heeft het wetsvoorstel al aangenomen. Nu moet het House of Lords er nog over stemmen. bron: https://www.security.nl

Google heeft vandaag client-side encryptie voor de zakelijke versie van Gmail beschikbaar gemaakt. Het gaat hier niet om end-to-end encryptie, zoals Google ook uitlegt. Bij end-to-end encryptie kunnen alleen ontvanger en afzender de inhoud van berichten lezen. In het geval van client-side encryptie heeft de systeembeheerder van het bedrijf beschikking over de sleutels van gebruikers en kan zo de inhoud van uitgewisselde berichten controleren. Het is echter niet mogelijk voor Google om de inhoud van berichten te lezen, zo stelt het bedrijf in een uitleg over de feature. Bij client-side encryptie voor Gmail on the web wordt de e-mail in de browser van de gebruiker versleuteld voordat die wordt verstuurd. Clients maken hierbij gebruik van encryptiesleutels die in een cloudgebaseerde key management service zijn gegenereerd en opgeslagen. Beheerders hebben zo de controle over de sleutels en wie er toegang toe heeft. Zo is het mogelijk om de toegang van gebruikers tot hun sleutels in te trekken, ook wanneer een gebruiker die zelf heeft gegenereerd. Ook kunnen beheerders zo de versleutelde bestanden van gebruikers monitoren. De header van de e-mail, waaronder onderwerp, timestamps en geadresseerden, zijn niet versleuteld. Client-side encryptie, waarmee gebruikers ook met gebruikers van andere e-mailclients versleuteld kunnen mailen, is beschikbaar voor organisaties die werken met Google Workspace Enterprise Plus, Education Plus en Education Standard. De feature, waar afgelopen december een bètatest van startte, staat standaard uitgeschakeld. Beheerders moeten die voor hun organisatie inschakelen, waarna gebruikers vervolgens de optie kunnen kiezen. Client-side encryptie is niet beschikbaar voor Gmail-gebruikers met een persoonlijk Gmail-account of in eenvoudigere zakelijke versies zoals Google Workspace Essentials of G Suite Basic. bron: https://www.security.nl

Een nieuw Amerikaans wetsvoorstel kan TikTok in de Verenigde Staten volledig verbieden. Volgens de Amerikaanse burgerrechtenbeweging ACLU vormt het voorstel een bedreiging voor het recht op de vrijheid van meningsuiting. Via het wetsvoorstel, dat bekendstaat als H.R. 1153 (pdf), kan de regering TikTok en andere applicaties verbieden die een bedreiging voor de Amerikaanse nationale veiligheid vormen. Daarbij wordt in het wetsvoorstel specifiek TikTok genoemd. Vandaag zal de commissie van buitenlandse zaken van het Amerikaanse Huis van Afgevaardigden over het voorstel stemmen. Daarna zal het in stemming worden gebracht bij het Huis van Afgevaardigden, maar volgens CNBC zal het daar met grote meerderheid worden aangenomen. Het lot van het voorstel in de Amerikaanse Senaat is nog onduidelijk. "Op dit moment hebben de rechtbanken de autoriteit van de regering om TikTok te sanctioneren in twijfel getrokken. Mijn wetsvoorstel geeft de regering de mogelijkheid om TikTok of welke software dan ook die de Amerikaanse staatsveiligheid bedreigt te verbieden", aldus Michael McCaul, indiener van het voorstel en voorzitter van de commissie van buitenlandse zaken. "Iedereen met TikTok op zijn telefoon heeft China een backdoor naar al zijn persoonlijke informatie gegeven. Het is een spionageballon in je telefoon." De Amerikaanse burgerrechtenbeweging ACLU is fel tegenstander van een verbod. "Het Congres moet niet complete platformen censureren en Amerikanen hun grondwettelijk recht op vrijheid van meningsuiting ontnemen. Of we nu het nieuws van de dag bespreken, demonstraties livestreamen of naar kattenvideo's kijken, we hebben een recht om TikTok en andere platformen te gebruiken voor het uitwisselen van onze gedachten, ideeën en meningen met mensen in het hele land en wereldwijd", zegt Jenna Leventoff van de ACLU. De burgerrechtenbeweging heeft de commissie nu in een brief gevraagd om tegen het voorstel te stemmen. bron: https://www.security.nl

WordPress-sites van makelaars en vastgoedbedrijven zijn het doelwit van aanvallen waarbij gebruik wordt gemaakt van twee kwetsbaarheden in het Houzez-theme. Houzez biedt een theme speciaal gericht op vastgoed, zoals de verhuur of verkoop van woningen. Volgens de ontwikkelaars maken meer dan 35.000 klanten gebruik van het theme. Houzez biedt via het theme ook een optie dat gebruikers zich op de website kunnen registreren, bijvoorbeeld als koper, eigenaar of verkoper. Securitybedrijf Patchstack ontdekte dat gebruikers die zich registeren zich ook als administrator kunnen opgeven, om vervolgens beheerder van de betreffende website te worden. Daarnaast zit een soortgelijke kwetsbaarheid ook in de plug-in van het Houzez-theme. Patchstack informeerde Houzez over de beveiligingsproblemen, dat vervolgens met een beveiligingsupdate kwam. De impact van beide kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Aanvallers maken inmiddels actief misbruik van de beveiligingslekken, aldus Patchstack, dat over een "groot aantal aanvallen" spreekt. bron: https://www.security.nl

Besmette advertenties en gecompromitteerde websites infecteren dagelijks duizenden gebruikers van Internet Explorer, waarbij aanvallers gebruikmaken van bekende kwetsbaarheden, zo stelt securitybedrijf Prodaft op basis van eigen onderzoek. De IE-gebruikers zijn slachtoffers van de RIG-exploitkit, die gebruikers met een kwetsbare browser ongemerkt met malware kan infecteren. Alleen het te zien krijgen van een besmette advertentie of bezoeken van een gecompromitteerde website is voldoende. Daarbij richt de RIG-exploitkit zich volledig op Internet Explorer en maakt gebruik van verschillende bekende kwetsbaarheden. Het gaat met name om de beveiligingslekken aangeduid als CVE-2020-0674 en CVE-2021-26411, waarvoor Microsoft op respectievelijk op 11 februari 2020 en 9 maart 2021 beveiligingsupdates uitbracht. Ondanks de beschikbaarheid van deze patches raakte vorig jaar dertig procent van de IE-gebruikers die via een besmette advertentie of gecompromitteerde website naar de RIG-exploitkit werd geleid besmet met malware. Het gaat dan met name om malware ontwikkeld voor het stelen van wachtwoorden en andere gegevens, zoals RedlineStealer, Dridex en RaccoonStealer, of het installeren van aanvullende malware. Hoewel het aandeel van Internet Explorer de afgelopen jaren sterk is gedaald, wordt de browser vooral nog binnen bedrijven gebruikt. Dat blijkt ook uit het aantal exploit-pogingen, die met name op dinsdag, woensdag en donderdag een piek vertonen. bron: https://www.security.nl

De Europese privacytoezichthouders verenigd in de EDPB hebben regels gepubliceerd met aanbevelingen over het herkennen en voorkomen van 'dark patterns' op social media. De richtlijn is zowel voor ontwerpers als gebruikers van social media. Bij dark patterns worden gebruikers via knoppen, kleuren en teksten een bepaalde kant op geduwd, om ze zoveel mogelijk privégegevens af te laten staan. De richtlijnen bieden aanbevelingen aan ontwerpers en gebruikers van socialemediaplatforms over het beoordelen en vermijden van dark patterns die inbreuk maken op de AVG. Zo geven de richtlijnen concrete voorbeelden van dark patterns, presenteren best practices voor verschillende use cases en bevatten specifieke aanbevelingen voor ontwerpers van gebruikersinterfaces. "Dark patterns zijn interfaces en gebruikerservaringen op socialmediaplatformen die ervoor zorgen dat gebruikers onbedoelde, ongewillige en potentieel schadelijke beslissingen maken met betrekking tot het verwerken van hun persoonlijke data. Dit beïnvloedt het gedrag van gebruikers en de mogelijkheid om effectief hun persoonlijke data te beschermen", zo liet de EDPB eerder al weten. De richtlijnen werden vorig jaar al door de Autoriteit Persoonsgegevens en andere Europese privacytoezichthouders opgesteld, maar zijn nu definitief gemaakt, nadat ze openstonden voor opmerkingen en suggesties van andere partijen. Zo is de lijst met soorten dark patterns bijgewerkt, zijn de voorbeelden van dark patterns uitgebreid en concreter gemaakt, om te laten zien op welke manier de AVG van toepassing is en is er een overzicht gemaakt van goede voorbeelden waarmee bedrijven eventuele dark patterns kunnen vervangen. bron: https://www.security.nl

Dagelijks verwerken webshops grote hoeveelheden persoonlijke gegevens, maar veel software voor webwinkels is onveilig, zo stelt de Duitse overheid op basis van eigen onderzoek. Leveranciers moeten dan ook in actie komen, aldus het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, dat het onderzoek uitvoerde. Voor het onderzoek werd onder andere gekeken naar de platforms van Zen Cart, Prestashop en Magento. Zo bleek dat zeven van de tien onderzochte webshopplatforms van kwetsbare JavaScript-libraries gebruikmaakt. Verder hadden bijna alle oplossingen ontoereikend wachtwoordbeleid en maakt bijna de helft van de producten gebruik van software die end-of-life is en niet meer met beveiligingsupdates wordt ondersteund. Het gaat dan vaak om externe libraries. In totaal werden 78 beveiligingsproblemen geïdentificeerd, waarvan er tien als kritiek zijn aangemerkt. Het BSI roept ontwikkelaars van webwinkelsoftware op om onmiddellijk voor de gevonden kwetsbaarheden updates uit te brengen en roept beheerders van webshops op om deze tijdig uit te rollen of anders over te stappen op veilige producten. "Uit het huidige onderzoek blijkt dat de verantwoordelijkheid voor veilig online winkelen zowel bij de leverancier als bij de retailer ligt", zegt BSI-vicepresident Gerhard Schabhüser. Om datalekken te voorkomen zouden softwareleveranciers volgens het BSI veel vaker kwetsbaarheidsanalyses moeten uitvoeren. bron: https://www.security.nl

En daarom zal ik altijd blijven spelen...

Ik lees dit topic nu pas. Is het al gelukt. Ik heb redelijk wat ervaring op dit vlak. Dus mocht het niet lukken, denk ik graag mee.

De afgelopen weken raakten duizenden VMware ESXi-servers besmet met ransomware, maar de infectiemethode is nog altijd onbekend. Lange tijd werd gedacht dat de aanvallers een kwetsbaarheid aangeduid als CVE-2021-21974 zouden gebruiken, maar daar is nog altijd geen bewijs voor gevonden. Sterker nog, het lijkt erop dat de OpenSLP-implementatie van ESXi geen rol bij de aanvallen speelt. ESXi, onderdeel van VMware's vSphere, is een 'bare metal hypervisor' voor het virtualiseren van besturingssystemen. De virtualisatiesoftware wordt direct op een server geïnstalleerd en kan vervolgens het gevirtualiseerde besturingssysteem laden. Bij de recente ransomware-aanvallen worden de configuratiebestanden op de ESXi-servers versleuteld, waardoor de aangemaakte virtual machines onbruikbaar zijn geworden. In eerste instantie werd gedacht dat de aanvallers gebruikmaakten van CVE-2021-21974, waardoor remote code execution mogelijk is. Het beveiligingslek bevindt zich specifiek in de OpenSLP-implementatie van ESXi. SLP (Service Location Protocol) is een protocol waarmee netwerkapplicaties het bestaan, de locatie en configuratie van netwerkdiensten op het netwerk kunnen vinden. Naar aanleiding van de aanvallen adviseerde VMware om de OpenSLP-service op ESXi-servers uit te schakelen en beschikbare updates te installeren. VMware kwam vervolgens met een FAQ waarin het stelde dat de aanvalsvector nog altijd onbekend is. Een week na de laatste update op 16 februari is daar geen verandering in gekomen. Securitybedrijf Censys deed eerder al onderzoek naar het aantal getroffen servers en besloot te kijken hoeveel van de getroffen ESXi-servers OpenSLP heeft draaien. Sinds de metingen op 15 februari begonnen bleek dat maximaal negen procent van alle getroffen servers per dag SLP hadden draaien. "Gegeven het relatief lage aantal besmette servers dat ook SLP draait, is het waarschijnlijk dat andere kwetsbaarheden of toegangsmethodes bij deze aanvallen zij betrokken", aldus Censys. Ook VMware stelt dat. "Er is geen garantie dat de SLP-kwetsbaarheden degene zijn die gebruikt worden." Bij de laatste meting van eerder deze week telde Censys nog meer dan duizend besmette ESXi-servers. Organisaties worden dan ook opgeroepen om de laatste ESXi-updates te installeren. bron: https://www.security.nl

NAS-fabrikant QNAP is een bugbountyprogramma gestart waarbij het onderzoekers 20.000 dollar betaalt voor het melden van ernstige kwetsbaarheden in de software en apparatuur van het bedrijf. De afgelopen jaren zijn NAS-systemen van QNAP geregeld het doelwit van ransomware-aanvallen geworden. Vaak maakten aanvallers daarbij gebruik van bekende kwetsbaarheden waardoor eigenaren van de NAS-systemen de updates niet hadden geïnstalleerd, maar ook de inzet van zerodays is voorgekomen. Het nu gelanceerde bugbountyprogramma geldt voor de besturingssystemen, applicaties en clouddiensten van QNAP. De hoogste beloningen zijn te verdienen met het vinden van beveiligingslekken in QTS, QuTS hero en QuTScloud, de besturingssystemen die op de NAS-systemen van QNAP draaien. Daarvoor is een maximale beloning van 20.000 dollar beschikbaar. Kwetsbaarheden in applicaties en clouddiensten worden respectievelijk met maximaal 10.000 en 5.000 dollar beloond. bron: https://www.security.nl

Microsoft adviseert organisaties om meer locaties op hun Exchange-servers op malware te scannen. Eerder aangeraden uitzonderingen voor antivirussoftware kunnen dan ook beter worden verwijderd, aldus het techbedrijf. Jarenlange stelde Microsoft dat het beter was om bij het gebruik van virusscanners voor Exchange bepaalde folders, bestanden en processen van een scan door antivirussoftware uit te zonderen. De tijden zijn echter veranderd, aldus Microsoft. Uitzonderingen voor tijdelijke ASP.NET bestanden, Inetsrv folders en de PowerShell en w3wp processen zijn niet langer nodig. Het is dan ook veel beter om deze bestanden en folders wel te scannen. Door deze uitzonderingen aan te houden bestaat namelijk het risico dat webshells en backdoors niet worden gedetecteerd, wat volgens Microsoft tot de meestvoorkomende beveiligingsproblemen behoren. Daarom wordt nu het advies gegeven om deze uitzonderingen in de gebruikte antivirussoftware te verwijderen. Microsoft heeft naar eigen zeggen gevalideerd dat dit geen gevolgen heeft voor de prestaties en stabiliteit bij het gebruik van Microsoft Defender op Exchange Server 2019 met de laatste Exchange Server-updates. Het techbedrijf denkt dat de uitzonderingen ook veilig zijn te verwijderen in het geval van Exchange Server 2013 en 2016, maar heeft dit niet getest. Organisaties die toch tegen problemen bij deze versies aanlopen wordt in dergelijke gevallen aangeraden de uitzonderingen weer terug te zetten. bron: https://www.security.nl

De Europese privacytoezichthouder EDPS is een proef met opensourcesoftware gestart, waarbij er specifiek met Nextcloud en LibreOffice Online wordt gewerkt. De software zal worden gebruikt voor het uitwisselen van bestanden, versturen van berichten, videogesprekken en het gezamenlijk werken aan documenten in een beveiligde cloudomgeving, aldus de EDPS. "Opensourcesoftware biedt databeschermingsvriendelijke alternatieven voor veelgebruikte grootschalige cloudproviders, die vaak de persoonlijke data van individuen naar landen buiten de EU doorgeven. Dit soort oplossingen kunnen daarom de afhankelijkheid van monopolistische providers en negatieve vendor lock-in beperken", zegt EDPS-voorzitter Wojciech Wiewiórowski. Hij merkt op dat door het verwerven van de opensourcesoftware via één Europese partij, het gebruik van subverwerkers wordt voorkomen, waarmee de EDPS voorkomt dat er data met landen buiten de EU wordt uitgewisseld en er een grotere controle over de verwerking van persoonlijke data is. De komende maanden zal de EDPS kijken hoe de software Europese instellingen kan ondersteunen bij het dagelijkse werk. De nu gestarte pilot is onderdeel van een groter proces waarbij wordt gereflecteerd op gebruikte it-oplossingen binnen de EU en het zoeken naar alternatieven voor grote techbedrijven, om zo beter aan Europese regelgeving voor databescherming bij EU-instelligen te voldoen. bron: https://www.security.nl

Vorige week verscheen er een beveiligingsupdate voor een kritieke kwetsbaarheid in de gratis opensource-virusscanner ClamAV. Inmiddels is er ook een proof-of-concept exploit openbaar geworden om misbruik van het beveiligingslek te maken, zo laat Cisco weten. Via de kwetsbaarheid is remote code execution of een denial of service mogelijk. Een aanvaller zou zo in het ergste geval via de antivirussoftware het systeem kunnen overnemen. Door ClamAV een speciaal geprepareerde HFS+ partitie te laten scannen kan een heap buffer overflow write ontstaan en kan een aanvaller willekeurige code met rechten van de ClamAV-scanner op het systeem uitvoeren. De impact van de kwetsbaarheid, aangeduid als CVE-2023-20032, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. ClamAV is onderdeel van Cisco. Het Cisco Product Security Incident Response Team (PSIRT) meldde gisteren dat er een proof-of-concept exploit beschikbaar is gekomen waarmee er een buffer overflow kan worden veroorzaakt, om vervolgens het ClamAV-proces te laten crashen. Daarnaast is er ook uitgebreide technische informatie over de kwetsbaarheid verschenen. Vooralsnog is Cisco niet bekend met aanvallen die misbruik van het beveiligingslek maken. bron: https://www.security.nl

De Amerikaanse geheime dienst heeft een nieuw document gepubliceerd waarin het advies geeft voor het beveiligen van thuisnetwerken, waaronder het wekelijks rebooten van de wifi-router, het afdekken van de webcam en het gebruik van volledige schijfversleuteling. Volgens de NSA is er een toename van aanvallen op thuisnetwerken. "In het tijdperk van thuiswerken, kan je thuisnetwerk worden gebruikt als springplank voor statelijke actoren en cybercriminelen om gevoelige informatie te stelen", zegt Neal Ziring, technisch directeur cybersecurity van de NSA. "We kunnen dit risico beperken door onze apparaten en netwerken te beveiligen, en door ons online veilig te gedragen." Het beveiligingsadvies van de geheime dienst bevat aanbevelingen voor het beveiligen van routers, het implementeren van netwerksegmentatie, maar ook zaken als het omgaan met wachtwoorden, het niet kopiëren van werkdata naar een thuiscomputer en andersom, het vermijden van publieke wifi-netwerken en het voorzichtig zijn met de informatie die op social media wordt geplaatst. De NSA raadt gebruikers ook aan om hun wifi-router, smartphone en computer wekelijks te rebooten om zo malware die alleen in het geheugen draait te verwijderen. Een aantal jaren geleden ontdekten onderzoekers dat wereldwijd honderdduizenden routers met de VPNFilter-malware waren besmet. Door de apparaten te rebooten kon de malware worden verwijderd. En in 2021 adviseerde de NSA nog om smartphones periodiek uit en weer aan te zetten, om zo eventuele malware te verwijderen. Afluisteren Het adviesdocument bevat ook een paragraaf over slimme speakers en home assistents. Volgens de NSA is het belangrijk dat mensen beseffen dat deze apparaten naar gesprekken luisteren, zelfs wanneer het apparaat niet actief wordt gebruikt. Een gecompromitteerd apparaat maakt het mogelijk voor een aanvaller om gesprekken af te luisteren, aldus de geheime dienst. Die adviseert om het aantal gevoelige gesprekken in de buurt van babymonitors, "slim" speelgoed en home assistents te beperken. Zo wordt aangeraden de microfoon op mute te zetten wanneer het apparaat niet wordt gebruikt en de camera af te dekken. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Fortinet FortiNAC wordt nog geen week na het verschijnen van de beveiligingsupdate actief misbruikt voor het aanvallen van organisaties, zo waarschuwen securitybedrijven. Fortinet FortiNAC is een "network access control" oplossing waarmee organisaties kunnen bepalen welke apparaten toegang tot het netwerk mogen krijgen. Ook geeft de oplossing een overzicht van alle apparaten op het netwerk, bepaalt het risico van elk endpoint en biedt netwerksegmentatie. Zo kunnen organisaties instellen dat alleen apparaten met een bepaald patchniveau verbinding mogen maken. FortiNAC kan worden geïnstalleerd op een virtual machine of fysieke server. Op 16 februari kwam Fortinet met een patch voor het product. Een kritiek lek in de FortiNAC-webserver, aangeduid als CVE-2022-39952, maakt het voor een ongeauthenticeerde aanvaller mogelijk om naar het systeem te schrijven en willekeurige code als root uit te voeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Twee dagen geleden verscheen er proof-of-concept exploitcode voor de kwetsbaarheid. Securitybedrijven GreyNoise en Dark Sky liet gisterenavond weten dat er inmiddels actief misbruik van het lek wordt gemaakt. Ook de Shadowserver Foundation, een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich met de bestrijding van botnets en cybercrime bezighoudt, meldt dat het aanvallen heeft waargenomen. Bij de aanvallen wordt een reverse shell geïnstalleerd waarmee aanvallers toegang tot de apparaten krijgen en zo verdere aanvallen tegen het achterliggende netwerk kunnen uitvoeren. bron: https://www.security.nl