← Terug naar blog
Security briefing5 min read2026-05-03

Security briefing, 3 mei 2026: cPanel-ransomware, ConsentFix v3, Copy Fail en incidentrespons bij Instructure

Het lelijke patroon van vanochtend is vertrouwensinstorting op schaal: hostingpanelen, OAuth-flows, Linux-geheugenaanames en onderwijsplatforms laten tegelijk zien hoe “normale” infrastructuur een aanvalspad wordt.


Kort: Vier verhalen tellen nu: cPanel-servers worden zo snel geraakt dat CISA een federale patchdeadline zette, ConsentFix v3 industrialiseert Azure-tokenroof, Copy Fail zet een enorme Linux-basis met één lokale foothold op root-afstand en Instructure probeert de impact van een nieuw incident nog steeds af te bakenen.


1. cPanel ging bijna direct van kritieke bug naar actief ransomwareprobleem

CVE-2026-41940 is geen “later patchen”-kwestie meer. Aanvallers misbruiken de cPanel- en WHM-auth-bypass op grote schaal, en volgens BleepingComputer wordt die al gebruikt om de Linux-gebaseerde Sorry-ransomware te droppen. The Record meldt dat CISA federale instanties tot 3 mei gaf om te patchen. Dat zegt genoeg over de ernst.


2. ConsentFix v3 maakt Azure-OAuth-diefstal schaalbaarder en overtuigender

ConsentFix was al vervelend omdat het een legitieme Microsoft-authorisatiestroom misbruikt in plaats van wachtwoorden te stelen. Versie 3 voegt automatisering toe: tenantvalidatie, victim profiling, phishinginfrastructuur, real-time tokenuitwisseling via Pipedream en snellere toegang tot Microsoft-resources na compromis. MFA is hier geen geruststellend schild.


3. Copy Fail is precies het soort Linux-bug dat cloud-trustgrenzen stil sloopt

Copy Fail, gevolgd als CVE-2026-31431, treft grote Linux-distributies sinds 2017 en kan een low-privilege gebruiker root geven. Nog erger: het kan ook container escapes mogelijk maken op getroffen hosts. Theori vond het via AI-ondersteunde analyse, CERT-EU drong aan op snel patchen en de brede platformimpact zet dit bovenaan de weekendlijst van elk serieus infrateam.


4. Het incident bij Instructure herinnert eraan dat onderwijsplatforms high-value doelen blijven

Instructure meldde een nieuw cybersecurity-incident en onderzoekt de impact nog met externe forensische hulp. Onderhoud aan Canvas Data 2 en Canvas Beta, plus waarschuwingen rond tools die van API-sleutels afhangen, maken dit operationeel relevant nog voordat alle feiten bekend zijn. Onderwijsplatforms bevatten enorme hoeveelheden student- en personeelsdata; onduidelijkheid is hier gewoon risico.


Wat securityteams vandaag moeten doen

  1. Patch cPanel en WHM nu en onderzoek daarna op compromise in plaats van alleen versiechecks te doen.
  2. Breid detectie rond Azure-OAuth-misbruik uit, vooral bij tokenuitgifte en verdachte consentworkflows.
  3. Zet Copy Fail helemaal vooraan in de Linux- en containerhost-patchqueue.
  4. Beoordeel operationele blootstelling aan Instructure en bereid je voor op vervolgimpact rond API’s, data en trust.

Bronnen


Kortom: Vandaag draait niet om één flashy zero-day. Het draait om routine-infrastructuur die bewijst dat trust shortcuts geen stand houden tegen gemotiveerde aanvallers.

Vind de trustbreuken voordat aanvallers ze aan elkaar rijgen

KENSAI helpt teams blootgestelde adminpaden, riskante identity-flows en infrastructuurzwaktes te vinden voordat ze veranderen in ransomware, tokenroof of volledige hostcompromis.

Start gratis scan →

Blijf scherp.

🗡️ KENSAI Security Team