door Peter Vos | 7 apr, 2022 | Blog, Nieuws |
De op 31 maart ontdekte Spring4Shell kwetsbaarheid wordt vooral in Europa grootschalig misbruikt. Zo blijkt uit een rapport van Check Point. Er is een ernstige kwetsbaarheid ontdekt in Spring Core Framework. Deze kwetsbaarheid is bekend onder de naam “Spring4Shell”. Inmiddels heeft het Nationaal Cyber Security Centrum (NCSC) een publieke GitHub-pagina Spring4Shell geopend. In deze samenwerkomgeving wordt een actueel overzicht bijgehouden van de software en applicaties waarvan bekend is dat ze ontwikkeld zijn met behulp van Spring Framework java. Er wordt gelogd in hoeverre de kwetsbaarheid aanwezig is. Ook wordt op deze centrale plek bijgehouden wanneer en of updates beschikbaar zijn. Bedrijven worden uitgenodigd om dit overzicht van applicaties aan te vullen.
De software die wij gebruiken voor onze dienstverlening is vooralsnog niet kwetsbaar. Uiteraard wordt dit strak gemonitoord. We zijn in nauw gesprek met leveranciers die mogelijk Java gebruiken om risico’s van aanvallen te voorkomen. aldus Chris Ketting CTO bij Lemontree
Wat is het probleem bij Spring4Shell?
Spring Core Framework is een verzameling van Java-bibliotheken die kunnen worden gebruikt in softwareprogramma’s die in de computertaal Java zijn geschreven. Spring Core is ingebakken in veel Java-software. De kwetsbaarheid maakt het mogelijk dat een kwaadwillende – zonder dat daar authenticatie voor nodig is – in bepaalde omstandigheden willekeurige code kan uitvoeren en zo toegang kan krijgen tot het programma/applicatie en de informatie in dat programma/applicatie.
In de eerste vier dagen na het bekend worden van de Spring4Shell-kwetsbaarheid, CVE -2022-22965, blijkt al één op de zes getroffen bedrijven doelwit te zijn geweest van hackers. Dit constateren security-experts van Check Point in een recent rapport. Volgens de telemetrie-gegevens zijn er afgelopen weekend 37.000 aanvallen van de remote execution flaw (RCE) gedetecteerd.
Veel Spring4Shell aanvallen in Europa
Uit het onderzoek blijkt dat vooral softwareleveranciers een geliefd doelwit zijn. In totaal 28 van de door Check Point ontdekte aanvalspogingen richtten zich op dit soort bedrijven. Volgens de securityspecialisten zijn de bedrijven vooral in trek vanwege de mogelijkheid via hen supply chain-aanvallen uit te voeren.
Verder blijkt uit het onderzoek dat vooral bedrijven in Europa het doelwit zijn van Spring4Shell-aanvallen. Ongeveer 20 procent van het totaal aantal geregistreerde aanvallen vindt in onze regio plaats. Noord-Amerika neemt 11 procent van de aanvallen voor zijn rekening. De Amerikaanse cyberwaakhond CISA geeft aan dat veel van de ontdekte Spring4Shell-aanvallen zich op VMware-omgevingen richten. Ook Microsoft-omgevingen lijken interessant te zijn. Beide techgiganten hebben patches en guidelines uitgebracht.
Upgraden naar latere versies van Spring Framework
De Spring4Shell-kwetbaarheid treft de Spring MVC- en WebFlux-applicaties die op JDK9+ draaien. Dit betekent dat alle Java Spring-omgevingen als een mogelijke aanvalsvector moeten worden beschouwd.
Gebruikers worden geadviseerd te upgraden naar de Spring Framework versies 5.3.18 en 5.2.2 en Spring Boot 2.5.12 die het RCE-probleem hebben opgelost. Ook wordt geadviseerd te letten op de kwetsbaarheden CVE-2022-22963 en CVE-2022-22947. Deze kwetsbaarheden richtten zich op Spring Cloud Function en Spring Cloud Gateway.
door Peter Vos | 2 nov, 2021 | Nieuws |
Microsoft heeft een kwetsbaarheid ontdekt waardoor een aanvaller System Integrity Protection (SIP) in macOS kan omzeilen en willekeurige bewerkingen op een apparaat kan uitvoeren.
De techgigant heeft ook een vergelijkbare techniek gevonden waarmee een aanvaller zijn privileges kan verhogen om een getroffen apparaat te rooten. Microsoft heeft deze bevindingen met Apple gedeeld via Coordinated Vulnerability Disclosure (CVD) via Microsoft Security Vulnerability Research (MSVR). Een oplossing voor dit beveiligingslek, nu geïdentificeerd als CVE-2021-30892, is opgenomen in de beveiligingsupdates die op 26 oktober 2021 door Apple zijn uitgebracht. SIP is een beveiligingstechnologie in macOS die een rootgebruiker verhindert bewerkingen uit te voeren die de systeemintegriteit in gevaar kunnen brengen. De kwetsbaarheid werd ontdekt tijdens het beoordelen van processen die het recht hebben om SIP-beveiligingen te omzeilen.
We ontdekten dat de kwetsbaarheid ligt in de manier waarop door Apple ondertekende pakketten met post-installatiescripts worden geïnstalleerd. Een kwaadwillende acteur zou een speciaal vervaardigd bestand kunnen maken dat het installatieproces zou kapen. Nadat de aanvaller de beperkingen van SIP heeft omzeild, kan hij onder andere een kwaadaardig kernelstuurprogramma (rootkit) installeren, systeembestanden overschrijven of persistente, niet-detecteerbare malware installeren.
Dat zegt Jonathan Bar Or van het Microsoft 365 Defender Research Team in zijn blog.
Deze kwetsbaarheid op OS-niveau draagt bij aan het groeiende aantal mogelijke aanvalspunten die aanvallers kunnen misbruiken. Naarmate netwerken steeds heterogener worden, neemt ook het aantal bedreigingen toe dat probeert om niet-Windows-apparaten te compromitteren. Microsoft Defender voor Endpoint op Mac stelt organisaties in staat om inzicht te krijgen en bedreigingen op macOS-apparaten te detecteren. Hiermee kunnen bedrijven kwetsbaarheden en bedreigingen op verschillende platformen detecteren, beheren, anticiperen en verhelpen.
Lees het gehele blog op: Microsoft finds new macOS vulnerability, Shrootless, that could bypass System Integrity Protection – Microsoft Security Blog
door Peter Vos | 28 jun, 2021 | Nieuws |
Werken mensen binnen uw organisatie met een Dell computer, dan loopt uw organisatie het risico aangevallen te worden via de BIOS van een van deze computers. Om u te beschermen tegen een dergelijke aanval willen we u dan ook adviseren zo snel mogelijk onderstaande maatregelen te treffen
Wat is het probleem?
Dell-computers zijn kwetsbaar door beveiligingslekken in BIOSConnect waardoor een aanvaller in het ergste geval willekeurige code op BIOS/UEFI-niveau kan uitvoeren en controle over het bootproces kan krijgen.
Welke Dell computers betreft dit?
In totaal zijn 129 verschillende modellen Dell-computers kwetsbaar. Op de DELL pagina die ingericht is naar aanleiding van dit probleem treft u meer informatie aan over modellen en oplossingen. Wij adviseren u wel om deze pagina goed in de gaten te houden. De pagina vindt u HIER.
Wat moet ik doen?
Om het probleem op te lossen adviseren wij u dringend de benodigde updates handmatig te downloaden en deze te installeren zodra ze beschikbaar zijn. Via Drivers en downloads | Dell Nederland worden de updates zodra ze gereed zijn, aangeboden. Op Dell BIOS-updates is te lezen hoe je een BIOS kunt updaten.
Hulp nodig?
Komt u er niet uit of heeft u assistentie nodig om meerdere werkplekken te updaten? Vanzelfsprekend wil Lemontree u hierbij graag assisteren.
