Captain Kirk

Softwarebedrijf Fortra heeft beveiligingsupdates uitgebracht voor een kritieke kwetsbaarheid in GoAnywhere MFT (managed file transfer), een oplossing waarmee organisaties bestanden kunnen uitwisselen. Via de kwetsbaarheid (CVE-2025-10035) kan een aanvaller door middel van een "validly forged license response signature" commando's op de server uitvoeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Fortra adviseert organisaties om te updaten naar versie 7.8.4 of Sustain Release versie 7.6.3. Verder wordt aangeraden om ervoor te zorgen dat de GoAnywhere Admin Console niet vanaf het internet toegankelijk is. Volgens het softwarebedrijf lopen voornamelijk systemen die vanaf het internet toegankelijk zijn risico. Een ander kritiek beveiligingslek in GoAnywhere zorgde twee jaar geleden nog voor een explosie aan datalekken. bron: https://www.security.nl

Microsoft heeft de impact van een kritieke kwetsbaarheid in Entra ID verhoogd naar de maximale score van 10.0. Via het beveiligingslek, gevonden door de Nederlandse beveiligingsonderzoeker Dirk-jan Mollema, was het mogelijk om bijna alle Entra ID-omgevingen te compromitteren. Microsoft kwam op 17 juli met een beveiligingsupdate voor het lek, aangeduid als CVE-2025-55241. Gisteren besloot het techbedrijf de impact van de kwetsbaarheid te verhogen van 9.0 naar 10.0, de maximale score. Microsoft Entra ID, eerder nog bekend als Azure Active Directory, is een in de cloud draaiende directory and identity management service van Microsoft. Organisaties gebruiken het om hun gebruikers toegang tot Microsoft services te geven. De kwetsbaarheid die Mollema in Entra ID ontdekte bestaat uit twee onderdelen. Het eerste probleem betrof ongedocumenteerde impersonation tokens genaamd "Actor Tokens". Microsoft gebruikt deze tokens in de eigen backend voor service-to-service (S2S) communicatie. Het tweede probleem was dat de (legacy) Azure AD Graph API niet goed de oorspronkelijke Entra ID-omgeving valideerde, waardoor het mogelijk was om met deze tokens toegang tot andere omgevingen te krijgen. "Wat dit inhoudt is dat met een token dat ik in mijn lab-omgeving opvroeg, ik als elke willekeurige gebruiker kon inloggen, waaronder Global Admins, bij elke andere omgeving", aldus Mollema. De onderzoeker stelt op X dat hij al bijna zeven jaar onderzoek doet naar Microsofts cloud en dit de meest impactvolle kwetsbaarheid is die hij naar verwachting ooit zal vinden. Diensten die Entra ID voor authenticatie gebruiken, zoals SharePoint Online of Exchange Online, konden vervolgens volledig worden gecompromitteerd. Ook zou het mogelijk zijn om volledige toegang te krijgen tot resources die in Azure worden gehost. Mollema rapporteerde het probleem op 14 juli aan Microsoft, dat op 17 juli met een oplossing kwam. Het techbedrijf benadrukt dat klanten geen actie hoeven te ondernemen. Op 6 augustus rolde Microsoft verdere mitigaties uit. Het techbedrijf maakte op 4 september het bestaan van de kwetsbaarheid bekend. Op 17 september publiceerde Mollema de details van het probleem. Een dag later stelde Microsoft dat het de complexiteit van de aanval verkeerde had ingeschaald. In plaats van hoog is die aangepast naar laag. Via het Common Vulnerability Scoring System (CVSS) wordt de impact van kwetsbaarheden berekend. In het geval van het Entra ID-lek zorgde de aanpassing ervoor dat de oorspronkelijke impactscore van 9.0 werd veranderd naar de maximale score van 10.0. bron: https://www.security.nl

Vpn-provider PureVPN kan in bepaalde gevallen het IPv6-adres van gebruikers lekken en wist firewall-instellingen zonder die te herstellen, wat echte gevolgen kan hebben, zo waarschuwt een beveiligingsonderzoeker genaamd Andreas. De onderzoeker informeerde PureVPN over de problemen, maar kreeg naar eigen zeggen geen reactie. Daarop heeft Andreas besloten de details openbaar te maken. Het lekken van het IPv6-adres kan zich in twee situaties voordoen, zo ontdekte de onderzoeker. Wanneer de PureVPN-software detecteert dat de verbinding is verbroken verschijnt er een waarschuwing van de grafische gebruikersinterface en wordt al het IPv4-verkeer geblokkeerd. Gebruikers kunnen er vervolgens voor kiezen om opnieuw verbinding met PureVPN te maken of door te internetten. IPv6 wordt echter niet geblokkeerd en blijft gewoon werken. Pas als de gebruiker ervoor kiest om de vpn-verbinding te herstellen gaat ook het IPv6-verkeer via PureVPN. Ook vanaf de command line kan een dergelijk IPv6-lek zich voordoen wanneer de verbinding even wordt verbroken. De vpn-client herstelt vervolgens de verbinding en laat zien dat de software actief is. Het IPv6-verkeer gaat echter niet via de vpn-verbinding. Verder stelt Andreas dat PureVPN de iptables configuratie wist, waardoor het systeem kwetsbaarder achterblijft bij het gebruik van de vpn-dienst dan wanneer PureVPN niet wordt gebruikt. "Beide problemen hebben echte gevolgen. Privacyclaims worden ondermijnd wanneer je IPv6-adres lekt en je firewall state verloren gaat", aldus de onderzoeker. bron: https://www.security.nl

Securitybedrijf WatchGuard waarschuwt klanten voor een kritieke kwetsbaarheid in de firewalls die het levert en heeft beveiligingsupdates uitgebracht om het probleem te verhelpen. Via het beveiligingslek, aangeduid als CVE-2025-9242, kan een ongeauthenticeerde aanvaller op afstand code op de Firebox-firewall uitvoeren. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. "De kwetsbaarheid raakt zowel de mobile user VPN met IKEv2 en de branch office VPN die van IKEv2 gebruikmaakt wanneer die met een dynamic gateway peer is geconfigureerd", aldus het beveiligingsbulletin. "Als de Firebox eerder was geconfigureerd met de mobile user VPN met IKEv2 of een branch office VPN gebruikmakend van IKEv2 naar een dynamic gateway peer, en beide configuraties zijn sindsdien verwijderd, kan die Firebox nog steeds kwetsbaar zijn als een branch office VPN naar een static gateway peer nog steeds geconfigureerd is." WatchGuard waarschuwt verder dat versie 11.x van Fireware OS, het besturingssysteem dat op de Firebox-firewalls draait, ook kwetsbaar is. Deze versie is echter end-of-life en ontvangt geen beveiligingsupdates meer. In 2022 kwam WatchGuard onder vuur te liggen omdat het een kritieke kwetsbaarheid in de eigen firewalls, waar uiteindelijk misbruik van werd gemaakt, zeven maandenlang niet expliciet vermeldde. bron: https://www.security.nl

Er is een sterke toename van het aantal Microsoft 365-accounts van organisaties dat wordt gehackt, zo meldt het Finse National Cyber Security Centre (NCSC). De gecompromitteerde accounts worden vervolgens gebruikt voor het versturen van nieuwe phishingmails en frauduleuze facturen. Het Finse NCSC ontving vorige maand zeventig meldingen van gehackte Microsoft 365-accounts. "Na de zomervakantie is het aantal gevallen sterk toegenomen en op het moment worden e-mailaccounts van organisaties in hoog tempo gecompromitteerd." De Finse overheidsinstantie stelt dat talloze organisaties zijn getroffen en binnen een organisatie er soms tientallen gecompromitteerde accounts zijn. Het totaal aantal meldingen over gekaapte Microsoft 365-accounts staat dit jaar inmiddels op 330. Volgens het Finse NCSC maken de aanvallers gebruik van gestolen inloggegevens om toegang tot de accounts te krijgen, die vervolgens worden gebruikt voor het versturen van nieuwe phishingmails en factuurfraude. Voor het stelen van de inloggegevens maken de aanvallers gebruik van phishingsites. Zodra er toegang tot een account is verkregen bestuderen de aanvallers aanwezige e-mails om zo een beeld te krijgen van hoe de organisatie van de betreffende gebruiker werkt. Daarna sturen de aanvallers nieuwe phishingmails naar contacten van het slachtoffer. In veel gevallen maken de aanvallers misbruik van de SharePoint- of OneNote-service van het slachtoffer om bestanden te delen die ontvangers naar phishingsites wijzen. De aanvaller kan ook instellingen van het e-mailaccount aanpassen, bijvoorbeeld het instellen van forwarding rules waardoor al inkomende berichten automatisch naar een e-mailadres van de aanvaller worden doorgestuurd. Het doel is daarbij om zo lang mogelijk toegang te behouden. Verder worden eerdere legitieme e-mails, verstuurd door het slachtoffer, gebruikt voor de nieuwe phishingmails en voorzien van een link naar een phishingsite. "Veel van de frauduleuze berichten zijn vermomd als contracten of facturen die actie van de ontvanger vereisen. De berichten kunnen bijvoorbeeld een link naar een bestand bevatten genaamd invoice.pdf, waarvoor inloggegevens worden gevraagd om het te openen. In werkelijkheid is dit een frauduleuze link, en alle ingevoerde inloggegevens worden via de phishingsite doorgestuurd naar de aanvaller", aldus het Finse NCSC. Dat adviseert organisaties onder andere om personeel geregeld te trainen over phishing en gecompromitteerde accounts, het controleren van ingestelde forwarding rules en het implementeren van Conditional Access. bron: https://www.security.nl

Aanvallers hebben firewall-bestanden van SonicWall-klanten uit de cloudback-updienst van het securitybedrijf gestolen en kunnen die voor verdere aanvallen gebruiken. Dat laat SonicWall in een waarschuwing weten. Firewalls van SonicWall beschikken over een optie waardoor het mogelijk is om cloudback-ups van configuratiebestanden te maken. Deze bestanden bevatten allerlei gevoelige informatie met betrekking tot de firewall. SonicWall meldt dat aanvallers via bruteforce-aanvallen toegang tot de back-ups van minder dan vijf procent van de firewall-klanten hebben gekregen. Een exact aantal getroffen klanten wordt niet genoemd. Het securitybedrijf laat aanvullend weten dat inloggegevens in deze configuratiebestanden versleuteld zijn, maar de bestanden informatie bevatten die het eenvoudiger maakt om de betreffende firewall aan te vallen. Vanwege de gevoeligheid van de configuratiebestanden roept SonicWall klanten op om meteen verschillende stappen te nemen, waaronder het controleren of het gebruik van cloudback-ups staat ingeschakeld en het resetten van allerlei inloggegevens. Verdere details over de aanval zijn niet door SonicWall gegeven. bron: https://www.security.nl

Google heeft beveiligingsupdates uitgerold voor een actief aangevallen kwetsbaarheid in Chrome. Het beveiligingslek (CVE-2025-10585) bevindt zich in V8, de JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript. V8 is geregeld het doelwit van aanvallen waarbij misbruik wordt gemaakt van kwetsbaarheden waar op het moment van de aanval geen patch voor beschikbaar is. De nieuwste V8-kwetsbaarheid werd op 16 september door de Google Threat Analysis Group aan het Chrome-team gerapporteerd. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. Google heeft geen details over de waargenomen aanvallen gegeven. De impact van de kwetsbaarheid is als 'high' beoordeeld. Bij kwetsbaarheden met het stempel 'high' kan een aanvaller in het ergste geval code binnen de context van de browser uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Dit soort lekken zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Het beveiligingslek is verholpen in Google Chrome 140.0.7339.185/.186 voor Windows en macOS en Chrome 140.0.7339.185 voor Linux. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar. In juni waarschuwde Google twee keer voor een actief aangevallen V8-lek. bron: https://www.security.nl

Onderzoekers waarschuwen voor zichzelf verspreidende malware die al vijfhonderd npm-packages heeft geïnfecteerd. Het gaat onder andere om npm-packages van cybersecuritybedrijf CrowdStrike. Npm is de standaard package manager voor de JavaScript-omgeving Node.js en naar eigen zeggen het grootste softwarearchief ter wereld. Via de npm Registry biedt het een groot archief met openbare, besloten en commerciële packages. Aanvallers wisten de tinycolor npm-package te compromitteren. Een populaire library met meer dan 2,2 miljoen wekelijkse downloads waar allerlei softwareontwikkelaars gebruik van maken. Eenmaal geïnstalleerd zoekt de malware op het systeem van de ontwikkelaar naar tokens waarmee toegang tot andere npm-packages van de betreffende ontwikkelaar kan worden verkregen. Vervolgens voegt de malware zichzelf aan deze packages toe. Daarnaast verzamelt de malware allerlei inloggegevens en andere secrets zoals tokens en access keys. Vervolgens worden deze gegevens naar een publieke GitHub repository geupload, zo melden cybersecuritybedrijven StepSecurity, Arctic Wolf, Aikido, Ox Security en Socket in analyses. De laatstgenoemde publiceerde een overzicht van vijfhonderd gecompromitteerde npm-packages. Het gaat ook om packages van cybersecuritybedrijf CrowdStrike. Een woordvoerder laat tegenover The Register weten dat de gecompromitteerde packages inmiddels zijn verwijderd en alle keys in publieke registries zijn veranderd. Verder meldt CrowdStrike dat de betreffende packages niet in de Falcon-beveiligingssoftware worden gebruikt, er met npm wordt samengewerkt en er een uitgebreid onderzoek plaatsvindt. bron: https://www.security.nl

ChatGPT kan gebruikers binnenkort om een identiteitsbewijs vragen, om zo hun leeftijd te controleren. Dat heeft OpenAI CEO Sam Altman aangekondigd. Het bedrijf zegt aan een "leeftijdsvoorspellingssysteem" te werken om de leeftijd van ChatGPT-gebruikers te schatten. De chatbot zou zo moeten kunnen herkennen of gebruikers volwassen zijn of niet. In het geval het systeem geen goede schatting kan maken krijgen gebruikers de "under-18 experience" van de chatbot, aldus Altman. "In sommige gevallen of landen kunnen we ook om een identiteitsbewijs vragen; we weten dat dit een privacyinbreuk voor volwassenen is, maar we denken dat dit een goede afweging is", aldus de OpenAI CEO in een blogposting. Volgens Altman is het nodig om minderjarige gebruikers van volwassen gebruikers te scheiden. OpenAI werd onlangs aangeklaagd door de ouders van een zoon die zelfmoord had gepleegd, waarbij ChatGPT instructies zou hebben gegeven. Bij de versie van ChatGPT voor minderjarigen wordt bepaalde content geblokkeerd. Daarnaast zegt OpenAI dat het in gevallen van acute nood ook opsporingsdiensten kan informeren. Verdere details hierover zijn niet gegeven. In een andere blogposting laat OpenAI weten dat wanneer het twijfelt over iemands leeftijd of het over onvolledige informatie beschikt, het standaard de "under-18 experience" inschakelt. Volwassen gebruikers kunnen vervolgens hun leeftijd verifiëren om de opties voor volwassenen te kunnen gebruiken. Hoe OpenAI de leeftijd van gebruikers denkt te kunnen voorspellen is niet bekendgemaakt. Ook is onduidelijk hoe en via welke partij de identiteitscontroles worden uitgevoerd. De chatbot-ontwikkelaar laat al wel weten dat het voorspellen van de leeftijd van gebruikers lastig is en zelfs de meest geavanceerde systemen hier soms mee worstelen. Afgelopen juli maakte YouTube bekend dat het AI gaat inzetten voor de leeftijdsverificatie van Amerikaanse gebruikers. bron: https://www.security.nl

Microsoft heeft samen met Cloudflare phishing-as-a-service platform RaccoonO365 verstoord. De dienst biedt tegen betaling phishingkits aan waarmee criminelen phishingaanvallen kunnen uitvoeren tegen gebruikers van Microsoft 365, om zo gebruikersnamen en wachtwoorden van hun accounts te stelen. Microsoft stapte naar een Amerikaanse rechtbank, waarbij het onder andere vorderde om controle te krijgen over 338 domeinnamen van RaccoonO365 (pdf). De rechtbank keurde deze vordering goed. Via RaccoonO365 kunnen criminelen e-mails, bijlagen en websites genereren die van Microsoft afkomstig lijken. Alles wat slachtoffers op de phishingsite invoeren wordt meteen naar een echte Microsoft-inlogpagina doorgestuurd. Wanneer de echte inlogpagina om meer informatie vraagt krijgt het slachtoffer dit verzoek ook te zien. Deze informatie wordt vervolgens ook voor het inloggen op het account gebruikt. Op deze manier kunnen de aanvallers toegang tot accounts krijgen waarvoor multifactorauthenticatie is ingeschakeld. Volgens Microsoft zijn sinds 2024 via de dienst inloggegevens van zeker vijfduizend Microsoft 365-accounts gestolen, van gebruikers in 94 landen. Verder stelt het techbedrijf dat phishingmails van RaccoonO365 vaak een voorbode zijn van malware en ransomware. Naast het beslag leggen op 338 domeinen van RaccoonO365 zegt Microsoft ook de vermeende beheerder van de dienst te hebben geïdentificeerd. Informatie over hem is inmiddels met opsporingsdiensten gedeeld. De verdachte zou samen met handlangers op Telegram de phishingdienst aanbieden. Daarbij claimt Microsoft dat de man zeker 100.000 dollar aan cryptovaluta heeft ontvangen, wat naar schatting op honderd tot tweehonderd abonnementen zou neerkomen. Het werkelijke aantal verkochte abonnementen ligt volgens het techbedrijf veel hoger. In samenwerking met Cloudflare zijn de betreffende domeinnamen offline gehaald en krijgen bezoekers nu een waarschuwing te zien, zo laat het internetbedrijf tegenover The Register weten. bron: https://www.security.nl

Duizenden webapplicaties bevatten door gekopieerde en geforkte code zeer zwakke of bekende cryptografische secrets waar aanvallers misbruik van kunnen maken. En vaak weten softwareontwikkelaars niet dat hun applicatie risico loopt, zo waarschuwt The Shadowserver Foundation. De secrets zijn bijvoorbeeld keys, tokens en cookies waarmee er toegang tot gegevens en systemen kan worden verkregen. Volgens The Shadowserver Foundation is de aanwezigheid van deze bekende of zwakke secrets vaak het gevolg van softwareontwikkelaars die code op het internet met een secret, bijvoorbeeld van een project op GitHub of in een handleiding, copy-pasten of forken. Daardoor belandt de gekopieerde secret ook in de applicatie van de betreffende ontwikkelaar. Aanvallers kunnen deze bekende secrets vervolgens op allerlei manieren misbruiken. Een bekende machine key maakt bijvoorbeeld remote code execution op een systeem mogelijk, zo waarschuwt Paul Mueller van Black Lantern Security. Online scan The Shadowserver Foundation is een stichting die zich met de bestrijding van cybercrime bezighoudt en geregeld onderzoek doet naar kwetsbare systemen die vanaf internet toegankelijk zijn. Onlangs werd er gescand naar applicaties die gebruikmaken van bekende of zwakke cryptografische secrets van verschillende platforms/frameworks. Het gaat specifiek om bekende cookies, tokens en keys van platforms zoals PeopleSoft, Django, Telerik en ASPNET. De scan van The Shadowserver Foundation leverde ruim 12.000 ip-adressen op met "bad secrets", waarvan bijna driehonderd in Nederland. Het grootste deel werd in de Verenigde Staten aangetroffen. In het geval van een bad secret wordt aangeraden die te vervangen. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in plug-ins van ontwikkelaar Case-Themes om WordPress-sites aan te vallen. Via het beveiligingslek kan een ongeauthenticeerde aanvaller als admin inloggen en zo volledige controle over de site krijgen. Dat laat securitybedrijf Wordfence in een analyse weten. Een beveiligingsupdate voor het probleem (CVE-2025-5821) is sinds 13 augustus beschikbaar. Aanvallen vinden sinds 23 augustus plaats, aldus de onderzoekers. Case-Themes ontwikkelt verschillende themes en plug-ins, gericht op allerlei soorten bedrijven. Het gaat dan bijvoorbeeld om fitnessstudio's, restaurants en schoonmaakbedrijven, die via de plug-ins op hun WordPress-sites hun diensten kunnen aanbieden. Het beveiligingslek is aanwezig in het gedeelte van de Case-Themes plug-ins dat gebruikers via een socialmedia-account laat inloggen. Wanneer een gebruiker een account aanmaakt, wordt er ook een nonce aangemaakt die voor de registratie wordt gebruikt. Een aanvaller kan deze nonce gebruiken in combinatie met het willekeurige e-mailadres van een andere gebruiker om vervolgens als die gebruiker in te loggen. De enige voorwaarde is dat een aanvaller een tijdelijk account aanmaakt en het e-mailadres van een andere gebruiker weet. Op deze manier kan een aanvaller ook als admin inloggen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Volgens Wordfence maken meer dan 12.000 WordPress-sites gebruik van de Case-Themes plug-ins. Het gaat hier om betaalde plug-ins. Volgens Wordfence wordt sinds 26 augustus op grote schaal misbruik van het lek gemaakt. Hoeveel websites de beschikbare update hebben geïnstalleerd is onbekend. bron: https://www.security.nl

De Duitse overheid heeft beveiligingsinstellingen voor Microsoft Office 2024 gepubliceerd, die zowel eindgebruikers als organisaties extra bescherming zouden moeten bieden. Volgens het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, is kantoorsoftware zoals Microsoft Office een geliefd doelwit voor aanvallers. Door het aanpassen van de standaardinstellingen is het echter mogelijk om het aanvalsoppervlak te verkleinen, aldus het BSI. De Duitse overheidsdienst merkt op dat de gedane aanbevelingen specifiek voor middelgrote tot grote organisaties zijn ontwikkeld, die hun eindpoints via Group Policies in een Active Directory-omgeving beheren. Ervaren gebruikers kunnen de betreffende Group Policies ook lokaal toepassen. De adviezen zijn onderverdeeld in Microsoft Office, Excel, PowerPoint, Word, Outlook, Access en Visio. Het gaat dan bijvoorbeeld om het inschakelen van automatische updates, het uitschakelen van VBA voor Office-applicaties, het aanpassen van telemetrie-opties, het niet automatisch hyperlinken van screenshots, het blokkeren van Web-Add-ins en instellingen met betrekking tot digitale handtekeningen. Alleen voor Microsoft Office gaat het al om 128 opties. Het BSI merkt op dat de aanbevelingen alleen betrekkingen hebben op het verkleinen van het aanvalsoppervlak en niet alle zaken via Group Policies zijn te regelen. Zo kunnen via telemetrie bijvoorbeeld gevoelige gegevens naar Microsoft worden verzonden. bron: https://www.security.nl

Een kritieke kwetsbaarheid in SonicWall SSL VPN's (CVE-2024-40766) wordt actief misbruikt door de Akira-ransomware voor het aanvallen van organisaties, waarschuwt het Australian Cyber Security Centre. Via het lek kunnen zij toegang krijgen tot de firewall en deze in sommige gevallen laten crashen. CVE-2024-40766 is een kwetsbaarheid in SonicWall SonicOS en SSLVPN. Het lek kan door kwaadwillende worden gebruikt om ongeautoriseerde toegang te verkrijgen en onder bepaalde omstandigheden firewalls te laten crashen. Het beveiligingsprobleem treft SonicWall Gen 5- en Gen 6-apparaten, evenals Gen 7-apparaten die op SonicOS 7.0.1-5035 of ouder draaien. De kwetsbaarheid wordt actief uitgebuit door aanvallers, waarschuwt SonicWall. Een update is beschikbaar. SonicWall adviseert gebruikers deze patch zo snel mogelijk te installeren. Ook roept de fabrikant na het updaten wachtwoorden te wijzigen. Het Australian Cyber Security Centre benadrukt dat indien organisaties hun wachtwoord niet wijzigen, zij ondanks het installeren van de patch kwetsbaar blijven. bron: https://www.security.nl

Ondanks dat Cross-Site Scripting (XSS) inmiddels al ruim twintig jaar een bekende vorm van kwetsbaarheden is, blijft dit een belangrijk aandachtspunt. Microsoft meldt nog altijd veel meldingen van XSS-kwetsbaarheden te ontvangen voor zijn diensten. Het gaat daarbij niet alleen om XSS-problemen in legacy-software, maar ook in nieuwe apps. Microsoft meldt in een blogpost dat 15% van alle kritieke meldingen die het Microsoft Security Response Center (MSRC) in de periode juli 2024 tot en met juli 2025 heeft behandeld gerelateerd waren aan XSS. In totaal pakte het team 265 XSS-kwetsbaarheden op, waarvan er 263 als belangrijk zijn geclassificeerd en twee als kritiek. In totaal betaalde het bedrijf 912.300 dollar uit voor bug meldingen gerelateerd aan XSS-kwetsbaarheden. Voor de meest ernstige kwetsbaarheden loofde Microsoft een beloning van 20.000 dollar uit. Denk hierbij aan kwetsbaarheden die het mogelijk maken om tokens te stelen of zero-click-aanvallen uit te voeren. Microsoft meldt ook dat XSS-kwetsbaarheden via een brede reeks bugbounty-programma's zijn gerapporteerd. Denk hierbij aan het Microsoft Copilot Bounty Program, Microsoft 365 Bounty Program, Microsoft Dynamics 365 & Power Platform Bounty Program, Microsoft Identity Bounty Program, Microsoft Azure Bounty Program en het Xbox Bounty Program. "Niet alle XSS-kwetsbaarheden brengen hetzelfde risiconiveau met zich mee voor klanten. Bij Microsoft geven we prioriteit aan casusspecifieke factoren die direct invloed hebben op de beveiliging van klanten, zoals de mogelijkheid tot misbruik, gevoeligheid van gegevens, vereiste gebruikersinteractie en de daadwerkelijke impact in de praktijk. Het uitgangspunt achter onze beoordeling is eenvoudig: risico’s verminderen waar het het meest relevant is voor onze klanten", schrijft Microsoft. bron: https://www.security.nl

Een kritieke kwetsbaarheid is ontdekt in Adobe Commerce en Magento Open Source. De kwetsbaarheid stelt kwaadwillende in staat om accounts van klanten over te nemen en daarnaast op afstand code uit te voeren op kwetsbare systemen. Het lek (CVE-2025-54236) wordt 'SessionReaper' genoemd. Adobe meldt dat de kwetsbaarheid het mogelijk maakt om de controle over een webshop over te nemen. Sansec Forensics Team waarschuwt echter dat het ook mogelijk is om code op afstand uit te voeren. De aanval combineert een malafide sessie met een deserialisatie bug in de REST API van Magento. Voor het uitvoeren van code moet vermoedelijk bestands gebaseerde sessie opslag worden gebruikt. SanSec adviseert echter ook gebruikers die Redis of database sessies inzetten om actie te ondernemen. Een patch die de kwetsbaarheid verhelpt is inmiddels beschikbaar gemaakt door Adobe. SanSec wijst erop dat deze patch vorige week is uitgelekt, wat aanvallers de mogelijkheid heeft gegeven om vroegtijdig een exploit code te ontwikkelen. Ook waarschuwt het beveiligingsbedrijf voor geautomatiseerde aanvallen die de kwetsbaarheid proberen uit te buiten. SanSec benadrukt dan ook de noodzaak om de patch zo snel mogelijk te installeren. bron: https://www.security.nl

Een aanvaller is erin geslaagd via een supply chain-aanval malware te injecteren in populaire npm-packages. De getroffen packages worden wekelijks ruim 2,6 miljard keer gedownload. Dit bevestigt Josh Junon, die de getroffen packages beheert. Junon is getroffen door een phishingaanval. De ontwikkelaar kreeg een e-mail toegestuurd die verwees naar een malafide website die sprekend lijkt op de legitieme website van npm. In deze e-mail stond dat de accounts van Junon op 10 september zouden worden geblokkeerd, tenzij hij zijn tweefactorauthenticatie (2FA) zou updaten. De aanvaller wist zo toegang te krijgen tot accounts van de ontwikkelaar. Op GitHub zijn berichten verschenen van andere ontwikkelaars die melden dezelfde e-mail te hebben ontvangen. Aikido Security onderzocht de aanval en meldt dat de aanvallers getroffen packages hebben geüpdatet, waarbij malafide code in de packages is geïnjecteerd. Deze malware maakt het mogelijk netwerkverkeer en applicatie-API's te hijacken. Daarbij zoekt de malware onder meer naar adressen en transacties van cryptowallets, waarbij transacties worden aangepast en doorgeleid naar wallets die onder beheer van de aanvaller staan. Specifiek zoekt de malware naar Bitcoin, Bitcoin Cash, Ethereum, Litecoin, Solana en Tron. bron: https://www.security.nl

Salesloft Drift-aanvaller had van maart tot en met juni 2025 toegang tot GitHub-account De aanvaller die verantwoordelijk is voor de supply chain-aanval op Salesloft Drift had van maart tot en met juni 2025 toegang tot het GitHub-account van Salesloft, meldt Salesloft in een update. Dit stelde de aanvaller in staat content te downloaden uit meerdere repositories, een gastaccount toe te voegen en workflows op te zetten. Salesloft is een sales engagement platform. Het biedt onder de naam Drift een chat applicatie aan die kan worden geïntegreerd met verschillende applicaties, waaronder de populaire CRM-oplossing Salesforce. Bij de aanval zijn tokens buitgemaakt die gebruikt zijn voor de koppeling tussen Drift en omgevingen van klanten. Zo wisten de aanvallers bij diverse partijen data buit te maken. De aanval is door Salesloft in samenwerking met Mandiant onderzocht. Hieruit blijkt onder meer dat de aanvaller tussen maart en juni 2025 verkennende activiteiten uitvoerde in de applicatieomgevingen van Salesloft en Drift. Vervolgens wist de aanvaller door te dringen in de AWS-omgeving van Drift en maakte hier OAuth-tokens buit voor integraties tussen Drift en klantomgevingen. Deze tokens zijn vervolgens gebruikt voor het stelen van data. Salesloft zet in de update ook uiteen welke stappen het heeft genomen in reactie op de aanval. Zo zijn de Drift-infrastructuur, -applicatie en -code geïsoleerd, is de Drift-applicatie uit de lucht gehaald en zijn getroffen inloggegevens gewijzigd. Daarnaast zijn ook inloggegevens voor de Salesloft-omgeving gewijzigd en is gezocht naar aanvullende Indicators of Compromise (IoC's), die niet zijn aangetroffen. Ook zijn aanvullende maatregelen genomen om verdere aanvallen af te slaan. bron: https://www.security.nl

Update: 3.325 secrets gestolen bij supply chain-aanval op GitHub Bij een supply chain-aanval op GitHub zijn 3.325 secrets gestolen. Het gaat onder meer om tokens van PyPI, npm, DockerHub en GitHub, en sleutels van Cloudflare en AWS. De aanval wordt 'GhostAction' genoemd. Hiervoor waarschuwen onderzoekers van GitGuardian, die de aanval ontdekten. Zij melden op 2 september de eerste signalen te hebben gezien van de aanval op een van de getroffen GitHub-projecten: FastUUID. De aanvaller wist via een gecompromitteerd account commits uit te voeren waarmee zij een malafide GitHub Actions-workflow bestand verspreiden. Dit bestand werd uitgevoerd bij een 'push', of kon handmatig worden uitgevoerd. Eenmaal uitgevoerd zoekt het bestand naar secrets in de GitHub Actions-omgeving van het project. Deze secrets stuurt de malware door naar een extern domein dat onder beheer staat van de aanvaller. In het geval van FastUUID is zo de PyPI-token van het project gestolen. Nader onderzoek van GitGuardian naar de aanval wijst uit dat de aanval echter breder is en niet alleen FastUUID raakt. In totaal zijn 827 repositories van 327 GitHub-gebruikers getroffen. Naar schatting zijn daarbij zo'n 3.325 secrets gestolen. bron: https://www.security.nl

Mediastreamingplatform Plex waarschuwt voor een datalek. Gebruikers krijgen het advies hun wachtwoord te resetten. Het platform meldt dat een ongeautoriseerde partij toegang heeft verkregen tot een van zijn databases. Hierdoor was een deel van de klantgegevens van Plex inzichtelijk voor de aanvaller. Het gaat onder meer om e-mailadressen, gebruikersnamen, gehashte wachtwoorden en authenticatiegegevens. Plex meldt maatregelen te hebben genomen om herhaling van het incident te voorkomen. Het laat daarbij in het midden hoe de aanvaller de database wist binnen te dringen, maar meldt wel dat deze 'methode' is aangepakt. Daarnaast meldt Plex additionele reviews uit te voeren om ook de veiligheid van andere systemen te controleren. bron: https://www.security.nl

Een kwetsbaarheid (CVE-2025-58782) is ontdekt in Apache Jackrabbit, een populaire opensource-contentrepository die veel wordt gebruikt door contentmanagementsystemen en webapplicaties. De kwetsbaarheid stelt kwaadwillende in staat om code uit te voeren op servers die Apache Jackrabbit draaien. Het lek is ontdekt door securityonderzoeker James John, die het lek heeft gerapporteerd. De manier waarop bepaalde componenten van Apache Jackrabbit omgaan met zogeheten Java Naming and Directory Interface (JNDI)-queries zorgt voor de kwetsbaarheid. Indien een implementatie is geconfigureerd om dergelijke verzoeken uit niet-vertrouwde en publiek toegankelijke bronnen af te handelen, kan de kwetsbaarheid worden uitgebuit. In dit geval kunnen kwaadwillende een speciaal geprepareerde JNDI-query sturen en de applicatie zo code laten uitvoeren met de rechten waarover de applicatie beschikt. Apache Jackrabbit Core 1.0.0 t/m 2.22.1 zijn kwetsbaar, evenals Apache Jackrabbit JCR Commons 1.0.0 t/m 2.22.1. JNDI-queries zijn in versie 2.22.2 van Apache Jackrabbit standaard uitgeschakeld. Gebruikers krijgen het advies deze versie zo snel mogelijk te installeren. bron: https://www.security.nl

Bij een recente cyberaanval op GitHub Desktop-gebruikers is een combinatie van betaalde advertenties en een commit op de legitieme GitHub-repository ingezet om slachtoffers om de tuin te leiden. Daarbij zijn malafide URL's toegevoegd aan een README-bestand, met als doel slachtoffers malware te laten downloaden. Dit meldt Arctic Wolf in een analyse van de aanval. Een GitHub-commit is een snapshot van de veranderingen die aan een Git-repository zijn doorgevoerd op een specifiek moment. Iedere commit krijgt daarbij een unieke ID toegekend in de vorm van een SHA of hash. De aanvallers hebben dit gebruikt om gebruikers te manipuleren. Daarbij is een commit in de legitieme repository gecreëerd, waarna de ID van deze commit in de URL van een malafide pagina is verwerkt. De URL verwees hierdoor direct door naar deze specifieke commit. Gebruikers kregen hierdoor een pagina te zien die identiek leek aan de originele repository, maar een aangepast README-bestand bevatte waar malafide URL's aan waren toegevoegd. Door de werkwijze kunnen ook oplettende gebruikers om de tuin worden geleid, waarschuwt Arctic Wolf. Zo lijkt de naam en URL van de repository op het eerste oog correct, worden namen van echte contributors weergegeven en is de metadata van de pagina identiek aan het origineel. De malafide pagina is alleen te herkennen aan een melding aan de bovenzijde van de pagina, waaruit blijkt dat de bezoeker naar een specifieke commit kijkt in plaats van de standaard repository. Arctic Wolf meldt dat de melding echter eenvoudig aan het zicht kan worden onttrokken, bijvoorbeeld door slachtoffers direct door te sturen naar de downloadpagina. In de onderzochte aanval deden de aanvallers dit door slachtoffers via een malafide Google Ads-advertentie direct door te sturen naar deze pagina. Wie in de truc trapt en de malafide URL's uit het README-bestand bezoekt, krijgt malware geserveerd. Arctic Wolf spreekt van unieke malware. Het gaat om een Microsoft Software Installer van 128 MB groot die de meeste security-sandboxes weet te vermijden. De payload wordt alleen ontsleuteld op systemen met een grafische kaart (GPU), en blijft op systemen die niet over een losse GPU beschikken hierdoor versleuteld. Ook veel systemen die voor het analyseren van malware worden gebruikt vallen hieronder. De aanvalstechniek wordt door Arctic Wolf 'GPUGate' genoemd. Op basis van de werkwijze vermoedt Arctic Wolf dat de aanvallers zich specifiek richten op systemen met specifieke hardwareconfiguraties. Mogelijk richten de aanvallers zich zo op ontwikkelaars en gebruikers die zich bezig houden met cryptomining. "Wij denken dat het doel van deze campagne was om initiële toegang te verkrijgen tot organisaties, met als doel malafide activiteiten zoals de diefstal van inloggegevens, datadiefstal en inzet van ransomware", meldt Arctic Wolf. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in SAP om systemen volledig over te nemen, zo laat securitybedrijf SecurityBridge. Voor het beveiligingslek (CVE-2025-42957) in SAP S/4HANA verschenen op 12 augustus beveiligingsupdates. SAP S/4HANA is een Enterprise Resource Planning (ERP) systeem dat voor allerlei bedrijfsprocessen wordt gebruikt. Via de kwetsbaarheid kan een "low-privileged" gebruiker code injecteren en zo volledige controle over het SAP-systeem krijgen. De impact is op een schaal van 1 tot en met 10 beoordeeld met een 9.9. "Deze kwetsbaarheid fungeert eigenlijk als een backdoor, wat het risico van een volledig gecompromitteerd systeem met zich meebrengt, en de vertrouwelijkheid, integriteit en beschikbaarheid van het systeem ondermijnt", aldus de CVE-beschrijving. SecurityBridge geeft geen details over het waargenomen misbruik, maar stelt dat het nog niet om grootschalige aanvallen gaat. Verder laten de onderzoekers weten dat een exploit voor de kwetsbaarheid eenvoudig is te ontwikkelen en dat een aanvaller alleen over "low-level credentials" op het SAP-systeem hoeft te beschikken. Organisaties worden opgeroepen de SAP-update zo snel mogelijk te installeren. bron: https://www.security.nl

Mozilla blijft Firefox op Windows 7, 8 en 8.1 in ieder geval tot maart 2026 met beveiligingsupdates ondersteunen. Ook de support van macOS Sierra, High Sierra en Mojave is tot deze periode verlengd. Oorspronkelijk zou de ondersteuning in september 2024 worden beëindigd, maar de Firefox-ontwikkelaar besloot die steeds te verlengen. In eerste instantie tot maart dit jaar, gevolgd door een verlenging tot en met september. Op basis van het aantal Firefox-gebruikers op Windows 7 is wederom besloten de support met nog eens zes maanden te verlengen tot maart 2026. Microsoft stopte de ondersteuning van Windows 7 op 14 januari 2020. Volgens cijfers van Mozilla werkt bijna zeven procent van de Firefox-gebruikers nog met Windows 7. Een percentage dat heel langzaam afneemt. De ondersteuning zal echter beperkt zijn tot alleen kritieke beveiligingsupdates en 'kwaliteitsfixes'. Mozilla stelt dat de nieuwe verlenging gebruikers meer tijd geeft om naar een wel ondersteund besturingssysteem over te stappen. bron: https://www.security.nl

Een federale jury heeft in de Verenigde Staten bepaald dat Google een bedrag van 425 miljoen dollar moet betalen wegens het schenden van de privacy van gebruikers. Google bleef van miljoenen mensen gegevens verzamelen, ook al hadden ze een trackingoptie in hun Google-account uitgeschakeld. Het ging daarbij om de optie Web & App Activity, waarmee Google allerlei informatie over het gebruik van websites en apps opslaat, alsmede locatiegegevens. Gebruikers stelden in een massaclaim dat Google geen toestemming had, wanneer Web & App Activity stond uitgeschakeld, om gegevens over hun activiteiten in andere apps te verzamelen. Deze apps, zoals Uber, Venmo, TikTok, Instagram, Facebook en WhatsApp, maakten gebruik van Google-software zoals de Firebase Software Development Kit en de Google Mobile Ads Software Development Kit. Volgens de eisers gebruikte Google deze software om onrechtmatig toegang tot hun apparaten te krijgen en activiteiten in apps die niet van Google waren te verzamelen, bewaren en gebruiken. Een jury in deze zaak stelde dat het techbedrijf voor twee van de drie claims aansprakelijk is, maar niet met kwade opzet heeft gehandeld. Google laat in een reactie tegenover persbureau Reuters weten dat het in beroep gaat en dat de jury verkeerd begrijpt hoe de producten van het techbedrijf werken. De Consumentenbond adviseert Androidgebruikers die meer privacy willen om Web & App Activity uit te schakelen. VS beschuldigt drietal van het aanvallen van 500 energiebedrijven wereldwijd bron: https://www.security.nl