Kwetsbaarheden CVE's

2024 | 2023 | 2022 | 2021

december | november | oktober | september | augustus

Microsoft ontdekt kwetsbaarheid in macOS die installatie rootkit mogelijk maakt

Microsoft heeft een kwetsbaarheid in macOS ontdekt waardoor een beveiligingsmaatregel van het besturingssysteem is te omzeilen en een aanvaller bijvoorbeeld een rootkit kan installeren. Apple bracht op 25 oktober updates voor het beveiligingslek uit, dat wordt aangeduid als CVE-2021-30892. Details over de kwetsbaarheid zijn nu door Microsoft openbaar gemaakt. Het beveiligingslek maakt het mogelijk voor een aanvaller die al toegang tot het systeem heeft, bijvoorbeeld via een malafide applicatie, om de System Integrity Protection (SIP) van macOS te omzeilen en zo beveiligde delen van het file system aan te passen. SIP is een technologie die voorkomt dat een rootgebruiker acties kan uitvoeren die de systeemintegriteit aantasten. Verschillende processen zijn hier echter van uitgezonderd. Bij het onderzoeken van deze uitgezonderde processen ontdekte Microsoft een kwetsbaarheid. Het beveiligingslek is aanwezig in de manier waarop door Apple gesigneerde packages met post-install scripts worden geïnstalleerd. Een aanvaller zou een speciaal geprepareerd bestand kunnen maken dat het installatieproces kaapt en zo de SIP-beperkingen kan omzeilen. Vervolgens zou het mogelijk zijn om bijvoorbeeld een rootkit te installeren, systeembestanden te overschrijven of persistent niet te detecteren malware te installeren, aldus Microsoft. Onderzoeker Jonathan Bar Or beschrijft hoe bij de installatie van een door een Apple gesigneerde package (.pkg-bestand) system_installd wordt aangeroepen. Wanneer het package een post-install script bevat wordt die via een standaard shell (zsh) door system_installd uitgevoerd. Wanneer deze shell start zoekt het naar het bestand /etc/zshenv en zal, indien aanwezig, commando's van dit bestand automatisch uitvoeren, ook in de niet-interactieve mode. Een aanvaller zou hier misbruik van kunnen maken door een malafide /etc/zshenv bestand aan te maken en dan te wachten totdat system_installd de standaard shell aanroept, waarna er willekeurige operaties op het systeem zijn uit te voeren. Daarnaast is de kwetsbaarheid te gebruiken om rootrechten op het systeem te krijgen.

Google rolt update uit voor actief aangevallen zerodaylekken in Chrome

Google heeft voor de vierder keer in korte tijd beveiligingsupdates uitgerold voor actief aangevallen zerodaylekken in Chrome. Dit jaar heeft het techbedrijf al vijftien zerodays in de browser moeten verhelpen. Net als bij vorige patches geeft Google geen details over de doelwitten van deze aanvallen en hoe ze precies plaatsvonden. De kwetsbaarheden, aangeduid als CVE-2021-38000 en CVE-2021-38003, bevinden zich in Intents en V8. Intents is een onderdeel van de browser voor het openen van apps door middel van links. V8 is de JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript en waarin het afgelopen jaar al tal van andere zerodaylekken werden gevonden. De impact van beide kwetsbaarheden is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. De kwetsbaarheden zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. De Google Threat Analysis Group ontdekte beide zerodaylekken. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. Naast de actief aangevallen zerodaylekken verhelpt de update ook verschillende andere kwetsbaarheden, waaronder één die tijdens de TianfuCup werd gedemonstreerd, een jaarlijkse wedstrijd waarbij onderzoekers worden beloond voor het demonstreren van onbekende beveiligingslekken. Gebruikers krijgen het advies om te updaten naar Google Chrome 95.0.4638.69, die beschikbaar is voor Linux, macOS en Windows. Dit zal op de meeste systemen automatisch gebeuren. Microsoft Edge Chromium is net als Chrome op de Chromium-browser gebaseerd. Naar verwachting zal Microsoft snel met een update voor de eigen browser komen. Hieronder een overzicht van de vijftien zerodaylekken in Google Chrome en wanneer ze zijn verholpen. Recentelijk bleek dat Google dit jaar een recordaantal zerodays heeft geregistreerd.

• CVE-2021-21148 - 4 februari
• CVE-2021-21166 - 2 maart
• CVE-2021-21193 - 12 maart
• CVE-2021-21220 - 13 april
• CVE-2021-21224 - 20 april
• CVE-2021-30551 - 9 juni
• CVE-2021-30554 - 17 juni
• CVE-2021-30563 - 15 juli
• CVE-2021-30632 - 13 september
• CVE-2021-30633 - 13 september
• CVE-2021-37973 - 24 september
• CVE-2021-37975 - 30 september
• CVE-2021-37976 - 30 september
• CVE-2021-38000 - 28 oktober
• CVE-2021-38003 - 28 oktober

Huidige vaak misbruikte kwetsbaarheden door cybercriminelen

Kritiek lek in forumsoftware Discourse maakt remote code execution mogelijk

Een kritieke kwetsbaarheid in Discourse, opensourcesoftware voor fora, mailinglists en chatrooms, maakt remote code execution mogelijk en kan een aanvaller shell op de server geven. De ontwikkelaars hebben een beveiligingsupdate uitgebracht om het probleem te verhelpen. De kwetsbaarheid wordt veroorzaakt door het niet goed valideren van de links waarmee gebruikers zich voor een Discourse-platform kunnen aanmelden. Door het versturen van een speciaal geprepareerd request kan een aanvaller een bepaalde functie met zijn eigen invoer aanroepen en daardoor commando's uitvoeren en zo een shell op de server krijgen. Een Duitse beveiligingsonderzoeker ontdekte de kwetsbaarheid en meldde dit bij de ontwikkelaars, die vervolgens een update ontwikkelden. Het beveiligingslek is aanwezig in versie 2.7.8 en eerder. Beheerders worden onder andere door het Amerikaanse beveiligingsagentschap CISA aangeraden om te updaten naar versie 2.7.9 of nieuwer. Details van de kwetsbaarheid, aangeduid als CVE-2021-41163, zijn openbaar gemaakt.

Bug in GPS Daemon maakt systemen en services mogelijk onbeschikbaar

Er is een bug gevonden in de GPS Daemon in GPSD-versies 3.20 (uitgebracht op 31 december 2019) tot en met 3.22 (uitgebracht op 8 januari 2021) waarover wij eigenaren en gebruikers van (kritieke) infrastructuur en systemen die Coordinated Universal Time (UTC) verkrijgen van GPS-apparaten graag informeren. Op 24 oktober 2021 kunnen NTP-servers (Network Time Protcol) die gebruikmaken van GPSD-versies 3.20 tot en met 3.22 (waarin deze bug aanwezig is), 1024 weken terugdraaien (naar maart 2002) waardoor systemen en services mogelijk niet meer beschikbaar zijn, niet meer reageren, of onjuiste resultaten geven. Eigenaren en gebruikers van deze systemen wordt aangeraden om GPSD-versie 3.23 (uitgebracht op 8 augustus 2021) of nieuwer te gebruiken om dit probleem te mitigeren.

650.000 WordPress-sites kwetsbaar door lek in WP Fastest Cache

Zo'n 650.000 WordPress-sites lopen door een kwetsbaarheid in de plug-in WP Fastest Cache risico om door kwaadwillenden te worden overgenomen. WP Fastest Cache is een plug-in die ervoor moet zorgen dat WordPress-sites sneller worden geladen. Het is op meer dan één miljoen websites geïnstalleerd. Onderzoekers van Jetpack ontdekten twee kwetsbaarheden in de plug-in. De eerste kwetsbaarheid betreft geauthenticeerde SQL-injection en zorgt ervoor dat een aanvaller toegang tot de database kan krijgen, om zo bijvoorbeeld gebruikersnamen en gehashte wachtwoorden te stelen. De aanval is alleen mogelijk wanneer de classic-editor plug-in ook op de website actief is. De tweede kwetsbaarheid, aangeduid als CVE-2021-24869, betreft stored cross-site scripting (XSS) en cross-site request forgery (CSRF). Via dit beveiligingslek kan een aanvaller dezelfde acties als een ingelogde beheerder uitvoeren en zo volledige controle over de website krijgen. De impact van deze kwetsbaarheid is op een schaal van 1 tot en met 10 met een 9,6 beoordeeld. Jetpack waarschuwde de ontwikkelaar van WP Fastest Cache op 29 september. Vervolgens verscheen op 11 oktober versie 0.9.5 waarin de kwetsbaarheden zijn verholpen. Sinds het uitkomen van de nieuwe versie is WP Fastest Cache zo'n 354.000 keer gedownload, wat inhoudt dat nog zo'n 650.000 WordPress-sites niet zijn bijgewerkt met de nieuwste versie van de plug-in.

NSA waarschuwt voor beveiligingsrisico van wildcard tls-certificaten

Organisaties die van wildcard tls-certificaten gebruikmaken moeten goed stilstaan bij de mogelijke risico's hiervan, zo waarschuwt de Amerikaanse geheime dienst NSA. Via een wildcard certificaat is het mogelijk om via één tls-certificaat alle subdomeinen van een domein van een versleutelde verbinding te voorzien (bijvoorbeeld *.example.com). Dit moet de uitrol van https vereenvoudigen, aangezien beheerders niet voor elk los subdomein een apart tls-certificaat hoeven aan te vragen. Volgens de NSA worden wildcard certificaten meestal gebruikt om meerdere servers te configureren om zo het beheer te vereenvoudigen en geld te besparen. "Het gebruik van wildcard certificaten om ongerelateerde servers binnen de organisatie te valideren brengt risico's met zich mee", zo stelt de geheime dienst. Wanneer een server die het wildcard certificaat host is gecompromitteerd, lopen namelijk alle andere servers die onder het certificaat vallen risico. "Een aanvaller met de private key van een wildcard certificaat kan elke website imiteren die binnen het certificaat valt en toegang tot inloggegevens van gebruikers en beveiligde informatie krijgen", zo laat de Cybersecurity Information Sheet van de NSA weten (pdf). In het geval van een gecompromitteerd wildcard certificaat is een Application Layer Protocols Allowing Cross-Protocol Attack (ALPACA) mogelijk, waarbij een aanvaller gebruikersdata en cookies kan onderscheppen. Organisaties moeten daarom de reikwijdte van elk gebruikt wildcard certificaat binnen de organisatie begrijpen en waar mogelijk die beperken tot de servers die dezelfde applicatie hosten. "Door wildcard certificaten te vermijden of verantwoord te gebruiken, kunnen organisaties hun netwerkidentiteiten tegen aanvallers beschermen", besluit de NSA het document.

Ernstige kwetsbaarheid in Apache webservers wordt actief misbruikt

Apache heeft een nieuwe beveiligingsupdate (2.4.51) beschikbaar gesteld om de kwetsbaarheid CVE-2021-41773 te verhelpen. Met de beveiligingsupdate die eerder beschikbaar kwam (2.4.50) bleek de kwetsbaarheid niet volledig verholpen te zijn. Het advies is om de nieuwe beveiligingsupdate 2.4.51 zo snel mogelijk te installeren.

Onderzoek: 70.000 Exchange-servers missen belangrijke beveiligingsupdate

Ruim 70.000 Microsoft Exchange-servers missen een belangrijke beveiligingsupdate en zijn zo kwetsbaar voor aanvallen. De update om deze servers te beschermen is al sinds april van dit jaar beschikbaar, maar nog altijd niet door beheerders van de betreffende machines geïnstalleerd. Dat stelt securitybedrijf Rapid7 op basis van onderzoek naar ruim 306.000 Exchange-servers die toegankelijk vanaf internet zijn. Microsoft kwam in april en mei met beveiligingsupdates voor drie kwetsbaarheden, aangeduid als CVE-2021-34473, CVE-2021-34523 en CVE-2021-31207. Door de drie kwetsbaarheden te combineren is het mogelijk voor ongeauthenticeerde aanvallers om kwetsbare Exchange-servers op afstand over te nemen. Deze aanval kreeg de naam ProxyShell. Van de 306.000 onderzochte Exchange-servers draaien er nog 84.000 op Exchange 2007 en 2010. Deze versies zijn niet kwetsbaar voor de ProxyShell-aanval, maar worden al geruime tijd niet meer door Microsoft ondersteund en ontvangen zo geen beveiligingsupdates meer. De resterende 222.000 Exchange-servers draaien op Exchange 2013, 2016 en 2019. Deze versies zijn wel kwetsbaar voor ProxyShell. Aanvallers maken al enige tijd misbruik van de ProxyShell-kwetsbaarheden om Exchange-servers aan te vallen. Desondanks was op 29 procent van de servers de ProxyShell-update niet geïnstalleerd en was dit bij 2,6 procent gedeeltelijk. Dat houdt in dat 31,7 procent van de onderzochte Exchange 2013-, 2016- en 2019-servers mogelijk kwetsbaar is, aldus de onderzoekers.

Ernstige kwetsbaarheid in Apache webservers wordt actief misbruikt

In de Apache webserversoftware zit een ernstige kwetsbaarheid die actief wordt misbruikt. De kwetsbaarheid zit in versie 2.4.49 en heeft als kenmerk CVE-2021-41773. Het Nationaal Cyber Security Centrum (NCSC) heeft de kwetsbaarheid aangeduid als 'High/High’. Dit wil zeggen dat er een grote kans is dat een kwetsbaarheid wordt misbruikt en dat de schade groot kan zijn.

Wat is er aan de hand?

Apache is één van de meest gebruikte webserversoftware om bijvoorbeeld websites beschikbaar te stellen op het internet. Daarnaast zit deze software vaak verwerkt (embedded) in andere software om op die manier bijvoorbeeld management interfaces aan te bieden of andere webapplicaties.

De kwetsbaarheid maakt het voor een kwaadwillende mogelijk om op kwetsbare Apache servers toegang te krijgen tot (systeem)bestanden wat normaal gesproken niet mogelijk zou mogen zijn. Voor dit misbruik is alleen netwerktoegang nodig met een kwetsbare apache webserver. Apache webservers zijn vaak direct toegankelijk via het internet wat deze kwetsbaarheid extra zorgelijk maakt.

Wat kun je doen?

Maakt jouw organisatie gebruik van een website of webapplicatie? Ga dan na of deze gebruik maakt van Apache en controleer om welke versie het gaat. Gaat het om versie 2.4.49, dan is het dringend advies om deze zo snel mogelijk te updaten naar versie 2.4.50. Ben je niet zeker of de website of webapplicatie draait op Apache software, vraag dit dan na bij je IT-dienstverlener.

Download de beveiligingsupdate

AIVD publiceert cybersecurityaanpak voor beveiligen van netwerken

Het Nationaal Bureau voor Verbindingsbeveiliging (NBV) van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) heeft vandaag een "cybersecurityaanpak" gepubliceerd waarin organisaties wordt geadviseerd hoe ze hun netwerken kunnen beveiligen (pdf). "Deze aanpak is het resultaat van onze jarenlange expertise en in de praktijk bewezen informatiebeveiliging en risicomanagement", aldus het NBV. De cybersecurityaanpak is gebaseerd op drie principes en vier "ondersteunende pijlers". Het eerste principe gaat over risicodenken, waarbij wordt bepaald hoe de juiste weerbaarheid de juiste plek krijgt in de organisatie. Bij het tweede principe, assume breach, bereidt een organisatie zich voor op een succesvolle cyberaanval, om zo de duur en de schade van de aanval te beperken. Als laatste principe moet er worden ingezet op continue verbetering. De vier pijlers die door het NBV worden genoemd zijn contextanalyse, weerstand, detectie en schadebeperking. Zo moeten organisaties inzicht in dreigingen, infrastructuur en hun 'kroonjuwelen' krijgen, maatregelen nemen zoals segmentering, hardening en het uitvoeren van tests om hun netwerk te beveiligen, het implementeren van detectiemaatregelen en het nemen van maatregelen om de schade van een aanval te beperken, zoals incident respons, incident recovery en forensic readiness. "Met onze cybersecurityaanpak kun je snel zelf de juiste focus en kernpunten vinden bij risico’s in het cyberdomein. Het geeft je houvast bij het maken van een moderne informatiebeveiligingsstrategie", aldus het NBV. De organisatie heeft als doel om Nederland te beschermen tegen statelijke dreigingen en andere Advanced Persistent Threats (APT’s). Daarbij combineert het NBV beveiligingskennis met de inlichtingenpositie die het als onderdeel van de AIVD heeft.