Captain Kirk

SAP heeft een kritieke kwetsbaarheid in Business Planning en Business Warehouse gedicht waardoor een ongeautoriseerde aanvaller op afstand willekeurige SQL-commando's op de database kan uitvoeren. De impact van het beveiligingslek (CVE-2026-27681) is op een schaal van 1 tot en met 10 beoordeeld met een 9.9. De kwetsbaarheid werd door securitybedrijf Onapsis aan SAP gerapporteerd. SAP Business Planning and Consolidation (BPC) is een oplossing voor het plannen en consolideren van bedrijfsfinanciën. SAP Business Warehouse (BW) is een oplossing voor het opslaan en analyseren van grote hoeveelheden bedrijfsgegevens. De kwetsbaarheid bevindt zich in een ABAP-programma dat een gebruiker met lage rechten een bestand laat uploaden met willekeurige SQL-commando's die vervolgens worden uitgevoerd. SAP heeft het probleem verholpen door alle uitvoerbare code in het kwetsbare programma uit te schakelen. Als tijdelijke oplossing adviseert SAP het verwijderen van de autorisatie van gebruikersaccounts om bestanden te uploaden. Dit kan echter gevolgen hebben voor gebruikers in andere applicaties. "Aangezien deze workaround kan leiden tot bijwerkingen voor de getroffen gebruikers in andere applicaties en vanwege de impact van de kwetsbaarheid, raden we sterk aan om de patch zo snel mogelijk te installeren", aldus Onapsis. Naast het kritieke SQL Injection-lek verhelpt SAP ook een kwetsbaarheid in ERP en S/4HANA waardoor een geauthenticeerde aanvaller een ABAP-programma kan uitvoeren om bestaande achtkarakters uitvoerbare programma's te overschrijven. De impact van dit beveiligingslek (CVE-2026-34256) is beoordeeld met een 7.1. bron: https://www.security.nl

Rockstar Games heeft de gegevens van miljoenen spelers gelekt, zo stelt een groep criminelen die de data in handen zou hebben. Het gaat om meer dan 78,6 miljoen records, aldus de criminelen, die zichzelf ShinyHunters noemen. De groep claimt dat het de gegevens heeft gestolen bij een aanval op Snowflake-omgevingen van Rockstar Games. Snowflake is een cloudplatform dat wordt gebruikt voor de opslag van grote hoeveelheden data. De criminelen claimen dat ze inloggegevens van Anodot hebben gestolen en die vervolgens hebben gebruikt om toegang tot de Snowflake-omgevingen van klanten te krijgen. De groep heeft nu een deel van de gestolen data openbaar gemaakt. Het gaat om analyticsdata, waaronder in-game aankopen, inkomsten, supporttickets en fraudedetectie. Bleeping Computer meldt dat de criminelen de gestolen data hebben gebruikt om Rockstar Games af te persen. Rockstar Games heeft de aanval bevestigd, maar stelt dat er geen gevoelige gegevens zijn buitgemaakt. "We kunnen bevestigen dat een beperkte hoeveelheid niet-materiële bedrijfsinformatie is buitgemaakt in verband met een datalek van een derde partij. Dit incident heeft geen impact op onze organisatie of onze spelers", aldus een verklaring tegenover Kotaku. Eerder werd al bekend dat Anodot was getroffen door een datalek. Daarbij werden inloggegevens van klanten gestolen. Het ging onder andere om Salesforce-klanten. Salesforce is een veelgebruikt platform voor customer relationship management (CRM). De criminelen achter de aanval op Anodot claimden dat ze ook gegevens van Rockstar Games hadden buitgemaakt. bron: https://www.security.nl

AI-modellen kunnen nu zelf kritieke kwetsbaarheden in complexe software vinden, zo stelt AI-bedrijf Anthropic. Het bedrijf claimt dat het een nieuw AI-model heeft ontwikkeld genaamd Claude Mythos Preview dat in staat is om zelf kwetsbaarheden te vinden en misbruiken. Het model is echter niet beschikbaar voor het publiek. Anthropic heeft het model wel met verschillende partijen gedeeld, waaronder Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA en Palo Alto Networks. Deze partijen kunnen het model gebruiken om hun eigen software te controleren. Anthropic zegt dat het model duizenden kwetsbaarheden heeft gevonden, waaronder in alle grote besturingssystemen en browsers. Het gaat onder andere om een kwetsbaarheid in OpenBSD die al 27 jaar aanwezig is. Het model is ook in staat om exploits te ontwikkelen. Zo is het model in staat om een kwetsbaarheid in de Linux-kernel te vinden en misbruiken, waardoor een aanvaller zijn rechten kan verhogen en root kan worden. Anthropic zegt dat het model niet specifiek is getraind om kwetsbaarheden te vinden en misbruiken. "Dit is het gevolg van algemene verbeteringen in code, redeneren en autonomie. De zelfde verbeteringen die het model veel effectiever maken in het patchen van kwetsbaarheden, maken het ook veel effectiever in het misbruiken ervan." Het AI-bedrijf stelt dat het model niet voor het publiek beschikbaar zal worden gemaakt. Wel is het van plan om in de toekomst AI-modellen zoals Mythos Preview aan gebruikers aan te bieden. "Om dit te doen moeten we ook vooruitgang boeken in het ontwikkelen van cybersecurity (en andere) beveiligingsmaatregelen die gevaarlijke outputs van het model detecteren en blokkeren." bron: https://www.security.nl

Het Nationaal Cyber Security Centrum (NCSC) verwacht op korte termijn grootschalig misbruik van een kritieke kwetsbaarheid in Adobe Acrobat, nu proof-of-concept exploitcode op internet is verschenen. De overheidsinstantie adviseert gebruikers van de pdf-software om de noodpatch die Adobe wegens het probleem uitbracht zo snel mogelijk te installeren. Misbruik van de kwetsbaarheid zou mogelijk al maanden plaatsvinden. Het beveiligingslek zorgt ervoor dat een aanvaller willekeurige code op het systeem kan uitvoeren als een gebruiker met een kwetsbare Acrobat-versie een speciaal geprepareerd pdf-document opent. Beveiligingsonderzoeker Haifei Li maakte vorige week het bestaan van de kwetsbaarheid bekend en stelde dat er actief misbruik van werd gemaakt. Een systeem dat hij ontwikkelde voor het detecteren van exploits ontdekte het beveiligingslek (CVE-2026-34621). Verder onderzoek wees uit dat aanvallen mogelijk al sinds eind november vorig jaar plaatsvinden. Adobe kwam vervolgens op zaterdag 11 april, buiten de vaste patchcyclus om, met een noodpatch. Het softwarebedrijf omschrijft het probleem als een 'Improperly Controlled Modification of Object Prototype Attributes' kwetsbaarheid, maar geeft geen verdere details. Kort na het uitkomen van de updates verscheen er proof-of-concept exploitcode online. Dat kan andere aanvallers helpen bij het uitvoeren van aanvallen. "Er is publieke exploit code beschikbaar, hiermee is het zeer waarschijnlijk dat er grootschalig misbruik zal plaatsvinden op korte termijn", aldus het NCSC in een advisory. Dat kwam vanwege de ernst van de kwetsbaarheid ook met een aparte waarschuwing. bron: https://www.security.nl

OpenAI is één van de organisaties die getroffen is door de aanval op Axios en heeft uit voorzorg besloten om het code signing certificaat gebruikt voor het signeren van macOS-apps te vervangen. Applicaties gebruiken de Axios library om via HTTP met andere systemen te communiceren. De library heeft meer dan honderd miljoen wekelijkse downloads op npmjs.com. Bij een recente aanval wisten de aanvallers het account van de primaire maintainer van het Axios-project te compromitteren, om vervolgens malafide versies uit te brengen. Deze versies installeerden bij gebruikers een remote access trojan (RAT). De GitHub Actions workflow die OpenAI gebruikt voor het signeren van de macOS-app downloadde de besmette versie en voerde die ook uit. De workflow in kwestie heeft toegang tot het certificaat en notarization materiaal dat OpenAI gebruikt voor het signeren van macOS-applicaties, waaronder ChatGPT Desktop, Codex, Codex-cli en Atlas. Door de code te signeren kunnen gebruikers controleren dat de software afkomstig is van OpenAI. Met een gestolen certificaat zou een aanvaller malware kunnen signeren, waarbij het lijkt om legitieme OpenAI software te gaan. OpenAI deed onderzoek naar de aanval en stelt dat het code signing certificaat waarschijnlijk niet door de aanvallers is gestolen. Uit voorzorg is echter besloten om het certificaat als gecompromitteerd te beschouwen en het te vervangen. Vanaf 8 mei zullen oudere versies van ChatGPT Desktop, Codex App, Codex CLI en Atlas voor macOS geen updates meer ontvangen en mogelijk niet meer werken. Gebruikers krijgen zo een maand de tijd om hun applicaties te vervangen. Volgens OpenAI is het getroffen notarization materiaal niet meer te gebruiken. Mocht het getroffen certificaat worden gebruikt voor het signeren van een macOS-app, dan zal macOS deze app vanwege het ontbreken van notarization standaard blokkeren. Notarization is een geautomatiseerd proces waarbij Apple door ontwikkelaars aangeboden apps op malware controleert. Mocht er misbruik van het certificaat worden gedetecteerd, dan zegt OpenAI de genoemde datum naar voren te halen. bron: https://www.security.nl

Naast individuen zijn ook bedrijven getroffen door de besmette versies van CPU-Z en HWMonitor die via de gehackte website van CPUID werden verspreid, zo stelt antivirusbedrijf Kaspersky op basis van eigen informatie. CPUID biedt verschillende populaire tools waarmee gebruikers informatie over hun systeem kunnen opvragen of de werking van de hardware kunnen monitoren. Vorige week wezen de downloadlinks op de officiële CPUID-site zes uur lang naar besmette, getrojaniseerde versies van CPU-Z, HWMonitor Pro, HWMonitor en PerfMonitor. Volgens de ontwikkelaar van de tools was een gecompromitteerde 'side API' de oorzaak, maar verdere details over hoe de aanval mogelijk was zijn nog niet gegeven. Kaspersky heeft een analyse van de malware gepubliceerd. Het gaat om een remote access trojan waarmee aanvallers toegang tot de systemen van slachtoffers krijgen. Het antivirusbedrijf detecteerde meer dan honderdvijftig slachtoffers. Het grootste deel daarvan zijn individuen, maar onder de slachtoffers werden ook verschillende bedrijven waargenomen. De niet nader genoemde ondernemingen zijn volgens Kaspersky actief in verschillende sectoren, waaronder retail, productie, consultancy, telecom en landbouw, waarbij de meeste infecties in Brazilië, China en Rusland werden waargenomen. Het werkelijke aantal slachtoffers ligt vermoedelijk veel hoger, omdat het hier alleen om infecties gaat die door Kaspersky zijn waargenomen. bron: https://www.security.nl

Mozilla heeft uitgehaald naar Microsoft wegens het opdringen van chatbot Copilot aan gebruikers. Volgens de Firefox-ontwikkelaar is het niet de eerste keer dat Microsoft zich schuldig maakt aan 'misleidende ontwerppatronen'. Na kritiek van gebruikers heeft Microsoft besloten om Copilot op een een aantal plekken weer te verwijderen. Mozilla merkt op dat Copilot niet aan Windowsgebruikers werd aangeboden, maar ongevraagd op hun systemen werd geïnstalleerd. Volgens Mozilla is dit gedrag niet nieuw en blijkt uit onderzoek dat het liet uitvoeren dat Microsoft door middel van ontwerp en distributie de keuze van gebruikers naast zich neerlegt. Het gaat dan bijvoorbeeld om gecompliceerde processen voor het aanpassen van de standaardbrowser of een interface die ervoor zorgt dat gebruikers Microsoft Edge weer gaan gebruiken nadat ze zelf een andere browser hadden gekozen."Bij de uitrol van Copilot werd dezelfde handleiding gevolgd die we van Microsoft kennen: automatische installaties, fysieke hardware en standaardinstellingen om gedrag te forceren. In het meest recente geval lieten ze hun AI zo snel mogelijk leren en data verzamelen voordat mensen een keuze hadden", aldus Mozilla. De Firefox-ontwikkelaar voegt toe Microsoft met dergelijk gedrag, waarbij het alleen aanpassingen doorvoert als gebruikers voldoende klagen, invloed heeft op wat mensen van technologie verwachten. "Het vertelt mensen dat de enige echte optie is om te klagen, totdat het bedrijf hopelijk toegeeft. Het maakt het ook lastiger voor alternatieven om te concurreren als een bedrijf zijn bereik en controle gebruikt om mensen terug naar de eigen producten te leiden." bron: https://www.security.nl

Het toevoegen van een nieuwe beveiligingsmaatregel aan Chrome heeft ervoor gezorgd dat er minder cookies bij gebruikers van de browser worden gestolen, zo claimt Google. De maatregel heet Device Bound Session Credentials (DBSC) en zorgt ervoor dat websites de sessie van een ingelogde gebruiker kunnen koppelen aan het specifieke systeem van de gebruiker. Dit moet het volgens Google lastiger maken om gestolen session cookies op andere systemen te gebruiken. Google stelt dat veel internetgebruikers besmet raken met infostealer-malware die session cookies van het systeem steelt. Deze cookies geven aan dat de gebruiker op een bepaalde website of account is ingelogd. Ze worden aangemaakt nadat de gebruiker is ingelogd. Door session cookies te stelen heeft een aanvaller dan ook direct toegang tot het betreffende account, waardoor het niet meer nodig is om het wachtwoord van de gebruiker te hebben of tweefactorauthenticatie te omzeilen. Als oplossing tegen dergelijke cookiediefstal bedacht Google Device Bound Session Credentials. Het techbedrijf wil dat dit uiteindelijk een open webstandaard wordt. DBSC koppelt de ingelogde sessie van de gebruiker aan het onderliggende apparaat. Bij DBSC maakt de browser een public/private key pair aan op het apparaat en gebruikt het besturingssysteem om de private key zo op te slaan dat die lastig is te exporteren. Dit kan bijvoorbeeld via de Trusted Platform Module van de computer. Het uniek gegenereerde public/private key pair kan niet van de machine worden gestolen, aldus Google. Daarnaast wordt er gewerkt met cookies die zeer snel verlopen. De Chrome-versie op het systeem van de gebruiker kan met deze kortlevende cookies werken omdat de browser aan de server kan aantonen over de bijbehorende private key te beschikken. Omdat aanvallers deze key niet kunnen stelen en gestolen cookies snel verlopen zijn ze nutteloos voor aanvallers geworden, aldus Google. Het techbedrijf stelt ook dat voor elke sessie een unieke key wordt gebruikt en DBSC websites niet in staat stelt om keys van verschillende sessies op hetzelfde apparaat te correleren. Dit moet volgens Google 'persistent user tracking' voorkomen. Verder claimt het techbedrijf dat DBSC geen betekenisvolle informatie over het apparaat lekt. De enige informatie die naar de server wordt gestuurd is de per-sessie public key, die de server gebruikt om later te controleren dat de gebruiker ook de bijbehorende private key in bezit heeft. Google rolde vorig jaar een vroege versie van het protocol uit. Bij sessies die met DBSC waren beveiligd zegt Google dat het een aanzienlijke daling heeft gezien van het aantal gestolen session cookies. Google heeft DSBC nu breed beschikbaar gemaakt in Chrome 146 voor Windows en zal de beveiligingsmaatregel ook aan een komende release voor macOS toevoegen. Daarnaast kijkt Google ook naar de mogelijkheden voor het gebruik van software-gebaseerde keys voor systemen die niet over aparte 'secure hardware' beschikken. bron: https://www.security.nl

LinkedIn is in de Verenigde Staten aangeklaagd over het scannen van browser-extensies van gebruikers. Aanleiding is een bericht van een vereniging genaamd Fairlinked. Die beweerde een aantal dagen geleden dat LinkedIn illegaal bij gebruikers op browser-extensies scant. Volgens de vereniging houdt Microsoft zich via deze praktijk bezig met de grootste zakelijke spionage-operatie in de recente geschiedenis. Fairlinked stelde ook dat gebruikers niet om toestemming wordt gevraagd, hier ook geen weet van hebben en dit niet in het privacybeleid van LinkedIn staat vermeld. "Omdat LinkedIn de echte naam weet van gebruikers, werkgever en functietitel, is het niet anonieme bezoekers aan het doorzoeken. Het doorzoekt medewerkers van bedrijven van wie het weet wie het zijn. Elke dag, wereldwijd." In een reactie op Hacker News stelde LinkedIn dat de aantijgingen niet kloppen en de persoon achter de stichting wegens scraping en andere overtredingen van de algemene voorwaarden met accountbeperkingen te maken heeft gekregen. LinkedIn liet ook weten dat het zoekt naar browser-extensies gebruikt voor het scrapen van informatie. De personen achter Fairlinked zouden ook betrokken zijn bij een Ests softwarebedrijf dat begin dit jaar LinkedIn aanklaagde, maar verloor. Volgens LinkedIn biedt het softwarebedrijf een extensie aan die gebruikersdata scrapet. In het privacybeleid schrijft LinkedIn dat het informatie over browser en 'add-ons' verzamelt. In de Nederlandse versie wordt gesproken over invoegtoepassingen. Twee rechtszaken die in de Verenigde Staten tegen LinkedIn zijn aangespannen zeggen dat dit niet duidelijk genoeg is. Door het scannen van browser-extensies niet expliciet te vermelden stellen de klagers dat de website hiervoor geen toestemming heeft en hun privacy is geschonden. In een reactie tegenover Ars Technica laat LinkedIn weten dat de rechtszaken ongegrond zijn. bron: https://www.security.nl

Een beveiligingsonderzoeker waarschuwt voor een actief aangevallen kwetsbaarheid in Adobe Reader waarvoor nog geen update beschikbaar is. Via het beveiligingslek, waar al vier maanden misbruik van zou worden gemaakt, kan allerlei informatie van systemen worden verzameld. Vervolgens wordt er op bepaalde doelwitten een verdere aanval uitgevoerd, aldus onderzoeker Haifei Li. Via de kwetsbaarheid, waarvoor nog geen CVE-nummer beschikbaar is, kan een aanvaller informatie over het besturingssysteem verzamelen, gebruikte Adobe Reader-versie en lokaal path van het pdf-bestand. De informatie wordt vervolgens naar een server van de aanvaller gestuurd. Ook is het via de kwetsbaarheid mogelijk om lokale bestanden te lezen. In een blogposting over de kwetsbaarheid meldt Li dat de exploit aanvallers niet alleen in staat stelt om lokale informatie te stelen, maar ook verdere aanvallen uit te voeren waarmee remote code execution of sandbox escapes mogelijk zijn, wat kan leiden tot volledige controle over het systeem van het slachtoffer. Op basis van informatie die andere onderzoekers over de aanval vonden stelt Li op X dat bij het misbruik niet alleen lokale informatie is verzameld, maar ook echt aanvullende exploits zijn uitgevoerd. Wat deze exploits precies doen kon niet worden achterhaald. Uit informatie die naar Googles online virusscanner VirusTotal werd geupload blijkt dat misbruik al sinds 28 november vorig jaar zou plaatsvinden. Adobe is nog niet met een reactie op de kwetsbaarheid gekomen. De door Li beschreven exploit maakt gebruik van JavaScript. Het is mogelijk om in Adobe Acrobat JavaScript uit te schakelen. bron: https://www.security.nl

Google waarschuwt organisaties voor social engineering-aanvallen op helpdeskmedewerkers die via live chat plaatsvinden. De aanvallers proberen aangevallen personeel naar phishingsites te lokken of malware te laten installeren. De groep aanvallers, die door Google UNC6783 wordt genoemd, probeert gevoelige data te stelen om slachtoffers daarmee af te persen. Volgens het techbedrijf zijn verschillende 'high-value corporate entities' in verschillende sectoren aangevallen. De aanvallers richten zich op Business Process Outsourcers (BPO's) die bijvoorbeeld voor de aangevallen organisaties de helpdesk en klantenservice verzorgen. Daarnaast zijn ook de helpdesks van de organisaties zelf het doelwit. De aanvallers benaderen de helpdeskmedewerkers via live chat en proberen die op nagemaakte Okta-pagina's te laten inloggen. Okta biedt een platform waar wereldwijd duizenden bedrijven gebruik van maken om werknemers toegang tot systemen en applicaties te geven. De phishingkit die de aanvallers inzetten kan multifactorauthenticatie (MFA) verificatie omzeilen door de inhoud van het clipboard te stelen, waarna de aanvallers hun eigen apparaten kunnen aanmelden om toegang te blijven houden, zegt Austin Larsen van de Google Threat Intelligence Group (GTIG) op LinkedIn. De aanvallers proberen daarbij specifiek inloggegevens van de Zendesk-omgeving van de aangevallen organisatie te bemachtigen. Zendesk biedt een online omgeving waarmee organisaties vragen van klanten en gebruikers kunnen verwerken. Het kan allerlei gevoelige gegevens bevatten. De aanvallers stelen deze informatie om daarmee bijvoorbeeld getroffen organisaties af te persen. Ook proberen de aanvallers aangevallen medewerkers zover te krijgen dat ze zogenaamde updates voor hun beveiligingssoftware installeren. In werkelijkheid gaat het om malware waarmee de aanvallers toegang tot het systeem krijgen. Google doet verschillende aanbevelingen om de aanvallen te voorkomen, waaronder het gebruik van phishingbestendige MFA, zoals FIDO hardware security keys. Tevens wordt aangeraden om live chat te monitoren en medewerkers over deze specifieke aanvalscampagne te informeren. Ook moeten organisaties monitoren op verdachte live chats waarbij personeel naar externe links wordt gestuurd. Onlangs werd bekend dat aanvallers vermoedelijk uit de Zendesk-omgeving van de populaire anime-streamingdienst Crunchyroll de gegevens van miljoenen gebruikers hebben gestolen. bron: https://www.security.nl

WordPress-sites worden actief aangevallen via een kritieke kwetsbaarheid in de plug-in Ninja Forms - File Uploads, zo meldt securitybedrijf Wordfence. Dat maakte op 6 april details over het probleem bekend. Niet veel later rapporteerde het securitybedrijf actief misbruik. Zo detecteerde Wordfence naar eigen zeggen de afgelopen 24 uur bijna negenhonderd aanvallen waarbij werd geprobeerd om WordPress-sites via het lek in de plug-in te compromitteren. Via Ninja Forms kunnen WordPress-beheerders allerlei soorten formulieren voor hun website ontwikkelen. De plug-in is op meer dan 600.000 websites actief, aldus cijfers van WordPress.org. Ninja Forms - File Upload is een betaalde uitbreiding voor Ninja Forms waarmee WordPress-sites een uploadveld aan hun formulieren kunnen toevoegen. Gebruikers van de websites kunnen zo via de formulieren allerlei soorten bestanden uploaden, bijvoorbeeld foto's of documenten gebruikt voor cv's. De File Uploads plug-in is op meer dan 50.000 WordPress-sites actief. Een ontbrekende 'file type validation' in de uploadfunctie zorgt ervoor dat er allerlei soorten bestandstypes naar de onderliggende webserver kunnen worden geupload, waaronder .php-bestanden. Omdat er geen 'filename sanitization' wordt toegepast is ook path traversal mogelijk, waardoor bestanden in de webroot directory zijn te plaatsen. Dit maakt het uploaden van malafide PHP-code mogelijk en daarmee remote code execution op de server. De kwetsbaarheid is volledig verholpen in versie 3.3.27 die op 16 maart uitkwam. Hoeveel websites inmiddels up-to-date zijn is onbekend. bron: https://www.security.nl

Een kritieke kwetsbaarheid in de WordPress-plug-in Ninja Forms - File Upload maakt het mogelijk voor aanvallers om kwetsbare websites volledig over te nemen. De ontwikkelaars hebben drie weken geleden een update voor het probleem uitgebracht. Hoeveel WordPress-sites die inmiddels hebben geïnstalleerd is onbekend. Ninja Forms - File Upload is een betaalde plug-in die op meer dan vijftigduizend websites wordt gebruikt. Via Ninja Forms kunnen WordPress-beheerders allerlei soorten formulieren voor hun website ontwikkelen. De plug-in is op meer dan 600.000 websites actief, aldus cijfers van WordPress.org. Ninja Forms - File Upload is een betaalde uitbreiding voor Ninja Forms waarmee WordPress-sites een uploadveld aan hun formulieren kunnen toevoegen. Gebruikers van de websites kunnen zo via de formulieren allerlei soorten bestanden uploaden, bijvoorbeeld foto's of documenten gebruikt voor cv's. Een ontbrekende 'file type validation' in de uploadfunctie zorgt ervoor dat er allerlei soorten bestandstypes naar de onderliggende webserver kunnen worden geupload, waaronder .php-bestanden. Omdat er geen 'filename sanitization' wordt toegepast is ook path traversal mogelijk, waardoor bestanden in de webroot directory zijn te plaatsen. Dit maakt het uploaden van malafide PHP-code mogelijk en daarmee remote code execution op de server, aldus securitybedrijf Wordfence. De kwetsbaarheid is volledig verholpen in versie 3.3.27 die op 16 maart uitkwam. Details over het probleem zijn nu bekendgemaakt. Voor extensies die via WordPress.org worden aangeboden wordt bijgehouden hoeveel sites de update hebben geïnstalleerd. In het geval van betaalde extensies die bedrijven via hun eigen websites aanbieden is deze informatie niet bekend. Beheerders worden opgeroepen om naar de nieuwste versie te updaten mocht dat nog niet zijn gedaan. bron: https://www.security.nl

Meerdere Node.js maintainers zijn het doelwit van social engineering-aanvallen geworden, afkomstig van dezelfde aanvallers die de maintainer van het Axios-project wisten te compromitteren. Dat meldt securitybedrijf Socket in een analyse. De aanvallen waren onder andere gericht tegen de ontwikkelaar van WebTorrent, StandardJS en buffer, maintainers van honderden ECMAScript polyfills en shims, de ontwikkelaar van Lodash, de maintainer van Fastify, Pino en Undici, leden van de Node Package Maintenance Working Group, medewerkers van Platformatic, de bedenker van Dotenv, een maintainer van mocha, neostandard, npm-run-all2 en type-fest en mensen betrokken bij de Node.js Security Working Group. Node.js is een open source, crossplatform JavaScript runtime omgeving waarmee ontwikkelaars JavaScript kunnen gebruiken voor het ontwikkelen van applicaties, tools en scripts. Onlangs werd bekend dat aanvallers het account van de primaire maintainer van het Axios-project hadden gehackt. Dit is een zeer populaire HTTP client library die applicaties onder andere gebruiken voor HTTP requests vanaf browsers en Node.js omgevingen. Applicaties gebruiken het om via HTTP met andere systemen te communiceren. De software telt meer dan honderd miljoen downloads per week. Via het gehackte account werden besmette versies gepubliceerd. Deze versies installeerden bij slachtoffers een remote access trojan (RAT), waardoor de aanvallers toegang tot hun systemen kregen. De Axios-maintainer publiceerde vorige week meer details over de aanval, waarbij zijn account door middel van social engineering was gehackt. Hij was benaderd door aanvallers, die zich daarbij voordeden als de oprichter van een bedrijf. Voor het gebruikte profiel waren zowel gegevens van de echte oprichter als het echte bedrijf gekloond. Uiteindelijk werd de Axios-maintainer gevraagd om deel te nemen aan een videogesprek via Microsoft Teams. De maintainer kreeg daarbij een melding te zien dat software op zijn systeem verouderd was en hij iets moest installeren. De maintainer deed dit. In werkelijkheid ging het om een remote access trojan waarmee de aanvallers toegang tot zijn systeem kregen en allerlei session cookies, tokens en andere credentials konden stelen. Nu blijkt dat de aanvallers via deze methode ook andere maintainers probeerden te hacken. Sommige van de aangevallen maintainers zijn verantwoordelijk voor packages met 114 miljoen en 137 miljoen wekelijkse downloads. De maintainers werden onder andere benaderd via LinkedIn. Eén van de aangevallen maintainers beschreef op LinkedIn de werkwijze van de aanvallers, waarbij ze probeerden hem een malafide app te laten installeren. Toen hij dit weigerde vroegen de aanvallers of hij een curl commando in zijn terminal wilde uitvoeren. Nadat de maintainer ook hier geen gehoor aan gaf verdwenen de aanvallers en verwijderden alle gesprekken. De groep aanvallers die voor de aanvallen verantwoordelijk wordt gehouden zou aan het Noord-Koreaanse regime zijn gelieerd en zich in het verleden hebben beziggehouden met aanvallen op cryptobedrijven en personen die over veel crypto bezitten. "Het npm-ecosysteem geeft aanvallers een ander soort toegang: schrijfrechten voor packages die worden gebruikt in de software supply chain van bedrijven wereldwijd", aldus Socket. In een reactie op de post mortem van de hack van de Axios-maintainer stelt een beveiligingsonderzoeker dat het belangrijk is dat slachtoffers en doelwitten hun verhalen blijven delen. "Schaam je niet. Bescherm elkaar tegen mensen die je stom noemen omdat je 'in phishing trapte'. Je bent niet stom." bron: https://www.security.nl

Thunderbird gaat de encryptiesleutels gebruikt voor versleutelde e-mail beoordelen en op basis hiervan een 'algemeen vertrouwensniveau' aan ontvangers tonen. "Er vindt een grote verschuiving plaats in de manier waarop we vertrouwen in versleutelde e-mail weergeven", zegt Toby Pilling van Thunderbird. "In plaats van encryptie als gewoon een aan/uit stand te behandelen, gaan we naar een oplopend betrouwbaarheidsmodel." Als onderdeel van dit model zal Thunderbird de sterkte van de gebruikte encryptiesleutel beoordelen, ongeacht of de encryptiesleutel handmatig is geverifieerd, ondersteund door een certificaatautoriteit of niet geverifieerd, en dan een algemeen vertrouwensniveau aan de gebruiker tonen. Volgens Pilling moet dit ervoor zorgen dat versleuteling meer vanzelf gaat, terwijl gebruikers nog steeds de informatie krijgen om te bepalen hoeveel ze een bepaald bericht kunnen vertrouwen. De gebruikersinterface die Thunderbird hiervoor zal gebruiken is bijna gereed. Verdere details zijn niet gegeven. bron: https://www.security.nl

Een kritieke kwetsbaarheid in de Cisco Integrated Management Controller (IMC) laat aanvallers het wachtwoord van de administrator aanpassen, om vervolgens als admin te kunnen inloggen. Er zijn beveiligingsupdates uitgebracht om het probleem (CVE-2026-20093) te verhelpen. De Cisco Integrated Management Controller is een oplossing waarmee beheerders op afstand op Cisco-servers kunnen inloggen. De oplossing gaat niet goed om met verzoeken voor het aanpassen van wachtwoorden. Een aanvaller kan hier misbruik van maken door een speciaal geprepareerd HTTP request naar het systeem te sturen. Vervolgens kan de aanvaller de authenticatie omzeilen, het wachtwoord van elke willekeurige gebruiker wijzigen, waaronder de Admin-gebruiker, en vervolgens als die gebruiker op het systeem inloggen. Verdere details zijn niet gegeven. Een externe onderzoeker ontdekte en rapporteerde het probleem aan Cisco. bron: https://www.security.nl

Ruim veertienduizend F5 BIG-IP APM-servers zijn toegankelijk vanaf internet, zo meldt The Shadowserver Foundation. Aanvallers maken actief misbruik van een kwetsbaarheid in het platform. Het is nog onbekend hoeveel kwetsbare F5 BIG-IP APM-servers online zijn. Via BIG-IP Access Policy Manager (APM) kunnen organisaties hun medewerkers toegang tot applicaties geven, ongeacht waar die worden gehost. Vorig jaar oktober kwam F5 met een beveiligingsupdate voor een kwetsbaarheid in het platform, aangeduid als CVE-2025-53521. In eerste instantie werd het probleem als een denial of service omschreven. Vorige maand besloot F5 dit op basis van nieuwe informatie te veranderen in een remote code execution kwetsbaarheid. Vervolgens waarschuwden verschillende overheidsdiensten, waaronder het Nationaal Cyber Security Centrum (NCSC) voor actief misbruik van de kwetsbaarheid. The Shadowserver Foundation is een stichting die vaak onderzoek doet naar kwetsbare systemen op internet. Bij de laatste scan besloot het te kijken hoeveel F5 BIG-IP APM-servers toegankelijk vanaf het internet zijn. Dit leverde meer dan 14.000 servers op, waarvan 362 in Nederland. Bij de scan werd niet gekeken hoeveel servers de update voor CVE-2025-53521 missen. bron: https://www.security.nl

Google heeft een update voor een actief aangevallen beveiligingslek in Chrome uitgerold. De kwetsbaarheid (CVE-2026-5281) bevindt zich in Dawn, een open source en crossplatform implementatie van de WebGPU-standaard. De impact van de kwetsbaarheid is door Google beoordeeld als 'high'. Bij kwetsbaarheden met het stempel 'high' kan een aanvaller in het ergste geval code binnen de context van de browser uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hier ook onder. Dit soort lekken zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google geeft geen details over de waargenomen aanvallen. Het probleem was op 10 maart door een externe onderzoeker aan Google gerapporteerd. Het beveiligingslek is verholpen in Google Chrome 146.0.7680.177/178 voor Windows en macOS en Chrome 146.0.7680.177 voor Linux. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van kwetsbaarheden met het stempel 'high' echter tot zestig dagen duren. Gebruikers die de update direct willen ontvangen zullen dan ook een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar. bron: https://www.security.nl

Onderzoekers hebben in de Google Play Store tientallen malafide Android-apps met miljoenen downloads ontdekt die, door gebruik te maken van bekende kwetsbaarheden, een rootkit installeren en vervolgens de WhatsApp-sessie van het slachtoffer klonen. De rootkit is niet met een fabrieksreset te verwijderen, zo laat antivirusbedrijf McAfee in een analyse weten. De meer dan vijftig apps, die bij elkaar minstens 2,3 miljoen downloads hebben, doen zich voor als eenvoudige tools of games. Eenmaal geïnstalleerd kijkt de malafide app of het Androidtoestel een bekende kwetsbaarheid bevat. Is dat het geval, dan wordt er een exploit gedownload waarmee vervolgens de rootkit wordt geïnstalleerd. Volgens de onderzoekers maken de exploits misbruik van kwetsbaarheden waar Google vanaf 2016 tot en met 2021 beveiligingsupdates voor uitbracht. Androidtoestellen met een patchniveau van 2021-05-01 zijn niet kwetsbaar voor de in totaal 22 exploits die de aanvallers toepassen. In het geval de exploit succesvol is wordt de rootkit geïnstalleerd. Die overschrijft een belangrijke system library, waardoor elke app op de telefoon code van de aanvaller uitvoert. De rootkit-installer vervangt ook het onderdeel van Android dat zich met afhandelen van crashes bezighoudt. Daarnaast worden er recovery scripts geïnstalleerd en kopieert de rootkit zichzelf ook naar de systeempartitie. Als één onderdeel wordt verwijderd kan de rootkit zichzelf weer installeren. Zodra de telefoon wordt herstart laadt de process launcher van Android de vervangen library, waardoor elke app meteen de code van de aanvaller uitvoert. De malware op de besmette telefoon maakt ook verbinding met de server van de aanvallers en wacht op nieuwe instructies. De aanvallers kunnen vervolgens allerlei payloads op het toestel uitvoeren. De onderzoekers van McAfee wisten één payload te identificeren. Deze payload kopieert de WhatsApp-encryptiedatabase, leest verschillende encryptiesleutels uit en steelt sessiegegevens. Met de gestolen keys en sessiedata kan de aanvallers de WhatsApp-sessie van het slachtoffer op een ander toestel klonen. De onderzoekers merken op dat de rootkit lastig is te verwijderen. Omdat die zichzelf naar de systeempartitie kopieert zal die namelijk niet bij een fabrieksreset worden verwijderd. Een fabrieksreset wist gebruikersgegevens, maar laat de systeembestanden intact. De onderzoekers stellen dat de firmware van de telefoon opnieuw moet worden geïnstalleerd om de malware weg te krijgen. Na te zijn ingelicht heeft Google de malafide apps uit de Play Store verwijderd. bron: https://www.security.nl

Het Nationaal Cyber Security Centrum (NCSC) waarschuwt softwareontwikkelaars voor gehackte npm- en Python-packages en roept op tot actie. De afgelopen dagen wisten aanvallers meerdere npm-packages te compromitteren en te voorzien van malware. Het ging onder andere om vulnerability scanner Trivy en HTTP library Axios. De malware in deze gehackte packages zorgt ervoor dat aanvallers inloggegevens en andere secrets van getroffen ontwikkelaars en hun systemen in handen krijgen. "Als jouw organisatie software ontwikkelt waarin een gecompromitteerd npm- of Python-package wordt gebruikt, hebben de kwaadwillenden toegang tot authenticatiegegevens gekregen. Via deze gegevens krijgen de kwaadwillenden toegang tot andere (ontwikkel)omgevingen of systemen op je netwerk. Ook eindgebruikers van je software lopen een reëel risico, bijvoorbeeld doordat backdoors van de kwaadwillenden in je software terecht zijn gekomen", zo waarschuwt het NCSC. De overheidsdienst zegt dat het aanwijzingen heeft gekregen dat de aanvallers verkregen toegang tot gehackte systemen gebruiken voor het stelen van data en afpersen van getroffen organisaties. "Waarbij ze bijvoorbeeld dreigen om de buitgemaakte data op het internet te publiceren wanneer niet aan een losgeldeis wordt voldaan. Ook is het mogelijk dat buitgemaakte data aan andere cybercriminelen wordt doorverkocht, die de daarin aanwezige credentials vervolgens voor hun eigen vervolgaanvallen misbruiken." Volgens het NCSC is het belangrijk dat softwareontwikkelaars en organisaties die npm of Python-packages van derden gebruiken actie ondernemen. Zo wordt aangeraden om te controleren of de ontwikkelomgeving is gecompromitteerd en een incidentresponsproces te starten als dit het geval is. Daarnaast worden maatregelen geadviseerd om dit soort incidenten te voorkomen, zoals het gebruik van versiepinning wanneer software van externe libraries gebruikmaakt, het toepassen van een dependancy cooldown-periode, uitschakelen van postinstall-scripts en implementeren van npm Trusted Publishing via OpenID Connect (OIDC), in plaats van een vast 'NPM_TOKEN'. Dit voorkomt dat een 'langlevend' publish-token kan worden gestolen of misbruikt. bron: https://www.security.nl

Microsoft waarschuwt gebruikers voor malware die via WhatsApp-berichten wordt verspreid en waarmee aanvallers toegang tot de systemen van slachtoffers krijgen. De aanvallen werden eind februari waargenomen en maken gebruik van social engineering. Hoe deze berichten er precies uit zien laat Microsoft niet weten, maar de aanval werkt alleen als het doelwit gebruikmaakt van WhatsApp Web op Windows. Vorig jaar meldde antivirusbedrijf Trend Micro een aanval gericht op WhatsApp-gebruikers, waarbij die werden gevraagd om het meegestuurde bestand via WhatsApp Web op hun computer op te slaan en daar te openen. Mogelijk dat deze methode ook bij de aanvallen wordt toegepast waarvoor Microsoft waarschuwt. Bij deze aanvallen versturen de aanvallers malafide VBS-scripts. De scripts, zodat geopend op een computer, installeren vervolgens het programma AnyDesk, waarmee aanvallers toegang tot het systeem kunnen krijgen. De aanvallers kunnen dan gegevens stelen, aanvullende malware installeren of het systeem onderdeel van een botnet maken, aldus Microsoft. He techbedrijf adviseert organisaties om personeel te trainen zodat ze verdachte WhatsApp-bijlagen en onverwachte berichten kunnen herkennen. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om de npm-package van de populaire HTTP client library Axios te voorzien van malware. De aanval was mogelijk doordat het account van de primaire maintainer van het Axios-project werd gehackt, zo meldt securitybedrijf StepSecurity in een analyse. Axios is één van de meestgebruikte HTTP clients in het JavaScript-ecosysteem met meer dan honderd miljoen wekelijkse downloads op npmjs.com. Npm is de standaard package manager voor de JavaScript-omgeving Node.js en naar eigen zeggen het grootste softwarearchief ter wereld. Via de npm Registry biedt het een groot archief met openbare, besloten en commerciële packages. Hoe de aanvallers het account van de maintainer konden compromitteren is onbekend. Nadat er toegang tot het account was verkregen werd het e-mailadres gewijzigd. Vervolgens werden er door de aanvallers verschillende malafide builds uitgebracht. Geen van deze malafide versies bevat kwaadaardige code. In plaats daarvan werd er een zogenaamde dependency geïnjecteerd, die als enig doel heeft het installeren van een cross-platform remote access trojan (RAT). De malware werkt op Linux, macOS en Windows en geeft aanvallers toegang tot het gehackte systeem. De dropper die voor de installatie van de uiteindelijk malware verantwoordelijk is verwijdert zichzelf en vervangt de eigen package met een schone versie als afleidingsmanoeuvre, aldus de onderzoekers. Ontwikkelaars die na de infectie de node_modules folder inspecteren zullen dan ook niets verdachts zien. Volgens StepSecurity was de aanval niet opportunistisch maar goed voorbereid, en hebben de aanvallers veel moeite genomen om hun sporen te verbergen. Ze stellen dat het om één van de meest geraffineerde supplychain-aanvallen tegen een Top 10 npm-package gaat die ooit is gedocumenteerd. Zowel StepSecurity als securitybedrijf Socket hebben informatie gepubliceerd waarmee ontwikkelaars en organisaties kunnen controleren of hun systemen zijn gecompromitteerd en welke verdere stappen genomen moeten worden. bron: https://www.security.nl

Nieuwe wetgeving zorgt ervoor dat de politie van Hong Kong de wachtwoorden van telefoons, laptops en andere apparaten van reizigers kan eisen. Reizigers die de inloggegevens weigeren te geven maken zich schuldig aan een misdrijf en kunnen worden veroordeeld tot een gevangenisstraf van een jaar en een boete van omgerekend 11.000 euro, meldt de BBC. De Amerikaanse ambassade in Hong Kong heeft wegens de wetswijziging een waarschuwing afgegeven. De politie van Hong Kong heeft geen gerechtelijk bevel nodig om wachtwoorden, decryptiesleutels en andere "redelijke en noodzakelijke informatie of hulp" van een verdachte te eisen. Douanebeambten mogen nu ook apparaten in beslag nemen die tot "opruiing" kunnen leiden. Wanneer reizigers valse of misleidende informatie aan de autoriteiten verstrekken kunnen ze een gevangenisstraf van drie jaar en een boete van 55.000 euro krijgen. Naar aanleiding van de waarschuwing van de Amerikaanse ambassade werd de Amerikaanse ambassadeur door de autoriteiten in Hong Kong ontboden. bron: https://www.security.nl

Een kritiek SQL Injection-beveiligingslek in Fortinet FortiClientEMS wordt al sinds een aantal dagen actief misbruikt bij aanvallen, zo waarschuwt securitybedrijf Defused. Fortinet kwam op 6 februari van dit jaar met beveiligingsupdates voor het probleem, aangeduid als CVE-2026-21643. Via de kwetsbaarheid kan een ongeauthenticeerde aanvaller op kwetsbare systemen code of commando's uitvoeren. FortiClient EMS is een oplossing waarmee beheerders op afstand systemen kunnen beheren waarop de FortiClient-software draait. Zo is het bijvoorbeeld mogelijk om zaken als antivirussoftware, webfilters, vpn en signature-updates in te stellen. CVE-2026-21643 betreft een kwetsbaarheid in de admin-interface van FortiClientEMS waardoor SQL Injection mogelijk is. Door het versturen van speciaal geprepareerde HTTP requests kan een aanvaller ongeautoriseerde code of commando's uitvoeren, aldus het beveiligingsbulletin van Fortinet, dat geen verdere informatie bevat. Defused waarschuwde afgelopen zaterdag via X dat het misbruik van CVE-2026-21643 had waargenomen. De aanvallen zouden al zeker sinds 24 maart plaatsvinden. Verdere details zijn echter niet gegeven. Fortinet heeft het misbruik nog niet bevestigd. Twee jaar geleden liet Fortinet wel weten dat misbruik van een andere SQL Injection kwetsbaarheid in FortiClientEMS (CVE-2023-48788) plaatsvond. De Australische overheid riep organisaties destijds op om direct in actie te komen, de patches te installeren en te controleren of systemen al niet zijn gecompromitteerd. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in Citrix Netscaler ADC en Citrix Netscaler Gateway waardoor aanvallers kwetsbare systemen in het ergste geval kunnen overnemen, zo meldt securitybedrijf watchTowr op basis van eigen onderzoek. Beveiligingsupdates voor het probleem, aangeduid als CVE-2026-3055, zijn sinds 23 maart beschikbaar. Citrix liet weten dat eigen onderzoekers het probleem hadden gevonden. Volgens watchTowr vinden aanvallen waarbij de kwetsbaarheid wordt misbruikt al zeker sinds 27 maart plaats. Door onvoldoende invoervalidatie kan een 'Out-of-bounds Read' ontstaan, waardoor aanvallers allerlei gevoelige informatie uit het geheugen van de Citrix-apparaten kunnen lezen, om daarmee verdere aanvallen uit te voeren. Het gaat onder andere om 'authenticated administrative session ID's', waarmee een aanvaller admintoegang tot de Citrix-apparaten kan krijgen, aldus de onderzoekers van watchTowr. NetScaler ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. Via de NetScaler Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. De impact van een gecompromitteerd NetScaler-systeem kan dan ook groot zijn. Het Britse National Cyber Security Centre (NCSC) deed op 25 maart een oproep aan Britse organisaties om de update voor CVE-2026-3055 meteen te installeren. WatchTowr stelt op basis van eigen informatie dat de kwetsbaarheid tenminste sinds 27 maart bij aanvallen is ingezet. Nog geen vier dagen na het uitkomen van de update. "Dit is een indrukwekkende doorlooptijd voor een beveiligingslek dat Citrix intern had gevonden...", zo laten de onderzoekers van het securitybedrijf weten. Die voegen toe dat het memory management van Citrix-apparaten "niet best" is, mede omdat CVE-2026-3055 veel lijkt op twee andere geheugenlekken in de apparatuur, die bekendstaan als CitrixBleed en CitrixBleed2. bron: https://www.security.nl