Captain Kirk

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in Atlassian Confluence waarvoor vorige week een beveiligingsupdate verscheen. Wereldwijd zouden zo'n 13.000 kwetsbare Confluence-servers op internet zijn te vinden, aldus Censys. Confluence is een door Atlassian ontwikkeld wikiplatform waarmee teams van organisaties kunnen samenwerken. Een kwetsbaarheid in de software, aangeduid als CVE-2021-26084, maakt het mogelijk voor een aanvaller om willekeurige code op het systeem uit te voeren en zo volledige controle over de server te krijgen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 met een 9,8 beoordeeld. In sommige gevallen is misbruik door een ongeauthenticeerde aanvaller mogelijk. Het Australische Cyber Security Centre (ACSC) waarschuwde gisteren dat aanvallers actief naar kwetsbare servers zoeken en die proberen aan te vallen. Securitybedrijf Bad Packets meldt ook actief misbruik van de kwetsbaarheid. Aanvallers gebruiken het beveiligingslek om cryptominers op kwetsbare servers te installeren, aldus het bedrijf op Twitter. De kwetsbaarheid doet zich alleen voor bij de Confluence-installaties die organisaties zelf hosten. Cloudklanten van Atlassian lopen geen risico. Het ACSC roept organisaties op om met prioriteit Confluence-installaties te identificeren en updaten. bron: https://www.security.nl

Belgische inlichtingendiensten mogen de omstreden Pegasus-spyware inzetten, zo stelt de Belgische minister van Justitie Vincent Van Quickenborne. Onlangs liet een samenwerkingsverband tussen Forbidden Stories, Amnesty International en verschillende mediabedrijven weten dat journalisten, activisten en politici wereldwijd via de Pegasus-spyware zijn bespioneerd. Via de Pegasus-spyware is het mogelijk om slachtoffers via hun microfoon en camera te bespioneren en gesprekken en communicatie via WhatsApp, Gmail, Viber, Facebook, Telegram, Skype, WeChat en andere apps af te luisteren en onderscheppen, alsmede de locatie te bepalen. De spyware, ontwikkeld door de NSO Group, wordt al zeker sinds 2016 via zeroday-aanvallen verspreid. Ondanks felle kritiek van beveiligingsexperts en mensenrechtenorganisaties stelt Van Quickenborne dat de Pegasus-spyware legaal in België kan worden ingezet. "In een wereld waarbij technologie almaar complexer en meer alomtegenwoordig wordt, is het belangrijk dat de inlichtingen- en veiligheidsdiensten met gelijke wapens kunnen strijden tegen degenen die onze veiligheid bedreigen", laat de minister op vragen van N-VA-Kamerlid Michael Freilich weten. Volgens Van Quickenborne blijven permanente investeringen in technologische innovatie noodzakelijk. "Het inzetten van dit soort technologie moet echter altijd gebeuren binnen een wettelijk kader met afdoende controlemechanismen zodat de rechten en vrijheden van de burgers maximaal gevrijwaard blijven. In België is dat kader aanwezig." Op de vraag of de Belgische inlichtingendienst Staatsveiligheid klant is van NSO Group reageert de minister dat de dienst met allerlei aanbieders contact heeft gehad en dat er naar allerlei nieuwe technieken en technologieën wordt gezocht om aan de wettelijke opdrachten te kunnen voldoen. Of de dienst ook klant is wil Van Quickenborne niet laten weten. "Maar de Staatsveiligheid wenst zich niet uit te spreken over de operationele middelen die worden ingezet tijdens de onderzoeken. Dat kan leiden tot aanpassingen in het gedrag van haar doelwitten, met een mogelijke verhoging van de dreiging tot gevolg. Het gebruik van specifieke en uitzonderlijke methoden draagt altijd de classificatiegraad 'geheim'." Wel is het Belgisch federaal parket een onderzoek gestart naar mogelijke spionage van Belgische telefoontoestellen via de Pegasus-spyware. Dit naar aanleiding van recente berichtgeving van Amnesty en publicaties in de pers, meldt De Tijd. Het strafonderzoek bevindt zich echter nog in een beginfase. bron: https://www.security.nl

Zeker 750.000 WordPress-sites zijn kwetsbaar door twee beveiligingslekken in een plug-in genaamd Gutenberg Template Library & Redux Framework. Via deze uitbreiding kunnen WordPress-sites allerlei templates en blokken toevoegen. De eerste kwetsbaarheid maakt het mogelijk voor een gebruiker met beperkte rechten om willekeurige plug-ins te installeren en activeren, alsmede willekeurige berichten en pagina's te verwijderen. Het tweede beveiligingslek maakt het mogelijk voor een ongeauthenticeerde aanvaller om allerlei informatie over de website te achterhalen, zoals PHP-versie, geïnstalleerde plug-ins en versienummer en een niet-gesalte md5-hash van de auth_key en secure_auth_key. Deze keys worden gebruikt voor het doorvoeren van aanpassingen aan de website. Volgens securitybedrijf Wordfence, dat beide kwetsbaarheden ontdekte, kan een aanvaller dit laatste lek voor verdere aanvallen gebruiken. Beide kwetsbaarheden werden op 3 augustus aan de ontwikkelaars gerapporteerd, die op 11 augustus een beveiligingsupdate uitrolden met versienummer 4.2.13. De Gutenberg-plug-in is op meer dan 1 miljoen WordPress-sites geïnstalleerd. De beveiligingslekken zijn aanwezig in versie 4.2.11 en ouder. 750.000 websites draaien echter versie 4.1 of ouder en zijn dan ook kwetsbaar. Zo'n 250.000 websites draaien versie 4.2.x van de plug-in. WordPress toont echter geen exacte versienummers, waardoor het aantal kwetsbare websites met een oude 4.2.x-versie onduidelijk is. Beheerders wordt aangeraden naar de laatste versie te updaten. bron: https://www.security.nl

Criminelen maken gebruik van legitieme proxyware-applicaties om aan de bandbreedte van slachtoffers te verdienen wat een risico voor organisaties kan zijn, zo stelt Cisco. Proxyware is software die gebruikers in staat stelt om hun bandbreedte tegen betaling aan te bieden aan een tussenpartij. Deze tussenpartij biedt de bandbreedte weer aan klanten aan. In veel gevallen worden proxyware-diensten aangeboden als een manier voor marketingorganisaties om potentiële campagnes vanaf verschillende geografische locaties te testen of om netwerkbeperkingen te omzeilen. Volgens Cisco maken criminelen inmiddels ook misbruik van dit verdienmodel door proxyware-applicaties op de systemen van slachtoffers te installeren zodat zij worden betaald voor de bandbreedte van hun slachtoffers. Dit kan niet alleen gevolgen hebben voor de bandbreedte, de systemen waarop de proxyware-applicaties draaien kunnen ook door criminelen worden gebruikt als proxy bij hun aanvallen of malafide activiteiten. Daardoor lijkt het alsof deze activiteiten van een legitiem netwerk afkomstig zijn, aangezien de proxyware-applicatie gewoon het ip-adres doorgeeft van het netwerk waarop het is geïnstalleerd. Sommige gebruikers en organisaties kunnen hierdoor zelfs onderdeel van politie-onderzoek worden als hun verbinding via de proxyware-applicatie voor illegale doeleinden wordt gebruikt, stelt Cisco. Ook bestaat het risico dat het ip-adres van een organisatie op een blocklist terechtkomt. Proxyware-applicaties zouden bijvoorbeeld door medewerkers kunnen worden geïnstalleerd, maar ook via malware of softwarebundels op systemen terecht kunnen komen. "Deze relatief nieuwe platformen zijn met een legitiem doel ontwikkeld, maar aanvallers hebben snel manieren gevonden om er misbruik van te maken", stelt onderzoeker Edmund Brumaghin. "We denken dat aanvallers deze proxyware-platformen zeer waarschijnlijk zullen misbruiken, aangezien ze de locatie van een aanvaller effectiever kunnen verbergen dan Tor, aangezien de exitnodes niet zijn te vast te leggen." Brumaghin laat weten dat deze platformen twee grote risico's voor organisaties introduceren. Ten eerste het misbruik van hun bandbreedte en het risico om op een blocklist te belanden. Daarnaast kan het het aanvalsoppervlak van organisaties vergroten en een directe aanvalsvector op het endpoint introduceren. Organisaties wordt dan ook aangeraden om het gebruik van proxyware binnen hun netwerk te verbieden. bron: https://www.security.nl

Een security-audit van Mozillas vpn-software heeft verschillende beveiligingsproblemen opgeleverd, waaronder een kwetsbaarheid waarvan de impact als 'high' werd bestempeld. Mozilla biedt in verschillende landen een vpn-dienst en liet de vpn-apps om met de vpn-servers verbinding te maken eerder dit jaar door securitybedrijf Cure53 onderzoeken. Het auditrapport is vandaag openbaar gemaakt (pdf). In totaal ontdekten de onderzoekers zestien problemen met de vpn-software. In de meeste gevallen gaat het om kwetsbaarheden waarvan de impact het label "low" krijgt. Twee problemen zijn echter als medium beoordeeld en één beveiligingslek zelfs als high. De software die Cure53 voor het onderzoek ontving had een WebSocket-endpoint op localhost blootgesteld, dat zonder authenticatie was te gebruiken. Hierdoor zou elke website met de vpn-software op het systeem van de gebruiker verbinding kunnen maken. Mozilla liet de onderzoekers weten dat de WebSocket-server alleen onderdeel van de aangeboden softwareversie was, maar later bleek dat Mozilla de verbinding wil gebruiken om met een browser-extensie te kunnen communiceren. Mozilla meldt op de eigen website dat de WebSocket-interface alleen voor het testen is gebruikt en geen probleem voor klanten is geweest. Het eerste medium-probleem dat de onderzoekers ontdekten is dat Mozilla VPN het toestaat dat onversleutelde http-requests buiten de vpn-tunnel om naar specifieke ip-adressen worden gestuurd. Dit vergroot het risico om gebruikers te identificeren, aldus de onderzoekers. Die stellen wel dat dit probleem zich echter alleen in bepaalde gevallen voordoet. Door het tweede medium-probleem zou de autorisatiecode van de gebruiker naar een website van de aanvaller kunnen lekken als de gebruiker een speciaal geprepareerde url zou openen. Mozilla heeft dit probleem verholpen. Mozillas vpn-dienst is door Mozilla zelf ontwikkeld en maakt gebruik van servers van vpn-provider Mullvad. Wanneer de dienst in Nederland beschikbaar komt is nog onbekend. bron: https://www.security.nl

Een wifi-alarmsysteem van fabrikant Fortress bevat twee kwetsbaarheden waardoor een aanvaller het alarm op afstand kan uitschakelen en een beveiligingsupdate is niet voorhanden. Details zijn echter openbaar gemaakt. Het systeem maakt onder andere gebruik van bewegingssensoren en contactsensoren voor deuren en ramen om indringers te detecteren en kan via een smartphone-app worden bediend. Voor de configuratie van het systeem moeten gebruikers een e-mailadres opgeven. Het eerste probleem is dat er ongeauthenticeerde toegang tot de cloud-interface mogelijk is. Een aanvaller hoeft alleen het e-mailadres van het doelwit te weten en kan via de interface het IMEI-nummer opvragen, wat lijkt te fungeren als het serienummer van het apparaat. Met het e-mailadres en het IMEI-nummer is het vervolgens mogelijk voor de aanvaller om aanpassingen aan het systeem door te voeren, zoals het uitschakelen van het alarm. Het Fortress S03 WiFi Home Security System werkt zowel via wifi als radiofrequentie (rf). Onderzoekers van securitybedrijf Rapid7 ontdekten dat het systeem ook kwetsbaar is voor een replay-aanval. Het rf-signaal voor het in- en uitschakelen van het alarm kan door een aanvaller in de buurt worden opgevangen en opnieuw worden afgespeeld. Zo is het mogelijk om het systeem zonder enige verdere interactie van de gebruiker uit te schakelen. Rapid7 waarschuwde Fortress, maar het bedrijf gaf geen reactie. Als oplossing voor de eerste kwetsbaarheid adviseert het securitybedrijf een eenmalig e-mailadres te gebruiken. Een oplossing voor de replay-aanval is er niet, behalve het niet gebruiken van rf-apparaten die aan het alarmsysteem zijn gekoppeld. bron: https://www.security.nl

Het Duitse AV-TEST Institute heeft 21 virusscanners voor Windows 10 over een periode van zes maanden getest en vijf pakketten wisten de maximale score te halen, waaronder twee gratis antivirusprogramma's. De virusscanners werden beoordeeld op de detectie van malware, prestaties en bruikbaarheid. Voor de drie onderdelen konden de pakketten bij elkaar maximaal 18 punten verdienen. Bij de detectie van malware werd gekeken naar bijna vijftigduizend "zero-day" malware-exemplaren en bekende malware-exemplaren. Zero-day malware is in de definitie van AV-Test onbekende, nieuwe malware. De scanners werden hierbij over een periode van een half jaar, van januari tot en met juni dit jaar, beoordeeld. Bitdefender, Kaspersky, Microsoft, Northguard en NortonLifeLock wisten in deze periode alle malware-exemplaren te detecteren. Bij het tweede onderdeel, de prestaties, werd naar zaken als het bezoeken van websites, downloaden van bestanden, installeren en draaien van software en het kopiëren van bestanden gekeken en welke invloed de pakketten hierop hadden. De scores op dit onderdeel variëren van een 5,7 tot de maximale 6 punten, wat volgens AV-Test aantoont dat antivirussoftware voor Windows 10 het systeem nauwelijks nog vertraagt. Tijdens het laatste onderdeel van de test, de bruikbaarheid, kwamen de 'false positives' aan bod. In deze gevallen beschouwt de virusscanner schone software als malware of schone websites als besmet. Zo werden duizenden websites bezocht, miljoenen bestanden gekopieerd en tal van applicaties geïnstalleerd. De meeste virusscanners slaan geen of nauwelijks vals alarm. Alleen PC Matic gaat te vaak de fout in. Op basis van de drie tests scoren Avast, Kaspersky, Microsoft, Northguard en NortonLifeLock de maximale achttien punten. Hoewel Avast, één van de twee gratis virusscanners in de top vijf, geen perfecte detectiescore neerzette haalt het op dat onderdeel wel zes punten. De andere gratis virusscanner die maximaal scoort is Microsoft Defender, dat standaard in Windows 10 zit ingebouwd. bron: https://www.security.nl

Er zijn details openbaar gemaakt van een kwetsbaarheid in Microsoft Exchange waardoor het mogelijk is voor een ongeauthenticeerde aanvaller om inkomende e-mails te stelen. De kwetsbaarheid wordt aangeduid als ProxyToken en CVE-2021-33766 en werd vorige maand door Microsoft gepatcht. Door de kwetsbaarheid kan een aanvaller de configuratie van mailboxes van willekeurige gebruikers aanpassen en een doorstuurregel aanmaken waardoor inkomende e-mails naar een e-mailaccount van de aanvaller worden doorgestuurd. Exchange kent een frontend en een backend. De frontend fungeert vooral als proxy voor de backend. Verzoeken worden doorgestuurd naar de backend en de respons van de backend stuurt de frontend weer naar de gebruiker. Exchange ondersteunt een feature genaamd "delegated authentication” waarbij de frontend aan de backend overlaat of een request wel geauthenticeerd is. Deze requests zijn voorzien van een zogeheten SecurityToken-cookie. Wanneer de speciale module voor delegated authentication niet is geladen, weet de backend niet dat het bepaalde inkomende requests moet authenticeren. Zodoende kan een request zonder enige authenticatie door de frontend en backend komen. Verder moet elk request naar een Exchange Control Panel (ECP)-pagina van een geldig ticket zijn voorzien, wat een ECP-canary wordt genoemd. Zonder deze canary komt er een HTTP 500-foutmelding. Deze foutmelding is echter voorzien van een geldige canary die voor de aanval kan worden gebruikt en het toevoegen van de doorstuurregel mogelijk maakt. Organisaties wordt aangeraden de beveiligingsupdate van 13 juli te installeren. "Exchange Server blijft een ongelooflijk rijke voedingsbodem voor beveiligingsonderzoek. Dit komt door de enorme complexiteit van het product, zowel qua features als architectuur", zegt Simon Zuckerbraun van het Zero Day Initiative, dat de details van de kwetsbaarheid vandaag openbaar maakte. bron: https://www.security.nl

Microsoft heeft organisaties opgeroepen om hun Exchange-servers te updaten. Aanleiding is mogelijk misbruik van drie kwetsbaarheden die bij elkaar bekendstaan als ProxyShell. Beveiligingsupdates voor deze beveiligingslekken zijn sinds mei beschikbaar. Door de drie kwetsbaarheden te combineren is het mogelijk voor ongeauthenticeerde aanvallers om kwetsbare Exchange-servers op afstand over te nemen. De afgelopen week lieten beveiligingsonderzoekers en het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) weten dat er actief misbruik van de kwetsbaarheden wordt gemaakt om ongepatchte Exchange-servers met webshells en ransomware te infecteren. Microsoft wil deze aanvallen nog niet bevestigen en laat weten dat de ProxyShell-lekken kunnen worden gebruikt voor de verspreiding van ransomware. "Als je de beveiligingsupdates van mei of juli niet hebt geïnstalleerd, dan zijn je servers en data kwetsbaar. Zoals we al meerdere keren hebben aangegeven is het zeer belangrijk om je Exchange-servers via de laatste Cumulative Update (CU) en Security Update (SU) up-to-date te houden", aldus het Microsoft Exchange Team. Dat roept organisaties in een nieuwe blogposting op om hun Exchange-servers te patchen. Eerder liet zoekmachine Shodan nog weten dat achttien procent van alle Exchange-servers die vanaf het internet toegankelijk zijn de ProxyShell-updates niet hebben geïnstalleerd. bron: https://www.security.nl

Google en Microsoft gaan de komende vijf jaar miljarden euro's in cybersecurity investeren om zo de weerbaarheid van de Verenigde Staten tegen cyberdreigingen te versterken. Dat heeft het Witte Huis aangekondigd. De Amerikaanse president Biden had gisteren overleg met verschillende techbedrijven over de bescherming van de vitale sector en het opleiden van voldoende cybersecuritypersoneel. Zo zaten onder anderen Amazon, Apple, Google, IBM en Microsoft aan tafel, alsmede verschillende banken, verzekeringsmaatschappijen en onderwijsinstellingen. Na het overleg maakte het Witte Huis bekend dat Microsoft de komende vijf jaar 17 miljard euro zal investeren om cybersecurity by design te integreren en "geavanceerde beveiligingsoplossingen" te leveren. Ook zal het techbedrijf federale en lokale overheden ondersteunen bij het upgraden van hun digitale beveiliging en zal er cybersecuritytraining op onderwijsinstellingen worden gegeven. Google heeft aangekondigd dat het 8,5 miljard euro de komende vijf jaar zal investeren in het uitbreiden van zero-trust-programma's, het beveiligingen van de software supply chain en het verbeteren van opensource-security. Verder zal Google honderdduizend Amerikanen helpen bij het volgen van een it-opleiding. IBM laat weten dat het ook mensen op het gebied van cybersecurity zal trainen. In totaal gaat het om 150.000 mensen. Volgens het Witte Huis staan erin de VS zo'n half miljoen cybersecurity-vacatures open. Vanuit de Amerikaanse overheid werden ook verschillende initiatieven aangekondigd. Zo zal het National Institute of Standards and Technology (NIST), een Amerikaanse organisatie die onder andere verantwoordelijk is voor het opstellen van cybersecurityrichtlijnen voor de Amerikaanse overheid, samen met techbedrijven een nieuw framework ontwikkelen voor het beveiligen van de software supply chain. Verder zal het Industrial Control Systems Cybersecurity Initiative, bedoeld om de vitale infrastructuur tegen digitale aanvallen te beschermen, worden uitgebreid naar gaspijplijnen in de Verenigde Staten. Het initiatief werd mede vanwege de ransomware-aanval op de Colonial Pipeline gestart. bron: https://www.security.nl

Het aansluiten van een muis, toetsenbord of headset van fabrikant SteelSeries op een Windows 10-computer maakt het mogelijk voor een lokale gebruiker om systeemrechten te krijgen, zo ontdekte onderzoeker Lawrence Amer. De kwetsbaarheid lijkt erg veel op het beveiligingslek dat recentelijk met de software-installatie van hardwarefabrikant Razer werd ontdekt. Wanneer een Steelseries-apparaat op een computer wordt aangesloten zal Windows automatisch de SteelSeries GG-software downloaden, waarmee het betreffende apparaat is te configureren. Tijdens de installatie van de software is het mogelijk om op een link te klikken met meer informatie over de licentieovereenkomst. Deze link wordt wordt met systeemrechten geopend. Vervolgens is het mogelijk om de betreffende informatiepagina op te slaan. Vanuit het dialoogvenster kan de lokale gebruiker een command-venster starten waarbij hij systeemrechten heeft. De aanval is ook zonder SteelSeries-apparaat uit te voeren. Onderzoeker István Tóth gebruikte zijn USBgadget-generator waardoor hij zijn Androidtelefoon als SteelSeries-toetsenbord kon laten voordoen. In een reactie tegenover Tom's Guide laat SteelSeries weten dat het besloten heeft om de automatische start van het installatieprogramma bij het aansluiten van een nieuw apparaat proactief uit te schakelen. In de tussentijd wordt er aan een update gewerkt die "snel" zou moeten verschijnen. Een exacte datum is nog niet bekend. bron: https://www.security.nl

Mozilla heeft een nieuwe versie van Firefox uitgerold wegens een bug die ervoor zorgde dat wachtwoorden werden verwijderd en gebruikers herhaaldelijk om hun inloggegevens werd gevraagd. Het probleem deed zich voor wanneer Firefox trackers uit de browser verwijderde. Hierbij werd echter ook opgeslagen authenticatiedata verwijderd. Het ging zowel om het inloggen via wachtwoordmanager Lockwise, waarbij er een primair wachtwoord moet worden opgegeven, of wanneer gebruikers gewoon via hun gebruikersnaam en wachtwoord op een website inlogden. Firefox voert een bepaalde service uit die trackers uit de browser verwijdert. Hierbij werd ook de aanwezige authenticatiedata verwijderd, waardoor gebruikers herhaaldelijk werden gevraagd om opnieuw in te loggen. Afhankelijk van het gebruik van de browser werden de opgeslagen inloggegevens elke paar uur verwijderd. Mozilla ontving naar eigen zeggen veel klachten van gebruikers over de bug en heeft nu Firefox 91.0.2 uitgebracht om het probleem te verhelpen. Updaten naar deze versie kan via de automatische updatefunctie en Mozilla.org. bron: https://www.security.nl

Net als Google Chrome vorig jaar al implementeerde gaat ook Mozilla Firefox http-downloads vanaf https-websites blokkeren. Dit om gebruikers te beschermen, aldus de browserontwikkelaar. Gebruikers die straks op een https-site een bestand willen downloaden dat via http wordt aangeboden krijgen een melding te zien. In die melding staat dat het bestand vanwege een mogelijk beveiligingsrisico niet is gedownload. Daarbij wordt uitgelegd dat het bestand via een onbeveiligde verbinding wordt aangeboden en het tijdens het downloadproces kan worden gemanipuleerd. Vervolgens wordt gebruikers aangeraden een alternatieve downloadbron te zoeken. Firefox biedt gebruikers wel de optie om de download van bestand toe te staan. De feature is nu al in Firefox aanwezig en in te schakelen door middel van about:config en dan de optie dom.block_download_insecure op true te zetten. Met de lancering van Firefox 92, gepland voor 7 september, wordt die standaard ingeschakeld. bron: https://www.security.nl

Een kwetsbaarheid in de software van chipsetfabrikant Realteak die vorige week werd onthuld wordt inmiddels actief gebruikt door een variant van de Mirai-malware om routers en wifi-versterkers onderdeel van een botnet te maken. Dat stelt securitybedrijf Sam in een analyse. Het beveiligingslek, aangeduid als CVE-2021-35395, bevindt zich in de Realtek software development kit (SDK) die hardwarefabrikanten gebruiken om de Realtek-chipset binnen hun router, wifi-versterker en andere apparaten te kunnen gebruiken. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 met een 9,8 beoordeeld. De kwetsbare Realtek SDK wordt volgens Sam door meer dan 65 leveranciers voor meer dan tweehonderd apparaten gebruikt. Het gaat onder andere om de Netis E1+, Edimax N150 en N300 wifi-router en Repotec RP-WR5444-router. Door het versturen van een speciaal request naar de managementinterface van de webserver, waarmee het apparaat kan worden geconfigureerd, is het mogelijk een buffer overflow te veroorzaken en zo willekeurige code of commando's op het apparaat uit te voeren. Aanvallers gebruiken het beveiligingslek om kwetsbare routers en wifi-versterker met een variant van de Mirai-malware te infecteren. "Dergelijke kwetsbaarheden zijn eenvoudig te misbruiken en snel binnen bestaande hackingframeworks die aanvallers toepassen te integreren, voordat apparaten zijn gepatcht en beveiligingsleveranciers kunnen reageren", aldus Omri Mallis van Sam. Realtek heeft beveiligingsupdates uitgebracht (pdf), maar die moeten nog wel door de betreffende leveranciers van de apparaten als patch aan gebruikers worden aangeboden. bron: https://www.security.nl

De FBI heeft een waarschuwing afgegeven voor een ransomwaregroep genaamd "OnePercent" die organisaties via macro's in Word- en Excel-documenten infecteert. Volgens de Amerikaanse opsporingsdienst is de groep al sinds november 2020 verantwoordelijk voor ransomware-aanvallen tegen Amerikaanse organisaties (pdf). De aanval begint met een zip-bestand dat via e-mail wordt verstuurd. Dit zip-bestand bevat weer een Word- of Excel-document met een malafide macro. Wanneer de ontvanger het zip-bestand opent en de macro in het document activeert wordt het systeem met IcedID trojan besmet. Vervolgens wordt via deze malware Cobalt Strike gedownload. Cobalt Strike is een tool voor het uitvoeren van penetratietests op systemen en netwerken. Het wordt echter ook gebruikt door aanvallers voor het verder compromitteren van aangevallen organisaties. OnePercent gebruikt Cobalt Strike om zich lateraal door het netwerk van de aangevallen organisatie te bewegen. Zodra er gevoelige informatie is gevonden gebruiken de aanvallers het programma rclone om deze data te stelen. Na de datadiefstal volgt de uitrol van de ransomware, die alle bestanden op besmette systemen versleutelt. De aanvallers maken vervolgens gebruik van gespoofte telefoonnummers om de getroffen organisatie te bellen, aldus de FBI. De aanvallers eisen ook met een vaste onderhandelaar te spreken, anders dreigen ze de gestolen data te publiceren. De FBI geeft organisaties verschillende adviezen om zich te beschermen, waarbij ook wordt gewezen op het gebruik van het programma rclone. Zo kunnen organisaties letten op de verschillende hashes van de software. Verder volgen generieke adviezen, zoals het maken van offline back-ups, patchen van systemen, implementeren van netwerksegmentatie en het gebruik van multifactorauthenticatie. bron: https://www.security.nl

De Nederlandse beveiligingsonderzoekers Daan Keuper en Thijs Alkemade die eerder dit jaar 200.000 dollar verdienden met een succesvolle aanval tegen Zoom hebben nu de details van de gebruikte kwetsbaarheden en hun onderzoek gepresenteerd. De twee onderzoekers van it-bedrijf Computest deden in april mee met de jaarlijkse Pwn2Own-wedstrijd. Tijdens deze wedstrijd worden beveiligingsonderzoekers beloond voor het demonstreren van onbekende kwetsbaarheden in veelgebruikte producten, zoals browsers, zakelijke applicaties, serversoftware en virtualisatiesoftware. Vanwege het vele thuiswerken door de coronapandemie werd besloten om tijdens de editie van dit jaar videobelsoftware als nieuwe categorie toe te voegen. Onderzoekers konden zowel kiezen uit Zoom als Microsoft Teams. In hun blogpost over het onderzoek leggen Keuper en Alkemade uit dat ze voor Zoom kozen omdat de software is geschreven in C++, in tegenstelling tot Microsoft Teams, dat ontwikkeld is via het Electron-framework met een klein aantal libraries in C++ voor platformintegratie. De onderzoekers stellen dat de meest waarschijnlijke aanvalsvector in het geval van Teams cross-site scripting zou zijn, terwijl bij Zoom memory corruption voor de hand lag. Uiteindelijk werd voor Zoom gekozen omdat Keuper en Alkemade naar eigen zeggen liever onderzoek doen naar memory corruption dan cross-site scripting. De onderzoekers vonden vervolgens een kwetsbaarheid in een functie waarmee gebruikers een versleuteld bericht met een symmetrische sleutel kunnen versturen. Hierdoor was het mogelijk een buffer overflow binnen Zoom te veroorzaken die uiteindelijk het uitvoeren van code op het systeem van de gebruiker mogelijk maakte. Daarbij was er geen interactie van de gebruiker vereist. Keuper en Alkemade waren anderhalve week bezig voordat ze de primaire kwetsbaarheid vonden. Het schrijven en testen van de exploit waarmee de kwetsbaarheid kon worden uitgebuit nam nog eens anderhalve maand in beslag. Zoom heeft de kwetsbaarheden die de onderzoekers voor hun aanval gebruikten inmiddels verholpen. bron: https://www.security.nl

Nederlandse onderzoekers van het Dutch Institute for Vulnerability Disclosure (DIVD) hebben verschillende kritieke kwetsbaarheden in de back-upsoftware Vembu BDR Suite gevonden waardoor het mogelijk is om systemen op afstand over te nemen. Details over de drie beveiligingslekken worden woensdag 25 augustus openbaar gemaakt. Een beveiligingsupdate is inmiddels beschikbaar. Volgens Vembu maken wereldwijd meer dan zestigduizend bedrijven gebruik van de oplossingen die het biedt, waaronder NASA, Fujitsu, Kawasaki, Samsung en Epic Games. Drie kwetsbaarheden in VembuBDR, VembuOffsiteDR en mogelijk andere producten van de leverancier maken het mogelijk voor een ongeauthenticeerde aanvaller om op afstand code op kwetsbare systemen uit te voeren. Alleen een browser zou voldoende zijn om toegang tot een kwetsbaar Vembu-systeem te krijgen. "Een kwetsbaarheid in dit soort software is ernstig. Backup en recovery-software grijpt per definitie diep in op het systeem van gebruikers van Vembu", aldus het DIVD. De impact van de drie kwetsbaarheden is op een schaal van een 1 tot en met 10 met een 9,8 en een 10 beoordeeld. Vembu heeft de beveiligingslekken verholpen in Vembu BDR versie 4.2.0.2. Op 15 mei werd het bestaan van de kwetsbaarheden al aangekondigd, maar werden geen verdere details gegeven. Het DIVD was van plan om deze details op 1 juni te publiceren, maar dat is verschoven naar woensdag 25 augustus. Organisaties die de update nog niet hebben geïnstalleerd wordt dringend aangeraden dit alsnog te doen. bron: https://www.security.nl

Een kwetsbaarheid in de software van hardwarefabrikant Razer maakt het mogelijk voor lokale gebruikers om systeemrechten te krijgen door alleen een Razer-muis op een systeem aan te sluiten. De fabrikant werkt inmiddels aan een beveiligingsupdate. Wanneer een Razer-muis op een systeem wordt aangesloten zal Windows Update automatisch de Razer Synapse-software voor de muis downloaden, waarmee gebruikers het apparaat kunnen instellen. Het installatieprogramma wordt uitgevoerd door een Windowsproces met systeemrechten, waardoor ook het installatieprogramma systeemrechten heeft. Tijdens de installatie wordt gebruikers gevraagd in welke map ze de software willen installeren. Vanuit het dialoogvenster is het mogelijk om een PowerShell-venster te starten dat ook met systeemrechten wordt uitgevoerd. De gebruiker kan vervolgens vanuit het PowerShell-venster allerlei commando's met systeemrechten uitvoeren. Een beveiligingsonderzoeker met het alias jonhat ontdekte het beveiligingslek. Hij waarschuwde Razer, maar kreeg naar eigen zeggen geen reactie, waarop hij de details openbaar maakte. Na publicatie van het probleem nam Razer contact op met de onderzoeker en liet weten dat het probleem zal worden verholpen. Daarnaast is de onderzoeker een beloning toegezegd, ook al heeft hij de details van de kwetsbaarheid openbaar gemaakt. Wanneer de patch precies verschijnt is nog onbekend. Will Dormann, analist bij het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit, noemt het een gevaarlijk aanvalsoppervlak, aangezien één kwetsbare driver voldoende is om een dergelijke aanval uit te voeren. bron: https://www.security.nl

Een nieuwe ransomwaregroep genaamd LockFile combineert twee aanvallen om organisaties via hun Microsoft Exchange-servers met ransomware te infecteren. Volgens securitybedrijf Symantec zijn al zeker tien organisaties met de ransomware besmet geraakt. Voor de eerste stap combineren de aanvallers drie kwetsbaarheden met de naam ProxyShell. Daarmee is het mogelijk om kwetsbare Exchange-servers op afstand over te nemen, zo stelt beveiligingsonderzoeker Kevin Beaumont. Vervolgens wordt de PetitPotam-aanval gebruikt om de domeincontroller van de organisatie over te nemen. Zodra de aanvallers de domeincontroller in handen hebben worden alle machines in het netwerk geïnfecteerd met ransomware. Symantec stelt dat productiebedrijven, financieel, juridische en zakelijke dienstverleners zijn getroffen, alsmede bedrijven in de reisbranche. De meeste slachtoffers werden in de Verenigde Staten en Azië waargenomen. De aanvallers gaan daarbij vrij snel te werken. Tussen de tijd dat de Exchange-server wordt gecompromitteerd en de uitrol van de ransomware zit slechts twintig tot dertig minuten, aldus het securitybedrijf. Beveiligingsupdates voor de ProxyShell-kwetsbaarheden in Exchange zijn sinds april en mei beschikbaar. Daarnaast kunnen organisaties verschillende maatregelen treffen om zich tegen de PetitPotam-aanval te beschermen, aldus Microsoft. bron: https://www.security.nl

Bijna tweeduizend Microsoft Exchange-servers zijn de afgelopen dagen besmet via drie kwetsbaarheden die bekendstaan als "ProxyShell". Door de drie beveiligingslekken te combineren is het mogelijk voor ongeauthenticeerde aanvallers om kwetsbare Exchange-servers op afstand over te nemen. Deze servers worden onder andere met ransomware geïnfecteerd. De Amerikaanse overheid roept organisaties op om snel in actie te komen. Microsoft kwam in april en mei met beveiligingsupdates voor de kwetsbaarheden, aangeduid als CVE-2021-34473, CVE-2021-34523 en CVE-2021-31207. Orange Tsai, de onderzoeker die de beveiligingslekken ontdekte, gaf begin deze maand tijdens de Black Hat- en Defcon-conferenties een presentatie waarin hij technische details over de kwetsbaarheden besprak. Aan de hand van deze informatie konden exploits worden gepubliceerd, die vervolgens tegen kwetsbare Exchange-servers werden ingezet. Het Internet Storm Center meldde recentelijk op basis van een scan van zoekmachine Shodan dat er nog meer dan 30.000 ongepatchte Exchange-servers op internet waren te vinden. De afgelopen dagen is er een toename van het aantal aanvallen op deze machines. Zo meldde securitybedrijf Huntress Labs dat het meer dan honderdveertig verschillende webshells op bijna tweeduizend ongepatchte Exchange-servers heeft aangetroffen. Een webshell is een script dat aanvallers op servers plaatsen om toegang te behouden en op afstand code en commando's uit te voeren. Beveiligingsonderzoeker Kevin Beaumont laat weten dat er een groep aanvallers is die de kwetsbaarheden gebruiken om Exchange-servers met ransomware te infecteren, genaamd LockFile. Deze ransomware versleutelt bestanden voor losgeld. Vanwege de toegenomen aanvallen roept het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security organisaties op om met spoed kwetsbare Exchange-servers binnen het eigen netwerk te identificeren en de beveiligingsupdates van Microsoft te installeren. bron: https://www.security.nl

Een botnet dat Internet of Things (IoT)-apparaten besmet probeert routers van fabrikanten Netgear, Huawei en ZTE permanent te infecteren om zo man-in-the-middle-aanvallen uit te kunnen voeren, aldus Microsoft. Het gaat om het Mozi-botnet dat al geruime tijd actief is. Mozi infecteert IoT-apparaten, zoals digitale videorecorders, via zwakke Telnet-wachtwoorden en bekende kwetsbaarheden. Besmette machines worden onder andere voor ddos-aanvallen op websites ingezet. Microsoft stelt dat het Mozi-botnet sinds kort routers van Netgear, Huawei en ZTE permanent probeert te infecteren. Vervolgens is het via de gecompromitteerde routers mogelijk voor de aanvallers om man-in-the-middle-aanvallen uit te voeren, bijvoorbeeld via het aanpassen van http-verkeer en dns-spoofing. Hierbij worden gebruikers naar malafide websites doorgestuurd die ransomware proberen te installeren en kunnen de aanvallers veiligheidsincidenten in OT-omgeving veroorzaken, zo stelt Microsoft. Ook voor het aanvallen van de routers maakt het Mozi-botnet gebruik van zwakke wachtwoorden en bekende kwetsbaarheden. In het geval van een succesvolle aanval installeert Mozi een script zodat de malware altijd wordt geladen. Verder blokkeert Mozi verschillende poorten op de router voor remote toegang, waaronder poort 23, 2323 en 7547. Dit moet voorkomen dat de malware wordt verwijderd. Om infecties door Mozi te voorkomen adviseert Microsoft het gebruik van sterke wachtwoorden en het tijdig installeren van beveiligingsupdates. bron: https://www.security.nl

Cisco waarschuwt bedrijven en organisaties voor een kritiek beveiligingslek in verschillende routers die end-of-life zijn, wat inhoudt dat er geen beveiligingsupdate zal verschijnen om het probleem te verhelpen. Via de kwetsbaarheid, aangeduid als CVE-2021-34730, kan een ongeauthenticeerde aanvaller op afstand code met rootrechten uitvoeren en zo volledige controle over het apparaat krijgen. Ook kan een aanvaller het apparaat laten herstarten en zo een denial of service veroorzaken. Het beveiligingslek wordt veroorzaakt doordat inkomend UPnP-verkeer niet goed wordt gevalideerd. Door het versturen van een speciaal geprepareerd UPnP-request naar een kwetsbaar apparaat is hierdoor remote code execution mogelijk. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 met een 9,8 beoordeeld. Het beveiligingslek is aanwezig in de RV110W wireless-N vpn-firewall, RV130 vpn-router, RV130W wireless-N vpn-router en RV215W wireless-N vpn-router waar UPnP staat ingeschakeld. De UPnP-interface staat standaard ingeschakeld op de LAN-interface. Op de WAN-interface staat UPnP standaard uitgeschakeld. Wanneer UPnP op beide interfaces staat uitgeschakeld is het apparaat volgens Cisco niet kwetsbaar. Aangezien de routers in kwestie niet meer door Cisco worden ondersteund zal er geen beveiligingsupdate uitkomen. Als workaround adviseert Cisco het uitschakelen van UPnP aan de LAN-interface bron: https://www.security.nl

Het populaire platform voor softwareontwikkelaars GitHub heeft gebruikers opgeroepen om tweefactorauthenticatie (2FA) voor hun account in te schakelen. "Als je het nog niet hebt gedaan, schakel dan nu 2FA voor je GitHub-account in. De voordelen van multifactorauthenticatie zijn uitvoerig beschreven en beschermen tegen allerlei aanvallen, zoals phishing", zegt Mike Hanley, Chief Security Officer van GitHub, in een blogposting. GitHub ondersteunt verschillende 2FA-opties, waaronder fysieke beveiligingssleutels, virtuele beveiligingssleutels in laptops en telefoons die WebAuth ondersteunen, Time-based One-Time Password (TOTP) authenticator-apps en sms. "Hoewel sms als optie beschikbaar is, adviseren we ten zeerste het gebruik van beveiligingssleutels of TOTP's waar mogelijk. Sms-gebaseerde 2FA biedt niet dezelfde bescherming, en wordt niet langer aanbevolen onder NIST 800-63B", merkt Hanley op. Volgens de CSO zijn de beste 2FA-opties diegene die de WebAuthn-standaard ondersteunen, waaronder fysieke beveiligingssleutels en apparaten die technologieën zoals Windows Hello of Face ID/Touch ID ondersteunen. Onlangs besloot GitHub al om geen accountwachtwoorden meer te accepteren voor het authenticeren van Git-operaties op GitHub.com. In plaats daarvan wordt alleen nog token-gebaseerde authenticatie geaccepteerd. Ondanks de beveiligingsvoordelen van 2FA liet Twitter onlangs nog weten dat slechts 2,3 procent van alle gebruikers de optie heeft ingeschakeld. bron: https://www.security.nl

Een beveiligingslek in een veelgebruikt cloudplatform door Internet of Things (IoT)-apparaten maakt het mogelijk om systemen op afstand over te nemen of live met bijvoorbeeld beveiligingscamera's mee te kijken. Volgens fabrikant ThroughTek maken meer dan 83 miljoen apparaten gebruik van het Kalay-netwerk. Kalay is een platform dat IoT-fabrikanten kunnen gebruiken om een verbinding tussen het apparaat en de bijbehorende app op te zetten. Het platform regelt de authenticatie en verstuurt de data tussen de app en het IoT-apparaat. Zo kunnen gebruikers bijvoorbeeld op afstand met hun camera meekijken. Het wordt dan ook door allerlei IoT-fabrikanten gebruikt. Onderzoekers van securitybedrijf Mandiant ontdekten een kwetsbaarheid met de registratie van IoT-apparaten op het netwerk. Zodra een apparaat wordt aangesloten registreert die zichzelf via een UID op het Kalay-netwerk. Een aanvaller die dit UID weet te bemachtigen kan een apparaat met hetzelfde UID registreren, waarbij de registratie van het bestaande apparaat wordt overschreven. Zodra de gebruiker nu via zijn app verbinding met zijn IoT-apparaat wil maken, maakt hij in werkelijkheid verbinding met het apparaat van de aanvaller die zo de inloggegevens kan onderscheppen. Iets waar de gebruiker nauwelijks iets van merkt. Met het al bemachtigde UID en deze inloggegevens kan de aanvaller vervolgens toegang tot het apparaat van de gebruiker krijgen. Zo is het mogelijk om met camera's mee te kijken, een denial of service uit te voeren of andere apparaten in het netwerk van de gebruiker aan te vallen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 met een 9,6 beoordeeld. Volgens het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security is het uitvoeren van de aanval niet complex. Mandiant laat echter weten dat het bruteforcen van het 20 bytes grote UID niet haalbaar is. ThroughTek heeft inmiddels verschillende adviezen voor IoT-fabrikanten uitgebracht. Eindgebruikers wordt aangeraden om niet vanaf onbetrouwbare netwerken verbinding met hun IoT-apparaten te maken. bron: https://www.security.nl

Een kwetsbaarheid in Daemon Tools Pro maakt het mogelijk voor aanvallers om door middel van een malafide ISO-bestand code op de systemen van gebruikers uit te voeren. De ontwikkelaar van de software heeft gisteren een nieuwe versie uitgebracht. Daemon Tools Pro is emulatiesoftware die met disc images en virtuele drives werkt. Via de software is het mogelijk om allerlei verschillende soorten images te mounten. Een kwetsbaarheid bij het verwerken van ISO-bestanden kan tot een buffer overflow leiden, waardoor het uitvoeren van code mogelijk wordt, zo meldt Cisco dat het beveiligingslek ontdekte. Een gebruiker zou in dit geval zelf het malafide ISO-bestand moeten openen. De kwetsbaarheid is verholpen in Daemon Tools Pro 8.3.1. Er zijn ook andere versies van Daemon Tools beschikbaar, waaronder Lite en Ultra, maar daarvoor zijn geen updates uitgekomen. bron: https://www.security.nl