Captain Kirk

Op internet is een website verschenen waarop criminelen beweren één miljard records uit de databases van Salesforce-klanten te hebben gestolen, waaronder KLM, Cisco en McDonald's. Meer dan honderd Salesforce-installaties van grote bedrijven zijn getroffen, aldus de aanvallers. Bedrijven die op de website worden genoemd hebben tot 10 oktober om losgeld te betalen, anders dreigen de aanvallers de vermeende gestolen data openbaar te maken. De afgelopen maanden wisten aanvallers via telefonische phishingaanvallen en gestolen tokens bij softwarebedrijf Salesloft toegang tot allerlei Salesforce-omgevingen te krijgen. Salesforce is een veelgebruikte leverancier van Customer Relationship Management (CRM) software. Via CRM-systemen houden bedrijven allerlei informatie over klanten en potentiële klanten bij. Op de lijst van de aanvallers staan ook namen van bedrijven die de afgelopen maanden wel een datalek rapporteerden, maar waarbij niet werd genoemd dat het om Salesforce ging. Zo waarschuwde KLM begin augustus voor een datalek waarbij aanvallers via een niet nader genoemd "extern platform", dat de luchtvaartmaatschappij voor de klantenservice gebruikt, toegang tot klantgegevens wisten te krijgen. Beveiligingsonderzoekers merken op dat het nog niet zeker is of de website ook daadwerkelijk is van de aanvallers die achter de Salesforce-aanvallen zouden zitten, maar het hier wel op lijkt. bron: https://www.security.nl

Microsoft is wegens veiligheidsredenen gestopt met het weergeven van inline SVG-afbeeldingen in Outlook voor Web en de nieuwe Outlook voor Windows. Volgens het techbedrijf moet dit onder andere cross-site scripting (XSS) aanvallen voorkomen. In plaats van de inline SVG-afbeelding zal de e-mailclient nu een lege ruimte weergeven waar normaliter de afbeelding zou worden getoond. In tegenstelling tot JPEG- of PNG-afbeeldingen zijn Scalable Vector Graphics (SVG) afbeeldingen geschreven in XML en ondersteunen JavaScript en HTML. Aanvallers kunnen hier misbruik van maken door scripts toe te voegen met links naar phishingsites. Het afgelopen jaar waarschuwden verschillende antivirus- en securitybedrijven voor phishingaanvallen waarbij deze functionaliteit werd gebruikt. "Omdat SVG-afbeeldingen binnen een browser worden weergeven, kunnen ze ook anchor tags bevatten, scripts en andere soorten actieve webcontent. Op deze manier hebben aanvallers het bestandsformaat misbruikt. De SVG-bestanden gebruikt in de aanvallen bevatten soms instructies om eenvoudige vormen weer te geven, zoals rechthoeken, maar bevatten ook een anchor tag die naar een ergens anders gehoste website linkt", aldus antivirusbedrijf Sophos. Wanneer iemand de SVG-afbeelding in de e-mail opent wordt vervolgens door de browser de phishingpagina geladen. Volgens Microsoft heeft de maatregel nauwelijks impact op gebruikers. Minder dan 0,1 procent van alle afbeeldingen die via Outlook worden weergegeven zijn SVG-afbeeldingen, aldus het techbedrijf. Daarnaast zullen SVG-beeldingen die als normale bijlage worden meegestuurd nog wel worden ondersteund en weergegeven. bron: https://www.security.nl

Red Hat meldt inbraak op GitLab-omgeving en diefstal van data Aanvallers zijn erin geslaagd om in te breken op een GitLab-omgeving van Red Hat en hebben daarbij data gestolen, mogelijk ook van klanten, zo heeft het bedrijf bekendgemaakt. Eerder deze week claimden criminelen 570 gigabyte aan data uit 28.000 private GitHub-repositories van Red Hat te hebben gestolen. Het zou naast inloggegevens, vpn-profielen, CI/CD secrets, pipeline configuraties en infrastructure blueprints ook om Customer Engagement Reports (CERs) gaan, die gevoelige informatie over de omgevingen van klanten kunnen bevatten. Red Hat laat nu in een blogposting weten dat er is ingebroken op een GitLab instance, waar Red Hat Consulting gebruik van maakt voor interne samenwerking. Het onderzoek is nog gaande, maar vaststaat dat de aanvallers gegevens hebben gekopieerd. De betreffende GitLab instance bevat "consulting engagement data", zoals projectspecificaties, code en interne communicatie over consultancydiensten. Volgens Red Hat heeft de inbraak voor zover nu bekend geen gevolgen voor andere Red Hat services en producten, waaronder de software supply chain of het downloaden van Red Hat software via officiële kanalen. Red Hat zegt dat het klanten zal informeren van wie gegevens zijn gestolen. Hoe de inbraak mogelijk was laat Red Hat niet weten. Welk stelt het bedrijf aanvullende beveiligingsmaatregelen te hebben genomen. bron: https://www.security.nl

DrayTek heeft een kwetsbaarheid in Vigor-routers verholpen die in het ergste geval remote code execution mogelijk maakt. Een ongeauthenticeerde aanvaller kan misbruik van het beveiligingslek maken door speciaal geprepareerde HTTP en HTTPS requests naar de Web User Interface (WebUI) van de router te sturen. Bij een succesvolle aanval zal het systeem crashen en kan een aanvaller in bepaalde gevallen ook op afstand code op het apparaat uitvoeren. "Routers zijn beschermd tegen WAN-gebaseerde aanvallen wanneer remote toegang tot de WebUI en SSL VPN services is uitgeschakeld, of wanneer Access Control Lists (ACL's) goed zijn geconfigureerd", aldus DrayTek. "Desondanks kan een aanvaller met toegang tot het lokale netwerk het lek nog steeds via de WebUI misbruiken." Via de WebUI kunnen gebruikers de router beheren en configureren. Toegang vanaf het lokale netwerk tot de WebUI is bij sommige Vigor-modellen door middel van VLAN's en ACL's in te stellen. DrayTek werd op 22 juli over het beveiligingslek (CVE-2025-10547) ingelicht en kwam gisteren met updates. Verdere details over het probleem zijn niet bekendgemaakt. Gebruikers worden opgeroepen om naar de laatste firmware-versie te updaten. bron: https://www.security.nl

Phishing en misbruik van kwetsbaarheden zijn de twee meest gebruikte methodes voor het aanvallen van systemen, zo laat het Europese cyberagentschap ENISA in het jaarlijkse Threat Landscape rapport weten. Het rapport is gebaseerd op bijna vijfduizend incidenten, afkomstig uit open bronnen, geanonimiseerde informatie van EU-lidstaten en deelnemers aan het ENISA Cyber Partnership-programma. Van de incidenten waarvan de initiële aanvalsvector kon worden achterhaald, bleek het in zestig procent van de gevallen om phishing te gaan. Het gaat dan niet alleen om phishingmails, maar ook om telefonische phishing en mails met besmette bijlagen. Bij 21 procent van de incidenten waarvan de oorzaak bekend was bleek dat de aanvallers misbruik hadden gemaakt van kwetsbaarheden. Het gebruik van gecompromitteerde of getrojaniseerde software was goed voor acht procent van de incidenten waarbij de aanvalsvector bekend was. De gevolgen van de waargenomen phishingaanvallen zijn in veel gevallen onduidelijk. Zo was bij 73 procent van de phishing-incidenten de impact onbekend. In 27 procent van de gevallen stond vast dat er ook daadwerkelijk op een account of systeem was ingebroken. Bij ongeveer een kwart van de phishingaanvallen wordt malware geïnstalleerd, wat volgens ENISA aantoont dat deze aanvalsvector voor andere doeleinden wordt gebruikt dan de installatie van malware. Wanneer aanvallers misbruik van kwetsbaarheden maken leidt dit veel vaker tot een bevestigde inbraak. Zeventig procent van de aanvallen via een beveiligingslek leidde tot een vastgestelde "intrusion" en in de meeste gevallen installeren de aanvallers dan malware. ENISA zag bij de onderzochte incidenten voornamelijk ransomware geïnstalleerd worden. Het Europese cyberagentschap noemt ransomware dan ook de meest impactvolle dreiging in de EU. bron: https://www.security.nl

Criminelen claimen 570 gigabyte aan data uit private GitHub-repositories van Red Hat te hebben gestolen. Het zou naast inloggegevens, vpn-profielen, CI/CD secrets, pipeline configuraties en infrastructure blueprints ook om Customer Engagement Reports (CERs) gaan, die gevoelige informatie over de omgevingen van klanten kunnen bevatten. Volgens de criminelen is de gestolen data uit 28.000 repositories afkomstig. De aanvallers claimen ook bij verschillende klanten van Red Hat te hebben ingebroken, zo blijkt uit screenshots die beveiligingsonderzoeker Kevin Beaumont op Mastodon deelde. In een reactie tegenover Bleeping Computer laat Red Hat weten dat het bekend is met meldingen van een beveiligingsincident met betrekking tot de consultancy-afdeling van het bedrijf en dat de noodzakelijk herstelmaatregelen zijn genomen. Daarnaast stelt het bedrijf dat het beveiligingsprobleem geen andere diensten of producten raakt. Verdere details zijn niet gegeven en ook de claim van de aanvallers is niet door Red Hat bevestigd. bron: https://www.security.nl

Burgerrechtenbeweging Bits of Freedom heeft het kort geding gewonnen dat het tegen Meta had aangespannen over profilerende tijdlijnen op Instagram en Facebook. Meta moet van de rechter binnen twee weken aanpassingen aan de apps doorvoeren zodat de keuze van de gebruiker behouden blijft, ook als de gebruiker naar een andere sectie navigeert of de app herstart. Volgens Bits of Freedom moeten gebruikers onder de Digital Services Act (DSA) kunnen kiezen voor een tijdlijn die niet op gebruikersprofielen is gebaseerd, zoals een tijdlijn met alleen de content van mensen en organisaties die zij zelf volgen, op chronologische volgorde. "Meta geeft gebruikers niet de optie deze standaard als voorkeur in te stellen. Bovendien maakt Meta het onnodig lastig deze tijdlijn te vinden en te gebruiken. Dit is in strijd met de DSA", aldus de burgerrechtenbeweging. De burgerrechtenbeweging stelt dat grote platformen bij het bepalen van welke content gebruikers te zien krijgen, hun eigen belangen voorop stellen, namelijk het verkopen van zoveel mogelijk advertenties op basis van interesses en het gedrag van gebruikers. De rechtbank Amsterdam heeft nu geoordeeld dat Meta, met de manier waarop het Facebook- en Instagram-gebruikers een niet-geprofileerd aanbevelingssysteem laat kiezen, op een aantal onderdelen de DSA overtreedt. "Op die onderdelen zullen de platforms moeten worden aangepast. ter bescherming van de autonomie en keuzevrijheid van gebruikers van deze platforms", aldus het vonnis. Wanneer gebruikers voor een niet-geprofileerd aanbevelingssysteem kiezen moeten ze deze keuze steeds opnieuw instellen. "Aannemelijk is dat deze praktijk tot keuzemoeheid van gebruikers leidt en daarmee een wezenlijke verstoring vormt van de autonomie van de gebruikers van Facebook en Instagram. Deze functionaliteit van de platforms betreft dan ook een door de DSA verboden donker patroon", laat de rechter weten. De rechter merkt ook op dat de keuze van gebruikers voor een niet-geprofileerd aanbevelingssysteem persistent moet zijn. De keuze moet behouden blijven totdat de gebruiker die wijzigt. "De functionaliteit die Facebook en Instagrarn op dit moment bieden voor het kiezen van een niet-geprofleerd aanbevelingssysteem is niet persistent en dus in strijd met de DSA." “We zijn blij dat de rechter nu duidelijk maakt dat Meta de keuze van de gebruiker moet respecteren," zegt Maartje Knaap, woordvoerder bij Bits of Freedom. Knaap voegt toe dat de uitspraak een druppel op een gloeiende plaat is. "Er is nog zoveel meer nodig. We hopen daarom dat de uitspraak een hart onder de riem is voor alle individuen, organisaties in het maatschappelijk middenveld, toezichthouders en wetgevers wereldwijd die macht van Meta proberen in te perken." bron: https://www.security.nl

Gmail stopt vanaf 1 januari volgend jaar de ondersteuning van third-party e-mailaccounts via POP, zo heeft Google aangekondigd. Daarnaast zal de optie "Check mail from other accounts" uit de desktopversie van Gmail verdwijnen. Gebruikers kunnen dan niet meer via het Post Office Protocol (POP) binnen Gmail e-mail voor andere accounts ophalen. In tegenstelling tot IMAP (Internet Message Access Protocol) wordt bij POP de e-mail van de mailserver op het lokale systeem gedownload. Google claimt mede wegens veiligheidsredenen binnen Gmail te stoppen met de support van POP voor third-party e-mailaccounts, maar geeft geen verdere details. Gebruikers die third-party accounts binnen Gmail willen blijven gebruiken krijgen het advies van Google om deze accounts aan de mobiele Gmail-app toe te voegen. Daarnaast moet er dan gebruik worden gemaakt van IMAP. Veel gebruikers zijn niet blij met deze aankondiging, zo blijkt uit reacties op Hacker News en Reddit. bron: https://www.security.nl

Onderzoekers van de KU Leuven en de universiteit van Birmingham hebben een fysieke aanval tegen beveiligde cloudservers gedemonstreerd, waarbij ze via een zelfgebouwde hardwaremodule vertrouwelijke gegevens kunnen onderscheppen. Bij de aanval, met de naam Battering RAM, weten de onderzoekers beveiligingstechnologieën zoals Intel Software Guard Extensions (SGX) en AMD Secure Encrypted Virtualization (SEV-SNP) te omzeilen. Verschillende cloudproviders maken gebruik van ‘confidential computing’-technologieën, waarbij gegevens op hardwareniveau zijn beschermd, ook tegen de cloudprovider. Intels SGX en de SEV-SNP van AMD moeten voorkomen dat aanvallers via een gecompromitteerde host, malafide cloudprovider of kwaadwillende medewerker toegang tot gevoelige gegevens krijgen. De onderzoekers bouwden voor de aanval een goedkope geheugeninterposer: een kleine printplaat die tussen de processor en het geheugen wordt geplaatst. Door subtiele manipulatie van de elektrische signalen tussen deze onderdelen verkrijgt de interposer toegang tot geheugenlocaties die normaal gesproken beschermd zijn. Zo kunnen de aanvallers plaintext toegang tot SGX-beveiligd geheugen krijgen. Daarbij wordt de ontwikkelde module niet opgemerkt tijdens het opstarten van het systeem. De onderzoekers waarschuwen dat het probleem niet eenvoudig op te lossen is, aangezien de kwetsbaarheid niet in de software, maar in de hardware-architectuur zelf zit. Zolang een aanvaller fysieke toegang heeft tot het moederbord, bijvoorbeeld via onderhoudspersoneel in datacenters of via grootschalige overheidssurveillance, kan een dergelijke aanval worden uitgevoerd zonder sporen na te laten. Op de vraag hoe realistisch deze fysieke aanvalsvector is merken de onderzoekers op dat er allerlei scenario's zijn waarin dit mogelijk is. Als voorbeeld noemen ze malafide medewerkers van de cloudprovider, technici van het datacenter of schoonmaakpersoneel, opsporingsdiensten die toegang tot het systeem krijgen of tijdens de logistieke keten, waarbij systemen tijdens de verzending worden onderschept of tijdens de productie van het geheugen worden aangepast. Het apparaatje dat de onderzoekers ontwikkelden kost minder dan 50 dollar. Vooralsnog werkt de module alleen tegen DDR4-geheugen. De onderzoekers merken op dat DDR5 de aanval lastiger maakt, maar het onderliggende probleem niet verhelpt. Zowel Intel als AMD werden van tevoren ingelicht en zijn met beveiligingsbulletins gekomen waarin ze beiden aangeven het probleem niet te zullen verhelpen, omdat die buiten de scope van het gepubliceerde dreigingsmodel valt. bron: https://www.security.nl

Western Digital heeft een kritieke kwetsbaarheid gepatcht die een aanvaller toegang tot My Cloud NAS-systemen kan geven. Gebruikers worden opgeroepen de update te installeren. My Cloud NAS-systemen bieden gebruikers de optie om bestanden op hun lokale NAS vanaf allerlei apparaten en het internet te benaderen. Een kwetsbaarheid in de firmware van My Cloud NAS-systemen zorgt ervoor dat een aanvaller door het versturen van een speciaal geprepareerde HTTP POST willekeurige systeemcommando's kan uitvoeren, aldus een beschrijving van het beveiligingslek, aangeduid als CVE-2025-30247. Volgens de CVE-beschrijving betreft de kwetsbaarheid command injection. WD spreekt in de release notes van remote code execution. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. Gebruikers worden opgeroepen om te updaten naar firmware versie 5.31.108. Verdere details over het beveiligingsprobleem zijn niet gegeven. bron: https://www.security.nl

Microsoft heeft gisterenavond de Windows 11 2025 Update gelanceerd die de komende maanden gefaseerd op Windows 11-systemen wordt geïnstalleerd. Volgens het techbedrijf is het een "security-focused" update. In een blogposting stelt Microsoft dat de 25H2-versie grote verbeteringen bevat op het gebied van de detectie van kwetsbaarheden. Daarnaast wordt er gebruik gemaakt van "AI assisted secure coding". Wat dat precies inhoudt laat Microsoft niet weten. Verder zijn met deze update verschillende legacy features verwijderd, waaronder PowerShell 2.0 en de Windows Management Instrumentation command-line (WMIC). Dit laatste onderdeel is in het verleden geregeld door aanvallers gebruikt voor 'living of the land' aanvallen, waarbij al aanwezige tooling bij een aanval wordt gebruikt. Microsoft brengt jaarlijks een grote feature-update uit voor Windows 11, die vervolgens twee jaar op de Home- en Pro-versies wordt ondersteund. De 25H2-versie van Windows 11 voor bedrijven en onderwijsinstellingen zal drie jaar lang updates ontvangen. bron: https://www.security.nl

Broadcom heeft een kwetsbaarheid in VMware gedicht die al een jaar bij aanvallen is gebruikt. Dat laat securitybedrijf Nviso in een analyse weten. Hoeveel organisaties slachtoffer van het beveiligingslek zijn geworden is onbekend. De kwetsbaarheid (CVE-2025-41244) maakt het mogelijk voor een lokale unprivileged gebruiker van een virtual machine (vm) om op dezelfde vm code als root uit te voeren. Volgens Nviso maakt een groep aanvallers genaamd UNC5174 sinds oktober vorig jaar misbruik van de kwetsbaarheid in VMware Aria Operations en VMware Tools. Broadcom omschrijft Aria Operations als het "controlecentrum voor de gehele it-infrastructuur". Het wordt onder andere gebruikt voor het monitoren van VMware- en multi-cloud-omgevingen. Nviso ontdekte CVE-2025-41244 afgelopen mei bij onderzoek naar een aanval UNC5174. Eind die maand werd het probleem aan Broadcom gerapporteerd, dat gisteren met beveiligingsupdates kwam. In het beveiligingsbulletin maakt Broadcom geen melding van actief misbruik. Nviso stelt dat aanvallers al sinds halverwege oktober 2024 de kwetsbaarheid bij aanvallen inzetten. Volgens verschillende bedrijven is UNC5174 een aan China gelieerde groep aanvallers. bron: https://www.security.nl

Bijna 49.000 Cisco-firewalls die vanaf het internet toegankelijk zijn bevatten twee actief aangevallen kwetsbaarheden waarvoor updates beschikbaar zijn. In Nederland gaat het om 817 devices, aldus The Shadowserver Foundation op basis van eigen onderzoek. Het Nationaal Cyber Security Centrum (NCSC) waarschuwde vorige week dat de beveiligingslekken in Cisco ASA-firewalls onmiddellijke aandacht van organisaties vereisen. De overheidsinstantie verwacht dat proof of concept exploits op zeer korte termijn beschikbaar komen, wat het risico op grootschalig misbruik vergroot. Het gaat om twee kwetsbaarheden aangeduid als CVE-2025-20333 en CVE-2025-20362, aanwezig in de Cisco Adaptive Security Appliance (ASA) en Secure Firewall Threat Defense (FTD) software. De software draait op allerlei netwerkapparaten van Cisco, die onder andere voor hun firewall- en vpn-functionaliteit worden gebruikt. CVE-2025-20333 maakt het mogelijk voor een aanvaller die over vpn-inloggegevens van een gebruiker beschikt om kwetsbare code als root uit te voeren en zo het apparaat volledig over te nemen. CVE-2025-20362 maakt het mogelijk voor een ongeauthenticeerde aanvaller om url endpoints met betrekking tot de remote access VPN te benaderen die normaliter alleen na authenticatie zijn te bezoeken. Door de twee kwetsbaarheden te combineren kan een ongeauthenticeerde remote aanvaller volledige controle over het apparaat krijgen. Aanvallers hebben deze twee beveiligingslekken bij de recent waargenomen aanvallen ingezet, aldus Cisco. Het netwerkbedrijf kwam op 25 september met updates en een beveiligingsbulletin. Het Amerikaanse cyberagentschap CISA kwam vanwege de aangevallen kwetsbaarheden met een "Emergency Directive" waarin Amerikaanse overheidsinstanties werden opgedragen om de updates binnen een dag te installeren. The Shadowserver Foundation is een stichting die geregeld onderzoek doet naar kwetsbare systemen op internet. Bij de laatste scan werd gezocht naar Cisco-firewalls die kwetsbaar zijn voor CVE-2025-20333 en CVE-2025-20362. Dat leverde 48.800 ip-adressen op. Ruim 19.000 daarvan bevinden zich in de Verenigde Staten. In Nederland gaat het om 817 ip-adressen. Organisaties die de updates nog niet hebben geïnstalleerd worden opgeroepen dit alsnog te doen. bron: https://www.security.nl

Het Amerikaanse cyberagentschap CISA waarschuwt voor actief misbruik van een kritieke kwetsbaarheid in Sudo. Via het beveiligingslek (CVE-2025-32463) kunnen lokale gebruikers rootrechten krijgen. In juni verschenen beveiligingsupdates voor het probleem en werden ook technische details van het probleem openbaar gemaakt. Sudo maakt het mogelijk om programma's uit te voeren met de rechten van een andere gebruiker. Het wordt vaak gebruikt om het "least privilege model" te implementeren door beheerderstaken te delegeren die verhoogde rechten vereisen, zonder dat daarbij het rootwachtwoord moet worden gedeeld. Daarnaast creëert het ook een auditspoor in de systeemlogs. Onderzoekers ontdekten dat het mogelijk is om Sudo een bepaald bestand (nsswitch.conf) uit een door een gebruiker gecontroleerde directory te laten gebruiken. "Het probleem ontstaat door een ongeprivilegieerde gebruiker toe te staan om chroot() aan te roepen op een schrijfbaar, onbetrouwbaar path onder hun controle. Sudo roept chroot() verschillende keren aan, ongeacht of de gebruiker een betreffende Sudo rule heeft geconfigureerd", aldus de onderzoekers. Het nsswitch.conf bestand bevat instructies voor het systeem hoe het informatie over gebruikers, groepen en hosts moet ophalen. Er zijn verschillende sources op te geven en de volgorde voor het doorzoeken, totdat er een match is. "Wat misschien niet meteen duidelijk is bij het lezen van het nsswitch.conf bestand is dat de naam van de source ook wordt gebruikt als het path voor een gedeeld object (library)", laten de onderzoekers verder weten. "Vanwege dit gedrag kan elke lokale gebruiker Sudo misleiden om een willekeurig gedeeld object te laden dat tot het uitvoeren van willekeurige code als root leidt." De MITRE Corporation beoordeelt de impact van de kwetsbaarheid op een schaal van 1 tot en met 10 met een 9.3. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security houdt een lijst van actief aangevallen kwetsbaarheden bij. Gisteren werd Sudo-kwetsbaarheid CVE-2025-32463 aan deze lijst toegevoegd. Verdere details over de waargenomen aanvallen zijn niet gegeven. Wel moeten Amerikaanse overheidsinstanties die van Sudo gebruikmaken de beveiligingsupdate voor 20 oktober hebben geïnstalleerd. Drie jaar geleden waarschuwde het CISA voor actief misbruik van een andere Sudo-kwetsbaarheid (CVE-2021-3156). bron: https://www.security.nl

Google heeft een gratis tool gelanceerd waarmee organisaties de aanwezigheid van de Brickstorm-backdoor op systemen kunnen detecteren. Volgens het techbedrijf is de malware ingezet door een spionagegroep genaamd UNC5221, die het onder andere heeft voorzien op juridisch dienstverleners, Software as a Service (SaaS) providers, Business Process Outsourcers (BPOs) en techbedrijven. Volgens Google weten de aanvallers met behulp van de Brickstorm-backdoor gemiddeld 393 dagen onopgemerkt op een bedrijfsnetwerk actief te blijven. Hoe de aanvallers precies toegang tot de netwerken van slachtoffers weten te krijgen is onbekend. In één geval staat vast dat er gebruik werd gemaakt van een kwetsbaarheid in de vpn-oplossing van Ivanti. De Brickstorm-backdoor is aangetroffen op Linux- en BSD-gebaseerde appliciances. Google stelt dat er bewijs is dat duidt op het bestaan van een Windowsversie van Brickstorm, maar deze versie is niet bij onderzoeken aangetroffen. De geïnfecteerde appliances worden volgens de onderzoekers vaak niet gemonitord door securityteams en ontbreken in de gecentraliseerde security-logging, waardoor infecties lang onopgemerkt blijven. De groep zou allerlei soorten appliances hebben gecompromitteerd, maar heeft het vooral voorzien op VMware vCenter en ESXi hosts. Het doel is het stelen van intellectueel eigendom, aldus Google. Daarnaast stelt het techbedrijf dat de aanvallers ook naar informatie zoeken die ze voor de ontwikkeling van zerodays kunnen gebruiken. UNC5221 is volgens Google een aan China gelieerde groep aanvallers. De Indicator of Compromise (IoC) Scanner voor Brickstorm zoekt op Linux- en BSD-systemen naar kenmerken van infecties. Google merkt op dat de scanner geen garanties geeft dat een systeem niet is besmet. Aanvallers kunnen het systeem hebben aangepast of een variant hebben ontwikkeld die niet wordt gedetecteerd. bron: https://www.security.nl