Captain Kirk

Nog altijd worden organisaties succesvol aangevallen via de Log4j-kwetsbaarheid omdat organisaties nalaten beschikbare beveiligingsupdates te installeren, zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Begin december vorig jaar werd bekend dat er een kritieke kwetsbaarheid in Log4j aanwezig was. Tot dan toe niet echt heel bekende loggingsoftware waarin geen grote problemen waren gevonden. De software bleek in zeer veel programma's te worden gebruikt. Bij de aanvallen waarvoor het CISA nu waarschuwt maken de aanvallers misbruik van de Log4j-kwetsbaarheid in VMware Horizon en Unified Access Gateway (UAG) servers. Het aanvallen van VMware Horizon en UAG-servers vindt al sinds december plaats. Hoewel beveiligingsupdates beschikbaar zijn, zijn er nog altijd organisaties die deze patches een half jaar later nog altijd niet hebben geïnstalleerd. Zodra aanvallers toegang tot een server hebben verkregen proberen ze de organisatie verder te compromitteren en zich lateraal door het netwerk te bewegen. Organisaties die de VMware-updates en workarounds van afgelopen december niet hebben toegepast moeten hun VMware Horizon-servers als gecompromitteerd beschouwen, zo stelt het CISA. Het is nodig om deze systemen meteen te isoleren en te onderzoeken. Wanneer blijkt dat de systemen niet zijn getroffen moeten ze zo snel mogelijk worden gepatcht. bron: https://www.security.nl

Driekwart van de populairste websites op internet staat zwakke wachtwoorden toe zoals 12345678, abc123456 en P@$$w0rd. Daarnaast belast bijna de helft van deze sites gebruikers door een speciaal karakter in hun wachtwoord te verplichten. Dat blijkt uit onderzoek van de Princeton University naar het wachtwoordbeleid van populaire websites. Voor het onderzoek keken de onderzoekers of de 120 populairste Engelstalige websites op internet zich aan best practices voor wachtwoorden houden. Het gaat dan om het blokkeren van zwakke wachtwoorden die in datalekken voorkomen of eenvoudig zijn te raden, het gebruik van een sterktemeter om gebruikers real-time feedback te geven over de sterkte van hun wachtwoord en het niet dwingen van gebruikers om speciale karaktertypes in hun wachtwoord te gebruiken. Slechts 15 van de 120 onderzochte topsites, waaronder Google, Adobe, Twitch, GitHub en Grammarly, blijken deze best practices te volgen. De onderzoekers maakten onder andere gebruik van een lijst met de veertig meest gelekte wachtwoorden. Zo staat de helft van de websites het gebruik van alle veertig zwakke wachtwoorden toe en nog eens negentien sites staan meer dan de helft van deze wachtwoorden toe. Verder maken slechts 23 van de 120 websites gebruik van een sterktemeter en verplicht meer dan de helft het gebruik van bepaalde karakters, zoals speciale karakters en cijfers. Uit andere onderzoeken blijkt dat het verplichten van langere wachtwoorden en juist geen specifieke karakters te verplichten voor sterkere wachtwoorden zorgt. Het Amerikaanse National Institute of Standards and Technology, een Amerikaanse organisatie die onder andere verantwoordelijk is voor het opstellen van cybersecurityrichtlijnen voor de Amerikaanse overheid, adviseert websites om gebruikers geen bepaalde karakters in hun wachtwoorden te verplichten. Aangezien wachtwoorden nog altijd een belangrijke rol spelen bij het inloggen op accounts adviseren de onderzoekers websites dan ook om zich te richten op de veiligheid en bruikbaarheid van wachtwoorden. Zo moeten websites zwakke wachtwoorden beter blokkeren, gedateerd wachtwoordbeleid met specifieke karakters afschaffen en verkeerd geconfigureerde sterktemeters aanpassen. "Wachtwoorden zijn uitdrukkelijk onderzocht, maar slechts weinig websites hebben wachtwoordbeleid geïmplementeerd dat de geleerde lessen weergeeft", zegt onderzoeker Kevin Lee. bron: https://www.security.nl

Onderzoekers hebben een manier gevonden om de data van gebruikers van cloudopslagdienst MEGA kunnen ontsleutelen. Het bedrijf heeft inmiddels een beveiligingsupdate uitgerold om de kwetsbaarheden te verhelpen. Voor het uitvoeren van de aanval had een aanvaller een man-in-the-middle-positie moeten hebben of de controle over de kerninfrastructuur van MEGA. MEGA is een cloudopslagdienst met naar eigen zeggen meer dan 250 miljoen geregistreerde gebruikers, tien miljoen dagelijks actieve gebruikers en 1000 petabyte aan opslag. Het bedrijf biedt gebruikers end-to-end encryptie en claimt dat het de data van gebruikers niet kan ontsleutelen. "Zolang je ervoor zorgt dat je wachtwoord voldoende sterk en uniek is, heeft niemand toegang tot je data bij MEGA. Zelfs in het uitzonderlijke onwaarschijnlijke geval dat de volledige infrastructuur van MEGA in beslag wordt genomen", zo claimt de cloudopslagdienst. Onderzoekers van de Applied Crypto Group van ETH Zurich hebben echter aangetoond dat het wel degelijk mogelijk is voor MEGA of een partij die de infrastructuur in handen heeft om de decryptiesleutel van gebruikers te achterhalen en zo hun bij MEGA opgeslagen data te ontsleutelen. In totaal bedachten de onderzoekers vijf verschillende aanvallen om de vertrouwelijkheid van gebruikersdata te compromitteren. MEGA maakt gebruik van verschillende encryptiesleutels voor het versleutelen van bestanden van gebruikers. Deze zogeheten "key hierarchy" begint met het wachtwoord van de gebruiker. De MEGA-clientsoftware gebruikt het gebruikerswachtwoord voor het genereren van een authenticatie key en een encryptie key. De authenticatie key wordt gebruikt voor het authenticeren van de gebruiker als die bij MEGA inlogt. De encryptie key versleutelt een willekeurig gegenereerde master key, die weer ander key materiaal van de gebruiker versleutelt. De onderzoekers ontdekten een praktische aanval om de RSA private key van de gebruiker te achterhalen. Dit is mogelijk doordat de integriteit van de versleutelde keys van gebruikers op de servers van MEGA niet is beschermd. Een aanvaller die controle over de MEGA-infrastructuur heeft kan de softwareclient op het systeem van de gebruiker misleiden om informatie te lekken waarmee de key is te achterhalen. Hiervoor zou een gebruiker zo'n 512 keer op zijn account moeten inloggen. Doordat de servercode van MEGA niet beschikbaar is, konden de onderzoekers geen proof-of-concept aanval implementeren waarbij een aanvaller de controle over de cloudopslagdienst heeft. In plaats daarvan voerden ze een man-in-the-middle-aanval uit door een kwaadaardig TLS-rootcertificaat op het systeem van het slachtoffer te installeren. Hiermee kan de aanvaller zich tegenover de gebruiker als MEGA voordoen. Responses van de server zijn in real-time aan te passen, aangezien die niet afhankelijk zijn van secrets die op de server zijn opgeslagen. In een video laten de onderzoekers zien hoe ze de eerste byte van de RSA private key van een gebruiker achterhalen. Om geen nadelige impact op de productieservers van MEGA te hebben werd de aanval hierna gestopt. "Ondanks het feit dat weinig gebruikers vaak genoeg inloggen om het scenario te laten werken, ondermijnt het probleem het meest fundamentele ontwerpdoel van MEGA, het verzekeren van de privacy van opgeslagen bestanden en berichten zolang er een uniek wachtwoord met voldoende entropie wordt gebruikt en geen van de endpoint-apparaten is gecompromitteerd", reageert MEGA in een blogpost. Het bedrijf heeft updates uitgebracht voor de problemen die de onderzoekers aantroffen, maar de gekozen oplossing verschilt van wat de onderzoekers adviseerden. De onderzoekers stellen dat de patches van MEGA geen directe bescherming tegen twee van de uitgewerkte aanvallen bieden. bron: https://www.security.nl

PowerShell is essentieel voor het beveiligen van Windowssystemen. Organisaties moeten de scriptingtaal dan ook goed configureren in plaats van verwijderen of beperken, zo stelt de Amerikaanse geheime dienst NSA in een document dat mede door de Britse en Nieuw-Zeelandse autoriteiten is opgesteld (pdf). PowerShell is een scriptingtaal en commandlinetool die sinds Windows Vista in Windows aanwezig is en kan worden vergeleken met Bash. Volgens de NSA kan PowerShell organisaties en beveiligingsexperts helpen met forensisch onderzoek, het verbeteren van incidentrespons en het automatiseren van taken. PowerShell wordt echter ook gebruikt door criminelen die toegang tot systemen hebben gekregen, bijvoorbeeld voor de verdere verspreiding van ransomware. Dat neemt niet weg dat het blokkeren of verwijderen van PowerShell het beveiligen van systemen juist hindert, zo laat de NSA weten. Het monitoren van PowerShell-logs kan juist helpen bij het detecteren van mogelijk misbruik. Daarnaast kan PowerShell zo worden ingesteld dat het netwerken veiliger maakt en bijvoorbeeld tekortkomingen van AppLocker corrigeert. "PowerShell is essentieel voor het beveiligen van Windows, met name nieuwere versies hebben door middel van updates en verbeteringen eerdere beperkingen en zorgen opgelost", zo concludeert de NSA. Het verwijderen of beperken van PowerShell zou juist voorkomen dat systeembeheerders en verdedigers PowerShell kunnen gebruiken voor systeembeheer, forensisch onderzoek, automatisering en beveiliging. "PowerShell, samen met de beheerdersmogelijkheden en securitymaatregelen, zouden juist goed moeten worden beheerd en toegepast", zo besluit de NSA de conclusie. bron: https://www.security.nl

Het populaire archiveringsprogramma 7-Zip heeft eindelijk ondersteuning voor de Mark-of-the-Web (MOTW) beveiligingsfeature van Windows gekregen, maar gebruikers moeten die wel zelf inschakelen. MOTW zorgt ervoor dat bestanden die via internet zijn gedownload door Windows van een aparte tag worden voorzien. Bij het openen van bestanden met een MOTW-tag zal Windows een extra waarschuwing aan gebruikers tonen of ze het bestand echt willen openen, aangezien het vanaf internet afkomstig is. Verschillende applicaties zoals Microsoft Office ondersteunen Mark-of-the-Web. Deze ondersteuning ontbrak echter in 7-Zip. Dit tot ongenoegen van allerlei beveiligingsexperts. Wanneer gebruikers bijvoorbeeld een zip-bestand via internet downloaden en daarna de inhoud via 7-Zip uitpakken, wordt het Mark-of-the-Web niet doorgegeven aan de uitgepakte bestanden. Iets wat een beveiligingsrisico kan zijn. Zo zijn in het verleden 7-Zip-archieven gebruikt voor de verspreiding van malware. 7-Zip-ontwikkelaar Igor Pavlov heeft in de nieuwste versie van 7-Zip (22.00), die vorige week uitkwam, de feature eindelijk toegevoegd. Gebruikers moeten die wel zelf inschakelen, aangezien "Propagate Zone.Id stream", zoals het archiveringsprogramma Mark-of-the-Web noemt, standaard staat uitgeschakeld. bron: https://www.security.nl

Een drie jaar oud PHP-beveiligingslek in de software waar NAS-apparaten van fabrikant QNAP op draaien maakt het mogelijk voor aanvallers om op afstand code uit te voeren. De kwetsbaarheid, aangeduid als CVE-2019-11043, werd zoals het CVE-nummer weergeeft al in 2019 ontdekt. Voor verschillende Linux-distributies verschenen destijds beveiligingsupdates Vandaag meldt QNAP dat de kwetsbaarheid ook aanwezig is in verschillende versies van QTS, QuTS hero en QuTScloud. Dit zijn de besturingssystemen waar QNAP NAS-systemen op draaien die ook van PHP gebruikmaken. Via het beveiligingslek is remote code execution mogelijk en kan een aanvaller op afstand code op het NAS-systeem uitvoeren. Verdere details zijn niet door QNAP gegeven, behalve dat het probleem in QTS 5.0.1.2034 build 20220515 en nieuwer en QuTS hero h5.0.0.2069 build 20220614 en nieuwer is verholpen. Gebruikers wordt aangeraden om naar de laatste versie van het besturingssysteem te updaten. bron: https://www.security.nl

Apple heeft aan iOS en Safari een nieuwe technologie toegevoegd waarmee het naar eigen zeggen op een privacyvriendelijke manier advertentieclicks kan meten, maar Mozilla is zeer kritisch en noemt het een slechte afweging tussen de privacy van gebruikers en het beoogde doel. Standaard worden voor het meten van advertentieclicks cookies gebruikt, die user of device ID's bevatten. Daarmee is het mogelijk om gebruikers over meerdere websites te volgen. Verschillende browsers, waaronder Safari, hebben maatregelen tegen cross-site tracking genomen. Apple stelt dat het adverteerders ook de mogelijkheid wil bieden om het succes van online advertentiecampagnes te meten. Het bedrijf kwam als oplossing met Private Click Measurement (PCM). Door middel van een nieuwe API kan worden gemeten welke clicks tot een "conversie" leiden, zoals een verkoop of aanmelding. De browser houdt bij wanneer de gebruiker op een advertentie klikt en er een conversie plaatsvindt. De browser creëert dan een rapport dat tussen de 24 en 48 uur later via een anonimiseringsdienst naar de website met de advertentie en adverterende partij wordt gestuurd. Deze vertraging moet voorkomen dat websites kunnen achterhalen welke gebruiker op een advertentie heeft geklikt. Toch hoeft dit geen betere privacybescherming te bieden, aldus Mozilla. De rapportages kunnen namelijk alleen worden verstuurd wanneer de browser van de gebruiker actief is. Websites weten wanneer hun gebruikers actief zijn en kunnen gebruikersactiviteit correleren aan de momenten dat de rapporten binnenkomen. Iets dat volgens Mozilla kan helpen bij het identificeren van gebruikers met afwijkende browsing-uren. Daarnaast staat PCM een beperkt aantal identifiers aan clicks en trigger events toe, om zo de privacy van gebruikers te beschermen. Desondanks is het voor malafide websites nog steeds mogelijk om gebruikers via deze identifiers te volgen, stelt Mozilla. PCM biedt gebruikers dan ook geen garantie dat ze niet kunnen worden getrackt. Voor websites en adverteerders kent PCM dusdanig functionele beperkingen dat het lastig bruikbaar in de praktijk is. Mozilla verwacht dan ook dat weinig websites er gebruik van zullen maken. bron: https://www.security.nl

Een softwarebedrijf dat aan banken wereldwijd een automatiseringsplatform levert blijkt bij elke installatie van de Unix-agent een zelfde public ssh-key aan het rootaccount van het systeem toe te voegen. De bijbehorende private key die ook in de installatiebestanden is te vinden is niet beveiligd met een passphrase. Daarnaast blijkt dat het verwijderen van de automatiseringssoftware niet de toevoeging aan het authorized_keys bestand ongedaan maakt. SMA Technologies richt zich op de financiële sector en heeft naar eigen zeggen meer dan zeshonderd klanten in 24 landen. Deze banken en andere instellingen maken gebruik van het OpCon-automatiseringsplatform. Via het platform, dat uit clients en een server bestaat, zijn onder andere workflows binnen organisaties te automatiseren. De serversoftware is op Windows en Linux te installeren. In het geval van Linux-servers is er ook een Unix-agent. Bij de installatie van de OpCon Unix-agent en latere updates wordt er voor elke installatie een zelfde public ssh-key aan het authorized_keys bestand van het rootaccount toegevoegd. In dit bestand staan de ssh-keys waarmee op het betreffende account kan worden ingelogd. De bijbehorende private key bevindt zich ook in de installatiebestanden en is niet beveiligd met een passphrase. Een aanvaller die de beschikking over de private key heeft kan zo bij alle installaties als root inloggen, zo waarschuwt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. Wanneer organisaties de OpCon-software verwijderen blijft de key gewoon in het authorized_keys bestand staan. SMA Technologies heeft een oplossing uitgebracht om het probleem te verhelpen. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Google Chrome maakt het mogelijk voor aanvallers om systemen op afstand over te nemen. Alleen het bezoeken van een malafide of gecompromitteerde website of het te zien krijgen van een besmette advertentie is voldoende. Er is geen verdere interactie van gebruikers vereist. Google heeft een beveiligingsupdate uitgebracht om het probleem te verhelpen. De kwetsbaarheid, aangeduid als CVE-2022-2156, werd op 11 juni door Mark Brand van Google Project Zero aan het Chrome-team gerapporteerd. Het probleem bevindt zich in het "Base" onderdeel van de browser en maakt een use after free mogelijk waardoor een aanvaller buiten de sandbox van Chrome code op het systeem kan uitvoeren. In het ergste geval is daardoor volledige systeemovername mogelijk. Verder geeft Google geen details over de kwetsbaarheid. Hoewel kritieke beveiligingslekken weinig voorkomen in Chrome staat de teller dit jaar al op vijf, wat meer is dan in voorgaande jaren. In het geval van kritieke kwetsbaarheden probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details kunnen vervolgens na zestig dagen openbaar worden gemaakt. Verder verhelpt Chrome 103.0.5060.53 dertien andere kwetsbaarheden, die een lagere impact hebben. Updaten naar de nieuwste Chrome-versie zal op de meeste systemen automatisch gebeuren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. bron: https://www.security.nl

Gebruikers van Google Chrome zijn aan de hand van de browser-extensies die ze hebben geïnstalleerd door websites te tracken, zo heeft een beveiligingsonderzoeker aangetoond. Dit is mogelijk door middel van "web-accessible resources", bestanden binnen een browser-extensie die door websites of andere extensies benaderbaar zijn. Die kunnen deze informatie gebruikers voor het genereren van een fingerprint. Hoe meer extensies de gebruiker geïnstalleerd heeft, des te groter de kans dat het mogelijk is om een unieke fingerprint van de gebruiker te maken. Het is al jaren bekend dat gebruikers op deze manier zijn te volgen. Een beveiligingsonderzoeker met het alias 'z0ccc' heeft nu een website gemaakt die op basis van bijna twaalfhonderd extensies een fingerprint maakt en vervolgens laat zien hoeveel procent van de gebruikers dezelfde extensie hebben geïnstalleerd. Het gaat dan om extensies als AdBlock, uBlock Origin, LastPass, Adobe Acrobat, Cisco Webex Extension, Skype, Google Hangouts, DuckDuckGo Privacy Essentials, Dashlane, 1Password en Norton Password Manager. Om detectie te voorkomen genereren sommige extensies een secret token dat benodigd is om toegang tot de web accessible resources te krijgen. De onderzoeker ontdekte echter een timingmethode waarmee websites kunnen bepalen of een beschermde extensie is geïnstalleerd. De methode werkt niet bij Firefox, aangezien de browser voor elke gebruiker bij elke extensie een uniek ID genereert. bron: https://www.security.nl

Ransomware-aanvallen kunnen grote gevolgen voor organisaties hebben en voor ernstige verstoringen zorgen. Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid heeft eerder deze maand een incidentresponsplan gepubliceerd waarin wordt beschreven hoe organisaties met ransomware-aanvallen kunnen omgaan. "Want snelheid telt in het geval van een ransomware-aanval", aldus het NCSC. "Zeker op het moment dat je als organisatie kwaadwillenden op je netwerk aantreft en de ransomware nog niet uitgerold is. Dan is het zaak zorgvuldig – en niet overhaast - de incidentresponscyclus te doorlopen." Het incidentresponsplan gaat in op de voorbereiding op een ransomware-aanval, het identificeren van de aanval, het beperken van de ransomware, het verwijderen van de ransomware, herstellen van data en systemen en als laatste het delen van geleerde lessen. In het geval van een incident adviseert het NCSC om de afgesproken incidentrespons-procedures te volgen en planmatig te werk gaan. Volgens de overheidsinstantie hebben getroffen organisaties namelijk vaak de houding om de aanvallers zo snel mogelijk van het netwerk te verwijderen en verdere schade te beperken. "En dat moet natuurlijk ook gebeuren, maar zonder essentiële stappen over te slaan. Daarbij kan het behulpzaam zijn om vooraf al een stuk op weg te zijn met deze plannen en een ingevuld beginpunt te hebben", zo laat het NCSC weten. Het incidentresponsplan bevat ook allerlei aanbevelingen om een ransomware-aanval te voorkomen, zoals technische maatregelen. Het NCSC adviseert onder andere om macro’s in office-software centraal uit te schakelen, het openen van url's en afbeeldingen in e-mails uit te zetten, het gebruik van ongeautoriseerde usb-apparaten te blokkeren en het eenvoudig voor medewerkers te maken om verdachte e-mails te rapporteren. bron: https://www.security.nl

Een omvangrijk proxybotnet dat uit miljoenen gecompromitteerde apparaten bestond is mede met hulp van de Nederlandse autoriteiten ontmanteld. Dat laat het Amerikaanse ministerie van Justitie weten. Het Rsocks-botnet richtte zich in eerste instantie op Internet of Things (IoT)-apparaten, maar nam later ook andere soorten devices op de korrel, van Androidtoestellen tot traditionele computers. Hiervoor werden onder andere bruteforce-aanvallen gebruikt. Eenmaal besmet werden de machines onderdeel van het Rsocks-proxybotnet en vervolgens op internet te koop aangeboden. Criminelen konden tegen betaling de besmette machines als proxy gebruiken en hun verkeer via deze apparaten laten lopen. Voor het gebruik van tweeduizend Rsocks-proxy's per dag moest dertig dollar worden betaald, terwijl toegang tot negentigduizend proxy's tweehonderd doller per dag kostte. Volgens de Amerikaanse autoriteiten werden de besmette machines door criminelen gebruikt voor het uitvoeren van credential stuffing-aanvallen, het inloggen op gecompromitteerde socialmedia-accounts en het versturen van phishingmails. Door het gebruik van de proxy's bleef het echte ip-adres van de crimineel verborgen. Zowel eindgebruikers als grote organisaties werden slachtoffer van het botnet. De website waarop de proxy's te koop werden aangeboden is nu offline gehaald. Bij het ontmantelen van de infrastructuur van het botnet waren naast de Nederlandse autoriteiten ook opsporingsdiensten uit Duitsland, het Verenigd Koninkrijk en de Verenigde Staten betrokken. bron: https://www.security.nl

Microsoft heeft een nieuwe beveiligingsapplicatie gelanceerd die eindgebruikers moet helpen bij het monitoren van meerdere apparaten in hun huishouden, zoals laptops en smartphones. Defender for individuals geeft de beveiligingsstatus van verschillende systemen via één dashboard weer en biedt bescherming tegen phishing en malware. Daarbij worden zowel Android, iOS, macOS als Windows ondersteund. Zo kunnen gebruikers onder andere de status van de gebruikte antivirussoftware op de verschillende apparaten bekijken. Verder kunnen gebruikers beveiligingstips en waarschuwingen via de oplossing ontvangen. Microsoft stelt dat Defender for Individuals met meer features zal worden uitgebreid, waaronder bescherming tegen identiteitsdiefstal en een "secure online connection". De nieuwe beveiligingssoftware, die van dezelfde technologie als Microsofts zakelijke beveiligingssoftware gebruikmaakt, is beschikbaar voor abonnees van Microsoft 365 Personal en Family. bron: https://www.security.nl

NAS-fabrikant QNAP heeft opnieuw gewaarschuwd voor ransomware-aanvallen tegen NAS-apparaten. Het zou daarbij gaan om NAS-systemen die versie 4.x van het QTS-besturingssysteem draaien. Verdere details zijn nog niet bekend. Net als eerder dit jaar gaat het om de Deadbolt-ransomware die NAS-systemen infecteert en bestanden vervolgens voor losgeld versleutelt. Bij de eerdere aanvallen met de Deadbolt-ransomware bleek dat er misbruik werd gemaakt van bekende kwetsbaarheden. QNAP adviseert gebruikers dan ook om meteen te updaten naar de laatste versie van QTS of QuTS hero. In het geval de ransomware al heeft toegeslagen wordt aangeraden om de ingebouwde Malware Remover te updaten. Hiermee krijgen gebruikers niet hun bestanden terug. De Malware Remover verwijdert alleen de losgeldmelding van het systeem. Securitybedrijf Censys waarschuwde eind mei dat de Deadbolt-ransomware weer honderden QNAP-apparaten had geïnfecteerd, maar kon ook niet zeggen hoe de besmettingen hadden plaatsgevonden. QNAP laat afsluitend weten dat het nog bezig is met het onderzoek naar de aanvallen en zo snel mogelijk met meer informatie komt. bron: https://www.security.nl

Een kritieke kwetsbaarheid in de firewall-oplossing van securitybedrijf Sophos is zeker drie weken voor het uitkomen van een beveiligingsupdate misbruikt voor man-in-the-middle (MITM)-aanvallen. Dat laat securitybedrijf Volexity weten. Sophos kwam op 25 maart met de update en meldde een aantal dagen later dat de kwetsbaarheid was gebruikt voor het aanvallen van specifieke organisaties in Zuid-Azië. Via het beveiligingslek kan een aanvaller op afstand en zonder inloggegevens de authenticatie omzeilen en vervolgens willekeurige code op de firewall uitvoeren. Daarmee heeft een aanvaller volledige controle over het systeem. De impact van het beveiligingslek, aangeduid als CVE-2022-1040, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Volexity zegt dat misbruik van het lek al sinds 5 maart plaatsvindt. Bij de waargenomen aanvallen gebruiken de aanvallers de kwetsbaarheid om een webshell op de firewall te installeren en zo toegang tot het systeem te behouden. Vervolgens wordt er een MITM-aanval op computers binnen de aangevallen organisatie uitgevoerd. Zodra gebruikers van deze organisaties bepaalde websites willen bezoeken worden ze doorgestuurd naar een server van de aanvallers, die zo inloggegevens en sessiecookies kunnen stelen om verdere toegang tot webservers te krijgen. Volgens Volexity hebben de aanvallers het daarbij voorzien op de WordPress-installatie waarmee de betreffende organisaties hun eigen websites onderhouden. Zodra de aanvallers beheerderstoegang tot de WordPress-site hebben gekregen installeren ze een plug-in voor het uploaden van PHP-bestanden. Het gaat in dit geval wederom om een webshell waarmee ze toegang tot de webserver krijgen. Het securitybedrijf claimt dat vanuit China opererende spionagegroepen achter de aanvallen zitten. bron: https://www.security.nl

Een kwetsbaarheid in FreeBSD maakt het mogelijk voor aanvallers om systemen via wifi volledig over te nemen en willekeurige code in de kernel uit te voeren. Daarbij is er geen enkele interactie van gebruikers vereist. FreeBSD kwam afgelopen april met een beveiligingsupdate. Details over de kwetsbaarheid (CVE-2022-23088) alsmede een proof-of-concept exploit zijn nu openbaar gemaakt. Bij het scannen van beschikbare wifi-netwerken luistert een systeem naar managementframes die door het wifi-accesspoint in de buurt worden uitgezonden. Er zijn verschillende soorten managementframes. Bij één van deze types, het beacon frame, werd de optielengte niet goed door de wifi-stack van FreeBSD gecontroleerd. Door het versturen van een beacon frame met een "oversized" optielengte is het mogelijk om een kernel heap overflow te veroorzaken en zo code in de kernel uit te voeren. Een aanvaller kan op deze manier een kernelbackdoor creëren die via het versturen van wifi-frames is te gebruiken, zo laat de onderzoeker weten die het probleem ontdekte. De kwetsbaarheid was al dertien jaar in de wifi-stack van FreeBSD aanwezig, zo meldt het Zero Day Initiative dat de bugmelding ontving en doorzette naar FreeBSD. bron: https://www.security.nl

Wegens een actief aangevallen kwetsbaarheid in de WordPress-plug-in Ninja Forms heeft WordPress op bijna 800.000 websites een update geforceerd. Dat laat securitybedrijf Wordfence weten. Ninja Forms is een plug-in waarmee WordPress-sites eenvoudig contactformulieren kunnen toevoegen. Meer dan een miljoen websites maken er gebruik van. Op 14 juni verscheen er een nieuwe versie van de plug-in die "security enhancements" introduceerde voor het omgaan met tag-waardes. Verdere details werden niet gegeven. Onderzoekers van Wordfence ontdekten dat met de versie een kritieke kwetsbaarheid is verholpen waardoor een aanvaller zonder enige inloggegevens willekeurige code op de website kan uitvoeren of willekeurige bestanden kan verwijderen. Volgens de onderzoekers zijn er aanwijzingen dat aanvallers actief misbruik van de kwetsbaarheid maken. Om verder misbruik te voorkomen geeft Wordfence dan ook geen informatie over het beveiligingslek. Hoewel er geen officiële verklaring is gekomen lijkt WordPress de betreffende update inmiddels op zo'n 800.000 websites te hebben geïnstalleerd. De downloadgrafiek van Ninja Forms laat namelijk op 15 juni een extreme piek van 680.000 downloads zien, terwijl nieuw uitgekomen versies normaliter veel minder downloads krijgen. Het komt vaker voor dat WordPress in het geval van kritieke kwetsbaarheden in veelgebruikte plug-ins ingrijpt en updates forceert. Gebruikers die de update niet hebben ontvangen kunnen die ook handmatig installeren. bron: https://www.security.nl

Cisco zal lek dat overname end-of-life routers mogelijk maakt niet patchen Cisco zal een kritieke kwetsbaarheid waardoor het voor een aanvaller mogelijk is om op afstand volledige controle over verschillende modellen routers te krijgen niet patchen. De apparaten zijn namelijk end-of-life (pdf). Het gaat om de Cisco Small Business RV110W, RV130, RV130W en RV215W vpn-routers. Het beveiligingslek, aangeduid als CVE-2022-20825, wordt veroorzaakt door het onvoldoende valideren van inkomende http-packets. Door het versturen van een speciaal geprepareerd request naar de beheerdersinterface kan een aanvaller willekeurige commando's op de router met rootrechten uitvoeren. De beheerdersinterface van de betreffende routers is toegankelijk vanaf een LAN-verbinding die niet is uit te schakelen. In het geval remote management staat ingeschakeld is de interface ook toegankelijk vanaf het internet. Standaard is dat echter niet het geval. Cisco adviseert klanten die nog van de routers gebruikmaken om over te stappen naar een apparaat dat nog wel wordt ondersteund. bron: https://www.security.nl

Cisco waarschuwt organisaties voor een kritieke kwetsbaarheid in de Secure Email Gateway en Secure Email and Web Manager waardoor een aanvaller op afstand zonder wachtwoord op de beheerdersinterface van het apparaat kan inloggen. De Secure Email Gateway, eerder bekend als Email Security Appliance, en de Secure Email and Web Manager, eerder bekend als Security Management Appliance (SMA), zijn zowel virtuele als hardwarematige appliances voor het filteren van e-mailverkeer op allerlei dreigingen. Een kwetsbaarheid, aangeduid als CVE-2022-20798, maakt het mogelijk voor een ongeauthenticeerde aanvaller om op afstand de authenticatie te omzeilen en op de beheerdersinterface van het apparaat in te loggen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Volgens Cisco wordt het probleem veroorzaakt door een onvoldoende authenticatiecontrole wanneer een apparaat gebruikmaakt van het Lightweight Directory Access Protocol (LDAP) voor externe authenticatie. LDAP laat gebruikers data over onder andere organisaties en personen vinden. Bij LDAP-authenticatie worden opgegeven gebruikersnamen en wachtwoorden gecontroleerd door verbinding te maken met een directory service die van het LDAP-protocol gebruikmaakt. In het geval van de Cisco-kwetsbaarheid kan een aanvaller door bepaalde invoer op de inlogpagina de authenticatie omzeilen en zo ongeautoriseerde toegang krijgen. Cisco heeft updates uitgebracht. Daarnaast is er een workaround waarbij "anonymous binds" op de externe authenticatieserver moeten worden uitgeschakeld. bron: https://www.security.nl

Softwarebedrijf Citrix waarschuwt voor een kwetsbaarheid in Application Delivery Management (Citrix ADM) waardoor een ongeauthenticeerde aanvaller het adminwachtwoord op afstand kan resetten om vervolgens met de standaard inloggegevens van de beheerder in te loggen en zo het systeem over te nemen. Citrix Application Delivery and Management is een web-gebaseerde oplossing voor het beheer van andere Citrix-oplossingen, zoals Citrix Application Delivery Controller (ADC) en Citrix Gateway. Een beveiligingslek in de software, aangeduid als CVE-2022-27511, maakt het mogelijk voor een aanvaller om het systeem te corrumperen waarbij het adminwachtwoord wordt gereset. Bij een volgende herstart van het systeem kan een aanvaller vervolgens met het standaard adminwachtwoord via ssh inloggen en zo het systeem overnemen, aldus het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Citrix heeft updates uitgebracht en roept organisaties op om die te installeren. In het geval van Citrix ADM 12.1 is de software end-of-life en wordt klanten aangeraden om zo snel mogelijk naar een wel ondersteunde versie te upgraden. bron: https://www.security.nl

Een kwetsbaarheid in mailsoftware Zimbra maakt het voor aanvallers mogelijk om inloggegevens van gebruikers op afstand en zonder enige interactie te stelen. Daarbij is het alleen genoeg voor de aanvaller om het e-mailadres van de gebruiker te kennen en moet het slachtoffer een e-mailclient gebruiken. Zimbra is een collaborative software suite die onder andere mailserversoftware en een webmailclient bevat. Zimbra maakt ook gebruik van Memcached, een cachingoplossing die data en objecten uit bijvoorbeeld databases cachet om zo websites en webapplicaties sneller te maken. De Memcached-oplossing van Zimbra blijkt newline characters in gebruikersinvoer niet te escapen. Daardoor is het mogelijk voor een aanvaller om malafide Memcached-commando's uit te voeren en de IMAP routing cache te overschrijven, zo meldt securitybedrijf SonarSource dat het probleem ontdekte. Wanneer een gebruiker de volgende keer inlogt wordt het IMAP-verkeer naar een server van de aanvaller gestuurd, waaronder de inloggegevens. Om de aanval te laten slagen moet het doelwit wel van een e-mailclient gebruikmaken. Zimbra wordt standaard met een webclient geleverd die direct met de backend-server communiceert en niet kwetsbaar is. Zimbra, dat naar eigen zeggen meer dan 200.000 organisaties als klant heeft, heeft updates uitgebracht om het probleem te verhelpen. Organisaties wordt opgeroepen die met spoed te installeren. bron: https://www.security.nl

Het Tor Project zoekt vrijwilligers die de alphaversie van Tor Browser willen testen. Dagelijks maken meer dan twee miljoen mensen gebruik van de browser om hun privacy te beschermen en gecensureerde websites te bezoeken. De browser ontvangt elk jaar honderden aanpassingen, van updates tot nieuwe features. Elke aanpassing kan echter nieuwe problemen introduceren. Om deze bugs te vinden en te voorkomen dat ze in de releaseversie verschijnen is er ook een alphaversie van Tor Browser. Het Tor Project is een non-profitorganisatie en daardoor afhankelijk van een gemeenschap van vrijwilligers om de alphaversie te testen. "Als vrijwilliger de alphaversie testen is één van de meest toegankelijke en effectieve manieren hoe je kunt helpen om gebruikers die risico lopen om et Tor verbonden te houden", zegt Duncan Larsen-Russell van het Tor Project. Daarbij wordt ook gezocht naar alphatesters op verschillende platformen, in verschillende landen, die verschillende talen spreken en Tor Browser op verschillende manieren gebruiken. Al een paar minuten per alphaversie is voldoende, stelt Larsen-Russell. Hij benadrukt dat het hier wel om een onstabiele versie gaat en die niet voor activiteiten moet worden gebruikt waardoor de gebruiker risico kan lopen. bron: https://www.security.nl

Een kwetsbaarheid in processoren van AMD en Intel maakt het mogelijk voor aanvallers om op afstand vertrouwelijke informatie zoals encryptiesleutels te stelen. De onderzoekers die Hertzbleed ontdekten, zoals de kwetsbaarheid wordt genoemd, noemen het een "echte en praktische dreiging" voor de veiligheid van cryptografische software. Volgens Intel is de aanval interessant, maar niet praktisch om buiten een laboratoriumomgeving uit te voeren. Zowel AMD als Intel hebben advisories uitgebracht en adviseren ontwikkelaars van cryptografische libraries om maatregelen te nemen. Beide chipfabrikanten zijn voor zover bekend niet van plan om microcode-patches uit te brengen. Het is al geruime tijd bekend dat aanvallers door het monitoren van het stroomverbruik van een systeem geheime informatie kunnen achterhalen. Onderzoekers van verschillende Amerikaanse universiteiten hebben nu een manier gevonden waarbij ze een feature van moderne processors, met de naam dynamic frequency scaling, gebruiken om op afstand een timing-aanval uit te voeren waarmee diefstal van bijvoorbeeld encryptiesleutels mogelijk is. Dynamic voltage and frequency scaling (DVFS) is een techniek voor het dynamisch aanpassen van de cpu-frequentie om zo het stroomverbruik te verminderen als de processor niet wordt belast en ervoor te zorgen dat het systeem tijdens een zware belasting onder de stroom- en warmtelimiet blijft. Net als met andere taken verandert het energieverbruik tijdens het uitvoeren van cryptografische operaties. Een aanvaller kan informatie over het energieverbruik vervolgens gebruiken voor een timing-aanval en zo vertrouwelijke informatie stelen. De benodigde informatie voor het uitvoeren van de aanval is op afstand uit te lezen, zonder dat hiervoor een specifieke "power measurement interface" voor is vereist. De onderzoekers hebben hun aanval gedemonstreerd tegen een server die van SIKE gebruikmaakt, een cryptografisch algoritme dat wordt gebruikt voor het vaststellen van een secret key tussen twee partijen over een onveilig communicatiekanaal. Via de aanval lukte het de onderzoekers om de encryptiesleutel van de server te stelen. De onderzoekers informeerden Intel, Microsoft en Cloudflare in het derde kwartaal van vorig jaar over de kwetsbaarheid. AMD werd in het eerste kwartaal van dit jaar ingelicht. Intel had de onderzoekers gevraagd om de bevindingen op 10 mei te openbaren, maar de chipgigant vroeg vervolgens om die datum te verschuiven naar 14 juni. De impact van Hertzbleed is op een schaal van 1 tot en met 10 beoordeeld met een 6.3 en heeft volgens Intel een medium impact. De onderzoekers doen wel verschillende aanbevelingen om de aanval te voorkomen, maar dit kan grote gevolgen voor de prestaties van de processor hebben. Cryptografische implementaties die al maatregelen tegen power side-channel-aanvallen hebben genomen zijn niet kwetsbaar. Verder hebben Cloudflare en Microsoft mitigaties doorgevoerd om de aanval tegen SIKE te voorkomen. bron: https://www.security.nl

Tijdens de patchdinsdag van juni heeft Microsoft 55 kwetsbaarheden verholpen, waaronder een zerodaylek in Windows waar zeker sinds mei misbruik van wordt gemaakt. Microsoft waarschuwde op 30 mei voor een beveiligingslek in de Windows Support Diagnostic Tool (MSDT) waardoor een aanvaller code op het systeem kan uitvoeren. Via de diagnostische tool is het mogelijk om Windowsproblemen vast te stellen. Door het aanroepen van MSDT via een url-protocol is remote code execution mogelijk. Dit kan bijvoorbeeld vanuit een applicatie zoals Word, waarbij alleen het openen van een malafide document volstaat. Eenmaal geopend kan een aanvaller vanuit het malafide document de diagnostische tool op het systeem van de gebruiker aanroepen en zo willekeurige code uitvoeren met de rechten van de ingelogde gebruiker. Een kwetsbaarheid in het Windows Network File System (NFS) heeft volgens Microsoft deze maand de grootste impact. Een ongeauthenticeerde aanvaller kan door het versturen van een speciaal geprepareerd request naar een NFS-server willekeurige code met mogelijk systeemrechten uitvoeren. Vorige maand kwam Microsoft ook al met een beveiligingsupdate voor een kwetsbaarheid in NFS. Die patch was voor NFS-versies 2.0 en 3.0. De update die gisteren verscheen is voor NFS versie 4.1. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Van de 55 kwetsbaarheden zijn er drie als kritiek beoordeeld. Naast het bovengenoemde lek in het Windows Network File System gaat het ook om beveiligingslekken in Windows Hyper-V en het Windows Lightweight Directory Access Protocol (LDAP) die beide remote code execution mogelijk maken. Op de meeste systemen zullen de updates automatisch worden geïnstalleerd. bron: https://www.security.nl

Mozilla heeft besloten om bij alle Firefox-gebruikers wereldwijd Total Cookie Protection in te schakelen om zo de privacy van gebruikers beter te beschermen en tracking lastiger te maken. Firefox blokkeert al enige tijd trackingcookies via Enhanced Tracking Protection (ETP). Hiervoor maakt de browser gebruik van een lijst met bekende trackers van trackerblocker Disconnect. Op dit moment blokkeert ETP zo'n drieduizend van de meestgebruikte en waargenomen trackers. De bescherming van ETP is echter afhankelijk van de Disconnect-lijst en dat die up-to-date is. Trackers kunnen de lijst eenvoudig omzeilen door nieuwe domeinnamen te registreren. Daarnaast kan het lang duren voordat een nieuw trackingdomein aan de lijst wordt toegevoegd. Total Cookie Protection moet ervoor zorgen dat tracking via cookies tot het verleden gaat behoren, aldus Mozilla. Cookies zijn nog altijd zeer effectief voor het volgen van internetgebruikers op het web. Een tracker die op meerdere websites als derde partij actief is kan voor het eigen trackingdomein third-party cookies bij bezoekers plaatsen. Zo is het mogelijk om internetgebruikers over meerdere websites te volgen. Met Total Cookie Protection worden alle cookies van een domein dat de gebruiker bezoekt in een aparte cookie jar opgeslagen, gescheiden van andere websites die hun eigen cookie jar hebben. Ook al is een tracker op meerdere websites actief, dan zullen de trackingcookies nog steeds beperkt zijn tot de cookie jar van de betreffende website. Volgens Mozilla heeft dit grote voordelen voor de privacy van gebruikers, omdat het nu mogelijk is om een uitgebreidere bescherming te bieden dan met de Disconnect-lijst het geval is, terwijl dit geen gevolgen heeft voor websites zolang ze geen cross-site access vereisen. Total Cookie Protection werd eerst alleen in de ETP Strict Mode en Private Browsing-mode ingeschakeld. Eerder dit jaar volgde de feature in Firefox Focus. Nu wordt Total Cookie Protection onder alle Firefox-gebruikers op de desktop aangezet. bron: https://www.security.nl