← Terug naar Blog
Beveiligingsbriefing 7 min leestijd

Cisco SD-WAN CVE-2026-20127 sinds 2023 misbruikt — CarGurus 12M datalek — SLH rekruteert vrouwen voor vishing

Een CVSS 10.0 authenticatie-bypass in Cisco Catalyst SD-WAN wordt sinds 2023 actief misbruikt. CarGurus bevestigt dat 12,4 miljoen gebruikers zijn getroffen door ShinyHunters. Een cybercrime-supergroep betaalt vrouwen $1.000 per telefoontje om IT-helpdesks te misleiden via social engineering. Daarnaast: SolarWinds patcht vier kritieke Serv-U RCE-kwetsbaarheden en een defensie-aannemer krijgt 87 maanden cel voor het verkopen van exploits aan Rusland.


Kritiek: Cisco SD-WAN authenticatie-bypass (CVE-2026-20127)

CVSS 10.0 — Sinds 2023 als zero-day misbruikt

Cisco heeft een kwetsbaarheid met maximale ernst onthuld in Cisco Catalyst SD-WAN Controller (voorheen vSmart) en SD-WAN Manager (voorheen vManage). Het beveiligingslek stelt externe, niet-geauthenticeerde aanvallers in staat om in te loggen als een hoogbevoegde interne gebruiker en de volledige SD-WAN-omgeving te manipuleren via NETCONF.

Wat is er gebeurd

De kwetsbaarheid komt voort uit een gebrekkig peering-authenticatiemechanisme. Aanvallers misbruiken het om ongeautoriseerde peers toe te voegen aan de SD-WAN-omgeving — in feite worden kwaadaardige apparaten geïnjecteerd die er legitiem uitzien en verkeer kunnen routeren via door de aanvaller gecontroleerde infrastructuur.

Cisco Talos volgt de activiteit als UAT-8616 en schrijft deze met hoge zekerheid toe aan een zeer geavanceerde dreigingsactor. Telemetrie toont misbruik dat minstens teruggaat tot 2023. De actor escaleerde naar root door firmware te downgraden om een oudere kwetsbaarheid (CVE-2022-20775) te misbruiken, waarna de oorspronkelijke versie werd hersteld om detectie te omzeilen.

De onthulling werd gecoördineerd tussen Cisco, het Australian Cyber Security Centre (ASD's ACSC), CISA (Emergency Directive 26-03) en Britse autoriteiten.

Wie is getroffen

Directe acties

  1. Patch onmiddellijk — Cisco heeft noodpatches uitgebracht
  2. Controleer peerlijsten — Zoek naar ongeautoriseerde peers in uw SD-WAN-omgeving
  3. Bekijk firmware-historie — Let op onverwachte versiewijzigingen (downgrade/upgrade-patroon)
  4. Netwerkforensics — Inspecteer verkeer op verbindingen met onbekende controllers
  5. Ga uit van een inbreuk indien niet gepatcht — Dit wordt al meer dan 3 jaar actief misbruikt

CarGurus-datalek: 12,4 miljoen gebruikers blootgesteld

Online automarktplaats CarGurus heeft een datalek bevestigd dat meer dan 12,4 miljoen gebruikers treft. De ShinyHunters-groep claimde de verantwoordelijkheid en stelde persoonsgegevens en interne bedrijfsdata te hebben buitgemaakt.

Dit volgt op de aanval van ShinyHunters op Wynn Resorts, waarbij werknemersgegevens werden gestolen — hoewel de vermelding later van de leksite werd verwijderd na vermoedelijke onderhandelingen.

Blootgestelde gegevens

Impact: Als u of uw medewerkers CarGurus hebben gebruikt, wees dan alert op phishingcampagnes die de gestolen gegevens benutten. Credential stuffing-aanvallen worden binnen enkele dagen verwacht.


SLH-supergroep betaalt $1.000 per telefoontje voor vishing-rekruten

De cybercrime-supergroep Scattered LAPSUS$ Hunters (SLH) — een samenvoeging van LAPSUS$, Scattered Spider en ShinyHunters — is nu actief vrouwen aan het rekruteren om voice phishing (vishing)-aanvallen uit te voeren tegen IT-helpdesks.

Social engineering op grote schaal

Volgens de dreigingsinformatie van Dataminr biedt SLH $500–$1.000 per telefoontje plus kant-en-klare scripts. De strategie: vrouwelijke stemmen hebben mogelijk een hoger slagingspercentage bij het nadoen van medewerkers die helpdesks bellen voor wachtwoordresets of MFA-bypasses.

SLH heeft een gedocumenteerde historie van MFA-prompt bombing, SIM-swapping en social engineering van helpdesks. Deze rekruteringscampagne signaleert een industrialisering van social engineering — een verschuiving van opportunistische aanvallen naar betaalde, georganiseerde callcenteroperaties.

Aanbevelingen voor verdediging


SolarWinds Serv-U: vier kritieke RCE-kwetsbaarheden

SolarWinds heeft vier kritieke kwetsbaarheden gepatcht in Serv-U-bestandsoverdrachtsoftware die remote code execution mogelijk maken. Hoewel de kwetsbaarheden beheerdersrechten vereisen, is Serv-U een historisch doelwit (denk aan de supply chain-aanval van 2021).

Waarom dit belangrijk is

Bestandsoverdrachtsapplicaties blijven de #1 initiële toegangsvector voor ransomwaregroepen. MOVEit, GoAnywhere, Citrix ShareFile — en nu opnieuw Serv-U. Als u Serv-U draait, patch dan voordat exploitcode onvermijdelijk verschijnt.


Chinese cyberspionage: tientallen telecombedrijven en overheidsinstanties gehackt

Google's Threat Intelligence Group (GTIG), Mandiant en internationale partners hebben een wereldwijde spionagecampagne verstoord die wordt toegeschreven aan de Chinese dreigingsactor UNC2814. De groep is actief sinds minstens 2017 en richt zich op organisaties in 42 landen.

De aanvallers gebruikten legitieme SaaS API-aanroepen om kwaadaardig verkeer te maskeren, waardoor detectie uitzonderlijk moeilijk werd. Doelwitten waren onder meer telecomproviders en overheidsinstanties — klassieke doelen voor inlichtingenvergaring.


Defensie-aannemer krijgt 87 maanden cel voor verkoop van exploits aan Rusland

Voormalig directeur van een Amerikaans defensiebedrijf Peter Williams is veroordeeld tot 87 maanden in een federale gevangenis voor het verkopen van cyberexploits aan een Russische tussenpersoon. De zaak onderstreept het voortdurende risico van insiderdreigingen in de defensietoeleveringsketen.


Supply chain-hoek: kwaadaardige NuGet-pakketten + nep Next.js-sollicitaties

Deze week zijn twee afzonderlijke supply chain-campagnes ontdekt:

Ontwikkelteams: Controleer uw NuGet-afhankelijkheden en wees wantrouwig tegenover elke repository die wordt gelinkt vanuit ongevraagde sollicitatiegesprekken.


UFP Technologies: fabrikant van medische apparatuur getroffen door ransomware

De Amerikaanse fabrikant van medische apparatuur UFP Technologies heeft een cyberaanval gemeld met bevestigde gegevensdiefstal en bestandsversleutelende malware. De zorgsector blijft onevenredig vaak doelwit — aanvallers weten dat patiëntgegevens hoge losgelden opleveren en dat regelgevingsdruk snelle betalingen afdwingt.


Prioriteitsacties voor vandaag

  1. Cisco SD-WAN — Patch CVE-2026-20127 onmiddellijk (CVSS 10.0, misbruikt sinds 2023)
  2. SolarWinds Serv-U — Pas kritieke RCE-patches toe
  3. Helpdesk verharden — De SLH-vishingcampagne is actief en schaalt op
  4. CarGurus-datalek — Wees alert op credential stuffing en phishing met gestolen gegevens
  5. Developer supply chain — Controleer NuGet-pakketten, pas op voor nep-sollicitatierepo's
  6. Telecom/Overheid — Controleer op UNC2814-indicatoren als u in getroffen sectoren opereert

Hoe Kensai u beschermt

Cisco SD-WAN-detectie — Scan op CVE-2026-20127 en kwetsbare configuraties

Supply chain-monitoring — Volg kwaadaardige pakketten in NuGet, npm en PyPI

AI-gestuurde remediëring — Ontvang patches, niet alleen meldingen. Automatisch gegenereerde PR's voor uw codebase.

NIS2-compliance — Nederlandstalige rapporten voor regelgevingsvereisten

Scan uw infrastructuur in 60 seconden

332.000+ CVE's geïndexeerd. AI-gegenereerde patches. GitHub PR-automatisering.

Start gratis proefperiode

Blijf veilig. Blijf waakzaam.

🗡️ KENSAI Beveiligingsteam

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home