Captain Kirk

Microsoft heeft dit jaar naar eigen zeggen meer dan veertig it-bedrijven zo'n zestienhonderd keer gewaarschuwd voor aanvallen door Iraanse actoren. Vorig jaar verstuurde Microsoft nog in totaal 48 waarschuwingen, terwijl de teller dit jaar al op 1647 staat. De aanvallers proberen volgens het techbedrijf toegang tot it-dienstverleners te krijgen om vervolgens hun klanten aan te kunnen vallen. De meeste aanvallen waren gericht tegen it-dienstverleners in India, gevolgd door verschillende bedrijven in Israël en de Verenigde Arabische Emiraten. Bij de it-bedrijven proberen de Iraanse aanvalsgroepen inloggegevens te stelen waarmee toegang tot de netwerken van klanten kan worden verkregen. "Hoewel de gebruikte techniek verschilt van andere recente supplychain-aanvallen, zijn deze aanvallen weer een voorbeeld van hoe statelijke actoren zich steeds vaker op supply chains richten als indirecte vector om hun doelen te bereiken", aldus Microsoft. Zo zou afgelopen juli een Israëlisch it-bedrijf dat managementsoftware levert zijn gecompromitteerd. Vervolgens werden klanten van dit bedrijf, actief in de Israëlische defensie, energie en juridische sector succesvol gecompromitteerd. Hoe de it-dienstverleners precies worden aangevallen laat Microsoft niet weten, maar in de adviezen om de aanvallen te stoppen wordt vooral het gebruik van multifactorauthenticatie voor Office 365- en e-mailaccounts aangeraden. bron: https://www.security.nl

Het Tor Project, de organisatie achter het Tor-netwerk, is een nieuwe campagne gestart waarbij het vrijwilligers die een bridge-server opzetten beloont met T-shirts, stickers en hoodies. Dagelijks maken zo'n 2,5 miljoen mensen gebruik van het Tor-netwerk om hun privacy te beschermen, maar ook om websites te bezoeken die in het land van herkomst worden geblokkeerd. Het Tor-netwerk bestaat uit allerlei servers van vrijwilligers die het verkeer van Tor-gebruikers verwerken. Zo is de eerste server de entry guard, die het verzoek van de Tor-gebruiker naar de relay-node doorstuurt. Vervolgens gaat het van deze server naar de exitnode, die het verzoek naar het internet stuurt. De servers waar het Tor-netwerk uit bestaat zijn openbaar. Regimes die niet willen dat hun bevolking van het Tor-netwerk gebruikmaakt kunnen de ip-adressen van al deze servers blokkeren. Om dergelijke blokkades te omzeilen zijn er "Tor-bridges". Dit zijn privé Tor-servers die als springplank dienen om toegang tot het Tor-netwerk te krijgen. Niet alleen zijn de Tor-bridges privé, ze kunnen ook hun netwerkverkeer aanpassen waardoor het lastig is om te zien dat iemand van Tor gebruikmaakt. Op dit moment zijn er zo'n twaalfhonderd Tor-bridges, waarvan er negenhonderd het obfs4-obfuscatieprotocol ondersteunen om het netwerkverkeer aan te passen. "Helaas zijn deze aantallen sinds het begin van dit jaar aan het afnemen. Het is niet voldoende om veel bridges te hebben: uiteindelijk kunnen ze allemaal op blocklists belanden. Daarom hebben we een continue stroom van nieuwe bridges nodig die nog nergens worden geblokkeerd. En daarbij hebben we jou hulp nodig", zegt Gustavo Gus van het Tor Project. Met de nu gestarte campagne hoopt het Tor Project er tweehonderd nieuwe obfs4-bridges bij te krijgen. Om vrijwilligers hiervoor te belonen kunnen die voor het draaien van meerdere bridge-servers onder andere stickers, hoodies en T-shirts krijgen. Om een bridge-server te kunnen draaien is wel een statisch ipv4-adres vereist. Verder mogen er maar twee bridges per ip-adres draaien en is een uptime van 24/7 nodig. bron: https://www.security.nl

Een kwetsbaarheid in tientallen modellen routers van Netgear maakt het voor een ongeauthenticeerde aanvaller aan de LAN-kant mogelijk om code als root uit te voeren. Netgear heeft firmware-updates uitgebracht om het probleem te verhelpen, maar niet alle kwetsbare modellen worden nog met updates ondersteund. Het beveiligingslek is aanwezig in de Universal Plug and Play (UPnP) daemon. UPnP is een veelgebruikt protocol dat het eenvoudiger voor apparaten in een netwerk moet maken om met andere apparaten op het netwerk te communiceren De daemon accepteert ongeauthenticeerde requests van clients die updates willen ontvangen wanneer de UPnP-configuratie van het netwerk verandert. Door een speciaal geprepareerd request naar de daemon te sturen kan er een stack overflow ontstaan. Doordat de UPnP-daemon als root draait, kan een aanvaller op deze manier code met rootrechten uitvoeren. Netgear heeft updates beschikbaar gesteld om de kwetsbaarheid (CVE-2021-34991) te verhelpen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 met een 8,8 beoordeeld. bron: https://www.security.nl

De Amerikaanse, Australische en Britse overheid hebben een waarschuwing afgegeven voor een groep aanvallers die door de Iraanse overheid zou worden gesponsord en misbruik maakt van bekende kwetsbaarheden in Microsoft Exchange en Fortinet FortiOS. Ook Microsoft is met een overzicht gekomen van verschillende groepen aanvallers die vanuit Iran zouden opereren. De groep aanvallers waarvoor de FBI, Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA), het Australische Cyber Security Centre (ACSC) en het Britse National Cyber Security Centre (NCSC) waarschuwen maakt sinds maart van dit jaar misbruik van bekende beveiligingslekken in Fortinet FortiOS. Het gaat om CVE-2018-13379, CVE-2019-5591 en CVE-2020-12812 waardoor een aanvaller toegang tot Fortinet vpn-servers kan krijgen. De APT-groep wist via de beveiligingslekken onder andere het netwerk van een Amerikaans kinderziekenhuis te compromitteren, aldus de waarschuwing. Sinds oktober van dit jaar maken de aanvallers ook gebruik van van de ProxyShell-kwetsbaarheden in Microsoft Exchange. ProxyShell is een naam voor drie kwetsbaarheden die wanneer gecombineerd het voor ongeauthenticeerde aanvallers mogelijk maken om kwetsbare Exchange-servers op afstand over te nemen. Zodra de APT-groep toegang tot de Exchange-server heeft gekregen worden verdere aanvallen uitgevoerd om organisaties met ransomware te infecteren. Organisaties worden opgeroepen om beveiligingsupdates zo snel mogelijk te installeren wanneer die beschikbaar komen. Voor sommige van de aangevallen kwetsbaarheden zijn patches al geruime tijd beschikbaar. Daarnaast moeten de kwetsbaarheden aangeduid als CVE-2021-34473, CVE-2018-13379, CVE-2020-12812 en CVE-2019-5591 meteen worden gepatcht. bron: https://www.security.nl

Exchange Server 2013 is ook kwetsbaar voor een actief aangevallen beveiligingslek waardoor aanvallers de mailserver kunnen overnemen. Microsoft bracht op 9 november beveiligingsupdates uit voor Exchange Server 2016 en 2019 en heeft de patch nu ook voor Exchange Server 2013 beschikbaar gesteld. Op het moment dat Microsoft de update uitrolde werd er al misbruik van het beveiligingslek gemaakt. Verdere details werden niet gegeven, behalve dat meerdere onderzoekers het probleem aan Microsoft hadden gerapporteerd en het techbedrijf de kwetsbaarheid zelf ook had gevonden. De kwetsbaarheid, aangeduid als CVE-2021-42321, maakt het mogelijk voor een geauthenticeerde aanvaller om willekeurige code op de server uit te voeren. De aanvaller moet in dit geval over inloggegevens van een legitieme gebruiker beschikken om de server aan te vallen. De inloggegevens zouden bijvoorbeeld via phishing kunnen worden gestolen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 met een 8,8 beoordeeld. Update Microsoft heeft de vermelding van Exchange Server 2013 uit het overzicht van kwetsbare Exchange-versies verwijderd omdat deze versie toch niet kwetsbaar blijkt te zijn. bron: https://www.security.nl

De Duitse overheid verwacht de komende tijd een toename van ddos-aanvallen op webwinkels en roept ondernemers op om maatregelen te nemen. Criminelen zouden Black Friday, Cyber Monday en de kerstperiode aangrijpen om winkeliers door middel van ddos-aanvallen af te persen. "De afgelopen weken hebben we ddos-aanvallen tot 21,8 miljoen requests per seconde (MRPS) gezien. Dit is een toename van 28 procent in vergelijking met eerdere aanvallen. Gevreesd wordt dat de aanvalstechnologieën tijdens de komende drukke periode worden ingezet, met name voor ddos-afpersing", zegt Arne Schönbohm, hoofd van het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken. Volgens Schönbohm is het belangrijk dat webshops voorzorgsmaatregelen treffen. Daarbij moet vooral worden gelet op UDP-reflectie-aanvallen met veel requests. Verder roept het BSI aangevallen winkeliers op om niet op afpersingspogingen te reageren. Onlangs meldde Cloudflare dat het een ddos-aanval van 2 Tbps heeft geblokkeerd. De grootste aanval die het tot nu toe heeft gezien. bron: https://www.security.nl

Microsoft stopt met het twee keer per jaar uitbrengen van feature-updates voor Windows 10. In plaats daarvan zullen deze updates nog maar één keer per jaar verschijnen. Afhankelijk van de gebruikte Windows-versie worden de feature-updates achttien of dertig maanden met beveiligingsupdates ondersteund. Met de aanpassing wil Microsoft de releases van Windows 10 gelijk laten lopen aan die van Windows 11. Het techbedrijf deed de aankondiging bij de lancering van de Windows 10 November 2021 Update. Deze feature-update introduceert verschillende nieuwe functionaliteiten, waaronder de ondersteuning van Wifi 6 met het Wifi Protected Access 3 Hash-to-Element protocol (WPA3 H2E). Dit protocol moet een betere bescherming bieden tegen sidechannel-aanvallen waarbij wifi-wachtwoorden kunnen worden gestolen. Verder zijn er beveiligingsverbeteringen voor verschillende Windowsonderdelen doorgevoerd, waaronder de kernel, het app-platform en virtualisatie. Ook komen instellingen van Group Policy en mobile device management (MDM) meer met elkaar overeen. Meer dan veertienhonderd Group Policy-instellingen zijn nu ook via MDM te configureren. Microsoft roept organisaties op om de Windows 10 November 2021 Update gericht te testen om zo te kijken of apps, apparaten en hun infrastructuur met de nieuwe release goed blijft werken. De volgende feature-update voor Windows 10 staat gepland voor de tweede helft van 2022. Microsoft benadrukt dat het tenminste één versie van Windows 10 blijft ondersteunen tot het einde van de supportperiode op 14 oktober 2025. bron: https://www.security.nl

De ontwikkelaars van Brave hebben de browser van een ingebouwde cryptowallet voorzien die zonder het installeren van verdere extensies is te gebruiken, wat de veiligheid ten goede zou moeten komen. Via de wallet kunnen gebruikers grafieken zien, cryptovaluta en NFT's versturen en ontvangen, hun portfolio beheren en cryptovaluta aanschaffen. Ook is het mogelijk om via de ingebouwde cryptowallet verbinding te maken met hardware wallets zoals Trezor en Ledger. Volgens Brave zijn de meeste cryptowallets op dit moment alleen als browser-extensies beschikbaar, die beveiligingsrisico's met zich meebrengen en kwetsbaarder zijn voor phishing en diefstal van cryptovaluta. Verder stelt de browserontwikkelaar dat deze extensies in de achtergrond draaien en zo het systeem meer belasten. De ingebouwde cryptowallet van Brave zou hier geen last van hebben, aldus de ontwikkelaars. De Brave Wallet is op dit moment alleen beschikbaar in versie 1.32 en nieuwer van de desktopversie van Brave, maar zal binnenkort ook in de mobiele versies van de browser verschijnen. bron: https://www.security.nl

Microsoft waarschuwt voor twee kwetsbaarheden in de updateassistent van Windows 10 waardoor een aanvaller bestanden op het systeem van gebruikers kan verwijderen. Beveiligingsupdates zijn buiten de vaste patchdinsdag om beschikbaar gemaakt en details over één van de beveiligingslekken zijn al openbaar, zo laat het techbedrijf weten. Volgens Microsoft zijn er nog geen aanvallen waargenomen die misbruik maken van de kwetsbaarheden. De beveiligingslekken, aangeduid als CVE-2021-43211 en CVE-2021-42297, vallen in de categorie "Elevation of Privilege". Het gaat in dit geval om kwetsbaarheden waarmee een aanvaller die toegang tot een systeem heeft zijn rechten kan verhogen. In dit geval zou een aanvaller alleen bestanden van het systeem kunnen verwijderen. Het bekijken of aanpassen van bestanden is niet mogelijk, aldus Microsoft. De impact van de kwetsbaarheden is op een schaal van 1 tot en met 10 met een 5 en 5,5 beoordeeld. bron: https://www.security.nl

Mozilla heeft een betaalde versie van Firefox Relay gelanceerd die gebruikers meer e-mailaliassen biedt dan de gratis versie. Via Firefox Relay kunnen gebruikers een e-mailalias genereren om zich bijvoorbeeld op websites te registreren. Dit moet voorkomen dat e-mailadressen van gebruikers in handen van spammers, trackers en dubieuze websites komen. Gebruikers maken via Firefox Relay een alias aan. E-mails worden via de aangemaakte alias naar het echte e-mailadres van de gebruiker doorgestuurd. De gratis versie van Firefox Relay biedt gebruikers vijf aliassen. Die kunnen zowel via de webinterface als een extensie worden aangemaakt. Per alias kan worden ingesteld of e-mails naar het echte e-mailadres van de gebruiker moeten worden doorgestuurd of dat Mozilla ze moet blokkeren. De betaalde versie van Firefox Relay, die 0,99 dollar per maand kost, biedt een onbeperkt aantal aliassen. Daarnaast biedt het gebruikers een eigen subdomein onder mozmail.com om aliassen te creëren. Ook is het mogelijk om doorgestuurde e-mails te beantwoorden. Zowel de betaalde als gratis versie hanteren een limiet van 150kb voor e-mailbijlagen. Mozilla laat weten dat het de inhoud van e-mails niet leest of bewaart en alle berichten, nadat ze zijn afgeleverd bij de gebruiker, worden verwijderd. Firefox Relay is alleen toegankelijk voor gebruikers die over een Firefox Account beschikken. De dienst is nu ook in het Nederlands beschikbaar. bron: https://www.security.nl

De Belgische overheid heeft een app gelanceerd waarmee het burgers voor besmettingen op hun wifi-netwerk waarschuwt. De Safeonweb-app is ontwikkeld door het Centrum voor Cybersecurity België (CCB), de nationale autoriteit voor cyberveiligheid in België, en bevat twee functies. De eerste functie toont nieuws over cyberdreigingen in België, de tweede functionaliteit toont informatie over dreigingen op het wifi-netwerk van de gebruiker. Gebruikers moeten voor deze laatste functie eerst hun wifi-netwerk registreren, wat via de app mogelijk is. Hiervoor moet naast een bevestiging via e-mail ook de locatiebepaling worden ingeschakeld. De toegang tot de locatie van de gebruiker is nodig om te bepalen of die op geregistreerde netwerk aanwezig is. "Voor iOS en Android is het opvragen van de naam van je huidige netwerk (SSID - service set identifier) enkel mogelijk als je locatiebepaling aanstaat", aldus het CCB. Vervolgens kijkt de app of het ip-adres van de gebruiker voorkomt in informatie over infecties. Deze data is afkomstig van verschillende partners, aldus het CBB. Het gaat zowel om commerciële partijen als opensourcebronnen. De Safeonweb-app voert geen scan van het netwerk uit en is volgens de overheidsinstantie geen vervanging voor antivirussoftware. Ook kan de app, die beschikbaar is in de Google Play Store en Apple App Store, alleen informatie over bedreigingen naar Belgische ip-adressen sturen. bron: https://www.security.nl

Het Emotet-botnet, dat eerder dit jaar nog door ingrijpen van de Nederlandse en Duitse politie van een miljoen computers werd verwijderd, is weer terug aan het komen en begonnen met het versturen van malafide documenten om nieuwe slachtoffers te maken, zo melden verschillende beveiligingsonderzoekers en securitybedrijven waaronder G Data en Proofpoint. De onderzoekers zagen afgelopen zondag hoe op verschillende systemen die met de TrickBot-malware zijn besmet de Emotet-malware werd geïnstalleerd. TrickBot is in het verleden vaker gebruikt voor het installeren van aanvullende malware, zoals ransomware. Nu wordt TrickBot ingezet voor de opbouw van een nieuw Emotet-botnet. Inmiddels versturen de nieuwe met Emotet besmette machines e-mails met malafide e-mailbijlagen. Het gaat dan om Word- en Excel-bestanden die van malafide macro's zijn voorzien. Wanneer de ontvangers macro's inschakelen wordt Emotet op het systeem geïnstalleerd. Om ervoor te zorgen dat potentiële slachtoffers het document openen lift Emotet mee op eerdere e-mails die al geïnfecteerde slachtoffers hebben verstuurd. Zo wordt de inhoud van het oorspronkelijke bericht aan de kwaadaardige e-mail toegevoegd, aangevuld met een tekst en link die naar de malware wijst. Deze tactiek paste Emotet in het verleden al toe en is nu opnieuw uit de kast gehaald. Eenmaal actief op een systeem kan Emotet aanvullende malware installeren en allerlei gegevens stelen, zoals wachtwoorden van e-mailaccounts. Deze inloggegevens gebruikt de malware onder andere om zichzelf naar contacten van het slachtoffer te sturen. Bij de internationale politieoperatie eerder dit jaar kregen opsporingsdiensten toegang tot de servers van het botnet, waarop inloggegevens van 4,2 miljoen e-mailadressen stonden. De Nederlandse politie ontwikkelde een Emotet-checker waarmee gebruikers kunnen controleren of hun e-mailaccount is gecompromitteerd. Abuse.ch, een platform dat zich bezighoudt met de bestrijding van botnets, heeft ip-adressen gepubliceerd van Emotet-servers en roept organisaties op om die te blokkeren. bron: https://www.security.nl

Honderden WordPress-sites zijn getroffen door een zogenaamde ransomware-infectie waarbij bezoekers het bericht te zien krijgen dat de website is versleuteld. Dat meldt securitybedrijf Sucuri. Volgens het bericht op de website moet er voor het ontsleutelen van de versleutelde bestanden 0,1 bitcoin worden betaald, wat op het moment van schrijven overeenkomt met ruim 5300 euro. In het verleden zijn er vaker aanvallen op websites uitgevoerd waarbij bestanden van de site voor losgeld werden versleuteld of gestolen. Bij de nu getroffen WordPress-sites is daar geen sprake van en zijn er geen bestanden versleuteld. Aanvallers hebben een plug-in weten te installeren die de losgeldboodschap toont. Het verwijderen van de plug-in is dan ook voldoende om de melding te verwijderen. Volgens Sucuri stond de teller gisteren op 291 getroffen websites. Hoe de aanvallers in staat zijn om de plug-in te installeren is op dit moment onduidelijk. Op basis van logbestanden blijkt dat de aanvallers over inloggegevens van getroffen websites beschikken, die mogelijk via een bruteforce-aanval of andere manier zijn verkregen. Beheerders van getroffen websites wordt dan ook geadviseerd om alle beheerderswachtwoorden te wijzigen en alle bestaande beheerders van de site te controleren. bron: https://www.security.nl

Het Tor Project heeft een update voor Tor Browser 11 uitgebracht die verschillende bugs verhelpt. Tor Browser 11 werd vorige week gelanceerd en is voorzien van een geheel nieuwe gebruikersinterface. Ook foutmeldingen, bepaalde vensters en het connectiescherm hebben een opfrisbeurt gekregen. Een van de nu verholpen bugs betreft aanbevelingen van Firefox die standaard stonden ingeschakeld, alsmede een probleem met het zoeken via de ingebouwde Blockchair-zoekmachine, een kapotte browser chrome bij het uitschakelen van de privémodus en wat andere zaken. De nieuwe Tor Browser-update bevat geen beveiligingsfixes. Updaten naar Tor Browser 11.0.1 kan via de automatische updatefunctie en TorProject.org. bron: https://www.security.nl

Google heeft vandaag Chrome 96 gelanceerd die websites met een https dns-record altijd via https zal laden. De nieuwe feature moet de privacy van gebruikers beschermen. "Dns for https" records, ook aangeduid als dns type 65, is een bij de IETF in ontwikkeling zijnde specificatie. De specificatie zorgt onder andere voor "https binding", zodat websites standaard via https worden geladen. Google heeft ondersteuning van dergelijke records nu aan Chrome 96 toegevoegd. Volgens de release notes zijn er met deze versie geen kwetsbaarheden verholpen. Updaten naar Chrome 96.0.4664.45 zal op de meeste systemen automatisch gebeuren. bron: https://www.security.nl

Een kritieke kwetsbaarheid in firewalls van Palo Alto Networks maakt het mogelijk voor ongeauthenticeerde aanvallers om code als root uit te voeren. Het beveiligingslek, aangeduid als CVE-2021-3064, is aanwezig in het GlobalProtect-onderdeel van PAN-OS 8.1, het besturingssysteem van de firewalls. GlobalProtect is de vpn-oplossing van Palo Alto Networks. Een aanvaller met toegang tot de GlobalProtect-interface kan willekeurige code met rootrechten uitvoeren. De aanvaller hoeft niet over inloggegevens te beschikken, alleen toegang tot de interface is voldoende. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 met een 9,8 beoordeeld. Firewalls lopen alleen risico als de GlobalProtect-portal of -gateway staat ingeschakeld. Op dit moment zijn er nog geen aanwijzingen dat er misbruik van de kwetsbaarheid wordt gemaakt, aldus Palo Alto Networks. Organisaties worden opgeroepen om te updaten naar PAN-OS 8.1.17 of nieuwer. PAN-OS 9.0, 9.1, 10.0 en 10.1 zijn niet kwetsbaar, wat ook geldt voor Prisma Access. bron: https://www.security.nl

HPE heeft klanten gewaarschuwd voor een datalek waarbij hun gegevens in de cloudomgeving van Aruba Central mogelijk zijn gestolen.Aruba Central is een cloudgebaseerde netwerkoplossing voor het beheer van draadloze, bedrade en WAN-infrastructuur op allerlei locaties. Via een dashboard kunnen beheerders zaken als netwerkprestaties monitoren en problemen verhelpen. Begin oktober wist een aanvaller door middel van een access key toegang tot informatie in de Aruba Central-omgeving te krijgen. Volgens HPE gaat het om gegevens die als "persoonlijke klantgegevens" moeten worden geclassificeerd, waaronder telemetriegegevens van netwerken en "contact tracing" data. De gecompromitteerde data bestaat onder andere uit informatie over de apparaten van medewerkers van bedrijven en organisaties die via wifi met het bedrijfsnetwerk verbinding maken, maar ook locatie-gebaseerde data in het kader van coronamaatregelen. Via Aruba-accesspoints kunnen bedrijven via wifi en bluetooth informatie verzamelen over waar hun personeel precies ten opzichte van elkaar is. Dit moet bijvoorbeeld "riskante verkeerspatronen" inzichtelijk maken en ervoor zorgen dat medewerkers voldoende afstand houden. Concreet gaat het om mac-adressen, ip-adressen, gebruikt besturingssysteem en hostnaam. Voor wifi-netwerken waarbij gebruikers moeten inloggen gaat het ook om gebruikersnaam. Verder bevatten de gecompromitteerde repositories informatie over datum, tijd en het wifi-accesspoint waarmee het apparaat van medewerkers verbinding maakt, waarmee de locatie van een gebruiker is te bepalen. HPE kan niet per klant zeggen of er specifieke data is gestolen. Onder de AVG zijn Aruba en HPE verplicht om klanten te waarschuwen, zo laten de bedrijven weten. Doordat Aruba Central uit verschillende clusters bestaat zijn niet alle klanten van deze oplossing getroffen. Het misbruik van de access key werd via monitoringtools ontdekt. Vervolgens stelde HPE een onderzoek in, waarna het misbruik op 2 november kon worden vastgesteld. Access keys voor Aruba Central worden automatisch na een bepaalde tijd geroteerd. De key in kwestie was vanaf 27 oktober niet meer geldig. Verder wordt data in de repositories automatisch na dertig dagen verwijderd. De gecompromitteerde data gaat dan ook maximaal terug tot 10 september van dit jaar. Hoe de aanvaller toegang tot de access key kon krijgen laat HPE niet weten. bron: https://www.security.nl

Citrix heeft beveiligingsupdates uitgebracht voor een kritieke kwetsbaarheid in de Citrix Application Delivery (ADC) en Citrix Gateway waardoor een ongeauthenticeerde aanvaller de systemen via een denial of service (dos)-aanval kan platleggen. Beveiligingslekken die tot een denial of service kunnen leiden worden meestal niet als kritiek beoordeeld. De kwetsbaarheid, aangeduid als CVE-2021-22955, doet zich alleen voor als het apparaat als vpn (gateway) of AAA virtual server is geconfigureerd. Citrix adviseert organisaties om de beschikbare beveiligingsupdates zo snel als mogelijk te installeren. Na het uitkomen van de beveiligingsupdates lieten verschillende beheerders op Twitter weten dat ze moeite hadden om Citrix.com te bereiken. bron: https://www.security.nl

Nog iets meer dan een maand en dan stopt Microsoft met de ondersteuning van Windows 10 versie 2004, wat inhoudt dat deze versie van het besturingssysteem geen beveiligingsupdates meer ontvangt. Windows 10 versie 2004, ook bekend als de May 2020 Update, verscheen op 27 mei 2020. Twee keer per jaar brengt de softwaregigant een grote feature-update uit voor Windows 10. In het geval van Windows 10 Home, Pro, Pro Education en Pro for Workstations worden die achttien maandenlang met beveiligingsupdates ondersteund. Gebruikers die na deze periode nog patches willen blijven ontvangen moeten naar een nieuwere versie upgraden. Feature-updates voor Windows 10 Enterprise, Education en Enterprise IoT die in de eerste helft van het jaar verschijnen worden ook achttien maanden met updates ondersteund. Verschijnt de feature-update in de tweede helft van het jaar, dan bedraagt de ondersteuning dertig maanden. Microsoft adviseert organisaties om naar de laatste versie van Windows 10 te updaten of naar Windows 11 als de computer hiervoor in aanmerking komt. bron: https://www.security.nl

In een industrieel besturingssysteem van Siemens dat door miljarden apparaten wereldwijd wordt gebruikt hebben onderzoekers meerdere beveiligingslekken gevonden, waaronder een kritieke ftp-kwetsbaarheid. Het Siemens Nucleus Real-Time Operating Systems (RTOS) is aanwezig in medische apparaten zoals ventilatoren, patiëntmonitors en anesthesiemachines, industriële systemen en de automobielindustrie. Onderzoekers van securitybedrijf Forescout vonden in de tcp/ip stack van het Nucleus RTOS dertien kwetsbaarheden (pdf). In de meeste gevallen kunnen deze beveiligingslekken tot een denial of service leiden. De ftp-server van de tcp/ip stack bevat drie kwetsbaarheden waardoor ook remote code execution mogelijk is. Eén van deze kwetsbaarheden, CVE-2021-31886, is op een schaal van 1 tot en met 10 wat betreft de impact beoordeeld met een 9,8. De beveiligingslekken in de ftp-server worden veroorzaakt doordat die de lengte van de commando's user, pwd/xpwd en mkd/xmkd niet goed controleert, wat tot stack-based buffer overflows kan leiden. Onderzoekers van Forescout vonden via zoekmachine Shodan meer dan 2200 Nucleus ftp-servers die vanaf het internet toegankelijk zijn. Hoewel de overige kwetsbaarheden een lagere impactscore hebben kunnen die wel grote gevolgen hebben, bijvoorbeeld als ventilatie- of treinsystemen worden platgelegd. Siemens heeft voor de dertien gevonden lekken beveiligingsupdates uitgebracht. bron: https://www.security.nl

Een botnet dat naar schatting uit zo'n 250.000 besmette MikroTik-routers bestaat is verantwoordelijk voor minstens honderd ddos-aanvallen per dag, waarvan de grootste uit 17,2 miljoen requests per seconde bestond. Dat laat internetbedrijf Cloudflare weten. Meris, wat Lets is voor pest, heeft het gemiddeld op vijftig websites per dag voorzien. Die bevinden zich vooral in Australië, China en de Verenigde Staten. Het Meris-botnet werd in juni van dit jaar voor het eerst opgemerkt. Het infecteert MikroTik-routers via een kwetsbaarheid waar in 2018 een beveiligingsupdate voor verscheen. Via het beveiligingslek kan een ongeauthenticeerde aanvaller toegang tot het filesystem krijgen. "Hoewel de kwetsbaarheid na de ontdekking in 2018 is gepatcht, wordt er nog steeds misbruik van gemaakt in gecompromitteerde apparaten die niet een gepatcht OS draaien of standaard gebruikersnamen en wachtwoorden gebruiken", zegt Vivek Ganti van Cloudflare. Het botnet voert gemiddeld 104 ddos-aanvallen per dag op Cloudflare-klanten uit, waardoor het werkelijke aantal nog hoger kan liggen aangezien het internetbedrijf niet alle aanvallen ziet. Het grootste aantal aanvallen nam Cloudflare op 6 september waar, toen het om 261 unieke ddos-aanvallen tegen klanten ging. Met name softwarebedrijven, goksites, it-diensten en gamingsites zijn het doelwit van het botnet. bron: https://www.security.nl

Microsoft waarschuwt voor actief aangevallen zerodaylekken in Exchange Server en Excel waardoor aanvallers het onderliggende systeem kunnen overnemen. Organisaties worden opgeroepen om de beschikbaar gestelde Exchange-update direct te installeren. Het beveiligingslek in Exchange Server 2016 en 2019, aangeduid als CVE-2021-42321, maakt het mogelijk voor een geauthenticeerde aanvaller om willekeurige code op de server uit te voeren. De aanvaller moet in dit geval over inloggegevens van een legitieme gebruiker beschikken om de server aan te vallen. De inloggegevens zouden bijvoorbeeld via phishing kunnen worden gestolen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 met een 8,8 beoordeeld. Het tweede zerodaylek waar Microsoft tijdens de patchdinsdag van november een beveiligingsupdate voor heeft uitgebracht bevindt zich in Excel. Door het openen van een speciaal geprepareerd Excel-document kan een aanvaller code op het systeem uitvoeren. Het gaat hier om een "security feature bypass". Waarschijnlijk betreft het code die normaal pas na toestemming van de gebruiker wordt uitgevoerd, maar door de kwetsbaarheid verschijnt er vermoedelijk geen venster dat hierom vraagt. Microsoft heeft nog geen update voor Office voor Mac uitgebracht. bron: https://www.security.nl

Een vanuit China opererende groep aanvallers maakt gebruik van een bekende kwetsbaarheid in Zoho ManageEngine om bij bedrijven en organisaties te spioneren, zo stellen Microsoft en securitybedrijf Palo Alto Networks. Begin september waarschuwde softwarebedrijf Zoho voor een actief aangevallen kwetsbaarheid in ManageEngine ADSelfService Plus waardoor aanvallers op afstand servers kunnen overnemen. ManageEngine ADSelfService Plus is een self-service password management en single sign-on oplossing voor Active Directory en cloud-apps. Het stelt gebruikers onder andere in staat om zelf hun wachtwoord te resetten. Een kwetsbaarheid in de software (CVE-2021-40539) maakt het mogelijk voor aanvallers om op afstand de authenticatie te omzeilen en willekeurige code op de server uit te voeren. Op het moment dat Zoho voor het beveiligingslek waarschuwde werd er al actief misbruik van gemaakt. Nu melden Microsoft en Palo Alto Networks dat er een tweede groep aanvallers is ontdekt die van de kwetsbaarheid misbruik maakt. Deze aanvallen begonnen op 22 september en gingen door tot begin oktober. In deze periode waren honderden ManageEngine-servers het doelwit. Volgens Palo Alto Networks zijn zeker negen organisaties in de technologie, defensie, gezondheidszorg, energie en onderwijssector getroffen. Zodra de aanvallers toegang tot een server hebben stelen ze inloggegevens, installeren malware om toegang te behouden en bewegen zich lateraal door het netwerk. De groep aanvallers wordt door Microsoft DEV-0322 genoemd en zou eerder verantwoordelijk zijn voor gerichte aanvallen waarbij er misbruik werd gemaakt van een zerodaylek in SolarWinds Serv-U. Zowel Palo Alto Networks als Microsoft hebben details gegeven waarmee organisaties kunnen kijken of ze via de ManageEngine-kwetsbaarheid zijn gecompromitteerd. bron: https://www.security.nl

De bende achter de Clop-ransomware, die ook de Universiteit van Maastricht infecteerde, maakt nu misbruik van een bekende kwetsbaarheid in software van SolarWinds om bedrijven en organisaties aan te vallen. Voorheen verstuurde de groep vooral phishingmails voor het infecteren van organisaties. Dat meldt securitybedrijf NCC Group in een analyse. Het beveiligingslek dat de Clop-groep gebruikt is aanwezig in SolarWinds Serv-U. Via Serv-U kunnen organisaties een server opzetten om bestanden via FTP, FTPS en SFTP uit te wisselen. In juli waarschuwde SolarWinds voor een actief aangevallen zerodaylek waardoor remote code execution op de server mogelijk is. Volgens Microsoft, dat de zeroday-aanvallen ontdekte, was een vanuit China opererende groep aangeduid als DEV-0322 hiervoor verantwoordelijk. Nu beschikt ook de Clop-groep, aangeduid als TA505, over exploits om kwetsbare Serv-U ftp-servers aan te vallen. Zodra de server is gecompromitteerd proberen de aanvallers daarvandaan andere systemen in het netwerk aan te vallen. Volgens NCC Group waren er in juli nog zesduizend kwetsbare Serv-U ftp-servers vanaf het internet toegankelijk. Drie maanden nadat SolarWinds de beveiligingsupdate beschikbaar maakte gaat het nog altijd om 2800 ongepatchte machines die risico lopen om te worden aangevallen. Van deze kwetsbare servers bevinden zich er 29 in Nederland, aldus de onderzoekers. bron: https://www.security.nl

Het Tor Project heeft een nieuwe Tor Browser gelanceerd die van een nieuwe gebruikersinterface is voorzien. Via Tor Browser kunnen gebruikers verbinding met het Tor-netwerk maken. De browser is gebaseerd op Firefox ESR. Eerder dit jaar onderging de vormgeving van Firefox een grote aanpassing. Die aanpassing is doorgevoerd in Firefox ESR 91 waar de nu gelanceerde Tor Browser gebruik van maakt. Vanwege deze aanpassing heeft het Tor Project ook de iconen, kleur, typografie en knoppen in lijn met de nieuwe Firefox-vormgeving aangepast. Ook foutmeldingen, bepaalde vensters en het connectiescherm hebben een opfrisbeurt gekregen. Verder worden met de lancering van Tor Browser 11.0 oudere Tor-sites niet meer ondersteund. Naast een browser voor het bezoeken van websites via het Tor-netwerk, biedt het Tor Project ook het Onion Service-protocol waarmee websites op het Tor-netwerk zijn te hosten. Deze websites, eindigend op .onion, zijn alleen vanaf het Tor-netwerk met Tor Browser toegankelijk. Versie 2 van dit protocol is al meer dan een decennium oud en is nu uitgefaseerd. Alleen versie 3 wordt nog ondersteund. Daardoor is het niet meer mogelijk om websites te bezoeken die nog van versie 2 gebruikmaken. Het verschil tussen v2 en v3 is eenvoudig te achterhalen, aangezien v2-websites zestien karakters lang zijn, tegenover 56 karakters voor v3. Updaten naar Tor Browser 11.0 kan via de automatische updatefunctie en TorProject.org. bron: https://www.security.nl