Analyse van kwetsbaarheden op het gebied van cyberbeveiliging november 2024
Reading in 🇬🇧 or another language
"HET ONZICHTBARE ZICHTBAAR MAKEN"
Een ernstige kwetsbaarheid, aangeduid als CVE-2024-11980, is ontdekt in meerdere modellen van Billion Electric routers, waaronder de M100, M150, M120N en M500. Deze kwetsbaarheid, met een maximale CVSS-score van 10.0, stelt aanvallers in staat om op afstand en zonder authenticatie gevoelige apparaatinformatie te verkrijgen, Wi-Fi-instellingen te wijzigen of het apparaat te herstarten, wat kan leiden tot netwerkonderbrekingen.
Naast deze kritieke fout zijn nog drie andere kwetsbaarheden geïdentificeerd: een authenticatie-bypass, het opslaan van wachtwoorden in platte tekst en OS-commando-injectie. Deze problemen kunnen respectievelijk ongeautoriseerde toegang tot gevoelige gegevens, blootstelling van gebruikerswachtwoorden en de uitvoering van willekeurige systeemcommando's mogelijk maken.
Gebruikers worden dringend geadviseerd om de firmware van hun routers bij te werken naar de nieuwste versie, zoals aanbevolen door Billion Electric, om risico’s op misbruik te minimaliseren.
Het SUSE Security Team heeft twee beveiligingslekken geïdentificeerd in de Linux Tuned daemon, een tool die hardware en kernelprestaties optimaliseert. De kwetsbaarheden, aangeduid als CVE-2024-52336 en CVE-2024-52337, kunnen leiden tot misbruik door aanvallers.
Om deze problemen op te lossen, is versie v2.24.1 van Tuned uitgebracht. Deze update versterkt beveiligingscontroles en verbetert de validatie van invoer, waardoor misbruik wordt voorkomen.
Bron: 1
Trellix heeft een update uitgebracht voor de Enterprise Security Manager (ESM) om twee ernstige kwetsbaarheden te verhelpen. Deze kwetsbaarheden, CVE-2024-11481 (CVSS 8.2) en CVE-2024-11482 (CVSS 9.8), betroffen versie 11.6.10 van ESM. CVE-2024-11481 maakte het mogelijk voor onbevoegde aanvallers om toegang te krijgen tot interne API's via onjuiste authenticatie en padtraversal. CVE-2024-11482 ging verder door aanvallers toe te staan willekeurige opdrachten als rootgebruiker uit te voeren, wat een volledig systeemcompromis mogelijk maakte.
Trellix heeft deze problemen opgelost in versie 11.6.13 en adviseert gebruikers met klem om hun systemen onmiddellijk te updaten. Zonder deze update lopen organisaties risico op verlies van gevoelige gegevens en ernstige verstoringen van hun systemen.
Deze kwetsbaarheden onderstrepen de noodzaak van regelmatige updates en een waakzame beveiligingshouding in IT-systemen.
Bron: 1
Onderzoekers hebben ernstige beveiligingslekken ontdekt in de IBM Security Verify Access Appliance, een veelgebruikte oplossing voor toegangsbeheer en authenticatie van webapplicaties. Deze kwetsbaarheden variëren van remote code execution tot hard-coded credentials en privilege-escalation.
De ernstigste kwetsbaarheid (CVE-2024-49803) maakt het mogelijk voor aanvallers om op afstand willekeurige commando's uit te voeren, wat kan leiden tot datalekken en verstoring van essentiële diensten. Deze kwetsbaarheid heeft een CVSS-score van 9.8, wat de urgentie voor herstel benadrukt. Andere kwetsbaarheden omvatten het gebruik van hard-coded credentials (CVE-2024-49805 en CVE-2024-49806, CVSS 9.4) en privilege-escalation (CVE-2024-49804, CVSS 7.8).
Versies 10.0.0 tot en met 10.0.8 IF1 van het systeem zijn getroffen. IBM heeft fix pack 10.0.8-ISS-ISVA-FP0002 uitgebracht om deze kwetsbaarheden te verhelpen. Gebruikers wordt geadviseerd deze update zo snel mogelijk toe te passen, omdat er momenteel geen alternatieve oplossingen beschikbaar zijn.
Bron: 1
MediaTek heeft een belangrijke beveiligingsupdate uitgebracht voor een kwetsbaarheid in diverse chipsets, aangeduid als CVE-2024-20125. Deze kwetsbaarheid, veroorzaakt door een ontbrekende grenscontrole in de videodecoder (vdec), kan aanvallers in staat stellen ongeautoriseerde toegang te krijgen tot apparaten. Het probleem kan leiden tot escalatie van gebruikersrechten en zelfs systeemuitvoering mogelijk maken.
De kwetsbaarheid treft een breed scala aan apparaten zoals smartphones, tablets en IoT-toepassingen, waaronder modellen met chipsets zoals MT6580, MT6761 en MT8195. MediaTek heeft al patches beschikbaar gesteld en werkt samen met fabrikanten om gebruikers te beschermen.
Naast CVE-2024-20125 zijn er in dezelfde update ook middelmatige kwetsbaarheden aangepakt, waaronder stackoverflows en problemen die kunnen leiden tot informatielekken of systeemcrashes. Gebruikers wordt aangeraden om zo snel mogelijk de nieuwste beveiligingsupdates van hun apparaatfabrikant te installeren om risico’s te beperken.
Bron: 1
Een ernstige kwetsbaarheid, CVE-2024-48651, is ontdekt in de populaire FTP-server ProFTPD. Deze fout, aanwezig in versies 1.3.8b en ouder, stelt aanvallers in staat rootrechten te verkrijgen op kwetsbare systemen. De kwetsbaarheid zit in de mod_sql-component en ontstaat door onjuiste toewijzing van aanvullende gebruikersgroepen. Wanneer geen aanvullende groepen expliciet zijn toegewezen, kan een gebruiker de groep GID 0 (root) erven, wat leidt tot volledige systeemcompromittering.
Hoewel het gebruik van FTP afneemt ten gunste van veiligere protocollen, blijven er wereldwijd bijna 800.000 ProFTPD-servers in gebruik. Systemen in onder andere Duitsland, de VS en Frankrijk lopen risico.
Gebruikers wordt dringend aangeraden hun servers te updaten met de beschikbare patch of opnieuw te compileren met de nieuwste broncode. Daarnaast wordt het gebruik van veilige alternatieven zoals SFTP of FTPS sterk aanbevolen om toekomstige risico's te minimaliseren.
Bron: 1
Onderzoekers hebben ernstige beveiligingslekken ontdekt in mySCADA’s myPRO-software, een veelgebruikte oplossing voor industriële automatisering. Deze kwetsbaarheden stellen kwaadwillenden in staat om zonder authenticatie toegang te krijgen tot en controle te nemen over cruciale infrastructuur. Dit verhoogt het risico op volledige compromittering van zowel de software als de onderliggende systemen.
De kwetsbaarheden omvatten onder andere besturingssysteemcommandoinjectie, zwakke authenticatie en kwetsbare standaardinstellingen, met CVSS-scores tot 10.0. Exploitatie kan leiden tot ongeautoriseerde toegang en datadiefstal. Vooral de standaardconfiguratie, waarbij de software direct op alle netwerkinterfaces toegankelijk is, vergroot de dreiging aanzienlijk.
mySCADA heeft updates uitgebracht (myPRO Manager 1.3 en myPRO Runtime 9.2.1) om deze problemen op te lossen. Organisaties die deze software gebruiken, wordt dringend aangeraden om de updates onmiddellijk te implementeren en een grondige beveiligingsbeoordeling uit te voeren om risico's te beperken.
Bron: 1
Verschillende modellen van Lorex 2K Indoor Wi-Fi-beveiligingscamera's vertonen ernstige kwetsbaarheden, die het mogelijk maken voor aanvallers om de apparaten op afstand over te nemen. Het gevaarlijkste lek (CVE-2024-52544) stelt aanvallers in staat om het adminwachtwoord van de camera te resetten, met een impactscore van 9.8 op een schaal van 10. Dit kan gevolgd worden door andere kwetsbaarheden die de aanvaller toegang geven tot rootrechten en de mogelijkheid om schadelijke code uit te voeren. De fabrikant Lorex heeft op 25 november 2024 firmware-updates uitgebracht om deze kwetsbaarheden te verhelpen. Gebruikers worden via de Lorex-app geïnformeerd en kunnen de update niet uitstellen. Rapid7, een beveiligingsbedrijf, ontdekte en rapporteerde deze kwetsbaarheden, waarvan de details inmiddels openbaar zijn gemaakt.
Bron: 1
De Solana Web3.js JavaScript-library is recentelijk besmet met een backdoor die de private keys van gebruikers steelt en toegang geeft tot cryptowallets. De aanval richtte zich op versies 1.95.6 en 1.95.7 van de library, die enkele uren beschikbaar waren voordat ze offline werden gehaald. De backdoor stelt aanvallers in staat om wallets van gedupeerden te legen, wat een significant risico vormt voor ontwikkelaars die gebruikmaken van de Solana JavaScript SDK voor het bouwen van apps. Ondanks dat grote cryptowallets niet getroffen zijn, zijn er meerdere meldingen van incidenten. Gebruikers die de besmette versie hebben gedownload, wordt dringend aangeraden hun private keys te wijzigen en alle gecompromitteerde systemen grondig te controleren op malware. Solana-ontwikkelaars wordt gevraagd te upgraden naar de nieuwste, schone versie 1.95.8 van de library.
Bron: 1
Veeam heeft beveiligingsupdates uitgebracht om twee kwetsbaarheden in de Veeam Service Provider Console (VSPC) op te lossen, waaronder een kritieke kwetsbaarheid voor het op afstand uitvoeren van code (RCE) die tijdens interne tests is ontdekt. De eerste kwetsbaarheid (CVE-2024-42448) maakt het mogelijk om willekeurige code uit te voeren op niet-gepatcht servers, terwijl de tweede kwetsbaarheid (CVE-2024-42449) aanvallers in staat stelt om de NTLM-hash van het VSPC-serverserviceaccount te stelen. Veeam raadt service providers aan om zo snel mogelijk de nieuwste versie van de Veeam Service Provider Console te installeren om zich tegen deze kwetsbaarheden te beschermen. Bron: 1
Zyxel Networks heeft nieuwe firmware-updates uitgebracht om diverse kwetsbaarheden in hun netwerkproducten te verhelpen. Deze updates betreffen onder andere 4G LTE/5G NR CPE’s, DSL/Ethernet CPE’s, fiber ONTs en WiFi-extenders. Een van de kritieke kwetsbaarheden, CVE-2024-8748, is een buffer overflow die externe aanvallers in staat kan stellen denial-of-service (DoS) aanvallen uit te voeren op de webbeheerinterface van de getroffen apparaten. Daarnaast is er CVE-2024-9200, een command injection fout die geauthenticeerde aanvallers toestaat willekeurige besturingssysteemcommando’s uit te voeren. Een middelgrote kwetsbaarheid, CVE-2024-9197, kan ook DoS-condities veroorzaken via kwaadaardige HTTP GET-verzoeken. Hoewel sommige kwetsbaarheden mitigatie factoren hebben, zoals standaard uitgeschakelde WAN-toegang en sterke wachtwoorden, raadt Zyxel alle gebruikers aan de nieuwste firmware zo snel mogelijk te installeren om optimale beveiliging te waarborgen.
Bron: 1
Google heeft een belangrijke beveiligingsupdate uitgebracht voor de Chrome-webbrowser om een ernstige “type confusion” kwetsbaarheid (CVE-2024-12053) in de V8 JavaScript-engine te verhelpen. Deze kwetsbaarheid stelde aanvallers in staat om willekeurige code uit te voeren op de systemen van gebruikers, wat de veiligheid en privacy ernstig in gevaar bracht. Type confusion fouten ontstaan wanneer een programma de datatype van verwerkte gegevens verkeerd interpreteert, wat in dit geval kwaadwillenden de mogelijkheid gaf om de sandbox-omgeving van Chrome te omzeilen en ongeautoriseerde toegang tot het besturingssysteem te krijgen. De kwetsbaarheid werd op 14 november 2024 ontdekt door de beveiligingsonderzoekers “gal1ium” en “chluo”. Google reageerde snel door een patch uit te brengen in de nieuwste stabiele versie van Chrome (131.0.6778.108/.109 voor Windows en Mac, en 131.0.6778.108 voor Linux). Naast het verhelpen van CVE-2024-12053 bevat de update ook drie andere beveiligingsoplossingen. Gebruikers kunnen hun browser bijwerken via het menu “Over Google Chrome”.
Bron: 1
Een recent ontdekte kwetsbaarheid in de TP-Link Archer AXE75 router, aangeduid als CVE-2024-53375, stelt externe aanvallers in staat om willekeurige commando’s uit te voeren op getroffen apparaten. Deze ernstige kwetsbaarheid, geïdentificeerd door beveiligingsonderzoeker Thanatos, betreft de HomeShield-functionaliteit en is bevestigd exploiteerbaar op firmware versie 1.2.2 Build 20240827. Het probleem ontstaat door onvoldoende inputvalidatie bij het endpoint /admin/smart_network?form=tmp_avira, waardoor een aanvaller een kwaadaardige HTTP POST-verzoek kan sturen en volledige controle over de router kan verkrijgen met rootrechten. Hoewel TP-Link het probleem erkent en een bètaversie van de gefixeerde firmware heeft verstrekt, is een stabiele update nog niet beschikbaar. Gebruikers worden dringend geadviseerd hun apparaten te beveiligen door de update toe te passen, onnodige diensten uit te schakelen en sterke wachtwoorden te gebruiken om het risico op compromittering te minimaliseren.
Bron: 1
Onderzoekers hebben een zero-day kwetsbaarheid ontdekt in de Mitel MiCollab samenwerkingsplatform, waarmee aanvallers toegang kunnen krijgen tot bestanden op de server. Deze kwetsbaarheid maakt gebruik van path traversal, waardoor gevoelige bestanden zoals systeemconfiguraties kunnen worden gelezen. MiCollab, een platform voor communicatie en samenwerking, wordt door veel bedrijven gebruikt, waaronder grote ondernemingen en organisaties met hybride werkmodellen.
De kwetsbaarheid werd gevonden door het team van watchTowr, die deze al in augustus bij Mitel meldde. Na drie maanden is er nog steeds geen oplossing beschikbaar. Hoewel de kwetsbaarheid technisch gezien minder kritiek is dan eerdere problemen, blijft het een significant risico, aangezien het ongeautoriseerde toegang tot belangrijke bestanden mogelijk maakt. Gebruikers van MiCollab wordt aangeraden de toegang tot het platform te beperken, firewallregels in te stellen en verdachte activiteiten te monitoren.
Bron: 1
Er is een ernstige kwetsbaarheid ontdekt in SailPoint IdentityIQ, een platform voor identiteits- en toegangsbeheer. De zwakte, aangeduid als CVE-2024-10905, heeft een CVSS-score van 10.0, de hoogste mogelijk, wat aangeeft dat de kwetsbaarheid gemakkelijk kan worden misbruikt en grote gevolgen kan hebben voor getroffen organisaties. De kwetsbaarheid ontstaat door onjuiste toegangscontrole binnen de applicatie, waardoor aanvallers onbevoegde toegang kunnen krijgen tot gevoelige bestanden zoals configuratiebestanden, applicatiecode en zelfs gebruikersgegevens. De kwetsbaarheid is aanwezig in verschillende versies van IdentityIQ, waaronder versies van 8.2 tot 8.4. SailPoint heeft inmiddels e-fixes uitgebracht om dit probleem te verhelpen. Organisaties die getroffen versies gebruiken, wordt dringend aangeraden deze patches onmiddellijk toe te passen.
Bron: 1
Veeam Software heeft een update uitgebracht voor Veeam Backup & Replication om meerdere ernstige kwetsbaarheden aan te pakken. De meest kritieke, CVE-2024-40717, heeft een hoge risicoscore en kan door aanvallers worden misbruikt om kwaadaardige code uit te voeren, wat kan leiden tot een volledige systeemcompromittering. Andere kwetsbaarheden stellen aanvallers in staat toegang te krijgen tot opgeslagen inloggegevens, bestanden op ESXi hosts te uploaden, virtuele infrastructuren te manipuleren en kritiek essentiële services te beïnvloeden. Veeam heeft deze kwetsbaarheden verholpen in de versie 12.3 van Backup & Replication en versie 6.3 van Veeam Agent voor Windows. Gebruikers wordt dringend aangeraden om hun systemen bij te werken naar de nieuwste versies om de veiligheid te waarborgen. Veeam adviseert tijdelijk ongebruikte of onbetrouwbare gebruikers te verwijderen om verdere risico’s te beperken.
Bron: 1
Een ernstige kwetsbaarheid in de Cisco NX-OS software, aangeduid als CVE-2024-20397, raakt meer dan honderd modellen van Cisco switches, waaronder de Nexus-, MDS- en UCS-series. Het probleem stelt aanvallers in staat om de beveiligingscontrole van de NX-OS image signature verification te omzeilen, waardoor ongeverifieerde software images kunnen worden geladen. Dit gebeurt wanneer een aanvaller fysieke toegang heeft tot de kwetsbare switch of wanneer er een geauthenticeerde aanvaller met beheerdersrechten aanwezig is. De kwetsbaarheid wordt veroorzaakt door onveilige instellingen in de bootloader. Cisco heeft updates beschikbaar gesteld om het probleem op te lossen. De impact van de kwetsbaarheid is beoordeeld met een score van 5.2 op een schaal van 10. Betroffen apparaten draaien een kwetsbare versie van de Cisco NX-OS software.
Bron: 1
Een ernstige zero-day kwetsbaarheid in Windows maakt het voor aanvallers mogelijk om NTLM-inloggegevens van gebruikers te stelen, simpelweg door hen een kwaadwillig bestand te laten openen. Dit betreft alle versies van Windows Workstation en Server, van Windows 7 tot Windows 11 (v24H2) en Server 2022. Aanvallers kunnen de kwetsbaarheid misbruiken door een gebruiker een gedeelde map of een USB-schijf te laten openen die een gemanipuleerd bestand bevat, of door een bestand in de map 'Downloads' te openen dat automatisch is gedownload via een kwaadaardige website.
NTLM is een verouderd authenticatiesysteem van Microsoft, dat nog steeds wordt gebruikt voor compatibiliteit met oudere systemen. Aanvallers kunnen de gestolen inloggegevens gebruiken om ongeautoriseerde toegang te krijgen tot netwerken en gevoelige data. Ondanks dat 0patch een tijdelijke oplossing heeft gepresenteerd, heeft Microsoft nog geen officiële patch uitgebracht.
Bron: 1
Er is een ernstige kwetsbaarheid (CVE-2024-53990) ontdekt in de populaire Java-bibliotheek AsyncHttpClient, die wordt gebruikt voor het uitvoeren van asynchrone HTTP-verzoeken. Deze kwetsbaarheid heeft een CVSS-score van 9,2 en kan worden misbruikt door cybercriminelen om gebruikerssessies te manipuleren en ongeautoriseerde toegang te verkrijgen tot gevoelige gegevens. Het probleem ligt in de manier waarop de bibliotheek de cookies beheert. De CookieStore van AsyncHttpClient kan per ongeluk cookies van verschillende gebruikers verwisselen, wat gevaarlijk is in omgevingen met meerdere gebruikers. Dit kan leiden tot het lekken van gebruikersinformatie, vooral wanneer externe diensten cookies instellen tijdens de communicatie. De kwetsbaarheid treft versie 3.0.0 van de bibliotheek. Ontwikkelaars wordt aangeraden onmiddellijk te upgraden naar de gerepareerde versie 3.0.1 om verdere risico’s te voorkomen.
Bron: 1
SonicWall heeft een beveiligingsmelding uitgebracht over meerdere kwetsbaarheden in de SMA 100-serie SSL-VPN-producten. De kwetsbaarheden omvatten onder andere buffer overflows, waarmee aanvallers op afstand mogelijk controle kunnen krijgen over getroffen apparaten. Een specifieke kwetsbaarheid (CVE-2024-45318) maakt het mogelijk voor aanvallers om een stack-based buffer overflow te veroorzaken, wat kan leiden tot code-executie. Andere kwetsbaarheden, zoals CVE-2024-45319, stellen aanvallers in staat om de certificaatverificatie tijdens authenticatie te omzeilen. Daarnaast zorgt CVE-2024-53702 voor een zwakke willekeurige getallengenerator in het back-upsysteem, wat het risico op geheime datalekken vergroot. SonicWall raadt gebruikers van de SMA 100-serie aan om snel te upgraden naar versie 10.2.1.14-75sv of hoger om de kwetsbaarheden te verhelpen. De SMA 1000-serie is niet getroffen door deze problemen.
Bron: 1
Er is een ernstige kwetsbaarheid (CVE-2024-43222) ontdekt in het populaire Sweet Date WordPress-thema, dat wordt gebruikt door duizenden websites. Deze kwetsbaarheid heeft een CVSS-score van 9.8, wat wijst op een zeer hoge impact. Het probleem zit in een onvoldoende beveiligde invoercontrole binnen de code van het thema, specifiek bij de wp_ajax_fb_initialize actie. Hierdoor kunnen aanvallers zonder authenticatie de functionaliteit van de website manipuleren en hun machtigingen verhogen, wat kan leiden tot volledige overname van de site.
De exploitatie van deze kwetsbaarheid is eenvoudig en stelt aanvallers in staat om gebruikersaccounts te compromitteren, schadelijke code uit te voeren en malware te verspreiden. Om dit risico te verminderen, wordt gebruikers van het Sweet Date-thema dringend aangeraden om onmiddellijk over te schakelen naar versie 3.8.0 of hoger.
Bron: 1
Django heeft beveiligingsupdates uitgebracht voor versies 5.1.4, 5.0.10 en 4.2.17 om twee belangrijke kwetsbaarheden aan te pakken. De eerste kwetsbaarheid (CVE-2024-53907) betreft een mogelijke denial-of-service (DoS) aanval die kan worden veroorzaakt door het gebruik van bepaalde HTML-entiteiten in de strip_tags() functie. Hoewel deze kwetsbaarheid als matig wordt beoordeeld, kan het leiden tot serveruitval bij onzorgvuldig gebruik.
De tweede kwetsbaarheid (CVE-2024-53908) betreft een ernstigere SQL-injectie in de HasKey lookup van de django.db.models.fields.json op Oracle-databases. Dit kan schadelijk zijn wanneer onbeveiligde gebruikersdata wordt ingevoerd, wat het risico op data-exploitatie verhoogt. De Django-ontwikkelaars raden gebruikers aan om hun systemen onmiddellijk bij te werken naar de nieuwste versie om deze bedreigingen te mitigeren.
Bron: 1
Google heeft twee kritieke beveiligingslekken in de Pixel-telefoons gedicht, die het mogelijk maakten voor aanvallers om op afstand controle over de toestellen te verkrijgen. De kwetsbaarheden bevinden zich in de cellular baseband, de processor die verantwoordelijk is voor de verbinding met mobiele netwerken zoals 4G en 5G. Aangezien deze baseband externe input verwerkt, kunnen kwaadwillenden misbruik maken van deze ingang om remote code execution uit te voeren. Google heeft de kwetsbaarheden, aangeduid als CVE-2024-39343 en CVE-2024-53842, opgelost in de decemberbeveiligingsupdate. De details over de manier van misbruik zijn niet bekendgemaakt, maar Google adviseert alle Pixel-gebruikers om de updates te installeren zodra deze beschikbaar zijn.
Bron: 1
Lees ook het artikel: Analyse van kwetsbaarheden op het gebied van cyberbeveiliging december 2024 | Publicatie gepland voor begin januari 2025.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Reading in 🇬🇧 or another language
Reading in 🇬🇧 or another language
Reading in 🇬🇧 or another language
Reading in 🇬🇧 or another language
Reading in 🇬🇧 or another language
🇳🇱 🇬🇧