Captain Kirk

De Amerikaanse autoriteiten overwegen een verbod op de verkoop van routers van fabrikant TP-Link, zo meldt The Wall Street Journal (WSJ) op basis van bronnen. TP-Link routers zouden geregeld kwetsbaarheden bevatten waarvoor de fabrikant geen updates uitbrengt, aldus anonieme bronnen die de WSJ opvoert. Ook zou het bedrijf niet samenwerken met beveiligingsonderzoekers die kwetsbaarheden aankaarten. Verschillende Amerikaanse ministeries zijn elk een eigen onderzoek gestart, waarbij wordt gekeken of de apparatuur een risico voor de nationale veiligheid vormt, aldus de WSJ. TP-Link zou inmiddels ook zijn gedagvaard. Onlangs waarschuwde Microsoft nog voor een botnet van TP-Link routers dat wordt gebruikt voor het uitvoeren van password spraying-aanvallen. Het botnet zou gemiddeld uit zo'n achtduizend besmette routers bestaan. TP-Link heeft 65 procent van de Amerikaanse routermarkt voor particulieren en kleine bedrijven in handen. De routerfabrikant laat in een reactie tegenover The Wall Street Journal weten dat het graag aan de Amerikaanse autoriteiten laat zien dat de security practices in lijn met industriële veiligheidsstandaarden zijn en toegewijd is aan de Amerikaanse markt en het oplossen van risico's voor de Amerikaanse nationale veiligheid. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in Apache Struts 2, zo meldt het Internet Storm Center (ISC). Via het beveiligingslek (CVE-2024-53677) is remote code execution mogelijk. Struts is een zeer populair opensourceframework voor het ontwikkelen van Java-webapplicaties en websites. Via de kwetsbaarheid kan een remote aanvaller parameters voor het uploaden van bestanden aanpassen, waardoor path traversal en in sommige gevallen het uploaden van malafide bestanden mogelijk is, wat kan leiden tot remote code execution. Het probleem is verholpen in Struts 6.4.0. Vorige week verscheen een beveiligingsbulletin en update voor CVE-2024-53677 online. Inmiddels is ook proof-of-concept exploitcoide online verschenen. Volgens het ISC zijn de nu waargenomen aanvallen gebaseerd op deze code. Verdere details over de aanvallen zijn niet bekend. Kwetsbaarheden in Apache Struts zijn in het verleden vaker gebruikt bij aanvallen. Vorig jaar december werd er actief misbruik gemaakt van een andere kwetsbaarheid (CVE-2023-50164) en in 2017 wisten aanvallers via een kritieke Struts-kwetsbaarheid de gegevens van meer dan 147 miljoen Amerikanen bij het Amerikaanse kredietbureau Equifax te stelen. bron: https://www.security.nl

Tienduizenden firewalls van fabrikant SonicWall die vanaf het internet benaderbaar zijn bevatten kritieke kwetsbaarheden of zijn end-of-life. Dat stelt securitybedrijf Bishop Fox op basis van eigen onderzoek. Het bedrijf deed onderzoek naar het aantal SonicWall-firewalls en telde 430.000 apparaten. Daarvan bleken er meer dan 20.000 niet meer te worden ondersteund. Op basis van de gebruikte firmware keken de onderzoekers ook naar de aanwezigheid van kwetsbaarheden. Van de 430.000 firewalls stelden de onderzoekers dat er zeker 119.000 kwetsbaarheden bevatten, waarvan ruim 25.000 met één of meer kritieke beveiligingslekken. De status van ruim 87.000 firewalls konden de onderzoekers niet vaststellen. Begin dit jaar deed Bishop Fox ook onderzoek naar kwetsbare SonicWall-firewalls. Toen werden er 178.000 ontdekt die de bekende kwetsbaarheden CVE-2022-22274 en/of CVE-2023-0656 bleken te bevatten. Dat aantal zou inmiddels rond de 37.000 liggen. De afgelopen maanden zijn er echter ook nieuwe kwetsbaarheden opgedoken. Zowel SonicWall als securitybedrijven waarschuwden voor een beveiligingslek aangeduid als CVE-2024-40766, dat ook bij ransomware-aanvallen zou zijn gebruikt. Volgens de onderzoekers is de situatie ten opzichte van de vorige meting begin dit jaar iets verbeterd, maar zijn er nog steeds grote uitdagingen. "Het simpele feit dat meer dan 430.000 firewalls publiek toegankelijk zijn is genoeg reden tot zorg, maar wanneer je toevoegt dat meer dan de helft op verouderde hardware draait, en meer dan een kwart ernstige kwetsbaarheden heeft, ziet het gehele plaatje er vrij zorgwekkend uit", aldus de onderzoekers. bron: https://www.security.nl

Inlogdienst Okta waarschuwt klanten voor phishingaanvallen waarbij oplichters zich als de helpdesk van Okta voordoen en bijvoorbeeld om wachtwoorden of MFA (multifactorauthenticatie)-tokens vragen. Okta biedt een platform waar wereldwijd duizenden bedrijven gebruik van maken om werknemers toegang tot systemen en applicaties te geven. Criminelen voeren geregeld phishingaanvallen uit waarbij medewerkers van organisaties sms-berichten ontvangen die naar Okta-phishingsites linken. Op deze manier wordt geprobeerd om inloggegevens voor accounts te ontfutselen. Een jaar geleden waarschuwde Okta nog voor aanvallen op de helpdesks van klanten, waarbij de aanvallers probeerden om de MFA van 'highly privileged users' te resetten. Bij de aanvallen waarvoor Okta nu waarschuwt doen de aanvallers zich voor als Okta Support en proberen via social engineering allerlei gegevens te ontfutselen. Verdere details over de aanvallen zelf geeft Okta niet. Wel noemt het bedrijf verschillende zaken waardoor dergelijke aanvallen zijn te herkennen. "Een van de meest duidelijke aanwijzingen is een bericht met een slechte zinsbouw, onjuiste grammatica en verkeerde spelling. In sommige gevallen is de opmaak van het bericht onregelmatig. Belangrijk om te vermelden is dat met de komst van AI-technologie, spelling- en grammaticafouten niet altijd even duidelijk of aanwezig zijn." bron: https://www.security.nl

Criminelen hebben een online advertentienetwerk gebruikt om malafide captcha's te verspreiden waarmee werd geprobeerd internetgebruikers met malware te infecteren. Dat laat securitybedrijf Guardio in een analyse weten. De criminelen hadden hun pop-up advertenties die via het advertentienetwerk werden getoond laten lijken op legitieme captcha's die bezoekers van de betreffende websites moesten oplossen. Zodra bezoekers op de advertentie klikten werden ze doorgestuurd naar een andere pagina. Deze pagina kopieert een malafide PowerShell-commando naar het clipboard van de gebruiker. Op de pagina zelf verschijnen vervolgens instructies waarbij de gebruiker wordt gevraagd om Windows Run te starten, het plakcommando Ctrl+V te doen gevolgd door Enter. Door het uitvoeren van het gekopieerde PowerShell-commando wordt de Lumma infostealer-malware op het systeem geïnstalleerd, die allerlei inloggegevens van het systeem steelt en terugstuurt naar de aanvallers. Guardio waarschuwde het advertentienetwerk, dat de betreffende advertentiecampagne stopte. bron: https://www.security.nl

Aanvallers maken actief misbruik van kwetsbaarheden in de Windows-kernel en Adobe ColdFusion, zo waarschuwt het Amerikaanse cyberagentschap CISA. Het gaat als eerste om CVE-2024-35250, een beveiligingslek in de Windows-kernel waarvoor Microsoft op 11 juni met beveiligingsupdates kwam. Via de kwetsbaarheid kan een aanvaller die al toegang tot een systeem heeft en code kan uitvoeren zijn rechten verhogen tot die van SYSTEM. Op het moment dat Microsoft de beveiligingsupdate uitbracht was het techbedrijf naar eigen zeggen niet bekend met misbruik. Wel verwachtte Microsoft dat misbruik 'More Likely' was. In oktober verscheen proof-of-concept exploitcode voor het lek online. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security geeft geen verdere details over de aanvallen, behalve dat het misbruik heeft waargenomen. Amerikaanse overheidsinstanties zijn nu opgedragen om de update voor 6 januari volgend jaar te installeren. De tweede actief aangevallen kwetsbaarheid (CVE-2024-20767) waarvoor het CISA waarschuwt bevindt zich in Adobe ColdFusion. Dit is een platform voor het ontwikkelen van webapplicaties. In het verleden zijn kwetsbaarheden in ColdFusion vaker gebruikt voor aanvallen op ColdFusion-applicatieservers. Adobe kwam op 10 september met beveiligingsupdates. Ook Adobe was destijds niet met misbruik van de kwetsbaarheid bekend. Het CISA geeft ook bij deze kwetsbaarheid geen details over de waargenomen aanvallen. Amerikaanse overheidsinstanties moeten ook dit lek voor 6 januari hebben gepatcht. bron: https://www.security.nl

Op internet zijn bijna duizend servers te vinden die kwetsbare file sharing software van Cleo draaien, waarvan het allergrootste deel in de Verenigde Staten, op afstand gevolgd door Canada. Dat meldt The Shadowserver Foundation op basis van eigen onderzoek. Via Cleo’s LexiCom, VLTransfer en Harmony software kunnen organisaties bestanden uitwisselen. Twee kwetsbaarheden (CVE-2024-50623 en CVE-2024-55956) worden bij ransomware-aanvallen gebruikt, waarbij aanvallers toegang tot de server weten te krijgen en vervolgens aanwezige data buitmaken. De aanvallen zijn opgeëist door de criminelen achter de Clop-ransomware. Op 9 december waarschuwde securitybedrijf Huntress voor grootschalig misbruik van kwetsbaarheden in de Cleo-software. Voor CVE-2024-50623 is sinds eind oktober een beveiligingsupdate beschikbaar. Voor CVE-2024-55956 verscheen op 12 december een update. Gisteren telde The Shadowserver Foundation nog zo'n 930 kwetsbare servers op internet. Daarvan bevinden zich er ruim zevenhonderd in de Verenigde Staten. Canada telt er zo'n tachtig. The Shadowserver Foundation is een stichting die zich met de bestrijding van cybercrime bezighoudt en geregeld online systemen op actief aangevallen kwetsbaarheden scant. bron: https://www.security.nl

De criminelen achter de Clop-ransomware, die vijf jaar geleden nog systemen van de Universiteit van Maastricht infecteerden, zeggen achter de aanvallen te zitten waarbij misbruik wordt gemaakt van een kritieke kwetsbaarheid in de file transfer software van softwarebedrijf Cleo. Het gaat om Cleo’s LexiCom, VLTransfer en Harmony software waarmee organisaties bestanden uitwisselen. Vorige week waarschuwde de Amerikaanse overheid dat een beveiligingslek, aangeduid als CVE-2024-50623, bij ransomware-aanvallen wordt ingezet. Via de eigen website laat de Clop-groep weten dat het links naar gegevens van eerder gecompromitteerde organisaties verwijdert, alsmede deze data, en alleen nog 'werkt' met bedrijven die via de Cleo-kwetsbaarheid zijn aangevallen. In een reactie tegenover BleepingComputer stellen de criminelen dat zij verantwoordelijk zijn voor misbruik van CVE-2024-50623 en een andere Cleo-kwetsbaarheid aangeduid als CVE-2024-55956. De claim is nog niet door Cleo of andere partijen bevestigd. De Clop-ransomwaregroep gebruikte eerder al kwetsbaarheden in de File Transfer Appliance (FTA) van softwarebedrijf Accellion voor het stelen van data en afpersen van bedrijven, overheden en andere organisaties. Daarnaast zaten de criminelen ook achter de wereldwijde aanval waarbij misbruik werd gemaakt van een beveiligingslek in MOVEit Transfer. Ook dit is een applicatie voor het uitwisselen van gegevens. Via de MOVEit-aanval zouden volgens securitybedrijf Emsisoft gegevens van bijna 96 miljoen individuen bij zo'n 2800 organisaties zijn buitgemaakt. bron: https://www.security.nl

Kwetsbare routers van fabrikant DrayTek zijn op grote schaal gebruikt voor het uitvoeren van ransomware-aanvallen, zo claimt securitybedrijf Forescout. Voor het compromitteren van de routers zou mogelijk gebruik zijn gemaakt van een kwetsbaarheid waar op het moment van de aanval geen update voor beschikbaar was. Bij de aanval richten aanvallers zich als eerste op kwetsbare DrayTek-routers, die ze via een onbekende kwetsbaarheid weten te compromitteren. Vervolgens worden 'versleutelde credentials' uit het geheugen van de router verzameld. Die werden dan gekraakt, waarna de plaintext versies werden gebruikt om het achterliggende netwerk te compromitteren en ransomware uit te rollen. De afgelopen jaren zijn tal van kwetsbaarheden in DrayTek-routers gevonden, die aanwezig waren in de “mainfunction.cgi” pagina. Deze functionaliteit is in nieuwere modellen verwijderd, maar nog wel aanwezig in routers die 'end-of-sale' zijn. Onlangs werden 22 nieuwe kwetsbaarheden met betrekking tot mainfunction.cgi gerapporteerd. De onderzoekers vermoeden dat bij de waargenomen aanvallen gebruik is gemaakt van één van deze kwetsbaarheden. Tevens stelt Forescout dat veel van deze 22 kwetsbaarheden dezelfde oorzaak hebben als een beveiligingslek uit 2020. De laatste firmware voor de end-of-sale routers dateert van maart. Het is de vraag wanneer de nieuw gevonden beveiligingslekken worden verholpen, vraagt het securitybedrijf zich af. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Apache Struts 2 maakt remote code execution mogelijk en overheidsinstanties roepen beheerders en organisaties op om de beschikbaar gestelde beveiligingsupdate te installeren. Kwetsbaarheden in Apache Struts zijn in het verleden vaker gebruikt bij aanvallen. Struts is een zeer populair opensourceframework voor het ontwikkelen van Java-webapplicaties en websites. Via het kritieke beveiligingslek, aangeduid als CVE-2024-53677, kan een remote aanvaller parameters voor het uploaden van bestanden aanpassen, waardoor path traversal en in sommige gevallen het uploaden van malafide bestanden mogelijk is, wat kan leiden tot remote code execution. Het probleem is verholpen in Struts 6.4.0. Onder de kwetsbare versies bevinden zich ook Struts 2.0.0 - Struts 2.3.37, die end-of-life zijn en niet meer worden ondersteund. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.5. De Australische overheid heeft vandaag een waarschuwing voor de kwetsbaarheid gegeven. Ook de Belgische overheid kwam met een beveiligingsbulletin. "Deze kwetsbaarheid is met name zorgwekkend, omdat het op afstand zonder gebruikersinteractie is te misbruiken. Organisaties die van kwetsbare Struts 2-versies gebruikmaken moeten dringend dit risico beoordelen en verhelpen om mogelijke verstoringen te voorkomen", zo stelt het Centrum voor Cybersecurity België (CCB). In 2017 wisten aanvallers via een kritieke Struts-kwetsbaarheid de gegevens van meer dan 147 miljoen Amerikanen bij het Amerikaanse kredietbureau Equifax te stelen. Vorig jaar december werd er actief misbruik gemaakt van een andere kwetsbaarheid (CVE-2023-50164). Net zoals het nu verholpen beveiligingslek maakt ook CVE-2023-50164 het mogelijk voor aanvallers om parameters voor het uploaden van bestanden aan te passen, waardoor path traversal en het uploaden van malafide bestanden mogelijk wordt, wat weer kan leiden tot remote code execution. bron: https://www.security.nl

De multifactorauthenticatie (MFA) van Microsoft Azure was vanwege een beperkte rate limiting te omzeilen, zo ontdekten onderzoekers van securitybedrijf Oasis. Wanneer gebruikers bij Microsoft inloggen kent de inlogpagina hen een session identifier toe. Na het invoeren van een geldig wachtwoord en gebruikersnaam vraagt de pagina om een tweede factor. Microsoft ondersteunt verschillende MFA-methodes, waaronder het gebruik van een zescijferige code afkomstig van een MFA-app. Gebruikers voeren vervolgens de gegenereerde code in om in te loggen. Per sessie kan er maximaal tien keer een verkeerde code worden ingevoerd. De codes die MFA-apps genereren zijn slechts beperkt geldig, waarbij richtlijn RFC-6238 een tijdsvenster van maximaal dertig seconden adviseert. De meeste apps en validators volgen dit advies, aldus de onderzoekers. Vanwege mogelijke tijdsverschillen en vertragingen tussen gebruikers en validator, wordt de validator aangeraden een langer tijdsvenster voor de MFA-code te hanteren. Dit houdt in dat een MFA-code langer dan dertig seconden geldig kan zijn. In het geval van Microsoft bleken codes elk zo'n drie minuten te kunnen worden gebruikt. De 'rate limit' die Microsoft hanteerde werd alleen toegepast voor het tijdelijke session object. De onderzoekers ontdekten dat ze heel snel nieuwe sessies konden maken en vervolgens alle mogelijk zescijferige codes konden enumereren. In totaal was het mogelijk om een volledige 'MFA bypass' in een uur uit te voeren, zonder dat dit interactie van het doelwit vereiste. Ook genereerde de aanval geen meldingen voor de accounteigenaar. Het securitybedrijf waarschuwde Microsoft op 24 juni. Op 4 juli kwam Microsoft met een tijdelijke fix, gevolgd door een permanente fix op 9 oktober. Microsoft hanteert nu een veel strengere rate limit die na een aantal mislukte pogingen van kracht wordt. bron: https://www.security.nl

Softwarebedrijf Cleo heeft een beveiligingsupdate uitgebracht voor een actief aangevallen kwetsbaarheid in de eigen file transfer software en roept klanten op om alle installaties van Harmony, VLTrader en LexiCom meteen naar versie 5.8.0.24 te upgraden. Via de kwetsbaarheid, die nog geen CVE-nummer heeft, kan een ongeauthenticeerde aanvaller willekeurige commando's op het systeem uitvoeren. Securitybedrijven waarschuwden eerder voor grootschalig misbruik van het beveiligingslek. Cleo’s LexiCom, VLTransfer en Harmony software laat organisaties bestanden uitwisselen. Het bedrijf claimt meer dan 4200 klanten wereldwijd te hebben. Via de kwetsbaarheid installeren aanvallers onder andere een backdoor, aldus securitybedrijf Rapid7. Wat het doel van de maker van de malware is, is nog onduidelijk, laat securitybedrijf Huntress weten. Eerder stelde beveiligingsonderzoeker Kevin Beaumont dat de criminelen achter de Termite-ransomware misbruik van het beveiligingslek maakten. Hoeveel systemen er wereldwijd zijn getroffen is onbekend. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kwetsbaarheid in de plug-in Hunk Companion voor het aanvallen van WordPress-sites. Via het beveiligingslek kunnen aanvallers een kwetsbare plug-in op de website installeren en via een kwetsbaarheid in deze plug-in dan de website overnemen. Hunk Companion is een plug-in waarmee allerlei extra opties en onderdelen aan WordPress-sites kunnen worden toegevoegd. Meer dan tienduizend websites maken er gebruik van. Een beveiligingslek in Hunk Companion maakt het mogelijk voor een aanvaller om via de plug-in een kwetsbare plug-in vanuit WordPress.org te installeren. Hiervoor volstaat het versturen van een speciaal geprepareerd request, waarna Hunk Companion de opgegeven kwetsbare plug-in vanaf WordPress.org installeert. Via deze plug-in wordt dan de website overgenomen. De makers van Hunk Companion kwamen op 10 oktober met een beveiligingsupdate voor het probleem, maar de plug-in bleef kwetsbaar. Twee dagen geleden verscheen versie 1.9.0 waarmee de kwetsbaarheid wel is verholpen, aldus securitybedrijf WPScan. Vele duizenden websites die van Hunk Companion gebruikmaken hebben de update nog niet geïnstalleerd. Via het beveiligingslek in Hunk Companion installeren de aanvallers een kwetsbare plug-in genaamd WP Query Console die zeven jaar geleden voor het laatst een update ontving. WordPress.org heeft eind oktober de repository van WP Query Console gesloten, maar het is voor aanvallers nog steeds mogelijk om die te installeren en zo PHP-code uit te voeren, waarmee uiteindelijk een backdoor op de aangevallen website wordt geïnstalleerd. bron: https://www.security.nl

Eigenaren van 'slimme' apparaten doen er verstandig aan om er een apart (gast) wifi-netwerk voor te gebruiken, om zo gevoelige activiteiten op andere systemen te beschermen, zo adviseert de Duitse overheid. Het beveiligingsadvies is onderdeel van een reeks maatregelen die het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, in aanloop naar de feestdagen adviseert. Volgens de Duitse overheidsinstantie kunnen criminelen van onveilige apparaten misbruik maken. "In principe kan elk apparaat verbonden met internet een doelwit voor cybercriminelen zijn, of het nu een smartphone of smart fotolijstje is", aldus het BSI. De organisatie stelt dat veel mensen de veiligheid van 'smart' devices negeren als ze tot aankoop overgaan. Slechts een kwart van de mensen die aan onderzoek deelnam laat de belofte van beveiligingsupdates in de aankoopbeslissing meewegen. Naast het letten op het updatebeleid adviseert het BSI ook sterke wachtwoorden en waar mogelijk tweefactorauthenticatie voor accounts. "Met een apart (gast) wifi-netwerk dat alleen voor smart devices wordt gebruikt, kunnen consumenten ze scheiden van bijvoorbeeld de computer die ze voor gevoelige activiteiten zoals internetbankieren gebruiken. Een mogelijke infectie met malware kan dan niet van het smart device naar de computer verspreiden", gaat het advies verder. De overheidsinstantie heeft een uitleg online waarin het beschrijft hoe een wifi-gastnetwerk is in te stellen. bron: https://www.security.nl

Verschillende kritieke kwetsbaarheden in het Windows Lightweight Directory Access Protocol (LDAP) maken remote code execution door ongeauthenticeerde aanvallers mogelijk, zo waarschuwt Microsoft, dat beveiligingsupdates heeft uitgebracht om de problemen te verhelpen. LDAP, wat een 'vendor-neutral' applicatieprotocol is, laat applicaties data over onder andere organisaties en personen vinden. Deze data is in Directory Services opgeslagen, zoals bijvoorbeeld Microsoft Active Directory. Bij LDAP-authenticatie worden opgegeven gebruikersnamen en wachtwoorden gecontroleerd door verbinding te maken met een directory service die van het LDAP-protocol gebruikmaakt. Het voordeel van LDAP is dat gebruikers niet bij elke applicatie een account en wachtwoorden hoeven te hebben, maar dit kan worden opgevraagd bij de LDAP-server. "Omdat via LDAP toegang te verkrijgen is tot vaak gevoelige informatie, kan het een doelwit zijn voor cybercriminelen. Het gaat hierbij om persoonsgegevens maar ook informatie die gebruikt kan worden om zwakke plekken in het netwerk te ontdekken", aldus het Digital Trust Center (DTC) van het ministerie van Economische Zaken. Tijdens de patchdinsdag van december kwam Microsoft met patches voor vijf kwetsbaarheden in LDAP, waarvan er drie als kritiek zijn bestempeld. De gevaarlijkste kwetsbaarheid wordt aangeduid als CVE-2024-49112. Via dit beveiligingslek kan een ongeauthenticeerde aanvaller, door middel van speciaal geprepareerde LDAP calls, willekeurige code binnen de context van de LDAP service op kwetsbare Domain Controllers uitvoeren. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De andere twee kritieke lekken (CVE-2024-49124 en CVE-2024-49127) hebben een impactscore van 8.1. Microsoft adviseert de installatie van de beveiligingsupdates, maar geeft ook mitigatie-advies als dit niet mogelijk is. Advies dat sommige beveiligingsexpert doet verbazen. "Ze adviseren Domain Controllers van internet los te koppelen. Dat zou deze aanval stoppen, maar ik weet niet hoe praktisch dit voor de meeste bedrijven zou zijn. Ik adviseer om de patch snel te testen en uit te rollen", aldus Dustin Childs van securitybedrijf ZDI. Microsoft bestempelt de kans op daadwerkelijk misbruik van het lek als 'less likely'. bron: https://www.security.nl

Softwarebedrijf Ivanti waarschuwt voor een kritieke 'authentication bypass' in Ivanti Cloud Services Application (CSA) waardoor een ongeauthenticeerde aanvaller op afstand admin-toegang kan krijgen. De impact van de kwetsbaarheid (CVE-2024-11639 ) is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Daarnaast zijn ook twee andere kritieke lekken verholpen, met een impactscore van 9.1, die SQL injection en command injection mogelijk maken. Cloud Services Application laat organisaties software uitrollen, updates installeren en op afstand problemen oplossen op door de organisatie beheerde laptops, tablets, smartphones en andere systemen. Een gecompromitteerde CSA kan dan ook vergaande gevolgen voor een organisatie hebben. CVE-2024-11639 en de twee andere kritieke kwetsbaarheden (CVE-2024-11772 en CVE-2024-11773) bevinden zich in de admin-webconsole van de Ivanti CSA. De drie kwetsbaarheden werden door securitybedrijf CrowdStrike aan Ivanti gerapporteerd. Beveiligingslekken in CSA zijn in het verleden vaker misbruikt bij aanvallen. Zo meldde Ivanti afgelopen september nog een actief aangevallen kwetsbaarheid. Organisaties worden dan ook opgeroepen om te updaten naar versie 5.0.3 waarin de problemen zijn verholpen. bron: https://www.security.nl

De rechter heeft Automattic opgedragen om WP Engine weer toegang tot WordPress.org te geven, nadat dit eerder was geblokkeerd. De voorlopige voorziening is de uitkomst van een rechtszaak die WP Engine tegen Automattic aanspande. WordPress.org biedt het gelijknamige contentmanagementsysteem waar zo'n 44 procent van alle websites op internet gebruik van maakt. WP Engine is een bedrijf dat klanten 'managed WordPress hosting' biedt. Klanten kunnen via het platform van WP Engine een eigen WordPress-site starten en meteen bij de provider hosten. Matt Mullenweg, mede-ontwikkelaar van WordPress en ceo van Automattic, dat via WordPress.com ook WordPress-hosting aanbiedt, noemde WP Engine onlangs 'een kanker voor WordPress'. Volgens Mullenweg biedt WP Engine klanten een slechte ervaring en profiteert van het bedrijf van de verwarring, doordat mensen denken dat WP Engine WordPress is. Mullenweg stelde dan ook dat WP Engine een trademark-licentie nodig heeft om WordPress-hosting te blijven aanbieden. Vervolgens stuurde WP Engine een 'cease and desist' brief naar Automattic waarin het bedrijf en Mullenweg werden verzocht om de 'valse en schadelijke' verklaringen over WP Engine in te trekken en dergelijke uitspraken niet meer te doen. In afwachting van de juridische claims en rechtszaken tegen WordPress.org besloot Automattic om WP Engine geen toegang meer tot de resources van WordPress.org te geven. De rechter oordeelde dat de toegang weer hersteld moet worden. Daarnaast moet Automattic een lijst verwijderen van WP Engine-klanten die de afgelopen maanden met WP Engine zijn gestopt. Als laatste oordeelde de rechter dat Automattic ook een check box op de inlogpagina moet verwijderen waarmee gebruikers werden verplicht om aan te geven dat ze niet met WP Engine waren geaffilieerd. In een reactie op X geeft Automattic aan dat het de juridische strijd voortzet en binnenkort met eigen claims tegen WP Engine komt. Ook stelt het bedrijf dat de uitspraak van de rechter alleen de status quo in stand houdt. WP Engine is dankbaar voor de uitspraak van de rechter en stelt dat die voor stabiliteit in het WordPress-ecosysteem zorgt. bron: https://www.security.nl

Tijdens de laatste patchdinsdag van 2024 heeft Microsoft een actief aangevallen kwetsbaarheid in Common Log File System (CLFS) driver van Windows verholpen. Een onderdeel waar in het verleden vaker beveiligingslekken zijn aangetroffen die bij aanvallen zijn ingezet. Afgelopen september kondigde Microsoft nog aan dat het de CLFS-driver beter zou gaan beveiligen tegen aanvallen. Het CLFS is een Windowsonderdeel dat wordt gebruikt voor logging. Applicaties die logbestanden willen opslaan kunnen er gebruik van maken. In de afgelopen vijf jaar zijn er ruim twintig kwetsbaarheden in CLFS ontdekt. Meerdere daarvan werden actief misbruikt voordat een update van Microsoft beschikbaar was en voor andere verschenen allerlei exploits. Het gaat hier om 'Elevation of Privilege' kwetsbaarheden, waardoor een aanvaller met toegang tot het systeem zijn rechten kan verhogen. Ook de nu actief aangevallen kwetsbaarheid (CVE-2024-49138) maakt het mogelijk voor een aanvaller die al code op het systeem kan uitvoeren om zijn rechten te verhogen naar die van SYSTEM, waarmee er volledige controle over het systeem wordt verkregen. Microsoft geeft verder geen details over de kwetsbaarheid, die door securitybedrijf CrowdStrike werd gerapporteerd. Het beveiligingslek is in alle ondersteunde versies van Windows aanwezig. De update zal op de meeste systemen automatisch worden geïnstalleerd. bron: https://www.security.nl

Mozilla verwijdert binnenkort de Do Not Track (DNT) feature uit Firefox, zo heeft de browserontwikkelaar aangekondigd. Volgens Mozilla wordt DNT door veel websites niet gerespecteerd en kan het in sommige gevallen zelfs privacy verminderen. Het 'DNT signaal' wordt via de browser naar websites verstuurd. Gebruikers kunnen zo aangeven dat ze niet door websites gevolgd willen worden. Naleving van DNT is echter geheel vrijwillig. De eerste versie van Firefox waarin DNT zat ingebouwd verscheen begin 2011. Nu laat Mozilla weten dat de feature met de lancering van Firefox 135 uit de browser zal worden verwijderd. In plaats daarvan wijst Mozilla naar het gebruik van Global Privacy Control (GPC). Deze optie is sinds Firefox 120 in de browser aanwezig en laat gebruikers aan websites weten dat ze niet willen dat hun data wordt gedeeld en verkocht aan derden. In sommige jurisdicties, zoals in de Amerikaanse staat Californië, wordt Global Privacy Control als een juridisch handhaafbare methode gezien waarmee consumenten zich voor gerichte advertenties kunnen afmelden of websites kunnen verzoeken om de verkoop of het delen van hun persoonlijke data te beperken, aldus Mozilla. Firefox 135 staat gepland voor 4 februari volgend jaar. bron: https://www.security.nl

De Europese privacytoezichthouder EDPS gaat onderzoeken of het Microsoft 365-gebruik van de Europese Commissie inmiddels aan de privacyregels voldoet. In maart oordeelde de EDPS dat Brussel met het gebruik van Microsoft 365 de privacywetgeving voor EU-instellingen (EUI's) overtreedt. De toezichthouder droeg de Europese Commissie op om vanaf 9 december te stoppen met het doorsturen van data naar Microsoft en diens partners en subverwerkers die zich buiten de EU bevinden en niet onder een besluit vallen waarbij het beschermingsniveau passend wordt verklaard. Tevens werd de Commissie opgedragen om het gebruik van Microsoft 365 aan de geldende regelgeving te laten voldoen. Ook dit moest uiterlijk 9 december zijn geregeld. Volgens de EDPS heeft Brussel niet voor voldoende waarborgen gezorgd dat persoonlijke data die buiten de EU wordt verstuurd net zo goed beschermd is als binnen de EU. Verder heeft de Europese Commissie in het contract met Microsoft over het gebruik van Microsoft 365 niet voldoende duidelijk gemaakt welke persoonlijke data mag worden verzameld en voor welke expliciet vermelde doeleinden, aldus de toezichthouder begin dit jaar. De Europese Commissie diende op 6 december bij de EDPS een rapport in om aan te tonen dat het Microsoft 365-gebruik inmiddels volgens de regels is. EDPS-voorzitter Wojciech Wiewiorowski zegt in een reactie te onderzoeken of dit ook het geval is. "Gezien de breedte van de informatie en complexiteit van de betrokken verwerkingsoperaties, zal deze analyse extra aandacht vereisen en binnen een gepast tijdsvenster grondig worden uitgevoerd." Zowel Microsoft als de Europese Commissie maakten bezwaar tegen de beslissing van de EPDS. De gerechtelijke procedures hierover lopen nog. bron: https://www.security.nl

Aanvallers maken op grote schaal misbruik van een kritieke kwetsbaarheid in de file transfer software van Cleo, zo meldt securitybedrijf Huntress. Cleo heeft een beveiligingsupdate uitgebracht, maar volgens onderzoekers wordt het probleem daar niet mee verholpen. Organisaties die van Cleo’s LexiCom, VLTransfer en Harmony software gebruikmaken worden opgeroepen de systemen niet vanaf internet toegankelijk te maken en achter een firewall te plaatsen. Cleo’s LexiCom, VLTransfer en Harmony software laat organisaties bestanden uitwisselen. Het bedrijf claimt meer dan 4200 klanten wereldwijd te hebben. Een 'unrestricted file upload and download' kwetsbaarheid (CVE-2024-50623) in Cleo Harmony, Cleo VLTrader en Cleo LexiCom maakt remote code execution mogelijk, aldus een eind oktober verschenen beveiligingsbulletin van Cleo. Securitybedrijf Huntress ontdekte op 3 december naar eigen zeggen grootschalig misbruik van de kwetsbaarheid, waardoor een ongeauthenticeerde aanvaller op afstand code op kwetsbare systemen kan uitvoeren. Verder onderzoek wees uit dat de door Cleo uitgerolde beveiligingsupdate het probleem niet verhelpt. Zes uur geleden kwam Cleo met een update voor het beveiligingsbulletin, waarin het klanten oproept naar versie 5.8.0.21 te updaten. Volgens Huntress is deze versie nog steeds kwetsbaar. Het securitybedrijf adviseert organisaties om de kwetsbare file transfer software achter een firewall te plaatsen totdat er een nieuwe patch beschikbaar is. Update Securitybedrijf Rapid7 meldt ook grootschalig misbruik van de kwetsbaarheid. Inmiddels zou Cleo voor de misbruikte kwetsbaarheid een nieuw CVE-nummer hebben aangevraagd, meldt beveiligingsonderzoeker Kevin Beaumont. bron: https://www.security.nl

De Duitse overheid waarschuwt organisaties voor bruteforce-aanvallen tegen Citrix Netscaler gateways. Het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, zegt dat het van verschillende vitale sectoren en internationale partners meldingen van deze aanvallen heeft ontvangen. Ook media en securitybedrijven berichten hierover. Wat de huidige aanvalsgolf doet opvallen is vooral het aantal aanvallen, aldus de Duitse overheidsinstantie. Nadat aanvallers via de bruteforce-aanval toegang tot het systeem hebben gekregen, proberen ze meestal toegang te behouden door het installeren van backdoors. Vervolgens wordt geprobeerd andere systemen te compromitteren, wat kan leiden tot datalekken en ransomware-aanvallen, aldus het BSI. De overheidsinstantie voegt toe dat bescherming tegen bruteforce-aanvallen een basale beveiligingsmaatregel is. Toch ziet het BSI in de praktijk dat dergelijke aanvallen geregeld succesvol zijn en vaak een ingang voor aanvallers vormen tot interne netwerken. "Blootgestelde systemen zijn met name kwetsbare als inloggegevens eenvoudig zijn te raden of in gecompromitteerde datasets voorkomen. Het is belangrijk dat wachtwoorden niet alleen voldoende complex zijn, maar het is ook belangrijk om aanvullende beveiligingsmaatregelen te nemen, zoals multifactorauthenticatie", aldus het BSI. Via NetScaler gateways kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. bron: https://www.security.nl

Microsoft gaat NTLM-authenticatie binnen Windows in de toekomst standaard uitschakelen, zo laat het techbedrijf opnieuw in een blogpost weten, waarin organisaties worden opgeroepen op modernere authenticatieprotocollen over te stappen. De NT LAN Manager (NTLM), en diens opvolger NTLMv2, is een challenge-en-response protocol voor het authenticeren van gebruikers, waarbij gebruik wordt gemaakt van wachtwoordhashes. NTLM is een legacy protocol dat onder andere kwetsbaar is voor relay-aanvallen. Daarbij weet een aanvaller de hash van een doelwit te onderscheppen en kan die vervolgens gebruiken om zich als het doelwit bij een dienst te authenticeren. In het verleden zijn er tal van relay-aanvallen geweest waarbij aanvallers NTLM-hashes probeerden te stelen. Eerder dit jaar waarschuwde Microsoft nog dat Exchange-servers het doelwit van relay-aanvallen waren geworden. Microsoft adviseert Kerberos als alternatief voor NTLM. Dit is sinds 2000 het standaard Windows-authenticatieprotocol, liet Microsofts Matthew Palko eerder weten. Desondanks wordt NTLM nog veel gebruikt. Organisaties kunnen NTLM wel uitschakelen, maar dit kan voor problemen zorgen met applicaties waarbij het NTLM-gebruik hardcoded is. Het uitschakelen van NTLM kan ook voor problemen zorgen bij scenario's die niet mer Kerberos werken. "Ons doel is het elimineren van de noodzaak om NTLM te gebruiken en de authenticatiebeveiliging voor alle Windowsgebruikers te versterken", aldus Palko eind vorig jaar. Aangezien NTLM nog steeds in gebruik is heeft Microsoft inmiddels voor Exchange Server 2019 en Windows Server 2025 de optie 'Extended Protection for Authentication' (EPA) standaard ingeschakeld. Deze maatregel moet tegen relay-aanvallen beschermen. Microsoft wil EPA in de toekomst voor meer diensten standaard gaan inschakelen. Het techbedrijf herhaalt echter het uiteindelijke doel, namelijk dat NTLM standaard zal zijn uitgeschakeld in een toekomstige versie van Windows. Organisaties worden dan ook opgeroepen om op modernere authenticatieprotocollen zoals Kerberos over te stappen. In de tussentijd is Microsoft naar eigen zeggen van plan om meer 'secure-by-default NTLM hardening' maatregelen te nemen. bron: https://www.security.nl

Een kwetsbaarheid in de OpenWrt Sysupgrade Server maakte het mogelijk om malafide images onder gebruikers te verspreiden die dan op hun router zou worden geïnstalleerd. Het beveiligingslek is inmiddels verholpen en voor zover bekend is er geen misbruik van gemaakt. De logs gaan echter tot maximaal zeven dagen terug en de kwetsbaarheid was al enige tijd aanwezig, zo laat een onderzoeker van securitybedrijf Flatt Security weten, die het probleem ontdekte. OpenWrt is een populair op Linux-gebaseerd besturingssysteem voor routers. Het is op meer dan achttienhonderd verschillende routermodellen te installeren. Naast de images die OpenWrt aanbiedt is het via de OpenWrt Sysupgrade Server mogelijk om een aparte image te laten bouwen, gebaseerd op de betreffende router en gewenste packages van de gebruiker. De gebruiker geeft zijn wensen op, waarna de server de nieuwe firmware maakt en terugstuurt naar OpenWrt, dat vervolgens de nieuwe image op de router installeert. De dienst bleek twee kwetsbaarheden te bevatten. De imagebuilder bleek vatbaar voor command injection. Gebruikers kunnen namen van packages opgeven die moeten worden meegenomen in de nieuwe image. Opgegeven namen werden echter niet goed gecontroleerd en zo uitgevoerd via de 'make' commando's. Een aanvaller had zo willekeurige commando's in het build proces kunnen injecteren, wat ervoor zorgde dat er malafide firmware-images met de legitieme build key werden gesigneerd. De andere kwetsbaarheid betrof een hash collision. De server maakt gebruik van hashes om de juiste image naar de juiste gebruiker te sturen. Het gebruikte hashingmechanisme kapt SHA-256 hashes af tot slecht twaalf karakters, wat het uitvoeren van een collision-aanval mogelijk maakt voor aanvallers. Hierdoor was het mogelijk om de hash van een malafide firmware-image overeen te laten komen met die van een legitieme image en zo de gebruiker de malafide image te sturen. Na te zijn ingelicht werd de OpenWrt Sysupgrade Server meteen offline gehaald en drie uur later werd het probleem verholpen en de dienst weer online gebracht. bron: https://www.security.nl

Met wifi is het altijd lastig en maar de vraag waar het aan kan liggen. Het eerste waar ik aan denk is dat alles over een wifikanaal werkt die last heeft van storing van andere kanalen. Al eens geprobeerd de modem te resetten en een wat vrijer wifi kanaal te gebruiken?