Het patroon van vandaag is lelijk maar duidelijk: edge-apparaten, mailboxen en helpdesk-vertrouwensstromen worden misbruikt op manieren die oppervlakkige remediatie overleven.
Kort: Drie verhalen vragen vanmorgen direct aandacht: firewall-malware die patchcycli overleeft, een mailplatform met duizenden blootgestelde kwetsbare servers en een vishing-gedreven afpersingsgroep die normale supportworkflows verandert in inbraakpaden.
CISA en het Britse NCSC waarschuwen dat de Firestarter-backdoor kan blijven bestaan op Cisco Firepower- en Secure Firewall-apparaten, zelfs na herstarts, firmware-updates en securitypatches. De malware, gekoppeld aan een door Cisco gevolgde spionage-actor, haakt in op het LINA-proces, installeert zichzelf opnieuw wanneer hij wordt gestopt en kan worden getriggerd via speciaal gemaakte WebVPN-verzoeken. Cisco’s boodschap is duidelijk: vaste releases zijn belangrijk, maar opnieuw imagën is de aanbevolen schoonmaakroute.
Volgens Shadowserver blijven meer dan 10.500 aan internet blootgestelde Zimbra Collaboration Suite-servers kwetsbaar voor CVE-2025-48700, een XSS-lek dat door CISA al als actief misbruikt is gemarkeerd. De fout treft meerdere ZCS-versies en kan niet-geauthenticeerde aanvallers JavaScript laten uitvoeren in de webmailsessie van een slachtoffer wanneer in de Classic UI een kwaadaardige mail wordt geopend. Dat is belangrijk, omdat Zimbra al jaren een springplank is voor maildiefstal en statelijke operaties.
BlackFile wordt gekoppeld aan een golf van vishing-gestuurde afpersingsaanvallen tegen retail en hospitality. De aanvallers doen zich voor als IT-support, stelen inloggegevens en eenmalige codes via nep-inlogpagina’s en registreren vervolgens hun eigen apparaten om MFA te omzeilen. Daarna plunderen ze systemen als Salesforce en SharePoint via standaard-API’s, stelen gevoelige bestanden en voeren de druk op met losgeldeisen en zelfs swatting.
Bottom line: Het patroon van vandaag is lelijk maar duidelijk: edge-apparaten, mailboxen en helpdesk-vertrouwensstromen worden misbruikt op manieren die oppervlakkige remediatie overleven.
KENSAI helpt teams blootgestelde aanvalspaden op edge-appliances, e-mailsystemen, identity-flows en cloudtools zichtbaar te maken voordat aanvallers normale workflows veranderen in inbraakinfrastructuur.
Gratis scan →Blijf scherp.
🗡️ KENSAI Security Team