Captain Kirk

Google heeft naar eigen zeggen voor het eerst een zeroday-exploit ontdekt die een aanvaller met behulp van AI ontwikkelde. Het ging om een exploit voor een kwetsbaarheid in een niet nader genoemde open source, webgebaseerde systeembeheertool. Via de exploit was het mogelijk om de tweefactorauthenticatie (2FA) te omzeilen. Misbruik vereist in dit geval wel dat aanvallers over geldige inloggegevens beschikken. Na de ontdekking informeerde Google de leverancier van de oplossing. Het techbedrijf denkt niet dat de aanvallers bij de ontwikkeling van de exploit Googles AI-model Gemini gebruikten. "Gebaseerd op de structuur en inhoud van deze exploits, zijn we er vrij zeker van dat de aanvaller waarschijnlijk een AI-model heeft ingezet om deze kwetsbaarheid te ontdekken en misbruiken", stelt de Google Threat Intelligence Group. Zo wordt er gewezen naar een overvloed aan 'educational docstrings' in het exploitscript, waaronder een gehallucineerde CVSS-score. Daarnaast wordt er gebruikgemaakt van een gestructureerd Python-format wat kenmerkend is voor de data waarmee AI-modellen worden getraind, laat Google verder weten. De onderzoekers voegen toe dat het probleem een semantische logicafout betreft en AI-modellen zeer goed zijn in het vinden van dergelijke kwetsbaarheden. bron: https://www.security.nl

Mozilla gaat voortaan wekelijks bugfixes voor Firefox uitbrengen. De nieuwe updatecyclus zal met de lancering van Firefox 151 op 19 mei van kracht worden. Dat meldt Mozilla-volger Sören Hentzschel. Mozilla publiceert nu elke vier weken een feature-update. Zo staat Firefox 152 voor 16 juni gepland. Vaak komt Mozilla in de tussengelegen periode in ieder geval met één kleine update om bugs te verhelpen. Afhankelijk van de impact van een bug kan Mozilla ook vaker met bugfixes komen. Daarnaast kan de Firefox-leverancier ook apart updates voor beveiligingsproblemen uitbrengen of combineert die met geplande bugfixes. Met Firefox 151 zal Mozilla elke week een update uitbrengen om eventuele bugs te verhelpen. De wekelijkse updates zullen geen nieuwe features introduceren. Die staan nog steeds eens per maand gepland. Mozilla heeft nog geen reactie gegeven waarom het naar een wekelijkse updatecyclus overstapt. Hentzschel merkt op dat de beslissing het mogelijk maakt om sneller op problemen te reageren. bron: https://www.security.nl

Veel NAS-systemen van fabrikant QNAP zijn kwetsbaar voor het Linux Dirty Frag-lek. Een beveiligingsupdate is echter nog niet beschikbaar. Dirty Frag combineert twee verschillende kernel-kwetsbaarheden waardoor het mogelijk is om in het geheugen systeembestanden aan te passen. Een lokale aanvaller kan hierdoor zijn rechten naar die van root verhogen. QNAP stelt dat één van de Dirty Frag-lekken een probleem is. Het gaat om CVE-2026-43284. Deze kwetsbaarheid raakt alle QNAP x86- en ARM64-gebaseerde NAS-modellen, alle QuTS hero NAS-modellen en alle QuTScloud NAS-instances. De systemen zijn volgens QNAP niet kwetsbaar voor het andere Dirty Frag-lek, aangeduid als CVE-2026-43500. "Op dit moment is er nog geen officiële patch voor het Linux-kernel "Dirty Frag" lek beschikbaar. QNAP werkt aan een fix en adviseert gebruikers om beveiligingsupdates meteen te installeren zodra die beschikbaar zijn", aldus de NAS-leverancier. Verder wordt aangeraden om verschillende beveiligingsmaatregelen door te voeren, zoals het beperken van shell-toegang. Zo moeten SSH- of Telnet-permissies voor alle non admin-accounts worden ingetrokken. Tevens moeten 'untrusted' services zoals de webserver worden uitgeschakeld en niet essentiële third-party applicaties worden verwijderd. Ook adviseert QNAP om het NAS-systeem niet direct vanaf het internet toegankelijk te maken. bron: https://www.security.nl

Honderden Ivanti-servers missen een beveiligingsupdate voor een kwetsbaarheid waar aanvallers actief misbruik van maken. Dat meldt The Shadowserver Foundation op basis van eigen onderzoek. Ivanti waarschuwde vorige week donderdag 7 mei voor een beveiligingslek in Ivanti Endpoint Manager Mobile (EPMM), aangeduid als CVE-2026-6973. Via de kwetsbaarheid kan een aanvaller met admin-toegang code op de server uitvoeren. Sinds wanneer het lek wordt misbruikt is onbekend. Ivanti Endpoint Manager Mobile is een mobile management software engine waarmee mobile device management (MDM) mogelijk is. Organisaties kunnen via deze oplossing de mobiele apparaten van hun medewerkers op afstand beheren, bijvoorbeeld als het gaat om toegestane applicaties of bepaald beleid. Een gecompromitteerde EPMM-server kan dan ook vergaande gevolgen hebben. Begin dit jaar werd bekend dat een ander lek was gebruikt om de Ivanti EPMM-servers van meerdere Nederlandse overheidsinstanties te hacken, waaronder de Autoriteit Persoonsgegevens en Raad voor de Rechtspraak. The Shadowserver Foundation is een stichting die zich onder andere bezighoudt met onderzoek naar kwetsbare systemen op internet. Op 8 mei voerde het een scan uit naar kwetsbare Ivanti EPMM-servers. Dat leverde 562 servers op die niet gepatcht waren. Gisteren werd de scan herhaald en was het aantal gedaald naar 362. Daarvan bevinden zich er nog vijf in Nederland. Het grootste aantal kwetsbare EPMM-servers werd waargenomen in Duitsland en de Verenigde Staten. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om de officiële Jenkins-plug-in van cybersecuritybedrijf van een backdoor te voorzien. Er zijn inmiddels twee nieuwe versies van de plug-in uitgekomen waarin de malware niet meer aanwezig is. Via de Jenkins AST plug-in kunnen gebruikers hun broncode door een platform van Checkmarx laten controleren. Afgelopen zaterdag meldde Checkmarx dat er een aangepaste versie van de plug-in was gepubliceerd. Gebruikers werden vervolgens opgeroepen om ervoor te zorgen dat ze de versie van afgelopen december gebruikten. Checkmarx liet weten dat het met meer informatie zou komen zodra beschikbaar, maar heeft nog geen verdere details gegeven. Afgelopen maart werd bekend dat het cybersecuritybedrijf één van de slachtoffers van de Trivy supplychain-aanval was geworden. Trivy is een door securitybedrijf Aqua Security ontwikkelde tool waarmee ontwikkelaars en organisaties systemen en omgevingen op kwetsbaarheden en misconfiguraties kunnen scannen. Aanvallers hadden toegang gekregen tot credentials van de Trivy-ontwikkelaars en konden zo een malafide versie uitbrengen die bij gebruikers allerlei informatie buitmaakte, waaronder hun AWS credentials. Checkmarx was zoals gezegd één van de slachtoffers. Zo wisten de aanvallers inloggegevens te stelen waarmee ze toegang tot de GitHub repositories van het cybersecuritybedrijf kregen. Uit de GitHub repositories gestolen data werd vervolgens op internet gepubliceerd. bron: https://www.security.nl

Wat DCA al zegt, echte verslaafden vinden altijd een omweg. Niets is waterdicht. Vaak zie je dat 'ervaren' verslaafden zeer geraffineerd zijn. En ook al zet je de laptop op slot, hoe grot is de kans dat er niet ergens een tweede beschikbaar is. Een waarvan jullie misschien niet eens het bestaan weten. Ik lees "gekend", mag ik hieruit opmaken dat er professionele hulp is? Zo niet, mag ik je aanraden hier eens naar te kijken. Misschien niet eens voor de verslaafde zelf, maar iemand die jullie handvatten en raad kan geven. Helaas uit ervaring: wanneer een verslaafde, aan wat dan ook, niet zelf echt wil, zal er nooit een oplossing of verlossing komen. Heel veel sterkte. Mocht je buiten ICT om meedenkend advies of raad zitten, je bent welkom.

Microsoft heeft meerdere kritieke kwetsbaarheden in chatbot Copilot verholpen waardoor aanvallers informatie hadden kunnen stelen. "Information disclosure" beveiligingslekken worden over het algemeen niet als kritiek aangemerkt. Microsoft besloot dat voor CVE-2026-26129, CVE-2026-26164 en CVE-2026-33111 wel te doen. Het gaat om kwetsbaarheden in M365 Copilot en Copilot Chat binnen Microsoft Edge. CVE-2026-26129 en CVE-2026-26164 in M365 Copilot zijn twee problemen die ontstaan doordat de chatbot niet goed omgaat met 'speciale elementen', waardoor een ongeautoriseerde aanvaller informatie kan stelen. Microsoft geeft geen verdere details over beide problemen. CVE-2026-33111 in Copilot Chat betreft ook het niet goed verwerken van speciale elementen en is te misbruiken door middel van command injection. Ook bij dit lek zijn geen verdere details gegeven. Microsoft heeft de drie problemen verholpen en gebruikers hoeven geen actie te ondernemen. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om via de officiële website van downloadtool JDownloader malware te verspreiden. JDownloader is een tool voor het downloaden van bestanden. Het is beschikbaar voor Linux, macOS en Windows. Bij de aanval werden de alternatieve links voor het downloaden van de Linux- en Windows-versies van JDownloader aangepast. De links wezen naar besmette versies. Eén van de ontwikkelaars laat op Reddit weten dat de aanvallers via een "ongepatchte kwetsbaarheid" de access control list (ACL) konden aanpassen. Vervolgens konden ze de edit-rechten aanpassen en de besmette links toevoegen. Verdere details over de kwetsbaarheid zijn niet gegeven. Het is daarnaast onduidelijk wat de besmette installers van JDownloader doen. De website van de downloadtool is op het moment van schrijven offline. Onlangs wisten aanvallers ook via de officiele websites van de populaire software Daemon Tools, CPU-Z en HWMonitor malware te verspreiden. bron: https://www.security.nl

Na de Copy Fail- en Dirty Frag-kwetsbaarheden waardoor lokale gebruikers op de meeste Linux-distrbuties root kunnen worden is er een soortgelijk probleem gevonden met de naam Electric Boogaloo. Sommigen stellen dat Linux-gebruikers vanwege de kwetsbaarheid er verstandig aan doen om de komende week even geen software te installeren, op de updates van hun distributie na. Electric Boogaloo maakt het mogelijk om de page-cache van elk leesbaar bestand te overschrijven. Bij de proof-of-concept exploit die van het lek misbruik maakt wordt een vermelding in /etc/passwd overschreven en voorzien van een nieuwe gebruiker met rootrechten, waarna er als deze gebruiker wordt ingelogd. Het is een soortgelijke kwetsbaarheid als het Copy Fail-lek, maar bevindt zich in een ander subsysteem, zo laat het beveiligingsbulletin weten. De exploit is getest tegen verschillende versies van Ubuntu, Debian, Archc en Fedora. In het bulletin wordt geen melding gemaakt van de beschikbaarheid van patches. bron: https://www.security.nl

Het Nationaal Cyber Security Centrum (NCSC) houdt rekening met grootschalig misbruik van nieuwe Ivanti-kwetsbaarheden. Het Amerikaanse cyberagentschap CISA heeft overheidsinstanties opgedragen om de beschikbaar gestelde patches binnen drie dagen te installeren. Gisteren kwam Ivanti met een waarschuwing voor een actief aangevallen kwetsbaarheid in Ivanti Endpoint Manager Mobile (EPMM). Ivanti Endpoint Manager Mobile is een mobile management software engine waarmee mobile device management (MDM) mogelijk is. Organisaties kunnen via deze oplossing de mobiele apparaten van hun medewerkers op afstand beheren, bijvoorbeeld als het gaat om toegestane applicaties of bepaald beleid. Een gecompromitteerde EPMM-server kan dan ook vergaande gevolgen hebben. Begin dit jaar werd bekend dat een ander lek gebruikt was om de Ivanti EPMM-servers van meerdere Nederlandse overheidsinstanties te hacken, waaronder de Autoriteit Persoonsgegevens en Raad voor de Rechtspraak. Gisteren kwam Ivanti met beveiligingsupdates voor vijf kwetsbaarheden in EPMM, waarvan er één al actief wordt misbruikt. Via dit beveiligingslek (CVE-2026-6973) kan een aanvaller die al over admin-toegang beschikt code op de server uitvoeren. De andere kwetsbaarheden maken het onder andere mogelijk voor een geauthenticeerde aanvaller om admin-toegang te krijgen. Details over de kwetsbaarheden of exploitcode zijn nog niet beschikbaar, maar volgens het Nationaal Cyber Security Centrum kan dit snel veranderen. "Het NCSC verwacht dat op korte termijn Proof-of-Concept code publiek beschikbaar komt. Dit vergroot de kans grootschalig misbruik aanzienlijk", aldus de overheidsinstantie. Het Cybersecurity & Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security kan Amerikaanse overheidsinstanties opdragen om updates voor actief aangevallen kwetsbaarheden binnen een bepaalde tijd te installeren. Normaliter hanteert het CISA een deadline van twee weken. In het geval van het aangevallen Ivanti-lek hebben overheidsinstanties drie dagen de tijd gekregen om de patches uit te rollen. bron: https://www.security.nl

Mozilla heeft vorige maand mede dankzij het gebruik van AI een recordaantal van 423 kwetsbaarheden in Firefox verholpen. Niet eerder repareerde de browser-ontwikkelaar in één maand zoveel problemen. In heel 2025 ging het nog om totaal 258 beveiligingslekken die in Firefox werden gepatcht. Een groot deel van de vorige maand verholpen problemen in de browser werden ontdekt door het AI-model Claude Mythos Preview. Volgens Brian Grinstead van Mozilla is de situatie rond het gebruik van AI binnen beveiligingsonderzoek de afgelopen maanden drastisch veranderd. Een aantal maanden geleden werden door AI-gegenereerde bugmeldingen vaak weggezet als 'slop'. Sommige opensourceprojecten weigerden deze bugmeldingen zelfs, omdat het vaak om niet bestaande problemen ging en het uitzoeken ervan veel werk kostte. De AI-modellen die kwetsbaarheden kunnen vinden zijn de afgelopen periode drastisch verbeterd, aldus Grinstead. Daarnaast is Mozilla naar eigen zeggen veel beter geworden in het gebruik ervan. Zo heeft de Firefox-ontwikkelaar een pipeline opgezet waarbij het eenvoudig van AI-model kan wisselen, wat een groot aantal nieuwe kwetsbaarheden opleverde. Grinstead voegt toe dat elke gevonden bug zorg en aandacht vereist om adequaat te worden verholpen. Het wegwerken van het recordaantal kwetsbaarheden kostte de afgelopen maanden dan ook veel werk en 'lange dagen', aldus de Mozilla-medewerker. bron: https://www.security.nl

Een nieuwe kwetsbaarheid in Linux met de naam Dirty Frag maakt lokale aanvallers op meeste distributies root. Volgens de ontdekker van het probleem zijn er nog geen updates beschikbaar. Op Hacker News melden lezers dat het erop lijkt dat er inmiddels fixes voor de Linux-kernel zijn verschenen. Dirty Frag combineert twee verschillende kernel-kwetsbaarheden waardoor het mogelijk is om in het geheugen systeembestanden aan te passen. Een lokale aanvaller kan hierdoor zijn rechten naar die van root verhogen. Het probleem raakt vooral multi-tenant Linux omgevingen en shared-kernel containers. De kwetsbaarheid lijkt op de recent ondekte Copy Fail-kwetsbaarheid. Dit beveiligingslek was ook de reden voor onderzoeker Hyunwoo Kim om zijn onderzoek te doen. Copy Fail bevindt zich in de algif_aead module van de Linux-kernel. Systemen die maatregelen tegen Copy Fail hebben genomen zijn nog steeds kwetsbaar voor Dirty Frag, zo stelt de onderzoeker, omdat zijn aanval niet vereist dat de kwetsbare algif_aead module beschikbaar is. De Dirty Frag-aanval succesvol is getest op Ubuntu 24.04.4, RHEL 10.1, openSUSE Tumbleweed 7.0.2, CentOS Stream 10, AlmaLinux 10, Fedora 44. Kim merkt op dat het embargo over de bekendmaking van de kwetsbaarheid is geschonden. Daarop heeft hij besloten de details en proof-of-concept exploitcode te publiceren. Patches zijn echter voor nog geen enkele distributie beschikbaar, aldus de onderzoeker. Die adviseert gebruikers om de modules waarin de twee kwetsbaarheden aanwezig zijn te verwijderen en de page cache op te schonen. Op Hacker News melden lezers dat erop lijkt dat voor de verschillende Linux-kernels inmiddels fixes zijn verschenen. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kwetsbaarheid in Ivanti Endpoint Manager Mobile (EPMM), zo waarschuwt Ivanti vandaag. Er zijn beveiligingsupdates beschikbaar om het probleem te verhelpen, maar misbruik van het probleem vond al plaats voordat patches beschikbaar waren. Begin dit jaar werd bekend dat een ander lek gebruikt was om de Ivanti EPMM-servers van meerdere Nederlandse overheidsinstanties te hacken, waaronder de Autoriteit Persoonsgegevens en Raad voor de Rechtspraak. Ivanti Endpoint Manager Mobile is een mobile management software engine waarmee mobile device management (MDM) mogelijk is. Organisaties kunnen via deze oplossing de mobiele apparaten van hun medewerkers op afstand beheren, bijvoorbeeld als het gaat om toegestane applicaties of bepaald beleid. Een gecompromitteerde EPMM-server kan dan ook vergaande gevolgen hebben. Het nu aangevallen beveiligingslek waarvoor Ivanti waarschuwt (CVE-2026-6973) maakt het mogelijk voor een aanvaller met admin-toegang om code op de server uit te voeren. De kwetsbaarheid wordt veroorzaakt door 'improper input validation', aldus het beveiligingsbulletin van Ivanti, waarin geen verdere informatie staat. Het bedrijf meldt dat het met 'zeer beperkt misbruik' bekend is. Sinds wanneer de aanvallen plaatsvinden en hoeveel klanten zijn getroffen wordt niet gemeld. Wel laat Ivanti weten dat klanten minder risico op misbruik lopen als ze eerder gegeven advies hebben opgevolgd. In januari gaf Ivanti het advies aan klanten die via twee andere lekken (CVE-2026-1281 en CVE-2026-1340) waren gehackt om inloggegevens te wijzigen. Mogelijk dat de aanvallers bij deze aanvallen gestolen inloggegevens in combinatie met CVE-2026-6973 hebben gebruikt. Verder stelt Ivanti dat het geen indicators of compromise kan geven. Het gaat in dit geval om technische informatie waarmee organisaties kunnen kijken of ze zijn gehackt. bron: https://www.security.nl

Een kritieke kwetsbaarheid in firewalls van Palo Alto Networks is sinds begin april misbruikt bij aanvallen, zo heeft het securitybedrijf zelf bekendgemaakt. Updates voor het beveiligingslek zijn nog niet beschikbaar en zullen op 13 en 28 mei verschijnen. Via het lek, aangeduid als CVE-2026-0300, kan een ongeauthenticeerde aanvaller op de firewall willekeurige code met rootrechten uitvoeren. Palo Alto Networks stelt dat het bekend is met 'beperkt misbruik' van de kwetsbaarheid. Zo vond op 9 april een aanval plaats die mislukte. Een week later lukte het de aanvallers wel om code op de firewall uit te voeren, waarbij er shellcode werd geïnjecteerd. Vervolgens werden de logbestanden door de aanvallers opgeschoond en crashdumpbestanden verwijderd om zo detectie te voorkomen. Bij de aanval maakten de aanvallers ook gebruik van tunneling tools EarthWorm en ReverseSocks5, vond er Active Directory enumeratie plaats met inloggegevens die vermoedelijk van de gehackte firewall afkomstig waren en werden logbestanden en ander bewijs van de aanval systematisch verwijderd. De aanvallen zijn volgens Palo Alto Networks vermoedelijk het werk van een statelijke actor. bron: https://www.security.nl

Update: Daemon Tools bevestigt verspreiding van malware via officiële website Disc Soft Limited, de ontwikkelaar van de populaire emulatiesoftware Daemon Tools, heeft bevestigd dat de officiële website van de tool malware verspreidde. Dinsdag waarschuwde antivirusbedrijf Kaspersky dat aanvallers de software van een backdoor hadden voorzien en dat deze besmette versie wekenlang via de officiële site werd aangeboden. De backdoor downloadt bij alle slachtoffers eerst een payload die informatie over het systeem verzamelt. Het gaat dan om zaken als MAC-adres, hostnaam, dns-domeinnaam, overzicht van actieve processen en geïnstalleerde software en systeemgegevens. Op basis van de verzamelde informatie wordt vervolgens bij een select aantal slachtoffers een tweede payload uitgevoerd. Het gaat om een remote access trojan waarmee de aanvallers volledige toegang tot het systeem hebben. Bij de meeste slachtoffers wordt alleen de eerste payload uitgevoerd. De backdoor is bij slechts een tiental machines waargenomen. Het gaat om overheden, wetenschappelijke organisaties, fabrieken en retailorganisaties in Rusland, Wit-Rusland en Thailand, aldus Kaspersky. Het werkelijke aantal kan hoger liggen, aangezien het hier alleen om detectie door Kaspersky gaat. Gisteren kwam Disc Soft Limited met een reactie op het incident. Het softwarebedrijf stelt dat alleen Daemon Tools Lite door de supplychain-aanval is getroffen. Inmiddels wordt de besmette versie niet meer aangeboden en kunnen gebruikers een schone versie downloaden. Gebruikers krijgen van het bedrijf het advies om de besmette applicatie te verwijderen, het systeem door antivirus te laten scannen en dan de nieuwste, schone versie te installeren. Experts en organisaties adviseren geregeld bij een besmetting om het systeem volledig opnieuw te installeren. Hoe aanvallers de officiële software van malware konden voorzien is nog niet bekendgemaakt. Disc Soft Limited zegt dat het onderzoek naar de aard en omvang van de aanval nog wordt onderzocht. Verder stelt de ontwikkelaar dat de verificatieprocedures worden aangescherpt om herhaling van dergelijke incidenten in de toekomst te voorkomen. bron: https://www.security.nl

Google heeft beveiligingsupdates voor Chrome uitgebracht die meerdere kritieke kwetsbaarheden verhelpen waardoor remote code execution mogelijk is. De afgelopen weken kwam Google meerdere keren met patches voor dergelijke impactvolle beveiligingslekken. Een aanvaller kan via dit soort kwetsbaarheden malafide code op het systeem van gebruikers uitvoeren, waarbij alleen het bezoeken van een gehackte of gecompromitteerde website of het te zien krijgen van besmette advertenties voldoende is. Er is geen verdere interactie van gebruikers vereist. De nu verholpen kritieke beveiligingslekken bevinden zich in Blink, Mobile en Chromoting. Blink is de browser-engine die Chrome gebruikt voor het weergeven van webcontent. Chromoting is het onderdeel van de browser die remote desktoptoegang mogelijk maakt. Twee van de drie kritieke beveiligingslekken waren door Google zelf gevonden. Het derde probleem werd door een externe onderzoeker gerapporteerd. Die ontving als beloning voor zijn bugmelding een bedrag van 43.000 dollar. Verdere details over de beveiligingslekken zijn nog niet gedeeld. In het geval van kritieke kwetsbaarheden probeert Google de beschikbare updates binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details kunnen vervolgens na zestig dagen openbaar worden gemaakt. Google Chrome 148.0.7778.96/97 is beschikbaar voor Windows en macOS. Voor Linux is versie 148.0.7778.96 verschenen. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan echter een aantal dagen tot weken duren. Gebruikers die de update direct willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar. bron: https://www.security.nl

De aanvallers die certificaatautoriteit DigiCert wisten te hacken maakten gebruik van een malafide screensaver-bestand. Dat heeft het bedrijf in een incidentrapport laten weten. Bij de aanval werden 27 certificaten gestolen die worden gebruikt voor het signeren van code. De aanvallers gebruikten deze certificaten vervolgens om hun malware mee te signeren. Uiteindelijk besloot DigiCert zestig certificaten in te trekken. Het incident begon op 2 april, toen de aanvaller een helpdeskmedewerker via een chatkanaal benaderde. Daarbij verstuurde de aanvaller een zip-bestand, dat zogenaamd een screenshot zou zijn. Het zip-bestand bevatte een .scr-bestand. Scr-bestanden zijn screensaver-bestanden, maar ook uitvoerbare bestanden. In dit geval bleek het bestand een malicious payload te bevatten. De beveiligingssoftware die DigiCert gebruikte blokkeerde vier infectiepogingen. Bij een vijfde poging werd de machine van een support-analist geïnfecteerd. DigiCert detecteerde de infectie en startte vervolgens een onderzoek. De conclusie was dat het incident onder controle was. Elf dagen later wees verder onderzoek uit, na te zijn getipt door een externe onderzoeker, dat ook een tweede machine van een andere analist op dezelfde manier besmet was geraakt. De beveiligingssoftware op dit systeem werkte niet naar behoren, waardoor de infectie niet tijdens het eerdere onderzoek werd opgemerkt. Via de tweede besmette machine kreeg de aanvaller toegang tot de interne support-portal van DigiCert. Via dit portaal kunnen DigiCert-medewerkers beperkte toegang tot klantaccounts krijgen. Via het portaal kreeg de aanvaller toegang tot codes voor bestelde en nog niet geleverde code signing certificaten, van een beperkt aantal klantaccounts. Met de code en goedgekeurde bestelling kon de aanvaller vervolgens de code signing certificaten in handen krijgen. Op basis van het onderzoek en de gecompromitteerde accounts besloot DigiCert zestig certificaten in te trekken, waarvan er 27 door de aanvallers waren gebruikt. Volgens DigiCert gingen er verschillende zaken verkeerd, waaronder de controle op bestandstypes binnen de gebruikte supportkanalen. Daarnaast was de endpoint detection en response (EDR)-dekking inconsistent en onvolledig, waardoor er een blinde vlek was. Verder waren de initialisatiecodes van de code signing certificaten niet goed beveiligd. Verder stelt de certificaatautoriteit dat het mazzel had. Een externe onderzoeker ontdekte het misbruik van de certificaten en waarschuwde DigiCert, waarop de tweede besmette machine werd ontdekt. bron: https://www.security.nl

Microsoft Edge bewaart wachtwoorden onversleuteld in het geheugen van het systeem, ook als ze niet in gebruik zijn. Dat meldt de Noorse beveiligingsonderzoeker Tom Jøran Sønstebyseter Rønning op X. Alle in Edge opgeslagen wachtwoorden worden automatisch tijdens het opstarten van de browser ontsleuteld in het procesgeheugen opgeslagen. "Dit gebeurt zelfs als je nooit een site bezoekt die van die inloggegevens gebruikmaakt", aldus de onderzoeker. Gebruikers moeten zich echter wel authenticeren om de wachtwoorden in de wachtwoordmanager van de browser te bekijken. "Terwijl het browserproces ze al in plaintext heeft", voegt de onderzoeker toe. Rønning stelt dat andere op Chromium-gebaseerde browsers, zoals Google Chrome, dit gedrag niet te vertonen. De onderzoeker rapporteerde het probleem aan Microsoft, maar het techbedrijf liet weten dat dit gedrag "by design" is, aldus Rønning. Die heeft inmiddels ook een tool gepubliceerd waarmee wachtwoorden uit het procesgeheugen van Edge zijn te lezen. bron: https://www.security.nl

Aanvallers maken actief misbruik van een nieuwe kritieke kwetsbaarheid om firewalls van Palo Alto Networks te hacken en beveiligingsupdates zijn niet beschikbaar. Via het beveiligingslek in PAN-OS, het besturingssysteem dat op de firewalls draait, kan een ongeauthenticeerde aanvaller willekeurige code met rootrechten uitvoeren. De kwetsbaarheid (CVE-2026-0300) bevindt zich in de User-ID Authentication Portal (Captive Portal), die wordt gebruikt om gebruikers te authenticeren. Door het versturen van speciaal geprepareerde packets kan een aanvaller een buffer overflow veroorzaken, en vervolgens willekeurige code als root uitvoeren. Verdere details over het beveiligingslek zijn niet gegeven. Palo Alto Networks stelt dat organisaties minder risico lopen als ze de authenticatieportal niet toegankelijk maken voor het gehele internet. Volgens het securitybedrijf is er 'beperkt misbruik' waargenomen, maar om hoeveel klanten het precies gaat en sinds wanneer de aanvallen plaatsvinden is niet bekendgemaakt. Updates voor het probleem zijn nog niet beschikbaar. Die staan voor 13 en 28 mei gepland. Organisaties worden opgeroepen om de authenticatieportal te beveiligen door de toegang te beperken of de feature uit te schakelen als die niet wordt gebruikt. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in de WordPress-plug-in Breeze Cache om websites aan te vallen. Een update voor het beveiligingslek is sinds 21 april beschikbaar, maar vele tienduizenden WordPress-sites hebben die nog niet geïnstalleerd. Daarnaast maakt de ontwikkelaar in de release notes geen duidelijke melding van het probleem. Breeze Cache is een 'caching plug-in' die de prestaties van WordPress-sites moet verbeteren, zodat die sneller bij gebruikers worden geladen. De plug-in is op meer dan 400.000 websites actief. Een kritieke kwetsbaarheid in de plug-in zorgt ervoor dat aanvallers, door het plaatsen van een reactie met een speciaal geprepareerde gebruikersnaam, willekeurige bestanden naar de webserver kunnen uploaden. Het kan dan gaan om PHP-backdoors wat tot remote code execution mogelijk leidt, aldus securitybedrijf Wordfence. Het kwetsbare onderdeel van de plug-in, 'Host Files Locally - Gravatars', staat niet standaard ingeschakeld. De leverancier van de plug-in kwam op 21 april met een beveiligingsupdate. In de release notes wordt het probleem niet duidelijk vermeld. Er staat alleen 'Enhanced Gravatar handling by enforcing official sources only, ensuring only valid images are cached.' Wordfence maakte het bestaan van de kwetsbaarheid op 22 april bekend en op dezelfde dag vond volgens het securitybedrijf al misbruik plaats. Hoeveel websites via het lek zijn gehackt is onduidelijk. Wel blijkt uit cijfers van Wordfence dat vele tienduizenden WordPress-sites de update missen. bron: https://www.security.nl

Oracle start op 28 mei met de allereerste Critical Security Patch Update (CSPU). Het gaat hierbij om beveiligingsupdates voor kritieke kwetsbaarheden in producten van het softwarebedrijf. Normaliter kwam Oracle eens per kwartaal met patches, maar het bedrijf zegt vanwege AI, dat sneller en efficiënter kwetsbaarheden zou kunnen vinden en verhelpen, hier nu vanaf te zien. Daarnaast moet de nieuwe aanpak ervoor zorgen dat klanten kritieke beveiligingsupdates eerder kunnen installeren, in plaats van te moeten wachten op het volgende kwartaal. Na de eerste CSPU op 28 mei hanteert Oracle een maandelijkse cadens, waarbij elke derde dinsdag van de maand de kritieke updates zullen verschijnen. Dit komt overeen met de kwartaal-updates van Oracle. Na 28 mei volgt de volgende CSPU op 16 juni. Op 21 juli vindt de al eerder geplande kwartaal-update plaats, gevolgd door een nieuwe CSPU op 18 augustus. bron: https://www.security.nl

Videodienst Viemo heeft de persoonlijke gegevens van 119.000 klanten en gebruikers gelekt. De data is inmiddels door de groep criminelen genaamd ShinyHunters op internet geplaatst. Dat laat Troy Hunt van datalekzoekmachine Have I Been Pwned weten. Eind april meldde Vimeo dat het te maken had gekregen met een beveiligingsincident, waarbij ook data van gebruikers en klanten was buitgemaakt. De data was gestolen bij Anodot, een bedrijf dat software levert waarmee bedrijven storingen en andere afwijkingen kunnen detecteren. Aanvallers zouden bij Anodot authenticatietokens hebben gestolen die klanten gebruiken om toegang te krijgen tot clouddata. Met die tokens zou vervolgens klantdata uit cloudomgevingen zijn buitgemaakt. De aanval op Anodot raakte meerdere klanten, waaronder ook Vimeo. Volgens de videodienst zijn gebruikers- en klantgegevens buitgemaakt. Het zou vooral gaan om technische data, titels en metadata, en in sommige gevallen ook e-mailadressen en namen. De aanval werd opgeëist door ShinyHunters. De criminele groepering dreigde de data openbaar te maken, tenzij er losgeld werd betaald. Vimeo ging niet op het dreigement in, waarop de data openbaar werd gemaakt. Het gaat onder andere om 119.000 e-mailadressen. Deze adressen zijn nu toegevoegd aan Have I Been Pwned. Via de website kunnen mensen kijken of hun e-mailadres in een bekend datalek voorkomt. Van de gestolen e-mailadressen was 56 procent al via een ander datalek bij de site bekend. bron: https://www.security.nl

De officiële website van emulatiesoftware Daemon Tools verspreidt al wekenlang malware, zo beweert antivirusbedrijf Kaspersky. De virusbestrijder zegt dat het sinds 8 april duizenden infectiepogingen heeft waargenomen, zowel bij eindgebruikers als organisaties in meer dan honderd landen. Daemon Tools is populaire software voor het mounten van disk images. Binnen de software hebben aanvallers verschillende bestanden aangepast en voorzien van een backdoor. Deze backdoor downloadt bij alle slachtoffers eerst een payload die informatie over het systeem verzamelt. Het gaat dan om zaken als MAC-adres, hostnaam, dns-domeinnaam, overzicht van actieve processen en geïnstalleerde software en systeemgegevens. Op basis van de verzamelde informatie wordt vervolgens bij een select aantal slachtoffers een tweede payload uitgevoerd. Het gaat om een remote access trojan waarmee de aanvallers volledige toegang tot het systeem hebben. Kaspersky heeft infecties waargenomen in meer dan honderd landen, waarbij de meeste slachtoffers zich bevinden in Rusland, Brazilië, Turkije, Spanje, Duitsland, Frankrijk, Italië en China. Tien procent van de getroffen machines is van organisaties en bedrijven, aldus de virusbestrijder. Bij de meeste slachtoffers wordt alleen de eerste payload uitgevoerd. De backdoor is bij slechts een tiental machines waargenomen. Het gaat om overheden, wetenschappelijke organisaties, fabrieken en retailorganisaties in Rusland, Wit-Rusland en Thailand, aldus Kaspersky. Wat het doel van de infecties is, is volgens de virusbestrijder nog onduidelijk. Kaspersky zegt dat het de ontwikkelaars van Daemon Tools heeft ingelicht zodat die actie kunnen ondernemen, maar meldt ook dat de supplychain-aanval nog 'ongoing' is bron: https://www.security.nl

Privacyorganisatie noyb heeft bij de Oostenrijkse privacytoezichthouder DSB een klacht over LinkedIn ingediend, omdat het bedrijf geld vraagt voor informatie over profielbezoeken. Volgens noyb hoort dergelijke informatie gratis aan gebruikers van het platform te worden verstrekt. LinkedIn houdt bij welke gebruikers het profiel van een gebruiker hebben bekeken. Alleen tegen betaling is het mogelijk om deze informatie over de afgelopen 365 dagen in te zien. "Onder EU-wetgeving hoort dergelijke persoonlijke data gratis toegankelijk te zijn", aldus noyb. Op dit moment moeten gebruikers een abonnement afsluiten om toegang tot deze informatie te krijgen. Noyb stelt dat LinkedIn de gegevens echter kosteloos moet verstrekken als onderdeel van AVG-inzageverzoeken die gebruikers kunnen doen en waar het platform verplicht gehoor aan moet geven. LinkedIn weigert de data als onderdeel van een inzageverzoek aan gebruikers te verstrekken. "Het verkopen van data aan eigen gebruikers is een populaire activiteit onder bedrijven. In werkelijkheid hebben mensen het recht om hun eigen data gratis te ontvangen. Het is absurd dat bedrijven alleen het belang van databescherming erkennen wanneer ze gegevens willen verkopen. LinkedIn heeft geen problemen om bepaalde data in ruil voor geld te verstrekken, maar maakt zich opeens zorgen over de privacy van andere gebruikers wanneer je het recht op inzage uitoefent", aldus noyb-advocaat Martin Baumann. Volgens de privacyorganisatie handelt LinkedIn in strijd met de AVG. Noyb heeft nu een klacht bij de Oostenrijkse privacytoezichthouder ingediend en wil dat LinkedIn wordt gedwongen tot het alsnog vrijgeven van de profielinformatie. Daarnaast wil de privacyorganisatie dat Microsofts platform een boete krijgt opgelegd om zo soortgelijke privacy-overtredingen in de toekomst te voorkomen. bron: https://www.security.nl

Wegens de ontwikkeling van AI-tools die kwetsbaarheden kunnen vinden en verhelpen heeft Oracle besloten om voortaan elke maand kritieke beveiligingsupdates uit te brengen. Softwarebedrijven zoals Adobe en Microsoft hanteren al geruime tijd een maandelijkse patchcyclus. Oracle komt eens per kwartaal met beveiligingsupdates, of in het geval van ernstige of aangevallen kwetsbaarheden met noodpatches die buiten deze cyclus om verschijnen. Volgens Oracle verandert de nieuwste generatie AI de snelheid waarmee kwetsbaarheden worden gevonden en verholpen. "Het up-to-date houden van systemen is één van de belangrijkste manieren om risico te verkleinen. Het tijdig installeren van updates beperkt blootstelling en waarborgt op de lange termijn de security", aldus het softwarebedrijf. Bij elke patchronde meldt Oracle echter dat het bekend is met gehackte klanten die nalieten om beschikbare updates te installeren. Om ervoor te zorgen dat klanten sneller beschermd zijn en updates ook sneller installeren start Oracle vanaf deze maand de maandelijkse Critical Security Patch Update (CSPU). Het gaat hier om patches voor kritieke beveiligingsproblemen die klanten meteen kunnen installeren, zonder dat ze mogelijk nog maanden moeten wachten op de patchonrde van het volgende kwartaal. De updates die via de CSPU beschikbaar komen zijn ook kleiner en gerichter, wat installatie volgens Oracle eenvoudiger zou moeten maken. bron: https://www.security.nl