Kwetsbaarheden in juli 2025, van CitrixBleed tot Fortinet en de zero-days die al worden misbruikt

Juli 2025 heeft opnieuw duidelijk gemaakt dat het dreigingslandschap in hoog tempo verandert en dat zelfs grote en gerenommeerde software- en hardwareleveranciers niet immuun zijn voor ernstige beveiligingslekken. Uit de gegevens van de European Vulnerability Database blijkt dat er deze maand meerdere zero days, actief misbruikte kwetsbaarheden en kritieke lekken zijn gemeld die organisaties wereldwijd, inclusief in België en Nederland, in gevaar brachten.

Een belangrijk punt dat opvalt, is de diversiteit aan getroffen systemen, van bedrijfsapplicaties en netwerkapparatuur tot IoT apparaten zoals beveiligingscamera’s en slimme thermostaten. Deze spreiding maakt duidelijk dat cybercriminelen steeds breder inzetten, waarbij ze zowel complexe bedrijfsomgevingen als ogenschijnlijk onschuldige apparaten in het vizier nemen.

Zero days in microsoft sharepoint en citrix netscaler

Eén van de grootste incidenten vond plaats op 22 juli, toen bekend werd dat twee zeroday kwetsbaarheden in Microsoft SharePoint (CVE-2025-49706 en CVE-2025-49704) actief werden misbruikt. Zero day betekent dat er op het moment van ontdekking nog geen patch of oplossing beschikbaar is, waardoor organisaties bijzonder kwetsbaar zijn. In dit geval zouden de aanvallen gelinkt zijn aan een Chinese staatshacker groep. Minstens 54 organisaties wereldwijd zijn getroffen, waaronder ook overheidsinstellingen. Ondanks dat Microsoft inmiddels patches heeft uitgebracht, blijven proof-of-concept-tools voor deze lekken publiekelijk beschikbaar, wat de kans op nieuwe aanvallen vergroot.

Twee dagen later, op 24 juli, kwamen ook kwetsbaarheden in Citrix NetScaler aan het licht. In Nederland werd onder andere het Openbaar Ministerie geraakt. De inbreuken bleken maandenlang onopgemerkt te zijn gebleven, wat aangeeft hoe geavanceerd en onzichtbaar dergelijke aanvallen kunnen zijn. Deze incidenten tonen aan dat alleen patchen niet voldoende is, actief monitoren op verdachte activiteiten in systemen is minstens zo belangrijk.

Veelgebruikte apparatuur als toegangspoort voor aanvallers

Juli liet ook zien dat hardware en netwerkapparatuur steeds vaker als toegangspoort dienen voor aanvallers. Zo werd in CrushFTP (CVE-2025-54309) een ernstig lek ontdekt waarmee op afstand kwaadaardige code kon worden uitgevoerd. Wereldwijd zijn meer dan 1100 servers getroffen, waarvan 45 in Nederland en 13 in België.

Cisco Identity Services Engine (CVE-2025-20281) kende misschien wel de meest zorgwekkende kwetsbaarheid van de maand. Deze kreeg een CVSS-score van 10,0, de hoogst mogelijke ernstgraad. Aanvallers konden zonder in te loggen volledige controle krijgen over het systeem, inclusief rootrechten. Cisco bracht snel een patch uit, maar omdat dit soort systemen vaak diep geïntegreerd zijn in de infrastructuur, is het risico groot dat updates worden uitgesteld.

Ook leveranciers van beveiligingsapparatuur moesten ingrijpen. SonicWall SMA 100-serie kreeg meerdere patches voor buffer overflow-kwetsbaarheden, onveilige bestandsuploads en XSS aanvallen. Sophos Firewall kende meerdere ernstige lekken die remote code execution mogelijk maakten, wat betekent dat een aanvaller op afstand volledige controle kan krijgen over het apparaat.

Zelfs alledaagse apparaten bleken kwetsbaar. Wifi thermostaten van Network Thermostat (CVE-2025-6260) konden door kwaadwillenden worden overgenomen om instellingen te wijzigen of als springplank te dienen voor verdere aanvallen. LG beveiligingscamera’s (CVE-2025-7742) hadden een authentication bypass waardoor onbevoegden administratorrechten konden verkrijgen. Deze camera’s worden niet meer ondersteund, waardoor vervangen of isoleren de enige veilige opties zijn.

Websites en cloudtoepassingen als doelwit

Webapplicaties en cloudgebaseerde diensten bleven ook in juli een aantrekkelijk doelwit. De populaire WordPress plugin Post SMTP (CVE-2025-1234) bleek wereldwijd circa 200.000 websites kwetsbaar te maken, waaronder veel in België en Nederland. Aanvallers konden emails onderscheppen, wachtwoorden wijzigen en zo volledige controle over websites verkrijgen.

Andere WordPress componenten, zoals het Alone thema (CVE-2025-5394), kenden vergelijkbare risico’s. Hier konden aanvallers via een kwaadaardig zip-bestand code uitvoeren op de server. Ook de OAuth2-Proxy-tool, vaak gebruikt voor authenticatieprocessen, had een ernstig lek dat het inloggen kon omzeilen.

Daarnaast kwamen er kwetsbaarheden aan het licht in videoconferentietool Jitsi, waarmee toegang tot webcam en microfoon mogelijk was zonder toestemming van de gebruiker, en in SAP NetWeaver (CVE-2025-31324), dat werd misbruikt door de Linux malwarefamilie Auto Color. Android apparaten kregen op 5 augustus updates voor een actief misbruikte remote code execution kwetsbaarheid (CVE-2025-48530) en Adreno GPU- ekken.

Een maand vol lessen voor organisaties

De kwetsbaarheden van juli 2025 maken duidelijk dat cyberdreigingen niet beperkt zijn tot één type systeem of leverancier. Aanvallers benutten elk mogelijk ingangspunt, van kritieke bedrijfsapplicaties tot slimme apparaten in het kantoor of thuisnetwerk.

Voor organisaties in België en Nederland betekent dit dat een effectieve patchstrategie onmisbaar is. Het installeren van updates zodra deze beschikbaar zijn, gecombineerd met continue monitoring, kan het verschil maken tussen een poging tot aanval en een geslaagde inbraak. Waar patchen niet mogelijk is, bijvoorbeeld bij verouderde of niet ondersteunde apparaten, moeten alternatieve maatregelen worden genomen zoals netwerkisolatie of vervanging.

Het is daarnaast cruciaal om te begrijpen dat actief misbruikte kwetsbaarheden extra urgentie vragen. Wanneer er bewijs is dat cybercriminelen een lek al gebruiken, telt elke minuut. Zero days zoals die in Microsoft SharePoint en Citrix NetScaler tonen aan dat zelfs grote organisaties kwetsbaar zijn wanneer de basisbeveiliging niet snel en adequaat wordt uitgevoerd.

Voor een gedetailleerd overzicht en de oorspronkelijke bronnen van de kwetsbaarheden van de maand juli 2025, verwijzen wij u naar de volgende link.

De kwetsbaarheden van deze maand kunt u hier lezen.

Wat is?

• Wat is een zero day?
  Een beveiligingslek dat nog niet bekend is bij de leverancier en waarvoor nog geen patch of oplossing beschikbaar is. Aanvallers kunnen het misbruiken voordat er een update is uitgebracht.
• Wat is een patch?
  Een software update die fouten of beveiligingslekken verhelpt. Het installeren van patches is essentieel om systemen veilig te houden.
• Wat is CVE?
  Staat voor Common Vulnerabilities and Exposures. Het is een internationaal systeem om kwetsbaarheden in software en hardware een uniek nummer en beschrijving te geven.
• Wat is CVSS score?
  De Common Vulnerability Scoring System score geeft aan hoe ernstig een kwetsbaarheid is, op een schaal van 0 tot 10. Hoe hoger de score, hoe gevaarlijker het lek.
• Wat is remote code execution (RCE)?
  Een kwetsbaarheid die aanvallers in staat stelt om op afstand eigen code uit te voeren op een systeem en zo volledige controle te krijgen.
• Wat is een proof of concept (PoC)?
  Een demonstratie, vaak in de vorm van code, die laat zien dat een kwetsbaarheid echt misbruikt kan worden.
• Wat is authentication bypass?
  Een fout waardoor iemand zonder in te loggen of zonder juiste gegevens toch toegang krijgt tot een systeem.
• Wat is een buffer overflow?
  Een fout waarbij een programma meer data probeert te verwerken dan de toegewezen ruimte, waardoor aanvallers code kunnen insluiten en uitvoeren.
• Wat is XSS?
  Afkorting voor Cross Site Scripting. Een aanval waarbij schadelijke code in een website wordt geplaatst om bijvoorbeeld inloggegevens te stelen.
• Wat is SQL injectie?
  Een aanval waarbij kwaadaardige commando’s in databasequeries worden geplaatst, zodat een aanvaller gegevens kan uitlezen of aanpassen.
• Wat is netwerkisolatie?
  Het loskoppelen van een kwetsbaar apparaat van het internet of van andere systemen, zodat het niet meer aangevallen kan worden.

Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.

Luister de podcast. Die legt complexe onderwerpen uit in eenvoudige taal, zodat iedereen het kan volgen. Te beluisteren via Spotify of YouTube.

Meer artikel over kwetsbaarheden