Captain Kirk

Softwareontwikkelaar Progress waarschuwt voor een kritiek beveiligingslek in MOVEit Automation waardoor een aanvaller de authenticatie kan omzeilen en zo toegang tot het systeem kan krijgen. MOVEit Automation is een oplossing die organisaties en bedrijven gebruiken voor het uitwisselen van bestanden. Het zorgt specifiek voor de geautomatiseerde en periodieke uitwisseling van bestanden tussen interne systemen, externe partners en cloudplatforms. Een kwetsbaarheid in de oplossing, aangeduid als CVE-2026-4670, zorgt ervoor dat een aanvaller de authenticatie kan omzeilen en vervolgens toegang kan krijgen. Details over het beveiligingslek zijn niet gegeven. Wel waarschuwt Progress dat misbruik kan leiden tot ongeautoriseerde toegang, admincontrole en datalekken. Organisaties worden opgeroepen om de beschikbaar gestelde updates te installeren. Een beveiligingslek in MOVEit Transfer, een andere oplossing van Progress bedoelt voor bestandsopslag, werd drie jaar geleden gebruikt voor een grootschalige wereldwijde ransomware-aanval. Aanvallers wisten volgens securitybedrijf Emsisoft via dit specifieke lek (CVE-2023-34362) de MOVEit-servers van ruim 2700 organisaties te hacken, waarbij gegevens van zo'n 96 miljoen mensen werden gestolen. Het ging onder andere om TomTom, TenneT, Shell, Siemens Energy, British Airways, Sony en CCleaner. bron: https://www.security.nl

Cybersecuritybedrijf Trellix heeft te maken gekregen met een inbraak op een deel van de source code repository. Details, zoals hoe de ongeautoriseerde toegang mogelijk was en om welke source code het precies gaat, zijn niet gegeven. In een korte verklaring op de eigen website meldt Trellix dat het recentelijk ongeautoriseerde toegang tot een deel van de source code repository ontdekte. Na ontdekking van de inbraak is er een forensisch onderzoek ingesteld. Verder zijn de autoriteiten ingelicht. "Gebaseerd op ons onderzoek tot nu toe, hebben we geen bewijs gevonden dat onze source code release of distributieprocessen zijn geraakt, of dat er misbruik van onze source code is gemaakt." Trellix voegt toe dat het met meer informatie komt zodra het onderzoek is afgerond en dit gepast is. bron: https://www.security.nl

De ontwikkelaars van het op privacy gerichte besturingssysteem Tails hebben opnieuw een noodpatch uitgebracht, nu vanwege de Copy Fail-kwetsbaaheid. Aanvallers zouden gebruikers via het beveiligingslek kunnen ontmaskeren. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Het privacy-OS kan vanaf een usb-stick of dvd worden gestart. Tails maakt gebruik van het Tor-netwerk om het ip-adres van de gebruiker af te schermen en biedt allerlei op privacy gerichte applicaties. Vorige week verscheen er al een noodpatch wegens kwetsbaarheden in Tor Browser, waar Tails standaard gebruik van maakt. Nu is het Copy Fail-lek in Linux de reden. Via deze kwetsbaarheid kan een lokale unprivileged gebruiker root worden. De Tails-ontwikkelaars melden dat applicaties binnen Tails Copy Fail kunnen gebruiken om adminrechten te krijgen. "Als een aanvaller misbruik van een andere onbekende kwetsbaarheid in met Tails meegeleverde applicaties kan maken, kunnen ze via Copy Fail volledige controle over je Tails krijgen en je de-anonimiseren." Gebruikers worden opgeroepen om te updaten naar versie Tails 7.7.2. bron: https://www.security.nl

Aanvallers maken actief misbruik van de Copy Fail-kwetsbaarheid in Linux, waardoor een lokale unprivileged gebruiker root kan worden, zo melden Microsoft en het Amerikaanse cyberagentschap CISA. Microsoft verwacht dat het misbruik op korte termijn verder zal toenemen. Het probleem, dat vorige week in het nieuws kwam, raakt genoeg alle Linux-distributies. Met name multi-tenant Linux omgevingen, shared-kernel containers en CI runners die niet vertrouwde code uitvoeren lopen risico op aanvallen. De Copy Fail-kwetsbaarheid bevindt zich in het crypto-subsysteem van de Linux-kernel en maakt het mogelijk voor een lokale unprivileged gebruiker om de cache van elk leesbaar bestand te corrumperen, waaronder setuid binaries. De page cache is een kopie in het geheugen dat de Linux-kernel leest wanneer een bestand wordt geladen. Door het aanpassen van deze cache kan een gebruiker root worden. Bij de Copy Fail-aanval worden dan ook geen bestanden op de schijf aangepast, alleen de versie in het geheugen. Dit maakt een eventuele aanval lastig te detecteren. "Deze kwetsbaarheid maakt het mogelijk om ongeautoriseerd de rechten naar root te verhogen, en raakt een groot deel van de cloud Linux workloads en miljoenen Kubernetes clusters", aldus Microsoft. "Hoewel actief misbruik beperkt is en voornamelijk waargenomen in proof-of-concept testen, heeft de brede toepasbaarheid van de kwetsbaarheid tot grote bezorgdheid geleid." Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security meldde op 1 mei dat het bekend was met actief misbruik van Copy Fail, maar geeft geen verdere details. Microsoft merkt op dat er inmiddels werkende proof-of-concept exploitcode online is verschenen en het 'testactiviteiten' heeft waargenomen. Dit zal volgens het techbedrijf waarschijnlijk het misbruik de komende dagen verder doen toenemen. Organisaties en beheerders worden opgeroepen om hun systemen te patchen. In het geval patches niet beschikbaar zijn adviseert Microsoft het uitschakelen van de betreffende feature, het implementeren van network isolation of het toepassen van access controls. bron: https://www.security.nl

Meer dan 44.000 installaties van cPanel en WebHost Manager (WHM) zijn zeer vermoedelijk gehackt via een nieuwe kritieke kwetsbaarheid, zo meldt The Shadowserver Foundation. De Amerikaanse en Australische autoriteiten bevestigen dat aanvallers misbruik van het probleem maken, aangeduid als CVE-2026-41940. De WebHost Manager (WHM) is een interface bedoeld voor hostingproviders die daarmee servers kunnen beheren en cPanel-accounts kunnen aanmaken en beheren. CPanel is een interface bedoeld voor individuele hosting-accounts. Hostingbedrijven en systeembeheerders maken er vaak gebruik van. CVE-2026-41940 is een authenticatie bypass kwetsbaarheid, waardoor ongeauthenticeerde aanvallers op afstand toegang tot het controlepaneel kunnen krijgen, alsmede op afstand code kunnen uitvoeren, zo laat het Australische Cyber Security Centre (ACSC) weten. Dat meldt dat het bekend is met actief misbruik van het cPanel/WHM-lek in Australië. Ook het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security waarschuwt voor actief misbruik. The Shadowserver Foundation is een stichting die zich bezig met de bestrijding van cybercrime houdt en onderzoek doet naar kwetsbare systemen op internet. De stichting heeft meerdere honeypots en zag zeker 44.000 ip-adressen van cPanel-installaties de honeypots scannen. In totaal zijn er volgens The Shadowserver Foundation zeker 650.000 cPanel-installaties vanaf het internet toegankelijk, waarvan bijna dertienduizend in Nederland. Hoeveel er daarvan zijn gecompromitteerd is onduidelijk. Updates voor CVE-2026-41940 zijn sinds 28 april beschikbaar, maar sommige partijen melden dat misbruik al sinds 23 februari plaatsvindt. bron: https://www.security.nl

De ontwikkelaars van het op privacy gerichte besturingssysteem Tails hebben wegens kwetsbaarheden in Tor Browser een noodpatch uitgebracht. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Het privacy-OS kan vanaf een usb-stick of dvd worden gestart. Tails maakt gebruik van het Tor-netwerk om het ip-adres van de gebruiker af te schermen en biedt allerlei op privacy gerichte applicaties. De standaard browser binnen Tails is Tor Browser, dat weer op Firefox is gebaseerd. Eerder deze week verscheen Firefox ESR 140.10.1, waarin meerdere kwetsbaarheden zijn verholpen, waaronder een kritiek beveiligingslek CVE-2026-7322. Via deze kwetsbaarheid zou mogelijk willekeurige code op het systeem van gebruikers kunnen worden uitgevoerd. Daarbij is alleen het bezoeken van een gehackte of malafide website voldoende, of het te zien krijgen van besmette advertenties. Er is geen verdere actie van gebruikers vereist. Vervolgens kwam Tor Browser met een nieuwe versie die nu ook aan Tails is toegevoegd. De ontwikkelaars merken op dat ze niet bekend zijn met misbruik van de beveiligingslekken in Tor Browser. Gebruikers worden opgeroepen om te updaten naar Tails 7.7.1. bron: https://www.security.nl

Een onderzoeker heeft in een WordPress-plug-in met meer dan zeventigduizend actieve installaties twee backdoors ontdekt die al jaren aanwezig blijken te zijn. WordPress.org biedt de plug-in voorlopig niet meer aan en heeft een onderzoek ingesteld. Quick Page/Post Redirect is een plug-in waarmee WordPress-sites url's naar andere locaties kunnen laten wijzen. De eerste backdoor in de plug-in maakt het mogelijk om content op de betreffende WordPress-site te injecteren, mogelijk voor SEO spam. De tweede backdoor zorgt ervoor dat de plug-in aangeboden updates vanaf een bepaald domein installeert, waardoor remote code execution mogelijk is, aldus onderzoeker Austin Ginder in een analyse. De malafide code zou in 2021 zijn toegevoegd. WordPress.org heeft de plug-in offline gehaald en zegt onderzoek te doen. WordPress-beheerders worden opgeroepen de plug-in van hun website te verwijderen. bron: https://www.security.nl

Een kritiek beveiligingslek in cPanel en WHM waardoor ongeauthenticeerde aanvallers admin-toegang tot systemen kunnen krijgen wordt actief misbruikt bij aanvallen. Beveiligingsupdates zijn sinds 28 april beschikbaar, maar misbruik zou al sinds 23 februari plaatsvinden. Daarnaast is er inmiddels proof-of-concept exploitcode online gepubliceerd, waardoor er met grootschalig misbruik rekening wordt gehouden. Volgens zoekmachine Shodan zijn er zo'n 1,5 miljoen cPanel-installaties vanaf het internet toegankelijk. Via de oplossingen zouden tientallen miljoenen domeinnamen worden beheerd. De WebHost Manager (WHM) is een interface bedoeld voor hostingproviders die daarmee servers kunnen beheren en cPanel-accounts kunnen aanmaken en beheren. CPanel is een interface bedoeld voor individuele hosting-accounts. Een kritieke kwetsbaarheid in de oplossingen, aangeduid als CVE-2026-41940, maakt het mogelijk voor ongeauthenticeerde aanvallers om de authenticatie te omzeilen en als beheerder in te loggen. Voordat de authenticatie plaatsvindt wordt er een sessiebestand weggeschreven. Een aanvaller kan willekeurige waardes aan dit bestand toevoegen, zoals dat hij de root-gebruiker is, het bestand opnieuw laden en vervolgens toegang krijgen. CPanel kwam op 28 april met een beveiligingsupdate, alsmede detectiescripts om misbruik te detecteren. Het probleem raakt echter ook versies die end-of-life zijn en niet meer worden ondersteund. Volgens KnownHost wordt er actief misbruik van het probleem gemaakt. Gebruikers van Reddit melden dat deze aanvallen al sinds 23 februari plaatsvinden. Securitybedrijf watchTowr heeft inmiddels een analyse van de kwetsbaarheid en proof-of-concept exploitcode gepubliceerd. Daardoor zal grootschalig misbruik op korte termijn plaatsvinden, waarschuwt securitybedrijf Rapid7. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om officiële SAP npm packages te voorzien van malware die allerlei secrets steelt, zoals tokens, credentials en configuratiehbestanden. Daarnaast probeert de malware andere packages van getroffen ontwikkelaars te infecteren zodat het zich verder kan verspreiden. Het gaat in totaal om vier packages, melden securitybedrijven Aikido en Socket in een analyse. Wanneer ontwikkelaars de gecompromitteerde packages installeren wordt er automatisch een script op hun systeem uitgevoerd dat de malware installeert en uitvoert. De malware steelt onder andere SSH private keys, Github- en npm-tokens, omgevingsvariabelen, GitHub Actions secrets, AWS- en Azure-gegevens, Kubernetes service account tokens, data van cryptowallets, configuratiebestanden van vpn's en AI-tools, shell history bestanden en data van chatapps Signal, Slack, Telegram en Discord. Npm is de standaard package manager voor de JavaScript-omgeving Node.js en naar eigen zeggen het grootste softwarearchief ter wereld. Via de npm Registry biedt het een groot archief met openbare, besloten en commerciële packages. Bij geïnfecteerde ontwikkelaars kijkt de malware welke npm packages die allemaal beheren. Vervolgens wordt door middel van gestolen npm tokens de malware ook aan deze packages toegevoegd, zodat die zich verder kan verspreiden. Volgens onderzoekers van Socket is de aanval mogelijk uitgevoerd door een groep genaamd TeamPCP die eerder door middel van supplychain-aanvallen ook andere packages wist te compromitteren. Mogelijk zou de groep via een blootgesteld npm token de aanval hebben kunnen uitvoeren. bron: https://www.security.nl

Een kritieke kwetsbaarheid op GitHub.com maakte het mogelijk om toegang tot miljoenen publieke en private repositories te krijgen. Hetzelfde beveiligingslek maakte het ook mogelijk om in het geval van GitHub Enterprise Server systemen volledig te compromitteren en zo toegang te krijgen tot alle gehoste repositories en interne secrets. Dat meldt securitybedrijf Wiz. GitHub heeft het probleem inmiddels verholpen. GitHub is een populair platform voor softwareontwikkelaars. GitHub Enterprise Server is een self-hosted platform voor softwareontwikkeling binnen een organisatie. Via het platform is het mogelijk om software te ontwikkelen en leveren. Onderzoekers van Wiz ontdekten een injection kwetsbaarheid in het interne protocol van GitHub. Geauthenticeerde gebruikers konden zo via een git push commando willekeurige commando's op de backend servers van GitHub uitvoeren. Wanneer een gebruiker code naar GitHub.com pusht zijn hier verschillende interne services van het platform bij betrokken. Als onderdeel van het push proces wordt metadata over de push, zoals het soort repository en de omgeving waarin die moet worden verwerkt, via een intern protocol tussen de verschillende services uitgewisseld. De kwetsbaarheid maakte misbruik van hoe door gebruikers opgegeven push opties binnen deze metadata werd verwerkt. Push opties maken het mogelijk voor clients om tijdens een push 'key-value strings' naar de server te sturen. Onvoldoende 'sanitization' zorgde ervoor dat de downstream service van GitHub gebruikersinvoer als vertrouwde interne data beschouwde. Een aanvaller kon door middel van verschillende geïnjecteerde waardes code op shared storage nodes van GitHub.com uitvoeren. Op deze gecompromitteerde nodes hadden de onderzoekers toegang tot miljoenen publieke en private repositories van andere gebruikers en organisaties. Wiz waarschuwde GitHub dat het probleem binnen een aantal uur op GitHub.com verhielp. Voor GitHub Enterprise Server zijn beveiligingsupdates beschikbaar gesteld. Organisaties moeten die nog wel zelf installeren. De onderzoekers stellen dat 88 procent van de servers nog kwetsbaar is. GitHub meldt op basis van eigen onderzoek dat er geen misbruik van de kwetsbaarheid (CVE-2026-3854) is gemaakt. bron: https://www.security.nl

Beveiligingsbedrijf ADT heeft de persoonlijke gegevens van 5,5 miljoen klanten gelekt. De data werd gestolen door dezelfde groep criminelen die eerder bij Odido de gegevens van zes miljoen mensen wist buit te maken. ADT levert onder ander alarmsystemen en beveiligingscamera's voor woningen en bedrijven. Vorige week meldde ADT via de eigen website dat aanvallers er in waren geslaagd om gegevens van klanten en potentiële klanten te stelen. Volgens het beveiligingsbedrijf gaat het om namen, telefoonnummers en adresgegevens. In een "klein percentage" van de gevallen zijn ook geboortedatums en laatste vier cijfers van het social-securitynummer gestolen. Hoe de aanval mogelijk was en hoeveel klanten waren getroffen liet ADT niet weten. De aanval werd opgeëist door een groep die zichzelf ShinyHunters noemt. De aanvallers claimden de Salesforce-omgeving van ADT te hebben gehackt. Het zou gaan om elf gigabyte aan gecompromitteerde data en meer dan tien miljoen records. De aanvallers dreigden de gestolen data te publiceren als ADT geen losgeld zou betalen. De informatie is inmiddels op de website van ShinyHunters verschenen. Volgens Troy Hunt van datalekzoekmachine Have I Been Pwned gaat het naast de door ADT genoemde data ook om 5,5 miljoen e-mailadressen en gedeeltelijke identiteitsbewijzen. Via Have I Been Pwned kunnen mensen kijken of hun e-mailadres in een bekend datalek voorkomt. De bij ADT buitgemaakte e-mailadressen zijn nu aan de zoekmachine toegevoegd. Daarvan was 71 procent al via een ander datalek bekend. bron: https://www.security.nl

Google heeft opnieuw beveiligingsupdates uitgebracht om meerdere kritieke kwetsbaarheden in Chrome te verhelpen die remote code execution (RCE) mogelijk maken. Een aanvaller kan via dit soort beveiligingslekken malafide code op het systeem van gebruikers uitvoeren, waarbij alleen het bezoeken van een gehackte of gecompromitteerde website of het te zien krijgen van besmette advertenties voldoende is. Er is geen verdere interactie van gebruikers vereist. Lange tijd was het aantal kritieke kwetsbaarheden in Chrome een stuk lager dan in andere browsers. Dat beeld begint enigszins te veranderen. Begin april kwam Google met een update waarmee vijf kritieke beveiligingslekken werden gepatcht. Gisterenavond verscheen een nieuwe update, die dit keer vier kritieke lekken dicht. De kwetsbaarheden zijn aanwezig in verschillende onderdelen van de browser, waaronder Canvas, Accessibility en Views. Details over de kwetsbaarheden, zoals hoe aanvallers er precies misbruik van kunnen maken, zijn nog niet door Google openbaar gemaakt. In het geval van kritieke kwetsbaarheden probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details kunnen vervolgens na zestig dagen openbaar worden gemaakt. Google Chrome 147.0.7727.137/138 is beschikbaar voor Windows en macOS. Voor Linux is versie 147.0.7727.137 verschenen. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan echter een aantal dagen tot weken duren. Gebruikers die de update direct willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar. bron: https://www.security.nl

Op "Open VSX" zijn tientallen extensies voor Visual Studio Code aangetroffen die malware bevatten. Dat meldt securitybedrijf Socket. Open VSX is een open-source marktplaats voor extensies voor Visual Studio Code en Theia. Het biedt een alternatief voor de officiële Visual Studio Code Marketplace. De malafide extensies die Socket ontdekte lijken op legitieme populaire extensies en zijn voorzien van een loader die aanvullende malware download en uitvoert. Deze malware is ontwikkeld om inloggegevens en andere data van het systeem van de ontwikkelaars te stelen. De extensies zijn door de beheerders van Open VSX verwijderd. Hoeveel mensen de extensies hebben gedownload is onbekend. De extensies zijn sinds april op Open VSX te vinden. Volgens Socket zijn de extensies waarschijnlijk door een aanvaller ontwikkeld die de extensies eerst publiceerde zonder malware, om zo vertrouwen op te bouwen. Vervolgens werden de extensies van de malware voorzien. De malware in de extensies wordt GlassWorm genoemd. De malware is ontwikkeld om inloggegevens voor NPM, GitHub en Git te stelen. Daarnaast kan de GlassWorm malware VNC-servers op het systeem installeren om zo op afstand toegang tot het systeem te behouden. bron: https://www.security.nl

Een datalek bij AI-trainingsbedrijf Mercor heeft 40.000 mensen geraakt, waarbij hun stemopnamen en identiteitsdocumenten zijn gestolen. Het gaat om een dataset van ongeveer 4 terabyte. De gestolen data bestaat uit stemopnamen en scans van identiteitsdocumenten van mensen die voor het bedrijf als 'AI contractor' werkten. De stemopnamen zijn gemaakt door mensen die voor het trainen van AI-modellen teksten voorlazen. De gestolen dataset bevat ook scans van identiteitsdocumenten, zoals paspoorten en rijbewijzen, en selfies van de betreffende personen. Volgens securitybedrijf ORAVYS is de dataset eenvoudig te gebruiken voor het maken van deepfake stemmen. "De Mercor opnamen zijn gemiddeld twee tot vijf minuten lang. Combineer dit met het gelekte identiteitsdocument en de aanvaller heeft alle benodigde gegevens om een deepfake in te zetten", aldus het securitybedrijf. ORAVYS stelt dat aanvallers met de gestolen stemgegevens allerlei aanvallen kunnen uitvoeren, zoals het omzeilen van stemverificatie bij banken, het oplichten van de werkgever van het slachtoffer, het plegen van fraude met verzekeringsclaims, het oplichten van familieleden en het plegen van romance scams. Het securitybedrijf biedt een dienst waarmee mensen kunnen controleren of hun stemgegevens zijn gestolen, hiervoor moet een korte "voice sample" worden geüpload. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om een malafide versie van de populaire Python-package "elementary-data" op PyPI te plaatsen, de officiële repository voor Python-packages. De malafide versie steelt gevoelige data en informatie uit cryptowallets. De malafide versie is inmiddels van PyPI verwijderd. Elementary-data is een populaire tool in het dbt (Data Build Tool) ecosysteem, met meer dan 1,1 miljoen downloads op PyPI. Op 24 april werd een malafide versie van de package op PyPI geplaatst, de malware was opgenomen in het elementary.pth bestand. De malware werd toegevoegd via een kwetsbaarheid in de GitHub Actions workflow van het package. De aanvallers plaatsten een specifieke comment op een pull request die misbruik maakt van een injection kwetsbaarheid in een van de workflows. Met behulp van de kwetsbaarheid konden de aanvallers een GITHUB_TOKEN bemachtigen (uit de workflow), een nieuwe malafide release van het package maken en deze, via de legitieme release pipeline, publiceren naar PyPI. StepSecurity stelt dat systemen die geen gepinde versies gebruiken automatisch de malafide versie hebben gedownload. bron: https://www.security.nl

Aanvallers maken gebruik van social engineering, phishing via Microsoft Teams en malafide browser-extensies om toegang tot systemen te krijgen, zo waarschuwt Google. De aanval begint volgens Google met een e-mailcampagne om het doelwit met berichten te overladen. Hierna wordt via Microsoft Teams een phishinglink verstuurd, waarbij de aanvaller zich voordoet als helpdeskmedewerker. De website laat het slachtoffer geloven dat er een probleem met zijn mailbox is dat met een "Mailbox Repair and Sync Utility" kan worden verholpen. De website vraagt de gebruiker om zijn e-mailadres en wachtwoord. De ingevulde gegevens worden vervolgens naar een Amazon S3-bucket gestuurd. Tevens worden er verschillende bestanden gedownload, waaronder een malafide browser-extensie genaamd SNOWBELT. Deze extensie fungeert als backdoor en kan in combinatie met andere malware de aanvallers controle over het systeem geven. Zo kunnen screenshots worden gemaakt, bestanden worden gedownload en verwijderd en commando's op het systeem worden uitgevoerd. De extensie kan ook worden gebruikt om toegang tot het systeem te behouden, ook als de browser wordt herstart. Microsoft waarschuwde onlangs dat aanvallers steeds vaker gebruikmaken van Microsoft Teams voor het uitvoeren van helpdesk-imitatieaanvallen. De aanvallers doen zich voor als IT-personeel of helpdeskmedewerker en proberen op deze manier om toegang tot een systeem te verkrijgen. bron: https://www.security.nl

CrowdStrike en Tenable hebben kritieke kwetsbaarheden in hun producten gedicht. In het geval van CrowdStrike gaat het om een path traversal-kwetsbaarheid (CVE-2026-40050) in LogScale. LogScale is een platform voor het verzamelen, indexeren en doorzoeken van logbestanden. Via de kwetsbaarheid kan een ongeauthenticeerde aanvaller willekeurige bestanden van het systeem lezen. CrowdStrike stelt dat de kwetsbaarheid alleen een probleem is voor klanten die specifieke versies van LogScale hosten. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De kwetsbaarheid werd door CrowdStrike zelf gevonden. Het securitybedrijf zegt geen aanwijzingen te hebben dat het probleem actief wordt misbruikt. Klanten die van LogScale gebruikmaken worden opgeroepen om zo snel mogelijk te updaten. Tenable kwam met een beveiligingsbulletin voor een kwetsbaarheid in Nessus Agent op Windows (CVE-2026-33694). Via het beveiligingslek kan een aanvaller willekeurige bestanden met SYSTEM-rechten verwijderen. Dit kan vervolgens leiden tot het uitvoeren van willekeurige code met dezelfde (SYSTEM) rechten. Tenable heeft een update uitgebracht om het probleem te verhelpen. bron: https://www.security.nl

De Amerikaanse en Britse overheid waarschuwen voor een backdoor genaamd FIRESTARTER die aanvallers in Cisco ASA-firewalls installeren. De backdoor wordt volgens de Amerikaanse en Britse autoriteiten ingezet door een advanced persistent threat (APT). De Amerikaanse en Britse autoriteiten stellen dat de backdoor is geïnstalleerd door aanvallers die misbruik maakten van CVE-2025-20333 (buffer overflow) en CVE-2025-20362 (missing authorization). Via deze kwetsbaarheden konden de aanvallers toegang verkrijgen tot de firewall. FIRESTARTER kan volgens de autoriteiten op de firewall actief blijven, ook nadat de originele kwetsbaarheden zijn verholpen. De Amerikaanse en Britse autoriteiten hebbenYARA-rules ontwikkeld waarmee organisaties de backdoor kunnen detecteren. Daarnaast is er ook een nieuwe versie van een eerder uitgegeven 'Emergency Directive' verschenen waarin federale Amerikaanse overheidsinstanties worden opgeroepen om hun Cisco ASA-firewalls op de aanwezigheid van de backdoor te controleren. bron: https://www.security.nl

Een kwetsbaarheid in Windows maakt het mogelijk voor een lokale aanvaller met "impersonation privileges" om systeemrechten ("SYSTEM") te krijgen, zo stelt Kaspersky op basis van eigen onderzoek. Volgens Kaspersky is de kwetsbaarheid vermoedelijk aanwezig in alle Windows versies. Kaspersky waarschuwde Microsoft op 19 september vorig jaar over de kwetsbaarheid. Op 10 oktober kwam het techbedrijf met een reactie dat het probleem niet als "high-severity" was aangemerkt en er geen CVE-nummer zou worden toegekend. Microsoft stelde tevens dat de kwetsbaarheid niet meteen gepatcht wordt, met als reden dat een aanvaller reeds over impersonation privileges ("SeImpersonatePrivilege") moet beschikken. Kaspersky heeft nu de details openbaar gemaakt, alsmede proof-of-concept code. Kaspersky zegt dat het geen instructies gaat publiceren die het eenvoudiger maken om de kwetsbaarheid op grote schaal te misbruiken. bron: https://www.security.nl

De CLI-versie van wachtwoordmanager Bitwarden is getroffen door een supplychain-aanval waarbij aanvallers gebruikmaakten van een gecompromitteerde GitHub Action, zo meldt securitybedrijf Socket. De opensource wachtwoordmanager telt meer dan tien miljoen gebruikers en wordt door meer dan 50.000 bedrijven gebruikt. Voor zover bekend is alleen de via npm aangeboden commandlineversie ("CLI") van de wachtwoordmanager door de aanval getroffen. De aanval op Bitwarden CLI lijkt gebruik te hebben gemaakt van een gecompromitteerde GitHub Action in de CI/CD-pipeline van de wachtwoordmanager. Hierna is een gebackdoorde package (2026.4.0) van Bitwarden CLI gepubliceerd. Deze package bevat malafide code opgenomen in bw1.js. Dit bestand heeft veel overeenkomsten met het mcpAddon.js bestand, dat wordt gebruikt in de Checkmarx Supply Chain aanval. De malafide code in bw1.js verzamelt allerlei inloggegevens, waaronder GitHub-tokens, AWS-credentials, Azure-tokens, GCP-credentials, npm-configuratiebestanden, SSH-keys, environment variabelen en configuratiebestanden van onder andere Claude. De gestolen data wordt vervolgens naar een externe server van de aanvallers gestuurd. Socket adviseert getroffen organisaties om zo snel mogelijk het gebackdoorde package te verwijderen van developer, productie en build-systemen. Tevens wordt aangeraden om alle credentials en secrets die mogelijk aanwezig waren op deze systemen, zo snel mogelijk te roteren. bron: https://www.security.nl

Microsoft heeft besloten de beveiligingsupdates voor Exchange Server 2016/2019 en Skype for Business Server 2015/2019 met zes maanden te verlengen. Deze software wordt sinds oktober vorig jaar niet meer ondersteund, maar via het Extended Security Updates programma (ESU) bleef Microsoft nog wel beveiligingsupdates uitbrengen. Oorspronkelijk zou het ESU programma op 14 april van dit jaar aflopen. Nu laat het techbedrijf weten dat het een tweede periode van het ESU-programma aanbiedt. Deze periode loopt van 1 mei tot en met 31 oktober 2026. Klanten die aan het ESU-programma willen deelnemen, moeten hiervoor opnieuw betalen, ook als ze al aan het eerste ESU-programma deelnamen. Microsoft zegt dat het niet van plan is om de updates na deze periode nogmaals te verlengen. De beveiligingsupdates die Microsoft via het ESU-programma aanbiedt zijn alleen bedoeld voor kritieke en belangrijke kwetsbaarheden, zoals door het Microsoft Security Response Center (MSRC) wordt gedefinieerd. Het techbedrijf zegt dat het niet garandeert dat er tijdens de tweede periode van het ESU-programma beveiligingsupdates zullen verschijnen. Wanneer er wel updates beschikbaar komen, zullen die alleen onder deelnemers aan het ESU-programma worden verspreid. bron: https://www.security.nl

AI-agents op GitHub kunnen via GitHub-comments worden overgenomen, zo melden onderzoekers in een blog post. De onderzoekers waarschuwen dat de aanval, die ze 'Comment and Control' noemen, kan worden gebruikt om API-keys en access tokens van de host repository te stelen. De aanval is getest tegen drie AI-agents: Anthropic Claude Code, Google Gemini en GitHub Copilot. De onderzoekers stellen dat de AI-agents kunnen worden overgenomen via speciaal geprepareerde GitHub-comments, waaronder PR ("Pull Request") titels, comments en issue bodies. Zo kan een aanvaller via een malafide PR-titel de AI-agent overtuigen om willekeurige commando's uit te voeren of credentials te stelen en die vervolgens als een security finding of een entry in de GitHub Actions log te publiceren/exfiltreren De Comment and Control-aanval is een serieus risico, omdat het "malafide prompt" van de aanvaller automatisch kan worden verwerkt door een AI-Agent via (bijvoorbeeld) een GitHub Actions workflow, zonder enige interactie van het slachtoffer, aldus de onderzoekers. De onderzoekers waarschuwen tevens dat de aanval waarschijnlijk werkt tegen elke AI-agent die onbetrouwbare GitHub-data verwerkt en toegang heeft tot tools in een runtime omgeving waarin zich ook productie secrets bevinden. De onderzoekers rapporteerden de bevindingen aan Anthropic, Google en GitHub. bron: https://www.security.nl

Google, Microsoft en Meta negeren massaal het opt-out signaal van Californiërs, zo stelt privacybedrijf webXray op basis van eigen onderzoek. De drie techbedrijven plaatsten trackingcookies bij Californiërs die hadden aangegeven niet gevolgd te willen worden. De onderzoekers keken naar het netwerkverkeer van meer dan zevenduizend populaire websites in de Amerikaanse staat. Deze websites bleken duizenden advertentiecookies te plaatsen, ook al hadden gebruikers aangegeven dat ze niet gevolgd wilden worden. De onderzoekers stellen dat de techbedrijven het Global Privacy Control (GPC) signaal negeren. Dit is een mechanisme dat gebruikers kunnen instellen om aan te geven dat ze niet gevolgd willen worden. Google negeert het GPC-signaal in 86 procent van de gevallen. Microsoft doet dit in 50 procent van de gevallen en Meta in 69 procent van de gevallen. De onderzoekers vermelden dat de techbedrijven in het verleden al herhaaldelijk wegens het overtreden van de privacywetgeving zijn beboet. "Gegeven het feit dat dit schattingen zijn en de wisselkoers tussen de dollar en de euro is de afgelopen jaren fluctueerde, gaan we ervan uit dat er een 1:1 wisselkoers is en berekenen we de totale bedragen op basis daarvan". Er wordt gesteld dat Google, Microsoft en Meta bij elkaar een bedrag van 12,1 miljard dollar aan boetes hebben betaald. De onderzoekers zijn van mening dat de techbedrijven eenvoudig aan de wet kunnen voldoen. "Wanneer de adverteerserver van Microsoft verkeer met Sec-GPC: 1 ontvangt, hoeft het alleen een 451 Unavailable For Legal Reasons statuscode terug te geven om aan te geven dat de content niet kan worden geleverd vanwege de juridisch gedefinieerde opt-out van de gebruiker. In deze conditie wordt geen cookie geplaatst." Google, Microsoft en Meta ontkennen de bevindingen van de onderzoekers. "Dit rapport is gebaseerd op een fundamenteel misverstand van hoe onze producten werken. We respecteren opt-outs die door adverteerders en uitgevers worden aangeboden, zoals de wet vereist", aldus een woordvoerder van Google tegen The Record. Microsoft zegt dat het de privacy van gebruikers een topprioriteit vindt en dat het gebruikers die via GPC hun voorkeur hebben aangegeven uitschakelt van het delen van persoonlijke data met derde partijen voor gepersonaliseerde advertenties. "Sommige Microsoft-cookies zijn echter noodzakelijk voor operationele doeleinden en kunnen dan ook worden geplaatst en gelezen, ook al is er een GPC-signaal gedetecteerd." Meta stelt dat het onderzoek een "blatante marketingstunt" is die de werking van GPC en de rol van Meta verkeerd weergeeft. "De controle beperkt hoe data wordt gedeeld, niet verzameld, en Meta vereist dat wanneer er gebruik wordt gemaakt van de Meta-pixel, adverteerders alleen met ons informatie delen waarvoor ze het recht hebben om te delen." bron: https://www.security.nl

Tijdens de patchdinsdag van april heeft Microsoft een actief aangevallen spoofinglek in SharePoint Server gedicht. De kwetsbaarheid (CVE-2026-32201) maakt het mogelijk voor een ongeauthenticeerde aanvaller om een spoofing-aanval over een netwerk uit te voeren. Verdere details over de kwetsbaarheid en de waargenomen aanvallen zijn niet door Microsoft verstrekt. In totaal verhelpt Microsoft deze maand 165 kwetsbaarheden. Het gaat onder andere om een beveiligingslek in Microsoft Defender waardoor een aanvaller die al toegang tot een systeem heeft zijn rechten kan verhogen. Deze kwetsbaarheid (CVE-2026-33825) werd eerder deze maand door een onderzoeker openbaar gemaakt, omdat hij ontevreden was over de manier waarop Microsoft met bugmeldingen omgaat. De onderzoeker, die zichzelf Chaotic Eclipse noemt, publiceerde op GitHub exploitcode voor het beveiligingslek. Microsoft heeft het probleem nu verholpen en stelt dat de kwetsbaarheid alleen misbruikt kan worden door een aanvaller die al toegang tot het systeem heeft. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 7.8. bron: https://www.security.nl

AI kan aanvallen versnellen en het is dan ook belangrijk dat organisaties hun reactietijden verkorten en patchprocessen versnellen, zo stelt het Nationaal Cyber Security Centrum (NCSC). Het Amerikaanse AI-bedrijf Anthropic kondigde onlangs het AI model Mythos aan, een model voor kwetsbaarheidsopsporing en chaining. Volgens het NCSC kan Mythos kwetsbaarheden sneller opsporen en koppelen tot volledige exploits en aanvalsketens. "Dit kan de verdediging versterken, maar kan ook digitale aanvallen versnellen. De boodschap van het NCSC is simpel: Wacht niet af. Verkort je reactietijden, versnel patchprocessen, en zorg dat basisbeveiliging op orde is", aldus de overheidsinstantie. De huidige, beperkte toegang tot een selecte groep grote techbedrijven onderstreept de gevoeligheid en het potentieel van deze technologie. Het NCSC merkt op dat Mythos niet alleen losse kwetsbaarheden kan vinden, maar ze in samenhang benutten om complete aanvalsketens te construeren. "Dat vergroot het risico dat kleine, op zichzelf onschuldige bugs in combinatie een serieuze aanval mogelijk maken. Tegelijk ontbreken publieke technische details om de volledige impact te verifiëren; het is aannemelijk dat echte kwetsbaarheden worden geraakt, maar minder duidelijk hoe eenvoudig ze in de praktijk misbruikt kunnen worden", laat de overheidsinstantie verder weten. Volgens het NCSC is het aannemelijk dat vergelijkbare capaciteiten bij andere AI-modellen snel breder beschikbaar komen. "De versnelling die we hier zien, blijft niet beperkt tot een paar partijen." Het NCSC adviseert organisaties om AI-ontwikkelingen expliciet op te nemen in hun beveiligingsmaatregelen, met name patchmanagement. "Zero-days kun je niet voorkomen, maar de "time-to-patch" moet omlaag; uitstel van dagen of weken past niet meer bij het huidige dreigingslandschap." bron: https://www.security.nl