Kwetsbaarheden CVE's

2024 | 2023 | 2022 | 2021

december | november | oktober | september | augustus | juli | juni | mei | april | maart | februari | januari 

TikTok-accounts via één klik te kapen door kwetsbaarheid in Android-app

Een kwetsbaarheid in de Android-app van TikTok maakt het mogelijk voor aanvallers om accounts via één klik te kapen, zo ontdekte Microsoft. TikTok heeft inmiddels een update uitgebracht om het probleem te verhelpen. Volgens Microsoft is er geen misbruik van het beveiligingslek gemaakt, maar waarschuwt gebruikers om geen links van onbetrouwbare bronnen te openen.De twee Android-apps van TikTok hebben bij elkaar 1,5 miljard gebruikers. Het probleem doet zich voor in de manier waarop de TikTok Android-app met deeplinks omgaat. Een deeplink binnen Android is een speciale hyperlink die naar een speciaal onderdeel binnen een app linkt. Wanneer de gebruiker een deeplink opent zal de Android-packagemanager kijken welke geïnstalleerde app de deeplink kan verwerken en stuurt die vervolgens door naar het betreffende app-onderdeel. Via de kwetsbaarheid is het mogelijk voor aanvallers om de TikTok-app een willekeurige url te laten laden en JavaScript te laten uitvoeren. Daarmee is het mogelijk om authenticatietokens van gebruikers te stelen of accountgegevens op te vragen en aan te passen, zoals het aanpassen van TikTok-profielen, versturen van berichten of uploaden van video's in naam van de gebruiker. De enige vereiste is dat een gebruiker op een speciaal geprepareerde link klinkt. Microsoft waarschuwde TikTok, dat in februari van dit jaar een update voor de Android-apps uitbracht. De impact van de kwetsbaarheid (CVE-2022-28799) is op een schaal van 1 tot en met 10 beoordeeld met een 8.3.

Apple dicht aangevallen zerodaylek na twee weken ook in oudere iPhones

Apple heeft een actief aangevallen zerodaylek na twee weken ook in oudere iPhones en iPads verholpen. Op 17 augustus kwam het bedrijf met iOS 15.6.1 en iPadOS 15.6.1, waarmee twee zerodays werden verholpen. De eerste kwetsbaarheid, CVE-2022-32893, bevindt zich in WebKit, de door Apple ontwikkelde browser-engine. Alle browsers op iOS en iPadOS zijn verplicht om van WebKit gebruik te maken. Daarnaast maakt Safari op macOS gebruik van WebKit. Door alleen een kwaadaardige of gecompromitteerde website te bezoeken of een besmette advertentie te zien kan een aanvaller willekeurige code op het systeem uitvoeren. Er is geen verdere interactie van gebruikers vereist. Dergelijke aanvallen worden ook wel een drive-by download genoemd. De tweede kwetsbaarheid, CVE-2022-32894, is aanwezig in de kernel van iOS, iPadOS en macOS. Dit beveiligingslek geeft een aanvaller die al toegang tot het systeem heeft, of een malafide applicatie, de mogelijkheid om kernelrechten te krijgen. Via alleen deze kwetsbaarheid is het niet mogelijk om systemen op afstand over te nemen, maar het is mogelijk om CVE-2022-32893 en CVE-2022-32894 te combineren. Daarmee krijgt een aanvaller volledige controle over het systeem. Precies twee weken later heeft Apple het WebKit-lek (CVE-2022-32893) ook in oudere iPhones en iPads opgelost. Eigenaren van een iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 en iPod touch (zesde generatie) kunnen updaten naar iOS 12.5.6. Apple laat aanvullend weten dat het kernel-lek (CVE-2022-32894) niet in iOS 12 aanwezig is. Updaten kan via de updatefunctie van het toestel of iTunes.

Kritiek lek in Google Chrome laat aanvaller systeem overnemen

Google heeft een nieuwe versie van Chrome uitgebracht die meerdere kwetsbaarheden in de browser verhelpt, waaronder een kritiek beveiligingslek dat het mogelijk voor een aanvaller maakt om in het ergste geval het onderliggende systeem over te nemen. Alleen het bezoeken van een gecompromitteerde of malafide websites of bekijken van een besmette advertentie is voldoende, er is geen verdere interactie van gebruikers vereist. De kwetsbaarheid, aangeduid als CVE-2022-3038, bevindt zich in de Network Service van Chrome. Een onderdeel dat de netwerkfunctionaliteit van de browser regelt. Beveiligingsonderzoeker Sergei Glazunov van Google Project Zero ontdekte een "use after free" in de code waardoor een aanvaller code op het systeem van gebruikers kan uitvoeren. In tegenstelling tot voorgaande jaren is er dit jaar al een recordaantal kritieke kwetsbaarheden in de browser gevonden. De teller staat nu op zes. In het geval van kritieke kwetsbaarheden probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details kunnen vervolgens na zestig dagen openbaar worden gemaakt. Verder verhelpt 105.0.5195.52 23 andere kwetsbaarheden, die een lagere impact hebben. Updaten naar de nieuwste Chrome-versie zal op de meeste systemen automatisch gebeuren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren.

WordPress brengt beveiligingsupdate uit voor SQL-injection kwetsbaarheid

WordPress, het platform waar 43 procent van alle websites op draait, heeft een beveiligingsupdateuitgebracht die meerdere beveiligingslekken verhelpt, waaronder een SQL-injection kwetsbaarheid. Het beveiligingslek bevindt zich in de WordPress Link-functionaliteit, die eerder nog bekendstond als "Bookmarks". Deze functionaliteit staat bij nieuwere WordPress-installaties niet meer standaard ingeschakeld. Bij oudere installaties is dat wel het geval, waardoor mogelijk miljoenen websites risico lopen, zo waarschuwt securitybedrijf Wordfence. Via SQL-injection kunnen aanvallers met de database achter een website of applicatie communiceren en allerlei opdrachten uitvoeren, die eigenlijk niet uitgevoerd zouden moeten worden. Op deze manier is het mogelijk om de inhoud van databases, met bijvoorbeeld gebruikersnamen, e-mailadressen en andere gevoelige data, te stelen, of juist kwaadaardige code toe te voegen. Om misbruik van het lek te maken, dat nog geen CVE-nummer heeft, moet een aanvaller over adminrechten beschikken, hoewel misbruik ook via third-party plug-ins of themes mogelijk is, waardoor een aanvaller over minder hoge rechten hoeft te beschikken. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 8.0. Eigenaren van een WordPress-site worden aangeraden om te updaten naar WordPress 6.0.2, wat op websites met automatische updates automatisch zal plaatsvinden.

Atlassian verhelpt kritiek lek in Atlassian Bitbucket Server en Data Center

Atlassian heeft een kritieke kwetsbaarheid in Bitbucket Server en Bitbucket Data Center verholpen waardoor een aanvaller door het versturen van een malafide http-request willekeurige code op de server kan uitvoeren. De 17-jarige beveiligingsonderzoeker die de kwetsbaarheid ontdekte maakt binnenkort proof-of-concept exploitcode openbaar. Bitbucket Server en Data Center zijn oplossingen voor softwareontwikkeling. Via de platformen kunnen meerdere ontwikkelaars aan een softwareproject werken. Het is mogelijk om een eigen server te hosten of een cloudversie van Atlassian te gebruiken. Een kwetsbaarheid in de zelf gehoste versies, aangeduid als CVE-2022-36804, maakt het mogelijk voor een aanvaller met toegang tot een publieke repository of met leesrechten voor een private Bitbucket-repository om willekeurige code uit te voeren. Volgens Atlassian gaat het om een kritieke kwetsbaarheid. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.9. Het probleem werd gevonden door onderzoeker Max Garrett. Hij laat weten binnenkort proof-of-concept exploitcode voor de kwetsbaarheid openbaar te maken. Organisaties worden dan ook aangeraden om hun installaties te updaten.

VS waarschuwt gebruikers Apache, Grafana en DOPSoft 2 voor aanvallen

De Amerikaanse overheid waarschuwt gebruikers van onder andere Apache CouchDB, Apache APISIX, Grafana en DOPSoft 2 voor aanvallen waarbij misbruik wordt gemaakt van bekende kwetsbaarheden. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren. De lijst, die inzicht geeft in kwetsbaarheden waarvan aanvallers misbruik maken, wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. De nieuwste update telt tien kwetsbaarheden in onder andere Apache CouchDB (CVE-2022-24706), Apache APISIX (CVE-2022-24112), Grafana (CVE-2021-39226) en Delta Electronics DOPSoft 2 (CVE-2021-38406). Op het moment dat de betreffende leveranciers updates uitbrachten werd er nog geen misbruik van de beveiligingslekken gemaakt. DOPSoft 2 is software van Delta Electronics en wordt gebruikt voor het programmeren en ontwerpen van human-machine interfaces (HMI's). Door het openen van een malafide project kan een aanvaller willekeurige code op het systeem uitvoeren. Delta Electronics heeft geen update voor de kwetsbaarheid uitgebracht omdat het product end-of-life is. De kwetsbaarheid in opensource-analyticsplatform Grafana maakt het mogelijk voor een ongeauthenticeerde aanvaller om snapshots te bemachtigen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De kwetsbaarheid in Apache CouchDB heeft een zelfde impactscore en kan een aanvaller admintoegang tot installaties geven. En ook het lek in Apache APISIX is met een 9.8 beoordeeld. Via de kwetsbaarheid is remote code execution mogelijk. Details over de waargenomen aanvallen zijn niet door het CISA gegeven. Federale Amerikaanse overheidsinstanties hebben tot 15 september om de updates te installeren of het product niet meer te gebruiken.

Microsoft meldt actieve aanvallen via Log4j-lek in helpdesksoftware SysAid

Aanvallers maken actief misbruik van Log4j-kwetsbaarheden in helpdesksoftware SysAid om organisaties aan te vallen, zo meldt Microsoft. SysAid biedt software voor helpdesks en it-servicemanagement. Via de software kunnen helpdesks onder andere toegang krijgen tot systemen van medewerkers binnen de organisatie. Net als allerlei andere software maken ook de producten van SysAid gebruik van de Log4j-library waarin eind 2021 een ernstige kwetsbaarheid werd ontdekt. Voor organisaties die de SysAid-software zelf hosten kwam SysAid met verschillende beveiligingsupdates. Aanvallers maken nu gebruik van Log4j-kwetsbaarheden in de SysAid-software voor het aanvallen van Israëlische organisaties, aldus Microsoft. Zodra er toegang tot de server is gekregen installeren de aanvallers een webshell om toegang te behouden, stelen inloggegevens en bewegen zich via zelfontwikkelde en bekende hackingtools, alsmede in het besturingssysteem ingebouwde tools, lateraal door het netwerk van de organisatie. Volgens Microsoft zijn de aanvallen zeer waarschijnlijk uitgevoerd door een statelijke actor gelieerd aan het Iraanse ministerie van Inlichtingen en Veiligheid. De betreffende groep, door Microsoft "Mercury" genoemd die ook bekendstaat als MuddyWater, heeft in het verleden vaker gebruikgemaakt van Log4j-kwetsbaarheden in VMware. Het is echter voor het eerst dat de software van SysAid op de korrel wordt genomen. Microsoft adviseert organisaties die van SysAid gebruikmaken om de beschikbaar gestelde beveiligingsupdates te installeren mocht dat nog niet zijn gedaan. Het techbedrijf heeft ook Indicators of Compromise gepubliceerd, waaronder ip-adressen waar de aanvallers gebruik van maken. Organisaties zouden deze adressen moeten blokkeren, aldus Microsoft. Verder wordt aangeraden om multifactorauthenticatie voor alle remote accounts in te stellen.

Lek in switches en firewalls van Cisco laat aanvaller code als root uitvoeren

Een kwetsbaarheid in firewalls en switches van Cisco maakt het mogelijk voor een ongeauthenticeerde aanvaller om code als root uit te voeren. Cisco heeft beveiligingsupdates uitgebracht om het beveiligingslek te verhelpen. De kwetsbaarheid bevindt zich in het Cisco Discovery Protocol, aanwezig in Cisco FXOS en Cisco NX-OS. Deze besturingssystemen draaien op de Firewpower-firewalls en Nexus-switches van het netwerkbedrijf. Via het Cisco Discovery Protocol (CDP) kunnen Cisco-apparaten informatie over andere op het netwerk aangesloten apparaten verzamelen. Het staat in veel gevallen standaard ingeschakeld. Door het versturen van een malafide CDP-pakket naar een kwetsbare switch of firewall kan een aanvaller willekeurige code met rootrechten op het apparaat uitvoeren of een denial of service veroorzaken. Het Cisco Discovery Protocol is een Layer 2-protocol. Om misbruik van de kwetsbaarheid te kunnen maken moet een aanvaller in hetzelfde "broadcast domain" als het aan te vallen apparaat zijn. Daardoor is de impact van de kwetsbaarheid (CVE-2022-20824) op een schaal van 1 tot en met 10 beoordeeld met een 8.8. Zonder deze vereiste zou de impactscore hoger zijn. Eind 2020 werd bekend dat Cisco-apparaten via een kwetsbaarheid in het CDP actief werden aangevallen.

GitLab roept organisaties op om kritiek lek zo snel mogelijk te patchen

GitLab roept organisaties op om een kritieke kwetsbaarheid die remote command execution mogelijk maakt zo snel mogelijk te patchen. De impact van de kwetsbaarheid, aangeduid als CVE-2022-2884, is op een schaal van 1 tot en met 10 beoordeeld met een 9.9. GitLab is een online DevOps-tool waarmee ontwikkelaars samen software kunnen ontwikkelen. Via een malafide import kan een geauthenticeerde gebruiker willekeurige code uitvoeren. In de advisory spreekt GitLab zowel over "remote code execution" als "remote command execution". Vanwege de impact van een succesvolle aanval wordt organisaties aangeraden zo snel mogelijk te updaten naar GitLab 15.3.1, 15.2.3 of 15.1.5. Eind vorig jaar werd bekend dat een andere kritieke kwetsbaarheid in GitLab actief werd gebruikt bij aanvallen op organisaties. De Amerikaanse overheid gaf federale overheidsdiensten vervolgens een deadline om de betreffende patch te installeren. Voor zover bekend word er nog geen misbruik van CVE-2022-2884 gemaakt.

Mozilla verhelpt Firefox-lek dat spoofing van adresbalk mogelijk maakt

Mozilla heeft een nieuwe versie van Firefox uitgebracht waarmee meerdere kwetsbaarheden in de browser zijn verholpen, waaronder een spoofinglek in de adresbalk en een bug waardoor niet werd getoond dat websites de microfoon gebruikten. Het spoofinglek, aangeduid als CVE-2022-38472, deed zich voor bij de verwerking van XSLT-foutmeldingen. Een aanvaller had hierdoor in de adresbalk een andere url kunnen tonen dan bij de geopende website hoorde. Zo zouden Firefox-gebruikers nietsvermoedend gevoelige gegevens op de verkeerde website kunnen invoeren, aldus Mozilla.Daarnaast was er een probleem met de Androidversie van Firefox. Wanneer een website toegang tot de microfoon wil moet een gebruiker hiervoor eerst toestemming geven. Is de toestemming gegeven en maakt de website gebruik van de microfoon voor het opnemen van audio, dan verschijnt erin de browser een opname-notificatie. Het is mogelijk voor een website om deze notificatie niet te tonen (CVE-2022-38474). Zo zou een website die eerder al toestemming had gehad opnames kunnen maken zonder dat gebruikers dit doorhebben. In totaal zijn er met Firefox 104 zes kwetsbaarheden verholpen. Updaten kan via de automatische updatefunctie en Mozilla.org.

Lek in firewalls Palo Alto Networks gebruikt voor versterken van dos-aanvallen

Een kwetsbaarheid in firewalls van Palo Alto Networks waar begin deze maand een beveiligingsupdate voor verscheen wordt inmiddels actief door aanvallers gebruikt bij het uitvoeren van dos-aanvallen, zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Het beveiligingslek (CVE-2022-0028) maakt het mogelijk voor aanvallers om aanvalsverkeer bedoeld voor het platleggen van bijvoorbeeld websites via de firewall te laten lopen, waarbij het verkeer ook nog eens wordt versterkt. Daarnaast kan de aanvaller op deze manier zijn eigen identiteit verbergen en de firewall als de bron van de aanval impliceren, zo laat Palo Alto zelf weten. Firewalls lopen alleen risico als url-filtering staat ingeschakeld en er een regel met een externe netwerkinterface is opgenomen. Volgens Palo Alto is dit geen normale configuratie voor url-filtering en zal het, wanneer ingesteld, een fout van de beheerder zijn. Desondanks maken aanvallers actief misbruik van de kwetsbaarheid, aldus het CISA. Dat roept Amerikaanse federale overheidsinstanties op om het beveiligingslek voor 12 september te hebben gepatcht. Palo Alto laat aanvullend weten dat het probleem ook bij firewalls van andere fabrikanten speelt.

Metadata in audiobestand maakt remote code execution in ChromeOS mogelijk

Een kwetsbaarheid in ChromeOS maakt het mogelijk voor aanvallers om door middel van malafide metadata in een audiobestand willekeurige code op het systeem uit te voeren, zo hebben onderzoekers van Microsoft ontdekt. Google heeft inmiddels een beveiligingsupdate voor het besturingssysteem uitgebracht. Het probleem, aangeduid als CVE-2022-2587, doet zich voor bij het afspelen van een audiobestand vanuit de browser of vanaf een aangesloten usb- of bluetooth-apparaat. Door middel van het manipuleren van de metadata in een audiobestand is het mogelijk om een "out of bounds write" te veroorzaken. Dit kan leiden tot een denial of service of in extreme gevallen remote code execution. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8 en heeft het label "kritiek" gekregen. Google stelt dat de impact van de kwetsbaarheid, die zich in de audioserver van ChromeOS bevindt, "high" is. Het gaat dan om verschillende scenario's waarbij code execution of ontsnapping uit de sandbox van het besturingssysteem mogelijk is. Het techbedrijf werd op 28 april door Microsoft over het beveiligingslek ingelicht en bracht op 15 juni een update uit. "Gegeven de potentiële impact van de kwetsbaarheid, gekoppeld met het feit dat die op afstand was te misbruiken, is het een beveiligingsrisico dat de gegeven prioriteit en snelheid waarmee de fix werd uitgerold rechtvaardigt", aldus Microsoft-onderzoeker Jonathan Bar Or.

Ernstige kwetsbaarheid treft routers van verschillende merken

Er is een ernstige kwetsbaarheid ontdekt in een chip van het bedrijf Realtek, die wordt gebruikt in routers van verschillende merken. De kwetsbaarheid, aangeduid als CVE-2022-27255, maakt het mogelijk om op afstand een kwetsbare router te laten vastlopen of willekeurige code te laten uitvoeren. Er is een zogenoemde 'Proof of Concept' (PoC) publiekelijk beschikbaar. Deze PoC beschrijft de methode om misbruik te maken van de kwetsbaarheid. Dit zorgt ervoor dat de kans op misbruik toeneemt.

De kans dat je binnen je bedrijf gebruik maakt van een router is vrij groot. Een router is noodzakelijk om te kunnen verbinden met het internet en kan soms ook fungeren als een draadloos accespoint voor het Wi-Fi netwerk.

Wat is het risico?

De kwetsbaarheid treft routers van verschillende merken die ook in Nederland worden verkocht. Zonder gebruikersinteractie kan een aanvaller de kwetsbaarheid op afstand misbruiken. Ook wanneer beheer-interfaces zijn afgeschermd van het internet kan de kwetsbaarheid misbruikt worden.

Misbruik kan ervoor zorgen dat een router vastloopt waardoor netwerkverbindingen verbreken. Daarnaast biedt de kwetsbaarheid de mogelijkheid voor de kwaadwillende om volledige controle te krijgen over de router. Op deze manier kunnen aanpassingen aan de configuratie worden gedaan om zo verder toegang te kunnen krijgen tot het bedrijfsnetwerk.

Welke routers zijn kwetsbaar?

Op dit moment is er geen volledig overzicht van alle getroffen routers. De kwetsbaarheid bevindt zich in een chip van het bedrijf Realtek. Realtek heeft in maart 2022 beveiligingsupdates beschikbaar gesteld voor de fabrikanten die de chip gebruiken in hun producten. Deze fabrikanten dienen deze updates weer te verwerken in hun eigen software updates die bekend staan als 'firmware' updates.

Onderzoekers geven aan dat het om meer dan 60 fabrikanten gaat die de chip van Realtek gebruiken. Het gaat hier onder andere om Zyxel, D-link, Edimax, Belkin en ASUSTek.  

Wat kun je doen?

Het belangrijkste advies is om ervoor te zorgen dat apparaten zoals routers niet worden vergeten als het gaat om het continue up-to-date houden van software. 

• Update je router zo spoedig mogelijk naar de laatst beschikbare 'firmware' update. Deze kun je vinden op de website van de fabrikant. Doe dit zelf of verzoek je IT-Dienstverlener dit voor jou te doen.
• Ga na of een router nog ondersteund wordt door de fabrikant. Wanneer een router al wat ouder is bestaat de kans dat dit product de 'End-of-Life' status bereikt heeft. Vanaf dat moment worden er geen beveiligingsupdates meer beschikbaar gesteld. Mocht dit het geval zijn dan is het advies de router te (laten) vervangen.

Actief aangevallen kwetsbaarheden in SAP en Windows

De Amerikaanse overheid heeft een waarschuwing gegeven voor actief misbruikte kwetsbaarheden in SAP en Windows waarvan eerder nog niet bekend was dat ze bij aanvallen werden ingezet. Federale Amerikaanse overheidsinstanties zijn verplicht om de updates voor 8 september te installeren. Begin dit jaar kwam SAP met een update voor een kwetsbaarheid (CVE-2022-22536) in SAP NetWeaver Application Server ABAP, SAP NetWeaver Application Server Java, ABAP Platform, SAP Content Server en SAP Web Dispatcher. Een onderdeel van de software is kwetsbaar voor "http request smuggling" en maakt het mogelijk voor een ongeauthenticeerde aanvaller om systemen op afstand over te nemen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Sap riep in februari organisaties op om de kwetsbaarheid direct te patchen. Volgens het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security maken aanvallers inmiddels actief misbruik van dit beveiligingslek om organisaties aan te vallen. Dat geldt ook voor twee kwetsbaarheden in Windows waar Microsoft in februari en mei van dit jaar updates voor uitbracht. Via een beveiligingslek in Active Directory Domain Services (CVE-2022-26923) kan een aanvaller met toegang tot een systeem een certificaat van Active Directory Certificate Services verkrijgen en zo zijn rechten verhogen tot die van SYSTEM. Het andere beveiligingslek in Windows (CVE-2022-21971) laat een aanvaller lokaal willekeurige code uitvoeren, hoewel Microsoft spreekt over remote code execution. Aangezien het lek niet op afstand is te misbruiken heeft het een lagere impactscore en beoordeling gekregen. Verder waarschuwt het CISA federale organisaties ook voor actief aangevallen kwetsbaarheden in Google Chrome en Apple iOS en macOS, maar daarvan was al bekend dat er misbruik plaatsvindt.

Apple verhelpt actief aangevallen zerodaylekken in iOS en macOS

Apple heeft beveiligingsupdates uitgebracht voor twee actief aangevallen zerodaylekken in iOS en macOS. Via de kwetsbaarheden zou een aanvaller volledige controle over het systeem kunnen krijgen. De eerste kwetsbaarheid, CVE-2022-32893, bevindt zich in WebKit, de door Apple ontwikkelde browser-engine. Alle browsers op iOS en iPadOS zijn verplicht om van WebKit gebruik te maken. Daarnaast maakt Safari op macOS gebruik van WebKit. Door alleen een kwaadaardige of gecompromitteerde website te bezoeken of een besmette advertentie te zien kan een aanvaller willekeurige code op het systeem uitvoeren. Er is geen verdere interactie van gebruikers vereist. Dergelijke aanvallen worden ook wel een drive-by download genoemd. De tweede kwetsbaarheid, CVE-2022-32894, is aanwezig in de kernel van iOS, iPadOS en macOS. Dit beveiligingslek geeft een aanvaller die al toegang tot het systeem heeft, of een malafide applicatie, de mogelijkheid om kernelrechten te krijgen. Via alleen deze kwetsbaarheid is het niet mogelijk om systemen op afstand over te nemen, maar het is mogelijk om CVE-2022-32893 en CVE-2022-32894 te combineren. Daarmee krijgt een aanvaller volledige controle over het systeem. Beide kwetsbaarheden werden door een anonieme beveiligingsonderzoeker aan Apple gerapporteerd. Gebruikers wordt aangeraden om te updaten naar macOS Monterey 12.5.1 en iOS/iPadOS 15.6.1. Dit kan via ingebouwde updatefunctie of de Mac Appstore en het geval van iPhones en iPads via iTunes. Apple heeft geen details over de aanvallen gegeven.

Gebruikers van Google Chrome opnieuw doelwit van zeroday-aanval

Gebruikers van Google Chrome zijn opnieuw het doelwit van een zeroday-aanval geworden. Google heeft een beveiligingsupdate uitgebracht die ook een kritieke kwetsbaarheid verhelpt waardoor aanvallers systemen op afstand kunnen overnemen. Alleen het bezoeken van een malafide of gecompromitteerde website of te zien krijgen van een besmette advertentie is voldoende. Details over de waargenomen aanvallen, die Google zelf ontdekte, zijn niet door het techbedrijf gegeven. Dit jaar heeft Google al meerdere zerodaylekken in Chrome verholpen die al voor het uitkomen van de update werden misbruikt. Eerder was het raak in februari, maart, april en juli. De nieuwste zeroday (CVE-2022-2856) werd vorige maand door onderzoekers van Googles Threat Analysis Group gevonden. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. De impact van de kwetsbaarheid is beoordeeld als "high". Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Een andere kwetsbaarheid in de browser maakt het echter wel mogelijk om systemen op afstand over te nemen. Volgens Google wordt er van dit kritieke beveiligingslek, aangeduid als CVE-2022-2852, voor zover bekend geen misbruik gemaakt. Ook deze kwetsbaarheid werd door Google zelf gevonden. Hoewel kritieke beveiligingslekken weinig voorkomen in Chrome staat de teller dit jaar al op zes, wat meer is dan in voorgaande jaren. In het geval van kritieke kwetsbaarheden probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details kunnen vervolgens na zestig dagen openbaar worden gemaakt. Naast het aangevallen zerodaylek en de kritieke kwetsbaarheid verhelpen Chrome 104.0.5112.101 voor Mac en Linux en Chrome 104.0.5112.102/101 voor Windows negen andere kwetsbaarheden. Updaten naar de nieuwste Chrome-versie zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren.

Kwetsbaarheid in Windows Defender geeft aanvaller systeemrechten

Een beveiligingsonderzoeker van Google heeft een kwetsbaarheid in Windows Defender ontdekt waardoor een aanvaller die al toegang tot een computer heeft systeemrechten kan krijgen. Microsoft had al beveiligingsupdates voor de in Windows ingebouwde virusscanner uitgebracht, maar had het bestaan van de kwetsbaarheid niet vermeld. Gisteren werd alsnog een beveiligingsbulletin voor het probleem gepubliceerd. Het beveiligingslek, aangeduid als CVE-2022-34711, bevindt zich in Windows Defender Credential Guard. Dit onderdeel van de antivirussoftware maakt gebruik van virtualisatie om inloggegevens van gebruikers in een beveiligde container op te slaan, los van het besturingssysteem. Dit moet voorkomen dat ze gestolen kunnen worden. Google-onderzoeker James Forshaw ontdekte de bovengenoemde kwetsbaarheid in het onderdeel waardoor "Elevation of Privilege" mogelijk is en een aanvaller die al toegang tot het systeem heeft systeemrechten kan krijgen. Daarmee is volledige controle over het systeem mogelijk. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 7.8. Microsoft heeft geen verdere details gegeven, maar acht de kans klein dat aanvallers misbruik van het lek zullen maken.

Veel cloudproviders met standaard onveilige instellingen

Er zijn redelijk veel cloudproviders die standaard onveilige configuraties aanbieden, zoals optionele encryptie, zwak authenticatiebeleid zonder multifactorauthenticatie, het uitgeschakeld staan van logbestanden en het toestaan van "password" als wachtwoord voor het root-account, zo stelt het Britse National Cyber Security Centre (NCSC). Organisaties doen er dan ook verstandig aan om cloudproviders te kiezen die 'secure by default' zijn. Namen van cloudproviders met onveilige instellingen zijn niet gegeven. Wanneer verschillende cloudproviders dezelfde beveiligingsfeature bieden, moet de provider worden gekozen waar die standaard staat ingeschakeld, aldus advies van het NCSC. Daarnaast moet het verlagen van de beveiliging alleen mogelijk zijn door middel van een doelbewuste actie. Volgens het NCSC kan het kiezen voor een cloudprovider het leven van organisaties eenvoudiger maken, maar is het nog altijd de verantwoordelijkheid van de klant om clouddiensten goed te configureren. Het NCSC stelt verder dat veel providers nog geen diensten aanbieden die secure by design en by default zijn. "Terwijl ze hier aan werken zouden ze je tenminste security-templates, blauwdrukken, scripts en handleidingen moeten geven zodat je eenvoudig hun dienst kan beveiligen", aldus de Britse overheidsinstantie.

Groot aantal routers met Realtek-chip kwetsbaar voor aanvallen

Een groot aantal routers die zijn voorzien van een Realtek-chip zijn kwetsbaar voor aanvallen waardoor het mogelijk is om de apparaten plat te leggen of in het ergste geval op afstand over te nemen en een firmware-update is nog niet beschikbaar. Het versturen van een speciaal geprepareerde sip-pakkett naar een willekeurige poort is voldoende en ook apparaten waarvan de beheerdersinterface niet toegankelijk is lopen risico. Het probleem speelt onder andere bij routers van D-Link en Zyxel. De kwetsbaarheid (CVE-2022-27255) werd vorige week tijdens de DefCon-conferentie in Las Vegas door onderzoekers van securitybedrijf Faraday Security besproken. Het beveiligingslek is aanwezig in de Realtek software development kit (SDK) die fabrikanten gebruiken voor routers voorzien van de RTL819x-serie Realtek-chips. Deze SDK wordt gebruikt voor basale routerfunctionaliteit, zoals de beheerdersinterface en de netwerkstack. Fabrikanten kunnen vervolgens hun eigen features aan het apparaat toevoegen. Een kwetsbaarheid in de eCos SDK van Realtek maakt het mogelijk om de apparaten op afstand te laten crashen of overnemen. Het probleem is aanwezig met de standaardinstellingen en vereist alleen dat het apparaat vanaf internet toegankelijk is. Er is geen interactie van gebruikers vereist en ook hoeft de webinterface niet toegankelijk te zijn om een apparaat aan te vallen. Voor zover nu bekend zijn 31 modellen van tenminste negentien leveranciers kwetsbaar, waaronder Tenda, D-Link, Zyxel, Intelbras, Nisuta en MT-Link. De onderzoekers vonden ruim 63.000 potentieel kwetsbare routers waarvan het adminpanel vanaf internet toegankelijk is, maar zoals gezegd is dit niet vereist voor een succesvolle aanval. Realtek kwam eind maart met een patch voor het probleem (pdf). Routerleveranciers moeten deze patch echter in hun routerfirmware verwerken en vervolgens een firmware-update uitbrengen. Veel leveranciers hebben echter nog geen update uitgebracht, aldus de onderzoekers in hun presentatie (pdf). Gebruikers die zich willen beschermen kunnen ongevraagde udp-requests blokkeren, zo stelt het Internet Storm Center.

Encryptiesleutels Google Pixel-telefoons via lek in beveiligingschip te stelen

Een kwetsbaarheid in de Titan M-beveiligingschip van Google Pixel-telefoons maakt het mogelijk voor aanvallers om encryptiesleutels en andere gevoelige data van het apparaat te stelen. Google kwam in juni met een update voor het kritieke beveiligingslek (CVE-2022-20233), nadat het in mei ook al een kritieke kwetsbaarheid (CVE-2022-20117) in de Titan M-chip had verholpen. Google introduceerde de Titan M-chip in 2018 in Pixel-telefoons. De chip is ontwikkeld om gevoelige data te beschermen en bevindt zich op een aparte system-on-a-chip (SoC) in de telefoon. Het draait ook zijn eigen firmware en communiceert zelf met de applicatieprocessor. Deze opzet moet het beschikbare aanvalsoppervlak voor aanvallers verkleinen en zaken als sidechannel-aanvallen en hardwaremanipulatie tegengaan. De Titan M-chip wordt voor verschillende doeleinden gebruikt, waaronder het bootproces. Zo verifieert de chip de passcode die gebruikers op een vergrendeld scherm invoeren en regelt het decryptieproces daarna. Third-party apps kunnen de chip gebruiken om private keys te genereren en op te slaan die voor transacties binnen de betreffende apps worden gebruikt. In mei van dit jaar bracht Google een beveiligingsupdate uit die een kwetsbaarheid in de Titan M-firmware veroorzaakte, zo meldt securitybedrijf Quarkslab. Daardoor is het mogelijk voor een aanvaller om code op de beveiligingschip uit te voeren en gevoelige data te stelen, zoals encryptiesleutels. Deze data zou nooit van de chip gestolen mogen worden. Met de gestolen sleutels is het vervolgens mogelijk om versleutelde data te ontsleutelen. Voor het uitvoeren van de aanval moet een aanvaller wel commando's naar de chip kunnen sturen. Iets wat kan via een geroot toestel of met fysieke toegang tot de SPI-bus. De onderzoekers van Quarkslab waarschuwden Google in mei, waarop het techbedrijf in juni een update voor Pixel-telefoons uitrolde. In eerste instantie wilde Google de onderzoekers voor hun bugmelding met een bedrag van 10.000 dollar belonen. De onderzoekers stelden dat Googles eigen beloningsprogramma dergelijke kwetsbaarheden in de M-chip hoger beloont. Nadat de onderzoekers meer informatie en een nieuwe exploit verstrekten waarmee het mogelijk was encryptiesleutels te stelen keerde Google een beloning van 75.000 dollar uit.

ZDI verkort deadline voor softwareleveranciers met onvolledige patches

De kwaliteit van beveiligingsupdates laat volgens securitybedrijf ZDI de laatste jaren zo te wensen over dat het softwareleveranciers voortaan minder tijd geeft om het oorspronkelijke probleem te verhelpen. Eerder luidde ook Google al de noodklok over onvolledige patches waardoor het oorspronkelijke beveiligingslek bijvoorbeeld via een omweg alsnog is te misbruiken. Het Zero Day Initiative (ZDI) betaalt onderzoekers voor het melden van kwetsbaarheden in allerlei producten. Deze informatie deelt het ZDI met de betrekkende softwareleverancier, zodat die een update kan ontwikkelen. Daarnaast gebruikt het securitybedrijf de informatie voor de eigen beveiligingsproducten. Nadat het ZDI softwareleveranciers heeft geïnformeerd over een kwetsbaarheid krijgen die honderdtwintig dagen de tijd om het probleem te verhelpen. Daarna maakt het securitybedrijf de details van het lek bekend. Dit moet leveranciers ertoe zetten om tijdig updates te ontwikkelen. De updates die leveranciers ontwikkelen blijken echter niet altijd volledig. Zo stelde Google eind juni dat in de eerste helft van dit jaar er achttien zerodaylekken zijn gebruikt bij aanvallen tegen organisaties en internetgebruikers. Het gaat hier om kwetsbaarheden waar op het moment van de aanval geen update voor beschikbaar is. Zeker de helft van deze beveiligingslekken had voorkomen kunnen worden als de betreffende softwareleverancier betere updates en regressietests had doorgevoerd, zo stelt Google. Vorig jaar kwam het techbedrijf ook al met een dergelijke conclusie. Onvolledige updates zorgen ervoor dat bedrijven niet meer goed het risico voor hun systemen kunnen inschatten, aldus het ZDI. Het securitybedrijf heeft sinds 2005 meer dan tienduizend kwetsbaarheden gerapporteerd en wil met een aangepaste patch-deadline softwareontwikkelaars nu betere updates laten ontwikkelen. Wanneer blijkt dat een update voor een kritieke kwetsbaarheid eenvoudig is te omzeilen en misbruik wordt verwacht, krijgt de softwareleverancier voortaan nog maar dertig dagen om met een grondige oplossing voor het initiële probleem te komen. Mocht de oorspronkelijke update enige bescherming bieden en is misbruik mogelijk, dan zal het ZDI in deze gevallen de details na zestig dagen openbaar maken. In alle andere gevallen zullen details over onvolledige updates na negentig dagen worden geopenbaard. Het ZDI zegt "failed patches" ook nauwlettender in de gaten te zullen houden, waarop het de deadline mogelijk verder zal aanpassen.

Zoom-kwetsbaarheid geeft lokale aanvaller volledige controle over systeem

Kwetsbaarheden in de populaire videoconferentiesoftware Zoom maken het mogelijk voor een lokale aanvaller of standaardgebruiker om volledige controle over macOS-systemen te krijgen. Zoom heeft beveiligingsupdates uitgebracht om de problemen te verhelpen. Het initiële beveiligingslek (CVE-2022-28751) bevindt zich in het updateproces van Zoom voor macOS en zorgt ervoor dat een aanvaller die al toegang tot het systeem heeft of een standaardgebruiker op eenvoudige wijze rootrechten kan krijgen. Het beveiligingslek werd gevonden door beveiligingsonderzoeker Patrick Wardle, die zijn bevindingen afgelopen vrijdag tijdens de DefCon-conferentie in Las Vegas demonstreerde. De updatefunctie van Zoom controleert of aangeboden updates wel door Zoom zijn gesigneerd. De controle die Zoom uitvoerde was eenvoudig te misleiden door de updater een bestand aan te bieden met dezelfde naam als het Zoom-certificaat. Hierdoor zou een aanvaller de updater eenvoudig malware kunnen laten uitvoeren en zo rootrechten krijgen. Wardle waarschuwde Zoom afgelopen december voor de kwetsbaarheid. Het softwarebedrijf kwam vervolgens met een update, maar die bleek een andere bug te bevatten waardoor de initiële kwetsbaarheid weer was te misbruiken. Het bleek mogelijk om via de Zoom-tool updater.app een oude, kwetsbare versie van zoom te installeren, waarna de initiële kwetsbaarheid weer was te misbruiken om root te worden. De onderzoeker wachtte vervolgens acht maanden met het publiceren van zijn onderzoek, zo laat de onderzoeker tegenover The Verge weten. Tijdens zijn presentatie van zijn bevindingen presenteerde Wardle ook een andere kwetsbaarheid in de Zoom-installer waardoor het voor een aanvaller wederom mogelijk was om de updater malware te laten installeren, waarbij de malafide code met de rechten van de updater werd uitgevoerd. Wardle gaf zijn presentatie op vrijdag en Zoom kwam zaterdag met een update voor het beveiligingslek aangeduid als CVE-2022-28756. De impact van beide kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 8.8 en heeft van Zoom het label "high" gekregen. Gebruikers wordt aangeraden om te updaten naar Zoom Client for Meetings voor macOS versie 5.11.5.

Achtduizend onbeveiligde VNC-servers vanaf internet toegankelijk

Op internet zijn meer dan achtduizend VNC-servers te vinden die zonder authenticatie toegankelijk zijn, waardoor aanvallers eenvoudig van deze systemen misbruik kunnen maken, zo stelt securitybedrijf Cybleop basis van eigen onderzoek. Virtual Network Computing (VNC) is software om op afstand systemen mee te kunnen bedienen. Het kan bijvoorbeeld worden gebruikt voor beheren van een systeem of het helpen van gebruikers. Onderzoekers van Cyble ontdekten meer dan achtduizend servers waarvan de authenticatie is uitgeschakeld, waardoor iedereen eenvoudig toegang tot deze systemen kan krijgen. De meeste van deze systemen bevinden zich in China, Zweden en de Verenigde Staten. Aanvallers scannen ook actief naar VNC-servers op poort 5900 om aan te vallen, zo blijkt uit het cijfers van het Internet Storm Center. Ook cijfers van Cyble laten dit zien, waarbij de meeste aanvallen afkomstig zijn van Nederlandse ip-adressen. Al jaren geleden waarschuwden onderzoekers voor onbeveiligde VNC-servers op internet. Het aantal onbeveiligde VNC-servers dat nu werd gevonden is lager dan in voorgaande jaren het geval was, maar het gaat nog altijd om systemen van organisaties in de vitale infrastructuur, zoals waterzuiveringsinstallaties, fabrieken en onderzoeksinstellingen. De onderzoekers adviseren dan ook om vitale systemen achter een firewall te plaatsen en de toegankelijkheid van VNC-servers vanaf internet te beperken.

Misbruikmethode openbaar gemaakt voor VMware-kwetsbaarheden

VMware waarschuwt dat er inmiddels een “Proof of Concept” (PoC) publiek beschikbaar is. Deze PoC beschrijft hoe er misbruik gemaakt kan worden van de kwetsbaarheden met als kenmerk CVE-2022-31656 en CVE-2022-31659. Beide kwetsbaarheden zijn verholpen in de door VMware beschikbaar gestelde beveiligingsupdates. Het advies blijft om beschikbare updates zo snel mogelijk te (laten) installeren.

Kritiek beveiligingslek in Exchange laat aanvaller alle mailboxes overnemen

In Microsoft Exchange Server zitten drie kritieke kwetsbaarheden waardoor een aanvaller de mailboxes van alle gebruikers op de server kan overnemen. Vervolgens is het mogelijk om e-mails vanuit de mailboxes te versturen of te lezen en bijlagen te downloaden. Microsoft heeft beveiligingsupdates uitgebracht om de problemen te verhelpen. De drie beveiligingslekken (CVE-2022-21980, CVE-2022- 24516 en CVE-2022-24477) vallen in de categorie "Elevation of Privilege" (EoP). Via dergelijke kwetsbaarheden kan een aanvaller die al toegang tot een systeem heeft zijn rechten verhogen. Aangezien een aanvaller bij EoP-lekken geauthenticeerd moet zijn wordt de impact van dergelijke kwetsbaarheden vaak lager ingeschaald dan beveiligingslekken waarmee systemen op afstand zijn over te nemen. Ook in het geval van de drie Exchange-lekken moet een aanvaller zich op de Exchange-server kunnen authenticeren. Toch heeft Microsoft de drie kwetsbaarheden als kritiek beoordeeld. In het verleden is gebleken dat aanvallers bijvoorbeeld door middel van phishing de benodigde inloggegevens van gebruikers kunnen stelen om zich zo bij de server te authenticeren. De impact van de drie kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 8.0 en Microsoft verwacht dat aanvallers er zeer waarschijnlijk misbruik van zullen maken bij aanvallen op organisaties.

Microsoft verhelpt opnieuw zerodaylek in Windows Support Diagnostic Tool

Tijdens de patchdinsdag van augustus heeft Microsoft opnieuw een zerodaylek in de Windows Support Diagnostic Tool ((MSDT) verholpen. Al voor het uitkomen van de beveiligingsupdate werd er misbruik gemaakt van de kwetsbaarheid, aangeduid als CVE-2022-34713. Eerder dit jaar maakten aanvallers ook al gebruik van een zerodaylek in MSDT voor het uitvoeren van aanvallen. Die kwetsbaarheid (CVE-2022-30190) werd op 14 juni gepatcht. Via de diagnostische tool is het mogelijk om Windowsproblemen vast te stellen. De kwetsbaarheid maakt het mogelijk voor een aanvaller om willekeurige code op systemen uit te voeren door MSDT via een url-protocol aan te roepen. Dit is bijvoorbeeld mogelijk vanuit een applicatie zoals Word, waarbij alleen het openen van een malafide document volstaat. Eenmaal geopend kan een aanvaller vanuit het malafide document de diagnostische tool op het systeem van de gebruiker aanroepen en zo willekeurige code uitvoeren met de rechten van de ingelogde gebruiker. Een gebruiker zou nog wel eerst moeten worden verleid om bijvoorbeeld een speciaal geprepareerd Word-document te openen. Het is op dit moment nog onduidelijk of de kwetsbaarheid het gevolg is van een onvolledige patch die Microsoft in juni uitrolde of dat het om een geheel nieuw probleem gaat. Organisaties en gebruikers worden opgeroepen om de update zo snel mogelijk te installeren. Op de meeste systemen zal dit automatisch gebeuren.

Amerikaans alarmeringssysteem kwetsbaar voor aanval met nepberichten

Verschillende kwetsbaarheden in de software gebruikt voor het Amerikaanse alarmeringssysteem EAS maakt het mogelijk om nepberichten via radio- en tv-stations naar het publiek te versturen. De Amerikaanse overheid heeft nu een waarschuwing gegeven en roept overheidsinstanties op om de software te updaten. De problemen zijn aanwezig in het Emergency Alert System (EAS). Een nationaal alarmeringssysteem waarmee de autoriteiten publiek in de VS bijvoorbeeld voor natuurrampen en vermiste kinderen kunnen waarschuwen. Ook kan de Amerikaanse president het systeem gebruiken om de natie toe te spreken. De voor het versturen van de berichten gebruikte EAS-apparatuur bevat meerdere kwetsbaarheden waardoor een aanvaller EAS-waarschuwingen via radio, tv en kabelnetwerken kan uitzenden, aldus een waarschuwing van het Amerikaanse Federal Emergency Management Agency (FEMA). De problemen werden ontdekt door beveiligingsonderzoeker Ken Pyle, die tijdens de DEFCON 2022 conferentie in Las Vegas meer details over de kwetsbaarheden zal geven. Hij stelt dat een aanvaller ook legitieme gebruikers kan buitensluiten. Het FEMA roept overheidsinstanties nu op om hun EAS-apparatuur te updaten. Hoeveel EAS-installaties nog kwetsbaar zijn is onbekend. Voor zover bekend hebben aanvallers nog geen misbruik van het beveiligingslek gemaakt, zo meldt CNN.

Cisco vpn-routers via kritieke kwetsbaarheid in webinterface over te nemen

Een kritieke kwetsbaarheid in vpn-routers van Cisco maakt het mogelijk voor aanvallers om de apparaten op afstand volledig over te nemen of te laten herstarten waardoor een denial-of-service ontstaat, zo waarschuwt de netwerkfabrikant die beveiligingsupdates heeft uitgebracht om het probleem te verhelpen. Het beveiligingslek, aangeduid als CVE-2022-20842, is aanwezig in de webinterface van Cisco Small Business RV-routers RV340, RV340W, RV345 en RV345P. De webinterface blijkt gebruikersinvoer niet goed te controleren. Door het versturen van een speciaal geprepareerd http packet kan een ongeauthenticeerde aanvaller willekeurige code met rootrechten uitvoeren, wat inhoudt dat er volledige controle over het apparaat is. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Daarnaast is Cisco ook met een update voor een andere kritieke kwetsbaarheid gekomen (CVE-2022-20827) die in de webfilter-database van verschillende modellen vpn-routers aanwezig is (RV160, RV160W, RV260, RV260P, RV260W, RV340, RV340W, RV345 en RV345P). Ook via dit beveiligingslek kan een ongeauthenticeerde aanvaller op afstand willekeurige code met rootrechten uitvoeren. De impactscore is met een 9.0 iets lager beoordeeld. Cisco roept organisaties op om de beschikbaar gestelde updates te installeren.

Kritieke rsync-kwetsbaarheid maakt aanval door malafide servers mogelijk

Gebruikers van de populaire back-up- en synchronisatiesoftware rsync zijn gewaarschuwd voor een kritieke kwetsbaarheid in de software waardoor een malafide server of man-in-the-middle-aanvaller willekeurige bestanden kan schrijven in directories van clients die verbinding maken. Het probleem wordt veroorzaakt door onvoldoende controle in een functie van rsync waardoor de server kan bepalen welke bestanden en directories er naar de client worden gestuurd. Daardoor is het mogelijk voor een malafide rsync-server of man-in-the-middle-aanvallers om kritieke bestanden in de rsync-directory en -subdirectories te overschrijven, zoals het .ssh/authorized_keys bestand. Volgens onderzoekers van securitybedrijf Prodaft die het probleem ontdekten lijkt de nu gevonden kwetsbaarheid (CVE-2022-29154) erg op een beveiligingslek dat begin 2019 in OpenSSH werd gevonden en het ook mogelijk maakte om bestanden bij clients te overschrijven. Het probleem speelt in versies voor rsync 3.2.5. Er is inmiddels een prelease van 3.2.5 uitgebracht, maar verschillende lezers van Hacker News hebben hun twijfels over de gekozen oplossing van de rsync-ontwikkelaars.

VMware roept organisaties op om kritieke kwetsbaarheid direct te patchen

VMware roept bedrijven en organisaties op om een beveiligingsupdate die gisteren verscheen voor een kritieke kwetsbaarheid in verschillende producten direct te installeren. Het beveiligingslek, aangeduid als CVE-2022-31656, maakt het mogelijk voor een aanvaller om zonder in te loggen beheerderstoegang te krijgen. Het gaat om een zogenaamde "authentication bypass" die aanwezig is in VMware Workspace ONE Access, Identity Manager en vRealize Automation. Workspace One is een platform waarmee organisaties apps op smartphones, tablets en laptops kunnen installeren en beheren. Kwetsbaarheden in de software zijn in het verleden vaker misbruikt voor aanvallen. Zo waarschuwde VMware afgelopen april nog voor een actief aangevallen lek in Workspace ONE. De impact van de kritieke kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. VMware stelt dan ook dat organisaties de nu beschikbaar gestelde patch direct moeten installeren om zich tegen mogelijke aanvallen te beschermen. Voor zover bekend wordt er nog geen misbruik van het beveiligingslek gemaakt, dat werd ontdekt en gerapporteerd door beveiligingsonderzoeker Petrus Viet. Viet laat via Twitter weten dat hij binnenkort met een technische writeup van de kwetsbaarheid komt en een proof-of-concept exploit. Daarmee wordt het eenvoudiger voor aanvallers om nog kwetsbare installaties aan te vallen. Om misbruik van het lek te maken heeft een aanvaller alleen toegang nodig tot de gebruikersinterface van de kwetsbare producten. VMware heeft ook verschillende andere beveiligingslekken in de producten verholpen, maar daarvan is de impact kleiner.

Miljoenen Androidtelefoons kwetsbaar voor aanval via bluetooth

Miljoenen Androidtelefoons zijn kwetsbaar voor een aanval via bluetooth waarbij een aanvaller het toestel op afstand kan overnemen. Volgens Google gaat het om een kritiek beveiligingslek. Het techbedrijf heeft beveiligingsupdates voor Android 12 en 12L uitgebracht om het probleem te verhelpen. Elke maand komt Google met beveiligingsupdates voor Android. Tijdens de patchronde van augustus zijn er in totaal 37 kwetsbaarheden in het platform verholpen. Eén van deze beveiligingslekken, in Android System, is aangemerkt als kritiek. Het gaat om een kwetsbaarheid aangeduid als CVE-2022-20345 die "remote code execution" via bluetooth mogelijk maakt, waarbij een aanvaller geen aanvullende uitvoerrechten nodig heeft. Verdere details over de kwetsbaarheid, zoals hoe een aanvaller er precies misbruik van kan maken en in welke Androidversies het probleem aanwezig is, zijn niet door Google gegeven. Het lek is verholpen in Android 12 en 12L. De overige 36 kwetsbaarheden hebben een lagere impact en maken het mogelijk voor malafide apps en aanvallers met toegang tot het systeem om hun rechten te verhogen of op afstand informatie te stelen. Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de augustus-updates ontvangen zullen '2022-08-01' of '2022-08-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van augustus aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 10, 11, 12 en 12L. Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.

Miljoenen Arris glasvezel- en dsl-routers kwetsbaar door path traversal

Een beveiligingsonderzoeker heeft in dsl- en glasvezelrouters van fabrikant Arris, alsmede routers die Arris-firmware gebruiken, een path traversal-kwetsbaarheid ontdekt waardoor een ongeauthenticeerde aanvaller op afstand allerlei gevoelige informatie zoals wachtwoorden kan stelen. De Arris-routers worden door internetproviders aan hun abonnees uitgeleend. Volgens onderzoeker Derek Abdine lopen miljoenen routers risico. Bij path traversal is het mogelijk voor een aanvaller om toegang tot mappen en bestanden te krijgen waar hij eigenlijk geen toegang toe zou moeten hebben. Het beveiligingslek dat Abdine ontdekte, aangeduid als CVE-2022-31793, is aanwezig in de muhttpd-webserver waar routers van Arris en andere fabrikanten gebruik van maken. De laatste versie van muhttpd, voor het uitkomen van de beveiligingsupdate die het probleem verhelpt, dateert van 2010. De path traversal-kwetsbaarheid is al sinds 2006 in de code van muhttpd aanwezig en in de allereerste versie van de Arris-firmware en afgeleide firmware. Een ongeauthenticeerde aanvaller kan door het path traversal-lek in de webserver elk bestand op de router opvragen door een enkel karakter voor het opgevraagde path te plaatsen. Misbruik is dan ook eenvoudig, aldus Abdine. Een aanvaller kan zo het wifi-wachtwoord en netwerknaam van de router achterhalen, alsmede het remote adminwachtwoord, het lokale adminwachtwoord, SIP-inloggegevens wanneer er van VoIP gebruik wordt gemaakt, inloggegevens voor het TR-069-configuratieprotocol dat de internetprovider gebruikt, informatie over portforwarding en andere gevoelige data. Abdine ontdekte 19.000 kwetsbare Arris-routers die direct vanaf internet toegankelijk zijn. Het grootste deel daarvan is inmiddels gepatcht. Voor een aanval op afstand moet remote administration zijn ingeschakeld. De aanval is echter ook vanaf het lokale netwerk (LAN) uit te voeren. Arris werd op 6 april ingelicht en meldde op 9 mei dat een update was ontwikkeld. Ook de ontwikkelaar van muhttpd heeft een update uitgebracht. Het probleem met kwetsbare routers kan echter nog jaren aanhouden, waarschuwt Abdine. "Aangezien de firmware wijdverbreid is en elke provider zijn eigen firmware-updates beheert, is het waarschijnlijk dat dit probleem nog jaren zal bestaan." Hoewel de routers die de onderzoeker ontdekte inmiddels nagenoeg allemaal zijn gepatcht, kan het zijn dat er nog andere kwetsbare routers op internet zijn te vinden. Gebruikers wordt aangeraden om de webserver te stoppen of die voor onbetrouwbare netwerken te firewallen. Verder wordt geadviseerd om remote management uit te schakelen.