← Terug naar beveiligingsblog
Beveiligingsbulletin 4 maart 2026 8 min leestijd

VMware-exploit in het wild, golf van OAuth-phishing en LexisNexis-datalek

CISA markeert VMware Aria Operations RCE als actief misbruikt. Microsoft onthult een geavanceerde OAuth-omleidingsaanval die MFA omzeilt. LexisNexis bevestigt dat hackers 2GB aan gegevens hebben gestolen, waaronder dossiers van overheidsmedewerkers. Plus: AkzoNobel getroffen door Anubis-ransomware en valse IT-supportcampagnes implementeren Havoc C2.


🔴 Kritiek: VMware Aria Operations onder actieve aanval

CVE-2026-22719 — PATCH ONMIDDELLIJK

CISA heeft een VMware Aria Operations command injection-kwetsbaarheid toegevoegd aan zijn catalogus van Bekende Misbruikte Kwetsbaarheden (KEV). De fout stelt niet-geauthenticeerde aanvallers in staat willekeurige opdrachten uit te voeren, wat leidt tot volledige uitvoering van code op afstand.

CVSS-score: 8.1 (Hoog)  |  Deadline: 24 maart 2026 voor federale instanties

De kwetsbaarheid bevindt zich in het migratieservicecomponent van VMware Aria Operations. Tijdens door support ondersteunde productmigratie kan een niet-geauthenticeerde actor opdrachten injecteren die als root worden uitgevoerd via een verkeerde sudoers-configuratie in vmware-casa-workflow.sh.

Broadcom heeft op 24 februari patches uitgebracht samen met een tijdelijk workaround-script (aria-ops-rce-workaround.sh) dat de kwetsbare migratiecomponenten uitschakelt. Het bedrijf erkende meldingen van actief misbruik maar verklaarde dat het «niet onafhankelijk de geldigheid ervan kan bevestigen».

Ook gepatcht in VMSA-2026-0001:

CVETypeImpact
CVE-2026-22719Command InjectionNiet-geauthenticeerde RCE
CVE-2026-22720Opgeslagen XSSSessiekaping
CVE-2026-22721Privilege-escalatieBeheerderstoegang

🟠 OAuth-omleidingsmisbruik: MFA op schaal omzeilen

Onderzoekers van Microsoft Defender hebben een geavanceerde campagne ontdekt waarbij bedreigingsactoren het legitieme OAuth 2.0-omleidingsmechanisme misbruiken om e-mail- en browserbescherming tegen phishing te omzeilen. De aanvallen richten zich voornamelijk op overheids- en publieke sectororganisaties.

Hoe de aanval werkt:

  1. Lokaaslevering: Phishing-e-mails vermomd als verzoeken om elektronische handtekening, SSA-berichten of vergaderuitnodigingen bevatten OAuth-omleidings-URL's
  2. Stille authenticatiefout: Aanvallers registreren kwaadaardige OAuth-apps met ongeldige scopes en prompt=none, waardoor authenticatiefouten worden geforceerd
  3. Omleidingskaping: De identiteitsprovider leidt slachtoffers om naar de door de aanvaller beheerde omleidings-URI
  4. Diefstal van inloggegevens: EvilProxy attacker-in-the-middle frameworks onderscheppen sessiecookies en omzeilen zo MFA

In sommige varianten worden slachtoffers omgeleid naar een /download-pad dat automatisch ZIP-bestanden levert met kwaadaardige .LNK-bestanden. Deze starten PowerShell voor verkenning voordat DLL side-loading de uiteindelijke payload implementeert.

Belangrijkste conclusie: Deze aanval misbruikt bedoeld gedrag in het OAuth-framework. Het foutafhandelingsmechanisme werkt precies zoals de standaard specificeert — aanvallers bewapenen simpelweg de omleidingsstroom.


🔴 LexisNexis-datalek: overheidsgegevens blootgesteld

Juridische datagigant LexisNexis Legal & Professional heeft bevestigd dat hackers op 24 februari hun AWS-infrastructuur hebben doorbroken door de React2Shell-kwetsbaarheid te misbruiken in een niet-gepatchte React frontend-applicatie.

Bedreigingsactor «FulcrumSec» lekte 2GB aan gestructureerde gegevens uit het datalek en claimde toegang tot:

LexisNexis verklaarde dat de gecompromitteerde gegevens «voornamelijk verouderde, afgeschreven gegevens van vóór 2020» waren en geen BSN-nummers, financiële informatie of actieve wachtwoorden bevatten. Het bedrijf zegt dat de inbraak is ingeperkt.


🟠 Anubis-ransomware treft AkzoNobel

De Nederlandse verf- en coatinggigant AkzoNobel (meer dan $12 miljard omzet, 35.000 medewerkers, 150+ landen) bevestigde een netwerkbreuk op een van zijn Amerikaanse locaties. De Anubis-ransomwarebende claimt 170GB aan gegevens te hebben geëxfiltreerd, waaronder:

Anubis, een RaaS-operatie actief sinds december 2024, biedt affiliates 80% van de losgeldbetalingen en voegde medio 2025 een destructieve datawisser-capaciteit toe.


🟡 Valse IT-support implementeert Havoc C2-framework

Onderzoekers van Huntress identificeerden een campagne bij vijf organisaties waarbij aanvallers zich voordoen als IT-supportpersoneel om het Havoc command-and-control framework te implementeren. De werkwijze weerspiegelt nauwkeurig de tactieken van voormalige Black Basta-ransomware affiliates:

  1. De inbox van het doelwit bombarderen met spam
  2. Bellen terwijl ze zich voordoen als IT-support die hulp aanbiedt
  3. Havoc Demon payloads en legitieme RMM-tools implementeren
  4. Lateraal bewegen — in één geval 9 endpoints gecompromitteerd in 11 uur

De snelheid van laterale beweging suggereert einddoelen van data-exfiltratie of ransomware-implementatie.


📊 Meer koppen in een oogopslag

VerhaalImpact
Iraanse aanvallen op AWS-datacenters in de VAEKwetsbaarheid van fysieke infrastructuur blootgelegd; twee faciliteiten direct getroffen
Datalek University of Hawaii Cancer Center1,2 miljoen personen getroffen; BSN, gezondheidsgegevens, kiesregisters gestolen
Quantum RSA-doorbraakNieuw algoritme suggereert dat RSA-ontsleuteling eerder haalbaar is dan verwacht
Android Qualcomm zero-day gepatchtInteger overflow in grafisch component leidt tot geheugencorruptie
SloppyLemming richt zich op Pakistan en BangladeshDubbele malwareketens gericht op overheidsinfrastructuur
Wereldwijde Facebook-storingAccounts wereldwijd niet beschikbaar op 3 maart

Hoe Kensai u beschermt

Realtime CVE-monitoring — CVE-2026-22719 geïndexeerd en gemarkeerd binnen uren na toevoeging aan KEV

OAuth-aanvaldetectie — Monitoring van verdachte OAuth-app-registraties en omleidingspatronen

Cloud-infrastructuurscanning — Detectie van React2Shell en vergelijkbare kwetsbaarheden vóór aanvallers

Ransomware-paraatheid — Continue blootstellingsbeheer tegen bedreigingen zoals Anubis RaaS


Aanbevolen acties

  1. Onmiddellijk: Patch VMware Aria Operations of pas het workaround-script toe voor CVE-2026-22719
  2. Onmiddellijk: Controleer OAuth-applicatieregistraties in uw Entra ID-tenant
  3. Vandaag: Controleer React/Node.js-frontends op de React2Shell-kwetsbaarheid
  4. Deze week: Beoordeel Conditional Access-beleid en beperk OAuth-app-toestemming
  5. Doorlopend: Train personeel over social engineering-tactieken van valse IT-support

Bescherm uw organisatie met Kensai

AI-gestuurde kwetsbaarheidsbeheer met meer dan 335.000 CVE's geïndexeerd.

Gratis proefperiode

Blijf veilig. Blijf waakzaam.

🗡️ KENSAI Beveiligingsteam

🛡️ Bescherm uw bedrijf

Krijg een gratis beveiligingsscan van uw website in 60 seconden

Gratis beveiligingsscan →
📚 Meer artikelen 🏠 Home