Captain Kirk

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in verschillende Sitecore-producten, zo waarschuwt securitybedrijf Mandiant. Sitecore roept kwetsbare klanten op om verschillende maatregelen te nemen en systemen op verdacht gedrag te controleren. Het probleem (CVE-2025-53690) speelt in Site Experience Platform (XP), Experience Manager (XM), Experience Commerce (XC) en Managed Cloud. Sitecore Experience Platform is een populair contentmanagementsysteem onder grote bedrijven waaronder de Fortune 500. De verschillende Sitecore-producten maken gebruik van machine keys om de informatie te beschermen die tussen gebruikers van een website en de webserver wordt uitgewisseld en de integriteit van gegevens te beschermen. Aanvallers maken misbruik van het feit dat verschillende Sitecore-installaties gebruikmaken van een "sample machine key" die in publiek beschikbare handleidingen staat vermeld. Met deze key kan een aanvaller willekeurige code op kwetsbare servers uitvoeren. Mandiant ontdekte een aanval waarbij aanvallers met de key een server wisten te compromitteren. Vervolgens installeerden de aanvallers malware en tools om toegang tot het systeem te behouden en zich lateraal door het netwerk van de aangevallen organisatie te bewegen. Het stelen van data zou het uiteindelijke doel zijn geweest. Sitecore liet Mandiant weten dat nieuwe installaties van de software automatisch een unieke machine key genereren en dat getroffen klanten zijn ingelicht. De softwareontwikkelaar adviseert klanten met kwetsbare installaties om hun omgeving op verdacht gedrag te controleren, machine keys te roteren en toegang tot een belangrijk configuratiebestand te beperken. bron: https://www.security.nl

Webshop Shein heeft wegens het illegaal plaatsen van trackingcookies van de Franse privacytoezichthouder CNIL een boete van 150 miljoen euro gekregen. Volgens CNIL ging Shein op meerdere punten de fout in. Zo werden trackingcookies zonder toestemming geplaatst, werden keuzes van gebruikers niet gerespecteerd en werden gebruikers niet adequaat geïnformeerd. Zo gebruikte Shein twee cookiebanners, maar beide waren onvolledig, aldus de Franse privacytoezichthouder. Zo ontbrak informatie over het doel van de tracking. Wanneer gebruikers voor de optie kozen om alle cookies te weigeren of eerder gegeven toestemming introkken, werden nieuwe trackingcookies gewoon geplaatst en al eerder geplaatste trackingcookies nog steeds gebruikt. Bij de hoogte van de boete hield CNIL rekening met het grote aantal gebruikers van Shein in Frankrijk, alsmede het feit dat het de afgelopen jaren allerlei bedrijven voor dezelfde overtredingen heeft beboet. Shein heeft inmiddels aanpassingen doorgevoerd waardoor het de wet niet meer overtreedt. bron: https://www.security.nl

De Franse privacytoezichthouder CNIL heeft Google een boete van in totaal 325 miljoen euro opgelegd wegens het tonen van ongevraagde advertenties in de inboxes van Gmail-gebruikers die eruit zagen als e-mails, alsmede het niet hebben van geïnformeerde toestemming voor het plaatsen van trackingcookies en dat het weigeren van deze cookies lastiger was dan het accepteren ervan. Alphabet, het moederbedrijf van Google, had vorig jaar een omzet van 350 miljard dollar. Privacyorganisatie noyb had bij de Franse toezichthouder een klacht over de advertentiemails van Google ingediend. "Commerciële e-mails die direct naar gebruikers worden gestuurd zijn direct marketing en vallen onder de ePrivacy Verordening. Dit houdt in dat bedrijven toestemming moeten hebben", aldus noyb. "Google probeerde commerciële e-mails stiekem in de inboxes van Gmail-gebruikers te krijgen. Dat is alleen toegestaan als je toestemming hebt, een feit dat CNIL nu heeft bevestigd", zegt privacy-activist en noyb-oprichter Max Schrems. Daarnaast werd Google beboet omdat het tot oktober 2023 bij het aanmaken van een Google-account lastiger was om trackingcookies te weigeren dan te accepteren. Gebruikers werden tijdens de accountregistratie ook niet adequaat over de tracking ingelicht, waardoor er volgens de toezichthouder geen geïnformeerde toestemming werd verkregen. In oktober 2023 voegde Google een knop toe zodat het weigeren en accepteren van trackingcookies even eenvoudig werd. Het probleem met betrekking tot geïnformeerde toestemming bleef echter bestaan, aldus CNIL. Naast de boete moet Google binnen zes maanden ervoor zorgen dat advertenties tussen de e-mails van Gmail-gebruikers alleen met voorafgaande toestemming worden weergegeven. Daarnaast moet Google bij het aanmaken van een Google-account geldige toestemming van gebruikers krijgen voor het plaatsen van trackingcookies. Als het bedrijf zich hier niet aan houdt moet het 100.000 euro per dag betalen. Bij het opleggen van de boete en hoogte daarvan hield de toezichthouder ook rekening met het feit dat het Google wegens overtredingen met trackingcookies in 2020 en 2021 al eens had beboet. bron: https://www.security.nl

TP-Link waarschuwt voor een botnet dat verschillende kwetsbaarheden gebruikt om kwetsbare routers te infecteren, die vervolgens worden gebruikt voor het aanvallen van Microsoft 365-accounts. De beveiligingslekken zijn aanwezig in de Archer C7 en TL-WR841N/ND routers, maar mogelijk zijn ook andere modellen kwetsbaar. De genoemde routermodellen zijn end-of-life, maar TP-Link heeft toch firmware-updates uitgebracht om de problemen te verhelpen. De eerste misbruikte kwetsbaarheid (CVE-2023-50224) maakt het mogelijk voor ongeauthenticeerde aanvallers om op afstand inloggegevens te stelen, waarmee vervolgens op de router kan worden ingelogd. Eenmaal ingelogd gebruikt de aanvaller een tweede kwetsbaarheid (CVE-2025-9377) in de ouderlijk toezichtspagina van de router waardoor remote code execution op het apparaat mogelijk is. Aanvallers maken de routers zo onderdeel van het botnet. Routers in het "Quad 7" botnet worden ingezet voor password spraying-aanvallen tegen Microsoft 365-accounts. Password spraying is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen gebruikt een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Vorig jaar kwam Microsoft met een waarschuwing voor het botnet. Toen was nog niet bekend welke kwetsbaarheden er werden gebruikt. Het techbedrijf stelde ook dat de aanvallen via het botnet lastig zijn te detecteren, omdat het over duizenden ip-adressen van thuisgebruikers en kleine bedrijven beschikt. TP-Link roept eigenaren van de routermodellen op om de firmware te installeren of naar een wel ondersteunde router over te stappen. Daarnaast zegt de routerfabrikant onderzoek te doen naar onbevestigde berichten van andere kwetsbare modellen. Het Amerikaanse cyberagentschap CISA heeft ook een waarschuwing voor de twee kwetsbaarheden gegeven. bron: https://www.security.nl

Cloudflare heeft van een onbekend aantal klanten gegevens gelekt, waaronder tokens. De data werd uit de Salesforce-omgeving van het internetbedrijf gestolen. Salesforce is een veelgebruikte leverancier van Customer Relationship Management (CRM) software. Cloudlfare zegt dat het Salesforce gebruikt om te zien wie klanten zijn en hoe die de diensten van het bedrijf gebruiken. Daarnaast wordt het als supporttool ingezet om klanten te ondersteunen. Cloudflare had de Salesforce-omgeving gekoppeld met de chatbot Drift van softwarebedrijf Salesloft. Informatie verzameld via Drift kan vervolgens in Salesforce beschikbaar worden gemaakt. Criminelen wisten bij Salesloft in te breken en de tokens te stelen die worden gebruikt voor de koppeling tussen Drift en de omgevingen van klanten. Met de gestolen tokens kon zo ook worden ingebroken op de Salesforce-omgeving van Cloudflare. De aanvaller maakte volgens Cloudflare tussen 12 en 17 augustus data uit de Salesforce-omgeving buit. De meeste informatie bestaat uit contactgegevens van klanten en informatie over support aan klanten. Een deel van de supportgegevens kan gevoelige informatie bevatten, bijvoorbeeld informatie over configuraties en access tokens, aldus Cloudflare. Het internetbedrijf deed onderzoek naar het datalek en ontdekte dat de aanvaller 104 Cloudflare API tokens had buitgemaakt. Cloudflare stelt dat klanten alle gegevens die ze via het supportsysteem hebben gedeeld, waaronder logbestanden, tokens en wachtwoorden, als gecompromitteerd moeten beschouwen. Alle met Cloudflare gedeelde inloggegevens moeten dan ook worden gewijzigd, adviseert het internetbedrijf. Het staat vast dat in ieder geval het onderwerp van supportverzoeken, de inhoud van het supportverzoek, waaronder door de klant verstrekte informatie, en contactgegevens, zoals bedrijfsnaam, e-mailadres en telefoonnummer, zijn buitgemaakt. "We denken dat dit incident geen losstaande gebeurtenis is, maar dat de aanvaller inloggegevens en klantinformatie voor toekomstige aanvallen wilde verzamelen. Gegeven dat honderden organisaties via de Drift-aanval zijn getroffen, denken we dat de aanvaller deze informatie voor gerichte aanvallen zal gebruiken tegen klanten van de getroffen organisaties", waarschuwt Cloudflare. Het bedrijft zegt alle getroffen klanten te hebben ingelicht. Om hoeveel organisaties het gaat is niet bekendgemaakt. Google waarschuwde eind augustus dat de aanvallers via de Drift-aanval grote hoeveelheden data uit Salesforce-omgevingen hebben buitgemaakt. Eerder lieten ook securitybedrijven Zscaler en Palo Alto Networks weten dat bij de aanval klantgegevens uit hun Salesforce-omgevingen zijn gestolen. bron: https://www.security.nl

Berichtgeving over een groot beveiligingsprobleem met Gmail waarvoor Google een wereldwijde waarschuwing aan gebruikers zou hebben gegeven klopt niet, aldus het techbedrijf. Vorige week waarschuwde Google dat aanvallers van een "zeer klein aantal" Google Workspace-accounts e-mails hadden gestolen. Het ging daarbij om zakelijke gebruikers die hun account hadden gekoppeld met Salesloft Drift. Om hoeveel gebruikers het precies ging liet Google niet weten. Criminelen wisten in te breken bij softwarebedrijf Salesloft en konden zo tokens van Drift-gebruikers stelen. Drift is een chatbot die met allerlei applicaties en omgevingen is te koppelen. Met de gestolen tokens konden de criminelen ook toegang tot deze applicaties en omgevingen krijgen. Naast Workspace ging het ook om Salesforce. Verschillende media kwamen met het bericht dat Google naar aanleiding van het incident een wereldwijde waarschuwing aan Gmail-gebruikers had gegeven om hun wachtwoord te wijzigen. "Recentelijk zijn er verschillende onjuiste beweringen verschenen die ten onrechte beweren dat we een brede waarschuwing aan alle Gmail-gebruikers hebben gegeven over een groot beveiligingsprobleem met Gmail. Dit is volledig onjuist", aldus het techbedrijf in een verklaring op de eigen website. Volgens Google is security voor iedereen een belangrijk onderwerp en moeten gesprekken hierover "nauwkeurig en op feiten gebaseerd" zijn. bron: https://www.security.nl

Aanvallers maken gebruik van malafide Cloudflare-captcha's om toegang tot Microsoft 365-accounts te krijgen, zo laat Amazon weten. De aanval bestaat uit verschillende stappen, waarbij de aanvallers als eerste legitieme websites compromitteren. Welke websites dit zijn wordt niet door Amazon gemeld. Vervolgens voegen de aanvallers JavaScript aan de gecompromitteerde website toe. Deze code stuurt een deel van de bezoekers door naar een site van de aanvallers. Deze site doet zich voor als Cloudflare-captcha en stelt dat de bezoeker eerst een bepaalde actie moet uitvoeren om toegang tot de achterliggende website te krijgen. De uit te voeren actie is een Microsoft 'device code authentication workflow', aldus Amazon. Microsoft biedt device code authentication voor apparaten met beperkte invoermogelijkheden, zoals bijvoorbeeld smart-tv's, internet of things-apparaten en printers. Een gebruiker moet hiervoor een aparte code door Microsoft laten genereren en die vervolgens bij het inloggen opgeven. Microsoft zal dan een token genereren waarmee het 'invoer beperkte' apparaat kan inloggen. Bij de aanvallen zijn het echter de aanvallers die een device code genereren. Ze proberen het slachtoffer dan deze code tijdens het inloggen op zijn M365-account in te laten voeren. Microsoft genereert dan een token voor het apparaat dat de device code had opgevraagd, dat de aanvallers vervolgens ontvangen. De aanvallers gebruiken dit token om op het Microsoft-account van het slachtoffer in te loggen. Begin dit jaar waarschuwde ook Microsoft voor dergelijke aanvallen. Volgens Amazon zijn de aanvallen het werk van een aan Rusland gelieerde groep genaamd APT29. Amazon adviseert internetgebruikers om alert te zijn op verdachte redirects, met name die zich voordoen als captcha of "security verification" pagina's. bron: https://www.security.nl

Securitybedrijf Zscaler heeft de gegevens van een onbekend aantal klanten gelekt en waarschuwt hen nu voor mogelijke phishing- en social engineering-aanvallen. De gelekte data bestaat uit namen, zakelijke e-mailadressen, functietitels, telefoonnummers, regionale/locatiedetails, licentie en commerciële informatie en de inhoud van bepaalde support cases. Het gaat om gegevens die Zscaler in Salesforce had opgeslagen en via een incident bij Salesloft konden worden gestolen. Salesforce is een veelgebruikte leverancier van Customer Relationship Management (CRM) software. Via CRM-systemen houden bedrijven allerlei informatie over klanten en potentiële klanten bij. Salesloft biedt een chatapplicatie genaamd Drift die met Salesforce is te integreren. Informatie verzameld via Drift kan vervolgens in Salesforce beschikbaar worden gemaakt. Aanvallers wisten bij Salesloft in te breken en tokens van klanten te stelen waarmee er onder andere toegang tot hun Salesforce-omgevingen en andere systemen kon worden verkregen. De tokens worden gebruikt voor de koppeling tussen Drift en Salesforce. Google stelde eerder dat de aanvallers op deze manier grote hoeveelheden data hebben buitgemaakt. Volgens Zscaler blijkt uit onderzoek dat de aanvallers de gestolen tokens hebben gebruikt om toegang tot de Salesforce-omgeving van het securitybedrijf te krijgen. Naar aanleiding van het datalek waarschuwt Zscaler klanten om extra alert te zijn op phishingaanvallen of social engineering waarbij de gelekte data kan worden gebruikt. Onlangs waarschuwde Google ook dat aanvallers via de Salesloft-aanval toegang tot Workspace-accounts hebben gekregen. bron: https://www.security.nl

De Fraudehelpdesk waarschuwt voor malafide e-mails die van ABN Amro afkomstig lijken, maar in werkelijkheid ontvangers met malware proberen te infecteren. Meestal bericht de Fraudehelpdesk over phishingmails die proberen om inloggegevens en andere informatie van slachtoffers te stelen. Dat is bij de e-mails die nu worden verstuurd anders. Volgens de phishingberichten moet de ontvanger zijn gegevens bijwerken. "Om uw gegevens bij te werken moet u op een link klikken. Doe dit niet! Wie op de link klikt, installeert schadelijke software (malware) op zijn/haar computer of telefoon. Deze malware zorgt ervoor dat anderen toegang kunnen krijgen tot uw (bank)gegevens", aldus de Fraudehelpdesk. Verdere details over de malware of infectiemethode worden niet gegeven. Security.NL heeft om aanvullende informatie gevraagd. Mensen die de link hebben geopend wordt aangeraden de internetverbinding te verbreken en de computer of telefoon door een expert te laten nakijken. "Doe geen bankzaken op uw computer of telefoon totdat die is nagekeken. Als uw computer/telefoon weer veilig verklaard is, verander dan al uw wachtwoorden", zo luidt het advies. bron: https://www.security.nl

Beste Bas15, Ik weet niet of je probleem al is opgelost. Ik was zelf even van wat vrije weken aan het genieten. Als eerste over de druk van de naald. Die verschilt per naald. Op de verpakking staat aangegeven hoe groot de druk mag zijn. Dat mag wel wat lichter afgesteld worden maar niet zwaarder. Het contragewicht moet dan op dezelfde druk afgesteld worden. Hierna pas je de skating in. Maar dit heeft de Lenco L85 niet. Ik begrijp tussen de regels door dat je weet hoe dit moet. Zo niet, hoor ik dat wel en help ik je erbij. Jouw probleem lijkt mij of te zitten in de mechanica van de arm of de drive-belt. Ik zou je aanraden de Lenco open te maken en alles even voorzichtig met een kwastje of busje perslucht schoon maken. Kijk ook of ergens een stofpropje zit wat het loopwerk belemmerd. Wanneer deze open is, controleer dan ook of de belt nog genoeg onder spanning staat en het aandrijfwieltje en de draaischijf niet door de loop der jaren wat vettig zijn geworden. Eventueel kun je deze met een doekje schoon maken en eventueel de belt vervangen. Terwijl je bezig bent kun je gezellig naar dit station luisteren: Just Your Music Station 😁

Een aanvaller heeft een verlopen domeinnaam van een keyboard-app geregistreerd en vervolgens gebruikt voor het verspreiden van malafide updates onder gebruikers. Dat laat antivirusbedrijf Trend Micro in een analyse weten. Het gaat om Sogou Zhuyin, een input method editor (IME). De software, oorspronkelijk bedoeld voor gebruikers in Taiwan, biedt verschillende manieren voor het invoeren van Chinese karakters op Windowscomputers. In 2019 stopte de support van de software. Afgelopen oktober wisten aanvallers de verlopen domeinnaam van Sogou Zhuyin te registreren. Daarnaast wisten ze ook de updateserver over te nemen, aldus Trend Micro. Een maand later werden malafide updates onder gebruikers van de software uitgerold. Begin dit jaar wordt de officiële installer via de geregistreerde domeinnaam aangeboden, die na installatie ook de malafide updates ontvangt. Volgens Trend Micro worden via de malafide updates verschillende soorten malware verspreid, zoals remote access tools, information stealers die allerlei bestanden stelen en backdoors. Inmiddels zouden honderden gebruikers van de software besmet zijn geraakt, zo stellen de onderzoekers. Die voegen toe dat de aanvallers vooral naar "waardevolle" doelwitten zoeken en er bij de meeste besmette systemen geen verdere activiteiten zijn waargenomen. Trend Micro adviseert organisaties en gebruikers om hun systemen op end-of-support software te controleren en dergelijke applicaties te verwijderen of vervangen. bron: https://www.security.nl

Softwarebedrijf Click Studios heeft een kwetsbaarheid in de wachtwoordmanager Passwordstate gedicht waardoor een aanvaller de authenticatie kan omzeilen. Via het beveiligingslek kan een aanvaller toegang tot de "Administration section" verkrijgen, waar beheerders belangrijke instellingen, configuraties en gebruikersaccounts kunnen beheren. Een CVE-nummer is nog niet bekend. Gebruikers worden opgeroepen om naar Build 9972 te updaten. Volgens Click Studios doet het probleem zich voor bij de Emergency Access pagina van de wachtwoordmanager. Via het ingebouwde Emergency Access account, dat over ‘Security Administrator’ rechten beschikt, kan er worden ingelogd op Passwordstate wanneer andere accounts niet te gebruiken zijn. Door een speciaal geprepareerde url op de Emergency Access pagina in te voeren kan er toegang worden verkregen tot de Administration section van de wachtwoordmanager, aldus een zeer korte beschrijving van Click Studios. Verdere details zijn niet bekendgemaakt. bron: https://www.security.nl

Een groep criminelen die eerder ransomware-aanvallen op on-premises omgevingen uitvoerde heeft het nu voorzien op cloudomgevingen, waarbij alle data van de getroffen organisatie eerst wordt gestolen en daarna verwijderd, zo laat Microsoft weten. Vervolgens moeten slachtoffers losgeld betalen om hun data terug te krijgen. In een uitgebreide analyse van de aanval, uitgevoerd door een groep criminelen die Microsoft Storm-0501 noemt, beschrijft het techbedrijf hoe de aanvallers via de on-premises omgeving toegang tot de cloudomgeving weten te krijgen. Daar wordt onder andere een backdoor toegevoegd in de vorm van een federated domain, waardoor de aanvallers als bijna elke gebruiker kunnen inloggen. Nadat de aanvallers de controle over de Azure-cloudomgeving van het bedrijf hebben brengen ze de belangrijke data stores met gevoelige gegevens in kaart, alsmede de locaties met back-ups van on-premises en cloud endpoint devices. Vervolgens worden de gevoelige gegevens gestolen, waarna de aanvallers de Azure resources met de data van het bedrijf verwijderen. Voor een aantal resources bleek het niet mogelijk om die te verwijderen, waarna de aanvallers probeerden om die via de encryptiefeature van Azure te versleutelen. Vervolgens verwijderden de aanvallers de key, maar Microsoft merkt op dat hiervoor een soft-delete van 90 dagen geldt, waardoor het bedrijf de key alsnog kon achterhalen en het versleutelen van de cloudbestanden voor losgeld mislukte. Na het stelen en verwijderen van de gegevens binnen de Azure-omgeving werd het niet nader genoemde bedrijf via Microsoft Teams door de aanvallers benaderd, die vervolgens losgeld eisten. Of er ook losgeld is betaald laat Microsoft niet weten. In de analyse doet het techbedrijf ook verschillende aanbevelingen voor het beveiligen van cloud-identiteiten en resources. bron: https://www.security.nl

De Windowsversie van Microsoft Word bewaart nieuwe bestanden voortaan automatisch in de cloud, zo heeft het techbedrijf in een blogposting aangekondigd. "We moderniseren de manier waarop bestanden in Word voor Windows worden gemaakt en opslagen. Nu hoef je je niet meer druk te maken over het opslaan van documenten: Alles wat je nieuw maakt wordt automatisch in OneDrive of de door jou gekozen cloudbestemming opgeslagen", zegt Microsofts Raul Munoz. Soortgelijke functionaliteit wordt later dit jaar ook aan Excel voor Windows en PowerPoint voor Windows toegevoegd. Gebruikers hebben wel de optie om het automatisch opslaan van bestanden in de cloud uit te schakelen of tijdens het opslaan een andere locatie te kiezen. De optie is nu beschikbaar in Word voor Windows versie 2509 (Build 19221.20000) en nieuwer. bron: https://www.security.nl

Inlichtingendiensten uit allerlei landen, waaronder ook Nederland, hebben vandaag telecombedrijven, internetproviders en andere bedrijven gewaarschuwd voor gehackte routers. Verschillende door de Chinese overheid gesponsorde groepen zouden achter de aanvallen zitten, aldus de AIVD, MIVD en andere inlichtingendiensten en cyberagentschappen uit Australië, Canada, Nieuw-Zeeland, Verenigd Koninkrijk, Verenigde Staten, Tsjechië, Finland, Duitsland, Italië, Japan, Polen en Spanje. Volgens de diensten hebben de aanvallers het voorzien op backbone routers van grote telecomproviders, alsmede provider edge (PE) en customer edge (CE) routers. Om toegang tot de routers te krijgen maken de aanvallers gebruik van bekende kwetsbaarheden in Ivanti Connect Secure, Palo Alto Networks PAN-OS en Cisco IOS. De diensten vermoeden echter dat ook andere apparaten, zoals Fortinet firewalls, Juniper firewalls, Microsoft Exchange servers, Nokia routers en switches, Sierra Wireless devices en Sonicwall firewalls het doelwit zijn. Er zijn geen aanwijzingen gevonden dat bij de aanvallen misbruik is gemaakt van zerodaylekken. De aanvallers proberen via de gecompromitteerde routers achterliggende netwerken te compromitteren en verkeer op te slaan, zo laat de waarschuwing weten. Daarnaast wijzigen de aanvallers Access Control Lists en voegen ip-adressen toe, worden standaard en niet-standaard poorten voor allerlei diensten (SSH, RDP en SFTP) opengezet, wordt de webinterface ingeschakeld of geherconfigureerd om op andere poorten te draaien en schakelen de aanvallers op Cisco-apparaten de HTTP/HTTPS-server in. In de waarschuwing geven de inlichtingendiensten ook Indicators of Compromise (IoC's) waarmee organisaties kunnen kijken of hun systemen zijn gecompromitteerd. Ook wordt "threat hunting" advies gegeven voor het detecteren van aanvallers, zoals het monitoren van configuratieaanpassingen, gevirtualiseerde containers, netwerkservices en -tunnels, firmware en logbestanden. Als laatste volgen aanbevelingen en hardening maatregelen, waaronder het uitschakelen van telnet, het implementeren van logging en uitschakelen van de Cisco Smart Install feature. bron: https://www.security.nl

Aanvallers maken gebruik van het contactformulier dat bedrijven op hun websites hebben staan voor het uitvoeren van phishingaanvallen. Dat laat securitybedrijf Check Point in een analyse weten. Door het gebruik van het contactformulier wordt de normale "phishing flow", waarbij de aanvaller het doelwit een e-mail stuurt, omgedraaid. Het is nu het doelwit dat de aanvaller benadert. Voor de aanval hebben de aanvallers verschillende zakelijk ogende domeinen geregistreerd. Vervolgens laten ze via het contactformulier van het aangevallen bedrijf een e-mailadres achter, waarna het bedrijf de e-mailcorrespondentie start. Volgens de onderzoekers blijven de aanvallers één tot twee weken met het bedrijf communiceren voordat ze een link naar een zip-bestand versturen. Het zou zogenaamd om een Non-Disclosure Agreement (NDA) gaan. Dit zip-bestand bevat weer .lnk-bestand dat uiteindelijk een backdoor installeert. Om doelwitten niets te laten vermoeden krijgen die als afleidingsmanoeuvre een echt NDA-document te zien. Volgens Check Point hebben de aanvallers het vooral voorzien op industriële productiebedrijven, maar ook op hardware- en halfgeleiderfabrikanten, leveranciers van consumentengoederen en diensten en biotech- en farmaceutische bedrijven. Dat ook elektronica-, luchtvaart- en energiebedrijven doelwit zijn, naast meer traditionele industriële doelwitten, laat volgens de onderzoekers zien dat de aanvallers het hebben gemunt op organisaties met waardevolle proprietary data, sterke leveranciersnetwerken of te misbruiken infrastructuur. bron: https://www.security.nl

Google heeft belangrijke beveiligingsupdates voor Chrome uitgebracht die een kritieke kwetsbaarheid verhelpen waardoor remote code execution mogelijk is. Een gebruiker hoeft alleen een gecompromitteerde of besmette website te bezoeken of een besmette advertentie te zien krijgen om bijvoorbeeld met malware besmet te raken. Er is geen verdere interactie vereist. Dergelijke aanvallen worden ook wel een drive-by download genoemd. Het is pas de tweede kritieke kwetsbaarheid dit jaar die Google in Chrome rapporteert. De eerste werd in maart verholpen. Het beveiligingslek wordt aangeduid als CVE-2025-9478 en betreft een 'use after free' in ANGLE. Dit is een onderdeel van de browser dat wordt gebruikt voor het uitvoeren van WebGL- en andere OpenGL-content. Vorig jaar zijn er meerdere kritieke kwetsbaarheden in ANGLE gerapporteerd. De kwetsbaarheid werd gevonden door "Google Big Sleep", zo laat het techbedrijf weten. Dit is een AI-agent die Google ontwikkelde voor het vinden van kwetsbaarheden. In het geval van kritieke kwetsbaarheden probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details kunnen vervolgens na zestig dagen openbaar worden gemaakt.Google Chrome 139.0.7258.154/.155 is beschikbaar voor Windows en macOS. Voor Linux is versie 139.0.7258.154 verschenen. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan echter een aantal dagen tot weken duren. Gebruikers die de update direct willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar. bron: https://www.security.nl

Een nieuwe kritieke kwetsbaarheid waarvoor Citrix gisteren waarschuwde en updates uitbracht raakte op dat moment ruim 28.000 systemen, waarvan 1300 in Nederland. Dat meldt The Shadowserver Foundation op basis van eigen onderzoek. Wat de laatste stand van zaken is met betrekking tot ongepatchte systemen is nog niet bekend, maar in de praktijk kan het weken duren voordat Citrix-updates worden geïnstalleerd. Ook voor actief aangevallen lekken. Het beveiligingslek (CVE-2025-7775) betreft een buffer overflow die remote code execution mogelijk maakt. Via de kwetsbaarheid kan een ongeauthenticeerde aanvaller op afstand code op kwetsbare Citrix-systemen uitvoeren. Aanvallers hebben al voor het uitkomen van de patches misbruik van het beveiligingslek gemaakt. Hoeveel Citrix-systemen inmiddels zijn gecompromitteerd en sinds wanneer CVE-2025-7775 bij aanvallen wordt misbruikt is onbekend. The Shadowserver Foundation is een stichting die zich bezighoudt met de bestrijding van cybercrime en geregeld onderzoek doet naar kwetsbare systemen op internet. Bij het bekend worden van het nieuwe Citrix-lek werd een scan uitgevoerd naar Citrix-systemen die vanaf internet toegankelijk zijn. Dit leverde 28.200 ongepatchte systemen op, waarvan 1300 in Nederland. De meeste ongepatchte Citrix-systemen werden in de Verenigde Staten en Duitsland waargenomen. Eerder deze maand deed The Shadowserver Foundation onderzoek naar twee andere Citrix-kwetsbaarheden, aangeduid als CVE-2025–5777 en CVE-2025-6543. Voor deze beveiligingslekken zijn sinds 17 en 25 juni updates beschikbaar. Op 12 augustus bleek dat nog duizenden Citrix-systemen niet waren gepatcht. bron: https://www.security.nl

De Belgische regeringspartij N-VA is tegen chatcontrole en vindt dat België zich tijdens een eventuele stemming in oktober van stemming moet onthouden. "Chat control dreigt een monster te worden dat in je privacy inbreekt en dat je niet meer getemd krijg", zegt N-VA-Kamerlid Michael Freilich tegenover de Belgische krant HLN. In oktober wordt op Europees niveau mogelijk gestemd over een Deens voorstel dat chatdiensten kan verplichten om de inhoud van berichten die gebruikers versturen te controleren. Volgens de Europese burgerrechtenbeweging EDRi is het Deense voorstel in werkelijkheid een combinatie van de Belgische en Hongaarse voorstellen die eerder al werden gedaan. Deze voorstellen werden uiteindelijk niet in stemming gebracht omdat er onvoldoende voorstemmers waren. De Europese Commissie wil een wet invoeren waardoor chatdiensten verplicht worden om alle berichten van hun gebruikers te controleren. Europese wetgeving vindt plaats via een trialoog, waarbij de Europese Commissie, het Europees Parlement en de Raad van Ministers onderhandelen over wetgevende voorstellen. Het Europees Parlement zag het voorstel van de Europese Commissie voor chatcontrole niet zitten en kwam met een eigen voorstel, waar nog steeds kritiek op is, maar wat end-to-end versleutelde diensten uitzondert. Binnen de EU-lidstaten is nog altijd geen positie ingenomen. Omdat er onvoldoende voorstemmers waren heeft geen van de vorige EU-voorzitters hun voorstel over chatcontrole in stemming gebracht. Sinds 1 juli is Denemarken de EU-voorzitter en het land kwam meteen met een nieuw voorstel dat onder andere verplichte detectie bevat. Bovendien kan ook met betrekking tot nieuw materiaal op grond van dit voorstel een verplicht detectiebevel aan chatdiensten worden gegeven. Om het voorstel aangenomen te krijgen is een 'gekwalificeerde meerderheid' vereist. Een gekwalificeerde meerderheid is bereikt als vijftien lidstaten vóór stemmen én het voorstel wordt gesteund door lidstaten die samen tenminste 65 procent van de totale EU-bevolking vertegenwoordigen. In juli meldde Patrick Breyer van de Duitse Piratenpartij dat vijftien landen voor het Deense voorstel zullen stemmen. Nederland, Polen en Oostenrijk zijn tegen of neutraal en de overige landen hebben nog geen positie ingenomen. "N-VA zal zich verzetten tegen chat control in de huidige vorm, want het is ontspoord”, aldus Freilich. Van de andere partijen in de Belgische regering is bekend dat minister van Justitie Annelies Verlinden, van CD&V, juist voorstander van chatcontrole is. Volgens EDRi blijkt uit een verslag van het laatste overleg over het Deense voorstel dat de verdeling tussen voor- en tegenstanders niet veranderd is ten opzichte van de vorige periode. De poging van Denemarken lijkt dan ook meer op een PR-oefening dan een echte poging om beweging in de zaak te krijgen, laat de burgerrechtenbeweging verder weten. Duitsland Er wordt vooral gekeken naar de stem van Duitsland, dat de doorslag kan geven. Het land was eerder nog tegen chatcontrole, maar de nieuwe regering zou nog geen beslissing hebben genomen. "Als de Duitse regering instemt met het nieuw compromis, betekent dat waarschijnlijk dat de oppositie in de Raad het voorstel in deze fase niet langer zal kunnen tegenhouden", zegt Rejo Zenger van Bits of Freedom. "De volgende stap is in dat geval de geheime onderhandelingen tussen de Raad, het Europees Parlement en de Europese Commissie. De uitkomst daarvan is onvoorspelbaar. Wat wel vaststaat is dat we daarmee een stap dichter bij het moment komen waarop deze draconische maatregelen werkelijkheid worden", gaat Zenger verder. Hij verwacht dat als het voorstel zal worden aangenomen een Europese rechter het over een paar jaar ongeldig zal verklaren. bron: https://www.security.nl

Het Nationaal Cyber Security Centrum (NCSC) heeft een eerder gepubliceerd script aangepast zodat organisaties webshells op hun Citrix-systemen kunnen detecteren die daar via nieuwe kwetsbaarheden op zijn geplaatst. Webshells zijn malware waarmee een aanvaller toegang tot een gecompromitteerde server kan behouden, ook als die daarna wordt gepatcht, en verdere aanvallen uitvoeren. Het NCSC publiceerde op 13 augustus een eerste versie van het detectiescript voor het detecteren van webshells die via een beveiligingslek aangeduid als CVE-2025-6543 op Citrix-systemen waren geplaatst. Gisteren kwam Citrix met beveiligingsupdates voor drie nieuwe kwetsbaarheden, waarvan er één (CVE-2025-7775) al voor het uitkomen van de patches actief bij aanvallen is gebruikt. Naar aanleiding van de nieuwe kwetsbaarheden meldt het NCSC dat het detectiescript ook te gebruiken is om de aanwezigheid van webshells te detecteren die via de nieuwe beveiligingslekken op systemen zijn geplaatst. Er is daarbij ook gisteren een nieuwe versie van het script verschenen. CVE-2025-7775 betreft een kritieke kwetsbaarheid waardoor een ongeauthenticeerde aanvaller op afstand code op kwetsbare Citrix-systemen kan uitvoeren. Citrix stelt dat misbruik alleen bij bepaalde configuraties mogelijk is. "Het NCSC heeft nader onderzoek gedaan en dat toont aan dat de kwetsbare configuratie zeer veel voorkomt waardoor grootschalig misbruik waarschijnlijk wordt", laat het Digital Trust Center (DTC) van het ministerie van Economische Zaken weten. Via Citrix kunnen medewerkers van bedrijven en organisaties op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt veel voor thuiswerken gebruikt. De impact van een gecompromitteerd Citrix-systeem kan dan ook groot zijn. bron: https://www.security.nl

Citrix-systemen zijn aangevallen via een nieuwe kritieke kwetsbaarheid die tot remote code execution leidt, waardoor een aanvaller het systeem kan compromitteren, zo laat Citrix zelf weten. Het bedrijf heeft vandaag beveiligingsupdates uitgebracht om het probleem te verhelpen. De aanvallen waarvoor Citrix waarschuwt vonden plaats voordat de patch beschikbaar was. De kwetsbaarheid, aangeduid als CVE-2025-7775, betreft een buffer overflow in Citrix/NetScaler ADC en Citrix/NetScaler Gateway. Citrix ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. Via de Citrix Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. De impact van een gecompromitteerd Citrix-systeem kan dan ook groot zijn. Misbruik van de kwetsbaarheid hangt volgens Citrix af van de configuratie. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.2. Verdere details over het waargenomen misbruik, zoals het aantal getroffen klanten en sinds wanneer de aanvallen plaatsvinden, zijn niet door Citrix gegeven. "Er is een aantal nieuwe NetScaler-kwetsbaarheden die als zerodays worden misbruikt", zegt beveiligingsonderzoeker Kevin Beaumont. "Patches zijn nu beschikbaar." Volgens de onderzoeker wordt het lek gebruikt om Citrix-systemen met een webshell te infecteren. Via een webshell kan een aanvaller toegang tot een gecompromitteerd systeem behouden en verdere aanvallen uitvoeren, ook als het systeem later wordt gepatcht. Beaumont spreekt in zijn bericht op Mastodon over meerdere kwetsbaarheden. De updates van Citrix verhelpen in totaal drie beveiligingslekken, maar volgens het bedrijf wordt er alleen van CVE-2025-7775 misbruik gemaakt. Onlangs bleek dat aanvallers op Citrix-systemen van het Openbaar Ministerie hadden ingebroken en liet het Nationaal Cyber Security Centrum (NCSC) weten dat de Citrix-systemen van meerdere vitale Nederlandse organisaties via een kritieke kwetsbaarheid zijn gecompromitteerd. Het ging volgens het NCSC om CVE-2025-6543, waarvan de omschrijving, het onderliggende probleem en impactscore nagenoeg gelijk zijn aan die van CVE-2025-7775. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Docker Desktop maakt het mogelijk voor malafide containers om toegang tot het onderliggende host-systeem te krijgen. Het beveiligingslek (CVE-2025-9074) is vorige week met versie 4.44.3 gepatcht. Docker Desktop is een applicatie waarmee softwareontwikkelaars op een lokale machine applicaties in een container kunnen ontwikkelen en draaien. De kritieke kwetsbaarheid maakt het mogelijk voor een malicious container om de Docker Engine te benaderen en andere Docker containers te starten, zonder dat de Docker socket gemount moet zijn. Dit kan ervoor zorgen dat een aanvaller via de malicious container toegang tot het onderliggende host-systeem kan krijgen. Ook als Enhanced Container Isolation (ECI) staat ingeschakeld. Deze beveiligingsmaatregel moet juist voorkomen dat malicious containers het host-systeem kunnen compromitteren. "De kwetsbaarheid is op zichzelf vrij eenvoudig: De Docker Engine socket zou nooit toegankelijk voor onbetrouwbare code of gebruikers moeten zijn. Dit socket is de management API voor Docker en er toegang toe hebben geeft volledige toegang tot alles wat de Docker-applicatie kan doen", zegt onderzoeker Philippe Dugre. Een aanvaller zou zo in het ergste geval bestanden op de host kunnen lezen en schrijven. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. bron: https://www.security.nl

Er is een sterke toename van scans gericht tegen Microsoft RDP-services, wat mogelijk samenhangt met Amerikaanse onderwijsinstellingen en universiteiten die hun systemen weer online brengen. Dat stelt securitybedrijf GreyNoise op basis van eigen onderzoek. De scans zijn gericht tegen Microsoft RD Web Access en Microsoft RDP Web Client, die gebruikers via een browser toegang tot remote diensten geven. Het securitybedrijf zag op 24 augustus meer dan 30.000 unieke ip-adressen die op "timing flaws" testen, waarmee geldige gebruikersnamen zijn te achterhalen. Als eerste zoeken de aanvallers naar endpoints waarvan RD Web Access of de RDP Web Client vanaf het internet toegankelijk zijn. Vervolgens wordt er gekeken of tijdens de inlogprocedure informatie lekt waarmee geldige gebruikersnamen zijn te achterhalen. Een systeem kan bij een ongeldige gebruikersnaam meer of minder tijd nodig hebben dan bij een geldige gebruikersnaam, wat aanvallers kan vertellen dat een gebruikersnaam in het systeem bestaat of niet. Zodra de gebruikersnamen zijn bevestigd kunnen de aanvallers later proberen om hier door middel van credential stuffing, password spraying of bruteforce-aanvallen toegang tot te krijgen. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan. Password spraying is een techniek waarbij een aanvaller met veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen gebruikt een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Door deze techniek voorkomt de aanvaller dat een account wordt geblokkeerd en de aanval wordt opgemerkt. Vaak wordt er ook vanaf allerlei verschillende ip-adressen ingelogd. Volgens GreyNoise is de timing van de waargenomen scans geen toeval. In de Verenigde Staten start het schooljaar, waardoor scholen en universiteiten hun RDP-systemen weer online brengen en duizenden nieuwe accounts registreren. Deze omgevingen gebruiken volgens de onderzoekers vaak voorspelbare formats, wat het enumereren van de namen effectiever maakt. De onderzoekers merken op dat de scans alleen tegen Amerikaanse systemen zijn gericht. Daarnaast stellen ze dat pieken in het aantal scans tegen bepaalde systemen of platforms vaak worden opgevolgd door aanvallen of nieuwe kwetsbaarheden in de betreffende omgevingen. bron: https://www.security.nl

Het Amerikaanse cyberagentschap CISA waarschuwt voor actief misbruik van een kwetsbaarheid in Git waardoor een aanvaller code op systemen kan uitvoeren. Git is een populaire oplossing voor softwareontwikkelaars om code van een lokale repository naar een remote Git-repository te krijgen. Zo kunnen meerdere programmeurs aan de code werken. Het is ook mogelijk om een remote Git-repository naar een lokale machine of andere locatie te kopiëren. Het beveiligingslek, CVE-2025-48384, doet zich voor wanneer gebruikers nietsvermoedend een malafide repository met submodules via de --recursive flag klonen. Bij het verwerken van het .gitmodules bestand gaat Git niet goed om met configuratiewaarden en carriage return (\r of CR) karakters. Hierdoor kan een aanvaller de interne submodule paden manipuleren en Git naar onverwachte locaties op het filesystem laten schrijven. Het probleem doet zich voor bij bepaalde versies van Git voor macOS en Linux. Op 8 juli verschenen er beveiligingsupdates voor het probleem. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 8.1. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security laat weten dat er actief misbruik van het beveiligingslek wordt gemaakt. Details over de waargenomen aanvallen worden echter niet gegeven. Amerikaanse overheidsinstanties die met Git werken zijn opgedragen de patches voor 15 september te installeren. bron: https://www.security.nl

Onderzoekers van securitybedrijf Guardio hebben aangetoond hoe ze de AI-browser van Perplexity via een phishingmail op een phishingsite kunnen laten inloggen. Eerder hadden de makers van de Brave-browser laten zien hoe malafide prompts op een website zijn te gebruiken om informatie van gebruikers te stelen. De Comet-browser van Perplexity maakt het mogelijk om allerlei taken te automatiseren. Gebruikers kunnen de browser ook vragen om de inbox van een e-mailaccount te beheren. Onderzoekers van securitybedrijf Guardio hadden de AI-browser zo ingesteld om e-mails op 'to-do items' te controleren en die ook uit te voeren. Vervolgens verstuurden de onderzoekers vanaf een nieuw e-mailadres een 'phishingmail' die van de Amerikaanse bank Wells Fargo afkomstig leek. Het bericht vroeg de ontvanger om op de meegestuurde link in te loggen. Deze link wees naar een echte phishingsite, merken de onderzoekers op. Zodra de AI-browser de link verwerkt wordt die zonder enige verificatie geopend en worden automatisch de inloggegevens van de gebruiker ingevuld. "Door de gehele interactie van e-mail tot website af te handelen, staat Comet eigenlijk in voor de phishingpagina. De mens heeft nooit het verdachte adres van de afzender gezien, nooit over de link bewogen en had nooit een kans om aan het domein te twijfelen", aldus de onderzoekers. Indirect Prompt Injection De ontwikkelaars van de Brave-browser ontwikkelden een andere aanval op Comet, waarbij ze malafide prompts op Reddit plaatsten om zo Perplexity-accounts over te nemen. Wanneer de gebruiker de AI-browser vraagt om de Reddit-pagina samen te vatten, worden de aanwezige malafide prompts uitgevoerd en kan er uiteindelijk een one-time password worden gestolen dat toegang tot het account geeft. Volgens de onderzoekers laat de aanval zien dat traditionele aannames over websecurity niet van toepassing zijn op 'agentic AI'. Brave rapporteerde het probleem van 'Indirect Prompt Injection' aan Perplexity dat met een oplossing kwam. De onderzoekers kwamen vorige week met een update waarin ze stellen dat de betreffende aanval niet helemaal in de browser is verholpen. bron: https://www.security.nl