Captain Kirk

De Belgische regeringspartij N-VA is tegen chatcontrole en vindt dat België zich tijdens een eventuele stemming in oktober van stemming moet onthouden. "Chat control dreigt een monster te worden dat in je privacy inbreekt en dat je niet meer getemd krijg", zegt N-VA-Kamerlid Michael Freilich tegenover de Belgische krant HLN. In oktober wordt op Europees niveau mogelijk gestemd over een Deens voorstel dat chatdiensten kan verplichten om de inhoud van berichten die gebruikers versturen te controleren. Volgens de Europese burgerrechtenbeweging EDRi is het Deense voorstel in werkelijkheid een combinatie van de Belgische en Hongaarse voorstellen die eerder al werden gedaan. Deze voorstellen werden uiteindelijk niet in stemming gebracht omdat er onvoldoende voorstemmers waren. De Europese Commissie wil een wet invoeren waardoor chatdiensten verplicht worden om alle berichten van hun gebruikers te controleren. Europese wetgeving vindt plaats via een trialoog, waarbij de Europese Commissie, het Europees Parlement en de Raad van Ministers onderhandelen over wetgevende voorstellen. Het Europees Parlement zag het voorstel van de Europese Commissie voor chatcontrole niet zitten en kwam met een eigen voorstel, waar nog steeds kritiek op is, maar wat end-to-end versleutelde diensten uitzondert. Binnen de EU-lidstaten is nog altijd geen positie ingenomen. Omdat er onvoldoende voorstemmers waren heeft geen van de vorige EU-voorzitters hun voorstel over chatcontrole in stemming gebracht. Sinds 1 juli is Denemarken de EU-voorzitter en het land kwam meteen met een nieuw voorstel dat onder andere verplichte detectie bevat. Bovendien kan ook met betrekking tot nieuw materiaal op grond van dit voorstel een verplicht detectiebevel aan chatdiensten worden gegeven. Om het voorstel aangenomen te krijgen is een 'gekwalificeerde meerderheid' vereist. Een gekwalificeerde meerderheid is bereikt als vijftien lidstaten vóór stemmen én het voorstel wordt gesteund door lidstaten die samen tenminste 65 procent van de totale EU-bevolking vertegenwoordigen. In juli meldde Patrick Breyer van de Duitse Piratenpartij dat vijftien landen voor het Deense voorstel zullen stemmen. Nederland, Polen en Oostenrijk zijn tegen of neutraal en de overige landen hebben nog geen positie ingenomen. "N-VA zal zich verzetten tegen chat control in de huidige vorm, want het is ontspoord”, aldus Freilich. Van de andere partijen in de Belgische regering is bekend dat minister van Justitie Annelies Verlinden, van CD&V, juist voorstander van chatcontrole is. Volgens EDRi blijkt uit een verslag van het laatste overleg over het Deense voorstel dat de verdeling tussen voor- en tegenstanders niet veranderd is ten opzichte van de vorige periode. De poging van Denemarken lijkt dan ook meer op een PR-oefening dan een echte poging om beweging in de zaak te krijgen, laat de burgerrechtenbeweging verder weten. Duitsland Er wordt vooral gekeken naar de stem van Duitsland, dat de doorslag kan geven. Het land was eerder nog tegen chatcontrole, maar de nieuwe regering zou nog geen beslissing hebben genomen. "Als de Duitse regering instemt met het nieuw compromis, betekent dat waarschijnlijk dat de oppositie in de Raad het voorstel in deze fase niet langer zal kunnen tegenhouden", zegt Rejo Zenger van Bits of Freedom. "De volgende stap is in dat geval de geheime onderhandelingen tussen de Raad, het Europees Parlement en de Europese Commissie. De uitkomst daarvan is onvoorspelbaar. Wat wel vaststaat is dat we daarmee een stap dichter bij het moment komen waarop deze draconische maatregelen werkelijkheid worden", gaat Zenger verder. Hij verwacht dat als het voorstel zal worden aangenomen een Europese rechter het over een paar jaar ongeldig zal verklaren. bron: https://www.security.nl

Het Nationaal Cyber Security Centrum (NCSC) heeft een eerder gepubliceerd script aangepast zodat organisaties webshells op hun Citrix-systemen kunnen detecteren die daar via nieuwe kwetsbaarheden op zijn geplaatst. Webshells zijn malware waarmee een aanvaller toegang tot een gecompromitteerde server kan behouden, ook als die daarna wordt gepatcht, en verdere aanvallen uitvoeren. Het NCSC publiceerde op 13 augustus een eerste versie van het detectiescript voor het detecteren van webshells die via een beveiligingslek aangeduid als CVE-2025-6543 op Citrix-systemen waren geplaatst. Gisteren kwam Citrix met beveiligingsupdates voor drie nieuwe kwetsbaarheden, waarvan er één (CVE-2025-7775) al voor het uitkomen van de patches actief bij aanvallen is gebruikt. Naar aanleiding van de nieuwe kwetsbaarheden meldt het NCSC dat het detectiescript ook te gebruiken is om de aanwezigheid van webshells te detecteren die via de nieuwe beveiligingslekken op systemen zijn geplaatst. Er is daarbij ook gisteren een nieuwe versie van het script verschenen. CVE-2025-7775 betreft een kritieke kwetsbaarheid waardoor een ongeauthenticeerde aanvaller op afstand code op kwetsbare Citrix-systemen kan uitvoeren. Citrix stelt dat misbruik alleen bij bepaalde configuraties mogelijk is. "Het NCSC heeft nader onderzoek gedaan en dat toont aan dat de kwetsbare configuratie zeer veel voorkomt waardoor grootschalig misbruik waarschijnlijk wordt", laat het Digital Trust Center (DTC) van het ministerie van Economische Zaken weten. Via Citrix kunnen medewerkers van bedrijven en organisaties op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt veel voor thuiswerken gebruikt. De impact van een gecompromitteerd Citrix-systeem kan dan ook groot zijn. bron: https://www.security.nl

Citrix-systemen zijn aangevallen via een nieuwe kritieke kwetsbaarheid die tot remote code execution leidt, waardoor een aanvaller het systeem kan compromitteren, zo laat Citrix zelf weten. Het bedrijf heeft vandaag beveiligingsupdates uitgebracht om het probleem te verhelpen. De aanvallen waarvoor Citrix waarschuwt vonden plaats voordat de patch beschikbaar was. De kwetsbaarheid, aangeduid als CVE-2025-7775, betreft een buffer overflow in Citrix/NetScaler ADC en Citrix/NetScaler Gateway. Citrix ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. Via de Citrix Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. De impact van een gecompromitteerd Citrix-systeem kan dan ook groot zijn. Misbruik van de kwetsbaarheid hangt volgens Citrix af van de configuratie. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.2. Verdere details over het waargenomen misbruik, zoals het aantal getroffen klanten en sinds wanneer de aanvallen plaatsvinden, zijn niet door Citrix gegeven. "Er is een aantal nieuwe NetScaler-kwetsbaarheden die als zerodays worden misbruikt", zegt beveiligingsonderzoeker Kevin Beaumont. "Patches zijn nu beschikbaar." Volgens de onderzoeker wordt het lek gebruikt om Citrix-systemen met een webshell te infecteren. Via een webshell kan een aanvaller toegang tot een gecompromitteerd systeem behouden en verdere aanvallen uitvoeren, ook als het systeem later wordt gepatcht. Beaumont spreekt in zijn bericht op Mastodon over meerdere kwetsbaarheden. De updates van Citrix verhelpen in totaal drie beveiligingslekken, maar volgens het bedrijf wordt er alleen van CVE-2025-7775 misbruik gemaakt. Onlangs bleek dat aanvallers op Citrix-systemen van het Openbaar Ministerie hadden ingebroken en liet het Nationaal Cyber Security Centrum (NCSC) weten dat de Citrix-systemen van meerdere vitale Nederlandse organisaties via een kritieke kwetsbaarheid zijn gecompromitteerd. Het ging volgens het NCSC om CVE-2025-6543, waarvan de omschrijving, het onderliggende probleem en impactscore nagenoeg gelijk zijn aan die van CVE-2025-7775. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Docker Desktop maakt het mogelijk voor malafide containers om toegang tot het onderliggende host-systeem te krijgen. Het beveiligingslek (CVE-2025-9074) is vorige week met versie 4.44.3 gepatcht. Docker Desktop is een applicatie waarmee softwareontwikkelaars op een lokale machine applicaties in een container kunnen ontwikkelen en draaien. De kritieke kwetsbaarheid maakt het mogelijk voor een malicious container om de Docker Engine te benaderen en andere Docker containers te starten, zonder dat de Docker socket gemount moet zijn. Dit kan ervoor zorgen dat een aanvaller via de malicious container toegang tot het onderliggende host-systeem kan krijgen. Ook als Enhanced Container Isolation (ECI) staat ingeschakeld. Deze beveiligingsmaatregel moet juist voorkomen dat malicious containers het host-systeem kunnen compromitteren. "De kwetsbaarheid is op zichzelf vrij eenvoudig: De Docker Engine socket zou nooit toegankelijk voor onbetrouwbare code of gebruikers moeten zijn. Dit socket is de management API voor Docker en er toegang toe hebben geeft volledige toegang tot alles wat de Docker-applicatie kan doen", zegt onderzoeker Philippe Dugre. Een aanvaller zou zo in het ergste geval bestanden op de host kunnen lezen en schrijven. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. bron: https://www.security.nl

Er is een sterke toename van scans gericht tegen Microsoft RDP-services, wat mogelijk samenhangt met Amerikaanse onderwijsinstellingen en universiteiten die hun systemen weer online brengen. Dat stelt securitybedrijf GreyNoise op basis van eigen onderzoek. De scans zijn gericht tegen Microsoft RD Web Access en Microsoft RDP Web Client, die gebruikers via een browser toegang tot remote diensten geven. Het securitybedrijf zag op 24 augustus meer dan 30.000 unieke ip-adressen die op "timing flaws" testen, waarmee geldige gebruikersnamen zijn te achterhalen. Als eerste zoeken de aanvallers naar endpoints waarvan RD Web Access of de RDP Web Client vanaf het internet toegankelijk zijn. Vervolgens wordt er gekeken of tijdens de inlogprocedure informatie lekt waarmee geldige gebruikersnamen zijn te achterhalen. Een systeem kan bij een ongeldige gebruikersnaam meer of minder tijd nodig hebben dan bij een geldige gebruikersnaam, wat aanvallers kan vertellen dat een gebruikersnaam in het systeem bestaat of niet. Zodra de gebruikersnamen zijn bevestigd kunnen de aanvallers later proberen om hier door middel van credential stuffing, password spraying of bruteforce-aanvallen toegang tot te krijgen. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan. Password spraying is een techniek waarbij een aanvaller met veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen gebruikt een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Door deze techniek voorkomt de aanvaller dat een account wordt geblokkeerd en de aanval wordt opgemerkt. Vaak wordt er ook vanaf allerlei verschillende ip-adressen ingelogd. Volgens GreyNoise is de timing van de waargenomen scans geen toeval. In de Verenigde Staten start het schooljaar, waardoor scholen en universiteiten hun RDP-systemen weer online brengen en duizenden nieuwe accounts registreren. Deze omgevingen gebruiken volgens de onderzoekers vaak voorspelbare formats, wat het enumereren van de namen effectiever maakt. De onderzoekers merken op dat de scans alleen tegen Amerikaanse systemen zijn gericht. Daarnaast stellen ze dat pieken in het aantal scans tegen bepaalde systemen of platforms vaak worden opgevolgd door aanvallen of nieuwe kwetsbaarheden in de betreffende omgevingen. bron: https://www.security.nl

Het Amerikaanse cyberagentschap CISA waarschuwt voor actief misbruik van een kwetsbaarheid in Git waardoor een aanvaller code op systemen kan uitvoeren. Git is een populaire oplossing voor softwareontwikkelaars om code van een lokale repository naar een remote Git-repository te krijgen. Zo kunnen meerdere programmeurs aan de code werken. Het is ook mogelijk om een remote Git-repository naar een lokale machine of andere locatie te kopiëren. Het beveiligingslek, CVE-2025-48384, doet zich voor wanneer gebruikers nietsvermoedend een malafide repository met submodules via de --recursive flag klonen. Bij het verwerken van het .gitmodules bestand gaat Git niet goed om met configuratiewaarden en carriage return (\r of CR) karakters. Hierdoor kan een aanvaller de interne submodule paden manipuleren en Git naar onverwachte locaties op het filesystem laten schrijven. Het probleem doet zich voor bij bepaalde versies van Git voor macOS en Linux. Op 8 juli verschenen er beveiligingsupdates voor het probleem. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 8.1. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security laat weten dat er actief misbruik van het beveiligingslek wordt gemaakt. Details over de waargenomen aanvallen worden echter niet gegeven. Amerikaanse overheidsinstanties die met Git werken zijn opgedragen de patches voor 15 september te installeren. bron: https://www.security.nl

Onderzoekers van securitybedrijf Guardio hebben aangetoond hoe ze de AI-browser van Perplexity via een phishingmail op een phishingsite kunnen laten inloggen. Eerder hadden de makers van de Brave-browser laten zien hoe malafide prompts op een website zijn te gebruiken om informatie van gebruikers te stelen. De Comet-browser van Perplexity maakt het mogelijk om allerlei taken te automatiseren. Gebruikers kunnen de browser ook vragen om de inbox van een e-mailaccount te beheren. Onderzoekers van securitybedrijf Guardio hadden de AI-browser zo ingesteld om e-mails op 'to-do items' te controleren en die ook uit te voeren. Vervolgens verstuurden de onderzoekers vanaf een nieuw e-mailadres een 'phishingmail' die van de Amerikaanse bank Wells Fargo afkomstig leek. Het bericht vroeg de ontvanger om op de meegestuurde link in te loggen. Deze link wees naar een echte phishingsite, merken de onderzoekers op. Zodra de AI-browser de link verwerkt wordt die zonder enige verificatie geopend en worden automatisch de inloggegevens van de gebruiker ingevuld. "Door de gehele interactie van e-mail tot website af te handelen, staat Comet eigenlijk in voor de phishingpagina. De mens heeft nooit het verdachte adres van de afzender gezien, nooit over de link bewogen en had nooit een kans om aan het domein te twijfelen", aldus de onderzoekers. Indirect Prompt Injection De ontwikkelaars van de Brave-browser ontwikkelden een andere aanval op Comet, waarbij ze malafide prompts op Reddit plaatsten om zo Perplexity-accounts over te nemen. Wanneer de gebruiker de AI-browser vraagt om de Reddit-pagina samen te vatten, worden de aanwezige malafide prompts uitgevoerd en kan er uiteindelijk een one-time password worden gestolen dat toegang tot het account geeft. Volgens de onderzoekers laat de aanval zien dat traditionele aannames over websecurity niet van toepassing zijn op 'agentic AI'. Brave rapporteerde het probleem van 'Indirect Prompt Injection' aan Perplexity dat met een oplossing kwam. De onderzoekers kwamen vorige week met een update waarin ze stellen dat de betreffende aanval niet helemaal in de browser is verholpen. bron: https://www.security.nl

Securitybedrijven waarschuwen voor een advanced persistent threat (APT)-groep die .desktop-bestanden verstuurt om Linux-systemen mee te infecteren. Een tactiek die al een aantal jaren bekend is. Bij de aanval ontvangt het doelwit een e-mail met als bijlage een zip-bestand. Het zip-bestand bevat een bestand dat op een pdf-bestand lijkt, maar in werkelijkheid een .desktop-bestand is. Het bestand heeft een pdf-icoon en eindigt op .pdf.desktop. Een .desktop-bestand is een configuratiebestand dat in Linux-desktopomgevingen wordt gebruikt om applicatie shortcuts en launchers mee te definiëren. Het bevat ook een "Exec field" waarmee commando's kunnen worden uitgevoerd. Wanneer de gebruiker het malafide .desktop-bestand opent wordt er een bash commando dat in het Exec field staat uitgevoerd, dat in de achtergrond een payload downloadt. Deze payload downloadt een pdf-document van het internet en laat dit als afleidingsmanoeuvre aan de gebruiker zien, terwijl er in de achtergrond een malafide ELF executable wordt gedownload en uitgevoerd. Het ELF-bestand is malware waarmee de aanvallers allerlei data van het systeem kunnen stelen. Daarnaast worden aanpassingen uitgevoerd zodat de malware bij elke systeemstart wordt geladen, zo laten securitybedrijven Cyfirma en CloudSEK weten. Volgens de securitybedrijven zijn de aanvallen gericht tegen Indiase overheidsinstanties en het werk van een groep aanvallers genaamd APT36. Het zou om een vanuit Pakistan opererende groep gaan die sinds 2013 actief is. Organisaties worden onder andere aangeraden hun personeel cybersecurity awareness training te geven, met een nadruk op phishing-indicatoren en risicovolle Linux-bestandstypes. Daarnaast wordt het uitschakelen van .desktop-bestanden van onbetrouwbare bronnen aangeraden. Update Googles online virusscandienst VirusTotal waarschuwde een aantal maanden geleden voor een nieuwe aanvalsgolf waarbij .desktop-bestanden werden gebruikt. bron: https://www.security.nl

De Indiase autoriteiten hebben in samenwerking met de FBI, het Britse National Crime Agency (NCA) en Microsoft een callcenter opgerold dat werd gebruikt voor Microsoft-helpdeskfraude. Volgens het NCA werden via het callcenter in alleen het Verenigd Koninkrijk meer dan honderd slachtoffers gemaakt, die omgerekend voor omgerekend 450.000 euro werden opgelicht. Slachtoffers kregen een pop-up te zien dat hun computer was geïnfecteerd of gehackt. Vaak wordt bij deze pop-ups gevraagd een opgegeven telefoonnummer te bellen. Ook komt het voor dat de oplichters potentiële slachtoffers zelf bellen. De oplichters deden zich vervolgens voor als Microsoft-medewerker en boden vervolgens software aan om de problemen te verhelpen. Bij helpdeskfraude komt het ook geregeld voor dat oplichters toegang tot de bankrekening proberen te krijgen. Het National Crime Agency stelt dat de oplichters gebruikmaakten van gespoofte telefoonnummers of VoIP en het verkeer via servers in verschillende landen lieten lopen. Tijdens het onderzoek werd duidelijk dat de oplichters het ook op Amerikaanse burgers hadden gemunt. Het NCA, de FBI en Microsoft wisten een aantal hoofdverdachten te identificeren die zich in India bevinden. De data werd gedeeld met de Indiase autoriteiten die afgelopen maandag een inval bij het callcenter deden. bron: https://www.security.nl

Een kritieke kwetsbaarheid in de Fortinet FortiWeb web application firewall (WAF) maakt het mogelijk voor ongeauthenticeerde aanvallers om het apparaat op afstand over te nemen. Fortinet kwam deze week met updates voor het beveiligingslek, waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 9.6. Securitybedrijf watchTowr heeft vandaag uitgebreide technische details gedeeld hoe het lek is te misbruiken. FortiWeb is een apparaat dat applicaties tegen aanvallen moet beschermen. De kwetsbaarheid, CVE-2025-25257, betreft "klassiek SQL injection", aldus de onderzoekers van watchTowr. Bij SQL Injection kan een aanvaller SQL-opdrachten op een systeem uitvoeren, wat vaak mogelijk is omdat gebruikersinvoer niet goed wordt gevalideerd. SQL-Injection is een probleem dat al sinds 1998 bekend is. De ongeauthenticeerde SQL injection maakt ongeauthenticeerde remote command execution mogelijk, waardoor een aanvaller shell op het apparaat kan krijgen. Eind vorig jaar waarschuwde het Amerikaanse cyberagentschap CISA nog voor actief misbruik van een andere kwetsbaarheid in verschillende Fortinet-producten, waaronder FortiWeb. Organisaties worden opgeroepen de beschikbaar gestelde updates te installeren. Als workaround noemt Fortinet het uitschakelen van de HTTP/HTTPS admin-interface. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Wing FTP Server wordt actief misbruikt bij aanvallen en laat aanvallers kwetsbare servers volledig overnemen. Dat laat securitybedrijf Huntress weten. Een update voor de kwetsbaarheid is sinds 14 mei beschikbaar. Wing FTP Server is software voor het opzetten van een secure ftp-server en ondersteunt onder andere FTP, FTPS, HTTP, HTTPS en SFTP. De kwetsbaarheid (CVE-2025-47812) wordt veroorzaakt doordat Wing FTP Server tijdens het authenticatieproces niet goed omgaat met null bytes in de username parameter. Hierdoor kan een aanvaller Lua-code injecteren, die vervolgens met root/SYSTEM-rechten wordt uitgevoerd. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Details over de kwetsbaarheid werden op 30 juni openbaar gemaakt. Huntress laat weten dat het sinds 1 juli actief misbruik van het beveiligingslek heeft waargenomen. Organisaties die van de ftp-serversoftware gebruikmaken worden opgeroepen om naar Wing FTP Server versie 7.4.4 te updaten. De versie is beschikbaar voor Linux, macOS en Windows. De makers claimen wereldwijd meer dan tienduizend klanten te hebben. bron: https://www.security.nl

Verschillende kwetsbaarheden in de bluetooth-technologie waar verschillende autofabrikanten gebruik van maken, waaronder Volkswagen, Mercedes en Skoda, maken het mogelijk voor een aanvaller om gesprekken in auto's af te luisteren, opgeslagen telefoonnummers te stelen, de gps-coördinaten te volgen en andere systeemonderdelen van de auto aan te vallen. Dat stellen onderzoekers van cybersecuritybedrijf PCA Cyber Security. De in totaal vier beveiligingslekken bevinden zich in de OpenSynergy Bluetooth Protocol Stack (BlueSDK), die autofabrikanten vooral voor hun infotainmentsystemen gebruiken. De kwetsbaarheden maken het mogelijk voor een aanvaller om code op het systeem uit te voeren. Via het gecompromitteerde infotainmentsysteem is het mogelijk om bijvoorbeeld gesprekken in de auto af te luisteren of toegang tot opgeslagen telefoonnummers te krijgen. De onderzoekers stellen dat het ook mogelijk is om andere electronic control units van de auto aan te vallen, maar dit vereist wel aanvullende kwetsbaarheden en is ook niet door de onderzoekers gedemonstreerd. Voor het uitvoeren van de aanval moet een aanvaller wel binnen bluetooth-bereik van het infotainmentsysteem zijn. Vervolgens moet de aanvaller zijn laptop met het infotainmentsysteem pairen. Bij sommige systemen vereist dit interactie van de aangevallen gebruiker, in andere gevallen is er geen interactie vereist, aldus de onderzoekers. OpenSynergy werd vorig jaar juni over de problemen ingelicht en kwam in september met updates. Niet alle fabrikanten hebben die meteen ontvangen. Dat was pas vorige maand het geval, aldus de onderzoekers. Eén van de fabrikanten die nog geen updates heeft kunnen uitrollen is dan ook bewust niet door de onderzoekers genoemd. Autobezitters worden aangeraden hun infotainmentsysteem te updaten of andere bluetooth uit te schakelen. bron: https://www.security.nl

Adobe heeft updates uitgebracht voor kritieke kwetsbaarheden in ColdFusion en adviseert die binnen 72 uur te installeren. Het softwarebedrijf heeft het installeren van de patches de hoogste prioriteit gegeven, omdat ColdFusion geregeld het doelwit van aanvallen is geweest. ColdFusion is een platform voor het ontwikkelen van webapplicaties. Vijf kritieke kwetsbaarheden in de software maken het mogelijk voor een aanvaller om bestanden te lezen, beveiligingsmaatregelen te omzeilen en rechten te verhogen. De gevaarlijkste kwetsbaarheid is CVE-2025-49535, door Adobe omschreven als 'Improper Restriction of XML External Entity Reference'. Een aanvaller kan via dit lek willekeurige bestanden op het file system lezen en zo toegang tot gevoelige informatie krijgen waarmee verdere aanvallen zijn uit te voeren. De impact van het lek is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. Adobe heeft ColdFusion 2025 Update 3, ColdFusion 2023 Update 15 en ColdFusion 2021 Update 21 uitgebracht om de problemen te verhelpen. Om aan te geven dat het om belangrijke updates gaat werkt Adobe met een prioritering. De ColdFusion-updates hebben de hoogste prioriteit gekregen. Dit houdt in dat updates volgens het softwarebedrijf "zo snel mogelijk" moeten worden geïnstalleerd, waarbij als voorbeeld binnen 72 uur wordt gegeven. "ColdFusion moet op dit punt waarschijnlijk als "legacy" worden beschouwd. Als je er nog steeds gebruik van maakt zou je moeten overwegen om naar iets moderner te migreren", zegt Dustin Childs van het Zero Day Initiative. bron: https://www.security.nl

Verschillende kritieke lekken in Windows, Microsoft Office en SharePoint maken remote code execution (RCE) mogelijk, waarbij er geen interactie van gebruikers is vereist. Het Windows-lek is volgens onderzoekers "wormable". De Office-kwetsbaarheden zijn onder andere via de Preview Pane (Voorbeeldvenster) door een aanvaller te misbruiken. Het Preview Pane zorgt ervoor dat de inhoud van een bestand wordt weergegeven zonder dat de gebruiker het bestand zelf hoeft te openen. Microsoft kwam gisterenavond met updates voor de in totaal vier kritieke Office-kwetsbaarheden (CVE-2025-49695, CVE-2025-49696, CVE-2025-49697 en CVE-2025-49702. De impact van de beveiligingslekken is op een schaal van 1 tot en met 10 drie keer beoordeeld met een 8.4 en één keer met een 7.8. Updates voor Microsoft Office LTSC voor Mac 2021 en 2024 zijn nog niet beschikbaar. "Misschien is het tijd om de Preview Pane uit te schakelen totdat Microsoft deze problemen oplost", zegt Dustin Childs van het Zero Day Initiative. Hij merkt op dat Microsoft al drie maanden op rij met kritieke Office-lekken te maken heeft. Een andere kritieke kwetsbaarheid die tot remote code execution kan leiden bevindt zich in SharePoint (CVE-2025-49704). Het beveiligingslek werd twee maanden geleden tijdens de Pwn2Own-wedstrijd in Berlijn gedemonstreerd. Volgens Microsoft kan elke bij SharePoint geauthenticeerde gebruiker misbruik van het lek maken en zijn er geen verhoogde rechten nodig. Een aanvaller kan daarna code op de SharePoint-server uitvoeren. De impactscore van deze kwetsbaarheid is beoordeeld met een 8.8. Microsoft verwacht dat aanvallers van dit beveiligingslek misbruik zullen maken. De gevaarlijkste kwetsbaarheid deze maand bevindt zich in het SPNEGO Extended Negotiation (NEGOEX) Security Mechanism van Windows. SPNEGO staat voorr Simple and Protected GSSAPI Negotiation Mechanism en is een standaard die bepaalt welke authenticatietechnologie tussen een client en server wordt gebruikt. Het beveiligingslek (CVE-2025-47981) maakt het mogelijk voor een ongeauthenticeerde aanvaller om via het versturen van een "malicious message" code op de server uit te voeren. Er is wederom geen interactie vereist, wat inhoudt dat een computerworm zich via het lek kan verspreiden. De impact is beoordeeld met een 9.8 en Microsoft verwacht actief misbruik. "Test en rol deze patches snel uit", adviseert Childs. De updates worden op de meeste machines automatisch geïnstalleerd. bron: https://www.security.nl

Een kwetsbaarheid in NetScaler ADC en NetScaler Gateway, ook bekend als CitrixBleed2 en CVE-2025–5777, is sinds halverwege juni gebruikt om NetScaler-sessies te kapen en multifactorauthenticatie (MFA) te omzeilen, zo stelt de Britse beveiligingsonderzoeker Kevin Beaumont. Eind juni meldde securitybedrijf ReliaQuest al mogelijk misbruik van het lek. Op 17 juni verschenen er beveiligingsupdates voor het probleem. Een aantal dagen later, op 26 juni, stelde NetScaler dat het niet bekend was met actief misbruik van de kwetsbaarheid. Via het beveiligingslek kan een ongeauthenticeerde aanvaller op afstand gevoelige informatie direct uit het geheugen van de NetScaler-server lezen. Zo is het mogelijk om session tokens te stelen waarmee aanvallers toegang tot het systeem kunnen krijgen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. Er zijn inmiddels meer details over het probleem openbaar gemaakt, waaronder proof-of-concept exploitcode. Op 26 juni vond misbruik van CVE-2025–5777 al plaats, aldus Beaumont. Die kwam met de naam CitrixBleed2, vanwege de overeenkomsten met een kwetsbaarheid uit 2023 die de naam CitrixBleed kreeg. De onderzoeker zegt met verschillende organisaties te hebben gewerkt, waardoor hij kan vaststellen dat misbruik sinds halverwege juni al plaatsvindt. "Misbruik vond snel na het uitkomen van de patch plaats", aldus Beaumont. Die deed ook onderzoek naar kwetsbare Citrix-servers en stelt dat 24 procent van de organisaties de beschikbaar gestelde updates niet heeft geïnstalleerd. Na installatie van de update is het ook nodig om actieve sessies te stoppen. NetScaler ADC (eerder bekend als Citrix ADC) is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. Via de NetScaler Gateway (eerder bekend als Citrix Gateway) kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. De impact van een gecompromitteerd NetScaler-systeem kan dan ook groot zijn. bron: https://www.security.nl

Onderzoekers hebben in de Chrome Web Store en Microsofts Edge Add-ons meerdere malafide extensies ontdekt die bij elkaar 2,3 miljoen gebruikers hebben. De extensies, waaronder een vpn, weer-app en color picker, bieden de beloofde functionaliteit. Volgens securitybedrijf Koi Security waren sommige van de in totaal 18 malafide extensies al jaren schoon, voordat er door middel van een update malware werd toegevoegd. De malafide extensies sturen de url van elke bezochte website naar een remote server, alsmede een uniek tracking-ID van de gebruiker. Vervolgens stuurt de server een url terug waar de gebruiker door de browser naar wordt doorgestuurd. Verschillende van de malafide extensies hebben een 'Verified' status, aldus de onderzoekers. Deze status wordt gegeven aan extensies die van een vertrouwde ontwikkelaar afkomstig zijn en aan bepaalde veiligheids- en beleidsstandaarden voldoen. Gebruikers wordt aangeraden de malafide extensies meteen te verwijderen en browserdata op te schonen. Securitybedrijf LayerX laat weten dat sommige van de extensies nog steeds in de Chrome Web Store zijn te vinden. bron: https://www.security.nl

De makers van e-mailclient Thunderbird hebben een grote nieuwe upgrade uitgebracht met de naam 'Eclipse', die volgens het ontwikkelteam duizenden bugfixes en prestatieverbeteringen bevat, alsmede experimentele ondersteuning van Microsoft Exchange. Vooralsnog wordt de nieuwe versie niet automatisch aangeboden maar zullen gebruikers die handmatig moeten installeren. Naast bugfixes en verbeteringen zijn er ook nieuwe features toegevoegd, waaronder native OS-notificaties, dark message mode, een 'Account Hub' voor het toevoegen van nieuwe accounts, handmatige foldersortering, een exportfunctie om accountinstellingen en -wachtwoorden naar Thunderbird voor Android over te zetten en experimentele ondersteuning van Microsoft Exchange. De ontwikkelaars benadrukken dat de support van Exchange beperkt is tot het instellen van een account, folderbeheer en het schrijven, versturen en ontvangen van e-mail. Vanwege de experimentele aard wordt verder aangeraden een test Thunderbird-profiel aan te maken. Het ontwikkelteam stelt dat ondanks de uitgebreide tests sommige problemen pas duidelijk worden nadat heel veel gebruikers met de software werken. Er is daarom besloten om automatische updates naar Thunderbird 140 geleidelijk in te schakelen. bron: https://www.security.nl

Een grootschalige storing bij it-leverancier Ingram Micro is veroorzaakt door ransomware, zo heeft het bedrijf zelf bekendgemaakt. Afgelopen vrijdag waren websites en klantportalen van Ingram Micro wegens "technische problemen" niet beschikbaar. Op Reddit klaagden tal van klanten over het onbereikbaar zijn van diensten. Inmiddels is de melding op de websites van Ingram Micro aangepast en staat er dat het bedrijf te maken heeft met een cybersecurity-incident. In een persbericht meldt Ingram Micro dat systemen recentelijk door ransomware zijn getroffen. Daarop is besloten bepaalde systemen offline te halen. Hoeveel systemen zijn getroffen en hoe de aanval mogelijk was laat de it-leverancier niet weten. Ingram Micro zegt dat het bezig is om getroffen systemen te herstellen zodat het bestellingen weer kan verwerken en leveren. Wanneer het herstel zou moeten zijn afgerond is niet gemeld. De it-leverancier heeft naar eigen zeggen meer dan 200.000 klanten in zo'n 160 landen. De omzet bedroeg vorig jaar 48 miljard dollar. bron: https://www.security.nl

Duizenden NetScaler-servers bevatten nog altijd een kritieke kwetsbaarheid aangeduid als "CitrixBleed2", waardoor ze in het ergste geval zijn over te nemen, en een securitybedrijf heeft aangegeven volgende week details te zullen openbaren. Via het beveiligingslek, dat ook bekendstaat als CVE-2025-5777, kan een ongeauthenticeerde aanvaller op afstand gevoelige informatie direct uit het geheugen van de NetScaler-server lezen. Zo is het mogelijk om session tokens te stelen waarmee aanvallers toegang tot het systeem kunnen krijgen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. Op 17 juni verschenen er updates om het probleem te verhelpen. Volgens The Shadowserver Foundation, dat onderzoek naar kwetsbare systemen op internet doet, waren er op 24 juni 2800 kwetsbare NetScaler-servers te vinden. Inmiddels is dat aantal volgens de stichting onder de 900 gedaald. De Britse beveiligingsonderzoeker Kevin Beaumont besloot een eigen scan op internet uit te voeren en detecteerde naar eigen zeggen 17.000 NetScaler-servers waarvan er meer dan 4.000 kwetsbaar voor CVE-2025-5777 zijn. De scan is echter nog gaande, waardoor het aantal nog kan oplopen. Securitybedrijf Horizon3 heeft aangekondigd dat het volgende week uitgebreide technische details over de kwetsbaarheid zal delen. Volgens NetScaler maken aanvallers nog geen misbruik van de kwetsbaarheid. Een securitybedrijf waarschuwde vorige week dat dit mogelijk wel het geval is. Met uitgebreide technische details en mogelijk proof-of-concept exploitcode zal de kans op misbruik verder toenemen. NetScaler ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. Via de NetScaler Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. De impact van een gecompromitteerd NetScaler-systeem kan dan ook groot zijn. bron: https://www.security.nl

Een kwetsbaarheid in DjVuLibre maakt het mogelijk om code op Linux-desktops uit te voeren als gebruikers een geprepareerd document openen. Dat laat het GitHub Security Lab team weten dat het probleem ontdekte en rapporteerde. Er is gisteren een update uitgebracht waarin het lek is verholpen. DjVu is een bestandsformaat dat voornamelijk wordt gebruikt voor ingescande documenten. Het is enigszins vergelijkbaar met pdf. DjVuLibre is een GPL-implementatie van DjVu. Evince en Papers, de standaard document viewers op veel Linux-distributies, ondersteunen DjVu. Wanneer een DjVu-bestand een .pdf-extensie heeft zullen Evince en Papers automatisch detecteren dat het in werkelijkheid om een DjVu-bestand gaat en die vervolgens via DjVuLibre weergeven. Een kwetsbaarheid in de DjVu-libre kan tot een Out-of-bounds Write leiden, waardoor het uitvoeren van code op het systeem mogelijk is. Een aanvaller zou hier misbruik van kunnen maken door een doelwit een .pdf-bestand te sturen dat in werkelijkheid een DjVu-bestand is. Wanneer de gebruiker het bestand opent zal de document viewer die via DjVuLibre willen weergeven, waarna de code van de aanvallers op het systeem wordt uitgevoerd. De onderzoekers van het GitHub Security Lab team ontwikkelden een proof-of-concept exploit waarin ze de kwetsbaarheid demonstreren. Nadat de gebruiker het document opent wordt via Google Chrome een YouTube-pagina geladen. De onderzoekers merken op dat dit eenvoudiger was dan het starten van calculator, wat bij veel proof-of-concept exploits wordt gedaan. Ze leggen uit dat dit heeft te maken met het AppArmor profile van Papers, waardoor het geen willekeurige processen kan starten. Er is echter een uitzondering voor Google Chrome, waardoor de browser kan worden gestart. "Maar het AppArmor profile is niet heel erg restrictief, het laat je willekeurige bestanden naar de home directory van de gebruiker schrijven, behalve voor de hand liggende zoals ~/.bashrc. Dus het zou een vastbesloten aanvaller niet weerhouden van het uitvoeren van code", aldus de onderzoekers. Die rapporteerden het probleem (CVE-2025-53367) op 1 juli aan de ontwikkelaars van DjVuLibre. Die kwamen op 3 juli met versie 3.5.29 waarin het probleem is verholpen. bron: https://www.security.nl

Cisco waarschuwt organisaties die van Cisco Unified Communications Manager gebruikmaken voor een root-account met een hardcoded SSH-wachtwoord dat niet is te veranderen of verwijderen. Via het wachtwoord kan een aanvaller op het systeem inloggen en willekeurige code als root uitvoeren, aldus Cisco. De impact van de kwetsbaarheid (CVE-2025-20309) is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Cisco Unified Communications Manager is een voip-platform dat telefoongesprekken verwerkt. Volgens Cisco is het root-account met het hardcoded SSH-wachtwoord eigenlijk bedoeld voor gebruik tijdens de ontwikkeling. Waarom het account is achtergebleven laat het bedrijf niet weten. Cisco heeft updates uitgebracht om het probleem te verhelpen en zegt niet bekend te zijn met actief misbruik. bron: https://www.security.nl

Op addons.mozilla.org zijn tientallen Firefox-extensies ontdekt die zich voordeden als wallets van bekende partijen, maar in werkelijkheid cryptovaluta van gebruikers probeerden te stelen. Het gaat in totaal om veertig extensies die op de officiële website voor Firefox add-ons werden aangeboden, aldus securitybedrijf Koi Security. De extensies gebruikten namen van Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet en Filfox. Niet alleen gebruikten de extensies dezelfde naam en logo's van bekende wallets, ook hadden ze honderden 5-sterren reviews die door de aanvallers waren geplaatst. In verschillende gevallen maakten de aanvallers misbruik van het feit dat de officiële extensies open source zijn. De aanvallers kloonden de code en voegden malafide code toe. Eenmaal geïnstalleerd in Firefox stelen de extensies 'wallet secrets' van de gebruiker en stuurden die terug naar de aanvallers. De extensies lijken inmiddels door Firefox van addons.mozilla.org te zijn verwijderd. bron: https://www.security.nl

Certificaatautoriteit Let's Encrypt heeft voor het eerst een certificaat voor een ip-adres uitgegeven. Sinds de certificaatautoriteit tien jaar geleden startte kreeg het al verzoeken om deze mogelijkheid, maar de feature is nu pas toegevoegd en zal later dit jaar voor meer gebruikers beschikbaar komen. Let's Encrypt biedt gratis tls-certificaten aan die worden gebruikt voor het versleutelen van de verbinding tussen websites en bezoekers en maken het mogelijk om websites te identificeren. Certificaten worden meestal voor domeinnamen uitgegeven. Dit heeft volgens Let's Encrypt verschillende redenen. Internetgebruikers kennen websites aan de hand van de domeinnaam, niet het ip-adres. Daarnaast kunnen ip-adressen van websites op elk moment veranderen. Een andere reden is dat het "eigenaarschap" van een ip-adres zwakker lijkt te zijn dan bij een domeinnaam het geval is, aldus de certificaatautoriteit. Als laatste verwachten de meeste internetproviders niet dat eindgebruikers bewust, direct via een ip-adres verbinding maken. Wanneer een ip-adres door meerdere websites of apparaten wordt gedeeld zou het verbinden naar een ip-adres ook niet goed werken. Het heeft in dit scenario dan ook weinig zin een certificaat voor een ip-adres aan te vragen. Volgens Let's Encrypt is een certificaat voor een domeinnaam dan ook de beste keuze voor de meeste gebruikers. Er zijn echter verschillende scenario's waarin een certificaat voor een ip-adres wel geschikt is, bijvoorbeeld voor het beveiligen van remote toegang tot apparaten in huis, het beveiligen van verbindingen binnen een cloudinfrastructuur, voor een standaardpagina door hostingproviders of een manier om een website te benaderen wanneer er geen domeinnaam is. De mogelijkheid om certificaten voor ip-adressen aan te vragen komt later dit jaar breed beschikbaar. De certificaten zullen voor slechts zes dagen geldig zijn en kunnen automatisch worden verlengd. bron: https://www.security.nl

Een kwetsbaarheid in een veelgebruikte plug-in voor WordPress maakt remote code execution op honderdduizenden websites mogelijk, die zo volledig zijn over te nemen. Een update die het probleem verhelpt is beschikbaar, maar veel WordPress-sites hebben die nog niet geïnstalleerd. De kwetsbaarheid (CVE-2025-6463) bevindt zich in Forminator, een plug-in waarmee websites allerlei soorten webformulieren kunnen maken, zoals contactformulieren, polls, quizzen en betaalformulieren. De plug-in is op meer dan 600.000 websites actief. Het beveiligingslek maakt het voor ongeauthenticeerde aanvallers mogelijk om willekeurige bestanden op de server te verwijderen, wat volgens securitybedrijf Wordfence tot remote code execution en het volledig overnemen van de site kan leiden. Een aanvaller kan namelijk het bestand wp-config.php verwijderen waardoor de website in een "setup state" terugvalt. Vervolgens kan een aanvaller de site verbinding laten maken met een eigen database en zo de website overnemen. De ontwikkelaar van de plug-in werd op 25 juni over het probleem ingelicht en kwam op 30 juni met een update. Uit cijfers van WordPress.org blijkt dat zo'n 175.000 sites de patch hebben geïnstalleerd. Dat houdt in dat honderdduizenden websites risico lopen. Wordfence roept beheerders op om de update te installeren, omdat de kwetsbaarheid een "groot risico" voor websites vormt. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kwetsbaarheid in de V8-engine van Google Chrome voor het aanvallen van gebruikers van de browser, zo heeft het techbedrijf aangekondigd. Er zijn updates uitgebracht om het probleem te verhelpen. V8 is de JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript. Het is geregeld het doelwit van aanvallen waarbij misbruik wordt gemaakt van kwetsbaarheden waar op het moment van de aanval geen patch voor beschikbaar is. De nieuwste V8-kwetsbaarheid wordt aangeduid als CVE-2025-6554 en werd op 25 juni door onderzoeker Clément Lecigne van de Google Threat Analysis Group aan het Chrome-team gerapporteerd. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. Google heeft geen details over de waargenomen aanvallen gegeven. De impact van de kwetsbaarheid is als 'high' beoordeeld. Bij kwetsbaarheden met het stempel 'high' kan een aanvaller in het ergste geval code binnen de context van de browser uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Dit soort lekken zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Het beveiligingslek is verholpen in Google Chrome 138.0.7204.96/.97 voor Windows, Chrome 138.0.7204.92/.93 voor macOS en Chrome 138.0.7204.96 voor Linux. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar. Begin juni waarschuwde Google ook al voor een actief aangevallen V8-lek. bron: https://www.security.nl