image

Overheid VS krijgt deadline voor patchen van Android- en MikroTik-lekken

woensdag 1 december 2021, 17:22 door Redactie, 5 reacties

Amerikaanse federale overheidsinstanties moeten verschillende actief aangevallen kwetsbaarheden in Android, MikroTik, Zoho ManageEngine ServiceDesk en Apache HTTP Server binnen een gestelde deadline binnen hun organisatie patchen, anders zijn ze in overtreding van een "Binding Operational Directive".

Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security publiceerde vorige maand een lijst met honderden actief aangevallen kwetsbaarheden en gaf federale overheidsinstanties via de directive de opdracht die voor een bepaalde datum te verhelpen. De lijst is nu met vijf kwetsbaarheden uitgebreid.

Het gaat om twee kwetsbaarheden in de Zoho ManageEngine ServiceDesk (CVE-2021-37415 en CVE-2021-44077) en een beveiligingslek in Apache HTTP Server (CVE-2021-40438). Deze drie kwetsbaarheden moeten voor 15 december van dit jaar op alle betreffende systemen zijn verholpen. Updates voor actief aangevallen beveiligingslekken in MikroTik-routers (CVE-2018-14847) en Android (CVE-2020-11261) moeten voor 1 juni volgend jaar zijn geïnstalleerd.

Afgelopen maart waarschuwde Google voor misbruik van het Android-lek. Dat is aanwezig in onderdelen van chipfabrikant Qualcomm. Het gaat dan specifiek om het onderdeel dat de graphics verzorgt. Door het niet goed valideren van invoer kan een malafide app 'memory corruption' veroorzaken. Om misbruik van het beveiligingslek te maken moet een aanvaller al toegang tot het systeem hebben, bijvoorbeeld door een malafide app die de gebruiker heeft geïnstalleerd, fysieke toegang of in combinatie met een tweede kwetsbaarheid.

Reacties (5)
01-12-2021, 17:39 door Anoniem
Op tijd Android patchen? Alsof je daar controle op hebt, je bent afhankelijk van de leverancier van de telefoon...
Mogelijk kan je wel een Compliance Policy maken die alleen Andoid met een minimale versie toestaat, maar dan zullen mogelijk de telefoons met lagere versie niet meer gebruikt kunnen worden als ze geen updates meer krijgen.
02-12-2021, 05:58 door Anoniem
Als er nog zoveel Mikro Tik-lekken in Centraal en Oost-Europa valt uit te buiten,
dan patchen we nog niet.
Doe eens een shodannetje.
02-12-2021, 09:18 door Anoniem
Door Anoniem: Op tijd Android patchen? Alsof je daar controle op hebt, je bent afhankelijk van de leverancier van de telefoon...
Mogelijk kan je wel een Compliance Policy maken die alleen Andoid met een minimale versie toestaat, maar dan zullen mogelijk de telefoons met lagere versie niet meer gebruikt kunnen worden als ze geen updates meer krijgen.

Goede reactie, maar ik ben eigenlijk geneigd dit anders te lezen. Het kan ook worden gezien als een verplichting om alle Android toestellen, die niet meer gepatched worden, af te voeren. Andere mogelijkheid: hiermee alle fabrikanten verplichten om het patchen altijd door te voeren.
02-12-2021, 10:18 door Anoniem
Nou nou dat is wel erg snel hoor, gaan eisen dat die CVE-2018-14847 bug die op 23 april 2018 gepatched is NU al
wordt gefixed in je router! Je moet wel de tijd hebben om de nieuwe firmware binnen je organisatie goed uit te testen,
en 3.5 jaar is daarvoor wel erg krap. Ik zou ze nog een half jaartje geven!

Oh wacht, dat doen ze ook! Klasse hoor, tijdsdruk erop zetten is niet goed.
02-12-2021, 11:10 door Anoniem
Dat advies in die lijst is voor CVE-2018-14847 trouwens gevaarlijk onvolledig: behalve een RouterOS update van een datum na 23 april 2018 installeren, moet je OOK al je wachtwoorden wijzigen. Doe je dat niet en ben je voor die update aangevallen, dan blijf je ook na de update kwetsbaar!
(dat is de reden dat er dit jaar weer een golf van problemen was)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.