NCSC Alerts

IBM heeft kwetsbaarheden verholpen in IBM Security Verify Access Appliance (Versies 10.0.0 tot 10.0.8). De kwetsbaarheden omvatten een mogelijkheid voor remote geauthenticeerde aanvallers om willekeurige commando's op het systeem uit te voeren, privilege-escalatie voor lokaal geauthenticeerde niet-administratieve gebruikers door overmatige machtigingen, en het gebruik van hard-coded inloggegevens die de beveiliging van gevoelige informatie in gevaar kunnen brengen. Deze kwetsbaarheden kunnen leiden tot ongeautoriseerde toegang en manipulatie van gevoelige configuraties, wat de integriteit van het toegangbeheer kan compromitteren.

Er is een kwetsbaarheid verholpen in Zabbix. De kwetsbaarheid bevindt zich in de wijze waarop de CUser-klasse de addRelatedObjects-functie verwerkt. Dit kan niet-beheerders met API-toegang in staat stellen om een SQL-injectie uit te voeren, wat kan leiden tot ongeautoriseerde toegang tot gevoelige gegevens. De kwetsbaarheid kan verdere exploitatie mogelijk maken.

VMware heeft kwetsbaarheden verholpen in VMware Aria Operations. De kwetsbaarheden omvatten lokale privilege-escalatie en stored cross-site scripting (XSS). De lokale privilege-escalatie stelt een aanvaller met lokale administratieve rechten in staat om hun toegang te verhogen tot het niveau van de root-gebruiker op het apparaat, wat kan leiden tot het uitvoeren van willekeurige commando's en volledige controle over het systeem. De opgeslagen XSS-kwetsbaarheden kunnen worden misbruikt door kwaadwillende actoren met bewerkingsrechten om schadelijke scripts in te voegen, wat kan leiden tot ongeautoriseerde acties en datalekken. Het is niet uitgesloten dat de kwetsbaarheden in een keten kunnen worden misbruikt, waarmee een ongeauthenticeerde kwaadwillende verhoogde rechten en code-uitvoer op root-niveau kan verkrijgen.

Er zijn kwetsbaarheden ontdekt in Veritas Enterprise Vault (Specifiek voor versies eerder dan 15.2). De kwetsbaarheden bevinden zich in de wijze waarop Veritas Enterprise Vault omgaat met de deserialisatie van niet-vertrouwde gegevens die worden verzonden via een .NET Remoting TCP-poort. Dit stelt kwaadwillenden in staat om willekeurige code uit te voeren, wat kan leiden tot ongeautoriseerde toegang en controle over de getroffen systemen. Voor succesvol misbruik moet de kwaadwillende rechten hebben om een RDP-verbinding op te bouwen naar een kwetsbare server. Hiervoor dient de kwaadwillende lid te zijn van de RDP-user group en kennis te hebben van de inrichting van de Veritas-infrastructuur in gebruik.

Apple heeft meerdere kwetsbaarheden verholpen in iOS en iPadOS. Twee kwetsbaarheden in iOS en iPadOS 17.7.2 (CVE-2024-44308 & CVE-2024-44309) kunnen leiden tot het uitvoeren van willekeurige code. Apple geeft aan dat actief misbruik van deze kwetsbaarheden bekend is. Een kwaadwillende kan de kwetsbaarheden in iOS en iPadOS 18 misbruiken om aanvallen uit te voeren die kunnen leiden tot de volgende categorieën schade:

Apple heeft meerdere kwetsbaarheden verholpen in macOS en Safari. Twee kwetsbaarheden (CVE-2024-44308 & CVE-2024-44309) in die aanwezig zijn in macOS Sequoia en Safari 18.1.1 kunnen leiden tot het uitvoeren van willekeurige code. Apple geeft aan dat op Intel-based systemen actief misbruik van deze kwetsbaarheden plaats heeft gevonden.

Trend Micro heeft een kwetsbaarheid verholpen in Trend Micro Deep Security. De kwetsbaarheid bevindt zich in de Trend Micro Deep Security 20 Agent en stelt kwaadwillenden met legitieme domein toegang in staat om hun rechten te verhogen en mogelijk willekeurige code uit te voeren.

Palo Alto Networks heeft actief misbruikte kwetsbaarheden verholpen in PAN-OS. UPDATE Er is inmiddels publieke PoC verschenen om CVE-2024-0012 uit te buiten. De kwetsbaarheid met kenmerk CVE-2024-0012 stelt een kwaadwillende met toegang tot het management web interface in staat om administrator privileges te verkrijgen. Middels de kwetsbaarheid met kenmerk CVE-2024-9474 kan deze administrator toegang misbruikt worden op met root privileges willekeurige code uit te voeren op de firewall.

GitHub heeft een kwetsbaarheid verholpen in GitHub CLI (Specifiek voor versies 2.6.1 en eerder). De kwetsbaarheid bevindt zich in de wijze waarop GitHub CLI SSH-verbindingdetails beheert. Dit kan kwaadwillenden in staat stellen om willekeurige code uit te voeren op het werkstation van de gebruiker wanneer er verbinding wordt gemaakt met een kwaadaardige Codespace SSH-server en specifieke commando's worden uitgevoerd.

VMware heeft kwetsbaarheden verholpen in vCenter Server. Een kwaadwillende kan de kwetsbaarheden misbruiken om zich verhoogde rechten toe te kennen, mogelijk zelfs tot root en willekeurige code uit te voeren op het systeem. VMware meldt in een update van het originele beveiligingsadvies dat misbruik is waargenomen. Details over de omvang en gevolgen worden verder niet gegeven.

Oracle heeft een kwetsbaarheid verholpen in versie 9.3.6 van het Agile PLM Framework. De kwetsbaarheid stelt niet-geauthenticeerde aanvallers met netwerktoegang in staat om toegang te krijgen tot gevoelige gegevens.

Siemens heeft kwetsbaarheden verholpen in Tecnomatix Plant Simulation. De kwetsbaarheden bevinden zich in de wijze waarop Tecnomatix Plant Simulation speciaal vervaardigde WRL-bestanden verwerkt. Deze kwetsbaarheden omvatten onder andere out-of-bounds writes, use-after-free en stack-based overflows, die allemaal kunnen worden misbruikt door kwaadwillenden om willekeurige code uit te voeren binnen de context van het huidige proces. Dit kan leiden tot ongeautoriseerde toegang en controle over de getroffen applicaties, wat een ernstige bedreiging vormt voor de integriteit en beveiliging van de systemen. Voor succesvol misbruik moet de kwaadwillende toegang hebben tot de productieomgeving. Het is goed gebruik een dergelijke omgeving niet publiek toegankelijk te hebben.

Palo Alto Networks heeft actief misbruikte kwetsbaarheden verholpen in PAN-OS. De kwetsbaarheid met kenmerk CVE-2024-0012 stelt een kwaadwillende met toegang tot het management web interface in staat om administrator privileges te verkrijgen. Middels de kwetsbaarheid met kenmerk CVE-2024-9474 kan deze administrator toegang misbruikt worden op met root privileges willekeurige code uit te voeren op de firewall.

Adobe heeft een kwetsbaarheid verholpen in Photoshop (Specifiek voor versies 24.7.3, 25.11 en eerder). De kwetsbaarheid bevindt zich in de manier waarop Adobe Photoshop omgaat met bepaalde bestanden. Een kwaadwillende kan deze kwetsbaarheid misbruiken door een gebruiker te verleiden een kwaadaardig bestand te openen, wat kan leiden tot de uitvoering van willekeurige code op het systeem van de gebruiker en daarmee mogelijk toegang tot gevoelige gegevens in de context van het slachtoffer.

Adobe heeft kwetsbaarheden verholpen in InDesign desktop applicaties (Specifiek voor versies ID18.5.3, ID19.5 en eerder). De kwetsbaarheden bevinden zich in de manier waarop de InDesign desktop applicaties omgaan met speciaal vervaardigde bestanden. Dit kan leiden tot een heap-gebaseerde buffer overflow, wat een aanvaller in staat stelt om willekeurige code uit te voeren. Succesvol misbruik vereist gebruikersinteractie, aangezien de kwetsbaarheden alleen kan worden misbruikt door het openen van een kwaadwillig bestand. Dit verhoogt het risico op onbedoelde activatie door gebruikers, wat een bedreiging vormt voor de integriteit en vertrouwelijkheid van gegevens in de context van het slachtoffer.

Adobe heeft kwetsbaarheden verholpen in Adobe Illustrator (Versies 28.7.1 en eerder). De kwetsbaarheden in Adobe Illustrator stellen aanvallers in staat om gevoelige gegevens te lezen, willekeurige code uit te voeren en kunnen leiden tot een Denial-of-Service. Deze kwetsbaarheden vereisen dat gebruikers een specifiek vervaardigd kwaadaardig bestand openen, wat een aanzienlijk risico voor gegevensintegriteit en systeembeveiliging met zich meebrengt.

GitLab heeft kwetsbaarheden verholpen in GitLab CE/EE (Specifiek voor versies 16.0 tot 17.5.2). De kwetsbaarheden bevinden zich in meerdere versies van GitLab CE/EE en stellen kwaadwillenden in staat om ongeautoriseerde volledige API-toegang te verkrijgen via de Device OAuth-stroom. Dit kan leiden tot ernstige implicaties voor organisaties die deze producten gebruiken, aangezien het de beveiliging van gevoelige gegevens en gebruikersaccounts compromitteert. Daarnaast is er een kritieke kwetsbaarheid die gebruikers blootstelt aan XSS-aanvallen door onjuiste uitvoerencoding wanneer het Content Security Policy (CSP) niet is ingeschakeld. Ook kunnen kwaadwillenden kwaadaardige JavaScript injecteren in Analytics Dashboards via een speciaal gemaakte URL, wat kan leiden tot ongeautoriseerde toegang en manipulatie van gevoelige gegevens. Tenslotte kan ongeautoriseerde toegang tot de Kubernetes-agent in specifieke configuraties mogelijk zijn, wat zorgen oproept over de integriteit en beveiliging van implementaties.

UPDATE Er is publieke proof of concept (PoC) code voor de kwetsbaarheid beschikbaar. Deze is van toepassing op nog niet gepatchte FortiManager varianten. Ook hebben onderzoekers ontdekt dat de patch van Fortinet niet de volledige exploitatieketen heeft opgelost. Zo is het mogelijk om op een gepatcht systeem alsnog code uit te voeren, mits de opdracht van een vertrouwd systeem komt. Als de eerdere patches van Fortinet zijn uitgevoerd, zou het niet meer mogelijk moeten zijn om vanuit buiten het netwerk een vertrouwd systeem toe te voegen aan een FortiManager. Fortinet heeft een patch beschikbaar gesteld voor FortiManager. Verder worden er in deze advisory ook mitigerende maatregelen genoemd. Er is, voor de bekendmaking van de CVE en patch, misbruik van CVE-2024-47575 waargenomen. Er bestaat daarmee een risico op misbruik van deze CVE voordat de beschikbare patch is geïnstalleerd. Het NCSC adviseert om, naast het patchen van uw FortiManager met de beschikbaar gestelde patch, onderzoek te doen aan de hand van beschikbare Indicators of Compromise (IoC’s) om mogelijk misbruik te onderkennen. Een kwaadwillende kan toegang hebben gehad tot uw FortiManager omgeving door een ander Fortinet serienummer in uw FortiManager te registreren. Via het certificaat zou de kwaadwillende de authenticatie hebben kunnen omzeilen. Fortinet heeft in de FG-IR-24-423 advisory IoC's beschikbaar gesteld die kunnen helpen bij forensisch onderzoek (zie referentie). De aanval stelt een kwaadwillende in staat om configuratie gegevens op te halen van uw firewall/netwerk omgeving. Ook stelt dit een kwaadwillende in staat om (VPN) account credentials en certificaten in te zien, welke de mogelijkheid geven om via bestaande accounts uw netwerk te betreden. Mocht u indicatoren zien van misbruik, adviseert het NCSC daarom ook om accounts te resetten en certificaten te vernieuwen. Wat precies in een aanval gestolen zou kunnen zijn ligt echter aan de geïmplementeerde configuratie en kan per casus verschillen.

Schneider Electric heeft een kwetsbaarheid verholpen in de Ecostruxture Gateway. Een kwaadwillende kan de kwetsbaarheid misbruiken om de gateway over te nemen en zo toegang te krijgen tot het Ecostruxtrure-landschap in gebruik. Voor succesvol misbruik moet de kwaadwillende toegang hebben tot de productieomgeving. Het is goed gebruik een dergelijke infrastructuur niet publiek toegankelijk te hebben.

Fortinet heeft kwetsbaarheden verholpen in FortiClient voor Windows en MacOS. Een kwaadwillende kan de kwetsbaarheden misbruiken om zich verhoogde rechten toe te kennen en willekeurige commando's uit te voeren op het systeem.