Kwetsbaarheden CVE's
Kwetsbaarheden nieuws
Dringende Oproep tot Patchen: Kritieke Kwetsbaarheid in Confluence Platform
In een recente waarschuwing heeft Atlassian, bekend van hun ontwikkelplatform Confluence, klanten opgeroepen om onverwijld een kritieke kwetsbaarheid aan te pakken. Het lek, geïdentificeerd als CVE-2023-22518, treft Confluence Data Center en Confluence Server en kan volgens Bala Sathaimurthy, de Chief Information Security Officer (CISO) van Atlassian, leiden tot aanzienlijk dataverlies. De ernst van de kwetsbaarheid is aangeduid met een 9.1 op een schaal van 1 tot 10. Confluence wordt door diverse organisaties wereldwijd ingezet voor samenwerkingsdoeleinden. Hoewel er momenteel geen misbruik van de kwetsbaarheid is vastgesteld, benadrukt de CISO dat onmiddellijke actie vereist is. Organisaties die de beveiligingsupdate niet direct kunnen implementeren, dienen als noodmaatregel back-ups te maken en hun Confluence-installaties van het internet te ontkoppelen om verdere risico's te voorkomen. Het artikel vermeldt niet hoe de kwetsbaarheid kan leiden tot dataverlies en stelt dat het niet mogelijk is om via het lek data te onttrekken. De nadrukkelijke oproep tot actie onderstreept de ernst van de situatie. Organisaties, inclusief die waarvan de installaties niet direct via het internet toegankelijk zijn, krijgen het dringende advies om de patch te installeren om zo hun data te beschermen tegen mogelijke dreigingen. In een reactie op de website toont een gebruiker zich ironisch over de drukke communicatieagenda van de CISO, wat impliceert dat er wellicht minder tijd overblijft voor het ontwikkelen van interne bedrijfsbeleid. Het artikel illustreert de voortdurende noodzaak voor organisaties om alert te blijven op cybersecurity-dreigingen en benadrukt het belang van snelle en effectieve responsmechanismen bij het detecteren van potentiële kwetsbaarheden. (bron)
Kritiek Beveiligingslek in BIG-IP Servers Actief Geëxploiteerd; F5 Geeft Waarschuwing
Fabrikant F5 waarschuwt voor actief misbruik van een ernstige kwetsbaarheid in hun BIG-IP servers. De beveiligingsupdate voor deze kwetsbaarheid is uitgebracht op 26 oktober, maar gisteren heeft F5 het beveiligingsbulletin bijgewerkt met de melding dat het lek nu actief wordt uitgebuit door aanvallers. Het specifieke lek is aangeduid als CVE-2023-46748 en stelt een ongeauthenticeerde aanvaller in staat om de authenticatie van de configuratietool te omzeilen. Na dit proces is het mogelijk voor de aanvaller om op afstand code uit te voeren op het systeem. Aanvallers gebruiken deze eerste kwetsbaarheid om toegang te krijgen tot BIG-IP servers en vervolgens een andere kwetsbaarheid, ook gemarkeerd als CVE-2023-46748, te misbruiken om volledige controle over het systeem te krijgen. Deze tweede kwetsbaarheid maakt SQL Injection mogelijk voor een geauthenticeerde aanvaller. De impact van de eerste CVE is beoordeeld met een score van 9.8 uit 10, terwijl de tweede een score van 8.8 heeft. Slechts drie dagen na het uitbrengen van de patch zijn de eerste proof-of-concept exploits op internet verschenen. F5 stelt dat er meerdere 'threat actors' betrokken zijn bij de aanvallen. Het BIG-IP platform wordt veelvuldig ingezet voor diverse toepassingen zoals load balancing en application delivery, waardoor de impact van een succesvolle aanval groot kan zijn. Om organisaties te helpen, heeft F5 indicators of compromise (IoC's) beschikbaar gesteld zodat gecontroleerd kan worden of servers zijn gecompromitteerd. (bron)
Ernstige Kwetsbaarheid in Cisco IOS XE: Dringende Maatregelen Nodig
Cisco heeft gewaarschuwd voor een ernstige kwetsbaarheid in hun besturingssysteem, IOS XE. Deze kwetsbaarheid staat bekend onder het kenmerk CVE-2023-20198 en is door het Nationaal Cyber Security Centrum (NCSC) beoordeeld als 'High/High' met een CVSS score van 10.0. Dit betekent dat de kans op misbruik en de mogelijke schade die hieruit kan voortvloeien, beide groot zijn. De kwetsbaarheid maakt het mogelijk voor een niet-geauthenticeerde kwaadwillende om op afstand een account aan te maken op een getroffen apparaat met een hoog toegangsniveau (15), waarmee de controle over het apparaat kan worden overgenomen. Op 30 oktober 2023 heeft Cisco beveiligingsupdates uitgebracht voor IOS XE versie v17.6.6. Updates voor andere versies zijn ook aangekondigd. Desondanks heeft Cisco aangegeven dat de code voor een succesvolle 'exploit' openbaar is gemaakt. Het NCSC verwacht daarom een significante toename in scan- en misbruikverkeer op korte termijn. Cisco adviseert dringend om zo snel mogelijk de beschikbare updates te installeren. Daarnaast beveelt het bedrijf een aantal mitigerende maatregelen aan, zoals het uitschakelen van de webbeheerinterface op alle IOS-XE gebaseerde apparaten, het controleren van configuraties en bestandssystemen op tekenen van compromittatie en het overwegen van een herstart van de betrokken apparaten. Het Digital Trust Center ondersteunt deze adviezen en raadt aan om deze zo snel mogelijk te implementeren, eventueel met de hulp van een IT-dienstverlener. Voor meer informatie en updates kunnen geïnteresseerden terecht op de Cisco Talos Blog en de Cisco Security Advisory pagina. (bron)
Kritieke Kwetsbaarheid in Cisco IOS XE Software Actief Geëxploiteerd: Duizenden Systemen Nog Steeds Gecompromitteerd
Er is publieke exploitcode beschikbaar gesteld voor een ernstige kwetsbaarheid in Cisco's IOS XE software, geïdentificeerd als CVE-2023-20198. Deze kwetsbaarheid werd gebruikt om tienduizenden apparaten te hacken voordat er een patch beschikbaar was. Ondanks dat Cisco patches heeft uitgebracht voor de meeste versies van IOS XE, blijven duizenden systemen kwetsbaar, zoals blijkt uit internet scans. Het beveiligingsbedrijf Horizon3.ai heeft gedetailleerde informatie gedeeld over hoe de exploit werkt. Aanvallers kunnen authenticatie omzeilen op kwetsbare Cisco IOS XE-apparaten en een nieuwe gebruiker creëren met volledige beheerdersrechten. Deze exploit maakt gebruik van een specifiek geformatteerde HTTP-aanvraag om toegang te krijgen tot de Web Services Management Agent (WMSA) in het apparaat, wat het mogelijk maakt om opdrachten uit te voeren met volledige systeemtoegang. Beveiligingsplatformen zoals LeakIX hebben bevestigd dat de exploit inderdaad Cisco IOS XE-apparaten kan overnemen. Aanvallers hebben commando's uitgevoerd die bedoeld zijn voor verkenningsdoeleinden, waarmee ze informatie kunnen verzamelen om hoogwaardige doelen te identificeren. Cisco heeft op 30 oktober een bijgewerkte veiligheidsbulletin gepubliceerd waarin staat dat er updates zijn uitgebracht om deze kwetsbaarheid aan te pakken. Desondanks toonde recente data van cybersecuritybedrijf Fox-IT aan dat er nog steeds bijna 38.000 gecompromitteerde Cisco IOS XE-hosts zijn. Dit is met name zorgwekkend omdat veel van deze apparaten eigendom zijn van grote telecom- en internetproviders. Kortom, het risico blijft aanzienlijk en onmiddellijke actie is vereist om de kwetsbare systemen te patchen of te isoleren. (bron)
π¨ #Cisco #IOSXE #CVE-2023-20198 #CVE-2023-20273
β SECUINFRA FALCON TEAM (@SI_FalconTeam) October 28, 2023
Patience is a virtue π
We can confirm: New activity from IP 192.3.101[.]111 today. Our HPs π― show exploit attempts on clean appl. + Implant usage e.g. "show ver" for recon.
Happy to share PCAPs, TLP:π β‘οΈ DM.
cc @ET_Labs https://t.co/IPahq4VSNL pic.twitter.com/YjfGTPwwr9
π¨ Cisco Implant traffic detected from 192.3.101[.]111 .
β LeakIX (@leak_ix) October 28, 2023
Looking for DNS settings, likely to ID targets. pic.twitter.com/C9PsxVQJHP
Kritieke Beveiligingslek in Wyze Cam v3 Openbaar Gemaakt: Update Nu Uw Firmware
Een recent artikel onthult dat er een ernstige kwetsbaarheid is ontdekt in de Wyze Cam v3, een populaire en betaalbare binnen-/buitenbeveiligingscamera. De beveiligingsonderzoeker Peter Geissler heeft een proof-of-concept (PoC) exploit gepubliceerd die een omgekeerde shell opent, waardoor aanvallers volledige controle kunnen krijgen over kwetsbare apparaten. Geissler ontdekte twee fouten in de nieuwste firmware van Wyze Cam v3 die samen gebruikt kunnen worden voor het op afstand uitvoeren van code (RCE) op het apparaat. De eerste kwetsbaarheid betreft een DTLS (Datagram Transport Layer Security) authenticatie-omzeilingsprobleem, waardoor aanvallers beveiligingsmaatregelen kunnen omzeilen. De tweede kwetsbaarheid komt aan het licht na het tot stand brengen van een DTLS-geauthenticeerde sessie en betreft slechte afhandeling van een specifieke array, wat leidt tot een stack buffer overflow. Opvallend genoeg heeft Geissler zijn exploit openbaar gemaakt voordat de meeste gebruikers de door Wyze uitgebrachte patch konden toepassen. Dit deed hij naar eigen zeggen om zijn afkeuring te uiten over de patch-strategieën van Wyze, die de update kort na de registratiedeadline voor een belangrijke beveiligingswedstrijd hadden uitgebracht. Wyze beweert dat de timing een toeval was en bedoeld om hun klanten te beschermen. Desalniettemin is het risico op massale exploitatie nu verhoogd, en het wordt dringend aangeraden om de nieuwste firmware-update zo snel mogelijk toe te passen of de camera's te isoleren van netwerken die kritieke apparaten bedienen. (bron, bron2)
.@WyzeCam I will not submit to your beg bounty program that only pays in "trust", "respect", "transparency" and "common good". [1]
β blasty (@bl4sty) October 29, 2023
none of those put bread on the table.. π
[1]: https://t.co/U7IhnhHjiP pic.twitter.com/gdb7Wq6ERn
Dringende Waarschuwing: 42.000 Roundcube Webmail-Servers Actief Kwetsbaar
Een recent onderzoek van de Shadowserver Foundation heeft aangetoond dat circa 42.000 Roundcube Webmail-servers wereldwijd kwetsbaar zijn voor aanvallen door een specifieke beveiligingslek, aangeduid als CVE-2023-5631. Deze kwetsbaarheid maakt stored cross-site scripting (XSS) aanvallen mogelijk. Met deze aanvalsmethode kan een cybercrimineel kwaadaardige e-mails verzenden, waarmee JavaScript in de browser van het slachtoffer wordt uitgevoerd. Dit stelt de aanvaller in staat om alle e-mails in het account van het slachtoffer te stelen. Roundcube is een opensource-webmailsoftware die breed wordt gebruikt door diverse organisaties. De makers van Roundcube hebben op 16 oktober een update uitgebracht om deze kwetsbaarheid te dichten. Desondanks hebben ESET-onderzoekers ontdekt dat aanvallers de kwetsbaarheid al misbruikten vóór de release van deze patches. Uit scans van de Shadowserver Foundation, een non-profitorganisatie die zowel in Nederland als in de Verenigde Staten geregistreerd is, blijkt dat 908 van deze kwetsbare servers in Nederland staan, terwijl het grootste aantal, 9.500, zich in de Verenigde Staten bevindt. Het is dus van cruciaal belang dat organisaties die Roundcube gebruiken, zo snel mogelijk hun systemen updaten om het risico van een mogelijke aanval te minimaliseren. Het negeren van deze urgente update kan ernstige gevolgen hebben voor de cybersecurity van de organisatie. (bron)
We have started scanning & reporting Roundcube Webmail servers vulnerable to CVE-2023-5631. While rated "only" CVSS 5.4, it has been used by at least one APT actor to execute JavaScript code in the browser of the victim in context of their Roundcube session.
β Shadowserver (@Shadowserver) October 28, 2023
42K vulnerable! pic.twitter.com/4sF581aQb5
Ethische Hackers Verzilveren 58 Zero-Day Kwetsbaarheden en Verdienen Ruim $1 Miljoen bij Pwn2Own Toronto 2023
Het Pwn2Own Toronto 2023 hackingevenement is afgesloten, waarbij beveiligingsonderzoekers een totaalbedrag van $1.038.500 verdienden voor het vinden van 58 zero-day exploits. Het evenement, georganiseerd door Trend Micro's Zero Day Initiative (ZDI), vond plaats van 24 tot 27 oktober en richtte zich op consumentenproducten zoals mobiele telefoons, printers, draadloze routers en IoT-apparaten. De nieuwste beveiligingsupdates waren op alle apparaten geïnstalleerd. Interessant is dat geen enkel team zich had ingeschreven om de Apple iPhone 14 en Google Pixel 7 smartphones te hacken. Echter, een volledig bijgewerkte Samsung Galaxy S23 werd vier keer met succes gehackt. Het team van Pentest Limited was het eerste dat een zero-day ontdekte in de Samsung Galaxy S23, waarmee ze $50.000 en 5 Master of Pwn-punten verdienden. Een ander team, STAR Labs SG, verdiende $25.000 en 5 Master of Pwn-punten door een soortgelijke exploit te gebruiken. Team Viettel won uiteindelijk de wedstrijd en verdiende $180,000 en 30 Master of Pwn-punten. Na het evenement hebben de leveranciers 120 dagen de tijd om patches vrij te geven voordat ZDI de kwetsbaarheden publiekelijk bekendmaakt. Deze competitie toont de steeds groeiende bekwaamheid in de ethische hacking-gemeenschap, maar benadrukt ook de noodzaak voor fabrikanten om hun apparaten continu te beveiligen tegen mogelijke risico's. (bron, bron2, bron3)
Here we are, now we are the Champions π€©π€©π€© https://t.co/Z9Bm5jV7Iw
β VCSLab (@vcslab) October 27, 2023
Kritieke Kwetsbaarheid in F5 BIG-IP Verholpen: Risico op Ongeverifieerde Externe Code-uitvoering
Een ernstige kwetsbaarheid in het F5 BIG-IP-configuratieprogramma, geïdentificeerd als CVE-2023-46747, stelde aanvallers in staat om op afstand code uit te voeren zonder verificatie. De kwetsbaarheid kreeg een CVSS v3.1-score van 9.8, wat aangeeft dat het risico kritiek is. Het beveiligingsprobleem kan alleen worden uitgebuit op apparaten waarop de Traffic Management User Interface (TMUI) toegankelijk is via internet. Aanvallers die al toegang hebben tot een intern netwerk kunnen echter ook misbruik maken van de kwetsbaarheid als de TMUI intern is blootgesteld. De betrokken BIG-IP-versies variëren van 13.x tot 17.x. Het is belangrijk op te merken dat CVE-2023-46747 geen invloed heeft op andere F5-producten zoals BIG-IP Next, BIG-IQ, F5 Distributed Cloud Services, F5OS, NGINX, en Traffix SDC. Voor productversies die hun levenscyclus (EoL) hebben bereikt, is niet bepaald of ze kwetsbaar zijn, en het advies is om zo snel mogelijk een upgrade uit te voeren naar een ondersteunde versie. Het beveiligingsprobleem werd ontdekt door onderzoekers van Praetorian Security en gemeld aan F5 op 5 oktober 2023. F5 bevestigde de kwetsbaarheid op 12 oktober en publiceerde op 26 oktober een beveiligingsupdate. Daarnaast biedt F5 een script om het probleem te verhelpen voor beheerders die de beveiligingsupdate niet kunnen toepassen. Omdat F5 BIG-IP-apparaten vaak worden gebruikt door overheden, grote bedrijven en financiële instellingen, wordt sterk aangeraden om eventuele beschikbare oplossingen of mitigerende maatregelen zo snel mogelijk toe te passen. Praetorian waarschuwt ook dat de TMUI nooit aan het internet mag worden blootgesteld. (bron, bron2, bron3)
Apple's Privacyfeature Schiet Tekort: Unieke MAC-adressen van iPhones Gelekt
Jarenlang hebben iPhones de unieke MAC-adressen van gebruikers gelekt, ondanks een ingebouwde privacyfunctie van Apple die dit juist moest voorkomen. MAC-adressen dienen als identificatiemiddelen op lokale netwerken en kunnen gebruikt worden om mensen te volgen. Apple introduceerde drie jaar geleden een functie genaamd 'private Wi-Fi addresses' om het delen van deze unieke adressen met wifi-netwerken te beperken. Deze functie was bedoeld om iPhones voor elk wifi-netwerk een ander MAC-adres te laten gebruiken en om automatisch een nieuw adres te genereren voor netwerken waarmee in meer dan zes weken geen verbinding was gemaakt. Echter, volgens beveiligingsonderzoeker Tommy Mysk, was deze privacyfunctie inefficiënt. Wanneer een iPhone verbinding maakt met een netwerk, worden er multicast-requests verstuurd om AirPlay-apparaten te vinden. In deze verzoeken werd het echte MAC-adres van het apparaat alsnog gelekt. Mysk rapporteerde deze kwetsbaarheid, bekend als CVE-2023-42846, eind juli aan Apple. Het bedrijf heeft nu een beveiligingsupdate uitgebracht om dit probleem aan te pakken. De kwetsbaarheid is opgelost in de meest recente versies van de besturingssystemen iOS en iPadOS (16.7.2 en 17.1 respectievelijk) en watchOS (10.1). Deze bevinding benadrukt het belang van kritisch onderzoek naar de effectiviteit van privacyfuncties, zelfs als deze afkomstig zijn van een gerenommeerd bedrijf als Apple. (bron)
π¨ NEW: Private Wi-Fi addresses had been useless ever since they were introduced in iOS 14. When an iPhone joins a network, it sends multicast requests to discover AirPlay devices in the network. In these requests, iOS sends the device's real Wi-Fi MAC address.
β Mysk π¨π¦π©πͺ (@mysk_co) October 26, 2023
π¬ Watch theβ¦ pic.twitter.com/9oHur314RQ
Digital Trust Center waarschuwt bedrijven voor kwetsbaarheden in Exim-mailservers
Het Digital Trust Center (DTC), een onderdeel van het Nederlandse Ministerie van Economische Zaken, heeft de afgelopen weken bedrijven 164 keer gewaarschuwd voor kwetsbare Exim-mailservers in hun netwerken. Exim is een veelgebruikte software voor mailservers, verantwoordelijk voor het transport en de aflevering van e-mailberichten. Volgens de statistieken draaien meer dan 300.000 mailservers op Exim. Aan het begin van deze maand hebben de ontwikkelaars van Exim beveiligingsupdates vrijgegeven voor meerdere kwetsbaarheden. Deze kwetsbaarheden kunnen aanvallers in het ergste geval de mogelijkheid geven om mailservers op afstand over te nemen en toegang te krijgen tot gevoelige informatie. Exim-servers zijn in het verleden vaker het doelwit geweest van cyberaanvallen. Het DTC heeft de bevoegdheid om bedrijven te waarschuwen voorbedrijfsspecifieke cyberdreigingen, zoals kwetsbaarheden of misconfiguraties. Sinds 27 september heeft het DTC 164 waarschuwingen uitgestuurd met betrekking tot kwetsbare Exim-systemen. Het is niet bekend om hoeveel unieke bedrijven het gaat; één bedrijf kan immers meerdere Exim-servers in gebruik hebben. Het DTC benadrukt dat Exim standaard aanwezig kan zijn in diverse Linux-distributies en ook kan worden gebruikt in applicaties of servers die onder een andere naam bekendstaan. Als organisaties niet zeker weten of hun mailserver op Exim draait, wordt geadviseerd dit te bespreken met hun IT-dienstverlener of IT-beheerder.
Kritieke Kwetsbaarheden Ontdekt in SoftEther VPN: Risico op Onderschepping en Code-uitvoering
Onderzoekers van Cisco hebben ernstige veiligheidslekken ontdekt in SoftEther VPN, een populaire gratis en open-source VPN-software. Een van de meest kritieke kwetsbaarheden, genaamd CVE-2023-27395, stelt aanvallers in staat om willekeurige code uit te voeren op het systeem van de gebruiker door een speciaal ontworpen netwerkpakket te sturen. Dit specifieke beveiligingslek is beoordeeld met een 9.0 op een schaal van 1 tot 10, wat wijst op een hoge mate van ernst. Naast deze zijn er nog twee andere kwetsbaarheden, CVE-2023-32634 en CVE-2023-27516, die een aanvaller ongeautoriseerde toegang geven tot de VPN-sessie van een gebruiker. Met deze toegang kan de aanvaller vervolgens een 'man-in-the-middle'-aanval uitvoeren zonder dat de gebruiker hiervan op de hoogte is. Ook kunnen zij de authenticatie-instellingen van de VPN achterhalen om het systeem verder te compromitteren. Cisco waarschuwde de ontwikkelaars van SoftEther VPN over deze kwetsbaarheden in juni van dit jaar. Twee weken later werd er een update uitgebracht om deze problemen aan te pakken. De ontdekkingen zijn nu openbaar gemaakt, waardoor het belangrijk is voor gebruikers om hun software zo snel mogelijk bij te werken om potentiële aanvallen te voorkomen.
Ernstige macOS Kwetsbaarheden: Emoji-Lek en Meer Vormen Risico voor Gebruikers
Apple heeft onlangs meerdere belangrijke beveiligingsupdates uitgebracht voor zijn macOS besturingssystemen Sonoma, Ventura en Monterey. Deze updates zijn bedoeld om een breed scala aan kwetsbaarheden te verhelpen, waaronder een bijzonder ernstige lek in het emoji-onderdeel van macOS. Dit lek maakt het mogelijk voor een aanvaller om op een vergrendeld systeem code uit te voeren met root-rechten. Daarnaast kan een aanvaller door een kwetsbaarheid in Siri gevoelige gebruikersinformatie stelen. Het gaat niet alleen om deze twee kwetsbaarheden. Apple heeft ook verscheidene lekken in WebKit gepatcht. Deze lekken zijn zo ernstig dat het bezoeken van een gecompromitteerde website of het zien van besmette advertenties al voldoende is om een aanvaller code op het systeem te laten uitvoeren. Gebruikersinteractie is hierbij niet eens vereist. Andere kwetsbaarheden die zijn aangepakt maken het mogelijk voor malafide apps om locatiegegevens te verkrijgen via 'Find My', en een lek in WindowServer kan een website toestaan de microfoon van het apparaat in te schakelen zonder dat de gebruiker hiervan op de hoogte wordt gebracht. Tot slot, ondanks het feit dat er updates zijn uitgebracht, heeft Apple geen melding gemaakt van actief misbruik van deze kwetsbaarheden. Echter, gezien de ernst van deze lekken is het sterk aan te raden om de beschikbare updates zo snel mogelijk te installeren om risico's te minimaliseren.
Citrix Bleed Kwetsbaarheid Maakt Overname NetScaler Accounts Mogelijk
Een proof-of-concept (PoC) exploit voor de 'Citrix Bleed'-kwetsbaarheid, aangeduid als CVE-2023-4966, maakt het voor aanvallers mogelijk om authenticatie-sessiecookies te verkrijgen van kwetsbare Citrix NetScaler ADC en NetScaler Gateway apparaten. Deze kwetsbaarheid is van kritieke ernst en maakt het mogelijk om op afstand gevoelige informatie te onthullen. Citrix heeft een patch uitgebracht op 10 oktober, maar gaf weinig details. Op 17 oktober onthulde Mandiant dat deze kwetsbaarheid sinds eind augustus als een zero-day werd misbruikt in beperkte aanvallen. Citrix waarschuwde vervolgens beheerders opnieuw om de kwetsbaarheid direct te patchen, omdat het aantal exploits begon toe te nemen. Onderzoekers van Assetnote hebben gedetailleerde informatie en een PoC exploit op GitHub gepubliceerd. De kwetsbaarheid komt voort uit een buffer-gerelateerde fout die kan leiden tot een buffer over-lezing als deze wordt uitgebuit. Door deze kwetsbaarheid te misbruiken, kunnen aanvallers een sessiecookie verkrijgen, wat hen onbeperkte toegang geeft tot kwetsbare apparaten. De kwetsbaarheid is vooral zorgwekkend omdat Citrix NetScaler-apparaten breed worden gebruikt voor diverse netwerkdiensten zoals load balancing, firewall-implementatie, en VPN. Het misbruik van deze kwetsbaarheid kan daarom leiden tot grootschalige ransomware-aanvallen en datadiefstal. Monitoringdiensten zoals Shadowserver hebben al een toename van exploitatiepogingen gemeld na de publicatie van Assetnote's PoC. Het wordt daarom sterk aangeraden dat systeembeheerders direct patches uitrollen om de kwetsbaarheid te verhelpen. (bron, bron2)
Kritieke Kwetsbaarheid in VMware vCenter Server en Cloud Foundation Bedreigt Serverbeveiliging
Een recent ontdekte kritieke kwetsbaarheid in VMware vCenter Server en VMware Cloud Foundation vormt een ernstig beveiligingsrisico voor organisaties. De kwetsbaarheid, aangeduid als CVE-2023-34048, stelt aanvallers in staat om servers op afstand over te nemen door middel van een 'out-of-bounds write' in het DCERPC-protocol. Met deze fout kunnen kwaadwillenden willekeurige code uitvoeren op de getroffen server. De ernst van deze kwetsbaarheid is beoordeeld met een 9.8 op een schaal van 1 tot 10, wat de urgentie onderstreept om maatregelen te nemen. VMware heeft inmiddels beveiligingsupdates uitgerold en dringt er bij organisaties op aan deze zo snel mogelijk te installeren. vCenter wordt breed gebruikt voor het beheer van virtual machines en gevirtualiseerde servers, waardoor een succesvolle aanval grote gevolgen kan hebben. Het is belangrijk op te merken dat aanvallers slechts toegang tot de server nodig hebben om de aanval uit te voeren, wat het risico vergroot. In het verleden zijn kwetsbaarheden in VMware vCenter al vaker aangevallen, wat de noodzaak voor directe actie extra benadrukt. Organisaties worden daarom sterk aangeraden om hun systemen up-to-date te houden en de uitgebrachte patches zonder vertraging toe te passen om het risico op een mogelijke inbreuk te minimaliseren. (bron)
Duizenden Websites Kwetsbaar voor Accountovernames door Tekortkomingen in Sociale Login-mechanismen
Ernestas Naprys, senior journalist bij Cybernews, heeft recentelijk een artikel gepubliceerd waarin wordt gewaarschuwd voor ernstige beveiligingsproblemen met sociale login-mechanismen op duizenden websites. Volgens onderzoek door API-beveiligingsbedrijf Salt Security kunnen deze tekortkomingen bijna een miljard gebruikersaccounts wereldwijd in gevaar brengen. Bekende platforms zoals Grammarly, Vidio en Bukalapak hebben hun kwetsbare implementaties reeds verholpen, maar veel andere sites lopen nog steeds risico. De kwetsbaarheden zijn geïdentificeerd in de verificatiestap van het toegangstoken tijdens het OAuth-aanmeldingsproces, een veelgebruikt mechanisme waarmee websites toegang krijgen tot informatie van diensten zoals Google en Facebook. Een tekortkoming in dit proces is dat veel websites het verstrekte toegangstoken niet verifiëren. Salt Labs-onderzoekers hebben aangetoond dat zij hierdoor een token van een andere website konden gebruiken om toegang te krijgen tot gebruikersaccounts, een techniek die bekend staat als "Pass-The-Token Attack". Deze kwetsbaarheden zouden niet alleen het risico van identiteitsdiefstal verhogen, maar ook leiden tot financiële fraude. Door het manipuleren van API-oproepen zouden aanvallers bijvoorbeeld toegang kunnen krijgen tot bankgegevens, betalingsinformatie en andere gevoelige data. Het recente rapport van Salt Security toont een stijging van 400% in unieke aanvallers in de afgelopen zes maanden, en 43% van de respondenten is zeer bezorgd over accountovernames. Het artikel benadrukt het dringende belang van het verifiëren van toegangstokens door websiteontwikkelaars om deze aanvallen te voorkomen en pleit voor een zorgvuldige implementatie van OAuth om de veiligheid van gebruikers te waarborgen. (anoniem, bron)
Dringende waarschuwing van Citrix: Patch NetScaler CVE-2023-4966 onmiddellijk
Citrix heeft beheerders dringend opgeroepen om een cruciale beveiligingsfout, geïdentificeerd als CVE-2023-4966, onmiddellijk te patchen in alle NetScaler ADC en Gateway apparaten. Deze kwetsbaarheid heeft een ernstscore van 9.4 op 10 gekregen omdat deze op afstand kan worden uitgebuit door niet-geverifieerde aanvallers zonder interactie van de gebruiker. Apparaten die als Gateway of AAA virtuele server zijn geconfigureerd, zijn bijzonder kwetsbaar. Deze beveiligingsfout werd twee weken geleden gepatcht door Citrix, maar uit informatie van cybersecuritybedrijf Mandiant blijkt dat de kwetsbaarheid al sinds eind augustus actief werd uitgebuit. Aanvallers gebruiken deze kwetsbaarheid om authenticatiesessies te stelen en accounts over te nemen. Dit kan hen zelfs in staat stellen om sterke authenticatieprocedures zoals multifactor-authenticatie te omzeilen. Bovendien waarschuwt Mandiant dat de gecompromitteerde sessies actief blijven, zelfs na het toepassen van de patch. Hierdoor kunnen aanvallers zich zijwaarts door het netwerk bewegen en mogelijk andere accounts compromitteren. Citrix benadrukt dat zij niet in staat zijn om forensische analyse uit te voeren om te bepalen of een systeem al dan niet is gecompromitteerd. Ze bevelen daarom aan om alle actieve en aanhoudende sessies te beëindigen met specifieke commando's. Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft de CVE-2023-4966 kwetsbaarheid toegevoegd aan zijn catalogus van bekende en uitgebuite kwetsbaarheden, en federale instanties opgedragen hun systemen te beveiligen tegen actieve uitbuiting vóór 8 november. (bron)
Cisco Brengt Eerste Patch Uit voor Actief Geëxploiteerde Zerodays in IOS XE
Cisco heeft een eerste update uitgebracht om twee ernstige kwetsbaarheden in hun IOS XE besturingssysteem te verhelpen. Deze zerodays, aangeduid als CVE-2023-20273 en CVE-2023-20198, maken het mogelijk voor aanvallers om op afstand volledige controle over een systeem te krijgen. De patch is momenteel alleen beschikbaar voor versie 17.9 van IOS XE; updates voor andere versies moeten nog worden aangekondigd. IOS XE wordt gebruikt in Cisco's switches en routers, waardoor het risico van exploitatie bijzonder hoog is. Tijdens het hoogtepunt van de aanvallen waren volgens de beveiligingsbedrijven Onyphe en Censys respectievelijk 53.000 en 42.000 systemen van een backdoor voorzien. Dit aantal is weliswaar afgenomen naar ongeveer 5.000 en 1.200, maar volgens Orange Cyberdefense werken de aanvallers aan het verbergen van deze backdoors, waardoor het precieze aantal gecompromitteerde systemen onduidelijk is. Het is cruciaal voor organisaties om deze patch zo snel mogelijk toe te passen. Door de kwetsbaarheden kunnen aanvallers niet alleen volledige controle krijgen over de getroffen systemen, maar ook verdere aanvallen uitvoeren en dataverkeer onderscheppen. Hierdoor lopen niet alleen de getroffen bedrijven, maar ook hun klanten en partners een aanzienlijk risico. (bron, bron2)
π₯π₯ #Cisco #CVE #CVE-2023-20198 update: something happened today.
β ONYPHE (@onyphe) October 21, 2023
We went down from 40k host with an implant to 1.2k.
We still have roughly the same number of reachable Cisco devices (~60k), but most of them do not show the Talos discovered implant remotely as before. https://t.co/ogetwLLfE6 pic.twitter.com/pWxKRpWr5V
Please note that a potential trace cleaning step is underway to hide the implant (following exploitation of #CVE-2023-20198) 1/2 https://t.co/i9y2MzwpZ5
β CERT Orange Cyberdefense (@CERTCyberdef) October 21, 2023
Kritieke RCE-lekken Ontdekt in SolarWinds Toegangsrechtenbeheer
Security onderzoekers hebben drie ernstige kwetsbaarheden voor uitvoering van externe code (Remote Code Execution, RCE) ontdekt in SolarWinds Access Rights Manager (ARM). Deze kwetsbaarheden kunnen door aanvallers op afstand worden misbruikt om code uit te voeren met SYSTEM-rechten. SolarWinds ARM is een beheertool die organisaties helpt om gebruikerstoegangsrechten binnen hun IT-omgevingen te controleren en beheren. De tool biedt onder andere integratie met Microsoft Active Directory en op rollen gebaseerde toegangscontrole. De kwetsbaarheden werden gerapporteerd via Trend Micro’s Zero Day Initiative (ZDI) op 22 juni. In totaal zijn er acht kwetsbaarheden gevonden, waarvan er drie als kritiek worden beschouwd. SolarWinds heeft alle kwetsbaarheden aangepakt en een patch beschikbaar gesteld in versie 2023.2.1 van zijn ARM-product. De drie kritieke RCE-kwetsbaarheden zijn:
- CVE-2023-35182: Aanvallers kunnen willekeurige code uitvoeren door ongevalideerde data te deserialiseren.
- CVE-2023-35185: Door gebrek aan validatie van door de gebruiker ingevoerde paden kunnen aanvallers willekeurige code uitvoeren.
- CVE-2023-35187: Aanvallers kunnen code uitvoeren zonder authenticatie, wederom door gebrek aan validatie van gebruikersinvoer.
Het uitvoeren van code met SYSTEM-rechten geeft aanvallers volledige controle over alle bestanden op de getroffen machine. Ondanks de ernst van deze kwetsbaarheden heeft SolarWinds ze niet als kritiek bestempeld; hun hoogste classificatie is 8.8 voor problemen met hoge ernst. Het is daarom essentieel dat gebruikers van SolarWinds ARM de laatste patches zo snel mogelijk implementeren om mogelijke exploits te voorkomen.
Sonicwall brengt beveiligingsupdates uit voor SonicOS om negen kwetsbaarheden te dichten
In Firewalls met SonicOS zijn meerdere kwetsbaarheden ontdekt, waaronder bufferoverflows, met een CVSS-index van maximaal 7.7. Sonicwall heeft daarom software-updates uitgebracht voor SonicOS om deze kwetsbaarheden aan te pakken. Deze updates sluiten ook nieuwe kwetsbaarheden met de namen CVE-2023-39276, CVE-2023-39277, CVE-2023-39278, CVE-2023-39279, CVE-2023-39280, CVE-2023-41711 en CVE-2023-41712. De details van deze beveiligingsupdates zijn te vinden in de SonicWall-beveiligingsmelding van 17 oktober 2023. Het is van cruciaal belang voor organisaties met SonicOS-firewalls om deze updates onmiddellijk te implementeren om hun systemen te beschermen tegen potentiële aanvallen. De kwetsbaarheden in SonicOS kunnen mogelijk worden misbruikt door aanvallers om ongeautoriseerde toegang te krijgen tot netwerken, gevoelige gegevens te stelen of schadelijke code uit te voeren. Met de CVSS-index van 7.7 worden sommige van deze kwetsbaarheden als ernstig beschouwd. Cybersecurity-experts raden aan om de updates zorgvuldig te testen in een gecontroleerde omgeving voordat ze op productieomgevingen worden toegepast. Het is ook belangrijk om regelmatig het nieuws en de meldingen van Sonicwall en andere beveiligingsinstanties te volgen om op de hoogte te blijven van eventuele nieuwe kwetsbaarheden en beveiligingsupdates. (bron)
Dringende Oproep van Oracle: 387 Beveiligingsupdates Direct Installeren
Oracle, een van de grote spelers in de wereld van bedrijfssoftware, heeft tijdens zijn meest recente patchronde in oktober 387 beveiligingsupdates vrijgegeven. Het bedrijf benadrukt het belang van onmiddellijke installatie en waarschuwt dat sommige van deze patches kritieke kwetsbaarheden aanpakken. Deze kwetsbaarheden zijn niet beperkt tot één enkel product; ze treffen een breed scala van Oracle-producten, waaronder financiële dienstenapplicaties en communicatiesoftware. Bijzonder zorgwekkend is dat het leeuwendeel van de patches, namelijk 103, betrekking heeft op financiële dienstenapplicaties zoals Oracle Banking en Oracle Financial Services. Bovendien zijn er 91 updates specifiek voor Oracle Communications. Sommige van deze kwetsbaarheden hebben een impactscore van 9.9 op een schaal van 1 tot 10, wat betekent dat ze het potentieel hebben om systemen volledig over te nemen als ze worden uitgebuit. De aankondiging benoemt ook expliciete zorgen rond Oracle WebLogic Server, een populaire Java-applicatieserver die in het verleden al een doelwit was voor cybercriminelen. Verschillende van de kwetsbaarheden die nu worden aangepakt, hebben eerder aanleiding gegeven tot waarschuwingen van de Amerikaanse overheid over actief misbruik. Oracle onderstreept dat het nog steeds meldingen ontvangt van aanvallen op reeds gepatchte systemen, simpelweg omdat klanten nalaten de patches te installeren. Het bedrijf roept daarom alle organisaties op om zonder vertraging deze updates te implementeren. Dit is des te belangrijker omdat Oracle slechts elk kwartaal beveiligingsupdates uitbrengt, in tegenstelling tot andere softwareleveranciers die maandelijks patches vrijgeven. De volgende patchronde van Oracle is gepland voor 16 januari 2024. (bron)
Kwetsbaarheid in Milesight Industriële Routers Stelt Systeemlogbestanden Bloot
Industriële routers van het Chinese bedrijf Milesight blijken een ernstige beveiligingsfout te bevatten die het mogelijk maakt voor systeemlogbestanden om uit te lekken. Deze logbestanden kunnen gevoelige informatie bevatten. Hoewel Milesight de kwetsbaarheid reeds heeft gepatcht, blijven er systemen kwetsbaar en zijn er aanwijzingen dat het lek al op kleine schaal wordt uitgebuit. De betrokken kwetsbaarheid is bekend als CVE-2023-43261 en treft specifiek de Milesight UR5X, UR32L, UR32, UR35 en UR41 routers. De patch voor dit lek is opgenomen in versie 35.3.0.7 van de software. Beveiligingsonderzoeker Bipin Jitiya publiceerde eerder deze maand details en een proof-of-concept. Volgens Milesight was het bedrijf al op de hoogte van de kwetsbaarheid en is deze inmiddels gedicht via patches. Uit een recent rapport van VulnCheck blijkt dat van de circa 5.500 met het internet verbonden Milesight-apparaten, minder dan 400 nog kwetsbaar zijn. Dit is ongeveer 6,5% van het totaal. Het bedrijf heeft misbruik van de kwetsbaarheid opgemerkt, waarbij ongeautoriseerde toegangspogingen zijn waargenomen op een zestal Milesight-apparaten. De IP-adressen van deze apparaten zijn te herleiden naar Frankrijk, Litouwen en Noorwegen. Deze bevindingen onderstrepen het belang van het up-to-date houden van alle industriële routers en het uitvoeren van reguliere veiligheidsaudits om dergelijke kwetsbaarheden proactief aan te pakken. (bron, bron2, bron3)
Dringende waarschuwing van Cisco voor kritieke zerodaylek in IOS XE
Cisco heeft een urgente waarschuwing uitgegeven voor een ernstige zerodaylek in hun IOS XE-besturingssysteem. Deze kwetsbaarheid, aangeduid als CVE-2023-20198, kreeg de hoogst mogelijke impactscore van 10.0 op een schaal van 1 tot 10. Het lek treft zowel fysieke als virtuele apparaten die gebruik maken van IOS XE en waarop de HTTP of HTTPS Server feature is ingeschakeld. Het besturingssysteem IOS XE wordt gebruikt op Cisco-switches en routers en wordt gezien als een geavanceerdere versie van het klassieke Cisco IOS-besturingssysteem. De kwetsbaarheid zit specifiek in de web UI-feature van IOS XE, die normaal gesproken beheerders helpt bij het configureren en monitoren van hun systemen. Door het lek kan een ongeauthenticeerde aanvaller een account met 'privilege 15' aanmaken, waarmee hij volledige controle over het systeem kan krijgen. Aanvallers gebruiken dit lek om een implant te installeren waarmee ze met het getroffen systeem kunnen communiceren. Hoewel dit implant niet bestand is tegen een systeemherstart, geldt dit niet voor de lokale gebruikersaccounts die de aanvallers aanmaken, wat blijvende gevolgen kan hebben. Cisco heeft tevens 'Indicators of Compromise' vrijgegeven, zodat organisaties kunnen nagaan of hun systemen gecompromitteerd zijn. Het bedrijf adviseert dringend om de HTTP Server feature op alle vanaf het internet toegankelijke systemen uit te schakelen en om de recent uitgebrachte beveiligingsupdate te installeren. Eerste aanwijzingen van actief misbruik van deze kwetsbaarheid dateren al van 18 september. (bron, bron2)
Kritieke Kwetsbaarheid Treft 200.000 WordPress-sites: Urgente Update Nodig voor Royal Elementor Addon
Beheerders van meer dan 200.000 WordPress-websites zijn op de hoogte gebracht van een ernstige kwetsbaarheid in de Royal Elementor Addons and Templates plug-in. Deze waarschuwing volgt op actieve aanvallen die al sinds augustus gaande zijn, volgens beveiligingsbedrijf Wordfence. De specifieke kwetsbaarheid, aangeduid als CVE-2023-5360, stelt niet-geauthenticeerde aanvallers in staat om kwaadaardige PHP-bestanden, zoals backdoors, te uploaden. De ernst van deze kwetsbaarheid is met een 9.8 beoordeeld op een schaal van 1 tot 10. Elementor is een populaire "page builder" plug-in die de standaard WordPress-editor vervangt en extra functionaliteiten toevoegt. Royal Elementor is een aanvullende plug-in voor Elementor en is geïnstalleerd op een aanzienlijk aantal WordPress-sites. Wordfence heeft bewijs dat er eind juli al aan een exploit werd gewerkt en de eerste aanvallen vonden plaats in augustus. Op 3 oktober was er een piek in het aantal aanvallen. Hoewel de ontwikkelaars op 6 oktober een beveiligingsupdate (versie 1.3.79) hebben uitgebracht om het lek te dichten, heeft nog niet de helft van de getroffen websites deze geïnstalleerd. WordPress-beheerders die de patch nog niet hebben toegepast, worden dringend verzocht om de update zo snel mogelijk te installeren om verdere exploitatie te voorkomen. (bron, bron2)
β οΈ Dringende Oproep tot Actie: Ernstige Kwetsbaarheid Ontdekt in Atlassian Confluence
Een recente aankondiging van het Nationaal Cyber Security Centrum (NCSC) en het Digital Trust Center van het Ministerie van Economische Zaken en Klimaat heeft de cyberbeveiligingsgemeenschap op scherp gezet. Er is een kritieke kwetsbaarheid geïdentificeerd in Atlassian Confluence, aangeduid als CVE-2023-22515, en de risicobeoordeling ervan is verhoogd naar "High/High". Dit houdt in dat er een grote kans is op misbruik en dat de gevolgen daarvan ernstig kunnen zijn. Deze urgentie is mede ingegeven door het verschijnen van een 'Proof of Concept' (PoC), een publicatie die gedetailleerd uitlegt hoe de kwetsbaarheid kan worden uitgebuit. Cybercriminelen kunnen deze leemte gebruiken om ongeautoriseerde beheerdersaccounts aan te maken op publiekelijk toegankelijke Confluence Data Center- en Serverinstanties. Hierdoor kunnen ze toegang krijgen tot gevoelige data en systemen. Het goede nieuws is dat Atlassian al software-updates heeft uitgerold om de kwetsbaarheid te verhelpen. Gebruikers worden dringend geadviseerd om hun systemen zo snel mogelijk te updaten naar Confluence Data Center en Confluence Server versie 8.3.3 of later, 8.4.3 of later, of 8.5.2 of later. Als je gebruikmaakt van Atlassian Cloud sites, ben je niet kwetsbaar voor deze specifieke dreiging. Bovendien heeft Atlassian bewijs gevonden dat er al misbruik is gemaakt van deze kwetsbaarheid. Het bedrijf adviseert daarom om ook te onderzoeken of er sporen van misbruik zijn in uw systemen. Deze situatie onderstreept het belang van voortdurende waakzaamheid en snelle actie in het landschap van cyberbeveiliging, en zowel individuen als bedrijven worden aangemoedigd om hun beveiligingsmaatregelen te herzien.
VS Publiceert Cruciale Lijst van Kwetsbaarheden en Misconfiguraties in de Strijd tegen Ransomware
De Amerikaanse overheid, onder leiding van het Cybersecurity and Infrastructure Security Agency (CISA), heeft een omvangrijke lijst uitgebracht van kwetsbaarheden en misconfiguraties die actief worden uitgebuit door cybercriminelen voor het verspreiden van ransomware. Deze lijst heeft als doel organisaties te assisteren bij het identificeren en prioriteren van beveiligingsupdates die dringend geïnstalleerd moeten worden. Sinds 2021 houdt CISA een database bij van actief aangevallen kwetsbaarheden en deze is nu verrijkt met een sectie specifiek toegespitst op ransomware: 'Known to be Used in Ransomware Campaigns'. Naast deze lijst van kwetsbaarheden heeft CISA ook een overzicht samengesteld van misconfiguraties die vaak misbruikt worden door criminelen achter ransomware-aanvallen. Op dit moment bestaat dit overzicht uit vijf kritieke items: Remote Desktop Protocol (RDP), File Transfer Protocol (FTP), Telnet, Server Message Block (SMB) en Virtual Network Computing (VNC). Het advies luidt onder meer om FTP niet te gebruiken, en om RDP- en VNC-verkeer via een VPN te routeren. Tevens wordt aanbevolen om voor RDP gebruik te maken van multifactorauthenticatie. Deze initiatieven van de Amerikaanse overheid dienen niet alleen als leidraad voor organisaties, maar worden ook gebruikt om federale instanties te verplichten om bepaalde beveiligingspatches voor een gestelde deadline te installeren. Met deze gecoördineerde aanpak hoopt de overheid het groeiende probleem van ransomware effectief te bestrijden en organisaties te wapenen tegen toekomstige aanvallen. (bron, bron2, bron3)
Apple's Noodpatch Tegen Zero-Click iMessage Exploit en NSO Pegasus Spyware
Apple heeft een noodpatch uitgerold om twee ernstige beveiligingslekken te dichten die actief werden misbruikt in een zero-click aanvalsreeks, genaamd BLASTPASS, om NSO Group's Pegasus spyware op volledig bijgewerkte iPhones te installeren. Deze ontdekking werd gedaan door Citizen Lab, een organisatie die zich richt op digitale rechten en beveiliging. De kwetsbaarheden, aangeduid als CVE-2023-41064 en CVE-2023-41061, maakten het mogelijk voor aanvallers om iPhones te infecteren die op iOS 16.6 draaien. Dit gebeurde via PassKit-bijlagen met kwaadaardige afbeeldingen in iMessage. Citizen Lab meldde dat de exploitketen BLASTPASS in staat was om iPhones met de nieuwste versie van iOS te compromitteren zonder enige interactie van het slachtoffer. Het bedrijf heeft alle Apple-gebruikers opgeroepen om hun apparaten onmiddellijk bij te werken en de Lockdown Modus te activeren, vooral degenen die mogelijk het doelwit zijn van gerichte aanvallen. De twee kwetsbaarheden werden ontdekt in de Image I/O- en Wallet-frameworks. CVE-2023-41064 betreft een buffer overflow die wordt geactiveerd bij het verwerken van malafide afbeeldingen, terwijl CVE-2023-41061 een validatieprobleem is dat kan worden uitgebuit via kwaadaardige bijlagen. Beide maken het voor bedreigingsactoren mogelijk om willekeurige code uit te voeren op niet-gepatchte iPhones en iPads. Apple heeft deze beveiligingsfouten aangepakt in verschillende software-updates voor iOS, macOS Ventura, iPadOS en watchOS. De lijst met getroffen apparaten is uitgebreid en omvat onder andere iPhone 8 en latere modellen, iPad Pro en nieuwere iPads, en Apple Watch Series 4 en later. Sinds het begin van het jaar heeft Apple een totaal van 13 zero-days gerepareerd die werden uitgebuit om apparaten die op iOS, macOS, iPadOS en watchOS draaien, aan te vallen. (bron, bron2, bron3)
We refer to the exploit as BLASTPASS, as it employed a PassKit (Wallet) attachment containing a malicious image, sent via iMessage. When the phone processed the attachment, the exploit hijacked control of Apple's "BlastDoor" framework for iMessage security.
β Bill Marczak (@billmarczak) September 7, 2023
Apple Pakt Zero-Day Kwetsbaarheden in Oudere iPhones en iPads aan
Apple heeft beveiligingsupdates uitgebracht voor oudere iPhones en iPads om patches toe te passen die een week geleden zijn vrijgegeven. Deze updates richten zich op twee zero-day kwetsbaarheden die actief werden uitgebuit. Het eerste lek, geïdentificeerd als CVE-2023-42824, betreft een privilege escalatie kwetsbaarheid in de XNU-kernel. Aanvallers kunnen hiermee hun privileges verhogen op kwetsbare apparaten. Apple heeft dit probleem verholpen in iOS 16.7.1 en iPadOS 16.7.1, maar heeft nog niet bekendgemaakt wie de fout heeft ontdekt en gerapporteerd. De tweede kwetsbaarheid, aangeduid als CVE-2023-5217, is veroorzaakt door een heap buffer overflow in de open-source libvpx videocodec-bibliotheek, die willekeurige code-uitvoering mogelijk maakt bij succesvolle uitbuiting. Google en Microsoft hadden eerder al patches uitgebracht voor dit lek in respectievelijk Chrome en Edge, Teams, en Skype. De lijst van getroffen apparaten is uitgebreid en omvat onder meer iPhone 8 en latere modellen, evenals diverse iPad-modellen. Het Cybersecurity and Infrastructure Security Agency (CISA) heeft federale instanties opgedragen hun apparaten te beveiligen tegen deze kwetsbaarheden. Dit komt naast andere recent verholpen zero-day kwetsbaarheden die werden uitgebuit om spionagesoftware zoals Cytrox's Predator en NSO Group's Pegasus te installeren. Sinds het begin van dit jaar heeft Apple 18 zero-day kwetsbaarheden gepatcht die actief werden uitgebuit om iPhones en Macs te targeten. (bron)
Verwachte Ernst van curl Kwetsbaarheid Blijkt Minder Ernstig dan Gedacht
De recent uitgebrachte versie 8.4.0 van curl, een command-line utility voor het overdragen van data via diverse protocollen, bevat een patch voor een hoog-risico beveiligingslek (CVE-2023-38545). Deze patch komt na een week van zorgen over de ernst van de kwetsbaarheid. Daniel Stenberg, de ontwikkelaar van curl, waarschuwde op 4 oktober dat de nieuwe versie vroegtijdig zou worden vrijgegeven om dit beveiligingsprobleem aan te pakken, het ernstigste in lange tijd volgens hem. Het lek betreft een heap buffer overflow in de SOCKS5-proxyprotocol-implementatie van curl. Een dergelijke overflow kan leiden tot geheugencorruptie, applicatiecrashes en potentieel zelfs tot het op afstand uitvoeren van code. Echter, de vereisten om de kwetsbaarheid te misbruiken maken het veel minder gevaarlijk dan aanvankelijk werd verwacht. Om de kwetsbaarheid te kunnen uitbuiten, moet de curl-client zijn geconfigureerd om een SOCKS5-proxy te gebruiken bij het maken van verbindingen naar een externe site, en moeten automatische omleidingen zijn ingeschakeld. Bovendien is er een timingvereiste: er is een trage SOCKS5-verbinding naar de externe site nodig. Volgens experts zou het lek vooral nuttig kunnen zijn voor het richten op cybersecurityonderzoekers en ontwikkelaars, aangezien zij vaak SOCKS5-proxies gebruiken. Ondanks dat het misbruiken van het lek relatief eenvoudig lijkt, leiden bestaande proof-of-concept exploits enkel tot het crashen van curl en niet tot code-uitvoering. Het is dus raadzaam om naar de nieuwe versie te upgraden voor de meest complete beveiliging. (bron, bron2, bron3, bron4, bron5, bron6)
Cisco Openbaart Ernstige Kwetsbaarheden in Yifan M2M-Router na Inactiviteit van Fabrikant
Cisco heeft onlangs ernstige beveiligingslekken aan het licht gebracht in de mobiele M2M-router YF325 van Yifan, nadat de fabrikant nalaat om actie te ondernemen. Deze router wordt gebruikt in een reeks van machine-to-machine (M2M) toepassingen zoals kassasystemen, watervoorzieningen, weermetingen, smart grids en industriële automatisering. Het apparaat is ook relevant voor het Internet of Things (IoT) landschap. Onderzoekers van Cisco ontdekten maar liefst dertien kritieke kwetsbaarheden, waarvan één (CVE-2023-24479) een aanvaller in staat stelt om de inloggegevens van de beheerder aan te passen en rootrechten te verkrijgen. Bovendien was debugcode met admin-inloggegevens in de software achtergelaten, wat een extra aanvalsvector creëert. De meeste van deze kwetsbaarheden kregen een beoordeling van 9.8 op een schaal van 1 tot 10, wat de urgentie van het probleem onderstreept. Wat verontrustend is, is dat Yifan al in juli op de hoogte werd gesteld van deze kwetsbaarheden maar tot op heden geen beveiligingsupdates heeft uitgebracht. Cisco heeft daarom besloten om de details publiekelijk te maken om gebruikers en stakeholders te informeren over de risico's. Deze stap van Cisco benadrukt de noodzaak voor fabrikanten om proactief te zijn in het adresseren van beveiligingsproblemen, vooral als hun producten zo diep zijn geïntegreerd in kritieke en veelzijdige systemen. (bron, bron2, bron3)
Curl Repareert Kritieke Kwetsbaarheid Die tot Buffer Overflow Kan Leiden
De ontwikkelaars van curl, een essentiële softwarebibliotheek en command-line tool voor dataoverdracht, hebben een belangrijke beveiligingsupdate uitgebracht om een ernstige kwetsbaarheid aan te pakken. Deze kwetsbaarheid, geïdentificeerd als CVE-2023-38545, kan leiden tot een buffer overflow, waardoor een aanvaller mogelijk willekeurige code kan uitvoeren of een denial of service kan veroorzaken. Curl wordt in tal van applicaties en systemen gebruikt en is aanwezig op zo'n twintig miljard 'instances'. Deze specifieke kwetsbaarheid doet zich voor als er gebruik wordt gemaakt van een SOCKS5 proxy. Wanneer een curl-client via zo'n proxy een verbinding maakt met een kwaadwillende https-server, kan de server de client omleiden naar een url die te groot is voor de buffer die curl gebruikt voor de SOCKS5-proxyhandshake, wat resulteert in een buffer overflow. Om deze aanval te laten slagen, zijn er vier specifieke voorwaarden vereist, aldus Jay Satiro, de onderzoeker die de kwetsbaarheid ontdekte. De voorwaarden omvatten technische specificaties zoals een kleinere 'negotiation buffer' en een vertraagde 'hello reply' van de SOCKS5 proxy. Er is enige discussie in de gemeenschap over de ernst van deze kwetsbaarheid. Sommigen vinden de omstandigheden voor misbruik te specifiek om het als een ernstig risico te beschouwen. Echter, gezien het brede gebruik van curl, waaronder in embedded systemen en netwerkconfiguraties die SOCKS5 proxies gebruiken, is het een kwestie die niet genegeerd mag worden. Gebruikers en organisaties die van curl gebruikmaken, worden geadviseerd om te updaten naar versie 8.4.0 en specifieke proxy-instellingen te vermijden die deze kwetsbaarheid kunnen triggeren. (bron, bron2, bron3, bron4, bron5)
Kritieke Kwetsbaarheid in Google Chrome's Site Isolation Beveiligingsmechanisme
Google heeft een ernstige waarschuwing uitgegeven voor een kritiek beveiligingslek in zijn webbrowser Chrome. Het lek, aangeduid als CVE-2023-5218, bevindt zich in een beveiligingsmaatregel genaamd Site Isolation. Dit onderdeel zorgt ervoor dat inhoud van verschillende websites in aparte processen worden geladen om een betere beveiliging te bieden. Het helpt ook bij het voorkomen van Spectre-achtige aanvallen, door gegevens van verschillende websites te isoleren van elkaar. Het risico van dit beveiligingslek is aanzienlijk. Een aanvaller kan eenvoudig het systeem van een gebruiker overnemen door hen slechts een malafide of gecompromitteerde website te laten bezoeken, zonder verdere interactie van de gebruiker. Het lek kan leiden tot een zogenaamde "use-after-free" situatie, waardoor kwaadwillenden code kunnen uitvoeren op het getroffen systeem. Het probleem werd ontdekt door een externe onderzoeker, en details over de kwetsbaarheid zijn momenteel schaars. Google heeft nog niet bekendgemaakt hoeveel beloning ze zullen uitkeren aan de onderzoeker die het lek heeft gemeld. Google werkt aan een update om het probleem te verhelpen en streeft ernaar deze binnen 30 dagen beschikbaar te stellen aan alle Chrome-gebruikers. Na zestig dagen zullen verdere details over het lek openbaar worden gemaakt. De nieuwste versies van Chrome, namelijk 118.0.5993.70/.71 voor Windows en 118.0.5993.70 voor macOS en Linux, zijn reeds beschikbaar. Het updateproces zal in de meeste gevallen automatisch verlopen, maar gebruikers die de update direct willen installeren, zullen een handmatige controle moeten uitvoeren. Het wordt sterk aangeraden om zo snel mogelijk uw Chrome-browser bij te werken om het risico van een succesvolle aanval te minimaliseren. (bron, bron2, bron3)
Verbeterde Patch voor Kritieke Microsoft Exchange Server Kwetsbaarheid Uitgerold
Microsoft heeft een nieuwe en verbeterde patch uitgebracht om een kritieke kwetsbaarheid in de Exchange Server aan te pakken. Deze kwetsbaarheid, aangeduid als CVE-2023-21709, stelt niet-geauthenticeerde aanvallers in staat om privileges te escaleren op niet-gepatchte Exchange-servers. Het bijzondere aan deze kwetsbaarheid is dat het kan worden uitgebuit zonder interactie van de gebruiker en met een lage complexiteit. Oorspronkelijk werd deze kwetsbaarheid aangepakt in augustus 2023 tijdens een reguliere Patch Tuesday. De initiële patch vereiste dat beheerders handmatig een kwetsbaar Windows IIS Token Cache-module verwijderden of een specifiek PowerShell-script gebruikten om hun servers te beschermen. Nu heeft Microsoft een volledige oplossing geboden via een nieuwe beveiligingsupdate, getagd als CVE-2023-36434. Deze update pakt de root cause van de kwetsbaarheid aan en vereist geen aanvullende stappen. Microsoft benadrukt dat beheerders die de oorspronkelijke, kwetsbare IIS-module hebben verwijderd, deze nu veilig kunnen heractiveren door de nieuwe updates te installeren en een specifiek PowerShell-commando uit te voeren. Bovendien werden in de oktober 2023 Patch Tuesday beveiligingsupdates 104 andere kwetsbaarheden aangepakt, waarvan 12 als kritiek en drie als zero-day kwetsbaarheden zijn geclassificeerd. Opvallend is dat Microsoft een bepaalde kwetsbaarheid in Skype voor Bedrijven, aangeduid als CVE-2023-41763, tot op heden weigerde te patchen ondanks dat deze actief werd uitgebuit. Deze ontwikkelingen onderstrepen het belang voor beheerders om hun systemen regelmatig te updaten en de aanbevelingen van Microsoft nauwgezet te volgen om potentiële cyberaanvallen te mitigeren. (bron, bron2, bron3)
Nieuwe Windows 10 KB5031356 Update Brengt 25 Verbeteringen en Veiligheidsmaatregelen
Microsoft heeft onlangs de cumulatieve update KB5031356 uitgebracht voor Windows 10 versies 21H2 en 22H2. Deze update bevat 25 belangrijke oplossingen voor verschillende problemen en is onderdeel van de Patch Tuesday van oktober 2023. Windows-gebruikers kunnen de update handmatig installeren via de instellingen door te klikken op 'Windows Update', en vervolgens 'Check for Updates' uit te voeren. De update wordt automatisch geïnstalleerd zodra deze beschikbaar is, maar gebruikers kunnen zelf bepalen wanneer hun computer opnieuw wordt opgestart om de installatie te voltooien. Een van de opvallende verbeteringen is een vernieuwde zoekbalk in de taakbalk die een meer gestroomlijnde ervaring biedt. Gebruikers kunnen gemakkelijker apps, bestanden, instellingen en meer vinden, zowel op hun computer als op het web. Verder heeft deze update animaties toegevoegd aan enkele pictogrammen op de nieuws- en interesseknop in de taakbalk. Daarnaast worden ook enkele problemen aangepakt, zoals een probleem met Microsoft Excel dat vastloopt bij het delen van een PDF-bestand via Outlook en een probleem waarbij het touchscreen-toetsenbord soms niet verschijnt. Belangrijker nog, deze update bevat maatregelen tegen een nieuwe zero-day Distributed Denial of Service (DDoS) aanvalstechniek, aangeduid als HTTP/2 Rapid Reset. Hiermee kunnen gebruikers het aantal RST_STREAMS per minuut instellen om DDoS-aanvallen te mitigeren. Deze maatregelen zijn vooral relevant voor gebruikers die hun apparaat op het internet hebben blootgesteld of een webserver toegankelijk hebben gemaakt voor anderen. De KB5031356 update is een cruciale stap in het verbeteren van de algehele veiligheid en functionaliteit van Windows 10. (bron, bron2)
Microsoft's Oktober 2023 Patch Tuesday: Drie Zero-Days en 104 Kwetsbaarheden Verholpen
Microsoft heeft op 10 oktober 2023 zijn maandelijkse Patch Tuesday aankondiging gedaan. In deze update werden 104 kwetsbaarheden in verschillende Microsoft-producten verholpen. Hieronder bevinden zich drie zero-day kwetsbaarheden die actief werden uitgebuit. Van de 104 kwetsbaarheden waren er 45 gerelateerd aan 'Remote Code Execution' (RCE), maar slechts twaalf daarvan werden als 'kritiek' geclassificeerd. De overige kwetsbaarheden vielen onder verschillende categorieën, waaronder 'Elevation of Privilege' (26), 'Security Feature Bypass' (3), 'Information Disclosure' (12), 'Denial of Service' (17) en 'Spoofing' (1). De drie zero-day kwetsbaarheden zijn als volgt:
- CVE-2023-41763: Een 'Elevation of Privilege' kwetsbaarheid in Skype voor Business. Deze kwetsbaarheid had betrekking op het bekijken van gevoelige informatie maar liet geen wijzigingen toe aan deze informatie of beperkte de toegang tot de bron.
- CVE-2023-36563: Een kwetsbaarheid in Microsoft WordPad die het mogelijk maakte voor een aanvaller om NTLM-hashes te stelen, wat kan resulteren in een accountovername.
- CVE-2023-44487: Een nieuwe Distributed Denial of Service (DDoS) aanvalstechniek genaamd 'HTTP/2 Rapid Reset'. Dit was een zero-day aanval die sinds augustus actief was. Als remedie adviseert Microsoft het HTTP/2-protocol op webservers uit te schakelen.
Daarnaast werden ook updates van andere bedrijven, zoals Apple, Google en Cisco, genoemd die betrekking hadden op zero-day kwetsbaarheden. Gezien het brede scala aan kwetsbaarheden dat is aangepakt, wordt dringend aanbevolen deze patches zo snel mogelijk te installeren om risico's te minimaliseren. (bron)
Kritieke Beveiligingslek in Citrix NetScaler Bedreigt Gevoelige Informatie
Een nieuw ontdekt kritiek beveiligingslek in Citrix NetScaler ADC en NetScaler Gateway stelt cybercriminelen in staat om gevoelige informatie bloot te leggen. De kwetsbaarheid is geregistreerd onder de code CVE-2023-4966 en heeft een CVSS-beoordeling van 9.4, wat wijst op een hoge mate van ernst. Dit lek is van afstand uit te buiten zonder dat er hoge rechten of complexe gebruikersinteracties nodig zijn. Er is echter één voorwaarde: het getroffen apparaat moet zijn geconfigureerd als een Gateway of een AAA virtuele server om kwetsbaar te zijn voor aanvallen. Naast deze kritieke fout is er een tweede kwetsbaarheid, bekend als CVE-2023-4967, met een hoge ernstscore van 8.2. Deze kan leiden tot een denial-of-service (DoS) op kwetsbare systemen. Beide lekken hebben geen mitigatietips of workarounds ontvangen van Citrix. Het bedrijf dringt er bij de gebruikers op aan om hun systemen zo snel mogelijk te updaten naar een beveiligde versie. De getroffen versies van de Citrix-producten zijn NetScaler ADC en NetScaler Gateway 14.1 vóór 14.1-8.50, 13.1 vóór 13.1-49.15, en 13.0 vóór 13.0-92.19. Citrix heeft specifieke versies aanbevolen voor de upgrade, en het is belangrijk op te merken dat versie 12.1 zijn 'end-of-life' heeft bereikt en niet langer wordt ondersteund. Kritieke lekken in Citrix-producten zijn bijzonder gewild door hackers, aangezien grote organisaties met waardevolle assets deze apparaten vaak gebruiken. Er zijn al gevallen bekend van actieve uitbuiting van vergelijkbare kwetsbaarheden door cybercriminelen voor het planten van backdoors en het stelen van inloggegevens. (bron)
Kwetsbaarheid in Linux-libcue Bibliotheek Maakt 1-Click Remote Code Execution Mogelijk
Een recent ontdekte kwetsbaarheid in de libcue-bibliotheek voor Linux-desktops stelt aanvallers in staat om willekeurige code uit te voeren via een gemanipuleerd cue sheet. GitHub Security Lab waarschuwde voor dit beveiligingslek. Cue sheets worden vooral gebruikt om informatie over cd-tracks op te slaan en zijn vaak gekoppeld aan het Flac-bestandsformaat. Diverse programma's, zoals tracker-miners die standaard deel uitmaken van de Gnome-desktopomgeving, gebruiken deze bibliotheek. Tracker-miners indexeert bestanden in de home directory en wordt automatisch bijgewerkt. Daardoor kan een Linux-gebruiker gecompromitteerd raken door het eenvoudigweg klikken op een malafide link, waarschuwt Kevin Backhouse van GitHub. In een typisch scenario downloadt een Gnome-gebruiker een cue sheet die standaard in de downloads-directory wordt geplaatst. Tracker-miners scant dit bestand automatisch en gebruikt libcue voor de verwerking. Als het bestand kwaadaardig is, kan een exploit in het cue sheet de kwetsbaarheid in libcue activeren om code uit te voeren op het systeem van de gebruiker. Dit wordt omschreven als '1-click remote code execution'. De kwetsbaarheid is geclassificeerd als CVE-2023-43641 en heeft een impactscore van 8.8 op een schaal van 1 tot 10. GitHub heeft bewust geen proof-of-concept exploit vrijgegeven om gebruikers de tijd te geven hun systemen bij te werken. Als u Gnome gebruikt, wordt dringend geadviseerd om de beschikbare updates te installeren. (bron, bron2)
Populaire D-Link WiFi-Versterker Kwetsbaar voor Command Injection en DoS-aanvallen
Een veelgebruikte WiFi-range extender van D-Link, het model DAP-X1860, vertoont ernstige beveiligingszwakheden, waaronder vatbaarheid voor DoS (Denial of Service) aanvallen en remote command injection. Het onderzoeksteam RedTeam uit Duitsland ontdekte de kwetsbaarheid, die de code CVE-2023-45208 draagt. Ondanks meerdere pogingen om D-Link te waarschuwen, heeft het bedrijf nog geen updates of patches uitgebracht om het probleem te verhelpen. De kwetsbaarheid is geïdentificeerd in de netwerkscanfunctie van het apparaat. Concreet gaat het om een fout in de 'parsing_xml_stasurvey'-functie in de bibliotheek 'libcgifunc.so'. Het apparaat is niet in staat om WiFi-netwerknamen (SSID's) te verwerken die een enkele aanhalingsteken (') bevatten en interpreteert dit als een commando-einde. Een aanvaller kan deze zwakheid misbruiken door een netwerk te creëren met een SSID die een aanhalingsteken bevat. Het apparaat probeert vervolgens commando's uit te voeren die in de netwerknaam zijn ingevoegd, wat kan leiden tot een interne serverfout of erger. De aanvaller moet echter wel eerst een netwerkscan op het doelapparaat forceren, wat mogelijk is door middel van een deauthenticatie-aanval. Er zijn diverse softwaretools beschikbaar waarmee aanvallers deauth-pakketten naar het apparaat kunnen sturen, waardoor het loskoppelt van zijn hoofdnetwerk en een nieuwe netwerkscan uitvoert. Als tijdelijke maatregel wordt geadviseerd om handmatige netwerkscans te beperken, plotselinge netwerkonderbrekingen met argwaan te behandelen, en het apparaat uit te schakelen wanneer het niet actief wordt gebruikt. Tevens wordt aangeraden om IoT-apparaten en range extenders op een apart netwerk te plaatsen, geïsoleerd van gevoelige apparaten die persoonlijke of werkgerelateerde gegevens bevatten. (bron, bron2)
Kritieke Kwetsbaarheid in GNOME Linux Systemen Maakt RCE-aanvallen Mogelijk via Bestandsdownloads
Een recent ontdekte kwetsbaarheid in de open-source libcue-bibliotheek stelt aanvallers in staat om willekeurige code uit te voeren op Linux-systemen die de GNOME desktopomgeving gebruiken. Deze kwetsbaarheid, bekend onder de CVE-2023-43641, is geïntegreerd in de Tracker Miners file metadata indexer, die standaard aanwezig is in de nieuwste GNOME-versies. Deze indexer wordt gebruikt voor het sorteren en indexeren van bestanden, waaronder cue-bestanden, die typisch geassocieerd zijn met FLAC audioformaten. Het exploitatieproces van deze kwetsbaarheid is vrij eenvoudig en zorgwekkend. Wanneer een gebruiker een kwaadaardig gecreëerd .CUE-bestand downloadt, dat vervolgens wordt opgeslagen in de ~/Downloads-map, wordt de kwetsbaarheid geactiveerd. Tracker Miners zal automatisch het gedownloade bestand indexeren en daarbij de kritieke fout in het geheugen triggeren. Volgens GitHub-beveiligingsonderzoeker Kevin Backhouse, die deze bug ontdekte, is het klikken op een schadelijke link voldoende om de aanval uit te voeren. Backhouse heeft een proof-of-concept exploit gedemonstreerd en gaf aan dat de kwetsbaarheid betrouwbaar werkt op Ubuntu 23.04 en Fedora 38 platforms. Beveiligingsexperts en systeembeheerders worden dringend aangeraden om hun systemen te patchen en te updaten om deze ernstige kwetsbaarheid aan te pakken. GNOME is een veelgebruikte desktopomgeving en wordt ingezet in diverse Linux-distributies zoals Debian, Ubuntu, Fedora en Red Hat Enterprise, waardoor de potentiële impact van deze kwetsbaarheid aanzienlijk is. (bron)
Video of my PoC for CVE-2023-43641: out-of-bounds array access in libcue. libcue is used by tracker-miners, which automatically scans new files in ~/Downloads, so the bug is triggered by downloading a file. pic.twitter.com/xCSkaHD7zp
β Kev (@kevin_backhouse) October 9, 2023
Ubuntu lost kritieke Vim-kwetsbaarheden op die code-uitvoer door aanvallers mogelijk maken
Ubuntu heeft recentelijk beveiligingsupdates vrijgegeven die dertien kwetsbaarheden in de teksteditor Vim verhelpen. Deze kwetsbaarheden maakten het mogelijk voor aanvallers om willekeurige code uit te voeren op het systeem van de gebruiker, of zelfs een 'Denial of Service' (DoS) aanval te initiëren. Vim wordt beschouwd als een geavanceerdere versie van de populaire teksteditor vi. De kwetsbaarheden, geïdentificeerd met de CVE-codes CVE-2022-3235, CVE-2022-3278, CVE-2022-3297, CVE-2022-3491, CVE-2022-3352 en CVE-2022-4292, ontstaan doordat Vim niet goed omgaat met het geheugen bij het openen van bepaalde soorten bestanden. Een aanvaller kan deze tekortkoming misbruiken door een speciaal geprepareerd bestand via Vim te openen op het systeem van de gebruiker. Ubuntu raadt zijn gebruikers aan om te updaten naar de nieuwste versies van het besturingssysteem, namelijk versies 22.04, 20.04, 18.04 en 14.04, om deze kwetsbaarheden te verhelpen. Gebruikers van het Linux Mint besturingssysteem merkten op dat deze updates ook in hun lijst van beschikbare updates verschenen. Hoewel sommige experts beweren dat de ernst van deze kwetsbaarheden misschien overdreven is—omdat interactie van de gebruiker vereist is en systemen met SELinux als beveiligingsmechanisme minder kwetsbaar zouden zijn—benadrukt de situatie het belang van het regelmatig updaten van software en het voorzichtig zijn met het openen van onbekende bestanden. (bron)
Ernstig Beveiligingslek in Linux Biedt Root-toegang op Grote Distributies
Er is een ernstig beveiligingslek ontdekt in de GNU C Library's dynamische lader (ook bekend als ld.so) op grote Linux-distributies zoals Debian, Ubuntu en Fedora. Deze kwetsbaarheid, aangeduid als 'Looney Tunables' en getraceerd onder CVE-2023-4911, maakt het mogelijk voor lokale aanvallers om root-privileges te verkrijgen op de getroffen systemen. Het beveiligingslek ontstaat door een buffer overflow en beïnvloedt standaardinstallaties van Debian 12 en 13, Ubuntu 22.04 en 23.04, en Fedora 37 en 38. Aanvallers kunnen de kwetsbaarheid misbruiken door een kwaadaardige 'GLIBC_TUNABLES' omgevingsvariabele te gebruiken die wordt verwerkt door de ld.so dynamische lader. Hierdoor kunnen ze willekeurige code uitvoeren met root-privileges. De kwetsbaarheid is vooral zorgwekkend omdat er al verschillende proof-of-concept (PoC) exploits zijn gepubliceerd sinds de onthulling door Qualys' Threat Research Unit. Beveiligingsexpert Will Dormann bevestigde dat een van deze PoC-exploits, uitgebracht door onafhankelijk onderzoeker Peter Geissler, effectief werkt. Hoewel het aantal doelwitten momenteel beperkt is, bevat de PoC ook instructies voor het toevoegen van meer systemen door de juiste offsets voor elk systeem te identificeren. Vanwege het significante risico dat deze kwetsbaarheid vormt, wordt systeembeheerders aangeraden om zo snel mogelijk te handelen. Terwijl Alpine Linux niet wordt beïnvloed, moeten beheerders van andere getroffen systemen patching prioriteren om de integriteit en beveiliging van hun systemen te waarborgen. Het gemak waarmee deze buffer overflow kan worden omgezet in een aanval betekent dat het een wijdverbreid risico vormt, vooral gezien het uitgebreide gebruik van de GNU C Library in Linux-distributies. (bron, bron2)
Yeah, this works. https://t.co/EQWH04G2eM pic.twitter.com/AY8eWMMIsp
β Will Dormann (@wdormann) October 5, 2023
Curl Signaleert 'Meest Gevaarlijke Kwetsbaarheid in Jaren'
Curl, een bekende library en command-line tool voor het versturen en ontvangen van data via diverse netwerkprotocollen, heeft een waarschuwing uitgegeven over een ernstige veiligheidskwetsbaarheid, aangeduid als CVE-2023-38545. De waarschuwing kwam van curl-maintainer Daniel Stenberg en wordt beschouwd als de 'gevaarlijkste kwetsbaarheid sinds lange tijd'. Sinds de lancering van de eerste versie in 1996, toen nog onder de naam httpget, zijn er 39 'high'-beoordeelde kwetsbaarheden aangepakt. Deze kunnen leiden tot ernstige problemen zoals buffer overflows, waardoor aanvallers kwaadaardige code kunnen uitvoeren op getroffen systemen. De laatste 'high'-kwetsbaarheid werd verholpen op 26 mei 2021, wat deze nieuwe waarschuwing des te alarmerender maakt. Stenberg heeft besloten geen details te delen over de kwetsbaarheid of welke versies van curl getroffen zijn. Deze informatie zou aanvallers kunnen helpen bij het lokaliseren en uitbuiten van de kwetsbaarheid. Een beveiligingsupdate wordt verwacht op 11 oktober om het beveiligingslek te verhelpen. Het is cruciaal voor organisaties en individuen die gebruik maken van curl om alert te blijven en de aankomende beveiligingsupdate onmiddellijk toe te passen zodra deze beschikbaar is. Het nalaten hiervan kan ernstige beveiligingsrisico's met zich meebrengen. (bron)
Apple Komt met Spoedupdate om Nieuwe Zero-Day Exploit te Verhelpen
Apple heeft een noodbeveiligingsupdate uitgebracht om een nieuwe zero-day kwetsbaarheid te verhelpen die actief werd uitgebuit om iPhones en iPads aan te vallen. Deze specifieke zero-day, geïdentificeerd als CVE-2023-42824, ontstond door een zwakte in de XNU-kernel. Deze kwetsbaarheid maakte het mogelijk voor lokale aanvallers om hun privileges te verhogen op ongepatchte iPhones en iPads. Het bedrijf heeft niet bekendgemaakt wie de kwetsbaarheid heeft ontdekt en gemeld. De lijst van getroffen apparaten is uitgebreid en omvat iPhone XS en later, evenals verschillende generaties van de iPad Pro, iPad Air, en iPad mini. Naast deze zero-day heeft Apple ook een andere zero-day kwetsbaarheid aangepakt, geïdentificeerd als CVE-2023-5217. Deze werd veroorzaakt door een heap buffer overflow in de VP8-encoding van de open-source libvpx videocodec-bibliotheek, wat willekeurige code-uitvoering mogelijk maakte. Deze bug was eerder gepatcht door Google in Chrome en door Microsoft in Edge, Teams en Skype. Dit is de 17e zero-day kwetsbaarheid die Apple dit jaar heeft aangepakt. Eerder repareerde het bedrijf ook drie andere zero-day bugs die werden uitgebuit in spionagesoftware-aanvallen om Predator-spyware van Cytrox te installeren. Daarnaast heeft Apple sinds januari 2023 in totaal 17 zero-day kwetsbaarheden verholpen die werden uitgebuit om iPhones en Macs te targeten. De nieuwe iOS 17.0.3 update bevat ook een oplossing voor een bekend probleem waarbij iPhones met iOS 17.0.2 en lager oververhit raakten. Apple benadrukte dat deze update belangrijke bugfixes en beveiligingsupdates biedt. (bron, bron2)
Kritische Zero-Day Kwetsbaarheid in Atlassian Confluence Gepatcht na Aanvallen
Het Australische softwarebedrijf Atlassian heeft noodbeveiligingsupdates uitgebracht voor een zero-day kwetsbaarheid van de hoogste ernst in zijn Confluence Data Center en Server software. Deze kwetsbaarheid werd actief uitgebuit in aanvallen. Atlassian werd op de hoogte gebracht door enkele klanten die meldden dat externe aanvallers de kwetsbaarheid hadden geëxploiteerd om ongeautoriseerde Confluence-beheerdersaccounts aan te maken en toegang te krijgen tot Confluence-instanties. De kwetsbaarheid, bekend onder het identificatienummer CVE-2023-22515, is een kritiek privilege-escalatieprobleem dat invloed heeft op Confluence Data Center en Server versies 8.0.0 en later. Het kan op afstand worden uitgebuit in aanvallen met een lage complexiteit die geen gebruikersinteractie vereisen. Klanten die kwetsbare versies van ConfluenceData Center en Server gebruiken, wordt aangeraden zo snel mogelijk te upgraden naar een van de gerepareerde versies (d.w.z., 8.3.3 of later, 8.4.3 of later, 8.5.2 of later). Naast het aanbrengen van upgrades en het toepassen van beperkende maatregelen, dringt Atlassian er bij klanten op aan om getroffen instanties uit te schakelen of ze te isoleren van internettoegang als onmiddellijke patching niet mogelijk is. Beheerders kunnen bekende aanvalsvectoren verwijderen door toegang tot de /setup/* eindpunten op Confluence-instanties te voorkomen. Het bedrijf raadt ook aan om alle Confluence-instanties te controleren op indicatoren van compromis, zoals onverwachte leden van de confluence-beheerdersgroep en onverwacht nieuw aangemaakte gebruikersaccounts. Gezien het vrijgeven van een patch is er een verhoogde kans dat dreigingsactoren de beveiligingspatches zullen bin-diffen om de gepatchte zwakte te ontdekken, wat de creatie van een bruikbaar exploit kan versnellen. (bron)
Cisco Verhelpt Ernstige Beveiligingslek in Emergency Responder
Cisco heeft recentelijk een cruciale beveiligingsupdate uitgebracht om een kwetsbaarheid in hun Emergency Responder (CER) software te dichten. Deze kwetsbaarheid stond externe aanvallers toe om in te loggen op ongepatchte systemen met behulp van hard-coded (vaste) root-credentials. De Cisco Emergency Responder wordt voornamelijk gebruikt door organisaties voor een effectieve respons bij noodgevallen. Het systeem maakt nauwkeurige locatietracking van IP-telefoons mogelijk en zorgt ervoor dat noodoproepen correct worden doorgestuurd naar het juiste Public Safety Answering Point (PSAP). De beveiligingsfout, gelabeld als CVE-2023-20101, stelde ongeautoriseerde aanvallers in staat om toegang te krijgen tot een getarget apparaat met behulp van het root-account. Dit account had standaard, statische inloggegevens die niet gewijzigd of verwijderd konden worden. Een succesvolle uitbuiting van deze kwetsbaarheid zou een aanvaller in staat stellen om willekeurige commando’s uit te voeren als de root-gebruiker. Volgens Cisco is de kritieke kwetsbaarheid alleen van toepassing op Cisco Emergency Responder versie 12.5(1)SU4. Cisco benadrukte ook dat deze kwetsbaarheid ontdekt is tijdens interne beveiligingstests en dat er tot dusver geen informatie is over publieke bekendmakingen of kwaadwillende exploitatie in verband met deze beveiligingslek. Er zijn geen tijdelijke workarounds beschikbaar om deze beveiligingsfout te verhelpen; beheerders worden aangeraden zo snel mogelijk hun systemen bij te werken. (bron, bron2)
Qualcomm waarschuwt voor dringende zerodaylekken in smartphonechips
Chipfabrikant Qualcomm heeft een waarschuwing afgegeven over drie zerodaylekken die actief worden uitgebuit en die zijn ontdekt door onderzoekers van Google. Deze beveiligingslekken zijn gelabeld als CVE-2023-33107, CVE-2022-22071 en CVE-2023-33063. Hoewel volledige details nog niet zijn vrijgegeven, heeft Qualcomm patches voor de kwetsbaarheden in de Adreno GPU- en Compute DSP-drivers naar fabrikanten verzonden. Qualcomm dringt er bij smartphonefabrikanten op aan om de beveiligingsupdates zo spoedig mogelijk naar hun gebruikers uit te rollen. De kwetsbaarheden zijn geïdentificeerd door het Google Project Zero-team en de Threat Analysis Group van Google. Deze teams houden zich doorgaans bezig met het opsporen en bestrijden van door overheden gesponsorde cyberaanvallen tegen Google en haar gebruikers. Meer details over de zerodays worden verwacht in december. Naast de lekken in Qualcomm-chips is er ook een vierde kwetsbaarheid gevonden in de software van ARM, gelabeld als CVE-2022-22071. Voor dit lek was vorig jaar mei al een update verschenen. Deze ontwikkelingen zijn bijzonder zorgwekkend gezien het feit dat Qualcomm-chips in een breed scala aan smartphones worden gebruikt. Het is daarom van cruciaal belang dat gebruikers en fabrikanten alert blijven op updates en patches om mogelijke exploitatie van deze kwetsbaarheden te voorkomen. (bron)
'Looney Tunables' Linux-kwetsbaarheid Riskeert Roottoegang op Belangrijke Distributies
Een recent ontdekte kwetsbaarheid in Linux, bekend als 'Looney Tunables', stelt lokale aanvallers in staat om rootprivileges te verkrijgen door een bufferoverloop te misbruiken in de GNU C Library's ld.so dynamic loader. Deze bibliotheek, beter bekend als glibc, is een essentieel onderdeel van de meeste Linux-systemen en faciliteert belangrijke systeemoproepen zoals 'open', 'malloc', 'printf' en 'exit'. Het dynamische laadprogramma binnen glibc is van groot belang omdat het verantwoordelijk is voor de voorbereiding en uitvoering van programma's op Linux-systemen die glibc gebruiken. Deze kwetsbaarheid werd ontdekt door de Qualys Threat Research Unit en heeft als CVE-identificatie CVE-2023-4911. Het werd geïntroduceerd in april 2021 met de release van glibc versie 2.34. De ernst van deze kwetsbaarheid wordt onderstreept door het feit dat het succesvol is uitgebuit op grote distributies zoals Fedora, Ubuntu en Debian. Hoewel Qualys hun exploitcode voorlopig niet vrijgeeft, wijst de eenvoud waarmee de bufferoverloop kan worden omgezet in een data-only-aanval erop dat andere onderzoeksteams binnenkort exploits kunnen produceren en vrijgeven. Beheerders worden dringend aangeraden om patching te prioriteren, vooral omdat de kwetsbaarheid getriggerd wordt bij het verwerken van de GLIBC_TUNABLES omgevingsvariabele op standaardinstallaties van Debian 12 en 13, Ubuntu 22.04 en 23.04, en Fedora 37 en 38. Gebruikers van Alpine Linux, dat musl libc gebruikt, zijn niet getroffen. Deze ontdekking is de nieuwste in een reeks van ernstige Linux-beveiligingsfouten die in recente jaren zijn ontdekt en benadrukt het belang voor systeembeheerders om alert te blijven op het gebied van beveiliging. (bron, bron2, bron3, bron4)
Google's Android Oktober 2023 Beveiligingsupdate Richt Zich op 54 Kwetsbaarheden, Waaronder Twee Actief Geëxploiteerde Zero-days
Google heeft de beveiligingsupdates voor oktober 2023 voor het Android-besturingssysteem uitgebracht. Deze update adresseert 54 unieke kwetsbaarheden, waarvan er twee actief worden geëxploiteerd. De twee uitgebuite zwakke plekken zijn geïdentificeerd als CVE-2023-4863 en CVE-2023-4211. De eerste betreft een buffer overflow kwetsbaarheid in de open-source bibliotheek libwebp, die invloed heeft op talrijke softwareproducten zoals Chrome, Firefox, iOS en Microsoft Teams. De tweede, CVE-2023-4211, is een actief uitgebuite fout die verschillende versies van Arm Mali GPU-drivers treft, gebruikt in een breed scala van Android-apparaten. Deze kwetsbaarheid betreft een 'use-after-free' geheugenprobleem dat aanvallers lokale toegang tot gevoelige gegevens kan verlenen. Deze maandelijkse update bevat 13 fixes voor het Android Framework, 12 voor systeemcomponenten, twee updates voor Google Play, vijf voor Arm-componenten, drie voor MediaTek-chips, één voor Unisoc-chips en 18 voor Qualcomm-componenten. Van de 54 fixes zijn er vijf als kritiek beoordeeld, en twee daarvan betreffen problemen met het op afstand uitvoeren van code (remote code execution). De update maakt gebruik van een tweetraps vrijgavesysteem. De eerste patchfase (2023-10-01) richt zich op de kerncomponenten van Android (Framework + Systeem), terwijl de tweede fase (2023-10-06) de kernel en gesloten broncomponenten behandelt. Dit stelt apparaatfabrikanten in staat om selectief updates toe te passen die relevant zijn voor hun hardwaremodellen. Het is vermeldenswaard dat Android-versies 10 en ouder niet meer worden ondersteund. Gebruikers van deze oudere systemen worden aangeraden te upgraden naar een nieuwer model of hun apparaat te voorzien van een third-party Android-distributie die wel beveiligingsupdates biedt. (bron, bron2)
Kritieke ShellTorch Kwetsbaarheden Bedreigen AI Servers
Een reeks kritieke kwetsbaarheden, gezamenlijk bekend als 'ShellTorch', vormen een ernstige bedreiging voor tienduizenden internettoegankelijke servers die het open-source TorchServe AI model-servertool gebruiken. Dit hulpmiddel, onderhouden door Meta en Amazon, wordt veelvuldig ingezet voor het in productie brengen en schalen van PyTorch machine learning-modellen. Gebruikers variëren van academische onderzoekers tot grote organisaties zoals Amazon, OpenAI, Tesla, Azure, Google en Intel. De kwetsbaarheden zijn ontdekt door het Oligo Security-onderzoeksteam en kunnen leiden tot ongeautoriseerde toegang tot servers en uitvoering van externe code (RCE). Er zijn drie hoofdkwetsbaarheden geïdentificeerd:
- De eerste is een ongeauthenticeerde beheerinterface API-misconfiguratie, waardoor externe toegang tot de webpanel mogelijk is.
- De tweede, aangeduid als CVE-2023-43654, is een externe server-side request forgery (SSRF) die kan leiden tot RCE.
- De derde, CVE-2022-1471, is een Java-deserialisatieprobleem dat ook tot RCE kan leiden.
Oligo waarschuwt dat het combineren van deze kwetsbaarheden een systeem dat kwetsbare versies van TorchServe draait gemakkelijk kan compromitteren. Voor het oplossen van deze kwetsbaarheden is het aanbevolen om te upgraden naar TorchServe versie 0.8.2. Daarnaast is het belangrijk om de beheerconsole correct te configureren en alleen modellen op te halen van vertrouwde domeinen. Amazon heeft ook een veiligheidsbulletin uitgegeven met mitigerende richtlijnen. Oligo heeft een gratis controletool uitgebracht om de kwetsbaarheid van instances te controleren. (bron, bron2, bron3, bron4, bron5)
Microsoft Brengt Noodpatches Uit voor Zero-Day Kwetsbaarheden in Edge, Teams en Skype
Op 3 oktober 2023 heeft Microsoft dringende beveiligingsupdates uitgebracht voor zijn Edge-browser, Teams en Skype. Deze updates zijn bedoeld om twee zero-day kwetsbaarheden te dichten in open-source bibliotheken die door deze producten worden gebruikt. De eerste kwetsbaarheid, getagd als CVE-2023-4863, is veroorzaakt door een 'heap buffer overflow' in de WebP-codebibliotheek (libwebp). Deze kwetsbaarheid kan leiden tot crashes van de applicatie of de uitvoering van willekeurige code. De tweede kwetsbaarheid, CVE-2023-5217, heeft ook te maken met een 'heap buffer overflow', maar dan in de VP8-codering van de libvpx videocodec-bibliotheek. Dit lek kan eveneens resulteren in app-crashes of ongeoorloofde code-uitvoering. De libwebp-bibliotheek wordt breed gebruikt in moderne webbrowsers en apps zoals Safari, Firefox, Opera en 1Password. Libvpx wordt gebruikt in videospeler software en streamingdiensten zoals Netflix en YouTube. Microsoft heeft patches uitgebracht die specifiek deze kwetsbaarheden aanpakken in een beperkt aantal van hun producten, waaronder Edge, Teams voor Desktop, en Skype voor Desktop. Als automatische updates in de Microsoft Store zijn ingeschakeld, worden getroffen gebruikers automatisch bijgewerkt. Het is vermeldenswaard dat beide kwetsbaarheden al actief werden uitgebuit in het wild. Google's Threat Analysis Group en Citizen Lab onthulden dat aanvallers CVE-2023-5217 gebruikten om Cytrox's Predator spyware te implementeren. Hoewel er geen details zijn vrijgegeven over aanvallen die de WebP-kwetsbaarheid uitbuiten, is het duidelijk dat deze ernstige implicaties kunnen hebben. De patches zijn cruciaal voor de beveiliging en het is dringend aanbevolen om alle relevante updates zo snel mogelijk te installeren. (bron, bron2, bron3, bron4)
Google Adresseeert Actief Misbruikte Zerodaylekken en Andere Kritieke Kwetsbaarheden in Android
Google heeft een dringende waarschuwing uitgegeven aan Androidgebruikers over twee zerodaykwetsbaarheden die actief worden aangevallen, naast een andere kritieke kwetsbaarheid die externe aanvallen mogelijk maakt. Deze informatie werd bekend gemaakt tijdens Google's patchronde van oktober, waarbij in totaal 53 beveiligingslekken zijn aangepakt. De eerste zeroday, aangeduid als CVE-2023-4863, betreft een ernstige kwetsbaarheid in WebP, een door Google ontwikkeld beeldbestandsformaat. Dit lek maakt 'remote code execution' mogelijk wanneer een kwaadwillende WebP-afbeelding wordt verwerkt. Het is bekendgemaakt dat een commerciële spywareleverancier dit lek actief exploiteert. De tweede zeroday, gelokaliseerd in de ARM Mali GPU-kerneldriver, stelt aanvallers in staat om toegang te krijgen tot vrijgemaakt geheugen op een reeds gecompromitteerd toestel. Deze kwetsbaarheid, geïdentificeerd door Google-onderzoekers, is aangeduid als CVE-2023-421. Naast deze zerodays is er ook een andere aanzienlijke kwetsbaarheid, CVE-2023-40129, die externe code-uitvoering mogelijk maakt zonder enige gebruikersinteractie of speciale permissies. Hoewel Google niet veel details heeft vrijgegeven, suggereert het dat de aanvaller fysiek 'dichtbij' moet zijn, wat mogelijk wijst op een Bluetooth-gebaseerde aanval. Verder heeft Google ook meerdere beveiligingslekken in derden-code aangepakt, waaronder drie kritieke lekken in code van chipmaker Qualcomm. Deze kwetsbaarheden kunnen leiden tot een 'buffer overflow' en zijn op afstand te misbruiken. Google heeft updates uitgerold voor Android 11, 12, 12L, en 13, met patchniveaus die de datum '2023-10-01' of '2023-10-05' zullen weergeven. Echter, niet alle Androidtoestellen zullen deze updates ontvangen, afhankelijk van de fabrikant en de levensduur van het toestel. Fabrikanten zijn minstens een maand geleden geïnformeerd over deze kwetsbaarheden om updates te kunnen ontwikkelen. (bron, bron2, bron3)
Exim Reageert op Onthulde Zero-Day Kwetsbaarheden met Gedeeltelijke Patches
Exim, een van de meest gebruikte e-mailserver software, heeft patches uitgebracht voor drie van de zes zero-day kwetsbaarheden die vorige week werden onthuld via Trend Micro's Zero Day Initiative (ZDI). Een van deze kwetsbaarheden stelt onbevoegde aanvallers in staat om op afstand code uit te voeren. De ernstigste beveiligingsfout, aangeduid als CVE-2023-42115, is te wijten aan een 'Out-of-bounds Write'-zwakte in de SMTP-service. Deze kwetsbaarheid kan worden uitgebuit door op afstand niet-geverifieerde aanvallers om code uit te voeren in de context van het serviceaccount. ZDI benadrukt dat de fout het gevolg is van onvoldoende validatie van door gebruikers geleverde data, wat kan resulteren in overschrijding van de buffer. Daarnaast heeft Exim een andere RCE-bug (CVE-2023-42114) en een informatie-onthullingskwetsbaarheid (CVE-2023-42116) gepatcht. Volgens Exim-ontwikkelaar Heiko Schlittermann waren deze fixes al "beschikbaar in een beschermde repository" en klaar om te worden toegepast door distributiebeheerders. Hoewel er nog drie zero-day kwetsbaarheden openstaan, benadrukken zowel Exim als watchTowr Labs dat de ernst van deze kwetsbaarheden afhangt van het gebruik van specifieke functies en configuraties op de doelservers. Van de 3,5 miljoen online blootgestelde Exim-servers zou een klein aantal daadwerkelijk kwetsbaar zijn. Het advies luidt om de patches toe te passen zodra deze beschikbaar zijn, maar er is geen reden tot paniek; de situatie wordt meer gezien als een 'damp squib' dan als een wereldschokkende catastrofe. (bron, bron2, bron3, bron4)
Kritieke Beveiligingslek in WS_FTP Server Actief Geëxploiteerd
Afgelopen weekend hebben beveiligingsonderzoekers een proof-of-concept (PoC) exploit vrijgegeven voor een ernstige kwetsbaarheid die remote code-uitvoering mogelijk maakt in het WS_FTP Server bestanddeelplatform van Progress Software. Deze kwetsbaarheid, genaamd CVE-2023-40044, ontstaat door een .NET deserialisatieprobleem in de Ad Hoc Transfer Module. Het stelt ongeautoriseerde aanvallers in staat om op afstand commando's uit te voeren op het onderliggende besturingssysteem via een eenvoudige HTTP-aanvraag. Volgens Assetnote, het onderzoeksteam dat deze kwetsbaarheid ontdekte, zijn er ongeveer 2.900 hosts op het internet die WS_FTP Server draaien. Deze servers behoren voornamelijk tot grote bedrijven, overheidsinstellingen en onderwijsorganisaties. Een onderzoek via Shodan bevestigt deze schatting en toont aan dat meer dan 2000 apparaten met WS_FTP Server momenteel toegankelijk zijn via het internet. Direct na de publicatie van de PoC-exploit meldde cybersecuritybedrijf Rapid7 dat aanvallers deze kwetsbaarheid al actief begonnen te exploiteren. Progress Software heeft op 27 september beveiligingsupdates uitgebracht om deze kritieke kwetsbaarheid aan te pakken. Ze bevelen een upgrade aan naar de meest recente versie (8.8.2) als de enige effectieve oplossing. Bovendien heeft het Health Sector Cybersecurity Coordination Center (HC3) alle organisaties in de gezondheids- en openbare gezondheidssector ook gewaarschuwd om hun servers zo snel mogelijk te patchen. Tot slot uitte Progress Software zijn teleurstelling over het feit dat derde partijen zo snel een PoC uitbrachten, wat cybercriminelen een hulpmiddel biedt om aanvallen te plegen. Ze dringen er bij alle WS_FTP Server klanten op aan om hun systemen zo snel mogelijk te patchen. (bron, bron2, bron3, bron4, bron5)
We have started to observe exploitation of WS_FTP in the wild. I just added a Velociraptor artifact to detect potential exploitation and observed IPs.https://t.co/icAi6vfslK
β Matthew Green π» (@mgreen27) October 1, 2023
Currently targeting IIS logs via yara and the exception in Evtx logs.@velocidex https://t.co/sS5QWloBMi
Actief Geëxploiteerde Kwetsbaarheid in Mali GPU-Driver Waarschuwt Arm
Arm heeft een beveiligingsadvies uitgebracht waarin het bedrijf waarschuwt voor een actief geëxploiteerde kwetsbaarheid in de wijdverbreide Mali GPU-drivers. De kwetsbaarheid, geïdentificeerd als CVE-2023-4211, werd ontdekt en gemeld door onderzoekers van Google's Threat Analysis Group (TAG) en Project Zero. Hoewel de details niet publiekelijk beschikbaar zijn, wordt de beveiligingsfout beschreven als onjuiste toegang tot eerder vrijgegeven geheugen, wat kan leiden tot het compromitteren of manipuleren van gevoelige gegevens. Arm meldt dat een lokale, niet-bevoorrechte gebruiker de GPU-geheugenverwerking kan misbruiken om toegang te krijgen tot al vrijgegeven geheugen. Het bedrijf heeft ook bewijs gevonden dat de kwetsbaarheid mogelijk gericht wordt uitgebuit. Verschillende versies van de GPU-driver zijn getroffen, waaronder de Midgard, Bifrost, Valhall en Arm's 5e generatie GPU-architectuur kernel drivers. Deze drivers zijn te vinden in diverse populaire apparaten zoals de Samsung Galaxy S20, Xiaomi Redmi K30/K40 en OnePlus Nord 2. Arm heeft de kwetsbaarheid aangepakt voor de Bifrost, Valhall en 5e generatie GPU-architectuur met kernel driver versie r43p0, uitgebracht op 24 maart 2023. Midgard wordt niet meer ondersteund en zal waarschijnlijk geen patch ontvangen. De beschikbaarheid van een patch hangt af van de snelheid waarmee de apparaatmaker en de leverancier deze in een betrouwbare update kunnen integreren. Daarnaast heeft Arm nog twee andere kwetsbaarheden onthuld, CVE-2023-33200 en CVE-2023-34970, die ook misbruik maken van onjuiste toegang tot geheugen. Alle drie de kwetsbaarheden zijn uit te buiten door een aanvaller met lokale toegang tot het apparaat, wat meestal wordt bereikt door gebruikers te misleiden om applicaties te downloaden van niet-officiële bronnen. (bron)
Exim Pakt Kritieke Mailserver Kwetsbaarheid aan na Waarschuwing van NCSC en ZDI
Exim, een veelgebruikte e-mailserver software, heeft recentelijk beveiligingsupdates uitgerold om meerdere kwetsbaarheden aan te pakken die vorig jaar al gemeld waren. Een van deze kwetsbaarheden, aangeduid als CVE-2023-42115, werd als bijzonder kritiek beschouwd. Deze bevindt zich in de smtp-service van Exim en maakt het mogelijk voor aanvallers om willekeurige code op de server uit te voeren. De kwetsbaarheid is het gevolg van onvoldoende validatie van gebruikersinvoer. Het Nationaal Cyber Security Centrum (NCSC) waarschuwde ook voor deze en andere kwetsbaarheden in Exim, een software die door meer dan 253.000 mailservers wereldwijd wordt gebruikt. De kwetsbaarheid was een van de zes problemen die vorig jaar door het Zero Day Initiative (ZDI) aan de ontwikkelaars van Exim werden gerapporteerd. Na openbaarmaking van deze kwetsbaarheden reageerden de ontwikkelaars van Exim dat de informatie van ZDI niet werkbare was, wat tot een tegenreactie van ZDI leidde. Uiteindelijk zijn drie van de zes gemelde kwetsbaarheden nu verholpen in de nieuwe Exim versies 4.96.1 en 4.97. Deze zijn beschikbaar voor download via de ftp-server van Exim. Deze updates zijn met name relevant voor Nederland, waar bijna veertig procent van de mensen beveiligingssoftware als te duur beschouwt. Gezien het kritieke belang van mailserverbeveiliging is het raadzaam voor organisaties om hun Exim-servers zo snel mogelijk bij te werken. (bron, bron2, bron3, bron4)
Kritieke Kwetsbaarheid in TeamCity-servers Actief Misbruikt voor Ransomware-aanvallen
Een ernstig beveiligingslek in TeamCity-servers is momenteel het doelwit van cybercriminelen die ransomware-aanvallen uitvoeren. Het lek, gelabeld als CVE-2023-42793, stelt ongeautoriseerde aanvallers in staat om op afstand willekeurige code uit te voeren op de getroffen servers. TeamCity is een veelgebruikt softwareontwikkelingsplatform van JetBrains en telt wereldwijd meer dan 30.000 klanten. De kwetsbaarheid is van hoge ernst en heeft een risicobeoordeling van 9,8 op een schaal van 1 tot 10 gekregen. Een update om dit lek te dichten is sinds 21 september beschikbaar, maar er zijn nog steeds minstens 1.300 kwetsbare servers op het internet te vinden. Meer dan zestig daarvan bevinden zich in Nederland, volgens de Shadowserver Foundation. De zoekmachine Shodan toont meer dan 3.000 on-premise TeamCity-servers die online toegankelijk zijn. Gezien de ernst en het gemak van exploitatie van dit lek, is de verwachting dat het aantal aanvallen zal toenemen. Stefan Schiller van beveiligingsbedrijf Sonar Source, die het lek ontdekte, heeft eind september gewaarschuwd voor het risico van actief misbruik. Verschillende andere partijen, inclusief beveiligingsbedrijf Prodaft, melden dat bekende ransomwaregroepen deze kwetsbaarheid al in hun aanvalsmethoden hebben opgenomen. Organisaties wordt daarom dringend geadviseerd om hun TeamCity-servers zo snel mogelijk te patchen om verdere aanvallen te voorkomen. (bron)
We are reporting JetBrains TeamCity CI/CD CVE-2023-42793 vulnerable instances (critical authentication bypass). 1296 unique IPs found vulnerable on 2023-09-30. Data shared in our Vulnerable HTTP report https://t.co/qxv0Gv5ELc
β Shadowserver (@Shadowserver) October 1, 2023
Patch information - https://t.co/K0lnnk4EVp pic.twitter.com/sYXv6oVt22
π¨Many popular ransomware groups started to weaponize CVE-2023-42793 and added the exploitation phase in their workflow.
β PRODAFT (@PRODAFT) October 1, 2023
Our #BLINDSPOT platform has detected multiple organizations already exploited by threat actors over the last three days. Unfortunately, most of them willβ¦
Openbare Onenigheid Tussen Exim en ZDI over Onopgeloste Kwetsbaarheden
De makers van de e-mailserversoftware Exim en het Zero Day Initiative (ZDI), een onderdeel van antivirusbedrijf Trend Micro, zijn verwikkeld in een openbare ruzie over het adresseren en oplossen van ontdekte kwetsbaarheden. Exim is een open-source mail transfer agent die door ongeveer 253.000 servers wereldwijd wordt gebruikt. Vorige week onthulde ZDI meerdere kwetsbaarheden in Exim, waaronder één die kritiek is en remote code execution mogelijk maakt. Op dit moment zijn er nog geen updates beschikbaar om deze kwetsbaarheden te verhelpen. Het ZDI is gespecialiseerd in het belonen van onderzoekers die nieuwe kwetsbaarheden melden en het toevoegen van bescherming tegen deze lekken in de producten van Trend Micro. Het ZDI informeert ook de betreffende softwareontwikkelaars en geeft hen een deadline voor het uitbrengen van patches. Als de deadline niet wordt gehaald, worden de details van de kwetsbaarheid publiekelijk gemaakt. Volgens ZDI werd de kritieke kwetsbaarheid al in juni van het vorige jaar gemeld aan Exim. Na verschillende vervolgcommunicaties, inclusief verzoeken om updates, werd uiteindelijk besloten om de kwetsbaarheden openbaar te maken. Exim-maintainer Heiko Schlittermann beweert echter dat de communicatie vanuit ZDI ontoereikend was. Hij bevestigt dat er een bugtracker voor drie van de zes gemelde problemen is aangemaakt en dat drie van deze kwetsbaarheden inmiddels zijn verholpen. Echter, deze updates zijn nog niet openbaar gemaakt en voor de overige problemen ontbreekt volgens Schlittermann cruciale informatie. Zowel Exim als ZDI wijzen naar elkaar voor het gebrek aan vooruitgang. De meest recente versie van Exim is versie 4.96, en updates kunnen elk moment worden verwacht. Het openbare meningsverschil zorgt voor onzekerheid en potentiële risico's voor de vele servers die van Exim gebruikmaken. (bron, bron2, bron3)
Kritieke Zeroday-Kwetsbaarheid in Libvpx Verholpen voor Microsoft Edge en Thunderbird
Een ernstige zeroday-kwetsbaarheid in libvpx, een videocodec-library ontwikkeld door Google en de Alliance for Open Media, is aangepakt in zowel Microsoft Edge als Thunderbird. Deze kwetsbaarheid was eerder uitgebuit om spyware te verspreiden onder gebruikers van Google Chrome. De bug, die geregistreerd staat onder CVE-2023-5217, maakt het mogelijk voor aanvallers om kwaadaardige code uit te voeren binnen de browser of e-mailclient van het slachtoffer. Dit kan gebeuren wanneer een gebruiker een kwaadwillende of gecompromitteerde website bezoekt. Google had eerder al op 27 september een update uitgebracht voor Chrome, nadat het bedrijf bevestigde dat een onbekende commerciële spywareleverancier de kwetsbaarheid had misbruikt. Mozilla volgde op 28 september met updates voor meerdere versies van Firefox. Nu zijn ook Microsoft Edge en Thunderbird bijgewerkt; in de meeste gevallen zal deze update automatisch worden uitgevoerd. Belangrijk is om te noteren dat voor Thunderbird versie 102.15.1 nog geen patch beschikbaar is. Deze versie wordt veel gebruikt op Linux-systemen zoals Ubuntu en Debian. Er wordt aangeraden om berichten alleen in 'Plain Text' te bekijken als voorzorgsmaatregel. Er is nog onzekerheid over wanneer Mozilla een update zal uitbrengen voor deze specifieke versie, vooral omdat eerdere versies van Thunderbird 102 problemen hadden met corrupte mailfolders. Gebruikers wordt dringend geadviseerd om hun software zo snel mogelijk bij te werken om zich te beschermen tegen mogelijke aanvallen. (bron, bron2)
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers