Captain Kirk

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in SAP om systemen volledig over te nemen, zo laat securitybedrijf SecurityBridge. Voor het beveiligingslek (CVE-2025-42957) in SAP S/4HANA verschenen op 12 augustus beveiligingsupdates. SAP S/4HANA is een Enterprise Resource Planning (ERP) systeem dat voor allerlei bedrijfsprocessen wordt gebruikt. Via de kwetsbaarheid kan een "low-privileged" gebruiker code injecteren en zo volledige controle over het SAP-systeem krijgen. De impact is op een schaal van 1 tot en met 10 beoordeeld met een 9.9. "Deze kwetsbaarheid fungeert eigenlijk als een backdoor, wat het risico van een volledig gecompromitteerd systeem met zich meebrengt, en de vertrouwelijkheid, integriteit en beschikbaarheid van het systeem ondermijnt", aldus de CVE-beschrijving. SecurityBridge geeft geen details over het waargenomen misbruik, maar stelt dat het nog niet om grootschalige aanvallen gaat. Verder laten de onderzoekers weten dat een exploit voor de kwetsbaarheid eenvoudig is te ontwikkelen en dat een aanvaller alleen over "low-level credentials" op het SAP-systeem hoeft te beschikken. Organisaties worden opgeroepen de SAP-update zo snel mogelijk te installeren. bron: https://www.security.nl

Mozilla blijft Firefox op Windows 7, 8 en 8.1 in ieder geval tot maart 2026 met beveiligingsupdates ondersteunen. Ook de support van macOS Sierra, High Sierra en Mojave is tot deze periode verlengd. Oorspronkelijk zou de ondersteuning in september 2024 worden beëindigd, maar de Firefox-ontwikkelaar besloot die steeds te verlengen. In eerste instantie tot maart dit jaar, gevolgd door een verlenging tot en met september. Op basis van het aantal Firefox-gebruikers op Windows 7 is wederom besloten de support met nog eens zes maanden te verlengen tot maart 2026. Microsoft stopte de ondersteuning van Windows 7 op 14 januari 2020. Volgens cijfers van Mozilla werkt bijna zeven procent van de Firefox-gebruikers nog met Windows 7. Een percentage dat heel langzaam afneemt. De ondersteuning zal echter beperkt zijn tot alleen kritieke beveiligingsupdates en 'kwaliteitsfixes'. Mozilla stelt dat de nieuwe verlenging gebruikers meer tijd geeft om naar een wel ondersteund besturingssysteem over te stappen. bron: https://www.security.nl

Een federale jury heeft in de Verenigde Staten bepaald dat Google een bedrag van 425 miljoen dollar moet betalen wegens het schenden van de privacy van gebruikers. Google bleef van miljoenen mensen gegevens verzamelen, ook al hadden ze een trackingoptie in hun Google-account uitgeschakeld. Het ging daarbij om de optie Web & App Activity, waarmee Google allerlei informatie over het gebruik van websites en apps opslaat, alsmede locatiegegevens. Gebruikers stelden in een massaclaim dat Google geen toestemming had, wanneer Web & App Activity stond uitgeschakeld, om gegevens over hun activiteiten in andere apps te verzamelen. Deze apps, zoals Uber, Venmo, TikTok, Instagram, Facebook en WhatsApp, maakten gebruik van Google-software zoals de Firebase Software Development Kit en de Google Mobile Ads Software Development Kit. Volgens de eisers gebruikte Google deze software om onrechtmatig toegang tot hun apparaten te krijgen en activiteiten in apps die niet van Google waren te verzamelen, bewaren en gebruiken. Een jury in deze zaak stelde dat het techbedrijf voor twee van de drie claims aansprakelijk is, maar niet met kwade opzet heeft gehandeld. Google laat in een reactie tegenover persbureau Reuters weten dat het in beroep gaat en dat de jury verkeerd begrijpt hoe de producten van het techbedrijf werken. De Consumentenbond adviseert Androidgebruikers die meer privacy willen om Web & App Activity uit te schakelen. VS beschuldigt drietal van het aanvallen van 500 energiebedrijven wereldwijd bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in verschillende Sitecore-producten, zo waarschuwt securitybedrijf Mandiant. Sitecore roept kwetsbare klanten op om verschillende maatregelen te nemen en systemen op verdacht gedrag te controleren. Het probleem (CVE-2025-53690) speelt in Site Experience Platform (XP), Experience Manager (XM), Experience Commerce (XC) en Managed Cloud. Sitecore Experience Platform is een populair contentmanagementsysteem onder grote bedrijven waaronder de Fortune 500. De verschillende Sitecore-producten maken gebruik van machine keys om de informatie te beschermen die tussen gebruikers van een website en de webserver wordt uitgewisseld en de integriteit van gegevens te beschermen. Aanvallers maken misbruik van het feit dat verschillende Sitecore-installaties gebruikmaken van een "sample machine key" die in publiek beschikbare handleidingen staat vermeld. Met deze key kan een aanvaller willekeurige code op kwetsbare servers uitvoeren. Mandiant ontdekte een aanval waarbij aanvallers met de key een server wisten te compromitteren. Vervolgens installeerden de aanvallers malware en tools om toegang tot het systeem te behouden en zich lateraal door het netwerk van de aangevallen organisatie te bewegen. Het stelen van data zou het uiteindelijke doel zijn geweest. Sitecore liet Mandiant weten dat nieuwe installaties van de software automatisch een unieke machine key genereren en dat getroffen klanten zijn ingelicht. De softwareontwikkelaar adviseert klanten met kwetsbare installaties om hun omgeving op verdacht gedrag te controleren, machine keys te roteren en toegang tot een belangrijk configuratiebestand te beperken. bron: https://www.security.nl

Webshop Shein heeft wegens het illegaal plaatsen van trackingcookies van de Franse privacytoezichthouder CNIL een boete van 150 miljoen euro gekregen. Volgens CNIL ging Shein op meerdere punten de fout in. Zo werden trackingcookies zonder toestemming geplaatst, werden keuzes van gebruikers niet gerespecteerd en werden gebruikers niet adequaat geïnformeerd. Zo gebruikte Shein twee cookiebanners, maar beide waren onvolledig, aldus de Franse privacytoezichthouder. Zo ontbrak informatie over het doel van de tracking. Wanneer gebruikers voor de optie kozen om alle cookies te weigeren of eerder gegeven toestemming introkken, werden nieuwe trackingcookies gewoon geplaatst en al eerder geplaatste trackingcookies nog steeds gebruikt. Bij de hoogte van de boete hield CNIL rekening met het grote aantal gebruikers van Shein in Frankrijk, alsmede het feit dat het de afgelopen jaren allerlei bedrijven voor dezelfde overtredingen heeft beboet. Shein heeft inmiddels aanpassingen doorgevoerd waardoor het de wet niet meer overtreedt. bron: https://www.security.nl

De Franse privacytoezichthouder CNIL heeft Google een boete van in totaal 325 miljoen euro opgelegd wegens het tonen van ongevraagde advertenties in de inboxes van Gmail-gebruikers die eruit zagen als e-mails, alsmede het niet hebben van geïnformeerde toestemming voor het plaatsen van trackingcookies en dat het weigeren van deze cookies lastiger was dan het accepteren ervan. Alphabet, het moederbedrijf van Google, had vorig jaar een omzet van 350 miljard dollar. Privacyorganisatie noyb had bij de Franse toezichthouder een klacht over de advertentiemails van Google ingediend. "Commerciële e-mails die direct naar gebruikers worden gestuurd zijn direct marketing en vallen onder de ePrivacy Verordening. Dit houdt in dat bedrijven toestemming moeten hebben", aldus noyb. "Google probeerde commerciële e-mails stiekem in de inboxes van Gmail-gebruikers te krijgen. Dat is alleen toegestaan als je toestemming hebt, een feit dat CNIL nu heeft bevestigd", zegt privacy-activist en noyb-oprichter Max Schrems. Daarnaast werd Google beboet omdat het tot oktober 2023 bij het aanmaken van een Google-account lastiger was om trackingcookies te weigeren dan te accepteren. Gebruikers werden tijdens de accountregistratie ook niet adequaat over de tracking ingelicht, waardoor er volgens de toezichthouder geen geïnformeerde toestemming werd verkregen. In oktober 2023 voegde Google een knop toe zodat het weigeren en accepteren van trackingcookies even eenvoudig werd. Het probleem met betrekking tot geïnformeerde toestemming bleef echter bestaan, aldus CNIL. Naast de boete moet Google binnen zes maanden ervoor zorgen dat advertenties tussen de e-mails van Gmail-gebruikers alleen met voorafgaande toestemming worden weergegeven. Daarnaast moet Google bij het aanmaken van een Google-account geldige toestemming van gebruikers krijgen voor het plaatsen van trackingcookies. Als het bedrijf zich hier niet aan houdt moet het 100.000 euro per dag betalen. Bij het opleggen van de boete en hoogte daarvan hield de toezichthouder ook rekening met het feit dat het Google wegens overtredingen met trackingcookies in 2020 en 2021 al eens had beboet. bron: https://www.security.nl

TP-Link waarschuwt voor een botnet dat verschillende kwetsbaarheden gebruikt om kwetsbare routers te infecteren, die vervolgens worden gebruikt voor het aanvallen van Microsoft 365-accounts. De beveiligingslekken zijn aanwezig in de Archer C7 en TL-WR841N/ND routers, maar mogelijk zijn ook andere modellen kwetsbaar. De genoemde routermodellen zijn end-of-life, maar TP-Link heeft toch firmware-updates uitgebracht om de problemen te verhelpen. De eerste misbruikte kwetsbaarheid (CVE-2023-50224) maakt het mogelijk voor ongeauthenticeerde aanvallers om op afstand inloggegevens te stelen, waarmee vervolgens op de router kan worden ingelogd. Eenmaal ingelogd gebruikt de aanvaller een tweede kwetsbaarheid (CVE-2025-9377) in de ouderlijk toezichtspagina van de router waardoor remote code execution op het apparaat mogelijk is. Aanvallers maken de routers zo onderdeel van het botnet. Routers in het "Quad 7" botnet worden ingezet voor password spraying-aanvallen tegen Microsoft 365-accounts. Password spraying is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen gebruikt een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Vorig jaar kwam Microsoft met een waarschuwing voor het botnet. Toen was nog niet bekend welke kwetsbaarheden er werden gebruikt. Het techbedrijf stelde ook dat de aanvallen via het botnet lastig zijn te detecteren, omdat het over duizenden ip-adressen van thuisgebruikers en kleine bedrijven beschikt. TP-Link roept eigenaren van de routermodellen op om de firmware te installeren of naar een wel ondersteunde router over te stappen. Daarnaast zegt de routerfabrikant onderzoek te doen naar onbevestigde berichten van andere kwetsbare modellen. Het Amerikaanse cyberagentschap CISA heeft ook een waarschuwing voor de twee kwetsbaarheden gegeven. bron: https://www.security.nl

Cloudflare heeft van een onbekend aantal klanten gegevens gelekt, waaronder tokens. De data werd uit de Salesforce-omgeving van het internetbedrijf gestolen. Salesforce is een veelgebruikte leverancier van Customer Relationship Management (CRM) software. Cloudlfare zegt dat het Salesforce gebruikt om te zien wie klanten zijn en hoe die de diensten van het bedrijf gebruiken. Daarnaast wordt het als supporttool ingezet om klanten te ondersteunen. Cloudflare had de Salesforce-omgeving gekoppeld met de chatbot Drift van softwarebedrijf Salesloft. Informatie verzameld via Drift kan vervolgens in Salesforce beschikbaar worden gemaakt. Criminelen wisten bij Salesloft in te breken en de tokens te stelen die worden gebruikt voor de koppeling tussen Drift en de omgevingen van klanten. Met de gestolen tokens kon zo ook worden ingebroken op de Salesforce-omgeving van Cloudflare. De aanvaller maakte volgens Cloudflare tussen 12 en 17 augustus data uit de Salesforce-omgeving buit. De meeste informatie bestaat uit contactgegevens van klanten en informatie over support aan klanten. Een deel van de supportgegevens kan gevoelige informatie bevatten, bijvoorbeeld informatie over configuraties en access tokens, aldus Cloudflare. Het internetbedrijf deed onderzoek naar het datalek en ontdekte dat de aanvaller 104 Cloudflare API tokens had buitgemaakt. Cloudflare stelt dat klanten alle gegevens die ze via het supportsysteem hebben gedeeld, waaronder logbestanden, tokens en wachtwoorden, als gecompromitteerd moeten beschouwen. Alle met Cloudflare gedeelde inloggegevens moeten dan ook worden gewijzigd, adviseert het internetbedrijf. Het staat vast dat in ieder geval het onderwerp van supportverzoeken, de inhoud van het supportverzoek, waaronder door de klant verstrekte informatie, en contactgegevens, zoals bedrijfsnaam, e-mailadres en telefoonnummer, zijn buitgemaakt. "We denken dat dit incident geen losstaande gebeurtenis is, maar dat de aanvaller inloggegevens en klantinformatie voor toekomstige aanvallen wilde verzamelen. Gegeven dat honderden organisaties via de Drift-aanval zijn getroffen, denken we dat de aanvaller deze informatie voor gerichte aanvallen zal gebruiken tegen klanten van de getroffen organisaties", waarschuwt Cloudflare. Het bedrijft zegt alle getroffen klanten te hebben ingelicht. Om hoeveel organisaties het gaat is niet bekendgemaakt. Google waarschuwde eind augustus dat de aanvallers via de Drift-aanval grote hoeveelheden data uit Salesforce-omgevingen hebben buitgemaakt. Eerder lieten ook securitybedrijven Zscaler en Palo Alto Networks weten dat bij de aanval klantgegevens uit hun Salesforce-omgevingen zijn gestolen. bron: https://www.security.nl

Berichtgeving over een groot beveiligingsprobleem met Gmail waarvoor Google een wereldwijde waarschuwing aan gebruikers zou hebben gegeven klopt niet, aldus het techbedrijf. Vorige week waarschuwde Google dat aanvallers van een "zeer klein aantal" Google Workspace-accounts e-mails hadden gestolen. Het ging daarbij om zakelijke gebruikers die hun account hadden gekoppeld met Salesloft Drift. Om hoeveel gebruikers het precies ging liet Google niet weten. Criminelen wisten in te breken bij softwarebedrijf Salesloft en konden zo tokens van Drift-gebruikers stelen. Drift is een chatbot die met allerlei applicaties en omgevingen is te koppelen. Met de gestolen tokens konden de criminelen ook toegang tot deze applicaties en omgevingen krijgen. Naast Workspace ging het ook om Salesforce. Verschillende media kwamen met het bericht dat Google naar aanleiding van het incident een wereldwijde waarschuwing aan Gmail-gebruikers had gegeven om hun wachtwoord te wijzigen. "Recentelijk zijn er verschillende onjuiste beweringen verschenen die ten onrechte beweren dat we een brede waarschuwing aan alle Gmail-gebruikers hebben gegeven over een groot beveiligingsprobleem met Gmail. Dit is volledig onjuist", aldus het techbedrijf in een verklaring op de eigen website. Volgens Google is security voor iedereen een belangrijk onderwerp en moeten gesprekken hierover "nauwkeurig en op feiten gebaseerd" zijn. bron: https://www.security.nl

Aanvallers maken gebruik van malafide Cloudflare-captcha's om toegang tot Microsoft 365-accounts te krijgen, zo laat Amazon weten. De aanval bestaat uit verschillende stappen, waarbij de aanvallers als eerste legitieme websites compromitteren. Welke websites dit zijn wordt niet door Amazon gemeld. Vervolgens voegen de aanvallers JavaScript aan de gecompromitteerde website toe. Deze code stuurt een deel van de bezoekers door naar een site van de aanvallers. Deze site doet zich voor als Cloudflare-captcha en stelt dat de bezoeker eerst een bepaalde actie moet uitvoeren om toegang tot de achterliggende website te krijgen. De uit te voeren actie is een Microsoft 'device code authentication workflow', aldus Amazon. Microsoft biedt device code authentication voor apparaten met beperkte invoermogelijkheden, zoals bijvoorbeeld smart-tv's, internet of things-apparaten en printers. Een gebruiker moet hiervoor een aparte code door Microsoft laten genereren en die vervolgens bij het inloggen opgeven. Microsoft zal dan een token genereren waarmee het 'invoer beperkte' apparaat kan inloggen. Bij de aanvallen zijn het echter de aanvallers die een device code genereren. Ze proberen het slachtoffer dan deze code tijdens het inloggen op zijn M365-account in te laten voeren. Microsoft genereert dan een token voor het apparaat dat de device code had opgevraagd, dat de aanvallers vervolgens ontvangen. De aanvallers gebruiken dit token om op het Microsoft-account van het slachtoffer in te loggen. Begin dit jaar waarschuwde ook Microsoft voor dergelijke aanvallen. Volgens Amazon zijn de aanvallen het werk van een aan Rusland gelieerde groep genaamd APT29. Amazon adviseert internetgebruikers om alert te zijn op verdachte redirects, met name die zich voordoen als captcha of "security verification" pagina's. bron: https://www.security.nl

Securitybedrijf Zscaler heeft de gegevens van een onbekend aantal klanten gelekt en waarschuwt hen nu voor mogelijke phishing- en social engineering-aanvallen. De gelekte data bestaat uit namen, zakelijke e-mailadressen, functietitels, telefoonnummers, regionale/locatiedetails, licentie en commerciële informatie en de inhoud van bepaalde support cases. Het gaat om gegevens die Zscaler in Salesforce had opgeslagen en via een incident bij Salesloft konden worden gestolen. Salesforce is een veelgebruikte leverancier van Customer Relationship Management (CRM) software. Via CRM-systemen houden bedrijven allerlei informatie over klanten en potentiële klanten bij. Salesloft biedt een chatapplicatie genaamd Drift die met Salesforce is te integreren. Informatie verzameld via Drift kan vervolgens in Salesforce beschikbaar worden gemaakt. Aanvallers wisten bij Salesloft in te breken en tokens van klanten te stelen waarmee er onder andere toegang tot hun Salesforce-omgevingen en andere systemen kon worden verkregen. De tokens worden gebruikt voor de koppeling tussen Drift en Salesforce. Google stelde eerder dat de aanvallers op deze manier grote hoeveelheden data hebben buitgemaakt. Volgens Zscaler blijkt uit onderzoek dat de aanvallers de gestolen tokens hebben gebruikt om toegang tot de Salesforce-omgeving van het securitybedrijf te krijgen. Naar aanleiding van het datalek waarschuwt Zscaler klanten om extra alert te zijn op phishingaanvallen of social engineering waarbij de gelekte data kan worden gebruikt. Onlangs waarschuwde Google ook dat aanvallers via de Salesloft-aanval toegang tot Workspace-accounts hebben gekregen. bron: https://www.security.nl

De Fraudehelpdesk waarschuwt voor malafide e-mails die van ABN Amro afkomstig lijken, maar in werkelijkheid ontvangers met malware proberen te infecteren. Meestal bericht de Fraudehelpdesk over phishingmails die proberen om inloggegevens en andere informatie van slachtoffers te stelen. Dat is bij de e-mails die nu worden verstuurd anders. Volgens de phishingberichten moet de ontvanger zijn gegevens bijwerken. "Om uw gegevens bij te werken moet u op een link klikken. Doe dit niet! Wie op de link klikt, installeert schadelijke software (malware) op zijn/haar computer of telefoon. Deze malware zorgt ervoor dat anderen toegang kunnen krijgen tot uw (bank)gegevens", aldus de Fraudehelpdesk. Verdere details over de malware of infectiemethode worden niet gegeven. Security.NL heeft om aanvullende informatie gevraagd. Mensen die de link hebben geopend wordt aangeraden de internetverbinding te verbreken en de computer of telefoon door een expert te laten nakijken. "Doe geen bankzaken op uw computer of telefoon totdat die is nagekeken. Als uw computer/telefoon weer veilig verklaard is, verander dan al uw wachtwoorden", zo luidt het advies. bron: https://www.security.nl

Beste Bas15, Ik weet niet of je probleem al is opgelost. Ik was zelf even van wat vrije weken aan het genieten. Als eerste over de druk van de naald. Die verschilt per naald. Op de verpakking staat aangegeven hoe groot de druk mag zijn. Dat mag wel wat lichter afgesteld worden maar niet zwaarder. Het contragewicht moet dan op dezelfde druk afgesteld worden. Hierna pas je de skating in. Maar dit heeft de Lenco L85 niet. Ik begrijp tussen de regels door dat je weet hoe dit moet. Zo niet, hoor ik dat wel en help ik je erbij. Jouw probleem lijkt mij of te zitten in de mechanica van de arm of de drive-belt. Ik zou je aanraden de Lenco open te maken en alles even voorzichtig met een kwastje of busje perslucht schoon maken. Kijk ook of ergens een stofpropje zit wat het loopwerk belemmerd. Wanneer deze open is, controleer dan ook of de belt nog genoeg onder spanning staat en het aandrijfwieltje en de draaischijf niet door de loop der jaren wat vettig zijn geworden. Eventueel kun je deze met een doekje schoon maken en eventueel de belt vervangen. Terwijl je bezig bent kun je gezellig naar dit station luisteren: Just Your Music Station 😁

Een aanvaller heeft een verlopen domeinnaam van een keyboard-app geregistreerd en vervolgens gebruikt voor het verspreiden van malafide updates onder gebruikers. Dat laat antivirusbedrijf Trend Micro in een analyse weten. Het gaat om Sogou Zhuyin, een input method editor (IME). De software, oorspronkelijk bedoeld voor gebruikers in Taiwan, biedt verschillende manieren voor het invoeren van Chinese karakters op Windowscomputers. In 2019 stopte de support van de software. Afgelopen oktober wisten aanvallers de verlopen domeinnaam van Sogou Zhuyin te registreren. Daarnaast wisten ze ook de updateserver over te nemen, aldus Trend Micro. Een maand later werden malafide updates onder gebruikers van de software uitgerold. Begin dit jaar wordt de officiële installer via de geregistreerde domeinnaam aangeboden, die na installatie ook de malafide updates ontvangt. Volgens Trend Micro worden via de malafide updates verschillende soorten malware verspreid, zoals remote access tools, information stealers die allerlei bestanden stelen en backdoors. Inmiddels zouden honderden gebruikers van de software besmet zijn geraakt, zo stellen de onderzoekers. Die voegen toe dat de aanvallers vooral naar "waardevolle" doelwitten zoeken en er bij de meeste besmette systemen geen verdere activiteiten zijn waargenomen. Trend Micro adviseert organisaties en gebruikers om hun systemen op end-of-support software te controleren en dergelijke applicaties te verwijderen of vervangen. bron: https://www.security.nl

Softwarebedrijf Click Studios heeft een kwetsbaarheid in de wachtwoordmanager Passwordstate gedicht waardoor een aanvaller de authenticatie kan omzeilen. Via het beveiligingslek kan een aanvaller toegang tot de "Administration section" verkrijgen, waar beheerders belangrijke instellingen, configuraties en gebruikersaccounts kunnen beheren. Een CVE-nummer is nog niet bekend. Gebruikers worden opgeroepen om naar Build 9972 te updaten. Volgens Click Studios doet het probleem zich voor bij de Emergency Access pagina van de wachtwoordmanager. Via het ingebouwde Emergency Access account, dat over ‘Security Administrator’ rechten beschikt, kan er worden ingelogd op Passwordstate wanneer andere accounts niet te gebruiken zijn. Door een speciaal geprepareerde url op de Emergency Access pagina in te voeren kan er toegang worden verkregen tot de Administration section van de wachtwoordmanager, aldus een zeer korte beschrijving van Click Studios. Verdere details zijn niet bekendgemaakt. bron: https://www.security.nl