Kwetsbaarheden CVE's

2022 | 2021

mei | april | maart | februari | januari 

Update: 21-mei-2022

Mozilla verhelpt kritieke Pwn2Own-kwetsbaarheden in Firefox 100

Mozilla heeft vandaag beveiligingsupdates uitgebracht voor twee kritieke kwetsbaarheden in Firefox waardoor systemen in het ergste geval volledig zijn over te nemen. Alleen het bezoeken van een malafide of gecompromitteerde website of het te zien krijgen van een besmette advertentie zijn voldoende. Er is geen verdere interactie van de gebruiker vereist. De twee beveiligingslekken werden gedemonstreerd tijdens Pwn2Own Vancouver, een jaarlijks terugkerende hackwedstrijd waarbij onderzoekers worden beloond voor het laten zien van onbekende kwetsbaarheden. Beveiligingsonderzoeker Manfred Paul liet afgelopen woensdag 18 mei zien hoe hij via twee kritieke lekken in Firefox het onderliggende besturingssysteem kon overnemen. Voor zijn aanval ontving Paul een beloning van 100.000 dollar.

De twee kwetsbaarheden, aangeduid als CVE-2022-1802 en CVE-2022-1529, zijn beide als kritiek beoordeeld en verholpen in Firefox 100.0.2, Firefox ESR 91.9.1 en Firefox voor Android 100.3. Updaten kan via de automatische updatefunctie of Mozilla.org.

WordPress-websites scholen kwetsbaar door backdoor in plug-in

Onderzoekers hebben in een plug-in voor schoolwebsites die op WordPress draaien een backdoor ontdekt waardoor de betreffende site volledig is over te nemen. De leverancier weet niet wanneer de backdoor aan de code is toegevoegd en op welke manier. Scholen worden opgeroepen om meteen naar de meest recente versie (9.9.7) van "The School Management Pro" plug-in van softwarebedrijf Weblizar te updaten. De plug-in biedt een volledig platform voor onderwijstaken en schoolbeheer, waaronder het bijhouden van onkosten, innen van lesgeld, onderwijs op afstand, aanbieden van online lesmateriaal, aanwezigheidsregistratie, voortgang van leerlingen, inschrijven van nieuwe leerlingen, documentbeheer en andere taken. Alle versies van de plug-in voor versie 9.9.7 bevatten een backdoor. Door middel van deze backdoor kan een ongeauthenticeerde aanvaller willekeurige php-code uitvoeren op websites waarop de plug-in is geïnstalleerd en zo de website volledig overnemen. Dat meldt securitybedrijf Jetpack dat de kwetsbaarheid, aangeduid als CVE-2022-1609, ontdekte. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. De backdoor kwam aan het licht nadat het supportteam van WordPress.com naar Jetpack stapte omdat er kwaadaardige code was ontdekt in een plug-in die op verschillende websites draaide. In eerste instantie werd gedacht dat het hier om illegale plug-ins ging die de websites hadden geïnstalleerd. Het komt vaker voor dat betaalde WordPress-plug-ins op andere sites gratis worden aangeboden maar zijn voorzien van een backdoor. In dit geval bleek de officiële versie van de plug-in de backdoor te bevatten. Jetpack benaderde de leverancier van de plug-in en vroeg informatie over wanneer de backdoor was toegevoegd, hoe dit mogelijk was en welke versies precies kwetsbaar zijn. Weblizar kon de gevraagde informatie niet verstrekken en weet niet wanneer en hoe de backdoor in de code belandde. Hoeveel scholen van de plug-in gebruikmaken is onbekend. Weblizar claimt 270.000 klanten te hebben.

Oracle komt met noodpatch voor lek dat diefstal privédata mogelijk maakt

Oracle heeft buiten de vaste patchcyclus om een noodpatch uitgebracht voor een kwetsbaarheid in de E-Business Suite waardoor het voor een aanvaller zonder inloggegevens mogelijk is om persoonlijke informatie te stelen. E-Business Suite is verzameling bedrijfsapplicaties voor het automatiseren van customer relationship management (CRM), enterprise resource planning (ERP) en supply chain management (SCM) processen binnen organisaties. Maar liefst acht verschillende beveiligingsonderzoekers rapporteerden kwetsbaarheid CVE-2022-21500 aan Oracle. Aangezien het beveiligingslek door een ongeauthenticeerde aanvaller is te misbruiken en diefstal van persoonlijke informatie mogelijk maakt roept Oracle organisaties op om de noodpatch zo snel mogelijk te installeren. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 7.5 en volgens Oracle is misbruik van het lek eenvoudig.

Google: Androidgebruikers doelwit zerodays door overgeslagen Linux-patches

Androidgebruikers konden vorig jaar via een zerodaylek worden aangevallen omdat een oplossing voor de kwetsbaarheid in de Linux-kernel niet als beveiligingsupdate was aangegeven en daardoor niet aan de meeste Androidkernels toegevoegd. Dat stelt Google in een analyse van drie verschillende zerodaycampagnes waar Androidgebruikers in 2021 mee te maken kregen. Volgens het techbedrijf zijn de exploits die bij de aanvallen werden gebruikt ontwikkeld door een bedrijf genaamd Cytrox. Het bedrijf zou de betreffende exploits hebben verkocht aan door overheid gesteunde actoren in Egypte, Armenië, Griekenland, Madagaskar, Ivoorkust, Servië, Spanje en Indonesië. Google merkt op dat het onderzoek naar de aanvallen laat zien dat commerciële bedrijven inmiddels over de mogelijkheden beschikken om exploits te ontwikkelen die eerder alleen nog waren voorbehouden aan overheden. Bij alle drie de zerodaycampagnes werden Androidgebruikers via e-mail aangevallen. Doelwitten ontvingen een e-mail met daarin een verkorte url die naar een malafide website wees. Deze website maakte misbruik van één of meerdere kwetsbaarheden in Chrome al dan niet gecombineerd met een beveiligingslek in Android. Eén van deze beveiligingslekken was CVE-2021-1048 en bevond zich in de Linux-kernel. Google ontdekte de aanval waarbij deze kwetsbaarheid werd gebruikt in oktober 2021. Het beveiligingslek was al in september 2020 in de Linux-kernel verholpen. De fix was echter niet als beveiligingsupdate aangemerkt en zodoende niet aan de meeste Androidkernels toegevoegd. "Dit is niet de eerste keer dat we dit zien met exploits in het wild. Het Bad Binder-lek in 2019 is een ander voorbeeld", zegt Clement Lecigne van Googles Threat Analysis Group. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. Lecigne merkt op dat in beide gevallen de betreffende fix niet als beveiligingsprobleem was aangemerkt en zodoende niet gebackport naar de Androidkernels. "Aanvallers blijven actief zoeken en profiteren van dergelijk traag verholpen kwetsbaarheden." Verder stelt de Google-onderzoeker dat de aanpak van commerciële surveillancebedrijven een robuuste en gemeenschappelijke inzet van inlichtingenteams, netwerkbeveiligers, academische onderzoekers en techplatformen vereist.

WordPress-sites kwetsbaar door kritiek beveiligingslek in Jupiter X-software

Onderzoekers hebben in het Jupiter X theme en plug-in voor WordPress een kritieke kwetsbaarheid ontdekt waardoor het mogelijk is om kwetsbare sites over te nemen. Via de Jupiter X-software is het mogelijk om allerlei onderdelen van WordPress-sites aan te passen en vorm te geven. Een beveiligingslek in de software, aangeduid als CVE-2022-1654, maakt het mogelijk voor elke ingelogde gebruiker ongeachte niveau, waaronder ook abonnees, om beheerder van de website te worden. Het blijkt namelijk mogelijk om een functie aan te roepen voor het resetten van de WordPress-database, waarbij de website eigenlijk opnieuw wordt geïnstalleerd met de ingelogde gebruiker als nieuwe site-eigenaar, aldus securitybedrijf Wordfence dat de kwetsbaarheid ontdekte. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.9. ArtBees, de ontwikkelaar van het Jupiter X theme en plug-in, werd op 5 april over het lek ingelicht en kwam op 10 mei met een beveiligingsupdate. ArtBees claimt dat meer dan 135.000 websites van de Jupiter X-software gebruikmaken. Er is echter ook een versie van de Jupiter X Core plug-in op WordPress.org te vinden. De laatste update voor deze versie dateert van negen maanden geleden. Deze versie is echter wel op meer dan 90.000 WordPress-sites actief. Security.NL heeft Wordfence gevraagd of deze versie ook kwetsbaar is. Zodra er meer bekend is zullen we dit melden.

VS slaat alarm over misbruik van VMware-lekken en geeft noodbevel af

De Amerikaanse overheid heeft alarm geslagen over misbruik van verschillende kwetsbaarheden in software van VMware en tegelijkertijd een noodbevel afgegeven dat federale overheidsinstanties verplicht om gisteren verschenen beveiligingsupdates voor maandag 23 mei te installeren. Gisteren kwam VMware met patches voor twee kritieke kwetsbaarheden in VMware Workspace ONE Access, Identity Manager, vRealize Automation, Cloud Foundation en vRealize Suite Lifecycle Manager aangeduid als CVE-2022-22972 en CVE-2022-22973. Beveiligingslek CVE-2022-22972 maakt het mogelijk voor een aanvaller met toegang tot de gebruikersinterface om zonder inloggegevens beheerderstoegang te krijgen. De impact van deze kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Door middel van CVE-2022-22973 kan een aanvaller die al toegang tot het systeem heeft root worden. De impactscore van dit beveiligingslek bedraagt 7.8. Vorige maand kwam VMware met beveiligingsupdates voor twee andere kwetsbaarheden in de bovengenoemde producten, aangeduid als CVE-2022-22954 en CVE-2022-22960. Via deze beveiligingslekken kan een aanvaller willekeurige code uitvoeren en rootrechten verkrijgen. Volgens het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security hebben aanvallers de patches voor CVE-2022-22954 en CVE-2022-22960 binnen 48 gereverse engineerd om zo de onderliggende kwetsbaarheden te vinden en exploits te ontwikkelen waarmee vervolgens systemen zijn aangevallen. Het CISA verwacht dat aanvallers ook op zeer korte termijn misbruik zullen maken van de gisteren gepatchte beveiligingslekken in de VMware-producten. De overheidsinstantie heeft nu een "Emergency Directive" afgegeven dat alle federale overheidsinstanties verplicht om voor maandag 23 mei alle kwetsbare VMware-systemen in kaart te brengen en de betreffende beveiligingsupdates te installeren. Wanneer het installeren van de patches niet mogelijk is moeten de VMware-systemen uit de federale overheidsnetwerken worden verwijderd totdat updates wel zijn door te voeren. In het geval systemen niet meer worden ondersteund, bijvoorbeeld omdat ze end-of-life zijn, moeten ze direct worden verwijderd. Verder moeten alle overheidsinstanties ervan uitgaan dat vanaf het internet toegankelijke kwetsbare VMware-systemen zijn gecompromitteerd. Deze systemen moeten dan ook van de productienetwerken worden losgekoppeld en onderzocht. In het geval van gevonden sporen moeten overheidsinstanties dit bij het CISA melden. Eerder gaf het CISA ook een noodbevel af wegens het Log4j-lek.

Kritiek lek in iOS en macOS laat remote aanvaller willekeurige code uitvoeren

Een kritieke kwetsbaarheid in iOS en macOS maakt het mogelijk voor een remote aanvaller om willekeurige code op systemen uit te voeren. Verder zijn foto's op vergrendelde iPhones en iPads toegankelijk voor een aanvaller met fysieke toegang. Apple heeft beveiligingsupdates uitgebracht om de problemen te verhelpen. In beide besturingssystemen zijn bij elkaar meer dan honderd kwetsbaarheden opgelost. Met macOS Monterey 12.4 behoren 73 beveiligingslekken tot het verleden. Verschillende van de kwetsbaarheden maken het mogelijk voor een aanvaller om willekeurige code op het systeem uit te voeren wanneer een malafide afbeelding of website wordt geopend, er is geen verdere interactie vereist. Ook het mounten van een malafide Samba-netwerkshare maakt "arbitrary code execution" mogelijk. Een beveiligingslek in Safari zorgt ervoor dat malafide websites gebruikers ook in de private browsingmode van de browser kunnen volgen. Drie kwetsbaarheden, in ImageIO, libxml2 en zsh, zorgen er volgens Apple voor dat een remote aanvaller willekeurige code op het systeem kan uitvoeren. Verdere details over de aanvalsvector worden echter niet gegeven. Updaten naar de laatste versie kan via de updatefunctie van macOS. Naast beveiligingsupdates voor macOS Catalina, Big Sur en Monterey heeft Apple voor iOS en macOS versie 15.5 uitgebracht. Deze versies verhelpen in totaal 34 kwetsbaarheden. Het gaat onder andere om de kwetsbaarheden in ImageIO en libxml2 die ook in macOS zijn verholpen en het mogelijk maken voor een aanvaller om op afstand code uit te voeren wat in het ergste geval tot een volledige overname van het systeem kan leiden. Ook het lek in de private browsingmode van Safari is in iOS en iPadOS gepatcht. Verder heeft Apple ook een beveiligingslek in het wifi-onderdeel van de besturingssystemen verholpen waardoor een aanvaller een denial of service kan veroorzaken. Net als bij macOS kan een aanvaller ook bij iOS en iPadOS door middel van een malafide afbeelding willekeurige code uitvoeren. Een andere kwetsbaarheid in de mobiele besturingssystemen zorgt ervoor dat een aanvaller met fysieke toegang tot een toestel opgeslagen foto's kan bekijken. De updates voor iOS en iPadOS zijn beschikbaar via iTunes en de Software Update-functie.

Apple verhelpt zerodaylekken na zes weken ook in macOS Big Sur en Catalina

Apple heeft twee zerodaylekken die actief zijn gebruikt bij aanvallen op gebruikers van macOS na zes weken ook in macOS Big Sur en Catalina verholpen. Op 31 maart kwam het techbedrijf met beveiligingsupdates voor macOS Monterey voor twee zerodays die zich bevonden in AppleAVD, een framework voor het decoderen van audio en video, en een grafische driver van Intel. Het beveiligingslek in AppleAVD, aangeduid als CVE-2022-22675, laat een applicatie willekeurige code met kernelrechten uitvoeren. Via de kwetsbaarheid in de Intel-driver (CVE-2022-22674) kan een applicatie kernel geheugen uitlezen. Beide beveiligingslekken zijn niet voldoende om een systeem op afstand aan te vallen. Om de kwetsbaarheden te kunnen gebruiken moet een aanvaller al toegang tot het systeem hebben. Apple kwam gisteren met beveiligingsupdates voor de verschillende macOS-versies. Zo bevat Security Update 2022-004voor Catalina een patch voor CVE-2022-22674 en biedt macOS Big Sur 11.6.6 gebruikers bescherming tegen zowel de kwetsbaarheid in AppleAVD als het lek in de grafische driver. Updaten naar de nieuwste versies kan via de updatefunctie en macOS Store.

CISA meldt actief misbruik van lek in VMware Spring Cloud Gateway

Aanvallers maken op dit moment actief misbruik van een kritieke kwetsbaarheid in VMware Spring Cloud Gateway om kwetsbare applicaties aan te vallen, zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. De VMware Spring Cloud Gateway biedt een library waarmee een eigen API-gateway is te maken voor het routeren van http-verkeer naar applicaties. Op 1 maart kwam VMware met een beveiligingsupdate voor een kritieke kwetsbaarheid in applicaties die van de Spring Cloud Gateway gebruikmaken, aangeduid als CVE-2022-22947. Door het versturen van een malafide request kan een aanvaller willekeurige code op de remote host uitvoeren, zo laat VMware weten. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Het CISA houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren. De lijst, die inzicht geeft in kwetsbaarheden waarvan aanvallers misbruik maken, wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. De nieuwste toevoeging bevat het lek in de VMware Spring Cloud Gateway en een kwetsbaarheid in Zyxel-firewalls waarvan al bekend was dat aanvallers er misbruik van maken. Dat was bij de Spring Cloud Gateway nog niet bekend. Federale Amerikaanse overheidsinstanties moeten updates voor beide kwetsbaarheden voor 6 juni hebben geïnstalleerd.

Microsoft: ontwikkeling beveiligingsupdates balans tussen kwaliteit en snelheid

Het ontwikkelen van beveiligingsupdates is een delicate balans tussen kwaliteit en snelheid, waarbij de verstoring voor klanten moet worden beperkt en de bescherming gemaximaliseerd, zo stelt Microsoft. De softwaregigant kwam de afgelopen jaren geregeld onder vuur te liggen over de kwaliteit van uitgebrachte beveiligingsupdates en de snelheid waarmee het actief aangevallen zerodaylekken verhelpt. Volgens Aanchal Gupta van het Microsoft Security Response Center is elke kwetsbaarheid verschillend en neemt zijn eigen uitdagingen mee die moeten worden opgelost. "Er zijn veel factoren die de tijd tussen de ontdekking van een kwetsbaarheid en het uitbrengen van een beveiligingsupdate beïnvloeden." Gupta stelt dat Microsoft rekening moet houden met de impact op de omgevingen van klanten wanneer een update verschijnt. Omgevingen die vaak verschillen en uit verschillende producten en diensten bestaan. Wanneer een update bijna gereed is deelt Microsoft die met externe partners en voert het eigen tests uit om ervoor te zorgen dat de patch geen onbedoelde gevolgen heeft. "De fix moet aan de noodzakelijke kwaliteitsstandaarden voldoen voordat die wordt uitgebracht", gaat Gupta verder. Pas na de kwaliteitscontrole zal een update via de maandelijkse Patch Tuesday of als noodpatch worden aangeboden. Verder merkt Gupta op dat bij de meeste aanvallen geen zerodaylekken worden gebruikt en ook bij zeroday-aanvallen het nog steeds voor kan komen dat een doelwit een link of bijlage eerst moet openen. Ook koppelen aanvallers soms zowel bekende als onbekende kwetsbaarheden bij hun aanvallen aan elkaar. "Je infrastructuur en beveiligingssystemen zijn net een 'immuunsysteem'. Zelfs wanneer er geen update voor een gemeld zerodaylek beschikbaar is, kan het up-to-date houden van je systemen het gehele systeem versterken", besluit Gupta. Vorige week adviseerde de Amerikaanse overheid aan federale instanties om een beveiligingsupdate voor een spoofinglek in Windows wegens problemen tijdelijk niet te installeren op servers die als domeincontroller fungeren.

SonicWall vpn-servers kwetsbaar door gebruik van hardcoded key

Vpn-servers van fabrikant SonicWall bevatten verschillende kwetsbaarheden waardoor een ongeauthenticeerde aanvaller de toegangscontrole kan omzeilen, versleutelde inloggegevens kan achterhalen en gebruikers naar malafide websites kan doorsturen. SonicWall heeft firmware-updates uitgebracht om de problemen te verhelpen en roept organisaties en systeembeheerders op die zo snel mogelijk te installeren. Eén van de kwetsbaarheden, aangeduid als CVE-2022-1701, wordt veroorzaakt door het gebruik van een "hard-coded cryptographic key". De Secure Mobile Access (SMA) 1000-vpn's gebruiken een gedeelde en hard-coded encryption key voor de opslag van data. Volgens SonicWall kan een aanvaller hierdoor toegang tot versleutelde inloggegevens krijgen. Het gebruik van hard-coded keys is een kwetsbaarheid die tijdens de implementatie door de ontwikkelaar wordt veroorzaakt, aldus de MITRE Corporation. Verder blijken de vpn-servers kwetsbaar voor een "access control bypass", waardoor aanvallers toegang tot interne resources kunnen krijgen. Als laatste hebben de vpn's te maken met een open redirect, waardoor het mogelijk is om gebruikers via een legitiem lijkende link door te sturen naar een malafide website. Iets wat is te gebruiken voor phishingaanvallen. Ook dit is een fout die tijdens de implementatie en ontwerpfase wordt gemaakt, stelt MITRE. Verdere details over de beveiligingslekken zijn niet door SonicWall gegeven, behalve dat er voor zover bekend op dit moment geen misbruik van wordt gemaakt.

NSA waarschuwt voor misbruik van kritieke kwetsbaarheid in Zyxel-firewalls

De Amerikaanse geheime dienst waarschuwt dat aanvallers actief misbruik maken van een kritieke kwetsbaarheid in firewalls en vpn's van fabrikant Zyxel die slechts vier dagen geleden werd geopenbaard. Via het beveiligingslek, aangeduid als CVE-2022-30525, kan een ongeauthenticeerde aanvaller willekeurige code op het apparaat uit te voeren. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het probleem wordt veroorzaakt doordat de beheerdersinterface invoer van gebruikers niet goed controleert, waardoor het mogelijk is voor een aanvaller om willekeurige commando's op de firewall of vpn-appliance uit te voeren. Om de aanval op afstand uit te voeren moet de beheerdersinterface wel vanaf het internet toegankelijk zijn. Volgens securitybedrijf Rapid7, dat de kwetsbaarheid ontdekte, zijn erop internet meer dan 16.000 kwetsbare Zyxel-modellen te vinden. De Shadowserver Foundation, een non-profitorganisatie die zich bezighoudt met de bestrijding van botnets en cybercrime, telt bijna 21.000 vanaf internet toegankelijke Zyxel-machines. Zyxel werd op 13 april over het beveiligingslek geïnformeerd en maakte op 28 april een firmware-update beschikbaar, maar maakte geen melding van de kwetsbaarheid. Pas vorige week op 12 mei publiceerde Zyxel een advisory waarin het de kwetsbaarheid aankondigde. Dit weekend lieten de Shadowserver Foundation en Rob Joyce, directeur cybersecurity bij de NSA, weten dat aanvallers actief misbruik maken van het Zyxell-lek. Organisaties worden dan ook oproepen om de firmware-update voor de de USG FLEX 100, 100W, 200, 500 en 700, USG20-VPN en USG20W-VPN en ATP 100, 200, 500, 700 en 800 te installeren.

Kritiek lek in Zyxel-firewalls maakt remote code execution mogelijk

Een kritieke kwetsbaarheid in firewalls van fabrikant Zyxel maakt het voor een ongeauthenticeerde aanvaller mogelijk om willekeurige code op het apparaat uit te voeren. Zyxel heeft updates uitgerold om het probleem te verhelpen, maar inmiddels is er ook exploitcode beschikbaar. De impact van de kwetsbaarheid, aangeduid als CVE-2022-30525, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Zyxel roept gebruikers met klem op om de patch te installeren. Het probleem wordt veroorzaakt doordat de beheerdersinterface invoer van gebruikers niet goed controleert, waardoor het mogelijk is voor een aanvaller om willekeurige commando's op de firewall uit te voeren. Om de aanval op afstand uit te voeren moet de beheerdersinterface wel vanaf het internet toegankelijk zijn. Volgens securitybedrijf Rapid7, dat de kwetsbaarheid ontdekte, zijn erop internet meer dan 16.000 kwetsbare Zyxel-modellen te vinden. Het gaat om de USG FLEX 100, 100W, 200, 500 en 700, USG20-VPN en USG20W-VPN en ATP 100, 200, 500, 700 en 800. Rapid7 waarschuwde Zyxel op 13 april en stelde voor om de details van het beveiligingslek op 21 juni openbaar te maken. Op 28 april bracht Zyxel een firmware-update uit, zonder dit met Rapid7 te coördineren. Daarop nam het securitybedrijf contact op met Zyxel. De firewallfabrikant vroeg vervolgens een CVE-nummer aan om het lek mee te identificeren en ging akkoord met een nieuwe datum om de details te openbaren, wat gisteren was. Rapid7 is de ontwikkelaar van Metasploit, een opensourceframework voor het testen van de beveiliging van systemen en netwerken, dat geliefd is bij penetratietesters en securityprofessionals. Voor de kwetsbaarheid in de Zyxel-firewalls is nu een exploitmodule beschikbaar gemaakt. Organisaties worden dan ook opgeroepen om de update zo snel mogelijk te installeren en de beheerdersinterface niet vanaf internet toegankelijk te maken.

Microsoft verhelpt actief aangevallen spoofinglek in Windows

Microsoft heeft tijdens de patchdinsdag van mei in totaal 74 kwetsbaarheden verholpen, waaronder een actief aangevallen zerodaylek in Windows. Volgens Microsoft gaat het om een kwetsbaarheid in de Windows LSA (Local Security Authority), aangeduid als CVE-2022-26925, die spoofing mogelijk maakt. Via het spoofinglek kan een ongeauthenticeerde aanvaller een domeincontroller dwingen om zich via NTLM bij een andere server te authenticeren. Om misbruik van de kwetsbaarheid te kunnen maken is een man-in-the-middle-positie vereist, waarbij de aanvaller tussen de aangevallen server en de opgegeven server zit. Volgens onderzoekers gaat het om de PetitPotam-kwetsbaarheid die vorig jaar augustus door Microsoft werd verholpen, maar tussen december en maart van dit jaar zou zijn geherintroduceerd. Microsoft heeft de impact van de kwetsbaarheid op een schaal van 1 tot en met 10 beoordeeld met een 8.1. Als het spoofinglek wordt gecombineerd met andere NTLM relay-aanvallen op Active Directory Certificate Services (AD CS) gaat de impactscore naar 9.8, aldus Microsoft. Het beveiligingslek was door een onderzoeker van de Bertelsmann Printing Group gevonden en gerapporteerd. Naast het installeren van de beveiligingsupdate wijst Microsoft systeembeheerders ook naar KB5005413 en Advisory ADV210003 waarin maatregelen worden beschreven om NTLM relay-aanvallen te voorkomen. Het installeren van de beveiligingsupdates zal op de meeste systemen automatisch gebeuren.

Kritiek lek in F5 BIG-IP actief gebruikt om filesystem apparaten te wissen

Een kritieke kwetsbaarheid in het BIG-IP-platform van F5 wordt actief gebruikt om het filesystem van de apparaten te wissen wat gevolgen heeft voor load balancing en websites. Het BIG-IP-platform van F5 wordt voor verschillende toepassingen gebruikt, zoals load balancing en application delivery. Op 4 mei kwam F5 met een beveiligingsupdate voor een kritieke kwetsbaarheid aangeduid als CVE-2022-1388. Via het beveiligingslek kan een ongeauthenticeerde aanvaller met toegang tot een BIG-IP het systeem overnemen of uitschakelen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. "De kwetsbaarheid is noemenswaardig, omdat het ongeauthenticeerde aanvallers willekeurige systeemcommando's laat uitvoeren, bestanden laat aanmaken of verwijderen of services laat uitschakelen. In andere woorden, de aanvaller krijgt volledige controle over het apparaat", aldus Johannes Ullrich van het Internet Storm Center. Kort na het uitkomen van de beveiligingsupdate verschenen op internet proof-of-concept exploits en werd melding gemaakt van actief misbruik. Aanvallers gebruiken de kwetsbaarheid om webshells te installeren om zo toegang tot het apparaat te behouden en verdere aanvallen uit te voeren. Het Internet Storm Center (ISC) laat nu via Twitter weten dat een aanvaller actief bezig is om het filesystem van kwetsbare systemen te wissen. "Gegeven dat de webserver als root draait, lost dit het probleem van kwetsbare servers op en vernietigt elke kwetsbare BIG-IP-appliance", aldus het ISC. Beveiligingsonderzoeker Kevin Beaumont bevestigt de aanvallen en meldt dat veel kwetsbare apparaten die via zoekmachine Shodan waren te vinden nu niet meer reageren. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft federale Amerikaanse overheidsinstanties gisteren verplicht om het beveiligingslek voor 31 mei te patchen.

Criminelen maken actief misbruik van kritieke kwetsbaarheid in F5 BIG-IP

Criminelen maken actief misbruik van een kritiek kwetsbaarheid in F5 BIG-IP om organisaties aan te vallen, zo meldt het Australische Cyber Security Centre (ACSC). Op 4 mei verscheen er een update voor het beveiligingslek, aangeduid als CVE-2022-1388, dat het mogelijk maakt voor een ongeauthenticeerde aanvaller met toegang tot een BIG-IP om het systeem over te nemen of uit te schakelen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het BIG-IP-platform van F5 wordt voor verschillende toepassingen gebruikt, zoals load balancing en application delivery. In het verleden zijn kritieke kwetsbaarheden in het platform vaker bij aanvallen gebruikt. Volgens het ACSC is er inmiddels proof-of-concept exploitcode voor het lek online verschenen en maken aanvallers ook actief misbruik van de kwetsbaarheid bij aanvallen tegen Australische netwerken. Het ACSC zegt de situatie te monitoren en roept getroffen Australische organisaties op om zich te melden. Daarnaast wordt aangeraden de beschikbare update te installeren of anders een workaround toe te passen. Securitybedrijf Censys stelt dat er zo'n 2500 BIG-IP-apparaten op internet zijn te vinden. "Normaliter adviseer ik om eerst te patchen en later configuratieproblemen te verhelpen. Maar in dit geval is het andersom: Zorg ervoor dat de beheerdersinterface niet toegankelijk is. Is dat niet mogelijk, patch dan niet, maar schakel het systeem uit. Als de configuratie-interface veilig is, dan pas patchen", aldus Johannes Ullrich van het Internet Storm Center.

QNAP waarschuwt voor kwetsbaarheden die overname NAS mogelijk maken

NAS-fabrikant QNAP waarschuwt eigenaren van een NAS-systeem voor verschillende kwetsbaarheden waardoor aanvallers in het ergste geval NAS-apparaten op afstand kunnen overnemen. De kwetsbaarheden zijn beoordeeld als kritiek en 'high' en bevinden zich in onderdelen die in het verleden vaker bij aanvallen zijn misbruikt. QNAP roept gebruikers op om de beschikbare updates te installeren. In QTS, QuTS hero en QuTScloud heeft QNAP vier kwetsbaarheden verholpen die het mogelijk maken voor aanvallers om willekeurige commando's op NAS-systemen uit te voeren, toegang tot vertrouwelijke bestanden te krijgen, kwaadaardige code te injecteren en gebruikers naar een malafide pagina door te sturen die malware bevat. Hoe aanvallers de beveiligingslekken precies kunnen misbruiken laat QNAP niet weten. In Photo Station is een kwetsbaarheid gedicht die het mogelijk maakt om "de veiligheid van het systeem te compromitteren". Verdere details geeft QNAP niet. Photo Station is een online fotoalbum waarmee gebruikers foto's en video op het NAS-systeem met vrienden en familie via het internet kunnen delen. Beveiligingslekken in deze software zijn in het verleden gebruikt bij ransomware-aanvallen. Een kritieke kwetsbaarheid in QVR maakt het mogelijk voor aanvallers om willekeurige commando's op NAS-systemen uit te voeren. QVR is een videosurveillancetool van QNAP. Tevens is de NAS-fabrikant met updates gekomen voor Video Station, waarmee twee kwetsbaarheden verholpen waardoor aanvallers toegang tot vertrouwelijke gegevens kunnen krijgen en ongeautoriseerde acties kunnen uitvoeren.

Google verhelpt actief aangevallen zerodaylek in Android

Google heeft tijdens de maandelijkse patchronde van Android een actief aangevallen zerodaylek in het besturingssysteem verholpen. In maart werd het probleem al in Pixel-telefoons verholpen. De kwetsbaarheid in kwestie wordt aangeduid als CVE-2021-22600 en bevindt zich in de Androidkernel. Via het beveiligingslek kan een aanvaller die al toegang tot het systeem heeft of een malafide app de rechten verhogen. Het is niet mogelijk om alleen via deze kwetsbaarheid telefoons of tablets op afstand te compromitteren. Naast Android komt Google elke maand ook met een apart beveiligingsbulletin voor de eigen Pixel-telefoons die het aanbiedt. In maart maakte Google bekend dat CVE-2021-22600 actief werd gebruikt bij aanvallen tegen Pixel-telefoons. In de patchronde voor Android deze maand herhaalt Google dat er actief misbruik van het lek plaatsvindt. Details worden echter niet gegeven. Ook laat Google niet weten waarom het zerodaylek al in maart in Pixel-telefoons werd gepatcht, maar pas deze maand in de generieke Androidversie. In totaal worden er deze maand 37 kwetsbaarheden in Android verholpen. Eén daarvan is als kritiek bestempeld en bevindt zich in de software van Qualcomm. Dit beveiligingslek is echter alleen lokaal te misbruiken. Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de mei-updates ontvangen zullen '2022-05-01' of '2022-05-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van mei aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 10, 11, 12 en 12L. Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.

Pixel-telefoons kwetsbaar door kritiek lekken in beveiligingschip en bootloader

In de Titan M-beveiligingschip en bootloader van Google Pixel-telefoons bevinden zich kritieke kwetsbaarheden die remote code execution en diefstal van gevoelige informatie mogelijk maken. Google heeft beveiligingsupdates voor Pixel-telefoons uitgebracht om de problemen te verhelpen. Het beveiligingslek dat remote code execution mogelijk maakt, aangeduid als CVE-2022-2012, bevindt zich in de bootloader van de Pixel-telefoons. De bootloader is de software die verantwoordelijk is voor het laden van Android. De kwetsbaarheid in de Titan M-beveiligingschip (CVE-2022-20117) maakt diefstal van informatie mogelijk. De chip is ontwikkeld voor het beveiligen van de "meest gevoelige on-device data en besturingssysteem", aldus Google. Het techbedrijf heeft beide lekken als kritiek bestempeld, maar geeft geen verdere informatie.

Beveiligingslek in Avast en AVG maakte uitschakelen virusscanners mogelijk

Onderzoekers hebben in de antivirussoftware van Avast en AVG twee kwetsbaarheden ontdekt waardoor het mogelijk was voor aanvallers die al toegang tot het systeem hadden om als normale gebruiker code met kernelrechten uit te voeren en zo bijvoorbeeld virusscanners en andere beveiligingssoftware uit te schakelen, systeemonderdelen te overschrijven of het besturingssysteem te corrumperen. Daarnaast waren de beveiligingslekken te gebruiken om uit sandboxes te ontsnappen, bijvoorbeeld die van browsers. Zo zouden de kwetsbaarheden kunnen worden gebruikt om in combinatie met een ander lek in bijvoorbeeld een browser systemen op afstand over te nemen. De beveiligingslekken waren al tien jaar in de beveiligingssoftware aanwezig en raakten miljoenen gebruikers, zo stelt securitybedrijf SentinelOne dat de problemen ontdekte. De kwetsbaarheden, aangeduid als CVE-2022-26522 en CVE-2022-26523, waren aanwezig in de anti-rootkit driver van de virusscanners. SentinelOne waarschuwde Avast vorig jaar december. Het antivirusbedrijf kwam in februari met een beveiligingsupdate om de kwetsbaarheden te verhelpen. SentinelOne stelt dat er geen misbruik van de lekken is gemaakt. Eerder deze week meldde antivirusbedrijf Trend Micro dat een andere kwetsbaarheid in de Avast-driver gebruikt wordt door de AvosLocker-ransomware om beveiligingssoftware op aangevallen systemen uit te schakelen. Dit beveiligingslek werd volgens Avast vorig jaar juli verholpen. Deze maand kwam Microsoft met een beveiligingsupdate voor Windowsgebruikers om misbruik van de driver te voorkomen.

Thunderbird rolt update uit voor probleem met OpenPGP-keys en SHA-1

Er is een update voor e-mailclient Thunderbird verschenen waardoor bepaalde gebruikers weer versleuteld kunnen mailen. Dat was sinds 5 april namelijk niet meer mogelijk. Thunderbird biedt gebruikers de optie om versleuteld via OpenPGP te e-mailen. OpenPGP maakt gebruik van private en public keys, die eigenschappen bevatten zoals namen, e-mailadressen, aanvullende sub-keys en informatie over de geldigheid van de sleutel. Deze eigenschappen zijn digitaal ondertekend om te bewijzen dat ze zijn toegevoegd of veranderd door de eigenaar van de sleutel en niet door iemand anders. Wanneer de sleuteleigenaar bijvoorbeeld de verloopdatum van een OpenPGP-key aanpast wordt hiervoor een digitale handtekening gebruikt die wordt toegevoegd aan de sleutel. Voor deze handtekening kan het SHA-1-hashingalgoritme worden gebruikt. Sinds 2005 zijn er aanvallen op SHA-1 bekend en sinds 2011 wordt daarom aangeraden het algoritme uit te faseren. Met de lancering van Thunderbird 91.8.0 op 5 april was een aanpassing doorgevoerd die ervoor zorgt dat handtekeningen die van bepaalde onveilige algoritmes gebruikmaken worden geweigerd, afhankelijk van de datum waarop de handtekening is gemaakt. Hierdoor weigerde Thunderbird handtekeningen die van SHA1 gebruikmaken en na januari 2019 waren gecreëerd. Dit had als gevolg dat gebruikers deze keys niet meer konden gebruiken. Het Thunderbird-team had er rekening mee gehouden dat dit bij sommige gebruikers voor problemen zou zorgen, maar meer gebruikers dan verwacht lieten weten dat ze niet meer versleuteld konden mailen. Om deze gebruikers meer tijd te geven om SHA-1 uit te faseren accepteert Thunderbird 91.9.0 weer SHA-1-handtekeningen voor de eigenschappen van OpenPGP-keys. Daarom kunnen deze gebruikers weer hun keys gebruiken totdat SHA-1 volledig wordt uitgefaseerd in een toekomstige versie van de e-mailclient. Volgens Kai Engert van Thunderbird zijn SHA-1-aanvallen mogelijk, maar zijn de aanvallen die nu bekend zijn lastig toe te passen op OpenPGP-handtekeningen.

Grootschalig misbruik van ernstige kwetsbaarheden in VMware

Er is grootschalig misbruik waargenomen van de hieronder op 12 april gemelde kwetsbaarheid in VMware-producten (CVE-2022-22954). Beveiligingsbedrijf Rapid7 geeft aan meerdere aanvallen te zien afkomstig van botnets. Het advies blijft om zo snel mogelijk beschikbare beveiligingsupdates te installeren en niet af te wachten tot eventueel ingeplande patchmomenten. Mocht updaten op korte termijn niet mogelijk zijn, gebruik dan de door VMware beschikbaar gestelde workarounds.

Ernstige kwetsbaarheden in VMware-producten