Captain Kirk

Honderden Monsta FTP-clients die vanaf het internet toegankelijk zijn bevatten een kritieke kwetsbaarheid waardoor ongeauthenticeerde aanvallers op afstand code op systemen kunnen uitvoeren. Dat laat The Shadowserver Foundation op basis van eigen onderzoek weten. Een beveiligingsupdate is sinds 26 augustus beschikbaar, maar de ontwikkelaars hebben bij de release van de update geen melding van het beveiligingslek gemaakt, zo stelt securitybedrijf watchTowr Monsta FTP is een webgebaseerde ftp-client. Het kritieke beveiligingslek, aangeduid als CVE-2025-34299, zorgt ervoor dat aanvallers vanaf een malafide ftp-server willekeurige bestanden naar kwetsbare clients kunnen uploaden. De client plaatst het bestand vervolgens in een door de aanvaller opgegeven locatie. Zo is het mogelijk om malware op het systeem te laten uitvoeren. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. De kwetsbaarheid is verholpen in versie 2.11.3, die op 26 augustus verscheen, aldus onderzoekers van securitybedrijf watchTowr. Bij de beschrijving van deze versie staat "minor bugs and fixes" en "no extended notes for release". Bij de release notes van versie 2.11.1, die op 15 augustus uitkwam, staat dat er een kwetsbaarheid met betrekking tot "file fetch" is verholpen. Dit is het onderdeel waar onderzoekers de kwetsbaarheid in vonden. Hoewel een beveiligingsupdate al maanden beschikbaar is, blijken er nog honderden kwetsbare clients vanaf internet toegankelijk te zijn. Volgens watchTowr zijn er op elk gegeven moment meer dan vijfduizend installaties te vinden. Volgens The Shadowserver Foundation waren er afgelopen zondag nog zo'n achthonderd van deze installaties kwetsbaar voor CVE-2025-34299. Daarvan bevonden zich er dertien in Nederland. bron: https://www.security.nl

Het Tor Project heeft besloten om het algoritme dat Tor-relays gebruiken voor het versleutelen van verkeer te vervangen door een nieuw algoritme genaamd Counter Galois Onion (CGO). De ontwikkelaars stellen dat dit algoritme gebruikers beter tegen aanvallen moet beschermen. Dagelijks maken miljoenen mensen gebruik van het Tor-netwerk om hun privacy te beschermen en gecensureerde websites te bezoeken. Het netwerk draait volledig op servers en bandbreedte die door vrijwilligers wordt gedoneerd. Het verkeer van Tor-gebruikers loopt via meerdere servers om zo de identiteit van de gebruiker te maskeren. Zo is de eerste server de entry guard, die het verzoek van de Tor-gebruiker naar de relay-node doorstuurt. Vervolgens gaat het van deze server naar de exit-node, die het verzoek naar het internet stuurt. Tor gebruikt het standaard TLS-protocol voor communicatie tussen relays en tussen clients en relays. Het heeft ook een apart algoritme voor het versleutelen van data die via meerdere relays in een circuit loopt. Dit is het relay-encryptie-algoritme. De Tor-client deelt een symmetrische key met elke relay in zijn circuit en versleutelt een uitgaand bericht, een "relay cell", met elk van die keys. Elke relay kan één encryptielaag verwijderen, totdat de cell van de client de exit-relay bereikt. Om te voorkomen dat de data onderweg wordt aangepast wordt aan de cell een cryptografische digest toegevoegd. Deze digest is niet alleen voor de cell, maar ook voor alle eerdere cells die via het circuit van Tor-servers zijn gegaan, om zo herordening te voorkomen, en nog een geheime gedeelde key, om zo de digest onvoorspelbaar te maken. Volgens het Tor Project is deze opzet kwetsbaar voor verschillende soorten aanvallen. Het gaat onder andere om een aanval waarbij een aanvaller bepaald verkeer in één plek in het netwerk aanpast om zo voorspelbare aanpassingen in een ander deel van het netwerk waar te nemen. De ontwikkelaars stellen dat ze het huidige encryptie-algoritme vandaag de dag dan ook niet meer zo zouden bouwen. "Daarom gaan we het vervangen." De ontwikkelaars stellen dat ze het algoritme al eerder wilden vervangen, maar daarbij tegen problemen aanliepen op het gebied van ontwerp en efficiëntie. De oplossing is gevonden in Counter Galois Onion. Dit algoritme zorgt ervoor dat als iemand de versleutelde data probeert te manipuleren, het gehele bericht, en alle toekomstige berichten, niet meer te recoveren zijn. Dit moet "tagging" aanvallen, waarbij aanvallers naar voorspelbare patronen zoeken, voorkomen. Daarnaast biedt het forward secrecy en is de nu gebruikte 4-byte authenticator voor het onvoorspelbaar maken van digests vervangen door een 16-byte authenticator. Het Tor Project wil het nieuwe algoritme nu stapsgewijs gaan implementeren. bron: https://www.security.nl

Onderzoekers waarschuwen voor een nieuwe tactiek die cybercriminelen gebruiken om systemen met malware te infecteren. Slachtoffers krijgen een schermvullende pagina te zien die op het Windows Update-scherm van Microsoft lijkt. De pagina doet voorkomen dat er updates worden geïnstalleerd. Na enige tijd verschijnt de opdracht dat voor het afronden van de update een aantal toetsencombinaties moeten worden uitgevoerd. Als eerste moet het slachtoffer het Uitvoeren (Run)-venster starten, zo meldt securitybedrijf Huntress. Vervolgens moet het plakcommando worden uitgevoerd gevolgd door enter. De malafide pagina heeft op dat moment al een malafide commando naar het clipboard van het slachtoffer gekopieerd. Het uitvoeren van het commando leidt tot de installatie van malware. Criminelen gebruiken al langer deze tactiek, die ClickFix wordt genoemd, maar dan wordt slachtoffers verteld dat het uitvoeren van het commando nodig is om een captcha op te lossen. Via het commando wordt infostealer-malware op het systeem geplaatst die wachtwoorden en allerlei andere inloggegevens steelt en terugstuurt naar de aanvallers. Waar gebruikers de malafide updatepagina te zien krijgen laat Huntress niet weten. bron: https://www.security.nl

In de npm Registry zijn honderden besmette packages aangetroffen met malware die allerlei gevoelige data van systemen steelt en andere npm-packages probeert te infecteren, zo stelt securitybedrijf HelixGuard. Volgens de onderzoekers lijkt de aanval op een aanval die afgelopen september plaatsvond en waarbij meer dan vijfhonderd packages werden geïnfecteerd door malware genaamd "Shai-Hulud". Bij de nieuwe aanval zijn meer dan driehonderd packages besmet geraakt, aldus de onderzoekers. Wanneer ontwikkelaars een besmette package op hun systeem uitvoeren wordt de malware actief. Die gebruikt de software TruffleHog om op de lokale machine naar gevoelige informatie te zoeken, zoals NPM-tokens, AWS/GCP/Azure credentials en omgevingsvariabelen. Met de gestolen tokens kan de malware weer andere npm-packages infecteren. De gevoelige informatie wordt naar de aanvallers teruggestuurd door middel van een GitHub Action runner met de naam "SHA1HULUD", wat volgens de onderzoekers een verwijzing naar de aanval van september lijkt. Er is ook een overzicht van gecompromitteerde npm-packages gepubliceerd. Op Hacker News laat een getroffen ontwikkelaar weten dat meerdere van zijn packages besmet zijn geraakt. bron: https://www.security.nl

Fabrikant van usb-sticks en ssd-schijven Team Group heeft een nieuwe externe ssd-schijf aangekondigd die is voorzien van een knop voor fysieke datavernietiging. Volgens Team Group is de "P35S Destroyed External SSD" bedoeld voor het onmiddellijk vernietigen van zeer gevoelige informatie in noodsituaties. Als mogelijke doelgroepen worden financiële professioneels, creators, militairen en politieambtenaren genoemd. De behuizing is voorzien van een knop, die via een schuifactie pas zichtbaar wordt, waarmee aanwezige data is te wissen en de NAND-chip is te vernietigen waar de data is opgeslagen. Om de "two-stage switch" te kunnen gebruiken moet de externe schijf op een computer zijn aangesloten. Wanneer het vernietigingsproces is gestart kan het niet meer worden gestopt en zal alle informatie op het apparaatje worden gewist, aldus de fabrikant. Hiervoor wordt gebruikgemaakt van interne elektronica. Daarnaast zal de schijf zelf ook niet meer te gebruiken zijn. Team Group benadrukt in de handleiding dat gebruikers de risico's van de P35S goed moet begrijpen (pdf). "Dit product is niet bedoeld voor doorsnee consumenten, back-ups van persoonlijke data of dagelijkse opslagdoeleinden." De P35S zal beschikbaar komen in verschillende groottes, van 256 gigabyte tot twee terabyte. Details over prijzen en beschikbaarheid zijn nog niet bekendgemaakt. Team Group zegt binnenkort met meer informatie te zullen komen. bron: https://www.security.nl

Een beveiligingslek in Fortinet FortiWeb wordt momenteel actief uitgebuit om zonder authenticatie nieuwe beheeraccounts aan te maken op kwetsbare apparaten. Het probleem is verholpen in versie 8.0.2 van FortiWeb. Fortinet lijkt echter geen ruchtbaarheid te hebben gegeven aan het lek. Het uitbuiten van de kwetsbaarheid is op 6 oktober opgemerkt door threat intelligence-bedrijf Defused. Het meldde dat een 'onbekende Fortinet-exploit' werd ingezet voor het aanmaken van beheerdersaccounts op kwetsbare systemen. Sindsdien is het aantal aanvallen toegenomen. Uit onderzoek van PwnDefend en Defused blijkt nu dat er gebruik wordt gemaakt van een path traversal kwetsbaarheid. Ook onderzoekers van watchTowr Labs melden dat het lek wordt uitgebuit. Zij tonen op X een video waarin de exploit en een succesvolle inlog met een via het exploit aangemaakt beheerdersaccount worden getoond. watchTowr Labs publiceert ook de FortiWeb Authentication Bypass Artifact Generator, een tool die de kwetsbaarheid probeert uit te buiten door een admin-account aan te maken met een willekeurige gebruikersnaam van acht tekens. Rapid7 testte de exploit op meerdere versies van FortiWeb. Hieruit blijkt dat FortiWeb-versies 8.0.1 en eerder kwetsbaar zijn. Het lek is gedicht in versie 8.0.2 van de software, die naar verluid eind oktober is uitgebracht. Opvallend is dat er door Fortinet geen melding lijkt te zijn gemaakt van de kwetsbaarheid of het verhelpen hiervan. bron: https://www.security.nl

Tienduizenden malafide npm-packages zijn verspreid die een zelfreplicerende worm bevatten. De packages zijn allen voorzien van een naam gerelateerd aan Indonesisch eten, en wordt daarom ook wel de IndonesianFoods-worm genoemd. De worm is ontwikkeld om zichzelf automatisch via npm-packages verder te verspreiden, waarschuwt SourceCodeRed. De malware genereert hierbij een willekeurige naam, past package.json-bestanden aan en voegt aan zijn bestandsnaam een willekeurig versienummer toe. Vervolgens publiceert de worm de package. SourceCodeRed wijst op 43.900 packages die de worm bevatten, die zijn gepubliceerd met behulp van 11 verschillende accounts. JFrog wijst zelfs op meer dan 80.000 varianten verspreid vanaf 18 gebruikersaccounts. Deze werkwijze wordt continu herhaald, waardoor het aantal malafide npm-packages dat de worm bevat snel groeit. Ongeveer iedere zeven seconden wordt een nieuwe package gepubliceerd, waardoor de npm-registry wordt overspoeld met malafide packages. De worm is hierdoor breed verspreid, wat het risico vergroot dat een ontwikkelaar een van de malafide packages per ongeluk installeert en de worm zijn weg weet te vinden naar legitieme software. Het doel van de campagne is vooralsnog onduidelijk. JFrog waarschuwt dat het echter om een proef kan gaan voor een latere campagne waarbij dezelfde infrastructuur wordt gebruikt voor het afleveren van schadelijke payloads. bron: https://www.security.nl

Microsoft voegt native ondersteuning voor passkeymanagers toe aan Windows 11. De ondersteuning is toegevoegd in de Windows November 2025 security update. Gebruikers bepalen zelf welke passkeymanager zij willen instellen. Microsoft biedt zelf Microsoft Password Manager aan, maar ook passkeymanagers van derde partijen worden ondersteund. De ondersteuning maakt het onder meer mogelijk met behulp van Windows Hello passkeys te creëren en hiermee in te loggen. Daarnaast is Microsoft Password Manager als plugin geïntegreerd in Windows 11. Gebruikers kunnen de passkeymanager hierdoor gebruiken in iedere app die ondersteuning biedt voor passkeys, zoals Microsoft Edge of andere webbrowsers. bron: https://www.security.nl

Google neemt juridische stappen om een phishing-as-a-service genaamd Lighthouse uit de lucht te halen. Via de dienst kunnen aanvallers tegen betaling smishing-aanvallen uitvoeren, waarbij via sms phishingpogingen worden uitgevoerd. Het doel daarbij is de diefstal van financiële gegevens. Lighthouse is gericht op het genereren en uitrollen van enorme smishing-campagnes, meldt Google. Aanvallers versturen daarbij een sms-bericht naar slachtoffers, waarin zij worden verleid op een link te klikken en informatie zoals inloggegevens of bankgegevens te delen. De gebruikte berichten en webpagina's worden vaak verstuurd uit naam van bekende bedrijven, waaronder die van Google. Het techbedrijf meldt 107 websitetemplates te hebben ontdekt waarbij logo's van Google worden vertoond op malafide inlogschermen. In totaal zijn door Lighthouse wereldwijd ruim een miljoen slachtoffers gemaakt in meer dan 120 landen. Daarbij zijn op grote schaal creditcardgegevens gestolen. Google spreekt over alleen al in de VS zo'n 12,7 tot 115 miljoen creditcardgegevens. Sinds 2020 is het aantal smishing-aanvallen vervijfvoudigd. Google meldt juridische stappen te zetten om de kerninfrastructuur van Lighthouse te ontmantelen. Het dient onder meer claims in onder de Amerikaanse Racketeer Influenced and Corrupt Organizations Act, de Lanham Act en de Computer Fraud and Abuse Act. bron: https://www.security.nl

De Citrix Bleed 2 kwetsbaarheid (CVE-2025-5777) en een zero-day lek in een ongedocumenteerde endpoint van Cisco Identity Services Engine (ISE) (CVE-2025-20337) zijn door aanvallers uitgebuit voordat deze in de openbaarheid zijn gebracht, meldt het threat intelligence-team van Amazon. Exploitatiepogingen zijn door de MadPot-honeypotservice van Amazon al voor de publicatie opgemerkt. Citrix Bleed 2 is een kwetsbaarheid in NetScaler ADC en Gateway, die op 17 juni 2025 door Citrix is gedicht. Uit onderzoek van onder meer BleepingComputer bleek eerder al dat de kwetsbaarheid enkele weken vooraf aan de publicatie actief is uitgebuit. Dit bevestigt het threat intelligence-team van Amazon nu, dat daarbij ook meldt dat een kwetsbaarheid in Cisco ISE eveneens voor publicatie is uitgebuit. CVE-2025-20337 maakt gebruik van een ongedocumenteerde endpoint die kwetsbare deserialisatielogica gebruikt. Het lek stelt aanvallers in staat zonder authenticatie code op afstand uit te voeren op kwetsbare implementaties. Zo kunnen kwaadwillenden beheerdersrechten verkrijgen op gecompromitteerde systemen. Het threat intelligence-team meldt dat de aanvallers een op maat gemaakte backdoor hebben ingezet. Het gaat daarbij om een aangepaste webshell, die is vermomd als een legitiem Cisco ISE-onderdeel, genaamd IdentityAuditAction. De webshell maakt onder meer gebruik van geavanceerde ontwijkingstechnieken. De backdoor werkt volledig in het geheugen en laat hierdoor minimale forensische sporen na. Ook past de backdoor Java-reflectie toe om zichzelf te injecteren in actieve threads en monitort het HTTP-verzoeken op de Tomcat-server. Ook wordt DES-versleuteling met niet-standaard Base64-codering ingezet. Het team meldt ook dat de tools die de aanvallers inzetten wijzen op gedetailleerde kennis van enterprise Java-applicaties, Tomcat-interne werking en de architectuur van Cisco ISE. Amazon vermoedt dat de aanvallers over veel financiering beschikken, aangezien zij meerdere zeroday-lekken hebben ingezet. bron: https://www.security.nl

Synology heeft een kwetsbaarheid in BeeStation OS verholpen die aanvallers de mogelijkheid biedt op afstand willekeurige code uit te voeren. Het gaat om CVE-2025-12686, een lek dat in oktober werd ontdekt tijdens de Pwn2Own-wedstrijd. BeeStation OS is het besturingssysteem dat draait op de BeeStation-NAS-systemen van Synology. Het lek werd gevonden door securitybedrijf Synacktiv, dat op Pwn2Own liet zien hoe een aanvaller met toegang tot het NAS-systeem code met rootrechten kan uitvoeren. Het bedrijf ontving voor de ontdekking een beloning van 40.000 dollar. De kwetsbaarheid is aanwezig in versie 1.0 tot en met 1.3 van BeeStation OS. Het lek krijgt een CVSS-score van 9,8 en is ingeschaald als kritiek. De kwetsbaarheid is verholpen in versie 1.3.2-65648 van BeeStation OS. Synology adviseert gebruikers om zo snel mogelijk te updaten naar deze nieuwste versie. bron: https://www.security.nl

Hotelklanten zijn wereldwijd het doelwit van een phishingcampagne, zo waarschuwt beveiligingsbedrijf Sekoia. Aanvallers maken gebruik van gecompromitteerde Booking.com-accounts van hotels of sturen berichten via WhatsApp. In veel gevallen beschikken ze over persoonlijke gegevens van klanten, zoals identiteitsinformatie of reserveringsdetails. Dit vergroot de geloofwaardigheid van de phishingaanvallen aanzienlijk. Volgens onderzoekers van Sekoia maakt deze campagne deel uit van een bredere operatie waarbij de malware PureRAT wordt verspreid met als doel het stelen van gegevens. De malware is vermoedelijk via e-mails naar hotelsystemen gestuurd, waarbij medewerkers vermoedelijk onbewust via de zogenaamde ClickFix-methode de malware hebben geïnstalleerd. In de e-mail is de huisstijl van Booking.com zorgvuldig nagebootst om de mails geloofwaardiger te laten lijken. Met behulp van de malware zijn vervolgens inloggegevens voor platforms als Booking.com en Expedia buitgemaakt. Deze gestolen gegevens zijn vervolgens online doorverkocht of direct ingezet voor het opzetten van phishingaanvallen op hotelklanten. Door toegang tot de hotelaccount kregen de aanvallers inzicht in de klantgegevens, die vervolgens zijn gebruikt bij de phishingaanvallen. Tijdens deze aanvallen ontvangen klanten een bericht waarin wordt gesteld dat er een probleem is met de betaling of verificatie van hun reservering. De aanvallers dreigen de reservering te annuleren, tenzij de klant zijn gegevens opnieuw bevestigt. Hotelklanten zijn overigens al lange tijd doelwit van phishingmails die zich voordoen als Booking.com. Zo waarschuwde de Fraudehelpdesk begin dit jaar nog voor een toename in het aantal meldingen van dergelijke fraude. Ook Microsoft waarschuwde in maart nog voor een vergelijkbare phishingcampagne waarbij Booking.com-klanten het doelwit zijn. bron: https://www.security.nl

Microsoft verhelpt deze maand meerdere beveiligingslekken, waaronder één kwetsbaarheid die actief wordt misbruikt. Het gaat om een kwetsbaarheid in Windows-kernel (CVE-2025-62215), dat aanvallers de mogelijkheid geeft rechten te verhogen. De ernst van het lek is beoordeeld met een CVSS-score van 7,8. Daarnaast heeft Microsoft verschillende kritieke kwetsbaarheden gedicht. Het gaat onder meer om een heap-based buffer overflow in de Microsoft Graphics Component (CVE-2025-60724), CVSS-score 9,8, die kwaadwillenden de mogelijkheid geeft code uit te voeren via het netwerk. Daarnaast is een ontbrekende autorisatie in Nuance PowerScribe 360 (CVE-2025-30398), CVSS-score 8,1, aangepakt, die aanvallers in staat stelde informatie te stelen via API-calls. Een zogeheten use-after-free-fout in Microsoft Office-applicaties (CVE-2025-62199), CVSS-score 7,8, stelde aanvallers in staat lokaal code uit te voeren op een kwetsbaar werkstation. Ook is een use-after-free-fout in de Windows DirectX Graphics Kernel (CVE-2025-60716), CVSS-score 7,0, gedicht, die het mogelijk maakte rechten te verhogen. Tot slot dicht Microsoft een lek in Visual Studio, waarmee kwaadwillenden lokaal code kunnen uitvoeren (CVE-2025-62214), CVSS-score 6,7. Andere belangrijke beveiligingslekken die zijn gedicht: CVE-2025-59512 – Maakt het ophogen van rechten mogelijk in het Customer Experience Improvement Program CVE-2025-60705 – Maakt het ophogen van rechten mogelijk in de Windows CSC-service CVE-2025-60719 – Maakt het ophogen van rechten mogelijk in de Windows-hulpfunctiedriver voor WinSock CVE-2025-62217 – Maakt het ophogen van rechten mogelijk in de Windows-hulpfunctiedriver voor WinSock CVE-2025-62213 – Maakt het ophogen van rechten mogelijk in de Windows-hulpfunctiedriver voor WinSock Een overzicht van alle verholpen kwetsbaarheden is hier te vinden. bron: https://www.security.nl

SAP dicht een reeks kwetsbaarheden in haar producten. Het gaat onder meer om een drietal kritieke kwetsbaarheden in NetWeaver, SQL Anywhere Monitor en SAP Solution Manager. Het Nationaal Cyber Security Centrum (NCSC) waarschuwt dat de kwetsbaarheden misbruikt kunnen worden om ongeautoriseerde toegang te verkrijgen, schadelijke code uit te voeren of gevoelige informatie uit te lekken. De ernstigste kwetsbaarheid (CVE-2025-42944) zit volgens het NCSC in SAP NetWeaver. Het gaat om een deserialisatie-kwetsbaarheid, die het mogelijk maakt zonder authenticatie op afstand willekeurige code uit te voeren. Daarnaast is ook een kwetsbaarheid in SQL Anywhere Monitor (CVE-2025-42944) als kritiek beoordeeld. De code van de software blijken hardcoded inloggegevens te bevatten, die kwaadwillenden eveneens kunnen gebruiken om ongeautoriseerde toegang te verkrijgen en code uit te voeren op het systeem. Een derde kritieke kwetsbaarheid zit in SAP Solution Manager (CVE-2025-42887), dat aanvallers de mogelijkheid biedt malafide code te injecteren en zo de volledige controle over het systeem over te nemen. De volgende kwetsbaarheden zijn door SAP gedicht: CVE-2025-42890 - CVSS (v4) 9.3 CVE-2025-42944 - CVSS (v4) 9.3 CVE-2025-42887 - CVSS (v4) 8.7 CVE-2025-42940 - CVSS (v4) 6.9 CVE-2025-42895 - CVSS (v4) 4.6 CVE-2025-42892 - CVSS (v4) 8.5 CVE-2025-42894 - CVSS (v4) 8.5 CVE-2025-42884 - CVSS (v4) 6.9 CVE-2025-42924 - CVSS (v4) 5.3 CVE-2025-42893 - CVSS (v4) 5.3 CVE-2025-42886 - CVSS (v4) 5.3 CVE-2025-42885 - CVSS (v4) 6.9 CVE-2025-42888 - CVSS (v4) 4.6 CVE-2025-42889 - CVSS (v4) 5.3 CVE-2025-42919 - CVSS (v4) 6.9 CVE-2025-42897 - CVSS (v4) 6.9 CVE-2025-42899 - CVSS (v4) 5.3 CVE-2025-42882 - CVSS (v4) 5.3 CVE-2025-42883 - CVSS (v4) 5.1 bron: https://www.security.nl

Aan Noord-Korea gelieerde aanvallers verspreiden op grote schaal malafide bestanden vermomd als 'anti-stressprogramma's' via het Zuid-Koreaanse berichtenplatform KakaoTalk. De aanvallers bespioneren slachtoffers en proberen malware te verspreiden om zo Android-apparaten via Google Find Hub op afstand te wissen. De aanvallen zijn het werk van een groep die de KONNI APT-groep wordt genoemd. Dit melden onderzoekers van het Zuid-Koreaanse Genians Security Center (GSC). GSC wijst erop dat de doelwitten en gebruikte infrastructuur van KONNI overeenkomen met die van Kimsuky en APT37, waardoor onderzoekers dit als dezelfde groep aanmerken. De aanvallers doen zich voor als psychologen of Noord-Koreaanse mensenrechtenactivisten en verspreiden remote access tools (RAT's) vermomd als anti-stressprogramma's. De malware is specifiek gericht op Windows-apparaten en in veel gevallen gaat het om een spearphishing-aanval. Eenmaal binnen op het Windows-systeem proberen de aanvallers toegang te krijgen tot onder meer het Google-account van slachtoffers. Met behulp van dat account kunnen zij via Find Hub de realtime locatie van het slachtoffer traceren en het Android-apparaat op afstand wissen of resetten. Op het systeem zoeken de aanvallers tegelijkertijd naar KakaoTalk. Indien het slachtoffers hierop is ingelogd, wordt KakaoTalk gebruikt om de malware naar contactpersonen te verspreiden. De malware wordt direct na het resetten van het Android-apparaat van het slachtoffer naar diens contactpersonen verstuurd. Zo proberen de aanvallers te voorkomen dat het slachtoffer alarm slaat en contactpersonen waarschuwt. Google heeft verklaard dat de aanval geen misbruik maakt van een beveiligingslek in Android of Find Hub. Gebruikers wordt aangeraden om tweestapsverificatie of wachtwoorden in te schakelen om zich te beschermen tegen diefstal van inloggegevens. Gebruikers die een verhoogd risico lopen op gerichte aanvallen vanwege hun identiteit of activiteiten, wordt aangeraden zich aan te melden voor het Advanced Protection Program van Google. bron: https://www.security.nl

Google's Mandiant Threat Defense waarschuwt voor een actief uitgebuit lek (CVE-2025-12480) in Gladinet’s Triofox-platform voor bestandsdeling en toegang op afstand. Het gaat om een kritieke kwetsbaarheid, die het mogelijk maakt authenticatie te omzeilen en toegang te verkrijgen tot de configuratie van het platform. Dit maakt het onder meer mogelijk bestanden te uploaden en uit te voeren. Het lek is inmiddels gedicht. De onderzoekers melden dat het lek zeker sinds 24 augustus actief wordt uitgebuit door een aanvaller die als UNC6485 is geïdentificeerd. De kwetsbaarheid is een maand eerder door Gladinet gedicht in versie 16.7.10368.56560 van het platform. De aanvaller richt zich dus op ongepatchte implementaties van Triofox. De aanvaller gebruikt het lek volgens Mandiant Threat Defense om toegang te verkrijgen tot de configuratiepagina's van Triofox. Hier maakt de aanvaller vervolgens een nieuw beheerdersaccount aan, dat vervolgens wordt gebruikt voor het uploaden en uitvoeren van malafide bestanden. Voor het uitvoeren van de bestanden wordt een installatiewizard voor antivirussoftware ingezet. Deze installatie biedt de mogelijkheid een pad op te geven naar een specifieke antivirus-engine. Door hier het pad naar een malafide bestand op te geven kan dit bestand worden uitgevoerd. Het doel van de aanval is vooralsnog onduidelijk. Mandiant Threat Defense adviseert beheerders installaties van Triofox zo snel mogelijk te updaten naar de nieuwste versie, waarin het lek is gedicht. bron: https://www.security.nl

In negen packages op NuGet zijn malafide payloads ontdekt. De malware bevat een timer die de payloads activeert in 2027 of 2028. De packages zijn gericht op het saboteren van databases en Siemens S7 industriële regelapparatuur. De packages zijn ontdekt door onderzoekers van securitybedrijf Socket. De packages omvatten grotendeels legitieme code en bevatten werkende functionaliteiten. In de code is echter ook een malafide payload van slechts 20 regels code verstopt. Deze payload laadt pas vanaf een ingestelde datum, die per package varieert. De datum ligt tussen 8 augustus 2027 en 29 november 2028. De payload laadt niet standaard maar alleen indien een applicatie een database-query of PLC-taak uitvoert. Wanneer de payload vervolgens laadt, wordt allereerst een willekeurig nummer tussen 1 en 100 gegenereerd. Is dit nummer hoger dan 80 dan wordt het hostproces gestopt en zo een crash veroorzaakt. Met deze werkwijze lijkt de maker zijn sabotageactie te willen vermommen als een connectiviteits- of hardwareproblemen, vermoedelijk om detectie te vermijden. De packages zijn op NuGet gepubliceerd door een ontwikkelaar die zichzelf shanhai666 noemt. Onder deze naam zijn in totaal 12 packages op NuGet gepubliceerd. Negen daarvan omvatten malafide code: agentsSqlUnicorn.Core agentsSqlDbRepository agentsSqlLiteRepository agentsSqlUnicornCoreTest agentsSqlUnicornCore agentsSqlRepository agentsMyDbRepository agentsMCDbRepository agentsSharp7Extend De packages in kwestie zijn inmiddels verwijderd van NuGet; een waarschuwing op de pagina's meldt dat er malware in de packages is aangetroffen. Socket adviseert organisaties er vanuit te gaan dat systemen waarop deze packages geïnstalleerd waren gecompromitteerd zijn en raadt aan maatregelen te nemen. bron: https://www.security.nl

Mozilla neemt in zijn webbrowser Firefox aanvullende maatregelen tegen browser fingerprinting. Deze methode maakt het mogelijk een gebruiker te volgen zonder dat hiervoor cookies nodig zijn. Door meer informatie over het systeem van gebruikers af te schermen wil Mozilla het voor onbevoegden moeilijker maken een gebruiker te volgen. Bij browser fingerprinting wordt een digitale identiteit van een gebruiker gecreëerd door allerlei details over het systeem van de gebruiker te verzamelen. Denk hierbij aan de ingestelde tijdzone en hardwarematige kenmerken. Hierdoor ontstaat een soort vingerafdruk waarmee gebruikers kunnen worden geïdentificeerd wanneer zij een website bezoeken, ook indien zij een nieuwe browsersessie starten. Mozilla meldt dat gebruikers zo maandenlang kunnen worden gevolgd. Mozilla neemt al langer maatregelen om browser fingerprinting tegen te gaan. Naast het blokkeren van trackers gaat het onder meer om het afschermen van gegevens met betrekking tot je systeem, zoals de wijze waarop de GPU afbeeldingen weergeeft en welke lettertypes op een systeem zijn geïnstalleerd. Hier zijn de afgelopen tijd aanvullende maatregelen aan toegevoegd. Denk daarbij aan het afschermen van het aantal cores dat de CPU heeft, het aantal vingers dat een touchscreen gelijktijdig kan registreren en de afmetingen van het dock of de taakbalk. Een overzicht van alle wijzigingen is hier te vinden. bron: https://www.security.nl

Cisco heeft beveiligingsupdates uitgebracht voor een kritieke kwetsbaarheid in Unified Contact Center Express (UCCX) waardoor een ongeauthenticeerde aanvaller op afstand volledige controle over het systeem kan krijgen. UCCX is een oplossing van Cisco waarmee mkb-bedrijven een callcenter kunnen opzetten. De software bevat twee kritieke kwetsbaarheden, aangeduid als CVE-2025-20354 en CVE-2025-20358. De gevaarlijkste kwetsbaarheid van de twee is CVE-2025-20354. Via dit beveiligingslek kan een ongeauthenticeerde aanvaller willekeurige bestanden uploaden en vervolgens willekeurige commando's met rootrechten op de UCCX-server uitvoeren. Volgens Cisco wordt het probleem veroorzaakt door een tekort schietend authenticatiemechanisme. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De anderre kwetsbaarheid, CVE-2025-20358, maakt het mogelijk voor een aanvaller om willekeurige scripts op de UCCX-server uit te voeren met adminrechten. Dit beveiligingslek heeft een impactscore van 9.4 gekregen. Cisco zegt niet bekend te zijn met actief misbruik van de kwetsbaarheden en roept klanten op de beschikbaar gestelde beveiligingsupdates te installeren. bron: https://www.security.nl

Datalekzoekmachine Have I Been Pwned heeft 2 miljard gecompromitteerde e-mailadressen en 1,3 miljard gestolen wachtwoorden aan de al beschikbare data toegevoegd, zo laat oprichter Troy Hunt weten. Het gaat om inloggegevens afkomstig van credential stuffing-lijsten, die werden verzameld en gedeeld door een cybersecuritybedrijf. Bij credential stuffing worden eerder gelekte of gestolen e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven geen maatregelen tegen dergelijke geautomatiseerde aanvallen nemen. Cybersecuritybedrijf Synthient vond op internet meerdere lijsten die criminelen voor het uitvoeren van credential stuffing-aanvallen gebruiken. Het bedrijf deelde de lijsten met Have I Been Pwned. Via de zoekmachine kunnen mensen kijken of hun e-mailadres in een bekend datalek voorkomt of op andere wijze is gecompromitteerd, bijvoorbeeld door malware. In totaal bleken de lijsten bijna 2 miljard gecompromitteerde e-mailaccounts te bevatten en 1,3 miljard gestolen wachtwoorden. De bijna 2 miljard e-mailadressen zijn toegevoegd aan Have I Been Pwned. 76 procent van de e-mailadressen was al bij de datalekzoekmachine bekend. Naast de zoekmachine biedt Have I Been Pwned ook een dataset genaamd Pwned Passwords. Dit is een verzameling van wachtwoorden en wachtwoordhashes die in datalekken voorkomen. Beheerders kunnen bijvoorbeeld via de wachtwoordhashes kijken of die overeenkomen met de wachtwoordhashes in hun omgeving. Van de 1,3 miljard gestolen wachtwoorden waren er 625 miljoen nog niet bekend. bron: https://www.security.nl

WordPress-sites zijn het doelwit van aanvallen waarbij misbruik wordt gemaakt van een kritieke kwetsbaarheid in het Jobmonster Theme, zo laat securitybedrijf Wordfence weten. Via dit theme is een WordPress-website eenvoudig in een vacaturesite te veranderen. Volgens de ontwikkelaars is het theme ruim vijfduizend keer verkocht. De software bevat een kwetsbaarheid in de inlogfunctie, waardoor de identiteit van een gebruiker die wil inloggen niet goed wordt geverifieerd. Via het beveiligingslek kan een ongeauthenticeerde aanvaller de authenticatie omzeilen en toegang tot administrator- en gebruikersaccounts krijgen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De ontwikkelaars kwamen op 18 september met een update, maar in de release notes wordt nergens de aanwezigheid van het beveiligingslek gemeld. Wordfence waarschuwt dat aanvallers inmiddels actief misbruik van het lek maken. Misbruik van de kwetsbaarheid vereist wel dat de optie 'social login' staat ingeschakeld. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in CentOS Web Panel, ook bekend als CWP of Control Web Panel, zo meldt het Amerikaanse cyberagentschap CISA. CWP is een webhosting control panel voor het beheren van op Centos-gebaseerde servers. Een kritieke kwetsbaarheid in de software (CVE-2025-48703) maakt remote code execution door een ongeauthenticeerde aanvaller mogelijk. Enige vereiste is dat de aanvaller een geldige non-root gebruikersnaam weet. De impact van de command injection-kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.0. Afgelopen juni verscheen versie 0.9.8.1205 waarin het probleem is verholpen. De onderzoeker die de kwetsbaarheid ontdekte en rapporteerde stelt dat er afgelopen mei meer dan 200.000 CWP-installaties via zoekmachine Shodan.io op internet waren te vinden. Volgens het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security maken aanvallers actief misbruik van het beveiligingslek. Details over de aanvallen zijn niet gegeven. In juli maakten CWP-gebruikers al melding van misbruik. Amerikaanse overheidsinstanties die van CWP gebruikmaken zijn opgedragen de beveiligingsupdate voor 25 november te installeren. bron: https://www.security.nl

Wereldwijd zijn ruim veertienduizend Cisco-routers en -switches, waaronder 129 in Nederland, geïnfecteerd met de Badcandy-backdoor, zo stelt The Shadowserver Foundation op basis van eigen onderzoek. De Australische overheid kwam vorige week met een waarschuwing voor de backdoor, die via een uit 2023 stammende kwetsbaarheid op apparaten wordt geïnstalleerd. Hoewel de backdoor al geruime tijd bekend is, zijn er nog tal van Cisco-apparaten die ermee besmet zijn. Het beveiligingslek, aangeduid als CVE-2023-20198, bevindt zich in de web user interface van IOS XE, het besturingssysteem dat op routers en switches van Cisco draait. Via de kwetsbaarheid kan een ongeauthenticeerde aanvaller een account met 'privilege 15' aanmaken en zo controle over het systeem krijgen. Het probleem raakt zowel fysieke als virtuele devices die IOS XE draaien. De impact van CVE-2023-20198 is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Zodra de aanvallers achter de Badcandy-backdoor toegang tot een router of switch hebben installeren ze niet alleen de backdoor, maar patchen ook de kwetsbaarheid CVE-2023-20198. Zowel de backdoor als toegepaste patch kunnen een reboot van het apparaat niet overleven. Aanvallers kunnen echter via gestolen inloggegevens of andere kwetsbaarheden wel toegang tot een gecompromitteerd device behouden. The Shadowserver Foundation is een stichting die onderzoek doet naar kwetsbare systemen op interne en voert sinds de ontdekking van Badcandy scans uit naar gebackdoorde Cisco-apparaten. De afgelopen drie maanden lag het hoogtepunt op achttienduizend besmette routers en switches. Dat is inmiddels naar ruim veertienduizend gedaald. Daarvan bevinden zich er 129 in Nederland. Het grootste aantal werd in Mexico en de Verenigde Staten waargenomen. bron: https://www.security.nl

WordPress-sites worden actief aangevallen via een kritieke kwetsbaarheid in de plug-in Post SMTP. Een beveiligingsupdate is sinds een aantal dagen beschikbaar, maar zo'n tweehonderdduizend websites hebben die niet geïnstalleerd. Post SMTP is een plug-in waarmee het mogelijk is om een SMTP-mailer in WordPress in te stellen voor het versturen van e-mail. Meer dan 400.000 websites op internet maken er gebruik van. De kwetsbaarheid in de plug-in (CVE-2025-11833) zorgt ervoor dat een ongeauthenticeerde aanvaller op afstand elke gelogde e-mail kan lezen, waaronder e-mails met een link voor het resetten van wachtwoorden. Een aanvaller kan zo eerst een wachtwoordreset voor de administrator van de website aanvragen en vervolgens de verstuurde e-mail in de logbestanden lezen. Met de resetlink kan de aanvaller vervolgens een ander wachtwoord voor het admin-account instellen en zo de website overnemen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De ontwikkelaars van de plug-in kwamen op 29 oktober met een beveiligingsupdate. Volgens cybersecuritybedrijf Wordfence maken aanvallers sinds 1 november misbruik van het beveiligingslek. Cijfers van WordPress.org laten zien dat zo'n tweehonderdduizend websites de update nog niet hebben geïnstalleerd. bron: https://www.security.nl

Online leeftijdsverificatie dat in steeds meer landen verplicht wordt om websites te kunnen bezoeken is in werkelijkheid identiteitsverificatie, zo stelt de Amerikaanse burgerrechtenbeweging EFF. De beweging vindt dat politici die voor leeftijdsverificatie zijn niet weten hoe de technologie werkt. In verschillende landen moeten gebruikers inmiddels hun leeftijd laten verifiëren voor het bezoeken van allerlei soorten websites. Naast de term leeftijdsverificatie worden ook termen als "age assurance", "age gating" en "age estimation" gebruikt. Bij age estimation moeten gebruikers bijvoorbeeld hun gezicht laten scannen, waarbij een algoritme vervolgens bepaalt of de gebruiker de minimaal verplichte leeftijd heeft. In het geval van age assurance gaat het om alle manieren waarmee een online dienst "met enig vertrouwen" kan bepalen hoe oud een gebruiker is. Leeftijdsverificatie is volgens de EFF de meest indringende maatregel, waarbij gebruikers moeten bewijzen dat ze een bepaalde leeftijd hebben, in plaats van dat ze een bepaalde leeftijdsgrens hebben gepasseerd, zoals 18 jaar, legt de burgerrechtenbeweging uit. Verschillende landen en Amerikaanse staten verplichten in hun wetgeving nu leeftijdsverificatie, terwijl ze spreken over "age assurance". De EFF benadrukt dat leeftijdsverificatie niet alleen bevestigt dat iemand ouder is dan 18 jaar, het onthult ook de volledige identiteit van de gebruiker. "Je naam, adres, geboortedatum, foto - alles." Volgens de burgerrechtenbeweging is het belangrijk dat mensen beseffen dat leeftijdsverificatie eigenlijk identiteitsverificatie is. "Je bewijst niet alleen hoe oud je bent, je bewijst precies wie je bent." Massasurveillance Volgens de EFF zijn politici en techbedrijven er dol op om termen zoals "age gating", "age estimation" en "age assurance" door elkaar te gebruiken, omdat het verhult wat ze eigenlijk voorstellen. Een wet die "age assurance" verplicht klinkt redelijk en gematigd. "Maar als de wet age assurance omschrijft als verplicht verificatie via een legitimatiebewijs is het helemaal niet gematigd - het is massasurveillance", merkt de burgerrechtenbeweging op. Hetzelfde doet zich voor bij "age estimation". Dat klinkt in theorie privacyvriendelijk, maar als het algoritme er naast zit en de gebruiker wordt gedwongen om zich via een legitimatiebewijs te identificeren dan verdampt die privacybelofte, gaat de EFF verder. "De meeste beleidsmakers die deze voorstellen doen hebben geen idee hoe deze technologie eigenlijk werkt", zo stelt de EFF. "Ze lijken niet eens te beseffen dat de termen die ze gebruiken verschillende dingen betekenen." Door zaken als "age assurance", "age verification" en "age estimation" door elkaar te gebruiken maken ze hun onwetendheid op pijnlijke wijze duidelijk, merkt de burgerrechtenbeweging op. Afsluitend waarschuwt de EFF dat woorden belangrijk zijn, omdat het bepaalt hoe we over deze systemen denken. "Assurance" klinkt gemoedelijk. "Verificatie" klinkt officieel en "estimation" klinkt technisch en onpersoonlijk, en dat het niet precies is. "Maar bij alle opties wordt data verzameld en een metafysische leeftijdspoort tot het internet. De terminologie is bewust verwarrend, maar de belangen zijn duidelijk: het is jouw privacy, jouw data, en jouw mogelijkheid om het internet zonder continue identiteitscontroles te gebruiken. Laat onduidelijke taal niet verhullen wat deze systemen eigenlijk doen", besluit de Amerikaanse burgerrechtenbeweging haar pleidooi. bron: https://www.security.nl