← Terug naar blog
Security Briefing4 min leestijd2026-04-21

Security briefing, 21 april 2026: SGLang-RCE, Microsoft Teams-imitatie en ZionSiphon OT-malware

Het dreigingsbeeld van vanochtend gaat over vertrouwde workflows die vijandig worden. AI-modelserving kan veranderen in remote code execution, samenwerkingsplatformen worden social-engineering lanceerplatforms, en OT-malware schuift dichter naar echte sabotage.


Top line: Drie signalen tellen vandaag: AI-infrastructuur hoort bij het aanvalsvlak, samenwerkingsplatformen worden gebruikt voor menselijke intrusie, en OT-malware kruipt verder richting fysieke verstoring.


1. Kritieke SGLang-kwetsbaarheid maakt kwaadaardige GGUF-bestanden tot remote code execution

The Hacker News benadrukte CVE-2026-5760, een kritisch command-injectionprobleem in het reranking-endpoint van SGLang. Een speciaal geprepareerd GGUF-modelbestand kan willekeurige code uitvoeren in de context van de SGLang-service. Als je AI-stack artefacten van derden importeert, test of serveert, dan is dit geen nicheprobleem maar een productieprobleem.


2. Microsoft zegt dat Teams steeds vaker wordt misbruikt voor helpdesk-imitatieaanvallen

BleepingComputer meldde dat aanvallers externe Microsoft Teams-samenwerking misbruiken en daarna legitieme beheertools gebruiken voor toegang en laterale beweging. Dat werkt omdat medewerkers support via chat al normaal vinden.


3. ZionSiphon laat zien dat OT-malware nog steeds watersectoroperaties verkent

The Hacker News beschreef ook ZionSiphon, malware gericht op Israëlische waterzuiverings- en ontziltingssystemen met persistentie, lokale manipulatie, OT-servicescans en sabotagegerichte logica rond chloor- en drukregelingen. Juist het feit dat het nog onaf voelt, is reden om nu te handelen.


Wat securityteams vandaag moeten doen

  1. Breng elk gebruik van SGLang in kaart en patch of isoleer eerst blootgestelde inference- of rerankingservices.
  2. Controleer Teams-federatie, extern-chatbeleid en recente helpdeskachtige gesprekken op imitatie-indicatoren.
  3. Vraag OT- en facilityteams naar recente afwijkingen rond controllers, subnetten of USB-media.
  4. Leg aan leiderschap uit dat vertrouwde workflows, niet alleen edge-systemen, nu de frontlinie vormen.

Bottom line: Bottom line: aanvallers breken vandaag niet alleen binnen via duidelijke gaten. Ze liften mee op modelbestanden, chatworkflows en operationele tooling die verdedigers nog steeds als vertrouwd en veilig zien. Die aanname moet weg.

Vind vertrouwensbreuken voordat ze incidenten worden

KENSAI helpt teams blootgestelde aanvalspaden in cloud, samenwerking, AI en internetgerichte systemen zichtbaar te maken voordat zwakke schakels echte incidenten worden.

Gratis scan →

Blijf scherp.

🗡️ KENSAI Security Team