Kwetsbaarheden CVE's

2024 | 2023 | 2022 | 2021

april | maart | februari | januari

Kwetsbaarheden nieuws

⚠️ Kritieke Achterdeur Ontdekt in XZ Tools Gebruikt door Veel Linux Distributies

Red Hat heeft een dringende waarschuwing uitgegeven aan gebruikers van Fedora ontwikkel- en experimentele versies om het gebruik van systemen die draaien op de nieuwste versies van XZ Utils datacompressiehulpmiddelen en bibliotheken onmiddellijk te staken. Dit advies volgt op de ontdekking van een achterdeur in versies 5.6.0 en 5.6.1 van XZ, die potentieel ongeautoriseerde toegang of externe code-uitvoering kan toestaan. Het beveiligingsprobleem, ontdekt door Microsoft software engineer Andres Freund, betreft specifiek een vertraging bij SSH logins op een Linux systeem met Debian Sid. Red Hat heeft de kwestie, nu bekend als CVE-2024-3094, een kritieke ernstscore van 10/10 gegeven en is teruggekeerd naar XZ versie 5.4.x in Fedora 40 beta. De kwaadaardige code, die alleen in het volledige downloadpakket aanwezig is en niet in de Git-distributie, interfereert met authenticatie in sshd via systemd. Dit kan onder bepaalde omstandigheden een kwaadwillende actor in staat stellen om sshd-authenticatie te doorbreken en ongeautoriseerde toegang tot het systeem op afstand te verkrijgen. CISA heeft ook een waarschuwing uitgegeven met het advies aan ontwikkelaars en gebruikers om te downgraden naar een veilige versie van XZ (d.w.z. 5.4.6 Stabiel) en te zoeken naar eventuele kwaadaardige of verdachte activiteiten op hun systemen. [redhat]

Decennium-oude Linux 'wall' kwetsbaarheid faciliteert valse SUDO prompts en wachtwoorddiefstal

Een recent ontdekte kwetsbaarheid in de 'wall' commando van de util-linux bibliotheek in Linux, genaamd WallEscape (CVE-2024-28085), stelt niet-geprivilegieerde gebruikers in staat willekeurige tekst op de terminals van andere gebruikers te plaatsen. Dit kan leiden tot het stelen van wachtwoorden of het wijzigen van het klembord van het slachtoffer. De fout is al elf jaar aanwezig in elke versie van de bibliotheek tot aan de laatst uitgebrachte versie 2.40. WallEscape maakt misbruik van ongefilterde ontsnappingssequenties in commandoregelargumenten, waardoor aanvallers een valse SUDO-prompt kunnen creëren. De kwetsbaarheid kan worden uitgebuit onder bepaalde voorwaarden, zoals wanneer de 'mesg' utility actief is en de wall commando setgid-rechten heeft, wat het geval is bij bepaalde Linux-distributies zoals Ubuntu22.04 LTS en Debian 12.5. Hoewel de exploitatie afhankelijk is van lokale toegang (fysiek of op afstand via SSH) en dus de ernst beperkt, vertegenwoordigt het een risico in multi-gebruiker omgevingen. Gebruikers worden aangemoedigd om te upgraden naar linux-utils v2.40 om de kwetsbaarheid te verhelpen. Systeembeheerders kunnen onmiddellijke maatregelen treffen door de setgid-rechten van de 'wall' commando te verwijderen of door de berichtuitzendingfunctionaliteit te deactiveren met het 'mesg' commando. [mirrors, people, github]

Google dicht kritieke lekken in Chrome na Pwn2Own 2024

Google heeft op dinsdag zeven beveiligingslekken in de Chrome-webbrowser gerepareerd, waaronder twee zero-day kwetsbaarheden die werden uitgebuit tijdens de Pwn2Own-hackingwedstrijd in Vancouver in 2024. De eerste kwetsbaarheid, aangeduid als CVE-2024-2887, betreft een ernstige typeverwarring in de WebAssembly-standaard. Deze kwetsbaarheid werd gedemonstreerd door Manfred Paul, die een dubbele remote code execution-exploit uitvoerde. De tweede zero-day, CVE-2024-2886, uitgebuit door Seunghyun Lee van KAIST Hacking Lab, maakt misbruik van een gebruik-na-vrij kwetsbaarheid in de WebCodecs API, waardoor aanvallers op afstand code kunnen uitvoeren via speciaal ontworpen HTML-pagina's. Deze zero-days zijn inmiddels gepatcht in de stabiele versie van Google Chrome (123.0.6312.86/.87 voor Windows en Mac, en 123.0.6312.86 voor Linux), met een wereldwijde uitrol in de komende dagen. Mozilla heeft ook twee zero-day kwetsbaarheden in Firefox gerepareerd die tijdens dezelfde wedstrijd werden uitgebuit. Hoewel Google vijf dagen nodig had en Mozilla slechts één dag om de lekken te dichten, hebben leveranciers normaal gesproken 90 dagen de tijd om patches uit te brengen voor op Pwn2Own getoonde beveiligingsfouten. De Pwn2Own 2024 in Vancouver eindigde op 22 maart, waarbij beveiligingsonderzoekers $1.132.500 verdienden door 29 zero-day exploits te demonstreren. Manfred Paul werd uitgeroepen tot winnaar van dit jaar, met $202.500 aan prijzengeld na het succesvol aanvallen van de browsers van Apple Safari, Google Chrome en Microsoft Edge. [mitre, mitre]

Kritiek Beveiligingslek in Google Chrome maakt overname systemen mogelijk

Google Chrome is onlangs getroffen door een kritieke kwetsbaarheid, geïdentificeerd als CVE-2024-2883, die het mogelijk maakt voor aanvallers om op afstand code uit te voeren en in het ergste geval volledige controle over systemen te verkrijgen. Dit kan gebeuren door simpelweg een gecompromitteerde website te bezoeken of een kwaadaardige advertentie te zien, zonder verdere interactie van de gebruiker. Google heeft in reactie hierop een update uitgerold om het lek te dichten. Dit lek, ontdekt door beveiligingsonderzoeker Cassidy Kim, betreft een use after free fout in ANGLE, een component van Chrome dat wordt gebruikt voor het verwerken van WebGL en andere OpenGL content. Kim ontving een beloning van $10.000 voor de ontdekking. Naast CVE-2024-2883 heeft Google ook een ander beveiligingslek aangepakt dat tijdens de Pwn2Own-wedstrijd werd onthuld, hoewel dit lek minder impact heeft omdat het beperkt is tot code-uitvoering binnen de browser. Google streeft ernaar om kritieke updates binnen dertig dagen naar alle gebruikers uit te rollen, met openbaarmaking van details na zestig dagen. De nieuwste versies van Chrome voor Windows, macOS, en Linux bevatten de fix. Gebruikers worden aangemoedigd om handmatig op updates te controleren voor onmiddellijke bescherming, hoewel updates meestal automatisch worden toegepast. [chromereleases.googleblog, support.google]

Duitse Overheid Waarschuwt voor Massale Kwetsbaarheid in Exchange-Servers

De Duitse overheid, vertegenwoordigd door het Bundesamt für Sicherheit in der Informationstechnik (BSI), heeft recentelijk alarm geslagen over de aanwezigheid van kritieke kwetsbaarheden in maar liefst 17.000 Microsoft Exchange-servers binnen Duitsland. Deze servers zijn gevoelig voor cyberaanvallen vanwege het ontbreken van essentiële beveiligingsupdates. Een onderzoek van het BSI onthulde dat Duitsland in totaal 45.000 Exchange-servers telt die toegankelijk zijn via Outlook Web Access (OWA), waarvan 37% kwetsbaar is vanwege het gebruik van verouderde of niet volledig bijgewerkte versies van Exchange. Ondanks dat 48% van deze servers mogelijk niet kwetsbaar is, blijft de exacte status onzeker. Het BSI heeft vanwege deze zorgwekkende situatie dreigingsniveau 'oranje' uitgeroepen, wat duidt op een significante dreiging voor de bedrijfsvoering. Exchange-beheerders worden dringend geadviseerd hun systemen regelmatig te updaten en de toegang tot webdiensten zoals Outlook Web Access via een beveiligde VPN-verbinding te laten verlopen, om zo de veiligheid te verhogen. [bsi.bund.de]

⚠️ Apple Repareert Kritieke Kwetsbaarheid in iPhones en Macs

Apple heeft gebruikers van iPhones, Macs, en iPads op de hoogte gesteld van een belangrijke beveiligingsupdate die een kritieke kwetsbaarheid aanpakt. Deze kwetsbaarheid, bekend als CVE-2024-1580, zou aanvallers in staat kunnen stellen om via een kwaadaardige afbeelding willekeurige code uit te voeren op getroffen apparaten. De kwetsbaarheid is gevonden in twee componenten van het besturingssysteem: CoreMedia en WebRTC, waarbij het Core Media framework verantwoordelijk is voor media verwerking en WebRTC real-time communicatie mogelijkheden biedt aan browsers. Het lek werd ontdekt door Nick Galloway van Google's Project Zero, die aangaf dat het verwerken van een malafide afbeelding tot ongeoorloofde code-uitvoering kan leiden. Tot dusver heeft Apple geen meldingen ontvangen over daadwerkelijk misbruik van deze kwetsbaarheid. Als reactie hierop heeft Apple updates uitgerold voor iOS, iPadOS, macOS, en Safari om de kwetsbaarheid te verhelpen, waarmee zowel iPhones als Mac-computers nu beschermd zijn tegen mogelijke aanvallen via deze specifieke kwetsbaarheid.

⚠️ Mozilla dicht twee kritieke zero-day lekken in Firefox na Pwn2Own 2024

Tijdens de Pwn2Own Vancouver 2024 hacking competitie, werden twee kritieke zero-day kwetsbaarheden in de Firefox webbrowser aan het licht gebracht. Mozilla heeft snel gehandeld door beveiligingsupdates uit te brengen voor Firefox 124.0.1 en Firefox ESR 115.9.1 om deze lekken te dichten. De kwetsbaarheden, geïdentificeerd als CVE-2024-29944 en CVE-2024-29943, stelden een aanvaller in staat om op afstand code uit te voeren en de sandbox van Mozilla Firefox te omzeilen. Dit werd bereikt door een out-of-bounds schrijffout en het misbruiken van een gevaarlijke functie. De eerste kwetsbaarheid maakte misbruik van event handlers voor het uitvoeren van code met verhoogde rechten, terwijl de tweede aanvallers in staat stelde om buiten de toegestane grenzen van een JavaScript-object te lezen of te schrijven. De patches werden uitgebracht slechts één dag na de demonstratie van deze exploits door Manfred Paul, die daarmee $100,000 en 10 Master of Pwn punten verdiende. Deze snelle actie van Mozilla onderstreept het belang van dergelijke competities in het ontdekken en dichten van beveiligingslekken, waarmee de algemene veiligheid van internetgebruikers wordt verbeterd. [mozilla]

Ontdekte Kwetsbaarheid in Apple M-processors Bedreigt Encryptiesleutels

Onderzoekers van Amerikaanse universiteiten hebben een kritieke kwetsbaarheid in de M-processors van Apple aan het licht gebracht, die het dieven mogelijk maakt encryptiesleutels van apparaten zoals MacBooks te stelen. Deze kwetsbaarheid, gelegen in de data memory-dependent prefetcher (DMP) van de chips, kan niet direct gepatcht worden en vereist dat ontwikkelaars van encryptiesoftware mitigerende maatregelen nemen, wat waarschijnlijk prestatie-impact heeft. De DMP, bedoeld voor optimalisatie, kan door aanvallers misbruikt worden om gevoelige gegevens zoals encryptiesleutels te prefetchen en zichtbaar te maken in de cache. De aanval, gedoopt 'GoFetch', speelt in op een fout in de DMP waarbij encryptiesleutels verward worden met pointerwaarden, waardoor aanvallers toegang kunnen krijgen tot de encryptiegegevens. De aanval vereist dat de aanvaller toegang heeft tot het systeem of dat het slachtoffer een kwaadaardige app installeert. Hoewel het probleem vooral aanwezig is in de M1- en M2-chips, heeft de nieuwste M3-chip een functie om de DMP uit te schakelen. Apple is in december ingelicht over deze kwetsbaarheid, en onderzoekers plannen een proof-of-concept exploit te publiceren. [gofetch, arstechnica]

Kritieke "Unsaflok" Kwetsbaarheden Bedreigen Miljoenen Hoteldeuren Wereldwijd

Onderzoekers hebben een reeks beveiligingsproblemen, genaamd "Unsaflok," onthuld die drie miljoen elektronische RFID-sloten van Saflok, gebruikt in 13.000 hotels en woningen over de hele wereld, in gevaar brengen. Door het uitbuiten van deze kwetsbaarheden, kunnen aanvallers elke deur binnen een hotel ontgrendelen door een paar nagemaakte sleutelkaarten te gebruiken. De ontdekking werd gedaan tijdens een privé hackevenement in Las Vegas, waarbij de onderzoekers zich richtten op het vinden van kwetsbaarheden binnen de Saflok elektronische sloten. Ondanks dat de fabrikant, Dormakaba, begonnen is met het vervangen of upgraden van de getroffen sloten sinds november 2023, blijft 64% van de sloten kwetsbaar tot maart 2024. De onderzoekers hebben hun bevindingen beperkt openbaar gemaakt en beloven volledige details te delen zodra een aanzienlijke meerderheid van de hotels hun systemen heeft geüpgraded. [wired, unsaflok]

Microsoft Rolt Beveiligingsupdate uit voor Kwetsbaarheid in Xbox Gaming Services

Microsoft heeft onlangs een kritieke kwetsbaarheid in de Xbox Gaming Services geïdentificeerd die aanvallers systeemrechten op een gecompromitteerd systeem kan verlenen. Dit beveiligingslek, met de aanduiding CVE-2024-28916, stelt een aanvaller die reeds toegang tot een systeem heeft in staat om zijn rechten te verhogen tot die van een systeembeheerder (SYSTEM), waardoor volledige controle over het systeem mogelijk wordt. De ernst van deze kwetsbaarheid is beoordeeld met een 8.8 op een schaal van 1 tot 10, wat wijst op een aanzienlijk risico. Hoewel de kwetsbaarheid op zichzelf niet toelaat om op afstand controle over een systeem te krijgen, kan het in combinatie met een andere kwetsbaarheid of via reeds verkregen toegang (bijvoorbeeld door malware of een kwaadaardige app) wel leiden tot volledige systeemovername. Proof-of-concept exploitcode is al online beschikbaar, wat de kans op misbruik vergroot. Microsoft heeft als reactie hierop een beveiligingsupdate uitgebracht die automatisch wordt toegepast door de Microsoft Store, mits automatische updates niet zijn uitgeschakeld door de gebruiker. Deze update is cruciaal voor het beveiligen van systemen tegen mogelijke aanvallen die gebruikmaken van deze kwetsbaarheid.

Zerodays in Tesla en VMware Werkstation Steelt de Show bij Pwn2Own

Tijdens de jaarlijkse Pwn2Own-wedstrijd in Vancouver kwamen onderzoekers met onthullingen over zerodaylekken in diverse software en hardware, waaronder Ubuntu Linux, Windows, Apple Safari, Google Chrome, Microsoft Edge, Oracle VirtualBox, en specifiek in een Tesla Model 3 en VMware Workstation. Deze laatste twee trokken opvallend veel aandacht. Pwn2Own moedigt het ontdekken van niet eerder gemelde kwetsbaarheden aan, door beloningen uit te reiken voor succesvolle demonstraties. Zo werd een kwetsbaarheid in de Tesla Model 3 uitgebuit via een integer overflow, wat de onderzoekers niet alleen $200.000 opleverde, maar ook een nieuwe Tesla Model 3. In het geval van VMware Workstation, slaagden onderzoekers erin om drie kwetsbaarheden te benutten, waardoor ze code met systeemrechten konden uitvoeren op het onderliggende Windows-systeem, wat hen $130.000 opleverde. Deze vondsten worden gemeld bij de leveranciers voor het ontwikkelen van patches. De wedstrijd onderstreept het belang van cybersecurity en stimuleert het verbeteren van de digitale veiligheid. [zerodayinitiative, zerodayinitiative]

Ivanti dringt aan op snelle patching na kritieke kwetsbaarheden

Ivanti heeft klanten opgeroepen om onmiddellijk een kritieke kwetsbaarheid in Standalone Sentry te patchen, na een melding door onderzoekers van het NATO Cyber Security Centre. Standalone Sentry functioneert als een Kerberos Key Distribution Center Proxy (KKDCP) server of als een gatekeeper voor ActiveSync-geactiveerde Exchange en SharePoint servers. Deze kwetsbaarheid, bekend als CVE-2023-41724, treft alle ondersteunde versies en maakt het mogelijk voor niet-geauthenticeerde kwaadwillenden binnen hetzelfde fysieke of logische netwerk om willekeurige commando's uit te voeren met een lage complexiteit. Een tweede kritieke kwetsbaarheid (CVE-2023-46808) in Ivanti's Neurons voor ITSM IT-servicebeheeroplossing werd ook gepatcht, waarbij externe bedreigingen met toegang tot een account met lage privileges commando's kunnen uitvoeren "in de context van de webapplicatiegebruiker." Hoewel de patch voor de Neurons voor ITSM Cloud landschappen reeds is toegepast, blijven on-premise implementaties kwetsbaar. Ivanti heeft aangegeven geen bewijs te hebben gevonden dat deze beveiligingslekken actief worden uitgebuit. Het bedrijf benadrukt de urgentie van het patchen om volledige bescherming te garanderen. In de loop van het jaar zijn meerdere Ivanti-kwetsbaarheden door staatsactoren als zero-days uitgebuit, voordat ze op grotere schaal door diverse dreigingsactoren werden gebruikt om aangepaste malware te verspreiden. Vorige maand waren meer dan 13.000 Ivanti Connect Secure en Policy Secure endpoints nog kwetsbaar voor aanvallen die deze beveiligingslekken exploiteerden. [ivanti]

Ernstige Veiligheidslekken in Firebase Ontbloten 19 Miljoen Wachtwoorden

Drie cybersecurity onderzoekers hebben een alarmerende ontdekking gedaan: bijna 19 miljoen wachtwoorden, in platte tekst zichtbaar op het openbare internet, door foutief geconfigureerde Firebase-instanties, een Google-platform gebruikt voor databankhosting, cloud computing en app-ontwikkeling. Tijdens hun onderzoek, waarbij meer dan vijf miljoen domeinen werden gescand, identificeerden ze 916 websites van organisaties met ontoereikende of verkeerd ingestelde beveiligingsregels, waardoor meer dan 125 miljoen gevoelige gebruikersgegevens, waaronder e-mails, namen, telefoonnummers, en bankgegevens, onbeschermd bleven. Opvallend was dat 98% van de ontdekte wachtwoorden in leesbare vorm waren opgeslagen, een methode die bedrijven volgens de onderzoekers actief moeten hebben nagestreefd ondanks de beschikbaarheid van Firebase's beveiligde inlogoplossing. Na hun bevindingen te hebben geanalyseerd, namen de onderzoekers contact op met de betrokken bedrijven; slechts een kwart van hen heeft de configuratiefouten gecorrigeerd. Dit incident onderstreept het grootschalige risico van slechte databeveiliging en de noodzaak voor bedrijven om hun configuraties zorgvuldig te beheren om gebruikersgegevens te beschermen. [env]

DoD Bereikt Mijlpaal van 50.000 Kwetsbaarheidsrapporten

Sinds de oprichting in november 2016 heeft het Cyber Crime Center (DC3) van het Amerikaanse Ministerie van Defensie een belangrijke mijlpaal bereikt door het verwerken van de 50.000e kwetsbaarheidsmelding, ingediend door 5.635 onderzoekers. Dit is onderdeel van het Vulnerability Disclosure Program (VDP), gelanceerd na het succesvolle 'Hack-the-Pentagon' bug bounty-evenement, dat tot doel heeft de cyberverdediging te versterken door middel van crowd-sourced kwetsbaarheidsrapporten. Het programma onderscheidt zich door zijn continue karakter, in tegenstelling tot de tijdelijke aard van traditionele bug bounties, en heeft geleid tot de identificatie en mitigatie van kritieke kwetsbaarheden over een breed scala aan IT-middelen. Met de introductie van een geautomatiseerd systeem in 2018 voor het traceren en verwerken van rapporten, heeft het VDP zijn efficiëntie en de ervaring voor ethische hackers aanzienlijk verbeterd. In een speciaal 12-maanden durend programma in 2021, in samenwerking met de Defense Counterintelligence and Security Agency, werden 400 significante beveiligingsfouten ontdekt en verholpen, wat een besparing van 61 miljoen dollar voor de belastingbetaler opleverde. Ondanks een lichte daling in het aantal rapporten in het afgelopen jaar, blijft de bijdrage van het VDP aanzienlijk, met meer dan 27.000 opgeloste kwesties tot nu toe, waarbij het programma op HackerOne een vitale rol speelt in het versterken van de cyberdefensie van het DoD. [DC3]

Mozilla Dicht Kritiek Beveiligingslek in Firefox

Mozilla heeft een kritiek beveiligingslek in de Firefox-browser aangepakt met de uitgave van versie 124. Deze kwetsbaarheid, geïdentificeerd als CVE-2024-2615, bevond zich in meerdere 'memory safety bugs' van Firefox 123 en maakte het mogelijk voor aanvallers om willekeurige code uit te voeren. Volgens Mozilla konden sommige van deze fouten tot geheugencorruptie leiden, met genoeg inspanning te misbruiken om arbitraire code uit te voeren. Dit probleem is nu verholpen in de nieuwste versie van de browser. Naast de beveiligingsupdate heeft Mozilla ook nieuwe functies toegevoegd voor gebruikers in België en Nederland. Zo is de zoekmachine Qwant nu een beschikbare optie voor deze gebruikers, en is er een nieuwe functie geïntroduceerd die het mogelijk maakt om tabbladen te sorteren. Gebruikers worden aangemoedigd om te updaten naar Firefox 124 via de automatische updatefunctie of door de download op Mozilla.org. Deze update onderstreept het voortdurende commitment van Mozilla aan de veiligheid van zijn gebruikers en de verbetering van de gebruikerservaring. [mozilla]

⚠️ Dringende Update voor Kritieke Kwetsbaarheid in FortiOS SSL-VPN

Fortinet heeft onlangs een essentiële beveiligingsupdate uitgebracht om een kritieke kwetsbaarheid, aangeduid als CVE-2024-21762, in het FortiOS SSL-VPN te adresseren. Deze kwetsbaarheid, die een hoge urgentie en impact heeft gekregen van het Nationaal Cyber Security Centrum (NCSC), stelt ongeautoriseerde partijen in staat om een Denial-of-Service (DoS) aanval uit te voeren of zelfs op afstand code uit te voeren. Dit kan resulteren in volledige overname van getroffen systemen. Ondanks dat de kwetsbaarheid tot dusver beperkt is misbruikt, en er nog geen publieke exploitatiecode bekend is gemaakt, wordt de situatie als ernstig beschouwd vanwege de potentie voor grootschalige exploitatie in de nabije toekomst. Gebruikers van FortiOS 7.4 en eerdere versies worden dringend aangeraden de beschikbare beveiligingsupdates te installeren. Voor diegenendie de meest recente versie, v7.6, gebruiken, bestaat er geen risico. Als tijdelijke oplossing kan het uitschakelen van de SSL VPN overwogen worden totdat de updates geïnstalleerd zijn. Het Digital Trust Center benadrukt het belang van een snelle actie om de updates toe te passen of dit door een IT-dienstverlener te laten doen, en raadt aan om contact op te nemen met IT-dienstverleners indien onduidelijk is of een kwetsbare versie in gebruik is. [ccinfo, dtc, cve]

Hackersgroep 'ShadowSyndicate' misbruikt aiohttp-kwetsbaarheid in zoektocht naar kwetsbare netwerken

In januari 2024 werd een ernstige beveiligingslek, CVE-2024-23334, ontdekt in de aiohttp Python bibliotheek, een open-source tool gebruikt voor het afhandelen van gelijktijdige HTTP-verzoeken. Dit lek maakt het mogelijk voor ongeautoriseerde externe aanvallers om toegang te krijgen tot bestanden op kwetsbare servers door middel van directory traversal. De kwetsbaarheid, die alle versies van aiohttp vóór 3.9.2 beïnvloedt, kwam aan het licht toen een bewijs-van-concept exploitatie werd gepubliceerd op GitHub, gevolgd door een gedetailleerde exploitatiehandleiding op YouTube. Cyble's dreigingsanalisten merkten op dat exploitatiepogingen begonnen eind februari 2024, toenemend in maart. Deze activiteiten werden gelinkt aan de ransomwaregroep 'ShadowSyndicate', bekend om hun financieel gemotiveerde cyberaanvallen sinds juli 2022. De groep wordt in verband gebracht met verschillende ransomwarestammen en wordt gezien als een affiliate die samenwerkt met meerdere ransomwareoperaties. Met ongeveer 44,170 aiohttp-instanties blootgesteld aan het internet, waarvan de versie vaak onbekend is, blijft het risico op misbruik aanzienlijk. Dit benadrukt de uitdagingen rond het bijwerken van open-sourcebibliotheken en de aanhoudende waarde ervan voor cybercriminelen, zelfs jaren na het beschikbaar komen van beveiligingsupdates.

In Nederland: 98

In Belgie: 87

[github, youtube, cyble, getodin]

Kritieke Kwetsbaarheid in WordPress Plug-ins Bedreigt Tienduizenden Sites

Meer dan tienduizend WordPress-websites zijn in gevaar door een kritieke kwetsbaarheid in twee plug-ins van ontwikkelaar MiniOrange, namelijk de 'Malware Scanner' en de 'Web Application Firewall'. Deze plug-ins, ontworpen om websites te beschermen tegen aanvallen en malware, worden niet meer ondersteund door de ontwikkelaar. De kwetsbaarheid stelt een aanvaller zonder authenticatie in staat om het wachtwoord van gebruikers te resetten, mits een geldige gebruikersnaam wordt opgegeven. Deze beveiligingslek is met een 9.8 uiterst hoog beoordeeld op een schaal van 1 tot 10. Het probleem werd begin maart aan MiniOrange gemeld, maar in plaats van het ontwikkelen van een patch, heeft de ontwikkelaar besloten om de ondersteuning voor de plug-ins te stoppen. Securitybedrijf Wordfence heeft, gezien de ernst van de kwetsbaarheid en het gebrek aan een oplossing, dringend geadviseerd deze plug-ins onmiddellijk van websites te verwijderen om verdere risico's te voorkomen. [1]

Kritieke Kwetsbaarheid in FortiClient EMS Software Gepatcht

Fortinet heeft een kritieke kwetsbaarheid in zijn FortiClient Enterprise Management Server (EMS) software aangepakt die aanvallers in staat stelde om op afstand code uit te voeren op kwetsbare servers. Deze software, die voornamelijk wordt gebruikt voor het beheren van eindpuntapparaten binnen een bedrijfsnetwerk, maakt het mogelijk voor beheerders om FortiClient-software te implementeren en beveiligingsprofielen toe te wijzen aan Windows-apparaten. De kwetsbaarheid, aangeduid als CVE-2023-48788, betreft een SQL-injectie in de DB2 Administration Server (DAS) component. Deze werd ontdekt en gerapporteerd door het National Cyber Security Centre (NCSC) van het VK en Fortinet ontwikkelaar Thiago Santana. Het beïnvloedt specifieke versies van de FortiClient EMS software en stelt niet-geauthenticeerde aanvallers in staat om met SYSTEM privileges code uit te voeren zonder dat gebruikersinteractie nodig is. Ondanks dat Fortinet geen bewijs heeft gepubliceerd van actief misbruik voor de patch, benadrukte het Horizon3 Attack Team de ernst van de bug en plant het een demonstratie van het exploit. Daarnaast heeft Fortinet deze week ook andere kritieke en hoge-severity kwetsbaarheden gepatcht die verschillende systemen beïnvloeden. Fortinet-producten zijn een frequent doelwit voor cyberaanvallen, waaronder ransomware-aanvallen en cyberespionage-campagnes. [1, 2]

⚠️ Microsoft's Patch Tuesday Maart 2024: Belangrijke Beveiligingsupdates

Op de Patch Tuesday van maart 2024 heeft Microsoft beveiligingsupdates uitgebracht voor 60 kwetsbaarheden, waaronder 18 die remote code execution (RCE) mogelijk maken. Onder de opgeloste kwetsbaarheden bevinden zich slechts twee kritieke problemen: een in Hyper-V die zowel remote code execution als denial of service mogelijk maakt. De overige fouten omvatten 24 privilege escalaties, 3 beveiligingsontduikingen, 6 informatieonthullingen, 6 service weigeringen en 2 spoofing kwetsbaarheden. Daarnaast werden 4 Microsoft Edge fouten al op 7 maart aangepakt. Interessant is dat er deze maand geen zero-day kwetsbaarheden zijn verholpen.

Onder de noemenswaardige fouten valt een privilege escalatie in Microsoft Office, waardoor elke geauthenticeerde gebruiker SYSTEM-rechten kon verkrijgen, en een beveiligingsontduiking in Microsoft Defender, die nu via automatische updates van de Antimalware Platform is verholpen. Ook is een remote code execution kwetsbaarheid in Skype for Consumer aangepakt, die geactiveerd kon worden via een kwaadaardige link of afbeelding.

Naast Microsoft hebben ook andere bedrijven zoals AnyCubic, Apple, Cisco, Fortinet, Google, Intel, QNAP, SAP, en VMware belangrijke beveiligingsupdates uitgebracht. Deze maandelijkse updatecyclus benadrukt het continue belang van het tijdig toepassen van patches om systemen te beschermen tegen potentiële bedreigingen.

Kritieke Kwetsbaarheden in Microsoft Hyper-V Ontdekt

Deze software stelt gebruikers in staat om virtuele machines te creëren. De eerste kritieke kwetsbaarheid, geïdentificeerd als CVE-2024-21408, kan een denial of service (DoS) veroorzaken. Hoewel DoS-aanvallen meestal niet als kritiek worden beschouwd, is dat in dit geval wel zo, alhoewel Microsoft geen verdere details heeft vrijgegeven. De tweede kwetsbaarheid, aangeduid als CVE-2024-21407, stelt een geauthenticeerde aanvaller die toegang heeft tot een virtuele machine (VM) op de gastheer, in staat om code uit te voeren op de host-server zelf. Voor een succesvolle aanval moet de aanvaller specifieke informatie over de doelomgeving verzamelen en aanvullende stappen ondernemen. Desondanks beschouwt Microsoft het risico van misbruik van deze kwetsbaarheden als 'minder waarschijnlijk'. De overige beveiligingsproblemen die tijdens deze update zijn aangepakt, zijn van minder ernstige aard.

⚠️ Kritieke Beveiligingslekken in Fortinet's FortiOS en FortiProxy Noodzaken Dringende Updates

Fortinet heeft een waarschuwing uitgebracht voor twee kritieke kwetsbaarheden binnen de captive portal functionaliteiten van zowel FortiOS als FortiProxy. Deze kwetsbaarheden, geïdentificeerd als CVE-2023-42789 en CVE-2023-42790, hebben een risicobeoordeling van 9.3 op een schaal van 1 tot 10 gekregen, wat wijst op een ernstig beveiligingsrisico. De gevonden lekken stellen een aanvaller in staat om willekeurige code en commando's uit te voeren op het getroffen systeem door specifiek geformuleerde HTTP-requests te versturen, wat kan leiden tot een out-of-bounds write of buffer overflow. FortiOS, het besturingssysteem van Fortinet, wordt gebruikt op diverse netwerkapparaten zoals firewalls en VPN-systemen. FortiProxy fungeert als een webgateway en beide systemen gebruiken een captive portal om gebruikers te authenticeren alvorens zij toegang krijgen tot webbronnen. Fortinet heeft reeds beveiligingsupdates vrijgegeven om deze kwetsbaarheden te verhelpen en raadt organisaties aan deze zo snel mogelijk te installeren. Daarnaast is er een workaround beschikbaar gesteld om misbruik van de lekken te voorkomen. Opmerkelijk is dat recent bleek dat 150.000 apparaten van Fortinet nog steeds een belangrijke beveiligingsupdate missen voor een ander actief aangevallen lek, wat het belang van snelle en effectieve patching onderstreept. [1]

White Hackers Dragen Bij Aan Een Veiliger Internet: Google Keert $10 Miljoen Uit in 2023

In 2023 heeft Google $10 miljoen uitgekeerd aan 632 onderzoekers uit 68 landen voor het vinden en verantwoord melden van beveiligingsfouten in de producten en diensten van het bedrijf. Dit bedrag is iets lager dan de $12 miljoen die in 2022 werd uitbetaald, maar toont nog steeds een aanzienlijke betrokkenheid van de gemeenschap bij de beveiligingsinspanningen van Google. De hoogste beloning voor een enkel rapport was $113,337, waardoor het totale bedrag dat sinds de start van het programma in 2010 is uitgekeerd, op $59 miljoen komt. Het programma keerde meer dan $3,4 miljoen uit voor Android, het meest gebruikte mobiele besturingssysteem ter wereld, en verhoogde de maximale beloning voor kritieke kwetsbaarheden naar $15,000. Tijdens beveiligingsconferenties werden significante bedragen toegekend voor kritieke ontdekkingen in onder andere Wear OS en Android Automotive OS, en voor problemen in Nest, Fitbit en wearables. De Chrome-browser, een ander groot softwareproject van Google, was het onderwerp van 359 beveiligingsbugrapporten, met een totale uitbetaling van $2,1 miljoen. Google heeft ook de beloningen voor bugs in oudere versies van V8, Chrome's JavaScript-engine, verhoogd en introduceerde 'MiraclePtr' in Chrome M116 om bescherming te bieden tegen niet-renderer Use-After-Free (UAF) kwetsbaarheden. Naast de uitbetalingen werden in 2023 verschillende belangrijke ontwikkelingen en verbeteringen in het bug bounty programma doorgevoerd, zoals de introductie van het Bonus Awards programma, de uitbreiding van het exploit beloningsprogramma naar Chrome en Cloud, en de lancering van de Bughunters blog om inzichten en veiligheidsmaatregelen te delen. [1]

Misconfiguraties in Microsoft's Configuratie Manager Vormen Cyberbeveiligingsrisico

Onderzoekers hebben een kennisbank samengesteld gericht op aanvals- en verdedigingstechnieken die misconfiguraties in Microsoft's Configuration Manager (MCM), voorheen bekend als System Center Configuration Manager (SCCM, ConfigMgr), uitbuiten. Dit platform, sinds 1994 actief en een belangrijk onderdeel van vele Active Directory-omgevingen, blijkt kwetsbaar voor cyberaanvallen door onjuiste instellingen. De onderzoekers Chris Thompson en Duane Michael van SpecterOps presenteerden tijdens de SO-CON-beveiligingsconferentie de "Misconfiguration Manager", een repository met aanvalsmethoden gebaseerd op foutieve MCM-configuraties. Deze repository dient ook als hulpmiddel voor verdedigers om hun beveiliging te versterken. Veelvoorkomende misconfiguraties omvatten netwerktoegangsaccounts (NAA's) met te veel privileges, wat aanvallers de mogelijkheid geeft om domeincontrollers te worden of payloads uit te voeren. De Misconfiguration Manager bevat 22 technieken voor zowel aanval als verdediging, gericht op het verhogen van de beveiliging van MCM/SCCM-implementaties. Deze technieken variëren van toegang tot inloggegevens en verhoging van privileges tot het overnemen van de MCM/SCCM-hiërarchie. Verdedigingsacties zijn opgedeeld in preventie, detectie, en misleiding, waarbij wordt geadviseerd deze methoden eerst te testen voordat ze in een productieomgeving worden toegepast. [1, Github]

Kritieke Beveiligingslek Fortinet Treft 150.000 Apparaten

Een recent ontdekt beveiligingslek, geïdentificeerd als CVE-2024-21762, bedreigt wereldwijd ongeveer 150.000 Fortinet FortiOS en FortiProxy webgateway-systemen. Dit kritieke lek stelt aanvallers in staat om code uit te voeren zonder authenticatie, waardoor de veiligheid van getroffen apparaten ernstig in gevaar komt. De Amerikaanse Cyber Defense Agency CISA heeft bevestigd dat het lek actief wordt uitgebuit en heeft het toegevoegd aan zijn catalogus van bekende uitgebuite kwetsbaarheden. Bijna een maand na de adressering van het lek door Fortinet, vond The Shadowserver Foundation bijna 150.000 kwetsbare apparaten via scans. Deze scans controleren op kwetsbare versies, waardoor het werkelijke aantal getroffen apparaten mogelijk lager ligt als beheerders mitigaties hebben toegepast in plaats van te upgraden. De meeste kwetsbare apparaten bevinden zich in de Verenigde Staten, gevolgd door India, Brazilië en Canada. FortiOS, het besturingssysteem van Fortinet, biedt bescherming tegen een reeks cyberdreigingen, waaronder denial-of-service (DoS) aanvallen en intrusies, terwijl FortiProxy bescherming biedt tegen web- en DNS-gebaseerde bedreigingen. Ondanks de ernst van het lek en het actieve gebruik ervan door aanvallers, zijn details over de dreigingsactoren die CVE-2024-21762 actief uitbuiten beperkt. [1, 2]

⚠️ Kritieke beveiligingslekken bij QNAP NAS-apparaten dringend aangepakt

QNAP, de Taiwanese fabrikant van Network Attached Storage (NAS) apparaten, heeft gebruikers gewaarschuwd voor drie kritieke kwetsbaarheden in zijn softwareproducten, waaronder QTS, QuTS hero, QuTScloud en myQNAPcloud. Deze kwetsbaarheden stellen aanvallers in staat om systemen te compromitteren door middel van authenticatie-omzeiling, commando-injectie en SQL-injectie. Bijzonder zorgwekkend is CVE-2024-21899, een fout in het authenticatieproces die het mogelijk maakt voor ongeautoriseerde gebruikers om zonder verificatie van afstand toegang te krijgen tot de systemen. Hoewel de andere twee kwetsbaarheden enige vorm van systeemtoegang vereisen om te worden uitgebuit, vermindert dit nauwelijks de urgentie voor gebruikers om hun systemen te updaten. QNAP heeft updates uitgebracht voor de betrokken besturingssystemen, waaronder verschillende versies van QTS en QuTS, alsook QuTScloud en myQNAPcloud, om deze beveiligingslekken aan te pakken. Gebruikers worden dringend geadviseerd om hun systemen bij te werken naar de nieuwste versies via de firmware-updatefunctie in het bedieningspaneel of de App Center voor myQNAPcloud. Het belang van deze updates wordt onderstreept door de waardevolle gegevens die vaak worden opgeslagen op NAS-apparaten, waaronder gevoelige persoonlijke informatie, intellectueel eigendom en bedrijfskritische data. Deze apparaten, die continu met het internet verbonden zijn en niet altijd nauwlettend worden gemonitord, vormen een aantrekkelijk doelwit voor cybercriminelen. Eerdere ransomware-aanvallen op QNAP-apparaten benadrukken de noodzaak voor eigenaren om hun software up-to-date te houden en, indien mogelijk, deze apparaten niet direct aan het internet bloot te stellen. [1]

Digitale Sloten Kwetsbaar voor Bluetooth Hacks

Digitale sloten van de merken Kontrol en Elock zijn blootgesteld aan risico's door meerdere bluetooth-gerelateerde kwetsbaarheden. Deze sloten, die gebruikmaken van firmware en een bijbehorende app genaamd TTLock, ontwikkeld door Sciener, kunnen op afstand worden ontgrendeld door aanvallers. Onderzoek door Aleph Research heeft aangetoond dat de beveiliging van de firmware en de app tekortschiet, met name in het controleren van de authenticiteit van firmware-updates en de communicatie met het slot. Dit laatste maakt het mogelijk voor kwaadwillenden om de 'unlockKey value' te bemachtigen en sloten zonder toestemming te openen. Verder is ontdekt dat de AES key, gebruikt voor het pairen van sloten met draadloze keypads, niet uniek is en misbruikt kan worden om meerdere sloten te compromitteren. Aanvallers kunnen ook door bruteforce de unlockKey value achterhalen of het encryptieprotocol van de TTLock-app downgraden, waardoor sleutelwaarden onversleuteld verzonden worden. Ondanks deze ernstige beveiligingslekken is er vanuit de fabrikant geen update beschikbaar gesteld om deze kwetsbaarheden aan te pakken. Het uitschakelen van bepaalde bluetooth-functies wordt als enige tijdelijke oplossing genoemd, hoewel dit voor de meeste gebruikers geen haalbare kaart is gezien de afhankelijkheid van de TTLock-app voor het functioneren van de sloten.

Kwetsbaarheid in Tesla-app maakt diefstal via phishing mogelijk

Onderzoekers hebben aangetoond dat een Man-in-the-Middle (MiTM) phishing-aanval Tesla-accounts kan compromitteren, waardoor auto's ontgrendeld en gestart kunnen worden. Deze aanval richt zich op de nieuwste versie van de Tesla-app en de software van Tesla, waardoor kwaadwillenden een nieuwe 'Phone key' kunnen registreren om toegang te krijgen tot het voertuig. Tesla heeft aangegeven dat deze methode van koppelen als verwacht gedrag wordt beschouwd en ziet geen reden voor aanpassingen in hun systeem. De aanval maakt gebruik van een nagemaakte WiFi-netwerk, vaak met een naam die Tesla-eigenaren bekend voorkomt, zoals "Tesla Guest". Zodra een slachtoffer verbindt met dit netwerk, wordt een valse inlogpagina van Tesla gepresenteerd, waarbij inloggegevens en tweefactorauthenticatiecodes kunnen worden onderschept. Met deze informatie kan de aanvaller vervolgens een nieuwe 'Phone Key' aan het account toevoegen zonder dat de eigenaar hier een melding van krijgt. Hierdoor kan de auto ontgrendeld en gestart worden, waardoor de aanvaller er vandoor kan gaan met het voertuig. Ondanks de geavanceerde technologie van Tesla, benadrukken de onderzoekers een significant beveiligingslek bij het toevoegen van een nieuwe telefoonsleutel, iets wat gemakkelijk misbruikt kan worden door cybercriminelen. [1]

Update Thunderbird Verhelpt Lek van Versleutelde E-mailonderwerpen

Een recent ontdekt beveiligingsprobleem in Thunderbird, de veelgebruikte e-mailclient, zorgde ervoor dat onderwerpen van versleutelde e-mails in andere, willekeurige berichten konden lekken. Dit probleem, aangeduid met CVE-2024-1936, werd veroorzaakt door een fout in de lokale cache van Thunderbird, waardoor het onderwerp van een versleutelde e-mail aan een verkeerd bericht werd toegekend. Als een gebruiker reageerde op zo'n 'besmet' bericht, kon het onderwerp van de oorspronkelijk versleutelde e-mail onbedoeld bij derden belanden. In reactie hierop hebben de ontwikkelaars van Thunderbird een update uitgebracht, versie 115.8.1, die dit lek dicht. Echter, voor reeds aangetaste e-mails blijft handmatig ingrijpen noodzakelijk. Gebruikers worden aangemoedigd om de 'Repair Folder' functionaliteit te gebruiken om de integriteit van hun e-mailmappen te herstellen en zo onjuist toegekende onderwerpen te verwijderen. Deze optie is te vinden in de eigenschappen van elke e-mailmap binnen Thunderbird. [1]

⚠️ Kritieke Kwetsbaarheid in VMware-software Stelt Aanvallers in Staat Code Uit te Voeren op Hostsystemen

VMware heeft een waarschuwing uitgegeven voor een ernstige kwetsbaarheid die aanvallers de mogelijkheid biedt om vanuit een virtuele machine (VM) code uit te voeren op het onderliggende hostsysteem. Het beveiligingsprobleem, geïdentificeerd als CVE-2024-22252, is gelokaliseerd in de XHCI USB-controller gebruikt door VMware ESXi, VMware Workstation, en VMware Fusion. Voor het succesvol exploiteren van deze kwetsbaarheid moeten aanvallers beheerdersrechten bezitten binnen de VM. Zij kunnen vervolgens code op de host uitvoeren, wat bijzonder zorgwekkend is voor gebruikers van VMware Workstation en VMware Fusion; ESXi-gebruikers zijn enigszins beschermd door een VMX-sandbox die misbruik bemoeilijkt. De impact van deze kwetsbaarheid is significant, met een risicoscore van 9.3 op een schaal van 10, terwijl de impact op ESXi iets lager is beoordeeld met een score van 8.4. VMware heeft reeds updates vrijgegeven om deze kwetsbaarheid te verhelpen. Als tijdelijke oplossing wordt het verwijderen van de USB-controller uit de VM's gesuggereerd, hoewel dit niet praktisch is op grotere schaal. Het probleem werd door meerdere onderzoekers aan VMware gerapporteerd, wat de urgentie en het belang van een snelle mitigatie onderstreept. [1]

⚠️ Apple dicht twee iOS zero-day kwetsbaarheden

Apple heeft twee zero-day kwetsbaarheden in iOS aangepakt met noodbeveiligingsupdates na ontdekking dat deze werden misbruikt in aanvallen op iPhones. De kwetsbaarheden bevonden zich in de iOS Kernel (CVE-2024-23225) en RTKit (CVE-2024-23296), waardoor aanvallers kernelgeheugenbeschermingen konden omzeilen met willekeurige lees- en schrijfmogelijkheden. Deze beveiligingslekken zijn verholpen voor apparaten die draaien op iOS 17.4, iPadOS 17.4, iOS 16.76, en iPad 16.7.6 door verbeterde invoervalidatie. Getroffen apparaten omvatten een breed scala aan iPhone- en iPad-modellen. Hoewel Apple niet heeft gespecificeerd wie de zero-days heeft onthuld of of ze intern zijn ontdekt, zijn dergelijke kwetsbaarheden vaak doelwitten van staatsgesponsorde spionagesoftware tegen personen met een hoog risico, zoals journalisten en politieke dissidenten. Het advies is om de beveiligingsupdates onmiddellijk te installeren om potentiële aanvallen af te weren. Tot dusver heeft Apple in 2024 drie zero-days aangepakt, na een totaal van twintig in het voorgaande jaar, wat de voortdurende bedreiging van dergelijke exploitaties benadrukt. [1]

Kritieke Beveiligingslekken in Android Verholpen

Google heeft recent beveiligingsupdates uitgebracht om een aantal kritieke kwetsbaarheden in Android-telefoons aan te pakken, die het mogelijk maakten voor aanvallers om deze apparaten op afstand over te nemen. In de maart-patchronde zijn in totaal 34 kwetsbaarheden verholpen, waarvan de gevaarlijkste is aangeduid als CVE-2024-0039. Dit specifieke lek, aanwezig in Android 12, 12L, 13 en 14, bevond zich in de bluetooth-stack van het systeem, waardoor een aanvaller op afstand code kon uitvoeren zonder enige rechten. Een andere noemenswaardige kwetsbaarheid, CVE-2024-23717, stelde een aanvaller in staat zijn rechten op het apparaat te verhogen, wat normaal niet als kritiek wordt beschouwd, maar in dit geval wel. Google heeft fabrikanten van Androidtoestellen minstens een maand voor het uitbrengen van de patches geïnformeerd, zodat zij tijd hadden om hun updates te ontwikkelen. Echter, niet alle apparaten zullen deze belangrijke updates ontvangen, afhankelijk van de ondersteuning door de fabrikant en het uitrolschema van updates. [1]

Kritieke Beveiligingslekken in TeamCity-servers: Jetbrains Waarschuwt Organisaties

Softwareontwikkelaar JetBrains heeft organisaties gewaarschuwd voor twee kritieke kwetsbaarheden in TeamCity-servers, die ongeauthenticeerde aanvallers in staat kunnen stellen om van op afstand controle over de servers te verkrijgen. Door deze lekken kunnen aanvallers de authenticatie omzeilen en beheerderstoegang verkrijgen. Dit risico wordt verhoogd door de eerdere exploitatie van soortgelijke kwetsbaarheden door onder andere de Russische geheime dienst. TeamCity, gebruikt door meer dan dertigduizend klanten wereldwijd, speelt een cruciale rol in softwareontwikkelingsprocessen, waaronder compileren, builden, testen en uitbrengen van software. JetBrains heeft de lekken in de cloudversie van TeamCity reeds aangepakt en meldt geen tekenen van misbruik op de cloudservers. Voor organisaties die hun servers niet direct kunnen updaten, wordt aangeraden deze offline te halen indien ze vanaf het internet toegankelijk zijn. De kwetsbaarheden, geïdentificeerd als CVE-2024-27198 en CVE-2024-27199, zijn ontdekt door securitybedrijf Rapid7, met een belofte van verdere details in de nabije toekomst. [1]

Kritieke Windows Kernel Kwetsbaarheid Gepatcht na Misbruik als Zero-Day

In februari heeft Microsoft een ernstige kwetsbaarheid in de Windows Kernel aangepakt, die zes maanden lang als een zero-day werd uitgebuit. Deze kwetsbaarheid, geïdentificeerd als CVE-2024-21338, werd ontdekt in de appid.sys Windows AppLocker driver door Jan Vojtěšek, een senior malware-onderzoeker bij Avast, en betreft meerdere versies van Windows 10 en Windows 11, evenals Windows Server 2019 en 2022. Aanvallers konden door deze kwetsbaarheid SYSTEM-rechten verkrijgen zonder complexe aanvalstechnieken of gebruikersinteractie. De Noord-Koreaanse hackersgroep Lazarus heeft deze kwetsbaarheid vanaf augustus 2023 uitgebuit om kernelniveau-toegang te krijgen en beveiligingstools uit te schakelen. Dit stelde hen in staat om detectie te ontwijken door geen gebruik te maken van de gemakkelijker te detecteren BYOVD-technieken. Met de exploitatie van deze kwetsbaarheid konden ze beveiligingssoftware verstoren, sporen van infectie verbergen en beveiligingsmaatregelen uitschakelen. De update van Microsoft in februari, die de kwetsbaarheid aanpakte, komt nadat Avast aanvullende aanvallen met een nieuwe versie van het FudModule-rootkit en een onbekende remote access trojan (RAT) door Lazarus had ontdekt. Windows-gebruikers wordt dringend geadviseerd de Patch Tuesday-updates van februari 2024 te installeren om zich tegen deze aanvallen te beschermen. [1, 2, 3]

⚠️ Waarschuwing CISA over aanhoudende risico's bij gehackte Ivanti-apparaten na fabrieksreset

De U.S. Cybersecurity and Infrastructure Security Agency (CISA) heeft een waarschuwing uitgebracht over gehackte Ivanti-apparaten die, zelfs na een fabrieksreset, kwetsbaar blijven voor aanvallers. Deze aanvallers hebben de mogelijkheid om root-toegang te behouden door gebruik te maken van verschillende ernstige kwetsbaarheden, waardoor ze onopgemerkt kunnen blijven voor Ivanti's Integrity Checker Tool (ICT). Deze kwetsbaarheden, variërend van hoge tot kritieke ernst, stellen aanvallers in staat tot authenticatie-omzeiling, commando-injectie, server-side-request vervalsing, en uitvoering van willekeurige commando's. Uit onderzoek van CISA blijkt dat de ICT van Ivanti niet in staat is om dergelijke compromissen te detecteren, wat een vals gevoel van veiligheid geeft. Zelfs na uitgebreide forensische analyse, waarbij aanvallers hun sporen uitwisten, bevestigde CISA dat aanvullende maatregelen nodig zijn om de compromissen effectief te detecteren. Ondanks de verzekeringen van Ivanti, dringt CISA er bij klanten op aan het aanzienlijke risico te overwegen van voortdurende toegang en persistentie van aanvallers op Ivanti Connect Secure en Ivanti Policy Secure gateways. Dit advies volgt op eerdere maatregelen waarbij federale agentschappen verplicht werden om Ivanti VPN-apparaten binnen 48 uur te ontkoppelen en opnieuw op te bouwen met gepatchte softwareversies, naast andere strenge veiligheidsprocedures. [1]

GitHub Voert Standaard Push-beveiliging In Om Geheime Sleutellekken Te Voorkomen

GitHub heeft push-beveiliging standaard geactiveerd voor alle openbare repositories om het per ongeluk lekken van gevoelige informatie, zoals toegangstokens en API-sleutels, te voorkomen bij het uploaden van nieuwe code. Deze maatregel volgt op de introductie van de push-beveiliging in bèta bijna twee jaar geleden, in april 2022, als een eenvoudige manier om automatisch lekken van gevoelige informatie te voorkomen. Vanaf mei 2023 werd de functie algemeen beschikbaar gesteld voor alle openbare repositories. De push-beveiliging werktproactief door te scannen op geheimen voordat 'git push'-bewerkingen worden geaccepteerd en de commits te blokkeren als er een geheim wordt gedetecteerd. GitHub's geheimenscanning voorkomt automatisch dat geheimen lekken door meer dan 200 tokensoorten en patronen van meer dan 180 dienstverleners te herkennen. Ondanks dat push-beveiliging nu standaard is ingeschakeld, kunnen GitHub-gebruikers nog steeds de automatische commitblokkade omzeilen. Dit wordt echter niet aanbevolen en gebruikers kunnen de push-beveiliging volledig deactiveren in hun beveiligingsinstellingen. Organisaties met het GitHub Enterprise-plan hebben toegang tot GitHub Advanced Security, dat gevoelige informatie binnen privérepositories beschermt en andere geheime scans en statische applicatiebeveiligingscapaciteiten biedt. Volgens GitHub's Eric Tooley en Courtney Claessens riskeren onbedoelde lekken van API-sleutels, tokens en andere geheimen veiligheidsinbreuken, reputatieschade en juridische aansprakelijkheid op een verbijsterende schaal. In de eerste acht weken van 2024 detecteerde GitHub al meer dan 1 miljoen gelekte geheimen op openbare repositories, wat neerkomt op meer dan een dozijn onbedoelde lekken per minuut. [1, 2]

Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Maandoverzicht: Cyberkwetsbaarheden in focus