CISA markeert VMware Aria Operations RCE als actief misbruikt. Microsoft onthult een geavanceerde OAuth-omleidingsaanval die MFA omzeilt. LexisNexis bevestigt dat hackers 2GB aan gegevens hebben gestolen, waaronder dossiers van overheidsmedewerkers. Plus: AkzoNobel getroffen door Anubis-ransomware en valse IT-supportcampagnes implementeren Havoc C2.
CISA heeft een VMware Aria Operations command injection-kwetsbaarheid toegevoegd aan zijn catalogus van Bekende Misbruikte Kwetsbaarheden (KEV). De fout stelt niet-geauthenticeerde aanvallers in staat willekeurige opdrachten uit te voeren, wat leidt tot volledige uitvoering van code op afstand.
CVSS-score: 8.1 (Hoog) | Deadline: 24 maart 2026 voor federale instanties
De kwetsbaarheid bevindt zich in het migratieservicecomponent van VMware Aria Operations. Tijdens door support ondersteunde productmigratie kan een niet-geauthenticeerde actor opdrachten injecteren die als root worden uitgevoerd via een verkeerde sudoers-configuratie in vmware-casa-workflow.sh.
Broadcom heeft op 24 februari patches uitgebracht samen met een tijdelijk workaround-script (aria-ops-rce-workaround.sh) dat de kwetsbare migratiecomponenten uitschakelt. Het bedrijf erkende meldingen van actief misbruik maar verklaarde dat het «niet onafhankelijk de geldigheid ervan kan bevestigen».
| CVE | Type | Impact |
|---|---|---|
| CVE-2026-22719 | Command Injection | Niet-geauthenticeerde RCE |
| CVE-2026-22720 | Opgeslagen XSS | Sessiekaping |
| CVE-2026-22721 | Privilege-escalatie | Beheerderstoegang |
Onderzoekers van Microsoft Defender hebben een geavanceerde campagne ontdekt waarbij bedreigingsactoren het legitieme OAuth 2.0-omleidingsmechanisme misbruiken om e-mail- en browserbescherming tegen phishing te omzeilen. De aanvallen richten zich voornamelijk op overheids- en publieke sectororganisaties.
prompt=none, waardoor authenticatiefouten worden geforceerdIn sommige varianten worden slachtoffers omgeleid naar een /download-pad dat automatisch ZIP-bestanden levert met kwaadaardige .LNK-bestanden. Deze starten PowerShell voor verkenning voordat DLL side-loading de uiteindelijke payload implementeert.
Belangrijkste conclusie: Deze aanval misbruikt bedoeld gedrag in het OAuth-framework. Het foutafhandelingsmechanisme werkt precies zoals de standaard specificeert — aanvallers bewapenen simpelweg de omleidingsstroom.
Juridische datagigant LexisNexis Legal & Professional heeft bevestigd dat hackers op 24 februari hun AWS-infrastructuur hebben doorbroken door de React2Shell-kwetsbaarheid te misbruiken in een niet-gepatchte React frontend-applicatie.
Bedreigingsactor «FulcrumSec» lekte 2GB aan gestructureerde gegevens uit het datalek en claimde toegang tot:
LexisNexis verklaarde dat de gecompromitteerde gegevens «voornamelijk verouderde, afgeschreven gegevens van vóór 2020» waren en geen BSN-nummers, financiële informatie of actieve wachtwoorden bevatten. Het bedrijf zegt dat de inbraak is ingeperkt.
De Nederlandse verf- en coatinggigant AkzoNobel (meer dan $12 miljard omzet, 35.000 medewerkers, 150+ landen) bevestigde een netwerkbreuk op een van zijn Amerikaanse locaties. De Anubis-ransomwarebende claimt 170GB aan gegevens te hebben geëxfiltreerd, waaronder:
Anubis, een RaaS-operatie actief sinds december 2024, biedt affiliates 80% van de losgeldbetalingen en voegde medio 2025 een destructieve datawisser-capaciteit toe.
Onderzoekers van Huntress identificeerden een campagne bij vijf organisaties waarbij aanvallers zich voordoen als IT-supportpersoneel om het Havoc command-and-control framework te implementeren. De werkwijze weerspiegelt nauwkeurig de tactieken van voormalige Black Basta-ransomware affiliates:
De snelheid van laterale beweging suggereert einddoelen van data-exfiltratie of ransomware-implementatie.
| Verhaal | Impact |
|---|---|
| Iraanse aanvallen op AWS-datacenters in de VAE | Kwetsbaarheid van fysieke infrastructuur blootgelegd; twee faciliteiten direct getroffen |
| Datalek University of Hawaii Cancer Center | 1,2 miljoen personen getroffen; BSN, gezondheidsgegevens, kiesregisters gestolen |
| Quantum RSA-doorbraak | Nieuw algoritme suggereert dat RSA-ontsleuteling eerder haalbaar is dan verwacht |
| Android Qualcomm zero-day gepatcht | Integer overflow in grafisch component leidt tot geheugencorruptie |
| SloppyLemming richt zich op Pakistan en Bangladesh | Dubbele malwareketens gericht op overheidsinfrastructuur |
| Wereldwijde Facebook-storing | Accounts wereldwijd niet beschikbaar op 3 maart |
✅ Realtime CVE-monitoring — CVE-2026-22719 geïndexeerd en gemarkeerd binnen uren na toevoeging aan KEV
✅ OAuth-aanvaldetectie — Monitoring van verdachte OAuth-app-registraties en omleidingspatronen
✅ Cloud-infrastructuurscanning — Detectie van React2Shell en vergelijkbare kwetsbaarheden vóór aanvallers
✅ Ransomware-paraatheid — Continue blootstellingsbeheer tegen bedreigingen zoals Anubis RaaS
AI-gestuurde kwetsbaarheidsbeheer met meer dan 335.000 CVE's geïndexeerd.
Gratis proefperiodeBlijf veilig. Blijf waakzaam.
🗡️ KENSAI Beveiligingsteam
Krijg een gratis beveiligingsscan van uw website in 60 seconden
Gratis beveiligingsscan →