Captain Kirk

Western Digital heeft een kritieke kwetsbaarheid gepatcht die een aanvaller toegang tot My Cloud NAS-systemen kan geven. Gebruikers worden opgeroepen de update te installeren. My Cloud NAS-systemen bieden gebruikers de optie om bestanden op hun lokale NAS vanaf allerlei apparaten en het internet te benaderen. Een kwetsbaarheid in de firmware van My Cloud NAS-systemen zorgt ervoor dat een aanvaller door het versturen van een speciaal geprepareerde HTTP POST willekeurige systeemcommando's kan uitvoeren, aldus een beschrijving van het beveiligingslek, aangeduid als CVE-2025-30247. Volgens de CVE-beschrijving betreft de kwetsbaarheid command injection. WD spreekt in de release notes van remote code execution. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. Gebruikers worden opgeroepen om te updaten naar firmware versie 5.31.108. Verdere details over het beveiligingsprobleem zijn niet gegeven. bron: https://www.security.nl

Microsoft heeft gisterenavond de Windows 11 2025 Update gelanceerd die de komende maanden gefaseerd op Windows 11-systemen wordt geïnstalleerd. Volgens het techbedrijf is het een "security-focused" update. In een blogposting stelt Microsoft dat de 25H2-versie grote verbeteringen bevat op het gebied van de detectie van kwetsbaarheden. Daarnaast wordt er gebruik gemaakt van "AI assisted secure coding". Wat dat precies inhoudt laat Microsoft niet weten. Verder zijn met deze update verschillende legacy features verwijderd, waaronder PowerShell 2.0 en de Windows Management Instrumentation command-line (WMIC). Dit laatste onderdeel is in het verleden geregeld door aanvallers gebruikt voor 'living of the land' aanvallen, waarbij al aanwezige tooling bij een aanval wordt gebruikt. Microsoft brengt jaarlijks een grote feature-update uit voor Windows 11, die vervolgens twee jaar op de Home- en Pro-versies wordt ondersteund. De 25H2-versie van Windows 11 voor bedrijven en onderwijsinstellingen zal drie jaar lang updates ontvangen. bron: https://www.security.nl

Broadcom heeft een kwetsbaarheid in VMware gedicht die al een jaar bij aanvallen is gebruikt. Dat laat securitybedrijf Nviso in een analyse weten. Hoeveel organisaties slachtoffer van het beveiligingslek zijn geworden is onbekend. De kwetsbaarheid (CVE-2025-41244) maakt het mogelijk voor een lokale unprivileged gebruiker van een virtual machine (vm) om op dezelfde vm code als root uit te voeren. Volgens Nviso maakt een groep aanvallers genaamd UNC5174 sinds oktober vorig jaar misbruik van de kwetsbaarheid in VMware Aria Operations en VMware Tools. Broadcom omschrijft Aria Operations als het "controlecentrum voor de gehele it-infrastructuur". Het wordt onder andere gebruikt voor het monitoren van VMware- en multi-cloud-omgevingen. Nviso ontdekte CVE-2025-41244 afgelopen mei bij onderzoek naar een aanval UNC5174. Eind die maand werd het probleem aan Broadcom gerapporteerd, dat gisteren met beveiligingsupdates kwam. In het beveiligingsbulletin maakt Broadcom geen melding van actief misbruik. Nviso stelt dat aanvallers al sinds halverwege oktober 2024 de kwetsbaarheid bij aanvallen inzetten. Volgens verschillende bedrijven is UNC5174 een aan China gelieerde groep aanvallers. bron: https://www.security.nl

Bijna 49.000 Cisco-firewalls die vanaf het internet toegankelijk zijn bevatten twee actief aangevallen kwetsbaarheden waarvoor updates beschikbaar zijn. In Nederland gaat het om 817 devices, aldus The Shadowserver Foundation op basis van eigen onderzoek. Het Nationaal Cyber Security Centrum (NCSC) waarschuwde vorige week dat de beveiligingslekken in Cisco ASA-firewalls onmiddellijke aandacht van organisaties vereisen. De overheidsinstantie verwacht dat proof of concept exploits op zeer korte termijn beschikbaar komen, wat het risico op grootschalig misbruik vergroot. Het gaat om twee kwetsbaarheden aangeduid als CVE-2025-20333 en CVE-2025-20362, aanwezig in de Cisco Adaptive Security Appliance (ASA) en Secure Firewall Threat Defense (FTD) software. De software draait op allerlei netwerkapparaten van Cisco, die onder andere voor hun firewall- en vpn-functionaliteit worden gebruikt. CVE-2025-20333 maakt het mogelijk voor een aanvaller die over vpn-inloggegevens van een gebruiker beschikt om kwetsbare code als root uit te voeren en zo het apparaat volledig over te nemen. CVE-2025-20362 maakt het mogelijk voor een ongeauthenticeerde aanvaller om url endpoints met betrekking tot de remote access VPN te benaderen die normaliter alleen na authenticatie zijn te bezoeken. Door de twee kwetsbaarheden te combineren kan een ongeauthenticeerde remote aanvaller volledige controle over het apparaat krijgen. Aanvallers hebben deze twee beveiligingslekken bij de recent waargenomen aanvallen ingezet, aldus Cisco. Het netwerkbedrijf kwam op 25 september met updates en een beveiligingsbulletin. Het Amerikaanse cyberagentschap CISA kwam vanwege de aangevallen kwetsbaarheden met een "Emergency Directive" waarin Amerikaanse overheidsinstanties werden opgedragen om de updates binnen een dag te installeren. The Shadowserver Foundation is een stichting die geregeld onderzoek doet naar kwetsbare systemen op internet. Bij de laatste scan werd gezocht naar Cisco-firewalls die kwetsbaar zijn voor CVE-2025-20333 en CVE-2025-20362. Dat leverde 48.800 ip-adressen op. Ruim 19.000 daarvan bevinden zich in de Verenigde Staten. In Nederland gaat het om 817 ip-adressen. Organisaties die de updates nog niet hebben geïnstalleerd worden opgeroepen dit alsnog te doen. bron: https://www.security.nl

Het Amerikaanse cyberagentschap CISA waarschuwt voor actief misbruik van een kritieke kwetsbaarheid in Sudo. Via het beveiligingslek (CVE-2025-32463) kunnen lokale gebruikers rootrechten krijgen. In juni verschenen beveiligingsupdates voor het probleem en werden ook technische details van het probleem openbaar gemaakt. Sudo maakt het mogelijk om programma's uit te voeren met de rechten van een andere gebruiker. Het wordt vaak gebruikt om het "least privilege model" te implementeren door beheerderstaken te delegeren die verhoogde rechten vereisen, zonder dat daarbij het rootwachtwoord moet worden gedeeld. Daarnaast creëert het ook een auditspoor in de systeemlogs. Onderzoekers ontdekten dat het mogelijk is om Sudo een bepaald bestand (nsswitch.conf) uit een door een gebruiker gecontroleerde directory te laten gebruiken. "Het probleem ontstaat door een ongeprivilegieerde gebruiker toe te staan om chroot() aan te roepen op een schrijfbaar, onbetrouwbaar path onder hun controle. Sudo roept chroot() verschillende keren aan, ongeacht of de gebruiker een betreffende Sudo rule heeft geconfigureerd", aldus de onderzoekers. Het nsswitch.conf bestand bevat instructies voor het systeem hoe het informatie over gebruikers, groepen en hosts moet ophalen. Er zijn verschillende sources op te geven en de volgorde voor het doorzoeken, totdat er een match is. "Wat misschien niet meteen duidelijk is bij het lezen van het nsswitch.conf bestand is dat de naam van de source ook wordt gebruikt als het path voor een gedeeld object (library)", laten de onderzoekers verder weten. "Vanwege dit gedrag kan elke lokale gebruiker Sudo misleiden om een willekeurig gedeeld object te laden dat tot het uitvoeren van willekeurige code als root leidt." De MITRE Corporation beoordeelt de impact van de kwetsbaarheid op een schaal van 1 tot en met 10 met een 9.3. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security houdt een lijst van actief aangevallen kwetsbaarheden bij. Gisteren werd Sudo-kwetsbaarheid CVE-2025-32463 aan deze lijst toegevoegd. Verdere details over de waargenomen aanvallen zijn niet gegeven. Wel moeten Amerikaanse overheidsinstanties die van Sudo gebruikmaken de beveiligingsupdate voor 20 oktober hebben geïnstalleerd. Drie jaar geleden waarschuwde het CISA voor actief misbruik van een andere Sudo-kwetsbaarheid (CVE-2021-3156). bron: https://www.security.nl

Google heeft een gratis tool gelanceerd waarmee organisaties de aanwezigheid van de Brickstorm-backdoor op systemen kunnen detecteren. Volgens het techbedrijf is de malware ingezet door een spionagegroep genaamd UNC5221, die het onder andere heeft voorzien op juridisch dienstverleners, Software as a Service (SaaS) providers, Business Process Outsourcers (BPOs) en techbedrijven. Volgens Google weten de aanvallers met behulp van de Brickstorm-backdoor gemiddeld 393 dagen onopgemerkt op een bedrijfsnetwerk actief te blijven. Hoe de aanvallers precies toegang tot de netwerken van slachtoffers weten te krijgen is onbekend. In één geval staat vast dat er gebruik werd gemaakt van een kwetsbaarheid in de vpn-oplossing van Ivanti. De Brickstorm-backdoor is aangetroffen op Linux- en BSD-gebaseerde appliciances. Google stelt dat er bewijs is dat duidt op het bestaan van een Windowsversie van Brickstorm, maar deze versie is niet bij onderzoeken aangetroffen. De geïnfecteerde appliances worden volgens de onderzoekers vaak niet gemonitord door securityteams en ontbreken in de gecentraliseerde security-logging, waardoor infecties lang onopgemerkt blijven. De groep zou allerlei soorten appliances hebben gecompromitteerd, maar heeft het vooral voorzien op VMware vCenter en ESXi hosts. Het doel is het stelen van intellectueel eigendom, aldus Google. Daarnaast stelt het techbedrijf dat de aanvallers ook naar informatie zoeken die ze voor de ontwikkeling van zerodays kunnen gebruiken. UNC5221 is volgens Google een aan China gelieerde groep aanvallers. De Indicator of Compromise (IoC) Scanner voor Brickstorm zoekt op Linux- en BSD-systemen naar kenmerken van infecties. Google merkt op dat de scanner geen garanties geeft dat een systeem niet is besmet. Aanvallers kunnen het systeem hebben aangepast of een variant hebben ontwikkeld die niet wordt gedetecteerd. bron: https://www.security.nl

Cisco heeft beveiligingsupdates uitgebracht voor een actief aangevallen kwetsbaarheid in Cisco IOS en IOS XE, de besturingssystemen die op de switches en routers van Cisco draaien. Via het beveiligingslek kan een aanvaller code als root uitvoeren en het apparaat zo volledig compromitteren. Voorwaarde voor misbruik is wel dat een aanvaller beschikt over administrative of "privilege 15" credentials. Volgens Cisco wordt het probleem veroorzaakt door een stack overflow in het Simple Network Management Protocol (SNMP) subsystem van Cisco IOS en IOS XE. SNMP is een protocol voor het beheren en monitoren van netwerkapparatuur. Via de kwetsbaarheid kan een low-privileged aanvaller het systeem laten herstarten en zo een denial of service veroorzaken. Een high-privileged gebruiker kan code als root uitvoeren. Naast de inloggegevens moet de aanvaller ook over de SNMPv1 of v2c read-only community string beschikken of SNMPv3 user credentials. Cisco zegt dat het de kwetsbaarheid bij een klant ontdekte waar aanvallers lokale Administrator credentials hadden gecompromitteerd. Verdere details over de aanval zijn niet gegeven. Cisco roept organisaties op om de beschikbaar gestelde updates te installeren. Wanneer dit niet mogelijk is wordt aangeraden om SNMP-toegang te beperken. De impact van de kwetsbaarheid, aangeduid als CVE-2025-20352, is op een schaal van 1 tot en met 10 beoordeeld met een 7.7. bron: https://www.security.nl

Microsoft biedt Europese Windows 10-gebruikers één jaar gratis beveiligingsupdates, zonder dat er verplicht gebruik moet worden gemaakt van Microsoft Rewards, OneDrive of andere gerelateerde diensten. Dat melden de Europese consumentenorganisatie Euroconsumers en de Belgische consumentenorganisatie TestAankoop. Oorspronkelijk moesten Windows 10-gebruikers die na 14 oktober beveiligingsupdates willen blijven ontvangen hier 30 dollar voor betalen of verplicht van bepaalde Microsoft-diensten gebruik blijven maken. Euroconsumers en TestAankoop maakten gisteren bekend dat Microsoft de eisen voor een jaar extra updates laat vallen. "Na meer dan twee jaar lobbyen hebben Testaankoop en haar koepelorganisatie Euroconsumers bereikt dat Microsoft een gratis verlenging van één jaar aanbiedt voor uitgebreide beveiligingsupdates (ESU's) voor Windows 10-gebruikers in de Europese Economische Ruimte (EER)", zo laat TestAankoop via de eigen website weten. TestAankoop benadrukt dat voor deze verlenging geen registratie bij Microsoft Rewards, OneDrive of andere gerelateerde diensten vereist is. "Wat tegemoetkomt aan de belangrijkste bezorgdheid van Testaankoop en Euroconsumers in het kader van de Digital Markets Act (DMA) met betrekking tot eerlijke toegang tot essentiële beveiligingsupdates." Euroconsumers wijst via LinkedIn naar een briefwisseling die het met Microsoft heeft gehad (pdf). In een brief van 22 september zegt de organisatie blij te zijn dat Microsoft gratis Extended Security Updates (ESU) aan Europese Windows 10-gebruikers gaat aanbieden. Aan de andere kant vinden Testaankoop en Euroconsumers dat Microsoft Windows 10 ook na 13 oktober 2026 van gratis beveiligingsupdates moet blijven voorzien. bron: https://www.security.nl

De Python Package Index (PyPI) waarschuwt ontwikkelaars voor een nieuwe phishingaanval waarbij wordt geprobeerd om inloggegevens te stelen. Vervolgens zouden aanvallers malware aan Python packages kunnen toevoegen. PyPI is een repository voor de Python-programmeertaal en bevat allerlei door de Python-community ontwikkelde packages. In de phishingmail wordt ontvangers gevraagd om wegens "accountbeheer en veiligheidsprocedures" hun e-mailadres te verifiëren. Een link in de phishingmail wijst naar een domein dat pypi in de naam heeft. Wanneer de ontvanger zijn e-mailadres niet binnen 72 uur verifieert verliest hij toegang tot zijn PyPI-account, aldus het bericht. Eind juli werd een soortgelijke phishingmail verstuurd. Volgens PyPI is er geen eenvoudige en snelle methode om dit soort aanvallen te stoppen, behalve het verplichten van phishingbestendige tweefactorauthenticatie (2FA). Wel neemt de organisatie verschillende maatregelen, waaronder het rapporteren van de phishingdomeinen en het onderzoeken van methodes om het inloggen via TOTP-gebaseerde 2FA beter bestand tegen phishing te maken. PyPI doet ontwikkelaars verschillende aanbevelingen, waaronder het gebruik van een wachtwoordmanager die automatisch inloggegevens invoert op basis van het betreffende domein en dat alleen deze optie moet worden gebruikt. Wanneer auto-fill niet werkt is dat een waarschuwing. Verder wordt het gebruik van phishingbestendige 2FA zoals hardware keys aangeraden. bron: https://www.security.nl

Het Amerikaanse cyberagentschap CISA adviseert organisaties die gebruikmaken van GitHub en npm om voor alle ontwikkelaccounts phishingbestendige multifactorauthenticatie (MFA) in te schakelen. Daarnaast moet van alle software die van npm gebruikmaakt worden gecontroleerd van welke packages ze afhankelijk zijn. Aanleiding voor de oproep is een recente aanval waarbij meer dan vijfhonderd npm packages van malware werden voorzien. GitHub is een populair platform voor softwareontwikkeling. Het is ook eigenaar van npm, de standaard package manager voor de JavaScript-omgeving Node.js en naar eigen zeggen het grootste softwarearchief ter wereld. Via de npm Registry biedt het een groot archief met openbare, besloten en commerciële packages. Bij een recente aanval raakten systemen van ontwikkelaars besmet. Eenmaal actief op het systeem van de ontwikkelaar zocht de malware naar tokens waarmee toegang tot andere npm packages kon worden verkregen. Vervolgens voegde de malware zich aan deze packages toe. Tal van npm packages hebben te maken met zogenoemde dependencies, waarbij er van andere npm packages gebruik wordt gemaakt. Eén malafide package kan zodoende allerlei andere softwareprojecten en ontwikkelaars raken. De aanvallers hadden het voorzien op GitHub Personal Access Tokens (PATs) en API keys voor clouddiensten, waaronder Amazon Web Services, Google Cloud Platform en Microsoft Azure, aldus het CISA. Naar aanleiding van de malware-aanval adviseert het Amerikaanse cyberagentschap een dependency review uit te voeren van alle software die van npm packages gebruikmaakt. Verder wordt aangeraden om de inloggegevens van alle ontwikkelaars te wijzigen, phishingbestendige MFA voor alle ontwikkelaccounts te gebruiken, met name op GitHub en npm, op verdacht verkeer te monitoren en onnodige GitHub Apps en OAuth applicaties te verwijderen. GitHub heeft zelf ook verschillende maatregelen aangekondigd om de nmp supply chain te beveiligen. Zo komen er 'granular tokens' die maximaal zeven dagen werken, wordt tweefactorauthenticatie (2FA) voor local publishing verplicht en wordt er ingezet op Trusted publishing. bron: https://www.security.nl

De makers van e-mailclient Thunderbird experimenteren met webmail voor hun nieuwe, nog te lanceren e-maildienst genaamd Thundermail. Voor Thundermail zijn de e-maildomeinen Thundermail.com of tb.pro beschikbaar, maar geïnteresseerden kunnen ook hun eigen domein bij de e-maildienst onderbrengen. De e-maildienst werkt zowel met Thunderbird als andere e-mailclients. Volgens de ontwikkelaars was één van de verzoeken die ze kregen om voor de nieuwe e-maildienst ook webmail te ontwikkelen. Daarop is besloten om met webmail te experimenteren. In een podcast benadrukken de ontwikkelaars dat het aanbieden van een mailserver waarmee gebruikers kunnen mailen de eerste prioriteit is. "We weten dat sommige gebruikers niet van native clients houden. Ze willen alles in webmail", aldus de ontwikkelaars. Die voegen toe dat webmail toegankelijker is dan een e-mailclient en er dan ook met een gebruikersinterface voor webmail wordt geëxperimenteerd. "Er zijn nog geen solide plannen, nog geen datums, maar natuurlijk werken we eraan. Natuurlijk experimenteren we ermee, omdat het een beetje vreemd zou zijn dit niet te doen. Maar het is niet onze topprioriteit." E-maildienst Thundermail is vooralsnog onderdeel van een betaald abonnement genaamd Thunderbird Pro. Dit abonnement bestaat uit een agenda genaamd Appointment, e-maildienst Thundermail, bestandsuitwisselingsdienst Send en AI-dienst Assist. Vooralsnog zullen er in het begin alleen betaalde abonnementen van Thundermail beschikbaar komen. Zodra er voldoende betalende gebruikers zijn zal Thunderbird ook een beperktere, gratis versie van de e-maildienst aanbieden. Binnenkort komt Thunderbird met meer informatie. bron: https://www.security.nl

Aanbieder van e-mailoplossingen Libraesva heeft een beveiligingsupdate uitgebracht voor een actief aangevallen kwetsbaarheid in de Email Security Gateway (ESG) die het biedt. Volgens het bedrijf is het beveiligingslek vermoedelijk door een statelijke actor misbruikt. Het beveiligingslek, CVE-2025-59689, maakt command injection mogelijk, waardoor een aanvaller willekeurige commando's op de gateway kan uitvoeren. De Libraesva ESG controleert inkomende en uitgaande e-mail op spam, phishing, malware en andere dreigingen. Een aanvaller kan misbruik van het beveiligingslek maken door een e-mail met een speciaal geprepareerd archiefbestand als bijlage mee te sturen. Als gevolg van "improper sanitization" kan een aanvaller vervolgens willekeurige shell commando's als een non-privileged user op de gateway uitvoeren. Libraesva stelt dat het bij één klant actief misbruik van de kwetsbaarheid heeft waargenomen. Na ontdekking van het probleem maakte het binnen 17 uur een beveiligingsupdate beschikbaar, zo laat het bedrijf in het beveiligingsbulletin weten. De e-mailbeveiliger denkt dat de aanval het werk van een niet nader genoemde buitenlandse statelijke actor is. Verdere details over de aanval, het doelwit of de aanvaller zijn niet gegeven. Het probleem raakt versie 4.5 en nieuwer van de ESG. Versies tot 5.0 zijn echter end of support en moeten handmatig naar versie 5.x worden geüpgraded. bron: https://www.security.nl

Securitybedrijf SonicWall heeft een update voor de SMA 100-gateway uitgebracht waarmee "rootkit malware" van gecompromitteerde apparaten is te verwijderen. Mandiant en de Google Threat Intelligence Group waarschuwden in juli voor een aanvalscampagne waarbij SMA 100-gateways werden voorzien van een "persistent backdoor/user-mode rootkit". Aanvallers gebruikten de malware onder andere om credentials, session tokens en OTP seed values te stelen. Met de gestolen seeds zijn one-time passwords (OTP) te genereren om te kunnen inloggen. De SonicWall SMA 100 is een gateway waarmee medewerkers vanaf allerlei willekeurige apparaten op afstand toegang tot de netwerken en cloudomgevingen van hun organisatie kunnen krijgen. Volgens Mandiant en Google was het doel van de aanvallers om via de gecompromitteerde apparaten data van organisaties te stelen en die daarmee af te persen, en mogelijk ook ransomware uit te rollen. SonicWall heeft nu een update voor de SMA 100 uitgebracht die extra "file checking" biedt waarmee rootkits op het apparaat zijn te verwijderen. Onlangs kwam SonicWall ook in het nieuws omdat aanvallers via een bruteforce-aanval op de cloudback-updienst MySonicWall.com firewall-bestanden van SonicWall-klanten hadden gestolen, waarmee verdere aanvallen zijn uit te voeren. Volgens SonicWall is minder dan vijf procent van de firewall-klanten slachtoffer van deze aanval geworden. De Amerikaanse overheidsdienst CISA kwam gisterenavond met een waarschuwing waarin het getroffen klanten opriep om aanwijzingen van SonicWall te volgen. bron: https://www.security.nl

GitHub heeft na een reeks aanvallen, waarbij honderden npm packages van malware werden voorzien, maatregelen aangekondigd om de nmp supply chain te beveiligen. Zo komen er 'granular tokens' die maximaal zeven dagen werken, wordt tweefactorauthenticatie (2FA) voor local publishing verplicht en wordt er ingezet op Trusted publishing. Dat heeft GitHub via een blogposting aangekondigd. Npm is de standaard package manager voor de JavaScript-omgeving Node.js en naar eigen zeggen het grootste softwarearchief ter wereld. Via de npm Registry biedt het een groot archief met openbare, besloten en commerciële packages. De afgelopen weken vonden er meerdere aanvallen plaats waarbij aanvallers npm packages van malware wisten te voorzien. Dit gebeurde onder andere via phishing en het stelen van tokens die toegang tot allerlei npm packages gaven. Zo was er de "Shai-Hulud" malware die automatisch npm packages met malware infecteerde. Eenmaal geïnstalleerd zoekt de malware op het systeem van de ontwikkelaar naar tokens waarmee toegang tot andere npm-packages van de betreffende ontwikkelaar kan worden verkregen. Vervolgens voegt de malware zichzelf aan deze packages toe. Tal van npm packages hebben te maken met zogenoemde dependencies, waarbij er van andere npm packages gebruik wordt gemaakt. Eén malafide package kan zodoende allerlei andere softwareprojecten en ontwikkelaars raken. Naar aanleiding van de recente aanvallen kondigde npm-alternatief pnmp (Performant Node Package Manager) al maatregelen aan. Zo biedt het nu een optie om nieuw uitgebrachte dependencies pas op een later moment te installeren. Npm-eigenaar GitHub heeft nu ook verschillende maatregelen aangekondigd om de npm supply chain te beveiligen. Zo wordt voor local publishing, wat ontwikkelaars gebruiken voor de lokale ontwikkelomgeving, tweefactorauthenticatie (2FA) verplicht. Verder zal er met granular access tokens worden gewerkt. Deze tokens hebben een korte levensduur en geven beperkte toegang. In het geval van een gestolen token zou dit de impact moeten beperken. Als laatste wordt er ingezet op Trusted Publishing. Daarbij wordt gebruik gemaakt van OpenID Connect (OIDC) authenticatie voor het publiceren van packages, in plaats van "long-lived" npm tokens. Om deze maatregelen door te voeren gaat GitHub onder andere stoppen met legacy classic tokens. Ook wordt er gestopt met time-based one-time password (TOTP) 2FA. In plaats daarvan wordt FIDO-gebaseerde 2FA verplicht. Tevens wordt de levensduur van granular tokens met publicatierechten verkort. Verder zal de optie om 2FA te omzeilen voor het lokaal publiceren van packages verdwijnen. GitHub stelt dat sommige van deze aanpassingen ervoor zorgen dat ontwikkelaars hun workflows moeten aanpassen. Het platform gaat de aanpassingen dan ook geleidelijk doorvoeren om zo de impact voor ontwikkelaars te beperken. bron: https://www.security.nl

Softwarebedrijf Fortra heeft beveiligingsupdates uitgebracht voor een kritieke kwetsbaarheid in GoAnywhere MFT (managed file transfer), een oplossing waarmee organisaties bestanden kunnen uitwisselen. Via de kwetsbaarheid (CVE-2025-10035) kan een aanvaller door middel van een "validly forged license response signature" commando's op de server uitvoeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Fortra adviseert organisaties om te updaten naar versie 7.8.4 of Sustain Release versie 7.6.3. Verder wordt aangeraden om ervoor te zorgen dat de GoAnywhere Admin Console niet vanaf het internet toegankelijk is. Volgens het softwarebedrijf lopen voornamelijk systemen die vanaf het internet toegankelijk zijn risico. Een ander kritiek beveiligingslek in GoAnywhere zorgde twee jaar geleden nog voor een explosie aan datalekken. bron: https://www.security.nl

Microsoft heeft de impact van een kritieke kwetsbaarheid in Entra ID verhoogd naar de maximale score van 10.0. Via het beveiligingslek, gevonden door de Nederlandse beveiligingsonderzoeker Dirk-jan Mollema, was het mogelijk om bijna alle Entra ID-omgevingen te compromitteren. Microsoft kwam op 17 juli met een beveiligingsupdate voor het lek, aangeduid als CVE-2025-55241. Gisteren besloot het techbedrijf de impact van de kwetsbaarheid te verhogen van 9.0 naar 10.0, de maximale score. Microsoft Entra ID, eerder nog bekend als Azure Active Directory, is een in de cloud draaiende directory and identity management service van Microsoft. Organisaties gebruiken het om hun gebruikers toegang tot Microsoft services te geven. De kwetsbaarheid die Mollema in Entra ID ontdekte bestaat uit twee onderdelen. Het eerste probleem betrof ongedocumenteerde impersonation tokens genaamd "Actor Tokens". Microsoft gebruikt deze tokens in de eigen backend voor service-to-service (S2S) communicatie. Het tweede probleem was dat de (legacy) Azure AD Graph API niet goed de oorspronkelijke Entra ID-omgeving valideerde, waardoor het mogelijk was om met deze tokens toegang tot andere omgevingen te krijgen. "Wat dit inhoudt is dat met een token dat ik in mijn lab-omgeving opvroeg, ik als elke willekeurige gebruiker kon inloggen, waaronder Global Admins, bij elke andere omgeving", aldus Mollema. De onderzoeker stelt op X dat hij al bijna zeven jaar onderzoek doet naar Microsofts cloud en dit de meest impactvolle kwetsbaarheid is die hij naar verwachting ooit zal vinden. Diensten die Entra ID voor authenticatie gebruiken, zoals SharePoint Online of Exchange Online, konden vervolgens volledig worden gecompromitteerd. Ook zou het mogelijk zijn om volledige toegang te krijgen tot resources die in Azure worden gehost. Mollema rapporteerde het probleem op 14 juli aan Microsoft, dat op 17 juli met een oplossing kwam. Het techbedrijf benadrukt dat klanten geen actie hoeven te ondernemen. Op 6 augustus rolde Microsoft verdere mitigaties uit. Het techbedrijf maakte op 4 september het bestaan van de kwetsbaarheid bekend. Op 17 september publiceerde Mollema de details van het probleem. Een dag later stelde Microsoft dat het de complexiteit van de aanval verkeerde had ingeschaald. In plaats van hoog is die aangepast naar laag. Via het Common Vulnerability Scoring System (CVSS) wordt de impact van kwetsbaarheden berekend. In het geval van het Entra ID-lek zorgde de aanpassing ervoor dat de oorspronkelijke impactscore van 9.0 werd veranderd naar de maximale score van 10.0. bron: https://www.security.nl

Vpn-provider PureVPN kan in bepaalde gevallen het IPv6-adres van gebruikers lekken en wist firewall-instellingen zonder die te herstellen, wat echte gevolgen kan hebben, zo waarschuwt een beveiligingsonderzoeker genaamd Andreas. De onderzoeker informeerde PureVPN over de problemen, maar kreeg naar eigen zeggen geen reactie. Daarop heeft Andreas besloten de details openbaar te maken. Het lekken van het IPv6-adres kan zich in twee situaties voordoen, zo ontdekte de onderzoeker. Wanneer de PureVPN-software detecteert dat de verbinding is verbroken verschijnt er een waarschuwing van de grafische gebruikersinterface en wordt al het IPv4-verkeer geblokkeerd. Gebruikers kunnen er vervolgens voor kiezen om opnieuw verbinding met PureVPN te maken of door te internetten. IPv6 wordt echter niet geblokkeerd en blijft gewoon werken. Pas als de gebruiker ervoor kiest om de vpn-verbinding te herstellen gaat ook het IPv6-verkeer via PureVPN. Ook vanaf de command line kan een dergelijk IPv6-lek zich voordoen wanneer de verbinding even wordt verbroken. De vpn-client herstelt vervolgens de verbinding en laat zien dat de software actief is. Het IPv6-verkeer gaat echter niet via de vpn-verbinding. Verder stelt Andreas dat PureVPN de iptables configuratie wist, waardoor het systeem kwetsbaarder achterblijft bij het gebruik van de vpn-dienst dan wanneer PureVPN niet wordt gebruikt. "Beide problemen hebben echte gevolgen. Privacyclaims worden ondermijnd wanneer je IPv6-adres lekt en je firewall state verloren gaat", aldus de onderzoeker. bron: https://www.security.nl

Securitybedrijf WatchGuard waarschuwt klanten voor een kritieke kwetsbaarheid in de firewalls die het levert en heeft beveiligingsupdates uitgebracht om het probleem te verhelpen. Via het beveiligingslek, aangeduid als CVE-2025-9242, kan een ongeauthenticeerde aanvaller op afstand code op de Firebox-firewall uitvoeren. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. "De kwetsbaarheid raakt zowel de mobile user VPN met IKEv2 en de branch office VPN die van IKEv2 gebruikmaakt wanneer die met een dynamic gateway peer is geconfigureerd", aldus het beveiligingsbulletin. "Als de Firebox eerder was geconfigureerd met de mobile user VPN met IKEv2 of een branch office VPN gebruikmakend van IKEv2 naar een dynamic gateway peer, en beide configuraties zijn sindsdien verwijderd, kan die Firebox nog steeds kwetsbaar zijn als een branch office VPN naar een static gateway peer nog steeds geconfigureerd is." WatchGuard waarschuwt verder dat versie 11.x van Fireware OS, het besturingssysteem dat op de Firebox-firewalls draait, ook kwetsbaar is. Deze versie is echter end-of-life en ontvangt geen beveiligingsupdates meer. In 2022 kwam WatchGuard onder vuur te liggen omdat het een kritieke kwetsbaarheid in de eigen firewalls, waar uiteindelijk misbruik van werd gemaakt, zeven maandenlang niet expliciet vermeldde. bron: https://www.security.nl

Er is een sterke toename van het aantal Microsoft 365-accounts van organisaties dat wordt gehackt, zo meldt het Finse National Cyber Security Centre (NCSC). De gecompromitteerde accounts worden vervolgens gebruikt voor het versturen van nieuwe phishingmails en frauduleuze facturen. Het Finse NCSC ontving vorige maand zeventig meldingen van gehackte Microsoft 365-accounts. "Na de zomervakantie is het aantal gevallen sterk toegenomen en op het moment worden e-mailaccounts van organisaties in hoog tempo gecompromitteerd." De Finse overheidsinstantie stelt dat talloze organisaties zijn getroffen en binnen een organisatie er soms tientallen gecompromitteerde accounts zijn. Het totaal aantal meldingen over gekaapte Microsoft 365-accounts staat dit jaar inmiddels op 330. Volgens het Finse NCSC maken de aanvallers gebruik van gestolen inloggegevens om toegang tot de accounts te krijgen, die vervolgens worden gebruikt voor het versturen van nieuwe phishingmails en factuurfraude. Voor het stelen van de inloggegevens maken de aanvallers gebruik van phishingsites. Zodra er toegang tot een account is verkregen bestuderen de aanvallers aanwezige e-mails om zo een beeld te krijgen van hoe de organisatie van de betreffende gebruiker werkt. Daarna sturen de aanvallers nieuwe phishingmails naar contacten van het slachtoffer. In veel gevallen maken de aanvallers misbruik van de SharePoint- of OneNote-service van het slachtoffer om bestanden te delen die ontvangers naar phishingsites wijzen. De aanvaller kan ook instellingen van het e-mailaccount aanpassen, bijvoorbeeld het instellen van forwarding rules waardoor al inkomende berichten automatisch naar een e-mailadres van de aanvaller worden doorgestuurd. Het doel is daarbij om zo lang mogelijk toegang te behouden. Verder worden eerdere legitieme e-mails, verstuurd door het slachtoffer, gebruikt voor de nieuwe phishingmails en voorzien van een link naar een phishingsite. "Veel van de frauduleuze berichten zijn vermomd als contracten of facturen die actie van de ontvanger vereisen. De berichten kunnen bijvoorbeeld een link naar een bestand bevatten genaamd invoice.pdf, waarvoor inloggegevens worden gevraagd om het te openen. In werkelijkheid is dit een frauduleuze link, en alle ingevoerde inloggegevens worden via de phishingsite doorgestuurd naar de aanvaller", aldus het Finse NCSC. Dat adviseert organisaties onder andere om personeel geregeld te trainen over phishing en gecompromitteerde accounts, het controleren van ingestelde forwarding rules en het implementeren van Conditional Access. bron: https://www.security.nl

Aanvallers hebben firewall-bestanden van SonicWall-klanten uit de cloudback-updienst van het securitybedrijf gestolen en kunnen die voor verdere aanvallen gebruiken. Dat laat SonicWall in een waarschuwing weten. Firewalls van SonicWall beschikken over een optie waardoor het mogelijk is om cloudback-ups van configuratiebestanden te maken. Deze bestanden bevatten allerlei gevoelige informatie met betrekking tot de firewall. SonicWall meldt dat aanvallers via bruteforce-aanvallen toegang tot de back-ups van minder dan vijf procent van de firewall-klanten hebben gekregen. Een exact aantal getroffen klanten wordt niet genoemd. Het securitybedrijf laat aanvullend weten dat inloggegevens in deze configuratiebestanden versleuteld zijn, maar de bestanden informatie bevatten die het eenvoudiger maakt om de betreffende firewall aan te vallen. Vanwege de gevoeligheid van de configuratiebestanden roept SonicWall klanten op om meteen verschillende stappen te nemen, waaronder het controleren of het gebruik van cloudback-ups staat ingeschakeld en het resetten van allerlei inloggegevens. Verdere details over de aanval zijn niet door SonicWall gegeven. bron: https://www.security.nl

Google heeft beveiligingsupdates uitgerold voor een actief aangevallen kwetsbaarheid in Chrome. Het beveiligingslek (CVE-2025-10585) bevindt zich in V8, de JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript. V8 is geregeld het doelwit van aanvallen waarbij misbruik wordt gemaakt van kwetsbaarheden waar op het moment van de aanval geen patch voor beschikbaar is. De nieuwste V8-kwetsbaarheid werd op 16 september door de Google Threat Analysis Group aan het Chrome-team gerapporteerd. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. Google heeft geen details over de waargenomen aanvallen gegeven. De impact van de kwetsbaarheid is als 'high' beoordeeld. Bij kwetsbaarheden met het stempel 'high' kan een aanvaller in het ergste geval code binnen de context van de browser uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Dit soort lekken zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Het beveiligingslek is verholpen in Google Chrome 140.0.7339.185/.186 voor Windows en macOS en Chrome 140.0.7339.185 voor Linux. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar. In juni waarschuwde Google twee keer voor een actief aangevallen V8-lek. bron: https://www.security.nl

Onderzoekers waarschuwen voor zichzelf verspreidende malware die al vijfhonderd npm-packages heeft geïnfecteerd. Het gaat onder andere om npm-packages van cybersecuritybedrijf CrowdStrike. Npm is de standaard package manager voor de JavaScript-omgeving Node.js en naar eigen zeggen het grootste softwarearchief ter wereld. Via de npm Registry biedt het een groot archief met openbare, besloten en commerciële packages. Aanvallers wisten de tinycolor npm-package te compromitteren. Een populaire library met meer dan 2,2 miljoen wekelijkse downloads waar allerlei softwareontwikkelaars gebruik van maken. Eenmaal geïnstalleerd zoekt de malware op het systeem van de ontwikkelaar naar tokens waarmee toegang tot andere npm-packages van de betreffende ontwikkelaar kan worden verkregen. Vervolgens voegt de malware zichzelf aan deze packages toe. Daarnaast verzamelt de malware allerlei inloggegevens en andere secrets zoals tokens en access keys. Vervolgens worden deze gegevens naar een publieke GitHub repository geupload, zo melden cybersecuritybedrijven StepSecurity, Arctic Wolf, Aikido, Ox Security en Socket in analyses. De laatstgenoemde publiceerde een overzicht van vijfhonderd gecompromitteerde npm-packages. Het gaat ook om packages van cybersecuritybedrijf CrowdStrike. Een woordvoerder laat tegenover The Register weten dat de gecompromitteerde packages inmiddels zijn verwijderd en alle keys in publieke registries zijn veranderd. Verder meldt CrowdStrike dat de betreffende packages niet in de Falcon-beveiligingssoftware worden gebruikt, er met npm wordt samengewerkt en er een uitgebreid onderzoek plaatsvindt. bron: https://www.security.nl

ChatGPT kan gebruikers binnenkort om een identiteitsbewijs vragen, om zo hun leeftijd te controleren. Dat heeft OpenAI CEO Sam Altman aangekondigd. Het bedrijf zegt aan een "leeftijdsvoorspellingssysteem" te werken om de leeftijd van ChatGPT-gebruikers te schatten. De chatbot zou zo moeten kunnen herkennen of gebruikers volwassen zijn of niet. In het geval het systeem geen goede schatting kan maken krijgen gebruikers de "under-18 experience" van de chatbot, aldus Altman. "In sommige gevallen of landen kunnen we ook om een identiteitsbewijs vragen; we weten dat dit een privacyinbreuk voor volwassenen is, maar we denken dat dit een goede afweging is", aldus de OpenAI CEO in een blogposting. Volgens Altman is het nodig om minderjarige gebruikers van volwassen gebruikers te scheiden. OpenAI werd onlangs aangeklaagd door de ouders van een zoon die zelfmoord had gepleegd, waarbij ChatGPT instructies zou hebben gegeven. Bij de versie van ChatGPT voor minderjarigen wordt bepaalde content geblokkeerd. Daarnaast zegt OpenAI dat het in gevallen van acute nood ook opsporingsdiensten kan informeren. Verdere details hierover zijn niet gegeven. In een andere blogposting laat OpenAI weten dat wanneer het twijfelt over iemands leeftijd of het over onvolledige informatie beschikt, het standaard de "under-18 experience" inschakelt. Volwassen gebruikers kunnen vervolgens hun leeftijd verifiëren om de opties voor volwassenen te kunnen gebruiken. Hoe OpenAI de leeftijd van gebruikers denkt te kunnen voorspellen is niet bekendgemaakt. Ook is onduidelijk hoe en via welke partij de identiteitscontroles worden uitgevoerd. De chatbot-ontwikkelaar laat al wel weten dat het voorspellen van de leeftijd van gebruikers lastig is en zelfs de meest geavanceerde systemen hier soms mee worstelen. Afgelopen juli maakte YouTube bekend dat het AI gaat inzetten voor de leeftijdsverificatie van Amerikaanse gebruikers. bron: https://www.security.nl

Microsoft heeft samen met Cloudflare phishing-as-a-service platform RaccoonO365 verstoord. De dienst biedt tegen betaling phishingkits aan waarmee criminelen phishingaanvallen kunnen uitvoeren tegen gebruikers van Microsoft 365, om zo gebruikersnamen en wachtwoorden van hun accounts te stelen. Microsoft stapte naar een Amerikaanse rechtbank, waarbij het onder andere vorderde om controle te krijgen over 338 domeinnamen van RaccoonO365 (pdf). De rechtbank keurde deze vordering goed. Via RaccoonO365 kunnen criminelen e-mails, bijlagen en websites genereren die van Microsoft afkomstig lijken. Alles wat slachtoffers op de phishingsite invoeren wordt meteen naar een echte Microsoft-inlogpagina doorgestuurd. Wanneer de echte inlogpagina om meer informatie vraagt krijgt het slachtoffer dit verzoek ook te zien. Deze informatie wordt vervolgens ook voor het inloggen op het account gebruikt. Op deze manier kunnen de aanvallers toegang tot accounts krijgen waarvoor multifactorauthenticatie is ingeschakeld. Volgens Microsoft zijn sinds 2024 via de dienst inloggegevens van zeker vijfduizend Microsoft 365-accounts gestolen, van gebruikers in 94 landen. Verder stelt het techbedrijf dat phishingmails van RaccoonO365 vaak een voorbode zijn van malware en ransomware. Naast het beslag leggen op 338 domeinen van RaccoonO365 zegt Microsoft ook de vermeende beheerder van de dienst te hebben geïdentificeerd. Informatie over hem is inmiddels met opsporingsdiensten gedeeld. De verdachte zou samen met handlangers op Telegram de phishingdienst aanbieden. Daarbij claimt Microsoft dat de man zeker 100.000 dollar aan cryptovaluta heeft ontvangen, wat naar schatting op honderd tot tweehonderd abonnementen zou neerkomen. Het werkelijke aantal verkochte abonnementen ligt volgens het techbedrijf veel hoger. In samenwerking met Cloudflare zijn de betreffende domeinnamen offline gehaald en krijgen bezoekers nu een waarschuwing te zien, zo laat het internetbedrijf tegenover The Register weten. bron: https://www.security.nl

Duizenden webapplicaties bevatten door gekopieerde en geforkte code zeer zwakke of bekende cryptografische secrets waar aanvallers misbruik van kunnen maken. En vaak weten softwareontwikkelaars niet dat hun applicatie risico loopt, zo waarschuwt The Shadowserver Foundation. De secrets zijn bijvoorbeeld keys, tokens en cookies waarmee er toegang tot gegevens en systemen kan worden verkregen. Volgens The Shadowserver Foundation is de aanwezigheid van deze bekende of zwakke secrets vaak het gevolg van softwareontwikkelaars die code op het internet met een secret, bijvoorbeeld van een project op GitHub of in een handleiding, copy-pasten of forken. Daardoor belandt de gekopieerde secret ook in de applicatie van de betreffende ontwikkelaar. Aanvallers kunnen deze bekende secrets vervolgens op allerlei manieren misbruiken. Een bekende machine key maakt bijvoorbeeld remote code execution op een systeem mogelijk, zo waarschuwt Paul Mueller van Black Lantern Security. Online scan The Shadowserver Foundation is een stichting die zich met de bestrijding van cybercrime bezighoudt en geregeld onderzoek doet naar kwetsbare systemen die vanaf internet toegankelijk zijn. Onlangs werd er gescand naar applicaties die gebruikmaken van bekende of zwakke cryptografische secrets van verschillende platforms/frameworks. Het gaat specifiek om bekende cookies, tokens en keys van platforms zoals PeopleSoft, Django, Telerik en ASPNET. De scan van The Shadowserver Foundation leverde ruim 12.000 ip-adressen op met "bad secrets", waarvan bijna driehonderd in Nederland. Het grootste deel werd in de Verenigde Staten aangetroffen. In het geval van een bad secret wordt aangeraden die te vervangen. bron: https://www.security.nl