NCSC Alerts

Apple heeft meerdere kwetsbaarheden verholpen in macOS en Safari. Twee kwetsbaarheden (CVE-2024-44308 & CVE-2024-44309) in die aanwezig zijn in macOS Sequoia en Safari 18.1.1 kunnen leiden tot het uitvoeren van willekeurige code. Apple geeft aan dat op Intel-based systemen actief misbruik van deze kwetsbaarheden plaats heeft gevonden.

Trend Micro heeft een kwetsbaarheid verholpen in Trend Micro Deep Security. De kwetsbaarheid bevindt zich in de Trend Micro Deep Security 20 Agent en stelt kwaadwillenden met legitieme domein toegang in staat om hun rechten te verhogen en mogelijk willekeurige code uit te voeren.

Palo Alto Networks heeft actief misbruikte kwetsbaarheden verholpen in PAN-OS. UPDATE Er is inmiddels publieke PoC verschenen om CVE-2024-0012 uit te buiten. De kwetsbaarheid met kenmerk CVE-2024-0012 stelt een kwaadwillende met toegang tot het management web interface in staat om administrator privileges te verkrijgen. Middels de kwetsbaarheid met kenmerk CVE-2024-9474 kan deze administrator toegang misbruikt worden op met root privileges willekeurige code uit te voeren op de firewall.

GitHub heeft een kwetsbaarheid verholpen in GitHub CLI (Specifiek voor versies 2.6.1 en eerder). De kwetsbaarheid bevindt zich in de wijze waarop GitHub CLI SSH-verbindingdetails beheert. Dit kan kwaadwillenden in staat stellen om willekeurige code uit te voeren op het werkstation van de gebruiker wanneer er verbinding wordt gemaakt met een kwaadaardige Codespace SSH-server en specifieke commando's worden uitgevoerd.

VMware heeft kwetsbaarheden verholpen in vCenter Server. Een kwaadwillende kan de kwetsbaarheden misbruiken om zich verhoogde rechten toe te kennen, mogelijk zelfs tot root en willekeurige code uit te voeren op het systeem. VMware meldt in een update van het originele beveiligingsadvies dat misbruik is waargenomen. Details over de omvang en gevolgen worden verder niet gegeven.

Oracle heeft een kwetsbaarheid verholpen in versie 9.3.6 van het Agile PLM Framework. De kwetsbaarheid stelt niet-geauthenticeerde aanvallers met netwerktoegang in staat om toegang te krijgen tot gevoelige gegevens.

Siemens heeft kwetsbaarheden verholpen in Tecnomatix Plant Simulation. De kwetsbaarheden bevinden zich in de wijze waarop Tecnomatix Plant Simulation speciaal vervaardigde WRL-bestanden verwerkt. Deze kwetsbaarheden omvatten onder andere out-of-bounds writes, use-after-free en stack-based overflows, die allemaal kunnen worden misbruikt door kwaadwillenden om willekeurige code uit te voeren binnen de context van het huidige proces. Dit kan leiden tot ongeautoriseerde toegang en controle over de getroffen applicaties, wat een ernstige bedreiging vormt voor de integriteit en beveiliging van de systemen. Voor succesvol misbruik moet de kwaadwillende toegang hebben tot de productieomgeving. Het is goed gebruik een dergelijke omgeving niet publiek toegankelijk te hebben.

Palo Alto Networks heeft actief misbruikte kwetsbaarheden verholpen in PAN-OS. De kwetsbaarheid met kenmerk CVE-2024-0012 stelt een kwaadwillende met toegang tot het management web interface in staat om administrator privileges te verkrijgen. Middels de kwetsbaarheid met kenmerk CVE-2024-9474 kan deze administrator toegang misbruikt worden op met root privileges willekeurige code uit te voeren op de firewall.

Adobe heeft een kwetsbaarheid verholpen in Photoshop (Specifiek voor versies 24.7.3, 25.11 en eerder). De kwetsbaarheid bevindt zich in de manier waarop Adobe Photoshop omgaat met bepaalde bestanden. Een kwaadwillende kan deze kwetsbaarheid misbruiken door een gebruiker te verleiden een kwaadaardig bestand te openen, wat kan leiden tot de uitvoering van willekeurige code op het systeem van de gebruiker en daarmee mogelijk toegang tot gevoelige gegevens in de context van het slachtoffer.

Adobe heeft kwetsbaarheden verholpen in InDesign desktop applicaties (Specifiek voor versies ID18.5.3, ID19.5 en eerder). De kwetsbaarheden bevinden zich in de manier waarop de InDesign desktop applicaties omgaan met speciaal vervaardigde bestanden. Dit kan leiden tot een heap-gebaseerde buffer overflow, wat een aanvaller in staat stelt om willekeurige code uit te voeren. Succesvol misbruik vereist gebruikersinteractie, aangezien de kwetsbaarheden alleen kan worden misbruikt door het openen van een kwaadwillig bestand. Dit verhoogt het risico op onbedoelde activatie door gebruikers, wat een bedreiging vormt voor de integriteit en vertrouwelijkheid van gegevens in de context van het slachtoffer.

Adobe heeft kwetsbaarheden verholpen in Adobe Illustrator (Versies 28.7.1 en eerder). De kwetsbaarheden in Adobe Illustrator stellen aanvallers in staat om gevoelige gegevens te lezen, willekeurige code uit te voeren en kunnen leiden tot een Denial-of-Service. Deze kwetsbaarheden vereisen dat gebruikers een specifiek vervaardigd kwaadaardig bestand openen, wat een aanzienlijk risico voor gegevensintegriteit en systeembeveiliging met zich meebrengt.

GitLab heeft kwetsbaarheden verholpen in GitLab CE/EE (Specifiek voor versies 16.0 tot 17.5.2). De kwetsbaarheden bevinden zich in meerdere versies van GitLab CE/EE en stellen kwaadwillenden in staat om ongeautoriseerde volledige API-toegang te verkrijgen via de Device OAuth-stroom. Dit kan leiden tot ernstige implicaties voor organisaties die deze producten gebruiken, aangezien het de beveiliging van gevoelige gegevens en gebruikersaccounts compromitteert. Daarnaast is er een kritieke kwetsbaarheid die gebruikers blootstelt aan XSS-aanvallen door onjuiste uitvoerencoding wanneer het Content Security Policy (CSP) niet is ingeschakeld. Ook kunnen kwaadwillenden kwaadaardige JavaScript injecteren in Analytics Dashboards via een speciaal gemaakte URL, wat kan leiden tot ongeautoriseerde toegang en manipulatie van gevoelige gegevens. Tenslotte kan ongeautoriseerde toegang tot de Kubernetes-agent in specifieke configuraties mogelijk zijn, wat zorgen oproept over de integriteit en beveiliging van implementaties.

UPDATE Er is publieke proof of concept (PoC) code voor de kwetsbaarheid beschikbaar. Deze is van toepassing op nog niet gepatchte FortiManager varianten. Ook hebben onderzoekers ontdekt dat de patch van Fortinet niet de volledige exploitatieketen heeft opgelost. Zo is het mogelijk om op een gepatcht systeem alsnog code uit te voeren, mits de opdracht van een vertrouwd systeem komt. Als de eerdere patches van Fortinet zijn uitgevoerd, zou het niet meer mogelijk moeten zijn om vanuit buiten het netwerk een vertrouwd systeem toe te voegen aan een FortiManager. Fortinet heeft een patch beschikbaar gesteld voor FortiManager. Verder worden er in deze advisory ook mitigerende maatregelen genoemd. Er is, voor de bekendmaking van de CVE en patch, misbruik van CVE-2024-47575 waargenomen. Er bestaat daarmee een risico op misbruik van deze CVE voordat de beschikbare patch is geïnstalleerd. Het NCSC adviseert om, naast het patchen van uw FortiManager met de beschikbaar gestelde patch, onderzoek te doen aan de hand van beschikbare Indicators of Compromise (IoC’s) om mogelijk misbruik te onderkennen. Een kwaadwillende kan toegang hebben gehad tot uw FortiManager omgeving door een ander Fortinet serienummer in uw FortiManager te registreren. Via het certificaat zou de kwaadwillende de authenticatie hebben kunnen omzeilen. Fortinet heeft in de FG-IR-24-423 advisory IoC's beschikbaar gesteld die kunnen helpen bij forensisch onderzoek (zie referentie). De aanval stelt een kwaadwillende in staat om configuratie gegevens op te halen van uw firewall/netwerk omgeving. Ook stelt dit een kwaadwillende in staat om (VPN) account credentials en certificaten in te zien, welke de mogelijkheid geven om via bestaande accounts uw netwerk te betreden. Mocht u indicatoren zien van misbruik, adviseert het NCSC daarom ook om accounts te resetten en certificaten te vernieuwen. Wat precies in een aanval gestolen zou kunnen zijn ligt echter aan de geïmplementeerde configuratie en kan per casus verschillen.

Schneider Electric heeft een kwetsbaarheid verholpen in de Ecostruxture Gateway. Een kwaadwillende kan de kwetsbaarheid misbruiken om de gateway over te nemen en zo toegang te krijgen tot het Ecostruxtrure-landschap in gebruik. Voor succesvol misbruik moet de kwaadwillende toegang hebben tot de productieomgeving. Het is goed gebruik een dergelijke infrastructuur niet publiek toegankelijk te hebben.

Fortinet heeft kwetsbaarheden verholpen in FortiClient voor Windows en MacOS. Een kwaadwillende kan de kwetsbaarheden misbruiken om zich verhoogde rechten toe te kennen en willekeurige commando's uit te voeren op het systeem.

Palo Alto Networks heeft kwetsbaarheden verholpen in PAN-OS. Een kwaadwillende kan de kwetsbaarheden misbruiken om beveiligingsmaatregelen te omzeilen en zo verkeer naar en door het systeem te leiden dat aanvankelijk niet is toegestaan, of een Denial-of-Service veroorzaken.

Cirtix heeft een aantal kwetsbaarheden verholpen in NetScaler ADC en NetScaler Gateway. Een kwaadwillende kan de kwetsbaarheden misbruiken om aanvallen uit te voeren die kunnen leiden tot de volgende categorieën schade:

Ivanti heeft kwetsbaarheden verholpen in Connect Secure en Policy Secure. Een kwaadwillende kan de kwetsbaarheden misbruiken om aanvallen uit te voeren die kunnen leiden tot de volgende categorieën schade:

Ivanti heeft kwetsbaarheden verholpen in Ivanti Endpoint Manager. Een kwaadwillende kan de kwetsbaarheden misbruiken om aanvallen uit te voeren die kunnen leiden tot de volgende categorieën schade:

Citrix heeft kwetsbaarheden verholpen in Citrix Session Recording Een kwaadwillende met beperkte rechten kan de kwetsbaarheden misbruiken om toegang te verkrijgen tot service accounts en willekeurige code uit te voeren op de server. Onderzoekers hebben Proof-of-Concept-code gepubliceerd, waarmee de kwetsbaarheid met kenmerk CVE-2024-8069 kan worden aangetoond. Het is goed gebruik een dergelijke interface niet publiek toegankelijk te hebben, maar af te steunen in een separate beheeromgeving.