Captain Kirk

Een nieuwe Linux-kwetsbaarheid maakt het mogelijk voor lokale aanvallers om onder andere SSH-keys te stelen en code als root uit te voeren. Updates en mitigaties zijn beschikbaar en beheerders worden opgeroepen om die zo snel mogelijk te installeren. Inmiddels zijn ook werkende exploits online verschenen, aldus securitybedrijf Qualys dat de kwetsbaarheid met de naam 'ssh-keysign-pwn' ontdekte. Het beveiligingslek (CVE-2026-46333) betreft volgens Qualys een logicafout waardoor lokale unprivileged gebruikers toegang tot gevoelige bestanden kunnen krijgen en code kunnen uitvoeren. Canonical noemt het een zogenoemde race condition, waardoor bestanden geopend door een suid of sgid executable beschikbaar zijn voor een unprivileged aanvaller, die de suid of sgid executable aanroept. De race condition doet zich voor wanneer het privileged proces sluit, waardoor de executable de gevoelige bestanden tijdens het sluiten open moet houden. Tijdens een kort moment kan een unprivileged aanvaller het aangeroepen proces inspecteren. Zodoende kan er bijvoorbeeld toegang worden verkregen tot de inhoud van /etc/shadow, dat gehashte wachtwoorden van gebruikers bevat. Ook kan een aanvaller OpenSSH server host private keys lezen en code als root uitvoeren. Qualys meldt dat het de kwetsbaarheid via een responsible disclosure proces heeft gemeld. Vervolgens ontwikkelde het Linux kernel security team een oplossing. De patch werd op 14 mei gecommit. Hierna maakte Qualys de kwetsbaarheid via de mailinglist van Linux-distributies bekend, het kanaal om de update downstream uitgerold te krijgen. Niet veel later verscheen er een exploit online, gebaseerd op de publieke kernel commit. Het embargo dat voor de kwetsbaarheid bestond bood daardoor geen bescherming meer. Nadat distributies met updates kwamen heeft Qualys de details nu openbaar gemaakt. "CVE-2026-46333 is alleen lokaal te misbruiken, maar de impact is groot. Lokaal betekent geen lage prioriteit. Elke unprivileged shell op een kwetsbare host is genoeg om /etc/shadow te lezen, SSH host private keys te stelen of via gekaapte dbus-verbindingen naar systemd willekeurige commando's uit te voeren", aldus Saeed Abbasi van Qualys. Hij voegt toe dat een gedeelde multi-tenant host zo een direct pad richting root wordt. De kwetsbaarheid was sinds november 2016 in de Linux-kernel aanwezig. bron: https://www.security.nl

Grafana: aanvallers konden door vergeten GitHub-token broncode stelen De diefstal van broncode bij softwarebedrijf Grafana Labs was mogelijk door een vergeten GitHub-token dat als gevolg van een supplychain-aanval vervangen had moeten worden. Dat heeft het bedrijf zelf bekendgemaakt. Grafana Labs biedt een opensourceplatform voor datavisualisatie en monitoring. In een bericht op LinkedIn meldde Grafana Labs dat een aanvaller door middel van een gestolen token toegang tot de GitHub-omgeving had gekregen en daarbij allerlei aanwezige code was gestolen. Op de eigen website is Grafana Labs nu met meer informatie gekomen. Volgens het bedrijf is de aanval het gevolg van de TanStack supplychain-aanval die eerder deze maand plaatsvond. TanStack biedt tal van libraries die ontwikkelaars gebruiken voor het ontwikkelen van webapplicaties. De packages van TanStack tellen tientallen miljoenen installaties. Aanvallers wisten onlangs tientallen besmette packages van TanStack te publiceren. Deze packages waren voorzien van malware die op het systeem van de getroffen ontwikkelaar tokens, credentials en andere inloggegevens steelt. Daarnaast probeert de malware softwareprojecten van de getroffen ontwikkelaar te infecteren. Grafana Labs zegt dat het op 11 mei als gevolg van deze aanval malafide activiteit in de eigen ontwikkelomgeving detecteerde en daarop actie ondernam. Zo werd een groot aantal GitHub workflow tokens vervangen. Een token dat over het hoofd werd gezien zorgde ervoor dat de aanvallers toegang tot de GitHub-repositories van Grafana konden krijgen. Verder onderzoek wees uit dat een specifieke Github workflow waarvan in eerste instantie werd gedacht dat die niet was getroffen, toch gecompromitteerd was. Afsluitend stelt het bedrijf dat het maatregelen neemt om de CI/CD (continuous integration and continuous deployment) pipelines verder te beveiligen en soortgelijke incidenten in de toekomst te voorkomen. bron: https://www.security.nl

Een zeer kritieke kwetsbaarheid in het contentmanagementsysteem (CMS) Drupal maakt SQL Injection mogelijk. Daardoor kunnen aanvallers toegang tot informatie krijgen. In bepaalde gevallen kan een aanvaller ook zijn rechten verhogen, code uitvoeren of zijn andere aanvallen mogelijk. Het probleem (CVE-2026-9082) raakt alleen Drupal-sites die PostgreSQL draaien. Vanwege de impact kwam Drupal met een voorwaarschuwing en heeft ook updates beschikbaar gemaakt voor CMS-versies die end-of-life zijn. Meer dan een miljoen websites draaien op Drupal. Het beveiligingslek is aanwezig in de database abstraction API van Drupal die queries 'sanitized' om te voorkomen dat SQL Injection kan plaatsvinden. Het beveiligingslek in de API zorgt ervoor dat door het versturen van speciaal geprepareerde requests willekeurige SQL Injection mogelijk is. De kwetsbaarheid is door anonieme gebruikers te misbruiken, aldus het beveiligingsbulletin. Eerder waarschuwde het Drupal Security Team dat de kans aanwezig is dat aanvallers kort na het verschijnen van de patches misbruik van het probleem zullen maken. Beheerders worden dan ook opgeroepen om de patches zo snel mogelijk te installeren. bron: https://www.security.nl

Het op privacy gerichte besturingssysteem Tails wordt wegens veiligheidsredenen voortaan geleverd zonder e-mailclient Thunderbird. Gebruikers hebben nog wel de mogelijkheid om de software zelf te installeren. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Het privacy-OS kan vanaf een usb-stick of dvd worden gestart. Tails maakt gebruik van het Tor-netwerk om het ip-adres van de gebruiker af te schermen en biedt allerlei op privacy gerichte applicaties. Eén van de applicaties die altijd deel uitmaakte van Tails was e-mailclient Thunderbird. Een probleem met de meegeleverde Thunderbird-versie was dat die altijd een versie achterliep. Zowel Tails als Thunderbird volgen de releasekalender van Firefox, zo laat het Tails-ontwikkelteam weten. Tails is op Linux-distributie Debian gebaseerd. Dit maakte het niet mogelijk voor de ontwikkelaars om de laatste Thunderbird-versie aan Tails toe te voegen. Daardoor bevatte de in Tails meegeleverde versie vaak bekende kwetsbaarheden. Om dit probleem op te lossen is nu besloten Thunderbird niet meer standaard mee te leveren. Gebruikers kunnen de e-mailclient nog wel via de 'Additional Software' functie van Tails installeren, waardoor ze wel over de meest recente versie zullen beschikken. Hiervoor moet wel de Persistent Storage van Tails worden ingeschakeld. Daarnaast zijn in de nieuwste versie van Tails verschillende Linux-kwetsbaarheden verholpen waardoor een applicatie adminrechten kan krijgen. Gebruikers kunnen automatisch upgraden naar Tails 7.8. bron: https://www.security.nl

Google heeft opnieuw kritieke kwetsbaarheden in Chrome gevonden die remote code execution mogelijk maken en er zijn updates uitgerold om de problemen te verhelpen. Een week geleden werden twaalf van dergelijke door Google gevonden problemen in Chrome gepatcht. Jarenlang werden er weinig tot geen kritieke kwetsbaarheden in Chrome gemeld. Het jaar is nog niet voorbij, maar er kan nu al worden gezegd dat 2026 een recordaantal kritieke beveiligingslekken in de browser kent. Via dit soort kwetsbaarheden kan een aanvaller code op het systeem van Chrome-gebruikers uitvoeren, waarbij alleen het bezoeken van een gehackte of malafide website of te zien krijgen van besmette advertenties voldoende is. Wat tevens opvalt aan de gemelde kritieke kwetsbaarheden is dat ze bijna allemaal van Google zelf afkomstig zijn. Met de nieuwste twee lekken komt het totaal uit op 21 kritieke problemen op naam van Google die dit jaar werden gerapporteerd. Wat ook opvalt is dat negentien van de kritieke lekken in een periode van slechts vier weken werden gemeld. De nieuwste twee kwetsbaarheden (CVE-2026-9111 en CVE-2026-9110) zijn respectievelijk aanwezig in WebRTC en de user interface van de browser. Verdere details zijn niet door Google bekendgemaakt. De problemen zijn verholpen in Google Chrome 148.0.7778.178/179 voor Windows en macOS. Voor Linux is versie 148.0.7778.178 verschenen. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan echter een aantal dagen tot weken duren. Gebruikers die de update direct willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar. bron: https://www.security.nl

GitHub: gehackte repositories gevolg van TanStack supplychain-aanval De aanval op GitHub waar bijna vierduizend interne repositories werden gecompromitteerd was het gevolg van de TanStack supplychain-aanval, zo heeft het platform bekendgemaakt. GitHub ontdekte op 18 mei dat aanvallers het systeem van een medewerker hadden besmet. De infectie vond plaats via een besmette VS Code-extensie die op het systeem van de medewerker was geïnstalleerd. Via de gecompromitteerde machine werd vervolgens code uit zo'n 3800 interne repositories van GitHub zelf buitgemaakt. GitHub maakte de hack via X bekend, maar heeft inmiddels op het eigen blog iets meer informatie gepubliceerd. Daarin wordt gesteld dat de besmette extensie Nx Console was. Dit is een tool gebruikt voor de ontwikkeling van software. Eén van de ontwikkelaars van Nx Console werd onlangs gehackt via de TanStack supplychain-aanval. TanStack biedt tal van libraries die ontwikkelaars gebruiken voor het ontwikkelen van webapplicaties. De packages van TanStack tellen tientallen miljoenen installaties. Aanvallers wisten onlangs tientallen besmette packages van TanStack te publiceren. Deze packages waren voorzien van malware die op het systeem van de getroffen ontwikkelaar tokens, credentials en andere inloggegevens steelt. Daarnaast probeert de malware softwareprojecten van de getroffen ontwikkelaar te infecteren. Eén van de slachtoffers van de TanStack supplychain-aanval was een Nx-ontwikkelaar. De aanvallers konden zo een besmette versie van Nx Console publiceren, die mogelijk zesduizend keer is gedownload voordat die offline werd gehaald. De besmette Nx Console kwam onder andere terecht op het systeem van de GitHub-medewerker, waarvandaan de aanvallers toegang tot de interne GitHub repositories kregen en zo code uit de 3800 repositories konden stelen. GitHub komt nog met een uitgebreider incidentrapport. Volgens Jeff Cross, ceo van Nx, laat het incident zien dat maintainers van softwareprojecten fundamentele veranderingen moeten doorvoeren aan het beveiligen en verspreiden van software. Cross voegt toe dat veel van de aannames waarop het opensource-ecosysteem jarenlang draaide niet langer meer kloppen en het tijd is voor sterkere 'supply chain security practices'. bron: https://www.security.nl

Aanvallers maken actief misbruik van twee kwetsbaarheden in Microsoft Defender, de antivirussoftware van Microsoft die onder andere in Windows is ingebouwd. Het techbedrijf heeft updates uitgerold om de beveiligingslekken (CVE-2026-41091 en CVE-2026-45498) te verhelpen. Details over de aanvallen zijn niet door Microsoft gegeven. CVE-2026-41091 betreft een kwetsbaarheid waardoor een aanvaller die al toegang tot het systeem heeft zijn rechten kan verhogen naar die van SYSTEM. Op deze manier kan er volledige controle over het systeem worden verkregen. Microsoft omschrijft het probleem als "Improper link resolution before file access ('link following')", maar geeft geen verdere informatie. Wel wordt er gewezen naar deze CWE-omschrijving van het soort kwetsbaarheid. Het beveiligingsbulletin van CVE-2026-45498 bevat helemaal geen informatie over het beveiligingslek, behalve dat het tot een denial of service kan leiden. Wel laat Microsoft weten dat organisaties en gebruikers geen actie hoeven te ondernemen. Updates voor het Defender Antimalware Platform worden in de standaardconfiguratie automatisch geïnstalleerd. Gebruikers kunnen wel via de updatefunctie controleren of ze de patches al hebben ontvangen. bron: https://www.security.nl

Het populaire communicatieplatform Discord maakt voortaan voor alle spraak- en videogesprekken standaard gebruik van end-to-end encryptie. De enige uitzondering zijn de zogenoemde 'stage channels', die voor een groter publiek zijn bedoeld, zoals live events. Voor de versleuteling wordt gebruikgemaakt van het DAVE-protocol. Discord noemt dit één van de meest platform-diverse protocollen voor end-to-end encryptie. "Aan een Discord-gesprek kan iemand op een laptop, op een telefoon, op een PlayStation en iemand op een Xbox deelnemen", zegt Mark Smith van Discord. Het protocol moet op al deze platforms ervoor zorgen dat de communicatie soepel verloopt. Plannen voor end-to-end versleuteling werden al in 2023 aangekondigd. Volgens Smith was het een tijdsintensief proces. In eerste instantie werkte het DAVE-protocol alleen op de desktop en mobiele applicaties. Sinds vorig jaar werkt het protocol ook op spelcomputers en browsers en ondersteunt het bots en de eigen Discord Social SDK. De migratie naar het nieuwe protocol werd afgelopen maart afgerond. Smith voegt toe dat DAVE een open protocol is en de implementatie open source. Afsluitend laat Smith weten dat Discord geen plannen heeft om tekstberichten end-to-end te versleutelen. "Veel van de features die mensen op Discord gebruiken waren gemaakt met de veronderstelling dat tekst niet end-to-end versleuteld is, en het opnieuw ontwikkelen ervan zodat ze werken met encryptie is een grote engineering-uitdaging." bron: https://www.security.nl

De ontwikkelaars van het populaire contentmanagementsysteem (CMS) Drupal komen met beveiligingsupdates voor zeer kritieke kwetsbaarheden. Het gaat om een Drupal core security release voor alle ondersteunde versies van de software. Beheerders worden opgeroepen om standby te staan, want het ontwikkelteam verwacht dat na publicatie van de updates exploits mogelijk binnen uren of dagen zullen verschijnen, wat tot grootschalig misbruik kan leiden. Meer dan een miljoen websites draaien op Drupal. Het ontwikkelteam stelt dat niet alle configuraties risico lopen. Details over de problemen zijn nog niet bekendgemaakt. Beheerders zullen dan ook zelf moeten bepalen of hun website risico loopt en er meteen moet worden gepatcht. Tevens zal Drupal ook met mitigatiemaatregelen komen. De impact van de kwetsbaarheden wordt omschreven als 'highly critical'. In tegenstelling tot veel andere softwareleveranciers maakt Drupal verschil tussen kritieke en zeer kritieke kwetsbaarheden. De updates zullen vanavond tussen 19.00 en 23.00 uur verschijnen. bron: https://www.security.nl

Gebruikers van de in Firefox ingebouwde gratis vpn-dienst kunnen voortaan ook de locatie van de vpn-server kiezen, zo heeft Mozilla aangekondigd. Daarbij is er op dit moment keuze uit vijf landen, namelijk de Verenigde Staten, het Verenigd Koninkrijk, Frankrijk, Duitsland en Canada. Dit zijn ook de vijf landen waar de ingebouwde vpn-dienst vooralsnog alleen beschikbaar is. Mozilla zegt van plan te zijn om meer locaties toe te voegen. Wanneer de Nederlandse Firefox-gebruikers de vpn-dienst kunnen gebruiken is nog niet bekend. De ingebouwde vpn-functie laat het verkeer van gebruikers via een proxy lopen. Dat maakt het volgens Mozilla een eenvoudige manier om te voorkomen dat Big Tech het ip-adres van gebruikers kan tracken. Volgens de Firefox-ontwikkelaar worden browsegegevens van gebruikers niet verkocht. De ingebouwde vpn is alleen voor het browserverkeer bedoeld. Daarnaast is het dataverkeer tot vijftig gigabyte per maand beperkt. Verder vereist het gebruik ervan dat gebruikers met hun Mozilla-account inloggen. Volgens Mozilla hebben inmiddels meer dan een miljoen Firefox-gebruikers zich aangemeld om de vpn-dienst te proberen. bron: https://www.security.nl

GitHub is getroffen door een inbraak op bijna vierduizend eigen interne repositories, zo heeft het platform via X bekendgemaakt. Aanvallers wisten via een besmette VS Code-extensie toegang te krijgen tot het systeem van een GitHub-medewerker. Via de gecompromitteerde machine werd vervolgens code uit zo'n 3800 interne repositories van GitHub zelf buitgemaakt. GitHub stelt dat meer dan 180 miljoen ontwikkelaars van het platform gebruikmaken voor het ontwikkelen van software. Bij de inbraak is echter alleen code van GitHub zelf gestolen, aldus de verklaring. GitHub meldt aanvullend dat de belangrijkste secrets inmiddels zijn vervangen om verdere impact te voorkomen. Een groep aanvallers genaamd TeamPCP heeft de aanval opgeëist en biedt op internet de van GitHub gestolen code aan voor een bedrag vanaf 50.000 dollar. De aanvallers claimen dat ze onder andere broncode en interne organisatiegegevens met betrekking tot het GitHub-platform in handen hebben. GitHub meldt dat het na afronding van het onderzoek met een uitgebreider incidentrapport komt. TeamPCP wordt ook verantwoordelijk gehouden voor supplychain-aanvallen op SAP, Checkmarx, Bitwarden, Lightning, Intercom en Trivy bron: https://www.security.nl

Microsoft waarschuwt voor een nieuwe kwetsbaarheid in Windows genaamd YellowKey waardoor de BitLocker-encryptie van systemen is te omzeilen. Het techbedrijf verwacht dat aanvallers misbruik van het lek zullen gaan maken. Volgens ontwikkelaar van forensische software Elcomsoft, is de kwetsbaarheid interessant voor forensisch onderzoekers die nu geen toegang tot met BitLocker versleutelde systemen kunnen krijgen. Op 12 mei publiceerde een onderzoeker op GitHub een werkende proof-of-concept exploit voor de kwetsbaarheid, die hij de naam YellowKey gaf. Via de exploit kan een aanvaller met fysieke toegang tot een met BitLocker versleutelde Windows 11, Windows Server 2022 of Windows Server 2025 machine toegang tot het systeem krijgen. De enige vereiste is een usb-stick met de exploit en een toetsencombinatie die tijdens het opstarten moet worden ingevoerd. "De kwetsbaarheid zit niet in de encryptie zelf, maar in de herstelomgeving die BitLocker omringt", stelt het Nationaal Cyber Security Centrum (NCSC). Een dag later meldde de onderzoeker dat ook BitLocker-systemen met TPM en pincode kwetsbaar zijn, maar de gepubliceerde exploit werkt niet tegen systemen die met een pincode zijn beveiligd. Experts twijfelen of BitLocker met een pincode inderdaad kwetsbaar is, zoals de onderzoeker claimt. Een week na de publicatie van de YellowKey-exploit is Microsoft nu met een beveiligingsbulletin over het probleem gekomen. Daarin waarschuwt het techbedrijf voor de kwetsbaarheid (CVE-2026-45585) en zegt aan een beveiligingsupdate te werken. Een patch is nog niet beschikbaar, wel verschillende tijdelijke mitigaties die organisaties en gebruikers kunnen doorvoeren, waaronder het instellen van een pincode. Volgens Oleg Afonin, van forensische softwareontwikkelaar Elcomsoft, heeft het YellowKey-lek veel aandacht van de cybersecuritypers gekregen, maar bleef het binnen de forensische gemeenschap stil. Elcomsoft levert software waarmee onder andere opsporingsdiensten toegang tot systemen kunnen krijgen. Afonin stelt dat YellowKey forensisch onderzoekers kan helpen om toegang te krijgen tot systemen die nu op de plank liggen en eerder niet waren te onderzoeken omdat ze met BitLocker zijn versleuteld. Daarbij merkt hij op dat onderzoekers wel eerst een image van het systeem met een hardware write blocker moeten maken, omdat de exploit allerlei bestanden aanpast. bron: https://www.security.nl

AWS-tokens, wachtwoorden en Entra ID SAML certificaten van het Amerikaanse cyberagentschap CISA zijn via een publieke GitHub-repository gelekt. Onderzoekers van securitybedrijf GitGuardian vonden in totaal 844 megabyte aan vertrouwelijke data, waaronder CI/CD build logs, Kubernetes manifests, GitHub Actions workflows, back-ups met interne documentatie, allerlei soorten scripts, plaintext wachtwoorden en inloggegevens voor AWS GovCloud-servers en interne CISA systemen. Volgens de onderzoekers gaf het gelekte materiaal een uitgebreid inzicht in de cloud-infrastructuur, deployment workflows, software supply-chain tooling en interne operationele procedures van het cyberagentschap. Zo konden de onderzoekers zien hoe het CISA intern software ontwikkelt, test en uitrolt. "De repository was een verzameling van onveilige praktijken: plaintext wachtwoorden, back-ups die naar Git werden gecommit en uitdrukkelijke instructies om de secret scanning van GitHub uit te schakelen." Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security speelt een belangrijke rol in de beveiliging van de Amerikaanse overheid. Het doet onderzoeken naar incidenten en publiceert geregeld beveiligingsadvies. De publieke GitHub-repository, opgezet door een contractor die voor het CISA werkte, werd op 14 mei ontdekt en aan het CISA gerapporteerd. Een dag later was die offline gehaald. Onderzoeker Guillaume Valado van GitGuardian laat tegenover it-journalist Brian Krebs weten dat hij eerst dacht dat alle informatie nep was, totdat hij verder onderzoek deed. "Dit is het ergste lek dat ik ooit heb gezien. Het is duidelijk de fout van een individu, maar het zegt mogelijk iets over hoe er intern wordt gewerkt." Philippe Caturegli van securitybedrijf Seralys vermoedt dat de contractor GitHub gebruikte om bestanden tussen zijn werklaptop en thuiscomputer te synchroniseren. bron: https://www.security.nl

Mozilla heeft een nieuwe versie van Firefox uitgebracht die betere bescherming tegen fingerprinting belooft, vooral op macOS. Daarnaast zijn 31 kwetsbaarheden in de browser verholpen en is het nu mogelijk om in de Private Browsing Mode alle data te verwijderen, zonder dat hiervoor het browservenster moet worden gesloten. Bij browser fingerprinting wordt er naar eigenschappen van het systeem en de browser gekeken om een unieke fingerprint van de gebruiker te maken. Het gaat dan bijvoorbeeld om ingestelde schermresolutie, processor, batterijstatus, besturingssysteem, tijdszone, systeemtaal, geïnstalleerde fonts en plug-ins. Op deze manier kunnen trackers gebruikers over het internet volgen, zonder afhankelijk te zijn van cookies. Mozilla meldde eerder dat gebruikers zo maandenlang zijn te volgen. Firefox biedt al bescherming tegen fingerprinting, maar die bescherming is nu verder uitgebreid, aldus Mozilla. Via de Standard Enhanced Tracking Protection geeft Firefox nu minder informatie over het systeem en de browser. Dit zou het aantal gebruikers dat uniek aan de hand van bekende fingerprintingtechnieken is te identificeren met gemiddeld 14 procent moeten verminderen. Op macOS gaat het zelfs om een afname van 49 procent, zo claimt Mozilla. Verder zijn met de release van Firefox 151 in totaal 31 kwetsbaarheden verholpen, waarvan de maximale impact 'high' is. Tevens biedt de browser nu in de Private Browsing Mode de optie om alle data van de huidige sessie te verwijderen, zonder dat het gehele browservenster moet worden gesloten, zoals voorheen het geval was. Updaten naar Firefox 151 kan via de automatische updatefunctie en Firefox.com. bron: https://www.security.nl

Mozilla heeft haar zorgen geuit over Britse plannen om een verplichte leeftijdsverificatie voor vpn-providers in te voeren. Volgens de Firefox-ontwikkelaar ondermijnt dit de privacy en security van gebruikers en kan het tot gevoelige datalekken leiden. Afgelopen maart stemde het Britse Lagerhuis in met een voorstel waardoor de Britse overheid een leeftijdsgrens voor het gebruik van vpn-diensten kan invoeren. Eerder startte de Britse overheid een online consultatie waarin het naar meningen vraagt over een minimale leeftijd voor het gebruik van social media, waar ook een mogelijk leeftijdsverbod voor vpn-diensten wordt genoemd. Mozilla heeft daar nu op gereageerd. Mozilla stelt dat leeftijdsverificatie alle gebruikers raakt, niet alleen minderjarigen. "Er is geen mechanisme waarmee een vpn-provider kan bepalen welke gebruikers minderjarig zijn, zonder van alle gebruikers de leeftijd te verifiëren." Het verplichten van leeftijdsverificatie om vpn-toegang te krijgen zal er zo toe leiden dat elke gebruiker, ongeacht leeftijd, gevoelige persoonlijke data moet overhandigen om van basale privacybescherming gebruik te kunnen maken, aldus Mozilla. De Firefox-ontwikkelaar voegt toe dat uit verschillende onderzoeken blijkt dat kinderen verplichte online leeftijdsverificatie niet op grote schaal door middel van vpn's omzeilen. Vorig jaar verplichtte de Britse overheid al voor tal van websites online leeftijdsverificatie. Na de invoering hiervan was er een toename in het vpn-gebruik zichtbaar. Ook de Britse autoriteiten stellen dat er niet kan worden gesteld dat het hier om minderjarigen gaat. Mozilla vermoedt dat het hier volwassenen betreft die hun identiteitsbewijzen niet willen delen met een platform dat ze niet vertrouwen om hun gevoelige informatie goed te beschermen. Leeftijdsverificatie zou ook tot een online tweedeling kunnen leiden, waarbij volwassen gebruik kunnen blijven maken van vpn's, maar dit voor jongeren wordt verboden. Daarnaast zou het ook het probleem dat beleidsmakers noemen niet oplossen. Dat gaat namelijk over 'schadelijke' of leeftijdsongeschikte content, contact met vreemden en verslavend gebruik gevoed door een algoritmisch ontwerp dat op de platforms aanwezig is. Niet het gebruik van vpn-diensten, gaat Mozilla verder. Dat vindt dat de autoriteiten platforms en hun businessmodellen zouden moeten aanpakken, in plaats van voor alle online diensten verplichtingen in te voeren. Daarnaast moet er volgens de Firefox-ontwikkelaar meer worden ingezet op digitale vaardigheden en ouderlijk toezicht. bron: https://www.security.nl

Systemen en repositories van OpenAI zijn getroffen door de recente TanStack supplychain-aanval, zo heeft de ChatGPT-ontwikkelaar bekendgemaakt. Vorige maand werd het bedrijf door een zelfde soort aanval geraakt. Naar aanleiding van de inbraak is besloten om code-signing certificates te vervangen en zullen macOS-gebruikers hun OpenAI-applicaties moeten updaten. Afgelopen maandag wisten aanvallers TanStack te compromitteren. TanStack biedt tal van libraries die ontwikkelaars gebruiken voor het ontwikkelen van webapplicaties. De packages van TanStack tellen tientallen miljoenen installaties. Bij de aanval wisten de aanvallers 84 besmette versies van 42 TanStack npm packages te publiceren, zo laat TanStack in een analyse van de aanval weten. Deze versies waren voorzien van malware die allerlei inloggegevens op besmette systemen steelt, waaronder AWS IMDS / Secrets Manager, GCP metadata, Kubernetes service-account tokens, Vault tokens, ~/.npmrc, GitHub tokens en SSH private keys. Daarnaast probeert de malware softwareprojecten van de getroffen ontwikkelaar te infecteren. Volgens OpenAI raakten twee systemen van werknemers in de bedrijfsomgeving besmet met de malware en werd er 'credential material' gestolen uit de code repositories waar deze medewerkers toegang toe hadden. De getroffen code repositories bevatten certificaten en keys die OpenAI gebruikt voor het signeren van software op Windows, macOS, iOS en Android. De ChatGPT-ontwikkelaar zegt dat het uit voorzorg de certificaten zal vervangen en dat macOS-gebruikers als gevolg hiervan hun OpenAI-applicaties moeten updaten. MacOS zal vanaf 12 juni, als de betreffende certificaten worden ingetrokken, de applicaties die met deze certificaten zijn gesigneerd blokkeren. In april zag OpenAI zich ook al gedwongen om certificaten te vervangen, nadat het was getroffen door de aanval op de Axios HTTP client library. De ChatGPT-ontwikkelaar zegt dat het naar aanleiding van dit incident was begonnen met de gefaseerde uitrol van aanvullende beveiligingsmaatregelen, maar dat de twee getroffen medewerkers de nieuwe configuratie nog niet op hun systemen hadden ontvangen. Was dat wel het geval geweest, dan waren de besmette packages niet gedownload, aldus OpenAI. bron: https://www.security.nl

Microsoft verwacht dat aanvallers misbruik gaan maken van een kritieke kwetsbaarheid in Outlook waardoor aanvallers door het versturen van een e-mail code op systemen kunnen uitvoeren. Het doelwit hoeft niet op een link te klikken of een bijlage te openen, alleen het openen van een e-mail, of wanneer die in het Voorbeeldvenster (Preview Pane) wordt weergegeven, is voldoende om remote code execution mogelijk te maken. Microsoft kwam afgelopen dinsdag tijdens de patchdinsdag van deze maand met beveiligingsupdates. Microsoft kwam afgelopen dinsdag met beveiligingsupdates, maar stelt in het beveiligingsbulletin dat het waarschijnlijk is dat aanvallers het probleem bij aanvallen zullen misbruiken. De beveiligingsonderzoeker die het probleem ontdekte roept organisaties op om de patches zo snel mogelijk te installeren. Het beveiligingslek (CVE-2026-40361) is aanwezig in Microsoft Word 2016, Microsoft Office LTSC 2024, Microsoft Office LTSC 2021, Microsoft Office LTSC for Mac 2021, Microsoft 365 Apps for Enterprise en Microsoft Office 2019. Microsoft geeft in het beveiligingsbulletin van CVE-2026-40361 weinig details over de kwetsbaarheid, behalve dat het om een 'use after free' gaat waardoor een aanvaller code op het systeem kan uitvoeren. Daarnaast is misbruik mogelijk via het Voorbeeldvenster (Preview Pane). Het probleem werd gevonden en gerapporteerd door beveiligingsonderzoeker Haifei Li. Die laat op X weten dat het hier om een zero-click-kwetsbaarheid in Outlook gaat en dat misbruik plaatsvindt zodra het slachtoffer de e-mail leest of previewt. "Het klikken op links of bijlagen is geen vereiste." Li voegt toe dat de kwetsbaarheid aanwezig is in de engine die Outlook gebruikt voor het weergeven van e-mails en het probleem lastig te mitigeren of blokkeren is. Een mitigatie die wel helpt is om Outlook zo in te stellen dat e-mails alleen in plain text worden weergegeven. Wanneer Microsoft updates voor een kwetsbaarheid uitbrengt laat het bedrijf ook weten of er misbruik van het probleem is waargenomen of dat het dit in de toekomst verwacht. In het geval van CVE-2026-40361 is "exploitation more likely", aldus Microsoft. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritiek cross-site scripting-lek in Microsoft Exchange Server, zo waarschuwt Microsoft. Beveiligingsupdates zijn nog niet beschikbaar, wel een tijdelijke mitigatie die via de Exchange Emergency Mitigation Service wordt uitgerold. De kwetsbaarheid (CVE-2026-42897) maakt het mogelijk voor aanvallers om via een speciaal geprepareerde e-mail JavaScript in de browser van Outlook Web Access-gebruikers uit te voeren. Zo zou er toegang tot e-mail en andere informatie kunnen worden verkregen. Microsoft werd door een externe partij over het misbruik ingelicht, maar heeft de naam van de melder niet bekendgemaakt. Het probleem raakt Microsoft Exchange Server 2016, Exchange Server 2019 en de Exchange Server Subscription Edition. Microsoft zegt dat het aan beveiligingsupdates werkt, wanneer die beschikbaar komen is nog niet bekend. Er zijn wel door het techbedrijf tijdelijke mitigaties beschikbaar gesteld. Exchange Server beschikt over de Emergency Mitigation Service die standaard staat ingeschakeld en automatisch door Microsoft beschikbaar gestelde mitigaties op de server uitvoert. Deze mitigaties moeten aanvallen tegengaan. Organisaties bij wie de Emergency Mitigation Service niet staat ingeschakeld moeten die inschakelen om de tijdelijke mitigatie van Microsoft te ontvangen, aldus het techbedrijf. Organisaties die deze service niet willen inschakelen kunnen als alternatief de Exchange on-premises Mitigation Tool (EOMT) installeren en de mitigatie handmatig per server uitvoeren. Het uitvoeren van de automatische of handmatige mitigatie heeft verschillende gevolgen. Zo kan de OWA Print Calendar functionaliteit niet meer werken en kan het zijn dat inline afbeeldingen niet goed meer worden weergegeven. Ook zal OWA light niet goed meer functioneren. Verdere details over de kwetsbaarheid of waargenomen aanvallen zijn niet door Microsoft gegeven. bron: https://www.security.nl

Ruim honderdduizend WordPress-sites zijn via een kritieke kwetsbaarheid in de Burst Statistics plug-in op afstand door aanvallers over te nemen. Aanvallers maken inmiddels misbruik van het lek. Via het beveiligingslek kan een aanvaller de authenticatie omzeilen en als admin toegang tot de website te krijgen. Enige vereiste is dat aanvallers de naam van de admin weten. Er is een patch beschikbaar gemaakt die het probleem oplost, maar veel websites hebben die nog niet geïnstalleerd. Securitybedrijf Wordfence verwacht dat aanvallers op korte termijn misbruik van de kwetsbaarheid zullen maken. Burst Statistics is een plug-in waarmee WordPress-sites allerlei informatie over hun bezoekers kunnen verzamelen. Het wordt door de ontwikkelaars omschreven als een 'privacyvriendelijk' alternatief voor Google Analytics. De plug-in is op meer dan tweehonderdduizend websites geïnstalleerd. Een functie in de plug-in gebruikt voor de authenticatie controleert niet goed of het opgegeven wachtwoord correct is. Een aanvaller die de naam van administrator weet kan, in combinatie met een fake wachtwoord, een nieuw admin-account aanmaken, aldus Wordfence. De ontwikkelaar kwam op 12 mei met versie 3.4.2 waarin het probleem is verholpen. Op basis van cijfers van WordPress.org blijkt dat de update sindsdien door 94.000 WordPress-sites is gedownload, wat inhoudt dat nog ruim honderdduizend sites risico lopen. Wordfence meldt in de blogposting over het probleem dat aanvallers op korte termijn misbruik van het probleem zullen maken en roept beheerders op om de patch te installeren. In de eigen Intelligence Vulnerability Database laat het securitybedrijf echter weten dat het al misbruik van de kwetsbaarheid heeft waargenomen. Update Wordfence laat in de blogposting over de kwetsbaarheid niet weten dat aanvallers misbruik van het probleem maken, maar meldt dit wel in de eigen Intelligence Vulnerability Database. Deze informatie is aan het artikel toegevoegd. bron: https://www.security.nl

Cisco waarschuwt voor een actief misbruikte kwetsbaarheid in de Catalyst SD-WAN Controller waardoor een ongeauthenticeerde aanvaller admin-toegang tot het systeem kan krijgen. Er zijn beveiligingsupdates uitgebracht om het probleem te verhelpen. Het Nationaal Cyber Security Centrum (NCSC) verwacht dat erop korte termijn een toename in scan- en misbruikverkeer zal plaatsvinden. De Cisco Catalyst SD-WAN Controller is een oplossing waarmee organisaties hun netwerk kunnen beheren en meerdere internetverbindingen gebruiken. Begin dit jaar werd er gewaarschuwd voor een andere kwetsbaarheid in het product dat al jaren werd gebruikt om organisaties wereldwijd mee aan te vallen. Cisco kwam op 25 februari met updates voor dit lek, maar stelde dat misbruik al sinds 2023 plaatsvond. De nieuwste kwetsbaarheid in de Catalyst SD-WAN Controller wordt aangeduid als CVE-2026-20182. Het gaat om een beveiligingslek in de 'peering authentication' van de SD-WAN Controller. Volgens Cisco werkt het authenticatiemechanisme niet goed. Door een speciaal geprepareerd request naar een kwetsbaar systeem te sturen kan een ongeauthenticeerde aanvaller de authenticatie omzeilen en admin-toegang tot het systeem krijgen. De kwetsbaarheid werd op 9 maart dit jaar door securitybedrijf Rapid7 aan Cisco gerapporteerd. Het netwerkbedrijf maakte op 24 april aan Rapid7 bekend in welke versienummers het probleem zou zijn verholpen. Cisco besloot de openbaarmaking van de kwetsbaarheid uit te stellen naar 14 mei, aldus de tijdlijn van Rapid7. In het eigen beveiligingsbulletin meldt Cisco dat het in mei ontdekte dat aanvallers misbruik van CVE-2026-20182 maken. Er zijn Indicators of Compromise gepubliceerd waarmee organisaties kunnen kijken of hun systemen zijn gecompromitteerd. Het NCSC verwacht op korte termijn een toename in scan- en misbruikverkeer waarbij aanvallers naar kwetsbare systemen zoeken en die proberen te hacken. bron: https://www.security.nl

Google heeft beveiligingsupdates uitgebracht voor een recordaantal kritieke kwetsbaarheden in Chrome. Niet eerder in het bestaan van de browser werden er voor zover bekend tijdens één patchronde zoveel problemen opgelost waardoor een aanvaller code op het systeem van gebruikers kan uitvoeren. Alleen het bezoeken van een gehackte of malafide website of te zien krijgen van een besmette advertentie is hiervoor voldoende. Er is geen verdere interactie van gebruikers vereist. In totaal gaat het om veertien kwetsbaarheden die als kritiek zijn aangemerkt. De problemen bevinden zich in allerlei onderdelen van de browser, waaronder Blink, de browser-engine die Chrome gebruikt voor het weergeven van webcontent, Tab Groups, Downloads, FileSystem en ANGLE, waarmee de browser WebGL- en andere OpenGL-content uitvoert. Twaalf van de veertien kritieke beveiligingslekken werden door Google zelf gevonden. Verdere details over de problemen zijn niet gegeven. In het verleden werden er zelden kritieke kwetsbaarheden in Chrome gerapporteerd. De afgelopen weken kwam Google al verschillende keren met kritieke updates. Veertien kritieke beveiligingslekken in één keer is niet eerder waargenomen. In het geval van kritieke kwetsbaarheden probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details kunnen vervolgens na zestig dagen openbaar worden gemaakt. Google Chrome 148.0.7778.167/168 is beschikbaar voor Windows en macOS. Voor Linux is versie 148.0.7778.167 verschenen. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan echter een aantal dagen tot weken duren. Gebruikers die de update direct willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Windows Server maakt het mogelijk voor een computerworm om zich zonder interactie van gebruikers te verspreiden. Twee andere kwetsbaarheden in Windows zijn ook zonder gebruikersinteractie te misbruiken. Microsoft heeft beveiligingsupdates uitgebracht om de problemen te verhelpen en organisaties worden opgeroepen die meteen te installeren. Tijdens de patchdinsdag van mei kwam Microsoft met patches voor meer dan honderddertig kwetsbaarheden. Een aantal van de beveiligingslekken verdienen extra aandacht, aldus securitybedrijf ZDI. Het gaat onder andere om CVE-2026-41089, aanwezig in het Windows Netlogon-onderdeel van Windows Server. Via het lek is remote code execution op domain controllers mogelijk. Hiervoor volstaat het versturen van een speciaal geprepareerd netwerk request. Er zijn geen inloggegevens of interactie van gebruikers vereist. Volgens ZDI moeten organisaties deze kwetsbaarheid meteen patchen. "Een gecompromitteerde domain controller is een gecompromitteerd domein." Een andere kritieke kwetsbaarheid (CVE-2026-41096) raakt de Windows DNS Client van Windows 11 en Windows Server 2025. Een malafide DNS response maakt remote code execution mogelijk. Voor misbruik is er geen authenticatie of gebruikersinteractie vereist. "Aangezien de DNS Client op bijna elke Windows-machine draait, is het aanvalsoppervlak enorm", zegt Dustin Childs van ZDI. Een aanvaller die DNS responses kan beïnvloeden, bijvoorbeeld door een man-in-the-middle, kan binnen de gehele onderneming ongeauthenticeerd code op systemen uitvoeren, voegt Childs toe. Naast de kwetsbaarheid in Windows Netlogon is er deze maand ook een tweede kwetsbaarheid die volgens Childs 'wormable' is. Het gaat om CVE-2026-40415, aanwezig in het Windows TCP/IP-onderdeel van Windows en Windows Server. Het beveiligingslek maakt het mogelijk voor een ongeauthenticeerde aanvaller om zonder interactie van gebruikers code uit te voeren. Volgens Childs is misbruik een stuk onwaarschijnlijker, omdat het doelwit in een situatie moet zijn waarbij die langere tijd minder werkgeheugen beschikbaar heeft. Ondanks deze voorwaarde worden organisaties opgeroepen om ook deze update snel te testen en uit te rollen. De Windows-updates worden op de meeste machines automatisch geïnstalleerd. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om de officiële Python-client van AI-model Mistral te voorzien van een backdoor. De Python Package Index (PyPI), waar de package normaliter wordt aangeboden, heeft de software in quarantaine geplaatst. Volgens Microsoft hebben aanvallers code in een script van de Python-client geïnjecteerd dat uiteindelijk een 'credential stealer' downloadt en uitvoert. Dergelijke malware steelt allerlei inloggegevens van besmette systemen en stuurt die terug naar de aanvallers. Microsoft adviseert om getroffen Linux-hosts in quarantaine te plaatsen, het ip-adres waarvandaan de malware wordt gedownload te blokkeren, te monitoren op de malafide scripts en gestolen inloggegevens te wijzigen. Ook op de GitHub-pagina van Mistral wordt gesproken over de supplychain-aanval en gesteld dat er sprake is van een backdoor. Hoe de aanval kon plaatsvinden is nog niet bekendgemaakt. Volgens securitybedrijf Wiz is de aanval uitgevoerd door een groep criminelen genaamd TeamPCP, die ook voor supplychain-aanvallen op SAP, Checkmarx, Bitwarden, Lightning, Intercom en Trivy verantwoordelijk worden gehouden. bron: https://www.security.nl

Gebruikers van het op privacy-gerichte besturingssysteem Tails worden opgeroepen om te updaten naar versie 7.7.3. Het gaat om een noodpatch die het Linux Dirty Frag-lek verhelpt. Dirty Frag combineert twee verschillende kernel-kwetsbaarheden waardoor het mogelijk is om in het geheugen systeembestanden aan te passen. Een lokale aanvaller kan hierdoor zijn rechten naar die van root verhogen. In het geval van Tails zou een applicatie die met het besturingssysteem wordt meegeleverd adminrechten kunnen krijgen. Een aanvaller die misbruik weet te maken van een kwetsbaarheid in een met Tails meegeleverd applicatie zou zo controle over de Tails-installatie kunnen krijgen en gebruikers kunnen deanonimiseren, aldus de ontwikkelaars. Eerder kwam het ontwikkelteam ook al met een noodpatch wegens het Linux Copy Fail-lek, waardoor een lokale gebruiker root kan worden. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Het privacy-OS kan vanaf een usb-stick of dvd worden gestart. Tails maakt gebruik van het Tor-netwerk om het ip-adres van de gebruiker af te schermen en biedt allerlei op privacy gerichte applicaties. bron: https://www.security.nl

Wereldwijd zijn er meer dan 3500 Wazuh-servers, waaronder 76 in Nederland, die een beveiligingsupdate voor een kritiek path traversal-lek missen, waardoor aanvallers in het ergste geval volledige controle over het systeem kunnen krijgen. Dat meldt The Shadowserver Foundation op basis van eigen onderzoek. Wazuh is een gratis open source beveiligingsplatform gebruikt voor het voorkomen en detecteren van dreigingen en incidentrespons. Volgens de ontwikkelaars combineert het XDR (Extended Detection and Response) en SIEM (Security Information and Event Management). De kwetsbaarheid (CVE-2026-30893) maakt het mogelijk voor een aanvaller om door middel van path traversal naar willekeurige bestanden op andere cluster nodes te schrijven. Een aanvaller kan zo de Python-modules overschrijven waar Wazuh gebruik van maakt, wat kan leiden tot het uitvoeren van code. Op servers waar de cluster daemons met verhoogde rechten draaien kan daardoor het volledige systeem worden gecompromitteerd. De aanval is mogelijk vanaf een geauthenticeerde cluster peer. Op 17 maart verscheen versie 4.14.4 waarin het probleem is verholpen. Twee weken geleden werd de kwetsbaarheid bekendgemaakt. The Shadowserver Foundation is een stichting die onderzoek doet naar kwetsbare systemen op internet. Het deed een online scan naar Wazuh-servers die nog voor CVE-2026-30893 kwetsbaar zijn. Dat leverde meer dan 3500 servers op, waarvan er 76 zich in Nederland bevinden. Beheerders worden opgeroepen om naar de nieuwste versie te updaten. Een andere Wazuh-kwetsbaarheid werd vorig jaar nog door verschillende botnets misbruikt. bron: https://www.security.nl