Kwetsbaarheden CVE's

2024 | 2023 | 2022 | 2021

april | maart | februari | januari

Kwetsbaarheden nieuws

Onofficiële Patches voor Nieuwe Windows Event Log Zero-Day Kwetsbaarheid

In een recent ontdekte kwetsbaarheid in de Windows Event Log heeft Microsoft nog geen officiële patch uitgebracht. Gelukkig zijn er onofficiële patches beschikbaar om het risico te verminderen. Deze kwetsbaarheid kan cybercriminelen toegang geven tot gevoelige systeeminformatie en hun activiteiten verbergen. De kwetsbaarheid heeft betrekking op een fout in de manier waarop Windows Event Logs worden verwerkt. Aanvallers kunnen deze zwakte uitbuiten om kritieke gebeurtenislogboeken te wissen en ongemerkt malware te installeren. Dit kan verwoestende gevolgen hebben voor de veiligheid van systemen. [1]

Stijging in WordPress Kwetsbaarheden, Impact Blijft Beperkt

In 2024 is het aantal ontdekte kwetsbaarheden in WordPress-plugins en -thema's bijna verdubbeld vergeleken met 2023. De meeste van deze kwetsbaarheden hebben echter weinig impact gehad. De toename is mede te danken aan het feit dat meer autoriteiten zich richten op het toekennen van identificatiecodes (CVE's) aan deze kwetsbaarheden. Dit leidde tot een groot aantal laag-impact kwetsbaarheden. WordFence reageert hierop met een bugbounty-programma om onderzoekers te stimuleren significantere lekken te vinden. De trends in aanvalstypen zijn ook veranderd, met een daling in credential stuffing aanvallen, maar een toename in Cross-Site Scripting-aanvallen. Desondanks is het aantal malwarebesmettingen stabiel gebleven. [1]

Beveiligingsupdate voor Android kwetsbaarheid CVE-2023-45779

Een kwetsbaarheid genaamd CVE-2023-45779, ontdekt door Meta's Red Team X in september 2023, treft meerdere Android-toestellen van ten minste zeven fabrikanten. De fout, gerelateerd aan het onveilig tekenen van APEX-modules met testkeys, stelt aanvallers in staat om platformcomponenten kwaadaardig bij te werken en zo verhoogde toegangsrechten te verkrijgen. Hoewel de kwetsbaarheid niet op afstand te misbruiken is, onderstreept het zwakheden in de Compatibility Test Suite en de documentatie van het Android Open Source Project. Google plant verbeteringen in de aanstaande Android 15-release. Apparaten met de Android-beveiligingspatch van december 2023 zijn beschermd tegen deze kwetsbaarheid. Fabrikanten zoals ASUS, Microsoft, Nokia, Nothing, VIVO, Lenovo en Fairphone hebben modellen die mogelijk vatbaar zijn voor CVE-2023-45779. Een door onderzoekers gepubliceerde exploitatiecode op GitHub, voornamelijk bedoeld voor onderzoeksdoeleinden, benadrukt het risico van het gebruik van deze kwetsbaarheid in combinatie met andere aanvallen om apparaten te compromitteren. Het advies is om apparaten te updaten naar een versie met de laatste beveiligingspatches of over te stappen op een actief ondersteund model om bescherming te waarborgen. [1, 2, 3, 4, 5]

Hitron-videorecorders getroffen door zerodaylekken en opgenomen in ddos-botnet

Criminelen hebben Hitron-videorecorders getransformeerd tot een ddos-botnet door misbruik te maken van zerodaylekken. Sinds eind oktober vorig jaar zijn deze lekken gebruikt om malware op de apparaten te installeren. Dit was mogelijk door zes kwetsbaarheden die command injection toelieten voor geauthenticeerde aanvallers. De aanvallers maakten vooral gebruik van standaard inloggegevens die niet door de eigenaren waren aangepast. Hitron heeft gereageerd met firmware-updates voor zes videorecordermodellen om de kwetsbaarheden te dichten. Gebruikers wordt geadviseerd om hun standaard inloggegevens te wijzigen en alert te zijn op verdacht netwerkverkeer en logbestanden. Ook het Cybersecurity and Infrastructure Security Agency van de VS heeft gewaarschuwd voor deze kwetsbaarheden. [1, 2]

Nieuwe kwetsbaarheid in Linux glibc bedreigt belangrijke distributies

Onderzoekers hebben een lokale privilege-escalatie (LPE) kwetsbaarheid ontdekt in de GNU C Library (glibc) van Linux, waardoor aanvallers zonder speciale rechten root-toegang kunnen verkrijgen in standaardconfiguraties van grote Linux-distributies. De fout, geïdentificeerd als CVE-2023-6246, ligt in de `__vsyslog_internal()` functie van glibc. Deze kwetsbaarheid is het resultaat van een heap-based buffer overflow die per ongeluk werd geïntroduceerd in glibc 2.37 en later ook in glibc 2.36. Een aanvaller kan door middel van speciaal ontworpen inputs volledige root-toegang verkrijgen via applicaties die deze logfuncties gebruiken. De impact van deze kwetsbaarheid is aanzienlijk, mede omdat glibc een veelgebruikte bibliotheek is. Tijdens hun tests bevestigden de onderzoekers van Qualys dat Debian 12 en 13, Ubuntu 23.04 en 23.10, en Fedora 37 tot 39 kwetsbaar zijn voor aanvallen die gebruik maken van CVE-2023-6246. Daarnaast vonden ze nog drie andere kwetsbaarheden in glibc, die ook aandacht vereisen. De ontdekking van deze kwetsbaarheden benadrukt het belang van strikte beveiligingsmaatregelen in softwareontwikkeling, vooral voor kernbibliotheken die in veel systemen en toepassingen worden gebruikt. [1, 2]

⚠️ Ivanti Geeft Belangrijke Update voor Connect Secure VPN na Misbruik Zero-Day Kwetsbaarheden

Ivanti heeft updates uitgebracht voor twee ernstige zero-day kwetsbaarheden in Connect Secure VPN, die door aanvallers actief werden misbruikt. De kwetsbaarheden, aangeduid als CVE-2023-46805 en CVE-2024-21887, stelden ongeauthenticeerde aanvallers in staat om authenticatie te omzeilen en willekeurige commando's uit te voeren. Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) waarschuwde dat aanvallers de kwetsbaarheden benutten om inloggegevens te stelen en bedrijfsnetwerken binnen te dringen. Hoewel Ivanti aanvankelijk mitigaties adviseerde, bleken deze niet afdoende; aanvallers wisten ze te omzeilen. Ivanti heeft nu patches uitgerold voor meerdere versies van de software en raadt organisaties aan om naast het installeren van de updates, hun netwerken te controleren op mogelijke inbreuken. Deze dringende oproep volgt nadat aanvallers wekenlang de kans hadden om de kwetsbaarheden te misbruiken. Het CISA benadrukt het belang van waakzaamheid, zelfs na het toepassen van de updates, gezien de complexiteit en ernst van de cyberdreiging. [1, 2]

❗️Uitstel Beveiligingsupdates voor Ivanti Connect Secure VPN

Ivanti heeft aangekondigd dat de geplande beveiligingsupdates voor zerodaylekken in Connect Secure VPN zijn uitgesteld. Oorspronkelijk zouden de eerste patches in de week van 22 januari uitkomen, maar recent meldde Ivanti dat deze planning niet haalbaar is. Wel is er een mitigatie beschikbaar gesteld waarmee organisaties zich kunnen beschermen. Deze uitstel komt nadat de Amerikaanse overheid een noodbevel uitvaardigdewegens wijdverspreid misbruik van de lekken. De kwetsbaarheden, aangeduid als CVE-2023-46805 en CVE-2024-21887, laten ongeauthenticeerde aanvallers toe om authenticatie te omzeilen en commando's uit te voeren. Ivanti, die de kwaliteit en veiligheid van de patches wil waarborgen, heeft nog geen specifieke redenen gegeven voor het uitstel, maar bevestigt dat de updates nu gefaseerd zullen verschijnen, beginnend deze week. Dit betekent een herziening van de gehele uitrolplanning van de patches. [1]

Advies Cybercrimeinfo:

Het uitstel van de beveiligingsupdates voor Ivanti Connect Secure VPN is zeker een zorgwekkende ontwikkeling, vooral gezien de ernst van de kwetsbaarheden (CVE-2023-46805 en CVE-2024-21887) die aanvallers toestaan authenticatieprocessen te omzeilen en commando's uit te voeren. Dit soort kwetsbaarheden kan serieuze risico's vormen voor organisaties die afhankelijk zijn van deze VPN-oplossing voor hun dagelijkse bedrijfsvoering.

Dat Ivanti besloten heeft de uitrol van patches uit te stellen om de kwaliteit en veiligheid ervan te waarborgen is begrijpelijk, maar brengt ook uitdagingen met zich mee. Het betekent dat organisaties in de tussentijd extra waakzaam moeten zijn en de beschikbare mitigatiestrategieën moeten implementeren.

Hier zijn een paar stappen die je kunt overwegen om je organisatie te beschermen in afwachting van de patches:

  1. Implementeer de Mitigatie: Zorg ervoor dat de door Ivanti geboden mitigatie correct en volledig wordt toegepast. Dit kan helpen om de kwetsbaarheden te beperken, ook al is het geen volledige oplossing.

  2. Netwerkmonitoring en -detectie: Versterk de monitoring van je netwerkverkeer. Wees alert op ongewone activiteiten die kunnen wijzen op een poging tot misbruik van de kwetsbaarheden.

  3. Toegangsbeheer: Zorg ervoor dat de toegangsrechten tot kritieke systemen strak geregeld zijn. Beperk de toegang tot essentiële personen en systemen.

  4. Bewustzijn en training: Informeer je IT-personeel en eindgebruikers over de risico's en de symptomen van een mogelijke inbreuk. Het kunnen herkennen van verdachte activiteiten kan cruciaal zijn om een aanval te stoppen voordat deze ernstige schade aanricht.

  5. Incident responsplan: Zorg dat je een actueel incident responsplan hebt. In het geval dat een aanvaller toch toegang weet te krijgen, is het essentieel om snel en effectief te kunnen reageren.

  6. Contact met Ivanti: Blijf in nauw contact met Ivanti voor de laatste updates over de patch-uitrol en eventuele aanvullende aanbevelingen.

Het is belangrijk om deze situatie serieus te nemen en proactief maatregelen te treffen om de risico's te minimaliseren. Hoewel het uitstel van de updates misschien frustrerend is, biedt het ook extra tijd om je voor te bereiden en de verdediging van je systemen te versterken.

⚠️ Kritieke Kwetsbaarheden in Jenkins Leiden tot Spoedige Patch en Actieve Exploitaties

In Jenkins, een veelgebruikt automatiseringssysteem voor softwareontwikkeling, zijn twee ernstige beveiligingsproblemen ontdekt. De eerste kwetsbaarheid, een kritieke fout aangeduid als CVE-2024-23897, stelt niet-geauthenticeerde aanvallers in staat om willekeurige bestanden te lezen op de Jenkins-server. Dit wordt veroorzaakt door een specifieke manier waarop commandoargumenten worden verwerkt, waardoor onbevoegden toegang kunnen krijgen tot bestandsinhoud. De tweede kwetsbaarheid, bekend als CVE-2024-23898, maakt het mogelijk voor aanvallers om willekeurige opdrachten uit te voeren door misbruik te maken van een cross-site WebSocket-kaping. Hoewel beschermingsbeleid in webbrowsers dit risico zou moeten minimaliseren, blijft de kwetsbaarheid bestaan door inconsistentie in de handhaving van deze beleidsregels. De ontwikkelaars van Jenkins hebben snel gereageerd door op 24 januari 2024 patches uit te brengen en adviseren gebruikers dringend om deze beveiligingsupdates toe te passen. Ondanks deze maatregelen zijn er al bewijzen van actieve uitbuiting van deze kwetsbaarheden, aangezien aanvallers de gepubliceerde proof-of-concept exploits gebruiken om ongepatchte Jenkins-servers aan te vallen. Deze situatie onderstreept het belang van snelle respons op beveiligingswaarschuwingen en het tijdig toepassen van beschikbare patches om de risico's van cyberaanvallen te minimaliseren. [1, 2, 3]

Kritieke Beveiligingslek in 45.000 Jenkins Servers Blootgesteld aan RCE-aanvallen

Ongeveer 45.000 online Jenkins-servers zijn kwetsbaar voor het kritieke beveiligingslek CVE-2024-23897, wat ze vatbaar maakt voor aanvallen waarbij op afstand code uitgevoerd kan worden (Remote Code Execution, RCE). Jenkins, een prominente open-source automatiseringsserver gebruikt in CI/CD-processen, heeft recent updates uitgebracht om dit lek te dichten. Het probleem is gerelateerd aan een functie in de opdrachtregelinterface (CLI) van Jenkins, waarmee aanvallers potentieel gevoelige informatie kunnen inzien of manipuleren. Ondanks de beschikbaarheid van patches, hebben onderzoekers vastgesteld dat er nog veel ongepatchte Jenkins-instanties actief zijn, met een aanzienlijke concentratie in China en de Verenigde Staten. Deze kwetsbare servers vormen een groot risico, vooral omdat er al meerdere werkende exploits in omloop zijn. Beheerders van Jenkins-servers worden dringend aangeraden de beveiligingsupdates toe te passen of de aanbevelingen voor tijdelijke oplossingen uit de Jenkins beveiligingsbulletins op te volgen.

Bron

Talloze Beveiligingslekken in Laadpalen: Groot Risico voor Gebruikers

In een recente Pwn2Own-wedstrijd is aangetoond dat laadpalen voor elektrische auto's kwetsbaar zijn voor cyberaanvallen. Onderzoekers ontdekten meerdere beveiligingslekken, waardoor aanvallers de controle over deze laadpalen kunnen overnemen. Volgens Daan Keuper van Computest Security, die deelnam aan de wedstrijd, wijst dit op een gebrek aan focus op beveiliging bij het ontwerpen van deze laadpalen. De wedstrijd, die zich dit jaar richtte op elektrische auto's en gerelateerde technologieën, testte de veiligheid van zes verschillende laadpaalmodellen. Ondanks dat de onderzoekers onbekende kwetsbaarheden moesten demonstreren, werden meerdere 'bug collisions' geïdentificeerd, wat aangeeft dat sommige lekken door meerdere onderzoekers onafhankelijk van elkaar werden gevonden. Een opvallend aspect was dat de aanvallers toegang kregen tot de systemen via standaard toegankelijke diensten of protocollen, zoals bluetooth, zonder dat gebruikersgegevens nodig waren. Dit benadrukt het gemak waarmee laadpalen gecompromitteerd kunnen worden. Keuper bekritiseert het gebrek aan beveiligingstests door fabrikanten en stelt dat er op het gebied van cyberbeveiliging voor online verbonden apparaten, zoals laadpalen, nog veel te winnen valt. De bevindingen zijn gerapporteerd aan de fabrikanten voor het ontwikkelen van beveiligingsupdates. [1, 2, 3]

Kritieke Beveiligingslek in GitLab: Dringende Update Aanbevolen

GitLab heeft recentelijk een ernstige beveiligingswaarschuwing uitgegeven over een nieuw kritiek lek, gemarkeerd als CVE-2024-0402, dat de potentie heeft om servers over te nemen. Deze waarschuwing, uitgebracht twee weken na een eerdere alert, benadrukt de urgentie voor organisaties en gebruikers om onmiddellijk de nieuwste updates te installeren. Het lek, dat een beoordeling van 9.9 op een schaal van 10 heeft gekregen, stelt een geauthenticeerde aanvaller in staat om bij het creëren van een workspace, bestanden naar willekeurige locaties op de GitLab-server te schrijven. Dit vormt een aanzienlijk veiligheidsrisico voor de populaire DevOps-tool, die door ontwikkelaars wordt gebruikt voor gezamenlijke softwareontwikkeling en die geïnstalleerd kan worden op privé-servers of beheerd door GitLab zelf. Het beveiligingslek is reeds verholpen in de GitLab-versies 16.6.6, 16.7.4, en 16.8.1, en er is ook een fix toegepast op de oudere versie 16.5.8. Gezien de ernst van het lek, adviseert GitLab dringend om deze updates zo snel mogelijk te installeren om de beveiliging te waarborgen. [1]

Kritieke Beveiligingslek in 'Better Search Replace' WordPress Plugin Bedreigt Miljoen Websites

Een ernstig beveiligingsprobleem is ontdekt in de 'Better Search Replace' plugin voor WordPress, die meer dan een miljoen keer is geïnstalleerd. Dit lek, bekend als CVE-2023-6933, stelt hackers in staat om ongeautoriseerde code uit te voeren, gevoelige gegevens te verkrijgen, bestanden te manipuleren of te verwijderen, en zelfs een oneindige loop te veroorzaken die leidt tot een dienstweigering. Het probleem wordt veroorzaakt door het onveilig verwerken van onbetrouwbare invoer in de PHP-code van de plugin. De plugin, ontwikkeld door WP Engine, wordt gebruikt voor het zoeken en vervangen van tekst in databases, vooral bij het verhuizen van websites naar nieuwe domeinen of servers. Het biedt ook ondersteuning voor geserialiseerde data en WordPress Multisite, en heeft een “droogloop”-optie om wijzigingen te testen. Onderzoekers hebben duizenden aanvalspogingen gedetecteerd binnen 24 uur. Deze aanvallen richten zich specifiek op het beveiligingslek. Hoewel 'Better Search Replace' zelf niet direct kwetsbaar is, kan het worden uitgebuit in combinatie met andere plugins of thema's op dezelfde site die kwetsbaar zijn voor Property Oriented Programming (POP) ketens. Gebruikers worden dringend aangeraden om de plugin bij te werken naar versie 1.4.5, waarin het kritieke lek is verholpen. Deze nieuwe versie werd vorige week uitgebracht. Het is van cruciaal belang dat websitebeheerders deze update snel doorvoeren om hun sites te beschermen tegen mogelijke aanvallen die misbruik maken van dit beveiligingslek. [1, 2]

Kritieke Kwetsbaarheid in Meer dan 5.300 GitLab Servers Risico op Accountovernames

Meer dan 5.300 GitLab servers die online beschikbaar zijn, lopen risico door een ernstige kwetsbaarheid, geïdentificeerd als CVE-2023-7028. Deze kritieke fout, met een CVSS-score van 10.0, stelt aanvallers in staat om wachtwoordreset-emails te versturen naar een door hen gecontroleerd e-mailadres. Hiermee kunnen zij vervolgens het wachtwoord wijzigen en de controle over het account overnemen. De kwetsbaarheid heeft geen invloed op accounts met tweefactorauthenticatie (2FA), maar vormt een aanzienlijk risico voor accounts zonder deze extra beveiliging. Deze fout treft GitLab Community en Enterprise Edition versies vanaf 16.1 tot aan de specifieke subversies waarvoor patches zijn uitgebracht op 11 januari 2024. Ondanks de beschikbaarheid van deze patches, zijn er 13 dagen na de update nog steeds 5.379 kwetsbare GitLab instanties online gevonden. Vooral servers in de Verenigde Staten, Duitsland, Rusland en China zijn getroffen. De gevolgen van deze kwetsbaarheid kunnen verstrekkend zijn, waaronder risico's op supply chain aanvallen, openbaring van propriëtaire code, lekken van API-sleutels en andere kwaadaardige activiteiten. GitLab heeft tips gedeeld voor het detecteren van misbruik van deze kwetsbaarheid. Beheerders die getroffen instanties vinden, wordt aangeraden alle inloggegevens, API-tokens, certificaten en andere geheimen te veranderen. Ook wordt aanbevolen om 2FA in te schakelen op alle accounts en de beveiligingsupdate toe te passen. Tot op heden zijn er geen bevestigde gevallen van actieve uitbuiting van CVE-2023-7028, maar dit mag niet worden gezien als een reden om maatregelen uit te stellen. [1, 2]

Kritieke Kwetsbaarheden in GitLab: Dringende Update Vereist

GitLab, een populair platform voor DevSecOps, heeft dringend beveiligingsupdates uitgebracht voor zowel de Community als Enterprise Editie om twee kritieke kwetsbaarheden aan te pakken. De meest ernstige kwetsbaarheid, met een maximale ernstscore van 10/10, betreft een beveiligingsprobleem waardoor wachtwoordresetverzoeken naar willekeurige, ongeverifieerde e-mailadressen gestuurd kunnen worden, wat leidt tot accountovername zonder gebruikersinteractie. Deze kwetsbaarheid is geïdentificeerd als CVE-2023-7028. Zelfs als tweefactorauthenticatie actief is, kan het wachtwoord worden gereset, maar is de tweede authenticatiefactor nog steeds nodig voor succesvolle toegang. Het overnemen van een GitLab-account kan grote gevolgen hebben, aangezien het platform vaak wordt gebruikt voor het hosten van bedrijfsgevoelige data zoals broncode, API-sleutels en andere vertrouwelijke informatie. Bovendien bestaat het risico op supply chain-aanvallen, waarbij aanvallers kwaadaardige code kunnen invoegen in live omgevingen. Deze kwetsbaarheid is ontdekt door beveiligingsonderzoeker ‘Asterion’ via het HackerOne bug bounty platform en werd geïntroduceerd in versie 16.1.0 op 1 mei 2023. Verschillende versies van GitLab zijn getroffen en de fout is verholpen in de nieuwste versies. Een tweede kritieke probleem, geïdentificeerd als CVE-2023-5356 met een ernstscore van 9.6, stelt aanvallers in staat om Slack/Mattermost-integraties te misbruiken om slash-commando's als een andere gebruiker uit te voeren. GitLab heeft geen actieve exploitatie van CVE-2023-7028 gedetecteerd, maar heeft wel aanwijzingen voor compromittering gedeeld. Gebruikers van GitLab worden sterk aangeraden zo snel mogelijk te updaten naar de nieuwste versies om deze kwetsbaarheden aan te pakken. [1, 2]

⚠️ Kritieke Kwetsbaarheid in Cisco Unified Communications Producten

Recent is een ernstige kwetsbaarheid ontdekt in de Cisco Unified Communications producten, die veel gebruikt worden voor voip-toepassingen en zakelijke communicatie. Deze kwetsbaarheid maakt het voor niet-geautoriseerde aanvallers mogelijk om op afstand controle over de apparaten te krijgen. Cisco heeft inmiddels beveiligingsupdates vrijgegeven om het lek te dichten. Het probleem wordt veroorzaakt door inadequate verwerking van gebruikersinvoer. Aanvallers kunnen door het versturen van een specifiek opgesteld bericht naar een openstaande poort, willekeurige commando's uitvoeren op het besturingssysteem van het apparaat, en zo potentieel volledige toegang verkrijgen. De ernst van deze kwetsbaarheid, bekend als CVE-2024-20253, is beoordeeld met een 9.9 op een schaal van 10. De kwetsbaarheid is aanwezig in verschillende Cisco-producten, waaronder Unified Communications Manager, Unified Contact Center Enterprise en Express, Unity Connection, Virtualized Voice Browser en Packaged Contact Center Enterprise. De ontdekking van dit lek benadrukt het belang van regelmatige updates en het monitoren van netwerkapparatuur voor mogelijke beveiligingsrisico's. [1]

Kritiek Beveiligingslek in GoAnywhere MFT Bedreigt Systeembeheer

Een kritieke beveiligingsfout in Fortra's GoAnywhere MFT (Managed File Transfer) software maakt het mogelijk voor aanvallers om nieuwe beheerdersgebruikers aan te maken via de beheerdersportal. Deze kwetsbaarheid is geïdentificeerd als CVE-2024-0204 en werd stilletjes gepatcht door Fortra op 7 december met de release van GoAnywhere MFT 7.4.1. De fout werd echter pas recent publiekelijk bekendgemaakt, ondanks dat Fortra al eerder privéwaarschuwingen had uitgegeven. Beheerders die de software nog niet hebben bijgewerkt, krijgen het advies om het aanvalsrisico te verminderen door specifieke bestanden te verwijderen of te vervangen in de installatiedirectory. Recentelijk publiceerden onderzoekers van Horizon3's Attack Team een technische analyse en een proof-of-concept exploit die het mogelijk maakt om nieuwe beheerdersgebruikers te creëren op kwetsbare GoAnywhere MFT-instanties. Dit benadrukt de urgentie voor organisaties om hun systemen te updaten of tijdelijke maatregelen te nemen. De exploit maakt gebruik van een padoverschrijdingsprobleem om toegang te krijgen tot een kwetsbaar endpoint en een nieuw beheerdersaccount aan te maken. Deze kwetsbaarheid is bijzonder relevant in het licht van eerdere aanvallen door de Clop-ransomwaregroep, die meer dan 100 organisaties heeft getroffen door een ander kritiek beveiligingslek in dezelfde GoAnywhere MFT-software te exploiteren. Dit onderstreept het belang van tijdige updates en het bewustzijn van cyberrisico's, vooral in Managed File Transfer platforms, die een populair doelwit zijn geworden voor cybercriminelen.  [1]

Apple Verhelpt Eerste Zero-Day Kwetsbaarheid van het Jaar

Apple heeft onlangs een belangrijke beveiligingsupdate uitgebracht om de eerste zero-day kwetsbaarheid van dit jaar aan te pakken. Deze kwetsbaarheid, geïdentificeerd als CVE-2024-23222, betrof een probleem in WebKit, de browser-engine die gebruikt wordt in iPhones, Macs en Apple TV's. Het veiligheidslek stelde aanvallers in staat om kwaadaardige code uit te voeren op de getroffen apparaten door gebruikers naar een schadelijke webpagina te lokken. Het specifieke probleem zat in de verwerking van kwaadaardig vervaardigde webinhoud, wat kon leiden tot willekeurige code-uitvoering. Apple heeft erkend dat dit beveiligingslek mogelijk al is uitgebuit. De update die dit probleem aanpakt, is inbegrepen in iOS 16.7.5 en hoger, iPadOS 16.7.5 en hoger, macOS Monterey 12.7.3 en hoger, en tvOS 17.3 en hoger. Een breed scala aan Apple-apparaten, waaronder verschillende generaties iPhones, iPads, Macs en Apple TV-modellen, waren kwetsbaar voor deze exploit. Vanwege de ernst van het lek adviseert Apple gebruikers dringend om de beveiligingsupdates zo snel mogelijk te installeren. In 2023 heeft Apple in totaal 20 zero-day kwetsbaarheden aangepakt die actief werden uitgebuit, wat de noodzaak van regelmatige beveiligingsupdates onderstreept. [1, 2, 3]

Kwetsbaarheden in Ivanti VPN-apparaten bij Configuratie-updates

Ivanti, een cybersecuritybedrijf, heeft gewaarschuwd voor kwetsbaarheden in hun VPN-apparaten. Deze kwetsbaarheden ontstaan wanneer nieuwe apparaatconfiguraties worden gepusht na het toepassen van bepaalde mitigaties. De kwetsbaarheden betreffen twee zero-day beveiligingslekken, die actief worden uitgebuit in grootschalige aanvallen door verschillende dreigingsactoren. De problemen zijn gekoppeld aan een bekende 'race condition' tijdens het pushen van configuraties, wat leidt tot het stoppen van een webdienst en het falen van de toegepaste mitigatie. Ivanti adviseert klanten om het pushen van configuraties uit te stellen tot de apparaten zijn gepatcht. Dit advies geldt ook voor configuratie-updates via Pulse One of nSA. Deze waarschuwing volgt op een noodrichtlijn van CISA, die Amerikaanse agentschappen opdroeg om onmiddellijk mitigaties toe te passen voor de twee beveiligingslekken in Ivanti Connect Secure en Policy Secure. Deze lekken stellen aanvallers in staat om lateraal binnen gecompromitteerde netwerken te bewegen, data te verzamelen en te exfiltreren, en blijvende toegang tot systemen te verkrijgen door backdoors te installeren. Tot op heden heeft Ivanti nog geen beveiligingspatches uitgebracht, maar wel maatregelen en herstelinstructies gepubliceerd om aanvalspogingen te blokkeren en getroffen apparaten te herstellen. Shadowserver en andere bedreigingsinformatieplatformen hebben vastgesteld dat duizenden Ivanti-apparaten online zijn blootgesteld, waarvan honderden reeds zijn gehackt, waaronder apparaten van overheidsinstellingen, telecombedrijven, defensiecontractanten en technologiebedrijven. [1, 2, 3, 4, 5, 6, 78]

PixieFail: Grote Beveiligingsproblemen in Enterprise Systemen door PXE Netwerkboot Kwetsbaarheden

In een recent onthuld rapport zijn negen beveiligingslekken, gezamenlijk bekend als 'PixieFail', aan het licht gekomen. Deze lekken treffen het IPv6 netwerkprotocol van Tianocore's EDK II, een open-source referentie-implementatie van de UEFI-specificatie die veel gebruikt wordt in zakelijke computers en servers. Het meest zorgwekkende aspect van deze kwetsbaarheden is dat ze aanwezig zijn in het PXE-netwerkbootproces, een cruciale stap voor het provisioneren van besturingssystemen in datacenters en high-performance computing omgevingen. De ontdekking van PixieFail is gedaan door onderzoekers van Quarkslab, die de bevindingen hebben gemeld aan de betrokken leveranciers via een gecoördineerde inspanning van CERT/CC en CERT-FR. De kwetsbaarheden ontstaan door de implementatie van IPv6 in de Preboot Execution Environment (PXE), onderdeel van de UEFI-specificatie. PXE maakt netwerkopstart mogelijk, en de implementatie ervan binnen IPv6 introduceert extra protocollen, wat de aanvalsoppervlakte vergroot. PixieFail-aanvallen omvatten negen fouten die lokaal in een netwerk kunnen worden uitgebuit. Deze fouten kunnen leiden tot denial of service (DoS), informatielekken, uitvoering van externe codes (RCE), DNS-cachevergiftiging en kapen van netwerksessies. De ernstigste hiervan zijn CVE-2023-45230 en CVE-2023-45235, die aanvallers in staat stellen externe codes uit te voeren, wat mogelijk kan leiden tot volledige systeemcompromittering. Deze kwetsbaarheden hebben een wijdverspreide impact op de UEFI-implementatie van Tianocore's EDK II en andere leveranciers die gebruikmaken van het NetworkPkg-module. Belangrijke technologiebedrijven en BIOS-aanbieders, waaronder Arm Ltd., Insyde Software, American Megatrends Inc. (AMI), Phoenix Technologies Inc., en Microsoft Corporation, worden hierdoor getroffen. Hoewel het EDK2-pakket is opgenomen in de broncodeboom van ChromeOS, heeft Google aangegeven dat het niet wordt gebruikt in productie-Chromebooks en dus niet wordt beïnvloed door de PixieFail-lekken. Op dit moment zijn de meeste patches van leveranciers nog in een test/niet-gevalideerde staat. Tianocore heeft echter al fixes voor de eerste zeven kwetsbaarheden aangeboden. De oorspronkelijke openbaarmaking aan CERT/CC vond plaats op 3 augustus 2023, en de deadline voor openbaarmaking werd verschillende keren verschoven vanwege de complexiteit van de problemen waarmee meerdere leveranciers werden geconfronteerd. [1, 2, 3]

⚠️ Kritieke Kwetsbaarheid in Oudere Versies van Atlassian Confluence

Atlassian Confluence Data Center en Server, populaire tools voor teamcollaboratie en documentbeheer, zijn getroffen door een ernstige kwetsbaarheid. Deze kwetsbaarheid, aangeduid als CVE-2023-22527, betreft een kritieke 'Remote Code Execution' (RCE) fout, die van invloed is op versies uitgebracht vóór 5 december 2023. Dit omvat ook versies die niet meer worden ondersteund. Met een maximale score van 10.0 op de CVSS v3-schaal, stelt deze template injectie kwetsbaarheid niet-geauthenticeerde aanvallers in staat om op afstand code uit te voeren op getroffen Confluence endpoints. De recent ondersteunde versies van Confluence Data Center en Server zijn niet beïnvloed door deze kwetsbaarheid, aangezien deze in reguliere updates is verholpen. Atlassian raadt echter aan om de nieuwste versie te installeren om bescherming tebieden tegen andere, minder kritieke kwetsbaarheden. De versies 8.0.x tot en met 8.5.3 zijn kwetsbaar, terwijl het probleem is opgelost in de versies 8.5.4 (LTS), 8.6.0 (alleen Data Center) en 8.7.1 (alleen Data Center). Voor gebruikers van de oudere versies, zoals 8.4.5 en eerder, die uit ondersteuning zijn gevallen, zal Atlassian geen beveiligingsupdates meer verstrekken. Het wordt sterk aanbevolen om zo snel mogelijk naar een actief ondersteunde release te migreren. Er zijn geen directe oplossingen of workarounds geboden voor dit beveiligingsprobleem, dus het updaten naar de beschikbare nieuwere versies blijft de aanbevolen weg. Interessant is dat de kwetsbaarheid geen invloed heeft op Confluence LTS v7.19.x, Cloud Instances gehost door de leverancier, of andere Atlassian-producten. Echter, niet-internetverbonden instanties of die zonder anonieme toegang zijn nog steeds kwetsbaar, zij het met een verminderd risico. Voor diegenen die niet onmiddellijk kunnen updaten, wordt aanbevolen de getroffen systemen offline te halen, de gegevens te back-uppen buiten de Confluence-instantie en te waken voor kwaadaardige activiteiten. Atlassian Confluence kwetsbaarheden worden vaak uitgebuit door aanvallers, inclusief door ransomwaregroepen en door staten gesteunde dreigingsactoren. [1, 2, 3]

⚠️ Ernstige Kwetsbaarheid in VMware Aria Automation

Op 17 januari 2024 werd een kritieke kwetsbaarheid in VMware Aria Automation, voorheen bekend als vRealize Automation, ontdekt. Deze kwetsbaarheid, met een hoge risicobeoordeling van 9.9 uit 10, stelt geauthenticeerde aanvallers in staat om toegang te krijgen tot externe organisaties en hun workflows. Het betreft een probleem met 'missing access control' in softwareversies voor 8.16. VMware, op de hoogte gebracht door een externe partij, heeft tot op heden geen aanwijzingen van misbruik van deze kwetsbaarheid gevonden. Als reactie heeft het bedrijf beveiligingsupdates uitgebracht om het lek te dichten. Gebruikers van het platform worden dringend aangeraden om hun systemen te updaten naar versie 8.16 om zich tegen mogelijke aanvallen te beschermen. Dit lek in VMware Aria Automation, een belangrijk platform voor de ontwikkeling en het beheer van applicaties, benadrukt het belang van voortdurende waakzaamheid en snelle respons op beveiligingskwetsbaarheden in software. Verdere details over de specifieke aard van de kwetsbaarheid of hoe deze kan worden uitgebuit, zijn niet bekendgemaakt. Dit onderstreept de noodzaak voor organisaties om hun systemen regelmatig te updaten en te zorgen voor sterke toegangscontroles. [1, 2, 3]

⚠️ Oracle Pakt Grote Beveiligingsrisico's Aan in Eerste Patchronde 2024

In januari 2024 heeft Oracle, een toonaangevend softwarebedrijf, tijdens zijn eerste patchronde van het jaar, aanzienlijke beveiligingsupdates uitgebracht. Deze updates waren essentieel om een groot aantal kwetsbaarheden in hun producten te verhelpen, waarbij meerdere kritieke beveiligingslekken werden aangepakt. Deze lekken waren zo ernstig dat ze aanvallers de mogelijkheid boden om systemen op afstand over te nemen zonder enige vorm van gebruikersinteractie of authenticatie. De geïdentificeerde kritieke problemen waren aanwezig in een reeks van Oracle's producten, waaronder Oracle MySQL, Essbase, Oracle Communications, Oracle Banking, Oracle Enterprise, Oracle Hyperion, JD Edwards EnterpriseOne, Oracle Retail en XCP Firmware. De ernst van deze kwetsbaarheden werd hoog ingeschat, met impactscores van maar liefst 9.8 en 9.1 op een schaal van 1 tot 10. Oracle benadrukte dat er ondanks het uitbrengen van beveiligingsupdates, nog steeds aanvallen plaatsvonden die misbruik maakten van deze kwetsbaarheden. Veel van deze aanvallen waren succesvol omdat klanten het nalieten om de beschikbaar gestelde patches te installeren. Daarom riep het bedrijf organisaties op om de nieuw uitgebrachte updates onmiddellijk te installeren en ervoor te zorgen dat alleen ondersteunde versies van hun producten werden gebruikt. Oracle, in tegenstelling tot andere grote softwarebedrijven zoals Adobe of Microsoft, brengt niet maandelijks maar elk kwartaal updates uit. De volgende geplande patchrondes staan vast voor 16 april, 16 juli en 25 oktober 2024. Met deze regelmatige updates streeft Oracle ernaar de beveiliging van haar producten continu te verbeteren en haar klanten te beschermen tegen mogelijke cyberaanvallen. [1, 2]

⚠️ Google Dicht Actief Aangevallen Zerodaylek in Chrome

Google heeft recentelijk een belangrijke beveiligingsupdate uitgebracht voor Chrome, gericht op het verhelpen van een actief aangevallen zerodaylek. Dit lek, gelabeld als CVE-2024-0519, is gecategoriseerd met een 'high' impact, wat inhoudt dat het ernstige gevolgen kan hebben, zoals het uitvoeren van code binnen de browsercontext. Dit stelt een aanvaller in staat om bijvoorbeeld data van websites te wijzigen of gevoelige informatie van gebruikers te stelen. Het lek bevindt zich in V8, de JavaScript-engine van Chrome, een component dat al vaker het doelwit is geweest van zerodayaanvallen. Om een systeem volledig over te nemen, is echter een tweede kwetsbaarheid vereist, die buiten het bereik van dit specifieke lek valt. Google heeft geen specifieke details vrijgegeven over de aard van de aanvallen of de doelwitten ervan. De kwetsbaarheid werd ontdekt door een anonieme onderzoeker. De nieuwe versies van Google Chrome, namelijk 120.0.6099.224/225 voor Windows en 120.0.6099.224/234 voor Linux en macOS, bevatten de beveiligingspatch voor dit lek. Deze updates worden meestal automatisch uitgevoerd, maar dit proces kan tot zeven dagen duren, vooral in gevallen van actief misbruikte kwetsbaarheden. Gebruikers die de update onmiddellijk willen ontvangen, kunnen dit handmatig doen via de browserinstellingen. Voor Microsoft Edge, dat ook gebruikmaakt van Googles Chromium, is op het moment van schrijven van dit artikel nog geen update beschikbaar. [1, 2, 3]

⚠️ Kwetsbaarheden in SonicWall Firewalls: Risico op DoS en Potentiële RCE-aanvallen

Recente bevindingen door beveiligingsonderzoekers wijzen uit dat meer dan 178.000 SonicWall next-generation firewalls (NGFW), waarvan de beheerinterface online toegankelijk is, kwetsbaar zijn voor Denial-of-Service (DoS) en potentieel voor Remote Code Execution (RCE) aanvallen. Deze kwetsbaarheden, geïdentificeerd als CVE-2022-22274 en CVE-2023-0656, delen een gemeenschappelijk zwakke codepatroon, hoewel ze exploiteerbaar zijn via verschillende HTTP URI-paden. Het onderzoek, geleid door Jon Williams van Bishop Fox, onthulde dat ongeveer 76% van de onderzochte SonicWall firewalls (178.637 van de 233.984) vatbaar zijn voor één of beide problemen. Hoewel SonicWall's Product Security Incident Response Team (PSIRT) geen bewijs heeft dat deze kwetsbaarheden actief zijn uitgebuit, bestaat er ten minste één proof-of-concept (PoC) exploit voor CVE-2022-22274. Het misbruik van deze kwetsbaarheden kan leiden tot het forceren van de firewalls in een onderhoudsmodus, wat ingrijpen van beheerders vereist om de normale functionaliteit te herstellen. Dit brengt aanzienlijke risico's met zich mee, niet alleen voor de directe beveiliging van de netwerken maar ook voor de VPN-toegang die deze firewalls bieden aan bedrijfsnetwerken. Meer dan 500.000 SonicWall firewalls zijn momenteel online blootgesteld, met een aanzienlijk aantal in de Verenigde Staten. Voorheen zijn SonicWall's apparaten al het doelwit geweest van cyber-espionage en verschillende ransomwaregroepen. Zo werd in maart vorig jaar onthuld dat vermoedelijke Chinese hackers aangepaste malware installeerden op ongepatchte SonicWall Secure Mobile Access (SMA) apparaten voor langdurige spionageactiviteiten. Gezien deze risico's wordt beheerders sterk aangeraden om ervoor te zorgen dat de beheerinterface van hun SonicWall NGFW-apparaten niet online toegankelijk is en om zo snel mogelijk te upgraden naar de nieuwste firmwareversies. SonicWall bedient een uitgebreide klantenkring van meer dan 500.000 bedrijven wereldwijd, waaronder overheidsinstellingen en enkele van de grootste bedrijven, waardoor de impact van deze kwetsbaarheden potentieel groot is. [1, 2, 3]

Kritieke Beveiligingsfout in Opera Browsers Bedreigt Windows en macOS Systemen

Een recente ontdekking door cybersecurity-onderzoekers heeft een ernstige beveiligingsfout in de Opera-webbrowser aan het licht gebracht, die gebruikers van Windows en macOS-systemen in gevaar kan brengen. Dit beveiligingslek, bekend als MyFlaw, benut de My Flow-functie van Opera, waarmee gebruikers berichten en bestanden tussen mobiele en desktopapparaten kunnen synchroniseren. Het beveiligingslek werd op 17 november 2023 gerapporteerd en op 22 november 2023 gepatcht door Opera. De essentie van het probleem ligt in een browserextensie binnen Opera, genaamd "Opera Touch Background". Deze extensie, die verantwoordelijk is voor communicatie met mobiele apparaten, bevat een manifest bestand dat de vereiste machtigingen en gedragingen specificeert. Echter, een kwetsbaarheid binnen deze extensie stelde aanvallers in staat om kwaadaardige code te injecteren en uit te voeren op het besturingssysteem van de gebruiker. Het lek werd blootgelegd door Guardio Labs, die een vergeten versie van de My Flow-landingspagina ontdekte die kwetsbaar was voor code-injectie. Deze pagina, die oorspronkelijk bedoeld was voor veilige communicatie, miste belangrijke beveiligingsmaatregelen zoals een content security policy meta tag. Aanvallers konden hierdoor een speciaal gecreëerde extensie gebruiken om een kwaadaardige payload naar het host-systeem te sturen, die vervolgens door de gebruiker geactiveerd kon worden. Dit incident benadrukt de groeiende complexiteit van browsergebaseerde aanvallen en het belang van veilige ontwerpprincipes in browserextensies. Opera heeft snel gereageerd op de ontdekking van dit lek door server-side wijzigingen door te voeren en stappen te ondernemen om toekomstige veiligheidsproblemen te voorkomen. De samenwerking tussen Opera en Guardio Labs toont het belang aan van samenwerking tussen bedrijven en cybersecurity-experts om de veiligheid van online producten te waarborgen. [1]

Zerodaylekken Misbruikt door Forensische Bedrijven voor Data-extractie van Androidtelefoons

Forensische bedrijven misbruiken zerodaylekken in Androidtelefoons om gevoelige data te verkrijgen, aldus de ontwikkelaars van GrapheneOS, een Android-gebaseerd besturingssysteem. Deze bedrijven benutten een beveiligingslek in de fastboot-modus van bepaalde Androidtoestellen, waarmee ze toegang krijgen tot data die niet 'at rest' is, ofwel data die actief in het geheugen van het toestel aanwezig is. Het risico bestaat voornamelijk voor telefoons die ingeschakeld zijn of nog niet ontgrendeld zijn na het opstarten. In deze staat zijn de encryptiesleutels beschikbaar in het geheugen, waardoor de data op het toestel kwetsbaar is. Een simpele vergrendeling van het toestel biedt geen bescherming tegen dit lek; alleen een herstart zet het apparaat terug in de 'at rest'-status. GrapheneOS heeft daarom de automatische herstarttijd van hun telefoons verkort van 72 naar 18 uur. De kwetsbaarheid stelt aanvallers in staat om de vereisten voor het maken van een geheugendump te omzeilen. Met deze gegevens kunnen zij vervolgens een bruteforce-aanval uitvoeren om de telefoon te ontgrendelen. Gebruikers die een sterke wachtwoordzin gebruiken, lopen echter minder risico. De ontwikkelaars van GrapheneOS melden dat de kwetsbaarheden aanwezig zijn in Pixel-telefoons en Samsung-apparaten en dat zij deze informatie hebben gerapporteerd. Dit nieuws benadrukt de groeiende zorgen over de veiligheid van mobiele apparaten en de praktijken van forensische bedrijven, die mogelijk legitieme beveiligingsproblemen uitbuiten voor data-extractie, wat ethische en privacyvraagstukken oproept. [1, 2, 3, 4, 5]

Beveiligingslek in Bosch Wifi-Thermostaten Maakt Installatie Van Kwaadaardige Firmware Mogelijk

Een recent ontdekt beveiligingslek in verschillende modellen van Bosch wifi-thermostaten, waaronder de BCC100, BCC101, BCC102 en BCC50, stelt aanvallers in staat om kwaadaardige firmware te installeren. Dit probleem, onthuld door antivirusbedrijf Bitdefender, treft thermostaten die verbonden zijn met internet en beheerd worden via een app. De kwetsbaarheid werd specifiek gevonden in de wifi-chip van de apparaten, waarbij de TCP-poort 8899 openstond. Deze poort stuurde alle inkomende berichten direct door naar de microcontroller, waardoor het onderscheid tussen legitieme en malafide berichten verloren ging. Bitdefender, dat de kwetsbaarheid ontdekte, informeerde Bosch hierover in augustus van het vorige jaar. Bosch reageerde door in oktober een update uit te brengen die de betreffende poort sloot. Deze kwetsbaarheid is aangeduid als CVE-2023-49722 en heeft een ernstscore van 8.3 op een schaal van 10. Gebruikers van deze IoT-apparaten worden geadviseerd om ze zoveel mogelijk te isoleren van het lokale netwerk om dergelijke beveiligingsrisico's te verminderen. Reacties op dit nieuws variëren van zorgen over de beveiligingsaspecten van 'slimme' apparaten die verbonden zijn met het internet tot specifieke maatregelen die individuen nemen om hun apparaten te beschermen, zoals het uitschakelen van wifi op beveiligingscamera's na gebruik. Deze situatie benadrukt het belang van zowel actieve beveiligingsmaatregelen door fabrikanten als bewustzijn en voorzichtigheid bij eindgebruikers bij het gebruik van internetverbonden apparaten in huis. [1, 2, 3]

Juniper waarschuwt voor kritieke firewall kwetsbaarheid

Netwerkfabrikant Juniper heeft een kritieke kwetsbaarheid in zijn firewall- en switchsystemen geïdentificeerd, die het mogelijk maakt voor ongeauthenticeerde aanvallers om op afstand controle te krijgen over deze apparaten. Het beveiligingslek, aangeduid als CVE-2024-21591, is gevonden in de J-Web configuratietool van de Juniper Networks Junos OS SRX en EX Series firewalls en switches. Deze tool stelt gebruikers in staat om hun apparaten via een webbrowser te monitoren, te configureren en te beheren. De kwetsbaarheid ontstaat door een 'onveilige functie' binnen J-Web, die aanvallers in staat stelt om willekeurig geheugen te overschrijven. Dit kan leiden tot het uitvoeren van willekeurige code op het systeem met rootrechten. De ernst van deze kwetsbaarheid is beoordeeld met een score van 9.8 op een schaal van 10, wat wijst op een zeer hoge impact. Als reactie hierop heeft Juniper updates uitgebracht om de kwetsbaarheid te verhelpen. Daarnaast wordt aan gebruikers aangeraden om als tijdelijke oplossing de J-Web interface uit te schakelen of de toegang te beperken tot alleen vertrouwde hosts. Onderzoek door de Shadowserver Foundation onthult dat er wereldwijd 8300 Juniper-systemen met een vanaf het internet toegankelijke J-Web interface zijn, waarvan 139 zich in Nederland bevinden. Een ander securitybedrijf, Censys, rapporteert zelfs over meer dan elfduizend toegankelijke J-Web interfaces. Deze waarschuwing benadrukt het belang van tijdige updates en de noodzaak voor organisaties om hun netwerkbeveiliging voortdurend te monitoren en te verbeteren, met name in een tijdperk waarin cyberdreigingen steeds geavanceerder worden. [1, 2, 3]

Beveiligingslek in Apple Magic Keyboard maakt afluisteren mogelijk

Apple heeft onlangs een kritieke beveiligingsupdate uitgebracht voor het Magic Keyboard na de ontdekking van een kwetsbaarheid die het afluisteren van bluetooth-verkeer mogelijk maakte. De kwetsbaarheid, ontdekt door beveiligingsonderzoeker Marc Newlin, stelde aanvallers in staat om de Bluetooth-link key van het toetsenbord te stelen. Dit kon op verschillende manieren gebeuren, waaronder via ongeauthenticeerde bluetooth-verbindingen, de lightning-poort en de usb-poort van de verbonden Mac. De ernst van deze kwetsbaarheid lag in het feit dat een ongeauthenticeerde aanvaller zich kon voordoen als de gepairde Mac en zo toetsaanslagen kon ontvangen die door de gebruiker werden gemaakt. Dit stelde hen ook in staat om het toetsenbord te pairen met een andere host. Apple heeft benadrukt dat voor een dergelijke aanval fysieke toegang tot het apparaat vereist was. Om dit beveiligingsprobleem aan te pakken, heeft Apple firmware-update 2.0.6 voor het Magic Keyboard uitgebracht. Deze update wordt automatisch geïnstalleerd zodra het toetsenbord actief is gepaird met een Mac, iPad, iPhone of AppleTV. Met deze update wordt het eerder vermelde beveiligingslek gedicht, waardoor gebruikers beschermd zijn tegen mogelijke afluisterpraktijken door aanvallers. [1, 2]

⚠️ Kritieke Beveiligingslek in GitLab Riskeert Overname van Gebruikersaccounts

Op 12 januari 2024 waarschuwde GitLab voor een ernstige kwetsbaarheid in hun systeem, die het risico met zich meebrengt dat aanvallers gebruikersaccounts kunnen overnemen. Deze kwetsbaarheid maakt het mogelijk om wachtwoord-reset e-mails naar niet-geverifieerde e-mailadressen te sturen. Deze ernstige beveiligingsfout is beoordeeld met de maximale score van 10.0 op een schaal van 1 tot 10. Hoewel gebruikers die tweefactorauthenticatie (2FA) hebben ingeschakeld enigszins beschermd zijn tegen het overnemen van hun account, blijft de mogelijkheid voor een aanvaller bestaan om hun wachtwoord te resetten. GitLab heeft echter geen meldingen ontvangen van misbruik van deze kwetsbaarheid, geïdentificeerd als CVE-2023-7028, en adviseert organisaties die GitLab zelf hosten om hun logbestanden te controleren. GitLab, bekend als een online DevOps-tool die samenwerking in softwareontwikkeling mogelijk maakt, biedt organisaties de keuze om het platform zelf te hosten of het beheer over te laten aan GitLab. Deze specifieke beveiligingsfout werd in mei van het vorige jaar geïntroduceerd in het systeem. Er wordt met klem aangeraden aan zowel organisaties als individuele gebruikers om de beschikbare update zo snel mogelijk te installeren en 2FA in te schakelen voor belangrijke accounts. Reacties van gebruikers tonen zorgen over de beveiliging, waarbij sommigen de efficiëntie van de penetratietesten van GitLab in twijfel trekken. Er is ook een discussie of deze kwetsbaarheid invloed heeft op lokale accounts die zijn geïntegreerd met bedrijfssystemen zoals Active Directory of IPA. [1, 2]

⚠️ Alarmerende Kwetsbaarheden in Ivanti Connect en Policy Secure: Risico's en Maatregelen

In januari 2024 waarschuwde Ivanti voor ernstige, actief misbruikte kwetsbaarheden in hun Connect Secure en Policy Secure gateway producten. Deze kwetsbaarheden, geïdentificeerd als CVE-2023-46805 en CVE-2024-21887, stellen een aanvaller in staat om op afstand, zonder inloggegevens, code uit te voeren met administratorrechten. Het Nationaal Cyber Security Centrum (NCSC) beoordeelt deze kwetsbaarheid als 'High/High', wat wijst op een hoge kans op misbruik en significante potentiële schade. Deze kwetsbaarheden maken het mogelijk voor kwaadwillenden om volledige controle over de getroffen systemen te krijgen. Dit kan leiden tot ernstige gevolgen, zoals het stelen van gevoelige informatie en het verspreiden van ransomware. Ivanti Connect Secure, voorheen bekend als Pulse Secure, is een VPN-oplossing die vaak direct met het internet verbonden is, waardoor het voor aanvallers gemakkelijker wordt deze servers te vinden en de kwetsbaarheden te exploiteren. Volgens onderzoek van de Shadowserver Foundation zijn er in Nederland meer dan 500 Pulse Secure systemen detecteerbaar. Ivanti bevestigt dat alle ondersteunde versies van Connect Secure (9.x en 22.x) en Policy Secure kwetsbaar zijn. Er is echter geen onderzoek gedaan naar de kwetsbaarheid van niet-ondersteunde versies. Op het moment van het rapport zijn er geen beveiligingsupdates beschikbaar, maar Ivanti heeft alternatieve maatregelen voorgesteld om misbruik te voorkomen. Het Digital Trust Center (DTC) adviseert dringend om deze alternatieve maatregelen snel uit te voeren en de communicatie van Ivanti te volgen voor aankomende beveiligingsupdates, verwacht vanaf 22 januari 2024. Als onzekerheid bestaat over het gebruik van Ivanti-producten of als het IT-beheer is uitbesteed, is het aan te raden contact op te nemen met de IT-dienstverlener voor het doorvoeren van de noodzakelijke maatregelen. [1]

Kritiek Beveiligingslek Bedreigt 150.000 WordPress-sites via SMTP-plug-in

Een ernstige kwetsbaarheid in een populaire SMTP-plug-in, genaamd "POST SMTP", brengt zo'n 150.000 WordPress-sites in gevaar. Deze plug-in, die meer dan 300.000 websites gebruiken, vervangt de standaard PHP-mailfunctie van WordPress en maakt het mogelijk om e-mails te versturen vanuit WordPress. Het lek werd ontdekt door het beveiligingsbedrijf Wordfence en stelt aanvallers in staat om op afstand controle over websites te krijgen. Dit wordt mogelijk gemaakt door een kwetsbaarheid in een functie van de mobiele app van de plug-in. Deze kwetsbaarheid laat aanvallers toe om alle verzonden e-mails te bekijken, inclusief wachtwoordresetmails. Aanvallers kunnen hiermee een wachtwoordreset voor de websitebeheerder uitvoeren, het resetbericht onderscheppen en vervolgens een nieuw wachtwoord instellen om de controle over de website over te nemen. Een beveiligingsupdate voor deze kwetsbaarheid is al uitgebracht op 1 januari. Uit gegevens van WordPress.org blijkt echter dat slechts de helft van de websites de update heeft geïnstalleerd. Dit betekent dat ongeveer 150.000 websites nog steeds kwetsbaar zijn voor dit beveiligingsrisico. Gebruikers van de POST SMTP-plug-in worden dringend aangeraden om hun systemen zo snel mogelijk te updaten om zich tegen deze dreiging te beschermen. [1, 2]

CISA Waarschuwt voor Kritieke Kwetsbaarheden in Veelgebruikte Software

Op 9 januari 2024 meldde Bill Toulas dat de Cybersecurity and Infrastructure Security Agency (CISA) van de Verenigde Staten zes nieuwe kwetsbaarheden heeft toegevoegd aan de Known Exploited Vulnerabilities-catalogus (KEV). Deze catalogus bevat beveiligingsproblemen die actief worden uitgebuit en is een belangrijk hulpmiddel voor organisaties wereldwijd voor kwetsbaarheidsbeheer en prioritering. Deze kwetsbaarheden, die aanzienlijke risico's vormen, beïnvloeden producten van Apple, Adobe, Apache, D-Link en Joomla. CISA heeft federale agentschappen opgedragen om vóór 29 januari de kwetsbaarheden te verhelpen of het gebruik van de getroffen producten te staken. De zes uitgelichte kwetsbaarheden zijn: CVE-2023-27524 (Apache Superset), CVE-2023-23752 (Joomla!), CVE-2023-41990 (Apple iPhone), CVE-2023-38203 en CVE-2023-29300 (beide Adobe ColdFusion), en CVE-2016-20017 (D-Link DSL-2750B). Deze kwetsbaarheden zijn op verschillende manieren misbruikt. Zo werd CVE-2023-41990 gebruikt in de 'Operation Triangulation'-campagne sinds 2019, waarbij iPhones wereldwijd werden getarget. CVE-2023-38203 en CVE-2023-29300 zijn sinds medio 2023 door hackers benut nadat bleek dat de patches van de leverancier omzeild konden worden. Voor sommige kwetsbaarheden, zoals CVE-2023-27524, zijn in september proof-of-concept exploits uitgebracht, wat de weg vrijmaakte voor bredere exploitatie door kwaadwillenden. Organisaties en federale agentschappen worden aangespoord hun systemen te controleren op deze en andere in de KEV-catalogus vermelde kwetsbaarheden en de beschikbare beveiligingsupdates of mitigerende stappen toe te passen. [1]

Windows 11 KB5034123-Update: Belangrijke Beveiligings- en Wi-Fi-Verbeteringen

Microsoft heeft onlangs de cumulatieve update KB5034123 voor Windows 11 uitgebracht, gericht op zowel de 23H2 als 22H2 versies. Deze update, van cruciaal belang voor alle Windows 11-gebruikers, omvat essentiële beveiligingsupdates van de Microsoft January 2024 Patch Tuesday en pakt diverse problemen aan. Een van de belangrijkste oplossingen in deze update betreft een Wi-Fi-bug die vooral invloed had op bepaalde Wi-Fi-adapters. Deze bug veroorzaakte verbindingsproblemen, met name na de installatie van de voorgaande KB5032288- of KB5033375-updates. Het probleem werd vaker waargenomen in netwerkomgevingen die 802.1x voor authenticatie gebruikten, een gangbare opstelling in bedrijfscontexten. Thuisnetwerken leken minder te worden beïnvloed door dit probleem. Naast de Wi-Fi-fix omvat de update ook andere verbeteringen. Zo lost het een issue op dat ervoor zorgde dat apparaten automatisch afsloten 60 seconden nadat ze waren gebruikt voor authenticatie op een extern systeem met een smartcard. Een ander probleem dat werd aangepakt, betreft de weergave van het smartcard-icoon; dit icoon verscheen niet tijdens het inloggen bij meerdere certificaten op de smartcard. De update is te installeren via de Windows Update-functie en kan ook direct worden gedownload vanuit de Catalogus voor Microsoft-updates. Na de update zal het buildnummer van Windows 11 23H2 veranderen naar 22631.3007 en van Windows 11 22H2 naar 22621.3007. Microsoft heeft echter ook gewaarschuwd voor enkele problemen die in deze patch aanwezig zijn. Dit omvat een bug die icoontjes incorrect laat verschijnen bij gebruik van Copilot op meerdere displays en kleurcorrectie-issues. Deze problemen zullen in latere updates worden verholpen. [1]

Microsoft's Januari 2024 Patch Tuesday: 49 Beveiligingsfouten en 12 RCE Kwetsbaarheden Gerepareerd

Op de Patch Tuesday van januari 2024 heeft Microsoft beveiligingsupdates uitgebracht voor in totaal 49 kwetsbaarheden, waaronder 12 remote code execution (RCE) bugs. Van deze kwetsbaarheden zijn er slechts twee als kritiek geclassificeerd: een Windows Kerberos Security Feature Bypass en een Hyper-V RCE. De fouten zijn onderverdeeld in verschillende categorieën: 10 Elevation of Privilege, 7 Security Feature Bypass, 11 Information Disclosure, 6 Denial of Service, en 3 Spoofing kwetsbaarheden. Naast deze 49 fouten zijn er ook 4 kwetsbaarheden in Microsoft Edge op 5 januari gerepareerd. Microsoft heeft een bijzondere Office Remote Code Execution Kwetsbaarheid, getracked als CVE-2024-20677, gerepareerd. Deze fout stelde kwaadwillenden in staat om kwaadaardige Office-documenten met ingesloten FBX 3D-modelbestanden te creëren voor het uitvoeren van remote code. Als reactie hierop heeft Microsoft de mogelijkheid om FBX-bestanden in te voegen in diverse Office-versies uitgeschakeld. Een andere kritische fout, een Windows Kerberos bug (CVE-2024-20674), maakte het mogelijk voor aanvallers om de authenticatiefunctie te omzeilen. Deze kon worden uitgebuit door middel van een machine-in-the-middle (MITM) aanval of andere lokale netwerk spoofing technieken. Naast Microsoft hebben ook andere bedrijven zoals Cisco, Google, Ivanti, en SAP beveiligingsupdates uitgebracht voor diverse kwetsbaarheden. De volledige lijst van opgeloste kwetsbaarheden in de Patch Tuesday updates van januari 2024 is beschikbaar in het volledige rapport. Deze updates benadrukken het belang van continue waakzaamheid en regelmatige updates in het kader van cybersecurity. [1]

Kwetsbaarheden in Bosch Moeraanzetters Bedreigen Autoproductielijnen

Onlangs heeft Nozomi Networks, een securitybedrijf, ontdekt dat er significante kwetsbaarheden bestaan in de moeraanzetters van Bosch, die gebruikt worden in autoproductielijnen. Deze kwetsbaarheden kunnen leiden tot ernstige sabotage, inclusief het infecteren van de apparaten met ransomware of het aanpassen van instellingen waardoor moeren en bouten minder strak worden aangedraaid. Deze Bosch Rexroth moeraanzetters, essentieel voor het aandraaien van onderdelen in voertuigen, kunnen verbonden worden met een wifi-netwerk via een wifi-module. Dit maakt het mogelijk om data uit te wisselen of het apparaat opnieuw te programmeren. De apparaten beschikken ook over een display dat diverse waarden weergeeft, zoals het koppel waarmee een moer is aangedraaid. Het onderzoeksteam van Nozomi Networks heeft maar liefst 25 kwetsbaarheden geïdentificeerd. Deze omvatten SQL injectie, path traversal, hardcoded wachtwoorden, en buffer overflows. Deze kwetsbaarheden kunnen het voor een aanvaller mogelijk maken om code met rootrechten uit te voeren op de apparaten. Twee van de ontdekte beveiligingslekken zijn beoordeeld met een 8.8 op een schaal van 1 tot 10 qua impact. Voor een succesvolle aanval moet een aanvaller echter wel in staat zijn een pakket naar de moeraanzetter te sturen, wat betekent dat het netwerk van de autofabriek eerst gecompromitteerd moet worden. Mogelijke aanvallen variëren van het installeren van ransomware, wat een gehele productielijn kan stilleggen, tot het onopgemerkt aanpassen van de configuratie. Hierdoor zouden moeren minder strak aangedraaid worden, met mogelijk onjuiste waarden weergegeven op het display. Bosch is op de hoogte gesteld van deze kwetsbaarheden en heeft aangegeven eind deze maand firmware-updates uit te brengen om de problemen te verhelpen. [1, 2]

Belangrijke Kwetsbaarheden Ontdekt in QNAP en Kyocera Device Manager

Recent zijn er ernstige beveiligingskwetsbaarheden ontdekt in producten van QNAP en Kyocera. Gebruikers van deze apparaten worden dringend aangeraden hun systemen te updaten om mogelijke aanvallen te voorkomen. Bij Kyocera's Device Manager is een kwetsbaarheid aan het licht gekomen die aanvallers in staat stelt om de authenticatiepogingen naar hun eigen kwaadaardige bronnen, zoals een SMB-share, te leiden. Dit kan leiden tot het onderscheppen of doorsturen van gehashte Active Directory-gegevens. Deze kwetsbaarheid, geïdentificeerd als CVE-2023-50916, wordt veroorzaakt door een padoverschrijdingsprobleem dat aanvallers toelaat om een lokaal pad naar een backuplocatie te wijzigen. Dit kan resulteren in ongeautoriseerde toegang en datadiefstal. Kyocera heeft deze kwetsbaarheid verholpen in versie 3.1.1213.0 van hun DeviceManager. QNAP heeft ook updates uitgebracht voor meerdere kwetsbaarheden in hun producten, waaronder QTS en QuTS hero, QuMagie, Netatalk en Video Station. Deze omvatten onder andere een prototype pollution kwetsbaarheid (CVE-2023-39296) die het systeem kan laten crashen. Andere opvallende kwetsbaarheden zijn onder meer een XSS-kwetsbaarheid in QuMagie (CVE-2023-47559), een OS command injection kwetsbaarheid in QuMagie (CVE-2023-47560), een SQL-injectie in Video Station (CVE-2023-41287), en nog een OS command injection kwetsbaarheid in Video Station (CVE-2023-41288). QNAP heeft deze kwetsbaarheden aangepakt in recente versie-updates. Hoewel er geen bewijs is dat deze kwetsbaarheden actief zijn uitgebuit, wordt gebruikers aangeraden om hun installaties bij te werken naar de nieuwste versies om potentiële risico's te beperken. [1, 2, 3]

Recordaantal van 29.000 CVE-kwetsbaarheden Geregistreerd in 2023

In 2023 werden er ongeveer 29.000 kwetsbaarheden geregistreerd op de Common Vulnerabilities and Exposures (CVE)-lijst, een stijging ten opzichte van de 25.000 in het voorgaande jaar. De CVE-lijst, opgericht in 1999, voorziet elke kwetsbaarheid van een uniek nummer om het volgen en delen van informatie over kwetsbaarheden en de beoordeling van beveiligingsproducten te vergemakkelijken. Elk CVE-nummer bestaat uit de letters CVE, gevolgd door een jaartal en een uniek getal van vijf cijfers. Deze nummers worden uitgegeven door een CVE Numbering Authority (CNA). Aan CVE-nummers kan een impactscore worden toegekend op een schaal van 1 tot 10.0. In het afgelopen jaar waren er 36 kwetsbaarheden die de maximale score van 10.0 ontvingen. Jerry Gamblin, een engineer bij Cisco, analyseerde deze gegevens en merkte op dat CVE-2023-21928, een beveiligingslekin Oracle Solaris, de laagste impactscore had, namelijk 1.8. Bij het analyseren van de soorten kwetsbaarheden bleek cross-site scripting het meest voorkomend met ruim vijftien procent, gevolgd door SQL-injectie en out-of-bounds write. Gamblin gebruikte een Kalman Filter om te voorspellen dat in het huidige jaar naar verwachting ongeveer 32.600 kwetsbaarheden geregistreerd zullen worden. Het is belangrijk op te merken dat niet alle ontdekte of verholpen kwetsbaarheden een CVE-nummer krijgen toegewezen. Deze toename in het aantal geregistreerde kwetsbaarheden benadrukt het voortdurende belang van waakzaamheid en proactieve beveiligingsmaatregelen in de digitale wereld. [1]

Kritieke Kwetsbaarheden in Apache RocketMQ Trekken Hackers Aan

Sinds begin 2024 is er een toename van cyberaanvallen gericht op Apache RocketMQ-servers, waarbij hackers misbruik maken van ernstige kwetsbaarheden. Deze kwetsbaarheden, geïdentificeerd als CVE-2023-33246 en CVE-2023-37582, stellen aanvallers in staat op afstand commando's uit te voeren. Ondanks een initiële poging tot reparatie in mei 2023, bleven de problemen bestaan, vooral in de NameServer-component van RocketMQ. Deze kwetsbaarheden hebben kritieke ernstscores en beïnvloeden meerdere onderdelen van RocketMQ, waaronder NameServer, Broker, en Controller. De eerste patch van Apache was onvolledig voor de NameServer-component, waardoor versies 5.1 en ouder kwetsbaar bleven. Onderzoekers adviseren een update naar NameServer versie 5.1.2/4.9.7 of hoger voor RocketMQ 5.x/4.x om de kwetsbaarheden te verhelpen. Aanvallers kunnen deze kwetsbaarheden uitbuiten door de configuratie-updatefunctie op de NameServer te gebruiken, vooral als het adres van de NameServer online is blootgesteld zonder adequate permissiecontroles. Deze situatie stelt aanvallers in staat commando's uit te voeren met dezelfde rechten als het systeem waarop RocketMQ draait. Het ShadowServer Foundation heeft honderden hosts geregistreerd die scannen op online blootgestelde RocketMQ-systemen, waarbij sommigen proberen de kwetsbaarheden te misbruiken. De aanvallen kunnen deel uitmaken van verkenning, exploitatiepogingen of onderzoek naar blootgestelde endpoints. De kwetsbaarheden trokken de aandacht van hackers vanaf augustus 2023, toen een nieuwe versie van het DreamBus-botnet een exploit voor CVE-2023-33246 gebruikte om Monero-miners te installeren op kwetsbare servers. In september 2023 waarschuwde de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) federale instanties om de kwetsbaarheid te patchen vanwege actieve exploitatie. [1, 2, 3, 4]

Kritieke Kwetsbaarheid in Ivanti EPM Stelt Hackers in Staat Apparaten Over te Nemen

Ivanti heeft een kritieke kwetsbaarheid hersteld in hun Endpoint Management software (EPM), die het mogelijk maakte voor niet-geauthenticeerde aanvallers om apparaten of de hoofdserver over te nemen. Deze software wordt gebruikt voor het beheer van cliëntapparaten op verschillende platformen zoals Windows, macOS, Chrome OS en IoT-besturingssystemen. De beveiligingsfout, aangeduid als CVE-2023-39336, was aanwezig in alle ondersteunde versies van Ivanti EPM en is opgelost in de update '2022 Service Update 5'. Aanvallers binnen het interne netwerk van een doelwit konden de kwetsbaarheid uitbuiten in aanvallen met lage complexiteit, zonder dat daarvoor speciale privileges of gebruikersinteractie nodig waren. De kwetsbaarheid stelde aanvallers in staat om via SQL-injectie willekeurige SQL-query's uit te voeren en resultaten op te halen zonder authenticatie. Dit kon leiden tot controle over machines met de EPM-agent geïnstalleerd, en bij gebruik van SQL Express op de hoofdserver, kon dit resulteren in externe code-uitvoering op die server. Ivanti heeft aangegeven dat er geen bewijs is dat klanten zijn getroffen door exploitatie van deze kwetsbaarheid. Om klanten extra tijd te geven hun apparaten te beveiligen, beperkt Ivanti de openbare toegang tot volledige details van CVE-2023-39336. Eerder werden in juli twee zero-day fouten in Ivanti's Endpoint Manager Mobile (EPMM), voorheen bekend als MobileIron Core, uitgebuit door staat-geaffilieerde hackers om Noorse overheidsnetwerken te infiltreren. Een derde zero-day fout in Ivanti's Sentry software werd een maand later uitgebuit in aanvallen. Ivanti heeft ook meerdere kritieke beveiligingskwetsbaarheden gepatcht in hun Avalanche enterprise mobile device management (MDM) oplossing. Ivanti's producten worden wereldwijd gebruikt door meer dan 40.000 bedrijven voor het beheer van hun IT-middelen en -systemen. [1]

Google Pakt Kritiek Veiligheidslek in Android met Qualcomm-Chipset Aan

In januari 2024 heeft Google een kritiek beveiligingslek in Android-telefoons met Qualcomm-chipsets aangepakt door 59 kwetsbaarheden te verhelpen. Dit lek maakte het mogelijk voor kwaadaardige apps om zonder gebruikersinteractie extra rechten te verkrijgen, zoals ongeautoriseerde toegang tot data of het uitvoeren van niet-toegestane acties. Deze kwetsbaarheid werd door Google als 'high' impact beoordeeld. Naast de Android-specifieke kwetsbaarheden, loste Google ook problemen op in onderdelen van chipfabrikanten zoals Qualcomm, MediaTek en Arm. Drie van deze kwetsbaarheden werden als kritiek bestempeld. Twee hiervan konden alleen lokaal misbruikt worden, wat betekent dat een aanvaller fysieke toegang tot het apparaat nodig had. Het derde lek, geïdentificeerd als CVE-2023-33025, was ernstiger omdat het op afstand kon worden misbruikt. Dit lek, aanwezig in de datamodem van sommige Qualcomm-chipsets, kon leiden tot een buffer overflow tijdens een VOLTE-gesprek, waardoor een aanvaller willekeurige code kon uitvoeren. Dit lek werd beoordeeld met een 9.8 op een schaal van 1 tot 10. Google hanteert patchniveaus om updates te classificeren. Android-toestellen die de januari-updates ontvangen, krijgen '2024-01-01' of '2024-01-05' als patchniveau. Fabrikanten moeten deze updates integreren in hun eigen systemen en uitrollen naar gebruikers. De updates zijn beschikbaar voor Android-versies 11, 12, 12L, 13 en 14. Echter, niet alle Android-apparaten zullen deze updates ontvangen, afhankelijk van de ondersteuning van de fabrikant en de uitrolplanning. [1]

SMTP Smuggling: Een Nieuwe Kwetsbaarheid die E-mailbeveiliging Omzeilt

Een recent ontdekte kwetsbaarheid in het Simple Mail Transfer Protocol (SMTP), bekend als SMTP Smuggling, stelt cybercriminelen in staat om vervalste e-mails met vervalste afzenderadressen te verzenden en beveiligingscontroles te omzeilen. Deze techniek misbruikt kwetsbare SMTP-servers over de hele wereld, waardoor phishingaanvallen met valse e-mails van willekeurige e-mailadressen mogelijk worden. SMTP is een protocol binnen TCP/IP voor het verzenden en ontvangen van e-mailberichten via een netwerk. Bij het versturen van een bericht wordt een SMTP-verbinding opgezet tussen de e-mailclient en de server om de inhoud van de e-mail te verzenden. De server gebruikt vervolgens een mail transfer agent (MTA) om het domein van het e-mailadres van de ontvanger te controleren. Als dit verschilt van de afzender, zoekt het in het Domain Name System (DNS) naar het MX-record van het domein van de ontvanger om de e-mailuitwisseling te voltooien. De kern van SMTP Smuggling ligt in de inconsistenties die ontstaan wanneer uitgaande en inkomende SMTP-servers verschillend omgaan met het einde van datareeksen. Dit stelt aanvallers in staat om willekeurige SMTP-commando's te "smokkelen" en zelfs aparte e-mails te verzenden. Deze methode lijkt op HTTP request smuggling, waarbij verschillen in de interpretatie en verwerking van HTTP-headers worden uitgebuit. De kwetsbaarheid treft messaging servers van Microsoft, GMX en Cisco, waardoor e-mails kunnen worden verzonden die miljoenen domeinen vervalsen. Ook SMTP-implementaties van Postfix en Sendmail zijn getroffen. Dit maakt het mogelijk om vervalste e-mails te versturen die afkomstig lijken te zijn van legitieme afzenders en die bestaande authenticatiecontroles zoals DKIM, DMARC en SPF omzeilen. Microsoft en GMX hebben de problemen aangepakt, maar Cisco beschouwt de bevindingen niet als een 'kwetsbaarheid', maar als een 'functie', en heeft aangegeven de standaardconfiguratie niet te wijzigen. Hierdoor is inkomende SMTP Smuggling naar Cisco Secure Email instances nog steeds mogelijk met standaardconfiguraties. Als oplossing adviseert SEC Consult Cisco-gebruikers hun instellingen te wijzigen van "Clean" naar "Allow" om vervalste e-mails met geldige DMARC-controles te vermijden. [1]

⚠️ Toename van Zerodaylekken in 2023: Apple aan de Top

In 2023 registreerde Google een significante toename in het aantal actief gebruikte zerodaylekken vergeleken met 2022, met Apple als voornaamste betrokkene. In totaal identificeerde Google 56 kwetsbaarheden in veelgebruikte software, waarbij er geen beveiligingsupdates beschikbaar waren op het moment van de aanvallen. Dit is een stijging ten opzichte van de 41 zerodaylekken in 2022. Van deze 56 kwetsbaarheden werden er 20 in Apple's software gevonden, voornamelijk in iOS en WebKit. Deze lekken zijn onder meer gebruikt voor het infecteren van iPhones met spyware. Microsoft en Google volgden, met respectievelijk veertien en tien zerodaylekken in hun software. De kwetsbaarheden in Android en Chrome zijn daarbij opmerkelijk. Naast deze bedrijven waren ook componenten van Android van ARM, Qualcomm en Samsung doelwit van aanvallen. In totaal werden er negen zerodays geregistreerd die Android betroffen. Daarnaast zijn zerodaylekken ontdekt in andere veelgebruikte software zoals WinRAR, Zimbra, Adobe Reader, Atlassian Confluence en Barracuda Email Security Gateway.

0 Day In The Wild Google Spreadsheets
PDF – 72,1 KB 28 downloads

Kritieke SSH Protocol Kwetsbaarheid 'Terrapin' Ontdekt"

Onderzoekers van de Ruhr Universiteit Bochum hebben een kritieke kwetsbaarheid in het Secure Shell (SSH) cryptografische netwerkprotocol ontdekt. Deze kwetsbaarheid, genaamd 'Terrapin' (CVE-2023-48795, CVSS-score: 5.9), maakt het mogelijk voor aanvallers om de beveiliging van een SSH-verbinding te verlagen. Dit wordt beschouwd als de eerste praktisch uitvoerbare aanval op de integriteit van het SSH-protocol via het verwijderen van berichten aan het begin van de beveiligde verbinding zonder dat de client of server dit merkt. SSH wordt gebruikt voor het veilig verzenden van commando's over een onbeveiligd netwerk en vertrouwt op cryptografie om verbindingen tussen apparaten te authenticeren en te versleutelen. Tijdens de zogenaamde 'handshake' komen een client en server overeen over cryptografische methoden en wisselen ze sleutels uit om een beveiligd kanaal op te zetten. Echter, een aanvaller in een actieve 'adversary-in-the-middle' (AitM) positie kan de beveiliging van een SSH-verbinding verlagen door de extensieonderhandeling te manipuleren. Dit leidt tot het gebruik van minder veilige authenticatiealgoritmen en deactivatie van specifieke tegenmaatregelen tegen toetsaanslag-timingaanvallen in OpenSSH 9.5. De kwetsbaarheid is vooral riskant in scenario's waarbij een aanvaller gevoelige gegevens kan onderscheppen of controle kan krijgen over kritieke systemen met beheerdersrechten. Dit risico is aanzienlijk voor organisaties met grote, onderling verbonden netwerken die toegang bieden tot gevoelige gegevens. De fout beïnvloedt vele SSH-client- en serverimplementaties, waaronder OpenSSH, Paramiko, PuTTY, KiTTY, WinSCP, libssh, libssh2, AsyncSSH, FileZilla en Dropbear. Onderhoudsteams van deze implementaties hebben patches uitgebracht om de risico's te verkleinen. Het is cruciaal voor bedrijven om ervoor te zorgen dat hun servers gepatcht zijn. Echter, een kwetsbare client die verbinding maakt met een gepatchte server resulteert nog steeds in een kwetsbare verbinding. Daarom moeten bedrijven stappen ondernemen om elke kwetsbare instantie binnen hun infrastructuur te identificeren en onmiddellijk te mitigeren. [1, 2, 3, 4]

Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Maandoverzicht: Cyberkwetsbaarheden in focus