Captain Kirk

Criminelen hebben dit jaar honderdduizenden euro's weten te stelen door middel van de Phorpiex-malware die het clipboard van besmette computers aanpast. Dat meldt securitybedrijf Check Point op basis van geanalyseerde walletadressen. Phorpiex verspreidt zich via usb-sticks, freeware, phishingmails en malware die al op het systeem actief is. De Phorpiex-malware monitort vervolgens de inhoud van het clipboard. Gebruikers van cryptovaluta die een betaling willen doen of geld naar een andere wallet willen overmaken kopiëren hiervoor vaak het walletadres van de begunstigde en plakken dat vervolgens in een veld op de transactiepagina. Op dat moment bevindt het adres zich in het clipboard van de computer. Phorpiex verandert het gekopieerde adres in dat van de aanvaller, zodat die het geld ontvangt. In totaal ondersteunt de malware meer dan dertig soorten cryptovaluta. De onderzoekers ontdekten verschillende wallets waar Phorpiex gebruik van maakt. In totaal bleek de malware alleen dit jaar al 969 cryptotransacties te hebben gekaapt voor een bedrag van bijna een half miljoen dollar. Gebruikers wordt dan ook aangeraden om goed op te letten wanneer ze een walletadres kopiëren en plakken. bron: https://www.security.nl

Een ernstig beveiligingslek in een populaire plug-in raakt zo'n twee miljoen WordPress-sites, hoewel het werkelijke aantal nog hoger kan liggen. All in One SEO for WordPress moet ervoor zorgen dat websites een betere ranking in zoekmachines krijgen. De plug-in is op meer dan drie miljoen websites geïnstalleerd. De plug-in bevat twee kwetsbaarheden waardoor een aanvaller in het ergste geval code op de server kan uitvoeren en de website kan overnemen, zo meldt WordPressbeveiliger Jetpack. Het gevaarlijkste beveiligingslek, CVE-2021-25036, heeft op een schaal van 1 tot en met 10 een impactscore van 9,9. Via de kwetsbaarheid kunnen gebruikers met low-privileged accounts, zoals abonnees, hun rechten verhogen en kwaadaardige code op de server uitvoeren. Het andere beveiligingslek, waarvan de impact met een 7,7 is beoordeeld, betreft geauthenticeerde SQL-injection. Gebruikers met een low-privileged account kunnen toegang tot vertrouwelijke data uit de database krijgen, zoals gebruikersnamen en gehashte wachtwoorden. De kwetsbaarheden zijn aanwezig in versie 4 van de plug-in en verholpen met versie 4.1.5.3 die vorige week uitkwam. Volgens statistieken heeft All in One SEO for WordPress meer dan drie miljoen actieve installaties. Zo'n zestig procent draait versie 4 van de plug-in. Van 29 procent wordt het versienummer niet vermeld. bron: https://www.security.nl

De kwetsbaarheid in Apache Log4j is negen minuten na de openbaarmaking van het beveiligingslek op 9 december voor het eerst misbruikt, zo stelt internetbedrijf Cloudflare. Inmiddels zijn de eerste ransomware-aanvallen via het lek waargenomen en maken ook statelijke actoren er misbruik van, aldus Microsoft. Afgelopen maandag meldde Cloudflare nog dat het eerste misbruik van de Log4j-kwetsbaarheid op 1 december was waargenomen. Eerder stelde Cisco dat het activiteit van aanvallers met betrekking tot het beveiligingslek op 2 december had gezien. Cloudflare heeft nu iets meer details gegeven en stelt dat het op 1 december alleen "beperkte tests" van de kwetsbaarheid heeft waargenomen. Het eerste daadwerkelijke waargenomen misbruik vond negen minuten na de openbaarmaking van de kwetsbaarheid plaats, toen een onderzoeker de details via Twitter en GitHub deelde. Volgens Cloudflare laat dit zien hoe snel aanvallers zich op nieuw gevonden kwetsbaarheden storten. Volgens antivirusbedrijf Bitdefender zijn de meeste Log4j-aanvallen gericht tegen Linux-servers, maar zijn er ook aanvallen tegen Windows-servers waargenomen. Bij deze aanvallen probeerden aanvallers de Khonsari-ransomware te installeren. Deze ransomware versleutelt allerlei bestanden op de server. Volgens securitybedrijf Cado Security is de ransomware zeer beperkt verspreid en is het onwaarschijnlijk dat veel organisaties erdoor zijn getroffen. Microsoft meldt via de eigen website dat inmiddels ook statelijke actoren uit China, Iran, Noord-Korea en Turkije van de Log4j-kwetsbaarheid gebruikmaken. Een Chinese groep genaamd Hafnium zou via het beveiligingslek niet nader genoemde virtualisatie-infrastructuur aanvallen. Verder stelt Microsoft dat ook meerdere criminele groepen het lek gebruiken om toegang tot systemen te krijgen en deze toegang mogelijk doorverkopen aan ransomwaregroepen. bron: https://www.security.nl

Mozilla heeft een aanpassing aan Firefox doorgevoerd die moet voorkomen dat vertrouwelijke data via het clipboard van Windows 10 lekt. Microsoft heeft in Windows 10 een nieuwe feature geïntroduceerd genaamd Cloud Clipboard. Wanneer deze feature staat ingeschakeld zal data in het clipboard naar de cloud worden gekopieerd, en wordt zo in bepaalde scenario's toegankelijk vanaf andere computers. "Ctrl+C in Windows 10 doet niet langer meer wat het deed in Windows 3.0", zegt Mozillas Sergey Galich. "Windows kan nu ook de gekopieerde data in de Clipboard History bewaren en die met meerdere apparaten synchroniseren." De feature kan bijvoorbeeld handig zijn wanneer er informatie van de ene computer naar de andere moet worden gekopieerd. "Het tijdelijke effect van Ctrl+C is niet langer tijdelijk", waarschuwt Galich. Hierdoor kan bijvoorbeeld een gekopieerd wachtwoord ongemerkt voor altijd in de lokale geschiedenis bewaard blijven. Daarnaast kan belangrijke gekopieerde data op het ene systeem een week later in het clipboard van dezelfde gebruiker, alleen dan vanaf een andere pc, nog steeds toegankelijk zijn. Hierdoor bestaat het risico dat gevoelige data van het ene systeem via andere apparaten lekt. Om ervoor te zorgen dat data in het clipboard lokaal en tijdelijk blijft, en niet wordt gedeeld met de Clipboard History of het Cloud Clipboard, maakt Firefox vanaf versie 94 gebruik van een specifiek clipboardformaat. Iets wat eerdere versies van de browser niet deden. De kwetsbaarheid (CVE-2021-38505) is ook in Firefox ESR en Thunderbird verholpen. bron: https://www.security.nl

Door een kwetsbaarheid in surveillancesoftware Proctorio was het mogelijk voor aanvallers om toegang tot onder andere de webcam en e-mailaccounts van gebruikers te krijgen. Eén muisklik op een verkeerde link zou voldoende zijn geweest, zo ontdekten beveiligingsonderzoekers Daan Keuper en Thijs Alkemade van it-bedrijf Computest. Verschillende Nederlandse universiteiten en hogescholen maken gebruik van Proctorio bij het afnemen van online tentamens en examens. De software monitort tijdens het examen continu de webcam, microfoon, webverkeer, beeldscherm, muis en keyboard. Studenten moet een browserplug-in installeren om de software te kunnen gebruiken. Proctorio is beschikbaar voor Microsoft Edge, Google Chrome, Opera en Brave. De Chrome-extensie was kwetsbaar voor Universal Cross-Site Scripting, zo ontdekten Alkemade en Keuper. In tegenstelling tot normale cross-site scripting, waarbij er misbruik wordt gemaakt van kwetsbare webapplicaties, maakt universal cross-site scripting misbruik van kwetsbaarheden binnen de browser. Hierdoor is het mogelijk om het gedrag van de browser aan te passen en bijvoorbeeld beveiligingsfeatures te omzeilen of uit te schakelen. Een aanvaller kan op deze manier niet alleen toegang tot een gecompromitteerde sessie van een kwetsbare webpagina krijgen, maar tot sessies van alle websites die op dat moment zijn geopend. Via de kwetsbaarheid in de Proctorio-extensie was het mogelijk voor een malafide website om toegang tot bijvoorbeeld de webcam van de gebruiker te krijgen. Zodra Proctorio actief wordt het extensie-icoon in de browserbalk groen. Door het versturen van een message was het echter mogelijk om het icoon weer grijs te maken, ook al bleef Proctorio gewoon draaien. In een analyse van de kwetsbaarheid laten de onderzoekers zien hoe ze toegang tot de webcam en Gmail-inbox van gebruikers kunnen krijgen, waarbij een enkele muisklik volstaat. Het beveiligingslek werd op 18 juni aan Proctorio gemeld. Op 25 juni liet het bedrijf weten dat de kwetsbaarheid was verholpen. Iets dat de onderzoekers op 3 augustus bevestigden. Google Chrome installeert automatisch updates voor geïnstalleerde extensies. Gebruikers hoeven dan ook geen actie te ondernemen. Wel adviseren de onderzoekers om extensies te verwijderen zodra ze niet langer nodig zijn. bron: https://www.security.nl

Tijdens de laatste patchdinsdag van 2021 heeft Microsoft een actief aangevallen zerodaylek in de Windows AppX Installer verholpen. Het beveiligingslek maakt spoofing mogelijk, waardoor een aanvaller kan aangeven dat een malafide applicatie bijvoorbeeld van Adobe of Microsoft afkomstig is. Een gebruiker zou nog wel moeten worden verleid om de app te installeren. Beveiligingsonderzoekers lieten eind november weten dat de Emotet-malware misbruik van het spoofinglek maakt. Zo werden er e-mails verstuurd die naar een pdf-document leken te wijzen. Bij het bekijken van de zogenaamde pdf werd er een applicatie aangeboden die van Adobe afkomstig leek, maar in werkelijkheid malware was. Naast het zerodaylek heeft Microsoft ook updates uitgebracht voor vijf kwetsbaarheden waarvan de details al voor het uitkomen van de patches openbaar waren. Er is volgens het techbedrijf echter geen misbruik van de beveiligingslekken gemaakt. Via de kwetsbaarheden kan een aanvaller die al toegang tot het systeem heeft zijn rechten verhogen. Het gaat onder andere om een kwetsbaarheid in de Windows Print Spooler (CVE-2021-41333) waarin de afgelopen maanden meerdere beveiligingslekken werden aangetroffen. Vier andere kritieke kwetsbaarheden die de aandacht verdienen bevinden zich in Internet Storage Name Service (iSNS) server, Microsoft 4K Wireless Display Adapter, Visual Studio Code WSL en de Microsoft Office-app. Via deze beveiligingslekken is remote code execution mogelijk . De eerste drie kwetsbaarheden hebben een impactscore van 9,8 gekregen, het lek in de Office-app scoort een 9,6. In totaal heeft Microsoft dit jaar 887 CVE-kwetsbaarheden verholpen, een 29 procent afname ten opzichte van 2020, meldt het Zero Day Initiative. Dit is wel exclusief beveiligingslekken in Edge Chromium. De gisteren verschenen beveiligingsupdates zullen op de meeste systemen automatisch worden geïnstalleerd. bron: https://www.security.nl

In Apache Log4j is een nieuwe kwetsbaarheid gevonden waardoor het mogelijk is om denial of service (dos)-aanvallen uit te voeren tegen servers waarop Log4j draait. Afgelopen maandag verscheen er al een beveiligingsupdate voor de kwetsbaarheid (CVE-2021-45046), waarvan de impact veel kleiner is dan het beveiligingslek (CVE-2021-44228) dat vorige week uitgebreid in het nieuws kwam en aanvallers de controle over kwetsbare servers kan geven. Volgens de Apache Software Foundation was de update voor de kwetsbaarheid CVE-2021-44228 in bepaalde niet-standaard configuraties onvolledig. Daardoor zouden aanvallers met controle over bepaalde invoerdata een denial of service kunnen veroorzaken. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 met een 3,7 beoordeeld en is aanwezig in alle Log4j-versies van 2.0-beta9 tot en met 2.12.1 en 2.13.0 tot en met 2.15.0. Beheerders wordt aangeraden om te updaten naar Log4j versie 2.12.2 of 2.16.0 die afgelopen maandag verscheen. In Log4j 2.16.0 staat toegang tot de Java Naming and Directory Interface (JNDI) API standaard aangeschakeld en moeten JNDI-lookups expliciet worden ingeschakeld. Verder is de message lookups feature volledig verwijderd en is de toegang tot protocollen standaard beperkt. bron: https://www.security.nl

De Apache Software Foundation heeft een nieuwe versie van log4j2 uitgerold waarin JNDI standaard staat uitgeschakeld en de ondersteuning van Message Lookups volledig is verwijderd. Log4j2 is een populaire logging-library die door een groot aantal Java-applicaties wordt gebruikt. Log4j kan verschillende soorten lookups uitvoeren, onder andere via de Java Naming and Directory Interface (JNDI) API. Via deze Java-API is het mogelijk voor een Java-applicatie om data en resources op te vragen in de vorm van Java-objecten. In het geval van Log4j gebruikt de library de JNDI-API om via een serviceprovider, zoals LDAP (Lightweight Directory Access Protocol), informatie op te vragen die wordt gelogd. De kritieke kwetsbaarheid in Log4j, die de afgelopen dagen uitgebreid in het nieuws is geweest, zorgt ervoor dat het mogelijk is voor een aanvaller om Log4j, via de JNDI, een kwaadaardig Java-object vanaf bijvoorbeeld een LDAP-server te laten downloaden dat vervolgens op de aangevallen applicatie- of loggingserver wordt uitgevoerd. Daarmee kan een aanvaller de server compromitteren. "De meeste mensen geven log4j de schuld dat het JNDI in de eerste plaats had toegevoegd en/of leggen de schuld bij een gebrek aan support voor het project waardoor dergelijk gevaarlijk gedrag zo eenvoudig toegankelijk was", zegt onderzoeker Jeff Dileo van securitybedrijf NCC Group. Hij denkt dat een van de ontwikkelaars ooit heeft besloten om JNDI als "enterprise" feature toe te voegen. In log4j2 versie 2.16.0 staat JNDI standaard uitgeschakeld en is de support voor lookups in messages volledig verwijderd. Daarmee wordt voorkomen dat een aanvaller log4j de opdracht kan geven om via de JNDI malafide code te laden en uit te voeren. bron: https://www.security.nl

In Nederland is beperkt actief misbruik van de Log4j-kwetsbaarheid waargenomen, zo meldt het Nationaal Cyber Security Centrum (NCSC). Om wat voor misbruik het precies gaat laat de overheidsinstantie niet weten. Security.NL heeft om meer details gevraagd. Wel roept het NCSC organisaties op om voorbereid te zijn op misbruik van het beveiligingslek. "De aard van de Log4j-kwetsbaarheid maakt het voor het NCSC complex om zicht te hebben op misbruik van de kwetsbaarheid. In Nederland is beperkt actief misbruik waargenomen. Het NCSC acht het voorstelbaar dat misbruik kan leiden tot grote gevolgschade", aldus de overheidsinstantie. Die heeft vanwege de impact die het Log4j-lek kan hebben het handelingsperspectief voor organisaties aangepast. Zo wordt aangeraden wanneer het niet mogelijk is om systemen te patchen of mitigerende maatregelen door te voeren te overwegen om het systeem uit te schakelen totdat een patch beschikbaar is. Aangezien de kwetsbaarheid is te gebruiken voor ransomware-aanvallen adviseert het NCSC om de juiste voorbereidingen te treffen, door capaciteit beschikbaar te houden en back-ups op orde te hebben. Verder wordt aangeraden om detectiemaatregelen in te schakelen en zowel systemen die al zijn gepatcht als ook kwetsbare systemen op misbruik te controleren. "Wees u ervan bewust dat ook systemen zonder internetverbinding risico kunnen lopen. Aanvallen van binnenuit zijn ook mogelijk", waarschuwt het NCSC. bron: https://www.security.nl

Google heeft voor de zestiende keer dit jaar een actief aangevallen zerodaylek in Chrome verholpen. Niet eerder werden er zoveel zerodays in één jaar in de browser gevonden. Net als bij vorige updates geeft Google geen details over de doelwitten van deze aanvallen en hoe ze precies plaatsvonden. Het beveiligingslek, aangeduid als CVE-2021-4102, bevindt zich in V8. Dit is de JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript en waarin het afgelopen jaar al tal van andere zerodaylekken werden gevonden. Een anonieme beveiligingsonderzoeker rapporteerde het probleem op 9 december aan Google De impact van de kwetsbaarheid is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Het beveiligingslek is op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Naast de actief aangevallen zerodaylekken verhelpt de update ook verschillende andere kwetsbaarheden, waaronder een beveiligingslek (CVE-2021-4098) dat als kritiek is aangemerkt. Kritieke kwetsbaarheden komen zeer zelden voor in Chrome. Via dergelijke beveiligingslekken kan een aanvaller willekeurige code op het systeem van de gebruiker uitvoeren waarbij alleen het bezoeken van een website voldoende is. Er is geen verdere interactie van de gebruiker of een tweede kwetsbaarheid vereist. Dit beveiligingslek, dat door Google zelf werd gevonden, wordt niet actief aangevallen. Gebruikers krijgen het advies om te updaten naar Google Chrome 96.0.4664.110, die beschikbaar is voor Linux, macOS en Windows. Dit zal op de meeste systemen automatisch gebeuren. Microsoft Edge Chromium is net als Chrome op de Chromium-browser gebaseerd. Naar verwachting zal Microsoft snel met een update voor de eigen browser komen. bron: https://www.security.nl

De kwetsbaarheid in Apache Log4j waarvoor op vrijdag 10 december een beveiligingsupdate verscheen is al sinds 2 december gebruikt bij aanvallen, zo waarschuwt Cisco. Internetbedrijf Cloudflare heeft het zelfs over 1 december. Cisco roept organisaties dan ook op om binnen hun logs en omgevingen vanaf deze datum op mogelijk misbruik te controleren. Volgens het netwerkbedrijf vindt er inmiddels grootschalig misbruik van de kwetsbaarheid plaats, waarbij in veel gevallen een cryptominer op kwetsbare servers wordt geïnstalleerd. Ook antivirusbedrijf Sophos meldt de installatie van cryptominers. Om organisaties te helpen bij het vinden van aanwijzingen over mogelijk succesvolle aanvallen hebben Cisco en securitybedrijf Fox-IT verschillende indicators of compromise gepubliceerd, waaronder domeinnamen, ip-adressen, user-agent http-headers, commando's, hashes en gebruikte scripts. Securitybedrijf Qihoo 360 meldt dat inmiddels twee botnets de de Log4j-kwetsbaarheid gebruiken voor het aanvallen van systemen. Het gaat om de Muhstik- en Mirai-botnets. De laatstgenoemde heeft het meestal op Internet of Things-apparaten voorzien. De botnets installeren een backdoor en kunnen besmette servers inzetten voor het uitvoeren van ddos-aanvallen. Update Internetbedrijf Cloudflare stelt dat de eerste Log4j-exploits van 1 december dateren. bron: https://www.security.nl

Criminelen maken de afgelopen week gebruik van qr-codes om Duitse bankklanten naar phishingsites te lokken. Dat blijkt uit verschillende e-mails waarover securitybedrijf Cofense bericht. De e-mails lijken van de helpdesk van de Volksbank en Sparkasse afkomstig en vragen klanten vanwege "belangrijke aanpassingen" en "nieuwe veiligheidsprocedures" om via de meegestuurde qr-code in te loggen. In werkelijkheid wijst de qr-code naar een phishingsite die gebruikers om hun inloggegevens vraagt. Zodra de gegevens zijn ingevoerd krijgen gebruikers een melding om te wachten, voordat de inlogpagina opnieuw verschijnt met het bericht dat de ingevulde inloggegevens incorrect waren. "Een veel gebruikte phishingtactiek", zegt onderzoeker Elmer Hernandez. De e-mails zijn de afgelopen weken verstuurd. bron: https://www.security.nl

Microsoft heeft besloten om deze maand geen cumulative updates voor Exchange Server uit te rollen. Een reden is niet gegeven, behalve dat er sprake is van uitstel en erop een later moment meer informatie over de volgende release van de updates wordt gegeven. Exchange Server kreeg het afgelopen jaar met meerdere actief aangevallen zerodaylekken te maken. Naast het uitbrengen van maandelijkse beveiligingsupdates komt Microsoft eens per kwartaal met cumulative updates om bugs te verhelpen en soms ook nieuwe features toe te voegen. Een van de belangrijkste nieuwe features dit jaar was de Emergency Mitigation-service. Deze service installeert automatisch en zonder tussenkomst van de eigenaar mitigaties op kwetsbare Exchange-servers. Het gaat hier niet om beveiligingsupdates, maar mitigaties die misbruik van bekende kwetsbaarheden voorkomen. Om beveiligingsupdates voor Exchange Server te kunnen ontvangen moet de server in kwestie wel een bepaalde cumulative update (CU) hebben geïnstalleerd. Zo worden op dit moment alleen Exchange Server 2013 CU23, Exchange Server 2016 CU21 en CU22 en Exchange Server 2019 CU10 en CU11 met beveiligingsupdates ondersteund. bron: https://www.security.nl

De Amerikaanse burgerrechtenbeweging EFF luidt de noodklok over de nieuwe regels die gaan gelden voor Google Chrome-extensies en binnenkort van kracht worden. Volgens de EFF zijn de nieuwe specificaties schadelijk voor de privacy van gebruikers. De manier waarop extensies binnen de browser mogen werken staat beschreven in een manifest. Binnenkort zal versie drie van het manifest verschijnen en dat is slecht nieuws voor Chrome-gebruikers, aldus de EFF. "Manifest V3 is regelrecht schadelijk voor privacymaatregelen. Het beperkt de mogelijkheden van extensies", zegt Daly Barnett van de Amerikaanse burgerrechtenbeweging. Het gaat dan met name om extensies die het verkeer tussen de browser en websites monitoren. Het gaat dan bijvoorbeeld om adblockers en privacytools, die door het nieuwe manifest veel minder effectief worden, merkt Barnett op, die toevoegt dat het ook twijfelachtig is dat Manifest V3 veel voor security zal doen. "De ontwikkelspecificaties van browser-extensies lijken misschien overweldigend, maar de bredere gevolgen zijn voor alle internetgebruikers van belang: het is weer een stap waar Google bepaalt hoe we online leven", merkt Barnett op. "Gegeven dat Google al jaren het grootste advertentiebedrijf ter wereld is, zijn deze nieuwe beperkingen bemoeizuchtig en regelrecht eng." Volgens de EFF zijn de nieuwe regels weer een voorbeeld van het inherente belangenconflict van Google als het grootste online advertentienetwerk en eigenaar van de meestgebruikte browser op internet. De Amerikaanse burgerrechtenbeweging staat niet alleen in de kritiek. "Bijna alle browser-extensies die je kent worden op de één of andere manier geraakt: degene die geluk hebben zullen 'alleen' wat problemen ervaren, sommige worden verminkt en andere zullen ophouden met bestaan", zegt Andrey Meshkov van AdGuard. bron: https://www.security.nl

Een zeer kritieke kwetsbaarheid in de populaire open source Apache Log4j 2-library maakt remote code execution mogelijk waardoor duizenden organisaties risico lopen. Er is inmiddels een update uitgebracht om het probleem te verhelpen, maar exploitcode is ook online verschenen. Log4j 2 is een tool voor het loggen van informatie van Java-applicaties. Zo kunnen ontwikkelaars, door de library aan hun Java-applicatie toe te voegen, bijvoorbeeld problemen met de applicatie ontdekken. Een kwetsbaarheid zorgt ervoor dat wanneer de library een bepaalde string logt een aanvaller willekeurige code kan uitvoeren en zo controle over de applicatieserver kan krijgen. De kwetsbaarheid, aangeduid als CVE-2021-44228 en Log4Shell, raakt allerlei grote diensten zoals Steam, Apple iCloud en apps zoals Minecraft, stelt Free Wortley van securitybedrijf LunaSec. "Iedereen die van Apache Struts gebruikmaakt is waarschijnlijk kwetsbaar. We hebben misbruik van dergelijke kwetsbaarheden eerder gezien bij datalekken zoals het Equifax-datalek van 2017", merkt Wortley op. "Er zal zeer waarschijnlijk misbruik van deze kwetsbaarheid worden gemaakt die vermoedelijk duizenden organisaties raakt. Het beveiligingslek vormt een aanzienlijk risico voor kwetsbare systemen", aldus securitybedrijf Randori. Volgens het bedrijf wordt de Log4j 2-library veel gebruikt in zakelijke Java-software. De impact is vanwege de manier waarop de software wordt ingezet lastig te bepalen. "Net als andere impactvolle kwetsbaarheden zoals Heartbleed en Shellshock denken we dat de komende weken een groeiend aantal kwetsbare producten zal worden ontdekt", zo stellen de onderzoekers van Randori. Beheerders wordt opgeroepen om te updaten naar Apache Log4j 2 versie 2.15.0. Volgens Randori en Cloudflare is de kwetsbaarheid ook te verhelpen door de parameter "log4j2.formatMsgNoLookups" bij het starten van de Java Virtual Machine op true te zetten. Update Het Australische Cyber Security Centre (ACSC) meldt dat er inmiddels actief naar kwetsbare servers wordt gezocht. Update 2 De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 met een 10 beoordeeld. bron: https://www.security.nl

1,6 miljoen WordPress-sites doelwit van grootschalige aanval via plug-ins Meer dan 1,6 miljoen WordPress-sites zijn het doelwit van een grootschalige aanval waarbij aanvallers de websites via kwetsbaarheden in verschillende plug-ins en themes proberen over te nemen. Het gaat om de plug-ins Kiwi Social Share, Pinterest Automatic, WordPress Automatic en PublishPress Capabilitie, waarvoor sinds respectievelijk 12 november 2018, 23 augustus 2021 en 6 december 2021 beveiligingsupdates beschikbaar zijn. Tevens worden vijftien themes aangevallen die van het Epsilon Framework gebruikmaken. Voor veertien van deze themes zijn updates beschikbaar. Alleen in het geval van het NatureMag Lite-theme ontbreekt een update en wordt beheerders aangeraden het theme te verwijderen. Door middel van de kwetsbaarheden schakelen de aanvallers in dat gebruikers zich op de site kunnen registreren en standaard de rol van beheerder krijgen. "Dit maakt het mogelijk voor aanvallers om zich op elke website als beheerder te registreren en effectief de site over te nemen", aldus Chloe Chamberland van Wordfence, het securitybedrijf dat de aanvallen waarnam. Aangezien het hier alleen gaat om WordPress-sites die Wordfence monitort, ligt het werkelijke aantal aangevallen websites mogelijk hoger. Beheerders en webmasters die van de aangevallen themes en plug-ins gebruikmaken wordt aangeraden om de laatste versie te installeren. Daarnaast wordt geadviseerd om te controleren of er geen ongeautoriseerde gebruikersaccounts zijn aangemaakt. bron: https://www.security.nl

Duizenden WordPress-sites kunnen door een kwetsbaarheid in de registratieplug-in RegistrationMagic worden overgenomen, ook al is een beveiligingsupdate om het probleem te verhelpen beschikbaar. RegistrationMagic laat WordPress-sites webformulieren maken waarmee bezoekers zich op de website kunnen registreren. Tevens is het mogelijk om via de plug-in bulkmail te versturen. Meer dan 10.000 WordPress-sites maken gebruik van RegistrationMagic. De plug-in laat gebruikers ook inloggen via derde partijen zoals Facebook. Dit was echter op een onveilige wijze geïmplementeerd waardoor aanvallers als elke willekeurige gebruiker kunnen inloggen, waaronder de beheerder. De enige vereiste is dat de aanvaller het e-mailadres of de gebruikersnaam van de beheerder kent en er een via de plug-in gemaakte inlogpagina beschikbaar is. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 met een 9,8 beoordeeld. Het beveiligingslek werd op 16 september door securitybedrijf Wordfence aan de ontwikkelaars gemeld. Die lieten op 25 september weten dat het probleem was verholpen, maar dat bleek niet het geval te zijn. Op 1 november verscheen een gedeeltelijke oplossing, gevolgd door een volledige fix (versie 5.0.1.8) eind november. Van de tienduizend WordPress-sites draait echter veertig procent nog versie 4.6 of ouder en is daardoor kwetsbaar. bron: https://www.security.nl

Zo'n 300.000 vanaf het internet toegankelijke MikroTik-routers zijn kwetsbaar voor aanvallen omdat de eigenaren hebben nagelaten firmware-updates voor vier jarenoude beveiligingslekken te installeren. Dat stelt securitybedrijf Eclypsium op basis van eigen onderzoek. De kwetsbaarheden dateren van 2018 en 2019 en zorgen ervoor dat aanvallers in het ergste geval volledige controle over de router kunnen krijgen. De afgelopen jaren hebben aanvallers ook misbruik van de beveiligingslekken gemaakt, waarbij kwetsbare MikroTik-routers werden ingezet voor ddos-aanvallen op het delven van cryptovaluta. In september van dit jaar waarschuwde MikroTik nog voor het Meris-botnet, dat uit zo'n 200.000 besmette routers zou bestaan, en was ingezet voor ddos-aanvallen tegen internetbedrijf Yandex. Ook Cloudflare kwam met een waarschuwing voor het botnet. De gebruikte routers waren al sinds 2018 door aanvallers gecompromitteerd. "Het dichten van de kwetsbaarheid beschermt deze routers niet direct. Als iemand je wachtwoord in 2018 heeft bemachtigd zal een upgrade niet helpen. Je moet ook je wachtwoord wijzigen en je firewall controleren dat die geen remote toegang aan onbekende partijen geeft, en kijk naar de aanwezigheid van scripts die je niet hebt gemaakt", aldus MikroTik in de waarschuwing. De onderzoekers ontdekten ook 20.000 besmette routers die scripts op de websites injecteerden die gebruikers bezochten, om zo hun computer voor het delven van cryptovaluta te gebruiken. "Terwijl aanvallers de tools hebben voor het vinden van kwetsbare MikroTik-routers, is dat niet het geval bij veel bedrijven", stelt Eclypsium in een blogposting. "Gegeven de uitdagingen van het updaten van MikroTik, zijn er grote aantallen routers met deze kwetsbaarheden uit 2018 en 2019." De meeste kwetsbare MikroTik-routers bevinden zich in Brazilië, China en Rusland. Het securitybedrijf heeft een tool uitgebracht waarmee kan worden gekeken of een router bron: https://www.security.nl

Onderzoekers hebben IoT-malware ontdekt die TP-Link wifi-routers via een kwetsbaarheid in de pingfunctie infecteert. TP-Link bracht vorige maand een beveiligingsupdate uit, maar maakt nergens in de beschrijving melding van de kwetsbaarheid. Tien dagen na het uitkomen van de firmware-update werden de eerste aanvallen waargenomen die misbruik van het beveiligingslek maken. De kwetsbaarheid is aanwezig in versie vijf van de TL-WR840N-router. De diagnostische pagina van de router biedt de mogelijkheid om een ip-adres of domeinnaam te pingen. De invoer in het invoerveld van de pingfunctie wordt niet goed gecontroleerd, waardoor het mogelijk is om commando's uit te voeren. Bij de nu waargenomen aanvallen wordt het beveiligingslek gebruikt om de router een script te laten uitvoeren dat vervolgens de malware downloadt. Beveiligingsonderzoeker Kamillo Matek meldde het beveiligingslek (CVE-2021-41653) op 20 september aan TP-Link. De fabrikant kwam op 12 november met de firmware-update, maar laat in de beschrijving nergens duidelijk merken dat de patch een kwetsbaarheid verhelpt. Er staat alleen: "Aanpassingen en bugfixes. Verbetert beveiliging apparaat." De aanval is alleen door een geauthenticeerde aanvaller uit te voeren die toegang tot de router heeft. Dat lijkt echter geen hindernis, want tien dagen na het verschijnen van de firmware-update maakt de Manga-malware misbruik van de kwetsbaarheid, aldus securitybedrijf Fortinet. "Het is daarom cruciaal dat gebruikers hun standaardwachtwoord wijzigen", zegt onderzoeker Joie Salvio. bron: https://www.security.nl

Microsoft heeft een nieuwe gratis scandienst gelanceerd die gebruikers de mogelijkheid geeft om drivers op malware en kwetsbaarheden te laten controleren. Het Vulnerable and Malicious Driver Reporting Center kijkt naar kwaadaardig gedrag van de driver of eventueel aanwezige kwetsbaarheden. Volgens Microsoft zijn erin het verleden verschillende aanvallen geweest waarbij aanvallers misbruik maakten van beveiligingslekken in drivers. Wanneer een driver kwetsbaar of kwaadaardig is zegt Microsoft verder onderzoek te zullen uitvoeren. In het geval van kwetsbare drivers zal Microsoft de leverancier benaderen, zodat die een beveiligingsupdate kan uitrollen. Deze update zal in de meeste gevallen via Windows Update worden aangeboden. Zodra deze updates zijn geïnstalleerd kan Microsoft de kwetsbare driver op Windows 10 blokkeren. bron: https://www.security.nl

Netwerkbeveiligingsbedrijf SonicWall waarschuwt organisaties voor een kritiek beveiligingslek in de SMA 100-gateways die het levert waardoor de apparaten op afstand zijn over te nemen. Een ongeauthenticeerde aanvaller kan een buffer overflow veroorzaken en zo willekeurige code uitvoeren, wat tot een volledige overname van het apparaat kan leiden. De impact van de kwetsbaarheid, aangeduid als CVE-2021-20038, is op een schaal van 1 tot en met 10 met een 9,8 beoordeeld. De SMA is een gateway waarmee medewerkers vanaf allerlei willekeurige apparaten op afstand toegang tot de netwerken en cloudomgevingen van hun organisatie kunnen krijgen. De kwetsbaarheid kan dan ook grote impact op organisaties hebben, die door SonicWall worden opgeroepen de update te installeren. SonicWall laat verder weten dat er nog geen misbruik van de kwetsbaarheid is waargenomen. Eerder dit jaar waarschuwde het bedrijf nog voor ransomware-aanvallen tegen onder andere de SMA 100-apparaten. Daarnaast was de SMA 100 begin dit jaar ook het doelwit van een zeroday-aanval. bron: https://www.security.nl

Een kwetsbaarheid in het opensource-analyticsplatform Grafana maakt het voor aanvallers mogelijk om toegang tot lokale bestanden te krijgen en exploits zijn inmiddels online verschenen. Ontwikkelaar Grafana Labs heeft updates beschikbaar gemaakt om het beveiligingslek te verhelpen. Via Grafana is het mogelijk om data van allerlei bronnen, zoals clouddiensten, Kubernetes-clusters, Google Sheets en Raspberry Pi's, te verwerken en via één dashboard te visualiseren. Grafana Labs heeft naar eigen zeggen meer dan vijftienhonderd klanten waaronder Bloomberg, JP Morgan Chase, eBay, PayPal en Sony. Grafana zou meer dan 800.000 actieve installaties wereldwijd tellen. De software bevat een kwetsbaarheid (CVE-2021-43798) die path traversal mogelijk maakt. Via een speciaal geprepareerde url is het mogelijk om toegang tot lokale bestanden te krijgen. Grafana Labs werd op 3 december door een beveiligingsonderzoeker op het beveiligingslek gewezen. Dezelfde dag werd een update ontwikkeld, die op 14 december beschikbaar zou worden. Op 6 december ontving Grafana Labs een tweede melding over de kwetsbaarheid. Een dag later bleek dat informatie over het lek openbaar was geworden. Daarop werd besloten om de update gisteren, een week voor de geplande release, uit te brengen. Beheerders van installaties met Grafana versie 8.0.0-beta1 tot en met 8.3.0 wordt aangeraden om te updaten naar versie 8.3.1, 8.2.7, 8.1.8 of 8.0.7. De impact van het lek is op een schaal van 1 tot en met 10 met een 7.5 beoordeeld. bron: https://www.security.nl

Mozilla heeft een nieuwe versie van Firefox gelanceerd die van een nieuwe sandbox is voorzien en nu voor alle gebruikers bescherming tegen Spectre-achtige aanvallen ingeschakeld heeft staan. Daarnaast zijn meerdere kwetsbaarheden in de browser verholpen. De grootste aanpassing in de nieuwe Firefox-versie is de toevoeging van RLBox. Dit is een nieuwe sandboxtechnologie die Firefox moet beschermen tegen kwetsbaarheden in third-party libraries waar de browser gebruik van maakt, zoals audio- en videocodecs. De sandbox zorg ervoor dat het niet mogelijk is om via een kwetsbaarheid in een dergelijke library de volledige browser te compromitteren zoals voorheen wel zou kunnen. Verder heeft Mozilla besloten om voor alle gebruikers Site Isolation in te schakelen. Dit is een beveiligingsfeature die gebruikers tegen sidechannel-aanvallen zoals Spectre moet beschermen. Site Isolation zorgt ervoor dat elke website in een apart besturingssysteemproces wordt geladen, wat het lastiger voor kwaadaardige sites maakt om data van andere websites te lezen. Zonder Site Isolation zou het bijvoorbeeld via kwetsbaarheden als Spectre en Meltdown mogelijk voor malafide sites zijn om toegang tot gegevens van andere sites te krijgen. Daarnaast zijn er meerdere kwetsbaarheden in Firefox verholpen die spoofingaanvallen en cross-site scripting mogelijk maken. Geen van de opgeloste beveiligingslekken is als kritiek aangemerkt, hoewel meerdere kwetsbaarheden kunnen leiden tot crashes die volgens Mozilla met genoeg moeite tot het uitvoeren van willekeurige code kunnen leiden. Firefox 95 is te downloaden via de automatische updatefunctie en Mozilla.org. bron: https://www.security.nl

Google heeft een botnet dat uit zo'n één miljoen computers bestaat verstoord en is een rechtszaak tegen de verdachte botnetbeheerders gestart. De Glupteba-malware verzamelt data, wachtwoorden en andere inloggegevens van besmette computers en gebruikt die voor het delven van cryptovaluta. Daarnaast worden besmette machines als proxies ingezet voor het routeren van het internetverkeer van anderen. Naast Windowscomputers infecteert de malware ook ongepatchte MikroTik-routers. Voor het besmetten van computers maakt Glupteba gebruik van pay per install (PPI) netwerken en verkeer dat wordt ingekocht bij traffic distribution systems (TDS), merkt Google op. De malware doet zich onder andere voor als softwarecracks. De criminelen achter de malware gebruiken onder andere de diensten van Google voor de verspreiding ervan. Zo heeft het techbedrijf 63 miljoen Google Docs verwijderd waarmee de malware werd verspreid, alsmede bijna 1200 Google-accounts, 900 Cloudprojecten en 870 Google Ads-accounts. Verder waarschuwde Google 3,5 miljoen gebruikers voor het downloaden van de malware. Volgens Google groeide het botnet met duizenden nieuwe apparaten per dag. Samen met industriepartners zoals CloudFlare heeft Google de command & control-infrastructuur, waarmee de criminelen besmette machines aanstuurden, verstoord. Die hebben daardoor op het moment geen controle meer over het botnet. Het is echter de verwachting dat de criminelen zullen proberen om via een back-upmechanisme weer de controle over het botnet terug te krijgen, waarschuwt Google. Daarom heeft het techbedrijf naast technische stappen ook juridische maatregelen tegen de verdachte botnetbeheerders genomen die zich in Rusland zouden bevinden. Die zijn aangeklaagd voor computerfraude en -misbruik, merkinbreuk en andere claims (pdf). Daarnaast heeft Google de rechter gevraagd om de verdachten tijdelijke beperkingen op te leggen, om zo de technische operatie tegen het botnet te versterken. "Indien succesvol zal deze actie voor echte juridische aansprakelijkheid voor de beheerders zorgen", laat Google weten. De twee blogpostings waarin Google de actie aankondigt zijn op het moment van schrijven offline. bron: https://www.security.nl

Microsoft heeft door middel van een gerechtelijk bevel van een Amerikaanse rechter meerdere domeinen van een spionagegroep in beslag genomen die volgens het techbedrijf vanuit China opereert. Microsoft noemt de groep Nickel, maar die staat ook bekend KeC\ang, APT15, APT25, Vixen Panda, Royal APT en Playful Dragon. De groep is volgens Microsoft sinds 2016 actief, maar de huidige operaties vinden sinds september 2019 plaats en zijn gericht tegen overheidsinstellingen, denktanks en mensenrechtenorganisaties in 29 landen. Daarbij hebben de aanvallers het vooral voorzien op het verzamelen van inlichtingen. Voor het uitvoeren van de aanvallen maakt de groep gebruik van spearphishing, gestolen inloggegevens van Microsoft 365-accounts en bekende kwetsbaarheden in Exchange Server, SharePoint en vpn-oplossingen zoals Pulse Secure VPN. Voor zover bekend maakt de groep geen gebruik van zerodaylekken. Zodra er toegang tot systemen is verkregen installeren de aanvallers lastig te detecteren malware voor surveillance en datadiefstal, stelt Microsoft. Op 2 december stapte Microsoft naar een Amerikaanse rechter met het verzoek om domeinen in beslag te nemen die de groep bij de aanvallen gebruikt. De rechter gaf Microsoft hiervoor toestemming, waarop het techbedrijf de domeinen in beslag nam. Hierdoor heeft Microsoft onder andere zicht op de al door Nickel gemaakte slachtoffers en tactieken van de groep. "Onze actie zal er niet voor zorgen dat Nickel geen nieuwe aanvallen meer uitvoert, maar we denken dat we een belangrijk onderdeel van de infrastructuur hebben verwijderd waar de groep bij de laatste aanvallen gebruik van maakte", zegt Microsofts Tom Burt. Microsoft zal getroffen organisaties informeren dat ze zijn geïnfecteerd. Slachtoffers van de groep bevinden zich onder andere in Frankrijk, Hongarije, Italië, Portugal, Zwitserland, het Verenigd Koninkrijk en de Verenigde Staten. Om aanvallen door Nickel te voorkomen adviseert Microsoft onder andere het blokkeren van legacy authenticatieprotocollen in Azure Active Directory, het inschakelen van multifactorauthenticatie om misbruik van gecompromitteerde inloggegevens te voorkomen, Exchange Online policies te controleren en verkeer van anonimiseringsdiensten te blokkeren. De afgelopen jaren heeft Microsoft via 24 rechtszaken, waarvan vijf tegen statelijke actoren, in totaal meer dan tienduizend door cybercriminelen gebruikte domeinnamen en bijna zeshonderd door statelijke actoren gebruikte domeinnamen uit de lucht gehaald. Verder heeft het techbedrijf naar eigen zeggen de registratie van bijna 600.000 domeinen voor toekomstige criminelen activiteiten geblokkeerd.! bron: https://www.security.nl