Captain Kirk

Stichting Privacy First is bang dat de wallet voor de Europese Digitale Identiteit (EUDI) toch verplicht wordt gesteld, ook al heeft het kabinet altijd gesteld dat het gebruik vrijwillig zal zijn. Daarnaast waarschuwt de privacystichting in een brief aan de Tweede Kamer voor andere risico's die bij het gebruik van de wallet komen kijken (pdf). De vrijwilligheid van de EUDI-wallet staat morgen op de agenda van de procedurevergadering van de commissie Financiën van de Tweede Kamer. De Europese Commissie presenteerde in 2021 plannen voor de invoering van een digitale identiteit waarmee burgers zich in de gehele Europese Unie kunnen identificeren. Vanuit een speciale wallet-app voor smartphones en 'andere apparaten' moeten burgers zich kunnen identificeren en elektronische documenten delen. Grote platformen zullen worden verplicht om de nieuwe Europese digitale identiteit te accepteren. Het kabinet heeft altijd gesteld dat het gebruik van de wallet vrijwillig zal zijn, maar Privacy First betwijfelt dit. Volgens de stichting zal de wallet als gevolg van nieuwe antiwitwasregels in de praktijk verplicht worden voor grote bedrijven met witwasbestrijdingsverplichtingen, zoals banken. In de eIDAS verordening is wel een vrijwilligheidsbepaling opgenomen, maar die wordt volgens Privacy First ondergraven doordat financiële instellingen in Nederland vrijwel geen fysieke kantoren meer hebben en in de praktijk aansturen op digitale identificatie van hun cliënten. De stichting stelt dat deze problematiek ook in andere domeinen dan de witwasbestrijding gaat spelen. "Overigens bevestigt de Europese Banken Federatie (EBF) in hun recente commentaar op de ontwerp-RTS dat de EUDI-wallet verplicht wordt gesteld", merkt Privacy First in de brief op. In de brief noemt de stichting ook andere risico's rond het gebruik van de EUDI-wallet en stelt het verschillende vragen aan de Kamerleden. Het gaat onder andere om hoe voorkomen wordt dat digitale identificatie een hulpmiddel wordt om mensen permanent in de gaten te houden en hun leven te beïnvloeden, waar de gegevens precies terechtkomen en of de wallet is te gebruiken zonder apparaat met een besturingssysteem van Big Tech, zoals Microsoft, Google of Apple. De wallet-app die de Nederlandse overheid op dit moment ontwikkelt vereist het gebruik van een Apple- of Google-account. bron: https://www.security.nl

OpenSSL komt op 9 juni met een belangrijke beveiligingsupdate, zo heeft het ontwikkelteam aangekondigd. De update verhelpt één of meerdere kwetsbaarheden waarvan de impact als "High" is bestempeld. Dergelijke kwetsbaarheden worden zelden in OpenSSL gerapporteerd. Sinds 2002 werden in totaal 22 kwetsbaarheden gerapporteerd met een High impact. De afgelopen drie en een half jaar ging het om slechts drie van dergelijke beveiligingslekken. Details over de kwetsbaarheden die volgende week worden verholpen geeft het OpenSSL-team niet. Beveiligingslekken die als High zijn aangemerkt maken het mogelijk voor aanvallers om bijvoorbeeld private keys van servers te stelen of remote code uit te voeren. De reden dat dergelijke kwetsbaarheden als High zijn aangemerkt en niet als Critical is dat het probleem niet bij standaardconfiguraties voorkomt of minder eenvoudig te misbruiken is. OpenSSL versies 4.0.1, 3.6.3, 3.5.7, 3.4.6 en 3.0.21 verschijnen op 9 juni tussen 15.00 en 19.00 uur Nederlandse tijd. Voor betalende klanten komen ook versies 1.0.2zq en 1.1.1zh beschikbaar. OpenSSL behoort tot de meest gebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen. Kwetsbaarheden in OpenSSL kunnen zeer grote gevolgen voor het internet hebben, zo heeft de Heartbleed Bug in het verleden aangetoond. bron: https://www.security.nl

Bij een bruteforce-aanval op online wachtwoordmanager Dashlane is van een aantal klanten de wachtwoordkluis gestolen, zo laat het bedrijf zelf weten. Dashlane biedt een cloudgebaseerde wachtwoordmanager waar gebruikers via een master password op kunnen inloggen. Dit weekend meldde Dashlane dat een niet nader genoemd aantal gebruikersaccounts het doelwit van een bruteforce-aanval was geworden en er daarop besloten was om de toegang tot deze accounts tijdelijk op te schorten. Gebruikers hadden daardoor enige tijd geen toegang tot hun wachtwoorden en andere inloggegevens die in de kluis waren opgeslagen. Volgens Dashlane was de bruteforce-aanval gericht op de tweefactorauthenticatie (2FA) beveiliging en probeerden de aanvallers nieuwe apparaten aan bestaande gebruikersaccounts toe te voegen. Vanwege het grote aantal pogingen werden aangevallen accounts automatisch geblokkeerd. Bij minder dan twintig gebruikers wisten de aanvallers de versleutelde wachtwoordkluis te downloaden. Om toegang tot de wachtwoorden te krijgen die in deze kluizen zijn opgeslagen is het master password van de betreffende gebruikers nodig. Dashlane stelt dat de gebruikte encryptie voor de wachtwoordkluizen lastig te kraken is. Getroffen gebruikers zijn inmiddels ingelicht. De wachtwoordmanager stelt verder dat het stappen heeft genomen om het risico op toekomstige incidenten te mitigeren. Wat die inhouden is niet bekendgemaakt. Daarnaast zijn er ook geen verdere details over de aanval gegeven. bron: https://www.security.nl

Tienduizenden WordPress-sites zijn via een kritiek lek in een plug-in genaamd Kirki zeer eenvoudig over te nemen. De ontwikkelaars hebben op 18 mei een update beschikbaar gesteld, maar veel websites missen op het moment van schrijven deze patch en zijn zodoende nog altijd kwetsbaar. Kirki is een 'freeform visual builder' voor het vormgeven en opzetten van WordPress-sites. Meer dan een half miljoen WordPress-sites maken er gebruik van. Via een kritieke kwetsbaarheid in Kirki kunnen aanvallers zonder al teveel moeite het account van de admin en andere gebruikers overnemen. De plug-in biedt via een 'forgot password' functie de optie voor het uitvoeren van een wachtwoordreset. De gebruiker moet hierbij zijn gebruikersnaam of e-mailadres opgeven. Op basis van het request zoekt de plug-in de bijbehorende gebruiker, genereert een key om het wachtwoord te resetten en stuurt de resetlink naar die gebruiker. Een kritieke logicafout in de plug-in zorgt ervoor dat een aanvaller de resetlink naar zijn eigen e-mailadres kan laten sturen. Wanneer een geldige gebruikersnaam wordt opgegeven zoekt de plug-in het bijbehorende account. In plaats van het bijbehorende e-mailadres te gebruiken zoals in de database staat, gebruikt de plug-in het e-mailadres dat in de 'forgot password request' is opgegeven. Een aanvaller kan zo zijn eigen e-mailadres opgeven en daarna bijvoorbeeld een resetlink voor het admin-account ontvangen. Daarmee is vervolgens de website volledig over te nemen. De ontwikkelaars van Kirki werden op 15 mei ingelicht en kwamen drie dagen later met versie 6.0.7 waarin het probleem is verholpen, zo meldt securitybedrijf Wordfence. De enige vermelding van de kwetsbaarheid in de release notes is deze regel: "Fix: Unauthenticated Privilege Escalation via ‘handle_forgot_password’". Het probleem raakt alleen Kirki versie 6.0 tot en met 6.0.6. Volgens WordPress.org draaien zo'n 200.000 websites versie 6.x. Dezelfde cijfers van WordPress.org laten ook zien dat tienduizenden sites de update nog niet hebben geïnstalleerd. bron: https://www.security.nl

Leeftijdsverificatie, of beter gezegd 'identiteitsverificatie', kan het einde van het vrije internet betekenen, zo vreest vpn-provider Mullvad. Het bedrijf stelt in een lang betoog dat het bang is voor een toekomst zoals beschreven in het boek 1984 van George Orwell, waarbij straks alleen door de staat geleverde telefoons en computers zijn toegestaan. Steeds meer landen zijn bezig met de invoering van leeftijdsverificatie voor social media en andere websites of hebben hier plannen voor. In sommige landen, waaronder het Verenigd Koninkrijk en de Verenigde Staten, wordt ook gesproken over leeftijdsverificatie voor vpn-providers. "Als leeftijdsverificatie wordt geïntroduceerd, zal iedereen zich moeten identificeren bij de service/website die ze willen gebruiken of tegenover een derde partij die hen kan koppelen aan hun activiteit op die service/website", aldus Mullvad. "De juiste term voor leeftijdsverificatie zoals het nu wordt geïmplementeerd is daarom identiteitsverificatie. Gegeven de infrastructuur van het internet is het onredelijk om aan te nemen dat deze informatie niet via commerciële overeenkomsten of met overheden zal worden gedeeld." De introductie van 'identiteitsverificatie' zal daarom de vrijheid van informatie aan banden leggen, stelt Mullvad. "Je kunt niet langer anoniem gereguleerde websites bezoeken en je kunt niet langer anoniem op social media reageren. Je weet niet langer of je kritiek op de overheid consequenties heeft. Je kunt niet langer een digitaal initiatief op social media starten om mensen bijeen te brengen om een autoriteit te bekritiseren, zonder dat dit grote gevolgen heeft. Afhankelijk van het land waar je woont kan dit zelfs je leven in gevaar brengen." 1984 Sommige landen pleiten ervoor om leeftijdsverificatie op het niveau van systemen, appstores of besturingssystemen in te bouwen. Gebruikers die zich hieraan willen onttrekken zouden in deze gevallen kunnen kiezen voor opensourcesystemen. Die zijn bij definitie niet volledig door de autoriteiten te besturen, omdat ze open en aanpasbaar zijn, merkt Mullvad op. "In dergelijke systemen kan niemand anders bepalen welke apps je downloadt of welke websites je bezoekt, en kan identiteitsverificatie niet worden opgelegd tenzij je er zelf voor kiest." Landen die volledige controle willen en dat iedereen identiteitsverificatie ondergaat zouden mensen dan ook moeten verbieden om eigen apparatuur te bezitten waar ze zelf de controle over hebben, gaat Mullvad verder. "Omdat opensourcesystemen niet te controleren zijn, zouden politici uiteindelijk apparaten moeten verbieden die niet door de staat worden gecontroleerd. Het eindpunt: telescreens zoals die in 1984 van George Orwell, apparaten die je zowel in de gaten houden als alleen door de staat goedgekeurde informatie uitzenden." 'Europese leeftijdsverificatie-app niet anoniem' Eerder dit jaar kwam de Europese Commissie met de claim dat de leeftijdsverificatie-app die het heeft ontwikkeld 'volledig anoniem' is. Dat is volgens Mullvad niet het geval. Gebruikers van de app moeten hun identiteit bij een derde partij verifiëren, bijvoorbeeld via een identiteitsbewijs. De derde partij die de verificatie uitvoert kunnen de EU-lidstaten zijn. De partij de verificatie uitvoert verstrekt vervolgens een credential waarmee het socialmediaplatform kan zien dat de betreffende gebruiker oud genoeg is. Volgens Mullvad is er een probleem met deze opzet. De derde partij weet namelijk welke credentials bij welke persoon horen. Wanneer de autoriteiten onwelgevallige content op social media tegenkomen zouden ze het platform om de bijbehorende leeftijds-credential kunnen vragen, waarmee het eenvoudig is om de bijbehorende persoon te identificeren. "Het gevolg is dat je niet meer anoniem kunt posten", waarschuwt de vpn-provider. Een oplossing voor dit probleem is Zero-Knowledge Proof (ZKP) cryptografie. Hierbij moeten gebruikers nog steeds hun identiteit bij een derde partij laten verifiëren, maar die partij kan de verstrekte credentials niet koppelen aan de accounts van gebruikers op websites en platforms. De Europese leeftijdsverificatie-app beschikt op dit moment niet over ZKP-functionaliteit. Zelfs als de app dit gaat ondersteunen zou het een optionele extra feature zijn die landen kunnen uitschakelen en die de EU op elk moment kan verwijderen, claimt Mullvad. De vpn-provider schrijft dat de "veiligheid" van kinderen al geruime tijd door inlichtingendiensten en autoriteiten wordt gebruikt als breekijzer voor het introduceren van massasurveillance. "De haast waarmee leeftijdsverificatie wordt ingevoerd, moet worden afgeremd, en politici die geen samenleving willen met totale surveillance van burgers, moeten de gevolgen van verschillende soorten wetgeving beseffen", besluit Mullvad het betoog. bron: https://www.security.nl

De afgelopen dagen hebben hackers tal van bekende en populaire Instagram-accounts overgenomen nadat ze Meta's AI-bot hadden gevraagd om het wachtwoord van de accounts te resetten. Op Telegram verschenen video's waarop te zien is hoe de aanval kan worden uitgevoerd, melden it-journalist Brian Krebs en 404 Media. De eerste stap is het gebruik van een vpn-verbinding met een ip-adres in de buurt van de locatie van het slachtoffer. Vervolgens voert de aanvaller een wachtwoordreset van het account uit en start dan een chat met Meta's AI support assistant. De aanvaller vraagt de AI-bot dan om het Instagram-account in kwestie te koppelen aan een nieuw e-mailadres, waarna de AI-bot een one-time code naar dat adres stuurt waarmee het wachtwoord is te wijzigen. Afgelopen maart maakte Meta bekend dat het AI-support aan alle accounts op Facebook en Instagram zou toevoegen en dat het ook in staat is om wachtwoorden te resetten. In een reactie op X laat Meta weten dat het probleem is opgelost en getroffen accounts worden beveiligd. Verdere details over de oorzaak van het probleem en het aantal gehackte accounts zijn niet gegeven. bron: https://www.security.nl

Een kritieke kwetsbaarheid in de plug-in WP Maps Pro, waardoor een ongeauthenticeerde aanvaller admin kan worden, raakt meer dan vijftienduizend websites. Er is een update uitgebracht om het probleem te verhelpen, maar het is onbekend hoeveel websites die hebben geïnstalleerd. Via WP Maps Pro kunnen WordPress-sites kaarten van Google Maps en OpenStreetMap integreren en daarop verschillende vestigingen of locaties tonen, alsmede routers en andere informatie. Het gaat hier om een commerciële plug-in, die volgens de ontwikkelaars bijna zestienduizend keer is verkocht. De plug-in beschikte over een 'tijdelijke toegangsfeature' waardoor de ontwikkelaar tijdelijk toegang tot de websites van klanten kon krijgen om zo eventuele problemen te verhelpen. Deze functie is beveiligd met een 'nonce check', maar een beveiligingsonderzoeker ontdekte dat ongeauthenticeerde gebruikers deze nonce kunnen achterhalen, waardoor ze de functie alsnog kunnen aanroepen om vervolgens admin-toegang tot de website krijgen, zo waarschuwt securitybedrijf Wordfence. Een aanvaller kan zo malafide plug-ins installeren, backdoors injecteren, data stelen of webshells installeren om toegang tot de gecompromitteerde server te behouden. Het ontwikkelteam kwam op 20 mei met versie 6.1.1 waarin een "temporary access permission issue" is verholpen. Inmiddels is versie 6.1.2 verschenen waarin de tijdelijke toegangsfeature vanwege een "security reason" volledig is verwijderd. In tegenstelling tot gratis WordPress-plug-ins die via WordPress.org worden aangeboden zijn er in het geval van commerciële plug-ins geen cijfers over versienummers bekend. Daardoor is het onduidelijk hoeveel websites met de plug-in WP Maps Pro up-to-date zijn. bron: https://www.security.nl

Onderzoekers hebben een manier gevonden waardoor websites hun bezoekers aan de hand van SSD-activiteit kunnen bespioneren. Zo is het mogelijk om te zien welke andere websites er worden bezocht en welke applicaties de bezoekers gebruikt, zonder dat hiervoor enige interactie voor is vereist. De 'FROST' sidechannel-aanval kent wel verschillende beperkingen, zoals het gebruik van bestanden van meer dan een gigabyte. Ook is de aanval alleen volledig op macOS getest (pdf). FROST maakt gebruik van JavaScript in combinatie met het Origin Private File System (OPFS). Via het OPFS kunnen websites en webapplicaties bestanden op een virtueel, gesandboxt filesystem van bezoekers opslaan. Websites kunnen deze opslagruimte zelf aanmaken, er is geen interactie van gebruikers vereist. In het geval van Firefox ondersteunt OPFS tien procent van de totale schijfruimte of tien gigabyte. Bij de aanval wordt een groot OPFS-bestand op de SSD-schijf van bezoekers aangemaakt en continu uitgelezen via JavaScript. Door de timing van bepaalde operaties op de SSD-schijf te meten wisten onderzoekers te bepalen welke websites de bezoeker in andere tabs open had en welke applicaties de bezoeker op dat moment had draaien. Wanneer de bezoeker een andere website bezoekt of applicatie gebruikt heeft dit gevolgen voor de snelheid waarmee het OPFS-bestand wordt uitgelezen. Door een convolutional neural network (CNN) te trainen kan vervolgens worden achterhaald welke andere sites de bezoeker open heeft staan of welke software hij gebruikt. De onderzoekers erkennen dat hun aanval verschillende beperkingen kent. Zo moet er een groot OPFS-bestand worden aangemaakt bij bezoekers en kan het op systemen met meerdere schijven lastig zijn om te bepalen welke applicaties er actief zijn. Ook kan de aanval enige tijd in beslag nemen. Om de aanval te voorkomen of beperken kunnen gebruikers tabs van niet meer gebruikte websites sluiten of de toegestane bestandsgrootte beperken tot één gigabyte. In dat geval wordt het OPFS-bestand alleen in het geheugen geladen en heeft zo geen SSD-toegang. Een mogelijke oplossing volgens de onderzoekers is om OPFS alleen in te schakelen na toestemming van gebruikers of anders gebruikers te waarschuwen wanneer er in korte tijd veel data naar het OPFS wordt geschreven. bron: https://www.security.nl

De website van het Europees Netwerk van Security Operations Centres (ENSOC) is online gekomen. Het ENSOC is een Europees samenwerkingsproject van acht lidstaten gericht op het real-time uitwisselen van dreigingsinformatie, geautomatiseerde incidentrespons en afstemming op regelgeving. Het Nationaal Cyber Security Centrum (NCSC) is één van de deelnemende partijen en onder andere verantwoordelijk voor de inkoop en integratie van Cyber Threat Intelligence (CTI) feeds en de coördinatie tussen partners. Naast Nederland doen ook Spanje, Portugal, Italië, Oostenrijk, Slovenië, Luxemburg en Roemenië mee. "Door beter informatie te delen over cyberdreigingen kunnen deze landen cyberaanvallen sneller herkennen, beter inschatten en sneller op reageren", aldus het NCSC. Het ENSOC stelt zelf op de eigen website dat het vooraanstaande cybersecurity-experts uit Europa bijeenbrengt en hun expertise gebruikt voor threat intelligence, incident response en het analyseren van kwetsbaarheden. Hoewel de website van het ENSOC nu live is bevat die nog niet heel veel informatie. bron: https://www.security.nl

Oracle heeft voor het eerste in het eigen bestaan een Critical Security Patch Update (CSPU) uitgebracht en roept organisaties op om die zo snel mogelijk te installeren. Het gaat hierbij om beveiligingsupdates voor kritieke kwetsbaarheden in producten van het softwarebedrijf. Normaliter kwam Oracle eens per kwartaal met patches, maar het bedrijf zegt vanwege AI, dat sneller en efficiënter kwetsbaarheden zou kunnen vinden en verhelpen, hier nu vanaf te zien. Een ander probleem is dat Oracle-klanten beschikbare beveiligingsupdates niet installeren en als gevolg worden gehackt, zo laat Oracle keer op keer weten, waaronder ook nu. De Critical Security Patch Update bevat 'gerichte, high-priority security fixes' in een kleiner formaat, wat het eenvoudiger moet maken om ze zonder al teveel verstoringen aan bedrijfsprocessen te installeren. De eerste Critical Security Patch Update bevat in totaal 35 patches. Het gaat hier niet om unieke kwetsbaarheden, omdat verschillende Oracle-producten dezelfde kwetsbaarheid kunnen bevatten. De patches zijn voor Oracle Database Server, Oracle REST Data Services, Oracle Communications Unified Assurance, Oracle Hospitality OPERA 5 Property Services en verschillende onderdelen van de Oracle E-Business Suite. Eén van de kwetsbaarheden (CVE-2026-46840), aanwezig in de REST Data Services, heeft een maximale impactscore van 10.0 op een schaal van 1 tot en met 10. "Vanwege de dreiging van een succesvolle aanval adviseert Oracle ten zeerste dat klanten de Critical Security Patch Update security patches zo snel mogelijk installeren", aldus Oracle. Na de eerste CSPU van mei hanteert Oracle een maandelijkse cadens, waarbij elke derde dinsdag van de maand de kritieke updates zullen verschijnen. Dit komt overeen met de kwartaal-updates van Oracle. Na 28 mei volgt de volgende CSPU op 16 juni. Op 21 juli vindt de al eerder geplande kwartaal-update plaats, gevolgd door een nieuwe CSPU op 18 augustus. bron: https://www.security.nl

Onderzoeker hekelt optreden Microsoft richting ontdekker van BitLocker-lek De Britse beveiligingsonderzoeker Kevin Beaumont is niet te spreken over de uithaal van Microsoft richting een onderzoeker die een beveiligingslek in BitLocker en andere Windows-onderdelen ontdekte en openbaarde. De afgelopen weken verschenen op internet meerdere kwetsbaarheden, zoals RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma en MiniPlasma. Op het moment van de publicatie waren er nog geen patches voor deze problemen beschikbaar. Microsoft stelt in een blogposting dat deze beveiligingslekken niet op 'verantwoorde wijze' zijn gerapporteerd. Het techbedrijf claimt ook dat de onderzoeker met zijn werkwijze gebruikers in gevaar heeft gebracht. Tevens hintte Microsoft naar het strafrechtelijk vervolgen van de onderzoeker. Beaumont zegt dat hij de acties van de onderzoeker niet steunt, maar is kritisch op de uitspraken van Microsoft. "Het niet volgen van een verzonnen 'responsible disclosure' proces is geen misdrijf." De door Microsoft gewraakte onderzoeker zegt dat hij geprobeerd heeft om de kwetsbaarheden aan Microsoft te rapporteren. Inmiddels is zowel zijn account op Microsofts GitHub-platform en het Microsoft-portaal voor het melden van kwetsbaarheden verwijderd. "Het is vrij lastig om toekomstige kwetsbaarheden 'verantwoord' te melden als je bent verbannen", merkt Beaumont op. Verder stelt Beaumont dat GitHub al geruime tijd een bron is van zeroday-exploits voor producten van concurrenten van Microsoft. Die mogen blijven staan, terwijl exploits voor producten van Microsoft worden verwijderd, aldus Beaumont. "Microsoft probeert het eigenaarschap van GitHub te misbruiken om alleen zijn eigen producten te beschermen, en misbruikt zijn uitgebreide banden met justitie om het publiceren van informatie over kwetsbaarheden in zijn eigen producten als crimineel gedrag te bestempelen, althans zo lees ik de blogposting." Volgens Beaumont framen softwareleveranciers responsible disclosure als een manier om hun eigen producten te beschermen, niet de klanten. "Het gebruik ervan om mensen strafrechtelijk te vervolgen is een nieuw dieptepunt." De Britse beveiligingsonderzoeker voegt toe dat dit grote gevolgen voor de cybersecurity-industrie kan hebben, waarbij bedrijfsbelangen boven de collectieve cyberbescherming worden geplaatst. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Git-service Gogs maakt remote code execution mogelijk en een beveiligingsupdate is niet beschikbaar, zo laat cybersecuritybedrijf Rapid7 vandaag weten. Gogs is een "self-hosted Git service", en een alternatief voor platforms zoals GitHub of GitLab. Het wordt gebruikt voor de ontwikkeling van software. Volgens zoekmachine Shodan zijn meer dan 1100 Gogs-servers vanaf het internet toegankelijk. Volgens onderzoekers ligt het werkelijke aantal installaties veel hoger, omdat die meestal achter een vpn zitten of binnen een intern netwerk draaien. Het beveiligingslek maakt het mogelijk voor geauthenticeerde gebruikers om door middel van een pull request met een 'malicious branch name' willekeurige code op de Gogs-server uit te voeren. De exploit vereist geen adminrechten en geen interactie met andere gebruikers. De aanvaller kan de aanval vanuit zijn eigen account uitvoeren. "Aangezien Gogs standaard staat ingesteld met open registraties en geen limiet aan het creëren van repositories, kan een ongeauthenticeerde aanvaller op een standaard geconfigureerde installatie eenvoudig een account en repository aanmaken", aldus de onderzoekers. Vanuit zijn eigen repository kan de aanvaller dan de server compromitteren, elke repository op de server lezen, credentials zoals wachtwoordhashes, API-tokens, SSH keys en 2FA secrets stelen, andere systemen in het netwerk aanvallen en de code van andere repositories aanpassen. Begin dit jaar waarschuwde het Amerikaanse cyberagentschap CISA voor actief misbruik van een path traversal-lek in Gogs. Rapid7 informeerde de maintainers van Gogs op 17 maart, die op 28 maart de bugmelding bevestigden. De onderzoekers zeggen dat ze sindsdien meerdere keren contact hebben gezocht maar geen reactie kregen en de kwetsbaarheid nog steeds aanwezig is. Als mitigatie kunnen Gogs-gebruikers verschillende maatregelen nemen, waaronder het beperken van nieuwe registraties en de mogelijkheid om repositories aan te maken. bron: https://www.security.nl

Criminelen gebruiken gehackte Fortinet FortiClient-servers om binnen organisaties malware te verspreiden die vermomd is als een update van Fortinet. Dat meldt cybersecuritybedrijf Arctic Wolf. FortiClient EMS (Enterprise Management Server) is een oplossing waarmee beheerders op afstand systemen kunnen beheren waarop de FortiClient-software draait. Zo is het bijvoorbeeld mogelijk om zaken als antivirussoftware, webfilters, vpn en signature-updates in te stellen. Begin april waarschuwde Fortinet voor actief misbruik van een kritieke kwetsbaarheid in FortiClient EMS. Via het lek (CVE-2026-35616) kan een ongeauthenticeerde aanvaller willekeurige code of commando's op de FortiClient-server uitvoeren. Arctic Wolf meldt dat aanvallers CVE-2026-35616 misbruiken om eerst de FortiClient-server te hacken. Vervolgens wordt onder alle endpoints die via de server worden beheerd malware uitgerold. Het gaat in dit geval om infostealer-malware die inloggegevens zoals wachtwoorden en cookies steelt die in Google Chrome, Microsoft Edge en andere Chromium-gebaseerde browsers zijn opgeslagen, alsmede Mozilla Firefox. Verder steelt de malware ook creditcardgegevens en andere informatie van webformulieren die is opgeslagen. Daarbij hebben de aanvallers de malware vermomd als een Fortinet-update, aldus de onderzoekers. Die voegen toe dat de aanvallers het beheerkanaal van FortiClient gebruiken om malafide PowerShell commando's op beheerde endpoints uit te voeren, op een manier waardoor het om een legitieme actie lijkt te gaan. bron: https://www.security.nl

Microsoft is niet te spreken over onderzoekers die kwetsbaarheden in Windows meteen op internet publiceren in plaats van eerst het techbedrijf te informeren, zoals het geval was met het YellowKey-lek in BitLocker. Volgens Microsoft zorgt dit voor onnodige risico's en brengt het Windows-gebruikers in gevaar. De onderzoeker achter het YellowKey-lek zegt dat hij het techbedrijf wel heeft geïnformeerd. De afgelopen weken verschenen op internet meerdere kwetsbaarheden, zoals RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma en MiniPlasma. Op het moment van de publicatie waren er nog geen patches beschikbaar. Microsoft stelt dat deze beveiligingslekken niet op 'verantwoorde wijze' zijn gerapporteerd. "We verzetten ons tegen deze acties en elke publicatie buiten de juiste coördinatie om die onze klanten en het digitale ecosysteem kunnen schaden. Het ongecoördineerd openbaar maken waardoor proof-of-concept code voor ongepatchte kwetsbaarheden in handen van aanvallers komt is nooit gerechtvaardigd en heeft echte gevolgen", aldus Microsoft. Het techbedrijf roept beveiligingsonderzoekers op om Coordinated Vulnerability Disclosure (CVD) te volgen, waarbij kwetsbaarheden eerst aan de leverancier worden gemeld, zodat die een update kan ontwikkelen. De beveiligingsonderzoeker achter onder andere YellowKey, GreenPlasma en MiniPlasma stelt dat hij Microsoft wel heeft ingelicht en dat het techbedrijf zijn reputatie schaadt door te beweren dat hij de CVD-richtlijn heeft overtreden. Tevens stelt de onderzoeker dat hij op 14 juli met informatie komt die zeer schadelijk voor Microsoft zal zijn. bron: https://www.security.nl

Een proxy-botnet van 17 miljoen apparaten is na actie van de politie en het Nationaal Cyber Security Centrum (NCSC) offline gehaald. Het gaat volgens het NCSC om het Asocks-botnet, dat een residential proxy-netwerk biedt. Twee jaar geelden werd al door een cybersecuritybedrijf gewaarschuwd voor Asocks, dat zichzelf het 'meest stabiele residentiële proxy-netwerk' noemt. Een residential proxy-netwerk laat het verkeer van betalende klanten via de systemen en internetverbindingen van legitieme thuisgebruikers lopen. Deze betalende klanten kunnen cybercriminelen zijn. Er zijn verschillende methodes waardoor de systemen van thuisgebruikers onderdeel van een residential proxy-netwerk kunnen worden, bijvoorbeeld tegen betaling of het installeren van bepaalde software. Na te zijn getipt door een beveiligingsonderzoeker informeerde het NCSC de politie. Hierop volgde een gezamenlijk onderzoek, waaruit bleek dat het botnet 17 miljoen apparaten telde. Daarnaast bleek dat tweehonderd servers gebruikt voor het aansturen van de besmette machines zich in Nederland bevonden. De politie heeft daarop bij een hostingprovider meerdere servers van het botnet voor onderzoek in beslag genomen. Volgens het NCSC is het botnet uiteindelijk door de provider offline gehaald. bron: https://www.security.nl

Miljoenen AI-agents en -tools bevatten een kwetsbaarheid waardoor aanvallers toegang tot de onderliggende server kunnen krijgen en gegevens kunnen stelen, zo waarschuwen beveiligingsonderzoekers. Het beveiligingslek is aanwezig in Starlette, een open source ASGI (Asynchronous Server Gateway Interface) framework. Het biedt een interface tussen Python-webservers, frameworks en applicaties. Het vormt ook het fundament voor het web framework FastAPI. Volgens cijfers van de Python Package Index (PyPI) telt Starlette meer dan 123 miljoen downloads per week. Het probleem, aangeduid als BadHost (CVE-2026-48710), raakt alle Python-applicaties die van Starlette of FastAPI gebruikmaken in combinatie met een specifieke middleware implementatie. Volgens de onderzoekers voert Starlette geen validatie van de Host header value uit, waardoor een aanvaller locaties (paths) kan opgeven waar hij eigenlijk geen toegang toe zou moeten hebben. De middleware die op basis van Starlette's request.url de authenticatie uitvoert om te bepalen of een bepaald request moet worden goedgekeurd zal daardoor het verzoek goedkeuren. De onderzoekers merken op dat deze 'authentication bypass' niet specifiek is voor AI-tools, maar dat veel LLM inference servers, LLM proxyservers, AI-agent frameworks en MCP gateway implementaties op basis van FastAPI/Starlette zijn ontwikkeld en path-gebaseerde authenticatie toepassen om API-endpoints te beschermen. Het gaat bijvoorbeeld om FastLLM, vLLM en LiteLLM. Een aanvaller kan via het lek toegang krijgen tot onder andere API-keys en interne tooling. Starlette kwam op 21 mei met versie 1.0.1 waarin het probleem is verholpen. Details zijn nu openbaar gemaakt. bron: https://www.security.nl

Een kwetsbaarheid in het populaire archiveringsprogramma 7-zip maakt remote code execution mogelijk als gebruikers een speciaal geprepareerd archief openen. Het probleem is eind april opgelost met 7-Zip versie 26.01, maar in de release notes werd geen melding van het beveiligingslek (CVE-2026-48095) gemaakt. De onderzoekers die het probleem ontdekten hebben nu de details op internet gepubliceerd. Het probleem is aanwezig in het onderdeel van 7-Zip dat verantwoordelijk is voor het verwerken van NTFS-archiefbestanden. Bij het openen van een speciaal geprepareerd bestand kan er een heap buffer overflow ontstaan, waardoor een aanvaller code op het systeem van de gebruiker kan uitvoeren. Daarbij kan de aanvaller voor dit geprepareerde bestand elke extensie gebruiken, zoals .7z, .zip of .rar. Gebruikers worden opgeroepen om naar de laatste versie te updaten. Andere kwetsbaarheden in 7-Zip zijn in het verleden misbruikt bij aanvallen. bron: https://www.security.nl

Zoekmachine DuckDuckGo meldt dat het aantal installaties de afgelopen week is toegenomen als gevolg van de AI-modus die Google aan gebruikers 'opdringt'. Dat laat DuckDuckGo-oprichter Gabriel Weinberg tegenover TechCrunch weten. Een week geleden maakte Google bekend dat het de zoekmachine aanpast, waarbij de AI-modus een belangrijkere rol krijgt, alsmede andere AI-functies. Wanneer gebruikers iets zoeken krijgen ze als eerste een antwoord van de AI-modus te zien. "Mensen klagen niet alleen over Google's AI-aanpassing van de zoekmachine, ze vetrekken", zo meldde DuckDuckGo gisteren op X. Volgens de zoekmachine is het aantal installaties van de DuckDuckGo-app alleen in de Verenigde Staten de afgelopen week met dertig procent toegenomen. "Het momentum is hier, het is tijd om Google te ontslaan", ging de zoekmachine verder. Volgens Weinberg wordt het gebruik van AI door Google 'opgedrongen' en kunnen gebruikers zich hier niet voor afmelden. "Als gevolg worden hun resultaten slechter, niet beter. Wij willen gebruikers de controle geven en zelf laten bepalen hoeveel of hoe weinig AI ze willen." Weinberg voegt toe dat DuckDuckGo niet alleen de keuze van gebruikers respecteert, maar ook hun privacy. "Alles wat je doet in DuckDuckGo is privé; we verzamelen geen zoekgeschiedenis of chats en er wordt niets gebruikt voor het trainen van AI." bron: https://www.security.nl

De FBI waarschuwt Microsoft 365-gebruikers en hun organisaties voor 'device code phishing', waarbij aanvallers toegang tot accounts proberen te krijgen. Microsoft biedt 'device code authentication' voor apparaten met beperkte invoermogelijkheden, zoals bijvoorbeeld smart-tv's, internet of things-apparaten en printers. Een gebruiker moet hiervoor een aparte code door Microsoft laten genereren en die vervolgens bij het inloggen opgeven. Microsoft zal dan een token genereren waarmee het 'invoer beperkte' apparaat kan inloggen. Bij device code phishing zijn het echter de aanvallers die een device code laten genereren. Deze device code sturen de aanvallers, als onderdeel van een phishingmail, samen met een link naar een echte Microsoft-inlogpagina, naar het slachtoffer. Het slachtoffer logt vervolgens via de officiële Microsoft-inlogpagina in en vult daarbij de opgegeven device code in. Vervolgens genereert Microsoft een token voor het apparaat dat de device code had opgevraagd. De aanvallers gebruiken vervolgens dit token om op het Microsoft-account van het slachtoffer in te loggen en zo bijvoorbeeld vertrouwelijke informatie te stelen of verdere aanvallen uit te voeren. "De aanvaller heeft nu toegang tot Microsoft 365-diensten zoals Outlook, Teams en OneDrive, zonder dat hiervoor een wachtwoord nodig is of aanvullende MFA-challengens moeten worden uitgevoerd", aldus de FBI. De Amerikaanse opsporingsdienst waarschuwt in een nieuw Public Service Announcement voor een specifieke dienst die criminelen hiervoor gebruiken, met de naam Kali365. Het gaat hier om een Phishing-as-a-Service (PhaaS) platform dat device code phishing faciliteert. Om dergelijke aanvallen tegen te gaan adviseert de FBI organisaties om de 'device code flow' voor alle gebruikers te beperken. bron: https://www.security.nl

AI-model Claude Mythos heeft al meer dan tienduizend kwetsbaarheden in allerlei software gevonden, zo stelt ontwikkelaar Anthropic in een blogposting. Een probleem is echter het oplossen van de gevonden beveiligingsproblemen door 'menselijke capaciteit' lang op zich laat wachten, aldus Anthropic. Een aantal weken geleden lanceerde het bedrijf Project Glasswing, waarbij naast Anthropic vijftig andere partijen van AI-model Mythos gebruikmaken voor het vinden van kwetsbaarheden. Zo wist Cloudflare via Mythos tweeduizend kwetsbaarheden te vinden, waarvan er vierhonderd een impact hebben die als 'high' of 'critical' is bestempeld. Mozilla verhielp in Firefox 271 kwetsbaarheden die via het AI-model waren gevonden. Volgens Anthropic zijn via Project Glasswing inmiddels meer dan tienduizend beveiligingslekken ontdekt. Anthropic heeft Mythos de afgelopen maanden ook meer dan duizend opensourceprojecten laten controleren. Het AI-model detecteerde 6200 problemen die het zelf als high of critical beveiligingslekken beschouwt. Zo'n 1750 van de gevonden high of critical lekken heeft Anthropic door externe cybersecuritybedrijven laten analyseren. Een kleine 1600 van deze beveiligingslekken bleken inderdaad echt bestaande kwetsbaarheden te zijn. Daarvan werden er 1100 door de externe partijen beoordeeld met een high of critical impact. "De bottleneck met het verhelpen van dit soort kwetsbaarheden is de menselijke capaciteit om de belangrijkste problemen te bepalen en het rapporteren, ontwikkelen en uitrollen van patches voor ze", aldus Anthropic. Dat voegt toe dat Mythos een al overbelast security-ecosysteem verder onder druk zet. "De relatieve eenvoud van het vinden van kwetsbaarheden vergeleken met de moeilijkheid om ze op te lossen vormt een grote uitdaging voor cybersecurity." bron: https://www.security.nl

Aanvallers hebben meer dan zevenhonderd websites die draaien op het Ghost contentmanagementsysteem (CMS) via een kritieke kwetsbaarheid gehackt en voorzien van ClickFix-code. De toegevoegde code laat bezoekers weten dat ze een zogenaamde Cloudflare-captcha moeten oplossen. De gegeven instructies zorgen er echter voor dat het systeem besmet raakt met malware. Dat meldt cybersecuritybedrijf Qianxin in een analyse. Ghost is een Node.js-gebaseerd CMS-platform waarmee websites content kunnen publiceren. Een kritieke SQL Injection-kwetsbaarheid in de software (CVE-2026-26980) maakt het mogelijk voor ongeauthenticeerde aanvallers om onder andere inloggegevens en authenticatie-tokens uit de database te stelen. De Ghost-ontwikkelaars kwamen op 16 februari met versie 6.19.1 waarin het probleem is opgelost. Onderzoekers van Qianxin detecteerden op 7 mei dat aanvallers misbruik van de kwetsbaarheid maken. Via het lek stelen de aanvallers eerst de admin API key. Vervolgens wordt aan elke pagina van de website malafide JavaScript toegevoegd. Deze code toont gebruikers een melding dat ze een zogenaamde Cloudflare-captcha moeten oplossen. Hiervoor moeten instructies in bijvoorbeeld het Windows Run-venster worden uitgevoerd. Deze instructies zorgen ervoor dat er malware wordt gedownload en uitgevoerd. Volgens de onderzoekers hebben deze aanvallen in het geval van de gehackte Ghost CMS-sites meer kans van slagen, omdat bezoekers deze websites al vertrouwen. Verder stellen de onderzoekers dat ze de eigenaren van de gehackte websites hebben gewaarschuwd, maar dat die in de meeste gevallen niet reageerden en de malafide code nog steeds actief is. bron: https://www.security.nl

Ooit begonnen bij Bleumedicine, het latere Mivercon. Ook daar als een van de taken het nieuws een beetje bijhouden. Zwierf toen ook nog af en toe rond op HJT en alhier. Zag net dat ik hier ook al heel wat jaren rond zwerf. En inderdaad @falstring ik zie het ook niet alleen hier rustiger worden, ook op werk waar ik naast mijn lesgevende taken o.a. al jaren het ICT-gebeuren onder mijn hoede heb, zie ik dat we de schroevendraaier nauwelijks meer nodig hebben. Twintig jaar PCH. Wat een mooie mijlpaal. Gefeliciteerd PCH!

De ontwikkelaars van het contentmanagementsysteem (CMS) Drupal waarschuwen voor actief misbruik van een zeer kritiek SQL Injection-lek (CVE-2026-9082). Via de kwetsbaarheid kan een aanvaller toegang tot informatie van websites krijgen. In bepaalde gevallen kan een aanvaller ook zijn rechten verhogen, code uitvoeren of zijn andere aanvallen mogelijk. Het probleem is zo ernstig dat Drupal met een aparte voorwaarschuwing kwam en afgelopen woensdag ook updates voor Drupal-versies uitbracht die end-of-life zijn. Vandaag is het beveiligingsbulletin bijgewerkt en meldt het ontwikkelteam dat er actief misbruik is waargenomen. De risicoscore is ook verhoogd van 20 naar 23 op een schaal van 1 tot en met 25. Details over de aanvallen zijn niet gegeven. Eerder waarschuwde het ontwikkelteam al dat aanvallers mogelijk uren of dagen na het uitkomen van de patches misbruik van het lek zouden gaan maken. Vanochtend meldde het Computer Security Incident Response Team van de Italiaanse overheid (CSIRT Italia) dat er proof-of-concept exploitcode, waarmee misbruik van het lek te maken is, op internet was verschenen. Meer dan een miljoen websites draaien op Drupal. Misbruik is alleen mogelijk wanneer sites voor hun database gebruikmaken van PostgreSQL. bron: https://www.security.nl

Aanvallers maken actief misbruik van een path traversal-kwetsbaarheid in securityplatform Apex One, zo waarschuwt antivirusbedrijf Trend Micro, dat updates voor het probleem beschikbaar heeft gemaakt. Misbruik is echter al voor het uitkomen van de patches waargenomen. Via de kwetsbaarheid kan een geauthenticeerde aanvaller malware op beheerde systemen uitrollen. De Japanse overheid heeft ook een waarschuwing voor het beveiligingslek afgegeven. Trend Micro Apex One is een securityplatform dat onder andere workstations en servers tegen malware beschermt. Een centrale server stuurt de agents aan die op de workstations en andere machines draaien. Een path traversal-lek in de oplossing maakt het mogelijk voor een aanvaller met adminrechten tot de server om een 'key table' aan te passen en zo malware te pushen naar de agents die op de workstations en andere machines draaien. Trend Micro heeft geen verdere details over de aanvallen gegevens. Kwetsbaarheden in Apex One zijn in het verleden vaker bij aanvallen gebruikt. bron: https://www.security.nl

Microsoft heeft een script gepubliceerd dat als een tijdelijke oplossing moet dienen voor een kwetsbaarheid in Windows Bitlocker, waardoor een aanvaller met fysieke toegang tot een systeem de versleuteling kan omzeilen. Wanneer er een beveiligingsupdate voor de kwetsbaarheid (CVE-2026-45585) komt, die de naam YellowKey heeft, is nog niet bekend. Wel zegt Microsoft hiermee bezig te zijn. Via de YellowKey-exploit kan een aanvaller met fysieke toegang tot een met BitLocker versleutelde Windows 11, Windows Server 2022 of Windows Server 2025 machine toegang tot het systeem krijgen. De enige vereiste is een usb-stick met de exploit en een toetsencombinatie die tijdens het opstarten moet worden ingevoerd. De kwetsbaarheid werd op 12 mei openbaar gemaakt. Microsoft kwam op 19 mei met een reactie in de vorm van een beveiligingsbulletin. Het bulletin bevatte in eerste instantie verschillende mitigatiemaatregelen die gebruikers en beheerders handmatig moesten doorvoeren. Volgens beveiligingsonderzoeker Kevin Beaumont waren de door Microsoft genoemde mitigaties te ingewikkeld om daadwerkelijk door te voeren. De onderzoeker adviseert het gebruik van BitLocker in combinatie met een pincode en het instellen van een BIOS-wachtwoord. Gisteren heeft Microsoft het beveiligingsbulletin van een script voorzien dat gebruikers kunnen kopiëren en plakken en bescherming tegen het YellowKey-lek moet bieden. Gebruikers en beheerders die het script uitvoeren kunnen straks gewoon de update installeren. De mitigaties hoeven niet eerst ongedaan te worden gemaakt. bron: https://www.security.nl