Captain Kirk

Softwarebedrijf Click Studios heeft een kwetsbaarheid in de wachtwoordmanager Passwordstate gedicht waardoor een aanvaller de authenticatie kan omzeilen. Via het beveiligingslek kan een aanvaller toegang tot de "Administration section" verkrijgen, waar beheerders belangrijke instellingen, configuraties en gebruikersaccounts kunnen beheren. Een CVE-nummer is nog niet bekend. Gebruikers worden opgeroepen om naar Build 9972 te updaten. Volgens Click Studios doet het probleem zich voor bij de Emergency Access pagina van de wachtwoordmanager. Via het ingebouwde Emergency Access account, dat over ‘Security Administrator’ rechten beschikt, kan er worden ingelogd op Passwordstate wanneer andere accounts niet te gebruiken zijn. Door een speciaal geprepareerde url op de Emergency Access pagina in te voeren kan er toegang worden verkregen tot de Administration section van de wachtwoordmanager, aldus een zeer korte beschrijving van Click Studios. Verdere details zijn niet bekendgemaakt. bron: https://www.security.nl

Een groep criminelen die eerder ransomware-aanvallen op on-premises omgevingen uitvoerde heeft het nu voorzien op cloudomgevingen, waarbij alle data van de getroffen organisatie eerst wordt gestolen en daarna verwijderd, zo laat Microsoft weten. Vervolgens moeten slachtoffers losgeld betalen om hun data terug te krijgen. In een uitgebreide analyse van de aanval, uitgevoerd door een groep criminelen die Microsoft Storm-0501 noemt, beschrijft het techbedrijf hoe de aanvallers via de on-premises omgeving toegang tot de cloudomgeving weten te krijgen. Daar wordt onder andere een backdoor toegevoegd in de vorm van een federated domain, waardoor de aanvallers als bijna elke gebruiker kunnen inloggen. Nadat de aanvallers de controle over de Azure-cloudomgeving van het bedrijf hebben brengen ze de belangrijke data stores met gevoelige gegevens in kaart, alsmede de locaties met back-ups van on-premises en cloud endpoint devices. Vervolgens worden de gevoelige gegevens gestolen, waarna de aanvallers de Azure resources met de data van het bedrijf verwijderen. Voor een aantal resources bleek het niet mogelijk om die te verwijderen, waarna de aanvallers probeerden om die via de encryptiefeature van Azure te versleutelen. Vervolgens verwijderden de aanvallers de key, maar Microsoft merkt op dat hiervoor een soft-delete van 90 dagen geldt, waardoor het bedrijf de key alsnog kon achterhalen en het versleutelen van de cloudbestanden voor losgeld mislukte. Na het stelen en verwijderen van de gegevens binnen de Azure-omgeving werd het niet nader genoemde bedrijf via Microsoft Teams door de aanvallers benaderd, die vervolgens losgeld eisten. Of er ook losgeld is betaald laat Microsoft niet weten. In de analyse doet het techbedrijf ook verschillende aanbevelingen voor het beveiligen van cloud-identiteiten en resources. bron: https://www.security.nl

De Windowsversie van Microsoft Word bewaart nieuwe bestanden voortaan automatisch in de cloud, zo heeft het techbedrijf in een blogposting aangekondigd. "We moderniseren de manier waarop bestanden in Word voor Windows worden gemaakt en opslagen. Nu hoef je je niet meer druk te maken over het opslaan van documenten: Alles wat je nieuw maakt wordt automatisch in OneDrive of de door jou gekozen cloudbestemming opgeslagen", zegt Microsofts Raul Munoz. Soortgelijke functionaliteit wordt later dit jaar ook aan Excel voor Windows en PowerPoint voor Windows toegevoegd. Gebruikers hebben wel de optie om het automatisch opslaan van bestanden in de cloud uit te schakelen of tijdens het opslaan een andere locatie te kiezen. De optie is nu beschikbaar in Word voor Windows versie 2509 (Build 19221.20000) en nieuwer. bron: https://www.security.nl

Inlichtingendiensten uit allerlei landen, waaronder ook Nederland, hebben vandaag telecombedrijven, internetproviders en andere bedrijven gewaarschuwd voor gehackte routers. Verschillende door de Chinese overheid gesponsorde groepen zouden achter de aanvallen zitten, aldus de AIVD, MIVD en andere inlichtingendiensten en cyberagentschappen uit Australië, Canada, Nieuw-Zeeland, Verenigd Koninkrijk, Verenigde Staten, Tsjechië, Finland, Duitsland, Italië, Japan, Polen en Spanje. Volgens de diensten hebben de aanvallers het voorzien op backbone routers van grote telecomproviders, alsmede provider edge (PE) en customer edge (CE) routers. Om toegang tot de routers te krijgen maken de aanvallers gebruik van bekende kwetsbaarheden in Ivanti Connect Secure, Palo Alto Networks PAN-OS en Cisco IOS. De diensten vermoeden echter dat ook andere apparaten, zoals Fortinet firewalls, Juniper firewalls, Microsoft Exchange servers, Nokia routers en switches, Sierra Wireless devices en Sonicwall firewalls het doelwit zijn. Er zijn geen aanwijzingen gevonden dat bij de aanvallen misbruik is gemaakt van zerodaylekken. De aanvallers proberen via de gecompromitteerde routers achterliggende netwerken te compromitteren en verkeer op te slaan, zo laat de waarschuwing weten. Daarnaast wijzigen de aanvallers Access Control Lists en voegen ip-adressen toe, worden standaard en niet-standaard poorten voor allerlei diensten (SSH, RDP en SFTP) opengezet, wordt de webinterface ingeschakeld of geherconfigureerd om op andere poorten te draaien en schakelen de aanvallers op Cisco-apparaten de HTTP/HTTPS-server in. In de waarschuwing geven de inlichtingendiensten ook Indicators of Compromise (IoC's) waarmee organisaties kunnen kijken of hun systemen zijn gecompromitteerd. Ook wordt "threat hunting" advies gegeven voor het detecteren van aanvallers, zoals het monitoren van configuratieaanpassingen, gevirtualiseerde containers, netwerkservices en -tunnels, firmware en logbestanden. Als laatste volgen aanbevelingen en hardening maatregelen, waaronder het uitschakelen van telnet, het implementeren van logging en uitschakelen van de Cisco Smart Install feature. bron: https://www.security.nl

Aanvallers maken gebruik van het contactformulier dat bedrijven op hun websites hebben staan voor het uitvoeren van phishingaanvallen. Dat laat securitybedrijf Check Point in een analyse weten. Door het gebruik van het contactformulier wordt de normale "phishing flow", waarbij de aanvaller het doelwit een e-mail stuurt, omgedraaid. Het is nu het doelwit dat de aanvaller benadert. Voor de aanval hebben de aanvallers verschillende zakelijk ogende domeinen geregistreerd. Vervolgens laten ze via het contactformulier van het aangevallen bedrijf een e-mailadres achter, waarna het bedrijf de e-mailcorrespondentie start. Volgens de onderzoekers blijven de aanvallers één tot twee weken met het bedrijf communiceren voordat ze een link naar een zip-bestand versturen. Het zou zogenaamd om een Non-Disclosure Agreement (NDA) gaan. Dit zip-bestand bevat weer .lnk-bestand dat uiteindelijk een backdoor installeert. Om doelwitten niets te laten vermoeden krijgen die als afleidingsmanoeuvre een echt NDA-document te zien. Volgens Check Point hebben de aanvallers het vooral voorzien op industriële productiebedrijven, maar ook op hardware- en halfgeleiderfabrikanten, leveranciers van consumentengoederen en diensten en biotech- en farmaceutische bedrijven. Dat ook elektronica-, luchtvaart- en energiebedrijven doelwit zijn, naast meer traditionele industriële doelwitten, laat volgens de onderzoekers zien dat de aanvallers het hebben gemunt op organisaties met waardevolle proprietary data, sterke leveranciersnetwerken of te misbruiken infrastructuur. bron: https://www.security.nl

Google heeft belangrijke beveiligingsupdates voor Chrome uitgebracht die een kritieke kwetsbaarheid verhelpen waardoor remote code execution mogelijk is. Een gebruiker hoeft alleen een gecompromitteerde of besmette website te bezoeken of een besmette advertentie te zien krijgen om bijvoorbeeld met malware besmet te raken. Er is geen verdere interactie vereist. Dergelijke aanvallen worden ook wel een drive-by download genoemd. Het is pas de tweede kritieke kwetsbaarheid dit jaar die Google in Chrome rapporteert. De eerste werd in maart verholpen. Het beveiligingslek wordt aangeduid als CVE-2025-9478 en betreft een 'use after free' in ANGLE. Dit is een onderdeel van de browser dat wordt gebruikt voor het uitvoeren van WebGL- en andere OpenGL-content. Vorig jaar zijn er meerdere kritieke kwetsbaarheden in ANGLE gerapporteerd. De kwetsbaarheid werd gevonden door "Google Big Sleep", zo laat het techbedrijf weten. Dit is een AI-agent die Google ontwikkelde voor het vinden van kwetsbaarheden. In het geval van kritieke kwetsbaarheden probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details kunnen vervolgens na zestig dagen openbaar worden gemaakt.Google Chrome 139.0.7258.154/.155 is beschikbaar voor Windows en macOS. Voor Linux is versie 139.0.7258.154 verschenen. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan echter een aantal dagen tot weken duren. Gebruikers die de update direct willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar. bron: https://www.security.nl

Een nieuwe kritieke kwetsbaarheid waarvoor Citrix gisteren waarschuwde en updates uitbracht raakte op dat moment ruim 28.000 systemen, waarvan 1300 in Nederland. Dat meldt The Shadowserver Foundation op basis van eigen onderzoek. Wat de laatste stand van zaken is met betrekking tot ongepatchte systemen is nog niet bekend, maar in de praktijk kan het weken duren voordat Citrix-updates worden geïnstalleerd. Ook voor actief aangevallen lekken. Het beveiligingslek (CVE-2025-7775) betreft een buffer overflow die remote code execution mogelijk maakt. Via de kwetsbaarheid kan een ongeauthenticeerde aanvaller op afstand code op kwetsbare Citrix-systemen uitvoeren. Aanvallers hebben al voor het uitkomen van de patches misbruik van het beveiligingslek gemaakt. Hoeveel Citrix-systemen inmiddels zijn gecompromitteerd en sinds wanneer CVE-2025-7775 bij aanvallen wordt misbruikt is onbekend. The Shadowserver Foundation is een stichting die zich bezighoudt met de bestrijding van cybercrime en geregeld onderzoek doet naar kwetsbare systemen op internet. Bij het bekend worden van het nieuwe Citrix-lek werd een scan uitgevoerd naar Citrix-systemen die vanaf internet toegankelijk zijn. Dit leverde 28.200 ongepatchte systemen op, waarvan 1300 in Nederland. De meeste ongepatchte Citrix-systemen werden in de Verenigde Staten en Duitsland waargenomen. Eerder deze maand deed The Shadowserver Foundation onderzoek naar twee andere Citrix-kwetsbaarheden, aangeduid als CVE-2025–5777 en CVE-2025-6543. Voor deze beveiligingslekken zijn sinds 17 en 25 juni updates beschikbaar. Op 12 augustus bleek dat nog duizenden Citrix-systemen niet waren gepatcht. bron: https://www.security.nl

De Belgische regeringspartij N-VA is tegen chatcontrole en vindt dat België zich tijdens een eventuele stemming in oktober van stemming moet onthouden. "Chat control dreigt een monster te worden dat in je privacy inbreekt en dat je niet meer getemd krijg", zegt N-VA-Kamerlid Michael Freilich tegenover de Belgische krant HLN. In oktober wordt op Europees niveau mogelijk gestemd over een Deens voorstel dat chatdiensten kan verplichten om de inhoud van berichten die gebruikers versturen te controleren. Volgens de Europese burgerrechtenbeweging EDRi is het Deense voorstel in werkelijkheid een combinatie van de Belgische en Hongaarse voorstellen die eerder al werden gedaan. Deze voorstellen werden uiteindelijk niet in stemming gebracht omdat er onvoldoende voorstemmers waren. De Europese Commissie wil een wet invoeren waardoor chatdiensten verplicht worden om alle berichten van hun gebruikers te controleren. Europese wetgeving vindt plaats via een trialoog, waarbij de Europese Commissie, het Europees Parlement en de Raad van Ministers onderhandelen over wetgevende voorstellen. Het Europees Parlement zag het voorstel van de Europese Commissie voor chatcontrole niet zitten en kwam met een eigen voorstel, waar nog steeds kritiek op is, maar wat end-to-end versleutelde diensten uitzondert. Binnen de EU-lidstaten is nog altijd geen positie ingenomen. Omdat er onvoldoende voorstemmers waren heeft geen van de vorige EU-voorzitters hun voorstel over chatcontrole in stemming gebracht. Sinds 1 juli is Denemarken de EU-voorzitter en het land kwam meteen met een nieuw voorstel dat onder andere verplichte detectie bevat. Bovendien kan ook met betrekking tot nieuw materiaal op grond van dit voorstel een verplicht detectiebevel aan chatdiensten worden gegeven. Om het voorstel aangenomen te krijgen is een 'gekwalificeerde meerderheid' vereist. Een gekwalificeerde meerderheid is bereikt als vijftien lidstaten vóór stemmen én het voorstel wordt gesteund door lidstaten die samen tenminste 65 procent van de totale EU-bevolking vertegenwoordigen. In juli meldde Patrick Breyer van de Duitse Piratenpartij dat vijftien landen voor het Deense voorstel zullen stemmen. Nederland, Polen en Oostenrijk zijn tegen of neutraal en de overige landen hebben nog geen positie ingenomen. "N-VA zal zich verzetten tegen chat control in de huidige vorm, want het is ontspoord”, aldus Freilich. Van de andere partijen in de Belgische regering is bekend dat minister van Justitie Annelies Verlinden, van CD&V, juist voorstander van chatcontrole is. Volgens EDRi blijkt uit een verslag van het laatste overleg over het Deense voorstel dat de verdeling tussen voor- en tegenstanders niet veranderd is ten opzichte van de vorige periode. De poging van Denemarken lijkt dan ook meer op een PR-oefening dan een echte poging om beweging in de zaak te krijgen, laat de burgerrechtenbeweging verder weten. Duitsland Er wordt vooral gekeken naar de stem van Duitsland, dat de doorslag kan geven. Het land was eerder nog tegen chatcontrole, maar de nieuwe regering zou nog geen beslissing hebben genomen. "Als de Duitse regering instemt met het nieuw compromis, betekent dat waarschijnlijk dat de oppositie in de Raad het voorstel in deze fase niet langer zal kunnen tegenhouden", zegt Rejo Zenger van Bits of Freedom. "De volgende stap is in dat geval de geheime onderhandelingen tussen de Raad, het Europees Parlement en de Europese Commissie. De uitkomst daarvan is onvoorspelbaar. Wat wel vaststaat is dat we daarmee een stap dichter bij het moment komen waarop deze draconische maatregelen werkelijkheid worden", gaat Zenger verder. Hij verwacht dat als het voorstel zal worden aangenomen een Europese rechter het over een paar jaar ongeldig zal verklaren. bron: https://www.security.nl

Het Nationaal Cyber Security Centrum (NCSC) heeft een eerder gepubliceerd script aangepast zodat organisaties webshells op hun Citrix-systemen kunnen detecteren die daar via nieuwe kwetsbaarheden op zijn geplaatst. Webshells zijn malware waarmee een aanvaller toegang tot een gecompromitteerde server kan behouden, ook als die daarna wordt gepatcht, en verdere aanvallen uitvoeren. Het NCSC publiceerde op 13 augustus een eerste versie van het detectiescript voor het detecteren van webshells die via een beveiligingslek aangeduid als CVE-2025-6543 op Citrix-systemen waren geplaatst. Gisteren kwam Citrix met beveiligingsupdates voor drie nieuwe kwetsbaarheden, waarvan er één (CVE-2025-7775) al voor het uitkomen van de patches actief bij aanvallen is gebruikt. Naar aanleiding van de nieuwe kwetsbaarheden meldt het NCSC dat het detectiescript ook te gebruiken is om de aanwezigheid van webshells te detecteren die via de nieuwe beveiligingslekken op systemen zijn geplaatst. Er is daarbij ook gisteren een nieuwe versie van het script verschenen. CVE-2025-7775 betreft een kritieke kwetsbaarheid waardoor een ongeauthenticeerde aanvaller op afstand code op kwetsbare Citrix-systemen kan uitvoeren. Citrix stelt dat misbruik alleen bij bepaalde configuraties mogelijk is. "Het NCSC heeft nader onderzoek gedaan en dat toont aan dat de kwetsbare configuratie zeer veel voorkomt waardoor grootschalig misbruik waarschijnlijk wordt", laat het Digital Trust Center (DTC) van het ministerie van Economische Zaken weten. Via Citrix kunnen medewerkers van bedrijven en organisaties op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt veel voor thuiswerken gebruikt. De impact van een gecompromitteerd Citrix-systeem kan dan ook groot zijn. bron: https://www.security.nl

Citrix-systemen zijn aangevallen via een nieuwe kritieke kwetsbaarheid die tot remote code execution leidt, waardoor een aanvaller het systeem kan compromitteren, zo laat Citrix zelf weten. Het bedrijf heeft vandaag beveiligingsupdates uitgebracht om het probleem te verhelpen. De aanvallen waarvoor Citrix waarschuwt vonden plaats voordat de patch beschikbaar was. De kwetsbaarheid, aangeduid als CVE-2025-7775, betreft een buffer overflow in Citrix/NetScaler ADC en Citrix/NetScaler Gateway. Citrix ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. Via de Citrix Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. De impact van een gecompromitteerd Citrix-systeem kan dan ook groot zijn. Misbruik van de kwetsbaarheid hangt volgens Citrix af van de configuratie. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.2. Verdere details over het waargenomen misbruik, zoals het aantal getroffen klanten en sinds wanneer de aanvallen plaatsvinden, zijn niet door Citrix gegeven. "Er is een aantal nieuwe NetScaler-kwetsbaarheden die als zerodays worden misbruikt", zegt beveiligingsonderzoeker Kevin Beaumont. "Patches zijn nu beschikbaar." Volgens de onderzoeker wordt het lek gebruikt om Citrix-systemen met een webshell te infecteren. Via een webshell kan een aanvaller toegang tot een gecompromitteerd systeem behouden en verdere aanvallen uitvoeren, ook als het systeem later wordt gepatcht. Beaumont spreekt in zijn bericht op Mastodon over meerdere kwetsbaarheden. De updates van Citrix verhelpen in totaal drie beveiligingslekken, maar volgens het bedrijf wordt er alleen van CVE-2025-7775 misbruik gemaakt. Onlangs bleek dat aanvallers op Citrix-systemen van het Openbaar Ministerie hadden ingebroken en liet het Nationaal Cyber Security Centrum (NCSC) weten dat de Citrix-systemen van meerdere vitale Nederlandse organisaties via een kritieke kwetsbaarheid zijn gecompromitteerd. Het ging volgens het NCSC om CVE-2025-6543, waarvan de omschrijving, het onderliggende probleem en impactscore nagenoeg gelijk zijn aan die van CVE-2025-7775. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Docker Desktop maakt het mogelijk voor malafide containers om toegang tot het onderliggende host-systeem te krijgen. Het beveiligingslek (CVE-2025-9074) is vorige week met versie 4.44.3 gepatcht. Docker Desktop is een applicatie waarmee softwareontwikkelaars op een lokale machine applicaties in een container kunnen ontwikkelen en draaien. De kritieke kwetsbaarheid maakt het mogelijk voor een malicious container om de Docker Engine te benaderen en andere Docker containers te starten, zonder dat de Docker socket gemount moet zijn. Dit kan ervoor zorgen dat een aanvaller via de malicious container toegang tot het onderliggende host-systeem kan krijgen. Ook als Enhanced Container Isolation (ECI) staat ingeschakeld. Deze beveiligingsmaatregel moet juist voorkomen dat malicious containers het host-systeem kunnen compromitteren. "De kwetsbaarheid is op zichzelf vrij eenvoudig: De Docker Engine socket zou nooit toegankelijk voor onbetrouwbare code of gebruikers moeten zijn. Dit socket is de management API voor Docker en er toegang toe hebben geeft volledige toegang tot alles wat de Docker-applicatie kan doen", zegt onderzoeker Philippe Dugre. Een aanvaller zou zo in het ergste geval bestanden op de host kunnen lezen en schrijven. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. bron: https://www.security.nl

Er is een sterke toename van scans gericht tegen Microsoft RDP-services, wat mogelijk samenhangt met Amerikaanse onderwijsinstellingen en universiteiten die hun systemen weer online brengen. Dat stelt securitybedrijf GreyNoise op basis van eigen onderzoek. De scans zijn gericht tegen Microsoft RD Web Access en Microsoft RDP Web Client, die gebruikers via een browser toegang tot remote diensten geven. Het securitybedrijf zag op 24 augustus meer dan 30.000 unieke ip-adressen die op "timing flaws" testen, waarmee geldige gebruikersnamen zijn te achterhalen. Als eerste zoeken de aanvallers naar endpoints waarvan RD Web Access of de RDP Web Client vanaf het internet toegankelijk zijn. Vervolgens wordt er gekeken of tijdens de inlogprocedure informatie lekt waarmee geldige gebruikersnamen zijn te achterhalen. Een systeem kan bij een ongeldige gebruikersnaam meer of minder tijd nodig hebben dan bij een geldige gebruikersnaam, wat aanvallers kan vertellen dat een gebruikersnaam in het systeem bestaat of niet. Zodra de gebruikersnamen zijn bevestigd kunnen de aanvallers later proberen om hier door middel van credential stuffing, password spraying of bruteforce-aanvallen toegang tot te krijgen. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan. Password spraying is een techniek waarbij een aanvaller met veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen gebruikt een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Door deze techniek voorkomt de aanvaller dat een account wordt geblokkeerd en de aanval wordt opgemerkt. Vaak wordt er ook vanaf allerlei verschillende ip-adressen ingelogd. Volgens GreyNoise is de timing van de waargenomen scans geen toeval. In de Verenigde Staten start het schooljaar, waardoor scholen en universiteiten hun RDP-systemen weer online brengen en duizenden nieuwe accounts registreren. Deze omgevingen gebruiken volgens de onderzoekers vaak voorspelbare formats, wat het enumereren van de namen effectiever maakt. De onderzoekers merken op dat de scans alleen tegen Amerikaanse systemen zijn gericht. Daarnaast stellen ze dat pieken in het aantal scans tegen bepaalde systemen of platforms vaak worden opgevolgd door aanvallen of nieuwe kwetsbaarheden in de betreffende omgevingen. bron: https://www.security.nl

Het Amerikaanse cyberagentschap CISA waarschuwt voor actief misbruik van een kwetsbaarheid in Git waardoor een aanvaller code op systemen kan uitvoeren. Git is een populaire oplossing voor softwareontwikkelaars om code van een lokale repository naar een remote Git-repository te krijgen. Zo kunnen meerdere programmeurs aan de code werken. Het is ook mogelijk om een remote Git-repository naar een lokale machine of andere locatie te kopiëren. Het beveiligingslek, CVE-2025-48384, doet zich voor wanneer gebruikers nietsvermoedend een malafide repository met submodules via de --recursive flag klonen. Bij het verwerken van het .gitmodules bestand gaat Git niet goed om met configuratiewaarden en carriage return (\r of CR) karakters. Hierdoor kan een aanvaller de interne submodule paden manipuleren en Git naar onverwachte locaties op het filesystem laten schrijven. Het probleem doet zich voor bij bepaalde versies van Git voor macOS en Linux. Op 8 juli verschenen er beveiligingsupdates voor het probleem. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 8.1. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security laat weten dat er actief misbruik van het beveiligingslek wordt gemaakt. Details over de waargenomen aanvallen worden echter niet gegeven. Amerikaanse overheidsinstanties die met Git werken zijn opgedragen de patches voor 15 september te installeren. bron: https://www.security.nl

Onderzoekers van securitybedrijf Guardio hebben aangetoond hoe ze de AI-browser van Perplexity via een phishingmail op een phishingsite kunnen laten inloggen. Eerder hadden de makers van de Brave-browser laten zien hoe malafide prompts op een website zijn te gebruiken om informatie van gebruikers te stelen. De Comet-browser van Perplexity maakt het mogelijk om allerlei taken te automatiseren. Gebruikers kunnen de browser ook vragen om de inbox van een e-mailaccount te beheren. Onderzoekers van securitybedrijf Guardio hadden de AI-browser zo ingesteld om e-mails op 'to-do items' te controleren en die ook uit te voeren. Vervolgens verstuurden de onderzoekers vanaf een nieuw e-mailadres een 'phishingmail' die van de Amerikaanse bank Wells Fargo afkomstig leek. Het bericht vroeg de ontvanger om op de meegestuurde link in te loggen. Deze link wees naar een echte phishingsite, merken de onderzoekers op. Zodra de AI-browser de link verwerkt wordt die zonder enige verificatie geopend en worden automatisch de inloggegevens van de gebruiker ingevuld. "Door de gehele interactie van e-mail tot website af te handelen, staat Comet eigenlijk in voor de phishingpagina. De mens heeft nooit het verdachte adres van de afzender gezien, nooit over de link bewogen en had nooit een kans om aan het domein te twijfelen", aldus de onderzoekers. Indirect Prompt Injection De ontwikkelaars van de Brave-browser ontwikkelden een andere aanval op Comet, waarbij ze malafide prompts op Reddit plaatsten om zo Perplexity-accounts over te nemen. Wanneer de gebruiker de AI-browser vraagt om de Reddit-pagina samen te vatten, worden de aanwezige malafide prompts uitgevoerd en kan er uiteindelijk een one-time password worden gestolen dat toegang tot het account geeft. Volgens de onderzoekers laat de aanval zien dat traditionele aannames over websecurity niet van toepassing zijn op 'agentic AI'. Brave rapporteerde het probleem van 'Indirect Prompt Injection' aan Perplexity dat met een oplossing kwam. De onderzoekers kwamen vorige week met een update waarin ze stellen dat de betreffende aanval niet helemaal in de browser is verholpen. bron: https://www.security.nl

Securitybedrijven waarschuwen voor een advanced persistent threat (APT)-groep die .desktop-bestanden verstuurt om Linux-systemen mee te infecteren. Een tactiek die al een aantal jaren bekend is. Bij de aanval ontvangt het doelwit een e-mail met als bijlage een zip-bestand. Het zip-bestand bevat een bestand dat op een pdf-bestand lijkt, maar in werkelijkheid een .desktop-bestand is. Het bestand heeft een pdf-icoon en eindigt op .pdf.desktop. Een .desktop-bestand is een configuratiebestand dat in Linux-desktopomgevingen wordt gebruikt om applicatie shortcuts en launchers mee te definiëren. Het bevat ook een "Exec field" waarmee commando's kunnen worden uitgevoerd. Wanneer de gebruiker het malafide .desktop-bestand opent wordt er een bash commando dat in het Exec field staat uitgevoerd, dat in de achtergrond een payload downloadt. Deze payload downloadt een pdf-document van het internet en laat dit als afleidingsmanoeuvre aan de gebruiker zien, terwijl er in de achtergrond een malafide ELF executable wordt gedownload en uitgevoerd. Het ELF-bestand is malware waarmee de aanvallers allerlei data van het systeem kunnen stelen. Daarnaast worden aanpassingen uitgevoerd zodat de malware bij elke systeemstart wordt geladen, zo laten securitybedrijven Cyfirma en CloudSEK weten. Volgens de securitybedrijven zijn de aanvallen gericht tegen Indiase overheidsinstanties en het werk van een groep aanvallers genaamd APT36. Het zou om een vanuit Pakistan opererende groep gaan die sinds 2013 actief is. Organisaties worden onder andere aangeraden hun personeel cybersecurity awareness training te geven, met een nadruk op phishing-indicatoren en risicovolle Linux-bestandstypes. Daarnaast wordt het uitschakelen van .desktop-bestanden van onbetrouwbare bronnen aangeraden. Update Googles online virusscandienst VirusTotal waarschuwde een aantal maanden geleden voor een nieuwe aanvalsgolf waarbij .desktop-bestanden werden gebruikt. bron: https://www.security.nl

De Indiase autoriteiten hebben in samenwerking met de FBI, het Britse National Crime Agency (NCA) en Microsoft een callcenter opgerold dat werd gebruikt voor Microsoft-helpdeskfraude. Volgens het NCA werden via het callcenter in alleen het Verenigd Koninkrijk meer dan honderd slachtoffers gemaakt, die omgerekend voor omgerekend 450.000 euro werden opgelicht. Slachtoffers kregen een pop-up te zien dat hun computer was geïnfecteerd of gehackt. Vaak wordt bij deze pop-ups gevraagd een opgegeven telefoonnummer te bellen. Ook komt het voor dat de oplichters potentiële slachtoffers zelf bellen. De oplichters deden zich vervolgens voor als Microsoft-medewerker en boden vervolgens software aan om de problemen te verhelpen. Bij helpdeskfraude komt het ook geregeld voor dat oplichters toegang tot de bankrekening proberen te krijgen. Het National Crime Agency stelt dat de oplichters gebruikmaakten van gespoofte telefoonnummers of VoIP en het verkeer via servers in verschillende landen lieten lopen. Tijdens het onderzoek werd duidelijk dat de oplichters het ook op Amerikaanse burgers hadden gemunt. Het NCA, de FBI en Microsoft wisten een aantal hoofdverdachten te identificeren die zich in India bevinden. De data werd gedeeld met de Indiase autoriteiten die afgelopen maandag een inval bij het callcenter deden. bron: https://www.security.nl

Een kritieke kwetsbaarheid in de Fortinet FortiWeb web application firewall (WAF) maakt het mogelijk voor ongeauthenticeerde aanvallers om het apparaat op afstand over te nemen. Fortinet kwam deze week met updates voor het beveiligingslek, waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 9.6. Securitybedrijf watchTowr heeft vandaag uitgebreide technische details gedeeld hoe het lek is te misbruiken. FortiWeb is een apparaat dat applicaties tegen aanvallen moet beschermen. De kwetsbaarheid, CVE-2025-25257, betreft "klassiek SQL injection", aldus de onderzoekers van watchTowr. Bij SQL Injection kan een aanvaller SQL-opdrachten op een systeem uitvoeren, wat vaak mogelijk is omdat gebruikersinvoer niet goed wordt gevalideerd. SQL-Injection is een probleem dat al sinds 1998 bekend is. De ongeauthenticeerde SQL injection maakt ongeauthenticeerde remote command execution mogelijk, waardoor een aanvaller shell op het apparaat kan krijgen. Eind vorig jaar waarschuwde het Amerikaanse cyberagentschap CISA nog voor actief misbruik van een andere kwetsbaarheid in verschillende Fortinet-producten, waaronder FortiWeb. Organisaties worden opgeroepen de beschikbaar gestelde updates te installeren. Als workaround noemt Fortinet het uitschakelen van de HTTP/HTTPS admin-interface. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Wing FTP Server wordt actief misbruikt bij aanvallen en laat aanvallers kwetsbare servers volledig overnemen. Dat laat securitybedrijf Huntress weten. Een update voor de kwetsbaarheid is sinds 14 mei beschikbaar. Wing FTP Server is software voor het opzetten van een secure ftp-server en ondersteunt onder andere FTP, FTPS, HTTP, HTTPS en SFTP. De kwetsbaarheid (CVE-2025-47812) wordt veroorzaakt doordat Wing FTP Server tijdens het authenticatieproces niet goed omgaat met null bytes in de username parameter. Hierdoor kan een aanvaller Lua-code injecteren, die vervolgens met root/SYSTEM-rechten wordt uitgevoerd. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Details over de kwetsbaarheid werden op 30 juni openbaar gemaakt. Huntress laat weten dat het sinds 1 juli actief misbruik van het beveiligingslek heeft waargenomen. Organisaties die van de ftp-serversoftware gebruikmaken worden opgeroepen om naar Wing FTP Server versie 7.4.4 te updaten. De versie is beschikbaar voor Linux, macOS en Windows. De makers claimen wereldwijd meer dan tienduizend klanten te hebben. bron: https://www.security.nl

Verschillende kwetsbaarheden in de bluetooth-technologie waar verschillende autofabrikanten gebruik van maken, waaronder Volkswagen, Mercedes en Skoda, maken het mogelijk voor een aanvaller om gesprekken in auto's af te luisteren, opgeslagen telefoonnummers te stelen, de gps-coördinaten te volgen en andere systeemonderdelen van de auto aan te vallen. Dat stellen onderzoekers van cybersecuritybedrijf PCA Cyber Security. De in totaal vier beveiligingslekken bevinden zich in de OpenSynergy Bluetooth Protocol Stack (BlueSDK), die autofabrikanten vooral voor hun infotainmentsystemen gebruiken. De kwetsbaarheden maken het mogelijk voor een aanvaller om code op het systeem uit te voeren. Via het gecompromitteerde infotainmentsysteem is het mogelijk om bijvoorbeeld gesprekken in de auto af te luisteren of toegang tot opgeslagen telefoonnummers te krijgen. De onderzoekers stellen dat het ook mogelijk is om andere electronic control units van de auto aan te vallen, maar dit vereist wel aanvullende kwetsbaarheden en is ook niet door de onderzoekers gedemonstreerd. Voor het uitvoeren van de aanval moet een aanvaller wel binnen bluetooth-bereik van het infotainmentsysteem zijn. Vervolgens moet de aanvaller zijn laptop met het infotainmentsysteem pairen. Bij sommige systemen vereist dit interactie van de aangevallen gebruiker, in andere gevallen is er geen interactie vereist, aldus de onderzoekers. OpenSynergy werd vorig jaar juni over de problemen ingelicht en kwam in september met updates. Niet alle fabrikanten hebben die meteen ontvangen. Dat was pas vorige maand het geval, aldus de onderzoekers. Eén van de fabrikanten die nog geen updates heeft kunnen uitrollen is dan ook bewust niet door de onderzoekers genoemd. Autobezitters worden aangeraden hun infotainmentsysteem te updaten of andere bluetooth uit te schakelen. bron: https://www.security.nl

Adobe heeft updates uitgebracht voor kritieke kwetsbaarheden in ColdFusion en adviseert die binnen 72 uur te installeren. Het softwarebedrijf heeft het installeren van de patches de hoogste prioriteit gegeven, omdat ColdFusion geregeld het doelwit van aanvallen is geweest. ColdFusion is een platform voor het ontwikkelen van webapplicaties. Vijf kritieke kwetsbaarheden in de software maken het mogelijk voor een aanvaller om bestanden te lezen, beveiligingsmaatregelen te omzeilen en rechten te verhogen. De gevaarlijkste kwetsbaarheid is CVE-2025-49535, door Adobe omschreven als 'Improper Restriction of XML External Entity Reference'. Een aanvaller kan via dit lek willekeurige bestanden op het file system lezen en zo toegang tot gevoelige informatie krijgen waarmee verdere aanvallen zijn uit te voeren. De impact van het lek is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. Adobe heeft ColdFusion 2025 Update 3, ColdFusion 2023 Update 15 en ColdFusion 2021 Update 21 uitgebracht om de problemen te verhelpen. Om aan te geven dat het om belangrijke updates gaat werkt Adobe met een prioritering. De ColdFusion-updates hebben de hoogste prioriteit gekregen. Dit houdt in dat updates volgens het softwarebedrijf "zo snel mogelijk" moeten worden geïnstalleerd, waarbij als voorbeeld binnen 72 uur wordt gegeven. "ColdFusion moet op dit punt waarschijnlijk als "legacy" worden beschouwd. Als je er nog steeds gebruik van maakt zou je moeten overwegen om naar iets moderner te migreren", zegt Dustin Childs van het Zero Day Initiative. bron: https://www.security.nl

Verschillende kritieke lekken in Windows, Microsoft Office en SharePoint maken remote code execution (RCE) mogelijk, waarbij er geen interactie van gebruikers is vereist. Het Windows-lek is volgens onderzoekers "wormable". De Office-kwetsbaarheden zijn onder andere via de Preview Pane (Voorbeeldvenster) door een aanvaller te misbruiken. Het Preview Pane zorgt ervoor dat de inhoud van een bestand wordt weergegeven zonder dat de gebruiker het bestand zelf hoeft te openen. Microsoft kwam gisterenavond met updates voor de in totaal vier kritieke Office-kwetsbaarheden (CVE-2025-49695, CVE-2025-49696, CVE-2025-49697 en CVE-2025-49702. De impact van de beveiligingslekken is op een schaal van 1 tot en met 10 drie keer beoordeeld met een 8.4 en één keer met een 7.8. Updates voor Microsoft Office LTSC voor Mac 2021 en 2024 zijn nog niet beschikbaar. "Misschien is het tijd om de Preview Pane uit te schakelen totdat Microsoft deze problemen oplost", zegt Dustin Childs van het Zero Day Initiative. Hij merkt op dat Microsoft al drie maanden op rij met kritieke Office-lekken te maken heeft. Een andere kritieke kwetsbaarheid die tot remote code execution kan leiden bevindt zich in SharePoint (CVE-2025-49704). Het beveiligingslek werd twee maanden geleden tijdens de Pwn2Own-wedstrijd in Berlijn gedemonstreerd. Volgens Microsoft kan elke bij SharePoint geauthenticeerde gebruiker misbruik van het lek maken en zijn er geen verhoogde rechten nodig. Een aanvaller kan daarna code op de SharePoint-server uitvoeren. De impactscore van deze kwetsbaarheid is beoordeeld met een 8.8. Microsoft verwacht dat aanvallers van dit beveiligingslek misbruik zullen maken. De gevaarlijkste kwetsbaarheid deze maand bevindt zich in het SPNEGO Extended Negotiation (NEGOEX) Security Mechanism van Windows. SPNEGO staat voorr Simple and Protected GSSAPI Negotiation Mechanism en is een standaard die bepaalt welke authenticatietechnologie tussen een client en server wordt gebruikt. Het beveiligingslek (CVE-2025-47981) maakt het mogelijk voor een ongeauthenticeerde aanvaller om via het versturen van een "malicious message" code op de server uit te voeren. Er is wederom geen interactie vereist, wat inhoudt dat een computerworm zich via het lek kan verspreiden. De impact is beoordeeld met een 9.8 en Microsoft verwacht actief misbruik. "Test en rol deze patches snel uit", adviseert Childs. De updates worden op de meeste machines automatisch geïnstalleerd. bron: https://www.security.nl

Een kwetsbaarheid in NetScaler ADC en NetScaler Gateway, ook bekend als CitrixBleed2 en CVE-2025–5777, is sinds halverwege juni gebruikt om NetScaler-sessies te kapen en multifactorauthenticatie (MFA) te omzeilen, zo stelt de Britse beveiligingsonderzoeker Kevin Beaumont. Eind juni meldde securitybedrijf ReliaQuest al mogelijk misbruik van het lek. Op 17 juni verschenen er beveiligingsupdates voor het probleem. Een aantal dagen later, op 26 juni, stelde NetScaler dat het niet bekend was met actief misbruik van de kwetsbaarheid. Via het beveiligingslek kan een ongeauthenticeerde aanvaller op afstand gevoelige informatie direct uit het geheugen van de NetScaler-server lezen. Zo is het mogelijk om session tokens te stelen waarmee aanvallers toegang tot het systeem kunnen krijgen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. Er zijn inmiddels meer details over het probleem openbaar gemaakt, waaronder proof-of-concept exploitcode. Op 26 juni vond misbruik van CVE-2025–5777 al plaats, aldus Beaumont. Die kwam met de naam CitrixBleed2, vanwege de overeenkomsten met een kwetsbaarheid uit 2023 die de naam CitrixBleed kreeg. De onderzoeker zegt met verschillende organisaties te hebben gewerkt, waardoor hij kan vaststellen dat misbruik sinds halverwege juni al plaatsvindt. "Misbruik vond snel na het uitkomen van de patch plaats", aldus Beaumont. Die deed ook onderzoek naar kwetsbare Citrix-servers en stelt dat 24 procent van de organisaties de beschikbaar gestelde updates niet heeft geïnstalleerd. Na installatie van de update is het ook nodig om actieve sessies te stoppen. NetScaler ADC (eerder bekend als Citrix ADC) is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. Via de NetScaler Gateway (eerder bekend als Citrix Gateway) kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. De impact van een gecompromitteerd NetScaler-systeem kan dan ook groot zijn. bron: https://www.security.nl

Onderzoekers hebben in de Chrome Web Store en Microsofts Edge Add-ons meerdere malafide extensies ontdekt die bij elkaar 2,3 miljoen gebruikers hebben. De extensies, waaronder een vpn, weer-app en color picker, bieden de beloofde functionaliteit. Volgens securitybedrijf Koi Security waren sommige van de in totaal 18 malafide extensies al jaren schoon, voordat er door middel van een update malware werd toegevoegd. De malafide extensies sturen de url van elke bezochte website naar een remote server, alsmede een uniek tracking-ID van de gebruiker. Vervolgens stuurt de server een url terug waar de gebruiker door de browser naar wordt doorgestuurd. Verschillende van de malafide extensies hebben een 'Verified' status, aldus de onderzoekers. Deze status wordt gegeven aan extensies die van een vertrouwde ontwikkelaar afkomstig zijn en aan bepaalde veiligheids- en beleidsstandaarden voldoen. Gebruikers wordt aangeraden de malafide extensies meteen te verwijderen en browserdata op te schonen. Securitybedrijf LayerX laat weten dat sommige van de extensies nog steeds in de Chrome Web Store zijn te vinden. bron: https://www.security.nl

De makers van e-mailclient Thunderbird hebben een grote nieuwe upgrade uitgebracht met de naam 'Eclipse', die volgens het ontwikkelteam duizenden bugfixes en prestatieverbeteringen bevat, alsmede experimentele ondersteuning van Microsoft Exchange. Vooralsnog wordt de nieuwe versie niet automatisch aangeboden maar zullen gebruikers die handmatig moeten installeren. Naast bugfixes en verbeteringen zijn er ook nieuwe features toegevoegd, waaronder native OS-notificaties, dark message mode, een 'Account Hub' voor het toevoegen van nieuwe accounts, handmatige foldersortering, een exportfunctie om accountinstellingen en -wachtwoorden naar Thunderbird voor Android over te zetten en experimentele ondersteuning van Microsoft Exchange. De ontwikkelaars benadrukken dat de support van Exchange beperkt is tot het instellen van een account, folderbeheer en het schrijven, versturen en ontvangen van e-mail. Vanwege de experimentele aard wordt verder aangeraden een test Thunderbird-profiel aan te maken. Het ontwikkelteam stelt dat ondanks de uitgebreide tests sommige problemen pas duidelijk worden nadat heel veel gebruikers met de software werken. Er is daarom besloten om automatische updates naar Thunderbird 140 geleidelijk in te schakelen. bron: https://www.security.nl

Een grootschalige storing bij it-leverancier Ingram Micro is veroorzaakt door ransomware, zo heeft het bedrijf zelf bekendgemaakt. Afgelopen vrijdag waren websites en klantportalen van Ingram Micro wegens "technische problemen" niet beschikbaar. Op Reddit klaagden tal van klanten over het onbereikbaar zijn van diensten. Inmiddels is de melding op de websites van Ingram Micro aangepast en staat er dat het bedrijf te maken heeft met een cybersecurity-incident. In een persbericht meldt Ingram Micro dat systemen recentelijk door ransomware zijn getroffen. Daarop is besloten bepaalde systemen offline te halen. Hoeveel systemen zijn getroffen en hoe de aanval mogelijk was laat de it-leverancier niet weten. Ingram Micro zegt dat het bezig is om getroffen systemen te herstellen zodat het bestellingen weer kan verwerken en leveren. Wanneer het herstel zou moeten zijn afgerond is niet gemeld. De it-leverancier heeft naar eigen zeggen meer dan 200.000 klanten in zo'n 160 landen. De omzet bedroeg vorig jaar 48 miljard dollar. bron: https://www.security.nl