Kwetsbaarheden CVE's

2024 | 2023 | 2022 | 2021

mei | april | maart | februari | januari

Kwetsbaarheden nieuws

🇳🇱 🇬🇧

Deze pagina wordt voortdurend bijgewerkt. Laatste update: 16-mei-2024

⚠️ Google verhelpt derde zero-day kwetsbaarheid in Chrome binnen een week

Google heeft een noodbeveiligingsupdate uitgebracht voor Chrome om de derde zero-day kwetsbaarheid in een week tijd aan te pakken. Deze kwetsbaarheid, aangeduid als CVE-2024-4947, is ontdekt in de V8 JavaScript-engine van Chrome en kan door aanvallers worden gebruikt om willekeurige code uit te voeren op getroffen apparaten. De update (versie 125.0.6422.60/.61 voor Mac/Windows en 125.0.6422.60 voor Linux) wordt geleidelijk uitgerold naar alle gebruikers in het stabiele desktopkanaal. Hoewel Chrome automatisch bijwerkt, kunnen gebruikers de nieuwste versie handmatig controleren en installeren via het Chrome-menu. Deze specifieke kwetsbaarheid is veroorzaakt door een typeverwarring in de JavaScript-engine en is gemeld door onderzoekers van Kaspersky. Hoewel dergelijke fouten vaak leiden tot crashes door geheugenschendingen, kunnen ze ook wordenmisbruikt voor het uitvoeren van willekeurige code. Dit is de zevende zero-day kwetsbaarheid die Google in 2024 heeft verholpen. Google heeft verdere details over de exploit en gerelateerde aanvallen nog niet vrijgegeven om de veiligheid van gebruikers te waarborgen. [google]

⚠️ Kritieke Git-kwetsbaarheid maakt remote code execution mogelijk

GitHub heeft recent een waarschuwing uitgebracht over een kritieke kwetsbaarheid binnen Git, die het mogelijk maakt voor aanvallers om remote code execution uit te voeren. Deze kwetsbaarheid stelt kwaadwillenden in staat om tijdens het klonen van repositories met submodules ongezien code uit te voeren. Dit risico ontstaat door de wijze waarop Git omgaat met directories en symbolische links, wat kan leiden tot misleiding van het systeem. Johannes Schindelin van GitHub legt uit dat deze aanvalsmethode niet effectief is als de ondersteuning voor symbolische links binnen Git uitgeschakeld is. Daarnaast wordt sterk aangeraden om geen repositories te klonen van bronnen die niet vertrouwd zijn. De ernst van deze beveiligingslek is beoordeeld met een 9.1 op een schaal van 1 tot 10, wat de hoge impact ervan benadrukt. Gebruikers worden opgeroepen om hun Git-installaties te updaten naar de nieuwste versie om zich tegen deze kwetsbaarheid te beschermen. [github]

Kwetsbaarheid in D-Link EXO AX4800 Routers Maakt Complete Overname Mogelijk

De D-Link EXO AX4800 (DIR-X4860) router, een geavanceerd apparaat dat Wi-Fi 6 ondersteunt en snelheden tot 4800 Mbps kan bereiken, is geïdentificeerd als kwetsbaar voor een ernstige beveiligingslek. Dit lek maakt het mogelijk voor aanvallers om zonder authenticatie op afstand commando's uit te voeren en volledige controle over het apparaat te verkrijgen. De kwetsbaarheid, gevonden in de laatste firmwareversie (DIRX4860A1_FWV1.04B03), is ontdekt door het SSD Secure Disclosure team. Zij melden dat het exploiteren van de fout relatief eenvoudig is via de HNAP-poort die toegankelijk is via HTTP of HTTPS. De exploit begint met een speciaal geformuleerde inlogaanvraag op de beheerinterface van de router, gevolgd door een aanval die de authenticatie omzeilt en commando-injectie mogelijk maakt. Ondanks meerdere pogingen om D-Link te informeren over deze kwetsbaarheid, zijn deze tot op heden onbeantwoord gebleven. Als tijdelijke oplossing wordt aanbevolen om de externe toegang tot de beheerinterface van de router uit te schakelen, om misbruik te voorkomen totdat een beveiligingsupdate beschikbaar is. [disclosure]

Microsoft repareert zero-day exploit gebruikt in QakBot malware-aanvallen

Microsoft heeft een zero-day kwetsbaarheid in Windows aangepakt die misbruikt werd voor de verspreiding van QakBot en andere malwaresoorten. Deze kwetsbaarheid, geïdentificeerd als CVE-2024-30051, betreft een privilege escalatie bug veroorzaakt door een buffer overflow in de kernbibliotheek van Desktop Window Manager (DWM). Na succesvolle exploitatie kunnen aanvallers SYSTEM-rechten verkrijgen. De kwetsbaarheid werd ontdekt door onderzoekers van Kaspersky tijdens het analyseren van een vergelijkbare exploit in CVE-2023-36033. Informatie over deze nieuwe kwetsbaarheid kwam aan het licht na de upload van een bestand op VirusTotal, dat ondanks de gebrekkige kwaliteit voldoende details bevatte om de bedreiging te bevestigen. Microsoft heeft de kwetsbaarheid gepatcht tijdens hun meest recente Patch Tuesday. Beveiligingsexperts van Google Threat Analysis Group en anderen meldden ook deze zero-day, wat wijst op een breed gebruik ervan in malware-aanvallen. Oorspronkelijk was QakBot een banktrojan maar evolueerde tot een malwaredistributieservice, die onder andere betrokken was bij ransomware-aanvallen en data-diefstal.

❗️Microsofts Patch Tuesday van mei 2024: Aanpak van Kwetsbaarheden en Zero-Day Exploits

Op de Patch Tuesday van mei 2024 heeft Microsoft beveiligingsupdates uitgebracht voor 61 kwetsbaarheden, waaronder drie zero-day exploits die actief werden uitgebuit of al bekend waren bij het publiek. In totaal heeft Microsoft één kritieke kwetsbaarheid verholpen, namelijk een kwetsbaarheid in de Microsoft SharePoint Server die externe code-uitvoering mogelijk maakte. Van de overige fouten betroffen 17 kwetsbaarheden privilegeverhoging, 2 omzeilingen van beveiligingsfuncties, 27 externe code-uitvoeringen, 7 informatielekken, 3 denial-of-service aanvallen en 4 spoofing kwetsbaarheden. De zero-day kwetsbaarheden omvatten twee actief uitgebuite kwetsbaarheden en één publiekelijk bekendgemaakte kwetsbaarheid. Deze waren met name geassocieerd met de Windows MSHTML Platform Security Feature Bypass en de Windows DWM Core Library, waarbij de laatste aanvallers SYSTEM-rechten kon verlenen. Deze beveiligingsfouten werden door verschillende beveiligingsonderzoekers ontdekt en gerapporteerd, wat de snelle identificatie en patching van deze kritieke problemen mogelijk maakte. Naast deze patches heeft Microsoft ook updates voor andere producten vrijgegeven en zijn vergelijkbare beveiligingsupdates door andere technologiebedrijven zoals Adobe, Apple, Cisco en Google aangekondigd, om de beveiliging van hun systemen verder te versterken.

Apple repareert kritieke zero-day fout in Safari tijdens Pwn2Own

Apple heeft recent een zero-day kwetsbaarheid in de Safari-webbrowser aangepakt, die uitgebuit werd tijdens de Pwn2Own-hackwedstrijd in Vancouver dit jaar. De kwetsbaarheid, geïdentificeerd als CVE-2024-27834, betrof systemen die macOS Monterey en macOS Ventura draaien. Apple heeft verbeterde controles ingevoerd om deze beveiligingslek te dichten. Deze kwetsbaarheid werd aan het licht gebracht door Manfred Paul, die in samenwerking met Trend Micro's Zero Day Initiative, een belangrijke rol speelde door een integer underflow bug te combineren met deze fout om op afstand code uit te voeren, wat hem $60.000 opleverde. Tijdens de Pwn2Own 2024 in Vancouver verzamelden onderzoekers een totaal van $1.132.500 door 29 zero-days te exploiteren en te rapporteren. Google en Mozilla hebben ook snel gehandeld door binnen enkele dagen na de wedstrijd patches uit te brengen voor de door hen geëxploiteerde zero-days. Apple heeft bovendien beveiligingsupdates uit maart teruggeport naar oudere iPhones en iPads, waardoor een iOS zero-day die in aanvallen werd gebruikt, werd opgelost.

⚠️ VMware dicht belangrijke beveiligingslekken na Pwn2Own 2024

VMware heeft recent vier kritieke beveiligingskwetsbaarheden verholpen in hun Workstation en Fusion desktop hypervisors. Drie van deze kwetsbaarheden, die tijdens de Pwn2Own Vancouver 2024 hackwedstrijd aan het licht kwamen, betroffen zero-day exploits. De ernstigste kwetsbaarheid, een zogenaamde 'use-after-free' fout in de vbluetooth apparaatdemo, kon door kwaadwillenden gebruikt worden om code uit te voeren met beheerdersrechten op de virtuele machine. VMware heeft naast de patches ook een tijdelijke oplossing aangeboden voor beheerders die de beveiligingsupdates niet direct kunnen installeren, door het uitschakelen van Bluetooth-ondersteuning op de VM. Andere kwetsbaarheden omvatten informatie-onthullingsbugs en een heap buffer overflow probleem in de Shader functionaliteit, waarbij de laatste misbruikt kon worden om een denial-of-service aanval te veroorzaken als 3D graphics ingeschakeld waren. Deze lekken werden ook gerapporteerd door onderzoekers van STAR Labs SG en Theori tijdens hetzelfde evenement. De Pwn2Own 2024 leverde in totaal $1,132,500 op voor beveiligingsonderzoekers die 29 zero-day kwetsbaarheden demonstreerden. Naast VMware, hebben ook andere grote technologiebedrijven zoals Google en Mozilla snel gereageerd door binnen enkele dagen na de wedstrijd hun eigen kwetsbaarheden te dichten. [broadcom, broadcom2]

Apple verbetert beveiliging oudere iOS-apparaten met terugwerkende patch

Apple heeft onlangs een beveiligingsupdate uitgerold voor oudere iPhones en iPads, waarbij een kritieke kwetsbaarheid in het iOS-kernel, bekend als zero-day en gemarkeerd als misbruikt in aanvallen, is aangepakt. De fout, een geheugencorruptie in Apple's RTKit besturingssysteem, stelde aanvallers in staat om de kernelgeheugenbeveiligingen te omzeilen door willekeurige kernellees- en schrijfacties uit te voeren. Deze kwetsbaarheid was oorspronkelijk gepatcht in maart voor nieuwere modellen van iPhone, iPad en Mac, maar is nu ook beschikbaar gemaakt voor oudere versies zoals iOS 16.7.8 en macOS Ventura 13.6.7, waarbij de validatie van invoer is verbeterd. De update is van toepassing op een aantal oudere apparaten, waaronder iPhone 8 en X, evenals verschillende iPad-modellen. Hoewel de specifieke details van de exploitatie van deze kwetsbaarheid en de identiteit van de ontdekker niet zijn vrijgegeven, worden dergelijke zero-days vaak gebruikt in spionageaanvallen door statelijke actoren tegen hoogrisicogroepen zoals journalisten en politieke dissidenten. Gezien het gerichte karakter van de aanvallen en de ernst van de kwetsbaarheid, wordt gebruikers van de betreffende oudere apparaten sterk aangeraden de updates zo snel mogelijk te installeren om toekomstige aanvalspogingen te blokkeren. [apple]

Google repareert vijfde zero-day kwetsbaarheid in Chrome van 2024

Google heeft een beveiligingsupdate uitgebracht voor de Chrome-browser om de vijfde zero-day kwetsbaarheid van dit jaar aan te pakken, die actief werd uitgebuit. De kwetsbaarheid, met kenmerk CVE-2024-4671, is een 'use-after-free' fout in het visuele component dat de weergave van content in de browser regelt. Deze fout kan leiden tot datalekken, uitvoering van code of crashes door het verkeerd omgaan met vrijgegeven geheugen. De kwetsbaarheid werd ontdekt en gerapporteerd door een anonieme onderzoeker. Google heeft updates uitgerold voor zowel Mac en Windows als Linux, die over de komende dagen en weken beschikbaar zullen zijn. Gebruikers kunnen handmatig controleren of ze de nieuwste versie hebben door naar 'Instellingen' > 'Over Chrome' te gaan, waarna een automatische update gevolgd door een herstart de fix zal toepassen. Dit probleem is de vijfde zero-day kwetsbaarheid die dit jaar in Chrome is aangepakt, naast andere ernstige kwetsbaarheden die eerder tijdens de Pwn2Own-hackwedstrijd in Vancouver werden ontdekt. [chromereleases]

Citrix waarschuwt beheerders voor PuTTY SSH-cliënt kwetsbaarheid

Citrix heeft recent zijn klanten gewaarschuwd om handmatig een kwetsbaarheid in de PuTTY SSH-cliënt te mitigeren die aanvallers in staat zou stellen om de privé SSH-sleutel van een XenCenter-beheerder te stelen. Deze kwetsbaarheid, aangeduid als CVE-2024-31497, beïnvloedt meerdere versies van XenCenter voor Citrix Hypervisor 8.2 CU1 LTSR, die PuTTY gebruiken voor SSH-verbindingen naar gast-VM's. Oudere versies van PuTTY, in het bijzonder vóór versie 0.81, hebben een specifiek probleem in de wijze waarop ECDSA nonces worden gegenereerd, wat in bepaalde scenario's kan leiden tot het uitlekken van de privé SSH-sleutel. Citrix adviseert beheerders die de "Open SSH Console" functionaliteit niet gebruiken om de PuTTY-component volledig te verwijderen. Degenen die PuTTY blijven gebruiken, moeten de oudere versies vervangen door minstens versie 0.81. Dit advies volgt op eerdere meldingen van ernstige kwetsbaarheden in andere Citrix-producten, zoals de Citrix Netscaler, die eveneens actief werden uitgebuit door kwaadwillenden. De situatie onderstreept het belang van het bijwerken en veilig configureren van software om weerstand te bieden tegen ransomware-aanvallen en andere cyberdreigingen. [citrix]

Beveiligingslekken in BIG-IP Next Central Manager verholpen

F5 heeft onlangs twee ernstige beveiligingsproblemen in hun BIG-IP Next Central Manager opgelost, die aanvallers de mogelijkheid boden om volledige beheerdersrechten te verkrijgen en onzichtbare schaduwaccounts aan te maken op beheerde systemen. Deze kwetsbaarheden, geïdentificeerd als SQL-injectie (CVE-2024-26026) en OData-injectie (CVE-2024-21793), stelden ongeauthenticeerde aanvallers in staat om schadelijke SQL-commando's op ongepatchte apparaten uit te voeren. Deze aanvallen, die via de beheerdersinterface van de Next Central Manager konden worden uitgevoerd, maakten volledige overname van het beheerderspaneel mogelijk. Beveiligingsfirma Eclypsium, die de kwetsbaarheden rapporteerde, benadrukt dat de nieuw gecreëerde accounts na een compromittering niet zichtbaar zijn vanuit de Next Central Manager, wat ze ideaal maakt voor blijvende ongeoorloofde toegang binnen een organisatie. F5 heeft beheerders die de veiligheidsupdates nog niet kunnen installeren aangeraden om de toegang tot de Next Central Manager te beperken tot vertrouwde gebruikers binnen een beveiligd netwerk, als tijdelijke maatregel tegen potentiële aanvallen. Tot nu toe zijn er geen aanwijzingen dat deze beveiligingslekken daadwerkelijk zijn uitgebuit in aanvallen. [eclypsium]

Apple dicht ernstige beveiligingslek in Windows iTunes

Apple heeft recent een kritieke kwetsbaarheid in de Windowsversie van iTunes aangepakt. Deze kwetsbaarheid, geïdentificeerd als CVE-2024-27793, bevond zich in het Core Media framework dat wordt gebruikt voor het verwerken van mediabestanden. Deze fout stelde aanvallers in staat om de applicatie te laten crashen of zelfs willekeurige code uit te voeren op getroffen systemen. Het probleem kwam aan het licht nadat een onderzoeker van de University of Texas het lek rapporteerde. De ernst van de kwetsbaarheid is beoordeeld met een 9.1 op een schaal van 10, wat de hoge risicofactor aangeeft. Gebruikers van de betreffende software worden dringend aangeraden om hun iTunes te updaten naar versie 12.13.2 om zich tegen mogelijke aanvallen te beschermen. Deze update moet het probleem verhelpen en gebruikers beschermen tegen potentieel misbruik van deze beveiligingslek. [apple]

⚠️ Kritieke Kwetsbaarheid in Android Maakt Escalatie van Privileges Mogelijk

Google heeft recent een waarschuwing uitgegeven over een kritieke kwetsbaarheid in het Android-besturingssysteem, specifiek genaamd CVE-2024-23706. Dit lek, geïdentificeerd in het System-onderdeel van Android, stelt apps en lokale gebruikers in staat hun rechten te verhogen zonder extra permissies, een situatie bekend als 'escalation of privilege'. Dit type kwetsbaarheid wordt zelden als kritiek beschouwd, maar de ernst van dit specifieke lek heeft ertoe geleid dat het als zodanig is geclassificeerd. De kwetsbaarheid is aangepakt in de meest recente patchronde van Android, met updates voor Android 12, 12L, 13 en 14, die vanaf mei 2024 worden uitgerold. Google gebruikt een patchniveau-systeem om de implementatie van deze updates te organiseren, en fabrikanten zijn minstens een maand voor de publicatie van de patches geïnformeerd om adequate tijd te geven voor de ontwikkeling van hun eigen updates. Echter, niet alle Android-toestellen zullen deze updates ontvangen, voornamelijk vanwege het ontbreken van ondersteuning van sommige fabrikanten of vertragingen in het uitbrengen van updates. Deze situatie onderstreept het belang van snelle en uitgebreide updateprocessen door fabrikanten om de veiligheid van hun gebruikers te waarborgen tegen dergelijke ernstige bedreigingen. [android]

⚠️ Kritieke Beveiligingslek in Tinyproxy: Risico's voor Meer dan 50.000 Servers

Bijna 52.000 online Tinyproxy-servers zijn vatbaar voor het kritieke beveiligingslek CVE-2023-49606, waardoor ongeautoriseerde externe code-uitvoering mogelijk is. Tinyproxy, een lichtgewicht proxyserver voor UNIX-systemen, wordt veel gebruikt door kleine bedrijven, openbare WiFi-aanbieders en thuisgebruikers. Het lek, een 'use-after-free' fout ontdekt door Cisco Talos in december 2023, betreft de functie 'remove_connection_headers' waarbij specifieke HTTP-headers onjuist worden beheerd. Ondanks inspanningen van Cisco om de ontwikkelaars van Tinyproxy te waarschuwen, was er aanvankelijk geen reactie en werd geen patch aangeboden. Dit lek werd uiteindelijk breed bekendgemaakt begin mei 2024, waarna een patch snel volgde. De fout maakt misbruik mogelijk via een eenvoudig misvormd HTTP-verzoek en kan, zonder authenticatie, leiden tot een crash van de server of erger. Hoewel een patch beschikbaar is, was er kritiek op de communicatie rond de melding van het lek. Met ongeveer 57% van de online zichtbare Tinyproxy-servers nog steeds kwetsbaar, vormt dit een ernstig risico, vooral in de Verenigde Staten waar de meeste kwetsbare servers zijn geïdentificeerd. [talos, censys, github CVE-2023-49606, github fix]

Bijna kwart van Windows-pc's kwetsbaar door verouderde software

Uit onderzoek van de Consumentenbond onder bijna twaalfhonderd Windows-computers blijkt dat bijna een kwart van de systemen kwetsbaar is doordat er verouderde software op draait. Deze software ontvangt geen beveiligingsupdates meer of is niet bijgewerkt ondanks beschikbare updates. Meer dan de helft van de computers draait op Windows 10, terwijl de rest voornamelijk Windows 11 gebruikt. Op 180 van de onderzochte systemen werd sterk verouderde software gevonden die geen beveiligingsondersteuning meer krijgt, waardoor eventuele beveiligingslekken niet worden gerepareerd. Daarnaast waren er op ruim honderdvijftig computers verouderde versies van populaire programma's zoals WinRAR, Adobe Acrobat Reader en 7-Zip geïnstalleerd, die bekende kwetsbaarheden bevatten. Een klein deel gebruikte zelfs oude versies van Java en Windows Live Mesh. Windows zelf bleek op de meeste computers wel up-to-date te zijn. De Consumentenbond adviseert gebruikers om hun software regelmatig te updaten om beveiligingsproblemen te voorkomen. [consumentenbond]

Privacyrisico door DNS-lekken in Mullvad VPN-app op Android

De VPN-dienst Mullvad heeft een waarschuwing uitgegeven voor gebruikers van hun Android-applicatie betreffende een potentieel privacyrisico. Het probleem ontstaat wanneer DNS-verzoeken van de gebruiker kunnen lekken tijdens het gebruik van de VPN, wat de privacy ernstig kan schaden. Dit type verzoek bevat gegevens over de websites die een gebruiker wil bezoeken, gegevens die normaal gesproken door de VPN-dienst worden afgeschermd. Het lekken van DNS-verzoeken doet zich voor in twee specifieke situaties: ten eerste als de VPN actief is maar er geen DNS-server is ingesteld, en ten tweede wanneer de VPN-app de VPN-tunnel herconfigureert of crasht. Mullvad heeft aangegeven dat dit probleem door een specifieke kwetsbaarheid in Android zelf wordt veroorzaakt en invloed heeft op meerdere apps, hoewel niet gespecificeerd is welke andere apps nog meer getroffen zijn. Deze kwetsbaarheid blijft aanwezig ongeacht of de 'Always-on VPN' en 'Block connections without VPN'-opties zijn ingeschakeld. Mullvad werkt aan een oplossing die binnenkort beschikbaar moet zijn en heeft het probleem ook bij Google aangekaart om verder onderzoek en herstel te bevorderen. [mullvad, issuetracker]

Kritieke Path Traversal-kwetsbaarheid Ontdekt in Populaire Android-apps

Microsoft heeft een ernstige path traversal-kwetsbaarheid blootgelegd in diverse populaire Android-applicaties, met een totaal van meer dan vier miljard installaties. Dit lek maakt het mogelijk voor kwaadwillende apps om bestanden te overschrijven in de home directory van getroffen apps, wat kan resulteren in het uitvoeren van willekeurige code of het stelen van authenticatietokens. Deze tokens kunnen vervolgens gebruikt worden om toegang te verkrijgen tot gebruikersaccounts. De kwetsbaarheid treft onder meer apps van Xiaomi en WPS Office, maar Microsoft vermoedt dat het probleem bij een breder scala aan applicaties voorkomt. Een van de kernproblemen ligt in de implementatie van Android's 'content provider', een component dat normaal gesproken de veilige uitwisseling van data tussen apps faciliteert. Echter, in sommige gevallen verwerkt deze component de data-aanvragen op een wijze die misbruik toelaat, zoals het overschrijven van cruciale bestanden. Microsoft heeft in samenwerking met Google een document uitgebracht om ontwikkelaars te waarschuwen en aan te moedigen om gebruikersinvoer met de nodige voorzichtigheid te behandelen en bepaalde data-aanvragen te negeren. [microsoft, android]

Dringende Oproep van CISA en FBI aan Softwareontwikkelaars om Pad Traversal Kwetsbaarheden te Elimineren

De Cybersecurity and Infrastructure Security Agency (CISA) en de Federal Bureau of Investigation (FBI) hebben softwarebedrijven opgeroepen om hun producten grondig te beoordelen en pad traversal (of directory traversal) kwetsbaarheden te verwijderen voordat deze worden verspreid. Deze kwetsbaarheden stellen aanvallers in staat om essentiële bestanden te creëren of te overschrijven, wat kan leiden tot het uitvoeren van codes of het omzeilen van beveiligingsmechanismen zoals authenticatie. Ook kunnen gevoelige gegevens zoals inloggegevens worden geraadpleegd, wat mogelijk leidt tot brute-force aanvallen op bestaande accounts. Deze oproep volgt op recente aanvallen op kritieke infrastructuur, waarbij onder andere de gezondheidszorg getroffen werd. Softwareontwikkelaars worden geadviseerd om effectieve tegenmaatregelen te implementeren, zoals het genereren van een willekeurige identificatie voor elk bestand en het strikt beperken van toegestane tekens in bestandsnamen. Deze kwetsbaarheden staan bekend als een belangrijke veiligheidsrisico en bevinden zich in de top 25 van meest gevaarlijke softwarezwaktes volgens MITRE, benadrukt door hun aanhoudende prevalentie ondanks jaren van waarschuwingen. [mitre, cisa]

Kritieke beveiligingsfouten in ArubaOS aangepakt door HPE Aruba Networking

In april 2024 heeft HPE Aruba Networking een beveiligingsadvies uitgebracht over kritieke kwetsbaarheden voor externe code-uitvoering (RCE) in meerdere versies van ArubaOS, hun eigen netwerkbesturingssysteem. De melding omvat tien kwetsbaarheden, waarvan er vier, met een kritieke ernstscore van 9.8 volgens CVSS v3.1, betrekking hebben op ongeauthenticeerde bufferoverloopproblemen die externe code-uitvoering mogelijk maken. De getroffen producten zijn onder meer de Mobility Conductor, Mobility Controllers, WLAN Gateways en SD-WAN Gateways die door Aruba Central worden beheerd. De specifieke versies die kwetsbaar zijn, omvatten ArubaOS 10.5.1.0 en lager, en verscheidene andere oudere releases tot aan de modellen die het einde van hun levensduur hebben bereikt. De vier ernstige kwetsbaarheden maken het mogelijk voor niet-geauthenticeerde aanvallers om op afstand code uit te voeren door speciaal geconstrueerde pakketten te versturen naar de PAPI UDP-poort, gebruikt door Aruba's toegangspuntbeheerprotocol. Als tegenmaatregel raadt de fabrikant aan om Enhanced PAPI Security in te schakelen en te upgraden naar gepatchte versies van ArubaOS. De nieuwste versies verhelpen ook nog zes andere kwetsbaarheden met een "medium" ernstscore, die kunnen leiden tot een denial-of-service op kwetsbare apparaten. Systembeheerders worden aangeraden om de beschikbare beveiligingsupdates zo snel mogelijk toe te passen. [arubanetworks]

Kwetsbaarheid in R Taal Maakt Code-uitvoering Mogelijk via RDS/RDX Bestanden

Een recent ontdekte kwetsbaarheid in de R programmeertaal kan leiden tot willekeurige code-uitvoering wanneer speciaal vervaardigde RDS- en RDX-bestanden worden gedeserialiseerd. R, een open-source programmeertaal, is populair onder statistici en data-analisten en wordt steeds vaker gebruikt in het opkomende AI/ML-veld. Onderzoekers van HiddenLayer identificeerden de kwetsbaarheid, bekend als CVE-2024-27322, die een ernstige score van 8.8 heeft op de CVSS v3-schaal. De kwetsbaarheid maakt gebruik van de manier waarop R serialisatie ('saveRDS') en deserialisatie ('readRDS') afhandelt, met name door middel van promise objecten en "lui evalueren". Aanvallers kunnen promise objecten met willekeurige code in de metadata van de RDS-bestanden inbedden. Deze code wordt geëvalueerd tijdens de deserialisatie, wat leidt tot de uitvoering ervan. De aanval vereist vaak een sociaal technische benadering, waarbij het slachtoffer wordt overtuigd of misleid om deze bestanden uit te voeren. Aanvallers kunnen ook een passievere benadering kiezen door de pakketten te verspreiden via veelgebruikte repositories, in afwachting dat slachtoffers ze downloaden. De impact van CVE-2024-27322 is aanzienlijk vanwege het uitgebreide gebruik van R in kritische sectoren en het grote aantal pakketten dat wordt ingezet in data-analyseomgevingen. Als mitigatiemaatregel heeft R Core versie 4.4.0, uitgebracht op 24 april 2024, beperkingen ingevoerd op het gebruik van beloftes in de serialisatiestroom om willekeurige code-uitvoering te voorkomen. Organisaties die niet onmiddellijk kunnen upgraden, wordt aangeraden om RDS/RDX-bestanden in geïsoleerde omgevingen uit te voeren, zoals zandbakken en containers, om de uitvoering van code op het onderliggende systeem te voorkomen. [hiddenlayer, cert, rstudio]

Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Maandoverzicht: Cyberkwetsbaarheden in focus