← Terug naar Blog
Beveiligingsbriefing 🔴 Kritiek

Cloud onder vuur: Kritieke kwetsbaarheden in AWS, Azure & GCP

6 min leestijd
KRITIEKE URGENTIE

Samenvatting

Kritieke kwetsbaarheden ontdekt in AWS IAM Identity Center en Azure Active Directory vormen een direct risico voor cloudomgevingen. Google Cloud Platform bevestigt ongeautoriseerde toegang tot Cloud SQL-metadata. Multi-cloudomgevingen worden geconfronteerd met gecoördineerde aanvallen die vertrouwensrelaties tussen providers misbruiken.

⚡ Conclusie: Patch AWS IAM Identity Center en Azure AD onmiddellijk. Controleer cross-cloud vertrouwensrelaties.

☁️
Kritiek — CVSS 9.8

CVE-2026-22103: AWS IAM Identity Center authenticatie-omzeiling

Waarom dit belangrijk is

Een kritieke authenticatie-omzeilingskwetsbaarheid in AWS IAM Identity Center stelt aanvallers met netwerktoegang tot gefedereerde identiteitsproviders in staat om elke rol in verbonden AWS-accounts over te nemen. Actieve exploitatie in het wild gedetecteerd.

Impact Beschrijving
Accountovername Volledige beheerderstoegang tot alle verbonden AWS-accounts
Gegevensexfiltratie Toegang tot S3, RDS, Secrets Manager en alle diensten
Persistentie Aanmaken van backdoor IAM-gebruikers en -rollen
Factureringsfraude Cryptomining en misbruik van resources

Hoe u zichzelf beschermt — Actiepunten

  • Pas de AWS-noodpatch onmiddellijk toe via de Identity Center-console
  • Controleer CloudTrail-logs op verdachte AssumeRole-events sinds 15 jan
  • Schakel AWS CloudTrail Lake in voor verbeterde forensische analyse
  • Roteer alle certificaten van gefedereerde identiteitsproviders
  • Schakel IAM Access Analyzer in voor cross-account toegangscontrole
🔵
Kritiek

Azure AD Conditional Access-beleid omzeild (CVE-2026-22198)

Waarom dit belangrijk is

Een fout in de Conditional Access-evaluatie-engine van Azure Active Directory stelt aanvallers in staat om apparaatcompliance- en locatiegebaseerd beleid te omzeilen met vervalste authenticatietokens. Microsoft bevestigt actieve exploitatie gericht op bedrijven met hybride Azure AD-implementaties.

Worst-casescenario

🔓

MFA-omzeiling

Omzeiling van MFA-vereisten voor geprivilegieerde accounts.

📍

Locatiespoofing

Toegang vanaf onvertrouwde locaties/apparaten lijkt legitiem.

🔗

SaaS-compromittering

Compromittering van aan Azure AD gekoppelde SaaS-applicaties.

Hoe u zichzelf beschermt — Actiepunten

  • Pas Microsoft-noodbeveiligingsupdate KB5034441 toe
  • Schakel Continuous Access Evaluation (CAE) in voor alle kritieke apps
  • Controleer Azure AD-aanmeldingslogboeken op afwijkende tokenclaims
  • Implementeer risicogebaseerd beleid van Azure AD Identity Protection
  • Implementeer Microsoft Sentinel-detectieregels voor pogingen tot beleidsomzeiling
🟢
Urgent

Google Cloud SQL metadata-blootstellingsincident

Waarom dit belangrijk is

Google heeft ongeautoriseerde toegang tot Cloud SQL-instancemetadata bekendgemaakt die klanten treft in us-central1 and europe-west1 regio's. Blootgestelde gegevens omvatten databaseverbindingsreeksen, IP-adressen en in sommige gevallen opgeslagen inloggegevens.

Hoe u zichzelf beschermt — Actiepunten

  • Roteer alle Cloud SQL-databaseinloggegevens
  • Controleer Cloud SQL-instances op ongeautoriseerde IP-whitelisting
  • Schakel Cloud SQL Insights in voor querymonitoring
  • Migreer gevoelige workloads naar Cloud SQL met alleen privé-IP
  • Controleer IAM-machtigingen voor cloudsql.instances.*-rollen
🌐
Actieve campagne

Cross-cloud vertrouwensexploitatiecampagne

Waarom dit belangrijk is

Dreigingsactor "CloudHopper 2.0" maakt actief misbruik van vertrouwensrelaties tussen AWS, Azure en GCP in multi-cloudomgevingen. Initiële toegang komt doorgaans van de minst beveiligde cloud, waarna wordt gepivoord via gedeelde inloggegevens en gefedereerde identiteiten.

Hoe u zichzelf beschermt — Actiepunten

  • Controleer cross-cloud IAM-rollen en serviceaccounts
  • Implementeer unieke inloggegevens per cloudprovider
  • Implementeer cloudnative CSPM-tools voor uniform overzicht
  • Segmenteer cloudnetwerken op de identiteitslaag
  • Controleer cloud-naar-cloud VPN- en peeringconfiguraties
📦
Hoog

Terraform State-bestandsblootstelling via S3-misconfiguratie

Waarom dit belangrijk is

Onderzoekers ontdekten meer dan 2.400 publiek toegankelijke Terraform state-bestanden in S3-buckets met cloudinloggegevens, API-sleutels en infrastructuurdetails. Veel behoren toe aan Fortune 500-bedrijven.

Hoe u zichzelf beschermt — Actiepunten

  • Schakel S3 Block Public Access in op accountniveau
  • Migreer Terraform state naar versleutelde backends (S3+DynamoDB met KMS)
  • Gebruik terraform-compliance om stateconfiguraties te controleren
  • Schakel AWS Config-regels in voor detectie van publieke S3

Voer nu een KENSAI-scan uit om te zien of uw cloudinfrastructuur getroffen is

🗡️ Scan uw systemen →

Uw actiechecklist voor deze week

Kritiek — Vandaag doen
  • Patch AWS IAM Identity Center onmiddellijk
  • Pas Azure AD-beveiligingsupdate KB5034441 toe
  • Roteer Google Cloud SQL-inloggegevens als u zich in getroffen regio's bevindt
Hoog — Deze week doen
  • Controleer cross-cloud vertrouwensrelaties en gedeelde inloggegevens
  • Schakel uitgebreide logging in bij alle cloudproviders
  • Controleer opslag en versleuteling van Terraform state-bestanden
Gemiddeld — Doorlopend
  • Implementeer cloudnative SIEM-detectieregels
  • Plan een multi-cloud beveiligingshouding-assessment
  • Implementeer CSPM-tools voor uniform overzicht

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home