Welkom bij #WakeUpWednesday. We willen zoveel mogelijk mensen wakker schudden en bewust maken van eventuele risico’s op het gebied van cybersecurity. Ons doel is om Nederland digitaal veilig en weerbaar maken. Daarom geeft Tesorion je vanaf nu elke woensdag in een post een kort overzicht over kwetsbaarheden of hacks die nationale of internationale aandacht hebben gekregen.
Natuurlijk berichten we direct over belangrijke kwetsbaarheden en mogelijkheden om deze te mitigeren. Onze #WakeUpWednesday is een soort terugblik.
#WakeUpWednesday 9 oktober 2024
- CUPS-kwetsbaarheid: Versterking van DDoS-aanvallen
Een recentelijk gepatchte kwetsbaarheid, CVE-2024-47176, in het Common Unix Printing System (CUPS) kon niet alleen voor remote code execution (RCE) worden gebruikt, maar ook om DDoS-aanvallen te versterken. CUPS is een veelgebruikt printbeheersysteem dat standaard aanwezig is op veel Linux- en macOS-systemen. De kwetsbaarheid zit in het ‘cups-browsed’ component, waarmee netwerk-printers automatisch ontdekt kunnen worden. Als deze functionaliteit niet nodig is, raden we aan dit component uit te schakelen.
Bij een DDoS-aanval proberen kwaadwillenden een systeem te overladen met verkeer, waardoor het ontoegankelijk wordt. Deze CUPS-kwetsbaarheid stelt aanvallers in staat om kleine hoeveelheden data te vermenigvuldigen en uit te sturen, waardoor de omvang van de aanval enorm kan toenemen. Dit maakt systemen met een onbeschermde CUPS-installatie aantrekkelijk als versterkers voor grootschalige aanvallen.
- CosmicSting-aanvallen: Meer dan 4.000 Adobe Commerce- en Magento-webshops getroffen
Ongeveer 5% van alle Adobe Commerce en Magento online winkels, wat neerkomt op 4.275 winkels, zijn gehackt in de “CosmicSting” aanvallen. Cybercriminelen hebben een exploit ontwikkeld waarmee ze toegang krijgen tot de achterliggende systemen van deze webshops, waardoor ze kwaadaardige scripts kunnen injecteren. Het gaat om kwetsbaarheden CVE-2024-34102 en CVE-2024-2961.
CVE-2024-34102 is een XXE (XML External Entity) vulnerability. Hiermee is het mogelijk om lokale bestanden te lezen om daarmee bijv. wachtwoorden en sleutels te bemachtigen. CVE-2024-2961 betreft een buffer overflow kwetsbaarheid in de iconv library in GLIBC. De functie iconv() in de GNU C-bibliotheekversies 2.39 en ouder kan de aan de functie doorgegeven uitvoerbuffer met maximaal 4 bytes laten overlopen bij het converteren van strings naar de tekenset ISO-2022-CN-EXT. Dit kan ertoe leiden dat een toepassing crasht of een aangrenzende variabele wordt overschreven. De aanvallen stelen gevoelige klantgegevens zoals creditcardinformatie. Deze campagnes richten zich specifiek op de backend van e-commerceplatformen, waarbij de aanval kwetsbaarheden in verouderde of slecht onderhouden webshops misbruikt.
- Apple brengt updates uit voor iOS en iPadOS tegen zero-day kwetsbaarheden
Apple heeft onlangs een beveiligingsupdate uitgebracht voor iOS en iPadOS om twee beveiligingsproblemen aan te pakken. De eerste kwetsbaarheid, geregistreerd als CVE-2024-44204, kon zorgen dat de wachtwoorden van een gebruiker hardop werden voorgelezen door de ondersteunende VoiceOver-technologie. Ook heeft Apple een beveiligingslek (CVE-2024-44207) gepatcht dat specifiek is voor de onlangs gelanceerde iPhone 16-modellen, waardoor audio kan worden vastgelegd voordat de microfoon-indicator aan is.
- Perfctl Malware: Een jarenlange cryptominingcampagne
De Linux-malware “perfctl” heeft minstens drie jaar lang Linux-servers en werkstations aangevallen, waarbij het grotendeels onopgemerkt is gebleven door onder andere het gebruik van rootkits. Deze nieuwe perfctl-malware richt zich op Linux-systemen en maakt gebruik van geavanceerde technieken om detectie te vermijden. Het is een fileless malware die moeilijk te verwijderen is en zich richt op cryptomining. Perfctl heeft miljoenen Linux-servers wereldwijd geïnfecteerd en maakt gebruik van een arsenaal van minstens 20.000 verschillende exploits voor diverse servermisconfiguraties.
- Apache Avro SDK kwetsbaarheid
Een kritieke kwetsbaarheid in de Apache Avro SDK kan worden misbruikt voor remote code execution (RCE). Deze kwetsbaarheid, geïdentificeerd als CVE-2024-47561, stelt aanvallers in staat om willekeurige code uit te voeren op systemen die de SDK gebruiken. Apache Avro is een open-sourceproject dat een taalneutraal data serialisatie-framework biedt voor grootschalige dataverwerking. De kwetsbaarheid treft elke toepassing waarbij gebruikers hun eigen Avro-schema’s voor parsing mogen opgeven.
#WakeUpWednesday 02 oktober 2024
- NVIDIA Container Toolkit kwetsbaarheid: volledige overname mogelijk
Een ernstige kwetsbaarheid (CVE-2024-0132, CVSS-score 9.0) is ontdekt in de NVIDIA Container Toolkit. Deze kwetsbaarheid stelt aanvallers in staat om volledige controle over het host-systeem te krijgen. Deze toolkit wordt vaak gebruikt voor GPU-gebaseerde containeromgevingen, waardoor de impact van een exploit groot kan zijn, vooral in cloud- en datacenteromgevingen waar containers een integraal onderdeel van de infrastructuur vormen. Als deze kwetsbaarheid wordt uitgebuit, kunnen aanvallers de controle over de container verkrijgen en toegang krijgen tot de onderliggende host, wat leidt tot potentiële diefstal van gegevens of zelfs een volledige overname van systemen. De specifieke bibliotheek is vooraf geïnstalleerd in veel AI-gerichte platforms en virtuele machine-images en is de standaardtool voor GPU-toegang wanneer NVIDIA-hardware betrokken is. De kwetsbaarheid is opgelost in NVIDIA Container Toolkit versie v1.16.2 en NVIDIA GPU Operator versie 24.6.2.
- RomCom malware variant ‘Snipbot’
Een nieuwe variant van de RomCom-malware, Snipbot, is ontdekt in datadiefstalcampagnes. Deze nieuwe versie toont voor het eerst post-infectieactiviteit van de kwaadwillende op en slachtoffersysteem. De malware richt zich specifiek op het exfiltreren van gevoelige gegevens en gebruikt geavanceerde technieken om te voorkomen dat het wordt gedetecteerd. De aanvallen met Snipbot zijn gericht op verschillende industrieën en worden gekenmerkt door gerichte phishingcampagnes die toegang bieden tot netwerken en gevoelige informatie stelen.
- HPE Aruba Networks: kritieke RCE-kwetsbaarheden
Hewlett Packard Enterprise (HPE) Aruba heeft drie kritieke kwetsbaarheden gepatcht die invloed hebben op hun draadloze toegangspunten. Deze kwetsbaarheden (CVE-2024-42505, CVE-2024-42506, en CVE-2024-42507), kunnen leiden tot Remote Code Execution (RCE) door speciaal vervaardigde pakketten naar de PAPI (Aruba’s Access Point Management Protocol) UDP-poort (8211) te sturen.
- Embargo Ransomware: nieuwe focus op cloud-omgevingen
De Embargo-ransomware heeft haar aanvallen uitgebreid naar hybride cloudomgevingen. Door zich te richten op cloudopslag en -services, proberen kwaadwillenden kritieke data te versleutelen en bedrijven te dwingen losgeld te betalen. De kwaadwillenden maken gebruik van zwakke wachtwoorden en accounts met verhoogde rechten om toegang te krijgen tot het netwerk.
#WakeUpWednesday 25 september 2024
- macOS ‘Sequoia’-update verstoort VPN- en antivirussoftware
Apple’s nieuwste macOS-update, Sequoia, heeft onverwacht problemen veroorzaakt met verschillende VPN- en antivirussoftware. Het netwerkgedrag van het besturingssysteem is veranderd, wat leidde tot incompatibiliteitsproblemen. Verschillende aanbieders van VPN- en beveiligingsoplossingen hebben gemeld dat hun software niet meer goed werkt, wat ernstige gevolgen kan hebben voor gebruikers die afhankelijk zijn van beveiligde netwerkverbindingen en malwarebescherming.
- Apache HugeGraph Server kwetsbaarheid actief misbruikt
De CISA waarschuwt voor een kritieke kwetsbaarheid in Apache HugeGraph Server (CVE-2024-27348), die actief wordt misbruikt. Deze kwetsbaarheid maakt het mogelijk voor kwaadwillenden om op afstand willekeurige code uit te voeren, waardoor ze volledige controle over servers kunnen krijgen. Er is exploit code beschikbaar, de kwetsbaarheid wordt al actief gebruikt door cybercriminelen. Organisaties die deze software draaien, worden dringend geadviseerd om patches zo snel mogelijk toe te passen, het Auth system te activeren en Java 11 te gebruiken.
- Nieuwe PondRat malware verborgen in Python libraries
Een nieuwe malwarecampagne genaamd PondRat is ontdekt, waarbij kwaadaardige code wordt verspreid via Python-libraries. PondRat is bijzonder gevaarlijk omdat het zichzelf verbergt binnen ogenschijnlijk legitieme Python-modules. Deze malware kan data stelen, command-and-control operaties uitvoeren en aanvallers langdurige toegang tot systemen geven. De malafide modules, real-ids, coloredtxt, beautifultext en minisound zijn inmiddels verwijderd uit de PyPI-repositories.
- Ivanti’s Cloud Appliance: nieuwe kwetsbaarheden
Ivanti waarschuwde recent voor een nieuwe kwetsbaarheid (CVE-2024-8963) in hun cloud-appliances, die het doelwit is geworden van actieve aanvallen. Deze kwetsbaarheid maakt het mogelijk voor aanvallers om toegang te krijgen tot gevoelige informatie of om systemen te compromitteren. Deze kwetsbaarheid is kort na een andere kwetsbaarheid (CVE-2024-8190) in dezelfde cloudservice ontdekt.
- FreeBSD RCE kwetsbaarheid laat aanvallers kwaadaardige code uitvoeren
De CVE-2024-41721 beschrijft een kritieke kwetsbaarheid in de USB-code van FreeBSD’s bhyve virtuele machine, specifiek bij de emulatie van XHCI (USB). Door onvoldoende grensvalidatie kan er een out-of-bounds leesfout optreden in het heap-geheugen, wat de mogelijkheid biedt om willekeurige gegevens te schrijven. Dit kan leiden tot remote code execution (uitvoering van kwaadaardige code op afstand).
Deze kwetsbaarheid heeft een CVSS-score van 9.8 en wordt als zeer gevaarlijk beschouwd, omdat het op afstand kan worden uitgebuit zonder dat er gebruikersinteractie of speciale privileges vereist zijn. Hierdoor kan een aanvaller volledige controle krijgen over het systeem, wat ernstige gevolgen kan hebben voor de confidentialiteit, integriteit en beschikbaarheid van het systeem. Het wordt sterk aangeraden om de patches van FreeBSD toe te passen
- 2FA bypass via RestAPI
De CVE-2024-8606 beschrijft een kwetsbaarheid in de Checkmk-software, specifiek in de REST API. Deze kwetsbaarheid stelt een aanvaller in staat om de tweefactorauthenticatie (2FA) te omzeilen. Dit betekent dat een gebruiker, zelfs na succesvolle authenticatie, toegang kan krijgen zonder dat de tweede verificatiefactor wordt afgedwongen. Dit is mogelijk in versies van Checkmk voor 2.3.0p16 en 2.2.0p34.
#WakeUpWednesday 18 september 2024
- Windows kwetsbaarheid: braille-spaties gebruikt in aanvallen
Een onlangs gepatchte kwetsbaarheid in Windows, CVE-2024-43461, wordt actief misbruikt door kwaadwillenden. Deze kwetsbaarheid zit in de MSHTML-component van Windows, waarbij de aanvallers gebruik maken van braille-spaties om detectie te omzeilen en slachtoffers een malafide bestand te laten openen dat malware bevat. CVE-2024-43461 werd actief misbruikt voor de juli-patch als onderdeel van een aanvalsketen met betrekking tot CVE-2024-38112. Om volledig beschermd te zijn moeten Windowsgebruikers zowel de update van juli als die van september installeren.
- Malware vergrendelt browsers om Google inloggegevens te stelen
Een nieuwe malwarecampagne richt zich specifiek op het stelen van Google-inloggegevens door browsers te vergrendelen in kioskmodus. Dit houdt in dat de gebruiker zijn browser niet kan afsluiten zonder de vereiste inloggegevens in te voeren. Zodra deze gegevens zijn ingevoerd, worden ze door de cybercriminelen buitgemaakt. Deze aanvalsmethode is bijzonder gevaarlijk omdat het gebruikers dwingt om persoonlijke informatie vrij te geven onder de illusie dat ze geen andere optie hebben.
- Ivanti’s Endpoint Manager Mobile kwetsbaarheid actief misbruikt
Ivanti waarschuwt voor een kwetsbaarheid in hun Endpoint Manager Mobile (EPMM) software, bekend als CVE-2024-8190. Deze kwetsbaarheid stelt aanvallers in staat om toegang te krijgen tot de EPMM-administratieconsole en gevoelige gegevens te onderscheppen. APT-groepen zijn al actief bezig met het misbruiken van deze kwetsbaarheid in aanvallen op organisaties. Ivanti heeft een dringende oproep gedaan aan gebruikers om de nieuwste patches te installeren om verdere schade te voorkomen.
- Nieuwe Linux Malware ‘Hadooken’ richt zich op Oracle WebLogic Servers
Op Linux-gebaseerde systemen is een nieuwe malwarecampagne ontdekt, gericht op Oracle WebLogic-servers. De malware, ‘Hadooken‘ genaamd, maakt gebruik van bekende kwetsbaarheden in verouderde of ongepatchte WebLogic-servers om een achterdeur te installeren. Deze achterdeur stelt kwaadwillenden in staat om langdurige toegang te krijgen tot de geïnfecteerde servers, wat ernstige gevolgen kan hebben voor bedrijven die afhankelijk zijn van deze infrastructuur. Wij adviseren om organisaties die gebruik maken van WebLogic om hun systemen te controleren en de beschikbare patches te installeren.
- D-link router kwetsbaarheid: verborgen functionaliteit
Een kritieke kwetsbaarheid, geregistreerd als CVE-2024-45697, is ontdekt in verschillende D-Link-routers, routers die vaak worden gebruikt in thuisnetwerken en kleine bedrijven. Deze kwetsbaarheid betreft verborgen functionaliteit die aanvallers in staat stelt om op afstand volledige controle over het apparaat te krijgen. De exploit maakt het mogelijk om zonder authenticatie toegang te krijgen tot de router, wat leidt tot het mogelijke compromitteren van het netwerk.
#WakeUpWednesday 11 september 2024
- Progress LoadMaster: Kritieke RCE-kwetsbaarheid (10/10 CVSS)
Recentelijk is er een kritieke kwetsbaarheid (CVE-2024-7591) ontdekt in Progress LoadMaster. Deze heeft een CVSS-score van 10. Deze kwetsbaarheid kan leiden tot Remote Code Execution (RCE), waarbij aanvallers volledige controle over getroffen systemen kunnen krijgen.
LoadMaster is een veelgebruikte applicatie voor load balancing, en deze fout treft alle versies van voor 7.2.76. Aanvallers kunnen misbruik maken van deze kwetsbaarheid zonder enige authenticatie, wat het risico op exploitatie verhoogt. Er is een update beschikbaar, wij adviseren om deze zo snel mogelijk te installeren.
- Malwareverspreiding via LinkedIn
Recentelijk zijn er meldingen geweest van malware die wordt verspreid via LinkedIn. Dit platform, dat vaak wordt gezien als een betrouwbare bron voor zakelijke communicatie, is ook waardvol voor cybercriminelen. Zij kunnen via dit platform veel data verzamelen en bijvoorbeeld goed zicht krijgen op de functie en werkzaamheden van een persoon. Daarmee wordt LinkedIn een aantrekkelijk doelwit voor cybercriminelen. Cybercriminelen gebruiken misleidende berichten en bijlagen om COVERTCATCH-malware te verspreiden. De werkwijze is relatief eenvoudig: oplichters maken contact met potentiële slachtoffers, betrekken hen bij een gesprek en overtuigen hen vervolgens om een bestand te downloaden dat is vermomd als een Python Coding Challenge.
- Stijging Quishing-aanvallen
Daarnaast is er een toename in aanvallen via QR-codes, het zogenaamde ‘Quishing’. Deze vorm van phishing richt zich op mensen die QR-codes scannen, zoals die bij EV-laadstations te vinden zijn. Bij het scannen van de QR-code worden gebruikers naar malafide websites geleid, waar gevoelige gegevens worden buitgemaakt of malware wordt geïnstalleerd.
- SonicWall SSL-VPN: Kritieke Access Control Exploit in het Wild
SonicWall waarschuwt gebruikers voor een kritieke kwetsbaarheid (CVE-2024-40766, CVSS-score 9.3) in hun SSL-VPN-producten, specifiek gerelateerd aan access control. Aanvallers kunnen via deze kwetsbaarheid ongeautoriseerde toegang krijgen tot netwerken. Daarnaast wordt de kwetsbaarheid actief misbruikt voor het verspreiden van Akira-ransomware. SonicWall heeft een patch uitgebracht, wij adviseren om deze zo snel mogelijk te installeren.
- Kibana 8.15.1: Beveiligingsupdate voor Elastic Stack-gebruikers
Organisaties die ElasticStack gebruiken, met name Kibana, dienen de nieuwe beveiligingsupdates te implementeren. Er is een deserialisatieprobleem in Kibana dat kan leiden tot willekeurige code-uitvoering. De kwetsbaarheid is geregistreerd als CVE-2024-37288, met een CVSS-score van 9.9).
In Nederland is de Elastic Stack, inclusief Kibana, een populaire keuze voor organisaties die grote hoeveelheden data moeten analyseren en visualiseren. Hoewel er geen directe meldingen zijn dat de kwetsbaarheid op dit moment actief wordt uitgebuit adviseren wij om de beschikbare update zo snel mogelijk te installeren.
#WakeUpWednesday 4 september 2024
- Business Email Compromise (BEC)
Inmiddels is in alle regio’s de zomervakantie voorbij en zijn de meeste mensen weer aan het werk. Met het vakantiegevoel nog in het achterhoofd willen veel medewerkers die eerste dag zo veel mogelijk e-mails afhandelen. Het gevoel van urgentie gecombineerd met een mindere alertheid op phishing vergroot de kans dat een medewerker slachtoffer wordt. Bovendien hebben kwaadwillenden tijdens de vakantieperiode de mogelijkheid gehad om persoonsgegevens, zoals e-mailadressen en telefoonnummers te verzamelen dankzij out-of-office berichten. Neem daarom de tijd voor het beantwoorden van je e-mails en wees alert op malafide berichten, bijlages en linkjes.
- Atlassian Confluence: CVE-2023-22527
Cybercriminelen maken actief misbruik van een kritieke kwetsbaarheid in Atlassian Confluence Data Center en de Confluence Server. De kwetsbaarheid die momenteel actief wordt uitgebuit is CVE-2023-22527, met een CVSS-score van 10. Hierdoor lopen systemen die niet up-to-date zijn een groot risico op ongeautoriseerde toegang en mogelijke datadiefstal. Bovendien worden getroffen systemen door de kwaadwillenden ingezet voor cryptomining. Gebruikers van Atlassian Confluence wordt geadviseerd zo snel mogelijk de beschikbare updates te installeren.
- Google Chrome: drive-by downloads met Rootkit
Microsoft heeft een nieuwe campagne geïdentificeerd van de Noord-Koreaanse hackergroep Citrine Sleet. Bij deze campagne werden twee kwetsbaarheden, waar op dat moment nog geen updates voor beschikbaar waren, uitgebuit. De eerste kwetsbaarheid was een zero-day in Chromium-gebaseerde browsers, zoals Chrome, die werd misbruikt. Deze kwetsbaarheid is geregistreerd als CVE-2024-7971, een kwetsbaarheid in de V8 JavaScript- en WebAssembly-engine die van invloed is op versies van Chromium ouder dan 128.0.6613.84. De tweede kwetsbaarheid is CVE-2024-38106 en was aanwezig in de Windows kernel.
- Cicada3301 ransomware: aanvallen op VMware ESXi-systemen
Cicada3301 is een nieuwe groep die zich bezighoudt met ransomware-as-a-service, waarbij ze een platform bieden voor dubbele afpersing door middel van een ransomware en een datalekwebsite. De groep kwam voor het eerst in beeld in juni 2024 en heeft sindsdien meerdere slachtoffers gemaakt. Hun naam lijkt afgeleid te zijn van een internet cryptografiespel, maar er is geen verband met dat fenomeen. De dreiging is specifiek gericht op VMware ESXi-systemen, die veel worden gebruikt in virtualisatie-omgevingen.
De ransomware van Cicada3301, geschreven in Rust, vertoont opvallende overeenkomsten met de inmiddels niet meer bestaande Black Cat/ALPHV ransomware. Beide gebruiken ChaCha20 voor encryptie en soortgelijke commando’s voor het uitschakelen van VM’s en het verwijderen van snapshots.
- Misbruik reacties op GitHub: wachtwoordstelende malware
Cybercriminelen hebben een nieuwe manier gevonden om gebruikers van GitHub te misleiden door gebruik te maken van opmerkingen op populaire repositories. Deze opmerkingen bevatten links die zich voordoen als “fixes” voor problemen, maar in werkelijkheid leiden ze naar malware die wachtwoorden steelt. Beheerders van GitHub-projecten en gebruikers worden geadviseerd om voorzichtig te zijn met het klikken op links in opmerkingen en om verdachte activiteiten te melden. Het implementeren van betere beveiligingspraktijken, zoals het beperken van wie opmerkingen kan plaatsen, kan helpen om dit type aanval te beperken.
#WakeUpWednesday 28 augustus 2024
- PeakLight Dropper: Nieuwe memory-only malware
Onderzoekers van Mandiant hebben nieuwe malware ontdekt die gebruik maakt van een techniek die bekend staat als “DLL hijacking” om schadelijke code in te laden en detectie te ontwijken. De malware, genaamd PeakLight Dropper, is een memory-only dropper. De aanvallers achter deze dropper gebruiken het om verdere malware op de systemen van de slachtoffers te installeren, wat de deur opent voor gegevensdiefstal en spionageactiviteiten. Het gebruik van zo’n dropper stelt aanvallers in staat om hun aanwezigheid te verbergen en op lange termijn in systemen te blijven zonder gedetecteerd te worden.
- Qilin Ransomware misbruikt VPN’s om netwerken te compromitteren
Qilin Ransomware, is een nieuwe ransomware die zich richt op kwetsbare VPN-infrastructuren. De ransomware gebruikt gestolen VPN-inloggegevens om toegang te krijgen tot netwerken en versleutelt vervolgens de gegevens. Wat opvalt is dat het inloggegevens steelt die zijn opgeslagen in Google Chrome bowsers. Wat deze techniek voor het verzamelen van inloggegevens gevaarlijk maakt is dat de mogelijke implicaties veel verder reiken dan de organisatie van het oorspronkelijke slachtoffer. Daarnaast wordt de exfiltratie van gegevens gecombineerd met versleuteling, waardoor slachtoffers dubbel onder druk worden gezet: betalen voor het ontsleutelen van bestanden en voorkomen dat gevoelige informatie wordt gelekt.
- Nieuwe macOS malware: Cthulhu Stealer
Mac-gebruikers zijn steeds vaker het doelwit van cybercriminelen, zoals blijkt uit de ontdekking van de Cthulhu Stealer malware. Deze schadelijke software richt zich specifiek op macOS-systemen en is ontworpen om inloggegevens, browsergeschiedenis en andere gevoelige informatie te stelen. Daarbij wordt gebruik gemaakt van technieken om detectie te ontwijken, zoals versluiering en het uitbuiten van legitieme software.
- Hardcoded credential kwetsbaarheid in enterprise apparatuur
SolarWinds heeft recent updates uitgebracht voor een kwetsbaarheid (CVE-2024-28987) in de Web Help Desk (WHD) software. De kwetsbaarheid betreft hardcoded inloggegevens in specifieke bedrijfsnetwerkapparatuur. Aanvallers kunnen misbruik maken van deze ingebedde inloggegevens om toegang te krijgen tot netwerken en daarbinnen te bewegen zonder authenticatie.
- NGate: Android malware doelgericht op NFC-gegevens
Om contactloze betaalkaarten te klonen en geld te stelen, gebruikt NGate Near Field Communication (NFC) gegevens. Dankzij de geavanceerde technieken die deze malware gebruikt, kan het zich vermommen als legitieme apps en zo gebruikers misleiden om toegang te krijgen tot hun apparaat. Wanneer er geen scheiding is tussen het privé- en zakelijke gebruik van smartphones en/of de smartphone niet door de organisatie gemonitord wordt, is er een risico dat de malware een negatieve invloed heeft op een organisatie. NGate heeft als nadeel dat het zich richt op financiële gegevens, waardoor het een bedreiging vormt voor zowel consumenten als bedrijven die gebruik maken van NFC-betalingen.
- Sedexp: Linux malware die udev-regels misbruikt
Een recent geïdentificeerde Linux-malware, Sedexp, heeft een unieke benadering voor persistency en het vermijden van detectie. Dankzij het gebruik van udev-regels, een Linux-subsysteem dat apparaatgebeurtenissen afhandelt, blijft Sedexp onopgemerkt terwijl het zijn kwaadaardige activiteiten uitvoert. Deze malware heeft zich gedurende bijna twee jaar kunnen verbergen, wat de noodzaak onderstreept van regelmatig systeem- en netwerkmonitoring om dergelijke geavanceerde bedreigingen te identificeren.
- Kwetsbaarheid in Mobile Security Framework
Het MobSF-framework is een test-, malware-analyse- en beveiligingsbeoordelingssysteem dat statische en dynamische analyses kan uitvoeren. Deze bevat een kwetsbaarheid in de sectie Static-Libraries-analyse. Tijdens het extraheren van.a-extensiebestanden is de maatregel die bedoeld is om Zip Slip-aanvallen te voorkomen, niet goed geïmplementeerd. De geïmplementeerde maatregel kan worden omzeild, waardoor een aanvaller bestanden kan extraheren naar elke gewenste locatie binnen de server waarop MobSF zich bevindt.
De kwetsbaarheid is geregistreerd als (CVE-2024-43399). De kwetsbaarheid is opgelost in 4.0.7. Updaten naar deze versie is belangrijk vanwege de potentiële impact van de kwetsbaarheid. Deze stelt aanvallers in staat om volledige controle over een systeem te verkrijgen.
- Proof of Concept (POC) voor TCP/IP kwetsbaarheid
Er is een POC gepubliceerd voor CVE-2024-38063, waarin een kritieke kwetsbaarheid in de TCP/IP-stack van het Windows-besturingssysteem is beschreven. Wanneer er een publieke exploit beschikbaar is, is de kans groter dat kwaadwillenden deze kwetsbaarheid zullen misbruiken. De update voor deze kwetsbaarheid is beschikbaar en het advies is deze zo snel mogelijk te installeren.
#WakeUpWednesday 21 augustus 2024
1. Kritieke SolarWinds kwetsbaarheid wordt actief misbruikt
De Cybersecurity and Infrastructure Security Agency (CISA) heeft een waarschuwing afgegeven over een kritieke kwetsbaarheid in SolarWinds-software die actief wordt misbruikt in aanvallen. Het gaat daarbij om CVE-2024-28986, met een CVSS-score van 9.8. Deze Remote Code Execution (RCE) kwetsbaarheid maakt het mogelijk voor cybercriminelen om op afstand controle over systemen te krijgen en kwaadwillende code uit te voeren.
SolarWinds heeft een patch uitgebracht om dit probleem te verhelpen. Wij adviseren organisaties die SolarWinds-producten gebruiken, om deze patch zo snel mogelijk te installeren.
2. Ransomware-groep gebruikt nieuwe malware om beveiligingssoftware uit te schakelen
RansomHub, een beruchte ransomware-groepering, heeft een nieuwe malwaretool ontwikkeld. Deze malware, door de onderzoekers van Sophos EDRKillShifter genaamd, stelt de cybercriminelen in staat om onopgemerkt ransomware te installeren en uit te voeren. De malware richt zich specifiek op het uitschakelen van beveiligingssoftware bij Bring Your Own Vulnerable Driver (BYOVD)-aanvallen. De malware implementeert hiervoor een legitieme, kwetsbare driver op doelapparaten om privileges te verhogen, beveiligingsoplossingen uit te schakelen en de controle over het systeem over te nemen.
3. Microsoft patcht actieve zero-day kwetsbaarheid
Microsoft heeft recent een zero-day kwetsbaarheid gepatcht die actief werd misbruikt in gerichte aanvallen. Deze kwetsbaarheid, CVE-2024-38193 met CVSS-score 7.8 is beschreven als een privilege-escalatiebug in de Windows Ancillary Function Driver (AFD.sys) voor WinSock. De kwetsbaarheid stelde aanvallers in staat om ongeautoriseerde toegang te verkrijgen en gevoelige gegevens te compromitteren. Wat opmerkelijk is aan deze aanval is dat deze verder gaat dan de traditionele BYOVD-aanval (Bring Your Own Vulnerable Driver). Bij misbruik van deze CVE wordt namelijk misbruik gemaakt van een beveiligingslek in een driver die al op een Windows-host is geïnstalleerd, in plaats van een kwetsbare driver te ‘brengen’ en deze te gebruiken om beveiligingsmaatregelen te omzeilen.
4. Aanvallers misbruiken openbare .env bestanden voor malafide acties
Uit recent onderzoek van Unit42 is gebleken dat verschillende organisaties slachtoffer zijn geworden van een grootschalige afpersingscampagne. Verschillende organisaties zijn gecompromitteerd doordat er misbruik is gemaakt van openbaar toegankelijke omgevingsvariabelebestanden (.env) die inloggegevens bevatten die zijn gekoppeld aan cloud- en socialemediatoepassingen. Cybercriminelen gebruiken deze informatie om systemen te compromitteren en verdere aanvallen uit te voeren.
Verder is gebleken dat er bij de getroffen omgevingen meerdere problemen binnen de cybersecurity aanwezig waren. Denk aan het niet frequent wijzigen van inloggegevens en het ontbreken van een architectuur die uitgaat van het principe waarbij minimale privileges worden toegekend.
De campagne is opmerkelijk omdat de aanvalsinfrastructuur is opgezet binnen de Amazon Web Services (AWS)-omgevingen van de geïnfecteerde organisaties en deze is gebruikt als startpunt voor het scannen van meer dan 230 miljoen unieke doelen op gevoelige gegevens.
Het is van groot belang dat ontwikkelaars en IT-beheerders ervoor zorgen dat .env-bestanden nooit openbaar toegankelijk zijn. Door best practices te volgen, zoals het correct configureren van servers en het gebruik van environment variabelen, kunnen organisaties het risico dat deze gevoelige informatie in verkeerde handen valt verkleinen.
5. Misbruik van Azure en Google domeinen voor verspreiding malware en desinformatiecampagnes
Recent onderzoek van BleepingComputer heeft aangetoond dat cybercriminelen misbruik maken van legitieme domeinen van Azure en Google om desinformatie te verspreiden en malware te distribueren. Door deze bekende platformen te gebruiken, slagen aanvallers erin om de detectiesystemen van beveiligingssoftware te omzeilen en slachtoffers te overtuigen van de legitimiteit van hun schadelijke inhoud.
#WakeUpWednesday 14 augustus 2024
Tijdens de BlackHat-conferentie van 2024 is er een remote code execution (RCE) aanval op Microsoft 365 Copilot gepresenteerd. De CVE stelt aanvallers in staat om met de behulp van Remote Code Execution (RCE) te zoeken naar gevoelige inhoud (in SharePoint, e-mail, agenda, Teams) en om plug-ins uit te voeren. Data Loss Prevention (DLP)-controles worden hierdoor vaak omzeilt. Hoewel bij de uitvoer van de RCE e-mail als middel wordt gebruikt, zijn de daadwerkelijke aanvalsscenario’s complexer.
Microsoft heeft tijdens haar patch Tuesday patches uitgebracht voor 90 kwetsbaarheden. Daarvan zijn er negen kritieke zero-day exploits, waarvan er zes actief worden uitgebuit. Het gaat om de CVE’s:
- CVE-2024-38178 – Scripting Engine geheugen corruptie kwetsbaarheid
- CVE-2024-38193 – Windows Ancillary Function Driver voor WinSock Elevation of Privilege kwetsbaarheid
- CVE-2024-38213 – Windows Mark of the Web Security Feature Bypass Vulnerability
- CVE-2024-38106 – Windows Kernel Elevation of Privilege Vulnerability
- CVE-2024-38107 – Windows Power Dependency Coordinator Elevation of Privilege-kwetsbaarheid
- CVE-2024-38189 – Microsoft Project Remote Code Execution-kwetsbaarheid
Ook CVE-2024-38063 (CVSS-score 9.8), een Remote Code Execution (RCE) kwetsbaarheid die de Windows TCP/IP-stack treft, met name bij het verwerken van IPv6-verkeer is gepatcht.
SAP heeft in haar Augustus update 17 kwetsbaarheden gepatcht, waaronder een kritieke authenticatie-bypass waarmee externe aanvallers het systeem volledig kunnen compromitteren. Deze kwetsbaarheid, geregistreerd als CVE-2024-41730 heeft een CVSS-score van 9.8. Het betreft een kwetsbaarheid die SAP BusinessObjects Business Intelligence Platform-versies 430 en 440 beïnvloedt en onder bepaalde omstandigheden kan worden misbruikt.
Ivanti’s Virtual Traffic Manager werd eveneens getroffen door een kritieke kwetsbaarheid (CVE-2024-7593 met een CVSS-score van 9.8) die het mogelijk maakte voor onbevoegden om beheerdersrechten te verkrijgen.
Ook in Zabbix, een toonaangevend open-source monitoring tool dat wordt gebruikt voor netwerk- en applicatiemonitoring, zijn meerdere kritieke kwetsbaarheden ontdekt en gepatcht. De eerste kwetsbaarheid is geregistreerd als CVE-2024-22116 met een CVSS-score van 9.9. Deze kwetsbaarheid biedt een administrator met beperkte rechten de mogelijkheid om willekeurige code uit te voeren binnen de sectie ‘Monitoring Hosts’. Daarnaast betreft het een kritieke kwetsbaarheid in de uitvoering van externe code (RCE), geïdentificeerd als CVE-2024-36461 met een CVSS-score van 9.1.
Het Gcore Radar Report voor de eerste helft van 2024 biedt gedetailleerde inzichten in DDoS-aanvalsgegevens, waarbij veranderingen in aanvalspatronen en het bredere landschap van cyberdreigingen worden getoond. Een van de belangrijkste conclusies is dat het aantal DDoS-aanvallen in H1 2024 is met 46% gestegen in vergelijking met dezelfde periode vorig jaar, tot 445K in Q2 2024.
Ten slotte hebben onderzoekers van Tenable kwetsbaarheden ontdekt in de AI-gestuurde Azure Health Bot Service van Microsoft. Deze kwetsbaarheden, specifiek gerelateerd aan privilege-escalatie via een Server-Side Request Forgery (SSRF), zouden kwaadwillenden toegang kunnen geven tot gevoelige gegevens van patiënten door cross-tenant resources te benaderen. De kwetsbaarheden zijn inmiddels gepatcht.
#WakeUpWednesday 7 augustus 2024
Het is weer woensdag en dus is het weer tijd voor de #WakeUpWednesday. Elke woensdag willen wij zoveel mogelijk mensen bewust maken van risico’s op het gebied van cybersecurity. Een samenvatting van de cybersecurity week.
- Kritieke kwetsbaarheid in industriële besturingssystemen van Rockwell
Er is een kritieke kwetsbaarheid ontdekt in de ControlLogix 1756 programmable logic controllers (PLC) van Rockwell Automation. Deze kwetsbaarheid, met code CVE-2024-6242 en een CVSS v3.1 score van 8.4, stelt aanvallers in staat om de security te omzeilen en ongeautoriseerde toegang te krijgen tot industriële besturingssystemen, dit vormt een aanzienlijk risico vormt voor industriële omgevingen waar deze controllers worden ingezet, omdat aanvallers geavanceerde commando’s kunnen uitvoeren, zoals het downloaden van logica of het wijzigen van configuraties. Rockwell Automation heeft firmware-updates uitgebracht voor deze kwetsbaarheid en adviseert gebruikers om hun apparaten bij te werken naar de nieuwste firmwareversies.
- Apache deze week dubbel kwetsbaar
De kwetsbaarheid CVE-2024-36268 in Apache InLong, met een CVSS v3.1 score van 9.8, is een kritieke code-injectie kwetsbaarheid die systemen blootstelt aan remote aanvallen. Deze kwetsbaarheid treft de TubeMQ Client van Apache InLong, een essentieel onderdeel van het framework dat communicatie met het TubeMQ-berichtensysteem faciliteert. Door deze kwetsbaarheid kunnen aanvallers willekeurige code uitvoeren op getroffen systemen. De impact is aanzienlijk, vooral voor sectoren zoals financiën, gezondheidszorg en e-commerce, waar Apache InLong veel wordt gebruikt. Gebruikers wordt sterk aangeraden om hun systemen bij te werken naar versie 1.13.0 van Apache InLong om deze kwetsbaarheid te verhelpen. Voor degenen die niet onmiddellijk kunnen updaten, is er een patch beschikbaar.
Daarnaast is een nieuwe zero-day kwetsbaarheid in Apache OFBiz ERP, aangeduid als CVE-2024-38856, is ontdekt. Deze kwetsbaarheid met een CVSS-score van 9.8 maakt het mogelijk voor aanvallers om op afstand code uit te voeren zonder authenticatie, door misbruik te maken van een fout in het authenticatiemechanisme. Dit kan leiden tot ongeautoriseerde toegang en controle over de getroffen systemen. De impact van deze kwetsbaarheid is aanzienlijk, aangezien Apache OFBiz een veelgebruikte open-source ERP-oplossing is die door veel organisaties wordt ingezet. De betrokken systemen zijn alle versies van Apache OFBiz vóór 18.12.11. Het advies is dan ook om onmiddellijk te updaten naar versie 18.12.11 of hoger.
- Malware verspreid via valse software-updates
Hackers die vermoedelijk gelinkt zijn aan de Chinese groep StormBamboo, hebben een onbekende internetprovider (ISP) gehackt om malware te verspreiden via software-updates. Door de infrastructuur van de ISP binnen te dringen, konden de aanvallers DNS-responses aanpassen en gebruikers omleiden naar kwaadaardige servers in plaats van de legitieme update-servers. Dit gebeurde zelfs wanneer gebruikers openbare DNS-diensten zoals Google of Cloudflare gebruikten. De malware werd verspreid via onveilige update-mechanismen van verschillende applicaties, waaronder 5KPlayer en Quick Heal, die geen gebruik maakten van TLS of cryptografische handtekeningen om de updates te verifiëren.
- Het gevaar van verouderde en vergeten domeinen
Recent onderzoek heeft aangetoond dat meer dan een miljoen domeinen kwetsbaar zijn voor overname door cybercriminelen door middel van de “Sitting Ducks” aanvallen, waarmee kwetsbaarheden in het domeinnaamsysteem (DNS) worden aangeduid die het mogelijk maken voor aanvallers om domeinen over te nemen zonder dat ze toegang nodig hebben tot de accounts van de echte eigenaren bij de DNS-provider of registrar. Deze zwakte ontstaat vaak door verouderde of slecht beheerde DNS-instellingen, waardoor domeinen als “zittende eenden” (makkelijke doelwitten) worden beschouwd. Aanvallers kunnen deze zwakheden uitbuiten om domeinen te kapen en te gebruiken voor kwaadaardige activiteiten zoals phishing, malwareverspreiding en andere cyberaanvallen.
- Blijf op de hoogte van de kwetsbaarheden
Iedere dag worden we weer overspoeld met nieuwe kwetsbaarheden en die CVE-kwetsbaarheden worden steeds sneller misbruikt door cybercriminelen. Ze maken daarbij in veel gevallen gebruik van publiek gemaakte exploit-codes, zoals die op GitHub worden gedeeld. 80% van deze exploits worden zelfs eerder dan de CVE gepubliceerd en 14% nog voor er een patch beschikbaar is. Maar ook tools zoals Shodan en Nmap en Gen AI spelen een cruciale rol in het automatisch detecteren en misbruiken van kwetsbare systemen. Daarom is het ook zo belangrijk om snel op CVE-kwetsbaarheden te reageren met patches, updates of mitigerende maatregelen. Helaas hebben veel organisaties deze . Dus; blijf op de hoogte van de nieuwste én actueel actief misbruikte CVE-kwetsbaarheden.
#WakeUpWednesday 31 juli 2024
Omdat de vakantieperiode nu echt is aangebroken, deze week een speciale editie, met 5 adviezen voor een cyberveilige vakantie, zowel zakelijk als persoonlijk:
- Check ramen en deuren.
De vakantietijd is het moment om tot rust te komen, maar niet voor cybercriminelen. Zij maken juist gebruik van deze periode waarin IT-afdelingen minder bezet zijn. In de vakantiemaanden zien we dan ook een sterke toename van valse inlogpogingen. Zorg er dus voor vertrek voor dat de basismaatregelen, zoals sterke en unieke wachtwoorden en twee-factor-authenticatie, voor de organisatie op orde zijn. Net zoals je even de ramen en deuren checkt voordat je op vakantie gaat. - Let op zakkenrollers.
Het vakantiegeld is weer uitbetaald en we geven in de vakantie makkelijker geld uit. Dat weten cybercriminelen ook. Blijf dus alert, want cybercriminelen zijn opportunistisch en gebruiken juiste deze periode om met gekochte kant en klare phishing campagnes en gelekte emaillijsten hun slag te slaan. Let dus op phishing! Net als de zakkenrollers en oplichters op vakantie. - Wees voorzichtig met ongeopende post.
Je wil er nu nog niet aan denken maar na de vakantie wacht er weer een grote back log van ongelezen e-mails op je te wachten. Veel mensen reserveren de eerste ochtend na de vakantie om daar even snel doorheen te klikken en zijn daardoor minder bedacht op phishing. Neem de tijd en wees alert op verdacht e-mails. - Houd het verzekeringspasje bij de hand.
Mocht het mis gaan is het ook tijdens de vakantie belangrijk om je incident response (IR) plan goed op orde te houden. Vaak zijn bijvoorbeeld de personen met mandaat niet aanwezig of minder goed bereikbaar. Het is daarom belangrijk om goede afspraken te hebben zodat je voorbereid bent op een incident. Én houd het noodnummer van het T-CERT altijd bij de hand! - Blijf op de hoogte van de laatste kwetsbaarheden met WakeUpWednesday,
Elke week een samenvatting van de kwetsbaarheden en cyberdreigingen die nationale of internationale aandacht hebben gekregen. Met deze week:
Acronis heeft een kritisch beveiligingsadvies uitgebracht met betrekking tot een kwetsbaarheid in hun Acronis Cyber Infrastructure (ACI)-product. Deze kwetsbaarheid met code CVE-2023-45249, stelt aanvallers in staat om authenticatie op kwetsbare servers te omzeilen met behulp van standaardreferenties en wordt beoordeeld als kritiek (CVSS-score van 9.8). Beheerders worden geadviseerd om de beschikbare patch toe te passen op alle getroffen apparaten.
Onderzoekers van securitybedrijf Binarly hebben ontdekt dat de Secure Boot-functie op honderden modellen laptops, pc’s, moederborden en andere apparaten van onder andere Acer, Dell, Gigabyte, Intel, Lenovo en Supermicro te omzeilen is. Secure Boot is een beveiligingsmaatregel in de Unified Extensible Firmware Interface (UEFI) die ervoor moet zorgen dat er tijdens het opstarten van het systeem alleen vertrouwde software draait. De kwetsbaarheid, geïdentificeerd als CVE-2023-24932, maakt het mogelijk voor aanvallers om niet-vertrouwde code uit te voeren tijdens het bootproces, zelfs als Secure Boot is ingeschakeld. Gebruikers wordt geadviseerd om te controleren of ze kwetsbare firmware draaien en updates te installeren zodra die beschikbaar zijn.
#WakeUpWednesday 24 juli 2024
Cybercriminelen maken momenteel actief gebruik van de problemen rondom CrowdStrike door zich voor te doen als CrowdStrike. Ze verspreiden valse updates die zogenaamd beveiligingsproblemen oplossen, maar in werkelijkheid malware en gegevensvernietigers installeren. Deze nep-updates richten zich specifiek op bedrijven en kunnen leiden tot ernstige dataverlies en operationele verstoringen.
SolarWinds heeft deze maand meerdere kritieke kwetsbaarheden gepatcht in hun Access Rights Manager (ARM) en andere producten. Deze kwetsbaarheden konden aanvallers in staat stellen ongeautoriseerde toegang te verkrijgen en gevoelige gegevens te compromitteren. Er is een update beschikbaar, het advies is om deze zo snel mogelijk te installeren.
Meerdere kwetsbaarheden zijn ontdekt in de SAP AI Core, een platform dat kunstmatige intelligentie- en machine learning-modellen ondersteunt. Deze kwetsbaarheden kunnen leiden tot ongeautoriseerde toegang en manipulatie van AI-modellen, wat ernstige gevolgen kan hebben voor bedrijven die afhankelijk zijn van AI voor kritieke bedrijfsprocessen. De kwetsbaarheden gelden voor cloudomgevingen zoals Amazon Web Services (AWS), Microsoft Azure en SAP HANA Cloud. Er is een update beschikbaar, installeer deze zo snel mogelijk.
Een kritieke kwetsbaarheid in Cisco’s Secure Email Gateway (SEG) apparaten stelt aanvallers in staat om rootgebruikers toe te voegen, waardoor ze volledige controle over de apparaten krijgen. Deze kwetsbaarheid kan leiden tot ernstige beveiligingsinbreuken, waaronder gegevensdiefstal en verstoring van e-mailcommunicatie. Het advies is om de Cisco SEG apparaten zo snel mogelijk te updaten naar de nieuwste firmwareversies.
Er is een nieuwe variant van de Play ransomware ontdekt die zich richt op Linux-systemen. Deze ransomware versleutelt systemen en maakt het herstelproces aanzienlijk moeilijker. De ransomware verspreidt zich via beveiligingslekken in Linux-omgevingen.
Een nieuwe kwetsbaarheid (CVE-2024-41107) is ontdekt in Apache CloudStack, die gebruikersaccounts kwetsbaar maakt voor aanvallen. Deze kwetsbaarheid kan aanvallers toegang geven tot gevoelige informatie en controle over gebruikersaccounts. Er is een update beschikbaar, installeer deze zo snel mogelijk.
Recent is er een zero-day exploit genaamd EvilVideo ontdekt. Deze exploit misbruikt een kwetsbaarheid in Telegram voor Android waardoor kwaadwillenden in staat zijn om schadelijke bestanden te versturen die eruitzien als videobestanden via Telegram-kanalen, -groepen en -chats. Telegram heeft de kwetsbaarheid gepatcht in versie 10.14.5.
Tot slot is er een ernstige kwetsbaarheid in Bazaar v1.4.3 ontdekt. Deze maakt gebruikersaccounts kwetsbaar voor aanvallen, wat ernstige beveiligingsrisico’s met zich meebrengt voor bedrijven die deze versie gebruiken. Er is inmiddels een Proof of Concept (PoC) ontwikkeld om de exploiteerbaarheid van CVE-2024-40348 aan te tonen. Het advies is om de beschikbare patch zo snel mogelijk te installeren.
#WakeUpWednesday 17 juli 2024
Recent onderzoek toont aan dat kwaadwillenden binnen slechts 22 minuten na de publicatie van proof-of-concept (PoC) exploits deze al in aanvallen gebruiken. Dit benadrukt de noodzaak voor organisaties om snel te reageren op nieuwe kwetsbaarheden en patches onmiddellijk toe te passen. Cloudflare’s Application Security rapport voor 2024 benadrukt verder dat zero-day exploits en CVE-exploitaties toenemen, met een aanzienlijke stijging in het aantal gemelde kwetsbaarheden.
Meer dan 1,5 miljoen Exim mailservers zijn kwetsbaar voor een kritieke kwetsbaarheid die het mogelijk maakt voor kwaadwillenden om beveiligingsfilters te omzeilen en schadelijke uitvoerbare bestanden naar gebruikersaccounts te sturen. Deze kwetsbaarheid, aangeduid als CVE-2024-39929 met een CVSS-score van 9,1 treft alle Exim-versies tot en met 4.97.1. Het is essentieel dat systeembeheerders hun Exim-installaties zo snel mogelijk bijwerken om deze dreiging te mitigeren.
Een golf van gecoördineerde DNS-hijacking aanvallen richt zich op gedecentraliseerde financiële (DeFi) cryptodomeinen die zijn geregistreerd bij Squarespace. Kwaadwillenden kapen DNS-instellingen om verkeer om te leiden naar malafide websites, waar ze gebruikersinformatie en cryptocurrency kunnen stelen. Het incident wordt deels toegeschreven aan de recente migratie van domeinen van Google naar Squarespace, waarbij tweefactorauthenticatie (2FA) werd verwijderd, wat de kwetsbaarheid vergrootte.
De nieuwste versie van HardBit Ransomware, versie 4.0, maakt gebruik van passphrase-bescherming om detectie te ontwijken en maakt gebruik van geavanceerde technieken om onopgemerkt te blijven. Deze ransomware is ontworpen om Microsoft Defender Antivirus uit te schakelen en processen en services te beëindigen om detectie te voorkomen. Daarnaast heeft deze ransomware de mogelijkheid om backups te wissen en systeemherstelopties uit te schakelen. Het versleutelt vervolgens bestanden en verandert systeeminstellingen om de aanval te verbergen.
Een ernstige kwetsbaarheid is ontdekt in de Cellopoint Secure Email Gateway. Deze kwetsbaarheid is aangeduid als CVE-2024-6744 met een CVSS-score van 9.8. De kwetsbaarheid veroorzaakt een stack-based buffer overflow. Deze kan door kwaadwillenden worden misbruikt om kwaadaardige code uit te voeren en controle over het systeem te krijgen. Het is essentieel dat organisaties de beschikbare patch onmiddellijk toepassen om deze kwetsbaarheid te mitigeren.
#WakeUpWednesday 10 juli 2024
Er zijn nieuwe versies uitgebracht van de GootLoader-malware, onderdeel van de Gootkit banking trojan, die geavanceerdere aanvallen mogelijk maakt. De malware wordt gekoppeld aan een dreigingsactor genaamd Hive0127 (ook bekend als UNC2565) en maakt misbruik van JavaScript om post-exploitatie tools te downloaden. Het wordt verspreid via zoekmachine optimalisatie (SEO) poisoning en dient als een methode voor het leveren van verschillende payloads zoals Cobalt Strike, Gootkit, IcedID, Kronos, REvil en SystemBC. Recentelijk hebben de kwaadwillenden achter GootLoader ook hun eigen command-and-control (C2) en laterale bewegingstool uitgebracht, genaamd GootBot.
Verder is de reikwijdte van de supply chain aanval op de veelgebruikte Polyfill[.]io JavaScript-bibliotheek groter dan eerder gedacht. Nieuwe bevindingen van Censys tonen aan dat meer dan 380.000 hosts een polyfill-script insluiten dat linkt naar het kwaadaardige domein. Dit omvat verwijzingen naar “13” in hun HTTP-responses. De aanval is opmerkelijk omdat deze specifieke bezoekers op tijdspecifieke momenten omleidt naar volwassen- en gokthema-websites. De kwaadaardige gedragingen werden geïntroduceerd nadat het domein en de bijbehorende GitHub-repository in februari 2024 werden verkocht aan een Chinees bedrijf genaamd Funnull. Dit leidde ertoe dat Namecheap het domein opschortte. Cloudflare en Google hebben stappen genomen om de aanval te mitigeren door Polyfill-links te vervangen door veilige alternatieven en advertenties voor sites die het kwaadaardige domein gebruikten te blokkeren.
Daarnaast is er een nieuwe kwetsbaarheid ontdekt, CVE-2024-36991, een path traversal (een beveiligingslek waarbij een aanvaller toegang krijgt tot bestanden op een server buiten de bedoelde mappen) die Splunk Enterprise op Windows-versies onder 9.2.2, 9.1.5 en 9.0.10 beïnvloedt. Een proof-of-concept (POC) exploit is beschikbaar op GitHub, die probeert het /etc/passwd-bestand van Splunk te lezen. De kwetsbaarheid is gericht op instances waarbij Splunk Web is ingeschakeld.
Voor CVE-2024-27867, een kwetsbaarheid in Apple AirPods waarmee een kwaadwillende op ongeautoriseerde wijze toegang kan krijgen tot de hoofdtelefoon, is een firmware-update beschikbaar. Omdat deze kwetsbaarheid momenteel actief wordt uitgebuit, is het essentieel om deze update te installeren. Het authenticatieprobleem komt voor bij: AirPods (2e generatie en later), AirPods Pro (alle modellen), AirPods Max, Powerbeats Pro en Beats Fit Pro.
Tot slot is er een toename van cyberaanvallen waargenomen rondom de sportevenementen deze zomer, waaronder Het Europees Kampioenschap voetbal 2024 en de Olympische Spelen. Cybercriminelen verkopen inloggegevens die verband houden met het toernooi op ondergrondse markten en geopolitieke spanningen spelen een rol in denial-of-service aanvallen.
#WakeUpWednesday 3 juli 2024
Er is een kwetsbaarheid ontdekt in de MoveIT software. Deze kwetsbaarheid is geregistreerd als CVE-2024-5806 met een initiële CVSS-score 7.4. Na de release van de Watchtowr-blog en de bijbehorende proof of concept heeft Progress de score echter bijgewerkt naar 9.1. Deze kritieke kwetsbaarheid maakt het mogelijk voor aanvallers om systemen te compromitteren. Het wordt alle MOVEit Transfer-klanten met versies 2023.0, 2023.1 en 2024.0 ten zeerste aangeraden om zo snel mogelijk te upgraden naar de nieuwste gepatchte versie.
Juniper Networks heeft ook een urgente patch uitgebracht voor een ernstige authenticatie-omzeilingskwetsbaarheid. Deze kwetsbaarheid (CVE-2024-2973, met een maximale CVSS-score van 10.0), zou aanvallers in staat kunnen stellen om toegang te krijgen tot netwerkapparaten zonder de juiste inloggegevens. Ook in dit geval is het aanbevolen om de patch zo snel mogelijk te installeren.
Adobe heeft recent een beveiligingsadvies gepubliceerd met betrekking tot 10 kwetsbaarheden die gevolgen hebben voor Adobe Commerce, Magento Open Source en Adobe Commerce Webhooks Plugin. Van deze tien kwetsbaarheden kunnen er zes leiden tot uitvoering van willekeurige code. Deze zes kwetsbaarheden zijn geregistreerd als CVE-2024-34111, CVE-2024-34102, CVE-2024-34108, CVE-2024-34109, CVE-2024-34110 en CVE-2024-34105. Voor CVE-2024-34102 is inmiddels een POC beschikbaar. Deze kwetsbaarheid maakt gebruik van nested deserialization, waardoor aanvallers via XML External Entity (XXE) injecties willekeurige code kunnen uitvoeren. Dit kan leiden tot het exfiltreren van gevoelige gegevens zoals cryptografische sleutels. Gebruikers wordt sterk aangeraden om hun Magento-installaties te updaten naar de nieuwste versie en noodpatches toe te passen om deze kwetsbaarheid te mitigeren.
Een andere kwetsbaarheid waar momenteel een POC voor beschikbaar is, is CVE-2024-6387. Deze kwetsbaarheid, ook wel bekend als “regreSSHion”, is een niet-geauthenticeerde remote code execution (RCE) kwetsbaarheid in OpenSSH’s server (sshd) op glibc-gebaseerde Linux-systemen. Deze kwetsbaarheid, ontdekt door Qualys, geeft volledige roottoegang zonder gebruikersinteractie en werd opnieuw geïntroduceerd in OpenSSH versie 8.5p1. Deze kwetsbaarheid is een herintroductie van een eerder opgeloste kwetsbaarheid (CVE-2006-5051) en benadrukt het belang van grondige regressietesten.
Verder is er een ernstige kwetsbaarheid ontdekt in iTerm2 versies 3.5.x vóór 3.5.2. Deze kwetsbaarheid, geregistreerd als CVE-2024-38396, maakt het mogelijk dat aanvallers willekeurige code injecteren via onjuiste filtering van escape-sequenties. Dit is vooral gevaarlijk met ingeschakelde tmux-integratie. Gebruikers wordt dringend geadviseerd om iTerm2 te updaten naar versie 3.5.2 of later om deze kwetsbaarheid te verhelpen
GitLab heeft ook een patch uitgebracht voor een kritieke CI/CD kwetsbaarheid die het mogelijk maakt voor aanvallers om willekeurige code uit te voeren. Gezien de populariteit van GitLab in DevOps, kan deze kwetsbaarheid verstrekkende gevolgen hebben als deze niet wordt aangepakt.
We sluiten deze #WakeUp Wednesday af met een recent rapport waarin wordt onthuld dat neppe IT-ondersteuningssites kwaadaardige PowerShell-scripts promoten als oplossingen voor Windows-fouten. Deze scripts zijn in werkelijkheid ontworpen om informatie stelende malware te verspreiden. De sites richten zich vooral op de Windows-fout 0x80070643, een probleem dat veel gebruikers ervaren sinds januari. De neppe ondersteuningssites worden gepromoot via gehackte YouTube-kanalen om de schijn van legitimiteit te wekken. Gebruikers die online zoeken naar een oplossing voor hun Windows-problemen, lopen het risico om door deze sites misleid te worden.
#WakeUpWednesday 26 juni 2024
Recent hebben onderzoekers verschillende beveiligingsrisico’s geïdentificeerd die de aandacht vereisen van cybersecurityprofessionals.
Er wordt gewaarschuwd voor een nieuwe builder van de ‘Nevermore‘ ransomware. Aandacht is geboden omdat er gebruik gemaakt wordt van geavanceerde technieken om detectie te vermijden en er zijn al meerdere databases gecompromitteerd. Daarnaast is Nevermore ontwikkeld om custom-ransomware te maken en wordt ook op deze manier aangeboden aan andere cybercriminelen.
Een nieuwe techniek voor command execution, genaamd ‘GrimResource‘, gebruikt speciaal vervaardigde MSC (Microsoft Saved Console) en een ongepatchte Windows XSS-kwetsbaarheid om code uit te voeren via de Microsoft Management Console. Kwaadwillenden zijn overgestapt op een nieuw bestandstype, Windows MSC (.msc)-bestanden, die worden gebruikt in de Microsoft Management Console (MMC) om verschillende aspecten van het besturingssysteem te beheren of aangepaste weergaven te maken van veelgebruikte tools. Over het algemeen wordt systeembeheerders geadviseerd op het volgende te letten:
- Bestandsbewerkingen met apds.dll die worden aangeroepen door mmc.exe.
- Verdachte uitvoeringen via MCC, met name processen die worden gestart door mmc.exe met .msc-bestandsargumenten.
- RWX-geheugentoewijzingen door mmc.exe die afkomstig zijn van scriptengines of .NET-componenten.
- Ongebruikelijke .NET COM-objectcreatie binnen niet-standaard scriptinterpreters zoals JScript of VBScript.
- Tijdelijke HTML-bestanden die worden gemaakt in de INetCache-map als gevolg van APDS XSS-omleiding.
Elastic Security heeft een volledige lijst met GrimResource-indicatoren op GitHub gepubliceerd en YARA-regels in het rapport verstrekt om verdachte MSC-bestanden te kunnen detecteren.
Verder is er een kwetsbaarheid in SolarWinds Serv-U software ontdekt, waarbij een directory traversal bug aanvallers in staat stelt om gevoelige bestanden op de hostmachine te lezen. Deze kwetsbaarheid, geïdentificeerd als CVE-2024-28995 met een CVSS-score 8.6, is actief uitgebuit door kwaadwillenden en benadrukt de noodzaak voor snelle patching door gebruikers van de getroffen software.
Daarnaast hebben onderzoekers een UEFI-kwetsbaarheid (CVE-2024-0762, CVSS-score 7.5) onthuld die verschillende generaties Intel CPU’s beïnvloedt, van de 14e generatie Raptor Lake tot de 6e generatie Skylake. Deze kwetsbaarheid maakt het mogelijk voor aanvallers om willekeurige code uit te voeren en volledige systeemtoegang te verkrijgen, wat kan leiden tot ernstige en blijvende gevolgen voor de getroffen systemen.
Tot slot is er een nieuwe Rust-gebaseerde malware genaamd Fickle Stealer, die gevoelige informatie steelt van gecompromitteerde hosts. Deze malware wordt verspreid via verschillende aanvalsketens en maakt gebruik van een PowerShell-script om User Account Control (UAC) te omzeilen. Fickle Stealer benadrukt de noodzaak voor voortdurende waakzaamheid en proactieve beveiligingsmaatregelen om apparaten tegen dergelijke bedreigingen te beschermen.
Om het risico op een cyberincident te verkleinen is het belangrijk om er onder andere voor systemen van de meest recente updates worden voorzien, er duidelijke protocollen zijn voor bijvoorbeeld informatiebeveiliging en gebruikers worden getraind in het herkennen van verdachte activiteiten.
#WakeUpWednesday 19 juni 2024
Broadcom heeft updates vrijgegeven voor drie kwetsbaarheden in VMware vCenter. Twee kwetsbaarheden (CVE-2024-37079 en CVE-2024-37080, CVSS-score 9,8) zijn aangemerkt als kritiek en maken het uitvoeren van externe code (RCE) mogelijk. Beide zijn heap-overflow-kwetsbaarheden in vCenter’s implementatie van DCERPC (Distributed Computing Environment/Remote Procedure Call) die wordt gebruikt voor het aanroepen van een functie op een externe machine alsof het een lokale machine is.
Deze week is een nieuwe phishingcampagne ontdekt die het Windows Zoekprotocol misbruikt om kwaadaardige scripts te leveren. Aanvallers gebruiken HTML-bijlagen die het ‘search-ms’ URI manipuleren om batch-bestanden uit te voeren. De e-mails bevatten vaak een factuurdocument in een ZIP-archief, wat helpt om detectie door antivirusprogramma’s te omzeilen. Zodra de gebruiker de HTML opent, wordt hij automatisch doorgestuurd naar een kwaadaardige URL of naar een klikbare link als het automatisch doorsturen mislukt.
Een geraffineerde malwarecampagne maakt gebruik van legitieme maar gecompromitteerde websites om een Windows-backdoor genaamd BadSpace te leveren. De aanvalsketen omvat een geïnfecteerde website, een command-and-control server en soms een nep-browserupdate. Als het de eerste keer is dat een gebruiker de gecompromitteerde site bezoekt, verzamelt de site informatie over het apparaat, IP-adres en locatie, en stuurt deze door naar een vooraf bepaald domein.
Advies
Monitoring van netwerkactiviteiten en systemen is cruciaal. Het is van groot belang dat organisaties hun beveiligingssystemen voortdurend bijwerken en controleren om ongeautoriseerde toegangspogingen snel te detecteren en te adresseren.
#WakeUpWednesday 12 juni 2024
Recentelijk is een nieuwe phishing-kit, genaamd ‘V3B’, opgedoken die klanten van 54 grote Europese banken als doelwit heeft. Deze kit wordt gepromoot op Telegram en maakt gebruik van geavanceerde technieken om detectie door anti-phishingtools en zoekmachines te vermijden. Het ondersteunt meertalige phishingpagina’s en stelt de kwaadwillenden bovendien in staat om in real-time met slachtoffers te communiceren via een chatfunctie.
Een andere ontwikkeling is de ‘Commando Cat’-cryptojacking-aanvalscampagne, die misbruik maakt van blootgestelde Docker Remote API-servers om cryptocurrency miners te implementeren. Deze aanvalscampagne gebruikt Docker-images van het open-source Commando-project en maakt gebruik van chroot om uit de container te breken en toegang te krijgen tot het hostsysteem. Dit benadrukt het belang van het beveiligen van containerconfiguraties en API’s.
Het Muhstik botnet, bekend om zijn DDoS-aanvallen, exploiteert een recent gepatchte beveiligingskwetsbaarheid in Apache RocketMQ. Deze botnet, die zich met name richt op IoT-apparaten en Linux-servers, kan kwetsbare servers overnemen en zo zijn bereik uitbreiden. Het is cruciaal dat organisaties hun systemen updaten naar de nieuwste versies om deze bedreigingen te mitigeren.
PHP voor Windows heeft onlangs een kritieke RCE-kwetsbaarheid gepatcht die alle versies sinds 5.x beïnvloedt. Deze kwetsbaarheid werd veroorzaakt door een fout in de afhandeling van karaktercoderingsconversies en kon worden uitgebuit als PHP in CGI-modus werd gebruikt of als de PHP-executables toegankelijk waren voor de webserver. Meer info over deze kwetsbaarheid vind je in onze blog.
Verder zijn er kwaadaardige VSCode-extensies ontdekt met miljoenen installaties. Deze extensies kunnen gevoelige data verzamelen zonder gedetecteerd te worden door standaard endpoint detection and response (EDR) tools. Het is essentieel dat ontwikkelaars hun extensies controleren op mogelijke bedreigingen en alleen vertrouwde bronnen gebruiken voor hun ontwikkeltools.
Een proof-of-concept (PoC)-exploit voor een Veeam Backup Enterprise Manager authenticatie-bypass-fout (CVE-2024-29849), is nu openbaar beschikbaar. Er is een update beschikbaar. Daarnaast zijn er mitigerende maatregelen gepubliceerd.
Tot slot heeft Zyxel een noodupdate uitgebracht voor kritieke kwetsbaarheden in oudere NAS-apparaten die het einde van hun levensduur hebben bereikt. Deze patch adresseert drie kritieke kwetsbaarheden die kunnen leiden tot remote code execution (RCE).
#WakeUpWednesday 5 juni 2024
Vervalste browserupdates worden momenteel gebruikt om malware te verspreiden, zoals BitRAT en Lumma Stealer infostealers. De aanvalsketen begint wanneer potentiële doelwitten een malafide website bezoeken die JavaScript-code bevat. Deze code is ontworpen om gebruikers om te leiden naar een nep-browserupdatepagina. Deze pagina bevat een zip-file die wordt gehost op Discord. Deze file wordt automatisch gedownload naar het apparaat van het slachtoffer.
Een recente analyse van Bitdefender heeft de afgelopen zes maanden meer dan 50.000 gevaarlijke links blootgelegd die malware, phishing-campagnes en spam verspreiden. Bij deze aanvallen wordt vaak gebruik gemaakt van Discord als aanvalsvector.
AI-startup Hugging Face, heeft recent een inbreuk op de beveiliging heeft gemeld waarbij onbevoegde toegang tot hun Spaces-platform werd gedetecteerd. Hugging Face zegt dat ze de authenticatietokens in de gecompromitteerde data al hebben ingetrokken en degenen die per e-mail zijn getroffen, op de hoogte hebben gesteld. Alle Hugging Face Spaces-gebruikers wordt geadviseerd hun tokens te vernieuwen en over te stappen op fijnmazige toegangstokens, waardoor organisaties meer controle krijgen over wie toegang heeft tot hun AI-modellen.
Verder maakt de RedTail cryptomining actief misbruik van kwetsbaarheden in Palo Alto Networks firewalls. De toevoeging van de PAN-OS-kwetsbaarheid aan de toolkit is aangevuld met updates voor de malware, die nu nieuwe anti-analysetechnieken bevat, volgens bevindingen van Akamai.
De Cybersecurity & Infrastructure Security Agency (CISA) heeft twee kritieke kwetsbaarheden toegevoegd aan de Known Exploited Vulnerabilities (KEV)-catalogus, waaronder een fout in het misbruiken van Linux-kernelrechten. Deze eerste kwetsbaarheid, CVE-2024-1086, werd voor het eerst bekend in januari 2024 als een use-after-free-probleem in de netfilter: nf_tables-component. De tweede kritieke kwetsbaarheid betreft CVE-2024-24919, een kwetsbaarheid voor het vrijgeven van informatie die gevolgen heeft voor VPN-apparaten van Check Point.
Snowflake geeft samen met securitybedrijven CrowdStrike en Mandiant een verklaring af met betrekking tot het onderzoek naar een gerichte campagne tegen enkele Snowflake-klantaccounts. Voor gebruikers van het platform is het belangrijk om op alle accounts multifactorauthenticatie af te dwingen en netwerkbeleidsregels in te stellen zodat alleen geautoriseerde gebruikers of verkeer vanaf geautoriseerde locaties wordt toegestaan. Daarnaast is het verstandig om inloggegevens opnieuw in te stellen en periodiek te wisselen.
#WakeUpWednesday 29 mei 2024
Verschillende nieuwe dreigingen op het vlak van cybersecurity benadrukken de noodzaak voor security professionals om alert te blijven. Een kritieke kwetsbaarheid in het Replicate AI-platform maakte het mogelijk voor kwaadwillenden om ongeautoriseerde toegang tot de AI-prompts en resultaten van alle platformklanten van Replicate te krijgen. Dat kan resulteren in het uitvoeren van kwaadaardige AI-modellen. Tevens kunnen kwaadwillenden toegang krijgen tot klantgegevens, zo blijkt uit onderzoek van cloudbeveiligingsbedrijf Wiz.
Beveiligingsonderzoekers van Horizon3 hebben een proof-of-concept (PoC)-exploit vrijgegeven voor een kritieke kwetsbaarheid in de Security Information and Event Management (SIEM)-oplossing van Fortinet, die in februari werd gepatcht. Deze kwetsbaarheid, CVE-2024-23108, is een kwetsbaarheid voor opdrachtinjectie die het uitvoeren van opdrachten op afstand als root mogelijk maakt zonder dat authenticatie vereist is.
Ivanti heeft kritieke remote code execution kwetsbaarheden gepatcht in hun Endpoint Manager, waarbij SQL-injectie kwetsbaarheden een ongeauthenticeerde aanvaller binnen hetzelfde netwerk toelieten om code uit te voeren. Het gaat daarbij om CVE-2024-29822 tot en met CVE-2024-29827 (CVSS-scores: 9,6).
Kwaadwillenden gebruiken code van een Python-kloon van Microsofts Minesweeper-spel om kwaadaardige scripts te verbergen bij aanvallen op Europese en Amerikaanse financiële organisaties. De legitieme code wordt gebruikt om Python-scripts te verbergen die de SuperOps RMM downloaden en installeren. Superops RMM is legitieme software voor beheer op afstand die de kwaadwillenden directe toegang geeft tot de gecompromitteerde systemen.
ShrinkLocker, een nieuwe ransomware, creëert een nieuwe opstartpartitie om bedrijfssystemen te versleutelen met behulp van Windows BitLocker. ShrinkLocker, zo genoemd omdat het het opstartvolume creëert door beschikbare niet-opstartpartities te verkleinen, is gebruikt om een overheidsinstantie en bedrijven in de vaccin- en productiesector aan te vallen.
Cybersecurity-onderzoekers van Elastic Security Labs hebben een nieuwe cryptojacking-campagne ontdekt die gebruik maakt van kwetsbare stuurprogramma’s om bekende beveiligingsoplossingen (EDR’s) uit te schakelen en detectie te dwarsbomen bij een zogenoemde Bring Your Own Vulnerable Driver (BYOVD)-aanval. De primaire payload, genaamd GHOSTENGINE, maakt gebruik van kwetsbare drivers om EDRs uit te schakelen in cryptojacking-aanvallen.
Ten slotte is er een infostealer malware, Gipy, die zich voordoet als een AI stemgenerator app, wat gebruikers misleidt om kwaadaardige bestanden te downloaden. Uit onderzoek van Kaspersky blijkt dat Gipy-malware, eenmaal afgeleverd, tegenstanders in staat stelt gegevens te stelen, cryptocurrency te minen en extra malware op het systeem van het slachtoffer te installeren.
#WakeUpWednesday 22 mei 2024
In deze WakeUp Wednesday aandacht voor een kritieke kwetsbaarheid in Fluent Bit, bekend als CVE-2024-4323 en als ‘Linguistic Lumberjack’. Deze kwetsbaarheid heeft consequenties voor alle grote cloudproviders. Het uitbuiten van de kwetsbaarheid kan leiden tot denial-of-service (DoS) en mogelijk remote code execution (RCE) aanvallen. Het is van cruciaal belang dat systemen worden bijgewerkt naar Fluent Bit versie 3.0.4, waarin deze kwetsbaarheid is opgelost.
Daarnaast is er een nieuwe variant van de BiBi Wiper malware ontdekt die de schijfpartitietabel vernietigt. Hierdoor wordt gegevensherstel moeilijker en neemt de downtime voor getroffen slachtoffers toe.
Verder is er een kritieke kwetsbaarheid ontdekt in het llama_cpp_python Python-pakket dat door kwaadwillenden kan worden uitgebuit om willekeurige code-uitvoering te bewerkstelligen. De fout, bekend als CVE-2024-34359 (CVSS-score: 9.7), heeft de codenaam Llama Drama gekregen van softwareleverancier Checkmarx. llama_cpp_python, is een populair pakket met tot nu toe meer dan 3 miljoen downloads, waarmee ontwikkelaars AI-modellen met Python kunnen integreren.
Ten slotte is er een gecoördineerde campagne waargenomen waarbij legitieme diensten zoals GitHub en FileZilla worden gebruikt om een reeks malware en banking trojans te leveren, zoals Atomic, Vidar, Lumma en Octo.
#WakeUpWednesday 15 mei 2024
Kritieke kwetsbaarheden in mobiele modems van Telit Cinterion kunnen kwaadwillenden op afstand in staat stellen willekeurige code uit te voeren via sms, zo blijkt uit onderzoek van Kaspersky. Deze kwetsbaarheden omvatten kritieke fouten die het uitvoeren van code op afstand en ongeoorloofde escalatie van bevoegdheden mogelijk maken. Dit brengt risico’s met zich mee voor integrale communicatienetwerken en IoT-apparaten. De kwetsbaarheden zijn geregistreerd als CVE-nummers CVE-2023-47610 tot en met CVE-2023-47616, waarbij CVE-2023-27610 een CVSS-score heeft van 9,8. Organisaties die deze modems gebruiken wordt geadviseerd om aan de telecomprovider te vragen om het versturen van sms-berichten naar het apparaat uit te schakelen.
Afgelopen donderdag heeft Google beveiligingsupdates uitgebracht om een zero-day-fout in Chrome te verhelpen die actief werd misbruikt. De kritieke kwetsbaarheid, geregistreerd als CVE-2024-4671, is beschreven als een geval van use-after-free in de Visuals-component. Use-after-free bugs, die ontstaan wanneer een programma verwijst naar een geheugenlocatie nadat de toewijzing ervan is opgeheven, kunnen verschillende gevolgen hebben, variërend van een crash tot het uitvoeren van willekeurige code.
Onderzoekers van de Leviathan Security Group hebben een Virtual Private Network (VPN)-bypasstechniek beschreven, genaamd TunnelVision. Op die manier kunnen kwaadwillenden het niet-versleutelde netwerkverkeer van het slachtoffer afluisteren door gewoon op hetzelfde lokale netwerk te zijn, terwijl het voor de gebruiker lijkt alsof er gebruik wordt gemaakt van een veilige vpn-verbinding. De “decloaking”-methode heeft CVE-nummer CVE-2024-3661 gekregen (CVSS-score: 7,6). Deze bypass-techniek is van invloed op alle besturingssystemen die een DHCP-client implementeren en biedt ondersteuning voor DHCP-optie 121-routes. In de kern omvat TunnelVision het routeren van verkeer zonder encryptie via een VPN door middel van een door de aanvaller geconfigureerde DHCP-server die gebruik maakt van de klasseloze statische routeoptie 121 om een route in te stellen in de routeringstabel van de VPN-gebruiker. Het komt ook voort uit het feit dat het DHCP-protocol dergelijke optieberichten niet authentiseert, waardoor ze aan manipulatie worden blootgesteld.
#WakeUpWednesday 8 mei 2024
Uit onderzoek van Symantec blijkt dat kwaadwillenden steeds meer gebruik maken van Microsoft Graph API om op die manier detectie te omzeilen. Dit wordt volgens de onderzoekers gedaan om de communicatie te vergemakkelijken met de command-and-control (C&C)-infrastructuur die wordt gehost op Microsoft-cloudservices. De populariteit van de Graph API kan worden veroorzaakt door de overtuiging dat verkeer naar bekende entiteiten, zoals veelgebruikte clouddiensten, minder snel argwaan wekt. Daarnaast is het ook een goedkope en veilige bron van infrastructuur voor kwaadwillenden, omdat basisaccounts voor diensten als OneDrive gratis zijn.
De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft een kritieke kwetsbaarheid voor GitLab toegevoegd aan de Known Exploited Vulnerabilities (KEV)-catalogus, vanwege actieve uitbuiting in het wild. De kwetsbaarheid, CVE-2023-7028 (CVSS-score: 10.0), kan kwaadwillenden in staat stellen accounts over te nemen door e-mails voor het opnieuw instellen van het wachtwoord naar een niet-geverifieerd e-mailadres te sturen. GitLab, dat eerder in januari details over de tekortkoming bekendmaakte, zei dat het werd geïntroduceerd als onderdeel van een codewijziging in versie 16.1.0 op 1 mei 2023. De kwetsbaarheid is verholpen in GitLab-versies 16.5.6, 16.6.4 en 16.7.2, waarbij de patches ook bruikbaar zijn op versies 16.1.6, 16.2.9, 16.3.7 en 16.4.5.
HPE Aruba Networking heeft zijn beveiligingsadvies van april 2024 uitgebracht, waarin kritieke kwetsbaarheden voor het uitvoeren van externe code (RCE) worden beschreven. Deze zijn van invloed op meerdere versies van ArubaOS, het eigen netwerkbesturingssysteem. Het advies somt tien kwetsbaarheden op, waarvan er vier niet-geverifieerde bufferoverflow-problemen zijn die kunnen leiden tot uitvoering van externe code (RCE). Deze kwetsbaarheden zijn kritiek, met een CVSS-score van 9.8. De vier kritieke kwetsbaarheden hebben CVE-nummers: CVE-2024-26305, CVE-2024-26304, CVE-2024-33511 en CVE-2024-33512.
De kwetsbaarheden hebben impact op: Mobility Conductor (voorheen Mobility Master), Mobility Controllers en WLAN Gateways en SD-WAN Gateways beheerd door Aruba Central en zijn aanwezig in de volgende softwareversies:
- ArubaOS 10.5.1.0 en lager
- ArubaOS 10.4.1.0 en lager
- ArubaOS 8.11.2.1 en lager, en
- ArubaOS 8.10.0.10 en lager
De kwetsbaarheden hebben ook invloed op de ArubaOS- en SD-WAN-softwareversies die het einde van de onderhoudsstatus hebben bereikt (EoL zijn):
- ArubaOS 10.3.x.x
- ArubaOS 8.9.x.x
- ArubaOS 8.8.x.x
- ArubaOS 8.7.x.x
- ArubaOS 8.6.x.x
- ArubaOS 6.5.4.x
- SD-WAN 8.7.0.0-2.3.0.x, en
- SD-WAN 8.6.0.4-2.2.x.x
#WakeUpWednesday 1 mei 2024
Volgens een rapport van The Shadowserver Foundation zijn er in Nederland nog steeds systemen kwetsbaar voor de kritieke kwetsbaarheid in CrushFTP. Door de kwetsbaarheid uit te buiten kunnen kwaadwillenden de authenticatie voor admin-accounts omzeilen en de mogelijkheid krijgen tot volledige remote code execution. Er is een patch beschikbaar, het advies is om deze zo snel mogelijk te installeren.
Rhino Security Labs heeft een kritieke kwetsbaarheid ontdekt in Progress Flowmon, een tool dat wordt gebruik voor netwerkbewaking en -analyse. Deze kwetsbaarheid, CVE-2024-2389 heeft een CVSS-score van 10. Uitbuiting van deze kwetsbaarheid maakt het voor kwaadwillenden mogelijk om op afstand ongeautoriseerde commando’s uit te voeren via een speciaal vervaardigde API-aanvraag. Zo kunnen zij zich toegang verschaffen tot de Flowmon webinterface om daar vervolgens willekeurige systeemcommando’s uit te voeren.
Verder een waarschuwing voor twee zero-day kwetsbaarheden in Cisco Adaptive Security Appliance (ASA) en Firepower Threat Defence (FTD) firewalls die actief worden uitgebuit. De kwetsbaarheden zijn geidentificeerd als CVE-2024-20353 (denial of service) en CVE-2024-20359 (persistent local code execution). Er is een patch beschikbaar, het advies is om deze zo snel mogelijk te installeren.
Okta waarschuwt voor een piek in zowel de omvang als de frequentie van credential stuffing-aanvallen die zijn gericht op haar oplossingen voor identiteits- en toegangsbeheer. Een aantal klantaccounts zijn bij de aanvallen gebreached. Kwaadwillenden gebruiken credential stuffing om gebruikersaccounts te compromitteren door op een geautomatiseerde manier lijsten met gebruikersnamen en wachtwoorden uit te proberen die doorgaans van cybercriminelen zijn gekocht.
In het onderzoek van Pierre Barre, een zelfstandig security expert, zijn 18 kwetsbaarheden gepubliceerd voor de Brocade SANnav storage area network (SAN) management applicatie. De kwetsbaarheden hebben impact op alle versies tot en met 2.3.0. De problemen variëren van onjuiste firewallregels, onveilige root-toegang en verkeerde Docker-configuraties tot een gebrek aan authenticatie en encryptie, waardoor een kwaadwillende inloggegevens kan onderscheppen, willekeurige bestanden kan overschrijven en zich volledige toegang tot het apparaat kan verschaffen. Hewlett Packard Enterprise heeft vanaf 18 april 2024 ook patches verzonden voor een subset van deze kwetsbaarheden in HPE SANnav Management Portal versies 2.3.0a en 2.3.1.
#WakeUpWednesday 24 april 2024
CrushFTP waarschuwt gebruikers voor een kritieke kwetsbaarheid die momenteel actief wordt uitgebuit door kwaadwillenden. Door de kwetsbaarheid te misbruiken kan een niet-geauthenticeerde aanvaller zich buiten het virtual file system (VFS) bewegen en systeembestanden downloaden. Systemen waar gebruik wordt gemaakt van een DMZ-perimeternetwerk voor hun CrushFTP instance zijn op dit moment niet kwetsbaar. Er zijn patches beschikbaar.
Verder heeft Palo Alto een update gepubliceerd met betrekking tot de kwetsbaarheid in Palo Alto PAN-OS. De kwetsbaarheid is een combinatie van twee fouten in de versies PAN-OS 10.2, PAN-OS 11.0 en PAN-OS 11.1 van de software. De eerste is het niet voldoende valideren van het sessie-ID-formaat voordat deze werd opgeslagen door de GlobalProtect-service. Hierdoor kon een kwaadwillende een leeg bestand opslaan met een door de kwaadwillende gekozen bestandsnaam. Bij de tweede werd erop vertrouw dat de bestanden door het systeem werden gegenereerd waarna deze bestandsnamen als deel van een opdracht werden gebruikt.
Een kwetsbaarheid in GitHub wordt door kwaadwillenden misbruik om malware te verspreiden. Deze verspreiding vindt plaats via URL’s die zijn gekoppeld aan een Microsoft-repository, waardoor de bestanden betrouwbaar lijken. Hoewel het grootste deel van de malware-activiteit is gebaseerd op de Microsoft GitHub-URL’s, kan deze mogelijkheid worden misbruikt met elke openbare repository op GitHub.
Momenteel worden Lastpass-gebruikers door kwaadwillenden actief benaderd met een telefonische phishing (voice phishing) campagne in een poging de inloggegevens te stelen. Nadat er telefonisch contact is met een persoon die zich als helpdeskmedewerker voordoet, wordt er een mail gestuurd naar het slachtoffer met een link die verwijst naar een phishingsite. Wanneer de Lastpass-gebruiker hier zijn gegevens invoert zal de kwaadwillende proberen met deze gegevens in te loggen en de instellingen aan te passen. Volgens onderzoekers van Lookout wordt er bij deze aanval gebruik gemaakt van CryptoChameleon, geavanceerde software die ook wordt geassocieerd met de diefstal van crypto.
#WakeUpWednesday 17 april 2024
Palo Alto heeft patches vrijgegeven voor een kritieke kwetsbaarheid in de PAN-OS GlobalProtect Gateway. De kwetsbaarheid (CVE-2024-3400, CVSSv4-score 10) geeft een niet-geauthentiseerde aanvaller de mogelijkheid om op afstand willekeurige code uit te voeren en wordt momenteel actief uitgebuit. De patches die momenteel beschikbaar zijn betreffen updates voor de versies PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1 en PAN-OS 11.1.2-h3. Voor andere versies worden op korte termijn patches verwacht. Recent is hier een T-Update over verschenen, meer informatie vind je in onze blog.
Telegram heeft recent een zero-day kwetsbaarheid in haar Windows-desktopapplicatie gerepareerd. Uitbuiten van deze kwetsbaarheid zorgde ervoor dat een kwaadwillende de beveiligingswaarschuwingen kon omzeilen en automatisch Python-scripts kon starten. Momenteel is deze kwetsbaarheid opgelost door aan de serverzijde de .untrusted-extensie aan pyzw-bestanden toe te voegen, waardoor Windows, wanneer erop wordt geklikt, vraagt welk programma je wilt gebruiken om deze bestanden te openen, in plaats van automatisch te starten in Python.
Onderzoekers van Phylum hebben ontdekt dat ‘testbestanden’ die verband houden met de kwetsbaarheid in XZ Utils (liblzma-sys) ook zijn gevonden in een Rust crate. Liblzma-sys, dat tot nu toe meer dan 21.000 keer is gedownload, biedt Rust-ontwikkelaars connecties met de liblzma-implementatie, een onderliggende bibliotheek die deel uitmaakt van de XZ Utils-datacompressiesoftware. De getroffen versie in kwestie is 0.3.2. De testbestanden zelf zijn niet opgenomen in de .tar.gz- noch de .zip-tags op GitHub en zijn alleen aanwezig in liblzma-sys_0.3.2.crate die is geïnstalleerd vanuit Crates.io.
Tot slot heeft het Rust project een update vrijgegeven voor haar standaardbibliotheek. Dit nadat bekend werd dat een specifieke functie die wordt gebruikt om batchbestanden op Windows-systemen uit te voeren, kan worden misbruikt via een injectiefout. De reeks gemeenschappelijke functies van de Rust-programmeertaal, bekend als de standaardbibliotheek, biedt de mogelijkheid – naast de vele andere mogelijkheden – om Windows-batchbestanden uit te voeren via de Command API. De functie verwerkte de invoer naar de API echter niet strikt genoeg waardoor de mogelijkheid van het injecteren van code in de uitvoering niet werd voorkomen.
#WakeUpWednesday 10 april 2024
Ongeveer 16.500 Ivanti Connect Secure en Poly Secure gateways die met het publieke internet in verbinding staan zijn waarschijnlijk kwetsbaar voor een Remote Code Execution (RCE) kwetsbaarheid. De kwetsbaarheid is geregistreerd als CVE-2024-21894 en betreft een ernstige heap-overflow in de IPSec-component van Ivanti Connect Secure 9.x en 22.x. Door deze kwetsbaarheid uit te buiten kunnen kwaadwillenden mogelijk Denial of Service (DoS) veroorzaken of RCE bereiken door het verzenden van speciaal vervaardigde verzoeken.
Meer dan 92.000 D-Link NAS-apparaten zijn kwetsbaar voor een willekeurige opdrachtinjectie en een hardgecodeerde backdoor die, wanneer deze gecombineerd worden, ervoor kan zorgen dat een kwaadwillende op afstand code kan uitvoeren op het apparaat. De kwetsbaarheid is geregistreerd als CVE-2024-3273. Er zijn geen patches beschikbaar omdat de apparaten die kwetsbaar zijn de status End Of Life (EOL) hebben. Het advies is om de apparaten te vervangen door nieuwere types. Mocht dat niet mogelijk zijn, dan wordt geadviseerd om in ieder geval de laatst beschikbare updates te installeren.
Onderzoekers van Proofpoint hebben samen met het onderzoeksteam van Team Cymru onderzoek gedaan naar Latrodectus-malware. Latrodectus is een downloader met als doel om payloads te downloaden en willekeurige opdrachten uit te voeren. Er werd aangenomen dat deze malware een geëvolueerde versie is van IcedID-loader. Uit verdere analyse is gebleken dat Latrodectus nieuwe malware betreft die, op basis van de kenmerken van het geanalyseerde voorbeeld en de functionaliteit van de malware, is geschreven door dezelfde ontwikkelaars als IcedID.
Uit onderzoek van Wiz is gebleken dat aanbieders van AI-as-a-Service vatbaar zijn voor twee grote risico’s die ervoor kunnen zorgen dat kwaadwillenden hun privileges kunnen vergroten, cross-tenant toegang kunnen krijgen tot de modellen van andere klanten en zelfs de CI/CD-pijplijnen over kunnen nemen. Zo kunnen kwaadwillenden bijvoorbeeld de CI/CD-pijplijn overnemen om een supply chain aanval uit te voeren.
Kwaadwillenden hebben Facebook-advertenties en gekaapte pagina’s gebruikt om valse AI-diensten te promoten, zoals van MidJourney, OpenAI’s SORA en ChatGPT-5, en DALL-E. Het doel van deze advertenties en pagina’s is om nietsvermoedende gebruikers te infecteren met wachtwoordstelende malware. Gebruikers die door de advertenties worden misleid, worden lid van frauduleuze Facebook-communities. De communityposts promoten echter vaak tijdelijke toegang tot komende en langverwachte AI-services, waardoor de gebruikers worden misleid om kwaadaardige uitvoerbare bestanden te downloaden die Windows-computers infecteren met infostealers, zoals Rilide, Vidar, IceRAT en Nova.
#WakeUpWednesday 3 april 2024
Red Hat waarschuwt voor een code injection kwetsbaarheid in XZ Utils, het compressiehulpprogramma voor het XZ-formaat dat is opgenomen in Unix-achtige besturingssystemen zoals Linux. De kwetsbaarheid (CVE-2024-3094 met een CVSS-score van 10.0) betreft twee versies van Fedora Linux 40 beta, versie 5.6.0 en versie 5.6.1 en Fedora Rawhide. De code-injection (CVE-2024-3094) injecteert code in het authenticatieproces waardoor kwaadwillende actoren externe toegang tot het systeem kunnen krijgen. Gebruikers wordt geadviseerd om het hulpprogramma te downgraden naar een veiligere versie of SSH volledig uitschakelen. Meer informatie over deze kwetsbaarheid is te vinden in onze blog.
Cisco waarschuwt voor password-spraying aanvallen op vpn-diensten. Deze waren in eerste instantie gericht op firewalls en SSLVPN-apparaten van Fortinet, Palo Alto, WatchGuard, SonicWall en Cisco, maar zijn uitgebreid met webapps die Active Directory gebruiken voor authenticatie. Cisco heeft mitigerende maatregelen gepubliceerd. De aanvallen lijken volgens een onderzoeker, op basis van onder andere het aanvalspatroon, gerelateerd te zijn aan het Brutus-botnet.
Apple macOS-gebruikers zijn momenteel het doelwit van twee verschillende infostealer varianten. Beide hebben hetzelfde doel, namelijk gevoelige gebruikersinformatie stelen. De infostealers worden via nepwebsites en malafide advertenties verspreid. Een van de aanvalsketens is gericht op gebruikers die via zoekmachines als Google naar ARc Browser zoeken en vervolgens een malafide advertentie gepresenteerd krijgen. Deze advertentie leidt de gebruiker vervolgens naar vergelijkbare sites die de malware aanbieden. De nepsite is niet rechtstreeks te benaderen, maar alleen toegankelijk via een gegenereerde gesponsorde link.
Een kwetsbaarheid in de wall-opdracht van het util-linux-pakket dat deel uitmaakt van het Linux-besturingssysteem zou een onbevoegde aanvaller in staat kunnen stellen wachtwoorden te stelen of het klembord van het slachtoffer te wijzigen. De kwetsbaarheid is geregistreerd als CVE-2024-28085, wordt WallEscape genoemd en is de afgelopen 11 jaar in elke versie van het pakket aanwezig geweest, tot en met 2.40 die gisteren werd uitgebracht.
#WakeUpWednesday 27 maart 2024
Onderzoekers van het National Cyber Security Centre (NCSC) in de UK hebben een proof-of-concept (PoC) exploit gepubliceerd voor een kritieke kwetsbaarheid in Fortinets FortiClient Enterprise Management Server (EMS) software die momenteel actief wordt uitgebuit. Deze kwetsbaarheid (CVE-2023-48788, met een CVSS-score van 9.3) heeft invloed op FortiClient EMS versies 7.0 (7.0.1 tot en met 7.0.10) en 7.2 (7.2.0 tot en met 7.2.2). Er zijn patches beschikbaar, het advies is om deze zo snel mogelijk te installeren.
Onderzoekers van Tenable hebben details gepubliceerd over een inmiddels gepatchte kwetsbaarheid in Amazon Web Services (AWS) Managed Workflows voor Apache Airflow (MWAA). Door deze kwetsbaarheid uit te buiten kon een kwaadwillende sessies kapen en externe code uitvoeren op de onderliggende instances.
Tot slot informatie over een nieuwe reeks StrelaStealer phishing-aanvallen. StrelaStealer richt zich op het stelen van credentials van onder andere Outlook e-mailaccounts. Onderzoekers van Unit 42 geven aan dat in deze aanvalsgolf impact heeft op meer dan 100 organisaties in zowel de EU als de VS. In een poging om detectie te voorkomen, veranderen de kwaadwillenden het initiële bestandsformaat van de e-mailbijlages. In plaats van de eerder gebruikte ISO-files wordt er tegenwoordig gebruik gemaakt van ZIP-files en worden onder andere PDB-tekenreeksen verwijderd om detectie door tools die gebruik maken van statische signatures te omzeilen.
#WakeUpWednesday 20 maart 2024
Onderzoekers van G Data hebben een aantal GitHub repositories gevonden die gekraakte software aanbieden, die wordt gebruikt voor het leveren van RisePro infostealer. Deze infostealer heeft nieuwe string-encryptie en een aangepast MSI-installatieprogramma dat omkeerprogramma’s zoals IDA laat crashen. De campagne omvat in ieder geval 13 repositories die zijn gekoppeld aan 11 verschillende accounts. De betreffende repositories zijn inmiddels verwijderd.
Daarnaast hebben onderzoekers van Netskope ontdekt dat kwaadwillenden de infostealer AXORult verspreiden via malafide Google-sites. Hierbij wordt gebruik gemaakt van een onorthodoxe HTML-smokkeltechniek waarbij de kwaadaardige lading is ingebed in een afzonderlijk JSON-bestand dat op een externe website wordt gehost.
Uit onderzoek van IBM X-Force blijkt dat de aan Rusland gelinkte threat actor APT28 in verband kan worden gebracht met meerdere actieve phishing-campagnes. In deze campagnes wordt gebruik gemaakt van documenten die lijken op die van meerdere organisaties en overheidsinstellingen in onder andere Europa. Deze documenten zijn een mix van interne en openbaar beschikbare documenten, evenals mogelijke door de kwaadwillende gegenereerde documenten. De documenten houden verband met onder andere financiën, kritieke infrastructuur, cyberveiligheid, maritieme veiligheid en gezondheidszorg. Andere acties van deze kwaadwillende betreffen het uitbuiten van kwetsbaarheden in Microsoft Outlook, waaronder CVE-2023-23397, met een CVSS-score van 9,8.
Onderzoekers van Cyble geven aan dat zij in maart het aantal pogingen tot het uitbuiten van CVE-2024-23334 heeft zien toenemen door ransomwaregroepering ShadowSyndicate. De kwetsbaarheid betreft een directory traversal kwetsbaarheid die zich bevindt in de aiohttp Python library. Aiohttp is een open-sourcebibliotheek die is gebouwd bovenop het asynchrone I/O-framework van Python, Asyncio.
#WakeUpWednesday 13 maart 2024
Magnet Goblin is een financieel gemotiveerde hackersgroepering die snel 1-day kwetsbaarheden uitbuit om servers met internettoegang te compromitteren en malware te installeren. Hierbij wordt gebruik gemaakt van het tijdsvenster tussen het publiceren van een patch door de leverancier voor een kwetsbaarheid, en het daadwerkelijk patchen van de kwetsbaarheid door organisaties. Check Point heeft hun tactieken geanalyseerd en waarschuwt voor hun snelle reactietijd op nieuwe Proof of Concepts (PoC’s). In sommige gevallen worden kwetsbaarheden de dag nadat een Proof of Concept is gepubliceerd reeds uitgebuit.
Cisco heeft patches vrijgegeven om een kwetsbaarheid op te lossen in haar Secure Client software. De kwetsbaarheid, CVE-2024-20337, heeft een CVSS-score van 8,2 en stelde een kwaadwillende in staat om een Carriage Return Line Feed (CRLF) injectieaanval op een gebruiker uit te voeren. Het succesvol uitbuiten van de kwetsbaarheid zou een kwaadwillende in staat kunnen stellen willekeurige scriptcode in de browser uit te voeren of toegang te krijgen tot gevoelige, browser gebaseerde informatie.
QNAP waarschuwt voor kwetsbaarheden in zijn NAS-softwareproducten. De kwetsbaarheden (CVE-2024-21899, CVE-2024-21900 en CVE-2024-21901) hebben impact op verschillende versies van de besturingssystemen van QNAP, waaronder QTS 5.1.x, QTS 4.5.x, QuTS hero h5.1.x, QuTS hero h4.5.x, QuTScloud c5.x en de myQNAPcloud 1.0.x service. Het uitbuiten van de kwetsbaarheden kan ertoe leiden dat kwaadwillenden toegang krijgen tot deze apparaten. De kwetsbaarheden betreffen een authentication bypass, een commando-injectie en een SQL-injectie. Er zijn patches beschikbaar gesteld door QNAP.
Er zijn technische details en een proof-of-concept (PoC)-exploit beschikbaar gesteld voor een recent vrijgegeven kritieke kwetsbaarheid in Progress Software OpenEdge Authentication Gateway en AdminServer. Kwaadwillenden kunnen deze kwetsbaarheid uitbuiten om authenticatiebeveiligingen te omzeilen. De kwetsbaarheid, CVE-2024-1403, heeft CVSS-score van 10. Deze kwetsbaarheid heeft impact op OpenEdge-versies 11.7.18 en eerder, 12.2.13 en eerder, en 12.8.0.
#WakeUpWednesday 6 maart 2024
Uit onderzoek van Avast blijkt dat hackersgroepering Lazarus de recent gepatchte privilege-escalatiefout in de Windows-kernel uitbuit om toegang te krijgen op kernelniveau. Na het verkrijgen van toegang kunnen zij de beveiligingssoftware op de gecompromitteerde systemen uitschakelen. De misbruikte kwetsbaarheid is CVE-2024-21338 met een CVSS-score van 7,8. Misbruik van deze kwetsbaarheid kan ervoor zorgen dat een kwaadwillende systeemrechten verkrijgt. De kwetsbaarheid werd eerder deze maand opgelost als onderdeel van de Patch Tuesday updates.
Uit onderzoek van JPCERT/CC blijkt dat Lazarus vier pakketten heeft geüpload naar de Python Package Index (PyPI) repository, met als doel ontwikkelsystemen te infecteren met malware. De pakketten zijn inmiddels verwijderd. Het gaat om pycryptoenv, pycryptoconf, quasarlib en swapmempool. Deze zijn gezamenlijk 3.269 keer gedownload, waarbij pycryptoconf met 1.351 de meeste downloads voor zijn rekening neemt. De pakketnamen pycryptoenv en pycryptoconf zijn vergelijkbaar met pycrypto, een Python-pakket dat wordt gebruikt voor versleutelingsalgoritmen in Python.
Securityleverancier JFrog heeft 100 kwaadaardige modellen voor kunstmatige intelligentie (AI)/machine learning (ML) ontdekt in het Hugging Face-platform. Deze modellen omvatten ook gevallen waarin het laden van een pickle-bestand leidt tot het uitvoeren van code. De payload van het model geeft de kwaadwillende een shell op het gecompromitteerde systeem, waardoor deze volledige controle kan krijgen over de machines van zijn slachtoffers.
#WakeUpWednesday 28 februari 2024
ConnectWise heeft kwetsbaarheden verholpen in ScreenConnect. ScreenConnect is remote support software die op afstand toegang biedt tot interne systemen. Een ongeautoriseerde aanvaller kan deze kwetsbaarheden benutten om een nieuw administratoraccount aan te maken en/of externe uitvoering van code te initiëren, met alle risico’s van dien. Meer informatie over de kwetsbaarheden en de te nemen maatregelen vind je in onze blog.
Onderzoekers zien momenteel een piek in e-mail phishingcampagnes die de Google Cloud Run service misbruiken om verschillende bank-trojans te verspreiden binnen onder andere Europa. Onderzoekers van Cisco Talos maakten bekend dat de infectieketens die verband houden met deze malwarefamilies, gebruik maken van kwaadaardige Microsoft Installers (MSI’s) die fungeren als droppers of downloaders voor de uiteindelijke malware-payload(s).
De kwaadwillenden achter ransomwaregroepering LockBit zijn opnieuw actief. Afgelopen week werd een groot deel van de infrastructuur door de wetshandhavingsinstanties op non-actief werd gesteld. Doordat de back-ups niet geraakt zijn door de autoriteiten is LockBit inmiddels terug met een nieuwe infrastructuur en een nieuw .onion-adres voor het publiceren van slachtoffers.
Wij vinden het belangrijk om organisaties te informeren over trends en ontwikkelingen op het gebied van cybersecurity. Tesorion is een van de deelnemers aan het samenwerkingsverband Project Melissa, dat is opgericht in de strijd tegen ransomware-aanvallen. Afgelopen week presenteerde Project Melissa het ‘Jaarbeeld Ransomware 2023’. Dit jaarbeeld biedt inzicht in de ransomware-aanvallen in Nederland en is opgesteld met geanonimiseerde gegevens aangeleverd door aangesloten cybersecuritybedrijven, politie, OM en het NCSC. Uit dit jaarbeeld blijkt onder andere dat 58 procent van de Nederlandse slachtoffers niet beschikte over een back-up.
#WakeUpWednesday 14 februari 2024
Recent heeft Fortinet twee advisories gepubliceerd. In de eerste wordt CVE-2024-21762beschreven. Via deze kwetsbaarheid kan een niet-geauthentiseerde aanvaller op afstand willekeurige code uitvoeren via de FortiOS SSL VPN-interface met behulp van specifiek vervaardigde verzoeken. In de tweede Advisory, wordt CVE-2024-23113 beschreven. Via dit beveiligingslek in de FortiOS FortiGate-to-FortiManager (FGFM) interface kan een niet-geauthentiseerde externe aanvaller ook willekeurige code of opdrachten uitvoeren via speciaal vervaardigde verzoeken. Beide kwetsbaarheden hebben een CVSS-score van 9.8 en worden reeds in het wild uitgebuit. Voor geen van de kwetsbaarheden is momenteel publieke exploit-code beschikbaar. Meer informatie is beschikbaar via de blog.
Ivanti heeft een nieuwe kwetsbaarheid vrijgegeven die Connect Secure, Policy Secure en ZTA gateways treft. Deze nieuwe kwetsbaarheid, CVE-2024-22024, heeft een CVSS-score van 8.3. Deze kwetsbaarheid stelt kwaadwillenden in staat om zonder authenticatie afgeschermde resources te benaderen. Er zijn geen aanwijzingen dat deze kwetsbaarheid momenteel wordt uitgebuit, in tegenstelling tot de eerder gepubliceerde kwetsbaarheden CVE-2023-46805, CVE-2024-21887 en CVE-2024-21893. De mitigatie van 31 januari biedt ook bescherming tegen CVE-2024-22024, daarnaast zijn er nu ook patches beschikbaar. Wij adviseren deze patches zo snel mogelijk te installeren.
Momenteel wordt er nieuwe, in Rust geschreven macOS-malware verspreid. Deze doet zich voor als een Visual Studio Update. De malware, genaamd RustDoor, biedt een backdoor tot de getroffen systemen. RustDoor kan draaien op Intel-gebaseerde (x86_64) en ARM (Apple Silicon) architecturen, zeggen onderzoekers van cyberbeveiligingsbedrijf Bitdefender. De macOS backdoor wordt aangeboden onder verschillende namen, waaronder ‘zshrc2,’ ‘Previewers,’ ‘VisualStudioUpdater,’ ‘VisualStudioUpdater_Patch,’ ‘VisualStudioUpdating,’ ‘visualstudioupdate,’ en ‘DO_NOT_RUN_ChromeUpdates’. De malware bevat een breed palet aan opdrachten om onder andere bestanden te uploaden, te verzamelen en informatie over het endpoint te verzamelen.
#WakeUpWednesday 7 februari 2024
Wij beginnen deze WakeUp Wednesday met de aanval op softwarebedrijf AnyDesk. AnyDesk, maker van remote desktop software, geeft aan dat tijdens een securityaudit gebleken is dat de productiesystemen zijn gecompromitteerd. Alle beveiligingsgerelateerde certificaten zijn ingetrokken en de systemen zijn, daar waar nodig, hersteld of vervangen. Ook zal binnenkort het code signing certificate voor de binaries worden ingetrokken en worden vervangen door een nieuw exemplaar. Uit voorzorg zijn ook de wachtwoorden voor het webportaal ingetrokken en wordt gebruikers gevraagd om, indien zij hetzelfde wachtwoord ook op andere plekken gebruiken, het wachtwoord daar ook te wijzigen.
Onderzoekers van Snyk hebben vier kritieke kwetsbaarheden ontdekt in container engine componenten. Deze vier kwetsbaarheden (CVE-2024-21626, CVE-2024-23651, CVE-2024-23653 en CVE-2024-23652) samen zijn ‘Leaky Vessels’ genoemd. De kwetsbaarheid die het meest urgent aandacht vereist is CVE-2024-21626, met een CVSS-score van 8.6. Deze kwetsbaarheid heeft impact op runC, de lichtgewicht container runtime voor Docker en andere container-omgevingen. Het uitbuiten van deze kwetsbaarheid kan tot gevolg hebben dat een aanvaller ongeauthoriseerde toegang krijgt tot het onderliggende hostbesturingssysteem en mogelijk toegang krijgen tot al het andere dat op dezelfde host draait.
De Buildkit, runc en Dockers hebben een update uitgebracht waarin de kwetsbaarheden zijn verholpen. De CISA spoort cloud system administrators aan om snel passende maatregelen te treffen om het uitnutten van de kwetsbaarheid tegen te gaan.
Een kritieke kwetsbaarheid in het social media netwerk Mastodon maakt het mogelijk dat Mastodon-accounts op afstand worden overgenomen. De kwetsbaarheid, CVE-2024-23832, heeft een CVSS-score van 9.4. Er is inmiddels een beveiligingsupdate uitgebracht om de kwetsbaarheid te verhelpen. Technische details over de kwetsbaarheid worden op 15 februari vrijgegeven. Dit geeft beheerders de mogelijkheid de beschikbare update te installeren voordat de details bekend zijn en kans op uitbuiting vergroot wordt.
#WakeUpWednesday 31 januari 2024
Cisco heeft bekendgemaakt dat haar Unified Communications en Contact Center Solutions producten kwetsbaar zijn voor een kritieke kwetsbaarheid (CVE-2024-20253). Deze kwetsbaarheid stelt een aanvaller in staat om op afstand code uit te voeren en root-toegang te verkrijgen tot het getroffen apparaat. De kwetsbaarheid heeft een CVSS-score van 9.9. Wij adviseren om de beschikbare patches zo snel mogelijk te installeren.
Onderzoekers van Fortinet hebben nieuwe kwaadaardige malwarepackages ontdekt in de open-source Python Package Index (PyPI). De malware infecteert Windows-systemen met een infostealer genaamd WhiteSnake Stealer. Deze malwarepakketjes zijn genaamd nigpal, telerer, seGMM, myGens, NewGends en TestLibs111. Afhankelijk van het besturingssysteem van de apparaten van de slachtoffers wordt de malware uitgevoerd wanneer de eerder genoemde Python-pakketjes worden geïnstalleerd.
Twee weken geleden kwamen in de WakeUp Wednesday twee kritieke kwetsbaarheden in GitLab aan bod (CVE-2023-7028) en (CVE-2023-5356). GitLab waarschuwt nu opnieuw voor een kwetsbaarheid (CVE-2024-0402), waarbij een geauthenticeerde aanvaller bestanden naar willekeurige locaties op de GitLab-server kan schrijven bij het aanmaken van een workspace. De kwetsbaarheid heeft een CVSS-score van 9.9 en is verholpen in GitLab 16.6.6, 16.7.4 en 16.8.1. Daarnaast is de oplossing ook geïmplementeerd in versie 16.5.8. Wij adviseren om de update zo snel mogelijk te installeren.
Tot slot waarschuwt de AIVD voor het gebruik van Quantum Key Distribution (QKD). Deze methode voor het uitwisselen van encryptiesleutels zou onveilig zijn omdat er geen garantie is dat de quantumkanalen niet worden afgeluisterd of gemanipuleerd door derden. De QKD-technologie is volgens de AIVD in de meeste gevallen onbruikbaar doordat er diverse beperkingen zijn bij het toepassen van de technologie. Zo is er speciale hardware nodig en is er een beperkt bereik doordat QKD-systemen gebruik maken van een directe glasvezelverbinding of van lichtsignalen. Het bereik is daardoor niet groter dan enkele honderden kilometers.
#WakeUpWednesday 24 januari 2024
Er is een toename in aanvallen gesignaleerd waarbij de Ivanti Connect Secure en Ivanti Policy Secure kwetsbaarheden worden misbruikt. Deze kwetsbaarheden stellen aanvallers in staat om toegang te krijgen tot gevoelige informatie en systemen. De laatste informatie met betrekking tot deze kwetsbaarheden (CVE-2023-46805 en CVE-2024-21887) vind je in onze blog. Op dit moment zijn er nog geen beveiligingsupdates beschikbaar, wel is het mogelijk om mitigerende maatregelen te nemen om het risico te verkleinen. Onze blog bevat ook de planning van Ivanti voor het uitbrengen van de beveiligingsupdates.
Een andere ernstige bedreiging is de Apache ActiveMQ (CVE-2023-46604) kwetsbaarheid, die actief wordt uitgebuit door verschillende cybercriminelen. De kwetsbaarheid in Apache Active MQ maakt het uitvoeren van code op afstand mogelijk. Sinds de bekendmaking van deze kwetsbaarheid wordt deze actief uitgebuit door meerdere kwaadwillenden om ransomware, rootkits, cryptocurrency-mijnwerkers en DDoS-botnets uit te rollen. Onderzoekers van Trustwave zien daarbij een nieuwe Godzilla web shell die zich vermomt als een onbekend binary formaat en zo detectie door beveiligingsoplossingen ontwijkt. Er is een patch beschikbaar voor CVE-2023-46604, het advies is om deze zo snel mogelijk te installeren.
Tot slot een waarschuwing voor een oude, maar nog steeds effectieve aanvalstechniek: het misbruiken van TeamViewer om ransomware te verspreiden. Volgens een rapport van Huntress blijkt dat ransomwaregroeperingen nog steeds van deze methode gebruik maken om toegang te krijgen tot apparaten en vervolgens hun kwaadaardige lading afleveren. Dit misbruik kan in veel gevallen worden voorkomen door sterke wachtwoorden te gebruiken, multifactorauthenticatie in te schakelen en TeamViewer alleen te gebruiken waar en wanneer dat nodig is.
#WakeUpWednesday 17 januari 2024
Ivanti Connect Secure VPN bevat twee kwetsbaarheden die samen een ernstige bedreiging vormen voor de beveiliging van het systeem. De eerste kwetsbaarheid (CVE-2023-46805) maakt het mogelijk om de authenticatie te omzeilen en toegang te krijgen tot het systeem zonder geldige inloggegevens. De tweede kwetsbaarheid (CVE-2024-21887) maakt het mogelijk om commando’s te injecteren en uit te voeren op het systeem. Een aanvaller kan zo de configuratie, bestanden en netwerkverbindingen van het systeem manipuleren of overnemen. Het is daarom belangrijk om zo snel mogelijk de beschikbare updates te installeren of de toegang tot het systeem te beperken.
Juniper Networks SRX-serie firewalls en EX-serie switches hebben een kritieke kwetsbaarheid (CVE-2024-21591) in het J-Web configuratietool. Deze kwetsbaarheid heeft een CVSS-score van 9,8 en maakt het mogelijk om op afstand code uit te voeren op de apparaten zonder authenticatie. Een aanvaller kan zo root-privileges verkrijgen, het apparaat onbruikbaar maken of Denial-of-Service (DoS)-aanvallen uit te voeren. Het wordt sterk aangeraden om de beveiligingsupdates te installeren of JunOS te upgraden naar de nieuwste versie. Als dat niet mogelijk is, kan men als tijdelijke oplossing het J-Web configuratietool uitschakelen of de toegang ertoe beperken tot alleen de vertrouwde netwerkhosts.
GitLab Community en Enterprise hebben twee kritieke kwetsbaarheden die het kapen van accounts mogelijk maken. De eerste kwetsbaarheid (CVE-2023-7028) heeft een CVSS-score van 10 en maakt het mogelijk om accounts over te nemen zonder gebruikersinteractie. De tweede kwetsbaarheid (CVE-2023-5356) heeft een CVSS-score van 9.6 en maakt het mogelijk om Slack/Mattermost-integraties te misbruiken om slash-opdrachten uit te voeren als een andere gebruiker. Het wordt aangeraden om zo snel mogelijk de updates te installeren.
#WakeUpWednesday 10 januari 2024
Er is een nieuwe remote code execution kwetsbaarheid ontdekt in Apache Rocket MQ NameServer, die niet is opgelost door de vorige patch. Deze kwetsbaarheid, CVE-2023-37582, stelt aanvallers in staat om willekeurige code uit te voeren op de getroffen servers. De aanbevolen oplossing is om de NameServer te upgraden naar versie 5.1.2/4.9.7.
Er zijn drie kwaadaardige Python-pakketten gevonden in de open source-repository Python Package Index (PyPI), die crypto-miners kunnen installeren op Linux-apparaten. De pakketten, modularseven, driftme en catme, zijn verwant aan een eerdere campagne die gebruik maakte van culturestreak; aldus onderzoek van Fortinet. De pakketten zijn inmiddels verwijderd uit PyPI.
Meerdere implementaties van het Kyber-key encapsulation mechanism (KEM) voor kwantumveilige encryptie zijn kwetsbaar voor een reeks fouten die gezamenlijk KyberSlash wordt genoemd. Deze kunnen het mogelijk herstel van geheime sleutels mogelijk maken. Kyber is een van de algoritmes die door NIST (National Institute of Standards and Technology) zijn geselecteerd om aanvallen van kwantumcomputers te weerstaan.
Ivanti heeft een update uitgebracht om een remote code execution kwetsbaarheid te verhelpen in de Endpoint Management software (EPM). Deze kwetsbaarheid kan kwaadwillenden in staat stellen om controle te krijgen over geregistreerde apparaten of de server. De kwetsbaarheid, geregistreerd als CVE-2023-39336, treft alle ondersteunde Ivanti EPM versies. Er is een patch beschikbaar.
#WakeUpWednesday 20 december 2023
Akamai heeft onlangs meer informatie bekendgemaakt over de zero-click Outlook kwetsbaarheden CVE-2023-35384 en CVE-2023-36710. Wanneer deze kwetsbaarheden gecombineerd worden, kunnen cybercriminelen, zonder gebruikersactie, op afstand code uitvoeren op de e-mailservice van Outlook. Er zijn patches beschikbaar voor deze kwetsbaarheden.
Het Black Lotus Labs team van Lumen Technologies heeft een nieuw botnet ontdekt, dat KV-botnet wordt genoemd. Dit botnet maakt misbruik van SOHO (Small Office Home Office) routers, firewalls en VPN-apparatuur van Cisco, DrayTek, Fortinet en NETGEAR. KV-botnet richt zich op apparatuur die zich aan de rand van het netwerk bevinden, zoals bij thuiswerkers, omdat deze apparatuur vaak een zwakke schakel zijn in de cybersecurity van organisaties.
Onderzoekers van ESET hebben deze week een rapport gepubliceerd over 116 malwarepakketten die zijn gevonden in de Python Package Index (PyPI) Repositories. Deze malwarepakketten hebben als doel om Windows- en Linux-systemen te infecteren met een backdoor. In een aantal gevallen is de uiteindelijke payload een variant van de infostealer W4SP Stealer of een eenvoudige klembordmonitor om cryptocurrency te stelen, of beide. De schatting is dat deze pakketten sinds mei 2023 ruim 10.000 keer zijn gedownload.
#WakeUpWednesday 13 december 2023
De Vrije Universiteit Amsterdam heeft een nieuwe side-channel aanvalsmethode onthuld: SLAM. Met SLAM kunnen aanvallers gevoelige informatie stelen uit het operating system kernelgeheugen draaiende op Intel, AMD of Arm CPU’s. SLAM is een Spectre-achtige kwetsbaarheid, die gebruikmaakt van een nieuwe functie in Intel CPU’s: Linear Address Masking (LAM). AMD en Arm hebben vergelijkbare functies: Upper Address Ignore (UAI) en Top Byte Ignore (TBI). LAM zou de beveiliging moeten verbeteren, maar introduceert ook nieuwe kwetsbaarheden. Het vergroot het Spectre-aanvalsoppervlak. De volgende CPU’s zijn kwetsbaar:
- Bestaande AMD CPU’s (geregistreerd as CVE-2020-12965)
- Toekomstige Intel CPU’s met LAM (zowel paging op 4 als 5 niveaus)
- Toekomstige AMD CPU’s met UAI en paging op 5 niveaus
- Toekomstige Arm CPU’s met TBI en paging op 5 niveaus
Onderzoekers van Elastic Security Labs hebben ontdekt dat er een nieuwe functionaliteit is toegevoegd aan GuLoader-malware om analyse door onderzoekers nog moeilijker te maken. De Malware-as-a-Service (MaaS) werkt nog steeds hetzelfde, maar is moeilijker te analyseren. GuLoader verspreidt zich via phishingcampagnes. De mails bevatten een ZIP-file of een link naar een Visual Basic Script.
Cybercriminelen kunnen zonder toestemming een toetsenbord koppelen aan Android, Linux, macOS en iOS apparaten door een kwetsbaarheid in Bluetooth uit te buiten. Ze gebruiken een authentication bypass om verbinding te maken met kwetsbare apparaten. Meerdere Bluetooth-stacks hebben deze zwakke plek. Een aanvaller kan zo toetsaanslagen injecteren zonder toestemming van de gebruiker. De kwetsbaarheid werkt ook in de LockDown-modus van Apple, die bedoeld is om te beveiligen tegen geavanceerde digitale bedreigingen. De aanval is alleen mogelijk wanneer het apparaat zich in pairing-mode bevindt.
#WakeUpWednesday 6 december 2023
Zyxel heeft afgelopen week updates uitgebracht om 15 kwetsbaarheden in haar NAS, Firewall en Access points te patchen. Drie kritieke kwetsbaarheden kunnen leiden tot een authentication bypass en de mogelijkheid voor een cybercrimineel om bepaalde opdrachten van het besturingssysteem uit te voeren. Daarnaast zijn er updates uitgebracht voor kwetsbaarheden die een cybercrimineel in staat kunnen stellen om toegang te krijgen tot systeeminformatie en willekeurige opdrachten uit te voeren.
MalwareHunterTeam geeft aan een van de meest geavanceerde versies van Qilin Ransomware te hebben ontdekt. In tegenstelling tot veel andere ransomwaregroeperingen maakt Qilin geen gebruik van gelekte Babuk broncode. Zij bouwen hun eigen encryptors gericht op Linux-servers. Deze nieuwe versie biedt verregaande mogelijkheden om de Linux-encryptors aan te passen. De encryptor van Qilin is gebouwd met ingebouwde configuratieregels. Deze specificeren bijvoorbeeld de extensie voor gecodeerde bestanden, de processen die moeten worden beëindigd, de bestanden die moeten worden gecodeerd of uitgesloten, en de mappen die moeten worden gecodeerd of uitgesloten. Het bevat echter ook talrijke opdrachtregelargumenten die een uitgebreide aanpassing van deze configuratieopties en de manier waarop bestanden op een server worden gecodeerd, mogelijk maken.
Momenteel worden kritieke kwetsbaarheden in de data-analyseoplossing Qlik Sense misbruikt door Cactus ransomware. Er zijn updates beschikbaar voor deze kwetsbaarheden. Onderzoekers van Artic Wolf waarschuwen dat deze eerder gepubliceerde kwetsbaarheden momenteel actief worden misbruikt door cybercriminelen. De aanvallers gebruiken PowerShell en de Background Intelligent Transfer Service (BITS) om tools te downloaden en externe toegang tot de machine bieden.
#WakeUpWednesday 29 november 2023
De beheerders van ownCloud waarschuwen voor drie kritieke kwetsbaarheden. OwnCloud is een open-source oplossing voor het delen van bestanden. De kwetsbaarheden kunnen worden misbruikt om gevoelige informatie vrij te geven en bestanden te wijzigen. Een van de kwetsbaarheden kan de beheerderswachtwoorden en mailserver-credentials tonen. Mitigerende maatregelen worden beschreven in de blog. Daarnaast wordt geadviseerd om de libraries zo snel mogelijk te updaten.
Uit onderzoek van ESET zijn meer details bekend geworden over een malafide Telegram-bot genaamd Telekopye. Telekopye kan onder andere phishing-websites, e-mails en sms-berichten maken. De actoren achter deze operatie hebben de naam Neanderthals gekregen. De operatie richt zich op drie soorten oplichting. Het verkopen van niet bestaande goederen, het verleiden van mensen om financiële gegevens op afstand in te voeren en ze op die manier geld afhandig te maken en terugbetalingszwendel.
E-mailberichten met thema’s rondom het leveren of verzenden van goederen worden momenteel gebruikt om WailinCrab-malware te verspreiden. Deze malware is opgesplitst in verschillende componenten, waaronder een loader, injector en een backdoor, zo blijkt uit onderzoek van IBM X-Force. WailinCrab wordt ook wel WikiLoader genoemd. De malware wordt actief onderhouden en bevat functionaliteit om analyse en detectie te verkleinen. Een van de manieren waarop dat gedaan wordt is door gebruik te maken van legitieme, gehackte sites voor de initiële command-and-control (C2) communicatie. Daarnaast worden onderdelen van de malware opgeslagen op bekende platformen, zoals Discord.
Play-ransomware wordt momenteel ook aangeboden als ‘Ransomware-as-a-Service’, zo blijkt uit onderzoek van Adlumin. Zij komen tot deze conclusie na analyse van verschillende Play-ransomware-aanvallen op organisaties in verschillende sectoren. Daarbij werden vrijwel identieke tactieken gebruikt en in dezelfde volgorde toegepast. Er is een gebrek aan zelfs maar de kleinste variaties tussen de aanvallen. Zo wordt bijvoorbeeld de openbare muziekmap gebruikt om het kwaadaardige bestand te verbergen en wordt hetzelfde wachtwoord gebruikt om high-privilege accounts aan te maken.
#WakeUpWednesday 22 november 2023
De FBI heeft een advies gepubliceerd waarin het de werkwijze toelicht van Scattered Spider, een hackergroepering die samenwerkt met ransomwaregroepering ALPH/BlackCat. Scattered Spider maakt gebruik van phishing, het bombarderen van mensen met MFA-verzoeken (multifactorauthenticatie) en sim-swapping om toegang te krijgen tot de netwerken van grote organisaties. In een recent rapport van Microsoft, die naar deze groepering verwijst als Octo Tempest, worden zij een van de meest gevaarlijke, financieel gemotiveerde groeperingen genoemd waarbij gewelddadige bedreigingen niet worden geschuwd om het doel te bereiken.
Voor een kritieke kwetsbaarheid in CrushFTP-enterprisesuite (CVE-2023-43177) is een proof of concept exploit vrijgegeven. Er is een update beschikbaar, toch zijn er momenteel nog 10.000 CrushFTP instances die publiekelijk benaderbaar zijn. De update verhelpt helaas niet alle mogelijke dreigingen, daarom worden er aanvullende maatregelen aangeraden.
Outpost24 heeft ontdekt dat LummaC2, een infostealer, is voorzien van nieuwe mogelijkheden om detectie te voorkomen. Zo is LummaC2 v4.0 bijvoorbeeld voorzien van een cryptor om te voorkomen dat de ruwe vorm van de infostealer gelekt wordt. Daarnaast maakt de infostealer gebruik van trigonometrie. Dit wiskundige principe wordt gebruikt om detectie te omzeilen. Hiervoor houdt de techniek rekening met verschillende posities van de cursor in een kort interval. De meeste analysesystemen kunnen namelijk die muisbewegingen niet realistisch emuleren waardoor detectie wordt bemoeilijkt.
#WakeUpWednesday 15 november 2023
Cybercriminelen maken regelmatig gebruik van social engineering in de voorbereidingsfase van een aanval. Recent heeft de FBI een advies gepubliceerd om organisaties handvatten te bieden in het voorkomen van ‘callback-phishing’. Bij deze vorm van phishing ontvangt het slachtoffer een e-mail over problemen met zijn account. In de e-mail staat een telefoonnummer dat gebeld moet worden om de problemen te verhelpen. Zodra het slachtoffer het opgegeven nummer belt krijgt het deze instructies voor het installeren van een legitieme beheertool. Via dat tool kunnen cybercriminelen vervolgens andere tools installeren om data te stelen. Deze data wordt vervolgens gebruikt om de organisatie af te persen.
Security researchers van BlackBerry hebben een Windows variant ontdekt van de BiBi-Linux Wiper. Deze wiper-malware, genaamd BiBi-Windows Wiper, overschrijft de data in de users directory van Windows met waardeloze data en voegt .BiBi aan de bestanden toe. Naast het onbruikbaar maken van de bestanden verwijdert de wiper schaduwkopieën van het systeem. Hierdoor is de schade onherstelbaar. Het is nog niet bekend op welke manier deze BiBi-Windows Wiper wordt verspreid. Momenteel lijkt de campagne zich te richten op de Israëlische IT- en overheidssector. De groeperingen die worden geassocieerd met deze wiper hebben echter in het verleden verschillende sectoren en verschillende geografische locaties aangevallen.
MalwareBytes heeft een nieuwe malvertising campagne ontdekt. Deze doet zich voor als een legitiem Windows nieuwsportaal om een kwaadaardig installatieprogramma te verspreiden. In dit geval gaat het om het populaire systeemprofileringstool CPU-Z. Daarnaast worden ook andere hulpprogramma’s zoals Notepad, Citrix en VNC-viewer misbruikt. Het kwaadaardige installatieprogramma bevat een PowerShell-script, een lader genaamd FakeBat die wordt gebruikt om RedLine Stealer te implementeren.
#WakeUpWednesday 8 november 2023
Voor gebruikers van Apple apparaten kan de functie ‘Find My …’ handig zijn. Verloren of kwijtgeraakte iPhones, iPads, Macs, Apple Watches, AirPods en Apple Tags kunnen zo gevonden worden. Verloren apparaten sturen constant Bluetooth-signalen die worden gedetecteerd door Apple-apparaten in de buurt, die vervolgens anoniem hun locatie doorgeven aan de eigenaar via het ‘Find My’-netwerk. Deze dienst werkt ook als de apparaten offline zijn. Keerzijde is dat het “Find My“-locatienetwerk van Apple ook door kwaadwillende actoren kan worden misbruikt om ongemerkt gevoelige informatie te verzenden die is vastgelegd door keyloggers.
De keylogger hoeft geen AirTag of een officieel ondersteunde chip te gebruiken omdat Apple-apparaten zo zijn geconfigureerd dat zij op elk Bluetooth-bericht reageren. Als dat bericht de juiste indeling heeft, maakt het ontvangende Apple-apparaat een locatierapport en uploadt dit naar het ‘Find My’-netwerk. Op de Duitstalige site Heise.de hebben analisten van Positive Security Proof-Of-Concept hardware gepost om het risico van deze functionaliteit te illustreren.
Atlassian geeft aan dat er nu een publieke exploit beschikbaar is voor een kritieke kwetsbaarheid van Confluence. Deze kan worden gebruikt bij aanvallen die als doel hebben om data te vernietigen. De aanvallen zijn gericht op aan internet blootgestelde en niet-gepatchte omgevingen. De kritieke kwetsbaarheid, CVE-2023-22518, is een kwetsbaarheid die van invloed is op alle versies van Confluence Data Center- en Confluence Server-software. Er zijn nog steeds geen meldingen van actieve uitbuiting. Toch is het voor beheerders belangrijk om onmiddellijk actie te ondernemen om de in gebruik zijnde omgevingen te beschermen.
HelloKitty is een ransomware-organisatie waarvan onlangs de broncode is gelekt op een Russisch sprekende cybercriminaliteitsforum. Daardoor is deze voor iedereen beschikbaar. De HelloKitty-ransomware maakt gebruik van een onlangs onthulde kwetsbaarheid in Apache ActiveMQ (Remote Code Execution (RCE)) om bij organisaties binnen te komen en data te versleutelen. Deze kwetsbaarheid, CVE-2023-46604, is een Remote Execution Error. Aanvallers kunnen door deze kwetsbaarheid uit te buiten willekeurige shell-opdrachten uitvoeren. Het beveiligingsprobleem werd verholpen in een beveiligingsupdate op 25 oktober 2023. De dreigingsmonitoringservice ShadowServer meldt echter dat er op 30 oktober nog steeds 3.329 aan internet blootgestelde servers waren die een versie gebruiken die kwetsbaar is voor uitbuiting.
Kinsing heeft een rijke geschiedenis in het aanvallen van containeromgevingen, waarbij vaak gebruik wordt gemaakt van verkeerd geconfigureerde open Docker daemon API-poorten. Recent is uit onderzoek van cloudbeveiligingsbedrijf Aqua gebleken dat de aan Kinsing gelinkte dreigingsactoren misbruik proberen te maken van de onlangs onthulde escalatiefout in Linux-privileges genaamd Looney Tunables. Dit, als onderdeel van een “nieuwe experimentele campagne” die is ontworpen om bij cloudomgevingen binnen te komen. De ontwikkeling markeert het eerste publiekelijk gedocumenteerde geval van actieve exploitatie van Looney Tunables (CVE-2023-4911), waardoor een bedreigingsacteur rootprivileges zou kunnen verwerven.
#WakeUpWednesday 1 november 2023
De NGINX Ingress-controller voor Kubernetes bevat drie kritieke kwetsbaarheden (CVE-2022-4886, CVE-2023-5043 en CVE-2023-5044) die door een cybercrimineel kunnen worden misbruikt. Door uitbuiting van de kwetsbaarheden kan de configuratie van het Ingress-object worden gecontroleerd en is de aanvaller in staat inloggegevens van het cluster te stelen. Daarmee kan de cybercrimineel willekeurige code in het proces van de ingangscontroller injecteren en ongeautoriseerde toegang te krijgen tot gevoelige gegevens. Op dit moment is er nog geen patch beschikbaar. De ontwikkelaars van de software-oplossingen adviseren het inschakelen van de optie “strict-validate-path-type” en het instellen van de vlag –enable-annotation-validation om de creatie van Ingress-objecten met ongeldige tekens te voorkomen en aanvullende beperkingen af te dwingen. Het updaten van NGINX naar versie 1.19, naast het toevoegen van de opdrachtregelconfiguratie “–enable-annotation-validation” lost twee van de kwetsbaarheden, CVE-2023-5043 en CVE-2023-5044, op.
Microsoft heeft gesignaleerd dat leden van de Scattered Spider groepering zich bij specifieke organisaties voordoen als nieuw aangenomen medewerkers. Via deze, op social engineering gebaseerde, aanvallen op ondersteunings- en helpdeskpersoneel proberen cybercriminelen om initiële toegang te krijgen tot geprivilegieerde accounts. Onder meer door het helpdeskpersoneel te verleiden tot het opnieuw instellen van het wachtwoord van het slachtoffer en multi-factor authenticatie (MFA) -methoden. Scattered Spider staat bekend als een organisatie met grote operationele flexibiliteit en maakt onder andere gebruik van tactieken als SMS-phishing, SIM-swapping en helpdeskfraude.
Er is een nieuwe ransomware-as-a-service ontdekt. Deze heeft de naam Hunters International gekregen. De ontdekking is gedaan door malwareanalist Rivitna, die de nieuwe encryptor ontdekte. De encryptor bevatte meerdere code-overlappingen met de code die werd gebruikt door de Hive-ransomware-operatie. wat leidde tot de geldige veronderstelling dat de oude bende hun activiteiten onder een andere vlag heeft hervat. Deze stelling wordt mede onderbouwd doordat de Hunters International-malware een voorbeeld was van de Hive-ransomware versie 6.
F5 waarschuwt klanten voor een kritieke kwetsbaarheid die gevolgen heeft voor BIG-IP. Uitbuiting van de kwetsbaarheid kan ervoor zorgen dat een niet-geverifieerde aanvaller met netwerktoegang tot het BIG-IP-systeem via de beheerpoort en/of eigen IP-adressen in staat is om willekeurige systeemopdrachten uit te voeren. Cybercriminelen kunnen alleen apparaten misbruiken waarvan de Traffic Management User Interface (TMUI) is blootgesteld aan internet en hebben geen invloed op het datavlak. Omdat de TMUI echter vaak intern wordt blootgesteld, kan een aanvaller die al een netwerk heeft gecompromitteerd, misbruik maken van de fout. Er is een update beschikbaar. Mocht updaten niet mogelijk zijn dan zijn er mitigerende maatregelen te nemen.
#WakeUpWednesday 25 oktober 2023
Op 17 oktober heeft cybersecurity bedrijf Mandiant een blog gepubliceerd waarin uitbuiting van kwetsbaarheid CVE-2023-4966 wordt beschreven. Dit is een kritieke kwetsbaarheid in Citrix ADC en Citrix Gateway. Bovendien onthullen ze dat sessie-informatie van actieve gebruikers wordt gelekt bij uitbuiting van de kwetsbaarheid. Dit geeft een aanvaller de mogelijkheid om sessies over te nemen. Daarnaast kan een aanvaller aanvullende inloggegevens te verzamelen. Meer info in onze blog.
Onderzoekers hebben drie kritische kwetsbaarheden gevonden in SolarWinds Access Rights Manager (ARM). Cybercriminelen kunnen daardoor code uitvoeren met System-gebruikersrechten. ARM is een tool waarmee organisaties gebruikersrechten kunnen beheren en auditen binnen hun IT-omgeving. Er is een patch beschikbaar.
Malvertising (malafide advertenties) blijven een aandachtspunt. Recent is er door Malwarebytes een Google Ads campagne ontdekt waarbij het officiële domein van KeePass passwordmanager wordt misbruikt om malware te verspreiden. Cybercriminelen maken hiervoor gebruik van Punycode, een manier om Unicode-karakters te converterteren naar ASCII. Naast KeePass wordt ook geadverteerd met bijvoorbeeld gratis PDF-converters.
Uit onderzoek van Uptycs blijkt dat Quasar RAT, een open-source remote access trojan, gebruik maakt van DLL-sideloading. Deze techniek maakt gebruik van het inherente vertrouwen dat een DLL krijgt in een Windowsomgeving. Quasar RAT is een in C# geschreven tool voor extern beheer die onder andere systeeminformatie, een lijst met actieve applicaties, bestanden, toetsaanslagen en schermafbeeldingen kan verzamelen. Door gebruik te maken van DLL-sideloading hoopt de cybercrimineel onzichtbaar te blijven om bijvoorbeeld gegevens van gecompromitteerde Windows-hosts over te hevelen.
Tot slot is er een update uitgebracht op het eerder uitgebrachte security advies van Cisco. Een tweede kwetsbaarheid is toegevoegd. De kwetsbaarheid is geregistreerd als CVE-2023-20273 en wordt gebruikt om een backdoor te installeren na het verkrijgen van toegang tot het systeem via kwetsbaarheid CVE-2023-20198. Beide kwetsbaarheden (CVE-2023-20198 en CVE-2023-20273) worden actief uitgebuit, en op basis van onderzoek lijkt de backdoor actief op een aanzienlijk aantal blootgestelde Cisco IOS XE systemen. Meer informatie staat in onze blog.
#WakeUpWednesday 18 oktober 2023
In de periode juli-sept hebben er diverse aanvallen plaatsgevonden met DarkGate-malware waarbij gecompromitteerde Skype-accounts zijn gebruikt. Volgens onderzoekers van Trend Micro vonden deze aanvallen plaats door via de gecompromitteerde accounts slachtoffers een bericht te sturen met een pdf-bijlage. Deze bijlage bevat een VBA loader script dat er vervolgens voor zorgt dat een AutoIP script wordt gedownload dat zorgt voor de uiteindelijke uitvoer van de DarkGate malware. De toegang tot het Skype-account zorgt ervoor dat de cybercrimineel de tekst in de chat en de naamgeving van de files kan aanpassen zodat deze past bij de gesprekshistorie. Naast Skype worden ook Microsoft Teams-chats misbruikt voor de verspreiding van deze malware.
Tijdens de meest recente Patch Tuesday heeft Microsoft een update uitgebracht voor twee actief aangevallen zero days in WordPad en Skype for Business. Het uitbuiten van de kwetsbaarheid in WordPad geeft een cybercrimineel de mogelijkheid om de NTLM-hashes van gebruikersaccounts te stelen. Daardoor is het mogelijk dat het systeem wordt overgenomen. De kwetsbaarheid in Skype for Business maakt het voor een cybercrimineel mogelijk om gevoelige informatie te achterhalen waarmee er toegang tot interne netwerken kan worden verkregen.
Cybercriminelen maken gebruik van een nieuwe techniek voor codedistributie. Guardio Labs heeft deze de naam EtherHiding gegeven. Deze techniek maakt misbruik van Binance’s Smart Chain (BSC) contracten. Zo worden malafide scripts verborgen in de blockchain. BSC wordt beschreven als het “next level bulletproof hosting”. De cybercriminelen die verantwoordelijk zijn voor deze campagne gebruikten voorheen gecompromitteerde WordPress-sites. Deze verwezen naar Cloudflare Worker-hosts voor het injecteren van kwaadaardig JavaScript in gehackte websites. De cybercriminelen zijn overgegaan op het misbruiken van blockchain-systemen omdat die een veel veerkrachtiger distributiekanaal bieden. Daarnaast biedt het betere mogelijkheden om kwaadaardige code te verbergen.
De Advanced Persistent Threat (APT) actor ToddyCat wordt door onderzoekers van Kaspersky gekoppeld aan een aantal nieuwe tools. Deze tools zijn gericht op data-exfiltratie waarbij met name gefocust wordt op het blijven behouden van toegang, het uitvoeren van bestandsbewerkingen en om extra payloads te laden.
Tot slot heeft Cisco een security advies gepubliceerd waarin een kritieke kwetsbaarheid wordt beschreven in de Web UI van Cisco IOS XE. De kwetsbaarheid stelt een ongeauthenticeerde aanvaller in staat een gebruikersaccount te maken met volledige admin rechten. De aanvaller heeft met dit account volledige controle over het betreffende systeem.
#WakeUpWednesday 11 oktober 2023
Cisco heeft updates uitgebracht om een kritieke kwetsbaarheid te verhelpen die van invloed is op Emergency Responder. Deze kwetsbaarheid stelt niet-geverifiëerde, externe aanvallers in staat om zich met behulp van hardgecodeerde inloggegevens aan te melden bij kwetsbare systemen. Het probleem heeft gevolgen voor Cisco Emergency Responder release 12.5(1)SU4 en is verholpen in versie 12.5(1)SU5. Andere releases van het product worden niet geraakt door deze kwetsbaarheid. Het advies is om de beschikbare update zo snel mogelijk te installeren.
Uit onderzoek van Qualys blijkt dat er proof-of-concept-exploits online zijn gepubliceerd voor een zeer ernstige kwetsbaarheid in de dynamische lader van de GNU C-library. Hierdoor kunnen cybercriminelen rechten verwerven van grote gedistribueerde Linux-installaties. Deze beveiligingskwetsbaarheid, genaamd ‘Looney Tunables’ is te wijten aan een kwetsbaarheid in de bufferoverflow en heeft invloed op standaardinstallaties van Debian 12 en 13, Ubuntu 22.04 en 23.04, en Fedora 37 en 38.
Daarnaast zijn er door Ubuntu verschillende kwetsbaarheden in Vim opgelost. De updates verhelpen onder andere een kwetsbaarheid waarbij een cybercrimineel willekeurige code op een systeem van een gebruiker kan uitvoeren of een denial of service kan veroorzaken.
Tot slot hebben de Amerikaanse National Security Agency (NSA) en de Cybersecurity & Infrastructure Security Agency (CISA) een gezamenlijk advies gepubliceerd. In dit document worden de meest voorkomende misconfiguraties en de tactieken, technieken en procedures om deze misconfiguraties uit te buiten beschreven.
#WakeUpWednesday 4 oktober 2023
Afgelopen week zijn er weer nieuwe malware-varianten ontdekt, waaronder BunnyLoader. BunnyLoader is malware-as-a-service (MaaS) dat verschillende mogelijkheden biedt. Denk aan het uitvoeren van opdrachten op afstand op het geïnfecteerde apparaat, het stelen van browsergegevens en het stelen van systeeminformatie. Deze informatie wordt vervolgens gecomprimeerd in een ZIP-bestand waarna de gegevens worden verstuurd naar een command-and-control server. De blog van Zscaler ThreatLabz beschrijft de werking van BunnyLoader in meer detail.
Daarnaast heeft Kaspersky informatie gepubliceerd over ASMCrypt. Dit is een nieuwe crypter en loader, die is gebaseerd op DoubleFinger.
Progress software heeft patches vrijgegeven voor het verhelpen van een kritiek kwetsbaarheid de WS_FTP Server Ad hoc Transfer Module en de WS_FTP Server manager interface. In WS_FTP Server-versies ouder dan 8.7.4 en 8.8.2 kan een vooraf geverifieerde aanvaller misbruik maken van een .NET-deserialisatie-kwetsbaarheid in de Ad Hoc Transfer-module. De cybercrimineel kan door deze kwetsbaarheid uit te buiten externe opdrachten uitvoeren op het onderliggende WS_FTP Server-besturingssysteem.
Momenteel wordt een kritieke kwetsbaarheid in LibWebP actief uitgebuit door cybercriminelen. Meer informatie over deze kwetsbaarheid is te vinden in onze blog.
#WakeUpWednesday 27 september 2023
Atlassian geeft aan verschillende kritieke kwetsbaarheden te hebben gepatcht. Uitbuiting van de kwetsbaarheden kan leiden tot het uitvoeren van code op afstand door cybercriminelen. De kwetsbaarheden hebben betrekking op specifieke versies van Jira Service Management Server and Data Center, Confluence Server and Data Center, Bitbucket Server and Data Center en Bamboo Server and Data Center. Er zijn updates beschikbaar voor alle genoemde producten.
Het Internet Systems Consortium (ISC) is een non-profit organisatie die zich richt op de ontwikkeling van software en diensten ter ondersteuning van de internetinfrastructuur. Zij heeft verschillende kritieke kwetsbaarheden in haar producten gepatcht. De kwetsbaarheden bieden de mogelijkheid tot het uitvoeren van een Denial-of-Service (DoS) aanval. Het gaat in dit geval om kwetsbaarheden in de Berkeley Internet Name Domain (BIND) 9 Domain Name System (DNS) software suite.
Apple heeft recent patches vrijgegeven voor drie nieuwe zero-day kwetsbaarheden die actief worden uitgebuit. Deze volgen op de twee zero-day kwetsbaarheden van begin september. Het gaat om kwetsbaarheden in iOS, iPadOS, macOS, watchOS en Safari, waarbij cybercriminelen onder andere hun rechten kunnen vergroten. Het advies is daarom om deze updates zo snel mogelijk te installeren.
Tot slot aandacht voor een kwetsbaarheid in Gitlab. Deze kwetsbaarheid doet zich voor in de Enterprise Edition en de Community Edition en stelt een cybercrimineel in staat om misbruik te maken van de scan execution policies. Daardoor is het mogelijk om als een andere gebruiker pijplijn-acties uit te voeren. Er is een update beschikbaar, ook hier is het advies om deze zo snel mogelijk te installeren.
#WakeUpWednesday 20 september 2023
Cybercriminelen zitten niet stil. Aanvalsmethodes veranderen en nieuwe technieken worden toegepast. Momenteel is er een campagne actief gericht op Facebook Business-accounts. Het doel is om de inloggegevens van slachtoffers te verzamelen. Hierbij wordt gebruik gemaakt van een variant van de Python gebaseerde NodeStealer-malware. Deze malware compromitteert alle browser cookies en inloggegevens. Deze accountgegevens kunnen vervolgens worden ingezet voor verdere malafide praktijken.
Uit onderzoek van Trend Micro blijkt dat de cybercriminelen achter de infostealers RedLine en Vidar hun operaties stroomlijnen en hun technieken multifunctioneel maken. Via phishing-campagnes worden de initiële payploads verspreid. Deze zijn ondertekend met Extended Validation (EV) code signing certificaten. Vervolgens wordt er via dezelfde techniek ransomware verspreid.
Juniper Networks laat weten dat naar schatting 12.000 SRX-firewalls en EX-switches getroffen zijn door een remote code execution kwetsbaarheid. Cybercriminelen kunnen daarbij op afstand code uitvoeren zonder authenticatie. Juniper heeft in Augustus meerdere kwetsbaarheden in de vorm van ‘PHP-environment variant manipulation’ en ‘Missing Authentication for Critical Function’, vrijgegeven. Zowel watchTowr Labs als VulnCheck hebben PoC exploits gepubliceerd. Er zijn updates beschikbaar, het advies is om deze zo snel mogelijk te installeren.
#WakeUpWednesday 13 september 2023
Cisco waarschuwt voor een kwetsbaarheid in Cisco Adaptive Security Appliance (ASA) en Cisco Firepower Threat Defense (FTD). De kwetsbaarheid wordt momenteel actief door ransomwaregroeperingen uitgebuit om zich toegang te verschaffen tot bedrijfsnetwerken. Op dit moment is er nog geen update beschikbaar om deze kwetsbaarheid te verhelpen. Cisco heeft wel een security update gepubliceerd om het risico op uitbuiting te mitigeren.
Naast bovenstaande update heeft Cisco updates vrijgegeven voor het verhelpen van kritieke kwetsbaarheden in Cisco BroadWorks Application Delivery Platform ead Cisco BroadWorks Xtended Services Platform. De meest belangrijke kwetsbaarheid, een zwakte in de single sign-on (SSO)-implementatie, is in deze update opgelost. Succesvol misbruik van deze kwetsbaarheid zou een niet-geverifieerde externe aanvaller in staat kunnen stellen de inloggegevens te vervalsen die nodig zijn om toegang te krijgen tot een getroffen systeem.
Veel organisaties maken gebruik van Microsoft Teams om de samenwerking en communicatie tussen medewerkers te faciliteren. Momenteel is er door TrueSec een phishing campagne gesignaleerd die Microsoft Teams berichten gebruikt om malafide bijlages te verspreiden. Gebruikers van Microsoft Teams ontvangen een ZIP-file met de naam ‘Changes to the vacation schedule’. Door op de bijlage te klikken wordt de ZIP-file van een SharePoint URL gedownload. Deze file bevat vervolgens een LNK-file die is vermomd als een PDF-document. Vervolgens wordt een er reeks aan acties getriggerd die leidt tot de installatie van een payload die is geïdentificeerd als DarkGate Loader malware. DarkGate is momenteel nog relatief onbekend. We zien echter een toename in verspreiding en het aantal factoren waardoor een organisatie getroffen kan worden. Alertheid is daarom geboden.
Onderzoekers van Citizen Lab ontdekten dat cybercriminelen twee zero-days hebben misbruikt voor de infectie van iPhones met Pegasus-spyware. Voor het uitvoeren van de aanval verstuurden de cybercriminelen malafide afbeeldingen vanaf hun iMessage-account naar het slachtoffer. De spyware-infectie vindt plaats zonder verdere actie van het slachtoffer. Apple geeft aan dat het instellen van de Lockdown Mode deze specifieke aanval blokkeert. Voor deze kwetsbaarheden zijn beveiligingsupdates beschikbaar.
#WakeUpWednesday 6 september 2023
Onderzoekers van de Universiteit van Wisconsin-Madison hebben een proof-of-concept-extensie naar de Chrome Web Store geüpload die leesbare wachtwoorden uit de broncode van een website kan stelen. Uit onderzoek naar de tekstinvoervelden in webbrowsers blijkt dat het toestemmingsmodel dat ten grondslag ligt aan Chrome-extensies strijdig is met het principe waarbij zo min mogelijk privileges worden toegekend. Daarnaast ontdekten de onderzoekers dat talloze websites wachtwoorden in leesbare tekst opslaan in de HTML-broncode van hun webpagina’s, waardoor extensies deze kunnen ophalen.
Ook voor een kritische kwetsbaarheid in VMware’s Aria Operations for Networks is proof-of-concept exploit code verschenen. De kwetsbaarheid betreft een SSH authentication bypass. Deze kwetsbaarheid is verholpen in de update die afgelopen woensdag is vrijgegeven. Daarnaast heeft VMware een update vrijgegeven voor een eerdere kwetsbaarheid waarbij aanvallers beheerdersrechten konden verwerven en op afstand code konden uitvoeren.
Verder opnieuw aandacht voor de beveiliging van Microsoft SQL-servers. Uit analyse van Securonix blijkt dat cybercriminelen momenteel niet goed beveiligde Microsoft SQL-servers gebruiken om tools als Cobalt Strike te installeren en vervolgens FreeWorld ransomware uit te voeren. FreeWorld is een nieuwere variant van Mimic ransomware. De initiële toegang tot de host wordt bereikt door brute-forcing van de MS SQL-server. Daarna wordt gebruik gemaakt van de xp_cmdshell-configuratieoptie om shell-opdrachten uit te voeren. De volgende fase betreft het belemmeren van de activiteiten van de firewall. Vervolgens wordt verbinding gemaakt met een externe SMB-share om bestanden van en naar het slachtoffersysteem over te dragen en kwaadaardige tools zoals Cobalt Strike te installeren.
In een gezamenlijke internationale actie van politie– en justitiediensten is een van de grootste botnets, Qakbot, onschadelijk gemaakt. Qakbot was een van de grootste botnets ter wereld en werd onder andere gebruikt voor het uitvoeren van ransomware-aanvallen, financiële fraude en het verspreiden van miljoenen phishing mails. Wil je weten of jouw gegevens in de datasets voorkomen, dan kan je dit controleren via www.checkjehack.nl
#WakeUpWednesday 30 augustus 2023
Afgelopen week is er een update verschenen met betrekking tot de Ivanti Sentry kwetsbaarheid. Omdat er momenteel een POC-exploit beschikbaar is, adviseren wij om zo snel mogelijk te patchen.
Verder waarschuwt de FBI dat Barracuda Networks Email Security Gateway (ESG)-apparaten die recent gepatcht zijn in verband met een kritieke kwetsbaarheid, nog steeds het risico lopen om gecompromitteerd te worden. De geboden oplossingen worden door de FBI als “ineffectief” beoordeeld, mede doordat het aanvallen blijft waarnemen. Daarbij fungeert een succesvolle breach als kanaal om verschillende soorten malware te deployen. Barracuda adviseert getroffen organisaties om de gecompromitteerde apparatuur te vervangen.
Een andere ontwikkeling op het gebied van malware is het nieuwe Whiffy Recon. Cybercriminelen die ook gelinkt worden aan het Smoke Loader botnet gebruiken Whiffy Recon om via een driehoeksmeting de locatie van geïnfecteerde apparaten vast te stellen. Daarbij worden de gegevens die via WiFi-scanning worden verkregen verrijkt met data van Google’s geolocatie API. Met de locatiegegevens kunnen cybercriminelen meer gericht aanvallen uitvoeren en/of slachtoffers verder onder druk zetten.
Tot slot is er een geüpdatete versie van KmsdBot verschenen. Deze nieuwe versie richt zich ook op IoT-apparaten, waarbij tegelijkertijd de functionaliteit als het mogelijk aanvalsoppervlak zijn uitgebreid. Uit onderzoek van Akamai blijkt dat KmsdBot momenteel meerdere CPU-architecturen ondersteunt en Telnet-scannen. De malware richt zich onder andere op cloud hosting providers, bepaalde overheidswebsites en sites van onderwijsinstellingen.
#WakeUpWednesday 23 augustus 2023
De afgelopen weken zijn er veel updates geweest met betrekking tot kritieke kwetsbaarheden. Zo is er onder andere gepubliceerd over Citrix ADC, Ivanti Endpoint Manager Mobile en de BeyondTrust PRA/RS kwetsbaarheid.
Verder is er een blog verschenen met eerder gepubliceerde kwetsbaarheden in de Microsoft Patch Tuesday update, waaronder de Microsoft Message Queueing kwetsbaarheid.
Daarnaast is er ook een kritieke kwetsbaarheid verholpen in WinRAR. De kwetsbaarheid in het archiveringsprogramma kan door cybercriminelen worden misbruikt om op afstand code uit te voeren nadat een speciaal vervaardigd RAR-bestand is geopend. De kwetsbaarheid werd ontdekt door ‘goodbyeselene’ en werd gerapporteerd aan het Zero Day Initiative. Er is een update beschikbaar, het advies is om deze zo snel mogelijk te installeren.
Ook Juniper Networks heeft een extra beveiligingsupdate uitgebracht om kritieke kwetsbaarheden te mitigeren. Het gaat daarbij om kwetsbaarheden in de J-Web-component van Junos OS. Het gaat hierbij om alle versies van Junos OS op de SRX- en EX-serie. Gecombineerd kunnen deze kwetsbaarheden aanvallers in staat stellen om op afstand code uit te voeren op kwetsbare apparaten.
Tot slot is er een kritieke kwetsbaarheid verholpen in Ivanti Sentry. De kwetsbaarheid is geregistreerd als CVE-2023-38035 en stelt een unauthenticated aanvaller met toegang tot de Sentry System Manager Portal (ook bekend als MICS, MobileIron Configuration Service) om configuratiewijzigingen aan te brengen in Sentry en het onderliggende besturingssysteem. Er is een patch beschikbaar, het advies is om deze zo snel mogelijk te installeren.
#WakeUpWednesday 26 juli 2023
Afgelopen week zijn er meerdere updates gepubliceerd rondom kritieke kwetsbaarheden in Citrix ADC en Citrix Gateway. De ernstigste kwetsbaarheid is een unauthenticated remote code execution, geregistreerd als CVE-2023-3519. Door dit beveiligingslek kan een externe, niet-geverifieerde aanvaller willekeurige code uitvoeren. Uitbuiting van CVE-2023-3519 is reeds waargenomen in het wild. We adviseren om zo snel mogelijk de beschikbare software updates te installeren.
Daarnaast zijn er beveiligingsbulletins gepubliceerd voor Adobe Coldfusion. In totaal gaat het om zeven kwetsbaarheden waarvan drie kritiek zijn. De zeven kwetsbaarheden zijn op de volgende versies van toepassing: ColdFusion 2018, ColdFusion 2021, en ColdFusion 2023. Er zijn updates beschikbaar. Ons advies is om deze zo snel mogelijk te installeren.
Verder heeft Ivanti een security blog gepubliceerd waarin een kritieke kwetsbaarheid wordt beschreven. De kwetsbaarheid is geregistreerd als CVE-2023-35078 en stelt een unauthenticated externe aanvaller in staat toegang te krijgen tot persoonlijk identificeerbare informatie van gebruikers en beperkte wijzigingen te maken op de server.
De inzet van Mallox-ransomware is in het afgelopen jaar met 174 procent gestegen ten opzichte van dezelfde periode in het voorgaande jaar. Dit blijkt uit onderzoek van Unit 42. Mallox-ransomware richt zich op Microsoft (MS) Windows-systemen. Deze ransomwarefamilie is actief sinds juni 2021. Kenmerkend is het misbruiken van onbeveiligde MS-SQL-servers als een penetratievector waarna het proces van dubbele afpersing wordt gevolgd. Gegevens worden gestolen voordat de bestanden van een organisatie worden versleuteld. Daarna wordt gedreigd met publicatie.
Er zijn verschillende gedistribueerde denial-of-service (DDoS) botnets waargenomen die misbruik maakten van een kritieke kwetsbaarheid in Zyxel-apparaten. Zo blijkt uit onderzoek van Fortinet. Deze kwetsbaarheid kwam in april 2023 in de openbaarheid. De kwetsbaarheid, CVE-2023-28771, is een opdrachtinjectie-bug die op meerdere firewallmodellen van toepassing is. Door uitbuiting van de kwetsbaarheid kan een niet-geautoriseerde gebruiker op afstand controle krijgen over de apparaten.
#WakeUpWednesday 19 juli 2023
OpenAI ChatGPT en Google Bard passen steeds strengere regels toe om misbruik van de tooling te voorkomen. WormGPT is volgens de bevindingen van SlashNext een nieuwe AI-tool waarmee cybercriminelen geavanceerde phishing en business e-mail compromise aanvallen kunnen voorbereiden. Deze technologie stelt hen in staat om zeer overtuigende malafide e-mails, die zijn gepersonaliseerd voor de ontvanger, te automatiseren zodat de kans op succes van de aanval wordt vergroot.
Er zijn verschillende kritieke kwetsbaarheden in onder andere Honeywell Experion distributed control system (DCS). De negen kwetsbaarheden in het Honeywell Experion DCS-platform maken ongeautoriseerde uitvoering van code op afstand mogelijk. Daarnaast zijn er door Armis ontwerpfouten in het CDA-protocol ontdekt waardoor er bufferoverflows kunnen ontstaan. Er zijn patches beschikbaar, aangeraden wordt om deze zo snel mogelijk te installeren.
In een gerelateerde ontwikkeling ontdekten Check Point en Claroty kwetsbaarheden in een chat- en videogesprekplatform dat bekend staat als QuickBlox. Dit platform wordt veel gebruikt in tele-geneeskunde, financiën en slimme IoT-apparaten. Door de kwetsbaarheden kunnen aanvallers de gebruikersdatabase lekken van veel populaire applicaties die QuickBlox SDK en API bevatten. Geadviseerd wordt om te updaten naar de laatste versie.
Ook Rockwell maakt melding van een nieuwe remote code execution kwetsbaarheid. Deze kwetsbaarheid kan worden gebruikt om niet-gepatchte ControlLogix-communicatiemodules te raken. Deze modules worden onder andere gebruikt in de productie-, elektriciteits-, olie-, gas- en de vloeibaar-aardgasindustrie. Er is een update beschikbaar, Rockwell adviseert om deze zo snel mogelijk te installeren.
AVrecon-malware heeft de afgelopen twee jaar meer dan 70.000 op Linux gebaseerde SOHO-routers geïnfecteerd en toegevoegd aan een botnet. Volgens Black Lotus Labs omvat het botnet meer dan 40.000 nodes in ruim 20 landen en is één van de grootste botnets dat tot op heden ontdekt is. De malware werd in eerste instantie in mei 2021 ontdekt toen het zich richtte op Netgear-routers. Daarna bleef het lange tijd onopgemerkt waardoor het kon uitgroeien tot een botnet van deze omvang.
Op 18 juli heeft Citrix een beveiligingsbulletin uitgebracht waarin drie kwetsbaarheden worden beschreven. De ernstigste kwetsbaarheid is een unauthenticated remote code execution in Citrix ADC en Citrix Gateway. Meer informatie over deze kwetsbaarheid in onze blog.
#WakeUpWednesday 12 juli 2023
In het interview dat de Autoriteit Persoonsgegevens heeft gegeven aan security.nl komen een aantal redenen voor het ontstaan van een datalek aan bod. Het vergroten van het securitybewustzijn bij medewerkers, het bieden van de juiste hulpmiddelen, goed leveranciersmanagement en het snel updaten van software en systemen kunnen bijdragen aan het terugdringen van het aantal incidenten.
Onderzoekers van Fortinet hebben recent twee monsters van de ransomware ‘Big Head’ geanalyseerd. Hierbij is gekeken naar de infectievector en naar de manier waarop de malware wordt uitgevoerd. Afgelopen week heeft Trend Micro een rapport gepubliceerd waarbij zij naast de twee eerdere monsters ook een derde hebben geanalyseerd. De conclusie die wordt getrokken is dat deze malware door dezelfde operator is geschreven en dat deze experimenteert met verschillende benaderingen om de aanval te optimaliseren. Big Head ransomware is een .NET binary die drie AES-gecodeerde bestanden installeert op het doelsysteem: één wordt gebruikt om de malware te verspreiden, de tweede is voor Telegram bot-communicatie en de derde codeert bestanden en kan de gebruiker ook een valse Windows-update tonen.
Progress, de ontwikkelaars van MOVEit Transfer, heeft opnieuw een update uitgebracht om kritieke kwetsbaarheden te verhelpen. De meest kritieke kwetsbaarheid betreft een SQL-injectiebug. Daarnaast worden er nog twee minder ernstige kwetsbaarheden verholpen. Met SQL-injectiekwetsbaarheden kunnen aanvallers speciale query’s maken om bijvoorbeeld toegang te krijgen tot een database. De SQL-injectiebug is geregistreerd als CVE-2023-36934. Het betreft een kwetsbaarheid in de webapplicatie die kan worden misbruikt zonder authenticatie van de gebruiker.
Microsoft heeft opnieuw een update uitgebracht voor een probleem met Defender Antivirus waarbij gebruikers van Windows 11 21H2 en 22H2 meldingen ontvingen dat Local Security Authority Protection was uitgeschakeld. Het probleem met LSA Protection bestaat al geruime tijd. Het probleem zou initieel in april zijn opgelost. Die update is echter in mei ingetrokken waarna er nu een nieuwe update is vrijgegeven.
#WakeUpWednesday 5 juli 2023
Onderzoekers van Trend Micro hebben ontdekt dat ransomwaregroepering BlackCat momenteel Cobalt Strike malware verspreidt via malvertising. Via bijvoorbeeld het gebruik van Google Ads en/of het kapen van specifieke keywords worden nepadvertenties getoond op de zoekresultatenpagina’s van Bing en Google. In dit geval betreft het advertenties voor het downloaden van WinSCP. Het idee is om gebruikers die zoeken naar toepassingen zoals WinSCP te verleiden tot het downloaden van malware, in dit geval een backdoor die een Cobalt Strike Beacon bevat die verbinding maakt met een command-and-control server voor vervolgacties, zoals het vergroten van de netwerktoegang of het verkrijgen van hogere toegangsrechten.
Cyberbeveiligingsbedrijf Avast heeft een gratis decryptor uitgebracht voor de Akira ransomware. Dankzij deze decryptor kunnen slachtoffers hun gegevens herstellen zonder losgeld te betalen. Er is zowel een 64-bit als een 32-bit versie beschikbaar.
RustBucket malware, gericht op Apple macOS-systemen, heeft volgens onderzoekers van Elastic Security Labs verbeterde mogelijkheden gekregen voor onder andere het vermijden van detectie door beveiligingssoftware. Daarnaast maakt de malware momenteel gebruik van een dynamische netwerkinfrastructuurmethode voor command-and-control. De malware, gecompileerd in Swift, werkt als een soort tweetrapsraket en is ontworpen om van de command-and-control server de hoofdmalware te downloaden. Deze hoofdmalware is een op Rust gebaseerde binary met functies om uitgebreide informatie te verzamelen. Aanvullend worden Mach-O-binaire bestanden van het geinfecteerde systeem opgehaald of worden shellscripts uitgevoerd.
#WakeUpWednesday 28 juni 2023
Het installeren van updates is een essentiële maatregel om het risico op een cyberincident te verkleinen. Momenteel is er malware actief die ervoor zorgt dat LB-Link en TP-Link routers van het type AX21 (AX1800) onderdeel worden van een DDoS-netwerk. De routers van LB-LINK worden aangevallen via een kwetsbaarheid (CVE-2023-26801). Een aanvaller kan hierdoor willekeurige commando’s op de router uitvoeren. Het is momenteel nog geen updates beschikbaar, het wordt daarom geadviseerd om mitigerende maatregelen te nemen.
In het geval van TP-LINK gaat het om kwetsbaarheid (CVE-2023-1389). Dit is een kwetsbaarheid (CVE-2023-1389) waardoor command injection via de webinterface mogelijk is. Waarna een cybercrimineel malware kan installeren. Updates voor deze kwetsbaarheid zijn al eind april vrijgegeven, wij adviseren om deze (alsnog) zo snel mogelijk te installeren.
Fortinet heeft een update uitgebracht om een kritieke kwetsbaarheid in haar FortiNAC-oplossing te verhelpen. Kwaadwillenden kunnen door het uitbuiten van deze kwetsbaarheid systemen op afstand overnemen. Het advies is om de beschikbare update zo snel mogelijk te installeren.
Verder wordt er actief misbruik gemaakt van een kritieke kwetsbaarheid in Zyxel NAS-apparatuur. Het gaat daarbij specifiek om de types NAS326, NAS540 en NAS542. Het uitbuiten van de kwetsbaarheid zorgt ervoor dat cybercriminelen systeemcommando’s op het NAS-apparaat kunnen uitvoeren, zonder dat daarbij inloggegevens vereist zijn. Er is een update beschikbaar, het advies is om deze zo snel mogelijk te installeren.
#WakeUpWednesday 21 juni 2023
Een nieuwe infostealer, genaamd Mystic Stealer, heeft de afgelopen maanden sterk aan populariteit gewonnen bij cybercriminelen. De malware wordt aangeboden op diverse fora tegen een abonnementsprijs van 150 dollar per maand. De malware richt zich onder andere op 40 webbrowsers, 70 browserextensies, 21 cryptocurrency-applicaties, 9 MFA- en wachtwoordbeheerapplicaties en 55 browserextensies voor cryptocurrency.
Mystic Stealer is gericht op alle Windows-versies, vanaf Windows XP tot Windows 11, en ondersteunt 32- en 64-bits OS-architecturen. De malware is niet afhankelijk van specifieke systeemonderdelen, waardoor de voetafdruk op geïnfecteerde systemen minimaal is en detectie wordt bemoeilijkt. Bovendien voert Mystic Stealer verschillende anti-virtualisatiecontroles uit, zoals het inspecteren van de CPUID-details om ervoor te zorgen dat het niet wordt uitgevoerd in sandboxed omgevingen. Zowel door Zscaler als door Cyfirma wordt gewaarschuwd voor de opkomst en de geavanceerdheid van deze malware.
Opnieuw aandacht voor een kwetsbaarheid in MOVEit Transfer. Progress adviseert om alle HTTP-toegang tot hun omgevingen te beperken nadat informatie over een nieuwe SQL-injectiefout (SQLi) bekend is geworden (CVE-2023-35708) bekend is geworden. Deze kwetsbaarheid kan leiden tot geëscaleerde privileges en ongeautoriseerde toegang tot de omgeving. De organisatie heeft beveiligingspatches uitgebracht om deze nieuwe kritieke kwetsbaarheid voor alle getroffen softwareversies te verhelpen.
BatCloak is een tool ontworpen om batchbestanden te versleutelen. Deze BAT-bestanden blijken in staat om in ongeveer 80% van de gevallen antivirusdetectie-oplossingen te omzeilen. Onderzoekers van Trend Micro ontdekten honderden zwaar versleutelde batchbestanden die worden gebruikt voor de inzet van gemodificeerde en volledig ondetecteerbare (FUD) malware. Deze bestanden hebben een opmerkelijk vermogen laten zien om voortdurend beveiligingsoplossingen te omzeilen. Dit heeft tot gevolg dat cybercriminelen hierdoor ongemerkt verschillende malwarefamilies en exploits kunnen laden om deze vervolgens uit te voeren.
#WakeUpWednesday 14 juni 2023
Fortinet heeft updates uitgebracht voor een kritieke kwetsbaarheid in de firmware van zijn Fortigate firewalls. Deze updates verhelpen een eerder niet bekendgemaakte kwetsbaarheid in SSL VPN-apparaten. De updates zijn uitgebracht in versies 6.0.17, 6.2.15, 6.4.13, 7.0.12 en 7.2.5 van de FortiOS firmware. In onze blog vindt u meer informatie over deze kritieke kwetsbaarheid.
In het e-commerceplatform van Honda zijn security kwetsbaarheden ontdekt. Door het ontbreken en/of niet goed implementeren van de toegangscontrole konden aanvallers een wachtwoord reset uitvoeren op Honda’s Power Equipment Tech Express (PETE) website. Hierdoor konden aanvallers ongelimiteerd toegang krijgen tot gevoelige data van dealers. Het uitbuiten van deze kwetsbaarheid bood de aanvallers de mogelijkheid om volledige admin rechten te verwerven waarna ook de data van de dealers toegankelijk werd en kon worden gemanipuleerd.
Naast de eerdere berichten rondom kritieke kwetsbaarheden in MOVEit Transfer zijn er nieuwe kwetsbaarheden gepubliceerd. Alle MOVEit Transfer-versies zijn kwetsbaar. De kwetsbaarheid stelt niet-geauthenticeerde aanvallers in staat om via internet blootgestelde servers te compromitteren en klantgegevens te wijzigen of te extraheren. Het wordt sterk aanbevolen om de update van 9 juni zo snel mogelijk te installeren.
#WakeUpWednesday 7 juni 2023
Een aantal bekende kwetsbaarheden in Zyxel-firewalls worden momenteel actief uitgebuit. Twee van deze kritieke kwetsbaarheden stellen een aanvaller in staat om de firewall op afstand over te nemen. Het advies is om de HTTP/HTTPS-services die worden gebruikt voor het beheer van de apparaten vanaf het WAN uit te schakelen. Hierdoor is de firewall niet meer vanaf het internet te benaderen. Voor de kwetsbaarheden zijn eind mei updates uitgebracht. Het advies is om deze zo snel mogelijk te installeren.
Een andere kwetsbaarheid die momenteel actief wordt uitgebuit is een kwetsbaarheid in MOVEit Transfer. Deze software biedt organisaties de mogelijkheid om veilig bestanden uit te wisselen tussen organisaties onderling en/of met klanten. Volgens Rapid 7 gaat het om een SQL-injectie kwetsbaarheid. Dit kan een remote code execution tot gevolg hebben. Momenteel is nog niet voor elke versie een update beschikbaar. Om uitbuiting te voorkomen, wordt het aangeraden om extern verkeer naar poorten 80 en 443 op de MOVEit Transfer-server te blokkeren. Meer informatie over mitigerende maatregelen vindt u hier.
Analyse van de Linux-variant van de nieuwe ransomwarefamilie BlackSuit vertoont erg veel gelijkenis met Royal-ransomware. Op basis van onderzoek door TrendMicro blijkt een zeer grote mate van gelijkenis, met onder andere 98 procent overeenkomsten op basis van functionaliteit. Los van deze grote gelijkenis zijn er ook verschillen. Zo bevat BlackSuit extra command-line argumenten en worden verschillende bestanden met specifieke extensies vermeden in het versleutelingsproces.
#WakeUpWednesday 24 mei 2023
Een van de manieren om het cybercriminelen moeilijker te maken om hun activiteiten uit te voeren is het gebruik van unieke, sterke wachtwoorden. Om al deze wachtwoorden te onthouden maken veel mensen gebruik van een wachtwoordmanager, zoals KeePass. De wachtwoorden in KeePass worden ge-encrypt opgeslagen in een database die is beveiligd met een master wachtwoord. Pas als ingelogd is met dit master wachtwoord zijn de opgeslagen gegevens toegankelijk. Door een kwetsbaarheid in KeePass is het echter mogelijk om in specifieke gevallen dit master wachtwoord te achterhalen in platte tekst, ongeacht of het apparaat waar KeePass op is geïnstalleerd is vergrendeld en/of de KeePass actief is. Er is een Proof of Concept (POC) voor deze kwetsbaarheid. De kwetsbaarheid heeft impact op versies 2.x voor Windows, Linux en macOS. De verwachting is dat deze kwetsbaarheid met de 2.54 update wordt verholpen.
TurkoRat, een open source infostealer, is ontdekt in twee malafide pakketten in de npm package repository. De infostealer, die door ReversingLabs is geanalyseerd, had het gemund op onder andere inloggegevens, websitecookies en gegevens van crypto-wallets. De twee pakketten, nodejs-encrypt-agent en nodejs-cookie-proxy-agent, werden gezamenlijk ongeveer 1200 keer gedownload voordat ze werden geïdentificeerd en verwijderd.
Recentelijk is door Microsoft het gebruik van CL0p-ransomware waargenomen door Sangria Tempest, een actor die eerder bekend stond als FIN7. In de recente aanvallen gebruikt Sangria Tempest het Powershell-script POWERTRASH om voet aan de grond te krijgen binnen het slachtoffernetwerk. Daarna worden OpenSSH en Impacket gebruikt om door het netwerk te bewegen en de ransomware uit te voeren.
#WakeUpWednesday 17 mei 2023
Configuratiefouten kunnen door cybercriminelen worden gebruikt als mogelijk aanvalspad om een organisatie binnen te dringen. CLR SqlShell Malware is een vorm van malware die zich richt op Microsoft SQL (MS SQL) servers met als doel het uitrollen van cryprocurrency miners en ransomware. In het rapport dat AhnLab Security Emergency response Center heeft gedeeld wordt aangegeven dat SqlShell een malwarestam is die na installatie op een MS SQL-server verschillende functies ondersteunt, zoals het uitvoeren van commando’s van cybercriminelen en het uitvoeren van allerlei soorten kwaadaardig gedrag.
Cisco Talos beschrijft een nieuw phishing-as-a-service platform genaamd Greatness. Doel van deze phishingcampagnes zijn zakelijke Microsoft 365 cloud-accounts. De affiliates die gebruik maken van Greatness worden voorzien van een bijlage en link builder waarmee zeer overtuigende pagina’s die als lokaas dienen en loginpagina’s worden gemaakt. Daarbij wordt rekening gehouden met bedrijfslogo’s en achtergrondafbeeldingen en het automatisch invullen van het mailadres van het slachtoffer. Daarnaast biedt Greatness ook functies als het omzeilen van zwakke multifactor-authenticatie, IP-filtering en de integratie met Telegram-bots.
Akira is een nieuwe ransomwarefamilie die in maart voor het eerst gezien is tijdens ransomware-aanvallen. Deze familie staat los van de ransomware uit 2017 met dezelfde naam. Eerst wordt de data geexfiltreerd, daarna worden de Windows Shadow Volume bestanden van apparaten verwijderen met een PowerShell commando en wordt de data versleuteld. De Windows Restart Manager API wordt gebruikt om openstaande bestanden te sluiten indien deze het versleutelproces verhinderen. In het losgeldbericht wordt aangegeven dat de aanvaller na betaling een ‘securityrapport’ deelt waarin wordt aangegeven welke kwetsbaarheid of kwetsbaarheden zijn gebruikt om bij het slachtoffer binnen te komen.
#WakeUpWednesday 10 mei 2023
Er zijn drie kritieke kwetsbaarheden in Microsoft Azure API Management service bekend gemaakt. Het betreft twee server-side request forgery (SSRF) kwetsbaarheden. Uit onderzoek van Ermetic blijkt dat door misbruik te maken van de SSRF-kwetsbaarheden, aanvallers onder andere verzoeken konden sturen vanuit de CORS-proxy van de dienst en de hosting-proxy zelf en webapplicatie-firewalls konden omzeilen. In het derde geval gaat het om het misbruik van de onbeperkte bestandsupload functionaliteit in het API Management ontwikkelaarsportaal. Er is een update beschikbaar voor deze kwetsbaarheden.
Malware die wordt verspreid via Google Ads is niet nieuw. Deze techniek wordt ook gebruikt voor de verspreiding van nieuwe malware, genaamd LOBSHOT. Elastic Security Labs heeft een analyse geschreven over de werking van deze malware. LOBSHOT is een remote access trojan die wanneer de malware op een systeem draait, eerst kijkt of Microsoft Defender actief is en deze vervolgens uitschakelt. Vervolgens worden de systeeminstellingen zo gewijzigd dat de malware automatisch opstart wanneer de gebruiker inlogt op Windows. Daarna wordt systeeminformatie van het geïnfecteerde systeem, inclusief lopende processen, doorgegeven.
Tot slot aandacht voor Fleckpe, een Android trojan. Deze trojan werd verspreid via legitieme apps in de Google Play Store. Onderzoekers van Kaspersky ontdekten de malware in 11 apps, waaronder fotobewerkingapps en apps voor smartphone wallpapers. De malware is sinds 2022 op meer dan 620.000 apparaten geïnstalleerd. De apps zijn inmiddels uit de Play Store verwijderd. Fleckpe probeerde om slachtoffers te laten abonneren op dure premium services. De malware was daarbij zelfs in staat om, indien een extra bevestigingscode nodig was, deze code uit de notificaties te halen en te gebruiken. Deze vorm van malware neemt volgens Kaspersky momenteel in populariteit toe.
#WakeUpWednesday 3 mei 2023
Cybercriminelen bieden een nieuwe infostealer aan op Telegram. Deze infostealer, met de naam Atomic macOS Stealer (AMOS), richt zich op systemen die draaien op Apple macOS. De onderzoekers van Cyble Research and Intelligence Labs geven aan dat deze infostealer verschillende soorten informatie steelt, waaronder wachtwoorden, volledige systeeminformatie, bestanden van het bureaublad en uit de documentenmap en zelfs het macOS-wachtwoord. Daarnaast richt het zich ook op meerdere browsers en cryptowallets.
Verder is er door onderzoekers van Trend Micro een nieuwe versie ontdekt van ViperSoftX. Deze malware valt ook in de categorie infostealers. Deze nieuwe versie richt zich op een breder aantal doelen waaronder meer cryptowallets en wachtwoordmanagers zoals KeePass en 1Password. Daarnaast kan het inmiddels naast Chrome ook verschillende andere browsers infecteren. Tot slot zijn er diverse aanpassingen gedaan die de encryptie van ViperSoftX hebben verbeterd en tegelijkertijd ervoor zorgen dat de detectie door securitytooling bemoeilijkt wordt.
Er is een update beschikbaar voor twee kwetsbaarheden in Zyxell firewalls. De eerste kwetsbaarheid (CVE-2023-28771), stelt cybercriminelen in staat om bepaalde OS-commando’s op afstand uitvoeren door bewerkte pakketten naar het getroffen apparaat te sturen. Dit is mogelijk door een onjuiste verwerking van foutmeldingen in sommige firewallversies. De tweede is CVE-2023-27991. In dit geval wordt een geauthenticeerde aanvaller in staat gesteld om sommige OS-commando’s op afstand uit te voeren.
Een kwetsbaarheid in Veeam Backup and Replication (VBR)-software wordt momenteel uitgebuit door cybercriminelen. Deze kwetsbaarheid stelt versleutelde referenties die zijn opgeslagen in de VBR-configuratiedatabase bloot aan niet-geauthenticeerde gebruikers in de back-upinfrastructuur. Dit kan worden misbruikt om toegang te krijgen tot de hosts van de back-upinfrastructuur. De Veeam back-upservers zijn momenteel het doelwit van ten minste één groep cybercriminelen waarvan bekend is dat ze samenwerken met meerdere high-profile ransomware-bendes. Er is een update beschikbaar, het advies is om deze zo snel mogelijk te installeren.
#WakeUpWednesday 26 april 2023
Een kritieke kwetsbaarheid in VMware Aria Operations for Logs, kan ervoor zorgen dat een ongeauthenticeerde aanvaller code als root kan uitvoeren. Deze kwetsbaarheid staat geregistreerd als CVE-2023-20864 en is aanwezig in versie 8.10.2. Hiervoor is een update uitgebracht en het wordt geadviseerd deze te installeren. Daarnaast is voor hetzelfde product kwetsbaarheid CVE-2023-20865 bekend gemaakt, deze is aanwezig in andere versies van de software. Deze kwetsbaarheid is alleen uit te buiten indien een cybercrimineel al beheerdersrechten op het systeem heeft. Meer informatie over deze kwetsbaarheden vind je hier.
Ook voor een kwetsbaarheid in Cisco Industrial Network Director (CVE-2023-20036) is een update beschikbaar. Deze kwetsbaarheid bevindt zich in een webUI onderdeel en wordt veroorzaakt door een foutieve invoervalidatie bij het uploaden van een Device Pack. Een cybercrimineel kan daardoor zonder toestemming willekeurige commando’s uitvoeren op het besturingssysteem van een getroffen apparaat.
Er is een nieuwe ‘alles-in-één’-infostealer opgedoken. Deze malware, genaamd EvilExtractor, bevat verschillende modules die werken via een FTP-service. De analyse van Fortinet laat zien dat deze malware als primair doel het stelen van browserdata en informatie van besmette endpoints heeft. Deze data wordt vervolgens geupload naar de FTP-server van de cybercrimineel. Naast het stelen van informatie biedt de malware cybercriminelen ook de mogelijkheid om ransomware uit te rollen.
Ook Bumblebee-malware wordt momenteel actief verspreid door gebruik te maken van malafide advertenties en het beïnvloeden van zoekresultaten. Bumblebee kan gebruikt worden om spyware of ransomware te installeren op besmette endpoints. Besmette installatiebestanden die populaire apps zoals Zoom, Cisco AnyConnect, ChatGPT en Citrix Workspace installeren, worden gebruikt om de malware te verspreiden. Vaak worden deze installatiebestanden gehost op websites met een URL lijkend op die van het officiële bedrijf. Gebruikers dienen goed op te letten dat zij software alleen downloaden van officiële websites van deze bedrijven. Bedrijven wordt aangeraden om veelgebruikte software centraal aan te bieden aan hun werknemers.
#WakeUpWednesday 19 april 2023
Er is nieuwe malware in omloop die zich richt op het stelen van gebruikersgegevens. Deze malware, genaamd Zaraza, wordt via Telegram te koop aangeboden. Het maakt bovendien gebruik van Telegram als command-en-control server. Zaraza kan gegevens uit 38 browsers stelen, waaronder Google Chrome, Microsoft Edge en FireFox. Voor cybercriminelen zijn gegevens zoals gebruikersnamen, wachtwoorden, bankgegevens en e-mailaccounts goud waard en kunnen worden verkocht op bijvoorbeeld online marktplaatsen.
Het Unit 42 team van Palo Alto heeft tijdens een recent incident via script blocking Windows Event Logs een data exfiltratie script van Vice Society waargenomen. De Vice Society ransomwaregroepering heeft dit script ontwikkeld om data van slachtoffers te stelen. Hierbij maken zij gebruik van de aanwezige Windows Powershell functionaliteit op de systemen van slachtoffers. Deze methode wordt “Living off the Land” genoemd waarbij aanvallers reeds aanwezige software misbruiken om minder snel op te vallen.
Action1, een oplossing voor remote monitoring van endpoints , wordt momenteel in toenemende mate ook door cybercriminelen misbruikt. Action1 wordt door administrators gebruikt voor onder andere het automatiseren van patchmanagement, het uitrollen van beveiligingsupdates en remote support op endpoints. Door cybercriminelen wordt de software momenteel misbruikt tijdens ransomware aanvallen.
Tijdens de Microsoft patchronde van afgelopen week zijn er drie belangrijke kwetsbaarheden opgelost in de Message Queueing service. Een van de belangrijkste betreft een kwetsbaarheid waarbij een niet-geauthenticeerde aanvaller de mogelijkheid heeft om op afstand code uit te voeren door een specifiek netwerkpakket naar de Microsoft Message Queueing service te sturen. Er is een beveiligingsupdate beschikbaar, wij adviseren om deze zo snel mogelijk te installeren.
#WakeUpWednesday 12 april 2023
Twee actief misbruikte zero-day kwetsbaarheden maken het voor cybercriminelen mogelijk om Apple-systemen volledig over te nemen. Deze beveiligingslekken bevinden zich in IOSurfaceAccelerator (CVE-2023-28206) en WebKit (CVE-2023-28205), de door Apple ontwikkelde browser engine. Apple zegt dat ze beide kwetsbaarheden heeft verholpen in iOS 16.4.1, iPadOS 16.4.1 en macOS Ventura 13.3.1. Voor macOS Big Sur en Monterey is versie 16.4.1 van Safari verschenen waarin alleen de WebKit kwetsbaarheid wordt opgelost.
De malware Balada Injector heeft veel schade aangericht bij WordPress-websites. Meer dan 1 miljoen websites werden geïnfecteerd door deze malware die actief is sinds 2017. Deze Balada Injector-campagne maakte gebruik van kwetsbaarheden in thema’s en plug-ins om websites binnen te dringen. De malware zorgt onder andere voor het aanmaken van een gebruikersaccount met administratorrechten. Daarnaast verzamelt het gegevens van het host systeem en maakt het backdoors aan om toegang te houden. Gebruikers van WordPress wordt aangeraden om hun software up-to-date te houden, het wachtwoord van de admin gebruiker aan te passen naar een sterk wachtwoord en om ongebruikte thema’s en plug-ins te verwijderen.
Het Taiwanese bedrijf Micro-Star International (MSI) heeft officieel bevestigd dat zij slachtoffer zijn geworden van een ransomware aanval. MSI maakte geen details bekend over hoe of wanneer de aanval plaatsvond maar zegt wel dat zij direct het incident response protocol in werking hebben gezet. Verder geeft MSI aan dat de getroffen systemen geleidelijk aan normaal functioneren en zegt dat gebruikers firmware/BIOS-updates alleen moeten downloaden en installeren van hun officiële website en niet van andere bronnen.
Het Belgische SD Worx is getroffen door een cyberaanval. SD Worx voert werkzaamheden uit op het gebied van HR en payroll en bedient 5,2 miljoen werknemers verdeeld over meer dan 82 duizend bedrijven. Na het ontdekken van deze kwaadaardige activiteiten in het datacenter worden de systemen preventief geïsoleerd om verdere gevolgen te beperken. Dit heeft gevolgen voor klanten uit het Verenigd Koninkrijk. Op dit moment kan men niet inloggen in de systemen van SD Worx en wordt men op de hoogte gehouden van het verdere verloop van de situatie.
#WakeUpWednesday 5 april 2023
Verschillende malware botnets richten zich momenteel op Cacti en Realtek kwetsbaarheden met als doel om ShelBot en Moobot malware te verspreiden. Moobot is een variant van Mirai malware. Deze malware werd in december 2021 gedetecteerd toen het zich richtte op Hikvision camera’s. Inmiddels is de malware geüpdatet en richt zich op meerdere D-Link RCE-kwetsbaarheden. Een van de functionaliteiten van Moobot is het kunnen scannen op andere bekende bots waarna de bijbehorende processen worden beëindigd. Op die manier kan Moobot de maximale capaciteit benutten voor het uitvoeren van DDoS-aanvallen. ShellBot werd voor het eerst in januari 2023 ontdekt en richt zich op de Cacti kwetsbaarheid. Fortinet heeft drie versies van deze malware gesignaleerd, wat er op duidt dat deze malware actief wordt onderhouden en aangepast. Wij adviseren om (security) updates te installeren zodra die beschikbaar zijn. Wordt een apparaat niet meer actief onderhouden door een leverancier, vervang deze dan door een nieuwer model. Is dat niet mogelijk, zorg dan voor goede detectie en response mogelijkheden in de periferie van het apparaat.
SentinelLabs heeft verschillende versies van AlienFox geanalyseerd. AlienFox is een set scripts die voornamelijk via Telegram wordt verspreid en zijn eenvoudig toegankelijk op onder andere GitHub. Dit zorgt ervoor dat de scripts voortdurend worden aangepast door cybercriminelen en er dus meerdere versies ontstaan. AlienFox wordt vooral gebruikt om API-sleutels en informatie te verzamelen van populaire diensten, waaronder informatie uit configuratiebestanden van dienstverleners zoals AWS, Google Workspace, Office365, OneSignal en Twilio.
Verder is er nieuwe malware ontdekt die zich richt op het stelen van informatie. Deze malware heeft de naam MacStealer gekregen en richt zich op Apple’s Catalina en latere macOS-versies die Intel M1 en M2 CPU’s gebruiken. Ondanks dat de malware nog in ontwikkeling is, is het al wel in staat om iCloud Keychain-gegevens, wachtwoorden en creditcardgegevens te exfiltreren die zijn opgeslagen in browsers zoals Brave, Google Chrome en Mozilla Firefox.
De Voice over IP (VoIP) desktop client 3CXDesktopApp, met versienummers 18.12.407 en 18.12.416, bevat waarschijnlijk een library die door een cybercrimineel is gewijzigd om supply chain-aanvallen uit te voeren. Wanneer de 3CXDesktopApp in uw omgeving wordt gebruikt, kan deze worden gebruikt om schadelijke payloads te downloaden naar het systeem waarop deze is geïnstalleerd. Momenteel lijken deze payloads informatie stelende malware te zijn. Op dit moment is bekend dat de 3CXDesktopApp voor het Microsoft Windows OS en MacOS de kwaadaardige code bevat.
#WakeUpWednesday 29 maart 2023
De afgelopen maanden is er veel geschreven over de voor- en nadelen van tools als ChatGPT. Door de populariteit hiervan bij veel mensen en organisaties is de tool ook aantrekkelijk geworden voor cybercriminelen. Zij hebben een malafide browser extensie geïntroduceerd onder de naam Chat GPT for Google. Deze malafide extensie heeft als doel om Facebook sessie-cookies buit te maken om zich daarmee toegang tot accounts te verschaffen. Deze accounts worden vervolgens ingezet om malafide activiteiten te promoten. Dit uit zich bijvoorbeeld in het promoten van het kopen van likes tot en met ISIS propaganda. Op dit moment is de extensie offline gehaald, maar het advies blijft om op je hoede te zijn met dit soort extensies.
Steeds vaker wordt de Android banking trojan Nexus door cybercriminelen gebruikt om financiële login portals en applicaties aan te vallen om fraude te plegen. Nexus biedt alle belangrijke functies om account takeover aanvallen uit te voeren tegen bankportalen en cryptocurrency-diensten, zoals het stelen van gebruikersgegevens en het onderscheppen van sms’jes. Uit broncode valt op te maken dat er waarschijnlijk nog functionaliteiten in ontwikkeling zijn. Een van deze functionaliteiten lijkt encryptie te zijn, wat kan duiden op een toekomstige ransomwaremodule.
IcedID, ook bekend als BokBot, begon in 2017 als een banking trojan. Deze trojan is ook in staat om aanvullende malware te leveren, waaronder ransomware. Meerdere groeperingen zijn gesignaleerd, die twee nieuwe varianten van deze malware inzetten. Een van nieuwe versies is een lite-versie die eerder werd gemarkeerd als een vervolg payload van de Emotet-malware. In februari 2023 werd ook een Forked-variant van IcedID ontdekt. Opmerkelijk is dat in deze nieuwe versies de web-injecties en backconnect-functionaliteit, die normaal gesproken worden gebruikt voor bankfraude, achterwege blijven. Waarschijnlijk worden de gewijzigde varianten gebruikt om de malware af te leiden van de typische banking trojan en bankfraude om zich te richten op de levering van payloads, waaronder waarschijnlijk de levering van ransomware.
Een nieuwe ransomwaregroepering genaamd ‘Dark Power‘ is opgedoken. De groepering claimt in de eerste maand reeds 10 slachtoffers te hebben gemaakt. De Dark Power payload werd geschreven in Nim, een cross-platform programmeertaal. Omdat Nim in populariteit stijgt onder cybercriminelen, wordt het over het algemeen beschouwd als een niche-keuze die waarschijnlijk niet wordt gedetecteerd door een groot deel van de cybersecurity-oplossingen.
#WakeUpWednesday 22 maart 2023
Een nieuw botnet, genaamd HinataBot, richt zich op het infecteren van Realtek SDK, Huawei routers en Hadoop YARN servers, om deze apparaten te kunnen misbruiken voor grote DDoS-aanvallen. Onderzoekers van Akamai hebben sinds begin dit jaar diverse samples onderzocht en vastgesteld dat de malware onder actieve ontwikkeling is. Nadat apparaten zijn geïnfecteerd, draait de malware in de achtergrond, wachtend op opdrachten die worden uitgevoerd vanaf de command & control-server. Verspreiding van de malware vindt plaats door brute-forcing van SSH-eindpunten of met behulp van infectiescripts en RCE payloads voor bekende kwetsbaarheden.
Emotet malware is malware die zijn oorsprong kent als bankingtrojan met als doel om toegang tot externe apparaten te krijgen en privégegevens buit te maken. Emotet werd verspreid via macro’s in geïnfecteerde Microsoft Word en Excel bestanden die als e-mail bijlage werden verstuurd. Om beveiligingsmaatregelen, zoals het blokkeren van macro’s, te omzeilen wordt er voor de verspreiding momenteel gebruik gemaakt van OneNote bijlages. Het blijft daarom belangrijk om alert te zijn en geen bijlages te openen van onbekende afzenders waarbij macro’s geactiveerd dienen te worden.
Recent zijn er diverse kwetsbaarheden gevonden in Exynos Modems van Samsung Semiconductor. Ook diverse Samsung smartphones worden hierdoor getroffen. Een update voor de kwetsbaarheden wordt op korte termijn verwacht. Tot die tijd raden wij aan om de workaround te gebruiken.
#WakeUpWednesday 15 maart 2023
In deze WakeUpWednesday gaan we in op verschillende soorten malware en de manieren waarop deze worden ingezet. Dat kan bijvoorbeeld zijn om data te exfiltreren of een ransomware-aanval te initiëren. BATLOADER malware is een loader die zorgt voor het distribueren van een volgende stap, zoals software voor het stelen van gegevens, banking malware, Cobalt Strike of ransomware. Momenteel misbruikt BATLOADER Google Ads voor het leveren van secundaire payloads zoals Vidar Stealer en Ursnif. Volgens het cyberbeveiligingsbedrijf eSentire worden de schadelijke advertenties gebruikt om een groot aantal legitieme apps en diensten te spoofen, zoals Adobe, OpenAPI’s ChatGPT, Spotify, Tableau en Zoom.
Verder hebben onderzoekers van HYAS een proof-of-concept ontwikkeld van polymorfe malware die OpenAI’s API gebruikt om detectie te ontwijken. De malware is door de onderzoekers BlackMamba genoemd. BlackMamba is een keylogger die als een op het oog onschuldig bestand wordt geleverd. Eenmaal uitgevoerd zoekt de malware echter contact met OpenAI en vraagt de AI keyloggingcode te genereren. Vervolgens wordt de dynamisch gegenereerde code binnen de context van het goedaardige programma uitgevoerd, waarbij het kwaadaardige polymorfe gedeelte volledig in het geheugen blijft. Telkens wanneer BlackMamba wordt uitgevoerd, wordt de keyloggingcapaciteit opnieuw gesynthetiseerd.
Alertheid blijft belangrijk, ook als het gaat om ogenschijnlijk onschuldige recruitmentverzoeken op LinkedIn. Een vermoedelijk Noord-Koreaanse groepering benadert onder andere security researchers met niet bestaande vacatures die moeten leiden tot het ontwikkelen van drie nieuwe, op maatgemaakte, malwarefamilies. De cybercriminelen gebruiken social engineering om hun doelwit te verleiden het gesprek verder te zetten via WhatsApp, waar de malware ‘PlankWalk’, een C++ backdoor, wordt afgeleverd. Deze backdoor helpt de cybercriminelen om voet aan de grond te krijgen binnen de bedrijfsomgeving van het slachtoffer.
Tot slot aandacht voor de Fortinet RCE kwetsbaarheid. Deze kwetsbaarheid is een heap buffer underflow in de FortiProxy administratieve interface waardoor een niet-geautoriseerde aanvaller willekeurige code kan uitvoeren en/of een DoS kan uitvoeren op de GUI.
#WakeUpWednesday 8 maart 2023
De FBI en de CISA (Cybersecurity & Infrastructure Security Agency) komen in een aparte cybersecurity advisory met aanbevelingen om een ransomware-aanval te voorkomen. De reden hiervoor is dat het afgelopen half jaar diverse organisaties in vitale sectoren doelwit zijn geworden van Royal-ransomware aanvallen. In veel gevallen kwamen de aanvallers binnen via RDP (Remote Desktop Protocol) en phishing. De belangrijkste aanbevelingen bevatten fundamentele maatregelen zoals: het maken van offline, versleutelde back-ups, het uitschakelen van ongebruikte poorten op systemen die toegang hebben tot het internet, het updaten van applicaties en systemen, het toepassen van netwerksegmentatie en het gebruik van multifactorauthenticatie.
Veel organisaties maken gebruik van cloudoplossingen en containers. Een geraffineerde aanvalscampagne met de naam ScarletEel richt zich op deze container-omgevingen voor diefstal van proprietary software en gebruikersgegevens. De oorspronkelijke besmetting was gebaseerd op het benutten van een kwetsbare, openbare dienst in een zelfbeheerd Kubernetes-cluster op Amazon Web Services. Naast het stelen van proprietary software en gebruikersgegevens omvatte de aanval ook de inzet van cryptominers.
Het pakket Colourfool is een schadelijk Python-pakket dat is geupload naar de Python Package Index (PyPU). Dit pakket bevat een infostealer en een trojan voor remote access. Het is onderdeel van een nieuwe malware met de naam Colour-blind dat is geïdentificeerd door het cyber threat intelligence team van Kroll. Colour-blind verwijst naar de democratisering binnen cybercrime en kan leiden tot een intensivering van het dreigingslandschap doordat er meerdere varianten kunnen ontstaan uit de code van anderen.
Verder publiceerde Microsoft op 14 februari 2023 tijdens de Patch Tuesday updates waarin CVE-2023-21716 wordt beschreven. Deze kwetsbaarheid is een heap corruptie kwetsbaarheid in de RTF-parser van Microsoft Word. Wanneer deze wordt uitgebuit, kan een niet-geautoriseerde aanvaller willekeurige code uitvoeren met de rechten van het slachtoffer. Op 5 maart 2023 is een proof-of-concept exploit gepubliceerd. Microsoft heeft patches en een aantal workarounds gepubliceerd. Het advies is om mitigerende maatregelen door te voeren.
Tot slot is het belangrijk om alert te blijven op EUFI-malware. BlackLotus is het eerste voorbeeld waarbij de malware in staat is om het Secure Boot-mechanisme te omzeilen. Hierdoor is het mogelijk om zelfs volledig gepatchte Windows 11 systemen te besmetten. De malware kan worden gebruikt om BitLocker, Microsoft Defender Antivirus en de Hypervisor-protected Code Integrity (HVCI) – ook bekend als de Memory Integrity-functie die beschermt tegen pogingen om de Windows Kernel te misbruiken – uit te schakelen.
#WakeUpWednesday 1 maart 2023
Privacy toezichthouders hebben richtlijnen gepubliceerd die het gebruik van social media veiliger moet maken. Deze Europese privacy toezichthouders staan ook wel bekend als de EDPB en beschrijven in deze richtlijnen over het herkennen en voorkomen van zogenoemde ‘dark patterns’. Deze regels zijn bedoeld om zowel gebruiker als ontwerpers van social media te vertellen waar zij op moeten letten wanneer zij bepaalde type knoppen, teksten en kleuren zien die proberen de gebruiker een keus te laten maken en hun persoonlijke gegevens afhandig te maken.
De PlugX Trojan is een echte wolf in schaapskleren. Deze doet zich voor als Windows Debugger Tool genaamd x64dbg, maar is ontworpen om beveiliging te omzeilen en controle te krijgen over het systeem. PlugX is ook bekend als Korplug en staat bekend om verschillende functionaliteiten zoals data-exfiltratie en misbruik van besmette apparaten.
LastPass is een wachtwoordmanager waar je als gebruiker wachtwoorden kunt opslaan. Zojuist is bekend geworden dat er inloggegevens zijn gestolen van een senior devops-programmeur. In het onderzoek van vorig jaar in augustus wees uit dat de cybercriminelen in eerste instantie alleen broncode en andere technische informatie hadden buitgemaakt. Nu blijkt dat er ook cloudback-ups zijn gestolen. LastPass kreeg vorig jaar meermaals te maken met veiligheidsincidenten en laat in een reactie te weten dat er verschillende maatregelen worden genomen om klanten te beschermen.
Tot slot gaat de politie in de toekomst het gebruik van technologie in gezichtsherkenning intensiveren. Minister Yesilgöz van Justitie en Veiligheid gaf aan dat er over de gezichtsherkenningstechnologie niet lichtzinnig mag worden gedaan. Aanvankelijk was in 2019 besloten door de toenmalige minister van Justitie en Veiligheid dat de techniek niet operationeel ingezet mocht worden. Sinds die tijd is de politie bezig met een rapport dat antwoord moet geven op juridische, ethische en technische vraagstukken voor de operationele inzet van gezichtsherkenning.
#WakeUpWednesday 22 februari 2023
Patchen is en blijft essentieel om het risico op een security-incident te verkleinen. Fortinet heeft updates uitgebracht voor 40 kwetsbaarheden in onder andere FortiWeb, FortiOS, FortiNAC en FortiProxy. Twee van de kwetsbaarheden worden beschouwd als kritiek en 15 kwetsbaarheden worden beschouwd als kwetsbaarheden met een hoog risico. De meest urgente kwetsbaarheid is CVE-2022-39952, met CVSS score 9.8. Wij adviseren om de updates zo snel mogelijk te installeren.
Onderzoekers van Forescout hebben twee nieuwe kwetsbaarheden vrijgegeven betreffende Schneider Electric Modicon PLCs. Deze kwetsbaarheden kunnen zorgen voor een authentication bypass en het op afstand uitvoeren van code door een niet-geautoriseerd persoon. De vrijgegeven kwetsbaarheden maken onderdeel uit van een grotere set. Het succesvol uitbuiten van deze kwetsbaarheden kan een cybercrimineel in staat stellen om code uit te voeren, zorgen voor een denial-of-service of het buitmaken (en publiceren) van gevoelige informatie.
Het belang van tijdig patchen blijkt ook uit een nieuwe malware genaamd ProxyShellMiner die de reeds in 2021 bekendgemaakte Exchange kwetsbaarheden uitbuit. Deze kwetsbaarheden, bekend onder de naam ProxyShell, worden nu in ProxyShellMiner gebruikt om cryptovaluta te minen binnen een Windows domein. Updates voor de ProxyShell kwetsbaarheden zijn al geruime tijd beschikbaar. De blog van Morphisec geeft handvatten hoe ProxyShellMiner te stoppen.
#WakeUpWednesday 15 februari 2023
Het adequaat reageren op kritieke kwetsbaarheden is een van de fundamentele maatregelen om de cyberveiligheid te garanderen. Zo wordt een kritieke kwetsbaarheid die in 2022 is gemeld voor NAS-systemen van fabrikant TerraMaster momenteel uitgebuit. Cybercriminelen kunnen dankzij deze kwetsbaarheid op afstand het beheerderswachtwoord achterhalen en daarmee inloggen. Vorig jaar maart en april zijn er reeds beveiligingsupdates uitgebracht. Het advies is om deze zo snel mogelijk te installeren.
Daarnaast is er door de CISA ( de U.S. Cybersecurity & Infrastructure Security Agency) ook een waarschuwing afgegeven voor het misbruik van kwetsbaarheden als Log4j, naast de hier bovengenoemde TerraMaster kwetsbaarheid. Deze kwetsbaarheden worden momenteel op grote schaal misbruikt om ransomware-aanvallen uit te voeren op kritieke infrastructuur.
Verder claimt de Clop ransomwaregroepering dat zij door gebruik te maken van de GoAnywhere kwetsbaarheid CVE-2023-0669 inmiddels 130 organisaties slachtoffer hebben gemaakt. Er is een patch beschikbaar, geadviseerd wordt om deze zo snel mogelijk te installeren. Indien kwetsbaarheden niet op korte termijn verholpen kunnen worden is het belangrijk om te zorgen dat er goede netwerkdetectie is ingeregeld en dat er bij een alert snel en adequaat gereageerd wordt.
Microsoft heeft dinsdag beveiligingsupdates uitgebracht voor 75 kwetsbaarheden, waarvan er momenteel drie actief worden uitgebuit. Het advies is om de updates zo snel mogelijk te installeren.
Tot slot meldt Proofpoint een nieuwe malware-groepering die sinds oktober 2022 voornamelijk Amerikaanse en Duitse organisaties raakt. Deze groepering, genaamd Screentime (TA866), heeft waarschijnlijk een financieel motief en richt zich op het stelen van vertrouwelijke informatie. Er worden diverse methodes gebruik om binnen te komen bij een organisatie. Ongeacht de gebruikte methode leidt het uitvoeren van het gedownloade JavaScript-bestand tot een MSI-installatieprogramma. Deze pakt een VBScript met de naam WasabiSeed uit. Deze functioneert als een hulpmiddel om next-stage malware op te halen van een externe server. Een van de hulpprogramma’s die WasabiSeed downloadt is Screenshotter. Dit hulpprogramma maakt regelmatig screenshots van het bureaublad van het slachtoffer en stuur die informatie naar een command-and-control (C2) server. Om het risico te beperken kunt u zelf al een aantal maatregelen nemen. Zorg dat VBScripts standaard uit staan en zorg dat uw medewerkers zich bewust zijn van de mogelijke risico’s.
#WakeUpWednesday 8 februari 2023
Momenteel is er door hackersgroepering Passion een nieuwe, flexibele tool in omloop gebracht om op een eenvoudige manier DDoS-aanvallen te initiëren waarbij het Passion-botnet wordt gebruikt. Voor een vast bedrag per maand kan een cybercrimineel de aanval aanpassen door een keuze te maken uit een van de tien aangeboden aanvalsvectoren. Daarnaast kan ook de duur en de intensiteit per aanval worden aangepast. De combinatie en de aanpasbaarheid hiervan maakt het moeilijker voor slachtoffers om deze DDoS-aanvallen te mitigeren.
Voor GoAnywhere MFT file transfer, een oplossing van Fortra die het veilig delen van bestanden faciliteert, is een zero-day kwetsbaarheid bekend gemaakt. De aanvalsvector van deze kwetsbaarheid vereist toegang tot de administratieve console van de applicatie, die in de meeste gevallen alleen toegankelijk is vanuit een privé-bedrijfsnetwerk, via VPN, of door IP-adressen op een whitelist (wanneer deze draait in cloud-omgevingen, zoals Azure). Er is momenteel geen patch beschikbaar. Als mitigerende maatregel wordt geadviseerd om servlet en de servlet-mapping tijdelijk uit te zetten of te verwijderen.
Ook Atlassian’s Jira Service Management Server en Data Center hebben te maken met een kritieke kwetsbaarheid waarbij niet-geautoriseerde personen toegang kunnen verkrijgen. Er is een update beschikbaar. Het advies is om deze zo snel mogelijk te installeren.
#WakeUpWednesday 1 februari 2023
QNAP heeft een update uitgebracht in verband met een kritieke kwetsbaarheid in het besturingssysteem van haar NAS-systemen. Cybercriminelen die gebruik maken van deze kwetsbaarheid kunnen op afstand kwaadaardige code tot uitvoer brengen. Het advies is om, indien uw organisatie gebruik maakt van deze NAS-systemen, zo snel mogelijk deze systemen te updaten.
VMware heeft afgelopen week een patch uitgebracht voor een aantal kritieke kwetsbaarheden in vRealize Log Insight. Twee van de gepatchte kwetsbaarheden scoren 9.8 op een schaal van 1 tot 10 en kunnen worden gebruikt door cybercriminelen in relatief eenvoudige aanvallen en zonder dat er gebruikersinteractie nodig is. De noodzaak om te patchen is nog groter geworden doordat onderzoekers op het punt staan om op korte termijn zowel exploit code als een POC bekend te maken. Mocht patchen niet mogelijk zijn dan adviseren wij om in ieder geval mitigerende maatregelen te nemen.
Momenteel wordt een vernieuwde versie van de SwiftSlicer-wiper ingezet om Windows domeinen te vernietigen. Kenmerkend voor wiper-malware is dat indien data vernietigd wordt deze niet meer te herstellen is. In tegenstelling tot ransomware, waar er door middel van decryptie nog een mogelijkheid tot herstel is, is data die geraakt wordt door een wiper echt vernietigd. SwiftSlicer richt zich daarbij op het overschrijven van cruciale files in het Windows besturingssysteem. Momenteel lijkt deze wiper vooral te worden ingezet tegen systemen in Oekraïne.
Malware verspreidt zich op diverse manieren, waaronder via USB-sticks. Onderzoekers hebben een nieuwe versie van de PlugX-malware ontdekt die wordt verspreid via USB-sticks. Deze PlugX-variant gedraagt zich als een worm en infecteert USB-apparaten op zo’n manier dat het zichzelf verbergt voor het Windows-bestandssysteem. Hierdoor is het voor een gebruiker onmogelijk op te merken dat zijn USB-apparaat is geïnfecteerd of mogelijk wordt gebruikt om gegevens uit het netwerk te exfiltreren.
#WakeUpWednesday 25 januari 2023
Cybercriminelen gebruiken verschillende manieren om bij organisaties binnen te komen. Veel voorkomende manieren zijn het uitbuiten van kritieke kwetsbaarheden, door gebruik te maken van phishing e-mails of door gebruik te maken van een zwakke plek bij een ketenpartner.
Rapid7 meldt dat cybercriminelen momenteel actief misbruik maken van een kritieke kwetsbaarheid in verschillende Zoho ManageEngine-producten. In totaal betreft het 24 verschillende oplossingen die kwetsbaar zijn, waaronder Access Manager Plus, PAM 360, Password Manager Pro en ServiceDesk Plus. Sinds eind oktober 2022 zijn er patches beschikbaar, het advies is om deze zo snel mogelijk te installeren.
E-mails met meegestuurde malafide Word of Excel bijlagen om malware te installeren en te verspreiden zijn minder in trek nadat Microsoft heeft ingesteld dat macro’s standaard uitgeschakeld zijn. Daarna kwamen versies met ISO- en 7-ZIP bestanden. Tegenwoordig zien we dat cybercriminelen vaker gebruik maken van OneNote-bijlagen in phishing e-mails waarbij slachtoffers kunnen worden geïnfecteerd met malware of wachtwoorden kunnen worden ontvreemd. Ook bij OneNote-bijlagen is er actie van de gebruiker nodig om malware te activeren. Er volgt wel een waarschuwing vanuit het systeem dat de bijlage mogelijk schadelijk is, echter veel gebruikers klikken deze waarschuwing weg.
Afgelopen week is er veel gebeurd op het gebied van ransomware. Een overzicht van de verschillende rapporten en ontwikkelingen, zoals nieuwe varianten van STOP ransomware en VoidCrypt, maar ook informatie over een decryptor voor BianLian is hier te vinden. Daarnaast heeft Cyberveilig Nederland een whitepaper gepubliceerd over data-exfiltratie. Doel van het whitepaper is het krijgen van inzicht in data-exfiltratie, het creëren van bewustwording en het bieden van handelingsperspectief.
#WakeUpWednesday 18 januari 2023
Het updaten van software is een belangrijke manier om het risico op een cyberincident te verminderen. Recent zijn er verschillende publicaties geweest om te waarschuwen voor een kwetsbaarheid in FortiOS SSL-VPN. Deze kwetsbaarheid wordt actief door cybercriminelen misbruikt. Met name overheidsinstellingen of organisaties die daaraan gerelateerd zijn lijken door de criminelen te worden aangevallen. Er is inmiddels een patch beschikbaar, het advies is om deze zo snel mogelijk te installeren.
Verder is er een Proof of Concept (POC) gepubliceerd voor een aantal kritieke kwetsbaarheden in populaire WordPress-plugins. Het gaat daarbij om kwetsbaarheden die SQL-injecties mogelijk maken. De gevonden kwetsbaarheden bevinden zich in de plugins Paid Memberships Pro, Easy Digital Downloads en Survey Marker. Ook een kwetsbaarheid in Control Web Panel (vroeger ook wel bekend als CentOS Web Panel) wordt momenteel actief misbruikt door cybercriminelen. Deze tool wordt gebruikt voor het managen van servers. Voor zowel de WordPress-plugins als voor de kwetsbaarheid in Control Web Panel zijn patches beschikbaar.
Cybercriminelen blijven nieuwe manieren bedenken om onder de detectieradar te blijven. In dit geval gebruikt men een combinatie van Polyglotbestanden en malafide Java archive (JAR) bestanden om remote access trojans zoals StrRAT en Ratty te verspreiden. Polyglotbestanden zijn bestanden die de syntax van twee of meer verschillende formaten zodanig combineren dat elk formaat kan worden doorgegeven zonder dat er een fout optreedt.
Tot slot waarschuwt het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) voor verschillende kwetsbaarheden in industriële controle systemen van onder andere Siemens, GE Digital en Contec.
#WakeUpWednesday 11 januari 2023
Een groot deel van de medewerkers gebruikt een smartphone voor zakelijke doeleinden. Dat maakt dat smartphones ook voor cybercriminelen een gewild doelwit zijn. Er zijn opvallend meer detecties van de Android malware SpyNote, ook wel SpyMax genoemd. Nadat de broncode van SpyNote publiekelijk beschikbaar is geworden door een van de laatste varianten, genaamd CypherRat, zijn er diverse varianten ontwikkeld. Vooral financiële instellingen lijken slachtoffer te worden van SpyNote. SpyNote combineert spyware met functionaliteit van bankmalware door bijvoorbeeld toestemming te vragen voor toegangsdiensten om zo twee-factor authenticatiecodes van Google Authenticator te kunnen gebruiken en toetsaanslagen op te nemen om bankgegevens over te nemen.
Omdat er binnen organisaties steeds meer verschillende apparaten door medewerkers worden gebruikt is het verstandig om ook op de verschillende apparaten (endpoints) monitoring in te richten via een Endpoint Detection and Response-oplossing.
Onderzoek wijst uit dat een variant van de Dridex-malware zich richt op macOS-systemen. Hierbij wordt een nieuwe techniek aangewend om documenten met kwaadaardige macro’s aan gebruikers te leveren. Alhoewel Dridex zich vaak voordoet als facturen of andere bedrijfsgerelateerde bestanden, hoeft dat hierbij niet het geval te zijn. Deze versie van Dridex overschrijft namelijk alle .doc bestanden in de huidige gebruikersmap en voegt daar de code van de kwaadaardige macro toe. Op deze manier probeert Dridex het automatisch blokkeren van macro’s te omzeilen door zich te nestelen in bestanden waar deze mogelijk wel zijn toegestaan. Omdat de code van deze macro probeert een .exe te downloaden en te openen, is de impact voor gebruikers van macOS minimaal, omdat macOS geen .exe extensie ondersteunt. Echter kunnen gebruikers onbewust deze kwaadaardige macro alsnog verspreiden wanneer zij geïnfecteerde bestanden delen met andere (Windows) gebruikers.
Ook de WerFault.exe foutrapportage tool wordt momenteel door cybercriminelen gebruikt om malware in het geheugen van een aangetast systeem te laden met behulp van een DLL sideloading techniek. De malware bevindt zich in een ISO bestand die als bijlage van een e-mail wordt verstuurd aan het slachtoffer. Het infecteren van het systeem wordt gestart wanneer het slachtoffer de snelkoppeling in het ISO bestand opent.
Op de achtergrond wordt een Remote Access Tool op het systeem geïnstalleerd waarmee de aanvaller volledige toegang heeft tot het geïnfecteerde systeem. De aanvaller kan vervolgens op afstand o.a. data stelen, commando’s uitvoeren en/of naar naastgelegen systemen bewegen.
#WakeUpWednesday 21 december 2022
In deze laatste #WakeUpWednesday van dit jaar nieuws over ransomware. Het interne uitzendbureau van de Universiteit Leiden is getroffen door een ransomware-aanval. Cybercriminelen hebben belangrijke gegevens en documenten versleuteld zoals onder andere BSN-nummers, NAW-gegevens maar ook uitzendovereenkomsten en salarisdocumentatie. Hoe cybercriminelen naar binnen kwamen, wie achter de aanval zit en of er losgeld betaald gaat worden is niet bekend gemaakt.
Google kondigt aan dat Gmail extra beveiligd gaat worden met Client-Side Encryption. Deze nieuwe feature, welke nu nog in bèta-fase is, zorgt ervoor dat persoonlijke gegevens in e-mailbody en bijlagen onleesbaar zijn voor Google-servers. Na aanmelding (voor de bèta-versie) kunnen gebruikers van de volgende Google-producten hiervan gebruikmaken: Google Workspace Enterprise Plus, Education Plus en Education Standard.
Cybercriminelen zijn overheidsnetwerken in Oekraïne binnengedrongen. Dit gebeurde via met Trojan-geïnfecteerde ISO-bestanden van Windows 10. Dit installatieprogramma deed zich legitiem voor als Windows 10-installatie en na installatie infecteerde deze de computer met malware waarmee gegevens kon worden gestolen.
We blijven bij malware want Microsoft waarschuwt over een nieuw malware botnet genaamd ‘MCCrash’. Deze malware infecteert Windows, Linux en IoT apparaten. Minecraft-servers zijn vaak het doelwit van DDoS-aanvallen om spelers op de server dwars te zitten of af te persen. Microsoft laat weten dat de malware initieel systemen infecteert nadat gebruikers illegale Windows en Microsoft Office activatie tools installeren. Daarna probeert de malware over het netwerk te verspreiden middels brute-force SSH aanvallen op Linux en IoT apparaten.
#WakeUpWednesday 14 december 2022
Leveranciers van software brengen updates uit om eerdere fouten of kwetsbaarheden te herstellen. Voor cybersecurity is het hebben van een actief patchbeleid essentieel als een van de manieren om het risico op een cyberincident te minimaliseren. Toch zijn er duizenden Pulse Connect Secure VPN-servers te vinden die niet up-to-date zijn. Cybercriminelen maken gebruik van kwetsbaarheden in de Pulse Connect waar de beveiligingsupdates niet zijn geïnstalleerd. Cybercriminelen komen binnen via oude beveiligingslekken uit 2018 en 2019.
De zorgbranche is de laatste tijd doelwit van gerichte Royal ransomware-aanvallen. Nadat we vorige week vertelden over gerichte aanvallen waardoor Franse en Colombiaanse ziekenhuizen hun werk niet meer konden doen is zojuist bekend geworden dat nu Amerikaanse ziekenhuizen doelwit zijn. Het U.S. Department of Health and Human Services waarschuwt voor de aanhoudende Royal ransomware-vallen die financieel gewin als doel hebben. Deze groep cybercriminelen staat erom bekend bestanden te versleutelen met een .royal extensie en betalingen te vragen die variëren tussen 250 duizend – 2 miljoen dollar.
We blijven nog even in de ransomware-hoek. Recentelijk is de gemeente Antwerpen slachtoffer geworden van een geslaagde ransomware-aanval. De gemeente gaf geen details vrij, maar laat aan Belgische media weten dat het nog tot het einde van deze maand kan duren om digitale toepassingen online te krijgen. De organisatie Play heeft deze aanval opgeëist en om losgeld gevraagd. Volgens de cybercriminelen hebben zij de beschikking over financiële documenten, identiteitskaarten, paspoorten en andere vormen van persoonsgegevens met een omvang van zo’n 557GB. Wanneer het losgeld niet voldaan is vóór 19 december dan worden de versleutelde gegevens openbaar gemaakt. Het bedrag dat met deze zaak gemoeid is, is niet bekend gemaakt. Play is vaker succesvol in het plegen van cyberaanvallen. Eerder slaagden zij in onder andere Zwitserland, Bulgarije, de Verenigde Staten, Argentinië en Canada.
We vertelden gisteren over de FortiOS heap-based buffer overflow kwetsbaarheid. De kwetsbaarheid is een heap-based buffer overflow in de FortiOS SSL-VPN. De kwetsbaarheid geeft een unauthenticated attacker de mogelijkheid voor remote code execution. U kunt deze kwetsbaarheid volgen via ons blog die we zullen updaten wanneer er nieuws is (CVE-2022-42475).
Tot slot is er een nieuwe aanvalstechniek aan het licht gekomen die als doel heeft om Web Application Firewalls (WAF) te omzeilen en om op deze manier te infiltreren. Door onder andere het toevoegen van JSON-syntax aan een SQL-injection payload kan een WAF deze kwetsbaarheid niet detecteren. Met name bedrijven lijden hieronder want hierdoor kunnen aanvallers toegang krijgen tot gevoelige bedrijfs- en klantinformatie. Deze aanvalstechniek door het toevoegen van een JSON-syntax is gevaarlijk nu steeds meer organisaties meer business en andere functionaliteiten naar de cloud migreren.
#WakeUpWednesday 7 december 2022
Computers die besmet zijn met malware is al erg genoeg. Maar er is nu ook malware ontdekt die bestanden steelt van smartphones en andere apparaten die aangesloten zijn als bestandsdragers op besmette computers. Deze malware gaat door het leven onder de naam ‘Dolphine’ en zoekt op bestandsdragers naar documenten, certificaten, e-mails en mediabestanden. Daarnaast kan de malware toetsaanslagen opslaan, elke dertig seconden een screenshot opslaan en wachtwoorden en cookies uit de browser halen. De gestolen data wordt vervolgens geüpload naar Google Drive.
Google Chrome heeft de afgelopen tijd verschillende keren een zeroday kwetsbaarheid bekend gemaakt. De meest recente is CVE-2022-4262. De kwetsbaarheid in V8 maakt het voor aanvallers mogelijk om code uit te voeren binnen de context van de browser. In de browser zaten eerder al verschillende kwetsbaarheden waar aanvallers misbruik van konden maken, waaronder CVE 2-21-42298 en CVE-2022-26485. Nu blijkt dat deze kwetsbaarheden zich ook voordoen in Mozilla Firefox en Windows Defender. Hiervan maakte onder andere de Spaanse spywareleverancier, Variston, gebruik om zo Linux- en Windowscomputers te infecteren.
Ransomware blijft een actueel thema. Zo’n ransomware-aanval kan op verschillende manieren tot stand komen. De meest voorkomende manieren zijn niet gepatchte kritieke kwetsbaarheden en misbruik van bestaande gebruikersaccounts. Het is daarom belangrijk om multifactorauthenticatie(MFA) ingeschakeld te hebben en gebruik te maken van een sterk wachtwoord. Kort geleden gaven wij 8 tips om een veilig wachtwoord te maken.
Een ransomware-aanval is in de meeste gevallen een tijdrovende, vervelende en kostbare gebeurtenis. Wanneer dit gebeurt in kritieke branches kunnen er zelfs levens op het spel komen te staan. In navolging van een ransomware-aanval in Colombia waarbij complete ziekenhuisdata versleuteld werd moet nu ook een ziekenhuis in Frankrijk operaties annuleren vanwege een cyberaanval. Wilt u een succesvolle ransomware-aanval voorkomen? Zorg dan dat u de basisbeveiliging op orde hebt.
Met LastPass kunt u wachtwoorden beheren en bewaren. Toch hebben cybercriminelen, dankzij de gegevens uit een eerdere hack, zich toegang weten te verschaffen tot de cloudopslag en zijn er gegevens buitgemaakt. LastPass geeft aan dat wachtwoord data versleuteld opgeslagen wordt waarmee het onwaarschijnlijk is dat wachtwoorden gelekt zijn. LastPass blijft operationeel en is bezig deze kwetsbaarheid te onderzoeken.
Een paar dagen geleden is er een nieuwe versie van de mediaspeler VLC verschenen die recentelijk kwetsbaarheden heeft verholpen. Bij verschillende updates van Windows laat de software fabrikant weten dat er geen nieuwe versie van VLC beschikbaar is waardoor gebruikers blijven werken met een kwetsbare variant. Mocht automatisch updaten niet werken, dan is het mogelijk om de update van VLC handmatig uit te voeren.
Het CISA (Cybersecurity and Infrastructure Security Agency) heeft deze week een Industrial Control Systems advisory uitgebracht waarin wordt gewaarschuwd voor verschillende kwetsbaarheden in Mitsubishi Electric GX Works3 engineeringsoftware. Deze software wordt gebruikt in industriële controle systemen voor het up- en downloaden van programma’s naar/van PLC’s. Eenmaal binnen kunnen cybercriminelen modules en programma’s bekijken en zelfs aanpassen. De meest kritieke kwetsbaarheden staan bekend onder de nummers CVE-2022-25164 en CVE-2022-29830.
#WakeUpWednesday 30 november 2022
Internetbrowser Google Chrome is met 77,03% (Bron: Kinsta.com) op desktop wereldwijd de meestgebruikte browser. Voor cybercriminelen daarom ook een aantrekkelijk doelwit om een aanval op uit te voeren. Onlangs liet Google weten dat men, in de aanloop naar Black Friday, voor de achtste keer dit jaar een zero-day-lek heeft verholpen. Aansluitend geeft Google aan dat exploit code voor deze kritieke kwetsbaarheid reeds beschikbaar is. Een update voor de kwetsbaarheid is inmiddels beschikbaar. Moderne browsers updaten standaard automatisch, tenzij dit specifiek uitgezet is door de gebruiker. Zorg ervoor dat u bewust bent van welke applicaties er in gebruik zijn in uw IT-landschap en of deze up-to-date zijn.
Researchers van ESET beschrijven een methode waarbij cybercriminelen malware te integreren in VPN applicaties. Een voorbeeld hiervan is het toevoegen van malware aan de legitieme OpenVPN Android app, waarna deze op een alternatieve wijze aangeboden wordt aan gebruikers. Onderzoekers zeggen dat deze malware het gemunt heeft op onder andere contactgegevens, gesprekslogs van onder andere Facebook Messenger, WhatsApp, Signal, Viber en Telegram en andere informatie die beschikbaar is op de mobiele telefoon. Deze malafide applicaties waren niet beschikbaar via de Google Play store. Zorg dat uw gebruikers ten alle tijden zakelijke applicaties via een reputabele bron verkrijgen danwel ter beschikking gesteld krijgen.
We blijven nog even bij Android telefoons want ook in de Google Play Store glippen er soms malafide apps door de mazen van het net. Zo ontdekten onderzoekers van Bitdefender onder andere een malafide File-Manager app die als doel heeft de telefoon met meer malware te infecteren. De filemanager vraagt de gebruiker toestemming om, ten behoeve van een zogenaamde app update, externe files te downloaden. Echter wordt deze toestemming misbruikt om malware te downloaden. Een van deze malafide filemanagers, ‘X-file Manager’ genaamd, was meer dan 10 duizend keer gedownload. In deze update zit een APK-bestand dat Sharkbot-malware bevat. De Sharkbot-malware is gericht op financiële (bank) apps om daar logingegevens te onderscheppen of het heimelijk ontvreemden van geld.
De gegevens van 5,4 miljoen Twitter-gebruikers zijn op straat komen te liggen. Afgelopen januari werd er binnen het social media-platform een kwetsbaarheid verholpen, maar in juli werden van 5,4 miljoen Twitter-gebruikers gegevens te koop aangeboden op een marktplaats voor 30 duizend dollar. Inmiddels is de dataset ook gratis beschikbaar gemaakt op dat forum. Deze informatie was te koop sinds augustus en bestond uit een combinatie van publieke informatie en privégegevens, zoals Twitter-ID’s, namen, inlognamen, locaties, e-mailadressen en telefoonnummers. Het gerucht is tevens dat er een grotere dataset van meer dan 10 miljoen gebruikers bestaat. De beschikbare data is uitermate geschikt voor gerichte phishing campagnes, ga daarom bewust om met e-mails die ogenschijnlijk van Twitter afkomstig zijn.
#WakeUpWednesday 23 november 2022
Nederland is een sterk gedigitaliseerd land. De afgelopen jaren is er steeds meer aandacht voor veilig online zakendoen. Via verschillende initiatieven wordt er aandacht besteed aan cybersecurity om zowel grote organisaties als MKB en ZZP-ers te helpen de cybersecurity naar een hoger plan te tillen. Ook vanuit de overheid is er de intentie om het MKB actief te gaan ondersteunen. Zo is het streven dat het MKB in 2030 het basisniveau van digitalisering bereikt heeft. Met deze digitale aanpassing zou Nederland tot de top-3 van Europa behoren als het gaat om digitale technologieën. Bovendien zijn deze maatregelen een goede voorbereiding op de implementatie van de herziene Europese richtlijn voor Netwerk- en Informatiebeveiligingsrichtlijn (NIB2) die ook wel bekend staat als NIS2.
Morgen is het nationale “Verander Je Wachtwoord” dag. Tijd om kritisch te kijken naar je wachtwoord en deze te veranderen. Veel wachtwoorden zijn vandaag de dag niet veilig genoeg. De top-5 meest gebruikte wachtwoorden zijn: 123456, Qwerty, 123456789, welkom en wachtwoord. In onze blog, die morgen online komt, geven we een aantal handvatten om veilig om te gaan met wachtwoorden. Zoals eerder aangegeven is data het nieuwe goud. Gebruikt u hetzelfde wachtwoord voor meerdere accounts dan loopt u het risico dat uw accountgegevens door cybercriminelen op de diverse marktplaatsen die er zijn op het Dark net verhandeld worden.
Cybercriminelen worden steeds creatiever en dus ook gevaarlijker. Onlangs is er een nieuwe ransomware ontdekt dat bij een dienst van Google begint. Microsoft waarschuwt dat cybercriminelen via Google Ads een methode hebben gevonden om via verschillende payloads malware te verspreiden. Deze malware loader staat bekend als BATLOADER. Het Microsoft Security Threat Intelligence team laat weten dat deze malware loader onder andere wordt gebruikt om de Royal ransomware te verspreiden.
Een andere malware-bedreiging is de WASP Stealer, ook wel W4SP Stealer. Deze malware is deel van een ketenaanval die zich richt op Python ontwikkelaars. De Python packages die het installeert zijn in staat om Discord-accounts, wachtwoorden, crypto-wallets, creditcardgegevens en andere privacygevoelige gegevens buit te maken. Deze gestolen gegevens worden vervolgens teruggestuurd via een Discord-gecodeerd webhookadres.
Daarnaast zien we dat er een nieuwe versie van Typhon Stealer actief is, genaamd Typhon Reborn. Beide versies hebben de capaciteit om crypto wallets te stelen en antivirussoftware te omzeilen.
Uit onderzoek van Kaspersky is gebleken dat cybercriminelen een manier hebben gevonden om op Android-apparaten via een VPN-app gebruikersgegevens te stelen. Deze spionagecampagne wordt SandStrike genoemd. Hierbij wordt de gebruiker aangevallen via een VPN-app. Deze app bevat geavanceerde spyware. Om mensen te verleiden tot het downloaden van de app werd gebruik gemaakt van diverse social media accounts.
#WakeUpWednesday 16 november 2022
Het bewustzijn met betrekking tot cyberveiligheid onder bedrijven wordt steeds groter. Ook onder overheden is cybersecurity een ‘hot topic’ en wordt er door ministeries steeds meer acties ondernomen om de informatiebeveiliging te verbeteren/ naar een hoger plan te tillen. Zo wil het ministerie van Volksgezondheid, Welzijn en Sport inzetten op de uitbreiding van Z-CERT. Op dit moment voor ziekenhuizen en ggz-instellingen en op termijn naar de gehele zorgsector.
Op het gebied van kritieke kwetsbaarheden blijft alertheid geboden. Zo is er een ernstige kwetsbaarheid vastgesteld die grote invloed heeft op ABB-TotalFlow computers en controllers. Deze worden veel gebruikt wordt binnen de olie- en gasindustrie. Cybercriminelen kunnen de kwetsbaarheid gebruiken om op afstand de controle over apparaten over te nemen. Daarnaast kunnen zij bestanden lezen, schrijven en overschrijven.
Organisaties lopen nog steeds veel risico door het gebruik van een zwak wachtwoord. Nog regelmatig wordt er bij bedrijven een zwak wachtwoord, zoals ‘Welkom123’ of een variant daarop gebruikt. Daar weet een nieuw ontdekte malware wel raad mee. Deze KmsBot maakt gebruik van Secure Shell om toegang te krijgen tot specifieke systemen om zo niet alleen cryptovaluta te minen maar ook om DDoS-aanvallen uit te voeren. De malware ‘KmsdBot’, zoals het team van Akamai het noemt, is gericht op verschillende type bedrijven variërend van gaming tot luxe automerken. Het botnet infecteert systemen via een SSH-verbinding die gebruik maakt van zwakke inloggegevens.
Tot slot zijn er afgelopen week twee updates geweest rondom kritieke kwetsbaarheden. De blog rondom ProxyNotShell is geupdate en een nieuwe blog rondom kwetsbaarheden in Citrix Gateway is gepubliceerd.
#WakeUpWednesday 9 november 2022
Ransomware blijft een actueel thema en helaas een steeds meer voorkomend probleem. Zo blijkt uit een nieuw rapport van het Amerikaanse ministerie van Financiën dat er vorig jaar 1489 ransomware-incidenten zijn voorgevallen. Opmerkelijk is dat alle incidenten Windows-based waren. Een jaar eerder werden er 487 incidenten geregistreerd. Ook het betaalde losgeld steeg aanzienlijk. In 2021 werd er 1,2 miljard dollar betaald tegen 416 miljoen dollar een jaar eerder.
We blijven nog even bij het thema ransomware want minister Yesilgoz van Justitie en Veiligheid heeft de Tweede Kamer laten weten dat aangifte doen voor ransomware nog mogelijk gaat zijn voor het einde van 2022. Op dit moment is het alleen nog mogelijk om online aangifte te doen voor zaken als online oplichting, phishing, WhatsApp-fraude en helpdeskfraude.
Afgelopen week werd duidelijk dat bij Check MK zich meerdere kwetsbaarheden voorgedaan hebben. Deze software wordt gebruikt om hybride IT-Infrastructuur te monitoren op het gebied van netwerken, databases, opslag en servers. Een aanvaller kan zo op systemen die kwetsbaar zijn van afstand code uitvoeren zonder zich te hoeven authenticeren.
November is de maand van onder andere Black Friday. Dit jaar valt de actiedag zowel in de Verenigde Staten als in Nederland op vrijdag 25 november. Terwijl Black Friday voor consumenten een feest is geldt dat niet voor IT-afdelingen. Traditiegetrouw zijn er rondom Black Friday veel online aankopen en bestellingen. Wees daarom extra alert op onder andere verdacht e-mailverkeer, SMS-jes of appjes met berichten over niet afgeleverde bestellingen. Samen zorgen we ervoor dat Black Friday geen feest wordt voor cybercriminelen.
#WakeUpWednesday 2 november 2022
Inzicht hebben in welke apparatuur en welke software er binnen een organisatie worden gebruikt is essentieel voor een efficiënt en effectief patchbeleid. In deze #WakeUpWednesday aandacht voor een aantal kritieke kwetsbaarheden waarbij zo snel mogelijk patchen gewenst is.
Het NCSC heeft een overzicht gemaakt van producten die gebruik maken van OpenSSL. OpenSSL wordt gebruikt voor het versleutelen van netwerkverbindingen en is net als eerder Log4j, een onderdeel dat in zeer veel producten wordt gebruikt. De kwetsbaarheid in OpenSSL is niet aanwezig in versies lager dan 3.0.
Op 12 oktober 2022 heeft Juniper Networks een beveiligingsadvies gepubliceerd waarin zes verschillende kwetsbaarheden in de J-Web interface van Juniper Networks Junos worden beschreven. In onze blog meer details over deze kwetsbaarheden.
Eerder hebben we al informatie gedeeld rondom de Magniber ransomware en het uitbuiten van de Mark-of-the-Web zero-day in Windows 10 en 11. Inmiddels is er een niet-officiële update beschikbaar.
Daarnaast is er een update beschikbaar voor een kritieke kwetsbaarheid in VMware Cloud Foundation en NSX Manager appliances. Doordat er proof-of-concept exploit code beschikbaar is voor deze kwetsbaarheid is de kans op een aanval groot. Er is een update beschikbaar, wij adviseren om deze zo snel mogelijk te installeren.
Tot slot heeft ConnectWise een update beschikbaar gesteld voor een kritieke kwetsbaarheid in ConnectWise Recover en R1Soft Server Backup Manager oplossingen. Door de kwetsbaarheid was het mogelijk voor aanvallers om zich toegang te verschaffen tot data of op afstand code uit te voeren.
#WakeUpWednesday 26 oktober 2022
Een goede afstemming van de inzet van technologie en mensen, gecombineerd met de inrichting van de noodzakelijke processen is voor uw cybersecurity essentieel. Ook in deze #WakeUpWednesday zien we dat cybercriminelen een combinatie van technieken inzetten om organisaties binnen te dringen. Cybercriminelen maken vervolgens data buit en/of voeren een ransomware-aanval uit.
Afgelopen week is er een update gepost rondom de ProxyRelay kwetsbaarheid. Lees onze blog voor meer info.
Naast gebruikers van Microsoft Windows zijn ook gebruikers van Cisco ICE kwetsbaar voor een remote code execution kwetsbaarheid in Windows. Voor succesvol misbruik binnen ISE is wel geauthentiseerde toegang tot de management-interface nodig.
De diskstation manager van Synology (NAS-apparatuur) bevat momenteel drie kritieke kwetsbaarheden die alle drie zijn beoordeeld met een CVSS-score van 10. Door gebruik te maken van deze kwetsbaarheden kan een aanvaller willekeurige commando’s op de NAS uitvoeren. Er is een update beschikbaar, het advies is om deze zo snel mogelijk te installeren.
Ook voor VMware Cloud Foundation is er het advies om te updaten in verband met een remote code execution kwetsbaarheid via XStream.
Doordat medewerkers tegenwoordig vaak zowel thuis als op kantoor werken en thuisapparatuur ook voor werkdoeleinden wordt gebruikt, richten cybercriminelen zich via een specifieke campagne op gebruikers van Windows Home. Cybercriminelen adverteren met namaak antivirus- en beveiligingsupdates voor Windows 10 die in werkelijkheid Magniber ransomware bevatten.
Een andere manier waarop malware momenteel wordt verspreid is via de mouseover-functie in powerpointbestanden. De powerpointpresentatie lijkt afkomstig te zijn van de Organisation for Economic Cooperation and Development (OECD, of in het Nederlands OESO) en bestaat uit twee dia’s waarin het gebruik van de interpretatie-functie in Zoom wordt uitgelegd. De malware wordt geactiveerd wanneer het slachtoffer de geïnfecteerde presentatie opent in presentatiemodus en vervolgens met de muis over de hyperlink beweegt. Er is dus verder geen actie of klik van de gebruiker nodig! Ook in dit geval zien we dat cybercriminelen een reeds bestaande, oudere techniek opnieuw toepassen. Momenteel zien we dat deze aanvalsmethode veel gebruikt wordt voor aanvallen op onder andere defensiebedrijven en overheidsinstanties.
#WakeUpWednesday 19 oktober 2022
Phishing blijft voor cybercriminelen een belangrijke methode om gebruikersgegevens buit te maken. Caffeine is een nieuw ‘Phishing-as-a-Service’ platform waar gebruikers zelf een campagne kunnen samenstellen. Doordat dit platform een open registratieproces heeft, kan in feite iedereen met een e-mailadres zich registreren. Momenteel draaien er op diverse fora advertenties voor Caffeine. Zorg dat medewerkers regelmatig getraind worden op het herkennen van phishingmails, weten waar ze melding moeten maken van een poging tot phishing en zich bewust zijn van hun online gedrag.
Afgelopen week is er een proof of concept exploit gepubliceerd voor de Fortinet Authenticatie Bypass. Wij adviseren om kwetsbare systemen zo snel mogelijk te updaten. Indien dat niet mogelijk is adviseren we om de workaround toe te passen.
Inmiddels is gebleken dat bijna 900 servers getroffen zijn door de kwetsbaarheid in Zimbra Collaboration Suite. Vorige week werd een proof of concept (PoC) toegevoegd aan het Metasploit-framework, waardoor het mogelijk is om de kwetsbaarheid uit te buiten zonder diepgaande kennis van de materie. Zimbra heeft sindsdien een beveiligingsoplossing uitgebracht met ZCS versie 9.0.0 P27, waarbij het kwetsbare onderdeel (cpio) is vervangen door Pax en het zwakke onderdeel dat exploitatie mogelijk maakte, is verwijderd.
Cybercriminelen van de relatief nieuwe ransomware-groepering Venus maken momenteel actief gebruik van Remote Desktop Services om Windows-systemen te versleutelen. Wij adviseren nooit om Remote Desktop services rechtstreeks op het internet beschikbaar te maken. Plaats deze services voor remote workers bij voorkeur achter een VPN-oplossing (met MFA).
Op 13 oktober 2022 is een kwetsbaarheid in de Apache Commons Text library aangekondigd op de Apache dev list. De kwetsbaarheid vertoont overeenkomsten met Apache Log4j (Log4Shell). Het verschil is dat het aanvalsoppervlak van CVE-2022-42889 beperkter is vanwege het specifieke gebruik van de Apache Commons Text library.
#WakeUpWednesday 12 oktober 2022
Binnen cybersecurity zien we regelmatig dat oudere technieken in een nieuw jasje worden gestopt en weer als nieuwe variant worden geïntroduceerd. Één daarvan is fileless malware. Dit is een techniek waarbij malware onder andere binnen de eigen processen van bijvoorbeeld Windows wordt verstopt. Doordat de reguliere, legitieme processen worden gebruikt is deze vorm van malware veel lastig te detecteren.
Verder zien we dat cybercriminelen intensiever inzetten op social engineering en op diverse manieren proberen om gebruikersgegevens buit te maken. Binnen retail en hospitality zijn credential harvesting en phishing momenteel de belangrijkste manieren om slachtoffers te maken. Daarnaast zijn er recent meer dan 400 apps gevonden in de Play Store en de App Store die zijn gericht op het stelen van inloggegevens van Facebookgebruikers. Wij adviseren om voor elke app, applicatie of account waar moet worden ingelogd een eigen, uniek wachtwoord te gebruiken en geen wachtwoorden te hergebruiken. Een wachtwoordkluis kan hier uitkomst bieden.
De blog rondom ProxyNotShell wordt regelmatig voorzien van nieuwe informatie met betrekking tot mitigerende maatregelen.
Recent is ook informatie gepubliceerd over Maggie malware. Deze malware heeft inmiddels wereldwijd al vele Microsoft SQL servers met een backdoor geïnfecteerd. Maggie werkt met simpele TCP-redirect-functionaliteit, waardoor cybercriminelen op afstand verbinding kunnen maken met elk IP-adres die de geïnfecteerde SQL-server kan bereiken.
#WakeUpWednesday 5 oktober 2022
Afgelopen week is er een kritieke kwetsbaarheid gemeld in Microsoft Exchange, genaamd ProxyNotShell. In onze blog vindt u de laatste informatie rondom deze kwetsbaarheid en de maatregelen die u kunt nemen om de kans op uitbuiting te verkleinen.
Verder zien we dat cybercriminelen ook aandacht hebben voor de industrie en zorgsector. Zo blijkt uit analyse van Outpost24 dat een groepering genaamd Shathak, sinds 2019 actief aanvallen uitvoert op organisaties in de gezondheidszorg, de financiële sector en de industrie. Daarnaast waarschuwt Medtronic voor een kwetsbaarheid in de 600-serie van de MiniMed-insulinepompen.
Ook is er door cybercriminelen een nieuwe campagne gestart waarbij er backdoor-malware is verstopt in het Windows-logo. Door stenografie te gebruiken blijft de kwaadaardige software verborgen voor antivirussoftware. Bij het opzetten van een aanval wordt initieel gebruik gemaakt van bestaande kwetsbaarheden, zoals Microsoft Exchange ProxyShell en ProxyLogon. Daarna wordt de backdoor, die is verborgen in het Windows-logo, geïnstalleerd.
#WakeUpWednesday 28 september 2022
Cybercriminelen maken onder andere gebruik van bestaande kwetsbaarheden in software en gestolen gebruikersgegevens om zich toegang te verschaffen tot organisaties. Momenteel wordt een zero-day kwetsbaarheid in Sophos firewall misbruikt door cybercriminelen. De kwetsbaarheid stelt hen in staat om willekeurige code uit te voeren op het onderliggende systeem. Ondertussen is er een patch beschikbaar, het advies is om deze zo snel mogelijk te installeren. Daarnaast is het advies om ervoor te zorgen dat de User Portal en Webadmin niet vanaf het internet toegankelijk zijn.
Verder maken cybercriminelen momenteel gebruik van slecht beveiligde beheerdersaccounts en malafide OAuth-applicaties. Dankzij toegang tot deze accounts kunnen cybercriminelen ook hun eigen gegevens toevoegen. Zo blijven ze toegang houden, ook als het beheerderswachtwoord wordt gewijzigd. Cybercriminelen kunnen zo via de Exchange-servers van deze organisaties spam versturen. Wij adviseren om wachtwoorden niet te hergebruiken en uiteraard om multifactor-authenticatie aan te zetten voor accounts waarop dit nog niet is ingesteld.
Ook via GitHub worden gebruikers verleid om hun gegevens achter te laten op een nagemaakte inlogpagina. In dit geval claimt het bericht dat de CircleCI-sessie verlopen is en dat de gebruiker opnieuw dient in te loggen via een link. Een andere manier die gebruikt wordt is een mail met de melding dat CircleCI de Terms of Use en Privacy Policy heeft gewijzigd en dat deze opnieuw geaccepteerd dient te worden via een bijgevoegde link.
Daarnaast zien we ontwikkelingen waarbij domain shadowing aan populariteit wint bij cybercriminelen. Bij deze manier wordt een legitiem DNS-domein gecompromitteerd om sub-domeinen van de cybercrimineel te hosten voor malafide activiteiten. De bestaande legitieme DNS-vermelding wordt daarbij niet gewijzigd, waardoor de eigenaar vaak niet in de gaten heeft dat het domein is gecompromitteerd.
Tot slot zien ook op het gebied van ransomware veranderingen in tactiek. Om de losgeldeis kracht bij te zetten zijn er meerdere technieken. Deze variëren van dreiging met publicatie van buitgemaakte gegevens tot het benaderen van personen of organisaties die voorkomen in de set met data of het uitvoeren van bijvoorbeeld een DDoS-aanval om het herstel te bemoeilijken. Een nieuwe methode lijkt het om data te gijzelen en te dreigen met vernietiging van de data indien er niet betaald wordt.
#WakeUpWednesday 21 september 2022
Sinds het begin van deze maand zijn er door een groot aantal leveranciers patches uitgebracht. In de laatste patch Tuesday van Microsoft zijn weer diverse kritieke kwetsbaarheden gedicht. Ook voor bijvoorbeeld Gitlab, Google Chrome, Adobe, Android, Citrix, Dell en Cisco zijn er updates beschikbaar gekomen. Het installeren van updates is een van de essentiële maatregelen om cybercriminelen buiten te houden.
Recent zijn ongeveer 280.000 WordPress sites aangevallen door een zero-day kwetsbaarheid in de WPGateway plugin. Door deze kwetsbaarheid te misbruiken, kunnen cybercriminelen volledige controle over de website krijgen. Er is nog geen update beschikbaar, gebruikers wordt aangeraden om totdat het probleem is opgelost de plugin te deïnstalleren.
Verder een waarschuwing om alert te zijn op aanvallen met ChromeLoader-malware. Deze malware steelt wachtwoorden en persoonlijke informatie en kan ook aanvullende malware installeren, waaronder ransomware. ChromeLoader wordt verspreid via malafide links in reacties op YouTube, Twitter en malafide advertenties.
In de gamer-community is momenteel een trend gaande waarbij via YouTube gamers doelwit zijn van video’s met links waarin cheats en cracks voor een aantal populaire games worden aangeboden. Het downloaden van de rar-bestanden zorgt ervoor dat er malware, RedLine stealer, wordt geïnstalleerd. Daarnaast wordt er toegang verschaft tot het YouTube-account van het slachtoffer, om via dat account de malware verder te verspreiden. Deze trend is niet nieuw, toch is deze manier nog steeds succesvol. Bewust zijn van wat er wordt gedownload en geïnstalleerd is daarom essentieel.
#WakeUpWednesday 14 september 2022
Naast nieuwe ransomware variaties veranderen ransomware organisaties ook de manier van versleutelen. In plaats van een file volledig te versleutelen worden delen versleuteld. Daardoor is de file nog steeds onbruikbaar, maar wordt de tijd die nodig is voor het versleutelen veel korter. De Agenda ransomware biedt verschillende opties in de manier waarop bestanden deels worden versleuteld.
De Lampion malware wordt momenteel verspreid via phishingcampagnes waarbij gebruik gemaakt wordt van WeTransfer. Wees bewust van de afzender van een verzoek en wees alert bij het downloaden van documenten, ook als ze via WeTransfer worden verstuurd.
Operationele technologie wordt steeds vaker doelwit van cybercriminelen. Met het ontsluiten van deze apparatuur via het internet wordt apparatuur ook kwetsbaar. In dat kader zijn er meerdere kwetsbaarheden gevonden in medische apparatuur die gebruikt wordt voor het toedienen van medicatie of voeding aan patiënten. Maatregelen als het afschermen van het netwerk via een firewall, netwerksegmentatie en het op tijd patchen zijn ook voor OT-apparatuur noodzakelijk!
#WakeUpWednesday 7 september 2022
Malware wordt op zeer creatieve manieren verspreid. Zo wordt een foto, die is genomen door de James Webb Telescope, gebruikt als lokmiddel in een op Golang gebaseerde malwarecampagne. Phishing-e-mails met een Microsoft Office-bijlage fungeren als ingang voor de aanvalsketen. Wordt de bijlage geopend, dan haalt deze een verborgen VBA-macro op, die op zijn beurt automatisch wordt uitgevoerd als de ontvanger macro’s inschakelt.
Go lijkt gezien de platformonafhankelijke ondersteuning van de programmeertaal in populariteit te groeien onder cybercriminelen. Hierdoor kunnen cybercriminelen effectief gebruik maken van een gemeenschappelijke codebase om verschillende besturingssystemen aan te vallen. Wees u bewust van de afzender van de mail en de bijlage en wees voorzichtig met het inschakelen van macro’s.
Een andere nieuwe malware die is geschreven in Go is de BianLian-ransomware. Deze ransomware werd midden juli voor het eerst gezien. De cybercriminelen achter deze ransomware claimen dat inmiddels 15 organisaties slachtoffer zijn geworden. BianLian staat overigens los van de banking trojan met dezelfde naam!
Verder is er een nieuwe ransomware-stam geschreven in Golang ontdekt. Deze ransomware, genaamd Agenda, richt zich op gezondheidszorg- en onderwijsinstellingen in Indonesië, Saoedi-Arabië, Zuid-Afrika en Thailand. Kenmerkend voor Agenda is dat deze systemen kan herstarten in de veilige modus en meerdere modi heeft om te draaien.
Tot slot roept QNAP gebruikers van de Photo Station-software op hun NAS-apparaat direct te updaten. Reden daarvoor is dat een kwetsbaarheid in deze software misbruikt wordt door cybercriminelen achter de Deadbolt-ransomware.
Zorg ervoor dat u weet welke systemen en applicaties er binnen uw organisatie worden gebruikt en installeer updates zo snel mogelijk. Zorg er verder voor dat uw medewerkers zich bewust zijn van het belang van updaten. Niet alleen voor hun zakelijke apparatuur, maar met het in elkaar overlopen van zakelijk en privé ook van de privé-omgeving.
#WakeUpWednesday 31 augustus 2022
Kritieke kwetsbaarheden maken het voor cybercriminelen nog steeds mogelijk om toegang te krijgen tot systemen en data. Een andere mogelijkheid is dat deze kwetsbaarheden door cybercriminelen worden uitgebuit om hun privileges binnen uw systemen te vergroten.
De CISA (U.S. Cybersecurity and Infrastructure Security Agency ) heeft afgelopen vrijdag tien nieuwe, actief misbruikte kwetsbaarheden, aan haar overzicht toegevoegd. Deze kwetsbaarheden omvatten onder andere: CVE-2022-26352 – dotCMS Unrestricted Upload of File Vulnerability, CVE-2022-24706 – Apache CouchDB Insecure Default Initialization of Resource Vulnerability, CVE-2022-24112 – Apache APISIX Authentication Bypass Vulnerability en CVE-2022-22963 – VMware Tanzu Spring Cloud Function Remote Code Execution Vulnerability.
Daarnaast is er een kritieke kwetsbaarheid ontdekt in Atlassian Bitbucket Server and Atlassian Data Center. Meer informatie over versies en updates is op de Atlassian Confluence website beschikbaar.
Verder is er een gedetailleerde blog gepubliceerd met betrekking tot twee kwetsbaarheden in WatchGuard Firebox and XTM appliances. Het gaat om CVE-2022-31789 en CVE-2022-31790. Voor beide kwetsbaarheden zijn door Watchguard in juni 2022 software patches gepubliceerd. De kwetsbaarheden en bijbehorende software patches worden nader besproken in de volgende security advisories van de fabrikant:
De blog bevat voldoende details om de software kwetsbaarheden uit te buiten. Het advies is dan ook om de software patches zo snel mogelijk toe te passen.
Tot slot heeft Lockbit, een groepering die zich bezig houdt met ransomware-aanvallen, gewaarschuwd voor het inzetten van triple extortion, een drievoudige afpersingstactiek. Daarmee verhardt de strijd tussen aanvallers en slachtoffers zich. Indien het losgeld voor de gegijzelde data niet wordt betaald, wordt er niet alleen gedreigd met het publiceren van de data, maar ook met het uitvoeren van een DDoS-aanval op de reeds getroffen organisatie. Zo wordt er nog meer druk uitgeoefend op de slachtoffers om tot betaling over te gaan.
#WakeUpWednesday 24 augustus 2022
Het updaten van systemen en applicaties blijft belangrijk om cybercriminelen buiten de deur te houden. Apple heeft een update uitgebracht om twee actief aangevallen zero-day-lekken te verhelpen die ervoor zorgen dat aanvallers volledige controle over een systeem kunnen krijgen. Indien mogelijk is het advies om zo snel mogelijk de updates te installeren.
Uit onderzoek blijkt dat er nog steeds meer dan 80.000 Hikvision camera’s kwetsbaar zijn. Voor het verhelpen van deze kwetsbaarheid is bijna een jaar geleden een update uitgebracht. Duizenden systemen, in gebruik bij zo’n 2300 organisaties in meer dan 100 landen, blijken nog steeds kwetsbaar.
Wordt uw organisatie getroffen door een ransomware-aanval, dan is de eerste prioriteit om die aanval af te slaan en de schade zo veel mogelijk te beperken. Het is daarbij belangrijk om niet alleen maatregelen te treffen om een nieuwe aanval van buitenaf te voorkomen, maar om ook te onderzoeken of er mogelijk nog sporen van andere aanvallers te vinden zijn. In dit geval is een organisatie door drie verschillende groeperingen geraakt in een tijdsbestek van twee weken.
#WakeUpWednesday 17 augustus 2022
De laatste weken verschijnen er veel berichten rondom ransomware-aanvallen in de media. Artis, woonwinkelketen Casa, tandartsenketen Colosseum Dental Benelux, supermarktketen 7-Eleven en het Britse waterbedrijf South Staffordshire Water: tegenwoordig is elke organisatie die over data beschikt interessant voor cybercriminelen. In het geval van het waterbedrijf claimen de aanvallers vergaande controle over de systemen te hebben waardoor ze de chemische samenstelling van het water kunnen wijzigen.
Ook aan de ontwikkelkant zien we veel activiteit. BlueSky Ransomware is een opkomende familie die verschillende technieken gebruikt om de beveiligingsmaatregelen te omzeilen. BlueSky richt zich op Windows-systemen en gebruikt ‘multithreading’ voor het nog sneller versleutelen van bestanden. Zorg er daarom voor dat u basismaatregelen als netwerksegmentatie, het maken en kunnen terugzetten van backups en het installeren van beschikbare updates op orde hebt.
Daarnaast is er aan de SOVA malware nieuwe functionaliteit toegevoegd om Android toestellen te versleutelen. De SOVA malware richt zich op meer dan 200 apps voor bankieren, het handelen in crypto en digitale portemonnees, waarbij het gebruikersdata en cookies steelt.
Verder heeft Palo Alto een waarschuwing uitgebracht met betrekking tot een kritieke kwetsbaarheid, CVE-2022-0028, in haar PAN-OS die momenteel misbruikt wordt. Het betreft een softwarefout, die een specifieke misconfiguratie toestaat. Een aanvaller kan daardoor de firewall gebruiken om een reflective DOS uit te voeren op een ander doelwit op het internet.
Tot slot heeft VMware een advisory gepubliceerd met betrekking tot een aantal kwetsbaarheden. Door twee van deze kwetsbaarheden te combineren bestaat de kans op een unauthenticated remote code execution. Er zijn patches beschikbaar, het advies is om deze zo snel mogelijk te installeren.
#WakeUpWednesday 20 juli 2022
Alle apparatuur die verbonden is met het internet is kwetsbaar voor een aanval door cybercriminelen. Dat geldt ook voor VoIP-servers en telefoons. Elastix VoIP-telefonieservers en VoIP-telefoons die gebruik maken van Digium-software zijn kwetsbaar voor een campagne die bedoeld is om gegevens te exfiltreren door het downloaden en uitvoeren van scripts of malware waarmee cybercriminelen controle over (delen van) het systeem kunnen krijgen.
Naast servers, mobiele telefoons en PC’s zijn ook PLC’s (Programmable Logic Controllers) en HMI’s (Human Machine Interface) kwetsbaar voor Sality malware. Cybercriminelen zijn erin geslaagd om deze industriële controlesystemen te infecteren. Sality creëert een peer-to-peer botnet voor bijvoorbeeld het kraken van wachtwoorden en cryptocurrency mining.
Verder is er een phishingcampagne-kit actief gericht op PayPal gebruikers die probeert om van gebruikers een grote set aan persoonlijke informatie te stelen. Deze kit wordt gehost via legitieme WordPress websites die zijn gehackt.
Daarnaast is er een grootschalige aanval gaande op WordPress sites met de Kaswara Modern WPBakery Page Builder Add-on. Deze bevat beveiligingslek CVE-2021-24284 waarmee ongeauthenticeerde aanvallers kwaadaardige PHP-bestanden kunnen uploaden om zo controle over de website te krijgen. Omdat er geen beveiligingsupdate beschikbaar is en de uitbreiding inmiddels ook niet meer wordt aangeboden, is het advies om deze plug-in te verwijderen.
In alle gevallen is het belangrijk om zo veel mogelijk gebruik te maken van multifactor-authenticatie en goede netwerksegmentatie.
#WakeUpWednesday 13 juli 2022
Bij de verspreiding van malware wordt vaak gedacht aan methodes als het meesturen van een bijlage in de mail, via updates buiten de officiële stores om of via het inloggen op dubieuze websites. PennyWise is malware die zich voordoet als een Bitcoin mining applicatie die kan worden gedownload via YouTube. Tijdens het kijken van het YouTube-filmpje worden kijkers overgehaald om een beveiligd bestand te downloaden. Dat bestand bevat echter niet de Bitcoin-software maar de PennyWise malware. Wees daarom alert als het gaat om het downloaden en installeren van software en gebruik alleen de reguliere stores.
Updaten van software blijft essentieel. Microsoft heeft afgelopen dinsdag nieuwe patches uitgebracht voor 84 kwetsbaarheden, waaronder voor een kritieke kwetsbaarheid (CVE-2022-2294), die momenteel actief uitgebuit wordt.
Verder is er een nieuwe phishing campagne gesignaleerd die gebruik maakt van de aandacht voor de recent gepubliceerde Follina kwetsbaarheid. Met deze campagne wordt Rozena malware verspreid. Het startpunt voor deze aanvalsketen, die door Fortinet is waargenomen, is een geïnfecteerd Office-document dat bij openen verbinding maakt met een Discord CDN URL om een HTML-bestand (“index.htm”) op te halen. Dit HTML-bestand roept op zijn beurt het diagnostische hulpprogramma aanr met behulp van een PowerShell-commando waarna de volgende stap in de aanvalsketen wordt gezet. Zorg daarom dat uw mensen zich bewust zijn van het soort mails dat ze ontvangen en welke bijlages ze openen.
#WakeUpWednesday 6 juli 2022
Een nieuw type ransomware, genaamd Session Manager, is momenteel actief. Deze malafide session manager is verhuld als een module voor Internet Information Services (IIS) en maakt gebruik van een van de ProxyLogon fouten in Microsoft Exchange servers. Door het gebruik van deze achterdeur en doordat deze ransomware tot nog toe slecht vindbaar is door virusscanners kunnen cybercriminelen ongestoord te werk gaan. Het updaten van systemen en het instellen van multifactorauthenticatie zijn belangrijk om cybercriminelen buiten te houden.
Daarnaast waarschuwt de FBI voor de MedusaLocker-ransomware. Deze ransomware wordt, door cybercriminelen, organisaties binnengebracht via kwetsbare rdp-verbindingen en doordat medewerkers besmette e-mailbijlages openen. Een aantal maatregelen die u nu al kunt nemen om het risico te verminderen: schakel ongebruikte poorten uit, zorg dat systemen zo snel mogelijk worden voorzien van de laatste updates en zorg dat medewerkers alert zijn op phishing-berichten.
Uit de meest recente onderzoeksgegevens van WatchGuard Threat Lab blijkt dat het aantal ransomware-detecties in het eerste kwartaal van 2022 een verdubbeling is van het totale gerapporteerde volume in 2021. Zorg daarom dat uw organisatie de basis cyber hygiëne op orde heeft en is voorbereid op een cyberincident.
Uit het jaarlijkse Cybersecuritybeeld Nederland (CSBN) dat in samenwerking met het Nationaal Cybersecurity Centrum (NCSC) is opgesteld blijkt dat de digitale weerbaarheid van veel organisaties in Nederland nog steeds onvoldoende is. Het maken en testen van back-ups of het invoeren van multifactorauthenticatie zijn basismaatregelen die nog (steeds) niet bij elke organisatie afdoende zijn geïmplementeerd.
#WakeUpWednesday 29 juni 2022
De ontwikkelingen binnen cybersecurity gaan razendsnel. Cybercriminelen verzinnen telkens weer nieuwe manieren om bij organisaties binnen te dringen. Alle apparatuur met een koppeling naar het internet is daarbij kwetsbaar, dus ook camera’s, klimaatbeheersystemen en systemen voor internettelefonie. Recentelijk is een zeroday-kwetsbaarheid in een Mitel VoIP-server gebruikt voor het uitvoeren van een ransomware-aanval. Er is een software-update voor de kwetsbaarheid beschikbaar. Het advies is om deze systemen zo snel mogelijk te updaten.
Een andere ontwikkeling is het gebruik van een malware tool dat het voor cybercriminelen mogelijk maakt om malafide Windows shortcut (.LNK) files te bouwen. Deze tool, Quantum Lnk Builder, maakt het mogelijk om een groot aantal extensies te spoofen en biedt diverse mogelijkheden voor het infecteren van systemen. Quantum Lnk Builder is vermoedelijk gelieerd aan Lazarus, echter ook Bumblebee en Emotet lijken steeds vaker .LNK-files te gebruiken bij de pogingen om een systeem te infecteren.
Het is belangrijk dat iedereen in de organisatie weet hoe om te gaan met mogelijke phishing-mails. Een nieuwe methode is door organisaties te benaderen met een email waarin wordt gesteld dat de organisatie inbreuk maakt op copyright. In het ene geval wordt er een zip-bestand meegestuurd met daarin ogenschijnlijk een pdf. In praktijk blijkt het bestand echter ransomware te installeren. In het andere geval wordt een link meegestuurd waarbij malware wordt verspreid.
Nu in steeds meer organisaties multifactor-authenticatie (mfa) gemeengoed wordt, is het voor cybercriminelen lastiger om in met gestolen gebruikersgegevens in te loggen. Door misbruik te maken van Webview2-apps en de authenticatie cookies van het beoogde slachtoffer te stelen, proberen cybercriminelen alsnog mfa te omzeilen. Mfa is een goede manier om een drempel op te werpen en accounts extra te beveiligen, het vraagt echter ook bij gebruikers om aandacht bij het toepassen ervan.
In een aantal gevallen wordt bij een ransomware-aanval de stap ‘versleutelen’ overgeslagen en wordt vooral ingezet op het stelen van informatie en de dreiging om deze te publiceren. Wees voorbereid en zorg dat u in ieder geval de basismaatregelen heeft geïmplementeerd.
#WakeUpWednesday 22 juni 2022
Het installeren van updates is een van de manieren om kwetsbaarheden zo snel mogelijk te verhelpen. Dat geldt zeker voor kwetsbaarheden in besturingssystemen. Een kwetsbaarheid in FreeBSD-systemen stelt cybercriminelen in staat om systemen via wifi volledig over te nemen. Een update voor deze kwetsbaarheid is beschikbaar. Het advies is om deze update zo snel mogelijk te installeren.
Voor een actief uitgebuite kwetsbaarheid in Ninja forms, een WordPress plugin voor contactformulieren, wordt door WordPress een update geforceerd om deze kwetsbaarheid te verhelpen. Cybercriminelen konden via de kwetsbaarheid willekeurige code op de website uitvoeren of willekeurige bestanden verwijderen.
Verder het advies om de security updates voor Citrix Application Delivery Management te installeren. Deze updates verhelpen een probleem waarbij cybercriminelen admin wachtwoorden konden resetten. Het gaat daarbij om alle ondersteunde versies van Citrix ADM server en Citrix ADM agent (bijvoorbeeld Citrix ADM 13.0 voor 13.0-85.19 en Citrix ADM 13.1 voor 13.1-21.53).
Tot slot ziet Microsoft dat de BlackCat Ransomware groepering nog steeds Microsoft Exchange systemen aanvalt die nog niet geüpdatet zijn. Volgens cijfers van de FBI zijn er tussen november 2021 en Maart 2022 zeker 60 organisaties slachtoffer geworden. Updaten van systemen is een essentiele stap om cybercriminelen te weren.
#WakeUpWednesday 15 juni 2022
Veel organisaties maken in meer of mindere mate gebruik van IT-leveranciers, bijvoorbeeld voor het leveren van software. IT-leveranciers zijn daarmee verbonden met een groot aantal verschillende organisaties. Die connecties zorgen ervoor dat deze leveranciers steeds populairder worden bij cybercriminelen. Ter illustratie, in 2021 zijn er 28 meldingen gemaakt van datalekken bij IT-leveranciers, wat resulteerde in 18.000 meldingen van organisaties die zakendoen met deze IT-leveranciers. Met de basis op orde geven we een aantal handvatten om de cybersecurity binnen uw organisatie te verbeteren. Vraag uw IT-leverancier ook naar hoe zij omgaan met data en welke maatregelen zij hebben getroffen om het risico op een cyberincident te beperken.
Het CISA (United States Cyberscurity and Infrastructure Agency (CISA)) heeft 36 nieuwe kwetsbaarheden toegevoegd aan het totaaloverzicht. Deze 36 kwetsbaarheden worden momenteel actief uitgebuit en bevinden zich onder andere in software en systemen van Cisco, Netgear, Adobe en Microsoft. Wij adviseren om na te gaan of uw systemen kwetsbaar zijn en deze zo snel mogelijk te updaten.
Ook zijn er diverse kwetsbaarheden gevonden in de A8Z3-warmtebeeldcamera die het mogelijk maken om het apparaat over te nemen. Ook in het LenelS2 HID Mercury toegangscontrolesysteem zijn diverse kwetsbaarheden ontdekt waarmee bijvoorbeeld op afstand deuren van slot en op slot kunnen worden gedaan.
Verder hebben onderzoekers nieuwe Linux malware ontdekt, Symbiote. Deze malware infecteert alle lopende processen op gecompromitteerde systemen, steelt gebruikersgegevens en geeft cybercriminelen toegang. De malware is moeilijk te traceren, echter door het monitoren van afwijkende DNS-verzoeken zou deze malware ontdekt kunnen worden.
Tot slot houdt de banking trojan Emotet wederom de gemoederen flink bezig. Deze malware maakt gebruik van verschillende Office-bijlagen en is in de vernieuwde versie in staat om de beveiligingsscanners van email gateways te omzeilen. Daarnaast steelt het creditcardgegevens. Zorg daarom dat gebruikers inloggegevens en vertrouwelijke informatie, zoals creditcardgegevens, in bijvoorbeeld een wachtwoordkluis opslaan.
#WakeUpWednesday 8 juni 2022
De ontwikkelingen op het gebied van cybercriminaliteit gaan razendsnel. Het is daardoor voor veel organisaties een grote uitdaging om bij te blijven met alle (mogelijke) dreigingen. Een nieuw initiatief om deze informatie te bundelen en snel te verspreiden is cyberteletekst: teletekst zoals we het allemaal kennen, maar dan met de laatste kwetsbaarheden en het laatste nieuws rondom cybersecurity.
Afgelopen week is er een waarschuwing uitgegaan voor een kwetsbaarheid in Atlassian Confluence. Er zijn updates beschikbaar. Het advies is om deze zo snel mogelijk te installeren. Is patchen niet mogelijk, dan heeft Atlassian een aantal aanvullende mitigerende maatregelen beschreven.
Google heeft enkele kwetsbaarheden in Android verholpen door patches beschikbaar te maken. De kwetsbaarheden CVE-2022-20130 en CVE-2022-20127 maken het mogelijk om Androidtelefoons op afstand te gebruiken en code uit te voeren. Er zijn updates voor Android 10, 11, 12 en 12L.
Onlangs is er een nieuw type phishing campagne gesignaleerd. Er worden Microsoft Word documenten als bijlage gemaild die VBA macros bevatten. Deze macros draaien dan shellcode die in de document eigenschappen zit om SVCReady malware te installeren. Deze malware kan onder andere systeem informatie verzamelen, screenshots maken en documenten downloaden. Het blijft belangrijk om alert te blijven op phishing.
Cybersecurity bedrijven uit de VS waarschuwen voor Chinese hackers. Zij proberen, door gebruik te maken van kwetsbaarheden bij telecom leveranciers, netwerkverkeer te onderscheppen en stelen. Vervolgens proberen zij inloggegevens te verkrijgen en loggen ze daarmee in. Uiteindelijk kunnen de aanvallers het netwerkverkeer doorsturen naar hun eigen infrastructuur. Het advies is om alle systemen up-to-date te houden. Een patchmanagementsysteem kan hier bij helpen.
#WakeUpWednesday 1 juni 2022
VMware heeft beveiligingsupdates beschikbaar gemaakt om kwetsbaarheden in Workspace ONE Access, Identity Manager, vRealize Automation, Cloud foundation en vRealize Suite Lifecycle Manager te verhelpen. De kwetsbaarheden stellen cybercriminelen in staat om administrator rechten te verkrijgen. Voor kwetsbaarheid CVE-2022-22972 is een Proof of Concept beschikbaar. Het advies is om de beschikbare beveiligingsupdates zo snel mogelijk te installeren.
Ook Microsoft waarschuwt voor een nieuwe kwetsbaarheid, CVE-2022-30190. Om deze Microsoft Office RCE kwetsbaarheid (Follina) te kunnen misbruiken als cybercrimineel moet een gebruiker een Word document openen. Deze documenten worden vaak per mail gedeeld en daarom is het advies om, net als bij phishing, gebruikers bewust te maken van het risico dat u loopt als u bestanden vanuit de mail opent die van een onbekende afzender komen of als het een bestand is dat u niet verwacht. Op dit moment is er nog geen software update beschikbaar, wel is er een service update met aanvullende info.
Uit het jaarlijkse Verizon Data Breach Investigation Report (DBIR) blijkt dat wereldwijd gezien, web applicatie aanvallen in toenemende mate verantwoordelijk zijn voor cybersecurity-incidenten in de zorg. De zorgsector wordt steeds vaker door cybercriminelen aangevallen en wordt ook vaker slachtoffer van ransomware-aanvallen. Het merendeel van de aanvallen heeft volgens het rapport een financieel motief.
Ransomwaregroepen staan erom bekend dat ze uw bestanden gijzelen. Recentelijk horen we van een groepering die pretendeert andere motieven te hebben. RansomHouse is een ransomwaregroep die een ander business model hanteert, zij richt zich primair op het exfiltreren van data. De motivatie voor deze groepering is dat zij organisaties er door middel van afpersing erop willen wijzen dat zij niet genoeg investeren in de beveiliging van hun data, netwerken en systemen of dat zij hun bug bounty program niet respecteren. De groepering claimt dat zij na betaling de getroffen organisatie helpt om zich te beschermen tegen toekomstige aanvallen. Daarnaast ontvangt de getroffen organisatie een rapport met daarin beschreven welke kwetsbaarheden er zijn gebruikt en op welke manier deze zijn gebruikt om binnen te komen.
Wat veel organisaties zich niet, of onvoldoende, realiseren is dat zij door het gebruik van third-party JavaScript een verhoogd risico lopen om geraakt te worden door een cybersecurity-incident. Third-party scripts bieden cybercriminelen de mogelijkheid om malafide code te introduceren in de web-omgeving van een organisatie. Veel organisaties gebruiken third-party code voor bijvoorbeeld formulieren, het verwerken van bestellingen en betalingen of het volgen van bezoekersgedrag. Wees alert op het gebruik van third-party code. Weet welke code er gebruikt wordt en controleer of deze code ook actief onderhouden wordt.
#WakeUpWednesday 25 mei 2022
In het 2022 SaaS Security Survey Report worden de risico’s en gevaren aangehaald die er kleven aan het gebruik van SaaS-oplossingen. Met name configuratiefouten worden genoemd als oorzaak van cybersecurity-incidenten. Een voorbeeld hiervan is dat er meerdere afdelingen toegang hebben tot de security-instellingen, zonder dat de mensen getraind zijn of cybersecurity als aandachtsgebied hebben.
Cisco waarschuwt voor een actief aangevallen kwetsbaarheid in IOS XR router software, die aanvallers in staat stelt om toegang te krijgen tot de Redis-database en daar informatie aan te passen, willekeurige bestanden naar het container bestandssysteem te schrijven en informatie over de Redis-database te achterhalen. Er is een update beschikbaar, het advies is om deze zo snel mogelijk te installeren.
Onderwijsinstellingen met een WordPress-website die gebruik maken van de Premium-tool ‘School Management’, zijn momenteel kwetsbaar door een backdoor in deze plug-in. De plug-in biedt onderwijsinstellingen mogelijkheden zoals het plannen van onderwijs op afstand, aanwezigheidsregistratie, het bijhouden van onkosten, het inschrijven van nieuwe leerlingen en documentbeheer. Door de kwetsbaarheid kunnen cybercriminelen willekeurige php-code uitvoeren en de site volledig overnemen. Een update is beschikbaar (versie 9.9.7), het advies is ook hier om zo snel mogelijk te updaten naar de meest recente versie.
#WakeUpWednesday 18 mei 2022
Afgelopen week is er een politiek akkoord bereikt over nieuwe Europese regelgeving op het gebied van cybersecurity, NIS 2. Belangrijkste wijzigingen zijn dat de regelgeving ook gaat gelden voor middelgrote en grote organisaties én dat het aantal sectoren dat als kritiek wordt beschouwd is uitgebreid. Enkele aspecten die genoemd worden in NIS 2 zijn het patchen van kwetsbaarheden, maatregelen op het gebied van risicomanagement en de termijn waarin incidenten dienen te worden gemeld bij de autoriteiten.
Een kritieke kwetsbaarheid in Zyxel firewalls maakt het voor cybercriminelen mogelijk om op afstand willekeurige code uit te voeren. Denk daarbij aan het downloaden van malware of het misbruiken van andere kwetsbaarheden om het netwerk binnen te dringen. De kwetsbaarheid is van toepassing op zowel firewalls als VPN’s. Inmiddels hebben we de eerste signalen ontvangen dat deze kwetsbaarheid ook actief ingezet wordt door cybercriminelen. Er is een update beschikbaar, ons advies is om deze apparatuur zo snel mogelijk te updaten.
Het update advies is ook van toepassing op SonicWall SMA1000 apparatuur uit de serie 6200, 6210, 7200, 7210 en 8000 met firmwareversies 12.4.0 en 12.4.1. Cybercriminelen kunnen zich toegang verschaffen tot interne resources en mogelijke slachtoffers naar malafide websites sturen.
Ook Linux en Solaris (Unix) systemen worden door cybercriminelen onder vuur genomen. Zo is er recentelijk malware ontdekt genaamd BPFdoor, die zich de afgelopen vijf jaar onopgemerkt op Linux en Solaris systemen heeft gericht. De malware maakt het voor cybercriminelen mogelijk om op afstand verbinding te maken met een Linux shell om zo volledige toegang tot een besmet systeem te krijgen. De malware is zo lang onopgemerkt gebleven omdat de comand & control verbinding van buitenuit wordt geïnitieerd. Een firewall biedt tegen deze malware geen bescherming en de malware kan reageren op commando’s vanuit elk willekeurig IP-adres. Er is inmiddels een set technische indicatoren (Yara rules, hashes) beschikbaar waarmee u een Linux of Solaris-systeem kunt scannen.
#WakeUpWednesday 11 mei 2022
Cybercriminelen ontwikkelen telkens nieuwe manieren om malware te verspreiden. Daarnaast zien we tegenwoordig ook dat cybercriminelen bij de verspreiding niet perse vasthouden aan een specifieke manier. Deze flexibiliteit, gecombineerd met een toenemende keuzevrijheid, zorgt ervoor dat organisaties constant alert moeten zijn en een tunnelvisie moeten voorkomen bij het implementeren van cybersecuritymaatregelen.
Mandiant heeft in een jaarlijks rapport de resultaten gepubliceerd van haar onderzoek naar wereldwijde trends in cybersecurity incidenten, zoals manieren om malware te verspreiden. Ze stellen onder andere dat we met zijn allen beter zijn geworden in het sneller detecteren van incidenten. Als reactie op onze inzet blijven aanvallers uiteraard flexibel. Nog altijd komen aanvallers met 37% van de tijd het vaakst binnen door een kwetsbaarheid uit te buiten. Phishing is met slechts 11% een stuk minder populaire methode. Opvallend zijn de statistieken over supply-chain aanvallen. We kennen inmiddels de aanval op Kaseya van vorig jaar. Deze aanvallen worden in snel tempo populairder, met 17% ten opzichte van 1% in het jaar ervoor.
Het uitbuiten van kwetsbaarheden blijft een veelgebruikte manier voor aanvallers om binnen te komen. Daarom is het ontzettend belangrijk om te zorgen dat het beheer van hard- en software binnen uw organisatie op orde is. Dat wil zeggen, goed bijhouden van welke hard- en software er in gebruik is, en ervoor zorgen dat deze up-to-date wordt gehouden. Hierbij kan Qualys u helpen. Door te zorgen dat er tijdig wordt geacteerd op security updates verkleint u het aanvalsvlak binnen uw organisatie.
Tot slot wordt er gewaarschuwd voor Raspberry Robin, waarbij malware wordt verspreid via USB-sticks. Zorg dat uw medewerkers bewust zijn van de risico’s die het gebruik van onbekende externe apparatuur met zich meebrengt.
#WakeUpWednesday 4 mei 2022
De NSA en de FBI hebben samen met instanties op het gebied van cybersecurity uit meerdere landen een overzicht gemaakt van de belangrijkste kwetsbaarheden die in 2021 werden uitgebuit. Helaas maken deze kwetsbaarheden momenteel nog steeds slachtoffers. In het overzicht onder andere Proxylogon en Log4Shell. Naast deze meest gebruikte kwetsbaarheden, komen er regelmatig nieuwe kwetsbaarheden bij die een mogelijk gevaar voor uw organisatie betekenen.
Een andere kwetsbaarheid die momenteel actief wordt uitgebuit is het lek in VMware Workspace One. Zorg daarom dat u op de hoogte blijft van nieuwe updates en installeer deze zo snel mogelijk.
Het updaten van systemen en software geldt overigens niet alleen voor de zakelijke omgeving maar ook voor apparaten die in huis of voor persoonlijk gebruik zijn bedoeld. De overheid heeft inmiddels verkopers van digitale producten verplicht om deze werkend en veilig te houden. Dat betekent dat er ook voor bijvoorbeeld smart tv’s, printers en camera’s software updates zullen komen. Ook in dit geval geldt: zorg dat u weet welke apparatuur verbonden is met het internet en update deze apparatuur zodra en indien mogelijk.
Verder lijkt Onyx ransomware files groter dan 2MB te vernietigen in plaats van te encrypten. Volgens onderzoekers wordt de data in de files tijdens de encryptie overschreven met waardeloze data, waardoor decryptie, ook na betaling van het losgeld, niet meer de originele bestandsinformatie oplevert. Doordat dezelfde encryptie-routine ook is gezien bij Chaos ransomware, lijkt het erop dat het overschrijven niet een fout is in de encryptie maar een bewuste keuze. Zorg daarom altijd dat u tijdig actie onderneemt bij publicatie van een nieuwe kwetsbaarheid!
#WakeUpWednesday 27 april 2022
Cybercriminelen maken onder andere gebruik van kwetsbaarheden in software om bij organisaties binnen te dringen. In 2021 werden er zeker tachtig zeroday-lekken gebruikt, meer dan een verdubbeling ten opzichte van 2020. Driekwart van de vorig jaar ontdekte zerodays maakte misbruik van kwetsbaarheden in producten van Apple, Google en Microsoft. Installeer daarom de beschikbare patches zodra deze worden gepubliceerd.
Onder andere Cisco, QNAP en Oracle hebben afgelopen week updates uitgebracht. In het geval van Cisco om een ernstige kwetsbaarheid in de Cisco Umbrella Virtual Appliance (VA) aan te pakken. Deze kwetsbaarheid stelde aanvallers in staat om op afstand beheerders credentials te kunnen stelen. QNAP heeft een update uitgebracht voor haar NAS-systemen in verband met Apache HTTP-kwetsbaarheden. Oracle heeft in haar april update 520 nieuwe kwetsbaarheden bekendgemaakt en verholpen.
Uit onderzoek blijkt verder dat malware-groepen nog altijd veel gebruik maken van phishing om binnen te komen. Met nieuwe maatregelen tegen het gebruik van macro’s in Microsoft Office-documenten zoeken deze groepen naar manieren om deze maatregelen te omzeilen. Het blijft daarom belangrijk om uw mensen weerbaar te maken (en te houden) tegen phishing-activiteiten.
#WakeUpWednesday 20 april 2022
Afgelopen week zijn er diverse updates uitgebracht voor kritieke kwetsbaarheden die actief worden uitgebuit. Google kwam met een noodpatch voor een actief aangevallen zero-day kwetsbaarheid in Chrome en ook Microsoft Windows en VMware Workspace ONE Access hebben patches uitgebracht. Het advies is uiteraard om deze zo snel mogelijk te installeren.
In eerdere Wakeupwednesday berichten maakten we melding van diverse varianten malware gericht op mobiele telefoons. Uit onderzoek van Proofpoint blijkt dat in februari er in Europa een stijging was van 500% in het aantal pogingen malware voor mobiele apparaten af te leveren. Malware voor mobiele apparaten wordt steeds geavanceerder. Het gaat daarbij om het opnemen van telefoon- en videogesprekken, audio- en video-opnames die op het toestel zijn opgeslagen en het vernietigen van data die op het toestel is opgeslagen. Wees alert op berichten met daarin linkjes, voicemessages, of notificaties voor het updaten van apps buiten de reguliere appstores om.
#WakeUpWednesday 13 april 2022
De mobiele telefoon speelt een steeds prominentere rol in ons leven, zowel zakelijk als prive. Wees daarom alert op malware die zich richt op Androidtoestellen. De Androidmalware Octo is een vernieuwde versie van ExoCompact, waarvan de broncode in 2018 is uitgelekt. Het meest gevaarlijke aan de vernieuwde variant is dat de cybercrimineel op afstand de controle van het toestel kan overnemen en malafide acties kan uitvoeren via het toestel van het slachtoffer. Update apps alleen met versies die via de officiële kanalen, zoals de App Store of Google Play.
Een andere malware campagne die momenteel in de praktijk wordt gezien is gericht op de distributie van de nieuwe informatie stelende malware META. META neemt in populariteit toe bij cybercriminelen en wordt momenteel actief gebruikt bij aanvallen. Het wordt ingezet om wachtwoorden te stelen die zijn opgeslagen in Chrome, Edge en Firefox, evenals cryptocurrency-portefeuilles. META wordt op de traditionele manier, als mail attachment, verspreid. Wees alert indien u bijlages ontvangt van onbekenden en let op bij het inschakelen van macro’s!
Andere informatie stelende malware die momenteel actief gebruikt worden zijn FFDroider en Lightning Stealer. Ook deze maken gebruik van wachtwoorden die in Chrome, Edge en Firefox zijn opgeslagen. FFDroider wordt gedistribueerd via gekraakte versies van installatieprogramma’s en freeware met als belangrijkste doel het stelen van cookies en inloggegevens die zijn gekoppeld aan populaire sociale media en e-commerceplatforms. Daarnaast wordt de buitgemaakte informatie gebruikt om in te loggen op de accounts om zo andere persoonlijke account gerelateerde informatie vast te leggen. Lightning stealer werkt op een vergelijkbare manier en kan Discord-tokens, gegevens van cryptocurrency-portefeuilles en details met betrekking tot cookies, wachtwoorden en creditcards stelen.
Tijdens de patch Tuesday van april heeft Microsoft een patch uitgebracht voor 119 nieuwe kwetsbaarheden. De meest ernstige kwetsbaarheid is een Remote Code Execution kwetsbaarheid in de Remote Procedure Call Runtime, die is geregistreerd als CVE-2022-26809. Deze kwetsbaarheid geeft een aanvaller de mogelijkheid om ongeautoriseerd code op afstand uit te voeren met dezelfde rechten als de RPC-service. Deze service is actief in de context van het systeem gebruikersaccount Network Service.
Recentelijk heeft VMware Security Advisory VMSA-2022-0011 gepubliceerd, die acht verschillende kwetsbaarheden beschrijft in het product VMware Workspace ONE Access. Drie van deze kwetsbaarheden hebben een CVSS-score van 9,8 en worden hier nader besproken. Het betreft één Remote Code Excution en twee Authentication Bypass kwetsbaarheden. De Remote Code Execution kwetsbaarheid komt ook voor in de volgende gerelateerde VMware producten: VMware Identity Manager, VMware Cloud Foundation en vRealize Suite Lifecycle Manager.
#WakeUpWednesday 6 april 2022
Cyberincidenten ontstaan vaak door kritieke kwetsbaarheden waar niet adequaat op wordt gereageerd, door configuratiefouten of door gebruikers die onbedoeld hun gegevens delen met derden. Het updaten van systemen en software, in combinatie met alertheid van medewerkers, helpt incidenten te voorkomen.
Zyxel waarschuwt voor een kritieke kwetsbaarheid waardoor cybercriminelen beheerderstoegang tot de firewall kunnen krijgen. Installeer zo snel mogelijk de software updates.
Totolink routers die niet zijn voorzien van de meest recente software-updates zijn kwetsbaar voor een variant van het Mirai-botnet. De variant met de naam Beastmode heeft vijf nieuwe exploits, waarvan 3 types gericht zijn op diverse Totolink routers. Ook hier is het advies om zo snel mogelijk, daar waar mogelijk, de software te updaten.
Naast de melding voor Totolink routers is er ook een waarschuwing voor gebruikers van D-link routers. De kwetsbaarheid, aangeduid als CVE-2021-45382, bevindt zich in de D-link DIR-810L, DIR-820L/LW, DIR-826L, DIR-830L en DIR-836L. Deze modellen zijn end-of-life, waardoor er geen nieuwe updates worden uitgebracht. Het advies is daarom om deze modellen zo snel mogelijk offline te zetten en te vervangen door nieuwere routers.
Borat, een nieuwe remote access trojan (RAT), biedt cybercriminelen diverse opties voor aanvallen. Zo kan Borat worden ingezet als ransomware, spyware en voor DDoS-aanvallen. Borat biedt de aanvaller de mogelijkheid om zelf te kiezen hoe de malware in te zetten, wees daarom alert op welke software geïnstalleerd wordt en download alleen applicaties van betrouwbare bronnen en websites.
#WakeUpWednesday 30 maart 2022
Dat kritieke kwetsbaarheden door cybercriminelen worden gebruikt om zich toegang te verschaffen tot systemen en data van derden is niet nieuw. Toch zien we dat diverse kwetsbaarheden, ondanks dat er patches voor zijn uitgebracht, nog steeds worden benut. Het updaten van systemen en applicaties is een essentieel onderdeel van een goed cybersecuritybeleid.
Zo wordt Log4j nog altijd actief misbruikt door cybercriminelen voor het installeren van achterdeurtjes waar in een later stadium gebruik van kan worden gemaakt. Daarnaast wordt Log4j actief misbruikt voor het installeren van miners voor cryptocurrency op kwetsbare VMware Horizon servers.
Een nieuwe phishing campagne, gericht op het overnemen van e-mail gesprekken, wordt gebruikt om de IcedID info-stealing malware te verspreiden. Deze campagne maakt gebruik van kwetsbaarheden in Microsoft Exchange waar reeds software updates voor beschikbaar zijn.
Sophos heeft bekend gemaakt dat de kritieke kwetsbaarheid in de firewallsoftware momenteel actief misbruikt wordt. Er is een hotfix beschikbaar, wij adviseren om deze zo snel mogelijk te installeren.
Het aantal aanvallen dat gebruik maakt van zero-day kwetsbaarheden, fouten die nog niet eerder zijn ontdekt of misbruikt en waarvoor dus nog geen update beschikbaar is, is volgens Rapid7 in 2021 verdubbeld.
Wij adviseren u om ervoor te zorgen dat uw systemen, indien mogelijk, zijn voorzien van de laatste software updates. Zorg dat uw medewerkers alert zijn en maak gebruik van netwerksegmentatie om ervoor te zorgen dat aanvallers niet ongehinderd het hele bedrijfsnetwerk door kunnen.
#WakeUpWednesday 23 maart 2022
Gemak dient de mens, daarom zijn er veel portals die gebruikers in staat stellen om in te loggen met een Google-account, Apple ID of Microsoft-account. De populariteit maakt dat dit soort schermen ook bij cybercriminelen gewild zijn om toe te passen bij hun phishing campagnes. Recentelijk is er een nieuwe phishing-toolkit beschikbaar gekomen waarmee eenvoudig Chrome browserschermen zijn na te maken. Wees alert waar je inlogt en gebruik indien mogelijk multifactor-authenticatie.
De FBI waarschuwt organisaties in de vitale sector voor AvosLocker-ransomware. Bij deze ransomware-aanvallen wordt gebruik gemaakt van kwetsbaarheden in Microsoft Exchange. Voor de gebruikte kwetsbaarheden, waaronder ProxyShell, zijn updates beschikbaar. Zorg er voor dat uw systemen zijn voorzien van de laatste beveiligingsupdates.
Uit onderzoek van Qualys blijkt dat 30 procent van de applicaties, servers en andere systemen die gebruik maken van Log4j, nog steeds kwetsbaar is voor cyberaanvallen. U loopt door deze kwetsbaarheid het risico dat cybercriminelen uw systeem op afstand over kunnen nemen. Installeer daarom indien mogelijk de beveiligingsupdates of neem mitigerende maatregelen indien updaten niet mogelijk is.
Begin maart 2022 zagen we een nieuwe variant van de Lorenz-ransomware. Er is echter een groot verschil tussen de bestanden die door deze ransomware zijn versleuteld en bestanden die door een eerdere versie zijn versleuteld. Het grootste verschil: decodering is niet mogelijk na betaling van de losgeldprijs. Het is onze specialisten echter gelukt om een decryptor te maken die de bestanden wel kan ontsleutelen.
#WakeUpWednesday 16 maart 2022
Cybercriminelen zijn inventief. Telkens weer vinden zij nieuwe manieren om malware te verspreiden en weten zij zich toegang tot systemen van derden te verschaffen. We geven in deze #WakeUpWednesday drie voorbeelden.
Voor het verspreiden van Bazar Backdoor malware wordt bijvoorbeeld gebruik gemaakt van contactformulieren op de website. Door het aanvragen van een offerte wordt een gesprek gestart. Daarna wordt er, in vervolg op de initiële aanvraag, tijdens het gesprek een ISO-file gestuurd met additionele informatie die relevant is voor de aanvraag. Door voor deze additionele info gebruik te maken van filesharingdiensten, zoals Wetransfer, en mensen zelf de files te laten uitpakken, wordt getracht de beveiliging te omzeilen.
Ook extra add-ons voor populaire online games worden gebruikt. In dit voorbeeld wordt via een YouTubekanaal een add-on gepromoot voor de populaire game Valorant. Gebruikers die de add-on willen downloaden worden naar een pagina verwezen waar ze een RAR-file kunnen downloaden. Deze bevat een installatiefile die niet de add-on voor de game installeert, maar RedLine stealer, malware die zich richt op het stelen van onder andere wachtwoorden.
We sluiten het rijtje af met Escobar, Android malware gericht op het stelen van Google Authenticator MFA-codes. Escobar is de verbeterde versie van de Aberebot Android banking trojan. Naast de MFA-codes is de malware ook in staat om controle te krijgen over de toestellen door VNC te gebruiken. Ook de mogelijkheden voor het opnemen van geluid en het gebruik van de camera maken de apps om gebruikersgegevens te achterhalen. Uiteraard met als ultieme doel genoeg data te achterhalen om controle te krijgen over de bankgegevens.
Naast IT-systemen krijgen ook OT-systemen steeds vaker te maken met cybersecurity-dreigingen. Uit onderzoek van Dragos blijkt dat het aantal kwetsbaarheden in 2021 is verdubbeld ten opzichte van 2020. Ransomware is daarbij de grootste dreiging.
Een Linux kwetsbaarheid die impact heeft op alle kernels sinds versie 5.8, inclusief Android, is bekend gemaakt onder de naam Dirty Pipe (Linux Kernel Exploit). Deze kwetsbaarheid maakt het mogelijk dat data, ook al zijn de files read-only, wordt overschreven. Dit kan tot gevolg hebben dat rechten worden opgehoogd. Hierdoor kunnen locale gebruikers rootrechten krijgen. Ook NAS-besturingssystemen van QNAP, QTS en QuTS Hero maken gebruik van de Linux-kernel en zijn dus kwetsbaar.
Tot slot houden we ook de ontwikkelingen met betrekking tot Wiper-malware nauwlettend in de gaten. Een nieuwe vorm, RuRansom, is geen ransomware, ook al doet de naam anders vermoeden. Ook in dit geval gaat het om Wiper-malware die, vooralsnog, systemen raakt met een IP-adres dat te relateren valt aan Rusland.
#WakeUpWednesday 9 maart 2022
Cybercriminaliteit kan zich richten op het verstoren van primaire bedrijfsprocessen of het verstoren van kritieke dienstverlening. Zo werden afgelopen week niet alleen satellietverbindingen getroffen, ook werden 5800 windturbines in Duitsland en centraal Europa offline gehaald.
Nvidia is op meerdere manieren slachtoffer van cybercriminaliteit geworden. Naast dat kwaadwillenden tijdens een incident een Terrabyte aan data hebben buitgemaakt, worden twee gestolen drivercertificaten gebruikt om malware te verspreiden. Ondanks dat de certificaten zijn verlopen kunnen ze in Windows nog steeds worden gebruikt om drivers te installeren. Tot slot wordt de gestolen data gebruikt om Nvidia onder druk te zetten om de firmware voor specifieke reeks grafische kaarten (GeForce RTX 30 Serie) te wijzigen. De wijziging is bedoeld om onder andere de crypto-mining industrie te ondersteunen.
Verder zijn er diverse kwetsbaarheden gedicht in Exchange Server en Android. De kwetsbaarheid in Exchange Server (CVE-2022-23277) heeft een impactscore van 8,8 en maakt remote code execution mogelijk. Het probleem speelt in Exchange 2013, 2016 en 2019. Een geauthentiseerde aanvaller kan door gebruik te maken van deze kwetsbaarheid code met verhoogde rechten uitvoeren. Ook bij de kwetsbaarheid in Android kunnen rechten worden verhoogd. Updates zijn beschikbaar gesteld voor Android 10, 11 en 12.
Installeer de beschikbare software updates zo snel mogelijk. Wees daarbij ook alert op updates die beschikbaar worden gesteld voor allerlei andere systemen die u thuis aan het internet hebt hangen.
#WakeUpWednesday 2 maart 2022
De afgelopen week hebben we gemerkt dat de situatie rondom Oekraïne zowel fysiek als digitaal is geëscaleerd. Het Tesorion Threat Intelligence-team houdt al sinds half januari verschillende open-sourcebronnen in de gaten. We zien dat de aanvallen binnen de Oekraïne drastisch toenemen en dat onder andere Wiper-malware is gedetecteerd. Het doel van deze malware is om de getroffen computers volledig uit te schakelen. Dit is anders dan bij ransomware, waarbij bestanden worden versleuteld en de aanvallers losgeld eisen. Met deze wiper worden de bestanden vernietigd en is er vaak geen weg meer terug. Wees daarom extra alert met e-mailberichten, telefoontjes en benaderingen via social media.
De fraudehelpdesk stelt dat er in de eerste zes weken van 2022 al voor ruim 10.5 miljoen Euro schade is geleden door CEO-fraude, neptelefoontjes en misbruik van bedrijfsnamen. Naast het trainen van het cyberbewustzijn van medewerkers is het ook belangrijk om als organisatie te weten wat er zoal wordt gepubliceerd over uw organisatie, met name op het deep- and darkweb. Denk bijvoorbeeld aan gestolen inloggegevens waarmee cybercriminelen zich toegang kunnen verschaffen tot uw systemen.
Uit onderzoek van Fortinet blijkt onder andere dat ransomware niet alleen toeneemt, maar ook steeds agressiever en verwoestender wordt. Daarnaast toont het Global Threat Landscape Report dat ook Linux-systemen steeds vaker doelwit worden. Zorg dat uw organisatie is voorbereid, geef aandacht aan het vergroten van het cyberbewustzijn van uw medewerkers.
#WakeUpWednesday 23 februari 2022
Het veelgebruikte Microsoft Teams blijkt inmiddels ook door hackers gebruikt te worden. Zij gebruiken het platform om malware te verspreiden. Door bijvoorbeeld in te loggen met gegevens verkregen door middel van phishing of gekocht op het darkweb kan de hacker een bestand delen. Zodra dit bestand geopend wordt door een andere gebruiker begint de malware te werken met alle gevolgen van dien. Zorg dat uw medewerkers weerbaar en alert zijn wat betreft phishing en het openen van onbekende bestanden.
In Google Play Store is een malafide app gevonden. De app Fast Cleaner doet zich voor als een app die het apparaat opschoont en zo ook de batterijduur verbetert, terwijl het in werkelijkheid bankmalware installeert tijdens een onzichtbare update. Er zijn al meer dan 50.000 downloads gedaan van deze app, ondanks reviews die wijzen op de kwaadwillende intentie. Wees alert wat betreft de apps die u installeert en vertrouw niet alles zomaar.
De populaire WordPress plugin Updraft Plus heeft te maken met een kritieke kwetsbaarheid (bekend als CVE-2022-0633) die het mogelijk maakt voor alle website gebruikers om de laatste database back-up te downloaden die privacygevoelige informatie kan bevatten. Normaalgesproken zou deze back-up alleen voor een select groepje gebruikers beschikbaar moeten zijn, maar door deze kwetsbaarheid kunnen alle gebruikers met de minste rechten dit ook downloaden. Vanwege de kritieke situatie heeft WordPress de update (versie 1.22.3 of 2.22.3) geforceerd uitgevoerd op miljoenen websites.
In de update van vorige week benoemden we al de kwetsbaarheid in Adobe Commerce en Magento Open Source. Hierna werd er weer een kwetsbaarheid ontdekt met een CVSS score van 9.8 (CVE-2022-24078). Daarnaast blijkt dat er ook nog steeds misbruik wordt gemaakt van de Log4j kwetsbaarheid die eind 2021 aan het licht kwam. Verder heeft ook VMware onlangs updates beschikbaar gemaakt voor 6 kwetsbaarheden met een CVSS score variërend tussen 5.3 en 8.8. We blijven het benadrukken, houd uw software en apparaten up-to-date om cyberaanvallen voor te zijn.
Afgelopen week kwam het nieuws naar buiten dat de bekende ransomware groep Conti en de TrickBot groep hun krachten hebben gebundeld. Hiermee versterken ze hun positie en hebben ze de kans om betere malware te ontwikkelen. Ransomware aanvallen blijven ons dus bezig houden, bescherm uw organisatie hiertegen.
#WakeUpWednesday 16 februari 2022
Er zijn de afgelopen week door verschillende bedrijven updates beschikbaar gemaakt vanwege kritieke kwetsbaarheden. Het is belangrijk om uw apparaten en software altijd up to date te houden, onderdeel van uw basis op orde hebben.
Allereerst heeft Apple vorige week een update beschikbaar gemaakt. Het gaat om het verhelpen van een kwetsbaarheid, bekend als CVE-2022-22620, in WebKit. Dit is een basisonderdeel wat veel wordt gebruikt in browsers. Na blootstelling aan kwaadaardige webcontent kan er door gebruik van deze kwetsbaarheid code uitgevoerd worden op Apple apparaten. Update uw apparaten naar de nieuwste softwareversies om niet kwetsbaar te zijn. Ook Adobe bracht een update uit om een kritieke kwetsbaarheid, bekend als CVE-2022-24086, te patchen. Het gaat om een kwetsbaarheid in Adobe Commerce en Magento Open Source. Daarnaast heeft Google een update beschikbaar gemaakt voor de Chrome browser. De update zal in de loop van de tijd automatisch geïnstalleerd worden, maar dit kan nu al handmatig gedaan worden. Verschillende kwetsbaarheden worden hiermee verholpen, waarvan enkelen ook als kritiek bestempeld zijn.
Een Duitse groep hackers, de Chaos Computer Club, heeft onlangs meer dan 50 datalekken gevonden bij verschillende bedrijven en organisaties waaronder ook bij het Nederlandse Ministerie van Volksgezondheid, Welzijn en Sport. Door middel van diverse kwetsbaarheden, zoals onder andere databaseservers zonder authenticatie en onbeveiligde MySQL-servers, konden de hackers bij allerlei persoonsgegevens. Alle datalekken zijn gemeld bij de desbetreffende bedrijven en de meesten van hen hebben actie ondernomen om de kwetsbaarheden op te lossen. De groep heeft geen gebruik gemaakt van de gevonden gegevens, maar helaas gebeurt dit vaak wel. Zorg dat u uw data beschermt, bijvoorbeeld door het te versleutelen, en wordt geen slachtoffer van een datalek.
#WakeUpWednesday 9 februari 2022
Met de aanvallen op verschillende bedrijven in de oliesector en een aanval op vrachtafhandelaar Swissport is er momenteel weer veel activiteit op het gebied van ransomware. De impact van de aanvallen op de bedrijfsprocessen is groot. Het laden en lossen van schepen is niet mogelijk of loopt forse vertraging op. Ook bij Swissport zijn een deel van de IT-systemen voor het inplannen van personeel, vliegtuigen en vracht tijdelijk niet beschikbaar.
De afgelopen weken is er al veel gezegd en geschreven over de verplichte app voor olympische sporters, begeleiders en journalisten. Naast het advies om eigen devices thuis te laten en niet mee te nemen naar China, is het goed om bewust te zijn van mogelijke risico’s op het gebied van cybersecurity.
Wees u bewust van de informatie die u deelt, ook op zakelijke platformen zoals LinkedIn. Informatie zoals uw functieomschrijving, informatie over gebruikte systemen en applicaties kunnen door cybercriminelen gebruikt worden. Volgens de AIVD hebben bijvoorbeeld Chinese en Russische geheime diensten duizenden werknemers bij Nederlandse hightechbedrijven benaderd met als doel bedrijfsspionage.
#WakeUpWednesday 2 februari 2022
Het updaten van applicaties en systemen is essentieel voor uw cybersecurity. Zo wordt de Apache Log4j kwetsbaarheid momenteel actief misbruikt. Verder zorgt een kwetsbaarheid in Microsoft Defender ervoor dat cybercriminelen mogelijk de malware detectie kunnen omzeilen.
We blijven benadrukken dat het installeren van beveiligingsupdates ontzettend belangrijk is. Echter maken criminelen hier ook misbruik van door fake-updates voor software te maken met daarin malware of ransomware. Zo werden Microsoft Edge gebruikers, net als Adobe, Google Chrome en Firefox al eerder, geconfronteerd met een fake-update. Let dus altijd goed op dat u updates alleen download van de leverancier zelf en niet van een andere partij.
Ransomware is een grote bedreiging voor de continuïteit van de bedrijfsprocessen en daarmee voor het bestaansrecht van een organisatie. Naast het gijzelen van de data worden organisaties onder druk gezet door het dreigement dat de data publiek wordt gemaakt. Om dat dreigement nog meer kracht bij te zetten, wordt tegenwoordig ook social media ingezet. Daarmee worden organisaties nog meer onder druk gezet om tot betaling van het losgeld over te gaan.
Een andere, nogal gedurfde en onorthodoxe manier die recent is ingezet, is het bellen van personen waarvan de gegevens in de gegijzelde dataset zijn gevonden. Zij werden onder druk gezet met als doel om de organisatie waarvan de data gegijzeld was te motiveren alsnog te betalen.
Om te voorkomen dat uw organisatie slachtoffer wordt van een cyberaanval is het belangrijk om ervoor te zorgen dat u de basis van uw cybersecurity op orde heeft en dat deze uiteraard op orde blijft.
#WakeUpWednesday 26 januari 2022
Data is waardevol, ook voor cybercriminelen. Daarbij wordt geen enkele organisatie gespaard of ontzien, zo bleek wel door de hack op het Rode Kruis. Gegevens van meer dan 500.000, vaak kwetsbare mensen, werden daarbij buitgemaakt.
Daarnaast zijn cybercriminelen er in geslaagd om ruim tweeduizend zakelijke e-mail accounts te gebruiken bij verschillende spywarecampagnes. Uit onderzoek van Kaspersky is gebleken dat de spyware via een e-mailbijlage is verspreid. Indien de medewerker de bijlage opent en de spyware het systeem succesvol weet te infecteren, worden gebruikersnaam en wachtwoord van de desbetreffende medewerker naar de cybercrimineel verstuurd. De aanvaller kan zich met de buitgemaakte gegevens toegang tot het systeem verschaffen en vervolgens de spyware verder verspreiden onder de contacten van de medewerker.
Bekende kwetsbaarheden die door cybercriminelen op een later moment worden gebruikt is niet nieuw. Begin december hebben we gewaarschuwd voor kritieke kwetsbaarheden in de SonicWall SMA 100 serie. Deze week is er een waarschuwing gegeven dat deze kwetsbaarheden momenteel actief benut worden. Er is geen workaround beschikbaar, het advies is zo snel mogelijk de software updaten.
Logging is belangrijk om bijvoorbeeld te achterhalen hoe cybercriminelen zijn binnengekomen. Toch blijkt uit onderzoek van Cisco dat door een gebrek aan logging de aanvalsvector bij de meeste incidenten onbekend is. Daar waar de aanvalsvector wel bekend is, blijkt de oorzaak in de meeste gevallen te gaan om phishing, of applicaties die via het internet toegankelijk zijn. Train het cyberbewustzijn van uw medewerkers en zorg dat kwetsbaarheden in de software worden verholpen zodra er een update beschikbaar is.
#WakeUpWednesday 19 januari 2022
In de #WakeUpWednesday geven we regelmatig incidenten aan waarbij er een noodzaak en urgentie rondom patchen is. Er komen ook regelmatig incidenten aan bod waar het vergroten van het cyberbewustzijn van medewerkers kan helpen om de veiligheid te vergroten.
De afgelopen week heeft Apache Foundation, onder andere beheerder van Apache Log4j, OpenOffice en Apache webserver, gewaarschuwd voor het gebruik van software die end of life is. Gebruikers worden hierdoor nog steeds aangevallen via oude beveiligingslekken in Apache-software die niet meer wordt ondersteund en/of onderhouden.
Ook voor de LUKS-encryptiesoftware voor Linux zijn updates uitgebracht. Het maken van back-ups en het zorgen dat deze niet achteraf te wijzigen zijn is een van de basismaatregelen binnen de cybersecurity. De LUKS-encryptiesoftware bevatte een kritieke kwetsbaarheid (CVE-2021-4122) waarmee het mogelijk was om zonder het invoeren van de passphrase te laten ontsleutelen.
Door de combinatie van een zwak beheerderswachtwoord en het gebruik van een zwak encyptie-algoritme is er privedata van bijna 7 miljoen eindgebruikers van de website Open Subtitles gestolen en openbaar gemaakt. De e-mailadressen zijn aan datalekzoekmachine Have I Been Pwned toegevoegd.
#WakeUpWednesday 12 januari 2022
De Log4j-kwetsbaarheid heeft impact op heel veel systemen. Zo waarschuwt de Britse gezondheidsdienst voor misbruik van de kwetsbaarheid in VMware Horizon. De software maakt gebruik van Apache Tomcat dat weer van Log4j gebruikmaakt. Ondanks dat er in december door VMware patches zijn uitgebracht zijn aanvallers actief op zoek naar systemen die nog niet van de beschikbare patches zijn voorzien.
Er is er een nieuwe kwetsbaarheid ontdekt die betrekking heeft op H2 database consoles. Deze kwetsbaarheid maakt ook misbruik van het laden van JNDI-classes op afstand, dezelfde oorzaak van het Log4Shell-beveiligingslek. Doordat ook deze H2 database engine veel gebruikt wordt is ook, net als bij Log4j, het bereik groot. De kwetsbaarheid (CVE-2021-42392) heeft betrekking op H2 database versies 1.1.100 tot 2.0.204. Het advies is om zo snel mogelijk te updaten naar versie 2.0.206.
Tijdens de patch Tuesday van januari heeft Microsoft patches uitgebracht voor 96 nieuwe kwetsbaarheden. De meest ernstige kwetsbaarheid is een HTTP Protocol remote code execution kwetsbaarheid in http.sys, geregistreerd als CVE-2022-21907. Deze kwetsbaarheid geeft een aanvaller de mogelijkheid om ongeautoriseerd code op afstand uit te voeren. Wij adviseren om na te gaan of uw producten kwetsbaar zijn en de beschikbare software updates of workaround zo snel mogelijk toe te passen.
Dat cybercriminelen steeds op zoek zijn naar nieuwe methodes om binnen te dringen bij organisaties is geen verrassing. Tegenwoordig worden er bijvoorbeeld USB sticks verstuurd die zowel qua stick als qua verpakking sterk lijken op die van gerenommeerde organisaties. De toegestuurde USB sticks bevatten echter malware om zo kwaadaardige acties te kunnen starten.
De makers van Flubot malware, een Android trojan die zich richt op financiële gegevens, hebben een aantal nieuwe campagnes gestart om hun malware te verspreiden. Wees alert op berichten die betrekking hebben op bijvoorbeeld: het updaten van Adobe flash player, valse meldingen voor software updates die buiten de playstore om gaan, berichten over pakketbezorgingen etc. Meest kenmerkend is een dat deze berichten een link bevatten die niet te herleiden is naar de organisatie in kwestie.
#WakeUpWednesday 5 januari 2022
2022 gaat voortvarend van start, ook op cybersecurityvlak. Google heeft een beveiligingsupdate voor Chrome uitgebracht. Met deze nieuwe update wordt onder andere een kritieke kwetsbaarheid verholpen waarbij een aanvaller willekeurige code op het systeem van een gebruiker kan uitvoeren zonder dat daar verdere actie van de gebruiker voor nodig is. Het uitvoeren van code stelt een aanvaller uiteraard in staat om malware op je computer te installeren waarmee bijv. creditcard- en inloggegevens kunnen worden buitgemaakt.
Cybercriminelen hebben een supply chain attack uitgevoerd op ruim honderd bedrijven door skimmercode toe te voegen aan een videospeler van een cloud video hosting service. Op het moment dat een organisatie de videospeler gebruikte op bijvoorbeeld een website, werd ook de malafide code toegevoegd. Hierdoor werd de site geïnfecteerd en kon creditcarddata worden buitgemaakt.
Cybersecurity kent vele aspecten. Een van de basismaatregelen is het maken en weer terug kunnen zetten van back-ups. Het bepalen van een back-upstrategie is daarmee onderdeel van een bedrijfscontinuïteitsplan. Zorg er daarom voor dat u weet hoe lang mag uw organisatie(onderdeel) niet beschikbaar zijn (Recovery Time Objective) en hoeveel dataverlies is daarbij acceptabel (Recovery Point Objective). Test dit proces regelmatig, zodat u niet voor onaangename verrassingen komt te staan. Zo raakte bijvoorbeeld de Universiteit van Kyoto in december 77TB aan onderzoeksdata kwijt door een fout in het back-up systeem.
Weten wat er speelt? Abonneer u op de WakeUp Wednesday
Wilt u elke woensdag een kort overzicht over kwetsbaarheden, nationale of internationale hacks ontvangen? Abonneer u dan op de nieuwsbrief.
Tesorion gebruikt uw gegevens voor het versturen van de gevraagde informatie en mogelijk telefonisch contact. U kunt zich op elk gewenst moment afmelden. Lees voor meer informatie ons privacybeleid.