Captain Kirk

De Indiase autoriteiten hebben in samenwerking met de FBI, het Britse National Crime Agency (NCA) en Microsoft een callcenter opgerold dat werd gebruikt voor Microsoft-helpdeskfraude. Volgens het NCA werden via het callcenter in alleen het Verenigd Koninkrijk meer dan honderd slachtoffers gemaakt, die omgerekend voor omgerekend 450.000 euro werden opgelicht. Slachtoffers kregen een pop-up te zien dat hun computer was geïnfecteerd of gehackt. Vaak wordt bij deze pop-ups gevraagd een opgegeven telefoonnummer te bellen. Ook komt het voor dat de oplichters potentiële slachtoffers zelf bellen. De oplichters deden zich vervolgens voor als Microsoft-medewerker en boden vervolgens software aan om de problemen te verhelpen. Bij helpdeskfraude komt het ook geregeld voor dat oplichters toegang tot de bankrekening proberen te krijgen. Het National Crime Agency stelt dat de oplichters gebruikmaakten van gespoofte telefoonnummers of VoIP en het verkeer via servers in verschillende landen lieten lopen. Tijdens het onderzoek werd duidelijk dat de oplichters het ook op Amerikaanse burgers hadden gemunt. Het NCA, de FBI en Microsoft wisten een aantal hoofdverdachten te identificeren die zich in India bevinden. De data werd gedeeld met de Indiase autoriteiten die afgelopen maandag een inval bij het callcenter deden. bron: https://www.security.nl

Een kritieke kwetsbaarheid in de Fortinet FortiWeb web application firewall (WAF) maakt het mogelijk voor ongeauthenticeerde aanvallers om het apparaat op afstand over te nemen. Fortinet kwam deze week met updates voor het beveiligingslek, waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 9.6. Securitybedrijf watchTowr heeft vandaag uitgebreide technische details gedeeld hoe het lek is te misbruiken. FortiWeb is een apparaat dat applicaties tegen aanvallen moet beschermen. De kwetsbaarheid, CVE-2025-25257, betreft "klassiek SQL injection", aldus de onderzoekers van watchTowr. Bij SQL Injection kan een aanvaller SQL-opdrachten op een systeem uitvoeren, wat vaak mogelijk is omdat gebruikersinvoer niet goed wordt gevalideerd. SQL-Injection is een probleem dat al sinds 1998 bekend is. De ongeauthenticeerde SQL injection maakt ongeauthenticeerde remote command execution mogelijk, waardoor een aanvaller shell op het apparaat kan krijgen. Eind vorig jaar waarschuwde het Amerikaanse cyberagentschap CISA nog voor actief misbruik van een andere kwetsbaarheid in verschillende Fortinet-producten, waaronder FortiWeb. Organisaties worden opgeroepen de beschikbaar gestelde updates te installeren. Als workaround noemt Fortinet het uitschakelen van de HTTP/HTTPS admin-interface. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Wing FTP Server wordt actief misbruikt bij aanvallen en laat aanvallers kwetsbare servers volledig overnemen. Dat laat securitybedrijf Huntress weten. Een update voor de kwetsbaarheid is sinds 14 mei beschikbaar. Wing FTP Server is software voor het opzetten van een secure ftp-server en ondersteunt onder andere FTP, FTPS, HTTP, HTTPS en SFTP. De kwetsbaarheid (CVE-2025-47812) wordt veroorzaakt doordat Wing FTP Server tijdens het authenticatieproces niet goed omgaat met null bytes in de username parameter. Hierdoor kan een aanvaller Lua-code injecteren, die vervolgens met root/SYSTEM-rechten wordt uitgevoerd. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Details over de kwetsbaarheid werden op 30 juni openbaar gemaakt. Huntress laat weten dat het sinds 1 juli actief misbruik van het beveiligingslek heeft waargenomen. Organisaties die van de ftp-serversoftware gebruikmaken worden opgeroepen om naar Wing FTP Server versie 7.4.4 te updaten. De versie is beschikbaar voor Linux, macOS en Windows. De makers claimen wereldwijd meer dan tienduizend klanten te hebben. bron: https://www.security.nl

Verschillende kwetsbaarheden in de bluetooth-technologie waar verschillende autofabrikanten gebruik van maken, waaronder Volkswagen, Mercedes en Skoda, maken het mogelijk voor een aanvaller om gesprekken in auto's af te luisteren, opgeslagen telefoonnummers te stelen, de gps-coördinaten te volgen en andere systeemonderdelen van de auto aan te vallen. Dat stellen onderzoekers van cybersecuritybedrijf PCA Cyber Security. De in totaal vier beveiligingslekken bevinden zich in de OpenSynergy Bluetooth Protocol Stack (BlueSDK), die autofabrikanten vooral voor hun infotainmentsystemen gebruiken. De kwetsbaarheden maken het mogelijk voor een aanvaller om code op het systeem uit te voeren. Via het gecompromitteerde infotainmentsysteem is het mogelijk om bijvoorbeeld gesprekken in de auto af te luisteren of toegang tot opgeslagen telefoonnummers te krijgen. De onderzoekers stellen dat het ook mogelijk is om andere electronic control units van de auto aan te vallen, maar dit vereist wel aanvullende kwetsbaarheden en is ook niet door de onderzoekers gedemonstreerd. Voor het uitvoeren van de aanval moet een aanvaller wel binnen bluetooth-bereik van het infotainmentsysteem zijn. Vervolgens moet de aanvaller zijn laptop met het infotainmentsysteem pairen. Bij sommige systemen vereist dit interactie van de aangevallen gebruiker, in andere gevallen is er geen interactie vereist, aldus de onderzoekers. OpenSynergy werd vorig jaar juni over de problemen ingelicht en kwam in september met updates. Niet alle fabrikanten hebben die meteen ontvangen. Dat was pas vorige maand het geval, aldus de onderzoekers. Eén van de fabrikanten die nog geen updates heeft kunnen uitrollen is dan ook bewust niet door de onderzoekers genoemd. Autobezitters worden aangeraden hun infotainmentsysteem te updaten of andere bluetooth uit te schakelen. bron: https://www.security.nl

Adobe heeft updates uitgebracht voor kritieke kwetsbaarheden in ColdFusion en adviseert die binnen 72 uur te installeren. Het softwarebedrijf heeft het installeren van de patches de hoogste prioriteit gegeven, omdat ColdFusion geregeld het doelwit van aanvallen is geweest. ColdFusion is een platform voor het ontwikkelen van webapplicaties. Vijf kritieke kwetsbaarheden in de software maken het mogelijk voor een aanvaller om bestanden te lezen, beveiligingsmaatregelen te omzeilen en rechten te verhogen. De gevaarlijkste kwetsbaarheid is CVE-2025-49535, door Adobe omschreven als 'Improper Restriction of XML External Entity Reference'. Een aanvaller kan via dit lek willekeurige bestanden op het file system lezen en zo toegang tot gevoelige informatie krijgen waarmee verdere aanvallen zijn uit te voeren. De impact van het lek is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. Adobe heeft ColdFusion 2025 Update 3, ColdFusion 2023 Update 15 en ColdFusion 2021 Update 21 uitgebracht om de problemen te verhelpen. Om aan te geven dat het om belangrijke updates gaat werkt Adobe met een prioritering. De ColdFusion-updates hebben de hoogste prioriteit gekregen. Dit houdt in dat updates volgens het softwarebedrijf "zo snel mogelijk" moeten worden geïnstalleerd, waarbij als voorbeeld binnen 72 uur wordt gegeven. "ColdFusion moet op dit punt waarschijnlijk als "legacy" worden beschouwd. Als je er nog steeds gebruik van maakt zou je moeten overwegen om naar iets moderner te migreren", zegt Dustin Childs van het Zero Day Initiative. bron: https://www.security.nl

Verschillende kritieke lekken in Windows, Microsoft Office en SharePoint maken remote code execution (RCE) mogelijk, waarbij er geen interactie van gebruikers is vereist. Het Windows-lek is volgens onderzoekers "wormable". De Office-kwetsbaarheden zijn onder andere via de Preview Pane (Voorbeeldvenster) door een aanvaller te misbruiken. Het Preview Pane zorgt ervoor dat de inhoud van een bestand wordt weergegeven zonder dat de gebruiker het bestand zelf hoeft te openen. Microsoft kwam gisterenavond met updates voor de in totaal vier kritieke Office-kwetsbaarheden (CVE-2025-49695, CVE-2025-49696, CVE-2025-49697 en CVE-2025-49702. De impact van de beveiligingslekken is op een schaal van 1 tot en met 10 drie keer beoordeeld met een 8.4 en één keer met een 7.8. Updates voor Microsoft Office LTSC voor Mac 2021 en 2024 zijn nog niet beschikbaar. "Misschien is het tijd om de Preview Pane uit te schakelen totdat Microsoft deze problemen oplost", zegt Dustin Childs van het Zero Day Initiative. Hij merkt op dat Microsoft al drie maanden op rij met kritieke Office-lekken te maken heeft. Een andere kritieke kwetsbaarheid die tot remote code execution kan leiden bevindt zich in SharePoint (CVE-2025-49704). Het beveiligingslek werd twee maanden geleden tijdens de Pwn2Own-wedstrijd in Berlijn gedemonstreerd. Volgens Microsoft kan elke bij SharePoint geauthenticeerde gebruiker misbruik van het lek maken en zijn er geen verhoogde rechten nodig. Een aanvaller kan daarna code op de SharePoint-server uitvoeren. De impactscore van deze kwetsbaarheid is beoordeeld met een 8.8. Microsoft verwacht dat aanvallers van dit beveiligingslek misbruik zullen maken. De gevaarlijkste kwetsbaarheid deze maand bevindt zich in het SPNEGO Extended Negotiation (NEGOEX) Security Mechanism van Windows. SPNEGO staat voorr Simple and Protected GSSAPI Negotiation Mechanism en is een standaard die bepaalt welke authenticatietechnologie tussen een client en server wordt gebruikt. Het beveiligingslek (CVE-2025-47981) maakt het mogelijk voor een ongeauthenticeerde aanvaller om via het versturen van een "malicious message" code op de server uit te voeren. Er is wederom geen interactie vereist, wat inhoudt dat een computerworm zich via het lek kan verspreiden. De impact is beoordeeld met een 9.8 en Microsoft verwacht actief misbruik. "Test en rol deze patches snel uit", adviseert Childs. De updates worden op de meeste machines automatisch geïnstalleerd. bron: https://www.security.nl

Een kwetsbaarheid in NetScaler ADC en NetScaler Gateway, ook bekend als CitrixBleed2 en CVE-2025–5777, is sinds halverwege juni gebruikt om NetScaler-sessies te kapen en multifactorauthenticatie (MFA) te omzeilen, zo stelt de Britse beveiligingsonderzoeker Kevin Beaumont. Eind juni meldde securitybedrijf ReliaQuest al mogelijk misbruik van het lek. Op 17 juni verschenen er beveiligingsupdates voor het probleem. Een aantal dagen later, op 26 juni, stelde NetScaler dat het niet bekend was met actief misbruik van de kwetsbaarheid. Via het beveiligingslek kan een ongeauthenticeerde aanvaller op afstand gevoelige informatie direct uit het geheugen van de NetScaler-server lezen. Zo is het mogelijk om session tokens te stelen waarmee aanvallers toegang tot het systeem kunnen krijgen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. Er zijn inmiddels meer details over het probleem openbaar gemaakt, waaronder proof-of-concept exploitcode. Op 26 juni vond misbruik van CVE-2025–5777 al plaats, aldus Beaumont. Die kwam met de naam CitrixBleed2, vanwege de overeenkomsten met een kwetsbaarheid uit 2023 die de naam CitrixBleed kreeg. De onderzoeker zegt met verschillende organisaties te hebben gewerkt, waardoor hij kan vaststellen dat misbruik sinds halverwege juni al plaatsvindt. "Misbruik vond snel na het uitkomen van de patch plaats", aldus Beaumont. Die deed ook onderzoek naar kwetsbare Citrix-servers en stelt dat 24 procent van de organisaties de beschikbaar gestelde updates niet heeft geïnstalleerd. Na installatie van de update is het ook nodig om actieve sessies te stoppen. NetScaler ADC (eerder bekend als Citrix ADC) is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. Via de NetScaler Gateway (eerder bekend als Citrix Gateway) kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. De impact van een gecompromitteerd NetScaler-systeem kan dan ook groot zijn. bron: https://www.security.nl

Onderzoekers hebben in de Chrome Web Store en Microsofts Edge Add-ons meerdere malafide extensies ontdekt die bij elkaar 2,3 miljoen gebruikers hebben. De extensies, waaronder een vpn, weer-app en color picker, bieden de beloofde functionaliteit. Volgens securitybedrijf Koi Security waren sommige van de in totaal 18 malafide extensies al jaren schoon, voordat er door middel van een update malware werd toegevoegd. De malafide extensies sturen de url van elke bezochte website naar een remote server, alsmede een uniek tracking-ID van de gebruiker. Vervolgens stuurt de server een url terug waar de gebruiker door de browser naar wordt doorgestuurd. Verschillende van de malafide extensies hebben een 'Verified' status, aldus de onderzoekers. Deze status wordt gegeven aan extensies die van een vertrouwde ontwikkelaar afkomstig zijn en aan bepaalde veiligheids- en beleidsstandaarden voldoen. Gebruikers wordt aangeraden de malafide extensies meteen te verwijderen en browserdata op te schonen. Securitybedrijf LayerX laat weten dat sommige van de extensies nog steeds in de Chrome Web Store zijn te vinden. bron: https://www.security.nl

De makers van e-mailclient Thunderbird hebben een grote nieuwe upgrade uitgebracht met de naam 'Eclipse', die volgens het ontwikkelteam duizenden bugfixes en prestatieverbeteringen bevat, alsmede experimentele ondersteuning van Microsoft Exchange. Vooralsnog wordt de nieuwe versie niet automatisch aangeboden maar zullen gebruikers die handmatig moeten installeren. Naast bugfixes en verbeteringen zijn er ook nieuwe features toegevoegd, waaronder native OS-notificaties, dark message mode, een 'Account Hub' voor het toevoegen van nieuwe accounts, handmatige foldersortering, een exportfunctie om accountinstellingen en -wachtwoorden naar Thunderbird voor Android over te zetten en experimentele ondersteuning van Microsoft Exchange. De ontwikkelaars benadrukken dat de support van Exchange beperkt is tot het instellen van een account, folderbeheer en het schrijven, versturen en ontvangen van e-mail. Vanwege de experimentele aard wordt verder aangeraden een test Thunderbird-profiel aan te maken. Het ontwikkelteam stelt dat ondanks de uitgebreide tests sommige problemen pas duidelijk worden nadat heel veel gebruikers met de software werken. Er is daarom besloten om automatische updates naar Thunderbird 140 geleidelijk in te schakelen. bron: https://www.security.nl

Een grootschalige storing bij it-leverancier Ingram Micro is veroorzaakt door ransomware, zo heeft het bedrijf zelf bekendgemaakt. Afgelopen vrijdag waren websites en klantportalen van Ingram Micro wegens "technische problemen" niet beschikbaar. Op Reddit klaagden tal van klanten over het onbereikbaar zijn van diensten. Inmiddels is de melding op de websites van Ingram Micro aangepast en staat er dat het bedrijf te maken heeft met een cybersecurity-incident. In een persbericht meldt Ingram Micro dat systemen recentelijk door ransomware zijn getroffen. Daarop is besloten bepaalde systemen offline te halen. Hoeveel systemen zijn getroffen en hoe de aanval mogelijk was laat de it-leverancier niet weten. Ingram Micro zegt dat het bezig is om getroffen systemen te herstellen zodat het bestellingen weer kan verwerken en leveren. Wanneer het herstel zou moeten zijn afgerond is niet gemeld. De it-leverancier heeft naar eigen zeggen meer dan 200.000 klanten in zo'n 160 landen. De omzet bedroeg vorig jaar 48 miljard dollar. bron: https://www.security.nl

Duizenden NetScaler-servers bevatten nog altijd een kritieke kwetsbaarheid aangeduid als "CitrixBleed2", waardoor ze in het ergste geval zijn over te nemen, en een securitybedrijf heeft aangegeven volgende week details te zullen openbaren. Via het beveiligingslek, dat ook bekendstaat als CVE-2025-5777, kan een ongeauthenticeerde aanvaller op afstand gevoelige informatie direct uit het geheugen van de NetScaler-server lezen. Zo is het mogelijk om session tokens te stelen waarmee aanvallers toegang tot het systeem kunnen krijgen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. Op 17 juni verschenen er updates om het probleem te verhelpen. Volgens The Shadowserver Foundation, dat onderzoek naar kwetsbare systemen op internet doet, waren er op 24 juni 2800 kwetsbare NetScaler-servers te vinden. Inmiddels is dat aantal volgens de stichting onder de 900 gedaald. De Britse beveiligingsonderzoeker Kevin Beaumont besloot een eigen scan op internet uit te voeren en detecteerde naar eigen zeggen 17.000 NetScaler-servers waarvan er meer dan 4.000 kwetsbaar voor CVE-2025-5777 zijn. De scan is echter nog gaande, waardoor het aantal nog kan oplopen. Securitybedrijf Horizon3 heeft aangekondigd dat het volgende week uitgebreide technische details over de kwetsbaarheid zal delen. Volgens NetScaler maken aanvallers nog geen misbruik van de kwetsbaarheid. Een securitybedrijf waarschuwde vorige week dat dit mogelijk wel het geval is. Met uitgebreide technische details en mogelijk proof-of-concept exploitcode zal de kans op misbruik verder toenemen. NetScaler ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. Via de NetScaler Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. De impact van een gecompromitteerd NetScaler-systeem kan dan ook groot zijn. bron: https://www.security.nl

Een kwetsbaarheid in DjVuLibre maakt het mogelijk om code op Linux-desktops uit te voeren als gebruikers een geprepareerd document openen. Dat laat het GitHub Security Lab team weten dat het probleem ontdekte en rapporteerde. Er is gisteren een update uitgebracht waarin het lek is verholpen. DjVu is een bestandsformaat dat voornamelijk wordt gebruikt voor ingescande documenten. Het is enigszins vergelijkbaar met pdf. DjVuLibre is een GPL-implementatie van DjVu. Evince en Papers, de standaard document viewers op veel Linux-distributies, ondersteunen DjVu. Wanneer een DjVu-bestand een .pdf-extensie heeft zullen Evince en Papers automatisch detecteren dat het in werkelijkheid om een DjVu-bestand gaat en die vervolgens via DjVuLibre weergeven. Een kwetsbaarheid in de DjVu-libre kan tot een Out-of-bounds Write leiden, waardoor het uitvoeren van code op het systeem mogelijk is. Een aanvaller zou hier misbruik van kunnen maken door een doelwit een .pdf-bestand te sturen dat in werkelijkheid een DjVu-bestand is. Wanneer de gebruiker het bestand opent zal de document viewer die via DjVuLibre willen weergeven, waarna de code van de aanvallers op het systeem wordt uitgevoerd. De onderzoekers van het GitHub Security Lab team ontwikkelden een proof-of-concept exploit waarin ze de kwetsbaarheid demonstreren. Nadat de gebruiker het document opent wordt via Google Chrome een YouTube-pagina geladen. De onderzoekers merken op dat dit eenvoudiger was dan het starten van calculator, wat bij veel proof-of-concept exploits wordt gedaan. Ze leggen uit dat dit heeft te maken met het AppArmor profile van Papers, waardoor het geen willekeurige processen kan starten. Er is echter een uitzondering voor Google Chrome, waardoor de browser kan worden gestart. "Maar het AppArmor profile is niet heel erg restrictief, het laat je willekeurige bestanden naar de home directory van de gebruiker schrijven, behalve voor de hand liggende zoals ~/.bashrc. Dus het zou een vastbesloten aanvaller niet weerhouden van het uitvoeren van code", aldus de onderzoekers. Die rapporteerden het probleem (CVE-2025-53367) op 1 juli aan de ontwikkelaars van DjVuLibre. Die kwamen op 3 juli met versie 3.5.29 waarin het probleem is verholpen. bron: https://www.security.nl

Cisco waarschuwt organisaties die van Cisco Unified Communications Manager gebruikmaken voor een root-account met een hardcoded SSH-wachtwoord dat niet is te veranderen of verwijderen. Via het wachtwoord kan een aanvaller op het systeem inloggen en willekeurige code als root uitvoeren, aldus Cisco. De impact van de kwetsbaarheid (CVE-2025-20309) is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Cisco Unified Communications Manager is een voip-platform dat telefoongesprekken verwerkt. Volgens Cisco is het root-account met het hardcoded SSH-wachtwoord eigenlijk bedoeld voor gebruik tijdens de ontwikkeling. Waarom het account is achtergebleven laat het bedrijf niet weten. Cisco heeft updates uitgebracht om het probleem te verhelpen en zegt niet bekend te zijn met actief misbruik. bron: https://www.security.nl

Op addons.mozilla.org zijn tientallen Firefox-extensies ontdekt die zich voordeden als wallets van bekende partijen, maar in werkelijkheid cryptovaluta van gebruikers probeerden te stelen. Het gaat in totaal om veertig extensies die op de officiële website voor Firefox add-ons werden aangeboden, aldus securitybedrijf Koi Security. De extensies gebruikten namen van Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet en Filfox. Niet alleen gebruikten de extensies dezelfde naam en logo's van bekende wallets, ook hadden ze honderden 5-sterren reviews die door de aanvallers waren geplaatst. In verschillende gevallen maakten de aanvallers misbruik van het feit dat de officiële extensies open source zijn. De aanvallers kloonden de code en voegden malafide code toe. Eenmaal geïnstalleerd in Firefox stelen de extensies 'wallet secrets' van de gebruiker en stuurden die terug naar de aanvallers. De extensies lijken inmiddels door Firefox van addons.mozilla.org te zijn verwijderd. bron: https://www.security.nl

Certificaatautoriteit Let's Encrypt heeft voor het eerst een certificaat voor een ip-adres uitgegeven. Sinds de certificaatautoriteit tien jaar geleden startte kreeg het al verzoeken om deze mogelijkheid, maar de feature is nu pas toegevoegd en zal later dit jaar voor meer gebruikers beschikbaar komen. Let's Encrypt biedt gratis tls-certificaten aan die worden gebruikt voor het versleutelen van de verbinding tussen websites en bezoekers en maken het mogelijk om websites te identificeren. Certificaten worden meestal voor domeinnamen uitgegeven. Dit heeft volgens Let's Encrypt verschillende redenen. Internetgebruikers kennen websites aan de hand van de domeinnaam, niet het ip-adres. Daarnaast kunnen ip-adressen van websites op elk moment veranderen. Een andere reden is dat het "eigenaarschap" van een ip-adres zwakker lijkt te zijn dan bij een domeinnaam het geval is, aldus de certificaatautoriteit. Als laatste verwachten de meeste internetproviders niet dat eindgebruikers bewust, direct via een ip-adres verbinding maken. Wanneer een ip-adres door meerdere websites of apparaten wordt gedeeld zou het verbinden naar een ip-adres ook niet goed werken. Het heeft in dit scenario dan ook weinig zin een certificaat voor een ip-adres aan te vragen. Volgens Let's Encrypt is een certificaat voor een domeinnaam dan ook de beste keuze voor de meeste gebruikers. Er zijn echter verschillende scenario's waarin een certificaat voor een ip-adres wel geschikt is, bijvoorbeeld voor het beveiligen van remote toegang tot apparaten in huis, het beveiligen van verbindingen binnen een cloudinfrastructuur, voor een standaardpagina door hostingproviders of een manier om een website te benaderen wanneer er geen domeinnaam is. De mogelijkheid om certificaten voor ip-adressen aan te vragen komt later dit jaar breed beschikbaar. De certificaten zullen voor slechts zes dagen geldig zijn en kunnen automatisch worden verlengd. bron: https://www.security.nl

Een kwetsbaarheid in een veelgebruikte plug-in voor WordPress maakt remote code execution op honderdduizenden websites mogelijk, die zo volledig zijn over te nemen. Een update die het probleem verhelpt is beschikbaar, maar veel WordPress-sites hebben die nog niet geïnstalleerd. De kwetsbaarheid (CVE-2025-6463) bevindt zich in Forminator, een plug-in waarmee websites allerlei soorten webformulieren kunnen maken, zoals contactformulieren, polls, quizzen en betaalformulieren. De plug-in is op meer dan 600.000 websites actief. Het beveiligingslek maakt het voor ongeauthenticeerde aanvallers mogelijk om willekeurige bestanden op de server te verwijderen, wat volgens securitybedrijf Wordfence tot remote code execution en het volledig overnemen van de site kan leiden. Een aanvaller kan namelijk het bestand wp-config.php verwijderen waardoor de website in een "setup state" terugvalt. Vervolgens kan een aanvaller de site verbinding laten maken met een eigen database en zo de website overnemen. De ontwikkelaar van de plug-in werd op 25 juni over het probleem ingelicht en kwam op 30 juni met een update. Uit cijfers van WordPress.org blijkt dat zo'n 175.000 sites de patch hebben geïnstalleerd. Dat houdt in dat honderdduizenden websites risico lopen. Wordfence roept beheerders op om de update te installeren, omdat de kwetsbaarheid een "groot risico" voor websites vormt. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kwetsbaarheid in de V8-engine van Google Chrome voor het aanvallen van gebruikers van de browser, zo heeft het techbedrijf aangekondigd. Er zijn updates uitgebracht om het probleem te verhelpen. V8 is de JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript. Het is geregeld het doelwit van aanvallen waarbij misbruik wordt gemaakt van kwetsbaarheden waar op het moment van de aanval geen patch voor beschikbaar is. De nieuwste V8-kwetsbaarheid wordt aangeduid als CVE-2025-6554 en werd op 25 juni door onderzoeker Clément Lecigne van de Google Threat Analysis Group aan het Chrome-team gerapporteerd. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. Google heeft geen details over de waargenomen aanvallen gegeven. De impact van de kwetsbaarheid is als 'high' beoordeeld. Bij kwetsbaarheden met het stempel 'high' kan een aanvaller in het ergste geval code binnen de context van de browser uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Dit soort lekken zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Het beveiligingslek is verholpen in Google Chrome 138.0.7204.96/.97 voor Windows, Chrome 138.0.7204.92/.93 voor macOS en Chrome 138.0.7204.96 voor Linux. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar. Begin juni waarschuwde Google ook al voor een actief aangevallen V8-lek. bron: https://www.security.nl

Verschillende Europese landen willen dat de Europese Commissie systemen voor leeftijdsverificatie verplicht op alle producten die toegang tot internet hebben. Ook moet er een minimumleeftijd voor social media worden ingevoerd. Dat laat demissionair staatssecretaris Van Marum voor Digitalisering in een verslag aan de Tweede Kamer weten. De staatssecretaris doet verslag van de formele Telecomraad die eerder deze maand in Luxemburg plaatsvond. Tijdens de raad bespreken Europese bewindspersonen onder andere doelstellingen op het gebied van telecom. Tijdens het overleg presenteerden Griekenland, Frankrijk, Spanje, Slovenië, Denemarken en Cyprus een non-paper dat de Europese Commissie oproept om een minimale leeftijd voor social media in de EU in te voeren, alsmede wetgeving die verslavend ontwerp van dergelijke platforms tegengaat. Tevens willen de landen dat "leeftijdsverificatiesystemen" verplicht worden geïnstalleerd op alle producten op de Europese markt met toegang tot internet. Daarnaast moeten deze systemen worden voorzien van "ouderlijk toezicht systemen". Volgens staatssecretaris Van Marum was een aantal niet nader genoemde lidstaten positief over de non-paper. "Veel lidstaten benadrukten de noodzaak van proportionaliteit bij het beschermen van kinderen online", merkt de bewindsman op. Van Marum voegt toe dat Nederland heeft aangegeven het onderwerp zeer belangrijk te vinden, maar heeft het non-paper niet ondertekend. "We zijn het eens met Frankrijk, Griekenland en Spanje dat de risico’s van sociale media voor kinderen moeten worden aangepakt en dat dit een combinatie van maatregelen vereist, zoals heldere handhaafbare Europese regelgeving voor de tech-industrie, eenduidige en onderbouwde leeftijdsadviezen en adequate leeftijdsverificatie", liet het demissionaire kabinet eerder deze maand weten. Dat stelde ook dat er verdere bestudering en standpuntbepaling van het non-paper nodig is, en dan specifiek het verplichten van ingebouwde oplossingen voor leeftijdsverificatie en een minimumleeftijd voor social media. Er zijn volgens het kabinet tijdens de Telecomraad geen besluiten op basis van het non-paper genomen. bron: https://www.security.nl

Tientallen Nederlandse Citrix-servers bevatten kritieke kwetsbaarheden, zo laat The Shadowserver Foundation vandaag weten. Het gaat onder andere om een actief misbruikt beveiligingslek. De afgelopen weken kwamen twee kwetsbaarheden in NetScaler ADC en NetScaler Gateway (voorheen Citrix ADC en Citrix Gateway) in het nieuws. Het gaat om CVE 2025-5777 en CVE-2025-6543. CVE 2025-5777 wordt veroorzaakt doordat NetScaler gebruikersinvoer onvoldoende valideert, wat tot "memory overread" of een out-of-bounds read kan leiden. Het maakt het mogelijk voor aanvallers om session tokens van gebruikers te stelen die toegang tot vpn-accounts geven. Het beveiligingslek wordt ook CitrixBleed 2 genoemd. Vorige week meldde een securitybedrijf dat aanvallers mogelijk misbruik van deze kwetsbaarheid maken. In het geval van CVE-2025-6543 is misbruik door Citrix bevestigd. Deze kwetsbaarheid kan leiden tot "unintended control flow" en een denial of service. The Shadowserver Foundation is een stichting die zich met cybercrime bezighoudt en geregeld online scans naar kwetsbare systemen uitvoert. Bij de laatste scan werd naar kwetsbare Citrix-servers gekeken. De onderzoekers telden 1289 Citrix-servers die voor CVE-2025-5777 kwetsbaar zijn, waarvan 24 in Nederland. In het geval van CVE-2025-6543 werden 2100 kwetsbare machines geteld, waarvan 52 in Nederland. Het grootste deel van de kwetsbare Citrix-servers werd in de Verenigde Staten en Duitsland waargenomen. Het Dutch Institute for Vulnerability Disclosure (DIVD) is inmiddels ook begonnen met het scannen naar kwetsbare Citrix-servers en het waarschuwen van de eigenaren. NetScaler ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. Via de NetScaler Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. De impact van een gecompromitteerd NetScaler-systeem kan dan ook groot zijn. bron: https://www.security.nl

Een kwetsbaarheid in een bluetooth-chip, waar onder andere Beyerdynamic, Bose, JBL, Marshall en Sony gebruik van maken, maakt het mogelijk voor aanvallers om toegang tot koptelefoons, oortjes en speakers te krijgen en zo de microfoon af te luisteren. Dat stelt securitybedrijf ERNW (Enno Rey Netzwerke). De apparaten in kwestie maken gebruik van een bluetooth-chip van fabrikant Airoha. Onderzoekers van ERNW zeggen drie kwetsbaarheden in de chip gevonden te hebben, waaronder ontbrekende authenticatie, waardoor een aanvaller in de buurt van de apparaten die zonder authenticatie of pairing kan overnemen. De enige voorwaarde is dat een aanvaller binnen bluetooth-bereik is. Vervolgens is het mogelijk om het geheugen van het apparaat uit te lezen, een Bluetooth HFP-verbinding op te zetten om de microfoon af te luisteren, te achterhalen waar er naar wordt geluisterd en telefoonnummers en contacten van aangesloten telefoons te stelen. Wat betreft het afluisteren via de microfoon merken de onderzoekers op dat de apparaten over het algemeen maar één bluetooth-audioverbinding ondersteunen. Eerdere verbindingen worden zodoende verbroken als de aanvaller verbinding maakt, wat het "geen erg clandestiene aanval" maakt, aldus de onderzoekers. Om niet te worden opgemerkt moeten de koptelefoons aan staan, maar niet actief worden gebruikt. Technische details over de problemen zijn vooralsnog niet gedeeld, alsmede een proof-of-concept. Daarbij noemen de onderzoekers ook de problemen rond het patchen van de problemen. Zo zullen niet alle leveranciers bekendmaken dat hun producten een kwetsbare chip bevatten en zullen niet alle fabrikanten met updates komen. De onderzoekers en Airoha zijn sinds eind mei over de kwetsbaarheden in overleg. Inmiddels zouden er updates voor fabrikanten beschikbaar zijn gemaakt. Die moeten nu firmware-updates ontwikkelen en onder hun klanten uitrollen. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in het Motors Theme voor WordPress om zo websites over te nemen. Via het beveiligingslek kan een ongeauthenticeerde aanvaller van elke willekeurige gebruiker het wachtwoord resetten, waaronder de administrator, en een nieuw wachtwoord opgeven. Zo is het vervolgens mogelijk om volledige controle over de website te krijgen. Motors is een betaald WordPress Theme bedoeld voor autodealers, autoreparatiebedrijven en autoverhuurbedrijven. Meer dan 22.000 websites zouden er gebruik van maken. Aanvallers kunnen in naam van andere gebruikers een wachtwoordreset aanvragen. Door vervolgens in dit request een ongeldige parameterwaarde mee te geven wordt de controle voor de resetaanvraag altijd goedgekeurd, waarna het wachtwoord kan worden gewijzigd. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De ontwikkelaars van het theme werden op 8 mei ingelicht en kwamen op 14 mei met een gepatcht versie. Securitybedrijf Wordfence publiceerde op 19 mei details over het beveiligingslek. Nu laat het securitybedrijf weten dat aanvallers sinds 20 mei misbruik van het lek maken, waarbij er sinds 7 juni sprake is van grootschalig misbruik. Websites worden aangeraden naar de laatste versie van het theme te updaten. In het geval van een gecompromitteerde site is een duidelijk teken dat de administrator niet meer kan inloggen met zijn wachtwoord, aangezien dat door de aanvallers is gewijzigd. bron: https://www.security.nl

Google waarschuwt voor een phishingaanval waarbij aanvallers het slachtoffer om een 'app password' vragen en zo permanente toegang kunnen krijgen tot Google-accounts waarvoor multifactorauthenticatie (MFA) staat ingeschakeld. "Application specific passwords", ook wel app passwords genoemd, zijn zestiencijferige codes waarmee een "minder veilige" app of apparaat toegang tot een Google-account kan krijgen, aldus de uitleg van het techbedrijf. Het is alleen te gebruiken bij Google-accounts waarvoor MFA staat ingeschakeld. Bij de phishingaanvallen waar Google en The Citizen Lab voor waarschuwen ontvingen doelwitten een phishingmail, verstuurd vanaf een Gmail-adres waarin ze werden uitgenodigd om aan een online meeting deel te nemen. Bij één van de aanvallen deden de aanvallers zich voor als een medewerker van het Amerikaanse ministerie van Buitenlandse Zaken. De aanvallers gebruikten voor de communicatie een Gmail-adres, maar hadden in de CC van het bericht vier e-mailadressen opgenomen die op @state.gov eindigen. Vermoedelijk is dit gedaan om de e-mail legitiem te laten lijken. Onderzoekers van The Citizen Lab denken dat de aanvallers weten dat de mailserver van het Amerikaanse ministerie van Buitenlandse Zaken zo staat ingesteld dat alle e-mails worden geaccepteerd, ook voor e-mailadressen die niet bestaan, zoals met de vier gebruikte e-mailadressen het geval was. De server verstuurt dan ook geen bounce. In de phishingmail wordt het doelwit uitgenodigd om aan een online platform van het ministerie deel te nemen, waarvoor vervolgens een pdf met instructies wordt verstuurd. In dit pdf-document wordt uitgelegd hoe het doelwit een app password moet genereren, omdat vervolgens met de aanvallers te delen. Wanneer de code wordt gedeeld krijgen de aanvallers volledige en permanente toegang tot het account. Eén van de doelwitten deelde meerdere codes voor meerdere accounts. Volgens Google is de aanval uitgevoerd door een door de Russische staat gesponsorde aanvaller. The Citizen Lab stelt dat providers die application passwords aanbieden aanvullende waarschuwingen aan gebruikers moeten geven en uitleggen dat aanvallers er misbruik van kunnen maken. Daarnaast worden organisaties en security teams aangeraden om alert te zijn op diensten waar application passwords kunnen worden ingesteld en ervoor te zorgen dat ze staan uitgeschakeld, tenzij nodig voor bepaalde gevallen. Als laatste krijgt iedereen het advies om voorzichtig te zijn met ongevraagde e-mails of berichten en bewust te zijn dat aanvallers continu hun social engineering-tactieken veranderen. bron: https://www.security.nl

Onderzoekers hebbentwee nieuwe Linux-kwetsbaarheden ontdekt waardoor een niet-geprivilegeerde lokale gebruiker rootrechten kan krijgen. "Gegeven dat udisks overal aanwezig is en de eenvoud van de exploit, moeten organisaties dit als een kritiek, universeel risico behandelen en patches zonder vertraging uitrollen", zegt Saeed Abbasi van securitybedrijf Qualys, dat het probleem ontdekte. Het eerste beveiligingslek (CVE-2025-6018) is aanwezig in de Pluggable Authentication Modules (PAM) framework configuratie van openSUSE Leap 15 en SUSE Linux Enterprise 15. Via deze kwetsbaarheid kan een niet-geprivilegeerde lokale gebruiker, bijvoorbeeld via SSH, zijn rechten verhogen naar die van de "allow_active" user. De PAM stack moet bepalen welke gebruikers "active" zijn, wat wil zeggen fysiek aanwezig, voor het uitvoeren van geprivilegieerde acties. Door een misconfiguratie wordt elke lokale login, waaronder remote SSH-sessies, beschouwd alsof de gebruiker achter de console zit. De tweede kwetsbaarheid (CVE-2025-6019) is aanwezig in de C library "libblockdev", die voor low-level block-device operaties wordt gebruikt. Een lek in libblockdev, dat te misbruiken is via de udisks daemon die op de meeste Linux-distributies aanwezig is, zorgt ervoor dat "allow_active" gebruikers meteen root kunnen worden. Door beide kwetsbaarheden te combineren kan een niet-geprivilegeerde lokale gebruiker volledige rootrechten krijgen. "Deze libblockdev/udisks kwetsbaarheid is zeer aanzienlijk. Hoewel het "allow_active" rechten vereist, wordt udisks op bijna de meeste Linux-distributies standaard meegeleverd, dus bijna elk systeem is kwetsbaar. Technieken om "allow_active" rechten te verkrijgen, waaronder het PAM-probleem dat hier wordt gemeld, leggen die lat nog lager", aldus Abbasi. Volgens Qualys kan een aanvaller CVE-2025-6018 en CVE-2025-6019 met minimale moeite combineren om zo root op het systeem te worden. Het securitybedrijf doet dan ook de oproep om de beschikbaar gestelde patches meteen uit te rollen. Qualys heeft verschillende proof-of-concept exploits ontwikkeld waarmee het libblockdev/udisks-lek op Ubuntu, Debian, Fedora en openSUSE Leap 15 is te misbruiken. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kwetsbaarheid in de Linux-kernel waardoor een niet-geprivilegeerde lokale gebruiker rootrechten kan krijgen. Dat laat het Amerikaanse cyberagentschap CISA weten. Het beveiligingslek (CVE-2023-0386) is sinds maart 2023 bekend. Het probleem betreft de overlayFS-implementatie in de Linux-kernel. OverlayFS is een union mount filesystem implementatie voor Linux. Het maakt het mogelijk om directory trees of filesystems te combineren. Via de kwetsbaarheid kan een aanvaller overlayFS misbruiken zodat de kernel bestanden van een mount van de aanvaller naar normale directories kopieert. Een aanvaller zou zo een SUID bestand van een speciaal geprepareerde FUSE mount naar een normale directory kunnen kopiëren. Wanneer het bestand vanuit deze directory wordt uitgevoerd krijgt de aanvaller rootrechten, zo liet securitybedrijf Wiz eerder in een analyse weten. Het populaire containerplatform Docker maakt bijvoorbeeld gebruik van overlayFS. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security laat nu weten dat aanvallers misbruik van CVE-2023-0386 maken of hebben gemaakt. Details over deze aanvallen zijn niet gegeven. Wel zijn Amerikaanse overheidsinstanties opgedragen om de Linux-updates voor 8 juli te installeren mocht dat nog niet zijn gedaan. bron: https://www.security.nl

De Cloud Software Group (CSG) waarschuwt voor een kritieke kwetsbaarheid in NetScaler ADC en NetScaler Gateway die tot een "memory overread" kan leiden. Een aanvaller zou zo vertrouwelijke informatie kunnen stelen waarmee verdere aanvallen zijn uit te voeren. NetScaler-klanten worden opgeroepen de beschikbaar gestelde updates zo snel mogelijk te installeren. NetScaler ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. Via de NetScaler Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. De kwetsbaarheid, aangeduid als CVE 2025-5777, wordt veroorzaakt doordat NetScaler gebruikersinvoer onvoldoende valideert, wat tot "memory overread" of een out-of-bounds read kan leiden. Via dit type kwetsbaarheden kunnen aanvallers cryptografische keys, persoonlijk identificeerbare informatie, geheugenadressen of andere informatie stelen waarmee verdere aanvallen zijn uit te voeren. CSG laat niet weten wat de exacte impact voor NetScaler ADC en Gateway zijn. Wel stelt het bedrijf dat het probleem zich alleen voordoet als NetScaler is geconfigureerd als Gateway (VPN virtual server, ICA Proxy, CVPN of RDP Proxy) of een AAA virtual server. Beheerders krijgen tevens het advies om na installatie van de beveiligingsupdates twee kill-commando's uit te voeren om daarmee actieve sessies te stoppen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. bron: https://www.security.nl