First click here and then choose your language with the Google translate bar at the top of this page ↑
Kwetsbaarheden CVE's
2022 | 2021
LAATSTE WIJZIGING: 28-september-2022
Google verhelpt kwetsbaarheden in Developer Tools van Chrome
Google heeft een nieuwe versie van Chrome uitgerold die in totaal twintig kwetsbaarheden verhelpt, waaronder in de Developer Tools van de browser. De Chrome DevTools bestaat uit een verzameling van allerlei tools waarmee het mogelijk is om onderdelen van een geopende website of applicaties aan te passen. Het wordt onder andere gebruikt bij de ontwikkeling en debugging van webapplicaties. Het onderdeel van de browser gaat niet goed om met invoer waardoor een aanvaller code binnen de browser kan uitvoeren. Ook bij het verwerken van CSS-code, media en de Survey-feature is dit mogelijk. De impact van vijf van de twintig verholpen beveiligingslekken is beoordeeld met 'high'. Het gaat in dit geval om kwetsbaarheden waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Verdere details over de kwetsbaarheden zijn nog niet door Google openbaar gemaakt. De update naar Chrome 106.0.5249.61 voor Linux en macOS en Chrome 106.0.5249.61/62 voor Windows zal op de meeste systemen automatisch worden geïnstalleerd. In het geval van kwetsbaarheden met een "high" impact kan dit echter tot zestig dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren.
WhatsApp waarschuwt gebruikers voor twee kritieke kwetsbaarheden
WhatsApp waarschuwt de ongeveer twee miljard actieve gebruikers die het heeft voor twee kritieke kwetsbaarheden waardoor een aanvaller code op het onderliggende systeem kan uitvoeren. Beide beveiligingslekken zijn inmiddels verholpen. De eerste kwetsbaarheid (CVE-2022-36934) betreft een integer overflow en kan zich voordoen bij een videogesprek, waardoor vervolgens remote code execution mogelijk is. Het tweede beveiligingslek (CVE-2022-27492) is een integer underflow en leidt ook tot het remote uitvoeren van code, alleen dan bij het openen van een speciaal geprepareerd videobestand. Verdere details over beide kwetsbaarheden zijn niet gegeven, behalve dat die zijn verholpen in WhatsApp Android versie 2.22.16.12, WhatsApp Business for Android versie 2.22.16.12, WhatsApp iOS versie 2.22.16.12 en WhatsApp Business for iOS versie 2.22.16.12. Voor zover bekend wordt er geen misbruik van de kwetsbaarheden gemaakt. In 2019 liet toenmalig moederbedrijf Facebook nog weten dat zeker 1400 WhatsApp-gebruikers via een kritieke kwetsbaarheid in de chat-app met de Pegasus-spyware besmet waren geraakt. Zerodium, een bedrijf dat beveiligingslekken van onderzoekers inkoopt, betaalt bedragen van 1 miljoen en 1,5 miljoen dollar voor kwetsbaarheden die remote code execution mogelijk maken.
Sophos waarschuwt voor actief aangevallen kwetsbaarheid in firewall
Securitybedrijf Sophos waarschuwt klanten voor een actief aangevallen kwetsbaarheid in de firewall-oplossing die het biedt waardoor een aanvaller willekeurige code op het onderliggende systeem kan uitvoeren. Eerder dit jaar was de Sophos Firewall ook al het doelwit van aanvallen, toen via een ander kritiek beveiligingslek. De nieuwe kwetsbaarheid (CVE-2022-3236) is aanwezig in de User Portal en Webadmin van de Sophos Firewall en maakte remote code execution mogelijk. Volgens Sophos wordt het beveiligingslek gebruikt bij aanvallen tegen een "klein aantal specifieke organisaties", voornamelijk in de Zuid-Aziatische regio. In maart van dit jaar werden organisaties in dit gebied via een andere kwetsbaarheid (CVE-2022-1040) aangevallen. Verdere details over de huidige aanvallen zijn niet gegeven. Sophos heeft een beveiligingsupdate uitgebracht om het probleem te verhelpen. Daarnaast stelt het securitybedrijf dat klanten zich kunnen beschermen door de User Portal en Webadmin niet toegankelijk vanaf internet te maken door de WAN-toegang hiertoe volledig uit te schakelen en in plaats daarvan een vpn te gebruiken.
Toename van aanvallen op webwinkels via Magento-lek
Er is een toename van het aanvallen op webwinkels waarbij een kritieke kwetsbaarheid in webshopsoftware Magento wordt gebruikt, zo stelt securitybedrijf Sansec. Adobe bracht in februari een noodpatch voor de kwetsbaarheid uit, die al voor het uitkomen van de update werd ingezet voor het compromitteren van webwinkels. Inmiddels zijn er meer dan zeven maanden verstreken, maar zijn er nog altijd webwinkels die nagelaten hebben de update te installeren. Op het moment dat Adobe de noodpatch uitrolde werd het lek volgens het softwarebedrijf bij "zeer beperkte gerichte aanvallen" ingezet. Volgens Sansec wint het gebruik van CVE-2022-24086 inmiddels onder cybercriminelen aan populariteit en is de kwetsbaarheid bij de meeste zaken die het onderzoekt betrokken. Via het beveiligingslek installeren aanvallers een remote acces trojan op de server waarmee er ook volledige toegang tot de database van de webwinkel wordt verkregen. Webwinkels die de Magento-update nog niet hebben geïnstalleerd worden opgeroepen dit alsnog te doen.
Systemen Albanese overheid geïnfiltreerd via drie jaar oud SharePoint-lek
De aanvallers die eerder dit jaar systemen van de Albanese overheid via ransomware en wiper-malware platlegden, hadden al veertien maanden toegang. Deze toegang hadden ze gekregen via een kwetsbaarheid in Microsoft Sharepoint (CVE-2019-0604) waarvoor Microsoft op 12 februari 2019 een beveiligingsupdate had uitgebracht. Deze patch was echter niet geïnstalleerd. Dat stellen de Amerikaanse autoriteiten en Microsoft, die vanuit Iran opererende actoren voor de aanval verantwoordelijk houden. De afgelopen maanden werden meerdere systemen van de Albanese overheid het doelwit van aanvallen, waaronder de overheidsportaal waar Albanezen officiële documenten kunnen aanvragen en afspraken met het consulaat kunnen maken. Eerder deze maand werd het informatiemanagementsysteem van de Albanese politie getroffen, dat informatie bevat over mensen die het land binnenkomen en verlaten. Bij de aanvallen werden bestanden versleutelt en permanent gewist via wiper-malware. Volgens de FBI en het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) hadden de aanvallers al sinds vorig jaar toegang tot de Albanese overheidssystemen. Eerder liet ook Microsoft dit weten. De aanvallers zijn volgens de Amerikaanse overheidsdiensten binnengekomen via een ongepatchte SharePoint-server. Vervolgens werden webshells gebruikt om toegang tot de server te behouden en RDP, SMB en FTP om zich lateraal door het overheidsnetwerk te bewegen. De aanvallers wisten vervolgens ook een Exchange Server te compromitteren en verschillende mailboxes te doorzoeken. Uiteindelijk werd de ransomware en wiper-malware ingezet, waardoor systemen onbruikbaar achterbleven. Om dergelijke aanvallen te voorkomen adviseert het CISA onder andere om beschikbare beveiligingsupdates te installeren en de eigen omgeving op webshells te controleren, aangezien aanvallers deze programma's vaak gebruiken om toegang tot een gecompromitteerde server te behouden. Verder wordt aangeraden om Exchange Servers te monitoren op grote hoeveelheden data die worden gedownload.
Mozilla verbetert stabiliteit Firefox en dicht meerdere kwetsbaarheden
Mozilla heeft een nieuwe versie van Firefox uitgerold, die onder andere stabieler op Linux en Windows zou moeten werken en meerdere kwetsbaarheden verhelpt. Firefox 105 reageert volgens Mozilla beter op situaties waarbij er opeens weinig geheugen op Windowscomputers beschikbaar is. Ook in het geval van Linux presteert de browser nu beter bij weinig beschikbaar geheugen. Verder zijn er met Firefox 105 in totaal zeven kwetsbaarheden verholpen, waarvan er drie een impactbeoordeling van "high" hebben gekregen. Deze kwetsbaarheden zouden mogelijk tot een situatie kunnen leiden waarbij een aanvaller in het ergste geval willekeurige code kan uitvoeren. De nieuwste Firefox-versie is beschikbaar via de automatische updatefunctie en Mozilla.org.
Leverancier laat kritiek lek in beheersysteem voor watertanks ongemoeid
Een leverancier van beheersystemen voor watertanks laat een kritieke kwetsbaarheid, waardoor een aanvaller eenvoudig op afstand de instellingen kan aanpassen, ongemoeid. Daarvoor waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Het gaat om het TMS300 CS watertankbeheersysteem van Kingspan. Via dit systeem is het mogelijk om tot achttien watertanks te beheren. Het systeem, dat wereldwijd wordt gebruikt, is via een simkaart remote toegankelijk, maar kan ook op andere manieren worden aangesloten en gemonitord. Beveiligingsonderzoeker Maxim Rupp ontdekte dat het mogelijk is voor een aanvaller om zonder inloggegevens de instellingen van het systeem te bekijken en aan te passen. Hiervoor hoeft de aanvaller alleen een specifieke url te kennen. Vanwege de eenvoud waarmee de kwetsbaarheid (CVE-2022-2757) is te misbruiken en de gevolgen die het kan hebben is de impact op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het CISA waarschuwde Kingspan voor de kwetsbaarheid, maar volgens de Amerikaanse overheidsinstantie heeft het bedrijf geen reactie gegeven om het probleem te verhelpen. Bedrijven die van het systeem gebruikmaken wordt dan ook aangeraden om de toegang ertoe zoveel mogelijk te beperken, bijvoorbeeld door gebruik te maken van een vpn of firewall.
Nieuwe Chrome-beveiliging moet misbruik use-after-free bugs voorkomen
Google heeft Chrome van een nieuwe beveiliging voorzien die misbruik van use-after-free bugs moet voorkomen. Meer dan de helft van alle ernstige kwetsbaarheden die in het eerste kwartaal van dit jaar in Chrome werden gevonden waren use-after-free bugs. Deze kwetsbaarheden doen zich voor wanneer een programma, na het vrijmaken van geheugen, niet de pointer die hiernaar wijst op null zet. Wanneer het programma vervolgens het vrijgemaakte geheugen voor een ander object gebruikt, bijvoorbeeld door een aanvaller ingevoerde data, zal de 'dangling' pointer hier nu naar wijzen. Dit kan leiden tot crashes of in het ergste geval tot het uitvoeren van code van de aanvaller. Om misbruik van dergelijke kwetsbaarheden binnen Chrome te voorkomen ontwikkelde Google "MiraclePtr", een technologie waarbij de codebase wordt herschreven om een "nieuw slim pointertype" te gebruiken, stelt Adrian Taylor van het Google MiraclePtr-team. Zo heeft het team meer dan 15.000 "raw pointers" in de codebase van Chrome herschreven, waarvoor nu het nieuwe pointertype wordt gebruikt. De oplossing zorgt ervoor dat een bepaalde geheugenregio eerst in quarantaine wordt geplaatst en pas wordt vrijgegeven als de 'dangling' pointer hier niet meer naar wijst. Daarnaast vindt er nog een bewerking op het geheugen in quarantaine plaats, om zo misbruik van eventuele use-after-free bugs verder te voorkomen. Taylor verwacht dat MiraclePtr ongeveer de helft van alle aanvallen waarbij misbruik wordt gemaakt van use-after-free bugs kan voorkomen. De nieuwe bescherming heeft wel impact op het geheugenverbruik van Chrome, aangezien dat op Android tot 5 procent en op Windows tot 6,5 procent toeneemt. Hoewel de technologie nu aan Chrome is toegevoegd, is MiraclePtr nog niet onder alle gebruikers uitgerold.
Microsoft roept organisaties op om Internet Explorer 11 nu al uit te schakelen
Afgelopen juni stopte Microsoft de ondersteuning van Internet Explorer 11 op Windows 10. Het uiteindelijke uitfaseren van de browser vindt in de twee fases plaats. Microsoft roept organisaties nu op om hier niet op te wachten en zelf alvast te beginnen met het uitfaseren van Internet Explorer 11 via de "Disable IE Policy", bij voorkeur voor 1 november van dit jaar. Tijdens de eerste fase van het uitfaseringsproces worden gebruikers bij het gebruik van IE11 doorgestuurd naar Microsoft Edge. Om binnen organisaties grote verstoringen te voorkomen zullen niet alle systemen tegelijkertijd naar Edge worden doorgestuurd. Op deze manier moeten eventuele problemen met bijvoorbeeld interne applicaties en websites snel zijn te identificeren. Deze "redirection" fase zal de komende maanden op alle Windows 10-systemen plaatsvinden waar IE11 wordt uitgefaseerd. Tijdens de tweede fase zal Internet Explorer 11 via een toekomstige Windows-update permanent worden uitgeschakeld. Dit zal via het standaard Windows-updateproces plaatsvinden. Organisaties die al klaar zijn om afscheid van IE11 te nemen worden door Microsoft opgeroepen om de Disable IE Policy te gebruiken, zodat ze meer controle over het uitfaseringsproces hebben. "Door van deze policy gebruik te maken kun je met je gebruikers je eigen planning maken en de overgang overeenkomstig communiceren. Je kunt helemaal zelf bepalen wanneer IE in je omgeving wordt uitgefaseerd", aldus Microsofts Bailey Reid. Zodra organisaties de Disable IE Policy inschakelen wordt alle IE-activiteit naar Edge doorgestuurd. Ook worden IE11-iconen van het Startmenu en Taakbalk verwijderd. Aangezien veel organisaties tegen het einde van het jaar geen grote it-aanpassingen meer doorvoeren en er ook rekening met de feestdagen gehouden moet worden, adviseert Microsoft om de Disable IE Policy voor 1 november toe te passen om zo verrassingen en verstoringen te voorkomen, mochten interne websites die alleen met IE werken zijn gemist.
Microsoft negeert ernstige kwetsbaarheid in Teams
De desktopversie van Microsoft Teams slaat de inloggegevens van gebruikers zonder versleuteling op. Onderzoekers informeerden Microsoft over de kwetsbaarheid, maar de techgigant negeerde het probleem. De kwetsbaarheid werd gevonden door securitybedrijf Vectra. De desktopversie van Teams bewaart niet-versleutelde user authentication tokens. User authentication tokens maken het mogelijk om op de account van een gebruiker in te loggen, ongeacht of de gebruiker meerstapsverificatie gebruikt. Het gebrek aan versleuteling stelt hackers in staat om de tokens te misbruiken. De tokens worden opgeslagen op het apparaat waarop Teams is geïnstalleerd. Een hacker met toegang tot het apparaat heeft toegang tot de tokens. “Deze aanval vereist geen machtigingen of geavanceerde malware”, vertelde securityprofessional Connor Peoples namens Vectra. De kwetsbaarheid is aanwezig in de desktopversies voor Windows, Linux en Mac. Vectra informeerde Microsoft in augustus 2022 over het probleem. Volgens Vectra vond Microsoft de kwetsbaarheid niet ernstig genoeg voor een patch. Vandaar stapte het securitybedrijf onlangs naar de pers.
Microsoft verhelpt zerodaylek in Windows dat aanvaller systeemrechten geeft
Tijdens de patchdinsdag van september heeft Microsoft een actief aangevallen zerodaylek in Windows verholpen dat een aanvaller die al toegang tot een computer heeft systeemrechten geeft. Ook is een beveiligingslek gepatcht dat 'wormable' is. Het zerodaylek (CVE-2022-37969) bevindt zich in de Windows Common Log File System (CLFS) driver waar Microsoft in april ook al een zeroday in verhielp. Het CLFS is een Windowsonderdeel dat wordt gebruikt voor logging. Het beveiligingslek maakt het niet mogelijk om een systeem op afstand over te nemen. Daarvoor zou een tweede kwetsbaarheid zijn vereist. Naast de combinatie met een tweede kwetsbaarheid is CVE-2022-37969 ook te misbruiken door slachtoffers een malafide app te laten installeren, waarna een aanvaller volledige controle over het systeem kan krijgen, ook al heeft het slachtoffer verminderde rechten. Details over de aanvallen zijn niet gegeven. Maar liefst vier verschillende securitybedrijven, DBAPPSecurity, Mandiant, CrowdStrike en Zscaler, ontdekten het zerodaylek en rapporteerden dit aan Microsoft. Een andere kwetsbaarheid die deze maand opvalt is CVE-2022-34718, aanwezig in de TCP/IP-code van Windows. Door het versturen van een speciaal geprepareerd IPv6-pakket kan een ongeauthenticeerde aanvaller op afstand willekeurige code uitvoeren en zo het systeem overnemen. Er is geen enkele interactie van gebruikers vereist, de computer hoeft alleen toegankelijk voor de aanvaller te zijn. Daardoor heeft het lek, waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 9.8, het stempel 'wormable' gekregen. Er is wel een voorwaarde om misbruik mogelijk te maken. Op de computer moet namelijk IPSec ingeschakeld staan. De beveiligingsupdates van deze maand zullen op de meeste systemen automatisch worden geïnstalleerd.
WordPress-sites op grote schaal aangevallen via zerodaylek in WPGateway
WordPress-sites worden op grote schaal aangevallen via een zerodaylek in WPGateway, een plug-in voor het populaire contentmanagementsysteem, zo meldt securitybedrijf Wordfence. Een beveiligingsupdate van de ontwikkelaar is nog niet beschikbaar. WordPress-beheerders wordt dan ook aangeraden om de plug-in direct te verwijderen totdat er een update is uitgebracht. WPGateway is een betaalde plug-in waarmee gebruikers van de WPGateway-clouddienst vanuit een dashboard hun WordPress-sites kunnen opzetten en beheren. Een kwetsbaarheid in de plug-in, aangeduid als CVE-2022-3180, maakt het mogelijk voor ongeauthenticeerde aanvallers om een malafide beheerder aan de website toe te voegen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Wordfence wil nog geen verdere details over de kwetsbaarheid geven, aangezien een beveiligingsupdate van de ontwikkelaar niet beschikbaar is. Het zerodaylek zou zeker sinds 8 september worden aangevallen. Sindsdien heeft Wordfence naar eigen zeggen 4,6 miljoen aanvallen tegen 280.000 websites waargenomen. Hoeveel websites van WPGateway gebruikmaken is onbekend. Aangezien een update ontbreekt krijgen webmasters het advies om de plug-in direct uit te schakelen totdat er een patch beschikbaar is.
Foto's op vergrendelde iPhone via kwetsbaarheid toegankelijk voor aanvaller
Een kwetsbaarheid in iOS maakt het mogelijk voor een aanvaller met fysieke toegang om foto's op vergrendelde iPhones te bekijken. Apple heeft een beveiligingsupdate uitgebracht om het probleem (CVE-2022-32872) te verhelpen. In mei van dit jaar kwam Apple ook al met een patch voor een soortgelijk probleem. Ook die kwetsbaarheid (CVE-2022-26703) bevond zich, net als nu, in het Shortcuts-onderdeel van iOS. Details over het beveiligingslek, zoals hoe misbruik precies mogelijk is, worden niet door Apple gegeven. Het bedrijf spreekt zelf van een logicaprobleem dat met iOS 15.7 en 16 is opgelost. Problemen waarbij een aanvaller met fysieke toegang het lock screen deels kan omzeilen komen in iOS geregeld voor. Zo bleek het eerder dit jaar mogelijk om bij een vergrendelde iPhone toegang tot locatiegegevens of contacten te krijgen of accountinstellingen van de mobiele provider aan te passen.
FBI waarschuwt ziekenhuizen voor ongepatchte medische apparatuur
De FBI heeft een waarschuwing afgegeven voor ziekenhuizen en andere zorginstellingen over het gevaar van ongepatchte medische apparatuur (pdf). Medische apparaten blijven meestal tien tot dertig jaar in gebruik. Het kan echter voorkomen dat de systemen in deze periode niet meer met updates worden ondersteund of belangrijke beveiligingsfeatures missen, aldus de Amerikaanse opsporingsdienst. Aanvallers kunnen in deze oude medische apparaten kwetsbaarheden vinden en hier misbruik van maken. Niet alleen moeten zorginstellingen alert zijn op ongepatchte medische systemen, apparatuur in de standaardconfiguratie van de fabrikant is vaak ook kwetsbaar voor aanvallen, zo laat de FBI verder weten. Een ander probleem is dat medische apparatuur soms aangepaste software draait waardoor er speciale updateprocedures zijn, wat het uitrollen van patches kan vertragen. Daarnaast zijn medische apparaten soms niet met security in het achterhoofd ontwikkeld, omdat de ontwikkelaars ervan uitgingen dat de apparatuur toch niet aan aanvallers zou worden blootgesteld. Misbruik van kwetsbaarheden in medische apparatuur kan echter de werking van de apparaten, veiligheid van patiënten, vertrouwelijkheid van data en data-integriteit in gevaar brengen. Om de risico's van legacy apparatuur te verminderen adviseert de FBI het gebruik van endpointbeveiliging zoals antivirussoftware, het versleutelen van data op medische apparaten, patchmanagement en het onderwijzen van personeel om potentiële dreigingen te kunnen identificeren en rapporteren.
Kwetsbaarheid in HP Support Assistant kan aanvallen systeemrechten geven
Een kwetsbaarheid in de Support Assistant van HP, die standaard geïnstalleerd staat op desktops en laptops van de fabrikant, maakt het mogelijk voor een aanvaller met toegang tot het systeem om zijn rechten te verhogen en zo volledige controle over de machine te krijgen. HP heeft updates uitgebracht om het probleem te verhelpen. Via de HP-software kunnen gebruikers problemen met hun computer verhelpen en allerlei updates downloaden. Een onderdeel van de Support Assistant, genaamd Performance Tune-up, zou de prestaties van het systeem moeten verbeteren. Dit onderdeel is kwetsbaar voor DLL-hijacking. Hierbij kan een aanvaller zijn kwaadaardige code door een legitiem programma laten uitvoeren. Aangezien de Support Assistant met SYSTEM-rechten draait kan een aanvaller zijn code met deze rechten laten uitvoeren. De kwetsbaarheid (CVE-2022-38395) is alleen te misbruiken door een aanvaller die al toegang tot het systeem heeft. Gezien het feit dat de software standaard geïnstalleerd is en HP-systemen vaak binnen bedrijven worden gebruikt, krijgen gebruikers en organisaties het advies om de software naar versie 9.11 of nieuwer te updaten.
VS verplicht instanties om niet ondersteunde D-Link-routers offline te halen
Alle federale Amerikaanse overheidsinstanties moeten verschillende routers van fabrikant D-Link die niet meer worden ondersteund voor 29 september offline hebben gehaald, zo heeft het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security opgedragen. Aanvallers maken namelijk actief misbruik van kwetsbaarheden in de routers. Het gaat om de DIR-816L, DIR-820L, DIR-880L, DIR-868L, DIR-865L en DIR-860L waarvoor D-Link geen beveiligingsupdates meer uitbrengt. Kwetsbaarheden in de routers (CVE-2022-28958, CVE-2022-26258 en CVE-2018-6530) maken het mogelijk voor aanvallers om de apparaten op afstand over te nemen. Het CISA waarschuwt Amerikaanse federale overheidsinstanties geregeld voor actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer beschikbare updates geïnstalleerd moeten zijn. Aangezien er voor de betreffende routers patches ontbreken wordt nu aangeraden die offline te halen.
Cisco waarschuwt voor vpn-lek in niet meer ondersteunde routers
Cisco heeft opnieuw gewaarschuwd voor een kwetsbaarheid in verschillende niet meer ondersteunde routers en roept klanten wederom op om de apparaten te vervangen. Het beveiligingslek (CVE-2022-20923) bevindt zich in het onderdeel van de Cisco RV110W-, RV130-, RV130W- en RV215W-routers waarmee gebruikers toegang tot het vpn-netwerk van bijvoorbeeld hun organisatie kunnen krijgen. De router laat organisaties een IPSec vpn-server opzetten. Een kwetsbaarheid in het algoritme dat de vpn-wachtwoorden van gebruikers controleert zorgt ervoor dat een aanvaller via zelfgecreëerde inloggegevens op de vpn-server van de router kan inloggen en zo toegang tot het vpn-netwerk kan krijgen. Daarbij is het ook mogelijk om als beheerder in te loggen. De betreffende routers zijn echter end-of-life en worden dan ook niet meer met beveiligingsupdates ondersteund. Cisco roept organisaties op om naar een wel ondersteunde router te migreren. Sinds 2021 heeft Cisco geregeld gewaarschuwd voor tientallen kwetsbaarheden in de vier bovengenoemde routers die niet meer zullen worden verholpen. Afgelopen juni ging het nog om een kritiek beveiligingslek dat het mogelijk maakt om de routers over te nemen.
Androidtelefoons kwetsbaar door kritiek lek in wifi-firmware Qualcomm
Een kritieke kwetsbaarheid in de wifi-firmware van chipgigant Qualcomm maakt het mogelijk om Androidtelefoons op afstand aan te vallen. De impact van het beveiligingslek, aangeduid als CVE-2022-25708, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Google heeft beveiligingsupdates uitgebracht. Tijdens de maandelijkse patchronde van september heeft Google in totaal 51 kwetsbaarheden in Android verholpen. Naast beveiligingslekken in de eigen Androidcode gaat het ook om kwetsbaarheden in software van fabrikanten zoals MediaTek en Qualcomm. Alleen de kwetsbaarheid in de wifi-firmware van Qualcomm is als kritiek aangemerkt. Het gaat om een buffer overflow die zich voordoet bij het verwerken van "keys", waarbij de betreffende invoer niet wordt gecontroleerd. Verdere details worden niet door Qualcomm gegeven, behalve dat een aanvaller op afstand misbruik van de kwetsbaarheid kan maken. Via een buffer overflow kan een aanvaller zijn code op een toestel uitvoeren. De kwetsbaarheid is aanwezig in de volgende chipsets: SD 8 Gen1 5G, SD888 5G, SM7450, WCD9370, WCD9375, WCD9380, WCD9385, WCN6750, WCN6850, WCN6851, WCN6855, WCN6856, WCN7850, WCN7851, WSA8830, WSA8832 en WSA8835. Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de september-updates ontvangen zullen '2022-09-01' of '2022-09-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van september aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 10, 11, 12 en 12L. Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.
NAS-apparaten Zyxel via kritieke kwetsbaarheid op afstand over te nemen
NAS-apparaten van fabrikant Zyxel zijn door middel van een kritieke kwetsbaarheid op afstand over te nemen. Het versturen van een speciaal geprepareerd udp-pakket maakt remote code execution mogelijk, zo waarschuwt Zyxel dat firmware-updates heeft uitgebracht om het probleem te verhelpen. De kwetsbaarheid (CVE-2022-34747) is aanwezig in de Zyxel NAS326, NAS540 en NAS542. Mogelijk is het probleem, dat op een schaal van 1 tot en met 10 beoordeeld is met een 9.8, ook in oudere NAS-apparaten aanwezig. Zyxel stelt dat bovenstaande modellen kwetsbaar zijn en nog met updates worden ondersteund. Gebruikers wordt aangeraden om de beschikbaar gemaakte firmware-updates te installeren. De drie genoemde NAS-modellen zijn in het verleden het doelwit geweest van ransomware-aanvallen en een variant van de beruchte Mirai-malware, die besmette apparaten inzette voor het uitvoeren van ddos-aanvallen.
Oudere D-Link-routers besmet via lek waarvoor geen update beschikbaar is
Onderzoekers hebben een variant van de beruchte Mirai-malware ontdekt die oudere D-Link-routers infecteert via twee bekende kwetsbaarheden waarvoor geen firmware-updates beschikbaar zijn. De betreffende routers worden namelijk niet meer door de fabrikant ondersteund. De twee kwetsbaarheden, aangeduid als CVE-2022-26258 en CVE-2022-28958, zijn respectievelijk aanwezig in de DIR-820L en DIR-816L. Een onderdeel van beide routers gaat niet goed om met bepaalde http-parameters. Door het versturen van een speciaal geprepareerde parameter is remote code execution mogelijk. De impact van beide beveiligingslekken is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Beide kwetsbaarheden werden begin dit jaar geopenbaard. D-Link heeft echter geen firmware-updates uitgebracht. De DIR-816L wordt sinds 1 maart 2016 niet meer ondersteund. De DIR-820L kan sinds 1 november 2017 niet meer op patches rekenen. Aanvallers maken echter nu misbruik van de eerder genoemde kwetsbaarheden om routers met de MooBot-malware te infecteren, zo meldt securitybedrijf Palo Alto Networks. Deze malware gebruikt besmette apparaten onder andere voor het uitvoeren van ddos-aanvallen. D-Link adviseert eigenaren van beide routers om die niet meer te gebruiken.
Opera verhelpt actief aangevallen Chromium-lek in eigen browser
Opera heeft vandaag een update voor de eigen browser uitgebracht waarmee een actief aangevallen zerodaylek wordt verholpen. Google en Microsoft kwamen respectievelijk op 2 en 3 september met beveiligingsupdates voor de kwetsbaarheid. Net als Chrome en Edge is Opera gebaseerd op Chromium, de door Google ontwikkelde opensourcebrowser. De impact van de kwetsbaarheid (CVE-2022-3075) is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de browser-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Details over de aanvallen zijn niet gegeven. Opera-gebruikers worden aangeraden om te updaten naar versie 90.0.4480.84. Volgens Google is de toename van het aantal actief aangevallen zerodaylekken in Chromium-gebaseerde browsers mede te verklaren door het toegenomen marktaandeel. Iets wat al lange tijd een doorn in het oog van Mozilla is, dat waarschuwt voor een nieuw browsermonopolie.
QNAP roept gebruikers op om foto-app wegens ransomware direct te updaten
QNAP roept gebruikers op om de Photo Station-software op hun NAS-apparaat wegens ransomware-aanvallen direct te updaten. Criminelen achter de Deadbolt-ransomware maken gebruik van een kwetsbaarheid in de software om bestanden voor losgeld te versleutelen. Photo Station is een online fotoalbum waarmee gebruikers foto's en video op het NAS-systeem met vrienden en familie via het internet kunnen delen. Beveiligingslekken in deze software zijn eerder bij ransomware-aanvallen gebruikt. De Deadbolt-ransomware heeft het vaker voorzien op QNAP-systemen. Na ontdekking van de recente aanvallen zegt QNAP dat het binnen twaalf uur met een update voor Photo Station is gekomen. Daarnaast adviseert het bedrijf om NAS-apparaten niet direct toegankelijk vanaf internet te maken, maar een vpn of de myQNAPcloud Link-feature te gebruiken. Ook wordt het gebruik van QuMagie als alternatief voor Photo Station aangeraden.
Google verhelpt wederom actief aangevallen zerodaylek in Chrome
Google heeft wederom een beveiligingsupdate uitgebracht wegens een actief aangevallen zerodaylek in Chrome. Eerder was het raak in februari, maart, april, juli en augustus. De nieuwste kwetsbaarheid bevindt zich in Mojo, een onderdeel van de browser voor het starten en beheren van processen. Het onderdeel bleek data onvoldoende te valideren, maar verdere details zijn niet gegeven. De impact van de kwetsbaarheid (CVE-2022-3075) is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google geeft geen details over de doelwitten van de waargenomen aanvallen en hoe ze precies plaatsvinden. Het techbedrijf werd op 30 augustus door een anonieme onderzoeker over het probleem ingelicht. Google Chrome 105.0.5195.102 is beschikbaar voor macOS, Linux en Windows. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Microsoft heeft de kwetsbaarheid ook verholpen in Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd. Google verhielp vorig jaar een recordaantal zerodaylekken in Chrome. Zestien keer werden er patches uitgerold. Volgens het techbedrijf komt de toename van het aantal zeroday-aanvallen door het verdwijnen van Adobe Flash Player, het toegenomen marktaandeel van op Chromium-gebaseerde browsers en dat onderzoekers beter worden in het detecteren van dergelijke aanvallen.
QNAP waarschuwt voor ernstige kwetsbaarheid in ip-camera's Hikvision
NAS-fabrikant QNAP heeft gebruikers gewaarschuwd voor een ernstige kwetsbaarheid in ip-camera's van Hikvision. In Nederland zouden ruim tweeduizend kwetsbare apparaten zijn te vinden. QNAP heeft geen directe relatie met Hikvision, maar biedt software waarmee het mogelijk is om beelden van een ip- of beveiligingscamera op een NAS-apparaat op te slaan en bekijken. Zo kunnen NAS-gebruikers eenvoudig een eigen "surveillancesysteem" opzetten. Hiervoor biedt QNAP de software QVR Proen QVR Elite. Via de software is het mogelijk om de ip-camera's van Hikvision te koppelen. Vorig jaar werd er een ernstige kwetsbaarheid (CVE-2021-36260) in camera's van Hikvision gevonden waardoor het mogelijk is voor aanvallers om die op afstand over te nemen, zonder interactie van gebruikers. Door het versturen van speciaal geprepareerd request is het mogelijk voor een aanvaller om een onbeperkte rootshell op het apparaat te krijgen. De aanvaller hoeft daarbij niet over inloggegevens te beschikken. De enige voorwaarde om de aanval uit te voeren is dat een aanvaller toegang tot de ip-camera heeft. Via de rootshell heeft de aanvaller volledige controle over de ip-camera en kan zo meekijken of malware installeren. Daarnaast is het mogelijk om vanaf de gecompromitteerde camera het achterliggende netwerk aan te vallen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 met een 9.8 beoordeeld. Eerder dit jaar werd bekend dat aanvallers actief misbruik van de kwetsbaarheid maken. Recentelijk meldde securitybedrijf Cyfirma dat het meer dan 80.000 kwetsbare Hikvision-camera's op internet had gevonden, waaronder bijna 2300 in Nederland (pdf). Hoewel de kwetsbaarheid niet direct de producten van QNAP raakt, heeft de NAS-fabrikant wel besloten om vandaag een waarschuwing af te geven en roept gebruikers op om hun Hikvision-camera's te updaten.
TikTok-accounts via één klik te kapen door kwetsbaarheid in Android-app
Een kwetsbaarheid in de Android-app van TikTok maakt het mogelijk voor aanvallers om accounts via één klik te kapen, zo ontdekte Microsoft. TikTok heeft inmiddels een update uitgebracht om het probleem te verhelpen. Volgens Microsoft is er geen misbruik van het beveiligingslek gemaakt, maar waarschuwt gebruikers om geen links van onbetrouwbare bronnen te openen.De twee Android-apps van TikTok hebben bij elkaar 1,5 miljard gebruikers. Het probleem doet zich voor in de manier waarop de TikTok Android-app met deeplinks omgaat. Een deeplink binnen Android is een speciale hyperlink die naar een speciaal onderdeel binnen een app linkt. Wanneer de gebruiker een deeplink opent zal de Android-packagemanager kijken welke geïnstalleerde app de deeplink kan verwerken en stuurt die vervolgens door naar het betreffende app-onderdeel. Via de kwetsbaarheid is het mogelijk voor aanvallers om de TikTok-app een willekeurige url te laten laden en JavaScript te laten uitvoeren. Daarmee is het mogelijk om authenticatietokens van gebruikers te stelen of accountgegevens op te vragen en aan te passen, zoals het aanpassen van TikTok-profielen, versturen van berichten of uploaden van video's in naam van de gebruiker. De enige vereiste is dat een gebruiker op een speciaal geprepareerde link klinkt. Microsoft waarschuwde TikTok, dat in februari van dit jaar een update voor de Android-apps uitbracht. De impact van de kwetsbaarheid (CVE-2022-28799) is op een schaal van 1 tot en met 10 beoordeeld met een 8.3.
Apple dicht aangevallen zerodaylek na twee weken ook in oudere iPhones
Apple heeft een actief aangevallen zerodaylek na twee weken ook in oudere iPhones en iPads verholpen. Op 17 augustus kwam het bedrijf met iOS 15.6.1 en iPadOS 15.6.1, waarmee twee zerodays werden verholpen. De eerste kwetsbaarheid, CVE-2022-32893, bevindt zich in WebKit, de door Apple ontwikkelde browser-engine. Alle browsers op iOS en iPadOS zijn verplicht om van WebKit gebruik te maken. Daarnaast maakt Safari op macOS gebruik van WebKit. Door alleen een kwaadaardige of gecompromitteerde website te bezoeken of een besmette advertentie te zien kan een aanvaller willekeurige code op het systeem uitvoeren. Er is geen verdere interactie van gebruikers vereist. Dergelijke aanvallen worden ook wel een drive-by download genoemd. De tweede kwetsbaarheid, CVE-2022-32894, is aanwezig in de kernel van iOS, iPadOS en macOS. Dit beveiligingslek geeft een aanvaller die al toegang tot het systeem heeft, of een malafide applicatie, de mogelijkheid om kernelrechten te krijgen. Via alleen deze kwetsbaarheid is het niet mogelijk om systemen op afstand over te nemen, maar het is mogelijk om CVE-2022-32893 en CVE-2022-32894 te combineren. Daarmee krijgt een aanvaller volledige controle over het systeem. Precies twee weken later heeft Apple het WebKit-lek (CVE-2022-32893) ook in oudere iPhones en iPads opgelost. Eigenaren van een iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 en iPod touch (zesde generatie) kunnen updaten naar iOS 12.5.6. Apple laat aanvullend weten dat het kernel-lek (CVE-2022-32894) niet in iOS 12 aanwezig is. Updaten kan via de updatefunctie van het toestel of iTunes.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers