Captain Kirk

Dagelijks verwerken webshops grote hoeveelheden persoonlijke gegevens, maar veel software voor webwinkels is onveilig, zo stelt de Duitse overheid op basis van eigen onderzoek. Leveranciers moeten dan ook in actie komen, aldus het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, dat het onderzoek uitvoerde. Voor het onderzoek werd onder andere gekeken naar de platforms van Zen Cart, Prestashop en Magento. Zo bleek dat zeven van de tien onderzochte webshopplatforms van kwetsbare JavaScript-libraries gebruikmaakt. Verder hadden bijna alle oplossingen ontoereikend wachtwoordbeleid en maakt bijna de helft van de producten gebruik van software die end-of-life is en niet meer met beveiligingsupdates wordt ondersteund. Het gaat dan vaak om externe libraries. In totaal werden 78 beveiligingsproblemen geïdentificeerd, waarvan er tien als kritiek zijn aangemerkt. Het BSI roept ontwikkelaars van webwinkelsoftware op om onmiddellijk voor de gevonden kwetsbaarheden updates uit te brengen en roept beheerders van webshops op om deze tijdig uit te rollen of anders over te stappen op veilige producten. "Uit het huidige onderzoek blijkt dat de verantwoordelijkheid voor veilig online winkelen zowel bij de leverancier als bij de retailer ligt", zegt BSI-vicepresident Gerhard Schabhüser. Om datalekken te voorkomen zouden softwareleveranciers volgens het BSI veel vaker kwetsbaarheidsanalyses moeten uitvoeren. bron: https://www.security.nl

En daarom zal ik altijd blijven spelen...

Ik lees dit topic nu pas. Is het al gelukt. Ik heb redelijk wat ervaring op dit vlak. Dus mocht het niet lukken, denk ik graag mee.

De afgelopen weken raakten duizenden VMware ESXi-servers besmet met ransomware, maar de infectiemethode is nog altijd onbekend. Lange tijd werd gedacht dat de aanvallers een kwetsbaarheid aangeduid als CVE-2021-21974 zouden gebruiken, maar daar is nog altijd geen bewijs voor gevonden. Sterker nog, het lijkt erop dat de OpenSLP-implementatie van ESXi geen rol bij de aanvallen speelt. ESXi, onderdeel van VMware's vSphere, is een 'bare metal hypervisor' voor het virtualiseren van besturingssystemen. De virtualisatiesoftware wordt direct op een server geïnstalleerd en kan vervolgens het gevirtualiseerde besturingssysteem laden. Bij de recente ransomware-aanvallen worden de configuratiebestanden op de ESXi-servers versleuteld, waardoor de aangemaakte virtual machines onbruikbaar zijn geworden. In eerste instantie werd gedacht dat de aanvallers gebruikmaakten van CVE-2021-21974, waardoor remote code execution mogelijk is. Het beveiligingslek bevindt zich specifiek in de OpenSLP-implementatie van ESXi. SLP (Service Location Protocol) is een protocol waarmee netwerkapplicaties het bestaan, de locatie en configuratie van netwerkdiensten op het netwerk kunnen vinden. Naar aanleiding van de aanvallen adviseerde VMware om de OpenSLP-service op ESXi-servers uit te schakelen en beschikbare updates te installeren. VMware kwam vervolgens met een FAQ waarin het stelde dat de aanvalsvector nog altijd onbekend is. Een week na de laatste update op 16 februari is daar geen verandering in gekomen. Securitybedrijf Censys deed eerder al onderzoek naar het aantal getroffen servers en besloot te kijken hoeveel van de getroffen ESXi-servers OpenSLP heeft draaien. Sinds de metingen op 15 februari begonnen bleek dat maximaal negen procent van alle getroffen servers per dag SLP hadden draaien. "Gegeven het relatief lage aantal besmette servers dat ook SLP draait, is het waarschijnlijk dat andere kwetsbaarheden of toegangsmethodes bij deze aanvallen zij betrokken", aldus Censys. Ook VMware stelt dat. "Er is geen garantie dat de SLP-kwetsbaarheden degene zijn die gebruikt worden." Bij de laatste meting van eerder deze week telde Censys nog meer dan duizend besmette ESXi-servers. Organisaties worden dan ook opgeroepen om de laatste ESXi-updates te installeren. bron: https://www.security.nl

NAS-fabrikant QNAP is een bugbountyprogramma gestart waarbij het onderzoekers 20.000 dollar betaalt voor het melden van ernstige kwetsbaarheden in de software en apparatuur van het bedrijf. De afgelopen jaren zijn NAS-systemen van QNAP geregeld het doelwit van ransomware-aanvallen geworden. Vaak maakten aanvallers daarbij gebruik van bekende kwetsbaarheden waardoor eigenaren van de NAS-systemen de updates niet hadden geïnstalleerd, maar ook de inzet van zerodays is voorgekomen. Het nu gelanceerde bugbountyprogramma geldt voor de besturingssystemen, applicaties en clouddiensten van QNAP. De hoogste beloningen zijn te verdienen met het vinden van beveiligingslekken in QTS, QuTS hero en QuTScloud, de besturingssystemen die op de NAS-systemen van QNAP draaien. Daarvoor is een maximale beloning van 20.000 dollar beschikbaar. Kwetsbaarheden in applicaties en clouddiensten worden respectievelijk met maximaal 10.000 en 5.000 dollar beloond. bron: https://www.security.nl

Microsoft adviseert organisaties om meer locaties op hun Exchange-servers op malware te scannen. Eerder aangeraden uitzonderingen voor antivirussoftware kunnen dan ook beter worden verwijderd, aldus het techbedrijf. Jarenlange stelde Microsoft dat het beter was om bij het gebruik van virusscanners voor Exchange bepaalde folders, bestanden en processen van een scan door antivirussoftware uit te zonderen. De tijden zijn echter veranderd, aldus Microsoft. Uitzonderingen voor tijdelijke ASP.NET bestanden, Inetsrv folders en de PowerShell en w3wp processen zijn niet langer nodig. Het is dan ook veel beter om deze bestanden en folders wel te scannen. Door deze uitzonderingen aan te houden bestaat namelijk het risico dat webshells en backdoors niet worden gedetecteerd, wat volgens Microsoft tot de meestvoorkomende beveiligingsproblemen behoren. Daarom wordt nu het advies gegeven om deze uitzonderingen in de gebruikte antivirussoftware te verwijderen. Microsoft heeft naar eigen zeggen gevalideerd dat dit geen gevolgen heeft voor de prestaties en stabiliteit bij het gebruik van Microsoft Defender op Exchange Server 2019 met de laatste Exchange Server-updates. Het techbedrijf denkt dat de uitzonderingen ook veilig zijn te verwijderen in het geval van Exchange Server 2013 en 2016, maar heeft dit niet getest. Organisaties die toch tegen problemen bij deze versies aanlopen wordt in dergelijke gevallen aangeraden de uitzonderingen weer terug te zetten. bron: https://www.security.nl

De Europese privacytoezichthouder EDPS is een proef met opensourcesoftware gestart, waarbij er specifiek met Nextcloud en LibreOffice Online wordt gewerkt. De software zal worden gebruikt voor het uitwisselen van bestanden, versturen van berichten, videogesprekken en het gezamenlijk werken aan documenten in een beveiligde cloudomgeving, aldus de EDPS. "Opensourcesoftware biedt databeschermingsvriendelijke alternatieven voor veelgebruikte grootschalige cloudproviders, die vaak de persoonlijke data van individuen naar landen buiten de EU doorgeven. Dit soort oplossingen kunnen daarom de afhankelijkheid van monopolistische providers en negatieve vendor lock-in beperken", zegt EDPS-voorzitter Wojciech Wiewiórowski. Hij merkt op dat door het verwerven van de opensourcesoftware via één Europese partij, het gebruik van subverwerkers wordt voorkomen, waarmee de EDPS voorkomt dat er data met landen buiten de EU wordt uitgewisseld en er een grotere controle over de verwerking van persoonlijke data is. De komende maanden zal de EDPS kijken hoe de software Europese instellingen kan ondersteunen bij het dagelijkse werk. De nu gestarte pilot is onderdeel van een groter proces waarbij wordt gereflecteerd op gebruikte it-oplossingen binnen de EU en het zoeken naar alternatieven voor grote techbedrijven, om zo beter aan Europese regelgeving voor databescherming bij EU-instelligen te voldoen. bron: https://www.security.nl

Vorige week verscheen er een beveiligingsupdate voor een kritieke kwetsbaarheid in de gratis opensource-virusscanner ClamAV. Inmiddels is er ook een proof-of-concept exploit openbaar geworden om misbruik van het beveiligingslek te maken, zo laat Cisco weten. Via de kwetsbaarheid is remote code execution of een denial of service mogelijk. Een aanvaller zou zo in het ergste geval via de antivirussoftware het systeem kunnen overnemen. Door ClamAV een speciaal geprepareerde HFS+ partitie te laten scannen kan een heap buffer overflow write ontstaan en kan een aanvaller willekeurige code met rechten van de ClamAV-scanner op het systeem uitvoeren. De impact van de kwetsbaarheid, aangeduid als CVE-2023-20032, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. ClamAV is onderdeel van Cisco. Het Cisco Product Security Incident Response Team (PSIRT) meldde gisteren dat er een proof-of-concept exploit beschikbaar is gekomen waarmee er een buffer overflow kan worden veroorzaakt, om vervolgens het ClamAV-proces te laten crashen. Daarnaast is er ook uitgebreide technische informatie over de kwetsbaarheid verschenen. Vooralsnog is Cisco niet bekend met aanvallen die misbruik van het beveiligingslek maken. bron: https://www.security.nl

De Amerikaanse geheime dienst heeft een nieuw document gepubliceerd waarin het advies geeft voor het beveiligen van thuisnetwerken, waaronder het wekelijks rebooten van de wifi-router, het afdekken van de webcam en het gebruik van volledige schijfversleuteling. Volgens de NSA is er een toename van aanvallen op thuisnetwerken. "In het tijdperk van thuiswerken, kan je thuisnetwerk worden gebruikt als springplank voor statelijke actoren en cybercriminelen om gevoelige informatie te stelen", zegt Neal Ziring, technisch directeur cybersecurity van de NSA. "We kunnen dit risico beperken door onze apparaten en netwerken te beveiligen, en door ons online veilig te gedragen." Het beveiligingsadvies van de geheime dienst bevat aanbevelingen voor het beveiligen van routers, het implementeren van netwerksegmentatie, maar ook zaken als het omgaan met wachtwoorden, het niet kopiëren van werkdata naar een thuiscomputer en andersom, het vermijden van publieke wifi-netwerken en het voorzichtig zijn met de informatie die op social media wordt geplaatst. De NSA raadt gebruikers ook aan om hun wifi-router, smartphone en computer wekelijks te rebooten om zo malware die alleen in het geheugen draait te verwijderen. Een aantal jaren geleden ontdekten onderzoekers dat wereldwijd honderdduizenden routers met de VPNFilter-malware waren besmet. Door de apparaten te rebooten kon de malware worden verwijderd. En in 2021 adviseerde de NSA nog om smartphones periodiek uit en weer aan te zetten, om zo eventuele malware te verwijderen. Afluisteren Het adviesdocument bevat ook een paragraaf over slimme speakers en home assistents. Volgens de NSA is het belangrijk dat mensen beseffen dat deze apparaten naar gesprekken luisteren, zelfs wanneer het apparaat niet actief wordt gebruikt. Een gecompromitteerd apparaat maakt het mogelijk voor een aanvaller om gesprekken af te luisteren, aldus de geheime dienst. Die adviseert om het aantal gevoelige gesprekken in de buurt van babymonitors, "slim" speelgoed en home assistents te beperken. Zo wordt aangeraden de microfoon op mute te zetten wanneer het apparaat niet wordt gebruikt en de camera af te dekken. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Fortinet FortiNAC wordt nog geen week na het verschijnen van de beveiligingsupdate actief misbruikt voor het aanvallen van organisaties, zo waarschuwen securitybedrijven. Fortinet FortiNAC is een "network access control" oplossing waarmee organisaties kunnen bepalen welke apparaten toegang tot het netwerk mogen krijgen. Ook geeft de oplossing een overzicht van alle apparaten op het netwerk, bepaalt het risico van elk endpoint en biedt netwerksegmentatie. Zo kunnen organisaties instellen dat alleen apparaten met een bepaald patchniveau verbinding mogen maken. FortiNAC kan worden geïnstalleerd op een virtual machine of fysieke server. Op 16 februari kwam Fortinet met een patch voor het product. Een kritiek lek in de FortiNAC-webserver, aangeduid als CVE-2022-39952, maakt het voor een ongeauthenticeerde aanvaller mogelijk om naar het systeem te schrijven en willekeurige code als root uit te voeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Twee dagen geleden verscheen er proof-of-concept exploitcode voor de kwetsbaarheid. Securitybedrijven GreyNoise en Dark Sky liet gisterenavond weten dat er inmiddels actief misbruik van het lek wordt gemaakt. Ook de Shadowserver Foundation, een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich met de bestrijding van botnets en cybercrime bezighoudt, meldt dat het aanvallen heeft waargenomen. Bij de aanvallen wordt een reverse shell geïnstalleerd waarmee aanvallers toegang tot de apparaten krijgen en zo verdere aanvallen tegen het achterliggende netwerk kunnen uitvoeren. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om via een phishingaanval interne gegevens van gameontwikkelaar Activision te stelen, zo heeft het bedrijf bevestigd. Het zou gaan om gegevens van medewerkers en informatie over nog uit te brengen games en content. De phishingaanval vond afgelopen december plaats, waarbij medewerkers een sms-bericht ontvingen. Het bericht linkte naar een phishingsite. Een medewerker vulde zijn gegevens op de site in, waarna de aanvallers om de 2FA-code vroegen, die de werknemer ook verschafte. Dat blijkt uit screenshots die door het Twitteraccount VX-Underground zijn gedeeld. Dat stelt ook dat meerdere werknemers de phishing-sms ontvingen, maar hier niet op reageerden. Deze medewerkers zouden de aanval echter ook niet hebben gerapporteerd. Volgens Insider Gaming werkt de medewerker die wel in het bericht trapte voor de HR-afdeling. Met de gegevens van de werknemer wisten de aanvallers onder andere toegang tot namen, e-mailadressen, telefoonnummers, salarisgegevens en werklocaties te krijgen, alsmede informatie over nog te verschijnen games en content. Gegevens van spelers en broncode zijn volgens Activision niet buitgemaakt. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om honderden servers waarop de R1Soft Server Backup Manager draait te voorzien van een backdoor en via de software verbonden clients aan te vallen. Dat stelt securitybedrijf Fox-IT op basis van eigen onderzoek. Server Backup Manager is een oplossing waarmee organisaties back-ups van werkstations en andere systemen binnen hun netwerk kunnen maken. Hiervoor wordt er een "agent" op de systemen geïnstalleerd die met verhoogde rechten draait en voor de connectie met de back-upserver zorgt. Vorig jaar mei verscheen er een beveiligingsupdate voor een kwetsbaarheid in het ZK Java Framework (CVE-2022-36537). De R1Soft Server Backup Manager blijkt van het ZK Framework gebruik te maken en onderzoekers demonstreerden afgelopen oktober hoe de kwetsbaarheid is te gebruiken om de authenticatie te omzeilen en vervolgens willekeurige code uit te voeren op de server en alle verbonden agents. Fox-IT deed naar eigen zeggen onderzoek bij een organisatie waar de aanvallers via een kwetsbare back-upserver waren binnengedrongen en vervolgens toegang tot verbonden systemen hadden gekregen. Verder onderzoek wees uit dat de aanvallers al op 29 november misbruik van de kwetsbaarheid hadden gemaakt. Op 9 december verschenen er proof-of-concept exploits voor het beveiligingslek. Op kwetsbare back-upservers installeerden aanvallers een malafide driver die als backdoor fungeert. Onderzoekers ontdekten vorige maand 286 R1Soft-servers die van de backdoor waren voorzien. Het grootste deel daarvan werd in de Verenigde Staten, Zuid-Korea en het Verenigd Koninkrijk aangetroffen. Fox-IT waarschuwde het Nationaal Cyber Security Centrum (NCSC), dat vervolgens nationale Computer Emergency Response Teams informeerde, zodat die weer de getroffen organisaties konden inlichten. Hierdoor is het aantal back-upservers met een backdoor inmiddels naar 146 gedaald. bron: https://www.security.nl

Aanvallers maken actief misbruik van kritieke kwetsbaarheden in IBM Aspera Faspex en Mitel MiVoice Connect voor het aanvallen van organisaties, zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Het zou onder andere om ransomware-aanvallen gaan. IBM Aspera Faspex is een webapplicatie voor het uitwisselen van bestanden en draait op een Aspera-server. Op 26 januari kwam IBM met een beveiligingsupdate voor een kritieke kwetsbaarheid in Aspera Faspex, aangeduid als CVE-2022-47986. Door een speciaal geprepareerde API-call te versturen kan een aanvaller willekeurige code op het systeem uitvoeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Op 13 februari meldde de Shadowserver Foundation, een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich met de bestrijding van botnets en cybercrime bezighoudt, dat aanvallers misbruik van de kwetsbaarheid maken. De eerste gedetecteerde aanvalspogingen bleken van 3 februari te dateren, een week na het uitkomen van de beveiligingsupdate. Volgens beveiligingsonderzoeker Raphael Mendonca wordt CVE-2022-47986 gebruikt voor ransomware-aanvallen op kwetsbare servers. Ook het CISA meldt nu misbruik van het Aspera-lek. Tevens stelt de Amerikaanse overheidsinstantie dat aanvallers ook misbruik maken van twee kwetsbaarheden in Mitel MiVoice Connect. Het gaat om CVE-2022-41223 en CVE-2022-40765. Mitel MiVoice Connect is een voip-platform voor organisaties dat communicatie- en collaboration tools via één interface aanbiedt. Het draait zowel op fysieke als virtuele hardware. Via de beveiligingslekken kan een geauthenticeerde aanvaller willekeurige code of commando's op het systeem uitvoeren. Details over de aanvallen zijn niet gegeven. In het verleden is een andere kwetsbaarheid in Mitel MiVoice Connect gebruikt bij ransomware-aanvallen, zo ontdekte securitybedrijf CrowdStrike destijds. De twee Mitel-beveiligingslekken waar het CISA nu voor waarschuwt zijn ook door CrowdStrike gevonden. Het CISA heeft Amerikaanse overheidsinstanties opgedragen om de updates voor Aspera en Mitel voor 14 maart te installeren mocht dat nog niet zijn gedaan. bron: https://www.security.nl

Nederland is een voorbeeld als het gaat om beleid voor het melden van kwetsbaarheden, zo stelt het Europees Agentschap voor cyberbeveiliging (ENISA), dat in een nieuw rapport pleit voor een geharmoniseerde aanpak. Via Coordinated Vulnerability Disclosure (CVD) worden regels afgesproken voor het melden van kwetsbaarheden. De Nederlandse overheid maakt al jaren gebruik van de 'Leidraad Coordinated Vulnerability Disclosure'. Zo weten beveiligingsonderzoekers waar ze aan moeten voldoen voor het melden van kwetsbaarheden en hoe de verdere communicatie verloopt. De betreffende organisatie zal dan geen aangifte van strafrechtelijk handelen doen. Als onderdeel van de Europese beveiligingsrichtlijn NIS2 moeten alle EU-landen uiterlijk 17 oktober 2024 over CVD-beleid beschikken. Op dit moment zijn er slechts vier EU-landen die over CVD-beleid beschikken, aldus ENISA. Het gaat om Nederland, België, Frankrijk en Litouwen. Volgens ENISA kan nationaal CVD-beleid een belangrijk voorbeeld voor de industrie zijn om vulnerability management en security practices prioriteit te maken. Het huidige CVD-ecosysteem is echter gefragmenteerd. Het is dan ook belangrijk om tot een geharmoniseerd, heterogeen CVD-beleid te komen, gaat het Europese agentschap verder. ENISA stelt ook dat onderwijs en bewustzijn prioriteit moeten krijgen. "Hoewel kwetsbaarheden en vulnerability management in cybersecurity al decennia bestaan, wordt een 'security-by-default' aanpak voor productontwikkeling nog zelden gezien bij ontwikkelaars en fabrikanten. Er zijn nog steeds voorbeelden van professionals die geen volledig begrip hebben van actuele problemen en beschikbare oplossingen." bron: https://www.security.nl

Gebruikers van Firefox kunnen in de toekomst zonder beperkingen van adblockers gebruik blijven maken, in tegenstelling tot gebruikers van Google Chrome, zo stelt adblocker-ontwikkelaar AdGuard, dat spreekt over de "Chromapocalypse". De manier waarop extensies binnen Chrome en andere Chromium-gebaseerde browsers mogen werken worden door Google vastgesteld in een Manifest. Het techbedrijf is bezig met de uitrol van Manifest V3. Deze versie stelt allerlei beperkingen aan adblockers, waardoor die minder effectief worden. Zo wordt onder andere de webRequest API uitgefaseerd. Adblockers maken van deze API gebruik voor het onderscheppen, blokkeren, doorsturen en aanpassen van in- en uitgaand verkeer van de browser. Daarnaast beperkt Manifest V3 het aantal ingebouwde en door gebruikers toe te voegen rules. AdBlockers maken gebruik van filterregels om advertenties en trackers te blokkeren. Chrome stelt een limiet van 30.000 statische, ingebouwde rules per extensie en een totale limiet van 330.000 rules. Het aantal rules dat gebruikers kunnen toevoegen is beperkt tot 5.000. De door Google opgelegde beperkingen kunnen dan ook echt een probleem worden, aldus AdGuard. Verder wil Google dat de filterregels waar adblockers gebruik van maken al tijdens de installatie aanwezig zijn. Daardoor is het niet meer mogelijk voor ontwikkelaars om op het moment dat het nodig is in real-time nieuwe regels uit te brengen, waardoor adblockers trager op aanpassingen van advertentiebedrijven kunnen reageren. Een ontwikkelaar zal voor elke aanpassing namelijk eerst een compleet nieuwe versie van de extensie moeten uploaden. Die versie moet vervolgens worden goedgekeurd, wat volgens AdGuard ook geen snel proces is. Mozilla maakt ook gebruik van de Manifest-regels, zodat extensie-ontwikkelaars geen aparte extensie voor Firefox en de Chromium-gebaseerde browsers hoeven te ontwikkelen. De Firefox-ontwikkelaar heeft echter voor een implementatie van Manifest V3 gekozen waardoor adblockers nog steeds onbeperkt in de browser kunnen werken, tot grote tevredenheid van AdGuard. "In vergelijking met Firefox-gebruikers, die van de volledige functionaliteit van adblockers kunnen blijven profiteren, zullen de drie miljard gebruikers van Chrome zich binnenkort op achterstand bevinden als het om adblockers gaat. Op de lange termijn kan dit voor sommige Chrome-gebruikers reden zijn om naar Firefox over te stappen", zo stelt de adblocker-ontwikkelaar. bron: https://www.security.nl

De afgelopen dagen zijn honderden VMware ESXi-servers besmet geraakt met ransomware, waaronder zo'n dertig in Nederland. Dat meldt securitybedrijf Censys op basis van eigen onderzoek. Hoe de aanvallers toegang weten te krijgen is nog altijd onbekend. De afgelopen weken werd vaak gesteld dat de aanvallers gebruikmaakten van een kwetsbaarheid aangeduid als CVE-2021-21974, maar dat is volgens VMware niet bevestigd. In totaal detecteerde Censys de afgelopen dagen vijfhonderd nieuw besmette ESXi-servers. "De plotselinge toename van aanvallen is met name interessant, omdat de meeste van deze nieuw besmette hosts zich bevinden in Frankrijk, Duitsland, Nederland en het Verenigd Koninkrijk", aldus Censys. In Nederland gaat het om 28 machines. Het securitybedrijf stelt verder aanwijzingen te hebben gevonden dat de huidige ransomware-aanvallen zijn vooraf gegaan door een eerdere aanval in oktober vorig jaar. Het is nog altijd onduidelijk hoe de aanvallers weten toe te slaan. Eerder liet VMware weten dat de aanvallers geen gebruik van een onbekende kwetsbaarheid maken. Welk beveiligingslek dan wel kan het bedrijf niet zeggen. VMware krijgt bijval van securitybedrijf GreyNoise, dat ook stelt dat de aanvalsvector op dit moment nog onbekend is en er mogelijk meerdere kandidaten zijn. ESXi, onderdeel van VMware's vSphere, is een 'bare metal hypervisor' voor het virtualiseren van besturingssystemen. De virtualisatiesoftware wordt direct op een server geïnstalleerd en kan vervolgens het gevirtualiseerde besturingssysteem laden. Begin februari werden ESXi-servers wereldwijd het doelwit van een ransomware-aanval. Zodra er toegang is verkregen versleutelt de ransomware de configuratiebestanden op de ESXi-servers, waardoor de aangemaakte virtual machines onbruikbaar zijn geworden. bron: https://www.security.nl

Ruim 77.000 Nederlandse domeinnamen maken inmiddels gebruik van security.txt, een bestand waarmee organisaties en websites hun beleid voor het omgaan met beveiligingslekken kunnen vermelden. Dat laat het Digital Trust Center (DTC) van het ministerie van Economische Zaken vandaag weten. Vorige week meldde Security.NL dat het Forum Standaardisatie adviseert om het gebruik van security.txt te verplichten voor Nederlandse overheden, zoals het Rijk, provincies, gemeenten en waterschappen en instellingen uit de publieke sector. Volgens de bedenkers van security.txt beschikken onafhankelijke beveiligingsonderzoekers vaak niet over de kanalen om kwetsbaarheden te melden. Hierdoor kan het gebeuren dat gevonden beveiligingslekken niet worden gerapporteerd. Via security.txt moet het proces rond het melden en afhandelen van gevonden beveiligingsproblemen worden gestroomlijnd en versneld. Vorig jaar oktober heeft het DTC samen met een groot aantal ambassadeurs een oproep aan bedrijven en it-dienstverleners gedaan om security.txt te gaan gebruiken. Sinds die oproep is het aantal Nederlandse domeinnamen dat voorzien is van een security.txt-bestand gegroeid naar ruim 77.000, aldus het DTC. Hoewel het Forum Standaardisatie pleit om security.txt voor overheden te verplichten, ziet het Digital Trust Center graag dat ook de private sector dit voorbeeld volgt. Via Internetconsultatie.nl kan er tot 12 maart op het advies van het Forum Standaardisatie worden gereageerd. "Experts stellen vast dat er voldoende ervaring en draagvlag is binnen de Nederlandse overheid voor security.txt. De standaard heeft een lage drempel voor de (technische) implementatie ervan. Er is ondersteuning beschikbaar (kennis en tools) vanuit de Nederlandse overheid die wordt voortgezet na verplichting van security.txt aan overheden", aldus een uitleg bij de consultatie. bron: https://www.security.nl

De makers van de gratis opensource-virusscanner ClamAV hebben een belangrijke beveiligingsupdate uitgebracht die onder andere een kritieke kwetsbaarheid verhelpt waardoor remote code execution mogelijk is. Een aanvaller zou zo via de antivirussoftware het systeem kunnen overnemen. Het probleem is aanwezig in de HFS+ parser van de virusscanner. Door ClamAV een speciaal geprepareerde HFS+ partitie te laten scannen kan een heap buffer overflow write ontstaan en kan een aanvaller willekeurige code met rechten van de ClamAV-scanner op het systeem uitvoeren. De impact van de kwetsbaarheid, aangeduid als CVE-2023-20032, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het beveiligingslek is aanwezig in ClamAV 1.0.0 en eerder, versie 0.105.1 en eerder en versie 0.103.7. Gebruikers wordt aangeraden om te updaten naar ClamAV 0.103.8, 0.105.2 of 1.0.1. bron: https://www.security.nl

Tijdens de patchdinsdag van februari heeft Microsoft 75 kwetsbaarheden in meerdere producten verholpen, waaronder drie actief aangevallen zerodaylekken in Windows en Office. Het gaat om twee beveiligingslekken in Windows waardoor een aanvaller die al toegang tot het systeem heeft zijn rechten kan verhogen. De derde zeroday bevindt zich in Office en wordt door Microsoft omschreven als een "Security Features Bypass" kwetsbaarheid. De zerodays in Windows bevinden zich in de Windows Common Log File System Driver (CVE-2023-23376) en het Windows Graphics Component (CVE-2023-21823). In de eerstgenoemde werden vorig jaar ook al twee zerodays verholpen. In het geval van de kwetsbaarheid in Office is het mogelijk om instellingen die het openen van macro's voorkomen te omzeilen. Een andere kwetsbaarheid (CVE-2023-21716) die deze maand de aandacht verdient bevindt zich in Microsoft Word. Het beveiligingslek maakt remote code execution mogelijk. De kwetsbaarheid is via de Preview Pane (voorbeeldvenster) van Outlook te misbruiken. Een aanvaller kan een e-mail met een speciaal geprepareerd RTF-bestand versturen en zo code op het systeem van de gebruiker uitvoeren. De updates van deze maand zullen op de meeste systemen automatisch worden geïnstalleerd. bron: https://www.security.nl

Nog minder dan zestig dagen en dan stopt Microsoft de ondersteuning van Exchange Server 2013, zo waarschuwt het techbedrijf. Vanaf 11 april zal de mailserversoftware geen beveiligingsupdates ontvangen, maar ook technische ondersteuning en bugfixes zullen dan niet meer beschikbaar zijn. Microsoft stelt dat de software gewoon zal blijven werken. Vanwege de risico's worden organisaties opgeroepen zo snel mogelijk naar Exchange Online of Exchange Server 2019 te upgraden. Ook het bedrijf een uitleg online geplaatst hoe de oude Exchange 2013-omgeving is uit te faseren. De Franse overheid stelde vorige week nog dat er vorig jaar veel misbruik is gemaakt van kwetsbaarheden in Exchange. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om via het SendGrid-account van registrar Namecheap phishingmails te versturen. Daarop besloot het bedrijf om tijdelijk geen e-mails meer te versturen, waaronder authenticatiecodes en wachtwoordresetmails, te stoppen. SendGrid is een marketingplatform voor e-mail. Tal van bedrijven gebruiken de dienst voor onder andere het versturen van marketingmails, nieuwsbrieven en andere communicatie. Dit weekend bleek dat aanvallers via het SendGrid-account van Namecheap phishingmails hadden verstuurd die van Metamask en DHL afkomstig leken. Namecheap heeft de phishingaanvallen via SendGrid bevestigd. De registrar stelt in een verklaring dat de eigen systemen niet zijn gecompromitteerd en producten, accounts en persoonlijke informatie van klanten veilig zijn. Hoe het SendGrid-account kon worden gekaapt laat het bedrijf niet weten. Naar aanleiding van de aanval besloot Namechap om tijdelijk te stoppen met het versturen e-mails, waaronder ook authenticatiecodes, wachtwoordresetmails en verificatie van 'trusted devices'. Vanochtend laat het bedrijf weten dat de 'mail delivery' is hersteld. Er is een onderzoek naar de aanval ingesteld en Namecheap zegt met meer informatie te komen zodra het bekend is. bron: https://www.security.nl

Microsoft heeft het einde van de Windows Support Diagnostic Tool (MSDT) aangekondigd. In 2025 zal het MSDT-platform volledig verdwijnen. Vorig jaar werden nog twee zerodaylekken in het programma gebruikt bij aanvallen op Windowsgebruikers. Via de diagnostische tool is het mogelijk om Windowsproblemen vast te stellen. MSDT verzamelt gegevens van het systeem waarmee "technical support agents" op afstand het probleem kunnen vaststellen en mogelijk oplossen. Microsoft wil MSDT nu vervangen door het Get Help "troubleshooting platform". Ook via dit platform kunnen gebruikers in contact komen met een helpdeskmedewerker om het probleem op te lossen. Dit jaar zal Microsoft gebruikers van MSDT in bepaalde gevallen doorsturen naar het Get Help-platform. In 2024 zal dit in alle gevallen gebeuren en in 2025 wordt het MSDT-platform verwijderd. Microsoft geeft geen reden voor het uitfaseren van MSDT, maar website Neowin vermoedt dat het is bedoeld om toekomstige Windowsversies, zoals Windows 12, veiliger te maken. bron: https://www.security.nl

Bijna negentienduizend VMware ESXi-servers missen de beveiligingsupdate waar de huidige ransomware-aanvallen vermoedelijk actief misbruik van maken. Daarnaast hebben de aanvallers bij negenhonderd al besmette servers een nieuwe ransomware-versie geïnstalleerd waarvoor de eerdere herstelscripts niet werken. Dat melden securitybedrijf Rapid7 en Censys. ESXi, onderdeel van VMware's vSphere, is een 'bare metal hypervisor' voor het virtualiseren van besturingssystemen. De virtualisatiesoftware wordt direct op een server geïnstalleerd en kan vervolgens het gevirtualiseerde besturingssysteem laden. In februari 2021 kwam VMWare met beveiligingsupdates voor meerdere kwetsbaarheden in de software, waaronder CVE-2021-21974. Via dit beveiligingslek kan een aanvaller op kwetsbare servers code uitvoeren. De huidige ransomware-aanvallen zouden misbruik van deze kwetsbaarheid maken. Volgens Rapid7 zijn er op internet nog bijna negentienduizend ESXi-servers te vinden waar de beveiligingsupdate voor CVE-2021-21974 niet is geïnstalleerd. Dat stelt het securitybedrijf op basis van eigen onderzoek. Bij de aanvallen wordt de ESXiArgs-ransomware geïnstalleerd. Zodra er toegang is verkregen versleutelt de ransomware de configuratiebestanden op de ESXi-servers, waardoor de aangemaakte virtual machines onbruikbaar zijn geworden. Onderzoekers ontdekten een manier om de versleutelde configuratiebestanden op basis van een onversleuteld flat-bestand te herstellen. Vervolgens kwam de Amerikaanse overheid met een eigen herstelscript. In een reactie op deze ontdekking kwamen de aanvallers met een nieuwe ransomware-versie die deze kwetsbaarheid niet bevat en niet via het herstelscript is te herstellen. Securitybedrijf Censys laat weten dat de aanvallers deze ransomware op al besmette ESXi-servers uitrollen. Al meer dan negenhonderd gecompromitteerde servers hebben deze "upgrade" ontvangen. Daarnaast stellen de onderzoekers van het bedrijf dat de aanvallers geen gebruikmaken van een kwetsbaarheid in OpenSLP, zoals aanwezig in CVE-2021-21974. SLP (Service Location Protocol) is een protocol waarmee netwerkapplicaties het bestaan, de locatie en configuratie van netwerkdiensten op het netwerk kunnen vinden. Naar aanleiding van de aanvallen kregen beheerders het advies om OpenSLP op ESXi-servers uit te schakelen, maar verschillende slachtoffers van de ransomware laten weten dat dit bij hun al het geval was. Dat zou suggereren dat de aanvallers geen gebruik van CVE-2021-21974 maken, aldus Censys. Wat dan wel de gebruikte aanvalsvector is laat het bedrijf niet weten. bron: https://www.security.nl

Een aanvaller heeft via een phishingaanval toegang tot interne systemen en data van Reddit gekregen, zo heeft het populaire internetplatform bekendgemaakt. De aanval werd op 5 februari opgemerkt. Verschillende medewerkers ontvingen een phishingbericht dat naar een phishingsite leidde. Volgens Reddit had de aanvaller de intranet gateway van het platform nagemaakt. Eén medewerker logde uiteindelijk op de phishingsite in. Via de gegevens van deze medewerker kreeg de aanvaller toegang tot interne documenten, code, interne dashboards en zakelijke systemen. Er zijn volgens Reddit geen aanwijzingen dat de primaire productiesystemen zijn getroffen. Op deze systemen draait Reddit en is het grootste deel van de data opgeslagen. De medewerker die op de phishingsite inlogde rapporteerde dit zelf aan het securityteam van Reddit, waarna de toegang van de aanvaller ongedaan werd gemaakt en een onderzoek ingesteld. Reddit heeft voor alle medewerkers het gebruik van tweefactorauthenticatie verplicht en adviseert gebruikers dit ook in te stellen. bron: https://www.security.nl

Criminelen hebben wereldwijd 3800 VMware ESXi-servers met ransomware weten te infecteren, zo stellen de FBI en het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA). In Nederland zou het om zo'n 140 servers gaan, aldus securitybedrijf Censys. Inmiddels maken de aanvallers gebruik van aangepaste ransomware die niet via eerder beschikbaar gestelde scripts is te herstellen. ESXi, onderdeel van VMware's vSphere, is een 'bare metal hypervisor' voor het virtualiseren van besturingssystemen. De virtualisatiesoftware wordt direct op een server geïnstalleerd en kan vervolgens het gevirtualiseerde besturingssysteem laden. Bij de nu waargenomen ransomware-aanvallen maken de aanvallers waarschijnlijk gebruik van bekende kwetsbaarheden, zo stellen de FBI en het CISA. Zodra er toegang is verkregen versleutelt de ransomware de configuratiebestanden op de ESXi-servers, waardoor de aangemaakte virtual machines onbruikbaar zijn geworden. Onderzoekers ontdekten een manier om de versleutelde configuratiebestanden op basis van een onversleuteld flat-bestand te herstellen. Vervolgens kwam het CISA met een eigen herstelscript en heeft ook een uitgebreidere uitleg gepubliceerd hoe getroffen systemen zijn te herstellen. Naar aanleiding van de herstelmogelijkheden maken de aanvallers nu gebruik van een versie die veel meer data versleutelt, waardoor herstel niet meer via de huidige opties mogelijk is, zo meldt Bleeping Computer. De FBI en het CISA roepen organisaties op om hun ESXi-software te updaten, de Service Location Protocol (SLP) service uit te schakelen en ervoor te zorgen dat de ESXi-hypervisor niet toegankelijk vanaf het internet is. Verder adviseren de Amerikaanse overheidsinstanties om het losgeld dat de aanvallers vragen niet te betalen. bron: https://www.security.nl