Kwetsbaarheden CVE's


20242023 | 2022 | 2021




Lek in McAfee Agent laat aanvaller code met systeemrechten uitvoeren

Een kwetsbaarheid in de Agent-software van antivirusbedrijf McAfee maakt het mogelijk voor een aanvaller die al toegang tot een computer heeft om code met systeemrechten uit te voeren en zo volledige controle over de machine te krijgen. De McAfee Agent is geen beveiligingssoftware op zichzelf, maar communiceert tussen de beveiligingssoftware op het systeem en de McAfee ePO-server. De agent wordt met verschillende McAfee producten meegeleverd, waaronder Endpoint Security. De Agent-software maakt gebruik van een OpenSSL-onderdeel dat weer naar een directory wijst waar gebruikers zonder rechten controle over hebben. De McAfee Agent draait met systeemrechten. Door een speciaal geprepareerd openssl.cnf-bestand in deze directory te plaatsen kan een ongeprivilegieerde gebruiker code met systeemrechten uitvoeren. Het beveiligingslek, aangeduid als CVE-2022-0166, heeft een impactscore van 7,8 en werd gevonden door Will Dormann van het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. McAfee heeft het probleem verholpen in versie 5.7.5 van de Agent-software.


WordPress-sites gewaarschuwd voor backdoor in plug-ins AccessPress

Beheerders van WordPress-sites zijn gewaarschuwd voor een backdoor die aanvallers hebben toegevoegd aan de themes en plug-ins van AccessPress Themes. AccessPress biedt 64 themes en 109 plug-ins voor WordPress die volgens het bedrijf op meer dan 360.000 WordPress-sites zijn geïnstalleerd. Aanvallers wisten in september vorig jaar toegang tot de websites van AccessPress te krijgen en voorzagen aangeboden themes en plug-ins van een backdoor. De backdoor was niet aanwezig in de extensies en themes die via WordPress.org werden aangeboden. De backdoor werd gevonden door WordPressbeveiliger Jetpack. Dat besloot meteen AccessPress te waarschuwen, maar kreeg geen reactie. Daarop werd het plug-inteam van WordPress.org gewaarschuwd. Verder onderzoek wees uit dat de websites van AccessPress Themes waren gecompromitteerd en er aan aanwezige themes en plug-ins een backdoor was toegevoegd waarmee aanvallers toegang tot de website krijgen. Voor de meeste plug-ins zijn inmiddels schone versies uitgebracht. Dat geldt echter niet voor tientallen themes, die inmiddels ook van WordPress.org zijn verwijderd. Beheerders wordt aangeraden deze themes van hun website te verwijderen en naar nieuwe versies van de plug-ins te upgraden.


Houd aandacht voor Log4j

De afgelopen weken is er veel te doen geweest rondom de kwetsbaarheden in Log4j. Doordat deze vrij eenvoudig - veelal op afstand - te misbruiken zijn en de impact van succesvol misbruik groot kan zijn, brengen de kwetsbaarheden een hoog risico met zich mee. Daarnaast zit Log4j in heel veel verschillende software en systemen en zijn kwetsbare Log4j-versies vaak moeilijk te ontdekken. Het NCSC heeft organisaties daarom op verschillende manieren bijgestaan om kwetsbare systemen te kunnen opsporen en de kwetsbaarheden te verhelpen. Mede door het snelle handelen van veel organisaties lijkt de omvang van actief misbruik op dit moment mee te vallen. Maar dat wil niet zeggen dat het hierbij blijft. De verwachting is dat kwaadwillenden de komende tijd naar kwetsbare systemen blijven zoeken en doelgerichte aanvallen blijven uitvoeren. Het is daarom van belang om waakzaam te blijven. Het NCSC raadt organisaties aan om te blijven controleren of kwetsbare systemen worden gebruikt en waar nodig updates of mitigerende maatregelen toe te passen. Daarnaast raadt het NCSC bestuurders aan alert te blijven door zich te laten informeren over Log4j en de mogelijke impact van misbruik op de bedrijfscontinuïteit. Het NCSC blijft de situatie nauwgezet monitoren en zal waar nodig actie ondernemen. We blijven de komende tijd informatie delen via onze website en GitHub-repository om organisaties een actueel beeld van de situatie te geven. Vanuit de hele wereld dragen onderzoekers, cybersecuritybedrijven, computercrisisteams, leveranciers en andere nationale cybersecuritycentra hieraan bij. Dit wordt breed gewaardeerd en daar zijn wij trots op. Wat dat betreft heeft Log4j ons nu al een waardevolle les geleerd: hoe belangrijk het is om gezamenlijk nog beter grip te krijgen op de software die we gebruiken. Hoe blijf je als organisaties de komende periode waakzaam en alert? Lees ons expertblog met tips en adviezen.


Kritieke kwetsbaarheden in Oracle

Oracle heeft woensdag 19 januari bijna 500 nieuwe (beveiligings)updates vrijgegeven waarvan enkele direct aandacht behoeven. De meest kritieke kwetsbaarheden bevinden zich in:

  • Oracle Enterprise Manager;
  • Oracle Financial Services Applications en;
  • Oracle Fusion Middleware.

Binnen Oracle Enterprise Manager-producten maakt de kwetsbaarheid met CVE-2021-3177 het mogelijk voor een ongeautoriseerde kwaadwillende om op afstand willekeurige code uit te voeren. Deze kwetsbaarheid is aangemerkt met een CVSS-score van 9.8. Dit betekent dat dit een zeer kritieke kwetsbaarheid is.

Ook binnen Oracle Financial Services Applications-producten is er een kwetsbaarheid aangemerkt met een CVSS-score van 9.8. Kwetsbaarheid CVE-2019-17495 maakt het voor een geauthentiseerde kwaadwillende mogelijk om op afstand gevoelige gegevens op te vragen of aan te passen. Ook is er verhoogd risico op een Denial-of-Service.

Extra aandacht vragen wij voor Oracle Fusion Middleware producten. Kwetsbaarheden met de kenmerken CVE-2020-17530, CVE-2022-21306, CVE-2021-35587 worden eveneens aangemerkt met een CVSS-score van 9.8. Deze kwetsbaarheden kunnen door een kwaadwillende worden misbruikt voor het uitvoeren van willekeurige code. Voor de kwetsbaarheid aangemerkt met CVE-2021-40438 (CVSS-score 9.0) is eerder al een 'Proof of concept' gepubliceerd.

Het NCSC schaalt deze kwetsbaarheden in als 'High/High'; de kans op misbruik op korte termijn én de potentiële schade is groot. Dit advies is gepubliceerd met als referentie: NCSC-2022-0042, NCSC-2022-0041 en NCSC-2022-0040.

Wat kun je doen?

Raadpleeg het overzicht van Oracle om te zien of ook jouw systemen geraakt worden.
Installeer direct of zo spoedig mogelijk de door Oracle ter beschikking gestelde updates waarbij we nogmaals specifieke aandacht vragen voor de volgende producten:

Oracle Enterprise Manager: Enterprise Manager Ops Center
Oracle Financial Services Applications: Oracle Banking APIs en Oracle Banking Digital Experience
Oracle Fusion Middleware: Oracle Access Manager, Oracle Business Intelligence Enterprise Edition, Oracle Weblogic Server en Oracle HTTP Server.
Weet je niet zeker of je gebruik maakt van een kwetsbaar Oracle product? Neem dan contact op met je IT-dienstverlener. Uitgebreide en recente informatie over de genoemde kwetsbaarheden is op de website van Oracle te vinden.

Naar de beveiligingsupdates


SolarWinds verhelpt voor Log4j-aanvallen gebruikt zerodaylek in Serv-U

SolarWinds heeft een actief aangevallen zerodaylek in Serv-U verholpen dat voor Log4j-aanvallen werd gebruikt, zo meldt Microsoft. Vorig jaar ontdekte het techberdrijf ook al actief misbruik van een zerodaylek in Serv-U. Via deze software kunnen organisaties een server opzetten om bestanden via FTP, FTPS en SFTP uit te wisselen. Tijdens het monitoren van Log4j-aanvallen ontdekte Microsoft-onderzoeker Jonathan Bar Or dat aanvallers gebruikmaakten van een onbekende kwetsbaarheid in Serv-U voor het uitvoeren van Log4j-aanvallen. Het beveiligingslek, aangeduid als CVE-2021-35247, is aanwezig in de webinterface van Serv-U. Het inlogscherm voor LDAP-authenticatie blijkt de invoer van gebruikers niet goed te controleren. Door gebruik te maken van bepaalde karakters is het mogelijk voor een aanvaller om een LDAP-query uit te voeren die voor Log4j-aanvallen is te gebruiken, alsmede LDAP-injectie, stelt Bar Or. Volgens SolarWinds is LDAP-injectie niet mogelijk, omdat de LDAP-servers de betreffende karakters negeren. Het Lightweight Directory Access Protocol (LDAP) is een protocol dat het makkelijker maakt om gebruikers te managen en toegang te geven tot bepaalde bronnen. SolarWinds heeft nu Serv-U 15.3 uitgerold waarin het probleem is verholpen.


Kritiek lek in beveiligingsfunctie Google Chrome laat aanvaller code uitvoeren

Een kritieke kwetsbaarheid in een belangrijke beveiligingsfunctie van Google Chrome maakt remote code execution mogelijk, waardoor een aanvaller in het ergste geval het systeem van gebruikers kan overnemen. Daarbij volstaat het bezoeken van een gecompromitteerde of kwaadaardige website of het te zien krijgen van een besmette advertentie. Er is geen verdere interactie van de gebruiker vereist. Het beveiligingslek, aangeduid als CVE-2022-0289, bevindt zich in Safe Browsing. Via deze feature waarschuwt Google gebruikers voor malafide websites en downloads, zoals phishingsites en besmette apps. Google onderzoeker Sergei Glazunov ontdekte op 5 januari een "use after free" in de beveiligingsfunctie, waardoor een aanvaller code op het onderliggende systeem kan uitvoeren. De impact van het beveiligingslek is als kritiek beoordeeld. Kritieke kwetsbaarheden komen zeer zelden voor in Chrome, maar begin dit jaar werd er ook al een dergelijk beveiligingslek in de browser verholpen. Naast het beveiligingslek in Safe Browsing vond Glazunov ook een kwetsbaarheid in een andere beveiligingsfunctie van Chrome, namelijk Site Isolation. Deze beveiligingsfunctie zorgt ervoor dat Chrome de inhoud van elke geopende website in een apart proces rendert, geïsoleerd van andere websites. Dit zorgt voor een betere afscherming tussen websites dan de bestaande Chrome-sandbox kan bieden. In deze feature trof de Google-onderzoeker ook een "use after free" kwetsbaarheid aan, alleen is de impact daarvan beperkt tot het uitvoeren van code binnen de browser. Het beveiligingslek werd daardoor niet beoordeeld als kritiek, maar kreeg het label "high". Via dergelijke kwetsbaarheden kan een aanvaller in het ergste geval code binnen de context van de browser uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Het beveiligingslek is op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google betaalde de eigen medewerker 20.000 dollar voor het beveiligingslek in Site Isolation. Een beloning voor de kwetsbaarheid in Safe Browsing is nog niet bekendgemaakt. Met Chrome 97.0.4692.99 zijn in totaal 26 beveiligingslekken verholpen. Updaten naar de nieuwste versie zal op de meeste systemen automatisch gebeuren.


CISA meldt actief misbruik van ProxyToken-lek in Exchange Server

Er wordt actief misbruik gemaakt van het ProxyToken-lek in Microsoft Exchange Server waarvoor vorig jaar een update verscheen, zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Via het lek kan een ongeauthenticeerde aanvaller inkomende e-mails stelen. Alle federale Amerikaanse overheidsinstanties moeten de beveiligingsupdate om het probleem te verhelpen voor 1 februari hebben geïnstalleerd. Microsoft kwam op 13 juli vorig jaar met een update voor het ProxyToken-lek, dat ook wordt aangeduid als CVE-2021-33766. Door de kwetsbaarheid kan een aanvaller, wanneer die een speciaal geprepareerd request naar de Exchange Server stuurt, de configuratie van mailboxes van willekeurige gebruikers aanpassen en een doorstuurregel aanmaken waardoor inkomende e-mails naar een e-mailaccount van de aanvaller worden doorgestuurd. Het CISA houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren. De lijst wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. De nieuwste uitbreiding betreft dertien kwetsbaarheden. Naast het ProxyToken-lek gaat het ook om kwetsbaarheden in BIG-IP, Nagios, Drupal, Apache Airflow, Oracle Corporate Business Intelligence Enterprise Edition, Aviatrix en October CMS.


Proof-of-Concept SonicWall kwetsbaarheden

Er is een zogenoemde Proof-of-Concept (POC) publiekelijk beschikbaar. Dit beschrijft hoe je misbruik kunt maken van de SonicWall kwetsbaarheden. De risico's op misbruik door kwaadwillenden neemt hierdoor toe. Advies is om snel de beveiligingsupdates te (laten) installeren.


NSA ontdekt wederom kritieke kwetsbaarheid in Exchange Server

De Amerikaanse geheime dienst heeft wederom een kritieke kwetsbaarheid in Exchange ontdekt waardoor het mogelijk is om servers over te nemen. Microsoft heeft gisterenavond beveiligingsupdates uitgebracht en roept organisaties op om die meteen te installeren. Het beveiligingslek, aangeduid als CVE-2022-21846, is niet direct vanaf het internet te misbruiken. In plaats daarvan zou een aanvaller al toegang tot het netwerk van de Exchange-server moeten hebben. Naast aanvallers die al toegang tot het netwerk hebben zou het beveiligingslek ook door insiders zijn te misbruiken. Vervolgens is remote code execution mogelijk en kan de server worden afgenomen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 met een 9.0 beoordeeld en Microsoft verwacht dat misbruik waarschijnlijk is. Het is niet voor het eerst dat de NSA kwetsbaarheden in Microsoft Exchange Server vindt. Vorig jaar rapporteerde de Amerikaanse geheime dienst drie beveiligingslekken in Microsofts mailserversoftware aan het techbedrijf. Naast het door de NSA ontdekte lek heeft Microsoft ook twee andere kwetsbaarheden in Exchange verholpen die remote code execution mogelijk maken. Deze lekken hebben ook een impactscore van 9.0, maar zijn als "important" beoordeeld. Het gaat om CVE-2022-21855 en CVE-2022-21969. De kwetsbaarheden zijn aanwezig in Exchange Server 2013, 2016 en 2019. Microsoft is naar eigen zeggen nog niet bekend met misbruik van de kwetsbaarheden maar adviseert de patches meteen te installeren.


Kritieke kwetsbaarheden in Microsoft Windows

Microsoft heeft vanavond, dinsdag 11 januari, meerdere (beveiligings)updates vrijgegeven die direct aandacht behoeven. De kwetsbaarheden met kenmerk CVE-2022-21849 en CVE-2022-21907 hebben van Microsoft een CVSS-score van 9.8 gekregen wat betekent dat dit zeer kritieke kwetsbaarheden betreft. De hoogste dreiging komt van CVE-2022-21907. Hoewel er voor deze kwetsbaarheid momenteel nog geen Proof-of-Concept of exploitcode beschikbaar is, verwacht zowel Microsoft als het Nationaal Cyber Security Centrum (NCSC) dat deze op korte termijn wel beschikbaar zal komen. Daarom schaalt het NCSC de kwetsbaarheden in als 'High/High'; de kans op misbruik op korte termijn én de potentiële schade is groot. Dit advies is gepubliceerd met als referentie: NCSC-2022-0014.

De patches die Microsoft ter beschikking heeft gesteld zijn zowel voor gebruikerssystemen van toepassing (o.a. Windows 10 en Windows 11) als voor servers (o.a. Windows server 2016, 2019 en 2022 systemen). Daarmee worden naar inschatting van het DTC veel ondernemers potentieel geraakt door deze kwetsbaarheden.

Wat is het risico?

Microsoft en het NCSC spreken de verwachting uit dat op korte termijn misbruik te verwachten is voor zowel CVE-2022-21849 als CVE-2022-21907. Beide kwetsbaarheden stellen een kwaadwillende in staat om op afstand willekeurige code uit te voeren. Daarbij geeft Microsoft aan dat de kwetsbaarheid CVE-2022-21907 mogelijk 'wormable’ is. Dit wil zeggen dat er zonder tussenkomst van gebruikers kwaadaardige software verspreid kan worden naar andere kwetsbare systemen. Dit type kwetsbaarheid heeft de potentie om tot een grootschalige en snel verspreidende uitbraak te leiden.

Wat kan ik doen?

Raadpleeg het overzicht van Microsoft om te zien of ook jouw systemen geraakt worden.
Installeer direct of zo spoedig mogelijk de door Microsoft ter beschikking gestelde updates waarbij we specifieke aandacht vragen voor de volgende producten:

  • Windows 10 Version 20H2, 21H1, 21H2
  • Windows 11
  • Windows Server 2016, 2019 en 2022

Wanneer je niet zeker bent of je gebruik maakt van een kwetsbaar Windows systeem of -versie, neem dan contact op met je IT-dienstverlener.
Uitgebreide en recente informatie over de genoemde kwetsbaarheden is op de website van Microsoft te vinden.

Naar de beveiligingsupdates


Kwetsbaarheid in SonicWall

Op 7 december 2021 heeft SonicWall nieuwe firmware uitgebracht voor hun Secure Mobile Access (SMA) 100-serie. SonicWall heeft op 11 januari 2022 een beveiligingsadvies uitgebracht waarin gebruikers worden geïnformeerd dat de december-releases beveiligingsproblemen hebben opgelost die door Rapid7 zijn gevonden. Het meest kritieke probleem, een niet-geverifieerde stack-gebaseerde bufferoverloop in de webinterface, stelt nobody externe aanvallers in staat om willekeurige code uit te voeren als de niemand-gebruiker. De kwetsbaarheid is toegewezen aan CVE-2021-20038 en heeft een CVSS-score van 9,8.


Miljoenen routers kwetsbaar door fout in USB-module

Populaire consumenten routers, zoals die van Netgear, zijn kwetsbaar voor Remote Code Execution (RCE) door een fout in de KCodes NetUSB kernel module. Deze module wordt gebruikt om op afstand te verbinden met USB-apparaten die met de router verbonden zijn. Hierdoor gebruik je deze USB-apparaten alsof ze direct op je computer zijn aangesloten. De fout bevindt zich in de kernel. Dit omvat de belangrijkste code van de module en wordt bijvoorbeeld als eerste gestart. Zo omzeilt deze de beveiligingslagen die erboven liggen. Via een zogeheten buffer overflow zouden kwaadwillenden het apparaat over kunnen nemen. In simpele termen gesproken kunnen kwaadwillenden onverwacht gedrag in de USB-module forceren. Hierdoor kan er code uitgevoerd worden waar normaal authenticatie aan vooraf zou moeten gaan. Denk bijvoorbeeld aan het openen van een deur zonder dat er gecontroleerd wordt of je de juiste toegangscode hebt ingevoerd. Op deze manier krijgen de boeven toegang tot het USB-apparaat en het netwerk. Max van Amerongen van beveiligingsbedrijf Sentinel One ontdekte het lek. Hij geeft aan dat het exploiteren van deze kwetsbaarheid erg moeilijk is. Maar voor kwaadwillenden met tijd, geld en kennis zeker is het niet onmogelijk. De kwetsbaarheid is te vinden in miljoenen populaire routers, zoals die van Netgear en TP-Link, en daardoor blijft de kans bestaan dat een hackersgroep tijd en moeite in de kwetsbaarheid investeert. Om deze reden is het lek nog steeds als kritiek aangemerkt. Gebruikers wordt aangeraden om deze maand de firmware updates voor hun routers te installeren zodra deze beschikbaar komen.


QNAP waarschuwt: beveilig NAS-systeem onmiddellijk tegen aanvallen

Hardwarefabrikant QNAP waarschuwt dat gebruikers onmiddellijk hun NAS-systeem tegen aanvallen moeten beveiligen, anders lopen ze het risico dat bestanden worden versleuteld en aanvallers de apparaten overnemen. Volgens QNAP zijn allerlei soorten netwerkapparaten het doelwit van bruteforce- en ransomware-aanvallen en lopen met name op internet aangesloten apparaten zonder bescherming risico. In een vandaag verschenen waarschuwing adviseert QNAP gebruikers om eerst te controleren of hun NAS-systeem vanaf het internet toegankelijk is. Wanneer dit het geval is wordt aangeraden om port forwarding op de router en UPnP op het NAS-systeem uit te schakelen. Vorig jaar werden QNAP-gebruikers meerdere keren het doelwit van aanvallen, waarbij aanvallers onder andere misbruik maakten van bekende kwetsbaarheden in de QNAP-software. Wat exact de reden is voor QNAP om gebruikers vandaag te waarschuwen laat de fabrikant niet weten, maar eind december was er een toename van ransomware-aanvallen op QNAP-systemen.


Beveiligingslek in Android kan malafide apps aanvullende permissies geven

Google heeft tijdens de eerste patchronde van 2022 tientallen kwetsbaarheden in Android verholpen waardoor malafide apps en een lokale aanvaller in het ergste geval zonder interactie van gebruikers aanvullende permissies kunnen krijgen. De andere kwetsbaarheden maken het onder andere mogelijk voor aanvallers om zonder gebruikersinteractie of "execution privileges" hun rechten te verhogen. Verder is de kernelversie geüpdatet. Naast kwetsbaarheden in de eigen Androidcode verhelpt Google met de maandelijkse patchronde ook kwetsbaarheden in onderdelen van chipsetfabrikanten waar Android gebruik van maakt. Deze maand gaat het om onderdelen van MediaTek, Unisoc en Qualcomm. Een van deze beveiligingslekken, in de software van Qualcomm, is al kritiek aangemerkt. Het gaat om een kwetsbaarheid aangeduid als CVE-2021-30285 die zich in de kernel bevindt en alleen door een lokale aanvaller is te misbruiken. Voor zover bekend wordt geen van de 35 nu verholpen kwetsbaarheden misbruikt. Alle overige beveiligingslekken kregen het label "high" en hebben een minder grote impact. Patchniveau Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de januari-updates ontvangen zullen '2022-01-01' of '2022-01-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van januari aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 9, 10, 11 en 12. Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.


Microsoft adviseert extra controle Log4j-systemen en verwacht lange nasleep

Organisaties die van Log4j gebruikmaken doen er verstandig aan om hun systemen extra op eventueel misbruik te controleren, zo adviseert Microsoft. Het techbedrijf verwacht gezien het aantal kwetsbare diensten en software dat het nog lang kan duren voordat alle systemen zijn beveiligd en gepatcht, waardoor continue waakzaamheid van organisaties is vereist. Door de aard van Log4j zijn niet alleen applicaties kwetsbaar die van de loggingsoftware gebruikmaken, maar ook alle diensten die weer met deze applicaties werken. Daardoor weten organisaties mogelijk niet hoe wijdverbreid het probleem in hun omgeving is, aldus Microsoft. Inmiddels zouden zowel statelijke actoren als doorsnee cybercriminelen misbruik van de Log4j-kwetsbaarheden maken. Tijdens de laatste week van december bleef het aantal aanvalspogingen hoog, stelt Microsoft verder. "We hebben gezien dat veel aanvallers exploits voor deze kwetsbaarheden aan hun bestaande malwarekits en tactieken toevoegen, van coinminers tot hand-on-keyboard-aanvallen. Organisaties beseffen mogelijk niet hoe hun omgevingen misschien al zijn gecompromitteerd." Microsoft adviseert dan ook een extra controle van systemen waarop kwetsbare Log4j-versies draaien. Het techbedrijf stelt dat de brede beschikbaarheid van exploitcode en scanningtechnieken een echt en concreet gevaar voor bedrijfsomgevingen vormt. Vanwege de vele software en diensten die zijn getroffen en de snelheid waarmee updates verschijnen en worden toegepast kan het nog lang duren voordat de situatie is verholpen, wat inhoudt dat bedrijven blijvend alert moeten zijn.


FTC waarschuwt bedrijven om data tegen Log4j-aanvallen te beschermen

Bedrijven en organisaties moeten persoonlijke data tegen Log4j-aanvallen beschermen, anders lopen ze risico om miljoenen dollars te moeten betalen. Daarvoor waarschuwt de Amerikaanse toezichthouder FTC. Volgens de FTC hebben bedrijven de plicht om redelijke stappen te nemen om bekende kwetsbaarheden te verhelpen. "Het is belangrijk dat bedrijven en hun leveranciers die van Log4j gebruikmaken nu in actie komen om de kans op schade voor consumenten en juridische stappen door de FTC te voorkomen", zo stelt de toezichthouder. Die wijst naar een eerdere schikking met kredietbeoordelaar Equifax. Het bedrijf had nagelaten een beschikbare beveiligingsupdate voor een bekend beveiligingslek in Apache Struts te installeren waardoor data van 147 miljoen Amerikanen kon worden gestolen. Equifax trof een schikking van in totaal 700 miljoen dollar met de FTC, het Consumer Financial Protection Bureau en alle vijftig Amerikaanse staten. De FTC zegt dat het de volledige wettelijke bevoegdheid wil gaan gebruiken om bedrijven te vervolgen die geen maatregelen hebben genomen om datalekken met consumentengegevens als gevolg van Log4j of soortgelijke kwetsbaarheden te voorkomen.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers