Captain Kirk

Cisco zal lek dat overname end-of-life routers mogelijk maakt niet patchen Cisco zal een kritieke kwetsbaarheid waardoor het voor een aanvaller mogelijk is om op afstand volledige controle over verschillende modellen routers te krijgen niet patchen. De apparaten zijn namelijk end-of-life (pdf). Het gaat om de Cisco Small Business RV110W, RV130, RV130W en RV215W vpn-routers. Het beveiligingslek, aangeduid als CVE-2022-20825, wordt veroorzaakt door het onvoldoende valideren van inkomende http-packets. Door het versturen van een speciaal geprepareerd request naar de beheerdersinterface kan een aanvaller willekeurige commando's op de router met rootrechten uitvoeren. De beheerdersinterface van de betreffende routers is toegankelijk vanaf een LAN-verbinding die niet is uit te schakelen. In het geval remote management staat ingeschakeld is de interface ook toegankelijk vanaf het internet. Standaard is dat echter niet het geval. Cisco adviseert klanten die nog van de routers gebruikmaken om over te stappen naar een apparaat dat nog wel wordt ondersteund. bron: https://www.security.nl

Cisco waarschuwt organisaties voor een kritieke kwetsbaarheid in de Secure Email Gateway en Secure Email and Web Manager waardoor een aanvaller op afstand zonder wachtwoord op de beheerdersinterface van het apparaat kan inloggen. De Secure Email Gateway, eerder bekend als Email Security Appliance, en de Secure Email and Web Manager, eerder bekend als Security Management Appliance (SMA), zijn zowel virtuele als hardwarematige appliances voor het filteren van e-mailverkeer op allerlei dreigingen. Een kwetsbaarheid, aangeduid als CVE-2022-20798, maakt het mogelijk voor een ongeauthenticeerde aanvaller om op afstand de authenticatie te omzeilen en op de beheerdersinterface van het apparaat in te loggen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Volgens Cisco wordt het probleem veroorzaakt door een onvoldoende authenticatiecontrole wanneer een apparaat gebruikmaakt van het Lightweight Directory Access Protocol (LDAP) voor externe authenticatie. LDAP laat gebruikers data over onder andere organisaties en personen vinden. Bij LDAP-authenticatie worden opgegeven gebruikersnamen en wachtwoorden gecontroleerd door verbinding te maken met een directory service die van het LDAP-protocol gebruikmaakt. In het geval van de Cisco-kwetsbaarheid kan een aanvaller door bepaalde invoer op de inlogpagina de authenticatie omzeilen en zo ongeautoriseerde toegang krijgen. Cisco heeft updates uitgebracht. Daarnaast is er een workaround waarbij "anonymous binds" op de externe authenticatieserver moeten worden uitgeschakeld. bron: https://www.security.nl

Softwarebedrijf Citrix waarschuwt voor een kwetsbaarheid in Application Delivery Management (Citrix ADM) waardoor een ongeauthenticeerde aanvaller het adminwachtwoord op afstand kan resetten om vervolgens met de standaard inloggegevens van de beheerder in te loggen en zo het systeem over te nemen. Citrix Application Delivery and Management is een web-gebaseerde oplossing voor het beheer van andere Citrix-oplossingen, zoals Citrix Application Delivery Controller (ADC) en Citrix Gateway. Een beveiligingslek in de software, aangeduid als CVE-2022-27511, maakt het mogelijk voor een aanvaller om het systeem te corrumperen waarbij het adminwachtwoord wordt gereset. Bij een volgende herstart van het systeem kan een aanvaller vervolgens met het standaard adminwachtwoord via ssh inloggen en zo het systeem overnemen, aldus het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Citrix heeft updates uitgebracht en roept organisaties op om die te installeren. In het geval van Citrix ADM 12.1 is de software end-of-life en wordt klanten aangeraden om zo snel mogelijk naar een wel ondersteunde versie te upgraden. bron: https://www.security.nl

Een kwetsbaarheid in mailsoftware Zimbra maakt het voor aanvallers mogelijk om inloggegevens van gebruikers op afstand en zonder enige interactie te stelen. Daarbij is het alleen genoeg voor de aanvaller om het e-mailadres van de gebruiker te kennen en moet het slachtoffer een e-mailclient gebruiken. Zimbra is een collaborative software suite die onder andere mailserversoftware en een webmailclient bevat. Zimbra maakt ook gebruik van Memcached, een cachingoplossing die data en objecten uit bijvoorbeeld databases cachet om zo websites en webapplicaties sneller te maken. De Memcached-oplossing van Zimbra blijkt newline characters in gebruikersinvoer niet te escapen. Daardoor is het mogelijk voor een aanvaller om malafide Memcached-commando's uit te voeren en de IMAP routing cache te overschrijven, zo meldt securitybedrijf SonarSource dat het probleem ontdekte. Wanneer een gebruiker de volgende keer inlogt wordt het IMAP-verkeer naar een server van de aanvaller gestuurd, waaronder de inloggegevens. Om de aanval te laten slagen moet het doelwit wel van een e-mailclient gebruikmaken. Zimbra wordt standaard met een webclient geleverd die direct met de backend-server communiceert en niet kwetsbaar is. Zimbra, dat naar eigen zeggen meer dan 200.000 organisaties als klant heeft, heeft updates uitgebracht om het probleem te verhelpen. Organisaties wordt opgeroepen die met spoed te installeren. bron: https://www.security.nl

Het Tor Project zoekt vrijwilligers die de alphaversie van Tor Browser willen testen. Dagelijks maken meer dan twee miljoen mensen gebruik van de browser om hun privacy te beschermen en gecensureerde websites te bezoeken. De browser ontvangt elk jaar honderden aanpassingen, van updates tot nieuwe features. Elke aanpassing kan echter nieuwe problemen introduceren. Om deze bugs te vinden en te voorkomen dat ze in de releaseversie verschijnen is er ook een alphaversie van Tor Browser. Het Tor Project is een non-profitorganisatie en daardoor afhankelijk van een gemeenschap van vrijwilligers om de alphaversie te testen. "Als vrijwilliger de alphaversie testen is één van de meest toegankelijke en effectieve manieren hoe je kunt helpen om gebruikers die risico lopen om et Tor verbonden te houden", zegt Duncan Larsen-Russell van het Tor Project. Daarbij wordt ook gezocht naar alphatesters op verschillende platformen, in verschillende landen, die verschillende talen spreken en Tor Browser op verschillende manieren gebruiken. Al een paar minuten per alphaversie is voldoende, stelt Larsen-Russell. Hij benadrukt dat het hier wel om een onstabiele versie gaat en die niet voor activiteiten moet worden gebruikt waardoor de gebruiker risico kan lopen. bron: https://www.security.nl

Een kwetsbaarheid in processoren van AMD en Intel maakt het mogelijk voor aanvallers om op afstand vertrouwelijke informatie zoals encryptiesleutels te stelen. De onderzoekers die Hertzbleed ontdekten, zoals de kwetsbaarheid wordt genoemd, noemen het een "echte en praktische dreiging" voor de veiligheid van cryptografische software. Volgens Intel is de aanval interessant, maar niet praktisch om buiten een laboratoriumomgeving uit te voeren. Zowel AMD als Intel hebben advisories uitgebracht en adviseren ontwikkelaars van cryptografische libraries om maatregelen te nemen. Beide chipfabrikanten zijn voor zover bekend niet van plan om microcode-patches uit te brengen. Het is al geruime tijd bekend dat aanvallers door het monitoren van het stroomverbruik van een systeem geheime informatie kunnen achterhalen. Onderzoekers van verschillende Amerikaanse universiteiten hebben nu een manier gevonden waarbij ze een feature van moderne processors, met de naam dynamic frequency scaling, gebruiken om op afstand een timing-aanval uit te voeren waarmee diefstal van bijvoorbeeld encryptiesleutels mogelijk is. Dynamic voltage and frequency scaling (DVFS) is een techniek voor het dynamisch aanpassen van de cpu-frequentie om zo het stroomverbruik te verminderen als de processor niet wordt belast en ervoor te zorgen dat het systeem tijdens een zware belasting onder de stroom- en warmtelimiet blijft. Net als met andere taken verandert het energieverbruik tijdens het uitvoeren van cryptografische operaties. Een aanvaller kan informatie over het energieverbruik vervolgens gebruiken voor een timing-aanval en zo vertrouwelijke informatie stelen. De benodigde informatie voor het uitvoeren van de aanval is op afstand uit te lezen, zonder dat hiervoor een specifieke "power measurement interface" voor is vereist. De onderzoekers hebben hun aanval gedemonstreerd tegen een server die van SIKE gebruikmaakt, een cryptografisch algoritme dat wordt gebruikt voor het vaststellen van een secret key tussen twee partijen over een onveilig communicatiekanaal. Via de aanval lukte het de onderzoekers om de encryptiesleutel van de server te stelen. De onderzoekers informeerden Intel, Microsoft en Cloudflare in het derde kwartaal van vorig jaar over de kwetsbaarheid. AMD werd in het eerste kwartaal van dit jaar ingelicht. Intel had de onderzoekers gevraagd om de bevindingen op 10 mei te openbaren, maar de chipgigant vroeg vervolgens om die datum te verschuiven naar 14 juni. De impact van Hertzbleed is op een schaal van 1 tot en met 10 beoordeeld met een 6.3 en heeft volgens Intel een medium impact. De onderzoekers doen wel verschillende aanbevelingen om de aanval te voorkomen, maar dit kan grote gevolgen voor de prestaties van de processor hebben. Cryptografische implementaties die al maatregelen tegen power side-channel-aanvallen hebben genomen zijn niet kwetsbaar. Verder hebben Cloudflare en Microsoft mitigaties doorgevoerd om de aanval tegen SIKE te voorkomen. bron: https://www.security.nl

Tijdens de patchdinsdag van juni heeft Microsoft 55 kwetsbaarheden verholpen, waaronder een zerodaylek in Windows waar zeker sinds mei misbruik van wordt gemaakt. Microsoft waarschuwde op 30 mei voor een beveiligingslek in de Windows Support Diagnostic Tool (MSDT) waardoor een aanvaller code op het systeem kan uitvoeren. Via de diagnostische tool is het mogelijk om Windowsproblemen vast te stellen. Door het aanroepen van MSDT via een url-protocol is remote code execution mogelijk. Dit kan bijvoorbeeld vanuit een applicatie zoals Word, waarbij alleen het openen van een malafide document volstaat. Eenmaal geopend kan een aanvaller vanuit het malafide document de diagnostische tool op het systeem van de gebruiker aanroepen en zo willekeurige code uitvoeren met de rechten van de ingelogde gebruiker. Een kwetsbaarheid in het Windows Network File System (NFS) heeft volgens Microsoft deze maand de grootste impact. Een ongeauthenticeerde aanvaller kan door het versturen van een speciaal geprepareerd request naar een NFS-server willekeurige code met mogelijk systeemrechten uitvoeren. Vorige maand kwam Microsoft ook al met een beveiligingsupdate voor een kwetsbaarheid in NFS. Die patch was voor NFS-versies 2.0 en 3.0. De update die gisteren verscheen is voor NFS versie 4.1. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Van de 55 kwetsbaarheden zijn er drie als kritiek beoordeeld. Naast het bovengenoemde lek in het Windows Network File System gaat het ook om beveiligingslekken in Windows Hyper-V en het Windows Lightweight Directory Access Protocol (LDAP) die beide remote code execution mogelijk maken. Op de meeste systemen zullen de updates automatisch worden geïnstalleerd. bron: https://www.security.nl

Mozilla heeft besloten om bij alle Firefox-gebruikers wereldwijd Total Cookie Protection in te schakelen om zo de privacy van gebruikers beter te beschermen en tracking lastiger te maken. Firefox blokkeert al enige tijd trackingcookies via Enhanced Tracking Protection (ETP). Hiervoor maakt de browser gebruik van een lijst met bekende trackers van trackerblocker Disconnect. Op dit moment blokkeert ETP zo'n drieduizend van de meestgebruikte en waargenomen trackers. De bescherming van ETP is echter afhankelijk van de Disconnect-lijst en dat die up-to-date is. Trackers kunnen de lijst eenvoudig omzeilen door nieuwe domeinnamen te registreren. Daarnaast kan het lang duren voordat een nieuw trackingdomein aan de lijst wordt toegevoegd. Total Cookie Protection moet ervoor zorgen dat tracking via cookies tot het verleden gaat behoren, aldus Mozilla. Cookies zijn nog altijd zeer effectief voor het volgen van internetgebruikers op het web. Een tracker die op meerdere websites als derde partij actief is kan voor het eigen trackingdomein third-party cookies bij bezoekers plaatsen. Zo is het mogelijk om internetgebruikers over meerdere websites te volgen. Met Total Cookie Protection worden alle cookies van een domein dat de gebruiker bezoekt in een aparte cookie jar opgeslagen, gescheiden van andere websites die hun eigen cookie jar hebben. Ook al is een tracker op meerdere websites actief, dan zullen de trackingcookies nog steeds beperkt zijn tot de cookie jar van de betreffende website. Volgens Mozilla heeft dit grote voordelen voor de privacy van gebruikers, omdat het nu mogelijk is om een uitgebreidere bescherming te bieden dan met de Disconnect-lijst het geval is, terwijl dit geen gevolgen heeft voor websites zolang ze geen cross-site access vereisen. Total Cookie Protection werd eerst alleen in de ETP Strict Mode en Private Browsing-mode ingeschakeld. Eerder dit jaar volgde de feature in Firefox Focus. Nu wordt Total Cookie Protection onder alle Firefox-gebruikers op de desktop aangezet. bron: https://www.security.nl

Microsoft heeft afscheid genomen van Internet Explorer 11 op Windows 10. De browser wordt niet meer ondersteund. IE11 op Windows 8.1, Windows 7 Extended Security Updates, Windows Server SAC, Windows 10 IoT Long-Term Servicing Channel (LTSC) Windows Server LTSC, Windows 10 client LTSC en Windows 10 China Government Edition kan wel op updates blijven rekenen. Het uitfaseren van Internet Explorer 11 vindt in twee fases plaats. Tijdens de eerste fase worden gebruikers bij het gebruik van IE11 doorgestuurd naar Microsoft Edge. Om binnen organisaties grote verstoringen te voorkomen zullen niet alle systemen tegelijkertijd naar Edge worden doorgestuurd. Op deze manier moeten eventuele problemen met bijvoorbeeld interne applicaties en websites snel zijn te identificeren. Deze "redirection" fase zal de komende maanden op alle Windows 10-systemen plaatsvinden waar IE11 wordt uitgefaseerd. Tijdens de tweede fase zal Internet Explorer 11 via een toekomstige Windows-update permanent worden uitgeschakeld. Dit zal via het standaard Windows-updateproces plaatsvinden. Microsoft adviseert organisaties echter om IE11 via de "Disable IE Policy" op een eigen gewenst moment zelf in hun omgeving uit te schakelen en dit niet te laten afhangen van de eerder genoemde Windows-update. Microsoft benadrukt dat Windows-updates niet voor de "redirection" fase worden gebruikt. Het techbedrijf roept organisaties dan ook op om Windows-updates niet over te slaan, aangezien die kritieke beveiligingsupdates voor het besturingssysteem bevatten. Wanneer de "redirection" fase is voltooid zal de Windows-update voor het permanent uitschakelen van IE11 worden uitgerold. De update zal Internet Explorer 11 niet van Windows 10-systemen verwijderen, aangezien de IE11-engine vereist is om de IE-mode van Microsoft Edge te laten werken, aldus Microsoft in een FAQ over de aankomende uitfasering. Via deze mode is het mogelijk om interne IE-afhankelijke websites van organisaties binnen Edge te openen. bron: https://www.security.nl

Microsoft komt later dit jaar met "grote aanpassingen" in de manier waarop zakelijke Windowssystemen diagnostische data verwerken, zo heeft het techbedrijf nogmaals aangekondigd. De aanpassingen gaan gelden voor systemen van Europese organisaties en bedrijven waar diagnostische data staat ingeschakeld. Microsoft verzamelt diagnostische data van Windowssystemen om naar eigen zeggen problemen te verhelpen en Windows up-to-date, veilig en werkend te houden. Ook stelt Microsoft dat de data wordt gebruikt voor het verbeteren van Windows en gerelateerde Microsoft-producten en -diensten. Het gaat dan om apparaat-, batterij- en netwerkgegevens, maar ook informatie over de hardware, externe apparaten, Windowsversie en opslag van het systeem. Onder druk van Europese privacytoezichthouders gaat Microsoft voor zakelijke gebruikers de dataverwerking van Windows-telemetrie veranderen. Zo wordt er gestopt met het gebruik van bepaalde policies om de verwerkingsoptie te configureren, zoals de "Allow commercial data pipeline” policy. In plaats daarvan komt het techbedrijf met een organisatiebrede configuratie gebaseerd op Azure Active Directory (Azure AD) om Microsofts rol in de dataverwerking te bepalen. De aanpassing komt als eerste beschikbaar voor Windowssystemen in het Dev Channel van het Windows Insider-programma. Dit zal op zijn vroegst in juli van dit jaar zijn. Voor andere Windowssystemen zullen details op een later moment volgen. De aanpassingen zullen voor deze systemen op zijn vroegst in het laatste kwartaal van dit jaar worden uitgerold. bron: https://www.security.nl

Er is een nieuwe versie van de beruchte Emotet-malware ontdekt die creditcardgegevens uit Google Chrome steelt. Andere browsers laat de malware met rust. Emotet is een "modulaire malwarefamilie" die allerlei aanvullende malware op systemen kan installeren, wachtwoorden steelt en zelf zeer lastig te verwijderen is. Om zich te verspreiden maakt Emotet gebruik van e-mails die als bijlage doc-bestanden met kwaadaardige macro's bevatten. Zodra de ontvanger van de e-mail de macro's in het document inschakelt wordt Emotet geïnstalleerd en zal vervolgens proberen om andere machines in het netwerk te infecteren. Emotet kan aanvullende malware downloaden en was verantwoordelijk voor een aantal zeer ernstige ransomware-uitbraken bij grote organisaties. Onderzoekers van securitybedrijf Proofpoint en de Japanse politie melden dat Emotet van een nieuwe module gebruikmaakt waarmee in Google Chrome opgeslagen creditcardgegevens worden gestolen en teruggestuurd naar de aanvallers. De creditcardmodule werkt alleen tegen Chrome. Naast creditcardgegevens beschikt Emotet ook over modules voor het stelen van inloggegevens voor verschillende e-mailclients, waaronder Outlook en Thunderbird. Verder kan Emotet in Internet Explorer, Mozilla Firefox, Google Chrome, Safari en Opera opgeslagen wachtwoorden stelen. Vorig jaar vond er een internationale politie-operatie tegen het Emotet-botnet plaats. Door ingrijpen van de Nederlandse en Duitse politie werd de malware van een miljoen computers verwijderd. Inmiddels is de malware bezig met een comeback en weer begonnen met het op grote schaal versturen van malafide documenten om nieuwe slachtoffers te maken. bron: https://www.security.nl

Na bijna tien maanden is er een grote nieuws release van de populaire securitytool Metasploit verschenen die honderden nieuwe modules, features en bugfixes bevat, waaronder een nieuwe netwerk capture plug-in en verbeterde support voor SMBv3. Dat meldt securitybedrijf Rapid7, ontwikkelaar van Metasploit. Metasploit is een opensourceframework voor het testen van de beveiliging van systemen en netwerken en is erg geliefd bij penetratietesters en securityprofessionals. Na de release van Metasploit 6.1 vorig jaar augustus is nu versie 6.2 uitgebracht. Die bevat 138 nieuwe modules voor het scannen van systemen en misbruiken van bekende kwetsbaarheden. Ook zijn 156 bugs verholpen en 148 verbeteringen en features toegevoegd. Het gaat onder andere om een nieuwe capture plug-in voor het onderscheppen van inloggegevens. Metasploit bood al geruime tijd protocolspecifieke modules die bij het onderscheppen van inloggegevens helpen. Gebruikers moesten deze plug-ins los van elkaar starten en configureren. Met Metasploit 6.2 is er een nieuwe capture plug-in die dit proces voor gebruikers stroomlijnt en dertien verschillende services start voor het onderscheppen van bijvoorbeeld ftp-, imap-, pop3-, telnet- en vnc-credentials. Verder is de ondersteuning van smbv3 verbeterd. Zo introduceert Metasploit 6.2 een nieuwe standalone tool voor het starten van een smb-server die read-only toegang tot de huidige directory geeft. Deze nieuwe smb-server ondersteunt SMBv1, 2 en 3, alsmede encryptie voor smbv3. Verder zijn de Metasploit-modules geüpdatet om SMBv3 te ondersteunen. Bestaande Metasploit-gebruikers kunnen via het msfupdate-commando naar de laatste versie updaten. Daarnaast is de securitytool via GitHub verkrijgbaar. bron: https://www.security.nl

Nederlandse onderzoekers van het Dutch Institute for Vulnerability Disclosure (DIVD) hebben opnieuw kritieke kwetsbaarheden gevonden in een platform dat managed serviceproviders (MSP's) gebruiken voor het beheren van de systemen van hun klanten. Via de kwetsbaarheden in ITarian kan een aanvaller toegang tot de beheerdersinterface krijgen en kwaadaardige code op alle clients uitvoeren. De beveiligingslekken werden gevonden in de on-premis en SaaS-versies van ITarian en de Endpoint Manager Communication Client voor Windows. Door het combineren van de verschillende kwetsbaarheden kan een aanvaller een helpdeskticket aanmaken dat wanneer bekeken door een gebruiker met een geldig sessietoken code op alle clients met superuser-rechten uitvoert. ITarian werd op 6 januari over de beveiligingslekken ingelicht. Volgens het DIVD verliep de communicatie met ITarian moeizaam, maar zijn de kwetsbaarheden in de SaaS-versie en Agent-software verholpen. Twee kwetsbaarheden, CVE-2022-25151 en CVE-2022-25152, waardoor een aanvaller toegang tot de beheerdersinterface kan krijgen en code op alle agents kan uitvoeren, zijn nog steeds aanwezig in de on-premise versie van het ITarian-platform. De impact van CVE-2022-25152 is op een schaal van 1 tot en met 10 beoordeeld met een 9.9. De on-premise versie wordt al meer dan twee jaar niet meer door ITarian ondersteund, maar nog wel door het bedrijf als download aangeboden. Aangezien de software end-of-life is zal ITarian hiervoor geen patches uitbrengen. Vanwege de impact van de kwetsbaarheden en de mogelijkheden die het platform biedt adviseert het DIVD om een alternatieve oplossing te zoeken, de on-premise oplossing los te koppelen van het internet en niet te vertrouwen op het permissie- en toestemmingsmodel dat in ITarian zit verwerkt. Onderzoekers van het DIVD ontdekten eerder ook kritieke kwetsbaarheden in de MSP-software van Kaseya. Eén van deze beveiligingslekken werd uiteindelijk bij een wereldwijde ransomware-aanval op MSP-klanten gebruikt. bron: https://www.security.nl

Apple, Google, Cloudflare en andere techbedrijven willen de captcha's die nu geregeld op websites verschijnen vervangen door private access tokens. Critici zijn bang dat gebruikers van bepaalde browsers of platformen straks worden buitengesloten. Bij private access tokens werken vier partijen samen, waaronder de fabrikanten van telefoons en computers. Zodra de gebruiker een website bezoekt zal de webserver een private token challenge naar de gebruiker terugsturen. De webserver wil dat de gebruiker een token terugstuurt die van een vertrouwde token-uitgever afkomstig is. De gebruiker heeft dit token nog niet en vraagt vervolgens het token aan een "attester", wat de telefoon- of computerfabrikant kan zijn. Het token-verzoek is "blinded", waardoor het niet te koppelen is aan de challenge van de betreffende webserver. De telefoon- of computerfabrikant zal nu het account en apparaat van de gebruiker controleren. Wanneer de fabrikant de gebruiker aan de hand van zijn telefoon of computer heeft gecontroleerd wordt het token-verzoek doorgestuurd naar de token-uitgever. De uitgever weet hierbij niets van de gebruiker. Aangezien het token-verzoek van een vertrouwde attester afkomstig is, signeert de uitgever het token en stuurt die naar de attester. De attester stuurt het gesigneerde token weer naar de gebruiker. Op het toestel van de gebruiker wordt het token, in een proces dat "unblinding" wordt genoemd, omgezet zodat de webserver het token kan verifiëren. De webserver kan controleren dat het token door een vertrouwde uitgever is gesigneerd. Het is echter niet mogelijk om de gebruiker alleen aan de hand van het token te identificeren of herkennen. Apple zal private access tokens ondersteunen in Safari op iOS 16, iPad 16 en macOS 13. Critici zijn bang dat gebruikers van bijvoorbeeld Linux of Firefox worden buitengesloten. Cloudflare laat weten dat het met andere browserleveranciers en fabrikanten samenwerkt om die ook van private access tokens gebruik te laten maken. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kwetsbaarheid in videoconferentiecamera Meeting Owl Pro en whiteboardcamera Whiteboard Owl, zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. De camera's worden wereldwijd door bedrijven en organisaties, onder andere in Nederland, gebruikt voor videoconferencing. Onderzoekers van modzero ontdekten verschillende kwetsbaarheden waardoor het mogelijk is om vertrouwelijke informatie van gebruikers te achterhalen of de camera's als rogue wireless gateway tot het bedrijfsnetwerk te gebruiken. De apparaten zijn namelijk door iedereen in de buurt via bluetooth als access point in te stellen. De camera creëert hierbij een nieuw wifi-netwerk terwijl het tegelijkertijd met de al geconfigureerde wifi-verbinding verbonden blijft. De onderzoekers van modzero ontdekten dat de Meeting Owl gebruikmaakt van hardcoded credentials. Hiermee kan elke gebruiker in de buurt van het apparaat via bluetooth de access point-mode inschakelen en er zo een rogue wireless gateway tot het bedrijfsnetwerk van maken. Deze kwetsbaarheid wordt aangeduid als CVE-2022-31460. Fabrikant Owl Labs werd in januari over de beveiligingslekken ingelicht. Het bedrijf liet weten dat alle problemen halverwege mei verholpen zouden zijn. Aangezien dat niet het geval was besloten de onderzoekers hun bevindingen op 31 mei openbaar te maken. Owl Labs kwam vervolgens op 3 en 6 juni met beveiligingsupdates voor zowel de camera als de Whiteboard Owl. Updates worden alleen automatisch geïnstalleerd wanneer de camera 's nachts is aangesloten op het wifi-netwerk en stopcontact. In een verklaring stelde Owl Labs dat de kans dat klanten via de kwetsbaarheden zijn aangevallen klein is. Het CISA laat nu weten dat dit wel het geval is. De Amerikaanse overheidsinstantie houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren. De lijst, die inzicht geeft in kwetsbaarheden waarvan aanvallers misbruik maken, wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. De nieuwste toevoeging bevat de kwetsbaarheid in de Owl-camera's, alsmede 35 andere kwetsbaarheden. De andere beveiligingslekken zijn echter jaren oud. Amerikaanse overheidsinstanties moeten alle 36 kwetsbaarheden voor 22 juni hebben gepatcht. bron: https://www.security.nl

Zo'n 40.000 WordPress-sites lopen het risico om te worden overgenomen door middel van een kwetsbaarheid in de Download Manager-plug-in. Download Manager is een plug-in waarmee webmasters downloads vanaf hun WordPress-site kunnen volgen en beheren. Zo is bijvoorbeeld per gebruiker de hoeveelheid downloads of downloadsnelheid in te stellen. Daarnaast is de plug-in te gebruiken voor de verkoop van digitale producten. Meer dan 100.000 WordPress-sites maken gebruik van Download Manager. Een onderdeel van de plug-in bevat een cross-site scripting (XSS)-kwetsbaaheid, die door het niet goed omgaan met gebruikersinvoer wordt veroorzaakt. Door een gebruiker van de plug-in een malafide link te laten openen is het voor een aanvaller mogelijk om willekeurige code in de browser van het slachtoffer uit te voeren, zo meldt securitybedrijf Wordfence. Een aanvaller kan zo gevoelige informatie of cookie-waardes stelen en in het ergste geval beheerderstoegang krijgen of een backdoor toevoegen. In het geval van Download Manager zouden zowel klantgegevens als toegang tot de aangeboden digitale producten risico lopen. Een aanvaller die de sessiecookies van de beheerder via het lek weet te bemachtigen kan zo de instellingen van het betaalproces aanpassen en zelfs nepproducten toevoegen. Het beveiligingslek is aanwezig in versie 3.2.42 en ouder van de plug-in en verholpen met versie 3.2.43. Op het moment van schrijven hebben zo'n zestigduizend van de honderdduizend WordPress-sites waarop Download Manager draait de laatste versie geïnstalleerd, wat inhoudt dat zo'n veertigduizend sites nog risico lopen. bron: https://www.security.nl

De FBI heeft in samenwerking met de Cypriotische en Letse autoriteiten een online marktplaats offline gehaald waarop de persoonlijke gegevens van miljoenen mensen werden aangeboden. Volgens het Amerikaanse ministerie van Justitie was op de SSNDOB Marketplace de privédata van 24 miljoen Amerikanen te vinden, waaronder namen, geboortedata en social-securitynummers. De verkoop van deze data zou meer dan 19 miljoen dollar aan omzet hebben gegenereerd. De beheerders achter de marktplaats adverteerden hun diensten op verschillende fora. Gisteren werden middels een bevel vier domeinen van de website in beslag genomen waardoor de marktplaats zo goed als niet meer kan opereren, aldus de Amerikaanse autoriteiten. bron: https://www.security.nl

Nederlandse onderzoekers van het Dutch Institute for Vulnerability Disclosure (DIVD) hebben vorige week ruim vijftienduizend waarschuwingen verstuurd naar beheerders van kwetsbare installaties van Confluence Server en Confluence Data Center. Er wordt actief misbruik gemaakt van een beveiligingslek in de software waardoor kwetsbare systemen op afstand zijn over te nemen. Confluence is een door Atlassian ontwikkeld wikiplatform waarmee teams van organisaties kunnen samenwerken. Het is mogelijk om Confluence in de cloud te hosten, maar ook op eigen servers of in een datacenter. Vorige week waarschuwde Atlassian voor een zerodaylek in de software en op 3 juni kwam het softwarebedrijf met een beveiligingsupdate voor de kwetsbaarheid. Onder andere het Nationaal Cyber Security Centrum (NCSC) van de overheid adviseert organisaties om de update direct te installeren. Het DIVD scant op internet naar kwetsbare systemen zodat het betrokken organisaties kan waarschuwen. Daarnaast doet het beveiligingsonderzoek. Zo werden DIVD-onderzoekers wereldbekend door de vondst van een kritieke kwetsbaarheid in de software van Kaseya. Naast de Nederlandse organisatie voerde ook securitybedrijf Censys een scan uit. Daarbij werden ruim 9300 Confluences-installaties aangetroffen, waarvan er ook duizenden op het moment van de scan kwetsbaar waren. bron: https://www.security.nl

Softwarebedrijf Atlassian heeft beveiligingsupdates uitgerold voor een actief aangevallen zerodaylek in Confluence Server en Confluence Data Center. Organisaties wordt opgeroepen om de patches zo snel mogelijk te installeren. Naast de actief aangevallen kwetsbaarheid verhelpen de updates ook verschillende andere beveiligingslekken. Confluence is een door Atlassian ontwikkeld wikiplatform waarmee teams van organisaties kunnen samenwerken. Het is mogelijk om Confluence in de cloud te hosten, maar ook op eigen servers of in een datacenter. Via de OGNL (Object Graph Navigation Language) injection kwetsbaarheid in de software kan een ongeauthenticeerde aanvaller willekeurige code op een Confluence-server of Confluence Data Center instance uitvoeren en zo controle over het systeem krijgen. Details over de kwetsbaarheid en aanvallen zijn nog niet gegeven. Het Nationaal Cyber Security Centrum (NCSC) van de overheid adviseert de updates ook direct te implementeren. Het NCSC houdt de situatie omtrent de kwetsbaarheid naar eigen zeggen nauwlettend in de gaten en zal verdere relevante informatie via de eigen website publiceren. De kwetsbaarheid is door de overheidsinstantie ingeschaald op High/High, wat inhoudt dat de kans op misbruik en mogelijke schade groot is. bron: https://www.security.nl

De volgende versie van Exchange Server zal pas in de tweede helft van 2025 verschijnen, wat mede komt door zeroday-aanvallen tegen de populaire mailserversoftware. Exchange 2016 en 2019 kunnen tot 14 oktober 2025 op beveiligingsupdates rekenen. Daarna zal alleen de nieuwe Exchange-versie worden ondersteund. Oorspronkelijk stond de volgende versie van Exchange Server voor de tweede helft van 2021 gepland. Een grootschalige zeroday-aanval in maart 2021 waarbij gebruik werd gemaakt van meerdere kwetsbaarheden in Exchange gooide roet in het eten. Daarnaast lanceerde Microsoft een bugbountyprogramma voor Exchange en bracht verschillende tools uit om de veiligheid van het product te vergroten en klanten te beschermen. "Hoewel we ons op security blijven richten, zijn we nu ook klaar om onze langetermijnroadmap voor Exchange Server te delen", zo laat het Exchange Team van Microsoft in een blogposting weten. Daarin staat dat de volgende Exchange-versie in de tweede helft van 2025 verschijnt en totdat moment de focus zal liggen op Exchange 2019. "Exchange-servers bevatten vaak de meest gevoelige bedrijfsdata, en hosten het bedrijfsadresboek, waarom het essentieel is om deze servers en data te beschermen. We blijven ons dus richten op de security van Exchange Servers en zullen verschillende security-gerelateerde investeringen doen", aldus het Exchange Team. Zo zal Microsoft "Modern authentication" aan on-premise Exchange Server-omgevingen gaan toevoegen. Het gaat hier om modernere authenticatiemethodes waarmee gebruikers op hun inbox kunnen inloggen. Later dit jaar komt het bedrijf met een tijdlijn voor de ondersteuning van Modern auth in de verschillende Outlook-clients. Verder zal Exchange Server 2019 volgend jaar TLS 1.3 gaan ondersteunen. bron: https://www.security.nl

Softwarebedrijf Atlassian waarschuwt organisaties voor een actief aangevallen zerodaylek in Confluence Server en Confluence Datacenter dat het mogelijk maakt om servers op afstand over te nemen en waarvoor nog geen beveiligingsupdates beschikbaar zijn. Hoelang er al misbruik van de kritieke kwetsbaarheid wordt gemaakt en tegen wie de aanvallen zijn gericht laat Atlassian niet weten. Confluence is een door Atlassian ontwikkeld wikiplatform waarmee teams van organisaties kunnen samenwerken. Het is mogelijk om Confluence in de cloud te hosten, maar ook op eigen servers of in een datacenter. De software voor de laatste twee opties bevat een kritiek beveiligingslek aangeduid als CVE-2022-26134. Via de kwetsbaarheid kan een ongeauthenticeerde aanvaller op afstand code uitvoeren. Aangezien een patch nog niet beschikbaar is geeft Atlassian geen verdere details over het beveiligingslek. Als tijdelijke oplossing adviseert Atlassian om toegang tot Confluence Server- en Data Center-installaties vanaf het internet te beperken of Confluence Server- en Data Center-installaties uit te schakelen. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security raadt organisaties aan om al het internetverkeer naar beide producten te blokkeren totdat er een update beschikbaar is. Securitybedrijf Volexity ontdekte de kwetsbaarheid nadat twee webservers van een klant waren gecompromitteerd. Via het beveiligingslek waren webshells op de servers geïnstalleerd waarmee aanvallers toegang tot de machines kunnen houden. Verder blijkt dat de aanvallers de gebruikerstabel uit de Confluence-database dumpten, webtoegang tot logbestanden aanpasten en aanvullende webshells installeerden. Volexity vermoedt dat de aanvallers vanuit China opereren. bron: https://www.security.nl

NAS-fabrikant QNAP heeft vandaag een gratis oplossing gelanceerd waarmee eigenaren van een NAS-apparaat hun WordPress-website kunnen back-uppen. 43 procent van alle websites op internet draait op WordPress. Volgens QNAP maken veel WordPress-gebruikers geen back-up van hun website omdat ze dit te lastig vinden, of vertrouwen op de back-updiensten van de hostingprovider. Daarbij zouden echter de risico's van beschadigde systemen of cyberaanvallen over het hoofd worden gezien. Met de Multi-Application Recovery Service (MARS) kunnen gebruikers hun WordPress-site back-uppen en weer terugzetten. Hiervoor is het eerst nodig om voor de WordPress-site een plug-in te installeren. Deze plug-in genereert een key waarmee de MARS-software die op het NAS-apparaat draait een back-up van de WordPress-site kan maken. "De toename van cyberaanvallen benadrukt het belang om websites te back-uppen", zegt Haru Lin van QNAP. "MARS maakt het back-uppen van websites zeer eenvoudig en is geoptimaliseerd voor het back-uppen van WordPress-bestanden naar een QNAP-NAS." bron: https://www.security.nl

Mozilla heeft een nieuwe versie van Firefox uitgebracht die gebruikers weer de keus geeft wat ze met te downloaden bestanden willen doen. Met de lancering van Firefox 97 werd het klassieke downloadvenster, waarbij gebruikers de vraag kregen wat ze met het bestand wilden doen, vervangen door een automatische download van het bestand. Volgens Mozilla was het niet meer nodig om een dialoogvenster te tonen, aangezien downloads meestal een bewuste actie van de gebruiker zijn. "Het voor een tweede keer klikken om een download te starten is meestal onnodig", aldus de Firefox-ontwikkelaar destijds. Gebruikers konden de instelling zo aanpassen dat er altijd werd gevraagd om het bestand op te slaan, maar dit kwam niet overeen met het klassieke downloadvenster. Met Firefox 101 is dit hersteld. Daarnaast zijn in de browser dertien kwetsbaarheden verholpen. Het gaat onder andere om een aantal geheugenlekken waarvan Mozilla vermoedt dat ze met voldoende moeite het mogelijk maken voor een aanvaller om willekeurige code op het systeem uit te voeren. Daarnaast was het mogelijk voor een kwaadaardig iframe bij het sluiten van de fullscreenmode om een spoofingaanval uit te voeren. Updaten naar Firefox 101 kan via de automatische updatefunctie van de browser of Mozilla.org. bron: https://www.security.nl

Microsoft heeft een publieke testversie van Windows Autopatch gelanceerd dat bedrijven moet helpen bij het up-to-date houden van hun systemen. Windows Autopatch is een gratis dienst bedoeld voor ondernemingen die met Windows 10/11 Enterprise E3 werken en zal updates voor Windows, Office, Teams en andere 365-apps automatisch installeren. Grote organisaties zullen in veel gevallen updates eerst testen voordat ze die onder hun gebruikers uitrollen. Met Windows Autopatch wordt dit proces voor Office- en Windows-updates geautomatiseerd. Het systeem zal updates eerst onder een klein aantal computers binnen de organisatie uitrollen en hiervan het effect bekijken. Wanneer er geen problemen zijn wordt de update onder een groter aantal computers verspreid, totdat alle machines up-to-date zijn. Wanneer er wel problemen met een update zijn is het mogelijk voor gebruikers om Autopatch te pauzeren, maar kan de service dit zelf ook doen. Afhankelijk van de situatie kan de betreffende update worden teruggedraaid. Autopatch kan zowel quality als feature-updates installeren, alsmede drivers en firmware-updates die via Windows Update worden aangeboden. Daarnaast installeert de tool ook noodpatches voor kritieke kwetsbaarheden die buiten de Patch Tuesday worden aangeboden. Microsoft heeft nu een "public preview" van Autopatch uitgebracht zoday systeembeheerders ermee bekend kunnen raken. Eenmaal actief kunnen systeembeheerders via het Windows Autopatch message center zien welke updates zijn geïnstalleerd en welke nog gepland staan. Wanneer de definitieve versie van Autopatch verschijnt is nog niet bekend. bron: https://www.security.nl

Maintainers van de vijfhonderd populairste npm-packages in de npm Registry zijn vanaf nu verplicht om op hun account in te loggen met tweefactorauthenticatie (2FA). Dat heeft GitHub aangekondigd. In februari werd de maatregel al ingesteld voor de honderd populairste npm-packages. Met de maatregel wil GitHub, dat eigenaar van npm is, naar eigen zeggen de veiligheid van de npm registry vergroten. Npm is de standaard package manager voor de JavaScript-omgeving Node.js en naar eigen zeggen het grootste softwarearchief ter wereld. Via de npm Registry biedt het een groot archief met openbare, besloten en commerciële packages. De afgelopen jaren verschenen geregeld malafide npm-packages in de Registry. In 2020 bleek dat meer dan negentig procent van npm-ontwikkelaars geen 2FA gebruikte om het eigen account te beveiligen. Om alle "high-impact" npm-packages te beschermen moeten de maintainers en uitgevers van deze packages via 2FA gaan inloggen. Dat geldt nu voor de top 500-packages. Van maintainers die op dit moment geen 2FA gebruiken is de websessie ingetrokken. Ze zullen eerst 2FA moeten instellen voordat ze bepaalde acties met hun account kunnen uitvoeren, zoals het wijzigen van e-mailadressen en toevoegen van nieuwe maintainers. GitHub.com Verder zal GitHub voor alle ontwikkelaars die op de één of andere manier bijdragen aan code op GitHub.com eind 2023 tweefactorauthenticatie (2FA) voor hun account verplichten. Volgens GitHub zijn accounts van softwareontwikkelaars geregeld het doelwit van aanvallen en is het beveiligen van deze accounts de eerste en belangrijkste stap in het beschermen van de software supply chain. "De meeste beveiligingsincidenten zijn niet het gevolg van exotische zeroday-aanvallen, maar eenvoudigere aanvallen zoals social engineering, wachtwoorddiefstal of -lekken en andere manieren waardoor aanvallers toegang tot accounts van slachtoffers krijgen en de middelen waar die toegang toe hebben", liet Mike Hanley van GitHub begin deze maand weten. Via gecompromitteerde accounts kunnen aanvallers code stelen of kwaadaardige aanpassingen aan code toevoegen. bron: https://www.security.nl