Kwetsbaarheden CVE's
Kwetsbaarheden nieuws
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Cybercrimeinfo.nl (ccinfo.nl) is geen onderdeel van de Nederlandse Politie. Lees hier meer over wie wij zijn.
Deze pagina wordt voortdurend bijgewerkt. Laatste update: 05-december-2023
Kritieke Update van Android in December Repareert Zero-Click RCE-kwetsbaarheid
In december 2023 heeft Google belangrijke beveiligingsupdates voor Android uitgebracht, die in totaal 85 kwetsbaarheden aanpakken. De meest opvallende onder deze kwetsbaarheden is een kritieke zero-click remote code execution (RCE) fout, aangeduid als CVE-2023-40088. Deze kwetsbaarheid bevindt zich in het systeemcomponent van Android en kan worden uitgebuit zonder dat extra rechten nodig zijn en zonder enige interactie van de gebruiker. Hoewel Google nog niet heeft bevestigd of deze beveiligingsfout actief is uitgebuit, biedt het een potentieel voor aanvallers om willekeurige code uit te voeren zonder dat de gebruiker actie hoeft te ondernemen. Naast deze kritieke RCE-kwetsbaarheid zijn er nog eens 84 beveiligingsproblemen opgelost. Drie daarvan zijn ook van kritieke ernst, namelijk privilege escalatie en informatielekken in de Android Framework- en systeemcomponenten. Een vierde kritieke kwetsbaarheid (CVE-2022-40507) is verholpen in gesloten componenten van Qualcomm. Twee maanden eerder, in oktober, repareerde Google ook twee beveiligingsfouten die als zero-days werden uitgebuit, waarvan één in de libwebp open-source bibliotheek en de andere meerdere versies van de Arm Mali GPU-driver trof, gebruikt in een breed scala aan Android-apparaatmodellen. Google heeft in de beveiligingsupdates van december twee sets patches uitgebracht, geïdentificeerd als de beveiligingsniveaus 2023-12-01 en 2023-12-05. De laatste omvat alle fixes van de eerste set, plus aanvullende patches voor gesloten bron- en kernelcomponenten van derden. Niet alle Android-apparaten hebben deze extra patches nodig. Het is ook belangrijk om op te merken dat, behalve Google Pixel-apparaten, die direct na de release maandelijkse beveiligingsupdates ontvangen, andere fabrikanten enige tijd nodig hebben om de patches uit te rollen. Deze vertraging is nodig voor aanvullende tests van de beveiligingspatches om te zorgen dat er geen onverenigbaarheden zijn met verschillende hardwareconfiguraties. [1, 2]
Kritieke Kwetsbaarheid in WordPress-Plug-in MW WP Form Bedreigt 170.000 Websites
Een recent ontdekte kritieke kwetsbaarheid in de WordPress-plug-in MW WP Form vormt een ernstige bedreiging voor ongeveer 170.000 websites. Deze plug-in, die breed wordt ingezet om mailformulieren op WordPress-sites te maken en op meer dan 200.000 sites geïnstalleerd is, bevat een beveiligingslek dat aanvallers in staat stelt willekeurige bestanden, waaronder PHP-bestanden, naar de webserver te uploaden. Hierdoor kunnen ze willekeurige code uitvoeren op de server. Het lek is vooral gevaarlijk als de optie "Saving inquiry data in database" ingeschakeld is. Securitybedrijf Wordfence ontdekte het lek op 24 november en informeerde de ontwikkelaars van de plug-in, die op 29 november een update (versie 5.0.2) uitbrachten om dit probleem aan te pakken. De ernst van de kwetsbaarheid wordt onderstreept door de hoge risicobeoordeling van 9.8 op een schaal van 1 tot 10. Ondanks de beschikbaarheid van de update, blijken veel websites het nog niet geïnstalleerd te hebben. Uit recente cijfers van WordPress.org blijkt dat slechts 32.000 van de meer dan 200.000 gebruikende sites de update in de afgelopen week hebben toegepast. Dit betekent dat ongeveer 170.000 sites nog steeds kwetsbaar zijn voor dit ernstige beveiligingsrisico. Websitebeheerders worden daarom dringend aangeraden om zo snel mogelijk de nieuwste versie van de plug-in te installeren om hun websites te beschermen tegen mogelijke aanvallen die via deze kwetsbaarheid kunnen plaatsvinden. [1, 2]
⚠️ Kritieke Waarschuwing voor Ziekenhuizen: Patch 'Citrix Bleed' Kwetsbaarheid Onmiddellijk
Het Amerikaanse Ministerie van Volksgezondheid en Human Services (HHS) heeft ziekenhuizen gewaarschuwd voor de kritieke 'Citrix Bleed' Netscaler kwetsbaarheid, die actief wordt uitgebuit in cyberaanvallen. Ransomwaregroepen gebruiken deze kwetsbaarheid, bekend als CVE-2023-4966, om netwerken binnen te dringen door inlogvereisten en multifactorauthenticatie te omzeilen. De Health Sector Cybersecurity Coordination Center (HC3) van HHS heeft een sectorwaarschuwing uitgegeven waarin alle Amerikaanse zorgorganisaties worden aangespoord hun kwetsbare NetScaler ADC en NetScaler Gateway apparaten te beveiligen tegen aanvallen van ransomwarebendes. De kwetsbaarheid wordt actief uitgebuit en HC3 dringt er sterk op aan dat organisaties hun apparaten upgraden om verdere schade aan de gezondheidszorg- en volksgezondheidssector te voorkomen. Citrix had eerder twee waarschuwingen uitgegeven, waarin beheerders werden gevraagd hun apparaten onmiddellijk te patchen en alle actieve en persistente sessies te beëindigen om te voorkomen dat aanvallers authenticatietokens stelen, zelfs na het installeren van de beveiligingsupdates. Onlangs waarschuwden CISA en de FBI ook voor de betrokkenheid van de LockBit ransomwaregroep bij de aanvallen. Eén van hun slachtoffers, het luchtvaartbedrijf Boeing, deelde details over hoe een LockBit-filiaal in oktober hun netwerk binnendrong door middel van een Citrix Bleed-exploit. Cybersecurityexpert Kevin Beaumont heeft wereldwijd cyberaanvallen geanalyseerd, waaronder die op Boeing, de Industrial and Commercial Bank of China (ICBC), DP World en Allen & Overy, en vond dat deze waarschijnlijk zijn uitgevoerd met Citrix Bleed-exploits. Beaumont onthulde dat een in de VS gevestigde managed service provider (MSP) onlangs is getroffen door een ransomware-aanval, uitgevoerd door een groep die de Citrix Bleed-kwetsbaarheid uitbuit. Citrix heeft de fout begin oktober gepatcht, maar Mandiant onthulde later dat deze sinds eind augustus 2023 actief werd uitgebuit als een zero-day. Meer dan 10.000 Citrix-servers, waarvan vele toebehoren aan kritieke organisaties in verschillende landen, waren medio november nog steeds kwetsbaar voor Citrix Bleed-aanvallen, meer dan een maand na het patchen van de kritieke fout. [1, 2, 3]
Windows 10 Update KB5032278 Introduceert Copilot AI-Assistent en Repareert 13 Bugs
Microsoft heeft onlangs de Copilot AI-assistent toegevoegd aan Windows 10 via de KB5032278-update van november 2023 voor systemen met Windows 10, versie 22H2. Deze functie, oorspronkelijk geïntroduceerd op Windows 11-apparaten, is nu beschikbaar in bepaalde wereldwijde markten. Om Copilot te gebruiken, moeten gebruikers hun taakbalk horizontaal positioneren, aangezien het niet compatibel is met verticaal gepositioneerde taakbalken. De update is optioneel en bevat naast de introductie van Copilot ook 18 bugfixes, waaronder verbeteringen in app-standaardinstellingen en oplossingen voor problemen met de cursorbeweging en het aanraakschermtoetsenbord. Microsoft heeft aangekondigd dat er in december 2023 geen preview-update zal zijn, maar de normale releasecyclus zal in januari 2024 hervatten. [1, 2, 3, 4, 5, 6]
Kritieke Beveiligingsfout in VMware Cloud Director Opgelost na Twee Weken
VMware heeft een kritieke beveiligingsfout in Cloud Director-appliance-implementaties hersteld, die meer dan twee weken ongepatcht bleef na de onthulling op 14 november. Cloud Director is een platform van VMware waarmee beheerders datacenters op meerdere locaties kunnen beheren als virtuele datacenters (VDC). Deze beveiligingsfout, bekend als CVE-2023-34060, beïnvloedde alleen apparaten die VCD Appliance 10.5 draaien en eerder waren opgewaardeerd vanuit een oudere versie. Nieuwe installaties van VCD Appliance 10.5, Linux-implementaties en andere apparaten werden niet beïnvloed. Aanvallers op afstand konden de fout in CVE-2023-34060 uitbuiten in aanvallen met lage complexiteit die geen gebruikersinteractie vereisten. Bij een geüpgraded VMware Cloud Director Appliance 10.5 kon een kwaadwillende met netwerktoegang de loginbeperkingen omzeilen bij authenticatie op poort 22 (ssh) of poort 5480 (appliancebeheerconsole). Deze omzeiling was niet aanwezig op poort 443 (VCD-provider en tenant-login). Bij nieuwe installaties van VMware Cloud Director Appliance 10.5 was de omzeiling ook niet aanwezig. VMware bood ook een tijdelijke oplossing voor beheerders die de beveiligingspatch niet onmiddellijk konden installeren. VMware Security Advisory VMSA-2023-0026 werd uitgebracht om klanten te helpen het probleem te begrijpen en welk upgrade-pad het zou oplossen. De door VMware gedeelde oplossing werkte alleen voor getroffen versies van VCD Appliance 10.5.0. Het vereiste het downloaden van een aangepast script en het uitvoeren ervan op cellen die kwetsbaar waren voor aanvallen via CVE-2023-34060. Deze tijdelijke oplossing veroorzaakte geen functionele verstoringen en downtime was geen zorg, aangezien noch een serviceherstart noch een herstart nodig was. Eerder, in juni, had VMware een zero-day in ESXi gepatcht die werd uitgebuit door Chinese cyberspionnen voor gegevensdiefstal. In oktober werd ook een kritieke fout in de vCenter Server opgelost, die gebruikt kon worden voor aanvallen met externe code-uitvoering. [1, 2, 3]
LogoFAIL: Ernstige Kwetsbaarheden in UEFI Code Bedreigen Bootprocessen
Een reeks beveiligingskwetsbaarheden, collectief bekend als LogoFAIL, bedreigt de UEFI code van verschillende fabrikanten. Deze kwetsbaarheden treffen de componenten voor het verwerken van afbeeldingen in UEFI, het Unified Extensible Firmware Interface, en kunnen worden uitgebuit om het opstartproces van computers te kapen en bootkits te installeren. De kwetsbaarheden liggen in de bibliotheken die worden gebruikt voor het tonen van logo's tijdens het opstarten, waardoor ze zowel x86- als ARM-architecturen beïnvloeden. Onderzoekers van Binarly, een platform voor firmware supply chain beveiliging, hebben aangetoond dat branding in firmware onnodige veiligheidsrisico's met zich meebrengt. Kwaadwillenden kunnen namelijk malafide afbeeldingen injecteren in de EFI System Partition (ESP) om schadelijke payloads uit te voeren. De kwetsbaarheden zijn ontdekt tijdens een onderzoeksproject naar aanvalsmogelijkheden via image-parsing componenten in UEFI firmware. Het uitbuiten van deze kwetsbaarheden stelt aanvallers in staat om controle over het bootproces te nemen en beveiligingsmaatregelen zoals Secure Boot en hardware-gebaseerde Verified Boot mechanismen te omzeilen. Dit type aanval zorgt voor een persistente bedreiging op het systeem, die moeilijk te detecteren is. Het unieke aan LogoFAIL is dat het de runtime-integriteit niet aantast, aangezien het niet nodig is de bootloader of firmware te wijzigen. Binarly's onderzoek toont aan dat deze kwetsbaarheden invloed hebben op meerdere fabrikanten en chipsets. Ze hebben vastgesteld dat honderden apparaten van Intel, Acer, Lenovo, en andere fabrikanten mogelijk kwetsbaar zijn, evenals de drie belangrijkste onafhankelijke leveranciers van aangepaste UEFI firmware code: AMI, Insyde, en Phoenix. De volledige technische details over LogoFAIL zullen worden gepresenteerd op de Black Hat Europe beveiligingsconferentie in Londen op 6 december. [1, 2, 3]
Kritieke Beveiligingslekken in Zyxel NAS-Apparaten Ontdekt
Zyxel heeft een waarschuwing uitgegeven aan de eigenaren van twee types NAS-apparaten, de Zyxel NAS326 en NAS542, vanwege diverse kritieke kwetsbaarheden. Deze kwetsbaarheden maken het voor ongeauthenticeerde aanvallers mogelijk om op afstand commando's uit te voeren op deze systemen. Van de zes ontdekte beveiligingslekken, zijn drie (CVE-2023-35138, CVE-2023-4473, CVE-2023-4474) bijzonder ernstig omdat ze het uitvoeren van OS-commando's door een ongeauthenticeerde aanvaller mogelijk maken. De ernst van deze drie kwetsbaarheden is beoordeeld met een score van 9.8 op een schaal van 1 tot 10, wat wijst op een zeer hoge impact. De overige drie lekken, hoewel ook aangepakt door Zyxel, hebben een lagere impactscore. Zyxel heeft gebruikers dringend verzocht de beschikbaar gestelde firmware-updates te installeren om deze kwetsbaarheden te verhelpen. Interessant is dat de Amerikaanse overheid al eerder, in juni van hetzelfde jaar, actief misbruik rapporteerde van een andere kritieke kwetsbaarheid (CVE-2023-27992) in de NAS-apparaten van Zyxel. Deze kwetsbaarheid maakte het eveneens mogelijk voor aanvallers om OS-commando's uit te voeren. Een update om dit lek te dichten werd op 20 juni vrijgegeven, maar binnen drie dagen na de release werd er al misbruik van gemaakt. [1]
VMware Implementeert Kritieke Beveiligingsupdate voor Cloud Director Appliance
Op 1 december 2023 meldde VMware de implementatie van een beveiligingsupdate voor een kritieke kwetsbaarheid in de VMware Cloud Director Appliance (VCD Appliance), twee weken na de initiële aankondiging van het probleem. Deze kwetsbaarheid, geïdentificeerd als CVE-2023-34060, stelde aanvallers in staat om authenticatie te omzeilen en toegang te verkrijgen via SSH (poort 22) of de appliance management console (poort 5480). Het lek was relevant voor systemen die van een oudere versie waren geüpgraded naar versie 10.5; nieuwe installaties waren niet getroffen. Gezien de ernst, met een score van 9.8 op een schaal van 10, bracht VMware versie 10.5.1 uit als oplossing en adviseerde organisaties dringend om deze update te installeren. In eerste instantie was er enkel een script als tijdelijke oplossing beschikbaar. De VCD Appliance, een vooraf geconfigureerde virtuele machine, is ontworpen voor het draaien van de VMware Cloud Director service, veel gebruikt voor software-as-a-service toepassingen. [1]
⚠️ Apple dicht kritieke zerodaylekken in iPhones
Op 1 december 2023 heeft Apple twee ernstige zerodaylekken aangepakt die iPhones in gevaar brachten. Deze lekken maakten iPhones kwetsbaar voor spyware-aanvallen door simpelweg malafide websites of gecompromitteerde advertenties te bezoeken, zonder dat verdere actie van de gebruiker nodig was. De kwetsbaarheden, gelabeld als CVE-2023-42916 en CVE-2023-42917, waren onderdeel van WebKit, de door Apple ontwikkelde browser-engine die verplicht is voor alle browsers op iOS en iPadOS. CVE-2023-42916 stelde aanvallers in staat gevoelige informatie te stelen, terwijl CVE-2023-42917 het mogelijk maakte voor aanvallers om willekeurige code uit te voeren. Deze kwetsbaarheden werden ontdekt door een onderzoeker van Google's Threat Analysis Group, een team dat zich richt op het bestrijden van staatsgesponsorde cyberaanvallen. De updates die de lekken verhelpen, zijn opgenomen in iOS 17.1.2, iPadOS 17.1.2, macOS Sonoma 14.1.2, en Safari 17.1.2 voor macOS Monterey en Ventura. Apple heeft geen specifieke details over de aanvallen vrijgegeven. [1, 2, 3]
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers