Captain Kirk

De baseboard management controller (BMC) firmware van AMI bevat een kritieke kwetsbaarheid die het mogelijk maakt toegang te krijgen tot servers door authenticatie te omzeilen. Het lek treft servers van diverse fabrikanten, waaronder Asus, Asrock, HPE en Lenovo. Het lek is door AMI gedicht, maar fabrikanten moeten deze patches zelf beschikbaar stellen aan klanten. Het lek (CVE-2024-54085) is ontdekt door Eclypsium, dat zich richt op de beveiliging van hardware zoals dus ook BMC. De BMC stelt beheerders in staat tot het op afstand monitoren en aansturen van apparaten. Zo kunnen zij onder meer firmware updaten en besturingssystemen installeren op systemen zonder fysieke toegang nodig te hebben. AMI is een grote speler op dit vlak; de BMC van AMI is verwerkt in apparaten van een groot aantal fabrikanten. In 2023 ontdekte het bedrijf eveneens twee kwetsbaarheden in de BMC van AMI. Het nu ontdekte lek lijkt veel op een van de in 2023 ontdekte problemen: CVE-2023-34329. Het is onduidelijk of het om een volledig nieuwe kwetsbaarheid gaat, of dat het eerder ontdekte probleem niet volledig is verholpen. Malware uitrollen, firmware aanpassen en fysieke schade aanrichten De kwetsbaarheid treft de Redfish-managementinterface en maakt het mogelijk de authenticatie te omzeilen. Gezien de mogelijkheden die de BMC biedt is het lek dan ook kritiek; aanvallers kunnen onder meer malware op systemen uitrollen, de firmware aanpassen en door voltages aan te passen zelfs fysieke schade toebrengen aan het apparaat. Een patch is inmiddels beschikbaar gesteld door AMI. OEM's moeten deze patch zelf beschikbaar stellen aan hun klanten. Zowel HPE als Lenovo hebben dit inmiddels gedaan. bron: https://www.security.nl

Veeam Backup & Replication bevat twee kwetsbaarheden die het mogelijk maken op afstand code uit te voeren. De lekken kunnen worden uitgebuit door gebruikers die toebehoren aan de local user-group op de Windows-host van de Veeam server. Indien de server is toegevoegd aan het domein, kunnen alle gebruikers van dit domein de kwetsbaarheden uitbuiten. Een patch die de problemen verhelpt is inmiddels beschikbaar. Hiervoor waarschuwt Watchtowr. De kwetsbaarheden zijn volgens het beveiligingsbedrijf terug te leiden naar een breder probleem in het deserialisatiemechanismen van Veeam. De onderzoekers hekelen het gebruik van een blacklist door Veeam voor het blokkeren van deserialisatieproblemen. Zij stellen dat het bedrijf juist een whitelist zou moeten hanteren. "Als branche weten we dat ongecontroleerde deserialisatie altijd tot problemen leidt. Dit is waarom je altijd strenge controle moet implementeren op de klassen die worden gedeserialiseerd. Ideaal gezien zou dit een whitelist moeten zijn die alleen de deserialisatie van geselecteerde klassen toestaat. Hoewel de Veeam-oplossing in kwestie dit technisch gezien doet, leidt een van de toegestane klassen tot interne deserialisatie, die vervolgens een controle op basis van een blacklist implementeert", schrijft het bedrijf. Te koppelen aan eerder ontdekt lek De ontdekte lekken (beide omschreven als CVE-2025-23120 zijn volgens Watchtowr te koppelen aan de in september 2024 ontdekte kwetsbaarheid CVE-2024-40711, waarmee eveneens op afstand code uitgevoerd kan worden. Ook wijst het bedrijf op een verband met CVE-2024-42455, die geauthenticeerde gebruikers de mogelijkheid geeft onveilige deserialisatie uit te buiten. Watchtowr waarschuwt dat kwaadwillenden dergelijke kwetsbaarheden relatief eenvoudig kunnen identificeren door de codebase van Veeam Backup & Replication te zoeken naar deserialisatiegadgets die niet op de blacklist zijn opgenomen. Het nam de proef op de som en ontdekte zo de twee kwetsbaarheden. De kwetsbaarheden zijn alleen uit te buiten indien een aanvaller zich succesvol weet te authenticeren. Watchtowr stelt echter dat de authenticatievereisten van Veeam Backup & Replication niet sterk zijn, waardoor de lekken desondanks een flink risico opleveren. De kwetsbaarheden zijn verholpen in Backup & Replication version 12.3.1. bron: https://www.security.nl

Aanvallers richten in een langlopende malwarecampagne hun pijlen op WordPress-websites. In acht jaar tijd zijn meer dan 20.000 websites door de campagne getroffen. Eenmaal binnen proberen de aanvallers zo lang mogelijk toegang te houden tot de getroffen sites, onder meer door het updaten van WordPress en verwijderen van eventuele andere malware. Dit blijkt uit een analyse van het securityteam van de Amerikaanse hostingprovider GoDaddy. De campagne wordt 'DollyWay World Domination' genoemd. De campagne bestaat uit diverse aanvallen op WordPress-websites, die op het eerste oog los van elkaar lijken te staan. Onderzoek van GoDaddy wijst echter uit dat deze aanvallen allen dezelfde infrastructuur gebruiken, terwijl ook gebruikte code en monetariseringsmethoden overeenkomen. Gebruikers doorverwijzen naar malafide webpagina's De huidige variant van de gebruikte malware richt zich primair op bezoekers van besmette WordPress-sites. Het injecteert scripts die gebruikers doorverwijzen naar malafide webpagina's. De malware maakt daarbij gebruikt van VexTrio, een van de grootste affiliate-netwerken gericht op cybercriminaliteit. Hoewel de aanvallers zich momenteel voornamelijk richten op het doorverwijzen van gebruikers naar malafide pagina's om geld te verdienen aan hun campagne, is de campagne in het verleden ook ingezet voor het verspreiden van onder meer ransomware en bankingtrojans. Enkele aanvalscampagnes die eerder als losstaande campagnes zijn geïdentificeerd maar volgens GoDaddy onderdeel uitmaken van DollyWay World Domination zijn Master134, Fake Browser Updates en CountsTDS. Deze laatste campagne is ook bekend onder de namen DollyRAT / Backdoor.PHP.DOLLYWAY.A / Multistage WordPress Redirect Kit / R_Evil web shell. bron: https://www.security.nl

Spywarefabrikant SpyX is getroffen door een datalek. De gegevens gerelateerd aan bijna twee miljoen accounts zijn hierdoor uitgelekt. Het gaat onder meer om apparaatinformatie, e-mailadressen, geografische locaties, IP-adressen en wachtwoorden. Dit meldt de website Have I Been Pwned van beveiligingsonderzoeker Troy Hunt. SpyX zet zichzelf in de markt als telefoonmonitoringsoftware voor ouderlijk toezicht. Het meldt daarbij dat het niet nodig is een app te installeren op de smartphone die gebruikers willen monitoren. De spyware richt zich daarbij op de cloudback-up van het apparaat, waaruit het allerlei informatie ophaalt en doorstuurt. Via de app kunnen onder meer locatiegegevens, belgeschiedenis en SMS-verkeer worden ingezien. Have I Been Pwned meldt dat SpyX in juni 2024 is getroffen door een datalek. Daarbij zijn bijna 2 miljoen unieke e-mailadressen getroffen. Daarbij zijn ook inloggevens voor iCloud-omgevingen gerelateerd aan smartphones die via SpyX zijn gemonitord uitgelekt. De wachtwoorden waren daarbij opgeslagen in platte tekst, waarschuwt Have I Been Pwned. In totaal zijn 1,977,011 unieke accounts getroffen door het datalek. bron: https://www.security.nl

Kwaadwillenden maken deze week op grote schaal misbruik van bekende kwetsbaarheden in het Now Platform van ServiceNow. Voor de kwetsbaarheden zijn al updates beschikbaar. De aanvallers richten zich dan ook op partijen die deze patches niet hebben geïnstalleerd en daardoor een verouderde versie van het Now Platform draaien. Hiervoor waarschuwt GreyNoise. Het gaat om drie kwetsbaarheden: CVE-2024-4879, CVE-2024-5217 en CVE-2024-5178. CVE-2024-4879 is een fout in de invoervalidatie van ServiceNow en kan worden uitgebuit om op afstand code uit te voeren op het Now Platform. Een update is al sinds juli 2024 beschikbaar. CVE-2024-5217 is vergelijkbaar met CVE-2024-4879 en maakt ook misbruik van een fout uit in de wijze waarop input wordt gevalideerd. Ook in dit geval maakt dit het mogelijk op afstand code uit te voeren in instances van het Now Platform. Voor dit lek is sinds juni 2024 een update beschikbaar. CVE-2024-4879 en CVE-2024-5217 worden beide ials kritiek beschouwd. Ongeautoriseerde toegang CVE-2024-5178 is een kwetsbaarheid die aanvallers die beheerdersrechten weten te bemachtigen ongeautoriseerde toegang kan geven tot gevoelige bestanden op de webapplicatieserver. Ook voor dit lek, dat is ingeschaald als middelhoog, is sinds juni 2024 een patch beschikbaar. Met name organisaties in Israël lijken doelwit te zijn van de aanvallen. GreyNoise meldt dat 70% van de getroffen systemen zich in Israël bevindt. Ook meldt het bedrijf dat aanvallers door de kwetsbaarheden te combineren volledig toegang kunnen verkrijgen tot de database. Advies Organisaties wordt geadviseerd hun systemen te controleren en de beschikbare updates zo snel mogelijk te installeren om misbruik te voorkomen. bron: https://www.security.nl

Verschillende APT-groepen maken gebruik van een kwetsbaarheid in Windows uit om malafide commando's uit te voeren op machines van slachtoffers via geprepareerde snelkoppelingen. Daarbij verbergen zij command-line-opdrachten in .Ink-bestanden, met als doel malware payloads uit te voeren. Hiervoor waarschuwt Trend Micro via het Trend Zero Day Initiative. Het meldt bijna 1.000 malafide .Ink-bestanden te hebben ontdekt die ZDI-CAN-25373 actief probeerden uit te buiten. Hoewel het lek nu pas is ontdekt, meldt het beveiligingsbedrijf dat de kwetsbaarheid is gebruikt in aanvallen die teruggaan tot 2017. Verschillende APT-groepen uit onder meer Noord-Korea, Iran, Rusland en China lijken gebruik te maken van de kwetsbaarheid. Niet op korte termijn gepatcht Het lek is door Trend Micro gemeld bij Microsoft. Het beveiligingsbedrijf meldt echter dat Microsoft het lek niet op korte termijn zal dichten. Het Amerikaanse bedrijf beoordeelt de ernst van het lek als laag. "Deze kwetsbaarheid is gemeld aan Microsoft via het bug bounty-programma van Trend ZDI; Microsoft heeft dit geclassificeerd als "low severity" en de kwetsbaarheid zal in de nabije toekomst dan ook niet worden gepatcht", schrijft Trend Micro. Trend Micro adviseert organisaties hun systemen te onderzoeken op de aanwezigheid van malafide .Ink-bestanden. Onder meer overheden, private bedrijven, financiële organisaties, denktanks en telecombedrijven zijn doelwit van de aanvallen. bron: https://www.security.nl

Cybercriminelen gaan volgens marktonderzoeker Gartner steeds vaker AI-agents inzetten voor het overnemen van gebruikersaccounts. Daarnaast vormt technologie-gestuurde social engineering een steeds grotere bedreiging voor bedrijven. Gartner verwacht dat cybercriminelen met behulp van AI-agents op termijn gebruikersaccounts 50% sneller kunnen overnemen dan nu het geval is. Bijvoorbeeld door AI-agents geautomatiseerd met behulp van uitgelekte inloggegevens te laten inloggen op een groot aantal websites en online diensten, in de hoop dat de uitgelekte gegevens ergens zijn hergebruikt. Steeds breder ingezet Aanvallers gaan AI-agents daarbij in steeds meer stappen rondom het overnemen van gebruikersaccounts inzetten. Denk daarbij aan social engineering op basis van deepfake-stemmen tot het van A tot Z automatiseren van het uitbuiten van gestolen inloggegevens. Gartner adviseert gebruikers om zich hiertegen te wapenen de overstap te maken naar wachtwoordloze meerfactorauthenticatie (MFA). Indien gebruikers een keuze geboden krijgen tussen verschillende authenticatieopties, adviseert de marktonderzoeker altijd te kiezen voor multidevice passkeys. Deepfakes Daarnaast voorspelt Gartner dat door technologie ondersteunde social engineering een steeds grotere bedreiging gaat vormen voor de digitale veiligheid van bedrijf. Het voorspelt dat bij 40% van de social engineering-aanvallen in 2028 is gericht op managers en werknemers. Steeds vaker zetten zij daarbij deepfake-audio en -video in, onder meer om werknemers om de tuin te leiden. Gartner wijst erop dat hoewel dergelijke aanvallen op dit moment nog schaars zijn, de aanvallen die wel hebben plaatsgevonden tot grote financiële schade hebben geleid bij getroffen partijen. bron: https://www.security.nl

In het contentmanagementsysteem (CMS) Xperience van Kentico zijn een aantal kwetsbaarheden gevonden. Kwaadwillenden kunnen via de beveiligingsproblemen niet alleen authenticatie in het CMS omzeilen, maar ook op afstand code uitvoeren op kwetsbare implementaties. De kwetsbaarheden zijn ontdekt door Watchtowr, leverancier van een Continuous Automated Red Teaming-platform. Het gaat om een tweetal kwetsbaarheden die het mogelijk maken om authenticatie te omzeilen (WT-2025-0006 en WT-2025-0011) en een remote code execution (RCE)-kwetsbaarheid (WT-2025-0007). Niet alle implementaties van Xperience zijn overigens kwetsbaar. Alleen indien de Staging Service op het systeem is uitgeschakeld en deze is geconfigureerd om inloggen met een gebruikersnaam en wachtwoord mogelijk te maken is dit het geval. Watchtowr meldt dat dit een veelvoorkomende configuratie is. Authenticatie omzeilen WT-2025-0006 maakt gebruik van een fout in de wijze waarop het CMS authenticatie afhandelt in de Staging Service API. Door het manipuleren van SOAP-verzoeken kunnen aanvallers zonder geldige inloggegevens toegang krijgen tot Xperience. WT-2025-0011 maakt het mogelijk in te loggen met uitsluitend een gebruikersnaam, zonder dat een wachtwoord hoeft worden ingevoerd. Eenmaal binnen kunnen aanvallers een WT-2025-0007 inzetten om code uit te voeren op het systeem. Deze kwetsbaarheid maakt gebruik van een fout in een functionaliteit voor het uploaden van media naar het CMS. Deze fout maakt het mogelijk om bestanden weg te schrijven naar het bestandssysteem van de server. De kwetsbaarheden zijn in verschillende updates voor Kentico opgelost. Zo is WT-2025-0006 gedicht in Xperience 13.0.173, terwijl WT-2025-0011 en WT-2025-0007 zijn verholpen in Xperience 13.0.178. bron: https://www.security.nl

De remote access tool (RAT) StilachiRAT zet geavanceerde technieken in om onder de radar te kunnen opereren. De data richt zich op de diefstal van gevoelige informatie, waaronder inloggegevens, digitale wallets, data uit het clipboard en systeeminformatie. Na infectie nestelt de RAT zich daarnaast diep in het systeem, wat het verwijderen van de malware bemoeilijk. Dit blijkt uit een analyse van Microsoft Incident Response, een team van Microsoft dat klanten ondersteunt bij cyberaanvallen. Het is onduidelijk wie voor de StilachiRAT verantwoordelijk is; Microsoft meldt nog niet erin geslaagd te zijn de RAT aan een specifieke actor toe te schrijven. Niet breed verspreid De onderzoekers melden vooralsnog geen brede verspreiding van de RAT te zien. Door de uitgebreide technieken die het inzet om onder de radar te blijven en snelle ontwikkelingen in het malware-ecosysteem wil het team echter desondanks informatie over de malware delen. StilachiRAT verzamelt onder meer informatie over het systeem dat het heeft geïnfecteerd. Denk daarbij aan details over het besturingssysteem, gebruikte hardware, aanwezigheid van camera's, actieve Remote Desktop Protocol (RDP)-sessies en applicaties die op het systeem draaien. Daarnaast scant de RAT het systeem op de aanwezigheid van digitale wallet-extensies voor de webbrowser Google Chrome. Ook steelt het inloggegevens die zijn opgeslagen in Google Chrome. Aansturing via C2-server Daarnaast zet de RAT communicatie op met zijn command-and-control-server (C2-server). Vanaf deze server kan de aanvaller de malware aansturen om diverse activiteiten uit te voeren op het systeem. Denk daarbij aan het herstarten van het systeem, manipuleren van de registry, opschonen van logbestanden en opstarten van applicaties. Ook neemt StilachiRAT maatregelen om het verwijderen van de malware te bemoeilijken. Zo maakt het gebruik van Windows service control manager (SCM) om zichzelf na verwijdering opnieuw op het systeem te installeren. Ook neemt het maatregelen om detectie te vermijden. Onder meer door eventlogs te wissen en gericht te zoeken naar de aanwezigheid van detectietools. bron: https://www.security.nl

De hoeveelheid ClickFix-aanvallen, ook bekend als ClearFix-aanvallen, groeit snel en wordt door steeds meer aanvallers ingezet. Onder meer diverse APT-groepen die banden onderhouden met overheden zetten de aanvalsmethode in. Hiervoor waarschuwt Group-IB, dat de aanvallen analyseerde. In een blogpost deelt het zijn bevindingen. ClickFix is een social engineering-techniek waarbij gebruikers worden overtuigd PowerShell-commando's uit te voeren op hun systeem. In veel gevallen gebruiken aanvallers daarbij het clipboard van gebruikers. De techniek is voor het eerst waargenomen in oktober 2023, en wint sinds eind 2024 sterk aan populariteit. ClickFix-aanvallen maken vaak gebruik van valse reCAPTCHA-pagina's en andere vormen van bescherming tegen bots. SMOKESABER Group-IB omschrijft in zijn blogpost diverse aanvallen die de ClickFix-methode gebruiken. Een voorbeeld van een vroegtijdig incident met de aanvalsmethode die Group-IB omschrijft vond plaats in augustus 2024 en wordt 'SMOKESABER' genoemd. Aanvallers serveerden hierbij gebruikers van diverse website met valse reCAPTCHA's, waarmee gebruikers om de tuin werden geleid een reeks verborgen PowerShell-commando's uit te voeren op hun systeem. Deze commando's laden in de praktijk een downloader, die op zijn beurt de Lumma C2 infostealer op het systeem installeert. Voor het opzetten van ClickFix-aanvallen gebruiken aanvallers diverse methoden. Enkele voorbeelden zijn spearphishing en social engineering voor het verleiden van gebruikers om op malafide links te klikken en malafide advertenties op popups te serveren of gebruikers direct door te sturen naar malafide websites. Denk echter ook aan het opzetten van phishingwebsites, het toevoegen van bijvoorbeeld een valse reCAPTCHA aan een legitieme gecompromitteerde website of spam op social media. bron: https://www.security.nl

7.966 nieuwe kwetsbaarheden zijn afgelopen jaar in het WordPress-ecosysteem ontdekt, een stijging van 34% ten opzichte van een jaar eerder. De beveiligingsproblemen zaten met name in plugins van derde partijen. Dit blijkt uit cijfers verzameld door PatchStack, een WordPress vulnerability intelligence provider. Het stelt dat het merendeel van de kwetsbaarheden in de praktijk geen actief risico opleveren. Het aantal ernstige kwetsbaarheden is echter ook met 11% gestegen. 96% van de kwetsbaarheden is ontdekt in plugins, terwijl 4% in thema's zat. Slechts zeven van de 7.966 beveiligingsproblemen zat in WordPress zelf. Lek vaak niet gedicht voor openbaarmaking Uit de cijfers is ook op te maken dat veel ontwikkelaars kwetsbaarheden niet dichten voordat zij een lek openbaar maken. Het wijst daarbij op de Europese Cyber Resilience Act, waarvan de eerste vereisten vanaf 2026 van kracht zijn. De werkwijze van ontwikkelaar kan in strijd zijn met deze wetgeving, waarschuwt PatchStack. bron: https://www.security.nl

Apache Tomcat-servers zijn kwetsbaar voor een nieuw ontdekte remote code execution (RCE)-kwetsbaarheid. Kwaadwillenden kunnen via een PUT API-verzoek de servers overnemen. Een exploit is al gepubliceerd op internet. Hiervoor waarschuwt Wallarm, dat zich richt op API-beveiliging. De kwetsbaarheid (CVE-2025-24813) is in twee stappen uit te buiten. Allereerst upload een kwaadwillende een malafide sessiebestand naar de server, met als payload een base64-encoded ysoserial gadget chain. Dit verzoek schrijft het bestand weg naar de opslag voor sessiedata op de Tomcat-server. Stap twee bestaat uit het deserialiseren van het bestand door een GET-verzoek te versturen met de JSESSIONSID die naar de malafide sessie verwijst. De Tomcat-server haalt vervolgens het opgeslagen bestand op, deserialiseert dit en voert de embedded Java-code uit. Dit geeft de aanvaller toegang tot de server. Wallarm stelt dat de aanval erg eenvoudig uitvoerbaar is. De enige vereiste is dat de Tomcat-server file-gebaseerde sessieopslag gebruikt, wat in veel implementatie het geval is. Ook weet de aanval de meeste traditionele securityfilters te omzeilen, waardoor de aanval moeilijk detecteerbaar is. Zo ziet het PUT-verzoek er normaal uit en bevat geen duidelijk kwaadaardige content, is de payload 64base-gecodeerd wat patroon-gebaseerde detectie bemoeilijkt en bestaat de aanval uit twee stappen waarbij het schadelijke deel van de aanval pas tijdens de deserialisatie wordt uitgevoerd. bron: https://www.security.nl

Beveiligingsonderzoeker Yohanes Nugroho meldt een decryptor te hebben ontwikkeld voor de Linux-variant van de Akira-ransomware. De decryptor maakt gebruik van GPU's voor het achterhalen van de encryptiesleutels, om zo versleutelde data weer toegankelijk te maken. De decryptor is door Nugroho ontwikkeld nadat hij door een vriend om hulp werd gevraagd. Veel andere decryptietools ontsleutelen gegijzelde bestanden nadat de gebruiker de encryptiesleutel opgeeft. De decryptor die Nugroho nu deelt kraakt echter de encryptiesleutels die de Akira-ransomware gebruikt. Vier seeds gebaseerd op tijdstempel in nanoseconden Akira-ransomware genereert unieke encryptiesleutels voor ieder bestand dat het versleutelt met behulp van vier verschillende seeds, gebaseerd op de tijdstempel in nanoseconden. Het hasht deze door 1.500 rondes van SHA-256. Deze sleutels worden vervolgens versleuteld met RSA-4096 en toegevoegd aan het einde van elk versleuteld bestand. Doordat de seed is gebaseerd op de tijd in nanoseconden is het via brute force kraken van de sleutels zeer tijdrovend, aangezien er meer dan een miljard mogelijke waarden per seconde zijn. Ook versleutelt Akira meerdere bestanden gelijktijdig via multi-threading, wat het bepalen van de gebruikte tijdstempel verder bemoeilijkt. Aantal mogelijke seeds terugdringen Door logbestanden te analyseren wist de onderzoeker te achterhalen wanneer de ransomware was uitgevoerd en wanneer het encryptieproces was afgerond, en zo het aantal mogelijke seeds terug te dringen. Door encryptiebenchmarks uit te voeren op verschillende soorten hardware wist Nugroho het aantal mogelijke seeds daarnaast nog verder in te perken. Dankzij deze informatie slaagde hij erin met behulp van cloudgebaseerde GPU-diensten de encryptiesleutels in ongeveer 10 uur te kraken. Hij maakte daarbij gebruik van zestien RTX 4090 GPU's. Dit proces kostte ongeveer 1.200 dollar. De decryptor is door Nugroho op GitHub beschikbaar gemaakt, inclusief instructies voor het gebruik van de decryptor. Een uitgebreide analyse van het kraken van de encryptiesleutels is hier te vinden. bron: https://www.security.nl

Een populaire GitHub Action genaamd tj-actions/changed-files GitHub Action is door een aanvaller gemanipuleerd. Door code aan te passen wist de aanvaller een malafide script te laten uitvoeren dat is geschreven voor het stelen van CI/CD-secrets. Hiervoor waarschuwt StepSecurity, dat zich specifiek richt op de beveiliging van GitHub Actions. Dit is een tool voor het automatiseren van GitHub-workflows. Zo kan je met een GitHub Action bijvoorbeeld het testen van een applicatie na het toevoegen van nieuwe code automatiseren. CI/CD-secrets in logbestanden opnemen StepSecurity meldt dat de aanval specifiek tj-actions/changed-files GitHub Action treft. Een aanvaller is op 14 maart geslaagd in het aanpassen van de code van deze GitHub Action. De malafide code laadt een Python-script, dat ervoor zorgt dat CI/CD-secrets in build logs van GitHub Actions worden opgenomen. Indien deze logs openbaar toegankelijk zijn, bijvoorbeeld via openbare repositories, zijn deze secrets hierdoor vrij toegankelijk via internet. Het bedrijf meldt in logs van diverse openbare repositories inmiddels daadwerkelijk secrets te hebben aangetroffen. Tegelijkertijd meldt het geen bewijs te hebben dat de gelekte secrets daadwerkelijk door kwaadwillenden zijn buitgemaakt. Alternatieve GitHub Action beschikbaar Om te helpen met het mitigeren van de aanval stelt StepSecurity een vervanger voor de getroffen GitHub Action beschikbaar. Het adviseert alle instances van tj-actions/changed-files hiermee te vervangen. Het meldt ook dat het merendeel van de tj-actions/changed-files gecompromitteerd zijn. bron: https://www.security.nl

Bijna een miljoen computers zijn via illegale streamingwebsites besmet geraakt met malware, zo claimt Microsoft. Het gaat zowel om systemen van thuisgebruikers als bedrijven, aldus het techbedrijf in een analyse. De illegale streamingwebsites lieten gebruikers illegaal films kijken. Tijdens het bekijken van de films werden gebruikers automatisch doorgestuurd naar een andere website waarop malware werd aangeboden. Zodra slachtoffers de malware hadden gedownload en uitgevoerd werd er informatie over het systeem verzameld en aanvullende malware geïnstalleerd om documenten te stelen. Het ging onder andere om verschillende infostealers die zijn ontwikkeld om allerlei inloggegevens van besmette systemen te stelen. De aanvallers hadden de malware bij GitHub gehost, waar de malafide bestanden inmiddels zijn verwijderd. bron: https://www.security.nl

1Password heeft een nieuwe feature aan de wachtwoordmanager toegevoegd waardoor gebruikers wachtwoorden op basis van hun locatie getoond krijgen. Via de feature kunnen gebruikers opgeslagen wachtwoorden aan een fysieke locatie koppelen. Wanneer gebruikers in de buurt van deze locatie zijn zal 1Password die tonen. Dit moet volgens de wachtwoordmanager het eenvoudiger maken om wachtwoorden te gebruiken. 1Password stelt dat locatiegegevens niet worden opgeslagen, gedeeld of gevolgd. De controle op relevante wachtwoorden vindt lokaal plaats, zo laat 1Password verder weten. De coördinaten zouden dan ook niet de telefoon verlaten en voor geen andere doeleinden worden gebruikt. Gebruikers kunnen de optie daarnaast zelf in- en uitschakelen. 1Password merkt op dat gebruikers 'third-party maps' kunnen gebruiken om locatiegegevens aan hun wachtwoorden toe te voegen. Wanneer gebruikers hiervoor kiezen kan de mapprovider verschillende informatie over de gebruiker verzamelen, waaronder ip-adres, betreffende locaties en het feit dat het verzoek van 1Password afkomstig is. Het gebruik van third-party maps staat standaard uitgeschakeld. bron: https://www.security.nl

Mozilla heeft een nieuwe versie van Firefox uitgebracht die websites standaard eerst via HTTPS laadt en als dit niet werkt terugvalt op HTTP. Daarnaast kunnen gebruikers nu hun browsegeschiedenis en ingevulde webformulieren los van elkaar verwijderen. Eén van de nieuwe features in Firefox 136 is 'HTTPS-First'. Voor elke website die gebruikers bezoeken wordt eerst geprobeerd die via HTTPS te laden. Is de website niet via HTTPS bereikbaar, dan zal de browser op een HTTP-verbinding terugvallen. "Dit zorgt ervoor dat niemand de inhoud van de pagina's die je bezoekt kan bekijken of op je website-verbinding kan inbreken om je wachtwoorden, creditcardgegevens en andere persoonlijke informatie te stelen", aldus Mozilla. "De meeste websites ondersteunen HTTPS en sommige ondersteunen zowel HTTP als HTTPS." Met HTTPS-First wordt altijd de veiligste optie gekozen als die beschikbaar is, voegt de Firefox-ontwikkelaar toe. Een andere aanpassing is in het menu voor het verwijderen van cookies en browsegegevens. Daarin is het nu mogelijk om browsegeschiedenis en ingevulde webformulieren los van elkaar te verwijderen. Updaten naar Firefox 136 kan via de automatische updatefunctie en Mozilla.org. bron: https://www.security.nl

Meer dan 37.000 VMware ESXi-servers die vanaf het internet benaderbaar zijn, waaronder ruim negenhonderd in Nederland, bevatten een actief misbruikte kwetsbaarheid, zo stelt The Shadowserver Foundation op basis van eigen onderzoek. Broadcom heeft inmiddels updates voor het beveiligingslek uitgebracht, maar misbruik vond al voor het uitkomen van de patch plaats. ESXi, onderdeel van VMware's vSphere, is een 'bare metal hypervisor' voor het virtualiseren van besturingssystemen. De virtualisatiesoftware wordt direct op een server geïnstalleerd en kan vervolgens het gevirtualiseerde besturingssysteem laden. Afgelopen dinsdag kwam Broadcom met updates voor drie actief aangevallen kwetsbaarheden in verschillende VMware-producten. Via de kwetsbaarheden kunnen aanvallers vanuit een virtual machine toegang tot de onderliggende hypervisor krijgen. Dit is de software waarmee virtual machines worden gemaakt en op draaien. De kwetsbaarheden (CVE-2025-22224, CVE-2025-22225 en CVE-2025-22226) zijn aanwezig in VMware ESXi, VMware Workstation Pro / Player (Workstation), VMware Fusion, VMware Cloud Foundation en VMware Telco Cloud Platform. De gevaarlijkste kwetsbaarheid is CVE-2025-22224. Het gaat om een out-of-bounds write waardoor een aanvaller vanuit de virtual machine code op de onderliggende host kan uitvoeren. De impact van deze kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. The Shadowserver Foundation voerde een online scan uit en ontdekte meer dan 37.000 VMware ESXi-servers die de update voor CVE-2025-22224 niet geïnstalleerd hadden. Het grootste deel daarvan bevindt zich in China, Frankrijk en de Verenigde Staten. In Nederland ging het gisteren nog om 926 machines. "Zodra je ESX-toegang hebt kun je alles op de ESX-server benaderen. Het gaat dan om zaken als VM-data en belangrijker ESX-configuratie en gekoppelde opslag. Via de ESX-configuratie en gekoppelde netwerkopslag kun je door de VMware-omgeving bewegen", aldus beveiligingsonderzoeker Kevin Beaumont. ESXi-kwetsbaarheden zijn in het verleden onder andere gebruikt voor cyberspionage en ransomware-aanvallen. Organisaties worden opgeroepen de updates te installeren mocht dat nog niet zijn gedaan. bron: https://www.security.nl

Criminelen die zich bezighouden met het verspreiden van de Black Basta- en Cactus-ransomware maken gebruik van 'e-mail bombing' voor het uitvoeren van social engineering-aanvallen, om zo toegang te krijgen tot de systemen van slachtoffers. Dat laat antivirusbedrijf Trend Micro weten. Bij de aanvallen ontvangt het slachtoffer als eerste een grote hoeveelheid e-mails. Vervolgens wordt het slachtoffer via Microsoft Teams benaderd door iemand die zich voordoet als een medewerker van de it-afdeling of helpdesk. De aanvaller laat het slachtoffer remote management tools installeren of een remote shell uitvoeren. Zodra er toegang tot het systeem is verkregen worden onder andere inloggegevens en vpn-configuratiebestanden gestolen. Wanneer de aanvallers verdere toegang binnen het netwerk hebben wordt gevoelige informatie gestolen en als laatste de ransomware uitgerold. Organisaties krijgen het advies om het gebruik van remote assistance tools te beperken, personeel te trainen over social engineering en best practices voor Microsoft Teams toe te passen. bron: https://www.security.nl

Een spionagegroep genaamd Silk Typhoon heeft bij meerdere cloudproviders ingebroken om vervolgens de klanten van deze bedrijven aan te vallen, zo beweert Microsoft. De groep maakt volgens een vandaag verschenen analyse van het techbedrijf gebruik van allerlei methodes om aanvallen uit te voeren. Het gaat dan om misbruik van kwetsbaarheden in edge devices waarvoor nog geen update beschikbaar is, password spraying, het gebruik van wachtwoorden in repositories en supplychain-aanvallen. Microsoft stelt dat het eind vorig jaar zag dat de groep gebruikmaakte van gestolen API keys en credentials van niet nader genoemde privilege access management (PAM), cloud app providers en cloud data management bedrijven om klanten van deze bedrijven aan te vallen. Daarbij heeft de groep het vooral voorzien op overheden en it-bedrijven, aldus Microsoft. Zodra er toegang is verkregen stelen de aanvallers allerlei gegevens, resetten het standaard admin-account, installeren webshells, maken aanvullende gebruikers aan en schonen logbestanden op. In het geval de on-premises omgeving is gecompromitteerd bewegen de aanvallers zich vaak ook naar de cloudomgeving. Zo dumpen aanvallers de Active Directory, stelen wachtwoorden in wachtwoordkluizen en verhogen hun rechten. De aanvallers hebben onder andere Microsoft AADConnect-servers aangevallen. AADConect (dat nu bekendstaat als Entra Connect) is een tool die de on-premises Active Directory met Entra ID synchroniseert. Wanneer een aanvaller één van deze servers weet te compromitteren kan de aanvaller zijn rechten verhogen, toegang tot zowel de on-premises als cloudomgevingen krijgen en zich lateraal bewegen. In de analyse doet Microsoft verschillende aanbevelingen, waaronder ervoor zorgen dat on-premises service-accounts geen directe rechten tot cloud resources hebben, om zo te voorkomen dat de aanvallers zich lateraal naar de cloud kunnen bewegen. Verder wordt aangeraden om logs met betrekking tot Entra Connect-servers op verdachte activiteiten te controleren, alsmede naar nieuw aangemaakte gebruikers op edge devices te zoeken. bron: https://www.security.nl

Gebruikers van Google Chrome klagen bij de ontwikkelaar van uBlock Origin dat hun browser de populaire adblocker niet meer ondersteunt of zelfs is uitgeschakeld. Het is echter Google die de adblocker bij gebruikers uitschakelt en de melding laat zien dat de extensie niet meer wordt ondersteund. Daarop roept uBlock Origin-ontwikkelaar Raymond Hill gebruikers op om hiervoor geen nieuwe tickets op GitHub te openen. De manier waarop extensies binnen Chrome mogen werken staat beschreven in een manifest. Google gaat Manifest V2 vervangen door Manifest V3. Eén van de aanpassingen in Manifest V3 betreft het grotendeels uitfaseren van de webRequest API. Adblockers maken van deze API gebruik voor het onderscheppen, blokkeren, doorsturen en aanpassen van in- en uitgaand verkeer van de browser. Verschillende partijen hebben al geklaagd dat adblockers met de komst van Manifest V3 minder effectief worden. Vanwege de beperkingen is er geen Manifest V3-versie van uBlock Origin beschikbaar. Als onderdeel van de uitfasering van Manifest V2 laten Chrom en de Chrome Web Store de melding zien dat deze extensies niet meer worden ondersteund. Daarnaast is Google begonnen met het uitschakelen van Manifest V2-extensies bij gebruikers. Gebruikers hebben nog wel de mogelijkheid om Manifest V2-extensies in te schakelen, maar dit zal vanaf juni ook niet meer mogelijk zijn. Dat houdt in dat onder andere uBlock Origin niet meer is te gebruiken. Via de GitHub repository van uBlock Origin kunnen gebruikers allerlei problemen met de extensie melden. Gebruikers klopten vervolgens bij de ontwikkelaar aan over het einde van de support door Google. Hill heeft daar nu een oproep geplaatst om geen nieuwe tickets over het einde van de support door Google Chrome of andere Chromium-gebaseerde browsers te openen. De ontwikkelaar merkt op dat uBlock Origin nog wel volledig wordt ondersteund in Firefox en andere Gecko-gebaseerde browsers. Een andere optie voor Chrome-gebruikers is uBlock Origin Lite. Dit is een beperkte versie van de adblocker. Gebruikers moeten dan ook voor zichzelf bepalen of deze adblocker een passende vervanging is, aldus Hill. bron: https://www.security.nl

Meta biedt Europese gebruikers van Facebook en Instagram voortaan de mogelijkheid om een gekaapt account door middel van gezichtsherkenning te herstellen. De feature werd afgelopen oktober al in verschillende landen als test aangeboden. Volgens het techbedrijf zijn er verschillende manieren waardoor gebruikers toegang tot hun account kunnen verliezen, waaronder het afstaan van inloggegevens aan scammers. "Als we denken dat een account is gecompromitteerd, vereisen we dat de accounthouder zijn identiteit verifieert voordat hij weer toegang krijgt, door een officieel identiteitsbewijs of officieel certificaat met zijn naam te uploaden", aldus Meta over de huidige herstelmethode. Bij de nieuwe methode moeten gebruikers een videoselfie uploaden. Vervolgens wordt gezichtsherkenning toegepast en de geüploade videoselfie vergeleken met de profielfoto van het betreffende account. Meta stelt dat geüploade videoselfies versleuteld en veilig opgeslagen worden. "We zullen alle gezichtsdata die na de vergelijking is gegenereerd, ongeacht of er een match is of niet, direct verwijderen", liet het bedrijf eerder weten. Meta claimt dat deze herstelmethode lastiger is voor aanvallers om te misbruiken dan traditionele identiteitsbewijs-gebaseerde identiteitsverificatie. De optie om door middel van gezichtsherkenning gekaapte Facebook- en Instagram-accounts te herstellen is nu ook beschikbaar voor gebruikers in de EU, Zuid-Korea en het Verenigd Koninkrijk. Daarbij stelt Meta dat deze uitbreiding volgt na overleg met toezichthouders. Verder laat het techbedrijf weten dat 'videoselfie-verificatie' via gezichtsherkenning optioneel is, maar wel een snellere en eenvoudigere manier voor mensen om hun identiteit te verifiëren. bron: https://www.security.nl

Een kwetsbaarheid in Cisco Webex for BroadWorks maakt het in bepaalde gevallen mogelijk dat inloggegevens van gebruikers kunnen lekken, waardoor een aanvaller zich als de gebruiker kan voordoen. Cisco heeft een update 'gepusht' en adviseert het herstarten van de applicatie en aanpassen van inloggegevens, om zo tegen mogelijke diefstal hiervan beschermd te zijn. Cisco zegt niet bekend te zijn met misbruik van het probleem. Cisco Webex for BroadWorks laat gebruikers onder andere met elkaar bellen. Wanneer 'unsecure transport' voor de SIP (Session Initiation Protocol)-communicatie staat ingesteld zou een ongeauthenticeerde aanvaller op afstand toegang tot 'access data en credentials' kunnen krijgen. "Deze kwetsbaarheid wordt veroorzaakt door het lekken van gevoelige informatie in de SIP-headers", aldus de uitleg van Cisco. Een gerelateerd probleem zorgt ervoor dat een geauthenticeerde gebruiker toegang tot 'access credentials' in plaintext in de client- en server-logs kan krijgen. Cisco zegt dat het een configuratieaanpassing onder Cisco Webex for BroadWorks heeft gepusht. Het netwerkbedrijf adviseert klanten om hun Cisco Webex-applicatie te herstarten om zo de aanpassingen door te voeren. Daarnaast wordt aangeraden om credentials te wijzigen, om zo tegen eventuele diefstal ervan beschermd te zijn. Het probleem doet zich alleen voor wanneer de software in een Windowsomgeving draait. Vorig jaar bleek dat Cisco Webex gevoelige metdata van overheden en bedrijven lekte. bron: https://www.security.nl

Een beveiligingslek in verschillende browsers maakt 'passkey phishing' binnen bluetooth-bereik mogelijk. Mozilla heeft vandaag een nieuwe versie van Firefox uitgebracht waarin het probleem is verholpen. De kwetsbaarheid (CVE-2024-9956) die zich in Web Authentication bevindt, werd eerder al in Google Chrome en Apple Safari gepatcht. Google en Apple gaven bij het uitbrengen van de nieuwe browserversies, respectievelijk afgelopen oktober en januari, nauwelijks details over het probleem. Mozilla laat weten dat malafide websites Firefox voor Android kunnen gebruiken om FIDO:-links uit te laten voeren en zo een "hybrid" passkey transport te triggeren. Dit kan ervoor zorgen dat het slachtoffer zijn passkey gebruikt om de aanvaller op een bepaald account te laten inloggen. FIDO is de partij die bij het opstellen van de Web Authentication-specificatie was betrokken. De kwetsbaarheid werd gevonden en gerapporteerd door een onderzoeker die zichzelf MasterSplinter noemt. De onderzoeker publiceerde vorige week de details van het beveiligingslek. "Een aanvaller binnen bluetooth-bereik kan vanaf een malafide pagina een mobiele browser naar een FIDO:/ URI laten navigeren, waardoor die een legitieme PassKeys authenticatie intent kan starten die wordt ontvangen op het apparaat van de aanvaller. Dit zorgt ervoor dat de aanvaller de PassKeys credentials kan "phishen" en de aanname onderuit haalt dat PassKeys niet te phishen zijn." De Web Authentication-standaard beschrijft hoe de client, bijvoorbeeld een browser, en de authenticator moeten communiceren om gebruikers te authenticeren. De meestgebruikte authenticators zijn usb-apparaatjes en smartphones. Communicatie kan bijvoorbeeld via NFC, bluetooth en wifi plaatsvinden. Vooral de communicatie via bluetooth was interessant, aldus de onderzoeker. De cross-device authenticatie flow, waarbij inloggegevens die op het ene apparaat staan worden gebruikt om de gebruiker in te loggen op een account op een ander apparaat, vereist dat beide apparaten in elkaars buurt zijn. Hiervoor wordt gebruikgemaakt van een QR-code en bluetooth. Dit moet deze methode "phishproof" maken. Door middel van een malafide QR-code kan een aanvaller in de buurt van het slachtoffer hier echter misbruik van maken, aldus de onderzoeker. Het doelwit moet hiervoor eerst een malafide pagina van de aanvaller bezoeken waarop de QR-code staat. Vervolgens verschijnt op de telefoon van het slachtoffer de PassKey manager, waarbij in de achtergrond de legitieme website van de Relying Party wordt geladen. De smartphone van het slachtoffer maakt in de achtergrond verbinding met de client van de aanvaller. Vervolgens krijgt het slachtoffer de keuze van de PassKey manager om "OK" of "Continue" te klikken waarbij hij in werkelijkheid de aanvaller inlogt op zijn account. De onderzoeker beschrijft hoe een aanvaller het lek zou kunnen misbruiken door op een vliegveld 'gratis wifi' aan te bieden, waarbij gebruikers worden gevraagd om via hun socialmedia-account in te loggen. In deze flow zouden slachtoffers het mogelijk niet vreemd vinden dat ze hun Passkeys gebruiken. Daarbij is bluetooth binnen een straal van honderd meter te gebruiken, aldus de onderzoeker. Die prijst de verschillende browserontwikkelaars voor het 'relatief snel' verhelpen van het probleem. bron: https://www.security.nl

Cybercriminelen proberen slachtoffers door middel van een nepfoutmelding een malafide PowerShell-commando uit te laten voeren waarmee uiteindelijk malware op het systeem wordt geïnstalleerd en de aanvallers volledige controle krijgen. Dat laat securitybedrijf Fortinet in een analyse weten. De aanval begint met een e-mail die als onderwerp 'Critical Update' heeft en de ontvanger oproept om het meegestuurde 'Document' te bekijken. Het gaat hier om een html-bestand genaamd document.html. Wanneer slachtoffers het html-bestand openen verschijnt er een nepfoutmelding die stelt dat er geen verbinding met de "One drive" clouddienst gemaakt kon worden. De 'foutmelding' is ook voorzien van een knop genaamd 'How to fix'. Wanneer gebruikers op deze knop klikken wordt het malafide PowerShell-commando naar het clipboard gekopieerd en verschijnen er instructies om PowerShell te starten en dan Ctrl + V en Enter uit te voeren. Via het PowerShell-commando wordt malware op het systeem gedownload en uitgevoerd. "Naast het alert zijn op phishingmails, moet er extra voorzichtig worden omgegaan met gerichte adviezen die vragen om een terminal of PowerShell te openen, om zo te voorkomen dat er onbedoeld malafide commando's worden gedownload en uitgevoerd", aldus Fortinet. bron: https://www.security.nl