The Dutch HackInfo

Information about Hacking, Security & Tweaking

Filter
  • appleApple heeft voor verschillende producten updates uitgebracht, waaronder iOS, macOS en Safari, die meerdere kwetsbaarheden verhelpen waardoor een aanvaller in het ergste geval het onderliggende systeem had kunnen overnemen of encryptiewachtwoorden had kunnen stelen.

    IOS 10.3 verhelpt in totaal 84 beveiligingslekken. Via de kwetsbaarheden had een aanvaller het Apple ID van een vergrendeld scherm kunnen aflezen, maakte het openen van een kwaadaardig audio-, font- of jpeg-bestand, kwaadaardig certificaat of het bezoeken van een kwaadaardige website het uitvoeren van willekeurige code mogelijk. Daarnaast hadden kwaadaardige websites de adresbalk kunnen spoofen.

  • cisco logoNetwerkapparatuurfabrikant Cisco heeft een kritiek lek in de Vault 7-dump gevonden, die onlangs werd gepubliceerd door WikiLeaks. De kwetsbaarheid treft zo'n driehonderd verschillende Cisco-switches die zijn voorzien van IOS en IOS XE-software. Er is nog geen patch.

    Het lek, met kenmerk cve-2017-3881, maakt het mogelijk dat een niet ingelogde aanvaller op afstand willekeurige code op het apparaat kan uitvoeren en het op die manier kan overnemen. Omdat er op dit moment nog geen patch of workaround beschikbaar is, adviseert het bedrijf om bij kwetsbare switches de toegang via telnet uit te schakelen.

  • Ubiquityi logoOnderzoekers hebben een beveiligingslek in de netwerkproducten van Ubiquiti Networks onthuld waardoor een aanvaller de apparaten en in het ergste geval het gehele netwerk kan overnemen. Een update is echter nog niet beschikbaar. Het gaat om command-injectie in de beheerdersinterface.

    Een aanvaller kan dit op afstand uitbuiten door gebruikers een link te laten openen of een kwaadaardige pagina te laten bezoeken. "De gehele aanval is via een enkele GET-request uit te voeren en is zeer eenvoudig, aangezien er geen bescherming tegen cross-site request forgery (csrf) is", aldus Thomas Weber van beveiligingsbedrijf SEC Consult. "Als het Ubiquiti-apparaat als router of firewall fungeert, kan de aanvaller via deze kwetsbaarheid het gehele netwerk overnemen."

  • Ubiquityi logoOnderzoekers hebben een beveiligingslek in de netwerkproducten van Ubiquiti Networks onthuld waardoor een aanvaller de apparaten en in het ergste geval het gehele netwerk kan overnemen. Een update is echter nog niet beschikbaar. Het gaat om command-injectie in de beheerdersinterface.

    Een aanvaller kan dit op afstand uitbuiten door gebruikers een link te laten openen of een kwaadaardige pagina te laten bezoeken. "De gehele aanval is via een enkele GET-request uit te voeren en is zeer eenvoudig, aangezien er geen bescherming tegen cross-site request forgery (csrf) is", aldus Thomas Weber van beveiligingsbedrijf SEC Consult. "Als het Ubiquiti-apparaat als router of firewall fungeert, kan de aanvaller via deze kwetsbaarheid het gehele netwerk overnemen."

  • dlink logoTwee beveiligingslekken in routers van fabrikant D-Link maken het mogelijk voor een aanvaller om op afstand het beheerderswachtwoord van het apparaat te achterhalen en een update is nog niet beschikbaar. De eerste kwetsbaarheid bevindt zich in de remote inlogpagina van het apparaat.

    Normaliter moet er een wachtwoord worden ingevoerd om toegang tot de beheerderpagina's te krijgen. Het blijkt echter mogelijk te zijn om de authenticatie te omzeilen en deze pagina's zonder geldige login op te vragen. Het gaat onder andere om de pagina tools_admin.asp, waar de tweede kwetsbaarheid zich bevindt. Deze pagina bevat namelijk het beheerderswachtwoord.

  • nitendo switch hack 2Een hacker is er in geslaagd de Nintendo Switch te hacken door een bestaande webkit-exploit in te zetten tegen de browser van de console. Een ontwikkelaars heeft een proof-of-concept uitgebracht op basis van de kwetsbaarheid.

    De hacker qwertyoruiop heeft op Twitter een afbeelding geplaatstmet de vermelding dat hij een oude webkit-exploit opnieuw gebruikt heeft. De hacker werkte eerder met succes aan iOS-jailbreaks en was volgens Wololo ook verantwoordelijk voor een PS4 1.76-exploit.

  • av tech logoOnderzoekers hebben nieuwe Linux-malware gevonden die ip-camera's, digitale videorecorders en netwerkvideorecorders van fabrikant AVTech infecteert via een beveiligingslek dat eind vorig jaar openbaar werd gemaakt. De apparaten bleken 14 verschillende kwetsbaarheden te bevatten.

    De onderzoekers waarschuwden de Taiwanese fabrikant op 19 oktober 2015, maar ontvingen geen reactie. In totaal werd er vier keer geprobeerd om contact op te nemen, maar alle keren zonder succes. Daarop werd besloten een jaar later de details vrij te geven. Op het moment van de openbaarmaking waren er zo'n 130.000 kwetsbare apparaten via internet te vinden. Eén van de onthulde kwetsbaarheden in een cgi-bestand wordt nu gebruikt om commando's op het apparaat uit te voeren.

  • WD HackedSometimes at Exploitee.rs, we look for fun devices to hack and sometimes the devices find us. Today we’re going to talk about a recent time where we found ourselves in the latter situation and our experience with the Western Digital series of Networked Attached Storage devices.

    In the middle of last year I (Zenofex) began looking for a NAS that provided hardware decoding through my currently prefered media player, Plex. After a bit of research I ordered a Western Digital “MyCloud” PR4100. This device met all the requirements of what I was looking for and came highly recommended by a friend. After adding the NAS to my network and visiting the device’s admin page for the first time, I grew weary of adding a new device to my network without giving it a proper audit. So, I logged in, enabled SSH access, and looked at how the web server functionality of the device worked.

  • xbox live

    Microsoft heeft op de Game Developers Conference het Xbox Live Creators-programma aangekondigd. Dit moet iedereen in staat stellen om als ontwikkelaar UWP-games tegelijk op Windows 10 en de Xbox One uit te brengen.

    In de aankondiging schrijft Microsoft dat het programma erop is gericht om iedereen in staat te stellen 'op een nieuwe manier snel Xbox Live-games te publiceren op Windows 10 en de Xbox One'. Zo is het mogelijk om Xbox Live-functies in te bouwen in UWP-games en deze vervolgens te publiceren. Uit een speciale pagina blijkt dat het daarbij gaat om functies als het inloggen met Xbox Live, het leaderboard en verschillende sociale functies. Ontwikkelaars die toegang tot meer functies willen, zoals achievements en multiplayer, moeten dat doen via het aparte ID@Xbox-programma.


Copyright © 2017. All Rights Reserved.