Captain Kirk

Meer dan 44.000 installaties van cPanel en WebHost Manager (WHM) zijn zeer vermoedelijk gehackt via een nieuwe kritieke kwetsbaarheid, zo meldt The Shadowserver Foundation. De Amerikaanse en Australische autoriteiten bevestigen dat aanvallers misbruik van het probleem maken, aangeduid als CVE-2026-41940. De WebHost Manager (WHM) is een interface bedoeld voor hostingproviders die daarmee servers kunnen beheren en cPanel-accounts kunnen aanmaken en beheren. CPanel is een interface bedoeld voor individuele hosting-accounts. Hostingbedrijven en systeembeheerders maken er vaak gebruik van. CVE-2026-41940 is een authenticatie bypass kwetsbaarheid, waardoor ongeauthenticeerde aanvallers op afstand toegang tot het controlepaneel kunnen krijgen, alsmede op afstand code kunnen uitvoeren, zo laat het Australische Cyber Security Centre (ACSC) weten. Dat meldt dat het bekend is met actief misbruik van het cPanel/WHM-lek in Australië. Ook het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security waarschuwt voor actief misbruik. The Shadowserver Foundation is een stichting die zich bezig met de bestrijding van cybercrime houdt en onderzoek doet naar kwetsbare systemen op internet. De stichting heeft meerdere honeypots en zag zeker 44.000 ip-adressen van cPanel-installaties de honeypots scannen. In totaal zijn er volgens The Shadowserver Foundation zeker 650.000 cPanel-installaties vanaf het internet toegankelijk, waarvan bijna dertienduizend in Nederland. Hoeveel er daarvan zijn gecompromitteerd is onduidelijk. Updates voor CVE-2026-41940 zijn sinds 28 april beschikbaar, maar sommige partijen melden dat misbruik al sinds 23 februari plaatsvindt. bron: https://www.security.nl

De ontwikkelaars van het op privacy gerichte besturingssysteem Tails hebben wegens kwetsbaarheden in Tor Browser een noodpatch uitgebracht. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Het privacy-OS kan vanaf een usb-stick of dvd worden gestart. Tails maakt gebruik van het Tor-netwerk om het ip-adres van de gebruiker af te schermen en biedt allerlei op privacy gerichte applicaties. De standaard browser binnen Tails is Tor Browser, dat weer op Firefox is gebaseerd. Eerder deze week verscheen Firefox ESR 140.10.1, waarin meerdere kwetsbaarheden zijn verholpen, waaronder een kritiek beveiligingslek CVE-2026-7322. Via deze kwetsbaarheid zou mogelijk willekeurige code op het systeem van gebruikers kunnen worden uitgevoerd. Daarbij is alleen het bezoeken van een gehackte of malafide website voldoende, of het te zien krijgen van besmette advertenties. Er is geen verdere actie van gebruikers vereist. Vervolgens kwam Tor Browser met een nieuwe versie die nu ook aan Tails is toegevoegd. De ontwikkelaars merken op dat ze niet bekend zijn met misbruik van de beveiligingslekken in Tor Browser. Gebruikers worden opgeroepen om te updaten naar Tails 7.7.1. bron: https://www.security.nl

Een onderzoeker heeft in een WordPress-plug-in met meer dan zeventigduizend actieve installaties twee backdoors ontdekt die al jaren aanwezig blijken te zijn. WordPress.org biedt de plug-in voorlopig niet meer aan en heeft een onderzoek ingesteld. Quick Page/Post Redirect is een plug-in waarmee WordPress-sites url's naar andere locaties kunnen laten wijzen. De eerste backdoor in de plug-in maakt het mogelijk om content op de betreffende WordPress-site te injecteren, mogelijk voor SEO spam. De tweede backdoor zorgt ervoor dat de plug-in aangeboden updates vanaf een bepaald domein installeert, waardoor remote code execution mogelijk is, aldus onderzoeker Austin Ginder in een analyse. De malafide code zou in 2021 zijn toegevoegd. WordPress.org heeft de plug-in offline gehaald en zegt onderzoek te doen. WordPress-beheerders worden opgeroepen de plug-in van hun website te verwijderen. bron: https://www.security.nl

Een kritiek beveiligingslek in cPanel en WHM waardoor ongeauthenticeerde aanvallers admin-toegang tot systemen kunnen krijgen wordt actief misbruikt bij aanvallen. Beveiligingsupdates zijn sinds 28 april beschikbaar, maar misbruik zou al sinds 23 februari plaatsvinden. Daarnaast is er inmiddels proof-of-concept exploitcode online gepubliceerd, waardoor er met grootschalig misbruik rekening wordt gehouden. Volgens zoekmachine Shodan zijn er zo'n 1,5 miljoen cPanel-installaties vanaf het internet toegankelijk. Via de oplossingen zouden tientallen miljoenen domeinnamen worden beheerd. De WebHost Manager (WHM) is een interface bedoeld voor hostingproviders die daarmee servers kunnen beheren en cPanel-accounts kunnen aanmaken en beheren. CPanel is een interface bedoeld voor individuele hosting-accounts. Een kritieke kwetsbaarheid in de oplossingen, aangeduid als CVE-2026-41940, maakt het mogelijk voor ongeauthenticeerde aanvallers om de authenticatie te omzeilen en als beheerder in te loggen. Voordat de authenticatie plaatsvindt wordt er een sessiebestand weggeschreven. Een aanvaller kan willekeurige waardes aan dit bestand toevoegen, zoals dat hij de root-gebruiker is, het bestand opnieuw laden en vervolgens toegang krijgen. CPanel kwam op 28 april met een beveiligingsupdate, alsmede detectiescripts om misbruik te detecteren. Het probleem raakt echter ook versies die end-of-life zijn en niet meer worden ondersteund. Volgens KnownHost wordt er actief misbruik van het probleem gemaakt. Gebruikers van Reddit melden dat deze aanvallen al sinds 23 februari plaatsvinden. Securitybedrijf watchTowr heeft inmiddels een analyse van de kwetsbaarheid en proof-of-concept exploitcode gepubliceerd. Daardoor zal grootschalig misbruik op korte termijn plaatsvinden, waarschuwt securitybedrijf Rapid7. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om officiële SAP npm packages te voorzien van malware die allerlei secrets steelt, zoals tokens, credentials en configuratiehbestanden. Daarnaast probeert de malware andere packages van getroffen ontwikkelaars te infecteren zodat het zich verder kan verspreiden. Het gaat in totaal om vier packages, melden securitybedrijven Aikido en Socket in een analyse. Wanneer ontwikkelaars de gecompromitteerde packages installeren wordt er automatisch een script op hun systeem uitgevoerd dat de malware installeert en uitvoert. De malware steelt onder andere SSH private keys, Github- en npm-tokens, omgevingsvariabelen, GitHub Actions secrets, AWS- en Azure-gegevens, Kubernetes service account tokens, data van cryptowallets, configuratiebestanden van vpn's en AI-tools, shell history bestanden en data van chatapps Signal, Slack, Telegram en Discord. Npm is de standaard package manager voor de JavaScript-omgeving Node.js en naar eigen zeggen het grootste softwarearchief ter wereld. Via de npm Registry biedt het een groot archief met openbare, besloten en commerciële packages. Bij geïnfecteerde ontwikkelaars kijkt de malware welke npm packages die allemaal beheren. Vervolgens wordt door middel van gestolen npm tokens de malware ook aan deze packages toegevoegd, zodat die zich verder kan verspreiden. Volgens onderzoekers van Socket is de aanval mogelijk uitgevoerd door een groep genaamd TeamPCP die eerder door middel van supplychain-aanvallen ook andere packages wist te compromitteren. Mogelijk zou de groep via een blootgesteld npm token de aanval hebben kunnen uitvoeren. bron: https://www.security.nl

Een kritieke kwetsbaarheid op GitHub.com maakte het mogelijk om toegang tot miljoenen publieke en private repositories te krijgen. Hetzelfde beveiligingslek maakte het ook mogelijk om in het geval van GitHub Enterprise Server systemen volledig te compromitteren en zo toegang te krijgen tot alle gehoste repositories en interne secrets. Dat meldt securitybedrijf Wiz. GitHub heeft het probleem inmiddels verholpen. GitHub is een populair platform voor softwareontwikkelaars. GitHub Enterprise Server is een self-hosted platform voor softwareontwikkeling binnen een organisatie. Via het platform is het mogelijk om software te ontwikkelen en leveren. Onderzoekers van Wiz ontdekten een injection kwetsbaarheid in het interne protocol van GitHub. Geauthenticeerde gebruikers konden zo via een git push commando willekeurige commando's op de backend servers van GitHub uitvoeren. Wanneer een gebruiker code naar GitHub.com pusht zijn hier verschillende interne services van het platform bij betrokken. Als onderdeel van het push proces wordt metadata over de push, zoals het soort repository en de omgeving waarin die moet worden verwerkt, via een intern protocol tussen de verschillende services uitgewisseld. De kwetsbaarheid maakte misbruik van hoe door gebruikers opgegeven push opties binnen deze metadata werd verwerkt. Push opties maken het mogelijk voor clients om tijdens een push 'key-value strings' naar de server te sturen. Onvoldoende 'sanitization' zorgde ervoor dat de downstream service van GitHub gebruikersinvoer als vertrouwde interne data beschouwde. Een aanvaller kon door middel van verschillende geïnjecteerde waardes code op shared storage nodes van GitHub.com uitvoeren. Op deze gecompromitteerde nodes hadden de onderzoekers toegang tot miljoenen publieke en private repositories van andere gebruikers en organisaties. Wiz waarschuwde GitHub dat het probleem binnen een aantal uur op GitHub.com verhielp. Voor GitHub Enterprise Server zijn beveiligingsupdates beschikbaar gesteld. Organisaties moeten die nog wel zelf installeren. De onderzoekers stellen dat 88 procent van de servers nog kwetsbaar is. GitHub meldt op basis van eigen onderzoek dat er geen misbruik van de kwetsbaarheid (CVE-2026-3854) is gemaakt. bron: https://www.security.nl

Beveiligingsbedrijf ADT heeft de persoonlijke gegevens van 5,5 miljoen klanten gelekt. De data werd gestolen door dezelfde groep criminelen die eerder bij Odido de gegevens van zes miljoen mensen wist buit te maken. ADT levert onder ander alarmsystemen en beveiligingscamera's voor woningen en bedrijven. Vorige week meldde ADT via de eigen website dat aanvallers er in waren geslaagd om gegevens van klanten en potentiële klanten te stelen. Volgens het beveiligingsbedrijf gaat het om namen, telefoonnummers en adresgegevens. In een "klein percentage" van de gevallen zijn ook geboortedatums en laatste vier cijfers van het social-securitynummer gestolen. Hoe de aanval mogelijk was en hoeveel klanten waren getroffen liet ADT niet weten. De aanval werd opgeëist door een groep die zichzelf ShinyHunters noemt. De aanvallers claimden de Salesforce-omgeving van ADT te hebben gehackt. Het zou gaan om elf gigabyte aan gecompromitteerde data en meer dan tien miljoen records. De aanvallers dreigden de gestolen data te publiceren als ADT geen losgeld zou betalen. De informatie is inmiddels op de website van ShinyHunters verschenen. Volgens Troy Hunt van datalekzoekmachine Have I Been Pwned gaat het naast de door ADT genoemde data ook om 5,5 miljoen e-mailadressen en gedeeltelijke identiteitsbewijzen. Via Have I Been Pwned kunnen mensen kijken of hun e-mailadres in een bekend datalek voorkomt. De bij ADT buitgemaakte e-mailadressen zijn nu aan de zoekmachine toegevoegd. Daarvan was 71 procent al via een ander datalek bekend. bron: https://www.security.nl

Google heeft opnieuw beveiligingsupdates uitgebracht om meerdere kritieke kwetsbaarheden in Chrome te verhelpen die remote code execution (RCE) mogelijk maken. Een aanvaller kan via dit soort beveiligingslekken malafide code op het systeem van gebruikers uitvoeren, waarbij alleen het bezoeken van een gehackte of gecompromitteerde website of het te zien krijgen van besmette advertenties voldoende is. Er is geen verdere interactie van gebruikers vereist. Lange tijd was het aantal kritieke kwetsbaarheden in Chrome een stuk lager dan in andere browsers. Dat beeld begint enigszins te veranderen. Begin april kwam Google met een update waarmee vijf kritieke beveiligingslekken werden gepatcht. Gisterenavond verscheen een nieuwe update, die dit keer vier kritieke lekken dicht. De kwetsbaarheden zijn aanwezig in verschillende onderdelen van de browser, waaronder Canvas, Accessibility en Views. Details over de kwetsbaarheden, zoals hoe aanvallers er precies misbruik van kunnen maken, zijn nog niet door Google openbaar gemaakt. In het geval van kritieke kwetsbaarheden probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details kunnen vervolgens na zestig dagen openbaar worden gemaakt. Google Chrome 147.0.7727.137/138 is beschikbaar voor Windows en macOS. Voor Linux is versie 147.0.7727.137 verschenen. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan echter een aantal dagen tot weken duren. Gebruikers die de update direct willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar. bron: https://www.security.nl

Op "Open VSX" zijn tientallen extensies voor Visual Studio Code aangetroffen die malware bevatten. Dat meldt securitybedrijf Socket. Open VSX is een open-source marktplaats voor extensies voor Visual Studio Code en Theia. Het biedt een alternatief voor de officiële Visual Studio Code Marketplace. De malafide extensies die Socket ontdekte lijken op legitieme populaire extensies en zijn voorzien van een loader die aanvullende malware download en uitvoert. Deze malware is ontwikkeld om inloggegevens en andere data van het systeem van de ontwikkelaars te stelen. De extensies zijn door de beheerders van Open VSX verwijderd. Hoeveel mensen de extensies hebben gedownload is onbekend. De extensies zijn sinds april op Open VSX te vinden. Volgens Socket zijn de extensies waarschijnlijk door een aanvaller ontwikkeld die de extensies eerst publiceerde zonder malware, om zo vertrouwen op te bouwen. Vervolgens werden de extensies van de malware voorzien. De malware in de extensies wordt GlassWorm genoemd. De malware is ontwikkeld om inloggegevens voor NPM, GitHub en Git te stelen. Daarnaast kan de GlassWorm malware VNC-servers op het systeem installeren om zo op afstand toegang tot het systeem te behouden. bron: https://www.security.nl

Een datalek bij AI-trainingsbedrijf Mercor heeft 40.000 mensen geraakt, waarbij hun stemopnamen en identiteitsdocumenten zijn gestolen. Het gaat om een dataset van ongeveer 4 terabyte. De gestolen data bestaat uit stemopnamen en scans van identiteitsdocumenten van mensen die voor het bedrijf als 'AI contractor' werkten. De stemopnamen zijn gemaakt door mensen die voor het trainen van AI-modellen teksten voorlazen. De gestolen dataset bevat ook scans van identiteitsdocumenten, zoals paspoorten en rijbewijzen, en selfies van de betreffende personen. Volgens securitybedrijf ORAVYS is de dataset eenvoudig te gebruiken voor het maken van deepfake stemmen. "De Mercor opnamen zijn gemiddeld twee tot vijf minuten lang. Combineer dit met het gelekte identiteitsdocument en de aanvaller heeft alle benodigde gegevens om een deepfake in te zetten", aldus het securitybedrijf. ORAVYS stelt dat aanvallers met de gestolen stemgegevens allerlei aanvallen kunnen uitvoeren, zoals het omzeilen van stemverificatie bij banken, het oplichten van de werkgever van het slachtoffer, het plegen van fraude met verzekeringsclaims, het oplichten van familieleden en het plegen van romance scams. Het securitybedrijf biedt een dienst waarmee mensen kunnen controleren of hun stemgegevens zijn gestolen, hiervoor moet een korte "voice sample" worden geüpload. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om een malafide versie van de populaire Python-package "elementary-data" op PyPI te plaatsen, de officiële repository voor Python-packages. De malafide versie steelt gevoelige data en informatie uit cryptowallets. De malafide versie is inmiddels van PyPI verwijderd. Elementary-data is een populaire tool in het dbt (Data Build Tool) ecosysteem, met meer dan 1,1 miljoen downloads op PyPI. Op 24 april werd een malafide versie van de package op PyPI geplaatst, de malware was opgenomen in het elementary.pth bestand. De malware werd toegevoegd via een kwetsbaarheid in de GitHub Actions workflow van het package. De aanvallers plaatsten een specifieke comment op een pull request die misbruik maakt van een injection kwetsbaarheid in een van de workflows. Met behulp van de kwetsbaarheid konden de aanvallers een GITHUB_TOKEN bemachtigen (uit de workflow), een nieuwe malafide release van het package maken en deze, via de legitieme release pipeline, publiceren naar PyPI. StepSecurity stelt dat systemen die geen gepinde versies gebruiken automatisch de malafide versie hebben gedownload. bron: https://www.security.nl

Aanvallers maken gebruik van social engineering, phishing via Microsoft Teams en malafide browser-extensies om toegang tot systemen te krijgen, zo waarschuwt Google. De aanval begint volgens Google met een e-mailcampagne om het doelwit met berichten te overladen. Hierna wordt via Microsoft Teams een phishinglink verstuurd, waarbij de aanvaller zich voordoet als helpdeskmedewerker. De website laat het slachtoffer geloven dat er een probleem met zijn mailbox is dat met een "Mailbox Repair and Sync Utility" kan worden verholpen. De website vraagt de gebruiker om zijn e-mailadres en wachtwoord. De ingevulde gegevens worden vervolgens naar een Amazon S3-bucket gestuurd. Tevens worden er verschillende bestanden gedownload, waaronder een malafide browser-extensie genaamd SNOWBELT. Deze extensie fungeert als backdoor en kan in combinatie met andere malware de aanvallers controle over het systeem geven. Zo kunnen screenshots worden gemaakt, bestanden worden gedownload en verwijderd en commando's op het systeem worden uitgevoerd. De extensie kan ook worden gebruikt om toegang tot het systeem te behouden, ook als de browser wordt herstart. Microsoft waarschuwde onlangs dat aanvallers steeds vaker gebruikmaken van Microsoft Teams voor het uitvoeren van helpdesk-imitatieaanvallen. De aanvallers doen zich voor als IT-personeel of helpdeskmedewerker en proberen op deze manier om toegang tot een systeem te verkrijgen. bron: https://www.security.nl

CrowdStrike en Tenable hebben kritieke kwetsbaarheden in hun producten gedicht. In het geval van CrowdStrike gaat het om een path traversal-kwetsbaarheid (CVE-2026-40050) in LogScale. LogScale is een platform voor het verzamelen, indexeren en doorzoeken van logbestanden. Via de kwetsbaarheid kan een ongeauthenticeerde aanvaller willekeurige bestanden van het systeem lezen. CrowdStrike stelt dat de kwetsbaarheid alleen een probleem is voor klanten die specifieke versies van LogScale hosten. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De kwetsbaarheid werd door CrowdStrike zelf gevonden. Het securitybedrijf zegt geen aanwijzingen te hebben dat het probleem actief wordt misbruikt. Klanten die van LogScale gebruikmaken worden opgeroepen om zo snel mogelijk te updaten. Tenable kwam met een beveiligingsbulletin voor een kwetsbaarheid in Nessus Agent op Windows (CVE-2026-33694). Via het beveiligingslek kan een aanvaller willekeurige bestanden met SYSTEM-rechten verwijderen. Dit kan vervolgens leiden tot het uitvoeren van willekeurige code met dezelfde (SYSTEM) rechten. Tenable heeft een update uitgebracht om het probleem te verhelpen. bron: https://www.security.nl

De Amerikaanse en Britse overheid waarschuwen voor een backdoor genaamd FIRESTARTER die aanvallers in Cisco ASA-firewalls installeren. De backdoor wordt volgens de Amerikaanse en Britse autoriteiten ingezet door een advanced persistent threat (APT). De Amerikaanse en Britse autoriteiten stellen dat de backdoor is geïnstalleerd door aanvallers die misbruik maakten van CVE-2025-20333 (buffer overflow) en CVE-2025-20362 (missing authorization). Via deze kwetsbaarheden konden de aanvallers toegang verkrijgen tot de firewall. FIRESTARTER kan volgens de autoriteiten op de firewall actief blijven, ook nadat de originele kwetsbaarheden zijn verholpen. De Amerikaanse en Britse autoriteiten hebbenYARA-rules ontwikkeld waarmee organisaties de backdoor kunnen detecteren. Daarnaast is er ook een nieuwe versie van een eerder uitgegeven 'Emergency Directive' verschenen waarin federale Amerikaanse overheidsinstanties worden opgeroepen om hun Cisco ASA-firewalls op de aanwezigheid van de backdoor te controleren. bron: https://www.security.nl

Een kwetsbaarheid in Windows maakt het mogelijk voor een lokale aanvaller met "impersonation privileges" om systeemrechten ("SYSTEM") te krijgen, zo stelt Kaspersky op basis van eigen onderzoek. Volgens Kaspersky is de kwetsbaarheid vermoedelijk aanwezig in alle Windows versies. Kaspersky waarschuwde Microsoft op 19 september vorig jaar over de kwetsbaarheid. Op 10 oktober kwam het techbedrijf met een reactie dat het probleem niet als "high-severity" was aangemerkt en er geen CVE-nummer zou worden toegekend. Microsoft stelde tevens dat de kwetsbaarheid niet meteen gepatcht wordt, met als reden dat een aanvaller reeds over impersonation privileges ("SeImpersonatePrivilege") moet beschikken. Kaspersky heeft nu de details openbaar gemaakt, alsmede proof-of-concept code. Kaspersky zegt dat het geen instructies gaat publiceren die het eenvoudiger maken om de kwetsbaarheid op grote schaal te misbruiken. bron: https://www.security.nl