Captain Kirk

Certificaatautoriteit Let's Encrypt, dat dit jaar het tienjarig bestaan viert, heeft voor het eerst een tls-certificaat met een levensduur van zes dagen uitgegeven. Let's Encrypt verstrekte het certificaat aan zichzelf en besloot om het meteen in te trekken. "Dit is de eerste stap om certificaten met een kortere levensduur voor gebruikers beschikbaar te maken", aldus Josh Aas, directeur van de Internet Security Research Group (ISRG), de organisatie achter Let's Encrypt. Volgens Aas zijn certificaten met een korte levensduur goed voor de veiligheid. Hoe langer de levensduur van een certificaat, hoe meer kans op misbruik. Op dit moment zijn de door Let's Encrypt uitgegeven tls-certificaten negentig dagen geldig. Certificaten die maar zes dagen geldig zijn zouden de periode dat misbruik kan plaatsvinden drastisch verminderen, omdat ze juist zo snel verlopen, liet Aas vorige maand weten. De volgende stap in het proces is om de 'shorter-lived' certificaten voor een klein aantal gebruikers beschikbaar te maken. Dit zou in het tweede kwartaal van dit jaar moeten gebeuren. Het is uiteindelijk de bedoeling dat eind dit jaar alle Let's Encrypt-gebruikers certificaten kunnen aanvragen die zes dagen geldig zijn. Certificaten die negentig dagen geldig zijn blijft de certificaatautoriteit ook gewoon aanbieden. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Microsoft Bing maakte remote code execution mogelijk, zo heeft Microsoft laten weten. Het techbedrijf heeft de kwetsbaarheid verholpen en Bing-gebruikers hoeven geen actie te ondernemen. Microsoft kwam gisterenavond met een beveiligingsbulletin waarin het het bestaan van de kwetsbaarheid bekendmaakt. "Ontbrekende authenticatie voor kritieke functie in Microsoft Bing laat een ongeautoriseerde aanvaller code over een netwerk uitvoeren", aldus de summiere omschrijving. Verdere details worden niet gegeven, zoals hoe misbruik zou kunnen plaatsvinden. De impact van het beveiligingslek (CVE-2025-21355) is op een schaal van 1 tot en met 10 beoordeeld met een 8.6. bron: https://www.security.nl

Microsoft heeft een actief aangevallen kwetsbaarheid in Power Pages gedicht waardoor een aanvaller zijn rechten kon verhogen en mogelijk de 'user registration control' omzeilen. Sinds wanneer aanvallers misbruik van het beveiligingslek maken laat Microsoft niet weten. Microsoft Power Pages is een SaaS (Software-as-a-service) platform waarmee gebruikers en organisaties eenvoudig websites kunnen maken en hosten. Power Pages maakt gebruik van een role based access control (RBAC) model om het toegangsniveau van gebruikers te beheren. Daarbij wordt er gewerkt met anonieme en geauthenticeerde gebruikers. Gisterenavond kwam Microsoft met een beveiligingsbulletin waarin het voor de aangevallen kwetsbaarheid waarschuwt en stelt dat een update inmiddels voor de clouddienst is uitgerold. Details over het beveiligingslek (CVE-2025-24989), het waargenomen misbruik en aantal getroffen organisaties geeft Microsoft niet. Het techbedrijf zegt dat het alle getroffen klanten inmiddels heeft gewaarschuwd. De kwetsbaarheid zou door een eigen medewerker zijn ontdekt. bron: https://www.security.nl

Mozilla heeft opnieuw besloten om Firefox langer te blijven ondersteunen op Windows 7, Windows 8 en en oudere macOS-versies. Oorspronkelijk zou de ondersteuning tot en met maart lopen, maar op basis van het aantal Windows 7-gebruikers is besloten de support met nog eens zes maanden te verlengen tot en met september dit jaar. Microsoft stopte de ondersteuning van Windows 7 op 14 januari 2020. Volgens cijfers van Mozilla werkt bijna acht procent van de Firefox-gebruikers nog met Windows 7. De ondersteuning zal echter beperkt zijn tot alleen kritieke beveiligingsupdates en 'kwaliteitsfixes'. Wanneer het einde van de nieuwe supportperiode zich aandient zal Mozilla opnieuw een beslissing nemen of het de ondersteuning stopzet of nogmaals verlengt. bron: https://www.security.nl

Aanvallers maken actief misbruik van drie kwetsbaarheden in firewalls van Palo Alto Networks om kwetsbare apparaten te compromitteren, zo laat de leverancier weten, die van de 'hoogste urgentie' spreekt. Bij de aanvallen worden drie kwetsbaarheden gecombineerd, namelijk CVE-2025-0111, CVE-2025-0108 en CVE-2024-9474. Updates voor de eerste twee kwetsbaarheden zijn sinds vorige week beschikbaar. Voor CVE-2024-9474 verscheen op 18 november een patch. Securitybedrijf GreyNoise meldde al op 13 februari dat CVE-2025-0108 actief bij aanvallen werd ingezet. Via het beveiligingslek kan een ongeauthenticeerde aanvaller de authenticatie van de managementinterface omzeilen en bepaalde PHP-scripts aanroepen. Dit maakt het niet mogelijk om code uit te voeren, maar kan wel de integriteit en vertrouwelijkheid van PAN-OS negatief beïnvloeden, aldus het beveiligingsbulletin. CVE-2025-0111 laat een aanvaller bepaalde bestanden lezen en CVE-2024-9474 laat een aanvaller met admintoegang acties met rootrechten uitvoeren. PAN-OS is het besturingssysteem dat op de firewalls van Palo Alto Networks draait. Verschillende PAN-OS-versies zijn kwetsbaar. Om de aanval uit te kunnen voeren moet een aanvaller de managementinterface van de firewall kunnen benaderen. Iets wat bij duizenden firewalls het geval blijkt te zijn. Wanneer organisaties toestaan dat externe ip-adressen de managementinterface van hun firewall kunnen benaderen is de impact van CVE-2025-0108 op een schaal van 1 tot en met 10 beoordeeld met een 8.8. De overige twee kwetsbaarheden hebben een lagere impactscore. Palo Alto Networks heeft de drie beveiligingsbulletins vandaag van een update voorzien en meldt nu dat aanvallers de drie kwetsbaarheden combineren om zo kwetsbare firewalls aan te vallen. bron: https://www.security.nl

Verschillende kwetsbaarheden in UniFi Protect-camera's van fabrikant Ubiquiti en de bijbehorende applicatie maken remote code execution, het installeren van malafide firmware en het overnemen van de apparaten mogelijk. Er zijn updates uitgebracht om de problemen te verhelpen. Van de vijf kwetsbaarheden zijn er twee als kritiek aangemerkt. Het gaat als eerste om CVE-2025-23115, waardoor een aanvaller met toegang tot de camera willekeurige code kan uitvoeren. De impact van deze kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.0. Het tweede kritieke beveiligingslek, CVE-2025-23116, betreft een 'authentication bypass' en is aanwezig in de UniFi Protect-applicatie. Een aanvaller met toegang tot het netwerk van de camera's kan dit lek gebruiken om de apparaten 'volledig over te nemen', aldus de uitleg van Ubiquiti. De impactscore van deze kwetsbaarheid is vastgesteld op een 9.6. De overige drie kwetsbaarheden betreffen problemen bij het controleren van firmware-updates en certificaten en een tweede authentication bypass die tot remote code execution kan leiden. Gebruikers worden opgeroepen de laatste firmware te installeren. bron: https://www.security.nl

De Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert, waarschuwt organisaties voor het laten verlopen van belangrijke en gevoelige domeinnamen. Aanleiding is een waarschuwing van ICANN, de organisatie die onder andere verantwoordelijk is voor de verdeling van ip-nummers en domeinen. ICANN kwam een aantal weken geleden met een waarschuwing voor malafide Whois-servers. Via een Whois-server is het mogelijk om informatie over domeinnamen op te vragen, zoals contactgegevens van domeinnaamhouders en registratiedata van domeinnamen. Tot voor kort waren alle registry’s van generieke topleveldomeinen verplicht een Whois-server te onderhouden. Deze verplichting is sinds vorig jaar komen te vervallen als de betreffende registry gebruikmaakt van het Registration Data Access Protocol (RDAP). Via RDAP is het ook mogelijk om registratiegegevens van een domeinnaam op te vragen. "Veel registry’s haalden daarop hun Whois-servers offline, vaak uit kostenoverwegingen. De bijbehorende domeinnaam werd ook beëindigd. Deze opgeheven domeinnamen blijken nu te gebruiken als ‘rogue Whois-server’. Dat wil zeggen een malafide Whois-server op een legitiem domein, waarmee cybercriminelen valse gegevens kunnen tonen om bijvoorbeeld frauduleus SSL-certificaten voor phishingwebsites te verkrijgen", aldus SIDN. Vorig jaar lieten beveiligingsonderzoekers zien dat door het registreren van een verlopen Whois-domeinnaam allerlei informatie kan worden verkregen waarmee weer allerlei aanvallen mogelijk zijn. Volgens SIDN zijn de resultaten van het onderzoek pijnlijk, omdat er gebruik werd gemaakt van een eenvoudig te voorkomen kwetsbaarheid. "Als men de domeinnaam die bij de server hoorde had aangehouden. Registry’s horen als geen ander te weten welke risico’s het opheffen van gevoelige domeinnamen met zich meebrengt." SIDN geeft dan ook het advies om belangrijke domeinnamen nooit te laten verlopen, ook al zijn er geen diensten meer op actief. "Het veiligheidsrisico is te groot!" bron: https://www.security.nl

De backdoor die de Britse autoriteiten willen om zo toegang tot end-to-end versleutelde iCloud-back-ups te hebben bedreigt privacyrechten wereldwijd, zo stellen mensenrechtenbewegingen Amnesty International en Human Rights Watch. De organisaties reageren op berichtgeving dat de Britse autoriteiten aan Apple een Capability Notice (TCN) hebben gegeven, waarin ze eisen dat Apple toegang tot end-to-end versleutelde iCloud-back-ups biedt. Human Rights Watch (HRW) stelt dat als de berichten waar zijn, de Britse autoriteiten haar bevoegdheden ver te buiten gaan door toegang te willen tot de privédata van niet alleen mensen in het Verenigd Koninkrijk, maar van iedereen met een Apple-account. "Mensen vertrouwen op veilige en vertrouwelijke communicatie om hun rechten uit te oefenen. Toegang tot back-ups van apparaten is toegang tot je gehele telefoon, en sterke encryptie die toegang voorkomt zou de standaard moeten zijn", zegt HRW-onderzoeker Zach Campbell. De mensenrechtenbewegingen noemen de eis van de Britse autoriteiten om toegang tot versleutelde gebruikersdata te krijgen disproportioneel, omdat het de bescherming voor alle gebruikers verzwakt, niet alleen van degenen die van een misdrijf worden verdacht. Als Apple de eis zou inwilligen zou dit de privacyrechten van gebruikers wereldwijd schaden, zo benadrukken ze. "Staten hebben meer en meer krachtige juridische en technische tools tot hun beschikking en onderzoek laat zien dat ze die gebruiken tegen mensen die demonstreren en zich uitspreken, of alleen om wat ze vertegenwoordigen", zegt Joshua Franco van Amnesty International. "Sterke encryptie is één van de weinige beschermingen die we tegen dergelijke aanvallen hebben, en staten zouden bedrijven moeten aanmoedigen om betere bescherming van onze data en rechten aan te bieden, en geen backdoors te willen die mensen wereldwijd risico laten lopen." bron: https://www.security.nl

Juniper waarschuwt voor een kritieke kwetsbaarheid waardoor routers van het netwerkbedrijf op afstand door een ongeauthenticeerde aanvaller zijn over te nemen. Het bedrijf heeft noodpatches uitgebracht om het probleem, aangeduid als CVE-2025-21589, te verhelpen. Via de kwetsbaarheid kan een aanvaller de authenticatie omzeilen en volledige controle over het apparaat krijgen. Verdere details zijn niet gegeven. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het probleem speelt bij de Session Smart Router, Session Smart Conductor en WAN Assurance Managed Routers. Voor organisaties die gebruikmaken van WAN Assurance, waarbij de configuratie ook wordt beheerd, zullen de beschikbare updates automatisch worden geïnstalleerd. Juniper zegt dat het niet bekend is met actief misbruik van de kwetsbaarheid. bron: https://www.security.nl

Een kwetsbaarheid in OpenSSH maakt het mogelijk om een man-in-the-middle (mitm)-aanval op OpenSSH-clients uit te voeren. Er is een nieuwe versie uitgebracht om de kwetsbaarheid te verhelpen. Ook een beveiligingslek dat tot een denial of service kan leiden is opgelost. OpenSSH, ook bekend als OpenBSD Secure Shell, is een verzameling van netwerktools gebaseerd op het SSH-protocol, en laat gebruikers op een beveiligde manier op bijvoorbeeld servers inloggen of op afstand machines beheren. De mitm-kwetsbaarheid, aangeduid als CVE-2025-26465, doet zich alleen voor als de VerifyHostKeyDNS-optie staat ingeschakeld, wat standaard niet het geval is. Via de optie kan worden aangegeven of de key van de host wordt geverifieerd aan de hand van DNS- en SSHFP-records. Wanneer een kwetsbare client verbinding maakt met een server, kan een actieve man-in-the-middle-aanvaller de controle van de identiteit van de server omzeilen en zich zo als de server voordoen. Het probleem is al sinds december 2014 in OpenSSH aanwezig. De optie stond van september 2013 tot en met maart 2023 bij FreeBSD wel standaard ingeschakeld. Een andere kwetsbaarheid (CVE-2025-26466) maakt het daarnaast mogelijk om een denial of service-aanval op servers uit te voeren. Dit probleem bevindt zich augustus 2023 in de code. Beide kwetsbaarheden werden gevonden door onderzoekers van securitybedrijf Qualys. Beheerders worden opgeroepen om te updaten naar OpenSSH 9.9p2. bron: https://www.security.nl

Microsoft waarschuwt voor Mac-malware die zich via Xcode-projecten verspreidt en volgens het techbedrijf bij 'beperkte aanvallen' is ingezet. Xcode is een ontwikkelomgeving voor macOS waarmee ontwikkelaars Apple-gerelateerde software kunnen ontwikkelen. De malware, met de naam XCSSET, is in staat om op een besmet systeem cryptowallets, data uit Evernote, Notes, Skype, Telegram, QQ en WeChat, wachtwoorden, bestanden en systeeminformatie te stelen. Daarnaast kan de malware andere Xcode-projecten infecteren. De eerste versie van XCSSET werd in 2020 gedetecteerd. In 2021 werd bekend dat de malware een destijds onbekende kwetsbaarheid gebruikte om zonder interactie van gebruikers aanvullende permissies te krijgen, zoals bijvoorbeeld toegang tot de microfoon, webcam, volledige schijftoegang of de mogelijkheid om schermopnamen te maken. Vandaag meldt Microsoft op X dat het een nieuwe variant van de XCSSET-malware heeft ontdekt. Het gaat om de eerste nieuwe variant sinds 2022, aldus het bericht. De nieuwe variant is voorzien van verbeterde obfuscatie en manieren om op het systeem actief te blijven en nieuwe infectiestrategieën. Microsoft beschrijft deze nieuwe toevoegingen, maar geeft geen verdere details over de doelwitten of waar de malware precies is aangetroffen. Microsoft geeft ontwikkelaars het advies om altijd Xcode-projecten te inspecteren die zijn gedownload of gekloond van repositories, aangezien de malware zich via besmette projecten verspreidt. bron: https://www.security.nl

Privacy trekt overal aan het kortste eind, zo stelt beveiligingsexpert Bruce Schneier, die onder andere wijst naar massasurveillance door inlichtingendiensten, toenemend cloudgebruik en surveillance door smartphones en internet of things (IoT)-apparaten. Schneier werkte mee aan de creatie van verschillende cryptografische algoritmes, zoals Blowfish en Twofish. Daarnaast schreef hij verschillende boeken, waaronder Beyond Fear en Applied Cryptography. Verder was hij betrokken bij het onderzoeken van verschillende documenten van klokkenluider Edward Snowden en richtte verschillende securitybedrijven op. Tien jaar geleden schreef hij het boek 'Data and Goliath: The Hidden Battles to Collect Your Data and Control Your World'. Sinds 2015 is er echter weinig veranderd, merkt hij op. "De NSA - en hun tegenhangers wereldwijd, houden zich nog steeds zoveel ze kunnen bezig met massasurveillance", aldus Schneier tegenover The Register. Tegelijkertijd stelt de expert dat de informatieomgeving slechter is geworden. "De meeste van onze data bevindt zich in de cloud, waar bedrijven er eenvoudiger toegang toe hebben." Daarnaast zijn er nu ook veel meer IoT-apparaten dan tien jaar geleden, die ons volgens Schneier continu in de gaten houden. "En iedereen van ons draagt overal een zeer verfijnd surveillance-apparaat bij zich: onze smartphones. Waar je ook gaat, overal trekt privacy aan het kortste eind." Inmiddels is er wel wetgeving gekomen, maar dat zal het probleem niet meteen oplossen, aldus Schneier. "Surveillancekapitalisme is gewoon te diep geworteld als businessmodel en de grote techmonopolies hebben gewoon teveel macht om dat op korte termijn te veranderen." De expert merkt op dat het lastig is om op individueel niveau iets aan de situatie te doen. "Er zijn zeker bepaalde dingen die je kunt doen, maar ze helpen slechts een klein beetje. Ik kan je vertellen om geen smartphone bij je te dragen, geen e-mailadres te hebben en geen creditcard te gebruiken. Dat was in 2015 al dom advies en is nu nog veel dommer advies." Schneier zegt zelf geen clouddiensten te gebruiken, maar voegt toe dat dit steeds lastiger is omdat iedereen anders dat wel doet. Voor de toekomst verwacht Schneier dat dingen zullen verbeteren. "Ik kan me niet voorstellen dat we dit niveau van massasurveillance zullen hebben, of het nu door bedrijven of overheden is. In vijftig jaar tijd denk ik dat we deze werkwijzes zullen zien zoals we nu naar sweatshops kijken: als bewijs van ons minder ethisch verleden." Gezien hoe bedrijven en overheden van data profiteren is er voor hen geen prikkel om te veranderen en zal 'AI-technologie' het alleen maar erger maken, besluit Schneier. Vorig jaar waarschuwde expert nog dat de verwachting van privacy met elke generatie minder wordt. bron: https://www.security.nl

Het Nationaal Cyber Security Centrum (NCSC) waarschuwt organisaties voor aanvallen op filetransfer-applicaties, zoals uitgevoerd door de Cl0p-groep. Ook in Nederland zijn er slachtoffers van deze aanvallen, aldus de overheidsinstantie. Bij de aanvallen maakt de groepering misbruik van onbekende kwetsbaarheden in oplossingen voor het uitwisselen van bestanden, om vervolgens toegang tot de bestandsserver te krijgen en allerlei vertrouwelijke data te stelen. De gestolen gegevens worden vervolgens gebruikt om de betreffende organisatie mee af te persen. Zo werden in 2023 bijna 2800 organisaties slachtoffer van de Cl0p-groep, die toen misbruik maakte van een beveiligingslek in MOVEit Transfer. Daarbij werden gegevens van bijna 96 miljoen personen gestolen. Ook gebruikte de groep kwetsbaarheden in filetransfer-applicaties Accellion FTA en GoAnywhere MFT voor het stelen van data en afpersen van bedrijven. Eind vorig jaar sloeg de groep opnieuw toe, toen via kwetsbaarheden in de bestandsuitwisselingssoftware van softwarebedrijf Cleo. Via kwetsbaarheden in Cleo Harmony, Cleo VLTrader en Cleo LexiCom claimde de Cl0p-groep bij zeker zestig bedrijven en organisaties data te hebben buitgemaakt. "In deze campagnes heeft Cl0p een groot aantal slachtoffers gemaakt waaronder in Nederland tijdens de Accellion FTA-campagne en de MOVEit Transfer-campagne. De campagnes richten zich niet op specifieke landen of sectoren, maar zijn opportunistisch van aard", aldus het NCSC. Volgens de overheidsinstantie beschikt de groep over geavanceerde technieken. "Dat is onder andere af te leiden van het door de groep ontdekken van zeroday-kwetsbaarheden, het ontwikkelen van exploits en het inzetten van op de kwetsbaarheid en applicatie afgestemde webshells." Advies NCSC Het NCSC doet organisaties die met filetransfer-applicaties werken verschillende aanbevelingen. Zo moeten organisaties goed kijken welke applicaties vanaf internet benaderbaar moeten zijn. Ook wordt het gebruik van Access control lists (ACL) aangeraden. "Voer een strikte "default-deny" Access Control List (ACL) strategie in om uitgaand verkeer te beheersen. Zorg ervoor dat al het geweigerde uitgaande verkeer wordt gelogd, indien mogelijk, log ook de toegestane verbindingen." Verder adviseert het NCSC om continue monitoring van het eigen netwerk in te richten, om zo datadiefstal te kunnen detecteren en stoppen. Tevens wordt aangeraden om loggegevens veilig op te slaan en voor een langere periode te bewaren. "Een andere maatregel is het gebruik van kanarie-bestanden in uw authentieke documenten om op deze wijze data-exfiltratie te detecteren. Ten slotte raden we aan om indien mogelijk standaard internettoegang van servers te blokkeren of ten minste te beperken via een firewall." bron: https://www.security.nl

Thunderbird gaat vanaf volgende maand de 'desktop release' versie van de e-mailclient de standaard download maken. Het is de bedoeling dat dit jaar meer dan twee miljoen gebruikers van de software naar deze versie overstappen. Op dit moment maken zo'n dertigduizend mensen gebruik van 'desktop release' versie. Op dit moment biedt Thunderbird nog standaard de ESR-versie aan. ESR staat voor extended support release en betreft een versie die voornamelijk beveiligingsupdates en bugfixes ontvangt. Thunderbird blijft een bepaalde ESR-versie lange tijd ondersteunen. Grote nieuwe features worden alleen bij de overstap naar een nieuwe ESR-versie toegevoegd, wat volgens de ontwikkelaars ontwrichtend kan werken. Daarnaast moeten gebruikers soms lange tijd wachten om van nieuwe features gebruik te kunnen maken. Naast de ESR-versie is er ook de 'desktop release' versie van de e-mailclient. Deze versie wordt nagenoeg elke maand van nieuwe features voorzien, wat voor een soepelere transitie naar nieuwe features en versies moet zorgen, aldus de ontwikkelaars. Sinds vorig jaar oktober is de 'desktop release' op de downloadpagina van Thunderbird te vinden. Deze versie wordt sindsdien door zo'n dertigduizend mensen dagelijks gebruikt. De ESR-versie van Thunderbird heeft bijna 10,8 miljoen actieve installaties. Thunderbird wil nu de 'desktop release' een officieel ondersteund kanaal en de standaard download maken. De ontwikkelaars erkennen dat deze stap alleen er niet voor zal zorgen dat het aantal 'desktop release' gebruikers aanzienlijk zal groeien. Daarom wordt er ook naar andere manieren gekeken, zoals het laten zien van notificaties die ESR-gebruikers vragen om naar de 'desktop release' over te stappen. Voor dit jaar hebben de Thunderbird-ontwikkelaars zich als doel gesteld om het aandeel van 'desktop release' naar tenminste twintig procent van de actieve installaties te laten groeien, wat neerkomt op bijna 2,2 miljoen gebruikers. bron: https://www.security.nl

Er is een toename van aanvallen gericht tegen beveiligingscamera's van PTZOptics, zo meldt securitybedrijf Fortinet. Bij de aanvallen maken aanvallers misbruik van twee bekende kwetsbaarheden waardoor ze in het ergste geval op afstand volledige controle over de camera kunnen krijgen. De enige voorwaarde is dat de camera bereikbaar is voor de aanvaller. De kwetsbare beveiligingscamera's maken gebruik van VHD PTZ camera-firmware voor versie 6.3.40. De firmware wordt onder andere gebruikt in apparaten van PTZOptics, Multicam Systems SAS en SMTAV Corporation gebaseerd op de Hisilicon Hi3516A V600 SoC V60, V61 en V63 chips. De camera's, die in allerlei sectoren zoals gezondheidszorg, productie, bedrijfsleven en overheid worden gebruikt, beschikken over een ingebouwde webserver, zodat ze eenvoudig via een browser zijn te benaderen. De beveiligingslekken zorgen ervoor dat een aanvaller de apparaten op afstand kan overnemen. CVE-2024-8956 betreft een kritiek authenticatieprobleem. Een aanvaller kan door het versturen van speciaal geprepareerde requests gevoelige informatie opvragen, zoals gebruikersnamen, MD5-wachtwoordhashes en configuratiegegevens. Ook kan een aanvaller de configuratiewaardes aanpassen of het gehele bestand overschrijven. De impact van deze kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.1. Zodra de aanvaller via CVE-2024-8956 toegang heeft gekregen kan die CVE-2024-8957 gebruiken. Deze kwetsbaarheid maakt command injection mogelijk en zorgt ervoor dat de aanvaller willekeurige OS-commando's op de camera kan uitvoeren die tot remote code execution kunnen leiden, aldus Fortinet. Door de twee kwetsbaarheden te combineren kan een ongeauthenticeerde aanvaller op afstand volledige controle over de camera krijgen. Vorig jaar oktober waarschuwden securitybedrijven al voor actief misbruik van de kwetsbaarheden. Nu laat Fortinet weten dat het een piek in de aanvallen heeft waargenomen. "FortiGuard Labs heeft aanvallen waargenomen gericht tegen PTZOptics camera's, waarbij de FortiGuard-sensoren telemetrie van wel vierduizend apparaten detecteerden. Deze toename in activiteit laat de kwetsbaarheden zien die aanwezig zijn in deze apparaten, die eenvoudig door aanvallers zijn te misbruiken die ongeautoriseerde toegang willen, wat kan leiden tot het volledig overnemen van de camera, besmetting met bots, het aanvallen van andere apparaten in hetzelfde netwerk of het verstoren van de videofeeds", aldus Fortinet. bron: https://www.security.nl

Een besmette versie van databasesoftware BoltDB is drie jaar lang via de Go Module Proxy aangeboden, zo stelt securitybedrijf Socket op basis van eigen onderzoek. Duizenden packages in de Go-programmeertaal maken gebruik van BoltDB. Aanvallers besloten van deze populariteit misbruik te maken door een malafide versie van BoltDB te maken met de naam BoltDB-go. Net als bij andere programmeertalen is er ook een grote repository van allerlei Go-packages die ontwikkelaars kunnen downloaden. De aanvallers plaatsten de besmette versie op GitHub die daarna door de Go Module Proxy werd opgehaald. Deze proxydienst cachet en biedt Go-packages aan. Wanneer ontwikkelaars Go-packages via de command-line installeren of downloaden, gaat het request naar deze proxydienst. Nadat de malafide BoltDB-go door de proxydienst was gecachet wijzigden de aanvallers de tag in de repository en wezen naar een legitieme versie van BoltDB. Bij een inspectie zou de malware zo niet worden ontdekt, maar de proxydienst bleef ontwikkelaars die een typfout maakten de besmette versie aanbieden. De besmette versie bestond uit een legitieme versie van BoltDB en een backdoor waarmee aanvallers controle over het besmette systeem kunnen krijgen. Alleen ontwikkelaars die een typfout maakten of per ongeluk de verkeerde package kozen kregen de besmette versie. De besmette versie bleek sinds november 2021 in de cache van de Go Module Proxy te staan. Na de ontdekking door onderzoekers is die inmiddels verwijderd. bron: https://www.security.nl

De Duitse overheid heeft een audit gedaan van de opensourcesoftware van Nextcloud en daarbij meerdere kwetsbaarheden gevonden, waaronder een beveiligingslek dat het mogelijk maakte om de tweefactorauthenticatie te omzeilen. De gevonden problemen zijn inmiddels opgelost. Nextcloud is een oplossing voor het opslaan en delen van bestanden, vergelijkbaar met Dropbox en Google Drive. Voor het onderzoek keek het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, zowel naar de client- als serversoftware van Nextcloud. Een van de problemen betrof de 2FA-implementatie. Nextcloud biedt gebruikers de optie om met 2FA in te loggen. Door het onderscheppen en manipuleren van het 2FA-verificatieverzoek was het mogelijk om de controle te omzeilen. Een aanvaller die alleen over de inloggegevens van een gebruiker beschikte had zo toegang tot het account kunnen krijgen, ook al had de gebruiker 2FA ingeschakeld. Een ander probleem betrof het uitwisselen van bestanden tussen twee Nextcloud-installaties. Tussen de twee installaties vond geen authenticatie plaats. Wanneer Nextcloud-installatie A een bestand van installatie B ontvangt, kan installatie A niet verifiëren van wie het bestand van installatie B afkomstig is. Een gebruiker van installatie B kan zo een bestand met een gebruiker van installatie A delen en zich daarbij voordoen als een andere gebruiker van installatie B. Verder ontdekten de onderzoekers een manier om via de applicatie 'External Storage Support' inloggegevens van gebruikers te stelen. Meer gevonden kwetsbaarheden zijn in het openbaar gemaakt auditrapport te vinden. De Duitse autoriteiten rapporteerden alle gevonden problemen aan Nextcloud, waarna de ontwikkelaars met een oplossing kwamen. De audit was onderdeel van een project genaamd Code Analysis of Open Source Software (CAOS). Op deze manier wil de Duitse overheid naar eigen zeggen het vertrouwen in opensourcesoftware vergroten. Eerder werden ook software van Bitwarden, Vaultwarden en KeePass onder de loep genomen. bron: https://www.security.nl

Een kritieke kwetsbaarheid in wifi-routers van fabrikant Netgear maakt het mogelijk voor een ongeauthenticeerde aanvaller om op afstand code op het apparaat uit te voeren. Netgear heeft firmware-updates uitgebracht om het probleem te verhelpen. Daarnaast zijn er ook patches voor een kritieke 'authentication bypass' verschenen. De eerste kritieke kwetsbaarheid is aanwezig in de Netgear Nighthawk Pro Gaming WiFi 6 Router (XR1000 en XR1000v2 ) en Netgear Nighthawk Pro Gaming XR500. Netgear geeft geen details over de kwetsbaarheid, behalve dat die 'unauthenticated remote code execution' mogelijk maakt. Verder is de impact van het beveiligingslek op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Er is geen CVE-nummer aan de kwetsbaarheid toegekend. De tweede kritieke kwetsbaarheid raakt de WiFi 6 AX3200 Dual Band Wireless access point (WAX206), WAX220 Wi-Fi 6 Access Point en WAX214v2 WiFi 6 Access Point. Het gaat om een beveiligingslek waardoor een aanvaller de authenticatie kan omzeilen. Ook bij dit beveiligingslek ontbreken details en een CVE-nummer. De impactscore bedraagt 9.6. Gebruikers wordt aangeraden de beschikbare firmware-updates te installeren. bron: https://www.security.nl

Aanvallers maken actief misbruik van kwetsbaarheden in Apache OFBiz en Microsoft .NET, zo laat het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security weten. Updates voor de kwetsbaarheden zijn al enige tijd beschikbaar. Details over de aanvallen zijn niet gegeven. Apache OFBiz is een open source enterprise resource planning (ERP) systeem. Het biedt verschillende zakelijke applicaties voor het integreren en automatiseren van bedrijfsprocessen en wordt ontwikkeld door de Apache Software Foundation. Een kwetsbaarheid in de software, aangeduid als CVE-2024-45195, laat een ongeauthenticeerde aanvaller op afstand code op het systeem uitvoeren. Afgelopen september kwam de Apache Foundation met updates. Beveiligingslekken in Apache OFBiz zijn vaker het doelwit van aanvallen geweest. Ook over die aanvallen zijn niet echt details openbaar gemaakt. De tweede kwetsbaarheid waarvoor het CISA waarschuwt is CVE-2024-29059. Het gaat om een 'information disclosure' beveiligingslek in Microsoft .NET dat tot remote code execution kan leiden. Microsoft kwam op 8 mei vorig jaar met beveiligingsupdates voor het probleem. Destijds waarschuwde de softwaregigant al dat misbruik van de kwetsbaarheid 'more likely' was. Zoals eerder gezegd geeft het CISA geen verdere details over de aanvallen. Wel heeft het cyberagentschap federale Amerikaanse overheidsdiensten verplicht om de updates voor beide kwetsbaarheden voor 25 februari te installeren. bron: https://www.security.nl

Zyxel waarschuwt eigenaren van verschillende modem-routers voor actief aangevallen kwetsbaarheden. De apparaten in kwestie zijn end-of-life en Zyxel zal dan ook geen updates uitbrengen om de beveiligingslekken te verhelpen. Gebruikers wordt aangeraden om de apparatuur door een nieuwer apparaat te vervangen. Wanneer gebruikers de modem via hun internetprovider hebben ontvangen adviseert Zyxel om met deze partij contact op te nemen. Vorig jaar juli waarschuwde securitybedrijf VulnCheck voor een kwetsbaarheid in de modem-routers aangeduid als CVE-2024-40891. Via de kwetsbaarheid is 'telnet command injection' mogelijk. Verdere details over kwetsbare modellen en het beveiligingslek werden niet door VulnCheck gegeven. Vorige week kwam securitybedrijf GreyNoise met de melding dat aanvallers actief misbruik van deze kwetsbaarheid maken. Volgens het securitybedrijf zijn er meer dan vijftienhonderd kwetsbare CPE-apparaten vanaf het internet toegankelijk. Zyxel laat weten dat het inderdaad door VulnCheck was ingelicht, maar toen het om meer informatie vroeg geen reactie kreeg. Eind januari zou het securitybedrijf wel informatie over de drie kwetsbaarheden (CVE-2024-40890, CVE-2024-40891 en CVE-2025-0890) hebben verstrekt. Zo blijken de modem-routers onder andere over onveilige standaard inloggegevens voor telnet te beschikken. Een aanvaller kan hierdoor op de managementinterface inloggen. De andere twee kwetsbaarheden maken command injection mogelijk. Deze beveiligingslekken zijn volgens Zyel alleen te misbruiken als het wachtwoord van de gebruiker is gecompromitteerd en de aanvaller de modem-router kan benaderen. Aanvallers kunnen één van de command injection-kwetsbaarheden combineren met het standaard telnet-wachtwoord en zo toegang krijgen, aldus securitybedrijf VulnCheck, dat nu met meer details over de beveiligingslekken is gekomen. "Het standaard account en de command injection-kwetsbaarheden van deze apparaten vormen een ernstig beveiligingsrisico, gegeven het misbruik hiervan, zoals bevestigd door GreyNoise. Hoewel deze apparaten verouderd en niet meer ondersteund zouden moeten zijn, zijn er nog duizenden online te vinden", zo stellen onderzoekers van het securitybedrijf. Zyxel adviseert naast het vervangen van de apparatuur dat het uitschakelen van remote access en het periodiek wijzigen van wachtwoorden kan helpen om mogelijke aanvallen te voorkomen. bron: https://www.security.nl

Een kwetsbaarheid in de populaire archiveringssoftware 7-Zip is sinds vorig jaar september actief misbruikt bij aanvallen, toen er nog geen beveiligingsupdate beschikbaar was om het probleem te verhelpen. Dat laat antivirusbedrijf Trend Micro in een analyse weten. Het beveiligingslek (CVE-2025-0411) maakt het mogelijk om het Mark-of-the-Web te omzeilen, wat kan leiden tot het uitvoeren van willekeurige code op het systeem van de gebruiker. De kwetsbaarheid werd afgelopen november door 7-Zip via versie 24.09 verholpen, maar het bestaan van de kwetsbaarheid werd pas eind januari dit jaar bekendgemaakt. Nu laat antivirusbedrijf Trend Micro weten dat CVE-2025-0411 sinds september vorig jaar bij aanvallen is ingezet. Mark-of-the-Web (MOTW) is een beveiligingsfeature van Windows die ervoor zorgt dat bestanden die via internet zijn gedownload door Windows van een aparte tag worden voorzien. Bij het openen van bestanden met een MOTW-tag zal Windows een extra waarschuwing aan gebruikers tonen of ze het bestand echt willen openen, aangezien het vanaf internet afkomstig is. De kwetsbaarheid in 7-Zip doet zich voor bij het verwerken van archiefbestanden. Wanneer 7-Zip bestanden uit een speciaal geprepareerd archiefbestand uitpakt dat van de MOTW-tag is voorzien, wordt het Mark-of-the-Web niet aan de uitgepakte bestanden toegekend. "Een aanvaller kan deze kwetsbaarheid gebruiken om willekeurige code in de context van de huidige gebruiker uit te voeren", aldus securitybedrijf ZDI dat het probleem rapporteerde. ZDI is onderdeel van Trend Micro. Bij de aanvallen ontvingen doelwitten een malafide zip-bestand. Dit bestand bevatte weer een ander zip-bestand. De aanvallers maakten echter gebruik van een 'homoglyph' aanval, waardoor het leek om een .doc-bestand te gaan. Dit zip-bestand bevatte een url-bestand dat naar een ander zip-bestand wees. Het zip-bestand bevatte een malafide bestand eindigend op .pdf.exe. Windows laat standaard geen bestandsextensies zien, waardoor gebruikers zouden kunnen denken dat het om een pdf-bestand gaat. De aanvallers maakten ook gebruik van een pdf-icoon voor dit bestand. Het exe-bestand installeert de uiteindelijke malware op het systeem waarmee de aanvallers volledige controle krijgen. Trend Micro benadrukt dat het soort archiefbestand niet uitmaakt om misbruik van de kwetsbaarheid te maken. De malafide archiefbestanden werden via al eerder gecompromitteerde e-mailaccounts verstuurd. De virusbestrijder zegt dat het beveiligingslek tegen organisaties in Oekraïne is misbruikt, maar dat er een grote kans is dat ook andere organisaties door dezelfde aanvallers zijn aangevallen. Gebruikers wordt aangeraden naar de laatste versie van 7-Zip te updaten. bron: https://www.security.nl

Stichting Privacy First wil dat de Autoriteit Persoonsgegevens (AP) meer doet tegen chatbot DeepSeek dan alleen waarschuwen. "Als je weet hoeveel gegevens er al worden verzameld en wat de gevaren zijn, waarom doe je dan niet meer dan waarschuwen?’, zegt Steven Derks van Privacy First tegenover BNR. De AP kwam vorige week met een waarschuwing waarin het stelde zich zorgen te maken over het privacybeleid van DeepSeek. "De AP waarschuwt vanwege de ernstige zorgen die er bestaan over het privacybeleid van DeepSeek, dat uit China komt, en over de manier waarop er met de persoonlijke gegevens van de gebruikers lijkt te worden omgegaan", aldus AP-voorzitter Aleid Wolfsen. "Alle gegevens die je invoert, worden opgeslagen op servers in China, en de teksten worden geanalyseerd op patronen. Dit maakt het mogelijk om gebruikers uniek te identificeren", stelt Derks. Privacy First wil dat de AP meer doet tegen DeepSeek en wijst daarbij naar de beslissing van de Italiaanse privacytoezichthouder om DeepSeek te verbieden. "We hebben de Algemene verordening gegevensbescherming (AVG) ingevoerd om een gelijk speelveld binnen de EU te creëren. Wat ons betreft zou er één lijn getrokken moeten worden." Wat betreft alleen het waarschuwen en niet verder optreden vermoedt Derks dat dit komt door een capaciteitstekort bij de Nederlandse privacytoezichthouder. Toch wil hij dat de AP meer doet. "De gegevens staan er al, en het kwaad is dan al geschied. Voorkomen is nu beter dan genezen." Wie DeepSeek wil gebruiken krijgt het advies van Derks dit alleen lokaal te doen. "Als je DeepSeek lokaal draait, gebeurt er niets met je gegevens, maar de meeste mensen gebruiken de webversie, waarbij alles naar China wordt gestuurd. Dat willen we absoluut vermijden." bron: https://www.security.nl

Wachtwoordmanager Bitwarden heeft extra beveiliging aangekondigd voor accounts die geen gebruikmaken van tweefactorauthenticatie (2FA). Wanneer deze gebruikers straks vanaf een onbekend apparaat op hun account inloggen moeten ze een one-time verificatiecode invoeren die naar hun e-mailadres is gestuurd. Wanneer er wordt ingelogd via een eerder gebruikte app of browser-extensie zal het verzoek om de code niet verschijnen. Wanneer gebruikers cookies verwijderen of de mobiele of desktop-app verwijderen en opnieuw installeren zal er opnieuw om de code worden gevraagd. De wachtwoordmanager adviseert gebruikers zonder 2FA dan ook om te controleren dat ze toegang tot hun e-mailaccount hebben, omdat ze anders niet meer op hun wachtwoordkluis kunnen inloggen. Gebruikers die hun e-mailadres niet met Bitwarden willen delen wordt aangeraden 2FA in te stellen, een forwardingdienst te gebruiken of de wachtwoordmanager zelf te hosten. De beveiligingsmaatregel wordt volgende maand ingevoerd. bron: https://www.security.nl

Onderzoekers van securitybedrijf Wiz hebben een onbeveiligde database van chatbot DeepSeek met 'zeer gevoelige informatie' gevonden, zo laten ze in een analyse weten. De database was voor iedereen op internet zonder authenticatie toegankelijk en bevatte miljoen regels 'log streams' met chatgeschiedenis, API-keys, backend-informatie en andere data, aldus de onderzoekers. De database in kwestie bleek een ClickHouse-database te zijn. ClickHouse is een databasemanagementsysteem voor analytische queries op grote datasets. Via de HTTP interface van ClickHouse konden de onderzoekers willekeurige SQL queries op de database uitvoeren. De toegang zou het mogelijk maken om zowel gevoelige informatie van gebruikers als van DeepSeek zelf te stelen. Wiz waarschuwde DeepSeek waarna de database werd beveiligd. Gisteren werd bekend dat zowel de Italiaanse als Ierse privacytoezichthouders DeepSeek om opheldering hebben gevraagd over de gegevensverwerking en hoe gegevens van gebruikers zijn beschermd. bron: https://www.security.nl

Microsoft heeft een kritieke kwetsbaarheid in Microsoft Accounts verholpen waardoor een ongeautoriseerde aanvaller 'over een netwerk' zijn rechten kon verhogen. Via een Microsoft Account kan er toegang tot allerlei diensten worden verkregen. Volgens het techbedrijf werd het probleem door 'ontbrekende autorisatie' veroorzaakt. Verdere details over de kwetsbaarheid, zoals hoe misbruik zou kunnen plaatsvinden, zijn niet door Microsoft bekendgemaakt. Het beveiligingsbulletin stelt dat de kwetsbaarheid (CVE-2025-21396) tot 'Elevation of Privilege' kan leiden. Dergelijke beveiligingslekken worden meestal niet als kritiek bestempeld, maar dat is volgens Microsoft in dit geval wel zo. Gebruikers hoeven geen actie te ondernemen, aldus het bulletin. Microsoft heeft de kwetsbaarheid, die door een externe beveiligingsonderzoeker werd gevonden en gerapporteerd, naar eigen zeggen volledig verholpen. bron: https://www.security.nl