Kwetsbaarheden CVE's

2024 | 2023 | 2022 | 2021

december | november | oktober | september | augustus | juli | juni | mei | april | maart | februari | januari 

VS waarschuwt voor actief aangevallen path traversal-lek in JasperReports

Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security waarschuwt organisaties voor twee actief aangevallen kwetsbaarheden in JasperReports, rapportagesoftware van leverancier Tibco. Volgens Tibco is de JasperReports-library de meestgebruikte "open source reporting engine" die data van allerlei bronnen tot documenten verwerkt. De library wordt binnen allerlei toepassingen gebruikt, waaronder verschillende Jaspersoft-producten. Een path traversal-kwetsbaarheid in de library maakt het mogelijk voor een aanvaller om toegang te krijgen tot content van het host-systeem. Het kan dan ook gaan om inloggegevens voor andere systemen, zo waarschuwt Tibco. De impact van het beveiligingslek, aangeduid als CVE-2018-18809, is op een schaal van 1 tot en met 10 beoordeeld met een 9.9. Tibco kwam op 6 maart 2019 al met een beveiligingsbulletin. Nu blijkt dat aanvallers actief misbruik van deze kwetsbaarheid maken, aldus het CISA. Dat geldt ook voor het tweede beveiligingslek (CVE-2018-5430), waarmee een ingelogde gebruiker toegang tot vertrouwelijke informatie kan krijgen, waaronder inloggegevens waar de JasperReports-server gebruik van maakt. De impact van dit lek is met een 7.7 lager ingeschaald. Voor deze kwetsbaarheid verscheen al op 17 april 2018 een update. Het CISA heeft Amerikaanse overheidsinstanties die van de software gebruikmaken opgedragen de patches voor 19 januari te installeren.

Lek in Google Home-speakers maakte afluisteren gebruikers mogelijk

Een kwetsbaarheid in de Home-speakers van Google maakte het mogelijk voor aanvallers om een "backdoor" account toe te voegen en gebruikers af te luisteren, wifi-wachtwoorden te onderscheppen of andere aanvallen uit te voeren. Onderzoeker Matt Kunze ontdekte het probleem en waarschuwde Google, dat in eerste instantie geen actie ondernam. Nadat Kunze meer informatie had opgestuurd ging Google wel tot actie over en kwam met een update. Daarnaast beloonde het techbedrijf de onderzoeker met ruim 107.000 dollar. Voor het toevoegen van een account aan een Google Home zijn drie zaken vereist: apparaatnaam, certificaat en "cloud ID". Deze informatie is via een lokale API te verkrijgen en moet vervolgens naar een server van Google worden gestuurd. Een aanvaller beschikt in eerste instantie niet over deze informatie en heeft waarschijnlijk ook geen toegang tot het wifi-netwerk van het doelwit. Kunze ontdekte dat een aanvaller in de buurt van iemand met een Google Homer deauth packets naar de speaker kan versturen, waardoor die de verbinding met het netwerk verbreekt en in setupmode gaat. Nu kan de aanvaller verbinding met het setupnetwerk van de Google Home-speaker maken en de informatie van het apparaat opvragen. Vervolgens verstuurt de aanvaller de verkregen Google Home-informatie naar Google en kan zo zijn eigen account aan de speaker toevoegen. Vervolgens is het mogelijk om de gebruiker via zijn eigen speaker te bespioneren, waarbij het niet meer nodig voor de aanvaller is om in de buurt van het apparaat te zijn, aldus Kunze. Zodra de aanvaller toegang tot de speaker heeft kan hij een telefoongesprek starten, waarbij de microfoon wordt ingeschakeld. Zo is het mogelijk om de gebruiker via zijn eigen Google Home af te luisteren. Het enige dat een slachtoffer kan opmerken is dat de led-lampjes blauw gekleurd zijn. Volgens de uitleg van Google houdt dit in dat het apparaat door de gebruiker moet worden geverifieerd. Bij een telefoongesprek knipperen de lampjes niet, zoals het geval is wanneer de speaker luistert naar commando's van de gebruiker. Daarnaast is het volgens Kunze ook mogelijk om via de speaker andere acties uit te voeren, zoals het achterhalen van het wifi-wachtwoord, bedienen van smart home switches, het openen van smart garagedeuren, het doen van online aankopen, het op afstand ontgrendelen en starten van voertuigen en het openen van slimme sloten door de pincode van de gebruiker te bruteforcen. Kunze waarschuwde Google op 8 januari 2021. Twaalf dagen later sloot Google de bugmelding, omdat het om "bedoeld gedrag" ging. De onderzoekers stuurde Google op 11 maart 2021 aanvullende informatie en een proof-of-concept exploit. Het techbedrijf kwam in april vorig jaar met een oplossing en beloonde de onderzoeker met een bedrag van 107.500 dollar.

NCSC: patchen op basis van alleen CVSS-score niet ideaal

Organisaties moeten zich bij het prioriteren van beveiligingsupdates niet blindstaren op alleen de CVSS-score van de kwetsbaarheid, zo stelt het Nationaal Cyber Security Centrum (NCSC). Om de impact van een kwetsbaarheid inzichtelijk te maken kwam het Amerikaanse National Infrastructure Advisory Council (NIAC) in 2004 met het Common Vulnerability Scoring System (CVSS). CVSS biedt een gestandaardiseerde manier om de impact van een kwetsbaarheid te berekenen. Vanwege het grote aantal kwetsbaarheden geven organisaties vooral prioriteit van het patchen van kwetsbaarheden met een hoge CVSS-score. "Uit onderzoek van de TU Eindhoven weten we al een aantal jaren dat het simpelweg patchen van alles dat volgens het CVSS-scoringsmodel een 9 of hoger heeft niet ideaal is", aldus het NCSC. "Het is een aanslag op je budget en maakt je organisatie niet per se veiliger." Volgens de overheidsinstantie hebben veel kwetsbaarheden met hoge CVSS-scores geen bijbehorende exploit, terwijl een flinke groep minder ernstige kwetsbaarheden dit wel heeft en dus gemakkelijker te misbruiken is. Als tegenhanger van CVSS werd in 2017 het SSVC-model gepresenteerd, dat uit een beslisboom van negen kenmerken bestaat. Zo wordt er onder andere gekeken naar de blootstelling van het systeem, de volwassenheid van exploitcode en het belang van het te patchen systeem. Vorige maand kwam het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) met een SSVC Calculator dat op basis van het SSVC-model met advies komt. Daarnaast werkt het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, aan het Common Security Advisory Framework (CSAF). Dit is een framework voor het automatisch uitwisselen van beveiligingsadviezen. Het NCSC onderzoekt hoe beveiligingsadviezen in de toekomst via CSAF kunnen worden gedeeld. Daarnaast zal de overheidsinstantie naar eigen zeggen beter inspelen op de informatiebehoefte die vanuit SSVC voortkomt. "Op die manier ondersteunen we afnemers beter in het maken van weloverwogen beslissingen in het eigen patchmanagementproces."

Netgear-routers kwetsbaar door pre-authentication buffer overflows

Netwerkfabrikant Netgear waarschuwt eigenaren van verschillende routers, extenders en wifi-systemen voor twee pre-authentication buffer overflows waardoor een aanvaller code op de apparaten kan uitvoeren. Daarnaast zijn ook eigenaren van een Nighthawk wifi-kabelmodem gewaarschuwd voor een kritiek beveiligingslek waardoor er zonder authenticatie toegang kan worden verkregen. Net voor het einde van het jaar heeft Netgear in totaal 24 beveiligingsbulletins uitgebracht voor een groot aantal routers en andere netwerkapparaten. Verschillende beveiligingsadviezen vallen daarbij op. Het gaat om PSV-2021-0275 en PSV-2019-0208. Het gaat hier om twee kwetsbaarheden in routers, extenders en wifi-systemen waardoor een buffer overflow mogelijk is, wat een aanvaller de mogelijkheid geeft om code op het systeem uit te voeren. Het gaat hierbij ook nog eens om "pre-authentication", wat inhoudt dat een aanvaller niet over inloggegevens hoeft te beschikken voor het uitvoeren van de aanval. Het apparaat hoeft alleen bereikbaar te zijn. Daarnaast verdient ook PSV-2022-0195 voor de Nighthawk wifi-kabelmodem de aandacht. Deze kwetsbaarheid maakt het namelijk mogelijk om de authenticatie te omzeilen en toegang tot het apparaat te krijgen. De impact van dit beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Eigenaren van Netgear-apparatuur wordt opgeroepen de laatste firmware-update te installeren.

Honderden Nederlandse Citrix-servers kwetsbaar voor aanvallen

Honderden Nederlandse Citrix-servers zijn kwetsbaar voor aanvallen omdat ze belangrijke beveiligingsupdates missen, waardoor aanvallers de systemen op afstand kunnen overnemen. Wereldwijd gaat het om duizenden servers, zo stelt securitybedrijf Fox IT op basis van eigen onderzoek. Begin november riep Citrix organisaties op om een kritieke kwetsbaarheid in Citrix Gateway en Citrix ADC, aangeduid als CVE-2022-27510, zo snel mogelijk te patchen. Via het beveiligingslek kan een aanvaller de authenticatie omzeilen en ongeautoriseerde toegang krijgen. Twee weken geleden waarschuwde Citrix organisaties voor een actief aangevallen zerodaylek (CVE-2022-27518) in Citrix ADC en Citrix Gateway waardoor een aanvaller kwetsbare systemen op afstand kan overnemen. Citrix ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. De luxere versies bieden ook bescherming tegen dos-aanvallen en een webapplicatiefirewall. Via de Citrix Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. Ondanks de oproep van Citrix, gevolgen van een succesvolle aanval en beschikbaarheid van beveiligingsupdates zijn er nog duizenden kwetsbare Citrix-servers vanaf het internet toegankelijk, aldus Fox IT. In Nederland telde het securitybedrijf meer dan duizend Citrix-servers. Zo'n vierhonderd daarvan zijn niet beschermd tegen CVE-2022-27510 en CVE-2022-27518. Procentueel gezien doet Nederland het echter beter dan andere landen. Zo is in de VS bijna zestig procent van de Citrix-servers niet up-to-date, wat neerkomt op zo'n 4400 machines.

WordPress-websites met cadeaubon-plug-in doelwit van aanvallen

WordPress-websites die gebruikmaken van een cadeaubon-plug-in, die op ruim 56.000 sites is geïnstalleerd, zijn het doelwit van aanvallen geworden, zo stelt securitybedrijf Wordfence. De aanvallers maken misbruik van een kritieke kwetsbaarheid in YITH WooCommerce Gift Cards. WooCommerce is een plug-in om van WordPress-sites een webwinkel te maken. De plug-in is op meer dan 5 miljoen WordPress-sites geïnstalleerd. Voor WooCommerce zijn ook weer allerlei plug-ins beschikbaar, waaronder YITH WooCommerce Gift Cards. Via deze plug-in is het mogelijk voor websites en webwinkels om cadeaubonnen te verkopen. Volgens de ontwikkelaar is de plug-in op 56.567 websites geïnstalleerd. Een kritiek beveiligingslek in de plug-in, aangeduid als CVE-2022-45359, maakt het mogelijk voor ongauthenticeerde aanvallers om uitvoerbare bestanden naar de website te uploaden. Zo kan een aanvaller een backdoor plaatsen, code uitvoeren en de website overnemen. Volgens Wordfence deden de meeste aanvallen zich voor de dag na de kwetsbaarheid openbaar werd gemaakt, gevolgd door een nieuwe piek op 14 december. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. "Aangezien de kwetsbaarheid eenvoudig is te misbruiken en volledige toegang tot kwetsbare websites biedt, verwachten we dat deze aanvallen nog lang blijven plaatsvinden", aldus onderzoeker Ram Gall. Websites die de plug-in gebruiken wordt aangeraden om te updaten naar versie 3.20.0 of nieuwer waarin het probleem is verholpen.

Synology-routers door kritieke kwetsbaarheden op afstand over te nemen

Routers van fabrikant van Synology bevatten verschillende kritieke kwetsbaarheden waardoor ze op afstand zijn over te nemen of aanvallers de mogelijkheid geven om willekeurige bestanden te lezen. Synology heeft firmware-updates uitgebracht om de problemen te verhelpen. De beveiligingslekken bevinden zich in de Synology Router Manager (SRM), het besturingssysteem dat op elke Synology-router draait. Verschillende kwetsbaarheden in SRM 1.2 en 1.3 maken het voor een remote aanvaller mogelijk om willekeurige commando's op de router uit te voeren, willekeurige bestanden te lezen of een denial-of-service uit te voeren. De beveiligingslekken werden onder andere gevonden door de bekende beveiligingsonderzoeker Orange Tsai van securitybedrijf Devcore. Synology roept gebruikers op om te updaten naar SRM 1.2.5-8227-6 of SRM 1.3.1-9346-3 of nieuwer.

Wachtwoordmanager Passwordstate kan door kritiek lek wachtwoorden lekken

Een kritieke kwetsbaarheid in de wachtwoordmanager Passwordstate maakt het mogelijk voor aanvallers om de wachtwoorden van gebruikers te stelen. Alleen het weten van een gebruikersnaam is voldoende, authenticatie of interactie van gebruikers is niet vereist. Click Studios, de ontwikkelaar van Passwordstate, heeft inmiddels een beveiligingsupdate uitgebracht. Passwordstate is een on-premise webgebaseerde oplossing voor zakelijk wachtwoordbeheer. Organisaties moeten die op een eigen server installeren. Via de wachtwoordmanager kunnen medewerkers wachtwoorden opslaan en delen. Dit moet het bijvoorbeeld eenvoudiger voor teams maken om wachtwoorden uit te wisselen of teamleden van de benodigde inloggegevens te voorzien. Volgens Click Studios wordt de wachtwoordmanager door 29.000 klanten en 370.000 it-professionals wereldwijd gebruikt, waaronder Fortune 500-bedrijven. Passwordstate biedt verschillende API's om met de wachtwoordenkluis te communiceren. Onderzoekers van Modzero ontdekten dat het mogelijk is voor een ongeauthenticeerde aanvaller om de authenticatie van de API te omzeilen. Alleen het weten van een gebruikersnaam is voldoende om opslagen wachtwoorden, one-time passwords, wachtwoordenlijsten en andere 'secrets' van de gebruiker op te vragen. "Vanwege de ontbrekende end-to-end encryptie van wachtwoorden, zijn wachtwoorden via deze aanval in cleartext te achterhalen", aldus de onderzoekers. De impact van de kwetsbaarheid, aangeduid als CVE-2022-3875, is op een schaal van 1 tot en met 10 beoordeeld met een 9.1. De onderzoekers van Modzero vonden ook verschillende andere kwetsbaarheden in de wachtwoordmanager, maar die zijn minder ernstig van aard. Click Studios werd op 19 augustus van dit jaar over de beveiligingslekken ingelicht. Op 5 september werd de kritieke kwetsbaarheid verholpen. Organisaties wordt dan ook aangeraden om hun software te updaten. Vorig jaar werd Click Studios het slachtoffer van een supply-chain-aanval. Het lukte aanvallers om het updatemechanisme van de wachtwoordmanager te compromitteren en zo een update te verspreiden die klanten met malware genaamd 'Moserpass' infecteerde.

Kritiek lek in network bridges Hikvision laat aanvaller met camera's meekijken

In twee wireless network bridges van fabrikant Hikvision is een kritieke kwetsbaarheid gevonden waardoor een aanvaller op afstand met aangesloten beveiligingscamera's kan meekijken of daarop aanvallen kan uitvoeren. De DS-3WF0AC-2NT en DS-3WF01C-2N/O zijn network bridges voor beveiligingscamera's. De camera wordt op de bridge aangesloten die vervolgens de camerabeelden draadloos verstuurt. De managementinterface van de apparaten gaat niet goed om met gebruikersinvoer. Door het versturen van een speciaal geprepareerd pakket kan een aanvaller beheerderstoegang krijgen. Dit kan zowel vanaf het internet als lokaal netwerk, zolang een aanvaller toegang tot de interface heeft. Vervolgens is het mogelijk om met de aangesloten camera's mee te kijken of die aan te vallen. De impact van de kwetsbaarheid, aangeduid als CVE-2022-28173, is op een schaal van 1 tot en met 10 beoordeeld met een 9.1. Onderzoekers van securitybedrijf Redinent ontdekten het beveiligingslek op 11 augustus en rapporteerden dit op 16 september bij het Indiase CERT. Hikvision bevestigde de kwetsbaarheid op 4 november en kwam op 16 december met een firmware-update.

Actief misbruik van Microsoft Exchange Servers

Microsoft werkt mitigerende maatregelen bij

Microsoft heeft laten weten dat ze niet langer aanraden om de mitigerende maatregelen tegen CVE-2022-41040 te gebruiken. Deze maatregelen zijn daarom uit het beveiligingsadvies verwijderd. De andere mitigerende maatregelen die Microsoft uitgebracht heeft blijven van kracht. 

Criminelen verspreiden Play-ransomware via recent verholpen Exchange-lekken

Criminelen maken gebruik van twee bekende kwetsbaarheden in Microsoft Exchange om organisaties met de Play-ransomware te infecteren. Onlangs werden de gemeente Antwerpen en Duitse hotelketen H-Hotels slachtoffer van de Play-ransomware. Hoe deze aanvallen konden plaatsvinden is niet bekendgemaakt, maar securitybedrijf Crowdstrike meldt dat verschillende recente aanvallen met de Play-ransomware via twee kwetsbaarheden in Microsoft Exchange plaatsvonden. Het gaat om de beveiligingslekken aangeduid als CVE-2022-41080 en CVE-2022-41082. Microsoft waarschuwde eind september dat aanvallers actief misbruik van CVE-2022-41082 en nog een andere Exchange-kwetsbaarheid maakten. Om organisaties te beschermen kwam het techbedrijf met tijdelijke mitigatiemaatregelen die uit url-rewrites bestonden. Via deze url-rewrites moest misbruik van de twee beveiligingslekken worden voorkomen. Op 8 november kwam Microsoft met beveiligingsupdates om de twee kwetsbaarheden te verhelpen. Aanvallers blijken CVE-2022-41080 en CVE-2022-41082 nu te gebruiken om Exchange-servers op afstand over te nemen. Daarbij maken ze gebruik van een nieuwe exploitmethode die de door Microsoft aanbevolen url-rewrites omzeilt, aldus Crowdstrike. Zodra de aanvallers toegang hebben installeren ze de software AnyDesk en Plink om toegang te behouden. Vervolgens worden de Windows Event Logs gewist, gegevens gestolen en ransomware uitgerold. De aanval werkt niet tegen organisaties die de beschikbare beveiligingsupdates hebben geïnstalleerd.

Kritieke Windows-fout gevonden die vergelijkbaar is met EternalBlue

Microsoft heeft de ernst van een al eerder gevonden fout verhoogd naar kritiek. Het gaat om CVE-2022-37958, dat - zo blijkt nu - vergelijkbaar is met EternalBlue. EternalBlue was een kwetsbaarheid in Windows die in 2017 misbruikt werd om de ransomware WannaCry te verspreiden, waardoor computernetwerken wereldwijd offline werden gehaald. Net als bij EternalBlue is het met de nieuwe fout mogelijk om malafide code uit te voeren, zonder dat hier authenticatie voor vereist is, schrijft Ars Technica. Het gat is bovendien wormbaar, wat betekent dat een malware zich na een eerste infectie zelf kan verspreiden op andere kwetsbare systemen, zonder dat hier handelingen van mensen voor nodig zijn. Die eigenschap zorgde er in 2017 ook voor dat WannaCry zich razendsnel wereldwijd kon verspreiden. Het nieuwe gat is mogelijk echter nog gevaarlijker dan EternalBlue. EternalBlue kon alleen misbruikt worden via de SMB, een protocol waarmee bijvoorbeeld bestanden gedeeld worden op een netwerk. Het nieuwe gat zit in veel meer netwerkprotocollen, wat betekent dat aanvallers veel meer mogelijkheden hebben om deze te misbruiken. CVE-2022-37958 is al in september dit jaar gedicht door Microsoft, tijdens de maandelijks Patch Tuesday. Maar Microsoft-onderzoekers dachten in eerste instantie dat het gat een minder groot probleem vormde. Op dat moment werd namelijk gedacht dat de kwetsbaarheid alleen mogelijk gevoelige informatie openbaar maakte. Daarom werd de fout als 'belangrijk' aangemerkt. IBM-beveiligingsonderzoeker Valentina Palmiotti analyseerde de fout later, zoals routine is bij gedichte gaten. Zij ontdekte vervolgens dat het gat vergelijkbaar is met EternalBlue, waarna Microsoft de ernst verhoogde naar 'kritiek'. Palmiotti is echter voorzichtig optimistisch tegenover Ars Technica: "EternalBlue was een zeroday, maar dit is gelukkig een N-Day die drie maanden geleden al gepatcht is." Daarentegen zijn diverse organisaties traag met het installeren van patches, wat betekent dat er mogelijk toch nog kwetsbare systemen zijn. Hoeveel systemen nog kwetsbaar zijn voor CVE-2022-37958 is onduidelijk. 

Microsoft ontdekt lek in macOS om Gatekeeper-beveiliging te omzeilen

Microsoft heeft eind juli een kwetsbaarheid in macOS ontdekt waardoor de Gatekeeper-beveiliging van het besturingssysteem is te omzeilen. Apple kwam op 24 oktober met een update voor het probleem (CVE-2022-42821), maar vermeldde dit in eerste instantie niet in het beveiligingsbulletin. De kwetsbaarheid werd pas vorige week door Apple aan de reeks met opgeloste problemen toegevoegd. Gatekeeper moet ervoor zorgen dat alleen vertrouwde apps worden uitgevoerd. De kwetsbaarheid die Microsoft-onderzoeker Jonathan Bar Or ontdekte maakte het mogelijk om deze controle te omzeilen. Wanneer Mac-gebruikers een applicatie via de browser downloaden wordt er een speciaal attribuut aan het gedownloade bestand toegevoegd. Dit attribuut wordt vervolgens gebruikt voor de Gatekeeper-controle.Gatekeeper kijkt of het om een gesigneerd en door Apple goedgekeurd bestand gaat. Vervolgens verschijnt er een prompt voordat de app wordt gestart. Is de app niet gesigneerd en door Apple genotarized, dan zal de gebruiker een waarschuwing te zien krijgen dat de app niet kan worden gestart. Bar Or ontdekte dat het door middel van Access Control Lists (ACLs), een mechanisme voor het instellen van permissies van bestanden of directories, mogelijk is om ervoor te zorgen dat het speciale attribuut niet aan het gedownloade bestand kan worden toegevoegd. Daardoor ziet macOS het niet als een bestand afkomstig van internet en zal het gewoon zonder verdere meldingen uitvoeren. Om misbruik van de kwetsbaarheid te maken zou een slachtoffer wel eerst een malafide bestand moeten downloaden en openen.

Cisco waarschuwt organisaties voor groot aantal actief aangevallen lekken

Cisco waarschuwt organisaties die van de netwerkapparatuur van het bedrijf gebruikmaken voor negentien bekende kwetsbaarheden waar aanvallers actief misbruik van maken en systemen mee kunnen overnemen of platleggen. Vijf van de beveiligingslekken zijn als kritiek aangemerkt. Het gaat onder andere om kwetsbaarheden in de "smart installatie" feature van Cisco IOS en IOS XE waardoor een ongeauthenticeerde aanvaller op afstand code kan uitvoeren. Ook noemt Cisco kwetsbaarheden in de dsl vpn-routers RV132W en RV134W, alsmede Cisco HyperFlex HX en het Cisco Secure Access Control System. Het gaat hierbij om beveiligingslekken uit 2018 en 2021. Cisco zegt dat het vorig jaar november en in maart van dit jaar misbruik van de kwetsbaarheden heeft waargenomen. Dat geldt ook voor de andere veertien kwetsbaarheden. Daarop heeft Cisco nu besloten om de eerder uitgegeven beveiligingsbulletins van een update te voorzien en organisaties nogmaals op te roepen de beschikbare updates te installeren. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security houdt een lijst van actief aangevallen kwetsbaarheden bij. De beveiligingslekken waarvoor Cisco klanten nu waarschuwt verschenen eerder op deze lijst.

Facebook-accounts waren door kritieke kwetsbaarheid over te nemen

Een kritieke kwetsbaarheid maakte het mogelijk voor een aanvaller om Facebook-accounts over te nemen, ook al hadden gebruikers tweefactorauthenticatie (2FA) ingeschakeld, zo ontdekte een beveiligingsonderzoeker. Een andere onderzoeker ontdekte een manier om de sms-gebaseerde 2FA van Facebook te omzeilen. Dat heeft het bedrijf vandaag bekendgemaakt. Onderzoeker Yaala Abdellah vond een kwetsbaarheid in het telefoonnummer-gebaseerde accountherstel van Facebook waardoor een aanvaller het wachtwoord kon resetten en het account overnemen als er geen 2FA voor was ingeschakeld. De onderzoeker meldde het probleem aan Facebook. Terwijl Facebook de kwetsbaarheid onderzocht vond Abdellah ook een manier om de tweefactorauthenticatie te omzeilen. Dit probleem was met het eerdere beveiligingslek te combineren, waardoor hij ook accounts waarvoor 2FA was ingeschakeld had kunnen overnemen. Facebook verhielp beide problemen en beloonde de onderzoeker met een bedrag van in totaal 185.000 dollar. Daarvan was 163.000 dollar voor de kwetsbaarheid die het overnemen van accounts mogelijk maakte. Dit is het hoogste bedrag dat Facebook voor een kwetsbaarheid uitkeert. Abdellah was niet de enige onderzoeker die het dit jaar lukte om de 2FA van Facebook te omzeilen. Onderzoeker Gtm Mänôz ontdekte dat het mogelijk was om de verificatie-pincode, bedoeld om iemands telefoonnummer te bevestigen, door een kwetsbaarheid in de rate-limiting kwetsbaar was voor een bruteforce-aanval, en zo was te achterhalen. Facebook verhielp het probleem en beloonde de onderzoeker met een bedrag van ruim 27.000 dollar.

Microsoft verhelpt zerodaylek waarmee Windows Smartscreen werd omzeild

Tijdens de laatste patchdinsdag van 2022 heeft Microsoft één zerodaylek in Windows verholpen dat werd gebruikt voor het omzeilen van de Smartscreen-beveiliging. Eind oktober meldde beveiligingsonderzoeker Will Dormann dat de Smartscreen-beveiligingsmaatregel van Windows, die gebruikers een waarschuwing toont bij het openen van bestanden afkomstig van internet, door middel van een ongeldige handtekening is te omzeilen. Aanvallers maken al enige tijd actief misbruik van het probleem om systemen met ransomware te infecteren. Windows kent het Mark-of-the-Web (MOTW) toe aan bestanden die vanaf internet zijn gedownload. Bestanden worden dan van een aparte tag voorzien. Bij het openen van bestanden met een MOTW-tag zal Windows een extra waarschuwing aan gebruikers tonen of ze het bestand echt willen openen, aangezien het van internet afkomstig is. Onlangs lieten onderzoekers van HP Wolf Security weten dat eindgebruikers via nep-updates met de Magniber-ransomware werden geïnfecteerd. De zogenaamde software-update wordt vanaf malafide websites aangeboden. Het gaat om een zip-bestand waarin een JavaScript-bestand zit. Normaliter zouden gebruikers een waarschuwing te zien moeten krijgen dat ze een bestand openen dat van het internet afkomstig is. De waarschuwing verschijnt echter niet, wat komt doordat er een digitale handtekening aan het bestand is toegevoegd. Het is mogelijk om bestanden digitaal te signeren. Daardoor weten gebruikers van wie het bestand afkomstig is en dat de code sinds de publicatie niet is aangepast. Dormann deed verder onderzoek naar het malafide bestand en zag dat er een ongeldige handtekening was gebruikt die ervoor zorgt dat Windows de MOTW-waarschuwing niet toont. Om de kwetsbaarheid (CVE-2022-44698) te verhelpen is gisteren een beveiligingsupdate verschenen, die op de meeste systemen automatisch zal worden geïnstalleerd.

Apple verhelpt actief aangevallen zerodaylek in iOS en macOS

Apple heeft tijdens de laatste patchronde van het jaar een actief aangevallen zerodaylek in iOS en macOS verholpen. Via de kwetsbaarheid in WebKit kan een aanvaller willekeurige code op het systeem uitvoeren, waarbij alleen het bezoeken van een malafide of gecompromitteerde website of het te zien krijgen van een besmette advertentie voldoende is. Dergelijke aanvallen worden ook wel een drive-by download genoemd. WebKit is de door Apple ontwikkelde browser-engine. Alle browsers op iOS en iPadOS zijn verplicht om van WebKit gebruik te maken. Het zerodaylek, aangeduid als CVE-2022-42856, werd gevonden door een beveiligingsonderzoeker van Googles Threat Analysis Group. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. Volgens Apple is het lek gebruikt in aanvallen tegen iOS-versies voor iOS 15.1. Verdere details over de aanvallen zijn niet gegeven. Apple heeft het zerodaylek verholpen in macOS Ventura 13.1, iOS en iPadOS 15.7.2, iOS 16.1.2 en Safari 16.2 voor macOS Big Sur en macOS Monterey. Het is niet voor het eerst dat het techbedrijf dit jaar met updates voor actief aangevallen zerodaylekken in WebKit komt. Gebruikers wordt dan ook aangeraden om naar de nieuwste versie te updaten.

Actief misbruikte kwetsbaarheden in Veeam Backup

De Amerikaanse overheid waarschuwt voor twee actief misbruikte kwetsbaarheden in Veeam Backup & Replication waardoor aanvallers op afstand het systeem volledig kunnen overnemen. Veeam Backup & Replication is software voor het back-uppen en restoren van fysieke, virtuele en cloudomgevingen en Microsoft Office 365. Begin dit jaar kwam de softwareontwikkelaar met updates voor twee kwetsbaarheden (CVE-2022-26500 en CVE-2022-26501) in de software. De Veeam Distribution Service die standaard op tcp-poort 9380 draait geeft ongeauthenticeerde gebruikers toegang tot interne API-functies. Een aanvaller kan via deze interne API code op het systeem uitvoeren. De impact van de kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Beide beveiligingslekken, gevonden door beveiligingsonderzoeker Nikita Petrov van Positive Technologies, werden op 12 maart van dit jaar verholpen. Het Cybersecurity and Infrastructure Security Agency (CISA), onderdeel van het Amerikaanse ministerie van Homeland Security, laat nu weten dat er actief misbruik van beide kwetsbaarheden is gemaakt. Federale Amerikaanse overheidsinstanties zijn nu opgeroepen om de betreffende updates voor 3 januari te installeren.

Kritieke kwetsbaarheden in Citrix ADC en Gateway

Softwarebedrijf Citrix heeft een kwetsbaarheid ontdekt in Citrix Gateway ADC en Gateway. De kwetsbaarheid heeft kenmerk CVE-2022-27518 en stelt een kwaadwillende in staat om op afstand willekeurige code uit te voeren. Een belangrijk detail is dat Citrix ADC en Gateway systemen alleen kwetsbaar zijn als ze geconfigureerd zijn met een SAML service provider (SP) of Identity Provider (IdP). Citrix schaalt deze kwetsbaarheid in als kritiek en roept beheerders op zo snel mogelijk gebruik te maken van de beschikbaar gestelde beveiligingsupdates. Onder de specifieke configuratie dat het Citrix ADC of Gateway systeem geconfigureerd is met een SAML service provider (SP) of Identity Provider (IdP) en draait op een kwetsbare versie (zie de volledige lijst hieronder) is het voor kwaadwillenden mogelijk om willekeurige code uit te voeren. Zowel Citrix als het Amerikaanse National Security Agency (NSA) spreken over actief misbruik, het NSA heeft tevens een document beschikbaar gesteld dat organisaties helpt bij het opsporen van mogelijk misbruik. 

Ga allereerst na of jouw Citrix Gateway of Citrix ADC geconfigureerd is met een SAML-service provider (SP) of Identity Provider (IdP). Ben je hier niet zeker van of kun je dit niet zelf? Vraag je IT-dienstverlener om je hierbij te assisteren.  

Ernstige kwetsbaarheid aangetroffen in Fortinet SSL-VPN

ortinet heeft een ernstige kwetsbaarheid verholpen in FortiOS SSL-VPN-functionaliteit. Het NCSC adviseert om de beschikbaar gestelde beveiligingsupdates zo spoedig mogelijk te installeren. Fortinet heeft tevens Indicators-of-Compromise (IoC's) gedeeld op basis waarvan organisaties kunnen nagaan of hun systemen zijn aangevallen. Wij raden aan om uw systemen op aanwezigheid van deze IoC's te controleren. Voor meer informatie verwijzen we u naar het NCSC-beveiligingsadvies met inschaling High/High en de advisory van Fortinet. Op laatstgenoemde vindt u tevens een overzicht van de getroffen versies. De kwetsbaarheid heeft het kenmerk CVE-2022-42475 gekregen. Door misbruik van de kwetsbaarheid kan een kwaadwillende willekeurige code uitvoeren op het kwetsbare systeem. Op die manier wordt de beveiliging van van het bedrijfsnetwerk doorbroken. Kwaadwillenden hoeven hiervoor niet ingelogd te zijn. Fortinet is op de hoogte van één geval waarin deze kwetsbaarheid is misbruikt. Het NCSC verwacht dat de kwetsbaarheid vaker zal worden misbruikt. Het verleden leert dat VPN-interfaces een geliefd doelwit zijn voor misbruik door kwaadwillenden. Dit soort systemen staan over het algemeen aan de rand van een bedrijfsnetwerk. Ze worden gebruikt om gebruikers op afstand via internet toegang te geven tot interne applicaties. Kwetsbaarheden in VPN-interfaces kunnen daarom een startpunt bieden om een netwerk binnen te dringen, waarna mogelijk ook andere systemen worden gecompromitteerd. Afhankelijk van de situatie, kan een kwaadwillende op die manier bijvoorbeeld toegang krijgen tot gevoelige informatie of een ransomware-aanval uitvoeren.

Duizenden kwetsbare Pulse Secure vpn-servers op internet

Op internet zijn duizenden Pulse Connect Secure vpn-servers te vinden die niet up-to-date zijn en zo risico lopen om te worden aangevallen, aldus securitybedrijf Censys. Het bedrijf vond op internet zo'n dertigduizend Pulse Secure vpn-servers waarvan vijftien procent (zo'n 4500) kwetsbaar is. In Nederland gaat het om ruim vijftig servers die achterlopen met beveiligingsupdates. Pulse Connect is een populaire vpn-oplossing waarmee bedrijven hun personeel verbinding met het bedrijfsnetwerk kunnen laten maken. Het is dan ook een interessant doelwit voor aanvallers. Afgelopen april lieten de FBI en Amerikaanse geheime dienst NSA weten dat een kwetsbaarheid in Pulse Secure in de Top 15 van vaak misbruikte kwetsbaarheden van 2021 staat. In 2020 werd bekend dat twee onderdelen van het ministerie van Justitie en Veiligheid maandenlang kwetsbaar waren door een ernstig beveiligingslek in Pulse Secure waarvoor beschikbare beveiligingsupdates niet waren geïnstalleerd. Ondanks de aanvallen op de vpn-software blijkt dat veel organisaties die niet updaten. Censys vond bijna zeventienhonderd vpn-servers die kwetsbaar zijn door beveiligingslekken uit 2018 en 2019. Verder blijkt dat ook ruim achttienhonderd vpn-servers een belangrijke update van vorig jaar april missen die meerdere kritieke kwetsbaarheden verhelpt. In Nederland werden door Censys 870 Pulse Secure vpn-servers gevonden, waarvan er 55 kwetsbaar zijn. Daarmee staat Nederland procentueel in de top wat betreft het aantal niet-kwetsbare machines. Dat komt mede door de overheid, die vorig jaar proactief besloot om bedrijven en organisaties met kwetsbare Pulse Secure vpn-servers te waarschuwen.

Kwetsbaarheid in Visual Studio Code maakt remote code execution mogelijk

Een onderzoeker van Google heeft een kwetsbaarheid in Microsoft Visual Studio Code gevonden waardoor remote code execution mogelijk is. Alleen het bezoeken van een malafide website of openen van een malafide link is voldoende voor een aanvaller om code op het systeem van gebruikers uit te voeren en machines waar ze via de Visual Studio Code Remote Development feature verbonden mee waren. Het probleem raakte GitHub Codespaces, github.dev, de webversie van Visual Studio Code for Web en in iets mindere mate Visual Studio Code desktop. Google-onderzoeker Thomas Shadwell die het probleem ontdekte stelt dat het om een kritieke kwetsbaarheid gaat, hoewel hij op een andere pagina de impact als 'high' bestempelt. Microsoft classificeert het beveiligingslek als "belangrijk" met een impactscore van 7,8 op een schaal van 1 tot en met 10. Visual Studio Code is een editor voor het ontwikkelen van applicaties. Shadwell ontdekte een manier waardoor het via een malafide link of website mogelijk is om Visual Studio Code remote content van een server te laten laden die in 'trusted mode' op het systeem wordt uitgevoerd, waarmee een aanvaller vervolgens commando's op het systeem kan uitvoeren alsof die van de gebruiker afkomstig zijn. De kwetsbaarheid, aangeduid als CVE-2022-41034, werd op 24 augustus aan Microsoft gerapporteerd en op 11 oktober met een beveiligingsupdate verholpen.

Androidtelefoons via bluetooth-kwetsbaarheid op afstand over te nemen

Google waarschuwt eigenaren van een Androidtelefoon voor een kritieke kwetsbaarheid waardoor toestellen via bluetooth op afstand zijn over te nemen. Er zijn beveiligingsupdates beschikbaar gemaakt om het probleem, aangeduid als CVE-2022-20411, te verhelpen. Gebruikers wordt dan ook aangeraden om hun smartphone te updaten. Elke maand komt Google met beveiligingsupdates voor Android. Tijdens de laatste patchronde van dit jaar zijn in totaal 81 kwetsbaarheden in het besturingssysteem verholpen. Vier daarvan zijn als kritiek aangemerkt. Het gaat om twee beveiligingslekken in het Android Framework die remote code execution mogelijk maken. Op welke manier precies laat Google niet weten. De andere twee kritieke kwetsbaarheden bevinden zich in het Android System. Eén daarvan maakt het mogelijk voor een aanvaller om informatie te stelen. Het komt zelden voor dat dergelijke kwetsbaarheden als kritiek worden bestempeld. Google geeft echter geen details. Het gevaarlijkste beveiligingslek deze maand is volgens Google de andere kritieke kwetsbaarheid in Android System, CVE-2022-20411. Dit lek laat een aanvaller namelijk via bluetooth op afstand code op Androidtoestellen uitvoeren, zonder dat er enige rechten zijn vereist. Net als bij de andere kwetsbaarheden wordt er geen verdere informatie gegeven. Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de december-updates ontvangen zullen '2022-12-01' of '2022-12-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van december aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 10, 11, 12, 12L en 13. Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.

Netgear Nighthawk-router door misconfiguratie kwetsbaar voor remote aanvallen

De Nighthawk-router van fabrikant Netgear blijkt standaard verkeerd te geconfigureerd te zijn waardoor diensten zoals ssh en telnet voor heel het internet toegankelijk zijn, terwijl dat eigenlijk alleen vanaf de LAN-kant zou moeten. Netgear heeft een firmware-update beschikbaar gemaakt, maar gebruikers moeten die vanwege een probleem met de automatische updatefunctie handmatig downloaden, zo stelt securitybedrijf Tenable. De misconfiguratie in de router bevindt zich in versies voor versienummer V1.0.9.90 en zorgt ervoor dat onbeperkte communicatie mogelijk is met poorten die via ipv6 op de WAN-poort luisteren. Het gaat dan bijvoorbeeld om ssh en telnet. Daardoor kan een aanvaller deze diensten vanaf het internet benaderen, terwijl die eigenlijk alleen vanaf de LAN-kant toegankelijk zouden moeten zijn. Netgear heeft het probleem in firmware V1.0.9.90 verholpen. In de beschrijving van de update staat alleen dat er kwetsbaarheden zijn verholpen, niet wat die precies inhouden. Daarnaast is er een probleem met de automatische updatefunctie, waardoor de update niet automatisch wordt gedownload. Gebruikers moeten die dan ook handmatig installeren.

Kwetsbaarheid in VLC media player maakt remote code execution mogelijk

Er is een nieuwe versie van de populaire mediaspeler VLC media player verschenen die meerdere kwetsbaarheden verhelpt, waaronder een beveiligingslek dat remote code execution mogelijk maakt. Op sommige systemen geeft de software echter ten onrechte aan dat er geen update beschikbaar is, wat inhoudt dat gebruikers handmatig moeten updaten. VLC 3.0.18 verhelpt meerdere problemen die kunnen leiden tot een denial of service of crashes. Een kwetsbaarheid verdient de meeste aandacht. Wanneer een gebruiker een malafide vnc-link opent kan dit leiden tot een buffer overflow en een aanvaller code op het systeem laten uitvoeren. Gebruikers wordt dan ook aangeraden om naar de nieuwste versie te updaten. Didier Stevens van het Intern Storm Center laat weten dat bij verschillende Windows-versies de updateserver ten onrechte meldt dat er geen nieuwe versie beschikbaar is, waardoor gebruikers met een kwetsbare versie blijven werken. VLC-ontwikkelaar VideoLAN is hierover ingelicht. Gebruikers kunnen de nieuwste versie ook zelf downloaden via VideoLAN.org.

Google komt met update voor actief aangevallen zerodaylek in Chrome

Gebruikers van Google Chrome worden opgeroepen om hun browser met spoed te updaten. Aanleiding is een actief aangevallen zerodaylek in de software. Net als bij de acht vorige zerodays van dit jaar waarvoor Google een patch uitbracht geeft het techbedrijf geen details over de aard van de aanvallen. Het negende zerodaylek in Chrome van 2022, aangeduid als CVE-2022-4262, bevindt zich in V8. Dit is de JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript en waarin het afgelopen jaar al tal van andere zerodaylekken werden gevonden. De impact van de kwetsbaarheid is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google geeft geen details over de doelwitten van de waargenomen aanvallen en hoe ze precies plaatsvinden. De kwetsbaarheid werd gevonden door een onderzoeker van Googles Threat Analysis Group. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. Google Chrome 108.0.5359.94/.95 is beschikbaar voor macOS, Linux en Windows. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar.