Captain Kirk

Fortinet waarschuwt organisaties voor een actief aangevallen kritieke kwetsbaarheid in FortiOS en andere producten waardoor een aanvaller toegang tot systemen kan krijgen. Er zijn voor verschillende productversies updates beschikbaar gesteld om het probleem (CVE-2026-24858) te verhelpen, maar sommige versies wachten nog op een patch. De kwetsbaarheid maakt het mogelijk voor aanvallers met een FortiCloud-account en een geregistreerd apparaat om op andere apparaten in te loggen die aan andere accounts zijn gekoppeld, als FortiCloud SSO-authenticatie voor deze apparaten staat ingeschakeld. Via de FortiCloud SSO login kunnen gebruikers via één set inloggegevens op verschillende Fortinet-producten inloggen. FortiOS is het besturingssysteem van Fortinet dat op allerlei netwerkapparaten draait, zoals firewalls en switches. Fortinet zegt dat het twee malafide Fortinet-accounts heeft ontdekt die misbruik van de kwetsbaarheid maakten. Deze accounts werden op 22 januari door Fortinet uitgeschakeld. Hoeveel apparaten via deze accounts zijn gecompromitteerd laat Fortinet niet weten. Fortinet besloot op 26 januari FortiCloud SSO aan de FortiCloud-kant uit te schakelen waardoor klanten de inlogmethode niet konden gebruiken. Een dag later werd de inlogmethode weer ingeschakeld, behalve voor apparaten die een kwetsbare versie draaien. Klanten moeten daardoor hun Fortinet-producten updaten als ze via Fortinet SSO willen kunnen inloggen. CVE-2026-24858 is aanwezig in FortiAnalyzer, FortiManager, FortiOS en FortiProxy. Voor verschillende versies van deze producten zijn beveiligingsupdates beschikbaar gesteld, maar voor sommige versies is een patch nog niet beschikbaar. Verder stelt Fortinet dat wordt onderzocht of FortiWeb en FortiSwitch Manager ook kwetsbaar zijn. Verder heeft Fortinet ook Indicators of Compromise beschikbaar gesteld waarmee organisatie kunnen controleren of hun Fortinet-producten zijn gecompromitteerd. Het Amerikaanse cyberagentschap CISA heeft overheidsinstanties opgedragen om de updates voor 30 januari te installeren. bron: https://www.security.nl

Een kwetsbaarheid in OpenSSL kan in bepaalde gevallen remote code execution op systemen mogelijk maken. Er zijn nieuwe versies van de software beschikbaar gesteld waarin het probleem, aangeduid als CVE-2025-15467, is verholpen. Bij het verwerken van bepaalde CMS (Cryptographic Message Syntax) messages, voorzien van speciaal geprepareerde parameters, kan er een stack buffer overflow ontstaan die kan leiden tot een crash en mogelijk remote code execution. "Applicaties en services die onbetrouwbare CMS of PKCS#7 content verwerken met behulp van AEAD ciphers (bijvoorbeeld S/MIME AuthEnvelopedData met AES-GCM) zijn kwetsbaar. Omdat de overflow zich voor de authenticatie voordoet is er geen geldig key materiaal vereist om het te veroorzaken", aldus het beveiligingsbulletin. De mogelijkheid tot remote code execution misbruik hangt volgens het OpenSSL-team af van het betreffende platform, maar de ontwikkelaars waarschuwen dat de "stack-based write primitive" een ernstig risico vormt. De kwetsbaarheid is aanwezig in OpenSSL 3.6, 3.5, 3.4, 3.3 en 3.0. OpenSSL 1.1.1 en 1.0.2 zijn niet kwetsbaar. De impact is beoordeeld als "High". Dergelijke kwetsbaarheden worden zelden in OpenSSL gevonden. De afgelopen drie jaar ging het om slechts twee van dergelijke beveiligingslekken. Gebruikers worden opgeroepen om te upgraden naar OpenSSL 3.6.1, 3.5.5, 3.4.4, 3.3.6 of 3.0.19. Deze versies verhelpen ook verschillende andere kwetsbaarheden, maar de impact daarvan is lager beoordeeld. OpenSSL behoort tot de meest gebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen. Kwetsbaarheden in OpenSSL kunnen zeer grote gevolgen voor het internet hebben, zo heeft de Heartbleed Bug in het verleden aangetoond. bron: https://www.security.nl

Onderzoekers hebben zestien malafide extensies voor Google Chrome en Microsoft Edge ontdekt die zich voordoen als verbetering en optimalisatie van ChatGPT, maar in werkelijkheid session tokens van gebruikers stelen en terug naar de aanvallers sturen. Met deze tokens krijgen aanvallers toegang tot gegevens van gebruikers, waaronder gespreksgeschiedenis en metadata. Dat meldt securitybedrijf LayerX op basis van eigen onderzoek. De zestien malafide extensies, waarvan vijftien voor Chrome en één voor Edge, zijn bij elkaar zo'n negenhonderd keer gedownload, wat zeer weinig is in vergelijking met andere malafide extensies die ChatGPT-gesprekken stelen. Sommige van deze extensies die recentelijk zijn ontdekt waren honderdduizenden keren gedownload. Volgens de onderzoekers is het belangrijk om alert te zijn op browser-extensies die integreren met AI-platforms waarvoor moet worden ingelogd. Securitybedrijf Symantec kwam ook met een waarschuwing voor malafide Chrome-extensies met de naam "Children Protection", "Good Tab", "DPS Websafe" en "Stock Informer" die legitiem lijken, maar in werkelijkheid cookies en data van het clipboard stelen en zoekopdrachten van gebruikers kapen. Deze extensies zijn bij elkaar meer dan 100.000 keer gedownload. bron: https://www.security.nl

Zo'n zesduizend SmarterMail-servers bevatten een kritieke kwetsbaarheid waardoor ongeauthenticeerde aanvallers het wachtwoord van de administrator kunnen resetten, zo laat The Shadowserver Foundation op basis van eigen onderzoek weten. Meerdere partijen melden dat aanvallers actief misbruik maken van het beveiligingslek, aangeduid als CVE-2026-23760. Op 15 januari kwam ontwikkelaar SmarterTools met SmarterMail Build 9511 waarin het probleem is verholpen. SmarterMail wordt omschreven als een Windows/Linux-gebaseerde mailserver en groupware-alternatief voor Microsoft Exchange. Gebruikers van SmarterMail kunnen hun wachtwoord resetten. Bij een normale resetprocedure controleert SmarterMail het oude wachtwoord van de gebruiker voordat er een nieuw wachtwoord wordt ingesteld. Onderzoekers van watchTowr ontdekten een endpoint waardoor het mogelijk is om zonder geldig wachtwoord een reset voor elke willekeurige gebruiker uit te voeren. De betreffende API (application programming interface) vereist een oud wachtwoord, maar controleert niet of die juist is. Het enige dat een aanvaller daardoor nodig heeft is de gebruikersnaam van het admin-account en een nieuw wachtwoord om zo admin-toegang tot de mailserver te krijgen. Zodra de aanvaller als admin is ingelogd kan die een nieuw volume mounten en dat van willekeurige commando's voorzien, die vervolgens door het onderliggende besturingssysteem worden uitgevoerd. "Op dat moment heeft de aanvaller volledige remote code execution op de onderliggende host", aldus de onderzoekers. The Shadowserver Foundation is een stichting die zich bezighoudt met onderzoek naar kwetsbare systemen op internet. Het voerde een scan uit naar SmarterMail-servers en keek daarbij naar het gebruikte versienummer. Dit leverde zesduizend servers met een kwetsbare versie op, waarvan 62 in Nederland. Het Amerikaanse cyberagentschap CISA meldt dat aanvallers actief misbruik van CVE-2026-23760 maken. Eerder werd dit ook gemeld door securitybedrijf watchTowr. Op het forum van SmarterTools wordt beheerders verteld dat als hun admin-wachtwoord niet meer werkt, ze ervan moeten uitgaan dat hun server is gehackt. bron: https://www.security.nl

Muziekdienst SoundCloud heeft de persoonlijke gegevens van zo'n 30 miljoen gebruikers gelekt. Het gaat om e-mailadressen, locatiegegevens, namen, profielstatistieken, avatars en gebruikersnamen. SoundCloud maakte het datalek zelf al vorige maand bekend. De muziekdienst stelde toen dat aanvallers op een systeem hadden ingebroken en er data was buitgemaakt van twintig procent van de SoundCloud-gebruikers. Een exact aantal slachtoffers werd niet gecommuniceerd. Hoe de aanvallers toegang tot het "ancillary service dashboard" wisten te krijgen werd ook niet door SoundCloud bekendgemaakt. De gestolen e-mailadressen zijn nu toegevoegd aan Have I Been Pwned. Via de datalekzoekmachine kunnen mensen kijken of hun e-mailadres in een bekend datalek voorkomt. Van de bijna 30 miljoen gestolen e-mailadressen was 67 procent al via een ander datalek bij de zoekmachine bekend. bron: https://www.security.nl

Beste dirk69, Ik zag dat je iets hierover naar mij gerapporteerd hebt. Maar zie niet zo snel waarom. Geen probleem. Ik ben zelf niet zo thuis in de Samsung telefoons maar heb wel dit voor je op het internet gevonden. Misschien staat er een manier tussen die voor jouw reddend is: Alle manieren om een Samsung-telefoon te ontgrendelen met een wachtwoord, pincode, patroon of schermvergrendeling Ik hoop dat daar een voor jou werkende manier tussen zit. Hou ons op de hoogte.

Microsoft heeft kritieke kwetsbaarheden in AI-chatbot Copilot gepatcht waardoor aanvallers informatie van gebruikers konden stelen. De "information disclosure" kwetsbaarheden waren aanwezig in Word Copilot (CVE-2026-21521) en M365 Copilot (CVE-2026-24307). Volgens de beschrijving van Microsoft ging de AI-chatbot niet goed om met bepaalde gebruikersinvoer, waardoor een ongeautoriseeerde aanvaller informatie had kunnen stelen. Verdere details over de twee problemen zijn niet gegeven. De impact van de twee kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 7.4 en 9.3. Ook in het geval van het Word Copilot-lek, dat de impactscore van 7.4 kreeg, spreekt Microsoft van een kritieke kwetsbaarheid. Beide problemen waren door externe onderzoekers gerapporteerd. Microsoft merkt op dat de updates inmiddels zijn doorgevoerd en gebruikers geen actie hoeven te ondernemen. bron: https://www.security.nl

Aanvallers maken actief misbruik van een nieuwe kwetsbaarheid in Fortinet FortiGate-firewalls waarvoor nog geen beveiligingsupdate beschikbaar is. De afgelopen dagen lieten verschillende firewall-beheerders weten dat hun volledig gepatchte FortiGate-firewall was gecompromitteerd. Het misbruik leek op een kritieke kwetsbaarheid waarvoor Fortinet in december updates had uitgebracht. Volgens Fortinet gaat het echter om een nieuw probleem dat inmiddels is geïdentificeerd. Het bedrijf werkt aan een beveiligingsupdate maar laat niet weten wanneer die beschikbaar komt. Ook is er nog geen beveiligingsbulletin gepubliceerd. Wel laat Fortinet weten dat alleen misbruik van FortiCloud SSO is waargenomen, maar het probleem alle SAML SSO-implementaties raakt. Organisaties kunnen in afwachting op een beveiligingsupdate de FortiCloud SSO feature uitschakelen. Dat voorkomt misbruik via deze methode, maar niet via een third-party systeem. Fortinet adviseert deze mitigatie alleen in combinatie met een "local-in policy" uit te voeren. Verder zijn er verschillende Indicators of Compromise gegeven waarmee organisaties kunnen kijken of hun firewalls zijn gecompromitteerd. Securitybedrijf Arctic Wolf heeft ook meer details over de aanvallen. bron: https://www.security.nl

Aanvallers maken actief misbruik van een nieuwe kwetsbaarheid in SmarterMail om het wachtwoord van administrators te resetten. Zodra er admintoegang is verkregen is ook remote code execution op de onderliggende server mogelijk, zo laat securitybedrijf watchTowr weten. Een beveiligingsupdate voor het probleem, dat nog geen CVE-nummer heeft, verscheen op 15 januari. Twee dagen later werden de eerste aanvallen al waargenomen. SmarterMail wordt omschreven als een Windows/Linux-gebaseerde mailserver en groupware-alternatief voor Microsoft Exchange. Gebruikers kunnen hun wachtwoord resetten. Bij een normale resetprocedure controleert SmarterMail het oude wachtwoord van de gebruiker voordat er een nieuw wachtwoord wordt ingesteld. Onderzoekers van watchTowr ontdekten een endpoint waardoor het mogelijk is om zonder geldig wachtwoord een reset uit te voeren. De betreffende API (application programming interface) vereist een oud wachtwoord, maar controleert niet of de juist is. Het enige dat een aanvaller daardoor nodig heeft is de gebruikersnaam van het admin-account en een nieuw wachtwoord om zo admin-toegang tot de mailserver te krijgen. Zodra de aanvaller als admin is ingelogd kan die een nieuw volume mounten en dat van willekeurige commando's voorzien, die vervolgens door het onderliggende besturingssysteem worden uitgevoerd. "Op dat moment heeft de aanvaller volledige remote code execution op de onderliggende host", aldus de onderzoekers. SmarterTools, de ontwikkelaar van SmarterMail, werd op 8 januari over het probleem ingelicht. Een week later op 15 januari verscheen een beveiligingsupdate, waarbij dit ook duidelijk in de release notes werd vermeld. SmarterTools kwam eerder nog onder vuur te liggen omdat het bij een vorige release had nagelaten te vermelden dat een kritiek probleem was opgelost. WatchTowr wilde eigenlijk de details nog niet vrijgeven, maar besloot dat wel te doen. Aanvallers maken namelijk al sinds 17 januari misbruik van het lek, zo blijkt ook uit berichten op het forum van SmarterTools. bron: https://www.security.nl

Volledig gepatchte Fortinet FortiGate-firewalls zijn het doelwit van aanvallen en Fortinet zou inmiddels tegenover klanten hebben bevestigd dat er een update voor het onderliggende probleem wordt ontwikkeld, zo laten beheerders weten. Gisteren verscheen er een bericht op Reddit waar verschillende systeembeheerders melding maakten van aanvallen op hun volledig gepatchte FortiGate-firewall. De beheerders merkten op dat de aanvallen leken op misbruik van een andere kwetsbaarheid waarvoor Fortinet een aantal weken geleden met een update kwam. Via dit kritieke beveiligingslek (CVE-2025-59718) kan een aanvaller de authenticatie omzeilen en zo toegang tot apparaten krijgen. Gisteren liet securitybedrijf Arctic Wolf weten dat het sinds 15 januari nieuwe aanvallen ziet waarbij Fortigate-firewalls worden aangevallen. Bij deze aanvallen worden wijzigingen aan de firewall doorgevoerd. Zo maken de aanvallers accounts aan om toegang te behouden en stellen vervolgens vpn-toegang voor deze accounts in. Tevens wordt de firewallconfiguratie gestolen. Volgens Arctic Wolf is er sprake van een "developing situation" en zal het meer technische informatie delen zodra die beschikbaar komt. De beheerders die op Reddit als eerste melding van de aanvallen maakten laten inmiddels weten dat Fortinet tegenover hen heeft bevestigd dat CVE-2025-59718 ondanks de eerder uitgebrachte patches nog steeds aanwezig is en er nieuwe updates voor het probleem worden ontwikkeld. Fortinet heeft echter nog geen beveiligingsbulletin hierover uitgebracht. bron: https://www.security.nl

Een WordPress-plug-in die op meer dan twintigduizend websites is geïnstalleerd is door een medewerker voorzien van een backdoor, zo meldt securitybedrijf Wordfence op basis van contact met het ontwikkelteam. Een update om de backdoor te verwijderen is uitgebracht, maar de meeste websites hebben die nog niet geïnstalleerd. Via de backdoor kan een ongeauthenticeerde aanvaller administrators aan de website toevoegen en die zo volledig overnemen. Het probleem is aanwezig in de plug-in LA-Studio Element Kit for Elementor, die meer dan twintigduizend installaties telt. Elementor is een zogeheten "page builder" plug-in die de standaard WordPress-editor vervangt. Het biedt gebruikers meer vrijheid en mogelijkheden voor het vormgeven van hun WordPress-site en introduceert allerlei extra functionaliteit. Meer dan tien miljoen WordPress-sites maken gebruik van Elementor. Voor Elementor zijn ook weer allerlei plug-ins en uitbreidingen beschikbaar, waaronder LA-Studio Element Kit for Elementor. De plug-in biedt widgets, themes en andere aanpassingen om eenvoudiger van Elementor gebruik te maken. Een onderzoeker ontdekte dat het mogelijk is om tijdens het registreren van een account een aparte parameter op te geven waarmee men administrator kan worden. De betreffende functie was geobfusceerd om zo detectie te voorkomen. Securitybedrijf Wordfence vroeg het ontwikkelteam om opheldering. Dat liet weten dat een voormalige medewerker de backdoor had toegevoegd. Deze persoon zou eind december zijn ontslagen. De laatste aanpassing aan de backdoor werd een paar dagen eerder gemaakt, aldus Wordfence. Volgens het securitybedrijf is dit een belangrijke reminder als het gaat om insider-dreigingen en dat organisaties de juiste controles en procedures moeten hebben voor het omgaan met ontslagen personeel en geregeld de activiteiten van medewerkers moeten monitoren. De backdoor is verwijderd in versie 1.6.0 van de plug-in, die een week geleden uitkwam. Nergens in de release notes wordt de aanwezigheid van de backdoor vermeld. Daarnaast blijkt uit cijfers van WordPress.org dat de update pas door zo'n vijfduizend websites is geïnstalleerd. bron: https://www.security.nl

GitLab heeft vandaag beveiligingsupdates uitgebracht die meerdere kwetsbaarheden verhelpen, waaronder één die het mogelijk maakt om de tweefactorauthenticatie (2FA) van gebruikers te omzeilen. Beheerders, gebruikers en organisaties worden door GitLab opgeroepen om zo snel mogelijk te updaten naar versie 18.8.2, 18.7.2 of 18.6.4. GitLab is een populaire online DevOps-tool voor het ontwikkelen van software. Organisaties kunnen GitLab op hun eigen server of servers installeren. Een kwetsbaarheid in de software (CVE-2026-0723) maakt het mogelijk voor een aanvaller met kennis van het "credential ID" van het slachtoffer, om door middel van vervalste device responses de tweefactorauthenticatie te omzeilen. Het probleem, wat wordt omschreven als een "unchecked return value issue", is zowel in de GitLab Community Edition (CE) als Enterprise Edition (EE) aanwezig. Verdere details zijn niet door GitLab gegeven. Daarnaast zijn er in de nieuwe versies ook verschillende kwetsbaarheden verholpen die een denial of service mogelijk maken. bron: https://www.security.nl

LastPass waarschuwt gebruikers van de wachtwoordmanager voor een phishingmail waarin wordt gevraagd om een back-up van de wachtwoordkluis te maken. Volgens het bericht, dat zogenaamd van LastPass afkomstig zou zijn, wordt er onderhoud aan de servers van de wachtwoordmanager uitgevoerd. Om tijdens het onderhoud toch bij opgeslagen wachtwoorden te kunnen wordt gevraagd om binnen 24 uur een "lokale back-up" te maken. De phishingmail bevat daarnaast instructies voor het maken van een back-up van de wachtwoordkluis. De knop om de back-up te maken wijst naar een phishingsite die het master password vraagt waarmee er online toegang tot de wachtwoordkluis van het slachtoffer kan worden verkregen. LastPass is een wachtwoordmanager die in de cloud draait. Gebruikers zijn geregeld het doelwit van phishingaanvallen. Vorige maand besloot de Britse privacytoezichthouder LastPass nog een boete van omgerekend 1,4 miljoen euro op te leggen wegens een groot datalek, waar alleen in het Verenigd Koninkrijk 1,6 miljoen mensen slachtoffer van werden. Van 1,2 miljoen Britten werd ook de wachtwoordkluis gestolen. Blockchain-intelligenceplatform TRM Labs stelde laatste dat meerdere diefstallen van cryptovaluta tot het datalek zijn terug te leiden. bron: https://www.security.nl

Oracle waarschuwt organisaties voor kritieke kwetsbaarheden in populaire producten en heeft beveiligingsupdates uitgebracht om de problemen te verhelpen. Vanwege het risico op aanvallen worden organisaties door Oracle opgeroepen de patches zo snel mogelijk te installeren. Het bedrijf stelt dat het berichten blijft ontvangen van klanten die gehackt zijn omdat ze beschikbare updates niet hadden geïnstalleerd. In tegenstelling tot bijvoorbeeld Adobe of Microsoft komt Oracle ééns per kwartaal met beveiligingsupdates. Tijdens de Critical Patch Update van januari zijn in totaal 337 patches uitgebracht. Dat wil niet zeggen dat er ook sprake is van 337 kwetsbaarheden, omdat sommige kwetsbaarheden in meerdere Oracle-producten aanwezig zijn en die elk hun eigen patch ontvangen. In totaal zijn er elf kwetsbaarheden aangemerkt als kritiek. Op een schaal van 1 tot en met 10 is de impact van tien van deze beveiligingslekken beoordeeld met een 9.8 of hoger. Twee kwetsbaarheden (CVE-2025-66516 en CVE-2026-21962) hebben zelfs de maximale impactscore van 10.0. De kritieke kwetsbaarheden zijn aanwezig in Primavera Unifier, Business Process Management Suite, HTTP Server, Weblogic Server Proxy Plug-in, Middleware Common Libraries and Tools, Data Integrator, Fusion Middleware, Outside In Technology, AutoVue Office, Spatial and Graph, Health, Sciences Information Manager, MySQL Server, PeopleSoft Enterprise PeopleTools, Siebel CRM Cloud Applications, Agile Product Lifecycle Management for Process, Communications Operations Monitor, Communications Order and Service Management, Communications Unified Assurance en Commerce Guided Search. De volgende patchronde staat gepland voor 21 april. bron: https://www.security.nl

Spyware is één van de grootste bedreigingen voor fundamentele rechten en democratie en moet daarom in de Europese Unie worden verboden, zo vindt de Europese burgerrechtenbeweging EDRi. Spyware blijft echter in Europa gebruikt worden, wat tot normalisatie leidt, aldus de organisatie. "Ondanks allerlei schandalen in zeker veertien lidstaten, en duidelijk bewijs van mensenrechtenschendingen, hebben zowel de Europese Commissie als de lidstaten geen rode lijn getrokken", laat EDRi weten. Uit onderzoek dat het Europees Parlement liet uitvoeren bleek dat onder andere in Hongarije, Polen, Griekenland, Cyprus en Spanje spyware tegen onder andere oppositie en journalisten is ingezet. Voormalig Europarlementariër en rapporteur van het onderzoeksrapport Sophie In't Veld stelde dat Europa geen politieke wil heeft om het gebruik en de verspreiding van spyware aan te pakken. Volgens EDRi kunnen slachtoffers van spyware nergens aankloppen, gaan commerciële spywareleveranciers ongestoord hun gang en floreert de Europese spywaremarkt, vaak dankzij publiek geld. Om meer handvatten te bieden is EDRi nu met een "document pool" gekomen, met allerlei informatie en standpunten over spyware. Via commerciële spyware, zoals Pegasus en Predator, kan volledige controle over de telefoon van slachtoffers worden verkregen. Zo kunnen microfoon en camera worden ingeschakeld om het slachtoffer en zijn omgeving te bespioneren, kunnen foto's, bestanden en andere gevoelige informatie van het toestel worden gestolen en is het mogelijk om de locatie van het slachtoffer te volgen. Spywareleveranciers gebruiken vaak kwetsbaarheden om de spyware op het toestel van slachtoffers te kunnen installeren. Problemen waar op het moment van de aanval nog geen update voor beschikbaar is. "Spyware is niet compatibel met mensenrechten omdat het indringend is, geheime toegang tot iemands persoonlijke toestel grote hoeveelheden informatie blootstelt en de integriteit van het apparaat in gevaar brengt. Dit maakt het onmogelijk om aan de vereisten te voldoen van de fundamentele rechten noodzakelijkheid en proportionaliteit en maakt het onmogelijk om toezicht op het gebruik ervan te houden", laat EDRi verder weten. EDRi pleit voor een algeheel verbod op commerciële spyware, het verhandelen van kwetsbaarheden en exploits gebruikt voor het verspreiden van spyware, het beschermen van ethisch cyberonderzoek en responsible disclosure voor het melden van kwetsbaarheden, het verbieden van het aanschaffen van producten van spywareleveranciers, het invoeren van gerichte sancties tegen spywareleveranciers en het ter verantwoording roepen van spywareleveranciers voor mensenrechtenschendingen. bron: https://www.security.nl

Tienduizenden WordPress-sites bevatten een kritieke kwetsbaarheid waardoor ze in theorie door aanvallers op afstand zijn over te nemen. Een beveiligingsupdate is al een maand beschikbaar, maar een groot aantal websites heeft die nog niet geïnstalleerd. De ontwikkelaars van Advanced Custom Fields: Extended hebben ook niet nadrukkelijk vermeld dat de update het kritieke beveiligingslek verhelpt. Advanced Custom Fields (ACF) is een zeer populaire uitbreiding die allerlei extra opties aan WordPress toevoegt. Meer dan twee miljoen websites maken er gebruik van. Advanced Custom Fields: Extended is weer een uitbreiding voor ACF die allerlei verbeteringen zou moeten toevoegen en op meer dan honderdduizend websites draait. Een beveiligingslek in ACF: Extended maakt het voor een ongeauthenticeerde aanvaller mogelijk om zich als administrator te registreren en zo volledige controle over de website te krijgen. Voorwaarde is wel dat de beheerder van de site bepaalde opties voor het registratieformulier heeft ingeschakeld. Iets dat volgens securitybedrijf Wordfence waarschijnlijk niet veel voorkomt. Ondanks de voorwaarden voor misbruik is de impact van de kwetsbaarheid (CVE-2025-14533) op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De ontwikkelaars van de plug-in werden op 11 december ingelicht en kwamen op 14 december met versie 0.9.2.2 waarin het probleem is verholpen. In de release notes wordt de aanwezigheid van het beveiligingslek niet vermeld. Er wordt alleen gesteld dat er "een beveiligingsmaatregel" is toegevoegd. Hoewel de update al een maand beschikbaar is, laten cijfers van WordPress.org zien dat zo'n 60.000 sites die nog niet hebben geïnstalleerd. bron: https://www.security.nl

Onderzoekers waarschuwen voor een malafide Google Chrome-extensie die zich voordoet als uBlock Origin Lite, maar in werkelijkheid de browser laat crashen om zo de gebruiker malware te laten installeren. Dat meldt securitybedrijf Huntress in een analyse. De malafide Chrome-extensie wordt geadverteerd via advertenties. Deze advertenties wijzen naar een extensie in de officiële Chrome Web Store. Zodra gebruikers de extensie installeren toont die een waarschuwing en voert vervolgens een denial of service-aanval uit op de browser, zodat die stopt met werken. Volgens deze zogenaamde waarschuwing zijn er beveiligingsproblemen gedetecteerd en moet de gebruiker die handmatig oplossen. De waarschuwing kopieert een malafide PowerShell-commando naar het clipboard en legt vervolgens de gebruiker uit hoe het commando in de terminal moet worden uitgevoerd. Zodra de gebruiker het commando uitvoert wordt er malware genaamd ModeloRAT op het systeem geïnstalleerd, waarmee de aanvallers volledige controle over de computer krijgen. Deze social engineering-techniek wordt ook wel ClickFix genoemd. Zodra gebruikers de browser via force-quit sluiten, zal de browser bij het opnieuw starten weer de waarschuwing tonen, wat weer leidt tot de denial of service. Pas als de gebruiker de extensie verwijdert zal de browser weer gewoon werken. Om te voorkomen dat de gebruiker de zogenaamde adblocker echter vermoedt, is de extensie zo geprogrammeerd dat de eerste waarschuwing pas na een uur verschijnt. bron: https://www.security.nl

Certificaatautoriteit Let's Encrypt biedt vanaf nu ook tls-certificaten aan met een levensduur van zes dagen. Volgens Matthew McPherrin van het ISRG, de organisatie achter Let's Encrypt, verbeteren certificaten met een korte levensduur de veiligheid, omdat ze vaker validatie vereisen en minder afhankelijk zijn van "onbetrouwbare intrekmechanismes". Op dit moment zijn de door Let's Encrypt uitgegeven tls-certificaten negentig dagen geldig. Certificaten die maar zes dagen geldig zijn zouden de periode dat misbruik kan plaatsvinden drastisch verminderen, omdat ze juist zo snel verlopen. Daarnaast zijn ze ook minder afhankelijk van de methodes die nu worden gebruikt om gecompromitteerde of ongeldig uitgegeven certificaten in te trekken. "Helaas is het intrekken een onbetrouwbaar systeem, waardoor veel afhankelijke partijen kwetsbaar blijven totdat het certificaat verloopt", aldus McPherrin. Vooralsnog zijn de "short-lived" certificaten opt-in en moeten gebruikers van Let's Encrypt hier zelf voor kiezen. Gebruikers die het vernieuwingsproces van hun certificaten volledig hebben geautomatiseerd zouden volgens McPherrin eenvoudig naar de zesdaagse certificaten moeten kunnen overstappen. Onlangs maakte Let's Encrypt al bekend dat de standaard levensduur van certificaten die het uitgeeft wordt verkort van 90 naar 45 dagen. Dat staat gepland voor begin 2028. bron: https://www.security.nl

Microsoft heeft actie ondernomen tegen een dienst die virtual machines aan criminelen verhuurt. Volgens Microsoft wordt RedVDS voor allerlei criminele doeleinden gebruikt, waaronder het versturen van phishingmails, het hosten van "scam infrastructure" en het faciliteren van online fraude. Afnemers van de dienst krijgen voor 24 dollar per maand toegang tot vm's. "In slechts één maand stuurden meer dan 2600 unieke RedVDS virtual machines gemiddeld een miljoen phishingmails per dag naar alleen Microsoft-klanten", aldus Microsoft. Het techbedrijf stelt dat aanvallen die sinds september vorig jaar via RedVDS werden uitgevoerd tot 191.000 gecompromitteerde organisaties en accounts wereldwijd hebben geleid. Als onderdeel van de actie tegen RedVDS zijn twee domeinen in beslag genomen en is "het grondwerk" gelegd om de beheerders van de dienst te identificeren, zo laat Microsoft verder weten. Het techbedrijf zegt verder samen te werken met Europol om de servers en betaalnetwerken van RedVDS aan te pakken. Er zijn nog geen verdachten aangehouden. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in Fortinet FortiSIEM waarvoor op 13 januari beveiligingsupdates verschenen, zo meldt securitybedrijf Defused. FortiSIEM is een Security Information and Event Management (SIEM) platform van Fortinet waarmee organisaties dreigingen in hun netwerkomgeving kunnen detecteren. De kwetsbaarheid, aangeduid als CVE-2025-64155, maakt het mogelijk voor ongeauthenticeerde aanvallers om willekeurige code of commando's op het systeem uit te voeren. Hiervoor volstaat het versturen van speciaal geprepareerde TCP-requests. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.4. Het probleem werd gevonden en gerapporteerd door securitybedrijf Horizon3.ai. Dat kwam op 13 januari met een technische beschrijving van de kwetsbaarheid en het maakte proof-of-concept exploitcode beschikbaar. Via het beveiligingslek kan een aanvaller willekeurige bestanden als admin naar het systeem schrijven. Een ander probleem maakt het mogelijk om van admin root te worden en zo volledige controle over het systeem te krijgen. Beide problemen kregen CVE-2025-64155 toegewezen. Securitybedrijf Defused laat via X weten dat het inmiddels verschillende ip-adressen heeft waargenomen die misbruik van de kwetsbaarheid proberen te maken. Verdere details over deze aanvallen zijn niet gegeven. bron: https://www.security.nl

Cisco heeft beveiligingsupdates uitgebracht voor een actief misbruikte kwetsbaarheid in de Cisco Secure Email Gateway en Cisco Secure Email & Web Manager die al een maand bekend is. Via het kritieke beveiligingslek kan een aanvaller willekeurige commando's met rootrechten op het onderliggende besturingssysteem van de appliance uitvoeren. Cisco waarschuwde op 17 december voor het probleem, maar had toen nog geen patches beschikbaar. De impact van de kwetsbaarheid (CVE-2025-20393) is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. De Secure Email Gateway, eerder bekend als Email Security Appliance, en de Secure Email & Web Manager, eerder bekend als Security Management Appliance (SMA), zijn zowel virtuele als hardwarematige appliances voor het filteren van e-mailverkeer op allerlei dreigingen. De aanvallen waarvoor Cisco een maand geleden waarschuwde zijn gericht tegen zowel de fysieke als virtuele versies van Cisco Secure Email Gateway en Cisco Secure Email & Web Manager. Voorwaarde voor misbruik is dat de appliance is geconfigureerd met de Spam Quarantine feature en deze feature vanaf het internet bereikbaar is. Cisco merkt op dat de Spam Quarantine feature niet standaard staat ingeschakeld. Zodra de aanvallers een apparaat hebben gehackt installeren ze een "persistent covert channel" om op afstand toegang tot het apparaat te behouden. Het netwerkbedrijf heeft het beveiligingsbulletin nu voorzien van meer informatie over de kwetsbaarheid, de beschikbaarheid van beveiligingsupdates en welke versies precies kwetsbaar zijn. Cisco liet eerder al weten dat het beveiligingslek zeker sinds eind november bij aanvallen is ingezet. Hoeveel systemen wereldwijd zijn gecompromitteerd is onbekend. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in de plug-in Modular DS voor het aanvallen en overnemen van WordPress-sites. Een beveiligingsupdate is inmiddels beschikbaar, maar het beveiligingslek werd al voor het uitkomen van de patch misbruikt, zo meldt securitybedrijf Patchstack. Beheerders en websites die van de plug-in gebruikmaken zijn opgeroepen om te controleren of hun website niet al is gehackt. Modular DS is een plug-in voor het beheer en monitoren van WordPress-sites. Het maakt het mogelijkk om plug-ins, themes en WordPress zelf te updaten, uptime en prestaties van de website te monitoren, back-ups te maken, database-optimalisaties door te voeren en nog een aantal andere zaken. Ruim dertigduizend websites hebben de plug-in geïnstalleerd. Het beveiligingslek, aangeduid als CVE-2026-23550, maakt het mogelijk voor een ongeauthenticeerde aanvaller om de authenticatie te omzeilen en als admin in te loggen. Zodoende kan er volledige controle over de website worden verkregen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Patchstack ontdekte op 14 januari aanvallen waarbij het lek werd misbruikt en rapporteerde de kwetsbaarheid vervolgens aan de ontwikkelaar. Die kwam anderhalf uur later al met een update. Sinds het uitbrengen van de beveiligingsupdate is die door 35.000 websites geïnstalleerd. Het installeren van de patch alleen is niet voldoende. De ontwikkelaars roepen gebruikers op om na de installatie van de update hun logbestanden op verdachte requests te controleren en de naar de bestaande admin-gebruikers te kijken of daar geen onverwachte admins tussenzitten. Verder wordt aangeraden om WordPress salts en OAuth credentials opnieuw te genereren en de website op de aanwezigheid van malafide plug-ins te controleren. bron: https://www.security.nl

Het op privacy gerichte besturingssysteem Tails is gestopt met het aanbieden van downloads via BitTorrent. "De BitTorrent versie 1 bestanden die we tot nu toe hebben aangeboden kunnen een beveiligingsrisico worden. We denken dat het updaten naar BitTorrent versie 2 de extra migratie- en onderhoudskosten voor ons team niet waard is", aldus een verklaring van de ontwikkelaars. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Het privacy-OS kan vanaf een usb-stick of dvd worden gestart. Het maakt gebruik van het Tor-netwerk om het ip-adres van de gebruiker af te schermen en biedt allerlei op privacy gerichte applicaties. De installatiebestanden van Tails waren altijd te downloaden via HTTPS en BitTorrent. Deze laatste optie is met de release van Tails 7.4 niet meer beschikbaar. Vorig jaar maart vond elf procent van de Tails-downloads nog plaats via BitTorrent. Toch is er nu besloten deze downloadmethode te laten vallen. Hiervoor wordt onder andere gewezen naar de eerder genoemde BitTorrent versie 1 bestanden. Die maken gebruik van hashingalgoritme SHA-1, wat volgens de ontwikkelaars een beveiligingsrisico is. Via de hash kunnen gebruikers de integriteit van hun download verifiëren. Daarnaast zijn er ook nog andere bezwaren, zoals de ondersteuning van BitTorrent versie 2 door sommige clients en dat het uitbrengen van nieuwe Tails-versies door trage downloads van de BitTorrent seed soms vertraging opliep. Verder stelt het ontwikkelteam dat het direct downloaden van Tails via één van de mirrors meestal sneller is. bron: https://www.security.nl

Vpn-provider Mullvad is volledig gestopt met de ondersteuning van OpenVPN. Gebruikers van de vpn-dienst kunnen daardoor niet meer via OpenVPN verbinding met de vpn-servers van Mullvad maken. "WireGuard is de toekomst", zo liet Mullvad onlangs nog weten. OpenVPN is een populair vpn-protocol dat in 2001 werd gelanceerd. WireGuard verscheen in 2015. Volgens Mullvad biedt WireGuard inmiddels dezelfde obfuscatie als OpenVPN, maar met veel betere security en prestaties. Eind 2024 liet de vpn-provider al weten dat het van plan was om OpenVPN in de eigen systemen uit te faseren. Dat moment is vandaag gekomen. Mullvad stelt dat gebruikers in de meeste gevallen zelf geen actie hoeven te ondernemen. Gebruikers die eerder OpenVPN als vpn-protocol hadden gekozen worden namelijk automatisch overgezet naar WireGuard. Alleen in gevallen waarbij er een specifieke OpenVPN-server of locatie met alleen een OpenVPN-server was geselecteerd, kan er geen verbinding met de vpn-servers van Mullvad worden gemaakt en moet er handmatig een nieuwe locatie worden gekozen. Gebruikers die via een externe app of router gebruikmaken van de Mullvad OpenVPN-servers moeten hier ook aanpassingen in doorvoeren, omdat deze servers vandaag offline worden gehaald. "Als je nog ergens gebruikmaakt van OpenVPN adviseren we je om op WireGuard over te stappen", aldus de vpn-provider een aantal weken geleden. Gisteren maakte vpn-provider Proton VPN bekend dat het support van OpenVPN in de eigen apps gaat stoppen. bron: https://www.security.nl

Firewalls van Palo Alto Networks zijn via een denial of service (dos) kwetsbaarheid door ongeauthenticeerde aanvallers op afstand uit te schakelen. Het bedrijf heeft beveiligingsupdates uitgebracht om het probleem te verhelpen. De kwetsbaarheid (CVE-2026-0227) bevindt zich in PAN-OS, het besturingssysteem dat op de firewalls van Palo Alto Networks draait. In het beveiligingsbulletin worden geen details over de kwetsbaarheid gegeven, behalve dat herhaaldelijk misbruik van het lek ervoor zorgt dat de firewall in de 'maintenance mode' gaat en dan geen bescherming meer biedt, totdat het apparaat weer in de operationele mode wordt gezet. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 8.7. Een soortgelijk beveiligingslek (CVE-2024-3393) is eind 2024 actief gebruikt bij aanvallen. Palo Alto Networks zegt niet bekend te zijn met misbruik van CVE-2026-0227. bron: https://www.security.nl