WakeUp Wednesday

1. Kritieke kwetsbaarheid in Erlang/OTP SSH-server
   
   Een ernstige kwetsbaarheid in de SSH-servercomponent van Erlang/OTP maakt het mogelijk voor aanvallers om op afstand willekeurige code uit te voeren.
   Onderzoekers van de Ruhr-Universiteit Bochum hebben een kwetsbaarheid ontdekt in de SSH-serverimplementatie van Erlang/OTP. Door een fout in de verwerking van SSH-protocolberichten kunnen aanvallers verbinding maken en willekeurige commando's uitvoeren op getroffen systemen. Er zijn inmiddels publieke exploits beschikbaar, wat het risico op misbruik aanzienlijk verhoogt. Beheerders wordt dringend geadviseerd om te updaten naar de gepatchte versies OTP-27.3.3, OTP-26.2.5.11 of OTP-25.3.2.20.

2. Kritieke kwetsbaarheid in Gladinet CentreStack en Triofox
   
   Aanvallers maken actief misbruik van een hardcoded cryptografische sleutel in Gladinet's CentreStack en Triofox om kwaadaardige code uit te voeren op afstand. Sinds maart 2025 zijn deze enterprise file-sharing platforms doelwit van aanvallen waarbij kwaadwillenden gebruik maken van deze kwetsbaarheid om systemen te kunnen binnendringen en payloads uit te voeren. Gladinet heeft beveiligingsupdates uitgebracht om het misbruik te stoppen. Beheerders wordt met klem geadviseerd om zo snel mogelijk te updaten naar de meest recente versies.

3. ELUSIVE COMET misbruikt Zoom remote control-functionaliteit
   Onderzoekers van Trail of Bits hebben een nieuwe social engineering-techniek ontdekt waarbij de dreigingsactor ELUSIVE COMET misbruik maakt van de remote control-functionaliteit in Zoom. Aanvallers nemen contact op met slachtoffers onder het mom van technische ondersteuning of een legitieme partij. Tijdens het videogesprek vragen ze het slachtoffer om hun scherm te delen en staan ze op het punt remote control over te nemen.
   Wat dit type aanval gevaarlijk maakt, is dat er geen kwetsbaarheid in Zoom zelf wordt uitgebuit, maar dat de aanval volledig afhankelijk is van misleiding en menselijke interactie. Zodra de controle is verleend, kan de aanvaller systemen manipuleren, malware installeren of gevoelige informatie buitmaken.
   Hoewel Zoom voorzorgsmaatregelen biedt, zoals meldingen bij schermdelen of verzoeken om remote control, blijkt uit deze campagne dat gebruikers in de praktijk toch eenvoudig te overtuigen zijn. .

4. Onderzoek naar ransomware: ‘geen echte keuze
   
   ’Uit onderzoek van Tom Meurs, operationeel specialist cybercriminaliteit bij de politie, blijkt dat veel bedrijven die slachtoffer worden van ransomware, zich genoodzaakt voelen om losgeld te betalen. Hij concludeert dat het in veel gevallen geen echte keuze is: back-ups blijken vaak ontoereikend, tijdsdruk is hoog en de druk vanuit cybercriminelen enorm.
   Ook blijkt dat cyberverzekeringen soms eerder een financiële afweging stimuleren dan het opbouwen van weerbaarheid. Door de dreiging van gegevenspublicatie en stilgevallen bedrijfsvoering kiezen organisaties vaker voor betaling.
   Het DTC benadrukt dat voorkomen beter is dan genezen. Organisaties wordt aangeraden om back-ups te testen, incidentplannen te oefenen en bewustwording te verhogen – om te voorkomen dat betaling de enige uitweg lijkt.

5. Veroordeling in zaak bankhelpdeskfraude
   
   ‍De rechtbank Noord-Nederland heeft vier personen veroordeeld voor hun betrokkenheid bij bankhelpdeskfraude vanuit een vakantiehuisje in Gasselternijveen. De groep deed zich telefonisch voor als bankmedewerkers en wist slachtoffers te overtuigen om toegang te geven tot hun bankgegevens of om geld over te maken naar "veilige rekeningen".
   De rechter achtte bewezen dat er sprake was van een gestructureerde criminele organisatie. Het bewijs bestond onder andere uit aangetroffen apparatuur, gestolen gegevens en locatie-informatie. De straffen lopen op tot celstraffen van meer dan twee jaar.
   Deze zaak onderstreept de professionalisering van helpdeskfraude, waarbij mobiele infrastructuur, tijdelijke locaties en social engineering-technieken worden gecombineerd.

1. Tycoon 2FA: Phishing-aanvallen worden geavanceerder
   
   De Tycoon2FA phishing kit, een Phishing-as-a-Service (PhaaS) platform, heeft recent updates ontvangen die de stealth- en evasietechnieken verbeteren. Deze kit staat bekend om het omzeilen van multi-factor authenticatie (MFA) op Microsoft 365 en Gmail-accounts door middel van real-time sessiekaping via reverse proxies, het gebruik van een aangepaste CAPTCHA en onzichtbare Unicode-tekens in JavaScript en QR-code phishing. Nieuw is de "iframe-injection" techniek die phishingpagina's moeilijker te detecteren maakt door inhoud vanuit legitieme domeinen in te laden.

2. AI-hallucinaties veroorzaken nieuwe risico's in de software supply chain
   
   Een nieuwe categorie van supply chain aanvallen, genaamd 'slopsquatting', is ontstaan door het toenemende gebruik van generatieve AI-tools voor codering. Deze AI-modellen hebben de neiging om niet-bestaande pakketnamen te "hallucineren", wat kan leiden tot de opname van kwaadaardige softwarepakketten in de code. Zo is er een toenemende aantal AI-tools dat foutieve of niet-bestaande softwaredependencies genereert in codevoorstellen. Dit vormt een aanzienlijk risico voor de softwareleveringsketen, aangezien kwaadwillenden deze hallucinerende pakketnamen kunnen misbruiken om malware te verspreiden.

3. Fortinet: Aanvallers behouden toegang tot VPN's ondanks patches
   
   Fortinet waarschuwt dat aanvallers aanvallers een manier hebben gevonden om read-only toegang te behouden tot kwetsbare FortiGate-apparaten, zelfs nadat de oorspronkelijke kwetsbaarheden (CVE-2022-42475, CVE-2023-27997 en CVE-2024-21762, alle drie met CVSS-score 9.8) zijn gepatcht. Dit werd bereikt door het creëren van een symbolische link (symlink) die de gebruikersbestanden en root-bestanden verbindt, waardoor de aanvallers toegang blijven houden tot de configuratiebestanden van het apparaat.  

4. Kritieke kwetsbaarheid in FortiSwitch laat aanvallers wachtwoorden wijzigen
   
   Fortinet heeft beveiligingspatches uitgebracht voor een kritieke kwetsbaarheid in zijn FortiSwitch-apparaten. Deze kwetsbaarheid, aangeduid als CVE-2024-48887, heeft een CVSS-score van 9.8. Het uitbuiten van de kwetsbaarheid zorgt ervoor dat mogelijk dat aanvallers op afstand beheerderswachtwoorden kunnen aanpassen zonder authenticatie. Deze kwetsbaarheid heeft het potentieel om volledige netwerkcontrole in handen van aanvallers te brengen.

5. Brute-force aanvallen op Palo Alto GlobalProtect VPN
   
   Palo Alto Networks meldt een toename in geautomatiseerde brute-force aanvallen op GlobalProtect VPN-implementaties. Deze aanvallen zijn gericht op het verkrijgen van ongeautoriseerde toegang tot de systemen door middel van wachtwoordgerelateerde aanvallen. Aanvallers proberen systematisch via zwakke of hergebruikte wachtwoorden toegang tot bedrijfsnetwerken te krijgen. Palo Alto adviseert klanten om multi-factor authenticatie (MFA) te implementeren en de nieuwste versies van PAN-OS te gebruiken om deze aanvallen te mitigeren.

6. Onvolledige patch in NVIDIA CUDA Toolkit laat kwetsbaarheid voortbestaan
   
   Een onvolledige patch voor CVE-2024-0132 met CVSS-score 9.0 in de NVIDIA Toolkit laat Linux Docker hosts kwetsbaar voor container escapes en DoS-aanvallen. Deze kwetsbaarheid kan worden misbruikt om ongeautoriseerde toegang tot het onderliggende host-systeem te verkrijgen. De oorspronkelijke kwetsbaarheid maakte het mogelijk voor aanvallers om lokale rechten te escaleren. Door een onvolledige update blijft het risico bestaan voor gebruikers die denken volledig beschermd te zijn.

1. ‍Ivanti Connect Secure kwetsbaarheid actief misbruikt
   
   ‍Ivanti heeft onlangs een kritieke kwetsbaarheid (CVE-2025-22457 met een CVSS-score van 9.0) in hun Connect Secure-product gepatcht, die sinds medio maart 2025 actief werd uitgebuit. Deze kwetsbaarheid betreft een stack-based buffer overflow die kan leiden tot remote code execution (RCE) op getroffen systemen. De exploitatie van deze kwetsbaarheid stelde aanvallers in staat om malware zoals TRAILBLAZE en BRUSHFIRE te implementeren, wat leidde tot diefstal van inloggegevens en verdere toegang het het netwerk.
   
   Ivanti heeft patches uitgebracht in ICS versie 22.7R2.6 en adviseert klanten dringend om hun systemen bij te werken. Het Integrity Checker Tool van Ivanti helpt bij het identificeren van mogelijk gecompromitteerde systemen.
   
   Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) adviseert wegens aanvallen organisaties die met software van Ivanti werken om een fabrieksreset uit te voeren.
   ‍
2. ‍Kritieke RCE kwetsbaarheid ontdekt in Apache Parquet
   ‍
   ‍Er is een kritieke kwetsbaarheid (CVE-2025-30065 met een CVSS-score van 10.0) ontdekt in Apache Parquet. Apache Parquet is een open-source, kolom gebaseerd opslagformaat dat is ontworpen voor efficiente gegevensverwerking. Deze kwetsbaarheid maakt het mogelijk voor een aanvaller om willekeurige code uit te voeren door een speciaal vervaardigd Parquet-bestand te lezen. Dit probleem treft alle versies van Apache Parquet tot en met 1.15.0 en is inmiddels verholpen in versie 1.15.1.
   ‍
3. KwaadaardigePython-pakketten op PyPI
   ‍
   ‍‍Cybersecurityonderzoekers hebben kwaadaardige bibliotheken ontdekt in de Python Package Index (PyPI) die zijn ontworpen om gevoelige informatie te stelen en gestolen creditcardgegevens te testen. Twee van deze pakketten, bitcoinlibdbfix en bitcoinlib-dev, deden zich voor als oplossingen voor recente problemen in een legitieme Python-module genaamd bitcoinlib. Een derde pakket, disgraysa, bevatte een volledig geautomatiseerd carding-script dat WooCommerce-winkels misbruikte voor het valideren van gestolen creditcards en werd meer dan 34.000 keer gedownload.

‍

1. RESURGE malware misbruikt Ivanti-kwetsbaarheid

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft licht geworpen op een nieuwe malware genaamd RESURGE die is ingezet als onderdeel van exploitatie activiteiten gericht op een inmiddels gepatchte kwetsbaarheid in Ivanti Connect Secure (ICS)-apparaten. Deze kwetsbaarheid wordt aangeduid als CVE-2025-0282 en  heeft een CVSS-score van 9.0. Aanvallers gebruiken deze exploit om ongeautoriseerde toegang te verkrijgen en achterdeurtjes in netwerken te installeren.

2. Onderzoekers onthullen 46 nieuwe kritieke kwetsbaarheden in omvormers

Een recent beveiligingsrapport onthulde 46 nieuwe kritieke kwetsbaarheden in producten van leveranciers van omvormers. Deze nieuwe kwetsbaarheden kunnen worden misbruikt om willekeurige opdrachten uit te voeren op apparaten of de cloud van de leverancier, accounts over te nemen, binnen te komen in de infrastructuur van de leverancier of de controle over de apparaten van omvormereigenaren over te nemen.

3. CoffeeLoader malware: geavanceerde detectie-omzeiling met GPU-gebaseerde ‘Armoury’

De nieuw ontdekte CoffeeLoader-malware maakt gebruik van een innovatieve aanpak om detectie door endpoint-beveiligingsoplossingen te omzeilen. CoffeeLoader, maakt gebruik van een domeingeneratiealgoritme (DGA) dat werkt als terugvalmechanisme wanneer de primaire command-and-control (C2)-kanalen onbereikbaar worden. De malware gebruikt verschillende technieken om beveiligingsoplossingen te omzeilen.

Centraal in de malware staat een packer genaamd Armoury die code uitvoert op de Graphics Processing Unit (GPU) van een systeem om analyse in virtuele omgevingen te compliceren. De packer is zo genoemd omdat het de legitieme Armoury Crate-utility imiteert die is ontwikkeld door ASUS. De malware laadt schadelijke payloads en gebruikt GPU-gebaseerde technieken om beveiligingsmechanismen te ontwijken.

4. Kritieke Mozilla Firefox kwetsbaarheid

Mozilla heeft een kritieke kwetsbaarheid in Firefox voor Windows gepatcht. CVE-2025-2857, met een CVSS-score van 10.0, maakt een sandbox-ontsnapping mogelijk, waardoor aanvallers potentieel schadelijke code met verhoogde rechten kunnen uitvoeren.

5. Ubuntu Linux kwetsbaarheden vereisen handmatige patching

Ubuntu-gebruikers moeten actie ondernemen vanwege drie nieuwe kwetsbaarheden die zijn ontdekt in de unprivileged user namespace-beperkingen van Ubuntu Linux. Deze kwetsbaarheden kunnen een lokale aanvaller in staat stellen om kwetsbaarheden in kernelcomponenten te misbruiken.

De kwetsbaarheden hebben invloed op Ubuntu-versies 23.10, waar unprivileged user namespace-beperkingen zijn ingeschakeld, en 24.04, waar ze standaard actief zijn.

Linux user namespaces stellen gebruikers in staat om als root te fungeren in een geïsoleerde sandbox (namespace) zonder dezelfde privileges op de host te hebben. Deze kwetsbaarheden kunnen worden misbruikt om systeembeveiligingen te omzeilen, waardoor aanvallers rootrechten kunnen verkrijgen. Hoewel updates beschikbaar zijn, vereisen sommige kwetsbaarheden handmatige mitigaties.

‍

1. Medusa ransomware exploiteert kwaadaardig stuurprogramma

Medusa ransomware heeft een nieuwe techniek toegevoegd die bekend staat als “Bring Your Own Vulnerable Driver” (BYOVD). Hiermee worden kwetsbare stuurprogramma’s ingezet om via verhoogde privileges toegang te krijgen tot kritieke onderdelen van het besturingssysteem. Onderzoekers hebben in dit specifieke geval een Medusa ransomware-aanval gezien die de encryptor heeft geleverd via een loader die is verpakt met behulp van een packer-as-a-service (PaaS) genaamd HeartCrypt.

De loader werd geïmplementeerd in combinatie met een driver die is ondertekend met een ingetrokken certificaat van een Chinese leverancier genaamd ABYSSWORKER. Deze driver wordt op het systeem van het slachtoffer geïnstalleerd en vervolgens gebruikt om verschillende EDR-oplossingen te omzeilen. De driver in kwestie, “smuol.sys”, bootst een legitieme CrowdStrike Falcon-driver na (“CSAgent.sys”).

2. Patches van Veeam en IBM voor kritieke kwetsbaarheden

Zowel Veeam als IBM hebben recent belangrijke patches uitgebracht voor kritieke kwetsbaarheden. De kwetsbaarheid in Veeam, bekend als CVE-2025-23120 met CVSS-score 9.9, stelt domeingebruikers in staat om ongeautoriseerde toegang te krijgen tot back-upservers, wat ernstige gevolgen kan hebben voor de beschikbaarheid en integriteit van bedrijfsdata.

IBM heeft daarnaast kwetsbaarheden (CVE-2024-56346 met CVSS-score 10.0 en CVE 2024-56347 met CVSS-score 9.6) opgelost in hun producten, die net als de Veeam-kwetsbaarheid kan leiden tot remote code execution (RCE).

3. Nakivo-kwetsbaarheid toegevoegd aan CISA’s KEV-lijst

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft onlangs een nieuwe kwetsbaarheid in Nakivo’s back-upsoftware toegevoegd aan de Known Exploited Vulnerabilities (KEV)-lijst. Deze kwetsbaarheid, aangeduid als CVE-2024-48248 met een CVSS-score van 8.6, stelt aanvallers in staat om via remote toegang back-ups te compromitteren, wat kan resulteren in dataverlies of verstoring van back-up- en herstelprocessen.

Er is een update beschikbaar. Het is raadzaam om mogelijk kwetsbare systemen zo snel mogelijk te updaten.

4. Valse bestandsconverters verspreiden malware

De FBI heeft recent opnieuw gewaarschuwd voor een groeiende dreiging waarbij valse bestandsconverters worden gebruikt om malware te verspreiden. In deze aanvallen worden slachtoffers misleid om schadelijke software te downloaden die zich voordoet als een legitiem hulpmiddel om bestanden te converteren naar andere formaten.

Deze kwaadaardige converters verspreiden verschillende soorten malware, waaronder ransomware en infostealers, die zijn ontworpen om inloggegevens, creditcardinformatie en andere gevoelige gegevens te stelen.

5. Microsoft Trusted Signing Service misbruikt voor malware verspreiding

Onderzoekers hebben een nieuwe aanvalstechniek ontdekt waarbij de Microsoft Trusted Signing Service wordt misbruikt om malware te ondertekenen met legitieme certificaten. Dit maakt het voor aanvallers mogelijk om schadelijke software als vertrouwd te laten verschijnen, wat het voor beveiligingssystemen moeilijker maakt om de malware te detecteren.

Deze techniek maakt gebruik van code-signing certificaten die aanvallers op de een of andere manier hebben verkregen. Met deze methode kunnen zij bijvoorbeeld ransomware of spyware verspreiden zonder dat traditionele beveiligingsmaatregelen zoals antivirussoftware de dreiging herkennen.

‍

1. Black Basta ransomware en geautomatiseerde brute force-aanvallen op edge-systemen

De Black Basta-ransomwaregroep heeft een nieuwe stap gezet in zijn aanvalstechnieken. De groep maakt nu gebruik van een geautomatiseerde tool die specifiek gericht is op het uitvoeren van brute force-aanvallen op edge-systemen, zoals firewalls en VPN-systemen. Dit stelt kwaadwillenden in staat om inloggegevens van medewerkers te achterhalen en vervolgens toegang te krijgen tot interne systemen.

Zodra de kwaadwillenden toegang hebben, gebruiken ze Black Basta-ransomware om bestanden te versleutelen en losgeld te eisen van getroffen organisaties. Deze aanvallen kunnen bijzonder schadelijk zijn omdat ze zich richten op edge-systemen, die vaak worden gebruikt voor toegang op afstand tot kritieke bedrijfsmiddelen.

2. Kwetsbaarheid in Cisco IOS XR routers: BGP-aanvallen

Cisco heeft een DoS-kwetsbaarheid (denial of service) gepatcht waarmee kwaadwillenden het Border Gateway Protocol (BGP)-proces op IOS XR-routers kunnen laten crashen met één BGP-updatebericht. IOS XR draait op de carrier-grade Network Convergence System (NCS) en Carrier Routing System (CRS)-serie routers van het bedrijf, zoals de ASR 9000, NCS 5500 en 8000-serie.

Deze kwetsbaarheid, CVE-2025-20115 met een CVSS-score van 8.6, werd gevonden in de confederatie-implementatie voor het Border Gateway Protocol (BGP) en heeft alleen invloed op Cisco IOS XR-apparaten wanneer BGP-confederatie is geconfigureerd.

3. SuperBlack ransomware exploiteert Fortinet-authenticatie

Een nieuwe ransomware-operator met de naam ‘Mora_001’ maakt misbruik van twee Fortinet-kwetsbaarheden om ongeautoriseerde toegang te krijgen tot firewall-apparaten en een aangepaste ransomware-stam genaamd SuperBlack te implementeren. De twee kwetsbaarheden, beide authenticatie-omzeilingen, zijn CVE-2024-55591 met CVSS-score 9.8 en CVE-2025-24472 met CVSS-score 8.1, die Fortinet respectievelijk in januari en februari bekendmaakte.

Deze ransomwarevariant maakt het mogelijk voor kwaadwillenden om zonder geldige inloggegevens toegang te krijgen tot Fortinet-apparaten en vervolgens hun kwaadaardige software te implementeren om bestanden te versleutelen.

4. OBSCURE#BAT malware: valse Captcha-aanvallen

OBSCURE#BAT-malware is een nieuwe malware-campagne die mensen probeert te misleiden door middel van een valse captcha. Deze malware wordt waarschijnlijk verspreid via kwaadaardige websites die eruitzien als legitieme pagina’s. Bezoekers worden gevraagd om een captcha op te lossen, maar in werkelijkheid downloaden ze malware naar hun systeem zodra ze op de link klikken.

Wat deze malware bijzonder gevaarlijk maakt, is het vermogen om bestanden, registervermeldingen en actieve processen te verbergen met behulp van API-hooking in de gebruikersmodus. Bestanden, registersleutels of taken die overeenkomen met een specifiek patroon ($nya-) worden onzichtbaar voor standaard Windows-tools zoals Taakbeheer, Explorer en shell-opdrachten zoals “dir” om de inhoud van een directory weer te geven. De malware communiceert ook met kritieke systeemprocessen, waardoor het dieper in legitieme processen en services kan worden ingesloten. Het stelt daardoor kwaadwillenden in staat om toegang tot een systeem te creëren en detectie op gecompromitteerde systemen te ontwijken.

5. OAuth-aanvallen op Microsoft 365-accounts via valse Adobe en DocuSign-apps

Een nieuwe reeks aanvallen heeft als doel Microsoft 365-accounts te compromitteren via valse OAuth-apps die zich voordoen als legitieme Adobe en DocuSign-apps. Deze aanvallen maken gebruik van phishingtechnieken om gebruikers te verleiden in te loggen met hun Microsoft 365-accounts en toegang te verlenen aan de kwaadaardige apps. Zodra de kwaadwillenden toegang heeft verkregen via deze valse OAuth-apps, kunnen ze gegevens stelen of verdere aanvallen uitvoeren binnen de Microsoft 365-omgeving van het slachtoffer.

6. Kritieke Kwetsbaarheid in Apache Tomcat wordt actief uitgebuit

Een recent ontdekte kwetsbaarheid in Apache Tomcat (CVE-2025-24813) wordt actief uitgebuit na de openbaarmaking van een proof-of-concept. Deze kwetsbaarheid treft de volgende versies van Tomcat:

• Tomcat 11.0.0-M1 t/m 11.0.2
• Tomcat 10.1.0-M1 t/m 10.1.34
• Tomcat 9.0.0-M1 t/m 9.0.98

De aanval is opgebouwd uit twee stappen:

1. Een kwaadaardig sessiebestand uploaden – De aanvaller stuurt een PUT-verzoek met een base64-gecodeerde geserialiseerde Java-payload, die is opgeslagen in de sessieopslag van Tomcat.
2. Uitvoering activeren – Een GET-verzoek wordt verzonden met een JSESSIONID-cookie die verwijst naar het geüploade sessiebestand. Dit dwingt Tomcat om de kwaadaardige Java-code te deserialiseren en uit te voeren, waardoor de aanvaller volledige controle over de server krijgt.

De kwetsbaarheid kan dus leiden tot remote code execution wanneer aan bepaalde voorwaarden wordt voldaan, waaronder het gebruik van “partial PUT” en schrijfbevoegdheden voor de standaard servlet.

1. Verborgen commando’s in Bluetooth-chip van miljarden apparaten

Onderzoekers hebben onlangs niet-gedocumenteerde commando’s gevonden in de ESP32 Bluetooth-chip die worden gebruikt in miljarden apparaten wereldwijd. Deze kwetsbaarheid (CVE-2025-27840, CVSS-score 6.8), stelt aanvallers in staat om toegang te krijgen tot apparaten zonder dat gebruikers het doorhebben en Bluetooth-functionaliteit te manipuleren. Dit kan leiden tot datadiefstal, het op afstand bedienen van apparaten en zelfs de mogelijkheid om verdere malware te installeren.

Hoewel deze commando’s niet direct op afstand toegankelijk zijn zonder extra kwetsbaarheden, vormen ze een potentieel risico voor supply chain-aanvallen en de integriteit van IoT-apparaten.

2. Ransomware-aanvallen via webcams: Een nieuwe methode om EDR te omzeilen

De Akira ransomware-groep heeft een innovatieve aanvalsmethode ontwikkeld door gebruik te maken van een onbeveiligde webcam om Endpoint Detection and Response (EDR) systemen te omzeilen. In een recent geval hebben aanvallers toegang gekregen tot het bedrijfsnetwerk via een slecht beveiligde webcam. Deze webcams, vaak over het hoofd gezien in beveiligingsaudits, zijn kwetsbaar voor misbruik. Door een kwetsbare IoT-apparaat te exploiteren, konden de aanvallers ransomware verspreiden en bestanden op het netwerk van het slachtoffer versleutelen.

Dit soort aanvallen toont aan dat cybercriminelen steeds creatiever worden in hun pogingen om beveiligingsoplossingen te omzeilen. Apparaten die niet traditioneel als risicovol worden gezien, zoals webcams en andere IoT-apparaten, vormen een toenemend risico.

3. Kwetsbare VMware ESXi-servers: 37.000 systemen blootgesteld aan aanvallen

Meer dan 37.000 VMware ESXi-servers zijn kwetsbaar voor een kritieke out-of-bounds write flaw, aangeduid als CVE-2025-22224 met een CVSS-score van 9.3. Deze servers worden veel gebruikt door grote organisaties voor virtualisatie en cloudinfrastructuur. Wanneer kwaadwillenden de kwetsbaarheid uitbuiten kunnen zij beheerdersrechten toekennen op de VM-gast wat de kwaadwillende in staat stelt om de sandbox te omzeilen en code uit te voeren op de host als het VMX-proces.

CVE-2025-22224 wordt momenteel, samen met CVE-2025-22225 en CVE-2025-22226, uitgebuit in aanvallen als zero-days.

4. Malvertising-campagnes richten zich op miljoenen pc’s

Microsoft heeft recent gewaarschuwd voor een grootschalige malvertising-campagne die naar schatting een miljoen pc’s heeft getroffen. Malvertising, malicious advertising ofwel kwaadaardige advertenties, wordt gebruikt door cybercriminelen om schadelijke code in te sluiten in online advertenties.

Deze campagne, uitgevoerd door de Storm-0408 groep, maakt gebruik van illegale streamingwebsites en malvertising redirectors om gebruikers naar malware-hosting repositories op platforms zoals GitHub en Dropbox te leiden. De verspreide malware, waaronder Lumma Stealer en Doenerium, steelt gevoelige informatie zoals inloggegevens en persoonlijke data.

‍

1. Gelekte API-sleutels in AI-trainingdatasets

Truffle Security heeft recent bijna 12.000 API-sleutels en wachtwoorden ontdekt in Common Crawl, een grote dataset die onder andere wordt gebruikt voor het trainen van Large Language Models (LLM’s) zoals DeepSeek. Het blijkt dat er gevoelige informatie, zoals hardcoded inloggegevens, per ongeluk in deze datasets is opgenomen en publiek toegankelijk is.

Volgens het rapport heeft deze ontdekking ernstige implicaties voor de veiligheid van bedrijven die gebruikmaken van deze API’s voor hun bedrijfsprocessen. Cybercriminelen kunnen deze sleutels misbruiken om toegang te krijgen tot gevoelige systemen, met potentieel desastreuze gevolgen.

2. Misconfiguraties in gebouwbeheersystemen

Uit onderzoek blijkt dat meer dan 49.000 gebouwbeheersystemen online verkeerd zijn geconfigureerd, waardoor ze kwetsbaar zijn voor aanvallen. Deze systemen worden gebruikt voor de toegang tot fysieke gebouwen, zoals kantoorruimtes en productiehallen. Misconfiguraties kunnen ertoe leiden dat onbevoegden toegang krijgen tot deze systemen, waardoor zowel de fysieke als de digitale beveiliging van een organisatie in gevaar komt.

De kwetsbaarheden hebben geleid tot de blootstelling van honderdduizenden uiterst gevoelige werknemersgegevens, waaronder: persoonlijke identificatiegegevens, biometrische informatie, foto’s en werkschema’s.

3. EncryptHub ransomware-aanvallen op 618 organisaties

De ransomwaregroepering EncryptHub heeft recent 618 organisaties getroffen door infostealers en ransomware te verspreiden. Deze groep maakt gebruik van geavanceerde technieken om aanvallen uit te voeren, waarbij ze eerst gevoelige bedrijfsinformatie stelen, en vervolgens dreigen deze informatie openbaar te maken als er geen losgeld wordt betaald.

Bij de aanvallen die het heeft uitgevoerd, vertoont het een andere operationele strategie door alle processen uit te voeren die nodig zijn om initiële toegang te verkrijgen via gepersonaliseerde sms (smishing) of door de persoon rechtstreeks te bellen (vishing) en het slachtoffer te misleiden om remote monitoring and management (RMM) software te installeren.

4. Ransomware exploiteert Paragon Partition Manager kwetsbaarheid

Ransomwaregroeperingen hebben een nieuwe kwetsbaarheid ontdekt in de Paragon Partition Manager software, wat hen in staat stelt om Bring Your Own Vulnerable Driver (BYOVD) aanvallen uit te voeren. Microsoft heeft vijf Paragon Partition Manager BioNTdrv.sys driverfouten ontdekt, waarvan er dus één (CVE-2025-0289, CVSS-score 7.1) door ransomware-bendes wordt gebruikt in zero-day-aanvallen om SYSTEM-privileges in Windows te verkrijgen.

5. Phishing PDF’s gehost op 260 domeinen

Recent onderzoek toont aan dat er meer dan 5.000 phishing PDF-bestanden zijn geüpload naar 260 verschillende domeinen. Deze PDF-bestanden leiden naar phishingsites die zijn ontworpen om de creditcard- en persoonlijke gegevens van slachtoffers te stelen of Lumma infostealer-malware te verspreiden.

In deze phishingcampagne wordt gebruik gemaakt van nep-CAPTCHA-afbeeldingen die worden gedeeld via PDF-documenten die worden gehost op het content delivery network (CDN) van Webflow. Zo worden slachtoffers misleid die op zoek zijn naar PDF-documenten op zoekmachines.

1. Craft CMS code-injectiekwetsbaarheid

De Cybersecurity and Infrastructure Security Agency (CISA) heeft onlangs een waarschuwing afgegeven over een kwetsbaarheid in Craft CMS, een veelgebruikt content management systeem. Deze kwetsbaarheid, CVE-2025-23209 met CVSS-score 8.1 maakt het mogelijk voor aanvallers om kwaadaardige code te injecteren in de website van de getroffen organisatie. Dit probleem kan leiden tot volledige controle over de webapplicatie, met potentiële datalekken of het overnemen van gebruikersaccounts als gevolg.

De aanvallen gericht op deze kwetsbaarheid zijn reeds waargenomen in het wild. Organisaties die gebruikmaken van Craft CMS wordt dringend geadviseerd om hun systemen zo snel mogelijk te updaten naar de laatste versie.

2. Microsoft Power Pages zero-day

Microsoft heeft in februari 2025 een beveiligingsupdate uitgebracht voor een zero-day kwetsbaarheid in Power Pages, aangeduid als CVE-2025-24989. Deze kwetsbaarheid, met een CVSS-score van 8.2, werd actief uitgebuit in aanvallen voordat de patch beschikbaar kwam. Power Pages is een platform waarmee bedrijven eenvoudig websites kunnen bouwen en beheren. De kwetsbaarheid maakt het mogelijk om kwaadaardige code uit te voeren via malafide HTTP-verzoeken.

3. Darcula PhaaS: automatisch phishingkits genereren

Darcula, een Phishing-as-a-Service (PhaaS) platform stelt cybercriminelen in staat om automatisch phishingkits te genereren voor elk gewenst merk. Met Darcula kunnen aanvallers eenvoudig phishingpagina’s maken die exact lijken op de websites van legitieme merken, wat de kans vergroot dat slachtoffers hun gevoelige informatie, zoals wachtwoorden en creditcardgegevens, overhandigen.

Dit type dienst verlaagt de drempel voor cybercriminelen aanzienlijk, wat betekent dat zelfs minder technisch onderlegde criminelen hoogwaardige phishingaanvallen kunnen uitvoeren.

4. FrigidStealer: nieuwe infostealer voor macOS

FrigidStealer is een nieuwe infostealer die zich richt op Mac-systemen. Deze malware doet zich voor als een browserupdate. Deze malware is ontworpen om gevoelige informatie te stelen en verspreidt zich via valse browserupdate-meldingen. Het verzamelt gevoelige gegevens, zoals wachtwoorden, browsergeschiedenis en opgeslagen bestanden.

5. Palo Alto Networks firewall kwetsbaarheid

Palo Alto Networks waarschuwt dat een kwetsbaarheid voor het lezen van bestanden (CVE-2025-0111) nu wordt gekoppeld aan aanvallen met twee andere fouten (CVE-2025-0108 met CVE-2024-9474) om de authenticatie op PAN-OS-firewalls te omzeilen bij actieve aanvallen. Aanvallers kunnen deze kwetsbaarheid misbruiken om ongeautoriseerde toegang te krijgen tot netwerkbronnen en gevoelige informatie.

6. Citrix Netscaler ADC en Gateway kwetsbaarheid

Citrix heeft een beveiligingsupdate uitgebracht voor een kritieke kwetsbaarheid in Netscaler ADC en Gateway. Deze kwetsbaarheid, CVE-2024-12284 met een CVSS-score van 8.8, stelt aanvallers in staat om remote code execution (RCE) uit te voeren op getroffen systemen.

7. OpenSSH Man-in-the-Middle (MITM) en DoS aanvallen

Er zijn nieuwe kwetsbaarheden (CVE-2025-26465 en CVE-2025-26466) ontdekt in OpenSSH, een veelgebruikt protocol voor veilige communicatie. Deze kwetsbaarheden maken SSH-servers vatbaar voor man-in-the-middle (MITM) en denial-of-service (DoS) aanvallen. Hoewel de ernst van deze kwetsbaarheid (met een CVSS-score van 6.5) lager is in vergelijking met de andere besproken issues, kan het nog steeds leiden tot verstoringen in kritieke systemen.

8. Mattermost kwetsbaarheden aangepakt

Mattermost, een open-sourceplatform voor teamcommunicatie en -samenwerking, heeft drie kritieke beveiligingskwetsbaarheden aangepakt die van invloed zijn op de Boards-plugin. De kwetsbaarheden, geïdentificeerd als CVE-2025-20051 met CVSS-score 9.9, CVE-2025-24490 met CVSS-score 9.6 en CVE-2025-25279 met CVSS-score 9.9, kunnen aanvallers in staat stellen willekeurige bestanden op het systeem te lezen en SQL-injectieaanvallen uit te voeren.

1.      Massale Brute Force-aanval: 2,8miljoen IP-adressen gericht op VPN-apparaten

Recente rapporten wijzen op een massale bruteforce-aanval waarbij 2,8 miljoen IP-adressen werden ingezet om VPN-apparaten aan te vallen. Een brute force-aanval is een methode waarbij aanvallers proberen in te breken door herhaaldelijk wachtwoorden of andere inloggegevenste raden. Bij deze aanval zijn miljoenen IP-adressen gebruikt om VPN-apparaten wereldwijd te bestoken. Het gaat daarbij onder andere om apparaten van PaloAlto, Ivanti, Fortinet en SonicWall.

2.      Malware via ASP.NET-sleutels: Gelekte sleutels gebruikt bij malware-aanvallen

Microsoft waarschuwt voor aanvallen waarbij kwaadwillenden malware inzetten in ViewState-code-injectie aanvallen via webtoepassingen. Dat gebeurt met behulp van statische ASP.NET-machinesleutels die online zijn gevonden. Meer dan 3.000 publieke sleutels zijn momenteel gelekt, wat betekent dat duizenden organisaties kwetsbaar zijn voor deze aanvalsvorm.

Sommige ontwikkelaars gebruikten ASP.NET validationKey- en decryptionKey-sleutels (ontworpen om ViewState te beschermen tegen manipulatie en openbaarmaking van informatie) die te vinden zijn op codedocumentatie en repositoryplatforms in hun eigen software.

ViewState stelt ASP.NET Web Forms in staat om de status te beheren en gebruikersinvoer te bewaren bij het opnieuw laden van pagina's. Als aanvallers echter de machinesleutel krijgen die is ontworpen om deze te beschermen tegen manipulatie en openbaarmaking van informatie, kunnen ze deze gebruiken incode-injectieaanvallen om schadelijke payloads te maken door gemanipuleerde berichtauthenticatiecode (MAC) toe te voegen.

3.      Kritieke RCE-kwetsbaarheid in Microsoft Outlook actief misbruikt

Een recent ontdekte remote code execution (RCE) kwetsbaarheid in Microsoft Outlook (CVE-2024-21413, CVSS-score 9.8) wordt inmiddels actief uitgebuit door kwaadwillenden. De kwetsbaarheid wordt veroorzaakt door onjuiste invoervalidatie bij het openen van e-mails met kwaadaardige links,waardoor kwaadwillenden de mogelijkheid krijgen voor het uitvoeren van externe code.

Deze mogelijkheid ontstaat wanneer kwaadwillenden bij het uitbuiten van de kwetsbaarheid de beveiligde weergave omzeilen (die schadelijke inhoud in Office-bestanden zou moeten blokkeren door ze te openen in de alleen-lezenmodus) en kwaadaardige Office-bestanden openen in de bewerkingsmodus.

4.      Cisco ISE kwetsbaarheid: Aanvallers kunnen root-toegang verkrijgen

Cisco heeft onlangs twee kritieke kwetsbaarheden (CVE-2025-20124 met CVSS-score 9.9 en CVE-2025-20125 met CVSS-score 9.1) in hun IdentityServices Engine (ISE) opgelost, waarbij aanvallers root-toegang konden verkrijgen en willekeurige commando’s konden uitvoeren. Deze kwetsbaarheden stelden kwaadwillenden in staat volledige controle over het systeem te krijgen,wat vergaande gevolgen kan hebben voor de netwerkbeveiliging van een organisatie.

5.      Mogelijk OpenAI datalek

Recent heeft een kwaadwillende aangegeven de inloggegevens voor 20miljoen OpenAI-accounts te hebben verkregen, inclusief wachtwoorden ene-mailadressen. De beweringen werden gedaan op een hackforum, waar de kwaadwillende naar eigen zeggen een monster van de verkregen gegevens verstrekte en aanbood de volledige partij te verkopen. OpenAI geeft aan dat het meldingen van een datalek "serieus" neemt, maar zei dat het nog geen bewijs heeft gezien dat zijn systemen zijn gecompromitteerd.

‍

1. DeepSeek AI database onbeveiligd: meer dan 1 Miljoen chatgegevens gelekt

Chinese kunstmatige intelligentie (AI) startup DeepSeek, heeft een van zijn databases onbeveiligd gelaten zonder de vereiste authenticatieprotocollen. Hierdoor konden kwaadwillenden toegang krijgen tot gevoelige gegevens.

De ClickHouse-database biedt volgens onderzoekers volledige controle over databasebewerkingen, inclusief de mogelijkheid om toegang te krijgen tot interne gegevens. In totaal werden meer dan 1 miljoen chatlogs met gevoelige klantgegevens toegankelijk via een publiekelijk beschikbare database. Deze gegevens omvatten klantvragen, interne notities en mogelijk persoonlijke informatie.

2. Ongepatchte PHP Voyager-kwetsbaarheden maken systemen kwetsbaar

Drie kwetsbaarheden die zijn ontdekt in het open-source PHP-pakket Voyager voor het beheren van Laravel-applicaties, kunnen worden gebruikt door kwaadwillenden om systemen aan te vallen. De kwetsbaarheden, die nog niet volledig zijn gepatcht, stellen aanvallers in staat om via remote code execution (RCE) controle te krijgen over de betrokken systemen.

Het gaat om de volgende kwetsbaarheden:
CVE-2024-55415 – Een fout in het bestandsbeheersysteem stelt aanvallers in staat om bestandspaden te manipuleren en willekeurige bestanden op de server te verwijderen of te openen.
CVE-2024-55416 – Het /admin/compass-eindpunt in Voyager schoont gebruikersinvoer onjuist op, waardoor aanvallers JavaScript in pop-upberichten kunnen injecteren.
CVE-2024-55417 – Met de media-uploadfunctie van Voyager kunnen aanvallers kwaadaardige bestanden uploaden door MIME-typeverificatie te omzeilen.

PHP Voyager heeft aangekondigd dat er een patch in ontwikkeling is, maar tot die tijd blijven systemen kwetsbaar voor deze exploits.

3. Aquabotv3 botnet maakt misbruik van Mitel-kwetsbaarheid

Een nieuwe versie van de op Mirai-gebaseerde malware Aquabot, bekend als Aquabotv3, richt zich specifiek op een command injection-kwetsbaarheid in Mitel-apparaten. Deze kwetsbaarheid, aangeduid als CVE-2024-41710 met een CVSS-score van 6.8, stelt aanvallers in staat om via kwetsbare Mitel-systemen een botnet op te bouwen en te besturen. Een botnet kan worden gebruikt om grootschalige DDoS-aanvallen uit te voeren of om verdere netwerkexploitatie mogelijk te maken.

‍

1. SonicWall SMA1000 zero-day: kritieke kwetsbaarheid misbruikt

SonicWall, heeft een zero-day-kwetsbaarheid ontdekt (CVE-2025-23006, CVSS-score 9.8) in hun Secure Mobile Access (SMA) 1000-apparaten. Deze kwetsbaarheid, die momenteel actief misbruikt wordt, stelt een niet-geauthenticeerde aanvaller in staat om willekeurige OS-commando’s uit te voeren via de Appliance Management Console (AMC) en Central Management Console (CMC). Er is een patch beschikbaar, het advies is om deze zo snel mogelijk te installeren.

2. Cisco herstelt kritieke kwetsbaarheid in meeting management software

Cisco heeft een kritieke kwetsbaarheid (CVE-2025-20156, CVSS-score 9.9) in hun meeting management software verholpen. Deze kwetsbaarheid stelt een geauthenticeerde aanvaller in staat om beheerderstoegang te verkrijgen via de REST API.Hoewel er nog geen melding is gemaakt van misbruik van deze kwetsbaarheid in de praktijk, wordt aangeraden om alle betrokken Cisco-apparaten zo snel mogelijk te updaten.

3. Kwaadwillenden misbruiken Windows RID hijacking voor verborgen admin-accounts

Kwaadwillenden hebben een nieuwe methode ontdekt om via Windows RID (Relative Identifier) hijacking verborgen administratoraccounts aan te maken. Deze aanvalstechniek stelt aanvallers in staat om zich te verbergen in de beveiligingsstructuur van Windows, wat detectie door traditionele beveiligingstools moeilijk maakt. De techniek manipuleert de RID-waarde van een laaggeprivilegieerd account om het systeem te misleiden en beheerdersrechten toe te kennen.Het doel van deze aanvallen is om de controle over netwerken te verkrijgen, terwijl de kwaadwillenden onopgemerkt blijven.

4. MintsLoader malware verspreidt Stealc infostealer via phishing

Een recente campagne maakt gebruik van MintsLoader, een PowerShell-gebaseerde malware loader, om de StealC infostealer te verspreiden. Deze campagne richt zich op kritieke sectoren zoals elektriciteit, olie en gas, en juridische diensten in de VS en Europa. MintsLoader wordt verspreid via spam e-mails en kwaadaardige links en voert PowerShell-commando’s uit om de malware te downloaden en uit te voeren. Deze infostealer is ontworpen om gevoelige informatie van geïnfecteerde systemen te stelen, waaronder inloggegevens, financiële informatie en andere gevoelige bedrijfsdata.

5. Honderden nep-Reddit-sites verspreiden Lumma Stealer malware

Een recent ontdekt phishingnetwerk maakt gebruik van honderden nep-Reddit-websites om Lumma Stealer-malware te verspreiden. Deze malware wordt gebruikt om gevoelige gegevens te stelen van gebruikers die zich onbewust registreren op deze valse platforms. De aanvallen zijn gericht op zowel individuen als bedrijven en profiteren van de populariteit van Reddit.Hoewel de aanvallen voornamelijk gericht lijken te zijn op individuele gebruikers, lopen ook organisaties risico wanneer werknemers onbedoeld deze kwaadaardige websites bezoeken.

6. Kwetsbaarheid in Meta’s LLaMa framework

Meta’s LLaMA framework, gebruikt voor AI-toepassingen, bevat een ernstige kwetsbaarheid die remote code execution (RCE) mogelijk maakt. Deze kwetsbaarheid, aangeduid als CVE-2024-50050 heeft een CVSS-score van 6.3. De kwetsbaarheid wordt veroorzaakt door onveilige deserialisatie van Python-objecten via de pickle-module. Als dit lek succesvol wordt uitgebuit, kan een aanvaller willekeurige code uitvoeren op de Llama-stack-inferenceserver. Meta heeft een patch uitgebracht en gebruikers worden geadviseerd om hun systemen onmiddellijk bij te werken.

1. Gelekte VPN- en configuratiegegevens van 15.000 Fortinet apparaten

Recentelijk heeft een nieuwe hackersgroep, bekend als de Belsen Group, configuratiebestanden en VPN-gegevens van meer dan 15.000 Fortinet FortiGate-firewalls gelekt. Deze gegevens, die onder andere gebruikersnamen en wachtwoorden in platte tekst bevatten, werden een aantal jaren geleden verkregen door misbruik te maken van een zero-day kwetsbaarheid (CVE-2022-40684) met een CVSS-score van 9.8.

2. Kritieke kwetsbaarheden in SAP NetWeaver servers

SAP heeft onlangs meerdere kritieke kwetsbaarheden in hun NetWeaver Application Servers gepatcht. Twee van deze kwetsbaarheden, CVE-2025-0070 en CVE-2025-0066, hebben een CVSS-score van 9.9 en kunnen ernstige gevolgen hebben voor organisaties die deze software gebruiken.De kwetsbaarheden maken het mogelijk voor aanvallers om ongeautoriseerde toegang te krijgen en gevoelige informatie te stelen. De impact van een dergelijke inbreuk kan variëren van het verlies van vertrouwelijke klantinformatie tot aanzienlijke schade aan de bedrijfsvoering.

3. Geavanceerde 2FA Phishing-aanvallen: Nieuwe kit maakt 2FA onbruikbaar

Een nieuwe phishing kit, bekend als Sneaky 2FA, richt zich specifiek op Microsoft 365-accounts en omzeilt tweefactorauthenticatie (2FA). Deze kit, die wordt aangeboden als Phishing-as-a-Service (PhaaS), maakt gebruik van geavanceerde technieken zoals het vooraf invullen van e-mailadressen en het gebruik van gecompromitteerde infrastructuur om slachtoffers te misleiden.

4. UEFI Secure boot kwetsbaarheid: De bedreiging van bootkits

Onderzoekers hebben een nieuwe kwetsbaarheid ontdekt in de UEFI Secure Boot, aangeduid als CVE-2024-7344 met een CVSS-score van 6.5. UEFI (Unified Extensible Firmware Interface) Secure Boot is ontworpen om te voorkomen dat kwaadaardige software tijdens het opstarten van een systeem wordt geladen. Deze kwetsbaarheid maakt het mogelijk voor aanvallers om bootkits te installeren, zelfs als Secure Boot is ingeschakeld.Dit betekent dat systemen kwetsbaar zijn voor aanvallen die diep in de firmware van het moederbord verankerd zijn. Ze geven aanvallers volledige controle over een systeem voordat het besturingssysteem zelfs maar wordt geladen, waardoor traditionele beveiligingsmaatregelen mogelijk niet effectief zijn.

5. Malicious NPM packages: Nieuwe bedreiging voor ontwikkelaars

Softwareontwikkelaars die gebruikmaken van het Node Package Manager (NPM) ecosysteem moeten alert blijven op een groeiend aantal kwaadwillige pakketten die in de NPM-registers worden geïntroduceerd. Hackers hebben nu meerdere kwaadaardige pakketten geüpload, waaronder temp-etherscan-api en telegram-con. Deze kunnen wanneer ze zijn geïnstalleerd systemen infecteren met malware.

1. Kritieke kwetsbaarheden in Samsung-apparaten verholpen

Onderzoekers hebben een inmiddels gepatchte beveiligingsfout beschreven die invloed heeft op de Monkey’s Audio (APE)-decoder op Samsung-smartphones en die kan leiden tot code-uitvoering. De kritieke kwetsbaarheid, geregistreerd als CVE-2024-49415 (CVSS-score: 8.1), treft Samsung-apparaten met Android-versies 12, 13 en 14.De December patch verhelpt ook een andere kritieke kwetsbaarheid in SmartSwitch, CVE-2024-49413 (CVSS-score: 7.1). Deze kwetsbaarheid stelde lokale aanvallers in staat om schadelijke applicaties te kunnen installeren door misbruik te maken van onjuiste verificatie van cryptografische handtekeningen.

2. CrowdStrike waarschuwt voor nieuwe phishing-aanvallen gericht op ontwikkelaars

CrowdStrike waarschuwt voor een nieuwe phishingcampagne die specifiek gericht is op softwareontwikkelaars. In deze campagne doen aanvallers zich voor als CrowdStrike-medewerkers en sturen ze valse e-mails met vacatures. Wanneer ontwikkelaars op de bijgevoegde links klikken, worden ze geleid naar een kwaadaardige website waar malware, zoals cryptominers, op hun systemen wordt geïnstalleerd.

3. Nieuwe variant Banshee Stealer vermijdt detectie door gebruik van Apple’s XProtect

Er is een nieuwe variant van de Banshee Stealer-malware ontdekt. Wat opvalt aan deze versie, is dat hij detectie vermijdt door gebruik te maken van Apple’s XProtect-encryptie-algoritme. Hierdoor kunnen aanvallers ongemerkt gegevens van de geïnfecteerde apparaten stelen, waaronder wachtwoorden en gevoelige bedrijfsinformatie. De malware richt zich vooral op macOS-gebruikers.

4. Misleidende exploit op GitHub verspreidt infostealer

Een misleidende Proof-of-Concept (PoC) exploit voor CVE-2024-49113 (ook bekend als LDAPNightmare) op GitHub infecteert gebruikers met infostealer-malware die gevoelige gegevens exfiltreert naar een externe FTP-server. Onderzoekers melden dat de kwaadaardige GitHub-repository een project bevat dat lijkt te zijn geforkt van SafeBreach Labs’ legitieme PoC voor CVE-2024-49113, gepubliceerd op 1 januari 2025.SafeBreach’s eerste blogpost over de PoC vermeldde ten onrechte CVE-2024-49112, terwijl hun PoC was voor CVE-2024-49113, wat een minder ernstige denial-of-service-kwetsbaarheid is. Gebruikers die de PoC downloaden van de kwaadaardige repository krijgen een UPX-gepakt uitvoerbaar bestand ‘poc.exe’ dat, na uitvoering, een PowerShell-script in de map %Temp% van het slachtoffer plaatst.

5. Kwetsbaarheid in Ivanti Connect Secure VPN-oplossing

Ivanti heeft recent twee kritieke kwetsbaarheden gepubliceerd, CVE-2025-0282 met een CVSS-score van 9.0 en CVE-2025-0283, met een CVSS-score van 7.0. Beide kwetsbaarheden hebben betrekking op Ivanti Connect Secure (“ICS”) VPN-apparaten. Onderzoekers hebben zero-day-exploitatie van CVE-2025-0282 in het wild geïdentificeerd vanaf medio december 2024. CVE-2025-0282 is een niet-geverifieerde stack-based buffer overflow. Succesvolle exploitatie kan resulteren in niet-geverifieerde uitvoering van externe code. Er is een patch beschikbaar.

6. Belangrijke kwetsbaarheden verholpen in SonicWall, Palo Alto Expedition en Aviatrix controllers

SonicWall heeft patches uitgebracht om meerdere kwetsbaarheden te verhelpen, waaronder twee kwetsbaarheden (CVE-2024-53704 met CVSS-score 8.2 en CVE-2024-53706 met CVSS-score 7.8) die misbruikt kunnen worden om respectievelijk authenticatie te omzeilen en privileges te vergroten.Palo Alto Networks heeft softwarepatches uitgebracht om verschillende kwetsbaarheden in haar Expedition-migratietool te verhelpen. Een van de verholpen kwetsbaarheden is kwetsbaarheid CVE-2025-0103 (CVSS score: 7.8), die een geverifieerde aanvaller kan misbruiken om toegang te krijgen tot gevoelige gegevens.Tot slot heeft ook Securing een update uitgebracht voor een kritieke kwetsbaarheid die van invloed is op Aviatrix Controller. De kwetsbaarheid, geregistreerd als CVE-2024-50603, heeft een CVSS-score: 10,0 en dat kan worden misbruikt om willekeurige code-uitvoering te verkrijgen. Het heeft betrekking op versies 7.x tot en met 7.2.4820. De kwetsbaarheid is opgelost in versies 7.1.4191 of 7.2.4996.

1. DoubleClickJacking-aanval ontdekt

Onderzoekers hebben een nieuwe aanvalsmethode genaamd DoubleClickJacking ontdekt. Deze aanval maakt misbruik van dubbelklikken door gebruikers, waarbij aanvallers sessies kunnen kapen door gebruikers op een gemanipuleerde interface te laten klikken. Deze techniek combineert clickjacking met andere aanvalsvectoren en kan leiden tot de overname van gevoelige accounts.

2. Meer dan 3 miljoen e-mailservers zonder encryptie blootgesteld aan sniffing-aanvallen

Meer dan 3 miljoen POP3 en IMAP e-mailservers wereldwijd zijn kwetsbaar voor sniffing-aanvallen omdat ze geen encryptie gebruiken voor inkomende en uitgaande e-mailcommunicatie. Deze kwetsbaarheid stelt aanvallers in staat om gegevens zoals inloggegevens te onderscheppen tijdens de verzending van e-mails. Het implementeren van encryptieprotocollen wordt aanbevolen om de communicatie tussen servers te beschermen en de kans op onderschepping te verkleinen.

3. Nieuwe AI Jailbreak-methode: Bad Likert

Onderzoekers hebben een nieuwe AI-jailbreak-methode ontdekt, genaamd ‘Bad Likert’. Deze techniek maakt gebruik van manipulatie van Likert-schalen (zoals gebruikt in enquêtes) om AI-modellen te misleiden en functies vrij te spelen die normaal gesproken beperkt zouden zijn. Dit kan leiden tot het genereren van ongewenste of potentieel gevaarlijke output door AI-systemen.Een specifiek type prompt injectie is een aanvalsmethode genaamd many-shot jailbreaking, die gebruikmaakt van het lange contextvenster en de aandacht van de LLM om een ​​reeks prompts te maken die de LLM geleidelijk aanzetten tot het produceren van een kwaadaardige reactie zonder zijn interne beveiligingen te activeren. Enkele voorbeelden van deze techniek zijn Crescendo en Deceptive Delight.

4. Kwetsbaarheid in Nuclei tool onthuld

Onderzoekers hebben een kwetsbaarheid ontdekt in Nuclei, een populaire tool voor beveiligingsscans. De kwetsbaarheid, geregistreerd als CVE-2024-43405 met een CVSS-score van 7.4, zit in het template-verificatiesysteem van Nuclei, waardoor kwaadaardige templates de standaard beveiligingscontroles kunnen omzeilen. Dit betekent dat aanvallers mogelijk gevaarlijke templates kunnen injecteren in beveiligingssystemen. Beheerders van systemen die Nuclei gebruiken, wordt aangeraden om de tool bij te werken naar de nieuwste versie.

1. Kritieke kwetsbaarheid in Apache Struts 2 maakt Remote Code Execution mogelijk

Apache Struts 2, een veelgebruikt open-source webapplicatie-framework, heeft onlangs een kritieke kwetsbaarheid onthuld die remote code execution (RCE) mogelijk maakt. Dit betekent dat kwaadwillenden de controle over een systeem kunnen overnemen door kwaadaardige code uit te voeren. De kwetsbaarheid (CVE-2024-53677, CVSS-score 9.5) werd voor het eerst opgemerkt door de Apache Software Foundation en wordt als hoog risico beschouwd vanwege de potentiële impact op systemen die nog steeds de getroffen versie draaien. Organisaties die deze software gebruiken, worden dringend geadviseerd om hun systemen snel te patchen om misbruik te voorkomen. Er zijn Proof of Concepts beschikbaar, wat de noodzaak voor patchen groter maakt. Patches zijn beschikbaar in versies 2.5.33 en 6.3.0.2 of hoger. Er is een script beschikbaar om zelf te controleren of een systeem kwetsbaar is. Er zijn geen workarounds mogelijk voor deze kwetsbaarheid.

2. Exploitatie van Cleo-kwetsbaarheid bij ransomware-aanvallen

De Amerikaanse overheid heeft bevestigd dat misbruik van een kritieke beveiligingskwetsbaarheid in Cleo Harmony, VLTrader en LexiCom-bestandsoverdrachtsoftware wordt uitgebuit in ransomware-aanvallen. De Cleo MFT-kwetsbaarheid treft versies 5.8.0.21 en eerder en is een bypass voor een eerder opgeloste fout, CVE-2024-50623, die Cleo in oktober 2024 heeft opgelost. De oplossing was echter niet compleet, waardoor kwaadwillenden deze konden omzeilen en deze konden blijven misbruiken in aanvallen. De Cleo-kwetsbaarheid (CVE-2024-55956) heeft tot nu toe aanzienlijke schade aangericht, vooral doordat de Clop-ransomware-groep verantwoordelijk wordt gehouden voor meerdere aanvallen die gebruik maken van de Cleo-kwetsbaarheid.Volgens verschillende rapporten wordt de kwetsbaarheid actief benut door de Clop-ransomware-groep, die zich richt op het stelen van gevoelige gegevens en deze vervolgens gebruikt voor afpersing. De specifieke kwetsbaarheid zit in de Cleo-software die gebruikt wordt voor bestandsoverdrachten en kan worden uitgebuit om toegang te krijgen tot netwerken van bedrijven en overheden. Organisaties die Cleo-software gebruiken, worden dringend geadviseerd om onmiddellijk de gepatchte versies te implementeren.

3. Oproep aan waterbedrijven om systemen van publieke internet los te koppelen

CISA en de Environmental Protection Agency (EPA) waarschuwen waterbedrijven om aan internet blootgestelde Human Machine Interfaces (HMI’s) te beveiligen tegen cyberaanvallen. HMI’s zijn dashboards of gebruikersinterfaces die menselijke operators helpen verbinding te maken met, te monitoren en te bedienen industriële machines en apparaten via tablets, draagbare computers of ingebouwde displays.In een reactie op de verhoogde dreiging van cyberaanvallen, heeft de Amerikaanse overheid waterbedrijven opgeroepen om hun kritieke systemen los te koppelen van het publieke internet. Deze waarschuwing komt in het licht van verhoogde aanvallen op vitale infrastructuren, zoals waterzuiveringsinstallaties en distributiesystemen, die een belangrijke rol spelen in het dagelijks functioneren van de samenleving. De oproep tot het loskoppelen van systemen van het publieke internet wordt gezien als een noodzakelijke maatregel om de risico’s van cyberaanvallen te minimaliseren, vooral gezien de recente trend van cyberaanvallen die gericht zijn op kritieke infrastructuren.

4. Citrix en NetScaler: Mitigaties tegen wachtwoord-sprayaanvallen

Citrix waarschuwt voor wachtwoord-sprayaanvallen op Citrix NetScaler. Wachtwoord-sprayaanvallen zijn een veelgebruikte techniek waarbij aanvallers proberen in te breken door één wachtwoord te gebruiken op veel verschillende accounts, in plaats van het proberen van vele wachtwoorden op één account. Dit kan leiden tot succesvolle aanvallen wanneer zwakke of vaak hergebruikte wachtwoorden worden gebruikt.Citrix heeft mitigaties gedeeld die organisaties kunnen implementeren om zich te beschermen tegen deze aanvallen, waaronder het versterken van het wachtwoordbeleid, het implementeren van multi-factor authenticatie (MFA), en het monitoren van ongebruikelijke inlogpogingen.

1. AI-model van Ultralytics misbruikt voor cryptomining-aanval

Een AI-model van Ultralytics, een populaire machine learning-bibliotheek die veel wordt gebruikt in computer vision-toepassingen, is gecompromitteerd. Kwaadwillenden wisten toegang te krijgen tot deze open-source bibliotheek en voegden een cryptominer toe aan de code van het AI-model YOLOv5, dat in de wereld van computer vision veel wordt gebruikt voor objectdetectie.De besmette versie van de bibliotheek raakt duizenden ontwikkelaars en bedrijven wereldwijd. De cryptominer die werd geïntroduceerd, maakte misbruik van de rekenkracht van de systemen waarop het model werd uitgevoerd, waardoor de kwaadwillenden in staat waren om cryptocurrency te minen zonder dat de gebruikers hiervan op de hoogte waren.

2. Malware vermomd als vergaderapp richt zich Web3 professionals

Kwaadwillenden richten zich op mensen die in Web3 werken, een technologie die blockchain en gedecentraliseerde applicaties omvat. Deze personen worden benaderd met neppe zakelijke vergaderingen waarbij met behulp van een frauduleus videoconferentieplatform Windows en Mac-systemen worden geïnfecteerd met crypto-stelende malware.De campagne wordt “Meeten” genoemd, naar de naam die doorgaans wordt gebruikt door de vergadersoftware, en is sinds september 2024 gaande. De malware richt zich op de cryptovaluta-activa van slachtoffers, bankgegevens, informatie die is opgeslagen in webbrowsers en Keychain-referenties (op Mac).De malware kan via een phishing-aanval worden geïnstalleerd, vaak via een link in een e-mail die eruitziet als een uitnodiging voor een virtuele vergadering. Wanneer het slachtoffer de applicatie downloadt, wordt de malware geïnstalleerd die vervolgens cryptocurrency-wallets van de gebruiker steelt. De aanvallers gebruiken vervolgens de gestolen cryptocurrency voor hun eigen gewin.

3. Zero-Day kwetsbaarheid in Mitel MiCollab: Proof of Concept exploit geïntroduceerd

Mitel MiCollab, een veelgebruikte software voor teamcommunicatie en samenwerking, heeft onlangs te maken gehad met een ernstig beveiligingslek. Het lek, een zogenaamde zero-day kwetsbaarheid, stelt aanvallers in staat om op afstand toegang te krijgen tot systemen zonder dat de gebruikers dit merken. Wat deze kwetsbaarheid bijzonder gevaarlijk maakt, is het feit dat er al een proof-of-concept exploit is ontwikkeld die door kwaadwillenden kan worden gebruikt om de kwetsbaarheid in de praktijk uit te buiten.De zero-day kwetsbaarheid heeft betrekking op een fout in de manier waarop MiCollab omgaat met bepaalde verzoeken. Dit kan leiden tot het uitvoeren van ongeautoriseerde acties op systemen die de software gebruiken.

4. Cloudflare-tunnels misbruikt door kwaadwillenden

Kwaadwillenden hebben gebruik gemaakt van Cloudflare-tunnels om hun kwaadaardige activiteiten te verbergen. Cloudflare-tunnels bieden een manier om veilige verbindingen te maken naar interne netwerken zonder directe blootstelling aan het internet. Dit maakt het ideaal voor organisaties die hun netwerken willen beschermen tegen ongewenste toegang.Kwaadwillenden maken gebruik van deze tunnelingtechnologie om verder ongeautoriseerde toegang te krijgen tot netwerken, zelfs als er al een firewall of andere beveiligingsmaatregelen zijn ingesteld.

5. Onderzoekers onthullen kwetsbaarheden in populaire open-source machine learning framworks

Onderzoekers hebben meerdere kwetsbaarheden ontdekt die van invloed zijn op open-source machine learning (ML) tools en frameworks zoals MLflow, H2O, PyTorch en MLeap. Deze kwetsbaarheden variëren van privilege escalation tot remote code execution. De ontdekte kwetsbaarheden maken deel uit van een bredere verzameling van 22 beveiligingstekorten die de onderzoekers vorige maand publiceerden. In tegenstelling tot de eerste set die gebreken aan de serverzijde betrof, maken de onlangs gedetailleerde kwetsbaarheden het mogelijk om ML-clients te exploiteren. Het kapen van een ML-client in een organisatie kan kwaadwillenden in staat stellen om uitgebreide laterale bewegingen binnen de organisatie uit te voeren.

1. Geavanceerde phishingcampagne maakt gebruik van corrupte Word-documenten

Een nieuwe phishingcampagne maakt misbruik van de herstelfunctie voor corrupte Microsoft Word-documenten om gebruikers te misleiden en malware te verspreiden. De documenten bevatten specifieke corrupte secties die beveiligingsmaatregelen proberen te omzeilen. In plaats van traditionele kwaadaardige macro’s te gebruiken, wordt de gebruiker in dit geval verleid om een ogenschijnlijk onschuldige actie uit te voeren, zoals het openen van een document. Vervolgens wordt de optie geboden om het document te herstellen. Daarna word het document geopend en wordt er een QR-code weergegeven die gescand kan worden om het complete document te bekijken. De link leidt de gebruiker echter naar een Microsoft loginpagina waar de kwaadwillende de gebruikersgegevens probeert te achterhalen.

2. Rockstar Phishing Service doelt op Microsoft 365 accounts

Er is een nieuw phishing-as-a-service (PhaaS)-platform genaamd ‘Rockstar 2FA‘ ontdekt, dat grootschalige adversary-in-the-middle (AiTM)-aanvallen mogelijk maakt om op die manier Microsoft 365-gebruikersgegevens te stelen. Net als andere AiTM-platforms stelt Rockstar 2FA aanvallers in staat om multifactorauthenticatie (MFA)-beveiligingen op gerichte accounts te omzeilen door geldige sessiecookies te onderscheppen.Deze aanvallen werken door slachtoffers naar een nep-inlogpagina te leiden die Microsoft 365 nabootst en hen ertoe te verleiden hun logingegevens in te voeren. De AiTM-server functioneert als een proxy en stuurt die inloggegevens door naar de legitieme service van Microsoft om het authenticatieproces te voltooien en vangt vervolgens de cookie op wanneer deze wordt teruggestuurd naar de browser van het doelwit. Deze cookie kan vervolgens door de kwaadwillenden worden gebruikt voor directe toegang tot het account van het slachtoffer, zelfs als het MFA-beveiligd is, waarbij de kwaadwillende de inloggegevens helemaal niet nodig heeft.

3. 20 kwetsbaarheden gevonden in Advantech industrial Wifi-accesspoints

Uit onderzoek zijn 20 kwetsbaarheden ontdekt in Advantech EKI industriële Wifi-accesspoints. De kwetsbaarheden kunnen variëren van eenvoudige fouten die leiden tot remote code execution tot complexere zwakheden die moeilijker te exploiteren zijn zonder diepgaande technische kennis. Een deel van deze kwetsbaarheden kan worden gebruikt als manier om authenticatie te omzeilen en code uit te voeren met verhoogde privileges.Zes van de 20 geïdentificeerde kwetsbaarheden zijn als kritiek beschouwd. Van de zes kritieke fouten hebben er vijf (van CVE-2024-50370 tot en met CVE-2024-50374, CVSS-scores: 9,8) betrekking op onjuiste neutralisatie van speciale elementen die worden gebruikt in een opdracht van een besturingssysteem (OS), terwijl CVE-2024-50375 (CVSS-score: 9,8) betrekking heeft op een geval van ontbrekende authenticatie voor een kritieke functie.

4. Kwaadaardige NPM-bibliotheek gevonden in XML-RPC-protocol

Er is een kwaadaardige NPM-bibliotheek ontdekt, die is gemanipuleerd om misbruik te maken van de XML-RPC-protocol. Deze kwetsbaarheid kan worden geëxploiteerd door kwaadwillenden om code uit te voeren op systemen die de library gebruiken, waardoor ze mogelijk toegang krijgen tot gevoelige gegevens of de controle over systemen kunnen overnemen. Aangezien NPM-bibliotheken breed worden gebruikt in de JavaScript- en Node.js-gemeenschappen, onderdeel van de softwaretoeleveringsketen, is het belangrijk om hun afhankelijkheden zorgvuldig te controleren en regelmatig te updaten.

5. Bootkitty: Eerste bootkit voor Linux

Cybersecurity-onderzoekers hebben licht geworpen op wat is beschreven als de eerste Unified Extensible Firmware Interface (UEFI) bootkit die is ontworpen voor Linux-systemen. De bootkit, die door de makers Bootkitty wordt genoemd, wordt beoordeeld als een proof-of-concept (PoC). Er is nog geen bewijs dat deze momenteel ook wordt uitgebuit. Het belangrijkste doel van de bootkit is om de handtekeningverificatiefunctie van de kernel uit te schakelen en twee nog onbekende ELF-binaries vooraf te laden via het Linux init-proces, het eerste proces dat door de Linux-kernel wordt uitgevoerd tijdens het opstarten van het systeem. BootKits zijn bijzonder gevaarlijk omdat ze diep in het systeem worden geïnstalleerd, vóór de gebruikelijke beveiligingsmechanismen, wat het extreem moeilijk maakt om de infectie op te sporen en te verwijderen.

6. Apple Safari remote code execution kwetsbaarheid

Er is een nieuwe kwetsbaarheid (CVE-2024-44308) ontdekt in Apple Safari. De kwetsbaarheid, in de vorm van remote code execution (RCE), wordt momenteel actief uitgebuit. Deze kwetsbaarheid, waarbij kwaadwillenden op afstand kwaadaardige code kunnen uitvoeren op een apparaat dat Safari gebruikt, kan potentieel worden misbruikt via geïnfecteerde webpagina’s of kwaadaardige advertenties, waardoor gebruikers onbewust hun systeem kunnen infecteren met schadelijke software.

7. PoC-exploit voor zero-day kwetsbaarheid in Windows Taakplanner

Er is een Proof-of-Concept (PoC)-exploit vrijgegeven voor een kritieke zero-day kwetsbaarheid in Windows Taakplanner. De kwetsbaarheid is geregistreerd als CVE-2024-49039 met een CVSS-score van 8.8. Door het uitbuiten van deze kwetsbaarheid kunnnen kwaadwillenden hun privileges verhogen en willekeurige code uitvoeren op getroffen systemen. Wat deze kwetsbaarheid gevaarlijk maakt is de potentie voor zero-click-exploitatie.  Dit betekent dat een kwaadwillende een systeem kan compromitteren zonder enige interactie van de gebruiker.

1. Misbruik van Avast Anti-Rootkit driver

Kwaadwillenden maken misbruik van een kwetsbaarheid in een oude anti-rootkit driver van Avast om beveiligingsmaatregelen te omzeilen. Kwaadwillenden gebruiken voor het uitvoeren van deze campagne een variant van AV Killer, dat wordt geleverd met een hardgecodeerde lijst van 142 namen voor beveiligingsprocessen van diverse leveranciers. Omdat de driver op kernelniveau kan werken, biedt het toegang tot kritieke onderdelen van het besturingssysteem en stelt het de malware in staat om processen te beëindigen. Kwaadwillenden kunnen door het uitbuiten van deze kwetsbaarheid  beveiligingssoftware uit te schakelen.

2. BianLian ransomware richt zich nu op gegevensdiefstal

De ransomwaregroep BianLian richt zich momenteel op gegevensdiefstal in plaats van versleuteling van bestanden. Waar deze groepering eerder een double extorsion-model toepaste, waarbij ze de systemen van slachtoffers versleutelden nadat ze de data hadden geëxfiltreerd, wordt nu uitsluitend afpersing op basis van exfiltratie toegepast. Een ander aandachtspunt uit het advies van de CISA (het Amerikaanse Cybersecurity & Infrastructure Security Agency) is dat BianLian haar oorsprong probeert te verhullen door namen in vreemde talen te gebruiken. Het advies rondom BianLian bevat verder nieuwe informatie betreffende technieken, tactieken en procedures.

3. Fortinet VPN kwetsbaarheid verbergt succesvolle brute-force aanvallen

Een ontwerpfout in het loggingmechanisme van de Fortinet VPN-server kan worden gebruikt om de succesvolle verificatie van inloggegevens te verbergen tijdens een brute-force-aanval zonder organisaties te waarschuwen voor gecompromitteerde inloggegevens. Hoewel de brute-force-aanval nog steeds zichtbaar is, maakt een nieuwe techniek het mogelijk om alleen mislukte pogingen te loggen en geen succesvolle, wat een vals gevoel van veiligheid creëert.

4. Aanval op PyPI: kwaadaardige pakketten richten zich op AI-tools zoals ChatGPT en Claude

Onderzoekers hebben twee kwaadaardige pakketten ontdekt die zijn geüpload naar de Python Package Index (PyPI)-repository. Deze pakketten imiteerden populaire modellen voor kunstmatige intelligentie (AI) zoals OpenAI ChatGPT en Anthropic Claude om een ​​infostealer genaamd JarkaStealer te leveren. De pakketten, genaamd gptplus en claudeai-eng, werden in november 2023 geüpload door een gebruiker met de naam “Xeroline”. Beide pakketten zijn inmiddels niet meer te downloaden van PyPI. De pakketten zouden een manier bieden om toegang te krijgen tot GPT-4 Turbo API en Claude AI API, maar bevatten kwaadaardige code die de implementatie van de malware bij installatie initieerde.

5. Meer dan 145.000 Industriële Controle Systemen (ICS) kwetsbaar

Uit onderzoek blijkt dat meer dan 145.000 industriële controlesystemen wereldwijd kwetsbaar blijken te zijn voor cyberaanvallen. Deze systemen zijn cruciaal voor de werking van kritieke infrastructuur, zoals energie, waterbeheer en productieprocessen. Uit het onderzoek blijkt dat 38% van de apparaten zich in Noord-Amerika bevindt, 35,4% in Europa, 22,9% in Azië, 1,7% in Oceanië, 1,2% in Zuid-Amerika en 0,5% in Afrika. De statistieken zijn afgeleid van de blootstelling van verschillende veelgebruikte ICS-protocollen zoals Modbus, IEC 60870-5-104, CODESYS en OPC UA. De aanvalsoppervlakken zijn per regio uniek: Modbus, S7 en IEC 60870-5-104 worden vaker waargenomen in Europa, terwijl Fox, BACnet, ATG en C-more vaker voorkomen in Noord-Amerika. Enkele ICS-services die in beide regio’s worden gebruikt, zijn EIP, FINS en WDBRPC.

6. MITRE’s top 25 meest gevaarlijke softwarekwetsbaarheden van 2024

MITRE heeft zijn lijst van de 25 meest voorkomende en gevaarlijke softwarekwetsbaarheden voor 2024 gepresenteerd. De lijst is samengesteld op basis van de analyse van ruim 31.000 kwetsbaarheden die tussen juni 2023 en juni 2024 bekend zijn gemaakt. Deze kwetsbaarheden zijn beoordeeld op basis van ernst en frequentie, met een focus op kwetsbaarheden die zijn toegevoegd aan de Known Exploited Vulnerabilities (KEV) catalogus van de CISA. De meest gevaarlijke kwetsbaarheden bevatten onder andere cross-site scripting, SQL-injecties en path traversals.

1. Kritieke kwetsbaarheid in PAN-OS firewall

Onderzoekers hebben een ernstige kwetsbaarheid ontdekt in PAN-OS, het besturingssysteem van Palo Alto Networks firewalls. Deze kwetsbaarheid, CVE-2024-0012, met een CVSS-score van 9,3, stelt kwaadwillenden in staat om op afstand code uit te voeren en volledige controle over getroffen systemen te krijgen. Indien de toegang tot de beheerinterface wordt beperkt tot een beperkte groep IP-adressen, waardoor een kwaadwillende eerst toegang tot deze IP-adressen dient te krijgen, daalt de CVSS-score naar 7,5. De kwetsbaarheid heeft geen invloed op Prisma Access en Cloud NGFW-producten.Patches voor de kwetsbaarheid moeten nog worden uitgebracht, waardoor het gebruikers wordt geadviseerd om zo snel mogelijk stappen te ondernemen om toegang tot de beheerinterface te beveiligen.Momenteel worden er naast bovenstaande kwetsbaarheid nog drie verschillende kritieke kwetsbaarheden in Palo Alto Networks Expedition (CVE-2024-5910 met een CVSS-score van 9,3, CVE-2024-9463 met een CVSS-score van 9,9 en CVE-2024-9465 met een CVSS-score van 9,3) actief uitgebuit.

2. DEEPDATA malware exploiteert Fortinet kwetsbaarheid

Een nieuwe malwarecampagne genaamd DEEPDATA maakt gebruik van een onopgeloste kwetsbaarheid in Fortinet’s FortiClient voor Windows om een breed scala aan informatie over doelapparaten te extraheren, waaronder VPN-referenties.De kerncomponent van DEEPDATA is een dynamische-linkbibliotheek (DLL)-lader genaamd “data.dll” die is ontworpen om 12 verschillende plug-ins te decoderen en te starten met behulp van een orchestratormodule (“frame.dll”). Onder de plug-ins bevindt zich een eerder niet-gedocumenteerde “FortiClient”-DLL die VPN-referenties kan vastleggen. Deze plugin bleek een zero-day kwetsbaarheid in de Fortinet VPN-client op Windows te exploiteren, waardoor de inloggegevens van de gebruiker uit het geheugen van het proces van de client kunnen worden gehaald, aldus de onderzoekers.

3. Privilege Escalation kwetsbaarheid in Google’s Vertex machine learning platform

Onderzoekers hebben gewaarschuwd voor twee kritieke kwetsbaarheden in Google’s Vertex machine learning platform die kunnen leiden tot een privilege escalation kwetsbaarheid. Deze kwetsbaarheid stelt kwaadwillenden in staat om privileges te verhogen en modellen uit de cloud te exfiltreren. Het  onderzoek benadrukt hoe een enkele kwaadaardige modelimplementatie een hele AI-omgeving in gevaar kan brengen. Een kwaadwillende kan zelfs één niet-geverifieerd model dat op een productiesysteem is geïmplementeerd, gebruiken om gevoelige gegevens te exfiltreren.

4. Kritieke kwetsbaarheid in PostgreSQL

Een nieuwe kwetsbaarheid in PostgreSQL, aangeduid als CVE-2024-10979, met een CVSS-score van 8,8, stelt kwaadwillenden in staat om omgevingsvariabelen te wijzigen. Dit kan mogelijk leiden tot code-uitvoering of openbaarmaking van informatie. Omgevingsvariabelen zijn door de gebruiker gedefinieerde waarden waarmee een programma dynamisch verschillende soorten informatie kan ophalen, zoals toegangssleutels en software-installatiepaden, tijdens runtime zonder ze hard te hoeven coderen. In bepaalde besturingssystemen worden ze geïnitialiseerd tijdens de opstartfase.De kwetsbaarheid zit in de extension PL/Perl. Deze extension wordt standaard als trusted gezien, waardoor elke gebruiker deze extension kan activeren. Gebruikers zijn alleen kwetsbaar als deze extension geïnstalleerd is. Onjuiste controle van omgevingsvariabelen in PostgreSQL PL/Perl stelt een niet-geprivilegieerde databasegebruiker in staat gevoelige procesomgevingsvariabelen (bijv. PATH) te wijzigen.

5. Valse AI Video generators infecteren Windows en macOS met infostealers

Kwaadwillenden gebruiken valse AI video generatoren om infostealer malware te verspreiden naar zowel Windows- als macOS-systemen. Deze malware steelt gevoelige informatie zoals inloggegevens, persoonlijke gegevens en gegevens met betrekking tot crypto-wallets. De valse AI video software wordt verspreid via namaak-websites die zich voordoen als een AI video- en beeldbewerker genaamd EditPro. De sites worden gepromoot via zoekresultaten en advertenties op X.

6. Nieuwe Glove Infostealer malware omzeilt Google Chrome’s cookie encryptie

Een nieuwe infostealer malware genaamd Glove kan de Application-Bound (App-Bound) encryptie van Google Chrome omzeilen om browsercookies te stelen. Tijdens de aanvallen gebruiken de kwaadwillenden social engineering-tactieken die vergelijkbaar zijn met die in de ClickFix-infectieketen, waarbij potentiële slachtoffers worden misleid om malware te installeren met behulp van nep-foutvensters die worden weergegeven in HTML-bestanden. Deze bestanden zijn bijgevoegd bij de phishing-e-mails die worden verstuurd.

1. Cybercriminelen misbruiken Excel kwetsbaarheid voor aanvallen

Een nieuwe exploit gericht op Microsoft Excel stelt aanvallers in staat om op afstand code uit te voeren en toegang te krijgen tot kwetsbare systemen. Deze aanval maakt gebruik van een zwakte in de verwerking van embedded objecten binnen Excel-bestanden, die normaal gesproken als vertrouwd worden beschouwd. Deze exploit kan worden gebruikt om malware (Remcos RAT) te verspreiden via kwaadaardige bijlagen in phishingmails.

2. AndroxGh0st malware integreert Mozi-botnetcapaciteiten

De kwaadwillenden achter de AndroxGh0st malware hebben recentelijk integratie met het Mozi-botnet aangekondigd. Het Mozi-botnet staat bekend om zijn aanvallen op IoT-apparaten. Door deze integratie kan AndroxGh0st niet alleen traditionele computers infecteren, maar ook slecht beveiligde IoT-apparaten zoals routers en slimme apparaten. Kwaadwillenden kunnen deze apparaten overnemen en toevoegen aan een groter botnet, waarmee ze vervolgens DDoS-aanvallen kunnen uitvoeren of verdere malware kunnen verspreiden naar andere systemen binnen hetzelfde netwerk.

3. Palo Alto Networks waarschuwt voor PAN-OS RCE kwetsbaarheid

Palo Alto Networks heeft gewaarschuwd voor een potentiële remote code execution (RCE) kwetsbaarheid in hun PAN-OS. Deze kwetsbaarheid kan door aanvallers worden misbruikt om op afstand code uit te voeren en volledige controle over getroffen systemen te krijgen. Palo Alto heeft een update uitgebracht om de kwetsbaarheid te verhelpen.

4. Kritieke Veeam RCE bug gebruikt in Frag ransomware aanvallen

Een kritieke kwetsbaarheid in Veeam software wordt nu actief gebruikt in Frag ransomware aanvallen. Deze kwetsbaarheid stelt aanvallers in staat om op afstand code uit te voeren en systemen te compromitteren. Organisaties die Veeam software gebruiken, worden dringend geadviseerd om de nieuwste patches te installeren.

5. Kwaadaardig PyPI Pakket steelt AWS sleutels

Een kwaadaardig Python pakket, genaamd ‘fabrice’, is ontdekt in de Python Package Index (PyPI). Dit pakket is sinds 2021 door meer dan 37.000 gebruikers gedownload. Het PyPI-pakket werd doelbewust zodanig gemanipuleerd dat het bij installatie automatisch gevoelige informatie stal, waaronder API-sleutels en andere inloggegevens voor cloudomgevingen.

6. Nieuwe CRON#TRAP Malware Infecteert Windows systemen

Een nieuwe vorm van malware, CRON#TRAP, is ontdekt die zich richt op Windows-systemen. Deze malware maakt gebruik van geplande taken (Scheduled Tasks) om zichzelf te verbergen en te overleven op geïnfecteerde systemen. Wat CRON#TRAP bijzonder maakt, is de manier waarop het gebruikmaakt van legitieme Windows-functionaliteiten om onder de radar van traditionele antivirusprogramma’s te blijven. De malware voert kwaadaardige taken uit zoals het stelen van gegevens en het openen van achterdeurtjes voor verdere infecties. Deze malware stelt aanvallers in staat om op afstand toegang te krijgen tot geïnfecteerde systemen en gevoelige gegevens te stelen.7.Nieuwe beveiligingsupdates voor Aruba access pointsHewlett Packard Enterprise (HPE) heeft beveiligingsupdates uitgebracht voor meerdere kwetsbaarheden in de Aruba Networking Access Point-producten, waaronder voor twee kritieke kwetsbaarheden (CVE-2024-42509 met CVSS-score: 9,8 en CVE-2024-47460 met CVSS-score: 9,0) die kunnen leiden tot niet-geverifieerde uitvoering van opdrachten.De kwetsbaarheden hebben betrekking op Access Points met Instant AOS-8 en AOS-10 –

• AOS-10.4.x.x: 10.4.1.4 en lager
• Instant AOS-8.12.x.x: 8.12.0.2 en lager
• Instant AOS-8.10.x.x: 8.10.0.13 en lager

‍

1. Synology zero-day kwetsbaarheden

Synology heeft twee kritieke zero-day kwetsbaarheden gepatcht die werden misbruikt tijdens de Pwn2Own 2024 hackwedstrijd. Deze kwetsbaarheden (geregistreerd als CVE-2024-10443) werden binnen enkele dagen na de ontdekking opgelost en waren gerelateerd aan de beveiliging van hun netwerkopslagapparaten (NAS). Synology zegt dat het de kwetsbaarheden heeft opgelost in de volgende softwareversies; ze worden echter niet automatisch toegepast op kwetsbare systemen en klanten wordt geadviseerd om zo snel mogelijk te updaten om mogelijke inkomende aanvallen te blokkeren.

2. QNAP zero-day kwetsbaarheden

QNAP, een andere speler in de NAS-markt, heeft recent een tweede zero-day kwetsbaarheid (CVE-2024-50387) gepatcht die tijdens dezelfde Pwn2Own-competitie werd misbruikt. Deze kwetsbaarheid betreft een SQL-injectie in hun SMB-dienst, waarmee een aanvaller volledige controle kan krijgen over een NAS-apparaat. QNAP heeft patches beschikbaar gesteld. De kwetsbaarheden zijn opgelost in versies 4.15.002 of hoger en h4.15.002 en hoger.

3. Aanvallen op PTZ-camera’s

Cybercriminelenmisbruiken twee zero-day kwetsbaarheden in PTZOptics-camera’s CVE-2024-8956 en CVE-2024-8957. Deze camera’s worden gebruikt in live streaming voor industriële, medische en overheidsdoeleinden. Deze kwetsbaarheden kunnen worden gebruikt om beelden te manipuleren of gevoelige informatie te stelen​.

4. Groot datalek van Git-configuratiebestanden

Een recent incident onthulde meer dan 15.000 Git-configuratiebestanden die per ongeluk op internet waren blootgesteld. Deze bestanden bevatten gevoelige informatie, zoals toegangstokens en inloggegevens, waardoor duizenden projecten kwetsbaar werden voor aanvallen.

1. TeamTNT is terug met een nieuwe Golgotha-aanval

De beruchte hackersgroepering TeamTNT heeft recent een nieuwe aanvalscampagne gelanceerd, genaamd “Golgotha”. Deze groepering staat al langer bekend om hun aanvallen op cloud-omgevingen. Deze nieuwe aanvalscampagne is erop gericht om zowel cloud- als containeromgevingen te infecteren en resources te kapen voor cryptomining.TeamTNT maakt gebruik van een combinatie van misconfiguraties en exploits, waaronder nieuwe technieken om credentials te stelen van AWS-omgevingen en het doorbreken van Docker-containers. Daarnaast worden tools ingezet zoals Tmate, wat hen in staat stelt om op afstand toegang te behouden tot gecompromitteerde systemen, zelfs na herstarten of herconfiguraties.

2. Nieuwe kernel rootkit dreiging door Windows driver signature bypass

Kwaadwillenden maken gebruik van een nieuwe aanvalsmethode waarbij zij in staat zijn om kernel rootkits te installeren door een Windows Driver Signature Bypass te misbruiken. Dit biedt hen de mogelijkheid om kwaadaardige drivers te laden die normaal gesproken zouden worden geweerd door het systeem. Hierdoor kunnen ze toegang krijgen tot het hart van het besturingssysteem, zonder dat het systeem alarm slaat. Dit is een kritieke kwetsbaarheid omdat rootkits op kernel-niveau diep in het systeem kunnen doordringen, en vrijwel onzichtbaar blijven voor traditionele antivirus- en beveiligingsprogramma’s. Het geeft aanvallers volledige controle over een systeem.

3. Fortinet: Kritieke kwetsbaarheid in FortiManager

Fortinet heeft recent gewaarschuwd voor een kritieke kwetsbaarheid in hun FortiManager-oplossing, die actief wordt misbruikt door kwaadwillenden. Deze kwetsbaarheid (CVE-2024-47575, CVSS score: 9.8) staat ook bekend als FortiJump en bevindt zich in het FortiGate to FortiManager (FGFM)-protocol. Deze kritieke kwetsbaarheid kan een niet-geauthenticeerde aanvaller op afstand in staat stellen willekeurige code of opdrachten uit te voeren via speciaal vervaardigde verzoeken.Fortinet heeft een patch vrijgegeven en dringt er bij gebruikers op aan om deze zo snel mogelijk toe te passen. Aangezien de exploit al actief in het wild wordt misbruikt, is het van groot belang om de firmware van alle FortiGate-apparaten bij te werken en monitoring van netwerkverkeer op te voeren.

4. Black Basta ransomware gebruikt Microsoft Teams voor social engineering

De Black Basta ransomware-groep heeft een slimme nieuwe techniek ontwikkeld om bedrijven te infiltreren. Eerst wordt de mailbox van een medewerker overspoeld door honderden (in de basis niet malafide) emails om de medewerker in verwarring te brengen. Vervolgens wordt de medewerker gebeld door iemand die zich voordoet als IT-support op Microsoft Teams. In de verwarring weten ze werknemers te misleiden en hen gevoelige gegevens afhandig te maken of toegang te krijgen tot kritieke systemen.

5. CISA waarschuwing: Actieve exploitatie van Sharepoint kwetsbaarheid

De Cybersecurity and Infrastructure Security Agency (CISA) heeft een waarschuwing afgegeven over de actieve exploitatie van een kwetsbaarheid CVE-2024-38094 (CVSS score: 7.2) in Sharepoint. Deze kwetsbaarheid maakt het mogelijk voor een geverifieerde aanvaller met site-eigenaarrechten om de kwetsbaarheid te gebruiken om willekeurige code te injecteren en deze code uit te voeren in de context van SharePoint Server. Het risico op uitbuiting wordt vergroot doordat er proof-of-concept (PoC) exploits in omloop zijn. Er is een patch beschikbaar, het advies is om deze zo snel mogelijk te installeren.

6. Nederlandse politie treft kwaadwillenden met Operation Magnus

Op 28 oktober 2024 verstoorde de Nederlandse Nationale Politie, in nauwe samenwerking met de FBI en andere partners van de internationale wetshandhavingstaakgroep de werking van de Redline- en Meta-infostealers. Redline is een betaalbare maar krachtige Windows-malware die informatie steelt en sinds 2020 aan cybercriminelen wordt verkocht. Dit leidt op grote schaal tot diefstal van wachtwoorden, authenticatiecookies, cryptowallets en andere gevoelige gegevens. Meta (niet te verwarren met MetaStealer) is een nieuwer Windows infostealer-malwareproject dat in 2022 werd aangekondigd en op de markt wordt gebracht als een verbeterde versie van Redline.De autoriteiten beweren dat ze toegang hebben gekregen tot de broncode, inclusief licentieservers, REST-API-services, panels, stealer-binaire bestanden en Telegram-bots, voor beide malware. Zowel Meta als Redline maakten gebruik van dezelfde infrastructuur, dus het is waarschijnlijk dat dezelfde makers/operators achter beide projecten zitten.

1. Kwetsbaarheden in E2EE cloud storage platformen

End-to-End Encrypted (E2EE) cloudopslagplatformen, die zijn ontworpen met als doel om gebruikersgegevens te beveiligen, zijn onder vuur komen te liggen door recente kwetsbaarheden. Onderzoek van ETH Zürich heeft ernstige kwetsbaarheden ontdekt in vijf populaire cloudopslagdiensten, waaronder pCloud, Icedrive, Seafile en Tresorit, die samen door miljoenen mensen worden gebruikt.Deze kwetsbaarheden stellen kwaadwillenden in staat om gegevens te manipuleren en zelfs encryptiesleutels te vervangen. Specifieke aanvallen variëren van het herschikken of verwijderen van bestanden zonder dat de gebruiker het merkt tot het injecteren van schadelijke bestanden in de opslag van gebruikers. Voorbeelden zoals “unauthenticated chunking” in pCloud en Seafile laten zien dat een aanvaller complete bestanden kan verwijderen of opnieuw ordenen zonder waarschuwing voor de gebruiker.

2. Spectre-Bypass op Intel en AMD CPUs onder Linux

Er is een nieuw ontdekte kwetsbaarheid in zowel Intel- als AMD-processors voor Linux. Deze kwetsbaarheid, een variant van de beruchte Spectre-aanvallen, maakt het mogelijk om beveiligingscontroles te omzeilen en gevoelige informatie te stelen via kwaadaardige applicaties. De aanval maakt gebruik van speculatieve uitvoering, een techniek die wordt gebruikt om de prestaties van processors te verbeteren. Hoewel er mitigaties beschikbaar zijn, blijven systemen kwetsbaar als deze niet correct worden toegepast.​

3. Microsoft’s verlies van beveiligingslogs

Microsoft meldde recentelijk dat sommige beveiligingslogs van klanten van de maand september verloren zijn gegaan. De verloren logs bevatten beveiligingsgegevens die gewoonlijk worden gebruikt om verdacht verkeer, gedrag en inlogpogingen op een netwerk te controleren, waardoor de kans groter wordt dat aanvallen onopgemerkt blijven. Volgens de beoordeling van Microsoft zijn de volgende services beïnvloed, elk met verschillende mate van verstoring van de logging:

• Microsoft Entra: mogelijk onvolledige aanmeldingslogboeken en activiteitenlogboeken.
• Azure Logic Apps: ondervond af en toe hiaten in telemetriegegevens in Log Analytics, Resource Logs en diagnostische instellingen van Logic Apps.
• Azure Healthcare API’s: gedeeltelijk onvolledige diagnostische logboeken.
• Microsoft Sentinel: mogelijke hiaten in beveiligingsgerelateerde logboeken of gebeurtenissen.
• Azure Monitor: hiaten of verminderde resultaten waargenomen bij het uitvoeren van query’s op basis van logboekgegevens van beïnvloede services.
• Azure Trusted Signing: Ervaarde gedeeltelijk onvolledige SignTransaction- en SignHistory-logs.
• Azure Virtual Desktop: Gedeeltelijk onvolledig in Application Insights. De belangrijkste connectiviteit en functionaliteit van AVD werd niet beïnvloed.
• Power Platform: Kleine discrepanties die van invloed zijn op gegevens in verschillende rapporten.

4. Google Meet malware-aanval

Een nieuwe phishing-campagne, genaamd ClickFix, maakt gebruik van valse Google Meet-pagina’s om malware te verspreiden. Cybercriminelen simuleren foutmeldingen in Google Meet-vergaderingen en verleiden gebruikers om schadelijke software te downloaden, vaak in de vorm van infostealing malware. Deze aanvallen spelen in op de groeiende afhankelijkheid van videoconferencing tools. Het is belangrijk voor bedrijven om werknemers bewust te maken van dit soort dreigingen en om technologieën zoals sandboxing te gebruiken om dergelijke aanvallen te detecteren en blokkeren​.

5. Nieuwe macOS-kwetsbaarheid ‘HM Surf’ ontdekt

Een nieuwe macOS-kwetsbaarheid, genaamd HM Surf, maakt het mogelijk voor aanvallers om toegang te krijgen tot gevoelige gegevens zonder toestemming. Dit gebeurt door het manipuleren van bepaalde systeemfunctionaliteiten die normaal gesproken beperkt zijn tot vertrouwde processen. De kwaadwillenden omzeilen de Transparency, Consent, and Control (TCC) technologie van het besturingssysteem om zo ongeautoriseerde toegang te krijgen tot de gegevens van gebruikers. Hoewel Apple een patch heeft uitgebracht, gebruikers worden aangemoedigd om deze updates zo snel mogelijk toe te passen.

6. Inbreuk op Internet Archive door gestolen toegangstokens

Internet Archive is opnieuw gehackt, dit keer via hun Zendesk e-mailondersteuningsplatform. De aanvallers wisten toegang te krijgen door gestolen toegangstokens te gebruiken, een tactiek die steeds vaker voorkomt. Dergelijke tokens stellen aanvallers in staat om zich voor te doen als geautoriseerde gebruikers, wat hen toegang geeft tot gevoelige informatie zonder dat er wachtwoorden nodig zijn.

7. Zero-Day kwetsbaarheden in 2023: exploitatie van nog niet bekende zwakheden

Volgens Google’s Security Team was 70% van de kwetsbaarheden die in 2023 werden uitgebuit zero-days. Dit betekent dat de kwetsbaarheden werden misbruikt voordat er een patch of beveiligingsupdate beschikbaar was. Het actief monitoren van nieuwe kwetsbaarheden en het snel reageren met mitigaties is daarom essentieel voor bedrijven.​

8. Misbruik van Internet Explorer Zero-Day voor malwareverspreiding

Cybercriminelen hebben gebruik gemaakt van een zero-day kwetsbaarheid (CVE-2024-38178) in Internet Explorer om malware te verspreiden via kwaadaardige advertenties. Deze aanval, bekend als “Code on Toast”, infecteerde systemen zonder enige interactie van de gebruiker. De advertenties waren zo ontworpen dat ze malware installeerden zodra een gebruiker de pagina bezocht. Hoewel Internet Explorer niet meer breed wordt gebruikt, blijft het een aantrekkelijk doelwit voor aanvallers door legacy-systemen die nog steeds afhankelijk zijn van deze verouderde browser. ​

9. Spring Framework Vulnerability: CVE-2024-38819

Een nieuw ontdekte path traversal kwetsbaarheid in het Spring Framework, aangeduid als CVE-2024-38819, stelt aanvallers in staat om toegang te krijgen tot gevoelige bestanden via kwaadaardige HTTP-verzoeken. Path traversal-aanvallen stellen aanvallers in staat om ongeautoriseerde toegang te krijgen tot bestanden buiten de beoogde directory. Deze kwetsbaarheid treft applicaties die statische bronnen serveren via de WebMvc.fn of WebFlux.fn functionele webframeworks.De kwetsbaarheid kan ernstige gevolgen hebben voor webapplicaties die op Spring draaien, aangezien gevoelige informatie zoals configuratiebestanden kunnen worden blootgesteld aan onbevoegden. Ontwikkelaars en beheerders worden geadviseerd om hun systemen bij te werken naar de nieuwste versies en mitigaties toe te passen om misbruik van deze kwetsbaarheid te voorkomen​.

1. Microsoft beëindigt ondersteuning voor PPTP- en L2TP-VPN-protocollen

Microsoft heeft aangekondigd dat de ondersteuning voor de verouderde PPTP (Point-to-Point Tunneling Protocol)- en L2TP (Layer 2 Tunneling Protocol) VPN-protocollen in Windows Server wordt stopgezet.  Deze verouderde protocollen worden beschouwd als onveilig volgens moderne standaarden en zijn daarom kwetsbaar voor aanvallen.De veroudering van deze protocollen betekent dat IT-teams die hier nog gebruik van maken, actie moeten ondernemen om hun VPN-infrastructuur te updaten naar meer veilige opties, zoals IKEv2 of SSTP.

2. Ransomwaregroepen Akira en Fog richten zich op Veeam-kwetsbaarheden

Ransomware blijft een belangrijk probleem voor organisaties wereldwijd. De ransomwaregroepen Akira en Fog maken nu actief misbruik van een kritieke kwetsbaarheid in de Veeam Backup & Replication-software. Deze kwetsbaarheid (CVE-2024-40711) maakt het mogelijk om op afstand code uit te voeren (Remote Code Execution, RCE), wat kan leiden tot volledige systeemcompromittering als deze niet gepatcht is.

3. ChatGPT misbruikt door cybercriminelen voor het schrijven van malware

Het gebruik van AI in cybersecurity heeft helaas ook een keerzijde. OpenAI bevestigde onlangs dat kwaadwillenden ChatGPT hebben misbruikt om kwaadaardige software te genereren. Cybercriminelen hebben manieren gevonden om het model te gebruiken voor het schrijven van complexe malware, waaronder phishing-aanvallen en ransomware.Dit benadrukt de noodzaak voor cybersecurityprofessionals om waakzaam te blijven over het gebruik van AI-tools, aangezien deze zowel door beveiligingsspecialisten als door aanvallers kunnen worden gebruikt.

4. Kritieke kwetsbaarheid in GitLab ontdekt

GitLab, heeft een kritieke kwetsbaarheid bevestigd waarmee aanvallers willekeurige pijplijnen kunnen uitvoeren op kwetsbare GitLab-instanties. Deze kwetsbaarheid (CVE-2024-9164) maakt het mogelijk voor aanvallers om ongeautoriseerde pijplijnen op specifieke branches te starten. Dit kan leiden tot ernstige veiligheidsrisico’s zoals het compromitteren van de softwareleveringsketen of tot potentieel schadelijke wijzigingen in de codebase.

5. CISA waarschuwt voor kritieke Fortinet RCE-kwetsbaarheid

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft een waarschuwing afgegeven dat een kritieke kwetsbaarheid in Fortinet-producten (CVE-2024-23113) nu actief wordt misbruikt door aanvallers. Deze kwetsbaarheid maakt het mogelijk voor kwaadwillenden om op afstand code uit te voeren op kwetsbare apparaten, wat kan leiden tot volledige netwerkcompromittering.

6. Internet Archive gehackt: datalek treft 31 miljoen gebruikers

Tot slot werd het populaire Internet Archive slachtoffer van een grootschalige hack, waarbij de gegevens van 31 miljoen gebruikers zijn gecompromitteerd. De gestolen gegevens omvatten e-mailadressen, IP-adressen en gehashte wachtwoorden. Hoewel de wachtwoorden gehasht waren, kunnen gebruikers met zwakke wachtwoorden nog steeds risico lopen.Gebruikers van het Internet Archive wordt aangeraden om hun wachtwoorden onmiddellijk te wijzigen, vooral als deze wachtwoorden ook voor andere accounts zijn gebruikt.

1. CUPS-kwetsbaarheid: Versterking van DDoS-aanvallen

Een recentelijk gepatchte kwetsbaarheid, CVE-2024-47176, in het Common Unix Printing System (CUPS) kon niet alleen voor remote code execution (RCE) worden gebruikt, maar ook om DDoS-aanvallen te versterken. CUPS is een veelgebruikt printbeheersysteem dat standaard aanwezig is op veel Linux- en macOS-systemen. De kwetsbaarheid zit in het ‘cups-browsed’ component, waarmee netwerk-printers automatisch ontdekt kunnen worden. Als deze functionaliteit niet nodig is, raden we aan dit component uit te schakelen.Bij een DDoS-aanval proberen kwaadwillenden een systeem te overladen met verkeer, waardoor het ontoegankelijk wordt. Deze CUPS-kwetsbaarheid stelt aanvallers in staat om kleine hoeveelheden data te vermenigvuldigen en uit te sturen, waardoor de omvang van de aanval enorm kan toenemen. Dit maakt systemen met een onbeschermde CUPS-installatie aantrekkelijk als versterkers voor grootschalige aanvallen.

2. CosmicSting-aanvallen: Meer dan 4.000 Adobe Commerce- en Magento-webshops getroffen

Ongeveer 5% van alle Adobe Commerce en Magento online winkels, wat neerkomt op 4.275 winkels, zijn gehackt in de “CosmicSting” aanvallen. Cybercriminelen hebben een exploit ontwikkeld waarmee ze toegang krijgen tot de achterliggende systemen van deze webshops, waardoor ze kwaadaardige scripts kunnen injecteren. Het gaat om kwetsbaarheden CVE-2024-34102 en CVE-2024-2961.CVE-2024-34102 is een XXE (XML External Entity) vulnerability. Hiermee is het mogelijk om lokale bestanden te lezen om daarmee bijv. wachtwoorden en sleutels te bemachtigen. CVE-2024-2961 betreft een buffer overflow kwetsbaarheid in de iconv library in GLIBC. De functie iconv() in de GNU C-bibliotheekversies 2.39 en ouder kan de aan de functie doorgegeven uitvoerbuffer met maximaal 4 bytes laten overlopen bij het converteren van strings naar de tekenset ISO-2022-CN-EXT. Dit kan ertoe leiden dat een toepassing crasht of een aangrenzende variabele wordt overschreven. De aanvallen stelen gevoelige klantgegevens zoals creditcardinformatie. Deze campagnes richten zich specifiek op de backend van e-commerceplatformen, waarbij de aanval kwetsbaarheden in verouderde of slecht onderhouden webshops misbruikt.

3. Apple brengt updates uit voor iOS en iPadOS tegen zero-day kwetsbaarheden

Apple heeft onlangs een beveiligingsupdate uitgebracht voor iOS en iPadOS om twee beveiligingsproblemen aan te pakken. De eerste kwetsbaarheid, geregistreerd als CVE-2024-44204, kon zorgen dat de wachtwoorden van een gebruiker hardop werden voorgelezen door de ondersteunende VoiceOver-technologie. Ook heeft Apple een beveiligingslek (CVE-2024-44207) gepatcht dat specifiek is voor de onlangs gelanceerde iPhone 16-modellen, waardoor audio kan worden vastgelegd voordat de microfoon-indicator aan is.

4. Perfctl Malware: Een jarenlange cryptominingcampagne

De Linux-malware “perfctl” heeft minstens drie jaar lang Linux-servers en werkstations aangevallen, waarbij het grotendeels onopgemerkt is gebleven door onder andere het gebruik van rootkits. Deze nieuwe perfctl-malware richt zich op Linux-systemen en maakt gebruik van geavanceerde technieken om detectie te vermijden. Het is een fileless malware die moeilijk te verwijderen is en zich richt op cryptomining. Perfctl heeft miljoenen Linux-servers wereldwijd geïnfecteerd en maakt gebruik van een arsenaal van minstens 20.000 verschillende exploits voor diverse servermisconfiguraties.

5. Apache Avro SDK kwetsbaarheid

Een kritieke kwetsbaarheid in de Apache Avro SDK kan worden misbruikt voor remote code execution (RCE). Deze kwetsbaarheid, geïdentificeerd als CVE-2024-47561, stelt aanvallers in staat om willekeurige code uit te voeren op systemen die de SDK gebruiken. Apache Avro is een open-sourceproject dat een taalneutraal data serialisatie-framework biedt voor grootschalige dataverwerking. De kwetsbaarheid treft elke toepassing waarbij gebruikers hun eigen Avro-schema’s voor parsing mogen opgeven.

1. NVIDIA Container Toolkit kwetsbaarheid: volledige overname mogelijk

Een ernstige kwetsbaarheid (CVE-2024-0132, CVSS-score 9.0) is ontdekt in de NVIDIA Container Toolkit. Deze kwetsbaarheid stelt aanvallers in staat om volledige controle over het host-systeem te krijgen. Deze toolkit wordt vaak gebruikt voor GPU-gebaseerde containeromgevingen, waardoor de impact van een exploit groot kan zijn, vooral in cloud- en datacenteromgevingen waar containers een integraal onderdeel van de infrastructuur vormen. Als deze kwetsbaarheid wordt uitgebuit, kunnen aanvallers de controle over de container verkrijgen en toegang krijgen tot de onderliggende host, wat leidt tot potentiële diefstal van gegevens of zelfs een volledige overname van systemen​. De specifieke bibliotheek is vooraf geïnstalleerd in veel AI-gerichte platforms en virtuele machine-images en is de standaardtool voor GPU-toegang wanneer NVIDIA-hardware betrokken is. De kwetsbaarheid is opgelost in NVIDIA Container Toolkit versie v1.16.2 en NVIDIA GPU Operator versie 24.6.2.

2. RomCom malware variant ‘Snipbot’

Een nieuwe variant van de RomCom-malware, Snipbot, is ontdekt in datadiefstalcampagnes. Deze nieuwe versie toont voor het eerst post-infectieactiviteit van de kwaadwillende op en slachtoffersysteem. De malware richt zich specifiek op het exfiltreren van gevoelige gegevens en gebruikt geavanceerde technieken om te voorkomen dat het wordt gedetecteerd. De aanvallen met Snipbot zijn gericht op verschillende industrieën en worden gekenmerkt door gerichte phishingcampagnes die toegang bieden tot netwerken en gevoelige informatie stelen.

3. HPE Aruba Networks: kritieke RCE-kwetsbaarheden

Hewlett Packard Enterprise (HPE) Aruba heeft drie kritieke kwetsbaarheden gepatcht die invloed hebben op hun draadloze toegangspunten. Deze kwetsbaarheden (CVE-2024-42505, CVE-2024-42506, en CVE-2024-42507), kunnen leiden tot Remote Code Execution (RCE) door speciaal vervaardigde pakketten naar de PAPI (Aruba’s Access Point Management Protocol) UDP-poort (8211) te sturen.

4. Embargo Ransomware: nieuwe focus op cloud-omgevingen

De Embargo-ransomware heeft haar aanvallen uitgebreid naar hybride cloudomgevingen. Door zich te richten op cloudopslag en -services, proberen kwaadwillenden kritieke data te versleutelen en bedrijven te dwingen losgeld te betalen. De kwaadwillenden maken gebruik van zwakke wachtwoorden en accounts met verhoogde rechten om toegang te krijgen tot het netwerk.

1. macOS ‘Sequoia’-update verstoort VPN- en antivirussoftware

Apple’s nieuwste macOS-update, Sequoia, heeft onverwacht problemen veroorzaakt met verschillende VPN- en antivirussoftware. Het netwerkgedrag van het besturingssysteem is veranderd, wat leidde tot incompatibiliteitsproblemen. Verschillende aanbieders van VPN- en beveiligingsoplossingen hebben gemeld dat hun software niet meer goed werkt, wat ernstige gevolgen kan hebben voor gebruikers die afhankelijk zijn van beveiligde netwerkverbindingen en malwarebescherming.

2. Apache HugeGraph Server kwetsbaarheid actief misbruikt

De CISA waarschuwt voor een kritieke kwetsbaarheid in Apache HugeGraph Server (CVE-2024-27348), die actief wordt misbruikt. Deze kwetsbaarheid maakt het mogelijk voor kwaadwillenden om op afstand willekeurige code uit te voeren, waardoor ze volledige controle over servers kunnen krijgen. Er is exploit code beschikbaar, de kwetsbaarheid wordt al actief gebruikt door cybercriminelen. Organisaties die deze software draaien, worden dringend geadviseerd om patches zo snel mogelijk toe te passen​, het Auth system te activeren en Java 11 te gebruiken.

3. Nieuwe PondRat malware verborgen in Python libraries

Een nieuwe malwarecampagne genaamd PondRat is ontdekt, waarbij kwaadaardige code wordt verspreid via Python-libraries. PondRat is bijzonder gevaarlijk omdat het zichzelf verbergt binnen ogenschijnlijk legitieme Python-modules. Deze malware kan data stelen, command-and-control operaties uitvoeren en aanvallers langdurige toegang tot systemen geven. De malafide modules, real-ids, coloredtxt, beautifultext en minisound zijn inmiddels verwijderd uit de PyPI-repositories.

4. Ivanti’s Cloud Appliance: nieuwe kwetsbaarheden

Ivanti waarschuwde recent voor een nieuwe kwetsbaarheid (CVE-2024-8963) in hun cloud-appliances, die het doelwit is geworden van actieve aanvallen. Deze kwetsbaarheid maakt het mogelijk voor aanvallers om toegang te krijgen tot gevoelige informatie of om systemen te compromitteren. Deze kwetsbaarheid is kort na een andere kwetsbaarheid (CVE-2024-8190) in dezelfde cloudservice ontdekt.

5. FreeBSD RCE kwetsbaarheid laat aanvallers kwaadaardige code uitvoeren

De CVE-2024-41721 beschrijft een kritieke kwetsbaarheid in de USB-code van FreeBSD’s bhyve virtuele machine, specifiek bij de emulatie van XHCI (USB). Door onvoldoende grensvalidatie kan er een out-of-bounds leesfout optreden in het heap-geheugen, wat de mogelijkheid biedt om willekeurige gegevens te schrijven. Dit kan leiden tot remote code execution (uitvoering van kwaadaardige code op afstand).Deze kwetsbaarheid heeft een CVSS-score van 9.8 en wordt als zeer gevaarlijk beschouwd, omdat het op afstand kan worden uitgebuit zonder dat er gebruikersinteractie of speciale privileges vereist zijn. Hierdoor kan een aanvaller volledige controle krijgen over het systeem, wat ernstige gevolgen kan hebben voor de confidentialiteit, integriteit en beschikbaarheid van het systeem. Het wordt sterk aangeraden om de patches van FreeBSD toe te passen

6. 2FA bypass via RestAPI

De CVE-2024-8606 beschrijft een kwetsbaarheid in de Checkmk-software, specifiek in de REST API. Deze kwetsbaarheid stelt een aanvaller in staat om de tweefactorauthenticatie (2FA) te omzeilen. Dit betekent dat een gebruiker, zelfs na succesvolle authenticatie, toegang kan krijgen zonder dat de tweede verificatiefactor wordt afgedwongen. Dit is mogelijk in versies van Checkmk voor 2.3.0p16 en 2.2.0p34.

1. Windows kwetsbaarheid: braille-spaties gebruikt in aanvallen

Een onlangs gepatchte kwetsbaarheid in Windows, CVE-2024-43461, wordt actief misbruikt door kwaadwillenden. Deze kwetsbaarheid zit in de MSHTML-component van Windows, waarbij de aanvallers gebruik maken van braille-spaties om detectie te omzeilen en slachtoffers een malafide bestand te laten openen dat malware bevat. CVE-2024-43461 werd actief misbruikt voor de juli-patch als onderdeel van een aanvalsketen met betrekking tot CVE-2024-38112. Om volledig beschermd te zijn moeten Windowsgebruikers zowel de update van juli als die van september installeren.

2. Malware vergrendelt browsers om Google inloggegevens te stelen

Een nieuwe malwarecampagne richt zich specifiek op het stelen van Google-inloggegevens door browsers te vergrendelen in kioskmodus. Dit houdt in dat de gebruiker zijn browser niet kan afsluiten zonder de vereiste inloggegevens in te voeren. Zodra deze gegevens zijn ingevoerd, worden ze door de cybercriminelen buitgemaakt. Deze aanvalsmethode is bijzonder gevaarlijk omdat het gebruikers dwingt om persoonlijke informatie vrij te geven onder de illusie dat ze geen andere optie hebben.

3. Ivanti’s Endpoint Manager Mobile kwetsbaarheid actief misbruikt

Ivanti waarschuwt voor een kwetsbaarheid in hun Endpoint Manager Mobile (EPMM) software, bekend als CVE-2024-8190. Deze kwetsbaarheid stelt aanvallers in staat om toegang te krijgen tot de EPMM-administratieconsole en gevoelige gegevens te onderscheppen. APT-groepen zijn al actief bezig met het misbruiken van deze kwetsbaarheid in aanvallen op organisaties. Ivanti heeft een dringende oproep gedaan aan gebruikers om de nieuwste patches te installeren om verdere schade te voorkomen.

4. Nieuwe Linux Malware ‘Hadooken’ richt zich op Oracle WebLogic Servers

Op Linux-gebaseerde systemen is een nieuwe malwarecampagne ontdekt, gericht op Oracle WebLogic-servers. De malware, ‘Hadooken‘ genaamd, maakt gebruik van bekende kwetsbaarheden in verouderde of ongepatchte WebLogic-servers om een achterdeur te installeren. Deze achterdeur stelt kwaadwillenden in staat om langdurige toegang te krijgen tot de geïnfecteerde servers, wat ernstige gevolgen kan hebben voor bedrijven die afhankelijk zijn van deze infrastructuur. Wij adviseren om organisaties die gebruik maken van WebLogic om hun systemen te controleren en de beschikbare patches te installeren.

5. D-link router kwetsbaarheid: verborgen functionaliteit

Een kritieke kwetsbaarheid, geregistreerd als CVE-2024-45697, is ontdekt in verschillende D-Link-routers, routers die vaak worden gebruikt in thuisnetwerken en kleine bedrijven​. Deze kwetsbaarheid betreft verborgen functionaliteit die aanvallers in staat stelt om op afstand volledige controle over het apparaat te krijgen. De exploit maakt het mogelijk om zonder authenticatie toegang te krijgen tot de router, wat leidt tot het mogelijke compromitteren van het netwerk.

1. Progress LoadMaster: Kritieke RCE-kwetsbaarheid (10/10 CVSS)

Recentelijk is er een kritieke kwetsbaarheid (CVE-2024-7591) ontdekt in Progress LoadMaster. Deze heeft een CVSS-score van 10. Deze kwetsbaarheid kan leiden tot Remote Code Execution (RCE), waarbij aanvallers volledige controle over getroffen systemen kunnen krijgen.LoadMaster is een veelgebruikte applicatie voor load balancing, en deze fout treft alle versies van voor 7.2.76. Aanvallers kunnen misbruik maken van deze kwetsbaarheid zonder enige authenticatie, wat het risico op exploitatie verhoogt. Er is een update beschikbaar, wij adviseren om deze zo snel mogelijk te installeren.

2. Malwareverspreiding via LinkedIn

Recentelijk zijn er meldingen geweest van malware die wordt verspreid via LinkedIn. Dit platform, dat vaak wordt gezien als een betrouwbare bron voor zakelijke communicatie, is ook waardvol voor cybercriminelen. Zij kunnen via dit platform veel data verzamelen en bijvoorbeeld goed zicht krijgen op de functie en werkzaamheden van een persoon. Daarmee wordt LinkedIn een aantrekkelijk doelwit voor cybercriminelen. Cybercriminelen gebruiken misleidende berichten en bijlagen om COVERTCATCH-malware te verspreiden. De werkwijze is relatief eenvoudig: oplichters maken contact met potentiële slachtoffers, betrekken hen bij een gesprek en overtuigen hen vervolgens om een ​​bestand te downloaden dat is vermomd als een Python Coding Challenge.

3. Stijging Quishing-aanvallen

Daarnaast is er een toename in aanvallen via QR-codes, het zogenaamde ‘Quishing’. Deze vorm van phishing richt zich op mensen die QR-codes scannen, zoals die bij EV-laadstations te vinden zijn. Bij het scannen van de QR-code worden gebruikers naar malafide websites geleid, waar gevoelige gegevens worden buitgemaakt of malware wordt geïnstalleerd.

4. SonicWall SSL-VPN: Kritieke Access Control Exploit in het Wild

SonicWall waarschuwt gebruikers voor een kritieke kwetsbaarheid (CVE-2024-40766, CVSS-score 9.3) in hun SSL-VPN-producten, specifiek gerelateerd aan access control. Aanvallers kunnen via deze kwetsbaarheid ongeautoriseerde toegang krijgen tot netwerken. Daarnaast wordt de kwetsbaarheid actief misbruikt voor het verspreiden van Akira-ransomware. SonicWall heeft een patch uitgebracht, wij adviseren om deze zo snel mogelijk te installeren.

5. Kibana 8.15.1: Beveiligingsupdate voor Elastic Stack-gebruikers

Organisaties die ElasticStack gebruiken, met name Kibana, dienen de nieuwe beveiligingsupdates te implementeren. Er is een deserialisatieprobleem in Kibana dat kan leiden tot willekeurige code-uitvoering. De kwetsbaarheid is geregistreerd als CVE-2024-37288, met een CVSS-score van 9.9).In Nederland is de Elastic Stack, inclusief Kibana, een populaire keuze voor organisaties die grote hoeveelheden data moeten analyseren en visualiseren. Hoewel er geen directe meldingen zijn dat de kwetsbaarheid op dit moment actief wordt uitgebuit adviseren wij om de beschikbare update zo snel mogelijk te installeren.

1. Business Email Compromise (BEC)

Inmiddels is in alle regio’s de zomervakantie voorbij en zijn de meeste mensen weer aan het werk. Met het vakantiegevoel nog in het achterhoofd willen veel medewerkers die eerste dag zo veel mogelijk e-mails afhandelen. Het gevoel van urgentie gecombineerd met een mindere alertheid op phishing vergroot de kans dat een medewerker slachtoffer wordt. Bovendien hebben kwaadwillenden tijdens de vakantieperiode de mogelijkheid gehad om persoonsgegevens, zoals e-mailadressen en telefoonnummers te verzamelen dankzij out-of-office berichten. Neem daarom de tijd voor het beantwoorden van je e-mails en wees alert op malafide berichten, bijlages en linkjes.

2. Atlassian Confluence: CVE-2023-22527

Cybercriminelen maken actief misbruik van een kritieke kwetsbaarheid in Atlassian Confluence Data Center en de Confluence Server. De kwetsbaarheid die momenteel actief wordt uitgebuit is CVE-2023-22527, met een CVSS-score van 10. Hierdoor lopen systemen die niet up-to-date zijn een groot risico op ongeautoriseerde toegang en mogelijke datadiefstal. Bovendien worden getroffen systemen door de kwaadwillenden ingezet voor cryptomining. Gebruikers van Atlassian Confluence wordt geadviseerd zo snel mogelijk de beschikbare updates te installeren.

3. Google Chrome: drive-by downloads met Rootkit

Microsoft heeft een nieuwe campagne geïdentificeerd van de Noord-Koreaanse hackergroep Citrine Sleet. Bij deze campagne werden twee kwetsbaarheden, waar op dat moment nog geen updates voor beschikbaar waren, uitgebuit. De eerste kwetsbaarheid was een zero-day in Chromium-gebaseerde browsers, zoals Chrome, die werd misbruikt. Deze kwetsbaarheid is geregistreerd als CVE-2024-7971, een kwetsbaarheid in de V8 JavaScript- en WebAssembly-engine die van invloed is op versies van Chromium ouder dan 128.0.6613.84. De tweede kwetsbaarheid is CVE-2024-38106 en was aanwezig in de Windows kernel.

4. Cicada3301 ransomware: aanvallen op VMware ESXi-systemen

Cicada3301 is een nieuwe groep die zich bezighoudt met ransomware-as-a-service, waarbij ze een platform bieden voor dubbele afpersing door middel van een ransomware en een datalekwebsite. De groep kwam voor het eerst in beeld in juni 2024 en heeft sindsdien meerdere slachtoffers gemaakt. Hun naam lijkt afgeleid te zijn van een internet cryptografiespel, maar er is geen verband met dat fenomeen. De dreiging is specifiek gericht op VMware ESXi-systemen, die veel worden gebruikt in virtualisatie-omgevingen.De ransomware van Cicada3301, geschreven in Rust, vertoont opvallende overeenkomsten met de inmiddels niet meer bestaande Black Cat/ALPHV ransomware. Beide gebruiken ChaCha20 voor encryptie en soortgelijke commando’s voor het uitschakelen van VM’s en het verwijderen van snapshots.

5. Misbruik reacties op GitHub: wachtwoordstelende malware

Cybercriminelen hebben een nieuwe manier gevonden om gebruikers van GitHub te misleiden door gebruik te maken van opmerkingen op populaire repositories. Deze opmerkingen bevatten links die zich voordoen als “fixes” voor problemen, maar in werkelijkheid leiden ze naar malware die wachtwoorden steelt. Beheerders van GitHub-projecten en gebruikers worden geadviseerd om voorzichtig te zijn met het klikken op links in opmerkingen en om verdachte activiteiten te melden. Het implementeren van betere beveiligingspraktijken, zoals het beperken van wie opmerkingen kan plaatsen, kan helpen om dit type aanval te beperken.

1. PeakLight Dropper: Nieuwe memory-only malware

Onderzoekers van Mandiant hebben nieuwe malware ontdekt die gebruik maakt van een techniek die bekend staat als “DLL hijacking” om schadelijke code in te laden en detectie te ontwijken. De malware, genaamd PeakLight Dropper, is een memory-only dropper. De aanvallers achter deze dropper gebruiken het om verdere malware op de systemen van de slachtoffers te installeren, wat de deur opent voor gegevensdiefstal en spionageactiviteiten. Het gebruik van zo’n dropper stelt aanvallers in staat om hun aanwezigheid te verbergen en op lange termijn in systemen te blijven zonder gedetecteerd te worden.

2. Qilin Ransomware misbruikt VPN’s om netwerken te compromitteren

Qilin Ransomware, is een nieuwe ransomware die zich richt op kwetsbare VPN-infrastructuren. De ransomware gebruikt gestolen VPN-inloggegevens om toegang te krijgen tot netwerken en versleutelt vervolgens de gegevens. Wat opvalt is dat het inloggegevens steelt die zijn opgeslagen in Google Chrome bowsers. Wat deze techniek voor het verzamelen van inloggegevens gevaarlijk maakt is dat de mogelijke implicaties veel verder reiken dan de organisatie van het oorspronkelijke slachtoffer. Daarnaast wordt de exfiltratie van gegevens gecombineerd met versleuteling, waardoor slachtoffers dubbel onder druk worden gezet: betalen voor het ontsleutelen van bestanden en voorkomen dat gevoelige informatie wordt gelekt.

3. Nieuwe macOS malware: Cthulhu Stealer

Mac-gebruikers zijn steeds vaker het doelwit van cybercriminelen, zoals blijkt uit de ontdekking van de Cthulhu Stealer malware. Deze schadelijke software richt zich specifiek op macOS-systemen en is ontworpen om inloggegevens, browsergeschiedenis en andere gevoelige informatie te stelen. Daarbij wordt gebruik gemaakt van technieken om detectie te ontwijken, zoals versluiering en het uitbuiten van legitieme software.

4. Hardcoded credential kwetsbaarheid in enterprise apparatuur

SolarWinds heeft recent updates uitgebracht voor een kwetsbaarheid (CVE-2024-28987) in de Web Help Desk (WHD) software. De kwetsbaarheid betreft hardcoded inloggegevens in specifieke bedrijfsnetwerkapparatuur. Aanvallers kunnen misbruik maken van deze ingebedde inloggegevens om toegang te krijgen tot netwerken en daarbinnen te bewegen zonder authenticatie.

5. NGate: Android malware doelgericht op NFC-gegevens

Om contactloze betaalkaarten te klonen en geld te stelen, gebruikt NGate Near Field Communication (NFC) gegevens. Dankzij de geavanceerde technieken die deze malware gebruikt, kan het zich vermommen als legitieme apps en zo gebruikers misleiden om toegang te krijgen tot hun apparaat. Wanneer er geen scheiding is tussen het privé- en zakelijke gebruik van smartphones en/of de smartphone niet door de organisatie gemonitord wordt, is er een risico dat de malware een negatieve invloed heeft op een organisatie. NGate heeft als nadeel dat het zich richt op financiële gegevens, waardoor het een bedreiging vormt voor zowel consumenten als bedrijven die gebruik maken van NFC-betalingen.

6. Sedexp: Linux malware die udev-regels misbruikt

Een recent geïdentificeerde Linux-malware, Sedexp, heeft een unieke benadering voor persistency en het vermijden van detectie. Dankzij het gebruik van udev-regels, een Linux-subsysteem dat apparaatgebeurtenissen afhandelt, blijft Sedexp onopgemerkt terwijl het zijn kwaadaardige activiteiten uitvoert. Deze malware heeft zich gedurende bijna twee jaar kunnen verbergen, wat de noodzaak onderstreept van regelmatig systeem- en netwerkmonitoring om dergelijke geavanceerde bedreigingen te identificeren.

7. Kwetsbaarheid in Mobile Security Framework

Het MobSF-framework is een test-, malware-analyse- en beveiligingsbeoordelingssysteem dat statische en dynamische analyses kan uitvoeren. Deze bevat een kwetsbaarheid in de sectie Static-Libraries-analyse. Tijdens het extraheren van.a-extensiebestanden is de maatregel die bedoeld is om Zip Slip-aanvallen te voorkomen, niet goed geïmplementeerd. De geïmplementeerde maatregel kan worden omzeild, waardoor een aanvaller bestanden kan extraheren naar elke gewenste locatie binnen de server waarop MobSF zich bevindt.De kwetsbaarheid is geregistreerd als (CVE-2024-43399). De kwetsbaarheid is opgelost in 4.0.7. Updaten naar deze versie is belangrijk vanwege de potentiële impact van de kwetsbaarheid. Deze stelt aanvallers in staat om volledige controle over een systeem te verkrijgen.

8. Proof of Concept (POC) voor TCP/IP kwetsbaarheid

Er is een POC gepubliceerd voor CVE-2024-38063, waarin een kritieke kwetsbaarheid in de TCP/IP-stack van het Windows-besturingssysteem is beschreven. Wanneer er een publieke exploit beschikbaar is, is de kans groter dat kwaadwillenden deze kwetsbaarheid zullen misbruiken. De update voor deze kwetsbaarheid is beschikbaar en het advies is deze zo snel mogelijk te installeren.

1. Kritieke SolarWinds kwetsbaarheid wordt actief misbruikt

De Cybersecurity and Infrastructure Security Agency (CISA) heeft een waarschuwing afgegeven over een kritieke kwetsbaarheid in SolarWinds-software die actief wordt misbruikt in aanvallen. Het gaat daarbij om CVE-2024-28986, met een CVSS-score van 9.8. Deze Remote Code Execution (RCE) kwetsbaarheid maakt het mogelijk voor cybercriminelen om op afstand controle over systemen te krijgen en kwaadwillende code uit te voeren.

SolarWinds heeft een patch uitgebracht om dit probleem te verhelpen. Wij adviseren organisaties die SolarWinds-producten gebruiken, om deze patch zo snel mogelijk te installeren.

2. Ransomware-groep gebruikt nieuwe malware om beveiligingssoftware uit te schakelen

RansomHub, een beruchte ransomware-groepering, heeft een nieuwe malwaretool ontwikkeld. Deze malware, door de onderzoekers van Sophos EDRKillShifter genaamd, stelt de cybercriminelen in staat om onopgemerkt ransomware te installeren en uit te voeren. De malware richt zich specifiek op het uitschakelen van beveiligingssoftware bij Bring Your Own Vulnerable Driver (BYOVD)-aanvallen. De malware implementeert hiervoor een legitieme, kwetsbare driver op doelapparaten om privileges te verhogen, beveiligingsoplossingen uit te schakelen en de controle over het systeem over te nemen.

3. Microsoft patcht actieve zero-day kwetsbaarheid

Microsoft heeft recent een zero-day kwetsbaarheid gepatcht die actief werd misbruikt in gerichte aanvallen. Deze kwetsbaarheid, CVE-2024-38193 met CVSS-score 7.8 is beschreven als een privilege-escalatiebug in de Windows Ancillary Function Driver (AFD.sys) voor WinSock. De kwetsbaarheid stelde aanvallers in staat om ongeautoriseerde toegang te verkrijgen en gevoelige gegevens te compromitteren. Wat opmerkelijk is aan deze aanval is dat deze verder gaat dan de traditionele BYOVD-aanval (Bring Your Own Vulnerable Driver). Bij misbruik van deze CVE wordt namelijk misbruik gemaakt van een beveiligingslek in een driver die al op een Windows-host is geïnstalleerd, in plaats van een kwetsbare driver te ‘brengen’ en deze te gebruiken om beveiligingsmaatregelen te omzeilen.

4. Aanvallers misbruiken openbare .env bestanden voor malafide acties

Uit recent onderzoek van Unit42 is gebleken dat verschillende organisaties slachtoffer zijn geworden van een grootschalige afpersingscampagne. Verschillende organisaties zijn gecompromitteerd doordat er misbruik is gemaakt van openbaar toegankelijke omgevingsvariabelebestanden (.env) die inloggegevens bevatten die zijn gekoppeld aan cloud- en socialemediatoepassingen. Cybercriminelen gebruiken deze informatie om systemen te compromitteren en verdere aanvallen uit te voeren.

Verder is gebleken dat er bij de getroffen omgevingen meerdere problemen binnen de cybersecurity aanwezig waren. Denk aan het niet frequent wijzigen van inloggegevens en het ontbreken van een architectuur die uitgaat van het principe waarbij minimale privileges worden toegekend.

De campagne is opmerkelijk omdat de aanvalsinfrastructuur is opgezet binnen de Amazon Web Services (AWS)-omgevingen van de geïnfecteerde organisaties en deze is gebruikt als startpunt voor het scannen van meer dan 230 miljoen unieke doelen op gevoelige gegevens.

Het is van groot belang dat ontwikkelaars en IT-beheerders ervoor zorgen dat .env-bestanden nooit openbaar toegankelijk zijn. Door best practices te volgen, zoals het correct configureren van servers en het gebruik van environment variabelen, kunnen organisaties het risico dat deze gevoelige informatie in verkeerde handen valt verkleinen.

5. Misbruik van Azure en Google domeinen voor verspreiding malware en desinformatiecampagnes

Recent onderzoek van BleepingComputer heeft aangetoond dat cybercriminelen misbruik maken van legitieme domeinen van Azure en Google om desinformatie te verspreiden en malware te distribueren. Door deze bekende  platformen te gebruiken, slagen aanvallers erin om de detectiesystemen van beveiligingssoftware te omzeilen en slachtoffers te overtuigen van de legitimiteit van hun schadelijke inhoud.

‍

Tijdens de BlackHat-conferentie van 2024 is er een remote code execution (RCE) aanval op Microsoft 365 Copilot gepresenteerd. De CVE stelt aanvallers in staat om met de behulp van Remote Code Execution (RCE) te zoeken naar gevoelige inhoud (in SharePoint, e-mail, agenda, Teams) en om plug-ins uit te voeren. Data Loss Prevention (DLP)-controles worden hierdoor vaak omzeilt. Hoewel bij de uitvoer van de RCE e-mail als middel wordt gebruikt, zijn de daadwerkelijke aanvalsscenario’s complexer.

Microsoft heeft tijdens haar patch Tuesday patches uitgebracht voor 90 kwetsbaarheden. Daarvan zijn er negen kritieke zero-day exploits, waarvan er zes actief worden uitgebuit. Het gaat om de CVE’s:

• CVE-2024-38178 – Scripting Engine geheugen corruptie kwetsbaarheid
• CVE-2024-38193 – Windows Ancillary Function Driver voor WinSock Elevation of Privilege kwetsbaarheid
• CVE-2024-38213 – Windows Mark of the Web Security Feature Bypass Vulnerability
• CVE-2024-38106 – Windows Kernel Elevation of Privilege Vulnerability
• CVE-2024-38107 – Windows Power Dependency Coordinator Elevation of Privilege-kwetsbaarheid
• CVE-2024-38189 – Microsoft Project Remote Code Execution-kwetsbaarheid

Ook CVE-2024-38063 (CVSS-score 9.8), een Remote Code Execution (RCE) kwetsbaarheid die de Windows TCP/IP-stack treft, met name bij het verwerken van IPv6-verkeer is gepatcht.

SAP heeft in haar Augustus update 17 kwetsbaarheden gepatcht, waaronder een kritieke authenticatie-bypass waarmee externe aanvallers het systeem volledig kunnen compromitteren. Deze kwetsbaarheid, geregistreerd als CVE-2024-41730 heeft een CVSS-score van 9.8. Het betreft een kwetsbaarheid die SAP BusinessObjects Business Intelligence Platform-versies 430 en 440 beïnvloedt en onder bepaalde omstandigheden kan worden misbruikt.

Ivanti’s Virtual Traffic Manager werd eveneens getroffen door een kritieke kwetsbaarheid (CVE-2024-7593 met een CVSS-score van 9.8) die het mogelijk maakte voor onbevoegden om beheerdersrechten te verkrijgen.

Ook in Zabbix, een toonaangevend open-source monitoring tool dat wordt gebruikt voor netwerk- en applicatiemonitoring, zijn meerdere kritieke kwetsbaarheden ontdekt en gepatcht. De eerste kwetsbaarheid is geregistreerd als CVE-2024-22116 met een CVSS-score van 9.9. Deze kwetsbaarheid biedt een administrator met beperkte rechten de mogelijkheid om willekeurige code uit te voeren binnen de sectie ‘Monitoring Hosts’. Daarnaast betreft het een kritieke kwetsbaarheid in de uitvoering van externe code (RCE), geïdentificeerd als CVE-2024-36461 met een CVSS-score van 9.1.

Het Gcore Radar Report voor de eerste helft van 2024 biedt gedetailleerde inzichten in DDoS-aanvalsgegevens, waarbij veranderingen in aanvalspatronen en het bredere landschap van cyberdreigingen worden getoond. Een van de belangrijkste conclusies is dat het aantal DDoS-aanvallen in H1 2024 is met 46% gestegen in vergelijking met dezelfde periode vorig jaar, tot 445K in Q2 2024.

Ten slotte hebben onderzoekers van Tenable kwetsbaarheden ontdekt in de AI-gestuurde Azure Health Bot Service van Microsoft. Deze kwetsbaarheden, specifiek gerelateerd aan privilege-escalatie via een Server-Side Request Forgery (SSRF), zouden kwaadwillenden toegang kunnen geven tot gevoelige gegevens van patiënten door cross-tenant resources te benaderen. De kwetsbaarheden zijn inmiddels gepatcht.

‍

1. Kritieke kwetsbaarheid in industriële besturingssystemen van Rockwell

Er is een kritieke kwetsbaarheid ontdekt in de ControlLogix 1756 programmable logic controllers (PLC) van Rockwell Automation. Deze kwetsbaarheid, met code CVE-2024-6242 en een CVSS v3.1 score van 8.4, stelt aanvallers in staat om de security te omzeilen en ongeautoriseerde toegang te krijgen tot industriële besturingssystemen, dit vormt een aanzienlijk risico vormt voor industriële omgevingen waar deze controllers worden ingezet, omdat aanvallers geavanceerde commando’s kunnen uitvoeren, zoals het downloaden van logica of het wijzigen van configuraties. Rockwell Automation heeft firmware-updates uitgebracht voor deze kwetsbaarheid en adviseert gebruikers om hun apparaten bij te werken naar de nieuwste firmwareversies.

2. Apache deze week dubbel kwetsbaar

De kwetsbaarheid CVE-2024-36268 in Apache InLong, met een CVSS v3.1 score van 9.8, is een kritieke code-injectie kwetsbaarheid die systemen blootstelt aan remote aanvallen. Deze kwetsbaarheid treft de TubeMQ Client van Apache InLong, een essentieel onderdeel van het framework dat communicatie met het TubeMQ-berichtensysteem faciliteert. Door deze kwetsbaarheid kunnen aanvallers willekeurige code uitvoeren op getroffen systemen. De impact is aanzienlijk, vooral voor sectoren zoals financiën, gezondheidszorg en e-commerce, waar Apache InLong veel wordt gebruikt. Gebruikers wordt sterk aangeraden om hun systemen bij te werken naar versie 1.13.0 van Apache InLong om deze kwetsbaarheid te verhelpen. Voor degenen die niet onmiddellijk kunnen updaten, is er een patch beschikbaar.

Daarnaast is een nieuwe zero-day kwetsbaarheid in Apache OFBiz ERP, aangeduid als CVE-2024-38856, is ontdekt. Deze kwetsbaarheid met een CVSS-score van 9.8 maakt het mogelijk voor aanvallers om op afstand code uit te voeren zonder authenticatie, door misbruik te maken van een fout in het authenticatiemechanisme. Dit kan leiden tot ongeautoriseerde toegang en controle over de getroffen systemen. De impact van deze kwetsbaarheid is aanzienlijk, aangezien Apache OFBiz een veelgebruikte open-source ERP-oplossing is die door veel organisaties wordt ingezet. De betrokken systemen zijn alle versies van Apache OFBiz vóór 18.12.11. Het advies is dan ook om onmiddellijk te updaten naar versie 18.12.11 of hoger.

3. Malware verspreid via valse software-updates

Hackers die vermoedelijk gelinkt zijn aan de Chinese groep StormBamboo, hebben een onbekende internetprovider (ISP) gehackt om malware te verspreiden via software-updates. Door de infrastructuur van de ISP binnen te dringen, konden de aanvallers DNS-responses aanpassen en gebruikers omleiden naar kwaadaardige servers in plaats van de legitieme update-servers. Dit gebeurde zelfs wanneer gebruikers openbare DNS-diensten zoals Google of Cloudflare gebruikten. De malware werd verspreid via onveilige update-mechanismen van verschillende applicaties, waaronder 5KPlayer en Quick Heal, die geen gebruik maakten van TLS of cryptografische handtekeningen om de updates te verifiëren.

4. Het gevaar van verouderde en vergeten domeinen

Recent onderzoek heeft aangetoond dat meer dan een miljoen domeinen kwetsbaar zijn voor overname door cybercriminelen door middel van de “Sitting Ducks” aanvallen, waarmee kwetsbaarheden in het domeinnaamsysteem (DNS) worden aangeduid die het mogelijk maken voor aanvallers om domeinen over te nemen zonder dat ze toegang nodig hebben tot de accounts van de echte eigenaren bij de DNS-provider of registrar. Deze zwakte ontstaat vaak door verouderde of slecht beheerde DNS-instellingen, waardoor domeinen als “zittende eenden” (makkelijke doelwitten) worden beschouwd. Aanvallers kunnen deze zwakheden uitbuiten om domeinen te kapen en te gebruiken voor kwaadaardige activiteiten zoals phishing, malwareverspreiding en andere cyberaanvallen.

5. Blijf op de hoogte van de kwetsbaarheden

Iedere dag worden we weer overspoeld met nieuwe kwetsbaarheden en die CVE-kwetsbaarheden worden steeds sneller misbruikt door cybercriminelen. Ze maken daarbij in veel gevallen gebruik van publiek gemaakte exploit-codes, zoals die op GitHub worden gedeeld. 80%  van deze exploits worden zelfs eerder dan de CVE gepubliceerd en 14% nog voor er een patch beschikbaar is. Maar ook tools zoals Shodan en Nmap en Gen AI spelen een cruciale rol in het automatisch detecteren en misbruiken van kwetsbare systemen. Daarom is het ook zo belangrijk om snel op CVE-kwetsbaarheden te reageren met patches, updates of mitigerende maatregelen. Helaas hebben veel organisaties deze . Dus; blijf op de hoogte van de nieuwste én actueel actief misbruikte CVE-kwetsbaarheden.

‍

Omdat de vakantieperiode nu echt is aangebroken, deze week een speciale editie, met 5 adviezen voor een cyberveilige vakantie, zowel zakelijk als persoonlijk:

1. Check ramen en deuren.
   De vakantietijd is het moment om tot rust te komen, maar niet voor cybercriminelen. Zij maken juist gebruik van deze periode waarin IT-afdelingen minder bezet zijn. In de vakantiemaanden zien we dan ook een sterke toename van valse inlogpogingen. Zorg er dus voor vertrek voor dat de basismaatregelen, zoals sterke en unieke wachtwoorden en twee-factor-authenticatie, voor de organisatie op orde zijn. Net zoals je even de ramen en deuren checkt voordat je op vakantie gaat.
2. Let op zakkenrollers.
   Het vakantiegeld is weer uitbetaald en we geven in de vakantie makkelijker geld uit. Dat weten cybercriminelen ook. Blijf dus alert, want cybercriminelen zijn opportunistisch en gebruiken juiste deze periode om met gekochte kant en klare phishing campagnes en gelekte emaillijsten hun slag te slaan. Let dus op phishing! Net als de zakkenrollers en oplichters op vakantie.
3. Wees voorzichtig met ongeopende post.
   Je wil er nu nog niet aan denken maar na de vakantie wacht er weer een grote back log van ongelezen e-mails op je te wachten. Veel mensen reserveren de eerste ochtend na de vakantie om daar even snel doorheen te klikken en zijn daardoor minder bedacht op phishing. Neem de tijd en wees alert op verdacht e-mails.
4. Houd het verzekeringspasje bij de hand.
   Mocht het mis gaan is het ook tijdens de vakantie belangrijk om je incident response (IR) plan goed op orde te houden. Vaak zijn bijvoorbeeld de personen met mandaat niet aanwezig of minder goed bereikbaar. Het is daarom belangrijk om goede afspraken te hebben zodat je voorbereid bent op een incident. Én houd het noodnummer van het T-CERT altijd bij de hand!
5. Blijf op de hoogte van de laatste kwetsbaarheden met WakeUpWednesday,
   Elke week een samenvatting van de kwetsbaarheden en cyberdreigingen die nationale of internationale aandacht hebben gekregen. Met deze week:

Acronis heeft een kritisch beveiligingsadvies uitgebracht met betrekking tot een kwetsbaarheid in hun Acronis Cyber Infrastructure (ACI)-product. Deze kwetsbaarheid met code CVE-2023-45249, stelt aanvallers in staat om authenticatie op kwetsbare servers te omzeilen met behulp van standaardreferenties en wordt beoordeeld als kritiek (CVSS-score van 9.8). Beheerders worden geadviseerd om de beschikbare patch toe te passen op alle getroffen apparaten.

Onderzoekers van securitybedrijf Binarly hebben ontdekt dat de Secure Boot-functie op honderden modellen laptops, pc’s, moederborden en andere apparaten van onder andere Acer, Dell, Gigabyte, Intel, Lenovo en Supermicro te omzeilen is. Secure Boot is een beveiligingsmaatregel in de Unified Extensible Firmware Interface (UEFI) die ervoor moet zorgen dat er tijdens het opstarten van het systeem alleen vertrouwde software draait. De kwetsbaarheid, geïdentificeerd als CVE-2023-24932, maakt het mogelijk voor aanvallers om niet-vertrouwde code uit te voeren tijdens het bootproces, zelfs als Secure Boot is ingeschakeld.  Gebruikers wordt geadviseerd om te controleren of ze kwetsbare firmware draaien en updates te installeren zodra die beschikbaar zijn.

Cybercriminelen maken momenteel actief gebruik van de problemen rondom CrowdStrike door zich voor te doen als CrowdStrike. Ze verspreiden valse updates die zogenaamd beveiligingsproblemen oplossen, maar in werkelijkheid malware en gegevensvernietigers installeren. Deze nep-updates richten zich specifiek op bedrijven en kunnen leiden tot ernstige dataverlies en operationele verstoringen.

SolarWinds heeft deze maand meerdere kritieke kwetsbaarheden gepatcht in hun Access Rights Manager (ARM) en andere producten. Deze kwetsbaarheden konden aanvallers in staat stellen ongeautoriseerde toegang te verkrijgen en gevoelige gegevens te compromitteren. Er is een update beschikbaar, het advies is om deze zo snel mogelijk te installeren.

Meerdere kwetsbaarheden zijn ontdekt in de SAP AI Core, een platform dat kunstmatige intelligentie- en machine learning-modellen ondersteunt. Deze kwetsbaarheden kunnen leiden tot ongeautoriseerde toegang en manipulatie van AI-modellen, wat ernstige gevolgen kan hebben voor bedrijven die afhankelijk zijn van AI voor kritieke bedrijfsprocessen. De kwetsbaarheden gelden voor  cloudomgevingen zoals Amazon Web Services (AWS), Microsoft Azure en SAP HANA Cloud. Er is een update beschikbaar, installeer deze zo snel mogelijk.

Een kritieke kwetsbaarheid in Cisco’s Secure Email Gateway (SEG) apparaten stelt aanvallers in staat om rootgebruikers toe te voegen, waardoor ze volledige controle over de apparaten krijgen. Deze kwetsbaarheid kan leiden tot ernstige beveiligingsinbreuken, waaronder gegevensdiefstal en verstoring van e-mailcommunicatie. Het advies is om de Cisco SEG apparaten zo snel mogelijk te updaten naar de nieuwste firmwareversies.

Er is een nieuwe variant van de Play ransomware ontdekt die zich richt op Linux-systemen. Deze ransomware versleutelt systemen en maakt het herstelproces aanzienlijk moeilijker. De ransomware verspreidt zich via beveiligingslekken in Linux-omgevingen.

Een nieuwe kwetsbaarheid (CVE-2024-41107) is ontdekt in Apache CloudStack, die gebruikersaccounts kwetsbaar maakt voor aanvallen. Deze kwetsbaarheid kan aanvallers toegang geven tot gevoelige informatie en controle over gebruikersaccounts. Er is een update beschikbaar, installeer deze zo snel mogelijk.

Recent is er een zero-day exploit genaamd EvilVideo ontdekt. Deze exploit misbruikt een kwetsbaarheid in Telegram voor Android waardoor kwaadwillenden in staat zijn om schadelijke bestanden te versturen die eruitzien als videobestanden via Telegram-kanalen, -groepen en -chats. Telegram heeft de kwetsbaarheid gepatcht in versie 10.14.5.

Tot slot is er een ernstige kwetsbaarheid in Bazaar v1.4.3 ontdekt. Deze maakt gebruikersaccounts kwetsbaar voor aanvallen, wat ernstige beveiligingsrisico’s met zich meebrengt voor bedrijven die deze versie gebruiken. Er is inmiddels een Proof of Concept (PoC) ontwikkeld om de exploiteerbaarheid van CVE-2024-40348 aan te tonen. Het advies is om de beschikbare patch zo snel mogelijk te installeren.

Recent onderzoek toont aan dat kwaadwillenden binnen slechts 22 minuten na de publicatie van proof-of-concept (PoC) exploits deze al in aanvallen gebruiken. Dit benadrukt de noodzaak voor organisaties om snel te reageren op nieuwe kwetsbaarheden en patches onmiddellijk toe te passen. Cloudflare’s Application Security rapport voor 2024 benadrukt verder dat zero-day exploits en CVE-exploitaties toenemen, met een aanzienlijke stijging in het aantal gemelde kwetsbaarheden.

Meer dan 1,5 miljoen Exim mailservers zijn kwetsbaar voor een kritieke kwetsbaarheid die het mogelijk maakt voor kwaadwillenden om beveiligingsfilters te omzeilen en schadelijke uitvoerbare bestanden naar gebruikersaccounts te sturen. Deze kwetsbaarheid, aangeduid als CVE-2024-39929 met een CVSS-score van 9,1 treft alle Exim-versies tot en met 4.97.1. Het is essentieel dat systeembeheerders hun Exim-installaties zo snel mogelijk bijwerken om deze dreiging te mitigeren.

Een golf van gecoördineerde DNS-hijacking aanvallen richt zich op gedecentraliseerde financiële (DeFi) cryptodomeinen die zijn geregistreerd bij Squarespace. Kwaadwillenden kapen DNS-instellingen om verkeer om te leiden naar malafide websites, waar ze gebruikersinformatie en cryptocurrency kunnen stelen. Het incident wordt deels toegeschreven aan de recente migratie van domeinen van Google naar Squarespace, waarbij tweefactorauthenticatie (2FA) werd verwijderd, wat de kwetsbaarheid vergrootte.

De nieuwste versie van HardBit Ransomware, versie 4.0, maakt gebruik van passphrase-bescherming om detectie te ontwijken en maakt gebruik van geavanceerde technieken om onopgemerkt te blijven. Deze ransomware is ontworpen om Microsoft Defender Antivirus uit te schakelen en processen en services te beëindigen om detectie te voorkomen. Daarnaast heeft deze ransomware de mogelijkheid om backups te wissen en systeemherstelopties uit te schakelen. Het versleutelt vervolgens bestanden en verandert systeeminstellingen om de aanval te verbergen.

Een ernstige kwetsbaarheid is ontdekt in de Cellopoint Secure Email Gateway. Deze kwetsbaarheid is  aangeduid als CVE-2024-6744 met een CVSS-score van 9.8. De kwetsbaarheid veroorzaakt een stack-based buffer overflow. Deze kan door kwaadwillenden worden misbruikt om kwaadaardige code uit te voeren en controle over het systeem te krijgen. Het is essentieel dat organisaties de beschikbare patch onmiddellijk toepassen om deze kwetsbaarheid te mitigeren.

Er zijn nieuwe versies uitgebracht van de GootLoader-malware, onderdeel van de Gootkit banking trojan, die geavanceerdere aanvallen mogelijk maakt. De malware wordt gekoppeld aan een dreigingsactor genaamd Hive0127 (ook bekend als UNC2565) en maakt misbruik van JavaScript om post-exploitatie tools te downloaden. Het wordt verspreid via zoekmachine optimalisatie (SEO) poisoning en dient als een methode voor het leveren van verschillende payloads zoals Cobalt Strike, Gootkit, IcedID, Kronos, REvil en SystemBC. Recentelijk hebben de kwaadwillenden achter GootLoader ook hun eigen command-and-control (C2) en laterale bewegingstool uitgebracht, genaamd GootBot.

Verder is de reikwijdte van de supply chain aanval op de veelgebruikte Polyfill[.]io JavaScript-bibliotheek groter dan eerder gedacht. Nieuwe bevindingen van Censys tonen aan dat meer dan 380.000 hosts een polyfill-script insluiten dat linkt naar het kwaadaardige domein. Dit omvat verwijzingen naar “13” in hun HTTP-responses. De aanval is opmerkelijk omdat deze specifieke bezoekers op tijdspecifieke momenten omleidt naar volwassen- en gokthema-websites. De kwaadaardige gedragingen werden geïntroduceerd nadat het domein en de bijbehorende GitHub-repository in februari 2024 werden verkocht aan een Chinees bedrijf genaamd Funnull. Dit leidde ertoe dat Namecheap het domein opschortte. Cloudflare en Google hebben stappen genomen om de aanval te mitigeren door Polyfill-links te vervangen door veilige alternatieven en advertenties voor sites die het kwaadaardige domein gebruikten te blokkeren.

Daarnaast is er een nieuwe kwetsbaarheid ontdekt, CVE-2024-36991, een path traversal (een beveiligingslek waarbij een aanvaller toegang krijgt tot bestanden op een server buiten de bedoelde mappen) die Splunk Enterprise op Windows-versies onder 9.2.2, 9.1.5 en 9.0.10 beïnvloedt. Een proof-of-concept (POC) exploit is beschikbaar op GitHub, die probeert het /etc/passwd-bestand van Splunk te lezen. De kwetsbaarheid is gericht op instances waarbij Splunk Web is ingeschakeld.

Voor CVE-2024-27867, een kwetsbaarheid in Apple AirPods waarmee een kwaadwillende op ongeautoriseerde wijze toegang kan krijgen tot de hoofdtelefoon, is een firmware-update beschikbaar. Omdat deze kwetsbaarheid momenteel actief wordt uitgebuit, is het essentieel om deze update te installeren. Het authenticatieprobleem komt voor bij: AirPods (2e generatie en later), AirPods Pro (alle modellen), AirPods Max, Powerbeats Pro en Beats Fit Pro.

Tot slot is er een toename van cyberaanvallen waargenomen rondom de sportevenementen deze zomer, waaronder Het Europees Kampioenschap voetbal 2024 en de Olympische Spelen. Cybercriminelen verkopen inloggegevens die verband houden met het toernooi op ondergrondse markten en geopolitieke spanningen spelen een rol in denial-of-service aanvallen.

Er is een kwetsbaarheid ontdekt in de MoveIT software. Deze kwetsbaarheid is geregistreerd als CVE-2024-5806 met een initiële CVSS-score 7.4. Na de release van de Watchtowr-blog en de bijbehorende proof of concept heeft Progress de score echter bijgewerkt naar 9.1. Deze kritieke kwetsbaarheid maakt het mogelijk voor aanvallers om systemen te compromitteren. Het wordt alle MOVEit Transfer-klanten met versies 2023.0, 2023.1 en 2024.0 ten zeerste aangeraden om zo snel mogelijk te upgraden naar de nieuwste gepatchte versie.

Juniper Networks heeft ook een urgente patch uitgebracht voor een ernstige authenticatie-omzeilingskwetsbaarheid. Deze kwetsbaarheid (CVE-2024-2973, met een maximale CVSS-score van 10.0), zou aanvallers in staat kunnen stellen om toegang te krijgen tot netwerkapparaten zonder de juiste inloggegevens. Ook in dit geval is het aanbevolen om de patch zo snel mogelijk te installeren.

Adobe heeft recent een beveiligingsadvies gepubliceerd met betrekking tot 10 kwetsbaarheden die gevolgen hebben voor Adobe Commerce, Magento Open Source en Adobe Commerce Webhooks Plugin. Van deze tien kwetsbaarheden kunnen er zes leiden tot uitvoering van willekeurige code. Deze zes kwetsbaarheden zijn geregistreerd als CVE-2024-34111, CVE-2024-34102, CVE-2024-34108, CVE-2024-34109, CVE-2024-34110 en CVE-2024-34105. Voor CVE-2024-34102 is inmiddels een POC beschikbaar. Deze kwetsbaarheid maakt gebruik van nested deserialization, waardoor aanvallers via XML External Entity (XXE) injecties willekeurige code kunnen uitvoeren. Dit kan leiden tot het exfiltreren van gevoelige gegevens zoals cryptografische sleutels. Gebruikers wordt sterk aangeraden om hun Magento-installaties te updaten naar de nieuwste versie en noodpatches toe te passen om deze kwetsbaarheid te mitigeren.

Een andere kwetsbaarheid waar momenteel een POC voor beschikbaar is, is CVE-2024-6387. Deze kwetsbaarheid, ook wel bekend als “regreSSHion”, is een niet-geauthenticeerde remote code execution (RCE) kwetsbaarheid in OpenSSH’s server (sshd) op glibc-gebaseerde Linux-systemen. Deze kwetsbaarheid, ontdekt door Qualys, geeft volledige roottoegang zonder gebruikersinteractie en werd opnieuw geïntroduceerd in OpenSSH versie 8.5p1. Deze kwetsbaarheid is een herintroductie van een eerder opgeloste kwetsbaarheid (CVE-2006-5051) en benadrukt het belang van grondige regressietesten.

Verder is er een ernstige kwetsbaarheid ontdekt in iTerm2 versies 3.5.x vóór 3.5.2. Deze kwetsbaarheid, geregistreerd als CVE-2024-38396,  maakt het mogelijk dat aanvallers willekeurige code injecteren via onjuiste filtering van escape-sequenties. Dit is vooral gevaarlijk met ingeschakelde tmux-integratie. Gebruikers wordt dringend geadviseerd om iTerm2 te updaten naar versie 3.5.2 of later om deze kwetsbaarheid te verhelpen

GitLab heeft ook een patch uitgebracht voor een kritieke CI/CD kwetsbaarheid die het mogelijk maakt voor aanvallers om willekeurige code uit te voeren. Gezien de populariteit van GitLab in DevOps, kan deze kwetsbaarheid verstrekkende gevolgen hebben als deze niet wordt aangepakt.

We sluiten deze #WakeUp Wednesday af met een recent rapport waarin wordt onthuld dat neppe IT-ondersteuningssites kwaadaardige PowerShell-scripts promoten als oplossingen voor Windows-fouten. Deze scripts zijn in werkelijkheid ontworpen om informatie stelende malware te verspreiden. De sites richten zich vooral op de Windows-fout 0x80070643, een probleem dat veel gebruikers ervaren sinds januari. De neppe ondersteuningssites worden gepromoot via gehackte YouTube-kanalen om de schijn van legitimiteit te wekken. Gebruikers die online zoeken naar een oplossing voor hun Windows-problemen, lopen het risico om door deze sites misleid te worden.

‍

Recent hebben onderzoekers verschillende beveiligingsrisico’s geïdentificeerd die de aandacht vereisen van cybersecurityprofessionals.

Er wordt gewaarschuwd voor een nieuwe builder van de ‘Nevermore‘ ransomware. Aandacht is geboden omdat er gebruik gemaakt wordt van geavanceerde technieken om detectie te vermijden en er zijn al meerdere databases gecompromitteerd. Daarnaast is Nevermore ontwikkeld om custom-ransomware te maken en wordt ook op deze manier aangeboden aan andere cybercriminelen.

Een nieuwe techniek voor command execution, genaamd ‘GrimResource‘, gebruikt speciaal vervaardigde MSC (Microsoft Saved Console) en een ongepatchte Windows XSS-kwetsbaarheid om code uit te voeren via de Microsoft Management Console. Kwaadwillenden zijn overgestapt op een nieuw bestandstype, Windows MSC (.msc)-bestanden, die worden gebruikt in de Microsoft Management Console (MMC) om verschillende aspecten van het besturingssysteem te beheren of aangepaste weergaven te maken van veelgebruikte tools. Over het algemeen wordt systeembeheerders geadviseerd op het volgende te letten:

• Bestandsbewerkingen met apds.dll die worden aangeroepen door mmc.exe.
• Verdachte uitvoeringen via MCC, met name processen die worden gestart door mmc.exe met .msc-bestandsargumenten.
• RWX-geheugentoewijzingen door mmc.exe die afkomstig zijn van scriptengines of .NET-componenten.
• Ongebruikelijke .NET COM-objectcreatie binnen niet-standaard scriptinterpreters zoals JScript of VBScript.
• Tijdelijke HTML-bestanden die worden gemaakt in de INetCache-map als gevolg van APDS XSS-omleiding.

Elastic Security heeft een volledige lijst met GrimResource-indicatoren op GitHub gepubliceerd en YARA-regels in het rapport verstrekt om verdachte MSC-bestanden te kunnen detecteren.

Verder is er een kwetsbaarheid in SolarWinds Serv-U software ontdekt, waarbij een directory traversal bug aanvallers in staat stelt om gevoelige bestanden op de hostmachine te lezen. Deze kwetsbaarheid, geïdentificeerd als CVE-2024-28995 met een CVSS-score 8.6, is actief uitgebuit door kwaadwillenden en benadrukt de noodzaak voor snelle patching door gebruikers van de getroffen software.

Daarnaast hebben onderzoekers een UEFI-kwetsbaarheid (CVE-2024-0762, CVSS-score 7.5) onthuld die verschillende generaties Intel CPU’s beïnvloedt, van de 14e generatie Raptor Lake tot de 6e generatie Skylake. Deze kwetsbaarheid maakt het mogelijk voor aanvallers om willekeurige code uit te voeren en volledige systeemtoegang te verkrijgen, wat kan leiden tot ernstige en blijvende gevolgen voor de getroffen systemen.

Tot slot is er een nieuwe Rust-gebaseerde malware genaamd Fickle Stealer, die gevoelige informatie steelt van gecompromitteerde hosts. Deze malware wordt verspreid via verschillende aanvalsketens en maakt gebruik van een PowerShell-script om User Account Control (UAC) te omzeilen. Fickle Stealer benadrukt de noodzaak voor voortdurende waakzaamheid en proactieve beveiligingsmaatregelen om apparaten tegen dergelijke bedreigingen te beschermen.

Om het risico op een cyberincident te verkleinen is het belangrijk om er onder andere voor systemen van de meest recente updates worden voorzien, er duidelijke protocollen zijn voor bijvoorbeeld informatiebeveiliging en gebruikers worden getraind in het herkennen van verdachte activiteiten.

‍

Broadcom heeft updates vrijgegeven voor drie kwetsbaarheden in VMware vCenter. Twee kwetsbaarheden (CVE-2024-37079 en CVE-2024-37080, CVSS-score 9,8) zijn aangemerkt als kritiek en maken het uitvoeren van externe code (RCE) mogelijk. Beide zijn heap-overflow-kwetsbaarheden in vCenter’s implementatie van DCERPC (Distributed Computing Environment/Remote Procedure Call) die wordt gebruikt voor het aanroepen van een functie op een externe machine alsof het een lokale machine is.

Deze week is een nieuwe phishingcampagne ontdekt die het Windows Zoekprotocol misbruikt om kwaadaardige scripts te leveren. Aanvallers gebruiken HTML-bijlagen die het ‘search-ms’ URI manipuleren om batch-bestanden uit te voeren. De e-mails bevatten vaak een factuurdocument in een ZIP-archief, wat helpt om detectie door antivirusprogramma’s te omzeilen. Zodra de gebruiker de HTML opent, wordt hij automatisch doorgestuurd naar een kwaadaardige URL of naar een klikbare link als het automatisch doorsturen mislukt.

Een geraffineerde malwarecampagne maakt gebruik van legitieme maar gecompromitteerde websites om een Windows-backdoor genaamd BadSpace te leveren. De aanvalsketen omvat een geïnfecteerde website, een command-and-control server en soms een nep-browserupdate. Als het de eerste keer is dat een gebruiker de gecompromitteerde site bezoekt, verzamelt de site informatie over het apparaat, IP-adres en locatie, en stuurt deze door naar een vooraf bepaald domein.

Advies
Monitoring van netwerkactiviteiten en systemen is cruciaal. Het is van groot belang dat organisaties hun beveiligingssystemen voortdurend bijwerken en controleren om ongeautoriseerde toegangspogingen snel te detecteren en te adresseren.

Recentelijk is een nieuwe phishing-kit, genaamd ‘V3B’, opgedoken die klanten van 54 grote Europese banken als doelwit heeft. Deze kit wordt gepromoot op Telegram en maakt gebruik van geavanceerde technieken om detectie door anti-phishingtools en zoekmachines te vermijden. Het ondersteunt meertalige phishingpagina’s en stelt de kwaadwillenden bovendien in staat om in real-time met slachtoffers te communiceren via een chatfunctie.

Een andere ontwikkeling is de ‘Commando Cat’-cryptojacking-aanvalscampagne, die misbruik maakt van blootgestelde Docker Remote API-servers om cryptocurrency miners te implementeren. Deze aanvalscampagne gebruikt Docker-images van het open-source Commando-project en maakt gebruik van chroot om uit de container te breken en toegang te krijgen tot het hostsysteem. Dit benadrukt het belang van het beveiligen van containerconfiguraties en API’s.

Het Muhstik botnet, bekend om zijn DDoS-aanvallen, exploiteert een recent gepatchte beveiligingskwetsbaarheid in Apache RocketMQ. Deze botnet, die zich met name richt op IoT-apparaten en Linux-servers, kan kwetsbare servers overnemen en zo zijn bereik uitbreiden. Het is cruciaal dat organisaties hun systemen updaten naar de nieuwste versies om deze bedreigingen te mitigeren.

PHP voor Windows heeft onlangs een kritieke RCE-kwetsbaarheid gepatcht die alle versies sinds 5.x beïnvloedt. Deze kwetsbaarheid werd veroorzaakt door een fout in de afhandeling van karaktercoderingsconversies en kon worden uitgebuit als PHP in CGI-modus werd gebruikt of als de PHP-executables toegankelijk waren voor de webserver. Meer info over deze kwetsbaarheid vind je in onze blog.

Verder zijn er kwaadaardige VSCode-extensies ontdekt met miljoenen installaties. Deze extensies kunnen gevoelige data verzamelen zonder gedetecteerd te worden door standaard endpoint detection and response (EDR) tools. Het is essentieel dat ontwikkelaars hun extensies controleren op mogelijke bedreigingen en alleen vertrouwde bronnen gebruiken voor hun ontwikkeltools.

Een proof-of-concept (PoC)-exploit voor een Veeam Backup Enterprise Manager authenticatie-bypass-fout (CVE-2024-29849), is nu openbaar beschikbaar. Er is een update beschikbaar. Daarnaast zijn er mitigerende maatregelen gepubliceerd.

Tot slot heeft Zyxel een noodupdate uitgebracht voor kritieke kwetsbaarheden in oudere NAS-apparaten die het einde van hun levensduur hebben bereikt. Deze patch adresseert drie kritieke kwetsbaarheden die kunnen leiden tot remote code execution (RCE).

Vervalste browserupdates worden momenteel gebruikt om malware te verspreiden, zoals BitRAT en Lumma Stealer infostealers. De aanvalsketen begint wanneer potentiële doelwitten een malafide website bezoeken die JavaScript-code bevat. Deze code is ontworpen om gebruikers om te leiden naar een nep-browserupdatepagina. Deze pagina bevat een zip-file die wordt gehost op Discord. Deze file wordt automatisch gedownload naar het apparaat van het slachtoffer.

Een recente analyse van Bitdefender heeft de afgelopen zes maanden meer dan 50.000 gevaarlijke links blootgelegd die malware, phishing-campagnes en spam verspreiden. Bij deze aanvallen wordt vaak gebruik gemaakt van Discord als aanvalsvector.

AI-startup Hugging Face, heeft recent een inbreuk op de beveiliging heeft gemeld waarbij onbevoegde toegang tot hun Spaces-platform werd gedetecteerd. Hugging Face zegt dat ze de authenticatietokens in de gecompromitteerde data al hebben ingetrokken en degenen die per e-mail zijn getroffen, op de hoogte hebben gesteld. Alle Hugging Face Spaces-gebruikers wordt geadviseerd hun tokens te vernieuwen en over te stappen op fijnmazige toegangstokens, waardoor organisaties meer controle krijgen over wie toegang heeft tot hun AI-modellen.

Verder maakt de RedTail cryptomining actief misbruik van kwetsbaarheden in Palo Alto Networks firewalls. De toevoeging van de PAN-OS-kwetsbaarheid aan de toolkit is aangevuld met updates voor de malware, die nu nieuwe anti-analysetechnieken bevat, volgens bevindingen van Akamai.

De Cybersecurity & Infrastructure Security Agency (CISA) heeft twee kritieke kwetsbaarheden toegevoegd aan de Known Exploited Vulnerabilities (KEV)-catalogus, waaronder een fout in het misbruiken van Linux-kernelrechten. Deze eerste kwetsbaarheid, CVE-2024-1086, werd voor het eerst bekend in januari 2024 als een use-after-free-probleem in de netfilter: nf_tables-component. De tweede kritieke kwetsbaarheid betreft CVE-2024-24919, een kwetsbaarheid voor het vrijgeven van informatie die gevolgen heeft voor VPN-apparaten van Check Point.

Snowflake geeft samen met securitybedrijven CrowdStrike en Mandiant een verklaring af met betrekking tot het onderzoek naar een gerichte campagne tegen enkele Snowflake-klantaccounts. Voor gebruikers van het platform is het belangrijk om op alle accounts multifactorauthenticatie af te dwingen en netwerkbeleidsregels in te stellen zodat alleen geautoriseerde gebruikers of verkeer vanaf geautoriseerde locaties wordt toegestaan. Daarnaast is het verstandig om inloggegevens opnieuw in te stellen en periodiek te wisselen.

Verschillende nieuwe dreigingen op het vlak van cybersecurity benadrukken de noodzaak voor security professionals om alert te blijven. Een kritieke kwetsbaarheid in het Replicate AI-platform maakte het mogelijk voor kwaadwillenden om ongeautoriseerde toegang tot de AI-prompts en resultaten van alle platformklanten van Replicate te krijgen. Dat kan resulteren in het uitvoeren van kwaadaardige AI-modellen. Tevens kunnen kwaadwillenden toegang krijgen tot klantgegevens, zo blijkt uit onderzoek van  cloudbeveiligingsbedrijf Wiz.

Beveiligingsonderzoekers van Horizon3 hebben een proof-of-concept (PoC)-exploit vrijgegeven voor een kritieke kwetsbaarheid in de Security Information and Event Management (SIEM)-oplossing van Fortinet, die in februari werd gepatcht. Deze kwetsbaarheid, CVE-2024-23108, is een kwetsbaarheid voor opdrachtinjectie die het uitvoeren van opdrachten op afstand als root mogelijk maakt zonder dat authenticatie vereist is.

Ivanti heeft kritieke remote code execution kwetsbaarheden gepatcht in hun Endpoint Manager, waarbij SQL-injectie kwetsbaarheden een ongeauthenticeerde aanvaller binnen hetzelfde netwerk toelieten om code uit te voeren. Het gaat daarbij om CVE-2024-29822 tot en met CVE-2024-29827 (CVSS-scores: 9,6).

Kwaadwillenden gebruiken code van een Python-kloon van Microsofts Minesweeper-spel om kwaadaardige scripts te verbergen bij aanvallen op Europese en Amerikaanse financiële organisaties. De legitieme code wordt gebruikt om Python-scripts te verbergen die de SuperOps RMM downloaden en installeren. Superops RMM is legitieme software voor beheer op afstand die de kwaadwillenden directe toegang geeft tot de gecompromitteerde systemen.

ShrinkLocker, een nieuwe ransomware, creëert een nieuwe opstartpartitie om bedrijfssystemen te versleutelen met behulp van Windows BitLocker. ShrinkLocker, zo genoemd omdat het het opstartvolume creëert door beschikbare niet-opstartpartities te verkleinen, is gebruikt om een overheidsinstantie en bedrijven in de vaccin- en productiesector aan te vallen.

Cybersecurity-onderzoekers van Elastic Security Labs hebben een nieuwe cryptojacking-campagne ontdekt die gebruik maakt van kwetsbare stuurprogramma’s om bekende beveiligingsoplossingen (EDR’s) uit te schakelen en detectie te dwarsbomen bij een zogenoemde Bring Your Own Vulnerable Driver (BYOVD)-aanval. De primaire payload, genaamd GHOSTENGINE, maakt gebruik van kwetsbare drivers om EDRs uit te schakelen in cryptojacking-aanvallen.

Ten slotte is er een infostealer malware, Gipy, die zich voordoet als een AI stemgenerator app, wat gebruikers misleidt om kwaadaardige bestanden te downloaden. Uit onderzoek van Kaspersky blijkt dat Gipy-malware, eenmaal afgeleverd, tegenstanders in staat stelt gegevens te stelen, cryptocurrency te minen en extra malware op het systeem van het slachtoffer te installeren.

In deze WakeUp Wednesday aandacht voor een kritieke kwetsbaarheid in Fluent Bit, bekend als CVE-2024-4323 en als ‘Linguistic Lumberjack’. Deze kwetsbaarheid heeft consequenties voor alle grote cloudproviders. Het uitbuiten van de kwetsbaarheid kan leiden tot denial-of-service (DoS) en mogelijk remote code execution (RCE) aanvallen. Het is van cruciaal belang dat systemen worden bijgewerkt naar Fluent Bit versie 3.0.4, waarin deze kwetsbaarheid is opgelost.

Daarnaast is er een nieuwe variant van de BiBi Wiper malware ontdekt die de schijfpartitietabel vernietigt. Hierdoor wordt gegevensherstel moeilijker en neemt de downtime voor getroffen slachtoffers toe.

Verder is er een kritieke kwetsbaarheid ontdekt in het llama_cpp_python Python-pakket dat door kwaadwillenden kan worden uitgebuit om willekeurige code-uitvoering te bewerkstelligen. De fout, bekend als CVE-2024-34359 (CVSS-score: 9.7), heeft de codenaam Llama Drama gekregen van softwareleverancier Checkmarx. llama_cpp_python, is een populair pakket met tot nu toe meer dan 3 miljoen downloads, waarmee ontwikkelaars AI-modellen met Python kunnen integreren.

Ten slotte is er een gecoördineerde campagne waargenomen waarbij legitieme diensten zoals GitHub en FileZilla worden gebruikt om een reeks malware en banking trojans te leveren, zoals Atomic, Vidar, Lumma en Octo.

Kritieke kwetsbaarheden in mobiele modems van Telit Cinterion kunnen kwaadwillenden op afstand in staat stellen willekeurige code uit te voeren via sms, zo blijkt uit onderzoek van Kaspersky. Deze kwetsbaarheden omvatten kritieke fouten die het uitvoeren van code op afstand en ongeoorloofde escalatie van bevoegdheden mogelijk maken. Dit brengt risico’s met zich mee voor integrale communicatienetwerken en IoT-apparaten. De kwetsbaarheden zijn geregistreerd als CVE-nummers CVE-2023-47610 tot en met CVE-2023-47616, waarbij CVE-2023-27610 een CVSS-score heeft van 9,8. Organisaties die deze modems gebruiken wordt geadviseerd om aan de telecomprovider te vragen om het versturen van sms-berichten naar het apparaat uit te schakelen.

Afgelopen donderdag heeft Google beveiligingsupdates uitgebracht om een zero-day-fout in Chrome te verhelpen die actief werd misbruikt. De kritieke kwetsbaarheid, geregistreerd als CVE-2024-4671, is beschreven als een geval van use-after-free in de Visuals-component. Use-after-free bugs, die ontstaan wanneer een programma verwijst naar een geheugenlocatie nadat de toewijzing ervan is opgeheven, kunnen verschillende gevolgen hebben, variërend van een crash tot het uitvoeren van willekeurige code.

Onderzoekers van de Leviathan Security Group hebben een Virtual Private Network (VPN)-bypasstechniek beschreven, genaamd TunnelVision. Op die manier kunnen kwaadwillenden het niet-versleutelde netwerkverkeer van het slachtoffer afluisteren door gewoon op hetzelfde lokale netwerk te zijn, terwijl het voor de gebruiker lijkt alsof er gebruik wordt gemaakt van een veilige vpn-verbinding. De “decloaking”-methode heeft CVE-nummer CVE-2024-3661 gekregen (CVSS-score: 7,6). Deze bypass-techniek is van invloed op alle besturingssystemen die een DHCP-client implementeren en biedt ondersteuning voor DHCP-optie 121-routes. In de kern omvat TunnelVision het routeren van verkeer zonder encryptie via een VPN door middel van een door de aanvaller geconfigureerde DHCP-server die gebruik maakt van de klasseloze statische routeoptie 121 om een route in te stellen in de routeringstabel van de VPN-gebruiker. Het komt ook voort uit het feit dat het DHCP-protocol dergelijke optieberichten niet authentiseert, waardoor ze aan manipulatie worden blootgesteld.

Uit onderzoek van Symantec blijkt dat kwaadwillenden steeds meer gebruik maken van Microsoft Graph API om op die manier detectie te omzeilen. Dit wordt volgens de onderzoekers gedaan om de communicatie te vergemakkelijken met de command-and-control (C&C)-infrastructuur die wordt gehost op Microsoft-cloudservices. De populariteit van de Graph API kan worden veroorzaakt door de overtuiging dat verkeer naar bekende entiteiten, zoals veelgebruikte clouddiensten, minder snel argwaan wekt. Daarnaast is het ook een goedkope en veilige bron van infrastructuur voor kwaadwillenden, omdat basisaccounts voor diensten als OneDrive gratis zijn.

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft een kritieke kwetsbaarheid voor GitLab toegevoegd aan de Known Exploited Vulnerabilities (KEV)-catalogus, vanwege actieve uitbuiting in het wild. De kwetsbaarheid, CVE-2023-7028 (CVSS-score: 10.0), kan kwaadwillenden in staat stellen accounts over te nemen door e-mails voor het opnieuw instellen van het wachtwoord naar een niet-geverifieerd e-mailadres te sturen. GitLab, dat eerder in januari details over de tekortkoming bekendmaakte, zei dat het werd geïntroduceerd als onderdeel van een codewijziging in versie 16.1.0 op 1 mei 2023. De kwetsbaarheid is verholpen in GitLab-versies 16.5.6, 16.6.4 en 16.7.2, waarbij de patches ook bruikbaar zijn op versies 16.1.6, 16.2.9, 16.3.7 en 16.4.5.

HPE Aruba Networking heeft zijn beveiligingsadvies van april 2024 uitgebracht, waarin kritieke kwetsbaarheden voor het uitvoeren van externe code (RCE) worden beschreven. Deze zijn van invloed op meerdere versies van ArubaOS, het eigen netwerkbesturingssysteem. Het advies somt tien kwetsbaarheden op, waarvan er vier niet-geverifieerde bufferoverflow-problemen zijn die kunnen leiden tot uitvoering van externe code (RCE). Deze kwetsbaarheden zijn kritiek, met een CVSS-score van 9.8. De vier kritieke kwetsbaarheden hebben CVE-nummers: CVE-2024-26305, CVE-2024-26304, CVE-2024-33511 en CVE-2024-33512.

De kwetsbaarheden hebben impact op: Mobility Conductor (voorheen Mobility Master), Mobility Controllers en WLAN Gateways en SD-WAN Gateways beheerd door Aruba Central en zijn aanwezig in de volgende softwareversies:

• ArubaOS 10.5.1.0 en lager
• ArubaOS 10.4.1.0 en lager
• ArubaOS 8.11.2.1 en lager, en
• ArubaOS 8.10.0.10 en lager

De kwetsbaarheden hebben ook invloed op de ArubaOS- en SD-WAN-softwareversies die het einde van de onderhoudsstatus hebben bereikt (EoL zijn):

• ArubaOS 10.3.x.x
• ArubaOS 8.9.x.x
• ArubaOS 8.8.x.x
• ArubaOS 8.7.x.x
• ArubaOS 8.6.x.x
• ArubaOS 6.5.4.x
• SD-WAN 8.7.0.0-2.3.0.x, en
• SD-WAN 8.6.0.4-2.2.x.x

Volgens een rapport van The Shadowserver Foundation zijn er in Nederland nog steeds systemen kwetsbaar voor de kritieke kwetsbaarheid in CrushFTP. Door de kwetsbaarheid uit te buiten kunnen kwaadwillenden de authenticatie voor admin-accounts omzeilen en de mogelijkheid krijgen tot volledige remote code execution. Er is een patch beschikbaar, het advies is om deze zo snel mogelijk te installeren.

Rhino Security Labs heeft een kritieke kwetsbaarheid ontdekt in Progress Flowmon, een tool dat wordt gebruik voor netwerkbewaking en -analyse. Deze kwetsbaarheid, CVE-2024-2389 heeft een CVSS-score van 10. Uitbuiting van deze kwetsbaarheid maakt het voor kwaadwillenden mogelijk om op afstand ongeautoriseerde commando’s uit te voeren via een speciaal vervaardigde API-aanvraag. Zo kunnen zij zich toegang verschaffen tot de Flowmon webinterface om daar vervolgens willekeurige systeemcommando’s uit te voeren.

Verder een waarschuwing voor twee zero-day kwetsbaarheden in Cisco Adaptive Security Appliance (ASA) en Firepower Threat Defence (FTD) firewalls die actief worden uitgebuit. De kwetsbaarheden zijn geidentificeerd als CVE-2024-20353 (denial of service) en CVE-2024-20359 (persistent local code execution). Er is een patch beschikbaar, het advies is om deze zo snel mogelijk te installeren.

Okta waarschuwt voor een piek in zowel de omvang als de frequentie van credential stuffing-aanvallen die zijn gericht op haar oplossingen voor identiteits- en toegangsbeheer. Een aantal klantaccounts zijn bij de aanvallen gebreached. Kwaadwillenden gebruiken credential stuffing om gebruikersaccounts te compromitteren door op een geautomatiseerde manier lijsten met gebruikersnamen en wachtwoorden uit te proberen die doorgaans van cybercriminelen zijn gekocht.

In het onderzoek van Pierre Barre, een zelfstandig security expert, zijn 18 kwetsbaarheden gepubliceerd voor de Brocade SANnav storage area network (SAN) management applicatie. De kwetsbaarheden hebben impact op alle versies tot en met 2.3.0. De problemen variëren van onjuiste firewallregels, onveilige root-toegang en verkeerde Docker-configuraties tot een gebrek aan authenticatie en encryptie, waardoor een kwaadwillende inloggegevens kan onderscheppen, willekeurige bestanden kan overschrijven en zich volledige toegang tot het apparaat kan verschaffen. Hewlett Packard Enterprise heeft vanaf 18 april 2024 ook patches verzonden voor een subset van deze kwetsbaarheden in HPE SANnav Management Portal versies 2.3.0a en 2.3.1.

CrushFTP waarschuwt gebruikers voor een kritieke kwetsbaarheid die momenteel actief wordt uitgebuit door kwaadwillenden. Door de kwetsbaarheid te misbruiken kan een niet-geauthenticeerde aanvaller zich buiten het virtual file system (VFS) bewegen en systeembestanden downloaden. Systemen waar gebruik wordt gemaakt van een DMZ-perimeternetwerk voor hun CrushFTP instance zijn op dit moment niet kwetsbaar. Er zijn patches beschikbaar.

Verder heeft Palo Alto een update gepubliceerd met betrekking tot de kwetsbaarheid in Palo Alto PAN-OS. De kwetsbaarheid is een combinatie van twee fouten in de versies PAN-OS 10.2, PAN-OS 11.0 en PAN-OS 11.1 van de software. De eerste is het niet voldoende valideren van het sessie-ID-formaat voordat deze werd opgeslagen door de GlobalProtect-service. Hierdoor kon een kwaadwillende een leeg bestand opslaan met een door de kwaadwillende gekozen bestandsnaam. Bij de tweede werd erop vertrouw dat de bestanden door het systeem werden gegenereerd waarna deze bestandsnamen als deel van een opdracht werden gebruikt.

Een kwetsbaarheid in GitHub wordt door kwaadwillenden misbruik om malware te verspreiden. Deze verspreiding vindt plaats via URL’s die zijn gekoppeld aan een Microsoft-repository, waardoor de bestanden betrouwbaar lijken. Hoewel het grootste deel van de malware-activiteit is gebaseerd op de Microsoft GitHub-URL’s, kan deze mogelijkheid worden misbruikt met elke openbare repository op GitHub.

Momenteel worden Lastpass-gebruikers door kwaadwillenden actief benaderd met een telefonische phishing (voice phishing) campagne in een poging de inloggegevens te stelen. Nadat er telefonisch contact is met een persoon die zich als helpdeskmedewerker voordoet, wordt er een mail gestuurd naar het slachtoffer met een link die verwijst naar een phishingsite. Wanneer de Lastpass-gebruiker hier zijn gegevens invoert zal de kwaadwillende proberen met deze gegevens in te loggen en de instellingen aan te passen. Volgens onderzoekers van Lookout wordt er bij deze aanval gebruik gemaakt van CryptoChameleon, geavanceerde software die ook wordt geassocieerd met de diefstal van crypto.

Palo Alto heeft patches vrijgegeven voor een kritieke kwetsbaarheid in de PAN-OS GlobalProtect Gateway. De kwetsbaarheid (CVE-2024-3400, CVSSv4-score 10) geeft een niet-geauthentiseerde aanvaller de mogelijkheid om op afstand willekeurige code uit te voeren en wordt momenteel actief uitgebuit. De patches die momenteel beschikbaar zijn betreffen updates voor de versies PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1 en PAN-OS 11.1.2-h3. Voor andere versies worden op korte termijn patches verwacht. Recent is hier een T-Update over verschenen, meer informatie vind je in onze blog.

Telegram heeft recent een zero-day kwetsbaarheid in haar Windows-desktopapplicatie gerepareerd. Uitbuiten van deze kwetsbaarheid zorgde ervoor dat een kwaadwillende de beveiligingswaarschuwingen kon omzeilen en automatisch Python-scripts kon starten. Momenteel is deze kwetsbaarheid opgelost door aan de serverzijde de .untrusted-extensie aan pyzw-bestanden toe te voegen, waardoor Windows, wanneer erop wordt geklikt, vraagt welk programma je wilt gebruiken om deze bestanden te openen, in plaats van automatisch te starten in Python.

Onderzoekers van Phylum hebben ontdekt dat ‘testbestanden’ die verband houden met de kwetsbaarheid in XZ Utils (liblzma-sys) ook zijn gevonden in een Rust crate. Liblzma-sys, dat tot nu toe meer dan 21.000 keer is gedownload, biedt Rust-ontwikkelaars connecties met de liblzma-implementatie, een onderliggende bibliotheek die deel uitmaakt van de XZ Utils-datacompressiesoftware. De getroffen versie in kwestie is 0.3.2. De testbestanden zelf zijn niet opgenomen in de .tar.gz- noch de .zip-tags op GitHub en zijn alleen aanwezig in liblzma-sys_0.3.2.crate die is geïnstalleerd vanuit Crates.io.

Tot slot heeft het Rust project een update vrijgegeven voor haar standaardbibliotheek. Dit nadat bekend werd dat een specifieke functie die wordt gebruikt om batchbestanden op Windows-systemen uit te voeren, kan worden misbruikt via een injectiefout. De reeks gemeenschappelijke functies van de Rust-programmeertaal, bekend als de standaardbibliotheek, biedt de mogelijkheid – naast de vele andere mogelijkheden – om Windows-batchbestanden uit te voeren via de Command API. De functie verwerkte de invoer naar de API echter niet strikt genoeg waardoor de mogelijkheid van het injecteren van code in de uitvoering niet werd voorkomen.

‍

Ongeveer 16.500 Ivanti Connect Secure en Poly Secure gateways die met het publieke internet in verbinding staan zijn waarschijnlijk kwetsbaar voor een Remote Code Execution (RCE) kwetsbaarheid. De kwetsbaarheid is geregistreerd als CVE-2024-21894 en betreft een ernstige heap-overflow in de IPSec-component van Ivanti Connect Secure 9.x en 22.x. Door deze kwetsbaarheid uit te buiten kunnen kwaadwillenden mogelijk Denial of Service (DoS) veroorzaken of RCE bereiken door het verzenden van speciaal vervaardigde verzoeken.

Meer dan 92.000 D-Link NAS-apparaten zijn kwetsbaar voor een willekeurige opdrachtinjectie en een hardgecodeerde backdoor die, wanneer deze gecombineerd worden, ervoor kan zorgen dat een kwaadwillende op afstand code kan uitvoeren op het apparaat. De kwetsbaarheid is geregistreerd als CVE-2024-3273. Er zijn geen patches beschikbaar omdat de apparaten die kwetsbaar zijn de status End Of Life (EOL) hebben. Het advies is om de apparaten te vervangen door nieuwere types. Mocht dat niet mogelijk zijn, dan wordt geadviseerd om in ieder geval de laatst beschikbare updates te installeren.

Onderzoekers van Proofpoint hebben samen met het onderzoeksteam van Team Cymru onderzoek gedaan naar Latrodectus-malware. Latrodectus is een downloader met als doel om payloads te downloaden en willekeurige opdrachten uit te voeren. Er werd aangenomen dat deze malware een geëvolueerde versie is van IcedID-loader. Uit verdere analyse is gebleken dat Latrodectus nieuwe malware betreft die, op basis van de kenmerken van het geanalyseerde voorbeeld en de functionaliteit van de malware, is geschreven door dezelfde ontwikkelaars als IcedID.

Uit onderzoek van Wiz is gebleken dat aanbieders van AI-as-a-Service vatbaar zijn voor twee grote risico’s die ervoor kunnen zorgen dat kwaadwillenden hun privileges kunnen vergroten, cross-tenant toegang kunnen krijgen tot de modellen van andere klanten en zelfs de CI/CD-pijplijnen over kunnen nemen. Zo kunnen kwaadwillenden bijvoorbeeld de CI/CD-pijplijn overnemen om een supply chain aanval uit te voeren.

Kwaadwillenden hebben Facebook-advertenties en gekaapte pagina’s gebruikt om valse AI-diensten te promoten, zoals van MidJourney, OpenAI’s SORA en ChatGPT-5, en DALL-E. Het doel van deze advertenties en pagina’s is om nietsvermoedende gebruikers te infecteren met wachtwoordstelende malware. Gebruikers die door de advertenties worden misleid, worden lid van frauduleuze Facebook-communities. De communityposts promoten echter vaak tijdelijke toegang tot komende en langverwachte AI-services, waardoor de gebruikers worden misleid om kwaadaardige uitvoerbare bestanden te downloaden die Windows-computers infecteren met infostealers, zoals Rilide, Vidar, IceRAT en Nova.

Red Hat waarschuwt voor een code injection kwetsbaarheid in XZ Utils, het compressiehulpprogramma voor het XZ-formaat dat is opgenomen in Unix-achtige besturingssystemen zoals Linux. De kwetsbaarheid (CVE-2024-3094 met een CVSS-score van 10.0) betreft twee versies van Fedora Linux 40 beta, versie 5.6.0 en versie 5.6.1 en Fedora Rawhide. De code-injection (CVE-2024-3094) injecteert code in het authenticatieproces waardoor kwaadwillende actoren externe toegang tot het systeem kunnen krijgen. Gebruikers wordt geadviseerd om het hulpprogramma te downgraden naar een veiligere versie of SSH volledig uitschakelen. Meer informatie over deze kwetsbaarheid is te vinden in onze blog.

Cisco waarschuwt voor password-spraying aanvallen op vpn-diensten. Deze waren in eerste instantie gericht op firewalls en SSLVPN-apparaten van Fortinet, Palo Alto, WatchGuard, SonicWall en Cisco, maar zijn uitgebreid met webapps die Active Directory gebruiken voor authenticatie. Cisco heeft mitigerende maatregelen gepubliceerd. De aanvallen lijken volgens een onderzoeker, op basis van onder andere het aanvalspatroon, gerelateerd te zijn aan het Brutus-botnet.

Apple macOS-gebruikers zijn momenteel het doelwit van twee verschillende infostealer varianten. Beide hebben hetzelfde doel, namelijk gevoelige gebruikersinformatie stelen. De infostealers worden via nepwebsites en malafide advertenties verspreid. Een van de aanvalsketens is gericht op gebruikers die via zoekmachines als Google naar ARc Browser zoeken en vervolgens een malafide advertentie gepresenteerd krijgen. Deze advertentie leidt de gebruiker vervolgens naar vergelijkbare sites die de malware aanbieden. De nepsite is niet rechtstreeks te benaderen, maar alleen toegankelijk via een gegenereerde gesponsorde link.

Een kwetsbaarheid in de wall-opdracht van het util-linux-pakket dat deel uitmaakt van het Linux-besturingssysteem zou een onbevoegde aanvaller in staat kunnen stellen wachtwoorden te stelen of het klembord van het slachtoffer te wijzigen. De kwetsbaarheid is geregistreerd als CVE-2024-28085, wordt WallEscape genoemd en is de afgelopen 11 jaar in elke versie van het pakket aanwezig geweest, tot en met 2.40 die gisteren werd uitgebracht.

Onderzoekers van het National Cyber Security Centre (NCSC) in de UK hebben een proof-of-concept (PoC) exploit gepubliceerd voor een kritieke kwetsbaarheid in Fortinets FortiClient Enterprise Management Server (EMS) software die momenteel actief wordt uitgebuit. Deze kwetsbaarheid (CVE-2023-48788, met een CVSS-score van 9.3) heeft invloed op FortiClient EMS versies 7.0 (7.0.1 tot en met 7.0.10) en 7.2 (7.2.0 tot en met 7.2.2). Er zijn patches beschikbaar, het advies is om deze zo snel mogelijk te installeren.

Onderzoekers van Tenable hebben details gepubliceerd over een inmiddels gepatchte kwetsbaarheid in Amazon Web Services (AWS) Managed Workflows voor Apache Airflow (MWAA). Door deze kwetsbaarheid uit te buiten kon een kwaadwillende sessies kapen en externe code uitvoeren op de onderliggende instances.

Tot slot informatie over een nieuwe reeks StrelaStealer phishing-aanvallen. StrelaStealer richt zich op het stelen van credentials van onder andere Outlook e-mailaccounts. Onderzoekers van Unit 42 geven aan dat in deze aanvalsgolf impact heeft op meer dan 100 organisaties in zowel de EU als de VS. In een poging om detectie te voorkomen, veranderen de kwaadwillenden het initiële bestandsformaat van de e-mailbijlages. In plaats van de eerder gebruikte ISO-files wordt er tegenwoordig gebruik gemaakt van ZIP-files en worden onder andere PDB-tekenreeksen verwijderd om detectie door tools die gebruik maken van statische signatures te omzeilen.

Onderzoekers van G Data hebben een aantal GitHub repositories gevonden die gekraakte software aanbieden, die wordt gebruikt voor het leveren van RisePro infostealer. Deze infostealer heeft nieuwe string-encryptie en een aangepast MSI-installatieprogramma dat omkeerprogramma’s zoals IDA laat crashen. De campagne omvat in ieder geval 13 repositories die zijn gekoppeld aan 11 verschillende accounts. De betreffende repositories zijn inmiddels verwijderd.

Daarnaast hebben onderzoekers van Netskope ontdekt dat kwaadwillenden de infostealer AXORult verspreiden via malafide Google-sites. Hierbij wordt gebruik gemaakt van een onorthodoxe HTML-smokkeltechniek waarbij de kwaadaardige lading is ingebed in een afzonderlijk JSON-bestand dat op een externe website wordt gehost.

Uit onderzoek van IBM X-Force blijkt dat de aan Rusland gelinkte threat actor APT28 in verband kan worden gebracht met meerdere actieve phishing-campagnes. In deze campagnes wordt gebruik gemaakt van documenten die lijken op die van meerdere organisaties en overheidsinstellingen in onder andere Europa. Deze documenten zijn een mix van interne en openbaar beschikbare documenten, evenals mogelijke door de kwaadwillende gegenereerde documenten. De documenten houden verband met onder andere financiën, kritieke infrastructuur, cyberveiligheid, maritieme veiligheid en gezondheidszorg. Andere acties van deze kwaadwillende betreffen het uitbuiten van kwetsbaarheden in Microsoft Outlook, waaronder CVE-2023-23397, met een CVSS-score van 9,8.

Onderzoekers van Cyble geven aan dat zij in maart het aantal pogingen tot het uitbuiten van CVE-2024-23334 heeft zien toenemen door ransomwaregroepering ShadowSyndicate. De kwetsbaarheid betreft een directory traversal kwetsbaarheid die zich bevindt in de aiohttp Python library. Aiohttp is een open-sourcebibliotheek die is gebouwd bovenop het asynchrone I/O-framework van Python, Asyncio.

Magnet Goblin is een financieel gemotiveerde hackersgroepering die snel 1-day kwetsbaarheden uitbuit om servers met internettoegang te compromitteren en malware te installeren. Hierbij wordt gebruik gemaakt van het tijdsvenster tussen het publiceren van een patch door de leverancier voor een kwetsbaarheid, en het daadwerkelijk patchen van de kwetsbaarheid door organisaties. Check Point heeft hun tactieken geanalyseerd en waarschuwt voor hun snelle reactietijd op nieuwe Proof of Concepts (PoC’s). In sommige gevallen worden kwetsbaarheden de dag nadat een Proof of Concept is gepubliceerd reeds uitgebuit.

Cisco heeft patches vrijgegeven om een kwetsbaarheid op te lossen in haar Secure Client software. De kwetsbaarheid, CVE-2024-20337, heeft een CVSS-score van 8,2 en stelde een kwaadwillende in staat om een Carriage Return Line Feed (CRLF) injectieaanval op een gebruiker uit te voeren. Het succesvol uitbuiten van de kwetsbaarheid zou een kwaadwillende in staat kunnen stellen willekeurige scriptcode in de browser uit te voeren of toegang te krijgen tot gevoelige, browser gebaseerde informatie.

QNAP waarschuwt voor kwetsbaarheden in zijn NAS-softwareproducten. De kwetsbaarheden (CVE-2024-21899, CVE-2024-21900 en CVE-2024-21901) hebben impact op verschillende versies van de besturingssystemen van QNAP, waaronder QTS 5.1.x, QTS 4.5.x, QuTS hero h5.1.x, QuTS hero h4.5.x, QuTScloud c5.x en de myQNAPcloud 1.0.x service. Het uitbuiten van de kwetsbaarheden kan ertoe leiden dat kwaadwillenden toegang krijgen tot deze apparaten. De kwetsbaarheden betreffen een authentication bypass, een commando-injectie en een SQL-injectie. Er zijn patches beschikbaar gesteld door QNAP.

Er zijn technische details en een proof-of-concept (PoC)-exploit beschikbaar gesteld voor een recent vrijgegeven kritieke kwetsbaarheid in Progress Software OpenEdge Authentication Gateway en AdminServer. Kwaadwillenden kunnen deze kwetsbaarheid uitbuiten om authenticatiebeveiligingen te omzeilen. De kwetsbaarheid, CVE-2024-1403, heeft CVSS-score van 10. Deze kwetsbaarheid heeft impact op OpenEdge-versies 11.7.18 en eerder, 12.2.13 en eerder, en 12.8.0.

Uit onderzoek van Avast blijkt dat hackersgroepering Lazarus de recent gepatchte privilege-escalatiefout in de Windows-kernel uitbuit om toegang te krijgen op kernelniveau. Na het verkrijgen van toegang kunnen zij de beveiligingssoftware op de gecompromitteerde systemen uitschakelen. De misbruikte kwetsbaarheid is CVE-2024-21338 met een CVSS-score van 7,8. Misbruik van deze kwetsbaarheid kan ervoor zorgen dat een kwaadwillende systeemrechten verkrijgt. De kwetsbaarheid werd eerder deze maand opgelost als onderdeel van de Patch Tuesday updates.

Uit onderzoek van JPCERT/CC blijkt dat Lazarus vier pakketten heeft geüpload naar de Python Package Index (PyPI) repository, met als doel ontwikkelsystemen te infecteren met malware. De pakketten zijn inmiddels verwijderd. Het gaat om pycryptoenv, pycryptoconf, quasarlib en swapmempool. Deze zijn gezamenlijk 3.269 keer gedownload, waarbij pycryptoconf met 1.351 de meeste downloads voor zijn rekening neemt. De pakketnamen pycryptoenv en pycryptoconf zijn vergelijkbaar met pycrypto, een Python-pakket dat wordt gebruikt voor versleutelingsalgoritmen in Python.

Securityleverancier JFrog heeft 100 kwaadaardige modellen voor kunstmatige intelligentie (AI)/machine learning (ML) ontdekt in het Hugging Face-platform. Deze modellen omvatten ook gevallen waarin het laden van een pickle-bestand leidt tot het uitvoeren van code. De payload van het model geeft de kwaadwillende een shell op het gecompromitteerde systeem, waardoor deze volledige controle kan krijgen over de machines van zijn slachtoffers.

‍

ConnectWise heeft kwetsbaarheden verholpen in ScreenConnect. ScreenConnect is remote support software die op afstand toegang biedt tot interne systemen. Een ongeautoriseerde aanvaller kan deze kwetsbaarheden benutten om een nieuw administratoraccount aan te maken en/of externe uitvoering van code te initiëren, met alle risico’s van dien. Meer informatie over de kwetsbaarheden en de te nemen maatregelen vind je in onze blog.

Onderzoekers zien momenteel een piek in e-mail phishingcampagnes die de Google Cloud Run service misbruiken om verschillende bank-trojans te verspreiden binnen onder andere Europa. Onderzoekers van Cisco Talos maakten bekend dat de infectieketens die verband houden met deze malwarefamilies, gebruik maken van kwaadaardige Microsoft Installers (MSI’s) die fungeren als droppers of downloaders voor de uiteindelijke malware-payload(s).

De kwaadwillenden achter ransomwaregroepering LockBit zijn opnieuw actief. Afgelopen week werd een groot deel van de infrastructuur door de wetshandhavingsinstanties op non-actief werd gesteld. Doordat de back-ups niet geraakt zijn door de autoriteiten is LockBit inmiddels terug met een nieuwe infrastructuur en een nieuw .onion-adres voor het publiceren van slachtoffers.

Wij vinden het belangrijk om organisaties te informeren over trends en ontwikkelingen op het gebied van cybersecurity. Tesorion is een van de deelnemers aan het samenwerkingsverband Project Melissa, dat is opgericht in de strijd tegen ransomware-aanvallen. Afgelopen week presenteerde Project Melissa het ‘Jaarbeeld Ransomware 2023’. Dit jaarbeeld biedt inzicht in de ransomware-aanvallen in Nederland en is opgesteld met geanonimiseerde gegevens aangeleverd door aangesloten cybersecuritybedrijven, politie, OM en het NCSC. Uit dit jaarbeeld blijkt onder andere dat 58 procent van de Nederlandse slachtoffers niet beschikte over een back-up.

‍

Recent heeft Fortinet twee advisories gepubliceerd. In de eerste wordt CVE-2024-21762beschreven. Via deze kwetsbaarheid kan een niet-geauthentiseerde aanvaller op afstand willekeurige code uitvoeren via de FortiOS SSL VPN-interface met behulp van specifiek vervaardigde verzoeken. In de tweede Advisory, wordt CVE-2024-23113 beschreven. Via dit beveiligingslek in de FortiOS FortiGate-to-FortiManager (FGFM) interface kan een niet-geauthentiseerde externe aanvaller ook willekeurige code of opdrachten uitvoeren via speciaal vervaardigde verzoeken. Beide kwetsbaarheden hebben een CVSS-score van 9.8 en worden reeds in het wild uitgebuit. Voor geen van de kwetsbaarheden is momenteel publieke exploit-code beschikbaar. Meer informatie is beschikbaar via de blog.

Ivanti heeft een nieuwe kwetsbaarheid vrijgegeven die Connect Secure, Policy Secure en ZTA gateways treft. Deze nieuwe kwetsbaarheid, CVE-2024-22024, heeft een CVSS-score van 8.3. Deze kwetsbaarheid stelt kwaadwillenden in staat om zonder authenticatie afgeschermde resources te benaderen. Er zijn geen aanwijzingen dat deze kwetsbaarheid momenteel wordt uitgebuit, in tegenstelling tot de eerder gepubliceerde kwetsbaarheden CVE-2023-46805, CVE-2024-21887 en CVE-2024-21893. De mitigatie van 31 januari biedt ook bescherming tegen CVE-2024-22024, daarnaast zijn er nu ook patches beschikbaar. Wij adviseren deze patches zo snel mogelijk te installeren.

Momenteel wordt er nieuwe, in Rust geschreven macOS-malware verspreid. Deze doet zich voor als een Visual Studio Update. De malware, genaamd RustDoor, biedt een backdoor tot de getroffen systemen. RustDoor kan draaien op Intel-gebaseerde (x86_64) en ARM (Apple Silicon) architecturen, zeggen onderzoekers van cyberbeveiligingsbedrijf Bitdefender. De macOS backdoor wordt aangeboden onder verschillende namen, waaronder ‘zshrc2,’ ‘Previewers,’ ‘VisualStudioUpdater,’ ‘VisualStudioUpdater_Patch,’ ‘VisualStudioUpdating,’ ‘visualstudioupdate,’ en ‘DO_NOT_RUN_ChromeUpdates’. De malware bevat een breed palet aan opdrachten om onder andere bestanden te uploaden, te verzamelen en informatie over het endpoint te verzamelen.

Wij beginnen deze WakeUp Wednesday met de aanval op softwarebedrijf AnyDesk. AnyDesk, maker van remote desktop software, geeft aan dat tijdens een securityaudit gebleken is dat de productiesystemen zijn gecompromitteerd. Alle beveiligingsgerelateerde certificaten zijn ingetrokken en de systemen zijn, daar waar nodig, hersteld of vervangen. Ook zal binnenkort het code signing certificate voor de binaries worden ingetrokken en worden vervangen door een nieuw exemplaar. Uit voorzorg zijn ook de wachtwoorden voor het webportaal ingetrokken en wordt gebruikers gevraagd om, indien zij hetzelfde wachtwoord ook op andere plekken gebruiken, het wachtwoord daar ook te wijzigen.

Onderzoekers van Snyk hebben vier kritieke kwetsbaarheden ontdekt in container engine componenten. Deze vier kwetsbaarheden (CVE-2024-21626, CVE-2024-23651, CVE-2024-23653 en CVE-2024-23652) samen zijn ‘Leaky Vessels’ genoemd. De kwetsbaarheid die het meest urgent aandacht vereist is CVE-2024-21626, met een CVSS-score van 8.6. Deze kwetsbaarheid heeft impact op runC, de lichtgewicht container runtime voor Docker en andere container-omgevingen. Het uitbuiten van deze kwetsbaarheid kan tot gevolg hebben dat een aanvaller ongeauthoriseerde toegang krijgt tot het onderliggende hostbesturingssysteem en mogelijk toegang krijgen tot al het andere dat op dezelfde host draait.
De Buildkit, runc en Dockers hebben een update uitgebracht waarin de kwetsbaarheden zijn verholpen. De CISA spoort cloud system administrators aan om snel passende maatregelen te treffen om het uitnutten van de kwetsbaarheid tegen te gaan.

Een kritieke kwetsbaarheid in het social media netwerk Mastodon maakt het mogelijk dat Mastodon-accounts op afstand worden overgenomen. De kwetsbaarheid, CVE-2024-23832, heeft een CVSS-score van 9.4. Er is inmiddels een beveiligingsupdate uitgebracht om de kwetsbaarheid te verhelpen. Technische details over de kwetsbaarheid worden op 15 februari vrijgegeven. Dit geeft beheerders de mogelijkheid de beschikbare update te installeren voordat de details bekend zijn en kans op uitbuiting vergroot wordt.

Cisco heeft bekendgemaakt dat haar Unified Communications en Contact Center Solutions producten kwetsbaar zijn voor een kritieke kwetsbaarheid (CVE-2024-20253). Deze kwetsbaarheid stelt een aanvaller in staat om op afstand code uit te voeren en root-toegang te verkrijgen tot het getroffen apparaat. De kwetsbaarheid heeft een CVSS-score van 9.9. Wij adviseren om de beschikbare patches zo snel mogelijk te installeren.

Onderzoekers van Fortinet hebben nieuwe kwaadaardige malwarepackages ontdekt in de open-source Python Package Index (PyPI). De malware infecteert Windows-systemen met een infostealer genaamd WhiteSnake Stealer. Deze malwarepakketjes zijn genaamd nigpal, telerer, seGMM, myGens, NewGends en TestLibs111. Afhankelijk van het besturingssysteem van de apparaten van de slachtoffers wordt de malware uitgevoerd wanneer de eerder genoemde Python-pakketjes worden geïnstalleerd.

Twee weken geleden kwamen in de WakeUp Wednesday twee kritieke kwetsbaarheden in GitLab aan bod (CVE-2023-7028) en (CVE-2023-5356). GitLab waarschuwt nu opnieuw voor een kwetsbaarheid (CVE-2024-0402), waarbij een geauthenticeerde aanvaller bestanden naar willekeurige locaties op de GitLab-server kan schrijven bij het aanmaken van een workspace. De kwetsbaarheid heeft een CVSS-score van 9.9 en is verholpen in GitLab 16.6.6, 16.7.4 en 16.8.1. Daarnaast is de oplossing ook geïmplementeerd in versie 16.5.8. Wij adviseren om de update zo snel mogelijk te installeren.

Tot slot waarschuwt de AIVD voor het gebruik van Quantum Key Distribution (QKD). Deze methode voor het uitwisselen van encryptiesleutels zou onveilig zijn omdat er geen garantie is dat de quantumkanalen niet worden afgeluisterd of gemanipuleerd door derden. De QKD-technologie is volgens de AIVD in de meeste gevallen onbruikbaar doordat er diverse beperkingen zijn bij het toepassen van de technologie. Zo is er speciale hardware nodig en is er een beperkt bereik doordat QKD-systemen gebruik maken van een directe glasvezelverbinding of van lichtsignalen. Het bereik is daardoor niet groter dan enkele honderden kilometers.

‍

s een toename in aanvallen gesignaleerd waarbij de Ivanti Connect Secure en Ivanti Policy Secure kwetsbaarheden worden misbruikt. Deze kwetsbaarheden stellen aanvallers in staat om toegang te krijgen tot gevoelige informatie en systemen. De laatste informatie met betrekking tot deze kwetsbaarheden (CVE-2023-46805 en CVE-2024-21887) vind je in onze blog. Op dit moment zijn er nog geen beveiligingsupdates beschikbaar, wel is het mogelijk om mitigerende maatregelen te nemen om het risico te verkleinen. Onze blog bevat ook de planning van Ivanti voor het uitbrengen van de beveiligingsupdates.

Een andere ernstige bedreiging is de Apache ActiveMQ (CVE-2023-46604) kwetsbaarheid, die actief wordt uitgebuit door verschillende cybercriminelen. De kwetsbaarheid in Apache Active MQ maakt het uitvoeren van code op afstand mogelijk. Sinds de bekendmaking van deze kwetsbaarheid wordt deze actief uitgebuit door meerdere kwaadwillenden om ransomware, rootkits, cryptocurrency-mijnwerkers en DDoS-botnets uit te rollen. Onderzoekers van Trustwave zien daarbij een nieuwe Godzilla web shell die zich vermomt als een onbekend binary formaat en zo detectie door beveiligingsoplossingen ontwijkt. Er is een patch beschikbaar voor CVE-2023-46604, het advies is om deze zo snel mogelijk te installeren.

Tot slot een waarschuwing voor een oude, maar nog steeds effectieve aanvalstechniek: het misbruiken van TeamViewer om ransomware te verspreiden. Volgens een rapport van Huntress blijkt dat ransomwaregroeperingen nog steeds van deze methode gebruik maken om toegang te krijgen tot apparaten en vervolgens hun kwaadaardige lading afleveren. Dit misbruik kan in veel gevallen worden voorkomen door sterke wachtwoorden te gebruiken, multifactorauthenticatie in te schakelen en TeamViewer alleen te gebruiken waar en wanneer dat nodig is.

‍

Ivanti Connect Secure VPN bevat twee kwetsbaarheden die samen een ernstige bedreiging vormen voor de beveiliging van het systeem. De eerste kwetsbaarheid (CVE-2023-46805) maakt het mogelijk om de authenticatie te omzeilen en toegang te krijgen tot het systeem zonder geldige inloggegevens. De tweede kwetsbaarheid (CVE-2024-21887) maakt het mogelijk om commando’s te injecteren en uit te voeren op het systeem. Een aanvaller kan zo de configuratie, bestanden en netwerkverbindingen van het systeem manipuleren of overnemen. Het is daarom belangrijk om zo snel mogelijk de beschikbare updates te installeren of de toegang tot het systeem te beperken.

Juniper Networks SRX-serie firewalls en EX-serie switches hebben een kritieke kwetsbaarheid (CVE-2024-21591) in het J-Web configuratietool. Deze kwetsbaarheid heeft een CVSS-score van 9,8 en maakt het mogelijk om op afstand code uit te voeren op de apparaten zonder authenticatie. Een aanvaller kan zo root-privileges verkrijgen, het apparaat onbruikbaar maken of Denial-of-Service (DoS)-aanvallen uit te voeren. Het wordt sterk aangeraden om de beveiligingsupdates te installeren of JunOS te upgraden naar de nieuwste versie. Als dat niet mogelijk is, kan men als tijdelijke oplossing het J-Web configuratietool uitschakelen of de toegang ertoe beperken tot alleen de vertrouwde netwerkhosts.

GitLab Community en Enterprise hebben twee kritieke kwetsbaarheden die het kapen van accounts mogelijk maken. De eerste kwetsbaarheid (CVE-2023-7028) heeft een CVSS-score van 10 en maakt het mogelijk om accounts over te nemen zonder gebruikersinteractie. De tweede kwetsbaarheid (CVE-2023-5356) heeft een CVSS-score van 9.6 en maakt het mogelijk om Slack/Mattermost-integraties te misbruiken om slash-opdrachten uit te voeren als een andere gebruiker. Het wordt aangeraden om zo snel mogelijk de updates te installeren.

Er is een nieuwe remote code execution kwetsbaarheid ontdekt in Apache Rocket MQ NameServer, die niet is opgelost door de vorige patch. Deze kwetsbaarheid, CVE-2023-37582, stelt aanvallers in staat om willekeurige code uit te voeren op de getroffen servers. De aanbevolen oplossing is om de NameServer te upgraden naar versie 5.1.2/4.9.7.

Er zijn drie kwaadaardige Python-pakketten gevonden in de open source-repository Python Package Index (PyPI), die crypto-miners kunnen installeren op Linux-apparaten. De pakketten, modularseven, driftme en catme, zijn verwant aan een eerdere campagne die gebruik maakte van culturestreak; aldus onderzoek van Fortinet. De pakketten zijn inmiddels verwijderd uit PyPI.

Meerdere implementaties van het Kyber-key encapsulation mechanism (KEM) voor kwantumveilige encryptie zijn kwetsbaar voor een reeks fouten die gezamenlijk KyberSlash wordt genoemd. Deze kunnen het mogelijk herstel van geheime sleutels mogelijk maken. Kyber is een van de algoritmes die door NIST (National Institute of Standards and Technology) zijn geselecteerd om aanvallen van kwantumcomputers te weerstaan.

Ivanti heeft een update uitgebracht om een remote code execution kwetsbaarheid te verhelpen in de Endpoint Management software (EPM). Deze kwetsbaarheid kan kwaadwillenden in staat stellen om controle te krijgen over geregistreerde apparaten of de server. De kwetsbaarheid, geregistreerd als CVE-2023-39336, treft alle ondersteunde Ivanti EPM versies. Er is een patch beschikbaar.

‍