S02E32
Een kritieke backdoor in Cisco SD-WAN met de maximale risicoscore wordt al sinds 2023 misbruikt, de Nederlandse Justitie ICT is tweemaal gehackt via een Citrix lek en INTERPOL ontmantelt 45.000 malafide servers in 72 landen. Het journaal bestrijkt het nieuws van 13 tot en met 15 maart 2026.
Cisco SD-WAN onder vuur met maximale risicoscore
De Amerikaanse cyberautoriteit CISA waarschuwde voor actief misbruik van CVE-2026-20127, een authenticatie bypass in Cisco Catalyst SD-WAN met een CVSS score van 10.0. Dreigingsactor UAT-8616 misbruikt de kwetsbaarheid al sinds 2023 om zonder wachtwoord administratieve toegang te verkrijgen tot netwerken van Amerikaanse overheidsinstanties.
De kwetsbaarheid stelt een aanvaller in staat om in te loggen als een interne, hooggeprivilegieerde gebruiker en via NETCONF de volledige netwerkconfiguratie te manipuleren. De aanvallers downgraden de systeemsoftware naar oudere versies om verborgen te blijven. De kwetsbaarheid treft Cisco Hosted SD-WAN Cloud, de Cisco Managed variant en de FedRAMP omgeving.
CISA stelde een deadline van 23 maart voor alle overheidsinstanties om hun netwerken op te schonen. Agentschappen moeten interne verkeerslogs naar het centrale monitoringsysteem van CISA sturen en een eindrapport indienen voor 1 mei. Bij een gecompromitteerd root account moet het hele systeem worden gewist en opnieuw opgebouwd. Bobby Kuzma van ProCircular adviseert alle organisaties met Cisco SD-WAN om direct artifacten te verzamelen en patchstatussen te controleren.
Nederlandse Justitie ICT tweemaal gehackt
Uit onderzoek van Argos bleek dat de Justitiële ICT Organisatie (JIO), verantwoordelijk voor de ICT van het ministerie van Justitie en Veiligheid, het afgelopen jaar tweemaal is gehackt. De aanvallers drongen binnen via een kwetsbaarheid in Citrix software, hetzelfde lek dat eerder werd gebruikt om het Openbaar Ministerie te compromitteren.
Opvallend is dat JIO besloot de systemen van de dienst elektronische enkelbanden online te houden, uit angst dat deze zouden uitvallen. Deze keuze roept vragen op over de incidentrespons bij vitale overheidsdiensten. Gecompromitteerde systemen bewust online houden conflicteert met het principe dat bij een hack de getroffen omgeving wordt geïsoleerd om verdere schade te voorkomen.
Het incident onderstreept dat ook overheidsorganisaties die zich bezighouden met justitie en opsporing kwetsbaar zijn voor aanvallen via veelgebruikte software. Organisaties met Citrix omgevingen wordt aangeraden hun patchstatus te verifiëren en te controleren op indicators of compromise.
Wetshandhaving ontmantelt wereldwijde netwerken
INTERPOL kondigde de ontmanteling aan van 45.000 malafide IP-adressen en servers die werden gebruikt bij phishing, malware en ransomware. De operatie, waaraan 72 landen deelnamen, leidde tot 94 arrestaties en het onderzoek naar nog eens 110 verdachten. In Bangladesh werden 40 verdachten opgepakt en in Togo 10 personen die een fraudenetwerk runden vanuit een woonwijk. In Macau identificeerden onderzoekers meer dan 33.000 phishing en frauduleuze websites.
Het Amerikaanse ministerie van Justitie ontmantelde het residentiële proxy netwerk SocksEscort, dat duizenden wifi routers van huishoudens en kleine bedrijven compromitteerde in 163 landen. Via de geïnfecteerde routers konden cybercriminelen als onderdeel van een botnet hun identiteit maskeren bij financiële fraude. Sinds 2020 bood SocksEscort toegang tot ongeveer 369.000 unieke IP-adressen. De financiële schade voor Amerikaanse burgers bedroeg miljoenen dollars, met individuele verliezen tot 1 miljoen dollar bij de overname van een cryptocurrency account. De FBI adviseerde routereigenaren om firmware regelmatig te updaten, standaard beheerderswachtwoorden te wijzigen en remote management interfaces uit te schakelen.
In een opmerkelijke zaak werd een medewerker van een bedrijf dat bemiddelt tussen ransomwareslachtoffers en cybercriminelen ervan beschuldigd informatie te hebben verstrekt aan de aanvallers om een hoger losgeld te bedingen. De verdachte werkte samen met de ransomwaregroep ALPHV (BlackCat) en wist losgeldbedragen van meer dan 26, 25 en 16 miljoen dollar te onderhandelen. Twee medeplichtigen van cybersecuritybedrijven bekenden schuld en riskeren maximaal 20 jaar gevangenisstraf.
Privacy onder druk, van Instagram tot de rechtszaal
Meta bevestigde dat het de ondersteuning voor volledige versleuteling in Instagram direct messages definitief verwijdert na 8 mei 2026. De functie was nooit breed uitgerold en werd alleen als optionele keuze aangeboden in bepaalde regio’s. Cryptograaf Matthew Green van Johns Hopkins University noemde de stap een teken dat Meta zijn standpunt over encryptie terugdraait. Gebruikers die versleutelde chats hebben worden aangeraden deze te exporteren voor de deadline. WhatsApp behoudt volledige versleuteling als standaard.
Advertentiebedrijf Criteo verloor het beroep tegen een boete van 40 miljoen euro van de Franse privacytoezichthouder CNIL. De hoogste Franse bestuursrechter bevestigde dat pseudonieme identifiers persoonlijke data zijn wanneer ze worden gebruikt voor gerichte advertenties. Criteo beschikte niet over geldige toestemming van gebruikers voor het plaatsen van trackingcookies. De zaak, aangespannen door privacyorganisatie noyb, bevestigt dat ook indirect identificeerbare data onder de AVG valt.
De Europese Raad voegde een verbod op AI nudificatietools toe aan de AI wet, waarmee systemen worden verboden die zonder toestemming seksueel expliciet materiaal genereren. België steunt het voorstel, dat een reactie is op het Grok schandaal waarbij miljoenen beelden van echte mensen werden gegenereerd. De onderhandelingen met het Europees Parlement volgen.
De belangrijkste punten
- Cisco SD-WAN backdoor met CVSS 10.0 actief misbruikt sinds 2023: CISA deadline 23 maart voor alle overheidsinstanties
- JIO tweemaal gehackt via Citrix: systemen bleven online uit angst voor uitval enkelbanden
- INTERPOL ontmantelt 45.000 servers in 72 landen: 94 arrestaties bij operatie Synergia fase 3
- SocksEscort proxy netwerk opgerold: 369.000 IP-adressen, miljoenen dollars schade
- Meta verwijdert encryptie uit Instagram DM’s: deadline 8 mei 2026, WhatsApp behoudt E2EE
- Criteo verliest AVG beroep, boete 40 miljoen euro: pseudonieme identifiers zijn persoonlijke data
Lees ook
- S02E30: Ransomware op recordhoogte en Nederland in het vizier - NCC Group telde 7.874 ransomware incidenten en ShinyHunters dreigt 400 organisaties
- S02E29: Phishing wordt onzichtbaar, beheertools worden wapens - Huntress documenteert 277 procent meer misbruik van beheertools
- Wanneer een schakel in de keten breekt - De impact van cyberincidenten in de supply chain
- Tips na een hack - Stappenplan voor organisaties na een cyberincident
Mis geen enkel Cyber Journaal - schrijf je in
Bron: Cybercrimeinfo, ondezoeksteam
Klik door naar al het nieuws in categorie 1.0 Slachtoffers in België en Nederland, 2.0 Cyberoorlog en hybride oorlog, 3.0 Kwetsbaarheden in software (CVE’s), 4.0 Dreigingen, 5.0 Opsporingsnieuws en 6.0 Algemeen gerelateerd cyber nieuws.