Captain Kirk

Een kritieke kwetsbaarheid in TeamCity maakt het mogelijk om servers van softwareontwikkelaars op afstand over te nemen, wat vergaande gevolgen kan hebben. De Amerikaanse autoriteiten lieten eind vorig jaar weten dat een soortgelijk beveiligingslek maandenlang door de Russische geheime dienst werd misbruikt. TeamCity is een platform voor softwareontwikkeling, met wereldwijd meer dan dertigduizend klanten, aldus ontwikkelaar JetBrains. Het platform wordt onder andere gebruikt voor het compileren, builden, testen en uitbrengen van software. Het nieuwste beveiligingslek in TeamCity waarvoor JetBrains in een blogposting waarschuwt wordt aangeduid als CVE-2024-23917. Het betreft een kwetsbaarheid waardoor een ongeauthenticeerde aanvaller met toegang tot een TeamCity-server de authenticatie kan omzeilen en beheerderscontrole over de server kan krijgen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het probleem is aanwezig in alle versies van 2017.1 tot en met 2023.11.2. Organisaties en gebruikers worden opgeroepen om te updaten naar versie 2023.11.3 waarin het probleem is verholpen. De kwetsbaarheid werd op 19 januari door een externe onderzoeker aan JetBrains gerapporteerd. Zowel de on-premise als bij JetBrains gehoste cloudversies bleken kwetsbaar. Het beveiligingslek is al in de cloudversie verholpen en JetBrains stelt dat er geen aanwijzingen van misbruik op de cloudservers is aangetroffen. Organisaties die hun TeamCity-server niet op korte termijn kunnen patchen worden aangeraden die offline te halen als die vanaf het internet toegankelijk is. bron: https://www.security.nl

Verschillende kritieke kwetsbaarheden in printers van fabrikant Canon maken de apparaten kwetsbaar voor remote code execution, waardoor een aanvaller willekeurige code kan uitvoeren. Het gaat in totaal om zeven buffer overflows die tot remote code execution of een denial-of-service kunnen leiden. Een aanvaller moet wel toegang tot de printer hebben, bijvoorbeeld wanneer die direct op internet is aangesloten, aldus Canon. De printerfabrikant adviseert klanten om een 'privaat ip-adres' voor de printer in te stellen en een firewall te gebruiken om zo netwerktoegang tot het apparaat te beperken. Ook zijn er firmware-updates uitgebracht. De problemen zijn aanwezig in verschillende modellen laserprinters en 'multifunction printers' (pdf). Het Japanse Computer Emergency Response Team Coordination Center (JPCERT/CC) heeft de impact van de kwetsbaarheden op een schaal van 1 tot en met 10 beoordeeld met een 9.8. bron: https://www.security.nl

Tientallen landen en techbedrijven, waaronder Google, Meta en Microsoft, hebben vandaag een akkoord getekend over de aanpak van commerciële spyware. De verklaring werd ondertekend tijdens een door het Verenigd Koninkrijk en Frankrijk georganiseerde conferentie over commerciele spyware. Het gaat dan om spyware zoals Pegasus en Predator. In de verklaring wordt gesteld dat de zeer snel groeiende markt voor spyware zorgen met zich meebrengt over nationale veiligheid en mensenrechten, alsmede statelijke en niet-statelijke actoren toegang tot krachtige spionagetools geeft. De landen die de verklaring hebben ondertekend geven daarmee aan dat ze commerciële spyware op een juridische en verantwoorde manier zullen gebruiken, met precisie. Daarnaast komt er meer toezicht op spywareleveranciers. Door het niet strenger reguleren van commerciële spyware bestaat het risico dat kwaadwillenden spionage-activiteiten zullen uitvoeren, zo stellen de ondertekenaars, aldus persbureau Reuters. Er wordt dan gewezen naar groepen die voor 'commerciële klanten' spyware-aanvallen uitvoeren. Spywareleveranciers claimen dat hun producten alleen bedoeld zijn voor overheden voor het beschermen van de nationale veiligheid, maar in de praktijk wordt spyware geregeld aangetroffen op telefoons van mensenrechtenactivisten, journalisten, advocaten en politieke oppositie. bron: https://www.security.nl

Europol heeft alarm geslagen over actief misbruik van kwetsbaarheden in Ivanti Connect Secure VPN en roept organisaties op om advies van lokale cyberagentschappen of het Europees Agentschap voor cyberbeveiliging (ENISA) op te volgen, waaronder het uitvoeren van een fabrieksreset. Een derde zeroday in de VPN-oplossing wordt inmiddels op grote schaal aangevallen en de Amerikaanse overheid werd vorige week nog opgedragen om Ivanti-apparaten van het netwerk los te koppelen. Ivanti Connect Secure, eerder nog bekend als Pulse Secure, is een vpn-oplossing waarmee gebruikers toegang tot het netwerk van hun organisatie kunnen krijgen. Op 10 januari meldde Ivanti dat het product twee kwetsbaarheden bevat, CVE-2023-46805 en CVE-2024-21887, waarvan aanvallers actief misbruik van maken om systemen over te nemen. Tijdens het onderzoek naar deze kwetsbaarheden en aanvallen werden twee nieuwe beveiligingslekken ontdekt, aangeduid als CVE-2024-21888 en CVE-2024-21893. Deze laatste kwetsbaarheid maakt het mogelijk voor een ongeauthenticeerde aanvaller om toegang tot bepaalde 'restricted resources' te krijgen en werd op het moment van de ontdekking al actief misbruikt. De Shadowserver Foundation meldde dit weekend dat er inmiddels grootschalig misbruik plaatsvindt. Ook de andere twee zerodays die Ivanti op 10 januari rapporteerde worden op grote schaal aangevallen, zo laat Europol weten. Volgens de opsporingsdienst is er sprake van een 'developing situation' en is het cruciaal dat organisaties hier gepast op reageren. Daarbij wordt aangeraden om advies van lokale cyberagentagentschappen in de gaten te houden en op te volgen. Het komt zelden voor dat Europol waarschuwt voor kwetsbaarheden. Zo wordt onder andere het uitvoeren van een fabrieksreset van het apparaat als maatregel genoemd. Ook Amerikaanse overheidsinstanties die van de VPN-oplossing gebruikmaken moeten dit doen. bron: https://www.security.nl

Bijna zeventig zerodaylekken in software van Adobe, Apple, Google, Microsoft en Mozilla, die sinds 2016 zijn ontdekt en gebruikt voor het aanvallen van gebruikers zijn het werk van commerciële spywareleveranciers, zo stelt Google in een nieuw rapport (pdf). Het techbedrijf vindt dat er meer internationale inzet nodig is om het 'spyware-ecosysteem' te verstoren en gebruikers te beschermen. De spywareleveranciers leveren spyware waarmee het mogelijk is om volledige toegang tot smartphones of systemen van slachtoffers te krijgen en hen zo te bespioneren. Om de spyware op de telefoon te krijgen maken de bedrijven, die vaak voor overheden werken, gebruik van zerodaylekken, waar op het moment van de aanval nog geen update voor beschikbaar is. De spywareleveranciers zoeken zelf naar deze zerodays of betalen onderzoekers voor het melden hiervan. De kwetsbaarheden worden echter niet gemeld bij de betreffende softwareleverancier, waardoor er ook geen update voor wordt ontwikkeld en gebruikers kwetsbaar blijven. Google stelt dat er sinds 2016 zeker 67 van dergelijke zerodays door commerciële spywareleveranciers zijn gebruikt om systemen te infecteren. Veel van de aangevallen kwetsbaarheden bevinden zich in Android, Google Chrome, en iOS. Sinds halverwege 2014 zijn er volgens Google 72 verschillende zerodaylekken gebruikt om gebruikers van Android, Google Chrome en andere Google-producten aan te vallen. Volgens Google zijn zeker 35 van deze kwetsbaarheden door commerciële spywareleveranciers ingezet. Daarbij stelt het techbedrijf dat dit een lage ondergrens is en het werkelijke aantal zeer waarschijnlijk veel hoger is. Dat geldt zowel voor het totaal aantal geregistreerde zerodaylekken, als de zerodays die zijn ingezet om Google-gebruikers mee aan te vallen. In het rapport over commerciële spyware laat Google weten dat de tijd voor overheden, industrie en maatschappij is gekomen om de beloningsstructuur waardoor spyware zich kan verspreiden te veranderen. Zo is Google voorstander van het reguleren van commerciële spyware. "De schade die deze industrie veroorzaakt is meer dan duidelijk op dit moment, en we vinden dat dit zwaarder weegt dan enig voordeel om er gebruik van te blijven maken", aldus Google. bron: https://www.security.nl

De Belgische overheid waarschuwt burgers voor phishing via qr-codes. Volgens het Belgische ministerie van Economie is 'quishing' een nieuwe vorm van phishing. Het gebruik van qr-codes bij phishingaanvallen komt echter al jaren voor. In 2021 waarschuwde de Nederlandse politie hier nog voor. De malafide qr-codes worden via e-mail en WhatsApp verspreid en lijken van officiële instanties te komen en verzoeken slachtoffers om een (fictieve) boete of rekening te betalen. "Wanneer slachtoffers de qr-code scannen, belanden ze op phishingwebsites of moeten ze een betaling uitvoeren. Ook worden qr-codes gebruikt om schadelijke software te installeren bij slachtoffers. Die software bevat vaak malware, gericht op het stelen van persoonlijke gegevens zoals inloggegevens voor internetbankieren", aldus de uitleg van het ministerie. Afname slachtoffers phishing Ondanks het gebruik van 'quishing' is het aantal geregistreerde slachtoffers van phishing in België vorig jaar afgenomen. In 2022 maakten 1100 slachtoffers melding bij het Belgische meldpunt tegenover zeshonderd vorig jaar. Ook de schade nam af, van gemiddeld 4700 euro in 2022 naar 4100 euro in 2023. Volgens het ministerie heeft de daling verschillende redenen. "Allereerst zijn burgers waakzamer geworden dankzij sensibiliseringscampagnes van de FOD Economie en andere overheidsinstanties. Maar ook de gerichte aanpak van de Economische Inspectie van de FOD Economie in de bestrijding van phishing werpt zijn vruchten af. Ze probeert via gerichte acties de houders van de bankrekeningen waarnaar de gelden werden overgemaakt te identificeren bij de respectievelijke banken, die ook op de hoogte worden gebracht." bron: https://www.security.nl

Het Nationaal Cyber Security Centrum (NCSC) waarschuwt voor vier kritieke kwetsbaarheden in Ivanti Connect Secure (voorheen Pulse Connect Secure) en Policy Secure. In een schematisch overzicht geeft het centrum de geïdentificeerde kwetsbaarheden en beschikbare update weer. Kwaadwillenden kunnen de kwetsbaarheden in Ivanti Connect Secure en Policy Secure uitbuiten om authentificatie te omzeilen en op afstand willekeurige code uit te voeren met root-rechten. Ook een SSRF-kwetsbaarheid aangetroffen in Ivanti. Sommige kwetsbaarheden zijn door Ivanti gedicht met behulp van een beveiligingsupdate. In andere gevallen adviseert het bedrijf mitigerende maatregelen toe te passen. Het NCSC adviseert partijen met kwetsbare Ivanti Connect Secure- en Policy Secure-implementaties de volgende stappen te doorlopen: Voer een factory reset uit Installeer patches Wijzig credentials of pas mitigerende maatregelen toe Onderrzoek misbruik, implementeer monitoring en blijft alert bron: https://www.security.nl

OWASP ModSecurity V2 en V3 bevatten beide een vergelijkbare bug die beide de mogelijkheid bieden een Web Application Firewall (WAF) te omzeilen. De bug in ModSecurity V3 (CVE-2024-1019) is inmiddels verholpen. De kwetsbaarheid in V2 is echter nog altijd niet gepatcht. Hiervoor waarschuwt Andrea Menin, Application Security Business Unit Manager bij het Italiaanse beveiligingsbedrijf SicuraNext. ModSecurity is op 25 januari 2024 door OWASP overgenomen van Trustave, en heet sindsdien OWASP ModSecurity. ModSecurity maakt al langer gebruik van de OWASP ModSecurity Core Rule Set. Het onderliggende probleem dat de WAF nu kwetsbaar maakt zit in de manier waarop de opensource-firewall voor webtoepassingen URL's decodeert voordat het bepaalde variabelen toevoegt. Menin stelt dat deze functie niet alleen ongewenst gedrag oplevert, maar daarnaast ook ongedocumenteerd is. ModSecurity geeft gebruikers diverse variabelen die zij kunnen gebruiken voor het ontwikkelen en inspecteren van regels. Een hiervan is 'REQUEST_FILENAME', wat het onder meer mogelijk maakt een opgevraagde URL te controleren op kwetsbaarheden als SQL-injecties of Cross-Site Scripting (XSS). Menin waarschuwt dat deze variabele niet goed in ModSecurity is geïmplementeerd, wat het mogelijk maakt de functie uit te buiten en zo de WAF te omzeilen. Bij het decoderen van een URL identificeert ModSecurity V3 onder meer de query string. Om dit mogelijk te maken decodeert de firewall de URL, en zet daarbij %3f - de hexadecimale weergave van het vraagteken - om in een vraagteken. Alles wat na het vraagteken in de URL is opgenomen, ziet ModSecurity als query string. "Dus in de basis, door %3f toe te voegen voor een willekeurige payload interpreteert ModSecurity wat volgt als een query string, en sluit deze uit van de REQUEST_FILENAME variabel waardoor alle regels dit volledig negeren", schrijft Menin. De kwetsbaarheid is niet aanwezig in ModSecurity V2, al omvat deze versie wel een vergelijkbaar probleem dat eveneens het omzeilen van de WAF mogelijk maakt. Menin wijst erop dat een gebruiker al in maart 2022 op het forum van ModSecurity melding maakte van de bug. Op basis van deze melding hadden kwaadwillenden de WAF-bypass kunnen ontdekken. Het lek is volgens de Application Security Business Unit Manager dan ook sinds 2022 openbaar. bron: https://www.security.nl

Het Amerikaanse techbedrijf stelt dat de cache niet langer nodig is nu de betrouwbaarheid van het internet sterk is verbeterd, en de kans dat een webpagina niet laadt aanzienlijk is afgenomen. Dit bevestigt Danny Sullivan, Search Liaison bij Google. Sullivan meldt dat het om een van de oudste functionaliteiten van de zoekmachine gaat. De functie was bedoeld om mensen toegang te geven tot webpagina's, ook op het moment dat de achterliggende server niet beschikbaar was. Sullivan zegt zelf te hopen dat Google op termijn links naar het Internet Archive gaat toevoegen op de plek waar voorheen de cache link werd weergegeven. Sullivan benadrukt dat dit niet zeker is en doet hierover dan ook geen beloftes, maar zegt wel toe dit intern te zullen bespreken. bron: https://www.security.nl

Twee weken na de vorige waarschuwing waarschuwt GitLab opnieuw voor een kritieke kwetsbaarheid en roept organisaties en gebruikers op om zo snel mogelijk de beschikbaar gestelde updates te installeren. GitLab is een populaire online DevOps-tool waarmee ontwikkelaars samen software kunnen ontwikkelen. Organisaties kunnen GitLab op hun eigen server of servers installeren of door GitLab laten beheren. Een beveiligingslek in het platform, aangeduid als CVE-2024-0402, maakt het mogelijk voor een geauthenticeerde aanvaller om bij het aanmaken van een workspace bestanden naar willekeurige locaties op de GitLab-server te schrijven. Volgens GitLab gaat het om een kritieke kwetsbaarheid, waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 9.9. Het beveiligingslek is verholpen in GitLab 16.6.6, 16.7.4 en 16.8.1. Daarnaast is de fix ook gebackport naar versie 16.5.8. GitLab adviseert met klem om de update zo snel mogelijk te installeren. bron: https://www.security.nl

De groep aanvallers die op systemen van Microsoft wist in te breken en daarbij e-mail en bijlagen buitmaakte deed dit via malafide OAuth-applicaties, zo laat het techbedrijf in een update over het incident weten. Microsoft stelt verder dat meerdere organisaties door de groep zijn aangevallen en het begonnen is om deze organisaties te informeren. Eerder meldde Hewlet Packard Enterprise (HPE) al dat het slachtoffer van de groep was geworden, die bekendstaat als Cozy Bear en Midnight Blizzard. Eerder maakten de Amerikaanse en Britse autoriteiten bekend dat deze groep onderdeel van de Russische geheime dienst SVR is. De groep had wekenlang toegang tot e-mailaccounts van Microsoft, waarbij er vooral werd gezocht naar wat het techbedrijf over de groep wist, aldus een verklaring van Microsoft zelf. Het bedrijf stelt dat het de aanvallen uiteindelijk opmerkte door loggegevens van Exchange Web Services (EWS) activiteiten en audit logging features te gebruiken. In een nieuwe blogposting over de aanval geeft Microsoft meer details over de werkwijze van Cozy Bear en wat organisaties kunnen doen om zichzelf te beschermen. Cozy Bear maakt vooral gebruik van password spraying om toegang tot accounts en systemen te krijgen. Dit is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen gebruikt een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Door deze techniek voorkomt de aanvaller dat een account wordt geblokkeerd en de aanval wordt opgemerkt. Vaak wordt er ook vanaf allerlei verschillende ip-adressen ingelogd. Malafide OAuth-applicaties Via de password spraying-aanval kregen de aanvallers toegang tot een Microsoft 'test tenant account'. Vervolgens wisten de aanvallers via dit account een legacy OAuth-applicatie gebruikt voor testdoeleinden te vinden en benaderen. Deze OAuth-applicatie had verhoogde rechten tot de zakelijke Microsoft-omgeving. De aanvallers creëerden vervolgens meerdere malafide OAuth-applicaties en een nieuw gebruikersaccount. Dit account gaf vervolgens toestemming dat de malafide OAuth-applicaties toegang tot de Microsoft-omgeving hadden. Via de applicaties kregen de aanvallers vervolgens toegang tot mailboxes in Office 365 Exchange Online. De aanvallers gebruikten bij hun aanval ook residentiële proxy-netwerken, waarbij het verkeer liep via ip-adressen van gecompromitteerde gebruikers. Via deze ip-adressen werd de gecompromitteerde tenant gebruikt en ingelogd op Exchange Online. Microsoft stelt dat dit geen nieuwe techniek is, maar dat het gebruik van residentiële proxies om verbindingen te verbergen detectie via traditionele Indicators of Compromise (IoC's), vanwege het grote aantal ip-adressen dat verandert, onpraktisch maakt. Om de aanvallen te voorkomen adviseert Microsoft onder andere om maatregelen tegen password spraying te nemen en op malaifde OAuth-applicaties te monitoren. bron: https://www.security.nl

Gebruikers van chatsoftware Tencent QQ, de Chinese keyboard-app Sogou en WPS Office zijn via een man-in-the-middle (MitM) aanval besmet geraakt met malware, zo laat antivirusbedrijf ESET weten. Volgens de virusbestrijder zijn Chinese en Japanse bedrijven, alsmede personen in China, Japan en het Verenigd Koninkrijk het doelwit van gerichte aanvallen geworden waarbij ze via de MitM-aanval met een backdoor besmet raakten. De drie genoemde programma's, die bij elkaar honderden miljoenen gebruikers hebben, downloaden updates via het onbeveiligde HTTP-protocol. De aanvallers weten dit proces te onderscheppen en sturen vervolgens malafide updates naar aangevallen gebruikers van de software. Hoe de MitM-aanval wordt uitgevoerd is onbekend. De onderzoekers van ESET denken dat de aanvallers mogelijk misbruik maken van gecompromitteerde netwerkapparaten van het slachtoffer, zoals routers en gateways. Via de malafide updates wordt een backdoor op het systeem geïnstalleerd die applicaties zoals Skype, Telegram, Tencent QQ en WeChat kan afluisteren. Verder is de backdoor in staat om zichzelf in verschillende Chinese antimalware-oplossingen te nestelen, kan toetsaanslagen opslaan, screenshots maken en gebruikers afluisteren door alle audiostreams van het systeem op te slaan. Volgens ESET houdt de verantwoordelijke groep, die het Blackwood noemt, zich vooral bezig met cyberspionage. bron: https://www.security.nl

Ruim vijfduizend GitLab-installaties zijn kwetsbaar voor een aanval waarbij het mogelijk is om accounts van gebruikers via een wachtwoordreset over te nemen, zo stelt de Shadowserver Foundation. De organisatie telde 155 kwetsbare installaties in Nederland. GitLab is een online DevOps-tool waarmee ontwikkelaars samen software kunnen ontwikkelen. Een kritieke kwetsbaarheid in het platform maakt het mogelijk om e-mails voor het resetten van het accountwachtwoord op een ongeverifieerd e-mailadres te laten afleveren. Zo kan een aanvaller het wachtwoord van elk willekeurig account resetten. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. In het geval gebruikers voor hun account tweefactorauthenticatie (2FA) hebben ingeschakeld is het nog steeds mogelijk voor een aanvaller om het wachtwoord te resetten, maar niet om het account over te nemen, aangezien er nog een tweede factor is vereist om in te loggen. GitLab zegt niet bekend te zijn met misbruik van de kwetsbaarheid (CVE-2023-7028) en roept organisaties op die het platform zelf hosten om hun eigen logbestanden te controleren. Op 11 januari kwam GitLab met updates voor het probleem. Twee weken later blijkt dat zo'n 5400 GitLab-installaties nog altijd ongepatcht zijn. Het grootste deel daarvan bevindt zich in de Verenigde Staten, Rusland en Duitsland, aldus de Shadowserver Foundation. Dit is een in Nederland en de VS geregistreerde non-profitstichting die zich bezighoudt met de bestrijding van botnets en cybercrime. Hiervoor scant het geregeld op internet naar kwetsbaarheden. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om op de 'cloudgebaseerde e-mailomgeving' van Hewlett Packard Enterprise (HPE) in te breken en maandenlang onopgemerkt data uit de e-mailaccounts van het cybersecurityteam, bedrijfssegmenten en andere functies te stelen. Dat laat het bedrijf in een melding aan de Amerikaanse beurswaakhond SEC weten. Volgens HPE zijn de aanvallers vermoedelijk vorig jaar mei begonnen met het stelen van data en werd dit op 12 december ontdekt. In een verklaring tegenover CRN laat HPE weten dat de e-mailomgeving in kwestie Office 365 was. Het onderzoek naar de aanval is nog gaande, maar HPE stelt dat het incident vermoedelijk gerelateerd is aan eerdere activiteit van dezelfde groep, waar het vorig jaar juni over werd ingelicht. Daarbij wisten de aanvallers vorig jaar mei een aantal SharePoint-bestanden te stelen. Na de melding over deze aanval afgelopen juni startte het bedrijf een onderzoek en nam maatregelen. Verdere details over de diefstal van de SharePoint-bestanden en inbraak op de e-mailaccounts en hoe dit kon plaatsvinden zijn niet gegeven. HPE laat weten dat de aanval vermoedelijk het werk van een statelijke actor genaamd Cozy Bear is, die ook bekendstaat als Midnight Blizzard. Onlangs meldde Microsoft dat het ook slachtoffer van deze groep was geworden, waarbij de aanvallers op systemen wisten in te breken en toegang kregen tot e-mailaccounts van het hoger management, het cybersecurityteam, juridische afdeling en andere functies. Daarbij werden e-mails en bijlagen gestolen. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Cisco Unified Communications producten, die onder andere voor voip-toepassingen en zakelijke communicatie worden gebruikt, maken het mogelijk voor ongeauthenticeerde aanvallers om apparaten op afstand over te nemen. Cisco heeft beveiligingsupdates uitgebracht om het probleem te verhelpen. Het beveiligingslek wordt veroorzaakt doordat er niet goed wordt omgegaan met gebruikersinvoer. Door het sturen van een speciaal geprepareerd bericht naar een luisterende poort kan een aanvaller willekeurige commando's op het onderliggende besturingssystemen uitvoeren met de rechten van de web services gebruiker. Met toegang tot het onderliggende besturingssysteem kan een aanvaller ook roottoegang tot het Cisco-apparaat krijgen. De impact van de kwetsbaarheid, aangeduid als CVE-2024-20253, is op een schaal van 1 tot en met 10 beoordeeld met een 9.9. Het probleem speelt onder andere in de Unified Communications Manager, Unified Contact Center Enterprise en Express, Unity Connection, Virtualized Voice Browser en Packaged Contact Center Enterprise. bron: https://www.security.nl

Exploit voor kritieke kwetsbaarheid in Fortra GoAnywhere online verschenen Er is een exploit online verschenen voor een kritieke kwetsbaarheid in Fortra GoAnywhere, waarvoor vorige maand een update verscheen en de details afgelopen maandag bekend werden gemaakt. GoAnywhere is een populaire zakelijke oplossing voor het uitwisselen van bestanden. Via de kwetsbaarheid kan een ongeautoriseerde gebruiker via het beheerdersportaal een admingebruiker aanmaken om zo volledige controle te krijgen. Vorig jaar leidde een andere kritieke kwetsbaarheid in GoAnywhere tot een explosie aan datalekken. Destijds ging het om een zerodaylek waar de criminelen achter de Clop-ransomware misbruik van maakten. De groep claimde dat ze via het beveiligingslek bij meer dan honderddertig organisaties hadden ingebroken. De angst is nu dat de vorige maand verholpen kwetsbaarheid ook tot aanvallen zal leiden. De kwetsbaarheid, aangeduid als CVE-2024-0204, heeft op een schaal van 1 tot en met 10 een impactscore van 9.8. "Het is onduidelijk uit de initiële advisory van Fortra of misbruik van CVE-2024-0204 al heeft plaatsgevonden, maar we verwachten dat het beveiligingslek snel zal worden aangevallen, als dat al niet het geval is geweest, gegeven het feit dat de patch al meer dan een maand beschikbaar is om te reverse engineeren", stelt securitybedrijf Rapid7. Dat roept organisaties op om meteen in actie te komen. De kans op misbruik is nog verder vergroot omdat proof-of-concept exploitcode voor de kwetsbaarheid door securitybedrijf Horizon3.ai online is geplaatst. bron: https://www.security.nl

De Britse overheid verwacht dat kunstmatige intelligentie voor een toename van ransomware-aanvallen zal zorgen. Dat meldt het Britse National Cyber Security Centre (NCSC) in een nieuw rapport over de korte termijn impact van AI op cybercrime. Het NCSC stelt dat ransomwaregroepen al gebruikmaken van AI om de efficiëntie en effectiviteit van cyberoperaties te versterken, zoals phishing, verkenning en programmeren. "Deze trend zal zich zeer waarschijnlijk volgend jaar en daarna voortzetten", aldus het rapport. Het uitvoeren van phishingaanvallen, verspreiden van malware en stelen van inloggegevens speelt een belangrijke rol bij het verkrijgen van toegang tot netwerken, waarna ransomware kan worden uitgerold. Het NCSC verwacht dan ook dat cybercriminelen van beschikbare AI-modellen gebruik zullen maken om beter toegang tot netwerken te krijgen, wat zal bijdragen aan de ransomwaredreiging op de korte termijn. Het NCSC denkt ook dat AI een rol zal gaan spelen bij het ontwikkelen van malware en exploits. "Het opkomende gebruik van AI bij cyberaanvallen is evolutionair, niet revolutionair, wat inhoudt dat het bestaande dreigingen zoals ransomware versterkt, maar het dreigingslandschap op de korte termijn niet verandert", zegt NCSC-ceo Lindy Cameron. Ze krijgt bijval van het Britse National Crime Agency (NCA). Dat verwacht dat ransomware, vanwege de financiële opbrengsten, ook dit jaar de voornaamste vorm van cybercrime zal zijn. "Ransomware blijft een dreiging voor de nationale veiligheid vormen. Zoals dit rapport laat zien zal de dreiging toenemen door ontwikkelingen in AI en misbruik van deze technologie door cybercriminelen", voegt James Babbage van het NCA toe. Het NCSC stelt dat de meeste ransomware-incidenten het gevolg zijn van slechte cyberhygiëne waar criminelen misbruik van maken, in plaats van geraffineerde aanvalstechnieken. Organisaties en gebruikers worden dan ook opgeroepen om standaard beveiligingsadviezen op te volgen. bron: https://www.security.nl

Softwarebedrijf Forta waarschuwt voor een kritieke kwetsbaarheid in GoAnywhere MFT waardoor een ongeautoriseerde gebruiker via het beheerdersportaal een admingebruiker kan aanmaken om zo volledige controle te krijgen. Een ander kritiek beveiligingslek in GoAnywhere zorgde vorig jaar voor een explosie aan datalekken. GoAnywhere is een oplossing voor het uitwisselen van bestanden. Een kritieke 'authentication bypass' in de software maakt het mogelijk voor een ongeautoriseerde gebruiker om via het adminportaal een admingebruiker aan te maken. Vervolgens krijgt een aanvaller zo volledige controle. De impact van de kwetsbaarheid (CVE-2024-0204) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Organisaties worden opgeroepen om te updaten naar versie 7.4.1 of nieuwer. bron: https://www.security.nl

Online projecttool Trello is het doelwit van een scraping-aanval geworden, waarbij de gegevens van 15,1 miljoen gebruikers zijn verzameld en nu op internet te koop worden aangeboden. Het gaat om e-mailadressen, namen en gebruikersnamen. Trello omschrijft zichzelf als een online tool voor het beheren van projecten en persoonlijke taken en wordt aangeboden door softwarebedrijf Atlassian. Volgens Troy Hunt, beveiligingsonderzoeker en oprichter van datalekzoekmachine Have I Been Pwned, zijn de gegevens verzameld door het enumereren van een 'publiek toegankelijke resource', waarbij e-mailadressen uit eerdere datalekken werden gebruikt. Volgens Trello heeft er geen ongeautoriseerde toegang tot het platform plaatsgevonden. De 15,1 miljoen e-mailadressen zijn toegevoegd aan Have I Been Pwned. Via de zoekmachine kunnen gebruikers kijken of ze in bekende datalekken voorkomen. Van de gescrapete e-mailadressen kwam honderd procent al in een ander bekend datalek voor. bron: https://www.security.nl

Medewerkers van universiteiten en onderzoeksinstellingen in onder andere België en Frankrijk die zich bezighouden met het Midden-Oosten zijn het doelwit van gerichte aanvallen, waarbij .pdf.lnk-bestanden worden gebruikt om systemen met malware te infecteren, zo stelt Microsoft in een analyse. De aanvallen zijn volgens het techbedrijf het werk van een vanuit Iran opererende groep die het 'Mint Sandstorm' noemt. De groep doet zich tegenover doelwitten bijvoorbeeld voor als een gerenommeerde. journalist van een bekend nieuwsmedium die input vraagt voor een artikel. Daarbij maakt de groep gebruik van gespoofte e-mailadressen die lijken op die van de persoon die ze imiteren, maar ook gecompromitteerde e-mailaccounts van personen die de groep nabootst worden gebruikt. De eerste berichten die de groep uitwisselt bevatten geen malafide content. Na verloop van tijd stuurt de groep een artikel of document dat het doelwit is gevraagd om te controleren. Het gaat hier om een .rar-bestand dat een malafide .pdf.lnk-bestand bevat. Windows laat standaard geen bestandsextensies zien, waardoor doelwitten alleen zien dat het bestand op .pdf lijkt te eindigen. Wanneer doelwitten het lnk-bestand openen wordt er malware gedownload. In de analyse geeft Microsoft niet het advies om het verbergen van bestandsextensies uit te schakelen, maar linkt wel naar een MITRE-pagina waar dit wordt aangeraden. bron: https://www.security.nl

Mozilla is naar eigen zeggen al jaren bezig om ervoor te zorgen dat platforms en besturingssystemen van Apple, Google en Microsoft andere browsers een eerlijk speelveld bieden en is nu met een overzicht gekomen van de problemen waar het mee te maken heeft. Daarnaast roept de Firefox-ontwikkelaar de techbedrijven op om de problemen op te lossen en tot een gelijk speelveld voor onafhankelijke browsers zoals Firefox te komen Volgens Mozilla trekken de genoemde techbedrijven hun eigen browser voor, wat gevolgen voor mensen en concurrerende browsers heeft. Browsers zijn namelijk de primaire gateway waardoor mensen het internet gebruiken, aldus de Firefox-ontwikkelaar. "Dit centrale karakter schept een sterke prikkel voor dominante spelers om te bepalen welke browsers mensen gebruiken." Mozilla stelt dat er een lange geschiedenis is van bedrijven die hun controle over apparaten en besturingssystemen gebruiken om het speelveld in voorkeur van hun eigen browser te bewegen. Deze bedrijven maken het lastiger voor gebruikers om een andere browser te downloaden, negeren of resetten de standaard ingestelde browservoorkeur, vereisen het gebruik van de eigen browser om third-party browsers te downloaden of trekken hun eigen browser op andere manieren voor. De Firefox-ontwikkelaar zegt dat het al jaren met platformaanbieders in gesprek is om deze problemen op te lossen, maar het nog altijd tegen muren aanloopt. Om deze problemen inzichtelijk te maken heeft Mozilla nu het 'Platform Tilt' dashboard gelanceerd, waarop allerlei problemen staan vermeld. Het gaat bijvoorbeeld om het verbod op third-party browser-engines in de Apple App Store, het importeren van browserdata op Android en het instellen van de standaardbrowser op Windows. "Deze tracker laat de problemen zien waarmee we te maken hebben bij het ontwikkelen van Firefox, maar we geloven in een gelijk speelveld voor iedereen, niet alleen onszelf. We moedigen andere browserleveranciers aan om hun eigen zorgen op gelijke wijze kenbaar te maken", aldus Mozilla, dat Apple, Google en Microsoft oproept om de genoemde problemen op te lossen. bron: https://www.security.nl

VMware meldt actief misbruik van een kritieke kwetsbaarheid in vCenter-servers waarvoor eind oktober een beveiligingsupdate verscheen. VCenter is een oplossing voor het beheer van virtual machines en gevirtualiseerde servers. De kritieke kwetsbaarheid (CVE-2023-34048) betreft een 'out-of-bounds write' in het DCERPC-protocol, waardoor een aanvaller code op de server kan uitvoeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De enige vereiste voor het uitvoeren van een aanval is dat een aanvaller toegang tot de server heeft. VMware heeft deze week het beveiligingsbulletin van een update voorzien waarin het laat weten dat er inmiddels actief misbruik van het beveiligingslek wordt gemaakt. Verdere details over deze aanvallen zijn niet gegeven. In het verleden is er vaker misbruik gemaakt van kwetsbaarheden in vCenter. bron: https://www.security.nl

De Belgische afvalverwerker Limburg.net heeft vorige maand de persoonlijke gegevens van 311.000 personen gelekt. Aanvallers wisten op 13 december toegang te krijgen tot adresgegevens met het rijksregisternummer van 311.000 personen die op 1 januari 2014 of 1 januari 2015 als gezinshoofd stonden ingeschreven. Limburg.net is een organisatie die voor alle Limburgse gemeenten afval inzamelt en verwerkt. "De gelekte gegevens zijn de naam, adres en rijksregisternummer van het gezinshoofd. Andere gegevens zoals identiteitskaartnummers, paswoorden, inloggegevens, rekeningnummers of bankkaartnummers zitten niet in de gekopieerde bestanden", zo laat de afvalverwerker op de eigen website weten. Volgens Limburg.net bestaat de kans dat de gegevens illegaal via het 'darkweb' verspreid worden en op deze manier in handen vallen van personen met slechte bedoelingen. "Het darkweb is de diepste laag van het internet. Het is niet toegankelijk via de gebruikelijke zoekmachines", legt de afvalverwerker verder uit. "Als gevolg hiervan is het mogelijk dat criminelen u proberen te contacteren om aan persoonlijke informatie te raken, zoals wachtwoorden of bankgegevens. Ook informatie die u zelf vrijgeeft of publiek heeft staan op sociale mediaprofielen kan zo misbruikt worden. Het feit dat er tijdens de cyberaanval geen e-mailadressen, telefoonnummers, rekeningnummers, identiteitskaartnummers of bankkaartnummers gelekt zijn, maakt het moeilijker om u te contacteren of op te lichten." Verder waarschuwt Limburg.net dat veel Belgische instanties het rijksregisternummer gebruiken ter identiteitscontrole en de kans bestaat dat criminelen dat nummer gebruiken om zich als iemand anders voor te doen. "In principe is een rijksregisternummer alleen niet voldoende om verrichtingen of registraties te doen. Vaak vragen instanties een bevestiging via een eID of itsme of stellen ze extra controlevragen." De aanval is opgeëist door de criminelen achter de Medusa-ransomware. Als de afvalverwerker niet betaalt dreigt de ransomwaregroep de gestolen data openbaar te maken. Limburg.net laat tegenover Belgische media weten dat het niet van plan is om te betalen. bron: https://www.security.nl

Al ruim tweeduizend Ivanti Connect Secure VPN-appliances zijn via een zerodaylek besmet geraakt met een backdoor. Een beveiligingsupdate is nog niet beschikbaar, maar wel een mitigatie. Niet alle organisaties blijken die op de juiste manier toe te passen, waardoor ze opnieuw besmet raken, zo meldt securitybedrijf Volexity. Ivanti Connect Secure, eerder nog bekend als Pulse Secure, is een vpn-oplossing waarmee gebruikers toegang tot het netwerk van hun organisatie kunnen krijgen. Twee zerodaylekken in de vpn-oplossing, CVE-2023-46805 en CVE-2024-21887, maken het mogelijk voor ongeauthenticeerde aanvallers om eerst de authenticatie te omzeilen en daarna willekeurige commando's op het apparaat uit te voeren. Zo is het mogelijk om een webshell te installeren en toegang tot het apparaat te behouden en verdere aanvallen uit te voeren. Volexity heeft een webshell die het GiftedVisitor noemt inmiddels op meer dan 2100 gecompromitteerde Ivanti-apparaten aangetroffen. Ivanti heeft aangegeven dat het de komende weken met updates komt. Als tijdelijke oplossing is er een mitigatie beschikbaar om systemen te beschermen. Het is wel belangrijk dat die op het juiste moment wordt doorgevoerd. Volexity zegt dat het van meerdere organisaties weet waarbij een schone Ivanti vpn-appliance werd uitgerold waarop de mitigatie was doorgevoerd, maar die opnieuw besmet raakte. Verder onderzoek wees uit dat deze organisaties eerst de mitigatie hadden doorgevoerd en daarna een back-up van de configuratiebestanden terugplaatsten. Daarmee wordt de mitigatie ongedaan gemaakt. Organisaties moeten dan ook eerst de back-up van de configuratie terugzetten en daarna pas de mitigatie toepassen. De zerodays worden al zeker sinds december door een groep aanvallers gebruikt. Inmiddels is er echter sprake van grootschalig misbruik, waarbij Volexity ook rekening houdt met ransomware-aanvallen. bron: https://www.security.nl

Anti-spamorganisatie Spamhaus gaat de blocklist-vermeldingen, waarop als malafide bestempelde ip-adressen staan, naar een nieuwe locatie verhuizen. Wanneer onderzoekers van Spamhaus ip-adressen of ip-reeksen als malafide beschouwen, bijvoorbeeld vanwege het versturen van spam of het hosten van cybercriminelen, worden die op de Spamhaus Blocklist (SBL) geplaatst. Het netwerk of hostingbedrijf dat voor het ip-adres verantwoordelijk is wordt via e-mail over de SBL-vermelding ingelicht. De e-mail bevat een link naar informatie waarom het ip-adres of ip-reeks op de Spamhaus Blocklist is geplaatst en hoe het ip-adres weer van de lijst kan worden gehaald. SBL-vermeldingen kunnen grote gevolgen hebben, omdat allerlei organisaties en bedrijven de blocklist gebruiken voor het weren van e-mail van ip-adressen die op de lijst staan. De SBL-vermeldingen werden altijd op www.spamhaus.org gehost, maar dat gaat veranderen. Ze zullen straks op een aparte website te vinden zijn, namelijk check.spamhaus.org. Aanleiding is de verouderde interface van www.spamhaus.org die in de toekomst zal worden aangepast. De Spamhaus-reputatiechecker die via check.spamhaus.org is te vinden beschikt nu al over een modernere interface. De verhuizing zou halverwege volgende maand moeten zijn afgerond. Om te voorkomen dat mensen straks denken dat de SBL-meldingen van Spamhaus een phishingaanval zijn, is de anti-spamorganisatie nu met de aankondiging gekomen. bron: https://www.security.nl