Fortinet treft 270 Belgische bedrijven, Joomla-lek 10.0

Het cybernieuws van dinsdag 23 en woensdag 24 juni 2026 stond in het teken van één groot dossier en een breed patroon. Het datalek bij Fortinet blijkt minstens 270 Belgische organisaties en honderden Nederlandse systemen te raken, terwijl de onderliggende oogstcampagne FortiBleed meer dan 110 miljoen inloggegevens verzamelde. Daarnaast wordt een kritiek lek in de Joomla Content Editor met de hoogste score van 10.0 actief misbruikt, en doken vier nieuwe darkweb-claims op tegen Belgische en Nederlandse bedrijven. Onder de oppervlakte loopt een rode draad: aanvallers oogsten en verhandelen toegang, en de software-toeleveringsketen en de tooling rond kunstmatige intelligentie worden een steeds groter doelwit.

Fortinet-keten dendert door de Benelux

Het Vlaamse cyberbeveiligingsbedrijf Secutec bracht in kaart hoe diep het Fortinet-datalek van februari 2026 ingrijpt. Door de cybercriminelen zelf te hacken kreeg Secutec zicht op een lijst van ongeveer 70.000 getroffen bedrijven wereldwijd, inclusief inloggegevens. Daarvan zijn minstens 270 organisaties in België geraakt, vooral kleinere bedrijven, transportbedrijven, advocatenkantoren, scholengroepen en zelfs overheidsdiensten. Bij ruim honderd Belgische bedrijven liggen de inloggegevens nog steeds online, en op minstens 45 systemen zijn al nieuwe accounts aangemaakt, klaar voor verkoop. CEO Geert Baudewijns telde 1.300 firewalls die nog toegankelijk zijn met de standaardcombinatie admin en admin.

In Nederland gaat het volgens cybersecuritybedrijf CloudSEK om ongeveer driehonderd geraakte Fortinet-firewalls. De aanvallers maakten een grote fout door hun tools en werkwijze via een open directory te lekken. Daaruit bleek dat zij zich gericht richtten op telecombedrijven en managed service providers die de connectiviteit van klanten beheren, met toegang tot interne Active Directory-omgevingen van een groot aantal organisaties. Onderzoeker Kevin Beaumont noemt de verklaring van Fortinet, dat geen nieuwe kwetsbaarheid is misbruikt maar gestolen inloggegevens, onvolledig.

De schaal werd pas echt duidelijk door een rapport van SOCRadar over de campagne FortiBleed. Een vermoedelijk Russische tussenpersoon in toegang zette het op Golang gebaseerde hulpmiddel FortigateSniffer in, dat het legitieme commando diagnose sniffer packet van FortiOS misbruikt om authenticatieverkeer over 24 protocollen passief te onderscheppen. Tussen 31 mei en 15 juni werden naar schatting minstens 659 oogstpijplijnen gelanceerd, goed voor meer dan 110 miljoen inloggegevens. De operatie kraakt hashes via een gehuurd cluster van grafische kaarten en mondde op 15 juni uit in een gerichte diefstal van data bij een met de NAVO gelieerde defensieaannemer. Voor organisaties met Fortinet aan de internetrand is directe verificatie van beheer- en VPN-toegang noodzakelijk, ook zonder bevestigd misbruik.

Belgische en Nederlandse organisaties onder druk

Naast het Fortinet-dossier doken meerdere lokale incidenten en darkweb-claims op. De ransomwaregroep Aurora plaatste het Nederlandse aannemersbedrijf NTP uit Hattem, met ongeveer 230 medewerkers, op haar lekpagina en claimt de volledige bedrijfsserver met meer dan tien jaar aan gegevens, waaronder personeelsdossiers en de financiële administratie. De ransomwaregroep Nova claimt 200 GB aan data van het Belgische transport- en logistiekbedrijf Fast Transit Line. Op het darkweb wordt verder een vermeende dataset van het Belgische vastgoedplatform Whise aangeboden, naar verluidt ruim 40 miljoen regels, plus claims over schoolboekenleverancier Iddink (Nederland, België en Spanje), de Belgische marktplaats 2ememain.be en een gerecycleerde dataset uit 2017 van het Nederlandse cryptoplatform LiteBit. Geen van deze claims is onafhankelijk bevestigd.

Een uitspraak van het Nederlandse klachteninstituut Kifid trok de aandacht. Een klant van de Rabobank die 48.000 euro verloor door bankhelpdeskfraude krijgt de schade niet vergoed. De klant legde tijdens controlegesprekken op instructie van de oplichter herhaaldelijk onware verklaringen af, waarna de bank de geblokkeerde rekening vrijgaf. Kifid oordeelt dat de bank mocht uitgaan van die verklaringen en dat de gevolgen voor risico van de klant blijven.

Tot slot meldde de Brusselse waterleverancier Vivaqua in haar beheersverslag over 2025 een toename van cyberaanvallen en phishingpogingen, mede door de geopolitieke context en de nabijheid van internationale instellingen. De website werd in 2025 driemaal getroffen door overbelastingsaanvallen, met een beperkte impact van in totaal vier uur ontoegankelijkheid. De dagelijkse phishingpogingen worden volgens het bedrijf consequent tegengehouden.

De toeleveringsketen en de tooling rond AI onder vuur

Een opvallend deel van het nieuws ging over aanvallen op vertrouwde leverings- en ontwikkelkanalen. Bij de leverancier ShapedPlugin compromitteerden onbekende actoren de bouwpijplijn en injecteerden zij achterdeurcode in betaalde WordPress-plugins (CVE-2026-49777, score 10.0). Juist webwinkels die netjes via het officiële updatekanaal patchten, kregen de malware binnen, die inloggegevens, tweefactorcodes en bestelgegevens onderschept. Beveiligingsbureau Novee toonde daarnaast een structurele klasse van fouten in de bouwpijplijnen van GitHub Actions, genaamd Cordyceps, waarmee een anonieme gebruiker code kan injecteren en sleutels kan stelen, met ruim 300 publieke projecten exploiteerbaar. Alle geteste gevallen zijn inmiddels verholpen. Dit sluit aan op een breder patroon van aanvallen op de keten dat we de afgelopen maanden steeds vaker zagen.

De marktplaats voor vaardigheden van agenten met kunstmatige intelligentie kreeg meerdere klappen. Analisten van Manifold Security vonden 23 plugins in het ClawHub-register die onder officiële namen als @openclaw waren gepubliceerd zonder toestemming, een techniek die zij scope squatting noemen. Onderzoekers van Unit 42 zagen vijf kwaadaardige vaardigheden die de screening van ClawHub omzeilden. Beveiligingsbedrijf AIR liet zien hoe een valse vaardigheid alle gangbare scanners passeerde en ongeveer 26.000 agenten bereikte, omdat de scan alleen het pakket leest en niet de externe link die later wordt herschreven.

Ook losse pakketten en interfaces bleken kwetsbaar. Onderzoekers van JFrog ontdekten kwaadaardige npm-pakketten die zich voordeden als populaire bouwgereedschappen en een trojan voor toegang op afstand afleverden op Windows. Microsoft verhielp een kwetsbaarheidsketen genaamd AutoJack in AutoGen Studio, waarmee een kwaadaardige webpagina commando's kon uitvoeren op de machine van een ontwikkelaar. En Zafran Security legde vier fouten bloot in het platform Dify voor kunstmatige intelligentie, gezamenlijk DifyTap genoemd, waarmee aanvallers privégesprekken van andere klanten konden lezen.

Kritieke kwetsbaarheden om nu te patchen

Het zwaarste lek van deze dagen zit in de Joomla Content Editor, een veelgebruikte uitbreiding voor het Joomla platform. De kwetsbaarheid (CVE-2026-48907) heeft de maximale score van 10.0 en stelt een ongeauthenticeerde aanvaller in staat een nieuw editorprofiel aan te maken en daarmee PHP-code uit te voeren, wat leidt tot volledige overname van de website. De ontwikkelaars brachten op 3 juni een update uit, op 12 juni werd actief misbruik bevestigd en op 16 juni plaatste het Amerikaanse agentschap CISA het lek op de lijst van bekende misbruikte kwetsbaarheden. De Shadowserver Foundation telde op 19 juni ruim 5.100 kwetsbare sites, inmiddels gedaald naar ongeveer 4.800, waarvan negentig in Nederland. Beheerders die nog niet hebben bijgewerkt naar versie 2.9.99.5 of hoger, moeten dat met spoed doen en controleren op onbekende profielen en webshells.

Daarnaast verscheen PixelSmash, een kwetsbaarheid in de veelgebruikte videodecoder FFmpeg (CVE-2026-8461, score 8.8). Een kwaadaardig videobestand kan op kwetsbare mediaservers zoals Jellyfin leiden tot code-uitvoering en in andere toepassingen zoals Kodi, Nextcloud en OBS Studio tot een weigering van dienst. Omdat de betrokken decoder in honderden projecten zit, is dit feitelijk een ketenprobleem. FFmpeg bracht versie 8.1.2 uit om het te verhelpen.

Kleinere maar relevante meldingen waren Squidbleed (CVE-2026-47729), een 29 jaar oude fout in de Squid-proxy die onder voorwaarden inloggegevens van andere gebruikers kan lekken en in versie 7 is verholpen, en een omzeiling van de regels voor voorwaardelijke toegang in Microsoft Entra, die Microsoft sinds 15 juni server-side heeft dichtgezet. De ontwikkelaars van libssh verhielpen tot slot fouten in de SSH-bibliotheek libssh2 tot en met versie 1.11.1.

AI verschuift het speelveld, opsporing slaat terug

De rode draad onder veel van dit nieuws is de rol van kunstmatige intelligentie. De inlichtingendiensten van de Five Eyes-alliantie riepen organisaties op om nu te handelen, omdat de transformatie van cyberdreigingen niet in jaren maar in maanden plaatsvindt en het venster tussen het ontdekken en misbruiken van een kwetsbaarheid steeds kleiner wordt. OpenAI lanceerde tegelijk het initiatief Patch the Planet en het model GPT-5.5-Cyber om sneller kwetsbaarheden in opensourceprojecten te vinden en te dichten, samen met Trail of Bits. Het knelpunt verschuift daarmee van het vinden van fouten naar het tijdig patchen ervan.

De opsporing boekte ook resultaat. De Canadese inlichtingendienst CSIS ontmantelde met een uniek gerechtelijk bevel twee door buitenlandse staten beheerde botnets, opgebouwd uit gekaapte routers en apparaten voor het internet der dingen op Canadees grondgebied. Het was de eerste keer dat de dienst haar bevoegdheden voor dreigingsreductie op deze wijze inzette. De belangrijkste les blijft dat botnets gedijen op onbeheerde, verouderde hardware met standaardinloggegevens.

In de Verenigde Staten nam het ministerie van Justitie een cloudaccount in beslag dat als infrastructuur diende voor de Cambodjaanse Huione Group, een conglomeraat dat eerder al door toezichthouder FinCEN werd beschuldigd van het witwassen van zeker 4 miljard dollar. En in het Verenigd Koninkrijk bekenden twee leden van het collectief Scattered Spider, Thalha Jubair (20) en Owen Flowers (18), op de eerste rechtsdag schuld voor de aanval op Transport for London uit 2024. Die aanval dwong alle 28.000 medewerkers hun wachtwoord te resetten, raakte de dienstverlening aan grote aantallen reizigers en veroorzaakte tientallen miljoenen ponden schade. De veroordeling staat gepland voor 16 juli.

De belangrijkste punten

- Fortinet-keten: minstens 270 Belgische organisaties (Secutec) en ongeveer driehonderd Nederlandse firewalls (CloudSEK) geraakt, FortiBleed oogstte meer dan 110 miljoen inloggegevens.

- Joomla Content Editor: kritiek lek (CVE-2026-48907, score 10.0) actief misbruikt, negentig kwetsbare sites in Nederland, direct bijwerken naar 2.9.99.5.

- Darkweb-claims: onbevestigde datasets tegen Whise, Iddink, 2ememain.be, LiteBit, Fast Transit Line en NTP raken Belgische en Nederlandse organisaties.

- Rabobank en Kifid: klant met 48.000 euro schade door bankhelpdeskfraude krijgt niets vergoed na onware verklaringen.

- Toeleveringsketen: ShapedPlugin (CVE-2026-49777), Cordyceps in GitHub Actions en valse npm-pakketten tonen aanvallen op vertrouwde kanalen.

- Opsporing: CSIS ontmantelt botnets, het Amerikaanse justitie pakt de Huione Group, en twee leden van Scattered Spider bekennen schuld voor de aanval op Transport for London.

Lees ook

- Odido-hack treft miljoenen, kunstmatige intelligentie als wapen en de toeleveringsketen - eerder dossier over ketenaanvallen

- Wanneer een schakel in de keten breekt, de impact van cyberincidenten in de toeleveringsketen - achtergrond bij risico in de toeleveringsketen

- Zo voorkom je bankhelpdeskfraude - praktische tips tegen oplichters die zich voordoen als de bank

Wil je dagelijks cyberdreigingen volgen? Schrijf je gratis in voor de Dreigingsradar dagelijkse alert van onze partner Digiweerbaar, met actuele incidenten en kwetsbaarheden uit Nederland en België. Voor CISO's en IT managers is er het betaalde Cyberdreigingsrapport van partner Digiweerbaar met dagelijkse en wekelijkse verdieping.

Volg ook op YouTube | Spotify | LinkedIn

Bron: Cybercrimeinfo, ondezoeksteam