Captain Kirk

Mozilla heeft haar zorgen geuit over Britse plannen om een verplichte leeftijdsverificatie voor vpn-providers in te voeren. Volgens de Firefox-ontwikkelaar ondermijnt dit de privacy en security van gebruikers en kan het tot gevoelige datalekken leiden. Afgelopen maart stemde het Britse Lagerhuis in met een voorstel waardoor de Britse overheid een leeftijdsgrens voor het gebruik van vpn-diensten kan invoeren. Eerder startte de Britse overheid een online consultatie waarin het naar meningen vraagt over een minimale leeftijd voor het gebruik van social media, waar ook een mogelijk leeftijdsverbod voor vpn-diensten wordt genoemd. Mozilla heeft daar nu op gereageerd. Mozilla stelt dat leeftijdsverificatie alle gebruikers raakt, niet alleen minderjarigen. "Er is geen mechanisme waarmee een vpn-provider kan bepalen welke gebruikers minderjarig zijn, zonder van alle gebruikers de leeftijd te verifiëren." Het verplichten van leeftijdsverificatie om vpn-toegang te krijgen zal er zo toe leiden dat elke gebruiker, ongeacht leeftijd, gevoelige persoonlijke data moet overhandigen om van basale privacybescherming gebruik te kunnen maken, aldus Mozilla. De Firefox-ontwikkelaar voegt toe dat uit verschillende onderzoeken blijkt dat kinderen verplichte online leeftijdsverificatie niet op grote schaal door middel van vpn's omzeilen. Vorig jaar verplichtte de Britse overheid al voor tal van websites online leeftijdsverificatie. Na de invoering hiervan was er een toename in het vpn-gebruik zichtbaar. Ook de Britse autoriteiten stellen dat er niet kan worden gesteld dat het hier om minderjarigen gaat. Mozilla vermoedt dat het hier volwassenen betreft die hun identiteitsbewijzen niet willen delen met een platform dat ze niet vertrouwen om hun gevoelige informatie goed te beschermen. Leeftijdsverificatie zou ook tot een online tweedeling kunnen leiden, waarbij volwassen gebruik kunnen blijven maken van vpn's, maar dit voor jongeren wordt verboden. Daarnaast zou het ook het probleem dat beleidsmakers noemen niet oplossen. Dat gaat namelijk over 'schadelijke' of leeftijdsongeschikte content, contact met vreemden en verslavend gebruik gevoed door een algoritmisch ontwerp dat op de platforms aanwezig is. Niet het gebruik van vpn-diensten, gaat Mozilla verder. Dat vindt dat de autoriteiten platforms en hun businessmodellen zouden moeten aanpakken, in plaats van voor alle online diensten verplichtingen in te voeren. Daarnaast moet er volgens de Firefox-ontwikkelaar meer worden ingezet op digitale vaardigheden en ouderlijk toezicht. bron: https://www.security.nl

Systemen en repositories van OpenAI zijn getroffen door de recente TanStack supplychain-aanval, zo heeft de ChatGPT-ontwikkelaar bekendgemaakt. Vorige maand werd het bedrijf door een zelfde soort aanval geraakt. Naar aanleiding van de inbraak is besloten om code-signing certificates te vervangen en zullen macOS-gebruikers hun OpenAI-applicaties moeten updaten. Afgelopen maandag wisten aanvallers TanStack te compromitteren. TanStack biedt tal van libraries die ontwikkelaars gebruiken voor het ontwikkelen van webapplicaties. De packages van TanStack tellen tientallen miljoenen installaties. Bij de aanval wisten de aanvallers 84 besmette versies van 42 TanStack npm packages te publiceren, zo laat TanStack in een analyse van de aanval weten. Deze versies waren voorzien van malware die allerlei inloggegevens op besmette systemen steelt, waaronder AWS IMDS / Secrets Manager, GCP metadata, Kubernetes service-account tokens, Vault tokens, ~/.npmrc, GitHub tokens en SSH private keys. Daarnaast probeert de malware softwareprojecten van de getroffen ontwikkelaar te infecteren. Volgens OpenAI raakten twee systemen van werknemers in de bedrijfsomgeving besmet met de malware en werd er 'credential material' gestolen uit de code repositories waar deze medewerkers toegang toe hadden. De getroffen code repositories bevatten certificaten en keys die OpenAI gebruikt voor het signeren van software op Windows, macOS, iOS en Android. De ChatGPT-ontwikkelaar zegt dat het uit voorzorg de certificaten zal vervangen en dat macOS-gebruikers als gevolg hiervan hun OpenAI-applicaties moeten updaten. MacOS zal vanaf 12 juni, als de betreffende certificaten worden ingetrokken, de applicaties die met deze certificaten zijn gesigneerd blokkeren. In april zag OpenAI zich ook al gedwongen om certificaten te vervangen, nadat het was getroffen door de aanval op de Axios HTTP client library. De ChatGPT-ontwikkelaar zegt dat het naar aanleiding van dit incident was begonnen met de gefaseerde uitrol van aanvullende beveiligingsmaatregelen, maar dat de twee getroffen medewerkers de nieuwe configuratie nog niet op hun systemen hadden ontvangen. Was dat wel het geval geweest, dan waren de besmette packages niet gedownload, aldus OpenAI. bron: https://www.security.nl

Microsoft verwacht dat aanvallers misbruik gaan maken van een kritieke kwetsbaarheid in Outlook waardoor aanvallers door het versturen van een e-mail code op systemen kunnen uitvoeren. Het doelwit hoeft niet op een link te klikken of een bijlage te openen, alleen het openen van een e-mail, of wanneer die in het Voorbeeldvenster (Preview Pane) wordt weergegeven, is voldoende om remote code execution mogelijk te maken. Microsoft kwam afgelopen dinsdag tijdens de patchdinsdag van deze maand met beveiligingsupdates. Microsoft kwam afgelopen dinsdag met beveiligingsupdates, maar stelt in het beveiligingsbulletin dat het waarschijnlijk is dat aanvallers het probleem bij aanvallen zullen misbruiken. De beveiligingsonderzoeker die het probleem ontdekte roept organisaties op om de patches zo snel mogelijk te installeren. Het beveiligingslek (CVE-2026-40361) is aanwezig in Microsoft Word 2016, Microsoft Office LTSC 2024, Microsoft Office LTSC 2021, Microsoft Office LTSC for Mac 2021, Microsoft 365 Apps for Enterprise en Microsoft Office 2019. Microsoft geeft in het beveiligingsbulletin van CVE-2026-40361 weinig details over de kwetsbaarheid, behalve dat het om een 'use after free' gaat waardoor een aanvaller code op het systeem kan uitvoeren. Daarnaast is misbruik mogelijk via het Voorbeeldvenster (Preview Pane). Het probleem werd gevonden en gerapporteerd door beveiligingsonderzoeker Haifei Li. Die laat op X weten dat het hier om een zero-click-kwetsbaarheid in Outlook gaat en dat misbruik plaatsvindt zodra het slachtoffer de e-mail leest of previewt. "Het klikken op links of bijlagen is geen vereiste." Li voegt toe dat de kwetsbaarheid aanwezig is in de engine die Outlook gebruikt voor het weergeven van e-mails en het probleem lastig te mitigeren of blokkeren is. Een mitigatie die wel helpt is om Outlook zo in te stellen dat e-mails alleen in plain text worden weergegeven. Wanneer Microsoft updates voor een kwetsbaarheid uitbrengt laat het bedrijf ook weten of er misbruik van het probleem is waargenomen of dat het dit in de toekomst verwacht. In het geval van CVE-2026-40361 is "exploitation more likely", aldus Microsoft. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritiek cross-site scripting-lek in Microsoft Exchange Server, zo waarschuwt Microsoft. Beveiligingsupdates zijn nog niet beschikbaar, wel een tijdelijke mitigatie die via de Exchange Emergency Mitigation Service wordt uitgerold. De kwetsbaarheid (CVE-2026-42897) maakt het mogelijk voor aanvallers om via een speciaal geprepareerde e-mail JavaScript in de browser van Outlook Web Access-gebruikers uit te voeren. Zo zou er toegang tot e-mail en andere informatie kunnen worden verkregen. Microsoft werd door een externe partij over het misbruik ingelicht, maar heeft de naam van de melder niet bekendgemaakt. Het probleem raakt Microsoft Exchange Server 2016, Exchange Server 2019 en de Exchange Server Subscription Edition. Microsoft zegt dat het aan beveiligingsupdates werkt, wanneer die beschikbaar komen is nog niet bekend. Er zijn wel door het techbedrijf tijdelijke mitigaties beschikbaar gesteld. Exchange Server beschikt over de Emergency Mitigation Service die standaard staat ingeschakeld en automatisch door Microsoft beschikbaar gestelde mitigaties op de server uitvoert. Deze mitigaties moeten aanvallen tegengaan. Organisaties bij wie de Emergency Mitigation Service niet staat ingeschakeld moeten die inschakelen om de tijdelijke mitigatie van Microsoft te ontvangen, aldus het techbedrijf. Organisaties die deze service niet willen inschakelen kunnen als alternatief de Exchange on-premises Mitigation Tool (EOMT) installeren en de mitigatie handmatig per server uitvoeren. Het uitvoeren van de automatische of handmatige mitigatie heeft verschillende gevolgen. Zo kan de OWA Print Calendar functionaliteit niet meer werken en kan het zijn dat inline afbeeldingen niet goed meer worden weergegeven. Ook zal OWA light niet goed meer functioneren. Verdere details over de kwetsbaarheid of waargenomen aanvallen zijn niet door Microsoft gegeven. bron: https://www.security.nl

Ruim honderdduizend WordPress-sites zijn via een kritieke kwetsbaarheid in de Burst Statistics plug-in op afstand door aanvallers over te nemen. Aanvallers maken inmiddels misbruik van het lek. Via het beveiligingslek kan een aanvaller de authenticatie omzeilen en als admin toegang tot de website te krijgen. Enige vereiste is dat aanvallers de naam van de admin weten. Er is een patch beschikbaar gemaakt die het probleem oplost, maar veel websites hebben die nog niet geïnstalleerd. Securitybedrijf Wordfence verwacht dat aanvallers op korte termijn misbruik van de kwetsbaarheid zullen maken. Burst Statistics is een plug-in waarmee WordPress-sites allerlei informatie over hun bezoekers kunnen verzamelen. Het wordt door de ontwikkelaars omschreven als een 'privacyvriendelijk' alternatief voor Google Analytics. De plug-in is op meer dan tweehonderdduizend websites geïnstalleerd. Een functie in de plug-in gebruikt voor de authenticatie controleert niet goed of het opgegeven wachtwoord correct is. Een aanvaller die de naam van administrator weet kan, in combinatie met een fake wachtwoord, een nieuw admin-account aanmaken, aldus Wordfence. De ontwikkelaar kwam op 12 mei met versie 3.4.2 waarin het probleem is verholpen. Op basis van cijfers van WordPress.org blijkt dat de update sindsdien door 94.000 WordPress-sites is gedownload, wat inhoudt dat nog ruim honderdduizend sites risico lopen. Wordfence meldt in de blogposting over het probleem dat aanvallers op korte termijn misbruik van het probleem zullen maken en roept beheerders op om de patch te installeren. In de eigen Intelligence Vulnerability Database laat het securitybedrijf echter weten dat het al misbruik van de kwetsbaarheid heeft waargenomen. Update Wordfence laat in de blogposting over de kwetsbaarheid niet weten dat aanvallers misbruik van het probleem maken, maar meldt dit wel in de eigen Intelligence Vulnerability Database. Deze informatie is aan het artikel toegevoegd. bron: https://www.security.nl

Cisco waarschuwt voor een actief misbruikte kwetsbaarheid in de Catalyst SD-WAN Controller waardoor een ongeauthenticeerde aanvaller admin-toegang tot het systeem kan krijgen. Er zijn beveiligingsupdates uitgebracht om het probleem te verhelpen. Het Nationaal Cyber Security Centrum (NCSC) verwacht dat erop korte termijn een toename in scan- en misbruikverkeer zal plaatsvinden. De Cisco Catalyst SD-WAN Controller is een oplossing waarmee organisaties hun netwerk kunnen beheren en meerdere internetverbindingen gebruiken. Begin dit jaar werd er gewaarschuwd voor een andere kwetsbaarheid in het product dat al jaren werd gebruikt om organisaties wereldwijd mee aan te vallen. Cisco kwam op 25 februari met updates voor dit lek, maar stelde dat misbruik al sinds 2023 plaatsvond. De nieuwste kwetsbaarheid in de Catalyst SD-WAN Controller wordt aangeduid als CVE-2026-20182. Het gaat om een beveiligingslek in de 'peering authentication' van de SD-WAN Controller. Volgens Cisco werkt het authenticatiemechanisme niet goed. Door een speciaal geprepareerd request naar een kwetsbaar systeem te sturen kan een ongeauthenticeerde aanvaller de authenticatie omzeilen en admin-toegang tot het systeem krijgen. De kwetsbaarheid werd op 9 maart dit jaar door securitybedrijf Rapid7 aan Cisco gerapporteerd. Het netwerkbedrijf maakte op 24 april aan Rapid7 bekend in welke versienummers het probleem zou zijn verholpen. Cisco besloot de openbaarmaking van de kwetsbaarheid uit te stellen naar 14 mei, aldus de tijdlijn van Rapid7. In het eigen beveiligingsbulletin meldt Cisco dat het in mei ontdekte dat aanvallers misbruik van CVE-2026-20182 maken. Er zijn Indicators of Compromise gepubliceerd waarmee organisaties kunnen kijken of hun systemen zijn gecompromitteerd. Het NCSC verwacht op korte termijn een toename in scan- en misbruikverkeer waarbij aanvallers naar kwetsbare systemen zoeken en die proberen te hacken. bron: https://www.security.nl

Google heeft beveiligingsupdates uitgebracht voor een recordaantal kritieke kwetsbaarheden in Chrome. Niet eerder in het bestaan van de browser werden er voor zover bekend tijdens één patchronde zoveel problemen opgelost waardoor een aanvaller code op het systeem van gebruikers kan uitvoeren. Alleen het bezoeken van een gehackte of malafide website of te zien krijgen van een besmette advertentie is hiervoor voldoende. Er is geen verdere interactie van gebruikers vereist. In totaal gaat het om veertien kwetsbaarheden die als kritiek zijn aangemerkt. De problemen bevinden zich in allerlei onderdelen van de browser, waaronder Blink, de browser-engine die Chrome gebruikt voor het weergeven van webcontent, Tab Groups, Downloads, FileSystem en ANGLE, waarmee de browser WebGL- en andere OpenGL-content uitvoert. Twaalf van de veertien kritieke beveiligingslekken werden door Google zelf gevonden. Verdere details over de problemen zijn niet gegeven. In het verleden werden er zelden kritieke kwetsbaarheden in Chrome gerapporteerd. De afgelopen weken kwam Google al verschillende keren met kritieke updates. Veertien kritieke beveiligingslekken in één keer is niet eerder waargenomen. In het geval van kritieke kwetsbaarheden probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details kunnen vervolgens na zestig dagen openbaar worden gemaakt. Google Chrome 148.0.7778.167/168 is beschikbaar voor Windows en macOS. Voor Linux is versie 148.0.7778.167 verschenen. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan echter een aantal dagen tot weken duren. Gebruikers die de update direct willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Windows Server maakt het mogelijk voor een computerworm om zich zonder interactie van gebruikers te verspreiden. Twee andere kwetsbaarheden in Windows zijn ook zonder gebruikersinteractie te misbruiken. Microsoft heeft beveiligingsupdates uitgebracht om de problemen te verhelpen en organisaties worden opgeroepen die meteen te installeren. Tijdens de patchdinsdag van mei kwam Microsoft met patches voor meer dan honderddertig kwetsbaarheden. Een aantal van de beveiligingslekken verdienen extra aandacht, aldus securitybedrijf ZDI. Het gaat onder andere om CVE-2026-41089, aanwezig in het Windows Netlogon-onderdeel van Windows Server. Via het lek is remote code execution op domain controllers mogelijk. Hiervoor volstaat het versturen van een speciaal geprepareerd netwerk request. Er zijn geen inloggegevens of interactie van gebruikers vereist. Volgens ZDI moeten organisaties deze kwetsbaarheid meteen patchen. "Een gecompromitteerde domain controller is een gecompromitteerd domein." Een andere kritieke kwetsbaarheid (CVE-2026-41096) raakt de Windows DNS Client van Windows 11 en Windows Server 2025. Een malafide DNS response maakt remote code execution mogelijk. Voor misbruik is er geen authenticatie of gebruikersinteractie vereist. "Aangezien de DNS Client op bijna elke Windows-machine draait, is het aanvalsoppervlak enorm", zegt Dustin Childs van ZDI. Een aanvaller die DNS responses kan beïnvloeden, bijvoorbeeld door een man-in-the-middle, kan binnen de gehele onderneming ongeauthenticeerd code op systemen uitvoeren, voegt Childs toe. Naast de kwetsbaarheid in Windows Netlogon is er deze maand ook een tweede kwetsbaarheid die volgens Childs 'wormable' is. Het gaat om CVE-2026-40415, aanwezig in het Windows TCP/IP-onderdeel van Windows en Windows Server. Het beveiligingslek maakt het mogelijk voor een ongeauthenticeerde aanvaller om zonder interactie van gebruikers code uit te voeren. Volgens Childs is misbruik een stuk onwaarschijnlijker, omdat het doelwit in een situatie moet zijn waarbij die langere tijd minder werkgeheugen beschikbaar heeft. Ondanks deze voorwaarde worden organisaties opgeroepen om ook deze update snel te testen en uit te rollen. De Windows-updates worden op de meeste machines automatisch geïnstalleerd. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om de officiële Python-client van AI-model Mistral te voorzien van een backdoor. De Python Package Index (PyPI), waar de package normaliter wordt aangeboden, heeft de software in quarantaine geplaatst. Volgens Microsoft hebben aanvallers code in een script van de Python-client geïnjecteerd dat uiteindelijk een 'credential stealer' downloadt en uitvoert. Dergelijke malware steelt allerlei inloggegevens van besmette systemen en stuurt die terug naar de aanvallers. Microsoft adviseert om getroffen Linux-hosts in quarantaine te plaatsen, het ip-adres waarvandaan de malware wordt gedownload te blokkeren, te monitoren op de malafide scripts en gestolen inloggegevens te wijzigen. Ook op de GitHub-pagina van Mistral wordt gesproken over de supplychain-aanval en gesteld dat er sprake is van een backdoor. Hoe de aanval kon plaatsvinden is nog niet bekendgemaakt. Volgens securitybedrijf Wiz is de aanval uitgevoerd door een groep criminelen genaamd TeamPCP, die ook voor supplychain-aanvallen op SAP, Checkmarx, Bitwarden, Lightning, Intercom en Trivy verantwoordelijk worden gehouden. bron: https://www.security.nl

Gebruikers van het op privacy-gerichte besturingssysteem Tails worden opgeroepen om te updaten naar versie 7.7.3. Het gaat om een noodpatch die het Linux Dirty Frag-lek verhelpt. Dirty Frag combineert twee verschillende kernel-kwetsbaarheden waardoor het mogelijk is om in het geheugen systeembestanden aan te passen. Een lokale aanvaller kan hierdoor zijn rechten naar die van root verhogen. In het geval van Tails zou een applicatie die met het besturingssysteem wordt meegeleverd adminrechten kunnen krijgen. Een aanvaller die misbruik weet te maken van een kwetsbaarheid in een met Tails meegeleverd applicatie zou zo controle over de Tails-installatie kunnen krijgen en gebruikers kunnen deanonimiseren, aldus de ontwikkelaars. Eerder kwam het ontwikkelteam ook al met een noodpatch wegens het Linux Copy Fail-lek, waardoor een lokale gebruiker root kan worden. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Het privacy-OS kan vanaf een usb-stick of dvd worden gestart. Tails maakt gebruik van het Tor-netwerk om het ip-adres van de gebruiker af te schermen en biedt allerlei op privacy gerichte applicaties. bron: https://www.security.nl

Wereldwijd zijn er meer dan 3500 Wazuh-servers, waaronder 76 in Nederland, die een beveiligingsupdate voor een kritiek path traversal-lek missen, waardoor aanvallers in het ergste geval volledige controle over het systeem kunnen krijgen. Dat meldt The Shadowserver Foundation op basis van eigen onderzoek. Wazuh is een gratis open source beveiligingsplatform gebruikt voor het voorkomen en detecteren van dreigingen en incidentrespons. Volgens de ontwikkelaars combineert het XDR (Extended Detection and Response) en SIEM (Security Information and Event Management). De kwetsbaarheid (CVE-2026-30893) maakt het mogelijk voor een aanvaller om door middel van path traversal naar willekeurige bestanden op andere cluster nodes te schrijven. Een aanvaller kan zo de Python-modules overschrijven waar Wazuh gebruik van maakt, wat kan leiden tot het uitvoeren van code. Op servers waar de cluster daemons met verhoogde rechten draaien kan daardoor het volledige systeem worden gecompromitteerd. De aanval is mogelijk vanaf een geauthenticeerde cluster peer. Op 17 maart verscheen versie 4.14.4 waarin het probleem is verholpen. Twee weken geleden werd de kwetsbaarheid bekendgemaakt. The Shadowserver Foundation is een stichting die onderzoek doet naar kwetsbare systemen op internet. Het deed een online scan naar Wazuh-servers die nog voor CVE-2026-30893 kwetsbaar zijn. Dat leverde meer dan 3500 servers op, waarvan er 76 zich in Nederland bevinden. Beheerders worden opgeroepen om naar de nieuwste versie te updaten. Een andere Wazuh-kwetsbaarheid werd vorig jaar nog door verschillende botnets misbruikt. bron: https://www.security.nl

Google heeft naar eigen zeggen voor het eerst een zeroday-exploit ontdekt die een aanvaller met behulp van AI ontwikkelde. Het ging om een exploit voor een kwetsbaarheid in een niet nader genoemde open source, webgebaseerde systeembeheertool. Via de exploit was het mogelijk om de tweefactorauthenticatie (2FA) te omzeilen. Misbruik vereist in dit geval wel dat aanvallers over geldige inloggegevens beschikken. Na de ontdekking informeerde Google de leverancier van de oplossing. Het techbedrijf denkt niet dat de aanvallers bij de ontwikkeling van de exploit Googles AI-model Gemini gebruikten. "Gebaseerd op de structuur en inhoud van deze exploits, zijn we er vrij zeker van dat de aanvaller waarschijnlijk een AI-model heeft ingezet om deze kwetsbaarheid te ontdekken en misbruiken", stelt de Google Threat Intelligence Group. Zo wordt er gewezen naar een overvloed aan 'educational docstrings' in het exploitscript, waaronder een gehallucineerde CVSS-score. Daarnaast wordt er gebruikgemaakt van een gestructureerd Python-format wat kenmerkend is voor de data waarmee AI-modellen worden getraind, laat Google verder weten. De onderzoekers voegen toe dat het probleem een semantische logicafout betreft en AI-modellen zeer goed zijn in het vinden van dergelijke kwetsbaarheden. bron: https://www.security.nl

Mozilla gaat voortaan wekelijks bugfixes voor Firefox uitbrengen. De nieuwe updatecyclus zal met de lancering van Firefox 151 op 19 mei van kracht worden. Dat meldt Mozilla-volger Sören Hentzschel. Mozilla publiceert nu elke vier weken een feature-update. Zo staat Firefox 152 voor 16 juni gepland. Vaak komt Mozilla in de tussengelegen periode in ieder geval met één kleine update om bugs te verhelpen. Afhankelijk van de impact van een bug kan Mozilla ook vaker met bugfixes komen. Daarnaast kan de Firefox-leverancier ook apart updates voor beveiligingsproblemen uitbrengen of combineert die met geplande bugfixes. Met Firefox 151 zal Mozilla elke week een update uitbrengen om eventuele bugs te verhelpen. De wekelijkse updates zullen geen nieuwe features introduceren. Die staan nog steeds eens per maand gepland. Mozilla heeft nog geen reactie gegeven waarom het naar een wekelijkse updatecyclus overstapt. Hentzschel merkt op dat de beslissing het mogelijk maakt om sneller op problemen te reageren. bron: https://www.security.nl

Veel NAS-systemen van fabrikant QNAP zijn kwetsbaar voor het Linux Dirty Frag-lek. Een beveiligingsupdate is echter nog niet beschikbaar. Dirty Frag combineert twee verschillende kernel-kwetsbaarheden waardoor het mogelijk is om in het geheugen systeembestanden aan te passen. Een lokale aanvaller kan hierdoor zijn rechten naar die van root verhogen. QNAP stelt dat één van de Dirty Frag-lekken een probleem is. Het gaat om CVE-2026-43284. Deze kwetsbaarheid raakt alle QNAP x86- en ARM64-gebaseerde NAS-modellen, alle QuTS hero NAS-modellen en alle QuTScloud NAS-instances. De systemen zijn volgens QNAP niet kwetsbaar voor het andere Dirty Frag-lek, aangeduid als CVE-2026-43500. "Op dit moment is er nog geen officiële patch voor het Linux-kernel "Dirty Frag" lek beschikbaar. QNAP werkt aan een fix en adviseert gebruikers om beveiligingsupdates meteen te installeren zodra die beschikbaar zijn", aldus de NAS-leverancier. Verder wordt aangeraden om verschillende beveiligingsmaatregelen door te voeren, zoals het beperken van shell-toegang. Zo moeten SSH- of Telnet-permissies voor alle non admin-accounts worden ingetrokken. Tevens moeten 'untrusted' services zoals de webserver worden uitgeschakeld en niet essentiële third-party applicaties worden verwijderd. Ook adviseert QNAP om het NAS-systeem niet direct vanaf het internet toegankelijk te maken. bron: https://www.security.nl

Honderden Ivanti-servers missen een beveiligingsupdate voor een kwetsbaarheid waar aanvallers actief misbruik van maken. Dat meldt The Shadowserver Foundation op basis van eigen onderzoek. Ivanti waarschuwde vorige week donderdag 7 mei voor een beveiligingslek in Ivanti Endpoint Manager Mobile (EPMM), aangeduid als CVE-2026-6973. Via de kwetsbaarheid kan een aanvaller met admin-toegang code op de server uitvoeren. Sinds wanneer het lek wordt misbruikt is onbekend. Ivanti Endpoint Manager Mobile is een mobile management software engine waarmee mobile device management (MDM) mogelijk is. Organisaties kunnen via deze oplossing de mobiele apparaten van hun medewerkers op afstand beheren, bijvoorbeeld als het gaat om toegestane applicaties of bepaald beleid. Een gecompromitteerde EPMM-server kan dan ook vergaande gevolgen hebben. Begin dit jaar werd bekend dat een ander lek was gebruikt om de Ivanti EPMM-servers van meerdere Nederlandse overheidsinstanties te hacken, waaronder de Autoriteit Persoonsgegevens en Raad voor de Rechtspraak. The Shadowserver Foundation is een stichting die zich onder andere bezighoudt met onderzoek naar kwetsbare systemen op internet. Op 8 mei voerde het een scan uit naar kwetsbare Ivanti EPMM-servers. Dat leverde 562 servers op die niet gepatcht waren. Gisteren werd de scan herhaald en was het aantal gedaald naar 362. Daarvan bevinden zich er nog vijf in Nederland. Het grootste aantal kwetsbare EPMM-servers werd waargenomen in Duitsland en de Verenigde Staten. bron: https://www.security.nl