Captain Kirk

Aanvallers maken actief misbruik van een nieuwe kwetsbaarheid in SmarterMail om het wachtwoord van administrators te resetten. Zodra er admintoegang is verkregen is ook remote code execution op de onderliggende server mogelijk, zo laat securitybedrijf watchTowr weten. Een beveiligingsupdate voor het probleem, dat nog geen CVE-nummer heeft, verscheen op 15 januari. Twee dagen later werden de eerste aanvallen al waargenomen. SmarterMail wordt omschreven als een Windows/Linux-gebaseerde mailserver en groupware-alternatief voor Microsoft Exchange. Gebruikers kunnen hun wachtwoord resetten. Bij een normale resetprocedure controleert SmarterMail het oude wachtwoord van de gebruiker voordat er een nieuw wachtwoord wordt ingesteld. Onderzoekers van watchTowr ontdekten een endpoint waardoor het mogelijk is om zonder geldig wachtwoord een reset uit te voeren. De betreffende API (application programming interface) vereist een oud wachtwoord, maar controleert niet of de juist is. Het enige dat een aanvaller daardoor nodig heeft is de gebruikersnaam van het admin-account en een nieuw wachtwoord om zo admin-toegang tot de mailserver te krijgen. Zodra de aanvaller als admin is ingelogd kan die een nieuw volume mounten en dat van willekeurige commando's voorzien, die vervolgens door het onderliggende besturingssysteem worden uitgevoerd. "Op dat moment heeft de aanvaller volledige remote code execution op de onderliggende host", aldus de onderzoekers. SmarterTools, de ontwikkelaar van SmarterMail, werd op 8 januari over het probleem ingelicht. Een week later op 15 januari verscheen een beveiligingsupdate, waarbij dit ook duidelijk in de release notes werd vermeld. SmarterTools kwam eerder nog onder vuur te liggen omdat het bij een vorige release had nagelaten te vermelden dat een kritiek probleem was opgelost. WatchTowr wilde eigenlijk de details nog niet vrijgeven, maar besloot dat wel te doen. Aanvallers maken namelijk al sinds 17 januari misbruik van het lek, zo blijkt ook uit berichten op het forum van SmarterTools. bron: https://www.security.nl

Volledig gepatchte Fortinet FortiGate-firewalls zijn het doelwit van aanvallen en Fortinet zou inmiddels tegenover klanten hebben bevestigd dat er een update voor het onderliggende probleem wordt ontwikkeld, zo laten beheerders weten. Gisteren verscheen er een bericht op Reddit waar verschillende systeembeheerders melding maakten van aanvallen op hun volledig gepatchte FortiGate-firewall. De beheerders merkten op dat de aanvallen leken op misbruik van een andere kwetsbaarheid waarvoor Fortinet een aantal weken geleden met een update kwam. Via dit kritieke beveiligingslek (CVE-2025-59718) kan een aanvaller de authenticatie omzeilen en zo toegang tot apparaten krijgen. Gisteren liet securitybedrijf Arctic Wolf weten dat het sinds 15 januari nieuwe aanvallen ziet waarbij Fortigate-firewalls worden aangevallen. Bij deze aanvallen worden wijzigingen aan de firewall doorgevoerd. Zo maken de aanvallers accounts aan om toegang te behouden en stellen vervolgens vpn-toegang voor deze accounts in. Tevens wordt de firewallconfiguratie gestolen. Volgens Arctic Wolf is er sprake van een "developing situation" en zal het meer technische informatie delen zodra die beschikbaar komt. De beheerders die op Reddit als eerste melding van de aanvallen maakten laten inmiddels weten dat Fortinet tegenover hen heeft bevestigd dat CVE-2025-59718 ondanks de eerder uitgebrachte patches nog steeds aanwezig is en er nieuwe updates voor het probleem worden ontwikkeld. Fortinet heeft echter nog geen beveiligingsbulletin hierover uitgebracht. bron: https://www.security.nl

Een WordPress-plug-in die op meer dan twintigduizend websites is geïnstalleerd is door een medewerker voorzien van een backdoor, zo meldt securitybedrijf Wordfence op basis van contact met het ontwikkelteam. Een update om de backdoor te verwijderen is uitgebracht, maar de meeste websites hebben die nog niet geïnstalleerd. Via de backdoor kan een ongeauthenticeerde aanvaller administrators aan de website toevoegen en die zo volledig overnemen. Het probleem is aanwezig in de plug-in LA-Studio Element Kit for Elementor, die meer dan twintigduizend installaties telt. Elementor is een zogeheten "page builder" plug-in die de standaard WordPress-editor vervangt. Het biedt gebruikers meer vrijheid en mogelijkheden voor het vormgeven van hun WordPress-site en introduceert allerlei extra functionaliteit. Meer dan tien miljoen WordPress-sites maken gebruik van Elementor. Voor Elementor zijn ook weer allerlei plug-ins en uitbreidingen beschikbaar, waaronder LA-Studio Element Kit for Elementor. De plug-in biedt widgets, themes en andere aanpassingen om eenvoudiger van Elementor gebruik te maken. Een onderzoeker ontdekte dat het mogelijk is om tijdens het registreren van een account een aparte parameter op te geven waarmee men administrator kan worden. De betreffende functie was geobfusceerd om zo detectie te voorkomen. Securitybedrijf Wordfence vroeg het ontwikkelteam om opheldering. Dat liet weten dat een voormalige medewerker de backdoor had toegevoegd. Deze persoon zou eind december zijn ontslagen. De laatste aanpassing aan de backdoor werd een paar dagen eerder gemaakt, aldus Wordfence. Volgens het securitybedrijf is dit een belangrijke reminder als het gaat om insider-dreigingen en dat organisaties de juiste controles en procedures moeten hebben voor het omgaan met ontslagen personeel en geregeld de activiteiten van medewerkers moeten monitoren. De backdoor is verwijderd in versie 1.6.0 van de plug-in, die een week geleden uitkwam. Nergens in de release notes wordt de aanwezigheid van de backdoor vermeld. Daarnaast blijkt uit cijfers van WordPress.org dat de update pas door zo'n vijfduizend websites is geïnstalleerd. bron: https://www.security.nl

GitLab heeft vandaag beveiligingsupdates uitgebracht die meerdere kwetsbaarheden verhelpen, waaronder één die het mogelijk maakt om de tweefactorauthenticatie (2FA) van gebruikers te omzeilen. Beheerders, gebruikers en organisaties worden door GitLab opgeroepen om zo snel mogelijk te updaten naar versie 18.8.2, 18.7.2 of 18.6.4. GitLab is een populaire online DevOps-tool voor het ontwikkelen van software. Organisaties kunnen GitLab op hun eigen server of servers installeren. Een kwetsbaarheid in de software (CVE-2026-0723) maakt het mogelijk voor een aanvaller met kennis van het "credential ID" van het slachtoffer, om door middel van vervalste device responses de tweefactorauthenticatie te omzeilen. Het probleem, wat wordt omschreven als een "unchecked return value issue", is zowel in de GitLab Community Edition (CE) als Enterprise Edition (EE) aanwezig. Verdere details zijn niet door GitLab gegeven. Daarnaast zijn er in de nieuwe versies ook verschillende kwetsbaarheden verholpen die een denial of service mogelijk maken. bron: https://www.security.nl

LastPass waarschuwt gebruikers van de wachtwoordmanager voor een phishingmail waarin wordt gevraagd om een back-up van de wachtwoordkluis te maken. Volgens het bericht, dat zogenaamd van LastPass afkomstig zou zijn, wordt er onderhoud aan de servers van de wachtwoordmanager uitgevoerd. Om tijdens het onderhoud toch bij opgeslagen wachtwoorden te kunnen wordt gevraagd om binnen 24 uur een "lokale back-up" te maken. De phishingmail bevat daarnaast instructies voor het maken van een back-up van de wachtwoordkluis. De knop om de back-up te maken wijst naar een phishingsite die het master password vraagt waarmee er online toegang tot de wachtwoordkluis van het slachtoffer kan worden verkregen. LastPass is een wachtwoordmanager die in de cloud draait. Gebruikers zijn geregeld het doelwit van phishingaanvallen. Vorige maand besloot de Britse privacytoezichthouder LastPass nog een boete van omgerekend 1,4 miljoen euro op te leggen wegens een groot datalek, waar alleen in het Verenigd Koninkrijk 1,6 miljoen mensen slachtoffer van werden. Van 1,2 miljoen Britten werd ook de wachtwoordkluis gestolen. Blockchain-intelligenceplatform TRM Labs stelde laatste dat meerdere diefstallen van cryptovaluta tot het datalek zijn terug te leiden. bron: https://www.security.nl

Oracle waarschuwt organisaties voor kritieke kwetsbaarheden in populaire producten en heeft beveiligingsupdates uitgebracht om de problemen te verhelpen. Vanwege het risico op aanvallen worden organisaties door Oracle opgeroepen de patches zo snel mogelijk te installeren. Het bedrijf stelt dat het berichten blijft ontvangen van klanten die gehackt zijn omdat ze beschikbare updates niet hadden geïnstalleerd. In tegenstelling tot bijvoorbeeld Adobe of Microsoft komt Oracle ééns per kwartaal met beveiligingsupdates. Tijdens de Critical Patch Update van januari zijn in totaal 337 patches uitgebracht. Dat wil niet zeggen dat er ook sprake is van 337 kwetsbaarheden, omdat sommige kwetsbaarheden in meerdere Oracle-producten aanwezig zijn en die elk hun eigen patch ontvangen. In totaal zijn er elf kwetsbaarheden aangemerkt als kritiek. Op een schaal van 1 tot en met 10 is de impact van tien van deze beveiligingslekken beoordeeld met een 9.8 of hoger. Twee kwetsbaarheden (CVE-2025-66516 en CVE-2026-21962) hebben zelfs de maximale impactscore van 10.0. De kritieke kwetsbaarheden zijn aanwezig in Primavera Unifier, Business Process Management Suite, HTTP Server, Weblogic Server Proxy Plug-in, Middleware Common Libraries and Tools, Data Integrator, Fusion Middleware, Outside In Technology, AutoVue Office, Spatial and Graph, Health, Sciences Information Manager, MySQL Server, PeopleSoft Enterprise PeopleTools, Siebel CRM Cloud Applications, Agile Product Lifecycle Management for Process, Communications Operations Monitor, Communications Order and Service Management, Communications Unified Assurance en Commerce Guided Search. De volgende patchronde staat gepland voor 21 april. bron: https://www.security.nl

Spyware is één van de grootste bedreigingen voor fundamentele rechten en democratie en moet daarom in de Europese Unie worden verboden, zo vindt de Europese burgerrechtenbeweging EDRi. Spyware blijft echter in Europa gebruikt worden, wat tot normalisatie leidt, aldus de organisatie. "Ondanks allerlei schandalen in zeker veertien lidstaten, en duidelijk bewijs van mensenrechtenschendingen, hebben zowel de Europese Commissie als de lidstaten geen rode lijn getrokken", laat EDRi weten. Uit onderzoek dat het Europees Parlement liet uitvoeren bleek dat onder andere in Hongarije, Polen, Griekenland, Cyprus en Spanje spyware tegen onder andere oppositie en journalisten is ingezet. Voormalig Europarlementariër en rapporteur van het onderzoeksrapport Sophie In't Veld stelde dat Europa geen politieke wil heeft om het gebruik en de verspreiding van spyware aan te pakken. Volgens EDRi kunnen slachtoffers van spyware nergens aankloppen, gaan commerciële spywareleveranciers ongestoord hun gang en floreert de Europese spywaremarkt, vaak dankzij publiek geld. Om meer handvatten te bieden is EDRi nu met een "document pool" gekomen, met allerlei informatie en standpunten over spyware. Via commerciële spyware, zoals Pegasus en Predator, kan volledige controle over de telefoon van slachtoffers worden verkregen. Zo kunnen microfoon en camera worden ingeschakeld om het slachtoffer en zijn omgeving te bespioneren, kunnen foto's, bestanden en andere gevoelige informatie van het toestel worden gestolen en is het mogelijk om de locatie van het slachtoffer te volgen. Spywareleveranciers gebruiken vaak kwetsbaarheden om de spyware op het toestel van slachtoffers te kunnen installeren. Problemen waar op het moment van de aanval nog geen update voor beschikbaar is. "Spyware is niet compatibel met mensenrechten omdat het indringend is, geheime toegang tot iemands persoonlijke toestel grote hoeveelheden informatie blootstelt en de integriteit van het apparaat in gevaar brengt. Dit maakt het onmogelijk om aan de vereisten te voldoen van de fundamentele rechten noodzakelijkheid en proportionaliteit en maakt het onmogelijk om toezicht op het gebruik ervan te houden", laat EDRi verder weten. EDRi pleit voor een algeheel verbod op commerciële spyware, het verhandelen van kwetsbaarheden en exploits gebruikt voor het verspreiden van spyware, het beschermen van ethisch cyberonderzoek en responsible disclosure voor het melden van kwetsbaarheden, het verbieden van het aanschaffen van producten van spywareleveranciers, het invoeren van gerichte sancties tegen spywareleveranciers en het ter verantwoording roepen van spywareleveranciers voor mensenrechtenschendingen. bron: https://www.security.nl

Tienduizenden WordPress-sites bevatten een kritieke kwetsbaarheid waardoor ze in theorie door aanvallers op afstand zijn over te nemen. Een beveiligingsupdate is al een maand beschikbaar, maar een groot aantal websites heeft die nog niet geïnstalleerd. De ontwikkelaars van Advanced Custom Fields: Extended hebben ook niet nadrukkelijk vermeld dat de update het kritieke beveiligingslek verhelpt. Advanced Custom Fields (ACF) is een zeer populaire uitbreiding die allerlei extra opties aan WordPress toevoegt. Meer dan twee miljoen websites maken er gebruik van. Advanced Custom Fields: Extended is weer een uitbreiding voor ACF die allerlei verbeteringen zou moeten toevoegen en op meer dan honderdduizend websites draait. Een beveiligingslek in ACF: Extended maakt het voor een ongeauthenticeerde aanvaller mogelijk om zich als administrator te registreren en zo volledige controle over de website te krijgen. Voorwaarde is wel dat de beheerder van de site bepaalde opties voor het registratieformulier heeft ingeschakeld. Iets dat volgens securitybedrijf Wordfence waarschijnlijk niet veel voorkomt. Ondanks de voorwaarden voor misbruik is de impact van de kwetsbaarheid (CVE-2025-14533) op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De ontwikkelaars van de plug-in werden op 11 december ingelicht en kwamen op 14 december met versie 0.9.2.2 waarin het probleem is verholpen. In de release notes wordt de aanwezigheid van het beveiligingslek niet vermeld. Er wordt alleen gesteld dat er "een beveiligingsmaatregel" is toegevoegd. Hoewel de update al een maand beschikbaar is, laten cijfers van WordPress.org zien dat zo'n 60.000 sites die nog niet hebben geïnstalleerd. bron: https://www.security.nl

Onderzoekers waarschuwen voor een malafide Google Chrome-extensie die zich voordoet als uBlock Origin Lite, maar in werkelijkheid de browser laat crashen om zo de gebruiker malware te laten installeren. Dat meldt securitybedrijf Huntress in een analyse. De malafide Chrome-extensie wordt geadverteerd via advertenties. Deze advertenties wijzen naar een extensie in de officiële Chrome Web Store. Zodra gebruikers de extensie installeren toont die een waarschuwing en voert vervolgens een denial of service-aanval uit op de browser, zodat die stopt met werken. Volgens deze zogenaamde waarschuwing zijn er beveiligingsproblemen gedetecteerd en moet de gebruiker die handmatig oplossen. De waarschuwing kopieert een malafide PowerShell-commando naar het clipboard en legt vervolgens de gebruiker uit hoe het commando in de terminal moet worden uitgevoerd. Zodra de gebruiker het commando uitvoert wordt er malware genaamd ModeloRAT op het systeem geïnstalleerd, waarmee de aanvallers volledige controle over de computer krijgen. Deze social engineering-techniek wordt ook wel ClickFix genoemd. Zodra gebruikers de browser via force-quit sluiten, zal de browser bij het opnieuw starten weer de waarschuwing tonen, wat weer leidt tot de denial of service. Pas als de gebruiker de extensie verwijdert zal de browser weer gewoon werken. Om te voorkomen dat de gebruiker de zogenaamde adblocker echter vermoedt, is de extensie zo geprogrammeerd dat de eerste waarschuwing pas na een uur verschijnt. bron: https://www.security.nl

Certificaatautoriteit Let's Encrypt biedt vanaf nu ook tls-certificaten aan met een levensduur van zes dagen. Volgens Matthew McPherrin van het ISRG, de organisatie achter Let's Encrypt, verbeteren certificaten met een korte levensduur de veiligheid, omdat ze vaker validatie vereisen en minder afhankelijk zijn van "onbetrouwbare intrekmechanismes". Op dit moment zijn de door Let's Encrypt uitgegeven tls-certificaten negentig dagen geldig. Certificaten die maar zes dagen geldig zijn zouden de periode dat misbruik kan plaatsvinden drastisch verminderen, omdat ze juist zo snel verlopen. Daarnaast zijn ze ook minder afhankelijk van de methodes die nu worden gebruikt om gecompromitteerde of ongeldig uitgegeven certificaten in te trekken. "Helaas is het intrekken een onbetrouwbaar systeem, waardoor veel afhankelijke partijen kwetsbaar blijven totdat het certificaat verloopt", aldus McPherrin. Vooralsnog zijn de "short-lived" certificaten opt-in en moeten gebruikers van Let's Encrypt hier zelf voor kiezen. Gebruikers die het vernieuwingsproces van hun certificaten volledig hebben geautomatiseerd zouden volgens McPherrin eenvoudig naar de zesdaagse certificaten moeten kunnen overstappen. Onlangs maakte Let's Encrypt al bekend dat de standaard levensduur van certificaten die het uitgeeft wordt verkort van 90 naar 45 dagen. Dat staat gepland voor begin 2028. bron: https://www.security.nl

Microsoft heeft actie ondernomen tegen een dienst die virtual machines aan criminelen verhuurt. Volgens Microsoft wordt RedVDS voor allerlei criminele doeleinden gebruikt, waaronder het versturen van phishingmails, het hosten van "scam infrastructure" en het faciliteren van online fraude. Afnemers van de dienst krijgen voor 24 dollar per maand toegang tot vm's. "In slechts één maand stuurden meer dan 2600 unieke RedVDS virtual machines gemiddeld een miljoen phishingmails per dag naar alleen Microsoft-klanten", aldus Microsoft. Het techbedrijf stelt dat aanvallen die sinds september vorig jaar via RedVDS werden uitgevoerd tot 191.000 gecompromitteerde organisaties en accounts wereldwijd hebben geleid. Als onderdeel van de actie tegen RedVDS zijn twee domeinen in beslag genomen en is "het grondwerk" gelegd om de beheerders van de dienst te identificeren, zo laat Microsoft verder weten. Het techbedrijf zegt verder samen te werken met Europol om de servers en betaalnetwerken van RedVDS aan te pakken. Er zijn nog geen verdachten aangehouden. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in Fortinet FortiSIEM waarvoor op 13 januari beveiligingsupdates verschenen, zo meldt securitybedrijf Defused. FortiSIEM is een Security Information and Event Management (SIEM) platform van Fortinet waarmee organisaties dreigingen in hun netwerkomgeving kunnen detecteren. De kwetsbaarheid, aangeduid als CVE-2025-64155, maakt het mogelijk voor ongeauthenticeerde aanvallers om willekeurige code of commando's op het systeem uit te voeren. Hiervoor volstaat het versturen van speciaal geprepareerde TCP-requests. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.4. Het probleem werd gevonden en gerapporteerd door securitybedrijf Horizon3.ai. Dat kwam op 13 januari met een technische beschrijving van de kwetsbaarheid en het maakte proof-of-concept exploitcode beschikbaar. Via het beveiligingslek kan een aanvaller willekeurige bestanden als admin naar het systeem schrijven. Een ander probleem maakt het mogelijk om van admin root te worden en zo volledige controle over het systeem te krijgen. Beide problemen kregen CVE-2025-64155 toegewezen. Securitybedrijf Defused laat via X weten dat het inmiddels verschillende ip-adressen heeft waargenomen die misbruik van de kwetsbaarheid proberen te maken. Verdere details over deze aanvallen zijn niet gegeven. bron: https://www.security.nl

Cisco heeft beveiligingsupdates uitgebracht voor een actief misbruikte kwetsbaarheid in de Cisco Secure Email Gateway en Cisco Secure Email & Web Manager die al een maand bekend is. Via het kritieke beveiligingslek kan een aanvaller willekeurige commando's met rootrechten op het onderliggende besturingssysteem van de appliance uitvoeren. Cisco waarschuwde op 17 december voor het probleem, maar had toen nog geen patches beschikbaar. De impact van de kwetsbaarheid (CVE-2025-20393) is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. De Secure Email Gateway, eerder bekend als Email Security Appliance, en de Secure Email & Web Manager, eerder bekend als Security Management Appliance (SMA), zijn zowel virtuele als hardwarematige appliances voor het filteren van e-mailverkeer op allerlei dreigingen. De aanvallen waarvoor Cisco een maand geleden waarschuwde zijn gericht tegen zowel de fysieke als virtuele versies van Cisco Secure Email Gateway en Cisco Secure Email & Web Manager. Voorwaarde voor misbruik is dat de appliance is geconfigureerd met de Spam Quarantine feature en deze feature vanaf het internet bereikbaar is. Cisco merkt op dat de Spam Quarantine feature niet standaard staat ingeschakeld. Zodra de aanvallers een apparaat hebben gehackt installeren ze een "persistent covert channel" om op afstand toegang tot het apparaat te behouden. Het netwerkbedrijf heeft het beveiligingsbulletin nu voorzien van meer informatie over de kwetsbaarheid, de beschikbaarheid van beveiligingsupdates en welke versies precies kwetsbaar zijn. Cisco liet eerder al weten dat het beveiligingslek zeker sinds eind november bij aanvallen is ingezet. Hoeveel systemen wereldwijd zijn gecompromitteerd is onbekend. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in de plug-in Modular DS voor het aanvallen en overnemen van WordPress-sites. Een beveiligingsupdate is inmiddels beschikbaar, maar het beveiligingslek werd al voor het uitkomen van de patch misbruikt, zo meldt securitybedrijf Patchstack. Beheerders en websites die van de plug-in gebruikmaken zijn opgeroepen om te controleren of hun website niet al is gehackt. Modular DS is een plug-in voor het beheer en monitoren van WordPress-sites. Het maakt het mogelijkk om plug-ins, themes en WordPress zelf te updaten, uptime en prestaties van de website te monitoren, back-ups te maken, database-optimalisaties door te voeren en nog een aantal andere zaken. Ruim dertigduizend websites hebben de plug-in geïnstalleerd. Het beveiligingslek, aangeduid als CVE-2026-23550, maakt het mogelijk voor een ongeauthenticeerde aanvaller om de authenticatie te omzeilen en als admin in te loggen. Zodoende kan er volledige controle over de website worden verkregen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Patchstack ontdekte op 14 januari aanvallen waarbij het lek werd misbruikt en rapporteerde de kwetsbaarheid vervolgens aan de ontwikkelaar. Die kwam anderhalf uur later al met een update. Sinds het uitbrengen van de beveiligingsupdate is die door 35.000 websites geïnstalleerd. Het installeren van de patch alleen is niet voldoende. De ontwikkelaars roepen gebruikers op om na de installatie van de update hun logbestanden op verdachte requests te controleren en de naar de bestaande admin-gebruikers te kijken of daar geen onverwachte admins tussenzitten. Verder wordt aangeraden om WordPress salts en OAuth credentials opnieuw te genereren en de website op de aanwezigheid van malafide plug-ins te controleren. bron: https://www.security.nl

Het op privacy gerichte besturingssysteem Tails is gestopt met het aanbieden van downloads via BitTorrent. "De BitTorrent versie 1 bestanden die we tot nu toe hebben aangeboden kunnen een beveiligingsrisico worden. We denken dat het updaten naar BitTorrent versie 2 de extra migratie- en onderhoudskosten voor ons team niet waard is", aldus een verklaring van de ontwikkelaars. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Het privacy-OS kan vanaf een usb-stick of dvd worden gestart. Het maakt gebruik van het Tor-netwerk om het ip-adres van de gebruiker af te schermen en biedt allerlei op privacy gerichte applicaties. De installatiebestanden van Tails waren altijd te downloaden via HTTPS en BitTorrent. Deze laatste optie is met de release van Tails 7.4 niet meer beschikbaar. Vorig jaar maart vond elf procent van de Tails-downloads nog plaats via BitTorrent. Toch is er nu besloten deze downloadmethode te laten vallen. Hiervoor wordt onder andere gewezen naar de eerder genoemde BitTorrent versie 1 bestanden. Die maken gebruik van hashingalgoritme SHA-1, wat volgens de ontwikkelaars een beveiligingsrisico is. Via de hash kunnen gebruikers de integriteit van hun download verifiëren. Daarnaast zijn er ook nog andere bezwaren, zoals de ondersteuning van BitTorrent versie 2 door sommige clients en dat het uitbrengen van nieuwe Tails-versies door trage downloads van de BitTorrent seed soms vertraging opliep. Verder stelt het ontwikkelteam dat het direct downloaden van Tails via één van de mirrors meestal sneller is. bron: https://www.security.nl

Vpn-provider Mullvad is volledig gestopt met de ondersteuning van OpenVPN. Gebruikers van de vpn-dienst kunnen daardoor niet meer via OpenVPN verbinding met de vpn-servers van Mullvad maken. "WireGuard is de toekomst", zo liet Mullvad onlangs nog weten. OpenVPN is een populair vpn-protocol dat in 2001 werd gelanceerd. WireGuard verscheen in 2015. Volgens Mullvad biedt WireGuard inmiddels dezelfde obfuscatie als OpenVPN, maar met veel betere security en prestaties. Eind 2024 liet de vpn-provider al weten dat het van plan was om OpenVPN in de eigen systemen uit te faseren. Dat moment is vandaag gekomen. Mullvad stelt dat gebruikers in de meeste gevallen zelf geen actie hoeven te ondernemen. Gebruikers die eerder OpenVPN als vpn-protocol hadden gekozen worden namelijk automatisch overgezet naar WireGuard. Alleen in gevallen waarbij er een specifieke OpenVPN-server of locatie met alleen een OpenVPN-server was geselecteerd, kan er geen verbinding met de vpn-servers van Mullvad worden gemaakt en moet er handmatig een nieuwe locatie worden gekozen. Gebruikers die via een externe app of router gebruikmaken van de Mullvad OpenVPN-servers moeten hier ook aanpassingen in doorvoeren, omdat deze servers vandaag offline worden gehaald. "Als je nog ergens gebruikmaakt van OpenVPN adviseren we je om op WireGuard over te stappen", aldus de vpn-provider een aantal weken geleden. Gisteren maakte vpn-provider Proton VPN bekend dat het support van OpenVPN in de eigen apps gaat stoppen. bron: https://www.security.nl

Firewalls van Palo Alto Networks zijn via een denial of service (dos) kwetsbaarheid door ongeauthenticeerde aanvallers op afstand uit te schakelen. Het bedrijf heeft beveiligingsupdates uitgebracht om het probleem te verhelpen. De kwetsbaarheid (CVE-2026-0227) bevindt zich in PAN-OS, het besturingssysteem dat op de firewalls van Palo Alto Networks draait. In het beveiligingsbulletin worden geen details over de kwetsbaarheid gegeven, behalve dat herhaaldelijk misbruik van het lek ervoor zorgt dat de firewall in de 'maintenance mode' gaat en dan geen bescherming meer biedt, totdat het apparaat weer in de operationele mode wordt gezet. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 8.7. Een soortgelijk beveiligingslek (CVE-2024-3393) is eind 2024 actief gebruikt bij aanvallen. Palo Alto Networks zegt niet bekend te zijn met misbruik van CVE-2026-0227. bron: https://www.security.nl

Antivirusbedrijf Trend Micro waarschuwt klanten voor een kritieke kwetsbaarheid in beveiligingsplatform Apex Central, waardoor een ongeauthenticeerde aanvaller op afstand code met SYSTEM-rechten kan uitvoeren. "Dit kan de integriteit en beveiliging van de getroffen systemen in gevaar brengen", aldus het Nationaal Cyber Security Centrum (NCSC). De impact van het beveiligingslek (CVE-2025-69258) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Er zijn deze week updates uitgebracht om het probleem te verhelpen. Apex Central is een platform voor het gecentraliseerd beheren van Trend Micro-producten en -diensten op de gateway, mailserver, fileserver en desktops. Het probleem zorgt ervoor dat een ongeauthenticeerde aanvaller een bericht naar Apex Central kan sturen, waardoor een DLL-bestand van de aanvaller in een proces van Apex Central wordt geladen. Zodoende wordt code van de aanvaller met SYSTEM-rechten uitgevoerd. De kwetsbaarheid werd gevonden door onderzoekers van securitybedrijf Tenable, maar die hadden de nodige moeite om het probleem bij Trend Micro te rapporteren. De kwetsbaarheid werd op 26 augustus vorig jaar gerapporteerd, maar Trend Micro had onder andere moeite met het ontsleutelen van de e-mail met informatie. Eind november besloot Tenable de MITRE Corporation te vragen om te helpen om de kwetsbaarheid bij Trend Micro onder de aandacht te brengen. Op 1 december liet de virusbestrijder weten dat het probleem was onderzocht en werden er excuses voor de "communication breakdown" gemaakt. Ook vroeg het bedrijf aan Tenable om details van de kwetsbaarheid later bekend te maken. Kwetsbaarheden in Apex Central zijn in het verleden verschillende keren gebruikt bij aanvallen tegen organisaties. bron: https://www.security.nl

Softwarebedrijf SmarterTools heeft een kritieke kwetsbaarheid in SmarterMail, waardoor een ongeauthenticeerde aanvaller willekeurige code op de mailserver kan uitvoeren, stilletjes gepatcht, zo beweert securitybedrijf watchTowr. Klanten van de mailoplossing zijn zeer verontwaardigd over de situatie. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. SmarterMail wordt omschreven als een Windows/Linux-gebaseerde mailserver en groupware-alternatief voor Microsoft Exchange. Op 29 december maakte de Singaporese overheid bekend dat er een zeer kritieke kwetsbaarheid in SmarterMail aanwezig is, aangeduid als CVE-2025-52691. Via het beveiligingslek kan een ongeauthenticeerde aanvaller willekeurige bestanden naar elke locatie op de mailserver uploaden, wat kan leiden tot remote code execution. Gebruikers werden door de autoriteiten opgeroepen om meteen naar build 9413 te updaten. Het CVE-nummer voor de kwetsbaarheid verscheen op 28 december. Onderzoekers van watchTowr zagen dat build 9413 al op 10 oktober vorig jaar was gepubliceerd. In de release notes wordt alleen gesproken over "general security fixes". Er wordt nergens melding van CVE-2025-52691 gemaakt. De onderzoekers analyseerden de genoemde versie en ontdekten dat deze build het probleem inderdaad verhelpt. Ook maakten ze een technische analyse van de kwetsbaarheid, waarin ze stellen dat SmarterTools het lek stilletjes heeft gepatcht. Klanten van SmarterTools zijn zeer verontwaardigd over het achterhouden van deze belangrijke informatie, zo blijkt uit een forumtopic op de website van het softwarebedrijf. SmarterTools zegt dat het de informatie heeft achtergehouden om aanvallers niet wijzer te maken en klanten de tijd te geven om de update te installeren. Het softwarebedrijf heeft naar aanleiding van alle kritiek gisteren een e-mail over de kwetsbaarheid naar klanten gestuurd. In het forumtopic maken verschillende klanten ook melding dat ze malware op hun mailserver hebben aangetroffen. Of dit het gevolg is van actief misbruik van CVE-2025-52691 is nog niet bevestigd. bron: https://www.security.nl

Vorig jaar is een recordaantal kwetsbaarheden in Windows actief misbruikt bij aanvallen, waar op het moment van de aanval nog geen beveiligingsupdate voor beschikbaar was. Dat blijkt uit cijfers van Google die Security.NL analyseerde. Google houdt al jaren een overzicht bij van actief aangevallen kwetsbaarheden in populaire producten. Vorig jaar werden 43 kwetsbaarheden geregistreerd, waarvoor pas na ontdekking van het misbruik een patch verscheen. Van de 43 kwetsbaarheden bevonden zich er 18 in Windows. Niet eerder werden er zoveel actief aangevallen beveiligingslekken in het besturingssysteem van Microsoft waargenomen. In 2024 ging het nog om 9 kwetsbaarheden en in 2023 registreerde Google 12 aangevallen Windows-lekken. Nagenoeg alle Windows-kwetsbaarheden die vorig jaar bij aanvallen werden waargenomen maken het mogelijk voor een aanvaller die al toegang tot een systeem heeft om zijn rechten te verhogen, en zo het systeem verder te compromitteren, of om bepaalde beveiligingsmaatregelen te omzeilen. Google rapporteerde 8 actief aangevallen kwetsbaarheden in de eigen producten, voornamelijk in Chrome. Het techbedrijf registreerde in 2024 nog 16 beveiligingslekken in de eigen software waar op het moment van de aanval geen update voor beschikbaar was. Apple zag volgens Google het aantal misbruikte kwetsbaarheden stijgen van 5 in 2024 naar 9 in 2025. In 2023 ging het echter nog om 20 beveiligingslekken, voornamelijk in iOS en WebKit. bron: https://www.security.nl

Drie kwetsbaarheden in VMware ESXi zijn mogelijk een jaar voordat beveiligingsupdates beschikbaar kwamen om ze te verhelpen, misbruikt bij aanvallen. Dat stelt securitybedrijf Huntress op basis van onderzoek. Ook al zijn updates beschikbaar, nog zo'n 34.000 ESXi-servers zijn niet gepatcht, waaronder achthonderd in Nederland. Via de kwetsbaarheden kunnen aanvallers vanuit een virtual machine toegang tot de onderliggende hypervisor krijgen. Dit is de software waarmee virtual machines worden gemaakt en op draaien. De kwetsbaarheden (CVE-2025-22224, CVE-2025-22225 en CVE-2025-22226) werden op 4 maart 2025 gepatcht in VMware ESXi, VMware Workstation Pro / Player (Workstation), VMware Fusion, VMware Cloud Foundation en VMware Telco Cloud Platform. De gevaarlijkste kwetsbaarheid is CVE-2025-22224. Het gaat om een out-of-bounds write waardoor een aanvaller vanuit de virtual machine code op de onderliggende host kan uitvoeren. De impact van deze kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. De andere twee VMware-kwetsbaarheden hebben een lagere impactscore en maken het mogelijk voor een aanvaller om geheugen van het vmware-proces te lekken en uit de sandbox-beveiliging van de software te breken. Bij het uitbrengen van de updates meldde Broadcom dat er al actief misbruik van de kwetsbaarheden was gemaakt. Sinds wanneer dit misbruik plaatsvond liet het bedrijf niet weten. Volgens Huntress zijn de beveiligingslekken mogelijk al een jaar voor het uitkomen van de updates misbruikt. Het securitybedrijf baseert zich op een exploit-toolkit die bij aanvallen tegen VMware ESXi-hypervisors werd ingezet. Met "moderate confidence" stelt Huntress dat deze exploit-toolkit gebruikmaakt van de drie bovengenoemde kwetsbaarheden. In de toolkit werd een path aangetroffen met een datum van 19 februari 2024, wat volgens de onderzoekers suggereert dat misbruik al geruime tijd voor het verschijnen van de patches plaatsvond. Via de toolkit wordt een backdoor op de ESXi-hypervisor geïnstalleerd. De onderzochte exploit-toolkit ondersteunt 155 verschillende ESXi builds, van versie 5.1 tot en met 8.0. Sommige van deze versies zijn end-of-life en worden niet meer ondersteund. Volgens The Shadowserver Foundation missen op het moment van schrijven nog zo'n 34.000 ESXi-servers de updates die Broadcom vorig jaar maart beschikbaar stelde. Het gaat onder andere om achthonderd machines in Nederland. bron: https://www.security.nl

Een kritieke kwetsbaarheid in jsPDF, een library om in JavaScript pdf-bestanden te genereren, maakt het mogelijk voor aanvallers om gevoelige informatie van servers te stelen. De impact van de kwetsbaarheid (CVE-2025-68428) is op een schaal van 1 tot en met 10 beoordeeld met een 9.2. JsPDF wordt op grote schaal gebruikt om pdf-documenten in JavaScript-applicaties te genereren. Via npm, de standaard package manager voor de JavaScript-omgeving Node.js, wordt jsPDF bijna vier miljoen keer per week gedownload. De kwetsbaarheid zorgt ervoor dat invoer van gebruikers wordt doorgegeven als een "file path argument". Een aanvaller kan hier misbruik van maken door jsPDF een specifiek bestand op het lokale file system te laten uitlezen en de inhoud daarvan vervolgens toe te laten voegen aan het te genereren pdf-bestand. Een aanvaller kan zo willekeurige bestanden uitlezen. Dit is vooral een probleem bij organisaties die jsPDF server-side draaien en de applicatie gebruikersinvoer laten verwerken. "Succesvol misbruik leidt tot het ongeautoriseerd openbaar maken van gevoelige data, waaronder configuratiebestanden, omgevingsvariabelen en andere bestanden die toegankelijk zijn voor het Node.js proces. De inhoud van bestanden wordt letterlijk toegevoegd aan gegenereerde pdf-bestanden, waardoor datadiefstal via normale applicatie-uitvoer mogelijk is. Daardoor moet dit als een kritieke kwetsbaarheid worden beschouwd", stelt securitybedrijf Endor Labs. Het probleem is verholpen in jsPDF 4.0.0, waardoor tot het file system standaard is beperkt. bron: https://www.security.nl

Onderzoekers hebben twee extensies voor Google Chrome gevonden, met in totaal 900.000 downloads, die gesprekken met chatbots ChatGPT en DeepSeek stelen. Dat meldt securitybedrijf OX Security. Volgens de onderzoekers doen de twee extensies, met de naam 'Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI' en 'AI Sidebar with Deepseek, ChatGPT, Claude and more', zich voor als een legitieme extensie van het bedrijf AItopia. Deze extensie voorziet de browser van een sidebar om zo met allerlei AI-chatbots te chatten. De twee malafide Chrome-extensies vragen gebruikers toestemming voor het verzamelen en versturen van "anonieme, niet-identificeerbare analytics data". In werkelijkheid worden echter volledige gesprekken met ChatGPT en Deepseek verzameld. Eén van de extensies heeft de "Featured" badge van Google gekregen. Google kent deze badge toe aan extensies die 'technische best practices' volgen en aan een 'hoge standaarden' voor gebruikerservaring en -ontwerp voldoen. Naast chatgesprekken kunnen de extensies ook volledige url's, zoekopdrachten, url-parameters met gevoelige data en interne bedrijfs-url's stelen. Gebruikers die de betreffende extensies hebben geinstalleerd worden dan ook opgeroepen die te verwijderen. Onlangs waarschuwde een ander securitybedrijf voor verschillende Chrome- en Edge-extensies, met miljoenen installaties, die ook gesprekken met AI-chatbots onderscheppen en terugsturen. bron: https://www.security.nl

Workflow-automationplatform n8n waarschuwt voor een kritieke kwetsbaarheid die het mogelijk maakt op afstand code uit te voeren op kwetsbare systemen. Het gaat om CVE-2026-21877, waarvan de ernst is beoordeeld als 10 op een schaal van 10. Volgens n8n kan een geauthenticeerde gebruiker onder specifieke omstandigheden "onvertrouwde" code laten uitvoeren door de n8n service. “Dit kan leiden tot een volledige compromittering van de getroffen instance,” aldus het beveiligingsadvies. De kwetsbaarheid is ontdekt door securityonderzoeker Théo Lelasseux en treft zowel zelfgehoste als n8n Cloud-instances. Versies 0.123.0 tot 1.121.3 zijn kwetsbaar. Het lek is gedicht in versie 1.121.3, die sinds november 2025 beschikbaar is. Gebruikers wordt dringend aangeraden te updaten naar 1.121.3 of nieuwer. Indien direct patchen niet mogelijk is, adviseert n8n de Git-node uit te schakelen en toegang voor "onvertrouwde" gebruikers te beperken. bron: https://www.security.nl

Diverse verouderde D-Link DSL-gateways blijken een kwetsbaarheid te bevatten, die het injecteren van commando's mogelijk maakt. De kwetsbaarheid zit in het dnscfg.cgi-endpoint, dat door gebruikers aangeleverde DNS-configuratie instellingen niet juist controleert. Hiervoor waarschuwt D-Link. Het lek geeft kwaadwillenden de mogelijkheid commando's te injecteren en uit te voeren op kwetsbare D-Link DSL-routers. In ieder geval de DSL-2740R, DSL-2640B, DSL-2780B en DSL-526B zijn kwetsbaar. Deze gateways zijn tussen 2016 en 2019 door D-Link op de markt gebracht. De apparaten zijn sinds begin 2020 end-of-life. D-Link adviseert eigenaren de apparaten daarom niet meer te gebruiken en te vervangen door modellen die wel ondersteuning krijgen. Het lek is ontdekt door The Shadowserver Foundation. Het is onduidelijk of alleen de genoemde modellen kwetsbaar zijn. D-Link meldt dat variaties in firmware-implementaties en productgeneraties de identificatie van kwetsbare modellen bemoeilijken. Het bedrijf geeft aan met een update te komen indien ook andere modellen kwetsbaar blijken. bron: https://www.security.nl