Captain Kirk

Cisco heeft beveiligingsupdates uitgebracht voor een kritieke kwetsbaarheid in Unified Contact Center Express (UCCX) waardoor een ongeauthenticeerde aanvaller op afstand volledige controle over het systeem kan krijgen. UCCX is een oplossing van Cisco waarmee mkb-bedrijven een callcenter kunnen opzetten. De software bevat twee kritieke kwetsbaarheden, aangeduid als CVE-2025-20354 en CVE-2025-20358. De gevaarlijkste kwetsbaarheid van de twee is CVE-2025-20354. Via dit beveiligingslek kan een ongeauthenticeerde aanvaller willekeurige bestanden uploaden en vervolgens willekeurige commando's met rootrechten op de UCCX-server uitvoeren. Volgens Cisco wordt het probleem veroorzaakt door een tekort schietend authenticatiemechanisme. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De anderre kwetsbaarheid, CVE-2025-20358, maakt het mogelijk voor een aanvaller om willekeurige scripts op de UCCX-server uit te voeren met adminrechten. Dit beveiligingslek heeft een impactscore van 9.4 gekregen. Cisco zegt niet bekend te zijn met actief misbruik van de kwetsbaarheden en roept klanten op de beschikbaar gestelde beveiligingsupdates te installeren. bron: https://www.security.nl

Datalekzoekmachine Have I Been Pwned heeft 2 miljard gecompromitteerde e-mailadressen en 1,3 miljard gestolen wachtwoorden aan de al beschikbare data toegevoegd, zo laat oprichter Troy Hunt weten. Het gaat om inloggegevens afkomstig van credential stuffing-lijsten, die werden verzameld en gedeeld door een cybersecuritybedrijf. Bij credential stuffing worden eerder gelekte of gestolen e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven geen maatregelen tegen dergelijke geautomatiseerde aanvallen nemen. Cybersecuritybedrijf Synthient vond op internet meerdere lijsten die criminelen voor het uitvoeren van credential stuffing-aanvallen gebruiken. Het bedrijf deelde de lijsten met Have I Been Pwned. Via de zoekmachine kunnen mensen kijken of hun e-mailadres in een bekend datalek voorkomt of op andere wijze is gecompromitteerd, bijvoorbeeld door malware. In totaal bleken de lijsten bijna 2 miljard gecompromitteerde e-mailaccounts te bevatten en 1,3 miljard gestolen wachtwoorden. De bijna 2 miljard e-mailadressen zijn toegevoegd aan Have I Been Pwned. 76 procent van de e-mailadressen was al bij de datalekzoekmachine bekend. Naast de zoekmachine biedt Have I Been Pwned ook een dataset genaamd Pwned Passwords. Dit is een verzameling van wachtwoorden en wachtwoordhashes die in datalekken voorkomen. Beheerders kunnen bijvoorbeeld via de wachtwoordhashes kijken of die overeenkomen met de wachtwoordhashes in hun omgeving. Van de 1,3 miljard gestolen wachtwoorden waren er 625 miljoen nog niet bekend. bron: https://www.security.nl

WordPress-sites zijn het doelwit van aanvallen waarbij misbruik wordt gemaakt van een kritieke kwetsbaarheid in het Jobmonster Theme, zo laat securitybedrijf Wordfence weten. Via dit theme is een WordPress-website eenvoudig in een vacaturesite te veranderen. Volgens de ontwikkelaars is het theme ruim vijfduizend keer verkocht. De software bevat een kwetsbaarheid in de inlogfunctie, waardoor de identiteit van een gebruiker die wil inloggen niet goed wordt geverifieerd. Via het beveiligingslek kan een ongeauthenticeerde aanvaller de authenticatie omzeilen en toegang tot administrator- en gebruikersaccounts krijgen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De ontwikkelaars kwamen op 18 september met een update, maar in de release notes wordt nergens de aanwezigheid van het beveiligingslek gemeld. Wordfence waarschuwt dat aanvallers inmiddels actief misbruik van het lek maken. Misbruik van de kwetsbaarheid vereist wel dat de optie 'social login' staat ingeschakeld. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in CentOS Web Panel, ook bekend als CWP of Control Web Panel, zo meldt het Amerikaanse cyberagentschap CISA. CWP is een webhosting control panel voor het beheren van op Centos-gebaseerde servers. Een kritieke kwetsbaarheid in de software (CVE-2025-48703) maakt remote code execution door een ongeauthenticeerde aanvaller mogelijk. Enige vereiste is dat de aanvaller een geldige non-root gebruikersnaam weet. De impact van de command injection-kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.0. Afgelopen juni verscheen versie 0.9.8.1205 waarin het probleem is verholpen. De onderzoeker die de kwetsbaarheid ontdekte en rapporteerde stelt dat er afgelopen mei meer dan 200.000 CWP-installaties via zoekmachine Shodan.io op internet waren te vinden. Volgens het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security maken aanvallers actief misbruik van het beveiligingslek. Details over de aanvallen zijn niet gegeven. In juli maakten CWP-gebruikers al melding van misbruik. Amerikaanse overheidsinstanties die van CWP gebruikmaken zijn opgedragen de beveiligingsupdate voor 25 november te installeren. bron: https://www.security.nl

Wereldwijd zijn ruim veertienduizend Cisco-routers en -switches, waaronder 129 in Nederland, geïnfecteerd met de Badcandy-backdoor, zo stelt The Shadowserver Foundation op basis van eigen onderzoek. De Australische overheid kwam vorige week met een waarschuwing voor de backdoor, die via een uit 2023 stammende kwetsbaarheid op apparaten wordt geïnstalleerd. Hoewel de backdoor al geruime tijd bekend is, zijn er nog tal van Cisco-apparaten die ermee besmet zijn. Het beveiligingslek, aangeduid als CVE-2023-20198, bevindt zich in de web user interface van IOS XE, het besturingssysteem dat op routers en switches van Cisco draait. Via de kwetsbaarheid kan een ongeauthenticeerde aanvaller een account met 'privilege 15' aanmaken en zo controle over het systeem krijgen. Het probleem raakt zowel fysieke als virtuele devices die IOS XE draaien. De impact van CVE-2023-20198 is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Zodra de aanvallers achter de Badcandy-backdoor toegang tot een router of switch hebben installeren ze niet alleen de backdoor, maar patchen ook de kwetsbaarheid CVE-2023-20198. Zowel de backdoor als toegepaste patch kunnen een reboot van het apparaat niet overleven. Aanvallers kunnen echter via gestolen inloggegevens of andere kwetsbaarheden wel toegang tot een gecompromitteerd device behouden. The Shadowserver Foundation is een stichting die onderzoek doet naar kwetsbare systemen op interne en voert sinds de ontdekking van Badcandy scans uit naar gebackdoorde Cisco-apparaten. De afgelopen drie maanden lag het hoogtepunt op achttienduizend besmette routers en switches. Dat is inmiddels naar ruim veertienduizend gedaald. Daarvan bevinden zich er 129 in Nederland. Het grootste aantal werd in Mexico en de Verenigde Staten waargenomen. bron: https://www.security.nl

WordPress-sites worden actief aangevallen via een kritieke kwetsbaarheid in de plug-in Post SMTP. Een beveiligingsupdate is sinds een aantal dagen beschikbaar, maar zo'n tweehonderdduizend websites hebben die niet geïnstalleerd. Post SMTP is een plug-in waarmee het mogelijk is om een SMTP-mailer in WordPress in te stellen voor het versturen van e-mail. Meer dan 400.000 websites op internet maken er gebruik van. De kwetsbaarheid in de plug-in (CVE-2025-11833) zorgt ervoor dat een ongeauthenticeerde aanvaller op afstand elke gelogde e-mail kan lezen, waaronder e-mails met een link voor het resetten van wachtwoorden. Een aanvaller kan zo eerst een wachtwoordreset voor de administrator van de website aanvragen en vervolgens de verstuurde e-mail in de logbestanden lezen. Met de resetlink kan de aanvaller vervolgens een ander wachtwoord voor het admin-account instellen en zo de website overnemen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De ontwikkelaars van de plug-in kwamen op 29 oktober met een beveiligingsupdate. Volgens cybersecuritybedrijf Wordfence maken aanvallers sinds 1 november misbruik van het beveiligingslek. Cijfers van WordPress.org laten zien dat zo'n tweehonderdduizend websites de update nog niet hebben geïnstalleerd. bron: https://www.security.nl

Online leeftijdsverificatie dat in steeds meer landen verplicht wordt om websites te kunnen bezoeken is in werkelijkheid identiteitsverificatie, zo stelt de Amerikaanse burgerrechtenbeweging EFF. De beweging vindt dat politici die voor leeftijdsverificatie zijn niet weten hoe de technologie werkt. In verschillende landen moeten gebruikers inmiddels hun leeftijd laten verifiëren voor het bezoeken van allerlei soorten websites. Naast de term leeftijdsverificatie worden ook termen als "age assurance", "age gating" en "age estimation" gebruikt. Bij age estimation moeten gebruikers bijvoorbeeld hun gezicht laten scannen, waarbij een algoritme vervolgens bepaalt of de gebruiker de minimaal verplichte leeftijd heeft. In het geval van age assurance gaat het om alle manieren waarmee een online dienst "met enig vertrouwen" kan bepalen hoe oud een gebruiker is. Leeftijdsverificatie is volgens de EFF de meest indringende maatregel, waarbij gebruikers moeten bewijzen dat ze een bepaalde leeftijd hebben, in plaats van dat ze een bepaalde leeftijdsgrens hebben gepasseerd, zoals 18 jaar, legt de burgerrechtenbeweging uit. Verschillende landen en Amerikaanse staten verplichten in hun wetgeving nu leeftijdsverificatie, terwijl ze spreken over "age assurance". De EFF benadrukt dat leeftijdsverificatie niet alleen bevestigt dat iemand ouder is dan 18 jaar, het onthult ook de volledige identiteit van de gebruiker. "Je naam, adres, geboortedatum, foto - alles." Volgens de burgerrechtenbeweging is het belangrijk dat mensen beseffen dat leeftijdsverificatie eigenlijk identiteitsverificatie is. "Je bewijst niet alleen hoe oud je bent, je bewijst precies wie je bent." Massasurveillance Volgens de EFF zijn politici en techbedrijven er dol op om termen zoals "age gating", "age estimation" en "age assurance" door elkaar te gebruiken, omdat het verhult wat ze eigenlijk voorstellen. Een wet die "age assurance" verplicht klinkt redelijk en gematigd. "Maar als de wet age assurance omschrijft als verplicht verificatie via een legitimatiebewijs is het helemaal niet gematigd - het is massasurveillance", merkt de burgerrechtenbeweging op. Hetzelfde doet zich voor bij "age estimation". Dat klinkt in theorie privacyvriendelijk, maar als het algoritme er naast zit en de gebruiker wordt gedwongen om zich via een legitimatiebewijs te identificeren dan verdampt die privacybelofte, gaat de EFF verder. "De meeste beleidsmakers die deze voorstellen doen hebben geen idee hoe deze technologie eigenlijk werkt", zo stelt de EFF. "Ze lijken niet eens te beseffen dat de termen die ze gebruiken verschillende dingen betekenen." Door zaken als "age assurance", "age verification" en "age estimation" door elkaar te gebruiken maken ze hun onwetendheid op pijnlijke wijze duidelijk, merkt de burgerrechtenbeweging op. Afsluitend waarschuwt de EFF dat woorden belangrijk zijn, omdat het bepaalt hoe we over deze systemen denken. "Assurance" klinkt gemoedelijk. "Verificatie" klinkt officieel en "estimation" klinkt technisch en onpersoonlijk, en dat het niet precies is. "Maar bij alle opties wordt data verzameld en een metafysische leeftijdspoort tot het internet. De terminologie is bewust verwarrend, maar de belangen zijn duidelijk: het is jouw privacy, jouw data, en jouw mogelijkheid om het internet zonder continue identiteitscontroles te gebruiken. Laat onduidelijke taal niet verhullen wat deze systemen eigenlijk doen", besluit de Amerikaanse burgerrechtenbeweging haar pleidooi. bron: https://www.security.nl

LinkedIn is vandaag gestart met het gebruik van data van Europese gebruikers voor het trainen van generatieve AI-modellen. Het gaat om profielinformatie, zoals naam, foto, huidige functie, werkervaring, opleiding, locatie en vaardigheden. Openbare content, zoals posts, artikelen, reacties en polls, wordt ook meegenomen. LinkedIn zegt privéberichten niet te gebruiken. Gegevens van gebruikers worden standaard door LinkedIn gebruikt, tenzij gebruikers dit via de instellingen uitschakelen. De Autoriteit Persoonsgegevens maakt zich zorgen over de AI-training en had gebruikers eerder opgeroepen om van de opt-out-optie gebruik te maken en zo te voorkomen dat het platform de data kan gebruiken. "Zodra deze gegevens in de AI-systemen van LinkedIn zitten, zijn ze er niet zomaar meer uit te halen en verliezen gebruikers de controle over hun gegevens", aldus de toezichthouder. LinkedIn stelt dat gebruikers zich nog altijd kunnen afmelden, maar dat dan alleen betrekking heeft op nieuwe content. Een opt-out die vanaf vandaag wordt ingesteld geldt niet voor eerdere informatie en content die aan het platform is verstrekt, laat LinkedIn weten. Het platform zegt dat het een "gerechtvaardigd belang" heeft om de gegevens van gebruikers voor de AI-training te gebruiken. LinkedIn claimt dat de AI-features de "experience" van gebruikers zou moeten verbeteren en hen beter aan "opportunities" moeten koppelen. Zo zou het eenvoudiger voor recruiters moeten worden om mensen op de netwerksite te vinden. Ook zou het gebruikers moeten kunnen helpen bij het maken van content, zoals profiel-updates, berichten en postings. bron: https://www.security.nl

Het Nationaal Cyber Security Centrum (NCSC) waarschuwt voor actief misbruik van een kritieke kwetsbaarheid in Windows Server waarvoor Microsoft gisteren een noodpatch uitbracht. Via het beveiligingslek in de Windows Server Update Service (WSUS) kan een ongeauthenticeerde aanvaller kwetsbare Window-servers op afstand volledig overnemen, als voor de server de WSUS-rol is ingesteld. Iets dat niet standaard het geval is. "Het NCSC heeft van een vertrouwde partner vernomen dat op 24 oktober 2025 misbruik van CVE-2025-59287 is waargenomen. Tevens is er publieke proof-of-conceptcode beschikbaar voor de betreffende CVE, wat het risico op misbruik verhoogt. Het is goed gebruik om WSUS niet direct aan het internet te ontsluiten", zo laat het NCSC in een beveiligingsadvies over de kwetsbaarheid weten. Met WSUS hebben organisaties meer controle over de updates die ze binnen hun netwerk uitrollen. WSUS downloadt de updates bij Microsoft en distribueert ze vervolgens onder Windowscomputers op het netwerk. Hierdoor hoeven niet alle computers de updates apart te downloaden. Het is een integraal onderdeel van Windows Server. Een "deserialization" kwetsbaarheid bij het verwerken van onbetrouwbare data zorgt ervoor dat een ongeauthenticeerde aanvaller, op afstand code op een Windows-server kan uitvoeren met SYSTEM-rechten. Hiervoor volstaat het versturen van een speciaal geprepareerd request naar de Windows-server. De impact van CVE-2025-59287 is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Microsoft kwam op 14 oktober al met een beveiligingsupdate, maar heeft gisteren het beveiligingsbulletin aangepast en laat weten dat proof-of-concept exploitcode publiek beschikbaar is. Daarnaast heeft het techbedrijf een "out of band security update" uitgebracht om de kwetsbaarheid "volledig" te patchen. De patch is beschikbaar voor Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows Server 2022, 23H2 Edition (Server Core installatie) en Windows Server 2025. Microsoft had al bij het uitbrengen van de eerste update op 14 oktober aangegeven dat verwacht misbruik van het beveiligingslek "more likely" is. bron: https://www.security.nl

Overheden dringen steeds dieper het privéleven van burgers binnen, zo stelt de Belgische privacyexpert Joris Vaesen, tevens beheerder van de website chatcontrol.be. Via de site laat hij zien wat Belgische politici van de invoering van chatcontrole vinden, waarbij chatberichten van burgers worden gecontroleerd. "De essentie is dat de overheid de digitale communicatie van álle inwoners van de Europese Unie mag volgen", laat de privacyexpert over het voorstel tegenover de Belgische krant De Morgen weten. De Morgen had Vaesen uitgenodigd voor een gesprek met de Mechelse onderzoeksrechter Philippe Van Linthout en hoogleraar mensenrechten Sofie Royer. "Een voorstel dat bepaalt dat al mijn privécommunicatie automatisch wordt gecontroleerd, daar word ik misselijk van. Dat mensen naar mijn foto’s kijken, wil ik ook niet. Stel dat je met je kinderen op het strand een foto maakt, met of zonder onderbroekje, of je stuurt een foto van je kind dat in bad zit naar je partner: een scanner bestempelt dat meteen als kindermisbruikmateriaal. Dan beland je op een lijst of staat er een agent aan je deur. Laten we vurig hopen dat Europa nooit voor zo’n systeem kiest", zegt Van Linthout. Volgens de onderzoeksrechter is een gebrek aan kennis over het onderwerp bij poltici een probleem. "De gemiddelde politicus kan er niet over meepraten." Hij krijgt bijval van Vaesen die opmerkt dat de Vlaamse minister-president heeft erkend dat hij te weinig technische kennis heeft om dieper in te gaan op chatcontrole. "Hij geeft het tenminste toe, maar als burger voel ik mij dan wel erg kwetsbaar. De overheid wurmt zich almaar dieper in mijn privéleven: heb ik daar ooit voor gestemd? En kan ik daartegen stemmen? Blijkbaar niet." Royen waarschuwt ook voor de gevolgen van chatcontrole. "Het is niet alsof je brief wordt onderschept en in het postkantoor wordt gelezen. Nee, er zit iemand in je kamer die méékijkt als jij schrijft." Ze merkt op dat het in het strafrecht niet is toegestaan om zomaar iemands huis binnen te vallen om te zien of er drugs wordt gedeald. "Eerst moeten er concrete verdenkingen zijn tegen iemand, dan volgt een huiszoekingsbevel. Door de impact van technologie op onze samenleving, en doordat er steeds meer data worden gegenereerd, zien we een verschuiving naar proactief speurwerk. Iederéén wordt zo gecontroleerd, niet alleen verdachten." bron: https://www.security.nl

Criminelen maken gebruik van Linux-ransomware voor het versleutelen van Windowscomputers, zo meldt antivirusbedrijf Trend Micro. De aanvallen zijn het werk van een ransomwaregroep genaamd Qilin, die volgens de virusbestrijder dit jaar al 700 organisaties in 62 landen succesvol heeft aangevallen. De meeste slachtoffers bevinden zich in de Verenigde Staten, Frankrijk, Canada en het Verenigd Koninkrijk. De aanvallers maken gebruik van drie technieken om toegang tot de systemen van hun slachtoffers te krijgen. Het gaat om spear phishing, geldige inloggegevens, die bijvoorbeeld eerder zijn gestolen of via een bruteforce-aanval zijn achterhaald, en fake captcha's. Trend Micro identificeerde meerdere getroffen organisaties waar medewerkers in een malafide captcha waren getrapt. De captcha's stellen dat de gebruiker een commando op het systeem moet uitvoeren om te bewijzen dat hij geen robot is. In werkelijkheid wordt zo malware op het systeem geïnstalleerd. Zodra er toegang tot een systeem is verkregen past de ransomwaregroep de bij dit soort aanvallen gebruikelijke stappen toe, waarbij wordt geprobeerd om de rechten te verhogen en zich lateraal door het systeem te bewegen, totdat men bijvoorbeeld domain administrator is. Vervolgens wordt er data gestolen en als laatste de ransomware uitgerold. De Qilin-groep maakt sinds enige tijd ook gebruik van Linux-ransomware op Windowssystemen. Door deze werkwijze weten de aanvallers endpoint detectiesystemen te omzeilen die niet geconfigureerd zijn om het uitvoeren van Linux binaries via remote management tools tegen te gaan, aldus Trend Micro. Voor het uitvoeren van de Linux-ransomware op Windowssystemen maken de aanvallers gebruik van de remote management software van Splashtop, waarmee het mogelijk is om systemen op afstand te beheren. "De geavanceerde mogelijkheden van de Liunux-variant, gecombineerd met cross-platform uitrol via Splashtop Remote, vormt een aanzienlijk tactische evolutie gericht op hybride infrastructuur-omgevingen", zo stellen de onderzoekers. Zodra de aanval is afgerond laten de aanvallers een notitie achter waarin staat dat de organisatie moet betalen om openbaarmaking van de gestolen data te voorkomen. Voor de onderhandelingen over het losgeld bevat de notitie specifieke inloggegevens waarmee de getroffen organisatie op een communicatieportaal van de aanvallers kan inloggen. bron: https://www.security.nl

Microsoft heeft een noodpatch uitgebracht om een kritieke kwetsbaarheid in Windows Server "volledig" te patchen. Proof-of-concept exploitcode is inmiddels op internet beschikbaar en Microsoft verwacht dat aanvallers actief misbruik van het beveiligingslek zullen maken. Op 14 oktober kwam Microsoft met beveiligingsupdates voor de kwetsbaarheid in de Windows Server Update Service (WSUS), aangeduid als CVE-2025-59287. Met WSUS hebben organisaties meer controle over de updates die ze binnen hun netwerk uitrollen. WSUS downloadt de updates bij Microsoft en distribueert ze vervolgens onder Windowscomputers op het netwerk. Hierdoor hoeven niet alle computers de updates apart te downloaden. Het is een integraal onderdeel van Windows Server. Een "deserialization" kwetsbaarheid bij het verwerken van onbetrouwbare data zorgt ervoor dat een ongeauthenticeerde aanvaller, op afstand code op de Windows-server kan uitvoeren met SYSTEM-rechten. Hiervoor volstaat het versturen van een speciaal geprepareerd request naar de Windows-server. De impact van CVE-2025-59287 is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Microsoft kwam op 14 oktober al met een beveiligingsupdate, maar heeft gisteren het beveiligingsbulletin aangepast en laat weten dat proof-of-concept exploitcode publiek beschikbaar is. Daarnaast heeft het techbedrijf een "out of band security update" uitgebracht om de kwetsbaarheid "volledig" te patchen. De patch is beschikbaar voor Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows Server 2022, 23H2 Edition (Server Core installatie) en Windows Server 2025. Microsoft had al bij het uitbrengen van de eerste update aangegeven dat verwacht misbruik van het beveiligingslek "more likely" is. bron: https://www.security.nl

WordPress-sites zijn het doelwit van een aanval waarbij misbruik wordt gemaakt van kritieke kwetsbaarheden in twee plug-ins genaamd GutenKit en Hunk Companion. Via de beveiligingslekken kan een ongeauthenticeerde aanvaller op afstand willekeurige plug-ins op de website inschakelen, wat uiteindelijk tot remote code execution kan leiden. Volgens securitybedrijf Wordfence is er sprake van grootschalig misbruik. GutenKit is een plug-in voor de Gutenberg WordPress-editor en helpt gebruikers bij het vormgeven van hun WordPress-site. Meer dan 40.000 websites maken actief gebruik van de plug-in. Hunk Companion is een plug-in die allerlei extra functionaliteit aan WordPress-sites toevoegt. Deze plug-in wordt door meer dan 8.000 websites actief gebruikt. Oudere versies van de twee plug-ins bleken een publiek toegankelijk API endpoint te hebben waardoor een ongeauthenticeerde aanvaller willekeurige plug-ins op de website kan installeren. Bij de nu waargenomen aanvallen installeren aanvallers een malafide plug-in die een backdoor bevat, waardoor er toegang tot de website wordt behouden. De impact van de kwetsbaarheden (CVE-2024-9234 en CVE-2024-9707) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Beveiligingsupdates voor de kwetsbaarheden in beide plug-ins zijn al meer dan een jaar beschikbaar. Volgens Wordfence wordt er sinds 8 oktober dit jaar actief misbruik van de beveiligingslekken gemaakt. Beheerders die de update nog niet hebben geïnstalleerd worden opgeroepen dit alsnog te doen en hun installatie op de aanwezigheid van verdachte plug-ins te controleren. bron: https://www.security.nl

Google start deze maand een tweede test met Device Bound Session Credentials (DBSC), een maatregel die moet voorkomen dat malware cookies van besmette systemen steelt. Begin dit jaar werd DBSC voor het eerst onder gebruikers van de browser getest. De nu aangekondigde test loopt door tot eind maart volgend jaar en is beschikbaar voor Windowscomputers met een Trusted Platform Module (TPM). Volgens Google raken veel internetgebruikers besmet met malware die sessiecookies van het systeem steelt. Deze cookies geven aan dat de gebruiker op een bepaalde website of account is ingelogd. Ze worden aangemaakt nadat de gebruiker is ingelogd. Door sessiecookies te stelen heeft een aanvaller dan ook direct toegang tot het betreffende account, waardoor het niet meer nodig is om het wachtwoord van de gebruiker te hebben of tweefactorauthenticatie te omzeilen. Als oplossing tegen dergelijke cookiediefstal kwam Google vorig jaar met Device Bound Session Credentials. Het techbedrijf wil dat dit uiteindelijk een open webstandaard wordt. DBSC koppelt de ingelogde sessie van de gebruiker aan het onderliggende apparaat. Een aanvaller kan dan nog steeds cookies stelen, maar ze niet op zijn eigen systeem gebruiken omdat ze alleen op het betreffende apparaat van de gebruiker werken. Bij DBSC maakt de browser een public/private key pair aan op het apparaat en gebruikt het besturingssysteem om de private key zo op te slaan dat die lastig is te exporteren. Dit kan bijvoorbeeld via de Trusted Platform Module van de computer. Google stelt dat voor elke sessie een unieke key wordt gebruikt en DBSC websites niet in staat stelt om keys van verschillende sessies op hetzelfde apparaat te correleren. Dit moet volgens Google 'persistent user tracking' voorkomen. Verder claimt het techbedrijf dat DBSC geen betekenisvolle informatie over het apparaat lekt. De enige informatie die naar de server wordt gestuurd is de per-sessie public key, die de server gebruikt om later te controleren dat de gebruiker ook de bijbehorende private key in bezit heeft. Gebruikers kunnen de gemaakte keys op elk moment verwijderen. Wanneer gebruikers geen cookies accepteren wordt DBSC uitgeschakeld. Na een eerste 'origin trial' in mei van dit jaar heeft Google nu besloten de komende maanden een twee test uit te voeren. Deze test richt zich vooral op de betrouwbaarheid, consistentie en duidelijkheid in de "DBSC flow", laat Daniel Rubery van Google weten. Ontwikkelaars en gebruikers die aan de nieuwe testronde van DBSC willen meedoen kunnen zich via een website van Google hiervoor aanmelden. bron: https://www.security.nl

Mozilla stelt nieuwe eisen aan Firefox-extensies die persoonlijke data verzamelen of versturen. Vanaf 3 november is elke nieuwe Firefox-extensie verplicht om in het manifest-bestand, waarin allerlei informatie over de extensie staat vermeld, via een speciale "permissions key" aan te geven of er persoonlijke data van gebruikers wordt verzameld of verstuurd. De informatie zal dan worden weergegeven aan gebruikers wanneer die de extensie willen installeren, zo laat de Firefox-ontwikkelaar vandaag weten. De informatie zal ook op addons.mozilla.org worden weergegeven, de website waarop Firefox-extensies worden aangeboden. Mozilla merkt op dat extensies die de permissions key gebruiken dit ook voor alle toekomstige versies moeten doen. Daarnaast zal de Firefox-ontwikkelaar extensies die aangeven dat ze geen data verzamelen, maar dat wel doen, niet meer op addons.mozilla.org toelaten. De verplichting geldt vanaf 3 november voor nieuwe Firefox-extensies. In de eerste helft van volgend jaar gaat die ook voor al bestaande extensies gelden. bron: https://www.security.nl

Adobe waarschuwt webwinkels die gebruikmaken van Adobe Commerce en Magento Open Source voor actief misbruik van een kritieke kwetsbaarheid. Via het beveiligingslek kunnen aanvallers volledige controle over de webshop krijgen. Op 9 september verscheen een beveiligingsupdate voor de kwetsbaarheid, aangeduid als CVE-2025-54236, maar volgens securitybedrijf Sansec heeft bijna twee derde van de webwinkels die niet geïnstalleerd. Adobe omschrijft de kwetsbaarheid als een kritieke "security feature bypass", maar Sansec stelt dat ook remote code execution mogelijk is. Proof-of-concept exploitcode is al beschikbaar op internet en securitybedrijf Assetnote publiceerde gisteren technische details over de kwetsbaarheid, waarin wordt uitgelegd hoe een aanvaller via het lek op afstand code kan uitvoeren. Sansec waarschuwt dat de kwetsbaarheid vergelijkbaar is met andere kritieke Adobe-kwetsbaarheden die in het verleden op grote schaal zijn gebruikt voor het aanvallen van webshops. "Met details over de exploit nu openbaar en actieve aanvallen die al plaatsvinden, verwachten we binnen de komende 48 uur grootschalig misbruik", aldus het securitybedrijf. Webshops die van Commerce of Magento gebruikmaken worden opgeroepen de update zo snel mogelijk te installeren. bron: https://www.security.nl

TP-Link heeft firmware-updates uitgebracht voor een kritieke kwetsbaarheid in de Omada-gateways waardoor een ongeauthenticeerde aanvaller op afstand OS-commando's op het apparaat kan uitvoeren. Omada-gateways zijn bedoeld als gateway in de wifi-netwerken van mkb-bedrijven en bieden allerlei functionaliteit zoals firewalling en vpn. Een kwetsbaarheid in de gateway (CVE-2025-6542) maakt het mogelijk voor een ongeauthenticeerde aanvaller om willekeurige OS-commando's op het apparaat uit te voeren, aldus de omschrijving van het beveiligingslek. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. Daarnaast is een beveiligingslek gedicht waardoor een aanvaller die op de webinterface kan inloggen OS-commando's kan uitvoeren. Vanwege deze vereiste is de impact van dit beveiligingslek lager ingeschaald met een 8.6. Voor de volgende modellen zijn firmware-updates beschikbaar: ER8411, ER7412-M2, ER707-M2, ER7206, ER605, ER706W, ER706W-4G, ER7212PC, G36, G611, FR365, FR205 en FR307-M2. bron: https://www.security.nl

Oracle heeft voor allerlei producten kritieke beveiligingsupdates uitgebracht en roept klanten op om die meteen te installeren. Het gaat onder andere om Oracle E-Business Suite dat de afgelopen maanden het doelwit van aanvallen is geweest. In Oracle GoldenGate, Oracle Communications Applications, Oracle E-Business Suite, Oracle Financial Services Applications, Oracle Fusion Middleware, Oracle JD Edwards en Oracle Siebel CRM zijn meerdere kwetsbaarheden gepatcht waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 9.8. Het gaat hierbij om beveiligingslekken die door een ongeauthenticeerde aanvaller op afstand zijn te misbruiken en in het ergste geval tot een volledig gecompromitteerd systeem kunnen leiden. Oracle komt elk kwartaal met een patchronde. Tijdens de ronde van oktober zijn 374 nieuwe beveiligingsupdates uitgebracht. Het gaat hier niet om 374 unieke kwetsbaarheden, aangezien dezelfde kwetsbaarheid in verschillende Oracle-producten aanwezig kan zijn. Het verhelpen van het probleem vereist echter wel een aparte update. Oracle laat verder weten dat het geregeld berichten ontvangt van aanvallen waarbij misbruik wordt gemaakt van kwetsbaarheden waarvoor beveiligingsupdates al beschikbaar zijn. "In sommige gevallen wordt er gemeld dat aanvallers succesvol zijn geweest, omdat aangevallen klanten de beschikbare Oracle-patches niet hadden geïnstalleerd." Oracle roept klanten dan ook op om de beschikbaar gestelde updates meteen te installeren. bron: https://www.security.nl

Aan datalekzoekmachine Have I Been Pwned (HIBP) zijn 183 miljoen gecompromitteerde e-mailadressen toegevoegd. Hiervan waren 16,4 miljoen e-mailadressen nog niet bij de zoekmachine bekend. Via HIBP kunnen mensen kijken of hun e-mailadres in een bekend datalek voorkomt. De nu toegevoegde e-mailadressen werden gevonden in zogenaamde "stealer logs". Dit zijn bestanden die door infostealer-malware worden aangemaakt. Deze bestanden bevatten de naam van de websites waarop slachtoffers inloggen, plus bijbehorende gebruikersnaam en wachtwoord. Infostealers zijn malware speciaal ontwikkeld voor het stelen van allerlei inloggegevens. De gestolen data wordt in een bestand verzameld en naar de aanvaller teruggestuurd. Vervolgens verschijnt de data op Telegram-kanalen, forums of andere kanalen. Een onderzoeker van securitybedrijf Synthient verzamelde allerlei stealer logs en deelde die met Have I Been Pwned. Het ging bij elkaar om 3,5 terabyte aan data. De 183 miljoen e-mailadressen zijn nu aan de zoekmachine toegevoegd. HIBP laat eigenaren van de gecompromitteerde e-mailadressen zien op welke website ze die allemaal hebben gebruikt, zodat ze vervolgens de inloggegevens daar kunnen aanpassen. 91 procent van de e-mailadressen was al via een ander datalek of verzameling van stealer logs bij de zoekmachine bekend. Dat houdt in dat er ook 16,4 miljoen nieuwe e-mailadressen zijn toegevoegd. bron: https://www.security.nl

Google waarschuwt internetgebruikers voor een aanval waarbij wordt geprobeerd om via een malafide captcha malware te installeren. De afgelopen jaren hebben aanvallers verschillende varianten van dergelijke aanvallen uitgevoerd. Internetgebruikers krijgen op malafide webpagina's een melding te zien dat ze een "captcha" moeten oplossen om te bewijzen dat ze geen robot zijn. In werkelijkheid wordt geprobeerd om gebruikers malafide commando's te laten uitvoeren die tot de installatie van malware leiden. Bij de door Google waargenomen aanval worden gebruikers verleid om eerst een malafide dll-bestand genaamd "iamnotarobot" te downloaden en vervolgens op het eigen systeem dit bestand uit te voeren. In werkelijkheid installeert het dll-bestand een backdoor op het systeem, waardoor aanvallers toegang tot de computer krijgen. Volgens Google is de aanval het werk van een groep die het Coldriver noemt. Het zou om een door de Russische overheid gesteunde groep gaan die het onder andere heeft voorzien op NGO's, beleidsadviseurs en dissidenten. De groep wordt onder andere voor allerlei gerichte phishingaanvallen verantwoordelijk gehouden. Waarom de groep nu voor het verspreiden van malware via malafide captcha's kiest kan Google niet zeggen. Het techbedrijf denkt dat de techniek wordt ingezet tegen doelwitten die eerder al via phishing waren gecompromitteerd, om zo aanvullende informatie te verzamelen. Hoe de aanvallers doelwitten naar de malafide captcha-pagina krijgen is niet helemaal bekend. Wel is duidelijk dat de achterliggende pagina's en domeinnamen zich voordoen als informatiebron die voor het doelwit interessant is. bron: https://www.security.nl

Onderzoekers hebben een nieuwe versie van de Vidar-malware ontdekt die multi-threading gebruikt om sneller wachtwoorden en andere inloggegevens van besmette systemen te stelen. Door het gebruik van multi-threading kan de malware gelijktijdig inloggegevens uit verschillende applicaties stelen. Daarbij houdt Vidar ook rekening met de prestaties van het systeem. Op snellere systemen gebruikt de malware meer threads en kan daardoor sneller wachtwoorden en andere data stelen. De Vidar-malware bestaat al jaren en verscheen eind 2018 voor het eerst. Het gaat hier om een zogenoemde "infostealer", malware speciaal ontwikkeld voor het stelen van allerlei inloggegevens. Vidar wordt aangeboden als malware-as-a-service. Een levenslang abonnement kost afnemers 300 dollar. Onlangs werd Vidar 2.0 aangekondigd, zo laat Trend Micro in een analyse weten. Eén van de nieuwe features in deze versie is het ondersteunen van multi-threading. Daardoor kan de malware efficiënt gebruikmaken van processors die over meerdere cores beschikken. "De malware maakt gebruik van een geavanceerd multi-threading systeem dat automatisch de prestaties aanpast afhankelijk van de specificaties van de computer van het slachtoffer", aldus de onderzoekers. "Het schaalt de operaties op door meer worker threads op een krachtig systeem te creëren en minder threads op zwakkere machines, om zo optimaal te presteren zonder het aangevallen systeem te overweldigen." Door deze aanpak kan de malware gelijktijdig uit verschillende bronnen, zoals browsers, cryptowallets en bestanden, data stelen, in plaats van die één voor één te verwerken. Vidar heeft het op verschillende browsers voorzien, namelijk Google Chrome, Microsoft Edge, Opera, Opera GX, Vivaldi, Firefox, Waterfox en Palemoon. Daarnaast steelt de malware ftp- en ssh-inloggegevens uit FileZilla en WinSCP. Tevens zijn Steam, Discord, Telegram en cryptowallets een doelwit, alsmede Office 365 en Azure. Gestolen data wordt vervolgens naar de aanvaller gestuurd. Daarna verwijdert de malware allerlei sporen om zo forensisch onderzoek te bemoeilijken. bron: https://www.security.nl

Ik heb afgelopen weekend op zowel een laptop als de desktop de stappen eenvoudig uitgevoerd. Verliep snel en soepel. Kreeg wel op beide eerst de melding dat het in mijn regio niet beschikbaar zou zijn. Maar na uitvoering van de laatste updates, loop je zo door het proces heen. Dit ter info.

Inderdaad een lastig verhaal. Als je een tv en internetabonnement bij Telenet hebt, heb je naar mijn idee ook het modem van Telenet en dus zou je laptop jet die modem en dus Telenet verbonden moeten zijn. De telefoon loopt via Orange en heeft geen wifi aan staan.... Mijn eerste vraag is: waarom niet? Gebruik van je eigen wifi scheelt data in je abonnement. Een hotspot, dat merkt DCA in mijn ogen al juist op, klinkt niet logisch. Dit is een setting die je echt moet weten hoe je dit kunt instellen.

Zo'n 76.000 Firebox-firewalls van leverancier WatchGuard, waarvan meer dan 1200 in Nederland, missen een beveiligingsupdate voor een kritieke kwetsbaarheid die remote code execution (RCE) mogelijk maakt. De patch is sinds 17 september beschikbaar. Dat meldt The Shadowserver Foundation op basis van een online scan naar kwetsbare systemen. "De kwetsbaarheid raakt zowel de mobile user VPN met IKEv2 en de branch office VPN die van IKEv2 gebruikmaakt wanneer die met een dynamic gateway peer is geconfigureerd", aldus het beveiligingsbulletin dat een maand geleden verscheen. "Als de Firebox eerder was geconfigureerd met de mobile user VPN met IKEv2 of een branch office VPN gebruikmakend van IKEv2 naar een dynamic gateway peer, en beide configuraties zijn sindsdien verwijderd, kan die Firebox nog steeds kwetsbaar zijn als een branch office VPN naar een static gateway peer nog steeds geconfigureerd is." De impact van het beveiligingslek, aangeduid als CVE-2025-9242, is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. Hoewel een beveiligingsupdate al een maand beschikbaar is, blijken veel beheerders die nog niet te hebben geïnstalleerd. The Shadowserver Foundation is een stichting die geregeld onderzoek naar kwetsbare systemen doet. Voor het laatste onderzoek werd er gescand naar Firefox-firewalls die kwetsbaar voor CVE-2025-9242 zijn. Dit leverde 76.000 apparaten op. Het grootste deel daarvan bevindt zich in de Verenigde Staten, bijna 25.000. In Nederland werden 1224 kwetsbare firewalls geteld. bron: https://www.security.nl

Kwetsbaarheden in de SMB-client van Windows en Kentico Xperience worden actief misbruikt bij aanvallen, zo waarschuwt het Amerikaanse cyberagentschap CISA. Microsoft kwam op 10 juni met beveiligingsupdates voor het Windows-lek, aangeduid als CVE-2025-33073. Via de 'Elevation of Privilege" kwetsbaarheid kan een aanvaller SYSTEM-rechten krijgen. Dit is bijvoorbeeld mogelijk via een script dat het systeem van het slachtoffer via SMB laat inloggen op een machine van de aanvaller, zo laat Microsoft in het beveiligingsbulletin weten. De impact van de kwetsbaarheid, die door meerdere verschillende onderzoekers aan Microsoft werd gerapporteerd, is op een schaal van 1 tot en met 10 beoordeeld met een 8.8. Toen Microsoft de beveiligingsupdates uitbracht was er nog geen actief misbruik waargenomen. Wel was er proof-of-concept exploitcode beschikbaar. Desondanks omschreef Microsoft de kans op daadwerkelijk misbruik "less likeley". Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security laat vandaag weten dat aanvallers inmiddels wel misbruik van het lek maken, maar geeft geen verdere details. Daarnaast waarschuwt het CISA voor misbruik van twee kritieke kwetsbaarheden in Kentico Xperience Staging Sync Server (CVE-2025-2746 en CVE-2025-2747). Het gaat om een "authentication bypass" waardoor een aanvaller als admin kan inloggen zonder over het bijbehorende wachtwoord te beschikken. De impactscore van beide kwetsbaarheden is beoordeeld met een 9.8. Begin maart kwam Kentico met een beveiligingsupdate. Kentico Xperience is een platform voor contentmanagement, digital marketing en e-commerce. Het CISA geeft wederom geen informatie over de waargenomen aanvallen. bron: https://www.security.nl