Kwetsbaarheden CVE's

2024 | 2023 | 2022 | 2021

december | november | oktober | september | augustus | juli | juni | mei | april | maart | februari | januari

Lijst april 2023 met CVE's

Lijst maart 2023 met CVE's

Lijst februari 2023 met CVE's

Lijst januari 2023 met CVE's

Kwetsbaarheden nieuws

Kritieke kwetsbaarheden gevonden in medische apparatuur voor DNA-onderzoek naar genetische aandoeningen en kanker

In verschillende medische apparatuur die bij dna-onderzoek naar onder ander genetische aandoeningen en kanker wordt gebruikt is een kritieke kwetsbaarheid gevonden waardoor het mogelijk is voor een aanvaller om de instellingen, configuraties, software en testresultaten op afstand aan te passen. Het gaat om verschillende producten die van de Universal Copy Service van fabrikant Illumina gebruikmaken en wereldwijd in gebruik zijn, zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. De kritieke kwetsbaarheid, aangeduid als CVE-2023-1968, zorgt ervoor dat de apparaten verkeer van elk ip-adres accepteren. Een ongeauthenticeerde aanvaller kan zo ook met de poorten communiceren die remote communicatie mogelijk maken, zonder dat er enige authenticatie is vereist. Voorwaarde is wel dat de aanvaller op hetzelfde netwerk als de apparatuur zit. De impact van dit beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Daarnaast is er een tweede kwetsbaarheid (CVE-2023-1966) die ervoor zorgt dat code onnodig met verhoogde rechten wordt uitgevoerd. Hierdoor kan een ongeauthenticeerde aanvaller op afstand code uploaden en uitvoeren met de rechten van het besturingssysteem, om zo allerlei instellingen of configuraties te wijzigen of toegang tot gevoelige data op het apparaat te krijgen. Deze kwetsbaarheid heeft een impactscore van 7.4. Illumina heeft voor sommige producten updates uitgebracht en adviseert bij andere producten het instellen van het UCS-accountwachtwoord.

Kritieke kwetsbaarheden in firewalls van Zyxel gevonden

Een kritieke kwetsbaarheid in de firewalls van Zyxel maakt het mogelijk voor een ongeauthenticeerde aanvaller om de apparaten op afstand over te nemen. Zyxel heeft updates uitgebracht en roept klanten op om die te installeren. Het beveiligingslek, aangeduid als CVE-2023-28771, maakt het voor een ongeauthenticeerde aanvaller mogelijk om door middel van speciaal geprepareerd netwerkverkeer OS-commando's op de firewall uit te voeren. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het probleem is aanwezig in de Zyxel ATP, USG FLEX, VPN en ZyWALL/USG. Voor deze producten is een update beschikbaar. Vorig jaar waarschuwde de Amerikaanse geheime dienst NSA nog voor actief misbruik van een andere kritieke kwetsbaarheid in de firewalls van Zyxel. Dit probleem werd vier dagen na het verschijnen van de update aangevallen.

PrestaShop herstelt bug waardoor elke backend-gebruiker databases kan verwijderen

PrestaShop, een populair e-commerceplatform, heeft onlangs een kritieke bug opgelost die het mogelijk maakte voor elke backend-gebruiker om databases te verwijderen. De bug werd ontdekt door een onderzoeker van het bedrijf SonarSource, die de kwetsbaarheid openbaar maakte nadat PrestaShop het probleem had verholpen. De kwetsbaarheid, die de ontdekker omschreef als een ernstig probleem, bevond zich in de SQL Manager-module van het platform. Deze module stelt gebruikers in staat om SQL-query's uit te voeren en de resultaten daarvan te bekijken. Normaal gesproken zouden alleen beheerders toegang moeten hebben tot deze functionaliteit. Echter, de bug maakte het mogelijk voor elke gebruiker met toegang tot de backend om de SQL Manager-module te gebruiken en daardoor de mogelijkheid om databases te verwijderen of te wijzigen. Naast het verwijderen van databases, konden kwaadwillende gebruikers ook gevoelige informatie verkrijgen door gebruik te maken van de bug. Dit zou hen in staat stellen om bijvoorbeeld klantgegevens en bestelgeschiedenis te stelen. PrestaShop werd op de hoogte gesteld van de kwetsbaarheid en heeft snel gereageerd door een patch uit te brengen. Gebruikers van het platform worden geadviseerd om zo snel mogelijk bij te werken naar de nieuwste versie om het risico op misbruik te minimaliseren. De ontdekking van deze bug benadrukt het belang van het regelmatig uitvoeren van beveiligingsaudits en het up-to-date houden van software. Het is essentieel voor bedrijven en ontwikkelaars om proactief te zoeken naar kwetsbaarheden en deze te verhelpen voordat ze kunnen worden uitgebuit door kwaadwillende partijen.

Cisco onthult XSS zero-day kwetsbaarheid in serverbeheer tool

Cisco heeft een zero-day cross-site scripting (XSS) kwetsbaarheid onthuld in zijn Cisco Intersight Virtual Appliance, een serverbeheer tool. Deze ontdekking komt na een vertrouwelijk rapport van een externe onderzoeker. De kwetsbaarheid, aangeduid als CVE-2023-12345, stelt aanvallers in staat om willekeurige code uit te voeren in de context van de getroffen gebruiker. Dit kan leiden tot het stelen van gevoelige informatie, het manipuleren van gegevens of het uitvoeren van ongeoorloofde acties op het getroffen systeem. Cisco heeft geen bewijs gevonden van misbruik van de kwetsbaarheid en heeft een beveiligingsupdate uitgebracht om het probleem te verhelpen. Het bedrijf raadt klanten aan om hun software onmiddellijk bij te werken om de risico's te beperken. Omdat de kwetsbaarheid ontdekt is voordat deze door aanvallers werd uitgebuit, wordt het beschouwd als een 'zero-day' kwetsbaarheid. Zero-day kwetsbaarheden zijn ernstig omdat ze onbekend zijn bij de fabrikant en daardoor kunnen worden misbruikt zonder dat er een beschikbare oplossing is. Het bedrijf benadrukt het belang van het melden van beveiligingsproblemen en bedankt de externe onderzoeker voor het rapport. Cisco heeft een Vulnerability Disclosure Policy en moedigt onderzoekers aan om beveiligingsproblemen vertrouwelijk te melden, zodat ze kunnen worden aangepakt voordat ze worden misbruikt. Dit incident benadrukt het belang van regelmatige beveiligingsupdates en het monitoren van systemen voor mogelijke kwetsbaarheden. Het is essentieel voor bedrijven om te investeren in cybersecurity en samen te werken met onderzoekers om potentiële bedreigingen te identificeren en aan te pakken

White Paper C 11 739097

PDF – 834,9 KB 88 downloads

Download

Duizenden Apache Superset-servers kwetsbaar voor RCE-aanvallen

Een groot aantal Apache Superset-servers is blootgesteld aan Remote Code Execution (RCE) aanvallen, wat een ernstige bedreiging vormt voor de veiligheid van deze systemen. Apache Superset is een populaire open-source data visualisatie en business intelligence tool, veel gebruikt door bedrijven om waardevolle inzichten te verkrijgen uit hun gegevens. Beveiligingsonderzoekers hebben ontdekt dat kwetsbaarheden in Apache Superset, als ze worden uitgebuit, aanvallers in staat stellen om op afstand willekeurige code uit te voeren op getroffen servers. Deze situatie kan leiden tot ongeautoriseerde toegang tot gevoelige gegevens, diefstal van vertrouwelijke informatie of het nemen van controle over de systemen. Om dit probleem aan te pakken, heeft het Apache Superset-team een beveiligingsupdate uitgebracht die de kwetsbaarheden verhelpt. Gebruikers en beheerders van Apache Superset-servers worden dringend aangeraden om hun systemen zo snel mogelijk bij te werken om zichzelf te beschermen tegen deze bedreigingen. Het is essentieel om te zorgen voor de juiste beveiligingsmaatregelen en voortdurend te waken voor nieuwe kwetsbaarheden en aanvallen om de veiligheid van gevoelige gegevens en systemen te waarborgen.

Kwetsbaarheden in SLP-protocol leiden tot massale DDoS-versterkingsaanvallen

Onderzoekers hebben een nieuwe kwetsbaarheid ontdekt in het Simple Local Peer Discovery (SLP) protocol dat kan leiden tot massale Distributed Denial of Service (DDoS) versterkingsaanvallen. Deze aanvallen kunnen een versterking van 2.200 keer hebben ten opzichte van de oorspronkelijke bandbreedte. Het SLP-protocol wordt gebruikt om apparaten in lokale netwerken te ontdekken en te communiceren. Deze kwetsbaarheid werd ontdekt door onderzoekers van het beveiligingsbedrijf Imperva en kan misbruikt worden door kwaadwillende personen om krachtige DDoS-aanvallen te lanceren. De onderzoekers legden uit dat de kwetsbaarheid is gebaseerd op een ontwerpfout in het SLP-protocol. Dit maakt het mogelijk om een klein verzoek naar een doelwit te sturen, dat op zijn beurt een grote hoeveelheid verkeer genereert. De aanvaller kan vervolgens dit verkeer naar het slachtoffer sturen, waardoor hun systeem wordt overspoeld en onbereikbaar wordt. De aanval werkt als volgt: een aanvaller stuurt een klein verzoek (slechts 15 bytes) naar een SLP-server, die vervolgens een groot antwoord genereert (tot wel 33.000 bytes). Dit wordt vervolgens naar het beoogde slachtoffer gestuurd, wat resulteert in een enorme toename van het verkeer. Deze versterkingsaanvallen kunnen leiden tot een overbelasting van het netwerk en de systemen van het slachtoffer, waardoor ze offline gaan. Deze kwetsbaarheid is vooral zorgwekkend omdat het SLP-protocol veel wordt gebruikt in verschillende apparaten en diensten, waaronder printers, IoT-apparaten, netwerkopslag en andere netwerkapparaten. Veel van deze apparaten zijn vaak niet goed beveiligd en kunnen dus gemakkelijk worden uitgebuit door aanvallers. Imperva heeft de kwetsbaarheid gerapporteerd aan de ontwikkelaars van het SLP-protocol en heeft enkele tijdelijke oplossingen aanbevolen, zoals het beperken van de toegang tot SLP-servers en het monitoren van het netwerkverkeer voor ongebruikelijke activiteiten. Totdat er een permanente oplossing is gevonden, is het belangrijk om de nodige voorzorgsmaatregelen te nemen om mogelijke aanvallen te voorkomen.

VMware repareert kritieke zero-day exploit keten die gebruikt is bij Pwn2Own

VMware heeft onlangs een kritieke zero-day exploit keten verholpen die gebruikt werd tijdens de Pwn2Own-hackwedstrijd van 2021. De exploit keten, bestaande uit drie afzonderlijke kwetsbaarheden, stelde aanvallers in staat om code uit te voeren en controle over te nemen van getroffen systemen. De drie kwetsbaarheden die zijn verholpen, omvatten een heap buffer overflow, een race condition en een fout in de use-after-free-implementatie. Aanvallers konden deze zwakke plekken combineren om op betrouwbare wijze code uit te voeren en beheerdersrechten te verkrijgen op getroffen systemen. Het beveiligingsbedrijf DEVCORE was het eerste team dat de kwetsbaarheden ontdekte en demonstreerde tijdens de Pwn2Own-hackwedstrijd. Ze ontvingen hiervoor een prijs van $200.000. VMware heeft de kwetsbaarheden geclassificeerd als zijnde kritiek met een CVSS-score van 9,3. Gebruikers en beheerders van VMware-producten wordt dringend aangeraden om zo snel mogelijk de beschikbare beveiligingsupdates te installeren om hun systemen te beschermen tegen mogelijke aanvallen. De kwetsbaarheden troffen verschillende VMware-producten, waaronder vCenter Server, ESXi, Workstation, Fusion en Cloud Foundation. VMware heeft beveiligingsupdates uitgebracht voor alle getroffen producten om de kwetsbaarheden te verhelpen. Het is belangrijk voor bedrijven en organisaties die gebruikmaken van VMware-producten om de beveiligingsupdates onmiddellijk te installeren en hun systemen te testen om er zeker van te zijn dat ze beschermd zijn tegen mogelijke aanvallen die deze kritieke kwetsbaarheden zouden kunnen misbruiken.

Intel CPU's kwetsbaar voor nieuwe 'transient execution' zij-kanaalaanval

Een nieuwe zij-kanaalaanval, genaamd 'Transient Execution', maakt Intel CPU's kwetsbaar voor aanvallen. Onderzoekers hebben deze kwetsbaarheid ontdekt en stellen dat het invloed kan hebben op miljoenen apparaten wereldwijd. Zij-kanaalaanvallen zijn een soort cyberaanval waarbij informatie wordt verkregen van het computersysteem zonder direct toegang te hebben tot de beoogde data. In dit geval maakt de aanval gebruik van de manier waarop Intel CPU's instructies uitvoeren, waardoor aanvallers gevoelige informatie kunnen bemachtigen. De onderzoekers die deze nieuwe kwetsbaarheid hebben ontdekt, hebben hun bevindingen gepresenteerd tijdens een security conferentie. Ze gaven aan dat aanvallers in staat zijn om gevoelige informatie, zoals wachtwoorden en encryptiesleutels, te verkrijgen door gebruik te maken van de 'Transient Execution' aanval. Intel heeft inmiddels gereageerd op de ontdekking en benadrukt dat de impact beperkt is. Het bedrijf heeft beveiligingsupdates uitgebracht om de kwetsbaarheid aan te pakken en gebruikers te beschermen. Intel raadt gebruikers aan om hun systemen up-to-date te houden en de laatste beveiligingspatches te installeren om zichzelf te beschermen tegen dergelijke aanvallen. Ondanks de beschikbaarheid van beveiligingsupdates, waarschuwen de onderzoekers dat het moeilijk is om zij-kanaalaanvallen volledig te voorkomen. Ze benadrukken het belang van voortdurende waakzaamheid en onderzoek om de beveiliging van computersystemen te verbeteren en kwetsbaarheden te identificeren en aan te pakken.

Kritieke kwetsbaarheden ontdekt in APC en Schneider Electric UPS Monitoring Software, bedrijf dringt aan op updates

APC waarschuwt voor kritieke kwetsbaarheden in de software waarmee gebruikers en organisaties online hun UPS-systemen kunnen beheren en monitoren (pdf). Het gaat om de APC Easy UPS On-Line UPS Monitoring Software en de Schneider Electric Easy UPS Online Monitoring Software. APC is een dochteronderneming van Schneider en fabrikant van UPS-systemen, die in het geval van stroomuitval servers en andere apparaten van stroom voorzien. De beheer- en monitoringsoftware bevat twee kritieke kwetsbaarheden waardoor remote code execution mogelijk is. De eerste kwetsbaarheid, aangeduid als CVE-2023-29411, maakt het mogelijk voor een ongeauthenticeerde aanvaller om de inloggegevens van beheerders aan te passen, wat tot het uitvoeren van willekeurige code via de Java RMI-interface kan leiden. In het geval van CVE-2023-29412 is remote code execution door middel van de Java RMI-interface ook mogelijk. De impact van beide kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Een derde kwetsbaarheid in de software maakt een denial of service mogelijk. Dit beveiligingslek kreeg een impactscore van 7.5. APC heeft beveiligingsupdates beschikbaar gemaakt en roept gebruikers op om die te installeren. Vorig jaar lieten onderzoekers nog weten dat ze in verschillende APC Smart-UPS-modellen kritieke kwetsbaarheden had ontdekt waardoor het mogelijk is om de noodstroomvoorziening uit te schakelen, de stroomtoevoer te manipuleren of de apparaten zelfs te vernietigen.

SEVD 2023 101 04

PDF – 266,0 KB 132 downloads

Download

Kritieke Kwetsbaarheden in Printsoftware: PaperCut Waarschuwt Organisaties voor Actief Misbruik en Dringt aan op Snelle Patch

Softwarebedrijf PaperCut waarschuwt organisaties voor een kritieke kwetsbaarheid in de printsoftware die het levert en waar aanvallers op dit moment actief misbruik van maken voor het overnemen van kwetsbare servers. De Amerikaanse overheid heeft federale overheidsinstanties opgedragen het beveiligingslek voor 12 mei te patchen. PaperCut levert onder andere een printmanagementserver waarmee organisaties allerlei printgerelateerde zaken kunnen beheren, zoals het inzien van het aantal geprinte pagina's, beheer van print queues, toevoegen van watermerken en access control. Een kwetsbaarheid in de software, aangeduid als CVE-2023–27350, maakt het mogelijk voor ongeauthenticeerde aanvallers om op afstand code met systeemrechten op de server uit te voeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Op 8 maart van dit jaar kwam PaperCut met een beveiligingsupdate (versies 20.1.7, 21.2.11 en 22.0.9) voor de kwetsbaarheid die door securitybedrijf Trend Micro was gerapporteerd. Een week na het verschijnen van de patch publiceerde Trend Micro meer details over het beveiligingslek. Vorige week bleek dat aanvallers actief misbruik van CVE-2023–27350 maakten voor het aanvallen van kwetsbare, nog niet gepatchte servers. Organisaties die vermoeden dat hun PaperCut-server is gecompromitteerd wordt aangeraden om de server volledig te wissen en aan de hand van veilige back-ups te herstellen. Vanwege het actieve misbruik heeft het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security federale Amerikaanse overheidsinstanties opgedragen om de update voor het PaperCut-lek voor 12 mei te installeren, mocht dat nog niet zijn gedaan. Securitybedrijf Huntress laat weten dat van de meer dan duizend PaperCut-servers die het bij klanten waarneemt, zo'n negentig procent niet up-to-date is en kwetsbaar is voor aanvallen.

Kwetsbaarheden in TP-Link Archer AX21-routers: Actief misbruik door criminelen voor het creëren van Mirai-botnets

Een kwetsbaarheid in de Archer AX21 (AX1800) wifi-router van fabrikant TP-Link wordt actief door criminelen gebruikt om kwetsbare apparaten onderdeel van een botnet te maken, zo stelt securitybedrijf ZDI. De kwetsbaarheid die de aanvallers hiervoor gebruiken werd tijdens de Pwn2Own-wedstrijd van het ZDI, die afgelopen december plaatsvond, gedemonstreerd. Via het beveiligingslek, aangeduid als CVE-2023-1389, kan een ongeauthenticeerde aanvaller via de webinterface willekeurige code op de router uitvoeren. De kwetsbaarheid is vanaf de WAN-kant van de router te misbruiken. Vaak zijn dergelijke beveiligingslekken in de webinterface alleen vanaf de LAN-kant toegankelijk. Onderzoekers ontdekten echter dat het door een race condition bij het verwerken van iptables kortstondig ook via de WAN-kant mogelijk is. TP-Link kwam op 17 maart met een firmware-update die verschillende "security issues" verhelpt. Verdere details werden echter niet gegeven. Een van de verholpen problemen is CVE-2023-1389. Op 11 april zag ZDI dat aanvallers actief misbruik van het lek maken om kwetsbare routers aan een Mirai-botnet toe te voegen. De besmette routers zijn vervolgens voor het uitvoeren van ddos-aanvallen te gebruiken. Volgens de onderzoekers laat de snelheid waarmee criminelen misbruik van de kwetsbaarheid maken zien hoe belangrijk is dat fabrikanten beveiligingslekken snel verhelpen en gebruikers snel beschikbare patches uitrollen.

Kritieke kwetsbaarheden ontdekt in VMware Aria Operations for Logs: ongeauthenticeerde aanvallers kunnen als root code uitvoeren

Een kritieke kwetsbaarheid in VMware Aria Operations for Logs, eerder nog bekend als vRealize Log Insight, laat een ongeauthenticeerde aanvaller code als root uitvoeren. VMware heeft beveiligingsupdates voor de kwetsbaarheid uitgebracht, die wordt aangeduid als CVE-2023-20864 en op een schaal van 1 tot en met 10 een impact van 9.8 heeft. VMware Aria Operations for Logs is een tool voor het analyseren van logs. Het biedt volgens VMware "gecentraliseerd logmanagement" en is zowel op eigen systemen als een SaaS-omgeving te gebruiken. Door middel van een "deserialization" kwetsbaarheid is het mogelijk voor een aanvaller om het systeem over te nemen en code als root uit te voeren. Daarbij hoeft de aanvaller niet over inloggegevens te beschikken. CVE-2023-20864 is volgens VMware een kritieke kwetsbaarheid die "meteen" moet worden gepatcht. Het probleem speelt alleen in versie 8.10.2 van de software. Andere versies van de software bevatten een andere kwetsbaarheid, aangeduid als CVE-2023-20865. Dit beveiligingslek is alleen te misbruiken door een aanvaller die al beheerdersrechten tot het systeem heeft. De impact van deze kwetsbaarheid is met een score van 7.2 dan ook lager beoordeeld dan CVE-2023-20864.

Kritieke kwetsbaarheid in Cisco's Industrial Network Director (IND) met impactscore van 9.9

Cisco heeft een kritieke kwetsbaarheid in Industrial Network Director (IND) verholpen, software voor het beheer van industriële netwerken. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.9. Via de IND-software is het onder andere mogelijk om industriële ethernet-switches uit te rollen, monitoren en beheren. Een kwetsbaarheid in de gebruikersinterface, aangeduid als CVE-2023-20036, maakt het mogelijk voor een geauthenticeerde aanvaller om op afstand willekeurige commando's met beheerdersrechten op het onderliggende besturingssysteem van het apparaat in kwestie uit te voeren. Net als met veel kwetsbaarheden wordt het probleem veroorzaakt door het niet goed valideren van gebruikersinvoer. Hoewel een aanvaller geauthenticeerd moet zijn, wat een extra obstakel kan zijn, heeft Cisco het lek desondanks wel een impactscore van 9.9 gegeven.

Oracle brengt 433 beveiligingsupdates uit om kwetsbaarheden te verhelpen

Oracle heeft tijdens de patchronde van april 433 beveiligingsupdates uitgebracht en roept organisaties op om die zo snel mogelijk en "zonder vertraging" te installeren. Volgens het softwarebedrijf blijft het meldingen ontvangen van organisaties die succesvol zijn aangevallen omdat ze hadden nagelaten beschikbare updates te installeren. De meeste updates zijn verschenen voor de producten die vallen onder de productgroepen Financial Services Applications, Fusion Middleware en Oracle Communications. Twee van de verholpen kwetsbaarheden hebben op een schaal van 1 tot en met 10 een impactscore van 9.9 gekregen. Daarnaast zijn ook tientallen beveiligingslekken met een 9.8 beoordeeld. Dergelijke scores geven aan dat misbruik van de betreffende kwetsbaarheid eenvoudig is en grote gevolgen kan hebben. In tegenstelling tot veel andere softwarebedrijven, zoals Adobe en Microsoft die maandelijks met patches komen, brengt Oracle vier keer per jaar beveiligingsupdates uit. De volgende patchronde staat gepland voor 18 juli. De updates die Oracle uitbrengt staan niet gelijk aan unieke kwetsbaarheden. Er kan dan ook niet gesproken worden over 433 kwetsbaarheden, omdat meerdere Oracle-producten met hetzelfde beveiligingslek te maken kunnen hebben.

Google brengt opnieuw beveiligingsupdate uit voor kwetsbaarheden in Chrome's Skia graphics engine

Vier dagen na het verhelpen van het eerste gevonden zerodaylek in Chrome van 2023 heeft Google opnieuw een beveiligingsupdate voor een dergelijke kwetsbaarheid uitgebracht. Dit keer bevindt het aangevallen beveiligingslek zich in de Skia graphics engine, waar Chrome gebruik van maakt voor het weergeven van tekst en afbeeldingen. De impact van de kwetsbaarheid, aangeduid als CVE-2023-2136, is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google geeft geen details over de doelwitten van de waargenomen aanvallen en hoe ze precies plaatsvinden. De kwetsbaarheid werd gevonden door een onderzoeker van Googles Threat Analysis Group. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. Google Chrome 112.0.5615.137/138 is beschikbaar voor Windows, voor Linux en macOS is versie 112.0.5615.137 verschenen. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar.

Microsoft bekent "per ongeluk" vergeten kwetsbaarheden in Defender en andere software

Microsoft heeft opnieuw het bestaan van een "per ongeluk" vergeten kwetsbaarheid bekendgemaakt. Het gaat om een beveiligingslek in de antivirussoftware Defender, aangeduid als (CVE-2023-24934). Via het beveiligingslek kan een aanvaller door middel van een speciaal geprepareerd bestand detectie door de Defender-virusscanner voorkomen. Microsoft had tijdens de patchdinsdag van april beveiligingsupdates voor het probleem uitgebracht, maar het bestaan van de kwetsbaarheid niet bekendgemaakt. Dat is nu alsnog gedaan. Microsoft maakte tijdens de patchronde van april verschillende beveiligingslekken bekend die het eerder al had gepatcht. Het gaat om kwetsbaarheden in Microsoft SQL Server, Windows Graphics Component en Windows Remote Procedure Call Service. Vanwege de "per ongeluk" vergeten update voor SQL Server kreeg Microsoft nog felle kritiek van securitybedrijf ZDI, dat het techbedrijf betichtte van het "stilletjes patchen" van kwetsbaarheden.

Google verhelpt actief aangevallen zerodaylek in Chrome: kwetsbaarheden in V8-javascript engine ontdekt

Google heeft voor de eerste keer dit jaar een beveiligingsupdate uitgebracht die een actief aangevallen zerodaylek in Chrome verhelpt. De kwetsbaarheid bevindt zich in V8, de JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript en waarin met name vorig jaar al tal van andere zerodaylekken werden gevonden. De impact van de kwetsbaarheid, aangeduid als CVE-2023-2033, is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google geeft geen details over de doelwitten van de waargenomen aanvallen en hoe ze precies plaatsvinden. De kwetsbaarheid werd gevonden door een onderzoeker van Googles Threat Analysis Group. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. Vorig jaar werden in Chrome negen zerodaylekken verholpen. Google Chrome 112.0.5615.121 is beschikbaar voor macOS, Linux en Windows. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar.

CISA eist patchen kwetsbaarheid Pinduoduo-app in Android voor federale overheidsinstanties wegens veiligheidszorgen

Federale Amerikaanse overheidsinstanties waarvan het personeel een Androidtelefoon heeft moeten een zerodaylek in het besturingssysteem, dat door een Chinese shopping-app Pinduoduo werd gebruikt, voor 4 mei op alle toestellen hebben gepatcht. Dat heeft het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security bepaald. Online retailer Pinduoduo claimt 824 miljoen klanten te hebben. Vorige maand werd bekend dat Google de Pinduoduo-app wegens veiligheidszorgen uit de Play Store had verwijderd. Volgens het techbedrijf bleken verschillende versies van de app die buiten de Play Store werden aangeboden malware te bevatten. Daarbij zou de app van een reeks kwetsbaarheden gebruikmaken om zo kernelrechten te krijgen en willekeurige bestanden op de telefoon te lezen, waaronder die van andere apps. In eerste instantie werd gemeld dat het om verschillende kwetsbaarheden ging die eerder bij zeroday-aanvallen tegen Samsung-telefoons waren gebruikt. Later bleek dat de app ook een zeroday in Android gebruikt, aangeduid als CVE-2023-20963, waardoor het hogere rechten kan krijgen. Zo kan de app concurrerende apps verwijderen, gegevens van gebruikers stelen, privacyregelgeving omzeilen en zichzelf heimelijk installeren, zonder optie om te worden verwijderd. Hierdoor zou het aantal gebruikers van de app kunstmatig hoog worden gehouden. Google kwam in maart met een beveiligingsupdate voor de kwetsbaarheid, die op dat moment al door de Pinduoduo-app werd misbruikt. Ook werd de app uit de Google Play Store verwijderd. De patch is alleen beschikbaar gemaakt voor Android 11, 12, 12L, 13. Of andere versies kwetsbaar zijn is onbekend, aangezien Google die niet meer ondersteund. Het CISA houdt een lijst van actief aangevallen kwetsbaarheden bij en heeft de bevoegdheid om federale Amerikaanse overheidsinstanties op te dragen updates voor deze beveiligingslekken voor een bepaalde datum te installeren. CVE-2023-20963 is nu ook aan de lijst toegevoegd.

Microsoft maakt per ongeluk kwetsbaarheid in SQL Server bekend na "stille patch"

Microsoft heeft een kwetsbaarheid in SQL Server waardoor remote code execution mogelijk is alsnog bekendgemaakt. Het techbedrijf kwam afgelopen februari met een beveiligingsupdate voor de kwetsbaarheid in SQL Server 2008, 2014, 2016, 2017, 2019 en 2022, maar was naar eigen zeggen "per ongeluk" vergeten om het bestaan van het lek destijds ook te melden. Volgens securitybedrijf ZDI is er sprake van een "stille patch". Het beveiligingslek, aangeduid als CVE-2023-23384, betreft een out of bounds kwetsbaarheid in de SQLcmd tool. Een ongeauthenticeerde aanvaller kan hierdoor op afstand code met verhoogde rechten uitvoeren. Volgens Microsoft is het uitvoeren van willekeurige code lastig, aangezien een aanvaller slechts een paar geheugenbytes kan overschrijven. Een aanval zal dan ook eerder leiden tot een crash van de server, aldus Microsoft. Het techbedrijf stelt dat het in februari het bestaan van de kwetsbaarheid "per ongeluk" was vergeten te melden. Securitybedrijf ZDI spreekt over een stille patch en dat dit geen goede ontwikkeling is. Microsoft geeft geen verdere reden hoe het kan dat de kwetsbaarheid destijds is vergeten. De afgelopen jaren is het een paar keer eerder voorgekomen dat Microsoft het bestaan van een beveiligingslek pas na het uitkomen van de update bekendmaakte.

Microsoft dicht zerodaylek in Windows Common Log File System Driver na gebruik bij ransomware-aanvallen en ontdekt door Kaspersky: derde kwetsbaarheid in een jaar tijd

Tijdens de patchdinsdag van april heeft Microsoft een zerodaylek in Windows verholpen die bij ransomware-aanvallen is ingezet. De kwetsbaarheid bevindt zich in de Windows Common Log File System (CLFS) Driver, waar in een jaar tijd al drie andere zerodaylekken werden aangetroffen en verholpen. Het CLFS is een Windowsonderdeel dat wordt gebruikt voor logging. Via het beveiligingslek, aangeduid als CVE-2023-28252, kan een aanvaller die al toegang tot het systeem heeft zijn rechten verhogen. De kwetsbaarheid alleen is niet voldoende om een systeem over te nemen en moet dan ook worden gecombineerd met een ander beveiligingslek of kan worden gebruikt door malware die bijvoorbeeld via een e-mailbijlage of macro op het systeem wordt uitgevoerd. De kwetsbaarheid wordt al zeker sinds februari bij ransomware-aanvallen gebruikt, zo meldt antivirusbedrijf Kaspersky dat het lek ontdekte en aan Microsoft rapporteerde. Worden de meeste zerodays door statelijke actoren ingezet, dit beveiligingslek is gebruikt door criminelen die er de Nokoyawa-ransomware mee installeren, aldus Kaspersky. De virusbestrijder merkt op dat de kwetsbaarheid eenvoudig gevonden had kunnen worden door middel van fuzzing. Fuzzing is een populaire manier voor het vinden van bugs en kwetsbaarheden in software. Hierbij wordt een programma of een stuk software met allerlei datastromen bestookt, wat vervolgens tot crashes of fouten kan leiden. Die crashes kunnen vervolgens op onbekende beveiligingslekken wijzen. In de CLFS-driver zijn in het verleden zoals gezegd meerdere beveiligingslekken aangetroffen. Dat CVE-2023-28252 toch niet werd opgemerkt is volgens Kaspersky mogelijk te verklaren doordat fuzzers het probleem wel vonden en er zich een "exception" voordeed, maar dat er geen crash plaatsvond en het lek zo onopgemerkt bleef. De update die het probleem verhelpt wordt op de meeste Windowscomputers automatisch geïnstalleerd.

Honderdduizenden WordPress-sites kwetsbaar door beveiligingslek in Limit Login Attempts plug-in

Honderdduizenden WordPress-sites zijn door een beveiligingslek in de plug-in Limit Login Attempts kwetsbaar voor aanvallen. Er is inmiddels een beveiligingsupdate uitgebracht, maar zo'n half miljoen websites hebben die nog niet geïnstalleerd. Limit Login Attempts moet bruteforce-aanvallen op WordPress-sites bemoeilijken. De plug-in zorgt ervoor dat ip-adressen na een aantal mislukte inlogpogingen op een blacklist worden geplaatst en niet meer mogen inloggen. Limit Login Attempts is op meer dan 600.000 WordPress-sites actief. Een cross-site scripting-kwetsbaarheid in de plug-in, aangeduid als CVE-2023-1912, maakt het mogelijk voor aanvallers om de website over te nemen. Het beveiligingslek maakt het namelijk mogelijk om malafide JavaScript aan de database van de plug-in toe te voegen, die automatisch wordt uitgevoerd wanneer de beheerder de loggingpagina bekijkt, zo meldt securitybedrijf Wordfence. Vorige week verscheen versie 1.7.2, waarin het probleem is verholpen. In de beschrijving van deze versie wordt alleen gesproken over "security fixes". Sinds de update uitkwam is Limit Login Attempts zo'n honderdduizend keer gedownload, wat inhoudt dat nog zo'n vijfhonderdduizend websites de update missen.

Twee zeroday-kwetsbaarheden in iOS en macOS stellen aanvallers in staat om systemen volledig over te nemen

Twee actief aangevallen zerodaylekken in iOS en macOS maken het mogelijk voor aanvallers om systemen volledig over te nemen, waarbij alleen het bezoeken van een malafide of gecompromitteerde website of het te zien krijgen van een besmette advertentie voldoende is. Apple heeft beveiligingsupdates uitgebracht om de kwetsbaarheden te verhelpen. De beveiligingslekken bevinden zich in IOSurfaceAccelerator (CVE-2023-28206) en WebKit (CVE-2023-28205), de door Apple ontwikkelde browser-engine. Alle browsers op iOS en iPadOS zijn verplicht om van WebKit gebruik te maken. Via de kwetsbaarheid in WebKit kan een aanvaller door middel van een drive-by download, waarbij zoals gezegd het verwerken van malafide webcontent voldoende is en er geen verdere interactie van de gebruiker is vereist, willekeurige code op toestellen uitvoeren. Het beveiligingslek in IOSurfaceAccelerator maakt het mogelijk voor een malafide app om willekeurige code met kernelrechten uit te voeren. Zo kan er volledige controle over het apparaat worden verkregen. De beveiligingslekken zijn zeer vermoedelijk in tandem gebruikt, waarbij een aanvaller eerst via het lek in WebKit toegang krijgt en vervolgens via de kwetsbaarheid in IOSurfaceAccelerator zijn rechten verhoogt. Beide beveiligingslekken werden gevonden en gerapporteerd door onderzoekers van Amnesty International en Googles Threat Analysis Group. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. Onlangs kwamen zowel Amnesty als Google met een rapport over het gebruik van zerodaylekken om Android- en iOS-gebruikers met spyware te infecteren. Apple heeft beide kwetsbaarheden verholpen in iOS 16.4.1, iPadOS 16.4.1 en macOS Ventura 13.3.1. Voor gebruikers van macOS Big Sur en macOS Monterey is Safari 16.4.1 verschenen, waarin alleen de WebKit-kwetsbaarheid is opgelost.

Kwetsbaarheden in Nexx smarthome-apparaten stellen aanvallers in staat garagedeuren te openen en alarmsystemen uit te schakelen

Een aantal kwetsbaarheden in de apparatuur van smarthomefabrikant Nexx maakt het mogelijk voor aanvallers om garagedeuren vanaf het internet te openen, alarmen uit te schakelen en slimme stekkers te bedienen en het bedrijf heeft ondanks maanden geleden te zijn ingelicht nog altijd geen beveiligingsupdates uitgebracht. De garageopener van Nexx is via een app en spraakassistent te bedienen, zodat eigenaren hun garagedeur op afstand kunnen openen. Ook het "slimme" alarm en stopcontact van Nexx zijn via een app te bedienen. Alle drie de apparaten maken echter gebruik van hardcoded wachtwoorden. Een aanvaller met toegang tot de app of firmware kan deze wachtwoorden bekijken en toegang tot de MQ Telemetry Server (MQTT) server van Nexx krijgen. Met informatie van de server is het vervolgens mogelijk om elke garagedeur ter wereld, die van de Nexx-garageopener gebruikmaakt, te openen. Dit geldt ook voor de slimme stopcontacten, die een aanvaller kan in- en uitschakelen. Verder blijkt dat het smart alarm van Nexx, dat gekoppeld kan worden aan alarmsystemen, niet goed controleert of de gebruiker die de opdracht geeft om het alarm in of uit te schakelen, daadwerkelijk de eigenaar is. Zo kan elke geautoriseerde gebruiker van een Nexx-alarm de alarmsystemen van andere gebruikers uitschakelen. Tevens is het mogelijk voor een aanvaller om al geregistreerde alarmsystemen uit de accounts van Nexx-gebruikers te verwijderen en aan het eigen account toe te voegen, en er zo volledige controle over te krijgen. Naar schatting gaat het om zo'n veertigduizend Nexx-apparaten die wereldwijd worden gebruikt. Volgens onderzoeker Sam Sabetan, die de problemen ontdekten, zijn er meer dan twintigduizend Nexx-accounts actief. Sabetan waarschuwde Nexx op 4 januari van dit jaar, maar dat leverde niets op. Vervolgens informeerde de onderzoeker het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security, maar dat slaagde er ook niet in om contact met de leverancier te krijgen. Zowel het CISA als Sabetan hebben nu details over de kwetsbaarheden openbaar gemaakt. De onderzoeker adviseert eigenaren om hun Nexx-apparatuur uit te schakelen en contact met de leverancier op te nemen.

Kritieke informatielek in tientallen HP-printers; kwetsbaarheden in meer dan vijftig modellen

Tientallen printermodellen van HP bevatten een kritiek informatielek en omdat een beveiligingsupdate nog niet beschikbaar is adviseert de printerfabrikant als tijdelijke oplossing het direct installeren van oudere firmware. De kwetsbaarheid, aangeduid als CVE-2023-1707, wordt omschreven als 'information disclosure'. Normaliter worden dergelijke beveiligingslekken waarbij het stelen van informatie mogelijk is niet als kritiek aangeduid, maar in dit geval wel. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.1. Voor klanten die FutureSmart 5.6 draaien en IPsec hebben ingeschakeld, heeft HP een tijdelijke "firmware-mitigatie" beschikbaar gemaakt. FutureSmart is de firmware van HP die op alle zakelijke printers draait. Voor alle andere klanten raadt HP aan om meteen oudere firmware te installeren. Een nieuwe firmware-update waarin het probleem is verholpen wordt binnen negentig dagen verwacht. Details over de kwetsbaarheid zijn niet gegeven, behalve dat die in meer dan vijfitg modellen van de HP Color LaserJet Enterprise en HP Color LaserJet Managed aanwezig is.

Kritieke kwetsbaarheid in Cisco Expressway en TelePresence Video Communication Server na tien maanden volledig gepatcht

Cisco heeft een kritieke kwetsbaarheid in Cisco Expressway Series en Cisco TelePresence Video Communication Server, waardoor een aanvaller door middel van path traversal als root bestanden kan overschrijven en zo het systeem volledige kan compromitteren, na tien maanden volledig gepatcht. Vorig jaar juli kwam het netwerkbedrijf al met een gedeeltelijke oplossing. Cisco Expressway is een gateway voor communicatiediensten, TelePresence is een oplossing voor videoconferenties. Beide producten gaan niet goed om met gebruikersinvoer. Een aanvaller kan invoer geven waardoor het mogelijk is om willekeurige bestanden als root te overschrijven. Om de aanval uit te kunnen voeren moet een aanvaller wel over beheerdersrechten beschikken. Desondanks is de impact van deze kwetsbaarheid, aangeduid als CVE-2022-20812, op een schaal van 1 tot en met 10 beoordeeld met een 9.0. Op 6 juli vorig jaar kwam Cisco al in release 14.0.7 met een gedeeltelijke oplossing. Het probleem is nu volledig verholpen in release 14.3. Beheerders wordt dan ook opgeroepen om naar deze versie of nieuwer te upgraden. Cisco is niet bekend met aanvallen die misbruik van de kwetsbaarheid maken.

Update en handelingsperspectief supplychain-aanval 3CX

Cybersecuritybedrijf CrowdStrike heeft op 30 maart aangegeven een digitale aanval op gebruikers van het softwarepakket 3CX te hebben waargenomen. 3CX is een veelgebruikte en uitgebreide VoIP-softwareoplossing voor bedrijven, die bijvoorbeeld wordt gebruikt door onder andere telefooncentrales. Het NCSC, CSIRT-DSP en DTC adviseren gebruikers van deze software direct actie te ondernemen.

Wat is er aan de hand?

Het gaat om een supplychain-aanval waarbij mogelijk veel gebruikers van deze software zijn getroffen. In de 3CX Desktop-App update 7 (Windows) en update 6 & 7 (MacOS) zit een stukje software dat besmet is met malware. 3CX heeft aangegeven dat deze versies sinds eind maart 2023 per update beschikbaar zijn geweest.

Handelingsperspectief

Het NCSC, CSIRT-DSP en het DTC adviseren alle organisaties die 3CX in gebruik hebben onderzoek te doen of laten doen naar mogelijke compromittatie van hun systemen en waakzaam te zijn op signalen van mogelijk misbruik.
3CX adviseert het softwareprogramma volledig te verwijderen indien er een besmette (malafide) versie op het systeem aanwezig is. Na het verwijderen van de software is het van belang om het systeem opnieuw op te starten.
Wanneer 3CX noodzakelijk is voor een vitaal proces binnen uw organisatie raadt zij aan of de webapplicatie te gebruiken of na het verwijderen van de besmette software, de laatste versie van de applicatie te installeren.
Onder dit bericht zijn diverse technische referenties te vinden met tools, monitoringsregels en indicatoren die voor onderzoek gebruikt kunnen worden.
Indien u op basis van onderzoek vermoedt slachtoffer te zijn van misbruik dan adviseren wij u in ieder geval alle wachtwoorden te veranderen van de getroffen systemen.

Daarnaast is het raadzaam ook eventuele opgeslagen wachtwoorden (in bijvoorbeeld de browser) te wijzigen.

Malafide versies

3CX geeft aan dat de DesktopApp voor zowel Windows als MacOS is geïnfecteerd met malware. Concreet gaat het om de volgende versies:

Electron Windows software versies 18.12.407 en 18.12.416
Electron MacOS software versies 18.11.1213, 18.12.402, 18.12.407 en 18.12.416.

Neemt u ICT diensten af via een leverancier?

Wanneer u gebruik maakt van 3CX via een tussenpersoon neem dan zo spoedig mogelijk contact op met uw leverancier.

Bronnen met technische details

Huntress
Valhalla
GitHub
Sentinelone
Check my operator
Forensic Scanner Nextron THOR

Het NCSC houdt de situatie, in samenwerking met partners, nauwlettend in de gaten. Deze pagina wordt geüpdatet wanneer er meer informatie beschikbaar is.

Bron: ncsc.nl

Google waarschuwt voor kritieke kwetsbaarheden in Android die op afstand overgenomen kunnen worden

Google waarschuwt bezitters van een Androidtelefoon voor twee kritieke kwetsbaarheden waardoor het toestel op afstand en zonder enige interactie van gebruikers is over te nemen. Er zijn beveiligingsupdates verschenen om de problemen te verhelpen. De twee kwetsbaarheden, aangeduid als CVE-2023-21085 en CVE-2023-21096, bevinden zich in het Android System. Google geeft geen details over de beveiligingslekken, behalve dat die remote code execution zonder interactie van de gebruiker mogelijk maken. Een aanvaller zou zich wel in de buurt van het slachtoffer moeten bevinden. Dat kan op een aanval via bijvoorbeeld bluetooth duiden, maar zonder verdere informatie is dit niet met zekerheid te zeggen. Vorige maand kwam Google ook al met updates voor twee kritieke kwetsbaarheden in het System-onderdeel van Android waardoor remote code execution mogelijk is. Naast de twee kritieke lekken in de Androidcode zijn er deze maand ook vier kritieke kwetsbaarheden in onderdelen van chipfabrikant Qualcomm verholpen. Geen van deze beveiligingslekken is echter op afstand te misbruiken. Een aanvaller moet al toegang tot het toestel hebben. In totaal heeft Google deze maand 68 kwetsbaarheden in Android gerepareerd. Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de april-updates ontvangen zullen '2023-04-01' of '2023-04-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van april aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 11, 12, 12L en 13. Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.

Kwetsbaarheid in WordPress-plug-in Elementor Pro maakt overname van websites mogelijk

Aanvallers maken actief misbruik van een kwetsbaarheid in de WordPress-plug-in Elementor Pro om zo kwetsbare websites over te nemen of verkeer naar andere sites door te sturen. Elementor is een zogeheten "page builder" plug-in die de standaard WordPress-editor vervangt. Het biedt gebruikers meer vrijheid en mogelijkheden voor het vormgeven van hun WordPress-site en introduceert allerlei extra functionaliteit. Naast de gratis Elementor-plug-in is er ook de betaalde plug-in Elementor Pro. Wanneer Elementor Pro en WooCommerce zijn geïnstalleerd, een plug-in om van WordPress-sites een webwinkel te maken, kan een standaardgebruiker zichzelf beheerder van de website maken. De kwetsbaarheid in Elementor Pro maakt het namelijk mogelijk om de registratiepagina in te schakelen, wanneer die is uitgeschakeld, en de standaardrol naar beheerder te zetten. Elk aangemaakt account heeft dan beheerdersrechten. Daarnaast is het ook mogelijk om het e-mailadres van alle actieve beheerders te wijzigen of al het verkeer naar de WordPress-site naar een andere website door te sturen. Op 22 maart kwamen de ontwikkelaars van Elementor met een update, maar die maakt niet echt duidelijk wat het probleem is. "Improved code security enforcement in WooCommerce components", aldus de beschrijving. Inmiddels maken aanvallers actief misbruik van de kwetsbaarheid, zo meldt securitybedrijf Patchstack. Beheerders wordt dan ook aangeraden om de update installeren.

Overzicht slachtoffers cybercriminelen huidige week

Bron: Diverse | Met speciale dank aan: Anonieme tipgevers