Een digitale vesting bouwen: Analyse van cybersecurity kwetsbaarheden in februari 2024
EN: Click here and choose your language using Google's translation bar at the top of this page ↑
De bibliotheek voor de bestrijding van digitale criminaliteit
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Deze pagina wordt voortdurend bijgewerkt. Laatste update: 19-maart-2024
Fortinet heeft onlangs een essentiële beveiligingsupdate uitgebracht om een kritieke kwetsbaarheid, aangeduid als CVE-2024-21762, in het FortiOS SSL-VPN te adresseren. Deze kwetsbaarheid, die een hoge urgentie en impact heeft gekregen van het Nationaal Cyber Security Centrum (NCSC), stelt ongeautoriseerde partijen in staat om een Denial-of-Service (DoS) aanval uit te voeren of zelfs op afstand code uit te voeren. Dit kan resulteren in volledige overname van getroffen systemen. Ondanks dat de kwetsbaarheid tot dusver beperkt is misbruikt, en er nog geen publieke exploitatiecode bekend is gemaakt, wordt de situatie als ernstig beschouwd vanwege de potentie voor grootschalige exploitatie in de nabije toekomst. Gebruikers van FortiOS 7.4 en eerdere versies worden dringend aangeraden de beschikbare beveiligingsupdates te installeren. Voor diegenendie de meest recente versie, v7.6, gebruiken, bestaat er geen risico. Als tijdelijke oplossing kan het uitschakelen van de SSL VPN overwogen worden totdat de updates geïnstalleerd zijn. Het Digital Trust Center benadrukt het belang van een snelle actie om de updates toe te passen of dit door een IT-dienstverlener te laten doen, en raadt aan om contact op te nemen met IT-dienstverleners indien onduidelijk is of een kwetsbare versie in gebruik is. [ccinfo, dtc, cve]
In januari 2024 werd een ernstige beveiligingslek, CVE-2024-23334, ontdekt in de aiohttp Python bibliotheek, een open-source tool gebruikt voor het afhandelen van gelijktijdige HTTP-verzoeken. Dit lek maakt het mogelijk voor ongeautoriseerde externe aanvallers om toegang te krijgen tot bestanden op kwetsbare servers door middel van directory traversal. De kwetsbaarheid, die alle versies van aiohttp vóór 3.9.2 beïnvloedt, kwam aan het licht toen een bewijs-van-concept exploitatie werd gepubliceerd op GitHub, gevolgd door een gedetailleerde exploitatiehandleiding op YouTube. Cyble's dreigingsanalisten merkten op dat exploitatiepogingen begonnen eind februari 2024, toenemend in maart. Deze activiteiten werden gelinkt aan de ransomwaregroep 'ShadowSyndicate', bekend om hun financieel gemotiveerde cyberaanvallen sinds juli 2022. De groep wordt in verband gebracht met verschillende ransomwarestammen en wordt gezien als een affiliate die samenwerkt met meerdere ransomwareoperaties. Met ongeveer 44,170 aiohttp-instanties blootgesteld aan het internet, waarvan de versie vaak onbekend is, blijft het risico op misbruik aanzienlijk. Dit benadrukt de uitdagingen rond het bijwerken van open-sourcebibliotheken en de aanhoudende waarde ervan voor cybercriminelen, zelfs jaren na het beschikbaar komen van beveiligingsupdates.
Meer dan tienduizend WordPress-websites zijn in gevaar door een kritieke kwetsbaarheid in twee plug-ins van ontwikkelaar MiniOrange, namelijk de 'Malware Scanner' en de 'Web Application Firewall'. Deze plug-ins, ontworpen om websites te beschermen tegen aanvallen en malware, worden niet meer ondersteund door de ontwikkelaar. De kwetsbaarheid stelt een aanvaller zonder authenticatie in staat om het wachtwoord van gebruikers te resetten, mits een geldige gebruikersnaam wordt opgegeven. Deze beveiligingslek is met een 9.8 uiterst hoog beoordeeld op een schaal van 1 tot 10. Het probleem werd begin maart aan MiniOrange gemeld, maar in plaats van het ontwikkelen van een patch, heeft de ontwikkelaar besloten om de ondersteuning voor de plug-ins te stoppen. Securitybedrijf Wordfence heeft, gezien de ernst van de kwetsbaarheid en het gebrek aan een oplossing, dringend geadviseerd deze plug-ins onmiddellijk van websites te verwijderen om verdere risico's te voorkomen. [1]
Fortinet heeft een kritieke kwetsbaarheid in zijn FortiClient Enterprise Management Server (EMS) software aangepakt die aanvallers in staat stelde om op afstand code uit te voeren op kwetsbare servers. Deze software, die voornamelijk wordt gebruikt voor het beheren van eindpuntapparaten binnen een bedrijfsnetwerk, maakt het mogelijk voor beheerders om FortiClient-software te implementeren en beveiligingsprofielen toe te wijzen aan Windows-apparaten. De kwetsbaarheid, aangeduid als CVE-2023-48788, betreft een SQL-injectie in de DB2 Administration Server (DAS) component. Deze werd ontdekt en gerapporteerd door het National Cyber Security Centre (NCSC) van het VK en Fortinet ontwikkelaar Thiago Santana. Het beïnvloedt specifieke versies van de FortiClient EMS software en stelt niet-geauthenticeerde aanvallers in staat om met SYSTEM privileges code uit te voeren zonder dat gebruikersinteractie nodig is. Ondanks dat Fortinet geen bewijs heeft gepubliceerd van actief misbruik voor de patch, benadrukte het Horizon3 Attack Team de ernst van de bug en plant het een demonstratie van het exploit. Daarnaast heeft Fortinet deze week ook andere kritieke en hoge-severity kwetsbaarheden gepatcht die verschillende systemen beïnvloeden. Fortinet-producten zijn een frequent doelwit voor cyberaanvallen, waaronder ransomware-aanvallen en cyberespionage-campagnes. [1, 2]
Op de Patch Tuesday van maart 2024 heeft Microsoft beveiligingsupdates uitgebracht voor 60 kwetsbaarheden, waaronder 18 die remote code execution (RCE) mogelijk maken. Onder de opgeloste kwetsbaarheden bevinden zich slechts twee kritieke problemen: een in Hyper-V die zowel remote code execution als denial of service mogelijk maakt. De overige fouten omvatten 24 privilege escalaties, 3 beveiligingsontduikingen, 6 informatieonthullingen, 6 service weigeringen en 2 spoofing kwetsbaarheden. Daarnaast werden 4 Microsoft Edge fouten al op 7 maart aangepakt. Interessant is dat er deze maand geen zero-day kwetsbaarheden zijn verholpen.
Onder de noemenswaardige fouten valt een privilege escalatie in Microsoft Office, waardoor elke geauthenticeerde gebruiker SYSTEM-rechten kon verkrijgen, en een beveiligingsontduiking in Microsoft Defender, die nu via automatische updates van de Antimalware Platform is verholpen. Ook is een remote code execution kwetsbaarheid in Skype for Consumer aangepakt, die geactiveerd kon worden via een kwaadaardige link of afbeelding.
Naast Microsoft hebben ook andere bedrijven zoals AnyCubic, Apple, Cisco, Fortinet, Google, Intel, QNAP, SAP, en VMware belangrijke beveiligingsupdates uitgebracht. Deze maandelijkse updatecyclus benadrukt het continue belang van het tijdig toepassen van patches om systemen te beschermen tegen potentiële bedreigingen.
Deze software stelt gebruikers in staat om virtuele machines te creëren. De eerste kritieke kwetsbaarheid, geïdentificeerd als CVE-2024-21408, kan een denial of service (DoS) veroorzaken. Hoewel DoS-aanvallen meestal niet als kritiek worden beschouwd, is dat in dit geval wel zo, alhoewel Microsoft geen verdere details heeft vrijgegeven. De tweede kwetsbaarheid, aangeduid als CVE-2024-21407, stelt een geauthenticeerde aanvaller die toegang heeft tot een virtuele machine (VM) op de gastheer, in staat om code uit te voeren op de host-server zelf. Voor een succesvolle aanval moet de aanvaller specifieke informatie over de doelomgeving verzamelen en aanvullende stappen ondernemen. Desondanks beschouwt Microsoft het risico van misbruik van deze kwetsbaarheden als 'minder waarschijnlijk'. De overige beveiligingsproblemen die tijdens deze update zijn aangepakt, zijn van minder ernstige aard.
Tag | CVE ID | CVE Title | Ernst |
---|---|---|---|
.NET | CVE-2024-21392 | .NET and Visual Studio Denial of Service Vulnerability | Important |
Azure Data Studio | CVE-2024-26203 | Azure Data Studio Elevation of Privilege Vulnerability | Important |
Azure SDK | CVE-2024-21421 | Azure SDK Spoofing Vulnerability | Important |
Intel | CVE-2023-28746 | Intel: CVE-2023-28746 Register File Data Sampling (RFDS) | Important |
Microsoft Authenticator | CVE-2024-21390 | Microsoft Authenticator Elevation of Privilege Vulnerability | Important |
Microsoft Azure Kubernetes Service | CVE-2024-21400 | Microsoft Azure Kubernetes Service Confidential Container Elevation of Privilege Vulnerability | Important |
Microsoft Django Backend for SQL Server | CVE-2024-26164 | Microsoft Django Backend for SQL Server Remote Code Execution Vulnerability | Important |
Microsoft Dynamics | CVE-2024-21419 | Microsoft Dynamics 365 (on-premises) Cross-site Scripting Vulnerability | Important |
Microsoft Edge (Chromium-based) | CVE-2024-2174 | Chromium: CVE-2024-2174 Inappropriate implementation in V8 | Unknown |
Microsoft Edge (Chromium-based) | CVE-2024-2173 | Chromium: CVE-2024-2173 Out of bounds memory access in V8 | Unknown |
Microsoft Edge (Chromium-based) | CVE-2024-2176 | Chromium: CVE-2024-2176 Use after free in FedCM | Unknown |
Microsoft Edge for Android | CVE-2024-26167 | Microsoft Edge for Android Spoofing Vulnerability | Unknown |
Microsoft Exchange Server | CVE-2024-26198 | Microsoft Exchange Server Remote Code Execution Vulnerability | Important |
Microsoft Graphics Component | CVE-2024-21437 | Windows Graphics Component Elevation of Privilege Vulnerability | Important |
Microsoft Intune | CVE-2024-26201 | Microsoft Intune Linux Agent Elevation of Privilege Vulnerability | Important |
Microsoft Office | CVE-2024-26199 | Microsoft Office Elevation of Privilege Vulnerability | Important |
Microsoft Office SharePoint | CVE-2024-21426 | Microsoft SharePoint Server Remote Code Execution Vulnerability | Important |
Microsoft QUIC | CVE-2024-26190 | Microsoft QUIC Denial of Service Vulnerability | Important |
Microsoft Teams for Android | CVE-2024-21448 | Microsoft Teams for Android Information Disclosure Vulnerability | Important |
Microsoft WDAC ODBC Driver | CVE-2024-21451 | Microsoft ODBC Driver Remote Code Execution Vulnerability | Important |
Microsoft WDAC OLE DB provider for SQL | CVE-2024-21441 | Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability | Important |
Microsoft WDAC OLE DB provider for SQL | CVE-2024-26161 | Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability | Important |
Microsoft WDAC OLE DB provider for SQL | CVE-2024-26166 | Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability | Important |
Microsoft WDAC OLE DB provider for SQL | CVE-2024-21444 | Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability | Important |
Microsoft WDAC OLE DB provider for SQL | CVE-2024-21450 | Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability | Important |
Microsoft Windows SCSI Class System File | CVE-2024-21434 | Microsoft Windows SCSI Class System File Elevation of Privilege Vulnerability | Important |
Open Management Infrastructure | CVE-2024-21330 | Open Management Infrastructure (OMI) Elevation of Privilege Vulnerability | Important |
Open Management Infrastructure | CVE-2024-21334 | Open Management Infrastructure (OMI) Remote Code Execution Vulnerability | Important |
Outlook for Android | CVE-2024-26204 | Outlook for Android Information Disclosure Vulnerability | Important |
Role: Windows Hyper-V | CVE-2024-21407 | Windows Hyper-V Remote Code Execution Vulnerability | Critical❗️ |
Role: Windows Hyper-V | CVE-2024-21408 | Windows Hyper-V Denial of Service Vulnerability | Critical❗️ |
Skype for Consumer | CVE-2024-21411 | Skype for Consumer Remote Code Execution Vulnerability | Important |
Software for Open Networking in the Cloud (SONiC) | CVE-2024-21418 | Software for Open Networking in the Cloud (SONiC) Elevation of Privilege Vulnerability | Important |
Visual Studio Code | CVE-2024-26165 | Visual Studio Code Elevation of Privilege Vulnerability | Important |
Windows AllJoyn API | CVE-2024-21438 | Microsoft AllJoyn API Denial of Service Vulnerability | Important |
Windows Cloud Files Mini Filter Driver | CVE-2024-26160 | Windows Cloud Files Mini Filter Driver Information Disclosure Vulnerability | Important |
Windows Composite Image File System | CVE-2024-26170 | Windows Composite Image File System (CimFS) Elevation of Privilege Vulnerability | Important |
Windows Compressed Folder | CVE-2024-26185 | Windows Compressed Folder Tampering Vulnerability | Important |
Windows Defender | CVE-2024-20671 | Microsoft Defender Security Feature Bypass Vulnerability | Important |
Windows Error Reporting | CVE-2024-26169 | Windows Error Reporting Service Elevation of Privilege Vulnerability | Important |
Windows Hypervisor-Protected Code Integrity | CVE-2024-21431 | Hypervisor-Protected Code Integrity (HVCI) Security Feature Bypass Vulnerability | Important |
Windows Installer | CVE-2024-21436 | Windows Installer Elevation of Privilege Vulnerability | Important |
Windows Kerberos | CVE-2024-21427 | Windows Kerberos Security Feature Bypass Vulnerability | Important |
Windows Kernel | CVE-2024-26177 | Windows Kernel Information Disclosure Vulnerability | Important |
Windows Kernel | CVE-2024-26176 | Windows Kernel Elevation of Privilege Vulnerability | Important |
Windows Kernel | CVE-2024-26174 | Windows Kernel Information Disclosure Vulnerability | Important |
Windows Kernel | CVE-2024-26182 | Windows Kernel Elevation of Privilege Vulnerability | Important |
Windows Kernel | CVE-2024-26181 | Windows Kernel Denial of Service Vulnerability | Important |
Windows Kernel | CVE-2024-26178 | Windows Kernel Elevation of Privilege Vulnerability | Important |
Windows Kernel | CVE-2024-26173 | Windows Kernel Elevation of Privilege Vulnerability | Important |
Windows Kernel | CVE-2024-21443 | Windows Kernel Elevation of Privilege Vulnerability | Important |
Windows NTFS | CVE-2024-21446 | NTFS Elevation of Privilege Vulnerability | Important |
Windows ODBC Driver | CVE-2024-21440 | Microsoft ODBC Driver Remote Code Execution Vulnerability | Important |
Windows ODBC Driver | CVE-2024-26162 | Microsoft ODBC Driver Remote Code Execution Vulnerability | Important |
Windows ODBC Driver | CVE-2024-26159 | Microsoft ODBC Driver Remote Code Execution Vulnerability | Important |
Windows OLE | CVE-2024-21435 | Windows OLE Remote Code Execution Vulnerability | Important |
Windows Print Spooler Components | CVE-2024-21433 | Windows Print Spooler Elevation of Privilege Vulnerability | Important |
Windows Standards-Based Storage Management Service | CVE-2024-26197 | Windows Standards-Based Storage Management Service Denial of Service Vulnerability | Important |
Windows Telephony Server | CVE-2024-21439 | Windows Telephony Server Elevation of Privilege Vulnerability | Important |
Windows Update Stack | CVE-2024-21432 | Windows Update Stack Elevation of Privilege Vulnerability | Important |
Windows USB Hub Driver | CVE-2024-21429 | Windows USB Hub Driver Remote Code Execution Vulnerability | Important |
Windows USB Print Driver | CVE-2024-21442 | Windows USB Print Driver Elevation of Privilege Vulnerability | Important |
Windows USB Print Driver | CVE-2024-21445 | Windows USB Print Driver Elevation of Privilege Vulnerability | Important |
Windows USB Serial Driver | CVE-2024-21430 | Windows USB Attached SCSI (UAS) Protocol Remote Code Execution Vulnerability | Important |
Fortinet heeft een waarschuwing uitgebracht voor twee kritieke kwetsbaarheden binnen de captive portal functionaliteiten van zowel FortiOS als FortiProxy. Deze kwetsbaarheden, geïdentificeerd als CVE-2023-42789 en CVE-2023-42790, hebben een risicobeoordeling van 9.3 op een schaal van 1 tot 10 gekregen, wat wijst op een ernstig beveiligingsrisico. De gevonden lekken stellen een aanvaller in staat om willekeurige code en commando's uit te voeren op het getroffen systeem door specifiek geformuleerde HTTP-requests te versturen, wat kan leiden tot een out-of-bounds write of buffer overflow. FortiOS, het besturingssysteem van Fortinet, wordt gebruikt op diverse netwerkapparaten zoals firewalls en VPN-systemen. FortiProxy fungeert als een webgateway en beide systemen gebruiken een captive portal om gebruikers te authenticeren alvorens zij toegang krijgen tot webbronnen. Fortinet heeft reeds beveiligingsupdates vrijgegeven om deze kwetsbaarheden te verhelpen en raadt organisaties aan deze zo snel mogelijk te installeren. Daarnaast is er een workaround beschikbaar gesteld om misbruik van de lekken te voorkomen. Opmerkelijk is dat recent bleek dat 150.000 apparaten van Fortinet nog steeds een belangrijke beveiligingsupdate missen voor een ander actief aangevallen lek, wat het belang van snelle en effectieve patching onderstreept. [1]
In 2023 heeft Google $10 miljoen uitgekeerd aan 632 onderzoekers uit 68 landen voor het vinden en verantwoord melden van beveiligingsfouten in de producten en diensten van het bedrijf. Dit bedrag is iets lager dan de $12 miljoen die in 2022 werd uitbetaald, maar toont nog steeds een aanzienlijke betrokkenheid van de gemeenschap bij de beveiligingsinspanningen van Google. De hoogste beloning voor een enkel rapport was $113,337, waardoor het totale bedrag dat sinds de start van het programma in 2010 is uitgekeerd, op $59 miljoen komt. Het programma keerde meer dan $3,4 miljoen uit voor Android, het meest gebruikte mobiele besturingssysteem ter wereld, en verhoogde de maximale beloning voor kritieke kwetsbaarheden naar $15,000. Tijdens beveiligingsconferenties werden significante bedragen toegekend voor kritieke ontdekkingen in onder andere Wear OS en Android Automotive OS, en voor problemen in Nest, Fitbit en wearables. De Chrome-browser, een ander groot softwareproject van Google, was het onderwerp van 359 beveiligingsbugrapporten, met een totale uitbetaling van $2,1 miljoen. Google heeft ook de beloningen voor bugs in oudere versies van V8, Chrome's JavaScript-engine, verhoogd en introduceerde 'MiraclePtr' in Chrome M116 om bescherming te bieden tegen niet-renderer Use-After-Free (UAF) kwetsbaarheden. Naast de uitbetalingen werden in 2023 verschillende belangrijke ontwikkelingen en verbeteringen in het bug bounty programma doorgevoerd, zoals de introductie van het Bonus Awards programma, de uitbreiding van het exploit beloningsprogramma naar Chrome en Cloud, en de lancering van de Bughunters blog om inzichten en veiligheidsmaatregelen te delen. [1]
Onderzoekers hebben een kennisbank samengesteld gericht op aanvals- en verdedigingstechnieken die misconfiguraties in Microsoft's Configuration Manager (MCM), voorheen bekend als System Center Configuration Manager (SCCM, ConfigMgr), uitbuiten. Dit platform, sinds 1994 actief en een belangrijk onderdeel van vele Active Directory-omgevingen, blijkt kwetsbaar voor cyberaanvallen door onjuiste instellingen. De onderzoekers Chris Thompson en Duane Michael van SpecterOps presenteerden tijdens de SO-CON-beveiligingsconferentie de "Misconfiguration Manager", een repository met aanvalsmethoden gebaseerd op foutieve MCM-configuraties. Deze repository dient ook als hulpmiddel voor verdedigers om hun beveiliging te versterken. Veelvoorkomende misconfiguraties omvatten netwerktoegangsaccounts (NAA's) met te veel privileges, wat aanvallers de mogelijkheid geeft om domeincontrollers te worden of payloads uit te voeren. De Misconfiguration Manager bevat 22 technieken voor zowel aanval als verdediging, gericht op het verhogen van de beveiliging van MCM/SCCM-implementaties. Deze technieken variëren van toegang tot inloggegevens en verhoging van privileges tot het overnemen van de MCM/SCCM-hiërarchie. Verdedigingsacties zijn opgedeeld in preventie, detectie, en misleiding, waarbij wordt geadviseerd deze methoden eerst te testen voordat ze in een productieomgeving worden toegepast. [1, Github]
Een recent ontdekt beveiligingslek, geïdentificeerd als CVE-2024-21762, bedreigt wereldwijd ongeveer 150.000 Fortinet FortiOS en FortiProxy webgateway-systemen. Dit kritieke lek stelt aanvallers in staat om code uit te voeren zonder authenticatie, waardoor de veiligheid van getroffen apparaten ernstig in gevaar komt. De Amerikaanse Cyber Defense Agency CISA heeft bevestigd dat het lek actief wordt uitgebuit en heeft het toegevoegd aan zijn catalogus van bekende uitgebuite kwetsbaarheden. Bijna een maand na de adressering van het lek door Fortinet, vond The Shadowserver Foundation bijna 150.000 kwetsbare apparaten via scans. Deze scans controleren op kwetsbare versies, waardoor het werkelijke aantal getroffen apparaten mogelijk lager ligt als beheerders mitigaties hebben toegepast in plaats van te upgraden. De meeste kwetsbare apparaten bevinden zich in de Verenigde Staten, gevolgd door India, Brazilië en Canada. FortiOS, het besturingssysteem van Fortinet, biedt bescherming tegen een reeks cyberdreigingen, waaronder denial-of-service (DoS) aanvallen en intrusies, terwijl FortiProxy bescherming biedt tegen web- en DNS-gebaseerde bedreigingen. Ondanks de ernst van het lek en het actieve gebruik ervan door aanvallers, zijn details over de dreigingsactoren die CVE-2024-21762 actief uitbuiten beperkt. [1, 2]
QNAP, de Taiwanese fabrikant van Network Attached Storage (NAS) apparaten, heeft gebruikers gewaarschuwd voor drie kritieke kwetsbaarheden in zijn softwareproducten, waaronder QTS, QuTS hero, QuTScloud en myQNAPcloud. Deze kwetsbaarheden stellen aanvallers in staat om systemen te compromitteren door middel van authenticatie-omzeiling, commando-injectie en SQL-injectie. Bijzonder zorgwekkend is CVE-2024-21899, een fout in het authenticatieproces die het mogelijk maakt voor ongeautoriseerde gebruikers om zonder verificatie van afstand toegang te krijgen tot de systemen. Hoewel de andere twee kwetsbaarheden enige vorm van systeemtoegang vereisen om te worden uitgebuit, vermindert dit nauwelijks de urgentie voor gebruikers om hun systemen te updaten. QNAP heeft updates uitgebracht voor de betrokken besturingssystemen, waaronder verschillende versies van QTS en QuTS, alsook QuTScloud en myQNAPcloud, om deze beveiligingslekken aan te pakken. Gebruikers worden dringend geadviseerd om hun systemen bij te werken naar de nieuwste versies via de firmware-updatefunctie in het bedieningspaneel of de App Center voor myQNAPcloud. Het belang van deze updates wordt onderstreept door de waardevolle gegevens die vaak worden opgeslagen op NAS-apparaten, waaronder gevoelige persoonlijke informatie, intellectueel eigendom en bedrijfskritische data. Deze apparaten, die continu met het internet verbonden zijn en niet altijd nauwlettend worden gemonitord, vormen een aantrekkelijk doelwit voor cybercriminelen. Eerdere ransomware-aanvallen op QNAP-apparaten benadrukken de noodzaak voor eigenaren om hun software up-to-date te houden en, indien mogelijk, deze apparaten niet direct aan het internet bloot te stellen. [1]
Digitale sloten van de merken Kontrol en Elock zijn blootgesteld aan risico's door meerdere bluetooth-gerelateerde kwetsbaarheden. Deze sloten, die gebruikmaken van firmware en een bijbehorende app genaamd TTLock, ontwikkeld door Sciener, kunnen op afstand worden ontgrendeld door aanvallers. Onderzoek door Aleph Research heeft aangetoond dat de beveiliging van de firmware en de app tekortschiet, met name in het controleren van de authenticiteit van firmware-updates en de communicatie met het slot. Dit laatste maakt het mogelijk voor kwaadwillenden om de 'unlockKey value' te bemachtigen en sloten zonder toestemming te openen. Verder is ontdekt dat de AES key, gebruikt voor het pairen van sloten met draadloze keypads, niet uniek is en misbruikt kan worden om meerdere sloten te compromitteren. Aanvallers kunnen ook door bruteforce de unlockKey value achterhalen of het encryptieprotocol van de TTLock-app downgraden, waardoor sleutelwaarden onversleuteld verzonden worden. Ondanks deze ernstige beveiligingslekken is er vanuit de fabrikant geen update beschikbaar gesteld om deze kwetsbaarheden aan te pakken. Het uitschakelen van bepaalde bluetooth-functies wordt als enige tijdelijke oplossing genoemd, hoewel dit voor de meeste gebruikers geen haalbare kaart is gezien de afhankelijkheid van de TTLock-app voor het functioneren van de sloten.
Onderzoekers hebben aangetoond dat een Man-in-the-Middle (MiTM) phishing-aanval Tesla-accounts kan compromitteren, waardoor auto's ontgrendeld en gestart kunnen worden. Deze aanval richt zich op de nieuwste versie van de Tesla-app en de software van Tesla, waardoor kwaadwillenden een nieuwe 'Phone key' kunnen registreren om toegang te krijgen tot het voertuig. Tesla heeft aangegeven dat deze methode van koppelen als verwacht gedrag wordt beschouwd en ziet geen reden voor aanpassingen in hun systeem. De aanval maakt gebruik van een nagemaakte WiFi-netwerk, vaak met een naam die Tesla-eigenaren bekend voorkomt, zoals "Tesla Guest". Zodra een slachtoffer verbindt met dit netwerk, wordt een valse inlogpagina van Tesla gepresenteerd, waarbij inloggegevens en tweefactorauthenticatiecodes kunnen worden onderschept. Met deze informatie kan de aanvaller vervolgens een nieuwe 'Phone Key' aan het account toevoegen zonder dat de eigenaar hier een melding van krijgt. Hierdoor kan de auto ontgrendeld en gestart worden, waardoor de aanvaller er vandoor kan gaan met het voertuig. Ondanks de geavanceerde technologie van Tesla, benadrukken de onderzoekers een significant beveiligingslek bij het toevoegen van een nieuwe telefoonsleutel, iets wat gemakkelijk misbruikt kan worden door cybercriminelen. [1]
Een recent ontdekt beveiligingsprobleem in Thunderbird, de veelgebruikte e-mailclient, zorgde ervoor dat onderwerpen van versleutelde e-mails in andere, willekeurige berichten konden lekken. Dit probleem, aangeduid met CVE-2024-1936, werd veroorzaakt door een fout in de lokale cache van Thunderbird, waardoor het onderwerp van een versleutelde e-mail aan een verkeerd bericht werd toegekend. Als een gebruiker reageerde op zo'n 'besmet' bericht, kon het onderwerp van de oorspronkelijk versleutelde e-mail onbedoeld bij derden belanden. In reactie hierop hebben de ontwikkelaars van Thunderbird een update uitgebracht, versie 115.8.1, die dit lek dicht. Echter, voor reeds aangetaste e-mails blijft handmatig ingrijpen noodzakelijk. Gebruikers worden aangemoedigd om de 'Repair Folder' functionaliteit te gebruiken om de integriteit van hun e-mailmappen te herstellen en zo onjuist toegekende onderwerpen te verwijderen. Deze optie is te vinden in de eigenschappen van elke e-mailmap binnen Thunderbird. [1]
VMware heeft een waarschuwing uitgegeven voor een ernstige kwetsbaarheid die aanvallers de mogelijkheid biedt om vanuit een virtuele machine (VM) code uit te voeren op het onderliggende hostsysteem. Het beveiligingsprobleem, geïdentificeerd als CVE-2024-22252, is gelokaliseerd in de XHCI USB-controller gebruikt door VMware ESXi, VMware Workstation, en VMware Fusion. Voor het succesvol exploiteren van deze kwetsbaarheid moeten aanvallers beheerdersrechten bezitten binnen de VM. Zij kunnen vervolgens code op de host uitvoeren, wat bijzonder zorgwekkend is voor gebruikers van VMware Workstation en VMware Fusion; ESXi-gebruikers zijn enigszins beschermd door een VMX-sandbox die misbruik bemoeilijkt. De impact van deze kwetsbaarheid is significant, met een risicoscore van 9.3 op een schaal van 10, terwijl de impact op ESXi iets lager is beoordeeld met een score van 8.4. VMware heeft reeds updates vrijgegeven om deze kwetsbaarheid te verhelpen. Als tijdelijke oplossing wordt het verwijderen van de USB-controller uit de VM's gesuggereerd, hoewel dit niet praktisch is op grotere schaal. Het probleem werd door meerdere onderzoekers aan VMware gerapporteerd, wat de urgentie en het belang van een snelle mitigatie onderstreept. [1]
Apple heeft twee zero-day kwetsbaarheden in iOS aangepakt met noodbeveiligingsupdates na ontdekking dat deze werden misbruikt in aanvallen op iPhones. De kwetsbaarheden bevonden zich in de iOS Kernel (CVE-2024-23225) en RTKit (CVE-2024-23296), waardoor aanvallers kernelgeheugenbeschermingen konden omzeilen met willekeurige lees- en schrijfmogelijkheden. Deze beveiligingslekken zijn verholpen voor apparaten die draaien op iOS 17.4, iPadOS 17.4, iOS 16.76, en iPad 16.7.6 door verbeterde invoervalidatie. Getroffen apparaten omvatten een breed scala aan iPhone- en iPad-modellen. Hoewel Apple niet heeft gespecificeerd wie de zero-days heeft onthuld of of ze intern zijn ontdekt, zijn dergelijke kwetsbaarheden vaak doelwitten van staatsgesponsorde spionagesoftware tegen personen met een hoog risico, zoals journalisten en politieke dissidenten. Het advies is om de beveiligingsupdates onmiddellijk te installeren om potentiële aanvallen af te weren. Tot dusver heeft Apple in 2024 drie zero-days aangepakt, na een totaal van twintig in het voorgaande jaar, wat de voortdurende bedreiging van dergelijke exploitaties benadrukt. [1]
Google heeft recent beveiligingsupdates uitgebracht om een aantal kritieke kwetsbaarheden in Android-telefoons aan te pakken, die het mogelijk maakten voor aanvallers om deze apparaten op afstand over te nemen. In de maart-patchronde zijn in totaal 34 kwetsbaarheden verholpen, waarvan de gevaarlijkste is aangeduid als CVE-2024-0039. Dit specifieke lek, aanwezig in Android 12, 12L, 13 en 14, bevond zich in de bluetooth-stack van het systeem, waardoor een aanvaller op afstand code kon uitvoeren zonder enige rechten. Een andere noemenswaardige kwetsbaarheid, CVE-2024-23717, stelde een aanvaller in staat zijn rechten op het apparaat te verhogen, wat normaal niet als kritiek wordt beschouwd, maar in dit geval wel. Google heeft fabrikanten van Androidtoestellen minstens een maand voor het uitbrengen van de patches geïnformeerd, zodat zij tijd hadden om hun updates te ontwikkelen. Echter, niet alle apparaten zullen deze belangrijke updates ontvangen, afhankelijk van de ondersteuning door de fabrikant en het uitrolschema van updates. [1]
Softwareontwikkelaar JetBrains heeft organisaties gewaarschuwd voor twee kritieke kwetsbaarheden in TeamCity-servers, die ongeauthenticeerde aanvallers in staat kunnen stellen om van op afstand controle over de servers te verkrijgen. Door deze lekken kunnen aanvallers de authenticatie omzeilen en beheerderstoegang verkrijgen. Dit risico wordt verhoogd door de eerdere exploitatie van soortgelijke kwetsbaarheden door onder andere de Russische geheime dienst. TeamCity, gebruikt door meer dan dertigduizend klanten wereldwijd, speelt een cruciale rol in softwareontwikkelingsprocessen, waaronder compileren, builden, testen en uitbrengen van software. JetBrains heeft de lekken in de cloudversie van TeamCity reeds aangepakt en meldt geen tekenen van misbruik op de cloudservers. Voor organisaties die hun servers niet direct kunnen updaten, wordt aangeraden deze offline te halen indien ze vanaf het internet toegankelijk zijn. De kwetsbaarheden, geïdentificeerd als CVE-2024-27198 en CVE-2024-27199, zijn ontdekt door securitybedrijf Rapid7, met een belofte van verdere details in de nabije toekomst. [1]
In februari heeft Microsoft een ernstige kwetsbaarheid in de Windows Kernel aangepakt, die zes maanden lang als een zero-day werd uitgebuit. Deze kwetsbaarheid, geïdentificeerd als CVE-2024-21338, werd ontdekt in de appid.sys Windows AppLocker driver door Jan Vojtěšek, een senior malware-onderzoeker bij Avast, en betreft meerdere versies van Windows 10 en Windows 11, evenals Windows Server 2019 en 2022. Aanvallers konden door deze kwetsbaarheid SYSTEM-rechten verkrijgen zonder complexe aanvalstechnieken of gebruikersinteractie. De Noord-Koreaanse hackersgroep Lazarus heeft deze kwetsbaarheid vanaf augustus 2023 uitgebuit om kernelniveau-toegang te krijgen en beveiligingstools uit te schakelen. Dit stelde hen in staat om detectie te ontwijken door geen gebruik te maken van de gemakkelijker te detecteren BYOVD-technieken. Met de exploitatie van deze kwetsbaarheid konden ze beveiligingssoftware verstoren, sporen van infectie verbergen en beveiligingsmaatregelen uitschakelen. De update van Microsoft in februari, die de kwetsbaarheid aanpakte, komt nadat Avast aanvullende aanvallen met een nieuwe versie van het FudModule-rootkit en een onbekende remote access trojan (RAT) door Lazarus had ontdekt. Windows-gebruikers wordt dringend geadviseerd de Patch Tuesday-updates van februari 2024 te installeren om zich tegen deze aanvallen te beschermen. [1, 2, 3]
De U.S. Cybersecurity and Infrastructure Security Agency (CISA) heeft een waarschuwing uitgebracht over gehackte Ivanti-apparaten die, zelfs na een fabrieksreset, kwetsbaar blijven voor aanvallers. Deze aanvallers hebben de mogelijkheid om root-toegang te behouden door gebruik te maken van verschillende ernstige kwetsbaarheden, waardoor ze onopgemerkt kunnen blijven voor Ivanti's Integrity Checker Tool (ICT). Deze kwetsbaarheden, variërend van hoge tot kritieke ernst, stellen aanvallers in staat tot authenticatie-omzeiling, commando-injectie, server-side-request vervalsing, en uitvoering van willekeurige commando's. Uit onderzoek van CISA blijkt dat de ICT van Ivanti niet in staat is om dergelijke compromissen te detecteren, wat een vals gevoel van veiligheid geeft. Zelfs na uitgebreide forensische analyse, waarbij aanvallers hun sporen uitwisten, bevestigde CISA dat aanvullende maatregelen nodig zijn om de compromissen effectief te detecteren. Ondanks de verzekeringen van Ivanti, dringt CISA er bij klanten op aan het aanzienlijke risico te overwegen van voortdurende toegang en persistentie van aanvallers op Ivanti Connect Secure en Ivanti Policy Secure gateways. Dit advies volgt op eerdere maatregelen waarbij federale agentschappen verplicht werden om Ivanti VPN-apparaten binnen 48 uur te ontkoppelen en opnieuw op te bouwen met gepatchte softwareversies, naast andere strenge veiligheidsprocedures. [1]
GitHub heeft push-beveiliging standaard geactiveerd voor alle openbare repositories om het per ongeluk lekken van gevoelige informatie, zoals toegangstokens en API-sleutels, te voorkomen bij het uploaden van nieuwe code. Deze maatregel volgt op de introductie van de push-beveiliging in bèta bijna twee jaar geleden, in april 2022, als een eenvoudige manier om automatisch lekken van gevoelige informatie te voorkomen. Vanaf mei 2023 werd de functie algemeen beschikbaar gesteld voor alle openbare repositories. De push-beveiliging werktproactief door te scannen op geheimen voordat 'git push'-bewerkingen worden geaccepteerd en de commits te blokkeren als er een geheim wordt gedetecteerd. GitHub's geheimenscanning voorkomt automatisch dat geheimen lekken door meer dan 200 tokensoorten en patronen van meer dan 180 dienstverleners te herkennen. Ondanks dat push-beveiliging nu standaard is ingeschakeld, kunnen GitHub-gebruikers nog steeds de automatische commitblokkade omzeilen. Dit wordt echter niet aanbevolen en gebruikers kunnen de push-beveiliging volledig deactiveren in hun beveiligingsinstellingen. Organisaties met het GitHub Enterprise-plan hebben toegang tot GitHub Advanced Security, dat gevoelige informatie binnen privérepositories beschermt en andere geheime scans en statische applicatiebeveiligingscapaciteiten biedt. Volgens GitHub's Eric Tooley en Courtney Claessens riskeren onbedoelde lekken van API-sleutels, tokens en andere geheimen veiligheidsinbreuken, reputatieschade en juridische aansprakelijkheid op een verbijsterende schaal. In de eerste acht weken van 2024 detecteerde GitHub al meer dan 1 miljoen gelekte geheimen op openbare repositories, wat neerkomt op meer dan een dozijn onbedoelde lekken per minuut. [1, 2]
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
7 mrt. 2024
EN: Click here and choose your language using Google's translation bar at the top of this page ↑
2 feb. 2024
EN: Click here and choose your language using Google's translation bar at the top of this page ↑
4 jan. 2024
EN: Click here and choose your language using Google's translation bar at the top of this page ↑