Captain Kirk

Twitter weet niet precies waar de dataset vandaan komt met de gegevens van ruim 200 miljoen gebruikers die op internet wordt aangeboden, zo heeft het in een reactie laten weten. Vorige week bleek dat de e-mailadressen van ruim 211 miljoen Twitter-gebruikers zijn gelekt op internet. Volgens beveiligingsonderzoeker Troy Hunt van datalekzoekmachine Have I Been Pwned was de data in 2021 verkregen door misbruik te maken van een Twitter-API waardoor de e-mailadressen die bij Twitterprofielen horen konden worden opgevraagd. In een reactie stelt Twitter dat er geen bewijs is gevonden dat de aangeboden data is verkregen door misbruik te maken van een kwetsbaarheid in de systemen van Twitter. "De data is waarschijnlijk een verzameling van al publiek beschikbare data afkomstig van verschillende bronnen", zo stelt het bedrijf. Twitter zegt in contact te staan met privacytoezichthouders en andere relevante autoriteiten om opheldering over het "vermeende incident" te geven. Verder adviseert Twitter gebruikers om tweefactorauthenticatie in te schakelen. bron: https://www.security.nl

Cisco waarschuwt organisaties en bedrijven voor een kritieke kwetsbaarheid in verschillende vpn-routers die het niet zal patchen, aangezien de apparaten end-of-life zijn en niet meer met beveiligingsupdates worden ondersteund. Het gaat om de RV016, RV042, RV042G en RV082 vpn-routers. Dit is netwerkapparatuur bedoeld voor het mkb. Een kwetsbaarheid in de apparaten (CVE-2023-20025) maakt het mogelijk voor een ongeauthenticeerde aanvaller om de authenticatie te omzeilen en het apparaat over te nemen. Het versturen van een speciaal geprepareerd http-request naar de webinterface maakt het mogelijk voor een aanvaller om root-toegang tot de router te krijgen. Aangezien de routers end-of-life zijn zal Cisco geen updates uitbrengen om het probleem te verhelpen. Wel adviseert het netwerkbedrijf om remote management uit te schakelen en toegang tot poorten 443 en 60443 te blokkeren. Een andere genoemde oplossing is de overstap naar een nieuwe router. bron: https://www.security.nl

De helft van alle verstuurde e-mails bevat trackingpixels om het gedrag van gebruikers te volgen, dat stelt e-mailprovider Proton Mail. Naar schatting zou het om 166 miljard e-mails per dag gaan die van trackers zijn voorzien. "E-mailtrackers verzamelen en delen in het geheim gebruikersinformatie, waaronder locatie-, apparaat- en gebruiksgegevens met bedrijven en marketeers", aldus Proton Mail. "Big Tech wil al je data en ze zoeken steeds naar nieuwe manieren om het te verzamelen. Zelfs wanneer je een veilige e-maildienst gebruikt die de inhoud van je e-mail versleutelt, voegen marketingbedrijven trackers toe aan e-mails en nieuwsbrieven die ze naar je toe sturen", zegt Mathew Stastny van Proton Mail. E-mailtrackers zijn te blokkeren door geen HTML-content te laden of e-mails in plain text weer te geven. De Britse e-mailprovider Hey noemde e-mailtracking in 2021 nog een chronisch probleem en stelde dat 66 procent van alle e-mails trackingpixels bevatten. bron: https://www.security.nl

Veel servers waarop monitoringsoplossing Cacti draait zijn kwetsbaar voor aanvallen omdat ze een belangrijke beveiligingsupdate voor een kritieke kwetsbaarheid missen, zo stelt securitybedrijf Censys. Cacti is een opensource-monitoringsoplossing waarmee organisaties allerlei informatie over de status van hun netwerk en servers kunnen monitoren. Het gaat dan om zaken als netwerkverkeer, beschikbaarheid en uptime. Vorige maand verscheen er een beveiligingsupdate voor Cacti vanwege een command injection kwetsbaarheid (CVE-2022-46169). Via de kwetsbaarheid kan een ongeauthenticeerde aanvaller willekeurige code op Cacti-servers uitvoeren als gemonitorde servers en andere systemen een specifieke databron gebruiken. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Op 2 januari verscheen er vervolgens een uitgebreide beschrijving van de kwetsbaarheid. Vijf dagen later meldde de Shadowserver Foundation, een stichting die informatie over botnets, malware en andere criminele netwerken verzamelt en deelt met providers en overheidsdiensten, dat aanvallers actief misbruik van de kwetsbaarheid maken voor het infecteren van servers met malware. De aanvallen zouden al sinds 3 januari plaatsvinden. De Shadowserver Foundation adviseerde organisaties naast het patchen van Cacti-servers ook om die niet vanaf het internet toegankelijk te maken. Censys heeft nu onderzocht hoeveel Cacti-servers online te vinden zijn. Dat blijken er ruim 6400 te zijn. Het is niet van alle servers mogelijk om te bepalen welke versie ze draaien. Van de 1600 servers waarbij dat wel het geval is bleken er slechts 26 up-to-date te zijn. Het grootste deel van de gevonden Cacti-servers bevindt zich in Brazilië, gevolgd door Indonesië en de Verenigde Staten. Nederland komt niet in de top 10 voor. bron: https://www.security.nl

Microsoft heeft gisteren een beveiligingsupdate voor een kritieke kwetsbaarheid in SharePoint Server uitgebracht, maar systeembeheerders die willen dat hun systemen beschermd zijn moeten naast het installeren van de patch een extra handeling uitvoeren. De kwetsbaarheid (CVE-2023-21743) betreft een "security feature bypass" waardoor een ongeauthenticeerde aanvaller de authenticatie kan omzeilen en een anonieme verbinding naar de SharePoint-server maken. Opvallend aan deze kwetsbaarheid is dat Microsoft die als kritiek heeft bestempeld, terwijl security feature bypasses over het algemeen lager worden beoordeeld. Het installeren van de beveiligingsupdate alleen is niet voldoende om de "SharePoint farm" te beschermen, aldus Microsoft. Er is ook een aanvullende "upgrade action" vereist. Die is uit te voeren via de SharePoint Products Configuration Wizard, de Upgrade-SPFarm PowerShell cmdlet of het "psconfig.exe -cmd upgrade -inplace b2b" commando dat na de installatie van de update op elke SharePoint-server moet worden uitgevoerd. "Dit soort gevallen laat zien waarom mensen die altijd schreeuwen "Just patch it!” nog nooit een bedrijf in de echte wereld hebben moeten patchen", zegt Dustin Childs van het Zero Day Initiative. Microsoft verwacht dat aanvallers misbruik van het beveiligingslek zullen gaan maken. bron: https://www.security.nl

Tijdens de eerste patchdinsdag van dit jaar heeft Microsoft updates voor 98 kwetsbaarheden uitgebracht, waaronder een actief aangevallen zerodaylek in Windows. Via de kwetsbaarheid (CVE-2023-21674) kan een aanvaller uit de sandbox van de Chromium-browser ontsnappen en vervolgens systeemrechten krijgen. Het gaat hier om een "local elevation of privilege" kwetsbaarheid, wat inhoudt dat een aanvaller al code in de browser moet kunnen uitvoeren. Details over de aanvallen waarbij het zerodaylek werd gebruikt zijn niet door Microsoft gegeven, maar de kwetsbaarheid werd ontdekt door antivirusbedrijf Avast. "Dergelijke bugs worden vaak gecombineerd met het uitvoeren van code om malware of ransomware te verspreiden. Gezien onderzoekers van Avast dit aan Microsoft rapporteerden is dat een waarschijnlijk scenario", zegt Dustin Childs van het Zero Day Initiative. Het Cybersecurity and Infrastructure Security Agency (CISA) van de Amerikaanse overheid heeft federale overheidsinstanties verplicht om de update voor 31 januari te installeren. Op de meeste systemen zal dit automatisch gebeuren. Vorig jaar kwam Microsoft voor in totaal twaalf zerodaylekken met updates. bron: https://www.security.nl

Een Python-ontywikkelaar heeft in de packages die via de Python Package Index (PyPI) worden aangeboden tientallen werkende AWS access keys gevonden, onder andere van Amazon, Intel, de Australische overheid en verschillende universiteiten. De Python Package Index is een repository voor de Python-programmeertaal en bevat allerlei door de Python-community ontwikkelde packages. Tom Forbes ontwikkelde een tool om alle via PyPI aangeboden packages op de aanwezigheid van AWS acces keys te scannen. Via deze keys kan er toegang tot allerlei AWS-services worden verkregen. Iets wat niet de bedoeling is en vergaande gevolgen kan hebben. Toch blijkt het nog geregeld voor te komen dat ontwikkelaars deze keys achterlaten. Volgens Forbes is het redelijk eenvoudig om de aanwezigheid van AWS-keys te detecteren. Via 11 van de in totaal 57 gevonden actieve AWS-keys kon er als root toegang worden verkregen. 22 waren er voor service-accounts en 18 voor gebruikersaccounts. Volgens Forbes is de aanwezigheid van de keys toe te schrijven aan onbedoelde aanpassingen of het bundelen van bestanden, testdata en "legitiem" gebruik. Het gaat dan om keys die worden gebruikt voor het uploaden van tijdelijke bestanden naar de S3-dataopslag van Amazon. bron: https://www.security.nl

Microsoft zal eind april het standaard niet meer toestaan dat klanten van Exchange Online die via POP3 en IMAP4 hun e-mail ophalen dit doen via TLS 1.0 en TLS 1.1. Aangezien er nog veel e-mailclients worden gebruikt die geen TLS 1.2 ondersteunen heeft Microsoft besloten om het gebruik van TLS 1.0/1.1 voor POP3 en IMAP4 via een opt-in endpoint toch toe te staan. Organisaties moeten deze endpoints in hun e-mailclient instellen. Het TLS-protocol wordt gebruikt voor het opzetten van een beveiligde verbinding, bijvoorbeeld tussen e-mailclient en mailserver. TLS 1.0 en 1.1 bevatten verschillende kwetsbaarheden en zijn kwetsbaar voor aanvallen zoals BEAST, CRIME en POODLE. Hierbij kan een aanvaller onder andere de versleutelde sessie van een slachtoffer overnemen. Exchange Online stopte de ondersteuning van TLS 1.0 en TLS 1.1 in oktober 2020. Microsoft staat het echter nog wel toe dat klanten die via POP3 en IMAP4 hun e-mail ophalen dit via een TLS 1.0- of 1.1-verbinding doen. Eind april zal Microsoft TLS 1.0 en TLS 1.1 voor POP3/IMAP4 op het endpoint outlook.office365.com uitschakelen. Begin februari zal Microsoft een "klein percentage" van de TLS 1.0-verbindingen voor POP3/IMAP4 gaan blokkeren. Klanten krijgen dan een foutmelding dat TLS 1.0 en 1.1 niet meer worden ondersteund en naar een e-mailclient moeten upgraden die TLS 1.2 ondersteunt. Aangezien er volgens Microsoft nog veel gebruik wordt gemaakt van e-mailclients die TLS 1.2 niet ondersteunen is besloten een opt-in endpoint op te zetten waar deze e-mailclients wel verbinding mee kunnen blijven maken. Het gaat om pop-legacy.office365.com en imap-legacy.office365.com die TLS 1.0 en 1.1 wel ondersteunen. Organisaties moeten deze endpoints in hun e-mailclient instellen. Daarnaast moeten systeembeheerders de AllowLegacyTLSClients-paramater op true zetten. bron: https://www.security.nl

De afgelopen dagen zijn honderden SugarCRM-servers gecompromitteerd via een zerodaylek, zo claimt securitybedrijf Censys. Inmiddels is er een beveiligingsupdate uitgebracht voor de actief aangevallen kwetsbaarheid. SugarCRM biedt een platform voor customer relationship management (CRM) dat op eigen servers is te installeren en als cloudoplossing beschikbaar is. Eind december werd op de Full Disclosure-mailinglist een zeroday-exploit voor SugarCRM gepubliceerd. Via de kwetsbaarheid kan een aanvaller de authenticatie omzeilen en toegang tot de SugarCRM-server krijgen. Aanvallers gebruiken het beveiligingslek om een webshell op de server te installeren, waarmee ze toegang tot de server behouden en verdere aanvallen kunnen uitvoeren. Censys stelt dat het op 5 januari zo'n drieduizend SugarCRM-servers op internet detecteerde. Daarvan waren er bijna driehonderd gecompromitteerd. Het gaat volgens Censys ook om acht servers in Nederland. De meeste gecompromitteerde SugarCRM-servers bevinden zich in de Verenigde Staten en Duitsland. Op al deze servers werd een webshell gedetecteerd. SugarCRM maakte op 4 januari een hotfix voor het zerodaylek beschikbaar en roept klanten met een eigen SugarCRM-server op om die zo snel mogelijk te installeren. Op 5 januari publiceerde het softwarebedrijf een FAQ met uitleg over het probleem en hoe klanten kunnen controleren of ze gecompromitteerd zijn. bron: https://www.security.nl

Microsoft is gestopt met het uitbrengen van betaalde beveiligingsupdates voor Windows 7. Drie jaar lang konden bedrijven en organisaties die nog gebruikmaakten van het besturingssysteem patches voor ernstige beveiligingsproblemen ontvangen. De normale ondersteuning van Windows 7 eindigde op 14 januari 2020. Volgen StatCounter draait nog 3,3 procent van de Nederlandse Windowscomputers op Windows 7. Wereldwijd is dat 11,2 procent. Via het Extended Security Update (ESU) programma konden organisaties tegen betaling beveiligingsupdates van Microsoft blijven ontvangen, zodat ze in de tussentijd naar een nieuwer besturingssysteem konden migreren. Microsoft heeft herhaaldelijk gewaarschuwd dat het ESU-programma voor Windows 7 SP1 en Windows 7 Professional voor Embedded Systems op 10 januari 2023 zal eindigen en deed dat vorige week opnieuw. Microsoft adviseert organisaties om te upgraden naar Windows 11. "Pc's zijn sinds de release van Windows 7 tien jaar geleden substantieel veranderd", aldus het techbedrijf. Dat stelt dat de meeste Windows 7-computers niet aan de hardware-eisen van Windows 11 voldoen. Wel zijn deze systemen te upgraden naar Windows 10. Daarbij stelt Microsoft dat de ondersteuning van Windows 10 op 14 oktober 2025 eindigt. Windows 7 Extended Security Update is niet het enige waarvan Microsoft morgen de support stopt. Dat doet het voor veel meer producten, waaronder Windows 8.1, Windows RT, Windows Server 2008 ESU en Windows Server 2008 R2 ESU, Visual Studio 2012 en verschillende Dynamics-versies. bron: https://www.security.nl

Mijn eerste gedachte is problemen met de sim-kaart. Misschien kun je deze eens in een ander toestel steken of laten testen in een telefoonwinkel. Een tweede optie is het uitvoeren van een factory-reset. Maar hou daar wel rekening mee dat je dan alles aan telefoonnumers, foto's e.d. kwijt raakt.

Antivirusbedrijf Bitdefender heeft een gratis decryptietool voor de LockerGoga-ransomware gepubliceerd, nadat de Zwitserse autoriteiten tal van decryptiesleutels in handen kregen. Eerder verscheen er ook al een gratis decryptor voor slachtoffers van de LockerGoga-ransomware. Vorige maand meldden de Zwitserse autoriteiten dat ook de MegaCortex-encryptie was gekraakt. Eind 2021 vond er een internationale politieoperatie plaats tegen verdachten die van de LockerGoga- en MegaCortex-ransomware gebruik zouden hebben gemaakt. Eerder waren de Nederlandse autoriteiten al een onderzoek naar de bende achter de ransomware-aanvallen gestart. Die wordt verantwoordelijk gehouden voor het maken van achttienhonderd slachtoffers in meer dan zeventig landen. De hierbij veroorzaakte schade wordt op 104 miljoen dollar geschat. Tijdens het onderzoek wist het Team High Tech Crime (THTC) van de politie informatie te achterhalen over systemen van bedrijven die wereldwijd waren geïnfecteerd, maar waar de ransomware nog niet was geactiveerd. Vervolgens werden deze bedrijven door het THTC en Nationaal Cyber Security Centrum (NCSC) gewaarschuwd, zodat ze maatregelen konden nemen om de ransomware te verwijderen. Het Zwitserse openbaar ministerie liet vorig jaar september weten dat het tijdens het onderzoek naar een verdachte in deze zaak op een onderzochte datadrager tal van decryptiesleutels heeft aangetroffen. Deze sleutels zijn met Bitdefender gedeeld, zodat het gratis decryptietools voor getroffen organisaties kon ontwikkelen. bron: https://www.security.nl

Softwarebedrijf Zoho adviseert klanten om een kwetsbaarheid in ManageEngine Password Manager Pro, PAM360 en Access Manager Plus direct te patchen. Beveiligingslekken in deze software zijn in het verleden vaker doelwit van aanvallen geweest. Password Manager Pro is een "gecentraliseerde wachtwoordkluis" die bedrijven zelf kunnen hosten. Volgens ManageEngine loggen elke dag meer dan 300.000 systeembeheerders en eindgebruikers op de wachtwoordmanager in en worden daarmee miljoenen wachtwoorden beheerd. PAM360 is een "privileged access management" oplossing, waarmee organisaties rechten en toegangsbeheer van medewerkers kunnen beheren en monitoren. Met Access Manager Plus is het mogelijk voor organisaties om de toegang tot remote systemen te beheren. Door middel van SQL-injection is het mogelijk voor een aanvaller om toegang tot de database van de softwareoplossingen te krijgen. "Gegeven de ernst van deze kwetsbaarheid worden klanten ten zeerste aangeraden om meteen naar de laatste versie van PAM360, Password Manager Pro en Access Manager Plus te upgraden", aldus het beveiligingsbulletin. Twee dagen geleden besloot Zoho klanten opnieuw voor het lek (CVE-2022-47523) te waarschuwen en op de beschikbaarheid van de beveiligingsupdate te wijzen. bron: https://www.security.nl

Zo'n 66.000 Microsoft Exchange-servers zijn kwetsbaar voor de ProxyNotShell-aanval omdat beheerders hebben nagelaten beschikbare beveiligingsupdates te installeren, zo stelt de Shadowserver Foundation op basis van eigen onderzoek. In Nederland gaat het om zo'n tweeduizend servers. Shadowserver verzamelt grote hoeveelheden informatie over botnets, malware en andere criminele netwerken en deelt die met providers en overheidsdiensten, zoals Computer Emergency Response Teams (CERTs). Ook voert het scans uit naar kwetsbare systemen. Via Twitter meldt de stichting dat zo'n 66.000 Exchange-servers de beveiligingsupdate voor de kwetsbaarheid aangeduid als CVE-2022-41082, ook bekend als ProxyNotShell, missen. CVE-2022-41082 maakt remote code execution (RCE) mogelijk wanneer PowerShell voor een aanvaller toegankelijk is. Het beveiligingslek werd bij zeroday-aanvallen ingezet, zo waarschuwde Microsoft op 29 september. Als tijdelijke oplossing kwam het techbedrijf met url-rewrites om aanvallen te voorkomen. Op 8 november verscheen er een beveiligingsupdate voor de actief aangevallen kwetsbaarheid. Bijna twee maanden verder blijkt dat deze patch nog altijd op 66.000 Exchange-servers niet is geïnstalleerd. Het grootste deel daarvan bevindt zich in de Verenigde Staten en Duitsland, met respectievelijk 16.000 en 12.000 servers. De Shadowserver Foundation roept organisaties dan ook op om de update te installeren, aangezien de url-rewrite die Microsoft als mitigatie aanbood niet blijkt te werken. bron: https://www.security.nl

Synology heeft een belangrijke beveiligingsupdate uitgebracht voor een kritieke kwetsbaarheid waardoor vpn-routers op afstand zijn over te nemen. De impact van het beveiligingslek, aangeduid als CVE-2022-43931, is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Synology biedt VPN Plus Server, software waarmee een Synology-router tot vpn-server is "om te toveren". Een out-of-bounds write kwetsbaarheid in de remote desktopfunctionaliteit maakt het mogelijk voor een aanvaller om op afstand willekeurige commando's op de router uit te voeren. Het beveiligingslek werd zelf door Synology gevonden. Gebruikers wordt aangeraden om naar de laatste versie van VPN Plus Server te updaten. bron: https://www.security.nl

Het is de hoogste tijd om de term "ransomware" door een alternatief te vervangen, aangezien bij veel aanvallen door ransomwaregroepen helemaal geen data meer wordt versleuteld. Dat vindt antivirusbedrijf Emsisoft. De eerste ransomware-aanvallen waren eenvoudig en voornamelijk geautomatiseerd. Vaak waren eindgebruikers het doelwit. Tegenwoordig zijn de aanvallen complexer en is er sprake van "human-operated ransomware" gericht op bedrijven, waarbij aanvallers veel meer "handwerk" verrichten voor het binnendringen van organisaties en verspreiden van de ransomware. Daarnaast is het gemeengoed voor ransomwaregroepen om voor het uitrollen van ransomware eerst gevoelige data te stelen, om daarmee getroffen organisaties af te persen als ze het gevraagde losgeld niet betalen. Volgens Emsisoft is het versleutelen van data de laatste stap in de aanval, als die al plaatsvindt. "Om het anders te zeggen, aanvallen kunnen ook bestaan uit alleen het stelen van data, zelfs wanneer ze worden uitgevoerd door groepen die normaliter data versleutelen", aldus Emsisoft. De virusbestrijder stelt dan ook dat ransomwaregroepen ransomwareloze aanvallen uitvoeren. "Dit zorgt voor verwarring bij het bijhouden van statistieken wat als "ransomware" aanval moet worden gezien en wat niet." Volgens Emsisoft kunnen dergelijke incidenten beter worden bestempeld als "data extortion events", waarbij er sprake is van encryptie-gebaseerde data-afpersing en data-afpersing op basis van gestolen gegevens, die elkaar niet hoeven uit te sluiten. "Deze omschrijvingen zijn mogelijk geen ideale vervanging voor "ransomware", maar we zijn er zeker van dat iemand met betere alternatieven kan komen." bron: https://www.security.nl

De criminelen achter de BlackCat-ransomware, ook bekend als ALPHV, hebben gegevens van een accountantskantoor via een nagemaakte website van het slachtoffer gelekt. De website is via het 'gewone' internet bereikbaar en gebruikt een domeinnaam die erg op dat van het getroffen accountantskantoor lijkt. Dat laten beveiligingsonderzoekers Dominic Alvieri en Brett Callow weten. Het is inmiddels voor veel ransomwaregroepen standaard om bij een aanval ook gevoelige data van een getroffen organisatie te stelen. Als de organisatie het gevraagde losgeld niet betaalt wordt de gestolen informatie via de eigen website van de ransomwaregroep openbaar gemaakt. Deze websites worden gehost op het Tor-netwerk en vereisen het gebruik van Tor-browser om te worden bezocht. Eind december maakte de groep bekend dat een Amerikaans accountkantoor slachtoffer was geworden. In plaats van de gestolen gegevens via de eigen website te lekken, creëerde de ransomwaregroep een bijna identieke website van het accountkantoor en registreerde hiervoor een aparte, lijkende domeinnaam. Via de website kan op gestolen gegevens worden gezocht, waaronder klantenaudits en kopieën van paspoorten. Mogelijk dat de groep denkt op deze manier extra druk op het accountantskantoor uit te kunnen oefenen. Het Nederlandse vaccinbedrijf Bilthoven Biologicals werd afgelopen september getroffen door de BlackCat-ransomware, en eerder werd ook ID-ware slachtoffer, dat toegangssystemen levert aan bedrijven en overheden, inclusief de Eerste en Tweede Kamer. bron: https://www.security.nl

Aanvallers maken gebruik van dertig kwetsbare plug-ins en themes om WordPress-sites met een backdoor te infecteren, zo meldt antivirusbedrijf Doctor Web. Sommige van de gebruikte kwetsbaarheden zijn zeven jaar oud. Zodra er toegang tot de WordPress-sites is verkregen injecteren de aanvallers malafide code op de webpagina's, die bezoekers doorstuurt naar een website van de aanvallers. Volgens marktvorser W3Techs maakt 43,1 procent van alle websites op internet gebruik van WordPress. Geregeld worden er kwetsbaarheden in plug-ins en themes voor WordPress-sites gevonden. Beheerders blijken in de praktijk beschikbare updates niet te installeren, waardoor aanvallers nog altijd succesvol zijn met oude kwetsbaarheden. Zo stammen drie van de beveiligingslekken waar aanvallers gebruik van maken uit 2016 en 2019, zo laat Doctor Web weten. Aanvallers maken gebruik van dertig kwetsbare plug-ins en themes om WordPress-sites met een backdoor te infecteren, zo meldt antivirusbedrijf Doctor Web. Sommige van de gebruikte kwetsbaarheden zijn zeven jaar oud. Zodra er toegang tot de WordPress-sites is verkregen injecteren de aanvallers malafide code op de webpagina's, die bezoekers doorstuurt naar een website van de aanvallers. Volgens marktvorser W3Techs maakt 43,1 procent van alle websites op internet gebruik van WordPress. Geregeld worden er kwetsbaarheden in plug-ins en themes voor WordPress-sites gevonden. Beheerders blijken in de praktijk beschikbare updates niet te installeren, waardoor aanvallers nog altijd succesvol zijn met oude kwetsbaarheden. Zo stammen drie van de beveiligingslekken waar aanvallers gebruik van maken uit 2016 en 2019, zo laat Doctor Web weten. bron: https://www.security.nl

De ontwikkelaars van machine learning framework PyTorch hebben gebruikers gewaarschuwd dat een recente nightly-versie malware bij gebruikers installeerde. PyTorch is een opensourceproject en wordt onder andere gebruikt voor computer vision en natural language processing. Bij de installatie van de nightly-versie tussen 25 december en 30 december vorig jaar via pip, werd er een dependency genaamd torchtriton geïnstalleerd. De nightly-versie van PyTorch installeert standaard vanuit de eigen repository een package genaamd torchtriton. Een aanvaller had op de Python Package Index (PyPI) een package met dezelfde naam geupload die malware bevatte. De Python Package Index is een repository voor de Python-programmeertaal en bevat allerlei door de Python-community ontwikkelde packages. De malafide code wordt uitgevoerd bij het importeren van de triton-package, wat geen standaardgedrag van PyTorch is, aldus het ontwikkelteam. Dat laat verder weten dat het afgelopen vrijdag ontdekte dat de malafide versie van torchtriton naar de Python Package Index (PyPI) code repository was geüpload. Aangezien repositories die via PyPI worden gehost bij de installatie via pip voorrang krijgen, werd de malafide versie geïnstalleerd in plaats van de versie uit de officiële repository. "Deze opzet maakte het mogelijk voor iemand om een package te registreren als degene die in een third-party index bestond, en pip zal deze versie standaard installeren", aldus het ontwikkelteam. De malafide versie verzamelt systeeminformatie en leest informatie uit verschillende bestanden, waaronder /etc/hosts en /etc/passwd. Vervolgens wordt de informatie naar een domein geüpload. PyTorch heeft de dependency voor torchtriton in de nightly-versies verwijderd en het PyPI securityteam gevraagd om eigenaar van de torchtriton-package in PyPI te worden. Verder krijgen gebruikers van de nightly-versie het advies om torchtriton meteen te verwijderen. Gebruikers van PyTorch stable packages zijn niet door de aanval geraakt. bron: https://www.security.nl

Muziekstreamingdienst Deezer heeft de privégegevens van 229 miljoen gebruikers gelekt. Het gaat om e-mailadressen, ip-adressen, namen, gebruikersnamen, geslacht, geboortedatum en geografische locatie van klanten. Volgens Deezer werden de gegevens door een derde partij verwerkt, waar het datalek zich in 2019 voordeed. Afgelopen november verscheen de data op internet en maakte Deezer het datalek bekend. Verdere details over het datalek zijn niet door Deezer gegeven, behalve dat de niet nader genoemde derde partij sinds 2020 niet meer voor Deezer werkt. Verder laat het bedrijf weten dat er geen paswoordgegevens zijn buitgemaakt. Wel worden gebruikers uit voorzorg aangeraden om hun wachtwoord te wijzigen. De 229 miljoen e-mailadressen van Deezer-gebruikers zijn toegevoegd aan Have I Been Pwned. Via de zoekmachine is het mogelijk om te kijken of een e-mailadres in een bekend datalek voorkomt. Van de bij Deezer buitgemaakte e-mailadressen was 49 procent al via een ander datalek bij de zoekmachine bekend. bron: https://www.security.nl

Mozilla heeft besloten om de user-agent van Firefox te wijzigen omdat meerdere websites de browser als Internet Explorer 11 beschouwen. De user-agent-string, die met elk http-request naar een website wordt verstuurd, bevat informatie over onder andere het besturingssysteem van de gebruiker, gebruikte browser en versienummer, apparaatmodel en onderliggende architectuur. Websites gebruiken de user-agent onder andere om te bepalen wat voor soort browser de bezoeker gebruikt om vervolgens de code te laden die met de browser compatibel is. Een verkeerde detectie van de browser kan dan ook voor een niet goed werkende website zorgen. Firefox versie 110 moet nog verschijnen, maar uit een vroege testversie blijkt dat meerdere websites deze versie als Internet Explorer 11 beschouwen. Aanleiding is de aanwezigheid van de string "rv:110.0" in de user-agent van Firefox 110. Sommige websites zien in de detectie van de user-agent "11" staan en denken dat het om Internet Explorer 11 gaat. Als oplossing heeft Mozilla besloten om in nieuwere versies "rv:109.0" te gebruiken. Bij de release van Firefox 120, die gepland staat voor 21 november 2023, zal deze tijdelijke fix weer worden verwijderd. bron: https://www.security.nl

Jammer dat het niet direct werkt, maar uit ervaring...het is inderdaad vaak puzzelen en proberen.

Ik begrijp niet helemaal wat je precies wilt. Zou je een paar fotootjes kunnen toevoegen? ps. Ik weet niet of ik op kort termijn kan reageren ivm drukke werkdagen. Maar misschien kan iemand anders je aan de hand van je foto's ook advies geven.

Ik ben bang dat inderdaad de leeftijd hier parten speelt. Waarschijnlijk is een onderdeel op de printplaat niet meer 100% ok. Je ziet wel eens dat de condensatoren op de print bol zijn gaan staan. (Zie foto) Of in de loop der jaren zijn contacten op de print los geraakt. Dit is zo goed als niet meer te verhelpen. Vaak is een nieuwe print installeren even kostbaar of soms zelfs kostbaarder dan een nieuwe printer aanschaffen.

Criminelen maken gebruik van twee bekende kwetsbaarheden in Microsoft Exchange om organisaties met de Play-ransomware te infecteren. Onlangs werden de gemeente Antwerpen en Duitse hotelketen H-Hotels slachtoffer van de Play-ransomware. Hoe deze aanvallen konden plaatsvinden is niet bekendgemaakt, maar securitybedrijf Crowdstrike meldt dat verschillende recente aanvallen met de Play-ransomware via twee kwetsbaarheden in Microsoft Exchange plaatsvonden. Het gaat om de beveiligingslekken aangeduid als CVE-2022-41080 en CVE-2022-41082. Microsoft waarschuwde eind september dat aanvallers actief misbruik van CVE-2022-41082 en nog een andere Exchange-kwetsbaarheid maakten. Om organisaties te beschermen kwam het techbedrijf met tijdelijke mitigatiemaatregelen die uit url-rewrites bestonden. Via deze url-rewrites moest misbruik van de twee beveiligingslekken worden voorkomen. Op 8 november kwam Microsoft met beveiligingsupdates om de twee kwetsbaarheden te verhelpen. Aanvallers blijken CVE-2022-41080 en CVE-2022-41082 nu te gebruiken om Exchange-servers op afstand over te nemen. Daarbij maken ze gebruik van een nieuwe exploitmethode die de door Microsoft aanbevolen url-rewrites omzeilt, aldus Crowdstrike. Zodra de aanvallers toegang hebben installeren ze de software AnyDesk en Plink om toegang te behouden. Vervolgens worden de Windows Event Logs gewist, gegevens gestolen en ransomware uitgerold. De aanval werkt niet tegen organisaties die de beschikbare beveiligingsupdates hebben geïnstalleerd. bron: https://www.security.nl