← Terug naar blog
Security Briefing4 min leestijd2026-04-17

Security briefing, 17 april 2026: Cisco Webex-actie, PowMix-botnet en ZionSiphon-OT-sabotage

De security briefing van vandaag volgt drie concrete signalen: Cisco’s Webex-SSO-fix die nog steeds klantactie vereist, Talos’ PowMix-botnet tegen Tsjechische werknemers met stealthy C2-gedrag, en ZionSiphons OT-sabotagelogica rond chloor- en drukregeling in de watersector.


Top line: Het patroon van vanmorgen is misbruik van vertrouwen op drie lagen tegelijk: identiteit, workforce-delivery chains en industriële besturingslogica. Verdedigers moeten dit niet als losse wachtrijen behandelen.


1. Cisco heeft Webex gefixt, maar klanten hebben nog werk

Cisco patchte CVE-2026-20184 in Webex Services, een fout in certificaatvalidatie binnen de SSO-integratie met Control Hub waardoor een niet-geauthenticeerde aanvaller gebruikers zou kunnen imiteren. De servicefix alleen is niet genoeg: organisaties die SSO gebruiken moeten ook een nieuw SAML-certificaat uploaden voor hun identity provider om verstoringen te voorkomen en het gat echt te sluiten.


2. PowMix laat zien hoe phishing steeds beter op normaal verkeer lijkt

Cisco Talos onthulde PowMix, een eerder ongedocumenteerd botnet dat minstens sinds december 2025 actief is en de Tsjechische beroepsbevolking treft. De malware gebruikt willekeurige beacon-intervallen, verstopt versleutelde heartbeats in URL-paden die op REST API-verkeer lijken, en kan zijn C2-domein dynamisch bijwerken. Talos zag ook tactische overlap met eerdere ZipLine-activiteit en C2-infrastructuur via Heroku.


3. ZionSiphon is een waarschuwingsschot voor water- en ontziltingsoperators

Onderzoekers zeggen dat het huidige ZionSiphon-sample kapot is door een validatiefout, maar de bedoeling is glashelder en smerig. De malware controleert op Israëlische IP-ranges en waterbehandelingssoftware en probeert vervolgens chloordosering, klepstatus, pompstatus en omgekeerde-osmosedruk te wijzigen. Ook USB-verspreiding zit erin, wat telt in industriële omgevingen die nog steeds op verwijderbare media leunen.


Wat securityteams vandaag moeten doen

  1. Rond de Cisco Webex SSO-certificaatrotatie af en verifieer die, niet alleen de vendor-patchstatus.
  2. Brief e-mail-, identity- en endpointteams samen over PowMix-lokmiddelen en PowerShell-uitvoering.
  3. Voor OT-operators: test of ongeautoriseerde wijzigingen in chloor of druk snel genoeg zouden worden gedetecteerd.
  4. Geef leiderschap één duidelijke update die collaboration trust, workforce-phishing en industriële sabotage in één risicobeeld verbindt.

Bottom line: De sterkste les van vandaag is simpel: aanvallers maakt het niet uit of een zwakte in identiteit, gebruikersworkflow of fysieke procescontrole zit. Als er vertrouwen op rust, is het een doelwit.

Dicht vertrouwensgaten voordat ze incidentbruggen worden

KENSAI helpt teams blootgestelde identity-paden, phishing-gedreven aanvalsketens en echt operationeel risico te verifiëren voordat vertrouwen omslaat in compromise.

Start gratis scan →

Blijf scherp.

🗡️ KENSAI Security Team