EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑


Kwetsbaarheden CVE's


2024 | 2023 | 2022 | 2021


maart | februari | januari


Kwetsbaarheden nieuws


Deze pagina wordt voortdurend bijgewerkt. Laatste update: 19-maart-2024


⚠️ Dringende Update voor Kritieke Kwetsbaarheid in FortiOS SSL-VPN

Fortinet heeft onlangs een essentiële beveiligingsupdate uitgebracht om een kritieke kwetsbaarheid, aangeduid als CVE-2024-21762, in het FortiOS SSL-VPN te adresseren. Deze kwetsbaarheid, die een hoge urgentie en impact heeft gekregen van het Nationaal Cyber Security Centrum (NCSC), stelt ongeautoriseerde partijen in staat om een Denial-of-Service (DoS) aanval uit te voeren of zelfs op afstand code uit te voeren. Dit kan resulteren in volledige overname van getroffen systemen. Ondanks dat de kwetsbaarheid tot dusver beperkt is misbruikt, en er nog geen publieke exploitatiecode bekend is gemaakt, wordt de situatie als ernstig beschouwd vanwege de potentie voor grootschalige exploitatie in de nabije toekomst. Gebruikers van FortiOS 7.4 en eerdere versies worden dringend aangeraden de beschikbare beveiligingsupdates te installeren. Voor diegenendie de meest recente versie, v7.6, gebruiken, bestaat er geen risico. Als tijdelijke oplossing kan het uitschakelen van de SSL VPN overwogen worden totdat de updates geïnstalleerd zijn. Het Digital Trust Center benadrukt het belang van een snelle actie om de updates toe te passen of dit door een IT-dienstverlener te laten doen, en raadt aan om contact op te nemen met IT-dienstverleners indien onduidelijk is of een kwetsbare versie in gebruik is. [ccinfo, dtc, cve]


Hackersgroep 'ShadowSyndicate' misbruikt aiohttp-kwetsbaarheid in zoektocht naar kwetsbare netwerken

In januari 2024 werd een ernstige beveiligingslek, CVE-2024-23334, ontdekt in de aiohttp Python bibliotheek, een open-source tool gebruikt voor het afhandelen van gelijktijdige HTTP-verzoeken. Dit lek maakt het mogelijk voor ongeautoriseerde externe aanvallers om toegang te krijgen tot bestanden op kwetsbare servers door middel van directory traversal. De kwetsbaarheid, die alle versies van aiohttp vóór 3.9.2 beïnvloedt, kwam aan het licht toen een bewijs-van-concept exploitatie werd gepubliceerd op GitHub, gevolgd door een gedetailleerde exploitatiehandleiding op YouTube. Cyble's dreigingsanalisten merkten op dat exploitatiepogingen begonnen eind februari 2024, toenemend in maart. Deze activiteiten werden gelinkt aan de ransomwaregroep 'ShadowSyndicate', bekend om hun financieel gemotiveerde cyberaanvallen sinds juli 2022. De groep wordt in verband gebracht met verschillende ransomwarestammen en wordt gezien als een affiliate die samenwerkt met meerdere ransomwareoperaties. Met ongeveer 44,170 aiohttp-instanties blootgesteld aan het internet, waarvan de versie vaak onbekend is, blijft het risico op misbruik aanzienlijk. Dit benadrukt de uitdagingen rond het bijwerken van open-sourcebibliotheken en de aanhoudende waarde ervan voor cybercriminelen, zelfs jaren na het beschikbaar komen van beveiligingsupdates.

In Nederland: 98

In Belgie: 87

[github, youtube, cyble, getodin]


Kritieke Kwetsbaarheid in WordPress Plug-ins Bedreigt Tienduizenden Sites

Meer dan tienduizend WordPress-websites zijn in gevaar door een kritieke kwetsbaarheid in twee plug-ins van ontwikkelaar MiniOrange, namelijk de 'Malware Scanner' en de 'Web Application Firewall'. Deze plug-ins, ontworpen om websites te beschermen tegen aanvallen en malware, worden niet meer ondersteund door de ontwikkelaar. De kwetsbaarheid stelt een aanvaller zonder authenticatie in staat om het wachtwoord van gebruikers te resetten, mits een geldige gebruikersnaam wordt opgegeven. Deze beveiligingslek is met een 9.8 uiterst hoog beoordeeld op een schaal van 1 tot 10. Het probleem werd begin maart aan MiniOrange gemeld, maar in plaats van het ontwikkelen van een patch, heeft de ontwikkelaar besloten om de ondersteuning voor de plug-ins te stoppen. Securitybedrijf Wordfence heeft, gezien de ernst van de kwetsbaarheid en het gebrek aan een oplossing, dringend geadviseerd deze plug-ins onmiddellijk van websites te verwijderen om verdere risico's te voorkomen. [1]


Kritieke Kwetsbaarheid in FortiClient EMS Software Gepatcht

Fortinet heeft een kritieke kwetsbaarheid in zijn FortiClient Enterprise Management Server (EMS) software aangepakt die aanvallers in staat stelde om op afstand code uit te voeren op kwetsbare servers. Deze software, die voornamelijk wordt gebruikt voor het beheren van eindpuntapparaten binnen een bedrijfsnetwerk, maakt het mogelijk voor beheerders om FortiClient-software te implementeren en beveiligingsprofielen toe te wijzen aan Windows-apparaten. De kwetsbaarheid, aangeduid als CVE-2023-48788, betreft een SQL-injectie in de DB2 Administration Server (DAS) component. Deze werd ontdekt en gerapporteerd door het National Cyber Security Centre (NCSC) van het VK en Fortinet ontwikkelaar Thiago Santana. Het beïnvloedt specifieke versies van de FortiClient EMS software en stelt niet-geauthenticeerde aanvallers in staat om met SYSTEM privileges code uit te voeren zonder dat gebruikersinteractie nodig is. Ondanks dat Fortinet geen bewijs heeft gepubliceerd van actief misbruik voor de patch, benadrukte het Horizon3 Attack Team de ernst van de bug en plant het een demonstratie van het exploit. Daarnaast heeft Fortinet deze week ook andere kritieke en hoge-severity kwetsbaarheden gepatcht die verschillende systemen beïnvloeden. Fortinet-producten zijn een frequent doelwit voor cyberaanvallen, waaronder ransomware-aanvallen en cyberespionage-campagnes. [1, 2]


⚠️ Microsoft's Patch Tuesday Maart 2024: Belangrijke Beveiligingsupdates

Op de Patch Tuesday van maart 2024 heeft Microsoft beveiligingsupdates uitgebracht voor 60 kwetsbaarheden, waaronder 18 die remote code execution (RCE) mogelijk maken. Onder de opgeloste kwetsbaarheden bevinden zich slechts twee kritieke problemen: een in Hyper-V die zowel remote code execution als denial of service mogelijk maakt. De overige fouten omvatten 24 privilege escalaties, 3 beveiligingsontduikingen, 6 informatieonthullingen, 6 service weigeringen en 2 spoofing kwetsbaarheden. Daarnaast werden 4 Microsoft Edge fouten al op 7 maart aangepakt. Interessant is dat er deze maand geen zero-day kwetsbaarheden zijn verholpen.

Onder de noemenswaardige fouten valt een privilege escalatie in Microsoft Office, waardoor elke geauthenticeerde gebruiker SYSTEM-rechten kon verkrijgen, en een beveiligingsontduiking in Microsoft Defender, die nu via automatische updates van de Antimalware Platform is verholpen. Ook is een remote code execution kwetsbaarheid in Skype for Consumer aangepakt, die geactiveerd kon worden via een kwaadaardige link of afbeelding.

Naast Microsoft hebben ook andere bedrijven zoals AnyCubic, Apple, Cisco, Fortinet, Google, Intel, QNAP, SAP, en VMware belangrijke beveiligingsupdates uitgebracht. Deze maandelijkse updatecyclus benadrukt het continue belang van het tijdig toepassen van patches om systemen te beschermen tegen potentiële bedreigingen.

Kritieke Kwetsbaarheden in Microsoft Hyper-V Ontdekt

Deze software stelt gebruikers in staat om virtuele machines te creëren. De eerste kritieke kwetsbaarheid, geïdentificeerd als CVE-2024-21408, kan een denial of service (DoS) veroorzaken. Hoewel DoS-aanvallen meestal niet als kritiek worden beschouwd, is dat in dit geval wel zo, alhoewel Microsoft geen verdere details heeft vrijgegeven. De tweede kwetsbaarheid, aangeduid als CVE-2024-21407, stelt een geauthenticeerde aanvaller die toegang heeft tot een virtuele machine (VM) op de gastheer, in staat om code uit te voeren op de host-server zelf. Voor een succesvolle aanval moet de aanvaller specifieke informatie over de doelomgeving verzamelen en aanvullende stappen ondernemen. Desondanks beschouwt Microsoft het risico van misbruik van deze kwetsbaarheden als 'minder waarschijnlijk'. De overige beveiligingsproblemen die tijdens deze update zijn aangepakt, zijn van minder ernstige aard.

Tag CVE ID CVE Title Ernst
.NET CVE-2024-21392 .NET and Visual Studio Denial of Service Vulnerability Important
Azure Data Studio CVE-2024-26203 Azure Data Studio Elevation of Privilege Vulnerability Important
Azure SDK CVE-2024-21421 Azure SDK Spoofing Vulnerability Important
Intel CVE-2023-28746 Intel: CVE-2023-28746 Register File Data Sampling (RFDS) Important
Microsoft Authenticator CVE-2024-21390 Microsoft Authenticator Elevation of Privilege Vulnerability Important
Microsoft Azure Kubernetes Service CVE-2024-21400 Microsoft Azure Kubernetes Service Confidential Container Elevation of Privilege Vulnerability Important
Microsoft Django Backend for SQL Server CVE-2024-26164 Microsoft Django Backend for SQL Server Remote Code Execution Vulnerability Important
Microsoft Dynamics CVE-2024-21419 Microsoft Dynamics 365 (on-premises) Cross-site Scripting Vulnerability Important
Microsoft Edge (Chromium-based) CVE-2024-2174 Chromium: CVE-2024-2174 Inappropriate implementation in V8 Unknown
Microsoft Edge (Chromium-based) CVE-2024-2173 Chromium: CVE-2024-2173 Out of bounds memory access in V8 Unknown
Microsoft Edge (Chromium-based) CVE-2024-2176 Chromium: CVE-2024-2176 Use after free in FedCM Unknown
Microsoft Edge for Android CVE-2024-26167 Microsoft Edge for Android Spoofing Vulnerability Unknown
Microsoft Exchange Server CVE-2024-26198 Microsoft Exchange Server Remote Code Execution Vulnerability Important
Microsoft Graphics Component CVE-2024-21437 Windows Graphics Component Elevation of Privilege Vulnerability Important
Microsoft Intune CVE-2024-26201 Microsoft Intune Linux Agent Elevation of Privilege Vulnerability Important
Microsoft Office CVE-2024-26199 Microsoft Office Elevation of Privilege Vulnerability Important
Microsoft Office SharePoint CVE-2024-21426 Microsoft SharePoint Server Remote Code Execution Vulnerability Important
Microsoft QUIC CVE-2024-26190 Microsoft QUIC Denial of Service Vulnerability Important
Microsoft Teams for Android CVE-2024-21448 Microsoft Teams for Android Information Disclosure Vulnerability Important
Microsoft WDAC ODBC Driver CVE-2024-21451 Microsoft ODBC Driver Remote Code Execution Vulnerability Important
Microsoft WDAC OLE DB provider for SQL CVE-2024-21441 Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability Important
Microsoft WDAC OLE DB provider for SQL CVE-2024-26161 Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability Important
Microsoft WDAC OLE DB provider for SQL CVE-2024-26166 Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability Important
Microsoft WDAC OLE DB provider for SQL CVE-2024-21444 Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability Important
Microsoft WDAC OLE DB provider for SQL CVE-2024-21450 Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability Important
Microsoft Windows SCSI Class System File CVE-2024-21434 Microsoft Windows SCSI Class System File Elevation of Privilege Vulnerability Important
Open Management Infrastructure CVE-2024-21330 Open Management Infrastructure (OMI) Elevation of Privilege Vulnerability Important
Open Management Infrastructure CVE-2024-21334 Open Management Infrastructure (OMI) Remote Code Execution Vulnerability Important
Outlook for Android CVE-2024-26204 Outlook for Android Information Disclosure Vulnerability Important
Role: Windows Hyper-V CVE-2024-21407 Windows Hyper-V Remote Code Execution Vulnerability Critical❗️
Role: Windows Hyper-V CVE-2024-21408 Windows Hyper-V Denial of Service Vulnerability Critical❗️
Skype for Consumer CVE-2024-21411 Skype for Consumer Remote Code Execution Vulnerability Important
Software for Open Networking in the Cloud (SONiC) CVE-2024-21418 Software for Open Networking in the Cloud (SONiC) Elevation of Privilege Vulnerability Important
Visual Studio Code CVE-2024-26165 Visual Studio Code Elevation of Privilege Vulnerability Important
Windows AllJoyn API CVE-2024-21438 Microsoft AllJoyn API Denial of Service Vulnerability Important
Windows Cloud Files Mini Filter Driver CVE-2024-26160 Windows Cloud Files Mini Filter Driver Information Disclosure Vulnerability Important
Windows Composite Image File System CVE-2024-26170 Windows Composite Image File System (CimFS) Elevation of Privilege Vulnerability Important
Windows Compressed Folder CVE-2024-26185 Windows Compressed Folder Tampering Vulnerability Important
Windows Defender CVE-2024-20671 Microsoft Defender Security Feature Bypass Vulnerability Important
Windows Error Reporting CVE-2024-26169 Windows Error Reporting Service Elevation of Privilege Vulnerability Important
Windows Hypervisor-Protected Code Integrity CVE-2024-21431 Hypervisor-Protected Code Integrity (HVCI) Security Feature Bypass Vulnerability Important
Windows Installer CVE-2024-21436 Windows Installer Elevation of Privilege Vulnerability Important
Windows Kerberos CVE-2024-21427 Windows Kerberos Security Feature Bypass Vulnerability Important
Windows Kernel CVE-2024-26177 Windows Kernel Information Disclosure Vulnerability Important
Windows Kernel CVE-2024-26176 Windows Kernel Elevation of Privilege Vulnerability Important
Windows Kernel CVE-2024-26174 Windows Kernel Information Disclosure Vulnerability Important
Windows Kernel CVE-2024-26182 Windows Kernel Elevation of Privilege Vulnerability Important
Windows Kernel CVE-2024-26181 Windows Kernel Denial of Service Vulnerability Important
Windows Kernel CVE-2024-26178 Windows Kernel Elevation of Privilege Vulnerability Important
Windows Kernel CVE-2024-26173 Windows Kernel Elevation of Privilege Vulnerability Important
Windows Kernel CVE-2024-21443 Windows Kernel Elevation of Privilege Vulnerability Important
Windows NTFS CVE-2024-21446 NTFS Elevation of Privilege Vulnerability Important
Windows ODBC Driver CVE-2024-21440 Microsoft ODBC Driver Remote Code Execution Vulnerability Important
Windows ODBC Driver CVE-2024-26162 Microsoft ODBC Driver Remote Code Execution Vulnerability Important
Windows ODBC Driver CVE-2024-26159 Microsoft ODBC Driver Remote Code Execution Vulnerability Important
Windows OLE CVE-2024-21435 Windows OLE Remote Code Execution Vulnerability Important
Windows Print Spooler Components CVE-2024-21433 Windows Print Spooler Elevation of Privilege Vulnerability Important
Windows Standards-Based Storage Management Service CVE-2024-26197 Windows Standards-Based Storage Management Service Denial of Service Vulnerability Important
Windows Telephony Server CVE-2024-21439 Windows Telephony Server Elevation of Privilege Vulnerability Important
Windows Update Stack CVE-2024-21432 Windows Update Stack Elevation of Privilege Vulnerability Important
Windows USB Hub Driver CVE-2024-21429 Windows USB Hub Driver Remote Code Execution Vulnerability Important
Windows USB Print Driver CVE-2024-21442 Windows USB Print Driver Elevation of Privilege Vulnerability Important
Windows USB Print Driver CVE-2024-21445 Windows USB Print Driver Elevation of Privilege Vulnerability Important
Windows USB Serial Driver CVE-2024-21430 Windows USB Attached SCSI (UAS) Protocol Remote Code Execution Vulnerability Important

⚠️ Kritieke Beveiligingslekken in Fortinet's FortiOS en FortiProxy Noodzaken Dringende Updates

Fortinet heeft een waarschuwing uitgebracht voor twee kritieke kwetsbaarheden binnen de captive portal functionaliteiten van zowel FortiOS als FortiProxy. Deze kwetsbaarheden, geïdentificeerd als CVE-2023-42789 en CVE-2023-42790, hebben een risicobeoordeling van 9.3 op een schaal van 1 tot 10 gekregen, wat wijst op een ernstig beveiligingsrisico. De gevonden lekken stellen een aanvaller in staat om willekeurige code en commando's uit te voeren op het getroffen systeem door specifiek geformuleerde HTTP-requests te versturen, wat kan leiden tot een out-of-bounds write of buffer overflow. FortiOS, het besturingssysteem van Fortinet, wordt gebruikt op diverse netwerkapparaten zoals firewalls en VPN-systemen. FortiProxy fungeert als een webgateway en beide systemen gebruiken een captive portal om gebruikers te authenticeren alvorens zij toegang krijgen tot webbronnen. Fortinet heeft reeds beveiligingsupdates vrijgegeven om deze kwetsbaarheden te verhelpen en raadt organisaties aan deze zo snel mogelijk te installeren. Daarnaast is er een workaround beschikbaar gesteld om misbruik van de lekken te voorkomen. Opmerkelijk is dat recent bleek dat 150.000 apparaten van Fortinet nog steeds een belangrijke beveiligingsupdate missen voor een ander actief aangevallen lek, wat het belang van snelle en effectieve patching onderstreept. [1]


White Hackers Dragen Bij Aan Een Veiliger Internet: Google Keert $10 Miljoen Uit in 2023

In 2023 heeft Google $10 miljoen uitgekeerd aan 632 onderzoekers uit 68 landen voor het vinden en verantwoord melden van beveiligingsfouten in de producten en diensten van het bedrijf. Dit bedrag is iets lager dan de $12 miljoen die in 2022 werd uitbetaald, maar toont nog steeds een aanzienlijke betrokkenheid van de gemeenschap bij de beveiligingsinspanningen van Google. De hoogste beloning voor een enkel rapport was $113,337, waardoor het totale bedrag dat sinds de start van het programma in 2010 is uitgekeerd, op $59 miljoen komt. Het programma keerde meer dan $3,4 miljoen uit voor Android, het meest gebruikte mobiele besturingssysteem ter wereld, en verhoogde de maximale beloning voor kritieke kwetsbaarheden naar $15,000. Tijdens beveiligingsconferenties werden significante bedragen toegekend voor kritieke ontdekkingen in onder andere Wear OS en Android Automotive OS, en voor problemen in Nest, Fitbit en wearables. De Chrome-browser, een ander groot softwareproject van Google, was het onderwerp van 359 beveiligingsbugrapporten, met een totale uitbetaling van $2,1 miljoen. Google heeft ook de beloningen voor bugs in oudere versies van V8, Chrome's JavaScript-engine, verhoogd en introduceerde 'MiraclePtr' in Chrome M116 om bescherming te bieden tegen niet-renderer Use-After-Free (UAF) kwetsbaarheden. Naast de uitbetalingen werden in 2023 verschillende belangrijke ontwikkelingen en verbeteringen in het bug bounty programma doorgevoerd, zoals de introductie van het Bonus Awards programma, de uitbreiding van het exploit beloningsprogramma naar Chrome en Cloud, en de lancering van de Bughunters blog om inzichten en veiligheidsmaatregelen te delen. [1]


Misconfiguraties in Microsoft's Configuratie Manager Vormen Cyberbeveiligingsrisico

Onderzoekers hebben een kennisbank samengesteld gericht op aanvals- en verdedigingstechnieken die misconfiguraties in Microsoft's Configuration Manager (MCM), voorheen bekend als System Center Configuration Manager (SCCM, ConfigMgr), uitbuiten. Dit platform, sinds 1994 actief en een belangrijk onderdeel van vele Active Directory-omgevingen, blijkt kwetsbaar voor cyberaanvallen door onjuiste instellingen. De onderzoekers Chris Thompson en Duane Michael van SpecterOps presenteerden tijdens de SO-CON-beveiligingsconferentie de "Misconfiguration Manager", een repository met aanvalsmethoden gebaseerd op foutieve MCM-configuraties. Deze repository dient ook als hulpmiddel voor verdedigers om hun beveiliging te versterken. Veelvoorkomende misconfiguraties omvatten netwerktoegangsaccounts (NAA's) met te veel privileges, wat aanvallers de mogelijkheid geeft om domeincontrollers te worden of payloads uit te voeren. De Misconfiguration Manager bevat 22 technieken voor zowel aanval als verdediging, gericht op het verhogen van de beveiliging van MCM/SCCM-implementaties. Deze technieken variëren van toegang tot inloggegevens en verhoging van privileges tot het overnemen van de MCM/SCCM-hiërarchie. Verdedigingsacties zijn opgedeeld in preventie, detectie, en misleiding, waarbij wordt geadviseerd deze methoden eerst te testen voordat ze in een productieomgeving worden toegepast. [1, Github]


Kritieke Beveiligingslek Fortinet Treft 150.000 Apparaten

Een recent ontdekt beveiligingslek, geïdentificeerd als CVE-2024-21762, bedreigt wereldwijd ongeveer 150.000 Fortinet FortiOS en FortiProxy webgateway-systemen. Dit kritieke lek stelt aanvallers in staat om code uit te voeren zonder authenticatie, waardoor de veiligheid van getroffen apparaten ernstig in gevaar komt. De Amerikaanse Cyber Defense Agency CISA heeft bevestigd dat het lek actief wordt uitgebuit en heeft het toegevoegd aan zijn catalogus van bekende uitgebuite kwetsbaarheden. Bijna een maand na de adressering van het lek door Fortinet, vond The Shadowserver Foundation bijna 150.000 kwetsbare apparaten via scans. Deze scans controleren op kwetsbare versies, waardoor het werkelijke aantal getroffen apparaten mogelijk lager ligt als beheerders mitigaties hebben toegepast in plaats van te upgraden. De meeste kwetsbare apparaten bevinden zich in de Verenigde Staten, gevolgd door India, Brazilië en Canada. FortiOS, het besturingssysteem van Fortinet, biedt bescherming tegen een reeks cyberdreigingen, waaronder denial-of-service (DoS) aanvallen en intrusies, terwijl FortiProxy bescherming biedt tegen web- en DNS-gebaseerde bedreigingen. Ondanks de ernst van het lek en het actieve gebruik ervan door aanvallers, zijn details over de dreigingsactoren die CVE-2024-21762 actief uitbuiten beperkt. [1, 2]


⚠️ Kritieke beveiligingslekken bij QNAP NAS-apparaten dringend aangepakt

QNAP, de Taiwanese fabrikant van Network Attached Storage (NAS) apparaten, heeft gebruikers gewaarschuwd voor drie kritieke kwetsbaarheden in zijn softwareproducten, waaronder QTS, QuTS hero, QuTScloud en myQNAPcloud. Deze kwetsbaarheden stellen aanvallers in staat om systemen te compromitteren door middel van authenticatie-omzeiling, commando-injectie en SQL-injectie. Bijzonder zorgwekkend is CVE-2024-21899, een fout in het authenticatieproces die het mogelijk maakt voor ongeautoriseerde gebruikers om zonder verificatie van afstand toegang te krijgen tot de systemen. Hoewel de andere twee kwetsbaarheden enige vorm van systeemtoegang vereisen om te worden uitgebuit, vermindert dit nauwelijks de urgentie voor gebruikers om hun systemen te updaten. QNAP heeft updates uitgebracht voor de betrokken besturingssystemen, waaronder verschillende versies van QTS en QuTS, alsook QuTScloud en myQNAPcloud, om deze beveiligingslekken aan te pakken. Gebruikers worden dringend geadviseerd om hun systemen bij te werken naar de nieuwste versies via de firmware-updatefunctie in het bedieningspaneel of de App Center voor myQNAPcloud. Het belang van deze updates wordt onderstreept door de waardevolle gegevens die vaak worden opgeslagen op NAS-apparaten, waaronder gevoelige persoonlijke informatie, intellectueel eigendom en bedrijfskritische data. Deze apparaten, die continu met het internet verbonden zijn en niet altijd nauwlettend worden gemonitord, vormen een aantrekkelijk doelwit voor cybercriminelen. Eerdere ransomware-aanvallen op QNAP-apparaten benadrukken de noodzaak voor eigenaren om hun software up-to-date te houden en, indien mogelijk, deze apparaten niet direct aan het internet bloot te stellen. [1]


Digitale Sloten Kwetsbaar voor Bluetooth Hacks

Digitale sloten van de merken Kontrol en Elock zijn blootgesteld aan risico's door meerdere bluetooth-gerelateerde kwetsbaarheden. Deze sloten, die gebruikmaken van firmware en een bijbehorende app genaamd TTLock, ontwikkeld door Sciener, kunnen op afstand worden ontgrendeld door aanvallers. Onderzoek door Aleph Research heeft aangetoond dat de beveiliging van de firmware en de app tekortschiet, met name in het controleren van de authenticiteit van firmware-updates en de communicatie met het slot. Dit laatste maakt het mogelijk voor kwaadwillenden om de 'unlockKey value' te bemachtigen en sloten zonder toestemming te openen. Verder is ontdekt dat de AES key, gebruikt voor het pairen van sloten met draadloze keypads, niet uniek is en misbruikt kan worden om meerdere sloten te compromitteren. Aanvallers kunnen ook door bruteforce de unlockKey value achterhalen of het encryptieprotocol van de TTLock-app downgraden, waardoor sleutelwaarden onversleuteld verzonden worden. Ondanks deze ernstige beveiligingslekken is er vanuit de fabrikant geen update beschikbaar gesteld om deze kwetsbaarheden aan te pakken. Het uitschakelen van bepaalde bluetooth-functies wordt als enige tijdelijke oplossing genoemd, hoewel dit voor de meeste gebruikers geen haalbare kaart is gezien de afhankelijkheid van de TTLock-app voor het functioneren van de sloten.


Kwetsbaarheid in Tesla-app maakt diefstal via phishing mogelijk

Onderzoekers hebben aangetoond dat een Man-in-the-Middle (MiTM) phishing-aanval Tesla-accounts kan compromitteren, waardoor auto's ontgrendeld en gestart kunnen worden. Deze aanval richt zich op de nieuwste versie van de Tesla-app en de software van Tesla, waardoor kwaadwillenden een nieuwe 'Phone key' kunnen registreren om toegang te krijgen tot het voertuig. Tesla heeft aangegeven dat deze methode van koppelen als verwacht gedrag wordt beschouwd en ziet geen reden voor aanpassingen in hun systeem. De aanval maakt gebruik van een nagemaakte WiFi-netwerk, vaak met een naam die Tesla-eigenaren bekend voorkomt, zoals "Tesla Guest". Zodra een slachtoffer verbindt met dit netwerk, wordt een valse inlogpagina van Tesla gepresenteerd, waarbij inloggegevens en tweefactorauthenticatiecodes kunnen worden onderschept. Met deze informatie kan de aanvaller vervolgens een nieuwe 'Phone Key' aan het account toevoegen zonder dat de eigenaar hier een melding van krijgt. Hierdoor kan de auto ontgrendeld en gestart worden, waardoor de aanvaller er vandoor kan gaan met het voertuig. Ondanks de geavanceerde technologie van Tesla, benadrukken de onderzoekers een significant beveiligingslek bij het toevoegen van een nieuwe telefoonsleutel, iets wat gemakkelijk misbruikt kan worden door cybercriminelen. [1]


Update Thunderbird Verhelpt Lek van Versleutelde E-mailonderwerpen

Een recent ontdekt beveiligingsprobleem in Thunderbird, de veelgebruikte e-mailclient, zorgde ervoor dat onderwerpen van versleutelde e-mails in andere, willekeurige berichten konden lekken. Dit probleem, aangeduid met CVE-2024-1936, werd veroorzaakt door een fout in de lokale cache van Thunderbird, waardoor het onderwerp van een versleutelde e-mail aan een verkeerd bericht werd toegekend. Als een gebruiker reageerde op zo'n 'besmet' bericht, kon het onderwerp van de oorspronkelijk versleutelde e-mail onbedoeld bij derden belanden. In reactie hierop hebben de ontwikkelaars van Thunderbird een update uitgebracht, versie 115.8.1, die dit lek dicht. Echter, voor reeds aangetaste e-mails blijft handmatig ingrijpen noodzakelijk. Gebruikers worden aangemoedigd om de 'Repair Folder' functionaliteit te gebruiken om de integriteit van hun e-mailmappen te herstellen en zo onjuist toegekende onderwerpen te verwijderen. Deze optie is te vinden in de eigenschappen van elke e-mailmap binnen Thunderbird. [1]


⚠️ Kritieke Kwetsbaarheid in VMware-software Stelt Aanvallers in Staat Code Uit te Voeren op Hostsystemen

VMware heeft een waarschuwing uitgegeven voor een ernstige kwetsbaarheid die aanvallers de mogelijkheid biedt om vanuit een virtuele machine (VM) code uit te voeren op het onderliggende hostsysteem. Het beveiligingsprobleem, geïdentificeerd als CVE-2024-22252, is gelokaliseerd in de XHCI USB-controller gebruikt door VMware ESXi, VMware Workstation, en VMware Fusion. Voor het succesvol exploiteren van deze kwetsbaarheid moeten aanvallers beheerdersrechten bezitten binnen de VM. Zij kunnen vervolgens code op de host uitvoeren, wat bijzonder zorgwekkend is voor gebruikers van VMware Workstation en VMware Fusion; ESXi-gebruikers zijn enigszins beschermd door een VMX-sandbox die misbruik bemoeilijkt. De impact van deze kwetsbaarheid is significant, met een risicoscore van 9.3 op een schaal van 10, terwijl de impact op ESXi iets lager is beoordeeld met een score van 8.4. VMware heeft reeds updates vrijgegeven om deze kwetsbaarheid te verhelpen. Als tijdelijke oplossing wordt het verwijderen van de USB-controller uit de VM's gesuggereerd, hoewel dit niet praktisch is op grotere schaal. Het probleem werd door meerdere onderzoekers aan VMware gerapporteerd, wat de urgentie en het belang van een snelle mitigatie onderstreept. [1]


⚠️ Apple dicht twee iOS zero-day kwetsbaarheden

Apple heeft twee zero-day kwetsbaarheden in iOS aangepakt met noodbeveiligingsupdates na ontdekking dat deze werden misbruikt in aanvallen op iPhones. De kwetsbaarheden bevonden zich in de iOS Kernel (CVE-2024-23225) en RTKit (CVE-2024-23296), waardoor aanvallers kernelgeheugenbeschermingen konden omzeilen met willekeurige lees- en schrijfmogelijkheden. Deze beveiligingslekken zijn verholpen voor apparaten die draaien op iOS 17.4, iPadOS 17.4, iOS 16.76, en iPad 16.7.6 door verbeterde invoervalidatie. Getroffen apparaten omvatten een breed scala aan iPhone- en iPad-modellen. Hoewel Apple niet heeft gespecificeerd wie de zero-days heeft onthuld of of ze intern zijn ontdekt, zijn dergelijke kwetsbaarheden vaak doelwitten van staatsgesponsorde spionagesoftware tegen personen met een hoog risico, zoals journalisten en politieke dissidenten. Het advies is om de beveiligingsupdates onmiddellijk te installeren om potentiële aanvallen af te weren. Tot dusver heeft Apple in 2024 drie zero-days aangepakt, na een totaal van twintig in het voorgaande jaar, wat de voortdurende bedreiging van dergelijke exploitaties benadrukt. [1]


Kritieke Beveiligingslekken in Android Verholpen

Google heeft recent beveiligingsupdates uitgebracht om een aantal kritieke kwetsbaarheden in Android-telefoons aan te pakken, die het mogelijk maakten voor aanvallers om deze apparaten op afstand over te nemen. In de maart-patchronde zijn in totaal 34 kwetsbaarheden verholpen, waarvan de gevaarlijkste is aangeduid als CVE-2024-0039. Dit specifieke lek, aanwezig in Android 12, 12L, 13 en 14, bevond zich in de bluetooth-stack van het systeem, waardoor een aanvaller op afstand code kon uitvoeren zonder enige rechten. Een andere noemenswaardige kwetsbaarheid, CVE-2024-23717, stelde een aanvaller in staat zijn rechten op het apparaat te verhogen, wat normaal niet als kritiek wordt beschouwd, maar in dit geval wel. Google heeft fabrikanten van Androidtoestellen minstens een maand voor het uitbrengen van de patches geïnformeerd, zodat zij tijd hadden om hun updates te ontwikkelen. Echter, niet alle apparaten zullen deze belangrijke updates ontvangen, afhankelijk van de ondersteuning door de fabrikant en het uitrolschema van updates. [1]


Kritieke Beveiligingslekken in TeamCity-servers: Jetbrains Waarschuwt Organisaties

Softwareontwikkelaar JetBrains heeft organisaties gewaarschuwd voor twee kritieke kwetsbaarheden in TeamCity-servers, die ongeauthenticeerde aanvallers in staat kunnen stellen om van op afstand controle over de servers te verkrijgen. Door deze lekken kunnen aanvallers de authenticatie omzeilen en beheerderstoegang verkrijgen. Dit risico wordt verhoogd door de eerdere exploitatie van soortgelijke kwetsbaarheden door onder andere de Russische geheime dienst. TeamCity, gebruikt door meer dan dertigduizend klanten wereldwijd, speelt een cruciale rol in softwareontwikkelingsprocessen, waaronder compileren, builden, testen en uitbrengen van software. JetBrains heeft de lekken in de cloudversie van TeamCity reeds aangepakt en meldt geen tekenen van misbruik op de cloudservers. Voor organisaties die hun servers niet direct kunnen updaten, wordt aangeraden deze offline te halen indien ze vanaf het internet toegankelijk zijn. De kwetsbaarheden, geïdentificeerd als CVE-2024-27198 en CVE-2024-27199, zijn ontdekt door securitybedrijf Rapid7, met een belofte van verdere details in de nabije toekomst. [1]


Kritieke Windows Kernel Kwetsbaarheid Gepatcht na Misbruik als Zero-Day

In februari heeft Microsoft een ernstige kwetsbaarheid in de Windows Kernel aangepakt, die zes maanden lang als een zero-day werd uitgebuit. Deze kwetsbaarheid, geïdentificeerd als CVE-2024-21338, werd ontdekt in de appid.sys Windows AppLocker driver door Jan Vojtěšek, een senior malware-onderzoeker bij Avast, en betreft meerdere versies van Windows 10 en Windows 11, evenals Windows Server 2019 en 2022. Aanvallers konden door deze kwetsbaarheid SYSTEM-rechten verkrijgen zonder complexe aanvalstechnieken of gebruikersinteractie. De Noord-Koreaanse hackersgroep Lazarus heeft deze kwetsbaarheid vanaf augustus 2023 uitgebuit om kernelniveau-toegang te krijgen en beveiligingstools uit te schakelen. Dit stelde hen in staat om detectie te ontwijken door geen gebruik te maken van de gemakkelijker te detecteren BYOVD-technieken. Met de exploitatie van deze kwetsbaarheid konden ze beveiligingssoftware verstoren, sporen van infectie verbergen en beveiligingsmaatregelen uitschakelen. De update van Microsoft in februari, die de kwetsbaarheid aanpakte, komt nadat Avast aanvullende aanvallen met een nieuwe versie van het FudModule-rootkit en een onbekende remote access trojan (RAT) door Lazarus had ontdekt. Windows-gebruikers wordt dringend geadviseerd de Patch Tuesday-updates van februari 2024 te installeren om zich tegen deze aanvallen te beschermen. [1, 2, 3]


⚠️ Waarschuwing CISA over aanhoudende risico's bij gehackte Ivanti-apparaten na fabrieksreset

De U.S. Cybersecurity and Infrastructure Security Agency (CISA) heeft een waarschuwing uitgebracht over gehackte Ivanti-apparaten die, zelfs na een fabrieksreset, kwetsbaar blijven voor aanvallers. Deze aanvallers hebben de mogelijkheid om root-toegang te behouden door gebruik te maken van verschillende ernstige kwetsbaarheden, waardoor ze onopgemerkt kunnen blijven voor Ivanti's Integrity Checker Tool (ICT). Deze kwetsbaarheden, variërend van hoge tot kritieke ernst, stellen aanvallers in staat tot authenticatie-omzeiling, commando-injectie, server-side-request vervalsing, en uitvoering van willekeurige commando's. Uit onderzoek van CISA blijkt dat de ICT van Ivanti niet in staat is om dergelijke compromissen te detecteren, wat een vals gevoel van veiligheid geeft. Zelfs na uitgebreide forensische analyse, waarbij aanvallers hun sporen uitwisten, bevestigde CISA dat aanvullende maatregelen nodig zijn om de compromissen effectief te detecteren. Ondanks de verzekeringen van Ivanti, dringt CISA er bij klanten op aan het aanzienlijke risico te overwegen van voortdurende toegang en persistentie van aanvallers op Ivanti Connect Secure en Ivanti Policy Secure gateways. Dit advies volgt op eerdere maatregelen waarbij federale agentschappen verplicht werden om Ivanti VPN-apparaten binnen 48 uur te ontkoppelen en opnieuw op te bouwen met gepatchte softwareversies, naast andere strenge veiligheidsprocedures. [1]


GitHub Voert Standaard Push-beveiliging In Om Geheime Sleutellekken Te Voorkomen

GitHub heeft push-beveiliging standaard geactiveerd voor alle openbare repositories om het per ongeluk lekken van gevoelige informatie, zoals toegangstokens en API-sleutels, te voorkomen bij het uploaden van nieuwe code. Deze maatregel volgt op de introductie van de push-beveiliging in bèta bijna twee jaar geleden, in april 2022, als een eenvoudige manier om automatisch lekken van gevoelige informatie te voorkomen. Vanaf mei 2023 werd de functie algemeen beschikbaar gesteld voor alle openbare repositories. De push-beveiliging werktproactief door te scannen op geheimen voordat 'git push'-bewerkingen worden geaccepteerd en de commits te blokkeren als er een geheim wordt gedetecteerd. GitHub's geheimenscanning voorkomt automatisch dat geheimen lekken door meer dan 200 tokensoorten en patronen van meer dan 180 dienstverleners te herkennen. Ondanks dat push-beveiliging nu standaard is ingeschakeld, kunnen GitHub-gebruikers nog steeds de automatische commitblokkade omzeilen. Dit wordt echter niet aanbevolen en gebruikers kunnen de push-beveiliging volledig deactiveren in hun beveiligingsinstellingen. Organisaties met het GitHub Enterprise-plan hebben toegang tot GitHub Advanced Security, dat gevoelige informatie binnen privérepositories beschermt en andere geheime scans en statische applicatiebeveiligingscapaciteiten biedt. Volgens GitHub's Eric Tooley en Courtney Claessens riskeren onbedoelde lekken van API-sleutels, tokens en andere geheimen veiligheidsinbreuken, reputatieschade en juridische aansprakelijkheid op een verbijsterende schaal. In de eerste acht weken van 2024 detecteerde GitHub al meer dan 1 miljoen gelekte geheimen op openbare repositories, wat neerkomt op meer dan een dozijn onbedoelde lekken per minuut. [1, 2]


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Maandoverzicht: Cyberkwetsbaarheden in focus