Captain Kirk

Fabrikant van usb-sticks en ssd-schijven Team Group heeft een nieuwe externe ssd-schijf aangekondigd die is voorzien van een knop voor fysieke datavernietiging. Volgens Team Group is de "P35S Destroyed External SSD" bedoeld voor het onmiddellijk vernietigen van zeer gevoelige informatie in noodsituaties. Als mogelijke doelgroepen worden financiële professioneels, creators, militairen en politieambtenaren genoemd. De behuizing is voorzien van een knop, die via een schuifactie pas zichtbaar wordt, waarmee aanwezige data is te wissen en de NAND-chip is te vernietigen waar de data is opgeslagen. Om de "two-stage switch" te kunnen gebruiken moet de externe schijf op een computer zijn aangesloten. Wanneer het vernietigingsproces is gestart kan het niet meer worden gestopt en zal alle informatie op het apparaatje worden gewist, aldus de fabrikant. Hiervoor wordt gebruikgemaakt van interne elektronica. Daarnaast zal de schijf zelf ook niet meer te gebruiken zijn. Team Group benadrukt in de handleiding dat gebruikers de risico's van de P35S goed moet begrijpen (pdf). "Dit product is niet bedoeld voor doorsnee consumenten, back-ups van persoonlijke data of dagelijkse opslagdoeleinden." De P35S zal beschikbaar komen in verschillende groottes, van 256 gigabyte tot twee terabyte. Details over prijzen en beschikbaarheid zijn nog niet bekendgemaakt. Team Group zegt binnenkort met meer informatie te zullen komen. bron: https://www.security.nl

Een beveiligingslek in Fortinet FortiWeb wordt momenteel actief uitgebuit om zonder authenticatie nieuwe beheeraccounts aan te maken op kwetsbare apparaten. Het probleem is verholpen in versie 8.0.2 van FortiWeb. Fortinet lijkt echter geen ruchtbaarheid te hebben gegeven aan het lek. Het uitbuiten van de kwetsbaarheid is op 6 oktober opgemerkt door threat intelligence-bedrijf Defused. Het meldde dat een 'onbekende Fortinet-exploit' werd ingezet voor het aanmaken van beheerdersaccounts op kwetsbare systemen. Sindsdien is het aantal aanvallen toegenomen. Uit onderzoek van PwnDefend en Defused blijkt nu dat er gebruik wordt gemaakt van een path traversal kwetsbaarheid. Ook onderzoekers van watchTowr Labs melden dat het lek wordt uitgebuit. Zij tonen op X een video waarin de exploit en een succesvolle inlog met een via het exploit aangemaakt beheerdersaccount worden getoond. watchTowr Labs publiceert ook de FortiWeb Authentication Bypass Artifact Generator, een tool die de kwetsbaarheid probeert uit te buiten door een admin-account aan te maken met een willekeurige gebruikersnaam van acht tekens. Rapid7 testte de exploit op meerdere versies van FortiWeb. Hieruit blijkt dat FortiWeb-versies 8.0.1 en eerder kwetsbaar zijn. Het lek is gedicht in versie 8.0.2 van de software, die naar verluid eind oktober is uitgebracht. Opvallend is dat er door Fortinet geen melding lijkt te zijn gemaakt van de kwetsbaarheid of het verhelpen hiervan. bron: https://www.security.nl

Tienduizenden malafide npm-packages zijn verspreid die een zelfreplicerende worm bevatten. De packages zijn allen voorzien van een naam gerelateerd aan Indonesisch eten, en wordt daarom ook wel de IndonesianFoods-worm genoemd. De worm is ontwikkeld om zichzelf automatisch via npm-packages verder te verspreiden, waarschuwt SourceCodeRed. De malware genereert hierbij een willekeurige naam, past package.json-bestanden aan en voegt aan zijn bestandsnaam een willekeurig versienummer toe. Vervolgens publiceert de worm de package. SourceCodeRed wijst op 43.900 packages die de worm bevatten, die zijn gepubliceerd met behulp van 11 verschillende accounts. JFrog wijst zelfs op meer dan 80.000 varianten verspreid vanaf 18 gebruikersaccounts. Deze werkwijze wordt continu herhaald, waardoor het aantal malafide npm-packages dat de worm bevat snel groeit. Ongeveer iedere zeven seconden wordt een nieuwe package gepubliceerd, waardoor de npm-registry wordt overspoeld met malafide packages. De worm is hierdoor breed verspreid, wat het risico vergroot dat een ontwikkelaar een van de malafide packages per ongeluk installeert en de worm zijn weg weet te vinden naar legitieme software. Het doel van de campagne is vooralsnog onduidelijk. JFrog waarschuwt dat het echter om een proef kan gaan voor een latere campagne waarbij dezelfde infrastructuur wordt gebruikt voor het afleveren van schadelijke payloads. bron: https://www.security.nl

Microsoft voegt native ondersteuning voor passkeymanagers toe aan Windows 11. De ondersteuning is toegevoegd in de Windows November 2025 security update. Gebruikers bepalen zelf welke passkeymanager zij willen instellen. Microsoft biedt zelf Microsoft Password Manager aan, maar ook passkeymanagers van derde partijen worden ondersteund. De ondersteuning maakt het onder meer mogelijk met behulp van Windows Hello passkeys te creëren en hiermee in te loggen. Daarnaast is Microsoft Password Manager als plugin geïntegreerd in Windows 11. Gebruikers kunnen de passkeymanager hierdoor gebruiken in iedere app die ondersteuning biedt voor passkeys, zoals Microsoft Edge of andere webbrowsers. bron: https://www.security.nl

Google neemt juridische stappen om een phishing-as-a-service genaamd Lighthouse uit de lucht te halen. Via de dienst kunnen aanvallers tegen betaling smishing-aanvallen uitvoeren, waarbij via sms phishingpogingen worden uitgevoerd. Het doel daarbij is de diefstal van financiële gegevens. Lighthouse is gericht op het genereren en uitrollen van enorme smishing-campagnes, meldt Google. Aanvallers versturen daarbij een sms-bericht naar slachtoffers, waarin zij worden verleid op een link te klikken en informatie zoals inloggegevens of bankgegevens te delen. De gebruikte berichten en webpagina's worden vaak verstuurd uit naam van bekende bedrijven, waaronder die van Google. Het techbedrijf meldt 107 websitetemplates te hebben ontdekt waarbij logo's van Google worden vertoond op malafide inlogschermen. In totaal zijn door Lighthouse wereldwijd ruim een miljoen slachtoffers gemaakt in meer dan 120 landen. Daarbij zijn op grote schaal creditcardgegevens gestolen. Google spreekt over alleen al in de VS zo'n 12,7 tot 115 miljoen creditcardgegevens. Sinds 2020 is het aantal smishing-aanvallen vervijfvoudigd. Google meldt juridische stappen te zetten om de kerninfrastructuur van Lighthouse te ontmantelen. Het dient onder meer claims in onder de Amerikaanse Racketeer Influenced and Corrupt Organizations Act, de Lanham Act en de Computer Fraud and Abuse Act. bron: https://www.security.nl

De Citrix Bleed 2 kwetsbaarheid (CVE-2025-5777) en een zero-day lek in een ongedocumenteerde endpoint van Cisco Identity Services Engine (ISE) (CVE-2025-20337) zijn door aanvallers uitgebuit voordat deze in de openbaarheid zijn gebracht, meldt het threat intelligence-team van Amazon. Exploitatiepogingen zijn door de MadPot-honeypotservice van Amazon al voor de publicatie opgemerkt. Citrix Bleed 2 is een kwetsbaarheid in NetScaler ADC en Gateway, die op 17 juni 2025 door Citrix is gedicht. Uit onderzoek van onder meer BleepingComputer bleek eerder al dat de kwetsbaarheid enkele weken vooraf aan de publicatie actief is uitgebuit. Dit bevestigt het threat intelligence-team van Amazon nu, dat daarbij ook meldt dat een kwetsbaarheid in Cisco ISE eveneens voor publicatie is uitgebuit. CVE-2025-20337 maakt gebruik van een ongedocumenteerde endpoint die kwetsbare deserialisatielogica gebruikt. Het lek stelt aanvallers in staat zonder authenticatie code op afstand uit te voeren op kwetsbare implementaties. Zo kunnen kwaadwillenden beheerdersrechten verkrijgen op gecompromitteerde systemen. Het threat intelligence-team meldt dat de aanvallers een op maat gemaakte backdoor hebben ingezet. Het gaat daarbij om een aangepaste webshell, die is vermomd als een legitiem Cisco ISE-onderdeel, genaamd IdentityAuditAction. De webshell maakt onder meer gebruik van geavanceerde ontwijkingstechnieken. De backdoor werkt volledig in het geheugen en laat hierdoor minimale forensische sporen na. Ook past de backdoor Java-reflectie toe om zichzelf te injecteren in actieve threads en monitort het HTTP-verzoeken op de Tomcat-server. Ook wordt DES-versleuteling met niet-standaard Base64-codering ingezet. Het team meldt ook dat de tools die de aanvallers inzetten wijzen op gedetailleerde kennis van enterprise Java-applicaties, Tomcat-interne werking en de architectuur van Cisco ISE. Amazon vermoedt dat de aanvallers over veel financiering beschikken, aangezien zij meerdere zeroday-lekken hebben ingezet. bron: https://www.security.nl

Synology heeft een kwetsbaarheid in BeeStation OS verholpen die aanvallers de mogelijkheid biedt op afstand willekeurige code uit te voeren. Het gaat om CVE-2025-12686, een lek dat in oktober werd ontdekt tijdens de Pwn2Own-wedstrijd. BeeStation OS is het besturingssysteem dat draait op de BeeStation-NAS-systemen van Synology. Het lek werd gevonden door securitybedrijf Synacktiv, dat op Pwn2Own liet zien hoe een aanvaller met toegang tot het NAS-systeem code met rootrechten kan uitvoeren. Het bedrijf ontving voor de ontdekking een beloning van 40.000 dollar. De kwetsbaarheid is aanwezig in versie 1.0 tot en met 1.3 van BeeStation OS. Het lek krijgt een CVSS-score van 9,8 en is ingeschaald als kritiek. De kwetsbaarheid is verholpen in versie 1.3.2-65648 van BeeStation OS. Synology adviseert gebruikers om zo snel mogelijk te updaten naar deze nieuwste versie. bron: https://www.security.nl

Hotelklanten zijn wereldwijd het doelwit van een phishingcampagne, zo waarschuwt beveiligingsbedrijf Sekoia. Aanvallers maken gebruik van gecompromitteerde Booking.com-accounts van hotels of sturen berichten via WhatsApp. In veel gevallen beschikken ze over persoonlijke gegevens van klanten, zoals identiteitsinformatie of reserveringsdetails. Dit vergroot de geloofwaardigheid van de phishingaanvallen aanzienlijk. Volgens onderzoekers van Sekoia maakt deze campagne deel uit van een bredere operatie waarbij de malware PureRAT wordt verspreid met als doel het stelen van gegevens. De malware is vermoedelijk via e-mails naar hotelsystemen gestuurd, waarbij medewerkers vermoedelijk onbewust via de zogenaamde ClickFix-methode de malware hebben geïnstalleerd. In de e-mail is de huisstijl van Booking.com zorgvuldig nagebootst om de mails geloofwaardiger te laten lijken. Met behulp van de malware zijn vervolgens inloggegevens voor platforms als Booking.com en Expedia buitgemaakt. Deze gestolen gegevens zijn vervolgens online doorverkocht of direct ingezet voor het opzetten van phishingaanvallen op hotelklanten. Door toegang tot de hotelaccount kregen de aanvallers inzicht in de klantgegevens, die vervolgens zijn gebruikt bij de phishingaanvallen. Tijdens deze aanvallen ontvangen klanten een bericht waarin wordt gesteld dat er een probleem is met de betaling of verificatie van hun reservering. De aanvallers dreigen de reservering te annuleren, tenzij de klant zijn gegevens opnieuw bevestigt. Hotelklanten zijn overigens al lange tijd doelwit van phishingmails die zich voordoen als Booking.com. Zo waarschuwde de Fraudehelpdesk begin dit jaar nog voor een toename in het aantal meldingen van dergelijke fraude. Ook Microsoft waarschuwde in maart nog voor een vergelijkbare phishingcampagne waarbij Booking.com-klanten het doelwit zijn. bron: https://www.security.nl

Microsoft verhelpt deze maand meerdere beveiligingslekken, waaronder één kwetsbaarheid die actief wordt misbruikt. Het gaat om een kwetsbaarheid in Windows-kernel (CVE-2025-62215), dat aanvallers de mogelijkheid geeft rechten te verhogen. De ernst van het lek is beoordeeld met een CVSS-score van 7,8. Daarnaast heeft Microsoft verschillende kritieke kwetsbaarheden gedicht. Het gaat onder meer om een heap-based buffer overflow in de Microsoft Graphics Component (CVE-2025-60724), CVSS-score 9,8, die kwaadwillenden de mogelijkheid geeft code uit te voeren via het netwerk. Daarnaast is een ontbrekende autorisatie in Nuance PowerScribe 360 (CVE-2025-30398), CVSS-score 8,1, aangepakt, die aanvallers in staat stelde informatie te stelen via API-calls. Een zogeheten use-after-free-fout in Microsoft Office-applicaties (CVE-2025-62199), CVSS-score 7,8, stelde aanvallers in staat lokaal code uit te voeren op een kwetsbaar werkstation. Ook is een use-after-free-fout in de Windows DirectX Graphics Kernel (CVE-2025-60716), CVSS-score 7,0, gedicht, die het mogelijk maakte rechten te verhogen. Tot slot dicht Microsoft een lek in Visual Studio, waarmee kwaadwillenden lokaal code kunnen uitvoeren (CVE-2025-62214), CVSS-score 6,7. Andere belangrijke beveiligingslekken die zijn gedicht: CVE-2025-59512 – Maakt het ophogen van rechten mogelijk in het Customer Experience Improvement Program CVE-2025-60705 – Maakt het ophogen van rechten mogelijk in de Windows CSC-service CVE-2025-60719 – Maakt het ophogen van rechten mogelijk in de Windows-hulpfunctiedriver voor WinSock CVE-2025-62217 – Maakt het ophogen van rechten mogelijk in de Windows-hulpfunctiedriver voor WinSock CVE-2025-62213 – Maakt het ophogen van rechten mogelijk in de Windows-hulpfunctiedriver voor WinSock Een overzicht van alle verholpen kwetsbaarheden is hier te vinden. bron: https://www.security.nl

SAP dicht een reeks kwetsbaarheden in haar producten. Het gaat onder meer om een drietal kritieke kwetsbaarheden in NetWeaver, SQL Anywhere Monitor en SAP Solution Manager. Het Nationaal Cyber Security Centrum (NCSC) waarschuwt dat de kwetsbaarheden misbruikt kunnen worden om ongeautoriseerde toegang te verkrijgen, schadelijke code uit te voeren of gevoelige informatie uit te lekken. De ernstigste kwetsbaarheid (CVE-2025-42944) zit volgens het NCSC in SAP NetWeaver. Het gaat om een deserialisatie-kwetsbaarheid, die het mogelijk maakt zonder authenticatie op afstand willekeurige code uit te voeren. Daarnaast is ook een kwetsbaarheid in SQL Anywhere Monitor (CVE-2025-42944) als kritiek beoordeeld. De code van de software blijken hardcoded inloggegevens te bevatten, die kwaadwillenden eveneens kunnen gebruiken om ongeautoriseerde toegang te verkrijgen en code uit te voeren op het systeem. Een derde kritieke kwetsbaarheid zit in SAP Solution Manager (CVE-2025-42887), dat aanvallers de mogelijkheid biedt malafide code te injecteren en zo de volledige controle over het systeem over te nemen. De volgende kwetsbaarheden zijn door SAP gedicht: CVE-2025-42890 - CVSS (v4) 9.3 CVE-2025-42944 - CVSS (v4) 9.3 CVE-2025-42887 - CVSS (v4) 8.7 CVE-2025-42940 - CVSS (v4) 6.9 CVE-2025-42895 - CVSS (v4) 4.6 CVE-2025-42892 - CVSS (v4) 8.5 CVE-2025-42894 - CVSS (v4) 8.5 CVE-2025-42884 - CVSS (v4) 6.9 CVE-2025-42924 - CVSS (v4) 5.3 CVE-2025-42893 - CVSS (v4) 5.3 CVE-2025-42886 - CVSS (v4) 5.3 CVE-2025-42885 - CVSS (v4) 6.9 CVE-2025-42888 - CVSS (v4) 4.6 CVE-2025-42889 - CVSS (v4) 5.3 CVE-2025-42919 - CVSS (v4) 6.9 CVE-2025-42897 - CVSS (v4) 6.9 CVE-2025-42899 - CVSS (v4) 5.3 CVE-2025-42882 - CVSS (v4) 5.3 CVE-2025-42883 - CVSS (v4) 5.1 bron: https://www.security.nl

Aan Noord-Korea gelieerde aanvallers verspreiden op grote schaal malafide bestanden vermomd als 'anti-stressprogramma's' via het Zuid-Koreaanse berichtenplatform KakaoTalk. De aanvallers bespioneren slachtoffers en proberen malware te verspreiden om zo Android-apparaten via Google Find Hub op afstand te wissen. De aanvallen zijn het werk van een groep die de KONNI APT-groep wordt genoemd. Dit melden onderzoekers van het Zuid-Koreaanse Genians Security Center (GSC). GSC wijst erop dat de doelwitten en gebruikte infrastructuur van KONNI overeenkomen met die van Kimsuky en APT37, waardoor onderzoekers dit als dezelfde groep aanmerken. De aanvallers doen zich voor als psychologen of Noord-Koreaanse mensenrechtenactivisten en verspreiden remote access tools (RAT's) vermomd als anti-stressprogramma's. De malware is specifiek gericht op Windows-apparaten en in veel gevallen gaat het om een spearphishing-aanval. Eenmaal binnen op het Windows-systeem proberen de aanvallers toegang te krijgen tot onder meer het Google-account van slachtoffers. Met behulp van dat account kunnen zij via Find Hub de realtime locatie van het slachtoffer traceren en het Android-apparaat op afstand wissen of resetten. Op het systeem zoeken de aanvallers tegelijkertijd naar KakaoTalk. Indien het slachtoffers hierop is ingelogd, wordt KakaoTalk gebruikt om de malware naar contactpersonen te verspreiden. De malware wordt direct na het resetten van het Android-apparaat van het slachtoffer naar diens contactpersonen verstuurd. Zo proberen de aanvallers te voorkomen dat het slachtoffer alarm slaat en contactpersonen waarschuwt. Google heeft verklaard dat de aanval geen misbruik maakt van een beveiligingslek in Android of Find Hub. Gebruikers wordt aangeraden om tweestapsverificatie of wachtwoorden in te schakelen om zich te beschermen tegen diefstal van inloggegevens. Gebruikers die een verhoogd risico lopen op gerichte aanvallen vanwege hun identiteit of activiteiten, wordt aangeraden zich aan te melden voor het Advanced Protection Program van Google. bron: https://www.security.nl

Google's Mandiant Threat Defense waarschuwt voor een actief uitgebuit lek (CVE-2025-12480) in Gladinet’s Triofox-platform voor bestandsdeling en toegang op afstand. Het gaat om een kritieke kwetsbaarheid, die het mogelijk maakt authenticatie te omzeilen en toegang te verkrijgen tot de configuratie van het platform. Dit maakt het onder meer mogelijk bestanden te uploaden en uit te voeren. Het lek is inmiddels gedicht. De onderzoekers melden dat het lek zeker sinds 24 augustus actief wordt uitgebuit door een aanvaller die als UNC6485 is geïdentificeerd. De kwetsbaarheid is een maand eerder door Gladinet gedicht in versie 16.7.10368.56560 van het platform. De aanvaller richt zich dus op ongepatchte implementaties van Triofox. De aanvaller gebruikt het lek volgens Mandiant Threat Defense om toegang te verkrijgen tot de configuratiepagina's van Triofox. Hier maakt de aanvaller vervolgens een nieuw beheerdersaccount aan, dat vervolgens wordt gebruikt voor het uploaden en uitvoeren van malafide bestanden. Voor het uitvoeren van de bestanden wordt een installatiewizard voor antivirussoftware ingezet. Deze installatie biedt de mogelijkheid een pad op te geven naar een specifieke antivirus-engine. Door hier het pad naar een malafide bestand op te geven kan dit bestand worden uitgevoerd. Het doel van de aanval is vooralsnog onduidelijk. Mandiant Threat Defense adviseert beheerders installaties van Triofox zo snel mogelijk te updaten naar de nieuwste versie, waarin het lek is gedicht. bron: https://www.security.nl

In negen packages op NuGet zijn malafide payloads ontdekt. De malware bevat een timer die de payloads activeert in 2027 of 2028. De packages zijn gericht op het saboteren van databases en Siemens S7 industriële regelapparatuur. De packages zijn ontdekt door onderzoekers van securitybedrijf Socket. De packages omvatten grotendeels legitieme code en bevatten werkende functionaliteiten. In de code is echter ook een malafide payload van slechts 20 regels code verstopt. Deze payload laadt pas vanaf een ingestelde datum, die per package varieert. De datum ligt tussen 8 augustus 2027 en 29 november 2028. De payload laadt niet standaard maar alleen indien een applicatie een database-query of PLC-taak uitvoert. Wanneer de payload vervolgens laadt, wordt allereerst een willekeurig nummer tussen 1 en 100 gegenereerd. Is dit nummer hoger dan 80 dan wordt het hostproces gestopt en zo een crash veroorzaakt. Met deze werkwijze lijkt de maker zijn sabotageactie te willen vermommen als een connectiviteits- of hardwareproblemen, vermoedelijk om detectie te vermijden. De packages zijn op NuGet gepubliceerd door een ontwikkelaar die zichzelf shanhai666 noemt. Onder deze naam zijn in totaal 12 packages op NuGet gepubliceerd. Negen daarvan omvatten malafide code: agentsSqlUnicorn.Core agentsSqlDbRepository agentsSqlLiteRepository agentsSqlUnicornCoreTest agentsSqlUnicornCore agentsSqlRepository agentsMyDbRepository agentsMCDbRepository agentsSharp7Extend De packages in kwestie zijn inmiddels verwijderd van NuGet; een waarschuwing op de pagina's meldt dat er malware in de packages is aangetroffen. Socket adviseert organisaties er vanuit te gaan dat systemen waarop deze packages geïnstalleerd waren gecompromitteerd zijn en raadt aan maatregelen te nemen. bron: https://www.security.nl

Mozilla neemt in zijn webbrowser Firefox aanvullende maatregelen tegen browser fingerprinting. Deze methode maakt het mogelijk een gebruiker te volgen zonder dat hiervoor cookies nodig zijn. Door meer informatie over het systeem van gebruikers af te schermen wil Mozilla het voor onbevoegden moeilijker maken een gebruiker te volgen. Bij browser fingerprinting wordt een digitale identiteit van een gebruiker gecreëerd door allerlei details over het systeem van de gebruiker te verzamelen. Denk hierbij aan de ingestelde tijdzone en hardwarematige kenmerken. Hierdoor ontstaat een soort vingerafdruk waarmee gebruikers kunnen worden geïdentificeerd wanneer zij een website bezoeken, ook indien zij een nieuwe browsersessie starten. Mozilla meldt dat gebruikers zo maandenlang kunnen worden gevolgd. Mozilla neemt al langer maatregelen om browser fingerprinting tegen te gaan. Naast het blokkeren van trackers gaat het onder meer om het afschermen van gegevens met betrekking tot je systeem, zoals de wijze waarop de GPU afbeeldingen weergeeft en welke lettertypes op een systeem zijn geïnstalleerd. Hier zijn de afgelopen tijd aanvullende maatregelen aan toegevoegd. Denk daarbij aan het afschermen van het aantal cores dat de CPU heeft, het aantal vingers dat een touchscreen gelijktijdig kan registreren en de afmetingen van het dock of de taakbalk. Een overzicht van alle wijzigingen is hier te vinden. bron: https://www.security.nl

Cisco heeft beveiligingsupdates uitgebracht voor een kritieke kwetsbaarheid in Unified Contact Center Express (UCCX) waardoor een ongeauthenticeerde aanvaller op afstand volledige controle over het systeem kan krijgen. UCCX is een oplossing van Cisco waarmee mkb-bedrijven een callcenter kunnen opzetten. De software bevat twee kritieke kwetsbaarheden, aangeduid als CVE-2025-20354 en CVE-2025-20358. De gevaarlijkste kwetsbaarheid van de twee is CVE-2025-20354. Via dit beveiligingslek kan een ongeauthenticeerde aanvaller willekeurige bestanden uploaden en vervolgens willekeurige commando's met rootrechten op de UCCX-server uitvoeren. Volgens Cisco wordt het probleem veroorzaakt door een tekort schietend authenticatiemechanisme. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De anderre kwetsbaarheid, CVE-2025-20358, maakt het mogelijk voor een aanvaller om willekeurige scripts op de UCCX-server uit te voeren met adminrechten. Dit beveiligingslek heeft een impactscore van 9.4 gekregen. Cisco zegt niet bekend te zijn met actief misbruik van de kwetsbaarheden en roept klanten op de beschikbaar gestelde beveiligingsupdates te installeren. bron: https://www.security.nl

Datalekzoekmachine Have I Been Pwned heeft 2 miljard gecompromitteerde e-mailadressen en 1,3 miljard gestolen wachtwoorden aan de al beschikbare data toegevoegd, zo laat oprichter Troy Hunt weten. Het gaat om inloggegevens afkomstig van credential stuffing-lijsten, die werden verzameld en gedeeld door een cybersecuritybedrijf. Bij credential stuffing worden eerder gelekte of gestolen e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven geen maatregelen tegen dergelijke geautomatiseerde aanvallen nemen. Cybersecuritybedrijf Synthient vond op internet meerdere lijsten die criminelen voor het uitvoeren van credential stuffing-aanvallen gebruiken. Het bedrijf deelde de lijsten met Have I Been Pwned. Via de zoekmachine kunnen mensen kijken of hun e-mailadres in een bekend datalek voorkomt of op andere wijze is gecompromitteerd, bijvoorbeeld door malware. In totaal bleken de lijsten bijna 2 miljard gecompromitteerde e-mailaccounts te bevatten en 1,3 miljard gestolen wachtwoorden. De bijna 2 miljard e-mailadressen zijn toegevoegd aan Have I Been Pwned. 76 procent van de e-mailadressen was al bij de datalekzoekmachine bekend. Naast de zoekmachine biedt Have I Been Pwned ook een dataset genaamd Pwned Passwords. Dit is een verzameling van wachtwoorden en wachtwoordhashes die in datalekken voorkomen. Beheerders kunnen bijvoorbeeld via de wachtwoordhashes kijken of die overeenkomen met de wachtwoordhashes in hun omgeving. Van de 1,3 miljard gestolen wachtwoorden waren er 625 miljoen nog niet bekend. bron: https://www.security.nl

WordPress-sites zijn het doelwit van aanvallen waarbij misbruik wordt gemaakt van een kritieke kwetsbaarheid in het Jobmonster Theme, zo laat securitybedrijf Wordfence weten. Via dit theme is een WordPress-website eenvoudig in een vacaturesite te veranderen. Volgens de ontwikkelaars is het theme ruim vijfduizend keer verkocht. De software bevat een kwetsbaarheid in de inlogfunctie, waardoor de identiteit van een gebruiker die wil inloggen niet goed wordt geverifieerd. Via het beveiligingslek kan een ongeauthenticeerde aanvaller de authenticatie omzeilen en toegang tot administrator- en gebruikersaccounts krijgen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De ontwikkelaars kwamen op 18 september met een update, maar in de release notes wordt nergens de aanwezigheid van het beveiligingslek gemeld. Wordfence waarschuwt dat aanvallers inmiddels actief misbruik van het lek maken. Misbruik van de kwetsbaarheid vereist wel dat de optie 'social login' staat ingeschakeld. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in CentOS Web Panel, ook bekend als CWP of Control Web Panel, zo meldt het Amerikaanse cyberagentschap CISA. CWP is een webhosting control panel voor het beheren van op Centos-gebaseerde servers. Een kritieke kwetsbaarheid in de software (CVE-2025-48703) maakt remote code execution door een ongeauthenticeerde aanvaller mogelijk. Enige vereiste is dat de aanvaller een geldige non-root gebruikersnaam weet. De impact van de command injection-kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.0. Afgelopen juni verscheen versie 0.9.8.1205 waarin het probleem is verholpen. De onderzoeker die de kwetsbaarheid ontdekte en rapporteerde stelt dat er afgelopen mei meer dan 200.000 CWP-installaties via zoekmachine Shodan.io op internet waren te vinden. Volgens het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security maken aanvallers actief misbruik van het beveiligingslek. Details over de aanvallen zijn niet gegeven. In juli maakten CWP-gebruikers al melding van misbruik. Amerikaanse overheidsinstanties die van CWP gebruikmaken zijn opgedragen de beveiligingsupdate voor 25 november te installeren. bron: https://www.security.nl

Wereldwijd zijn ruim veertienduizend Cisco-routers en -switches, waaronder 129 in Nederland, geïnfecteerd met de Badcandy-backdoor, zo stelt The Shadowserver Foundation op basis van eigen onderzoek. De Australische overheid kwam vorige week met een waarschuwing voor de backdoor, die via een uit 2023 stammende kwetsbaarheid op apparaten wordt geïnstalleerd. Hoewel de backdoor al geruime tijd bekend is, zijn er nog tal van Cisco-apparaten die ermee besmet zijn. Het beveiligingslek, aangeduid als CVE-2023-20198, bevindt zich in de web user interface van IOS XE, het besturingssysteem dat op routers en switches van Cisco draait. Via de kwetsbaarheid kan een ongeauthenticeerde aanvaller een account met 'privilege 15' aanmaken en zo controle over het systeem krijgen. Het probleem raakt zowel fysieke als virtuele devices die IOS XE draaien. De impact van CVE-2023-20198 is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Zodra de aanvallers achter de Badcandy-backdoor toegang tot een router of switch hebben installeren ze niet alleen de backdoor, maar patchen ook de kwetsbaarheid CVE-2023-20198. Zowel de backdoor als toegepaste patch kunnen een reboot van het apparaat niet overleven. Aanvallers kunnen echter via gestolen inloggegevens of andere kwetsbaarheden wel toegang tot een gecompromitteerd device behouden. The Shadowserver Foundation is een stichting die onderzoek doet naar kwetsbare systemen op interne en voert sinds de ontdekking van Badcandy scans uit naar gebackdoorde Cisco-apparaten. De afgelopen drie maanden lag het hoogtepunt op achttienduizend besmette routers en switches. Dat is inmiddels naar ruim veertienduizend gedaald. Daarvan bevinden zich er 129 in Nederland. Het grootste aantal werd in Mexico en de Verenigde Staten waargenomen. bron: https://www.security.nl

WordPress-sites worden actief aangevallen via een kritieke kwetsbaarheid in de plug-in Post SMTP. Een beveiligingsupdate is sinds een aantal dagen beschikbaar, maar zo'n tweehonderdduizend websites hebben die niet geïnstalleerd. Post SMTP is een plug-in waarmee het mogelijk is om een SMTP-mailer in WordPress in te stellen voor het versturen van e-mail. Meer dan 400.000 websites op internet maken er gebruik van. De kwetsbaarheid in de plug-in (CVE-2025-11833) zorgt ervoor dat een ongeauthenticeerde aanvaller op afstand elke gelogde e-mail kan lezen, waaronder e-mails met een link voor het resetten van wachtwoorden. Een aanvaller kan zo eerst een wachtwoordreset voor de administrator van de website aanvragen en vervolgens de verstuurde e-mail in de logbestanden lezen. Met de resetlink kan de aanvaller vervolgens een ander wachtwoord voor het admin-account instellen en zo de website overnemen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De ontwikkelaars van de plug-in kwamen op 29 oktober met een beveiligingsupdate. Volgens cybersecuritybedrijf Wordfence maken aanvallers sinds 1 november misbruik van het beveiligingslek. Cijfers van WordPress.org laten zien dat zo'n tweehonderdduizend websites de update nog niet hebben geïnstalleerd. bron: https://www.security.nl

Online leeftijdsverificatie dat in steeds meer landen verplicht wordt om websites te kunnen bezoeken is in werkelijkheid identiteitsverificatie, zo stelt de Amerikaanse burgerrechtenbeweging EFF. De beweging vindt dat politici die voor leeftijdsverificatie zijn niet weten hoe de technologie werkt. In verschillende landen moeten gebruikers inmiddels hun leeftijd laten verifiëren voor het bezoeken van allerlei soorten websites. Naast de term leeftijdsverificatie worden ook termen als "age assurance", "age gating" en "age estimation" gebruikt. Bij age estimation moeten gebruikers bijvoorbeeld hun gezicht laten scannen, waarbij een algoritme vervolgens bepaalt of de gebruiker de minimaal verplichte leeftijd heeft. In het geval van age assurance gaat het om alle manieren waarmee een online dienst "met enig vertrouwen" kan bepalen hoe oud een gebruiker is. Leeftijdsverificatie is volgens de EFF de meest indringende maatregel, waarbij gebruikers moeten bewijzen dat ze een bepaalde leeftijd hebben, in plaats van dat ze een bepaalde leeftijdsgrens hebben gepasseerd, zoals 18 jaar, legt de burgerrechtenbeweging uit. Verschillende landen en Amerikaanse staten verplichten in hun wetgeving nu leeftijdsverificatie, terwijl ze spreken over "age assurance". De EFF benadrukt dat leeftijdsverificatie niet alleen bevestigt dat iemand ouder is dan 18 jaar, het onthult ook de volledige identiteit van de gebruiker. "Je naam, adres, geboortedatum, foto - alles." Volgens de burgerrechtenbeweging is het belangrijk dat mensen beseffen dat leeftijdsverificatie eigenlijk identiteitsverificatie is. "Je bewijst niet alleen hoe oud je bent, je bewijst precies wie je bent." Massasurveillance Volgens de EFF zijn politici en techbedrijven er dol op om termen zoals "age gating", "age estimation" en "age assurance" door elkaar te gebruiken, omdat het verhult wat ze eigenlijk voorstellen. Een wet die "age assurance" verplicht klinkt redelijk en gematigd. "Maar als de wet age assurance omschrijft als verplicht verificatie via een legitimatiebewijs is het helemaal niet gematigd - het is massasurveillance", merkt de burgerrechtenbeweging op. Hetzelfde doet zich voor bij "age estimation". Dat klinkt in theorie privacyvriendelijk, maar als het algoritme er naast zit en de gebruiker wordt gedwongen om zich via een legitimatiebewijs te identificeren dan verdampt die privacybelofte, gaat de EFF verder. "De meeste beleidsmakers die deze voorstellen doen hebben geen idee hoe deze technologie eigenlijk werkt", zo stelt de EFF. "Ze lijken niet eens te beseffen dat de termen die ze gebruiken verschillende dingen betekenen." Door zaken als "age assurance", "age verification" en "age estimation" door elkaar te gebruiken maken ze hun onwetendheid op pijnlijke wijze duidelijk, merkt de burgerrechtenbeweging op. Afsluitend waarschuwt de EFF dat woorden belangrijk zijn, omdat het bepaalt hoe we over deze systemen denken. "Assurance" klinkt gemoedelijk. "Verificatie" klinkt officieel en "estimation" klinkt technisch en onpersoonlijk, en dat het niet precies is. "Maar bij alle opties wordt data verzameld en een metafysische leeftijdspoort tot het internet. De terminologie is bewust verwarrend, maar de belangen zijn duidelijk: het is jouw privacy, jouw data, en jouw mogelijkheid om het internet zonder continue identiteitscontroles te gebruiken. Laat onduidelijke taal niet verhullen wat deze systemen eigenlijk doen", besluit de Amerikaanse burgerrechtenbeweging haar pleidooi. bron: https://www.security.nl

LinkedIn is vandaag gestart met het gebruik van data van Europese gebruikers voor het trainen van generatieve AI-modellen. Het gaat om profielinformatie, zoals naam, foto, huidige functie, werkervaring, opleiding, locatie en vaardigheden. Openbare content, zoals posts, artikelen, reacties en polls, wordt ook meegenomen. LinkedIn zegt privéberichten niet te gebruiken. Gegevens van gebruikers worden standaard door LinkedIn gebruikt, tenzij gebruikers dit via de instellingen uitschakelen. De Autoriteit Persoonsgegevens maakt zich zorgen over de AI-training en had gebruikers eerder opgeroepen om van de opt-out-optie gebruik te maken en zo te voorkomen dat het platform de data kan gebruiken. "Zodra deze gegevens in de AI-systemen van LinkedIn zitten, zijn ze er niet zomaar meer uit te halen en verliezen gebruikers de controle over hun gegevens", aldus de toezichthouder. LinkedIn stelt dat gebruikers zich nog altijd kunnen afmelden, maar dat dan alleen betrekking heeft op nieuwe content. Een opt-out die vanaf vandaag wordt ingesteld geldt niet voor eerdere informatie en content die aan het platform is verstrekt, laat LinkedIn weten. Het platform zegt dat het een "gerechtvaardigd belang" heeft om de gegevens van gebruikers voor de AI-training te gebruiken. LinkedIn claimt dat de AI-features de "experience" van gebruikers zou moeten verbeteren en hen beter aan "opportunities" moeten koppelen. Zo zou het eenvoudiger voor recruiters moeten worden om mensen op de netwerksite te vinden. Ook zou het gebruikers moeten kunnen helpen bij het maken van content, zoals profiel-updates, berichten en postings. bron: https://www.security.nl

Het Nationaal Cyber Security Centrum (NCSC) waarschuwt voor actief misbruik van een kritieke kwetsbaarheid in Windows Server waarvoor Microsoft gisteren een noodpatch uitbracht. Via het beveiligingslek in de Windows Server Update Service (WSUS) kan een ongeauthenticeerde aanvaller kwetsbare Window-servers op afstand volledig overnemen, als voor de server de WSUS-rol is ingesteld. Iets dat niet standaard het geval is. "Het NCSC heeft van een vertrouwde partner vernomen dat op 24 oktober 2025 misbruik van CVE-2025-59287 is waargenomen. Tevens is er publieke proof-of-conceptcode beschikbaar voor de betreffende CVE, wat het risico op misbruik verhoogt. Het is goed gebruik om WSUS niet direct aan het internet te ontsluiten", zo laat het NCSC in een beveiligingsadvies over de kwetsbaarheid weten. Met WSUS hebben organisaties meer controle over de updates die ze binnen hun netwerk uitrollen. WSUS downloadt de updates bij Microsoft en distribueert ze vervolgens onder Windowscomputers op het netwerk. Hierdoor hoeven niet alle computers de updates apart te downloaden. Het is een integraal onderdeel van Windows Server. Een "deserialization" kwetsbaarheid bij het verwerken van onbetrouwbare data zorgt ervoor dat een ongeauthenticeerde aanvaller, op afstand code op een Windows-server kan uitvoeren met SYSTEM-rechten. Hiervoor volstaat het versturen van een speciaal geprepareerd request naar de Windows-server. De impact van CVE-2025-59287 is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Microsoft kwam op 14 oktober al met een beveiligingsupdate, maar heeft gisteren het beveiligingsbulletin aangepast en laat weten dat proof-of-concept exploitcode publiek beschikbaar is. Daarnaast heeft het techbedrijf een "out of band security update" uitgebracht om de kwetsbaarheid "volledig" te patchen. De patch is beschikbaar voor Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows Server 2022, 23H2 Edition (Server Core installatie) en Windows Server 2025. Microsoft had al bij het uitbrengen van de eerste update op 14 oktober aangegeven dat verwacht misbruik van het beveiligingslek "more likely" is. bron: https://www.security.nl

Overheden dringen steeds dieper het privéleven van burgers binnen, zo stelt de Belgische privacyexpert Joris Vaesen, tevens beheerder van de website chatcontrol.be. Via de site laat hij zien wat Belgische politici van de invoering van chatcontrole vinden, waarbij chatberichten van burgers worden gecontroleerd. "De essentie is dat de overheid de digitale communicatie van álle inwoners van de Europese Unie mag volgen", laat de privacyexpert over het voorstel tegenover de Belgische krant De Morgen weten. De Morgen had Vaesen uitgenodigd voor een gesprek met de Mechelse onderzoeksrechter Philippe Van Linthout en hoogleraar mensenrechten Sofie Royer. "Een voorstel dat bepaalt dat al mijn privécommunicatie automatisch wordt gecontroleerd, daar word ik misselijk van. Dat mensen naar mijn foto’s kijken, wil ik ook niet. Stel dat je met je kinderen op het strand een foto maakt, met of zonder onderbroekje, of je stuurt een foto van je kind dat in bad zit naar je partner: een scanner bestempelt dat meteen als kindermisbruikmateriaal. Dan beland je op een lijst of staat er een agent aan je deur. Laten we vurig hopen dat Europa nooit voor zo’n systeem kiest", zegt Van Linthout. Volgens de onderzoeksrechter is een gebrek aan kennis over het onderwerp bij poltici een probleem. "De gemiddelde politicus kan er niet over meepraten." Hij krijgt bijval van Vaesen die opmerkt dat de Vlaamse minister-president heeft erkend dat hij te weinig technische kennis heeft om dieper in te gaan op chatcontrole. "Hij geeft het tenminste toe, maar als burger voel ik mij dan wel erg kwetsbaar. De overheid wurmt zich almaar dieper in mijn privéleven: heb ik daar ooit voor gestemd? En kan ik daartegen stemmen? Blijkbaar niet." Royen waarschuwt ook voor de gevolgen van chatcontrole. "Het is niet alsof je brief wordt onderschept en in het postkantoor wordt gelezen. Nee, er zit iemand in je kamer die méékijkt als jij schrijft." Ze merkt op dat het in het strafrecht niet is toegestaan om zomaar iemands huis binnen te vallen om te zien of er drugs wordt gedeald. "Eerst moeten er concrete verdenkingen zijn tegen iemand, dan volgt een huiszoekingsbevel. Door de impact van technologie op onze samenleving, en doordat er steeds meer data worden gegenereerd, zien we een verschuiving naar proactief speurwerk. Iederéén wordt zo gecontroleerd, niet alleen verdachten." bron: https://www.security.nl

Criminelen maken gebruik van Linux-ransomware voor het versleutelen van Windowscomputers, zo meldt antivirusbedrijf Trend Micro. De aanvallen zijn het werk van een ransomwaregroep genaamd Qilin, die volgens de virusbestrijder dit jaar al 700 organisaties in 62 landen succesvol heeft aangevallen. De meeste slachtoffers bevinden zich in de Verenigde Staten, Frankrijk, Canada en het Verenigd Koninkrijk. De aanvallers maken gebruik van drie technieken om toegang tot de systemen van hun slachtoffers te krijgen. Het gaat om spear phishing, geldige inloggegevens, die bijvoorbeeld eerder zijn gestolen of via een bruteforce-aanval zijn achterhaald, en fake captcha's. Trend Micro identificeerde meerdere getroffen organisaties waar medewerkers in een malafide captcha waren getrapt. De captcha's stellen dat de gebruiker een commando op het systeem moet uitvoeren om te bewijzen dat hij geen robot is. In werkelijkheid wordt zo malware op het systeem geïnstalleerd. Zodra er toegang tot een systeem is verkregen past de ransomwaregroep de bij dit soort aanvallen gebruikelijke stappen toe, waarbij wordt geprobeerd om de rechten te verhogen en zich lateraal door het systeem te bewegen, totdat men bijvoorbeeld domain administrator is. Vervolgens wordt er data gestolen en als laatste de ransomware uitgerold. De Qilin-groep maakt sinds enige tijd ook gebruik van Linux-ransomware op Windowssystemen. Door deze werkwijze weten de aanvallers endpoint detectiesystemen te omzeilen die niet geconfigureerd zijn om het uitvoeren van Linux binaries via remote management tools tegen te gaan, aldus Trend Micro. Voor het uitvoeren van de Linux-ransomware op Windowssystemen maken de aanvallers gebruik van de remote management software van Splashtop, waarmee het mogelijk is om systemen op afstand te beheren. "De geavanceerde mogelijkheden van de Liunux-variant, gecombineerd met cross-platform uitrol via Splashtop Remote, vormt een aanzienlijk tactische evolutie gericht op hybride infrastructuur-omgevingen", zo stellen de onderzoekers. Zodra de aanval is afgerond laten de aanvallers een notitie achter waarin staat dat de organisatie moet betalen om openbaarmaking van de gestolen data te voorkomen. Voor de onderhandelingen over het losgeld bevat de notitie specifieke inloggegevens waarmee de getroffen organisatie op een communicatieportaal van de aanvallers kan inloggen. bron: https://www.security.nl