Captain Kirk

Aanvallers hebben een updateserver van eScan gehackt en gebruikt voor het verspreiden van malware onder klanten van het antivirusbedrijf. Op 20 januari werd een malafide update verspreid onder klanten die van de betreffende updateserver gebruikmaken. Securitybedrijf Morphisec stelt dat het de aanval ontdekte en vervolgens MicroWorld, het bedrijf achter eScan, waarschuwde. MicroWorld ontkent dit tegenover Bleeping Computer en claimt dat het de aanval zelf ontdekte. Volgens Morphisec wijzigt de malware de registerwaardes, bestanden en updateconfiguratie van eScan en zorgt ervoor dat de virusscanner niet goed meer functioneert. Zo worden updates niet meer automatisch door de antivirussoftware gedownload. Het automatisch herstellen van de infectie via eScan is daardoor niet mogelijk, aldus de onderzoekers. Getroffen organisaties moeten daardoor zelf contact met eScan opnemen om de update/patch voor het herstellen van de infectie handmatig te verkrijgen en installeren, zo stellen de onderzoekers verder. Morphisec stelt dat zowel organisaties als eindgebruikers via de malafide update met "multi-stage malware" besmet zijn geraakt, waaronder een backdoor, en besmette machines verbinding met een command & control-server verbinding maken om aanvullende malware te downloaden. Verder meldt het securitybedrijf dat de malafide update was gesigneerd met een certificaat van eScan. Hoe de aanvallers de updateserver konden compromitteren is niet bekendgemaakt. bron: https://www.security.nl

Softwarebedrijf SolarWinds waarschuwt voor verschillende kritieke kwetsbaarheden in Web Help Desk waardoor ongeauthenticeerde aanvallers systemen op afstand kunnen overnemen. Ook bevat de software hardcoded inloggegevens waardoor een aanvaller toegang tot "administrative functions" kan krijgen. Er is een update uitgebracht die het probleem verhelpt. Web Help Desk (WHD) is een ticketingsysteem waarmee organisaties hun gebruikers en klanten tickets kunnen laten insturen. Vervolgens kan de organisatie de ingezonden tickets aan medewerkers toekennen zodat die gemelde problemen kunnen oplossen. De software bevat verschillende kwetsbaarheden, zo laat SolarWinds vandaag weten. Het gaat onder andere om twee "untrusted data deserialization" kwetsbaarheden die remote code execution mogelijk maken en een "authentication bypass" waardoor een aanvaller de authenticatie kan omzeilen. De impact van deze drie beveiligingslekken (CVE-2025-40551, CVE-2025-40553 en CVE-2025-40554 is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De problemen zijn door een ongeauthenticeerde aanvaller op afstand te misbruiken. Een andere opvallende kwetsbaarheid die SolarWinds in Web Help Desk heeft verholpen is CVE-2025-40537. Het betreft de aanwezigheid van hardcoded credentials die een aanvaller toegang tot "administrative functions" geven. Verdere details zijn niet gegeven. Twee jaar geleden maakten aanvallers actief misbruik van een "deserialization of untrusted data" kwetsbaarheid in SolarWinds Web Help Desk en de aanwezigheid van hardcoded credentials. De twee beveiligingslekken, CVE-2024-28986 en CVE-2024-28987, werden door het Amerikaanse cyberagentschap CISA op een lijst van actief aangevallen kwetsbaarheden geplaatst. In de beveiligingsbulletins voor de nieuwe kwetsbaarheden wordt geen melding van waargenomen misbruik gemaakt. bron: https://www.security.nl

De makers van e-mailclient Thunderbird hebben een beveiligingsupdate uitgebracht wegens een kwetsbaarheid waardoor een aanvaller de inhoud van versleutelde e-mail kan stelen. De Duitse overheid stelt dat het risico van het beveiligingslek "hoog" is. Wanneer het laden van remote content in Thunderbird wordt toegestaan is het via CSS (Cascading Style Sheets) mogelijk om de inhoud van versleutelde e-mails deels te stelen, aldus het beveiligingsbulletin van Thunderbird. Verdere details over het lek, aangeduid als CVE-2026-0818, zijn niet door de ontwikkelaars van de e-mailclient gegeven. De link naar de betreffende bug is nog niet voor het publiek toegankelijk. Mozilla heeft CVE-2026-0818 beoordeeld als een "moderate" kwetsbaarheid. Het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, denkt daar anders over en stelt dat het risico "hoog" is. De kwetsbaarheid is verholpen in Thunderbird 140.7.1 en 147.0.1. bron: https://www.security.nl

Aanvallers maken op grote schaal misbruik van een kwetsbaarheid in WinRAR waarvoor vorig jaar juli een beveiligingsupdate verscheen, zo meldt Google. WinRAR heeft geen automatische updatefunctie, wat inhoudt dat gebruikers de update zelf handmatig moeten installeren. Via het beveiligingslek (CVE-2025-8088) kan een aanvaller willekeurige code op het systeem van slachtoffers uitvoeren, als die een speciaal geprepareerd archiefbestand openen. Hierbij worden bestanden in de Windows Startup directory geplaatst en bij het opstarten van het systeem uitgevoerd. Het probleem werd op 24 juli verholpen in de bètaversie van WinRAR 7.13. De definitieve versie van WinRAR 7.13 verscheen op 30 juli. Op het moment dat deze versies verschenen was er al misbruik van het lek gemaakt. Antivirusbedrijf ESET, dat de kwetsbaarheid ontdekte, waarschuwde dat Europese bedrijven, waaronder in de financiële, productie, defensie en logistieke sectoren, via het lek waren aangevallen. Hoewel een gepatchte versie al maanden beschikbaar is zijn er meerdere door staten gesteunde groepen aanvallers die nog altijd op grote schaal misbruik van CVE-2025-8088 maken, aldus de Google Threat Intelligence Group (GTIG). Deze groepen hebben zowel financieel gewin als spionage als motief. Volgens de onderzoekers kunnen aanvallers misbruik van bekende kwetsbaarheden blijven maken, omdat gebruikers nalaten beschikbare updates te installeren. bron: https://www.security.nl

Fortinet waarschuwt organisaties voor een actief aangevallen kritieke kwetsbaarheid in FortiOS en andere producten waardoor een aanvaller toegang tot systemen kan krijgen. Er zijn voor verschillende productversies updates beschikbaar gesteld om het probleem (CVE-2026-24858) te verhelpen, maar sommige versies wachten nog op een patch. De kwetsbaarheid maakt het mogelijk voor aanvallers met een FortiCloud-account en een geregistreerd apparaat om op andere apparaten in te loggen die aan andere accounts zijn gekoppeld, als FortiCloud SSO-authenticatie voor deze apparaten staat ingeschakeld. Via de FortiCloud SSO login kunnen gebruikers via één set inloggegevens op verschillende Fortinet-producten inloggen. FortiOS is het besturingssysteem van Fortinet dat op allerlei netwerkapparaten draait, zoals firewalls en switches. Fortinet zegt dat het twee malafide Fortinet-accounts heeft ontdekt die misbruik van de kwetsbaarheid maakten. Deze accounts werden op 22 januari door Fortinet uitgeschakeld. Hoeveel apparaten via deze accounts zijn gecompromitteerd laat Fortinet niet weten. Fortinet besloot op 26 januari FortiCloud SSO aan de FortiCloud-kant uit te schakelen waardoor klanten de inlogmethode niet konden gebruiken. Een dag later werd de inlogmethode weer ingeschakeld, behalve voor apparaten die een kwetsbare versie draaien. Klanten moeten daardoor hun Fortinet-producten updaten als ze via Fortinet SSO willen kunnen inloggen. CVE-2026-24858 is aanwezig in FortiAnalyzer, FortiManager, FortiOS en FortiProxy. Voor verschillende versies van deze producten zijn beveiligingsupdates beschikbaar gesteld, maar voor sommige versies is een patch nog niet beschikbaar. Verder stelt Fortinet dat wordt onderzocht of FortiWeb en FortiSwitch Manager ook kwetsbaar zijn. Verder heeft Fortinet ook Indicators of Compromise beschikbaar gesteld waarmee organisatie kunnen controleren of hun Fortinet-producten zijn gecompromitteerd. Het Amerikaanse cyberagentschap CISA heeft overheidsinstanties opgedragen om de updates voor 30 januari te installeren. bron: https://www.security.nl

Een kwetsbaarheid in OpenSSL kan in bepaalde gevallen remote code execution op systemen mogelijk maken. Er zijn nieuwe versies van de software beschikbaar gesteld waarin het probleem, aangeduid als CVE-2025-15467, is verholpen. Bij het verwerken van bepaalde CMS (Cryptographic Message Syntax) messages, voorzien van speciaal geprepareerde parameters, kan er een stack buffer overflow ontstaan die kan leiden tot een crash en mogelijk remote code execution. "Applicaties en services die onbetrouwbare CMS of PKCS#7 content verwerken met behulp van AEAD ciphers (bijvoorbeeld S/MIME AuthEnvelopedData met AES-GCM) zijn kwetsbaar. Omdat de overflow zich voor de authenticatie voordoet is er geen geldig key materiaal vereist om het te veroorzaken", aldus het beveiligingsbulletin. De mogelijkheid tot remote code execution misbruik hangt volgens het OpenSSL-team af van het betreffende platform, maar de ontwikkelaars waarschuwen dat de "stack-based write primitive" een ernstig risico vormt. De kwetsbaarheid is aanwezig in OpenSSL 3.6, 3.5, 3.4, 3.3 en 3.0. OpenSSL 1.1.1 en 1.0.2 zijn niet kwetsbaar. De impact is beoordeeld als "High". Dergelijke kwetsbaarheden worden zelden in OpenSSL gevonden. De afgelopen drie jaar ging het om slechts twee van dergelijke beveiligingslekken. Gebruikers worden opgeroepen om te upgraden naar OpenSSL 3.6.1, 3.5.5, 3.4.4, 3.3.6 of 3.0.19. Deze versies verhelpen ook verschillende andere kwetsbaarheden, maar de impact daarvan is lager beoordeeld. OpenSSL behoort tot de meest gebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen. Kwetsbaarheden in OpenSSL kunnen zeer grote gevolgen voor het internet hebben, zo heeft de Heartbleed Bug in het verleden aangetoond. bron: https://www.security.nl

Onderzoekers hebben zestien malafide extensies voor Google Chrome en Microsoft Edge ontdekt die zich voordoen als verbetering en optimalisatie van ChatGPT, maar in werkelijkheid session tokens van gebruikers stelen en terug naar de aanvallers sturen. Met deze tokens krijgen aanvallers toegang tot gegevens van gebruikers, waaronder gespreksgeschiedenis en metadata. Dat meldt securitybedrijf LayerX op basis van eigen onderzoek. De zestien malafide extensies, waarvan vijftien voor Chrome en één voor Edge, zijn bij elkaar zo'n negenhonderd keer gedownload, wat zeer weinig is in vergelijking met andere malafide extensies die ChatGPT-gesprekken stelen. Sommige van deze extensies die recentelijk zijn ontdekt waren honderdduizenden keren gedownload. Volgens de onderzoekers is het belangrijk om alert te zijn op browser-extensies die integreren met AI-platforms waarvoor moet worden ingelogd. Securitybedrijf Symantec kwam ook met een waarschuwing voor malafide Chrome-extensies met de naam "Children Protection", "Good Tab", "DPS Websafe" en "Stock Informer" die legitiem lijken, maar in werkelijkheid cookies en data van het clipboard stelen en zoekopdrachten van gebruikers kapen. Deze extensies zijn bij elkaar meer dan 100.000 keer gedownload. bron: https://www.security.nl

Zo'n zesduizend SmarterMail-servers bevatten een kritieke kwetsbaarheid waardoor ongeauthenticeerde aanvallers het wachtwoord van de administrator kunnen resetten, zo laat The Shadowserver Foundation op basis van eigen onderzoek weten. Meerdere partijen melden dat aanvallers actief misbruik maken van het beveiligingslek, aangeduid als CVE-2026-23760. Op 15 januari kwam ontwikkelaar SmarterTools met SmarterMail Build 9511 waarin het probleem is verholpen. SmarterMail wordt omschreven als een Windows/Linux-gebaseerde mailserver en groupware-alternatief voor Microsoft Exchange. Gebruikers van SmarterMail kunnen hun wachtwoord resetten. Bij een normale resetprocedure controleert SmarterMail het oude wachtwoord van de gebruiker voordat er een nieuw wachtwoord wordt ingesteld. Onderzoekers van watchTowr ontdekten een endpoint waardoor het mogelijk is om zonder geldig wachtwoord een reset voor elke willekeurige gebruiker uit te voeren. De betreffende API (application programming interface) vereist een oud wachtwoord, maar controleert niet of die juist is. Het enige dat een aanvaller daardoor nodig heeft is de gebruikersnaam van het admin-account en een nieuw wachtwoord om zo admin-toegang tot de mailserver te krijgen. Zodra de aanvaller als admin is ingelogd kan die een nieuw volume mounten en dat van willekeurige commando's voorzien, die vervolgens door het onderliggende besturingssysteem worden uitgevoerd. "Op dat moment heeft de aanvaller volledige remote code execution op de onderliggende host", aldus de onderzoekers. The Shadowserver Foundation is een stichting die zich bezighoudt met onderzoek naar kwetsbare systemen op internet. Het voerde een scan uit naar SmarterMail-servers en keek daarbij naar het gebruikte versienummer. Dit leverde zesduizend servers met een kwetsbare versie op, waarvan 62 in Nederland. Het Amerikaanse cyberagentschap CISA meldt dat aanvallers actief misbruik van CVE-2026-23760 maken. Eerder werd dit ook gemeld door securitybedrijf watchTowr. Op het forum van SmarterTools wordt beheerders verteld dat als hun admin-wachtwoord niet meer werkt, ze ervan moeten uitgaan dat hun server is gehackt. bron: https://www.security.nl

Muziekdienst SoundCloud heeft de persoonlijke gegevens van zo'n 30 miljoen gebruikers gelekt. Het gaat om e-mailadressen, locatiegegevens, namen, profielstatistieken, avatars en gebruikersnamen. SoundCloud maakte het datalek zelf al vorige maand bekend. De muziekdienst stelde toen dat aanvallers op een systeem hadden ingebroken en er data was buitgemaakt van twintig procent van de SoundCloud-gebruikers. Een exact aantal slachtoffers werd niet gecommuniceerd. Hoe de aanvallers toegang tot het "ancillary service dashboard" wisten te krijgen werd ook niet door SoundCloud bekendgemaakt. De gestolen e-mailadressen zijn nu toegevoegd aan Have I Been Pwned. Via de datalekzoekmachine kunnen mensen kijken of hun e-mailadres in een bekend datalek voorkomt. Van de bijna 30 miljoen gestolen e-mailadressen was 67 procent al via een ander datalek bij de zoekmachine bekend. bron: https://www.security.nl

Beste dirk69, Ik zag dat je iets hierover naar mij gerapporteerd hebt. Maar zie niet zo snel waarom. Geen probleem. Ik ben zelf niet zo thuis in de Samsung telefoons maar heb wel dit voor je op het internet gevonden. Misschien staat er een manier tussen die voor jouw reddend is: Alle manieren om een Samsung-telefoon te ontgrendelen met een wachtwoord, pincode, patroon of schermvergrendeling Ik hoop dat daar een voor jou werkende manier tussen zit. Hou ons op de hoogte.

Microsoft heeft kritieke kwetsbaarheden in AI-chatbot Copilot gepatcht waardoor aanvallers informatie van gebruikers konden stelen. De "information disclosure" kwetsbaarheden waren aanwezig in Word Copilot (CVE-2026-21521) en M365 Copilot (CVE-2026-24307). Volgens de beschrijving van Microsoft ging de AI-chatbot niet goed om met bepaalde gebruikersinvoer, waardoor een ongeautoriseeerde aanvaller informatie had kunnen stelen. Verdere details over de twee problemen zijn niet gegeven. De impact van de twee kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 7.4 en 9.3. Ook in het geval van het Word Copilot-lek, dat de impactscore van 7.4 kreeg, spreekt Microsoft van een kritieke kwetsbaarheid. Beide problemen waren door externe onderzoekers gerapporteerd. Microsoft merkt op dat de updates inmiddels zijn doorgevoerd en gebruikers geen actie hoeven te ondernemen. bron: https://www.security.nl

Aanvallers maken actief misbruik van een nieuwe kwetsbaarheid in Fortinet FortiGate-firewalls waarvoor nog geen beveiligingsupdate beschikbaar is. De afgelopen dagen lieten verschillende firewall-beheerders weten dat hun volledig gepatchte FortiGate-firewall was gecompromitteerd. Het misbruik leek op een kritieke kwetsbaarheid waarvoor Fortinet in december updates had uitgebracht. Volgens Fortinet gaat het echter om een nieuw probleem dat inmiddels is geïdentificeerd. Het bedrijf werkt aan een beveiligingsupdate maar laat niet weten wanneer die beschikbaar komt. Ook is er nog geen beveiligingsbulletin gepubliceerd. Wel laat Fortinet weten dat alleen misbruik van FortiCloud SSO is waargenomen, maar het probleem alle SAML SSO-implementaties raakt. Organisaties kunnen in afwachting op een beveiligingsupdate de FortiCloud SSO feature uitschakelen. Dat voorkomt misbruik via deze methode, maar niet via een third-party systeem. Fortinet adviseert deze mitigatie alleen in combinatie met een "local-in policy" uit te voeren. Verder zijn er verschillende Indicators of Compromise gegeven waarmee organisaties kunnen kijken of hun firewalls zijn gecompromitteerd. Securitybedrijf Arctic Wolf heeft ook meer details over de aanvallen. bron: https://www.security.nl

Aanvallers maken actief misbruik van een nieuwe kwetsbaarheid in SmarterMail om het wachtwoord van administrators te resetten. Zodra er admintoegang is verkregen is ook remote code execution op de onderliggende server mogelijk, zo laat securitybedrijf watchTowr weten. Een beveiligingsupdate voor het probleem, dat nog geen CVE-nummer heeft, verscheen op 15 januari. Twee dagen later werden de eerste aanvallen al waargenomen. SmarterMail wordt omschreven als een Windows/Linux-gebaseerde mailserver en groupware-alternatief voor Microsoft Exchange. Gebruikers kunnen hun wachtwoord resetten. Bij een normale resetprocedure controleert SmarterMail het oude wachtwoord van de gebruiker voordat er een nieuw wachtwoord wordt ingesteld. Onderzoekers van watchTowr ontdekten een endpoint waardoor het mogelijk is om zonder geldig wachtwoord een reset uit te voeren. De betreffende API (application programming interface) vereist een oud wachtwoord, maar controleert niet of de juist is. Het enige dat een aanvaller daardoor nodig heeft is de gebruikersnaam van het admin-account en een nieuw wachtwoord om zo admin-toegang tot de mailserver te krijgen. Zodra de aanvaller als admin is ingelogd kan die een nieuw volume mounten en dat van willekeurige commando's voorzien, die vervolgens door het onderliggende besturingssysteem worden uitgevoerd. "Op dat moment heeft de aanvaller volledige remote code execution op de onderliggende host", aldus de onderzoekers. SmarterTools, de ontwikkelaar van SmarterMail, werd op 8 januari over het probleem ingelicht. Een week later op 15 januari verscheen een beveiligingsupdate, waarbij dit ook duidelijk in de release notes werd vermeld. SmarterTools kwam eerder nog onder vuur te liggen omdat het bij een vorige release had nagelaten te vermelden dat een kritiek probleem was opgelost. WatchTowr wilde eigenlijk de details nog niet vrijgeven, maar besloot dat wel te doen. Aanvallers maken namelijk al sinds 17 januari misbruik van het lek, zo blijkt ook uit berichten op het forum van SmarterTools. bron: https://www.security.nl

Volledig gepatchte Fortinet FortiGate-firewalls zijn het doelwit van aanvallen en Fortinet zou inmiddels tegenover klanten hebben bevestigd dat er een update voor het onderliggende probleem wordt ontwikkeld, zo laten beheerders weten. Gisteren verscheen er een bericht op Reddit waar verschillende systeembeheerders melding maakten van aanvallen op hun volledig gepatchte FortiGate-firewall. De beheerders merkten op dat de aanvallen leken op misbruik van een andere kwetsbaarheid waarvoor Fortinet een aantal weken geleden met een update kwam. Via dit kritieke beveiligingslek (CVE-2025-59718) kan een aanvaller de authenticatie omzeilen en zo toegang tot apparaten krijgen. Gisteren liet securitybedrijf Arctic Wolf weten dat het sinds 15 januari nieuwe aanvallen ziet waarbij Fortigate-firewalls worden aangevallen. Bij deze aanvallen worden wijzigingen aan de firewall doorgevoerd. Zo maken de aanvallers accounts aan om toegang te behouden en stellen vervolgens vpn-toegang voor deze accounts in. Tevens wordt de firewallconfiguratie gestolen. Volgens Arctic Wolf is er sprake van een "developing situation" en zal het meer technische informatie delen zodra die beschikbaar komt. De beheerders die op Reddit als eerste melding van de aanvallen maakten laten inmiddels weten dat Fortinet tegenover hen heeft bevestigd dat CVE-2025-59718 ondanks de eerder uitgebrachte patches nog steeds aanwezig is en er nieuwe updates voor het probleem worden ontwikkeld. Fortinet heeft echter nog geen beveiligingsbulletin hierover uitgebracht. bron: https://www.security.nl

Een WordPress-plug-in die op meer dan twintigduizend websites is geïnstalleerd is door een medewerker voorzien van een backdoor, zo meldt securitybedrijf Wordfence op basis van contact met het ontwikkelteam. Een update om de backdoor te verwijderen is uitgebracht, maar de meeste websites hebben die nog niet geïnstalleerd. Via de backdoor kan een ongeauthenticeerde aanvaller administrators aan de website toevoegen en die zo volledig overnemen. Het probleem is aanwezig in de plug-in LA-Studio Element Kit for Elementor, die meer dan twintigduizend installaties telt. Elementor is een zogeheten "page builder" plug-in die de standaard WordPress-editor vervangt. Het biedt gebruikers meer vrijheid en mogelijkheden voor het vormgeven van hun WordPress-site en introduceert allerlei extra functionaliteit. Meer dan tien miljoen WordPress-sites maken gebruik van Elementor. Voor Elementor zijn ook weer allerlei plug-ins en uitbreidingen beschikbaar, waaronder LA-Studio Element Kit for Elementor. De plug-in biedt widgets, themes en andere aanpassingen om eenvoudiger van Elementor gebruik te maken. Een onderzoeker ontdekte dat het mogelijk is om tijdens het registreren van een account een aparte parameter op te geven waarmee men administrator kan worden. De betreffende functie was geobfusceerd om zo detectie te voorkomen. Securitybedrijf Wordfence vroeg het ontwikkelteam om opheldering. Dat liet weten dat een voormalige medewerker de backdoor had toegevoegd. Deze persoon zou eind december zijn ontslagen. De laatste aanpassing aan de backdoor werd een paar dagen eerder gemaakt, aldus Wordfence. Volgens het securitybedrijf is dit een belangrijke reminder als het gaat om insider-dreigingen en dat organisaties de juiste controles en procedures moeten hebben voor het omgaan met ontslagen personeel en geregeld de activiteiten van medewerkers moeten monitoren. De backdoor is verwijderd in versie 1.6.0 van de plug-in, die een week geleden uitkwam. Nergens in de release notes wordt de aanwezigheid van de backdoor vermeld. Daarnaast blijkt uit cijfers van WordPress.org dat de update pas door zo'n vijfduizend websites is geïnstalleerd. bron: https://www.security.nl

GitLab heeft vandaag beveiligingsupdates uitgebracht die meerdere kwetsbaarheden verhelpen, waaronder één die het mogelijk maakt om de tweefactorauthenticatie (2FA) van gebruikers te omzeilen. Beheerders, gebruikers en organisaties worden door GitLab opgeroepen om zo snel mogelijk te updaten naar versie 18.8.2, 18.7.2 of 18.6.4. GitLab is een populaire online DevOps-tool voor het ontwikkelen van software. Organisaties kunnen GitLab op hun eigen server of servers installeren. Een kwetsbaarheid in de software (CVE-2026-0723) maakt het mogelijk voor een aanvaller met kennis van het "credential ID" van het slachtoffer, om door middel van vervalste device responses de tweefactorauthenticatie te omzeilen. Het probleem, wat wordt omschreven als een "unchecked return value issue", is zowel in de GitLab Community Edition (CE) als Enterprise Edition (EE) aanwezig. Verdere details zijn niet door GitLab gegeven. Daarnaast zijn er in de nieuwe versies ook verschillende kwetsbaarheden verholpen die een denial of service mogelijk maken. bron: https://www.security.nl

LastPass waarschuwt gebruikers van de wachtwoordmanager voor een phishingmail waarin wordt gevraagd om een back-up van de wachtwoordkluis te maken. Volgens het bericht, dat zogenaamd van LastPass afkomstig zou zijn, wordt er onderhoud aan de servers van de wachtwoordmanager uitgevoerd. Om tijdens het onderhoud toch bij opgeslagen wachtwoorden te kunnen wordt gevraagd om binnen 24 uur een "lokale back-up" te maken. De phishingmail bevat daarnaast instructies voor het maken van een back-up van de wachtwoordkluis. De knop om de back-up te maken wijst naar een phishingsite die het master password vraagt waarmee er online toegang tot de wachtwoordkluis van het slachtoffer kan worden verkregen. LastPass is een wachtwoordmanager die in de cloud draait. Gebruikers zijn geregeld het doelwit van phishingaanvallen. Vorige maand besloot de Britse privacytoezichthouder LastPass nog een boete van omgerekend 1,4 miljoen euro op te leggen wegens een groot datalek, waar alleen in het Verenigd Koninkrijk 1,6 miljoen mensen slachtoffer van werden. Van 1,2 miljoen Britten werd ook de wachtwoordkluis gestolen. Blockchain-intelligenceplatform TRM Labs stelde laatste dat meerdere diefstallen van cryptovaluta tot het datalek zijn terug te leiden. bron: https://www.security.nl

Oracle waarschuwt organisaties voor kritieke kwetsbaarheden in populaire producten en heeft beveiligingsupdates uitgebracht om de problemen te verhelpen. Vanwege het risico op aanvallen worden organisaties door Oracle opgeroepen de patches zo snel mogelijk te installeren. Het bedrijf stelt dat het berichten blijft ontvangen van klanten die gehackt zijn omdat ze beschikbare updates niet hadden geïnstalleerd. In tegenstelling tot bijvoorbeeld Adobe of Microsoft komt Oracle ééns per kwartaal met beveiligingsupdates. Tijdens de Critical Patch Update van januari zijn in totaal 337 patches uitgebracht. Dat wil niet zeggen dat er ook sprake is van 337 kwetsbaarheden, omdat sommige kwetsbaarheden in meerdere Oracle-producten aanwezig zijn en die elk hun eigen patch ontvangen. In totaal zijn er elf kwetsbaarheden aangemerkt als kritiek. Op een schaal van 1 tot en met 10 is de impact van tien van deze beveiligingslekken beoordeeld met een 9.8 of hoger. Twee kwetsbaarheden (CVE-2025-66516 en CVE-2026-21962) hebben zelfs de maximale impactscore van 10.0. De kritieke kwetsbaarheden zijn aanwezig in Primavera Unifier, Business Process Management Suite, HTTP Server, Weblogic Server Proxy Plug-in, Middleware Common Libraries and Tools, Data Integrator, Fusion Middleware, Outside In Technology, AutoVue Office, Spatial and Graph, Health, Sciences Information Manager, MySQL Server, PeopleSoft Enterprise PeopleTools, Siebel CRM Cloud Applications, Agile Product Lifecycle Management for Process, Communications Operations Monitor, Communications Order and Service Management, Communications Unified Assurance en Commerce Guided Search. De volgende patchronde staat gepland voor 21 april. bron: https://www.security.nl

Spyware is één van de grootste bedreigingen voor fundamentele rechten en democratie en moet daarom in de Europese Unie worden verboden, zo vindt de Europese burgerrechtenbeweging EDRi. Spyware blijft echter in Europa gebruikt worden, wat tot normalisatie leidt, aldus de organisatie. "Ondanks allerlei schandalen in zeker veertien lidstaten, en duidelijk bewijs van mensenrechtenschendingen, hebben zowel de Europese Commissie als de lidstaten geen rode lijn getrokken", laat EDRi weten. Uit onderzoek dat het Europees Parlement liet uitvoeren bleek dat onder andere in Hongarije, Polen, Griekenland, Cyprus en Spanje spyware tegen onder andere oppositie en journalisten is ingezet. Voormalig Europarlementariër en rapporteur van het onderzoeksrapport Sophie In't Veld stelde dat Europa geen politieke wil heeft om het gebruik en de verspreiding van spyware aan te pakken. Volgens EDRi kunnen slachtoffers van spyware nergens aankloppen, gaan commerciële spywareleveranciers ongestoord hun gang en floreert de Europese spywaremarkt, vaak dankzij publiek geld. Om meer handvatten te bieden is EDRi nu met een "document pool" gekomen, met allerlei informatie en standpunten over spyware. Via commerciële spyware, zoals Pegasus en Predator, kan volledige controle over de telefoon van slachtoffers worden verkregen. Zo kunnen microfoon en camera worden ingeschakeld om het slachtoffer en zijn omgeving te bespioneren, kunnen foto's, bestanden en andere gevoelige informatie van het toestel worden gestolen en is het mogelijk om de locatie van het slachtoffer te volgen. Spywareleveranciers gebruiken vaak kwetsbaarheden om de spyware op het toestel van slachtoffers te kunnen installeren. Problemen waar op het moment van de aanval nog geen update voor beschikbaar is. "Spyware is niet compatibel met mensenrechten omdat het indringend is, geheime toegang tot iemands persoonlijke toestel grote hoeveelheden informatie blootstelt en de integriteit van het apparaat in gevaar brengt. Dit maakt het onmogelijk om aan de vereisten te voldoen van de fundamentele rechten noodzakelijkheid en proportionaliteit en maakt het onmogelijk om toezicht op het gebruik ervan te houden", laat EDRi verder weten. EDRi pleit voor een algeheel verbod op commerciële spyware, het verhandelen van kwetsbaarheden en exploits gebruikt voor het verspreiden van spyware, het beschermen van ethisch cyberonderzoek en responsible disclosure voor het melden van kwetsbaarheden, het verbieden van het aanschaffen van producten van spywareleveranciers, het invoeren van gerichte sancties tegen spywareleveranciers en het ter verantwoording roepen van spywareleveranciers voor mensenrechtenschendingen. bron: https://www.security.nl

Tienduizenden WordPress-sites bevatten een kritieke kwetsbaarheid waardoor ze in theorie door aanvallers op afstand zijn over te nemen. Een beveiligingsupdate is al een maand beschikbaar, maar een groot aantal websites heeft die nog niet geïnstalleerd. De ontwikkelaars van Advanced Custom Fields: Extended hebben ook niet nadrukkelijk vermeld dat de update het kritieke beveiligingslek verhelpt. Advanced Custom Fields (ACF) is een zeer populaire uitbreiding die allerlei extra opties aan WordPress toevoegt. Meer dan twee miljoen websites maken er gebruik van. Advanced Custom Fields: Extended is weer een uitbreiding voor ACF die allerlei verbeteringen zou moeten toevoegen en op meer dan honderdduizend websites draait. Een beveiligingslek in ACF: Extended maakt het voor een ongeauthenticeerde aanvaller mogelijk om zich als administrator te registreren en zo volledige controle over de website te krijgen. Voorwaarde is wel dat de beheerder van de site bepaalde opties voor het registratieformulier heeft ingeschakeld. Iets dat volgens securitybedrijf Wordfence waarschijnlijk niet veel voorkomt. Ondanks de voorwaarden voor misbruik is de impact van de kwetsbaarheid (CVE-2025-14533) op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De ontwikkelaars van de plug-in werden op 11 december ingelicht en kwamen op 14 december met versie 0.9.2.2 waarin het probleem is verholpen. In de release notes wordt de aanwezigheid van het beveiligingslek niet vermeld. Er wordt alleen gesteld dat er "een beveiligingsmaatregel" is toegevoegd. Hoewel de update al een maand beschikbaar is, laten cijfers van WordPress.org zien dat zo'n 60.000 sites die nog niet hebben geïnstalleerd. bron: https://www.security.nl

Onderzoekers waarschuwen voor een malafide Google Chrome-extensie die zich voordoet als uBlock Origin Lite, maar in werkelijkheid de browser laat crashen om zo de gebruiker malware te laten installeren. Dat meldt securitybedrijf Huntress in een analyse. De malafide Chrome-extensie wordt geadverteerd via advertenties. Deze advertenties wijzen naar een extensie in de officiële Chrome Web Store. Zodra gebruikers de extensie installeren toont die een waarschuwing en voert vervolgens een denial of service-aanval uit op de browser, zodat die stopt met werken. Volgens deze zogenaamde waarschuwing zijn er beveiligingsproblemen gedetecteerd en moet de gebruiker die handmatig oplossen. De waarschuwing kopieert een malafide PowerShell-commando naar het clipboard en legt vervolgens de gebruiker uit hoe het commando in de terminal moet worden uitgevoerd. Zodra de gebruiker het commando uitvoert wordt er malware genaamd ModeloRAT op het systeem geïnstalleerd, waarmee de aanvallers volledige controle over de computer krijgen. Deze social engineering-techniek wordt ook wel ClickFix genoemd. Zodra gebruikers de browser via force-quit sluiten, zal de browser bij het opnieuw starten weer de waarschuwing tonen, wat weer leidt tot de denial of service. Pas als de gebruiker de extensie verwijdert zal de browser weer gewoon werken. Om te voorkomen dat de gebruiker de zogenaamde adblocker echter vermoedt, is de extensie zo geprogrammeerd dat de eerste waarschuwing pas na een uur verschijnt. bron: https://www.security.nl

Certificaatautoriteit Let's Encrypt biedt vanaf nu ook tls-certificaten aan met een levensduur van zes dagen. Volgens Matthew McPherrin van het ISRG, de organisatie achter Let's Encrypt, verbeteren certificaten met een korte levensduur de veiligheid, omdat ze vaker validatie vereisen en minder afhankelijk zijn van "onbetrouwbare intrekmechanismes". Op dit moment zijn de door Let's Encrypt uitgegeven tls-certificaten negentig dagen geldig. Certificaten die maar zes dagen geldig zijn zouden de periode dat misbruik kan plaatsvinden drastisch verminderen, omdat ze juist zo snel verlopen. Daarnaast zijn ze ook minder afhankelijk van de methodes die nu worden gebruikt om gecompromitteerde of ongeldig uitgegeven certificaten in te trekken. "Helaas is het intrekken een onbetrouwbaar systeem, waardoor veel afhankelijke partijen kwetsbaar blijven totdat het certificaat verloopt", aldus McPherrin. Vooralsnog zijn de "short-lived" certificaten opt-in en moeten gebruikers van Let's Encrypt hier zelf voor kiezen. Gebruikers die het vernieuwingsproces van hun certificaten volledig hebben geautomatiseerd zouden volgens McPherrin eenvoudig naar de zesdaagse certificaten moeten kunnen overstappen. Onlangs maakte Let's Encrypt al bekend dat de standaard levensduur van certificaten die het uitgeeft wordt verkort van 90 naar 45 dagen. Dat staat gepland voor begin 2028. bron: https://www.security.nl

Microsoft heeft actie ondernomen tegen een dienst die virtual machines aan criminelen verhuurt. Volgens Microsoft wordt RedVDS voor allerlei criminele doeleinden gebruikt, waaronder het versturen van phishingmails, het hosten van "scam infrastructure" en het faciliteren van online fraude. Afnemers van de dienst krijgen voor 24 dollar per maand toegang tot vm's. "In slechts één maand stuurden meer dan 2600 unieke RedVDS virtual machines gemiddeld een miljoen phishingmails per dag naar alleen Microsoft-klanten", aldus Microsoft. Het techbedrijf stelt dat aanvallen die sinds september vorig jaar via RedVDS werden uitgevoerd tot 191.000 gecompromitteerde organisaties en accounts wereldwijd hebben geleid. Als onderdeel van de actie tegen RedVDS zijn twee domeinen in beslag genomen en is "het grondwerk" gelegd om de beheerders van de dienst te identificeren, zo laat Microsoft verder weten. Het techbedrijf zegt verder samen te werken met Europol om de servers en betaalnetwerken van RedVDS aan te pakken. Er zijn nog geen verdachten aangehouden. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in Fortinet FortiSIEM waarvoor op 13 januari beveiligingsupdates verschenen, zo meldt securitybedrijf Defused. FortiSIEM is een Security Information and Event Management (SIEM) platform van Fortinet waarmee organisaties dreigingen in hun netwerkomgeving kunnen detecteren. De kwetsbaarheid, aangeduid als CVE-2025-64155, maakt het mogelijk voor ongeauthenticeerde aanvallers om willekeurige code of commando's op het systeem uit te voeren. Hiervoor volstaat het versturen van speciaal geprepareerde TCP-requests. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.4. Het probleem werd gevonden en gerapporteerd door securitybedrijf Horizon3.ai. Dat kwam op 13 januari met een technische beschrijving van de kwetsbaarheid en het maakte proof-of-concept exploitcode beschikbaar. Via het beveiligingslek kan een aanvaller willekeurige bestanden als admin naar het systeem schrijven. Een ander probleem maakt het mogelijk om van admin root te worden en zo volledige controle over het systeem te krijgen. Beide problemen kregen CVE-2025-64155 toegewezen. Securitybedrijf Defused laat via X weten dat het inmiddels verschillende ip-adressen heeft waargenomen die misbruik van de kwetsbaarheid proberen te maken. Verdere details over deze aanvallen zijn niet gegeven. bron: https://www.security.nl

Cisco heeft beveiligingsupdates uitgebracht voor een actief misbruikte kwetsbaarheid in de Cisco Secure Email Gateway en Cisco Secure Email & Web Manager die al een maand bekend is. Via het kritieke beveiligingslek kan een aanvaller willekeurige commando's met rootrechten op het onderliggende besturingssysteem van de appliance uitvoeren. Cisco waarschuwde op 17 december voor het probleem, maar had toen nog geen patches beschikbaar. De impact van de kwetsbaarheid (CVE-2025-20393) is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. De Secure Email Gateway, eerder bekend als Email Security Appliance, en de Secure Email & Web Manager, eerder bekend als Security Management Appliance (SMA), zijn zowel virtuele als hardwarematige appliances voor het filteren van e-mailverkeer op allerlei dreigingen. De aanvallen waarvoor Cisco een maand geleden waarschuwde zijn gericht tegen zowel de fysieke als virtuele versies van Cisco Secure Email Gateway en Cisco Secure Email & Web Manager. Voorwaarde voor misbruik is dat de appliance is geconfigureerd met de Spam Quarantine feature en deze feature vanaf het internet bereikbaar is. Cisco merkt op dat de Spam Quarantine feature niet standaard staat ingeschakeld. Zodra de aanvallers een apparaat hebben gehackt installeren ze een "persistent covert channel" om op afstand toegang tot het apparaat te behouden. Het netwerkbedrijf heeft het beveiligingsbulletin nu voorzien van meer informatie over de kwetsbaarheid, de beschikbaarheid van beveiligingsupdates en welke versies precies kwetsbaar zijn. Cisco liet eerder al weten dat het beveiligingslek zeker sinds eind november bij aanvallen is ingezet. Hoeveel systemen wereldwijd zijn gecompromitteerd is onbekend. bron: https://www.security.nl