← Terug naar blog
Security Briefing4 min leestijd2026-04-25

Security Briefing, 25 april 2026: Firestarter-persistentie, Zimbra-blootstelling en BlackFile-vishingafpersing

Het patroon van vandaag is lelijk maar duidelijk: edge-apparaten, mailboxen en helpdesk-vertrouwensstromen worden misbruikt op manieren die oppervlakkige remediatie overleven.


Kort: Drie verhalen vragen vanmorgen direct aandacht: firewall-malware die patchcycli overleeft, een mailplatform met duizenden blootgestelde kwetsbare servers en een vishing-gedreven afpersingsgroep die normale supportworkflows verandert in inbraakpaden.


1. Firestarter maakt patchen op Cisco-firewalls tot een valse finishlijn

CISA en het Britse NCSC waarschuwen dat de Firestarter-backdoor kan blijven bestaan op Cisco Firepower- en Secure Firewall-apparaten, zelfs na herstarts, firmware-updates en securitypatches. De malware, gekoppeld aan een door Cisco gevolgde spionage-actor, haakt in op het LINA-proces, installeert zichzelf opnieuw wanneer hij wordt gestopt en kan worden getriggerd via speciaal gemaakte WebVPN-verzoeken. Cisco’s boodschap is duidelijk: vaste releases zijn belangrijk, maar opnieuw imagën is de aanbevolen schoonmaakroute.


2. Meer dan 10.000 blootgestelde Zimbra-servers zitten nog steeds in de gevarenzone

Volgens Shadowserver blijven meer dan 10.500 aan internet blootgestelde Zimbra Collaboration Suite-servers kwetsbaar voor CVE-2025-48700, een XSS-lek dat door CISA al als actief misbruikt is gemarkeerd. De fout treft meerdere ZCS-versies en kan niet-geauthenticeerde aanvallers JavaScript laten uitvoeren in de webmailsessie van een slachtoffer wanneer in de Classic UI een kwaadaardige mail wordt geopend. Dat is belangrijk, omdat Zimbra al jaren een springplank is voor maildiefstal en statelijke operaties.


3. BlackFile bewijst dat nep-helpdeskgesprekken moderne bedrijven nog steeds kunnen breken

BlackFile wordt gekoppeld aan een golf van vishing-gestuurde afpersingsaanvallen tegen retail en hospitality. De aanvallers doen zich voor als IT-support, stelen inloggegevens en eenmalige codes via nep-inlogpagina’s en registreren vervolgens hun eigen apparaten om MFA te omzeilen. Daarna plunderen ze systemen als Salesforce en SharePoint via standaard-API’s, stelen gevoelige bestanden en voeren de druk op met losgeldeisen en zelfs swatting.


Wat securityteams vandaag moeten doen

  1. Voer compromise-checks uit op Cisco-firewalls en plan reimaging waar indicatoren zichtbaar zijn.
  2. Rond Zimbra-patching af en hunt op sessiemisbruik via kwaadaardige e-mail.
  3. Maak helpdesk-identiteitscontroles strenger, vooral voor remote support en MFA-resets.
  4. Controleer SaaS-exportactiviteit en device-enrollment-events op BlackFile-achtige patronen.

Bronnen


Bottom line: Het patroon van vandaag is lelijk maar duidelijk: edge-apparaten, mailboxen en helpdesk-vertrouwensstromen worden misbruikt op manieren die oppervlakkige remediatie overleven.

Vind de vertrouwensbreuken voordat ze incidenten worden

KENSAI helpt teams blootgestelde aanvalspaden op edge-appliances, e-mailsystemen, identity-flows en cloudtools zichtbaar te maken voordat aanvallers normale workflows veranderen in inbraakinfrastructuur.

Gratis scan →

Blijf scherp.

🗡️ KENSAI Security Team