'De bibliotheek voor de bestrijding van digitale criminaliteit'

Home » Kwetsbaarheden CVE's 2021 december

Kwetsbaarheden CVE's


2022 | 2021


december | november | oktober | september | augustus



Nieuw beveiligingslek leidt tot beveiligingsupdate Log4j 2.17.1

Op 28 december werd bekend gemaakt dat er opnieuw een kwetsbaarheid (CVE-2021-44832) ontdekt is binnen Log4j.Om de kwetsbaarheid te misbruiken moet een aanvaller eerst de mogelijkheid hebben om een aanpassing te doen aan het configuratiebestand. Deze nieuwe kwetsbaarheid is mede daarom minder ernstig ingeschaald.

Het advies blijft om beschikbare beveiligingsupdates te (laten) installeren:

  • Java 6: update naar versie 2.3.2
  • Java 7: update naar versie 2.12.4
  • Java 8: update naar versie 2.17.1

Actief misbruik van Zoho ManageEngine ServiceDesk Plus

Softwareontwikkelingsbedrijf Zoho heeft begin december een ernstige kwetsbaarheid verholpen in ManageEngine ServiceDesk Plus. De kwetsbaarheid is bekend als CVE-2021-44077 en maakt het voor een aanvaller mogelijk om op afstand willekeurige code uit te voeren zonder authenticatie. Er wordt melding gemaakt van actief misbruik en er is een 'Proof of concept' (POC) publiekelijk beschikbaar. Daarom heeft het Nationaal Cyber Security Centrum (NCSC) de classificatie van deze kwetsbaarheid verhoogd naar "High/High"; de kans op misbruik op korte termijn én de potentiële schade is groot. Zoho ManageEngine ServiceDesk plus is een softwarepakket voor IT-servicedesks. Het product wordt onder andere gebruikt voor het registeren van incidenten en het aanpassen en bijhouden van IT-middelen. De kwetsbaarheid maakt het mogelijk om op afstand willekeurige code uit te voeren op kwetsbare ManageEngine ServiceDesk Plus-servers. Op deze manier kan een server volledig worden overgenomen en kwaadaardige software worden geïnstalleerd zoals ransomware. Ook is (gevoelige) informatie inzichtelijk zoals registraties van incidenten. De kans is aanwezig dat ManageEngine ServiceDesk Plus-servers benaderbaar zijn vanaf het internet om zo klanten inzicht te geven in de status van hun incidentmelding. Wanneer dit het geval is, vergroot dit de kans dat kwaadwillenden kwetsbare servers ontdekken.

  • Zoho heeft een beveiligingsupdate beschikbaar gesteld die de kwetsbaarheid verhelpt. Aangeraden wordt om deze zo spoedig mogelijk te (laten) installeren.
  • Daarnaast is er een ‘Exploit Detection Tool’ beschikbaar. Met deze tool kunnen bedrijven nagaan of er in hun IT-omgeving sporen van misbruik zijn.
  • Dit product wordt veel gebruikt door IT-dienstverleners. Is je IT uitbesteed? Ga dan bij je IT-dienstverlener na of er gebruik wordt gemaakt van kwetsbare ‘Zoho’-producten en of beschikbare updates zijn geïnstalleerd. Verifieer dan ook of de ernstige kwetsbaarheid van begin december in Zoho ManageEngine Desktop Central verholpen is.

Naar beveiligingsupdate


Ministerie van VWS en expertisecentrum waarschuwen apothekers voor kwetsbaarheid in computersoftware

Het ministerie van Volksgezondheid, Welzijn en Sport (VWS) en Z-CERT, het expertisecentrum voor cybersecurity in de zorg, waarschuwen apothekers en andere zorgaanbieders voor een ernstige kwetsbaarheid in de veelgebruikte computersoftware ‘Apache Log4j’. Dat doen zij in een brief gericht aan de KNMP. Deze software kan in verschillende programma’s en systemen zijn verwerkt.   Volgens het ministerie en Z-CERT maken hoogstwaarschijnlijk zorgaanbieders, zoals apothekers, gebruik van deze software in hun programma’s en systemen (denk daarbij ook aan netwerkrouters). Het is van groot belang dat de kwetsbaarheid zo snel mogelijk wordt hersteld voordat criminelen – via een cyberaanval – hiervan misbruik maken. Zorgaanbieders zijn immers verantwoordelijk voor de beveiliging van hun instelling. Het advies van het ministerie en het expertisecentrum, bijvoorbeeld via de ICT-dienstverlener of beheerder, is:
    • Scan alle systemen op de aanwezigheid van Apache Log4j.
    • Installeer zo snel mogelijk de beschikbare updates, en houd deze bij.
    • Onderzoek of de kwetsbare systemen reeds zijn misbruikt.
    • Zorg dat u bent voorbereid op een mogelijke digitale aanval.

Apothekers worden geadviseerd om bij hun ICT-dienstverlener of beheerder na te gaan of deze stappen zijn doorlopen. Niet alleen de zorgsector maar heel Nederland heeft te maken met deze kwetsbaarheid. Het Nationaal Cyber Security Centrum geeft op haar website uitleg over deze digitale dreiging. Ook heeft het NCSC een online overzicht gemaakt met systemen die gebruikmaken van Apache Log4j.


Kwetsbaarheid Log4j versie 2.16

Apache heeft vandaag (18-12)  bekend gemaakt dat er een Denial-of-Service-kwetsbaarheid zit in de gisteren uitgebrachte versie 2.16.0 van Log4j. Voor deze nieuwe kwetsbaarheid (CVE-2021-45105) hebben wij een update uitgebracht van ons eerdere beveiligingsadvies: https://www.ncsc.nl/actueel/advisory?id=NCSC-2021-1052. De ernst van deze kwetsbaarheid zou in een normale situatie niet op HIGH/HIGH worden ingeschaald. Dat betekent dat hij minder ernstig is dan de kwetsbaarheden 2.0-beta9 t/m 2.12.1 en 2.13.0 t/m 2.15.0 in eerdere versies van Log4j 2.0. Deze worden nog steeds door versie 2.12.2 en 2.16.0 verholpen.  Het NCSC raadt u aan door te gaan met patchen en hierbij gebruik te maken van de laatste versies die beschikbaar zijn gesteld door Apache. Mocht u inmiddels overgeschakeld zijn naar versie 2.16.0, dan raden wij u aan eerst de versies te updaten waar aanvallers ongewild en op afstand een programmacode op kunnen laten uitvoeren (versies 2.0-beta9 t/m 2.12.1 en 2.13.0 t/m 2.15.0). En pas als u dit heeft afgerond, applicaties te updaten van versie 2.16.0 naar versie 2.17.0. Voor een overzicht van overige maatregelen die u kunt nemen, verwijzen wij u graag naar het meest actuele handelingsperspectief op onze website: https://www.ncsc.nl/log4j. Naar verwachting zullen er nog meer kwetsbaarheden in (nieuwe) Log4j versies gevonden worden, gezien de ongekende aandacht die het programma wereldwijd krijgt vanwege de ernst van de eerder genoemde kwetsbaarheden en omdat Log4j in een zeer grote hoeveelheid applicaties is verwerkt. Het NCSC houdt nieuwe ontwikkelingen nauwgezet bij, en zal u hier via deze website over blijven informeren. Zoals we eerder adviseerden, raden we u aan om alert te blijven en u voor te bereiden op misbruik. Dit blijft noodzakelijk.


Aanvullende kwetsbaarheid Log4j versie 2.15

Er is een ernstige aanvullende kwetsbaarheid gevonden in Apache Log4j versie 2.15. Het NCSC heeft het laatste beveiligingsadvies geactualiseerd met de laatste informatie die Apache naar buiten heeft gebracht. We willen specifiek aandacht vragen voor de kwetsbaarheid met kenmerk CVE-2021-45046. Voor meer informatie over deze kwetsbaarheid verwijzen wij u naar het bijgewerkte beveiligingsadvies:  https://www.ncsc.nl/actueel/advisory?id=NCSC-2021-1052. Apache biedt de bijgewerkte versies aan via de volgende pagina:  https://logging.apache.org/log4j/2.x/download.html. Een overzicht van overige maatregelen die u kunt nemen, vindt u op onze website: https://www.ncsc.nl/log4j. Het NCSC heeft eerder geadviseerd om alert te zijn en u voor te bereiden op misbruik. Dit blijft noodzakelijk. 


Twee miljoen WordPress-sites getroffen door ernstig lek in plug-in

Een ernstig beveiligingslek in een populaire plug-in raakt zo'n twee miljoen WordPress-sites, hoewel het werkelijke aantal nog hoger kan liggen. All in One SEO for WordPress moet ervoor zorgen dat websites een betere ranking in zoekmachines krijgen. De plug-in is op meer dan drie miljoen websites geïnstalleerd. De plug-in bevat twee kwetsbaarheden waardoor een aanvaller in het ergste geval code op de server kan uitvoeren en de website kan overnemen, zo meldt WordPressbeveiliger Jetpack. Het gevaarlijkste beveiligingslek, CVE-2021-25036, heeft op een schaal van 1 tot en met 10 een impactscore van 9,9. Via de kwetsbaarheid kunnen gebruikers met low-privileged accounts, zoals abonnees, hun rechten verhogen en kwaadaardige code op de server uitvoeren. Het andere beveiligingslek, waarvan de impact met een 7,7 is beoordeeld, betreft geauthenticeerde SQL-injection. Gebruikers met een low-privileged account kunnen toegang tot vertrouwelijke data uit de database krijgen, zoals gebruikersnamen en gehashte wachtwoorden. De kwetsbaarheden zijn aanwezig in versie 4 van de plug-in en verholpen met versie 4.1.5.3 die vorige week uitkwam. Volgens statistieken heeft All in One SEO for WordPress meer dan drie miljoen actieve installaties. Zo'n zestig procent draait versie 4 van de plug-in. Van 29 procent wordt het versienummer niet vermeld.


Kwetsbaarheid in Apache Log4j patch versie 2.15

Vandaag (15-12) is een Denial-of-Service (DoS) kwetsbaarheid (CVE-2021-45046) gevonden in de Log4j patch versie 2.15. De (remote) code execution kwetsbaarheid, waarover het NCSC in beveiligingsadvies NCSC-2021-1052 heeft geadviseerd, is volgens Apache inmiddels in zowel versie 2.15 als versie 2.16 van Log4j verholpen. Het NCSC beschikt nu niet over informatie die de berichtgeving van Apache hierover in twijfel trekt.

Het NCSC adviseert organisaties dringend te updaten naar een recente versie van Log4j.

  • Heeft u versie 2.14 of ouder? Update dan zo snel mogelijk naar versie 2.16.
  • Heeft u versie 2.15 al? Dan adviseert het NCSC om, indien mogelijk, te updaten naar versie 2.16.

Ons beveiligingsadvies (NCSC-2021-1052) is bijgewerkt met de meest recente informatie en adviezen.

Het NCSC ontvangt nog altijd berichten van beperkt actief misbruik. Het NCSC raadt aan regelmatig het meest actuele handelingsperspectief te bekijken.


Nieuwe kwetsbaarheid in Apache Log4j maakt dos-aanval mogelijk

In Apache Log4j is een nieuwe kwetsbaarheid gevonden waardoor het mogelijk is om denial of service (dos)-aanvallen uit te voeren tegen servers waarop Log4j draait. Afgelopen maandag verscheen er al een beveiligingsupdate voor de kwetsbaarheid (CVE-2021-45046), waarvan de impact veel kleiner is dan het beveiligingslek (CVE-2021-44228) dat vorige week uitgebreid in het nieuws kwam en aanvallers de controle over kwetsbare servers kan geven. Volgens de Apache Software Foundation was de update voor de kwetsbaarheid CVE-2021-44228 in bepaalde niet-standaard configuraties onvolledig. Daardoor zouden aanvallers met controle over bepaalde invoerdata een denial of service kunnen veroorzaken. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 met een 3,7 beoordeeld en is aanwezig in alle Log4j-versies van 2.0-beta9 tot en met 2.12.1 en 2.13.0 tot en met 2.15.0. Beheerders wordt aangeraden om te updaten naar Log4j versie 2.12.2 of 2.16.0 die afgelopen maandag verscheen. In Log4j 2.16.0 staat toegang tot de Java Naming and Directory Interface (JNDI) API standaard aangeschakeld en moeten JNDI-lookups expliciet worden ingeschakeld. Verder is de message lookups feature volledig verwijderd en is de toegang tot protocollen standaard beperkt.


Wat betekent de kwetsbaarheid Apache Log4j voor je bedrijf?

Sinds afgelopen vrijdag is er door het DTC en vele andere partijen gecommuniceerd over een kritieke kwetsbaarheid in Apache Log4j. Apache Log4j is een softwareproduct dat wordt gebruikt voor het vastleggen van meldingen in software. Het wordt onder andere gebruikt voor het vastleggen van inlogpogingen maar de software zit daarnaast in vele honderden, zo niet duizenden softwareproducten en applicaties. De kans dat jij als ondernemer dus geraakt wordt of bent door deze kwetsbaarheid is zeer waarschijnlijk.


Kwetsbare Log4j applicaties en te nemen stappen

Het NCSC heeft een lijst online geplaatst op Github met applicaties die kwetsbaar zijn als gevolg van de ernstige kwetsbaarheid in Log4j. Deze lijst is nog lang niet volledig en zal de komende dagen aangevuld worden met informatie over applicaties die nog niet op de lijst staan. Het NCSC heeft partners, organisaties en bedrijven dringend gevraagd om aanvullende informatie te delen op Github. Dit is een makkelijke manier om dit soort informatie te ontsluiten. Deze pagina gaat ook gebruikt worden om scan- en detectiemogelijkheden en Indicators of Compromise (zie Cybersecurity Woordenboek p. 59)(pdf) bekend te maken.

Het is voor het NCSC niet mogelijk om voor iedere applicatie die gebruik maakt van Log4j het beveiligingsadvies te updaten. Een vermelding van een applicatie op deze lijst mag u daarom zien als een update van het HIGH/HIGH beveiligingsadvies (hoge kans op grote schade).

Het is goed mogelijk dat het voor organisaties onduidelijk is hoe te handelen in deze situatie. Daarom hebben wij onderstaande te-nemen-stappen opgesteld:

  1. Inventariseer of Log4j v2 in uw netwerk wordt gebruikt. Hiervoor zijn verschillende scripts voor Linux en Windows beschikbaar. Ook verschillende kwetsbaarheidsscanners hebben updates of plugins uitgebracht om te controleren of systemen kwetsbaar zijn. U vindt deze op GitHub. Let wel: deze scans bieden geen 100% garantie dat u geen kwetsbare systemen heeft.
  2. Wees u ervan bewust dat ook systemen zonder internetverbinding risico kunnen lopen. Aanvallen van binnenuit zijn ook mogelijk.
  3. Controleer voor kwetsbare systemen of uw softwareleverancier reeds een patch beschikbaar heeft gesteld en voer deze zo spoedig mogelijk uit.
    1. a.  Indien het systeem informatie verwerkt wat afkomstig is van het internet en er is geen patch beschikbaar, neem dan mitigerende maatregelen waar mogelijk.
      b.  Als updaten niet mogelijk is, adviseert Apache de volgende maatregelen:
         i.   Versie 2.10 of hoger: stel log4j.formatMsgNoLookups or Dlog4j.formatMsgNoLookups in op true
         ii.  Versie 2.7 of hoger: gebruik %m{nolookups} in de PatternLayout configuratie
         iii. Alle versies: verwijder de JndiLookup en JndiManager classes uit log4j-core.jar
      c.  Waar dit niet mogelijk is, adviseren wij te overwegen of het wenselijk is het systeem uit te schakelen totdat een patch beschikbaar is.
      d.  De Github lijst die het NCSC bijhoudt, kan u van informatie voorzien over nieuw uitgebrachte patches, maar wij raden aan zelf om ook pagina’s van softwareleveranciers te monitoren.
  4. Controleer zowel systemen die al gepatcht zijn als ook kwetsbare systemen op misbruik. Wij adviseren te kijken naar misbruik vanaf ten minste 1 december.
  5. Wij adviseren u om detectiemaatregelen in te schakelen. Verschillende organisaties hebben voor detectiemaatregelen voor hun Firewall-producten beschikbaar gesteld. Ook voor het inschakelen van deze maatregelen geldt dat dit geen garantie biedt dat elke vorm van misbruik wordt tegengehouden.
  6. De gevonden kwetsbaarheid kan gebruikt worden om een ransomware-aanval uit te voeren. Het NCSC adviseert om de juiste voorbereidingen te treffen, door capaciteit beschikbaar te houden en uw back-ups op orde te hebben.
VCNL Woordenboek 2 E Druk Webversie Final 2
PDF – 371,7 KB 5 downloads

Apache kwetsbaarheid bedreigt servers miljoenen diensten, bedrijven en thuisgebruikers

Diensten en gebruikers die de Apache Log4j logging library op hun servers gebruiken zijn kwetsbaar voor Remote Code Execution (RCE) aanvallen. Hieronder vallen mogelijk ook grote applicaties als Steam en Apple iCloud. Cyber threat intelligence bedrijf Bad Packets schrijft dat er al massaal gescand wordt naar servers die Log4j draaien, wat aangeeft dat de kwetsbaarheid al actief wordt misbruikt.

De Log4j logging library wordt ontwikkeld door de Apache Foundation en wereldwijd gebruikt om de status van- en informatie over servers bij te houden. Dit gebeurt bij allerlei diensten, zoals game servers voor Minecraft en cloud diensten als Apple iCloud of Steam. Ook belangrijke enterprise applicaties speciaal voor grote bedrijven kunnen kwetsbaar blijken.

Het NCSC heeft voor deze kwetsbaarheid een HIGH/HIGH-beveiligingsadvies uitgebracht: de kans op misbruik op korte termijn en de potentiële schade zijn groot.

Er zijn mogelijkheden om misbruik te detecteren door te zoeken in de logging. Het cybersecurity bedrijf Northwave heeft een tool beschikbaar gesteld om te controleren of uw server kwetsbaar is. Het NCSC wijst op de disclaimer in de begeleidende tekst.


SonicWall waarschuwt voor kritiek beveiligingslek in SMA 100-gateways

Netwerkbeveiligingsbedrijf SonicWall waarschuwt organisaties voor een kritiek beveiligingslek in de SMA 100-gateways die het levert waardoor de apparaten op afstand zijn over te nemen. Een ongeauthenticeerde aanvaller kan een buffer overflow veroorzaken en zo willekeurige code uitvoeren, wat tot een volledige overname van het apparaat kan leiden. De impact van de kwetsbaarheid, aangeduid als CVE-2021-20038, is op een schaal van 1 tot en met 10 met een 9,8 beoordeeld. De SMA is een gateway waarmee medewerkers vanaf allerlei willekeurige apparaten op afstand toegang tot de netwerken en cloudomgevingen van hun organisatie kunnen krijgen. De kwetsbaarheid kan dan ook grote impact op organisaties hebben, die door SonicWall worden opgeroepen de update te installeren. SonicWall laat verder weten dat er nog geen misbruik van de kwetsbaarheid is waargenomen. Eerder dit jaar waarschuwde het bedrijf nog voor ransomware-aanvallen tegen onder andere de SMA 100-apparaten. Daarnaast was de SMA 100 begin dit jaar ook het doelwit van een zeroday-aanval.


Zoho waarschuwt voor actief aangevallen zerodaylek in Desktop Central

Softwarebedrijf Zoho waarschuwt voor een actief aangevallen zerodaylek in Desktop Central en roept organisaties op om de beschikbaar gemaakte beveiligingsupdate te installeren. De afgelopen maanden maken aanvallers misbruik van meerdere kwetsbaarheden in de software van Zoho. Desktop Central is een oplossing voor systeembeheerders voor het uitvoeren van patchmanagement, het uitrollen van software, mobile device management en het op afstand overnemen van systemen om problemen te verhelpen. Een kritieke kwetsbaarheid in de software, aangeduid als CVE-2021-44515, maakt remote code execution op Desktop Central-servers mogelijk. Door het versturen van een speciaal geprepareerd request kan een aanvaller ongeautoriseerde toegang krijgen en willekeurige code uitvoeren, aldus Zoho. Volgens het softwarebedrijf maken aanvallers al voor het uitkomen van de beveiligingsupdate misbruik van de kwetsbaarheid. Vorige week waarschuwde de FBI nog voor een actief aangevallen kwetsbaarheid in Zoho ManageEngine ServiceDesk Plus (CVE-2021-44077). Verder kregen Amerikaanse overheidsinstanties van het Cybersecurity and Infrastructure Security Agency (CISA) een deadline voor het patchen van een ander lek in ServiceDesk Plus (CVE-2021-37415) en maakte Microsoft melding van een wereldwijde spionagecampagne via een beveiligingslek in ManageEngine ADSelfService Plus (CVE-2021-40539).


FBI meldt actief misbruik van lek in Zoho ManageEngine ServiceDesk Plus

De FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van de Amerikaanse overheid waarschuwen voor actief misbruik van een kritieke kwetsbaarheid in Zoho ManageEngine ServiceDesk Plus. Dit is software waarmee helpdesks allerlei taken kunnen uitvoeren, zoals incidentmanagement, het beheer van supporttickets en het genereren van rapportages. Een kritieke kwetsbaarheid (CVE-2021-44077) in de software maakt het mogelijk voor een aanvaller om zonder inloggegevens willekeurige bestanden op de ServiceDesk Plus-server te installeren. Zo is het mogelijk om uitvoerbare bestanden of webshells op de server te plaatsen waarmee er toegang tot de server wordt behouden en verdere aanvallen mogelijk zijn. Softwareontwikkelaar Zoho kwam op 16 september met een beveiligingsupdate voor het probleem en verstuurde klanten een e-mail. Tien dagen geleden liet Zoho weten dat er actief misbruik van de kwetsbaarheid wordt gemaakt. Nu hebben de FBI en het CISA meer details over deze aanvallen gegeven, zoals gebruikte technieken en tactieken. Zoho heeft verder een exploit-detectietool beschikbaar gemaakt waarmee organisaties kunnen controleren of hun servers zijn gecompromitteerd. De Amerikaanse overheidsdiensten stellen dat het lastig kan zijn om te bevestigen dat een ServiceDesk Plus-server is gecompromitteerd. De aanvallers verwijderen namelijk allerlei sporen, alsmede de manier waarop ze binnenkwamen en proberen elke link tussen misbruik van het lek en de geïnstalleerde webshell te verbergen.