Kwetsbaarheden CVE's

2024 | 2023 | 2022 | 2021

april | maart | februari | januari

Kwetsbaarheden nieuws

Deze pagina wordt voortdurend bijgewerkt. Laatste update: 16-april-2024

Kritieke kwetsbaarheid in PuTTY bedreigt private keys

Een ernstige kwetsbaarheid in de veelgebruikte ssh-client PuTTY stelt aanvallers in staat om 521-bit ECDSA private keys te stelen. Deze specifieke sleutels worden gebruikt in versies 0.68 tot 0.80 van het programma. Met de release van versie 0.81 is dit probleem verholpen. De kwetsbaarheid, geïdentificeerd als CVE-2024-31497, maakt het mogelijk voor aanvallers om private keys te achterhalen door gebruik te maken van publieke sleutels en een aantal door de gebruiker gesigneerde berichten. Als deze sleutels niet ingetrokken worden, kunnen aanvallers zich voordoen als de legitieme sleutelhouder en toegang krijgen tot beveiligde systemen. Gebruikers van getroffen versies worden dringend geadviseerd hun huidige sleutelparen in te trekken en te vervangen, en hun oude publieke sleutels te verwijderen uit alle geautoriseerde sleutelbestanden op ssh-servers. Dit lek is niet afhankelijk van de manier waarop de sleutel is gegenereerd, maar of deze gebruikt is met PuTTY of Pageant. Alleen 521-bit ECDSA sleutels zijn kwetsbaar; andere formaten en algoritmes zijn veilig.

Kritieke Zero-Day Kwetsbaarheid in Palo Alto Firewalls Gepatcht

Palo Alto Networks heeft recentelijk hotfixes uitgebracht voor een zero-day kwetsbaarheid, die actief werd misbruikt sinds 26 maart om PAN-OS firewalls te manipuleren. Deze kwetsbaarheid, aangeduid als CVE-2024-3400, treft PAN-OS versies 10.2, 11.0 en 11.1 waarbij zowel de device telemetry als GlobalProtect (gateway of portal) geactiveerd zijn. Aanvallers konden deze fout benutten om zonder authenticatie en zonder gebruikersinteractie root toegang te verkrijgen door middel van command injection. Het bedrijf was op de hoogte van een beperkt aantal aanvallen die deze kwetsbaarheid uitbuiten en heeft inmiddels de kwetsbaarheid verholpen in de nieuwste hotfix releases. Extra patches voor latere versies van PAN-OS worden binnenkort verwacht. Beheerders die nog wachten op een hotfix kunnen de device telemetry functie uitschakelen of 'Threat ID 95187' activeren voor extra bescherming. De kwetsbaarheid heeft geen invloed op Cloud NGFW, Panorama apparaten en Prisma Access. Beveiligingsfirma Volexity heeft bevestigd dat kwaadwillenden deze fout gebruiken om netwerken te infiltreren en data te stelen, vermoedelijk door staatsgesteunde actoren. Daarnaast heeft het Cybersecurity and Infrastructure Security Agency (CISA) deze kwetsbaarheid toegevoegd aan hun catalogus van bekende uitgebuite kwetsbaarheden, waarbij federale instanties verplicht zijn om de beveiliging binnen een week te versterken. 

D-Link raadt vervanging van verouderde NAS-apparaten aan wegens veiligheidsrisico's

D-Link heeft zijn klanten aangeraden om NAS-apparaten die de end-of-life of end-of-service status hebben bereikt, te vervangen. Deze aanbeveling komt nadat ernstige kwetsbaarheden zijn ontdekt in verschillende modellen, zoals de DNS-340L, DNS-320L, DNS-327L, en DNS-325. Deze kwetsbaarheden stellen aanvallers in staat om commando-injectie en commando backdoor aanvallen uit te voeren, waardoor zij toegang kunnen krijgen tot gevoelige gegevens of zelfs de systeemconfiguratie van de apparaten kunnen wijzigen. Er worden geen beveiligingsupdates meer uitgebracht voor deze verouderde apparaten, waardoor ze een significant risico vormen. Volgens een rapport van VulDB, dat eind maart aan D-Link werd gemeld, betreffen de kritieke kwetsbaarheden de codes CVE-2024-3272 en CVE-2024-3273. Het bedrijf heeft een lijst gepubliceerd met daarop de twintig getroffen modellen. Naar schatting zijn ongeveer 92.000 van deze NAS-apparaten nog in gebruik. D-Link adviseert gebruikers dringend om de betreffende apparaten niet meer te gebruiken en te zoeken naar veiligere alternatieven. [dlink]

Beveiligingsfout in Telegram Windows-app laat Python-scripts ongemerkt draaien

Telegram heeft een kritieke beveiligingsfout in hun Windows-desktopapplicatie verholpen, waarbij een typfout in de broncode het mogelijk maakte voor Python-scripts om beveiligingswaarschuwingen te omzeilen en automatisch te starten. Dit kwam aan het licht nadat er geruchten en demonstratievideo's op internet verschenen waarin getoond werd hoe door het klikken op mediabestanden een rekenmachine-applicatie werd gestart. Hoewel oorspronkelijk ontkend door Telegram, werd de fout bevestigd toen een proof-of-concept exploit op het XSS-hackingforum werd gedeeld. Hierbij werd een Python-bestand, vermomd als video, naar gebruikers gestuurd die bij het klikken het script ongemerkt lieten draaien. Telegram heeft snel gereageerd met een server-side oplossing om dergelijke Python-scripts niet automatisch te laten starten. Dit werd bereikt door het toevoegen van de '.untrusted' extensie aan de bestanden, wat een extra beveiligingslaag toevoegt door Windows te laten vragen welk programma het bestand moet openen. De ontwikkelaars van Telegram hebben de lijst met risicovolle bestandsextensies bijgewerkt om herhaling te voorkomen. Telegram benadrukt dat dit probleem slechts een zeer kleine fractie van de gebruikers kon beïnvloeden, aangezien het Python interpreter geïnstalleerd moet zijn om het script uit te kunnen voeren.

⚠️ Kritieke Kwetsbaarheid in Palo Alto PAN-OS Vraagt om Directe Aandacht

Palo Alto Networks heeft een kritieke kwetsbaarheid geïdentificeerd in hun PAN-OS software, die draait op hun next-generation firewalls. Deze specifieke kwetsbaarheid, met referentie CVE-2024-3400, treft versies 10.2, 11.0 en 11.1 van PAN-OS waarbij zowel de GlobalProtect Gateway als Device Telemetry actief zijn. Deze kwetsbaarheid is als hoog risico geclassificeerd, wat betekent dat de kans op misbruik groot is en de potentiële schade aanzienlijk kan zijn. Tot op heden is deze kwetsbaarheid beperkt en gericht misbruikt. Deze kwetsbaarheid stelt een aanvaller in staat om via command-injection willekeurige code uit te voeren op de getroffen systemen. Momenteel is er geen Proof-of-Concept of exploitcode beschikbaar. Er is nog geen beveiligingsupdate vrijgegeven om dit probleem aan te pakken; deze wordt verwacht op 14 april. In de tussentijd zijn er preventieve maatregelen voorgesteld om het risico van misbruik te minimaliseren. Gebruikers van de PAN-OS-software wordt geadviseerd om deze mitigerende stappen direct te implementeren. Voor abonnees van de ‘Threat Prevention Subscription’ is het aanbevolen om Threat ID 95187 actief te hebben om aanvallen te blokkeren. Gebruikers zonder dit abonnement kunnen het beste 'Device Telemetry' tijdelijk uitschakelen tot de update wordt doorgevoerd. Het is cruciaal om de update zo spoedig mogelijk te installeren zodra deze beschikbaar is. [dtc, ncsc, paloaltonetworks]

Zes jaar oude beveiligingslek in Lighttpd treft Intel en Lenovo servers

Een bijna zes jaar oud beveiligingslek in de Lighttpd-webserver, gebruikt in Baseboard Management Controllers (BMC) van servers, is door diverse apparaatfabrikanten over het hoofd gezien, waaronder Intel en Lenovo. Dit lek maakt het mogelijk voor aanvallers om geheugenadressen van processen te onderscheppen, wat hen kan helpen om beveiligingsmechanismen zoals Address Space Layout Randomization (ASLR) te omzeilen. Ondanks dat de kwetsbaarheid al in augustus 2018 werd opgelost, werd deze stilzwijgend gepatcht zonder een CVE-tracking ID toe te wijzen, waardoor de ontwikkelaars van AMI MegaRAC BMC de reparatie misten. Dit probleem sijpelde vervolgens door naar de systemen van de leveranciers en hun klanten, waardoor een groot aantal apparaten tussen 2019 en 2023 kwetsbaar bleven voor deze op afstand uitbuitbare bug. Onderzoek van het firmwarebeveiligingsbedrijf Binarly toont aan dat duizenden apparaten in het veld getroffen zijn, waaronder modellen van Intel en Lenovo die reeds het einde van hun levensduur hebben bereikt en niet langer beveiligingsupdates ontvangen. Dit incident belicht de lacunes in de firmware-toeleveringsketen en het gebrek aan transparantie van de onderhouders van Lighttpd, wat heeft bijgedragen aan het probleem.### Titel: Zes jaar oude kwetsbaarheid in Lighttpd-webserver treft Intel- en Lenovo-servers Bijna zes jaar na dato blijkt een kwetsbaarheid in de Lighttpd-webserver, gebruikt in Baseboard Management Controllers (BMC's), over het hoofd te zijn gezien door diverse apparaatfabrikanten, waaronder Intel en Lenovo. Deze kwetsbaarheid maakt het mogelijk voor aanvallers om procesgeheugenadressen te ontfutselen, wat kan leiden tot het omzeilen van beveiligingsmechanismen zoals Address Space Layout Randomization (ASLR). Lighttpd staat bekend als een lichtgewicht, snelle en efficiënte webserver, ideaal voor websites met veel verkeer. De kwetsbaarheid, ontdekt door beveiligingsonderzoekers van Binarly, betreft een op afstand uit te buiten heap out-of-bounds (OOB) leesfout veroorzaakt door de verwerking van "opgevouwen" HTTP-verzoekheaders in de Lighttpd-webserver. Hoewel de kwetsbaarheid in augustus 2018 was opgelost, werd de patch stilzwijgend doorgevoerd in versie 1.4.51 van Lighttpd, zonder een CVE-tracking-ID toe te wijzen. Hierdoor misten de ontwikkelaars van AMI MegaRAC BMC de fix, waardoor de kwetsbaarheid kon doorsijpelen naar systeemfabrikanten en hun klanten. BMC's, cruciaal voor het beheer op afstand van servers, inclusief die in datacenters en cloudomgevingen, bleven hierdoor jarenlang kwetsbaar. Ondanks dat de kwetsbaarheid bekend was bij Binarly, en de betrokkenheid van grote namen als Intel en Lenovo, zijn er volgens het bedrijf nog altijd duizenden apparaten in gebruik die risico lopen. Beide fabrikanten hebben aangegeven dat de getroffen modellen het einde van hun levensduur hebben bereikt en niet meer voorzien worden van beveiligingsupdates, waardoor ze kwetsbaar blijven tot ze uit bedrijf worden genomen. Dit incident benadrukt de risico's van lacunes in de beveiliging van de toeleveringsketen van firmware en de noodzaak van transparantie en tijdige updates om dergelijke kwetsbaarheden te verhelpen. [binarly]

Massale Kwetsbaarheid bij D-Link NAS-Systemen

Duizenden NAS-systemen van D-Link, die vanaf internet toegankelijk zijn, zijn kwetsbaar voor cyberaanvallen en worden niet meer bijgewerkt omdat ze end-of-life zijn. Oorspronkelijk meldde D-Link dat vier modellen risico liepen, maar recente updates tonen aan dat het om twintig modellen gaat. De kwetsbaarheden omvatten command injection en een backdoor-account, die aanvallers kunnen exploiteren. Volgens het beveiligingsbedrijf Censys zijn er 3700 van deze kwetsbare systemen online, waarvan meer dan 350 met ingeschakelde remote access en bijna tweehonderd met VoIP-functionaliteit. Deze systemen zijn voornamelijk te vinden in de VS, Rusland, Italië, Duitsland en Frankrijk. Zowel D-Link als de Amerikaanse overheid adviseren gebruikers hun apparaten te vervangen door nieuwere modellen om verdere risico's te vermijden. [censys, dlink]

Microsoft gaat kwetsbaarheden in producten duiden met CWE-standaard

Microsoft heeft aangekondigd dat het de oorzaken van kwetsbaarheden in zijn producten zal gaan beschrijven aan de hand van de Common Weakness Enumeration (CWE)-standaard. Dit systeem classificeert en beschrijft de onderliggende oorzaken van software- en hardwarekwetsbaarheden, zoals onjuiste invoervalidatie, het gebruik van hard-coded credentials, of fouten in authenticatiemechanismen. Het doel van deze aanpak is om meer inzichtelijke discussies binnen beveiligingsbulletins te bevorderen. Hierdoor kunnen kwetsbaarheden beter begrepen, aangepakt en voorkomen worden in zowel bestaande als toekomstige producten. Microsofts Lisa Olson benadrukt dat het precies benoemen van kwetsbaarheden essentieel is voor het systematisch aanpakken ervan. Door deze stap hoopt Microsoft ook andere bedrijven binnen de sector te inspireren om dezelfde methodiek toe te passen, wat uiteindelijk moet leiden tot een veiligere digitale omgeving voor iedereen. [cwe.mitre.org]

Microsoft Dicht Twee Actief Benutte Zero-Day Kwetsbaarheden in Windows

Microsoft heeft in april 2024 tijdens de maandelijkse Patch Tuesday twee zero-day kwetsbaarheden in Windows aangepakt die actief werden uitgebuit, hoewel deze aanvankelijk niet als zodanig waren gemarkeerd. De eerste kwetsbaarheid, met kenmerk CVE-2024-26234, betreft een nabootsing van een proxy driver en werd ontdekt door Sophos X-Ops in december 2023. Deze kwaadaardige driver was getekend met een geldig Microsoft Hardware Publisher Certificate en deed zich voor als de 'Catalog Authentication Client Service' van 'Catalog Thales', een waarschijnlijke imitatie van Thales Group. Verder onderzoek linkte het aan LaiXi Android Screen Mirroring software, die als achterdeur functioneerde. De tweede kwetsbaarheid, getagged als CVE-2024-29988, werd stilletjes gepatcht en betreft een omzeiling van de SmartScreen prompt-beveiligingsfunctie door een zwakke beschermingsmechanisme. Deze exploit is een vervolg op een eerder ontdekte kwetsbaarheid CVE-2024-21412, en werd misbruikt door de financieel gemotiveerde hackinggroep Water Hydra om malware te verspreiden via gerichte aanvallen. Beide kwetsbaarheden zijn nu bevestigd als uitgebuit in het wild en openbaar bekendgemaakt. Microsoft heeft tevens beveiligingsupdates uitgebracht voor 150 andere kwetsbaarheden, waaronder 67 die remote code execution mogelijk maken. [sophos, zerodayinitiative]

⚠️ Kritieke Kwetsbaarheid in Rust Maakt Commando-injectieaanvallen op Windows Mogelijk

Een ernstige kwetsbaarheid in de Rust standaardbibliotheek stelt cybercriminelen in staat commando-injectieaanvallen op Windows-systemen uit te voeren. Deze kwetsbaarheid, aangeduid als CVE-2024-24576, ontstaat door zwakheden in het injecteren van OS-commando's en argumenten, waardoor aanvallers onverwachte en potentieel kwaadaardige commando's kunnen uitvoeren. GitHub heeft deze kwetsbaarheid als kritiek beoordeeld met een maximale CVSS-score van 10/10. De Rust Security Response werkgroep ontdekte dat de standaardbibliotheek niet correct argumenten ontsnapte bij het aanroepen van batchbestanden met de extensies .bat en .cmd op Windows via de Command API. Aanvallers die de controle over de argumenten kunnen krijgen, kunnen willekeurige shell-commando's uitvoeren door de ontsnappingsmechanismen te omzeilen. Dit risico is vooral kritiek bij het aanroepen van batchbestanden met niet-vertrouwde argumenten. Het probleem treft alle versies van Rust voor 1.77.2 op Windows. Als gevolg hiervan heeft het Rust-beveiligingsteam de robuustheid van de ontsnappingscode moeten verbeteren en aanpassingen moeten maken in de Command API. Als het veilig ontsnappen van een argument niet mogelijk is, geeft de API nu een InvalidInput-fout terug. Het Rust-team biedt ook een alternatief met de CommandExt::raw_arg methode voor gebruikers die zelf de ontsnappingslogica implementeren of alleen vertrouwde input hanteren. [cwe78, cwe88, nvd]

❗️ Microsoft's Patch Tuesday April 2024: Belangrijke Beveiligingsupdates

In de meest recente Patch Tuesday van Microsoft, uitgebracht in april 2024, zijn maar liefst 150 beveiligingsproblemen aangepakt. Hieronder vallen 67 gevallen van mogelijke remote code executions (RCE), waarvan meer dan de helft gekoppeld is aan kwetsbaarheden in Microsoft SQL-drivers. Drie van de opgeloste kwetsbaarheden zijn geclassificeerd als kritiek. Er zijn tevens 26 problemen met Secure Boot bypasses verholpen, inclusief twee specifieke gevallen van Lenovo. Bovendien heeft Microsoft twee zero-day kwetsbaarheden hersteld die actief werden uitgebuit in malware-aanvallen. Een van deze, een spoofing-kwetsbaarheid in een proxy driver, was onterecht niet gemarkeerd als actief uitgebuit bij de initiële uitgave. De andere belangrijke patch betreft een omzeiling van de beveiligingsfunctie van SmartScreen, die door cybercriminelen gebruikt werd om schadelijke software te verspreiden via financieel getinte phishing-aanvallen. Deze updates benadrukken het voortdurende belang van regelmatige beveiligingscontroles en updates om de veiligheid van systemen en gegevens te waarborgen tegen steeds veranderende cyberdreigingen.

⚠️ Fortinet waarschuwt voor lek in FortiOS en FortiProxy waardoor administrator-cookies gestolen kunnen worden

Netwerkfabrikant Fortinet heeft gewaarschuwd voor een kwetsbaarheid in FortiOS en FortiProxy, waardoor aanvallers de cookies van administrators kunnen stelen. FortiOS is het besturingssysteem van Fortinet dat op verschillende netwerkapparaten draait, terwijl FortiProxy een webgateway is. Het beveiligingslek, geclassificeerd als CVE-2023-41677, wordt beschreven als een 'insufficiently protected credentials' kwetsbaarheid. Om de cookies te stelen, moet een aanvaller een administrator eerst een kwaadaardige website laten bezoeken via de vpn. Met de gestolen cookies kan de aanvaller ongeautoriseerde code of commando's op het systeem uitvoeren. De ernst van de kwetsbaarheid wordt beoordeeld met een score van 7.5 op een schaal van 1 tot en met 10. Fortinet heeft updates uitgebracht om het probleem te verhelpen.

Kritieke Beveiligingslekken Bedreigen Duizenden WordPress-sites

Duizenden WordPress-websites die de MasterStudy plug-in gebruiken, lopen het risico overgenomen te worden door cybercriminelen vanwege ernstige beveiligingslekken. De plug-in, die websites transformeert in een 'learning management system', is geïnstalleerd op meer dan tienduizend websites, veelal gebruikt door e-learning professionals zoals online coaches en trainers. De eerste ontdekte kwetsbaarheid stelt een niet-geauthenticeerde gebruiker in staat om beheerdersrechten te verkrijgen door gebruikersmetadata tijdens registratie aan te passen. Twee andere lekken laten een aanvaller toe om PHP-bestanden te uploaden, waardoor zij willekeurige code kunnen uitvoeren op de server. Deze lekken zijn zeer ernstig en zijn door experts beoordeeld met een 9.8 op een schaal van 10. Ondanks dat er al beveiligingsupdates beschikbaar zijn gemaakt, hebben vele sites deze nog niet geïnstalleerd, wat hen kwetsbaar maakt voor aanvallen. Wordfence heeft de kwetsbaarheden ontdekt en de updates uitgebracht om de problemen te verhelpen. Gebruikers van de plug-in worden dringend geadviseerd om hun systemen zo snel mogelijk bij te werken om risico's te verminderen. [wordfence, wordpress]

Nieuwe SharePoint-kwetsbaarheden faciliteren ongemerkte datadiefstal

Onderzoekers van Varonis Threat Labs hebben twee technieken ontdekt die aanvallers in staat stellen om controlemechanismen in Microsoft SharePoint te omzeilen, waardoor ze onopgemerkt bestanden kunnen stelen. SharePoint wordt veel gebruikt voor documentbeheer en samenwerking binnen bedrijven, waarbij gevoelige gegevens vaak worden geaudit om verdachte activiteiten te signaleren. De eerste methode maakt misbruik van de functie "Open in App", waarmee documenten met applicaties zoals Microsoft Word kunnen worden geopend, in plaats van via de webbrowser. Dit registreert geen "FileDownloaded" gebeurtenis in de auditlogs, maar slechts een "Access"-gebeurtenis, die gemakkelijker over het hoofd wordt gezien door beheerders. De tweede methode behelst het vervalsen van de User-Agent string van de toegangsverzoeken, om te doen alsof de bestandsdownloads normale synchronisatieactiviteiten zijn tussen SharePoint en de lokale computer van een gebruiker. Dit resulteert in logs die minder snel worden gecontroleerd op onregelmatigheden. Microsoft is op de hoogte gesteld van deze kwetsbaarheden en heeft ze toegevoegd aan een lijst voor toekomstige patches, hoewel ze momenteel als matig ernstig zijn geclassificeerd en niet direct worden opgelost. Tot die tijd is het belangrijk dat SharePoint-beheerders zich bewust zijn van deze technieken en passende maatregelen nemen om ongeautoriseerde datatoegang te identificeren en te voorkomen. [varonis]

Kwetsbaarheden in LG Smart TV's blootgesteld aan mogelijke externe aanvallen

Beveiligingsonderzoekers van Bitdefender hebben vier kwetsbaarheden ontdekt in meerdere versies van WebOS, het besturingssysteem van LG smart TV's. Deze kwetsbaarheden stellen hackers in staat om verschillende niveaus van ongeautoriseerde toegang en controle te verkrijgen over de getroffen modellen. De problemen variëren van autorisatie-omzeilingen, privilege-escalatie tot commando-injecties. Aanvallers kunnen door misbruik van een variabele instelling extra gebruikers toevoegen zonder passende autorisatie en zelfs roottoegang verkrijgen na initiële ongeautoriseerde toegang. Verder kunnen aanvallers besturingssysteemcommando's injecteren via een bibliotheek die muziekteksten weergeeft, waardoor willekeurige commando's uitgevoerd kunnen worden. Een specifieke API stelt geauthenticeerde commando-injecties mogelijk, wat de uitvoering van commando's als een gebruiker met root-achtige rechten mogelijk maakt. De kwetsbaarheden beïnvloeden verschillende versies van WebOS, variërend over meerdere TV-modellen. Ondanks dat LG op de hoogte werd gebracht, duurde het enige tijd voordat beveiligingsupdates beschikbaar werden gesteld. Gebruikers worden aangeraden updates niet uit te stellen en automatische updates in te schakelen om hun apparaten te beschermen tegen mogelijke aanvallen, die kunnen leiden tot verdere netwerkinfecties of het overnemen van gekoppelde accounts zoals streamingdiensten. [bitdefender]

Ernstige backdoor ontdekt in XZ-compressietool

In de XZ-datacompressietool is een ernstige backdoor aangetroffen die een volledige authenticatie bypass mogelijk maakt, volgens onderzoeker Peter "blasty" Geissler. Dit beveiligingslek stelt een aanvaller in staat om met elk willekeurig wachtwoord op systemen in te loggen, waarbij zelfs remote code execution mogelijk is. De backdoor vereist diepgaande kennis van OpenSSH, iets wat de ontwerper van de backdoor lijkt te bezitten. Lasse Collin, de maker van XZ, heeft aangekondigd zelf een onderzoek naar deze backdoor te starten en overweegt updates in de tool door te voeren. Details over de werking van de backdoor en de verantwoordelijke partij zijn nog onbekend. Ondertussen hebben andere onderzoekers, waaronder Geissler, hun bevindingen gedeeld en aangetoond dat de backdoor niet gemakkelijk te activeren is, maar nog veel aspecten bevat die verder onderzocht moeten worden. Deze ontdekking benadrukt het belang van voortdurende waakzaamheid en onderzoek binnen de cybersecuritygemeenschap om de veiligheid van softwaretools te waarborgen. [tukaani]

Heruitgave van Sunbird iMessage-app voor Android na Oplossen Beveiligingsproblemen

Sunbird heeft zijn iMessage-app voor Android opnieuw uitgebracht, nadat deze eind vorig jaar vanwege ernstige beveiligingsproblemen offline werd gehaald. De app, die berichten onversleuteld opsloeg, is volgens de makers nu voorzien van een geheel nieuwe architectuur die de veiligheid van gebruikersgegevens waarborgt. De problemen kwamen aan het licht nadat beveiligingsonderzoekers in november kritieke gebreken ontdekten, waaronder de onjuiste claim over end-to-endencryptie. De ontwikkelaars hebben de architectuur, genaamd AV1, vervangen door AV2, waarin berichten alleen kortstondig in het geheugen bestaan bij het doorgeven aan netwerken zoals iMessage en RCS/Google Messages. Berichten worden nu ook versleuteld opgeslagen in de in-app database. Verder heeft het bedrijf nieuwe beveiligingsmaatregelen getroffen, waaronder samenwerking met het cybersecuritybedrijf Cipher, dat geen kritieke problemen meer heeft gevonden na recente pentests. Naast technische verbeteringen, heeft Sunbird ook zijn team uitgebreid en beweert opnieuw dat gebruikersgegevens nooit onversleuteld worden opgeslagen. Deze maatregelen moeten het vertrouwen van gebruikers in de veiligheid van hun communicatie via de app herstellen.

Kritieke beveiligingslekken in verouderde D-Link NAS-apparaten blootgelegd

Meer dan 92.000 #D-Link #NAS-apparaten met #end-of-life status hebben een #achterdeur en een #commando-injectieprobleem, waardoor aanvallers op afstand commando's kunnen uitvoeren zonder patch beschikbaar.

Een onderzoeker heeft onlangs een ernstig beveiligingslek in verschillende modellen van D-Link Network Attached Storage (NAS) ontdekt, welke reeds het einde van hun ondersteuningsperiode hebben bereikt. Dit lek, geïdentificeerd als CVE-2024-3273, omvat een achterdeur en een commando-injectie probleem. Het achterdeurprobleem wordt veroorzaakt door een hardcoded account met de gebruikersnaam "messagebus" zonder wachtwoord. Daarnaast stelt het commando-injectieprobleem aanvallers in staat om op afstand commando's uit te voeren door middel van een HTTP GET-verzoek dat een base64-gecodeerd commando naar de "system" parameter stuurt. De getroffen modellen zijn DNS-320L, DNS-325, DNS-327L en DNS-340L. Er zijn meer dan 92.000 van deze apparaten online en kwetsbaar gevonden. D-Link heeft aangegeven geen patches te zullen uitbrengen voor deze verouderde apparaten en adviseert gebruikers om ze te vervangen door nieuwere modellen die wel updates ontvangen. Gebruikers die deze verouderde apparaten blijven gebruiken, worden aangeraden de nieuwste beschikbare updates toe te passen, hoewel deze het nieuwe probleem niet zullen verhelpen. [github]

Kwetsbaarheid in Ivanti VPN Gateways Risicovol voor Duizenden Netwerktoegangen

Ongeveer 16.500 Ivanti Connect Secure en Poly Secure gateways die online zijn blootgesteld, lopen risico door een ernstige fout waarmee hackers op afstand code kunnen uitvoeren (RCE). Deze kwetsbaarheid, bekend als CVE-2024-21894, betreft een heap overflow in het IPSec-onderdeel van de Ivanti Connect Secure versies 9.x en 22.x. Hierdoor kunnen ongeautoriseerde gebruikers mogelijk een denial of service (DoS) veroorzaken of zelfs RCE bewerkstelligen door speciaal ontworpen verzoeken te verzenden. Bij de onthulling op 3 april 2024 bleek uit gegevens van de zoekmachine Shodan en de dreigingsmonitoringservice Shadowserver dat respectievelijk 29.000 en 18.000 Ivanti-apparaten online toegankelijk waren. Twee dagen na de onthulling bleken ongeveer 16.500 apparaten kwetsbaar te zijn voor de RCE-fout. De Verenigde Staten leiden met 4.700 kwetsbare instanties, gevolgd door Japan, het Verenigd Koninkrijk, Duitsland, Frankrijk, China en andere landen. Gezien het hoge risico dat verbonden is aan de kwetsbaarheden in Ivanti-producten, die eerder dit jaar nog werden uitgebuit door staat gesponsorde hackers, wordt systeembeheerders dringend aangeraden de beschikbare updates en oplossingen zo snel mogelijk toe te passen. [Mandiant]

Firefox Snel Gepatcht na Pwn2Own-Zerodays

Mozilla heeft indrukwekkend snel gehandeld door binnen slechts 21 uur twee kritieke kwetsbaarheden in de Firefox-browser te dichten. Deze kwetsbaarheden werden aan het licht gebracht tijdens de Pwn2Own-hackingcompetitie in Vancouver, waar onderzoekers onbekende kwetsbaarheden in populaire software demonstreren. Bij deze editie konden onderzoekers succesvolle aanvallen op Chrome, Edge, Firefox en Safari uitvoeren, maar alleen Firefox had kritieke lekken die externe code-executie op het systeem mogelijk maakten. Mozilla's snelle reactie onderstreept het bedrijf’s toewijding aan beveiliging, waarbij hun engineers tijdens Pwn2Own stand-by staan om direct op kwetsbaarheden te reageren. Google, Microsoft en Apple volgden met updates, maar Mozilla was de snelste met een oplossing. Dit toont aan hoe kritiek snelle patchprocessen zijn in de strijd tegen cyberdreigingen en benadrukt de noodzaak voor bedrijven om altijd alert te blijven op potentiële kwetsbaarheden. [mozilla]

Microsoft Verhelpt Foutieve Veiligheidswaarschuwingen in Outlook

Microsoft heeft een probleem opgelost dat foutieve veiligheidswaarschuwingen veroorzaakte bij het openen van .ICS kalenderbestanden in Outlook Desktop, na de installatie van de beveiligingsupdates van december 2023. Deze waarschuwingen werden ten onrechte weergegeven door een patch bedoeld om de CVE-2023-35636 kwetsbaarheid in Microsoft Outlook aan te pakken. Deze kwetsbaarheid kon door aanvallers worden uitgebuit om NTLM-hashes te stelen door middel van kwaadaardig vervaardigde bestanden, waarmee ze zich vervolgens konden authenticeren als de gecompromitteerde Windows-gebruiker in zogenaamde pass-the-hash aanvallen. Getroffen gebruikers van Microsoft 365 zagen dialoogvensters die hen waarschuwden voor een "mogelijk beveiligingsprobleem" en dat de "locatie onveilig" kan zijn bij het dubbelklikken op lokaal opgeslagen ICS-bestanden. Microsoft heeft dit probleem, dat zij eerst in februari erkenden, nu verholpen in Outlook voor Microsoft 365 Versie 2404 Build 17531.20000 in het Beta-kanaal. Gebruikers in de Current Channel kunnen de oplossing verwachten op 30 april. Tot de uitrol compleet is, kunnen getroffen gebruikers een tijdelijke oplossing toepassen door een registeraanpassing te doen, maar dit stopt ook veiligheidsprompts voor andere potentieel gevaarlijke bestandstypes. Microsoft heeft ook andere recente problemen met Outlook aangepakt, waaronder synchronisatieproblemen met e-mailservers en verbindingsproblemen op desktop- en mobiele e-mailclients.

Cisco Waarschuwt voor XSS-Lek in Verouderde VPN-Routers

Cisco heeft een waarschuwing afgegeven over een cross-site scripting (XSS) kwetsbaarheid in zes types van hun niet langer ondersteunde VPN-routers, waardoor aanvallers potentieel toegang kunnen krijgen tot de apparaten. De getroffen modellen zijn de Cisco Small Business RV016, RV042, RV042G, RV082, RV320, en RV325. De kwetsbaarheid ontstaat omdat de webinterface gebruikersinvoer onvoldoende controleert, waardoor een aanvaller malafide scriptcode kan uitvoeren als een gebruiker een kwaadaardige website bezoekt. Door deze kwetsbaarheid kunnen aanvallers gevoelige informatie verkrijgen of toegang krijgen tot het apparaat zelf. Omdat deze routers het einde van hun levensduur (end-of-life) hebben bereikt, zal Cisco geen beveiligingsupdates meer uitbrengen om dit probleem aan te pakken. Als tijdelijke oplossing adviseert het bedrijf het uitschakelen van remote management en het blokkeren van toegang tot de poorten 443 en 60443. Als alternatief wordt voorgesteld om te overwegen een nieuw routermodel aan te schaffen om zo de veiligheid van het netwerk te waarborgen. [cisco]

⚠️ Kritieke Beveiligingslek in LayerSlider WordPress Plugin Bedreigt Miljoen Websites

Een kritiek beveiligingslek in de LayerSlider WordPress plugin, gebruikt op meer dan een miljoen websites, stelt deze sites bloot aan een ongeautoriseerde SQL-injectie. Het lek, ontdekt door onderzoeker AmrAwad en gemeld aan WordPress beveiligingsfirma Wordfence, draagt een CVSS-score van 9.8 en betreft versies 7.9.11 tot 7.10.0 van de plugin. Dit probleem maakt het mogelijk voor aanvallers om gevoelige gegevens zoals wachtwoordhashes te extraheren, wat de veiligheid van de websites ernstig in gevaar brengt. De kwetsbaarheid ligt in de onjuiste afhandeling van de 'id' parameter binnen een functie van de plugin, waardoor SQL-code injectie mogelijk is zonder dat de aanvaller geauthenticeerd hoeft te zijn. Ondanks de snelle respons van de ontwikkelaars van LayerSlider, die binnen 48 uur een beveiligingsupdate uitbrachten, onderstreeptdit incident het belang voor websitebeheerders om plugins actueel te houden, onnodige plugins uit te schakelen, sterke wachtwoorden te gebruiken, en inactieve accounts te deactiveren om dergelijke risico's te beperken. [wordfence]

⚠️ Ivanti dicht ernstige beveiligingslekken in VPN-gateways

Ivanti, een IT-beveiligingssoftwarebedrijf, heeft recent patches uitgebracht voor meerdere beveiligingskwetsbaarheden die hun Connect Secure en Policy Secure gateways treffen. Een van deze kwetsbaarheden, gemarkeerd als CVE-2024-21894, stelt ongeauthenticeerde aanvallers in staat om op afstand code uit te voeren en denial of service (DoS) aanvallen te veroorzaken zonder gebruikersinteractie. Deze kwetsbaarheid, veroorzaakt door een heap overflow in de IPSec-component, kan in bepaalde configuraties worden uitgebuit, hoewel Ivanti geen details heeft verstrekt over welke configuraties kwetsbaar zijn. Naast CVE-2024-21894 zijn er nog drie andere kwetsbaarheden gepatcht die eveneens DoS-aanvallen mogelijk maken. De onthulling van deze beveiligingsproblemen komt op een moment dat duizenden Ivanti endpoints online blootgesteld staan en reeds doelwit zijn geweest van aanvallen door nationale actoren. Eerdere kwetsbaarheden in Ivanti-software werden misbruikt in grootschalige aanvallen om aangepaste malware te verspreiden. Ivanti heeft gedetailleerde instructies verstrekt voor het toepassen van de beveiligingspatches, benadrukkend het belang van het beveiligen van deze systemen tegen verdere aanvallen. [ivanti]

Google repareert opnieuw Chrome zero-day ontdekt tijdens Pwn2Own

Google heeft snel gehandeld om een high-severity zero-day kwetsbaarheid in Chrome te dichten, die aan het licht kwam tijdens de Pwn2Own hackwedstrijd vorige maand. Deze kwetsbaarheid, geïdentificeerd als CVE-2024-3159, bevond zich in de V8 JavaScript-engine van Chrome en stelde aanvallers in staat om gevoelige informatie te verkrijgen of crashes te veroorzaken door middel van heap corruption. De kwetsbaarheid werd met succes uitgebuit door de beveiligingsonderzoekers Edouard Bochin en Tao Yan van Palo Alto Networks, die een indrukwekkende dubbele aanval demonstreerden. Hiermee konden zij willekeurige code uitvoeren in zowel Google Chrome als Microsoft Edge, wat hen een prijs van $42.500 opleverde. Google heeft deze kwetsbaarheid nu gepatcht in de nieuwste stabiele versie van Chrome, die wereldwijd zal worden uitgerold. Dit markeert de vierde Chrome zero-day die Google dit jaar heeft gepatcht, naast het aanpakken van twee Android zero-days. Deze snelle patches volgen op de onthulling van verschillende andere kritieke zwakheden tijdens Pwn2Own, waaronder een type confusion in WebAssembly en een use-after-free in de WebCodecs API, die beide ook door Google zijn aangepakt. [mitre.org, mitre.org, googleblog, mitre.org]

Google Dicht Kritieke Zerodays in Pixel-Telefoons

Google heeft onlangs twee zerodaylekken gerepareerd in haar Pixel-telefoons, die door forensische bedrijven werden geëxploiteerd voor data-extractie en het omzeilen van fabrieksresets. Deze kwetsbaarheden, bekend onder de codes CVE-2024-29745 en CVE-2024-29748, waren gelokaliseerd in de bootloader en de firmware van de Pixel-toestellen. De specificaties van deze lekken zijn uitgelicht door de ontwikkelaars van GrapheneOS, een Android-gebaseerd systeem voor Pixel-telefoons. Het eerste lek betrof een probleem in de fastboot-firmware, waardoor forensische teams de telefoons konden herstarten voor een geheugendump, leidend tot potentieel brute-force aanvallen. Het tweede lek maakte het mogelijk om een door een app veroorzaakte fabrieksreset te blokkeren. Google heeft deze kwetsbaarheden gepatcht in de beveiligingsupdate met patchniveau 2024-04-05, waardoor Pixel-telefoons nu beschermd zijn tegen deze specifieke aanvallen.

Google Pakt Kritiek Beveiligingslek in Androidtelefoons Aan

In een recente update heeft Google 28 kwetsbaarheden in het Android-besturingssysteem aangepakt, waaronder een bijzonder kritieke kwetsbaarheid in telefoons met een Qualcomm-chipset. Deze kwetsbaarheid maakte het mogelijk voor aanvallers om de telefoons op afstand te compromitteren. Een specifiek zorgwekkend lek betrof de mogelijkheid voor een kwaadaardige app om zonder interactie van de gebruiker meer rechten te verkrijgen dan toegestaan, wat ernstige gevolgen kan hebben voor de privacy en veiligheid van de gebruiker. Het meest gevaarlijke lek bevond zich in de 'Data Modem' van toestellen met een Qualcomm-chipset, waarbij een aanvaller een buffer overflow kon veroorzaken tijdens een bepaald handshakingsproces, waardoor ongeautoriseerde code uitgevoerd kon worden. Deze kwetsbaarheid kreeg een hoge risicobeoordeling van 9.8 op een schaal van 10. Google's april-updates, die ook patches bevatten voor onderdelen van andere chipfabrikanten zoals MediaTek en Arm, zijn nu beschikbaar voor Android versies 12, 12L, 13, en 14. Deze updates introduceren verbeterde beveiligingsniveaus, met patchniveaus aangeduid als '2024-04-01' of '2024-04-05'. Androidtoestelfabrikanten zijn reeds geïnformeerd over deze kwetsbaarheden en hebbenupdates ontwikkeld, hoewel niet alle toestellen gegarandeerd deze updates zullen ontvangen, afhankelijk van ondersteuning door de fabrikant. [qualcomm]

Onderzoek naar Backdoor in XZ Datacompressietool van Start

De ontwikkelingsteams achter de XZ datacompressietool zijn begonnen met een grondig onderzoek nadat er recent een backdoor in de software werd ontdekt. Deze kwetsbaarheid maakte het mogelijk voor aanvallers om schadelijke code op getroffen systemen uit te voeren. De ontdekking van de backdoor heeft tot grote bezorgdheid geleid, zowel bij de ontwikkelaars als bij diverse overheidsdiensten wereldwijd. XZ, breed gebruikt voor datacompressie in vele Linux-distributies, kwam onder vuur te liggen nadat bleek dat een medewerker van het project de backdoor had geïntroduceerd. De ontdekking werd gedaan te midden van de vakantie van hoofdontwikkelaar Lasse Collin, die hierdoor onverwachts werd opgeroepen om actie te ondernemen. Overheidsinstanties zoals het Nationaal Cyber Security Centrum, het Amerikaanse CISA, het Duitse BSI, en het Nederlandse Digital Trust Center hebben urgente adviezen uitgebracht om getroffen versies van Linux-distributies te vermijden en waar mogelijk te downgraden naar veiligere versies. De zaak heeft de aandacht getrokken van cyberbeveiligingsexperts wereldwijd, waaronder Rob Mensching, die een gedetailleerde analyse van de aanval publiceerde. Deze incident onderstreept het belang van grondige security checks binnen de ontwikkelingsfasen van software en het kritisch beoordelen van bijdragen van nieuwe medewerkers, om de integriteit en veiligheid van open-sourceprojecten te waarborgen. [lkml, ncsc]

Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Maandoverzicht: Cyberkwetsbaarheden in focus