Captain Kirk

Softwarebedrijf Ivanti heeft een beveiligingsupdate uitgebracht voor een kritieke cross-site scripting (XSS) kwetsbaarheid in Endpoint Manager (EPM) waardoor een ongeauthenticeerde aanvaller op afstand willekeurige JavaScript-code in de sessie van een ingelogde administrator kan uitvoeren. De impact van het beveiligingslek (CVE-2025-10573) is op een schaal van 1 tot en met 10 beoordeeld met een 9.6. Via Ivanti Endpoint Manager kunnen organisaties laptops, smartphones en servers beheren. Dit wordt gedaan door middel van de EPM-server die met een agent op beheerde clients communiceert. Een gecompromitteerde EPM-server of administrator-account kan dan ook vergaande gevolgen hebben. Ivanti EPM is in het verleden meerdere keren doelwit geweest van aanvallen waarbij misbruik werd gemaakt van kwetsbaarheden waar op het moment van de aanval nog geen beveiligingsupdate voor beschikbaar was. Via de JavaScript-code die een aanvaller via CVE-2025-10573 kan uitvoeren, is het mogelijk om allerlei acties binnen de EPM-omgeving uit te voeren. Volgens Ivanti zijn er geen aanwijzingen bekend dat aanvallers actief misbruik van CVE-2025-10573 maken. Misbruik van het Stored XSS-lek vereist interactie van gebruikers, maar verdere informatie wordt niet door Ivanti gegeven. De kwetsbaarheid werd gevonden door securitybedrijf Rapid7, dat meer informatie over het probleem heeft. Volgens Rapid7 kan een aanvaller via het lek de sessie van de ingelogde administrator overnemen. Om de malafide XSS-code in het web dashboard van de administrator te krijgen volstaat het versturen van een zogenaamde 'device scan'. Ivanti EPM biedt een API waarmee het informatie van gescande apparaten verwerkt. Een ongeauthenticeerde aanvaller kan aan deze API een speciaal geprepareerde scan aanbieden, inclusief de XSS-code, die automatisch wordt verwerkt en de onveilige code vervolgens in het dashboard van een ingelogde admin uitvoert. De enige vereist is dat de admin de pagina met apparaatinformatie bekijkt. bron: https://www.security.nl

Fortinet waarschuwt voor twee kritieke kwetsbaarheden in verschillende producten waardoor aanvallers de authenticatie van systemen kunnen omzeilen om hier zo toegang toe te krijgen. De beveiligingslekken (CVE-2025-59718 en CVE-2025-59719) bevinden zich in FortiOS, FortiProxy, FortiSwitchManager en FortiWeb. Volgens Fortinet wordt een cryptografische handtekening bij gebruik van de FortiCloud SSO login niet goed gecontroleerd. Via een speciaal geprepareerde SAML message kan een aanvaller de FortiCloud SSO login authenticatie omzeilen, als deze feature op het systeem staat ingeschakeld. Via de FortiCloud SSO login kunnen gebruikers via één set inloggegevens op verschillende Fortinet-producten inloggen. "De kwetsbaarheden stellen ongeauthenticeerde aanvallers in staat om toegang te krijgen tot de systemen door gebruik te maken van verschillende technieken, waaronder het omzeilen van FortiCloud SSO-login authenticatie via speciaal vervaardigde SAML-berichten, het behouden van actieve SSLVPN-sessies ondanks een wachtwoordwijziging, en het uitvoeren van ongeautoriseerde operaties via vervalste HTTP- of HTTPS-verzoeken. Dit kan leiden tot ongeautoriseerde toegang tot gevoelige API-gegevens en andere netwerkbronnen", zo laat het Nationaal Cyber Security Centrum (NCSC) weten. De impact van de twee kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.1. Fortinet merkt op dat de FortiCloud SSO login feature niet standaard staat ingeschakeld. Er zijn beveiligingsupdates beschikbaar gesteld om het probleem te verhelpen. Organisaties krijgen van Fortinet het advies om de FortiCloud login feature, totdat de update op het systeem is geïnstalleerd, uit te schakelen. bron: https://www.security.nl

Een kwetsbaarheid in Microsoft Outlook maakt het mogelijk voor aanvallers om op afstand code op de systemen van slachtoffers uit te voeren als die een malafide e-mail beantwoorden. Daarnaast kunnen twee kritieke kwetsbaarheden in Microsoft Office, die via e-mail zijn te misbruiken, ook tot remote code execution leiden. Dat laat Microsoft weten. Het techbedrijf heeft beveiligingsupdates voor de problemen beschikbaar gesteld. De kwetsbaarheid in Microsoft Outlook (CVE-2025-62562) was eerst als kritiek aangemerkt, maar Microsoft heeft dat inmiddels aangepast naar "important". Volgens de uitleg van Microsoft moet een aanvaller het doelwit een malafide e-mail sturen, waarna het doelwit deze e-mail moet beantwoorden. Dit kan tot een "Use after free" leiden waarna de aanvaller code op het systeem van de gebruiker kan uitvoeren. Verdere details zijn niet door Microsoft gegeven, behalve dat het techbedrijf misbruik van het probleem onwaarschijnlijk acht. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 7.8. Daarnaast kunnen twee kritieke kwetsbaarheden in Microsoft Office (CVE-2025-62554, CVE-2025-62557) ook tot remote code execution leiden. Misbruik kan ook via het Voorbeeldvenster (Preview Pane) plaatsvinden. Om deze twee beveiligingslekken te misbruiken moet een aanvaller het doelwit een e-mail sturen met daarin een malafide link. Daarbij hoeft het doelwit de e-mail niet te openen, te lezen of op de link te klikken om de aanvaller code op het systeem van het slachtoffer uit te laten voeren. Deze twee lekken hebben een impactscore van 8.4. Misbruik is volgens Microsoft "minder waarschijnlijk". "Het is de elfde maand op rij met een kritieke kwetsbaarheid in Office, waarbij het Voorbeeldvenster een aanvalsvector is", zegt Dustin Childs van securitybedrijf ZDI. Voor gebruikers van Office LTSC voor Mac 2021 en 2024 zijn nog geen beveiligingsupdates beschikbaar. Microsoft zegt dat die wel zullen verschijnen, maar laat niet weten wanneer dit precies zal zijn. De beveiligingsupdates van Microsoft zullen op de meeste systemen automatisch worden geïnstalleerd. bron: https://www.security.nl

Tijdens de patchdinsdag van december heeft Microsoft een actief aangevallen kwetsbaarheid in Windows verholpen waardoor een aanvaller die al toegang tot een systeem heeft SYSTEM-rechten kan krijgen. Het beveiligingslek (CVE-2025-62221) bevindt zich in de Windows Cloud Files Mini Filter Driver en is aanwezig in alle ondersteunde versies van Windows. Een aanvaller moet zoals gezegd al toegang tot een systeem hebben om misbruik van dit lek te kunnen maken. Dit soort kwetsbaarheden worden vaak gecombineerd met beveiligingslekken die remote code execution mogelijk maken, zo stelt Dustin Childs van securitybedrijf ZDI. De kwetsbaarheid werd door Microsoft zelf gevonden. Het techbedrijf geeft echter geen verdere details over de waargenomen aanvallen, zoals wie het doelwit was en hoe het lek precies werd misbruikt. De beveiligingsupdate voor CVE-2025-62221 zal op de meeste systemen automatisch worden geïnstalleerd. bron: https://www.security.nl

Mozilla heeft vandaag een nieuwe versie van Firefox gelanceerd die Windows-gebruikers de optie biedt om lokaal versleutelde back-ups van hun browsegegevens te maken. Het gaat dan bijvoorbeeld om bookmarks, geopende tabs en opgeslagen wachtwoorden en andere gegevens. Andere besturingssystemen zullen volgens de Firefox-ontwikkelaar snel volgen. De browser zal de back-ups, die met een wachtwoord kunnen worden versleuteld, dagelijks maken. Bij een schone installatie van Firefox kan de back-up vervolgens worden teruggezet en kan de gebruiker doorgaan alsof er niets is gebeurd, aldus de uitleg van Mozilla. De feature is op dit moment alleen beschikbaar voor Windows, maar komt op korte termijn beschikbaar voor andere systemen. Daarnaast zijn met Firefox 146 verschillende kwetsbaarheden verholpen. Updaten naar de nieuwste Firefox-versie kan via de automatische updatefunctie en Firefox.com. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kwetsbaarheid in de ssl vpn gateways van Array Networks, zo waarschuwt het Amerikaanse cyberagentschap CISA. Eerder kwam ook al de Japanse overheid met een waarschuwing. Via de gateway kunnen organisaties onder andere een vpn-verbinding voor hun medewerkers opzetten, zodat die toegang tot interne systemen en applicaties hebben. De gateway biedt een "DesktopDirect" functie waarmee medewerkers direct op hun werkstation kunnen inloggen. Een kwetsbaarheid in dit onderdeel maakt het mogelijk voor aanvallers om commando's op de gateway uit te voeren. Aanvallers gebruiken het beveiligingslek (CVE-2025-66644) voor het installeren van webshells. Via een webshell kan een aanvaller toegang tot een gecompromitteerd systeem behouden en verdere aanvallen uitvoeren. Array Networks kwam in mei met een beveiligingsupdate voor het probleem. Volgens het Computer Emergency Response Team Coordination Center van de Japanse overheid (JPCERT/CC) maken aanvallers sinds augustus misbruik van de kwetsbaarheid. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security waarschuwt nu ook voor misbruik. Een jaar geleden liet het Amerikaanse cyberagentschap weten dat aanvallers een ander Array-lek bij aanvallen hadden ingezet. bron: https://www.security.nl

De Duitse overheid is kritisch op de in Google Chrome ingebouwde wachtwoordmanager, omdat het techbedrijf in theorie bij opgeslagen inloggegevens kan. Het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, deed samen met FZI Research Center for Information Technology onderzoek naar tien verschillende wachtwoordmanagers. Bij drie van de tien onderzochte wachtwoordmanagers kan de aanbieder in theorie bij de opgeslagen wachtwoorden, zo stellen de onderzoekers. Naast de Google Chrome Password Manager gaat het ook om mSecure-Password Manager en PassSecurium. In het geval van SecureSafe PasswordManger en S-Trust Password Manger is het volgens de Duitse autoriteiten niet te beoordelen of de aanbieders toegang hebben. Bij 1 Password, Avira Password Manager, Keepass2 Android, KeePassXC en Mozilla Firefox Password Manager hebben de aanbieders geen toegang, aldus de onderzoekers. In het geval een aanbieder in theorie toegang tot opgeslagen wachtwoorden heeft, vergroot dit het aanvalsoppervlak en moeten er aanvullende maatregelen worden getroffen. "Gebruikers moeten deze aanvullende maatregelen vertrouwen. Als de wachtwoordmanager data in de cloud opslaat, moeten gebruikers uitzoeken waar de opslaglocatie zich bevindt en het beschermingsniveau dat de leverancier biedt", aldus het BSI. In het geval van Google Chrome heeft het techbedrijf volgens de Duitse overheid toegang wanneer synchronisatie is ingeschakeld en er geen passphrase wordt gebruikt. Het BSI laat aanvullend weten dat Google heeft bevestigd dat het in geval van de synchronisatiemodus toegang kan hebben. "Gebruikers moeten bij het synchroniseren via hun Google-account in de instellingen een eigen passphrase instellen. Voordat ze een andere modus gebruiken moeten gebruikers bepalen of ze de leverancier voldoende vertrouwen", adviseert de Duitse overheidsdienst. Ondanks de tekortkomingen die er volgens het BSI zijn, is het belangrijk dat mensen password managers blijven gebruiken. "De aanbeveling is duidelijk: wachtwoordmanagers zijn een essentiële tool en kunnen voor veel gebruikers een belangrijke hulp in hun digitale leven zijn." Met het nu gepubliceerde onderzoek kunnen gebruikers kijken welke wachtwoordmanagers aan hun eisen voldoen, zo laat het BSI afsluitend weten. bron: https://www.security.nl

Er is mogelijk geen oplossing voor prompt injection-aanvallen tegen AI-systemen wat tot een golf van datalekken kan leiden, zo waarschuwt het Britse National Cyber Security Centre (NCSC) vandaag. "Het beste waarop we kunnen hopen is de kans op of de impact van aanvallen te beperken", zo meldt de overheidsinstantie in een blogposting. Bij prompt injection weet een aanvaller door middel van één of meerdere specifieke opdrachten een AI-systeem informatie te laten geven, of acties uit te voeren, dat het eigenlijk niet zou moeten geven of doen. "Wanneer je een large language model (LLM) een prompt geeft, begrijpt het niet de tekst zoals een mens doet. Het voorspelt gewoon op basis van de tekst op dat moment het meest waarschijnlijke volgende token. Aangezien er geen inherent onderscheid is tussen 'data' en 'instructie', is het zeer goed mogelijk dat prompt injection-aanvallen nooit helemaal worden opgelost op de manier zoals dat bij SQL injection-aanvallen kan", laat het Britse NCSC weten. Daar komt bij dat prompt injection een relatief nieuwe klasse van kwetsbaarheden is, die nog niet goed wordt begrepen, zelfs niet door ervaren webontwikkelaars, aldus de overheidsinstantie. Volgens het Britse NCSC is het daarom belangrijk dat zowel ontwikkelaars als organisaties zich bewust zijn van dit probleem. Daarnaast moeten securityteams beseffen dat prompt injection-aanvallen altijd aanwezig zullen zijn en niet volledig zijn te verhelpen met een product of appliance. Verder wijst het Britse NCSC op het veilig ontwerpen van AI-systemen en verschillende technieken waardoor de kans dat een LLM onbedoeld instructies uitvoert worden beperkt. "De vergelijking van prompt injection met SQL injection is verleidelijk, maar het is ook gevaarlijk. SQL injection kan met geparametriseerde queries worden verholpen, maar er is een goede kans dat prompt injection nooit op dezelfde manier zal worden verholpen. Het beste waarop we kunnen hopen is het verkleinen van de kans op of de impact van aanvallen." SQL injection is een probleem dat al sinds de vorige eeuw bekend is en nog altijd voorkomt omdat ontwikkelaars niet veilig programmeren of hun applicaties laten testen. Nog altijd vinden er datalekken en andere beveiligingsincidenten als gevolg van SQL injection plaats. De Britse overheidsinstantie waarschuwt dat een soortgelijk probleem zich met prompt injection kan voordoen, doordat aan steeds meer systemen AI wordt toegevoegd. "Als die applicaties niet met prompt injection in het achterhoofd zijn ontwikkeld, kan een soortgelijke golf van datalekken volgen." bron: https://www.security.nl

Meta komt na een miljoenenboete die het eerder dit jaar kreeg opgelegd met een optie voor minder gepersonaliseerde reclame op Facebook en Instagram, zo laat de Europese Commissie vandaag weten. Brussel gaf het Amerikaanse techbedrijf in april een boete van 200 miljoen euro wegens het overtreden van de Digital Markets Act (DMA) met het 'betaal of oké' model op Facebook en Instagram. Onder de DMA moeten poortwachters zoals Meta toestemming aan gebruikers vragen voor het combineren van hun persoonlijke data tussen verschillende diensten. Gebruikers die geen toestemming geven moeten nog steeds toegang tot een minder gepersonaliseerd maar gelijkwaardig alternatief hebben. Eind 2023 kwam Meta het 'betaal of oké' model. Als onderdeel van dit model moeten gebruikers van Facebook of Instagram een maandelijks bedrag per maand per account betalen. Gebruikers die dit bedrag niet kunnen of willen betalen, gaan er automatisch mee akkoord dat ze worden gevolgd en hun persoonlijke gegevens voor gerichte advertenties worden gebruikt. Vorig jaar stelde de Europese Commissie dat dit model in strijd is met de DMA-wetgeving. Volgens Brussel gaf het model gebruikers niet de verplichte specifieke keuze voor een dienst die minder van hun persoonlijke data gebruikt, maar verder gelijk is aan de dienst met de gepersonaliseerde advertenties. Het model van Meta zorgt ervoor dat gebruikers niet hun recht kunnen uitoefenen om vrijelijk toestemming te geven voor het combineren van hun persoonlijke data. Nu meldt de Europese Commissie dat gebruikers straks de optie krijgen om minder persoonlijke data te delen en zo minder gepersonaliseerde advertenties te krijgen. De optie zal volgende maand aan gebruikers in de EU worden aangeboden. Brussel geeft geen verdere informatie over de persoonlijke gegevens die Meta wel zal blijven verzamelen. De Europese burgerrechtenbeweging EDRi had felle kritiek op de boete van de Europese Commissie, die het veel te laag vond. "Wij maken ons zorgen over de lage boetes, een schijntje voor Big Tech-bedrijven zoals Meta en Apple, zoals een recent onderzoek laat zien. Beide bedrijven hebben een verleden van het spelen van compliance-spelletjes met toezichthouders, waarbij ze het slechts als een formaliteit beschouwen." bron: https://www.security.nl

De grote Cloudflare-storing die zich vorige week voordeed, en waardoor allerlei websites en diensten onbereikbaar waren, werd volgens het internetbedrijf veroorzaakt door een aanpassing die het wegens een kwetsbaarheid in React Server Components doorvoerde. Afgelopen vrijdag zorgde de storing ervoor dat ongeveer een half uur lang allerlei websites de foutmelding "500 Internal Server Error - cloudflare" gaven. Een paar weken geleden zorgde een ander probleem bij Cloudflare ervoor dat websites urenlang onbereikbaar waren. Cloudflare biedt verschillende diensten, waaronder firewalling en load balancing. De Web Application Firewall (WAF) van het internetbedrijf inspecteert HTTP requests die websites ontvangen op de aanwezigheid van malicious code. Hiervoor wordt de inhoud van het HTTP request door de Cloudflare-proxy gebufferd, waarna de inspectie plaatsvindt. Cloudflare heeft hiervoor een buffergrootte van 128KB gereserveerd. Vorige week waarschuwden overheidsdiensten en security- en techbedrijven voor een kritieke kwetsbaarheid in React Server Components. React is een zeer populaire library voor het ontwikkelen van gebruikersinterfaces voor webapplicaties. Daarnaast is het onderdeel van verschillende andere development frameworks, waaronder Next.js. Een kritiek beveiligingslek (CVE-2025-55182, React2Shell) in React Server Components zorgt ervoor dat een aanvaller door het versturen van speciaal geprepareerde HTTP requests code op de onderliggende server kan uitvoeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Naar aanleiding van de kwetsbaarheid besloot Cloudflare de buffergrootte aan te passen naar 1MB. Tijdens de uitrol van deze aanpassing werd ontdekt dat de interne WAF-testtool van Cloudflare deze aangepaste buffergrootte niet ondersteunde. Volgens Cloudflare was deze interne testtool op dat moment niet nodig en had geen impact op het verkeer van klanten. Daarop werd de testtool uitgeschakeld. Het uitschakelen van de testtool zorgde bij één van de Cloudflare-proxies voor een "error state", waardoor websites van klanten de 500 HTTP error foutmelding gaven. Na een klein half uur werd het probleem verholpen. Cloudflare zegt dat het deze week met uitgebreide informatie komt over de maatregelen die het gaat nemen om toekomstige storingen te voorkomen. Deze maatregelen waren deels al na de grote storing van november genomen. Zolang deze activiteiten niet zijn afgerond zegt Cloudflare geen aanpassingen aan het netwerk door te voeren. bron: https://www.security.nl

Tienduizenden ip-adressen wereldwijd zijn kwetsbaar voor een kritiek beveiligingslek in React Server Components, ook wel bekend als CVE-2025-55182 en React2Shell, zo meldt The Shadowserver Foundation op basis van eigen onderzoek. In Nederland gaat het om ruim vijfhonderd ip-adressen. Daarnaast zouden inmiddels tientallen organisaties wereldwijd zijn gecompromitteerd, aldus securitybedrijven. React is een zeer populaire library voor het ontwikkelen van gebruikersinterfaces voor webapplicaties. Daarnaast is het onderdeel van verschillende andere development frameworks, waaronder Next.js. CVE-2025-55182 bevindt zich in React Server Components, dat het mogelijk maakt voor ontwikkelaars om React-applicaties te ontwikkelen waarvan het grootste deel op de server draait, wat onder andere voor betere prestaties en security zou moeten zorgen. Door het versturen van speciaal geprepareerde HTTP requests naar een kwetsbare React-versie kan een aanvaller code op de onderliggende server uitvoeren. Vorige week werd de kwetsbaarheid bekendgemaakt en beveiligingsupdates beschikbaar gesteld. Ook is er inmiddels proof-of-concept exploitcode online verschenen. The Shadowserver Foundation doet onderzoek naar kwetsbare systemen op internet en detecteerde op 5 december ruim 77.000 kwetsbare ip-adressen. Dat aantal is inmiddels gedaald naar 29.000, waarvan meer dan vijfhonderd in Nederland. De Verenigde Staten is met tienduizend kwetsbare ip-adressen koploper. Securitybedrijven Palo Alto Networks en Wiz laten weten dat inmiddels meerdere organisaties via de kwetsbaarheid zijn gecompromitteerd. Het zou om enkele tientallen slachtoffers gaan. Eerder had Amazon al laten weten dat het een aantal uren na bekendmaking van de kwetsbaarheid de eerste aanvalspogingen had waargenomen. "Helaas, kunnen wij als NCSC niet uitsluiten dat jouw organisatie al getroffen is. De kwetsbaarheid is immers al minstens twee dagen misbruikt. Kortom, volg het handelingsperspectief zo spoedig mogelijk op en contacteer ons als je sporen van misbruik aantreft", zo laat het Nationaal Cyber Security Centrum (NCSC) weten in een update op een eerder uitgebrachte blogpost over het probleem. bron: https://www.security.nl

OpenAI heeft persoonlijke gegevens en metadata van een niet nader genoemd aantal API-gebruikers gelekt, nadat aanvallers wisten in te breken op systemen van analyticsprovider Mixpanel. Dat bedrijf kwam zelf ook met een waarschuwing voor het datalek, waar gebruikers zeer kritisch op reageerden. OpenAI heeft Mixpanel inmiddels van het eigen platform verwijderd. Mixpanel biedt analytics-software waarmee bedrijven kunnen zien hoe hun klanten en gebruikers hun producten en diensten gebruiken. OpenAI gebruikte Mixpanel voor het eigen API-product. Via de OpenAI application programming interface (API) kunnen gebruikers de AI-modellen van OpenAI voor hun eigen doeleinden gebruiken, bijvoorbeeld voor gebruik in een app. Via Mixpanel werd allerlei informatie over API-gebruikers vastgelegd. Door de inbraak bij Mixpanel hebben de aanvallers toegang gekregen tot namen, e-mailadressen, locatiegegevens, gebruikt besturingssysteem en browser, referring websites en ID's van gebruikers of organisaties die aan het API-account waren gekoppeld. OpenAI zegt dat Mixpanel op 9 november ontdekte dat het was gehackt. Het bedrijf zegt zelf dat het dit op 8 november ontdekte. Vervolgens werd OpenAI op 25 november door Mixpanel geïnformeerd dat er data van OpenAI-gebruikers was gestolen. OpenAI waarschuwt slachtoffers van het datalek dat gestolen informatie voor social engineering- of phishingaanvallen kan worden gebruikt. De chatbot-ontwikkelaar laat verder weten dat het bezig is om slachtoffers te informeren en de analyticsdienst van Mixpanel inmiddels van het eigen platform heeft verwijderd. Mixpanel is zelf met een vrij summier bericht gekomen waarin het stelt dat het op 8 november een "smishing-campagne" ontdekte en daarna de response-processen inschakelde. Verdere informatie wordt niet gegeven, behalve dat getroffen klanten inmiddels zijn ingelicht. Op Hacker News reageren gebruikers kritisch op het bericht van Mixpanel, dat net voor een grote vakantiedag in de Verenigde Staten is uitgebracht, terwijl het bedrijf al sinds 8 november op de hoogte was. Daarnaast wordt ook het ontbreken van informatie gehekeld. bron: https://www.security.nl

Asus waarschuwt voor een kritieke kwetsbaarheid in AiCloud, waardoor een ongeauthenticeerde aanvaller op afstand toegang tot routers kan krijgen. Er zijn firmware-updates uitgebracht om het probleem te verhelpen. Voor routers die end-of-life zijn en niet meer worden ondersteund adviseert Asus om de AiCloud-service uit te schakelen. Via AiCloud kunnen gebruikers vanaf het internet lokale bestanden benaderen op apparaten die met de Asus-router zijn verbonden. Een kritieke kwetsbaarheid in AiCloud, aangeduid als CVE-2025-59366, maakt een "authentication-bypass" mogelijk. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.2. Het probleem is verholpen in firmware 3.0.0.4_386, 3.0.0.4_388 en 3.0.0.6_102. Welke routermodellen risico lopen laat Asus niet weten. Vorige week werd bekend dat duizenden end-of-life Asus-routers via oudere kwetsbaarheden in de AiCloud-service door aanvallers zijn gecompromitteerd. bron: https://www.security.nl

Aanvallers maken gebruik van malafide Blender-bestanden voor het verspreiden van malware die wachtwoorden en andere inloggegevens van systemen steelt. Dat laat securitybedrijf Morphisec weten. Eerder werden de malafide .blend-bestanden al opgemerkt door gebruikers van Reddit en beveiligingsonderzoekers. Blender is populaire gratis opensourcesoftware voor het maken van 3D-modellen. Er zijn allerlei websites, zoals CGTrader, waar Blender-gebruikers gratis modellen voor hun projecten kunnen downloaden. Op verschillende van deze websites hebben aanvallers malafide Blender-bestanden geplaatst. Zodra Blender-gebruikers deze bestanden openen wordt geprobeerd om malafide Python-script uit te voeren dat in de achtergrond malware downloadt en uitvoert. Blender zal het script standaard uitvoeren als gebruikers de "Auto Run" optie voor Python-scripts hebben ingeschakeld. Anders verschijnt er een venster waarin gebruikers wordt gevraagd om het script uit te voeren. Het malafide script installeert de StealC-malware, aldus Morphisec. Dit is infostealer-malware die inloggegevens uit browsers, plug-ins en extensies kan stelen. Ook steelt de malware informatie uit cryptowallets, chatapps, vpn-software en e-mailclient Thunderbird. Blender-gebruikers wordt geadviseerd om Auto Run uitgeschakeld te houden, tenzij de bron van het bestand wordt vertrouwd. bron: https://www.security.nl

Honderden Monsta FTP-clients die vanaf het internet toegankelijk zijn bevatten een kritieke kwetsbaarheid waardoor ongeauthenticeerde aanvallers op afstand code op systemen kunnen uitvoeren. Dat laat The Shadowserver Foundation op basis van eigen onderzoek weten. Een beveiligingsupdate is sinds 26 augustus beschikbaar, maar de ontwikkelaars hebben bij de release van de update geen melding van het beveiligingslek gemaakt, zo stelt securitybedrijf watchTowr Monsta FTP is een webgebaseerde ftp-client. Het kritieke beveiligingslek, aangeduid als CVE-2025-34299, zorgt ervoor dat aanvallers vanaf een malafide ftp-server willekeurige bestanden naar kwetsbare clients kunnen uploaden. De client plaatst het bestand vervolgens in een door de aanvaller opgegeven locatie. Zo is het mogelijk om malware op het systeem te laten uitvoeren. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. De kwetsbaarheid is verholpen in versie 2.11.3, die op 26 augustus verscheen, aldus onderzoekers van securitybedrijf watchTowr. Bij de beschrijving van deze versie staat "minor bugs and fixes" en "no extended notes for release". Bij de release notes van versie 2.11.1, die op 15 augustus uitkwam, staat dat er een kwetsbaarheid met betrekking tot "file fetch" is verholpen. Dit is het onderdeel waar onderzoekers de kwetsbaarheid in vonden. Hoewel een beveiligingsupdate al maanden beschikbaar is, blijken er nog honderden kwetsbare clients vanaf internet toegankelijk te zijn. Volgens watchTowr zijn er op elk gegeven moment meer dan vijfduizend installaties te vinden. Volgens The Shadowserver Foundation waren er afgelopen zondag nog zo'n achthonderd van deze installaties kwetsbaar voor CVE-2025-34299. Daarvan bevonden zich er dertien in Nederland. bron: https://www.security.nl