Captain Kirk

Bijna een miljoen computers zijn via illegale streamingwebsites besmet geraakt met malware, zo claimt Microsoft. Het gaat zowel om systemen van thuisgebruikers als bedrijven, aldus het techbedrijf in een analyse. De illegale streamingwebsites lieten gebruikers illegaal films kijken. Tijdens het bekijken van de films werden gebruikers automatisch doorgestuurd naar een andere website waarop malware werd aangeboden. Zodra slachtoffers de malware hadden gedownload en uitgevoerd werd er informatie over het systeem verzameld en aanvullende malware geïnstalleerd om documenten te stelen. Het ging onder andere om verschillende infostealers die zijn ontwikkeld om allerlei inloggegevens van besmette systemen te stelen. De aanvallers hadden de malware bij GitHub gehost, waar de malafide bestanden inmiddels zijn verwijderd. bron: https://www.security.nl

1Password heeft een nieuwe feature aan de wachtwoordmanager toegevoegd waardoor gebruikers wachtwoorden op basis van hun locatie getoond krijgen. Via de feature kunnen gebruikers opgeslagen wachtwoorden aan een fysieke locatie koppelen. Wanneer gebruikers in de buurt van deze locatie zijn zal 1Password die tonen. Dit moet volgens de wachtwoordmanager het eenvoudiger maken om wachtwoorden te gebruiken. 1Password stelt dat locatiegegevens niet worden opgeslagen, gedeeld of gevolgd. De controle op relevante wachtwoorden vindt lokaal plaats, zo laat 1Password verder weten. De coördinaten zouden dan ook niet de telefoon verlaten en voor geen andere doeleinden worden gebruikt. Gebruikers kunnen de optie daarnaast zelf in- en uitschakelen. 1Password merkt op dat gebruikers 'third-party maps' kunnen gebruiken om locatiegegevens aan hun wachtwoorden toe te voegen. Wanneer gebruikers hiervoor kiezen kan de mapprovider verschillende informatie over de gebruiker verzamelen, waaronder ip-adres, betreffende locaties en het feit dat het verzoek van 1Password afkomstig is. Het gebruik van third-party maps staat standaard uitgeschakeld. bron: https://www.security.nl

Mozilla heeft een nieuwe versie van Firefox uitgebracht die websites standaard eerst via HTTPS laadt en als dit niet werkt terugvalt op HTTP. Daarnaast kunnen gebruikers nu hun browsegeschiedenis en ingevulde webformulieren los van elkaar verwijderen. Eén van de nieuwe features in Firefox 136 is 'HTTPS-First'. Voor elke website die gebruikers bezoeken wordt eerst geprobeerd die via HTTPS te laden. Is de website niet via HTTPS bereikbaar, dan zal de browser op een HTTP-verbinding terugvallen. "Dit zorgt ervoor dat niemand de inhoud van de pagina's die je bezoekt kan bekijken of op je website-verbinding kan inbreken om je wachtwoorden, creditcardgegevens en andere persoonlijke informatie te stelen", aldus Mozilla. "De meeste websites ondersteunen HTTPS en sommige ondersteunen zowel HTTP als HTTPS." Met HTTPS-First wordt altijd de veiligste optie gekozen als die beschikbaar is, voegt de Firefox-ontwikkelaar toe. Een andere aanpassing is in het menu voor het verwijderen van cookies en browsegegevens. Daarin is het nu mogelijk om browsegeschiedenis en ingevulde webformulieren los van elkaar te verwijderen. Updaten naar Firefox 136 kan via de automatische updatefunctie en Mozilla.org. bron: https://www.security.nl

Meer dan 37.000 VMware ESXi-servers die vanaf het internet benaderbaar zijn, waaronder ruim negenhonderd in Nederland, bevatten een actief misbruikte kwetsbaarheid, zo stelt The Shadowserver Foundation op basis van eigen onderzoek. Broadcom heeft inmiddels updates voor het beveiligingslek uitgebracht, maar misbruik vond al voor het uitkomen van de patch plaats. ESXi, onderdeel van VMware's vSphere, is een 'bare metal hypervisor' voor het virtualiseren van besturingssystemen. De virtualisatiesoftware wordt direct op een server geïnstalleerd en kan vervolgens het gevirtualiseerde besturingssysteem laden. Afgelopen dinsdag kwam Broadcom met updates voor drie actief aangevallen kwetsbaarheden in verschillende VMware-producten. Via de kwetsbaarheden kunnen aanvallers vanuit een virtual machine toegang tot de onderliggende hypervisor krijgen. Dit is de software waarmee virtual machines worden gemaakt en op draaien. De kwetsbaarheden (CVE-2025-22224, CVE-2025-22225 en CVE-2025-22226) zijn aanwezig in VMware ESXi, VMware Workstation Pro / Player (Workstation), VMware Fusion, VMware Cloud Foundation en VMware Telco Cloud Platform. De gevaarlijkste kwetsbaarheid is CVE-2025-22224. Het gaat om een out-of-bounds write waardoor een aanvaller vanuit de virtual machine code op de onderliggende host kan uitvoeren. De impact van deze kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. The Shadowserver Foundation voerde een online scan uit en ontdekte meer dan 37.000 VMware ESXi-servers die de update voor CVE-2025-22224 niet geïnstalleerd hadden. Het grootste deel daarvan bevindt zich in China, Frankrijk en de Verenigde Staten. In Nederland ging het gisteren nog om 926 machines. "Zodra je ESX-toegang hebt kun je alles op de ESX-server benaderen. Het gaat dan om zaken als VM-data en belangrijker ESX-configuratie en gekoppelde opslag. Via de ESX-configuratie en gekoppelde netwerkopslag kun je door de VMware-omgeving bewegen", aldus beveiligingsonderzoeker Kevin Beaumont. ESXi-kwetsbaarheden zijn in het verleden onder andere gebruikt voor cyberspionage en ransomware-aanvallen. Organisaties worden opgeroepen de updates te installeren mocht dat nog niet zijn gedaan. bron: https://www.security.nl

Criminelen die zich bezighouden met het verspreiden van de Black Basta- en Cactus-ransomware maken gebruik van 'e-mail bombing' voor het uitvoeren van social engineering-aanvallen, om zo toegang te krijgen tot de systemen van slachtoffers. Dat laat antivirusbedrijf Trend Micro weten. Bij de aanvallen ontvangt het slachtoffer als eerste een grote hoeveelheid e-mails. Vervolgens wordt het slachtoffer via Microsoft Teams benaderd door iemand die zich voordoet als een medewerker van de it-afdeling of helpdesk. De aanvaller laat het slachtoffer remote management tools installeren of een remote shell uitvoeren. Zodra er toegang tot het systeem is verkregen worden onder andere inloggegevens en vpn-configuratiebestanden gestolen. Wanneer de aanvallers verdere toegang binnen het netwerk hebben wordt gevoelige informatie gestolen en als laatste de ransomware uitgerold. Organisaties krijgen het advies om het gebruik van remote assistance tools te beperken, personeel te trainen over social engineering en best practices voor Microsoft Teams toe te passen. bron: https://www.security.nl

Een spionagegroep genaamd Silk Typhoon heeft bij meerdere cloudproviders ingebroken om vervolgens de klanten van deze bedrijven aan te vallen, zo beweert Microsoft. De groep maakt volgens een vandaag verschenen analyse van het techbedrijf gebruik van allerlei methodes om aanvallen uit te voeren. Het gaat dan om misbruik van kwetsbaarheden in edge devices waarvoor nog geen update beschikbaar is, password spraying, het gebruik van wachtwoorden in repositories en supplychain-aanvallen. Microsoft stelt dat het eind vorig jaar zag dat de groep gebruikmaakte van gestolen API keys en credentials van niet nader genoemde privilege access management (PAM), cloud app providers en cloud data management bedrijven om klanten van deze bedrijven aan te vallen. Daarbij heeft de groep het vooral voorzien op overheden en it-bedrijven, aldus Microsoft. Zodra er toegang is verkregen stelen de aanvallers allerlei gegevens, resetten het standaard admin-account, installeren webshells, maken aanvullende gebruikers aan en schonen logbestanden op. In het geval de on-premises omgeving is gecompromitteerd bewegen de aanvallers zich vaak ook naar de cloudomgeving. Zo dumpen aanvallers de Active Directory, stelen wachtwoorden in wachtwoordkluizen en verhogen hun rechten. De aanvallers hebben onder andere Microsoft AADConnect-servers aangevallen. AADConect (dat nu bekendstaat als Entra Connect) is een tool die de on-premises Active Directory met Entra ID synchroniseert. Wanneer een aanvaller één van deze servers weet te compromitteren kan de aanvaller zijn rechten verhogen, toegang tot zowel de on-premises als cloudomgevingen krijgen en zich lateraal bewegen. In de analyse doet Microsoft verschillende aanbevelingen, waaronder ervoor zorgen dat on-premises service-accounts geen directe rechten tot cloud resources hebben, om zo te voorkomen dat de aanvallers zich lateraal naar de cloud kunnen bewegen. Verder wordt aangeraden om logs met betrekking tot Entra Connect-servers op verdachte activiteiten te controleren, alsmede naar nieuw aangemaakte gebruikers op edge devices te zoeken. bron: https://www.security.nl

Gebruikers van Google Chrome klagen bij de ontwikkelaar van uBlock Origin dat hun browser de populaire adblocker niet meer ondersteunt of zelfs is uitgeschakeld. Het is echter Google die de adblocker bij gebruikers uitschakelt en de melding laat zien dat de extensie niet meer wordt ondersteund. Daarop roept uBlock Origin-ontwikkelaar Raymond Hill gebruikers op om hiervoor geen nieuwe tickets op GitHub te openen. De manier waarop extensies binnen Chrome mogen werken staat beschreven in een manifest. Google gaat Manifest V2 vervangen door Manifest V3. Eén van de aanpassingen in Manifest V3 betreft het grotendeels uitfaseren van de webRequest API. Adblockers maken van deze API gebruik voor het onderscheppen, blokkeren, doorsturen en aanpassen van in- en uitgaand verkeer van de browser. Verschillende partijen hebben al geklaagd dat adblockers met de komst van Manifest V3 minder effectief worden. Vanwege de beperkingen is er geen Manifest V3-versie van uBlock Origin beschikbaar. Als onderdeel van de uitfasering van Manifest V2 laten Chrom en de Chrome Web Store de melding zien dat deze extensies niet meer worden ondersteund. Daarnaast is Google begonnen met het uitschakelen van Manifest V2-extensies bij gebruikers. Gebruikers hebben nog wel de mogelijkheid om Manifest V2-extensies in te schakelen, maar dit zal vanaf juni ook niet meer mogelijk zijn. Dat houdt in dat onder andere uBlock Origin niet meer is te gebruiken. Via de GitHub repository van uBlock Origin kunnen gebruikers allerlei problemen met de extensie melden. Gebruikers klopten vervolgens bij de ontwikkelaar aan over het einde van de support door Google. Hill heeft daar nu een oproep geplaatst om geen nieuwe tickets over het einde van de support door Google Chrome of andere Chromium-gebaseerde browsers te openen. De ontwikkelaar merkt op dat uBlock Origin nog wel volledig wordt ondersteund in Firefox en andere Gecko-gebaseerde browsers. Een andere optie voor Chrome-gebruikers is uBlock Origin Lite. Dit is een beperkte versie van de adblocker. Gebruikers moeten dan ook voor zichzelf bepalen of deze adblocker een passende vervanging is, aldus Hill. bron: https://www.security.nl

Meta biedt Europese gebruikers van Facebook en Instagram voortaan de mogelijkheid om een gekaapt account door middel van gezichtsherkenning te herstellen. De feature werd afgelopen oktober al in verschillende landen als test aangeboden. Volgens het techbedrijf zijn er verschillende manieren waardoor gebruikers toegang tot hun account kunnen verliezen, waaronder het afstaan van inloggegevens aan scammers. "Als we denken dat een account is gecompromitteerd, vereisen we dat de accounthouder zijn identiteit verifieert voordat hij weer toegang krijgt, door een officieel identiteitsbewijs of officieel certificaat met zijn naam te uploaden", aldus Meta over de huidige herstelmethode. Bij de nieuwe methode moeten gebruikers een videoselfie uploaden. Vervolgens wordt gezichtsherkenning toegepast en de geüploade videoselfie vergeleken met de profielfoto van het betreffende account. Meta stelt dat geüploade videoselfies versleuteld en veilig opgeslagen worden. "We zullen alle gezichtsdata die na de vergelijking is gegenereerd, ongeacht of er een match is of niet, direct verwijderen", liet het bedrijf eerder weten. Meta claimt dat deze herstelmethode lastiger is voor aanvallers om te misbruiken dan traditionele identiteitsbewijs-gebaseerde identiteitsverificatie. De optie om door middel van gezichtsherkenning gekaapte Facebook- en Instagram-accounts te herstellen is nu ook beschikbaar voor gebruikers in de EU, Zuid-Korea en het Verenigd Koninkrijk. Daarbij stelt Meta dat deze uitbreiding volgt na overleg met toezichthouders. Verder laat het techbedrijf weten dat 'videoselfie-verificatie' via gezichtsherkenning optioneel is, maar wel een snellere en eenvoudigere manier voor mensen om hun identiteit te verifiëren. bron: https://www.security.nl

Een kwetsbaarheid in Cisco Webex for BroadWorks maakt het in bepaalde gevallen mogelijk dat inloggegevens van gebruikers kunnen lekken, waardoor een aanvaller zich als de gebruiker kan voordoen. Cisco heeft een update 'gepusht' en adviseert het herstarten van de applicatie en aanpassen van inloggegevens, om zo tegen mogelijke diefstal hiervan beschermd te zijn. Cisco zegt niet bekend te zijn met misbruik van het probleem. Cisco Webex for BroadWorks laat gebruikers onder andere met elkaar bellen. Wanneer 'unsecure transport' voor de SIP (Session Initiation Protocol)-communicatie staat ingesteld zou een ongeauthenticeerde aanvaller op afstand toegang tot 'access data en credentials' kunnen krijgen. "Deze kwetsbaarheid wordt veroorzaakt door het lekken van gevoelige informatie in de SIP-headers", aldus de uitleg van Cisco. Een gerelateerd probleem zorgt ervoor dat een geauthenticeerde gebruiker toegang tot 'access credentials' in plaintext in de client- en server-logs kan krijgen. Cisco zegt dat het een configuratieaanpassing onder Cisco Webex for BroadWorks heeft gepusht. Het netwerkbedrijf adviseert klanten om hun Cisco Webex-applicatie te herstarten om zo de aanpassingen door te voeren. Daarnaast wordt aangeraden om credentials te wijzigen, om zo tegen eventuele diefstal ervan beschermd te zijn. Het probleem doet zich alleen voor wanneer de software in een Windowsomgeving draait. Vorig jaar bleek dat Cisco Webex gevoelige metdata van overheden en bedrijven lekte. bron: https://www.security.nl

Een beveiligingslek in verschillende browsers maakt 'passkey phishing' binnen bluetooth-bereik mogelijk. Mozilla heeft vandaag een nieuwe versie van Firefox uitgebracht waarin het probleem is verholpen. De kwetsbaarheid (CVE-2024-9956) die zich in Web Authentication bevindt, werd eerder al in Google Chrome en Apple Safari gepatcht. Google en Apple gaven bij het uitbrengen van de nieuwe browserversies, respectievelijk afgelopen oktober en januari, nauwelijks details over het probleem. Mozilla laat weten dat malafide websites Firefox voor Android kunnen gebruiken om FIDO:-links uit te laten voeren en zo een "hybrid" passkey transport te triggeren. Dit kan ervoor zorgen dat het slachtoffer zijn passkey gebruikt om de aanvaller op een bepaald account te laten inloggen. FIDO is de partij die bij het opstellen van de Web Authentication-specificatie was betrokken. De kwetsbaarheid werd gevonden en gerapporteerd door een onderzoeker die zichzelf MasterSplinter noemt. De onderzoeker publiceerde vorige week de details van het beveiligingslek. "Een aanvaller binnen bluetooth-bereik kan vanaf een malafide pagina een mobiele browser naar een FIDO:/ URI laten navigeren, waardoor die een legitieme PassKeys authenticatie intent kan starten die wordt ontvangen op het apparaat van de aanvaller. Dit zorgt ervoor dat de aanvaller de PassKeys credentials kan "phishen" en de aanname onderuit haalt dat PassKeys niet te phishen zijn." De Web Authentication-standaard beschrijft hoe de client, bijvoorbeeld een browser, en de authenticator moeten communiceren om gebruikers te authenticeren. De meestgebruikte authenticators zijn usb-apparaatjes en smartphones. Communicatie kan bijvoorbeeld via NFC, bluetooth en wifi plaatsvinden. Vooral de communicatie via bluetooth was interessant, aldus de onderzoeker. De cross-device authenticatie flow, waarbij inloggegevens die op het ene apparaat staan worden gebruikt om de gebruiker in te loggen op een account op een ander apparaat, vereist dat beide apparaten in elkaars buurt zijn. Hiervoor wordt gebruikgemaakt van een QR-code en bluetooth. Dit moet deze methode "phishproof" maken. Door middel van een malafide QR-code kan een aanvaller in de buurt van het slachtoffer hier echter misbruik van maken, aldus de onderzoeker. Het doelwit moet hiervoor eerst een malafide pagina van de aanvaller bezoeken waarop de QR-code staat. Vervolgens verschijnt op de telefoon van het slachtoffer de PassKey manager, waarbij in de achtergrond de legitieme website van de Relying Party wordt geladen. De smartphone van het slachtoffer maakt in de achtergrond verbinding met de client van de aanvaller. Vervolgens krijgt het slachtoffer de keuze van de PassKey manager om "OK" of "Continue" te klikken waarbij hij in werkelijkheid de aanvaller inlogt op zijn account. De onderzoeker beschrijft hoe een aanvaller het lek zou kunnen misbruiken door op een vliegveld 'gratis wifi' aan te bieden, waarbij gebruikers worden gevraagd om via hun socialmedia-account in te loggen. In deze flow zouden slachtoffers het mogelijk niet vreemd vinden dat ze hun Passkeys gebruiken. Daarbij is bluetooth binnen een straal van honderd meter te gebruiken, aldus de onderzoeker. Die prijst de verschillende browserontwikkelaars voor het 'relatief snel' verhelpen van het probleem. bron: https://www.security.nl

Cybercriminelen proberen slachtoffers door middel van een nepfoutmelding een malafide PowerShell-commando uit te laten voeren waarmee uiteindelijk malware op het systeem wordt geïnstalleerd en de aanvallers volledige controle krijgen. Dat laat securitybedrijf Fortinet in een analyse weten. De aanval begint met een e-mail die als onderwerp 'Critical Update' heeft en de ontvanger oproept om het meegestuurde 'Document' te bekijken. Het gaat hier om een html-bestand genaamd document.html. Wanneer slachtoffers het html-bestand openen verschijnt er een nepfoutmelding die stelt dat er geen verbinding met de "One drive" clouddienst gemaakt kon worden. De 'foutmelding' is ook voorzien van een knop genaamd 'How to fix'. Wanneer gebruikers op deze knop klikken wordt het malafide PowerShell-commando naar het clipboard gekopieerd en verschijnen er instructies om PowerShell te starten en dan Ctrl + V en Enter uit te voeren. Via het PowerShell-commando wordt malware op het systeem gedownload en uitgevoerd. "Naast het alert zijn op phishingmails, moet er extra voorzichtig worden omgegaan met gerichte adviezen die vragen om een terminal of PowerShell te openen, om zo te voorkomen dat er onbedoeld malafide commando's worden gedownload en uitgevoerd", aldus Fortinet. bron: https://www.security.nl

Broadcam heeft vandaag drie kwetsbaarheden in verschillende VMware-producten gedicht waarvan misbruik al voor het uitkomen van de patches heeft plaatsgevonden. Via de kwetsbaarheden kunnen aanvallers vanuit een virtual machine toegang tot de onderliggende hypervisor krijgen. Dit is de software waarmee virtual machines worden gemaakt en op draaien. De kwetsbaarheden (CVE-2025-22224, CVE-2025-22225 en CVE-2025-22226) zijn aanwezig in VMware ESXi, VMware Workstation Pro / Player (Workstation), VMware Fusion, VMware Cloud Foundation en VMware Telco Cloud Platform. De gevaarlijkste kwetsbaarheid is CVE-2025-22224. Het gaat om een out-of-bounds write waardoor een aanvaller vanuit de virtual machine code op de onderliggende host kan uitvoeren. De impact van deze kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. De andere twee VMware-kwetsbaarheden hebben een lagere impactscore en maken het mogelijk voor een aanvaller om geheugen van het vmware-proces te lekken en uit de sandbox-beveiliging van de software te breken. Broadcam geeft geen details over de aanvallen, behalve dat de beveiligingslekken door het Microsoft Threat Intelligence Center zijn gerapporteerd. Broadcom heeft ook een 'Questions & Answers' over de kwetsbaarheden uitgebracht waarin het klanten oproept de updates direct te installeren. bron: https://www.security.nl

Kwetsbaarheden in meerdere modellen DrayTek Vigor-routers maken het mogelijk voor aanvallers om in het ergste geval willekeurige code uit te voeren en 'persistent backdoors' te installeren, zo waarschuwen onderzoekers van Faraday Security. De gevaarlijkste twee kwetsbaarheden zijn CVE-2024-51138 en CVE-2024-51139, waardoor een remote aanvaller door het versturen van een speciaal geprepareerd request een buffer overflow of integer overflow kan veroorzaken, wat kan leiden tot het uitvoeren van willekeurige code op de router. Ook verschillende andere kwetsbaarheden bij het controleren van tls-certificaten en updates zorgen ervoor dat een aanvaller willekeurige code kan uitvoeren. Verder blijken de kwetsbare routers voorspelbare 2FA-codes te genereren, worden wachtwoorden in plaintext opgeslagen en gebruiken de routers een kwetsbare functie waardoor het via timing-aanvallen mogelijk is om gevoelige informatie te stelen, aldus de onderzoekers. Via de beveiligingslekken zijn kwetsbare routers volledig over te nemen en is het mogelijk om 'persistent backdoors' te installeren, aldus de onderzoekers. Draytek heeft updates uitgebracht om de problemen te verhelpen. bron: https://www.security.nl

In navolging van Google is ook Microsoft begonnen met het uitschakelen van de zeer populaire adblocker uBlock Origin. Verschillende gebruikers van een vroege testversie van Microsoft Edge melden op X dat de adblocker bij hen door de browser is uitgeschakeld. Net als Google Chrome is Microsoft Edge op de Chromium-browser gebaseerd. De manier waarop extensies binnen Chrome, Edge en andere browsers mogen werken staat beschreven in een manifest. Lange tijd werkten extensies met Manifest V2, maar Google wil deze versie vervangen door Manifest V3. Eén van de aanpassingen in Manifest V3 betreft het grotendeels uitfaseren van de webRequest API, die wordt vervangen door een andere oplossing genaamd declarativeNetRequest. Adblockers maken van de webRequest API gebruik voor het onderscheppen, blokkeren, doorsturen en aanpassen van in- en uitgaand verkeer van de browser. Verschillende partijen hebben al geklaagd dat adblockers met de komst van Manifest V3 en het verdwijnen van de webRequest API minder effectief worden. Zo is er geen Manifest V3-versie van uBlock Origin. Omdat Manifest V2 wordt uitgefaseerd liet Google eerder al weten dat het V2-gebaseerde extensies bij gebruikers gaat uitschakelen en is daar inmiddels mee begonnen. Nu laten ook Edge-gebruikers weten dat de adblocker bij hen is uitgeschakeld. Het gaat specifiek om Edge Canary, dat een vroege testversie van de browser is. Wanneer Microsoft Manifest V2 in de stabiele Edge-versie gaat uitfaseren is nog niet bekend. De makers van de Brave-browser grijpen de berichtgeving aan om Edge-gebruikers naar Brave te krijgen. In een reactie stellen ze dat de browser over een ingebouwde adblocker beschikt en uBlock Origin ondersteunt. bron: https://www.security.nl

Bijna drieduizend Ivanti vpn-systemen met een kritieke kwetsbaarheid die remote code execution mogelijk maakt, waaronder 122 in Nederland, zijn vanaf het internet toegankelijk, zo meldt The Shadowserver Foundation op basis van eigen onderzoek. Updates voor het beveiligingslek in Ivanti Connect Secure (ICS) zijn sinds 11 februari beschikbaar, maar veel organisaties hebben die nog niet geïnstalleerd. Ivanti Connect Secure, eerder nog bekend als Pulse Secure, is een vpn-oplossing waarmee gebruikers toegang tot het netwerk van hun organisatie kunnen krijgen. De kritieke kwetsbaarheid, aangeduid als CVE-2025-22467, betreft een stack-based bufferoverflow waardoor een aanvaller op afstand code kan uitvoeren. Om het beveiligingslek te kunnen misbruiken moet een aanvaller geauthenticeerd zijn, maar elke willekeurige gebruiker is voldoende. Een aanvaller zou bijvoorbeeld de inloggegevens van een vpn-gebruiker kunnen compromitteren en daarmee het lek op de vpn-server kunnen misbruiken. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 met een 9.9 beoordeeld. Ivanti kwam op 11 februari met updates en zegt dat het niet bekend is met misbruik van de kwetsbaarheid. Beveiligingslekken in Ivanti Connected Secure zijn in het verleden geregeld ingezet bij aanvallen. The Shadowserver Foundation is een stichting die zich met de bestrijding van cybercrime bezighoudt en geregeld online scans naar kwetsbare systemen op internet uitvoert. Bij de laatste scan werd gezocht naar Ivanti vpn-servers die de update voor CVE-2025-22467 niet hebben geïnstalleerd. Dit leverde 2850 ip-adressen op. Het grootste deel daarvan bevindt zich in de VS en Japan. Nederland staat met 122 kwetsbare systemen op de vijfde plek in het overzicht. bron: https://www.security.nl

E-mailprovider Tuta slaat alarm over een Frans wetsvoorstel dat aanbieders van versleutelde communicatieplatforms zoals chatapps verplicht om 'technische maatregelen' te implementeren, waardoor inlichtingendiensten de inhoud van versleutelde communicatie kunnen bekijken. Chatdiensten zouden de inhoud van chatberichten van gebruikers na een bevel binnen 72 uur aan de autoriteiten moeten verstrekken. De boete voor het niet meewerken bedraagt voor natuurlijke personen 1,5 miljoen euro en kan voor bedrijven oplopen tot twee procent van de wereldwijde omzet. Volgens de indieners van het wetsvoorstel moet het helpen om drugshandel tegen te gaan. "Drugsnetwerken, terroristische groepen, en daarnaast, alle criminele organisaties maken grootschalig gebruik van versleutelde berichten en de belemmeringen voor inlichtingendiensten om toegang te krijgen tot informatie die op deze platforms wordt uitgewisseld", aldus de tekst van het voorstel. "Dit amendement verplicht platforms om de noodzakelijke technische maatregelen te implementeren waardoor inlichtingendiensten toegang kunnen krijgen tot de inhoud van berichten en gegevens die via de platforms worden verzonden", zo laat het voorstel verder weten. Volgens Tuta staat Frankrijk op het punt om de 'ergste surveillancewetgeving' in de Europese Unie aan te nemen en moet dit worden gestopt. De mailprovider voegt toe dat de wet een gevaarlijk precedent schept dat de waardes zou ondermijnen waarvoor de EU staat. "We moeten niet toestaan dat dit door angst gedreven beleid veiligheid en vrijheid van alle Europese burgers ondermijnt." Het wetsvoorstel werd eerder al door de Franse senaat aangenomen, laat de Franse digitale rechtenbeweging La Quadrature du Net (LQDN) weten. Het voorstel moet nu door het Assemblée nationale worden behandeld. bron: https://www.security.nl

Een kwetsbaarheid in de back-upsoftware van Nakivo maakt het mogelijk voor ongeauthenticeerde aanvallers om op afstand back-ups en inloggegevens te stelen waar de software gebruik van maakt. De fabrikant heeft de kwetsbaarheid inmiddels stilletjes gepatcht, aldus onderzoekers van securitybedrijf watchTowr die het probleem ontdekten. Het beveiligingslek (CVE-2024-48248) maakt het mogelijk om willekeurige bestanden op het back-upsysteem te lezen. Het kan dan gaan om back-ups, maar ook alle inloggegevens waar de back-upsoftware gebruik van maakt. WatchTowr waarschuwde Nakivo op 13 september maar kreeg geen reactie. Op 2 oktober volgde een tweede poging. Pas op 29 oktober bevestigde het bedrijf de kwetsbaarheid. Het probleem werd op 4 november met versie 11.0.0.88174 verholpen, maar nergens in de release notes wordt het beveiligingslek vermeld. WatchTowr spreekt dan ook van 'silent' patching. Het bedrijf heeft vandaag details over de kwetsbaarheid openbaar gemaakt. bron: https://www.security.nl

Criminelen zijn erin geslaagd om door middel van infostealer-malware bijna een half miljard wachtwoorden te stelen. De e-mailadressen van de betreffende accounts zijn met datalekzoekmachine Have I Been Pwned gedeeld, zo laat oprichter Troy Hunt weten. Infostealer-malware is ontwikkeld om inloggegevens van geïnfecteerde pc's te stelen om daarna naar de aanvaller terug te sturen. Aanvallers beschikken vaak over logbestanden met grote hoeveelheden gecompromitteerde accounts. Begin deze maand ontving Hunt een dataset van anderhalve gigabyte, met daarin 23 miljard logregels afkomstig van infostealer-malware. In totaal bleek het om 493 miljoen unieke paren van websites, e-mailadressen en bijbehorende wachtwoorden te gaan. Het ging in totaal om 284 miljoen unieke e-mailadressen. Sommige e-mailadressen werden voor meerdere websites gebruikt. Infostealer-malware steelt gebruikersnamen en wachtwoorden voor elke website waarop een slachtoffer vanaf een besmette computer inlogt. Zodoende zijn er meer combinaties van websites en e-mailadressen dan unieke e-mailadressen. De 284 miljoen e-mailadressen zijn toegevoegd aan Have I Been Pwned (HIBP). Via de zoekmachine kunnen gebruikers kijken of hun e-mailadres in een bekend datalek voorkomt. 69 procent van de e-mailadressen was al via een ander datalek bekend. 244 miljoen wachtwoorden Naast de mogelijkheid om e-mailadressen in bekende datalekken te zoeken biedt HIBP ook een dienst genaamd 'Pwned Passwords'. Dit is een verzameling van wachtwoorden en wachtwoordhashes die in datalekken voorkomen. Deze dataset is zowel te downloaden als online te doorzoeken en laat onder andere zien hoe vaak een wachtwoord in datalekken voorkomt. Daarnaast kunnen beheerders via de wachtwoordhashes kijken of die overeenkomen met de wachtwoordhashes in hun omgeving. Hunt besloot de wachtwoorden uit de dataset toe te voegen aan Pwned Passwords. Het ging daarbij om 244 miljoen unieke wachtwoorden die nog niet in de database van de dienst voorkwamen. Vorige maand voegde Hunt ook al een groot aantal e-mailadressen en wachtwoorden aan Have I Been Pwned toe die van infostealer-malware afkomstig waren. bron: https://www.security.nl

Mozilla heeft opnieuw laten weten dat het Manifest V2 voor Firefox-extensies blijft ondersteunen, zodat populaire adblockers zoals uBlock Origin binnen de browser blijven werken. De manier waarop extensies binnen Firefox, Chrome en andere browsers mogen werken staat beschreven in een manifest. Lange tijd werkten extensies met Manifest V2, maar Google wil deze versie vervangen door Manifest V3. Eén van de aanpassingen in Manifest V3 betreft het grotendeels uitfaseren van de webRequest API, die wordt vervangen door een andere oplossing genaamd declarativeNetRequest. Adblockers maken van de webRequest API gebruik voor het onderscheppen, blokkeren, doorsturen en aanpassen van in- en uitgaand verkeer van de browser. Verschillende partijen hebben al geklaagd dat adblockers met de komst van Manifest V3 en het verdwijnen van de webRequest API minder effectief worden. Zo is er geen Manifest V3-versie van uBlock Origin, de populairste extensie en adblocker voor zowel Firefox als Google Chrome. Als onderdeel van het uitfaseren van Manifest V2 heeft Google besloten om uBlock Origin en andere Manifest V2-extensies bij Chrome-gebruikers uit te schakelen. Mozilla zegt dat het van plan is om Manifest V2 en V3 naast elkaar te blijven ondersteunen. Daardoor kunnen adblockers van de webRequest API gebruik blijven maken, alsmede van declarativeNetRequest. Dit biedt volgens Mozilla meer keuze en innovatie voor gebruikers, alsmede meer mogelijkheden voor extensie-ontwikkelaars. bron: https://www.security.nl

Aanvallers maken actief misbruik van jarenoude kwetsbaarheden in apparatuur van Cisco, waaronder een kritiek beveiligingslek dat sinds 28 maart 2018 bekend is. Dat laat securitybedrijf GreyNoise op basis van eigen bevindingen weten. Twee andere kritieke kwetsbaarheden die bij aanvallen worden ingezet zijn sinds 2023 bekend. De aanvallen, onder andere gericht tegen Amerikaanse telecomproviders, zouden het werk zijn van een groep genaamd Salt Typhoon. Begin deze maand meldde securitybedrijf Recorded Future op basis van eigen onderzoek dat de groep verschillende Cisco-kwetsbaarheden had gebruikt om systemen te compromitteren. Cisco kwam vervolgens met een reactie op de berichtgeving en stelde dat het misbruik van deze beveiligingslekken niet kon bevestigen. Bij de systemen die Cisco onderzocht wisten de aanvallers via gestolen inloggegevens initiële toegang krijgen, aldus het netwerkbedrijf. Hoe de aanvallers deze inloggegevens konden bemachtigen is niet bekend. Eén systeem dat Cisco onderzocht was via een oude kwetsbaarheid gecompromitteerd (CVE-2018-0171), maar deze activiteit kon Cisco naar eigen zeggen niet aan Salt Typhoon toeschrijven. CVE-2018-0171 betreft een kritieke kwetsbaarheid in de Smart Install feature van Cisco IOS en IOS XE waardoor een ongeauthenticeerde aanvaller willekeurige code op kwetsbare apparaten kan uitvoeren. Smart Install is een 'plug-and-play' feature voor het op afstand configureren en uitrollen van switches, dat 'by design' geen authenticatie vereist. "CVE-2018-0171 werd zeven jaar geleden bekendgemaakt, maar geavanceerde aanvallers blijven er gebruik van maken", aldus Noah Stone van GreyNoise. Twee andere Cisco-beveiligingslekken die aanvallers volgens Stone actief bij aanvallen inzetten zijn CVE-2023-20198 en CVE-2023-20273. Het gaat om twee kwetsbaarheden in de web UI feature van Cisco IOS XE, waardoor een ongeauthenticeerde aanvaller kwetsbare systemen op afstand kan overnemen. De impact van CVE-2023-20198 is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Al voor het uitkomen van updates werd CVE-2023-20198 bij aanvallen ingezet. Ondanks de leeftijd van de Cisco-kwetsbaarheden proberen aanvallers er nog altijd misbruik van te maken, aldus GreyNoise. Organisaties worden dan ook opgeroepen om alle Cisco-updates meteen te installeren en toegang tot management-interfaces te beperken. bron: https://www.security.nl

Google gaat de sms-gebaseerde tweefactorauthenticatie (2FA) voor Gmail vervangen door QR-codes. Op dit moment hebben gebruikers de mogelijkheid om voor het inloggen een 2FA-code via sms te ontvangen. Straks zullen gebruikers via de camera-app op hun smartphone een QR-code moeten scannen. Dat laat het techbedrijf tegenover zakenblad Forbes weten. Volgens Google moet de maatregel het 'phishingrisico' voor Gmail-gebruikers verminderen, die nu nog kunnen worden misleid om beveiligingscodes met een aanvaller te delen. Daarnaast moet het Google minder afhankelijk maken van hoe telecomproviders met abuse op hun netwerk omgaan. "Sms-codes vormen een verhoogde dreiging voor gebruikers", zegt Gmail-woordvoerder Ross Richendrfer. Die stelt dat QR-codes het aanvalsoppervlak voor aanvallers moeten verkleinen en gebruikers tegen malafide activiteiten moeten beschermen. Richendrfer stelt ook dat QR-codes het 'grootschalig, wereldwijd sms-misbruik' moeten verminderen. Zo wordt als voorbeeld sim-swapping genoemd,. Bij sim-swapping weten criminelen het telefoonnummer van een slachtoffer over te zetten op een simkaart waarover zij beschikken en kunnen zo bijvoorbeeld 2FA-codes ontvangen. Dit wordt onder andere gedaan door personeel van telecomproviders te misleiden of hen om te kopen. "Als een fraudeur eenvoudig een telecomprovider kan misleiden om iemands telefoonnummer in handen te krijgen, verdwijnt de securitywaarde van sms", aldus Richendrfer. Google zegt dat het de nieuwe maatregel de komende maanden gaat uitrollen. bron: https://www.security.nl

Zo'n zestigduizend WordPress bevatten een kritieke kwetsbaarheid waardoor een ongeauthenticeerde aanvaller op afstand code kan uitvoeren en de website volledig overnemen. De websites maken gebruik van een plug-in genaamd Everest Forms, waarmee gebruikers hun eigen contactformulieren, nieuwsbrieven, quizzen en betaalformulieren kunnen vormgeven. Meer dan honderdduizend WordPress-sites maken actief gebruik van de plug-in. Een kritieke kwetsbaarheid in de plug-in maakt het mogelijk voor een ongeauthenticeerde aanvaller om op afstand willekeurige bestanden te uploaden wat tot remote code execution kan leiden. Ook kan een ongeauthenticeerde aanvaller willekeurige bestanden lezen en verwijderen, waaronder het wp-config.php bestand. Daardoor is het mogelijk de website over te nemen, aldus securitybedrijf Wordfence. Het probleem wordt veroorzaakt doordat de uploadfunctie aangeboden bestanden niet goed gecontroleerd. Elk .csv- of .txt-bestand met een malafide PHP-script kan worden hernoemd naar een .php-bestand. Vervolgens verplaatst de functie het bestand naar de WordPress-uploadmap, die publiek toegankelijk is, aldus de uitleg van Wordfence. Zodoende kan de aanvaller malafide PHP-code uploaden, die aanroepen en zo code op de server uitvoeren. Wordfence waarschuwde de ontwikkelaars op 9 februari, die op 20 februari met versie 3.0.9.5 kwamen waarin het probleem is verholpen. Sindsdien is de laatste versie zo'n veertigduizend keer gedownload, aldus cijfers van WordPress.org, wat inhoudt dat zo'n zestigduizend WordPress-sites risico lopen. De impact van de kwetsbaarheid (CVE-2025-1128) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. bron: https://www.security.nl

Een kwetsbaarheid in Exim maakt SQL-injection op kwetsbare mailservers mogelijk. De makers van de populaire e-mailserversoftware hebben versie 4.98.1 uitgebracht waarin het probleem is verholpen. Het beveiligingslek, aangeduid als CVE-2025-26794, doet zich alleen voor bij Exim-versie 4.98 en wanneer er aan bepaalde randvoorwaarden is voldaan. Het gaat dan om het gebruik van een bepaalde build time optie en run time configuraties. In deze gevallen is 'remote SQL injection' mogelijk', aldus het beveiligingsbulletin. Verdere details zijn niet gegeven. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 7.5. Exim komt zelden met security-releases. De vorige keer dateert van juli 2024. bron: https://www.security.nl

Het Australische ministerie van Binnenlandse Zaken heeft het gebruik van de antivirussoftware op systemen van de overheid verboden. Volgens minister van Binnenlandse Zaken Stephanie Foster vormt de software van het bedrijf een 'onacceptabel risico' voor de Australische overheid, netwerken en data. Het gaat dan om buitenlandse inmenging, spionage en sabotage, aldus de bewindsvrouw. "Ik heb ook de noodzaak voor een sterk beleidssignaal voor de vitale infrastructuur en andere Australische overheden laten meewegen met betrekking tot het onacceptabele beveiligingsrisico dat met het gebruik van producten en webdiensten van Kaspersky Lab samenhangt", aldus Foster. Overheidsinstanties hebben tot 1 april de tijd gekregen om alle Kaspersky-software van hun systemen te verwijderen, meldt ITnews. Eerder besloot de Amerikaanse overheid de verkoop van Kaspersky-software in de Verenigde Staten te verbieden, alsmede het uitbrengen van updates. Daarop maakte Kaspersky kenbaar dat het de Verenigde Staten zou verlaten, waarop de antivirussoftware bij klanten automatisch werd verwijderd en vervangen door een ander product. bron: https://www.security.nl

Kan mij voorstellen dat dat erg irritant werken is. Ik ken de pen niet. Een snelle search geeft wel dat er in 2024 al gebruikers klaagde over dergelijke problemen. Misschien heb je wat aan wat er in deze link als oplossing aangeboden wordt? Huion komt op de eigen site ook met een aantal mogelijke oorzaken en eventuele oplossingen. Op deze site staat ook hoe je van Huion hulp kunt krijgen indien de aangeboden oplossingen niet werken: How to fix lagging issue