Aanbevolen verhaal
TellYouThePass ransomware maakt gebruik van recent PHP RCE-fout om servers binnen te dringen
CVE-2024-4577 is een kritieke kwetsbaarheid die code-uitvoering op afstand (RCE) mogelijk maakt en is van invloed op alle PHP-versies sinds 5.x. Het komt voort uit onveilige tekencoderingsconversies op Windows bij gebruik in CGI-modus. Een oplossing werd op 6 juni geleverd met de release van PHP versies 8.3.8, 8.2.20 en 8.1.29. Ongeveer twee dagen later begon de TellYouThePass ransomware bende het lek te misbruiken om webshells te leveren en encryptor payloads uit te voeren. Deze bende staat erom bekend snel gebruik te maken van openbare exploits met een grote impact.
Het probleem treft PHP-versies 8.1 voor 8.1.29, 8.2 voor 8.2.20 en 8.3 voor 8.3.8 bij gebruik van Apache en PHP-CGI op Windows. Gebruikers wordt geadviseerd onmiddellijk bij te werken of de maatregelen van Devcore te volgen. CCB raadt systeembeheerders ten zeerste aan om zonder uitstel patches uit te voeren of mitigaties toe te passen.
Andere verhalen
Kritieke MSMQ RCE-bug stelt Microsoft-servers bloot aan volledige overname
Microsoft heeft CVE-2024-30080 gepatcht, een kritiek MSMQ-kwetsbaarheid (CVSS 9.8) waardoor code op afstand kan worden uitgevoerd via speciaal ontworpen pakketten. Dit probleem treft Windows Server 2008 en hoger en kan een volledige overname van de server mogelijk maken.
Microsoft heeft deze kwetsbaarheid geclassificeerd als ‘Exploitation More Likely’. Als poort 1801 niet nodig is, schakel deze dan uit. Patch anders onmiddellijk CVE-2024-30080 om het risico te verminderen.
JetBrains IntelliJ IDE GitHub Plugin lekt toegangstokens (CVE-2024-37051)
JetBrains heeft gewaarschuwd voor een kritieke kwetsbaarheid in IntelliJ IDE’s die GitHub tokens kan blootstellen via kwaadaardige pull requests. Het probleem treft versies 2023.1+ en is nu verholpen in bijgewerkte IDE builds en plugins.
Pas beschikbare updates toe en trek GitHub-tokens in die zijn gekoppeld aan aangetaste versies. De CCB raadt ten zeerste aan om na het testen mitigaties van leveranciers toe te passen.
CRITISCHE VULNERABILITEIT VOOR Veeam Recovery Orchestrator (CVE-2024-29855)
Door de fout kunnen aanvallers toegang krijgen tot de VRO web UI met beheerdersrechten als ze een actief toegangstoken en een actieve rol kennen. Dit vormt een ernstig risico voor de mogelijkheden voor disaster recovery.
Pas hotfixes toe om bij te werken naar builds 7.0.0.379 of 7.1.0.230. Als uw herstelinfrastructuur is aangetast, pas dan onmiddellijk een patch toe of neem contact op met ons SOC voor ondersteuning.
Pas op voor valse e-mails uit naam van Fortis Bank
Oplichters verspreiden phishingmails die zich voordoen als BNP Paribas Fortis en beweren dat de gebruiker zijn systeem moet updaten om het gebruik van valse kaarten te voorkomen.
Klik niet op verdachte koppelingen en download geen apps. Stuur verdachte e-mails door naar suspicious@safeonweb.be. Ons SOC is er als je hulp nodig hebt bij het herkennen van phishing.
Neem contact op met het Approach Cyber SOC-team voor ondersteuning en trainingsprogramma’s op maat.
