Captain Kirk

Microsoft waarschuwt voor twee kwetsbaarheden in de updateassistent van Windows 10 waardoor een aanvaller bestanden op het systeem van gebruikers kan verwijderen. Beveiligingsupdates zijn buiten de vaste patchdinsdag om beschikbaar gemaakt en details over één van de beveiligingslekken zijn al openbaar, zo laat het techbedrijf weten. Volgens Microsoft zijn er nog geen aanvallen waargenomen die misbruik maken van de kwetsbaarheden. De beveiligingslekken, aangeduid als CVE-2021-43211 en CVE-2021-42297, vallen in de categorie "Elevation of Privilege". Het gaat in dit geval om kwetsbaarheden waarmee een aanvaller die toegang tot een systeem heeft zijn rechten kan verhogen. In dit geval zou een aanvaller alleen bestanden van het systeem kunnen verwijderen. Het bekijken of aanpassen van bestanden is niet mogelijk, aldus Microsoft. De impact van de kwetsbaarheden is op een schaal van 1 tot en met 10 met een 5 en 5,5 beoordeeld. bron: https://www.security.nl

Mozilla heeft een betaalde versie van Firefox Relay gelanceerd die gebruikers meer e-mailaliassen biedt dan de gratis versie. Via Firefox Relay kunnen gebruikers een e-mailalias genereren om zich bijvoorbeeld op websites te registreren. Dit moet voorkomen dat e-mailadressen van gebruikers in handen van spammers, trackers en dubieuze websites komen. Gebruikers maken via Firefox Relay een alias aan. E-mails worden via de aangemaakte alias naar het echte e-mailadres van de gebruiker doorgestuurd. De gratis versie van Firefox Relay biedt gebruikers vijf aliassen. Die kunnen zowel via de webinterface als een extensie worden aangemaakt. Per alias kan worden ingesteld of e-mails naar het echte e-mailadres van de gebruiker moeten worden doorgestuurd of dat Mozilla ze moet blokkeren. De betaalde versie van Firefox Relay, die 0,99 dollar per maand kost, biedt een onbeperkt aantal aliassen. Daarnaast biedt het gebruikers een eigen subdomein onder mozmail.com om aliassen te creëren. Ook is het mogelijk om doorgestuurde e-mails te beantwoorden. Zowel de betaalde als gratis versie hanteren een limiet van 150kb voor e-mailbijlagen. Mozilla laat weten dat het de inhoud van e-mails niet leest of bewaart en alle berichten, nadat ze zijn afgeleverd bij de gebruiker, worden verwijderd. Firefox Relay is alleen toegankelijk voor gebruikers die over een Firefox Account beschikken. De dienst is nu ook in het Nederlands beschikbaar. bron: https://www.security.nl

De Belgische overheid heeft een app gelanceerd waarmee het burgers voor besmettingen op hun wifi-netwerk waarschuwt. De Safeonweb-app is ontwikkeld door het Centrum voor Cybersecurity België (CCB), de nationale autoriteit voor cyberveiligheid in België, en bevat twee functies. De eerste functie toont nieuws over cyberdreigingen in België, de tweede functionaliteit toont informatie over dreigingen op het wifi-netwerk van de gebruiker. Gebruikers moeten voor deze laatste functie eerst hun wifi-netwerk registreren, wat via de app mogelijk is. Hiervoor moet naast een bevestiging via e-mail ook de locatiebepaling worden ingeschakeld. De toegang tot de locatie van de gebruiker is nodig om te bepalen of die op geregistreerde netwerk aanwezig is. "Voor iOS en Android is het opvragen van de naam van je huidige netwerk (SSID - service set identifier) enkel mogelijk als je locatiebepaling aanstaat", aldus het CCB. Vervolgens kijkt de app of het ip-adres van de gebruiker voorkomt in informatie over infecties. Deze data is afkomstig van verschillende partners, aldus het CBB. Het gaat zowel om commerciële partijen als opensourcebronnen. De Safeonweb-app voert geen scan van het netwerk uit en is volgens de overheidsinstantie geen vervanging voor antivirussoftware. Ook kan de app, die beschikbaar is in de Google Play Store en Apple App Store, alleen informatie over bedreigingen naar Belgische ip-adressen sturen. bron: https://www.security.nl

Het Emotet-botnet, dat eerder dit jaar nog door ingrijpen van de Nederlandse en Duitse politie van een miljoen computers werd verwijderd, is weer terug aan het komen en begonnen met het versturen van malafide documenten om nieuwe slachtoffers te maken, zo melden verschillende beveiligingsonderzoekers en securitybedrijven waaronder G Data en Proofpoint. De onderzoekers zagen afgelopen zondag hoe op verschillende systemen die met de TrickBot-malware zijn besmet de Emotet-malware werd geïnstalleerd. TrickBot is in het verleden vaker gebruikt voor het installeren van aanvullende malware, zoals ransomware. Nu wordt TrickBot ingezet voor de opbouw van een nieuw Emotet-botnet. Inmiddels versturen de nieuwe met Emotet besmette machines e-mails met malafide e-mailbijlagen. Het gaat dan om Word- en Excel-bestanden die van malafide macro's zijn voorzien. Wanneer de ontvangers macro's inschakelen wordt Emotet op het systeem geïnstalleerd. Om ervoor te zorgen dat potentiële slachtoffers het document openen lift Emotet mee op eerdere e-mails die al geïnfecteerde slachtoffers hebben verstuurd. Zo wordt de inhoud van het oorspronkelijke bericht aan de kwaadaardige e-mail toegevoegd, aangevuld met een tekst en link die naar de malware wijst. Deze tactiek paste Emotet in het verleden al toe en is nu opnieuw uit de kast gehaald. Eenmaal actief op een systeem kan Emotet aanvullende malware installeren en allerlei gegevens stelen, zoals wachtwoorden van e-mailaccounts. Deze inloggegevens gebruikt de malware onder andere om zichzelf naar contacten van het slachtoffer te sturen. Bij de internationale politieoperatie eerder dit jaar kregen opsporingsdiensten toegang tot de servers van het botnet, waarop inloggegevens van 4,2 miljoen e-mailadressen stonden. De Nederlandse politie ontwikkelde een Emotet-checker waarmee gebruikers kunnen controleren of hun e-mailaccount is gecompromitteerd. Abuse.ch, een platform dat zich bezighoudt met de bestrijding van botnets, heeft ip-adressen gepubliceerd van Emotet-servers en roept organisaties op om die te blokkeren. bron: https://www.security.nl

Honderden WordPress-sites zijn getroffen door een zogenaamde ransomware-infectie waarbij bezoekers het bericht te zien krijgen dat de website is versleuteld. Dat meldt securitybedrijf Sucuri. Volgens het bericht op de website moet er voor het ontsleutelen van de versleutelde bestanden 0,1 bitcoin worden betaald, wat op het moment van schrijven overeenkomt met ruim 5300 euro. In het verleden zijn er vaker aanvallen op websites uitgevoerd waarbij bestanden van de site voor losgeld werden versleuteld of gestolen. Bij de nu getroffen WordPress-sites is daar geen sprake van en zijn er geen bestanden versleuteld. Aanvallers hebben een plug-in weten te installeren die de losgeldboodschap toont. Het verwijderen van de plug-in is dan ook voldoende om de melding te verwijderen. Volgens Sucuri stond de teller gisteren op 291 getroffen websites. Hoe de aanvallers in staat zijn om de plug-in te installeren is op dit moment onduidelijk. Op basis van logbestanden blijkt dat de aanvallers over inloggegevens van getroffen websites beschikken, die mogelijk via een bruteforce-aanval of andere manier zijn verkregen. Beheerders van getroffen websites wordt dan ook geadviseerd om alle beheerderswachtwoorden te wijzigen en alle bestaande beheerders van de site te controleren. bron: https://www.security.nl

Het Tor Project heeft een update voor Tor Browser 11 uitgebracht die verschillende bugs verhelpt. Tor Browser 11 werd vorige week gelanceerd en is voorzien van een geheel nieuwe gebruikersinterface. Ook foutmeldingen, bepaalde vensters en het connectiescherm hebben een opfrisbeurt gekregen. Een van de nu verholpen bugs betreft aanbevelingen van Firefox die standaard stonden ingeschakeld, alsmede een probleem met het zoeken via de ingebouwde Blockchair-zoekmachine, een kapotte browser chrome bij het uitschakelen van de privémodus en wat andere zaken. De nieuwe Tor Browser-update bevat geen beveiligingsfixes. Updaten naar Tor Browser 11.0.1 kan via de automatische updatefunctie en TorProject.org. bron: https://www.security.nl

Google heeft vandaag Chrome 96 gelanceerd die websites met een https dns-record altijd via https zal laden. De nieuwe feature moet de privacy van gebruikers beschermen. "Dns for https" records, ook aangeduid als dns type 65, is een bij de IETF in ontwikkeling zijnde specificatie. De specificatie zorgt onder andere voor "https binding", zodat websites standaard via https worden geladen. Google heeft ondersteuning van dergelijke records nu aan Chrome 96 toegevoegd. Volgens de release notes zijn er met deze versie geen kwetsbaarheden verholpen. Updaten naar Chrome 96.0.4664.45 zal op de meeste systemen automatisch gebeuren. bron: https://www.security.nl

Een kritieke kwetsbaarheid in firewalls van Palo Alto Networks maakt het mogelijk voor ongeauthenticeerde aanvallers om code als root uit te voeren. Het beveiligingslek, aangeduid als CVE-2021-3064, is aanwezig in het GlobalProtect-onderdeel van PAN-OS 8.1, het besturingssysteem van de firewalls. GlobalProtect is de vpn-oplossing van Palo Alto Networks. Een aanvaller met toegang tot de GlobalProtect-interface kan willekeurige code met rootrechten uitvoeren. De aanvaller hoeft niet over inloggegevens te beschikken, alleen toegang tot de interface is voldoende. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 met een 9,8 beoordeeld. Firewalls lopen alleen risico als de GlobalProtect-portal of -gateway staat ingeschakeld. Op dit moment zijn er nog geen aanwijzingen dat er misbruik van de kwetsbaarheid wordt gemaakt, aldus Palo Alto Networks. Organisaties worden opgeroepen om te updaten naar PAN-OS 8.1.17 of nieuwer. PAN-OS 9.0, 9.1, 10.0 en 10.1 zijn niet kwetsbaar, wat ook geldt voor Prisma Access. bron: https://www.security.nl

HPE heeft klanten gewaarschuwd voor een datalek waarbij hun gegevens in de cloudomgeving van Aruba Central mogelijk zijn gestolen.Aruba Central is een cloudgebaseerde netwerkoplossing voor het beheer van draadloze, bedrade en WAN-infrastructuur op allerlei locaties. Via een dashboard kunnen beheerders zaken als netwerkprestaties monitoren en problemen verhelpen. Begin oktober wist een aanvaller door middel van een access key toegang tot informatie in de Aruba Central-omgeving te krijgen. Volgens HPE gaat het om gegevens die als "persoonlijke klantgegevens" moeten worden geclassificeerd, waaronder telemetriegegevens van netwerken en "contact tracing" data. De gecompromitteerde data bestaat onder andere uit informatie over de apparaten van medewerkers van bedrijven en organisaties die via wifi met het bedrijfsnetwerk verbinding maken, maar ook locatie-gebaseerde data in het kader van coronamaatregelen. Via Aruba-accesspoints kunnen bedrijven via wifi en bluetooth informatie verzamelen over waar hun personeel precies ten opzichte van elkaar is. Dit moet bijvoorbeeld "riskante verkeerspatronen" inzichtelijk maken en ervoor zorgen dat medewerkers voldoende afstand houden. Concreet gaat het om mac-adressen, ip-adressen, gebruikt besturingssysteem en hostnaam. Voor wifi-netwerken waarbij gebruikers moeten inloggen gaat het ook om gebruikersnaam. Verder bevatten de gecompromitteerde repositories informatie over datum, tijd en het wifi-accesspoint waarmee het apparaat van medewerkers verbinding maakt, waarmee de locatie van een gebruiker is te bepalen. HPE kan niet per klant zeggen of er specifieke data is gestolen. Onder de AVG zijn Aruba en HPE verplicht om klanten te waarschuwen, zo laten de bedrijven weten. Doordat Aruba Central uit verschillende clusters bestaat zijn niet alle klanten van deze oplossing getroffen. Het misbruik van de access key werd via monitoringtools ontdekt. Vervolgens stelde HPE een onderzoek in, waarna het misbruik op 2 november kon worden vastgesteld. Access keys voor Aruba Central worden automatisch na een bepaalde tijd geroteerd. De key in kwestie was vanaf 27 oktober niet meer geldig. Verder wordt data in de repositories automatisch na dertig dagen verwijderd. De gecompromitteerde data gaat dan ook maximaal terug tot 10 september van dit jaar. Hoe de aanvaller toegang tot de access key kon krijgen laat HPE niet weten. bron: https://www.security.nl

Citrix heeft beveiligingsupdates uitgebracht voor een kritieke kwetsbaarheid in de Citrix Application Delivery (ADC) en Citrix Gateway waardoor een ongeauthenticeerde aanvaller de systemen via een denial of service (dos)-aanval kan platleggen. Beveiligingslekken die tot een denial of service kunnen leiden worden meestal niet als kritiek beoordeeld. De kwetsbaarheid, aangeduid als CVE-2021-22955, doet zich alleen voor als het apparaat als vpn (gateway) of AAA virtual server is geconfigureerd. Citrix adviseert organisaties om de beschikbare beveiligingsupdates zo snel als mogelijk te installeren. Na het uitkomen van de beveiligingsupdates lieten verschillende beheerders op Twitter weten dat ze moeite hadden om Citrix.com te bereiken. bron: https://www.security.nl

Nog iets meer dan een maand en dan stopt Microsoft met de ondersteuning van Windows 10 versie 2004, wat inhoudt dat deze versie van het besturingssysteem geen beveiligingsupdates meer ontvangt. Windows 10 versie 2004, ook bekend als de May 2020 Update, verscheen op 27 mei 2020. Twee keer per jaar brengt de softwaregigant een grote feature-update uit voor Windows 10. In het geval van Windows 10 Home, Pro, Pro Education en Pro for Workstations worden die achttien maandenlang met beveiligingsupdates ondersteund. Gebruikers die na deze periode nog patches willen blijven ontvangen moeten naar een nieuwere versie upgraden. Feature-updates voor Windows 10 Enterprise, Education en Enterprise IoT die in de eerste helft van het jaar verschijnen worden ook achttien maanden met updates ondersteund. Verschijnt de feature-update in de tweede helft van het jaar, dan bedraagt de ondersteuning dertig maanden. Microsoft adviseert organisaties om naar de laatste versie van Windows 10 te updaten of naar Windows 11 als de computer hiervoor in aanmerking komt. bron: https://www.security.nl

In een industrieel besturingssysteem van Siemens dat door miljarden apparaten wereldwijd wordt gebruikt hebben onderzoekers meerdere beveiligingslekken gevonden, waaronder een kritieke ftp-kwetsbaarheid. Het Siemens Nucleus Real-Time Operating Systems (RTOS) is aanwezig in medische apparaten zoals ventilatoren, patiëntmonitors en anesthesiemachines, industriële systemen en de automobielindustrie. Onderzoekers van securitybedrijf Forescout vonden in de tcp/ip stack van het Nucleus RTOS dertien kwetsbaarheden (pdf). In de meeste gevallen kunnen deze beveiligingslekken tot een denial of service leiden. De ftp-server van de tcp/ip stack bevat drie kwetsbaarheden waardoor ook remote code execution mogelijk is. Eén van deze kwetsbaarheden, CVE-2021-31886, is op een schaal van 1 tot en met 10 wat betreft de impact beoordeeld met een 9,8. De beveiligingslekken in de ftp-server worden veroorzaakt doordat die de lengte van de commando's user, pwd/xpwd en mkd/xmkd niet goed controleert, wat tot stack-based buffer overflows kan leiden. Onderzoekers van Forescout vonden via zoekmachine Shodan meer dan 2200 Nucleus ftp-servers die vanaf het internet toegankelijk zijn. Hoewel de overige kwetsbaarheden een lagere impactscore hebben kunnen die wel grote gevolgen hebben, bijvoorbeeld als ventilatie- of treinsystemen worden platgelegd. Siemens heeft voor de dertien gevonden lekken beveiligingsupdates uitgebracht. bron: https://www.security.nl

Een botnet dat naar schatting uit zo'n 250.000 besmette MikroTik-routers bestaat is verantwoordelijk voor minstens honderd ddos-aanvallen per dag, waarvan de grootste uit 17,2 miljoen requests per seconde bestond. Dat laat internetbedrijf Cloudflare weten. Meris, wat Lets is voor pest, heeft het gemiddeld op vijftig websites per dag voorzien. Die bevinden zich vooral in Australië, China en de Verenigde Staten. Het Meris-botnet werd in juni van dit jaar voor het eerst opgemerkt. Het infecteert MikroTik-routers via een kwetsbaarheid waar in 2018 een beveiligingsupdate voor verscheen. Via het beveiligingslek kan een ongeauthenticeerde aanvaller toegang tot het filesystem krijgen. "Hoewel de kwetsbaarheid na de ontdekking in 2018 is gepatcht, wordt er nog steeds misbruik van gemaakt in gecompromitteerde apparaten die niet een gepatcht OS draaien of standaard gebruikersnamen en wachtwoorden gebruiken", zegt Vivek Ganti van Cloudflare. Het botnet voert gemiddeld 104 ddos-aanvallen per dag op Cloudflare-klanten uit, waardoor het werkelijke aantal nog hoger kan liggen aangezien het internetbedrijf niet alle aanvallen ziet. Het grootste aantal aanvallen nam Cloudflare op 6 september waar, toen het om 261 unieke ddos-aanvallen tegen klanten ging. Met name softwarebedrijven, goksites, it-diensten en gamingsites zijn het doelwit van het botnet. bron: https://www.security.nl

Microsoft waarschuwt voor actief aangevallen zerodaylekken in Exchange Server en Excel waardoor aanvallers het onderliggende systeem kunnen overnemen. Organisaties worden opgeroepen om de beschikbaar gestelde Exchange-update direct te installeren. Het beveiligingslek in Exchange Server 2016 en 2019, aangeduid als CVE-2021-42321, maakt het mogelijk voor een geauthenticeerde aanvaller om willekeurige code op de server uit te voeren. De aanvaller moet in dit geval over inloggegevens van een legitieme gebruiker beschikken om de server aan te vallen. De inloggegevens zouden bijvoorbeeld via phishing kunnen worden gestolen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 met een 8,8 beoordeeld. Het tweede zerodaylek waar Microsoft tijdens de patchdinsdag van november een beveiligingsupdate voor heeft uitgebracht bevindt zich in Excel. Door het openen van een speciaal geprepareerd Excel-document kan een aanvaller code op het systeem uitvoeren. Het gaat hier om een "security feature bypass". Waarschijnlijk betreft het code die normaal pas na toestemming van de gebruiker wordt uitgevoerd, maar door de kwetsbaarheid verschijnt er vermoedelijk geen venster dat hierom vraagt. Microsoft heeft nog geen update voor Office voor Mac uitgebracht. bron: https://www.security.nl

Een vanuit China opererende groep aanvallers maakt gebruik van een bekende kwetsbaarheid in Zoho ManageEngine om bij bedrijven en organisaties te spioneren, zo stellen Microsoft en securitybedrijf Palo Alto Networks. Begin september waarschuwde softwarebedrijf Zoho voor een actief aangevallen kwetsbaarheid in ManageEngine ADSelfService Plus waardoor aanvallers op afstand servers kunnen overnemen. ManageEngine ADSelfService Plus is een self-service password management en single sign-on oplossing voor Active Directory en cloud-apps. Het stelt gebruikers onder andere in staat om zelf hun wachtwoord te resetten. Een kwetsbaarheid in de software (CVE-2021-40539) maakt het mogelijk voor aanvallers om op afstand de authenticatie te omzeilen en willekeurige code op de server uit te voeren. Op het moment dat Zoho voor het beveiligingslek waarschuwde werd er al actief misbruik van gemaakt. Nu melden Microsoft en Palo Alto Networks dat er een tweede groep aanvallers is ontdekt die van de kwetsbaarheid misbruik maakt. Deze aanvallen begonnen op 22 september en gingen door tot begin oktober. In deze periode waren honderden ManageEngine-servers het doelwit. Volgens Palo Alto Networks zijn zeker negen organisaties in de technologie, defensie, gezondheidszorg, energie en onderwijssector getroffen. Zodra de aanvallers toegang tot een server hebben stelen ze inloggegevens, installeren malware om toegang te behouden en bewegen zich lateraal door het netwerk. De groep aanvallers wordt door Microsoft DEV-0322 genoemd en zou eerder verantwoordelijk zijn voor gerichte aanvallen waarbij er misbruik werd gemaakt van een zerodaylek in SolarWinds Serv-U. Zowel Palo Alto Networks als Microsoft hebben details gegeven waarmee organisaties kunnen kijken of ze via de ManageEngine-kwetsbaarheid zijn gecompromitteerd. bron: https://www.security.nl

De bende achter de Clop-ransomware, die ook de Universiteit van Maastricht infecteerde, maakt nu misbruik van een bekende kwetsbaarheid in software van SolarWinds om bedrijven en organisaties aan te vallen. Voorheen verstuurde de groep vooral phishingmails voor het infecteren van organisaties. Dat meldt securitybedrijf NCC Group in een analyse. Het beveiligingslek dat de Clop-groep gebruikt is aanwezig in SolarWinds Serv-U. Via Serv-U kunnen organisaties een server opzetten om bestanden via FTP, FTPS en SFTP uit te wisselen. In juli waarschuwde SolarWinds voor een actief aangevallen zerodaylek waardoor remote code execution op de server mogelijk is. Volgens Microsoft, dat de zeroday-aanvallen ontdekte, was een vanuit China opererende groep aangeduid als DEV-0322 hiervoor verantwoordelijk. Nu beschikt ook de Clop-groep, aangeduid als TA505, over exploits om kwetsbare Serv-U ftp-servers aan te vallen. Zodra de server is gecompromitteerd proberen de aanvallers daarvandaan andere systemen in het netwerk aan te vallen. Volgens NCC Group waren er in juli nog zesduizend kwetsbare Serv-U ftp-servers vanaf het internet toegankelijk. Drie maanden nadat SolarWinds de beveiligingsupdate beschikbaar maakte gaat het nog altijd om 2800 ongepatchte machines die risico lopen om te worden aangevallen. Van deze kwetsbare servers bevinden zich er 29 in Nederland, aldus de onderzoekers. bron: https://www.security.nl

Het Tor Project heeft een nieuwe Tor Browser gelanceerd die van een nieuwe gebruikersinterface is voorzien. Via Tor Browser kunnen gebruikers verbinding met het Tor-netwerk maken. De browser is gebaseerd op Firefox ESR. Eerder dit jaar onderging de vormgeving van Firefox een grote aanpassing. Die aanpassing is doorgevoerd in Firefox ESR 91 waar de nu gelanceerde Tor Browser gebruik van maakt. Vanwege deze aanpassing heeft het Tor Project ook de iconen, kleur, typografie en knoppen in lijn met de nieuwe Firefox-vormgeving aangepast. Ook foutmeldingen, bepaalde vensters en het connectiescherm hebben een opfrisbeurt gekregen. Verder worden met de lancering van Tor Browser 11.0 oudere Tor-sites niet meer ondersteund. Naast een browser voor het bezoeken van websites via het Tor-netwerk, biedt het Tor Project ook het Onion Service-protocol waarmee websites op het Tor-netwerk zijn te hosten. Deze websites, eindigend op .onion, zijn alleen vanaf het Tor-netwerk met Tor Browser toegankelijk. Versie 2 van dit protocol is al meer dan een decennium oud en is nu uitgefaseerd. Alleen versie 3 wordt nog ondersteund. Daardoor is het niet meer mogelijk om websites te bezoeken die nog van versie 2 gebruikmaken. Het verschil tussen v2 en v3 is eenvoudig te achterhalen, aangezien v2-websites zestien karakters lang zijn, tegenover 56 karakters voor v3. Updaten naar Tor Browser 11.0 kan via de automatische updatefunctie en TorProject.org. bron: https://www.security.nl

Van de 6,2 miljoen domeinnamen in de .nl-zone bevatten maar liefst 1,3 miljoen namen nog een A-record voor het localhost-label en dat kan veiligheidsproblemen opleveren, zo waarschuwt de Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert. Het gaat dan om het A-record "localhost" dat naar 127.0.0.1 wijst. Bijvoorbeeld localhost.example.nl. De aanbeveling om een A-record voor localhost op te nemen gaat terug naar RFC 1537 van oktober 1993. RFC 1537 werd in 1996 overbodig verklaard en opgevolgd door RFC 1912. Daarin staat dat localhost (alleen) als een speciale hostname geconfigureerd moet worden. Bovendien staat er een punt achter de hostname, dus "localhost." in plaats van alleen "localhost" zonder punt. In veel gevallen ontbreekt deze punt en dat kan een beveiligingsprobleem opleveren, zo stelt SIDN vandaag. Een verkeerd geconfigureerd localhost-record kan worden gebruikt voor een cross-site scripting (XSS)-aanval waarbij een aanvaller http-cookies van andere gebruikers op hetzelfde systeem waarop de website draait kan afluisteren. "Dat doet een gebruiker door een 'hoge' TCP-poort te openen en andere gebruikers op het systeem om te leiden naar een adres als 'http://localhost.example.nl:49152/'. Omdat de adressen www.example.nl en localhost.example.nl hetzelfde basisdomein hebben, krijgt de kwaadwillende gebruiker bij het openen van de verbinding naar localhost.example.nl (127.0.0.1) ook de cookies voor www.example.nl toegestuurd", aldus SIDN. Om dergelijke situaties te voorkomen roept de stichting houders en beheerders op om hun domeinnamen te controleren op de aanwezigheid van localhost-labels en deze daar volledig te verwijderen. bron: https://www.security.nl

Een kritieke kwetsbaarheid in het Sitecore Experience Platform (XP), een populair contentmanagementsysteem onder grote bedrijven waaronder de Fortune 500, wordt actief misbruikt, zo waarschuwt de Australische overheid. Begin november waren bijna vijfduizend Sitecore XP-installaties vanaf het internet toegankelijk. Via het beveiligingslek, aangeduid als CVE-2021-42237, kan een aanvaller op afstand en zonder inloggegevens willekeurige code op de onderliggende server uitvoeren, zoals de installatie van een webshell of malware. Op 8 oktober bracht Sitecore een beveiligingsupdate voor de kwetsbaarheid uit. Volgens het Australian Cyber Security Centre (ACSC) is er onlangs proof-of-concept exploitcode voor het beveiligingslek verschenen en wordt er inmiddels actief misbruik van het lek gemaakt om Australische ondernemingen aan te vallen. Organisaties wordt aangeraden om de beschikbare update te installeren en logbestanden op mogelijk malafide activiteit te controleren. bron: https://www.security.nl

Cisco waarschuwt organisaties voor twee kritieke kwetsbaarheden in de eigen producten die zijn ontstaan door de aanwezigheid van een hardcoded wachtwoord en ssh keys. Daardoor kan een aanvaller als root toegang tot systemen krijgen. Cisco heeft beveiligingsupdates uitgerold om de problemen te verhelpen. De eerste kwetsbaarheid is aanwezig in de Cisco Policy Suite. Dit is een oplossing waarmee serviceproviders diensten en applicaties op hun breedband- en telecomnetwerken kunnen beheren, te gelde maken en personaliseren. In de oplossing zijn hardcoded ssh keys aanwezig waardoor een aanvaller als root kan inloggen. Het beveiligingslek, aangeduid als CVE-2021-40119, is op een schaal van 1 tot en met 10 wat betreft de impact met een 9,8 beoordeeld. Daarnaast waarschuwt Cisco voor twee kritieke kwetsbaarheden in de optische netwerkterminal van de Catalyst Passive Optical Network (PON)-switches. De software blijkt over een standaard Telnet-wachtwoord te beschikken. Wanneer Telnet staat ingeschakeld kan een aanvaller op de switch inloggen en zo volledige controle over het apparaat krijgen. Tevens is de webmanagementinterface van de switch kwetsbaar voor een aanval waarbij een remote aanvaller command injection kan uitvoeren. Het beveiligingslek wordt veroorzaakt door onvoldoende controle van gebruikersinvoer. Door het versturen van een speciaal geprepareerd verzoek naar de webmanagementinterface is het mogelijk om als root willekeurige commando's op de switch uit te voeren. De impact van beide beveiligingslekken, aangeduid als CVE-2021-40113 en CVE-2021-34795, is met een maximale tien beoordeeld. bron: https://www.security.nl

In de twee populaire npm-packages coa en rc, die bij elkaar zo'n 23 miljoen keer per week worden gedownload, is malware aangetroffen die wachtwoorden van gebruikers steelt. Daarvoor waarschuwt het npm Security Team in twee advisories en op Twitter. Npm is de standaard package manager voor de JavaScript-omgeving Node.js en naar eigen zeggen het grootste softwarearchief ter wereld. Via het npm registry biedt het een groot archief met openbare, besloten en commerciële packages. Coa (Command-Option-Argument) is een parser voor commandline-opties met bijna 9 miljoen wekelijkse downloads. Rc is een tool voor het laden van configuraties die 14,2 miljoen keer per week wordt gedownload. Aanvallers wisten het account van een package maintainer over te nemen en konden zo kwaadaardige code aan coa- en rc-packages toevoegen en die vervolgens publiceren. De toegevoegde malafide code installeert een versie van de Qakbot-malware op het systeem die allerlei wachtwoorden en andere gegevens van gebruikers steelt. Volgens het npm Security Team moet elke computer waarop de malafide packages zijn geïnstalleerd als volledig gecompromitteerd worden beschouwd en moeten alle wachtwoorden vanaf een andere computer worden aangepast. Aangezien een aanvaller via de malware volledige controle over het systeem heeft kunnen krijgen, is alleen het verwijderen van de malafide npm-packages geen garantie dat alle malware verwijderd wordt. Npm heeft de betreffende malafide packages verwijderd. Hoe de inloggegevens van het betreffende account konden worden gestolen is nog onbekend, maar ontwikkelaars en maintainers wordt opgeroepen om tweefactorauthenticatie voor hun npm-account in te schakelen. bron: https://www.security.nl

Alle Firefox-extensies die met remote services verbinding maken moeten vanaf 1 december dit jaar verplicht https gebruiken, zo heeft Mozilla aangekondigd. In het verleden was https alleen vereist bij het versturen van gevoelige informatie. Daarnaast worden extensies op addons.mozilla.org verboden die als enig doel hebben het promoten, installeren, laden of lanceren van een andere website, applicatie of add-on. Dat heeft de Firefox-ontwikkelaar aangekondigd. Volgens Mozilla moeten de nieuwe regels voor extensies de privacy en security van gebruikers verbeteren. Zo mogen extensies straks alleen nog browsegegevens verzamelen, zoals bezochte websites, als dit onderdeel van de primaire functie van de extensie is. Het heimelijk verzamelen van gebruikersgegevens blijft verboden. Verder moeten add-ons die technische data, gebruikersdata of persoonlijke data verzamelen bij de eerste keer dat de extensie wordt gestart hier toestemming om vragen. Het verzamelen van zoekopdrachten en bepaalde andere gegevens is niet toegestaan. Ook zijn er beperkingen gesteld aan de manier waarop extensie-ontwikkelaars aan hun creatie kunnen verdienen. Zo moet het injecteren van advertenties duidelijk worden vermeld en is het injecteren van cryptominers verboden. De nieuwe regels gaan zoals gezegd 1 december in. bron: https://www.security.nl

Tijdens de tweede dag van de hackwedstrijd Pwn2Own Austin hebben onderzoekers opnieuw meerdere onbekende kwetsbaarheden gedemonstreerd waarmee ze printers van Lexmark, Canon en HP wisten over te nemen, alsmede een NAS-systeen van Western Digital, een router van Cisco en de Sonos One Speaker. Pwn2Own beloont onderzoekers voor het demonstreren van onbekende beveiligingslekken in een select aantal populaire producten. Op de eerste dag werden al meerdere succesvolle aanvallen getoond en de tweede dag was niet anders. Zo werd de Western Digital My Cloud Pro Series PR4100-NAS opnieuw door verschillende onderzoeksteams gecompromitteerd. Net als op de eerste dag moest ook op dag twee de Sonos One Speaker eraan geloven. Tijdens de eerste dag wisten vier verschillende onderzoeksteams de Cisco RV340-router over te nemen. Iets wat drie keer op dag twee het geval was. Dit jaar zijn printers voor het eerst toegevoegd als onderdeel. Het gaat om de HP Color LaserJet Pro MFP M283fdw, Lexmark MC3224i en Canon ImageCLASS MF644Cdw. Op dag één sneuvelden de Canon en de HP, wat ook het geval was op dag. Daarnaast wisten twee verschillende onderzoeksteams de Lexmark-printer te compromitteren. Verschillende van de kwetsbaarheden die onderzoekers op de tweede dag lieten zien waren al door andere onderzoekers tijdens het evenement gedemonstreerd. De beveiligingslekken worden met de betreffende fabrikanten gedeeld, zodat die beveiligingsupdates kunnen ontwikkelen. Vandaag en morgen staan er ook nog demonstraties gepland. bron: https://www.security.nl

Verschillende routers, NAS-systemen, printers en ook de One Speaker van Sonos bevatten kwetsbaarheden waardoor de apparaten op afstand zijn over te nemen en beveiligingsupdates zijn niet beschikbaar. Dat hebben onderzoekers aangetoond tijdens de Pwn2Own-wedstrijd die op dit moment in het Amerikaanse Austin plaatsvindt. Tijdens het evenement worden onderzoekers beloond voor het demonstreren van onbekende kwetsbaarheden in populaire producten. Voor het eerst waren ook printers als onderdeel toegevoegd. Pwn2Own wordt georganiseerd door het Zero Day Initiative, dat onderdeel van antivirusbedrijf Trend Micro is, en kent verschillende edities. Tijdens de editie in Austin zijn printers, NAS-systemen, smart speakers, smartphones en televisies het doelwit. Tijdens de eerste dag wisten onderzoekers meerdere apparaten te compromitteren. Opvallend was de aanval op een Sonos One Speaker, die onderzoekers van securitybedrijf DEVCORE 60.000 dollar opleverde. Via een integer underflow is het mogelijk voor een aanvaller om code op het apparaat uit te voeren. Verder lukte het onderzoekers van securitybedrijf Synacktiv om via een heap overflow code op een Canon ImageCLASS MF644Cdw-printer uit te voeren. Onderzoekers van DEVCORE lukte hetzelfde, alleen dan door middel van een stack-based buffer overflow. Dezelfde onderzoekers gebruikten een zelfde soort kwetsbaarheid om een HP Color LaserJet Pro MFP M283fdw-printer te compromitteren. Naast de Sonos-speaker en printers werden ook onbekende kwetsbaarheden in de Western Digital My Cloud Pro Series PR4100, WD My Cloud Home Personal Cloud, Cisco RV340-router, NETGEAR R6700v3-router en TP-Link AC1750-router gedemonstreerd. De beveiligingslekken worden gedeeld met de betreffende fabrikanten, zodat die updates kunnen ontwikkelen en uitrollen. Vandaag, morgen en vrijdag staan er ook nog demonstraties gepland, onder andere tegen een printer van Lexmark. bron: https://www.security.nl

Onderzoekers hebben een nieuwe aanval ontwikkeld genaamd "Trojan Source" waardoor het mogelijk is om kwetsbaarheden op zo'n manier in broncode te verbergen waardoor het niet zichtbaar voor menselijke ogen is. "We hebben manieren ontdekt om broncodebestanden zo te manipuleren dat menselijke reviewers en compilers een andere logica zien", zegt Ross Anderson, hoogleraar Security Engineering aan de Universiteit van Cambridge en één van de onderzoekers achter de aanval. Voor het uitvoeren van de aanval wordt er gebruik gemaakt van Unicode "directionality-control override characters" die een anagram van de werkelijke logica tonen. Voor het encoderen van tekst moeten zowel talen worden ondersteund die van links-naar-rechts lezen, zoals Engels en Russisch, en talen die van rechts-naar-links lezen, zoals Arabisch en Hebreeuws. Wanneer scripts verschillende teksten bevatten moet er een manier zijn om de conflicterende leesvolgorde op te lossen. Unicode maakt hiervoor gebruik van het Bidirectional, of Bidi, algoritme. In sommige gevallen is de volgorde die Bidi gebruikt niet voldoende. Voor deze gevallen zijn er "override control characters". Deze "Bidi overrides" zijn onzichtbare karakters die het mogelijk maken om de weergavevolgorde van groepen karakters te veranderen. Dit kan voor problemen zorgen. De meeste programmeertalen staan namelijk toe om deze Bidi overrides aan comments en strings in de code toe te voegen. Compilers en interpreters negeren de tekst in deze opmerkingen. "Door Bidi override characters binnen comments en strings te plaatsen, kunnen we ze de broncode binnensmokkelen op een manier die de meeste compilers accepteren", aldus de onderzoekers. "Ons belangrijkste inzicht is dat we broncodekarakters kunnen herordenen op een manier dat de resulterende weergavevolgorde ook syntactisch geldige broncode weergeeft." De code zou voor een menselijke reviewer onschuldig lijken, maar in werkelijkheid iets vervelends kunnen doen, aldus Anderson. Hij merkt op het vooral slecht nieuws is voor opensourceprojecten zoals Linux en WebKit waar willekeurige mensen aan kunnen bijdragen. "Door het injecteren van Unicode Bidi override characters in comments en strings, kan een aanvaller in de meeste moderne talen syntactisch geldige broncode produceren waarvan de weergavevolgorde van karakters een logica weergeeft die verschilt van de echte logica", merken de onderzoekers op. Als oplossing adviseren de onderzoekers dat compilers en interpreters die Unicode ondersteunen foutmeldingen laten zien bij unterminated bidirectional control characters in comments of strings. Programmeertalen zouden in hun specificaties het gebruik van deze karakters moeten verbieden. Verschillende partijen, waaronder Atlassian, hebben advisories over de aanval uitgebracht. bron: https://www.security.nl