Captain Kirk

Aanvallers maken actief misbruik van een kwetsbaarheid in VMware Aria Operations die remote code execution door ongeauthenticeerde aanvallers mogelijk maakt, zo laat het Amerikaanse cyberagentschap CISA weten. Broadcom kwam op 24 februari met beveiligingsupdates voor het probleem, aangeduid als CVE-2026-22719. Het gaat om een command injection kwetsbaarheid waardoor een aanvaller tijdens productmigraties willekeurige commando's op het systeem kan uitvoeren, die tot remote code execution kunnen leiden. Broadcom omschrijft Aria Operations als het "controlecentrum voor de gehele it-infrastructuur". Het wordt onder andere gebruikt voor het beheren en monitoren van VMware- en multi-cloud-omgevingen. Volgens het Het Cybersecurity & Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security maken aanvallers actief misbruik van CVE-2026-22719.. Details over de aanvallen zijn echter niet gegeven. In het verleden is VMware Aria Operations vaker het doelwit van aanvallen geweest, waarbij andere kwetsbaarheden werden misbruikt (CVE-2025-41244 en CVE-2023-20887). Zo zou CVE-2025-41244 een jaar lang bij aanvallen zijn misbruikt voordat een beveiligingsupdate voor het probleem verscheen. Die aanvallen zouden het werk zijn geweest van een aan China gelieerde groep aanvallers. bron: https://www.security.nl

Zo'n dertienhonderd IceWarp-servers die vanaf het internet toegankelijk zijn, waaronder 23 in Nederland, bevatten een kritieke kwetsbaarheid waardoor ze op afstand door ongeauthenticeerde aanvallers volledig zijn over te nemen. Een beveiligingsupdate voor het probleem is sinds 10 december vorig jaar beschikbaar, maar tal van organisaties hebben die nog niet geïnstalleerd, aldus The Shadowserver Foundation op basis van eigen onderzoek. IceWarp combineert een mailserver met een communicatieplatform waarmee medewerkers van organisaties kunnen chatten, groepschatten, videovergaderen, gezamenlijk aan documenten werken en bestanden uitwisselen. Een kwetsbaarheid in de oplossing, die zich voordoet bij het verwerken van gebruikersinvoer, zorgt ervoor dat een ongeauthenticeerde aanvaller op afstand code met SYSTEM-rechten kan uitvoeren. Hiermee wordt er volledige controle over de server verkregen. De impact van het beveiligingslek, aangeduid als CVE-2025-14500, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het beveiligingslek werd op 26 september vorig jaar aan IceWarp gerapporteerd, dat op 10 december met een update kwam. Vier maanden later blijkt dat zo'n dertienhonderd IceWarp-servers de update missen en daardoor risico op aanvallen lopen, aldus The Shadowserver Foundation. Deze stichting doet onderzoek naar kwetsbare systemen op internet. Het grootste aantal kwetsbare IceWarp-servers werd in de Verenigde Staten geteld (239). In Nederland gaat het om 23 servers. IceWarp claimt dat het meer dan 50.000 bedrijven als klant heeft. bron: https://www.security.nl

Microsoft heeft een kritiek beveiligingslek in Teams gedicht waardoor een ongeautoriseerde aanvaller informatie zou kunnen stelen. Volgens de zeer beknopte beschrijving van de kwetsbaarheid, aangeduid als CVE-2026-21535, zorgde een 'Improper access control' in Microsoft Teams ervoor dat een ongeautoriseerde aanvaller informatie over een netwerk zou kunnen stelen. Verdere details zijn niet gegeven. De kwetsbaarheid werd door een externe onderzoeker aan Microsoft gerapporteerd. Het techbedrijf zegt dat het niet bekend is met misbruik van het probleem. Daarnaast hoeven gebruikers geen actie te ondernemen. "Deze kwetsbaarheid is volledig verholpen door Microsoft. Gebruikers van deze dienst hoeven geen actie te ondernemen. Het doel van deze CVE is om meer transparantie te geven." bron: https://www.security.nl

Een kritieke kwetsbaarheid in beveiligingscamera's van fabrikant Honeywell maakt het mogelijk voor een aanvaller om met de videostream van de apparaten mee te kijken en mogelijk verdere aanvallen uit te voeren. Daarvoor waarschuwt het Amerikaanse cyberagentschap CISA. De in totaal vier verschillende type beveiligingscamera's worden volgens het CISA wereldwijd gebruikt, onder andere in vitale sectoren. De beveiligingscamera's bevatten een API endpoint dat toegankelijk is voor een ongeauthenticeerde aanvaller. Via dit endpoint kan een aanvaller op afstand het e-mailadres aanpassen dat staat ingesteld voor het resetten van het wachtwoord. De functie is bedoeld voor beheerders die hun wachtwoord zijn vergeten. Een aanvaller kan zo het wachtwoord resetten en op de camera inloggen. Vervolgens kan er met de videostream worden meegekeken, maar het CISA waarschuwt dat een aanvaller zijn toegang tot de camera ook kan gebruiken om het achterliggende netwerk verder te compromitteren. De impact van de kwetsbaarheid, aangeduid als CVE-2026-1670, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Honeywell roept klanten op om contact op te nemen over een beveiligingsupdate. Het probleem speelt bij de Honeywell HIB2PI, SMB NDAA MVO-3, PTZ WDR 2MP 32M en PTZ WDR 2MP 32M. bron: https://www.security.nl

De Duitse overheid beschikt over technische informatie dat een kritieke kwetsbaarheid in Ivanti EPMM sinds de zomer van vorig jaar is misbruikt bij aanvallen. Op 29 januari dit jaar kwam Ivanti met beveiligingsupdates voor het probleem, aangeduid als CVE-2026-1281. Onlangs bleek dat ook de Ivanti EPMM-servers van de Autoriteit Persoonsgegevens (AP) en Raad voor de rechtspraak zijn gehackt. Ivanti Endpoint Manager Mobile is een mobile management software engine waarmee mobile device management (MDM) mogelijk is. Organisaties kunnen via deze oplossing de mobiele apparaten van hun medewerkers op afstand beheren, bijvoorbeeld als het gaat om toegestane applicaties of bepaald beleid. Een gecompromitteerde EPMM-server kan dan ook vergaande gevolgen hebben. Tijdens het onderzoek naar de aanvallen ontdekte het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, dat misbruik al sinds de zomer van 2025 plaatsvindt. Organisaties die willen weten of hun Ivanti EPMM-server is gehackt moeten dan ook vanaf juli 2025 onderzoek doen, zo adviseert het BSI. Het Nederlandse Cyber Security Centrum (NCSC) kwam eerder al met verschillende scripts om gehackte Ivanti EPMM-servers te detecteren. Wat betreft het misbruik waarover de Duitse overheid bericht stelt het NCSC dat er vervolgonderzoek nodig is om vast te stellen of de EPMM-server bij deze aanvallen ook daadwerkelijk is gehackt. De Duitse autoriteiten hebben code oranje voor de kwetsbaarheid afgegeven. Dit houdt in dat organisaties onmiddellijk maatregelen moeten nemen en het beveiligingslek tot een grote verstoring van de normale bedrijfsvoering kan leiden. Vorige week meldde The Shadowserver Foundation nog dat het een grote toename zag van het aantal pogingen waarbij werd geprobeerd het Ivanti-lek te misbruiken. bron: https://www.security.nl

Firefox zal vanaf volgende maand geen Windows 7, 8 en 8.1 meer ondersteunen, zo heeft Mozilla bekendgemaakt. Firefox 115 ESR is daarmee de laatste ondersteunde versie van de browser. Microsoft stopte op 14 januari 2020 de ondersteuning van Windows 7. Het besturingssysteem ontvangt sindsdien geen beveiligingsupdates meer. Mozilla besloot de Windowsversie te blijven ondersteunen, omdat veel Firefox-gebruikers er nog mee werken. Volgens cijfers van Mozilla maakt op het moment van schrijven nog altijd 5,7 procent van de Firefox-gebruikers gebruik van Windows 7. Oorspronkelijk zou Mozilla de ondersteuning van Windows 7 in september 2024 stoppen, maar de Firefox-ontwikkelaar besloot de support steeds te verlengen. In eerste instantie tot maart vorig jaar, gevolgd door een verlenging tot en met september. Afgelopen september liet Mozilla weten dat de support weer met zes maanden zou worden verlengd, met een optie voor een verdere verlenging. Nu blijkt dat Mozilla geen nieuwe verlenging zal doen. Gebruikers die nog met Windows 7, 8 of 8.1 werken worden door Mozilla opgeroepen om hun Windowsversie te upgraden. Naast de genoemde Windowsversies stopt volgende maand ook de support van macOS Sierra, High Sierra en Mojave. bron: https://www.security.nl

Een kritieke kwetsbaarheid in VoIP-telefoons van fabrikant Grandstream maakt het mogelijk voor een ongeauthenticeerde remote aanvaller om als root code op kwetsbare toestellen uit te voeren. Vervolgens kan de aanvaller een malafide SIP-proxy instellen om zo nagenoeg onzichtbaar telefoongesprekken af te luisteren, zo stelt securitybedrijf Rapid7 in een analyse. Grandstream heeft firmware-updates uitgebracht om het probleem te verhelpen. De kwetsbaarheid (CVE-2026-2329) betreft een API endpoint van de VoIP-telefoon dat zonder authenticatie voor remote aanvallers toegankelijk is. Het endpoint, dat standaard draait en remote toegankelijk is, is ontwikkeld om configuratiewaardes van de telefoon op te vragen. Een aanvaller kan hier misbruik van maken door een speciaal geprepareerd request naar de telefoon te sturen, wat leidt tot een stack buffer overflow. Via de buffer overflow kan een aanvaller willekeurige code als root uitvoeren. Daarnaast is het ook mogelijk om via de kwetsbaarheid secrets van de telefoon te stelen, zoals inloggegevens van lokale en SIP-accounts. Tevens kan een aanvaller bij de telefoon een malafide SIP-proxy instellen en zo gesprekken afluisteren. Volgens de onderzoekers is het probleem om gesprekken via een proxy te onderscheppen niet een specifiek probleem voor Grandstream VoIP-telefoons, maar laat het de gevolgen zien waar remote code execution bij VoIP-telefoons toe kan leiden. Rapid7 deelde details van de kwetsbaarheid op 22 januari met Grandstream. De fabrikant kwam vervolgens op 2 februari met firmware-updates voor de Grandstream GXP1610, GXP1615, GXP1620, GXP1625, GXP1628, en GXP1630 modellen. Vandaag zijn details van het probleem openbaar gemaakt, alsmede proof-of-concept exploitcode. De impact van CVE-2026-2329 is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. bron: https://www.security.nl

Heb je sowieso al een andere lan-kabel geprobeerd? Het zou hier zomaar ook een kabelbreuk of brak stekkertje kunnen zijn. En hoe loopt de verbinding wanneer je alleen via de wifi verbonden bent? Dus zonder de netwerkkabel erin?

Dell waarschuwt organisaties voor een kritieke kwetsbaarheid die al bijna twee jaar lang gebruikt is bij aanvallen voordat een patch beschikbaar was. De impact van het beveiligingslek in Dell RecoverPoint for Virtual Machines is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Via RecoverPoint for Virtual Machines kunnen beheerders hun VMware virtual machines herstellen. Het is een softwarematige oplossing die vooral is bedoeld voor back-up en disaster recovery. De software wordt geïnstalleerd op VMware ESXi-servers. De kwetsbaarheid, aangeduid als CVE-2026-22769, betreft de aanwezigheid van hardcoded inloggegevens. Een ongeauthenticeerde aanvaller kan hiermee met 'root-level persistence' op afstand toegang tot het onderliggende besturingssysteem van de server krijgen, zo laat de omschrijving van Dell weten. Volgens Google maakt een groep aanvallers genaamd UNC6201 al zeker sinds halverwege 2024 misbruik van dit beveiligingslek. De aanvallers gebruikten het beveiligingslek om commando's als root op de onderliggende appliance uit te voeren, aldus Google. Bij de aanvallen installeren de aanvallers webshells en backdoors om toegang tot het gecompromitteerde systeem te behouden. Ook maken ze tijdelijke nieuwe netwerkpoorten op bestaande virtual machines aan die op een ESXI-server draaien. Via deze netwerkpoorten bewegen de aanvallers zich naar verschillende interne en software-as-a-service (SaaS) omgevingen waar de aangevallen organisaties gebruik van maken. Google heeft Indicators of Compromise (IOC's) gedeeld waarmee organisaties kunnen controleren of hun systemen via het Dell-lek zijn gehackt. Dell roept organisaties op om de beschikbaar gestelde update voor CVE-2026-22769 zo snel mogelijk te installeren. Hoeveel organisaties via de kwetsbaarheid zijn aangevallen is onbekend. bron: https://www.security.nl

Antivirusbedrijf Kaspersky heeft in de firmware van verschillende Androidtablets een backdoor gevonden die aanvallers volledige controle over het apparaat. geeft. De backdoor wordt Keenadu genoemd en maakt het mogelijk voor aanvallers om bijvoorbeeld apps op het besmette apparaat te installeren en die elke willekeurige permissie te geven, advertentiefraude te plegen en allerlei gegevens te stelen, van chatberichten tot wachtwoorden. Onder de getroffen tablets bevinden zich verschillende modellen van fabrikant Alldocube, maar de malware is ook in de hardware van andere fabrikanten gevonden. De namen van deze partijen zijn niet door Kaspersky bekendgemaakt. Wel zegt de virusbestrijder deze bedrijven te hebben gewaarschuwd. Kaspersky detecteerde 13.000 Android-apparaten die met de backdoor zijn besmet. Onder de landen met de meeste infecties bevindt zich ook Nederland. Volgens de onderzoekers zijn de getroffen tabletfabrikanten het doelwit van een supplychain-aanval geworden waarbij er een malafide library aan de firmware werd toegevoegd die zich in allerlei processen injecteert. In verschillende gevallen bleek dat de besmette firmware via een OTA (over-the-air) update werd verspreid. Eenmaal actief communiceert de backdoor met een command & control-server. De aanvallers kunnen vervolgens allerlei opdrachten aan de besmette tablets geven. "Keenadu is een grootschalig, complex malware-platform dat aanvallers onbeperkte controle over het apparaat van het slachtoffer geeft", aldus Kaspersky. Op dit moment wordt de backdoor voornamelijk gebruikt voor verschillende vormen van advertentiefraude, maar de onderzoekers sluiten niet uit dat de malware in de toekomst ook inloggegevens zal stelen. Details over de vermoedelijke supplychain-aanval waardoor de infecties konden ontstaan zijn niet beschikbaar. Volgens Kaspersky kan het dat de betreffende tabletfabrikanten niet wisten dat hun apparaten waren besmet toen ze op de markt kwamen. De onderzoekers waarschuwden dat de malware niet te verwijderen is zonder dat de firmware van het apparaat beschadigd raakt. De tablet stopt dan met werken. "Het is daarom onmogelijk om de dreiging door middel van standaard Android OS-tools te verwijderen." Totdat de besmette firmware is vervangen of bijgewerkt wordt aangeraden de besmette tablets niet te gebruiken. bron: https://www.security.nl

Het op privacy gerichte besturingssysteem Tails heeft wegens verschillende kritieke kwetsbaarheden in de Linux-kernel een noodpatch uitgebracht. Via de beveiligingslekken, aangeduid als DSA 6126-1, kan een applicatie die met Tails wordt meegeleverd admin-rechten krijgen. "Als een aanvaller andere onbekende kwetsbaarheden weet te misbruiken in een applicatie die in Tails zit kunnen ze DSA 6126-1 gebruiken om volledige controle over je Tails te krijgen en je te de-anonimiseren", aldus de ontwikkelaars van Tails. Volgens de ontwikkelaars is een dergelijke aanval zeer onwaarschijnlijk, maar kan die worden uitgevoerd door een 'sterke aanvaller', zoals een overheid of een 'hacking firm'. De ontwikkelaars zeggen dat ze niet bekend zijn met aanvallen waarbij de kwetsbaarheden worden misbruikt. DSA 6126-1 omvat in totaal 252 kwetsbaarheden waarmee een aanvaller zijn rechten kan verhogen, een denial of service veroorzaken of bepaalde informatie achterhalen. Op 9 februari verscheen een Linux-beveiligingsupdate om de problemen te verhelpen. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Het privacy-OS kan vanaf een usb-stick of dvd worden gestart. Het maakt gebruik van het Tor-netwerk om het ip-adres van de gebruiker af te schermen en biedt allerlei op privacy gerichte applicaties. Tails-gebruikers worden opgeroepen om te updaten naar versie 7.4.2. Eind januari kwam Tails ook al met een noodpatch. Toen wegens een kwetsbaarheid in OpenSSL waardoor het mogelijk was om het echte ip-adres van Tor-gebruikers te achterhalen. bron: https://www.security.nl

De populaire editor Notepad++ heeft een update uitgebracht die het updateproces van de software beter moet beveiligen. Aanvallers wisten vorig jaar maandenlang via het updateproces van Notepad++ malware onder gebruikers te verspreiden. De aanvallers hadden de shared hostingserver van Notepad++ gecompromitteerd en gebruikten vervolgens een kwetsbaarheid in het updateproces om onder bepaalde gebruikers malafide updates te verspreiden. Via deze updates werd een backdoor op het systeem geïnstalleerd. Om herhaling te voorkomen heeft de ontwikkelaar van Notepad++ verschillende maatregelen doorgevoerd. Zo wordt de digitaal ondertekende installer afkomstig van github.com geverifieerd. Daarnaast zorgt Notepad++ versie 8.9.2 ervoor dat voortaan ook de XML afkomstig van de Notepad++-server digitaal is gesigneerd en wordt geverifieerd. "Dit "double lock" ontwerp maakt het Notepad++ updateproces robuust en nagenoeg niet te misbruiken", aldus ontwikkelaar Don Ho in een blogposting. Verder is ook de updater zelf, WinGUp, onderhanden genomen. Zo is onder andere de libcurl.dll dependency verrwijderd om het sideloaden van malafide dll-bestanden tegen te gaan en zijn twee onveilige SSL-opties verwijderd. Naast de aankondiging van versie 8.9.2 heeft Ho ook een diagram gepubliceerd waarin wordt uitgelegd hoe de aanvallers het updateproces konden kapen. Details over de aangevallen gebruikers en organisaties zijn niet openbaar, maar Notepad++ wordt vooral door softwareontwikkelaars gebruikt. bron: https://www.security.nl

Google heeft een beveiligingsupdate uitgerold voor een actief aangevallen kwetsbaarheid in Chrome. Gebruikers die meteen beschermd willen zijn kunnen het beste een handmatige update uitvoeren. Het beveiligingslek is aanwezig in het onderdeel van de browser dat verantwoordelijk is voor het verwerken van CSS (Cascading Style Sheets) en kan leiden tot een use-after-free. Google heeft de impact van het probleem (CVE-2026-2441) beoordeeld als 'high'. Bij kwetsbaarheden met het stempel 'high' kan een aanvaller in het ergste geval code binnen de context van de browser uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Dit soort lekken zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Details over de waargenomen aanvallen zijn niet door Google gegeven. De kwetsbaarheid is verholpen in Google Chrome 145.0.7632.75/76 voor Windows en macOS en Chrome 144.0.7559.75 voor Linux. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van kwetsbaarheden met het stempel 'high' echter tot zestig dagen duren. Gebruikers die de update direct willen ontvangen zullen dan ook een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Microsoft Configuration Manager waarvoor eind 2024 een beveiligingsupdate verscheen is misbruikt bij aanvallen, zo stelt het Amerikaanse cyberagentschap CISA. Microsoft Configuration Manager, eerder nog bekend als SCCM, is een beheertool voor het uitrollen van applicaties, updates en besturingssystemen op Windowsservers en -computers. Een kwetsbaarheid in Microsoft Configuration Manager (CVE-2024-43468) maakt het voor een ongeauthenticeerde aanvaller mogelijk om commando's op de server of onderliggende database uit te voeren. De impact van het probleem is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Microsoft kwam op 8 oktober 2024 met beveiligingsupdates. Een aantal maanden later verscheen er proof-of-concept exploitcode online. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security laat nu weten dat aanvallers misbruik van de kwetsbaarheid hebben gemaakt of maken. Details over de aanvallen, zoals wie het doelwit waren en wanneer die plaatsvonden, zijn niet door de Amerikaanse overheidsinstantie gegeven. Wel moeten Amerikaanse overheidsinstellingen de update voor het probleem binnen drie weken geïnstalleerd hebben. bron: https://www.security.nl

Wachtwoordmanager Bitwarden heeft een nieuwe feature geïntroduceerd genaamd 'Cupid Vault' waarmee gebruikers wachtwoorden en andere gevoelige informatie met andere personen kunnen delen. De feature is voor alle gebruikers beschikbaar, ook in de gratis versie van de wachtwoordmanager. Gebruikers kunnen een gedeelde wachtwoordkluis aanmaken en iemand anders hiervoor uitnodigen. De maker van de gedeelde wachtwoordkluis en de uitgenodigde persoon hebben vervolgens toegang tot inloggegevens en andere informatie die in de 'shared vault' worden gedeeld. De toegang van de uitgenodigde persoon kan ook weer door de maker worden ingetrokken. Bitwarden adviseert in dit geval om eerst de uitnodiging in te trekken en daarna wachtwoorden te wijzigen. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in BeyondTrust Remote Support, zo waarschuwen securitybedrijven. Op 6 februari verscheen een beveiligingsupdate voor het probleem. Via BeyondTrust Remote Support kunnen beheerders allerlei systemen op afstand beheren, waaronder desktops, servers en smartphones. De on-premises versie van de oplossing wordt geïnstalleerd op een fysieke of virtuele server waarvandaan de andere apparaten zijn te beheren. Een kritieke kwetsbaarheid (CVE-2026-1731) in BeyondTrust Remote Support maakt het mogelijk voor een ongeauthenticeerde aanvaller om willekeurige code op het systeem uit te voeren. Hiervoor volstaat het versturen van speciaal geprepareerde requests. De impact van CVE-2026-1731 is op een schaal van 1 tot en met 10 beoordeeld met een 9.9. BeyondTrust rolde op 6 februari updates voor de on-premises versie uit, nadat het eerder al de cloudversie had gepatcht. Op 11 februari verscheen er proof-of-concept exploitcode online en nog geen 24 uur later werden de eerste aanvallen waargenomen, zo melden securitybedrijven GreyNoise, watchTowr en Defused. Organisaties die de patch nog niet hebben uitgerold moeten ervan uitgaan dat ze zijn gehackt, aldus Ryan Dewhurst van watchTowr. Een soortgelijke kwetsbaarheid in BeyondTrust Remote Support werd twee jaar geleden actief gebruikt bij aanvallen, onder andere op het Amerikaanse ministerie van Financiën. Volgens securitybedrijf Rapid7 maakt de footprint van BeyondTrust het een aantrekkelijk doelwit voor 'geraffineerde aanvallers'. Het bedrijf zou identiteitsdiensten aan meer dan twintigduizend klanten in meer dan honderd landen bieden, waaronder driekwart van de Fortune 100-bedrijven. bron: https://www.security.nl

Back-updienst Backblaze zag vorig jaar de hoogste uitval bij bepaalde harde schijven van Toshiba en Seagate, zo laat het bedrijf in het jaaroverzicht 2025 weten. Backblaze publiceert elk kwartaal en jaarlijks een overzicht van hoe goed de harde schijven presteren die het voor de back-updienst gebruikt. In totaal ging het in 2025 om 344.000 harde schijven verdeeld over dertig verschillende modellen van HGST, Seagate, Toshiba en Western Digital. Van de 344.000 harde schijven vielen er vorig jaar zo'n 4300 uit, wat een 'annual failure rate' (AFR) van 1,36 procent oplevert. In 2024 en 2023 bedroeg de AFR nog respectievelijk 1,57 procent, 1,70 procent. Een aantal modellen kende vorig jaar echter een veel hogere uitval dan gemiddeld. Een paar modellen kreeg zelfs te maken met een AFR van boven de vijf procent. Het gaat om de Seagate ST10000NM0086 10TB (5,66 procent), Seagate ST12000NM0007 12TB (5,48 procent), Seagate ST14000NM0138 14TB (5,31 procent) en Toshiba MG08ACA16TEY 16TB (6,30 procent). Een andere schijf die opviel was de HGST HUH728080ALE600 8TB. Van deze disk viel in het vierde kwartaal 10,29 procent van de schijven uit. De AFR bedroeg op jaarbasis 3,56 procent. Volgens Backblaze is deze schijf mogelijk gevoelig voor vibratie. Daarnaast zijn veel van de harde schijven met een hoge AFR al lange tijd in gebruik. bron: https://www.security.nl

Fotodienst Flickr heeft gebruikers gewaarschuwd voor een mogelijk datalek met hun persoonsgegevens. Volgens het platform werd het gisteren gewezen op een kwetsbaarheid in het systeem van een mailserviceprovider waar het gebruik van maakt. Deze kwetsbaarheid heeft mogelijk geleid tot ongeautoriseerde toegang tot gegevens van Flickr-gebruikers. Flickr stelt dat mogelijk namen, e-mailadressen, gebruikersnamen, accounttypes, ip-adressen, generieke locaties en Flickr-activiteit van gebruikers zijn gelekt. Verder meldt de fotodienst dat het de toegang tot het getroffen systeem heeft uitgeschakeld en alle links naar het kwetsbare endpoint heeft verwijderd. Daarnaast heeft het een volledig onderzoek van de serviceprovider geëist. Ook zouden de relevante privacytoezichthouders zijn ingelicht. Verdere details over het incident zijn niet gegeven. bron: https://www.security.nl

Criminelen zijn erin geslaagd om het netwerk van SmarterTools te hacken, ontwikkelaar van SmarterMail. Daarbij is ook een niet nader genoemd aantal klanten gecompromitteerd, zo heeft het bedrijf laten weten. Volgens SmarterTools vond de inbraak plaats via een niet gepatchte virtual machine die door een medewerker was opgezet en niet bij het bedrijf bekend was. SmarterMail wordt omschreven als een Windows/Linux-gebaseerde mailserver en groupware-alternatief voor Microsoft Exchange. De mailoplossing heeft de afgelopen maanden met meerdere kritieke kwetsbaarheden te maken gekregen waar aanvallers actief misbruik van maken. Nu blijkt SmarterTools zelf ook gehackt te zijn. Op 29 januari werd het getroffen door een ransomwaregroep. "Voor de inbraak hadden we in ons netwerk zo'n dertig servers/VM's waarop SmarterMail draaide. Helaas waren we onbekend met een VM van een medewerker, die niet werd gepatcht. Daardoor werd die mailserver gecompromitteerd, wat tot de inbraak leidde", zegt Chief Commercial Officer Derek Curtis Bij de aanval werd ook een niet nader genoemd aantal klanten gecompromitteerd. Het ging voornamelijk om SmarterTools-klanten die gebruikmaken van de gehoste helpdesksoftware SmarterTrack, aldus CEO Tim Uzzanti. De aanvallers wisten in totaal twaalf Windowsservers te compromitteren, zo laat SmarterTools verder weten. De softwareontwikkelaar zegt dat het naar aanleiding van de aanval alle Windowssystemen waar mogelijk heeft uitgefaseerd en geen gebruik meer maakt van Active Directory services. bron: https://www.security.nl

Een malafide extensie in de Chrome Web Store die zich voordoet als adblocker uBlock Origin Lite crasht opzettelijk de browser van gebruikers en laat hen vervolgens als "oplossing" malware installeren, zo waarschuwt Microsoft. De methode wordt "CrashFix" genoemd en is een variant van "ClickFix", waarbij slachtoffers voor het oplossen van een zogenaamde CAPTCHA commando's op hun systeem moeten uitvoeren waarmee malware wordt geïnstalleerd. De CrashFix-aanval waarvoor Microsoft waarschuwt begint bij een gebruiker die naar een adblocker zoekt. De aanvallers maken gebruik van malafide advertenties waarin een adblocker wordt geadverteerd. De advertentie linkt naar een browser-extensie in de Chrome Web Store die zich voordoet als de populaire adblocker uBlock Origin Lite. Enige tijd na de installatie voert de extensie een denial of service-aanval tegen de browser uit, waardoor die stopt met werken. Vervolgens laat de extensie een pop-up zien die stelt dat "Microsoft Edge" beveiligingsproblemen heeft ontdekt. Om deze problemen op te lossen moet de gebruiker handmatig een commando uitvoeren. Hierbij wordt gebruikgemaakt van het Finger-protocol, dat eigenlijk bedoeld is voor het opvragen van informatie over gebruikers van een remote systeem. Het gebruik van het Finger-protocol is volgens Microsoft een opvallende nieuwe tactiek bij dit soort aanvallen. Via het Finger-protocol wordt een PowerShell-script op het system van de gebruiker uitgevoerd, dat een ander script downloadt dat weer een remote access trojan (RAT) op het systeem installeert. Via deze malware hebben aanvallers volledige controle over het systeem. Volgens Microsoft laat de aanval zien dat aanvallers steeds vaker misbruik maken van "trusted user actions" en al aanwezige tooling op het systeem om beveiligingssoftware te omzeilen. Eerder kwam securitybedrijf Huntress al met een analyse van de aanval. bron: https://www.security.nl

Fortinet waarschuwt klanten voor een kritiek beveiligingslek in FortiClientEMS waardoor SQL Injection mogelijk is. Twee jaar geleden werd een andere SQL Injection kwetsbaarheid actief misbruikt bij aanvallen. FortiClient EMS is een oplossing waarmee beheerders systemen waarop de FortiClient-software draait op afstand kunnen beheren. Zo is het bijvoorbeeld mogelijk om zaken als antivirussoftware, webfilters, vpn en signature-updates in te stellen. Fortinet laat via het eigen Product Security Incident Response Team (PSIRT) weten dat de admin-interface van FortiClientEMS kwetsbaar is voor SQL Injection. Het probleem is aanwezig in FortiClientEMS en wordt aangeduid als CVE-2026-21643. Verdere details zijn echter nog niet beschikbaar, omdat de link naar het beveiligingsbulletin op het moment van schrijven niet werkt. Verdere details zijn daardoor nog niet beschikbaar. Twee jaar geleden meldde Fortinet misbruik van een andere SQL Injection kwetsbaarheid in FortiClientEMS (CVE-2023-48788). De Australische overheid riep organisaties destijds op om direct in actie te komen, de patches te installeren en te controleren of systemen al niet zijn gecompromitteerd. Bij SQL-njection kan een aanvaller SQL-opdrachten op een systeem uitvoeren. Het is een probleem dat al sinds 1998 bekend is, maar nog altijd voorkomt omdat webontwikkelaars onveilig programmeren en organisaties hun applicaties niet laten controleren. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in SmarterMail waardoor kwetsbare servers op afstand zijn over te nemen, zo waarschuwt het Amerikaanse cyberagentschap CISA. Drie weken geleden verscheen een beveiligingsupdate voor het probleem, aangeduid als CVE-2026-24423. SmarterMail wordt omschreven als een Windows/Linux-gebaseerde mailserver en groupware-alternatief voor Microsoft Exchange. CVE-2026-24423 maakt remote code execution (RCE) door een ongeauthenticeerde aanvaller mogelijk. Volgens de omschrijving van het probleem ontbreekt authenticatie voor een belangrijke functie. Een aanvaller kan hier misbruik van maken door de SmarterMail-server naar een malafide HTTP-server te laten wijzen. Deze malafide server kan SmarterMail vervolgens commando's laten uitvoeren, wat tot het uitvoeren van willekeurige code leidt. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. SmarterTools, de ontwikkelaar van SmarterMail, kwam op 15 januari met build 9511 waarin het probleem is verholpen. Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) meldt nu dat aanvallers actief misbruik van CVE-2026-24423 maken. Details over de aanvallen zijn niet gegeven. Begin dit jaar werd ook al een ander kritiek lek in SmarterMail (CVE-2026-23760) actief misbruikt bij aanvallen. Twee weken na het uitkomen van de update voor dit probleem bleek dat zesduizend SmarterMail-servers de betreffende patch nog niet hadden geïnstalleerd. bron: https://www.security.nl

Aanvallers maken actief misbruik van een recente kwetsbaarheid in FreePBX om servers met een webshell te infecteren. Dat laat Fortinet in een analyse weten. Ook het Amerikaanse cyberagentschap CISA meldt actief misbruik van het beveiligingslek, aangeduid als CVE-2025-64328. FreePBX is software voor het beheren en configureren van telefooncentrales die op Asterisk VoiP-servers draaien. Een kwetsbaarheid in de admin-interface maakt het voor een geauthenticeerde aanvaller mogelijk om willekeurige shellcommando's op de onderliggende server uit te voeren. "Een aanvaller kan dit gebruiken om als de asterisk user remote toegang tot het systeem te krijgen", aldus het beveiligingsbulletin. Afgelopen november verschenen er updates voor het probleem. Een week geleden meldde Fortinet dat aanvallers CVE-2025-64328 gebruiken om de EncystPHP-webshell op kwetsbare FreePBX-servers te installeren. Via de webshell kunnen de aanvallers toegang tot de server behouden en verdere aanvallen uitvoeren. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft het FreePBX-lek inmiddels toegevoegd aan het overzicht van actief aangevallen kwetsbaarheden, maar geeft geen details over de aanvallen. Vorig jaar werd een ander FreePBX-lek (CVE-2025-57819) nog gebruikt voor het hacken van honderden telefooncentrales. bron: https://www.security.nl

Microsoft heeft een testversie van Windows 11 met ingebouwde Sysmon-functionaliteit gelanceerd. Volgens het techbedrijf helpt de tool bij het detecteren van dreigingen. System Monitor (Sysmon) is een onderdeel van Microsoft Sysinternals, een verzameling tools voor het analyseren, beheren en troubleshooten van systemen en applicaties, alsmede 'threat hunting', zoals het zoeken naar malware. Sysmon verzamelt uitgebreide informatie over systeemactiviteiten en slaat die op in de Windows eventlog. Deze informatie kan onder andere worden gebruikt om malware te identificeren. Windows-gebruikers moesten de software altijd apart downloaden, maar Microsoft heeft die nu toegevoegd aan Windows en beschikbaar gemaakt in een testversie van Windows 11. Sysmon staat standaard uitgeschakeld en moet expliciet door gebruikers worden ingeschakeld. Gebruikers die Sysmon via de website van Microsoft hebben gedownload moeten die eerst verwijderen voordat ze de ingebouwde Sysmon inschakelen. bron: https://www.security.nl

De Europese Commissie test een interne communicatietool gebaseerd op het Matrix-protocol, dat end-to-end versleutelde communicatie mogelijk maakt. Op dit moment wordt Microsoft Teams als primaire communicatietool gebruikt en Signal als back-up, zo liet een EU-functionaris afgelopen oktober tijdens The Matrix Conference al weten. Signal zou echter voor een organisatie zo groot als de Europese Commissie niet flexibel genoeg zijn. "Als onderdeel van onze inspanning om meer soevereine digitale oplossingen te gebruiken, test de Europese Commissie een interne communicatie-oplossing gebaseerd op het Matrix-protocol", aldus een woordvoerder tegenover Euractiv. Brussel wil zo kijken of Matrix als aanvulling en back-up voor bestaande interne communicatiesoftware kan dienen. Er zijn volgens Euractiv dan ook nog geen plannen om Microsoft Teams door de Matrix-oplossing te vervangen. bron: https://www.security.nl