Captain Kirk

Google heeft de Titan Security Keys nu ook beschikbaar gemaakt in Nederland en verschillende andere landen. De Titan is een fysieke beveiligingssleutel die werkt via usb en nfc en maakt gebruik van een protocol dat op standaard public key-cryprografie is gebaseerd. Het apparaatje kost 35 euro. Een gebruiker die zijn beveiligingssleutel voor een website wil gebruiken moet dit eerst instellen. Tijdens het instellen registreert de gebruiker een publieke sleutel. Bij het inloggen vraagt de website vervolgens om een cryptografische handtekening die bewijst dat de gebruiker de eigenaar is van de privésleutel die bij de publieke sleutel hoort. Hierdoor werkt de beveiligingssleutel alleen op de website waarvoor die is geregistreerd. "De Titan-beveiligingssleutel werkt als een 2e slot bovenop je wachtwoord. Zo voorkom je phishing en zorg je dat hackers geen toegang kunnen krijgen tot je online accounts, zoals Gmail", aldus Google. De eerste versie van de fysieke beveiligingssleutel werd in 2018 in de Verenigde staten gelanceerd. De nieuwste versies zijn ook in staat om passkeys voor websites en accounts op te slaan. bron: https://www.security.nl

Mozilla heeft een vpn-extensie voor de Windowsversie van Firefox gelanceerd waarmee gebruikers kunnen aangeven voor welke sites er geen vpn-verbinding moet worden gebruikt en kan er per website een verschillende vpn-locatie worden ingesteld. Volgens Mozilla heeft het de extensie ontwikkeld na feedback van gebruikers. Eén van de meest gehoorde klachten was dat mensen vanwege problemen met het bezoeken van bepaalde websites stopten met het gebruik van een vpn. De extensie laat gebruikers daarom instellen voor welke websites er geen vpn-verbinding moet worden gebruikt, wat bijvoorbeeld het invoeren van captcha's en andere problemen moet voorkomen. Voor deze sites zal er een melding in de adresbalk verschijnen, zodat gebruikers weten dat de vpn-verbinding niet actief is. De tweede feature van de extensie zorgt ervoor dat gebruikers per website een andere vpn-locatie kunnen instellen, wat volgens Mozilla moet helpen bij het bezoeken van 'regiospecifieke content'. Mozilla stelt verder dat de vpn-extensie in de toekomst ook beschikbaar komt voor de Linux- en macOS-versies van Firefox. De vpn-dienst, waarvoor een betaald abonnement is vereist, is door Mozilla zelf ontwikkeld en maakt gebruik van servers van vpn-provider Mullvad. bron: https://www.security.nl

De makers van OpenSSL hebben de eerste publieke bètaversie van OpenSSL 3.5 aangekondigd. Volgens de ontwikkelaars bevat die 'belangrijke nieuwe functies', waaronder support van quantumbestendige encryptie-algoritmes. OpenSSL behoort tot de meestgebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen. OpenSSL 3.5 biedt ondersteuning voor het QUIC (Quick UDP Internet Connection) netwerkprotocol, alsmede verschillende quantumbestendige encryptie-algoritmes. Het gaat om ML-KEM, ML-DSA en SLH-DSA, die vorig jaar nog door het Amerikaanse National Institute of Standards and Technology (NIST) als encryptiestandaarden werden gekozen. Verder is de 'TLS supported groups list' aangepast en bevat nu de quantumbestendige encryptie-algoritmes en geeft hier ook de voorkeur aan. Verder is het standaard encryption cipher voor de req, cms en smime toepassingen veranderd van des-ede3-cbc naar aes-256-cbc. Een volledig overzicht van alle aanpassingen en nieuwe features is te vinden in de aankondiging. Het gaat hier nog wel om een 'alpha release' van OpenSSL 3.5, wat een zeer vroege testversie is. bron: https://www.security.nl

Mozilla belooft bedrijven een stabielere versie van Firefox door een alternatief voor dll-injectie te bieden. Third-party software op Windows heeft verschillende manieren om hun code in andere, actieve processen te injecteren. Vaak wordt dit gedaan door antivirussoftware, maar het kan ook het gevolg zijn van hardware drivers, screenreaders, banksoftware en ook malware. In zakelijke omgevingen gaat het vaak ook om Data Loss Prevention (DLP) software. Via dergelijke software controleren bedrijven of hun medewerkers geen gevoelige informatie lekken. "DLP-software maakt meestal gebruik van dll-injectie om applicaties zoals Firefox te monitoren op activiteiten die privédata kunnen lekken. Dit geldt alleen voor specifieke operaties die gevoelige informatie kunnen lekken, zoals het uploaden van bestanden, copy-and-paste, drag-and-drop en printen", aldus Mozilla. Dll-injection kan volgens Mozilla voor allerlei problemen zorgen, zoals crashes, incompatibiliteitsproblemen, het omzeilen van beveiligingsmaatregelen en ander 'onverwacht gedrag'. Wanneer zakelijke gebruikers tegen dergelijke problemen aanlopen en dit bij hun it-afdeling melden, kan de it-afdeling een bugmelding bij Mozilla doen of met de DLP-leverancier samenwerken. Volgens Mozilla kan het lastig zijn om te bepalen of het probleem door externe software is veroorzaakt of bij de browser ligt. Wanneer blijkt dat het probleem bij een externe leverancier ligt waarschuwt Mozilla deze partij, zodat die aan een oplossing kan werken. In de tussentijd zitten de zakelijke gebruikers met de problemen en kiezen misschien een andere browser, aldus de Firefox-ontwikkelaar. Om dit probleem tegen te gaan zal Firefox vanaf versie 138 ook de Content Analysis SDK gaan ondersteunen. Het gaat hier om een door Google ontwikkeld protocol dat de browser met de DLP-software laat communiceren. Het biedt DLP-software een alternatief voor dll-injectie, waardoor er minder code in de browser wordt geïnjecteerd. Dat moet volgens Mozilla de stabiliteit voor gebruikers verbeteren. De browser zal aan gebruikers laten zien wanneer de SDK wordt gebruikt. Daarnaast is de SDK alleen te gebruiken in Firefox-configuraties die gebruik van een Firefox Enterprise Policy maken. Firefox 138 staat gepland voor 29 april. bron: https://www.security.nl

Google waarschuwt gebruikers van Chrome voor een actief misbruikte kwetsbaarheid in de Windowsversie van de browser en heeft updates uitgebracht om het probleem te verhelpen. Het beveiligingslek werd ongeveer een week geleden door antivirusbedrijf Kaspersky gevonden, dat vermoedt dat het voor spionagedoeleinden werd gebruikt. De kwetsbaarheid (CVE-2025-2783) bevindt zich in het Mojo-onderdeel van Chrome, wat een verzameling runtime libraries is. Via het lek kan een aanvaller uit de sandbox van de browser breken. Het is niet mogelijk om via alleen deze kwetsbaarheid code op het onderliggende systeem uit te voeren. Hiervoor zou een tweede beveiligingslek zijn vereist. Google geeft geen verdere details, maar Kaspersky doet dit wel. De onderzoekers waren naar eigen zeggen zeer verbaasd over het lek. "Het laat aanvallers de Google Chrome sandbox-beveiliging omzeilen alsof het niet bestaat. De oorzaak was een logische fout op de kruising van de Google Chrome sandbox en het Windows-besturingssysteem." De virusbestrijder zegt meer details bekend te maken als het grootste deel van de Chrome-gebruikers up-to-date is. Het onderzoek naar de aanval via de Chrome-kwetsbaarheid is nog gaande, maar de onderzoekers vermoeden op basis van de gebruikte 'geraffineerde malware' dat de aanvallers spionage als doel hadden. Voor de aanval maakten de aanvallers gebruik van een malafide e-mail. Het bericht deed zich voor als een uitnodiging voor een wetenschappelijk forum en was gericht aan mediapublicaties en onderwijsinstellingen in Rusland, aldus Kaspersky. De link in de e-mail wees naar een malafide website die gebruikmaakte van CVE-2025-2783 en een tweede kwetsbaarheid die remote code execution mogelijk maakt. De onderzoekers zeggen dat het ze niet is gelukt deze tweede kwetsbaarheid te achterhalen. Op basis van de nu beschikbare informatie stelt Kaspersky dat de aanval het werk is van een APT (advanced persistent threat)-groep. Gebruikers worden aangeraden om te updaten naar 134.0.6998.178. De browser zal zich automatisch updaten, maar dit kan enkele dagen duren. Het uitvoeren van een handmatige update is dan ook de snelste manier om beschermd te zijn. bron: https://www.security.nl

De makers van ftp-serversoftware CrushFTP waarschuwen gebruikers via e-mail voor een nieuw beveiligingslek waardoor aanvallers ongeauthenticeerde toegang tot de ftp-server kunnen krijgen. Een beveiligingsupdate is beschikbaar, een CVE-nummer om de kwetsbaarheid mee aan te duiden nog niet, zo meldt securitybedrijf Rapid7. Vorig jaar waarschuwde CrushFTP nog voor een ander beveiligingslek waar aanvallers actief misbruik van maakten. De eerste versie van CrushFTP dateert van 1998. De software ondersteunt verschillende protocollen, zoals ftp, ftps, sftp, http, https, WebDAV en WebDAV SSL. Volgens de e-mailwaarschuwing maakt de kwetsbaarheid het mogelijk voor aanvallers om ongeauthenticeerde toegang te krijgen als er een http- of https-poort van de ftp-server toegankelijk is. Verdere details zijn niet gegeven, behalve dat het probleem is verholpen in CrushFTP v11.3.1+. In een summiere online advisory wordt gemeld dat ook versie 10.x kwetsbaar is. Gebruikers van deze versie moeten updaten naar versie 10.8.4+. bron: https://www.security.nl

Verschillende kritieke kwetsbaarheden in de Ingress Nginx Controller voor Kubernetes maken het mogelijk voor ongeauthenticeerde aanvallers om op afstand kwetsbare Kubernetes-clusters over te nemen, zo stellen Kubernetes en securitybedrijf Wiz. Er zijn beveiligingsupdates uitgebracht om de problemen te verhelpen. Kubernetes is een opensourcesysteem voor het automatiseren van de uitrol en het beheer van applicaties die in containers draaien. Kubernetes-clusters worden vaak in een cloudomgeving gehost. Ingress is een Kubernetes feature om een pod of pods toegankelijk voor het internet te maken. Een pod kan één of meerdere applicatiecontainers bevatten. Kubernetes-gebruikers kunnen bepalen hoe hun applicaties beschikbaar zijn voor het netwerk, waarbij een ingress controller het verkeer naar de juiste service routeert. Er zijn verschillende ingress controllers, waaronder ingress-nginx. Met een aandeel van meer dan veertig procent is het een zeer populaire controller voor Kubernetes-clusters. Ingress-nginx vertaalt de vereisten van Ingress-objecten naar een configuratie voor de nginx-webserver. Nginx gebruikt die configuratie om requests naar verschillende applicaties die binnen de Kubernetes-cluster draaien te accepteren en routeren. De ontdekte beveiligingslekken raken specifiek de admission controller van ingress-nginx. Die heeft als doel om inkomende ingress objecten te valideren voordat ze worden uitgerold. De onderzoekers ontdekten dat het mogelijk is om via het netwerk een malafide object naar de admission controller te versturen. Dit object injecteert vervolgens een nginx-configuratie die het mogelijk maakt om code uit te voeren. De impact van de kwetsbaarheden is op een schaal van 1 tot en met 10 voor de gevaarlijkste kwetsbaarheid (CVE-2025-1974) beoordeeld met een 9.8. "De verhoogde rechten van de admission controller en onbeperkte netwerktoegang zorgen voor een kritiek escalatiepad. Door dit lek te misbruik kan een aanvaller willekeurige code uitvoeren en toegang tot alle cluster secrets krijgen, waardoor de volledige cluster is over te nemen", aldus de onderzoekers. Een aanvaller moet wel eerst toegang tot het podnetwerk van de cluster krijgen, maar dat is volgens de onderzoekers niet zo lastig als gedacht. Kubernetes bevestigt dit. "Gecombineerd met de andere kwetsbaarheden houdt CVE-2025-1974 in dat alles op het podnetwerk een goede kans heeft om je Kubernetes-cluster over te nemen, zonder dat inloggegevens of admintoegang zijn vereist. In veel voorkomende gevallen is het podnetwerk voor alle workloads in je cloud VPC toegankelijk, of zelfs voor iedereen die met je bedrijfsnetwerk is verbonden. Dit is een zeer ernstige situatie." De onderzoekers stellen verder op basis van eigen analyse dat 43 procent van de cloudomgevingen kwetsbaar voor deze kwetsbaarheden is. Zo werden meer dan 6500 clusters gevonden, waaronder van Fortune 500-bedrijven, waarvan kwetsbare admission controllers vanaf het publieke internet toegankelijk zijn, en daardoor risico op aanvallen lopen. Microsoft is inmiddels voor de vijf kwetsbaarheden (CVE-2025-1098, CVE-2025-1974, CVE-2025-1097, CVE-2025-24514 en CVE-2025-24513) met waarschuwingen gekomen en adviseert klanten die de kwetsbare controller voor hun Azure Kubernetes Service (AKS) clusters gebruiken om de patches te installeren. Amazon en Google Cloud zijn ook met advisories gekomen. bron: https://www.security.nl

Een groot aantal klanten van Oracle Cloud is slachtoffer van een datalek geworden, zo stelt securitybedrijf CloudSEK. Oracle ontkent en stelt dat er geen inbraak in de clouddienst heeft plaatsgevonden. Vorige week verscheen op een internetforum een bericht van iemand die claimde zes miljoen records uit Oracle Cloud te hebben gestolen. Het zou onder andere gaan om JKS-bestanden, versleutelde SSO- en LDAP-wachtwoorden, key files en enterprise manager JPS keys. Volgens het bericht was de data afkomstig van 140.000 'tenants' van Oracle Cloud. De aanvaller claimde het subdomein login.us2.oraclecloud.com te hebben gecompromitteerd. Vervolgens zou er misbruik zijn gemaakt van een kwetsbaarheid in Oracle Fusion Middleware voor het verder compromitteren van servers en het stelen van de data. Tegenover CNBC stelde Oracle dat er geen inbraak op Oracle Cloud had plaatsgevonden en de gepubliceerde credentials niet voor Oracle Cloud waren en Oracle Cloud-klanten niet te maken hadden gekregen met een inbraak op hun cloudomgeving of diefstal van data. CloudSEK berichtte over de aanval en heeft inmiddels een uitgebreidere analyse van de situatie gepubliceerd. Daarin stelt het securitybedrijf dat aanvallers erin zijn geslaagd een SSO-endpoint te compromitteren om zo gevoelige SSO- en LDAP-data van 140.000 gebruikers te stelen. Het securitybedrijf baseert dit naar eigen zeggen op verschillende aanwijzingen, waaronder dat het gebruikte domein een productie SSO-setup was en de domeinen die de aanvaller deelde daadwerkelijk van klanten zijn. Daarnaast wordt er ook gewezen naar een uitgebreidere dataset die de aanvaller in de tussentijd heeft gedeeld. bron: https://www.security.nl

Internetproviders wereldwijd zijn de afgelopen dagen getroffen door aanvallen die kwetsbare DrayTek-routers laten rebooten. "Wij ontvangen diverse meldingen van onstabiele KPN verbindingen in combinatie met Draytek hardware. Na contact met KPN en de Nederlandse Draytek leverancier kunnen we het volgende melden: Er wordt wereldwijd misbruik gemaakt op DrayTek routers met een verouderde firmware waarbij de kans bestaat dat de routers herstarten", zo meldt internetbedrijf IP One. Ook Internet Diensten Texel geeft deze boodschap. "De verschillende verbindingen die uitgevallen zijn zorgt bij bij ons voor grote drukte op de helpdesk. Om iedereen zo vlot mogelijk te kunnen helpen kunnen wij u helaas niet telefonisch te woord staan", zo laat het bedrijf verder weten. "We zien het momenteel enkel voorkomen met de Draytek 2133 en niet de andere modellen, echter het probleem kan zich wel voordoen met andere types", stelt internetbedrijf Weserve. "Sommige klanten ondervinden problemen met het opnieuw opstarten van hun routers. Dit heeft betrekking tot kwetsbaarheden die begin 2024 zijn gemeld en gepatcht", zo laat DrayTek-importeur Xpert Data weten. Het probleem betreft een groot aantal modellen. Naast Nederlandse internetproviders melden ook buitenlandse ISP's melden problemen. DrayTek spreekt zelf over een kwetsbaarheid, maar niet over actief misbruik. De fabrikant adviseert voor ongepatchte routers om de opties remote access en SSL VPN uit te schakelen. Daarnaast wordt aangeraden om in het geval van 'te oude' routers een nieuw model aan te schaffen. bron: https://www.security.nl

De Zwitserse solutionprovider Ascom, dat internationaal actief is, is afgelopen weekend getroffen door een cyberaanval. Aanvallers wisten toegang te krijgen tot het ticketsysteem van het bedrijf. De aanval lijkt het werk te zijn van de groepering HellCat en onderdeel te zijn van een bredere reeks cyberaanvallen. De aanval vond zondag plaats, meldt Ascom in een persbericht. Het meldt daarbij dat de 'HellCat ransomwarebende' op X claimt toegang te hebben verkregen tot de IT-infrastructuur van Ascom. De claim wordt onderzocht door het securityteam van Ascom, dat de toegang tot het ticketsysteem van het bedrijf heeft afgesloten. Het benadrukt dat andere IT- en klantsystemen niet zijn getroffen en de bedrijfsvoering niet is verstoord. '44GB aan data gestolen' De HellCat-groep meldt aan BleepingComputer 44GB aan data te hebben gestolen van Ascom, gerelateerd aan alle divisies van het bedrijf. Het zou onder meer gaan om de broncode van diverse producten, details over projecten, facturen, vertrouwelijke documenten en problemen die in het ticketsysteem worden besproken. Ascom deelt geen technische details over de aanval. BleepingComputer meldt echter dat de groep vaak Jira-systemen op de korrel neemt. Jira is een projectmanagementplatform en maakt het onder meer mogelijk via tickets problemen bij te houden. Het wordt onder meer door softwareontwikkelaars en IT-teams gebruikt voor het beheren en monitoren van projecten. Eerder sloeg de HellCat-groep ook toe bij andere partijen als Schneider Electric, Telefónica, Orange Group en Land Rover Jaguar. bron: https://www.security.nl

De baseboard management controller (BMC) firmware van AMI bevat een kritieke kwetsbaarheid die het mogelijk maakt toegang te krijgen tot servers door authenticatie te omzeilen. Het lek treft servers van diverse fabrikanten, waaronder Asus, Asrock, HPE en Lenovo. Het lek is door AMI gedicht, maar fabrikanten moeten deze patches zelf beschikbaar stellen aan klanten. Het lek (CVE-2024-54085) is ontdekt door Eclypsium, dat zich richt op de beveiliging van hardware zoals dus ook BMC. De BMC stelt beheerders in staat tot het op afstand monitoren en aansturen van apparaten. Zo kunnen zij onder meer firmware updaten en besturingssystemen installeren op systemen zonder fysieke toegang nodig te hebben. AMI is een grote speler op dit vlak; de BMC van AMI is verwerkt in apparaten van een groot aantal fabrikanten. In 2023 ontdekte het bedrijf eveneens twee kwetsbaarheden in de BMC van AMI. Het nu ontdekte lek lijkt veel op een van de in 2023 ontdekte problemen: CVE-2023-34329. Het is onduidelijk of het om een volledig nieuwe kwetsbaarheid gaat, of dat het eerder ontdekte probleem niet volledig is verholpen. Malware uitrollen, firmware aanpassen en fysieke schade aanrichten De kwetsbaarheid treft de Redfish-managementinterface en maakt het mogelijk de authenticatie te omzeilen. Gezien de mogelijkheden die de BMC biedt is het lek dan ook kritiek; aanvallers kunnen onder meer malware op systemen uitrollen, de firmware aanpassen en door voltages aan te passen zelfs fysieke schade toebrengen aan het apparaat. Een patch is inmiddels beschikbaar gesteld door AMI. OEM's moeten deze patch zelf beschikbaar stellen aan hun klanten. Zowel HPE als Lenovo hebben dit inmiddels gedaan. bron: https://www.security.nl

Veeam Backup & Replication bevat twee kwetsbaarheden die het mogelijk maken op afstand code uit te voeren. De lekken kunnen worden uitgebuit door gebruikers die toebehoren aan de local user-group op de Windows-host van de Veeam server. Indien de server is toegevoegd aan het domein, kunnen alle gebruikers van dit domein de kwetsbaarheden uitbuiten. Een patch die de problemen verhelpt is inmiddels beschikbaar. Hiervoor waarschuwt Watchtowr. De kwetsbaarheden zijn volgens het beveiligingsbedrijf terug te leiden naar een breder probleem in het deserialisatiemechanismen van Veeam. De onderzoekers hekelen het gebruik van een blacklist door Veeam voor het blokkeren van deserialisatieproblemen. Zij stellen dat het bedrijf juist een whitelist zou moeten hanteren. "Als branche weten we dat ongecontroleerde deserialisatie altijd tot problemen leidt. Dit is waarom je altijd strenge controle moet implementeren op de klassen die worden gedeserialiseerd. Ideaal gezien zou dit een whitelist moeten zijn die alleen de deserialisatie van geselecteerde klassen toestaat. Hoewel de Veeam-oplossing in kwestie dit technisch gezien doet, leidt een van de toegestane klassen tot interne deserialisatie, die vervolgens een controle op basis van een blacklist implementeert", schrijft het bedrijf. Te koppelen aan eerder ontdekt lek De ontdekte lekken (beide omschreven als CVE-2025-23120 zijn volgens Watchtowr te koppelen aan de in september 2024 ontdekte kwetsbaarheid CVE-2024-40711, waarmee eveneens op afstand code uitgevoerd kan worden. Ook wijst het bedrijf op een verband met CVE-2024-42455, die geauthenticeerde gebruikers de mogelijkheid geeft onveilige deserialisatie uit te buiten. Watchtowr waarschuwt dat kwaadwillenden dergelijke kwetsbaarheden relatief eenvoudig kunnen identificeren door de codebase van Veeam Backup & Replication te zoeken naar deserialisatiegadgets die niet op de blacklist zijn opgenomen. Het nam de proef op de som en ontdekte zo de twee kwetsbaarheden. De kwetsbaarheden zijn alleen uit te buiten indien een aanvaller zich succesvol weet te authenticeren. Watchtowr stelt echter dat de authenticatievereisten van Veeam Backup & Replication niet sterk zijn, waardoor de lekken desondanks een flink risico opleveren. De kwetsbaarheden zijn verholpen in Backup & Replication version 12.3.1. bron: https://www.security.nl

Aanvallers richten in een langlopende malwarecampagne hun pijlen op WordPress-websites. In acht jaar tijd zijn meer dan 20.000 websites door de campagne getroffen. Eenmaal binnen proberen de aanvallers zo lang mogelijk toegang te houden tot de getroffen sites, onder meer door het updaten van WordPress en verwijderen van eventuele andere malware. Dit blijkt uit een analyse van het securityteam van de Amerikaanse hostingprovider GoDaddy. De campagne wordt 'DollyWay World Domination' genoemd. De campagne bestaat uit diverse aanvallen op WordPress-websites, die op het eerste oog los van elkaar lijken te staan. Onderzoek van GoDaddy wijst echter uit dat deze aanvallen allen dezelfde infrastructuur gebruiken, terwijl ook gebruikte code en monetariseringsmethoden overeenkomen. Gebruikers doorverwijzen naar malafide webpagina's De huidige variant van de gebruikte malware richt zich primair op bezoekers van besmette WordPress-sites. Het injecteert scripts die gebruikers doorverwijzen naar malafide webpagina's. De malware maakt daarbij gebruikt van VexTrio, een van de grootste affiliate-netwerken gericht op cybercriminaliteit. Hoewel de aanvallers zich momenteel voornamelijk richten op het doorverwijzen van gebruikers naar malafide pagina's om geld te verdienen aan hun campagne, is de campagne in het verleden ook ingezet voor het verspreiden van onder meer ransomware en bankingtrojans. Enkele aanvalscampagnes die eerder als losstaande campagnes zijn geïdentificeerd maar volgens GoDaddy onderdeel uitmaken van DollyWay World Domination zijn Master134, Fake Browser Updates en CountsTDS. Deze laatste campagne is ook bekend onder de namen DollyRAT / Backdoor.PHP.DOLLYWAY.A / Multistage WordPress Redirect Kit / R_Evil web shell. bron: https://www.security.nl

Spywarefabrikant SpyX is getroffen door een datalek. De gegevens gerelateerd aan bijna twee miljoen accounts zijn hierdoor uitgelekt. Het gaat onder meer om apparaatinformatie, e-mailadressen, geografische locaties, IP-adressen en wachtwoorden. Dit meldt de website Have I Been Pwned van beveiligingsonderzoeker Troy Hunt. SpyX zet zichzelf in de markt als telefoonmonitoringsoftware voor ouderlijk toezicht. Het meldt daarbij dat het niet nodig is een app te installeren op de smartphone die gebruikers willen monitoren. De spyware richt zich daarbij op de cloudback-up van het apparaat, waaruit het allerlei informatie ophaalt en doorstuurt. Via de app kunnen onder meer locatiegegevens, belgeschiedenis en SMS-verkeer worden ingezien. Have I Been Pwned meldt dat SpyX in juni 2024 is getroffen door een datalek. Daarbij zijn bijna 2 miljoen unieke e-mailadressen getroffen. Daarbij zijn ook inloggevens voor iCloud-omgevingen gerelateerd aan smartphones die via SpyX zijn gemonitord uitgelekt. De wachtwoorden waren daarbij opgeslagen in platte tekst, waarschuwt Have I Been Pwned. In totaal zijn 1,977,011 unieke accounts getroffen door het datalek. bron: https://www.security.nl

Kwaadwillenden maken deze week op grote schaal misbruik van bekende kwetsbaarheden in het Now Platform van ServiceNow. Voor de kwetsbaarheden zijn al updates beschikbaar. De aanvallers richten zich dan ook op partijen die deze patches niet hebben geïnstalleerd en daardoor een verouderde versie van het Now Platform draaien. Hiervoor waarschuwt GreyNoise. Het gaat om drie kwetsbaarheden: CVE-2024-4879, CVE-2024-5217 en CVE-2024-5178. CVE-2024-4879 is een fout in de invoervalidatie van ServiceNow en kan worden uitgebuit om op afstand code uit te voeren op het Now Platform. Een update is al sinds juli 2024 beschikbaar. CVE-2024-5217 is vergelijkbaar met CVE-2024-4879 en maakt ook misbruik van een fout uit in de wijze waarop input wordt gevalideerd. Ook in dit geval maakt dit het mogelijk op afstand code uit te voeren in instances van het Now Platform. Voor dit lek is sinds juni 2024 een update beschikbaar. CVE-2024-4879 en CVE-2024-5217 worden beide ials kritiek beschouwd. Ongeautoriseerde toegang CVE-2024-5178 is een kwetsbaarheid die aanvallers die beheerdersrechten weten te bemachtigen ongeautoriseerde toegang kan geven tot gevoelige bestanden op de webapplicatieserver. Ook voor dit lek, dat is ingeschaald als middelhoog, is sinds juni 2024 een patch beschikbaar. Met name organisaties in Israël lijken doelwit te zijn van de aanvallen. GreyNoise meldt dat 70% van de getroffen systemen zich in Israël bevindt. Ook meldt het bedrijf dat aanvallers door de kwetsbaarheden te combineren volledig toegang kunnen verkrijgen tot de database. Advies Organisaties wordt geadviseerd hun systemen te controleren en de beschikbare updates zo snel mogelijk te installeren om misbruik te voorkomen. bron: https://www.security.nl

Verschillende APT-groepen maken gebruik van een kwetsbaarheid in Windows uit om malafide commando's uit te voeren op machines van slachtoffers via geprepareerde snelkoppelingen. Daarbij verbergen zij command-line-opdrachten in .Ink-bestanden, met als doel malware payloads uit te voeren. Hiervoor waarschuwt Trend Micro via het Trend Zero Day Initiative. Het meldt bijna 1.000 malafide .Ink-bestanden te hebben ontdekt die ZDI-CAN-25373 actief probeerden uit te buiten. Hoewel het lek nu pas is ontdekt, meldt het beveiligingsbedrijf dat de kwetsbaarheid is gebruikt in aanvallen die teruggaan tot 2017. Verschillende APT-groepen uit onder meer Noord-Korea, Iran, Rusland en China lijken gebruik te maken van de kwetsbaarheid. Niet op korte termijn gepatcht Het lek is door Trend Micro gemeld bij Microsoft. Het beveiligingsbedrijf meldt echter dat Microsoft het lek niet op korte termijn zal dichten. Het Amerikaanse bedrijf beoordeelt de ernst van het lek als laag. "Deze kwetsbaarheid is gemeld aan Microsoft via het bug bounty-programma van Trend ZDI; Microsoft heeft dit geclassificeerd als "low severity" en de kwetsbaarheid zal in de nabije toekomst dan ook niet worden gepatcht", schrijft Trend Micro. Trend Micro adviseert organisaties hun systemen te onderzoeken op de aanwezigheid van malafide .Ink-bestanden. Onder meer overheden, private bedrijven, financiële organisaties, denktanks en telecombedrijven zijn doelwit van de aanvallen. bron: https://www.security.nl

Cybercriminelen gaan volgens marktonderzoeker Gartner steeds vaker AI-agents inzetten voor het overnemen van gebruikersaccounts. Daarnaast vormt technologie-gestuurde social engineering een steeds grotere bedreiging voor bedrijven. Gartner verwacht dat cybercriminelen met behulp van AI-agents op termijn gebruikersaccounts 50% sneller kunnen overnemen dan nu het geval is. Bijvoorbeeld door AI-agents geautomatiseerd met behulp van uitgelekte inloggegevens te laten inloggen op een groot aantal websites en online diensten, in de hoop dat de uitgelekte gegevens ergens zijn hergebruikt. Steeds breder ingezet Aanvallers gaan AI-agents daarbij in steeds meer stappen rondom het overnemen van gebruikersaccounts inzetten. Denk daarbij aan social engineering op basis van deepfake-stemmen tot het van A tot Z automatiseren van het uitbuiten van gestolen inloggegevens. Gartner adviseert gebruikers om zich hiertegen te wapenen de overstap te maken naar wachtwoordloze meerfactorauthenticatie (MFA). Indien gebruikers een keuze geboden krijgen tussen verschillende authenticatieopties, adviseert de marktonderzoeker altijd te kiezen voor multidevice passkeys. Deepfakes Daarnaast voorspelt Gartner dat door technologie ondersteunde social engineering een steeds grotere bedreiging gaat vormen voor de digitale veiligheid van bedrijf. Het voorspelt dat bij 40% van de social engineering-aanvallen in 2028 is gericht op managers en werknemers. Steeds vaker zetten zij daarbij deepfake-audio en -video in, onder meer om werknemers om de tuin te leiden. Gartner wijst erop dat hoewel dergelijke aanvallen op dit moment nog schaars zijn, de aanvallen die wel hebben plaatsgevonden tot grote financiële schade hebben geleid bij getroffen partijen. bron: https://www.security.nl

In het contentmanagementsysteem (CMS) Xperience van Kentico zijn een aantal kwetsbaarheden gevonden. Kwaadwillenden kunnen via de beveiligingsproblemen niet alleen authenticatie in het CMS omzeilen, maar ook op afstand code uitvoeren op kwetsbare implementaties. De kwetsbaarheden zijn ontdekt door Watchtowr, leverancier van een Continuous Automated Red Teaming-platform. Het gaat om een tweetal kwetsbaarheden die het mogelijk maken om authenticatie te omzeilen (WT-2025-0006 en WT-2025-0011) en een remote code execution (RCE)-kwetsbaarheid (WT-2025-0007). Niet alle implementaties van Xperience zijn overigens kwetsbaar. Alleen indien de Staging Service op het systeem is uitgeschakeld en deze is geconfigureerd om inloggen met een gebruikersnaam en wachtwoord mogelijk te maken is dit het geval. Watchtowr meldt dat dit een veelvoorkomende configuratie is. Authenticatie omzeilen WT-2025-0006 maakt gebruik van een fout in de wijze waarop het CMS authenticatie afhandelt in de Staging Service API. Door het manipuleren van SOAP-verzoeken kunnen aanvallers zonder geldige inloggegevens toegang krijgen tot Xperience. WT-2025-0011 maakt het mogelijk in te loggen met uitsluitend een gebruikersnaam, zonder dat een wachtwoord hoeft worden ingevoerd. Eenmaal binnen kunnen aanvallers een WT-2025-0007 inzetten om code uit te voeren op het systeem. Deze kwetsbaarheid maakt gebruik van een fout in een functionaliteit voor het uploaden van media naar het CMS. Deze fout maakt het mogelijk om bestanden weg te schrijven naar het bestandssysteem van de server. De kwetsbaarheden zijn in verschillende updates voor Kentico opgelost. Zo is WT-2025-0006 gedicht in Xperience 13.0.173, terwijl WT-2025-0011 en WT-2025-0007 zijn verholpen in Xperience 13.0.178. bron: https://www.security.nl

De remote access tool (RAT) StilachiRAT zet geavanceerde technieken in om onder de radar te kunnen opereren. De data richt zich op de diefstal van gevoelige informatie, waaronder inloggegevens, digitale wallets, data uit het clipboard en systeeminformatie. Na infectie nestelt de RAT zich daarnaast diep in het systeem, wat het verwijderen van de malware bemoeilijk. Dit blijkt uit een analyse van Microsoft Incident Response, een team van Microsoft dat klanten ondersteunt bij cyberaanvallen. Het is onduidelijk wie voor de StilachiRAT verantwoordelijk is; Microsoft meldt nog niet erin geslaagd te zijn de RAT aan een specifieke actor toe te schrijven. Niet breed verspreid De onderzoekers melden vooralsnog geen brede verspreiding van de RAT te zien. Door de uitgebreide technieken die het inzet om onder de radar te blijven en snelle ontwikkelingen in het malware-ecosysteem wil het team echter desondanks informatie over de malware delen. StilachiRAT verzamelt onder meer informatie over het systeem dat het heeft geïnfecteerd. Denk daarbij aan details over het besturingssysteem, gebruikte hardware, aanwezigheid van camera's, actieve Remote Desktop Protocol (RDP)-sessies en applicaties die op het systeem draaien. Daarnaast scant de RAT het systeem op de aanwezigheid van digitale wallet-extensies voor de webbrowser Google Chrome. Ook steelt het inloggegevens die zijn opgeslagen in Google Chrome. Aansturing via C2-server Daarnaast zet de RAT communicatie op met zijn command-and-control-server (C2-server). Vanaf deze server kan de aanvaller de malware aansturen om diverse activiteiten uit te voeren op het systeem. Denk daarbij aan het herstarten van het systeem, manipuleren van de registry, opschonen van logbestanden en opstarten van applicaties. Ook neemt StilachiRAT maatregelen om het verwijderen van de malware te bemoeilijken. Zo maakt het gebruik van Windows service control manager (SCM) om zichzelf na verwijdering opnieuw op het systeem te installeren. Ook neemt het maatregelen om detectie te vermijden. Onder meer door eventlogs te wissen en gericht te zoeken naar de aanwezigheid van detectietools. bron: https://www.security.nl

De hoeveelheid ClickFix-aanvallen, ook bekend als ClearFix-aanvallen, groeit snel en wordt door steeds meer aanvallers ingezet. Onder meer diverse APT-groepen die banden onderhouden met overheden zetten de aanvalsmethode in. Hiervoor waarschuwt Group-IB, dat de aanvallen analyseerde. In een blogpost deelt het zijn bevindingen. ClickFix is een social engineering-techniek waarbij gebruikers worden overtuigd PowerShell-commando's uit te voeren op hun systeem. In veel gevallen gebruiken aanvallers daarbij het clipboard van gebruikers. De techniek is voor het eerst waargenomen in oktober 2023, en wint sinds eind 2024 sterk aan populariteit. ClickFix-aanvallen maken vaak gebruik van valse reCAPTCHA-pagina's en andere vormen van bescherming tegen bots. SMOKESABER Group-IB omschrijft in zijn blogpost diverse aanvallen die de ClickFix-methode gebruiken. Een voorbeeld van een vroegtijdig incident met de aanvalsmethode die Group-IB omschrijft vond plaats in augustus 2024 en wordt 'SMOKESABER' genoemd. Aanvallers serveerden hierbij gebruikers van diverse website met valse reCAPTCHA's, waarmee gebruikers om de tuin werden geleid een reeks verborgen PowerShell-commando's uit te voeren op hun systeem. Deze commando's laden in de praktijk een downloader, die op zijn beurt de Lumma C2 infostealer op het systeem installeert. Voor het opzetten van ClickFix-aanvallen gebruiken aanvallers diverse methoden. Enkele voorbeelden zijn spearphishing en social engineering voor het verleiden van gebruikers om op malafide links te klikken en malafide advertenties op popups te serveren of gebruikers direct door te sturen naar malafide websites. Denk echter ook aan het opzetten van phishingwebsites, het toevoegen van bijvoorbeeld een valse reCAPTCHA aan een legitieme gecompromitteerde website of spam op social media. bron: https://www.security.nl

7.966 nieuwe kwetsbaarheden zijn afgelopen jaar in het WordPress-ecosysteem ontdekt, een stijging van 34% ten opzichte van een jaar eerder. De beveiligingsproblemen zaten met name in plugins van derde partijen. Dit blijkt uit cijfers verzameld door PatchStack, een WordPress vulnerability intelligence provider. Het stelt dat het merendeel van de kwetsbaarheden in de praktijk geen actief risico opleveren. Het aantal ernstige kwetsbaarheden is echter ook met 11% gestegen. 96% van de kwetsbaarheden is ontdekt in plugins, terwijl 4% in thema's zat. Slechts zeven van de 7.966 beveiligingsproblemen zat in WordPress zelf. Lek vaak niet gedicht voor openbaarmaking Uit de cijfers is ook op te maken dat veel ontwikkelaars kwetsbaarheden niet dichten voordat zij een lek openbaar maken. Het wijst daarbij op de Europese Cyber Resilience Act, waarvan de eerste vereisten vanaf 2026 van kracht zijn. De werkwijze van ontwikkelaar kan in strijd zijn met deze wetgeving, waarschuwt PatchStack. bron: https://www.security.nl

Apache Tomcat-servers zijn kwetsbaar voor een nieuw ontdekte remote code execution (RCE)-kwetsbaarheid. Kwaadwillenden kunnen via een PUT API-verzoek de servers overnemen. Een exploit is al gepubliceerd op internet. Hiervoor waarschuwt Wallarm, dat zich richt op API-beveiliging. De kwetsbaarheid (CVE-2025-24813) is in twee stappen uit te buiten. Allereerst upload een kwaadwillende een malafide sessiebestand naar de server, met als payload een base64-encoded ysoserial gadget chain. Dit verzoek schrijft het bestand weg naar de opslag voor sessiedata op de Tomcat-server. Stap twee bestaat uit het deserialiseren van het bestand door een GET-verzoek te versturen met de JSESSIONSID die naar de malafide sessie verwijst. De Tomcat-server haalt vervolgens het opgeslagen bestand op, deserialiseert dit en voert de embedded Java-code uit. Dit geeft de aanvaller toegang tot de server. Wallarm stelt dat de aanval erg eenvoudig uitvoerbaar is. De enige vereiste is dat de Tomcat-server file-gebaseerde sessieopslag gebruikt, wat in veel implementatie het geval is. Ook weet de aanval de meeste traditionele securityfilters te omzeilen, waardoor de aanval moeilijk detecteerbaar is. Zo ziet het PUT-verzoek er normaal uit en bevat geen duidelijk kwaadaardige content, is de payload 64base-gecodeerd wat patroon-gebaseerde detectie bemoeilijkt en bestaat de aanval uit twee stappen waarbij het schadelijke deel van de aanval pas tijdens de deserialisatie wordt uitgevoerd. bron: https://www.security.nl

Beveiligingsonderzoeker Yohanes Nugroho meldt een decryptor te hebben ontwikkeld voor de Linux-variant van de Akira-ransomware. De decryptor maakt gebruik van GPU's voor het achterhalen van de encryptiesleutels, om zo versleutelde data weer toegankelijk te maken. De decryptor is door Nugroho ontwikkeld nadat hij door een vriend om hulp werd gevraagd. Veel andere decryptietools ontsleutelen gegijzelde bestanden nadat de gebruiker de encryptiesleutel opgeeft. De decryptor die Nugroho nu deelt kraakt echter de encryptiesleutels die de Akira-ransomware gebruikt. Vier seeds gebaseerd op tijdstempel in nanoseconden Akira-ransomware genereert unieke encryptiesleutels voor ieder bestand dat het versleutelt met behulp van vier verschillende seeds, gebaseerd op de tijdstempel in nanoseconden. Het hasht deze door 1.500 rondes van SHA-256. Deze sleutels worden vervolgens versleuteld met RSA-4096 en toegevoegd aan het einde van elk versleuteld bestand. Doordat de seed is gebaseerd op de tijd in nanoseconden is het via brute force kraken van de sleutels zeer tijdrovend, aangezien er meer dan een miljard mogelijke waarden per seconde zijn. Ook versleutelt Akira meerdere bestanden gelijktijdig via multi-threading, wat het bepalen van de gebruikte tijdstempel verder bemoeilijkt. Aantal mogelijke seeds terugdringen Door logbestanden te analyseren wist de onderzoeker te achterhalen wanneer de ransomware was uitgevoerd en wanneer het encryptieproces was afgerond, en zo het aantal mogelijke seeds terug te dringen. Door encryptiebenchmarks uit te voeren op verschillende soorten hardware wist Nugroho het aantal mogelijke seeds daarnaast nog verder in te perken. Dankzij deze informatie slaagde hij erin met behulp van cloudgebaseerde GPU-diensten de encryptiesleutels in ongeveer 10 uur te kraken. Hij maakte daarbij gebruik van zestien RTX 4090 GPU's. Dit proces kostte ongeveer 1.200 dollar. De decryptor is door Nugroho op GitHub beschikbaar gemaakt, inclusief instructies voor het gebruik van de decryptor. Een uitgebreide analyse van het kraken van de encryptiesleutels is hier te vinden. bron: https://www.security.nl

Een populaire GitHub Action genaamd tj-actions/changed-files GitHub Action is door een aanvaller gemanipuleerd. Door code aan te passen wist de aanvaller een malafide script te laten uitvoeren dat is geschreven voor het stelen van CI/CD-secrets. Hiervoor waarschuwt StepSecurity, dat zich specifiek richt op de beveiliging van GitHub Actions. Dit is een tool voor het automatiseren van GitHub-workflows. Zo kan je met een GitHub Action bijvoorbeeld het testen van een applicatie na het toevoegen van nieuwe code automatiseren. CI/CD-secrets in logbestanden opnemen StepSecurity meldt dat de aanval specifiek tj-actions/changed-files GitHub Action treft. Een aanvaller is op 14 maart geslaagd in het aanpassen van de code van deze GitHub Action. De malafide code laadt een Python-script, dat ervoor zorgt dat CI/CD-secrets in build logs van GitHub Actions worden opgenomen. Indien deze logs openbaar toegankelijk zijn, bijvoorbeeld via openbare repositories, zijn deze secrets hierdoor vrij toegankelijk via internet. Het bedrijf meldt in logs van diverse openbare repositories inmiddels daadwerkelijk secrets te hebben aangetroffen. Tegelijkertijd meldt het geen bewijs te hebben dat de gelekte secrets daadwerkelijk door kwaadwillenden zijn buitgemaakt. Alternatieve GitHub Action beschikbaar Om te helpen met het mitigeren van de aanval stelt StepSecurity een vervanger voor de getroffen GitHub Action beschikbaar. Het adviseert alle instances van tj-actions/changed-files hiermee te vervangen. Het meldt ook dat het merendeel van de tj-actions/changed-files gecompromitteerd zijn. bron: https://www.security.nl

Bijna een miljoen computers zijn via illegale streamingwebsites besmet geraakt met malware, zo claimt Microsoft. Het gaat zowel om systemen van thuisgebruikers als bedrijven, aldus het techbedrijf in een analyse. De illegale streamingwebsites lieten gebruikers illegaal films kijken. Tijdens het bekijken van de films werden gebruikers automatisch doorgestuurd naar een andere website waarop malware werd aangeboden. Zodra slachtoffers de malware hadden gedownload en uitgevoerd werd er informatie over het systeem verzameld en aanvullende malware geïnstalleerd om documenten te stelen. Het ging onder andere om verschillende infostealers die zijn ontwikkeld om allerlei inloggegevens van besmette systemen te stelen. De aanvallers hadden de malware bij GitHub gehost, waar de malafide bestanden inmiddels zijn verwijderd. bron: https://www.security.nl