← Terug naar blog
Security briefing5 min read2026-05-05

Security briefing, 5 mei 2026: Weaver-RCE, Copy Fail, PyTorch-Lightning-backdoor en Amazon-SES-phishing

Het patroon van vanochtend is aanvallerhefboom via vertrouwde infrastructuur: workflowsoftware, Linux-kernels, ontwikkelaarsafhankelijkheden en legitieme cloudmail werden snelle aanvalspaden zodra teams aannamen dat het kanaal zelf veilig was.


Kort gezegd: Patch Weaver E-cology en Linux-kernels snel, verwijder lightning 2.6.3 overal waar het is geïmporteerd, roteer blootgestelde secrets en behandel Amazon-SES-misbruik als een cloudidentiteitsprobleem in plaats van alleen een mailfilterprobleem.


1. Weaver E-cology laat opnieuw zien dat verborgen debugpaden echte inbraakpaden worden

BleepingComputer meldt dat CVE-2026-22679 in Weaver E-cology sinds half maart wordt uitgebuit. Vega beschrijft een niet-geauthenticeerde RCE via een blootgestelde debug-API die aanvallerparameters liet doorstromen naar backend-RPC-functies en systeemcommando’s. De waargenomen activiteit bestond uit verkenning, PowerShell-payloads en herhaald fileless ophalen van scripts.


2. Copy Fail is al van onderzoeksrelease naar live-root-risico gegaan

CISA voegde CVE-2026-31431, oftewel Copy Fail, een dag na publicatie toe aan de KEV-catalogus. De fout zit in de algif_aead-interface en laat ongeprivilegieerde lokale gebruikers rootrechten krijgen door gecontroleerde bytes naar de page cache van een leesbaar bestand te schrijven. Theori zegt dat dezelfde exploit betrouwbaar werkte op Ubuntu, Amazon Linux, RHEL en SUSE.


3. PyTorch Lightning 2.6.3 maakte van een populaire AI-dependency een secretval bij import

Een kwaadaardige lightning-2.6.3-release op PyPI downloadde automatisch Bun en voerde bij import een versluierde JavaScript-payload uit. Volgens de berichtgeving richtte de payload zich op browserdata, .env-bestanden, API-sleutels, cloud-credentials en ondersteunde die willekeurige commando-uitvoering. Met meer dan 11 miljoen maandelijkse downloads is een beperkte besmetting al genoeg voor een serieus vertrouwensprobleem.


4. Amazon-SES-phishing laat zien hoe cloudvertrouwen reputatiegebaseerde verdediging uitschakelt

Kaspersky ziet een stijging van phishing via Amazon SES, vaak mogelijk gemaakt door gelekte AWS-IAM-sleutels in publieke repositories, .env-bestanden, back-ups, images of open S3-buckets. Omdat de berichten van legitieme SES-infrastructuur komen, passeren ze vaak SPF, DKIM en DMARC en worden traditionele blokkades veel minder effectief.


Wat securityteams vandaag moeten doen

  1. Patch Weaver E-cology en kwetsbare Linux-kernels voordat lager geprioriteerde hygiënewerkzaamheden aan bod komen.
  2. Controleer software-inventarissen en CI-pipelines op lightning 2.6.3 en roteer daarna alle getroffen secrets.
  3. Loop AWS-IAM-blootstellingspaden na en behandel SES-misbruik als een identity- en secretmanagementfout.
  4. Brief responders dat vertrouwde infrastructuur vandaag juist geverifieerd moet worden: debug-endpoints, kernels, packages en cloudmail.

Bronnen


Bottom line: De gedeelde fout vandaag is vals vertrouwen in legitiem ogende kanalen. Het antwoord is saai maar hard: snel patchen, secrets zonder discussie roteren en elk vertrouwd platform verifiëren alsof het al in het aanvalspad zit.

Vind eerst de vertrouwde paden die aanvallers gaan misbruiken

KENSAI helpt teams blootgestelde services, zwakke identitypaden, risicovolle dependencies en cloud-aanvalsoppervlaktes in kaart te brengen voordat vertrouwde infrastructuur incidentbrandstof wordt.

Start gratis scan →

Blijf scherp.

🗡️ KENSAI Security Team