Captain Kirk

De Apache Software Foundation is teleurgesteld over het grote aantal gebruikers van Log4j 1, de eerste versie van de inmiddels wereldwijd bekende loggingsoftware die sinds augustus 2015 niet meer wordt ondersteund. Gebruikers werden opgeroepen om te upgraden naar Log4j 2. Desondanks wordt Log4j 1 nog veel gebruikt. "Het is teleurstellend om te zien hoeveel gebruikers nog steeds op Log4j 1.x zitten. Het leidt af van de reactie op de Log4j 2.x-problemen", zegt Christian Grobmeier van Apache Software Foundation en onderdeel van het Log4j-team tegenover The Record. Ondanks het gebruik van deze versie heeft alle aandacht voor de kwetsbaarheden in Log4j 2 er wel voor gezorgd dat mensen nu meer aandacht besteden aan hun dependencies en de libraries die ze dagelijks gebruiken, aldus Grobmeier. Hij is het er niet mee eens dat de Log4j-kwetsbaarheid door sommige mensen als het ergste beveiligingslek ooit wordt genoemd. "Er zijn aardig wat grote beveiligingsproblemen in de industrie geweest." Ook vindt Grobmeier dat de kwetsbaarheid in Log4j 2, die op een schaal van 1 tot en met 10 met een 10 werd beoordeeld, geen "eenvoudige" kwetsbaarheid is en wel zou zijn gevonden wanneer het Log4j-team over meer financiële middelen beschikte. Een ander veel gehoord kritiekpunt was dat Log4j door een klein aantal mensen wordt onderhouden. Op de vraag of meer "ogen" hadden meegeholpen bij het vinden van meer kwetsbaarheden antwoordt Grobmeier dat meer geld geen magische oplossing is voor het vinden van alle beveiligingsproblemen. Wel staat het Apache-team open voor beveiligingsexperts die willen meezoeken naar kwetsbaarheden in Log4j en andere projecten. bron: https://www.security.nl

Google heeft een nieuwe versie van Chrome uitgebracht die meerdere beveiligingslekken verhelpt, waaronder opnieuw een kwetsbaarheid in de beveiligingsfunctie Safe Browsing. Via deze feature waarschuwt Google gebruikers voor malafide websites en downloads, zoals phishingsites en besmette apps. Recentelijk werd er een kritiek beveiligingslek in deze beveiligingsfunctie gevonden. De nu door Google verholpen kwetsbaarheid is beoordeeld als 'high'. Via dergelijke kwetsbaarheden kan een aanvaller in het ergste geval code binnen de context van de browser uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Het beveiligingslek is op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Ook de 26 andere beveiligingslekken die Google met de nu uitgebrachte update verhelpt zijn maximaal beoordeeld als high. De onderzoeker die het beveiligingslek in Safe Browsing rapporteerde ontving voor zijn melding een beloning van 20.000 dollar. Een zelfde bedrag keerde Google uit voor een kwetsbaarheid in Reader Mode. Details over de beveiligingslekken zijn verder niet gegeven. Updaten naar Chrome 98.0.4758.80/81/82 voor Windows en Chrome 98.0.4758.80 voor macOS en Linux zal op de meeste systemen automatisch gebeuren. bron: https://www.security.nl

De gratis e-maildienst die zoekmachine DuckDuckGo vorig jaar lanceerde ondersteunt nu ook replies vanaf Duck-adressen. Email Protection, zoals de dienst heet, is een forwardingdienst die e-mails op een persoonlijk duck.com e-mailadres filtert en doorstuurt naar het echte e-mailadres van de gebruiker. Volgens DuckDuckGo komt het vaak voor dat websites e-mailadressen van hun gebruikers uploaden naar Facebook en Google voor gerichte advertenties, of dat het e-mailadres van een gebruiker door een datalek op straat komt te liggen. Door het gebruik van een e-mailforward blijft het echte e-mailadres beschermd. Daarnaast zijn de duck.com e-mailadressen eenvoudig uit te schakelen wanneer die teveel spam ontvangen. Er is nu een nieuwe feature aan de e-maildienst toegevoegd waardoor gebruikers vanaf hun Duck.com-adres kunnen antwoorden. In een uitleg over de feature staat dat bij het beantwoorden vanaf Duck-adressen het antwoord via Duck.com wordt verstuurd. Daarbij krijgt de ontvanger het Duck-adres te zien waar de oorspronkelijk e-mail naar was toegestuurd. In het geval gebruikers een Duck-adres hebben aangemaakt waarbij e-mails worden doorgestuurd naar een uniek domein zonder SPF-records, worden replies vanaf Duck-adressen niet ondersteund. Het Sender Policy Framework (SPF) moet e-maildomeinen tegen spoofing beschermen. Email Protection is beschikbaar in de apps van DuckDuckGo en bevindt zich nog in de bètafase. Geïnteresseerde gebruikers kunnen zich via een wachtlijst aanmelden. bron: https://www.security.nl

Securitybedrijf Emsisoft heeft een gratis tool uitgebracht die slachtoffers van de Deadbolt-ransomware moet helpen bij het ontsleutelen van hun QNAP-systeem. De tool werkt alleen als slachtoffers het losgeld hebben betaald. Vorige week raakte naar schatting zo'n vijfduizend NAS-systemen van fabrikant QNAP besmet met de Deadbolt-ransomware. Deze ransomware maakt misbruik van een kwetsbaarheid in de QTS-firmware om bestanden op het NAS-apparaat te versleutelen. Slachtoffers moeten zo'n duizend euro losgeld betalen voor het ontsleutelen van hun bestanden. Afgelopen donderdag installeerde QNAP op tal van kwetsbare NAS-systemen de meest recente firmware-update waarmee de gebruikte kwetsbaarheid wordt verholpen. Daarnaast plaatst deze firmware-update de Deadbolt-ransomware in quarantaine. Dit heeft gevolgen voor gebruikers, aangezien daarmee ook de Deadbolt-pagina van het NAS-systeem verdwijnt die nodig is voor de decryptie van bestanden. QNAP liet weten dat het gebruikers kan helpen bij het terugplaatsen van deze pagina. Emsisoft heeft echter een gratis decryptietool uitgebracht die versleutelde bestanden ook zonder de Deadbolt-pagina kan ontsleutelen. Gebruikers moeten echter wel over de decryptiesleutel beschikken om de tool te kunnen gebruiken. bron: https://www.security.nl

Nog zeker een half miljoen WordPress-sites zijn kwetsbaar door een kritieke kwetsbaarheid in een populaire plug-in. Via het beveiligingslek, aanwezig in de plug-in Essential Addons for Elementor, kan een aanvaller kwetsbare websites op afstand overnemen. Elementor is een zogeheten "page builder" plug-in die de standaard WordPress-editor vervangt. Het biedt gebruikers meer vrijheid en mogelijkheden voor het vormgeven van hun WordPress-site en introduceert allerlei extra functionaliteit. Voor Elementor zijn allerlei uitbreidingen beschikbaar, waaronder Essential Addons. Deze uitbreiding voorziet Elementor van meer dan tachtig elementen en extensies. Een kwetsbaarheid in de uitbreiding zorgt ervoor dat een willekeurige gebruiker, ongeacht authenticatie en autorisatie, een bestand met malafide PHP-code kan uploaden waardoor remote code execution mogelijk is. Het beveiligingslek werd op 25 januari door securitybedrijf Patchstack aan de ontwikkelaars gemeld. Die kwamen op 28 januari met versie 5.0.5 waarin de kwetsbaarheid volledig is verholpen. Essential Addons is op meer dan een miljoen WordPress-sites geïnstalleerd. Volgens cijfers van WordPress draait 53 procent van de installaties versie 4.9 of ouder, die ook kwetsbaar zijn. Het zou dan om 530.000 websites gaan. Sinds het uitkomen van de update is de plug-in 443.000 keer gedownload, wat suggereert dat de meeste installaties met versie 5 inmiddels zijn geüpdatet. bron: https://www.security.nl

Er is een kritieke kwetsbaarheid in een VFS-module van Samba gevonden waardoor een aanvaller op afstand op kwetsbare systemen code als root kan uitvoeren. Samba heeft beveiligingsupdates uitgebracht om de kwetsbaarheid, aangeduid als CVE-2021-44142, te verhelpen. Samba is een opensourceprogramma dat van het smb-protocol gebruikmaakt en bijvoorbeeld Windows-machines met Unix-machines via zowel lokale netwerken als het internet laat communiceren. Via verschillende Virtual File System (VFS) modules is het mogelijk om de mogelijkheden van Samba verder uit te breiden. Een van deze modules is vfs_fruit, die voor betere compatibiliteit met Apple Server Message Block (SMB) clients en interoperabiliteit met Netatalk 3 Apple Filing Protocol (AFP) fileservers zorgt. Een remote aanvaller met schrijftoegang tot de extended file attributes van vfs_fruit kan willekeurige code met de rechten van de Samba-daemon uitvoeren, wat meestal root is. De kwetsbaarheid werd gevonden door de bekende beveiligingsonderzoeker Orange Tsai van securitybedrijf DEVCORE. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 met een 9.9 beoordeeld. Beheerders wordt aangeraden om te updaten naar 4.13.17, 4.14.12 of 4.15.5. Een andere oplossing is het uitschakelen van vfs_fruit. bron: https://www.security.nl

QNAP verklaart installatie van firmware-update op NAS-systemen QNAP heeft meer informatie gegeven over de firmware-update die het vorige week op tal van NAS-systemen installeerde om die zo tegen de Deadbolt-ransomware te beschermen. Deadbolt maakt misbruik van een kwetsbaarheid in de QTS-firmware waardoor het mogelijk is voor aanvallers om willekeurige code op systemen uit te voeren. Het beveiligingslek werd afgelopen december verholpen. Vorige week waarschuwde QNAP gebruikers voor de Deadbolt-ransomware. Kort daarna lieten allerlei gebruikers weten dat hun NAS-systeem ongevraagd was geüpdatet en ze de installatie van automatische updates nooit zelf hadden ingeschakeld. Sommige gebruikers spraken zelfs van een backdoor. QNAP heeft vandaag meer informatie over het proces gegeven. Met de lancering van QTS 4.5 voegde QNAP een optie toe voor de automatische installatie van updates. Deze optie stond standaard uitgeschakeld. Vorig jaar juni verscheen QTS 4.5.3 waarin QNAP de optie voor de installatie van "aanbevolen versies" standaard inschakelde. Dit stond in de release notes vermeld. Om gebruikers tegen de Deadbolt-ransomware te beschermen besloot QNAP vorige week om de firmware-update van december als een "aanbevolen" update te bestempelen, waardoor die automatisch bij gebruikers kon worden geïnstalleerd. "De aanbevolen versie geldt niet voor elke update. Daardoor beseften mensen niet dat de installatie van aanbevolen updates op hun NAS stond ingeschakeld", zegt een medewerker van QNAP vandaag op het forum van de NAS-fabrikant. In een verdere verklaring erkent QNAP dat services die op de NAS draaien tijdens de update kunnen worden onderbroken. "We zoeken continu naar manieren om onze producten te verbeteren. Toekomstige software-updates kunnen aanpassingen bevatten die gebruikers beter het updateproces laten beheren", aldus het bedrijf. Dat stelt verder dat gebruikers het automatisch updaten kunnen uitschakelen. bron: https://www.security.nl

QNAP heeft naar eigen zeggen achterhaald hoe de Deadbolt-ransomware wereldwijd NAS-systemen infecteert, maar details zijn nog niet openbaar gemaakt, behalve dat de laatste firmware-update deze vectoren verhelpt. Volgens Censys zijn nog vierduizend door Deadbolt versleutelde NAS-systemen vanaf het internet toegankelijk. Op het hoogtepunt waren dat er vijfduizend. Vorige week woensdag kwam QNAP met een waarschuwing voor de Deadbolt-ransomware en adviseerde NAS-gebruikers om hun systeem niet direct vanaf het internet toegankelijk te maken. Deadbolt versleutelt bestanden op NAS-systemen en eist zo'n duizend euro losgeld voor het ontsleutelen. De aanvallers achter de ransomware claimen dat ze van een zerodaylek gebruikmaken voor het infecteren van QNAP-systemen. Geforceerde firmware-update Na de waarschuwing lieten gebruikers weten dat QNAP zonder hun toestemming een firmware-update had geïnstalleerd. De communicatie vanuit QNAP hierover is nogal gebrekkig te noemen. Zo vindt die plaats via Reddit en is op z'n minst onduidelijk. In een eerste verklaring vier dagen geleden liet een QNAP-medewerker weten dat bij NAS-systemen waar het installeren van "recommended updates" was ingeschakeld, er een firmware-update automatisch was geïnstalleerd om gebruikers tegen de ransomware te beschermen. QNAP heeft vorig jaar april een update uitgebracht die er vanaf dan voor zorgt dat "recommended firmware-updates" automatisch worden geïnstalleerd. Gebruikers wezen dan ook naar deze optie als verklaring voor de installatie van de firmware-update. Verschillende gebruikers stelden dat ze de automatische installatie van updates hadden uitgeschakeld. In een andere verklaring lijkt QNAP toch te stellen dat het om een geforceerde update gaat. Volgens de QNAP-medewerker is erin het configuratiescherm van het NAS-systeem een melding getoond dat de installatie van aanbevolen updates binnenkort zou worden ingeschakeld om gebruikers tegen de Deadbolt-ransomware te beschermen. Veel gebruikers zouden deze boodschap echter hebben gemist. Gebruikers zijn niet blij over deze werkwijze en spreken van een backdoor. "Ik weet zeker dat ik auto-updates had uitgeschakeld. Maar klaarblijkelijk is er een backdoor aanwezig waardoor ze updates kunnen doorvoeren", zegt een ontevreden gebruiker. Andere gebruikers melden dat de geforceerde update bij hen voor problemen zorgt. De betreffende firmware-update verhelpt meerdere kwetsbaarheden in onder andere Samba, de opensourcesoftware die van het smb-protocol gebruikmaakt en bijvoorbeeld Windows-machines met Unix-machines via zowel lokale netwerken als het internet laat communiceren. Of en welke van deze beveiligingslekken Deadbolt misbruik maakt is op dit moment nog onduidelijk. Daarnaast plaatst de vorige week uitgerolde update de Deadbolt-ransomware in quarantaine. Dit heeft gevolgen voor gebruikers, aangezien daarmee ook de Deadbolt-pagina van het NAS-systeem verdwijnt die nodig is voor de decryptie van bestanden. QNAP laat weten dat de helpdesk deze pagina kan terugplaatsen, zodat gebruikers die het losgeld betalen en over een decryptiesleutel beschikken hun bestanden kunnen ontsleutelen. bron: https://www.security.nl

Windowscomputers moeten minimaal acht uur online zijn om betrouwbaar te kunnen updaten, zo stelt Microsoft op basis van eigen onderzoek. Systemen die hier niet aan voldoen kunnen beveiligingsupdates en andere patches niet succesvol installeren en lopen daardoor risico. Volgens data van Microsoft moet een systeem minimaal twee uur achter elkaar met internet zijn verbonden, en daarnaast nog eens zes uur online zijn, voor de succesvolle installatie van updates. Van de Windows 10-systemen die op een niet meer ondersteunde versie van Windows 10 draaien blijkt de helft niet lang genoeg online te zijn om betrouwbaar te kunnen updaten. Van de Windows 10-systemen met een wel ondersteunde Windows 10-versie loopt een kwart zestig dagen achter met beveiligingsupdates en is niet lang genoeg online. Microsoft stelt dat organisaties hun medewerkers kunnen aanmoedigen om systemen 's nachts niet uit te schakelen, zodat beveiligingsupdates zonder problemen kunnen worden gedownload en geïnstalleerd. Verder wordt gewezen naar het juist toepassen van power management. Bepaalde energie-instellingen kunnen een systeem te snel in hibernation plaatsen, waardoor het niet meer mogelijk wordt om updates buiten de actieve uren te installeren. bron: https://www.security.nl

De meeste gebruikers van Tor Browser kiezen de browser voor het beschermen van hun persoonlijke privacy, zo blijkt uit onderzoek onder meer dan vijftigduizend gebruikers dat door het Tor Project werd uitgevoerd. Via Tor Browser maken gebruikers verbinding met het Tor-netwerk, dat hun ip-adres afschermt en andere privacybeschermende technieken toepast. Via de browser is het ook mogelijk om gecensureerde websites te bezoeken. Het Tor Project, dat Tor Browser en het Tor-netwerk onderhoudt, wilde meer weten over hoe mensen de browser gebruiken en voor welke redenen. 81 procent van de deelnemers aan het onderzoek liet weten Tor Browser te gebruiken voor het beschermen van de persoonlijke privacy. Ideologische redenen volgen op een tweede plek (37 procent), gevolgd door het omzeilen van censuur (27 procent). Een kleine minderheid van de gebruikers, zo'n elf procent, gebruikt de browser elke dag. Zo'n 23 procent start Tor Browser tenminste één keer per dag. Een zelfde percentage doet dit minstens één keer per week. Een andere 23 procent start Tor Browser zeer zelden. Verder blijkt dat Tor Browser voor Android vaker wordt gebruikt dan Tor Browser voor Desktop. Om de privacy van gebruikers te beschermen loopt het verkeer van Tor-gebruikers over meerdere servers. Deze servers zijn afkomstig van vrijwilligers die het netwerk ondersteunen. Een veel gehoorde klacht is dat het Tor-netwerk traag is. Naast de soms trage snelheid is het ook het blokkeren van Tor Browser door websites een grote ergernis onder gebruikers. Het Tor Project heeft eerder al aangegeven dat het meer wil doen om de snelheid van het netwerk te verbeteren. bron: https://www.security.nl

Onderzoekers van Cisco hebben in een beveiligingscamera van fabrikant Reolink meer dan zeventig kwetsbaarheden ontdekt waardoor het mogelijk is voor aanvallers om de camera over te nemen, uit te schakelen, mee te kijken of beelden te verwijderen. De Reolink RLC-410W is een via wifi verbonden beveiligingscamera met onder andere bewegingssensoren en verschillende manieren om opnames op te slaan en te bekijken. De camera wordt ook in Nederland verkocht. De Cisco-onderzoekers vonden 66 beveiligingslekken waardoor het mogelijk is om zonder permissie een reboot van de beveiligingscamera te veroorzaken. Alleen het versturen van een speciaal geprepareerd http-request is voldoende om het server-proces uit te schakelen en een reboot te veroorzaken. De impact van deze beveiligingslekken is op een schaal van 1 tot en met 10 met een 8,6 beoordeeld. Daarnaast vonden de onderzoekers ook dat de camera kwetsbaar is voor command injection. Door het versturen van speciaal geprepareerde http-requests kan een aanvaller willekeurige code op het apparaat uitvoeren. De impactscore van deze zes beveiligingslekken is 9.1. Twee andere beveiligingslekken, mede door een hardcoded TLS-key, maken het mogelijk voor een aanvaller om zich als de camera voor te doen en zo inloggegevens te onderscheppen waarmee er beheerderstoegang tot de camera kan worden verkregen. Verder is het voor een ongeauthenticeerde aanvaller mogelijk om de sd-kaart in de camera te formatteren. Reolink werd op 6 december over de kwetsbaarheden gewaarschuwd en bracht op 19 januari een firmware-update uit. Gebruikers wordt aangeraden om naar de nieuwste versie te updaten. bron: https://www.security.nl

De Duitse inlichtingendienst BfV heeft bedrijven in Duitsland gewaarschuwd voor cyberspionage door een groep aanvallers genaamd APT27. Deze groep zou vanuit China opereren en gebruikmaken van bekende kwetsbaarheden in Microsoft Exchange Server en Zoho AdSelf Service Plus om toegang tot de netwerken van organisaties te krijgen. Zodra er toegang is verkregen gebruiken de aanvallers de "Hyperbro-malware" voor het stelen van intellectueel eigendom en bedrijfsgeheimen. Hyperbro is een remote access tool (RAT) waarmee het mogelijk is om systemen op afstand te benaderen. Volgens de BfV kan niet worden uitgesloten dat de aanvallers, naast het stelen van informatie, ook netwerken van klanten van de aangevallen organisatie proberen te compromitteren. De Duitse geheime dienst merkt op dat APT27 al tenminste sinds 2010 actief is, maar dat er recentelijk een toename van het aantal aanvallen tegen Duitse doelwitten is waargenomen. Met de waarschuwing, gepubliceerde indicators of compromise en Yara-rules wil de BfV bedrijven tegen deze aanvallen wapenen en helpen bij het vinden van eventueel gecompromitteerde systemen en netwerken. bron: https://www.security.nl

Certificaatautoriteit Let's Encrypt moet honderdduizenden certificaten wegens een fout in de code die het gebruikt voor domeincontrole intrekken. Dat heeft de organisatie vandaag aangekondigd. Let's Encrypt geeft gratis tls-certificaten uit voor het opzetten van beveiligde verbindingen en identificeren van websites. Wanneer iemand een certificaat aanvraagt controleert Let's Encrypt dat de aanvrager ook eigenaar is van het betreffende domein waarvoor het certificaat wordt uitgegeven. Deze domeincontrole vindt via een zogeheten "challenge" plaats. Let's Encrypt ondersteunt verschillende soorten challenges. Eén hiervan is TLS-ALPN-01. Deze challenge werkt op basis van speciaal gemaakte certificaten die alleen voor de verificatie worden gebruikt, ook bekend als ALPN-certificaten. In de software die Let's Encrypt gebruikt voor het verifiëren van de certificaataanvragen werden in de implementatie van TLS-ALPN twee "onregelmatigheden" ontdekt. Daarop heeft Let's Encrypt een oplossing uitgerold. Vanwege de aangetroffen problemen moet Let's Encrypt alle via TLS-ALPN uitgegeven certificaten die voor de implementatie van de oplossing zijn uitgegeven intrekken. Het gaat om alle certificaten die voor 26 januari zijn uitgegeven. TLS-ALPN wordt niet standaard gebruikt en is volgens Let's Encrypt voor de meeste mensen ongeschikt. Vanwege de regels voor certificaatautoriteiten heeft Let's Encrypt vijf dagen om de certificaten in te trekken, waarmee aanstaande vrijdag 28 januari wordt begonnen. Volgens Let's Encrypt gaat het om minder dan 1 procent van de actieve certificaten. De certificaatautoriteit heeft meer dan 220 miljoen actieve uitgegeven certificaten in omloop. Let's Encrypt zal waar mogelijk gedupeerde gebruikers waarschuwen. bron: https://www.security.nl

Hardwarefabrikant QNAP heeft vandaag een waarschuwing gegeven voor aanvallen op NAS-systemen en roept gebruikers op om hun NAS niet direct toegankelijk vanaf het internet te maken. Aanleiding voor de oproep zijn aanvallen met een nieuw ransomware-exemplaar genaamd DeadBolt. Volgens QNAP heeft de Deadbolt-ransomware het voorzien op NAS-systemen die zonder beveiliging vanaf het internet toegankelijk zijn. Bij kwetsbare NAS-systemen versleutelt de ransomware bestanden en eist losgeld voor het ontsleutelen ervan. QNAP roept gebruikers op om te controleren of hun NAS vanaf het internet toegankelijk is. Dit is mogelijk via de Security Counselor op het NAS-systeem. Verder wordt aangeraden om port forwarding op de router en UPnP op de QNAP-NAS uit te schakelen. Hoe de ransomware NAS-systemen weet te infecteren is onbekend. Volgens de boodschap van de aanvallers wordt er gebruik gemaakt van een zerodaylek, maar details ontbreken op dit moment. Op het forum van QNAP hebben zich tientallen slachtoffers gemeld die gegevens op hun NAS zijn verloren. Slachtoffers van de Deadbolt-ransomware kunnen contact met QNAP opnemen. bron: https://www.security.nl

Het grootschalig misbruik van de Log4j-kwetsbaarheid waarvoor vorige maand nog werd gewaarschuwd heeft zich niet voorgedaan en het aantal waargenomen aanvallen is daarnaast sterk afgenomen, zo stelt antivirusbedrijf Sophos op basis van eigen onderzoek. De virusbestrijder verwacht dat ongepatchte Log4j-systemen wel nog jarenlang een doelwit zullen blijven. Sommige experts noemden het Log4j-lek de grootste kwetsbaarheid aller tijden en waarschuwden voor grootschalig misbruik. Dat misbruik heeft zich vooralsnog niet voorgedaan. Het aantal pogingen is zelfs sterk afgenomen, aldus Sophos. Het bedrijf baseert zich op de cijfers van 68.000 firewalls bij klanten die data delen. Daarvan zag negentien procent een Log4j-aanval voorbij komen. Bij de aanvallen die succesvol waren ging het in de meeste gevallen om de installatie van een cryptominer. Een mogelijke reden dat grootschalig misbruik is uitgebleven komt doordat exploits voor elke applicatie met kwetsbare Log4j-code moeten worden aangepast. Er is geen universele exploit die tegen alle Log4j-applicaties werkt. Ondanks het uitblijven van grootschalig misbruik kan het zijn dat aanvallers al via het lek toegang tot systemen hebben gekregen, maar die toegang nog niet verder hebben gebruikt. Daardoor blijft de initiële inbraak onopgemerkt. "Mede door het snelle handelen van veel organisaties lijkt de omvang van actief misbruik op dit moment mee te vallen. Maar dat wil niet zeggen dat het hierbij blijft. De verwachting is dat kwaadwillenden de komende tijd naar kwetsbare systemen blijven zoeken en doelgerichte aanvallen blijven uitvoeren", waarschuwde het Nationaal Cyber Security Centrum (NCSC) vorige week. Afsluitend stelt onderzoeker Chester Wisniewski van Sophos dat de Log4j-kwetsbaarheid nog jaren een geliefd doelwit van pentesters en statelijke actoren zal blijven. Het identificeren en updaten van kwetsbare applicaties blijft dan ook belangrijk. Ook het NCSC adviseert organisaties om waakzaam te blijven en te blijven controleren of kwetsbare systemen worden gebruikt en waar nodig updates of mitigerende maatregelen toe te passen. bron: https://www.security.nl

Criminelen zijn erin geslaagd om kwaadaardige code aan de webwinkel van Segway toe te voegen die creditcardgegevens en andere persoonlijke informatie van klanten steelt. De fabrikant van de bekende gemotoriseerde step is over de situatie ingelicht, maar op het moment van schrijven is de code nog steeds aanwezig. Onderzoekers van antimalwarebedrijf Malwarebytes ontdekten dat bij het afrekenen van een Segway in de officiële webwinkel er verbinding wordt gemaakt met een verdacht domein. Dit domein is sinds vorig jaar november actief en wordt gebruikt door een bende criminelen die inbreekt op webwinkels om vervolgens een "web skimmer" aan de bestelpagina toe te voegen. Deze skimmer stuurt creditcardgegevens en andere ingevulde data door naar de criminelen. De webwinkel van Segway maakt gebruik van webwinkelsoftware Magento. Hoe de aanvallers de webshop wisten te compromitteren is onbekend. Volgens Malwarebytes is de Segway-webshop al zeker sinds 6 januari gecompromitteerd. Gisteren publiceerde het antimalwarebedrijf een blog over de aanwezigheid van de skimmer. Daarin wordt gemeld dat Segway is ingelicht, maar op het moment van schrijven is de kwaadaardige code nog steeds actief. bron: https://www.security.nl

Vier Amerikaanse staten hebben Google aangeklaagd voor het illegaal verzamelen van locatiegegevens. Volgens de procureurs-generaal van het District of Columbia, Texas, Washington en Indiana misleidde en manipuleerde het techbedrijf gebruikers om toegang tot hun locatiegegevens te krijgen, onder andere door het bijna onmogelijk te maken om het tracken van de locatie te stoppen. Volgens de aanklacht heeft Google sinds tenminste 2014 systematisch gebruikers misleid over hoe hun locatie wordt gevolgd en gebruikt en liet het techbedrijf hen geloven dat ze controle hadden over de informatie die Google over hen verzamelde. "In werkelijkheid is er geen manier voor consumenten om te voorkomen dat Google locatiegegevens verzamelt, opslaat en hiervan profiteert", aldus de procureurs-generaal. Die spreken van misleiding waar niet alleen Androidgebruikers mee te maken kregen, maar ook gebruikers van Google-producten zoals Google Search en Google Maps op iOS-toestellen en andere apparaten. Met de rechtszaak willen de Amerikaanse staten de "misleidende en onrechtmatige" praktijken van Google stoppen en het bedrijf met boetes hiervoor straffen. De aanklacht stelt dat Google gebruikers op vier punten schade heeft toegebracht. Zo is het onmogelijk voor gebruikers om zich voor het volgen van hun locatie af te melden. Google claimt dat het gebruikers "controle" geeft en hun keuze "respecteert". Zelfs wanneer een gebruiker zijn instellingen aanpast kan Google nog steeds zijn locatie volgens via apps op het toestel, wifi, bluetooth, het ip-adres en andere methodes, aldus de uitleg van de procureurs-generaal. Verder spreken de procureurs-generaal van het misleiden van Androidgebruikers. Die kunnen "Locatiediensten" op hun toestel uitschakelen, maar volgens de aanklacht omzeilt het techbedrijf deze instelling en blijft het manieren vinden om de locatie van gebruikers te verzamelen. Daarnaast maakt Google gebruik van "dark patterns" om de keuze van gebruikers te ondermijnen en het beschermen van hun privacy te voorkomen. Naast het stoppen van Googles werkwijze en het opleggen van boetes willen de vier Amerikaanse staten dat het techbedrijf ook de inkomsten afstaat die het met onrechtmatige locatietracking heeft verdiend. Google stelt dat de zaak is gebaseerd op onnauwkeurige claims en gedateerde aannames over de instellingen die het biedt. bron: https://www.security.nl

Bij verschillende aanvalscampagnes zijn criminelen erin geslaagd om duizenden zakelijke e-mailaccounts van industriële bedrijven te compromitteren en vervolgens te gebruiken voor het verspreiden van spyware. Dat meldt antivirusbedrijf Kaspersky op basis van eigen onderzoek. De aanvallers maken gebruik van commercieel verkrijgbare spyware zoals AgentTesla, HawkEye, Formbook, Azorult en Lokibot. De spyware wordt als e-mailbijlage verstuurd. Zodra slachtoffers de bijlage openen en de spyware het systeem succesvol weet te infecteren worden wachtwoorden en andere inloggegevens onderschept en naar de aanvallers teruggestuurd. Die krijgen zo toegang tot onder andere zakelijke e-mailaccounts. De toegang tot deze accounts wordt weer gebruikt voor het uitvoeren van nieuwe aanvallen, waarbij de spyware wordt verstuurd naar de contacten van de gecompromitteerde mailbox. Kaspersky identificeerde meer dan tweeduizend zakelijke e-mailaccounts van industriële bedrijven die waren gecompromitteerd en gebruikt als onderdeel van de spywarecampagne. De virusbestrijder schat dat inloggegevens van veel meer e-mailaccounts, naar schatting ruim zevenduizend, zijn gestolen en verkocht op internet of misbruikt voor andere doeleinden. De meeste van de aanvallen worden toegeschreven aan "low-skilled" individuen en groepen. De aanvallers hebben met name een financieel motief. Sommige zoeken specifiek naar inloggegevens van bedrijfsnetwerken, zoals SSH, RDP en VPN, om die te stelen en door te verkopen. Dergelijke data is vervolgens te gebruiken door ransomwaregroepen of statelijke actoren. bron: https://www.security.nl

De aanvallers achter de malware-aanval op Oekraïense organisaties, waarbij tal van systemen werden gesaboteerd, hadden zeer waarschijnlijk al maanden toegang tot de netwerken van hun slachtoffers, zo stelt Cisco in een analyse. Het bedrijf is betrokken bij het onderzoek naar de aanval. Aanvallers gebruikten bij de aanval een zogeheten "wiper" genaamd WhisperGate. De malware doet zich voor als ransomware, maar is ontwikkeld voor het wissen van de master boot record (MBR) en andere bestanden op het systeem. Hierdoor kan de computer niet meer het besturingssysteem opstarten. In tegenstelling tot de NotPetya-malware die in 2017 werd ingezet is WhisperGate schadelijker, aldus Cisco. Zo probeert de malware ook de C-partitie te overschrijven. Iets dat NotPetya niet deed. Hoe de aanvallers toegang tot de systemen en netwerken van hun slachtoffers kregen is nog niet duidelijk, maar mogelijk is dit met gestolen inloggegevens gedaan. Cisco stelt met hoge zekerheid dat de aanvallers al maanden of langer toegang tot de netwerken van hun slachtoffers hadden. "Dit is een kenmerk van een geraffineerde APT-aanval", zegt onderzoeker Chris Neal. Net als de Amerikaanse overheid adviseert ook Cisco dat organisaties systemen met verbindingen naar Oekraïne isoleren en monitoren. bron: https://www.security.nl

Beheerders van WordPress-sites zijn gewaarschuwd voor een backdoor die aanvallers hebben toegevoegd aan de themes en plug-ins van AccessPress Themes. AccessPress biedt 64 themes en 109 plug-ins voor WordPress die volgens het bedrijf op meer dan 360.000 WordPress-sites zijn geïnstalleerd. Aanvallers wisten in september vorig jaar toegang tot de websites van AccessPress te krijgen en voorzagen aangeboden themes en plug-ins van een backdoor. De backdoor was niet aanwezig in de extensies en themes die via WordPress.org werden aangeboden. De backdoor werd gevonden door WordPressbeveiliger Jetpack. Dat besloot meteen AccessPress te waarschuwen, maar kreeg geen reactie. Daarop werd het plug-inteam van WordPress.org gewaarschuwd. Verder onderzoek wees uit dat de websites van AccessPress Themes waren gecompromitteerd en er aan aanwezige themes en plug-ins een backdoor was toegevoegd waarmee aanvallers toegang tot de website krijgen. Voor de meeste plug-ins zijn inmiddels schone versies uitgebracht. Dat geldt echter niet voor tientallen themes, die inmiddels ook van WordPress.org zijn verwijderd. Beheerders wordt aangeraden deze themes van hun website te verwijderen en naar nieuwe versies van de plug-ins te upgraden. bron: https://www.security.nl

Een kwetsbaarheid in de Agent-software van antivirusbedrijf McAfee maakt het mogelijk voor een aanvaller die al toegang tot een computer heeft om code met systeemrechten uit te voeren en zo volledige controle over de machine te krijgen. De McAfee Agent is geen beveiligingssoftware op zichzelf, maar communiceert tussen de beveiligingssoftware op het systeem en de McAfee ePO-server. De agent wordt met verschillende McAfee producten meegeleverd, waaronder Endpoint Security. De Agent-software maakt gebruik van een OpenSSL-onderdeel dat weer naar een directory wijst waar gebruikers zonder rechten controle over hebben. De McAfee Agent draait met systeemrechten. Door een speciaal geprepareerd openssl.cnf-bestand in deze directory te plaatsen kan een ongeprivilegieerde gebruiker code met systeemrechten uitvoeren. Het beveiligingslek, aangeduid als CVE-2022-0166, heeft een impactscore van 7,8 en werd gevonden door Will Dormann van het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. McAfee heeft het probleem verholpen in versie 5.7.5 van de Agent-software. bron: https://www.security.nl

Sinds de lancering van de eerste Windows 10-versie is er het nodige veranderd op het gebied van patches en beveiligingsupdates, waardoor allerlei Windows-policies irrelevant of door betere opties zijn vervangen, aldus Microsoft. Het techbedrijf heeft daarom een lijst van 25 Windows-policies met betrekking tot de installatie van updates verzameld die organisaties niet moeten instellen. Volgens Microsoft hebben organisaties nu meer controle over het updaten van hun computers, zoals de installatie en het herstarten van machines. Veel organisaties maken gebruik van group policies om het updatebeleid voor hun omgeving te configureren. Door de aanpassingen die de afgelopen jaren zijn doorgevoerd zijn oudere policies irrelevant geworden of vervangen door een betere optie. Daardoor bevat de verzameling van policies voor Windows-updates meerdere policies die niet meer werken, niet meer werken zoals omschreven op systemen met Windows 10 versie 20H2 of nieuwer of wel werken, maar niet zo goed als de policies die een soortgelijke ervaring op een betere manier bieden. Systeembeheerders worden dan ook door Microsoft opgeroepen om hun policy-instellingen te controleren en alleen aanbevolen policies te gebruiken. bron: https://www.security.nl

Het Europees Parlement heeft ingestemd met de Digital Services Act (DSA) die onder andere illegale content en desinformatie moet aanpakken en meer opties voor trackingvrije advertenties moet bieden. Een voorstel om gerichte advertenties helemaal te verbieden werd verworpen. De Digital Services Act (DSA) eist dat illegale content, diensten en producten sneller offline worden gehaald door betere samenwerking met opsporingsautoriteiten en factcheckers. Ook worden platforms tot veel meer transparantie gedwongen. Gebruikers moeten informatie krijgen over de algoritmes die hun tijdlijn bepalen en wie er heeft betaald voor de specifieke advertenties die gebruikers zien. Een amendement van de Tracking Free Ads Coalition die zich inzet voor trackingvrije advertenties op internet werd wel aangenomen. Deze coalitie, bestaande uit een groep van negentien Europarlementariërs, wil via beleid het gebruik van persoonlijke data voor advertentiediensten reguleren. 25 organisaties ondersteunen de coalitie, waaronder Bits of Freedom, Freedom Internet en de Europese burgerrechtenorganisatie EDRi. Zo moet de tekst waarin om toestemming voor gerichte advertenties wordt gevraagd duidelijk zijn en uitleggen hoe de data van gebruikers wordt gebruikt. Het weigeren van deze toestemming zal net zo eenvoudig moeten zijn als het geven van toestemming. Wanneer mensen geen toestemming geven of die intrekken zullen ze andere opties krijgen om de betreffende website te gebruiken, waaronder de mogelijkheid voor trackingvrije advertenties. De Tracking Free Ads Coalition werd mede opgericht door Europarlementariër Paul Tang. "Ik ben erg blij met de enorme steun van links tot rechts om adverteerders te verbieden gebruik te maken van persoonlijke data van onze kinderen en van gevoelige persoonlijke data, zoals over religie, seksuele geaardheid of gezondheid. Zo zorgen we ervoor dat wat offline illegaal is, dat online ook wordt", merkt hij op. Volgens Tang was het wetsvoorstel van de Europese Commissie een goede eerste stap. "Maar het vandaag aangenomen parlementsvoorstel – ondanks de massale lobby van de Big Tech-industie - gaat ons digitale verkeer vele malen veiliger maken." Nu het parlement zijn positie heeft ingenomen, beginnen later deze maand de onderhandelingen met de Raad van de Europese Unie en de Europese Commissie. Als alles meezit kan de wet per 2023 in werking treden. bron: https://www.security.nl

Onderzoekers van antivirusbedrijf Kaspersky hebben UEFI-malware op het moederbord van een aangevallen systeem ontdekt. Doordat de malware zich bevindt in het SPI-flashgeheugen kan het het formatteren van de harde schijf of installatie van een nieuwe harde schijf overleven. Volgens de onderzoekers gaat het om de "meest geavanceerde" UEFI-malware ooit in het wild ontdekt. De Unified Extensible Firmware Interface (UEFI) zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Wanneer malware de firmware weet aan te passen kan dit grote gevolgen voor de veiligheid van het systeem hebben. Het doel van de malware is het aanpassen van de opstartvolgorde, zodat er een malafide driver binnen Windows wordt geladen. Deze driver wordt automatisch gestart bij het laden van Windows. Vervolgens downloadt de driver aanvullende malware. De infectieketen laat geen sporen achter op de harde schijf, aangezien alle onderdelen alleen in het geheugen draaien. Hoe aanvallers de UEFI-firmware wisten te infecteren is onbekend. De malware werd bij één niet nader genoemde organisatie aangetroffen. Kaspersky stelt dat het hier om een zeer gerichte aanval gaat uitgevoerd door een spionagegroep genaamd APT41. Deze groep, die ook bekendstaat als Winnti en Barium, houdt zich bezig met diefstal van broncode, certificaten om software te signeren, klantgegevens en bedrijfsinformatie. Volgens de onderzoekers probeerden de aanvallers met de UEFI-malware informatie van bepaalde machines te stelen. bron: https://www.security.nl

Er wordt actief misbruik gemaakt van het ProxyToken-lek in Microsoft Exchange Server waarvoor vorig jaar een update verscheen, zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Via het lek kan een ongeauthenticeerde aanvaller inkomende e-mails stelen. Alle federale Amerikaanse overheidsinstanties moeten de beveiligingsupdate om het probleem te verhelpen voor 1 februari hebben geïnstalleerd. Microsoft kwam op 13 juli vorig jaar met een update voor het ProxyToken-lek, dat ook wordt aangeduid als CVE-2021-33766. Door de kwetsbaarheid kan een aanvaller, wanneer die een speciaal geprepareerd request naar de Exchange Server stuurt, de configuratie van mailboxes van willekeurige gebruikers aanpassen en een doorstuurregel aanmaken waardoor inkomende e-mails naar een e-mailaccount van de aanvaller worden doorgestuurd. Het CISA houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren. De lijst wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. De nieuwste uitbreiding betreft dertien kwetsbaarheden. Naast het ProxyToken-lek gaat het ook om kwetsbaarheden in BIG-IP, Nagios, Drupal, Apache Airflow, Oracle Corporate Business Intelligence Enterprise Edition, Aviatrix en October CMS. bron: https://www.security.nl