Captain Kirk

Ben even wat gaan rondzoeken en kom de onderstaande suggesties tegen: Soft reset Soms loopt je Samsung-tablet vast en is er met geen mogelijkheid beweging in te krijgen. Je kunt in dit geval niet meer via de instellingen een reset uitvoeren. Gelukkig is hier een trucje voor. Je tablet start vanzelf opnieuw op als je de aan/uit-knop en de volume-omlaagknop minimaal 7 seconden tegelijkertijd vasthoudt. Dit is eigenlijk hetzelfde als de eerder beschreven soft reset, al hoef je hier de knop ‘opnieuw opstarten’ niet te gebruiken, iets wat ook niet kan als je tablet is vastgelopen. Hoe reset je een Samsung-tablet zonder toegangscode? Wanneer een Samsung-tablet opnieuw start, heb je een toegangscode nodig om het apparaat weer te gebruiken. Als je deze toegangscode niet hebt, is in het uiterste geval een hard reset nodig. Maar hoe doe je dat, als je niet bij de instellingen kunt komen? Schakel je tablet uit of laat hem leeglopen. Druk de aan/uit-knop en de volume-omhoogknop tegelijk in. Je komt dan op een zwart schermmenu met kleurenletters. Met de volume-omlaagknop ga je naar ‘wis gegevens/fabrieksreset’. Dit selecteer je met behulp van de aan/uit-knop. Let op: je wist al je gegevens. Hoop voor je dat een van deze opties voor je werkt.

In aanloop naar de zomervakantie heeft de Duitse overheid verschillende digitale beveiligingstips voor vakantiegangers online gezet, waaronder het voorzichtig zijn met openbare wifi-netwerken en het vermijden van usb-oplaadstations. Op een aantal van de tips, die jaarlijks door overheidsinstanties uit verschillende landen worden gegeven, hebben experts en organisaties al geruime tijd kritiek. Volgens het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, kunnen bij openbare usb-oplaadstations en onbekende oplaadkabels data worden verstuurd. Daarom wordt aangeraden alleen eigen opladers en kabels te gebruiken. Mogelijke aanvallen via usb-oplaadstations of -kabels worden juice jacking genoemd. Er zijn echter geen concrete voorbeelden van dergelijke aanvallen in de praktijk bekend. De Amerikaanse burgerrechtenbeweging EFF noemde dit soort waarschuwingen eerder al 'bangmakerij'. Ook het voorzichtig zijn met het gebruik van openbare wifi-netwerken, waarbij het BSI opmerkt dat een vpn extra beveiliging kan bieden, is een advies waar geregeld kritiek op is. Zo stelde de EFF eerder dat de meeste websites inmiddels HTTPS gebruiken dat afluisteren van het internetverkeer voorkomt. Afgelopen december werd echter nog een 44-jarige Australische man veroordeeld tot een gevangenisstraf van zeven jaar en vier maanden voor het uitvoeren van phishingaanvallen via een 'evil twin' wifi-netwerk. Het BSI adviseert vakantiegangers verder om hun reisdocumenten alleen via vertrouwde kanalen op te vragen, voorzichtig te zijn met het delen van persoonlijke informatie, bijvoorbeeld via vakantiefoto's, locatiegegevens op social media of out-of-office replies, het instellen van schermvergrendeling en het voor vertrek beveiligen van accounts met behulp van tweefactorauthenticatie (2FA). bron: https://www.security.nl

Het Nationaal Cyber Security Centrum (NCSC) roept beheerders en eigenaren van WordPress-sites op om hun website te beveiligen tegen malware. Aanleiding is een internationale politieoperatie tegen het SocGholish-botnet. Het botnet maakte gebruik van gestolen inloggegevens om WordPress-sites van malafide code te voorzien waarmee werd geprobeerd om bezoekers van de websites te infecteren. De malafide code laat bezoekers geloven dat ze een browser-update moeten installeren. In werkelijkheid gaat het om malware "Daarom roepen we eigenaren van Wordpress-sites op om actie te ondernemen en bezoekers om alert te zijn op verdachte updates", aldus het NCSC. De politie liet eerder al weten dat het in Nederland de hackbevoegdheid heeft ingezet om besmette WordPress-sites op te schonen. Het NCSC meldt dat het eigenaren van gehackte WordPress-sites actief informeert. "Ben je beheerder van een WordPress website, en heb je geen notificatiemail ontvangen van het NCSC, raden we alsnog aan om met de genoemde adviezen aan de slag te gaan." De overheidsinstantie geeft een reeks adviezen voor het beveiligen van WordPress-sites. Het gaat om het controleren of er admin-accounts zijn die beginnen met wp-maintenance- of wp-backup, het inschakelen van MFA, het beperken van toegang tot /wp-admin met IP-whitelisting, het beperken van het aantal admins, het gebruik van sterke wachtwoorden, het inschakelen van logging, het aanzetten van meldingen voor ongewone acties, het blokkeren van de uitvoer van php-bestanden in de uploads map, het up-to-date houden van WordPress, plug-ins en themes, het zorgen voor goede back-ups en monitoring. "Vermoed je misbruik? Zet de site tijdelijk in onderhoud, herstel bij voorkeur vanaf een schone back-up, breng het systeem up-to-date en verander alle wachtwoorden", gaat het advies verder. bron: https://www.security.nl

Aanvallers maken op grote schaal misbruik van een kwetsbaarheid in de Gravity SMTP plug-in voor WordPress, zo meldt cybersecuritybedrijf Wordfence. Via het beveiligingslek kunnen ongeauthenticeerde aanvallers configuratiedata. API keys, secrets en OAuth tokens stelen. Gravity SMTP is een plug-in die WordPress-sites kunnen gebruiken voor het versturen van e-mail. Het gaat om een betaalde plug-in die naar schatting op zo'n 100.000 websites draait. Een REST API endpoint, die zonder authenticatie voor iedereen toegankelijk is, maakt het mogelijk om allerlei configuratiegegevens en vertrouwelijke data op te vragen. Het gaat dan ook om tokens gebruikt voor de integratie met e-maildiensten, zoals Amazon SES, Google, Mailjet, Resend en Zoho. Aanvallers kunnen zo e-mails in naam van de website versturen en informatie over de software stack van de website verzamelen, wat voor verdere aanvallen is te gebruiken. De ontwikkelaar kwam op 17 maart met een update voor het probleem. Volgens Wordfence maken aanvallers sinds 5 mei misbruik van de kwetsbaarheid. Sinds die datum zag het cybersecuritybedrijf naar eigen zeggen meer dan zeventien miljoen aanvalspogingen. Hoeveel websites met Gravity SMTP de beschikbare update niet hebben geïnstalleerd is onbekend. bron: https://www.security.nl

Criminelen hebben de wachtwoorden van 74.000 Fortinet-firewalls gekraakt en bieden de toegang nu aan op internet, zo waarschuwen beveiligingsonderzoekers. Het zou ook gaan om Nederlandse organisaties, waaronder onderwijsinstellingen en overheidsinstanties, zo claimt cybersecuritybedrijf Hudson Rock in een blogposting. Volgens Hudson Rock weten de criminelen actief 'SSL VPN authentication hashes' te onderscheppen. Vervolgens worden de hashes door middel van een cluster bestaande uit 45 GPU's gekraakt. Zodra de aanvallers toegang hebben proberen ze naar interne Active Directory-omgevingen te bewegen en zo verdergaande toegang te krijgen. Verdere details over de aanvallen geeft Hudson Rock niet, behalve dat allerlei bekende bedrijven en organisaties zijn getroffen, waaronder Samsung, PwC, Lenovo, Siemens, Accenture en Oracle. Het cybersecuritybedrijf laat ook weten dat Nederlandse organisaties zijn getroffen. De gestolen inloggegevens worden nu op internet aangeboden, zo meldt de Britse beveiligingsonderzoeker Kevin Beaumont. Hij stelt dat de aangeboden data echt is. Volgens de onderzoeker weten de aanvallers op nog onbekende wijze de configuratie van Fortinet-firewalls te dumpen en vervolgens de wachtwoordhashes te kraken. Update Beaumont heeft inmiddels meer informatie over de aanvallen gepubliceerd. Hij merkt op dat aanvallers via de gecompromitteerde inloggegevens remote toegang tot de firewall en achterliggende netwerk kunnen krijgen. Beaumont herhaalt dat het nog altijd onbekend is hoe de aanvallers de firewallconfiguratie weten te dumpen. Wel maakt Fortinet sinds een jaar gebruik van het PBKDF2-algoritme voor het hashen van wachtwoorden, wat het kraken van hashes veel lastiger maakt. De nieuwe hashingmethode gebruikt de firewall echter alleen als beheerders na het installeren van de updates ook hebben ingelogd, aldus de beveiligingsonderzoeker. Daardoor kan het dat veel Fortinet-firewalls nog steeds wachtwoorden via SHA-256 met een salt hebben opgeslagen, wat de gemaakte hashes kwetsbaar maakt voor bruteforce-aanvallen, voegt Beaumont toe. bron: https://www.security.nl

Door middel van een gehackt account is een groot aantal Mastra npm-packages voorzien van malware, zo waarschuwen cybersecuritybedrijven. Mastra biedt een framework voor het ontwikkelen, testen en uitrollen van AI-agents en -applicaties. Bij de aanval zijn meer dan 140 packages die Mastra aanbiedt voorzien van infostealer-malware. De malware zou onder andere browsergeschiedenis en opgeslagen data van meer dan 160 browser-extensies van cryptowallets stelen. Daarbij hanteert de malware unieke payloads voor Linux, macOS en Windows. Tevens installeert malware een methode om ook na een reboot van het systeem actief te blijven. Volgens cybersecuritybedrijf SafeDep hebben de aanvallers het account van een voormalige Mastra contributor gehackt. Het account was al zestien maanden niet meer in gebruik, maar had nog steeds allerlei rechten. Via het gehackte account werden vervolgens de malafide packages gepubliceerd. Cybersecuritybedrijf Socket adviseert eigenaren van 'high-value' cryptowallets om uit voorzorg het geld in de wallet naar een nieuwe wallet over te maken. StepSecurity, JFrog en Microsoft zijn ook met analyses van de aanval gekomen, alsmede Indicators of Compromise waarmee organisaties en ontwikkelaars kunnen kijken of hun systemen zijn gecompromitteerd. Microsoft adviseert om meteen naar een oudere versies van de packages te downgraden en gebruik te maken van lockfiles. bron: https://www.security.nl

Microsoft verwacht dat aanvallers misbruik zullen maken van een kwetsbaarheid in de in Windows ingebouwde antivirussoftware Defender waardoor systemen volledig zijn over te nemen. Het beveiligingslek heeft de naam 'RoguePlanet' gekregen en een update is nog niet beschikbaar. Wel is al een aantal dagen op internet proof-of-concept exploitcode te vinden om misbruik van het probleem te maken. Microsoft zegt aan een patch te werken. Een week geleden publiceerde een onderzoeker details over een kwetsbaarheid in Defender waardoor een lokale gebruiker of een aanvaller die al toegang tot een systeem heeft SYSTEM-rechten kan krijgen. Hiermee heeft een aanvaller volledige controle over het systeem. De betreffende onderzoeker publiceerde eerder al verschillende andere kwetsbaarheden in Windows, waaronder een lek in encryptiesoftware BitLocker genaamd YellowKey. Voor alle beveiligingslekken waren op het moment van de publicatie nog geen beveiligingsupdates van Microsoft beschikbaar. Ook in het geval van RoguePlanet zijn er geen patches beschikbaar. Microsoft kwam gisterenavond met een beveiligingsbulletin voor het probleem in de Defender Malware Protection Engine, aangeduid als CVE-2026-50656. Daarin meldt het techbedrijf dat misbruik van de kwetsbaarheid 'more likely' is en er wordt gewerkt aan een patch. Wanneer die beschikbaar zal zijn staat niet vermeld. bron: https://www.security.nl

Verschillende kritieke kwetsbaarheden in Google Chrome kunnen aanvallers toegang tot het systeem van gebruikers geven, zo laat Google weten. Het techbedrijf heeft updates uitgebracht om de problemen te verhelpen. De afgelopen weken kwam Google meerdere keren met patches voor kritieke beveiligingslekken die remote code execution mogelijk maken. Alleen het bezoeken van een gehackte of malafide website of te zien krijgen van besmette advertenties is dan voldoende. Er is geen verdere interactie van gebruikers vereist om misbruik van dergelijke lekken mogelijk te maken. De nieuwste Chrome-update verhelpt in totaal 33 kwetsbaarheden, waarvan er 32 door Google werden gevonden. Zeven van de beveiligingslekken, allemaal door Google gerapporteerd, zijn aangemerkt als kritiek. Zes van de zeven kritieke problemen betreffen een 'use after free' kwetsbaarheid. De problemen zijn aanwezig in verschillende onderdelen van de browser, waaronder Web Authentication, Passwords, Digital Credentials, WebView en WebShare. Google Chrome 149.0.7827.155/.156 is beschikbaar voor macOS en Windows. Voor Linux is versie 149.0.7827.155 verschenen. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan echter een aantal dagen tot weken duren. Gebruikers die de update direct willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om betaalde WordPress-plug-ins van leverancier ShapedPlugin te voorzien van een backdoor. Het gaat om Product Slider Pro for WooCommerce, Real Testimonials Pro en Smart Post Show Pro, zo meldt cybersecuritybedrijf Wordfence in een analyse. Bij de aanval werd de ontwikkel- en distributieomgeving van de softwareleverancier gecompromitteerd. Aanvallers konden zo een backdoor aan de plug-ins toevoegen. ShapedPlugin biedt zowel gratis als betaalde plug-ins. De betaalde versies ontvangen updates van de upateserver van de leverancier. De toevoegde malware biedt aanvallers niet alleen toegang tot gecompromitteerde sites, maar steelt daarnaast gebruikersnamen en wachtwoorden, session cookies en TOTP seeds van verschillende tweefactorauthenticatie 2FA plug-ins. Met gestolen wachtwoorden en TOTP seeds kunnen aanvallers de 2FA omzeilen. De gratis versies van de plug-ins die ShapedPlugin biedt werden niet voorzien van een backdoor, maar de aanvallers hadden hiertoe wel de mogelijkheid, aldus Wordfence. ShapedPlugin stelt in een reactie dat het aan nieuwe opgeschoonde versies werkt en eerst uitgebreid onderzoek zal doen om ervoor te zorgen dat de code volledig veilig is voordat die wordt uitgerold. Hoe de aanvallers toegang tot de omgeving van de softwareontwikkelaar konden krijgen is niet bekend. Wordfence stelt dat supplychain-aanvallen steeds vaker voorkomen in alle software, waaronder WordPress-software. Daarnaast noemt het cybersecuritybedrijf het zorgwekkend dat op WordPress gerichte malware niet alleen meer wachtwoorden steelt, maar aanvallers het ook hebben voorzien op 2FA-secrets. bron: https://www.security.nl

Oracle heeft tijdens de patchronde van juni organisaties gewaarschuwd voor een groot aantal kritieke kwetsbaarheden in verschillende producten. Elf van de beveiligingslekken hebben de maximale CVSS-impactscore van 10.0 op een schaal van 1 tot en met 10, waaronder WebLogic Server, een product dat in het verleden vaker doelwit van aanvallen is geweest. Oracle roept klanten op om de beschikbaar gestelde beveiligingsupdates meteen te installeren. Jarenlang kwam Oracle eens per kwartaal met patches. Recentelijk maakte het bedrijf bekend dat het vanwege AI, waardoor kwetsbaarheden veel sneller worden gevonden, maandelijks updates gaat uitbrengen. In mei verscheen de eerste Critical Security Patch Update. Nu is de tweede maandelijkse patchronde verschenen, die 245 beveiligingsupdates bevat. Het gaat om patches voor een groot aantal kritieke kwetsbaarheden. Elf van de kwetsbaarheden hebben zoals gezegd de maximale CVSS-impactscore van 10.0 en 41 zijn er beoordeeld met een score van 9.9. De grootste problemen zijn aanwezig in Oracle E-Business Suite, Oracle Enterprise Manager, Oracle Fusion Middleware, Oracle JD Edwards en Oracle MySQL. Hieronder vallen verschillende softwareproducten, waaronder meerdere producten die eerder doelwit van aanvallen waren, zoals WebLogic Server, PeopleSoft, Fusion Middleware, E-Business Suite en Oracle Agile Product Lifecycle Management (PLM). Een aantal dagen geleden kwam Oracle ook met een noodpatch voor een kwetsbaarheid in PeopleSoft. Oracle meldt in het beveiligingsbulletin in dik gedrukte letters dat het meldingen blijft ontvangen van klanten die gehackt zijn via kwetsbaarheden waarvoor patches al beschikbaar waren. Klanten hadden nagelaten de updates te installeren. Oracle adviseert dan ook om de nu uitgebrachte updates meteen uit te rollen. bron: https://www.security.nl

Een onbekend aantal WordPress-sites is voorzien van een backdoor en malafide admin-account nadat plug-in-leverancier OptinMonster getroffen werd door een supplychain-aanval. OptinMonster biedt de plug-ins OptinMonster, TrustPulse en PushEngage, onder andere gebruikt voor e-mailmarketing, 'lead generation' en het genereren van meer omzet. De plug-ins draaien op meer dan 1,2 miljoen websites, waarbij OptinMonster met meer dan een miljoen installaties de populairste is. Volgens OptinMonster hebben aanvallers toegang gekregen tot het content delivery network (CDN) dat het gebruikt, en daarvandaan vervolgens malware verspreid op WordPress-sites die de plug-ins geïnstalleerd hebben. In een bericht over de aanval stelt OptinMonster dat aanvallers een bekende kwetsbaarheid gebruikten in de WordPress-plug-in UpdraftPlus om toegang te krijgen tot de server waarop de marketingwebsite van het bedrijf draait. Op deze server werd een API key voor het CDN-account van OptinMonster gevonden. Met deze key konden de aanvallers de bestanden aanpassen die via het CDN worden aangeboden. Bij de aanval werd een malafide script naar WordPress-sites gestuurd die de OptinMonster-plug-ins gebruiken. Dit script zorgde ervoor dat erop WordPress-sites waarop de beheerder was ingelogd een verborgen admin-account werd aangemaakt en een verborgen backdoorplug-in werd geïnstalleerd. OptinMonster stelt dat het malafide script alleen geactiveerd werd bij ingelogde beheerders. De backdoor die bij de aanval werd toegevoegd is niet zichtbaar in het WordPress-dashboard. Beheerders zullen dan ook een check moeten uitvoeren op het filesystem van de server. OptinMonster en cybersecuritybedrijf Sansec hebben Indicators of compromise (IoC's) gepubliceerd waarmee organisaties kunnen zien of hun WordPress-site is gecompromitteerd. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Fortinet FortiSandbox is een aantal dagen na de bekendmaking al misbruikt bij aanvallen, zo meldt securitybedrijf Defused. Fortinet kwam op 9 juni met beveiligingsupdates voor het probleem, aangeduid als CVE-2026-25089. Gisterenavond meldde Defused via X dat het actief misbruik van het beveiligingslek heeft waargenomen. De Fortinet FortiSandbox is een server die verdachte bestanden en url's die een organisaties binnenkomen op malware controleert. Het is met allerlei andere producten en oplossingen van Fortinet te integreren. Het systeem gaat niet goed om met 'speciale elementen' die het toegestuurd krijgt. Een ongeauthenticeerde aanvaller kan hier misbruik van maken door speciaal geprepareerde HTTP requests naar de server te sturen, waarna het mogelijk is om commando's op het systeem uit te voeren. Naast CVE-2026-25089 maken aanvallers volgens Defused ook misbruik van twee andere FortiSandbox-lekken (CVE-2026-39813 en CVE-2026-39808) waarvoor op 14 april updates verschenen. Via deze problemen kan een ongeauthenticeerde aanvaller respectievelijk willekeurige code en commando's op de server uitvoeren en de authenticatie omzeilen om zo toegang tot het systeem te krijgen. Verdere details over de aanvallen zijn niet gegeven. bron: https://www.security.nl

Google heeft beveiligingsupdates voor Chrome uitgebracht die meerdere kritieke kwetsbaarheden verhelpen die remote code execution (RCE) mogelijk maken. Een aanvaller kan hierdoor malafide code op de systemen van Chrome-gebruikers uitvoeren, waarbij alleen het bezoeken van een gehackte of malafide website of te zien krijgen van besmette advertenties voldoende is. Er is geen verdere interactie van gebruikers vereist. De afgelopen weken ontdekte Google een groot aantal kritieke beveiligingslekken in Chrome die tot remote code execution kunnen leiden. Hoewel de eerste zes maanden van 2026 nog niet voorbij zijn, is nu al duidelijk dat dit jaar het grootste aantal kritieke lekken in Chrome tot en met dit jaar gevonden is. Wat tevens opvalt is dat nagenoeg alle kritieke kwetsbaarheden door Google zijn gevonden. De nieuwste Chrome-update verhelpt in totaal 28 beveiligingslekken, daarvan zijn er 27 door Google gerapporteerd. De in totaal vijf kritieke lekken kwamen allemaal voor rekening van het techbedrijf. Google Chrome 149.0.7827.114/.115 is beschikbaar voor macOS en Windows. Voor Linux is versie 149.0.7827.114 verschenen. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan echter een aantal dagen tot weken duren. Gebruikers die de update direct willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar. bron: https://www.security.nl

De criminele groepering ShinyHunters claimt dat het van honderden Oracle PeopleSoft-servers data heeft gestolen. Dat meldt een beveiligingsonderzoeker op X. De aanvallen zijn gericht tegenover zowel cloud als on-premises Oracle PeopleSoft-omgevingen. De groep laat tegenover Bleeping Computer weten dat er een combinatie van oude en nieuwe kwetsbaarheden wordt gebruikt om servers te compromitteren. PeopleSoft is een enterprise resource planning (ERP) software suite voor allerlei zakelijke toepassingen, zoals HR, financiën, salarisadministratie en supply chain management. ShinyHunters claimt dat het meer dan driehonderd Oracle PeopleSoft-servers van meer dan honderd organisaties heeft gehackt. Eén van de getroffen organisaties is volgens de aanvallers de University of Nottingham. Daar werden persoonlijke gegevens van ruim 450.000 mensen gestolen, waaronder paspoortnummers, adresgegevens en e-mailadressen. Oracle kwam gisterenavond met een noodpatch voor een kritiek lek in PeopleSoft, maar maakt in het beveiligingsbulletin geen melding van actief misbruik. ShinyHunters wist eerder bij Odido de persoonlijke gegevens van meer dan zes miljoen mensen te stelen, die op internet werden gepubliceerd nadat Odido weigerde om losgeld te betalen. bron: https://www.security.nl

Aanvallers maken op grote schaal misbruik van een kritieke kwetsbaarheid in Ivanti Sentry, waarbij servers van een backdoor worden voorzien, zo waarschuwt The Shadowserver Foundation op basis van eigen onderzoek. Het gaat om beveiligingslek CVE-2026-10520, waarvan de impact de maximale CVSS-score van 10.0 op een schaal van 1 tot en met 10 heeft. Ivanti Sentry is software die wordt gebruikt voor het beheren en beveiligen van apparaten binnen een organisatie, vaak in combinatie met het Ivanti EPMM-systeem, zo laat het Nationaal Cyber Security Centrum (NCSC) weten. CVE-2026-10520 betreft een kwetsbaarheid waardoor OS command injection mogelijk is. Een ongeauthenticeerde remote aanvaller kan zo willekeurige code met rootrechten op de server uitvoeren en zo het systeem volledig overnemen. Ivanti kwam afgelopen dinsdag 9 juni met updates, die ook een ander kritiek lek verhelpen, en liet weten dat het nog niet met misbruik bekend was. Een dag later kwam cybersecuritybedrijf watchTowr met een blogposting waarin het beveiligingslek uitgebreid werd beschreven. "Er is een gedetailleerde blogpost gepubliceerd waarin de kwetsbaarheden in detail worden uitgelegd. Ook is inmiddels bekend dat de Ivanti Sentry via de Ivanti EPMM bereikt kan worden. De publicatie van deze blogpost vergroot de kans op misbruik", meldde het NCSC gisteren. Inmiddels maken aanvallers op grote schaal misbruik van het probleem, waarbij servers worden voorzien van een backdoor, aldus The Shadowserver Foundation. De stichting houdt zich bezig met onderzoek naar kwetsbare systemen op internet en beschikt ook over allerlei honeypots om aanvallen te detecteren. Verdere details over de aanvallen zijn nog niet bekend. bron: https://www.security.nl

Oracle heeft buiten de vaste patchcyclus om een noodpatch uitgebracht voor een kritieke kwetsbaarheid in PeopleSoft Enterprise PeopleTools waardoor remote code execution (RCE) mogelijk is. Organisaties worden opgeroepen de update meteen te installeren. Oracle's PeopleSoft Enterprise PeopleTools is de softwarelaag waarop PeopleSoft-applicaties worden ontwikkeld. Deze applicaties worden onder andere gebruikt voor HR, finance en administratieve toepassingen. PeopleTools biedt 'system-level' functionaliteit voor alle PeopleSoft-applicaties die er gebruik van maken, zo laat Oracle weten. De kritieke kwetsbaarheid, aangeduid als CVE-2026-35273, maakt het voor een ongeauthenticeerde aanvaller mogelijk om code op het systeem uit te voeren. Misbruik is volgens Oracle eenvoudig. Het bedrijf geeft geen details over de kwetsbaarheid, behalve dat die in het 'Updates Environment Management' onderdeel aanwezig is. Het beveiligingslek was gerapporteerd door onderzoekers van cybersecuritybedrijf Trend Micro. bron: https://www.security.nl

Microsoft heeft een beveiligingsupdate uitgebracht voor een actief aangevallen cross-site scripting (XSS) lek in Exchange Server en roept organisaties en beheerders op om de patch zo snel mogelijk te installeren. Op 14 mei kwam Microsoft al met een waarschuwing voor de kwetsbaarheid, aangeduid als CVE-2026-42897. Via het lek kan een aanvaller door middel van een speciaal geprepareerde e-mail JavaScript in de browser van Outlook Web Access-gebruikers uitvoeren. Zo kan er toegang tot e-mail en andere informatie worden verkregen. Microsoft werd door een externe partij over het misbruik ingelicht, maar heeft de naam van de melder niet bekendgemaakt. Verdere details over de aanvallen zijn ook niet gegeven. Het probleem raakt Microsoft Exchange Server 2016, Exchange Server 2019 en de Exchange Server Subscription Edition. Op het moment van de waarschuwing was er alleen een tijdelijke mitigatie beschikbaar. Nu is er een volledige beveiligingsupdate uitgebracht, zo meldt het techbedrijf. Klanten die de tijdelijke mitigatie voor het probleem eerder al van Microsoft ontvingen of uitrolden worden opgeroepen die te behouden en de update zo snel mogelijk te installeren. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om in te breken op de omgevingen van ServiceNow-klanten, waarbij er ook toegang tot klantgegevens is verkregen, zo heeft het bedrijf zelf laten weten. Vanwege de aanval heeft ServiceNow een beveiligingsupdate onder 'hosted customer instances' uitgerold. ServiceNow biedt een platform voor het automatiseren van workflows, vooral gericht op it-servicemanagement. In een bericht aan klanten laat ServiceNow weten dat een 'security issue' ervoor zorgde dat een ongeauthenticeerde gebruiker in bepaalde gevallen verdere toegang tot ServiceNow-omgevingen kreeg dan bedoeld. Bij de omgevingen van een niet nader genoemd aantal klanten heeft de aanvaller ook informatie opgevraagd. Om welke informatie het precies gaat laat de melding niet weten. Deze klanten zijn inmiddels ingelicht, aldus ServiceNow. Het bedrijf stelt dat het beveiligingsprobleem alleen klanten heeft geraakt die op de 'Australia platform release' zitten of bepaalde configuratie-aanpassingen aan eerdere versies hebben doorgevoerd. Australia is de naam die ServiceNow voor een bepaalde versie hanteert. De update die ServiceNow bij klanten heeft doorgevoerd wijzigt de endpoint-configuratie, zodat alleen geauthenticeerde gebruikers toegang hebben. Het is nog onbekend of een CVE-nummer aan het door de aanvallers gebruikte 'security issue' wordt toegekend. bron: https://www.security.nl

Adobe adviseert beheerders om een kritieke beveiligingsupdate voor ColdFusion zo snel mogelijk te installeren, waarbij als voorbeeld binnen 72 uur wordt genoemd. Kwetsbaarheden in ColdFusion zijn in het verleden geregeld misbruikt bij aanvallen. ColdFusion is een platform voor het ontwikkelen van webapplicaties. Adobe meldt dat ColdFusion verschillende kritieke beveiligingslekken bevat waardoor een aanvaller willekeurige code kan uitvoeren, beveiligingsmaatregelen kan omzeilen, willekeurige bestanden kan lezen en rechten kan verhogen. De problemen zijn verholpen in ColdFusion 2025 Update 9 en ColdFusion 2023 Update 20. Adobe heeft het installeren van de updates de hoogste prioriteitsscore gegeven. Het doet dit alleen in het geval van producten die in het verleden zijn aangevallen of kans lopen om te worden aangevallen. Adobe is niet bekend met misbruik van de nu verholpen problemen. Het Amerikaanse cyberagentschap CISA houdt een overzicht bij van aangevallen kwetsbaarheden in allerlei producten. In het overzicht staan zestien ColdFusion-lekken waarvan is bevestigd dat ze bij aanvallen zijn ingezet. bron: https://www.security.nl

Tijdens de patchdinsdag van juni heeft Microsoft updates voor meer dan tweehonderd kwetsbaarheden uitgebracht, waaronder een beveiligingslek in de Windows-kernel waardoor remote code execution mogelijk is en een bypass voor de BitLocker-encryptie die fysieke aanvallers toegang tot versleutelde data geeft. Tevens zijn verschillende andere kritieke beveiligingslekken gepatcht waardoor een remote aanvaller code op systemen kan uitvoeren. Eén van de gevaarlijkst beveiligingslekken deze maand is CVE-2026-45657. Het gaat om een 'use after free'-kwetsbaarheid in de Windows-kernel, veroorzaakt door de manier waarop de Windows-kernel bepaalde TCP/IP-data verwerkt. Een aanvaller kan dit misbruiken om, zonder enige interactie van de gebruiker, code met SYSTEM-rechten op het systeem uit te voeren. Misbruik is mogelijk door speciaal geprepareerd netwerkverkeer naar een kwetsbaar Windows-systeem te sturen. Dustin Childs van cybersecuritybedrijf ZDI waarschuwt dat een computerworm misbruik van het lek zou kunnen maken. De kwetsbaarheid is aanwezig in Windows 11, Windows Server 2022 en Windows Server 2025. Twee beveiligingslekken, aanwezig in HTTP.sys (CVE-2026-47291) en de DHCP Client Service (CVE-2026-44815), maken ook remote code execution mogelijk en hebben dezelfde impactscore van 9.8 als het beveiligingslek in de Windows-kernel. Tevens is Microsoft met een patch gekomen voor een kwetsbaarheid (CVE-2026-50507) waardoor de BitLocker-schijfversleuteling te omzeilen is. Voorwaarde is wel dat een aanvaller fysieke toegang tot het systeem heeft. Microsoft verwacht dat aanvallers misbruik van de kwetsbaarheid zullen maken. Eerder had softwarebedrijf Elcomsoft, dat forensische software voor politie en opsporingsdiensten ontwikkelt, gesteld dat forensisch onderzoekers het lek kunnen gebruiken om toegang tot data op systemen te krijgen. De Windows-updates worden op de meeste systemen automatisch geïnstalleerd. bron: https://www.security.nl

Een kritieke kwetsbaarheid in de software van Veeam maakt remote code execution op back-upservers mogelijk. Het bedrijf heeft updates uitgebracht om het probleem te verhelpen. Het beveiligingslek bevindt zich in de back-upsoftware Veeam Backup & Replication. Via deze oplossing kunnen organisaties back-ups maken en restoren. Het lek (CVE-2026-44963) zorgt ervoor dat een geauthenticeerde domain user willekeurige code op de back-upserver kan uitvoeren. In het beveiligingsbulletin meldt Veeam dat de kwetsbaarheid alleen versie 12 van Backup & Replication raakt. Daarnaast lopen alleen 'domain-joined' back-upservers risico. Eerder liet cybersecuritybedrijf Rapid7 weten dat dit een veelvoorkomende configuratie is. Veeam maakt geen melding van misbruik van het probleem. Andere Veeam-lekken zijn echter wel in het verleden bij aanvallen ingezet. Het Amerikaanse cyberagentschap CISA houdt een overzicht bij van actief aangevallen kwetsbaarheden. Daarin staan vier verschillende Veaam-kwetsbaarheden vermeld. bron: https://www.security.nl

Twee kritieke kwetsbaarheden in Ivanti Sentry maken het mogelijk voor ongeauthenticeerde aanvallers om kwetsbare servers volledig op afstand over te nemen. Ivanti heeft vandaag beveiligingsupdates uitgebracht om de problemen te verhelpen en zegt niet met misbruik bekend te zijn. De impact van de twee kwetsbaarheden (CVE-2026-10520 en CVE-2026-10523) is op een schaal van 1 tot en met 10 beoordeeld met respectievelijk een 10.0 en 9.9. Ivanti Sentry is een gateway die verkeer tussen mobiele apparaten en mailservers van de organisatie of andere backends beheert, versleutelt en beveiligt. CVE-2026-10520 betreft een kwetsbaarheid waardoor OS command injection mogelijk is. Een ongeauthenticeerde remote aanvaller kan zo willekeurige code met rootrechten op de server uitvoeren en zo het systeem volledig overnemen. Via CVE-2026-10523 kan een ongeauthenticeerde aanvaller de authenticatie omzeilen, willekeurige admin-accounts aanmaken en volledige admin-toegang krijgen. Zoals gezegd is Ivanti niet bekend met misbruik van de twee Sentry-lekken. Andere kwetsbaarheden in het product zijn in het verleden wel bij aanvallen misbruikt. Organisaties worden opgeroepen om de beschikbare beveiligingsupdates te installeren. bron: https://www.security.nl

Aanvallers maken nog altijd misbruik van een oud beveiligingslek in het populaire archiveringsprogramma WinRAR, zo meldt antivirusbedrijf Trend Micro. Volgens de virusbestrijder blijven aanvallers de kwetsbaarheid inzetten omdat die lastig voor organisaties te patchen is. Het path traversal-lek (CVE-2025-8088) zorgt ervoor dat een aanvaller bestanden naar willekeurige mappen kan schrijven als het doelwit een speciaal geprepareerd bestand opent. De gebruiker krijgt als afleidingsmanoeuvre bijvoorbeeld een pdf-document te zien, terwijl er in de achtergrond een bestand in de Windows Startup map is geplaatst. Dit bestand wordt de volgende keer dat de gebruiker inlogt automatisch uitgevoerd en zorgt ervoor dat het systeem met malware besmet raakt. Het probleem werd op 24 juli vorig jaar verholpen in de bètaversie van WinRAR 7.13. De definitieve versie van WinRAR 7.13 verscheen op 30 juli. Aanvallers maakten al voor het verschijnen van de updates misbruik van het probleem. Google meldde begin dit jaar grootschalig misbruik van het WinRAR-lek door verschillende groepen aanvallers. Een half jaar later wordt de kwetsbaarheid nog altijd bij aanvallen ingezet, aldus Trend Micro. "De kwetsbaarheid werkt omdat WinRAR op genoeg endpoints niet gepatcht is", aldus de virusbestrijder. Hierdoor loont het voor aanvallers om misbruik van het lek te blijven maken. WinRAR beschikt niet over een automatische updatefunctie, ondersteunt geen Group Policy en valt buiten zakelijke patchsystemen zoals WSUS, SCCM of Intune, merkt het antivirusbedrijf op. Het controleren van de patchstatus op honderden endpoint vereist zodoende third-party tools of een handmatige controle, aldus Trend Micro. "Software met deze eigenschappen blijft lang te misbruiken nadat patches zijn verschenen, wat voor een permanente blinde vlek in het vulnerability management van organisaties zorgt." bron: https://www.security.nl

Aanvallers maken actief misbruik van kwetsbaarheden in de WordPress-plug-ins Everest Forms Pro en Burst Statistics voor het aanvallen van websites. Via de beveiligingslekken kunnen ongeauthenticeerde aanvallers onder andere zelf een admin-account aanmaken en zo de website volledig overnemen. Burst Statistics is een plug-in waarmee WordPress-sites allerlei informatie over hun bezoekers kunnen verzamelen. De plug-in wordt door de ontwikkelaars omschreven als een 'privacyvriendelijk' alternatief voor Google Analytics. Burst Statistics is op meer dan tweehonderdduizend websites geïnstalleerd. Een functie in de plug-in gebruikt voor de authenticatie controleert niet goed of het opgegeven wachtwoord correct is. Een aanvaller die de naam van administrator weet kan, in combinatie met een fake wachtwoord, een nieuw admin-account aanmaken. De ontwikkelaar kwam op 12 mei met versie 3.4.2 waarin het probleem is verholpen. Volgens cybersecuritybedrijf Wordfence maken aanvallers sinds 13 mei misbruik van het probleem. Het bedrijf publiceerde die dag een blogposting met details over het probleem en zag vervolgens actief misbruik. De afgelopen weken werden meer dan 110.000 aanvalspogingen waargenomen. Everest Forms Pro is ook een plug-in voor WordPress. Via de software kunnen gebruikers hun eigen contactformulieren, nieuwsbrieven, quizzen en betaalformulieren vormgeven. Er is een gratis versie en een betaalde versie. De actief misbruikte kwetsbaarheid bevindt zich in de betaalde versie van de plug-in, die naar schatting op vierduizend websites draait. Via het lek kan een ongeauthenticeerde aanvaller speciaal geprepareerde waardes in een formulier van de WordPress-site invoeren, waardoor het mogelijk is om PHP-code op de onderliggende server uit te voeren. Ook bij deze aanvallen proberen aanvallers een admin-account aan te maken, aldus Wordfence. Het bedrijf zegt dat het zo'n dertigduizend aanvallen gericht tegen dit lek heeft waargenomen. bron: https://www.security.nl

De Europese Commissie heeft vandaag een plan gepresenteerd om Europa digitaal soeverein te maken. Als onderdeel van het 'Technological Sovereignty Package' zal worden geïnvesteerd in halfgeleiders, AI, cloud en open source en komt er ook beleid voor deze onderwerpen. Volgens Brussel is het belangrijk dat Europa op deze belangrijke technologische gebieden op eigen benen kan staan. "Europeanen verdienen het vertrouwen dat hun gegevens in een veilige en betrouwbare digitale omgeving worden opgeslagen, met een duidelijke bescherming tegen ongewenste uitwisseling. Door de structurele afhankelijkheden te verminderen en ervoor te zorgen dat Europa de technologieën kan ontwikkelen, uitrollen en beveiligen waarop Europeanen vertrouwen, bouwen we een veiligere en betrouwbare toekomst voor onszelf", aldus de Europese Commissie. Eén van de onderdelen van het vandaag gepresenteerde pakket is de Europese Opensourcestrategie. Die moet het gebruik van bestaande opensource-oplossingen in de publieke en private sectoren aanmoedigen, Europese organisaties ondersteunen bij het bijdragen aan de ontwikkeling van open source, zoals alternatieven voor Amerikaanse software, en het versterken van het Europese opensource-ecosysteem. De Europese Commissie gaat over de onderliggende wetsvoorstellen nu onderhandelen met het Europees Parlement en de lidstaten. bron: https://www.security.nl