Captain Kirk

Een beveiligingsonderzoeker kon door middel van verschillende kwetsbaarheden miljoenen Electronic Arts-accounts overnemen, zonder dat hier enige interactie van gebruikers voor was vereist. Dat laat onderzoeker Sean Kahler in een analyse weten. Electronic Arts (EA) heeft de problemen inmiddels verholpen, maar had daar wel zo'n vier maanden en vijf patches voor nodig. Kahler beschrijft hoe hij binnen de authentication API-omgeving van Electronic Arts een 'privileged access token' had bemachtigd. Hoe dit precies mogelijk was zegt de onderzoeker op een later moment bekend te maken, maar het zou gaan om een executable bestand van een EA-game met daarin hardcoded credentials. Vervolgens wist Kahler via een bereikbaar endpoint andere endpoints te vinden. Elk account dat wordt gekoppeld aan een EA-account krijgt een 'persona', waaronder het standaard EA-account. Kahler weet via de gevonden endpoints en API's zijn eigen persona's aan elk willekeurig EA-account koppelen alsmede elk willekeurig persona aan zijn eigen EA-account en zo op de accounts van andere gebruikers in te loggen. In eerste instantie loopt de onderzoeker hierbij tegen een probleem aan dat er een e-mailverificatie is vereist, omdat er vanaf een nieuwe locatie wordt ingelogd. Kahler ontdekt dat deze controle is te omzeilen door meteen in te loggen via een spelcomputer, zoals de Xbox, wat ervoor zorgt dat EA de locatie 'vertrouwt'. Daarna is het gewoon mogelijk om via de EA-website op het account in te loggen. Via de kwetsbaarheden kan de onderzoekers gebruikersnamen van andere gebruikers stelen, alsmede hun game data, inloggen op de accounts van andere gebruikers, persona's van andere gebruikers bannen en opgelegde bans omzeilen. Al deze zaken zijn zonder enige interactie van de betreffende gebruikers uit te voeren. Electronic Arts wordt op 16 juni door Kahler over de kwetsbaarheden ingelicht en stelt dat het om een kritiek probleem gaat. In de volgende maanden verschijnen er vijf patches om de problemen te verhelpen, waarbij de laatste update op 8 oktober wordt uitgerold. "Gegeven de ernst is het vreemd hoe lang EA nodig had om de fixes uit te rollen. Hun originele inschatting was dat het pas tegen het einde van dit jaar was opgelost, ondanks dat het een eenvoudig geval is van blootgestelde documentatie en een enkel onbeveiligd endpoint." Daarnaast noemt de onderzoeker het teleurstellend dat EA geen bugbountyprogramma heeft. bron: https://www.security.nl

QNAP voorziet de nieuwste versies van besturingssystemen QTS en QuTS hero tot augustus 2029 van beveiligingsupdates. Dat heeft de NAS-fabrikant vandaag bekendgemaakt. QTS en QuTS zijn de besturingssystemen die op de NAS-apparaten van QNAP draaien. QTS 5.2 en QuTS hero h5.2 zijn aangemerkt als long-term support (LTS) releases en zullen daardoor langer met beveiligingsupdates worden ondersteund dan normale versies. "Wanneer een besturingssysteemversie de LTS-fase ingaat, ontvangen bepaalde niet-ingebouwde toepassingen voor het besturingssysteem ook continue ondersteuning met verbeteringen in de beveiliging en bugfixes. Deze toepassingen hebben betrekking op belangrijke functies zoals opslag, back-up en synchronisatie, virtualisatie en gegevensbescherming", aldus QNAP. Met het toepassen van een levenscyclus moet het volgens de NAS-fabrikant eenvoudiger voor beheerders worden om hun it-infrastructuur te beheren. bron: https://www.security.nl

Een kritieke kwetsbaarheid maakt het mogelijk voor een ongeauthenticeerde aanvaller om Cisco Ultra-Reliable Wireless Backhaul (URWB) access points op afstand over te nemen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Cisco heeft beveiligingsupdates uitgebracht om het probleem te verhelpen. De kwetsbaarheid (CVE-2024-20418) bevindt zich in de webinterface van de Cisco Unified Industrial Wireless Software. Deze software draait op de Ultra-Reliable Wireless Backhaul (URWB) access points. Deze access points zijn vooral bedoeld voor 'industrieel buitengebruik' en 'vitale toepassingen'. Het access point biedt wifi-mogelijkheden waar industriële systemen gebruik van kunnen maken. Het apparaat wordt onder andere in havens en autonome voertuigen gebruikt. CVE-2024-20418 betreft een command injection-kwetsbaarheid in de webinterface van het access point. Doordat de validatie van gebruikersinvoer tekort schiet kan een aanvaller een speciaal geprepareerd http-request naar de webinterface sturen en zo willekeurige commando's met rootrechten uitvoeren. Een aanvaller kan zo volledige controle over het systeem krijgen. Het beveiligingslek is aanwezig in de Catalyst IW9165D en IW9167E heavy duty access points en Catalyst IW9165E rugged access points en wireless clients. Access points die niet in de 'URWB mode' draaien zijn niet kwetsbaar. bron: https://www.security.nl

Duizenden systemen waarmee organisaties de toegang tot gebouwen beheren zijn door middel van een kritieke kwetsbaarheid op afstand door een ongeauthenticeerde aanvaller over te nemen. De fabrikant werd vijf maanden geleden ingelicht, maar heeft nog altijd geen beveiligingsupdate uitgebracht. Het probleem is aanwezig in de Linear eMerge E3 van fabrikant Nice. De Linear eMerge is een browser-gebaseerd toegangsplatform waarmee organisaties de fysieke toegang tot hun gebouwen kunnen beheren. Via het systeem kunnen beheerders toegangspermissies instellen, het binnenkomen van personen monitoren en overzichten genereren. Het systeem biedt ook een webportaal waarmee het mogelijk is om op afstand op het systeem in te loggen. Een kwetsbaarheid in de oplossing maakt command injection mogelijk, waardoor een ongeauthenticeerde aanvaller op afstand willekeurige commando's op het systeem kan uitvoeren. Hoewel Nice werd geïnformeerd over het beveiligingslek is een update nog niet beschikbaar. Securitybedrijf Censys voerde een online scan uit en ontdekte meer dan 2700 webportalen die vanaf internet toegankelijk zijn en risico lopen. Organisaties wordt geadviseerd om de systemen offline te halen, netwerksegmentatie toe te passen, toegang door ongeautoriseerde personen te beperken en het monitoren op verdacht gedrag. De impact van de kwetsbaarheid (CVE-2024-9441) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. bron: https://www.security.nl

Google Cloud gaat het gebruik van multifactorauthenticatie (MFA) voor alle gebruikers verplichten die nu nog met alleen met een gebruikersnaam en wachtwoord inloggen. De verplichting zal volgend jaar gefaseerd wereldwijd worden uitgerold. Daarbij zullen zowel organisaties als gebruikers worden gewaarschuwd voor de aankomende verplichting en de manier waarop ze MFA kunnen instellen. Deze maand start het techbedrijf met het informeren van gebruikers en organisaties via meldingen in de Google Cloud console. Vervolgens zal begin volgend jaar MFA worden verplicht voor alle nieuwe en bestaande gebruikers die met alleen een wachtwoord inloggen. Als laatste volgen eind 2025 de 'federated users' die via een identiteitsprovider inloggen. Google benadrukt dat MFA een 'cruciale maatregel' is om accounts tegen ongeautoriseerde toegang te beschermen en roept gebruikers op om het zo snel mogelijk in te stellen. bron: https://www.security.nl

Onderzoekers hebben een phishingaanval ontdekt waarbij slachtoffers worden misleid om een virtual machine met backdoor te installeren. De aanval begint zeer vermoedelijk met een phishingmail, waarbij wordt gelinkt naar een zogenaamde enquête genaamd 'OneAmerica Survey'. In werkelijkheid gaat het om een 285 megabyte groot bestand, dat een installatie van QEMU bevat, een open source emulator. De QEMU-installatie laadt een Linux-instance die voorzien is van een backdoor, waardoor de aanvaller verbinding met de besmette machine kan maken. "Deze setup stelt de aanvaller in staat om onopvallend aanwezig te blijven op de machine van het slachtoffer, verdere aanvallen vanuit een verborgen omgeving uit te voeren, wat detectie voor traditionele virusscanners lastig maakt. Aangezien QEMU legitieme software is, die vaak wordt gebruikt in ontwikkeling en onderzoek, zal de aanwezigheid ervan meestal geen alarm laten afgaan", aldus securitybedrijf Securonix. "Niet een veelvoorkomende techniek, toch? Eigenlijk kan ik me op dit moment zelfs niet herinneren of ik QEMU ooit eerder op deze manier in een malwarecampagne heb gezien. Zelfs als dit niet volledig nieuw is, is het zeker niet gewoon", aldus MalwareHunterTeam op X. Organisaties wordt onder andere aangeraden om het gebruik van legitieme software op ongebruikelijke locaties te monitoren en alert te zijn op het downloaden van bestanden van externe bronnen. bron: https://www.security.nl

Meer dan dertig beveiligingslekken in IBM Security Verify Access, waardoor een aanvaller de oplossing kan compromitteren, zijn na anderhalf jaar gepatcht, wat volgens beveiligingsonderzoeker Pierre Kim 'zeer zorgwekkend' is. IBM Security Verify Access is een 'authorization and network security policy management solution' waarmee organisaties hun gebruikers op intra- en extranetten kunnen authenticeren en autoriseren. Het is te gebruiken voor applicaties en client/server-toepassingen. Kim ontdekte in totaal 32 kwetsbaarheden in de oplossing waardoor een aanvaller zijn rechten op het systeem kan verhogen, het mogelijk is de authenticatie te omzeilen en remote code execution kan plaatsvinden. "TL;DR: Een aanvaller kan IBM Security Verify Access door middel van meerdere kwetsbaarheden compromitteren", vat Kim zijn onderzoek samen. Daarnaast werden in de IBM Security Verify Access runtime Docker images verouderde en niet meer vertrouwde certificaatautoriteiten aangetroffen, waaronder DigiNotar. Voorwaarde om misbruik van de kwetsbaarheden te maken is dat de aanvaller in staat is om een man-in-the-middle (MITM)-aanval op de verbinding naar de Security Verify Access-server uit te voeren of vanuit het lokale netwerk toegang krijgt. De beveiligingslekken werden in oktober 2022 ontdekt en begin 2023 aan IBM gerapporteerd. Uiteindelijk waren die eind juni van dit jaar allemaal gepatcht. "Anderhalf jaar nodig hebben om te komen met beveiligingsupdates voor een Single sign-on (SSO)-oplossing lijkt niet in lijn te zijn met huidige cybersecurityrisico's en is zeer verontrustend", aldus Kim. bron: https://www.security.nl

QNAP heeft een beveiligingsupdate uitgebracht voor een kritieke kwetsbaarheid in QuRouter (CVE-2024-50389), waardoor routers van de fabrikant op afstand zijn over te nemen. Het beveiligingslek werd op 22 oktober tijdens de Pwn2Own-hackwedstrijd in Ierland gedemonstreerd. Het evenement beloont onderzoekers voor het demonstreren van onbekende beveiligingslekken in veel gebruikte producten en software, waaronder verschillende routers. Onderzoekers van Viettel Cyber Security lieten zien hoe ze via de kritieke kwetsbaarheid de QNAP QHora-322-router op afstand konden compromitteren, om daarvandaan de aangesloten TrueNAS Mini X over te nemen. QNAP heeft nu een update voor QuRouter uitgebracht, het besturingssysteem dat op de routers van de fabrikant draait. Details over het beveiligingslek zelf zijn echter niet gegeven, behalve dat het om een kritiek probleem gaat dat in versie 2.4.5.032 en nieuwer is verholpen. bron: https://www.security.nl

Nog altijd vinden er phishingaanvallen plaats via gekaapte hotel-accounts op Booking.com, zo bevestigt het reserveringsplatform. Afgelopen juni riep Booking zowel hotels als gasten op om tweefactorauthenticatie (2FA) voor hun accounts te gebruiken. Bij de phishingaanvallen weten aanvallers de systemen van hotels met malware te infecteren en kunnen zo de inloggegevens voor het account op Booking.com stelen. Vervolgens sturen de aanvallers naar gasten die bij het betreffende hotel hebben geregistreerd een phishingbericht dat de gegevens opnieuw bevestigd moeten worden. De meegestuurde link is een phishingsite die om creditcardgegevens en andere informatie vraagt. Doordat het bericht van het hotel zelf via het Booking.com-platform afkomstig is, kunnen gasten denken dat het om een legitiem bericht gaat. Deze werkwijze vindt al enige tijd plaats. Een jaar geleden beschreef securitybedrijf Secureworks hoe een hotel met infostealer-malware werd gecompromitteerd. Infostealer-malware steelt allerlei gegevens van het systeem, waaronder ook de inloggegevens van het hotel voor Booking.com. Het hotel in kwestie waarover Secureworks schreef maakte geen gebruik van 2FA, waardoor de aanvallers met de gestolen data meteen op het account konden inloggen. Vervolgens werden er phishingberichten naar gasten gestuurd. It-journalist Brian Krebs meldt op basis van een nieuw gecompromitteerd hotel dat deze phishingaanvallen nog altijd plaatsvinden. Booking.com bevestigt dit. Volgens het reserveringsplatform was het hotel waarover Krebs schrijft besmet geraakt met malware. Booking voegt toe dat 2FA inmiddels voor partners verplicht is en wordt gehandhaafd. Krebs merkt op dat het onduidelijk is of deze 2FA-verplichting voor alle of alleen nieuwe partners geldt die via het platform actief zijn. bron: https://www.security.nl

Cisco heeft door een configuratiefout op de eigen DevHub-site bestanden bedoeld voor klanten onbedoeld gelekt, die zodoende door een aanvaller gestolen konden worden. Via DevHub maakt Cisco scripts, templates, code en andere software beschikbaar voor klanten en gebruikers van de site. Het grootste deel van de informatie op DevHub is bewust publiek beschikbaar, aldus het netwerkbedrijf in een melding over een security-incident. Vorige maand claimde iemand op een online forum een 'Cisco Data Breach'. Volgens deze persoon beschikte hij over allerlei gevoelige informatie van Cisco. Het bedrijf deed daarop een onderzoek en stelde dat het om bestanden van de DevHub-site ging. Verder onderzoek wees uit dat een configuratiefout ervoor zorgde dat bestanden bedoeld voor klanten, die niet publiek hadden moeten zijn, toch zijn gepubliceerd. Volgens Cisco betreft het een 'beperkt aantal' CX Professional Services-klanten die inmiddels zijn ingelicht. Om wat voor soort configuratiefout het precies gaat laat Cisco niet weten. Het probleem is inmiddels verholpen, aldus de verklaring. Verder stelt Cisco op basis van voorlopig onderzoek dat er geen informatie is gelekt waardoor een aanvaller toegang kan krijgen tot de productie- of bedrijfsomgevingen van het bedrijf. bron: https://www.security.nl

De malafide 'e-bookwebsite' Z-Lib heeft de gegevens van bijna tien miljoen gebruikers gelekt, die nu aan datalekzoekmachine Have I Been Pwned zijn toegevoegd. Z-Lib deed zich voor als een kloon van de bekende e-bookwebsite Z-Library. Volgens onderzoekers was het eigenlijk een phishingsite die inloggegevens van gebruikers verzamelde en om betalingen vroeg. Z-Lib verscheen online nadat de domeinen van Z-Library eind 2022 door de Amerikaanse autoriteiten offline waren gehaald. De website deed zich voor als de officiële versie van Z-Library. Afgelopen augustus waarschuwde Z-Library via X nog voor de scamwebsite. Sinds Z-Lib online was probeerden bijna tien miljoen mensen van de website gebruik te maken en met hun inloggegevens voor Z-Library in te loggen. Eind juli ontdekten onderzoekers dat de website een back-upbestand met gegevens van zo'n tien miljoen gebruikers lekte. De back-up was voor iedereen op internet toegankelijk. De gelekte informatie bestaat uit walletadressen, e-mailadressen, geografische locatie, wachtwoorden, aankopen en gebruikersnamen van meer dan 9,7 miljoen gebruikers. De e-mailadressen zijn toegevoegd aan Have I Been Pwned. Via de zoekmachine kunnen gebruikers kijken of hun gegevens in een bekend datalek voorkomen. Van de gelekte e-mailadressen was 49 procent al via een ander datalek bij de zoekmachine bekend. bron: https://www.security.nl

Het Tor-netwerk is het doelwit geworden van een censuur-aanval waarbij gespoofte ip-adressen worden gebruikt, zo stelt Osservatorio Nessuno, een Italiaanse non-profitorganisatie die zich inzet voor het recht op privacy en anonimiteit en de vrijheid van informatie, meningsuiting en communicatie en digitale rechten in het algemeen. Dagelijks maken miljoenen mensen gebruik van het Tor-netwerk om hun privacy te beschermen en gecensureerde websites te bezoeken. Het netwerk draait volledig op servers en bandbreedte die door vrijwilligers wordt gedoneerd. Het verkeer van Tor-gebruikers loopt via meerdere servers om zo de identiteit van de gebruiker te maskeren. Volgens Osservatorio Nessuno hebben de afgelopen dagen veel Tor-serverbeheerders abusemeldingen ontvangen dat hun servers zijn gebruikt voor het uitvoeren van bruteforce-aanvallen via SSH. Uit onderzoek blijkt dat de servers geen onderdeel van de aanval waren, maar de verantwoordelijke aanvaller de ip-adressen van de Tor-servers spooft. Daardoor lijkt het voor de aangevallen netwerken alsof de Tor-servers hiervoor verantwoordelijk zijn. Vanwege de aanvallen krijgen de ip-adressen van de Tor-server een 'slechte reputatie' en worden vervolgens door allerlei instanties op blocklists gezet, aldus Osservatorio Nessuno. Beheerders van Tor-servers worden opgeroepen om tegen de abusemeldingen bezwaar te maken. Providers wordt gevraagd om te controleren dat hun informatie correct is, om zo te voorkomen dat ze nep-abusemeldingen versturen. bron: https://www.security.nl

Microsoft heeft besloten om de uitrol van Windows Recall opnieuw uit te stellen, nu naar december. De feature zal dan beschikbaar komen voor Windows Insiders die werken met een Copilot+ pc. Het is de derde keer dat uitstel plaatsvindt. Recall is een nieuwe 'AI-feature' van Microsoft, waarbij continu screenshots van het scherm van gebruikers worden gemaakt. De screenshots worden vervolgens door AI geanalyseerd en doorzoekbaar gemaakt. Microsoft omschrijft het als een 'fotografisch geheugen'. Experts gebruikten de term keylogger en privacynachtmerrie. Oorspronkelijk zou Recall standaard zijn ingeschakeld, maar vanwege de felle kritiek besloot Microsoft voor een opt-in te kiezen en aanvullende beveiligings- en privacymaatregelen toe te voegen. Microsoft was eerst van plan om Recall in juni te lanceren, maar kwam daarop terug. Vervolgens zou de eerste publieke testversie in oktober beschikbaar komen, maar dat is nu verschoven naar december. Volgens Microsoft is dit nodig om de 'experience' te 'verfijnen'. Verdere details zijn niet gegeven. "Ze zouden de tijd moeten nemen om het goed te doen. Ik begrijp nog steeds niet wat ze dachten toen de ceo op het podium stond en aankondigde dat het zes maanden geleden zou lanceren en volledig veilig zou zijn, toen ze er niet eens een basale securityreview van hadden gedaan", zegt beveiligingsonderzoeker Kevin Beaumont. bron: https://www.security.nl

Al meer dan een jaar maken aanvallers gebruik van een botnet bestaande uit gecompromitteerde TP-Link-routers voor het uitvoeren van password spraying-aanvallen, zo waarschuwt Microsoft. Via het botnet zijn verschillende klanten van Microsoft aangevallen, aldus het techbedrijf in een blogposting. Deze klanten zijn hier inmiddels over ingelicht. Welke kwetsbaarheid of kwetsbaarheden de aanvallers precies gebruiken voor het compromitteren van de TP-Link-routers laat Microsoft niet weten. Het botnet zou gemiddeld uit zo'n achtduizend besmette routers bestaan. Zodra de aanvallers toegang tot de router krijgen installeren ze een backdoor en software waardoor het apparaat voor de password spraying-aanvallen is te gebruiken. Password spraying is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen gebruikt een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Volgens Microsoft zijn aanvallen via het botnet lastig te detecteren, omdat het over duizenden ip-adressen van thuisgebruikers en kleine bedrijven beschikt. Zodra aanvallers via het botnet toegang tot een account of systeem weten te krijgen, gebruiken ze 'scanning en credential dumping tools' om inloggegevens te stelen en zich lateraal door het netwerk te bewegen. Vervolgens wordt aanvullende malware geïnstalleerd en allerlei data gestolen. Microsoft adviseert organisaties om gebruikers voor te lichten over wachtwoordhygiëne en het hergebruik van wachtwoorden te voorkomen. Tevens moet multifactorauthenticatie (MFA) voor alle accounts worden ingesteld. bron: https://www.security.nl

Aanvallers maken actief misbruik van twee kwetsbaarheden in PTZ (pan tilt zoom)-beveiligingscamera's van verschillende fabrikanten. Inmiddels zijn er firmware-updates beschikbaar gemaakt om de problemen te verhelpen, maar de aanvallen vonden al plaats voor het uitkomen van de patches. Via de twee beveiligingslekken (CVE-2024-8956 en CVE-2024-8957) kan een ongeauthenticeerde aanvaller op afstand de camera overnemen.De enige voorwaarde is dat de camera bereikbaar is voor de aanvaller. Dat melden securitybedrijven GreyNoise en VulnCheck. De kwetsbare beveiligingscamera's maken gebruik van VHD PTZ camera firmware voor versie 6.3.40. De firmware wordt onder andere gebruikt in apparaten van PTZOptics, Multicam Systems SAS en SMTAV Corporation gebaseerd op de Hisilicon Hi3516A V600 SoC V60, V61 en V63 chips. De camera's, die in allerlei sectoren zoals gezondheidszorg, productie, bedrijfsleven en overheid worden gebruikt, beschikken over een ingebouwde webserver, zodat ze eenvoudig via een browser zijn te benaderen. De beveiligingslekken zorgen ervoor dat een aanvaller de apparaten op afstand kan overnemen. CVE-2024-8956 betreft een kritiek authenticatieprobleem. Een aanvaller kan door het versturen van speciaal geprepareerde requests gevoelige informatie opvragen, zoals gebruikersnamen, wachtwoordhashes en configuratiegegevens. Ook kan een aanvaller de configuratiewaardes aanpassen of het gehele bestand overschrijven. De impact van deze kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.1. Zodra de aanvaller via CVE-2024-8956 toegang heeft gekregen kan die CVE-2024-8957 gebruiken. Deze kwetsbaarheid maakt command injection mogelijk en zorgt ervoor dat de aanvaller willekeurige OS-commando's op de camera kan uitvoeren. Door de twee kwetsbaarheden te combineren kan een ongeauthenticeerde aanvaller op afstand volledige controle over de camera krijgen. Het is onbekend sinds wanneer aanvallers misbruik van de lekken maken en hoeveel apparaten zijn gecompromitteerd. bron: https://www.security.nl