Deze podcast is AI-gegeneerd. (Engels)
De digitale dreigingen voor organisaties wereldwijd nemen in intensiteit toe. Cybercriminelen en statelijke actoren richten zich steeds vaker op kwetsbaarheden in veelgebruikte systemen om toegang te krijgen tot gevoelige gegevens, netwerken te saboteren of zelfs geopolitieke doelen te bereiken. Momenteel staan bepaalde kwetsbaarheden in populaire systemen zoals Ivanti, Cleo en andere software op de radar van cybercriminelen. Bovendien is Nederland bijzonder kwetsbaar geworden, aangezien de aankomende NAVO top in juni 2025 in Nederland plaatsvindt, wat het land tot een potentieel doelwit maakt voor cyberaanvallen.
Geautomatiseerde aanvallen worden steeds toegankelijker door diensten op het darkweb, waardoor de kans dat organisaties slachtoffer worden van cybercriminelen groter wordt. In dit artikel bespreken we de meest misbruikte kwetsbaarheden, de verhoogde dreiging voor Nederland, en de stappen die organisaties kunnen nemen om zich te beschermen tegen deze cyberdreigingen.
De dreiging van ivanti systemen en het risico voor Nederland
Ivanti, een bedrijf dat veelgebruikte netwerkbeveiligingsoplossingen biedt, staat momenteel onder verhoogde aandacht vanwege kwetsbaarheden in zijn producten, zoals Ivanti Connect Secure en Pulse Connect Secure. Deze systemen worden veel gebruikt door organisaties voor VPN toegang, wat hen in staat stelt veilig verbinding te maken met externe netwerken. Helaas maken deze systemen ze ook kwetsbaar voor aanvallers die misbruik maken van openstaande beveiligingslekken.
De kwetsbaarheid CVE-2025-22457 is bijzonder ernstig, met een CVSS score van 9,0, en maakt het mogelijk voor aanvallers om op afstand code uit te voeren op getroffen systemen. Deze kwetsbaarheid werd op 11 februari 2025 gepatcht door Ivanti, maar systemen die vóór die datum niet zijn geüpdatet, blijven kwetsbaar voor aanvallen. Dit is een ernstig risico voor organisaties die Ivanti producten gebruiken, vooral voor oudere versies van Pulse Connect Secure, die sinds eind 2024 geen updates meer ontvangen. Hierdoor kunnen aanvallers gemakkelijk toegang krijgen tot netwerken en kritieke systemen.
De Shadowserver Foundation heeft wereldwijd duizenden kwetsbare systemen geïdentificeerd, waaronder 140 in Nederland. Dit benadrukt de urgentie van het patchen van getroffen systemen, aangezien deze kwetsbaarheden een directe bedreiging vormen voor de nationale veiligheid, vooral gezien de geopolitieke situatie rondom de NAVO top die in juni 2025 in Nederland plaatsvindt. Statische actoren en georganiseerde cybercriminelen, mogelijk met politieke motieven, kunnen deze kwetsbaarheden misbruiken om bijvoorbeeld de communicatie- en netwerkinfrastructuur van belangrijke bijeenkomsten te verstoren.
Actieve aanvallen via crushftp en apache tomcat
Naast Ivanti zijn er nog andere populaire softwaretools die het doelwit zijn van cyberaanvallen, zoals CrushFTP en Apache Tomcat. CrushFTP wordt veel gebruikt voor het opzetten van FTP servers, maar het heeft een kritieke kwetsbaarheid die aanvallers in staat stelt om ongeauthenticeerde toegang te krijgen via open HTTP- of HTTPS-poorten. Dit probleem is opgelost in de versies 10.8.4+ en 11.3.1+, maar wereldwijd blijven duizenden kwetsbare servers in gebruik, waarvan er vijftig in Nederland staan. Dit maakt het voor cybercriminelen gemakkelijk om misbruik te maken van de kwetsbaarheid, vooral gezien het feit dat exploitcode vrij beschikbaar is via verschillende online platforms.
Daarnaast vormt de kwetsbaarheid CVE-2025-24813 in Apache Tomcat een andere grote bedreiging voor organisaties. Deze kwetsbaarheid maakt het mogelijk om op afstand code uit te voeren wanneer de configuratie van Tomcat webservers niet goed is ingesteld. De kwetsbaarheid werd in februari 2025 verholpen, maar aanvallers hebben snel exploitcode beschikbaar gesteld, wat betekent dat de dreiging voor getroffen systemen nog steeds groot is. Apache Tomcat wordt wereldwijd gebruikt door bedrijven en overheden, waardoor de kans op succesvolle aanvallen aanzienlijk is.
De voortdurende misbruik van deze kwetsbaarheden laat zien hoe belangrijk het is om software uptodate te houden. Beheerders van getroffen systemen worden aangespoord om snel de laatste patches toe te passen om zich te beschermen tegen aanvallen die via deze zwakke plekken kunnen plaatsvinden. Dit is niet alleen een technische vereiste, maar ook een noodzakelijke stap om organisaties, vooral in Nederland, te beschermen tegen de risico’s die gepaard gaan met de verhoogde dreiging van cyberaanvallen.
Cleo software en de opkomst van geavanceerde cyberaanvallen
Een van de meest verontrustende ontwikkelingen is de toegenomen activiteit van ransomware groepen, zoals de Clop groep, INC Ransom andere groepen, die gebruik maken van kwetsbaarheden in Cleo software. Cleo biedt verschillende producten voor het beheren van bestandsoverdrachten, waaronder Harmony, VLTrader en LexiCom, die wereldwijd door duizenden organisaties worden gebruikt. Helaas bleek dat deze software een ernstige kwetsbaarheid had die aanvallers in staat stelde om ongeautoriseerde commando’s uit te voeren op getroffen systemen. De Clop ransomwaregroep maakte gebruik van deze kwetsbaarheid om toegang te krijgen tot netwerken en gevoelige gegevens te stelen.
De aanvallers dwongen bedrijven die het slachtoffer werden om losgeld te betalen voor het terugkrijgen van hun gegevens. De Clop groep heeft bewezen dat ze in staat is om grote bedrijven onder druk te zetten en zelfs gevoelige informatie openbaar te maken als slachtoffers niet voldoen aan hun eisen. Het gevaar van deze ransomware aanvallen is dat ze niet alleen bedrijven financieel treffen, maar ook de reputatie van getroffen organisaties ernstig schaden.
Eind vorig jaar werden meerdere grote bedrijven getroffen door deze aanvallen, en sommige van deze bedrijven ondervinden nog steeds de gevolgen van de datadiefstallen. De situatie is zorgwekkend, aangezien Cleo software wereldwijd wordt gebruikt, en de impact van een succesvolle aanval kan verstrekkend zijn. Organisaties die Cleo software gebruiken, wordt dringend aangeraden de beschikbare beveiligingsupdates toe te passen om verdere schade te voorkomen.
Geautomatiseerde aanvallen en de dreiging voor de NAVO top
De opkomst van geautomatiseerde aanvallen heeft de dreiging voor organisaties wereldwijd aanzienlijk vergroot. Door de beschikbaarheid van geautomatiseerde aanvalsdiensten op het darkweb, kunnen cybercriminelen snel en gemakkelijk aanvallen uitvoeren, zelfs zonder diepgaande technische kennis. Dit betekent dat de drempel voor deelname aan cybercriminaliteit steeds lager wordt, wat het aantal aanvallen op kwetsbare systemen vergroot.
Vanuit geopolitiek perspectief zijn statelijke actoren, zoals Russische cybercriminelen, steeds actiever geworden in het gebruiken van cyberaanvallen voor politieke doeleinden. De NAVO top die in juni 2025 in Nederland plaatsvindt, is een belangrijk geopolitiek evenement, en de kans is groot dat cybercriminelen en statelijke actoren dit moment aangrijpen om aanvallen uit te voeren. Het verstoren van netwerken of communicatie tijdens dergelijke evenementen kan grote gevolgen hebben voor de veiligheid en stabiliteit van landen.
De verhoogde dreiging die Nederland momenteel ondervindt, maakt het belangrijker dan ooit om kwetsbaarheden in systemen snel te verhelpen. Organisaties moeten niet alleen reageren op bestaande dreigingen, maar ook proactief werken aan het beveiligen van hun netwerken. Het patchen van kwetsbare software, het implementeren van sterke beveiligingsmaatregelen zoals MindYourPass, en het versterken van netwerksegmentatie zijn essentiële stappen in het minimaliseren van de risico’s.
Samenvatting en oproep tot actie
De verhoogde dreiging van cyberaanvallen op kritieke kwetsbaarheden is een directe uitdaging voor organisaties wereldwijd, maar Nederland is momenteel bijzonder kwetsbaar vanwege de geopolitieke situatie rondom de NAVO top in juni 2025. Kwetsbaarheden in veelgebruikte software zoals Ivanti, Cleo, CrushFTP en Apache Tomcat vormen een enorme bedreiging voor bedrijven en overheden. Geautomatiseerde aanvallen maken het voor cybercriminelen gemakkelijker dan ooit om misbruik te maken van deze kwetsbaarheden, wat de kans op succesvolle aanvallen vergroot.
Het is van groot belang dat organisaties zich bewust zijn van deze dreigingen en de nodige stappen ondernemen om hun systemen te beschermen. Dit omvat het installeren van de nieuwste beveiligingsupdates, het proactief beheren van kwetsbaarheden, en het implementeren van robuuste beveiligingsmaatregelen. Alleen door deze maatregelen kunnen bedrijven en overheden zich wapenen tegen de toenemende cyberdreigingen, vooral nu Nederland in het vizier staat van zowel cybercriminelen als statelijke actoren die zich voorbereiden op de NAVO top in juni 2025.
Wat is?
- CVE (Common Vulnerabilities and Exposures)
CVE is een systeem voor het identificeren en catalogiseren van beveiligingslekken in software en hardware. Elke kwetsbaarheid krijgt een uniek identificatienummer, bijvoorbeeld CVE-2025-22457, waardoor deze gemakkelijk te vinden en te volgen is voor IT-beveiligingsprofessionals.
- CVSS (Common Vulnerability Scoring System)
CVSS is een systeem voor het beoordelen van de ernst van een beveiligingslek. Het scoret kwetsbaarheden op een schaal van 0 tot 10, waarbij een hogere score wijst op een grotere dreiging. Bijvoorbeeld, een score van 9,0 (zoals voor CVE-2025-22457) betekent dat de kwetsbaarheid bijzonder ernstig is.
- Exploitcode
Exploitcode is een stukje software of script dat misbruik maakt van een kwetsbaarheid in een systeem om ongeautoriseerde acties uit te voeren, zoals toegang krijgen tot gegevens of systemen. Dit wordt vaak gebruikt door hackers om aanvallen uit te voeren.
- Backdoor
Een backdoor is een verborgen toegangspunt tot een computer of netwerk, vaak geïnstalleerd door cybercriminelen om later toegang te krijgen, zelfs als het beveiligingslek is gepatcht. Het kan bijvoorbeeld worden gebruikt om gegevens te stelen of systemen over te nemen.
- Darkweb
Het darkweb is een deel van het internet dat niet door traditionele zoekmachines wordt geïndexeerd. Het is vaak verborgen en anoniem, wat het een populaire plek maakt voor illegale activiteiten, zoals de handel in gegevens en het aanbieden van cyberaanvalsdiensten.
- Geautomatiseerde aanvallen
Geautomatiseerde aanvallen zijn cyberaanvallen die automatisch worden uitgevoerd door software of scripts, zonder dat menselijke tussenkomst nodig is. Deze aanvallen kunnen snel en op grote schaal worden uitgevoerd, waardoor ze toegankelijker zijn voor een breder publiek van cybercriminelen.
- Netwerksegmentatie
Netwerksegmentatie is het opdelen van een netwerk in kleinere, geïsoleerde segmenten om de schade van een cyberaanval te beperken. Als een segment wordt aangevallen, kunnen de andere segmenten nog steeds veilig blijven, wat de algehele beveiliging verbetert.
- Statelijke actoren
Statelijke actoren zijn landen of regeringen die betrokken zijn bij cyberaanvallen, vaak met politieke of strategische doeleinden, zoals het verstoren van de stabiliteit van een ander land of het verkrijgen van gevoelige informatie.
- MindYourPass
MindYourPass is een Nederlandse, kluisloze wachtwoordmanager die sterke en unieke wachtwoorden genereert en beheert zonder ze op te slaan, waardoor gebruikers veilig en eenvoudig kunnen inloggen op al hun accounts.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Reactie plaatsen
Reacties