Captain Kirk

Verschillende Europese landen willen dat de Europese Commissie systemen voor leeftijdsverificatie verplicht op alle producten die toegang tot internet hebben. Ook moet er een minimumleeftijd voor social media worden ingevoerd. Dat laat demissionair staatssecretaris Van Marum voor Digitalisering in een verslag aan de Tweede Kamer weten. De staatssecretaris doet verslag van de formele Telecomraad die eerder deze maand in Luxemburg plaatsvond. Tijdens de raad bespreken Europese bewindspersonen onder andere doelstellingen op het gebied van telecom. Tijdens het overleg presenteerden Griekenland, Frankrijk, Spanje, Slovenië, Denemarken en Cyprus een non-paper dat de Europese Commissie oproept om een minimale leeftijd voor social media in de EU in te voeren, alsmede wetgeving die verslavend ontwerp van dergelijke platforms tegengaat. Tevens willen de landen dat "leeftijdsverificatiesystemen" verplicht worden geïnstalleerd op alle producten op de Europese markt met toegang tot internet. Daarnaast moeten deze systemen worden voorzien van "ouderlijk toezicht systemen". Volgens staatssecretaris Van Marum was een aantal niet nader genoemde lidstaten positief over de non-paper. "Veel lidstaten benadrukten de noodzaak van proportionaliteit bij het beschermen van kinderen online", merkt de bewindsman op. Van Marum voegt toe dat Nederland heeft aangegeven het onderwerp zeer belangrijk te vinden, maar heeft het non-paper niet ondertekend. "We zijn het eens met Frankrijk, Griekenland en Spanje dat de risico’s van sociale media voor kinderen moeten worden aangepakt en dat dit een combinatie van maatregelen vereist, zoals heldere handhaafbare Europese regelgeving voor de tech-industrie, eenduidige en onderbouwde leeftijdsadviezen en adequate leeftijdsverificatie", liet het demissionaire kabinet eerder deze maand weten. Dat stelde ook dat er verdere bestudering en standpuntbepaling van het non-paper nodig is, en dan specifiek het verplichten van ingebouwde oplossingen voor leeftijdsverificatie en een minimumleeftijd voor social media. Er zijn volgens het kabinet tijdens de Telecomraad geen besluiten op basis van het non-paper genomen. bron: https://www.security.nl

Tientallen Nederlandse Citrix-servers bevatten kritieke kwetsbaarheden, zo laat The Shadowserver Foundation vandaag weten. Het gaat onder andere om een actief misbruikt beveiligingslek. De afgelopen weken kwamen twee kwetsbaarheden in NetScaler ADC en NetScaler Gateway (voorheen Citrix ADC en Citrix Gateway) in het nieuws. Het gaat om CVE 2025-5777 en CVE-2025-6543. CVE 2025-5777 wordt veroorzaakt doordat NetScaler gebruikersinvoer onvoldoende valideert, wat tot "memory overread" of een out-of-bounds read kan leiden. Het maakt het mogelijk voor aanvallers om session tokens van gebruikers te stelen die toegang tot vpn-accounts geven. Het beveiligingslek wordt ook CitrixBleed 2 genoemd. Vorige week meldde een securitybedrijf dat aanvallers mogelijk misbruik van deze kwetsbaarheid maken. In het geval van CVE-2025-6543 is misbruik door Citrix bevestigd. Deze kwetsbaarheid kan leiden tot "unintended control flow" en een denial of service. The Shadowserver Foundation is een stichting die zich met cybercrime bezighoudt en geregeld online scans naar kwetsbare systemen uitvoert. Bij de laatste scan werd naar kwetsbare Citrix-servers gekeken. De onderzoekers telden 1289 Citrix-servers die voor CVE-2025-5777 kwetsbaar zijn, waarvan 24 in Nederland. In het geval van CVE-2025-6543 werden 2100 kwetsbare machines geteld, waarvan 52 in Nederland. Het grootste deel van de kwetsbare Citrix-servers werd in de Verenigde Staten en Duitsland waargenomen. Het Dutch Institute for Vulnerability Disclosure (DIVD) is inmiddels ook begonnen met het scannen naar kwetsbare Citrix-servers en het waarschuwen van de eigenaren. NetScaler ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. Via de NetScaler Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. De impact van een gecompromitteerd NetScaler-systeem kan dan ook groot zijn. bron: https://www.security.nl

Een kwetsbaarheid in een bluetooth-chip, waar onder andere Beyerdynamic, Bose, JBL, Marshall en Sony gebruik van maken, maakt het mogelijk voor aanvallers om toegang tot koptelefoons, oortjes en speakers te krijgen en zo de microfoon af te luisteren. Dat stelt securitybedrijf ERNW (Enno Rey Netzwerke). De apparaten in kwestie maken gebruik van een bluetooth-chip van fabrikant Airoha. Onderzoekers van ERNW zeggen drie kwetsbaarheden in de chip gevonden te hebben, waaronder ontbrekende authenticatie, waardoor een aanvaller in de buurt van de apparaten die zonder authenticatie of pairing kan overnemen. De enige voorwaarde is dat een aanvaller binnen bluetooth-bereik is. Vervolgens is het mogelijk om het geheugen van het apparaat uit te lezen, een Bluetooth HFP-verbinding op te zetten om de microfoon af te luisteren, te achterhalen waar er naar wordt geluisterd en telefoonnummers en contacten van aangesloten telefoons te stelen. Wat betreft het afluisteren via de microfoon merken de onderzoekers op dat de apparaten over het algemeen maar één bluetooth-audioverbinding ondersteunen. Eerdere verbindingen worden zodoende verbroken als de aanvaller verbinding maakt, wat het "geen erg clandestiene aanval" maakt, aldus de onderzoekers. Om niet te worden opgemerkt moeten de koptelefoons aan staan, maar niet actief worden gebruikt. Technische details over de problemen zijn vooralsnog niet gedeeld, alsmede een proof-of-concept. Daarbij noemen de onderzoekers ook de problemen rond het patchen van de problemen. Zo zullen niet alle leveranciers bekendmaken dat hun producten een kwetsbare chip bevatten en zullen niet alle fabrikanten met updates komen. De onderzoekers en Airoha zijn sinds eind mei over de kwetsbaarheden in overleg. Inmiddels zouden er updates voor fabrikanten beschikbaar zijn gemaakt. Die moeten nu firmware-updates ontwikkelen en onder hun klanten uitrollen. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in het Motors Theme voor WordPress om zo websites over te nemen. Via het beveiligingslek kan een ongeauthenticeerde aanvaller van elke willekeurige gebruiker het wachtwoord resetten, waaronder de administrator, en een nieuw wachtwoord opgeven. Zo is het vervolgens mogelijk om volledige controle over de website te krijgen. Motors is een betaald WordPress Theme bedoeld voor autodealers, autoreparatiebedrijven en autoverhuurbedrijven. Meer dan 22.000 websites zouden er gebruik van maken. Aanvallers kunnen in naam van andere gebruikers een wachtwoordreset aanvragen. Door vervolgens in dit request een ongeldige parameterwaarde mee te geven wordt de controle voor de resetaanvraag altijd goedgekeurd, waarna het wachtwoord kan worden gewijzigd. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De ontwikkelaars van het theme werden op 8 mei ingelicht en kwamen op 14 mei met een gepatcht versie. Securitybedrijf Wordfence publiceerde op 19 mei details over het beveiligingslek. Nu laat het securitybedrijf weten dat aanvallers sinds 20 mei misbruik van het lek maken, waarbij er sinds 7 juni sprake is van grootschalig misbruik. Websites worden aangeraden naar de laatste versie van het theme te updaten. In het geval van een gecompromitteerde site is een duidelijk teken dat de administrator niet meer kan inloggen met zijn wachtwoord, aangezien dat door de aanvallers is gewijzigd. bron: https://www.security.nl

Google waarschuwt voor een phishingaanval waarbij aanvallers het slachtoffer om een 'app password' vragen en zo permanente toegang kunnen krijgen tot Google-accounts waarvoor multifactorauthenticatie (MFA) staat ingeschakeld. "Application specific passwords", ook wel app passwords genoemd, zijn zestiencijferige codes waarmee een "minder veilige" app of apparaat toegang tot een Google-account kan krijgen, aldus de uitleg van het techbedrijf. Het is alleen te gebruiken bij Google-accounts waarvoor MFA staat ingeschakeld. Bij de phishingaanvallen waar Google en The Citizen Lab voor waarschuwen ontvingen doelwitten een phishingmail, verstuurd vanaf een Gmail-adres waarin ze werden uitgenodigd om aan een online meeting deel te nemen. Bij één van de aanvallen deden de aanvallers zich voor als een medewerker van het Amerikaanse ministerie van Buitenlandse Zaken. De aanvallers gebruikten voor de communicatie een Gmail-adres, maar hadden in de CC van het bericht vier e-mailadressen opgenomen die op @state.gov eindigen. Vermoedelijk is dit gedaan om de e-mail legitiem te laten lijken. Onderzoekers van The Citizen Lab denken dat de aanvallers weten dat de mailserver van het Amerikaanse ministerie van Buitenlandse Zaken zo staat ingesteld dat alle e-mails worden geaccepteerd, ook voor e-mailadressen die niet bestaan, zoals met de vier gebruikte e-mailadressen het geval was. De server verstuurt dan ook geen bounce. In de phishingmail wordt het doelwit uitgenodigd om aan een online platform van het ministerie deel te nemen, waarvoor vervolgens een pdf met instructies wordt verstuurd. In dit pdf-document wordt uitgelegd hoe het doelwit een app password moet genereren, omdat vervolgens met de aanvallers te delen. Wanneer de code wordt gedeeld krijgen de aanvallers volledige en permanente toegang tot het account. Eén van de doelwitten deelde meerdere codes voor meerdere accounts. Volgens Google is de aanval uitgevoerd door een door de Russische staat gesponsorde aanvaller. The Citizen Lab stelt dat providers die application passwords aanbieden aanvullende waarschuwingen aan gebruikers moeten geven en uitleggen dat aanvallers er misbruik van kunnen maken. Daarnaast worden organisaties en security teams aangeraden om alert te zijn op diensten waar application passwords kunnen worden ingesteld en ervoor te zorgen dat ze staan uitgeschakeld, tenzij nodig voor bepaalde gevallen. Als laatste krijgt iedereen het advies om voorzichtig te zijn met ongevraagde e-mails of berichten en bewust te zijn dat aanvallers continu hun social engineering-tactieken veranderen. bron: https://www.security.nl

Onderzoekers hebbentwee nieuwe Linux-kwetsbaarheden ontdekt waardoor een niet-geprivilegeerde lokale gebruiker rootrechten kan krijgen. "Gegeven dat udisks overal aanwezig is en de eenvoud van de exploit, moeten organisaties dit als een kritiek, universeel risico behandelen en patches zonder vertraging uitrollen", zegt Saeed Abbasi van securitybedrijf Qualys, dat het probleem ontdekte. Het eerste beveiligingslek (CVE-2025-6018) is aanwezig in de Pluggable Authentication Modules (PAM) framework configuratie van openSUSE Leap 15 en SUSE Linux Enterprise 15. Via deze kwetsbaarheid kan een niet-geprivilegeerde lokale gebruiker, bijvoorbeeld via SSH, zijn rechten verhogen naar die van de "allow_active" user. De PAM stack moet bepalen welke gebruikers "active" zijn, wat wil zeggen fysiek aanwezig, voor het uitvoeren van geprivilegieerde acties. Door een misconfiguratie wordt elke lokale login, waaronder remote SSH-sessies, beschouwd alsof de gebruiker achter de console zit. De tweede kwetsbaarheid (CVE-2025-6019) is aanwezig in de C library "libblockdev", die voor low-level block-device operaties wordt gebruikt. Een lek in libblockdev, dat te misbruiken is via de udisks daemon die op de meeste Linux-distributies aanwezig is, zorgt ervoor dat "allow_active" gebruikers meteen root kunnen worden. Door beide kwetsbaarheden te combineren kan een niet-geprivilegeerde lokale gebruiker volledige rootrechten krijgen. "Deze libblockdev/udisks kwetsbaarheid is zeer aanzienlijk. Hoewel het "allow_active" rechten vereist, wordt udisks op bijna de meeste Linux-distributies standaard meegeleverd, dus bijna elk systeem is kwetsbaar. Technieken om "allow_active" rechten te verkrijgen, waaronder het PAM-probleem dat hier wordt gemeld, leggen die lat nog lager", aldus Abbasi. Volgens Qualys kan een aanvaller CVE-2025-6018 en CVE-2025-6019 met minimale moeite combineren om zo root op het systeem te worden. Het securitybedrijf doet dan ook de oproep om de beschikbaar gestelde patches meteen uit te rollen. Qualys heeft verschillende proof-of-concept exploits ontwikkeld waarmee het libblockdev/udisks-lek op Ubuntu, Debian, Fedora en openSUSE Leap 15 is te misbruiken. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kwetsbaarheid in de Linux-kernel waardoor een niet-geprivilegeerde lokale gebruiker rootrechten kan krijgen. Dat laat het Amerikaanse cyberagentschap CISA weten. Het beveiligingslek (CVE-2023-0386) is sinds maart 2023 bekend. Het probleem betreft de overlayFS-implementatie in de Linux-kernel. OverlayFS is een union mount filesystem implementatie voor Linux. Het maakt het mogelijk om directory trees of filesystems te combineren. Via de kwetsbaarheid kan een aanvaller overlayFS misbruiken zodat de kernel bestanden van een mount van de aanvaller naar normale directories kopieert. Een aanvaller zou zo een SUID bestand van een speciaal geprepareerde FUSE mount naar een normale directory kunnen kopiëren. Wanneer het bestand vanuit deze directory wordt uitgevoerd krijgt de aanvaller rootrechten, zo liet securitybedrijf Wiz eerder in een analyse weten. Het populaire containerplatform Docker maakt bijvoorbeeld gebruik van overlayFS. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security laat nu weten dat aanvallers misbruik van CVE-2023-0386 maken of hebben gemaakt. Details over deze aanvallen zijn niet gegeven. Wel zijn Amerikaanse overheidsinstanties opgedragen om de Linux-updates voor 8 juli te installeren mocht dat nog niet zijn gedaan. bron: https://www.security.nl

De Cloud Software Group (CSG) waarschuwt voor een kritieke kwetsbaarheid in NetScaler ADC en NetScaler Gateway die tot een "memory overread" kan leiden. Een aanvaller zou zo vertrouwelijke informatie kunnen stelen waarmee verdere aanvallen zijn uit te voeren. NetScaler-klanten worden opgeroepen de beschikbaar gestelde updates zo snel mogelijk te installeren. NetScaler ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. Via de NetScaler Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. De kwetsbaarheid, aangeduid als CVE 2025-5777, wordt veroorzaakt doordat NetScaler gebruikersinvoer onvoldoende valideert, wat tot "memory overread" of een out-of-bounds read kan leiden. Via dit type kwetsbaarheden kunnen aanvallers cryptografische keys, persoonlijk identificeerbare informatie, geheugenadressen of andere informatie stelen waarmee verdere aanvallen zijn uit te voeren. CSG laat niet weten wat de exacte impact voor NetScaler ADC en Gateway zijn. Wel stelt het bedrijf dat het probleem zich alleen voordoet als NetScaler is geconfigureerd als Gateway (VPN virtual server, ICA Proxy, CVPN of RDP Proxy) of een AAA virtual server. Beheerders krijgen tevens het advies om na installatie van de beveiligingsupdates twee kill-commando's uit te voeren om daarmee actieve sessies te stoppen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. bron: https://www.security.nl

Digitale burgerrechtenbeweging EDRi wil dat er een verbod komt op het ontwikkelen, verkopen, promoten, importeren, exporteren en gebruiken van spyware in de Europese Unie. Eerder had EDRi al gesteld dat het gebruik van spyware niet compatibel is met de standaarden van een democratische samenleving. Uit onderzoek zou blijken dat zeker veertien EU-landen commerciële spyware hebben ingezet. Wetgeving op dit gebied is zo goed als niet aanwezig, aldus EDRi. De afgelopen jaren zijn meerdere berichten in de media verschenen dat journalisten, activisten, politieke oppositie en mensenrechtenverdedigers het doelwit zijn geworden van spyware. Doordat de EU zo tolerant tegenover spyware is, draagt het bij aan de commerciële verspreiding van spyware, zowel in de EU als daarbuiten, gaat de burgerrechtenbeweging verder. In een position paper roept de organisatie op tot een Europees spywareverbod. Daarin wordt als eerste een definitie van spyware gegeven. Het gaat dan om software die, voornamelijk via kwetsbaarheden, systemen infiltreert, de integriteit compromitteert en remote monitoring, datadiefstal en controle mogelijk maakt. Daarnaast wordt de rol en groei van de commerciële spywaremarkt bekeken en hoe het een gevaar vormt voor democratie en mensenrechten, en daarom moet worden verboden. Als laatste wordt er gekeken naar mogelijkheden voor slachtoffers van spyware. bron: https://www.security.nl

Microsoft heeft voor Europese Windows 11-gebruikers een functie ontwikkeld om Recall-snapshots te exporteren. Third-party apps en websites kunnen de gemaakte screenshots dan gebruiken. Recall genereert hiervoor een code die gebruikers met de derde partij moeten delen. Recall is een nieuwe en omstreden 'AI-feature' van Microsoft, waarbij continu screenshots van het scherm van gebruikers worden gemaakt. De screenshots worden vervolgens door AI geanalyseerd en doorzoekbaar gemaakt. Microsoft omschrijft het als een 'fotografisch geheugen'. Experts gebruikten de term keylogger en privacynachtmerrie. Oorspronkelijk zou Recall standaard zijn ingeschakeld, maar vanwege de felle kritiek besloot Microsoft voor een opt-in te kiezen en aanvullende beveiligings- en privacymaatregelen toe te voegen. Geëxporteerde snapshots zijn versleuteld. Om die te ontsleutelen hebben gebruikers de gegenereerde exportcode nodig. Wanneer gebruikers Recall openen en inschakelen verschijnt de exportcode. Microsoft laat daarbij weten dat gebruikers de code goed moeten bewaren, omdat het techbedrijf die niet nog een keer zal tonen. Wanneer gebruikers de code toch verliezen kunnen ze apps en websites geen toegang tot eerder opgeslagen snapshots geven. In het geval dat gebruikers misbruik van de exportcode vermoeden kunnen ze een reset uitvoeren. Dan zullen alle snapshots worden verwijderd en er een nieuwe exportcode worden gegenereerd. De feature is nu te testen in een testversie van Windows 11 en alleen beschikbaar voor gebruikers in de Europese Economische Ruimte (EER). bron: https://www.security.nl

Google Chrome krijgt een nieuwe optie waardoor websites straks toestemming aan gebruikers moeten vragen als ze toegang tot het lokale netwerk en apparaten daarop willen hebben. Via de Local Network Access specificatie moeten cross-site request forgery (CSRF) aanvallen worden voorkomen. In het verleden zijn bijvoorbeeld routers geregeld het doelwit van CRSF-aanvallen geweest. Via CSRF is het mogelijk voor een aanvaller om handelingen vanuit de browser van de gebruiker uit te voeren zodra er webcontent van de aanvaller wordt verwerkt. Local Network Access beperkt de mogelijkheid van websites om requests naar servers en apparaten op het lokale netwerk van de gebruiker te sturen, waaronder servers die lokaal op de machine van de gebruiker draaien. De toegang wordt pas na toestemming van de gebruiker verleend, die hiervoor via een pop-up het verzoek kan toestaan of weigeren. Als eerste mijlpijl voor de implementatie van Local Network Access zal Google elk verzoek van het publieke netwerk naar een lokaal netwerk of loopback destination als een "lokaal netwerkverzoek" beschouwen. De feature zal straks in Chrome 138 zijn te testen. Google wil Local Network Access naar eigen zeggen zo snel mogelijk uitrollen. Daarnaast komt er ook een Chrome enterprise policy waarmee beheerders kunnen instellen welke sites wel of geen lokale netwerkverzoeken kunnen doen. Dit moet voorkomen dat gebruikers voor bekende, bedoelde use cases toch een waarschuwing te zien krijgen. bron: https://www.security.nl

Onderzoekers hebben een ransomware-exemplaar ontdekt dat bestanden niet alleen versleutelt, maar ook kan wissen als de aanvallers hiervoor kiezen. Het gaat om de Anubis-ransomware die als Ransomware-as-a-Service (RaaS) wordt aangeboden. Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. In het geval van Anubis gebeurt dat via phishingmails. Net als andere ransomware-exemplaren hanteert Anubis een 'double extortion' strategie, waarbij gegevens ook worden gestolen. Als slachtoffers het gevraagde losgeld niet betalen dreigen de aanvallers de gestolen data openbaar te maken. Een opvallende feature van Anubis is de "wipe mode", waarbij de inhoud van bestanden permanent wordt gewist. Daardoor blijven bestanden met een grootte van nul bytes over. Dit maakt het lastiger om bestanden te herstellen en zou slachtoffers onder meer druk zetten, aldus antivirusbedrijf Trend Micro dat een analyse van de ransomware maakte. bron: https://www.security.nl

Dat is mooi. Dan sluit ik het topic. Wil je het toch weer open hebben, stuur ons dan maar een berichtje.

Als het goed is, kun je je mails ook in een app bekijken. Oftewel, je mails blijven op de server van Outlook staan. Je account instellen in Outlook op je nieuwe pc zou er dus voor moeten zorgen dat je mails automatisch ook daar allemaal te zien en te gebruiken zijn.

Beveiligingscamera's van fabrikanten ValueHD, PTZOptics, multiCAM Systems en SMTAV, die onder andere in vitale sectoren worden gebruikt, bevatten meerdere kritieke kwetsbaarheden waardoor de apparaten op afstand door ongeauthenticeerde aanvallers zijn over te nemen. PTZOptics heeft beveiligingsupdates uitgebracht, maar de andere fabrikanten reageerden niet verzoeken tot het oplossen van de problemen. Dat laat het Amerikaanse cyberagentschap CISA weten. Het eerste kritieke probleem is CVE-2024-8956, met een impactscore van 9.3 op een schaal van 1 tot en met 10. De software blijkt de authenticatie niet goed toe te passen. Via een speciaal geprepareerd request kan een ongeauthenticeerde aanvaller daardoor gevoelige data stelen, zoals gebruikersnamen, wachtwoordhashes en configuratiegegevens. Daarnaast kan een aanvaller configuratiewaardes of het gehele configuratiebestand overschrijven. Het tweede probleem CVE-2025-35451 wordt veroorzaakt doordat de camera's standaard SSH of telnet hebben ingeschakeld. Standaard OS-users, waaronder de root user, zijn voorzien van standaard wachtwoorden die eenvoudig zijn te kraken en niet door de gebruiker zijn te wijzigen. Daarnaast kan de gebruiker SSH of telnet niet uitschakelen. Dit beveiligingslek heeft een impactscore van 9.8. Als laatste blijkt dat de camera's standaard, gedeelde wachtwoorden voor de online admin-interface gebruiken. Ook de impact van deze kwetsbaarheid (CVE-2025-35452) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het Amerikaanse cyberagentschap CISA, dat door een onderzoeker over de problemen werd ingelicht, laat weten dat PTZOptics updates heeft uitgebracht. Het CISA benaderde ook de andere fabrikanten, maar kreeg van hen geen reactie. Als oplossing wordt aangeraden de camera's niet vanaf het internet toegankelijk te maken. bron: https://www.security.nl

Twee kritieke kwetsbaarheden in beveiligingsplatform Apex Central van Trend Micro maken het mogelijk voor ongeauthenticeerde aanvallers om op afstand code uit te voeren. Er zijn updates uitgebracht om de problemen te verhelpen. Apex Central is een platform voor het gecentraliseerd beheren van Trend Micro-producten en -diensten op de gateway, mailserver, fileserver en desktops. Beheerders kunnen via Apex Central instellingen op zowel producten als endpoints aanpassen en doorvoeren. Daarnaast is het via de oplossing mogelijk om antivirus en andere beveiligingsdiensten binnen het netwerk te monitoren. Het platform gaat niet goed om met gebruikersinvoer, wat tot remote code execution kan leiden. De impact van de twee kwetsbaarheden (CVE-2025-49219 en CVE-2025-49220) is op een schaal van één tot en met tien beoordeeld met een 9.8. Trend Micro laat in het beveiligingsbulletin weten dat er geen actief misbruik van de twee kwetsbaarheden is waargenomen. Beveiligingslekken in Apex Central zijn in het verleden echter wel bij aanvallen gebruikt. bron: https://www.security.nl

Het Amerikaanse cyberagentschap CISA slaat alarm over een kwetsbaarheid in de software SimpleHelp die wordt gebruikt bij ransomware-aanvallen en roept organisaties op om direct maatregelen te treffen. Zo zijn klanten van een bedrijf dat facturatiesoftware levert voor energie- en waterbedrijven via het SimpleHelp-lek gecompromitteerd. SimpleHelp is remote access software waarmee bijvoorbeeld beheerders problemen bij eindgebruikers kunnen verhelpen. SimpleHelp bestaat uit een server waarop de beheerder inlogt en clientsoftware die op de endpoints draait. Een kritiek path traversal-lek (CVE-2024-57727) in SimpleHelp maakt het mogelijk voor aanvallers om configuratiebestanden van de server te downloaden. Deze bestanden bevatten gehashte wachtwoorden van gebruikers en kunnen ook andere secrets bevatten, zoals LDAP credentials, OIDC client secrets, API keys en TOTP seeds gebruikt voor multifactorauthenticatie. SimpleHelp heeft updates uitgebracht om het probleem te verhelpen. Onlangs meldde antivirusbedrijf Sophos dat criminelen achter de DragonForce-ransomware de SimpleHelp-server van een managed serviceprovider hadden gecompromitteerd. Vervolgens werd ransomware geïnstalleerd op de systemen van klanten die de managed serviceprovider via SimpleHelp beheert. Nu laat het CISA weten dat ook een softwareleverancier is getroffen. De naam van deze softwareleverancier is niet bekendgemaakt, behalve dat het om een aanbieder van facturatiesoftware voor nutsbedrijven gaat. Via niet gepatchte SimpleHelp-servers konden klanten van het softwarebedrijf worden geïnfecteerd met ransomware. Het Amerikaanse cyberagentschap CISA roept organisaties op om maatregelen te nemen, aangezien SimpleHelp ook gebundeld kan zijn in andere software. "Als SimpleHelp is ingebed of gebundeld met vendor-owned software of als een third-party serviceprovider SimpleHelp gebruikt op het netwerk van klanten, identificeer dan de gebruikte versie van de SimpleHelp-server", adviseert het CISA. Als het gaat om versie 5.5.7 of ouder die sinds januari in gebruik is moeten third-party leveranciers de SimpleHelp-server meteen van het internet halen en upgraden. Daarnaast moeten ze hun klanten waarschuwen om hun netwerken te controleren. Ook als de server niet is gecompromitteerd moet de laatste SimpleHelp-versie meteen worden geïnstalleerd. bron: https://www.security.nl

De Franse privacytoezichthouder CNIL wil dat bedrijven en organisaties die gebruikmaken van trackingpixels in e-mail eerst verplicht toestemming hiervoor van geadresseerden krijgen. Alleen in een aantal randgevallen is deze verplichte toestemming niet nodig. CNIL heeft een conceptvoorstel hiervoor gepubliceerd waarop partijen tot 24 juli dit jaar kunnen reageren. Volgens de Franse privacytoezichthouder worden trackingpixels in e-mail steeds vaker toegepast. De pixels maken het mogelijk om te zien wanneer iemand een bericht opent, op wat voor apparaat en nog veel meer. Dit maakt het onder andere mogelijk om profielen aan te leggen, communicatie te personaliseren en prestaties te meten. CNIL stelt dat het een groeiend aantal klachten van burgers over deze trackingpraktijk ontvangt. Na overleg met professionals en maatschappelijke organisaties heeft CNIL nu een conceptvoorstel opgesteld. Daarin staat dat er geen trackingpixels mogen worden gebruikt als de gebruiker niet eerst vrije, geïnformeerde toestemming heeft gegeven. Het gaat dan om het gebruik van pixels voor het individueel meten van geopende e-mails, het personaliseren van berichten, het aanpassen van het aantal verstuurde berichten, het aanleggen van profielen en fraudedetectie. In een aantal gevallen is het vragen van toestemming niet verplicht. Het gaat dan om beveiligingsmaatregelen met betrekking tot het authenticeren van gebruikers, bijvoorbeeld om te kijken of een e-mail met een wachtwoordresetlink op een bekend apparaat van de gebruiker is geopend. Daarnaast mogen pixels worden gebruikt om de algehele statistieken te verzamelen over het openen van de mailing. Het moet hier gaan om geanonimiseerde data die niet naar individuele metingen is te herleiden. Daarnaast geldt deze uitzondering alleen voor e-mails die gebruikers zelf hebben aangevraagd. Om de toestemming te regelen adviseert de Franse privacytoezichthouder dat organisaties dit duidelijk vermelden als gebruikers zich bijvoorbeeld ergens aanmelden en dan toestemming te vragen. In het geval dit niet mogelijk is moet de dataverwerker eerst een e-mail zonder trackingpixel sturen waarin de betreffende gebruiker om toestemming wordt gevraagd. bron: https://www.security.nl

Microsoft zal vanaf volgende maand meer bij aanvallen gebruikte bestandstypes standaard in Outlook Web en de nieuwe Outlook voor Windows blokkeren, zo heeft het techbedrijf via het Microsoft 365 Message Center bekendgemaakt. Het gaat om de bestandstypes .library-ms en .search-ms. Volgens Microsoft worden deze bestanden nauwelijks gebruikt en zullen de meeste organisaties dan ook geen last van de maatregel hebben. Microsoft voegt toe dat organisaties geen actie voor de blokkade te hoeven ondernemen. In het geval gebruikers wel met de betreffende bestandstypes werken is het mogelijk om die aan de AllowedFileTypes-lijst toe te voegen. Outlook blokkeerde al een groot aantal bestandstypes. Afgelopen april bleek dat het bestandstype .library-ms was gebruikt bij phishingaanvallen om zo NTLMv2-hashes bij overheden te stelen. Vervolgens kunnen aanvallers met deze gestolen hashes relay-aanvallen uitvoeren of proberen om de hash te kraken en zo het bijbehorende wachtwoord te achterhalen. Misbruik van de search-ms URI-handler werd in 2022 waargenomen. bron: https://www.security.nl

Een kwetsbaarheid in e-mailclient Thunderbird maakt het mogelijk voor aanvallers om stilletjes pdf-bestanden op de desktop of in de home directory van gebruikers te plaatsen, ook als het automatisch opslaan van bestanden staat uitgeschakeld. Dit maakt het mogelijk om Windows-inloggegevens te stelen of de schijf met 'garbage data' te vullen. Er is een beveiligingsupdate uitgebracht om het probleem te verhelpen. "Een speciaal geprepareerde HTML-mail die gebruikmaakt van mailbox:/// links kan het automatisch, ongevraagd downloaden triggeren van .pdf-bestanden op de desktop van de gebruiker of home directory, zonder prompt, zelfs als auto-saving staat uitgeschakeld", aldus de beschrijving van Thunderbird. Dit gedrag is vervolgens te misbruiken om de schijf met garbage data te vullen of via SMB-links Windows credentials te stelen als de mail in de HTML-mode van Thunderbird wordt bekeken. "Hoewel interactie van de gebruiker is vereist om het .pdf-bestand te downloaden, kan visuele obfuscatie de download trigger verbergen. Het bekijken van de e-mail in HTML-mode is voldoende om externe content te laden", laat de beschrijving verder weten. De impact van de kwetsbaarheid (CVE-2025-5986) is als "High" bestempeld. Gebruikers wordt aangeraden om te updaten naar Thunderbird 139.0.2. bron: https://www.security.nl

Bij een internationale politieoperatie zijn twintigduizend domeinnamen en ip-adressen offline gehaald waar infostealer-malware gebruik van maakte, zo laat Interpol vandaag weten. Bij 'Operation Secure', die van januari tot en met april dit jaar plaatsvond, werkten opsporingsdiensten uit 26 landen samen om servers te lokaliseren en de takedowns te regelen. Bij de operatie werd ook met verschillende cybersecuritybedrijven samengewerkt. Volgens Interpol zijn bij de operatie 41 servers in beslag genomen en meer dan honderd gigabyte aan data. Tevens werden 32 verdachten aangehouden. Infostealer-malware is ontwikkeld voor het stelen van inloggegevens uit allerlei applicaties, zoals browsers, vpn-software, chatapps en cryptowallets. Aan de hand van aangetroffen data hebben autoriteiten 216.000 slachtoffers en mogelijke slachtoffers gewaarschuwd dat ze besmet waren, zodat ze vervolgens actie konden ondernemen, zoals het wijzigen van wachtwoorden. bron: https://www.security.nl

Adobe adviseert webshops die gebruikmaken van Magento Open Source of Adobe Commerce om een kritieke kwetsbaarheid binnen 72 uur te patchen. Om ervoor te zorgen dat webwinkels dit ook zo snel mogelijk doen heeft Adobe een aparte patch uitgebracht. Het beveiligingslek (CVE-2025-47110) maakt cross-site scripting mogelijk en kan een aanvaller willekeurige code laten uitvoeren. Misbruik vereist wel dat een aanvaller over adminrechten beschikt. Desondanks is de kwetsbaarheid toch als kritiek bestempeld en heeft een impactscore van 9.1 op een schaal van 1 tot en met 10. Adobe verhielp gisterenavond ook andere beveiligingslekken in Magento Open Source en Adobe Commerce, waaronder een ander kritiek lek dat het mogelijk maakt om een security feature te omzeilen. Verdere details over dit probleem geeft Adobe niet. Normaliter brengt Adobe nieuwe versies voor de kwetsbare software uit, om zo gevonden beveiligingslekken te verhelpen. Voor Adobe Commerce en Magento Open Source heeft het softwarebedrijf besloten een aparte patch uit te brengen die alleen CVE-2025-47110 verhelpt. Dit moet ervoor zorgen dat webshops de update sneller installeren en beschermd zijn. Adobe heeft de installatie van de update ook de hoogste prioriteit gegeven en adviseert installatie zo snel mogelijk, waarbij het binnen 72 uur als voorbeeld geeft. bron: https://www.security.nl

Microsoft waarschuwt voor een actief aangevallen kwetsbaarheid in WebDAV die remote code execution mogelijk maakt en is met een beveiligingsupdate gekomen om het lek te verhelpen. Volgens securitybedrijf Check Point, dat het probleem ontdekte, is het beveiligingslek ingezet bij een cyberaanval tegen een Turks defensiebedrijf. Web-based Distributed Authoring and Versioning (WebDAV) maakt het mogelijk om bestanden op servers te bekijken en delen. Bij de aanval werd gebruikgemaakt van een bestand met een dubbele extensie, eindigend op .pdf.url. Het url-bestand wees naar een diagnostische tool van Internet Explorer. De kwetsbaarheid (CVE-2025-33053) waar de aanvallers gebruik van maakten maakt het vervolgens mogelijk om de tool malafide code vanaf een WebDAV-server van de aanvallers te laten laden. Het doelwit moet wel zelf het malafide url-bestand openen. Om slachtoffers niets te laten vermoeden wordt een 'decoy' document geopend, terwijl in de achtergrond malware wordt uitgevoerd. Zo wordt er een backdoor geplaatst die de aanvallers toegang tot het gecompromitteerde systeem geeft. Daarnaast gebruiken de aanvallers een keylogger voor het onderscheppen van inloggegevens en een 'credential dumper' die Domain Controller-data steelt. Check Point vermoedt dat het malafide url-bestand via een phishingmail naar het doelwit is verstuurd. bron: https://www.security.nl

SAP waarschuwt opnieuw voor een kritieke kwetsbaarheid in NetWeaver en heeft updates uitgebracht om het probleem te verhelpen. De software blijkt noodzakelijke autorisatiecontroles voor geauthenticeerde gebruikers niet uit te voeren, waardoor die hun rechten kunnen verhogen. Bij een succesvolle aanval zouden de integriteit en beschikbaarheid van de applicatie worden getroffen. De impact van de kwetsbaarheid (CVE-2025-42989) is op een schaal van 1 tot en met 10 beoordeeld met een 9.6. SAP Netweaver is een platform voor het draaien van SAP-applicaties, die door tal van organisaties en bedrijven worden gebruikt. De SAP NetWeaver Application Server voor ABAP (Advanced Business Application Programming) biedt de runtime omgeving en ontwikkelomgeving voor alle ABAP-programma's. De afgelopen maanden kreeg SAP met meerdere kritieke NetWeaver-kwetsbaarheden te maken. Eén van deze beveiligingslekken (CVE-2025-31324) is ook bij aanvallen gebruikt. Securitybedrijf Onapsis adviseert SAP-klanten om de update voor CVE-2025-42989 meteen te installeren. bron: https://www.security.nl

Verschillende botnets maken actief misbruik van een kritieke kwetsbaarheid in Wazuh, een opensource-beveiligingsplatform voor het voorkomen en detecteren van dreigingen en incidentrespons. Dat laat internetbedrijf Akamai in een analyse weten. Het misbruikte beveiligingslek (CVE-2025-24016) laat een aanvaller willekeurige code op kwetsbare Wazuh-servers uitvoeren. Hiervoor volstaat het uploaden van een 'unsanitized dictionary'. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.9. In februari verscheen er een beveiligingsupdate voor het probleem. Akamai laat nu weten dat verschillende varianten van de Mirai-malware de kwetsbaarheid misbruiken om servers onderdeel van een botnet te maken. Daarnaast zijn er ook aanvallen door het "Resentual-botnet" waargenomen. Eind februari verscheen er proof-of-concept exploitcode voor de kwetsbaarheid. Bij de nu waargenomen aanvallen wordt van deze exploitcode gebruikgemaakt. "Pogingen van onderzoekers om organisaties te wijzen op kwetsbaarheden door proof-of-concepts te maken blijven tot rampzalige resultaten leiden, en laten zien hoe belangrijk het is om patches te installeren zodra die uitkomen", aldus Akamai. "Botnetbeheerders houden openbaarmakingen van kwetsbaarheden in de gaten, en met name in gevallen waarbij ook proof-of-concepts beschikbaar zijn, zullen ze de proof-of-concept code snel aanpassen om hun botnet verder te verspreiden." bron: https://www.security.nl