2025 | 2024 | 2023 | 2022 | 2021

Op 30 juli 2025 werd een ernstige kwetsbaarheid ontdekt in de OAuth2-Proxy (CVE-2025-54576) die gebruikers in België en Nederland in gevaar kan brengen. Deze open-source tool wordt veel gebruikt voor het beveiligen van toegang tot webapplicaties via OAuth2 en OpenID Connect, vaak in combinatie met reverse proxies zoals Nginx of cloudomgevingen. De kwetsbaarheid betreft een misconfiguratie in de 'skip_auth_routes' functie, die het mogelijk maakt voor aanvallers om de authenticatie te omzeilen en toegang te verkrijgen tot beveiligde resources.

Deze kwetsbaarheid heeft een CVSS-score van 9.1, wat betekent dat de impact op de vertrouwelijkheid en integriteit van gegevens hoog is, hoewel de beschikbaarheid van de systemen niet direct in gevaar komt. Het Centre for Cybersecurity Belgium raadt dringend aan om snel te patchen naar versie 7.11.0 of hoger om schade te voorkomen.

Organisaties die OAuth2-Proxy gebruiken in hun infrastructuur, zowel in België als Nederland, moeten onmiddellijk hun regex-patronen herzien en ervoor zorgen dat ze precies gedefinieerde paden gebruiken om dergelijke aanvallen te blokkeren. Tevens wordt aangeraden om regelmatig monitoring in te stellen om verdachte activiteiten tijdig te detecteren.

Bron

Er is een ernstige kwetsbaarheid ontdekt in de SUSE Multi Linux Manager, een veelgebruikte tool voor het beheren en automatiseren van Linux-omgevingen. De kwetsbaarheid, CVE-2025-46811, stelt aanvallers in staat om zonder authenticatie willekeurige commando’s als root uit te voeren op elke client via de webinterface op poort 443. Dit kan leiden tot een volledige overname van getroffen systemen, wat aanzienlijke risico’s met zich meebrengt voor de vertrouwelijkheid, integriteit en beschikbaarheid van de systemen.

De kwetsbaarheid wordt als zeer ernstig beoordeeld (CVSS 9.8) en is al aangetroffen in SUSE Multi Linux Manager, een product dat ook in België en Nederland wordt gebruikt door grotere organisaties die meerdere Linux-distributies beheren. Het is essentieel dat alle getroffen systemen onmiddellijk gepatcht worden. Organisaties wordt sterk geadviseerd de updates met hoge prioriteit te installeren na grondig testen.

Daarnaast wordt aanbevolen om de monitoringcapaciteit te versterken en verdachte activiteiten tijdig te detecteren, zodat een snelle reactie mogelijk is bij mogelijke inbraken.

Bron

Dahua, een bekende leverancier van beveiligingscamera's, heeft voor 126 modellen ip-camera's een belangrijke firmware-update uitgebracht om twee kwetsbaarheden te verhelpen. De kwetsbaarheden, aangeduid als CVE-2025-31700 en CVE-2025-31701, kunnen door aanvallers misbruikt worden om op afstand controle over de camera's te verkrijgen via een buffer overflow. Dit kan leiden tot het uitvoeren van schadelijke code, wat resulteert in volledige controle over het apparaat, of zelfs tot het laten crashen van de camera, wat leidt tot een denial of service.

Deze kwetsbaarheden kunnen geen authenticatie vereisen, wat het risico vergroot voor gebruikers van Dahua-camera's, ook in België en Nederland. Aangeraden wordt om de webinterface van de camera's niet toegankelijk te maken via het internet en de firmware-updates zo snel mogelijk te installeren. De camera’s kunnen in zowel de particuliere als zakelijke sector in België en Nederland worden aangetroffen, met name in geavanceerde CCTV-systemen.

Bron

Meer dan 800 SharePoint-servers wereldwijd, waarvan 31 in Nederland en 9 in België, zijn nog steeds kwetsbaar voor een beveiligingslek dat actief wordt aangevallen. De kwetsbaarheid (CVE-2025-53770) maakt het mogelijk voor een ongeauthenticeerde aanvaller om code uit te voeren op de server en toegang te krijgen via een webshell. Deze webshell stelt aanvallers in staat om de controle over de server te behouden, zelfs nadat een update is geïnstalleerd. Hoewel de update sinds juli beschikbaar is, zijn veel servers nog niet gepatcht, wat hen kwetsbaar maakt voor aanvallen, waaronder spionage en ransomware. The Shadowserver Foundation ontdekte dat 840 servers nog steeds kwetsbaar zijn, waarvan een aantal al gecompromitteerd is. Het is cruciaal dat organisaties deze kwetsbaarheid snel verhelpen om verdere schade te voorkomen.

Bron

Onlangs is er een ernstige kwetsbaarheid ontdekt in de AI-gedreven code-editor Cursor, genaamd CurXecute. Deze kwetsbaarheid heeft het CVE-nummer CVE-2025-54135 gekregen en is aanwezig in bijna alle versies van de Cursor IDE. Door gebruik te maken van een zogenaamde prompt-injectie kunnen aanvallers op afstand code uitvoeren met de rechten van de ontwikkelaar. Dit maakt het mogelijk om schadelijke commando's te sturen via externe systemen en zo bijvoorbeeld ransomware of datadiefstal te faciliteren.

Cursor maakt gebruik van het Model Context Protocol (MCP), waarmee de AI-agent verbinding maakt met externe bronnen en systemen. Deze verbinding biedt mogelijkheden voor aanvallers om de controle over te nemen. De kwetsbaarheid is vergelijkbaar met de EchoLeak-kwetsbaarheid in Microsoft 365 CoPilot, waarmee gevoelige data kan worden gestolen zonder enige interactie van de gebruiker.

Gelukkig heeft het Cursor-team snel gereageerd en een patch uitgebracht in versie 1.3, die op 29 juli 2025 is vrijgegeven. Gebruikers wordt aangeraden om de nieuwste versie van Cursor te downloaden en te installeren om de risico’s van deze kwetsbaarheid te vermijden.

In België en Nederland groeit het gebruik van AI-ondersteunde ontwikkeltools zoals Cursor, wat deze kwetsbaarheid extra belangrijk maakt om in de gaten te houden. Aangezien het software-ecosysteem in deze regio’s steeds meer afhankelijk is van geavanceerde ontwikkelomgevingen, is het essentieel om altijd up-to-date te blijven met de laatste beveiligingsupdates.

Bron

Google heeft recent updates uitgebracht voor Android, waarin verschillende kwetsbaarheden worden verholpen, waaronder twee die al actief werden aangevallen. Een van de kritieke kwetsbaarheden (CVE-2025-48530) maakt het mogelijk voor aanvallers om zonder enige interactie van de gebruiker code uit te voeren op Android-apparaten. Daarnaast werden twee kwetsbaarheden in de Adreno GPU-driver van Qualcomm aangepakt, die konden leiden tot geheugenbeschadiging en het uitvoeren van code. Google heeft deze kwetsbaarheden eerder ontdekt en gerapporteerd door de Google Threat Analysis Group. Gebruikers wordt aangeraden de updates snel te installeren, aangezien sommige toestellen wellicht niet meteen de nieuwste patch ontvangen. De updates zijn beschikbaar voor Android versies 13 tot 16 en dragen de patchniveaus 2025-08-01 en 2025-08-05.

Bron

Proton heeft een fout verholpen in zijn nieuwe Authenticator-app voor iOS, waarbij gevoelige TOTP-geheimen in platte tekst werden opgeslagen in de logbestanden van de app. Deze bug kon mogelijk leiden tot blootstelling van multi-factor authenticatiecodes, vooral als de logs gedeeld werden. De app slaat TOTP-geheimen op die worden gebruikt om eenmalige toegangscodes te genereren voor websites en applicaties. Het probleem werd ontdekt door een gebruiker die merkte dat de logbestanden deze geheimen bevatten, waaronder voor gevoelige accounts. Proton bevestigde de bug en bracht snel een update uit (versie 1.1.1) om de loggedrag te wijzigen. Hoewel de app de gegevens lokaal opslaat en versleutelt, waarschuwde Proton dat een aanvaller die toegang krijgt tot het apparaat ook toegang kan krijgen tot deze geheimen. Dit probleem kan echter niet op afstand worden misbruikt. Het advies is om altijd toegang tot het apparaat goed te beveiligen.

Bron

Ubiquiti heeft een ernstige kwetsbaarheid gepatcht in verschillende UniFi Access-apparaten, waaronder de UniFi Access Reader Pro, G2 en G3 Reader Pro, en Access Intercom. Deze kwetsbaarheid maakt het mogelijk voor aanvallers om commando’s uit te voeren op de getroffen apparaten. Het probleem ontstaat doordat invoer niet correct wordt gevalideerd, wat de aanvallers in staat stelt om schadelijke commando's door te voeren zodra ze toegang hebben tot het netwerk waarop de apparaten draaien. De kwetsbaarheid, aangeduid als CVE-2025-27212, heeft een kritieke score van 9,8 op een schaal van 10. De Duitse overheid heeft gebruikers aangespoord om de benodigde beveiligingsupdates snel te installeren om verdere risico's te voorkomen.

Bron

Cursor, een op AI gebaseerde ontwikkelomgeving, heeft een ernstige kwetsbaarheid die cybercriminelen in staat stelt om schadelijke code persistent uit te voeren. Deze kwetsbaarheid, geïdentificeerd als CVE-2025-54136, is het gevolg van een zwakte in het Model Context Protocol (MCP) dat door Cursor wordt gebruikt. In dit protocol worden bepaalde configuraties vertrouwd na de eerste goedkeuring, maar toekomstige wijzigingen in de configuraties worden niet opnieuw gevalideerd. Dit maakt het mogelijk voor aanvallers om onschuldige configuraties in te dienen, later te wijzigen naar kwaadaardige versies en zo ongewenste systemen of zelfs reverse shells op de slachtoffersmachines uit te voeren zonder dat de gebruiker hiervan op de hoogte is.

Deze kwetsbaarheid heeft vooral impact in omgevingen waar meerdere gebruikers samenwerken, zoals bij bedrijven of teams die gedeelde repositories gebruiken. Aangezien Cursor steeds meer gebruikt wordt in Nederland en België, met name door startups, ontwikkelaars en onderzoeksteams die AI-tools willen integreren in hun workflows, is het van belang om deze kwetsbaarheid serieus te nemen.

Het probleem is inmiddels verholpen in versie 1.3 van Cursor, die een extra goedkeuringsstap vereist voor elke wijziging in MCP-configuraties, zelfs bij kleine aanpassingen. Het wordt ten zeerste aanbevolen om te updaten naar de laatste versie om beschermd te blijven tegen dit risico.

Bron

Op 5 augustus 2025 werd een ernstige kwetsbaarheid ontdekt in Squid Web Proxy Cache, die veel gebruikt wordt voor webcaching, ook in België en Nederland. Deze kwetsbaarheid, geregistreerd als CVE-2025-54574, betreft een heap buffer overflow in alle versies van Squid vóór versie 6.4. Aanvallers kunnen deze kwetsbaarheid misbruiken om op afstand code uit te voeren of ernstige verstoringen van de service te veroorzaken, zonder dat gebruikersinteractie of authenticatie vereist is. Dit kan leiden tot het uitlekken van gevoelige gegevens, zoals inloggegevens.

Squid wordt in België en Nederland nog steeds gebruikt in bepaalde netwerkinstellingen, bijvoorbeeld voor bandbreedtebeheer, contentfiltering of specifieke cachingbehoeften. De impact van deze kwetsbaarheid maakt het essentieel om direct naar de nieuwste versie (6.4) van Squid te upgraden om verdere schade te voorkomen.

Zorg ervoor dat je alle systemen die Squid gebruiken, bijwerkt naar de nieuwste versie of, als tijdelijke maatregel, URN-toegang uitschakelt in je configuratie.

Bron

Recent zijn er verhoogde cyberincidenten waargenomen rondom Gen 7 SonicWall firewalls waarbij de SSLVPN-functionaliteit is ingeschakeld. SonicWall heeft daarop een waarschuwing gepubliceerd, waarbij klanten wordt geadviseerd om, indien mogelijk, de SSLVPN-services uit te schakelen om verdere risico's te vermijden. SSLVPN wordt vaak gebruikt voor externe toegang tot interne netwerken, wat het mogelijk maakt dat aanvallers toegang krijgen tot systemen. Als het uitschakelen van SSLVPN niet mogelijk is, worden aanvullende beveiligingsmaatregelen aanbevolen, zoals het toestaan van verbindingen vanaf vertrouwde IP-adressen, het inschakelen van multifactorauthenticatie en het verwijderen van ongebruikte accounts. Het Digital Trust Center (DTC) probeert organisaties te identificeren die gebruikmaken van deze kwetsbare systemen en adviseert hen om de berichtgeving van SonicWall nauwlettend te volgen voor verdere updates en maatregelen.

Bron

Adobe heeft met spoed patches uitgebracht voor twee zerodaylekken in Experience Manager Forms op JEE, nadat onderzoekers een proof of concept openbaar maakten die ongeauthenticeerde aanvallers in staat stelt om op afstand code uit te voeren. Het gaat om CVE-2025-54253, een fout in de /adminui module waarbij een foutieve configuratie en ingeschakelde ontwikkelmodus samengaan, en CVE-2025-54254, een XML External Entity kwetsbaarheid die zonder authenticatie lokale bestanden prijsgeeft. De problemen werden op 28 april gerapporteerd door experts van Searchlight Cyber en één verwant lek werd al eerder opgelost, maar Adobe liet de twee ernstigste gaten meer dan negentig dagen ongemoeid, waarop de onderzoekers op 29 juli hun bevindingen publiceerden. Beide kwetsbaarheden krijgen een kritieke CVSS score tot 10, wat het risico op volledige serverovername onderstreept. Beheerders wordt dringend geadviseerd de nieuwste hotfixes onmiddellijk te installeren of de AEM Forms omgeving tijdelijk af te schermen van het internet om misbruik te voorkomen.

Bron

Trend Micro heeft gewaarschuwd voor actief misbruik van een ernstige kwetsbaarheid in Apex One, een veelgebruikt platform voor endpointbeveiliging. Het lek (CVE-2025-54948) bevindt zich in de Apex One managementconsole, die door organisaties wordt gebruikt om de beveiligingssoftware van Trend Micro te beheren. De kwetsbaarheid maakt het mogelijk voor ongeauthenticeerde aanvallers om malware te uploaden en willekeurige commando's uit te voeren, met een risicoscore van 9.4.

Apex One wordt in zowel Nederland als België gebruikt door diverse organisaties, waaronder bedrijven en overheidsinstellingen. Gezien de omvang van het gebruik van Trend Micro in deze regio’s is het belangrijk om aandacht te besteden aan dit beveiligingslek. Organisaties die toegang tot de managementconsole vanaf het internet mogelijk maken, worden aangeraden het IP-adres af te schermen om misbruik te voorkomen.

Trend Micro biedt een tijdelijke oplossing, de zogenaamde "FixTool," voor Apex One On Premise 2019. Organisaties worden dringend aangeraden deze snel uit te rollen. Voor Apex One as a Service en Trend Vision One zijn reeds updates doorgevoerd op 31 juli.

Bron

Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft gewaarschuwd voor kwetsbaarheden in D-Link IP-camera’s en digitale videorecorders (DVR's), die ook in België en Nederland in gebruik zijn. De kwetsbaarheden worden misbruikt door aanvallers om toegang te krijgen tot apparaten. Twee van de belangrijkste kwetsbaarheden, aangeduid als CVE-2020-25078 en CVE-2020-25079, bevinden zich in negen modellen van de DCS IP-camera's. Via CVE-2020-25078 kunnen aanvallers op afstand het admin-wachtwoord achterhalen, terwijl CVE-2020-25079 hen in staat stelt om commando's uit te voeren op het apparaat en zo controle over het systeem te krijgen.

D-Link heeft voor sommige modellen een firmware-update uitgebracht, maar voor andere modellen, zoals de DCS-P703, is er geen oplossing meer. Voor de D-Link DNR-322L digitale videorecorder, die eveneens kwetsbaar is door CVE-2022-40799, is er geen verdere ondersteuning van D-Link beschikbaar, aangezien het apparaat inmiddels als "end-of-life" wordt beschouwd. Dit betekent dat gebruikers van dit apparaat geadviseerd worden om het te vervangen om verdere risico’s te vermijden.

De waarschuwing van CISA volgt op eerdere meldingen van de FBI, die in december 2024 al wees op het misbruik van dergelijke kwetsbaarheden, en benadrukt het belang van tijdige updates en het vermijden van verouderde apparatuur.

Voor gebruikers van D-Link apparatuur in België en Nederland is het belangrijk om aandacht te besteden aan de beschikbare updates en de nodige stappen te ondernemen om deze apparaten te vervangen als ze niet langer worden ondersteund.

Bron

Er zijn ernstige beveiligingslekken ontdekt in de ControlVault3-firmware van Dell, die invloed hebben op meer dan 100 modellen van Dell laptops, waaronder de Latitude en Precision series. Deze kwetsbaarheden kunnen cybercriminelen in staat stellen om de Windows-login te omzeilen en malware te installeren die blijft bestaan, zelfs na het herinstalleren van het besturingssysteem. Bovendien kunnen de kwetsbaarheden worden gebruikt voor privilege-escalatie, waardoor een aanvaller lokale gebruikersrechten kan omzetten naar beheerdersrechten.

De kwetsbaarheden zijn gedocumenteerd onder de volgende CVE-nummers: CVE-2025-24311, CVE-2025-25050, CVE-2025-25215, CVE-2025-24922 en CVE-2025-24919. Vooral in de zakelijke sector, waar Dell Latitude- en Precision-apparaten vaak worden gebruikt, kunnen deze kwetsbaarheden een ernstig risico vormen. Deze laptops zijn populair bij overheden, de industrie en het bedrijfsleven in zowel België als Nederland, wat het belang van een snelle oplossing benadrukt.

Dell heeft beveiligingsupdates uitgebracht tussen maart en mei 2025 om de kwetsbaarheden te verhelpen. Gebruikers wordt geadviseerd hun systemen te updaten via Windows Update of de officiële Dell-website. Het is daarnaast raadzaam om ongebruikte beveiligingsperifere apparaten, zoals vingerafdruklezers en smartcardlezers, uit te schakelen, en fysieke beveiligingsmaatregelen, zoals chassis-inbruddetectie in de BIOS-instellingen, te activeren.

Bron

Microsoft heeft buiten de gebruikelijke patchcyclus om een noodpatch uitgebracht voor een kwetsbaarheid in Exchange Server. Het gaat om een beveiligingslek (CVE-2025-53786) dat zich voordoet in hybride Exchange-installaties, waar on-premises Exchange-servers gecombineerd worden met Exchange Online. Deze kwetsbaarheid kan door aanvallers misbruikt worden om administratieve toegang te krijgen tot de cloudomgeving van een organisatie, zonder dat er eenvoudig bewijs van de aanval is. Het risico is significant, aangezien dit de integriteit van de Exchange Online-dienst kan bedreigen. De kwetsbaarheid werd ontdekt door de Nederlandse beveiligingsonderzoeker Dirk-jan Mollema en gepresenteerd op de Black Hat Conferentie. Hoewel Microsoft nog geen misbruik van het lek heeft geconstateerd, verwacht men dat aanvallers het snel zullen proberen te exploiteren. Het CISA heeft organisaties aangespoord om de update zo snel mogelijk te installeren en verouderde softwareversies niet langer te gebruiken.

Bron

Sonicwall-firewalls zijn populair bij heel wat Belgische en Nederlandse kmo’s, scholen en gemeenten, waardoor het nieuws over de recente aanvallen ook hier bijzonder relevant is. Onderzoek van Sonicwall toont dat aanvallers geen onbekend zeroday gebruikten, maar misbruik maakten van het al in augustus 2024 gepubliceerde lek CVE-2024-40766 in het SSLVPN-onderdeel. Hoewel er toen een patch, duidelijke stappen voor wachtwoord­reset en het inschakelen van multifactorauthenticatie verschenen, blijken vele beheerders bij migraties van generatie 6 naar 7 de oude wachtwoorden simpelweg te hebben overgezet. Daardoor bleef de achterdeur open staan en konden criminelen via de firewall toch het netwerk binnenkomen. Sonicwall adviseert nu dringend om te controleren of de firmware van alle generatie 5, 6 en 7 apparaten op het laatste niveau staat, lokale SSLVPN-accounts te voorzien van nieuwe, sterke wachtwoorden en MFA verplicht te maken. Voor organisaties in de Lage Landen is dit een wake-upcall: een firewall is pas zo veilig als het beheer en de discipline erachter, wie patches uitstelt of toegangscontrole overslaat, maakt van een verdedigingslinie een valkuil.

Bron

Het Amerikaanse cyberagentschap CISA waarschuwt voor een ernstig lek in Microsoft Exchange Server, CVE-2025-53786, dat vooral hybride omgevingen raakt waarbij on-premises servers met Exchange Online zijn gekoppeld. Hoewel het dringende bevel om uiterlijk maandag 9.00 uur te patchen alleen voor federale Amerikaanse instanties geldt, is de dreiging grensoverschrijdend. In België en Nederland draaien duizenden bedrijven en overheden nog eigen Exchange-servers om compliance-eisen of legacy-applicaties te ondersteunen, zij lopen dus exact hetzelfde risico dat een aanvaller die lokaal beheerdersrechten verwerft vervolgens onbeperkte toegang tot Microsoft 365 krijgt. Microsoft heeft buiten de reguliere patchronde een noodupdate uitgebracht, organisaties wordt aangeraden nog vandaag het Exchange Server Health Checker script te draaien, hun patchniveau te controleren en end-of-life servers los te koppelen van de hybride configuratie. Wie uitsluitend in de cloud werkt loopt minder gevaar, maar voor ieder ander is snel patchen cruciaal om datalekken, account-overnames en e-mailmanipulatie te voorkomen. Volg de kanalen van NCSC-NL en CERT.be voor eventuele verdere instructies.

Bron

Duizenden SonicWall-appliances, waaronder 89 in Nederland en 8 in België, missen een belangrijke beveiligingsupdate voor kwetsbaarheden die kunnen leiden tot buffer overflows. Deze kwetsbaarheden bevinden zich in de SonicWall Secure Mobile Access (SMA) 100-serie, die wordt gebruikt voor externe toegang tot netwerken en cloudomgevingen. De kwetsbaarheden, waaronder twee buffer overflows en een cross-site scripting-lek, kunnen ongeauthenticeerde aanvallers in staat stellen een denial of service (DoS) te veroorzaken of zelfs code uit te voeren. Ondanks een update die op 23 juli werd uitgebracht, blijkt uit scans van The Shadowserver Foundation dat er wereldwijd nog duizenden kwetsbare systemen zijn, waarvan 89 in Nederland en 8 in België. Dit verhoogt het risico op misbruik, vooral aangezien dergelijke systemen in het verleden doelwit waren van ransomware-aanvallen. SonicWall heeft klanten aangespoord de update snel te installeren.

Bron

Onderzoekers van Midnight Blue hebben ernstige kwetsbaarheden ontdekt in de versleuteling van de TETRA-standaard, die wereldwijd wordt gebruikt door hulpdiensten, waaronder in Nederland voor het C2000-netwerk en in België voor vergelijkbare toepassingen. Deze kwetsbaarheden, bekend als TETRA:BURST en 2TETRA:2BURST, kunnen aanvallers in staat stellen versleutelde berichten te ontsleutelen en valse berichten in de communicatiekanalen van hulpdiensten te injecteren. De kwetsbaarheid in de TETRA-standaard wordt gedeeltelijk veroorzaakt door een 'cryptografische achterdeur' in het TEA1-algoritme, aangeduid als CVE-2022-24402, waardoor de versleuteling met een verkorte sleutel van 32 bits kan worden gekraakt.

Daarnaast ontdekten de onderzoekers nieuwe zwaktes in de end-to-end encryptie (E2EE), aangeduid als CVE-2025-52941, die het mogelijk maakt om de gebruikte 128-bit sleutel te verkorten naar 56 bits, wat het gemakkelijker maakt voor aanvallers om verkeer af te luisteren. Deze kwetsbaarheden hebben directe implicaties voor de veiligheid van vitale communicatiekanalen in zowel Nederland als België, waar TETRA door hulpdiensten en militaire eenheden wordt gebruikt. De onderzoekers hebben hun bevindingen gepresenteerd op de Black Hat USA 2025-conferentie.

Bron

Een kwetsbaarheid in de populaire archiveringssoftware WinRAR (CVE-2025-8088) is actief misbruikt in aanvallen voordat er een beveiligingsupdate beschikbaar was. De bug maakt het mogelijk voor aanvallers om via path traversal een uitvoerbaar bestand in een schadelijke locatie te plaatsen, zoals de Windows Startup map. Dit zorgt ervoor dat het bestand automatisch wordt uitgevoerd wanneer de computer opnieuw wordt opgestart, wat kan leiden tot systeemcompromittatie. ESET ontdekte dat aanvallers, die vermoedelijk tot de RomCom-groep behoren, deze kwetsbaarheid gebruikten in spearphishing-aanvallen waarbij ze RAR-bestanden als bijlage verstuurden.

WinRAR heeft inmiddels versie 7.13 uitgebracht, die de kwetsbaarheid verhelpt, maar gebruikers moeten deze versie handmatig installeren, aangezien de software geen automatische updatefunctie heeft. Gezien de brede verspreiding van WinRAR in zowel België als Nederland, is het van groot belang dat gebruikers deze update installeren om het risico op aanvallen te verkleinen.

Bron

Meer dan 28.000 Microsoft Exchange-servers wereldwijd, waarvan 578 in Nederland en 203 in België, missen een belangrijke noodpatch die vorige week werd uitgebracht. De patch verhelpt een kwetsbaarheid in hybride Exchange-omgevingen, waarbij on-premises servers worden gecombineerd met Exchange Online. De kwetsbaarheid, aangeduid als CVE-2025-53786, maakt het mogelijk voor aanvallers die admin-toegang hebben tot de on-premises server, om vergaande controle over de cloudomgeving van de organisatie te verkrijgen. Microsoft heeft normaal gesproken een maandelijkse updatecyclus, maar besloot voor deze kritieke kwetsbaarheid een noodpatch uit te brengen. Het Amerikaanse cyberagentschap CISA heeft een noodbevel uitgevaardigd voor Amerikaanse overheidsinstanties om deze patch uiterlijk maandag te installeren. De Shadowserver Foundation, die het probleem opspoorde, waarschuwt dat de kwetsbaarheid een groot risico vormt voor alle organisaties die gebruik maken van hybride Exchange-omgevingen.

Cybercrimeinfo.nl raadt alle organisaties in Nederland en België die gebruik maken van Microsoft Exchange in hybride opstellingen aan om onmiddellijk de beschikbare update te installeren om de risico's te verkleinen.

Bron

CyberArk heeft verschillende kritieke kwetsbaarheden opgelost in zijn producten, waaronder de CyberArk Secrets Manager, Self-Hosted (voorheen Conjur Enterprise) en Conjur OSS. Deze kwetsbaarheden, waaronder IAM-authenticatie omzeilen, kunnen leiden tot het uitvoeren van externe code (RCE), bestandsoverdracht en informatielekken. De kwetsbaarheden hebben invloed op systemen die worden gebruikt voor het beheren van geheime gegevens in organisaties.

Onder de CVE-nummers die van toepassing zijn, zijn:

• CVE-2025-49827 (CVSS 9.1): IAM-authenticatie omzeilen via manipulatie van AWS-headers.
• CVE-2025-49831 (CVSS 9.1): IAM-authenticatie omzeilen via misconfiguratie van netwerkapparaten.
• CVE-2025-49828 (CVSS 8.6): Externe code-uitvoering (RCE) via een blootgestelde API.
• CVE-2025-49830 (CVSS 7.1): Paddoorsteken en bestandsoverdracht.
• CVE-2025-49829 (CVSS 6.0): Ontbrekende validaties waardoor ongeautoriseerde toegang mogelijk is.

In België en Nederland wordt CyberArk veelvuldig gebruikt door bedrijven en overheidsinstellingen, zoals blijkt uit de samenwerking met Proximus in België en het actief organiseren van evenementen in Nederland. Organisaties die CyberArk gebruiken voor hun beveiliging worden aangespoord de patches zo snel mogelijk te installeren, na grondige tests, om de veiligheid van hun systemen te waarborgen.

Bron

Een recent ontdekte kwetsbaarheid in Google Calendar bleek het mogelijk te maken voor cybercriminelen om via speciaal opgestelde agenda-uitnodigingen de Gemini-assistent op afstand over te nemen. Deze aanvalsmethode, die ook gebruikers in België en Nederland treft, maakte gebruik van een ‘prompt injection’ verborgen in de titel van een agendagebeurtenis. Zodra een gebruiker Gemini vroeg om de komende afspraken weer te geven, werd de schadelijke instructie uitgevoerd, met potentieel ernstige gevolgen. Aanvallers konden toegang krijgen tot e-mails, agenda-informatie, locatiegegevens en zelfs slimme apparaten via Google Home, maar ook apps openen of videomeetings starten zonder medeweten van het slachtoffer. Omdat Gemini in onze regio breed beschikbaar is en geïntegreerd wordt gebruikt in Google-diensten, vormt dit lek een reële dreiging. Google heeft het probleem inmiddels verholpen en extra beveiligingsmaatregelen ingevoerd om herhaling te voorkomen.

Bron

Lenovo heeft een kwetsbaarheid opgelost in de 510 FHD en Performance FHD webcams, die via usb op systemen kunnen worden aangesloten. Onderzoekers ontdekten dat aanvallers deze webcams konden misbruiken door ongeautoriseerde firmware te installeren, waardoor de webcam werd omgezet in een human interface device (HID). Dit gaf de aanvaller de mogelijkheid om commando's uit te voeren op het systeem, zoals het stelen van data of het herinrichten van het systeem, zonder dat de gebruiker het wist. Dit type aanval vereist fysieke toegang tot het apparaat, bijvoorbeeld via een gecompromitteerd systeem.

De kwetsbaarheid werd geclassificeerd onder CVE-2025-4371. Lenovo heeft inmiddels een firmware-update beschikbaar gesteld die de beveiliging van de webcams verbetert. Gebruikers wordt dringend aangeraden om deze update te installeren om zich te beschermen tegen dergelijke aanvallen. Het probleem ligt in de usb-specificatie, die standaard geen bescherming biedt tegen ongeautoriseerde firmware-aanpassingen, wat aanvallers de mogelijkheid biedt om usb-apparaten om te zetten in aanvalsinstrumenten.

Deze kwetsbaarheid kan niet alleen bedrijven in België en Nederland treffen, maar ook consumenten die deze webcams gebruiken. Het is belangrijk om de nieuwste beveiligingsupdates van de fabrikant te installeren om schade te voorkomen.

Bron

In juli 2025 werden ernstige kwetsbaarheden in verschillende systemen ontdekt, met als gevolg actieve aanvallen en zero-day lekken die wereldwijd, inclusief België en Nederland, schade aanrichtten. Belangrijke kwetsbaarheden betroffen onder andere Microsoft SharePoint en Citrix NetScaler, waarbij aanvallers toegang kregen tot gevoelige gegevens. Zero-days zoals de kwetsbaarheden in deze platforms maakten aanvallen mogelijk voordat patches beschikbaar waren, wat de urgentie van snelle beveiligingsmaatregelen benadrukt. Naast softwarekwetsbaarheden werden ook netwerkapparatuur en IoT-apparaten zoals beveiligingscamera’s en thermostaten getroffen, wat aantoont dat cybercriminelen hun aanvalsmethoden steeds verder uitbreiden. Organisaties moeten patchen, monitoren en waar nodig verouderde apparaten vervangen om zichzelf te beschermen tegen deze snel evoluerende dreigingen. Het artikel benadrukt het belang van snel handelen om potentiële inbraken te voorkomen.

Lees ons uitgebreide artikel

HashiCorp Vault, een platform voor het beheren van gevoelige gegevens zoals inloggegevens en encryptiesleutels, heeft een ernstige kwetsbaarheid ontdekt die de beveiliging van systemen in België en Nederland in gevaar kan brengen. De kritieke kwetsbaarheid, aangeduid als CVE-2025-6000, maakt het mogelijk voor aanvallers om op afstand willekeurige code uit te voeren op Vault-servers, wat kan leiden tot datadiefstal, systeemcompromis en zelfs de installatie van malware.

Deze kwetsbaarheid heeft invloed op de versies van HashiCorp Vault tot en met versie 1.20.2, en het is essentieel dat bedrijven en organisaties in België en Nederland snel de aanbevolen updates installeren. Het patchen van de kwetsbaarheid voorkomt dat kwaadwillenden gebruikmaken van deze zwakte om toegang te krijgen tot gevoelige gegevens of het netwerk van een organisatie.

Naast de kritieke kwetsbaarheid zijn er ook andere risico’s, zoals privilege-escalatie en authenticatiebypass, die de vertrouwelijkheid en integriteit van opgeslagen gegevens verder kunnen ondermijnen. Het is dan ook van groot belang dat organisaties de monitoringcapaciteiten vergroten om verdachte activiteiten snel te detecteren en een snelle respons te waarborgen.

Voor bedrijven in België en Nederland die HashiCorp Vault gebruiken, is het aan te raden om de nieuwste versie van het platform zo snel mogelijk te installeren om te voorkomen dat deze kwetsbaarheden worden misbruikt.

Bron

Het Nationaal Cyber Security Centrum (NCSC) meldt dat de Citrix-systemen van meerdere vitale organisaties in Nederland zijn gehackt via een kritieke kwetsbaarheid (CVE-2025-6543). De aanvallen zouden sinds begin mei plaatsvinden, terwijl een patch pas op 25 juni beschikbaar werd gesteld. De getroffen organisaties zijn niet bekendgemaakt. Onderzoek heeft aangetoond dat de aanvallers sporen hebben uitgewist, wat het forensisch onderzoek bemoeilijkt. Het NCSC werkt samen met getroffen organisaties en partners om de impact van de aanval in kaart te brengen. De overheidsinstantie waarschuwt dat het installeren van de patch niet betekent dat de aanvaller geen toegang meer heeft tot het systeem, waardoor het risico op herhaald misbruik blijft bestaan. Organisaties worden aangespoord om het NCSC te informeren bij vermoedens van misbruik en kunnen een script gebruiken om hun systemen te controleren.

Bron

Ruim 16.000 VMware ESXi-servers, waaronder 629 in Nederland en 20 in België, missen een belangrijke update voor een kwetsbaarheid die ernstige risico's met zich meebrengt. Het beveiligingslek (CVE-2025-41236), dat sinds 15 juli gepatcht is, stelt aanvallers in staat om code uit te voeren op de onderliggende host van de server, als ze toegang hebben tot een lokale virtual machine (VM). De kwetsbaarheid wordt als zeer ernstig beoordeeld, met een impactscore van 9,3 op een schaal van 10. De meeste kwetsbare servers bevinden zich in Frankrijk, China, de VS en Duitsland, maar er zijn ook aanzienlijke aantallen in Nederland en België. Organisaties worden dringend aangespoord om de patch te installeren om verdere risico's te vermijden.

Bron

In de afgelopen 24 uur zijn er verschillende kritieke kwetsbaarheden (CVE's) trending op sociale media, met aanzienlijke risico's voor de digitale beveiliging. Eén van de belangrijkste kwetsbaarheden is CVE-2025-8088, die een pad-traversal probleem in WinRAR betreft. Deze bug werd geëxploiteerd in phishingaanvallen om RomCom-malware te verspreiden. Andere noemenswaardige kwetsbaarheden zijn CVE-2024-53141 in het Linux-kernel, die kan leiden tot geheugenaanvallen, en CVE-2025-32433 in Erlang/OTP, die zonder authenticatie toegang kan geven tot servers. Organisaties moeten snel reageren op deze trending CVE's door beveiligingspatches toe te passen, aangezien de hoge hype-scores wijzen op de urgentie van deze bedreigingen. De kwetsbaarheden variëren van kritiek tot middelmatig, maar de aandacht voor deze kwesties is noodzakelijk voor het beschermen van systemen tegen aanvallen.

Bron: CVE's Trending

De XZ-Utils-backdoor, ontdekt in maart 2024 en gelabeld onder CVE-2024-3094, blijft aanwezig in verschillende Linux-images op Docker Hub. Deze backdoor, die verstopt zat in de liblzma.so-bibliotheek van de xz-utils-compressietool (versies 5.6.0 en 5.6.1), biedt aanvallers de mogelijkheid om via een SSH-verbinding zonder authenticatie toegang te krijgen tot systemen en commando’s uit te voeren als root.

Deze kwetsbaarheid is niet alleen relevant voor andere landen, maar ook voor België en Nederland, waar veel organisaties Linux-distributies zoals Debian, Fedora en openSUSE gebruiken. Docker Hub, waar veel ontwikkelaars en bedrijven basisimages vandaan halen voor hun applicaties, bevat nog steeds besmette images, ondanks dat sommige van deze afbeeldingen oorspronkelijk uit officiële Linux-pakketten kwamen.

Het gebruik van oudere of niet-geüpdatete images in test- of productieomgevingen kan betekenen dat de XZ-Utils-backdoor onbewust wordt geïntroduceerd in CI/CD-pijplijnen of andere systemen. Hoewel Debian ervoor heeft gekozen de besmette afbeeldingen niet te verwijderen, waarschuwt de onderzoeksgroep Binarly dat dit de kans vergroot dat bedrijven in België en Nederland per ongeluk getroffen worden.

Het is van cruciaal belang voor Belgische en Nederlandse organisaties om na te gaan of ze affected images gebruiken en om over te stappen op veilige versies van XZ-Utils (5.6.2 of hoger). Het updaten van de bibliotheek naar de laatste stabiele versie (5.8.1) wordt ten zeerste aanbevolen om deze ernstige beveiligingsrisico’s te vermijden.

Bron

Microsoft heeft op de Patch Tuesday van augustus 2025 beveiligingsupdates uitgebracht voor 107 kwetsbaarheden, waaronder een openbaar gemaakte zero-day kwetsbaarheid in Windows Kerberos. Deze maand zijn er dertien "kritieke" kwetsbaarheden opgelost, waarvan negen op afstand uitvoerbare code, drie met informatieonbekendmaking en één met privilege-escalatie betreft. De zero-day, CVE-2025-53779, stelt aanvallers in staat om via Windows Kerberos hun privileges te verhogen, wat kan leiden tot het verkrijgen van domeinbeheerrechten. Dit betreft een zwakte in de relatieve paddoorstekenning in Kerberos, waarbij een aanvaller, die al geauthenticeerd is, via een netwerk toegang kan verkrijgen tot hogere systeemrechten. Microsoft heeft een oplossing voor deze kwetsbaarheid uitgerold, evenals updates voor andere risicovolle systemen. De updates richten zich op verschillende Microsoft-producten, waaronder Azure, Windows en Office, en bevatten belangrijke beveiligingspatches voor tal van kwetsbaarheden die misbruikt kunnen worden.

Meer info

Het Nationaal Cyber Security Centrum (NCSC) heeft twee scripts gepubliceerd die organisaties helpen te controleren of hun Citrix-systemen zijn gecompromitteerd. Deze scripts, beschikbaar op GitHub, zijn ontwikkeld na forensisch onderzoek en bevatten nieuwe indicators of compromise (IOCs) die nog niet eerder openbaar zijn gemaakt. Het NCSC waarschuwt dat, zonder het gebruik van deze scripts, de kans groot is dat een compromis onopgemerkt blijft, wat kwaadwillenden de mogelijkheid geeft toegang te behouden. Het onderzoek richt zich op meerdere kwetsbaarheden binnen Citrix NetScaler, die door aanvallers werden misbruikt, wat leidde tot infecties met webshells op systemen. Dit biedt aanvallers langdurige toegang tot netwerken, wat de urgentie van het uitvoeren van de controles verhoogt.

Bron

Op 12 augustus 2025 waarschuwde Fortinet voor vijf ernstige kwetsbaarheden in verschillende van hun producten, waaronder FortiSIEM, FortiOS, FortiPAM, FortiProxy, FortiSwitchManager, FortiADC en FortiWeb. Deze kwetsbaarheden kunnen leiden tot escalatie van privileges of externe code-executie, wat aanzienlijke risico's met zich meebrengt voor de vertrouwelijkheid, integriteit en beschikbaarheid van systemen.

Een van de kwetsbaarheden, CVE-2025-25256, betreft een onbevoegde command-injectie in FortiSIEM, die al actief misbruikt wordt, met praktische exploitcode die in het wild is gevonden. Daarnaast zijn er andere kwetsbaarheden zoals CVE-2024-26009, die een authenticatiebypass mogelijk maakt in FortiOS en andere producten, en CVE-2025-49813, een OS command injectie in FortiADC. Deze kwetsbaarheden kunnen ernstig misbruikt worden, vooral doordat Fortinet-producten vaak aan de rand van netwerken worden geplaatst, waardoor ze aantrekkelijke doelwitten zijn voor aanvallers.

Het wordt sterk aanbevolen om zo snel mogelijk patches te installeren voor de getroffen producten. Organisaties in België en Nederland, die mogelijk gebruik maken van Fortinet-producten, moeten deze kwetsbaarheden met prioriteit aanpakken om inbraakpogingen te voorkomen. Het Centre for Cybersecurity Belgium adviseert ook om monitoringcapaciteiten uit te breiden en verdachte activiteiten snel te detecteren.

Fortinet heeft al aangegeven dat er exploitcode in het wild is waargenomen voor de kwetsbaarheid CVE-2025-25256, wat het belang van het snel patchen van kwetsbare apparaten benadrukt. Het wordt ook aangeraden om over te schakelen naar ondersteunde versies als de getroffen apparaten end-of-life zijn.

Het is van cruciaal belang dat organisaties hun beveiligingsmaatregelen aanpassen om de risico’s van deze kwetsbaarheden te minimaliseren en snel te reageren bij mogelijke inbreuken.

Bron Fortinet:

• https://fortiguard.fortinet.com/psirt/FG-IR-25-152
• https://fortiguard.fortinet.com/psirt/FG-IR-24-042
• https://fortiguard.fortinet.com/psirt/FG-IR-25-501
• https://fortiguard.fortinet.com/psirt/FG-IR-25-448
• https://fortiguard.fortinet.com/psirt/FG-IR-25-173

Fortinet heeft een belangrijke beveiligingspatch uitgebracht voor een kwetsbaarheid die aanvallers in staat stelt om op afstand Fortinet-apparaten, zoals firewalls, over te nemen. De kwetsbaarheid betreft een authenticatie-bypass waarbij aanvallers het serienummer van een FortiManager-platform moeten weten. FortiManager wordt gebruikt door organisaties om Fortinet-apparaten te beheren en monitoren. Door gebruik te maken van een speciaal geprepareerd verzoek via het FortiGate to FortiManager (FGFM) protocol kunnen aanvallers toegang krijgen tot het apparaat. De kwetsbaarheid heeft een risicoscore van 7,9 op de schaal van 10 en is van invloed op verschillende versies van FortiOS, FortiPAM en andere Fortinet-producten. Het is belangrijk dat organisaties in Nederland en België de beveiligingsupdates snel toepassen om misbruik te voorkomen.

Fortinet heeft wereldwijd een aanzienlijke aanwezigheid, waaronder vestigingen in België en Nederland, en werkt samen met partners zoals Exclusive Networks en ARP Nederland. Hierdoor is het van groot belang dat zowel Belgische als Nederlandse organisaties deze kwetsbaarheid serieus nemen.

Bron

In augustus 2025 werd er een sterke toename van brute-force aanvallen op Fortinet SSL VPN's waargenomen, gevolgd door een verschuiving naar FortiManager. Deze aanvallen, die zijn gedetecteerd door GreyNoise, vonden plaats op 3 en 5 augustus. De tweede golf richtte zich specifiek op de FortiManager, wat duidt op een mogelijke exploitatie van een nieuwe kwetsbaarheid. Dit soort aanvallen komt vaak voor voordat een kwetsbaarheid openbaar wordt gemaakt. GreyNoise waarschuwt dat dergelijke pieken in activiteit vaak voorafgaan aan de ontdekking van nieuwe kwetsbaarheden binnen zes weken, met een correlatie van 80%.

De toename van brute-force aanvallen is opmerkelijk, gezien de brede adoptie van Fortinet-producten in zowel Nederland als België. In Nederland zijn overheidsinstellingen en grote bedrijven gebruikers van Fortinet VPN-oplossingen. Bovendien heeft de recente cyberaanval, waarbij Chinese hackers kwetsbaarheden in Fortinet VPN's hebben uitgebuit, bevestigd dat deze systemen ook in Nederland en België veel worden ingezet.

Voor bedrijven en organisaties in Nederland en België wordt aangeraden om alert te blijven op verdachte activiteiten en de noodzakelijke beveiligingsmaatregelen te nemen. Dit omvat het blokkeren van verdachte IP-adressen en het verbeteren van de loginbeveiliging op Fortinet-apparaten.

Bron

Het Amerikaanse cyberagentschap CISA heeft gewaarschuwd voor misbruik van kwetsbaarheden in de remote access software N-Central van N-Able, die gebruikt wordt door managed service providers. Deze software is ook in Nederland en België populair bij bedrijven die externe IT-beheerders inschakelen voor systeemonderhoud en probleemoplossing. De kwetsbaarheden, CVE-2025-8875 en CVE-2025-8876, kunnen worden misbruikt door aanvallers die al toegang hebben tot het systeem. Het betreft onder andere insecure deserialization en command injection. CISA heeft overheidsinstanties aangemoedigd om binnen een week de nodige beveiligingspatches toe te passen. Aangezien de software ook in de Benelux veel gebruikt wordt, is het essentieel dat bedrijven die N-Central gebruiken zich bewust zijn van deze dreiging en hun systemen snel updaten om verdere schade te voorkomen.

Bron 1, 2, 3, 4

Plex heeft gebruikers van oudere versies van hun mediaserversoftware gewaarschuwd voor een potentieel beveiligingsprobleem. De software, die wordt gebruikt voor het streamen van media van een persoonlijke server, heeft een kwetsbaarheid die aanwezig is in versies 1.41.7.x tot en met 1.42.0x. Plex ontving een bugmelding via hun bugbountyprogramma, waarna het probleem werd opgelost in versie 1.42.1.10060, die sinds 11 augustus beschikbaar is. Het bedrijf adviseert gebruikers die een oudere versie draaien om snel te upgraden naar deze nieuwere versie. Plex benadrukt dat het een veiligheidsmaatregel is en biedt geen verdere details over de aard van de kwetsbaarheid.

Bron 1, 2, 3

Cisco heeft onlangs een kritiek beveiligingslek verholpen in het Secure Firewall Management Center, een belangrijk beheersysteem voor Cisco-firewalls. Deze kwetsbaarheid, CVE-2025-20265, maakt het mogelijk voor een aanvaller om op afstand willekeurige commando's uit te voeren op een getroffen systeem. Dit kan ernstige gevolgen hebben voor de beveiliging van netwerken, vooral voor bedrijven die RADIUS-authenticatie gebruiken. Hoewel Cisco geen gevallen van misbruik heeft gemeld, wordt dringend aangeraden om de gepubliceerde update snel te installeren om de risico's van misbruik te vermijden. Aangezien veel bedrijven in zowel België als Nederland Cisco-oplossingen gebruiken, is het belangrijk dat organisaties in deze regio's zich bewust zijn van deze kwetsbaarheid en de benodigde maatregelen nemen.

Bron 1, 2

Trend Micro heeft een kritieke kwetsbaarheid in het Apex One-platform opgelost, een veelgebruikte software voor endpointbeveiliging die ook in Nederland en België door diverse bedrijven wordt ingezet. De kwetsbaarheid, aangeduid als CVE-2025-54948, was te vinden in de managementconsole van het platform. Hierdoor konden ongeauthenticeerde aanvallers op kwetsbare systemen malware uploaden en willekeurige commando’s uitvoeren. Dit maakte de kwetsbaarheid bijzonder ernstig, met een impactscore van 9.4 op een schaal van 10.

Trend Micro bracht begin augustus al een tijdelijke oplossing uit, maar heeft nu een definitieve patch beschikbaar gesteld voor de on-premises versie van Apex One. Bedrijven die gebruikmaken van dit platform in Nederland en België wordt aangeraden de update zo snel mogelijk door te voeren om zich tegen deze dreiging te beschermen. De aanvallen die gebruikmaakten van deze kwetsbaarheid zijn nog niet gedetailleerd beschreven, maar de patch zorgt ervoor dat systemen beter beschermd zijn.

Bron 1

Uit recent onderzoek blijkt dat bijna negenhonderd N-Central RMM-servers, een systeem dat veel wordt gebruikt door managed service providers (MSP's), kwetsbaar zijn voor twee ernstig misbruikte beveiligingslekken. Dit betreft onder andere meer dan tachtig kwetsbare servers in Nederland en 21 in België. De kwetsbaarheden, geregistreerd als CVE-2025-8875 en CVE-2025-8876, kunnen leiden tot insecure deserialization en command injection, wat cybercriminelen toegang geeft tot systemen.

Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft gewaarschuwd voor de actieve misbruik van deze lekken. N-Able, de leverancier van N-Central, publiceerde op 13 augustus een update, maar de technische details worden pas over drie weken openbaar gemaakt.

Hoewel de meeste kwetsbare systemen zich in de VS en Canada bevinden, is het aantal kwetsbare servers in Nederland (84) en België (21) nog steeds aanzienlijk. Dit benadrukt de noodzaak voor bedrijven in Nederland en België om snel de juiste beveiligingsmaatregelen te treffen en de beschikbare patches te installeren om mogelijke schade door aanvallen te voorkomen.

Bron 1

Op 19 augustus 2025 heeft het Centrum voor Cybersecurity België (CCB) gewaarschuwd voor twee ernstige kwetsbaarheden in de Santesoft Sante PACS Server. Deze kwetsbaarheden, die op afstand kunnen worden uitgebuit, kunnen leiden tot ernstige beveiligingsincidenten, waaronder denial-of-service-aanvallen en het in duidelijke tekst versturen van gevoelige gegevens. De kwetsbaarheden zijn geïdentificeerd als CVE-2025-54156 en CVE-2025-53948, en beïnvloeden versies van de Sante PACS Server vóór versie 4.2.3.

Voor Belgische organisaties die deze software gebruiken, is het van groot belang om onmiddellijk over te schakelen naar versie 4.2.3 of hoger om de systemen te beschermen tegen mogelijke aanvallen. Het CCB raadt aan om de updates met prioriteit te installeren en waarschuwt dat het patchen van de software de enige manier is om toekomstige aanvallen te voorkomen. Organisaties wordt daarnaast aangeraden hun monitoringcapaciteiten op te schalen om verdachte activiteiten snel te detecteren.

Bron 1

Een nieuwe exploit die gebruikmaakt van twee kritieke kwetsbaarheden in SAP NetWeaver kan systemen blootstellen aan remote code-executie, wat ernstige gevolgen kan hebben voor organisaties in Nederland en België die deze software gebruiken. De exploit maakt misbruik van de CVE-2025-31324 en CVE-2025-42999 kwetsbaarheden, die authenticatie omzeilen en aanvallers in staat stellen om willekeurige commando's uit te voeren op getroffen systemen. Dit kan leiden tot volledige controle over de systemen en de bijbehorende bedrijfsdata.

SAP heeft deze kwetsbaarheden in april en mei 2025 gepatcht, maar aanvallers hebben ze al sinds maart misbruikt als zero-days. Ransomwaregroepen zoals Qilin, BianLian, en RansomExx, evenals spionagegroepen met een Chinese achtergrond, hebben deze kwetsbaarheden ingezet om kritieke infrastructuren aan te vallen, wat de ernst van de situatie benadrukt. Bedrijven in België en Nederland die SAP NetWeaver gebruiken, moeten dringend de nieuwste beveiligingsupdates toepassen en toegang tot SAP-applicaties beperken om zich tegen deze dreiging te beschermen.

Bron 1

In dit artikel beschrijft de schrijver hoe hij verschillende kritieke beveiligingslekken in de systemen van McDonald's ontdekte, die miljoenen werknemers zouden kunnen beïnvloeden. Het begon met een kwetsbaarheid in de McDonald's-app, waar punten voor gratis producten niet goed werden gecontroleerd. Na een tijdje ontdekte de hacker ernstigere problemen, zoals een onbeveiligd platform voor marketingmateriaal dat door medewerkers wereldwijd werd gebruikt, en kwetsbaarheden in de API's van McDonald's. Er werden persoonlijke gegevens van gebruikers blootgesteld, en medewerkers hadden toegang tot vertrouwelijke systemen en documenten. Het artikel vertelt ook het verhaal van hoe de hacker, na verschillende mislukte pogingen om de kwetsbaarheden te rapporteren, uiteindelijk McDonald's HQ belde om hun aandacht te trekken. Na de meldingen werden de meeste kwetsbaarheden verholpen, hoewel sommige nog steeds toegankelijk bleken te zijn.

Bron 1

Het klinkt als een paradox: beveiligingsoplossingen die juist bedoeld zijn om organisaties te beschermen, veroorzaken in de praktijk een nieuw en ernstig beveiligingslek. Erik Westhovens, oprichter en CEO van Ransomwared, stuitte hier onlangs op tijdens een forensisch onderzoek naar recente Phishing-hacks.

Veel organisaties zetten software- en hardwarematige beveiligings scanners in om inkomende e-mails automatisch te controleren op malware, virussen en gevaarlijke phishinglinks, onder meer door verdachte links te toetsen tegen externe api’s zoals die van VirusTotal. Hoewel dit een effectieve manier lijkt om bedreigingen te detecteren, kan het in de praktijk leiden tot het onbedoeld lekken van zeer gevoelige informatie.

Een concreet voorbeeld is het gebruik van wachtwoord-resetlinks of magische loginlinks en onetime passwords. Deze bevatten unieke tokens en/of codes die bedoeld zijn om tijdelijk toegang te geven tot accounts. Wanneer dergelijke links door een mailscanner automatisch worden geüpload naar de publieke database van VirusTotal, worden ze zichtbaar voor iedereen – inclusief cybercriminelen. In theorie kan een aanvaller zo rechtstreeks een resetlink van een Salesforce-omgeving of andere cloudapplicaties misbruiken om toegang te krijgen tot vertrouwelijke bedrijfsdata.

Tijdens een implementatie bij een klant van Essencee werd dit risico concreet zichtbaar. Mike Jansen, CEO van essencee, gebruikt het platform Ransomwared om compliance en NIS2 checks uit te voeren. Daarbij kwam aan het licht dat resetlinks daadwerkelijk opvraagbaar zijn via publieke threat intelligence-diensten. Westhovens onderzocht dit verder en bevestigde dat dit veroorzaakt werd door de manier waarop mailscanners links doorsturen naar VirusTotal Public.
“Bedrijven vertrouwen terecht op securitytools om hun gebruikers te beschermen, maar juist de combinatie van automatisering, de forse toename van AI-tools, en publieke threat intelligence kan averechts uitpakken,” aldus Westhovens. “De recente hacks op bedrijven als M&S, Harrods, CO-op en de Salesforce-hacks bij bijvoorbeeld KLM/AirFrance, Adidas, Dior en andere grote bedrijven, laten zien dat cybercriminelen steeds inventiever worden. Het is daarom cruciaal dat organisaties beseffen dat ook hun eigen beveiligingsprocessen een zwakke plek kunnen worden.”

Voer periodiek audits uit op de werking van securitytools en de data die zij delen met externe partijen.
De recente Salesforce-incidenten zijn een waarschuwing: niet alleen kwetsbaarheden in software, maar ook onbewuste datalekken via beveiligingstools kunnen deuren openzetten voor aanvallers. Organisaties die serieus werk maken van hun cyberweerbaarheid, moeten daarom verder kijken dan de aanval alleen – en ook hun eigen verdedigingslinies kritisch tegen het licht houden.

Bron 1

Een ernstige kwetsbaarheid in Microsoft 365 Copilot is recent ontdekt, waardoor kwaadwillenden gevoelige bestanden konden benaderen zonder dat dit werd geregistreerd in de auditlogs. Normaal gesproken worden acties van Copilot, zoals het samenvatten van documenten, vastgelegd in de beveiligingslogs, wat essentieel is voor de naleving van beveiligings- en compliancevereisten. Echter, door een bepaalde instelling te gebruiken, konden aanvallers deze logregistraties omzeilen, wat hen in staat stelde om vertrouwelijke gegevens te exfiltreren zonder enige sporen achter te laten.

Voor Belgische en Nederlandse organisaties die Microsoft 365 gebruiken, vooral in sectoren zoals de zorg en financiële diensten, heeft dit aanzienlijke gevolgen voor de beveiliging en de naleving van de AVG en andere wetgeving. De kwetsbaarheid werd op 17 augustus 2025 gepatcht, maar Microsoft heeft besloten geen formele CVE uit te geven, waardoor veel organisaties mogelijk onbewust te maken hadden met onvolledige beveiligingslogs.

Deze ontdekking onderstreept het belang voor organisaties in België en Nederland om beveiligingsmaatregelen voortdurend te evalueren en ervoor te zorgen dat alle systeemlogs intact en volledig zijn voor naleving en incidentrespons.

Bron 1

De Paper Werewolf-groep, ook bekend als GOFFEE, heeft een geavanceerde cyberaanval uitgevoerd tegen Russische organisaties door gebruik te maken van kritieke kwetsbaarheden in de WinRAR-software. Deze kwetsbaarheden, waaronder een zero-day in versies tot 7.12, kunnen ook impact hebben op systemen in Nederland en België, aangezien WinRAR wereldwijd veel wordt gebruikt. De aanvallers maakten gebruik van phishingcampagnes die zich voordeden als officiële communicatie van Russische overheidsinstellingen, wat de sociale-engineeringtechnieken nog gevaarlijker maakt. De campagne maakte gebruik van schadelijke RAR-bestanden om systematische toegang te krijgen, wat kan leiden tot langdurige compromittering van systemen. Gezien de mondiale aard van deze aanvallen en het feit dat veel organisaties in Nederland en België vergelijkbare software gebruiken, is het essentieel dat ook zij alert zijn op deze dreiging. Cybercriminelen richten zich wereldwijd op softwarekwetsbaarheden, waardoor dergelijke aanvallen ook in de Benelux-regio mogelijk zijn.

Bron 1

Cisco en de FBI hebben onlangs gewaarschuwd voor actief misbruik van een zeven jaar oud beveiligingslek in Cisco-apparatuur, dat kan worden benut door aanvallers om netwerkapparaten op afstand over te nemen. Het kwetsbare systeem, CVE-2018-0171, maakt deel uit van de Smart Install-functie in Cisco IOS en IOS XE besturingssystemen, veel gebruikt in routers en switches. Dit lek heeft ernstige gevolgen, aangezien het een score van 9.8 op de risicoschaal heeft gekregen.

Hoewel het oorspronkelijk werd ontdekt in 2018 en updates toen beschikbaar kwamen, blijkt uit recent onderzoek dat cybercriminelen, met name de door Rusland gesteunde groep Static Tundra, het lek blijven misbruiken. Deze aanvallers richten zich niet alleen op de VS, maar kunnen ook netwerken in Nederland en België treffen, aangezien veel organisaties in deze landen gebruik maken van Cisco-apparatuur voor kritieke infrastructuur.

De FBI waarschuwt dat aanvallers in staat zijn geweest om configuratiebestanden van netwerkapparaten te stelen, vooral binnen industriële controlesystemen. Organisaties in Nederland en België die Cisco-apparatuur gebruiken, worden dringend aangespoord om Smart Install uit te schakelen, of de updates te installeren om deze kwetsbaarheid te verhelpen en zo ongewilde toegang te voorkomen.

Bron 1, 2, 3

Apple heeft spoedupdates uitgebracht om een nieuwe zero-day kwetsbaarheid te verhelpen, die werd misbruikt in een zeer geavanceerde aanval. De kwetsbaarheid, aangeduid als CVE-2025-43300, is veroorzaakt door een 'out-of-bounds write' in het Image I/O-framework, waarmee applicaties de meeste afbeeldingsbestanden kunnen lezen en schrijven. Deze fout kan worden misbruikt door aanvallers om buiten het toegewezen geheugengebied gegevens te schrijven, wat kan leiden tot geheugenbeschadiging, crashen van programma's of, in het ergste geval, remote code execution. Apple heeft verbeterde grenscontrole toegevoegd in iOS 18.6.2, iPadOS 18.6.2, macOS Sequoia 15.6.1, en andere versies om dit probleem te verhelpen. De kwetsbaarheid wordt vermoedelijk alleen in gerichte aanvallen gebruikt, en Apple raadt aan om de updates onmiddellijk te installeren om mogelijke aanvallen te voorkomen. Dit is de zesde zero-day kwetsbaarheid die Apple sinds begin 2025 heeft gepatcht.

Bron 1, 2

Apache Tika, een veelgebruikte toolkit voor het extraheren van tekst en metadata uit documenten, vertoont een ernstige kwetsbaarheid die bedrijven in Nederland en België kan raken. De kwetsbaarheid, aangeduid als CVE-2025-54988, bevindt zich in de PDF-parser van de toolkit en stelt aanvallers in staat om via zorgvuldig gemaakte PDF-bestanden toegang te krijgen tot gevoelige gegevens of zelfs door te dringen in interne netwerken. Dit kan ernstige gevolgen hebben voor organisaties die afhankelijk zijn van Tika voor documentverwerking, zoals bedrijven in de juridische en financiële sector.

De kwetsbaarheid maakt het mogelijk om via een techniek genaamd XXE-injectie gegevens te lezen, serveraanvragen te sturen naar interne netwerken, en gegevens te exfiltreren. Aangezien Apache Tika in veel bedrijfsomgevingen wordt gebruikt, kunnen bedrijven in Nederland en België onbewust risico lopen op datalekken en aanvallen als ze de kwetsbaarheid niet verhelpen. Het is daarom essentieel om snel de nieuwste versie van de PDF-parser (3.2.2) te installeren, waarin deze kwetsbaarheid is verholpen.

Bron 1

Er is een kritieke kwetsbaarheid ontdekt in Directus, een platform dat wordt gebruikt voor het beheren van SQL-database-inhoud via een real-time API en app-dashboard. Deze kwetsbaarheid (CVE-2025-55746) maakt het mogelijk voor aanvallers om bestaande bestanden te wijzigen of nieuwe bestanden met willekeurige inhoud te uploaden zonder dat dit zichtbaar is in de gebruikersinterface van Directus. Dit kan ernstige gevolgen hebben voor de vertrouwelijkheid, beschikbaarheid en integriteit van het systeem, wat vooral relevant is voor bedrijven en organisaties die Directus gebruiken voor hun databeheer.

Voor Belgische en Nederlandse organisaties die gebruikmaken van Directus wordt dringend aangeraden om de software bij te werken naar versie 11.9.3 of hoger, om zo de kwetsbaarheid te verhelpen. Het Centrum voor Cybersecurity België waarschuwt voor een verhoogd risico op systemische compromittering, vooral als de patchmaatregelen niet snel worden geïmplementeerd.

Bron 1

Op 22 augustus 2025 werd een ernstige kwetsbaarheid ontdekt in Windows Storage, die invloed heeft op verschillende versies van Windows Server. De kwetsbaarheid, aangeduid als CVE-2025-55231, kan door aanvallers op afstand worden misbruikt om willekeurige code uit te voeren, wat kan leiden tot volledige compromittering van de Windows Storage-service en het onderliggende besturingssysteem. Dit brengt aanzienlijke risico’s met zich mee voor de vertrouwelijkheid, integriteit en beschikbaarheid van gevoelige gegevens, zoals bestanden en back-ups, die vaak in bedrijfsomgevingen worden opgeslagen. De kwetsbaarheid heeft grote gevolgen voor organisaties in zowel België als Nederland, waar Windows Server veel wordt gebruikt in kritieke infrastructuren en netwerkdiensten. Aangezien er momenteel geen aanwijzingen zijn voor actieve uitbuiting, wordt het sterk aanbevolen om systemen onmiddellijk bij te werken na grondige tests om verdere risico’s te vermijden. Daarnaast wordt aangeraden de monitoring- en detectiecapaciteitenvan systemen te verbeteren om eventuele aanvallen snel te kunnen identificeren.

Bron 1, 2

Een ernstige kwetsbaarheid in Docker Desktop voor Windows en macOS stelt aanvallers in staat om het hostsysteem over te nemen door een kwaadaardige container uit te voeren. Deze kwetsbaarheid, aangeduid als CVE-2025-9074, wordt gekarakteriseerd als een server-side request forgery (SSRF) en heeft een kritieke ernst van 9,3. De aanval kan plaatsvinden, zelfs als de Enhanced Container Isolation (ECI)-beveiliging actief is. Dit maakt het mogelijk voor aanvallers om de Docker Engine te bereiken zonder authenticatie en extra containers te starten, waardoor ongeautoriseerde toegang tot gebruikersbestanden mogelijk wordt. Op Windows kan de aanvaller zelfs het bestandssysteem van de host volledig inleiden, gevoelige bestanden uitlezen en systeem-DLL's overschrijven om administratierechten te verkrijgen. Docker heeft de kwetsbaarheid inmiddels verholpen in versie 4.44.3, die vorige week werd uitgebracht.

Bron 1, 2

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft drie kwetsbaarheden in Citrix en Git toegevoegd aan de lijst van 'Known Exploited Vulnerabilities' (KEV), na bewijs van actieve exploitatie. De kwetsbaarheden betreffen onder andere Citrix Session Recording, waarmee aanvallers mogelijk toegang krijgen tot netwerkaccounts. De eerste twee, CVE-2024-8068 en CVE-2024-8069, stellen aanvallers in staat om met beperkte rechten kwetsbaarheden te exploiteren en op afstand code uit te voeren. De derde kwetsbaarheid, CVE-2025-48384, betreft Git en kan leiden tot willekeurige code-executie door een onjuist verwerkte configuratiebestandsinstelling. Alle drie de kwetsbaarheden zijn gepatcht, respectievelijk in november 2024 voor Citrix en juli 2025 voor Git. CISA heeft een mitigatieperiode ingesteld tot 15 september 2025 voor federale overheidsinstanties om de nodige beveiligingsmaatregelen te nemen.

Bron 1

Een beveiligingsonderzoeker heeft een ernstige kwetsbaarheid ontdekt in de Android-spyware TheTruthSpy, die de privacy van slachtoffers in gevaar brengt. Deze spyware, die vaak zonder medeweten van het slachtoffer wordt geïnstalleerd, biedt aanvallers toegang tot privégegevens zoals berichten, locatie-informatie, foto's en andere persoonlijke gegevens. Dit type spyware wordt wereldwijd gebruikt, ook in Nederland en België, waardoor het risico voor gebruikers in deze landen reëel is.

In 2022 werd al vastgesteld dat verschillende versies van TheTruthSpy kwetsbaarheden vertoonden. De nieuwe ontdekking maakt het nu nog makkelijker voor aanvallers om het wachtwoord van een account te resetten, waarmee ze toegang krijgen tot de verzamelde gegevens van de slachtoffers. Ondanks waarschuwingen heeft de ontwikkelaar van de spyware aangegeven dat het probleem niet opgelost kan worden. Dit lek vormt een groot risico voor de getroffen gebruikers, en om veiligheidsredenen worden er geen verdere details gedeeld.

Bron 1

Er zijn verschillende nieuwe kwetsbaarheden in Netscaler die momenteel als zero-days worden uitgebuit. De patches voor deze kwetsbaarheden zijn net uitgebracht. Een van de belangrijkste kwetsbaarheden betreft de CVE-2025-7775, waarbij de Preauth RCE-aanval wordt gebruikt om webshells te plaatsen, waarmee aanvallers toegang krijgen tot netwerken en systemen. Organisaties moeten na de patching een incident response (IR) uitvoeren, omdat er steeds meer technische details over de achterdeuren van de aanval naar buiten komen.

Bron 1

Citrix heeft drie ernstige kwetsbaarheden in NetScaler ADC en NetScaler Gateway verholpen, waarvan één (CVE-2025-7775) al actief wordt misbruikt. Deze kwetsbaarheid maakt het mogelijk een Denial-of-Service (DoS) te veroorzaken of willekeurige code uit te voeren. Twee andere kwetsbaarheden (CVE-2025-7776 en CVE-2025-8424) kunnen eveneens leiden tot ongeautoriseerde code-uitvoering, waardoor kwaadwillenden toegang kunnen krijgen tot systemen. Het Nationaal Cyber Security Centrum (NCSC) heeft de dreiging ingeschaald als ‘High/High’, vanwege zowel de grote kans op misbruik als de potentiële schade. Het risico is vooral hoog bij On-Premise installaties, aangezien cloudoplossingen door Citrix al zijn gepatched. Omdat de kwetsbare configuraties veel voorkomen, is grootschalig misbruik waarschijnlijk. Ook organisaties in Nederland en België die gebruikmaken van on-premise Citrix-oplossingen lopen hierdoor verhoogd risico. Het Digital Trust Center adviseert organisaties dringend om de beschikbare updates en mitigerende maatregelen direct toe te passen en waar nodig extra monitoring in te richten.

Bron 1

De Amerikaanse Cybersecurity & Infrastructure Security Agency (CISA) waarschuwt voor een ernstig beveiligingslek in het Git-versiebeheersysteem dat wereldwijd actief wordt misbruikt. Deze kwetsbaarheid, geregistreerd als CVE-2025-48384, maakt het mogelijk dat aanvallers willekeurige code uitvoeren wanneer gebruikers onbetrouwbare Git-repositories klonen. Het probleem ontstaat door een fout in de verwerking van bepaalde tekens in configuratiebestanden, waardoor submodules verkeerd worden geïnterpreteerd.

Git wordt breed toegepast binnen softwareontwikkeling en vormt de basis van platformen als GitHub, GitLab en Bitbucket. Ook in Nederland en België vertrouwen talloze bedrijven, onderwijsinstellingen en overheidsorganisaties op deze systemen. De kwetsbaarheid kan daardoor directe gevolgen hebben voor organisaties in de regio. Git bracht op 8 juli 2025 beveiligingsupdates uit in meerdere versies.

CISA heeft de fout opgenomen in de lijst van actief misbruikte kwetsbaarheden en verplicht Amerikaanse overheidsinstellingen om de updates uiterlijk 15 september 2025 te installeren. Voor andere organisaties geldt hetzelfde dringende advies: installeer de updates zo snel mogelijk of beperk risicovol gebruik.

Bron 1

Onderzoekers hebben een ernstige beveiligingskwetsbaarheid ontdekt in Securden Unified PAM die aanvallers in staat stelt de authenticatiemechanismen volledig te omzeilen en ongeautoriseerde toegang te krijgen tot gevoelige gegevens en systeemfunctionaliteit. De kwetsbaarheid, aangeduid als CVE-2025-53118, heeft een CVSS-score van 9,4 en maakt deel uit van vier ernstige beveiligingsproblemen in de privileged access management-oplossing. Aanvallers kunnen de kwetsbaarheid misbruiken door naar een specifieke URL te navigeren, waarbij ze sessie-cookies verkrijgen die het mogelijk maken om CSRF-tokens en andere beveiligingstokens te verkrijgen. Door deze tokens te gebruiken, kunnen aanvallers toegang krijgen tot en gegevens stelen, zoals versleutelde wachtwoordbestanden. Daarnaast werden drie andere kwetsbaarheden ontdekt die het risico vergroten, waaronder onbeveiligde bestanduploads en padtraversalproblemen. De kwetsbaarheden zijn verholpen in versie 11.4.4 van Securden, en onmiddellijke updates worden sterk aanbevolen om exploitatie te voorkomen.

Bron 1

Het Nationaal Cyber Security Centrum (NCSC) heeft een aangepast script vrijgegeven waarmee organisaties in Nederland en België webshells op Citrix-systemen kunnen detecteren die via nieuwe kwetsbaarheden zijn geplaatst. Webshells stellen aanvallers in staat om toegang te behouden tot een server, zelfs nadat deze is gepatcht. Dit is van groot belang voor bedrijven in Nederland en België die Citrix gebruiken voor externe toegang tot bedrijfsomgevingen. Het oorspronkelijke detectiescript werd op 13 augustus gepubliceerd voor het lek CVE-2025-6543. Na de ontdekking van drie nieuwe Citrix-kwetsbaarheden, waarvan één (CVE-2025-7775) al actief werd misbruikt, werd het script geüpdatet om ook misbruik via deze nieuwe gaten te detecteren. De kwetsbaarheden kunnen op Citrix-systemen code-executie op afstand mogelijk maken, wat aanzienlijke risico's met zich meebrengt, vooral voor bedrijven die Citrix gebruiken voor thuiswerktoegang. Citrix heeft patch-updates uitgebracht, maar het NCSC waarschuwt voor grootschalig misbruik vanwege veelvoorkomende kwetsbare configuraties.

Bron 1

Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft federale overheidsinstanties slechts twee dagen gegeven om een kritieke Citrix-kwetsbaarheid, aangeduid als CVE-2025-7775, te patchen. Het lek, dat al actief wordt misbruikt door aanvallers, stelt een ongeauthenticeerde aanvaller in staat om op afstand code uit te voeren op kwetsbare Citrix-systemen. Ondanks dat Citrix beveiligingsupdates heeft uitgebracht, werd het lek al voor het uitkomen van de patch misbruikt. Het CISA heeft de kwetsbaarheid toegevoegd aan de lijst van "actief aangevallen kwetsbaarheden" en verplicht overheidsinstanties om deze binnen 48 uur te verhelpen. Het Nationaal Cyber Security Centrum (NCSC) waarschuwt dat vanwege de veelvoorkomende configuratie van de kwetsbare systemen, grootschalig misbruik op korte termijn te verwachten is. Organisaties worden aangespoord om de update onmiddellijk te installeren.

Bron 1

In het tweede kwartaal van 2025 is het aantal geregistreerde kwetsbaarheden verder gestegen, wat wijst op een toenemende complexiteit van digitale bedreigingen. De meest aangetaste systemen zijn besturingssystemen, browsers en gebruikersapplicaties, met een opvallende groei in kritieke kwetsbaarheden. In de exploitatieanalyse werd duidelijk dat de meest aangevallen systemen Windows en Linux waren, met bekende kwetsbaarheden in Microsoft Office en WinRAR als populaire doelwitten voor aanvallers. De exploitaties zijn voornamelijk gericht op het verkrijgen van systeemtoegang en het escaleren van bevoegdheden. Bij APT-aanvallen werd vooral gebruik gemaakt van nieuwe kwetsbaarheden in low-code/no-code tools en AI-ontwikkelingsomgevingen, wat aangeeft dat aanvallers zich steeds meer richten op de nieuwste softwareontwikkelingen. De populariteit van command and control (C2) frameworks zoals Metasploit en Sliver bleef onverminderd groot, wat helpt bij het uitvoeren van aanvallen met meer geavanceerde technieken.

Bron 1

Een nieuw kritiek beveiligingslek in Citrix-systemen, aangeduid als CVE-2025-7775, blijkt wereldwijd meer dan 28.000 apparaten kwetsbaar te maken, waaronder 1300 in Nederland. Het gaat om een buffer overflow die aanvallers de mogelijkheid geeft om op afstand willekeurige code uit te voeren zonder authenticatie. Onderzoek van The Shadowserver Foundation laat zien dat het lek al actief wordt misbruikt, zelfs voordat Citrix patches beschikbaar stelde. Hoeveel systemen daadwerkelijk zijn gecompromitteerd is nog onbekend. Ondanks dat Citrix direct updates uitbracht, blijkt het in de praktijk vaak weken te duren voordat organisaties patches implementeren, wat het risico aanzienlijk vergroot. Eerder deze maand werd ook vastgesteld dat duizenden Citrix-systemen onbeschermd bleven tegen eerdere kwetsbaarheden, CVE-2025-5777 en CVE-2025-6543. Vooral in de Verenigde Staten en Duitsland werden de meeste ongepatchte systemen gevonden, maar ook Nederlandse organisaties lopen direct gevaar.

Bron 1

Google heeft een kritieke kwetsbaarheid in Chrome verholpen die het mogelijk maakte dat aanvallers op afstand schadelijke code konden uitvoeren. Gebruikers hoefden hiervoor slechts een besmette website of advertentie te openen, waardoor zogeheten drive-by downloads konden plaatsvinden. Het beveiligingslek, geregistreerd als CVE-2025-9478, is een ‘use after free’ in ANGLE, een component dat grafische content zoals WebGL verwerkt. Dit onderdeel bleek in het verleden al vaker kwetsbaar. Opvallend is dat het lek werd ontdekt door Google’s eigen AI-agent “Big Sleep”, speciaal ontwikkeld om zwakke plekken in software te identificeren. Het is pas de tweede keer dit jaar dat Google een kritieke Chrome-kwetsbaarheid meldt. De update is inmiddels beschikbaar als versie 139.0.7258.154/.155 voor Windows, macOS en Linux. Automatische updates worden gefaseerd uitgerold, maar gebruikers kunnen ook handmatig controleren. Voor Microsoft Edge, dat eveneens op Chromium is gebaseerd, is nog geen update vrijgegeven.

Bron 1

Het beveiligingsteam van Sangoma waarschuwt voor een actief misbruikt zero-day lek in FreePBX, een populair open-source telefonieplatform gebaseerd op Asterisk. Sinds 21 augustus maken aanvallers gebruik van een kwetsbaarheid in het Administrator Control Panel (ACP) wanneer dit direct bereikbaar is via het internet. Verschillende organisaties meldden al dat hun servers zijn binnengedrongen, waarbij duizenden SIP-extensies en trunks werden getroffen.

Als tijdelijke maatregel bracht Sangoma een zogenaamde EDGE-module uit, maar deze beschermt alleen nieuwe installaties. Bestaande systemen, met name versies 16 en 17, kunnen al zijn geïnfecteerd als de beheeromgeving publiek toegankelijk was. Aanvallers blijken onder andere configuratiebestanden te wijzigen en schadelijke scripts te plaatsen.

FreePBX wordt ook in de Benelux breed ingezet door bedrijven en telecomdienstverleners, waardoor deze kwetsbaarheid directe risico’s oplevert voor organisaties in Nederland en België. Beheerders wordt dringend geadviseerd het ACP af te schermen, indicatoren van compromittering te controleren en waar nodig systemen terug te zetten naar back-ups van vóór 21 augustus. Een definitieve beveiligingsupdate wordt op korte termijn uitgerold.

Bron 1

Het Australische softwarebedrijf Click Studios heeft een ernstig beveiligingslek in de wachtwoordmanager Passwordstate gedicht. Het probleem betrof de zogenaamde Emergency Access pagina, die bedoeld is om in noodgevallen toegang te verlenen via een speciaal account met administratorrechten. Door een speciaal geconstrueerde url te gebruiken, konden aanvallers de authenticatie omzeilen en directe toegang krijgen tot de Administration-sectie. In dit gedeelte kunnen beheerders cruciale instellingen, configuraties en gebruikersaccounts beheren, waardoor het lek grote risico’s meebracht. Hoewel er nog geen CVE-nummer is toegewezen, adviseert Click Studios alle gebruikers dringend om zo snel mogelijk te updaten naar Build 9972. Verdere technische details over de kwetsbaarheid zijn bewust achterwege gelaten, waarschijnlijk om misbruik te voorkomen. Ook in België en Nederland gebruiken organisaties Passwordstate voor wachtwoordbeheer, waardoor het belangrijk is dat zij deze update onmiddellijk doorvoeren.

Bron 1, 2

Onderzoekers hebben een geavanceerde campagne ontdekt van de Silver Fox APT-groep, waarbij misbruik wordt gemaakt van kwetsbare maar gesigneerde Windows-drivers om beveiligingssoftware uit te schakelen. Centraal staat een onbekende kwetsbaarheid in de WatchDog Antimalware-driver (amsdk.sys), die ondanks een geldig Microsoft-certificaat processen van antivirus- en EDR-oplossingen kan beëindigen. Dit maakt het mogelijk om onopvallend de ValleyRAT-backdoor te installeren. Voor oudere systemen werd een bekende Zemana-driver ingezet, terwijl moderne omgevingen doelwit waren via de nieuw ontdekte driver.

Na melding bracht de leverancier een patch uit, maar deze verhielp het probleem slechts gedeeltelijk. Aanvallers pasten de driver vervolgens minimaal aan, waardoor deze een nieuwe hash kreeg maar nog steeds als geldig gesigneerd werd herkend. Hierdoor omzeilden ze blocklists en detectiemechanismen. De campagne laat zien dat gesigneerde drivers geen garantie voor veiligheid bieden en dat gedragsgebaseerde detectie steeds belangrijker wordt. Hoewel de campagne vooral in Azië werd waargenomen, kunnen dezelfde technieken ook in Europa worden toegepast. Voor Belgische en Nederlandse organisaties is dit een belangrijk signaal dat gesigneerde drivers geen absolute bescherming garanderen.

Bron 1

Onderzoekers hebben een kwetsbaarheid gevonden in de Visual Studio Code Marketplace die het mogelijk maakt voor kwaadwillenden om namen van eerder verwijderde extensies opnieuw te gebruiken. Dit stelt aanvallers in staat om malafide extensies te publiceren onder dezelfde naam als populaire, verwijderde varianten, waardoor gebruikers onbewust schadelijke software kunnen installeren. Een recent voorbeeld is de extensie “ahbanC.shiba”, die dezelfde functies nabootst als eerder verwijderde extensies en een PowerShell-payload downloadt die bestanden versleutelt en losgeld eist in de vorm van cryptotokens. Het probleem doet denken aan vergelijkbare risico’s in de Python Package Index (PyPI), waar naamhergebruik eveneens misbruikt kan worden. Uit gelekte chats blijkt bovendien dat ransomwaregroepen als Black Basta actief experimenteren met dit soort supply-chain aanvallen. Het incident benadrukt de noodzaak voor strengere controles op open-source platforms en waakzaamheid van zowel ontwikkelaars als organisaties om misbruik van softwareketens te voorkomen.

Bron 1

Het aantal Citrix-systemen dat direct vanaf internet toegankelijk is, is de afgelopen jaren drastisch afgenomen. Waar eind 2019 nog bijna 130.000 systemen zichtbaar waren, ligt dit aantal volgens recente metingen rond de 28.000. De afname hangt samen met herhaaldelijk misbruik van ernstige kwetsbaarheden in Citrix-producten, die veel organisaties gebruiken voor extern werken en toegang tot bedrijfsomgevingen. Beveiligingsonderzoeker Kevin Beaumont benadrukt dat klanten met een groot probleem zitten, omdat Citrix onvoldoende transparant is en vaak pas patches uitbrengt nadat aanvallen al plaatsvinden. Dit maakt de systemen een aantrekkelijk doelwit voor cybercriminelen. Shadowserver Foundation meldt dat van de recent gedetecteerde 28.200 systemen inmiddels ruim 15.800 zijn bijgewerkt, maar dat er nog altijd meer dan 12.000 kwetsbaar zijn. In Nederland zijn dat er 188 en in België 99. Beaumont stelt dat Citrix de beveiliging fundamenteel moet verbeteren, of dat organisaties moeten overwegen alternatieve oplossingen te zoeken.

Bron 1, excel overzicht, Belgie en Nederland status

Recent onderzoek toont aan dat traditionele password managers een nieuw aanvalsvlak bieden voor cybercriminelen. Cybersecurity-onderzoeker Marek Tóth beschreef een techniek genaamd DOM-based extension clickjacking, waarbij de interface van een browserextensie onzichtbaar maar wel klikbaar wordt gemaakt. Hierdoor kan een nietsvermoedende gebruiker via een klik op bijvoorbeeld een cookie banner of CAPTCHA onbedoeld gevoelige gegevens prijsgeven. Het gaat niet alleen om wachtwoorden en gebruikersnamen, maar ook om creditcardgegevens en zelfs 2FA-codes. Uit tests blijkt dat tien van de elf grote password managers kwetsbaar zijn, wat wereldwijd meer dan 32 miljoen gebruikers treft. Dit maakt duidelijk dat gemak zonder beveiligingscontroles een ernstig risico vormt.

Een uitzondering vormt MindYourPass, dat volgens zijn ontwerpers als “Password Manager 2.0” structureel bestand is tegen clickjacking. Dankzij een architectuur met expliciete verificatie, het ontbreken van autofill en de focus op enkel wachtwoordbeheer, wordt dit type aanval effectief voorkomen.

Bron 1

WhatsApp heeft een ernstige beveiligingskwetsbaarheid verholpen in zijn iOS- en macOS-apps, die actief werd misbruikt in gerichte zero-day aanvallen. Het gaat om een zero-click lek (CVE-2025-55177) dat toestond dat een aanvaller via gekoppelde apparaten ongeautoriseerd content vanaf een externe URL op het toestel van een slachtoffer kon laten verwerken. De kwetsbaarheid trof oudere versies van WhatsApp en WhatsApp Business voor iOS en WhatsApp voor Mac. Volgens WhatsApp werd het lek mogelijk gecombineerd met een apart Apple-kwetsbaarheid (CVE-2025-43300), dat eerder deze maand door Apple via noodupdates werd gedicht. Amnesty International meldde dat sommige gebruikers inmiddels zijn gewaarschuwd dat zij doelwit zijn geweest van een geavanceerde spywarecampagne. In deze meldingen adviseert WhatsApp gebruikers een volledige reset van hun apparaat uit te voeren en software up-to-date te houden. Eerder dit jaar moest WhatsApp ook al een zero-day patchen die werd ingezet voor de verspreiding van Paragon’s Graphite-spyware.

Bron 1

Onderzoekers van watchTowr Labs hebben drie nieuwe kwetsbaarheden ontdekt in de Sitecore Experience Platform die ernstige risico’s vormen voor organisaties die dit systeem gebruiken. Het gaat om een HTML cache poisoning probleem, een remote code execution (RCE) via onveilige deserialisatie en een informatielek in de ItemService API. Deze fouten maken het mogelijk voor aanvallers om cache-keys te achterhalen, schadelijke HTML in te voegen en uiteindelijk op afstand eigen code uit te voeren. Hoewel Sitecore in juni en juli 2025 patches heeft uitgebracht, blijkt dat de kwetsbaarheden in combinatie met eerder ontdekte fouten alsnog kunnen leiden tot een volledige compromittering van de omgeving. Volgens de onderzoekers kan een aanvaller een keten van exploits samenstellen die zelfs volledig gepatchte systemen kwetsbaar maakt. Organisaties die Sitecore gebruiken, ook in Nederland en België, wordt dringend aangeraden de updates toe te passen en hun configuraties te controleren om misbruik te voorkomen.

Bron 1

Op een cybercrimeforum is een ernstige zero-day exploit te koop aangeboden die gericht is op Android-apparaten met versies 11 tot en met 15. De kwetsbaarheid, die volgens de verkoper nog onbekend is bij Google, maakt gebruik van een geheugenfout in de MMS-parser. Het gaat om een zogenoemde zero-click remote code execution-aanval, wat betekent dat een toestel volledig kan worden overgenomen zonder dat de gebruiker enige handeling hoeft te verrichten. De exploit zou in staat zijn de beveiligingsmaatregelen van Android, waaronder de sandbox, te omzeilen en de aanvaller rootrechten te geven. Daarmee krijgt een kwaadwillende volledige en onzichtbare controle over het toestel, inclusief toegang tot alle gegevens en functionaliteiten. Omdat er nog geen beveiligingsupdate beschikbaar is, vormt dit een groot risico voor miljoenen gebruikers wereldwijd. De geloofwaardigheid van de claims is nog niet bevestigd, maar de potentiële impact is aanzienlijk.

Screenshot

• Naar pagina

In de dynamische wereld van cyberdreigingen is het essentieel om altijd up-to-date te blijven. Elke dag brengen nieuwe aanvallen, kwetsbaarheden en geopolitieke ontwikkelingen nieuwe risico's voor bedrijven, overheden en individuen in België en Nederland. Het Dagelijks Cyber Journaal van Cybercrimeinfo biedt jou de kans om snel de belangrijkste gebeurtenissen van de afgelopen dag te volgen, met een focus op de regio. Dit journaal verschijnt dagelijks tussen 12:00 en 14:00 uur, behalve op zondag. Of je nu een professional bent die zijn beveiliging wil versterken of gewoon geïnteresseerd bent in de laatste trends, met dit journaal ben je altijd goed geïnformeerd. Ontdek het nu en blijf voorbereid op alles wat de digitale wereld te bieden heeft.

👉 https://www.ccinfo.nl/het-cyber-journaal