Captain Kirk

Ftp-programma FileZilla is opnieuw onder vuur komen te liggen over het toevoegen van adware aan de installatiebundel. De standaardversie die via de website wordt aangeboden bevat volgens 24 van de 67 virusscanners op VirusTotal, de online virusscandienst van Google, adware of potentieel ongewenste programma's. Onder de downloadknop van FileZilla staat wel de vermelding dat de installatiebundel aanvullende aanbiedingen kan bevatten. Daarnaast bevat de bestandsnaam de tekst "sponsored-setup" en wordt in het privacybeleid gewezen naar de aanwezigheid van "offer-enabled installers" in het installatieprogramma die advertenties tonen. Toch vallen deze berichten niet alle gebruikers op. Het is wel mogelijk om een niet-gesponsorde versie te downloaden, maar hiervoor moeten gebruikers een paar extra handelingen verrichten. FileZilla is een zeer populair ftp-programma en in het verleden is het vaker bekritiseerd vanwege de aanwezigheid van adware. Vorige week waarschuwde nixCraft via Twitter ruim 215.000 volgers voor de adware in FileZilla, wat ook voor een uitgebreide discussie op Hacker News zorgde. Voor gebruikers die een alternatief zoeken wordt vaak het opensouceprogramma WinSCP genoemd. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om malafide code naar de officiële Git-repository van programmeertaal PHP te sturen. Hoe dit precies kon gebeuren wordt nog onderzocht, maar alles lijkt erop te wijzen dat de aanvallers hebben ingebroken op de server van git.php.net. Daarvoor waarschuwt ontwikkelaar Nikita Popov op de PHP-mailinglist. Git is een populaire oplossing voor softwareontwikkelaars om code van een lokale repository naar een remote Git-repository te krijgen. Zo kunnen meerdere programmeurs aan de code werken. In totaal werden er twee commits met malafide code naar de "php-src" Git-repository verstuurd. Deze commits leken afkomstig van PHP-ontwikkelaars Rasmus Lerdorf en Nikita Popov. Het onderzoek naar de aanval loopt nog, maar het PHP-ontwikkelteam stelt dat beheer van de eigen Git-infrastructuur een onnodig beveiligingsrisico vormt en er is besloten om te stoppen met de git.php.net-server. Voortaan wordt code voor PHP direct naar de repositories op GitHub verstuurd. Deze respositories fungeerden eerder nog alleen als mirror. Dit houdt in dat ontwikkelaars die bijdragen aan PHP nu onderdeel van de PHP-organisatie op GitHub moeten zijn om hun code naar de repositories te versturen. Naast de twee ontdekte malafide commits wordt nog onderzocht of de aanvallers andere aanpassingen hebben doorgevoerd. Volgens Bleeping Computer bevatten de twee malafide commits een backdoor waarmee aanvallers toegang tot websites kunnen krijgen die van de gecompromitteerde PHP-versie gebruikmaken. bron: https://www.security.nl

Het bedrijf zegt dat het steeds meer meldingen ontvangt over dergelijke aanvallen waarbij wordt geprobeerd om toegang tot NAS-systemen te krijgen. "Wanneer een eenvoudig, zwak of voorspelbaar wachtwoord wordt gebruikt, zoals "password" of "12345", kunnen hackers eenvoudig toegang tot het apparaat krijgen waarbij de veiligheid, privacy en vertrouwelijkheid in het geding is", aldus de oproep van QNAP. Om dergelijke aanvallen te voorkomen wordt gebruikers aangeraden hun NAS-systeem niet direct toegankelijk vanaf het internet te maken. Tevens moeten standaard poortnummers worden vermeden, is het nodig om een sterk wachtwoord voor gebruikersaccounts in te stellen en moet het beheerdersaccount worden uitgeschakeld. In de logbestanden van de NAS kan worden gekeken of er een bruteforce-aanval heeft plaatsgevonden. bron: https://www.security.nl

Aanvallers maken op het moment actief misbruik van twee kwetsbaarheden in themes en plug-ins van ontwikkelaar Thrive Themes om WordPress-sites over te nemen. Thrive Themes biedt verschillende oplossingen voor het verder uitbouwen van WordPress-sites. Naar schatting maken zo'n 100.000 websites er gebruik van. Twee kwetsbaarheden in de verschillende oplossingen van Thrive Themes zorgen ervoor dat aanvallers kwetsbare websites van een backdoor kunnen voorzien. De eerste kwetsbaarheid bevindt zich in het Thrive Dashboard en maakt het mogelijk om met de functionaliteit van Zapier te integreren. Zapier is een online tool waarmee er een verbinding tussen verschillende apps en diensten kan worden gemaakt. De functionaliteit is echter op een onveilige wijze geïmplementeerd en zorgt ervoor dat een aanvaller een optie in de WordPress-database kan inschakelen. Vervolgens is het via deze optie mogelijk om zonder authenticatie een kwaadaardig PHP-bestand naar de website te uploaden, zoals een backdoor. De kwetsbaarheid die het mogelijk maakt om zonder authenticatie willekeurige bestanden naar de website te uploaden is op een schaal van 1 tot en met 10 wat betreft de impact met een 10 beoordeeld. Securitybedrijf Wordfence heeft inmiddels op 1900 websites een backdoor aangetroffen die via de twee beveiligingslekken is geïnstalleerd. Op 12 maart rolde Thrive Themes beveiligingsupdates uit om de kwetsbaarheden te verhelpen, maar een onbekend aantal websites is nog kwetsbaar. bron: https://www.security.nl

Cisco heeft een kritieke kwetsbaarheid in de Windowsversie van Jabber verholpen die remote code execution mogelijk maakt. De ernst van het beveiligingslek is op een schaal van 1 tot en met 10 met een 9,9 beoordeeld. Cisco Jabber is een programma dat instant messaging, desktopsharing en audio-, video- en webconferenties biedt. Het is met name bedoeld voor interne communicatie binnen organisaties, maar is ook voor het meetings met personen buiten de organisatie te gebruiken. Het beveiligingslek, aangeduid als CVE-2021-1411, wordt veroorzaakt doordat Jabber de inhoud van chatberichten niet goed valideert. Een aanvaller kan hier misbruik van maken door een speciaal geprepareerd chatbericht naar een slachtoffer te sturen. Dit is voldoende om vervolgens willekeurige programma's op het systeem te starten met rechten van de ingelogde gebruiker, wat tot het uitvoeren van willekeurige code kan leiden. Er is geen interactie van het slachtoffer vereist. Cisco heeft een beveiligingsupdate voor de verschillende Jabber-versies uitgebracht (12.1.5, 12.5.4, 12.6.5, 12.7.4, 12.8.5 en 12.9.5). Het is niet voor het eerst dat Jabber met een dergelijke kritieke kwetsbaarheid te maken krijgt. Vorig jaar werden al twee beveiligingslekken (CVE-2020-26085 en CVE-2020-3495) met een zelfde impactscore gevonden en verholpen. Alle drie de kwetsbaarheden werden gevonden door onderzoekers van securitybedrijf Watchcom. bron: https://www.security.nl

De FBI heeft een waarschuwing afgegeven voor de Mamba-ransomware die de volledige harde schijf versleutelt, waardoor het besturingssysteem niet meer kan worden opgestart. De ransomware is al tegen lokale overheden, transportagentschappen, juridische dienstverleners en allerlei soorten bedrijven ingezet, aldus de Amerikaanse opsporingsdienst (pdf). In tegenstelling tot veel andere ransomware-exemplaren, die alleen bepaalde type bestanden versleutelen, versleutelt Mamba de volledige harde schijf. Hiervoor maakt de ransomware gebruik van DiskCryptor, een opensourceprogramma voor volledige schijfversleuteling. Zodra het systeem is versleuteld verschijnt er bij het opnieuw opstarten een melding dat er betaald moet worden om weer toegang te krijgen. Er is echter een mogelijkheid om zonder te betalen de harde schijf te ontsleutelen. Zodra de Mamba-ransomware actief is installeert die het programma DiskCryptor voor het versleutelen van de harde schijf. Om de installatie van de benodigde driver af te ronden wordt het systeem herstart. De encryptiesleutel die wordt gebruikt voor het versleutelen van de schijf wordt in een bestand op de computer opgeslagen. De inhoud van dit bestand is tot de tweede herstart van het systeem, waarna de versleuteling is afgerond, toegankelijk. Dit is meestal zo'n twee uur na de eerste herstart. Mocht op een systeem de aanwezigheid van DiskCryptor worden aangetroffen adviseert de FBI om naar de aanwezigheid van het bestand myConf.txt te zoeken en het wachtwoord te onthouden. Daarmee kan het systeem namelijk worden ontsleuteld zonder het losgeld te betalen. Om besmetting met de Mamba-ransomware te voorkomen raadt de FBI onder andere aan om DiskCryptor, als hier geen gebruik van wordt gemaakt, op een blacklist te zetten. bron: https://www.security.nl

E-mailclient Thunderbird is een samenwerking aangegaan met versleutelde e-maildienst Mailfence uit België. Gebruikers die binnen het e-mailprogramma een nieuw account aanmaken kunnen nu ook kiezen voor de optie om een e-mailadres bij Mailfence te nemen. Mailfence biedt end-to-end versleuteling en valt onder de Belgische privacywetgeving. Thunderbird wil gebruikers naar eigen zeggen een alternatief geven om met elkaar te communiceren, zonder dat dit ten koste van hun privacy gaat. "We weten al meer dan een jaar dat we met Mailfence willen samenwerken en dit is pas het begin van onze samenwerking", zegt Ryan Sipes van het Thunderbird Project. Later dit jaar zal er meer informatie over de samenwerking met Mailfence worden gedeeld en de plannen die Thunderbird heeft om open standaarden en privacy te promoten. "Privacy is een fundamenteel mensenrecht. Met deze samenwerking zorgen we voor een privacy respecterend alternatief voor de oplossingen van Big Tech die gebaseerd zijn op het verzilveren van persoonlijke data", zegt Patrick De Schutter, medeoprichter van Mailfence. De e-maildienst biedt zowel gratis als betaalde e-mailaccounts. bron: https://www.security.nl

Encryptieprotocollen TLS 1.0 en 1.1 zijn officieel door de Internet Engineering Task Force (IETF) afgeschreven en moeten niet meer worden gebruikt. Het TLS-protocol wordt gebruikt voor het opzetten van een beveiligde verbinding tussen websites en bezoekers. TLS 1.0 en 1.1 bevatten verschillende kwetsbaarheden en zijn kwetsbaar voor aanvallen zoals BEAST, CRIME en POODLE. Hierbij kan een aanvaller onder andere de versleutelde sessie van een slachtoffer overnemen. Daarnaast voldoen de protocollen niet meer aan de PCI DSS-richtlijn voor betaalkaarttransacties op internet. Alle grote browserontwikkelaars hebben de ondersteuning van TLS 1.0 en 1.1 vanwege veiligheidsredenen stopgezet. "Deze versies missen ondersteuning voor huidige en aanbevolen cryptografische algoritmen en mechanismes, en verschillende overheids- en industrierichtlijnen voor het gebruik van TLS verbieden deze oude TLS-versies", aldus de IETF. De IETF is een standaardenorganisatie die zich bezighoudt met het ontwikkelen van vrijwillige internetstandaarden. TLS versie 1.2 werd al in 2008 door de IETF als de aanbevolen TLS-versie aangewezen, en die versie werd in 2018 weer vervangen door TLS 1.3. De standaardenorganisatie roept op om de ondersteuning van oudere versies uit implementaties te verwijderen om zo het aanvalsoppervlak en de kans op misconfiguraties te verkleinen. bron: https://www.security.nl

GitHub is begonnen met het scannen van commits naar publieke repositories op het lekken van PyPI API-tokens. Gevonden tokens worden doorgestuurd naar de Python Package Index (PyPI) die ze vervolgens zal uitschakelen en de eigenaren een waarschuwing stuurt. Een repository bevat code van een softwareproject. Sommige softwareprojecten communiceren met een externe dienst en maken hiervoor gebruik van bijvoorbeeld een token. Wanneer dit token in de repository wordt geplaatst kan iedereen met toegang tot de repository gebruikmaken van de token om toegang tot de externe dienst te krijgen. GitHub adviseert om tokens en andere secrets in een aparte, beveiligde locatie buiten de repository voor het softwareproject te bewaren. Het komt echter voor dat ontwikkelaars tokens of een private key naar hun respository uploaden, met alle gevolgen van dien als derden hier toegang toe krijgen. Om het lekken tegen te gaan biedt GitHub "Secrets scanning". Elke code die een ontwikkelaar naar een publieke repository uploadt wordt vervolgens op secrets, zoals een token, gecontroleerd. Nu gaat GitHub dit ook doen voor API-tokens van de Python Package Index. PyPI bevat allerlei software die door de Python-gemeenschap is ontwikkeld. Voor het uploaden van packages naar PyPI kan er gebruik worden gemaakt van API-tokens. Ontwikkelaars hoeven zich dan niet met een gebruikersnaam en wachtwoord te authenticeren. Een aanvaller die het token in handen krijgt zou echter malafide software naar het project kunnen uploaden. De nu aangekondigde samenwerking tussen GitHub en PyPI moet dit voorkomen. bron: https://www.security.nl

Microsoft heeft op Twitter een waarschuwing gegeven voor een phishingaanval waarbij zogenaamde Zoom-uitnodigingen worden gebruikt om inloggegevens van slachtoffers te ontfutselen. De aanval begint met een e-mail waarin staat dat de ontvanger is uitgenodigd voor een Zoom-vergadering. De link naar deze zogenaamde vergadering wijst naar een website waar gebruikers worden gevraagd om met hun e-mailaccount in te loggen. Voor het versturen van de phishingmails maken de aanvallers gebruik van gecompromitteerde accounts bij diensten zoals SendGrid, Mailgun en Amazon Simple Email Service (SES). Verder meldt Microsoft dat de aanvallers gebruikmaken van Appspot, een hostingplaform van Google, om verschillende phishing-url's voor elk slachtoffer te genereren. Op deze manier weten de aanvallers reputatie-gebaseerde oplossingen te omzeilen, aldus Microsoft. Volgens securitybedrijf WMC Global hebben de aanvallers via de phishingaanvallen mogelijk 400.000 inloggegevens weten te bemachtigen. "Omdat deze campagne misbruik maakt van gecompromitteerde e-mailmarketing-acounts, roepen we organisaties op om de filterregels op uitzonderingen te controleren die ervoor kunnen zorgen dat deze phishingmails worden doorgelaten", zo adviseert Microsoft. bron: https://www.security.nl

Giorgio Maone, ontwikkelaar van de populaire NoScript-extensie voor Firefox en Google Chrome, wil een nieuwe extensie ontwikkelen die trackingscripts vervangt door een surrogaatscript. Een functionaliteit die lange tijd onderdeel van NoScript uitmaakte, maar door ontwikkelingen aan de kant van Firefox het veld moest ruimen. NoScript is een extensie die allerlei scripts op websites blokkeert. Dit kan er echter voor zorgen dat bepaalde delen van de website niet of niet goed meer werken. Al in 2009 bedacht Maone een oplossing genaamd "Surrogate Scripts". Wanneer NoScript een extern script blokkeert kijkt de extensie of de url met een bepaald patroon overeenkomt. Is dit het geval, dan laadt NoScript een surrogaatscript dat in plaats van het externe script op de website wordt uitgevoerd. In 2017 lanceerde Mozilla een compleet vernieuwde versie van Firefox genaamd Qunatum, wat gevolgen had voor extensies. In het geval van NoScript zorgde dit ervoor dat Surrogate Scripts niet kon worden overgezet naar de NoScript-extensie voor de nieuwe Firefox-versie. Gisteren kwam Mozilla met Firefox 87 die over een soortgelijke functionaliteit beschikt genaamd SmartBlock. Deze feature vervangt geblokkeerde third-party trackingscripts door een lokale "stand-in". Dit lokale, vervangende script werkt net genoeg als het origineel om ervoor te zorgen dat de website blijft werken, maar de gebruiker niet wordt gevolgd. Volgens Maone hebben veel gebruikers van NoScript en andere contentblockers herhaaldelijk gevraagd om Script Surrogates weer toe te voegen en mist hij de feature zelf ook. Daarnaast biedt de SmartBlock-feature van Firefox minder mogelijkheden dan Script Surrogates deed. Aanleiding voor Maone om Script Surrogates als losse extensie voor Firefox en Chromium-gebaseerde browsers te gaan ontwikkelen. De extensie zou dan als aanvulling kunnen worden gebruikt voor NoScript en andere contentblockers. bron: https://www.security.nl

De volgende versie van Google Chrome zal standaard https in de adresbalk gebruiken, zo heeft Google aangekondigd. Wanneer gebruikers nu nog een url in de adresbalk invoeren, zonder http of https op te geven, zal de browser standaard eerst via http verbinding maken. Volgens Google was dit in het verleden praktisch, aangezien veel websites toen nog geen https ondersteunden. Inmiddels maakt het grootste deel van de websites wel gebruik van https. Daarom zal de browser vanaf Chrome 90 standaard in de adresbalk https gebruiken, tenzij de gebruiker bewust http opgeeft. "Naast de overduidelijke security- en privacyverbeteringen, verbetert deze aanpassing ook de laadsnelheid van sites die https ondersteunen, aangezien Chrome direct met het https-endpoint verbinding maakt, zonder de noodzaak om van http naar https te worden doorgestuurd", zegt Shweta Panditrao van het Chrome Team. De aanpassing wordt als eerste doorgevoerd in de Android- en desktopversie van Chrome 90. Daarna zal "snel" een update voor de iOS-versie verschijnen. "Chrome zet zich in om van https het standaard protocol voor het web te maken en deze aanpassing is weer een stap die ervoor zorgt dat Chrome standaard altijd beveiligde verbindingen gebruikt", aldus Panditrao. Chrome 90 zou op 13 april moeten verschijnen. bron: https://www.security.nl

Op internet zijn duizenden Exchange-servers te vinden die al voor het installeren van beveiligingsupdates door aanvallers zijn besmet met malware. Doordat de machines inmiddels up-to-date zijn kunnen organisaties een vals gevoel van veiligheid hebben en denken dat ze zijn beschermd, zo stelt Brandon Wales, hoofd van het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. De kwetsbaarheden in Exchange maken het mogelijk voor aanvallers om kwetsbare servers op afstand over te nemen en daarvandaan bijvoorbeeld andere systemen in het bedrijfsnetwerk aan te vallen. Microsoft rolde op 2 maart noodpatches voor de kwetsbaarheden uit. Die werden echter al voor het uitkomen van de updates misbruikt. Volgens Wales zijn er verbeteringen zichtbaar als het om de uitrol van patches gaat maar is er nog veel werk aan de winkel. "We willen dat organisaties gaan onderzoeken of ze zijn gecompromitteerd. Patchen is niet voldoende", aldus Wales tijdens een lezing voor het Auburn University’s McCrary Institute for Cyber and Critical Infrastructure Security. Wanneer een aanvaller al voor de installatie van updates toegang tot de server heeft gekregen kan die een webshell installeren en zo toegang tot de machine behouden, ook al worden de updates vervolgens geïnstalleerd. "Helaas weten we van bedrijven die scans uitvoeren naar kwetsbare en gecompromitteerde Exchange-servers dat er letterlijk duizenden gecompromitteerde servers zijn die op het moment zijn gepatcht. En deze eigenaren kunnen denken dat ze zijn beschermd, maar dat is niet het geval", merkte de CISA-directeur op. Hij deed dan ook nogmaals een oproep om naar signalen van mogelijk gecompromitteerde servers te kijken. bron: https://www.security.nl

Mozilla heeft vandaag Firefox 87 gelanceerd die een nieuwe privacyfeature introduceert genaamd SmartBlock. De feature zorgt ervoor dat trackers worden geblokkeerd en websites blijven werken. De private browsingmode van Firefox blokkeert al lange tijd scripts, afbeeldingen en andere content die afkomstig is van bekende trackingbedrijven. Dit moet voorkomen dat deze trackingbedrijven Firefoxgebruikers kunnen volgen. De manier waarop third-party content werd geblokkeerd kon er echter voor zorgen dat afbeeldingen niet werden geladen, bepaalde features niet werkten of de website het helemaal niet deed. Om ervoor te zorgen dat websites ondanks de geblokkeerde content blijven werken ontwikkelde Mozilla SmartBlock. Deze feature vervangt geblokkeerde third-party trackingscripts door een lokale "stand-in". Dit lokale, vervangende script werkt net genoeg als het origineel om ervoor te zorgen dat de website blijft werken, maar de gebruiker niet wordt gevolgd. Mozilla benadrukt dat deze vervangende scripts met Firefox worden gebundeld en geen echte third-party content van trackers bevatten. De vervangende scripts bevatten zelf ook geen code om gebruikers te volgen. "We denken dat de SmartBlock-aanpak het beste van beide werelden biedt: sterke bescherming van je privacy en een goede browse-ervaring", aldus Mozilla. Verder zijn erin Firefox 87 acht kwetsbaarheden verholpen met een maximale impact die als "high" is beoordeeld. In dit geval kan een malafide website gevoelige data van andere geopende websites stelen of data in deze websites injecteren. Updaten naar Firefox 87 kan via de automatische updatefunctie en Mozilla.org. bron: https://www.security.nl

Een beveiligingsonderzoeker is door het combineren van verschillende kwetsbaarheden erin geslaagd toegang te krijgen tot het interne netwerk van Facebook. Het socialmediabedrijf heeft de problemen inmiddels verholpen en onderzoeker Alaa Abdulridha voor zijn bugmelding met een beloning van 47.300 dollar beloond. Abdulridha had eerder al een kwetsbaarheid in een interne applicatie van Facebook gevonden waardoor hij toegang tot de applicatie en het beheerderspaneel wist te krijgen. Deze applicatie wordt binnen Facebook door de juridische afdeling gebruikt. Facebook verhielp dit probleem. Voor zijn tweede aanval richtte de onderzoeker zich opnieuw op deze applicatie. Dit keer gebruikte hij echter een andere manier om toegang te krijgen waarbij hij een ASPXAUTH-cookie manipuleerde. Deze cookies worden gebruikt om te bepalen of de gebruiker is geauthenticeerd. Abdulridha vond een andere website die dezelfde applicatie gebruikte. Hij registreerde daar een account met dezelfde gebruikersnaam als de beheerder van de applicatie die Facebook gebruikt. Hij onderschepte vervolgens het request naar de applicatie op de andere website en verving het ASPXAUTH-cookie met het verlopen ASPXAUTH-cookie van de Facebook-applicatie. Hiermee kreeg hij opnieuw toegang tot het beheerderspaneel van de Facebook-applicatie. "Ik kon op elk beheerdersaccount inloggen door alleen de gebruikersnaam te weten", aldus de onderzoeker. Voor het tweede deel van de aanval gebruikte Abdulridha een SSRF-kwetsbaarheid. Server-side request forgery (SSRF) is een kwetsbaarheid waarbij een aanvaller de functionaliteit van een server kan misbruiken om toegang tot resources te krijgen waar hij anders geen directe toegang toe zou hebben. In dit geval bleek de Facebook-applicatie kwetsbaar voor SSRF waardoor de onderzoeker toegang tot het interne netwerk van Facebook wist te krijgen. Abdulridha rapporteerde de problemen op 9 september. Op 26 oktober vroeg het socialmediabedrijf een nieuwe melding te openen waarna er dezelfde dag mitigaties werden doorgevoerd. Op 25 februari van dit jaar kwam Facebook met een volledige oplossing en beloonde de onderzoeker voor zijn bugmelding. Afsluitend heeft de onderzoeker ook nog een 'gouden tip' voor bug hunters. "Wanneer je ASPXAUTH ziet probeer dan de cookies van een andere website te bemachtigen die dezelfde applicatie gebruikt en test dezelfde methode die ik toepaste: Creëer nieuwe ASPXAUTH-cookies aan de hand van de andere website en test of deze cookies bij de aangevallen website werken." bron: https://www.security.nl

Adobe heeft vandaag een beveiligingsupdate uitgerold voor een kritieke kwetsbaarheid in ColdFusion waardoor een aanvaller op afstand code op kwetsbare systemen kan uitvoeren. ColdFusion is een platform voor het ontwikkelen van webapplicaties. In het verleden zijn kwetsbaarheden in ColdFusion gebruikt voor het aanvallen van ColdFusion-applicatieservers. Afgelopen oktober kwam de NSA nog met een overzicht van de Top 25 kwetsbaarheden die volgens de Amerikaanse geheime dienst door "Chinese actoren" worden gebruikt om organisaties aan te vallen. In dat overzicht staat ook een ColdFusion-kwetsbaarheid uit 2018. Het nu verholpen beveiligingslek, aangeduid als CVE-2021-21087, wordt veroorzaakt door het niet goed valideren van invoer. Verdere details worden niet door Adobe gegeven, behalve dat een aanvaller de kwetsbaarheid kan gebruiken om willekeurige code op het onderliggende systeem uit te voeren. Organisaties wordt aangeraden om te updaten naar ColdFusion 2016 Update 17, ColdFusion 2018 Update 11 of ColdFusion 2021 Update 1. Volgens Adobe zijn erop dit moment geen exploits bekend die misbruik van het beveiligingslek maken en wordt dit ook niet op korte termijn verwacht. Als "best practice" adviseert Adobe om de update "snel" te installeren, waarbij als voorbeeld binnen dertig wordt genoemd. bron: https://www.security.nl

De volgende versie van Firefox zal de HTTP Referrer deels strippen om het lekken van gevoelige gebruikersgegevens te voorkomen, zo heeft Mozilla aangekondigd. Zodra internetgebruikers in hun browser op een link klikken zorgt de HTTP Referrer header ervoor dat de nieuw geopende website de locatie ziet waarvandaan de bezoeker precies afkomstig is. Op deze manier kunnen websites zien waar hun bezoekers vandaan komen, wat bijvoorbeeld handig is voor analytics. Volgens Mozilla blijkt in de praktijk dat de HTTP Referrer header vaak privégegevens van gebruikers bevat. Zo kan die prijsgeven welke artikel een gebruiker op de verwijzende website aan het lezen was en kan die ook informatie over het account van een gebruiker op een website bevatten. Om websites meer controle te geven over hoeveel informatie er via de Referer header wordt meegestuurd werd de Referrer Policy ingevoerd waar browsers tegenwoordig gebruik van maken. Standaard maken browsers gebruik van de no-referrer-when-downgrade policy. Hierbij wordt de referrer gestript wanneer gebruikers van een https-site naar een http-site gaan. Is dit niet het geval, dan wordt de volledige url inclusief path en query-informatie meegestuurd. Hierdoor kan er gevoelige gebruikersinformatie lekken. Daar komt bij dat steeds meer websites via https worden aangeboden en de no-referrer-when-downgrade policy niet meer van deze tijd is, aldus Dimi Lee van Mozilla. De Firefox-ontwikkelaar gaat daarom het beleid aanpassen en standaard een strict-origin-when-cross-origin policy implementeren. Wanneer een gebruiker dan op een link naar een andere website klikt zullen path en query-informatie niet meer worden meegestuurd. Dit geldt voor alle cross-origin requests. Daarnaast zal nog steeds de informatie bij een verwijzing van https naar http worden gestript. Firefox 87 zou morgen, dinsdag 23 maart moeten uitkomen. Gebruikers hoeven verder niets te doen om van het nieuwe beleid gebruik te maken. bron: https://www.security.nl

De privacytoezichthouders van de Europese Unie, verenigd in in de European Data Protection Board (EDPB), zijn niet tevreden met het huidige voorstel voor de ePrivacy Verordening en hebben verschillende verbeterpunten aangedragen, waaronder het niet afzwakken van encryptie. De ePrivacy Verordening is een aanvulling op de Algemene verordening gegevensbescherming (AVG) en gaat specifiek over de gegevensbescherming rond elektronische communicatie. Er wordt al jaren over de ePrivacy Verordening onderhandeld. De EDPB is blij dat de wet er komt, maar stelt dat die het beschermingsniveau van persoonsgegevens voor Europeanen niet mag verlagen. Daarnaast moet die volledig in lijn zijn met de AVG. De privacytoezichthouders hebben echter zorgen over het huidige voorstel en hebben in een gezamenlijke verklaring een aantal verbeterpunten aangedragen (pdf). Zo vindt de EDPB dat de ePrivacy Verordening cookiewalls moet verbieden, net zoals de AVG dat doet. Gegevens uit vertrouwelijke elektronische communicatie, zoals WhatsApp-berichten, sms’jes en e-mails, mogen zonder toestemming alleen worden gebruikt voor noodzakelijke doelen, zoals ervoor zorgen dat een bericht bij de ontvanger terechtkomt. Verder stellen de toezichthouders dat het toezicht op het gebruik van persoonsgegevens binnen de ePrivacy Verordening volledig bij dezelfde toezichthouders moet komen te liggen die toezicht op de AVG houden. In het huidige voorstel voor de ePrivacy Verordening is dat toezicht in sommige gevallen verspreid over verschillende toezichthouders, zo laat de Autoriteit Persoonsgegevens weten. Encryptie Daarnaast stelt de EDPB dat de beschikbaarheid van sterke en vertrouwde encryptie een noodzaak in de moderne digitale wereld is. De toezichthouders merken op dat sterke, moderne encryptie de standaard moet zijn voor het veilig, vrij en op betrouwbare uitwisselen van data tussen burgers, bedrijven en overheden, en essentieel is om aan de veiligheidsverplichtingen van de AVG te voldoen. "End-to-end encryptie, van afzender naar ontvanger, is ook de enige manier om de veiligheid van data die wordt verstuurd te garanderen. Elke mogelijke poging om encryptie te verzwakken, zelfs voor het doel van nationale veiligheid, zou die bescherming, vanwege mogelijk onwettig gebruik, uithollen. Encryptie moet gestandaardiseerd, sterk en effectief zijn", aldus de EDPB. De onderhandelingen tussen de Europese Commissie, het Europees Parlement en ministers uit de EU-lidstaten over de ePrivacy Verordening zullen naar verwachting dit jaar beginnen. Eind 2021 of begin 2022 is de tekst van de wet waarschijnlijk definitief. bron: https://www.security.nl

Aanstaande donderdag 25 maart komt OpenSSL met een belangrijke beveiligingsupdate, zo heeft het OpenSSL Project Team aangekondigd. De patch verhelpt één of meerdere kwetsbaarheden waarvan de impact als "high" is bestempeld. Zelden worden er kwetsbaarheden met een dergelijke impact in OpenSSL gevonden. OpenSSL behoort tot de meest gebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen. Kwetsbaarheden in OpenSSL kunnen zeer grote gevolgen voor het internet hebben, zo heeft de Heartbleed Bug in het verleden aangetoond. Een aantal keren per jaar verschijnt er een nieuwe versie van de software, waarmee onder andere beveiligingslekken worden verholpen. OpenSSL kent vier niveaus om de impact van kwetsbaarheden te beoordelen: low, moderate, high en critical. Voor beveiligingslekken die als high en critical zijn beoordeeld zal het OpenSSL-team een nieuwe versie uitbrengen. De overige twee categorieën kwetsbaarheden worden tijdens geplande updaterondes verholpen. Via kritieke kwetsbaarheden kunnen aanvallers bijvoorbeeld servers overnemen of de private keys van de server stelen, waarmee versleuteld verkeer is te ontsleutelen. Daardoor kunnen aanvallers allerlei gevoelige gegevens stelen. Bij beveiligingslekken met de beoordeling high is dit ook mogelijk, maar kan het zijn dat misbruik lastiger is of alleen systemen met bepaalde configuraties raakt. Vorig jaar werden twee OpenSSL-kwetsbaarheden verholpen waarvan de impact als high was beoordeeld. In 2018 en 2019 werden er geen kwetsbaarheden in de high-categorie ontdekt. Details over het probleem dat aanstaande donderdag wordt gepatcht zijn nog niet openbaar. OpenSSL versie 1.1.1k verschijnt aanstaande donderdag 25 maart tussen 14:00 en 18:00 uur Nederlandse tijd. bron: https://www.security.nl

Van meer dan vierhonderd Exchange-servers in België staat vast dat ze geïnfecteerd zijn met malware, zo stelt het Centrum voor Cybersecurity België (CCB) van de Belgische overheid. De organisatie waarschuwde eerder deze week al voor een "tsunami aan cyberaanvallen" als gevolg van de kwetsbaarheden in de mailserversoftware van Microsoft. Afgelopen maandag waren meer dan duizend Microsoft Exchange-servers in het land nog altijd kwetsbaar omdat beschikbare beveiligingsupdates niet waren geïnstalleerd. Van vierhonderd van deze kwetsbare servers staat vast dat aanvallers de kwetsbaarheden hebben gebruikt om een webshell te installeren. Een webshell is een script dat aanvallers op servers plaatsen om toegang te behouden en op afstand code en commando's uit te voeren. Vaak worden webshells voor verdere aanvallen ingezet. Iets waar ook het CCB rekening mee houdt: "We vrezen dan ook dat sommige organisaties en bedrijven de komende dagen en weken het slachtoffer worden van ransomware of dat er data gestolen zal worden." De Belgische overheidsinstantie is nu begonnen om getroffen organisaties en bedrijven waarvan contactgegevens beschikbaar zijn te waarschuwen. Het Nederlandse Nationaal Cyber Security Centrum (NSCS) liet afgelopen dinsdag weten dat het Exchange-lek ook voor grote schade bij Nederlandse organisaties heeft gezorgd. Zo is er data van getroffen organisaties gestolen, zijn servers met malware besmet, backdoors geïnstalleerd en worden mailboxen te koop op internet aangeboden. bron: https://www.security.nl

Microsoft heeft een nieuw document gepubliceerd waarin het advies geeft voor het onderzoeken en herstellen van kwetsbare Exchange-servers. Kwetsbaarheden in Exchange maken het mogelijk voor aanvallers om kwetsbare mailservers op afstand over te nemen en te gebruiken voor verdere aanvallen. Misbruik van de beveiligingslekken vindt voor zover bekend al sinds januari plaats. In het nieuwe document stelt Microsoft dat organisaties de kwetsbaarheden meteen moeten patchen. Door dit niet te doen kan de Exchange-server van de organisatie worden overgenomen en mogelijk ook andere delen van het interne netwerk. Het document legt uit hoe de nu waargenomen aanvallen werken, welke oplossingen er beschikbaar zijn, hoe organisaties kunnen achterhalen of ze gecompromitteerd zijn en welke herstelstappen moeten worden gevolgd. Ook wijst Microsoft op het isoleren van de Exchange-server zodat die niet vanaf het publieke internet toegankelijk is. Bij de huidige aanvallen maken de aanvallers een "untrusted" verbinding met de server via poort 443. Het is dan ook nodig om inkomende verbindingen op deze poort te blokkeren. Dit kan echter gevolgen voor thuiswerkers hebben of andere scenario's waarbij er geen gebruik wordt gemaakt van een vpn om verbinding met de server te krijgen, aldus de uitleg van het techbedrijf. bron: https://www.security.nl

LastPass heeft de aangekondigde beperking van de gratis versie van de wachtwoordmanager doorgevoerd. Gebruikers van deze versie kunnen de wachtwoordmanager voortaan op nog maar één type apparaat gebruiken. Een maatregel die bij tal van gebruikers verkeerd is gevallen. Op Twitter zijn tal van berichten te vinden van gebruikers die op een andere wachtwoordmanager zijn overgestapt. Het gebruik van LastPass Free is voortaan alleen nog mogelijk op of alleen computers of alleen mobiele apparaten. Voorheen konden gebruikers van de gratis versie die zowel op bijvoorbeeld hun laptop én smartphone gebruiken. Het blijft wel mogelijk om de gratis versie op meerdere apparaten van één type te gebruiken. Zo is de wachtwoordmanager bijvoorbeeld op meerdere telefoons, smartwatches en tablets te gebruiken. In dit geval zal ervoor gebruik op laptop of desktop moeten worden betaald en vice versa. De eerste login van LastPass Free-gebruikers vanaf vandaag zal bepalen wat het actieve type apparaat wordt. Gebruikers hebben vervolgens drie pogingen om van het type apparaat te veranderen. Daarnaast zal LastPass ook de ondersteuning aan gratis gebruikers gaan beperken. Op dit moment kunnen die gebruikmaken van het supportcenter en e-mailondersteuning. Vanaf 17 mei zal de ondersteuning zijn beperkt tot supportartikelen en de community. Terwijl LastPass een beperking van de gratis wachtwoordmanager doorvoert laat Dropbox weten dat het een beperkte versie van de wachtwoordmanager "Dropbox Passwords" vanaf begin april beschikbaar maakt voor gebruikers met een gratis Dropbox-account. Gebruikers kunnen met deze beperkte versie vijftig wachtwoorden opslaan en die vanaf drie verschillende apparaten benaderen. bron: https://www.security.nl

De op privacy gerichte zoekmachine DuckDuckGo heeft de privacylabels van de Apple App Store gebruikt voor een aanval op Google. Apps in de App Store moeten sinds december laten zien welke gegevens ze over en van gebruikers verzamelen en voor welke doeleinden dit wordt gedaan. Recentelijk voegde Google de privacylabels toe voor Google Chrome en de Google-app. Uit de privacylabels blijkt dat Google een grote hoeveelheid informatie over gebruikers verzamelt en onder andere deelt met externe adverteerders en gebruikt voor gerichte advertenties. "Na maanden van rekken heeft Google eindelijk laten zien hoeveel persoonlijke data ze verzamelen in Chrome en de Google-app. Geen wonder dat ze dit wilden verbergen", aldus DuckDuckGo op Twitter. DuckDuckGo blijkt daarentegen geen persoonlijke informatie te verzamelen of te delen en stelt dat dit ook niet nodig is. "Het bespioneren van gebruikers heeft niets te maken met het bouwen van een fantastische webbrowser of zoekmachine. Iets dat wij weten, onze app is beide in één." bron: https://www.security.nl

De aanvallers achter de wereldwijde SolarWinds-aanval hebben een deel van de broncode van Mimecast gestolen, zo heeft het securitybedrijf zelf in een 'incident report' bekendgemaakt. Mimecast biedt verschillende diensten voor het synchroniseren, monitoren en beveiligen van e-mailaccounts. In januari bleek dat het securitybedrijf slachtoffer van een aanval was geworden en aanvallers toegang tot productiesystemen hadden gekregen. Uit onderzoek blijkt dat de aanval plaatsvond via de SolarWinds-backdoor. Net als tienduizenden andere organisaties maakte Mimecast gebruik van het SolarWinds Orion-platform voor het beheer van de it-omgeving. Het was één van de bedrijven die een besmette SolarWinds-update installeerde die van een backdoor was voorzien. Via deze backdoor kregen de aanvallers toegang tot de productieomgeving van het securitybedrijf. Zo konden de aanvallers verschillende door Mimecast uitgegeven certificaten stelen en gerelateerde informatie om verbinding met de servers van klanten te maken. Ook kregen de aanvallers e-mailadressen en andere contactgegevens van klanten in handen, alsmede gehashte en gesalte wachtwoorden. Verder blijkt dat de aanvallers toegang tot een deel van de broncode van Mimecast kregen en die hebben gedownload. Volgens het securitybedrijf zijn er geen aanwijzingen gevonden dat de aanvallers broncode hebben aangepast of dat dit gevolgen heeft gehad voor de beveiligingsproducten van het bedrijf. De certificaten die bij Mimecast werden gestolen gebruikten de aanvallers voor aanvallen op klanten van het securitybedrijf. Organisaties installeren de certificaten op hun eigen server om zo een verbinding tussen de Mimecast-diensten en Microsoft 365 Exchange mogelijk te maken. Via de gestolen certificaten kregen de aanvallers toegang tot de Microsoft 365-omgevingen van "een klein aantal" klanten, aldus een verklaring van het securitybedrijf. Naar aanleiding van de aanval heeft Mimecast besloten om te stoppen met het gebruik van de SolarWinds-software. Verder zijn van alle medewerkers de wachtoorden aangepast en het gebruik van hardwarematige tweefactorauthenticatie om toegang tot productiesystemen te krijgen uitgebreid. Tevens zijn alle gecompromitteerde servers volledig vervangen. bron: https://www.security.nl

De afgelopen weken zijn tientallen populaire Instagram-accounts overgenomen door middel van een phishingaanval die met een zogenaamde copyrightschending begint. Slachtoffers ontvangen een bericht over een vermeende copyrightkwestie en worden gewaarschuwd dat hun account binnen 24 uur zal worden gesloten tenzij ze een reactie via de meegestuurde link geven. Deze link wijst naar een phishingsite. Met de gegevens die slachtoffers hier invoeren kan het account worden overgenomen wanneer het slachtoffer geen tweefactorauthenticatie voor zijn account heeft ingesteld. Beveiligingsonderzoeker Sijmen Ruwhof ontdekte dat de aanvallers via de phishingaanval in een periode van 51 uur 33 populaire Instagram-accounts in handen hadden gekregen met in totaal bijna 23 miljoen volgers. Zodra de aanvallers de accounts in handen krijgen schakelen ze wel tweefactorauthenticatie in om het slachtoffer buiten de deur te houden. Vervolgens worden de gekaapte accounts gebruikt voor het versturen van geautomatiseerde berichten over copyrightschendingen naar andere accounts. Daarnaast laten de aanvallers de gecompromitteerde accounts nepaccounts volgen. Gebruikers krijgen het advies om tweefactorauthenticatie voor hun account in te stellen en te controleren op welke website ze hun wachtwoord invoeren. bron: https://www.security.nl