Captain Kirk

Een kwetsbaarheid in verschillende Cisco-switches maakt het mogelijk voor een aanvaller om zonder inloggegevens op afstand commando's met rootrechten uit te voeren. Het beveiligingslek doet zich alleen voor wanneer de NX-API feature is ingeschakeld, wat standaard niet het geval is. Cisco heeft beveiligingsupdates uitgebracht om het probleem te verhelpen. De NX-API is een webgebaseerde gebruikersinterface waarmee commando's zijn in te voeren die normaliter via de commandline worden ingevoerd. Naar de NX-API verstuurde gebruikersinvoer wordt echter niet goed gecontroleerd. Door het versturen van een speciaal geprepareerd HTTP POST request naar de NX-API van een kwetsbare switch kan een aanvaller commando's met rootrechten op het onderliggende besturingssysteem uitvoeren, aldus Cisco. De impact van de kwetsbaarheid, aangeduid als CVE-2022-20650, is op een schaal van 1 tot en met 10 met een 8.8 beoordeeld. Doordat de NX-API niet standaard staat ingeschakeld is de score iets lager dan normaliter het geval is bij dergelijke beveiligingslekken. Het probleem speelt bij de Nexus 3000, 5500, 5600, 6000 en 9000 switches. Cisco heeft updates beschikbaar gemaakt. bron: https://www.security.nl

Firewalls van fabrikant WatchGuard zijn het doelwit van een geavanceerde firmware-aanval waarbij aanvallers de systemen met persistente malware infecteren genaamd Cyclops Blink, zo waarschuwen de Amerikaanse en Britse autoriteiten, die van professioneel ontwikkelde malware spreken. Volgens de FBI, NSA, het Cybersecurity and Infrastructure Security Agency (CISA) en het Britse National Cyber Security Centre (NCSC) is de malware ontwikkeld door een groep genaamd Sandworm, die aan de Russische geheime dienst GRU gelieerd zou zijn. De Amerikaanse en Britse diensten denken dat Cyclops Blink de opvolger is van VPNFilter. Deze malware werd in 2018 ontdekt en had honderdduizenden routers van Linksys, MikroTik, NETGEAR en TP-Link en NAS-systemen van QNAP geïnfecteerd. De Cyclops Blink-malware, die sinds juni 2019 actief is, infecteert voor zover bekend alleen WatchGuard-firewalls. Het gaat dan specifiek om WatchGuard-apparaten waarvan remote management is ingeschakeld. Iets wat geen standaardinstelling is. Hoe de aanvallers toegang tot de firewall krijgen is onbekend. Wel is duidelijk dat ze het legitieme updateproces gebruiken om malafide firmware te installeren. "De ontwikkelaars hebben duidelijk het firmware-updateproces van de WatchGuard Firebox gereverse engineerd en een specifieke zwakte in dit proces gevonden, namelijk de mogelijkheid om de HMAC-waarde gebruikt voor het verifiëren van een firmware-update-image opnieuw te berekenen", aldus het NCSC (pdf). Op deze manier kunnen de aanvallers de WatchGuard-firewall blijvend besmetten, aangezien de infectie in de firmware aanwezig is. Volgens het NCSC is Cyclops Blink professioneel ontwikkelde en zeer geavanceerde malware. Organisaties die van WatchGuard-firewalls gebruikmaken moeten ervan uitgaan dat alle wachtwoorden op het apparaat zijn gecompromitteerd. WatchGuard stelt dat minder dan 1 procent van de firewalls vermoedelijk besmet is geraakt. Vooralsnog lijkt er geen data via de gecompromitteerde firewalls te zijn gestolen. WatchGuard heeft een detectietool ontwikkeld en geeft op deze pagina meer informatie van organisaties kunnen doen om de malware op hun apparaten te detecteren en verwijderen. bron: https://www.security.nl

De Shadowserver Foundation, een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich met de bestrijding van botnets en cybercrime bezighoudt, is begonnen met het dagelijks scannen van industriële controlesystemen (ICS). Dit moet organisaties en bedrijven helpen bij het beveiligen van hun systemen. Voor de eerste scan werd er gekeken naar services en systemen die het Modbus TCP-protocol op poort 502 gebruiken. Dit is een datacommunicatieprotocol ontwikkeld voor industriële systemen. "Het is onwaarschijnlijk dat dergelijke systemen vanaf het internet toegankelijk moeten zijn. Dus tenzij je een honeypot draait is het advies om meteen in actie te komen en toegang te blokkeren", aldus Shadowserver. De scan van de non-profit leverde in totaal 6300 systemen op die vanaf het internet toegankelijk zijn. In de meeste gevallen ging het om industriële systemen van Schneider Electric en ABB in de Verenigde Staten, Spanje en Zweden. Shadowserver deelt de data onder andere met opsporingsdiensten, internetproviders en 120 nationale computer security incident response teams in 148 landen. Zo kunnen deze partijen weer op hun beurt de getroffen organisaties benaderen. De non-profit meldt via Twitter dat er meer dagelijkse ICS-scans en rapporten zullen volgen. bron: https://www.security.nl

Een kwetsbaarheid in de webmailsoftware Horde maakt het mogelijk voor aanvallers om accounts door middel van een malafide e-mail over te nemen en in het ergste geval controle over de server te krijgen. Een beveiligingsupdate is nog niet beschikbaar, ook al werd het probleem zes maanden geleden bij de ontwikkelaars gemeld. Tal van organisaties maken gebruik van Horde voor het aanbieden van webmail aan hun gebruikers. Daarnaast wordt Horde ook meegeleverd als onderdeel van de hostingoplossing cPanel, waarmee veel organisaties hun websites beheren. De kwetsbaarheid werd ontdekt door securitybedrijf SonarSource en is al negen jaar lang in de code van de webmailsoftware aanwezig. Het gaat om een stored cross-site scripting-lek dat via de previewfunctie van de webmail is te misbruiken. Hiervoor zou een aanvaller een speciaal geprepareerd OpenOffice-document als bijlage moeten versturen. Zodra Horde dit document omzet naar XHTML voor een previewweergave, kan kwaadaardige JavaScript in het document worden uitgevoerd. Daarmee kan de aanvaller toegang tot de sessie van de gebruiker krijgen en zo ontvangen en verstuurde e-mails inzien. Horde wordt standaard geleverd met een beheerderspaneel, waarmee een beheerder willekeurige systeemcommando's op de Horde-server kan uitvoeren. Wanneer een aanvaller erin slaagt om een beheerder succesvol an te vallen, is het zo mogelijk om de webmailserver over te nemen. Het probleem werd op 26 augustus aan Horde gerapporteerd en een aantal dagen later door het ontwikkelteam bevestigd. Een beveiligingsupdate is echter nog altijd niet beschikbaar gemaakt. SonarSource heeft nu besloten details van de kwetsbaarheid openbaar te maken, alsmede een onofficiële oplossing die beheerders kunnen nemen om hun server te beschermen. Hiervoor moet aan het bestand config/mime_drivers.php een optie voor de OpenOffice mime handler worden toegevoegd. bron: https://www.security.nl

Cisco heeft beheerders van Firepower-firewalls gewaarschuwd voor een probleem met het ontvangen van dreigingsinformatie na 5 maart. De firewalls kunnen gebruikmaken van Talos Security Intelligence Updates die informatie bevatten over ip-adressen, domeinen en url's gebruikt voor onder andere malware, botnets en spam. Cisco-firewalls kunnen deze informatie automatisch toepassen, zodat beheerders het niet handmatig hoeven toe te voegen. De certificaatautoriteit die voor het signeren van de updates wordt gebruikt zal op 6 maart worden vervangen. Daardoor kunnen firewalls vanaf die datum geen dreigingsinformatie meer ontvangen, wat het "security posture" voor toekomstige dreigingen kan verslechteren, aldus Cisco in een waarschuwing aan klanten. De netwerkfabrikant roept beheerders op om naar een Firepower-versie te updaten waarin het probleem is verholpen. In het geval van Firepower 7.1.x zal deze update naar verwachting pas op 1 maart verschijnen, vier dagen voor de einddatum van de betreffende certificaatautoriteit, wat beheerders weinig tijd geeft om de update door te voeren. bron: https://www.security.nl

Aanvallers maken op dit moment actief misbruik van kwetsbaarheden in Zabbix om servers waarop de monitoringsoplossing draait over te nemen. Iets wat grote gevolgen voor bedrijven en organisaties kan hebben, aangezien het volledige overname van netwerken mogelijk maakt. Zabbix is een oplossing voor het monitoren van de it-infrastructuur, zoals netwerken, servers, virtual machines en clouddiensten. Het is vergelijkbaar met oplossingen als Pandora FMS en Nagios. Vanwege de populariteit, features en rol in het netwerk is Zabbix een aantrekkelijk doelwit voor aanvallers, aldus securitybedrijf SonarSource. Het bedrijf ontdekte een kritieke kwetsbaarheid in de monitoringsoplossing waardoor aanvallers beheerderstoegang tot de Zabbix-server kunnen krijgen en zelfs volledige netwerken kunnen overnemen. Op Zabbix-servers waar SAML SSO-authenticatie is ingeschakeld, wat niet standaard is, is het mogelijk voor aanvallers om de authenticatie te omzeilen en beheerder te worden. Dit wordt veroorzaakt door een onveilige manier waarop Zabbix op clients sessiedata opslaat. "De authenticiteit van de sessie wordt nooit gevalideerd wanneer andere velden dan sessionid worden benaderd. Aangezien cookies volledig worden beheerd door clients, hebben ze gewoon controle over de sessie", aldus de onderzoekers. Naast het feit dat SAML SSO-authenticatie moet zijn ingeschakeld, dient de aanvaller ook de gebruikersnaam van een Zabbix-gebruiker te weten. Dat is volgens de onderzoekers geen probleem, aangezien de Zabbix-frontend standaard met een Admin-gebruiker wordt geconfigureerd. De impact van de kwetsbaarheid, aangeduid als CVE-2022-23131, is op een schaal van 1 tot en met 10 met een 9.1 beoordeeld. Zodra aanvallers als beheerder op de Zabbix-server zijn ingelogd kunnen ze niet alleen willekeurige code op de Zabbix-server uitvoeren, maar ook op alle clients waarop de agent draait. Dit is de software waarmee Zabbix andere systemen monitort. Het uitvoeren van code via de agent zou wel moeten zijn geconfigureerd, wat standaard niet het geval is. Een andere mogelijkheid om clients via de agent aan te vallen is via een andere kwetsbaarheid in de Zabbix-software (CVE-2021-46088). SonarSource ontdekte ook een tweede probleem (CVE-2022-23134) waardoor het bestand setup.php niet alleen toegankelijk is voor super-administrators, maar ook voor ongeauthenticeerde gebruikers. Daardoor is het mogelijk om configuratiebestanden te overschrijven, ook al draait de Zabbix Web Frontend al. Door de configuratie naar een malafide database te laten wijzen kunnen aanvallers zo toegang tot het Zabbix-dashboard krijgen. De kwetsbaarheden werden op 18 november vorig jaar aan Zabbix gerapporteerd. Op 14 december verscheen een update, maar die bleek de problemen niet te verhelpen en kon worden omzeild. Op 22 december deed Zabbix een tweede poging die wel afdoende bleek. Op 29 december bracht het bedrijf een advisory uit. SonarSource publiceerde op 16 februari de details van beide kwetsbaarheden. Gisteren waarschuwde het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security voor actief misbruik van beide kwetsbaarheden en heeft federale overheidsinstanties in de VS verplicht de updates voor 8 maart te installeren. bron: https://www.security.nl

Google test op dit moment een nieuwe optie die het mogelijk voor Chrome-gebruikers maakt om opmerkingen aan opgeslagen wachtwoorden in de wachtwoordmanager toe te voegen. Dat ontdekte een lezer van Reddit. Enige tijd geleden introduceerde Google al de mogelijkheid om handmatig wachtwoorden aan de wachtwoordmanager toe te voegen. Door de nieuwe optie kunnen gebruikers opgeslagen wachtwoorden van allerlei opmerkingen voorzien, zoals wanneer het wachtwoord is opgeslagen of aanvullende informatie over de betreffende website of account. De feature is nu beschikbaar in Chrome Canary versie 101. Het gaat hier om een vroege testversie van de browser. De uiteindelijke release van Chrome 101 staat voor eind april of begin mei gepland. bron: https://www.security.nl

Criminelen maken actief misbruik van een kritieke kwetsbaarheid in beveiligingscamera's van fabrikant Hikvision. De apparaten worden onderdeel gemaakt van een botnet dat ddos-aanvallen uitvoert, maar zijn ook te gebruiken voor verdere aanvallen tegen het achterliggende netwerk, zo waarschuwt securitybedrijf Rapid7. Sinds vorig jaar september zijn er beveiligingsupdates voor het lek beschikbaar. De kwetsbaarheid, aangeduid als CVE-2021-36260, is aanwezig in de webserver van de Hikvision-camera's en wordt door een onvoldoende controle van gebruikersinvoer veroorzaakt. Door het versturen van speciaal geprepareerd request is het mogelijk voor een aanvaller om een onbeperkte rootshell op het apparaat te krijgen. De aanvaller hoeft daarbij niet over inloggegevens te beschikken. De enige voorwaarde om de aanval uit te voeren is dat een aanvaller toegang tot de ip-camera heeft. Er is ook geen interactie van de gebruiker vereist. Via de rootshell heeft de aanvaller volledige controle over de ip-camera en kan zo meekijken of malware installeren. Daarnaast is het mogelijk om vanaf de gecompromitteerde camera het achterliggende netwerk aan te vallen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 met een 9.8 beoordeeld. Via zoekmachine Shodan zijn meer dan drie miljoen Hikvision-apparaten te vinden. Hoewel alleen een subset van modellen kwetsbaar is, gaat het nog steeds om mogelijk veel kwetsbare camera's, meldt Rapid7. De camera's beschikken niet over een automatische updatefunctie en worden binnen het patchmanagement vaak vergeten, waardoor gebruikers en organisaties met kwetsbare apparaten blijven zitten, zo laat het securitybedrijf verder weten. Sinds afgelopen december maakt het ddos-botnet Moobot gebruik van de kwetsbaarheid om Hikvision-camera's te infecteren en voor ddos-aanvallen te gebruiken. Volgens Rapid7 is dat niet de grootste zorg. Een veel groter probleem is dat aanvallers de gecompromitteerde camera's als springplank voor aanvallen tegen het achterliggende netwerk kunnen gebruiken. "En omdat de camera geen manier heeft om interne malware te vinden en verwijderen, is het een ideale plek voor een aanvaller om zich te verbergen en aanvallen vandaan uit te voeren", aldus de onderzoekers. bron: https://www.security.nl

De logistieke gigant Expeditors is door een cyberaanval wereldwijd platgelegd. Het zou mogelijk om een ransomware-aanval gaan, maar dat is nog niet door het Fortune 500-bedrijf bevestigd. Expeditors telt meer dan 18.000 medewerkers in meer dan honderd landen. Het verzorgt logistieke en douanediensten voor lucht- en zeevracht. Het bedrijf had in het derde kwartaal van vorig jaar een omzet van 4,3 miljard dollar. Na ontdekking van de aanval besloot Expeditors de meeste systemen wereldwijd uit te schakelen. Daardoor is de bedrijfsvoering ernstig beperkt, aldus een verklaring. "Aangezien het nog zeer vroeg in het proces is, kunnen we geen voorspellingen doen wanneer we mogelijk weer operationeel zijn, maar we zullen updates verstrekken wanneer dit mogelijk is." Verder stelt Expeditors dat de cyberaanval voor een schadepost zal zorgen vanwege het onderzoek en herstel. Afhankelijk van de duur dat het bedrijf plat ligt kan het een aanzienlijke impact op de bedrijfsvoering, omzet en reputatie hebben, zo laat de verklaring verder weten. De aanval deed zich afgelopen zondag voor. Gisteren meldde het bedrijf via de eigen website dat de bedrijfsvoering nog altijd getroffen is. bron: https://www.security.nl

Bij het gebruik van Microsoft Teams, OneDrive en SharePoint door de Rijksoverheid en universiteiten zijn er verschillende privacyrisico's, zo blijkt uit onderzoek van de Haagse Privacy Company dat werd uitgevoerd in opdracht van het ministerie van Justitie en Veiligheid en SURF, de ict-inkooporganisatie van hogescholen en universiteiten. Dit is het derde onderzoek dat Privacy Company op deze diensten heeft uitgevoerd sinds Microsoft uitgebreide nieuwe privacy-afspraken heeft gemaakt met de Nederlandse overheid en de universiteiten voor alle werknemers. Voor het onderzoek werd gekeken naar de risico's van het verzamelen en verwerken van zogenaamde diagnostische gegevens. Het gaat dan om informatie over het individuele gebruik van de diensten, zoals wie er met Teams belt en wordt gebeld, aan een chat of intranetpagina toegevoegde afbeeldingen en het soort geschreven, gelezen en gedeelde documenten. Ook keek het onderzoek naar de privacyrisico’s van het gebruik van Microsofts cloud voor de inhoudelijke gegevens die via deze diensten zijn te delen. Het onderzoek leverde zes privacyrisico's op die als laag zijn geclassificeerd en een hoog privacyrisico bij het gebruik van Teams om zeer gevoelige en bijzondere categorieën gegevens te verwerken. De lage privacyrisico's bestaan onder andere uit het verlies van controle en oneigenlijke verdere verwerking vanwege de incidentele verwerking van padnamen, gebruikersnamen en e-mailadressen in specifieke telemetrieberichten over OneDrive, beperkingen op het recht van inzage en oneigenlijke verdere verwerking door derde partijen. Het hoge privacyrisico bij het gebruik van Teams doet zich voor vanwege de mogelijke toegang door Amerikaanse opsporings- en veiligheidsdiensten. Het gaat dan specifiek om bijzondere persoonsgegevens die niet met een eigen sleutel zijn versleuteld. "De belangrijkste maatregel die organisaties in Europa kunnen nemen tegen dit risico van massasurveillance is het versleutelen van de gegevens met een eigen sleutel, waar ook een leverancier zoals Microsoft geen toegang toe heeft", aldus Privacy Company. Volgens de onderzoekers zouden organisaties geen gevoelige of bijzondere persoonsgegevens via Teams mogen uitwisselen, tenzij de gegevens van nature openbaar zijn, omdat zij geen controle hebben over de encryptiesleutels. Om gevoelige en bijzondere persoonsgegevens te beschermen in OneDrive en SharePoint kunnen organisaties gebruik maken van Microsofts Double Key Encryption (DKE). Conclusie Privacy Company stelt in de conclusie dat Microsoft meer aanpassingen en verbeteringen moet doorvoeren om het hoge privacyrisico en de zes vastgestelde lage risico's te beperken. Zo moet het techbedrijf bekendmaken wanneer end-to-end encryptie voor alle Teams-uitwisselingen beschikbaar is. Ook moet Microsoft ervoor zorgen dat standaardinstellingen privacyvriendelijk zijn. Onlangs kondigden de Europese privacytoezichthouders (EDPB) een groot onderzoek aan naar het gebruik van clouddiensten door overheidsinstanties. "Als de EDPB het risico van doorgifte toch hoger zou inschatten, zelfs nadat Microsoft de EU Data Boundary heeft voltooid, kunnen organisaties in Nederland eigenlijk geen gebruik meer maken van diensten van Amerikaanse providers, en heeft dit veel grotere gevolgen dan alleen het gebruik van deze Microsoft-diensten", zo waarschuwen de onderzoekers. Naast het onderzoek geeft Privacy Company ook tips voor het instellen van Microsofts clouddiensten. bron: https://www.security.nl

De Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert, gaat vanaf volgende maand alle houders van opgezegde .nl-domeinnamen waarschuwen wanneer het domein nog mailverkeer ontvangt. Dit zou datalekken moeten voorkomen. De proef duurt een jaar en registrars krijgen de mogelijkheid om zich af te melden. De afgelopen jaren vonden er meerdere datalekken plaats doordat organisaties domeinnamen opzegden waar nog steeds e-mail naar werd toegestuurd, en deze domeinnamen door iemand anders werden geregistreerd. SIDN heeft een systeem ontwikkeld genaamd Lemmings (deLetEd doMain MaIl warNinG System) dat dergelijke datalekken moet voorkomen. Opgezegde .nl-domeinnamen worden na een afkoelperiode van veertig dagen voor iedereen beschikbaar. Lemmings kijkt naar het dns-verkeer dat van dag 20 tot dag 30 in deze periode naar het opgezegde domeinnaam wordt verstuurd. Het berekent voor elke domeinnaam een aantal statistieken, zoals het aantal ontvangen mx-query's per dag. Op basis van de analyse wordt er op dag 30 van de quarantaineperiode automatisch een waarschuwing naar de voormalige houder gestuurd dat er nog legitieme mail naar de domeinnaam gaat. Onder legitieme mail verstaat SIDN alle mail die door een persoon of entiteit gericht is verstuurd naar een ontvanger en geen onderdeel uitmaakt van een grotere campagne. Zo worden spam, marketingmail, socialmedia en bulk-email niet als legitiem gezien. Daarnaast analyseert Lemmings of een opgeheven domeinnaam mogelijk in gebruik was door een bedrijf of organisatie waarvoor bijvoorbeeld privacy bijzonder belangrijk is. Het gaat dan bijvoorbeeld om zorginstelling of een advocatenkantoor. Op basis van een algoritme worden domeinnamen automatisch in een risicocategorie ingedeeld. Hiervoor maakt het systeem gebruik van een lijst met trefwoorden, zoals 'huisarts' of 'advocatenkantoor'. Wanneer de domeinhouder op dag dertig een waarschuwing ontvangt heeft hij nog tien dagen de mogelijkheid om de domeinnaam eventueel uit quarantaine te halen, of andere acties te ondernemen. SIDN benadrukt dat het in het dns-verkeer niets kan zien met betrekking tot het daadwerkelijke mailverkeer, dus ook niet de inhoud van de mail, het onderwerp of de naam van de afzender of de ontvanger. Tijdens twee proeven die vorig jaar plaatsvonden werd in totaal voor 1408 domeinen een waarschuwing verstuurd. Daarvan werden er vijf weer uit quarantaine gehaald. Dat is 0,4 procent van alle gewaarschuwde domeinnamen. Van alle .nl-domeinnamen die in dezelfde periode opgezegd werden, werd maar 0,2 procent weer uit quarantaine gehaald. Op basis van deze proeven heeft SIDN nu besloten om het systeem voor alle .nl-domeinen in te zetten. Het gaat om een proef die een jaar zal duren en meer informatie over de impact van het systeem moet opleveren. Deze derde proef zal naar verwachting in maart starten. Registrars die niet mee willen doen krijgen de optie om zich af te melden. Uiterlijk twee weken voor de start van de nieuwe proef zal SIDN .nl-registrars hierover informeren. bron: https://www.security.nl

Soms kan het zijn dat door een doorgevoerde update je de modem in de ochtend even moet resetten. Ik weet niet hoe KPN hier de klant van op de hoogte brengt. Van Ziggo krijg ik altijd van te voren een melding wanneer er werkzaamheden zijn en mogelijk je de modem in de ochtend even moet resetten. Dus ja, het zou kunnen.

WordPress heeft op 2,8 miljoen websites die gebruikmaken van de UpdraftPlus-plug-in een beveiligingsupdate geïnstalleerd. Via de kwetsbaarheid kan een aanvaller toegang tot databaseback-ups krijgen, die gebruikersnamen en gehashte wachtwoorden kunnen bevatten. UpdraftPlus is een plug-in voor het maken van back-ups van WordPress-sites naar de cloud. Zo is het mogelijk om direct een back-up in bijvoorbeeld Dropbox of Google Drive op te slaan. Een kwetsbaarheid in de plug-in maakt het mogelijk voor gebruikers met een account, waaronder het allerlaagste subscriber-niveau, om back-ups van de website te downloaden. De kwetsbaarheid, aangeduid als CVE-2022-0633, werd gevonden door securitybedrijf Jetpack. De ontwikkelaars van UpdraftPlus werden op 14 februari over het probleem ingelicht en kwamen op 16 februari met versie 1.22.3 waarin het probleem is verholpen. Vervolgens werd door WordPress tot "forced auto-updates" besloten. UpdraftPlus is op meer dan drie miljoen websites geïnstalleerd. Uit cijfers van WordPress blijkt dat zo'n 2,8 miljoen websites de update inmiddels hebben ontvangen. Het komt zelden voor dat WordPress een update geforceerd uitrolt. Vorig jaar deed het dit onder andere voor lekken in een WooCommerce-plug-in en de Jetpack-plug-in.

Er is een nieuwe versie van de browser Opera verschenen die gevoelige data in het clipboard beschermt tegen aanpassingen door externe applicaties. Vorig jaar bleek dat criminelen door middel van malware die het clipboard aanpast honderdduizenden euro's wisten te stelen. Gebruikers van cryptovaluta die een betaling willen doen of geld naar een andere wallet willen overmaken kopiëren hiervoor vaak het walletadres van de begunstigde en plakken dat vervolgens in een veld op de transactiepagina. Op dat moment bevindt het adres zich in het clipboard van de computer. Malware op de computer kan het adres aanpassen, waardoor de aanvaller het geld ontvangt. Opera zegt dat het met "Paste Protection" een manier heeft gevonden om gebruikers te beschermen tegen het aanpassen van hun clipboard. Wanneer gebruikers gevoelige data kopiëren monitort Opera de data op aanpassingen tot de gebruiker die plakt. Wanneer een externe applicatie de data in het clipboard wijzigt toont de browser een waarschuwing. De feature verscheen eerder in een ontwikkelaarsversie en is nu beschikbaar in Opera 84.

Onderzoekers van securitybedrijf Qualys hebben een kwetsbaarheid in Ubuntu gevonden waardoor een ongeprivilegieerde gebruiker rootrechten kan krijgen. Er zijn updates uitgebracht om het probleem te verhelpen. De kwetsbaarheid, aangeduid als CVE-2021-44731 en "Oh Snap! More Lemmings", is aanwezig in Snap, een door Canonical ontwikkelde packagemanager voor Linux. De packages worden snaps genaamd en zijn via de tool snapd te gebruiken. Ze werken op allerlei Linux-distributies en maken het mogelijk voor softwareontwikkelaars om hun applicaties direct onder gebruikers te verspreiden. Snaps zijn 'self-contained' applicaties die binnen een eigen sandbox draaien. Snapd maakt gebruik van het SUID-root programa snap-confine om de omgeving voor snap-applicaties te genereren. Vanwege de 31ste verjaardag van het computerspel Lemmings besloot Qualys de kwetsbaarheid hiernaar te vernoemen. Het beveiligingslek wordt veroorzaakt door een zogeheten race-condition in snap-confine waardoor een lokale gebruiker zonder rechten uiteindelijk code met rootrechten kan uitvoeren, zoals hieronder wordt uitgelegd. De standaardinstallatie van Ubuntu Desktop is kwetsbaar. In het geval van Ubuntu Server gaat het om een "bijna" standaardinstallatie, aldus de onderzoekers. Ubuntu werd op 27 oktober vorig jaar over het lek ingelicht en kwam begin deze maand met updates.

Nog een aantal weken en dan verschijnt versie 100 van Google Chrome en Mozilla Firefox en het driecijferige versienummer kan voor problemen met websites zorgen. Daarvoor waarschuwt Mozilla. Browsers versturen bij het bezoeken van websites de User-Agent string, die informatie over de browser en het systeem van de gebruiker bevat, waaronder het versienummer van de browser. Webontwikkelaars gebruiken allerlei technieken om deze strings te verwerken, van zelfontwikkelde code tot parsing libraries. De overstap van een tweecijferig versienummer naar een driecijferig versienummer kan voor problemen met het laden en functioneren van websites zorgen wanneer websites een tweecijferig versienummer verwachten en er een driecijferig versienummer wordt verstuurd. Bij de overstap van een eencijferig versienummer naar een tweecijferig versienummer, zo'n twaalf jaar geleden, zorgde dit voor allerlei problemen. Sindsdien hebben libraries de logica verbeterd, waardoor wordt verwacht dat de overstap naar een driecijferig versienummer minder grote gevolgen zal hebben. Zowel Google als Mozilla hebben inmiddels tests uitgevoerd om eventuele problemen te identificeren en verhelpen. Wanneer blijkt dat versienummer 100 voor grootschalige problemen zorgt kan Mozilla besluiten om op versienummer 99 terug te vallen. Iets dat ook Google zal doen. Tot de release van Chrome 100 op 29 maart en Firefox 100 op 3 mei worden webontwikkelaars opgeroepen om hun websites en webapplicaties te testen en waar nodig aan te passen. bron: https://www.security.nl

QNAP gaat verschillende NAS-systemen die end-of-life zijn en zodoende niet meer worden ondersteund tot het einde van dit jaar van kritieke beveiligingsupdates voorzien. Dit moet gebruikers tegen "evoluerende securitydreigingen" beschermen en ze meer tijd geven om hun NAS-systeem te upgraden. QNAP voorziet NAS-systemen normaliter vier jaar na de end-of-life datum van beveiligingsupdates. Voor sommige van deze systemen heeft de NAS-fabrikant besloten om tot oktober van dit jaar beveiligingsupdates uit te blijven brengen. Het gaat om NAS-apparaten die over een x86 64-bit of ARM-processor beschikken en QTS 4.2.6, 4.3.3, 4.3.6 of 4.4.1 draaien. De ondersteuning van deze NAS-modellen is wel beperkt tot beveiligingsupdates die als "high" en "kritiek" zijn aangemerkt. Verder adviseert QNAP dat eigenaren van een end-of-life systeem het NAS-apparaat niet met internet verbinden. bron: https://www.security.nl

Google heeft voor de eerste keer dit jaar een beveiligingsupdate uitgebracht voor een actief aangevallen zerodaylek in Chrome. Net als bij vorige updates geeft Google geen details over de doelwitten van deze aanvallen en hoe ze precies plaatsvinden. Vorig jaar kreeg Google nog met een recordaantal zerodaylekken in Chrome te maken. Het beveiligingslek, aangeduid als CVE-2022-0609, bevindt zich in het "Animations" onderdeel van de browser. De impact van de kwetsbaarheid is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Het beveiligingslek is op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Het lek werd gevonden door Googles Threat Analysis Group. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. Naast het aangevallen zerodaylek zijn in de nieuwste Chrome-versie ook verschillende andere kwetsbaarheden verholpen, waarvan de impact maximaal als "high" is bestempeld. Gebruikers krijgen het advies om te updaten naar Google Chrome 98.0.4758.102, die beschikbaar is voor Linux, macOS en Windows. Dit zal op de meeste systemen automatisch gebeuren. Microsoft Edge Chromium is net als Chrome op de Chromium-browser gebaseerd. Naar verwachting zal Microsoft snel met een update voor de eigen browser komen. bron: https://www.security.nl

De Duitse hackersclub CCC (Chaos Computer Club) heeft tijdens eigen onderzoek meer dan vijftig datalekken gevonden waarbij onderzoekers toegang tot meer dan 6,4 miljoen persoonsgegevens hadden. Het zou ook gaan om een datalek bij het Nederlandse ministerie van Volksgezondheid. De gegevens, onder andere van klanten, passagiers, sollicitanten en patiënten, waren eenvoudig te vinden, aldus de CCC. Het ging onder andere om onbeveiligde MySQL-servers en Elasticsearch-installaties, alsmede publiek toegankelijke Git-repositories en Symfony-profilers, een PHP-ontwikkeltool. Naast persoonsgegevens troffen de onderzoekers ook private keys en access tokens voor clouddiensten aan. Bij de helft van de onbeveiligde diensten en systemen was het direct mogelijk om persoonsgegevens te benaderen. De CCC waarschuwde de getroffen instanties, waarvan driekwart de hackersclub bedankte en gevonden problemen verhielp. Tien procent reageerde niet maar verhielp het probleem wel. "Het is ontnuchterend hoe onzorgvuldig sommige bedrijven met hun data, of erger, met de data van hun klanten omgaan", zegt CCC-woordvoerder Matthias Marx. De CCC doet verschillende aanbevelingen voor het beveiligen van gegevens, zoals het veilig omgaan met access tokens voor clouddiensten. Ook wordt aangeraden om testsystemen niet vanaf het internet toegankelijk te maken en niet met echte gebruikersgegevens te testen. Verder horen back-ups, logbestanden en gevoelige configuratiebestanden niet in openlijke toegankelijke directories van webservers te staan. Onder de getroffen organisaties bevinden zich het Nederlandse ministerie van Volksgezondheid, BMW, Deutsche Bahn, Deutsche Post, Deutsche Telekom, de Duitse Krijgsmacht, MediaMarkt en Nestle, zo blijkt uit het overzicht date de CCC online zette. Details over het soort datalek bij deze organisaties zijn niet gegeven. bron: https://www.security.nl

Adobe heeft beveiligingsupdates uitgebracht voor een actief aangevallen zerodaylek in Adobe Commerce, dat eerder nog bekendstond als Magento Commerce. Dezelfde kwetsbaarheid is ook verholpen in Magento Open Source. Adobe Commerce en Magento Open Source zijn software waarop honderdduizenden webshops draaien. Volgens Adobe hebben aanvallers misbruik gemaakt van een kwetsbaarheid in beide softwarepakketten, aangeduid als CVE-2022-24086. Het beveiligingslek is gebruikt bij "zeer beperkte gericht aanvallen" tegen webwinkels die op Adobe Commerce draaien. Het niet goed controleren van invoer is de oorzaak van de kwetsbaarheid, wat een aanvaller willekeurige code laat uitvoeren. Hierdoor is het mogelijk om de webshop over te nemen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 met een 9.8 beoordeeld. Zo heeft een aanvaller geen inloggegevens nodig. Adobe adviseert webshopbeheerders om de beveiligingsupdate zo snel mogelijk te installeren, waarbij Adobe als voorbeeld een installatie binnen 72 uur geeft. bron: https://www.security.nl

Nu al bijna 20 jaar rookvrij. Maar blijft soms lastig. Van toen stevige roker naar in één keer gestopt. Nog steeds blij dat ik gestopt ben.

Google mag third-party trackingcookies in Chrome pas na toestemming van de Britse mededingsautoriteit CMA verwijderen, zo laat de toezichthouder vandaag weten. De CMA startte begin vorig jaar een onderzoek naar het plan van Google om third-party cookies in Chrome te verwijderen en te vervangen door een 'Privacy Sandbox'. Volgens de waakhond kan Googles plan grote gevolgen voor nieuwswebsites en de digitale advertentiemarkt hebben. In 2019 kondigde Google de 'Privacy Sandbox' aan, een oplossing waarbij gebruikers gerichte advertenties te zien krijgen, maar ook hun privacy zou worden beschermd. Volgens het techbedrijf zijn third-party cookies de voornaamste manier om internetgebruikers op het web te volgen. Vanwege de privacygevolgen hiervan zijn verschillende browsers inmiddels begonnen met het blokkeren van third-party cookies. Iets dat volgens Google negatieve gevolgen voor adverteerders heeft en het businessmodel van websites ondermijnt. Toch stelt het bedrijf dat deze functionaliteit uiteindelijk moet worden verwijderd, maar dit op een verstandige manier moet gebeuren. Als oplossing presenteerde Google de Privacy Sandbox. Die zou ervoor moeten zorgen dat websites geld aan gerichte advertenties kunnen blijven verdienen terwijl gelijkertijd de privacy van gebruikers wordt beschermd. De CMA maakte zich zorgen dat de voorstellen van Google er uiteindelijk voor zouden zorgen dat meer online advertentie-uitgaven bij het techbedrijf terecht zouden komen en de concurrentie zou worden verzwakt. Ook zouden de voorstellen de mogelijkheid ondermijnen van online uitgevers, zoals kranten, om inkomsten te genereren en content te blijven publiceren, wat het nieuwsaanbod zou aantasten. Op basis van het onderzoek en overleg met Google hebben de CMA en het techbedrijf een akkoord over de Privacy Sandbox bereikt. Google zal third-party cookies pas mogen verwijderen wanneer de Britse mededingingsautoriteit tevreden is dat de mededingszorgen die het heeft zijn weggenomen. Wanneer de CMA niet tevreden is kan het verdere acties ondernemen. Verder zal Google de CMA en Britse privacytoezichthouder ICO bij de ontwikkeling en het testen van Privacy Sandbox-voorstellen betrekken, om er zo voor te zorgen dat die zowel de concurrentie als privacy beschermen. Tevens zal Google transparanter werken, onder andere in het publiceren van testresultaten. Daarnaast houdt de CMA de mogelijkheid om Google te verplichten gevonden problemen te verhelpen. Google moet ook het delen van data binnen het eigen ecosysteem beperken zodat het geen voordeel ten opzichte van de concurrentie heeft wanneer third-party cookies uiteindelijk worden verwijderd. Als laatste wordt er een partij aangewezen die naast de CMA zal werken en ervoor gaat zorgen dat Google aan alle verplichtingen voldoet. Google laat in een reactie weten dat het hoopt dat de nu aangekondigde plannen en werkwijze tot een nieuwe framework zullen leiden. bron: https://www.security.nl

De populaire adblocker uBlock Origin heeft een nieuwe optie gekregen waardoor gebruikers netwerkverkeer meteen kunnen toestaan. Standaard blokkeert de adblocker dit namelijk, zo meldt ontwikkelaar Raymond Hill. UBlock maakt gebruik van filterlijsten voor het blokkeren van advertenties en trackers. Standaard blokkeert de adblocker al het netwerkverkeer totdat de filterlijsten zijn geladen. Dit moet ervoor zorgen dat websites adequaat worden gefilterd. De nieuwe instelling die aan uBlock Origin 1.41.0 is toegevoegd maakt het mogelijk om deze optie uit te schakelen. Dit heeft als voordeel dat gebruikers niet hoeven te wachten totdat de filterlijsten zijn geladen, maar kan er ook voor zorgen dat websites niet goed worden gefilterd, aldus Hill. UBlock Origin is beschikbaar voor Google Chrome, Chromium, Edge, Opera, Firefox en Safari voor versie 13. Zo heeft de Chrome-versie meer dan 10 miljoen gebruikers. Met meer dan 5,5 miljoen gebruikers is het de op één na meestgebruikte Firefox-extensie, achter Adblock Plus. Verder maken meer dan 4 miljoen Edge-gebruikers gebruik van de extensie. bron: https://www.security.nl

Ruim twintigduizend WordPress-sites zijn kwetsbaar door een lek in de plug-in PHP Everywhere waardoor aanvallers websites op afstand kunnen overnemen. PHP Everywhere is een plug-in voor WordPress-sites die het mogelijk maakt om PHP-code op onder andere pagina's, posts en de sidebar te gebruiken. De plug-in is op meer dan dertigduizend WordPress-sites geïnstalleerd. Drie kwetsbaarheden in de plug-in maken het mogelijk voor geauthenticeerde gebruikers van elk niveau, waaronder abonnees en klanten, om willekeurige PHP-code op de website uit te voeren en die zo over te nemen. De impact van de drie kwetsbaarheden is op een schaal van 1 tot en met 10 met een 9.9 beoordeeld. De beveiligingslekken werden op 4 januari door securitybedrijf Wordfence aan de ontwikkelaar gerapporteerd. Op 12 januari kwam de ontwikkelaar met PHP Everywhere versie 3.0.0 waarin de drie kwetsbaarheden zijn verholpen. Uit cijfers van WordPress blijkt dat deze versie pas op een kleine 31 procent van de WordPress-sites is geïnstalleerd, wat inhoudt dat nog ruim twintigduizend WordPress-sites risico lopen. Beheerders wordt aangeraden om naar de nieuwste versie te updaten. bron: https://www.security.nl

Onderzoekers hebben honderden webwinkels ontdekt die via een kwetsbare plug-in besmet zijn geraakt met malware die creditcardgegevens van klanten steelt. Daarnaast blijkt dat de webshops niet alleen een kwetsbare plug-in gebruiken, maar ook op webwinkelsoftware draaien die al ruim anderhalf jaar niet meer wordt ondersteund. Dat meldt securitybedrijf Sansec op basis van eigen onderzoek. De webwinkels in kwestie maken gebruik van Magento, populaire software waarop honderdduizenden webshops draaien. De eerste versie van Magento wordt sinds juni 2020 niet meer ondersteund, waardoor ontdekte beveiligingslekken geen updates meer krijgen. Sansec ontdekte vorige meer dan vijfhonderd webwinkels, draaiend op Magento 1, die met malware waren geïnfecteerd. De cijfers worden bevestigd door anti-malwarebedrijf Malwarebytes. De malware steelt creditcardgegevens en andere klantdata die klanten op de betaalpagina invoeren. Verder onderzoek wees uit dat de aanvallers gebruikmaakten van een kwetsbaarheid in een plug-in genaamd Quickview. Deze plug-in laat klanten producten bekijken zonder de betreffende productpagina te openen. Via het beveiligingslek in de plug-in is het mogelijk om malafide Magento-beheerders aan de webshop toe te voegen, maar kan er ook code direct op de onderliggende server van de webwinkel worden uitgevoerd. Naast het toevoegen van malafide code aan de betaalpagina van de webwinkel die allerlei klantgegevens buitmaakt voegen de aanvallers ook een backdoor toe om toegang tot de webshop te behouden. Bij één webshop installeerde de aanvaller zelfs negentien backdoors, aldus de onderzoekers. Die merken op dat nog altijd duizenden webwinkels van Magento 1 gebruikmaken. bron: https://www.security.nl