Kwetsbaarheden CVE's
Groot lek in beveiliging ruim 150 typen HP-printers gevonden
Onderzoekers hebben een kritieke kwetsbaarheid in meer dan honderdvijftig modellen printers van HP ontdekt waardoor de apparaten op afstand zijn over te nemen. Alleen het bezoeken van een malafide website is voldoende om aanvallers code op kwetsbare printers te laten uitvoeren, maar het lek is ook door een worm te misbruiken, zo meldt antivirusbedrijf F-Secure dat het probleem ontdekte. De malafide website zou automatisch een document met malafide fonts op de kwetsbare printer kunnen printen, waardoor een buffer overflow ontstaat en remote code execution mogelijk is. Vervolgens zou een aanvaller informatie van de printer kunnen stelen, zoals geprinte, gescande en gefaxte documenten, maar ook informatie zoals wachtwoorden en inloggegevens die het apparaat gebruikt voor de verbinding met de rest van het netwerk. Volgens de onderzoekers zou een gecompromitteerde printer ook voor verdere aanvallen tegen het netwerk zijn te gebruiken, zoals de verspreiding van ransomware. Het probleem wordt veroorzaakt door de manier waarop de HP-printers fonts verwerken en zou ook door een worm te misbruiken zijn, aldus de onderzoekers. Een besmette printer zou zo automatisch en zonder gebruikersinteractie andere printers in het netwerk kunnen infecteren. F-Secure stelt in de aankondiging van het beveiligingslek dat alleen het bezoeken van een malafide website voldoende is om automatisch een document op de printer te printen, maar in een video waarin de kwetsbaarheid wordt gedemonstreerd is te zien hoe een gebruiker eerst op een link klikt. De impact van de kwetsbaarheid, aangeduid als CVE-2021-39238, is op een schaal van 1 tot en met 10 met een 9,3 beoordeeld. HP heeft firmware-updates uitgebracht en adviseert gebruikers en organisaties om die te installeren.
Onderzoeker zet ernstig Windows beveiligingslek op internet uit protest
Beveiligingsonderzoeker Abdelhamid Naceri heeft een ernstige kwetsbaarheid in Windows op internet gepubliceerd uit protest tegen de lage beloningen die Microsoft uitdeelt aan onderzoekers die kwetsbaarheden melden. Met de beveiligingslek kan een kwaadwillende binnen een paar seconden volledige administrator rechten over een computer krijgen. Naceri nam begin november 2021 een oplossing van Microsoft onder de loep. Hij ontdekte dat de bug niet goed was opgelost en dat hij via een omweg een nog krachtigere versie van deze exploit kon ontwikkelen. Zijn bevindingen over deze kwetsbaarheid publiceerde hij als Proof-of-Concept op het veelgebruikte openbare codeplatform GitHub. Dat het een ernstige kwetsbaarheid is, blijkt uit de test van Bleeping Computer. Zij testten de exploit op een test pc met de meest recente versie van Windows 10. De exploit bleek bijzonder simpel uit te voeren: door het aanklikken van een .exe, een installatie bestand, verandert een regulier account zonder rechten binnen een paar seconden in een administrator account dat volledige toegang heeft tot de computer. Bij veel bedrijven is het via gebruikersrechten(policies) geregeld dat gewone gebruikers geen programma’s mogen installeren, maar deze zero-day werkt; dus zelfs als deze policies streng zijn afgesteld. Hierdoor zijn ook grote bedrijven met betere beveiliging kwetsbaar. Normaliter meldt een onderzoeker een dergelijke kwetsbaarheid bij de softwareontwikkelaar, zodat zij deze in alle stilte kunnen verhelpen. Afhankelijk van hoe ernstig een kwetsbaarheid is, ontvangt de onderzoeker in ruil hiervoor een beloning, een zogeheten bug-bounty. Deze beloningen kunnen variëren van honderden tot tienduizenden dollars, of zelfs nog veel meer. Volgens Naceri zijn de bug-bounties van Microsoft sinds april 2020 aanzienlijk lager dan voorheen. Vaak kost het veel tijd en moeite om een kwetsbaarheid te vinden en uit te werken, dus onderzoekers schrikken wanneer bounties die voorheen 10.000 Amerikaanse dollar waard waren, vandaag de dag nog maar 1.000 dollar opleveren.
Under Microsoft's new bug bounty program one of my zerodays has gone from being worth $10,000 to $1,000 💀
— MalwareTech (@MalwareTechBlog) July 27, 2020
Microsoft verhelpt actief aangevallen zerodaylek week later in Office voor Mac
Microsoft heeft een actief aangevallen zerodaylek nu ook in Office voor Mac verholpen, een week nadat de beveiligingsupdate voor de Windowsversies van de kantoorsoftware verscheen. Via de kwetsbaarheid, aangeduid als CVE-2021-42292, kan een aanvaller code op het systeem uitvoeren als er een speciaal geprepareerd Excel-document wordt geopend. Het gaat hier om een "security feature bypass". Waarschijnlijk betreft het code die normaal pas na toestemming van de gebruiker wordt uitgevoerd, maar door de kwetsbaarheid verschijnt er vermoedelijk geen venster dat hierom vraag. Microsoft bracht op 9 november een beveiligingsupdate voor de kwetsbaarheid uit, maar niet voor Office voor Mac. Op het moment dat de patch verscheen werd er al misbruik van het lek gemaakt. Verdere details over de aanvallen zijn niet gegeven, behalve dat Microsoft het zerodaylek zelf ontdekte. Nu is de beveiligingsupdate voor de kwetsbaarheid ook voor Office voor Mac verschenen. Die verhelpt daarnaast ook een andere kwetsbaarheid (CVE-2021-40442) waardoor remote code execution mogelijk is bij het openen van een document. Microsoft roept gebruikers van Office 2019 voor Mac en Office LTSC voor Mac 2021 op om de update te installeren en zo beschermd te zijn tegen de kwetsbaarheden.
Microsoft patcht kwetsbaarheden in updateassistent Windows 10
Microsoft waarschuwt voor twee kwetsbaarheden in de updateassistent van Windows 10 waardoor een aanvaller bestanden op het systeem van gebruikers kan verwijderen. Beveiligingsupdates zijn buiten de vaste patchdinsdag om beschikbaar gemaakt en details over één van de beveiligingslekken zijn al openbaar, zo laat het techbedrijf weten. Volgens Microsoft zijn er nog geen aanvallen waargenomen die misbruik maken van de kwetsbaarheden. De beveiligingslekken, aangeduid als CVE-2021-43211 en CVE-2021-42297, vallen in de categorie "Elevation of Privilege". Het gaat in dit geval om kwetsbaarheden waarmee een aanvaller die toegang tot een systeem heeft zijn rechten kan verhogen. In dit geval zou een aanvaller alleen bestanden van het systeem kunnen verwijderen. Het bekijken of aanpassen van bestanden is niet mogelijk, aldus Microsoft. De impact van de kwetsbaarheden is op een schaal van 1 tot en met 10 met een 5 en 5,5 beoordeeld.
Exchange Server 2013 ook kwetsbaar voor actief aangevallen beveiligingslek
Exchange Server 2013 is ook kwetsbaar voor een actief aangevallen beveiligingslek waardoor aanvallers de mailserver kunnen overnemen. Microsoft bracht op 9 november beveiligingsupdates uit voor Exchange Server 2016 en 2019 en heeft de patch nu ook voor Exchange Server 2013 beschikbaar gesteld. Op het moment dat Microsoft de update uitrolde werd er al misbruik van het beveiligingslek gemaakt. Verdere details werden niet gegeven, behalve dat meerdere onderzoekers het probleem aan Microsoft hadden gerapporteerd en het techbedrijf de kwetsbaarheid zelf ook had gevonden. De kwetsbaarheid, aangeduid als CVE-2021-42321, maakt het mogelijk voor een geauthenticeerde aanvaller om willekeurige code op de server uit te voeren. De aanvaller moet in dit geval over inloggegevens van een legitieme gebruiker beschikken om de server aan te vallen. De inloggegevens zouden bijvoorbeeld via phishing kunnen worden gestolen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 met een 8,8 beoordeeld.
VS, VK en Australië waarschuwen voor misbruik Exchange- en Fortinet-lekken
De Amerikaanse, Australische en Britse overheid hebben een waarschuwing afgegeven voor een groep aanvallers die door de Iraanse overheid zou worden gesponsord en misbruik maakt van bekende kwetsbaarheden in Microsoft Exchange en Fortinet FortiOS. Ook Microsoft is met een overzicht gekomen van verschillende groepen aanvallers die vanuit Iran zouden opereren. De groep aanvallers waarvoor de FBI, Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA), het Australische Cyber Security Centre (ACSC) en het Britse National Cyber Security Centre (NCSC) waarschuwen maakt sinds maart van dit jaar misbruik van bekende beveiligingslekken in Fortinet FortiOS. Het gaat om CVE-2018-13379, CVE-2019-5591 en CVE-2020-12812 waardoor een aanvaller toegang tot Fortinet vpn-servers kan krijgen. De APT-groep wist via de beveiligingslekken onder andere het netwerk van een Amerikaans kinderziekenhuis te compromitteren, aldus de waarschuwing. Sinds oktober van dit jaar maken de aanvallers ook gebruik van van de ProxyShell-kwetsbaarheden in Microsoft Exchange. ProxyShell is een naam voor drie kwetsbaarheden die wanneer gecombineerd het voor ongeauthenticeerde aanvallers mogelijk maken om kwetsbare Exchange-servers op afstand over te nemen. Zodra de APT-groep toegang tot de Exchange-server heeft gekregen worden verdere aanvallen uitgevoerd om organisaties met ransomware te infecteren. Organisaties worden opgeroepen om beveiligingsupdates zo snel mogelijk te installeren wanneer die beschikbaar komen. Voor sommige van de aangevallen kwetsbaarheden zijn patches al geruime tijd beschikbaar. Daarnaast moeten de kwetsbaarheden aangeduid als CVE-2021-34473, CVE-2018-13379, CVE-2020-12812 en CVE-2019-5591 meteen worden gepatcht.
Beveiligingsadvies kwetsbaarheden in RPKI-validatie software gepubliceerd (update)
Het NCSC coördineert een multi-party CVD-proces rondom kwetsbaarheden in RPKI-validatie software. Dit proces vraagt om brede, meervoudige afstemming met veel internationale partijen. Eerder dit jaar is het NCSC benaderd door onderzoekers die de kwetsbaarheden hebben gevonden met het verzoek om hen bij te staan in dit multi-party proces.In navolging van deze melding heeft het NCSC verschillende partijen op de hoogte gesteld van het bestaan van deze kwetsbaarheden. Samen met de betrokken partijen is gewerkt aan het vinden van een gezamenlijke datum waarop de updates beschikbaar konden worden gesteld.
Op dinsdag 9 november is door het NCSC een beveiligingsadvies (NCSC-2021-0987) over deze kwetsbaarheden uitgestuurd. In dit advies zijn ook de oplossingen van de verschillende ontwikkelaars van validatiesoftware opgenomen. De voorgestelde oplossingen van de ontwikkelaars vindt u onderaan dit bericht.
Het NCSC zal de ervaringen van dit traject inbrengen in de lopende discussie rondom multi-party disclosure om zo te kunnen blijven verbeteren en bij te dragen aan nationale- en internationale digitale veiligheid.
Overzicht oplossingen ontwikkelaars:
Cloudflare
Cloudflare heeft updates uitgebracht voor OctoRPKI om de kwetsbaarheden te verhelpen. Meer informatie vindt u hier.
FORT
De ontwikkelaar van FORT Validator hebben updates uitgebracht om de kwetsbaarheden te verhelpen. Meer informatie vindt u hier.
NLnet Labs
NLnet Labs heeft updates uitgebracht voor Routinator om de kwetsbaarheden te verhelpen. Meer informatie vindt u hier.
OpenBSD
De ontwikkelaars van OpenBSD hebben updates uitgebracht om de kwetsbaarheden te verhelpen in rpki-client 7.5. Voor meer informatie, zie link (OpenBSD Errata), link (rpki-client 7.5)
RIPE NCC
RIPE NCC heeft aangegeven dat RPKI Validator 3 sinds 1 juli 2021 niet meer wordt ondersteund en geen (beveiliging)updates meer ontvangt. Meer informatie over RPKI Validator 3 vindt u hier.
rpki-prover
De ontwikkelaars van rpki-prover hebben updates beschikbaar gesteld om de kwetsbaarheden te verhelpen. Meer informatie vindt u hier.
Google rolt update uit voor actief aangevallen zerodaylek in Android
Google heeft een beveiligingsupdate uitgebracht voor een actief aangevallen zerodaylek in Android. Via de kwetsbaarheid in de Androidkernel, aangeduid als CVE-2021-1048, kan een aanvaller die al toegang tot een toestel heeft, bijvoorbeeld via een malafide app of andere kwetsbaarheid, zijn rechten verhogen. Details over de waargenomen aanvallen zijn niet door Google gegeven. In totaal heeft Google met de patchronde van november 39 kwetsbaarheden in Android verholpen. Volgens Google zijn de gevaarlijkste beveiligingslekken van deze maand aanwezig in Android System. Via deze kwetsbaarheden, aangeduid als CVE-2021-0918 en CVE-2021-0930, kan een aanvaller door het versturen van een "speciaal geprepareerde transmissie", op afstand willekeurige code op toestellen uitvoeren. Verdere details over deze beveiligingslekken en het soort transmissie worden niet door Google gegeven. In het verleden is de term "speciaal geprepareerde transmissie" echter gebruikt bij bluetooth-kwetsbaarheden. Beide beveiligingslekken zijn door Google als kritiek aangemerkt. Een andere kritieke kwetsbaarheid (CVE-2021-0889) is aanwezig in Android TV. Een aanvaller in de buurt van een toestel kan zich stilletjes met een televisie pairen en willekeurige code uitvoeren, zonder dat hiervoor privileges of interactie van de gebruiker zijn vereist. De overige Androidlekken maken het mogelijk voor apps om zonder interactie van gebruikers aanvullende permissies te krijgen. Naast kwetsbaarheden in de eigen Androidcode verhelpt Google met de maandelijkse patchronde ook kwetsbaarheden in onderdelen van chipsetfabrikanten waar Android gebruik van maakt. Deze maand gaat het om onderdelen van MediaTek en Qualcomm. Twee van de kwetsbaarheden in de software van Qualcomm, CVE-2021-1924 en CVE-2021-1975, zijn aangemerkt als kritiek. CVE-2021-1975 is op afstand te misbruiken en bevindt zich in de datamodem. Bij het verwerken van een dns-response kan zich een heap overflow voordoen. De ernst van het lek is op een schaal van 1 tot en met 10 met een 9,8 beoordeeld. Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de november-updates ontvangen zullen '2021-11-01', '2021-11-05' of '2021-11-06' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van oktober aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 9, 10, 11 en 12. Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.
Zeer kritiek GitLab-lek actief misbruikt: zeker 30.000 installaties kwetsbaar
Aanvallers maken op dit moment actief misbruik van een zeer kritieke kwetsbaarheid in GitLab waardoor zeker 30.000 installaties risico lopen, zo stelt securitybedrijf Rapid7. GitLab is een online DevOps-tool waarmee ontwikkelaars samen software kunnen ontwikkelen. In april van dit jaar maakte GitLab een beveiligingsupdate beschikbaar voor een zeer kritieke kwetsbaarheid in de GitLab Community Edition (CE) en Enterprise Edition (EE), aangeduid als CVE-2021-22205. De applicatie bleek geüploade afbeeldingen niet goed te controleren. Door het uploaden van een speciaal geprepareerd DjVu-bestand kan een aanvaller willekeurige code als de git-gebruiker uitvoeren. Zo is het mogelijk om een shell op de server te krijgen. In eerste instantie werd de impact van de kwetsbaarheid op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,9 beoordeeld. Op 21 september wijzigde GitLab dit naar een 10. De reden voor de aanpassing is dat het beveiligingslek ook door een ongeauthenticeerde aanvaller is te misbruiken, in plaats van alleen een geauthenticeerde aanvaller zoals eerst werd gedacht. Er zijn verschillende exploits voor de kwetsbaarheid op internet verschenen. Hoewel er sinds april beveiligingsupdates beschikbaar zijn, hebben veel beheerders die nog niet geïnstalleerd. Rapid7 detecteerde 60.000 GitLab-installaties die vanaf het internet toegankelijk zijn. Daarvan zijn er 12.600 gepatcht gepatcht, maar draaien 30.000 installaties nog altijd een kwetsbare versie. Van 17.400 installaties kon de versie niet worden vastgesteld. Het aantal kwetsbare installaties ligt daardoor mogelijk boven de dertigduizend. Naar verluidt zou er sinds juni of juli misbruik van het lek zijn gemaakt. Rapid7 verwacht dat misbruik zal toenemen zodra details bekend worden om ongeauthenticeerde aanvallen te kunnen uitvoeren. Beheerders worden dan ook opgeroepen om de update te installeren.
NCSC stelt bekendmaking van kwetsbaarheden in RPKI-validators uit
Het Nationaal Cyber Security Centrum (NCSC) heeft besloten om de bekendmaking van verschillende kwetsbaarheden in RPKI-validators na overleg met ontwikkelaars uit te stellen. Oorspronkelijk was het plan dat de beveiligingslekken in deze belangrijke internetsoftware vandaag zouden worden aangekondigd. Het routeren van internetverkeer vindt plaats via allerlei netwerken wat op basis van wederzijds vertrouwen gebeurt. Elke partij vertrouwt dat de route die wordt gebruikt voor het versturen van informatie veilig is, klopt en niet voor malafide doeleinden wordt aangepast. Dit model is echter kwetsbaar voor misbruik en aanvallen. Met cryptografisch verifieerbare statements zorgt RPKI ervoor dat netwerkproviders deze keten kunnen valideren. Met RPKI kunnen Border Gateway Protocol (BGP) route-aankondigingen die afkomstig zijn van een router worden gevalideerd zodat zeker is dat de route afkomstig is van de juiste partij en het een geldige route is. Het Border Gateway Protocol (BGP) wordt gebruikt om verkeer tussen autonomous systems (AS) te routeren en essentieel is voor de werking van het internet. Met een RPKI-validator kunnen netwerkproviders RPKI-data downloaden en verifiëren en het resultaat aan hun routers toevoegen of het op andere plekken binnen het BGP-beslissingsproces gebruiken. De software speelt dan ook een belangrijke rol. Het NCSC werd eerder dit jaar benaderd door onderzoekers die in verschillende RPKI-validators kwetsbaarheden hebben gevonden met het verzoek om hen bij te staan bij het informeren van ontwikkelaars en publicatie van de kwetsbaarheden. Dat zou op maandag 1 november moeten plaatsvinden. "Het NCSC coördineert op dit moment een multi-party CVD-proces. Zoals wellicht bekend vraagt een multi party CVD-proces een brede, meervoudige afstemming met veel internationale partijen. Rond dit proces is dit keer een verschil van inzicht met enkele ontwikkelaars van RPKI-client software ontstaan", meldt het NCSC op de eigen website. Een ontwikkelaar van RPKI-validators had afgelopen donderdag op de mailinglist van Stichting NLNOG, de Nederlandse Network Operators Group, uitgehaald naar het NCSC. "Het NCSC wilde enkel concrete informatie verstrekken als ik akkoord zou gaan met een full disclosure-publicatie aanstaande maandag. Maar de boel loopt vast als het NCSC niet vertelt wat het probleem is, waardoor ik niet kan beoordelen hoeveel tijd nodig is, en dus geen idee heb of we voor maandag überhaupt een oplossing hebben voor onze gebruikers", stelt Job Snijders, internet-engineer en BGP- en RPKI-operator bij internetbedrijf Fastly. Volgens Snijders lijkt het NCSC in dit geval onzorgvuldig gehandeld te hebben met mogelijk gevoelige informatie over vitale Internetinfrastructuur. "Wat mij betreft niet voor herhaling vatbaar", aldus de internet-engineer. Afgelopen vrijdag meldde het NCSC dat het de kwetsbaarheden vandaag zou aankondigen en dat erin dit proces een afweging was gemaakt om enkele ontwikkelaars van RPKI-validators pas later te informeren. Daar is het nu, mede na kritiek van ontwikkelaars, op teruggekomen. "Gelukkig zijn er sinds 30 oktober constructieve gesprekken met de betrokken partijen. Daarom zal het NCSC inhoudelijke details over deze kwetsbaarheid niet op maandag 1 november vrijgeven, zoals eerder aangekondigd, maar op een later moment (in overleg met de betrokken partijen)", laat de overheidsinstantie nu weten. Snijders is blij met de beslissing van het NCSC. "In goed overleg is er besloten de tijdlijnen aan te passen om meerdere belanghebbenden de mogelijkheid te geven analyses te maken. Ik wil mijn dank uitspreken naar alle mensen die on-list, off-list, en via appjes de wens uitspraken voor koerswijzigingen binnen deze casus. Weinig is mooier dan samen met de lijnen volledig open het Internet veiliger te maken!"