Western Digital heeft een beveiligingsupdate uitgebracht voor My Cloud-apparaten, na de ontdekking van een ernstige kwetsbaarheid (CVE-2024-22170). Deze fout heeft een CVSS-score van 9.2 en kan door aanvallers worden misbruikt om willekeurige code uit te voeren op de getroffen apparaten. Dit kan leiden tot ongeautoriseerde toegang en mogelijke datalekken. De kwetsbaarheid bevindt zich in de Dynamic DNS-client van de apparaten en kan worden uitgebuit door middel van een Man-in-the-Middle (MitM)-aanval. Hierbij kunnen aanvallers kwaadaardige code injecteren via DNS-updateverzoeken, wat resulteert in een buffer overflow.

De getroffen apparaten omvatten verschillende modellen van de My Cloud-serie. Western Digital adviseert gebruikers dringend om hun apparaten zo snel mogelijk bij te werken naar My Cloud OS 5 Firmware versie 5.29.102 om misbruik te voorkomen. Deze update zorgt ervoor dat de kwetsbaarheid wordt opgelost en de apparaten weer veilig kunnen worden gebruikt.

Er is een ernstige beveiligingskwetsbaarheid (CVE-2024-8456) ontdekt in verschillende modellen van PLANET Technology switches. Deze kwetsbaarheid, met een hoge CVSS-score van 9,8, kan leiden tot ongeautoriseerde toegang en controle over de switches door het ontbreken van adequate authenticatie. Andere kwetsbaarheden zijn hardcoded wachtwoorden, zwak geëncodeerde wachtwoorden en onveilige hashing-algoritmes, wat het risico op wachtwoorddiefstal en netwerkonderbrekingen vergroot.

De getroffen modellen zijn onder andere de GS-4210-24PL4C, GS-4210-24P2S en IGS-5225-4UP1T2S. Voor de meeste van deze modellen heeft PLANET Technology firmware-updates uitgebracht om de kwetsbaarheden aan te pakken. Gebruikers van verouderde apparaten, zoals de IGS-5225-4UP1T2S, wordt geadviseerd om deze te vervangen omdat er geen updates meer beschikbaar zijn. Netwerkbeheerders worden dringend verzocht de updates zo snel mogelijk te installeren, hun netwerkactiviteit te monitoren en hun beveiligingsbeleid te herzien om verdere risico's te beperken.

Een ernstige kwetsbaarheid, genaamd KartLANPwn (CVE-2024-45200), is ontdekt in Mario Kart 8 Deluxe, waarmee miljoenen spelers risico lopen tijdens multiplayer LAN-sessies. Deze fout, ontdekt door een beveiligingsonderzoeker, maakt misbruik van de manier waarop het spel gegevens verwerkt via Nintendo's Pia P2P-netwerkbibliotheek. Hackers kunnen een speciaal geprepareerd pakket sturen dat geheugenbeschadiging veroorzaakt, wat hen in staat stelt om op afstand code uit te voeren en mogelijk volledige controle over de spelconsole te krijgen.

De kwetsbaarheid betreft een buffer-overflow in het LAN-spelproces, waarbij een aanvaller een 'browse-reply'-pakket manipuleert. Nintendo heeft snel gereageerd met een patch (v3.0.3) die op 11 september 2024 werd vrijgegeven, behalve in China, waar de update op 27 september 2024 volgde. Spelers wordt sterk aangeraden hun game bij te werken om zichzelf te beschermen tegen deze exploit.

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft vier nieuwe kwetsbaarheden toegevoegd aan de catalogus van bekend misbruikte kwetsbaarheden (KEV). Deze kwetsbaarheden vormen een groot risico, vooral voor organisaties en overheidsinstanties. Een van de ernstigste problemen is CVE-2023-25280, een kwetsbaarheid in D-Link-routers, die hackers volledige controle over het apparaat kan geven. Daarnaast is er CVE-2020-15415, die DrayTek Vigor-routers treft en aanvallers in staat stelt op afstand code uit te voeren. Ook CVE-2021-4043, een minder kritieke kwetsbaarheid in Motion Spell GPAC, kan leiden tot een denial-of-service (DoS)-aanval. Ten slotte treft CVE-2019-0344 SAP Commerce Cloud, waarmee kwaadwillenden willekeurige code kunnen uitvoeren en gevoelige gegevens kunnen compromitteren. CISA heeft federale instanties verplicht om de nodige patches uiterlijk op 21 oktober 2024 te installeren om deze bedreigingen het hoofd te bieden.

Een recent ontdekte kwetsbaarheid, CVE-2024-36435, vormt een groot risico voor diverse Supermicro producten. Deze kwetsbaarheid, gevonden door Alexander Tereshkin van NVIDIA en geanalyseerd door het Binarly Research Team, maakt het mogelijk voor aanvallers om ongeauthenticeerd toegang te krijgen tot de Baseboard Management Controller (BMC) van Supermicro-servers. De fout bevindt zich in de “GetValue”-functie van de BMC-firmware, waar een buffer overflow optreedt doordat de grootte van ingevoerde data niet correct wordt gecontroleerd. Hierdoor kan een aanvaller speciaal samengestelde gegevens versturen naar de BMC-webinterface en zo op afstand code uitvoeren.

De kwetsbaarheid is extra gevaarlijk omdat deze gecombineerd kan worden met andere bekende zwaktes, waardoor aanvallers langdurige toegang tot systemen kunnen verkrijgen. Supermicro heeft de ernst van de situatie erkend en werkt aan oplossingen voor de getroffen producten. Bedrijven die gebruikmaken van Supermicro-hardware moeten hun systemen zo snel mogelijk updaten om deze kwetsbaarheid te verhelpen.

Een ernstige kwetsbaarheid, aangeduid als CVE-2024-47070, is ontdekt in de populaire Identity Provider en Single Sign-On oplossing authentik. Deze fout, met een CVSS-score van 9,1, stelt aanvallers in staat om wachtwoordauthenticatie te omzeilen door misbruik te maken van het X-Forwarded-For HTTP-header. Dit is vooral een risico in omgevingen waar authentik zonder reverse proxy toegankelijk is, of waar proxy-instellingen niet correct zijn geconfigureerd.

De fout ontstaat wanneer een aanvaller een onleesbare waarde in deze header invoert, waardoor kritieke wachtwoordcontroles worden overgeslagen. Gebruikers met de versies 2024.8.2 en 2024.6.4 lopen risico en wordt aangeraden om direct te upgraden naar de gepatchte versies 2024.8.3 of 2024.6.5. Als alternatief kan men tijdelijk de reverse proxy configureren om correcte IP-adressen in te stellen, hoewel patchen de meest veilige oplossing blijft om ongeautoriseerde toegang te voorkomen. 1

Een ernstige kwetsbaarheid (CVE-2024-9194) is ontdekt in Octopus Server, een populaire tool voor software-deployment. Deze kwetsbaarheid maakt de server vatbaar voor SQL-injectie-aanvallen, waardoor ongeautoriseerde toegang tot gevoelige databases mogelijk is. Hierdoor kunnen aanvallers vertrouwelijke projectgegevens en configuraties inzien of manipuleren. De fout zit in de REST API van Octopus Server, waar onvoldoende parameterisatie leidt tot deze kwetsbaarheid.

Alle versies van Octopus Server in de 2024.1.x, 2024.2.x en 2024.3.x takken, vóór bepaalde releases, zijn getroffen. Octopus Deploy adviseert dringend om direct te updaten naar de nieuwste versies om deze kritieke kwetsbaarheid te verhelpen. Voor Octopus Cloud-gebruikers is de update al automatisch doorgevoerd. Hoewel er op dit moment nog geen meldingen zijn van misbruik, benadrukken beveiligingsexperts het belang van een snelle update, aangezien er geen andere effectieve oplossingen beschikbaar zijn om het risico te beperken.

In het populaire low-code platform Scriptcase zijn drie ernstige beveiligingsproblemen ontdekt, waarvan CVE-2024-8940 het meest kritiek is. Deze kwetsbaarheid, met een CVSS-score van 10, stelt aanvallers in staat om willekeurige bestanden te uploaden, wat kan leiden tot volledige systeemovername via remote code execution. De andere kwetsbaarheden omvatten padtraversatie (CVE-2024-8941) en cross-site scripting (CVE-2024-8942), die respectievelijk toegang tot gevoelige bestanden en diefstal van gebruikersgegevens mogelijk maken. Scriptcase is veelgebruikt voor het ontwikkelen van PHP-webapplicaties en biedt ontwikkelaars een grafische interface om snel code te genereren. Door deze kwetsbaarheden worden gebruikers van Scriptcase aangeraden om direct hun software te updaten naar de nieuwste versie, waarin deze problemen zijn verholpen. Dit benadrukt het belang van regelmatige updates en beveiligingspatches, zelfs bij low-code platforms.

Een ernstige kwetsbaarheid, CVE-2024-45519, in het populaire e-mailplatform Zimbra is ontdekt, die aanvallers in staat stelt volledige controle over getroffen systemen te verkrijgen zonder authenticatie. Deze kwetsbaarheid, gevonden in de postjournal-service van Zimbra, maakt het mogelijk om willekeurige commando's uit te voeren op de server door onveilige verwerking van gebruikersinvoer. Dit kan leiden tot datadiefstal, systeemcompromittering en laterale beweging binnen netwerken.

De fout is inmiddels op grote schaal uitgebuit door cybercriminelen, wat de noodzaak van snelle actie benadrukt. Beheerders van Zimbra-systemen wordt geadviseerd onmiddellijk te patchen om verdere schade te voorkomen. Voor systemen waar de postjournal-service niet nodig is, wordt aanbevolen deze uit te schakelen. Daarnaast is het belangrijk om netwerktoegang te beperken tot vertrouwde IP-adressen.

Ondertussen is er een Proof of Concept-exploit gepubliceerd, wat het nog eenvoudiger maakt voor aanvallers om kwetsbare systemen aan te vallen, waardoor snelle beveiligingsmaatregelen cruciaal zijn.

DrayTek heeft beveiligingsupdates uitgebracht voor meerdere routermodellen om 14 kwetsbaarheden te verhelpen, waaronder een gevaarlijke fout die een maximale CVSS-score van 10 kreeg. Deze kwetsbaarheden, ontdekt door Forescout Research, treffen zowel huidige als end-of-life modellen. In totaal zijn ongeveer 785.000 routers mogelijk kwetsbaar, waarvan meer dan 700.000 apparaten een webinterface hebben die publiek toegankelijk is via internet, wat een groot risico vormt.

De meest kritieke kwetsbaarheden omvatten een buffer overflow in de "GetCGI()" functie, een command injection in de OS-communicatie en zwakke punten in de PRNG-implementatie van TLS-verbindingen. Deze problemen kunnen leiden tot remote code execution (RCE), denial of service (DoS) en informatielekken. Gebruikers wordt geadviseerd om de nieuwste firmware te installeren en functies zoals externe toegang en SSL VPN via port 443 uit te schakelen als dat niet nodig is, om verdere risico's te beperken. 1

De Amerikaanse cybersecurityorganisatie CISA waarschuwt voor twee ernstige kwetsbaarheden in de ONS-S8 Aggregation Switches van Optigo Networks, die wereldwijd in vitale infrastructuren worden gebruikt. Deze kwetsbaarheden maken het mogelijk om authenticatie te omzeilen en op afstand kwaadaardige code uit te voeren. De eerste kwetsbaarheid, CVE-2024-41925, is een probleem met bestandsvalidatie, waardoor een aanvaller ongeautoriseerde toegang kan krijgen en willekeurige code kan uitvoeren. De tweede kwetsbaarheid, CVE-2024-45367, betreft een zwakke authenticatiecontrole, wat aanvallers in staat stelt om toegang te krijgen tot de beheerinterface van de switch en gevoelige gegevens te manipuleren. Aangezien er nog geen updates beschikbaar zijn om de problemen op te lossen, wordt gebruikers aangeraden om aanbevolen beveiligingsmaatregelen te implementeren, zoals het isoleren van netwerkverkeer en het gebruik van VPN's. CISA benadrukt dat, hoewel de kwetsbaarheden nog niet actief worden misbruikt, het risico zeer groot is. 1

Recent onderzoek door Adrian Tiron onthulde een ernstige kwetsbaarheid in het Vesta Control Panel, een populaire interface voor Linux serverbeheer. De kwetsbaarheid maakt het mogelijk voor aanvallers om het beheerdersaccount over te nemen door gebruik te maken van verminderde entropie in de Bash $RANDOM variabele. Deze variabele, gebruikt bij het genereren van wachtwoord-reset tokens, is niet cryptografisch veilig, waardoor brute-force aanvallen mogelijk worden.

Aanvallers kunnen de tijdstempel, waarop de seed gebaseerd is, raden en binnen een beperkt bereik de benodigde tokens brute-forcen. Dit stelt hen in staat de beheerderswachtwoorden te resetten en volledige controle over de Vesta omgeving te krijgen. Het onderzoek toonde aan dat het aantal brute-force pogingen drastisch kan worden verlaagd, waardoor de aanval praktisch uitvoerbaar is. Het gebruik van tools zoals BashRandomCracker en Turbo Intruder maakt dit proces nog efficiënter, waardoor snelle en grootschalige aanvallen mogelijk worden. 1

CISA waarschuwt voor een kritieke kwetsbaarheid (CVE-2024-29824) in Ivanti Endpoint Manager (EPM), die actief wordt misbruikt. Deze kwetsbaarheid, met een CVSS-score van 9,6, treft versies van Ivanti EPM tot en met 2022 SU5. De fout zit in de RecordGoodApp-methode, die onvoldoende controle uitvoert op gebruikersinvoer, waardoor aanvallers SQL-injecties kunnen uitvoeren. Dit stelt hen in staat om willekeurige code uit te voeren en mogelijk volledige controle over systemen te krijgen.

Beveiligingsonderzoekers hebben een proof-of-concept (PoC) exploit gepubliceerd, wat het risico op misbruik verhoogt. Tekenen van exploitatie zijn onder andere ongebruikelijke SQL-logactiviteit, zoals het gebruik van de xp_cmdshell-opdracht. CISA heeft de kwetsbaarheid toegevoegd aan de lijst van bekende geëxploiteerde kwetsbaarheden en dringt erop aan dat organisaties onmiddellijk een patch toepassen. Overheidsinstanties hebben tot 23 oktober 2024 om hun systemen te beveiligen. Gezien de ernst van deze kwetsbaarheid, is snelle actie cruciaal om verdere aanvallen te voorkomen.

DrayTek heeft 14 kwetsbaarheden in zijn routers aangepakt, waaronder een zeer kritieke buffer overflow (CVE-2024-41592) met een CVSS-score van 10.0. Deze fout in de GetCGI()-functie van de webinterface kan leiden tot denial-of-service (DoS) of remote code execution (RCE), waardoor aanvallers volledige controle over het apparaat kunnen krijgen. Een andere ernstige kwetsbaarheid (CVE-2024-41585) maakt het mogelijk om via een commando-injectie de besturingssystemen van het apparaat te compromitteren. De overige problemen variëren van hoge tot middelmatige risico’s, zoals cross-site scripting (XSS) en verschillende buffer overflows.

Ongeveer 704.000 routers wereldwijd, met name in de Verenigde Staten en Nederland, zijn vatbaar voor aanvallen via de webinterface. DrayTek heeft inmiddels patches uitgebracht voor alle kwetsbaarheden, zelfs voor apparaten die end-of-life zijn. Gebruikers wordt aangeraden de firmware onmiddellijk te updaten en externe toegang tot de router uit te schakelen als deze niet nodig is.

Een ernstige kwetsbaarheid (CVE-2024-47374) is ontdekt in de LiteSpeed Cache plugin voor WordPress, die wereldwijd op meer dan 6 miljoen websites wordt gebruikt. Deze kwetsbaarheid betreft een onbevestigde opgeslagen cross-site scripting (XSS) aanval, waardoor aanvallers zonder inloggegevens schadelijke code kunnen injecteren in de beheerpagina’s van de website. Hierdoor kunnen gevoelige gegevens gestolen worden en kunnen aanvallers zelfs volledige controle over de website verkrijgen.

De kwetsbaarheid ontstaat door gebrekkige validatie van invoer bij bepaalde functies die CSS-optimalisatie regelen. Twee specifieke instellingen binnen de plugin, "CSS Combine" en "Generate UCSS", maken de plugin kwetsbaar als ze zijn ingeschakeld. De fout is in versie 6.5.1 van de plugin verholpen.

Gebruikers van de LiteSpeed Cache plugin wordt dringend geadviseerd om onmiddellijk te updaten naar de nieuwste versie om hun website te beschermen tegen mogelijke aanvallen.

Onderzoekers van Akamai hebben een nieuwe aanvalsmethode ontdekt die kwetsbaarheden in het Common Unix Printing System (CUPS) uitbuit. Alledaagse apparaten, zoals printers, kunnen hierdoor worden ingezet voor grootschalige Distributed Denial-of-Service (DDoS)-aanvallen. Dit wordt mogelijk gemaakt door vier recent onthulde kwetsbaarheden (CVE-2024-47176, CVE-2024-47076, CVE-2024-47175, CVE-2024-47177), waarbij aanvallers op afstand code kunnen uitvoeren en grote hoeveelheden schadelijk verkeer kunnen genereren.

Deze aanvallen vereisen minimale inspanning; een enkele pakket kan een apparaat dat aan het internet is blootgesteld, overbelasten en een doelwit treffen met versterkt netwerkverkeer. Wereldwijd zijn meer dan 198.000 apparaten vatbaar voor deze exploit, waarvan 58.000 direct toegankelijk zijn. Het probleem wordt verergerd door het gebruik van verouderde CUPS-versies, wat deze apparaten kwetsbaar maakt voor misbruik.

Om dit te voorkomen, wordt aanbevolen om CUPS bij te werken, firewallregels aan te passen en DDoS-beveiliging in te schakelen.

Cisco heeft een beveiligingsadvies uitgebracht over een ernstige kwetsbaarheid (CVE-2024-20432) in de Nexus Dashboard Fabric Controller (NDFC). Deze kwetsbaarheid, met een CVSS-score van 9.9, stelt een geauthenticeerde aanvaller met beperkte rechten in staat om willekeurige opdrachten uit te voeren op beheerde apparaten met netwerkbeheerrechten. De fout zit in de REST API en de webinterface van de NDFC en wordt veroorzaakt door onjuiste gebruikersautorisatie en onvoldoende validatie van ingevoerde opdrachten.

Een aanvaller met geldige inloggegevens kan deze kwetsbaarheid misbruiken door speciaal aangepaste opdrachten te sturen via de API of webinterface, waardoor de volledige netwerkstructuur in gevaar kan worden gebracht. Cisco heeft updates uitgebracht om deze kwetsbaarheid te verhelpen, en gebruikers wordt geadviseerd om zo snel mogelijk actie te ondernemen. Er zijn geen tijdelijke oplossingen beschikbaar, wat het des te urgenter maakt om de updates te installeren. Tot op heden zijn er geen meldingen van misbruik in de praktijk.

Een recent ontdekte zero-day kwetsbaarheid (CVE-2024-38200) in Microsoft Office stelt gebruikers bloot aan het risico van ongeautoriseerde toegang tot gevoelige gegevens. Deze fout treft meerdere versies van Office, waaronder Office 2016, 2019 en Microsoft 365 Apps. De kwetsbaarheid maakt het mogelijk voor aanvallers om NTLMv2-hashes te onderscheppen via HTTP- en SMB-protocollen, waarmee ze toegang kunnen krijgen tot netwerkbronnen.

De aanval begint wanneer gebruikers worden misleid om op een schadelijke link te klikken die hen naar een geïnfecteerd Office-bestand leidt. Zodra het bestand wordt geopend, kunnen aanvallers de NTLMv2-hashes onderscheppen en gebruiken voor verdere aanvallen, zoals NTLM-relayaanvallen. Dit maakt het mogelijk om zich voor te doen als een legitieme gebruiker binnen een netwerk.

Microsoft heeft inmiddels een patch uitgebracht, maar gebruikers wordt geadviseerd om aanvullende beveiligingsmaatregelen te nemen, zoals het beperken van uitgaande NTLM-verkeer en het blokkeren van bepaalde netwerkpoorten.

In de afgelopen twee jaar heeft het Vulnerability Disclosure Policy (VDP) Platform van de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) meer dan 12.000 kwetsbaarheden ontvangen. Hiervan werden meer dan 2.400 unieke en geldige kwetsbaarheden ontdekt, waarvan bijna 2.000 inmiddels zijn verholpen door overheidsinstanties. Het platform werkt samen met 51 overheidsprogramma’s en heeft zo’n 3.200 beveiligingsonderzoekers betrokken, waarvan enkele toppresteerders werden uitgelicht.

In 2023 werden er 307 kritieke en ernstige kwetsbaarheden geïdentificeerd, waarvan 229 werden beloond via bug bounties, met een totaalbedrag van $335.000. CISA benadrukt dat de kosten van deze beloningen in schril contrast staan met de potentiële kosten van datalekken. Volgens CISA bespaarden deelnemende overheidsinstanties naar schatting $4,45 miljoen aan mogelijke herstelkosten.

De meest voorkomende kwetsbaarheden waren cross-site scripting (XSS), met 371 gedetecteerde gevallen. Het aantal inzendingen op het platform steeg in 2023 met 132%. Download rapport

Google heeft een nieuwe stabiele versie van Chrome uitgebracht, 129.0.6668.89/.90, voor Windows, Mac en Linux. Deze update, die in de komende dagen wordt uitgerold, verhelpt vier grote beveiligingsproblemen. Drie van deze kwetsbaarheden werden ontdekt door externe onderzoekers en variëren in ernst, waaronder CVE-2024-7025, een integer overflow probleem in Chrome’s lay-outcomponenten. Dit lek kan mogelijk worden misbruikt om willekeurige code uit te voeren of een denial-of-service-aanval te veroorzaken. Ook zijn er twee andere kwetsbaarheden gerepareerd, waaronder CVE-2024-9369, een fout in de data-validatie van Chrome's IPC-bibliotheek, en CVE-2024-9370, een fout in de V8 JavaScript-engine die misbruikt kan worden voor het manipuleren van webinhoud of uitvoeren van code. Gebruikers worden aangeraden hun browser direct bij te werken om beschermd te blijven tegen mogelijke aanvallen. Updates worden automatisch geïnstalleerd, maar handmatig controleren via de instellingen is ook mogelijk.

Recent zijn er meerdere ernstige beveiligingslekken ontdekt in Jenkins, een veelgebruikt platform voor automatisering. Deze kwetsbaarheden kunnen aanvallers in staat stellen gevoelige gegevens te stelen, beveiligingsmaatregelen te omzeilen en volledige controle over Jenkins-servers te verkrijgen. Een van de meest zorgwekkende kwetsbaarheden, CVE-2024-47803, maakt het mogelijk om vertrouwelijke gegevens, zoals wachtwoorden en API-sleutels, via foutmeldingen te onthullen. Andere kwetsbaarheden (CVE-2024-47804 t/m CVE-2024-47807) stellen aanvallers in staat om beveiligingsbeperkingen te omzeilen en mogelijk toegang te krijgen tot versleutelde gegevens of administratorrechten te verkrijgen door misbruik te maken van een zwakte in de OpenID Connect Authenticatie-plugin. Gebruikers van Jenkins wordt met klem aangeraden om hun systemen direct bij te werken naar de nieuwste versies om deze kwetsbaarheden te dichten en hun servers te beveiligen.

Een ernstige kwetsbaarheid (CVE-2024-5102) in Avast Antivirus voor Windows kan hackers in staat stellen om bestanden te verwijderen of kwaadaardige code uit te voeren met systeemrechten (NT AUTHORITY\SYSTEM). De fout bevindt zich in de "Herstel"-functie van de antivirussoftware en is aanwezig in versies vóór 24.2. Door misbruik te maken van symbolische links (symlinks) kunnen aanvallers het herstelproces manipuleren, waardoor ze willekeurige bestanden kunnen verwijderen of hun eigen code kunnen uitvoeren.

De aanval maakt gebruik van een raceconditie waarbij een aanvaller snel bestanden moet recreëren en Windows moet omleiden naar kwaadaardige bestanden. Hoewel dit een complexe techniek is, kan succesvolle exploitatie leiden tot ernstige gevolgen, zoals het verwijderen van systeemkritieke bestanden en het installeren van malware.

Avast heeft de kwetsbaarheid verholpen in versie 24.2 en gebruikers wordt sterk aangeraden hun antivirussoftware direct bij te werken om deze beveiligingslekken te dichten.

Een nieuwe kwetsbaarheid, aangeduid als CVE-2024-46658, is ontdekt in de Syrotech SY-GOPON-8OLT-L3 router (versie 1.6.0_240629). Deze kwetsbaarheid stelt kwaadwillenden in staat om via de beheerdersinterface opdrachten uit te voeren die normaal gesproken niet toegestaan zijn. De kwetsbaarheid maakt misbruik van de mogelijkheid om een specifieke ping-opdracht te manipuleren, waardoor extra code kan worden uitgevoerd. Dit gebeurt door het onderscheppen van een netwerkverzoek en het toevoegen van een nieuwe regel aan de opdrachtparameter, waardoor aanvallers willekeurige opdrachten kunnen uitvoeren. Dit maakt het systeem kwetsbaar voor command injection aanvallen. Om de exploitatie te voorkomen, wordt aanbevolen om de firmware te updaten zodra een patch beschikbaar is. Dit onderstreept opnieuw het belang van regelmatige updates en controle op kwetsbaarheden in netwerkapparatuur.

Dit soort zwakheden kan leiden tot ernstige beveiligingsrisico’s als ze niet tijdig worden verholpen.

In een recent onderzoek hebben Duitse cyberbeveiligingsonderzoekers 53 kwetsbaarheden ontdekt in het Resource Public Key Infrastructure (RPKI)-protocol, wat serieuze vragen oproept over de stabiliteit en veiligheid van dit systeem. RPKI is ontwikkeld om internetverkeer veiliger te maken door BGP-routes te verifiëren en zo kwaadaardige routes te voorkomen. Echter, de gevonden kwetsbaarheden, waaronder Denial of Service (DoS), authenticatiebypass en cache poisoning, tonen aan dat het protocol verre van waterdicht is.

Hoewel veel van deze problemen snel zijn verholpen, blijft het feit dat zoveel kwetsbaarheden in korte tijd zijn ontdekt, zorgwekkend. Dit maakt RPKI een aantrekkelijk doelwit voor cybercriminelen en kan de betrouwbaarheid van internetverkeer in gevaar brengen. Het onderzoek benadrukt ook de moeilijkheden bij het updaten van RPKI-software, wat de risico’s vergroot. Desondanks blijft de adoptie van RPKI een belangrijke stap in het versterken van internetbeveiliging, mits het protocol voortdurend wordt verbeterd. pdf

Een grote cyberaanval deze zomer heeft meer dan 4.275 Adobe Commerce- en Magento-webwinkels getroffen, waaronder bekende merken zoals Ray-Ban en Cisco. Hackers maakten gebruik van de CosmicSting-kwetsbaarheid (CVE-2024-34102) om gevoelige klantgegevens te stelen door kwaadaardige code te injecteren in betaalpagina's. Zeven verschillende hacker-groepen hebben de kwetsbaarheid benut om cryptografische sleutels van Magento te stelen, waarmee ze ongeautoriseerde toegang kregen tot de winkels en betalingen onderschepten. Ondanks dat Adobe deze kwetsbaarheid in juli als kritiek bestempelde en instructies gaf om verouderde cryptografische sleutels te verwijderen, bleven veel winkels kwetsbaar. Dit resulteerde in een “cyberoorlog” waarbij meerdere groepen streden om de controle over dezelfde gehackte winkels. Cybersecurity-experts adviseren dringend om systemen te updaten en oude sleutels te herroepen om verdere aanvallen te voorkomen. Ondanks deze aanbevelingen wordt verwacht dat het aantal getroffen winkels de komende maanden zal toenemen.

Een ernstige beveiligingsfout (CVE-2024-47561) is ontdekt in de Apache Avro Java SDK. Deze kwetsbaarheid maakt het mogelijk voor aanvallers om willekeurige code uit te voeren op systemen die getroffen zijn. Het probleem betreft alle versies van de Apache Avro Java SDK vóór versie 1.11.4. Apache Avro wordt veel gebruikt in dataverwerkingssystemen en streaming applicaties vanwege zijn efficiënte dataserialisatie. De kwetsbaarheid ontstaat door een fout in het verwerken van schema's, waardoor een aanvaller kwaadaardige Avro-data kan sturen die door een kwetsbaar systeem wordt verwerkt. Dit kan leiden tot volledige systeemcompromittering, datalekken en zelfs aanvallen die de beschikbaarheid van systemen verstoren. De ontwikkelaars van Apache Avro hebben de fout opgelost in versies 1.11.4 en 1.12.0. Gebruikers wordt sterk aangeraden om onmiddellijk te updaten naar een van deze veilige versies om risico's te vermijden.

Een ernstige kwetsbaarheid, CVE-2024-9313, is ontdekt in Authd, een authenticatiedaemon die wordt gebruikt in Ubuntu-systemen. Deze fout maakt het mogelijk voor kwaadwillenden om andere gebruikers te imiteren op een aangetast systeem, wat kan leiden tot ongeautoriseerde toegang tot gevoelige gegevens en bronnen. Authd zorgt voor veilige identiteit- en toegangsbeheer op zowel desktops als servers en integreert met verschillende identiteitsproviders. De kwetsbaarheid komt voort uit het ontbreken van adequate controles bij het gebruik van tools zoals su, sudo en ssh, waardoor een aanvaller toegang kan krijgen tot accounts van andere gebruikers.

Gelukkig is er al een oplossing beschikbaar in versie 0.3.5 van Authd, die voorkomt dat gebruikers worden omgeschakeld tenzij de juiste verificatie is ingesteld. Beheerders wordt geadviseerd om snel te updaten en extra beveiligingsmaatregelen te treffen, zoals het verscherpen van toegangscontroles en het monitoren van verdachte activiteiten.

Er is een ernstige beveiligingskwetsbaarheid ontdekt in Foxit Reader (versie 2024.1.0.23997), aangeduid als CVE-2024-28888. Deze kwetsbaarheid, met een CVSS-score van 8.8, stelt aanvallers in staat om willekeurige code uit te voeren op het systeem van een slachtoffer. De kwetsbaarheid ontstaat door een fout in de manier waarop Foxit Reader omgaat met checkbox-objecten in PDF-documenten. Via speciaal ontworpen JavaScript in een kwaadaardige PDF kan een "use-after-free" situatie optreden, wat leidt tot geheugencorruptie. Dit kan door aanvallers worden misbruikt om controle over het systeem te verkrijgen.

Om de aanval uit te voeren, moet een gebruiker worden misleid om een schadelijke PDF te openen, bijvoorbeeld via phishing of misleidende downloads. Als de browserplugin van Foxit Reader actief is, kan de aanval zelfs plaatsvinden door alleen een kwaadaardige website te bezoeken. Foxit heeft inmiddels een update uitgebracht om deze kwetsbaarheid te verhelpen. Gebruikers wordt aangeraden om direct te updaten en voorzichtig te zijn met het openen van verdachte PDF-bestanden.

Apple heeft een belangrijke beveiligingsupdate uitgebracht voor iOS en iPadOS. Deze update verhelpt twee kwetsbaarheden, waarvan één een potentieel risico vormde voor gebruikerswachtwoorden. Het eerste probleem (CVE-2024-44204) zat in de Passwords-functie van Apple, waar een logische fout ervoor zorgde dat wachtwoorden door de VoiceOver-functie konden worden voorgelezen, zonder dat gebruikers hiervan op de hoogte waren. Apple heeft dit probleem opgelost door betere validatie toe te passen.

De tweede kwetsbaarheid (CVE-2024-44207) betrof een fout in de Media Session-functie, waardoor het mogelijk was om enkele seconden aan audioberichten in Messages op te nemen voordat het microfoon-icoon zichtbaar werd. Beide problemen zijn inmiddels verholpen met de release van iOS en iPadOS versie 18.0.1. Apple adviseert gebruikers dringend om hun apparaten te updaten om beschermd te blijven tegen deze beveiligingslekken. 1

In Nederland zijn ongeveer 2500 systemen die een kwetsbare versie van het Common Unix Printing System (CUPS) draaien, waardoor ze vanaf het internet toegankelijk zijn. Deze systemen lopen risico omdat meerdere kwetsbaarheden in CUPS het mogelijk maken voor aanvallers om op afstand ongeautoriseerde code uit te voeren op Linux-systemen. CUPS wordt voornamelijk gebruikt om systemen als printserver te laten functioneren. De Shadowserver Foundation, een organisatie die zich bezighoudt met het opsporen van kwetsbare systemen, heeft deze gegevens gepubliceerd op basis van externe scans. Wereldwijd werden meer dan 107.000 kwetsbare systemen gevonden, met een groot deel daarvan in de Verenigde Staten en Duitsland. De stichting roept beheerders op om updates te installeren of om het CUPS-systeem te verwijderen als het niet wordt gebruikt. Zo kan voorkomen worden dat kwaadwillenden misbruik maken van deze kwetsbaarheden. 1

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft twee ernstige kwetsbaarheden (CVE-2024-41988 en CVE-2024-41987) ontdekt in TEM Opera Plus FM-zenders, die veel gebruikt worden in kritieke infrastructuur zoals telecommunicatie en energievoorziening. Deze kwetsbaarheden stellen aanvallers in staat om zonder toestemming toegang te krijgen tot het systeem en mogelijk volledige controle over de zender te verkrijgen.

CVE-2024-41988, met een CVSS-score van 9,8, maakt het mogelijk voor aanvallers om zonder authenticatie bestanden te uploaden en de systeemsoftware te overschrijven, waardoor zij willekeurige code kunnen uitvoeren. CVE-2024-41987, met een CVSS-score van 9,6, maakt gebruik van een Cross-Site Request Forgery (CSRF) techniek, waardoor aanvallers acties met beheerdersrechten kunnen uitvoeren.

CISA roept gebruikers op om de netwerkomgeving te beveiligen en firewalls en VPN's te gebruiken om het risico op misbruik te beperken. TEM heeft nog niet gereageerd op verzoeken om deze kwetsbaarheden te verhelpen.

Een ernstige beveiligingslek, aangeduid als CVE-2024-9441, is ontdekt in de Linear eMerge e3-serie toegangscontrolesystemen. Deze kwetsbaarheid, met een CVSS-score van 9.8, stelt aanvallers in staat om op afstand willekeurige opdrachten uit te voeren via de functie voor wachtwoordherstel. Dit wordt mogelijk gemaakt doordat het systeem de invoer van de login_id-parameter niet goed controleert, wat leidt tot een OS-commando-injectie. De kwetsbaarheid stelt aanvallers in staat om zonder authenticatie roottoegang te verkrijgen, wat het risico op misbruik vergroot.

Hoewel het probleem vijf maanden geleden is gemeld, heeft de fabrikant nog geen oplossing of tijdelijke maatregel uitgebracht. De systemen die door deze fout getroffen worden, worden vaak ingezet in beveiligingskritische omgevingen, waardoor de impact aanzienlijk is. Tot er een patch beschikbaar komt, blijven gebruikers van deze systemen kwetsbaar voor aanvallen die leiden tot volledige systeemcompromittering, het stelen van gevoelige gegevens of verdere aanvallen op het netwerk.

Okta, een toonaangevend bedrijf op het gebied van identiteits- en toegangsbeheer, heeft onlangs een beveiligingslek verholpen dat aanvallers met geldige inloggegevens in staat stelde om kritieke beveiligingsmaatregelen te omzeilen. Deze kwetsbaarheid, ontdekt op 27 september 2024, betrof specifieke configuraties binnen Okta Classic en werd veroorzaakt door een update uit juli. Het probleem stelde aanvallers in staat om bepaalde beveiligingscondities, zoals netwerkzones en apparaatrestricties, te omzeilen.

Hoewel het misbruiken van de kwetsbaarheid lastig was, waren er drie vereisten: de aanvaller moest beschikken over geldige inloggegevens, de organisatie moest applicatie-specifieke inlogbeleid gebruiken, en de aanval moest worden uitgevoerd via een "onbekend" apparaat.

Okta heeft het probleem snel verholpen op 4 oktober 2024 en roept klanten op om hun logs te controleren op verdachte activiteiten, vooral tussen 17 juli en 4 oktober 2024. Okta biedt gedetailleerde stappen voor verdere analyse en beveelt aan om afwijkend gebruikersgedrag te onderzoeken. 1

Twee ernstige kwetsbaarheden, CVE-2024-47789 en CVE-2024-47790, zijn ontdekt in de D3D Security IP Camera D8801. Deze kwetsbaarheden stellen kwaadwillenden in staat om onbevoegde toegang te krijgen tot gevoelige informatie en live videostreams van de camera's. De eerste kwetsbaarheid heeft betrekking op een zwak authenticatiesysteem, waarbij inloggegevens gemakkelijk onderschept en ontcijferd kunnen worden. De tweede kwetsbaarheid treft het Real-Time Streaming Protocol (RTSP) van de camera’s, waardoor aanvallers de live videostream kunnen bekijken zonder toestemming.

De camera's hebben hun End of Life-status bereikt in januari 2024, wat betekent dat er geen beveiligingsupdates of patches meer beschikbaar komen. Gebruikers worden dringend geadviseerd om deze producten niet meer te gebruiken en te vervangen door ondersteunde alternatieven om de risico's op inbreuken te beperken.

Onderzoekers Harsh Jaiswal en Rahul Maini hebben een kritieke kwetsbaarheid ontdekt in de Ruby-SAML en OmniAuth-SAML libraries, die GitLab’s authenticatiesysteem beïnvloeden. Deze fout (CVE-2024-45409) maakt het mogelijk om de SAML-authenticatie te omzeilen, waardoor aanvallers ongeoorloofde toegang kunnen verkrijgen. Het probleem ligt in de verificatie van de digitale handtekening die SAML-asserties beveiligt. Aanvallers kunnen deze verificatie manipuleren door een vervalste "DigestValue" in het samlp:extensions-element in te voegen. Hierdoor worden essentiële beveiligingscontroles overgeslagen.

Hoewel GitLab inmiddels een patch heeft uitgebracht om dit probleem te verhelpen, benadrukken de onderzoekers het belang van regelmatige beveiligingsupdates. Organisaties die gebruikmaken van Ruby-SAML en OmniAuth-SAML worden geadviseerd om hun libraries bij te werken om te voorkomen dat ze kwetsbaar blijven voor dit soort aanvallen.

Deze kwetsbaarheid toont aan dat zelfs veelgebruikte beveiligingsbibliotheken kwetsbaar kunnen zijn voor misbruik als ze niet correct worden geïmplementeerd en onderhouden. 1

Beveiligingsonderzoeker mbog14 heeft details en een proof-of-concept gepubliceerd voor een lokale privilege-escalatie kwetsbaarheid in iTunes (CVE-2024-44193), die aanvallers in staat stelt om systeemrechten te verkrijgen op Windows-computers. Het probleem doet zich voor in versie 12.13.2.3 van iTunes en betreft de AppleMobileDeviceService.exe, waarbij gebruikers met beperkte rechten schrijfrechten hebben op een belangrijke directory. Door een kwetsbaarheid in het verwijderen van bestanden binnen deze directory, kunnen kwaadwillenden via een NTFS-junctie en een Windows MSI rollback-truc bestanden overschrijven op kritieke locaties zoals HID.DLL, wat uiteindelijk resulteert in het verkrijgen van een SYSTEM-shell.

Apple heeft het probleem inmiddels verholpen in een update van september 2024. Gebruikers wordt dringend geadviseerd om hun iTunes-software bij te werken naar versie 12.13.2.3 of hoger om misbruik van deze kwetsbaarheid te voorkomen. Dit incident benadrukt het belang van zorgvuldig beheer van gebruikersrechten en systeemmappen.

Een ernstige kwetsbaarheid, CVE-2024-47191, is ontdekt in de PAM-module van het OATH-Toolkit, die gebruikt wordt voor éénmalige wachtwoordauthenticatie (OTP). Deze kwetsbaarheid stelt systemen bloot aan root-exploits, wat betekent dat een ongeautoriseerde gebruiker root-toegang kan verkrijgen. De fout is geïdentificeerd door de SUSE Security Team en wordt veroorzaakt door onveilige bestandshandelingen in de home-directory van gebruikers. Hierdoor kan een aanvaller bijvoorbeeld een symbolische link (symlink) maken om kritieke bestanden zoals /etc/shadow te overschrijven en zo rootrechten te verkrijgen.

Het probleem werd veroorzaakt door een foutieve implementatie van paduitbreidingen zoals ${HOME}, waardoor de authenticatiemodule onveilig bestanden aanroept. SUSE heeft inmiddels een patch uitgebracht die deze kwetsbaarheid oplost. De patch zorgt ervoor dat bestandsoperaties veiliger worden uitgevoerd, en privileges worden verlaagd naar het juiste niveau. Ook is het vergrendelingsmechanisme herzien om verdere problemen te voorkomen. De kwetsbaarheid benadrukt het belang van snelle patching om systemen te beschermen tegen deze kritieke exploit.

Redis, een populair open-source systeem voor databeheer, heeft gebruikers dringend opgeroepen hun installaties bij te werken na de ontdekking van meerdere beveiligingslekken. De meest ernstige kwetsbaarheid, aangeduid als CVE-2024-31449, heeft een CVSS-score van 8.8 en stelt aanvallers in staat om op afstand willekeurige code uit te voeren via een fout in de Lua-scripting engine. Door een speciaal ontworpen script in te dienen, kan een buffer overflow worden veroorzaakt, waardoor de aanvaller volledige controle kan krijgen over de server.

Naast deze ernstige kwetsbaarheid zijn er ook twee Denial of Service (DoS)-problemen opgelost: CVE-2024-31227 en CVE-2024-31228, met respectievelijke scores van 4.5 en 6.5. Beide kunnen leiden tot het crashen van Redis-servers. Gebruikers worden sterk aangeraden om hun systemen zo snel mogelijk bij te werken naar versies 7.4.1, 7.2.6, of 6.2.16 om deze beveiligingslekken te dichten en verdere risico's te vermijden.

Recent heeft Cisco een beveiligingswaarschuwing afgegeven voor verschillende kwetsbaarheden in hun Small Business VPN-routers, zoals de RV340, RV340W, RV345 en RV345P. Deze kwetsbaarheden, aangeduid als CVE-2024-20393 en CVE-2024-20470, stellen kleine bedrijven bloot aan aanzienlijke risico's. De eerste kwetsbaarheid maakt privilege-escalatie mogelijk, waardoor een aanvaller toegang kan krijgen tot beheerdersrechten op de router. De tweede kwetsbaarheid stelt een aanvaller met bestaande beheerdersrechten in staat om willekeurige code uit te voeren op het besturingssysteem van de router.

Helaas zijn er geen software-updates of werkbare oplossingen beschikbaar, aangezien deze routers het einde van hun software-onderhoud hebben bereikt. Cisco adviseert bedrijven om de configuratie van hun routers te controleren en de afstandsbeheeroptie uit te schakelen om het risico te beperken. Het wordt aanbevolen om over te stappen naar nieuwere apparaten die nog wel beveiligingsupdates ontvangen, om de veiligheid van het netwerk te waarborgen.

MediaTek heeft in oktober 2024 een beveiligingsbulletin uitgebracht waarin kritieke kwetsbaarheden worden aangepakt in chipsets die worden gebruikt in smartphones, tablets en IoT-apparaten. Deze kwetsbaarheden kunnen leiden tot ernstige aanvallen zoals remote code execution (RCE) en privilege escalation, waarbij aanvallers zonder interactie van de gebruiker controle kunnen krijgen over apparaten. Belangrijke kwetsbaarheden, zoals CVE-2024-20090 en CVE-2024-20100, hebben betrekking op respectievelijk de videodecoder en de wlan-driver van getroffen chipsets, en kunnen leiden tot systeemovername of het blootstellen van gevoelige informatie.

Onder de getroffen chipsets vallen populaire modellen zoals de MT6761 en MT6893, die vaak in Android-apparaten en IoT-platformen worden gebruikt. Gebruikers worden geadviseerd om de door fabrikanten uitgebrachte beveiligingsupdates zo snel mogelijk te installeren om deze risico’s te mitigeren. Deze kwetsbaarheden benadrukken het belang van tijdige beveiligingspatches voor zowel consumenten als bedrijven die afhankelijk zijn van IoT-technologie.

Cacti, een populair open-source netwerkmonitoringtool, heeft een dringende beveiligingsupdate uitgebracht (versie 1.2.28) om meerdere kwetsbaarheden te verhelpen. De belangrijkste hiervan is een Remote Code Execution (RCE) fout (CVE-2024-43363), die aanvallers in staat stelt om willekeurige code op de server uit te voeren door misbruik te maken van logbestanden. Deze kwetsbaarheid heeft een CVSS-score van 7.2 en maakt gebruik van een techniek genaamd “log poisoning”. Dit kan een volledige overname van de server mogelijk maken.

Naast de RCE-kwetsbaarheid zijn ook drie Cross-Site Scripting (XSS) fouten aangepakt (CVE-2024-43365, CVE-2024-43364 en CVE-2024-43362). Deze fouten stellen aanvallers in staat om schadelijke scripts in webpagina's te injecteren, wat kan leiden tot gestolen gebruikersgegevens en gekaapte sessies.

Gebruikers worden dringend geadviseerd om hun Cacti-installaties bij te werken naar versie 1.2.28 en hun systemen te controleren op mogelijke tekenen van misbruik.

Qualcomm heeft in oktober 2024 belangrijke updates uitgebracht om verschillende ernstige beveiligingsproblemen op te lossen in hun chipsets, zoals Snapdragon-platformen en FastConnect-oplossingen. Eén van de kwetsbaarheden (CVE-2024-43047) werd door Google aangemerkt als mogelijk actief misbruikt, met gerichte aanvallen op specifieke gebruikers. Deze kwetsbaarheid treft de FASTRPC-driver en kan grote schade aanrichten als deze niet wordt gepatcht.

Een andere ernstige kwetsbaarheid (CVE-2024-33066) in de WLAN Resource Manager, met een CVSS-score van 9.8, kan aanvallers in staat stellen op afstand schadelijke code uit te voeren, wat kan leiden tot volledige overname van een apparaat. Ook werden kwetsbaarheden ontdekt in het Hardware Abstraction Layer-systeem en open-source softwarecomponenten.

Qualcomm adviseert fabrikanten dringend om de patches direct te implementeren, en gebruikers worden aangemoedigd om hun apparaten te updaten naar de nieuwste firmware om zich te beschermen tegen deze risico's.

Beveiligingsonderzoeker Marcus Hutchins heeft een open-source tool uitgebracht om kwetsbaarheden in het Common Unix Printing System (CUPS) te detecteren. Deze tool helpt systeembeheerders bij het identificeren van systemen die vatbaar zijn voor de onlangs ontdekte CVE-2024-47176-kwetsbaarheid, die kan leiden tot remote code execution (RCE).

CUPS wordt veel gebruikt in UNIX-achtige systemen, waaronder Linux en macOS, en beheert netwerkafdrukken. De kwetsbaarheden maken het mogelijk voor aanvallers om printers toe te voegen of te herconfigureren en schadelijke code op kwetsbare systemen uit te voeren. De CVE-2024-47176-kwetsbaarheid is vooral ernstig omdat deze de cups-browsed-dienst betreft, die openstaat voor externe netwerken en geen authenticatie vereist voor inkomende verzoeken. Dit vergroot het risico op uitbuiting aanzienlijk.

Hutchins’ tool, cups_scanner.py, automatiseert het scannen van netwerken op kwetsbare CUPS-instances, wat essentieel is voor het snel opsporen en patchen van deze kwetsbaarheden om mogelijke aanvallen te voorkomen. 1

Onderzoeker Peter Gabaldon heeft details vrijgegeven over twee ernstige beveiligingslekken in TeamViewer (CVE-2024-7479 en CVE-2024-7481). Deze kwetsbaarheden stellen aanvallers in staat om lokale gebruikersrechten te escaleren naar het hoogste systeemniveau, waardoor ze willekeurige kernel drivers kunnen laden. Dit komt door gebrekkige cryptografische controle tijdens de installatie van VPN- en printerdrivers via de TeamViewer-service. De kwetsbaarheden, met een CVSS-score van 8.8, maken het mogelijk om systeembeveiliging te omzeilen door gebruik te maken van niet-geverifieerde handtekeningen van drivers. 1, 2

Gabaldon demonstreerde hoe aanvallers een legitieme TeamViewer-client kunnen nabootsen om een kwaadaardige driver te installeren. Hij heeft een proof-of-concept exploit gepubliceerd waarmee beveiligingsonderzoekers deze kwetsbaarheden kunnen testen. TeamViewer heeft inmiddels versie 15.58.4 uitgebracht om deze problemen op te lossen, en gebruikers wordt aangeraden hun software direct te updaten om beveiligingsrisico’s te voorkomen.

Recent onderzoek door beveiligingsonderzoeker Amit Geynis heeft ernstige kwetsbaarheden in moderne voertuigen blootgelegd. Deze zogenaamde zero-day-exploits, die onbekend zijn bij softwareontwikkelaars, richten zich op de elektronische controlesystemen (ECU's) in auto's. Eén exploit maakt het mogelijk om via de CAN-bus van een voertuig kwaadaardige code uit te voeren, wat kan leiden tot de overname van essentiële systemen zoals remmen, sturen en versnellen. Daarnaast werden zwakke plekken gevonden in communicatieprotocollen zoals IPsec en SOME/IP-SD, waardoor aanvallers volledige controle over het voertuig kunnen krijgen. Ook de cryptografische beveiliging van afstandsbedieningen bleek vatbaar voor aanvallen, waardoor onbevoegde toegang mogelijk is. Een andere kwetsbaarheid in de telematica van voertuigen maakt het zelfs mogelijk om via een sms-code toegang te krijgen tot de systemen van het voertuig. Deze ontdekkingen onderstrepen de dringende noodzaak om de beveiliging van moderne voertuigen op alle niveaus te versterken, van communicatieprotocollen tot cryptografie. pdf Tales from a Penetration Testing Team

Onderzoekers hebben onlangs details en een proof-of-concept (PoC) exploit gepubliceerd voor een kwetsbaarheid in de Linux-kernel, aangeduid als CVE-2023-52447. Deze fout, met een CVSS-score van 7.8, treft Linux-kernels van versie 5.8 tot 6.6 en kan worden gebruikt om containers te ontvluchten, wat ernstige gevolgen kan hebben voor systemen die afhankelijk zijn van containerisatie voor beveiliging.

De kwetsbaarheid zit in het BPF-subsysteem, waarbij arraymap pointers onjuist worden beheerd. Dit leidt tot een use-after-free situatie, die kan worden uitgebuit door een racecondition tussen twee threads te veroorzaken. De fout maakt het mogelijk om via zorgvuldig geplande stappen kernstructuren te manipuleren en een container te verlaten.

Een PoC-exploit is gepubliceerd, wat beveiligingsteams helpt de kwetsbaarheid beter te begrijpen en te patchen. Dit verhoogt echter ook de urgentie om getroffen systemen te updaten, omdat kwaadwillenden deze exploit kunnen misbruiken. Gelukkig is er inmiddels een patch beschikbaar in de nieuwste kernelversie.

Een recent ontdekte kwetsbaarheid in Android maakt het voor aanvallers mogelijk om op afstand code uit te voeren op kwetsbare toestellen. Dit probleem, aangeduid als CVE-2024-40673, treft Android versies 12, 12L, 13 en 14 en vereist geen aanvullende toegangsrechten voor misbruik. Google heeft de ernst van dit lek als 'high' ingeschaald en heeft in oktober beveiligingsupdates uitgebracht om het probleem te verhelpen. Deze updates maken deel uit van de patchcyclus van oktober en bevatten in totaal 28 beveiligingsoplossingen.

Androidfabrikanten zijn al een maand eerder op de hoogte gebracht, zodat ze de patches konden integreren in hun eigen updates. Echter, niet alle Androidtoestellen ontvangen automatisch deze updates, vooral oudere modellen of toestellen die niet meer ondersteund worden door de fabrikant. Gebruikers van Android worden aangeraden hun apparaten zo snel mogelijk te updaten om het risico op misbruik te verminderen. 1

In de WordPress-plugin LatePoint, gebruikt voor het beheren van online reserveringen op duizenden websites, zijn twee kritieke kwetsbaarheden ontdekt. Deze lekken stellen aanvallers in staat om zonder authenticatie het adminwachtwoord te wijzigen via een SQL-injectie, waarmee ze volledige controle over de website kunnen krijgen. Een voorwaarde voor misbruik is dat de optie "Use WordPress users as customers" actief is, wat standaard niet het geval is.

Daarnaast kan een aanvaller, indien het gebruikers-ID bekend is, inloggen als elke gebruiker, inclusief beheerders. Ook hiervoor moet de eerder genoemde optie ingeschakeld zijn. Beide kwetsbaarheden kregen een kritieke score van 9.8 op een schaal van 10.

De ontwikkelaars van LatePoint hebben op 24 september 2024 een beveiligingsupdate uitgebracht om deze problemen te verhelpen. Websitebeheerders worden dringend aangeraden de update zo snel mogelijk te installeren om misbruik te voorkomen, aangezien de details van de kwetsbaarheden inmiddels openbaar zijn gemaakt. 1

CVE-2024-8911
CVE-2024-8943

SAP heeft in oktober 2024 zes nieuwe beveiligingsnotities en zes updates uitgebracht voor eerdere patches. Een van de belangrijkste problemen die is aangepakt, betreft een ontbrekende authenticatiecontrole in de SAP BusinessObjects Business Intelligence Platform (CVE-2024-41730). Deze kwetsbaarheid heeft een hoge CVSS-score van 9.8 en kan ongeautoriseerde toegang tot gevoelige gegevens mogelijk maken, met het risico dat bedrijfsprocessen worden verstoord.

Daarnaast zijn er meerdere kwetsbaarheden verholpen in SAP Enterprise Project Connection, met een CVSS-score van 8.0, wat de vertrouwelijkheid en integriteit van projectdata kan compromitteren. Ook werd een gevaarlijke kwetsbaarheid in de bestandsbewerkingen van BusinessObjects (CVE-2024-37179) aangepakt, die aanvallers toegang tot systeembestanden kan geven.

SAP adviseert haar klanten dringend om de nieuwste updates toe te passen om bescherming te bieden tegen mogelijke cyberaanvallen. Andere patches richten zich op informatielekken, cross-site scripting en prototype-vervuiling, die allemaal verschillende SAP-systemen treffen.

Een nieuwe kwetsbaarheid (CVE-2024-41798) in de Siemens SENTRON PAC3200 energiemeters stelt apparaten bloot aan eenvoudige aanvallen. Deze meters, die veel gebruikt worden voor energiebeheer, maken gebruik van een zwakke viercijferige PIN voor toegang tot de beheerinterface via het Modbus TCP-protocol. Deze beveiliging is onvoldoende, vooral tegen brute-force aanvallen waarbij aanvallers verschillende PIN-combinaties proberen totdat ze toegang krijgen. Omdat de Modbus-communicatie niet is versleuteld, kunnen kwaadwillenden eenvoudig netwerkverkeer onderscheppen en de PIN-code bemachtigen zonder zelfs maar te hoeven raden. Siemens heeft het probleem erkend, maar er is momenteel geen oplossing in de vorm van een patch beschikbaar. Gebruikers worden geadviseerd de PIN alleen te zien als een preventie tegen operationele fouten, niet als een daadwerkelijke beveiligingsmaatregel tegen aanvallen.

Ivanti heeft onlangs beveiligingsupdates uitgebracht voor hun Cloud Services Appliance (CSA) om meerdere kwetsbaarheden aan te pakken, waaronder enkele die actief worden misbruikt. Deze kwetsbaarheden, die invloed hebben op CSA-versies 5.0.1 en ouder, omvatten onder andere een SQL-injectie (CVE-2024-9379) en een OS-command injectie (CVE-2024-9380), beide met ernstige gevolgen zoals het uitvoeren van willekeurige code. Daarnaast is er een pad-omzeilingskwetsbaarheid (CVE-2024-9381) die toegang tot systeembeperkingen mogelijk maakt.

Hoewel deze kwetsbaarheden CSA 5.0 treffen, benadrukt Ivanti dat er nog geen gevallen van misbruik in versie 5.0 zijn geconstateerd. Het bedrijf raadt gebruikers dringend aan om bij te werken naar versie 5.0.2, waarin alle kwetsbaarheden zijn verholpen. Gebruikers van de verouderde versie 4.6 worden extra gewaarschuwd, aangezien deze versie niet langer beveiligingsupdates ontvangt en dus extra kwetsbaar is voor aanvallen.

Een ernstige kwetsbaarheid in Ivanti Connect Secure, een VPN-oplossing, maakt het mogelijk voor aanvallers om code uit te voeren op de VPN-server. De kwetsbaarheid, aangeduid als CVE-2024-37404, bevindt zich in het adminportaal van de software en vereist dat een aanvaller toegang heeft tot de inloggegevens van een beheerder. Ondanks deze voorwaarde is de kwetsbaarheid beoordeeld met een hoge ernstscore van 9.1 op een schaal van 10. Dit benadrukt de mogelijke impact op de veiligheid van organisaties die deze software gebruiken. Ivanti heeft inmiddels een beveiligingsupdate uitgebracht om het probleem te verhelpen en adviseert organisaties dringend om deze update zo snel mogelijk te installeren. Verder wordt aanbevolen om de beheerdersinterface alleen toegankelijk te maken via een geïsoleerd intern netwerk. Ivanti Connect Secure, eerder bekend als Pulse Secure, is in het verleden vaker doelwit geweest van cyberaanvallen.

Siemens heeft een belangrijke beveiligingsupdate uitgebracht voor zijn SINEC Security Monitor, een modulair softwarepakket dat wordt gebruikt voor passieve en continue monitoring van industriële systemen. In versies vóór 4.9.0 zijn vier ernstige kwetsbaarheden (CVE-2024-47553, CVE-2024-47562, CVE-2024-47563, en CVE-2024-47565) ontdekt, die het mogelijk maken voor aanvallers om onder andere willekeurige code uit te voeren en root-toegang te krijgen tot de systemen. De meest kritieke van deze kwetsbaarheden, CVE-2024-47553, stelt aanvallers in staat om met minimale rechten gevaarlijke acties uit te voeren door onjuiste validatie van gebruikersinvoer. Siemens adviseert gebruikers met klem om hun software bij te werken naar versie 4.9.0 of later om deze beveiligingslekken te verhelpen. Door deze update te installeren, kunnen bedrijven de risico's van potentiële aanvallen aanzienlijk beperken en de integriteit van hun industriële systemen beter waarborgen.

Onderzoekers hebben ernstige kwetsbaarheden ontdekt in de implementaties van het Manufacturing Message Specification (MMS) protocol, die worden gebruikt in industriële systemen. Deze kwetsbaarheden kunnen door aanvallers worden misbruikt voor het uitvoeren van kwaadaardige code, het laten crashen van apparaten of het veroorzaken van denial-of-service (DoS)-aanvallen. De problemen zijn gevonden in de MMS-libraries van MZ Automation en Triangle MicroWorks en werden in 2022 verholpen na melding. De kwetsbaarheden, waaronder buffer overflows en null pointer dereferences, hebben hoge CVSS-scores gekregen, wat de ernst ervan benadrukt. Een van de geïdentificeerde risico's is de mogelijkheid om kritieke systemen op afstand te compromitteren, wat desastreuze gevolgen kan hebben voor industriële omgevingen zoals energiecentrales of fabrieken. Siemens heeft ook updates uitgebracht voor getroffen apparaten, zoals de SIPROTEC 5 IED, om dergelijke kwetsbaarheden aan te pakken. Het onderzoek onderstreept de noodzaak voor fabrikanten om verouderde protocollen te beveiligen en te vervangen. 1

Mozilla heeft een kritieke zero-day kwetsbaarheid in Firefox onthuld, aangeduid als CVE-2024-9680. Deze kwetsbaarheid, veroorzaakt door een "use-after-free" fout in de animatietijdlijnen van de browser, stelt aanvallers in staat om kwaadaardige code uit te voeren. Het beveiligingslek is ontdekt door Damien Schaeffer van ESET en wordt al actief misbruikt in cyberaanvallen. Mozilla heeft gebruikers dringend opgeroepen om hun browser direct bij te werken naar de nieuwste versies om verdere exploitatie te voorkomen.

De kwetsbaarheid beïnvloedt zowel reguliere als ESR-versies van Firefox, waarbij de noodzakelijke patches al beschikbaar zijn. Gebruikers kunnen controleren of ze de nieuwste versie hebben door naar de "Over Firefox" optie te gaan in hun instellingen, wat een automatische update zal activeren indien nodig. Het snel installeren van deze update is cruciaal om de risico’s van deze aanval te minimaliseren. 1

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft drie nieuwe kwetsbaarheden toegevoegd aan hun "Known Exploited Vulnerabilities" (KEV) catalogus. Deze kwetsbaarheden worden actief uitgebuit in de praktijk, wat betekent dat organisaties onmiddellijk hun systemen moeten patchen om misbruik te voorkomen. De kwetsbaarheden betreffen producten van Fortinet en Ivanti, die veel gebruikt worden in bedrijfsnetwerken.

Een van de meest kritieke kwetsbaarheden, CVE-2024-23113, betreft een fout in Fortinet-producten die leidt tot "remote code execution" (RCE). Dit kan aanvallers toegang geven tot gevoelige informatie of verdere aanvallen binnen het netwerk mogelijk maken. Ivanti Cloud Services Appliance (CSA) bevat daarnaast kwetsbaarheden voor SQL-injectie en OS-commando-injectie, wat ook ernstige schade kan veroorzaken. 1

CISA dringt erop aan dat organisaties deze kwetsbaarheden voor eind oktober patchen om grootschalige schade en inbreuken te voorkomen, vooral binnen vitale infrastructuur.

Palo Alto Networks heeft klanten gewaarschuwd voor ernstige kwetsbaarheden in de PAN-OS firewalls, waarvoor al publieke exploitcodes beschikbaar zijn. Deze kwetsbaarheden bevinden zich in het Expedition-hulpprogramma, dat wordt gebruikt om configuraties te migreren tussen verschillende netwerkapparaten. De fouten kunnen door aanvallers worden misbruikt om toegang te krijgen tot gevoelige informatie zoals gebruikersnamen en wachtwoorden, waarmee ze beheeraccounts van firewalls kunnen overnemen. De kwetsbaarheden omvatten onder meer command injection, SQL-injectie en cross-site scripting (XSS).

Een proof-of-concept exploit is al gepubliceerd, waarmee aanvallers op afstand willekeurige opdrachten kunnen uitvoeren op kwetsbare servers. Hoewel er tot nu toe geen bewijs is dat de zwakke plekken actief zijn misbruikt, adviseert Palo Alto Networks om direct te updaten naar de nieuwste versie van Expedition en alle gebruikersnamen, wachtwoorden en API-sleutels te roteren. Administrators die niet meteen kunnen updaten, wordt aangeraden om netwerktoegang te beperken tot alleen geautoriseerde gebruikers en apparaten. 1

• CVE-2024-9463 (unauthenticated command injection vulnerability)
• CVE-2024-9464 (authenticated command injection vulnerability)
• CVE-2024-9465 (unauthenticated SQL injection vulnerability)
• CVE-2024-9466 (cleartext credentials stored in logs)
• CVE-2024-9467 (unauthenticated reflected XSS vulnerability)

Een ernstige beveiligingsfout (CVE-2024-47823) is ontdekt in Livewire, een populair framework voor Laravel. Deze kwetsbaarheid maakt het mogelijk voor aanvallers om op afstand code uit te voeren via bestandsuploads. Het probleem zit in hoe Livewire de bestandsextensie controleert bij uploads in versies vóór 3.5.2. In plaats van de daadwerkelijke extensie te valideren, wordt deze geraden op basis van het MIME-type. Hierdoor kunnen aanvallers een bestand uploaden met een gevaarlijke extensie zoals .php, maar met een onschuldig MIME-type zoals image/png. Als de webserver is geconfigureerd om PHP-bestanden uit te voeren, kan dit leiden tot remote code execution. De kwetsbaarheid heeft een CVSS-score van 7.7 gekregen. Ontwikkelaars wordt geadviseerd direct te updaten naar de nieuwste versie van Livewire en extra voorzorgsmaatregelen te nemen zoals het uitschakelen van PHP-uitvoering in openbare mappen.

Schneider Electric heeft een ernstige beveiligingslek gemeld in de System Monitor-applicatie van hun Harmony Industrial PC Series en Pro-face PS5000 Legacy Industrial PC Series. De kwetsbaarheid, aangeduid als CVE-2024-8884, heeft een kritieke CVSS-score van 9.8 gekregen. Het lek stelt onbevoegden in staat om via een onbeveiligde HTTP-verbinding gevoelige informatie te bemachtigen, waaronder inloggegevens. Dit kan leiden tot denial-of-service aanvallen, datalekken en integriteitsproblemen, met mogelijk ernstige operationele storingen in industriële omgevingen tot gevolg. Alle versies van de System Monitor-applicatie in de genoemde productlijnen zijn getroffen. Schneider Electric adviseert klanten om de kwetsbare applicatie te verwijderen en raadt aan dit eerst in een testomgeving uit te voeren om onbedoelde verstoringen te voorkomen. Getroffen bedrijven worden sterk aangeraden snel actie te ondernemen om de risico's te beperken.

Een ernstige kwetsbaarheid (CVE-2024-36814) is ontdekt in AdGuard Home, een open-source oplossing voor netwerkbrede adblokkering. De kwetsbaarheid, gevonden door beveiligingsonderzoeker Jack Moran, stelt geauthenticeerde aanvallers in staat om willekeurige bestanden te lezen op het systeem waarop AdGuard Home draait.

Het probleem zit in de zwakke bestandspermissies van de configuratiemap, waardoor gevoelige informatie zoals gebruikersnamen en wachtwoordhashes toegankelijk zijn. Aanvallers kunnen misbruik maken van de functie voor aangepaste filterlijsten om systeembestanden zoals /etc/shadow toe te voegen en vervolgens te bekijken via de webinterface.

Deze kwetsbaarheid is vooral gevaarlijk in gedeelde omgevingen waar meerdere gebruikers toegang hebben tot het systeem. Eenmaal geëxploiteerd kunnen aanvallers wachtwoordhashes stelen, kraken en hun rechten verhogen.

De ontwikkelaars van AdGuard Home hebben het probleem erkend en een patch uitgebracht in versie v0.107.53. Gebruikers worden dringend geadviseerd hun installaties onmiddellijk bij te werken.

Een ernstige beveiligingskwetsbaarheid (CVE-2024-45720) is ontdekt in Apache Subversion (SVN), een populair versiebeheersysteem voor ontwikkelaars. De kwetsbaarheid treft voornamelijk Windows-platforms en maakt onbedoelde programma-uitvoering mogelijk via command line argument injectie. Het probleem ontstaat door de manier waarop command line argumenten worden verwerkt op Windows, waarbij een "best fit" tekenset-conversie plaatsvindt. Dit kan leiden tot onverwachte interpretatie van argumenten en uitvoering van andere programma's. De kwetsbaarheid is bevestigd op Windows 10 en 11, maar kan ook andere Windows-versies treffen. Unix-achtige platforms zoals Linux en macOS zijn niet getroffen. De beveiligingsonderzoekers Orange Tsai en Splitline van het DEVCORE Research Team hebben de kwetsbaarheid gemeld. Gebruikers wordt sterk aangeraden te upgraden naar Subversion 1.14.4, waarin het probleem is opgelost. Voor wie niet direct kan upgraden, is een tijdelijke patch beschikbaar.

Een onderzoeker van SEC Consult Vulnerability Lab heeft een kritieke kwetsbaarheid (CVE-2024-9473) ontdekt in de MSI-installer van Palo Alto Networks' GlobalProtect software. Deze kwetsbaarheid stelt lokale aanvallers met beperkte rechten in staat om SYSTEM-level toegang te krijgen op getroffen systemen.

Het probleem ontstaat wanneer een gebruiker met beperkte rechten een reparatie van de installatie uitvoert. Hierbij wordt een subproces met SYSTEM-rechten gestart dat interactie heeft met een dll-bestand. Door slim gebruik te maken van bestandsvergrendeling kan een aanvaller een command prompt openen met volledige systeemrechten.

Alle versies van GlobalProtect vóór 6.2.5 zijn kwetsbaar. Versie 5.2.x zal geen patch ontvangen omdat deze end-of-life is. Gebruikers worden sterk aangeraden zo snel mogelijk te upgraden naar versie 6.2.5 om het risico te beperken. 1

GitLab heeft belangrijke beveiligingsupdates uitgebracht voor zowel de Community als Enterprise edities in versies 17.4.2, 17.3.5 en 17.2.9. Deze updates verhelpen meerdere ernstige kwetsbaarheden, waaronder een kritieke fout (CVE-2024-9164) met een CVSS-score van 9.6. Deze fout stelt aanvallers in staat om pijplijnen uit te voeren op willekeurige branches, wat een groot veiligheidsrisico vormt.

Andere opgeloste kwetsbaarheden omvatten de mogelijkheid om gebruikers te imiteren, een server-side request forgery-probleem, een denial-of-service-kwetsbaarheid en een cross-site scripting-fout. Deze problemen kunnen leiden tot ongeautoriseerde toegang, gegevensdiefstal en systeemverstoringen.

GitLab dringt er bij alle gebruikers sterk op aan om onmiddellijk te upgraden naar een van de gepatchte versies om hun systemen te beschermen tegen deze ernstige beveiligingsproblemen.

Mitel heeft een belangrijke beveiligingswaarschuwing afgegeven over een ernstige SQL-injectie kwetsbaarheid (CVE-2024-47223) in hun MiCollab software, specifiek binnen de Audio, Web en Video Conferencing (AWV) component. Deze kwetsbaarheid, met een CVSS-score van 9.4, stelt aanvallers in staat om via een speciaal samengestelde URL toegang te krijgen tot gevoelige systemen. Hierdoor kunnen aanvallers ongeautoriseerde SQL-queries uitvoeren, wat de integriteit en beschikbaarheid van de MiCollab-omgeving ernstig kan aantasten. De kwetsbaarheid kan leiden tot de toegang tot gebruikersgegevens en het potentieel uitschakelen van de gehele MiCollab-service.

Bedrijven die MiCollab gebruiken, worden sterk aangeraden om onmiddellijk te updaten naar de nieuwste versie, aangezien versies voor MiCollab 9.8 SP2 kwetsbaar zijn. Voor klanten die niet direct kunnen updaten, heeft Mitel een tijdelijke patch beschikbaar gesteld. De ontdekking van deze kwetsbaarheid wordt toegeschreven aan Patrick Webster van OSI Security.

Een ernstige kwetsbaarheid in btcd, een alternatieve implementatie van het Bitcoin-protocol, kon kwaadwillenden in staat stellen om een hard fork van de Bitcoin-blockchain te forceren. Deze kwetsbaarheid, aangeduid als CVE-2024-38365 met een CVSS-score van 7.4, werd veroorzaakt door een fout in de manier waarop btcd handtekeningen van oude Bitcoin-transacties verifieert. Deze fout ontstond in 2014 en week af van de consensusregels van de originele Bitcoin-software, waardoor het mogelijk was om transacties te maken die door sommige btcd-nodes werden goedgekeurd maar door de officiële Bitcoin Core werden afgewezen. Kwaadwillenden konden deze fout misbruiken om speciale scripts te creëren die voor kwetsbare btcd-nodes geldig leken, wat tot netwerkinstabiliteit en een mogelijke ketensplitsing had kunnen leiden. De fout is inmiddels opgelost in versie 0.24.2 van btcd, en gebruikers worden dringend aangeraden te updaten om mogelijke aanvallen te voorkomen.

Keycloak, een open-source platform voor identiteits- en toegangsbeheer, heeft een beveiligingsupdate uitgebracht om een ernstige kwetsbaarheid (CVE-2024-3656) op te lossen. Deze kwetsbaarheid, met een CVSS-score van 8.1, werd ontdekt door onderzoeker Maurizio Agazzini en treft alle versies van Keycloak voor 24.0.5. Het probleem zit in specifieke eindpunten van de admin REST API. Kwaadwillende gebruikers met lage rechten kunnen hierdoor administratieve functies uitvoeren zonder toestemming. Dit kan leiden tot datalekken, systeemcompromittatie en privilege-escalatie, waarbij aanvallers volledige controle over de Keycloak-server kunnen krijgen.

Om deze dreiging te mitigeren, wordt gebruikers aangeraden om direct te updaten naar versie 24.0.5. Daarnaast is het belangrijk om verdachte API-verzoeken te monitoren en ervoor te zorgen dat gebruikers alleen de minimaal benodigde rechten hebben. Door snel actie te ondernemen kunnen organisaties de risico's van deze kwetsbaarheid beperken en hun systemen beter beschermen.

Progress Software heeft een belangrijke update uitgebracht voor de Telerik Report Server, waarin vier nieuwe kwetsbaarheden zijn aangepakt, waaronder de kritieke kwetsbaarheid CVE-2024-8015. Deze kwetsbaarheden, die van invloed zijn op versies van de Report Server vóór Q3 2024, vormen serieuze risico's voor gebruikers. De ernstigste fout, CVE-2024-8015, heeft een CVSS-score van 9.1 en kan aanvallers in staat stellen om willekeurige code op de server uit te voeren, wat volledige controle over de server mogelijk maakt.

Andere kwetsbaarheden maken brute force-aanvallen, credential stuffing en denial-of-service-aanvallen mogelijk. Progress Software adviseert gebruikers dringend om hun systemen bij te werken naar versie 10.2.24.924. Voor gebruikers die niet direct kunnen updaten, wordt geadviseerd om tijdelijke maatregelen te nemen, zoals het wijzigen van de rechten van de applicatiepoolgebruiker om de schade bij een aanval te beperken.

Mitel heeft een beveiligingswaarschuwing uitgebracht voor een ernstige kwetsbaarheid (CVE-2024-41713) in hun MiCollab platform. Deze kwetsbaarheid heeft een CVSS-score van 9.8 en bevindt zich in de NuPoint Unified Messaging (NPM) component van MiCollab. Door een fout in de invoervalidatie kan een aanvaller ongeautoriseerde toegang krijgen zonder in te loggen. Dit maakt het mogelijk om gevoelige informatie te verkrijgen en zelfs beheerderstaken uit te voeren.

De kwetsbaarheid kan de vertrouwelijkheid, integriteit en beschikbaarheid van systemen ernstig aantasten. Mitel raadt gebruikers ten zeerste aan om hun systemen zo snel mogelijk bij te werken naar versie MiCollab 9.8 SP2 of later. Voor wie niet direct kan upgraden, biedt Mitel een tijdelijke patch voor versies 9.7 en hoger.

Het risico voor bedrijven die dit niet snel verhelpen, is aanzienlijk en kan leiden tot verstoringen in de bedrijfsvoering door ongeautoriseerde toegang.

Zyxel-beveiligingsapparaten, met name de ATP- en USG FLEX-serie, worden momenteel aangevallen door cybercriminelen die misbruik maken van oudere kwetsbaarheden. Deze aanvallen richten zich op apparaten met verouderde firmwareversies, waarbij aanvallers gestolen inloggegevens gebruiken om ongeautoriseerde toegang te krijgen via SSL VPN-tunnels. Met deze toegang kunnen ze tijdelijke gebruikers aanmaken en beveiligingsregels wijzigen om netwerktoegang te verkrijgen.

Belangrijke tekenen van een mogelijke inbraak zijn verdachte SSL VPN-verbindingen van onbekende gebruikers zoals "SUPPOR87" en aanpassingen in de firewallinstellingen die ongeautoriseerde toegang van WAN naar LAN mogelijk maken.

Zyxel adviseert dringend om de firmware bij te werken naar versie 5.39 en alle wachtwoorden te wijzigen. Ook wordt aanbevolen om onbekende gebruikers te verwijderen, verdachte sessies uit te loggen, en tweefactorauthenticatie in te schakelen. Proactieve beveiligingsmaatregelen zoals firewalloptimalisatie en het beperken van toegang tot specifieke regio's zijn cruciaal om verdere schade te voorkomen.

Een kritieke kwetsbaarheid, CVE-2024-9465, is ontdekt in het Palo Alto Networks' Expedition-tool door beveiligingsonderzoeker Zach Hanley. Deze kwetsbaarheid, met een CVSS-score van 9.2, stelt ongeauthenticeerde aanvallers in staat gevoelige informatie uit de database van het tool te stelen, zoals gebruikersnamen, wachtwoord-hashes en API-sleutels. De aanval maakt gebruik van een SQL-injectie, waarbij aanvallers via onbeveiligde eindpunten kwaadaardige SQL-query's kunnen uitvoeren zonder in te loggen. Hierdoor kunnen zij tabellen creëren, gevoelige gegevens uitlezen en zelfs bestanden op het systeem manipuleren.

De kwetsbaarheid bevindt zich in een PHP-bestand dat zonder authenticatie toegankelijk is. Beveiligingsmaatregelen zoals het beperken van netwerktoegang tot het Expedition-tool of het volledig uitschakelen ervan wanneer het niet in gebruik is, worden aanbevolen. Palo Alto Networks heeft inmiddels een patch uitgebracht in versie 1.2.96 om het probleem te verhelpen.

Recent zijn er meerdere kwetsbaarheden gevonden in SonicWall's SMA1000 SSL-VPN-apparaten en de Connect Tunnel Windows-client. Deze kwetsbaarheden kunnen leiden tot aanvallen zoals Denial-of-Service (DoS), privilege-escalatie en zelfs het uitvoeren van willekeurige code. De ernstigste kwetsbaarheid, CVE-2024-45316, maakt het mogelijk dat gebruikers met standaardrechten willekeurige bestanden en mappen kunnen verwijderen, wat kan resulteren in volledige controle over het systeem. Andere kwetsbaarheden, zoals CVE-2024-45317 en CVE-2024-45315, stellen aanvallers in staat ongeautoriseerde verzoeken te sturen of DoS-aanvallen uit te voeren.

Hoewel er nog geen actieve exploitatie is waargenomen, wordt gebruikers van de getroffen producten dringend geadviseerd om updates uit te voeren. De aanbevolen oplossing is een upgrade naar versie 12.4.3.281 of hoger voor de Windows-client en het toepassen van een hotfix op de SMA1000-apparaten. SMA100-producten en andere platforms zoals Linux en Mac zijn niet getroffen.

Sophos X-Ops heeft een toename gezien in ransomware-aanvallen die misbruik maken van een ernstige kwetsbaarheid (CVE-2024-40711) in de Veeam Backup & Replication-software. Deze kwetsbaarheid, met een CVSS-score van 9.8, stelt aanvallers in staat om zonder authenticatie op afstand code uit te voeren via een kwetsbare URI. Hierdoor kunnen zij ongeautoriseerde accounts aanmaken met administratorrechten, wat de weg vrijmaakt voor het installeren van ransomware zoals Fog en Akira. In sommige gevallen werd gevoelige data zelfs geëxfiltreerd voordat de ransomware werd uitgerold.

Aanvallers profiteren van onveilige of verouderde VPN-toegangspunten, vooral als multifactorauthenticatie is uitgeschakeld. Bedrijven die Veeam Backup & Replication gebruiken, wordt sterk aangeraden om onmiddellijk de nieuwste patches te installeren en hun VPN-gateways te versterken. Dit onderstreept de cruciale rol van het up-to-date houden van systemen en het beveiligen van externe toegang om ransomware-aanvallen te voorkomen.

CVE-2024-24919 is een ernstige kwetsbaarheid in Check Point's Quantum Security Gateways en CloudGuard. Deze fout maakt het mogelijk voor ongeauthenticeerde aanvallers om toegang te krijgen tot gevoelige bestanden zoals "/etc/passwd" en "/etc/shadow" zonder dat gebruikersinteractie nodig is. De kwetsbaarheid heeft een hoge CVSS-score van 8.6, wat aangeeft dat het een groot risico vormt. Kwaadwillenden kunnen deze informatie gebruiken om domeinprivileges te verkrijgen en gevoelige netwerkconfiguraties te bemachtigen.

De kwetsbaarheid wordt misbruikt door een script dat POST-verzoeken stuurt naar een specifiek eindpunt op getroffen systemen, waarbij het toegang probeert te krijgen tot beveiligings- en VPN-configuraties. Het script geeft aan of de poging om bestanden te openen succesvol was, waardoor aanvallers snel kunnen zien welke gegevens toegankelijk zijn. Organisaties die deze producten gebruiken, worden sterk aangeraden om snel beveiligingsupdates door te voeren om deze kwetsbaarheid te verhelpen.

GitLab heeft beveiligingsupdates uitgebracht voor zowel de Community Edition (CE) als de Enterprise Edition (EE) om acht kwetsbaarheden aan te pakken, waaronder een kritieke kwetsbaarheid (CVE-2024-9164). Deze fout, met een CVSS-score van 9.6, stelt kwaadwillenden in staat om willekeurige CI/CD-pipelines uit te voeren op niet-geautoriseerde branches. Dit probleem treft GitLab EE-versies vanaf 12.5 tot 17.2.9, 17.3 tot 17.3.5, en 17.4 tot 17.4.2.

Naast deze kritieke fout zijn er nog zeven andere kwetsbaarheden opgelost, waaronder vier met een hoge ernst, zoals CVE-2024-8970 en CVE-2024-8977 (beide CVSS 8.2). Deze fouten maken aanvallen zoals het starten van pipelines als een andere gebruiker of SSRF-aanvallen mogelijk.

Hoewel er nog geen bewijs is van actieve uitbuiting van deze kwetsbaarheden, wordt sterk aangeraden om GitLab-instances onmiddellijk bij te werken om potentiële bedreigingen te voorkomen.

De Cybersecurity and Infrastructure Security Agency (CISA) heeft een dringende waarschuwing uitgegeven voor een kwetsbaarheid in de F5 BIG-IP Local Traffic Manager (LTM). Deze kwetsbaarheid betreft het gebruik van niet-versleutelde, persistente cookies, die door kwaadwillenden kunnen worden misbruikt om informatie over andere apparaten binnen het netwerk te achterhalen. BIG-IP-systemen worden veel gebruikt voor het beheer en beveiligen van netwerkverkeer, waardoor deze zwakte een groot risico vormt voor organisaties.

Wanneer cookies niet zijn versleuteld, kunnen aanvallers toegang krijgen tot waardevolle netwerkinformatie. Dit stelt hen in staat om extra kwetsbare systemen binnen het netwerk te identificeren en mogelijk te exploiteren. CISA adviseert dringend om versleuteling van cookies in te schakelen, waardoor de risico's op ongeoorloofde toegang worden verkleind. F5 heeft daarnaast het diagnostische hulpmiddel iHealth ontwikkeld om organisaties te helpen de beveiliging van hun cookies te controleren en te verbeteren. 1

Een ernstige kwetsbaarheid is ontdekt in de Angular-Base64-Upload library (versies vóór v0.1.21), waardoor ongeauthenticeerde aanvallers remote code execution (RCE) kunnen uitvoeren. Het probleem zit in het server.php-bestand van de demotoepassing, waar kwaadwillenden willekeurige bestanden kunnen uploaden naar de server via de uploadfunctie. Zodra deze bestanden zijn geüpload, kunnen ze via een ander endpoint worden benaderd en uitgevoerd, waardoor aanvallers toegang krijgen tot het systeem en kwaadaardige code kunnen draaien. De kwetsbaarheid heeft een CVSS-score van 10.0, wat de ernst van het probleem aangeeft. Het is belangrijk dat gebruikers de Angular-Base64-Upload library zo snel mogelijk bijwerken naar versie 0.1.21 of hoger om deze dreiging te verhelpen. Dit exploit is getest en geverifieerd op Arch Linux en wordt breed gedeeld in de cybersecurity-gemeenschap. 1

Mozilla heeft een belangrijke beveiligingsupdate uitgebracht voor Firefox, naar aanleiding van een ernstig beveiligingslek (CVE-2024-9680), dat momenteel actief wordt uitgebuit. Deze kwetsbaarheid, met een CVSS-score van 9.8, bevindt zich in de animatietijdlijn van de Web Animations API van Firefox en maakt het mogelijk voor aanvallers om op afstand willekeurige code uit te voeren op gebruikerssystemen. Het lek is een "use-after-free"-fout, een vorm van geheugenbeschadiging die aanvallers toestaat schadelijke code in te voegen.

Na een melding van antivirusbedrijf ESET handelde Mozilla snel en bracht binnen 25 uur een fix uit. Dit benadrukt het belang van het direct updaten naar de nieuwste Firefox-versies. Gebruikers van de Tor Browser, die gebaseerd is op Firefox, zijn specifiek doelwit van deze aanvallen. Mozilla dringt er bij alle gebruikers op aan om hun browsers zo snel mogelijk bij te werken om de risico's te minimaliseren.

HashiCorp heeft een beveiligingsbulletin uitgebracht waarin een kwetsbaarheid in zijn Vault-platform wordt beschreven, die aanvallers in staat kan stellen hun rechten uit te breiden naar het zeer gevoelige root-beleid. De fout, aangeduid als CVE-2024-9180 met een CVSS-score van 7.2, wordt veroorzaakt door onjuiste verwerking van gegevens in het in-memory entity cache van Vault. Hierdoor kunnen kwaadwillenden met schrijfbevoegdheden in de root namespace hun rechten opwaarderen en toegang krijgen tot gevoelige informatie of zelfs volledige controle over het Vault-systeem krijgen.

Hoewel de impact beperkt blijft doordat de gemanipuleerde gegevens niet worden verspreid binnen de cluster en na een herstart worden gewist, wordt gebruikers aangeraden om de risico’s zorgvuldig te evalueren en hun systemen bij te werken. Voor gebruikers die niet kunnen upgraden, zijn er alternatieven zoals het aanpassen van beleid of het monitoren van auditlogs om mogelijke aanvallen te detecteren.

Mozilla heeft in recordtijd van 25 uur een kritieke kwetsbaarheid in Firefox gepatcht, die actief werd misbruikt door aanvallers. Het probleem werd ontdekt toen gebruikers van de Tor Browser, die op Firefox is gebaseerd, doelwit werden van deze exploit. Antivirusbedrijf ESET ontdekte de kwetsbaarheid en waarschuwde Mozilla, waarna het beveiligingsteam direct aan de slag ging met een oplossing. Dit vergde reverse engineering van de 'full exploit chain', waarmee aanvallers op afstand code konden uitvoeren op systemen van gebruikers. Eerder dit jaar won Mozilla een prijs voor het snel verhelpen van beveiligingsproblemen tijdens de hackwedstrijd Pwn2Own, maar toen was het bedrijf voorbereid op potentiële lekken. In dit geval gebeurde de aanval onverwachts, maar desondanks reageerde Mozilla snel en werkt het nu ook aan maatregelen om Firefox beter te beschermen tegen toekomstige aanvallen.

Een ernstige kwetsbaarheid (CVE-2024-47830) met een CVSS-score van 9.3 is ontdekt in Plane, een populair open-source projectmanagementtool. Deze kwetsbaarheid, die Server-Side Request Forgery (SSRF) mogelijk maakt, stelt aanvallers in staat om via de server verzoeken te doen naar ongewenste locaties. Dit kan leiden tot ongeautoriseerde toegang tot interne systemen en het lekken van gevoelige informatie. De fout werd gevonden in de configuratie voor het verwerken van afbeeldingen, waarbij wildcards in de instelling "remotePatterns" onbeperkte toegang tot externe hostnamen mogelijk maakten. Hierdoor konden aanvallers de server misleiden om verbinding te maken met kwaadwillende servers, wat een risico vormt voor interne diensten en gegevens.

De ontwikkelaars van Plane hebben de fout hersteld in versie v0.23 en gebruikers wordt dringend aangeraden om onmiddellijk te updaten naar deze versie om de beveiliging van hun systemen te waarborgen.

Apache Roller, een veelgebruikte Java-gebaseerde blogplatform, heeft een kritieke beveiligingsupdate uitgebracht om een Cross-site Request Forgery (CSRF) kwetsbaarheid (CVE-2024-46911) te verhelpen. Deze kwetsbaarheid stelde aanvallers in staat om via weblog-eigenaren ongeautoriseerde acties uit te voeren op multi-user Roller websites. Dit vormde een risico voor de gehele blogomgeving. Apache Roller 6.1.4 lost dit probleem op door standaard HTML-inhoud te saneren en het uitschakelen van thema's en bestandsuploads. Verder zijn er verbeteringen in de CSRF- en XSS-bescherming geïmplementeerd, waaronder gebruikersspecifieke en eenmalige beveiligingscodes. Naast de beveiligingsaanpassingen zijn er meer dan 20 software-afhankelijkheden bijgewerkt, waaronder Spring en Log4j. Gebruikers van multi-user Roller websites wordt sterk aangeraden te updaten naar versie 6.1.4 om mogelijke exploits te voorkomen en de veiligheid van hun platform te waarborgen.

Een recente scan heeft aangetoond dat duizenden Fortinet-apparaten wereldwijd nog steeds kwetsbaar zijn voor een kritieke Remote Code Execution (RCE) kwetsbaarheid (CVE-2024-23113), ondanks dat er sinds februari 2024 een patch beschikbaar is. Deze kwetsbaarheid in de fgfmd-daemon maakt het mogelijk dat aanvallers zonder authenticatie willekeurige code kunnen uitvoeren op de apparaten, wat serieuze veiligheidsrisico's met zich meebrengt.

Uit de gegevens van de Shadowserver Foundation blijkt dat meer dan 87.000 unieke IP-adressen kwetsbare Fortinet-apparaten hosten, met de Verenigde Staten, Japan en India als landen met de meeste blootgestelde systemen.

Hoewel Fortinet heeft geadviseerd om systemen te patchen en verdere beveiligingsmaatregelen aan te nemen, zoals het beperken van toegang tot de kwetsbare diensten, blijven veel apparaten onbeveiligd. Hierdoor blijven organisaties wereldwijd, waaronder kritieke infrastructuren en overheidsinstanties, een groot risico lopen. Ondertussen wordt de kwetsbaarheid actief uitgebuit door kwaadwillende partijen.

GitHub heeft updates uitgebracht om twee kwetsbaarheden in GitHub Enterprise Server aan te pakken. De ernstigste, CVE-2024-9487, kreeg een CVSS-score van 9.5. Deze kwetsbaarheid betreft de SAML SSO-authenticatiemechanisme, waar een fout in de cryptografische handtekeningverificatie werd ontdekt. Hierdoor kon een aanvaller onder specifieke voorwaarden de authenticatie omzeilen en ongeautoriseerde toegang verkrijgen. Voor een succesvolle aanval moest de functie "versleutelde verklaringen" zijn ingeschakeld, moest de aanvaller netwerktoegang tot de server hebben, en moest hij over een geldig SAML-respons- of metadata-document beschikken.

De tweede kwetsbaarheid, minder ernstig, betreft de mogelijkheid om kwaadaardige URL's in SVG-bestanden te embedden, wat kan leiden tot phishingaanvallen. Beide kwetsbaarheden zijn opgelost in de nieuwste versies van GitHub Enterprise Server. Organisaties die deze software gebruiken, wordt dringend geadviseerd om onmiddellijk te updaten om de risico's te beperken.

Een ernstige kwetsbaarheid, CVE-2024-35202, is ontdekt in Bitcoin Core (score 7.5 op de CVSS-schaal), waarmee aanvallers op afstand Bitcoin Core-nodes kunnen laten crashen. Het probleem treedt op bij het verwerken van zogenaamde "cmpctblock" berichten, waarbij de node probeert blokken te reconstrueren op basis van bekende transacties. Als de node ontbrekende transacties niet kan verkrijgen, kan deze crashen door een fout in het verwerkingsprotocol. Het probleem ontstaat wanneer een tweede bericht voor hetzelfde blok wordt ontvangen, wat leidt tot een fout in de functie die het blok voltooit. Dit kan opzettelijk door aanvallers worden veroorzaakt door foutieve transacties in berichten op te nemen.

Hoewel aanvallers geen geld of data kunnen stelen, kan dit leiden tot grootschalige verstoringen van het Bitcoin-netwerk. De kwetsbaarheid is opgelost in versie 25.0 van Bitcoin Core, en gebruikers worden dringend geadviseerd te updaten om de stabiliteit van hun nodes te waarborgen.

Een beveiligingsonderzoeker heeft een kritieke kwetsbaarheid ontdekt in het e-mailbeheersysteem van Zendesk, bekend als CVE-2024-49193. Deze kwetsbaarheid stelt aanvallers in staat om e-mails te spoofen en ongeautoriseerde toegang te krijgen tot de volledige geschiedenis van supporttickets, inclusief gevoelige informatie. De fout zit in het systeem waarmee Zendesk automatisch een reply-to-adres genereert voor supporttickets. Als een aanvaller het supportadres en een ticketnummer kent, kan hij zichzelf aan de e-mailconversatie toevoegen door een vervalste e-mail te sturen. Hoewel de onderzoeker dit probleem snel meldde via het bug bounty-programma van Zendesk, werd het aanvankelijk genegeerd. Later, onder druk van getroffen bedrijven, werd het probleem aangepakt. Bedrijven die gebruikmaken van Zendesk, hebben ondertussen extra maatregelen genomen, zoals het uitschakelen van de e-mailfunctionaliteit, om deze kwetsbaarheid te dichten. Deze ontdekking benadrukt het belang van effectieve beveiligingsmaatregelen tegen e-mailspoofing.

Er is een ernstige kwetsbaarheid ontdekt in het populaire Java-beveiligingsframework pac4j, aangeduid als CVE-2023-25581. Deze kwetsbaarheid, met een CVSS-score van 9.2, stelt aanvallers in staat om willekeurige code uit te voeren op getroffen systemen, wat kan leiden tot diefstal van gegevens of verstoring van diensten. De fout ligt in de manier waarop pac4j gebruikersprofielattributen verwerkt, waarbij onbetrouwbare data wordt gedeserialiseerd. Dit maakt het mogelijk voor aanvallers om schadelijke objecten in gebruikersprofielen te injecteren en de kwetsbaarheid te misbruiken voor Remote Code Execution (RCE). Ondanks de beveiligingsmaatregelen in pac4j-core is het voor aanvallers nog steeds mogelijk om via verschillende Java-objecten deze kwetsbaarheid te exploiteren. Gebruikers van pac4j worden dringend geadviseerd om zo snel mogelijk te updaten naar versie 4.0.0 of later, omdat deze niet door de kwetsbaarheid wordt getroffen.

Jetpack, een populaire WordPress-plugin, heeft een kritieke beveiligingsupdate uitgebracht om een kwetsbaarheid te verhelpen die al sinds 2016 aanwezig was. Deze kwetsbaarheid liet ingelogde gebruikers formulieren bekijken die door websitebezoekers waren ingevuld, wat een groot beveiligingsrisico vormde. Het probleem werd ontdekt tijdens een interne audit van Jetpack en treft alle versies van de plugin vanaf 3.9.9. Er zijn updates uitgebracht voor maar liefst 101 versies van de plugin. Hoewel er geen bewijs is dat de kwetsbaarheid in de afgelopen acht jaar is misbruikt, adviseert Jetpack gebruikers dringend om de update zo snel mogelijk te installeren. Er zijn geen tijdelijke oplossingen beschikbaar; het updaten naar een veilige versie is de enige manier om deze kwetsbaarheid te verhelpen. Verdere technische details over de kwetsbaarheid zijn voorlopig achtergehouden om gebruikers de tijd te geven de updates door te voeren. 1

Een ernstige beveiligingsfout, CVE-2024-9921, is ontdekt in de zakelijke samenwerkingsapp Team+, met een CVSS-score van 9.8. Deze kwetsbaarheid stelt aanvallers in staat om ongeautoriseerde SQL-opdrachten uit te voeren, waardoor gevoelige bedrijfsgegevens zoals gebruikersinformatie en bestanden kunnen worden gestolen of gewijzigd. Daarnaast zijn twee andere kwetsbaarheden, CVE-2024-9922 en CVE-2024-9923, geïdentificeerd, die respectievelijk systeembestanden blootstellen en aanvallers in staat stellen bestanden naar de website-root te verplaatsen. Deze fouten maken het mogelijk om belangrijke bedrijfsinformatie te lezen en openbaar te maken.

Team+ heeft een update uitgebracht in versie 14.0.0 om deze risico's te mitigeren. Bedrijven die nog versie 13.5.x gebruiken, worden dringend geadviseerd onmiddellijk te updaten om ernstige beveiligingsproblemen te voorkomen.

Moxa heeft onlangs twee ernstige kwetsbaarheden ontdekt in zijn mobiele routers en netwerkbeveiligingsapparaten. Deze zwakke plekken, CVE-2024-9137 en CVE-2024-9139, kunnen aanvallers in staat stellen om ongeautoriseerde toegang te krijgen en willekeurige opdrachten uit te voeren op kwetsbare systemen.

CVE-2024-9137 heeft een CVSS-score van 9.4 en laat toe dat aanvallers zonder authenticatie apparaatconfiguraties manipuleren. Dit kan leiden tot het downloaden of uploaden van ongeautoriseerde bestanden, waardoor systemen worden gecompromitteerd. CVE-2024-9139, met een score van 7.2, maakt OS-opdrachtinjectie mogelijk, wat eveneens een risico vormt voor het uitvoeren van schadelijke code.

Moxa heeft firmware-updates uitgebracht voor de getroffen apparaten en adviseert gebruikers om onmiddellijk hun firmware bij te werken en extra beveiligingsmaatregelen te nemen, zoals het beperken van netwerkblootstelling en het gebruik van firewallregels. Directe actie is noodzakelijk om deze kritieke kwetsbaarheden te verhelpen.

Splunk heeft recent belangrijke beveiligingsupdates uitgebracht om verschillende kwetsbaarheden in Splunk Enterprise en Splunk Cloud Platform te verhelpen. Twee van de ernstigste problemen, CVE-2024-45731 en CVE-2024-45733, maken remote code execution (RCE) mogelijk. Dit kan aanvallers in staat stellen om op afstand schadelijke code uit te voeren op getroffen systemen. Een van deze kwetsbaarheden treft vooral Windows-systemen, waarbij aanvallers een schadelijk bestand in de root directory kunnen plaatsen.

Daarnaast zijn er ook kwetsbaarheden gevonden die laaggeprivilegieerde gebruikers toegang geven tot gevoelige informatie en bepaalde acties kunnen uitvoeren, zoals het crashen van het Splunk-systeem of het manipuleren van instellingen. Splunk heeft ook problemen opgelost die informatielekken en cross-site scripting (XSS) mogelijk maken.

Gebruikers wordt sterk aangeraden om hun Splunk-installaties direct te updaten om bescherming te bieden tegen deze kwetsbaarheden.

Jetpack, een populaire WordPress-plugin ontwikkeld door Automattic, heeft een kritieke beveiligingsupdate uitgebracht voor een kwetsbaarheid die miljoenen websites kan raken. De kwetsbaarheid, die sinds versie 3.9.9 aanwezig is, heeft betrekking op de Contact Form-functie van de plugin. Hierdoor kunnen ingelogde gebruikers mogelijk de inhoud van formulieren die door websitebezoekers zijn ingediend, lezen, wat een ernstig privacy- en beveiligingsrisico vormt.

Automattic ontdekte de kwetsbaarheid tijdens een interne beveiligingscontrole en heeft nauw samengewerkt met het WordPress Security Team om gepatchte versies uit te brengen voor alle getroffen Jetpack-versies. Hoewel er geen aanwijzingen zijn dat deze kwetsbaarheid tot nu toe is misbruikt, wordt websitebeheerders sterk aangeraden hun Jetpack-plugin zo snel mogelijk bij te werken. De update is automatisch toegepast op de meeste websites om ervoor te zorgen dat ze beschermd blijven.

Earth Simnavaz, ook bekend als APT34, is een Iraanse hackersgroep die zich richt op kritieke infrastructuur in de Golfregio, met name in de energiesector. Trend Micro-onderzoekers ontdekten dat de groep geavanceerde technieken gebruikt, zoals het uitbuiten van kwetsbaarheden in Microsoft Exchange-servers en het Windows-kernellek CVE-2024-30088, om langdurige toegang te krijgen tot systemen en gevoelige informatie te stelen. De aanvallers maken gebruik van een backdoor om inloggegevens te bemachtigen en te exfiltreren, wat hen langdurige controle geeft over de getroffen netwerken. Bovendien gebruiken ze tools zoals ngrok om onopgemerkt communicatie op te zetten met gecompromitteerde systemen. Hun aanvallen zijn vooral gericht op geopolitiek gevoelige gebieden, met als doel spionage en economische sabotage. Deze cyberdreiging benadrukt de toenemende gevaren van staatssponsorde cyberaanvallen, met mogelijke vergaande gevolgen voor de nationale veiligheid en stabiliteit in de regio.

Een recent ontdekte kwetsbaarheid in de Authd-authenticatiedaemon op Ubuntu-systemen (CVE-2024-9312) maakt het mogelijk voor aanvallers om gebruikers-ID's te vervalsen en ongeautoriseerde toegang te krijgen. De fout zit in de manier waarop Authd gebruikers-ID’s genereert, waarbij onvoldoende randomisatie wordt toegepast. Dit kan leiden tot botsingen tussen gebruikersnamen en gebruikers-ID’s, waardoor een aanvaller toegang kan verkrijgen tot de accounts van legitieme gebruikers.

Aanvallers met lokale toegang kunnen profiteren van deze fout door meerdere accounts aan te maken met dezelfde gebruikers-ID, wat hen dezelfde rechten geeft als de originele gebruiker. Hierdoor kunnen zij gevoelige bestanden, zoals SSH-sleutels, manipuleren. Het probleem kan offline worden geëxploiteerd en met weinig rekenkracht, wat de dreiging aanzienlijk maakt.

Canonical heeft versie 0.3.6 van Authd uitgebracht om dit probleem op te lossen. Gebruikers wordt dringend geadviseerd om hun systemen te updaten naar de nieuwste versie om misbruik van deze kwetsbaarheid te voorkomen.

Een gevaarlijke kwetsbaarheid in Windows Kernel-Mode Drivers, CVE-2024-35250, stelt aanvallers in staat om systeemprivileges te verkrijgen, waardoor volledige controle over een systeem mogelijk is. Deze kwetsbaarheid werd onthuld tijdens de Pwn2Own Vancouver 2024-wedstrijd en heeft een CVSS-score van 7.8. Het probleem zit in de verwerking van IOCTL_KS_PROPERTY-aanvragen in het ks.sys-bestand. Door de fout kan een aanvaller gebruik maken van een buffer die niet correct wordt gevalideerd, wat leidt tot het uitvoeren van ongeoorloofde bewerkingen.

Onderzoekers slaagden erin om met deze exploit systeemrechten te verkrijgen door de bestaande proces-token te vervangen door een systeem-token. Hoewel beveiligingsmaatregelen zoals Kernel Control Flow Guard (kCFG) en Address Space Layout Randomization (ASLR) de aanval bemoeilijken, werd een werkende exploitcode vrijgegeven om het probleem aan te tonen. Microsoft heeft de kwetsbaarheid inmiddels gepatcht in een update van juni 2024. Het wordt gebruikers en organisaties sterk aangeraden om hun systemen te updaten.

Helmholz REX100 industriële routers, gebruikt voor veilige externe toegang tot industriële apparatuur, zijn kwetsbaar bevonden voor meerdere ernstige beveiligingsproblemen. Deze kwetsbaarheden stellen organisaties bloot aan risico's zoals ongeautoriseerde toegang en het op afstand uitvoeren van kwaadaardige code. De kwetsbaarheden omvatten onder andere de mogelijkheid voor aanvallers om zonder authenticatie willekeurige opdrachten uit te voeren via UDP (CVE-2024-45274, CVSS 9.8) en het misbruik van hardcoded accounts met standaardwachtwoorden (CVE-2024-45275, CVSS 9.8). Andere zwakke punten zijn onder meer slechte versleuteling en onvoldoende invoercontrole, waardoor gevoelige informatie kan worden blootgesteld of aanvallers administratieve rechten kunnen krijgen. Helmholz heeft firmware-update 2.3.1 uitgebracht om deze problemen aan te pakken. Gebruikers wordt dringend aangeraden hun apparaten te updaten om ernstige gevolgen, zoals verlies van controle over industriële processen en datalekken, te voorkomen. 1

De Cybersecurity and Infrastructure Security Agency (CISA) heeft een dringende waarschuwing afgegeven voor drie ernstig misbruikte beveiligingslekken in software zoals Microsoft Windows, Mozilla Firefox en SolarWinds Web Help Desk. Deze kwetsbaarheden zijn opgenomen in de catalogus van bekende misbruikte kwetsbaarheden (KEV), wat aangeeft dat onmiddellijke patching noodzakelijk is.

Een van de kwetsbaarheden, CVE-2024-30088, is een kritiek probleem in de Windows Kernel en wordt in verband gebracht met een Iraanse APT-groep. Het stelt aanvallers in staat om systeemrechten te verkrijgen. Een andere kwetsbaarheid, CVE-2024-9680, treft Mozilla Firefox en stelt kwaadwillenden in staat om willekeurige code uit te voeren. Daarnaast is CVE-2024-28987, die de SolarWinds Web Help Desk raakt, gevaarlijk vanwege hardcoded inloggegevens, wat aanvallers toegang geeft tot gevoelige informatie.

CISA dringt aan op directe updates om deze beveiligingsproblemen aan te pakken, vooral voor overheidsinstanties, met een deadline van 5 november 2024. 1

Een veiligheidsadvies van CERT@VDE heeft meerdere kritieke kwetsbaarheden blootgelegd in de mbNET.mini industriële router, geproduceerd door MB connect line. Deze router is cruciaal voor het veilig op afstand beheren van industriële machines en systemen. De ontdekte kwetsbaarheden stellen aanvallers in staat tot remote code execution (RCE) en ongeautoriseerde toegang. Vooral CVE-2024-45274 en CVE-2024-45275 met een CVSS-score van 9.8 zijn zeer ernstig, omdat ze volledige controle over het apparaat mogelijk maken en gebruik maken van hardcoded accounts met standaardwachtwoorden. Andere kwetsbaarheden omvatten privilege escalation en zwakke encryptie, wat kan leiden tot datalekken en operationele verstoringen. De exploitatie van deze kwetsbaarheden kan resulteren in volledige systeemovername, diefstal of manipulatie van gevoelige gegevens en aanzienlijke financiële verliezen. MB connect line heeft deze problemen verholpen in firmware versie 2.3.1 en gebruikers wordt sterk aangeraden hun apparaten onmiddellijk te updaten.

In een tijdperk waarin dataprivacy steeds belangrijker wordt, beloven end-to-end encryptie (E2EE) cloudopslag systemen de gegevens van gebruikers te beschermen, zelfs tegen de aanbieders zelf. Echter, een recent rapport van Jonas Hofmann en Kien Tuong Truong van ETH Zurich toont aan dat deze belofte vaak niet wordt nagekomen. Hun analyse van vijf grote E2EE cloudopslagdiensten — Sync, pCloud, Icedrive, Seafile en Tresorit — heeft kritieke kwetsbaarheden blootgelegd die gebruikers blootstellen aan onverwachte risico's. De studie identificeert verschillende gebreken, zoals gebrek aan sleutelverificatie, protocoldaling, bestandinjectie-aanvallen en ongeauthenticeerde encryptie. Bovendien worden metadata, zoals bestandsnamen en -groottes, niet adequaat beschermd, waardoor aanvallers deze kunnen manipuleren of blootleggen. De onderzoekers benadrukken dat deze kwetsbaarheden wijdverspreid zijn en gemakkelijk te exploiteren zonder geavanceerde cryptografische kennis. Gebruikers en organisaties worden daarom gewaarschuwd om voorzichtig te zijn en te pleiten voor sterkere beveiligingsmaatregelen voordat zij gevoelige gegevens in de cloud opslaan. pdf downloaden

Rittal, een toonaangevende leverancier van industriële automatiseringsoplossingen, heeft meerdere kwetsbaarheden ontdekt in hun IoT Interface en CMC III Processing Unit. Deze beveiligingslekken, geïdentificeerd door Johannes Kruchem van het SEC Consult Vulnerability Lab, maken het mogelijk voor aanvallers om ongeautoriseerde toegang te verkrijgen en schadelijke code uit te voeren op de getroffen apparaten. Een van de belangrijkste kwetsbaarheden is CVE-2024-47943, waarbij de firmware-upgradefunctie een gebrekkige handtekeningverificatie gebruikt. Hierdoor kunnen aanvallers malafide firmware-updates creëren die legitiem lijken. Daarnaast ontbreekt het apparaat aan adequate authenticatie bij firmware-updates via USB-sticks of SD-kaarten (CVE-2024-47944), en zijn de sessie-ID’s voorspelbaar (CVE-2024-47945), wat sessie-overname mogelijk maakt. Rittal heeft inmiddels een gepatchte versie (V6.21.00.2) uitgebracht en raadt gebruikers aan hun systemen onmiddellijk bij te werken om de risico’s te mitigeren.

Er is een ernstige beveiligingslek (CVE-2024-9634) ontdekt in GiveWP, een populaire WordPress plugin voor donaties met meer dan 100.000 actieve installaties. Deze kwetsbaarheid betreft een PHP Object Injection, waarmee onbevoegde aanvallers willekeurige code kunnen uitvoeren op kwetsbare websites. Dit kan leiden tot volledige overname van de site en het compromitteren van gevoelige donateurgegevens. De kwetsbaarheid heeft een CVSS-score van 9.8 en werd geïdentificeerd door de beveiligingsonderzoeker "lefab". Het probleem ontstond door onjuiste verwerking van de parameter give_company_name, waardoor aanvallers kwaadaardige PHP-objecten konden injecteren. In combinatie met een bestaande POP chain kan dit resulteren in remote code execution (RCE). Het GiveWP ontwikkelingsteam heeft snel gereageerd en versie 3.16.4 uitgebracht om het probleem te verhelpen. Gebruikers worden sterk aangeraden hun plugin onmiddellijk bij te werken om hun websites te beschermen. 1, 2

Het Kubernetes Security Response Committee heeft twee ernstige beveiligingslekken ontdekt in de Kubernetes Image Builder, aangeduid als CVE-2024-9486 en CVE-2024-9594. De meest kritieke kwetsbaarheid, CVE-2024-9486 met een CVSS-score van 9.8, treft de Proxmox provider. Hierbij blijven standaardreferenties actief tijdens het bouwproces van virtuele machine images, waardoor aanvallers volledige controle over de VMs kunnen verkrijgen. CVE-2024-9594, met een CVSS-score van 6.3, beïnvloedt andere providers zoals Nutanix en QEMU. Hoewel de standaardreferenties na het bouwproces worden uitgeschakeld, blijft de kwetsbaarheid aanwezig als een aanvaller toegang krijgt tijdens het image bouwen. Gebruikers worden dringend verzocht de Image Builder bij te werken naar versie v0.1.38 of hoger. Als tijdelijke maatregel kan de "builder" account op getroffen VMs worden uitgeschakeld. 1

In de patchronde van oktober heeft Oracle 334 beveiligingsupdates uitgebracht, waaronder voor meerdere kritieke kwetsbaarheden in WebLogic Server en andere producten. Een aantal van deze kwetsbaarheden heeft een impactscore van 9,8 op een schaal van 10, wat aangeeft hoe ernstig ze zijn. Oracle meldt dat aanvallers actief misbruik maken van kwetsbaarheden waarvoor al patches beschikbaar zijn, vooral omdat sommige klanten deze updates niet tijdig installeren. De getroffen producten zijn onder andere Oracle WebLogic Server, Oracle Business Intelligence, Oracle Solaris en andere veelgebruikte systemen. Een specifieke kwetsbaarheid in WebLogic Server (CVE-2024-21216) kan door een aanvaller zonder authenticatie worden misbruikt. Oracle geeft echter weinig verdere details. In tegenstelling tot andere bedrijven zoals Microsoft en Adobe, brengt Oracle niet maandelijks maar per kwartaal updates uit. De volgende patchronde staat gepland voor 21 januari 2025. Het is cruciaal voor gebruikers om patches snel te installeren om zich tegen potentiële aanvallen te beschermen. 1, 2

Apache CloudStack heeft beveiligingsupdates uitgebracht voor versies 4.18.2.4 en 4.19.1.2 om vier kwetsbaarheden aan te pakken. De ernstigste kwetsbaarheid, CVE-2024-45219, kan aanvallers in staat stellen om KVM-gebaseerde infrastructuur te compromitteren door misbruik te maken van geüploade en geregistreerde sjablonen en volumes. Dit kan leiden tot het in gevaar brengen van de integriteit en vertrouwelijkheid van bronnen, gegevensverlies en verstoring van de beschikbaarheid. Een andere belangrijke kwetsbaarheid, CVE-2024-45693, betreft een bypass van de validatie van verzoekoorsprong die kan leiden tot accountovername. Twee kwetsbaarheden met gemiddelde ernst werden ook opgelost, waaronder problemen met toegangscontroles en onvolledige sessie-ongeldigverklaring. Apache CloudStack raadt gebruikers sterk aan om te upgraden naar de nieuwste versies om deze kwetsbaarheden te mitigeren. Er worden ook instructies gegeven voor het scannen en valideren van sjablonen en volumes om te verzekeren dat ze niet zijn gecompromitteerd. 1

Het Matrix.org Security Team heeft twee ernstige kwetsbaarheden onthuld in de matrix-js-sdk en matrix-react-sdk bibliotheken. Deze kwetsbaarheden, aangeduid als CVE-2024-47080 en CVE-2024-47824, houden verband met de implementatie van een specificatie voor het delen van kamersleutels met nieuwe gebruikers. Het kernprobleem ligt in de manier waarop matrix-js-sdk encryptiesleutels behandelde bij het uitnodigen van nieuwe gebruikers voor versleutelde kamers. Dit kon leiden tot ongeoorloofde toegang tot versleutelde berichtgeschiedenis.

De kwetsbaarheden treffen versies van matrix-js-sdk tussen 9.11.0 en 34.8.0, en matrix-react-sdk tussen 3.18.0 en 3.102.0. Gebruikers worden dringend aangeraden te updaten naar de nieuwste versies waarin deze problemen zijn verholpen. Matrix.org plant ook een herziening van de betrokken specificatie om soortgelijke problemen in de toekomst te voorkomen en benadrukt het belang van gebruikersverificatie voor de algemene beveiliging van het Matrix-protocol. 1

Taiwan's Computer Emergency Response Team heeft gewaarschuwd voor meerdere ernstige kwetsbaarheden in de Ragic Enterprise Cloud Database, een populair no-code platform voor bedrijfsapplicaties. De kwetsbaarheden, ontdekt door het DEVCORE Red Team, kunnen leiden tot ongeautoriseerde toegang tot gevoelige gegevens en systeembestanden. De meest kritieke kwetsbaarheid (CVE-2024-9984) maakt het mogelijk voor aanvallers om zonder authenticatie sessiecookies van gebruikers te verkrijgen, wat kan resulteren in volledige accountovername. Andere kwetsbaarheden maken ongeautoriseerd lezen van systeembestanden en het uploaden van schadelijke bestanden mogelijk. Succesvolle exploitatie kan leiden tot datalekken, systeemcompromittering en verstoring van bedrijfsprocessen. Ragic heeft op 8 augustus 2024 een beveiligingsupdate uitgebracht om deze problemen op te lossen. Gebruikers worden dringend geadviseerd hun systemen onmiddellijk bij te werken naar de nieuwste versie om de risico's te mitigeren.

Trend Micro heeft een dringende waarschuwing uitgebracht over een kritieke kwetsbaarheid in hun Cloud Edge apparaat. Deze kwetsbaarheid, aangeduid als CVE-2024-48904 met een CVSS-score van 9.8, stelt externe aanvallers in staat willekeurige code uit te voeren op getroffen apparaten zonder authenticatie. Getroffen versies zijn Cloud Edge 5.6SP2 en 7.0. Trend Micro heeft gepatche versies uitgebracht om het probleem aan te pakken: Cloud Edge 5.6 SP2 build 3228 en 7.0 build 1081. Hoewel het uitbuiten van deze kwetsbaarheid doorgaans toegang tot de kwetsbare machine vereist, maakt het ontbreken van authenticatie het een ernstige bedreiging. Trend Micro dringt er bij alle gebruikers op aan hun Cloud Edge apparaten onmiddellijk bij te werken om het risico op mogelijke aanvallen te beperken. Naast patchen adviseert Trend Micro ook om externe toegang tot kritieke systemen te herzien en ervoor te zorgen dat beveiligingsbeleid en perimeterbeveiliging up-to-date zijn. 1

Broadcom heeft een ernstige kwetsbaarheid (CVE-2024-38814) bekendgemaakt in VMware HCX, een belangrijke component voor applicatiemigratie en disaster recovery in multi-cloud infrastructuren. De SQL-injectie kwetsbaarheid heeft een CVSS-score van 8.8 en wordt als "Important" geclassificeerd. Een kwaadwillende gebruiker met beperkte rechten kan hiermee ongeautoriseerde code uitvoeren op de HCX-manager, wat kan leiden tot ernstige gevolgen zoals datalekken of verstoorde dienstverlening. De kwetsbaarheid treft meerdere versies van VMware HCX. Er zijn patches beschikbaar voor versies 4.10.x, 4.9.x en 4.8.x. Broadcom benadrukt het belang van direct patchen, aangezien er geen workarounds zijn. De ontdekking wordt toegeschreven aan Sina Kheirkhah van het Summoning Team, in samenwerking met Trend Micro's Zero Day Initiative. Organisaties worden dringend geadviseerd hun omgevingen zo snel mogelijk te beveiligen door de beschikbare patches toe te passen. 1

Apache Solr, een veelgebruikt zoekplatform voor grote websites, is getroffen door twee nieuwe beveiligingskwetsbaarheden: CVE-2024-45216 en CVE-2024-45217. De kritieke kwetsbaarheid CVE-2024-45216 treft Solr-instances die de PKIAuthenticationPlugin gebruiken. Deze fout maakt het mogelijk voor aanvallers om authenticatie te omzeilen en ongeautoriseerd commando's uit te voeren of gegevens te benaderen. De tweede kwetsbaarheid, CVE-2024-45217, betreft een onveilige initialisatie van ConfigSets tijdens een backup restore opdracht. Dit kan leiden tot het uitvoeren van ongeautoriseerde code. Gebruikers wordt dringend aangeraden te upgraden naar Apache Solr 9.7.0 of 8.11.4 om deze kwetsbaarheden aan te pakken. Daarnaast wordt aanbevolen om authenticatie en autorisatie in te schakelen voor alle Solr-instances. Deze beveiligingsproblemen onderstrepen het belang van het up-to-date houden van software en het implementeren van robuuste beveiligingsmaatregelen. 1

Google heeft meerdere kritieke kwetsbaarheden verholpen in Pixel-telefoons. Het gaat om vijf beveiligingslekken die aanwezig waren in de modem, het Trusty-besturingssysteem en Advanced Configuration and Power Management (ACPM). Drie van de vijf kwetsbaarheden bevonden zich in Trusty. Deze kritieke lekken zouden aanvallers in het ergste geval volledige toegang tot telefoons kunnen geven zonder enige interactie van gebruikers. Bij alle vijf kwetsbaarheden is 'Elevation of privilege' mogelijk, waarbij een aanvaller met toegang tot een systeem zijn rechten kan verhogen of bepaalde permissies kan verkrijgen. Hoewel dergelijke lekken meestal niet als kritiek worden bestempeld, is dat in dit geval wel gebeurd. Google heeft geen verdere details vrijgegeven, maar roept alle Pixel-eigenaren op om de beveiligingsupdates te installeren zodra deze beschikbaar zijn. 1

Twee ernstige beveiligingslekken zijn ontdekt in de Ultimate Membership Pro plugin voor WordPress, een veelgebruikte tool voor het beheren van lidmaatschappen op websites. De eerste kwetsbaarheid (CVE-2024-43240) maakt het mogelijk voor ongeauthenticeerde gebruikers om zich te registreren voor elk lidmaatschapsniveau en de bijbehorende rechten te verkrijgen. De tweede kwetsbaarheid (CVE-2024-43242) stelt aanvallers in staat om kwaadaardige code uit te voeren op de website door misbruik te maken van onveilige deserialisatie.

Gezien de plugin door ongeveer 40.000 websites wordt gebruikt, vormen deze kwetsbaarheden een aanzienlijk risico. Aanvallers zouden ongeautoriseerde toegang kunnen krijgen tot gevoelige delen van een website of zelfs de hele site kunnen compromitteren. Websitebeheerders die deze plugin gebruiken, wordt dringend aangeraden zo snel mogelijk te updaten naar versie 16.8 om deze beveiligingsrisico's te mitigeren. Ook is het raadzaam om de beveiligingsinstellingen te controleren en invoervalidatie te implementeren. 1

Microsoft heeft een nieuwe kwetsbaarheid in macOS ontdekt, genaamd "HM Surf". Deze kwetsbaarheid stelt aanvallers in staat om de beveiliging van het Transparency, Consent, and Control (TCC) systeem te omzeilen. Hierdoor kunnen zij ongeautoriseerde toegang krijgen tot gevoelige gegevens zoals de browsegeschiedenis, camerabeelden, microfoon en locatie, zonder dat de gebruiker hiervan op de hoogte is. De aanval maakt gebruik van een configuratiebestand in de Safari-map om deze bescherming te omzeilen.

Apple heeft inmiddels een beveiligingsupdate uitgebracht die dit probleem oplost, als onderdeel van macOS Sequoia. Gebruikers worden sterk aangeraden deze update zo snel mogelijk te installeren. Microsoft Defender voor Endpoint biedt extra bescherming door het detecteren en blokkeren van activiteiten die met deze kwetsbaarheid verband houden. Het is van groot belang dat gebruikers hun systemen regelmatig bijwerken en beveiligingsmaatregelen blijven volgen om dit soort dreigingen te voorkomen. 1

Cisco heeft onlangs ernstige kwetsbaarheden ontdekt in de firmware van de Cisco ATA 190 Series Analog Telephone Adapter, zowel voor on-premise als multiplatform modellen. Deze kwetsbaarheden kunnen aanvallers in staat stellen om ongeautoriseerde toegang te krijgen, apparaatconfiguraties te manipuleren, commando's uit te voeren als root-gebruiker en zelfs een denial-of-service (DoS) aanval uit te voeren.

Een van de meest kritieke kwetsbaarheden, aangeduid als CVE-2024-20458, maakt het voor ongeauthenticeerde aanvallers mogelijk om de firmware te bekijken, te verwijderen of te wijzigen door een specifieke URL te benaderen. Daarnaast kunnen aanvallers met voldoende rechten via CVE-2024-20459 willekeurige commando's als root uitvoeren.

Andere kwetsbaarheden omvatten risico's zoals cross-site scripting (XSS) en cross-site request forgery (CSRF). Cisco heeft firmware-updates uitgebracht om deze beveiligingsproblemen te verhelpen en adviseert gebruikers om zo snel mogelijk te updaten om verdere risico's te beperken. 1

Een nieuwe kwetsbaarheid, CVE-2024-38819, is ontdekt in het populaire Spring Framework. Deze kwetsbaarheid heeft een CVSS-score van 7.5, wat wijst op een aanzienlijke bedreiging voor webapplicaties die statische bronnen aanbieden via WebMvc.fn of WebFlux.fn. De kwetsbaarheid maakt het mogelijk voor aanvallers om via speciaal ontworpen HTTP-verzoeken bestanden te benaderen die toegankelijk zijn voor het proces waarin de applicatie draait. Hierdoor kunnen gevoelige gegevens, zoals configuratiebestanden of inloggegevens, worden gestolen. Het probleem treft meerdere versies van Spring, waaronder 5.3.0 tot 5.3.40 en 6.0.0 tot 6.1.13. Gebruikers van deze versies worden dringend geadviseerd om te updaten naar de gepatchte versies om de beveiligingsrisico's te mitigeren. De kwetsbaarheid is gerapporteerd door beveiligingsonderzoekers van Aeye Security Lab en er zijn inmiddels updates beschikbaar om dit lek te dichten. 1

Een ernstige kwetsbaarheid, CVE-2024-45844, is ontdekt in F5 BIG-IP, een populair netwerkverkeer- en beveiligingsplatform. Deze kwetsbaarheid, met een CVSSv4-score van 8.6, stelt geauthenticeerde aanvallers in staat om toegangscontroles te omzeilen en mogelijk het systeem over te nemen. Het probleem ligt in de "monitor"-functionaliteit van BIG-IP, waardoor een aanvaller met minstens "Manager"-rechten zijn privileges kan verhogen en de configuratie kan aanpassen. Hierdoor kan ongeautoriseerde toegang worden verkregen, zelfs als poortbeperkingen zijn ingesteld.

De kwetsbaarheid treft meerdere versies van BIG-IP en kan leiden tot escalatie van rechten, wijziging van configuraties en mogelijk volledige systeemcompromittering. Hoewel het probleem beperkt is tot het controlevlak, blijven de gevolgen ernstig, zoals het verkrijgen van gevoelige informatie of het verstoren van netwerkverkeer. Het is van cruciaal belang dat gebruikers de aanbevolen updates zo snel mogelijk installeren. Tijdelijke maatregelen kunnen bestaan uit het beperken van toegang tot kritieke onderdelen van het systeem.

Bron: 1

SolarWinds heeft een ernstige kwetsbaarheid geïdentificeerd in hun Web Help Desk (WHD) platform, aangeduid als CVE-2024-28988. Deze kwetsbaarheid, met een CVSS-score van 9.8, stelt aanvallers in staat om op afstand willekeurige commando's uit te voeren op het systeem dat de software host. Dit brengt organisaties die de software gebruiken, zoals overheidsinstellingen en grote bedrijven, in gevaar. De kwetsbaarheid wordt veroorzaakt door een Java Deserialization probleem, dat misbruikt kan worden voor remote code execution (RCE). Hierdoor kunnen aanvallers onbeperkte toegang krijgen tot het systeem.

SolarWinds heeft snel gereageerd met een update die deze kwetsbaarheid aanpakt. Alle gebruikers van SolarWinds Web Help Desk worden dringend geadviseerd om zo snel mogelijk te updaten naar versie 12.8.3 HF3 om hun systemen te beveiligen. Eerdere versies zijn kwetsbaar en kunnen door kwaadwillenden worden misbruikt. Dit is vooral zorgwekkend omdat SolarWinds al eerder het doelwit is geweest van aanvallen.

Bron: 1

Er is een ernstige kwetsbaarheid ontdekt in Grafana, een populair open-source platform voor monitoring en observatie. Deze kwetsbaarheid, met een CVSS-score van 9.9, maakt het mogelijk voor aanvallers om willekeurige code uit te voeren op getroffen systemen, wat kan leiden tot volledige systeemovername. Het probleem ligt bij een experimentele functie genaamd "SQL Expressions", waarbij SQL-queries niet voldoende gesaniteerd werden. Hierdoor kunnen aanvallers opdrachten uitvoeren of toegang krijgen tot gevoelige bestanden op de server. Gebruikers met kijkrechten of hoger zijn in staat deze aanval uit te voeren.

De kwetsbaarheid is standaard ingeschakeld door een fout in de implementatie van feature flags, wat het risico vergroot voor systemen waar de DuckDB-binary beschikbaar is. Grafana Labs heeft snel gereageerd met beveiligingspatches voor alle getroffen versies van Grafana 11 en adviseert gebruikers dringend te updaten naar de nieuwste beveiligde versie. Als tijdelijke maatregel kunnen gebruikers DuckDB van hun systeem verwijderen.

Bron: 1

Microsoft-onderzoekers hebben een nieuwe kwetsbaarheid ontdekt in macOS, waarmee aanvallers toegang kunnen krijgen tot beschermde gegevens. De kwetsbaarheid maakt gebruik van een fout in het Transparency, Consent, and Control (TCC) systeem, dat normaal gesproken voorkomt dat apps zonder toestemming toegang krijgen tot persoonlijke informatie zoals de camera, microfoon of locatie. Door deze kwetsbaarheid kunnen aanvallers de beveiliging van de Safari-browserdirectory omzeilen en zo toegang krijgen tot gevoelige gegevens.

Apple heeft op 16 september 2024 een patch uitgebracht om deze kwetsbaarheid te verhelpen. Het wordt sterk aangeraden dat gebruikers de beveiligingsupdates zo snel mogelijk toepassen. Er is al verdachte activiteit waargenomen, mogelijk gerelateerd aan deze kwetsbaarheid, waarbij gebruik wordt gemaakt van de Adload-malwarefamilie. Hiermee kunnen aanvallers onder andere toegang krijgen tot wachtwoorden en toegangsmachtigingen voor de microfoon en camera omzeilen.

Bron: 1

Bitdefender heeft een dringende waarschuwing uitgebracht voor drie kritieke kwetsbaarheden in de HTTPS-scanningsfunctie van zijn Total Security-product. Deze kwetsbaarheden, geregistreerd onder de codes CVE-2023-6055, CVE-2023-6056 en CVE-2023-6057, kunnen door aanvallers worden misbruikt om communicatie te onderscheppen en te manipuleren. Hierdoor kunnen gevoelige gegevens, zoals inloggegevens of financiële informatie, worden blootgesteld. De kwetsbaarheden ontstaan door gebrekkige certificaatvalidatie, waarbij onder andere zelf-ondertekende certificaten en verouderde encryptie-algoritmes onveilig worden vertrouwd. Deze problemen kunnen leiden tot Man-in-the-Middle-aanvallen, waarmee kwaadwillenden toegang krijgen tot de communicatie van gebruikers. Bitdefender heeft snel gereageerd door een update uit te brengen naar versie 27.0.25.115, die deze kwetsbaarheden verhelpt. Gebruikers wordt aangeraden om hun software onmiddellijk bij te werken om verdere risico's te voorkomen. Dit incident benadrukt het belang van regelmatige updates, zelfs bij beveiligingssoftware.

Bron: 1

Hikvision, een toonaangevende leverancier van AIoT en videobewakingsoplossingen, heeft drie beveiligingslekken gemeld in hun HikCentral Master Lite en Professional software. Deze kwetsbaarheden (CVE-2024-47485, CVE-2024-47486, en CVE-2024-47487) stellen aanvallers in staat om schadelijke code uit te voeren, gevoelige informatie te stelen of de werking van systemen te verstoren.

De specifieke zwakke punten omvatten CSV-injectie, cross-site scripting (XSS), en SQL-injectie. Aanvallers kunnen via deze lekken kwaadaardige gegevens in CSV-bestanden injecteren, gebruikers naar malafide websites leiden, of toegang krijgen tot gevoelige gegevens in de database.

Hikvision heeft snel gereageerd door updates vrij te geven voor de getroffen softwareversies. Gebruikers worden sterk aangeraden om hun systemen bij te werken naar de nieuwste versies om mogelijke exploits te voorkomen.

Bron: 1

Synology heeft kritieke kwetsbaarheden ontdekt in hun beveiligingscamera's en BeeStation NAS-apparaten, waarmee kwaadwillenden op afstand de apparaten kunnen overnemen. Aanvallers kunnen willekeurige code uitvoeren, beveiligingsmaatregelen omzeilen en zelfs denial-of-service aanvallen uitvoeren op de Synology Camera BC500, TC500 en CC400W. Om gebruikers te beschermen, heeft Synology firmware-updates uitgebracht. Gebruikers van deze apparaten wordt sterk aangeraden hun camera's te updaten naar versie 1.1.3-0442 of nieuwer.

Daarnaast heeft Synology ook een kritieke update uitgebracht voor de BeeStation Manager, de software van hun eenvoudige NAS-apparaat. Deze kwetsbaarheid stelt aanvallers in staat om op afstand toegang te krijgen tot het apparaat en willekeurige code uit te voeren. Gebruikers van de BeeStation NAS wordt geadviseerd om hun systeem te updaten naar versie 1.1-65373 of nieuwer om hun netwerk te beveiligen.

Synology heeft geen specifieke CVE-nummers aan de kwetsbaarheden toegekend en verdere details zijn niet verstrekt.

Bron: 1

Een ernstige kwetsbaarheid, bekend als CVE-2024-48914, is ontdekt in het open-source Vendure e-commerce platform. Deze kwetsbaarheid, met een CVSS-score van 9.1, maakt het mogelijk voor aanvallers om willekeurige bestanden van de server te lezen. Dit kan gevoelige informatie blootleggen, zoals configuratiebestanden en omgevingsvariabelen. De fout zit in de AssetServerPlugin wanneer deze wordt gebruikt met de LocalAssetStorageStrategy. Door path traversal kan een aanvaller toegang krijgen tot bestanden buiten de bedoelde map.

De kwetsbaarheid werd ontdekt door beveiligingsonderzoeker Rajesh Sharma, die ook een Denial-of-Service (DoS) vector vond in dezelfde code. Vendure heeft de fout opgelost in versies 3.0.5 en 2.3.3 en gebruikers worden dringend geadviseerd om hun installaties te updaten. Alternatief kan men overstappen op object storage of beveiligingsmaatregelen toepassen om aanvallen te blokkeren.

Bron: 1

Onderzoekers van Unit 42 hebben een zwakte in macOS's Gatekeeper-beveiliging ontdekt. Gatekeeper zorgt ervoor dat alleen vertrouwde applicaties op macOS-systemen worden uitgevoerd. Dit wordt gedaan door bestanden die van internet worden gedownload te controleren op een "quarantaine" attribuut. Helaas blijkt uit het onderzoek dat veel externe software en zelfs Apple's eigen command-line tools dit attribuut niet correct toepassen. Hierdoor kunnen schadelijke applicaties de beveiliging omzeilen en worden uitgevoerd zonder dat ze door Gatekeeper worden gecontroleerd. Onder andere archiveringsprogramma's zoals iZip, BetterZip en virtualisatiesoftware zoals VMware Fusion zijn kwetsbaar. Zelfs tools zoals curl en SCP van Apple zelf handhaven de quarantaine-attributen niet, wat aanvallers een kans biedt om schadelijke bestanden binnen te smokkelen. Hoewel sommige ontwikkelaars al updates hebben uitgebracht, blijft het vertrouwen van Apple op externe ontwikkelaars een veiligheidsrisico.

Bron: 1

CVE-2024-10025, een nieuw ontdekte kwetsbaarheid in verschillende producten van SICK, vormt een ernstige bedreiging voor bedrijven die vertrouwen op hun automatiserings- en sensortechnologieën. Met een CVSS-score van 9.1 is de kwetsbaarheid geclassificeerd als kritiek. De kwetsbaarheid bevindt zich in de .sdd-bestanden van onder andere de CLV6xx, Lector6xx en RFx6xx-modellen. De oorzaak is het gebruik van hardcoded wachtwoorden die in platte tekst worden opgeslagen. Als deze standaardwachtwoorden niet zijn aangepast, kunnen aanvallers zich zonder authenticatie toegang verschaffen tot het systeem als "geautoriseerde client".

SICK heeft een update uitgebracht om het probleem op te lossen en adviseert gebruikers dringend om hun standaardwachtwoorden onmiddellijk te wijzigen. Als de kwetsbaarheid wordt uitgebuit, kunnen aanvallers de functionaliteit van de getroffen apparaten aanpassen of uitschakelen, wat ernstige verstoringen kan veroorzaken in sectoren zoals logistiek, productie en gezondheidszorg.

Bron: 1

Een beveiligingsonderzoeker heeft een privilege escalation-kwetsbaarheid ontdekt in de Kernel Streaming-service van Microsoft Windows. De kwetsbaarheid, aangeduid als CVE-2024-30090, stelt aanvallers potentieel in staat om SYSTEM-rechten te verkrijgen op kwetsbare Windows-systemen. Het probleem ontstaat door een race condition die kan worden uitgebuit om privilegecontroles te manipuleren. Door de kwetsbaarheid kunnen aanvallers de systeem-checks omzeilen en hogere toegangsrechten verkrijgen zonder administratieve controle. Een proof-of-concept exploit is gepubliceerd op GitHub, wat de urgentie voor patching verhoogt. Microsoft heeft de kwetsbaarheid gepatcht in de juni 2024 Patch Tuesday-update. Gebruikers worden sterk aangeraden deze update direct toe te passen om potentiële aanvallen te voorkomen. De kwetsbaarheid heeft een CVSS-score van 7.0 gekregen, wat de ernst ervan onderstreept.

Bron: 1

Oracle heeft in zijn oktober 2024 updatepakket 329 kwetsbaarheden verholpen, waaronder vijf ernstige in de Oracle WebLogic Server Core component. De meest gevaarlijke hiervan is CVE-2024-21216 met een CVSS-score van 9.8. Deze kwetsbaarheid stelt een aanvaller zonder authenticatie in staat om op afstand volledige controle over de server te krijgen via de T3- of IIOP-protocollen. Vier andere kwetsbaarheden kunnen leiden tot denial-of-service of ongeautoriseerde toegang tot kritieke data.

De kwetsbaarheden treffen WebLogic Server versies 12.2.1.4.0 en 14.1.1.0.0. Omdat T3 en IIOP standaard ingeschakeld zijn, zijn deze kwetsbaarheden extra zorgwekkend. Oracle heeft patches uitgebracht en dringt er bij alle gebruikers op aan deze onmiddellijk toe te passen, vooral voor WebLogic-instanties die de T3- en IIOP-protocollen aan het internet blootstellen. Zonder de patches lopen organisaties een verhoogd risico op aanvallen en ernstige operationele verstoringen.

Bron: 1

Rackspace, een grote aanbieder van cloudoplossingen, heeft een beveiligingsincident gemeld veroorzaakt door een zero-day kwetsbaarheid in de ScienceLogic EM7 monitoring tool. Deze kwetsbaarheid, bekend als CVE-2024-9537, heeft een CVSS-score van 9.8 en maakt het mogelijk voor kwaadwillenden om op afstand code uit te voeren, wat potentieel toegang geeft tot gevoelige gegevens. Op 24 september 2024 ontdekte Rackspace verdachte activiteiten binnen hun monitoringsysteem, wat leidde tot de ontdekking van de exploit. De aanval bleef beperkt tot prestatiemonitoringsdata zoals gebruikersnamen, IP-adressen, en interne apparaat-ID’s, maar gevoelige informatie zoals wachtwoorden of financiële gegevens werden niet gecompromitteerd. Rackspace heeft onmiddellijk actie ondernomen en samen met ScienceLogic een patch ontwikkeld, die nu beschikbaar is voor alle gebruikers. Klanten zijn geïnformeerd en hoeven geen verdere stappen te ondernemen.

Bron: 1

Een ernstige kwetsbaarheid in BattlEye, een populair anti-cheat systeem voor online games, is ontdekt. Deze zogeheten "BannleEye"-exploit, geïdentificeerd door beveiligingsonderzoeker timoxa565, stelt aanvallers in staat om gebruikersaccounts onterecht te bannen. De kwetsbaarheid maakt misbruik van de communicatie tussen de client- en servercomponenten van BattlEye. Door de authenticatie om te leiden naar een nepserver, kunnen aanvallers gegevens manipuleren en valse beschuldigingen van vals spel aan spelers koppelen, zelfs als ze offline zijn.

De kwetsbaarheid benadrukt de zwakke punten van server-side anti-cheat systemen die vertrouwen op standaard servervalidatie. Hoewel BattlEye bevestigt dat slechts enkele spellen getroffen zijn, heeft het bedrijf maatregelen aangekondigd om onterechte bans te kunnen corrigeren. Er wordt aangeraden om unieke sleutels te implementeren per spel om dergelijke aanvallen te voorkomen.

Bron: 1

Een onderzoeker van Akamai, Stiv Kupchik, heeft details en een proof-of-concept (PoC) gepubliceerd voor een ernstige kwetsbaarheid in Microsoft’s Remote Registry client, aangeduid als CVE-2024-43532. Deze kwetsbaarheid, met een CVSS-score van 8.8, maakt gebruik van een zwak punt in de fallback-mechanismen van de WinReg client. Wanneer de voorkeurs-SMB-verbinding niet beschikbaar is, schakelt het systeem over naar verouderde en onveilige protocollen. Hierdoor kunnen aanvallers NTLM-authenticatiegegevens onderscheppen en doorsturen naar andere systemen, zoals Active Directory Certificate Services (ADCS), om toegang te verkrijgen tot gevoelige systemen.

Het probleem is ontstaan door verouderde authenticatiemethoden binnen Microsoft’s Remote Procedure Call (RPC) framework. De kwetsbaarheid werd in februari 2024 gerapporteerd en Microsoft heeft een patch uitgebracht tijdens Patch Tuesday in oktober 2024. De update verhelpt het gebruik van onveilige protocollen bij SMB-fouten.

Bron: 1

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft een kritieke kwetsbaarheid in ScienceLogic SL1 toegevoegd aan hun catalogus van bekende misbruikte kwetsbaarheden. Deze kwetsbaarheid, aangeduid als CVE-2024-9537, maakt misbruik mogelijk via een fout in een derde partij component en kan leiden tot het uitvoeren van kwaadaardige code op afstand. De kwetsbaarheid werd actief uitgebuit als een zero-day, wat betekent dat aanvallers hiervan gebruik maakten voordat een patch beschikbaar was.

ScienceLogic heeft inmiddels beveiligingsupdates uitgebracht voor meerdere versies van het platform om dit probleem te verhelpen. Organisaties, waaronder Rackspace, zijn getroffen door deze aanval, waarbij onbevoegde toegang werd verkregen tot interne systemen. CISA heeft overheidsinstanties opgedragen de nodige patches uiterlijk 11 november 2024 te implementeren om verdere risico's te minimaliseren.

Bron: 1

Een ernstige beveiligingslek (CVE-2024-45309) is ontdekt en gepatcht in OneDev, een populair open-source DevOps platform. Deze kwetsbaarheid stelde niet-geauthenticeerde aanvallers in staat om willekeurige bestanden te lezen die toegankelijk waren voor het OneDev serverproces, waardoor gevoelige informatie zoals broncode, configuratiebestanden en gebruikersgegevens mogelijk blootgesteld konden worden.

Het lek, dat een CVSS-score van 8,7 kreeg, vormde een ernstig beveiligingsrisico voor organisaties die OneDev versies 11.0.8 en eerder gebruikten. Misbruik van deze kwetsbaarheid kon ernstige gevolgen hebben, waaronder datalekken, diefstal van intellectueel eigendom en systeemcompromittering.

Het OneDev ontwikkelteam heeft de kwetsbaarheid verholpen in versie 11.0.9. Alle gebruikers worden dringend geadviseerd om onmiddellijk te updaten naar de nieuwste versie om de beveiliging van hun systemen te waarborgen.

Bron: 1

VMware heeft een update uitgebracht voor een ernstige beveiligingslek in vCenter Server, bekend als CVE-2024-38812. Deze kwetsbaarheid, met een CVSS-score van 9.8, betreft een heap-overflow probleem in de implementatie van het DCE/RPC-protocol. Kwaadwillenden met netwerktoegang tot vCenter Server kunnen deze kwetsbaarheid mogelijk misbruiken voor het uitvoeren van code op afstand. De fout werd oorspronkelijk ontdekt tijdens een cybersecurity-competitie in China. VMware erkent dat eerdere patches het probleem niet volledig hadden opgelost. Updates zijn nu beschikbaar voor verschillende versies van vCenter Server en VMware Cloud Foundation. Hoewel er geen bewijs is van actieve exploitatie, worden gebruikers dringend geadviseerd hun systemen bij te werken om potentiële dreigingen te voorkomen.

Bron: 1