Kwetsbaarheden CVE's

2024 | 2023 | 2022 | 2021

december | november | oktober | september | augustus | juli | juni | mei | april | maart | februari | januari 

NCSC waarschuwt voor kritieke kwetsbaarheid in Spring Framework

Het Nationaal Cyber Security Centrum (NCSC), onderdeel van het ministerie van Justitie en Veiligheid, heeft een aparte waarschuwing afgegeven voor een kritieke kwetsbaarheid in het populaire Spring Core Framework. De impact van mogelijk misbruik kan groot voor organisaties zijn, aldus de overheidsinstantie. Het Spring Framework is een veelgebruikt Java-platform voor het ontwikkelen van Java-applicaties. Die kunnen zowel standalone draaien of in webapplicatie-omgevingen als Tomcat. Een beveiligingslek in de software, met de naam Spring4Shell, laat een ongeauthenticeerde aanvaller willekeurige code op kwetsbare systemen uitvoeren. "Hiermee kan toegang tot gevoelige informatie binnen die applicatie worden verkregen", zo laat het NCSC weten. Ook kan de kwetsbaarheid mogelijk leiden tot de uitvoer van willekeurige code met verhoogde rechten op het onderliggende systeem. Volgens het Nationaal Cyber Security Centrum is de kans op misbruik groot en kan dit tot grote schade leiden. "De impact van mogelijk misbruik kan groot zijn, ga daarom na of uw organisatie gebruik maakt van een kwetsbare versie van Spring Core Framework", aldus het NCSC. Spring heeft inmiddels beveiligingsupdates uitgebracht. Gebruikers worden aangeraden om te updaten naar versies 5.3.18 of 5.2.20. Verschillende online bronnen melden dat er inmiddels actief misbruik van de kwetsbaarheid wordt gemaakt. Het NCSC zegt de situatie nauwgezet te monitoren. De overheidsinstantie staat in contact met (inter)nationale partners en doelgroepen om nadere informatie over dit incident snel te duiden en te delen.

Kyocera-printers kunnen gebruikersnaam en wachtwoorden lekken

Een kwetsbaarheid in printers van Kyocera maakt het mogelijk voor aanvallers om gebruikersnamen en wachtwoorden te bemachtigen en een beveiligingsupdate is niet beschikbaar. De enige vereiste voor het uitvoeren van een aanval is toegang tot een service gebruikt voor printerbeheer. Een aanvaller hoeft niet over inloggegevens te beschikken. Veel Kyocera-printers zijn zowel lokaal als op afstand via Net Viewer te beheren. Dit is een beheertool die wordt gebruikt om alle afdrukapparatuur lokaal en op afstand te controleren, onderhouden en bij te werken. Via Net Viewer kunnen beheerders firmware op alle aangesloten printers installeren. Net Viewer maakt gebruik van een API die normaliter alleen met authenticatie werkt. Onderzoekers van securitybedrijf Rapid7 ontdekten dat het mogelijk is om zonder authenticatie een request te versturen waarmee adresboeken zijn op te vragen. Deze adresboeken bevatten e-mailadressen, gebruikersnamen en wachtwoorden. Een aanvaller zou zo opgeslagen wachtwoorden voor FTP- en SMB-servers kunnen achterhalen. Afhankelijk van de instellingen kan een aanvaller ook alle eerder gemaakte en toekomstige prints en scans stelen. Rapid7 waarschuwde Kyocera op 16 november, maar de printerfabrikant heeft nog altijd geen firmware-updates beschikbaar gemaakt. De impact van het beveiligingslek, aangeduid als CVE-2022-1026, is op een schaal van 1 tot en met 10 beoordeeld met een 8.6. Organisaties wordt dan ook aangeraden om de SOAP-interface op tcp-poort 9091 van kwetsbare printers uit te schakelen. Verder stellen de onderzoekers dat printers nooit direct vanaf het internet toegankelijk zouden moeten zijn.

Google lanceert Chrome 100 en verhelpt 28 kwetsbaarheden

Google heeft Chromeversie 100 gelanceerd waarmee onder andere 28 kwetsbaarheden in de browser worden verholpen. Het is ook de laatste Chromeversie met een onbeperkte user-agent-string. De maximale impact van de beveiligingslekken is beoordeeld als "high". Voor zover bekend is nog geen van de kwetsbaarheden gebruikt bij aanvallen. In het geval van beveiligingslekken met het label "high" kan een aanvaller in het ergste geval code binnen de context van de browser uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Kwetsbaarheden met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem.

User-Agent

Tevens laat Google weten dat Chrome 100 de laatste versie van de browser is met een onbeperkte user agent-string. De user-agent-string, die met elk http-request wordt verstuurd, bevat informatie over onder andere het besturingssysteem van de gebruiker, gebruikte browser en versienummer, apparaatmodel en onderliggende architectuur. De combinatie van deze parameters en grote aantal mogelijke waardes zorgt ervoor dat internetgebruikers alleen aan de hand van hun user-agent zijn te identificeren. Google stelt dat de user-agent het fingerprinten van gebruikers mogelijk maakt. Daarnaast kan het voor compatibiliteitsproblemen zorgen wanneer browsers verkeerde informatie via de user-agent doorgeven. Google is van plan om de informatie die via de user-agent wordt verstrekt geleidelijk te beperken. Websites zullen dan niet meer zien welke specifieke browserversie of besturingssysteem iemand gebruikt. De test waarmee websites de volledig beperkte user-agent konden testen zal op 19 april eindigen. Daarna zal de user-agent steeds verder worden beperkt, zo laat Google weten. Updaten naar Chrome 100.0.4896.60 zal op de meeste systemen automatisch gebeuren.

Sophos meldt actief misbruik van kritieke kwetsbaarheid in firewallsoftware

Securitybedrijf Sophos waarschuwt klanten voor een kritieke kwetsbaarheid in de firewallsoftware waar aanvallers actief misbruik van maken. Het beveiligingslek in Sophos Firewall laat een aanvaller op afstand de authenticatie in de User Portal en Webadmin omzeilen om vervolgens willekeurige code op het systeem uit te voeren. De impact van het beveiligingslek, aangeduid als CVE-2022-1040, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Sophos maakte op 25 maart een beveiligingsupdate beschikbaar, maar kwam gisteren met aanvullende informatie. Het securitybedrijf laat weten dat de kwetsbaarheid is gebruikt bij aanvallen tegen een klein aantal specifieke organisaties in Zuid-Azië. De aangevallen organisaties zijn inmiddels ingelicht. Sophos zegt met verdere informatie te zullen komen. Naast het installeren van de beveiligingsupdate adviseert Sophos als workaround om de User Portal en Webadmin niet toegankelijk vanaf het internet te maken.

Amerikaanse overheid moet Chrome- en Redis-lekken voor 18 april patchen

Federale Amerikaanse overheidsinstanties moeten actief aangevallen kwetsbaarheden in Google Chrome en Redis, alsmede dertig andere beveiligingslekken, voor 18 april patchen, zo heeft het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security bepaald. Redis is een cachingoplossing die als databaseserver kan worden gebruikt of kan helpen om de prestaties van databases te verbeteren. Op 18 februari verscheen er een beveiligingsupdate voor een kritieke kwetsbaarheid die remote code execution mogelijk maakt. De impact van het beveiligingslek, aangeduid als CVE-2022-0543, is op een schaal van 1 tot en met 10 met een 10.0 beoordeeld. Onlangs werd bekend dat een botnet misbruik van de kwetsbaarheid maakt. Afgelopen vrijdag kwam Google met een noodpatch voor een actief aangevallen zerodaylek in Chrome. Het CISA houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren. De lijst wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. De nieuwste toevoeging bestaat uit 32 kwetsbaarheden. Alleen de lekken in Chrome en Redis zijn van dit jaar. Het grootste deel, onder andere in Adobe Reader, Mozilla Firefox, Oracle Java en Windows, is al jaren oud.

Samba-lek geeft aanvaller remote toegang tot WD My Cloud-apparaten

Een kwetsbaarheid in de My Cloud-apparaten van harde schijffabrikant Western Digital (WD) maakt het mogelijk voor een aanvaller om op afstand code met rootrechten uit te voeren. WD heeft een firmware-update beschikbaar gemaakt en roept gebruikers op om die spoedig te installeren. My Cloud is het besturingssysteem dat onder andere op de NAS-systemen en netwerkschijven van WD draait en ervoor zorgt dat gebruikers hun thuis opgeslagen data vanaf het internet kunnen benaderen. Op 31 januari waarschuwde Samba voor een kritieke kwetsbaarheid in de eigen VFS-module. Samba is een opensourceprogramma dat van het smb-protocol gebruikmaakt en bijvoorbeeld Windows-machines met Unix-machines via zowel lokale netwerken als het internet laat communiceren. Via verschillende Virtual File System (VFS) modules is het mogelijk om de mogelijkheden van Samba verder uit te breiden. Een van deze modules is vfs_fruit, die voor betere compatibiliteit met Apple Server Message Block (SMB) clients en interoperabiliteit met Netatalk 3 Apple Filing Protocol (AFP) fileservers zorgt. Een kwetsbaarheid in de module, aangeduid als CVE-2021-44142, laat een aanvaller op afstand op kwetsbare systemen code als root uitvoeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 met een 9.9 beoordeeld. De kwetsbare Samba-module is ook aanwezig in My Cloud OS 5. WD heeft nu firmware-updates uitgerold waarin de Samba-update is doorgevoerd en het probleem verholpen. Gebruikers wordt aangeraden de update snel te installeren.

VS waarschuwt voor actief misbruik van lek in Windows Print Spooler

Een kwetsbaarheid in Windows waarvoor vorige maand een beveiligingsupdate verscheen wordt inmiddels actief bij aanvallen misbruikt, zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Amerikaanse federale overheidsinstanties zijn opgedragen om de patch voor 15 april te installeren. Het beveiligingslek, aangeduid als CVE-2022-21999, bevindt zich in de Windows Print Spooler en maakt het mogelijk voor een aanvaller die al toegang tot een systeem heeft om zijn rechten te verhogen. De kwetsbaarheid alleen is niet voldoende om een systeem over te nemen. Microsoft rolde op 8 februari een update voor het probleem uit en meldde toen dat er geen misbruik van werd gemaakt. Dat is inmiddels veranderd, aldus het CISA. Kwetsbaarheden in de Windows Print Spooler zijn in het verleden vaker gebruikt bij aanvallen. Het CISA houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren. De lijst wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. De nieuwste toevoeging bestaat uit 66 kwetsbaarheden. Het grootste deel daarvan (63) betreft beveiligingslekken van vorig jaar en ouder. De kwetsbaarheden van dit jaar zijn naast de Windows Print Spooler aanwezig in firewalls van WatchGuard en Mitel MiCollab/MiVoice Business Express systemen. Het beveiligingslek in WatchGuard-firewalls werd gebruikt bij aanvallen door de Cyclops Blink-malware. De Mitel-kwetsbaarheid maakt het mogelijk om ddos-aanvallen te versterken. Ook voor deze problemen moeten overheidsinstanties de update binnen drie weken uitrollen.

Google verhelpt actief aangevallen zerodaylek in Chrome

Google heeft een beveiligingsupdate uitgebracht voor een actief aangevallen zerodaylek in Chrome. Vorige maand moest het techbedrijf wegens een zeroday ook al met een noodpatch komen. Het beveiligingslek, aangeduid als CVE-2022-1096, bevindt zich in V8. Dit is de JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript en waarin het afgelopen jaar al tal van andere zerodaylekken werden gevonden. Een anonieme beveiligingsonderzoeker rapporteerde het probleem op 23 maart aan Google. De impact van de kwetsbaarheid is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Kwetsbaarheden met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google geeft geen details over de doelwitten van de waargenomen aanvallen en hoe ze precies plaatsvinden. Vorige week meldde het techbedrijf dat het zerodaylek van afgelopen maand werd gebruikt voor aanvallen tegen Amerikaanse nieuwsmedia, domeinregistrars, it-leveranciers, cryptobedrijven, softwareontwikkelaars en hostingproviders. Gebruikers krijgen het advies om te updaten naar Google Chrome 99.0.4844.84, die beschikbaar is voor Linux, macOS en Windows. Dit zal op de meeste systemen automatisch gebeuren. Microsoft Edge Chromium is net als Chrome op de Chromium-browser gebaseerd. Microsoft heeft inmiddels ook een update voor de eigen browser uitgerold.

Google waarschuwt gebruikers om Chrome onmiddellijk te updaten

Gebruik je Google Chrome als webbrowser? Dan doe je er verstandig aan om meteen te updaten. Er zijn veiligheidsproblemen ontdekt. Google Chrome is de mees gebruikte webbrowser in de wereld. Een logische keuze want met het programma surf je razendsnel en makkelijk door het internet. Doordat de browser zoveel gebruikt wordt, is het ook een ontzettend populair slachtoffers voor hackers. Zij doen er dan ook alles aan om in te breken om zo gegevens buit te maken. Het is dan ook normaal dat Google regelmatig updates uitbrengt om de hackers voor te blijven. Nu is het extra urgent om de laatste versie van het programma te installeren. Afgelopen week bracht Google versie 99.0.4844.84 uit voor Windows, Mac en Linux. Een van de belangrijkste punten van deze software is dat het een zwakheid in de beveiliging verhelpt. Het gaat om een probleem rondom CVE-2022-1096, wat er voor zorgt dat er van afstand kan worden ingebroken. Het probleem in Google Chrome zorgt voor verwarring bij het systeem omtrent de JavaScript-engine. Hierdoor kan een hacker de browser laten crashen en vervolgens codes kan invoeren om een computer te infecteren met schadelijke software zoals malware en ransomware. Volgens Google wordt de fout in Chrome al gebruikt, waardoor het niet al te open erover kan zijn. Ook zegt het bedrijf niet door wie het wordt misbruikt en op welke manier.

Beveiligingslek in HP-printers maakt remote code execution mogelijk

HP waarschuwt eigenaren van verschillende printermodellen voor kritieke kwetsbaarheden waardoor remote code execution mogelijk is en een aanvaller op afstand code op de printers kan uitvoeren. Er zijn firmware-updates beschikbaar gemaakt om de problemen te verhelpen. Het gaat in totaal om vier beveiligingslekken waarvan drie als kritiek zijn aangemerkt (CVE-2022-24292, CVE-2022-24293 en CVE-2022-3942). De impact van de eerste twee van deze kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het andere lek, CVE-2022-3942, heeft een impactscore van 8.4. Deze kwetsbaarheid is echter in meer dan tweehonderd printermodellen aanwezig en betreft een buffer overflow die remote code execution mogelijk maakt. Het probleem is aanwezig in het LLMNR (Link-Local Multicast Name Resolution)-protocol van de printers. Verdere details zijn niet door HP gegeven. Naast het installeren van de firmware-update kunnen gebruikers er ook voor kiezen om LLMNR op de printer uit te schakelen.

Witte Huis roept bedrijven op om direct zeven securitymaatregelen te nemen

Het Witte Huis heeft bedrijven opgeroepen om direct zeven securitymaatregelen te nemen en zo de cyberveiligheid van systemen, data en accounts te verbeteren. Aanleiding zijn mogelijke cyberaanvallen door Rusland. De Amerikaanse president Biden kwam gisteren met een verklaring waarin hij stelde dat er inlichtingen zijn dat de Russischer overheid de mogelijkheden voor het uitvoeren van cyberaanvallen aan het verkennen is. "We zullen al het mogelijke doen om het land te beschermen en op cyberaanvallen te reageren. Maar de realiteit is dat een groot deel van de vitale infrastructuur eigendom van de private sector is en de private sector in actie moet komen om de vitale diensten te beschermen waar alle Amerikanen gebruik van maken", aldus het Witte Huis. De Amerikaanse regering is daarom met een "Factsheet" gekomen waarin het ondernemingen oproept om met spoed zeven securitymaatregelen te nemen.

1. Verplicht gebruik van multifactorauthenticatie
2. Het gebruik van moderne securitytools om dreigingen te detecteren
3. Het controleren op softwarekwetsbaarheden en wijzigen van wachtwoorden
4. Het back-uppen van data en de back-ups offline bewaren
5. Het oefenen met noodscenario's om snel bij een incident te kunnen reageren
6. Het versleutelen van data
7. Het trainen en onderwijzen van personeel over aanvalstactieken en het melden van verdacht gedrag

Naast de beveiligingsadviezen heeft het Witte Huis ook nog aanbevelingen voor tech- en softwarebedrijven om de security van de Verenigde Staten op de lange termijn te verbeteren. Het gaat dan om het meenemen van security vanaf het eerste beging van de productontwikkeling, het alleen ontwikkelen van software op veilige systemen, het controleren van software op kwetsbaarheden, het toepassen van een 'software bill of materials' en het opvolgen van eerder gegeven security practices. Wat betreft de uitspraken van Biden over een mogelijke Russische cyberaanval liet Witte Huis-veiligheidsadviseur Anne Neuberger later weten dat het niet zeker is dat er een cyberaanval op de vitale infrastructuur zal plaatsvinden.

Kritieke kwetsbaarheid in Western Digital-app geeft aanvaller hogere rechten

Harde schijffabrikant Western Digital waarschuwt gebruikers van de EdgeRover-app voor een kwetsbaarheid waardoor een aanvaller met toegang tot het systeem zijn rechten kan verhogen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 door het Amerikaanse National Institute of Standards and Technology (NIST) beoordeeld met een 9.1. WD houdt een impactscore van 9.0 aan. EdgeRover is een applicatie voor het beheren van content op verschillende datadragers. Volgens WD bevat de applicatie een directory traversal kwetsbaarheid waardoor een aanvaller zijn rechten kan verhogen en uit file-system sandboxing kan breken. Hierdoor kan een aanvaller toegang tot gevoelige informatie krijgen of een denial of service veroorzaken, aldus de uitleg van de WD. De kwetsbaarheid, aangeduid als CVE-2022-22988, is verholpen door directory-permissies aan te passen zodat er alleen bestanden vanuit bepaalde mappen worden geladen. Western Digital heeft voor zowel de macOS- als Windows-versies van de software een update (versie 1.5.1-594) uitgebracht. Verdere details zijn niet bekendgemaakt. Western Digital heeft dit jaar vier beveiligingsbulletins uitgebracht, twee daarvan waren voor kwetsbaarheden in EdgeRover.

Onderzoek: 30 procent Log4j-instances nog altijd kwetsbaar

Dertig procent van de applicaties, servers en andere systemen die van Log4j gebruikmaken is nog altijd kwetsbaar, zo stelt securitybedrijf Qualys op basis van eigen onderzoek. Op 9 december werd er een kritiek lek in de Log4j2-library gevonden, waardoor het mogelijk is om systemen op afstand over te nemen. 72 uur na de bekendmaking van het beveiligingslek had Qualys naar eigen zeggen al bijna één miljoen aanvalspogingen gezien. Het bedrijf baseert zich op cijfers van het eigen cloudplatform, waarmee het "it assets" kan scannen. Log4Shell, zoals het beveiligingslek in Log4j wordt genoemd, werd in meer dan drie miljoen kwetsbare instances aangetroffen. Meer dan twee maanden later is dertig procent van de Log4j-instances nog altijd kwetsbaar. Uit het onderzoek bleek verder dat meer dan tachtig procent van de kwetsbare applicaties met Log4j open source is en meer dan de helft van de kwetsbare applicaties het stempel "end-of-support" heeft. Voor deze applicaties zullen dan ook waarschijnlijk geen beveiligingsupdates meer verschijnen. Het installeren van beveiligingsupdates of andere mitigaties duurde gemiddeld zeventien dagen. Systemen die vanaf afstand kon worden aangevallen werden daarbij sneller gepatcht (twaalf dagen) dan interne systemen. Log4Shell werd in meer dan 2800 webapplicaties aangetroffen. "Aangezien webapplicaties publiek toegankelijk zijn, was dit de voor veel bedrijven de eerste verdedigingslinie om vroege aanvallen af te slaan", zegt Mehul Revankar van Qualys.

OpenSSL-kwetsbaarheid maakt dos-aanval op servers en clients mogelijk

De ontwikkelaars van OpenSSL hebben nieuwe versies uitgebracht waarmee een kwetsbaarheid wordt verholpen die het mogelijk maakt om denial of service (dos)-aanvallen tegen onder andere TLS-servers en -clients uit te voeren. Het beveiligingslek, aangeduid als CVE-2022-0778, bevindt zich in een functie die bij het verwerken van certificaten wordt gebruikt en kan voor een oneindige loop zorgen. Het probleem doet zich in verschillende scenario's voor, zoals TLS-clients die servercertificaten verwerken, TLS-servers die clientcertificaten verwerken, hostingproviders die certificaten of private keys van klanten accepteren, certificaatautoriteiten die certificatieverzoeken van klanten verwerken, alsmede alle andere situaties waarbij OpenSSL wordt gebruikt voor het verwerken van ASN.1 elliptic curve parameters. "Aangezien het verwerken van het certificaat plaatsvindt voor de verificatie van de certificaathandtekening, kan elk proces dat extern aangeleverde certificaten verwerkt aan een denial of service-aanval worden blootgesteld", aldus de ontwikkelaars. De 'infinite loop' kan zich ook voordoen bij het verwerken van speciaal geprepareerde private keys, aangezien die ook specifieke elliptic curve parameters kunnen bevatten. De kwetsbaarheid is aanwezig in OpenSSL-versies 1.0.2, 1.1.1 en 3.0 en verholpen in versies 1.1.1n en 3.0.2. De impact van het beveiligingslek, dat door de bekende Google-onderzoeker Tavis Ormandy werd gevonden en gerapporteerd, is beoordeeld als "high". Dit het één na hoogste niveau wat OpenSSL aanhoudt. Voor beveiligingslekken die als high en critical zijn beoordeeld brengt het OpenSSL-team een nieuwe versie uit. OpenSSL behoort tot de meest gebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen, maar het wordt ook binnen allerlei applicaties gebruikt. Kwetsbaarheden in OpenSSL kunnen zeer grote gevolgen voor het internet hebben, zo heeft de Heartbleed Bug in het verleden aangetoond.

FBI: kwetsbaarheid in Duo MFA-protocol misbruikt bij aanval op NGO

Aanvallers hebben vorig jaar een NGO door middel van een zwak wachtwoord, een kwetsbaarheid in Cisco’s Duo multifactorauthenticatie (MFA)-protocol en het PrintNightmare-lek in Windows weten te compromitteren, zo claimt de FBI. De aanvallers wisten via een bruteforce-aanval toegang tot een account met een eenvoudig, voorspelbaar wachtwoord te krijgen. De aangevallen organisatie maakte gebruik van een oplossing van MFA-leverancier Duo voor het beveiligen van accounts. Het gecompromitteerde account was echter vanwege een lange periode van inactiviteit afgemeld bij Duo, maar niet uitgeschakeld in de Active Directory van de NGO. De standaardconfiguratie van Duo maakt het mogelijk om een nieuw apparaat voor een inactief account aan te melden. Zo konden de aanvallers hun eigen apparaat aan het gecompromitteerde account toevoegen, aan de authenticatievereisten voldoen en zo toegang tot het NGO-netwerk krijgen. Vervolgens maakten de aanvallers gebruik van het PrintNightmare-lek in Windows om hun rechten te verhogen en beheerder te worden. Ook wijzigden de aanvallers het domeincontrollerbestand, waardoor Duo MFA calls niet naar de Duo-server gingen, maar naar localhost. Hierdoor kan de MFA-service de server niet benaderen om de MFA-login te valideren, wat in principe multifactorauthenticatie voor actieve domeinaccounts uitschakelde. "Omdat het standaardbeleid van Duo voor Windows "Fail open" is wanneer de MFA-server niet kan worden bereikt. "Fail open" kan bij elke MFA-implementatie voorkomen", aldus de FBI. Na het effectief uitschakelen van MFA wisten de aanvallers op de VPN van de organisatie in te loggen en RDP-verbindingen naar domeincontrollers op te zetten. Vervolgens werden inloggegevens van andere domeinaccounts gestolen en de MFA-configuratie aangepast, zodat er voor deze nieuw gecompromitteerde accounts geen MFA meer was vereist. De aanvallers maakten hierbij voornamelijk gebruik van interne Windows-tools. Uiteindelijk wisten de aanvallers zich lateraal door het netwerk te bewegen en toegang te krijgen tot de cloudopslag en e-mailaccounts van de NGO. Volgens de FBI was de aanval het werk van door de Russische staat gesponsorde aanvallers. De FBI adviseert organisaties om verschillende maatregelen te nemen om dergelijke aanvallen te voorkomen. Zo moet MFA voor alle gebruikers zonder uitzondering worden ingesteld. Voor de implementatie moet echter het configuratiebeleid worden gecontroleerd om "Fail open" en het opnieuw aanmelden van apparaten te voorkomen. Verder wordt organisaties geadviseerd om een time-out en lock-out voor herhaaldelijk mislukte inlogpogingen in te stellen en ervoor te zorgen dat inactieve accounts overal zijn uitgeschakeld, zowel in de Active Directory, MFA-oplossing als andere systemen. Duo roept organisaties op om meteen hun accountstatus te controleren en doet verder verschillende aanbevelingen.

Google waarschuwt voor kritiek Chrome-lek dat aanvaller code laat uitvoeren

Google waarschuwt gebruikers van Chrome voor een kritieke kwetsbaarheid waardoor een aanvaller op afstand code op het systeem kan uitvoeren. Alleen het bezoeken van een malafide of gecompromitteerde website of het te zien krijgen van een besmette advertentie is voldoende, er is geen verdere interactie van gebruikers vereist. De kwetsbaarheid, aangeduid als CVE-2022-0971, werd door een onderzoeker van Google zelf gevonden. Kritieke kwetsbaarheden komen zeer zelden voor in Chrome, hoewel de teller dit jaar inmiddels op drie staat. Twee daarvan werden gevonden door Google-onderzoeker Sergei Glazunov. CVE-2022-0971 bevindt zich in de Blink-browserengine die Chrome gebruikt voor het weergeven van webcontent. Door de kwetsbaarheid kan een "use after free" ontstaan en is het mogelijk voor een aanvaller om code met de rechten van de ingelogde gebruiker uit te voeren. Het beveiligingslek werd op 21 februari door Glazunov aan Google gerapporteerd. In het geval van kritieke kwetsbaarheden probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details kunnen vervolgens na zestig dagen openbaar worden gemaakt. Verder verhelpt Chrome 99.0.4844.74 tien andere kwetsbaarheden, die een lagere impact hebben. Updaten naar de nieuwste Chrome-versie zal op de meeste systemen automatisch gebeuren.

Kritieke kwetsbaarheid in Citrix ShareFile actief misbruikt bij aanvallen

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in Citrix ShareFile waarvoor afgelopen september een beveiligingsupdate verscheen. Dat meldt securitybedrijf CrowdStrike op basis van eigen bevindingen. Citrix ShareFile is een oplossing voor het synchroniseren en delen van bestanden. Vorig jaar werd er een path traversal-kwetsbaarheid in de oplossing ontdekt waardoor een ongeauthenticeerde gebruiker een bestand op een aangevallen server kan overschrijven en zo op afstand code kan uitvoeren. De impact van het beveiligingslek, aangeduid als CVE-2021-22941, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Volgens CrowdStrike maakt een groep criminelen genaamd "Prophet Spider" misbruik van de kwetsbaarheid in Citrix ShareFile om Microsoft Internet Information Services (IIS) webservers te compromitteren. Via het lek werd een webshell geïnstalleerd waarmee verdere aanvallen zijn uit te voeren. Het uiteindelijke doel van de waargenomen aanval is onbekend. De groep in kwestie zou het in verleden toegang tot systemen hebben verkocht, die vervolgens met ransomware werden besmet. De Amerikaanse overheid houdt een lijst van actief aangevallen kwetsbaarheden bij die inmiddels bijna vijfhonderd beveiligingslekken telt, maar het lek in Citrix ShareFile ontbreekt hierop.

QNAP waarschuwt voor Dirty Pipe-kwetsbaarheid in NAS-systemen

NAS-systemen van QNAP zijn kwetsbaar voor de Dirty Pipe-kwetsbaarheid, die het mogelijk maakt voor een ongeprivilegieerde gebruiker om beheerder te worden, zo waarschuwt de fabrikant die snel met beveiligingsupdates zegt te zullen komen. Dirty Pipe is een beveiligingslek in de Linux-kernel waardoor een gebruiker of aanvaller met toegang tot het systeem root kan worden. De NAS-besturingssystemen van QNAP, QTS en QuTS Hero, maken gebruik van de Linux-kernel en hebben zodoende ook met Dirty Pipe te maken. In het geval van QTS en QuTS zorgt de kwetsbaarheid ervoor dat een ongeprivilegieerde gebruiker beheerdersrechten kan krijgen en kwaadaardige code kan injecteren. Het probleem speelt bij QTS 5.0.x en QuTS Hero h5.0.x. Versie 4.x van QTS is niet kwetsbaar. QNAP is naar eigen zeggen bezig met onderzoek naar de kwetsbaarheid en zal zo snel mogelijk met beveiligingsupdates en meer informatie komen. Op dit moment is er geen mitigatie voor het beveiligingslek beschikbaar. Gebruikers wordt aangeraden om de update, zodra die beschikbaar komt, meteen te installeren.

Dirty Pipe-lek in Linux-kernel kan lokale gebruiker rootrechten geven

Een nieuwe kwetsbaarheid in de Linux-kernel, met de naam Dirty Pipe, maakt het mogelijk voor ongeprivilegieerde lokale gebruikers om code in rootprocessen te injecteren en zo rootrechten te krijgen. Beveiligingsupdates zijn inmiddels voor allerlei distributies beschikbaar gemaakt. De kwetsbaarheid wordt Dirty Pipe genoemd vanwege de onveilige interactie tussen een Linux-bestand, dat permanent op de harde schijf wordt opgeslagen, en een Linux-pipe, wat een databuffer in het geheugen is die als een bestand is te gebruiken. "Simpel gezegd, als je een pipe hebt waar je naar toe kunt schrijven en een bestand waarvan niet, dan kan het schrijven naar het geheugenbuffer van de pipe onbedoeld ook de gecachte pagina's van verschillende delen van het schijfbestand aanpassen", zegt beveiligingsexpert Paul Ducklin van Sophos. Hierdoor wordt de aangepaste cachebuffer door de kernel terug naar de schijf geschreven en de inhoud van het opgeslagen bestand permanent aangepast, ongeachte de permissies van het bestand. Een lokale gebruiker kan zo een SSH-key aan het root-account toevoegen, een rootshell aanmaken of een cronjob toevoegen die als backdoor draait en een nieuw gebruikersaccount met rootrechten toevoegt. De kwetsbaarheid, die ook wordt aangeduid als CVE-2022-0847, werd op 20 februari door Max Kellermann aan het securityteam van de Linux-kernel gerapporteerd. Een dag later werd ook het Android-securityteam ingelicht. Op 23 februari verschenen de eerste Linux-updates. Het probleem is verholpen in Linux 5.16.11, 5.15.25 en 5.10.102. Google heeft inmiddels een oplossing aan de Androidkernel toegevoegd. De impact van het lek is op een schaal van 1 tot en met 10 beoordeeld met een 7.8.

Ddos-kwetsbaarheid in Mitel-systemen kan packet 4 miljard keer versterken

Een kwetsbaarheid in twee Mitel-systemen kan tot gevolg hebben dat een ddos-packet ruim vier miljard keer vergroot wordt. Daarmee kunnen kwaadwillenden een aanval van maximaal veertien uur starten via een enkel netwerkpakket. De kwetsbaarheid wordt al misbruikt en er is een update. De kwetsbaarheden zitten in de MiCollab- en MiVoice Business Express-softwarepakketten van Mitel, zeggen onderzoekers van onder meer Cloudflare, Akamai en Mitel. Deze voip-systemen hebben testfunctionaliteit die voor intern gebruik bestemd is en die de systemen kan stresstesten door veel statusupdateverkeer te versturen en zo debugging en performance testing te faciliteren. Deze TP-240-driver-functionaliteit is echter in ongeveer 2600 systemen verkeerd geconfigureerd, waardoor ook externen de functionaliteit kunnen gebruiken. Kwaadwillenden kunnen zo een commando naar een kwetsbaar Mitel-systeem sturen dat ervoor zorgt dat het voip-systeem grotere statusupdate-packets naar een doelwit stuurt. Zo kunnen ze met een relatief kleine request payload een grote hoeveelheid traffic veroorzaken bij een ddos-doelwit.

Mozilla verhelpt actief aangevallen zerodaylekken in Firefox

Mozilla heeft een nieuwe versie van Firefox uitgebracht die twee actief aangevallen zerodaylekken in de browser verhelpt. Het komt zelden voor dat Mozilla updates voor dergelijke kwetsbaarheden uitrolt. Zo kreeg Firefox vorig jaar voor zover bekend met geen enkele zeroday te maken. Via de kwetsbaarheden kan een aanvaller uit de sandbox van de browser breken en willekeurige code op het systeem uitvoeren. Om misbruik van de twee kritieke kwetsbaarheden te maken, aangeduid als CVE-2022-26485 en CVE-2022-26486, is er geen interactie van gebruikers vereist. Alleen het bezoeken van een kwaadaardige of gecompromitteerde website of het te zien krijgen van een besmette advertentie is voldoende. De twee zerodaylekken zijn verholpen in Firefox 97.0.2, Firefox ESR 91.6.1, Firefox for Android 97.3, Focus 97.3 en Thunderbird 91.6.2. Updaten zal in de meeste gevallen automatisch gebeuren.

VS verplicht overheidsinstanties om Firefox voor 21 maart te updaten

Alle federale Amerikaanse overheidsinstanties moeten hun installaties van Mozilla Firefox voor 21 maart hebben geüpdatet, zo heeft het Cybersecurity and Infrastructure Security Agency (CISA) van het ministerie van Homeland Security bepaald. Aanleiding is twee actief aangevallen zerodaylekken in de browser waarvoor Mozilla beveiligingsupdates heeft uitgebracht. Het CISA houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren. De lijst wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. De nieuwste toevoeging bestaat uit elf kwetsbaarheden. Het grootste deel daarvan is al jaren oud en alleen de Firefox-kwetsbaarheden zijn nieuw. Mozilla Firefox is voor zover bekend zelden doelwit van zeroday-aanvallen. De browser komt in totaal zes keer op de CISA-lijst voor. Het gaat daarbij om zerodaylekken uit 2013, 2019, 2020 (2) en 2022 (2). Google Chrome is 22 keer in het overzicht te vinden. Het CISA wil dat de Firefox-kwetsbaarheden voor 21 maart zijn gepatcht. Overheidsinstanties die dit niet doen zijn in overtreding van een "Binding Operational Directive".

Kritiek lek in Exchange Server maakt remote code execution mogelijk

Tijdens de patchdinsdag van maart heeft Microsoft 71 kwetsbaarheden verholpen, waaronder een kritiek beveiligingslek in Exchange Server dat remote code execution mogelijk maakt. Had Microsoft in februari een maand zonder kritieke updates, een zeldzaamheid, deze maand zijn het er slechts drie. Twee van deze updates zijn voor kritieke lekken in de HEVC- en VP9-videoextensies. Door het openen van een malafide video zou een aanvaller willekeurige code op het systeem kunnen uitvoeren. De impact van deze kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 7.8. De derde kritieke kwetsbaarheid, die in Exchange aanwezig is en wordt aangeduid als CVE-2022-23277, heeft een impactscore van 8.8. Het probleem speelt in Exchange 2013, 2016 en 2019. Een geauthenticeerde aanvaller kan code met verhoogde rechten uitvoeren. Hoewel er nog geen actief misbruik van de kwetsbaarheid wordt gemaakt, lijkt dat slechts een kwestie van tijd. Microsoft stelt namelijk dat misbruik "more likely" is en ook het Zero Day Initiative verwacht op korte termijn dat aanvallers het lek zullen gebruiken. Verder zijn er drie kwetsbaarheden in .NET and Visual Studio, Remote Desktop Client en de Windows Fax and Scan service verholpen die al voor het uitkomen van de beveiligingsupdates bekend waren. Er is volgens Microsoft echter geen misbruik van gemaakt. De updates zullen op de meeste systemen automatisch worden geïnstalleerd.

Opnieuw Android-lek dat aanvaller op afstand zijn rechten laat verhogen

Opnieuw is er een kritieke kwetsbaarheid in Android gevonden waardoor een aanvaller op afstand zonder interactie van de gebruiker, of aanvullende rechten voor het uitvoeren van code, zijn rechten kan verhogen. Vorige maand was dit ook al het geval. Google heeft tijdens de maandelijkse patchronde van maart updates uitgerold om het probleem in het systeemonderdeel van Android te verhelpen. Remote escalation of privilege, zoals Google het omschrijft, komt niet vaak voor. Bij veel kwetsbaarheden waarbij een aanvaller zijn rechten kan verhogen is er namelijk toegang tot het systeem vereist. De impactbeoordeling van nagenoeg alle escalation of privilege-kwetsbaarheden is dan ook vaak beperkt. In het geval van CVE-2021-39708, zoals het Androidlek wordt aangeduid, gaat het volgens Google wel om een kritieke kwetsbaarheid. Het techbedrijf geeft echter geen verdere details over het probleem, zoals hoe een aanvaller hier misbruik van zou kunnen maken. In totaal heeft Google deze maand 41 kwetsbaarheden in Android gerepareerd, waaronder een aanzienlijk deel in onderdelen van chipfabrikanten Qualcomm en MediaTek. Twee van de Qualcomm-lekken zijn als kritiek aangemerkt, maar alleen door een aanvaller die al toegang tot een systeem heeft te misbruiken. Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de maart-updates ontvangen zullen '2022-03-01' of '2022-03-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van maart aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 10, 11 en 12. Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.

APC Smart-UPS via kritiek beveiligingslek op afstand te vernietigen

Onderzoekers hebben in verschillende APC Smart-UPS-modellen kritieke kwetsbaarheden ontdekt waardoor het mogelijk is om de noodstroomvoorziening uit te schakelen, de stroomtoevoer te manipuleren of de apparaten zelfs te vernietigen. Dat claimt securitybedrijf Armis. APC heeft firmware-updates uitgebracht om de problemen te verhelpen. Een Uninterruptible power supply (UPS) fungeert in het geval van stroomuitval als back-up. De Smart-UPS is een met de cloud verbonden oplossing, waardoor het onder andere mogelijk is om de apparaten op afstand te beheren en monitoren. Onderzoekers van Armis vonden drie kwetsbaarheden die het mogelijk maken om de apparaten op afstand aan te vallen. Twee van de kwetsbaarheden bevinden zich in de TLS-verbinding tussen de UPS en de cloud. Een aanvaller kan zich zo als de clouddienst voordoen en willekeurige code op de UPS uitvoeren. Het derde probleem wordt veroorzaakt door het niet voldoende controleren van firmware. Hierdoor is het mogelijk voor een aanvaller om ongesigneerde firmware op afstand op de UPS-apparaten te installeren. Zodra de UPS is gecompromitteerd kan een aanvaller verdere aanvallen op het netwerk uitvoeren of de UPS ontregelen. Daarbij stellen de onderzoekers dat het ook mogelijk is om de UPS zichzelf te laten vernietigen. Iets wat tijdens een experiment ook lukte, aldus een whitepaper over de kwetsbaarheden. Fabrikant Schneider Electric werd op 31 oktober vorig jaar ingelicht over de problemen en heeft inmiddels firmware-updates uitgerold.

CISA waarschuwt organisaties om 95 actief uitgebuite bugs te patchen

Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft 95 kwetsbaarheden toegevoegd aan zijn lijst van actief uitgebuite beveiligingsproblemen, het grootste aantal sinds het vorig jaar de bindende operationele richtlijn (BOD) uitvaardigde. Ondanks dat sommigen van hen al bijna twee decennia bekend zijn, merkt het bureau op dat de bugs "een aanzienlijk risico vormen voor de federale onderneming."

VS waarschuwt voor tientallen actief aangevallen Cisco-kwetsbaarheden

De Amerikaanse overheid heeft federale instanties in het land gewaarschuwd voor bijna honderd actief aangevallen kwetsbaarheden, waarvan het grootste deel in producten van Cisco. Federale overheidsinstanties hebben tot 17 maart de tijd gekregen om de beveiligingslekken te verhelpen. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren. De lijst wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. De laatste toevoeging bestaat uit bijna honderd kwetsbaarheden. Niet eerder werden er zoveel beveiligingslekken in één keer aan de lijst toegevoegd. Wat opvalt is dat bijna veertig van de kwetsbaarheden in producten van Cisco aanwezig zijn. Het grootste deel daarvan is al vrij oud, maar het gaat ook om verschillende beveiligingslekken in de RV160, RV160W, RV260, RV260P, RV260W, RV340, RV340W, RV345 en RV345P vpn-routers waarvoor Cisco begin februari updates uitbracht. Het CISA wil dat federale overheidsinstanties een deel van de Cisco-lekken voor 17 maart heeft gepatcht. Voor een aantal andere kwetsbaarheden geldt een deadline van 24 maart. Naast de beveiligingslekken in producten van Cisco staan er ook kwetsbaarheden in Windows, Adobe Flash Player, Oracle Java, Exim en Apache Tomcat op de lijst.

Veel infuuspompen in ziekenhuizen bevatten kritieke kwetsbaarheden

Veel infuuspompen die in ziekenhuizen worden gebruikt bevatten kritieke kwetsbaarheden, zo stelt securitybedrijf Palo Alto Networks op basis van eigen onderzoek. Via de beveiligingslekken kunnen aanvallers gevoelige data stelen, systeemconfiguraties aanpassen, systemen plat leggen en verdere aanvallen op het ziekenhuisnetwerk uitvoeren. Voor het onderzoek analyseerden onderzoekers meer dan 200.000 infuuspompen die actief bij ziekenhuizen in gebruik zijn, afkomstig van zeven verschillende fabrikanten. Bij driekwart van de geanalyseerde infuuspompen werden bekende kwetsbaarheden aangetroffen. Zo bleek 52 procent van de infuuspompen een bekend kritiek beveiligingslek uit 2019 te bevatten. De impact van deze kwetsbaarheid, aangeduid als CVE-2019-12255, is op een schaal van 1 tot en met 10 met een 9.8 beoordeeld. Volgens het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) is het beveiligingslek op afstand te misbruiken en vereist dit weinig technische kennis van een aanvaller. De betreffende fabrikant kwam in 2019 met beveiligingsupdates, maar die blijken bij veel infuuspompen niet te zijn geïnstalleerd. Ook andere kritieke kwetsbaarheden werden bij duizenden infuuspompen aangetroffen. "Hoewel sommige van deze kwetsbaarheden onpraktisch zijn voor aanvallers om misbruik van te maken, tenzij ze fysiek in een organisatie aanwezig zijn, vormen ze allemaal een potentieel risico voor de veiligheid van zorgorganisaties en patiënten, met name in situaties waar aanvallers gemotiveerd zijn om extra moeite te doen voor het aanvallen van een doelwit", aldus de onderzoekers.

Lek in Cisco Expressway en TelePresence laat aanvaller code als root uitvoeren

Cisco waarschuwt organisaties voor twee kritieke kwetsbaarheden in de Expressway- en TelePresence-oplossingen waardoor een aanvaller willekeurige code als root kan uitvoeren. Expressway is een gateway-oplossing waarmee gebruikers met elkaar kunnen communiceren, ongeacht of ze op het interne netwerk zitten of daarbuiten. TelePresence is een oplossing voor videoconferencing. Twee kwetsbaarheden in beide oplossingen maken het mogelijk voor een geauthenticeerde aanvaller om op het onderliggende besturingssysteem van een kwetsbaar apparaat willekeurige code als root uit te voeren. De beveiligingslekken worden door een onvoldoende controle van gebruikersinvoer veroorzaakt. De impact van beide kwetsbaarheden, aangeduid als CVE-2022-20754 en CVE-2022-20755, is op een schaal van 1 tot en met 10 met een 9.0 beoordeeld. Cisco heeft beveiligingsupdates uitgebracht om de lekken te verhelpen.

Kritiek lek in gerber-viewer laat aanvaller willekeurige code uitvoeren

Onderzoekers van Cisco hebben in de gerber-viewer Gerbv verschillende kritieke kwetsbaarheden ontdekt waardoor een aanvaller willekeurige code op systemen kan uitvoeren en een beveiligingsupdate is niet beschikbaar. Gerbv is een opensourceprogramma waarmee gebruikers gerber-bestanden kunnen bekijken. Deze bestanden bevatten informatie over Printed Circuit Board (PCB)-ontwerpen. Sommige PCB-fabrikanten gebruiken software zoals Gerbv in hun webinterface als tool om gerber-bestanden naar afbeeldingen om te zetten. Gebruikers kunnen gerber-bestanden uploaden naar de fabrikant, die vervolgens via Gerbv worden omgezet naar afbeeldingen. Deze afbeeldingen zijn vervolgens in de browser te bekijken, zodat gebruikers kunnen zien of hun upload aan de verwachtingen voldoet. Gerbv bevat verschillende kwetsbaarheden waardoor een aanvaller via een speciaal geprepareerd gerber-bestand een "out-of-bounds write" kan veroorzaken, wat het uitvoeren van willekeurige code mogelijk maakt. De impact van vier van de in Gerbv gevonden beveiligingslekken, CVE-2021-40401, CVE-2021-40391, CVE-2021-40393 en CVE-2021-40394, zijn op een schaal van 1 tot en met 10 met een 10.0 beoordeeld. Gerbv is als losse gui-applicatie te gebruiken of als library. Daarnaast zijn de kwetsbaarheden ook aanwezig in geforkte versie van de gerber-viewer. De onderzoekers werkten samen met de Gerbv-ontwikkelaars, maar een beveiligingsupdate is vooralsnog niet beschikbaar.