Captain Kirk

Tientallen installaties van helpdesksoftware SysAid die vanaf het internet toegankelijk zijn, zijn kwetsbaar voor aanvallen, waardoor aanvallers vertrouwelijke informatie kunnen stelen en verdere aanvallen uitvoeren. Dat meldt The Shadowserver Foundation op basis van een online scan. Anderhalf jaar geleden werd een kwetsbaarheid in SysAid nog gebruikt voor het verspreiden van de Clop-ransomware. De software van SysAid biedt verschillende helpdeskfunctionaliteiten voor organisaties, zoals een ticketsysteem, het automatisch laten resetten van wachtwoorden door medewerkers, remote control om systemen van personeel op afstand over te nemen en 'IT Asset Management'. Onderzoekers van securitybedrijf watchTowr ontdekten verschillende kwetsbaarheden in de software waardoor het mogelijk is om het plaintext wachtwoord van de admin te achterhalen, alsmede XML External Entity Injection uit te voeren. Een aanvaller kan zo uiteindelijk commando's op het onderliggende systeem uitvoeren en dat volledig overnemen. SysAid kwam op 3 maart met een update voor de problemen. Gisteren publiceerde watchTowr details van de gevonden kwetsbaarheden. Daarop voerde The Shadowserver Foundation een online scan uit. De stichting houdt zich bezig met de bestrijding van cybercrime en doet geregeld onderzoek naar kwetsbare systemen die op internet zijn te vinden. Er werden bij de scan 77 kwetsbare installaties aangetroffen, waarvan twee in Nederland. bron: https://www.security.nl

Aanvallers maken actief misbruik van twee kwetsbaarheden in Internet of Things (IoT) apparaten van fabrikant Akamai, zo melden internetbedrijf Akamai en het Amerikaanse cyberagentschap CISA. De apparaten zijn end-of-life en ontvangen geen beveiligingsupdates meer. Via de kwetsbaarheden (CVE-2024-6047 en CVE-2024-11120) kan een ongeauthenticeerde aanvaller op afstand commando's op het systeem uitvoeren en dat zo overnemen. De impact van beide beveiligingslekken is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De kwetsbare IoT-apparaten van GeoVision zijn ip-camera's, videoservers en een ANPR-systeem voor het lezen van kentekenplaten. Vorig jaar juni en november waarschuwde het Taiwanese Computer Emergency Response Team (TWCERT) voor de twee kwetsbaarheden en adviseerde eigenaren om de systemen te vervangen. In het geval van CVE-2024-11120 werd het beveiligingslek al misbruikt, aldus TWCERT en The Shadowserver Foundation bij de publicatie van het beveiligingslek. Akamai laat nu weten dat een Mirai-gebaseerd botnet van de kwetsbaarheden misbruik maakt. Het botnet kan geïnfecteerde apparaten vervolgens gebruiken voor het uitvoeren van ddos-aanvallen en zoeken naar andere kwetsbare machines. Akamai stelt dat misbruik nog niet bekend was, maar dat klopt in het geval van CVE-2024-11120 niet. Ook het internetbedrijf adviseert eigenaren van de kwetsbare GeoVision-apparaten om een nieuwer model aan te schaffen dat nog wel wordt ondersteund. bron: https://www.security.nl

Firefox kan door een nieuwe securitymaatregel die Google aan Chrome heeft toegevoegd gegevens uit de browser lastiger importeren. Daardoor moeten gebruikers meer handmatige handelingen verrichten als ze van Chrome naar Firefox willen overstappen. Chrome-gebruikers kunnen sinds een aantal dagen 'Device Bound Session Credentials' (DBSC) testen. DBSC moet cookiediefstal door bijvoorbeeld infostealer-malware voorkomen. Volgens Google raken veel internetgebruikers besmet met malware die sessiecookies van het systeem steelt. Deze cookies geven aan dat de gebruiker op een bepaalde website of account is ingelogd. Ze worden aangemaakt nadat de gebruiker is ingelogd. Door sessiecookies te stelen heeft een aanvaller dan ook direct toegang tot het betreffende account, waardoor het niet meer nodig is om het wachtwoord van de gebruiker te hebben of tweefactorauthenticatie te omzeilen. Volgens Mozilla is DBSC fantastisch voor het beschermen van gebruikersgegevens tegen malware. "Maar het houdt ook in dat het erg lastig voor ons is om lokaal opgeslagen zaken als inloggegevens en betaalmethodes automatisch te importeren", aldus Mozilla's Anna Kulyk. De huidige oplossing van Firefox is hetzelfde als die het voor Safari toepast. Gebruikers krijgen instructies om hun Chrome-wachtwoorden naar een CSV-bestand te exporteren en dat CSV-bestand vervolgens binnen Firefox te importeren. Mozilla werkt aan patches om ervoor te zorgen dat gebruikers handmatig wachtwoorden kunnen importeren, maar zegt ook naar andere opties te kijken. bron: https://www.security.nl

Er vinden gerichte aanvallen plaats waarbij zogenaamde 'Cloudflare-captcha's' worden gebruikt om doelwitten met malware te infecteren, zo waarschuwt Google. Het gaat daarbij om gerichte aanvallen tegen 'westerse doelen en ngo's', aldus het techbedrijf. De aanvallers beginnen de aanval door het doelwit naar een bepaalde website te lokken. Hoe dit wordt gedaan laat Google niet weten, maar de groep wordt voor allerlei phishingaanvallen verantwoordelijk gehouden. Zodra het doelwit op de website komt krijgt die een melding te zien dat er eerst een 'captcha' moet worden opgelost. In werkelijkheid wordt het doelwit verleid om een malafide PowerShell-commando op zijn eigen systeem uit te voeren. Dit commando zorgt voor de uiteindelijke installatie van de Lostkeys-malware. Deze malware steelt bestanden van het systeem en stuurt systeeminformatie en draaiende processen naar de aanvaller. Google stelt dat de verantwoordelijke groep vaak inloggegevens voor e-mailaccounts steelt, om vervolgens e-mails en contacten te stelen. Onlangs stelde securitybedrijf Proofpoint dat het gebruik van malafide PowerShell-commando's zowel door cybercriminelen als voor cyberspionage wordt toegepast. Volgens Google is een door de Russische staat gesteunde groep verantwoordelijk voor de aanvaller met de 'Cloudflare-captcha's'. bron: https://www.security.nl

Een kwetsbaarheid in Windows waarvoor op 8 april een beveiligingsupdate verscheen is al voor het uitkomen van de patch gebruikt voor het verspreiden van malware, zo stelt Symantec. Eerder maakte Microsoft al bekend dat het beveiligingslek ook bij ransomware-aanvallen was gebruikt. Al deze aanvallen vonden plaats voordat Microsoft met een update kwam. De kwetsbaarheid (CVE-2025-29824) bevindt zich in het Windows Common Log Filesystem (CLFS), een Windowsonderdeel dat wordt gebruikt voor logging. Applicaties die logbestanden willen opslaan kunnen er gebruik van maken. In de afgelopen jaren zijn er tientallen kwetsbaarheden in CLFS ontdekt. Meerdere daarvan werden actief misbruikt voordat een update van Microsoft beschikbaar was en voor andere verschenen allerlei exploits. Via CVE-2025-29824 kan een aanvaller die al toegang tot een machine heeft SYSTEM-rechten krijgen en zo het systeem volledig compromitteren. Bij de aanval die Symantec analyseerde wisten de aanvallers vermoedelijk eerst een Cisco ASA firewall te compromitteren. Op een onbekende manier werd er vervolgens toegang gekregen tot een Windowsmachine op het netwerk. Op deze machine maakten de aanvallers gebruik van CVE-2025-29824. De groep die volgens Symantec voor de aanval verantwoordelijk was houdt zich ook bezig met ransomware-aanvallen. In dit geval werd malware genaamd Grixba uitgerold. Dit is een infostealer en netwerkscanner waarmee de aanvallers allerlei informatie over het systeem en netwerk verzamelen. Deze data wordt dan voor verdere aanvallen gebruikt. Volgens Symantec verschilt de waargenomen aanval van de ransomware-aanvallen die Microsoft eerder beschreef, wat mogelijk inhoudt dat verschillende groepen over de kwetsbaarheid beschikten. bron: https://www.security.nl

WordPress-sites worden aangevallen via een kritieke kwetsbaarheid in de plug-in OttoKit, die eerder nog bekend stond als SureTriggers. Via het beveiligingslek kan een ongeauthenticeerde aanvaller admintoegang tot de website krijgen. De impact van de kwetsbaarheid (CVE-2025-27007) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. OttoKit is een automatiseringsplatform dat processen tussen verschillende websites, applicaties en WordPress-plug-ins automatiseert. Meer dan honderdduizend WordPress-sites maken er actief gebruik van, aldus cijfers van WordPress.org. Kwetsbaarheid CVE-2025-27007 wordt veroorzaakt doordat de plug-in inloggegevens van gebruikers onvoldoende verifieert. Dit maakt het mogelijk voor ongeauthenticeerde aanvallers om een verbinding op te zetten en uiteindelijk hun rechten naar die van admin te verhogen. Misbruik is volgens securitybedrijf Wordfence in twee scenario's mogelijk. Het eerste scenario is wanneer de website nooit een applicatiewachtwoord heeft ingeschakeld of gebruikt en OttoKit/SureTriggers nooit via een applicatiewachtwoord met de website verbinding heeft gemaakt. Wanneer sites verbinding al met een applicatiewachtwoord verbinding met OttoKit/SureTriggers hebben gemaakt is een aanval door een ongeauthenticeerde aanvaller niet mogelijk. Het tweede scenario doet zich voor wanneer een aanvaller zich al bij een website kan authenticeren en een applicatiewachtwoord kan genereren. Bij de nu waargenomen aanvallen proberen aanvallers het eerste scenario om zo een nieuwe admin aan te maken. Websites die van de plug-in gebruikmaken wordt dan ook aangeraden om de beschikbaar gestelde update te installeren en op de aanwezigheid van onbekende admins te controleren. Vorige maand gebruikten aanvallers ook een ander beveiligingslek (CVE-2025-3102) in OttoKit/SureTriggers voor het aanvallen van websites. Wordfence stelt dat bij de nu waargenomen aanvallen beide kwetsbaarheden worden gebruikt. Op maandag 21 april verscheen versie 1.0.83 waarin het probleem is verholpen. Aanvallen vinden volgens Wordfence sinds 2 mei plaats. Uit cijfers van WordPress.org blijkt dat tienduizenden websites nog niet up-to-date zijn. bron: https://www.security.nl

Microsoft heeft een AI-agent gelanceerd die voor gebruikers de instellingen van Windows 11 kan aanpassen. Gebruikers kunnen dan omschrijven waar ze hulp mee nodig hebben of wat ze veranderd willen hebben. De AI-agent zal dan de aanbevolen stappen beschrijven, maar kan die met toestemming van de gebruiker ook zelf uitvoeren. "Een agent maakt gebruik van on-device AI om je bedoeling te begrijpen en met jouw toestemming taken te automatiseren en uit te voeren", legt Microsoft uit. De feature is als eerste beschikbaar voor Windows Insiders met een Snapdragon Copilot+ pc. Daarna zijn systemen met AMD- en Intel-processors aan de beurt. Vooralsnog worden alleen Engelse 'language inputs' ondersteund. Daarnaast krijgt Notepad mogelijkheden om tekst te genereren. Microsoft laat daarover weten dat het informatie van gebruikers verzamelt wanneer die zijn ingelogd om de AI-features te gebruiken. Onlangs kondigde Amazon een AI-agent aan die taken in de browser van gebruikers uitvoert. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in Langflow, opensourcesoftware voor het ontwikkelen en uitrollen van 'AI-powered agents'. Langflow is een op Python-gebaseerde webapplicatie die een visuele interface biedt voor het maken van AI-agents. Een code injection-kwetsbaarheid in de software maakt het mogelijk voor een ongeauthenticeerde aanvaller om op afstand willekeurige code op het systeem uit te voeren. Voor het uitvoeren van een aanval hoeft een aanvaller alleen een speciaal geprepareerd HTTP-request naar een kwetsbaar systeem te sturen. Het beveiligingslek, aangeduid als CVE-2025-3248, werd eind februari gerapporteerd door securitybedrijf Horizon3.ai. Op 31 maart verscheen Langflow versie 1.3.0, waarin het probleem is verholpen. De release notes maken echter geen melding van de kwetsbaarheid. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Een maand geleden publiceerde Horizon3.ai details van het probleem. Volgens securitybedrijf Censys zijn er 460 kwetsbare Langflow-installaties vanaf het internet toegankelijk. Het Amerikaanse cyberagentschap CISA meldt nu dat aanvallers actief misbruik van CVE-2025-3248 maken. Details over deze aanvallen zijn niet gegeven. Amerikaanse overheidsinstanties zijn opgedragen de Langflow-update voor 26 mei te installeren. bron: https://www.security.nl

Microsoft is gestopt met communicatiedienst Skype en zal gegevens van gebruikers die geen actie ondernemen in januari 2026 verwijderen, zo heeft het techbedrijf aangekondigd. De eerste versie van Skype verscheen in augustus 2003. De software werd overgenomen door eBay, om vervolgens in handen van een investeringsgroep te komen. Die verkocht Skype in 2011 aan Microsoft, dat een vervanger voor Windows Live Messenger zocht. Microsoft trok gisteren de stekker uit Skype en stelt dat gebruikers kunnen overstappen naar Teams. Daarbij kunnen Skype-gebruikers van hun bestaande inloggegevens gebruikmaken. Skype-gebruikers die niet naar Teams willen overstappen hebben tot januari 2026 de tijd om hun gegevens te exporteren of te verwijderen. "Als u zich tegen die tijd aanmeldt bij Microsoft Teams Gratis, is uw Skype-gespreks- en chatgeschiedenis voor u beschikbaar. Als u geen actie onderneemt, worden uw Skype-gegevens in januari 2026 verwijderd", aldus de uitleg van Microsoft. bron: https://www.security.nl

Cloudplatform Snowflake, dat vorig jaar met een grote aanval op klanten te maken kreeg, verplicht later dit jaar voor alle gebruikers multifactorauthenticatie (MFA). Daarnaast kunnen gebruikers straks niet meer alleen met gebruikersnaam en wachtwoord inloggen. Snowflake biedt een cloudplatform voor de opslag van data, waar allerlei grote bedrijven gebruik van maken. Het bedrijf stelde vorig jaar dat de accounts van verschillende klanten waren gecompromitteerd, nadat aanvallers de inloggegevens hiervan hadden bemachtigd. Het ging onder andere om AT&T, Ticketmaster, Advanced Auto Parts, Ticketek en andere bedrijven. In het geval van Ticketmaster zouden de gegevens van 560 miljoen klanten wereldwijd zijn gestolen. Volgens securitybedrijf Mandiant werden meer dan honderdzestig Snowflake-klanten gecompromitteerd. Dit was mogelijk doordat systemen van deze klanten, hun medewerkers of contractors die ze gebruikten, met infostealer-malware waren besmet. Met de gestolen inloggegevens konden de aanvallers inloggen op de Snowflake-omgevingen en daar allerlei informatie uit stelen. Vorig jaar kondigde Snowflake aan dat het de verplichting om MFA te gebruiken gefaseerd gaat doorvoeren. Vanaf deze maand moeten alle menselijke gebruikers die via gebruikersinterface Snowsight inloggen MFA hebben ingesteld, zo laat het bedrijf in een blogposting weten. Vanaf augustus is MFA verplicht voor alle wachtwoord-gebaseerde logins voor nieuw aangemaakte menselijke gebruikers. Vanaf november wordt inloggen met alleen een wachtwoord voor iedereen geblokkeerd. Dit geldt zowel voor menselijke gebruikers als service-accounts. bron: https://www.security.nl

Meta gaat de stemopnames van gebruikers van de eigen Ray-Ban-zonnebril standaard opslaan en biedt geen opt-out meer. Gebruikers kunnen in de cloud opgeslagen stemopnames wel via de instellingen verwijderen. Daarnaast zal 'Meta AI' bij het gebruik van de camera standaard zijn ingeschakeld, tenzij gebruikers de stembesturing uitschakelen. Dat heeft het bedrijf in het aangepaste privacybeleid en een e-mail aan gebruikers laten weten. Gebruikers zijn niet blij met deze aanpassing, zo blijkt uit reacties op Reddit. De bril maakt onder andere gebruik van stembediening en biedt allerlei features, zoals vertalingen en een optie om in real-time informatie op te vragen over hetgeen waarnaar er gekeken wordt. Deze week is er een nieuwe versie van het privacybeleid van de bril van kracht geworden, zo meldt The Verge. Zo worden opnames standaard opgeslagen en kunnen worden gebruikt voor het verbeteren van Meta AI en andere Meta-producten. Het gaat dan specifiek om wat gebruikers zeggen nadat ze het activatiewoord 'Hey Meta' hebben gezegd. "De optie om het opslaan van stemopnames uit te schakelen is niet langer beschikbaar", aldus een e-mail aan gebruikers. Die kunnen opnames van hun stem wel op elk moment via de instellingen verwijderen. De opnames kunnen zowel door mensen worden beluisterd als door machine learning gebruikt. De zonnebril is binnen Europa onder andere beschikbaar en ondersteund in Oostenrijk, België, Denemarken, Finland, Frankrijk, Duitsland, Ierland, Italië, Noorwegen, Spanje, Zweden en het Verenigd Koninkrijk. Nederland staat niet in het overzicht van Meta vermeld. bron: https://www.security.nl

Aanvallers hebben van een IPv6-feature gebruikgemaakt voor het uitvoeren van man-in-the-middle (mitm) aanvallen om zo besmette updates onder doelwitten te verspreiden. Dat laat antivirusbedrijf ESET in een analyse weten. De feature in kwestie heet stateless address autoconfiguration (SLAAC). Het zorgt ervoor dat clients op het netwerk hun eigen ip-adres en gateway kunnen instellen, zonder dat hiervoor een DHCP-server is vereist. Wanneer een client online komt stuurt die een Router Solicitation bericht. Een router in het netwerk zal vervolgens met een Router Advertisement (RA) bericht antwoorden. Dit bericht bevat onder andere informatie over de te gebruiken gateway en dns-servers. Bij de aanvallen die ESET ontdekte gebruikten de aanvallers een tool genaamd Spellbinder waarbij ze gespoofte RA-berichten naar doelwitten stuurden, waardoor de machines van deze doelwitten verbinding maakten met servers van de aanvallers. De gespoofte RA-berichten bevatten een gateway die van de aanvallers is en vervolgens het verkeer kan onderscheppen. Wanneer software op het systeem van het doelwit via http op beschikbare updates controleert wordt dit verzoek naar een malafide server doorgestuurd, die vervolgens een besmette update als antwoord geeft. Deze besmette update wordt vervolgens op het systeem van de gebruiker uitgevoerd, wat leidt tot de installatie van een backdoor waarmee de aanvallers controle over het systeem krijgen. Volgens ESET is de aanval onder andere uitgevoerd tegen gebruikers van de Chinese keyboard-app Sogou. Daarnaast hebben de aanvallers het ook voorzien op domeinen van Tencent, Baidu, Xunlei, Youku, iQIYI, Kingsoft, Mango TV, Funshion, Yuodao, Xiaomi, Xiaomi Miui, PPLive, Meitu, Quihoo 360 en Baofeng. De virusbestrijder stelt dat er aanvallen zijn uitgevoerd tegen individuen, gokbedrijven en onbekende entiteiten in de Filipijnen, Cambodja, de Verenigde Arabische Emiraten, China en Hongkong. Al in 2011 werd gewaarschuwd voor het kunnen gebruiken van SLAAC bij aanvallen. bron: https://www.security.nl

SonicWall SMA100 SSL-VPN's worden actief aangevallen via een kritiek path traversal-lek, alsmede een command injection-kwetsbaarheid, zo waarschuwt het bedrijf. Afgelopen december verscheen er een beveiligingsupdate voor het path traversal-lek, aangeduid als CVE-2024-38475. De SMA is een gateway waarmee medewerkers vanaf allerlei willekeurige apparaten op afstand toegang tot de netwerken en cloudomgevingen van hun organisatie kunnen krijgen. Het biedt verschillende functies, zoals een vpn. CVE-2024-38475 betreft een path traversal-kwetsbaarheid waardoor een aanvaller URL's kan mappen aan bestandssysteemlocaties die de server mag aanbieden, aldus het beveiligingsbulletin van 3 december. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Volgens SonicWall heeft verder onderzoek uitgewezen dat de kwetsbaarheid ook is te gebruiken om ongeautoriseerde toegang tot bepaalde bestanden te krijgen waardoor het mogelijk is om sessies te kapen. Deze week werd het beveiligingsbulletin door SonicWall bijgewerkt. Het bedrijf meldt nu actief misbruik van het beveiligingslek en adviseert klanten om hun SMA-apparaten op ongeautoriseerde logins te controleren. Details over het waargenomen misbruik zijn niet door SonicWall gegeven. Daarnaast werd ook een ander beveiligingsbulletin voorzien van een melding over actief misbruik. Het gaat om CVE-2023-44221. Via dit lek kan een aanvaller die al toegang tot het systeem heeft OS-commando's uitvoeren en het systeem zo verder compromitteren. Voor dit beveiligingslek, met een impactscore van 7,2, is sinds 4 december 2023 een update beschikbaar. bron: https://www.security.nl

Mozilla is een petitie gestart waarin het overheden oproept om encryptie-backdoors en clientside-scanning te verwerpen, encryptie en het recht op privacy te ondersteunen en voor 'digitale uitdagingen' samen te werken met cryptografen en privacyexperts. "Onze privégesprekken, persoonlijke data en digitale veiligheid worden aangevallen. Wereldwijd proberen overheden encryptie te ondermijnen", aldus de Firefox-ontwikkelaar die met de petitie naar eigen zeggen encryptie wereldwijd wil beschermen. "Deze aanvallen worden onder het mom van veiligheid gerechtvaardigd, maar in werkelijkheid maakt het ondermijnen van encryptie iedereen minder veilig", gaat Mozilla verder. De Firefox-ontwikkelaar noemt het opvallend dat de aanvallen van democratische overheden afkomstig zijn. "Op een moment dat digitale rechten wereldwijd onder druk staan, zouden deze leiders onze vrijheden moeten beschermen, ze niet ondermijnen." Mozilla, dat over een zorgwekkende ontwikkeling spreekt, wijst onder andere naar plannen van het Verenigd Koninkrijk, Frankrijk, Zweden, Verenigde Staten en de Europese Unie. Wat Mozilla precies met de petitie van plan is laat het niet weten. Deelnemers wordt ook om een donatie gevraagd. bron: https://www.security.nl

Het Tor Project, de organisatie achter het Tor-netwerk en Tor Browser, is een nieuwe donatiecampagne gestart, waarbij het hoopt een bedrag van 75.000 dollar op te halen. Dagelijks maken 2,5 miljoen mensen gebruik van het Tor-netwerk om hun privacy te beschermen en gecensureerde websites te bezoeken. In Nederland zou het om zo'n 75.000 gebruikers gaan. Hoewel miljoenen mensen van het netwerk gebruikmaken zegt het Tor Project slechts zevenduizend jaarlijkse donateurs te hebben. Als non-profitorganisatie is het Tor Project volledig afhankelijk van giften. Een groot deel van de financiering is afkomstig van de Amerikaanse overheid. Om die afhankelijkheid te verminderen vraagt het Tor Project geregeld om donaties. De nieuwste campagne heeft als doel om 75.000 dollar en vijftienhonderd nieuwe jaarlijkse donateurs binnen te halen. Wie 25 dollar doneert krijgt een 'Privacy is Possible' sticker. Het Tor Project stelt dat het belangrijk is dat internetgebruikers zich tegen surveillance door Big Tech verzetten en niet bij de pakken neerzitten. "Machthebbers profiteren van dit soort hopeloosheid. Dat je je privacy voor altijd opgeeft is de grootste hoop van Big Tech." bron: https://www.security.nl

Honderden SAP NetWeaver-installaties die vanaf internet toegankelijk zijn bevatten een zeer kritieke kwetsbaarheid waardoor systemen op afstand zijn te compromitteren, zo laat The Shadowserver Foundation op basis van eigen onderzoek weten. SAP kwam vorige week met een noodpatch voor het probleem, aangeduid als CVE-2025-31324. SAP Netweaver is een platform voor het draaien van SAP-applicaties. Via het beveiligingslek kan een ongeautoriseerde aanvaller onbeperkt bestanden naar het systeem uploaden en die vervolgens uitvoeren. Zo kan een aanvaller gevoelige informatie stelen of bijvoorbeeld ransomware uitrollen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. The Shadowsever Foundation is een stichting die zich bezighoudt met de bestrijding van cybercrime en doet geregeld onderzoek naar kwetsbare systemen op internet. Voor het laatste onderzoek werd een online scan naar kwetsbare NetWeaver-installaties uitgevoerd. Dit leverde 454 ip-adressen op, waarvan dertien in Nederland. Het grootste deel van de kwetsbare installaties bevindt zich in de Verenigde Staten, India en Australië. Organisaties die door The Shadowsever Foundation over kwetsbare installaties worden ingelicht krijgen het advies om op de aanwezigheid van webshells te controleren. Dit zijn programma's die aanvallers op kwetsbare servers installeren om zo toegang te behouden en verdere aanvallen uit te voeren. bron: https://www.security.nl

Beheerders van op WordPress-gebaseerde webwinkels zijn het doelwit van een gerichte phishingaanval, zo laten Woocommerce en securitybedrijf Patchstack weten. Het gaat dan specifiek om webshops die van WooCommerce gebruikmaken. WooCommerce is een plug-in die van WordPress-sites een webwinkel maakt. De plug-in is op meer dan acht miljoen WordPress-sites geïnstalleerd. De phishingaanval begint met een e-mail die van WooCommerce afkomstig lijkt en stelt dat er een kwetsbaarheid in het platform is ontdekt. Vervolgens laat het bericht weten dat het beveiligingslek ook in de website van de ontvanger aanwezig is. Om de website te beschermen wordt de ontvanger van de e-mail aangeraden een 'patch' te downloaden. De link in de e-mail wijst onder andere naar een domein genaamd 'woocommerce'. Daarbij gebruiken de aanvallers een accent op de 'e' om het domein legitiem te laten lijken. De malafide website lijkt op die van WooCommerce en biedt een zip-bestand aan dat claimt een beveiligingsupdate te zijn. Gebruikers moeten de "update" zelf installeren en activeren. In werkelijkheid is het een malafide plug-in die zichzelf in de lijst van geïnstalleerde plug-ins verbergt. Daarnaast wordt een nieuwe beheerder aangemaakt waarmee de aanvallers toegang tot de website hebben. Ook wordt er een webshell op de webserver geïnstalleerd om toegang te behouden. Woocommerce laat weten dat het bezig is om gebruikte phishingdomeinen offline te laten halen. Daarnaast adviseert het beheerders om updates alleen direct via het WordPress-dashboard of WooCommerce.com te installeren. bron: https://www.security.nl

Kwetsbaarheden in vpn-software blijven een zeer populair doelwit van aanvallers, zo stelt Mandiant. De helft van alle cyberincidenten die het securitybedrijf vorig jaar onderzocht begonnen via kwetsbaarheden of gestolen credentials. Als het om misbruik van beveiligingslekken gaat springen er volgens de onderzoekers vier kwetsbaarheden uit, namelijk in PAN-OS GlobalProtect van Palo Alto Networks (CVE-2024-3400), Connect Secure VPN van Ivanti (CVE-2023-46805 en CVE-2024-21887) en FortiClient EMS van Fortinet (CVE-2023-48788). GlobalProtect is net als Connect Secure een vpn-oplossing. FortiClient EMS is een oplossing waarmee beheerders systemen op afstand kunnen beheren. Drie van vier bovengenoemde kwetsbaarheden werden misbruikt voordat een beveiligingsupdate beschikbaar was. Daarbij stelt Mandiant dat de aanvallen vaak het werk waren van groepen die zich met cyberspionage bezighouden. Misbruik van kwetsbaarheden is al jaren de meestgebruikte methode voor aanvallers om organisaties binnen te dringen. Mandiant meldt echter een afname van phishing en een toename van gestolen credentials als tweede methode. Aanvallers maken bijvoorbeeld misbruik van inloggegevens die via datalekken op straat komen te liggen en ook bij andere systemen zijn te gebruiken omdat medewerkers hun wachtwoorden hergebruiken of gelekte inloggegevens niet wijzigen. Ook komt het voor dat wachtwoorden en session cookies door infostealer-malware worden gestolen. Volgens de onderzoekers laat dit dan ook het belang van multifactorauthenticatie (MFA) zien. Het onderzoek laat ook zien dat aanvallers gemiddeld elf dagen in een omgeving actief zijn voordat ze worden gedetecteerd, bijvoorbeeld omdat aanvallers als laatste stap ransomware uitrollen. Van alle getroffen organisaties die Mandiant onderzocht ontdekte 57 procent pas dat hun netwerk was gecompromitteerd nadat ze door een externe partij hierover waren ingelicht. Het gaat dan ook om criminelen die bedrijven laten weten dat hun gegevens zijn gestolen of versleuteld. Het rapport maakt nergens melding van het gebruik van 'AI' door criminelen. "Lang verhaal kort waarom AI ontbreekt in de dataset, is dat leveranciers deze dreiging enorm hebben overdreven. AI is8+ inhoud voor directeuren, en waarom zou je een raketwerper bouwen als je ook de sleutel vanonder de deurmat kunt pakken. Concentreer je op security fundamentals, aanvallers willen dat je bent afgeleid", zegt beveiligingsonderzoeker Kevin Beaumont over het rapport. bron: https://www.security.nl

Na de Autoriteit Persoonsgegevens heeft ook de Belgische privacytoezichthouder GBA gebruikers van Facebook en Instagram vandaag gewezen op de mogelijkheid om bezwaar te maken tegen het gebruik van hun gegevens voor het trainen van Meta's 'AI-modellen'. "Om zo doeltreffend mogelijk te zijn, moet dit recht vóór 27 mei 2025 worden uitgeoefend", aldus de GBA. Meta liet eerder weten dat het vanaf deze datum gegevens van Europese gebruikers gaat gebruiken. Het gaat dan om openbaar toegankelijke berichten, opmerkingen en foto's. "Als gebruikers niet willen dat hun openbaar toegankelijke activiteiten worden gebruikt om deze AI-systemen te trainen, moeten zij actief stappen ondernemen om bezwaar te maken tegen deze verwerking", legt de Gegevensbeschermingsautoriteit (GBA) uit. De Belgische privacytoezichthouder stelt ook dat alle online platforms die gebruikersgegevens gebruiken om 'AI-systemen' te ontwikkelen informatie moeten verstrekken over de mogelijkheid om bezwaar te maken tegen deze verwerking. Tevens moeten ze procedures beiden om ook daadwerkelijk bezwaar te maken. bron: https://www.security.nl

Microsoft heeft de omstreden Recall-functie aan een recente bètaversie van Windows 11 toegevoegd, maar het programma blijkt allerlei gevoelige data op te slaan, waaronder Citrix client-sessies, Signal-gesprekken en creditcardgegevens. Dat stelt beveiligingsonderzoeker Kevin Beaumont op basis van eigen onderzoek. Recall is een nieuwe 'AI-feature' van Microsoft, waarbij continu screenshots van het scherm van gebruikers worden gemaakt. De screenshots worden vervolgens door AI geanalyseerd en doorzoekbaar gemaakt. Microsoft omschrijft het als een 'fotografisch geheugen'. Experts gebruikten de term keylogger en privacynachtmerrie. Oorspronkelijk zou Recall standaard zijn ingeschakeld, maar vanwege de felle kritiek besloot Microsoft voor een opt-in te kiezen en aanvullende beveiligings- en privacymaatregelen toe te voegen. Zo is er een filter waarmee websites en apps van Recall kunnen worden uitgezonderd. Volgens Beaumont werkt het filter niet betrouwbaar. Zo werden zijn creditcardgegevens toch opgeslagen en geïndexeerd. De onderzoeker stelt dat dit mogelijk komt door het gebruik van Vivaldi als browser. Verder blijkt Recall ook alles op te slaan wat gebruikers in Signal doen, zoals verstuurde berichten. "Verdwijnende Signal- en WhatsApp-berichten worden nog steeds opgeslagen, net als verwijderde Teams-berichten." Tevens ontdekte Beaumont dat Recall Citrix client-sessies opslaat, ook als anti-screen capture staat ingeschakeld. Een ander kritiekpunt van de onderzoeker is de gebruikte beveiliging. Voor het inschakelen en instellen van Recall is de biometrische beveiliging van Windows Hello vereist. Dit is echter alleen voor de initiële setup. Vervolgens is Recall te starten met de PIN-ontgrendeloptie van Windows Hello. Een vingerafdruk of gezichtsscan is daardoor niet meer vereist, alleen een viercijferige code. Dit creëert volgens de onderzoeker een vals gevoel van veiligheid. Microsoft heeft de database-bestanden van Recall wel versleuteld, maar Beaumont maakt zich zorgen of dit aanvallers zal stoppen. "Als infostealers een manier vinden om automatisch iets van Recall te verkrijgen zal de hel losbarsten." De onderzoeker vindt dan ook dat mensen de risico's moeten begrijpen wanneer ze de feature inschakelen. Wanneer de definitieve versie van Recall voor de standaardversie van Windows 11 verschijnt is nog niet bekend. bron: https://www.security.nl

Google blijft trackingcookies in Chrome toestaan. Daarnaast zal de browser voor third-party cookies geen aparte prompt tonen. Dat heeft het techbedrijf bekendgemaakt. Trackingcookies spelen een belangrijke rol bij het volgen van gebruikers op internet en tonen van gerichte advertenties. Vanwege privacyzorgen worden dergelijke cookies door meerdere browsers inmiddels geblokkeerd. Google had plannen aangekondigd om trackingcookies in de eigen browser uit te faseren, maar kwam daar vorig jaar juli op terug. In een nieuwe update claimt Google nu dat het gebruik van 'privacy-verbeterende technologieën' is toegenomen en dat er 'nieuwe kansen' zijn verschenen om de 'browse-ervaring' van mensen door middel van 'AI' te beschermen. Verder stelt het techbedrijf dat het toezicht wereldwijd aanzienlijk is veranderd. "Als we al deze zaken in overweging nemen, hebben we de beslissing genomen om onze huidige aanpak te behouden met het aanbieden van de keuze aan gebruikers voor third-party cookies in Chrome, en zullen geen losse prompt voor third-party cookies uitrollen", aldus Google. Via een aparte pop-up zouden gebruikers dan third-party cookies kunnen weigeren of accepteren. Het techbedrijf ziet dit niet zitten. Volgens Google kunnen gebruikers zelf de beste optie via de browser instellen. Uit onderzoek blijkt echter dat minder dan vijf procent van de gebruikers instellingen aanpast. bron: https://www.security.nl

Mozilla kondigde vorig jaar aan dat het Firefox van meer 'lokale on-device AI-modellen' wil voorzien om de 'gebruikerservaring' te verbeteren. De Firefox-ontwikkelaar is nu een test gestart met experimentele on-device 'AI link previews'. De preview maakt een snapshot van wat erachter de link zit voordat die wordt geopend. Daarbij toont de 'AI' een samenvatting van de betreffende pagina en de verwachte leestijd. De initiële implementatie maakt gebruik van 'credentialless HTTPS requests' om de HTML van een pagina op te halen en verwerkt die vervolgens zonder de pagina te laden of scripts uit te voeren, laat Mozilla weten. "Hoewel we op dit moment geen cookies versturen, versturen we wel een custom x-firefox-ai header waardoor websites kunnen bepalen welke content te previewen is." Mozilla zegt dat de verwerking lokaal plaatsvindt. Daarbij wordt gebruikgemaakt van wllama (WebAssembly llama.cpp) met SmolLM2-360M van HuggingFace. De keuze hiervoor is gebaseerd op onder andere prestaties, relevantie en consistentie, aldus Mozilla. De eerste samenvatting zou gemiddeld binnen vier seconden moeten verschijnen. Gebruikers kunnen de prestaties verbeteren door het 'AI-model' van 369 megabyte eerst te downloaden. De previewfunctie is te testen in Firefox Labs 138. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Erlang/OTP SSH server is ook aanwezig in producten van Cisco, zo waarschuwt het netwerkbedrijf dat updates heeft uitgebracht om het probleem te verhelpen. Erlang is een programmeertaal en OTP is een verzameling Erlang libraries. Erlang/OTP biedt een ingebouwde SSH client en daemon. Het Secure Shell Protocol (SSH Protocol) is een protocol dat gebruikers op een beveiligde manier op bijvoorbeeld servers laat inloggen of op afstand machines beheren. Het beveiligingslek (CVE-2025-32433) bevindt zich in het verwerken van SSH-protocolberichten. Hierdoor kan een aanvaller ongeautoriseerde toegang tot kwetsbare SSH-servers krijgen en zonder geldige inloggegevens willekeurige commando's op de server uitvoeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. In het geval van Cisco blijken ConfD, ConfD Basic en Network Services Orchestrator (NSO) van Erlang/OTP SSH server gebruik te maken. Voor deze producten zijn updates beschikbaar. Daarnaast wordt op dit moment onderzocht of verschillende andere producten en apparatuur kwetsbaar zijn. Het gaat onder andere om ASR 5000 Series Routers, Catalyst Center, Small Business RV Series Routers, Expressway en TelePresence Video Communication Server (VCS). Cisco zegt het beveiligingsbulletin te zullen bijwerken als meer informatie beschikbaar komt. bron: https://www.security.nl

Statelijke actoren hebben bij verschillende spionagecampagnes gebruikgemaakt van phishingaanvallen, waarbij slachtoffers via social engineering worden verleid om malafide PowerShell-commando's op hun eigen systeem uit te voeren. Dat meldt securitybedrijf Proofpoint. Via de commando's wordt malware op het systeem geïnstalleerd. Cybercriminelen gebruiken de tactiek al enige tijd, maar nu wordt die ook door statelijke actoren ingezet, aldus de onderzoekers. Doelwitten ontvangen berichten of documenten die uiteindelijk naar een website leiden. Op deze website verschijnt een zogenaamde foutmelding of instructies om het zogenaamde probleem te verhelpen. Slachtoffers denken dat ze bijvoorbeeld een registratiecode kopiëren of een kwetsbaarheid verhelpen, maar in werkelijkheid start men PowerShell en voert een malafide commando uit waarmee malware wordt geïnstalleerd. De onderzoekers stellen dat net als bij andere criminele technieken statelijke actoren die uiteindelijk overnemen, waarbij ze zich ook als criminele groepen voordoen. Op dit moment stelt Proofpoint dat een beperkt aantal statelijke actoren er gebruik van maakt, maar het securitybedrijf verwacht dat het toepassen van PowerShell-commando's voor cyberspionage in de toekomst zal toenemen. bron: https://www.security.nl

Opera heeft een nieuwe feature toegevoegd waardoor het mogelijk is om browserdata bij het sluiten van de browser te verwijderen. Hierdoor wordt volgens de ontwikkelaars de privacy van gebruikers voorop gesteld. Mozilla Firefox biedt al jaren een dergelijk optie, die browsingdata en cookies verwijdert bij het sluiten van de browser. Google Chrome, dat net als Opera op de Chromium-browser is gebaseerd, geeft gebruikers niet de mogelijkheid hun gegevens bij het sluiten te wissen. "Voorrang geven aan de privacy van gebruikers, deze feature laat je automatisch geselecteerde history items bij het sluiten van de browser verwijderen. Kies welke gegevens je wilt verwijderen voor een zorgeloze schoonmaak die je privacy moeiteloos beschermt", aldus Opera. De feature is nu toegevoegd aan Opera 120.0.5510.0. bron: https://www.security.nl