Captain Kirk

Instagram stopt binnenkort met de mogelijkheid om end-to-end versleutelde berichten te versturen, zo heeft het platform bekendgemaakt. "End-to-end versleutelde berichten op Instagram worden vanaf 8 mei 2026 niet meer ondersteund", aldus de boodschap. Een reden voor de beslissing wordt niet gegeven. Onlangs maakte TikTok bekend dat het bewust geen end-to-end encryptie toepast, omdat de beveiligingsmaatregel gebruikers minder veilig zou maken. Politie en veiligheidsmedewerkers kunnen door end-to-end encryptie privéberichten van gebruikers niet lezen als dat nodig is, aldus TikTok. "End to end versleutelde berichten en telefoongesprekken zorgen ervoor dat alleen jij en de mensen met wie je communiceert kunnen zien of luisteren wat er wordt verstuurd, en niemand anders, zelfs Meta niet", aldus Instagram op de eigen website. De beveiligingsmaatregel staat niet standaard ingeschakeld. Gebruikers moeten end-to-end versleuteld zelf voor privéchats inschakelen. Vanaf 8 mei zal het echter niet langer meer mogelijk zijn om end-to-end via Instagram te communiceren. Gebruikers die end-to-end versleutelde chats hebben zullen instructies ontvangen hoe ze media of berichten die ze willen behouden kunnen downloaden. bron: https://www.security.nl

Microsoft waarschuwt voor aanvallers die fake vpn-software voor bedrijven verspreiden wat in werkelijkheid malware is. De malware heeft als doel om vpn-inloggegevens van het slachtoffer te stelen. Bij de aanval wordt gebruikgemaakt van search engine optimization (SEO) poisoning om websites met de malafide vpn-software hoger in de zoekresultaten te krijgen, aldus Microsoft. Het techbedrijf ontdekte tal van dergelijke websites waarop zogenaamd vpn-software van Ivanti, Fortinet, Cisco, Checkpoint, Sophos, SonicWall en WatchGuard wordt aangeboden. Wanneer gebruikers naar de zakelijke vpn-software zoeken kunnen ze deze websites in de zoekresultaten tegenkomen. De websites bevatten een link naar een bij GitHub gehost bestand dat het installatieprogramma zou zijn. Dit programma installeert de malware. Om gebruikers niets te laten vermoeden toont het geïnstalleerd programma een inlogvenster dat op dat van de echte vpn-software lijkt. Wanneer slachtoffers hun wachtwoord en vpn-configuratie invoeren wordt deze data naar de aanvaller gestuurd. Hierna laat de malafide applicatie een fake foutmelding aan de gebruiker zien, die vervolgens de opdracht krijgt om de legitieme vpn-software te installeren. Daarbij kan ook de browser van het slachtoffer worden geopend met de legitieme website van de vpn-software. Hierdoor kan het zijn dat gebruikers niets vermoeden, stelt Microsoft. Het techbedrijf meldt tevens dat de malware aanpassingen aan het register doorvoert zodat die ook bij het opstarten van het systeem wordt geladen. bron: https://www.security.nl

Onderzoekers hebben verschillende kritieke kwetsbaarheden in Linux AppArmor ontdekt waardoor een lokale aanvaller root kan worden. Volgens securitybedrijf Qualys, dat de problemen ontdekte en rapporteerde, maken wereldwijd 12,6 miljoen enterprise Linux instances standaard gebruik van AppArmor. Er zijn updates beschikbaar gemaakt om de problemen te verhelpen. De in totaal negen verschillende beveiligingslekken die de aanval mogelijk maken hebben de naam 'CrackArmor' gekregen. AppArmor is een door Canonical beheerde Linux kernel security module waarmee systeembeheerders de mogelijkheden van programma's via een apart profiel per programma kunnen beperken. Zo kan er via de profielen bijvoorbeeld worden aangegeven of een programma netwerktoegang mag hebben of de mogelijkheid om bestanden te lezen, schrijven of uit te voeren. Volgens Qualys is AppArmor het standaard access control mechanisme van Ubuntu, Debian, SUSE en tal van cloudplatforms. Via de CrackArmor-kwetsbaarheden kan een unprivileged gebruiker de AppArmor-profielen manipuleren, door ze te laden, verwijderen of vervangen, user-namespace beperkingen omzeilen en willekeurige code binnen de kernel uitvoeren. Door de gevonden problemen te combineren kan een aanvaller die al toegang tot een systeem heeft zijn rechten verhogen tot die van root. Ook kan misbruik tot een denial of service leiden. Er zijn op dit moment nog geen CVE-nummers voor de kwetsbaarheden beschikbaar. Qualys zegt dat het proof-of-concept exploitcode heeft ontwikkeld om misbruik van de problemen te demonstreren, maar maakt die nog niet beschikbaar zodat organisaties de tijd krijgen om de beschikbare patches uit te rollen en het risico voor ongepatchte omgevingen te beperken. De kwetsbaarheden werden vorig jaar juli, augustus en september gerapporteerd. Updates zijn sinds gisteren beschikbaar. bron: https://www.security.nl

Wereldwijd zijn wifi-routers van D-Link, Netgear, TP-Link, Zyxel en andere fabrikanten geïnfecteerd met de AVrecon-malware, zo waarschuwt de FBI (pdf). De Amerikaanse opsporingsdienst adviseert eigenaren van dergelijke wifi-routers om een patchschema te maken en zo periodiek te controleren of er firmware-updates beschikbaar zijn en die dan meteen te installeren. Veel routers beschikken namelijk niet over een automatische updatefunctie, aldus de opsporingsdienst. De met AVrecon besmette routers werden via de SocksEscort-proxydienst aangeboden. Afnemers van deze dienst, die inmiddels door de autoriteiten offline is gehaald, konden via de besmette routers hun verkeer laten lopen. Volgens de FBI is de AVrecon-malware op routers en ip-camera's in 163 landen aangetroffen. De malware is in staat om twaalfhonderd apparaatmodellen van Cisco, D-Link, Hikvision, MicroTik, Netgear, TP-Link en Zyxel te infecteren. Hiervoor maken de aanvallers gebruik van kritieke kwetsbaarheden in de apparaten. Het gaat zowel om apparaten die end-of-life zijn en geen beveiligingsupdates ontvangen of apparaten waarvan de eigenaar beschikbare patches niet heeft geïnstalleerd. Bij sommige van de besmette apparaten installeerden de aanvallers custom firmware om toegang te behouden. Ook werd de firmware van besmette routers aangepast, waardoor de features om het apparaat te updaten of te flashen werden uitgeschakeld. Dit maakt het volgens de FBI zeer lastig om de AVrecon-malware te verwijderen. Bij sommige apparaten volstaat het rebooten van het besmette apparaat om de malware te verwijderen, omdat die niet over 'persistence' beschikt, maar er zijn gevallen bekend waarbij het apparaat meteen via de eerder gebruikte kwetsbaarheden opnieuw werd geïnfecteerd. Naast het fungeren als proxy worden besmette routers en ip-camera's ook ingezet voor het scannen naar andere kwetsbare apparaten. De FBI adviseert eigenaren van routers en andere IoT-apparaten om firmware-updates tijdig te installeren. Aangezien veel van deze apparaten niet over een automatische updatefunctie beschikken wordt aangeraden een patchschema op te stellen en zelf periodiek te controleren of er patches beschikbaar zijn en die dan te installeren. Verder wordt aangeraden om SOHO-routers en IoT-apparaten te monitoren, isoleren en de toegang ertoe te beperken. Tevens moeten end-of-life apparaten worden vervangen. bron: https://www.security.nl

Google heeft beveiligingsupdates uitgebracht voor twee actief aangevallen kwetsbaarheden in Chrome. Beide beveiligingslekken werden zelf door Google op 10 maart ontdekt. Het gaat om CVE-2026-3909 en CVE-2026-3910, aanwezig in de Skia- en V8-onderdelen van de browser. Chrome gebruikt de Skia graphics engine voor het weergeven van tekst en afbeeldingen. V8 is de JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript. In beide onderdelen zijn herhaaldelijk beveiligingslekken gevonden die al voor het beschikbaar komen van updates werden misbruikt bij aanvallen. De impact van beide kwetsbaarheden is door Chrome beoordeeld als 'high'. Bij kwetsbaarheden met het stempel 'high' kan een aanvaller in het ergste geval code binnen de context van de browser uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Dit soort lekken zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google geeft geen details over de waargenomen aanvallen. De kwetsbaarheden zijn verholpen in Google Chrome 146.0.7680.75/76 voor Windows en macOS en Chrome 146.0.7680.75 voor Linux. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van kwetsbaarheden met het stempel 'high' echter tot zestig dagen duren. Gebruikers die de update direct willen ontvangen zullen dan ook een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar. bron: https://www.security.nl

De Nederlandse politie heeft samen met de FBI en andere opsporingsdiensten de servers van proxydienst SocksEscort offline gehaald. Volgens de politie bestond SocksEscort wereldwijd uit meer dan 369.000 gehackte en geïnfecteerde apparaten, zoals routers en ip-camera’s van thuisgebruikers. Tegen betaling kon er van de proxydienst gebruik worden gemaakt. De politie stelt dat via SocksEscort strafbare feiten werden gepleegd. Gisteren werd de infrastructuur van de proxydienst offline gehaald. Zo werden 23 servers in zeven landen beslag genomen, alsmede 34 domeinen. Daarnaast is de website waarop de dienst werd aangeboden overgenomen. Tevens is een grote hoeveelheid data in beslag genomen en veiliggesteld. "De volledige omvang van het proxynetwerk en de afnemers van deze dienst is hiermee duidelijk geworden", aldus de politie. In het onderzoek is samengewerkt met de Amerikaanse, Franse en Oostenrijkse autoriteiten. Ook Europol was betrokken. Via een proxydienst kunnen gebruikers hun verkeer via andere apparaten laten lopen. "Hoewel niet iedere proxydienst illegaal is, worden ze ook door criminelen misbruikt om hun identiteit te verbergen. Dit maakt het opsporen en vervolgen van daders moeilijker en lijkt het alsof het strafbare feit door de eigenaar van het kwetsbare apparaat is gepleegd", laat de politie weten. De kenmerken van de besmette apparaten die onderdeel uitmaakten van SocksEscort zijn gedeeld met de opsporingsdiensten in meer dan veertig landen. Deze landen kunnen maatregelen nemen, zodat deze apparaten niet opnieuw onderdeel van een proxydienst worden. De politie meldt dat in Nederland een beperkt aantal apparaten geïnfecteerd was en het de eigenaren persoonlijk zal informeren. bron: https://www.security.nl

Gebruikers van het web moeten standaard anoniem blijven, aldus Mozilla, dat zegt te werken aan oplossingen voor identificatie en leeftijdsverificatie. Mensen kunnen op straat rondlopen zonder dat ze een naambordje hoeven te dragen of zich tegenover voorbijgangers moeten identificeren, aldus de Firefox-ontwikkelaar. Wie een winkel binnengaat hoeft zich niet eerst te introduceren en alleen zijn portemonnee te trekken als er iets wordt gekocht. "Wanneer dit de norm is, kan iedereen van de voordelen van privacy genieten zonder veel moeite te doen om hun identiteit te verbergen - iets dat voor de meeste mensen niet praktisch is", zegt Mozilla's Martin Thomson. "Het is gemakkelijk om anonimiteit als vanzelfsprekend te beschouwen, maar het is afhankelijk van een fragiel evenwicht dat continu wordt bedreigd." Dergelijke anonimiteit staat op het web onder druk, aldus Thomson. Zo verplichten steeds meer landen online leeftijdsverificatie. Daarnaast werken steeds meer landen met digitale identiteitsbewijzen. "Dat maakt het voor veel meer websites praktisch om om fysieke identificatie te vragen en het voor allerlei nieuwe doeleinden te gebruiken, die handig voor hen zijn, maar niet in het belang van ieders privacy zijn." Thomson stelt dat zero-knowledge proof protocollen en encryptie kunnen helpen om de anonimiteit op het web te behouden. "We zullen de komende maanden meer informatie over deze aanpak delen. Sommige details worden nog uitgewerkt in samenwerking met onze partners in het ecosysteem, maar we hebben er vertrouwen in dat het mogelijk is om misbruik, leeftijdsverificatie en authenticatie van burgers op te lossen zonder dat het web anonimiteit hoeft op te geven." bron: https://www.security.nl

Onderzoekers hebben een botnet van veertienduizend Asus-routers ontdekt dat alleen door middel van een fabrieksreset is op te schonen. Het botnet wordt 'KadNap' genoemd en biedt besmette apparaten aan als proxy voor criminelen, aldus onderzoekers van securitybedrijf Lumen. Aanvallers kunnen tegen betaling van deze proxydienst gebruikmaken om zo hun eigen ip-adres te verbergen en een ip-adres te krijgen dat zich in dezelfde regio bevindt als het doelwit. Hoe de Asus-routers precies besmet raken laten de onderzoekers niet weten, maar in een reactie tegenover Ars Technica wordt gesteld dat er vermoedelijk gebruik wordt gemaakt van bekende kwetsbaarheden. Dat zou inhouden dat eigenaren van de routers beschikbare updates niet hebben geïnstalleerd. Lumen heeft verschillende Indicators of Compromise (IoC's) beschikbaar gemaakt waarmee gebruikers kunnen controleren of hun router besmet is. Voor het verwijderen van de malware is een fabrieksreset nodig. De malware slaat namelijk een shell-script op dat automatisch wordt uitgevoerd wanneer de router herstart, waardoor het apparaat weer besmet raakt. Bij een fabrieksreset wordt dit script. verwijderd. Verder moeten eigenaren controleren of alle beschikbare firmware-updates zijn geïnstalleerd, admin-wachtwoorden sterk zijn en remote access staat uitgeschakeld tenzij nodig. De meeste infecties door KadNap zijn in de VS waargenomen. bron: https://www.security.nl

Aanvallers hebben zo'n 250 WordPress-sites in zeker twaalf verschillende landen gehackt en voorzien van fake Cloudflare CAPTCHA's die bezoekers met malware proberen te infecteren. Dat laat securitybedrijf Rapid7 weten. Hoe de aanvallers de websites konden compromitteren kunnen de onderzoekers niet zeggen. Bij alle gecompromitteerde websites was het adminpanel vanaf het internet voor iedereen toegankelijk. Tevens werd er gecontroleerd op de aanwezigheid van kwetsbare plug-ins, maar de onderzoekers konden geen duidelijk patroon identificeren. Op de gehackte websites injecteerden de aanvallers een script dat aan bezoekers een fake Cloudflare CAPTCHA laat zien. De zogenaamde CAPTCHA geeft instructies, waarbij gebruikers een malafide PowerShell-commando op hun systeem moeten uitvoeren. Via dit commando wordt malware op het systeem geïnstalleerd. Het gaat daarbij specifiek om infostealer-malware die wachtwoorden en andere inloggegevens op het systeem steelt. "Social engineering blijft één van de meest effectieve tactieken die aanvallers gebruiken om toegang te krijgen", aldus de onderzoekers. Die adviseren WordPress-beheerders om tweefactorauthenticatie te gebruiken en geen onbetrouwbare code uit te voeren op systemen waar inloggegevens zijn opgeslagen. Vorig jaar waarschuwden Amazon en Google nog voor fake Cloudflare CAPTCHA's. bron: https://www.security.nl

Google heeft een nieuwe versie van Chrome uitgebracht die gebruikers extra tegen cross-site scripting (XSS) kan beschermen. Eerder werd dezelfde beveiligingsmaatregel al door Mozilla aan Firefox toegevoegd. Via XSS kan een aanvaller malafide scripts op websites of in webapplicaties injecteren die dan in de browser van het slachtoffer worden uitgevoerd. Zo is het bijvoorbeeld mogelijk om cookies, session tokens en andere vertrouwelijke informatie te stelen. Afgelopen december werd cross-site scripting door de MITRE Corporation uitgeroepen tot de gevaarlijkste kwetsbaarheid van 2025. De HTML Sanitizer API, die nu aan Chrome en eerder aan Firefox werd toegevoegd, moet het eenvoudiger voor ontwikkelaars maken om XSS-vrije webapplicaties te ontwikkelen. Via de API kunnen ontwikkelaars binnen hun website of applicatie niet vertrouwde HTML 'sanitizen' voordat die in het Document Object Model (DOM) terechtkomt. De API moet onbetrouwbare HTML omzetten naar veilige HTML, wat het doet door bepaalde elementen en attributen uit de HTML van gebruikers weg te halen. De aanwezigheid van de API in Chrome wil niet zeggen dat gebruikers automatisch beschermd zijn, het is namelijk aan webontwikkelaars om hier gebruik van te maken. Google Chrome zal op de meeste systemen automatisch naar de nieuwe versie 146 upgraden. bron: https://www.security.nl

Tijdens de patchdinsdag van maart heeft Microsoft updates uitgebracht voor een kritieke kwetsbaarheid in Excel, waardoor een aanvaller informatie van gebruikers via Copilot kan stelen, waarbij een gebruiker nergens op hoeft te klikken. Tevens zijn twee remote code execution (RCE) kwetsbaarheden in Microsoft Office gepatcht die ook via het Voorbeeldvenster (Preview Pane) zijn te misbruiken. Kwetsbaarheden waarmee een aanvaller informatie kan stelen worden zelden als kritiek aangemerkt. In het geval van CVE-2026-26144, aanwezig Microsoft 365 Apps for Enterprise, is dat wel het geval. Het betreft een cross-site scripting (XSS) kwetsbaarheid waardoor een aanvaller via de Copilot Agent mode in Excel data kan stelen. Via deze mode kunnen gebruikers AI-chatbot Copilot gebruiken voor het verwerken en bewerken van data in spreadsheets. Misbruik van de kwetsbaarheid vereist volgens Microsoft geen interactie. Het techbedrijf spreekt in het beveiligingsbulletin over 'zero-click' informatiediefstal, maar geeft geen verdere details. Daarnaast wordt er ook gewaarschuwd voor de twee kritieke kwetsbaarheden in Microsoft Office waardoor remote code execution mogelijk is. Het gaat om CVE-2026-26110 en CVE-2026-26113. Microsoft laat niet weten hoe aanvallers misbruik van de problemen kunnen maken, maar meldt wel dat het Voorbeeldvenster (Preview Pane) een aanvalsvector is. Microsoft roept beheerders en gebruikers op om de beschikbaar gestelde updates te installeren. bron: https://www.security.nl

De Amerikaanse autoriteiten waarschuwen voor actief misbruik van een kwetsbaarheid in Ivanti Endpoint Manager (EPM). Het gaat om een authentication bypass kwetsbaarheid waardoor een ongeauthenticeerde aanvaller op afstand toegang kan krijgen tot specifieke opgeslagen "credential data". Wat voor soort gegevens dit zijn laat Ivanti niet weten. Het bedrijf kwam op 9 februari met een beveiligingsupdate voor de kwetsbaarheid (CVE-2026-1603). Via Ivanti Endpoint Manager kunnen organisaties laptops, smartphones en servers beheren, waaronder het installeren van software en updates. Dit wordt gedaan door middel van de EPM-server die met een agent op beheerde clients communiceert. Een gecompromitteerde EPM-server of administrator-account kan dan ook vergaande gevolgen hebben. Ivanti EPM is in het verleden meerdere keren doelwit geweest van aanvallen waarbij misbruik werd gemaakt van kwetsbaarheden waar op het moment van de aanval nog geen beveiligingsupdate voor beschikbaar was. Op het moment dat Ivanti met de beveiligingsupdate kwam was het niet bekend met actief misbruik van het probleem. Veel details over de kwetsbaarheid werden niet door Ivanti gegeven, behalve dat de impact op een schaal van 1 tot en met 10 met een 8.6 is beoordeeld. Het Cybersecurity & Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security meldt nu dat aanvallers actief misbruik van het probleem maken, maar geeft geen details over de waargenomen aanvallen. Amerikaanse overheidsinstanties die met Ivanti EPM werken zijn door het CISA opgedragen om de update binnen twee weken te installeren. bron: https://www.security.nl

Een kritieke kwetsbaarheid in een betaalde plug-in voor WordPress met meer dan 30.000 installaties maakt het mogelijk voor aanvallers om administrator te worden. De ontwikkelaars van Tutor LMS Pro hebben een update uitgebracht om het probleem te verhelpen. Tutor LMS Pro is een plug-in voor het aanbieden van eLearning-cursussen via WordPress-sites. De plug-in biedt onder andere de mogelijkheid om via een account van bijvoorbeeld Facebook of Google in te loggen. Op basis van een token dat door Google of Facebook wordt verstrekt en het e-mailadres kan de gebruiker vervolgens op de site inloggen. De plug-in controleert niet of het token en het e-mailadres wel bij elkaar horen. Er wordt alleen gecontroleerd of het om een geldig token gaat, zo laat securitybedrijf Wordfence weten. Een aanvaller kan hier misbruik van maken door bij het inloggen zijn eigen geldige token op te geven in combinatie met het e-mailadres van een willekeurig account op de WordPress-site. Wanneer een aanvaller het e-mailadres van de website-admin weet en dit opgeeft, zal hij als administrator worden ingelogd en zo de controle over de site krijgen. De ontwikkelaars van Tutor LMS Pro werden op 14 januari ingelicht en kwamen op 30 januari met een update. Wordfence heeft nu de details van de kwetsbaarheid openbaar gemaakt. Aangezien het hier om een betaalde plug-in gaat zijn er geen cijfers bekend over het aantal sites dat de update heeft geïnstalleerd. bron: https://www.security.nl

Vorige maand hebben aanvallers op grote schaal gebruik gemaakt van een alternatieve ClickFix-aanval om internetgebruikers met malware te infecteren, zo meldt Microsoft. Bij een ClickFix-aanval krijgt een slachtoffer vaak een melding te zien dat hij een CAPTCHA moet oplossen. Hiervoor moet via het Windows Uitvoervenster (Run) een commando worden uitgevoerd. In werkelijkheid zorgt het commando ervoor dat er malware op het systeem wordt gedownload en uitgevoerd. Bij de aanval waar Microsoft voor waarschuwt kregen slachtoffers de instructie om een PowerShell-commando in de Windows Terminal uit te voeren. Volgens het techbedrijf omzeilen de aanvallers op deze manier beveiligingssoftware die controleert op misbruik van het Uitvoervenster, aangezien de aanval in de Windows Terminal plaatsvindt. In het geval slachtoffers het commando uitvoeren wordt er uiteindelijk infostealer-malware op het systeem gedownload. Deze malware steelt in Google Chrome en Microsoft Edge opslagen wachtwoorden en onderschept andere inloggegevens. bron: https://www.security.nl

Stichting Privacy First is tegen een voorstel waardoor het gebruik van de Europese digitale identiteit wordt verplicht wanneer mensen zich in non-face-to-face situaties moeten identificeren bij banken. In de verordening over de Europese digitale identiteit staat dat gebruik altijd vrijwillig is. Het kabinet heeft ook altijd geclaimd dat het gebruik vrijwillig is en het niet verplicht wordt om diensten in de Europese Unie te kunnen afnemen. De nieuwe Europese antiwitwas-autoriteit AMLA doet in een consultatiedocument echter het voorstel dat mensen in non-face-to-face situaties zich moeten identificeren door middel van de Europese digitale identiteit. Vorig jaar juni nam Privacy First deel aan een consultatie van de Europese Banken Autoriteit (EBA) over de nadere regels op het gebied van het cliëntenonderzoek op grond van de antiwitwasverordening, die halverwege 2027 in werking treedt. In het consultatiedocument stelde de EBA voor dat "witwasbestrijdingsplichtigen" in non-face-to-face situaties verplicht zullen zijn om voor identiteitsverificatie de Europese digitale identiteit te gebruiken. Privacy First wees de EBA op de verordening van de Europese digitale identiteit, die bepaalt dat het gebruik volledig vrijwillig is. Onlangs kwam de Europese antiwitwasautoriteit met de nadere regels, waarin het gebruik van een Europese digitale identiteit nog altijd verplicht is en dat alleen in uitzonderlijke gevallen identificatie op een andere digitale manier mag plaatsvinden. "Ons voorstel dat er altijd een vorm van alternatieve, fysieke identificatie moet worden aangeboden, zodat aan de eIDAS-verordening wordt voldaan, is niet overgenomen", aldus Privacy First. De privacystichting heeft nu aan het kabinet en de Tweede Kamer een brandbrief gestuurd waarin het aan de alarmbel trekt. "Het is immers hoogst ongewenst dat Europese instanties de voorschriften van Europese verordeningen naast zich neer leggen", legt Privacy First uit. De stichting voegt toe dat het belangrijk is dat de verordening, waarin staat dat het gebruik van de Europese digitale identiteit volledig vrijwillig is, geen dode letter wordt. bron: https://www.security.nl

Salesforce waarschuwt klanten voor aanvallen waarbij misbruik wordt gemaakt van verkeerd ingestelde gast-accounts, waarna aanvallers allerlei gegevens stelen. De data wordt daarna gebruikt voor social engineering en telefonische phishingaanvallen. Onlangs meldde de NOS dat het datalek bij Odido was ontstaan doordat aanvallers via telefonische phishing en social engineering wisten in te breken op de Salesforce-omgeving van de telecomprovider. In de aanvallen waarover Salesforce nu bericht maken de aanvallers misbruik van verkeerd geconfigureerde gast-accounts van Experience Cloud sites. Salesforce biedt een veelgebruikt customer relationship management (CRM), waarin bedrijven allerlei informatie over bestaande en potentiële klanten kunnen opslaan. Experience Cloud sites zijn websites en applicaties die direct op het Salesforce CRM-platform draaien. Op deze manier kunnen organisaties klanten, partners of medewerkers direct toegang tot de CRM-data geven. Volgens Salesforce hebben sommige organisaties de permissies van gast-accounts voor Experience Cloud sites verkeerd ingesteld, waardoor deze accounts toegang tot meer data hebben dan de bedoeling van de organisatie is. Bij publiek toegankelijk Salesforce Experience sites delen anonieme bezoekers een "guest user profile". Via dit profiel kunnen niet-ingelogde gebruikers data bekijken die openbaar moet worden. Als het profiel verkeerd is ingesteld met teveel rechten, kunnen ook gegevens die niet openbaar moeten worden toegankelijk zijn. Aanvallers maken van deze misconfiguraties misbruik, aldus Salesforce. Daarbij wordt gebruikgemaakt van een aangepaste opensourcetool van securitybedrijf Mandiant. Via deze tool scannen de aanvallers op grote schaal naar publiek toegankelijke Experience Cloud sites. De oorspronkelijke tool kan alleen maar kwetsbare objecten identificeren, maar de aangepaste tool maakt het ook mogelijk om via verkeerd ingestelde gast-accounts allerlei data te stelen. Data die de aanvallers bij deze aanvallen buitmaken, vaak namen en telefoonnummers, worden daarna gebruikt voor social engineering en telefonische phishingaanvallen. Bij de aanval op Odido zou ook gebruik zijn gemaakt van telefonische phishing en social engineering. Deze werkwijze is al geruime tijd bekend. Zo waarschuwden de FBI, Salesforce en Google hier vorig jaar voor. bron: https://www.security.nl

Aanvallers maken op grote schaal misbruik van een kritieke kwetsbaarheid in Cisco Catalyst SD-WAN Controller, zo stelt securitybedrijf WatchTowr. Onlangs liet het Nationaal Cyber Security Centrum (NCSC) weten dat er proof-of-concept (PoC) exploitcode voor het probleem online was verschenen. "Daarom benadrukken we wederom om de updates met spoed te installeren als je dat nog niet hebt gedaan. Door de beschikbaarheid van de PoC neemt de kans op grootschalig misbruik toe en verwachten we een toename in scan- en misbruikverkeer", aldus de overheidsinstantie. De Cisco Catalyst SD-WAN speelt een cruciale rol in de SD-WAN oplossing van Cisco. SD-WAN staat voor Software-Defined Wide Area Network en is een oplossing waarmee organisaties netwerkinfrastructuur en -connectiviteit op meerdere locaties kunnen beheren. Een kwetsbaarheid in de Controller (CVE-2026-20127) maakt het mogelijk voor een ongeauthenticeerde remote aanvaller om de authenticatie te omzeilen en adminrechten op het systeem te krijgen. Hiervoor volstaat het versturen van speciaal geprepareerde requests naar kwetsbare appliances. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Zowel Cisco als cyberagentschappen waarschuwden op 25 februari dat aanvallers actief misbruik van CVE-2026-20127 maakten. De kwetsbaarheid zou al drie jaar lang bij aanvallen zijn ingezet, aldus Cisco. Het NCSC waarschuwde vervolgens dat het grootschalig misbruik van het probleem verwachtte. Dat is inmiddels ook het geval, aldus WatchTowr. "Dit niet langer meer de gerichte activiteit die eerder werd beschreven, maar is nu internetbreed en groeiende", zegt hoofd Threat Intelligence van het securitybedrijf tegenover SecurityWeek. Hij verwacht dat meer aanvallers zich op de kwetsbaarheid zullen storten. "Vanwege het grootschalige en opportunistische misbruik dat nu plaatsvindt, moet elk blootgesteld systeem als gecompromitteerd worden beschouwd, tenzij het tegendeel is bewezen." bron: https://www.security.nl

Duizenden WordPress-sites bevatten een kwetsbaarheid die op het moment actief wordt misbruikt bij aanvallen en ongeauthenticeerde aanvallers administrator maakt. Zodoende kunnen aanvallers de website volledig overnemen. Hoewel een beveiligingsupdate sinds 24 februari beschikbaar is hebben duizenden WordPress-sites die nog niet geinstalleerd. De kwetsbaarheid is aanwezig in een plug-in genaamd 'User Registration & Membership'. De plug-in biedt WordPress-sites de mogelijkheid om eenvoudig een abonnementsmodel voor gebruikers in te voeren, inclusief registratieformulieren en ingebouwd betalingssysteem. Meer dan 60.000 websites hebben de plug-in geïnstalleerd. Een kwetsbaarheid in de plug-in zorgt ervoor dat een aanvaller bij de registratie als gebruiker kan opgeven dat hij zich eigenlijk als administrator wil registreren. De impact van het probleem (CVE-2026-1492) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Op 24 februari verscheen versie 5.1.3 waarin het probleem is verholpen. Uit cijfers van WordPress.org blijkt dat tienduizenden websites de update nog niet hebben geïnstalleerd en zo risico lopen. Volgens securitybedrijf Wordfence maken aanvallers namelijk actief misbruik van het probleem. bron: https://www.security.nl

Malafide extensies voor Google Chrome die chatgesprekken van gebruikers met chatbots ChatGPT en DeepSeek stelen zijn bij meer dan twintigduizend organisaties aangetroffen, zo laat Microsoft in een analyse weten. Het gaat om de extensies 'Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI' en 'AI Sidebar with Deepseek, ChatGPT, Claude and more'. De twee malafide Chrome-extensies, die meer dan 900.000 keer zijn gedownload, vragen gebruikers toestemming voor het verzamelen en versturen van "anonieme, niet-identificeerbare analytics data". In werkelijkheid worden echter volledige gesprekken met ChatGPT en Deepseek verzameld. Eén van de extensies heeft de "Featured" badge van Google gekregen. Google kent deze badge toe aan extensies die 'technische best practices' volgen en aan een 'hoge standaarden' voor gebruikerservaring en -ontwerp voldoen. Naast chatgesprekken kunnen de extensies ook volledige url's, zoekopdrachten, url-parameters met gevoelige data en interne bedrijfs-url's stelen. Begin dit jaar waarschuwde OX Security al voor de twee extensies, maar nu is ook Microsoft met een waarschuwing gekomen. Het techbedrijf stelt op basis van detecties door Microsoft Defender dat de extensies in meer dan 20.000 zakelijke omgevingen actief zijn, waar gebruikers vaak met AI-tools werken en gebruikmaken van "gevoelige invoer". Wat die invoer gevoelig maakt laat Microsoft niet weten. Microsoft adviseert bedrijven om te controleren of systemen binnen hun netwerk data naar de domeinen van de betreffende extensies hebben gestuurd en om wat voor soort data het precies gaat. Daarnaast wordt opgeroepen tot het opstellen van beleid voor het gebruik van AI binnen de organisatie, het onderwijzen van gebruikers op de risico's van ongeverifieerde extensies en het verwijderen van onbekende extensies. bron: https://www.security.nl

Bij een internationale operatie waar opsporingsdiensten en techbedrijven aan deelnamen zijn honderden domeinnamen van het phishing-as-a-service platform Tycoon 2FA offline gehaald, zo melden Europol en Microsoft. Via Tycoon 2FA kunnen criminelen eenvoudig phishingaanvallen uitvoeren waarbij wordt geprobeerd om bijvoorbeeld inloggegevens van Google- of Microsoft-accounts te stelen. Het platform biedt templates, de mogelijkheid om bijlagen te genereren, configuraties voor domeinen en hosting, instellingen voor het redirecten van slachtoffers naar phishingsites en tracking van slachtoffers. Wanneer gebruikers van Tycoon 2FA alles hadden ingesteld genereerde de dienst bijvoorbeeld .pdf- of .docx-bijlagen met QR-codes die naar de phishingsite wezen, of SVG-bestanden, HTML-bijlagen en redirect-links die dit deden. De phishingsites leken op de inlogpagina's van Google of Microsoft. Daarbij fungeerden deze sites als een man-in-the-middle. Inloggegevens die slachtoffers invulden werden meteen op de echte inlogpagina geprobeerd. Wanneer slachtoffers tweefactorauthenticatie (2FA) hadden ingesteld kreeg het slachtoffer een zogenaamd 2FA-venster te zien. De ingevoerde 2FA-code werd vervolgens op de echte inlogpagina gebruikt. Volgens Europol was Tycoon 2FA halverwege vorig jaar verantwoordelijk voor 62 procent van alle phishingaanvallen die Microsoft blokkeerde. Microsoft stelt dat het platform verantwoordelijk was voor tientallen miljoenen phishingmails per maand die naar meer dan 500.000 organisaties wereldwijd werden gestuurd. Via de dienst zouden sinds 2023 meer dan 96.000 unieke phishing-slachtoffers zijn gemaakt, waaronder meer dan 55.000 Microsoft-klanten. "Tycoon 2FA-gebruikers konden bijna alle veelgebruikte multifactorauthenticatie (MFA) methodes omzeilen, waaronder sms-codes, one-time passcodes en pushnotificaties", aldus Microsoft. Bij een internationale operatie tegen het platform, waar Cloudflare, Coinbase, Intel471, Microsoft, Proofpoint, Shadowserver Foundation, SpyCloud, Trend Micro, Europol en opsporingsdiensten uit Letland, Litouwen, Portugal, Polen, Spanje en het Verenigd Koninkrijk aan deelnamen, zijn 330 domeinnamen van Tycoon 2FA offline gehaald. Ook zou de hoofdontwikkelaar van de dienst zijn geïdentificeerd. Microsoft adviseert organisaties en gebruikers om gebruik te maken van phishingbestendige MFA, zoals FIDO2 security keys. bron: https://www.security.nl

Twee kritieke kwetsbaarheden in Cisco Catalyst SD-WAN Manager worden actief misbruikt bij aanvallen, zo waarschuwt Cisco. Updates voor de problemen zijn sinds 25 februari beschikbaar. De Cisco Catalyst SD-WAN Manager is een oplossing waarmee organisaties Cisco SD-WAN kunnen uitrollen, configureren en beheren. SD-WAN staat voor Software-Defined Wide Area Network en is een oplossing waarmee organisaties netwerkinfrastructuur en -connectiviteit op meerdere locaties kunnen beheren. Op 25 februari kwam Cisco, alsmede verschillende overheidsinstanties, met een waarschuwing voor een actief aangevallen kwetsbaarheid (CVE-2026-20127) in de Cisco Catalyst SD-WAN Controller, die ook een rol speelt bij het beheer van Cisco's SD-WAN. Aanvallers zouden al drie jaar lang wereldwijd misbruik van het probleem maken, zonder dat dit was opgemerkt. Het Nationaal Cyber Security Centrum (NCSC) waarschuwde vervolgens dat grootschalig misbruik van het beveiligingslek op de loer ligt. Dezelfde dag kwam Cisco ook met updates voor kwetsbaarheden in de Catalyst SD-WAN Manager, waaronder CVE-2026-20122 en CVE-2026-20128. In het beveiligingsbulletin stelde Cisco dat het niet met misbruik van de beveiligingslekken bekend was. Het bulletin is nu van een update voorzien, waarin Cisco waarschuwt dat aanvallers actief misbruik van de twee kwetsbaarheden maken. Via beveiligingslekken kan een aanvaller die al toegang tot het systeem heeft willekeurige bestanden overschrijven of wachtwoorden uitlezen om zo hogere rechten te krijgen. Cisco heeft geen details over het waargenomen misbruik gegeven. bron: https://www.security.nl

Cisco waarschuwt voor een kritieke kwetsbaarheid waardoor een ongeauthenticeerde aanvaller op afstand root-toegang tot het Cisco Secure Firewall Management Center (FMC) kan krijgen. Het Nationaal Cyber Security Centrum (NCSC) verwacht op korte termijn publieke proof-of-concept exploitcode en grootschalige pogingen tot misbruik. De impact van het beveiligingslek (CVE-2026-20079) is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Er zijn updates uitgebracht om het probleem te verhelpen. Voor zover bekend wordt er nog geen misbruik van de kwetsbaarheid gemaakt. Via het Firewall Management Center kunnen organisaties hun Cisco-firewalls beheren. Cisco noemt het zelf het "administratieve zenuwcentrum" voor het beheer van netwerkbeveiligingsapparatuur. De kwetsbaarheid is aanwezig in de webinterface van het FMC. Volgens Cisco wordt het probleem veroorzaakt door een "onjuist systeemproces" dat tijdens het opstarten wordt gestart. Een aanvaller kan misbruik van dit proces maken door speciaal geprepareerde HTTP requests naar het systeem te sturen. Vervolgens kan een aanvaller de authenticatie omzeilen en scripts en commando's op het systeem uitvoeren, om zo root-toegang tot het onderliggende besturingssysteem te krijgen. "Als de beheerinterface van Cisco Secure Firewall Management Center geen publieke internettoegang heeft, wordt het aanvalsoppervlak verkleind. Het is niet gebruikelijk om een managementinterface direct publiekelijk aan het internet bloot te stellen", zo laat het NCSC weten. Het Nationaal Cyber Security Centrum verwacht op korte termijn publieke proof-of-concept exploitcode en grootschalige pogingen tot misbruik. Het NCSC adviseert organisaties met klem de update zo snel mogelijk te installeren. bron: https://www.security.nl

Ruim honderdduizend n8n-servers, waaronder meer dan 2500 in Nederland, missen een beveiligingsupdate voor een kritiek beveiligingslek dat aanvallers in het ergste geval volledige controle over de server geeft. Dat meldt The Shadowserver Foundation op basis van eigen onderzoek. Op 25 februari verscheen er een beveiligingsupdate voor CVE-2026-27495. Een week later blijkt dat op 109.000 n8n-servers de patch nog niet is geïnstalleerd. N8n is een tool voor het automatiseren van workflows en maakt het mogelijk om taken te automatiseren en data tussen allerlei apps, tools, platforms en services uit te wisselen. Een 'code injection' kwetsbaarheid in de software maakt het mogelijk voor een geauthenticeerde aanvaller, die workflows kan aanpassen of aanmaken, om uit de sandbox te breken en willekeurige code op het systeem uit te voeren. In het ergste geval kan er zo volledige controle over de n8n-server worden verkregen. De impact van CVE-2026-27495 is op een schaal van 1 tot en met 10 beoordeeld met een 9.4. The Shadowserver Foundation is een stichting die onderzoek doet naar kwetsbare systemen op internet. Het voerde onlangs een scan uit naar n8n-systemen die vanaf internet toegankelijk zijn en de update voor CVE-2026-27495 missen. Dit leverde zo'n 109.000 hosts op. Het grootste deel daarvan, ruim 53.000, bevindt zich in de Verenigde Staten. In Nederland gaat het om 2550 servers. Eerder dit jaar werd er nog gewaarschuwd voor een andere kritieke n8n-kwetsbaarheid, aangeduid als Ni8mare en CVE-2026-21858. bron: https://www.security.nl

Criminelen hebben de beschikking over een tool die overheden in het verleden hebben gebruikt om iPhones te hacken, zo meldt Google in een analyse. De Coruna-exploitkit bevat in totaal 23 exploits voor het compromitteren van iPhones met iOS 13.0, uitgekomen in september 2019, tot en met iOS versie 17.2.1, uitgekomen in december 2023. Alleen het bezoeken van een malafide of gehackte website met een kwetsbare iPhone is voldoende om te worden gehackt. Er is geen verdere interactie van de gebruiker vereist. Volgens Google werd de exploitkit gedurende 2025 door een klant van een niet nader genoemde spywareleverancier gebruikt. Dergelijke leveranciers bieden aan opsporingsdiensten en andere overheidsinstanties de mogelijkheid om iPhones met spyware te infecteren. Daarvoor worden soms onbekende kwetsbaarheden gebruikt, maar het komt ook voor dat de exploitkits beveiligingslekken misbruiken waarvoor al wel updates beschikbaar zijn. In de zomer ontdekte Google dat de exploitkit door een vermoedelijk Russische spionagegroep werd gebruikt tegen gebruikers in de Oekraïne. Daarbij werden Oekraïense websites gehackt en voorzien van een iframe die de exploitkit laadde. Eind vorig jaar zag Google naar eigen zeggen dat de Coruna-exploitkit op grote schaal werd gebruikt door een financieel gemotiveerde groep aanvallers uit China. Deze groep plaatste de exploitkit op een groot aantal malafide Chinese websites, waarbij de sites een pop-up aan bezoekers toonden om de site met een iPhone te bezoeken. In het geval de exploit succesvol was werd er een payload uitgevoerd die financiële informatie steelt. Deze payload kan ook QR-codes in foto's op het toestel decoderen. Tevens zoekt de payload in Apple Memos naar specifieke sleutelwoorden, zoals "backup phrase" en "bankrekening", en stuurt deze memo's indien gevonden terug naar de aanvallers. Verder kunnen de aanvallers ook andere modules op de besmette iPhone uitvoeren. Deze modules hebben het vooral voorzien op het stelen van cryptowallets of gevoelige informatie uit wallet-apps. Hoe de groepen toegang tot de exploitkit hebben gekregen is onbekend, aldus Google. Volgens het techbedrijf laat het wel zien dat hierdoor nu verschillende groepen aanvallers toegang tot geavanceerde exploittechnieken hebben die zijn aan te passen met nieuw gevonden kwetsbaarheden. Verder ontdekte Google dat de Coruna-exploitkit de aanval stopt als het detecteert dat de Lockdown Mode op de iPhone is ingeschakeld of de gebruiker gebruikmaakt van private browsing. bron: https://www.security.nl

Google Chrome zal vanaf september elke twee weken updates ontvangen, in plaats van de vier weken die Google nu voor de browser hanteert, zo heeft het techbedrijf aangekondigd. Het gaat hierbij om updates bedoeld voor het introduceren van nieuwe features en het doorvoeren van bugfixes. Omdat deze updates vaker zullen verschijnen, zullen ze ook minder grote aanpassingen bevatten. Dit moet volgens Google tot minder verstoringen leiden en het proces om problemen na de release te debuggen vereenvoudigen. Sinds 2023 brengt Google in het geval van kwetsbaarheden in de browser al wekelijks updates uit. Dat zal ook met de nieuwe updatecyclus het geval blijven. De tweewekelijkse releasecyclus zal met de lancering van Chrome 153 op 8 september beginnen. Het gaat hier om alle platforms, desktop, Android en iOS. In het geval van Chrome Extended Stable, een versie die vooral bedoeld is voor bedrijven en minder vaak feature-updates ontvangt, blijft de huidige updatecyclus van acht weken gehandhaafd. bron: https://www.security.nl