Captain Kirk

De Belgische telecomprovider Proximus heeft de persoonlijke gegevens van een onbekend aantal klanten gelekt. Volgens het bedrijf heeft een medewerker van een partner op een niet geautoriseerde manier en "op grote schaal", de Proximus-klantendatabase benaderd. De medewerker kon zo voornaam, achternaam, adres, e-mailadres, geboortedatum en telefoonnummer van een onbekend aantal klanten raadplegen. Proximus merkt op dat het onderzoek naar de volledige omvang van het incident nog gaande is. "In dit stadium, en zolang het onderzoek loopt, kan Proximus geen verdere details over het incident geven", aldus de telecomprovider. Die stelt dat de gestolen gegevens gebruikt kunnen worden door fraudeurs, die zich bijvoorbeeld voordoen als medewerker van Proximus of een ander bedrijf. In het verleden zijn bijvoorbeeld klantgegevens gestolen bij energiebedrijven gebruikt voor bankhelpdeskfraude. Klanten hoeven volgens Proximus geen actie te ondernemen. "Je moet gewoon waakzaam blijven voor verdachte activiteiten." bron: https://www.security.nl

De Europese Unie mag de komende zes jaar persoonsgegevens met het Verenigd Koninkrijk uitwisselen. De Europese Commissie heeft twee adequaatheidsbesluiten die dit mogelijk maken verlengd tot 27 december 2031. Voor de doorgifte van persoonsgegevens vanuit de EU naar landen buiten de Europese Economische Ruimte (EER) gelden aparte regels. Wanneer een land in de nationale wetgeving een passend beschermingsniveau neemt kan de Europese Commissie een adequaatheidsbesluit nemen. Brussel stelt dan vast dat de gegevensbescherming in dat land van een vergelijkbaar niveau is als de AVG. Voor het Verenigd Koninkrijk werd in 2021 een adequaatheidsbesluit genomen. Dit besluit was tijdelijk, in afwachting op nieuwe privacywetgeving in het VK. Er werd in oktober 2024 een wetsvoorstel gepresenteerd, maar de Britten had dat nog niet aangenomen. Daarom was het volgens de Europese privacytoezichthouders eerder dit jaar nodig om het adequaatheidsbesluit tijdelijk met zes maanden te verlengen, tot 27 december dit jaar. Dit zou volgens de privacytoezichthouders de Europese Commissie voldoende tijd moeten geven om de Britse privacywetgeving te beoordelen zodra die is aangenomen. Brussel zegt dat het de afgelopen maanden de wetgeving in het VK heeft onderzocht en dat die waarborgen biedt die gelijkwaardig zijn aan die van de EU. Daarop is besloten om de twee adequaatheidsbesluiten voor een periode van zes jaar te verlengen, met de mogelijkheid om de besluiten na deze periode opnieuw te verlengen. bron: https://www.security.nl

AI-browsers zullen mogelijk altijd kwetsbaar voor prompt injection-aanvallen blijven, zo stelt OpenAI. Eerder liet ook het Britse National Cyber Security Centre (NCSC) weten dat er mogelijk geen oplossing is voor dergelijke aanvallen tegen AI-systemen. Bij prompt injection weet een aanvaller door middel van één of meerdere specifieke opdrachten een AI-systeem informatie te laten geven, of acties uit te voeren, dat het eigenlijk niet zou moeten geven of doen. OpenAI publiceerde gisteren een blogposting over maatregelen die het in ChatGPT Atlas toepast, de AI-browser van het bedrijf. "We beschouwen prompt-injection als een langetermijnuitdaging voor AI-security, en we moeten continu onze verdediging er tegen versterken (net zoals bij scams die het op mensen hebben voorzien en zich continu blijven ontwikkelen)." AI-browsers kunnen automatisch allerlei acties voor gebruikers uitvoeren. Malafide instructies kunnen echter vervelende gevolgen hebben. Zo lieten onderzoekers eerder zien hoe ze de AI-browser van Perplexity via een phishingmail op een phishingsite konden laten inloggen. OpenAI verwacht dat aanvallers zich zullen aanpassen op de beveiligingsmaatregelen die aan AI-browsers worden toegevoegd. "Prompt-injection, net zoals scams en social engineering op het web, zullen waarschijnlijk nooit echt "opgelost" worden", benadrukt het bedrijf. "Voor dagelijks gebruik bieden agentic browsers nog niet genoeg waarde om hun huidige risicoprofiel te rechtvaardigen", zegt Rami McCarthy van securitybedrijf Wiz tegenover TechCrunch. "Het risico is hoog gezien hun toegang tot gevoelige data zoals e-mail- en betaalinformatie, ook al is die toegang juist wat ze zo krachtig maakt. Die balans zal zich ontwikkelen, maar op dit moment is de afweging nog steeds zeer reëel." bron: https://www.security.nl

Ruim 117.000 firewalls van fabrikant WatchGuard, waaronder zo'n 1800 in Nederland, bevatten een kritieke kwetsbaarheid waar aanvallers actief misbruik van maken om de apparaten volledig over te nemen, dat laat The Shadowserver Foundation op basis van eigen onderzoek weten. Een beveiligingsupdate voor het probleem (CVE-2025-14733) is sinds 18 december beschikbaar. De Out-of-bounds Write kwetsbaarheid in Fireware OS, het besturingssysteem van de firewalls, maakt het voor ongeauthenticeerde aanvallers mogelijk om willekeurige code op de apparaten uit te voeren. Bij het uitbrengen van het beveiligingsbulletin en de updates maakte WatchGuard bekend dat aanvallers misbruik van het lek maken. Sinds wanneer dit gebeurt liet het securitybedrijf niet weten. Wel zijn Indicators of Compromise gepubliceerd waarmee organisaties kunnen kijken of hun firewall is gecompromitteerd. The Shadowserver Foundation is een stichting die onderzoek doet naar kwetsbare systemen op internet en voert daarvoor geregeld online scans uit. Bij de laatste scan werd gekeken naar kwetsbare WatchGuard-firewalls. Dit leverde op 20 december bijna 125.000 kwetsbare firewalls op. Dat aantal daalde gisteren naar ruim 117.000 wereldwijd, waarvan 1800 in Nederland. Dat aantal is ten opzichte van 20 december niet echt veranderd. De meeste kwetsbare firewalls werden in de Verenigde Staten, Duitsland en Italië waargenomen. In september kwam WatchGuard met beveiligingsupdates voor een identieke kwetsbaarheid (CVE-2025-9242), waarvoor het precies dezelfde omschrijving. Een aantal weken na het uitkomen van de update voor CVE-2025-9242 bleek dat 76.000 firewalls die nog altijd niet hadden geïnstalleerd. bron: https://www.security.nl

Zeker 25.000 Fortinet-apparaten met FortiCloud SSO, waarvan bijna vierhonderd in Nederland, zijn toegankelijk vanaf het internet en lopen daarmee risico om te worden aangevallen, aldus The Shadowserver Foundation op basis van eigen onderzoek. Aanvallers maken op dit moment actief misbruik van twee kritieke FortiCloud SSO-gerelateerde kwetsbaarheden voor het aanvallen van Fortinet-apparaten. Via de FortiCloud SSO login kunnen gebruikers via één set inloggegevens op verschillende Fortinet-producten inloggen. Volgens Fortinet wordt een cryptografische handtekening bij het gebruik van de FortiCloud SSO login niet goed gecontroleerd. Via een speciaal geprepareerde SAML message kan een aanvaller de FortiCloud SSO login authenticatie omzeilen, als deze feature op het systeem staat ingeschakeld. De kwetsbaarheden kunnen leiden tot ongeautoriseerde toegang tot gevoelige API-gegevens en andere netwerkbronnen, zo liet het Nationaal Cyber Security Centrum (NCSC) vorige week weten. Fortinet heeft beveiligingsupdates voor FortiOS, FortiProxy, FortiSwitchManager en FortiWeb uitgebracht om de problemen (CVE-2025-59718 en CVE-2025-59719) te verhelpen. Eerder deze week meldde securitybedrijf Arctic Wolf dat aanvallers de beveiligingslekken drie dagen na het uitkomen van de patches al hebben gebruikt bij aanvallen. The Shadowserver Foundation is een stichting die onderzoek doet naar kwetsbare systemen op internet. Het deed een online scan naar Fortinet-apparaten met FortiCloud SSO die vanaf het internet toegankelijk zijn. De scan leverde meer dan 25.000 ip-adressen op, waarvan bijna vierhonderd in Nederland. De onderzoekers merken op dat dit niet wil zeggen dat al deze systemen ook kwetsbaar zijn. Wel gaat de stichting organisaties van wie de systemen online toegankelijk zijn waarschuwen om de updates voor CVE-2025-59718 en CVE-2025-59719 te installeren of te verifiëren dat dit is gedaan. De impact van beide kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.1. bron: https://www.security.nl

Firewall-leverancier WatchGuard waarschuwt voor een actief misbruikte kwetsbaarheid in de firewalls die het levert. Er zijn gisteren beveiligingsupdates uitgebracht om het probleem te verhelpen. Sinds wanneer de aanvallen plaatsvinden is niet bekendgemaakt. Wel heeft WatchGuard Indicators of Compromise gepubliceerd waarmee organisaties kunnen kijken of hun firewall is gecompromitteerd. De Out-of-bounds Write kwetsbaarheid in Fireware OS, het besturingssysteem van de firewalls, maakt het voor ongeauthenticeerde aanvallers mogelijk om willekeurige code op de apparaten uit te voeren. "De kwetsbaarheid raakt zowel de mobile user VPN met IKEv2 en de branch office VPN die van IKEv2 gebruikmaakt wanneer die met een dynamic gateway peer is geconfigureerd", aldus het beveiligingsbulletin. "Als de Firebox eerder was geconfigureerd met de mobile user VPN met IKEv2 of een branch office VPN gebruikmakend van IKEv2 naar een dynamic gateway peer, en beide configuraties zijn sindsdien verwijderd, kan die Firebox nog steeds kwetsbaar zijn als een branch office VPN naar een static gateway peer nog steeds geconfigureerd is." De impact van de kwetsbaarheid (CVE-2025-14733) is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. Daarbij moet worden gemeld dat ook Fireware OS versie 11.x kwetsbaar is, maar deze versie is end-of-life en heeft geen update ontvangen. In september kwam WatchGuard met beveiligingsupdates voor een identieke kwetsbaarheid (CVE-2025-9242), waarvoor het precies dezelfde omschrijving en impactscore hanteerde. Een aantal weken na het uitkomen van de update voor CVE-2025-9242 bleek dat 76.000 firewalls die niet hadden geïnstalleerd. bron: https://www.security.nl

Twee medewerkers van cybersecuritybedrijven hebben bekend dat ze ransomware-aanvallen op organisaties hebben uitgevoerd, waarbij ze meer dan een miljoen dollar aan losgeld ontvingen. In de zaak worden drie personen verdacht. Volgens de openbaar aanklager werkten de mannen samen met een ransomwaregroep genaamd BlackCat, ook bekend als ALPHV. De drie zouden vijf ransomware-aanvallen hebben uitgevoerd, waarbij één van de slachtoffers, een medisch bedrijf, uiteindelijk losgeld betaalde. Twee van de verdachten waren werkzaam voor een bedrijf dat voor slachtoffers van ransomware-aanvallen met de verantwoordelijke criminelen onderhandelt. Volgens Bloomberg hebben nu twee van de verdachten schuld bekend en laten weten dat ze zich jarenlang hebben beziggehouden met het aanvallen en afpersen van bedrijven. Het gaat om een incident response supervisor en een ransomware-onderhandelaar. De verdachten kunnen indien schuldig bevonden worden veroordeeld tot gevangenisstraffen van tientallen jaren. Blackcat hanteerde een 'ransomware-as-a-service' (RaaS) model. Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. De groep zou zichzelf vorig jaar maart via een 'exit scam' hebben opgeheven. bron: https://www.security.nl

Firefox krijgt een optie om alle AI-features binnen de browser uit te schakelen. Intern noemen ontwikkelaars het de "AI-killswitch". Dat laat het ontwikkelteam via X weten. De AI-features binnen de browser zullen daarnaast opt-in zijn. Een aantal dagen geleden maakte de nieuwe ceo van Mozilla bekend dat Firefox zal veranderen in een "moderne AI-browser". De aankondiging zorgde voor meer dan drieduizend reacties op een Reddit-thread, waar veel gebruikers hun ongenoegen uitten. De ceo benadrukte in de aankondiging dat AI altijd een keuze moet zijn, maar veel gebruikers zijn hier niet gerust over. Gisteren maakte het Firefox-ontwikkelteam bekend dat de browser zal worden voorzien van een optie om alle AI-features uit te schakelen. "Intern noemen we het de AI-killswitch. Het zal onder een minder heftige naam beschikbaar komen, maar het laat zien hoe serieus we dit nemen." "Alle AI-features zullen ook opt-in zijn. Ik denk dat er sommige grijze gebieden zijn wat 'opt-in inhoudt voor verschillende mensen, maar de killswitch zal dat allemaal verwijderen en nooit meer laten zien", zo laat het ontwikkelteam verder weten. Dat hoopt dat Firefox het vertrouwen van gebruikers als het om AI gaat kan winnen of terugwinnen. bron: https://www.security.nl

Een kritiek beveiligingslek in FreeBSD maakt remote code execution mogelijk, waarbij een aanvaller in hetzelfde netwerksegment moet zitten als het doelwit. Er zijn beveiligingsupdates uitgebracht om het probleem te verhelpen. De kwetsbaarheid (CVE-2025-14558) doet zich voor bij het verwerken van router advertisement (RA) packets die onderdeel zijn van het IPv6 stateless address autoconfiguration (SLAAC) mechanisme. SLAAC zorgt ervoor dat clients op het netwerk hun eigen ip-adres en gateway kunnen instellen, zonder dat hiervoor een DHCP-server is vereist. Wanneer een client online komt stuurt die een Router Solicitation bericht. Een router in het netwerk zal vervolgens met een RA-bericht antwoorden. Dit bericht bevat onder andere informatie over de te gebruiken gateway en dns-servers. Twee programma's binnen FreeBSD zijn verantwoordelijk voor het verwerken van de RA-packets. Deze programma's blijken de inhoud van de RA-berichten niet goed te valideren. De programma's geven de inhoud onaangepast door aan een shell-script binnen FreeBSD. Een aanvaller kan hier misbruik van maken door een RA-bericht te versturen met daarin een shell-commando dat vervolgens onaangepast door het shell-script op het FreeBSD-systeem van het doelwit wordt uitgevoerd. Om een dergelijk RA-bericht te kunnen versturen moeten de aanvaller en het slachtoffer wel op hetzelfde netwerksegment zitten. Securitybedrijf Tenable heeft de impact van de kwetsbaarheid op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Gebruikers die geen IPv6 gebruiken en IPv6-gebruikers van wie het FreeBSD-systeem geen RA-berichten accepteert lopen geen risico om te worden aangevallen. Alle FreeBSD-gebruikers worden echter opgeroepen om de beveiligingsupdate te installeren. bron: https://www.security.nl

Softwarebedrijf Ivanti heeft een beveiligingsupdate uitgebracht voor een kritieke cross-site scripting (XSS) kwetsbaarheid in Endpoint Manager (EPM) waardoor een ongeauthenticeerde aanvaller op afstand willekeurige JavaScript-code in de sessie van een ingelogde administrator kan uitvoeren. De impact van het beveiligingslek (CVE-2025-10573) is op een schaal van 1 tot en met 10 beoordeeld met een 9.6. Via Ivanti Endpoint Manager kunnen organisaties laptops, smartphones en servers beheren. Dit wordt gedaan door middel van de EPM-server die met een agent op beheerde clients communiceert. Een gecompromitteerde EPM-server of administrator-account kan dan ook vergaande gevolgen hebben. Ivanti EPM is in het verleden meerdere keren doelwit geweest van aanvallen waarbij misbruik werd gemaakt van kwetsbaarheden waar op het moment van de aanval nog geen beveiligingsupdate voor beschikbaar was. Via de JavaScript-code die een aanvaller via CVE-2025-10573 kan uitvoeren, is het mogelijk om allerlei acties binnen de EPM-omgeving uit te voeren. Volgens Ivanti zijn er geen aanwijzingen bekend dat aanvallers actief misbruik van CVE-2025-10573 maken. Misbruik van het Stored XSS-lek vereist interactie van gebruikers, maar verdere informatie wordt niet door Ivanti gegeven. De kwetsbaarheid werd gevonden door securitybedrijf Rapid7, dat meer informatie over het probleem heeft. Volgens Rapid7 kan een aanvaller via het lek de sessie van de ingelogde administrator overnemen. Om de malafide XSS-code in het web dashboard van de administrator te krijgen volstaat het versturen van een zogenaamde 'device scan'. Ivanti EPM biedt een API waarmee het informatie van gescande apparaten verwerkt. Een ongeauthenticeerde aanvaller kan aan deze API een speciaal geprepareerde scan aanbieden, inclusief de XSS-code, die automatisch wordt verwerkt en de onveilige code vervolgens in het dashboard van een ingelogde admin uitvoert. De enige vereist is dat de admin de pagina met apparaatinformatie bekijkt. bron: https://www.security.nl

Fortinet waarschuwt voor twee kritieke kwetsbaarheden in verschillende producten waardoor aanvallers de authenticatie van systemen kunnen omzeilen om hier zo toegang toe te krijgen. De beveiligingslekken (CVE-2025-59718 en CVE-2025-59719) bevinden zich in FortiOS, FortiProxy, FortiSwitchManager en FortiWeb. Volgens Fortinet wordt een cryptografische handtekening bij gebruik van de FortiCloud SSO login niet goed gecontroleerd. Via een speciaal geprepareerde SAML message kan een aanvaller de FortiCloud SSO login authenticatie omzeilen, als deze feature op het systeem staat ingeschakeld. Via de FortiCloud SSO login kunnen gebruikers via één set inloggegevens op verschillende Fortinet-producten inloggen. "De kwetsbaarheden stellen ongeauthenticeerde aanvallers in staat om toegang te krijgen tot de systemen door gebruik te maken van verschillende technieken, waaronder het omzeilen van FortiCloud SSO-login authenticatie via speciaal vervaardigde SAML-berichten, het behouden van actieve SSLVPN-sessies ondanks een wachtwoordwijziging, en het uitvoeren van ongeautoriseerde operaties via vervalste HTTP- of HTTPS-verzoeken. Dit kan leiden tot ongeautoriseerde toegang tot gevoelige API-gegevens en andere netwerkbronnen", zo laat het Nationaal Cyber Security Centrum (NCSC) weten. De impact van de twee kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.1. Fortinet merkt op dat de FortiCloud SSO login feature niet standaard staat ingeschakeld. Er zijn beveiligingsupdates beschikbaar gesteld om het probleem te verhelpen. Organisaties krijgen van Fortinet het advies om de FortiCloud login feature, totdat de update op het systeem is geïnstalleerd, uit te schakelen. bron: https://www.security.nl

Een kwetsbaarheid in Microsoft Outlook maakt het mogelijk voor aanvallers om op afstand code op de systemen van slachtoffers uit te voeren als die een malafide e-mail beantwoorden. Daarnaast kunnen twee kritieke kwetsbaarheden in Microsoft Office, die via e-mail zijn te misbruiken, ook tot remote code execution leiden. Dat laat Microsoft weten. Het techbedrijf heeft beveiligingsupdates voor de problemen beschikbaar gesteld. De kwetsbaarheid in Microsoft Outlook (CVE-2025-62562) was eerst als kritiek aangemerkt, maar Microsoft heeft dat inmiddels aangepast naar "important". Volgens de uitleg van Microsoft moet een aanvaller het doelwit een malafide e-mail sturen, waarna het doelwit deze e-mail moet beantwoorden. Dit kan tot een "Use after free" leiden waarna de aanvaller code op het systeem van de gebruiker kan uitvoeren. Verdere details zijn niet door Microsoft gegeven, behalve dat het techbedrijf misbruik van het probleem onwaarschijnlijk acht. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 7.8. Daarnaast kunnen twee kritieke kwetsbaarheden in Microsoft Office (CVE-2025-62554, CVE-2025-62557) ook tot remote code execution leiden. Misbruik kan ook via het Voorbeeldvenster (Preview Pane) plaatsvinden. Om deze twee beveiligingslekken te misbruiken moet een aanvaller het doelwit een e-mail sturen met daarin een malafide link. Daarbij hoeft het doelwit de e-mail niet te openen, te lezen of op de link te klikken om de aanvaller code op het systeem van het slachtoffer uit te laten voeren. Deze twee lekken hebben een impactscore van 8.4. Misbruik is volgens Microsoft "minder waarschijnlijk". "Het is de elfde maand op rij met een kritieke kwetsbaarheid in Office, waarbij het Voorbeeldvenster een aanvalsvector is", zegt Dustin Childs van securitybedrijf ZDI. Voor gebruikers van Office LTSC voor Mac 2021 en 2024 zijn nog geen beveiligingsupdates beschikbaar. Microsoft zegt dat die wel zullen verschijnen, maar laat niet weten wanneer dit precies zal zijn. De beveiligingsupdates van Microsoft zullen op de meeste systemen automatisch worden geïnstalleerd. bron: https://www.security.nl

Tijdens de patchdinsdag van december heeft Microsoft een actief aangevallen kwetsbaarheid in Windows verholpen waardoor een aanvaller die al toegang tot een systeem heeft SYSTEM-rechten kan krijgen. Het beveiligingslek (CVE-2025-62221) bevindt zich in de Windows Cloud Files Mini Filter Driver en is aanwezig in alle ondersteunde versies van Windows. Een aanvaller moet zoals gezegd al toegang tot een systeem hebben om misbruik van dit lek te kunnen maken. Dit soort kwetsbaarheden worden vaak gecombineerd met beveiligingslekken die remote code execution mogelijk maken, zo stelt Dustin Childs van securitybedrijf ZDI. De kwetsbaarheid werd door Microsoft zelf gevonden. Het techbedrijf geeft echter geen verdere details over de waargenomen aanvallen, zoals wie het doelwit was en hoe het lek precies werd misbruikt. De beveiligingsupdate voor CVE-2025-62221 zal op de meeste systemen automatisch worden geïnstalleerd. bron: https://www.security.nl

Mozilla heeft vandaag een nieuwe versie van Firefox gelanceerd die Windows-gebruikers de optie biedt om lokaal versleutelde back-ups van hun browsegegevens te maken. Het gaat dan bijvoorbeeld om bookmarks, geopende tabs en opgeslagen wachtwoorden en andere gegevens. Andere besturingssystemen zullen volgens de Firefox-ontwikkelaar snel volgen. De browser zal de back-ups, die met een wachtwoord kunnen worden versleuteld, dagelijks maken. Bij een schone installatie van Firefox kan de back-up vervolgens worden teruggezet en kan de gebruiker doorgaan alsof er niets is gebeurd, aldus de uitleg van Mozilla. De feature is op dit moment alleen beschikbaar voor Windows, maar komt op korte termijn beschikbaar voor andere systemen. Daarnaast zijn met Firefox 146 verschillende kwetsbaarheden verholpen. Updaten naar de nieuwste Firefox-versie kan via de automatische updatefunctie en Firefox.com. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kwetsbaarheid in de ssl vpn gateways van Array Networks, zo waarschuwt het Amerikaanse cyberagentschap CISA. Eerder kwam ook al de Japanse overheid met een waarschuwing. Via de gateway kunnen organisaties onder andere een vpn-verbinding voor hun medewerkers opzetten, zodat die toegang tot interne systemen en applicaties hebben. De gateway biedt een "DesktopDirect" functie waarmee medewerkers direct op hun werkstation kunnen inloggen. Een kwetsbaarheid in dit onderdeel maakt het mogelijk voor aanvallers om commando's op de gateway uit te voeren. Aanvallers gebruiken het beveiligingslek (CVE-2025-66644) voor het installeren van webshells. Via een webshell kan een aanvaller toegang tot een gecompromitteerd systeem behouden en verdere aanvallen uitvoeren. Array Networks kwam in mei met een beveiligingsupdate voor het probleem. Volgens het Computer Emergency Response Team Coordination Center van de Japanse overheid (JPCERT/CC) maken aanvallers sinds augustus misbruik van de kwetsbaarheid. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security waarschuwt nu ook voor misbruik. Een jaar geleden liet het Amerikaanse cyberagentschap weten dat aanvallers een ander Array-lek bij aanvallen hadden ingezet. bron: https://www.security.nl

De Duitse overheid is kritisch op de in Google Chrome ingebouwde wachtwoordmanager, omdat het techbedrijf in theorie bij opgeslagen inloggegevens kan. Het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, deed samen met FZI Research Center for Information Technology onderzoek naar tien verschillende wachtwoordmanagers. Bij drie van de tien onderzochte wachtwoordmanagers kan de aanbieder in theorie bij de opgeslagen wachtwoorden, zo stellen de onderzoekers. Naast de Google Chrome Password Manager gaat het ook om mSecure-Password Manager en PassSecurium. In het geval van SecureSafe PasswordManger en S-Trust Password Manger is het volgens de Duitse autoriteiten niet te beoordelen of de aanbieders toegang hebben. Bij 1 Password, Avira Password Manager, Keepass2 Android, KeePassXC en Mozilla Firefox Password Manager hebben de aanbieders geen toegang, aldus de onderzoekers. In het geval een aanbieder in theorie toegang tot opgeslagen wachtwoorden heeft, vergroot dit het aanvalsoppervlak en moeten er aanvullende maatregelen worden getroffen. "Gebruikers moeten deze aanvullende maatregelen vertrouwen. Als de wachtwoordmanager data in de cloud opslaat, moeten gebruikers uitzoeken waar de opslaglocatie zich bevindt en het beschermingsniveau dat de leverancier biedt", aldus het BSI. In het geval van Google Chrome heeft het techbedrijf volgens de Duitse overheid toegang wanneer synchronisatie is ingeschakeld en er geen passphrase wordt gebruikt. Het BSI laat aanvullend weten dat Google heeft bevestigd dat het in geval van de synchronisatiemodus toegang kan hebben. "Gebruikers moeten bij het synchroniseren via hun Google-account in de instellingen een eigen passphrase instellen. Voordat ze een andere modus gebruiken moeten gebruikers bepalen of ze de leverancier voldoende vertrouwen", adviseert de Duitse overheidsdienst. Ondanks de tekortkomingen die er volgens het BSI zijn, is het belangrijk dat mensen password managers blijven gebruiken. "De aanbeveling is duidelijk: wachtwoordmanagers zijn een essentiële tool en kunnen voor veel gebruikers een belangrijke hulp in hun digitale leven zijn." Met het nu gepubliceerde onderzoek kunnen gebruikers kijken welke wachtwoordmanagers aan hun eisen voldoen, zo laat het BSI afsluitend weten. bron: https://www.security.nl

Er is mogelijk geen oplossing voor prompt injection-aanvallen tegen AI-systemen wat tot een golf van datalekken kan leiden, zo waarschuwt het Britse National Cyber Security Centre (NCSC) vandaag. "Het beste waarop we kunnen hopen is de kans op of de impact van aanvallen te beperken", zo meldt de overheidsinstantie in een blogposting. Bij prompt injection weet een aanvaller door middel van één of meerdere specifieke opdrachten een AI-systeem informatie te laten geven, of acties uit te voeren, dat het eigenlijk niet zou moeten geven of doen. "Wanneer je een large language model (LLM) een prompt geeft, begrijpt het niet de tekst zoals een mens doet. Het voorspelt gewoon op basis van de tekst op dat moment het meest waarschijnlijke volgende token. Aangezien er geen inherent onderscheid is tussen 'data' en 'instructie', is het zeer goed mogelijk dat prompt injection-aanvallen nooit helemaal worden opgelost op de manier zoals dat bij SQL injection-aanvallen kan", laat het Britse NCSC weten. Daar komt bij dat prompt injection een relatief nieuwe klasse van kwetsbaarheden is, die nog niet goed wordt begrepen, zelfs niet door ervaren webontwikkelaars, aldus de overheidsinstantie. Volgens het Britse NCSC is het daarom belangrijk dat zowel ontwikkelaars als organisaties zich bewust zijn van dit probleem. Daarnaast moeten securityteams beseffen dat prompt injection-aanvallen altijd aanwezig zullen zijn en niet volledig zijn te verhelpen met een product of appliance. Verder wijst het Britse NCSC op het veilig ontwerpen van AI-systemen en verschillende technieken waardoor de kans dat een LLM onbedoeld instructies uitvoert worden beperkt. "De vergelijking van prompt injection met SQL injection is verleidelijk, maar het is ook gevaarlijk. SQL injection kan met geparametriseerde queries worden verholpen, maar er is een goede kans dat prompt injection nooit op dezelfde manier zal worden verholpen. Het beste waarop we kunnen hopen is het verkleinen van de kans op of de impact van aanvallen." SQL injection is een probleem dat al sinds de vorige eeuw bekend is en nog altijd voorkomt omdat ontwikkelaars niet veilig programmeren of hun applicaties laten testen. Nog altijd vinden er datalekken en andere beveiligingsincidenten als gevolg van SQL injection plaats. De Britse overheidsinstantie waarschuwt dat een soortgelijk probleem zich met prompt injection kan voordoen, doordat aan steeds meer systemen AI wordt toegevoegd. "Als die applicaties niet met prompt injection in het achterhoofd zijn ontwikkeld, kan een soortgelijke golf van datalekken volgen." bron: https://www.security.nl

Meta komt na een miljoenenboete die het eerder dit jaar kreeg opgelegd met een optie voor minder gepersonaliseerde reclame op Facebook en Instagram, zo laat de Europese Commissie vandaag weten. Brussel gaf het Amerikaanse techbedrijf in april een boete van 200 miljoen euro wegens het overtreden van de Digital Markets Act (DMA) met het 'betaal of oké' model op Facebook en Instagram. Onder de DMA moeten poortwachters zoals Meta toestemming aan gebruikers vragen voor het combineren van hun persoonlijke data tussen verschillende diensten. Gebruikers die geen toestemming geven moeten nog steeds toegang tot een minder gepersonaliseerd maar gelijkwaardig alternatief hebben. Eind 2023 kwam Meta het 'betaal of oké' model. Als onderdeel van dit model moeten gebruikers van Facebook of Instagram een maandelijks bedrag per maand per account betalen. Gebruikers die dit bedrag niet kunnen of willen betalen, gaan er automatisch mee akkoord dat ze worden gevolgd en hun persoonlijke gegevens voor gerichte advertenties worden gebruikt. Vorig jaar stelde de Europese Commissie dat dit model in strijd is met de DMA-wetgeving. Volgens Brussel gaf het model gebruikers niet de verplichte specifieke keuze voor een dienst die minder van hun persoonlijke data gebruikt, maar verder gelijk is aan de dienst met de gepersonaliseerde advertenties. Het model van Meta zorgt ervoor dat gebruikers niet hun recht kunnen uitoefenen om vrijelijk toestemming te geven voor het combineren van hun persoonlijke data. Nu meldt de Europese Commissie dat gebruikers straks de optie krijgen om minder persoonlijke data te delen en zo minder gepersonaliseerde advertenties te krijgen. De optie zal volgende maand aan gebruikers in de EU worden aangeboden. Brussel geeft geen verdere informatie over de persoonlijke gegevens die Meta wel zal blijven verzamelen. De Europese burgerrechtenbeweging EDRi had felle kritiek op de boete van de Europese Commissie, die het veel te laag vond. "Wij maken ons zorgen over de lage boetes, een schijntje voor Big Tech-bedrijven zoals Meta en Apple, zoals een recent onderzoek laat zien. Beide bedrijven hebben een verleden van het spelen van compliance-spelletjes met toezichthouders, waarbij ze het slechts als een formaliteit beschouwen." bron: https://www.security.nl

De grote Cloudflare-storing die zich vorige week voordeed, en waardoor allerlei websites en diensten onbereikbaar waren, werd volgens het internetbedrijf veroorzaakt door een aanpassing die het wegens een kwetsbaarheid in React Server Components doorvoerde. Afgelopen vrijdag zorgde de storing ervoor dat ongeveer een half uur lang allerlei websites de foutmelding "500 Internal Server Error - cloudflare" gaven. Een paar weken geleden zorgde een ander probleem bij Cloudflare ervoor dat websites urenlang onbereikbaar waren. Cloudflare biedt verschillende diensten, waaronder firewalling en load balancing. De Web Application Firewall (WAF) van het internetbedrijf inspecteert HTTP requests die websites ontvangen op de aanwezigheid van malicious code. Hiervoor wordt de inhoud van het HTTP request door de Cloudflare-proxy gebufferd, waarna de inspectie plaatsvindt. Cloudflare heeft hiervoor een buffergrootte van 128KB gereserveerd. Vorige week waarschuwden overheidsdiensten en security- en techbedrijven voor een kritieke kwetsbaarheid in React Server Components. React is een zeer populaire library voor het ontwikkelen van gebruikersinterfaces voor webapplicaties. Daarnaast is het onderdeel van verschillende andere development frameworks, waaronder Next.js. Een kritiek beveiligingslek (CVE-2025-55182, React2Shell) in React Server Components zorgt ervoor dat een aanvaller door het versturen van speciaal geprepareerde HTTP requests code op de onderliggende server kan uitvoeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Naar aanleiding van de kwetsbaarheid besloot Cloudflare de buffergrootte aan te passen naar 1MB. Tijdens de uitrol van deze aanpassing werd ontdekt dat de interne WAF-testtool van Cloudflare deze aangepaste buffergrootte niet ondersteunde. Volgens Cloudflare was deze interne testtool op dat moment niet nodig en had geen impact op het verkeer van klanten. Daarop werd de testtool uitgeschakeld. Het uitschakelen van de testtool zorgde bij één van de Cloudflare-proxies voor een "error state", waardoor websites van klanten de 500 HTTP error foutmelding gaven. Na een klein half uur werd het probleem verholpen. Cloudflare zegt dat het deze week met uitgebreide informatie komt over de maatregelen die het gaat nemen om toekomstige storingen te voorkomen. Deze maatregelen waren deels al na de grote storing van november genomen. Zolang deze activiteiten niet zijn afgerond zegt Cloudflare geen aanpassingen aan het netwerk door te voeren. bron: https://www.security.nl

Tienduizenden ip-adressen wereldwijd zijn kwetsbaar voor een kritiek beveiligingslek in React Server Components, ook wel bekend als CVE-2025-55182 en React2Shell, zo meldt The Shadowserver Foundation op basis van eigen onderzoek. In Nederland gaat het om ruim vijfhonderd ip-adressen. Daarnaast zouden inmiddels tientallen organisaties wereldwijd zijn gecompromitteerd, aldus securitybedrijven. React is een zeer populaire library voor het ontwikkelen van gebruikersinterfaces voor webapplicaties. Daarnaast is het onderdeel van verschillende andere development frameworks, waaronder Next.js. CVE-2025-55182 bevindt zich in React Server Components, dat het mogelijk maakt voor ontwikkelaars om React-applicaties te ontwikkelen waarvan het grootste deel op de server draait, wat onder andere voor betere prestaties en security zou moeten zorgen. Door het versturen van speciaal geprepareerde HTTP requests naar een kwetsbare React-versie kan een aanvaller code op de onderliggende server uitvoeren. Vorige week werd de kwetsbaarheid bekendgemaakt en beveiligingsupdates beschikbaar gesteld. Ook is er inmiddels proof-of-concept exploitcode online verschenen. The Shadowserver Foundation doet onderzoek naar kwetsbare systemen op internet en detecteerde op 5 december ruim 77.000 kwetsbare ip-adressen. Dat aantal is inmiddels gedaald naar 29.000, waarvan meer dan vijfhonderd in Nederland. De Verenigde Staten is met tienduizend kwetsbare ip-adressen koploper. Securitybedrijven Palo Alto Networks en Wiz laten weten dat inmiddels meerdere organisaties via de kwetsbaarheid zijn gecompromitteerd. Het zou om enkele tientallen slachtoffers gaan. Eerder had Amazon al laten weten dat het een aantal uren na bekendmaking van de kwetsbaarheid de eerste aanvalspogingen had waargenomen. "Helaas, kunnen wij als NCSC niet uitsluiten dat jouw organisatie al getroffen is. De kwetsbaarheid is immers al minstens twee dagen misbruikt. Kortom, volg het handelingsperspectief zo spoedig mogelijk op en contacteer ons als je sporen van misbruik aantreft", zo laat het Nationaal Cyber Security Centrum (NCSC) weten in een update op een eerder uitgebrachte blogpost over het probleem. bron: https://www.security.nl

OpenAI heeft persoonlijke gegevens en metadata van een niet nader genoemd aantal API-gebruikers gelekt, nadat aanvallers wisten in te breken op systemen van analyticsprovider Mixpanel. Dat bedrijf kwam zelf ook met een waarschuwing voor het datalek, waar gebruikers zeer kritisch op reageerden. OpenAI heeft Mixpanel inmiddels van het eigen platform verwijderd. Mixpanel biedt analytics-software waarmee bedrijven kunnen zien hoe hun klanten en gebruikers hun producten en diensten gebruiken. OpenAI gebruikte Mixpanel voor het eigen API-product. Via de OpenAI application programming interface (API) kunnen gebruikers de AI-modellen van OpenAI voor hun eigen doeleinden gebruiken, bijvoorbeeld voor gebruik in een app. Via Mixpanel werd allerlei informatie over API-gebruikers vastgelegd. Door de inbraak bij Mixpanel hebben de aanvallers toegang gekregen tot namen, e-mailadressen, locatiegegevens, gebruikt besturingssysteem en browser, referring websites en ID's van gebruikers of organisaties die aan het API-account waren gekoppeld. OpenAI zegt dat Mixpanel op 9 november ontdekte dat het was gehackt. Het bedrijf zegt zelf dat het dit op 8 november ontdekte. Vervolgens werd OpenAI op 25 november door Mixpanel geïnformeerd dat er data van OpenAI-gebruikers was gestolen. OpenAI waarschuwt slachtoffers van het datalek dat gestolen informatie voor social engineering- of phishingaanvallen kan worden gebruikt. De chatbot-ontwikkelaar laat verder weten dat het bezig is om slachtoffers te informeren en de analyticsdienst van Mixpanel inmiddels van het eigen platform heeft verwijderd. Mixpanel is zelf met een vrij summier bericht gekomen waarin het stelt dat het op 8 november een "smishing-campagne" ontdekte en daarna de response-processen inschakelde. Verdere informatie wordt niet gegeven, behalve dat getroffen klanten inmiddels zijn ingelicht. Op Hacker News reageren gebruikers kritisch op het bericht van Mixpanel, dat net voor een grote vakantiedag in de Verenigde Staten is uitgebracht, terwijl het bedrijf al sinds 8 november op de hoogte was. Daarnaast wordt ook het ontbreken van informatie gehekeld. bron: https://www.security.nl

Asus waarschuwt voor een kritieke kwetsbaarheid in AiCloud, waardoor een ongeauthenticeerde aanvaller op afstand toegang tot routers kan krijgen. Er zijn firmware-updates uitgebracht om het probleem te verhelpen. Voor routers die end-of-life zijn en niet meer worden ondersteund adviseert Asus om de AiCloud-service uit te schakelen. Via AiCloud kunnen gebruikers vanaf het internet lokale bestanden benaderen op apparaten die met de Asus-router zijn verbonden. Een kritieke kwetsbaarheid in AiCloud, aangeduid als CVE-2025-59366, maakt een "authentication-bypass" mogelijk. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.2. Het probleem is verholpen in firmware 3.0.0.4_386, 3.0.0.4_388 en 3.0.0.6_102. Welke routermodellen risico lopen laat Asus niet weten. Vorige week werd bekend dat duizenden end-of-life Asus-routers via oudere kwetsbaarheden in de AiCloud-service door aanvallers zijn gecompromitteerd. bron: https://www.security.nl

Aanvallers maken gebruik van malafide Blender-bestanden voor het verspreiden van malware die wachtwoorden en andere inloggegevens van systemen steelt. Dat laat securitybedrijf Morphisec weten. Eerder werden de malafide .blend-bestanden al opgemerkt door gebruikers van Reddit en beveiligingsonderzoekers. Blender is populaire gratis opensourcesoftware voor het maken van 3D-modellen. Er zijn allerlei websites, zoals CGTrader, waar Blender-gebruikers gratis modellen voor hun projecten kunnen downloaden. Op verschillende van deze websites hebben aanvallers malafide Blender-bestanden geplaatst. Zodra Blender-gebruikers deze bestanden openen wordt geprobeerd om malafide Python-script uit te voeren dat in de achtergrond malware downloadt en uitvoert. Blender zal het script standaard uitvoeren als gebruikers de "Auto Run" optie voor Python-scripts hebben ingeschakeld. Anders verschijnt er een venster waarin gebruikers wordt gevraagd om het script uit te voeren. Het malafide script installeert de StealC-malware, aldus Morphisec. Dit is infostealer-malware die inloggegevens uit browsers, plug-ins en extensies kan stelen. Ook steelt de malware informatie uit cryptowallets, chatapps, vpn-software en e-mailclient Thunderbird. Blender-gebruikers wordt geadviseerd om Auto Run uitgeschakeld te houden, tenzij de bron van het bestand wordt vertrouwd. bron: https://www.security.nl

Honderden Monsta FTP-clients die vanaf het internet toegankelijk zijn bevatten een kritieke kwetsbaarheid waardoor ongeauthenticeerde aanvallers op afstand code op systemen kunnen uitvoeren. Dat laat The Shadowserver Foundation op basis van eigen onderzoek weten. Een beveiligingsupdate is sinds 26 augustus beschikbaar, maar de ontwikkelaars hebben bij de release van de update geen melding van het beveiligingslek gemaakt, zo stelt securitybedrijf watchTowr Monsta FTP is een webgebaseerde ftp-client. Het kritieke beveiligingslek, aangeduid als CVE-2025-34299, zorgt ervoor dat aanvallers vanaf een malafide ftp-server willekeurige bestanden naar kwetsbare clients kunnen uploaden. De client plaatst het bestand vervolgens in een door de aanvaller opgegeven locatie. Zo is het mogelijk om malware op het systeem te laten uitvoeren. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. De kwetsbaarheid is verholpen in versie 2.11.3, die op 26 augustus verscheen, aldus onderzoekers van securitybedrijf watchTowr. Bij de beschrijving van deze versie staat "minor bugs and fixes" en "no extended notes for release". Bij de release notes van versie 2.11.1, die op 15 augustus uitkwam, staat dat er een kwetsbaarheid met betrekking tot "file fetch" is verholpen. Dit is het onderdeel waar onderzoekers de kwetsbaarheid in vonden. Hoewel een beveiligingsupdate al maanden beschikbaar is, blijken er nog honderden kwetsbare clients vanaf internet toegankelijk te zijn. Volgens watchTowr zijn er op elk gegeven moment meer dan vijfduizend installaties te vinden. Volgens The Shadowserver Foundation waren er afgelopen zondag nog zo'n achthonderd van deze installaties kwetsbaar voor CVE-2025-34299. Daarvan bevonden zich er dertien in Nederland. bron: https://www.security.nl

Het Tor Project heeft besloten om het algoritme dat Tor-relays gebruiken voor het versleutelen van verkeer te vervangen door een nieuw algoritme genaamd Counter Galois Onion (CGO). De ontwikkelaars stellen dat dit algoritme gebruikers beter tegen aanvallen moet beschermen. Dagelijks maken miljoenen mensen gebruik van het Tor-netwerk om hun privacy te beschermen en gecensureerde websites te bezoeken. Het netwerk draait volledig op servers en bandbreedte die door vrijwilligers wordt gedoneerd. Het verkeer van Tor-gebruikers loopt via meerdere servers om zo de identiteit van de gebruiker te maskeren. Zo is de eerste server de entry guard, die het verzoek van de Tor-gebruiker naar de relay-node doorstuurt. Vervolgens gaat het van deze server naar de exit-node, die het verzoek naar het internet stuurt. Tor gebruikt het standaard TLS-protocol voor communicatie tussen relays en tussen clients en relays. Het heeft ook een apart algoritme voor het versleutelen van data die via meerdere relays in een circuit loopt. Dit is het relay-encryptie-algoritme. De Tor-client deelt een symmetrische key met elke relay in zijn circuit en versleutelt een uitgaand bericht, een "relay cell", met elk van die keys. Elke relay kan één encryptielaag verwijderen, totdat de cell van de client de exit-relay bereikt. Om te voorkomen dat de data onderweg wordt aangepast wordt aan de cell een cryptografische digest toegevoegd. Deze digest is niet alleen voor de cell, maar ook voor alle eerdere cells die via het circuit van Tor-servers zijn gegaan, om zo herordening te voorkomen, en nog een geheime gedeelde key, om zo de digest onvoorspelbaar te maken. Volgens het Tor Project is deze opzet kwetsbaar voor verschillende soorten aanvallen. Het gaat onder andere om een aanval waarbij een aanvaller bepaald verkeer in één plek in het netwerk aanpast om zo voorspelbare aanpassingen in een ander deel van het netwerk waar te nemen. De ontwikkelaars stellen dat ze het huidige encryptie-algoritme vandaag de dag dan ook niet meer zo zouden bouwen. "Daarom gaan we het vervangen." De ontwikkelaars stellen dat ze het algoritme al eerder wilden vervangen, maar daarbij tegen problemen aanliepen op het gebied van ontwerp en efficiëntie. De oplossing is gevonden in Counter Galois Onion. Dit algoritme zorgt ervoor dat als iemand de versleutelde data probeert te manipuleren, het gehele bericht, en alle toekomstige berichten, niet meer te recoveren zijn. Dit moet "tagging" aanvallen, waarbij aanvallers naar voorspelbare patronen zoeken, voorkomen. Daarnaast biedt het forward secrecy en is de nu gebruikte 4-byte authenticator voor het onvoorspelbaar maken van digests vervangen door een 16-byte authenticator. Het Tor Project wil het nieuwe algoritme nu stapsgewijs gaan implementeren. bron: https://www.security.nl