Captain Kirk

Gebruikers van Visual Voicemail zijn gewaarschuwd, want dergelijke diensten versturen inloggegevens zoals wachtwoorden, gebruiksnamen en serverhost onversleuteld via sms. Een aanvaller die sms-berichten kan onderscheppen kan zo toegang tot voicemails krijgen, zo waarschuwt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. Visual Voicemail verscheen voor het eerst in iOS en is een combinatie van sms en imap. Het maakt het mogelijk om voicemails op de telefoon te downloaden en vervolgens in een programma weer te geven. Zodoende hoeft een gebruiker voicemailberichten niet achterelkaar af te luisteren. Wanneer een dergelijke client een status-sms verstuurt, zal de provider reageren met alle inloggegevens die nodig zijn om op de imap-server in te loggen. Een aanvaller die de mogelijkheid heeft om sms-berichten te onderscheppen kan zo gebruikersnaam en wachtwoord in handen krijgen en voicemailberichten lezen. Het onderscheppen van sms zou volgens het CERT/CC op verschillende manieren kunnen, zoals tijdelijke toegang tot de simkaart, het gebruik van een malafide zendmast of de gebruiker een malafide app laten installeren die sms-toegang heeft. Het CERT/CC stelt dat er geen praktische oplossing voor het probleem is. Wanneer mogelijk doen gebruikers er verstandig aan om periodiek hun wachtwoord te wijzigen en Visual Voicemail-data snel te verwijderen. bron: https://www.security.nl

Bij het resetten van een Windowssysteem kunnen bestanden achterblijven, ook al hebben gebruikers ervoor gekozen om alles te verwijderen, zo laat Microsoft weten. Windows biedt een "Reset this PC" optie waarbij het mogelijk is om persoonlijke bestanden te houden of alles bij de reset te verwijderen. In het geval van de "Remove everything" optie kunnen er toch bestanden achterblijven. Het probleem doet zich voor bij mappen die zogeheten "Reparse data" bevatten. Een bestand of directory kan een reparse point bevatten, wat een verzameling van gebruikers-gedefinieerde data is. Wanneer een applicatie een reparse point aanmaakt, slaat het deze data op, plus een reparse tag, die de opgeslagen data identificeert. Bij zowel een handmatige als een remote reset van een Windowssysteem blijven bestanden in mappen met reparse data achter. Het probleem speelt onder andere bij OneDrive en OneDrive for Busines. Ondanks de reset blijven daardoor gedownloade of lokaal gesynchroniseerde gewoon op het systeem staan. Microsoft zegt aan een oplossing te werken en zal wanneer beschikbaar meer informatie verstrekken. In het geval van OneDrive wordt als tijdelijke maatregel aangeraden om OneDrive voor de reset van het systeem te unlinken. Het probleem speelt bij zowel Windows 10 als Windows 11. Vorige week waarschuwde Microsoft MVP Rudy Ooms al dat bij een Windows-reset bestanden in de Windows.old-map achterblijven. bron: https://www.security.nl

De Amerikaanse en Britse autoriteiten hebben een waarschuwing gegeven voor een spionagegroep die wereldwijd doelen door middel van zip-bestanden aanvalt. De groep wordt MuddyWater genoemd en is gelieerd aan de Iraanse inlichtingendienst, zo stellen de FBI, het Cybersecurity and Infrastructure Security Agency (CISA), de U.S. Cyber Command Cyber National Mission Force (CNMF) en het Britse National Cyber Security Centre (NCSC). De groep heeft het voorzien op publieke en private organisaties in verschillende sectoren, waaronder telecom, defensie, olie en gas, in Afrika, Azië, Europa en Noord-Amerika. Voor het aanvallen van deze organisaties maakt de groep onder andere gebruik van bekende kwetsbaarheden in Microsoft Exchange en spearphishing. Bij deze gerichte phishingaanvallen verstuurt de groep zip-bestanden. De zip-bestanden bevatten een Excel-document met een kwaadaardige macro die, wanneer door de gebruiker ingeschakeld, malware installeert, of een pdf-document dat malware probeert te installeren. Om aanvallen door de groep tegen te gaan adviseren de Amerikaanse en Britse autoriteiten het gebruik van application control software om te beperken welke applicaties en code gebruikers kunnen uitvoeren. "E-mailbijlagen en bestanden die via links in e-mails worden gedownload bevatten vaak uitvoerbare code", aldus de waarschuwing. Daarin wordt organisaties ook aangeraden om hyperlinks in e-mail helemaal uit te schakelen en externe e-mails van een banner te voorzien. Tevens krijgen organisaties het advies om gebruikers te trainen en het gebruik van beheerdersrechten te beperken. "Gebruikers die met beheerdersrechten het internet browsen, e-mail gebruiken en code uitvoeren zijn een aantrekkelijk doelwit voor spearphishing, omdat hun systeem, zodra het is geïnfecteerd, aanvallers lateraal door het netwerk laat bewegen, aanvullende toegang geeft en zeer gevoelige informatie laat benaderen", staat verder in de waarschuwing vermeld. De FBI, CISA, CNMF en het NCSC geven in de waarschuwing ook verschillende indicators of compromise waarmee organisaties de malware binnen hun netwerken kunnen detecteren. bron: https://www.security.nl

Antivirusbedrijven waarschuwen voor een nieuw malware-exemplaar genaamd HermeticWiper dat systemen saboteert door de Master Boot Record (MBR) en partities te beschadigen, waardoor de computer niet meer opstart. De malware is met een legitiem certificaat gesigneerd en maakt gebruik van een legitieme driver van het programma EaseUS Partition Master. HermeticWiper is tegen Oekraïense doelwitten ingezet, aldus de antivirusbedrijven. De naam HermeticWiper is afkomstig van het gebruikte certificaat waarmee de malware is gesigneerd. Dit certificaat is namelijk uitgegeven aan het Cypriotische bedrijf Hermetica Digital Ltd. Mogelijk dat de aanvallers een lege vennootschap of niet meer actief bedrijf gebruikten voor het verkrijgen van het certificaat, laat securitybedrijf SentinelOne weten. Eenmaal actief corrumpeert de malware eerst de MBR. De Master Boot Record bevat gegevens over het soort en de locatie van de logische partities van de harde schijf en bevat de bootloader van het besturingssysteem. Het is essentieel voor de computer om te kunnen starten. Door de MBR te corrumperen kan het systeem niet meer starten. Na deze actie richt de malware zich op de partities van de harde schijf. Zo wordt eerst de Volume Shadow Copy Service (VSS) uitgeschakeld, waarna zowel FAT- als NTFS-partities worden gecorrumpeerd. "Dit zorgt ervoor dat systemen met zowel MBR- als GPT-schijven worden getroffen, net zoals WhisperKill werkte", stellen onderzoekers van Cisco. WhisperKill is andere wiper-malware die eerder tegen Oekraïense doelwitten is ingezet. Na bovenstaande acties voert HermeticWiper een reboot uit om zo het wissen van het systeem te voltooien. Hoe de malware precies wordt verspreid is onbekend. Antivirusbedrijf ESET meldt dat de aanvallers in één geval al toegang tot het netwerk van een slachtoffer hadden. bron: https://www.security.nl

IK ga er vanuit dat je vraag beantwoord is en sluit daarom het topic. Wil je het toch weer open hebben stuur dan een van ons even een PM.

Er is een sterke afname van het aantal scans en aanvalspogingen die misbruik van de Log4j-kwetsbaarheid maken. Aanvallers en onderzoekers hebben hun interesse in Log4j verloren, zo stelt het Intern Storm Center (ISC) op basis van eigen onderzoek. Vorige maand kwam antivirusbedrijf Sophos al met een zelfde melding. Op 9 december verscheen erop Twitter een, inmiddels verwijderd, bericht over een kwetsbaarheid in Log4j. Tot dan toe niet echt heel bekende loggingsoftware waarin geen grote problemen waren gevonden. Het beveiligingslek kreeg de naam Log4Shell en werd door sommige experts de grootste kwetsbaarheid aller tijden genoemd. Ook werd er gewaarschuwd voor grootschalig misbruik. Dat misbruik heeft zich vooralsnog niet voorgedaan. In de weken na het uitkomen van de update was er een toename van het aantal scans en aanvallen. Netwerkbeveiliger Fortinet zag in december een enorme hoeveelheid Log4Shell-activiteit (pdf). Sinds januari is er echter een duidelijke afname zichtbaar. "Na verloop van tijd hebben aanvallers en onderzoekers hun interesse in Log4j verloren", stelt Johannes Ullrich van het ISC. "Mede door het snelle handelen van veel organisaties lijkt de omvang van actief misbruik op dit moment mee te vallen. Maar dat wil niet zeggen dat het hierbij blijft", meldde het Nationaal Cyber Security Centrum (NCSC) vorige maand. Het NCSC verwacht dat kwaadwillenden de komende tijd naar kwetsbare systemen blijven zoeken en doelgerichte aanvallen blijven uitvoeren. "Het is daarom van belang om waakzaam te blijven", aldus de overheidsinstantie. bron: https://www.security.nl

NAS-fabrikant Asustor heeft wegens een ransomware-aanval op NAS-systemen een beveiligingsupdate uitgebracht en ddns-dienst myasustor.com tijdelijk uitgeschakeld. De afgelopen dagen werden NAS-systemen van Asustor het doelwit van de Deadbolt-ransomware, die data op de systemen voor losgeld versleutelt. Eerder werden NAS-systemen van QNAP door deze ransomware getroffen. Het was onduidelijk hoe criminelen de NAS-systemen met de Deadbolt-ransomware konden versleutelen, maar nu blijkt dat er gebruik is gemaakt van kwetsbaarheden in de NAS-software. Details over deze beveiligingslekken zijn nog niet openbaar gemaakt. Wel roept Asustor gebruikers op om de nieuwste firmware te installeren. Na installatie van deze update (ADM 3.5.9) zal het niet langer mogelijk zijn om te downgraden. Verder heeft de NAS-fabrikant besloten om de ddns-dienst myasustor.com tijdelijk uit te schakelen. Dynamic Domain Name System (ddns) zorgt ervoor dat dynamische ip-adressen aan een vast domein worden gekoppeld, zodat de gebruiker alleen het domein hoeft te onthouden. Via myasustor.com kunnen gebruikers zo hun NAS-systeem benaderen. Vooralsnog is het niet mogelijk voor slachtoffers om de versleutelde data te ontsleutelen. Gebruikers wordt tevens geadviseerd een sterk wachtwoord te gebruiken en de standaard webserver-, https- en http-poorten te wijzigen. Tevens moeten SSH en SFTP, wanneer niet in gebruik, worden uitgeschakeld en dienen gebruikers regelmatig back-ups te maken. Vanwege het toenemend aantal ransomware-aanvallen zegt Asustor het eigen beleid tegen het licht te zullen houden om zo het vertrouwen van klanten te herwinnen. Ook maakt het bedrijf excuses voor het ongemak. bron: https://www.security.nl

De ontwikkelaars van het populaire contentmanagementsysteem (CMS) Drupal hebben besloten om de ondersteuning van Drupal7 opnieuw te verlengen zodat het platform in ieder geval tot november 2023 beveiligingsupdates zal blijven ontvangen. Het grootste deel van de op Drupal-gebaseerde websites draait namelijk nog steeds op deze Drupal-versie. Drupal 7 verscheen in januari 2011. Op 25 februari 2019 kondigde het Drupal-team aan dat in november 2021 de ondersteuning van Drupal 7 zou eindigen. Ruim een jaar later op 24 juni 2020 werd mede vanwege de coronapandemie besloten om de ondersteuning tot 28 november 2022 te verlengen. Gisteren maakte het Drupal-team bekend dat opnieuw is besloten de support te verlengen, aangezien de meeste Drupal-sites nog steeds op Drupal 7 draaien. "Aan het eind van de dag hebben we een moreel belang om zoveel van deze sites als mogelijk te beschermen", zo stelt het ontwikkelteam. Volgend jaar juli zal worden besloten of de support van Drupal 7 met nog een jaar zal worden verlengd. Deze beslissing zal mede worden gemaakt op basis van het aantal Drupal 7-sites en de maintainers van deze versie. Volgens marktvorser W3Techs draait 58 procent van de Drupal-sites op Drupal 7. bron: https://www.security.nl

Een kwetsbaarheid in verschillende Cisco-switches maakt het mogelijk voor een aanvaller om zonder inloggegevens op afstand commando's met rootrechten uit te voeren. Het beveiligingslek doet zich alleen voor wanneer de NX-API feature is ingeschakeld, wat standaard niet het geval is. Cisco heeft beveiligingsupdates uitgebracht om het probleem te verhelpen. De NX-API is een webgebaseerde gebruikersinterface waarmee commando's zijn in te voeren die normaliter via de commandline worden ingevoerd. Naar de NX-API verstuurde gebruikersinvoer wordt echter niet goed gecontroleerd. Door het versturen van een speciaal geprepareerd HTTP POST request naar de NX-API van een kwetsbare switch kan een aanvaller commando's met rootrechten op het onderliggende besturingssysteem uitvoeren, aldus Cisco. De impact van de kwetsbaarheid, aangeduid als CVE-2022-20650, is op een schaal van 1 tot en met 10 met een 8.8 beoordeeld. Doordat de NX-API niet standaard staat ingeschakeld is de score iets lager dan normaliter het geval is bij dergelijke beveiligingslekken. Het probleem speelt bij de Nexus 3000, 5500, 5600, 6000 en 9000 switches. Cisco heeft updates beschikbaar gemaakt. bron: https://www.security.nl

Firewalls van fabrikant WatchGuard zijn het doelwit van een geavanceerde firmware-aanval waarbij aanvallers de systemen met persistente malware infecteren genaamd Cyclops Blink, zo waarschuwen de Amerikaanse en Britse autoriteiten, die van professioneel ontwikkelde malware spreken. Volgens de FBI, NSA, het Cybersecurity and Infrastructure Security Agency (CISA) en het Britse National Cyber Security Centre (NCSC) is de malware ontwikkeld door een groep genaamd Sandworm, die aan de Russische geheime dienst GRU gelieerd zou zijn. De Amerikaanse en Britse diensten denken dat Cyclops Blink de opvolger is van VPNFilter. Deze malware werd in 2018 ontdekt en had honderdduizenden routers van Linksys, MikroTik, NETGEAR en TP-Link en NAS-systemen van QNAP geïnfecteerd. De Cyclops Blink-malware, die sinds juni 2019 actief is, infecteert voor zover bekend alleen WatchGuard-firewalls. Het gaat dan specifiek om WatchGuard-apparaten waarvan remote management is ingeschakeld. Iets wat geen standaardinstelling is. Hoe de aanvallers toegang tot de firewall krijgen is onbekend. Wel is duidelijk dat ze het legitieme updateproces gebruiken om malafide firmware te installeren. "De ontwikkelaars hebben duidelijk het firmware-updateproces van de WatchGuard Firebox gereverse engineerd en een specifieke zwakte in dit proces gevonden, namelijk de mogelijkheid om de HMAC-waarde gebruikt voor het verifiëren van een firmware-update-image opnieuw te berekenen", aldus het NCSC (pdf). Op deze manier kunnen de aanvallers de WatchGuard-firewall blijvend besmetten, aangezien de infectie in de firmware aanwezig is. Volgens het NCSC is Cyclops Blink professioneel ontwikkelde en zeer geavanceerde malware. Organisaties die van WatchGuard-firewalls gebruikmaken moeten ervan uitgaan dat alle wachtwoorden op het apparaat zijn gecompromitteerd. WatchGuard stelt dat minder dan 1 procent van de firewalls vermoedelijk besmet is geraakt. Vooralsnog lijkt er geen data via de gecompromitteerde firewalls te zijn gestolen. WatchGuard heeft een detectietool ontwikkeld en geeft op deze pagina meer informatie van organisaties kunnen doen om de malware op hun apparaten te detecteren en verwijderen. bron: https://www.security.nl

De Shadowserver Foundation, een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich met de bestrijding van botnets en cybercrime bezighoudt, is begonnen met het dagelijks scannen van industriële controlesystemen (ICS). Dit moet organisaties en bedrijven helpen bij het beveiligen van hun systemen. Voor de eerste scan werd er gekeken naar services en systemen die het Modbus TCP-protocol op poort 502 gebruiken. Dit is een datacommunicatieprotocol ontwikkeld voor industriële systemen. "Het is onwaarschijnlijk dat dergelijke systemen vanaf het internet toegankelijk moeten zijn. Dus tenzij je een honeypot draait is het advies om meteen in actie te komen en toegang te blokkeren", aldus Shadowserver. De scan van de non-profit leverde in totaal 6300 systemen op die vanaf het internet toegankelijk zijn. In de meeste gevallen ging het om industriële systemen van Schneider Electric en ABB in de Verenigde Staten, Spanje en Zweden. Shadowserver deelt de data onder andere met opsporingsdiensten, internetproviders en 120 nationale computer security incident response teams in 148 landen. Zo kunnen deze partijen weer op hun beurt de getroffen organisaties benaderen. De non-profit meldt via Twitter dat er meer dagelijkse ICS-scans en rapporten zullen volgen. bron: https://www.security.nl

Een kwetsbaarheid in de webmailsoftware Horde maakt het mogelijk voor aanvallers om accounts door middel van een malafide e-mail over te nemen en in het ergste geval controle over de server te krijgen. Een beveiligingsupdate is nog niet beschikbaar, ook al werd het probleem zes maanden geleden bij de ontwikkelaars gemeld. Tal van organisaties maken gebruik van Horde voor het aanbieden van webmail aan hun gebruikers. Daarnaast wordt Horde ook meegeleverd als onderdeel van de hostingoplossing cPanel, waarmee veel organisaties hun websites beheren. De kwetsbaarheid werd ontdekt door securitybedrijf SonarSource en is al negen jaar lang in de code van de webmailsoftware aanwezig. Het gaat om een stored cross-site scripting-lek dat via de previewfunctie van de webmail is te misbruiken. Hiervoor zou een aanvaller een speciaal geprepareerd OpenOffice-document als bijlage moeten versturen. Zodra Horde dit document omzet naar XHTML voor een previewweergave, kan kwaadaardige JavaScript in het document worden uitgevoerd. Daarmee kan de aanvaller toegang tot de sessie van de gebruiker krijgen en zo ontvangen en verstuurde e-mails inzien. Horde wordt standaard geleverd met een beheerderspaneel, waarmee een beheerder willekeurige systeemcommando's op de Horde-server kan uitvoeren. Wanneer een aanvaller erin slaagt om een beheerder succesvol an te vallen, is het zo mogelijk om de webmailserver over te nemen. Het probleem werd op 26 augustus aan Horde gerapporteerd en een aantal dagen later door het ontwikkelteam bevestigd. Een beveiligingsupdate is echter nog altijd niet beschikbaar gemaakt. SonarSource heeft nu besloten details van de kwetsbaarheid openbaar te maken, alsmede een onofficiële oplossing die beheerders kunnen nemen om hun server te beschermen. Hiervoor moet aan het bestand config/mime_drivers.php een optie voor de OpenOffice mime handler worden toegevoegd. bron: https://www.security.nl

Cisco heeft beheerders van Firepower-firewalls gewaarschuwd voor een probleem met het ontvangen van dreigingsinformatie na 5 maart. De firewalls kunnen gebruikmaken van Talos Security Intelligence Updates die informatie bevatten over ip-adressen, domeinen en url's gebruikt voor onder andere malware, botnets en spam. Cisco-firewalls kunnen deze informatie automatisch toepassen, zodat beheerders het niet handmatig hoeven toe te voegen. De certificaatautoriteit die voor het signeren van de updates wordt gebruikt zal op 6 maart worden vervangen. Daardoor kunnen firewalls vanaf die datum geen dreigingsinformatie meer ontvangen, wat het "security posture" voor toekomstige dreigingen kan verslechteren, aldus Cisco in een waarschuwing aan klanten. De netwerkfabrikant roept beheerders op om naar een Firepower-versie te updaten waarin het probleem is verholpen. In het geval van Firepower 7.1.x zal deze update naar verwachting pas op 1 maart verschijnen, vier dagen voor de einddatum van de betreffende certificaatautoriteit, wat beheerders weinig tijd geeft om de update door te voeren. bron: https://www.security.nl

Aanvallers maken op dit moment actief misbruik van kwetsbaarheden in Zabbix om servers waarop de monitoringsoplossing draait over te nemen. Iets wat grote gevolgen voor bedrijven en organisaties kan hebben, aangezien het volledige overname van netwerken mogelijk maakt. Zabbix is een oplossing voor het monitoren van de it-infrastructuur, zoals netwerken, servers, virtual machines en clouddiensten. Het is vergelijkbaar met oplossingen als Pandora FMS en Nagios. Vanwege de populariteit, features en rol in het netwerk is Zabbix een aantrekkelijk doelwit voor aanvallers, aldus securitybedrijf SonarSource. Het bedrijf ontdekte een kritieke kwetsbaarheid in de monitoringsoplossing waardoor aanvallers beheerderstoegang tot de Zabbix-server kunnen krijgen en zelfs volledige netwerken kunnen overnemen. Op Zabbix-servers waar SAML SSO-authenticatie is ingeschakeld, wat niet standaard is, is het mogelijk voor aanvallers om de authenticatie te omzeilen en beheerder te worden. Dit wordt veroorzaakt door een onveilige manier waarop Zabbix op clients sessiedata opslaat. "De authenticiteit van de sessie wordt nooit gevalideerd wanneer andere velden dan sessionid worden benaderd. Aangezien cookies volledig worden beheerd door clients, hebben ze gewoon controle over de sessie", aldus de onderzoekers. Naast het feit dat SAML SSO-authenticatie moet zijn ingeschakeld, dient de aanvaller ook de gebruikersnaam van een Zabbix-gebruiker te weten. Dat is volgens de onderzoekers geen probleem, aangezien de Zabbix-frontend standaard met een Admin-gebruiker wordt geconfigureerd. De impact van de kwetsbaarheid, aangeduid als CVE-2022-23131, is op een schaal van 1 tot en met 10 met een 9.1 beoordeeld. Zodra aanvallers als beheerder op de Zabbix-server zijn ingelogd kunnen ze niet alleen willekeurige code op de Zabbix-server uitvoeren, maar ook op alle clients waarop de agent draait. Dit is de software waarmee Zabbix andere systemen monitort. Het uitvoeren van code via de agent zou wel moeten zijn geconfigureerd, wat standaard niet het geval is. Een andere mogelijkheid om clients via de agent aan te vallen is via een andere kwetsbaarheid in de Zabbix-software (CVE-2021-46088). SonarSource ontdekte ook een tweede probleem (CVE-2022-23134) waardoor het bestand setup.php niet alleen toegankelijk is voor super-administrators, maar ook voor ongeauthenticeerde gebruikers. Daardoor is het mogelijk om configuratiebestanden te overschrijven, ook al draait de Zabbix Web Frontend al. Door de configuratie naar een malafide database te laten wijzen kunnen aanvallers zo toegang tot het Zabbix-dashboard krijgen. De kwetsbaarheden werden op 18 november vorig jaar aan Zabbix gerapporteerd. Op 14 december verscheen een update, maar die bleek de problemen niet te verhelpen en kon worden omzeild. Op 22 december deed Zabbix een tweede poging die wel afdoende bleek. Op 29 december bracht het bedrijf een advisory uit. SonarSource publiceerde op 16 februari de details van beide kwetsbaarheden. Gisteren waarschuwde het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security voor actief misbruik van beide kwetsbaarheden en heeft federale overheidsinstanties in de VS verplicht de updates voor 8 maart te installeren. bron: https://www.security.nl

Google test op dit moment een nieuwe optie die het mogelijk voor Chrome-gebruikers maakt om opmerkingen aan opgeslagen wachtwoorden in de wachtwoordmanager toe te voegen. Dat ontdekte een lezer van Reddit. Enige tijd geleden introduceerde Google al de mogelijkheid om handmatig wachtwoorden aan de wachtwoordmanager toe te voegen. Door de nieuwe optie kunnen gebruikers opgeslagen wachtwoorden van allerlei opmerkingen voorzien, zoals wanneer het wachtwoord is opgeslagen of aanvullende informatie over de betreffende website of account. De feature is nu beschikbaar in Chrome Canary versie 101. Het gaat hier om een vroege testversie van de browser. De uiteindelijke release van Chrome 101 staat voor eind april of begin mei gepland. bron: https://www.security.nl

Criminelen maken actief misbruik van een kritieke kwetsbaarheid in beveiligingscamera's van fabrikant Hikvision. De apparaten worden onderdeel gemaakt van een botnet dat ddos-aanvallen uitvoert, maar zijn ook te gebruiken voor verdere aanvallen tegen het achterliggende netwerk, zo waarschuwt securitybedrijf Rapid7. Sinds vorig jaar september zijn er beveiligingsupdates voor het lek beschikbaar. De kwetsbaarheid, aangeduid als CVE-2021-36260, is aanwezig in de webserver van de Hikvision-camera's en wordt door een onvoldoende controle van gebruikersinvoer veroorzaakt. Door het versturen van speciaal geprepareerd request is het mogelijk voor een aanvaller om een onbeperkte rootshell op het apparaat te krijgen. De aanvaller hoeft daarbij niet over inloggegevens te beschikken. De enige voorwaarde om de aanval uit te voeren is dat een aanvaller toegang tot de ip-camera heeft. Er is ook geen interactie van de gebruiker vereist. Via de rootshell heeft de aanvaller volledige controle over de ip-camera en kan zo meekijken of malware installeren. Daarnaast is het mogelijk om vanaf de gecompromitteerde camera het achterliggende netwerk aan te vallen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 met een 9.8 beoordeeld. Via zoekmachine Shodan zijn meer dan drie miljoen Hikvision-apparaten te vinden. Hoewel alleen een subset van modellen kwetsbaar is, gaat het nog steeds om mogelijk veel kwetsbare camera's, meldt Rapid7. De camera's beschikken niet over een automatische updatefunctie en worden binnen het patchmanagement vaak vergeten, waardoor gebruikers en organisaties met kwetsbare apparaten blijven zitten, zo laat het securitybedrijf verder weten. Sinds afgelopen december maakt het ddos-botnet Moobot gebruik van de kwetsbaarheid om Hikvision-camera's te infecteren en voor ddos-aanvallen te gebruiken. Volgens Rapid7 is dat niet de grootste zorg. Een veel groter probleem is dat aanvallers de gecompromitteerde camera's als springplank voor aanvallen tegen het achterliggende netwerk kunnen gebruiken. "En omdat de camera geen manier heeft om interne malware te vinden en verwijderen, is het een ideale plek voor een aanvaller om zich te verbergen en aanvallen vandaan uit te voeren", aldus de onderzoekers. bron: https://www.security.nl

De logistieke gigant Expeditors is door een cyberaanval wereldwijd platgelegd. Het zou mogelijk om een ransomware-aanval gaan, maar dat is nog niet door het Fortune 500-bedrijf bevestigd. Expeditors telt meer dan 18.000 medewerkers in meer dan honderd landen. Het verzorgt logistieke en douanediensten voor lucht- en zeevracht. Het bedrijf had in het derde kwartaal van vorig jaar een omzet van 4,3 miljard dollar. Na ontdekking van de aanval besloot Expeditors de meeste systemen wereldwijd uit te schakelen. Daardoor is de bedrijfsvoering ernstig beperkt, aldus een verklaring. "Aangezien het nog zeer vroeg in het proces is, kunnen we geen voorspellingen doen wanneer we mogelijk weer operationeel zijn, maar we zullen updates verstrekken wanneer dit mogelijk is." Verder stelt Expeditors dat de cyberaanval voor een schadepost zal zorgen vanwege het onderzoek en herstel. Afhankelijk van de duur dat het bedrijf plat ligt kan het een aanzienlijke impact op de bedrijfsvoering, omzet en reputatie hebben, zo laat de verklaring verder weten. De aanval deed zich afgelopen zondag voor. Gisteren meldde het bedrijf via de eigen website dat de bedrijfsvoering nog altijd getroffen is. bron: https://www.security.nl

Bij het gebruik van Microsoft Teams, OneDrive en SharePoint door de Rijksoverheid en universiteiten zijn er verschillende privacyrisico's, zo blijkt uit onderzoek van de Haagse Privacy Company dat werd uitgevoerd in opdracht van het ministerie van Justitie en Veiligheid en SURF, de ict-inkooporganisatie van hogescholen en universiteiten. Dit is het derde onderzoek dat Privacy Company op deze diensten heeft uitgevoerd sinds Microsoft uitgebreide nieuwe privacy-afspraken heeft gemaakt met de Nederlandse overheid en de universiteiten voor alle werknemers. Voor het onderzoek werd gekeken naar de risico's van het verzamelen en verwerken van zogenaamde diagnostische gegevens. Het gaat dan om informatie over het individuele gebruik van de diensten, zoals wie er met Teams belt en wordt gebeld, aan een chat of intranetpagina toegevoegde afbeeldingen en het soort geschreven, gelezen en gedeelde documenten. Ook keek het onderzoek naar de privacyrisico’s van het gebruik van Microsofts cloud voor de inhoudelijke gegevens die via deze diensten zijn te delen. Het onderzoek leverde zes privacyrisico's op die als laag zijn geclassificeerd en een hoog privacyrisico bij het gebruik van Teams om zeer gevoelige en bijzondere categorieën gegevens te verwerken. De lage privacyrisico's bestaan onder andere uit het verlies van controle en oneigenlijke verdere verwerking vanwege de incidentele verwerking van padnamen, gebruikersnamen en e-mailadressen in specifieke telemetrieberichten over OneDrive, beperkingen op het recht van inzage en oneigenlijke verdere verwerking door derde partijen. Het hoge privacyrisico bij het gebruik van Teams doet zich voor vanwege de mogelijke toegang door Amerikaanse opsporings- en veiligheidsdiensten. Het gaat dan specifiek om bijzondere persoonsgegevens die niet met een eigen sleutel zijn versleuteld. "De belangrijkste maatregel die organisaties in Europa kunnen nemen tegen dit risico van massasurveillance is het versleutelen van de gegevens met een eigen sleutel, waar ook een leverancier zoals Microsoft geen toegang toe heeft", aldus Privacy Company. Volgens de onderzoekers zouden organisaties geen gevoelige of bijzondere persoonsgegevens via Teams mogen uitwisselen, tenzij de gegevens van nature openbaar zijn, omdat zij geen controle hebben over de encryptiesleutels. Om gevoelige en bijzondere persoonsgegevens te beschermen in OneDrive en SharePoint kunnen organisaties gebruik maken van Microsofts Double Key Encryption (DKE). Conclusie Privacy Company stelt in de conclusie dat Microsoft meer aanpassingen en verbeteringen moet doorvoeren om het hoge privacyrisico en de zes vastgestelde lage risico's te beperken. Zo moet het techbedrijf bekendmaken wanneer end-to-end encryptie voor alle Teams-uitwisselingen beschikbaar is. Ook moet Microsoft ervoor zorgen dat standaardinstellingen privacyvriendelijk zijn. Onlangs kondigden de Europese privacytoezichthouders (EDPB) een groot onderzoek aan naar het gebruik van clouddiensten door overheidsinstanties. "Als de EDPB het risico van doorgifte toch hoger zou inschatten, zelfs nadat Microsoft de EU Data Boundary heeft voltooid, kunnen organisaties in Nederland eigenlijk geen gebruik meer maken van diensten van Amerikaanse providers, en heeft dit veel grotere gevolgen dan alleen het gebruik van deze Microsoft-diensten", zo waarschuwen de onderzoekers. Naast het onderzoek geeft Privacy Company ook tips voor het instellen van Microsofts clouddiensten. bron: https://www.security.nl

De Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert, gaat vanaf volgende maand alle houders van opgezegde .nl-domeinnamen waarschuwen wanneer het domein nog mailverkeer ontvangt. Dit zou datalekken moeten voorkomen. De proef duurt een jaar en registrars krijgen de mogelijkheid om zich af te melden. De afgelopen jaren vonden er meerdere datalekken plaats doordat organisaties domeinnamen opzegden waar nog steeds e-mail naar werd toegestuurd, en deze domeinnamen door iemand anders werden geregistreerd. SIDN heeft een systeem ontwikkeld genaamd Lemmings (deLetEd doMain MaIl warNinG System) dat dergelijke datalekken moet voorkomen. Opgezegde .nl-domeinnamen worden na een afkoelperiode van veertig dagen voor iedereen beschikbaar. Lemmings kijkt naar het dns-verkeer dat van dag 20 tot dag 30 in deze periode naar het opgezegde domeinnaam wordt verstuurd. Het berekent voor elke domeinnaam een aantal statistieken, zoals het aantal ontvangen mx-query's per dag. Op basis van de analyse wordt er op dag 30 van de quarantaineperiode automatisch een waarschuwing naar de voormalige houder gestuurd dat er nog legitieme mail naar de domeinnaam gaat. Onder legitieme mail verstaat SIDN alle mail die door een persoon of entiteit gericht is verstuurd naar een ontvanger en geen onderdeel uitmaakt van een grotere campagne. Zo worden spam, marketingmail, socialmedia en bulk-email niet als legitiem gezien. Daarnaast analyseert Lemmings of een opgeheven domeinnaam mogelijk in gebruik was door een bedrijf of organisatie waarvoor bijvoorbeeld privacy bijzonder belangrijk is. Het gaat dan bijvoorbeeld om zorginstelling of een advocatenkantoor. Op basis van een algoritme worden domeinnamen automatisch in een risicocategorie ingedeeld. Hiervoor maakt het systeem gebruik van een lijst met trefwoorden, zoals 'huisarts' of 'advocatenkantoor'. Wanneer de domeinhouder op dag dertig een waarschuwing ontvangt heeft hij nog tien dagen de mogelijkheid om de domeinnaam eventueel uit quarantaine te halen, of andere acties te ondernemen. SIDN benadrukt dat het in het dns-verkeer niets kan zien met betrekking tot het daadwerkelijke mailverkeer, dus ook niet de inhoud van de mail, het onderwerp of de naam van de afzender of de ontvanger. Tijdens twee proeven die vorig jaar plaatsvonden werd in totaal voor 1408 domeinen een waarschuwing verstuurd. Daarvan werden er vijf weer uit quarantaine gehaald. Dat is 0,4 procent van alle gewaarschuwde domeinnamen. Van alle .nl-domeinnamen die in dezelfde periode opgezegd werden, werd maar 0,2 procent weer uit quarantaine gehaald. Op basis van deze proeven heeft SIDN nu besloten om het systeem voor alle .nl-domeinen in te zetten. Het gaat om een proef die een jaar zal duren en meer informatie over de impact van het systeem moet opleveren. Deze derde proef zal naar verwachting in maart starten. Registrars die niet mee willen doen krijgen de optie om zich af te melden. Uiterlijk twee weken voor de start van de nieuwe proef zal SIDN .nl-registrars hierover informeren. bron: https://www.security.nl

Soms kan het zijn dat door een doorgevoerde update je de modem in de ochtend even moet resetten. Ik weet niet hoe KPN hier de klant van op de hoogte brengt. Van Ziggo krijg ik altijd van te voren een melding wanneer er werkzaamheden zijn en mogelijk je de modem in de ochtend even moet resetten. Dus ja, het zou kunnen.

WordPress heeft op 2,8 miljoen websites die gebruikmaken van de UpdraftPlus-plug-in een beveiligingsupdate geïnstalleerd. Via de kwetsbaarheid kan een aanvaller toegang tot databaseback-ups krijgen, die gebruikersnamen en gehashte wachtwoorden kunnen bevatten. UpdraftPlus is een plug-in voor het maken van back-ups van WordPress-sites naar de cloud. Zo is het mogelijk om direct een back-up in bijvoorbeeld Dropbox of Google Drive op te slaan. Een kwetsbaarheid in de plug-in maakt het mogelijk voor gebruikers met een account, waaronder het allerlaagste subscriber-niveau, om back-ups van de website te downloaden. De kwetsbaarheid, aangeduid als CVE-2022-0633, werd gevonden door securitybedrijf Jetpack. De ontwikkelaars van UpdraftPlus werden op 14 februari over het probleem ingelicht en kwamen op 16 februari met versie 1.22.3 waarin het probleem is verholpen. Vervolgens werd door WordPress tot "forced auto-updates" besloten. UpdraftPlus is op meer dan drie miljoen websites geïnstalleerd. Uit cijfers van WordPress blijkt dat zo'n 2,8 miljoen websites de update inmiddels hebben ontvangen. Het komt zelden voor dat WordPress een update geforceerd uitrolt. Vorig jaar deed het dit onder andere voor lekken in een WooCommerce-plug-in en de Jetpack-plug-in.

Er is een nieuwe versie van de browser Opera verschenen die gevoelige data in het clipboard beschermt tegen aanpassingen door externe applicaties. Vorig jaar bleek dat criminelen door middel van malware die het clipboard aanpast honderdduizenden euro's wisten te stelen. Gebruikers van cryptovaluta die een betaling willen doen of geld naar een andere wallet willen overmaken kopiëren hiervoor vaak het walletadres van de begunstigde en plakken dat vervolgens in een veld op de transactiepagina. Op dat moment bevindt het adres zich in het clipboard van de computer. Malware op de computer kan het adres aanpassen, waardoor de aanvaller het geld ontvangt. Opera zegt dat het met "Paste Protection" een manier heeft gevonden om gebruikers te beschermen tegen het aanpassen van hun clipboard. Wanneer gebruikers gevoelige data kopiëren monitort Opera de data op aanpassingen tot de gebruiker die plakt. Wanneer een externe applicatie de data in het clipboard wijzigt toont de browser een waarschuwing. De feature verscheen eerder in een ontwikkelaarsversie en is nu beschikbaar in Opera 84.

Onderzoekers van securitybedrijf Qualys hebben een kwetsbaarheid in Ubuntu gevonden waardoor een ongeprivilegieerde gebruiker rootrechten kan krijgen. Er zijn updates uitgebracht om het probleem te verhelpen. De kwetsbaarheid, aangeduid als CVE-2021-44731 en "Oh Snap! More Lemmings", is aanwezig in Snap, een door Canonical ontwikkelde packagemanager voor Linux. De packages worden snaps genaamd en zijn via de tool snapd te gebruiken. Ze werken op allerlei Linux-distributies en maken het mogelijk voor softwareontwikkelaars om hun applicaties direct onder gebruikers te verspreiden. Snaps zijn 'self-contained' applicaties die binnen een eigen sandbox draaien. Snapd maakt gebruik van het SUID-root programa snap-confine om de omgeving voor snap-applicaties te genereren. Vanwege de 31ste verjaardag van het computerspel Lemmings besloot Qualys de kwetsbaarheid hiernaar te vernoemen. Het beveiligingslek wordt veroorzaakt door een zogeheten race-condition in snap-confine waardoor een lokale gebruiker zonder rechten uiteindelijk code met rootrechten kan uitvoeren, zoals hieronder wordt uitgelegd. De standaardinstallatie van Ubuntu Desktop is kwetsbaar. In het geval van Ubuntu Server gaat het om een "bijna" standaardinstallatie, aldus de onderzoekers. Ubuntu werd op 27 oktober vorig jaar over het lek ingelicht en kwam begin deze maand met updates.

Nog een aantal weken en dan verschijnt versie 100 van Google Chrome en Mozilla Firefox en het driecijferige versienummer kan voor problemen met websites zorgen. Daarvoor waarschuwt Mozilla. Browsers versturen bij het bezoeken van websites de User-Agent string, die informatie over de browser en het systeem van de gebruiker bevat, waaronder het versienummer van de browser. Webontwikkelaars gebruiken allerlei technieken om deze strings te verwerken, van zelfontwikkelde code tot parsing libraries. De overstap van een tweecijferig versienummer naar een driecijferig versienummer kan voor problemen met het laden en functioneren van websites zorgen wanneer websites een tweecijferig versienummer verwachten en er een driecijferig versienummer wordt verstuurd. Bij de overstap van een eencijferig versienummer naar een tweecijferig versienummer, zo'n twaalf jaar geleden, zorgde dit voor allerlei problemen. Sindsdien hebben libraries de logica verbeterd, waardoor wordt verwacht dat de overstap naar een driecijferig versienummer minder grote gevolgen zal hebben. Zowel Google als Mozilla hebben inmiddels tests uitgevoerd om eventuele problemen te identificeren en verhelpen. Wanneer blijkt dat versienummer 100 voor grootschalige problemen zorgt kan Mozilla besluiten om op versienummer 99 terug te vallen. Iets dat ook Google zal doen. Tot de release van Chrome 100 op 29 maart en Firefox 100 op 3 mei worden webontwikkelaars opgeroepen om hun websites en webapplicaties te testen en waar nodig aan te passen. bron: https://www.security.nl

QNAP gaat verschillende NAS-systemen die end-of-life zijn en zodoende niet meer worden ondersteund tot het einde van dit jaar van kritieke beveiligingsupdates voorzien. Dit moet gebruikers tegen "evoluerende securitydreigingen" beschermen en ze meer tijd geven om hun NAS-systeem te upgraden. QNAP voorziet NAS-systemen normaliter vier jaar na de end-of-life datum van beveiligingsupdates. Voor sommige van deze systemen heeft de NAS-fabrikant besloten om tot oktober van dit jaar beveiligingsupdates uit te blijven brengen. Het gaat om NAS-apparaten die over een x86 64-bit of ARM-processor beschikken en QTS 4.2.6, 4.3.3, 4.3.6 of 4.4.1 draaien. De ondersteuning van deze NAS-modellen is wel beperkt tot beveiligingsupdates die als "high" en "kritiek" zijn aangemerkt. Verder adviseert QNAP dat eigenaren van een end-of-life systeem het NAS-apparaat niet met internet verbinden. bron: https://www.security.nl