Kwetsbaarheden CVE's
Cisco: gebrek aan logging nog altijd probleem om aanvalsvector te bepalen
Doordat de logs van aangevallen organisaties nog altijd niet in orde zijn kan niet worden achterhaald hoe aanvallers netwerken weten binnen te dringen, zo stelt Cisco. Het bedrijf laat al jaren weten dat het bij de onderzoeken die het uitvoert aanloopt tegen onvolledige of ontbrekende logs. Zodoende kan niet worden achterhaald welke aanvalsvector de aanvallers gebruikten. Een situatie die ook in de eerste helft van dit jaar niet is veranderd. Bij de onderzoeken waarbij de aanvalsvector wel bekend was ging het onder andere om gebruik van het Log4j-lek om kwetsbare VMware Horizon-servers aan te vallen, alsmede kwetsbaarheden in GitLab (CVE-2021-22204 en CVE-2021-22205) waardoor remote code execution mogelijk is. Eerder lieten andere securitybedrijven al weten dat de criminelen achter de Cerber-ransomware gebruikmaken van oudere kwetsbaarheden in Atlassian Confluence en GitLab om netwerken aan te vallen en ransomware verspreiden.Het belangrijkste advies dat Cisco voor aangevallen organisaties heeft is het implementeren van multifactorauthenticatie (MFA) voor alle belangrijke services, waaronder endpoint detection response (EDR) oplossingen. "MFA is een effectieve manier om te voorkomen dat aanvallers ongewenste toegang krijgen, en we zien geregeld aanvallen die voorkomen hadden kunnen worden als MFA was ingeschakeld", zegt Caitlin Huey van Cisco. De onderzoeker wijst naar een incident bij een telecombedrijf. De aanvallers wisten de helpdesk/callcenter van een partnerbedrijf te compromitteren. Deze derde partij had toegang tot de Citrix-servers van het telecombedrijf, waarbij accounts niet met MFA waren beveiligd. Via de Citrix-toegang werd uiteindelijk het telecombedrijf gecompromitteerd. Cisco adviseert dan ook voor derde partijen waarmee organisaties samenwerken naar MFA-beveiligingsbeleid te kijken.
FBI en NSA publiceren Top 15 van vaak misbruikte kwetsbaarheden in 2021
De Amerikaanse geheime dienst NSA en opsporingsdienst FBI hebben samen met de Australische, Britse, Canadese en Nieuw-Zeelandse autoriteiten een Top 15 gepubliceerd van kwetsbaarheden die geregeld in 2021 door aanvallers werden misbruikt. De beveiligingslekken werden ingezet bij aanvallen tegen zowel private als publieke organisaties. Ach van de vijftien kwetsbaarheden op de lijst bevinden zich in Microsoft Exchange Server. Het gaat onder andere om lekken die bekendstaan als ProxyShell en ProxyLogon en onder andere bij zeroday-aanvallen werden gebruikt. De overige acht beveiligingslekken zijn aanwezig in Log4j, Zoho ManagEngine AD SelfService Plus, Atlassian Confluence Server, VMware vSphere Client, Microsoft Netlogon Remote Protocol (ZeroLogon), Pulse Secure en Fortinet FortiOS. De kwetsbaarheden in FortiOS en Pulse Secure dateren respectievelijk van 2018 en 2019, terwijl er voor het ZeroLogon-lek in 2020 een beveiligingsupdate verscheen. "Drie van de Top 15 geregeld misbruikte kwetsbaarheden werden ook vaak misbruikt in 2020. Het continu misbruik van deze lekken geeft aan dat veel organisaties software niet tijdig patchen en zo kwetsbaar blijven voor aanvallers", aldus de waarschuwing van de diensten. Naast de kwetsbaarheden in Top 15 kwamen de Amerikaanse, Australische, Britse, Canadese en Nieuw-Zeelandse autoriteiten ook met een lijst van andere vaak misbruikte beveiligingslekken in 2021. Het gaat onder andere om kwetsbaarheden in Accellion FTA, Sitecore XP, ForgeRock OpenAM server, VMware vCenter Server, SonicWall Secure Mobile Access, Sudo, Microsoft Windows Print Spooler, QNAP QTS, Citrix Application Delivery Controller (ADC) en Gateway, Progress Telerik UI, Cisco IOS en Microsoft Office. Ook deze lijst bestaat uit kwetsbaarheden waarvoor al jaren beveiligingsupdates beschikbaar zijn. Zo kwam Microsoft voor de genoemde Office-lekken in 2017 al met patches, wat aantoont dat organisaties nalaten om kritieke beveiligingsupdates te installeren. De Citrix-kwetsbaarheden werden in 2019 gepatcht en worden al geruime tijd misbruikt bij aanvallen. Toch blijkt dat deze beveiligingslekken nog altijd bruikbaar zijn voor aanvallers. Organisaties worden dan ook door de diensten opgeroepen om beschikbare updates te installeren en end-of-life software te vervangen.
Microsoft vindt Linux-kwetsbaarheden die lokale aanvaller root laten worden
Microsoft heeft verschillende kwetsbaarheden in Linux gevonden waardoor een lokale aanvaller root kan worden. De beveiligingslekken, samen aangeduid als "Nimbuspwn", werden gevonden tijdens onderzoek naar services die als root draaien. Daarbij werd een vreemd patroon gezien in een systemd unit genaamd networkd-dispatcher. Networkd-dispatcher is een daemon die veranderingen in netwerkverbindingen van systemd-networkd bijhoudt. Systemd-networkd is een system daemon voor het beheer van netwerkconfiguraties. Het detecteert en configureert netwerkapparaten. Networkd-dispatcher luistert naar signalen van systemd-networkd. Afhankelijk van deze signalen worden scripts uitgevoerd die zich in bepaalde directories bevinden en als root worden uitgevoerd. Twee kwetsbaarheden maken het mogelijk voor een aanvaller om deze scripts te vervangen, waardoor zijn code als root wordt uitgevoerd. Via CVE-2022-29799, een path traversal kwetsbaarheid, is het mogelijk om uit de etc/networkd-dispatcher directory te ontsnappen. CVE-2022-29800 is een time-of-check-time-of-use (TOCTOU) race condition. Er zit een bepaalde tijd tussen het vinden van de scripts die moeten worden uitgevoerd en het daadwerkelijk uitvoeren ervan. Via de kwetsbaarheden kan een aanvaller de scripts vervangen waarvan networkd-dispatcher denkt dat ze van root zijn door scripts die dat niet zijn. De networkd-dispatcher zal deze scripts vervolgens als root uitvoeren. De aanval is alleen in bepaalde gevallen mogelijk, aldus Microsoft-onderzoeker Jonathan Bar Or. Zo moet de aanvaller een specifieke busnaam kunnen gebruiken, iets wat volgens de onderzoeker bij bijvoorbeeld Linux Mint het geval is. Microsoft waarschuwde de maintainer van networkd-dispatcher die inmiddels updates heeft uitgebracht.
Cisco Firepower-firewalls door beveiligingslek kwetsbaar voor dos-aanval
Firepower-firewalls van Cisco bevatten verschillende kwetsbaarheden waardoor een aanvaller een denial of service kan veroorzaken. Een ongeauthenticeerde aanvaller kan zo op afstand apparaten laten herstarten, ervoor zorgen dat er geen nieuwe verbindingen meer mogelijk zijn of dat al het verkeer dat via de firewall gaat wordt gedropt. De impact van de vijf beveiligingslekken in de Cisco Firepower Threat Defense Software, aangeduid als CVE-2022-20767, CVE-2022-20760, CVE-2022-20757, CVE-2022-20751 en CVE-2022-20746, is op een schaal van 1 tot en met 10 beoordeeld met een 8.6. Het is al een half jaar geleden dat er kwetsbaarheden met een impactlabel "high" in de Firepower-software is aangetroffen. De problemen worden veroorzaakt door het niet goed verwerken van TCP-flows, het niet goed omgaan met platformlimieten, het niet goed verwerken van inkomende requests, geheugenmanagement voor bepaalde Snort-events en regels voor de dns-reputatie. Voor zover bekend wordt er nog geen misbruik van de beveiligingslekken gemaakt. Cisco heeft updates beschikbaar gemaakt om de problemen te verhelpen.
NAS-systemen QNAP kwetsbaar voor aanvallen door lekken in Netatalk
NAS-systemen van fabrikant QNAP zijn door beveiligingslekken in Netatalk kwetsbaar voor aanvallen. Netatalk is een vrije, opensource-implementatie van het Apple Filing Protocol (AFP) en maakt het mogelijk voor Unix-achtige besturingssystemen om als fileserver voor Macs te fungeren. Eind vorige maand kwam het Netatalk-ontwikkelteam met een nieuwe versie waarin meerdere kwetsbaarheden zijn verholpen. Netatalk wordt ook gebruikt door QTS, QuTS hero en QuTScloud, de besturingssystemen die op NAS-systemen van QNAP draaien. Vier van de beveiligingslekken in Netatalk (CVE-2022-0194, CVE-2022-23121, CVE-2022-23122 en CVE-2022-23125) maken het mogelijk voor ongeauthenticeerde aanvallers om code op kwetsbare QNAP-systemen uit te voeren. QNAP heeft de impact van de beveiligingslekken als "high" bestempeld. De NAS-fabrikant stelt dat de kwetsbaarheden al zijn verholpen in QTS 4.5.4.2012 build 20220419 en nieuwer. Voor andere versies van de besturingssystemen worden nog beveiligingsupdates ontwikkeld. Wanneer die precies zullen verschijnen is nog onbekend. Als tijdelijke oplossing wordt het uitschakelen van AFP aangeraden.
VS waarschuwt voor actief misbruik van Dirty Pipe-lek in Linux
De Amerikaanse overheid heeft een waarschuwing afgegeven dat aanvallers actief misbruik maken van het Dirty Pipe-lek in Linux. Via het lek kan een lokale gebruiker rootrechten krijgen. Overheidsinstanties in de VS zijn opgedragen om het beveiligingslek voor 16 mei in hun systemen te verhelpen. De kwetsbaarheid wordt Dirty Pipe genoemd vanwege de onveilige interactie tussen een Linux-bestand, dat permanent op de harde schijf wordt opgeslagen, en een Linux-pipe, wat een databuffer in het geheugen is die als een bestand is te gebruiken. Wanneer een gebruiker een pipe heeft om naar toe te schrijven en een bestand waarbij dit niet kan, dan kan het schrijven naar het geheugenbuffer van de pipe onbedoeld ook de gecachte pagina's van verschillende delen van het schijfbestand aanpassen. Hierdoor wordt de aangepaste cachebuffer door de kernel terug naar de schijf geschreven en de inhoud van het opgeslagen bestand permanent aangepast, ongeachte de permissies van het bestand. Een lokale gebruiker kan zo een SSH-key aan het root-account toevoegen, een rootshell aanmaken of een cronjob toevoegen die als backdoor draait en een nieuw gebruikersaccount met rootrechten toevoegt, maar ook het aanpassen van bestanden buiten een sandbox is mogelijk. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren. De lijst, die inzicht geeft in kwetsbaarheden waarvan aanvallers misbruik maken, wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. Met de laatste update zijn erin totaal zeven nieuw aangevallen kwetsbaarheden aan de lijst toegevoegd. Het gaat naast het Dirty Pipe-lek in Linux ook om vier kwetsbaarheden in Windows waardoor een lokale aanvaller zijn rechten kan verhogen. Voor één van deze beveiligingslekken (CVE-2022-26904) kwam Microsoft twee weken geleden met een update. Volgens Microsoft werd het lek op het moment dat de patch uitkwam nog niet aangevallen. Dat is inmiddels veranderd, aldus het CISA, wat wederom aangeeft hoe snel aanvallers misbruik van geopenbaarde kwetsbaarheden maken.
AWS dicht lek in tool die een andere kwetsbaarheid op moest lossen
Eind vorig jaar werd een ernstige kwetsbaarheid ontdekt in Log4j. Dit is een software-tool van Apache om logbestanden aan te maken die in veel (web-)applicaties gebruikt wordt. Het lek maakte het mogelijk om netwerken binnen te dringen en ransomware-aanvallen uit te voeren. AWS bracht in december een tool uit die moest helpen bij het updaten van kwetsbare versies van Log4j. Deze bevatte echter kwetsbaarheden die een nieuwe dreiging creëerden. Het was namelijk onbedoeld mogelijk voor aanvallers om uit de container te breken waarin de tool was geïnstalleerd, code uit te voeren op de onderliggende host en mogelijk tientallen of honderden andere containers over te nemen. Unit 42, het onderzoeksteam van Palo Alto Networks, publiceerde een blog over de kwetsbaarheid, die ontdekt is door cloud security-onderzoeker Yuval Avrahami. Eerder op dezelfde dag bracht AWS een een beveiligingsadvies en patches uit om de kwetwsbaarheid te verhelpen. Unit 42 raadt organisaties aan om containeromgevingen te controleren op de kwetsbare tool en de fix van Amaxon zo snel mogelijk te implementeren.
Microsoft verwijdert poort 445-advies voor kritieke Windows-kwetsbaarheid
Microsoft kwam op 12 april met een beveiligingsupdate voor een kritieke kwetsbaarheid in Windows en een mitigatie-advies dat organisaties zou moeten beschermen, maar dit advies is niet volledig en nu verwijderd. Via het beveiligingslek in de Remote Procedure Call (RPC) runtime library kan een aanvaller zonder enige interactie van gebruikers controle over systemen krijgen. De kwetsbaarheid is in theorie te misbruiken door een computerworm. De impact van de kwetsbaarheid, aangeduid als CVE-2022-26809, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Naast het installeren van de update adviseerde Microsoft als mitigatie om tcp-poort 445 op de perimeter-firewall te blokkeren, aangezien deze poort wordt gebruikt om verbinding met het kwetsbare Windows-onderdeel te maken. Door poort 445 te blokkeren worden systemen achter de firewall beschermd. Iets wat volgens Microsoft de beste bescherming is tegen aanvallen vanaf het internet. In een update van het beveiligingsbulletin laat Microsoft weten dat de aangeraden mitigatie niet tegen alle potentiële aanvalsscenario's bescherming biedt. Het mitigatie-advies "Block TCP port 445 at the enterprise perimeter firewall" is dan ook verwijderd. Volgens Microsoft gebruikte de onderzoeker die de kwetsbaarheid rapporteerde SMB als aanvalsvector om het lek in de RPC-service te misbruiken. Het advies om poort 445 te blokkeren zou in dit geval effectief zijn. "Hoewel het blokkeren van poorten 139 en 445 (SMB) op de perimeter-firewall een aanbevolen practice is, beschermt het niet tegen alle aanvalsscenario's voor deze specifieke kwetsbaarheid", laat Microsoft weten. Het techbedrijf is op dit moment niet bekend met andere specifieke aanvalsvectoren voor deze kwetsbaarheid. Verder stelt Microsoft dat het blokkeren van tcp-poort 135 op de firewall een aanbevolen practice is die ook de kans verkleint op potentiële andere aanvallen die van het genoemde Windows-lek misbruik maken.
Androidtelefoons kwetsbaar voor aanval met malafide audiobestanden
Onderzoekers hebben drie kwetsbaarheden ontdekt waarmee het mogelijk is om Androidtelefoons door middel van malafide audiobestanden aan te vallen. De beveiligingslekken bevinden zich in de audiodecoders van chipfabrikanten Qualcomm en MediaTek die beiden in december met beveiligingsupdates kwamen. Het probleem zit hem specifiek in de decoder voor bestanden in het Apple Lossless Audio Codec (ALAC) format. Bij het afspelen van een malafide audiobestand op een Androidtoestel met een Qualcomm-chipset kan er een buffer overflow ontstaan die remote code execution mogelijk maakt. De impact van dit beveiligingslek, aangeduid als CVE-2021-30351, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. In het geval van MediaTek gaat het om twee kwetsbaarheden, CVE-2021-0674 en CVE-2021-0675, maar is de impact kleiner. Een malafide app op het toestel zou informatie kunnen stelen of aanvullende permissies kunnen krijgen. De drie kwetsbaarheden werden gevonden door onderzoekers van securitybedrijf Check Point en gerapporteerd aan beide chipfabrikanten. De onderzoekers zullen volgende maand tijdens de CanSecWest-conferentie details van de lekken openbaar maken. Eerder deze maand bleek dat Androidtelefoons ook kwetsbaar waren voor malafide FLAC-bestanden. Hoewel er voor de kwetsbaarheden updates zijn uitgerold, zullen die niet alle Androidtelefoons bereiken. Zo heeft Google de Android-updates van december alleen beschikbaar gemaakt voor Android 9, 10, 11 en 12.
Microsoft wijzigt updatebeleid Exchange Server: twee grote updates per jaar
Microsoft heeft het updatebeleid van Exchange Server aangepast en zal voortaan twee keer per jaar een cumulative update (CU) uitbrengen in plaats van één elk kwartaal. Ook wordt erop verzoek van klanten geen cumulative update meer in december uitgebracht. Volgens Microsoft vonden klanten het elk kwartaal uitbrengen van een cumulative update te frequent. Cumulative updates bevatten bugfixes, nieuwe features en alle eerder uitgekomen beveiligingsupdates voor Exchange. Om beveiligingsupdates voor Exchange Server te kunnen ontvangen moet de server in kwestie wel een bepaalde cumulative update (CU) hebben geïnstalleerd. Klanten klaagden dat het lastig was om hun Exchange Server met een recente CU-versie up-to-date te houden. Daarnaast werd aangegeven dat december geen goede maand is voor het uitbrengen van een cumulative update. Dit was ook de reden dat Microsoft afgelopen december geen CU uitbracht. Destijds werd er echter geen reden gegeven. Vanwege de feedback is besloten twee keer per jaar een cumulative update uit te rollen, één in de eerste helft van het jaar en de ander in de tweede helft. Daarbij richt Microsoft zich op releases in april en oktober, maar dit kan afhankelijk van de update veranderen. De volgende CU zal in de tweede helft van 2022 verschijnen en alleen voor Exchange Server 2019 uitkomen, aangezien de mainstream-ondersteuning van Exchange Server 2013 en 2016 is gestopt. Microsoft stelt dat het elke zes maanden uitbrengen van een cumulative update voor sommige updates te lang is. In deze gevallen zal Microsoft met hotfixes komen. Wat betreft de ondersteuning van Exchange Server moeten servers de laatste of een na laatste CU hebben om beveiligingsupdates te blijven ontvangen.
NAS-systemen QNAP kwetsbaar door lekken in Apache HTTP Server
NAS-systemen van fabrikant QNAP zijn kwetsbaar door verschillende beveiligingslekken in Apache HTTP Server. Beveiligingsupdates zijn nog niet beschikbaar, maar worden wel ontwikkeld, zo laat QNAP in een advisory weten. De Apache Software Foundation kwam op 14 maart met Apache httpd 2.4.53, waarmee meerdere kwetsbaarheden worden verholpen. Twee van deze beveiligingslekken zijn ook aanwezig in de software die op QNAP-systemen draait. Via deze kwetsbaarheden kan een aanvaller in theorie een buffer overflow veroorzaken of heap memory met eigen data overschrijven. QNAP meldt dat het de twee kwetsbaarheden aan het onderzoeken is en zo snel mogelijk met beveiligingsupdates komt. In de tussentijd zijn er mitigaties om de problemen te verhelpen.
Google: softwareontwikkelaars maken zeroday-aanvallen niet lastig genoeg
Vorig jaar telde Google een recordaantal zerodaylekken waar actief misbruik van werd gemaakt. En hoewel detectie en bekendmaking van dergelijke kwetsbaarheden beter wordt doen softwareontwikkelaars volgens Google nog te weinig om het vinden en gebruiken van zerodays lastig te maken. Zerodays zijn kwetsbaarheden waar actief misbruik van wordt gemaakt en waarvoor nog geen beveiligingsupdate beschikbaar is. In totaal noteerde Google vorig jaar 58 zerodays in verschillende producten, waaronder het eigen Android en Chrome, maar ook iOS en Safari. Van de beveiligingslekken waren er 39, oftewel 67 procent, memory corruption kwetsbaarheden. Dergelijke kwetsbaarheden zijn al decennia de standaard voor het aanvallen van software en zijn nog steeds manier waarop aanvallers succes hebben. Het gaat dan om type kwetsbaarheden als use-after-free, buffer overflows en integer overflows. "Als industrie maken we zerodays niet lastig", zegt Maddie Stone van Google. Aanvallers hebben volgens haar nog steeds succes met dezelfde soort kwetsbaarheden die eerder zijn gebruikt en in onderdelen die eerder als aanvalsoppervlak zijn besproken. Volgens Stone moet het doel zijn dat aanvallers elke keer dat er een zeroday-exploit wordt ontdekt helemaal opnieuw moeten beginnen. Iets wat nog altijd niet het geval is. Daarnaast vermoedt Stone dat er softwareleveranciers zijn die verzwijgen dat er misbruik van een zerodaylek in hun software wordt gemaakt. "Totdat we zeker zijn dat alle leveranciers actief misbruik melden, blijft het een grote vraag hoeveel actief misbruikte zerodaylekken zijn ontdekt, maar niet door leveranciers zo worden genoemd." Verder stelt Stone dat de meeste mensen zich geen zorgen hoeven te maken dat ze zelf het doelwit van een zeroday-aanval worden, maar dat dergelijke aanvallen ons uiteindelijk allemaal raken. "Deze zerodays hebben een grote impact op de samenleving en we moeten dus blijven doen wat we kunnen om het lastiger voor aanvallers te maken met deze aanvallen succesvol te zijn." Eerder berichtte Security.NL in dit achtergrondartikel dat er vorig jaar een recordaantal zerodaylekken is waargenomen.
Oracle verhelpt recordaantal van 520 kwetsbaarheden in meerdere producten
Oracle heeft tijdens de patchronde van dit kwartaal een recordaantal van 520 kwetsbaarheden in meerdere producten verholpen. Niet eerder kwam het bedrijf in één keer met patches voor zoveel beveiligingslekken. De impact van drie van de beveiligingslekken is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Zeventig kwetsbaarheden hebben een impactscore van 9.8. Via dergelijke lekken is het mogelijk voor aanvallers om zonder authenticatie systemen op afstand over te nemen. De meeste kwetsbaarheden, 149 in totaal, zijn verholpen in producten die onder Oracle Communications vallen. Verder zijn er 54 kwetsbaarheden in Oracle Fusion Middleware gepatcht. Het gaat onder andere om Oracle HTTP Server en Oracle WebLogic Server. Dit laatste product is in het verleden geregeld het doelwit van aanvallen geweest, waarbij aanvallers kwetsbaarheden kort na het uitkomen van de update misbruikten. Oracle adviseert organisaties vanwege de dreiging van een succesvolle aanval om de beveiligingsupdates zo snel mogelijk te installeren. Het bedrijf blijft naar eigen zeggen geregeld berichten ontvangen van systemen die zijn gecompromitteerd omdat klanten beschikbare patches, die de aangevallen kwetsbaarheden verhelpen, niet hadden geïnstalleerd. Oracle brengt niet maandelijks maar elk kwartaal updates uit. De volgende patchronde staat gepland voor 19 juli 2022.
VMware meldt ook misbruik van tweede kwetsbaarheid in Workspace One
Aanvallers maken op dit moment actief misbruik van twee kwetsbaarheden in VMware Workspace One Access waarvoor op 6 april een beveiligingsupdate verscheen, zo laten VMware en de Amerikaanse overheid weten. Workspace One is een platform waarmee organisaties apps op smartphones, tablets en laptops kunnen installeren en beheren. Met de patch van 6 april werden meerdere kwetsbaarheden in de software verholpen. Op 13 april liet VMware weten dat aanvallers misbruik maken van CVE-2022-22954. Via deze kwetsbaarheid is het mogelijk voor een ongeauthenticeerde aanvaller om door middel van server-side template injection willekeurige code op het systeem uit te voeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Inmiddels blijkt dat ook een tweede kwetsbaarheid actief bij aanvallen tegen het Workspace One-platform worden ingezet. Het gaat om CVE-2022-22960. Via dit beveiligingslek kan een aanvaller die al toegang tot het systeem heeft zijn rechten verhogen en root worden. Deze kwetsbaarheid is mogelijk door verkeerde permissies in de supportscripts. De impactscore van deze kwetsbaarheid bedraagt 7.8. Organisaties worden opgeroepen om hun installaties te updaten. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft federale overheidsinstanties opgeroepen om de beveiligingsupdate voor 6 mei uit te rollen.
Microsoft komt halverwege 2022 met update voor lek in Grub2-bootloader
Microsoft komt halverwege dit jaar met een beveiligingsupdate voor een meerdere kwetsbaarheden in de Grub2-bootloader die een aanvaller code laten uitvoeren tijdens het bootproces. De Grub2-bootloader wordt gebruikt voor het laden van het besturingssysteem. Eind juli 2020 presenteerden onderzoekers van securitybedrijf Eclypsium een kwetsbaarheid genaamd "Boothole" (CVE-2020-10713) waarmee een aanvaller met fysieke toegang of beheerdersrechten willekeurige code kan uitvoeren voordat het besturingssysteem wordt geladen, zelfs wanneer Secure Boot is ingeschakeld. Secure Boot werd in 2012 door Microsoft geïntroduceerd als maatregel om rootkits tegen te gaan. Via dit mechanisme wordt gecontroleerd dat de code die de firmware van de computer laadt te vertrouwen is. Secure Boot doet dit door de digitale handtekening van een bestand te controleren voordat het geladen wordt. Om van Secure Boot gebruik te kunnen maken signeert Microsoft de bootcode voor zowel Windows als derde partijen, waaronder Linux-distributies. Zo kunnen ook Linux-systemen van Secure Boot gebruikmaken. Grub2 (GRand Unified Boot Loader) is de standaard bootloader voor nagenoeg alle Linux-distributies. Het probleem raakt echter niet alleen systemen die via Grub2 opstarten. Alle systemen die via Secure Boot werken lopen risico, zo waarschuwde Eclypsium. Naast bijna alle Linuxcomputers raakt het lek ook Windowscomputers die van Secure Boot gebruikmaken en de standaard Microsoft Third Party UEFI Certificate Authority vertrouwen. De kwetsbaarheid wordt veroorzaakt door de manier waarop Grub2 het configuratiebestand grub.cfg verwerkt. Dit bestand is niet digitaal gesigneerd en wordt zodoende niet door Secure Boot gecontroleerd. Door dit bestand aan te passen kan een aanvaller een buffer overflow binnen Grub2 veroorzaken en zo willekeurige bootcode aanpassen. Vervolgens is het mogelijk om verdere controle van te laden bestanden, zoals drivers en uitvoerbare bestanden, uit te schakelen. Secure Boot zal deze bestanden niet controleren, terwijl ze wel voor het opstarten van het besturingssysteem worden geladen. Zodoende kan de aanvaller bepalen hoe het besturingssysteem wordt geladen, het besturingssysteem aanpassen of de bootloader een ander besturingssysteem-image laten laden. Een aanvaller kan zo bijvoorbeeld een rootkit installeren en volledige controle over het systeem krijgen. Na de presentatie van het Boothole-lek werden zowel in 2020 als vorig jaar maar meerdere soortgelijke kwetsbaarheden gevonden. Microsoft kwam met een ongeteste update voor zowel de problemen van 29 juli 2020 als die van 2 maart 2021. In een update van Microsofts advisory is een vraag over de ongeteste update verschenen en wanneer die verplicht wordt. Daarop laat Microsoft nu weten dat het halverwege 2022 met een beveiligingsupdate komt om de problemen te verhelpen. Verdere details zijn niet gegeven, behalve dat systeembeheerders zich kunnen aanmelden om te worden gewaarschuwd wanneer de patch beschikbaar is.
Google komt met noodpatch voor actief aangevallen zerodaylek in Chrome
Google heeft een noodpatch voor Chrome uitgerold die een actief aangevallen zerodaylek in de browser verhelpt. Het is inmiddels de derde zeroday dit jaar in Chrome waarvoor Google een update uitbrengt. Het beveiligingslek, aangeduid als CVE-2022-1364, bevindt zich in V8. Dit is de JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript en waarin het afgelopen jaar al tal van andere zerodaylekken werden gevonden. Een zerodaylek dat in maart door Google in Chrome werd gepatcht was ook aanwezig in V8. De nu verholpen kwetsbaarheid werd op 13 april door Clément Lecigne van Googles Threat Analysis Group gevonden. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. De impact van de kwetsbaarheid is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Kwetsbaarheden met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google geeft geen details over de doelwitten van de waargenomen aanvallen en hoe ze precies plaatsvinden. Google Chrome 100.0.4896.127 is beschikbaar voor macOS, Linux en Windows. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren.
Akamai, CISA en experts waarschuwen voor kritieke Windows-kwetsbaarheid
Internetbedrijf Akamai, het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security, de Britse gezondheidszorg en tal van beveiligingsexperts waarschuwen voor een kritieke Windows-kwetsbaarheid waarvoor Microsoft afgelopen dinsdagavond een beveiligingsupdate uitbracht. Het beveiligingslek, aangeduid als CVE-2022-26809, is aanwezig in de Remote Procedure Call (RPC) runtime library en kan een aanvaller zonder enige interactie van gebruikers controle over systemen geven. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 dan ook beoordeeld met een 9.8. Alle Windows-systemen waar poort 445 toegankelijk is en een kwetsbare RPC runtime library draait zijn kwetsbaar. Volgens zoekmachine Shodan is bij zo'n 730.000 Windows-machines poort 445 toegankelijk vanaf het internet. Censys komt op zo'n 824.000 machines uit. Microsoft geeft als mitigatie het blokkeren van tcp-poort 445 op de perimeter-firewall. Tcp-poort 445 wordt namelijk gebruikt om een verbinding met het kwetsbare Windows-onderdeel te maken. Door poort 445 te blokkeren worden systemen achter de firewall beschermd. Iets wat volgens Microsoft de beste bescherming is tegen aanvallen vanaf het internet. "Systemen binnen de enterprise perimeter kunnen echter nog steeds kwetsbaar zijn", aldus het techbedrijf, dat verwacht dat misbruik van de kwetsbaarheid zeer waarschijnlijk is. Internetbedrijf Akamai adviseert ook om tcp-poort 445 voor systemen buiten de enterprise perimeter te blokkeren. Om laterale bewegingen van aanvallers binnen het netwerk te beperken wordt aangeraden om inkomend verkeer voor tcp-poort 445 alleen toe te staan op machines waar het noodzakelijk is, zoals domeincontrollers, printservers en fileservers. Verder wordt opgeroepen de update te installeren. Het CISA kwam eerder al met een melding van de patchdinsdag van april, die ook de update voor de bovengenoemde kwetsbaarheid bevat. Vanwege de ernst van het beveiligingslek is de Amerikaanse overheidsdienst ook nog met een aparte waarschuwing gekomen. De Britse gezondheidszorg verwacht snel misbruik van de kwetsbaarheid en roept ziekenhuizen en andere zorginstellingen op om de patch snel te installeren en ook verschillende beveiligingsexperts slaan op Twitter Twitter alarm over het lek, dat in theorie tot een computerworm kan leiden.
WordPress-sites kwetsbaar door kritieke kwetsbaarheid in Elementor-plug-in
Een kritieke kwetsbaarheid in de populaire Elementor-plug-in voor WordPress maakt het mogelijk om websites op afstand over te nemen. Een beveiligingsupdate is sinds afgelopen dinsdag beschikbaar. Elementor is een zogeheten "page builder" plug-in die de standaard WordPress-editor vervangt. Het biedt gebruikers meer vrijheid en mogelijkheden voor het vormgeven van hun WordPress-site en introduceert allerlei extra functionaliteit. Meer dan vijf miljoen WordPress-sites maken gebruik van Elementor. In versie 3.6.0 tot en met 3.6.2 zit een kritiek lek waardoor elke geauthenticeerde gebruiker willekeurige PHP-code kan uploaden en uitvoeren. Met de lancering van versie 3.6.0 is een nieuwe onboarding-module toegevoegd voor het vereenvoudigen van de initiële setup van de plug-in. De module voert bepaalde acties pas uit als de gebruiker over een geldige nonce beschikt. Deze nonce_key was echter eenvoudig voor elke geauthenticeerde gebruiker te verkrijgen. Alleen het bekijken van de broncode van het admin dashboard was voldoende. Dit was ook mogelijk voor subscribers van de betreffende website. Met de nonce_key is het vervolgens mogelijk een functie aan te roepen om willekeurige PHP-code te uploaden en uit te voeren en zo de website over te nemen. De impact van de kwetsbaarheid, aangeduid als CVE-2022-1329, is op een schaal van 1 tot en met 10 beoordeeld met een 9.9. De Elementor-ontwikkelaars werden op 29 maart ingelicht en kwamen op 12 april met versie 3.6.3 waarin het probleem is verholpen, zo meldt securitybedrijf Wordfence dat de kwetsbaarheid ontdekte.
Lek in Cisco Wireless LAN Controller laat iedereen als beheerder inloggen
Een kwetsbaarheid in de Wireless LAN Controller van Cisco maakt het mogelijk om met zelfgemaakte inloggegevens als beheerder in te loggen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met 10.0. Het probleem wordt volgens Cisco veroorzaakt door een verkeerde implementatie van het algoritme dat ingevoerde wachtwoorden moet valideren. Hierdoor kan een aanvaller met zelfgemaakte inloggegevens de authenticatie omzeilen en als beheerder inloggen. Hiervoor moet wel de beheerdersinterface toegankelijk zijn. Daarnaast is de aanval alleen uit te voeren in een niet-standaard apparaatconfiguratie. De optie "macfilter radius compatibility" moet namelijk op "other" staan. In de default configuratie is dit niet het geval. De kwetsbaarheid, aangeduid als CVE-2022-20695, raakt verschillende Cisco-producten, waaronder de 3504, 5520 en 8540 Wireless Controller, Mobility Express en Virtual Wireless Controller (vWLC). Cisco heeft zowel updates als workarounds uitgebracht om het probleem te verhelpen.
Webwinkels kwetsbaar door kritiek lek in Adobe Commerce en Magento
Een kritieke kwetsbaarheid in de populaire webwinkelsoftware Adobe Commerce en Magento Open Source maakt het mogelijk voor aanvallers om webshops op afstand over te nemen. Adobe heeft beveiligingsupdates uitgebracht en roept webwinkels op om die snel te installeren, waarbij als suggestie binnen 72 uur wordt aangeraden. Honderdduizenden webshops draaien op Adobe Commerce, dat eerder nog bekendstond als Magento Commerce, en Magento Open Source. De afgelopen jaren is het geregeld voorgekomen dat webshops zijn gecompromitteerd via bekende kwetsbaarheden in beide producten. Het beveiligingslek waarvoor Adobe nu waarschuwt, CVE-2022-24093, wordt veroorzaakt door het niet goed valideren van gebruikersinvoer en maakt remote code execution mogelijk. De impact van het lek is op een schaal van 1 tot en met 10 beoordeeld met een 9.1. Adobe heeft de beveiligingsupdates de hoogste prioriteit gegeven. Een dergelijk prioritering wordt alleen gegeven aan aangevallen kwetsbaarheden of beveiligingslekken die een grotere kans hebben om te worden misbruikt. Webwinkels wordt geadviseerd de update "zo snel mogelijk" te installeren, waarbij Adobe als voorbeeld binnen 72 uur geeft.
Microsoft dicht actief aangevallen zeroday in Windows en drie 'wormable' lekken
Microsoft heeft tijdens de patchdinsdag van april 128 kwetsbaarheden verholpen, waaronder een actief aangevallen zerodaylek in Windows en drie kwetsbaarheden die 'wormable' zijn. Het zerodaylek, aangeduid als CVE-2022-24521, bevindt zich in de Windows Common Log File System Driver en zorgt ervoor dat een aanvaller die al toegang tot een systeem heeft zijn rechten kan verhogen. Het beveiligingslek maakt het niet mogelijk om een systeem op afstand over te nemen. Details over de waargenomen aanvallen worden niet gegeven. Het beveiligingslek werd gevonden door een onderzoeker van securitybedrijf Crowdstrike en de Amerikaanse geheime dienst NSA en gerapporteerd aan Microsoft. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 7.8. De gevaarlijkste kwetsbaarheden waarvoor Microsoft deze maand updates uitrolde, met een impactscore van 9.8, zijn aanwezig in de RPC Runtime Library en het Windows Network File System. Ze maken het in bepaalde omstandigheden mogelijk om systemen zonder enige interactie van gebruikers over te nemen. In theorie zouden de kwetsbaarheden, die aanwezig zijn in alle ondersteunde Windowsversies, door een computerworm zijn te gebruiken. "In ieder geval tussen machines waar RPC toegankelijk is", zegt Dustin Childs van het Zero Day Initiative over het lek in de RPC Runtime Library (CVE-2022-26809). Een aanval zou alleen over tcp-poort 135 mogelijk zijn, die volgens Childs meestal op de netwerkperimeter wordt geblokkeerd. Aanvallers zouden het lek wel kunnen gebruiken om zich lateraal door een al gecompromitteerd netwerk te bewegen. De andere twee "wormable" kwetsbaarheden (CVE-2022-24491 en CVE-2022-24497) zijn aanwezig in het Windows Network File System en maken ook remote code execution zonder interactie van gebruikers mogelijk. Voorwaarde is wel dat voor het systeem de "NFS role" staat ingeschakeld. Een computerworm zou zich zo zonder interactie van gebruikers tussen NFS-servers kunnen verspreiden. Childs roept organisaties dan ook op om de updates voor deze drie kwetsbaarheden snel uit te rollen en ook Microsoft verwacht dat aanvallers misbruik van de lekken zullen gaan maken. De patches worden op de meeste systemen automatisch geïnstalleerd.
Ernstige kwetsbaarheden in VMware
Begin deze maand zijn er kwetsbaarheden verholpen in verschillende VMware-producten. VMware is een softwarebedrijf gespecialiseerd in virtualisatie en cloudcomputing. Omdat er recentelijk een Proof-of-Concept-code is verschenen die laat zien op welke manier misbruik kan worden gemaakt van de kwetsbaarheid in VMware Workspace ONE Access and Identity Manager, verhoogt het Nationaal Cyber Security Centrum (NCSC) de inschaling van het eerder uitgebrachte beveiligingsadvies naar HIGH/HIGH; er is verhoogde kans op misbruik en de potentiële schade kan groot zijn.
Drie van de acht gepubliceerde kwetsbaarheden hebben een vrijwel maximale CVSS-score van 9.8 toegekend gekregen. Het gaat om de kwetsbaarheden CVE-2022-22954, CVE-2022-22955 en CVE-2022-22956. Workspace One Access is een platform waarmee organisaties en IT-leveranciers onder andere apps op smartphones, tablets en laptops kunnen beheren.
Wat kun je doen?
- Raadpleeg de website van VMware, waar updates om de kwetsbaarheden te verhelpen zijn opgenomen. VMware heeft ook aanvullende informatie over deze kwetsbaarheden gepubliceerd.
- Installeer de updates. Acute aandacht verdient hierbij de kwetsbaarheid in VMware Workspace ONE Access and Identity Manager onder CVE-2022-22954.
Weet je niet zeker of je één van de kwetsbare VMware-producten gebruikt, of heb je hulp nodig bij het installeren van de updates, neem dan contact op met je IT-dienstverlener.
Actieve cyberaanvallen tegen Google Pixel-telefoons
De Amerikaanse overheid heeft een waarschuwing gegeven voor actieve aanvallen tegen Google Pixel-telefoons en roept federale overheidsinstanties op om de toestellen voor 2 mei te patchen. Vorige maand kwam Google met een beveiligingsbulletin waarin het stelde dat er aanwijzingen waren dat twee zerodaylekken, aangeduid als CVE-2021-22600 en CVE-2021-39793, bij beperkte, gerichte aanvallen waren ingezet. Verdere details over de aanvallen werden niet gegeven. Het gaat om twee kwetsbaarheden waardoor een malafide app of aanvaller die al toegang tot een Pixel-telefoon heeft zijn rechten kan verhogen. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren. De lijst, die inzicht geeft in kwetsbaarheden waarvan aanvallers misbruik maken, wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. De nieuwste toevoeging bestaat uit acht kwetsbaarheden, waaronder de beveiligingslekken in de Google Pixel-telefoons. Eén van deze beveiligingslekken, CVE-2021-22600, bevindt zich in de Linux-kernel waar Android gebruik van maakt. De overige zes kwetsbaarheden op de lijst bevinden zich in software van QNAP, Microsoft, Checkbox, Telerik en WatchGuard.
Google verhelpt meerdere kwetsbaarheden in Chrome 100
Google heeft een update voor Chrome 100 uitgebracht waarmee in totaal elf kwetsbaarheden in de browser worden verholpen. De maximale impact van de beveiligingslekken is beoordeeld als "high". In deze gevallen kan een aanvaller in het ergste geval code binnen de context van de browser uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Kwetsbaarheden met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Tien van de elf verholpen beveiligingslekken werden door externe onderzoekers aan Google gerapporteerd. Google Chrome 100.0.4896.88 is beschikbaar voor macOS, Linux en Windows. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan echter tot zestig dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren.
Veel Microsoft Exchange servers niet up-to-date
Uit verschillende actuele berichten blijkt dat er nog altijd misbruik gemaakt wordt van kwetsbare Microsoft Exchange servers. Zo bericht de Amerikaanse FBI over ransomware-aanvallen via Exchange beveiligingslekken. Wanneer een Exchange Server niet tijdig wordt voorzien van de laatste (beveiliging)updates of deze niet meer worden uitgebracht (end-of-life) bestaat het risico dat hackers misbruik maken van bestaande kwetsbaarheden. Het DTC adviseert daarom nogmaals om uw Microsoft Exchange servers zo snel mogelijk te updaten. Op de website van Microsoft is een volledig overzicht te vinden Exchange Servers en wanneer de ondersteuning verloopt of verlopen is.
Amerikaanse overheid meldt actief misbruik van Sudo-kwetsbaarheid
Een kwetsbaarheid in Sudo waarvoor begin vorig jaar een beveiligingsupdate verscheen wordt actief bij aangevallen gebruikt, zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Sudo maakt het mogelijk om programma's uit te voeren met de rechten van een andere gebruiker. Via het beveiligingslek, aangeduid als CVE-2021-3156 of "Baron Samedit", kunnen lokale gebruikers rootrechten krijgen. De impact van het lek is op een schaal van 1 tot en met 10 beoordeeld met een 7.8. Het beveiligingslek werd in juli 2011 in Sudo geïntroduceerd en raakt alle legacy versies van 1.8.2 tot en met 1.8.31p2 en alle stabiele versies van 1.9.0 tot en met 1.9.5p1 in de standaardconfiguratie. De ontwikkelaars van Sudo kwamen met versie 1.9.5p2 om het probleem te verhelpen. Onderzoekers van securitybedrijf Qualys, die het probleem ontdekten, ontwikkelden exploits voor onder andere Ubuntu, Debian en Fedora. Het CISA houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren. De lijst, die inzicht geeft in kwetsbaarheden waarvan aanvallers misbruik maken, wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. De nieuwste toevoeging bestaat uit drie kwetsbaarheden. Het is voor de eerste keer dat een Sudo-lek aan de lijst is toegevoegd. De andere twee kwetsbaarheden bevinden zich in de Microsoft HTTP Protocol Stack en SMBv1-server in Windows. Met name het lek in de HTTP Protocol Stack is ernstig en kan een computerworm mogelijk maken. Het CISA geeft geen details over de waargenomen aanvallen. Wel zijn Amerikaanse overheidsinstanties opgedragen om de drie kwetsbaarheden voor 27 april te patchen.
Apple verhelpt actief aangevallen zerodaylekken ook in macOS Big Sur
Een week nadat Apple twee actief aangevallen zerodaylekken in macOS Monterey verhielp zijn de problemen ook in macOS Big Sur opgelost. Apple kwam onder vuur te liggen omdat het wel een beveiligingsupdate voor Monterey had uitgebracht, maar niet voor Big Sur en macOS Catalina. De update voor Catalina zal naar verwachting morgen verschijnen, meldt Macworld. De beveiligingslekken bevinden zich in AppleAVD, een framework voor het decoderen van audio en video, en een grafische driver van Intel. De kwetsbaarheid in AppleAVD laat een applicatie willekeurige code met kernelrechten uitvoeren. Via het lek in de Intel-driver kan een applicatie kernelgeheugen uitlezen. Beide beveiligingslekken zijn niet voldoende om een systeem op afstand aan te vallen. Om de kwetsbaarheden te kunnen gebruiken moet een aanvaller al toegang tot het systeem hebben. Beveiligingsonderzoeker Mickey Jin van antivirusbedrijf Trend Micro en securitybedrijf Intego hadden al vastgesteld dat het lek in AppleAVD ook aanwezig is in Big Sur. Dat blijkt nu ook voor de tweede kwetsbaarheid te gelden die in de Intel-driver aanwezig is. Gebruikers van Big Sur kunnen updaten naar versie 11.6.6. Voor macOS Catalina zou morgen Security Update 2022-004 moeten verschijnen.
MacOS Big Sur nog altijd kwetsbaar voor actief aangevallen beveiligingslek
Apple kwam op 31 maart met een beveiligingsupdate voor twee actief aangevallen zerodaylekken in macOS Monterey. Eén van de kwetsbaarheden is ook aanwezig in macOS Big Sur en nog altijd niet door Apple verholpen, zo melden beveiligingsonderzoeker Mickey Jin van antivirusbedrijf Trend Micro en securitybedrijf Intego. De tweede zeroday zou mogelijk in zowel Big Sur als Catalina aanwezig zijn, maar dat is nog niet bevestigd. De beveiligingslekken bevinden zich in AppleAVD, een framework voor het decoderen van audio en video, en een grafische driver van Intel. De kwetsbaarheid in AppleAVD laat een applicatie willekeurige code met kernelrechten uitvoeren. Via het lek in de Intel-driver kan een applicatie kernelgeheugen uitlezen. Beide beveiligingslekken zijn niet voldoende om een systeem op afstand aan te vallen. Om de kwetsbaarheden te kunnen gebruiken moet een aanvaller al toegang tot het systeem hebben. Vorige week meldde Jin dat het lek in AppleAVD ook aanwezig is in M1-Macs die Big Sur draaien. Iets dat ook Intego heeft bevestigd. Het securitybedrijf stelt dat het "zeer waarschijnlijk" is dat het lek in de Intel-driver zowel Big Sur als Catalina raakt, maar dat is nog niet bevestigd. "Het is de eerste keer sinds de lancering van Monterey dat Apple heeft nagelaten om actief aangevallen kwetsbaarheden in Big Sur en Catalina te verhelpen", zegt onderzoeker Joshua Long van Intego. Apple heeft nog geen reactie op de berichtgeving gegeven en het is ook onbekend of het bedrijf updates voor Big Sur en Catalina zal uitbrengen. Beide besturingssystemen worden nog wel ondersteund en ontvingen op 14 maart nog patches voor andere kwetsbaarheden.
Yes for Big Sur, No for Catalina (AppleAVD.kext only works on M1 Mac)
— Mickey Jin (@patch1t) April 2, 2022
Mozilla verhelpt met lancering van Firefox 99 elf kwetsbaarheden
Mozilla heeft Firefox 99 gelanceerd waarmee elf kwetsbaarheden in de browser zijn verholpen. De maximale impact van de beveiligingslekken is beoordeeld als "high". In deze gevallen is het mogelijk voor malafide websites om gevoelige data van websites in andere browservensters te stelen of data in die sites te injecteren. Alleen het bezoeken van de malafide website volstaat, er is geen verdere interactie van gebruikers vereist. Kwetsbaarheden met de beoordeling "high" zijn niet genoeg om de systemen van Firefox-gebruikers over te nemen. Sommige van de nu verholpen beveiligingslekken zouden volgens Mozilla met genoeg moeite wel kunnen worden misbruikt voor het uitvoeren van willekeurige code op systemen. In dit geval zou het lek als "critical" worden beschouwd. Aangezien dergelijk misbruik niet vaststaat is de impact van de kwetsbaarheden lager ingeschaald. Verder is in de Linux-versie van Firefox de sandbox versterkt. Processen die zijn blootgesteld aan webcontent hebben niet langer toegang tot het X Window system (X11). Updaten naar Firefox 99 zal op de meeste systemen automatisch gebeuren. Firefox controleert periodiek op de beschikbaarheid van updates. Gebruikers die de nieuwste versie meteen willen hebben moeten hiervoor een handmatige controle uitvoeren.
Androidtelefoons kwetsbaar voor aanval met malafide Flac-bestanden
Androidtelefoons zijn kwetsbaar voor aanvallen met malafide Flac-bestanden. Het openen van een dergelijk audiobestand maakt het mogelijk voor een aanvaller om willekeurige code op het toestel uit te voeren. Google heeft beveiligingsupdates voor Android uitgerold waarmee het beveiligingslek wordt verholpen. Tijdens de patchronde van april heeft Google in totaal 44 kwetsbaarheden gerepareerd. Het gaat om beveiligingslekken in de eigen Androidcode en kwetsbaarheden in onderdelen van chipsetfabrikanten waar Android gebruik van maakt. De nu verholpen lekken in de Androidcode maken het mogelijk voor malafide apps om zonder interactie van gebruikers en zonder specifieke permissies hun rechten te verhogen. Misbruik is alleen mogelijk voor een aanvaller of app die al toegang tot een Androidtelefoon heeft. Daarnaast zijn er ook meerdere kwetsbaarheden in onderdelen van chipfabrikant Qualcomm verholpen. Zes daarvan zijn beoordeeld als kritiek. Vijf daarvan zijn op afstand door een aanvaller te misbruiken. De grootste impact hebben twee kwetsbaarheden aangeduid als CVE-2021-35104 en CVE-2021-30341. De impact van deze lekken is op een schaal van 1 tot en 10 beoordeeld met een 9.8. CVE-2021-35104 bevindt zich in de Qualcomm-code gebruikt voor het afspelen van audio. Bij het afspelen van een malafide Flac-bestand kan er een buffer overflow ontstaan waardoor een aanvaller code op het toestel kan uitvoeren. Een buffer overflow doet zich ook voor in het geval van CVE-2021-30341, alleen moet er dan een speciaal geprepareerd DSM-pakket naar de datamodem worden gestuurd. De Flac-kwetsbaarheid is aanwezig in 175 verschillende chipsets van Qualcomm, het lek in de datamodem raakt 119 chipsets. Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de april-updates ontvangen zullen '2022-04-01' of '2022-04-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van april aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 10, 11, 12 en 12L. Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.
Google brengt wegens kwetsbaarheid nieuwe versie van Chrome uit
Google heeft een nieuwe versie van Chrome uitgebracht waarmee er één kwetsbaarheid in de browser wordt verholpen. De impact van het beveiligingslek is beoordeeld als "high". Voor zover bekend is er nog geen misbruik gemaakt van de kwetsbaarheid, die zich bevindt in V8. Dit is de JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript. Het afgelopen jaar werden meerdere kwetsbaarheden in V8 gevonden die ook bij zeroday-aanvallen tegen Chrome-gebruikers zijn ingezet. Zo kwam Google in maart nog met een beveiligingsupdate voor een zeroday in V8. In het geval van beveiligingslekken met het label "high" kan een aanvaller in het ergste geval code binnen de context van de browser uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Kwetsbaarheden met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Het nu verholpen beveiligingslek in V8 werd gevonden door Google-onderzoeker Sergei Glazunov van het Project Zero-team. Dit Google-team zoekt naar kwetsbaarheden in veelgebruikte software. Google Chrome 100.0.4896.75 is beschikbaar voor macOS, Linux en Windows. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan echter tot zestig dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren.
D-Link-gebruikers opgeroepen om actief aangevallen routers offline te halen
Eigenaren van verschillende modellen D-Link-routers zijn gewaarschuwd voor een actief aangevallen kwetsbaarheid. Aangezien de betreffende apparaten end-of-life zijn en er geen beveiligingsupdate beschikbaar is adviseert het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security om de routers offline te halen. Amerikaanse overheidsinstanties zijn opgedragen om dit voor 25 april te doen. De kwetsbaarheid, aangeduid als CVE-2021-45382, bevindt zich in de D-link DIR-810L, DIR-820L/LW, DIR-826L, DIR-830L en DIR-836L. Via het beveiligingslek kan een aanvaller op afstand willekeurige commando's op de router uitvoeren. De impact van de kwetsbaarheid, die eind december werd geopenbaard, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. D-Link waarschuwt dat de kwetsbare routermodellen niet meer worden ondersteund. Daarnaast maken aanvallers inmiddels actief misbruik van het beveiligingslek om apparaten over te nemen, aldus het CISA. De overheidsinstantie houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren. De lijst wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. De nieuwste toevoeging bestaat uit vier kwetsbaarheden. Naast D-Link gaat het ook om actief aangevallen kwetsbaarheden in iOS/macOS en het Spring Framework. Aangezien er voor de D-Link-routers geen update beschikbaar is worden overheidsinstanties aangeraden de apparaten, wanneer nog in gebruik, offline te halen. Onlangs gaf het CISA soortgelijk advies voor de D-Link DIR-610 en DIR-645, alsmede de Netgear DGN2200.
0day kwetsbaarheid verholpen in Spring Core Framework
Zyxel waarschuwt voor lek dat aanvaller beheerder van firewall maakt
Netwerkfabrikant Zyxel waarschuwt voor een kritieke kwetsbaarheid waardoor een aanvaller beheerder van Zyxel-firewalls kan worden. De apparaten bevatten een beveiligingslek waardoor een aanvaller de authenticatie kan omzeilen en beheerderstoegang tot het apparaat kan krijgen. De impact van het lek, aangeduid als CVE-2022-0342, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Zyxel heeft firmware-updates uitgebracht voor verschillende firewall-series: de USG/ZyWALL, USG FLEX, ATP, VPN en NSG. Vorig jaar werd een andere kwetsbaarheid in deze apparaten nog actief gebruikt bij aanvallen. Zyxel adviseert klanten dan ook om de update voor "optimale bescherming" te installeren.
Vitale infrastructuur kwetsbaar door kritiek lek in Rockwell Logix-controllers
Systemen in de vitale infrastructuur zijn kwetsbaar door een kritiek beveiligingslek in Logix-controllers van fabrikant Rockwell Automation, waardoor Stuxnet-achtige aanvallen mogelijk zijn. De impact van de kwetsbaarheid, aangeduid als CVE-2022-1161, is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Via het beveiligingslek is het mogelijk om de software van de controllers op afstand aan te passen. Logix-controllers worden gebruikt voor de aansturing van industriële processen, zoals de assemblagelijnen van fabrieken. Volgens het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security worden Logix-controllers in meerdere vitale sectoren wereldwijd gebruikt en is misbruik van het beveiligingslek eenvoudig. De kwetsbaarheid bevindt zich in de firmware van de controllers. "Het laat aanvallers user-readable programmacode naar een andere geheugenlocatie schrijven dan de uitgevoerde gecompileerde code, waardoor de aanvaller de een en niet de ander kan aanpassen", aldus onderzoekers van securitybedrijf Claroty die het probleem ontdekten. Normaliter zijn Logix-controllers via de Studio 5000 Logix Designer te programmeren, maar via een eerder beveiligingslek, namelijk de aanwezigheid van een hard-coded key, is het mogelijk om direct met de Logix-controller te communiceren en de software zonder de Logix Designer aan te passen. "Een aanvaller met de mogelijkheid om programmable logic controller (PLC)-logica aan te passen kan fysieke schade aan fabrieken toebrengen die de veiligheid van assemblagelijnen en de betrouwbaarheid van robots in gevaar brengen, of zoals we met Stuxnet zagen, kunnen aanvallers de centrifuges van een uraniumverrijkingsfaciliteit beschadigen", aldus de onderzoekers, die specifiek keken of Logix-controllers kwetsbaar zijn voor Stuxnet-achtige aanvallen. Het CISA adviseert organisaties verschillende mitigaties om eventuele aanvallen te voorkomen.
VS meldt actief misbruik van lek in Dell-driver en Trend Micro Apex Central
Aanvallers maken actief misbruik van kwetsbaarheden in een driver van Dell en software van Trend Micro, wat grote gevolgen voor organisaties kan hebben. Dat melden de Amerikaanse en Japanse overheid alsmede Trend Micro zelf. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security houdt een lijst bij van actief aangevallen kwetsbaarheden. De lijst, die deadlines bevat wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren, wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. De nieuwste update betreft zeven kwetsbaarheden. Het gaat onder andere om een zerodaylek in Trend Micro Apex Central waarvoor op 29 maart een update verscheen. Op dat moment werd er al misbruik van het lek gemaakt. Apex Central is een webconsole voor het gecentraliseerd beheren van Trend Micro-producten en -diensten op de gateway, mailserver, fileserver en desktops. Beheerders kunnen via Apex Central instellingen op zowel producten als endpoints aanpassen en doorvoeren. Daarnaast is het via de oplossing mogelijk om antivirus en andere beveiligingsdiensten binnen het netwerk te monitoren. Een kwetsbaarheid in Apex Central maakt het mogelijk voor een ongeauthenticeerde aanvaller om op afstand willekeurige bestanden te uploaden en zo code op het systeem uit te voeren. De impact van de remote code execution-kwetsbaarheid, aangeduid als CVE-2022-26871, is op een schaal van 1 tot en met 10 beoordeeld met een 8.6. "Aangezien de kwetsbaarheid al wordt misbruikt, moeten gebruikers van de getroffen producten de update zo snel mogelijk installeren", aldus het Computer Emergency Response Team van de Japanse overheid. Het CISA wil dat Amerikaanse overheidsinstanties de patch voor 21 april hebben uitgerold. Een ander beveiligingslek op de lijst van het CISA bevindt zich in een driver van Dell. Vorig jaar bleek dat miljoenen Dell-computers kwetsbaar waren door een beveiligingslek (CVE-2021-21551) in een driver die wordt gebruikt bij het updaten van de firmware. Via de kwetsbaarheid kan een aanvaller die al toegang tot het systeem heeft zijn rechten verhogen en code met kernelrechten uitvoeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 8.8. Het geeft aanvallers de mogelijkheid om een systeem volledig te compromitteren. Afgelopen december meldde securitybedrijf Rapid7 dat de oplossing van Dell het probleem niet volledig verhelpt en de gedeeltelijk gepatchte driver aanvallers nog steeds kan helpen. Naast de kwetsbaarheid in de software van Dell en Trend Micro moeten Amerikaanse overheidsinstanties ook actief aangevallen beveiligingslekken in QNAP HBS 3, Windows, Dasan-routers en Sophos Firewall binnen drie weken hebben
SentinelLabs ontdekt lekken in Microsoft Azure Defender voor IoT
SentinelLabs waarschuwt voor een aantal kritieke kwetsbaarheden in Microsoft Azure's Defender voor IoT. Deze kwetsbaarheden kunnen gevolgen hebben voor cloud- en on-premises klanten. Ongeauthenticeerde aanvallers kunnen apparaten die door Microsoft Azure Defender for IoT worden beschermd op afstand in gevaar brengen, door misbruik te maken van het herstelmechanisme voor wachtwoorden van Azure. Microsoft heeft beveiligingsupdates uitgebracht om deze kritieke kwetsbaarheden te verhelpen. SentinelLabs meldt op dit moment geen aanwijzingen te hebben voor misbruik dat de kwetsbaarheden actief worden misbruikt door cybercriminelen. Microsoft Defender for IoT is een agentless network-layer beveiliging voor constante IoT/OT asset discovery, vulnerability management en threat detection, waarvoor geen wijzigingen in bestaande omgevingen nodig zijn. Het kan in volledig on-premises of in Azure-gekoppelde omgevingen worden ingezet. Dit soort operationele technologienetwerken (OT) sturen veel van de meest belangrijke aspecten van onze samenleving aan. Veel van deze technologieën zijn echter niet altijd ontworpen met beveiliging in gedachten en kunnen niet worden beschermd met traditionele IT-beveiligingscontroles. Ondertussen maakt het Internet of Things (IoT) nieuwe manieren van innovatie mogelijk met miljarden aangesloten apparaten, waardoor het aanvalsoppervlak en de risico's verder toenemen. Dit probleem is niet onopgemerkt gebleven bij leveranciers, dus velen bieden beveiligingsoplossingen aan in een poging het probleem aan te pakken. Maar wat als de beveiligingsoplossing zelf kwetsbaarheden introduceert? SentinelLabs heeft de bevindingen in juni 2021 bekendgemaakt aan de MSRC. Microsoft heeft in december 2021 een beveiligingsadvies uitgebracht met patchgegevens, die hier, hier, hier, hier en hier te vinden zijn. Gebruikers worden aangemoedigd om onmiddellijk actie te ondernemen. Hoewel SentinelLabs geen bewijs heeft van misbruik ‘in-the-wild’ van deze kwetsbaarheden, raadt het bedrijf aan om alle privileged inloggegevens die op het platform zijn gebruikt in te trekken voordat de cloudplatforms zijn gepatcht. Ook zullen toegangslogbestanden gecontroleerd moeten worden op onregelmatigheden. Een geslaagde aanval kan namelijk leiden tot volledige compromittering van het netwerk, aangezien Azure Defender For IoT is geconfigureerd om een TAP (Terminal Access Point) op het netwerkverkeer te hebben. Toegang tot gevoelige informatie op het netwerk zou een aantal geraffineerde aanvalsscenario's kunnen openen die moeilijk of niet te detecteren zijn. De technische details van de kwetsbaarheden zijn hier beschikbaar.
Apple verhelpt actief aangevallen zerodaylekken in iOS en macOS
Apple heeft beveiligingsupdates uitgebracht voor twee actief aangevallen zerodaylekken in iOS en macOS. Met macOS Monterey 12.3.1 worden twee zerodays verholpen die zich bevinden in AppleAVD, een framework voor het decoderen van audio en video, en een grafische driver van Intel. Het beveiligingslek in AppleAVD, aangeduid als CVE-2022-22675, laat een applicatie willekeurige code met kernelrechten uitvoeren. Via de kwetsbaarheid in de Intel-driver (CVE-2022-22674) kan een applicatie kernelgeheugen uitlezen. Beide beveiligingslekken zijn niet voldoende om een systeem op afstand aan te vallen. Om de kwetsbaarheden te kunnen gebruiken moet een aanvaller al toegang tot het systeem hebben. De kwetsbaarheid in AppleAVD is ook aanwezig in iOS en iPadOS en verholpen met iOS 15.4.1 en iPadOS 15.4.1. Updaten naar macOS Monterey 12.3 kan via de Mac App Store, de updatefunctie of Apples Software Downloads-website. Eigenaren van een iPhone of iPad kunnen de laatste versie via iTunes en de Software Update-functie downloaden. In februari kwam Apple ook al met updates voor twee actief aangevallen zerodaylekken in iOS en macOS. Details over de aanvallen zijn niet door Apple gegeven.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers