Captain Kirk

Onderzoekers hebben op internet twintigduizend vpn-routers van Cisco aangetroffen die een kritieke kwetsbaarheid bevatten. Aangezien de apparaten end-of-life zijn kondigde Cisco eerder al aan het beveiligingslek niet te zullen verhelpen. Een proof-of-concept exploit om misbruik van de kwetsbaarheid te maken is volgens Cisco op internet beschikbaar, maar het netwerkbedrijf heeft nog geen daadwerkelijke aanvallen waargenomen. Het probleem speelt in de RV016, RV042, RV042G en RV082 vpn-routers. Dit is netwerkapparatuur bedoeld voor het mkb. Een kwetsbaarheid in de apparaten (CVE-2023-20025) maakt het mogelijk voor een ongeauthenticeerde aanvaller om de authenticatie te omzeilen en het apparaat over te nemen. Alleen het versturen van een speciaal geprepareerd http-request naar de webinterface maakt het mogelijk voor een aanvaller om root-toegang tot de router te krijgen. Securitybedrijf Censys voerde een scan uit en ontdekte op internet twintigduizend kwetsbare vpn-routers. Ruim twaalfduizend daarvan zijn de RV042. Het grootste deel van apparaten werd in de Verenigde Staten aangetroffen, gevolgd door Canada en India. Aangezien de routers end-of-life zijn zal Cisco zoals gezegd geen updates uitbrengen om de kwetsbaarheid te verhelpen. Als mitigatie adviseert het netwerkbedrijf om remote management uit te schakelen en toegang tot poorten 443 en 60443 te blokkeren. bron: https://www.security.nl

Het is de FBI gelukt om het ip-adres te achterhalen van iemand die een Tor-website bezocht en de Amerikaanse opsporingsdienst wil niet dat openbaar wordt hoe het dit deed. Dat meldt Vice Magazine. De verdachte in deze zaak werd in mei 2020 aangeklaagd op verdenking van het verlenen van support aan terreurorganisatie IS. De man zou een IS-gerelateerde website op het Tor-netwerk hebben bezocht. Het Tor-netwerk bestaat uit verschillende servers van vrijwilligers waarover het verkeer loopt. De laatste server in deze keten is de exitnode of exitrelay. Via deze server wordt het verzoek van de Tor-gebruiker naar het internet gestuurd. In het verleden zijn er verschillende incidenten met malafide exitnodes geweest die aanvallen op gebruikers uitvoerden. Tor biedt daarnaast de mogelijkheid voor het hosten van websites, de zogeheten onion-sites, die alleen vanaf het Tor-netwerk toegankelijk zijn. Er is een verschil tussen het gebruik van Tor Browser om een website op het 'normale' internet te bezoeken en het apart hosten van een onion-site op het Tor-netwerk die via Tor Browser wordt bezocht. In het eerste geval waarbij de 'normale' website via Tor Browser wordt bezocht is er nog altijd het risico van de exitnode. Door een website op het Tor-netwerk zelf te starten wordt dit risico weggenomen, omdat het verkeer op het Tor-netwerk blijft. Het Tor-netwerk is zo opgezet dat het echte ip-adres van gebruikers niet zomaar te achterhalen is. Toch lukte dit de FBI. De verdachte zou de Tor-website vanaf een ip-adres gekoppeld aan het adres van zijn oma hebben bezocht. De FBI wist ook precies wat de man op de website deed. Advocaten van het ministerie van Justitie willen niet zeggen hoe de opsporingsdienst het adres van de verdachte kon achterhalen en willen ook niet dat dit openbaar wordt. "De overheid weigert informatie over de Tor-operatie te geven", zo laat de advocaat van de verdachte tegenover Vice Magazine weten. De advocaat meldt verder dat de openbaar aanklager erin is geslaagd om zijn verzoek tot meer informatie als een "zeer gevoelig document" te laten bestempelen. In het verleden heeft de FBI websites nagemaakt en zerodaylekken gebruikt om ip-adressen van verdachten te achterhalen. "Er zijn veel verschillende manieren om Tor-gebruikers te de-anonimiseren", laat beveiligingsexpert Bruce Schneier in een reactie op het nieuws weten. Zo sluit Schneier niet uit dat de NSA verantwoordelijk voor de surveillance was en de informatie doorspeelde aan de FBI. bron: https://www.security.nl

Mozilla heeft vandaag Firefox 109 gelanceerd met standaard support voor Manifest V3-extensies, maar zonder dat dit ten koste gaat van adblockers zoals bij Google Chrome het geval is, zo laat de browserontwikkelaar weten. Manifest V3 bevat specificaties waar browser-extensies aan moeten voldoen. Twee jaar geleden kondigde Google Manifest V3 aan. Eén van de aanpassingen in het nieuwe manifest betreft het uitfaseren van de webRequest API. Adblockers maken van deze API gebruik voor het onderscheppen, blokkeren, doorsturen en aanpassen van in- en uitgaand verkeer van de browser. Volgens Mozilla is het belangrijk om Manifest V3 ook binnen Firefox te ondersteunen, omdat extensie-ontwikkelaars anders twee compleet verschillende versies van hun extensies moeten ondersteunen. Als het echter om privacy en security gaat zijn echter andere keuzes nodig, aldus Mozilla. Daarom heeft de browsreontwikkelaar besloten om te kiezen voor een andere Manifest V3-implementatie binnen Firefox. Hierdoor zouden adblockers ongestoord moeten blijven werken. "Contentblockers zijn superbelangrijk voor privacybewuste Firefox-gebruikers", stelt Mozilla. Adblockers zijn de populairste categorie extensies voor Firefox. "Ze voorkomen niet alleen dat vervelende advertenties je op internet volgen, ze maken ook het browsen sneller en naadloos", gaat Mozilla verder. De browserontwikkelaar stelt dat een derde van de Firefox-gebruikers een extensies heeft geïnstalleerd. "De Manifest V3-implementatie van Firefox zorgt ervoor dat gebruikers de beste privacytools, zoals uBlock Origin en andere contentblockers en privacybeschermende extensies, kunnen blijven gebruiken." Manifest V3-extensies worden standaard in Firefox 109 ondersteund, maar support voor Manifest V2-extensies is vooralsnog ook aanwezig. Updaten naar de nieuwe Firefox-versie kan via de automatische updatefunctie. bron: https://www.security.nl

De Belgische politie adviseert internetgebruikers om adblocker AdBlock te gebruiken, om zo infecties via malafide advertenties te voorkomen. Onlangs adviseerde ook de FBI het gebruik van een adblocker. "Volgens heel wat beveiligingsfirma's neemt de activiteit van de hackers enorm toe. Deze week beschrijven we verschillende methoden die ze gebruiken om zich toegang te verschaffen tot onze gegevens", zo laat de Belgische Federale Politie vandaag weten. Het gaat dan om misbruik van kwetsbaarheden, malware en zwakke wachtwoorden. De Federale Politie geeft vervolgens verschillende tips waarmee internetgebruikers zich kunnen beschermen. "De eerste is het installeren van een advertentieblokker in je browser, omdat de getoonde reclame de installatie van een virus mogelijk maakt. We raden dus AdBlock aan die zeer goed werkt." Verder wordt het gebruik van antivirus- en antispamsoftware aangeraden. AdBlock behoort samen met Adblock Plus, uBlock Origin en AdGuard tot de meestgebruikte adblockers. Recentelijk adviseerde ook de FBI het gebruik van adblockers, specifiek bij het gebruik van online zoekmachines. Aanleiding is het gebruik van advertenties door criminelen voor op het eerste gezicht bekende software en diensten die internetgebruikers in werkelijkheid doorsturen naar malafide websites. bron: https://www.security.nl

De ransomware-aanval op de Royal Mail raakt ook tal van Britse bedrijven, aangezien die al een week lang geen post en pakketten via het Britse postbedrijf kunnen versturen en het ook onbekend is wanneer de dienstverlening wordt hervat. De aanval deed zich op 10 januari voor en heeft voor zover bekend zes magazijnen van Royal Mail geraakt, waaronder het globale distributiecentrum in Heathrow. Bij de aanval zijn de machines versleuteld die worden gebruikt voor het printen van de verzendlabels voor het versturen van pakketten naar internationale bestemmingen. De Royal Mail heeft al dagen geen updates gegeven. Het postbedrijf spreekt nog steeds over een "cyberincident" en roept klanten op om geen post of pakketten naar internationale bestemmingen te sturen. Wanneer de problemen zijn verholpen of workarounds beschikbaar zijn laat Royal Mail niet weten. "Zoals met alle technische problemen moesten we een hoop zaken uitsluiten dat we alleen nauwkeurige informatie deelden", aldus een woordvoerder van het postbedrijf tegenover de BBC. Meerdere media melden dat op meerdere locaties van de Royal Mail de printers losgeldboodschappen van de verantwoordelijke ransomwaregroep printten. Verschillende bedrijven die van het Britse postbedrijf afhankelijk zijn voor het versturen van poststukken doen tegenover de BBC hun verhaal en hekelen vooral het uitblijven van verdere informatie, zodat ze weten waar ze aan toe zijn. Naar schatting bevinden zich een half miljoen pakketten in limbo, waardoor getroffen bedrijven hun klanten nu moeten vergoeden of negatieve recensies op websites krijgen. bron: https://www.security.nl

MSI hanteert op honderden moederborden een onveilige instelling voor Secure Boot, waardoor de feature net zo goed uit had kunnen staan, zo stelt beveiligingsonderzoeker Dawid Potocki. Secure Boot moet ervoor zorgen dat alleen software wordt geladen die de fabrikant vertrouwt. Tijdens het starten van de pc controleert de firmware de digitale handtekening van de bootsoftware, firmware-drivers, EFI-applicaties en het besturingssysteem. Door de controle moet de installatie van bijvoorbeeld rootkits worden voorkomen. MSI heeft in de eigen firmware echter een aanpassing aan Secure Boot doorgevoerd, waardoor het systeem ook bij overtredingen van de Security Boot policy zal starten, zo stelt Potocki. Hierdoor is het mogelijk om elk willekeurig OS-image te laden, ongeacht of die wordt vertrouwd of niet. Het gaat specifiek om de Image Execution Policy, die standaard op altijd uitvoeren staat. Daardoor wordt het systeem ook bij policy-overtredingen gestart. Het probleem zou begin 2021 in de firmware van MSI zijn geïntroduceerd. Potocki stelt dat hij MSI heeft gewaarschuwd, maar geen reactie van de elektronicafabrikant kreeg. Het probleem speelt bij zo'n driehonderd verschillende MSI-moederborden. Gebruikers van een MSI-moederbord wordt aangeraden om bij Image Execution Policy de optie "Always Execute" op "Deny Execute" voor "Removable Media" en "Fixed Media" te zetten. bron: https://www.security.nl

De Royal Mail is nog altijd niet hersteld van de grote ransomware-aanval waardoor het vorige week werd getroffen, wat inhoudt dat het Britse postbedrijf geen internationale post en pakketten kan versturen. The Times meldde afgelopen vrijdag dat een team van meer dan honderd mensen bezig is om een oplossing te vinden, maar de statuspagina van de Royal Mail laat weten dat het nog altijd geen post internationaal kan versturen en roept mensen op om geen pakketten op de post te doen. In totaal zijn zes magazijnen van het postbedrijf getroffen, waaronder het wereldwijde distributiecentrum in Heathrow. De Royal Mail is door de Britse overheid aangewezen als vitale infrastructuur. De aanval is uitgevoerd met de Lockbit-ransomware. Deze groep liet eerder weten dat het geen vitale infrastructuur aanvalt. LockBit wordt aangeboden als een Ransomware-as-a-Service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. Onlangs werd ook het grootste kinderziekenhuis van Canada getroffen door de Lockbit-ransomware. Toen liet de groep weten dat de verantwoordelijke partner de regels had overtreden en kreeg het ziekenhuis een gratis decryptietool. The Record heeft een interview met security-analist Jon DiMaggio, die onderzoek naar de vermeende leider van de Lockbit-groep deed. Hoe de Royal Mail besmet kon raken is niet bekend. bron: https://www.security.nl

Het kabinet moet de plannen van de Europese Commissie om alle chatberichten en ander internetverkeer van burgers te controleren tegenhouden, zo vindt burgerrechtenbeweging Bits of Freedom. Brussel wil chatdiensten en andere techbedrijven verplichten om alle berichten en andere content van gebruikers te controleren op kindermisbruik en grooming. Volgens Rejo Zenger, beleidsadviseur van Bits of Freedom, heeft de Europese Commissie weinig oog voor de neveneffecten. Zo denkt hij dat het plan de vertrouwelijkheid van communicatie op het internet voor iedereen zal ondermijnen. "Inclusief internetgebruikers die ze nu juist wil beschermen", gaat Zenger verder, die toevoegt dat de kunstmatige intelligentie die voor het detecteren wordt ingezet notoir slecht is in het herkennen van context. Ook noemt Zenger het voorstel van de Europese Commissie veel te breed en niet proportioneel. "Dat voorstel is te vergelijken met een voorstel om in alle kinderkamers camera’s op te hangen om te zien of er soms kinderen mishandeld worden. Niemand zou dat proportioneel vinden, want in onze rechtsstaat handelen we op grond van concrete verdenkingen." De beleidsadviseur van Bits of Freedom verwacht dat het onderwerp door de Tweede Kamer zal worden besproken. "Wij zijn bezorgd over de veiligheid van jongeren als de kans op het lekken van hun privéwereld groter wordt. Nederland weet door de toeslagenaffaire wat kunstmatige intelligentie kan aanrichten." Volgens Zenger moeten overheden de rechten van hun burgers beschermen, die van slachtoffers én van onschuldige passanten. "En als dat op Europees niveau mis dreigt te gaan, moet de Nederlandse overheid daar een stokje voor steken." bron: https://www.security.nl

De inbraak bij het populaire devops-platform CircleCI was mogelijk door malware die de '2FA-backed' SSO-sessie van een engineer wist te stelen, zo laat het bedrijf in een rapport over het incident weten. De malware werd niet door de antivirussoftware op de laptop van de engineer gedetecteerd. Het platform van CircleCI wordt gebruikt voor het ontwikkelen, testen en uitrollen van software. Begin januari liet het bedrijf weten dat het was getroffen door een beveiligingsincident en werden alle klanten opgeroepen om direct al hun secrets zoals wachtwoorden te roteren. Verder werd klanten verzocht om hun logbestanden op ongeautoriseerde toegang tot systemen te controleren in de periode van 21 december 2022 tot en met 4 januari 2023. In het incidentrapport laat CircleCI weten dat het op 29 december door een klant over verdachte GitHub OAuth-activiteit werd gewaarschuwd. Een dag later bleek dat het GitHub OAuth-token van deze niet nader genoemde klant was gestolen. CircleCI biedt de mogelijkheid om het platform met dat van ontwikkelaarsplatform GitHub te integreren. Daarvoor wordt gebruikgemaakt van tokens. Via bij CircleCI gestolen tokens kan er zo toegang tot de GitHub-omgeving worden verkregen. Verder onderzoek wees uit dat de aanval was begonnen via de laptop van een engineer. Zijn computer was op 16 december 2022 besmet geraakt met malware die de '2FA-backed' SSO-sessie wist te stelen. Daarmee kon de aanvaller zich voordoen als de engineer en toegang tot productiesystemen van CircleCI krijgen. De engineer in kwestie had de mogelijkheid om toegangstokens te genereren waarmee de aanvaller toegang kon kregen tot gevoelige gegevens van klanten, waaronder tokens, keys en databases. Deze data werd ook bij de aanval buitgemaakt. Hoewel de gegevens waren versleuteld werden ook de encryptiesleutels uit een draaiend proces gestolen, waardoor het ontsleutelen van de gestolen data mogelijk is. CircleCI stelt dat alle klanten die in de eerder genoemde periode gegevens bij het bedrijf hadden opgeslagen ervan moeten uitgaan dat hun data is buitgemaakt en gecompromitteerd. Met deze gegevens is er mogelijk ook toegang tot de systemen van klanten verkregen. Hoe de laptop van de engineer besmet kon raken is niet bekendgemaakt. CircleCI spreekt van een "geraffineerde aanval", maar geeft verder geen enkele details waarin dit wordt uitgelegd. Verder gaat het bedrijf de authenticatie aanscherpen en heeft het andere maatregelen aangekondigd. Er werd al gebruikgemaakt van tweefactorauthenticatie (2FA) om medewerkers in te laten loggen. CircleCI maakt daarbij gebruik van single sign-on authentication (SSO) waarbij personeel door één keer in te loggen toegang tot meerdere applicaties kan krijgen. bron: https://www.security.nl

Google gaat certificaatautoriteit TrustCor wegens veiligheidsredenen uit de Chrome Root Store verwijderen. Chrome-gebruikers krijgen vanaf maart een waarschuwing als ze websites bezoeken die gebruikmaken van certificaten uitgegeven door TrustCor. Eerder kondigden ook Mozilla en Microsoft maatregelen aan. Aanleiding om het vertrouwen in de certificaatautoriteit op te zeggen zijn de nauwe banden tussen TrustCor en Measurement Systems, een bedrijf dat Androidmalware verspreidt. Vorig jaar november lieten onderzoekers en de Wall Street Journal weten dat TrustCor en Measurement Systems nauw verweven met elkaar zijn en onder andere kantoorruimte, technische voorzieningen en personeel deelden. Het in Panama gevestigde Measurement Systems heeft weer banden met Packet Forensics, dat afluisterdiensten aan het Amerikaans leger leverde. Onderzoekers ontdekten begin 2022 dat Measurement Systems softwareontwikkelaars betaalde voor het toevoegen van malware aan hun apps, die persoonlijke informatie van gebruikers terugstuurde, waaronder telefoonnummers, e-mailadres en exacte locatie. De betreffende apps zijn vermoedelijk meer dan zestig miljoen keer gedownload, waaronder tien miljoen downloads voor een gebeds-app voor moslims. Nadat de onderzoekers hun bevindingen met Google deelden werden de apps uit de Play Store verwijderd. Naast Google werd ook Mozilla ingelicht over de connectie tussen Measurement Systems en TrustCor. De laatstgenoemde is zoals gezegd een rootcertificaatautoriteit. Browsers en besturingssystemen vertrouwen tls-certificaten, die websites voor een versleutelde verbinding gebruiken, alleen als ze het rootcertificaat vertrouwen waaronder het tls-certificaat is uitgegeven. Is het certificaat niet afkomstig van een certificaatautoriteit die in de root store is te vinden dan geeft de browser een certificaatwaarschuwing. Er zijn geen aanwijzingen dat TrustCor malafide tls-certificaten heeft uitgegeven, waarmee het bijvoorbeeld mogelijk is om verkeer van internetgebruikers via een man-in-the-middle-aanval te onderscheppen. Toch zijn de banden tussen de certificaatautoriteit en Measurement Systems onacceptabel, aldus Mozilla vorig jaar. Nu heeft ook Google maatregelen aangekondigd. Vanaf Chrome versie 111, die op 7 maart verschijnt, zullen certificaten van TrustCor niet meer worden vertrouwd. Hiervoor maakt Google gebruik van de geïntegreerde certificaat-blocklist en wordt TrustCor ook uit de Chrome Root Store verwijderd. Verder zal Android vanaf 7 maart de certificaten van TrustCor ook niet meer vertrouwen. bron: https://www.security.nl

Securitybedrijf NortonLifeLock heeft een onbekend aantal klanten gewaarschuwd dat criminelen hebben ingebroken op hun Norton Password Manager, een online wachtwoordmanager, en adviseert alle opgeslagen inloggegevens direct te wijzigen. De wachtwoordmanager is te gebruiken via een Norton-account en kan wachtwoorden genereren en opslaan in een "online kluis". De wachtwoordmanager is beschikbaar als browser-extensie en app voor Android en iOS. Volgens NortonLifeLock heeft een "ongeautoriseerde derde partij", met inloggegevens die via andere bronnen zijn verkregen, op het Norton-account van getroffen klanten ingelogd en kon zo ook toegang tot opgeslagen wachtwoorden krijgen. Dat blijkt uit een datalekmelding die het securitybedrijf bij de procureur-generaal van de Amerikaanse staat Vermont heeft gedaan (pdf). Het gaat hier om een credential stuffing-aanval. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen niet detecteren en blokkeren. Door op het Norton-account in te loggen heeft de aanvaller naam, telefoonnummer en adresgegevens in handen buitgemaakt. "We kunnen niet uitsluiten dat de ongeautoriseerde derde partij de gegevens in de wachtwoordmanager heeft verkregen, met name als je Password Manager key gelijk is, of erg lijkt, op die van je Norton-account", aldus de brief. De aanvaller kan de inloggegevens in de kluis vervolgens zelf gebruiken of delen met anderen, zo stelt NortonLifeLock verder. Het securitybedrijf heeft het wachtwoord van getroffen klanten gereset en adviseert, als klanten hetzelfde wachtwoord op ander websites gebruiken, het daar ook te wijzigen. Verder stelt NortonLifeLock dat klanten alle in de online wachtwoordmanager opgeslagen wachtwoorden direct moeten wijzigen. Tevens stelt het securitybedrijf dat klanten geregeld hun wachtwoorden zouden moeten wijzigen. Het periodiek wijzigen van wachtwoorden, tenzij er een datalek heeft plaatsgevonden, wordt door beveiligingsexperts en overheidsinstanties juist afgeraden omdat mensen dan vaak een zwakker wachtwoord kiezen. bron: https://www.security.nl

Nog minder dan negentig dagen en dan stopt Microsoft de ondersteuning van Exchange Server 2013, zo heeft het techbedrijf opnieuw gewaarschuwd. Kwetsbaarheden zullen dan niet meer worden verholpen. Hoewel de software blijft werken adviseert Microsoft organisaties om zo snel mogelijk naar Exchange Online of Exchange Server 2019 te migreren. Exchange Server 2013 verscheen in juli 2012. Op 11 april is de mailserversoftware "end of support" en biedt Microsoft geen ondersteuning meer. "Bij het uitfaseren van Exchange 2013 zijn de belangrijkste overwegingen het plannen van de uitfasering en monitoring, om zeker te weten dat niets meer met de te verwijderen servers verbinding maakt", zo liet het techbedrijf afgelopen augustus nog weten. bron: https://www.security.nl

Een zerodaylek in FortiOS SSL-VPN, waardoor een aanvaller op afstand kwetsbare vpn-servers kan overnemen, is gebruikt tegen overheden en grote organisaties waarbij de gebruikte malware alle sporen uit de logbestanden kan wissen, zo stelt Fortinet. Een maand geleden kwam Fortinet met een waarschuwing en beveiligingsupdate voor de kwetsbaarheid, aangeduid als CVE-2022-42475. Het beveiligingslek werd al voor het uitkomen van de patch misbruikt. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. Bij de initiële waarschuwing gaf Fortinet geen details, maar heeft dat in een nieuwe analyse nu wel gedaan. Zo is de kwetsbaarheid, een heap-based buffer overflow in SSLVPNd, gebruikt tegen overheden en grote organisaties. "De complexiteit van de exploit suggereert een geavanceerde actor en een zeer gerichte inzet tegen overheden of overheidsgerelateerde doelwitten", aldus onderzoeker Carl Windsor. Zodra de aanvallers toegang hebben wordt er malware op de vpn-server geïnstalleerd die het loggingproces van FortiOS aanpast, om zo logbestanden te manipuleren en detectie te voorkomen. FortiOS is het besturingssystemen van Fortinet en draait op de producten van het bedrijf. Zo kan de aanvaller specifieke strings opgeven die uit de logbestanden worden verwijderd. Ook kan de malware het loggingproces uitschakelen. Volgens Windsor blijkt uit de gebruikte exploit dat de aanvaller een uitgebreide kennis van FortiOS en de onderliggende hardware heeft. "Het gebruik van custom implants laat zien dat de aanvaller over geavanceerde mogelijkheden beschikt, waaronder het reverse engineeren van verschillende onderdelen van FortiOS", aldus de onderzoeker. In de nieuwe analyse over de kwetsbaarheid zijn ook verschillende Indicators of Compromise gegeven, zoals ip-adressen, hashes en bestanden, waarmee organisaties kunnen controleren of ze zijn gecompromitteerd. bron: https://www.security.nl

Een beruchte spionagegroep, verantwoordelijk voor de "Cloud Hopper" campagne uit 2017, maakt nu gebruik van de populaire mediaspeler VLC Media Player voor het laden van Cobalt Strike, software ontwikkeld voor het uitvoeren van penetratietests. Dat meldt antivirusbedrijf Trend Micro in een analyse. De aanval maakt gebruik van malafide websites en "SEO poisoning" om medewerkers van interessante organisaties met malware te vinden. Zodra die op bepaalde termen zoeken verschijnen de malafide websites in de zoekresultaten. Deze malafide sites doen zich bijvoorbeeld voor als forum en bevatten linkjes naar zip-bestanden. Dit zip-bestand bevat malafide code, de gootkit loader, die uiteindelijk VLC Media Player downloadt. VLC Media Player wordt vervolgens gebruikt voor het laden van een dll-bestand, dat een module van Cobalt Strike is. De software is zoals gezegd ontwikkeld voor gebruik bij penetratietests, maar wordt zeer geregeld door cybercriminelen en spionagroepen gebruikt. Via Cobalt Strike is het mogelijk om een besmet systeem op afstand opdrachten te geven. "Het gebruik van legitieme tools is inmiddels gemeengoed", aldus onderzoeker Hitomi Kimura. Hij vermoedt dat aanvallers op deze manier antivirussoftware willen omzeilen en menselijke controle proberen te misleiden. Eind december waarschuwde de Australische overheid dat het de gootkit loader op meerdere Australische netwerken had waargenomen. Volgens Trend Micro zit een spionagegroep genaamd APT10 achter de aanval, ook bekend als Potassium. De groep kwam in 2017 groot in het nieuws omdat het bij meerdere cloudproviders en managed serviceproviders had ingebroken om zo toegang tot allerlei organisaties wereldwijd te krijgen. De aanvalscampagne kreeg de naam Cloud Hopper. Twee vermeende leden van de groep werden in 2018 door de Verenigde Staten aangeklaagd. bron: https://www.security.nl

Aanvallers maken gebruik van een zeven jaar oude kwetsbaarheid in een Intel-driver om antivirussoftware op aangevallen systemen te omzeilen, zo stelt securitybedrijf CrowdStrike. Het gaat om een kwetsbaarheid in de Intel ethernet diagnostics driver aangeduid als CVE-2015-2291. Via het beveiligingslek kan een aanvaller code met kernelrechten uitvoeren. Zo is het bijvoorbeeld mogelijk om een malafide kerneldriver te laden. Via deze driver is het vervolgens mogelijk om aanwezige antivirus- of beveiligingssoftware te omzeilen, zodat bijvoorbeeld ransomware kan worden uitgerold. De techniek wordt Bring Your Own Driver of Bring Your Own Vulnerable Driver genoemd. Drivers draaien met verhoogde rechten op het systeem. Kwetsbaarheden in drivers bieden aanvallers de mogelijkheid om het kernelgeheugen te lezen of schrijven en daarin code uit te voeren. De afgelopen maanden bleken aanvallers onder andere een anti-cheatdriver van de videogame Genshin Impact en drivers van antivirusbedrijf Avast en moederbordfabrikanten MSI en Gigabyte bij ransomware-aanvallen te hebben gebruikt voor het neutraliseren van antivirussoftware. Nu kan ook de Intel-driver hieraan worden toegevoegd. Om Windowscomputers tegen kwetsbare drivers te beschermen zijn Windows 10, 11 en Server 2016 en nieuwer voorzien van een blocklist die via Windows Update wordt bijgewerkt. Op de lijst staan kwetsbare drivers die Windows niet zal laden. Het automatisch bijwerken van de lijst is op Windows 10 was echter drie jaar lang niet gebeurd, zo ontdekte beveiligingsonderzoeker Will Dormann eind vorig jaar. Microsoft zou het probleem inmiddels hebben verholpen. bron: https://www.security.nl

Twitter weet niet precies waar de dataset vandaan komt met de gegevens van ruim 200 miljoen gebruikers die op internet wordt aangeboden, zo heeft het in een reactie laten weten. Vorige week bleek dat de e-mailadressen van ruim 211 miljoen Twitter-gebruikers zijn gelekt op internet. Volgens beveiligingsonderzoeker Troy Hunt van datalekzoekmachine Have I Been Pwned was de data in 2021 verkregen door misbruik te maken van een Twitter-API waardoor de e-mailadressen die bij Twitterprofielen horen konden worden opgevraagd. In een reactie stelt Twitter dat er geen bewijs is gevonden dat de aangeboden data is verkregen door misbruik te maken van een kwetsbaarheid in de systemen van Twitter. "De data is waarschijnlijk een verzameling van al publiek beschikbare data afkomstig van verschillende bronnen", zo stelt het bedrijf. Twitter zegt in contact te staan met privacytoezichthouders en andere relevante autoriteiten om opheldering over het "vermeende incident" te geven. Verder adviseert Twitter gebruikers om tweefactorauthenticatie in te schakelen. bron: https://www.security.nl

Cisco waarschuwt organisaties en bedrijven voor een kritieke kwetsbaarheid in verschillende vpn-routers die het niet zal patchen, aangezien de apparaten end-of-life zijn en niet meer met beveiligingsupdates worden ondersteund. Het gaat om de RV016, RV042, RV042G en RV082 vpn-routers. Dit is netwerkapparatuur bedoeld voor het mkb. Een kwetsbaarheid in de apparaten (CVE-2023-20025) maakt het mogelijk voor een ongeauthenticeerde aanvaller om de authenticatie te omzeilen en het apparaat over te nemen. Het versturen van een speciaal geprepareerd http-request naar de webinterface maakt het mogelijk voor een aanvaller om root-toegang tot de router te krijgen. Aangezien de routers end-of-life zijn zal Cisco geen updates uitbrengen om het probleem te verhelpen. Wel adviseert het netwerkbedrijf om remote management uit te schakelen en toegang tot poorten 443 en 60443 te blokkeren. Een andere genoemde oplossing is de overstap naar een nieuwe router. bron: https://www.security.nl

De helft van alle verstuurde e-mails bevat trackingpixels om het gedrag van gebruikers te volgen, dat stelt e-mailprovider Proton Mail. Naar schatting zou het om 166 miljard e-mails per dag gaan die van trackers zijn voorzien. "E-mailtrackers verzamelen en delen in het geheim gebruikersinformatie, waaronder locatie-, apparaat- en gebruiksgegevens met bedrijven en marketeers", aldus Proton Mail. "Big Tech wil al je data en ze zoeken steeds naar nieuwe manieren om het te verzamelen. Zelfs wanneer je een veilige e-maildienst gebruikt die de inhoud van je e-mail versleutelt, voegen marketingbedrijven trackers toe aan e-mails en nieuwsbrieven die ze naar je toe sturen", zegt Mathew Stastny van Proton Mail. E-mailtrackers zijn te blokkeren door geen HTML-content te laden of e-mails in plain text weer te geven. De Britse e-mailprovider Hey noemde e-mailtracking in 2021 nog een chronisch probleem en stelde dat 66 procent van alle e-mails trackingpixels bevatten. bron: https://www.security.nl

Veel servers waarop monitoringsoplossing Cacti draait zijn kwetsbaar voor aanvallen omdat ze een belangrijke beveiligingsupdate voor een kritieke kwetsbaarheid missen, zo stelt securitybedrijf Censys. Cacti is een opensource-monitoringsoplossing waarmee organisaties allerlei informatie over de status van hun netwerk en servers kunnen monitoren. Het gaat dan om zaken als netwerkverkeer, beschikbaarheid en uptime. Vorige maand verscheen er een beveiligingsupdate voor Cacti vanwege een command injection kwetsbaarheid (CVE-2022-46169). Via de kwetsbaarheid kan een ongeauthenticeerde aanvaller willekeurige code op Cacti-servers uitvoeren als gemonitorde servers en andere systemen een specifieke databron gebruiken. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Op 2 januari verscheen er vervolgens een uitgebreide beschrijving van de kwetsbaarheid. Vijf dagen later meldde de Shadowserver Foundation, een stichting die informatie over botnets, malware en andere criminele netwerken verzamelt en deelt met providers en overheidsdiensten, dat aanvallers actief misbruik van de kwetsbaarheid maken voor het infecteren van servers met malware. De aanvallen zouden al sinds 3 januari plaatsvinden. De Shadowserver Foundation adviseerde organisaties naast het patchen van Cacti-servers ook om die niet vanaf het internet toegankelijk te maken. Censys heeft nu onderzocht hoeveel Cacti-servers online te vinden zijn. Dat blijken er ruim 6400 te zijn. Het is niet van alle servers mogelijk om te bepalen welke versie ze draaien. Van de 1600 servers waarbij dat wel het geval is bleken er slechts 26 up-to-date te zijn. Het grootste deel van de gevonden Cacti-servers bevindt zich in Brazilië, gevolgd door Indonesië en de Verenigde Staten. Nederland komt niet in de top 10 voor. bron: https://www.security.nl

Microsoft heeft gisteren een beveiligingsupdate voor een kritieke kwetsbaarheid in SharePoint Server uitgebracht, maar systeembeheerders die willen dat hun systemen beschermd zijn moeten naast het installeren van de patch een extra handeling uitvoeren. De kwetsbaarheid (CVE-2023-21743) betreft een "security feature bypass" waardoor een ongeauthenticeerde aanvaller de authenticatie kan omzeilen en een anonieme verbinding naar de SharePoint-server maken. Opvallend aan deze kwetsbaarheid is dat Microsoft die als kritiek heeft bestempeld, terwijl security feature bypasses over het algemeen lager worden beoordeeld. Het installeren van de beveiligingsupdate alleen is niet voldoende om de "SharePoint farm" te beschermen, aldus Microsoft. Er is ook een aanvullende "upgrade action" vereist. Die is uit te voeren via de SharePoint Products Configuration Wizard, de Upgrade-SPFarm PowerShell cmdlet of het "psconfig.exe -cmd upgrade -inplace b2b" commando dat na de installatie van de update op elke SharePoint-server moet worden uitgevoerd. "Dit soort gevallen laat zien waarom mensen die altijd schreeuwen "Just patch it!” nog nooit een bedrijf in de echte wereld hebben moeten patchen", zegt Dustin Childs van het Zero Day Initiative. Microsoft verwacht dat aanvallers misbruik van het beveiligingslek zullen gaan maken. bron: https://www.security.nl

Tijdens de eerste patchdinsdag van dit jaar heeft Microsoft updates voor 98 kwetsbaarheden uitgebracht, waaronder een actief aangevallen zerodaylek in Windows. Via de kwetsbaarheid (CVE-2023-21674) kan een aanvaller uit de sandbox van de Chromium-browser ontsnappen en vervolgens systeemrechten krijgen. Het gaat hier om een "local elevation of privilege" kwetsbaarheid, wat inhoudt dat een aanvaller al code in de browser moet kunnen uitvoeren. Details over de aanvallen waarbij het zerodaylek werd gebruikt zijn niet door Microsoft gegeven, maar de kwetsbaarheid werd ontdekt door antivirusbedrijf Avast. "Dergelijke bugs worden vaak gecombineerd met het uitvoeren van code om malware of ransomware te verspreiden. Gezien onderzoekers van Avast dit aan Microsoft rapporteerden is dat een waarschijnlijk scenario", zegt Dustin Childs van het Zero Day Initiative. Het Cybersecurity and Infrastructure Security Agency (CISA) van de Amerikaanse overheid heeft federale overheidsinstanties verplicht om de update voor 31 januari te installeren. Op de meeste systemen zal dit automatisch gebeuren. Vorig jaar kwam Microsoft voor in totaal twaalf zerodaylekken met updates. bron: https://www.security.nl

Een Python-ontywikkelaar heeft in de packages die via de Python Package Index (PyPI) worden aangeboden tientallen werkende AWS access keys gevonden, onder andere van Amazon, Intel, de Australische overheid en verschillende universiteiten. De Python Package Index is een repository voor de Python-programmeertaal en bevat allerlei door de Python-community ontwikkelde packages. Tom Forbes ontwikkelde een tool om alle via PyPI aangeboden packages op de aanwezigheid van AWS acces keys te scannen. Via deze keys kan er toegang tot allerlei AWS-services worden verkregen. Iets wat niet de bedoeling is en vergaande gevolgen kan hebben. Toch blijkt het nog geregeld voor te komen dat ontwikkelaars deze keys achterlaten. Volgens Forbes is het redelijk eenvoudig om de aanwezigheid van AWS-keys te detecteren. Via 11 van de in totaal 57 gevonden actieve AWS-keys kon er als root toegang worden verkregen. 22 waren er voor service-accounts en 18 voor gebruikersaccounts. Volgens Forbes is de aanwezigheid van de keys toe te schrijven aan onbedoelde aanpassingen of het bundelen van bestanden, testdata en "legitiem" gebruik. Het gaat dan om keys die worden gebruikt voor het uploaden van tijdelijke bestanden naar de S3-dataopslag van Amazon. bron: https://www.security.nl

Microsoft zal eind april het standaard niet meer toestaan dat klanten van Exchange Online die via POP3 en IMAP4 hun e-mail ophalen dit doen via TLS 1.0 en TLS 1.1. Aangezien er nog veel e-mailclients worden gebruikt die geen TLS 1.2 ondersteunen heeft Microsoft besloten om het gebruik van TLS 1.0/1.1 voor POP3 en IMAP4 via een opt-in endpoint toch toe te staan. Organisaties moeten deze endpoints in hun e-mailclient instellen. Het TLS-protocol wordt gebruikt voor het opzetten van een beveiligde verbinding, bijvoorbeeld tussen e-mailclient en mailserver. TLS 1.0 en 1.1 bevatten verschillende kwetsbaarheden en zijn kwetsbaar voor aanvallen zoals BEAST, CRIME en POODLE. Hierbij kan een aanvaller onder andere de versleutelde sessie van een slachtoffer overnemen. Exchange Online stopte de ondersteuning van TLS 1.0 en TLS 1.1 in oktober 2020. Microsoft staat het echter nog wel toe dat klanten die via POP3 en IMAP4 hun e-mail ophalen dit via een TLS 1.0- of 1.1-verbinding doen. Eind april zal Microsoft TLS 1.0 en TLS 1.1 voor POP3/IMAP4 op het endpoint outlook.office365.com uitschakelen. Begin februari zal Microsoft een "klein percentage" van de TLS 1.0-verbindingen voor POP3/IMAP4 gaan blokkeren. Klanten krijgen dan een foutmelding dat TLS 1.0 en 1.1 niet meer worden ondersteund en naar een e-mailclient moeten upgraden die TLS 1.2 ondersteunt. Aangezien er volgens Microsoft nog veel gebruik wordt gemaakt van e-mailclients die TLS 1.2 niet ondersteunen is besloten een opt-in endpoint op te zetten waar deze e-mailclients wel verbinding mee kunnen blijven maken. Het gaat om pop-legacy.office365.com en imap-legacy.office365.com die TLS 1.0 en 1.1 wel ondersteunen. Organisaties moeten deze endpoints in hun e-mailclient instellen. Daarnaast moeten systeembeheerders de AllowLegacyTLSClients-paramater op true zetten. bron: https://www.security.nl

De afgelopen dagen zijn honderden SugarCRM-servers gecompromitteerd via een zerodaylek, zo claimt securitybedrijf Censys. Inmiddels is er een beveiligingsupdate uitgebracht voor de actief aangevallen kwetsbaarheid. SugarCRM biedt een platform voor customer relationship management (CRM) dat op eigen servers is te installeren en als cloudoplossing beschikbaar is. Eind december werd op de Full Disclosure-mailinglist een zeroday-exploit voor SugarCRM gepubliceerd. Via de kwetsbaarheid kan een aanvaller de authenticatie omzeilen en toegang tot de SugarCRM-server krijgen. Aanvallers gebruiken het beveiligingslek om een webshell op de server te installeren, waarmee ze toegang tot de server behouden en verdere aanvallen kunnen uitvoeren. Censys stelt dat het op 5 januari zo'n drieduizend SugarCRM-servers op internet detecteerde. Daarvan waren er bijna driehonderd gecompromitteerd. Het gaat volgens Censys ook om acht servers in Nederland. De meeste gecompromitteerde SugarCRM-servers bevinden zich in de Verenigde Staten en Duitsland. Op al deze servers werd een webshell gedetecteerd. SugarCRM maakte op 4 januari een hotfix voor het zerodaylek beschikbaar en roept klanten met een eigen SugarCRM-server op om die zo snel mogelijk te installeren. Op 5 januari publiceerde het softwarebedrijf een FAQ met uitleg over het probleem en hoe klanten kunnen controleren of ze gecompromitteerd zijn. bron: https://www.security.nl

Microsoft is gestopt met het uitbrengen van betaalde beveiligingsupdates voor Windows 7. Drie jaar lang konden bedrijven en organisaties die nog gebruikmaakten van het besturingssysteem patches voor ernstige beveiligingsproblemen ontvangen. De normale ondersteuning van Windows 7 eindigde op 14 januari 2020. Volgen StatCounter draait nog 3,3 procent van de Nederlandse Windowscomputers op Windows 7. Wereldwijd is dat 11,2 procent. Via het Extended Security Update (ESU) programma konden organisaties tegen betaling beveiligingsupdates van Microsoft blijven ontvangen, zodat ze in de tussentijd naar een nieuwer besturingssysteem konden migreren. Microsoft heeft herhaaldelijk gewaarschuwd dat het ESU-programma voor Windows 7 SP1 en Windows 7 Professional voor Embedded Systems op 10 januari 2023 zal eindigen en deed dat vorige week opnieuw. Microsoft adviseert organisaties om te upgraden naar Windows 11. "Pc's zijn sinds de release van Windows 7 tien jaar geleden substantieel veranderd", aldus het techbedrijf. Dat stelt dat de meeste Windows 7-computers niet aan de hardware-eisen van Windows 11 voldoen. Wel zijn deze systemen te upgraden naar Windows 10. Daarbij stelt Microsoft dat de ondersteuning van Windows 10 op 14 oktober 2025 eindigt. Windows 7 Extended Security Update is niet het enige waarvan Microsoft morgen de support stopt. Dat doet het voor veel meer producten, waaronder Windows 8.1, Windows RT, Windows Server 2008 ESU en Windows Server 2008 R2 ESU, Visual Studio 2012 en verschillende Dynamics-versies. bron: https://www.security.nl