Captain Kirk

Vorige maand hebben aanvallers op grote schaal gebruik gemaakt van een alternatieve ClickFix-aanval om internetgebruikers met malware te infecteren, zo meldt Microsoft. Bij een ClickFix-aanval krijgt een slachtoffer vaak een melding te zien dat hij een CAPTCHA moet oplossen. Hiervoor moet via het Windows Uitvoervenster (Run) een commando worden uitgevoerd. In werkelijkheid zorgt het commando ervoor dat er malware op het systeem wordt gedownload en uitgevoerd. Bij de aanval waar Microsoft voor waarschuwt kregen slachtoffers de instructie om een PowerShell-commando in de Windows Terminal uit te voeren. Volgens het techbedrijf omzeilen de aanvallers op deze manier beveiligingssoftware die controleert op misbruik van het Uitvoervenster, aangezien de aanval in de Windows Terminal plaatsvindt. In het geval slachtoffers het commando uitvoeren wordt er uiteindelijk infostealer-malware op het systeem gedownload. Deze malware steelt in Google Chrome en Microsoft Edge opslagen wachtwoorden en onderschept andere inloggegevens. bron: https://www.security.nl

Stichting Privacy First is tegen een voorstel waardoor het gebruik van de Europese digitale identiteit wordt verplicht wanneer mensen zich in non-face-to-face situaties moeten identificeren bij banken. In de verordening over de Europese digitale identiteit staat dat gebruik altijd vrijwillig is. Het kabinet heeft ook altijd geclaimd dat het gebruik vrijwillig is en het niet verplicht wordt om diensten in de Europese Unie te kunnen afnemen. De nieuwe Europese antiwitwas-autoriteit AMLA doet in een consultatiedocument echter het voorstel dat mensen in non-face-to-face situaties zich moeten identificeren door middel van de Europese digitale identiteit. Vorig jaar juni nam Privacy First deel aan een consultatie van de Europese Banken Autoriteit (EBA) over de nadere regels op het gebied van het cliëntenonderzoek op grond van de antiwitwasverordening, die halverwege 2027 in werking treedt. In het consultatiedocument stelde de EBA voor dat "witwasbestrijdingsplichtigen" in non-face-to-face situaties verplicht zullen zijn om voor identiteitsverificatie de Europese digitale identiteit te gebruiken. Privacy First wees de EBA op de verordening van de Europese digitale identiteit, die bepaalt dat het gebruik volledig vrijwillig is. Onlangs kwam de Europese antiwitwasautoriteit met de nadere regels, waarin het gebruik van een Europese digitale identiteit nog altijd verplicht is en dat alleen in uitzonderlijke gevallen identificatie op een andere digitale manier mag plaatsvinden. "Ons voorstel dat er altijd een vorm van alternatieve, fysieke identificatie moet worden aangeboden, zodat aan de eIDAS-verordening wordt voldaan, is niet overgenomen", aldus Privacy First. De privacystichting heeft nu aan het kabinet en de Tweede Kamer een brandbrief gestuurd waarin het aan de alarmbel trekt. "Het is immers hoogst ongewenst dat Europese instanties de voorschriften van Europese verordeningen naast zich neer leggen", legt Privacy First uit. De stichting voegt toe dat het belangrijk is dat de verordening, waarin staat dat het gebruik van de Europese digitale identiteit volledig vrijwillig is, geen dode letter wordt. bron: https://www.security.nl

Salesforce waarschuwt klanten voor aanvallen waarbij misbruik wordt gemaakt van verkeerd ingestelde gast-accounts, waarna aanvallers allerlei gegevens stelen. De data wordt daarna gebruikt voor social engineering en telefonische phishingaanvallen. Onlangs meldde de NOS dat het datalek bij Odido was ontstaan doordat aanvallers via telefonische phishing en social engineering wisten in te breken op de Salesforce-omgeving van de telecomprovider. In de aanvallen waarover Salesforce nu bericht maken de aanvallers misbruik van verkeerd geconfigureerde gast-accounts van Experience Cloud sites. Salesforce biedt een veelgebruikt customer relationship management (CRM), waarin bedrijven allerlei informatie over bestaande en potentiële klanten kunnen opslaan. Experience Cloud sites zijn websites en applicaties die direct op het Salesforce CRM-platform draaien. Op deze manier kunnen organisaties klanten, partners of medewerkers direct toegang tot de CRM-data geven. Volgens Salesforce hebben sommige organisaties de permissies van gast-accounts voor Experience Cloud sites verkeerd ingesteld, waardoor deze accounts toegang tot meer data hebben dan de bedoeling van de organisatie is. Bij publiek toegankelijk Salesforce Experience sites delen anonieme bezoekers een "guest user profile". Via dit profiel kunnen niet-ingelogde gebruikers data bekijken die openbaar moet worden. Als het profiel verkeerd is ingesteld met teveel rechten, kunnen ook gegevens die niet openbaar moeten worden toegankelijk zijn. Aanvallers maken van deze misconfiguraties misbruik, aldus Salesforce. Daarbij wordt gebruikgemaakt van een aangepaste opensourcetool van securitybedrijf Mandiant. Via deze tool scannen de aanvallers op grote schaal naar publiek toegankelijke Experience Cloud sites. De oorspronkelijke tool kan alleen maar kwetsbare objecten identificeren, maar de aangepaste tool maakt het ook mogelijk om via verkeerd ingestelde gast-accounts allerlei data te stelen. Data die de aanvallers bij deze aanvallen buitmaken, vaak namen en telefoonnummers, worden daarna gebruikt voor social engineering en telefonische phishingaanvallen. Bij de aanval op Odido zou ook gebruik zijn gemaakt van telefonische phishing en social engineering. Deze werkwijze is al geruime tijd bekend. Zo waarschuwden de FBI, Salesforce en Google hier vorig jaar voor. bron: https://www.security.nl

Aanvallers maken op grote schaal misbruik van een kritieke kwetsbaarheid in Cisco Catalyst SD-WAN Controller, zo stelt securitybedrijf WatchTowr. Onlangs liet het Nationaal Cyber Security Centrum (NCSC) weten dat er proof-of-concept (PoC) exploitcode voor het probleem online was verschenen. "Daarom benadrukken we wederom om de updates met spoed te installeren als je dat nog niet hebt gedaan. Door de beschikbaarheid van de PoC neemt de kans op grootschalig misbruik toe en verwachten we een toename in scan- en misbruikverkeer", aldus de overheidsinstantie. De Cisco Catalyst SD-WAN speelt een cruciale rol in de SD-WAN oplossing van Cisco. SD-WAN staat voor Software-Defined Wide Area Network en is een oplossing waarmee organisaties netwerkinfrastructuur en -connectiviteit op meerdere locaties kunnen beheren. Een kwetsbaarheid in de Controller (CVE-2026-20127) maakt het mogelijk voor een ongeauthenticeerde remote aanvaller om de authenticatie te omzeilen en adminrechten op het systeem te krijgen. Hiervoor volstaat het versturen van speciaal geprepareerde requests naar kwetsbare appliances. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Zowel Cisco als cyberagentschappen waarschuwden op 25 februari dat aanvallers actief misbruik van CVE-2026-20127 maakten. De kwetsbaarheid zou al drie jaar lang bij aanvallen zijn ingezet, aldus Cisco. Het NCSC waarschuwde vervolgens dat het grootschalig misbruik van het probleem verwachtte. Dat is inmiddels ook het geval, aldus WatchTowr. "Dit niet langer meer de gerichte activiteit die eerder werd beschreven, maar is nu internetbreed en groeiende", zegt hoofd Threat Intelligence van het securitybedrijf tegenover SecurityWeek. Hij verwacht dat meer aanvallers zich op de kwetsbaarheid zullen storten. "Vanwege het grootschalige en opportunistische misbruik dat nu plaatsvindt, moet elk blootgesteld systeem als gecompromitteerd worden beschouwd, tenzij het tegendeel is bewezen." bron: https://www.security.nl

Duizenden WordPress-sites bevatten een kwetsbaarheid die op het moment actief wordt misbruikt bij aanvallen en ongeauthenticeerde aanvallers administrator maakt. Zodoende kunnen aanvallers de website volledig overnemen. Hoewel een beveiligingsupdate sinds 24 februari beschikbaar is hebben duizenden WordPress-sites die nog niet geinstalleerd. De kwetsbaarheid is aanwezig in een plug-in genaamd 'User Registration & Membership'. De plug-in biedt WordPress-sites de mogelijkheid om eenvoudig een abonnementsmodel voor gebruikers in te voeren, inclusief registratieformulieren en ingebouwd betalingssysteem. Meer dan 60.000 websites hebben de plug-in geïnstalleerd. Een kwetsbaarheid in de plug-in zorgt ervoor dat een aanvaller bij de registratie als gebruiker kan opgeven dat hij zich eigenlijk als administrator wil registreren. De impact van het probleem (CVE-2026-1492) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Op 24 februari verscheen versie 5.1.3 waarin het probleem is verholpen. Uit cijfers van WordPress.org blijkt dat tienduizenden websites de update nog niet hebben geïnstalleerd en zo risico lopen. Volgens securitybedrijf Wordfence maken aanvallers namelijk actief misbruik van het probleem. bron: https://www.security.nl

Malafide extensies voor Google Chrome die chatgesprekken van gebruikers met chatbots ChatGPT en DeepSeek stelen zijn bij meer dan twintigduizend organisaties aangetroffen, zo laat Microsoft in een analyse weten. Het gaat om de extensies 'Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI' en 'AI Sidebar with Deepseek, ChatGPT, Claude and more'. De twee malafide Chrome-extensies, die meer dan 900.000 keer zijn gedownload, vragen gebruikers toestemming voor het verzamelen en versturen van "anonieme, niet-identificeerbare analytics data". In werkelijkheid worden echter volledige gesprekken met ChatGPT en Deepseek verzameld. Eén van de extensies heeft de "Featured" badge van Google gekregen. Google kent deze badge toe aan extensies die 'technische best practices' volgen en aan een 'hoge standaarden' voor gebruikerservaring en -ontwerp voldoen. Naast chatgesprekken kunnen de extensies ook volledige url's, zoekopdrachten, url-parameters met gevoelige data en interne bedrijfs-url's stelen. Begin dit jaar waarschuwde OX Security al voor de twee extensies, maar nu is ook Microsoft met een waarschuwing gekomen. Het techbedrijf stelt op basis van detecties door Microsoft Defender dat de extensies in meer dan 20.000 zakelijke omgevingen actief zijn, waar gebruikers vaak met AI-tools werken en gebruikmaken van "gevoelige invoer". Wat die invoer gevoelig maakt laat Microsoft niet weten. Microsoft adviseert bedrijven om te controleren of systemen binnen hun netwerk data naar de domeinen van de betreffende extensies hebben gestuurd en om wat voor soort data het precies gaat. Daarnaast wordt opgeroepen tot het opstellen van beleid voor het gebruik van AI binnen de organisatie, het onderwijzen van gebruikers op de risico's van ongeverifieerde extensies en het verwijderen van onbekende extensies. bron: https://www.security.nl

Bij een internationale operatie waar opsporingsdiensten en techbedrijven aan deelnamen zijn honderden domeinnamen van het phishing-as-a-service platform Tycoon 2FA offline gehaald, zo melden Europol en Microsoft. Via Tycoon 2FA kunnen criminelen eenvoudig phishingaanvallen uitvoeren waarbij wordt geprobeerd om bijvoorbeeld inloggegevens van Google- of Microsoft-accounts te stelen. Het platform biedt templates, de mogelijkheid om bijlagen te genereren, configuraties voor domeinen en hosting, instellingen voor het redirecten van slachtoffers naar phishingsites en tracking van slachtoffers. Wanneer gebruikers van Tycoon 2FA alles hadden ingesteld genereerde de dienst bijvoorbeeld .pdf- of .docx-bijlagen met QR-codes die naar de phishingsite wezen, of SVG-bestanden, HTML-bijlagen en redirect-links die dit deden. De phishingsites leken op de inlogpagina's van Google of Microsoft. Daarbij fungeerden deze sites als een man-in-the-middle. Inloggegevens die slachtoffers invulden werden meteen op de echte inlogpagina geprobeerd. Wanneer slachtoffers tweefactorauthenticatie (2FA) hadden ingesteld kreeg het slachtoffer een zogenaamd 2FA-venster te zien. De ingevoerde 2FA-code werd vervolgens op de echte inlogpagina gebruikt. Volgens Europol was Tycoon 2FA halverwege vorig jaar verantwoordelijk voor 62 procent van alle phishingaanvallen die Microsoft blokkeerde. Microsoft stelt dat het platform verantwoordelijk was voor tientallen miljoenen phishingmails per maand die naar meer dan 500.000 organisaties wereldwijd werden gestuurd. Via de dienst zouden sinds 2023 meer dan 96.000 unieke phishing-slachtoffers zijn gemaakt, waaronder meer dan 55.000 Microsoft-klanten. "Tycoon 2FA-gebruikers konden bijna alle veelgebruikte multifactorauthenticatie (MFA) methodes omzeilen, waaronder sms-codes, one-time passcodes en pushnotificaties", aldus Microsoft. Bij een internationale operatie tegen het platform, waar Cloudflare, Coinbase, Intel471, Microsoft, Proofpoint, Shadowserver Foundation, SpyCloud, Trend Micro, Europol en opsporingsdiensten uit Letland, Litouwen, Portugal, Polen, Spanje en het Verenigd Koninkrijk aan deelnamen, zijn 330 domeinnamen van Tycoon 2FA offline gehaald. Ook zou de hoofdontwikkelaar van de dienst zijn geïdentificeerd. Microsoft adviseert organisaties en gebruikers om gebruik te maken van phishingbestendige MFA, zoals FIDO2 security keys. bron: https://www.security.nl

Twee kritieke kwetsbaarheden in Cisco Catalyst SD-WAN Manager worden actief misbruikt bij aanvallen, zo waarschuwt Cisco. Updates voor de problemen zijn sinds 25 februari beschikbaar. De Cisco Catalyst SD-WAN Manager is een oplossing waarmee organisaties Cisco SD-WAN kunnen uitrollen, configureren en beheren. SD-WAN staat voor Software-Defined Wide Area Network en is een oplossing waarmee organisaties netwerkinfrastructuur en -connectiviteit op meerdere locaties kunnen beheren. Op 25 februari kwam Cisco, alsmede verschillende overheidsinstanties, met een waarschuwing voor een actief aangevallen kwetsbaarheid (CVE-2026-20127) in de Cisco Catalyst SD-WAN Controller, die ook een rol speelt bij het beheer van Cisco's SD-WAN. Aanvallers zouden al drie jaar lang wereldwijd misbruik van het probleem maken, zonder dat dit was opgemerkt. Het Nationaal Cyber Security Centrum (NCSC) waarschuwde vervolgens dat grootschalig misbruik van het beveiligingslek op de loer ligt. Dezelfde dag kwam Cisco ook met updates voor kwetsbaarheden in de Catalyst SD-WAN Manager, waaronder CVE-2026-20122 en CVE-2026-20128. In het beveiligingsbulletin stelde Cisco dat het niet met misbruik van de beveiligingslekken bekend was. Het bulletin is nu van een update voorzien, waarin Cisco waarschuwt dat aanvallers actief misbruik van de twee kwetsbaarheden maken. Via beveiligingslekken kan een aanvaller die al toegang tot het systeem heeft willekeurige bestanden overschrijven of wachtwoorden uitlezen om zo hogere rechten te krijgen. Cisco heeft geen details over het waargenomen misbruik gegeven. bron: https://www.security.nl

Cisco waarschuwt voor een kritieke kwetsbaarheid waardoor een ongeauthenticeerde aanvaller op afstand root-toegang tot het Cisco Secure Firewall Management Center (FMC) kan krijgen. Het Nationaal Cyber Security Centrum (NCSC) verwacht op korte termijn publieke proof-of-concept exploitcode en grootschalige pogingen tot misbruik. De impact van het beveiligingslek (CVE-2026-20079) is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Er zijn updates uitgebracht om het probleem te verhelpen. Voor zover bekend wordt er nog geen misbruik van de kwetsbaarheid gemaakt. Via het Firewall Management Center kunnen organisaties hun Cisco-firewalls beheren. Cisco noemt het zelf het "administratieve zenuwcentrum" voor het beheer van netwerkbeveiligingsapparatuur. De kwetsbaarheid is aanwezig in de webinterface van het FMC. Volgens Cisco wordt het probleem veroorzaakt door een "onjuist systeemproces" dat tijdens het opstarten wordt gestart. Een aanvaller kan misbruik van dit proces maken door speciaal geprepareerde HTTP requests naar het systeem te sturen. Vervolgens kan een aanvaller de authenticatie omzeilen en scripts en commando's op het systeem uitvoeren, om zo root-toegang tot het onderliggende besturingssysteem te krijgen. "Als de beheerinterface van Cisco Secure Firewall Management Center geen publieke internettoegang heeft, wordt het aanvalsoppervlak verkleind. Het is niet gebruikelijk om een managementinterface direct publiekelijk aan het internet bloot te stellen", zo laat het NCSC weten. Het Nationaal Cyber Security Centrum verwacht op korte termijn publieke proof-of-concept exploitcode en grootschalige pogingen tot misbruik. Het NCSC adviseert organisaties met klem de update zo snel mogelijk te installeren. bron: https://www.security.nl

Ruim honderdduizend n8n-servers, waaronder meer dan 2500 in Nederland, missen een beveiligingsupdate voor een kritiek beveiligingslek dat aanvallers in het ergste geval volledige controle over de server geeft. Dat meldt The Shadowserver Foundation op basis van eigen onderzoek. Op 25 februari verscheen er een beveiligingsupdate voor CVE-2026-27495. Een week later blijkt dat op 109.000 n8n-servers de patch nog niet is geïnstalleerd. N8n is een tool voor het automatiseren van workflows en maakt het mogelijk om taken te automatiseren en data tussen allerlei apps, tools, platforms en services uit te wisselen. Een 'code injection' kwetsbaarheid in de software maakt het mogelijk voor een geauthenticeerde aanvaller, die workflows kan aanpassen of aanmaken, om uit de sandbox te breken en willekeurige code op het systeem uit te voeren. In het ergste geval kan er zo volledige controle over de n8n-server worden verkregen. De impact van CVE-2026-27495 is op een schaal van 1 tot en met 10 beoordeeld met een 9.4. The Shadowserver Foundation is een stichting die onderzoek doet naar kwetsbare systemen op internet. Het voerde onlangs een scan uit naar n8n-systemen die vanaf internet toegankelijk zijn en de update voor CVE-2026-27495 missen. Dit leverde zo'n 109.000 hosts op. Het grootste deel daarvan, ruim 53.000, bevindt zich in de Verenigde Staten. In Nederland gaat het om 2550 servers. Eerder dit jaar werd er nog gewaarschuwd voor een andere kritieke n8n-kwetsbaarheid, aangeduid als Ni8mare en CVE-2026-21858. bron: https://www.security.nl

Criminelen hebben de beschikking over een tool die overheden in het verleden hebben gebruikt om iPhones te hacken, zo meldt Google in een analyse. De Coruna-exploitkit bevat in totaal 23 exploits voor het compromitteren van iPhones met iOS 13.0, uitgekomen in september 2019, tot en met iOS versie 17.2.1, uitgekomen in december 2023. Alleen het bezoeken van een malafide of gehackte website met een kwetsbare iPhone is voldoende om te worden gehackt. Er is geen verdere interactie van de gebruiker vereist. Volgens Google werd de exploitkit gedurende 2025 door een klant van een niet nader genoemde spywareleverancier gebruikt. Dergelijke leveranciers bieden aan opsporingsdiensten en andere overheidsinstanties de mogelijkheid om iPhones met spyware te infecteren. Daarvoor worden soms onbekende kwetsbaarheden gebruikt, maar het komt ook voor dat de exploitkits beveiligingslekken misbruiken waarvoor al wel updates beschikbaar zijn. In de zomer ontdekte Google dat de exploitkit door een vermoedelijk Russische spionagegroep werd gebruikt tegen gebruikers in de Oekraïne. Daarbij werden Oekraïense websites gehackt en voorzien van een iframe die de exploitkit laadde. Eind vorig jaar zag Google naar eigen zeggen dat de Coruna-exploitkit op grote schaal werd gebruikt door een financieel gemotiveerde groep aanvallers uit China. Deze groep plaatste de exploitkit op een groot aantal malafide Chinese websites, waarbij de sites een pop-up aan bezoekers toonden om de site met een iPhone te bezoeken. In het geval de exploit succesvol was werd er een payload uitgevoerd die financiële informatie steelt. Deze payload kan ook QR-codes in foto's op het toestel decoderen. Tevens zoekt de payload in Apple Memos naar specifieke sleutelwoorden, zoals "backup phrase" en "bankrekening", en stuurt deze memo's indien gevonden terug naar de aanvallers. Verder kunnen de aanvallers ook andere modules op de besmette iPhone uitvoeren. Deze modules hebben het vooral voorzien op het stelen van cryptowallets of gevoelige informatie uit wallet-apps. Hoe de groepen toegang tot de exploitkit hebben gekregen is onbekend, aldus Google. Volgens het techbedrijf laat het wel zien dat hierdoor nu verschillende groepen aanvallers toegang tot geavanceerde exploittechnieken hebben die zijn aan te passen met nieuw gevonden kwetsbaarheden. Verder ontdekte Google dat de Coruna-exploitkit de aanval stopt als het detecteert dat de Lockdown Mode op de iPhone is ingeschakeld of de gebruiker gebruikmaakt van private browsing. bron: https://www.security.nl

Google Chrome zal vanaf september elke twee weken updates ontvangen, in plaats van de vier weken die Google nu voor de browser hanteert, zo heeft het techbedrijf aangekondigd. Het gaat hierbij om updates bedoeld voor het introduceren van nieuwe features en het doorvoeren van bugfixes. Omdat deze updates vaker zullen verschijnen, zullen ze ook minder grote aanpassingen bevatten. Dit moet volgens Google tot minder verstoringen leiden en het proces om problemen na de release te debuggen vereenvoudigen. Sinds 2023 brengt Google in het geval van kwetsbaarheden in de browser al wekelijks updates uit. Dat zal ook met de nieuwe updatecyclus het geval blijven. De tweewekelijkse releasecyclus zal met de lancering van Chrome 153 op 8 september beginnen. Het gaat hier om alle platforms, desktop, Android en iOS. In het geval van Chrome Extended Stable, een versie die vooral bedoeld is voor bedrijven en minder vaak feature-updates ontvangt, blijft de huidige updatecyclus van acht weken gehandhaafd. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kwetsbaarheid in VMware Aria Operations die remote code execution door ongeauthenticeerde aanvallers mogelijk maakt, zo laat het Amerikaanse cyberagentschap CISA weten. Broadcom kwam op 24 februari met beveiligingsupdates voor het probleem, aangeduid als CVE-2026-22719. Het gaat om een command injection kwetsbaarheid waardoor een aanvaller tijdens productmigraties willekeurige commando's op het systeem kan uitvoeren, die tot remote code execution kunnen leiden. Broadcom omschrijft Aria Operations als het "controlecentrum voor de gehele it-infrastructuur". Het wordt onder andere gebruikt voor het beheren en monitoren van VMware- en multi-cloud-omgevingen. Volgens het Het Cybersecurity & Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security maken aanvallers actief misbruik van CVE-2026-22719.. Details over de aanvallen zijn echter niet gegeven. In het verleden is VMware Aria Operations vaker het doelwit van aanvallen geweest, waarbij andere kwetsbaarheden werden misbruikt (CVE-2025-41244 en CVE-2023-20887). Zo zou CVE-2025-41244 een jaar lang bij aanvallen zijn misbruikt voordat een beveiligingsupdate voor het probleem verscheen. Die aanvallen zouden het werk zijn geweest van een aan China gelieerde groep aanvallers. bron: https://www.security.nl

Zo'n dertienhonderd IceWarp-servers die vanaf het internet toegankelijk zijn, waaronder 23 in Nederland, bevatten een kritieke kwetsbaarheid waardoor ze op afstand door ongeauthenticeerde aanvallers volledig zijn over te nemen. Een beveiligingsupdate voor het probleem is sinds 10 december vorig jaar beschikbaar, maar tal van organisaties hebben die nog niet geïnstalleerd, aldus The Shadowserver Foundation op basis van eigen onderzoek. IceWarp combineert een mailserver met een communicatieplatform waarmee medewerkers van organisaties kunnen chatten, groepschatten, videovergaderen, gezamenlijk aan documenten werken en bestanden uitwisselen. Een kwetsbaarheid in de oplossing, die zich voordoet bij het verwerken van gebruikersinvoer, zorgt ervoor dat een ongeauthenticeerde aanvaller op afstand code met SYSTEM-rechten kan uitvoeren. Hiermee wordt er volledige controle over de server verkregen. De impact van het beveiligingslek, aangeduid als CVE-2025-14500, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het beveiligingslek werd op 26 september vorig jaar aan IceWarp gerapporteerd, dat op 10 december met een update kwam. Vier maanden later blijkt dat zo'n dertienhonderd IceWarp-servers de update missen en daardoor risico op aanvallen lopen, aldus The Shadowserver Foundation. Deze stichting doet onderzoek naar kwetsbare systemen op internet. Het grootste aantal kwetsbare IceWarp-servers werd in de Verenigde Staten geteld (239). In Nederland gaat het om 23 servers. IceWarp claimt dat het meer dan 50.000 bedrijven als klant heeft. bron: https://www.security.nl

Microsoft heeft een kritiek beveiligingslek in Teams gedicht waardoor een ongeautoriseerde aanvaller informatie zou kunnen stelen. Volgens de zeer beknopte beschrijving van de kwetsbaarheid, aangeduid als CVE-2026-21535, zorgde een 'Improper access control' in Microsoft Teams ervoor dat een ongeautoriseerde aanvaller informatie over een netwerk zou kunnen stelen. Verdere details zijn niet gegeven. De kwetsbaarheid werd door een externe onderzoeker aan Microsoft gerapporteerd. Het techbedrijf zegt dat het niet bekend is met misbruik van het probleem. Daarnaast hoeven gebruikers geen actie te ondernemen. "Deze kwetsbaarheid is volledig verholpen door Microsoft. Gebruikers van deze dienst hoeven geen actie te ondernemen. Het doel van deze CVE is om meer transparantie te geven." bron: https://www.security.nl

Een kritieke kwetsbaarheid in beveiligingscamera's van fabrikant Honeywell maakt het mogelijk voor een aanvaller om met de videostream van de apparaten mee te kijken en mogelijk verdere aanvallen uit te voeren. Daarvoor waarschuwt het Amerikaanse cyberagentschap CISA. De in totaal vier verschillende type beveiligingscamera's worden volgens het CISA wereldwijd gebruikt, onder andere in vitale sectoren. De beveiligingscamera's bevatten een API endpoint dat toegankelijk is voor een ongeauthenticeerde aanvaller. Via dit endpoint kan een aanvaller op afstand het e-mailadres aanpassen dat staat ingesteld voor het resetten van het wachtwoord. De functie is bedoeld voor beheerders die hun wachtwoord zijn vergeten. Een aanvaller kan zo het wachtwoord resetten en op de camera inloggen. Vervolgens kan er met de videostream worden meegekeken, maar het CISA waarschuwt dat een aanvaller zijn toegang tot de camera ook kan gebruiken om het achterliggende netwerk verder te compromitteren. De impact van de kwetsbaarheid, aangeduid als CVE-2026-1670, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Honeywell roept klanten op om contact op te nemen over een beveiligingsupdate. Het probleem speelt bij de Honeywell HIB2PI, SMB NDAA MVO-3, PTZ WDR 2MP 32M en PTZ WDR 2MP 32M. bron: https://www.security.nl

De Duitse overheid beschikt over technische informatie dat een kritieke kwetsbaarheid in Ivanti EPMM sinds de zomer van vorig jaar is misbruikt bij aanvallen. Op 29 januari dit jaar kwam Ivanti met beveiligingsupdates voor het probleem, aangeduid als CVE-2026-1281. Onlangs bleek dat ook de Ivanti EPMM-servers van de Autoriteit Persoonsgegevens (AP) en Raad voor de rechtspraak zijn gehackt. Ivanti Endpoint Manager Mobile is een mobile management software engine waarmee mobile device management (MDM) mogelijk is. Organisaties kunnen via deze oplossing de mobiele apparaten van hun medewerkers op afstand beheren, bijvoorbeeld als het gaat om toegestane applicaties of bepaald beleid. Een gecompromitteerde EPMM-server kan dan ook vergaande gevolgen hebben. Tijdens het onderzoek naar de aanvallen ontdekte het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, dat misbruik al sinds de zomer van 2025 plaatsvindt. Organisaties die willen weten of hun Ivanti EPMM-server is gehackt moeten dan ook vanaf juli 2025 onderzoek doen, zo adviseert het BSI. Het Nederlandse Cyber Security Centrum (NCSC) kwam eerder al met verschillende scripts om gehackte Ivanti EPMM-servers te detecteren. Wat betreft het misbruik waarover de Duitse overheid bericht stelt het NCSC dat er vervolgonderzoek nodig is om vast te stellen of de EPMM-server bij deze aanvallen ook daadwerkelijk is gehackt. De Duitse autoriteiten hebben code oranje voor de kwetsbaarheid afgegeven. Dit houdt in dat organisaties onmiddellijk maatregelen moeten nemen en het beveiligingslek tot een grote verstoring van de normale bedrijfsvoering kan leiden. Vorige week meldde The Shadowserver Foundation nog dat het een grote toename zag van het aantal pogingen waarbij werd geprobeerd het Ivanti-lek te misbruiken. bron: https://www.security.nl

Firefox zal vanaf volgende maand geen Windows 7, 8 en 8.1 meer ondersteunen, zo heeft Mozilla bekendgemaakt. Firefox 115 ESR is daarmee de laatste ondersteunde versie van de browser. Microsoft stopte op 14 januari 2020 de ondersteuning van Windows 7. Het besturingssysteem ontvangt sindsdien geen beveiligingsupdates meer. Mozilla besloot de Windowsversie te blijven ondersteunen, omdat veel Firefox-gebruikers er nog mee werken. Volgens cijfers van Mozilla maakt op het moment van schrijven nog altijd 5,7 procent van de Firefox-gebruikers gebruik van Windows 7. Oorspronkelijk zou Mozilla de ondersteuning van Windows 7 in september 2024 stoppen, maar de Firefox-ontwikkelaar besloot de support steeds te verlengen. In eerste instantie tot maart vorig jaar, gevolgd door een verlenging tot en met september. Afgelopen september liet Mozilla weten dat de support weer met zes maanden zou worden verlengd, met een optie voor een verdere verlenging. Nu blijkt dat Mozilla geen nieuwe verlenging zal doen. Gebruikers die nog met Windows 7, 8 of 8.1 werken worden door Mozilla opgeroepen om hun Windowsversie te upgraden. Naast de genoemde Windowsversies stopt volgende maand ook de support van macOS Sierra, High Sierra en Mojave. bron: https://www.security.nl

Een kritieke kwetsbaarheid in VoIP-telefoons van fabrikant Grandstream maakt het mogelijk voor een ongeauthenticeerde remote aanvaller om als root code op kwetsbare toestellen uit te voeren. Vervolgens kan de aanvaller een malafide SIP-proxy instellen om zo nagenoeg onzichtbaar telefoongesprekken af te luisteren, zo stelt securitybedrijf Rapid7 in een analyse. Grandstream heeft firmware-updates uitgebracht om het probleem te verhelpen. De kwetsbaarheid (CVE-2026-2329) betreft een API endpoint van de VoIP-telefoon dat zonder authenticatie voor remote aanvallers toegankelijk is. Het endpoint, dat standaard draait en remote toegankelijk is, is ontwikkeld om configuratiewaardes van de telefoon op te vragen. Een aanvaller kan hier misbruik van maken door een speciaal geprepareerd request naar de telefoon te sturen, wat leidt tot een stack buffer overflow. Via de buffer overflow kan een aanvaller willekeurige code als root uitvoeren. Daarnaast is het ook mogelijk om via de kwetsbaarheid secrets van de telefoon te stelen, zoals inloggegevens van lokale en SIP-accounts. Tevens kan een aanvaller bij de telefoon een malafide SIP-proxy instellen en zo gesprekken afluisteren. Volgens de onderzoekers is het probleem om gesprekken via een proxy te onderscheppen niet een specifiek probleem voor Grandstream VoIP-telefoons, maar laat het de gevolgen zien waar remote code execution bij VoIP-telefoons toe kan leiden. Rapid7 deelde details van de kwetsbaarheid op 22 januari met Grandstream. De fabrikant kwam vervolgens op 2 februari met firmware-updates voor de Grandstream GXP1610, GXP1615, GXP1620, GXP1625, GXP1628, en GXP1630 modellen. Vandaag zijn details van het probleem openbaar gemaakt, alsmede proof-of-concept exploitcode. De impact van CVE-2026-2329 is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. bron: https://www.security.nl

Heb je sowieso al een andere lan-kabel geprobeerd? Het zou hier zomaar ook een kabelbreuk of brak stekkertje kunnen zijn. En hoe loopt de verbinding wanneer je alleen via de wifi verbonden bent? Dus zonder de netwerkkabel erin?

Dell waarschuwt organisaties voor een kritieke kwetsbaarheid die al bijna twee jaar lang gebruikt is bij aanvallen voordat een patch beschikbaar was. De impact van het beveiligingslek in Dell RecoverPoint for Virtual Machines is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Via RecoverPoint for Virtual Machines kunnen beheerders hun VMware virtual machines herstellen. Het is een softwarematige oplossing die vooral is bedoeld voor back-up en disaster recovery. De software wordt geïnstalleerd op VMware ESXi-servers. De kwetsbaarheid, aangeduid als CVE-2026-22769, betreft de aanwezigheid van hardcoded inloggegevens. Een ongeauthenticeerde aanvaller kan hiermee met 'root-level persistence' op afstand toegang tot het onderliggende besturingssysteem van de server krijgen, zo laat de omschrijving van Dell weten. Volgens Google maakt een groep aanvallers genaamd UNC6201 al zeker sinds halverwege 2024 misbruik van dit beveiligingslek. De aanvallers gebruikten het beveiligingslek om commando's als root op de onderliggende appliance uit te voeren, aldus Google. Bij de aanvallen installeren de aanvallers webshells en backdoors om toegang tot het gecompromitteerde systeem te behouden. Ook maken ze tijdelijke nieuwe netwerkpoorten op bestaande virtual machines aan die op een ESXI-server draaien. Via deze netwerkpoorten bewegen de aanvallers zich naar verschillende interne en software-as-a-service (SaaS) omgevingen waar de aangevallen organisaties gebruik van maken. Google heeft Indicators of Compromise (IOC's) gedeeld waarmee organisaties kunnen controleren of hun systemen via het Dell-lek zijn gehackt. Dell roept organisaties op om de beschikbaar gestelde update voor CVE-2026-22769 zo snel mogelijk te installeren. Hoeveel organisaties via de kwetsbaarheid zijn aangevallen is onbekend. bron: https://www.security.nl

Antivirusbedrijf Kaspersky heeft in de firmware van verschillende Androidtablets een backdoor gevonden die aanvallers volledige controle over het apparaat. geeft. De backdoor wordt Keenadu genoemd en maakt het mogelijk voor aanvallers om bijvoorbeeld apps op het besmette apparaat te installeren en die elke willekeurige permissie te geven, advertentiefraude te plegen en allerlei gegevens te stelen, van chatberichten tot wachtwoorden. Onder de getroffen tablets bevinden zich verschillende modellen van fabrikant Alldocube, maar de malware is ook in de hardware van andere fabrikanten gevonden. De namen van deze partijen zijn niet door Kaspersky bekendgemaakt. Wel zegt de virusbestrijder deze bedrijven te hebben gewaarschuwd. Kaspersky detecteerde 13.000 Android-apparaten die met de backdoor zijn besmet. Onder de landen met de meeste infecties bevindt zich ook Nederland. Volgens de onderzoekers zijn de getroffen tabletfabrikanten het doelwit van een supplychain-aanval geworden waarbij er een malafide library aan de firmware werd toegevoegd die zich in allerlei processen injecteert. In verschillende gevallen bleek dat de besmette firmware via een OTA (over-the-air) update werd verspreid. Eenmaal actief communiceert de backdoor met een command & control-server. De aanvallers kunnen vervolgens allerlei opdrachten aan de besmette tablets geven. "Keenadu is een grootschalig, complex malware-platform dat aanvallers onbeperkte controle over het apparaat van het slachtoffer geeft", aldus Kaspersky. Op dit moment wordt de backdoor voornamelijk gebruikt voor verschillende vormen van advertentiefraude, maar de onderzoekers sluiten niet uit dat de malware in de toekomst ook inloggegevens zal stelen. Details over de vermoedelijke supplychain-aanval waardoor de infecties konden ontstaan zijn niet beschikbaar. Volgens Kaspersky kan het dat de betreffende tabletfabrikanten niet wisten dat hun apparaten waren besmet toen ze op de markt kwamen. De onderzoekers waarschuwden dat de malware niet te verwijderen is zonder dat de firmware van het apparaat beschadigd raakt. De tablet stopt dan met werken. "Het is daarom onmogelijk om de dreiging door middel van standaard Android OS-tools te verwijderen." Totdat de besmette firmware is vervangen of bijgewerkt wordt aangeraden de besmette tablets niet te gebruiken. bron: https://www.security.nl

Het op privacy gerichte besturingssysteem Tails heeft wegens verschillende kritieke kwetsbaarheden in de Linux-kernel een noodpatch uitgebracht. Via de beveiligingslekken, aangeduid als DSA 6126-1, kan een applicatie die met Tails wordt meegeleverd admin-rechten krijgen. "Als een aanvaller andere onbekende kwetsbaarheden weet te misbruiken in een applicatie die in Tails zit kunnen ze DSA 6126-1 gebruiken om volledige controle over je Tails te krijgen en je te de-anonimiseren", aldus de ontwikkelaars van Tails. Volgens de ontwikkelaars is een dergelijke aanval zeer onwaarschijnlijk, maar kan die worden uitgevoerd door een 'sterke aanvaller', zoals een overheid of een 'hacking firm'. De ontwikkelaars zeggen dat ze niet bekend zijn met aanvallen waarbij de kwetsbaarheden worden misbruikt. DSA 6126-1 omvat in totaal 252 kwetsbaarheden waarmee een aanvaller zijn rechten kan verhogen, een denial of service veroorzaken of bepaalde informatie achterhalen. Op 9 februari verscheen een Linux-beveiligingsupdate om de problemen te verhelpen. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Het privacy-OS kan vanaf een usb-stick of dvd worden gestart. Het maakt gebruik van het Tor-netwerk om het ip-adres van de gebruiker af te schermen en biedt allerlei op privacy gerichte applicaties. Tails-gebruikers worden opgeroepen om te updaten naar versie 7.4.2. Eind januari kwam Tails ook al met een noodpatch. Toen wegens een kwetsbaarheid in OpenSSL waardoor het mogelijk was om het echte ip-adres van Tor-gebruikers te achterhalen. bron: https://www.security.nl

De populaire editor Notepad++ heeft een update uitgebracht die het updateproces van de software beter moet beveiligen. Aanvallers wisten vorig jaar maandenlang via het updateproces van Notepad++ malware onder gebruikers te verspreiden. De aanvallers hadden de shared hostingserver van Notepad++ gecompromitteerd en gebruikten vervolgens een kwetsbaarheid in het updateproces om onder bepaalde gebruikers malafide updates te verspreiden. Via deze updates werd een backdoor op het systeem geïnstalleerd. Om herhaling te voorkomen heeft de ontwikkelaar van Notepad++ verschillende maatregelen doorgevoerd. Zo wordt de digitaal ondertekende installer afkomstig van github.com geverifieerd. Daarnaast zorgt Notepad++ versie 8.9.2 ervoor dat voortaan ook de XML afkomstig van de Notepad++-server digitaal is gesigneerd en wordt geverifieerd. "Dit "double lock" ontwerp maakt het Notepad++ updateproces robuust en nagenoeg niet te misbruiken", aldus ontwikkelaar Don Ho in een blogposting. Verder is ook de updater zelf, WinGUp, onderhanden genomen. Zo is onder andere de libcurl.dll dependency verrwijderd om het sideloaden van malafide dll-bestanden tegen te gaan en zijn twee onveilige SSL-opties verwijderd. Naast de aankondiging van versie 8.9.2 heeft Ho ook een diagram gepubliceerd waarin wordt uitgelegd hoe de aanvallers het updateproces konden kapen. Details over de aangevallen gebruikers en organisaties zijn niet openbaar, maar Notepad++ wordt vooral door softwareontwikkelaars gebruikt. bron: https://www.security.nl

Google heeft een beveiligingsupdate uitgerold voor een actief aangevallen kwetsbaarheid in Chrome. Gebruikers die meteen beschermd willen zijn kunnen het beste een handmatige update uitvoeren. Het beveiligingslek is aanwezig in het onderdeel van de browser dat verantwoordelijk is voor het verwerken van CSS (Cascading Style Sheets) en kan leiden tot een use-after-free. Google heeft de impact van het probleem (CVE-2026-2441) beoordeeld als 'high'. Bij kwetsbaarheden met het stempel 'high' kan een aanvaller in het ergste geval code binnen de context van de browser uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Dit soort lekken zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Details over de waargenomen aanvallen zijn niet door Google gegeven. De kwetsbaarheid is verholpen in Google Chrome 145.0.7632.75/76 voor Windows en macOS en Chrome 144.0.7559.75 voor Linux. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van kwetsbaarheden met het stempel 'high' echter tot zestig dagen duren. Gebruikers die de update direct willen ontvangen zullen dan ook een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar. bron: https://www.security.nl