Breaking News

•••  All important news related to new attacks and see the solutions we can offer you  •••

24/06/2022

Datalek gemeente Veenendaal door technische handeling softwareleverancier

Read the original article here
Software Security

Een technische handeling door een softwareleverancier heeft bij de gemeente Veenendaal voor een datalek gezorgd, zo heeft de gemeente zelf bekendgemaakt. In maart van dit jaar waarschuwde een inwoner van Veenendaal de gemeente voor een datalek in het raadsinformatiesysteem. In dit systeem worden documenten en verslagen van de gemeenteraad opgeslagen.

Uit het onderzoek dat na de melding volgde bleek dat door een technische handeling van de leverancier van het raadsinformatiesysteem tijdelijk geheime documenten en documenten met persoonsgegevens, bestaande uit namen en adresgegevens, online hebben gestaan. Het ging om documenten van voor 2019. Volgens de gemeente lijkt het erop dat in totaal acht ip-adressen, waaronder de melder van het datalek, documenten uit 2016 hebben ingezien.

"Het actief verspreiden, publiceren of op enige manier openbaar maken van geheime informatie van de gemeenteraad is strafbaar. De gemeente roept eenieder die deze informatie in bezit heeft dan ook op om zorgvuldig met deze informatie om te gaan", zo laat de gemeente weten. Om wat voor soort technische handeling het precies ging en van hoeveel mensen de gegevens zijn gelekt is niet bekendgemaakt.

Volgens de gemeente heeft de leverancier van het raadsinformatiesysteem passende maatregelen genomen om soortgelijke fouten in de toekomst te voorkomen. Ook zegt de gemeente dat het zelf voorzorgsmaatregelen heeft genomen, zoals het aanpassen van de procedure voor het beschikbaar stellen van brieven met daarin persoonsgegevens. De melding van het datalek bij de Autoriteit Persoonsgegevens is inmiddels afgehandeld (pdf).

Wilt u er zeker van zijn dat uw klanten niet te prooi vallen aan de kwetsbaarheden in uw product? Met Checkmarx kunt u de code controleren terwijl u nog aan het bouwen bent. Neem contact met ons op voor meer informatie.

Neem contact met ons op
04/05/2022

Onderzoekers compromitteren bank via file upload-lek in dotCMS

Read the original article here
Software Security

Onderzoekers zijn erin geslaagd om naar eigen zeggen een niet nader genoemde bank via een file upload-lek in dotCMS te compromitteren. DotCMS is een in Java geschreven contentmanagementsysteem dat is te gebruiken voor websites, intranetten, extranetten, portals en apps. Beveiligingsonderzoekers Hussein Daher en Shubham Shah besloten dotCMS te onderzoeken naar aanleiding van het bugbountyprogramma van een bank. Deze bank maakte binnen de eigen omgeving gebruik van dotCMS.

DotCMS laat gebruikers content uploaden die vervolgens op de betreffende website of applicatie wordt weergegeven. Bij het uploaden van bestanden schrijft dotCMS deze bestanden weg naar een tijdelijke directory voordat ze uiteindelijk content worden. DotCMS bleek de namen of inhoud van geüploade bestanden niet te controleren waardoor path traversal mogelijk was. Bij path traversal kan er toegang tot directories en bestanden worden gekregen waar dat eigenlijk niet de bedoeling is. Via een speciaal geprepareerde request was het zo mogelijk om een bestand buiten de tijdelijke directory van het systeem te plaatsen en die uit te voeren.

De onderzoekers konden zo een webshell naar een directory uploaden die vanaf internet toegankelijk is. Daarbij vereist de gebruikte API voor het uploaden geen authenticatie. De onderzoekers merken op dat ze met meer tijd command execution op het banksysteem hadden kunnen krijgen. Vanwege de impact van het lek besloten ze de kwetsbaarheid te rapporteren. Het beveiligingslek, aangeduid als CVE-2022-26352, werd op 21 februari aan dotCMS gerapporteerd en eind maart verholpen. De onderzoekers hebben nu de details openbaar gemaakt. De onderzoekers laten niet weten of de bank een bounty heeft betaald.

Er is een mogelijkheid om uw code geautomatiseerd te scannen, niet alleen voor kwetsbaarheden in de code maar ook de thirdparty code (supply chain) en de infrastructure as code. Neem contact op met ons en vraag ons naar Checkmarx AST 2.0

Contact
06/04/2022

11 jaar oude Spring4Shell-aanvallen tegen clouddiensten

Read the original article here
Software Security

De clouddiensten van Microsoft hebben met een "klein aantal" Spring4Shell-aanvallen te maken gekregen, zo stelt het techbedrijf. Vorige week bleek dat er een kritieke kwetsbaarheid aanwezig is in het Spring Core Framework, een veelgebruikt Java-platform voor het ontwikkelen van Java-applicaties.

Het beveiligingslek, dat de naam Spring4Shell kreeg en ook bekendstaat als CVE-2022-22965, laat een ongeauthenticeerde aanvaller willekeurige code binnen kwetsbare applicaties uitvoeren, wat afhankelijk van de rechten van de applicatie kan leiden tot de uitvoer van willekeurige code met verhoogde rechten op het onderliggende systeem.

Naar aanleiding van de impact die de Log4Shell-kwetsbaarheid vorig jaar had sloegen tal van securitybedrijven alarm. De impact van Spring4Shell lijkt vooralsnog kleiner te zijn. Microsoft stelt dat het sinds de aankondiging van Spring4Shell een "klein aantal" aanvalspogingen tegen de eigen clouddiensten heeft waargenomen. De aanvallers maken daarbij gebruik van een proof-of-concept exploit waarmee een webshell op de server kan worden geplaatst.

Volgens Microsoft wordt met CVE-2022-22965 een oplossing voor een elf jaar oude kwetsbaarheid in Spring omzeild. Via dit beveiligingslek, dat wordt aangeduid als CVE-2010-1622, is het mogelijk voor een aanvaller om een remote JAR-bestand uit te voeren. De Spring-ontwikkelaars kwamen met een oplossing, maar die is met een nieuwe feature van Java 9 genaamd Java Modules te omzeilen, zodat een aanvaller alsnog een remote bestand kan uitvoeren.

Bij de nu waargenomen aanvallen proberen de aanvallers een JSP-webshell op de server te krijgen. Met deze webshell kan een aanvaller vervolgens commando's op de server als Tomcat uitvoeren. Microsoft heeft de eigen antivirussoftware Defender van een update voorzien om de gebruikte webshell te detecteren. Organisaties wordt daarnaast geadviseerd de beschikbare beveiligingsupdate voor Spring te installeren of de beschikbare mitigaties door te voeren.

Weet u zeker dat uw code niet kwetsbaar is? Houd zelf uw code en dependencies in de gaten met Checkmarx AST. Vraag ons naar de mogelijkheden

Neem contact met ons op
Load more