Kwetsbaarheden CVE's

2024 | 2023 | 2022 | 2021

december | november | oktober | september | augustus | juli | juni | mei | april | maart | februari | januari

Kwetsbaarheden nieuws

Risico voor 200.000 WordPress-sites door zerodaylek in plug-in

Meer dan 200.000 WordPress-sites lopen vanwege een actief aangevallen zerodaylek risico om door aanvallers te worden overgenomen. Een beveiligingsupdate voor de kritieke kwetsbaarheid in de Ultimate Member-plug-in is nog niet beschikbaar. Beheerders wordt dan ook aangeraden om de plug-in direct uit te schakelen, zo stelt securitybedrijf Wordfence. Ultimate Member is een "profile & membership" plug-in waarmee WordPress-sites gebruikers en abonnementen kunnen beheren, bijvoorbeeld voor online communities. Zo is het mogelijk om bepaalde content alleen voor betalende gebruikers beschikbaar te maken. De plug-in is volgens cijfers van WordPress zelf op meer dan 200.000 websites actief. Een kritieke kwetsbaarheid in de plug-in (CVE-2023-3460) maakt het mogelijk voor een ongeauthenticeerde aanvaller om zich als beheerder te registreren en zo volledige controle over de website te krijgen. Het probleem doet zich voor bij het registratieformulier van de plug-in. In dit formulier blijkt het mogelijk om bepaalde waardes voor het te registreren account te wijzigen. Het gaat onder andere om de "wp_capabilities" waarde, die de rol van de gebruiker op de website bepaalt. De plug-in staat niet toe dat gebruikers deze waarde opgeven, maar dit filter blijkt eenvoudig te omzeilen waardoor het toch mogelijk is om wp_capabilities te wijzigen en zo beheerder te worden. Een update is zoals gezegd niet beschikbaar. Gebruikers wordt dan ook opgeroepen de plug-in te verwijderen totdat een patch beschikbaar is. De impact van het zerodaylek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.

Trellix lost bugs op die Office-apps breken na juni Windows-updates

Cyberbeveiligingsbedrijf Trellix heeft een incompatibiliteitsprobleem aangepakt dat ervoor zorgde dat de Exploit Guard-module van Endpoint Security Agent sommige Microsoft Office- en externe apps blokkeerde na het installeren van de cumulatieve updates van juni 2023. Dit probleem deed zich voor bij 32-bits apps die werden uitgevoerd op 64-bits Windows met een eerdere versie van Trellix Endpoint Security. Bekende getroffen apps zijn onder andere Microsoft Outlook en andere Microsoft Office-apps. Het probleem werd ook veroorzaakt door de anti-exploit module van andere beveiligingssoftware, zoals Malwarebytes, Cisco en WatchGuard, die ook Google Chrome brak na het installeren van de cumulatieve updates. Klanten van Cisco werd geadviseerd om de anti-exploit-bescherming uit te schakelen of Google Chrome als standaard webbrowser in te stellen totdat er een oplossing beschikbaar is. Microsoft moet nog erkennen dat andere beveiligingssoftware ook problemen veroorzaakt na de laatste Windows-updates.

Exploit vrijgegeven voor nieuwe Arcserve UDP-auth bypass-kwetsbaarheid, waardoor cybercriminelen beheerdersrechten kunnen verkrijgen

Gegevensbeschermingsleverancier Arcserve heeft een ernstige beveiligingsfout aangepakt in zijn Unified Data Protection (UDP) back-upsoftware. De kwetsbaarheid stelt aanvallers in staat om authenticatie te omzeilen en beheerdersrechten te verkrijgen. Arcserve heeft UDP 9.1 uitgebracht om het beveiligingslek op te lossen. De bug werd ontdekt en gemeld door beveiligingsonderzoekers van het rode team van MDSec. De fout maakt het mogelijk voor aanvallers op het lokale netwerk om toegang te krijgen tot de beheerderinterface door eenvoudig te decoderen beheergegevens vast te leggen. Hierdoor kunnen bedreigingsactoren gegevens vernietigen door back-ups te wissen tijdens ransomware-aanvallen. MDSec heeft ook proof-of-concept exploits en tools gedeeld waarmee scans kunnen worden uitgevoerd om kwetsbare Arcserve UDP-instanties te vinden en inloggegevens op te halen en te decoderen. Het is belangrijk om de patch te installeren om misbruik door cybercriminelen te voorkomen.

NPM-ecosysteem loopt risico op "Manifest Confusion" -aanvallen door beveiligingslek

Het NPM-register, dat wordt gebruikt voor het beheren van JavaScript-pakketten in de Node.js-omgeving, kampt met een beveiligingslek genaamd "Manifest Confusion". Dit lek ondermijnt de betrouwbaarheid van pakketten en stelt aanvallers in staat om malware te verbergen in afhankelijkheden of kwaadaardige scripts uit te voeren tijdens de installatie. Het probleem doet zich voor wanneer er een inconsistentie is tussen de manifestgegevens die worden weergegeven in het NPM-register en de daadwerkelijke informatie in het 'package.json'-bestand van het geïnstalleerde pakket. Dit maakt het mogelijk voor bedreigingsactoren om de manifestgegevens te wijzigen en afhankelijkheden en scripts te verbergen. Het beveiligingslek heeft invloed op de hele NPM-gemeenschap en alle belangrijke pakketbeheerders. Tot nu toe is er weinig gedaan om het probleem aan te pakken, en ontwikkelaars worden geadviseerd om handmatig de 'package.json' te controleren voor nauwkeurige informatie over versies, afhankelijkheden en scripts. Het is belangrijk dat GitHub, de eigenaar van NPM, een plan ontwikkelt om dit probleem op te lossen en de consistentie tussen manifestgegevens en pakketinformatie te waarborgen.

Microsoft brengt optionele KB5027293-update uit voor Windows 10 22H2 met 3 nieuwe functies en 14 wijzigingen

Microsoft heeft de optionele KB5027293 Preview cumulatieve update uitgebracht voor Windows 10 22H2. Deze update bevat drie nieuwe functies en 11 extra fixes of wijzigingen. Het is voornamelijk een onderhoudsrelease die verschillende bugs oplost, zoals crashes en netwerkverbindingsproblemen. De twee nieuwe bedrijfsfuncties zijn de mogelijkheid om apparaten met geweld vrij te geven van isolatie in Microsoft Defender en de mogelijkheid om je te verifiëren in Microsoft-clouds, inclusief voorwaardelijke toegangscontroles. Daarnaast zijn er verbeteringen aangebracht in verschillende vereenvoudigde Chinese lettertypen en het Microsoft Pinyin Input Method Editor (IME). De update ondersteunt nu GB18030-2022 en biedt toegang tot bepaalde karakters in de Standard Chinese Characters List. Microsoft heeft ook drie bugs opgelost die de authenticatie met Active Directory verhinderden. Let op: er is een aanhoudend probleem waarbij Windows-installaties gemaakt van offline media of ISO-afbeeldingen Microsoft Edge Legacy verwijderen, maar niet vervangen door de nieuwe moderne Microsoft Edge. Gedetailleerde instructies en een volledige lijst met fixes zijn te vinden in de KB5027293-ondersteuningsbulletin.

Kwetsbaarheid in populaire WordPressplug-in maakt aanvaller in staat om adminwachtwoord te resetten

Een kwetsbaarheid in een populaire "Learning Management System" (LMS) plug-in voor WordPress maakt het mogelijk voor een aanvaller om het wachtwoord van elke gebruiker te resetten, waaronder de beheerder. LearnDash LMS is een plug-in die op meer dan 100.000 websites is geïnstalleerd en het mogelijk maakt een online leeromgeving op te zetten met cursussen en trainingen. Een IDOR-kwetsbaarheid maakt het mogelijk voor aanvallers om het wachtwoord van elke willekeurige wachtwoord te wijzigen. IDOR staat voor Insecure Direct Object Reference (IDOR) en doet zich bijvoorbeeld voor wanneer een webapplicatie of API een identifier gebruikt om een object in een database op te vragen zonder authenticatie of andere vorm van toegangscontrole. Zo kan een gebruiker door het aanpassen van bepaalde data toegang tot de gegevens van andere gebruikers krijgen. Ondanks de eenvoud van IDOR-kwetsbaarheden komen die nog altijd geregeld voor. In het geval van LearnDash LMS biedt de plug-in de optie voor gebruikers om via een webformulier hun wachtwoord te wijzigen. Daarbij wordt er een e-mail met resetlink en "activation key" verstuurd. De link wijst weer naar een pagina om het wachtwoord op de WordPress-site te resetten. De plug-in controleert alleen bij het laden van de resetpagina of de activation key bij de betreffende gebruiker hoort. Bij het uitvoeren van de wachtwoordreset blijkt de plug-in de activation key niet te controleren en is het mogelijk om een andere gebruiker op te geven waarvan het wachtwoord wordt gewijzigd. De kwetsbaarheid is aanwezig in versie 4.6.0 en eerder en werd gevonden door securitybedrijf Wordfence. Dat waarschuwde de ontwikkelaar op 5 juni, die op 6 juni met een update kwam. Wordfence heeft vandaag de details van de kwetsbaarheid openbaar gemaakt. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 8.8.

Zyxel NAS-apparaten blootgesteld aan actieve aanvallen vanwege ernstig beveiligingslek

De Amerikaanse autoriteiten melden actief misbruik van een kritieke kwetsbaarheid in NAS-apparaten van fabrikant Zyxel. Een beveiligingsupdate verscheen op 20 juni. Nog geen drie dagen later werd het eerste misbruik al waargenomen, aldus het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Dat heeft federale overheidsinstanties die met Zyxel NAS-apparaten werken opgeroepen om de update voor 14 juli te installeren. De kwetsbaarheid in de NAS-apparaten, aangeduid als CVE-2023-27992, maakt "pre-authentication command injection" mogelijk, waardoor een aanvaller systeemcommando's op het NAS-apparaat kan uitvoeren, waarbij inloggegevens niet zijn vereist. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het probleem is aanwezig in de Zyxel NAS326, NAS540 en NAS542. Voor deze modellen is versie 5.21 van de firmware verschenen. De kwetsbaarheid werd door drie verschillende partijen aan Zyxel gerapporteerd. Het CISA houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren. De lijst, die inzicht geeft in kwetsbaarheden waarvan aanvallers misbruik maken, wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. De nieuwste update van de lijst bevat onder andere CVE-2023-27992. Het CISA heeft echter geen details over de aanvallen gegeven.

Grafana waarschuwt voor kritieke authenticatie-omzeiling als gevolg van Azure AD-integratie

Grafana heeft beveiligingsupdates uitgebracht voor meerdere versies van de applicatie, waarbij een kwetsbaarheid wordt aangepakt die aanvallers in staat stelt om de authenticatie te omzeilen en controle over te nemen van elk Grafana-account dat Azure Active Directory gebruikt voor authenticatie. De kwetsbaarheid maakt het mogelijk dat bedreigingsactoren Azure AD-accounts aanmaken met hetzelfde e-mailadres als legitieme Grafana-gebruikers, waardoor ze de accounts kunnen overnemen. De aanbevolen versies om te upgraden zijn onder andere Grafana 10.0.1 en later. Voor gebruikers die hun Grafana-instanties niet kunnen upgraden, worden beperkende maatregelen aanbevolen, zoals het registreren van een enkelvoudige tenant-applicatie in Azure AD en het toevoegen van een "allowed_groups"-configuratie om aanmeldingspogingen te beperken tot leden van een witte lijst van groepen. Grafana Cloud is al gepatcht naar de nieuwste versies. Het advies van Grafana bevat ook richtlijnen voor het omgaan met problemen die kunnen ontstaan door wijzigingen in de nieuwste patch.

Kritiek lek stelt ongeauthenticeerde aanvallers in staat Fortinet FortiNAC op afstand over te nemen

Een kritieke kwetsbaarheid maakt het mogelijk voor ongeauthenticeerde aanvallers om de Fortinet FortiNAC-systemen op afstand over te nemen. Fortinet heeft beveiligingsupdates uitgebracht om het probleem te verhelpen. Organisaties worden opgeroepen de update snel te installeren. Eerder dit jaar werd een andere kwetsbaarheid een week na het uitkomen van de beveiligingsupdate al misbruikt. Fortinet FortiNAC is een "network access control" oplossing waarmee organisaties kunnen bepalen welke apparaten toegang tot het netwerk mogen krijgen. Ook geeft de oplossing een overzicht van alle apparaten op het netwerk, bepaalt het risico van elk endpoint en biedt netwerksegmentatie. Zo kunnen organisaties instellen dat alleen apparaten met een bepaald patchniveau verbinding mogen maken. FortiNAC kan worden geïnstalleerd op een virtual machine of fysieke server. Een kwetsbaarheid in het product, aangeduid als CVE-2023-33299, maakt het mogelijk voor ongeauthenticeerde aanvallers door het versturen van speciaal geprepareerde requests willekeurige code of commando's op het systeem uit te voeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.6.

Microsoft Teams-bug maakt levering van malware via externe accounts mogelijk

Beveiligingsonderzoekers hebben een eenvoudige manier ontdekt om malware bij Microsoft Teams aan een organisatie te leveren, ondanks beperkingen in de applicatie voor bestanden van externe bronnen. De bug stelt aanvallers in staat om een kwaadaardige lading rechtstreeks naar een doelinbox te sturen, zelfs met de standaardconfiguratie van Microsoft Teams. De onderzoekers vonden een manier om de beperkingen te omzeilen door de interne en externe ontvanger-ID te wijzigen in het POST-verzoek van een bericht. Dit stelt hen in staat om de externe gebruiker voor te stellen als een interne gebruiker. De aanval omzeilt bestaande beveiligingsmaatregelen en advies over antiphishing-training, waardoor elke organisatie die Microsoft Teams gebruikt met de standaardconfiguratie kwetsbaar is voor infectie. Microsoft heeft bevestigd dat de kwetsbaarheid bestaat, maar heeft aangegeven dat er geen onmiddellijke actie wordt ondernomen om het probleem op te lossen. Organisaties die geen regelmatige communicatie met externe huurders nodig hebben, wordt geadviseerd om deze functie uit te schakelen.

VMware verhelpt ernstige beveiligingslekken in vCenter Server die code-uitvoering en authenticatieomzeiling mogelijk maken

VMware heeft verschillende ernstige beveiligingslekken aangepakt in vCenter Server, het controlecentrum voor VMware's vSphere-suite. Deze kwetsbaarheden stellen aanvallers in staat om code-uitvoering te verkrijgen en authenticatie te omzeilen op systemen die niet zijn gepatcht. De beveiligingsbugs zijn gevonden in de DCE/RPC-protocolimplementatie die door vCenter Server wordt gebruikt, waardoor een naadloze werking op meerdere systemen mogelijk is door een virtuele uniforme computeromgeving te creëren. VMware heeft vandaag beveiligingsupdates uitgebracht voor vier ernstige kwetsbaarheden, waaronder heap-overflow, use-after-free, out-of-bounds gelezen en buiten de perken schrijven gebreken. Deze lekken kunnen worden misbruikt door niet-geverifieerde aanvallers met netwerktoegang om code-uitvoering te verkrijgen zonder interactie met de gebruiker, wat kan leiden tot totaal verlies van vertrouwelijkheid, integriteit en beschikbaarheid. VMware heeft aangegeven dat een kwaadaardige acteur met netwerktoegang tot vCenter Server willekeurige code kan uitvoeren op het onderliggende besturingssysteem. Door deze kwetsbaarheden kunnen bedreigingsactoren ook lees- en geheugenbeschadiging veroorzaken, waardoor ze authenticatie op niet-gepatchte vCenter Server-apparaten kunnen omzeilen. Het is essentieel dat gebruikers de nieuwste beveiligingsupdates installeren om zichzelf te beschermen tegen mogelijke aanvallen.

Spyware verspreid via iMessage aangepakt door Apple met zeroday-oplossingen

Apple heeft vanavond meerdere actief aangevallen zerodaylekken in iOS en macOS verholpen die volgens antivirusbedrijf Kaspersky de afgelopen jaren zijn gebruikt om iPhones met spyware infecteren. Bij de "zeroclick-aanval" op iPhones werd gebruikgemaakt van een onzichtbare iMessage met een malafide bijlage, die verschillende kwetsbaarheden in iOS gebruikt voor het installeren van spyware. Voor de aanval is geen enkele interactie van gebruikers vereist, vandaar ook de naam zeroclick. Vervolgens verstuurt de spyware privégegevens naar de aanvallers. Het gaat om opnames via de microfoon, foto's van chatapps, locatiegegevens en data over verschillende andere activiteiten van de eigenaar van de besmette iPhone. Eerder vandaag kwam Kaspersky al met meer informatie over de spyware. Die wordt geïnstalleerd nadat de aanvallers, door misbruik te maken van een kwetsbaarheid in de kernel, rootrechten op de iPhone hebben gekregen. Verder draait de spyware volledig in het geheugen van de telefoon, wat inhoudt dat die volledig wordt verwijderd na het herstarten van de telefoon. In het geval de telefoon niet wordt herstart zal de spyware zichzelf na dertig dagen verwijderen, tenzij de aanvallers deze periode verlengen. Kaspersky ontdekte de zerodaylekken nadat het verdacht verkeer op het eigen netwerk waarnam. Telefoons van allerlei managers en directieleden bleken geinfecteerd te zijn, aldus de virusbestrijder, die kwetsbaarheden aan Apple rapporteerde. Dat heeft nu updates uitgebracht. Het gaat om een kwetsbaarheid in de kernel (CVE-2023-32434) waardoor een malafide app willekeurige code met kernelrechten kan uitvoeren, waardoor volledige controle over de telefoon mogelijk is. Daarnaast is een beveiligingslek aangeduid als CVE-2023-32435 gerepareerd. Deze kwetsbaarheid bevindt zich in WebKit, de door Apple ontwikkelde browser-engine. Alle browsers op iOS en iPadOS zijn verplicht om van WebKit gebruik te maken. Door het verwerken van malafide content kan een aanvaller willekeurige code uitvoeren. Daarnaast is er ook nog een derde zeroday door Apple verholpen. Dit beveiligingslek, CVE-2023-32439, bevindt zich ook in de WebKit en is volgens Apple ook actief misbruikt. De naam van de onderzoeker die dit probleem rapporteerde is niet openbaar gemaakt. De beveiligingslekken zijn verholpen in iOS 15.7.7 en iPadOS 15.7.7 en iOS 16.5.1 en iPadOS 16.5.1. Daarnaast zijn er ook updates voor macOS verschenen waarmee de kwetsbaarheden worden verholpen. Zo zijn CVE-2023-32434 en CVE-2023-32439 in macOS Ventura 13.4.1 opgelost. In macOS Big Sur en macOS Monterey is alleen de kwetsbaarheid in de kernel gepatcht. Gebruikers wordt opgeroepen om naar de nieuwste versie van hun OS te updaten.

Beveiligingslekken in Enphase Envoy genegeerd door fabrikant, meldt CISA

Enphase Energy, fabrikant van micro-omvormers, energiemonitoring- en energieopslagsystemen, heeft meldingen over verschillende kwetsbaarheden in de producten genegeerd, zo claimt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Via de beveiligingslekken, mede veroorzaakt door een hardcoded wachtwoord, kan een aanvaller gevoelige informatie stelen. De problemen doen zich voor met de Enphase Envoy, een oplossing die de stroomproductie van zonnepanelen meet. Enphase Envoy versie D7.0.88 en eerder zijn kwetsbaar voor command injection, waardoor een aanvaller commando's met rootrechten kan uitvoeren. Daarnaast bevat de Enphase Installer Toolkit voor Android, versie 3.27.0 en eerder, een hardcoded wachtwoord. Met de toolkit is het mogelijk om de Envoy te installeren. Via het hardcoded wachtwoord kan een aanvaller gevoelige gegevens stelen, aldus het CISA. De impact van deze kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 8.6. De command injection kreeg een impactscore van 6.3. Het CISA informeerde Enphase over de kwetsbaarheden, maar het bedrijf wilde niet samenwerken bij het verhelpen van de problemen, aldus de Amerikaans overheidsinstantie. Van de Android-app is inmiddels een nieuwe versie verschenen, maar of die niet meer kwetsbaar is, is onbekend. Op het forum van Enphase hebben gebruikers inmiddels ook vragen gesteld, maar is nog geen antwoord gegeven.

VMware waarschuwt voor actieve aanvallen die gebruikmaken van kritieke vRealize-fouten

VMware heeft een beveiligingsadvies bijgewerkt om klanten te waarschuwen voor een kritieke kwetsbaarheid in vRealize die nu is gepatcht, maar actief wordt misbruikt in aanvallen. Het bedrijf bevestigt dat er al exploits zijn waargenomen en adviseert beheerders om hun VMware Aria Operations Networks 6.x on-prem installaties te patchen. De kwetsbaarheid stelt niet-geverifieerde aanvallers in staat om op afstand willekeurige opdrachten uit te voeren op het onderliggende besturingssysteem als de rootgebruiker. Er zijn geen oplossingen beschikbaar om de aanvalsvector te verwijderen. Een lijst met beveiligingspatches is te vinden op VMware's Customer Connect-website.

Kritieke kwetsbaarheid in Zyxel NAS-apparaten stelt aanvallers in staat om op afstand over te nemen

Een kritieke kwetsbaarheid in NAS-apparaten van fabrikant Zyxel maakt het mogelijk voor een ongeauthenticeerde aanvaller om de apparatuur op afstand over te nemen. Het versturen van een speciaal geprepareerd http-request naar een benaderbare NAS volstaat, interactie van gebruikers is niet vereist. Zyxel heeft firmware-updates uitgebracht om het probleem te verhelpen. De kwetsbaarheid, aangeduid als CVE-2023-27992, maakt "pre-authentication command injection" mogelijk, waardoor een aanvaller systeemcommando's op het NAS-apparaat kan uitvoeren, waarbij inloggegevens niet zijn vereist. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het probleem is aanwezig in de Zyxel NAS326, NAS540 en NAS542. Voor deze modellen is versie 5.21 van de firmware verschenen. De kwetsbaarheid werd door drie verschillende partijen aan Zyxel gerapporteerd.

Malwarebytes lost problemen met Google Chrome op veroorzaakt door Windows 11 KB5027231

Malwarebytes heeft een oplossing uitgebracht voor een bekend probleem waarbij Google Chrome wordt verbroken op systemen van klanten na het installeren van de Windows 11 22H2 KB5027231 cumulatieve update. Het probleem deed zich voor nadat gebruikers de cumulatieve updates van Patch Tuesday van deze maand hadden geïmplementeerd. De anti-exploitmodule van Malwarebytes bleek het laden of crashen van de webbrowser te blokkeren na installatie van de KB5027231-update. Als tijdelijke oplossing adviseerde Malwarebytes klanten om Chrome uit de lijst met beveiligde applicaties in hun Malwarebytes-product te verwijderen. Malwarebytes heeft nu het conflict met de Chrome-webbrowser opgelost op up-to-date Windows 11-systemen. Klanten wordt geadviseerd om de anti-exploitbescherming voor Chrome opnieuw in te schakelen nadat de fix is geïnstalleerd.

Aanvallers kunnen via 'verlaten winkelwagentje' kwetsbaarheden exploiteren bij duizenden webshops

Een kwetsbaarheid in een plug-in waarmee webshops "verlaten winkelwagentjes" beheren maakt het mogelijk voor aanvallers om bij duizenden webwinkels als klant in te loggen. Het beveiligingslek bevindt zich in Abandoned Cart Lite, een plug-in voor WooCommerce, zo laat securitybedrijf Wordfence weten. WooCommerce is een plug-in om van WordPress-sites een webwinkel te maken. De plug-in is op meer dan vijf miljoen WordPress-sites geïnstalleerd. Voor WooCommerce zijn ook weer allerlei plug-ins beschikbaar, waaronder Abandoned Cart Lite. Deze plug-in draait op meer dan 30.000 webwinkels. Wanneer bezoekers van een webshop producten in hun winkelwagentje hebben maar de winkel voor het afrekenen verlaten, is het via Abandoned Cart Lite mogelijk om deze klanten een link naar hun winkelwagentje te sturen, in de hoop dat de klant alsnog de koop afrondt. De plug-in genereert een versleutelde link die naar de gebruiker wordt gestuurd. De hiervoor gebruikte encryptiesleutel is echter hardcoded in de plug-in, waardoor ook aanvallers er toegang toe hebben. Met de encryptiesleutel is het vervolgens mogelijk om het winkelwagen-ID van andere gebruikers op te geven en zo een link te genereren waarmee op het account van deze gebruikers kan worden ingelogd. Het winkelwagen-ID begint bij één en is opeenvolgend, wat het eenvoudig voor aanvallers maakt de aanval uit te voeren. In theorie zou er ook toegang tot het beheerdersaccount kunnen worden verkregen, bijvoorbeeld als de beheerder heeft getest of de plug-in wel naar behoren werkt. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De ontwikkelaar van de plug-in heeft het probleem verholpen in versie 5.15.1, die op 6 juni uitkwam. Toch blijkt uit cijfers van WordPress dat nog duizenden webshops de update niet hebben geïnstalleerd.

Snel handelen vereist: Asus benadrukt urgentie van patchen van router-kwetsbaarheden

Asus heeft gebruikers van verschillende modellen wifi-routers opgeroepen om nieuwe firmware, die meerdere kritieke kwetsbaarheden verhelpt, zo snel mogelijk te installeren. Gebruikers die ervoor kiezen de firmware-update niet te installeren wordt aangeraden om services die toegankelijk vanaf de WAN-kant zijn uit te schakelen. Het gaat dan om zaken als remote access, port forwarding, DDNS, vpn-server, DMZ en port trigger, aldus Asus. In totaal zijn er voor negentien modellen updates verschenen. Die verhelpen meerdere kwetsbaarheden, waarvan er negen een CVE-nummer hebben gekregen. Het gaat onder andere om CVE-2018-1160 , een uit 2000 stammende kwetsbaarheid in Netatalk waarvoor de ontwikkelaar al in 2018 een beveiligingsupdate uitbracht. Via deze kwetsbaarheid is remote code execution mogelijk en kan een aanvaller kwetsbare routers overnemen. Ook een ander beveiligingslek (CVE-2022-26376) in het Asuswrt-besturingssysteem is als kritiek aangemerkt. Naast het verhelpen van de kwetsbaarheden zijn er ook verschillende beveiligingsverbeteringen doorgevoerd, onder andere voor het beveiligen van inloggegevens en firmware-updates die "over the air" (OTA) worden aangeboden. De firmware-updates zijn beschikbaar voor de GT6, GT-AXE16000, GT-AXE11000 PRO, GT-AXE11000, GT-AX6000, GT-AX11000, GS-AX5400, GS-AX3000, ZenWiFi XT9, ZenWiFi XT8, ZenWiFi XT8_V2, RT-AX86U PRO, RT-AX86U, RT-AX86S, RT-AX82U, RT-AX58U, RT-AX3000, TUF-AX6000 en TUF-AX5400.

Organisaties in gevaar: Progress identificeert nieuwe kritieke kwetsbaarheid in MOVEit Transfer

Softwareontwikkelaar Progress waarschuwt organisaties voor een nieuwe kritieke kwetsbaarheid in MOVEit Transfer en stelt dat het "extreem belangrijk" is dat organisaties meteen actie ondernemen en de beschikbaar gestelde beveiligingsupdate installeren. Een ander recent verholpen beveiligingslek in MOVEit leidde tot wereldwijde ransomware-aanvallen waarbij een groot aantal organisaties data werd gestolen. MOVEit Transfer is een applicatie voor het uitwisselen van bestanden. Allerlei organisaties maken er gebruik van om onder andere vertrouwelijke informatie binnen de organisatie te delen. De Clop-ransomwaregroep zou sinds 2021 over een kwetsbaarheid hebben beschikt waarmee het mogelijk is om MOVEit-servers te infecteren en data te stelen. Tijdens het Memorial Day weekend in de Verenigde Staten vorige maand vond er grootschalig misbruik van het lek plaats. Voor dit beveiligingslek, aangeduid als CVE-2023-34362, kwam Progress eind mei met een update. Naar aanleiding van de wereldwijde aanvallen schakelde Progress securitybedrijf Huntress in, wat op 9 juni tot de ontdekking van een nieuwe kritieke kwetsbaarheden leidde. Gisterenavond kwam het softwarebedrijf opnieuw met een waarschuwing voor een nieuw kritiek lek in MOVEit Transfer. Ook via deze kwetsbaarheid, die nog geen CVE-nummer heeft, is ongeautoriseerde toegang tot de omgeving mogelijk. Vanwege de impact moeten organisaties meteen actie ondernemen en de update installeren, aldus de advisory. Gisteren werd bekend dat ook Shell één van de getroffen organisaties is. Eerder maakten de BBC, de Britse apothekersketen Boots, British Airways, de Britse toezichthouder Ofcom en Transport for London melding van een datalek als gevolg van de aanval. Landal GreenParks waarschuwde 12.000 gasten voor een mogelijk datalek.

Kwetsbaarheid in betaalplug-in onthult bestelgegevens van duizenden webwinkels

Een recent ontdekte kwetsbaarheid in een veelgebruikte betaalplug-in stelt aanvallers in staat om de bestelgegevens van klanten bij meer dan honderdduizend webwinkels te achterhalen. De kwetsbaarheid bevindt zich in de WooCommerce Stripe Payment Gateway, die wordt gebruikt voor betalingen op WordPress-webwinkels. De plug-in, ontwikkeld door WooCommerce, draait op meer dan 900.000 webshops. Het beveiligingslek, een unauthenticated Insecure Direct Object Reference (IDOR) kwetsbaarheid, maakt het mogelijk voor ongeauthenticeerde gebruikers om de gegevens van klanten in te zien. Ondanks de beschikbaarheid van een update om het probleem op te lossen, hebben veel webwinkels de patch nog niet geïnstalleerd. Het is aanbevolen voor webwinkels die WooCommerce Stripe Payment Gateway gebruiken om onmiddellijk de nieuwste versie van de plug-in te installeren om de veiligheid van klantgegevens te waarborgen.

Microsoft verhelpt kwetsbaarheid waardoor Exchange-servers overgenomen kunnen worden

Tijdens de patchdinsdag van juni heeft Microsoft bijna zeventig kwetsbaarheden aangepakt, waaronder een beveiligingslek dat het mogelijk maakt om Exchange-servers over te nemen. Het beveiligingslek, aangeduid als CVE-2023-32031, stelt geauthenticeerde gebruikers in staat om code met systeemrechten uit te voeren, waardoor ze volledige controle over de Exchange-server kunnen krijgen. Om toegang te krijgen, moet de aanvaller geauthenticeerd zijn, wat betekent dat ze bijvoorbeeld toegang moeten hebben tot een e-mailaccount op de server. Deze gegevens kunnen worden verkregen via phishing- of credential stuffing-aanvallen. Opmerkelijk aan dit beveiligingslek is dat het omzeiling mogelijk maakt van twee eerdere updates (CVE-2022-41082 en CVE-2023-21529) die Microsoft heeft uitgebracht voor kwetsbaarheden in Exchange. Volgens het securitybedrijf ZDI heeft dit geleid tot kritiek van zowel Google als ZDI op softwareleveranciers, omdat uitgebrachte beveiligingsupdates niet altijd de hoofdoorzaak aanpakken en gebruikers opnieuw risico lopen. De impact van deze kwetsbaarheid is beoordeeld met een 8.8 op een schaal van 1 tot 10.

Kritiek lek in Google Chrome maakt uitvoering van kwaadaardige code mogelijk

Er is een kritieke kwetsbaarheid ontdekt in Google Chrome die aanvallers in staat stelt om code uit te voeren op systemen van gebruikers, en in het ergste geval deze systemen over te nemen. Het bezoeken van een malafide of gecompromitteerde website, of het bekijken van een besmette advertentie is voldoende om slachtoffer te worden van deze aanvallen, ook wel bekend als drive-by downloads. Google heeft een nieuwe versie van de browser uitgebracht om gebruikers te beschermen tegen deze kwetsbaarheid, aangeduid als CVE-2023-3214. Het beveiligingslek bevindt zich in het onderdeel van Chrome dat gebruikt wordt voor het automatisch invoeren van betaalgegevens op websites. Google heeft niet veel details vrijgegeven, behalve dat de kwetsbaarheid ontdekt en gerapporteerd is door beveiligingsonderzoeker Rong Jian. Het afgelopen jaar zijn er al zes kritieke kwetsbaarheden in Google Chrome gerapporteerd, en dit jaar staat de teller al op drie. Daarnaast zijn er ook andere beveiligingslekken gerepareerd in de nieuwste versie van de browser, met een beoordeling van "high" qua impact. Deze lekken stellen een aanvaller in staat om code binnen de context van de browser uit te voeren en bijvoorbeeld gevoelige informatie van gebruikers te stelen. Beveiligingslekken met het label "high" zijn op zichzelf niet voldoende om een systeem over te nemen, terwijl dit wel mogelijk is met "critical" kwetsbaarheden. Google streeft ernaar om updates voor kritieke kwetsbaarheden binnen dertig dagen uit te rollen naar alle Chrome-gebruikers en maakt de details na zestig dagen openbaar. Gebruikers worden aangeraden om te controleren of ze de nieuwste update hebben geïnstalleerd.

Microsoft verhelpt probleem in Windows 11 dat het kopiëren en opslaan van bestanden beïnvloedt

Microsoft heeft een bekend probleem aangepakt dat intermittente fouten veroorzaakt bij het opslaan en kopiëren van bestanden op Windows 11 22H2-apparaten, vooral bij het werken met netwerkshares. Dit probleem treft alleen Windows-apps die de CopyFile API gebruiken en ook 'large address aware' zijn, volgens Microsoft. Het risico op dit specifieke probleem is hoger bij het gebruik van bepaalde commerciële of enterprise-beveiligingssoftware die gebruikmaakt van uitgebreide bestandskenmerken. Er zijn geen meldingen gedaan van invloed op de functionaliteit van het kopiëren van bestanden binnen de Verkenner, maar specifieke toepassingen die gebruikmaken van de CopyFile API kunnen problemen ondervinden. Gebruikers van Microsoft Office-toepassingen zoals Word en Excel kunnen ook problemen ondervinden met kopiëren en opslaan, maar alleen bij het gebruik van 32-bits versies. In dergelijke gevallen krijgen getroffen gebruikers foutmeldingen te zien met de tekst "Document not saved". Het probleem is opgelost met de KB5027231 Windows 11 cumulatieve update die vandaag is uitgebracht als onderdeel van Patch Tuesday van deze maand. Dit probleem was al opgelost in Windows 10 en Windows 11 21H2 via Known Issue Rollback (KIR), een Windows-functie die foutieve non-security fixes die via Windows Update zijn uitgebracht ongedaan maakt. Windows-beheerders moeten een KIR Group Policy installeren en configureren om de problemen met bestandsoverdracht en opslaan op getroffen enterprise-beheerde apparaten op te lossen. Meer informatie over het implementeren en configureren van KIR Group Policies is beschikbaar op de ondersteuningswebsite van Microsoft.

Windows 11 KB5027231 cumulatieve update uitgebracht met 34 wijzigingen

Microsoft heeft de Windows 11 22H2 KB5027231 cumulatieve update uitgebracht om beveiligingskwetsbaarheden op te lossen en 34 wijzigingen, verbeteringen en bugfixes te introduceren. De update bevat de beveiligingsupdates van Patch Tuesday juni 2023, die 78 kwetsbaarheden en 38 kwetsbaarheden voor het uitvoeren van externe code in verschillende Microsoft-producten oplossen. Enkele van de belangrijkste wijzigingen zijn het oplossen van een probleem met 32-bits apps die grote adresbewustheid hebben en de CopyFile API gebruiken, het weergeven van de volledige opslagcapaciteit van Microsoft OneDrive-abonnementen, de ondersteuning voor Bluetooth Low Energy (LE) Audio, en verbeteringen aan de verteller en het aanraaktoetsenbord. Gebruikers kunnen de update installeren door naar Start > Instellingen > Windows Update te gaan en op 'Controleren op updates' te klikken.

Windows 10 KB5026435 en KB5027215 updates uitgebracht

Microsoft heeft de cumulatieve updates KB5026435 en KB5027215 voor Windows 10 uitgebracht. Deze updates zijn beschikbaar voor versies 22H2, 21H2, 21H1 en 1809 en hebben tot doel problemen op te lossen en nieuwe functies toe te voegen aan het besturingssysteem. De updates bevatten tevens beveiligingsupdates die zijn uitgebracht als onderdeel van de Patch Tuesday van juni 2023. Microsoft zal de updates automatisch installeren in de komende dagen, maar gebruikers kunnen ze ook handmatig installeren door naar Instellingen te gaan, te klikken op 'Windows Update' en vervolgens te kiezen voor 'Controleren op updates'. De belangrijkste wijzigingen die met de KB5027215-update worden doorgevoerd, zijn onder andere een verbeterde zoekervaring in de zoekbalk van de taakbalk van Windows 10. Gebruikers kunnen nu gemakkelijk toegang krijgen tot apps, bestanden, instellingen en meer vanuit Windows en het web. Daarnaast biedt de update ondersteuning voor maximaal drie hoog-prioritaire meldingen tegelijkertijd, naast één normaal-prioritaire melding. De updates bevatten ook verschillende bugfixes, waaronder problemen met de toegang tot tabbladinstellingen voor IE-moduswebsites, installatieproblemen met bepaalde multifunctionele labelprinters en problemen met het tonen en openen van het aanraaktoetsenbord. Een bekend probleem met de update is dat aangepaste offline media of ISO-images mogelijk Microsoft Edge Legacy verwijderen zonder deze te vervangen door de nieuwe moderne versie van de browser. Deze updates dragen bij aan de stabiliteit, beveiliging en functionaliteit van Windows 10 en worden aanbevolen voor gebruikers van de betreffende versies van het besturingssysteem.

Microsoft's Patch Tuesday van juni 2023 repareert 78 gebreken, inclusief 38 RCE-kwetsbaarheden

Vandaag is het Microsoft's Patch Tuesday van juni 2023, met beveiligingsupdates voor 78 gebreken, waaronder 38 kwetsbaarheden voor het uitvoeren van externe code (RCE). Microsoft heeft zes gebreken als 'Kritiek' aangeduid, waaronder kwetsbaarheden voor denial-of-service-aanvallen, externe code-uitvoering en verhoging van rechten. In de lijst van kwetsbaarheden zijn er 17 kwetsbaarheden voor verhoging van rechten, 3 kwetsbaarheden voor het omzeilen van beveiligingsfuncties, 32 kwetsbaarheden voor het uitvoeren van externe code, 5 kwetsbaarheden voor het openbaren van informatie, 10 kwetsbaarheden voor denial-of-service-aanvallen, 10 kwetsbaarheden voor 'spoofing' en 1 kwetsbaarheid voor Edge - Chromium. Deze lijst bevat niet de zestien eerder op 2 juni 2023 opgeloste kwetsbaarheden in Microsoft Edge. Deze Patch Tuesday repareert geen 'zero-day'-kwetsbaarheden of actief misbruikte bugs, waarmee de druk op Windows-beheerders op deze dag iets wordt verlicht.

Kwetsbaarheid in WordPress Stripe-betalingsplug-in leidt tot lekken van klantgegevens

De WooCommerce Stripe Gateway-plug-in voor WordPress is kwetsbaar gebleken voor een bug waardoor elke niet-geverifieerde gebruiker de gegevens van bestellingen via de plug-in kan bekijken. Beveiligingsanalisten van Patchstack hebben ontdekt dat deze populaire plug-in vatbaar is voor CVE-2023-34000, een beveiligingslek in de vorm van een ongeverifieerde onveilige directe objectreferentie (IDOR). Hierdoor kunnen ongeverifieerde gebruikers gegevens op de afrekenpagina bekijken, zoals persoonlijk identificeerbare informatie (PII), e-mailadressen, verzendadressen en de volledige naam van de gebruiker. Deze blootstelling van gegevens wordt als ernstig beschouwd en kan leiden tot aanvullende aanvallen, zoals pogingen tot accountovername en diefstal van referenties via gerichte phishing-e-mails. Het is van essentieel belang dat beheerders van WordPress-sites alle plug-ins up-to-date houden, ongebruikte plug-ins deactiveren en verdachte activiteiten op hun sites monitoren om de beveiliging te waarborgen. Momenteel gebruikt meer dan de helft van de actieve installaties van de plug-in een kwetsbare versie, waardoor deze aantrekkelijk is voor cybercriminelen. Het wordt sterk aanbevolen om te upgraden naar versie 7.4.1 van de WooCommerce Stripe Gateway-plug-in, waarin het beveiligingslek is verholpen.

VS verplicht overheidsinstanties om externe toegang tot routers, firewalls en VPN's uit te schakelen

Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft federale Amerikaanse overheidsinstanties opgedragen om alle beheerinterfaces van routers, switches, firewalls, vpn's, loadbalancers en proxies die vanaf internet benaderbaar zijn offline te halen. Het bevel is uitgevaardigd vanwege het toenemende aantal aanvallen op organisaties via verkeerd geconfigureerde netwerkapparaten. Het CISA benadrukt dat beheerinterfaces niet direct vanaf het publieke internet benaderbaar zouden moeten zijn en beveelt aan om aparte interne beheernetwerken te gebruiken. Instanties hebben veertien dagen de tijd gekregen om de interfaces offline te halen. Daarnaast moeten instanties bestaande en nieuwe interfaces alleen toegankelijk maken vanaf het interne netwerk en beveiligen als onderdeel van een Zero Trust Architecture. Het CISA zal ook scannen op toegankelijke interfaces bij federale overheidsinstanties.

Horizon3-beveiligingsonderzoekers publiceren PoC-exploit voor MOVEit RCE-bug gebruikt bij gegevensdiefstal

Horizon3-beveiligingsonderzoekers hebben een proof-of-concept (PoC) exploitcode vrijgegeven voor een remote code execution (RCE) bug in de MOVEit Transfer managed file transfer (MFT) oplossing. Deze bug werd misbruikt door de Clop ransomware-bende in gegevensdiefstal aanvallen. De bug, bekend als CVE-2023-34362, is een SQL-injectiekwetsbaarheid die niet-geverifieerde aanvallers in staat stelt ongepatchte MOVEit-servers binnen te dringen en willekeurige code op afstand uit te voeren. Op 31 mei heeft Progress beveiligingsupdates uitgebracht om de bug te verhelpen en klanten geadviseerd deze onmiddellijk toe te passen. Met de vrijgave van deze RCE PoC-exploit is het waarschijnlijk dat meer kwaadwillende actoren snel zullen handelen om deze te gebruiken in aanvallen of hun eigen aangepaste versies te ontwikkelen. Het aantal onbeveiligde MOVEit Transfer-servers op internet zou sterk zijn afgenomen sinds de exploitatie van de bug door Clop begon.

Progress Roept op tot Waakzaamheid

Softwareleverancier Progress waarschuwt klanten voor een nieuw kritiek beveiligingslek in MOVEit Transfer waardoor een aanvaller vertrouwelijke data kan stelen. Onlangs werd een andere kritieke kwetsbaarheid op grote schaal door criminelen gebruikt om systemen met malware te infecteren en gegevens te stelen, waarmee organisaties vervolgens werden afgeperst. Progress roept alle klanten op om de nieuwe update te installeren. MOVEit Transfer is een applicatie voor het uitwisselen van bestanden. Allerlei organisaties maken er gebruik van om onder andere vertrouwelijke informatie binnen de organisatie te delen. De Clop-ransomwaregroep zou sinds 2021 over een kwetsbaarheid hebben beschikt waarmee het mogelijk is om MOVEit-servers te infecteren en data te stelen. Tijdens het Memorial Day weekend in de Verenigde Staten vorige maand vond er grootschalig misbruik van het lek plaats. Voor dit beveiligingslek, aangeduid als CVE-2023-34362, kwam Progress eind mei met een update. Naar aanleiding van de grootschalige aanval op klanten besloot Progress securitybedrijf Huntress onderzoek naar MOVEit Transfer uit te laten voeren. Dat onderzoek heeft verschillende nieuwe kwetsbaarheden opgeleverd, waaronder een kritiek beveiligingslek. Het gaat om meerdere SQL injection kwetsbaarheden waardoor een ongeauthenticeerde aanvaller ongeautoriseerde toegang tot de MOVEit-database kan krijgen. Een aanvaller kan via de kwetsbaarheid een speciaal geprepareerde "payload" naar de de MOVEit-applicatie sturen en zo de inhoud van de database aanpassen en stelen. Voor deze kwetsbaarheid is nog geen CVE-nummer beschikbaar. Progress stelt dat alle klanten die van MOVEit gebruikmaken actie moeten ondernemen om de kwetsbaarheden te verhelpen. Vorige week liet Landal GreenParks tegenover Security.NL weten dat het slachtoffer van de aanvallen op MOVEit Transfer was geworden en daarbij de gegevens van mogelijk twaalfduizend gasten zijn gestolen. Eerder maakten British Airways, BBC, de Britse apothekersketen Boots, de Ierse luchtvaartmaatschappij Aer Lingus en de Canadese provincie Nova Scotia bekend dat ze vanwege de aanval op MOVEit Transfer met datalekken te maken hebben gekregen.

Fortinet verhelpt kritieke RCE-kwetsbaarheid in Fortigate SSL-VPN-apparaten, patch nu beschikbaar

Fortinet heeft nieuwe firmware-updates uitgebracht voor Fortigate-apparaten die een niet nader genoemde, kritieke pre-authenticatie remote code execution (RCE)-kwetsbaarheid in SSL VPN-apparaten verhelpen. De beveiligingspatches zijn uitgebracht in FortiOS-firmwareversies 6.0.17, 6.2.15, 6.4.13, 7.0.12 en 7.2.5. Hoewel de kwetsbaarheid niet expliciet vermeld wordt in de release-opmerkingen, hebben beveiligingsprofessionals gesuggereerd dat de updates een kritieke SSL-VPN RCE-kwetsbaarheid stilletjes hebben verholpen. Deze kwetsbaarheid zou op dinsdag 13 juni 2023 bekendgemaakt worden. Fortinet staat erom bekend beveiligingspatches uit te brengen voordat kritieke kwetsbaarheden openbaar worden gemaakt, zodat klanten tijd hebben om hun apparaten bij te werken voordat kwaadwillenden de patches reverse engineeren. Beheerders van Fortinet-apparaten wordt aangeraden om de beveiligingsupdates zo snel mogelijk toe te passen, aangezien Fortinet-apparaten vaak het doelwit zijn van aanvallen.

Strava heatmap-functie kan misbruikt worden om thuisadressen te achterhalen

Onderzoekers van de North Carolina State University Raleigh hebben een privacyrisico ontdekt in de heatmap-functie van de Strava-app, waardoor het mogelijk is om de thuisadressen van gebruikers te achterhalen. Strava is een populaire hardloop- en fitness-tracking-app met meer dan 100 miljoen gebruikers wereldwijd. De heatmap-functie verzamelt anoniem de activiteiten van gebruikers (hardlopers, fietsers, wandelaars) om hen te helpen trails of populaire locaties te vinden. Echter, door publiekelijk beschikbare heatmap-gegevens te combineren met specifieke gebruikersinformatie, kunnen onderzoekers gebruikers volgen en hun thuisadressen identificeren. De onderzoekers hebben gegevens verzameld van de staten Arkansas, Ohio en North Carolina en hebben beeldanalyse gebruikt om start- en stopgebieden naast straten te detecteren, wat erop wijst dat een specifiek huis gekoppeld is aan een bron van getraceerde activiteit. Ze hebben ook OpenStreetMaps-beelden gebruikt om individuele woonadressen te identificeren. Door deze informatie te vergelijken met persoonlijke gegevens van gebruikers, zoals locatie en activiteitstijdlijnen, konden de onderzoekers de thuisadressen van gebruikers correleren met de hoge activiteitspunten op de heatmap. Het onderzoek benadrukt het belang van het beschermen van persoonlijke gegevens en het nemen van voorzorgsmaatregelen, zoals het instellen van privacyzones rondom woningen, om de privacy van Strava-gebruikers te verbeteren.

Nieuwe kritieke kwetsbaarheden ontdekt in MOVEit Transfer na beveiligingsaudit, direct patchen

Progress Software heeft vandaag klanten gewaarschuwd voor recent ontdekte kritieke SQL-injectiekwetsbaarheden in zijn beheerde bestandsoverdrachtsoplossing MOVEit Transfer. Deze kwetsbaarheden stellen aanvallers in staat om informatie uit databases van klanten te stelen. De beveiligingslekken werden ontdekt tijdens gedetailleerde code-audits die werden uitgevoerd na een zero-day-kwetsbaarheid die werd uitgebuit door de Clop ransomware-groep. Alle gebruikers van MOVEit Transfer worden aangeraden om de nieuwe patch onmiddellijk toe te passen. Het onderzoek is nog gaande, maar er zijn op dit moment geen aanwijzingen dat de kwetsbaarheden reeds zijn misbruikt. MOVEit Cloud-clusters zijn al gepatcht om ze te beschermen tegen mogelijke aanvallen. Een lijst met getroffen versies en de bijbehorende patches is beschikbaar voor gebruikers die willen upgraden. De Clop-ransomwaregroep heeft verantwoordelijkheid opgeëist voor het targeten van de MOVEit Transfer zero-day-kwetsbaarheid en beweert dat honderden bedrijven zijn getroffen door hun datadiefstal-aanvallen.

Kwetsbaarheid in Directorist-plug-in bedreigt duizenden WordPress-sites

Duizenden zakelijke WordPress-sites lopen risico via een kwetsbaarheid in de Directorist-plug-in te worden overgenomen door aanvallers. WordPress.org heeft de plug-in tijdelijk gesloten, waardoor gebruikers de update voor het probleem niet via het WordPress-dashboard kunnen installeren en dit handmatig moeten doen. Dat laat securitybedrijf Wordfence weten, dat beheerders adviseert de update zelf te installeren of anders de plug-in tijdelijk te verwijderen. Directorist is een op bedrijven gerichte plug-in waarmee het mogelijk is om rubrieksadvertenties en allerlei lokale telefoongidsen, van bijvoorbeeld restaurants, hotels, makelaars, evenementen en andere zaken, aan de WordPress-site toe te voegen. Volgens ontwikkelaar Wpwax maken meer dan tienduizend bedrijven er gebruik van. Een kwetsbaarheid in de plug-in maakt het mogelijk voor bezoekers die zich als 'subscriber' hebben kunnen registeren om het wachtwoord van de beheerder aan te passen en zo toegang tot de website te krijgen. Het beveiligingslek werd begin april door Wordfence aan de ontwikkelaar gemeld, maar die gaf geen reactie. Daarop besloot WordPress.org om de plug-in tijdelijk te sluiten voor verder onderzoek. Inmiddels is er een update beschikbaar, maar die kan door de tijdelijke sluiting op WordPress.org niet meer via het WordPress-dashboard worden geïnstalleerd, wat inhoudt dat beheerders dit handmatig moeten doen. Vanwege deze reden heeft Wordfence besloten geen uitgebreide details over het lek (CVE-2023-1888) te delen, waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 8.8.

VMware lost kritieke kwetsbaarheden op in vRealize netwerkanalysetool

VMware heeft vandaag meerdere beveiligingspatches uitgebracht om kritieke en ernstige kwetsbaarheden aan te pakken in VMware Aria Operations for Networks. Deze kwetsbaarheden stellen aanvallers in staat om op afstand code uit te voeren of toegang te krijgen tot gevoelige informatie. VMware Aria Operations for Networks, voorheen bekend als vRealize Network Insight (vRNI), is een tool voor netwerkzichtbaarheid en -analyse die beheerders helpt bij het optimaliseren van netwerkprestaties en het beheren en schalen van VMware- en Kubernetes-implementaties. Een van de ernstigste kwetsbaarheden die zijn opgelost, is een commando-injectiekwetsbaarheid met de naam CVE-2023-20887. Deze kwetsbaarheid kan door niet-geverifieerde aanvallers worden misbruikt bij aanvallen met een lage complexiteit en vereist geen gebruikersinteractie. Een kwaadwillende actor met netwerktoegang tot VMware Aria Operations for Networks kan een commando-injectieaanval uitvoeren, wat leidt tot externe code-uitvoering.  Daarnaast heeft VMware ook een tweede beveiligingslek verholpen, dat kan leiden tot externe code-uitvoering op niet-gepatchte Aria Operations-apparaten. Dit lek wordt veroorzaakt door een geverifieerde deserialisatiezwakte, bekend als CVE-2023-20888. Net als bij CVE-2023-20887 is netwerktoegang tot het kwetsbare apparaat en geldige 'lid'-rolreferenties vereist voor een succesvolle deserialisatieaanval die leidt tot externe code-uitvoering. De derde kwetsbaarheid, bekend als CVE-2023-20889, maakt het mogelijk voor kwaadwillende actoren om gevoelige informatie te verkrijgen na een succesvolle commando-injectieaanval. VMware meldt dat er geen tijdelijke oplossingen beschikbaar zijn om de aanvalsvector te elimineren. Beheerders wordt geadviseerd alle VMware Aria Operations Networks 6.x on-prem installaties te patchen om ze te beveiligen tegen aanvallen. De volledige lijst met beveiligingspatches is te vinden op VMware's Customer Connect-website. Het bedrijf deelt ook gedetailleerde stappen op dezelfde pagina om de patchbundels toe te passen, inclusief het downloaden van het updatepatchbestand, uploaden terwijl u bent geregistreerd als beheerder in de vRNI GUI en installeren vanuit Instellingen > Installeren en ondersteunen > Overzicht en updates. Eerdere kwetsbaarheden in vergelijkbare VMware-producten zijn ook aangepakt, zoals een kritieke bug in de vRealize Log Insight log analyse tool waarmee aanvallers code als root konden uitvoeren. Het is essentieel dat systeembeheerders deze patches toepassen om de beveiliging van hun VMware-implementaties te waarborgen.

KeePass verhelpt kwetsbaarheid waardoor master password gestolen kon worden

Er is een nieuwe versie van wachtwoordmanager KeePass verschenen die een kwetsbaarheid (CVE-2023-32784) verhelpt waardoor het master password uit het geheugen is te stelen. Wanneer gebruikers het master password invoeren, blijft voor elk getypt karakter een string in het geheugen achter. Eenmaal gecreëerd zijn die lastig te verwijderen. Een aanvaller die toegang tot het systeem heeft kan het wachtwoord vervolgens uit het geheugen halen. Het probleem doet zich voor met de manier waarop de tekstbox van KeePass voor het invoeren van het master password en andere wachtwoorden invoer verwerkt wanneer de gebruiker een wachtwoord invoert. Daardoor blijven er strings in het geheugen achter. Wanneer bijvoorbeeld "Password" wordt getypt, blijven de strings: •a, ••s, •••s, ••••w, •••••o, ••••••r, •••••••d in het geheugen achter. Onlangs verscheen er op GitHub een tool genaamd "KeePass 2.X Master Password Dumper" waarmee deze strings uit het geheugen zijn te halen. Een aanvaller moet wel toegang tot het systeem hebben om de aanval uit te voeren. Daarnaast werkt de aanval alleen tegen KeePass versie 2, de eerste versie van de wachtwoordmanager is niet kwetsbaar. Dominik Reichl, de ontwikkelaar van KeePass, heeft echter een oplossing in versie 2.54 verwerkt. Zo worden de betreffende strings, die uit het geheugen zijn te dumpen, in de meeste gevallen niet meer door KeePass gemaakt. Daarnaast creëert de wachtwoordmanager nu "dummy fragmenten" in het procesgeheugen. Die moeten het lastiger maken om met karakters die in het geheugen zijn te vinden het master password samen te stellen. De ontwikkelaar van de dumptool bevestigt dat deze twee maatregelen ervoor zorgen dat de aanval niet meer werkt. Gebruikers wordt aangeraden om naar KeePass 2.54 of nieuwer te updaten. Daarnaast adviseert de ontwikkelaar van de dumptool om het master password te wijzigen, crash dumps, hibernation bestand en swap file te verwijderen, verwijderde data te overschrijven en de computer te herstarten.

Google lanceert beveiligingsupdate voor Android om Mali GPU-fout op te lossen die wordt misbruikt door spyware

Google heeft de maandelijkse beveiligingsupdate voor het Android-platform uitgebracht, waarbij 56 kwetsbaarheden zijn verholpen, waaronder vijf met een kritieke ernst en één die sinds ten minste december vorig jaar wordt misbruikt. De update bevat een oplossing voor CVE-2022-22706, een ernstige fout in het Mali GPU-kernelstuurprogramma van Arm, die mogelijk wordt gebruikt in een spywarecampagne gericht op Samsung-telefoons. Gebruikers van verouderde apparaten moeten overstappen naar een nieuwer Android-model of een beveiligde Android-distributie van derden, omdat deze apparaten geen ondersteuning meer ontvangen. De update bevat ook fixes voor andere kritieke kwetsbaarheden die van invloed zijn op verschillende Android-versies.

GIGABYTE's Nieuwe Firmware Update Tackelt Beveiligingsfouten in Moederborden

GIGABYTE heeft firmware-updates uitgebracht om beveiligingsproblemen aan te pakken in meer dan 270 moederborden die potentieel zouden kunnen worden uitgebuit om malware te installeren. De firmware-updates werden vrijgegeven in reactie op een rapport van het hardwarebeveiligingsbedrijf Eclypsium, dat defecten had gevonden in een legitieme GIGABYTE-functie die wordt gebruikt om een software-update-applicatie in Windows te installeren. Eclypsium ontdekte ook verschillende beveiligingsproblemen die aanvallers zouden kunnen gebruiken om malware te leveren via man-in-the-middle (MiTM) -aanvallen. Als reactie heeft GIGABYTE firmware-updates vrijgegeven voor diverse Intel- en AMD-moederbordseries om deze problemen op te lossen. Alle GIGABYTE-moederbordgebruikers wordt geadviseerd om de laatste firmware-updates te installeren om te profiteren van de beveiligingsfixes.

KeePass v2.54 lanceert een update om een cruciale beveiligingsfout op te lossen

Het wachtwoordbeheerprogramma KeePass heeft een belangrijke update uitgebracht om een beveiligingsprobleem op te lossen dat in mei 2023 aan het licht werd gebracht door de beveiligingsonderzoeker 'vdohney'. De onderzoeker onthulde dat de software kwetsbaar was voor een techniek waarbij het hoofdwachtwoord van de gebruiker kon worden geëxtraheerd uit het geheugen van de applicatie. Deze fout werd geïdentificeerd als CVE-2023-32784. De methode maakte het mogelijk voor malware of dreigingsactoren om het geheugen van het programma te dumpen en de wachtwoorddatabase van KeePass naar een externe server te sturen. Daar konden ze het cleartext-hoofdwachtwoord uit de geheugendump halen en zo toegang krijgen tot alle opgeslagen accountreferenties in de database. KeePass heeft snel gereageerd op de onthulling van de kwetsbaarheid. De hoofdontwikkelaar van KeePass, Dominik Reichl, erkende het probleem en beloofde spoedig een oplossing te bieden. Vervolgens bracht KeePass versie 2.54 uit, die deze beveiligingsfout oplost. Deze versie werd eerder dan verwacht gelanceerd en het wordt sterk aanbevolen dat alle gebruikers van de 2.x-versie upgraden naar deze nieuwe versie. Naast het oplossen van deze kwetsbaarheid, introduceert KeePass 2.54 ook andere beveiligingsverbeteringen. Zo is er nu een Windows API in gebruik om data in tekstvelden in te stellen of op te halen, om zo het creëren van beheerde strings die mogelijk uit het geheugen gedumpt kunnen worden te voorkomen. Verder zijn er ook "dummy strings" met willekeurige tekens in het geheugen van het KeePass-proces geïntroduceerd om het moeilijker te maken om fragmenten van het wachtwoord uit het geheugen te halen en deze te combineren tot een geldig hoofdwachtwoord.

Google implementeert noodpatch voor Zero-Day-lek in Chrome

Google heeft een noodpatch vrijgegeven voor een actief aangevallen zero-day lek in Chrome. Deze kwetsbaarheid, aangeduid als CVE-2023-3079, is gevonden in de JavaScript-engine V8, die Chrome en andere browsers gebruiken om JavaScript uit te voeren. De impact van de kwetsbaarheid is als "hoog" beoordeeld. Het lek maakt het mogelijk voor aanvallers om in de context van de browser code uit te voeren, waardoor gevoelige informatie van gebruikers kan worden gestolen. Dit type kwetsbaarheid zou echter niet voldoende zijn om een systeem over te nemen. Hiervoor zou een aanvaller toegang moeten hebben tot een tweede kwetsbaarheid in het onderliggende besturingssysteem. Google heeft geen details vrijgegeven over de specifieke aanvallen die hebben plaatsgevonden. De patch, beschikbaar in Chrome-versie 114.0.5735.110 voor Windows en 114.0.5735.106 voor macOS en Linux, zal op de meeste systemen automatisch worden uitgevoerd. Het kan echter tot zeven dagen duren voordat de update op alle systemen is geïnstalleerd. Gebruikers die de update direct willen ontvangen, zullen een handmatige controle moeten uitvoeren. Voor Microsoft Edge, dat ook is gebaseerd op Googles Chromium-browser, is nog geen update beschikbaar.

Gigabyte brengt bios-update uit om 'backdoor' op moederborden te verwijderen

Gigabyte heeft bios-updates uitgebracht om een 'backdoor' op verschillende moederborden te elimineren. In mei ontdekte beveiligingsbedrijf Eclypsium dat er een backdoor aanwezig was in een groot aantal Gigabyte-moederborden, waardoor kwaadwillenden systemen konden infecteren met malware. De UEFI-firmware op de moederborden bevatte een Windows executable die bij het opstarten van het systeem naar de schijf werd geschreven. Deze executable, het Gigabyte App Center, kon aanvullende code downloaden en maakte gebruik van onversleuteld HTTP voor het downloaden, waardoor aanvallers via een man-in-the-middle-aanval bestanden naar gebruikers konden sturen. Gigabyte heeft de problemen aangepakt door betere controle van digitale handtekeningen en certificaten in de updates te implementeren. Ongeveer 270 moederbordmodellen waren getroffen, maar er zijn nu updates beschikbaar voor moederborden met de Intel 700/600 en AMD 600/500/400 chipsets.

Kwetsbaarheid in MOVEit Transfer: Grootschalig Misbruik en Beveiligingsadviezen

In de applicatie MOVEit Transfer, een tool voor het delen van bestanden, is een ernstige kwetsbaarheid ontdekt. Deze beveiligingsfout kan grootschalig misbruikt worden en de gevolgen hiervan worden als hoog ingeschat. De ontwikkelaar van de software, Progress, heeft een beveiligingsadvies uitgebracht om dit probleem aan te pakken. Bij de kwetsbare systemen is mogelijk al sinds 28 mei toegang tot de opgeslagen gegevens verkregen. Er bestaat ook het risico dat de kwetsbaarheid misbruikt wordt om beheerdersrechten te verkrijgen. Het Nationaal Cyber Security Centrum (NCSC) heeft dringend aanbevolen dat organisaties die MOVEit Transfer gebruiken de door Progress verstrekte beveiligingsupdates zo snel mogelijk installeren. Daarnaast stelt Progress een stappenplan beschikbaar om organisaties te helpen bij het in kaart brengen van kwetsbare systemen en het treffen van maatregelen. Het NCSC heeft ook een Github-pagina opgezet ter ondersteuning en belooft deze pagina actief te blijven bijwerken. Het NCSC houdt de situatie nauwlettend in de gaten en heeft contact met nationale en internationale partners om de ontwikkelingen te monitoren. Verdere informatie over deze situatie wordt verstrekt zodra deze beschikbaar is. Het is van cruciaal belang dat organisaties snel actie ondernemen om de beveiligingsrisico's van deze kwetsbaarheid in MOVEit Transfer te beperken.