Aanbevolen verhaal

Bijna 50.000 Cisco-firewalls kwetsbaar voor actief misbruikte gebreken

Samenvatting

Bijna 50.000 Cisco ASA/FTD-instanties die kwetsbaar zijn voor twee bugs die actief worden uitgebuit door “geavanceerde” aanvallers, blijven blootgesteld aan het internet.

De kwetsbaarheden in kwestie zijn CVE-2025-20333 (9.9) en CVE-2025-20362 (6.5), die van invloed zijn op Cisco’s Adaptive Security Appliance (ASA) en Firepower Threat Defense (FTD) apparaten.

De succesvolle aanvallen zijn hoogstwaarschijnlijk gelanceerd door degenen achter de ArcaneDoor-campagne, die eerder gericht waren op dezelfde Cisco-producten in 2024.

De aanvallers gebruiken malware genaamd RayInitiator en Line Viper, waarbij RayInitiator een bootkit is die is ontworpen om aanhoudende toegang tot apparaten te garanderen.

Analyse van ons SOC-team: Dit incident herinnert ons eraan dat we regelmatige patchingcycli moeten onderhouden voor netwerkapparaten. Teams moeten hun Cisco ASA- en FTD-inventaris vergelijken met de getroffen versies en ervoor zorgen dat patches worden toegepast volgens hun standaardproces voor kwetsbaarhedenbeheer. Voor apparaten die bijna of bijna aan het einde van hun levensduur zijn, is dit een goede gelegenheid om de tijdschema’s voor het vernieuwen van hardware te herzien en prioriteit te geven aan vervangingsplanning wanneer ondersteuning door de leverancier niet langer beschikbaar is.

Meer lezen

Ander nieuws

Hackers misbruiken Milesight-routers om Phishing-sms te versturen naar Europese gebruikers

Samenvatting

Onbekende bedreigingsactoren maken misbruik van Milesight industriële mobiele routers om sms-berichten te versturen als onderdeel van een smishing-campagne gericht op gebruikers in Europese landen sinds ten minste februari 2022. De campagnes zijn voornamelijk gericht op Zweden, Italië en België en maken gebruik van getypte URL’s die zich voordoen als overheidsplatforms zoals CSAM en eBox, maar ook als bank-, post- en telecomproviders.

Van de 18.000 routers die toegankelijk zijn op het openbare internet, zijn er 572 potentieel kwetsbaar omdat ze inbox/outbox API’s onthullen.

De aanvallers maken misbruik van CVE-2023-43261, een nu gepatchte fout in de openbaarmaking van informatie, en sommige routers geven sms-gerelateerde functies vrij zonder dat authenticatie vereist is.

De phishing URL’s bevatten JavaScript dat controleert op mobiele apparaten voordat schadelijke inhoud wordt weergegeven waarin gebruikers worden aangespoord om hun bankgegevens bij te werken.

Analyse van ons SOC-team: Deze campagne benadrukt het belang van training in Waakzaamheid voor eindgebruikers, vooral met betrekking tot phishingaanvallen via sms. Belgische organisaties moeten hun werknemers meer informatie geven over het verifiëren van onverwachte sms-berichten, vooral als ze beweren afkomstig te zijn van overheidsinstanties zoals eBox of financiële instellingen.

Meer lezen

Aan China gelinkte hackers misbruiken nieuwe VMware zero-day sinds oktober 2024

Samenvatting

Een pas gepatcht beveiligingslek in Broadcom VMware Tools en VMware Aria Operations wordt sinds midden oktober 2024 in het wild misbruikt als zero-day door een aan China gelinkte bedreigingsacteur met de naam UNC5174.

De kwetsbaarheid is CVE-2025-41244 (CVSS-score: 7.8), een lokale privilege-escalatiebug die van invloed is op VMware Cloud Foundation-, VMware vSphere Foundation-, VMware Aria Operations-, VMware Tools- en VMware Telco Cloud-platforms.

Een kwaadwillende lokale actor met niet-administratieve privileges die toegang heeft tot een VM waarop VMware Tools is geïnstalleerd, kan deze kwetsbaarheid misbruiken om privileges te escaleren naar root op dezelfde VM.

Indien succesvol, leidt uitbuiting ertoe dat ongeprivilegieerde gebruikers code kunnen uitvoeren in een geprivilegieerde context.

Analyse van ons SOC-team: Deze zero-day-uitbuiting onderstreept de kritieke noodzaak van tijdige patchimplementatie in de gehele virtualisatie-infrastructuur. Organisaties met getroffen VMware-producten moeten prioriteit geven aan het toepassen van de beschikbare patches.

Meer lezen

Pas op voor phishing-zwendel met je energierekening

Samenvatting

Nu het kouder wordt en we de verwarming weer aanzetten, grijpen oplichters hun kans: ze proberen je aandacht te trekken met vermeende kortingen op je energierekening, goedkope pellets, enz.

Een recent voorbeeld bevat veel spelfouten en werd deze week bijna 2.000 keer gemeld via suspicious@safeonweb.be.

Safeonweb.be raadt aan niet te klikken op links in verdachte berichten, geen bijlagen te openen en geen toepassingen te downloaden als daarom wordt gevraagd.

Als je op een link hebt geklikt, vul de velden dan niet in en beëindig elke interactie, en geef nooit persoonlijke codes. Als je een wachtwoord hebt ingevoerd dat je ook elders gebruikt, verander het dan onmiddellijk.

Analyse van ons SOC-team: De tips beschreven in het artikel willen we ook graag benadrukken. Klik nooit op een link en ga zelf naar de officiële website.

Verdachte berichten kunnen worden doorgestuurd naar een van de drie e-mailadressen van Safeonweb.

Ons SOC is ook beschikbaar om te helpen als er twijfels of vermoedens zijn over sms- of e-mailberichten.

Meer lezen