Captain Kirk

Al eens geprobeerd om alle instellingen van je hotspot eruit te halen en hierna alles opnieuw te koppelen? Dat wil nog wel eens werken.

Een kritieke kwetsbaarheid in de firewalls van Sophos maakt remote code execution mogelijk of kan een aanvaller SSH-toegang geven. Het bedrijf heeft beveiligingsupdates uitgebracht om het probleem te verhelpen. De eerste kritieke kwetsbaarheid (CVE-2024-12727) maakt het voor een ongeauthenticeerde aanvaller mogelijk om SQL-Injection uit te voeren, waardoor er toegang tot een database van de firewall kan worden verkregen. Wanneer de firewall een specifieke configuratie heeft en in een bepaalde mode draait kan dit tot remote code execution leiden. Volgens Sophos raakt dit probleem 0,05 procent van alle firewalls. Het tweede kritieke beveiligingslek (CVE-2024-12728) zorgt ervoor dat een SSH login passphrase voor High Availability (HA) cluster initialization actief blijft als het initialiseringsproces is afgerond. Wanneer SSH op de firewall staat ingeschakeld kan een aanvaller hier misbruik van maken en via SSH als een 'privileged system account' inloggen. Dit probleem raakt 0,5 procent van de firewalls, aldus Sophos. De impact van beide kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. bron: https://www.security.nl

Meerdere klanten van Juniper hebben te maken gekregen met besmette routers omdat de apparaten nog van standaard wachtwoorden gebruikmaakten, zo laat het netwerkbedrijf weten. Vorige week woensdag maakten meerdere klanten melding van verdacht gedrag op hun Session Smart Routers (SSR). De apparaten bleken met een variant van de Mirai-malware te zijn geïnfecteerd en werden gebruikt voor het uitvoeren van ddos-aanvallen. "De getroffen systemen gebruikten allemaal standaard wachtwoorden. Elke klant die de aanbevolen best practices niet volgt en nog steeds gebruikmaakt van standaard wachtwoorden kan als gecompromitteerd worden beschouwd, aangezien de standaard SSR-wachtwoorden zijn toegevoegd aan de virusdatabase", aldus Juniper in een Knowledge Base-artikel. Mirai-malware gebruikt besmette apparaten om op internet te zoeken naar andere apparaten met standaard wachtwoorden, die vervolgens worden besmet en onderdeel van het botnet worden. Juinper geeft in het artikel meerdere aanwijzingen waarmee organisaties de aanwezigheid van malware op hun routers kunnen vaststellen. Daarnaast wordt advies gegeven om een infectie te voorkomen, waaronder het wijzigen van standaard wachtwoorden. In het geval van besmette routers adviseert Juniper om het systeem in kwestie te re-imagen, omdat niet precies kan worden vastgesteld wat de aanvaller heeft aangepast of van het apparaat heeft verkregen. bron: https://www.security.nl

Het Tor Project wil dat het eenvoudiger wordt om Tor binnen andere apps te integreren en heeft dit één van de speerpunten voor volgend jaar gemaakt. Dagelijks maken meer dan twee miljoen mensen gebruik van het Tor-netwerk om hun privacy te beschermen en gecensureerde websites te bezoeken. In Nederland gaat het om zo'n 75.000 gebruikers, aldus cijfers van het Tor Project. Afgelopen september besloot het Tor Project te gaan samenwerken met Tails. Dit moet zorgen voor een groter bereik en het sneller integreren van features van de ene naar de andere tool. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Tails maakt gebruik van Tor Browser, waarmee het Tor-netwerk is te gebruiken. "Samen bieden Tor en Tails essentiële tools die mensen wereldwijd helpen om veilig op internet te zijn", zegt Isabela Bagueros, directeur van het Tor Project. "Er is een les te leren van het samengaan met Tails en onze groei de afgelopen jaren: samen staan we sterker." Volgend jaar wil Bagueros zich daarom gaan richten om het eenvoudiger te maken om Tor binnen andere apps te integreren. Dit moet ervoor zorgen dat het ecosysteem van 'privacy-preserving tech' samen sterker wordt, aldus de Tor Project-direcreur, die geen verdere details geeft. Verder gaat het Tor Project zich volgend jaar richten op het trainen van de community om online veilig te zijn. bron: https://www.security.nl

Securitybedrijf BeyondTrust is getroffen door een aanval waarbij aanvallers hebben ingebroken op de Remote Support SaaS instances van klanten, zo heeft het bedrijf zelf bekendgemaakt. De Amerikaanse overheid waarschuwt voor een actief misbruikte kwetsbaarheid in BeyondTrust Privileged Remote Access (PRA) en Remote Support (RS). BeyondTrust biedt Privileged Access Management (PAM) oplossingen en software voor remote support waar bijvoorbeeld helpdesks gebruik van kunnen maken. BeyondTrust meldt dat het op 2 december 'potentieel verdacht gedrag' in de Remote Support SaaS instance van een klant ontdekte. Op 5 december werd het verdachte gedrag bevestigd en bleken meer instances van klanten te zijn gecompromitteerd. Volgens het securitybedrijf was een API key voor Remote Support SaaS gecompromitteerd. De key werd vervolgens ingetrokken en getroffen klanten gewaarschuwd. Tijdens het onderzoek naar de aanval ontdekte BeyondTrust naar eigen zeggen twee kwetsbaarheden in zowel de zelf-gehoste als cloudversie van Remote Support en Privileged Remote Access. Vervolgens bracht het bedrijf updates uit. Klanten met een zelf-gehoste installatie moeten die zelf installeren. Het gaat onder andere om een kritiek beveiligingslek aangeduid als CVE-2024-12356 dat command injection mogelijk maakt. Daardoor kan een ongeauthenticeerde aanvaller commando's op het systeem uitvoeren. De impact is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. BeyondTrust maakt geen melding dat de twee ontdekte beveiligingslekken bij de aanvallen zijn misbruikt. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security waarschuwt echter dat misbruik van CVE-2024-12356 is waargenomen. Verdere details over deze aanvallen zijn niet door de overheidsinstantie gegeven. bron: https://www.security.nl

Miljoenen mensen weten niet hoe ze data van een oud apparaat verwijderen, zo stelt de Britse privacytoezichthouder ICO op basis van onderzoek dat het onder bijna 2200 Britten liet uitvoeren. Bijna dertig procent van de deelnemers aan het onderzoek weet niet hoe ze persoonlijke informatie moet wissen, wat neerkomt op zo'n veertien miljoen Britten, aldus de ICO. Volgens het onderzoek zou de doorsnee Brit drie ongebruikte apparaten in huis hebben. Een groot aantal doet de apparatuur niet weg uit zorgen over hun persoonlijke informatie. 71 procent van de deelnemers aan het onderzoek zegt dat het belangrijk is om persoonlijke gegevens te verwijderen, maar 24 procent denkt dat dit te moeilijk is. Met de kerst verwachten veel mensen een nieuwe telefoon of ander apparaat aan te schaffen, laat Suzanne Gordon van de ICO weten. Gordon adviseert het uitvoeren van een factory reset, omdat daarmee persoonlijke informatie van de meeste telefoons is te verwijderen. De Britse toezichthouder heeft ook een document online waarin het de verschillende opties voor het verwijderen van data bespreekt. bron: https://www.security.nl

Een kritieke path traversal-kwetsbaarheid in de Fortinet Wireless Manager (FortiWLM) maakt het voor een ongeauthenticeerde aanvaller mogelijk om toegang tot gevoelige bestanden te krijgen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.6. Fortinet heeft beveiligingsupdates uitgebracht om het probleem te verhelpen. Via de Fortinet Wireless Manager, een 'application suite', kunnen organisaties hun wifi-netwerken monitoren, bedienen en beheren. Fortinet geeft geen verdere details over de kwetsbaarheid (CVE-2023-34990), behalve dat het om een 'relative path traversal' kwetsbaarheid gaat die gevonden en gerapporteerd werd door een onderzoeker van securitybedrijf Horizon3.ai. De onderzoeker maakte afgelopen maart meerdere kwetsbaarheden in FortiWLM openbaar die hij had ontdekt. Het ging onder andere om een beveiligingslek zonder CVE-nummer en update dat het mogelijk maakt om willekeurige logbestanden met admin session ID tokens te stelen en daarmee het apparaat over te nemen. Het beveiligingslek was op 12 mei 2023 aan Fortinet gemeld, aldus de onderzoeker. bron: https://www.security.nl

De Amerikaanse autoriteiten overwegen een verbod op de verkoop van routers van fabrikant TP-Link, zo meldt The Wall Street Journal (WSJ) op basis van bronnen. TP-Link routers zouden geregeld kwetsbaarheden bevatten waarvoor de fabrikant geen updates uitbrengt, aldus anonieme bronnen die de WSJ opvoert. Ook zou het bedrijf niet samenwerken met beveiligingsonderzoekers die kwetsbaarheden aankaarten. Verschillende Amerikaanse ministeries zijn elk een eigen onderzoek gestart, waarbij wordt gekeken of de apparatuur een risico voor de nationale veiligheid vormt, aldus de WSJ. TP-Link zou inmiddels ook zijn gedagvaard. Onlangs waarschuwde Microsoft nog voor een botnet van TP-Link routers dat wordt gebruikt voor het uitvoeren van password spraying-aanvallen. Het botnet zou gemiddeld uit zo'n achtduizend besmette routers bestaan. TP-Link heeft 65 procent van de Amerikaanse routermarkt voor particulieren en kleine bedrijven in handen. De routerfabrikant laat in een reactie tegenover The Wall Street Journal weten dat het graag aan de Amerikaanse autoriteiten laat zien dat de security practices in lijn met industriële veiligheidsstandaarden zijn en toegewijd is aan de Amerikaanse markt en het oplossen van risico's voor de Amerikaanse nationale veiligheid. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in Apache Struts 2, zo meldt het Internet Storm Center (ISC). Via het beveiligingslek (CVE-2024-53677) is remote code execution mogelijk. Struts is een zeer populair opensourceframework voor het ontwikkelen van Java-webapplicaties en websites. Via de kwetsbaarheid kan een remote aanvaller parameters voor het uploaden van bestanden aanpassen, waardoor path traversal en in sommige gevallen het uploaden van malafide bestanden mogelijk is, wat kan leiden tot remote code execution. Het probleem is verholpen in Struts 6.4.0. Vorige week verscheen een beveiligingsbulletin en update voor CVE-2024-53677 online. Inmiddels is ook proof-of-concept exploitcoide online verschenen. Volgens het ISC zijn de nu waargenomen aanvallen gebaseerd op deze code. Verdere details over de aanvallen zijn niet bekend. Kwetsbaarheden in Apache Struts zijn in het verleden vaker gebruikt bij aanvallen. Vorig jaar december werd er actief misbruik gemaakt van een andere kwetsbaarheid (CVE-2023-50164) en in 2017 wisten aanvallers via een kritieke Struts-kwetsbaarheid de gegevens van meer dan 147 miljoen Amerikanen bij het Amerikaanse kredietbureau Equifax te stelen. bron: https://www.security.nl

Tienduizenden firewalls van fabrikant SonicWall die vanaf het internet benaderbaar zijn bevatten kritieke kwetsbaarheden of zijn end-of-life. Dat stelt securitybedrijf Bishop Fox op basis van eigen onderzoek. Het bedrijf deed onderzoek naar het aantal SonicWall-firewalls en telde 430.000 apparaten. Daarvan bleken er meer dan 20.000 niet meer te worden ondersteund. Op basis van de gebruikte firmware keken de onderzoekers ook naar de aanwezigheid van kwetsbaarheden. Van de 430.000 firewalls stelden de onderzoekers dat er zeker 119.000 kwetsbaarheden bevatten, waarvan ruim 25.000 met één of meer kritieke beveiligingslekken. De status van ruim 87.000 firewalls konden de onderzoekers niet vaststellen. Begin dit jaar deed Bishop Fox ook onderzoek naar kwetsbare SonicWall-firewalls. Toen werden er 178.000 ontdekt die de bekende kwetsbaarheden CVE-2022-22274 en/of CVE-2023-0656 bleken te bevatten. Dat aantal zou inmiddels rond de 37.000 liggen. De afgelopen maanden zijn er echter ook nieuwe kwetsbaarheden opgedoken. Zowel SonicWall als securitybedrijven waarschuwden voor een beveiligingslek aangeduid als CVE-2024-40766, dat ook bij ransomware-aanvallen zou zijn gebruikt. Volgens de onderzoekers is de situatie ten opzichte van de vorige meting begin dit jaar iets verbeterd, maar zijn er nog steeds grote uitdagingen. "Het simpele feit dat meer dan 430.000 firewalls publiek toegankelijk zijn is genoeg reden tot zorg, maar wanneer je toevoegt dat meer dan de helft op verouderde hardware draait, en meer dan een kwart ernstige kwetsbaarheden heeft, ziet het gehele plaatje er vrij zorgwekkend uit", aldus de onderzoekers. bron: https://www.security.nl

Inlogdienst Okta waarschuwt klanten voor phishingaanvallen waarbij oplichters zich als de helpdesk van Okta voordoen en bijvoorbeeld om wachtwoorden of MFA (multifactorauthenticatie)-tokens vragen. Okta biedt een platform waar wereldwijd duizenden bedrijven gebruik van maken om werknemers toegang tot systemen en applicaties te geven. Criminelen voeren geregeld phishingaanvallen uit waarbij medewerkers van organisaties sms-berichten ontvangen die naar Okta-phishingsites linken. Op deze manier wordt geprobeerd om inloggegevens voor accounts te ontfutselen. Een jaar geleden waarschuwde Okta nog voor aanvallen op de helpdesks van klanten, waarbij de aanvallers probeerden om de MFA van 'highly privileged users' te resetten. Bij de aanvallen waarvoor Okta nu waarschuwt doen de aanvallers zich voor als Okta Support en proberen via social engineering allerlei gegevens te ontfutselen. Verdere details over de aanvallen zelf geeft Okta niet. Wel noemt het bedrijf verschillende zaken waardoor dergelijke aanvallen zijn te herkennen. "Een van de meest duidelijke aanwijzingen is een bericht met een slechte zinsbouw, onjuiste grammatica en verkeerde spelling. In sommige gevallen is de opmaak van het bericht onregelmatig. Belangrijk om te vermelden is dat met de komst van AI-technologie, spelling- en grammaticafouten niet altijd even duidelijk of aanwezig zijn." bron: https://www.security.nl

Criminelen hebben een online advertentienetwerk gebruikt om malafide captcha's te verspreiden waarmee werd geprobeerd internetgebruikers met malware te infecteren. Dat laat securitybedrijf Guardio in een analyse weten. De criminelen hadden hun pop-up advertenties die via het advertentienetwerk werden getoond laten lijken op legitieme captcha's die bezoekers van de betreffende websites moesten oplossen. Zodra bezoekers op de advertentie klikten werden ze doorgestuurd naar een andere pagina. Deze pagina kopieert een malafide PowerShell-commando naar het clipboard van de gebruiker. Op de pagina zelf verschijnen vervolgens instructies waarbij de gebruiker wordt gevraagd om Windows Run te starten, het plakcommando Ctrl+V te doen gevolgd door Enter. Door het uitvoeren van het gekopieerde PowerShell-commando wordt de Lumma infostealer-malware op het systeem geïnstalleerd, die allerlei inloggegevens van het systeem steelt en terugstuurt naar de aanvallers. Guardio waarschuwde het advertentienetwerk, dat de betreffende advertentiecampagne stopte. bron: https://www.security.nl

Aanvallers maken actief misbruik van kwetsbaarheden in de Windows-kernel en Adobe ColdFusion, zo waarschuwt het Amerikaanse cyberagentschap CISA. Het gaat als eerste om CVE-2024-35250, een beveiligingslek in de Windows-kernel waarvoor Microsoft op 11 juni met beveiligingsupdates kwam. Via de kwetsbaarheid kan een aanvaller die al toegang tot een systeem heeft en code kan uitvoeren zijn rechten verhogen tot die van SYSTEM. Op het moment dat Microsoft de beveiligingsupdate uitbracht was het techbedrijf naar eigen zeggen niet bekend met misbruik. Wel verwachtte Microsoft dat misbruik 'More Likely' was. In oktober verscheen proof-of-concept exploitcode voor het lek online. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security geeft geen verdere details over de aanvallen, behalve dat het misbruik heeft waargenomen. Amerikaanse overheidsinstanties zijn nu opgedragen om de update voor 6 januari volgend jaar te installeren. De tweede actief aangevallen kwetsbaarheid (CVE-2024-20767) waarvoor het CISA waarschuwt bevindt zich in Adobe ColdFusion. Dit is een platform voor het ontwikkelen van webapplicaties. In het verleden zijn kwetsbaarheden in ColdFusion vaker gebruikt voor aanvallen op ColdFusion-applicatieservers. Adobe kwam op 10 september met beveiligingsupdates. Ook Adobe was destijds niet met misbruik van de kwetsbaarheid bekend. Het CISA geeft ook bij deze kwetsbaarheid geen details over de waargenomen aanvallen. Amerikaanse overheidsinstanties moeten ook dit lek voor 6 januari hebben gepatcht. bron: https://www.security.nl

Op internet zijn bijna duizend servers te vinden die kwetsbare file sharing software van Cleo draaien, waarvan het allergrootste deel in de Verenigde Staten, op afstand gevolgd door Canada. Dat meldt The Shadowserver Foundation op basis van eigen onderzoek. Via Cleo’s LexiCom, VLTransfer en Harmony software kunnen organisaties bestanden uitwisselen. Twee kwetsbaarheden (CVE-2024-50623 en CVE-2024-55956) worden bij ransomware-aanvallen gebruikt, waarbij aanvallers toegang tot de server weten te krijgen en vervolgens aanwezige data buitmaken. De aanvallen zijn opgeëist door de criminelen achter de Clop-ransomware. Op 9 december waarschuwde securitybedrijf Huntress voor grootschalig misbruik van kwetsbaarheden in de Cleo-software. Voor CVE-2024-50623 is sinds eind oktober een beveiligingsupdate beschikbaar. Voor CVE-2024-55956 verscheen op 12 december een update. Gisteren telde The Shadowserver Foundation nog zo'n 930 kwetsbare servers op internet. Daarvan bevinden zich er ruim zevenhonderd in de Verenigde Staten. Canada telt er zo'n tachtig. The Shadowserver Foundation is een stichting die zich met de bestrijding van cybercrime bezighoudt en geregeld online systemen op actief aangevallen kwetsbaarheden scant. bron: https://www.security.nl

De criminelen achter de Clop-ransomware, die vijf jaar geleden nog systemen van de Universiteit van Maastricht infecteerden, zeggen achter de aanvallen te zitten waarbij misbruik wordt gemaakt van een kritieke kwetsbaarheid in de file transfer software van softwarebedrijf Cleo. Het gaat om Cleo’s LexiCom, VLTransfer en Harmony software waarmee organisaties bestanden uitwisselen. Vorige week waarschuwde de Amerikaanse overheid dat een beveiligingslek, aangeduid als CVE-2024-50623, bij ransomware-aanvallen wordt ingezet. Via de eigen website laat de Clop-groep weten dat het links naar gegevens van eerder gecompromitteerde organisaties verwijdert, alsmede deze data, en alleen nog 'werkt' met bedrijven die via de Cleo-kwetsbaarheid zijn aangevallen. In een reactie tegenover BleepingComputer stellen de criminelen dat zij verantwoordelijk zijn voor misbruik van CVE-2024-50623 en een andere Cleo-kwetsbaarheid aangeduid als CVE-2024-55956. De claim is nog niet door Cleo of andere partijen bevestigd. De Clop-ransomwaregroep gebruikte eerder al kwetsbaarheden in de File Transfer Appliance (FTA) van softwarebedrijf Accellion voor het stelen van data en afpersen van bedrijven, overheden en andere organisaties. Daarnaast zaten de criminelen ook achter de wereldwijde aanval waarbij misbruik werd gemaakt van een beveiligingslek in MOVEit Transfer. Ook dit is een applicatie voor het uitwisselen van gegevens. Via de MOVEit-aanval zouden volgens securitybedrijf Emsisoft gegevens van bijna 96 miljoen individuen bij zo'n 2800 organisaties zijn buitgemaakt. bron: https://www.security.nl