剣 KENSAI
← Back to archive

🛡️ KENSAI Security Intelligence

Dinsdag 10 maart 2026 · Dagelijks dreigingsoverzicht

Managementsamenvatting

  • Ericsson US getroffen via hack bij dienstverlener — medewerkers- en klantgegevens gestolen
  • Cisco SD-WAN 0-day (CVE-2026-20127) wordt nu breed misbruikt met publieke PoC
  • CISA voegt iOS-exploitkit-kwetsbaarheden toe — Coruna-kit richt zich op 23 kwetsbaarheden (iOS 13–17.2.1)
  • Russische staatshackers richten zich op Signal- en WhatsApp-accounts van overheidsfunctionarissen
  • ShinyHunters maakt actief misbruik van Salesforce Aura-bug voor gegevensdiefstal
  • FBI onderzoekt verdachte activiteit op gevoelig surveillancesysteem
  • OpenAI lanceert Codex Security — AI-agent scande 1,2 miljoen commits, vond 10.500 ernstige problemen

🔓 Datalekken en incidenten

HIGH IMPACT

Ericsson US meldt datalek na hack bij dienstverlener

Ericsson Inc. (Amerikaanse dochteronderneming) heeft bevestigd dat aanvallers medewerkers- en klantgegevens hebben gestolen na het compromitteren van een externe dienstverlener. De omvang van het lek is niet bekendgemaakt. Dit is opnieuw een supply-chain-aanval die tekortkomingen in leverancierrisicobeheer blootlegt.

CRITICAL

ShinyHunters misbruikt Salesforce Aura voor actieve gegevensdiefstal

Salesforce waarschuwt klanten over verkeerd geconfigureerde Experience Cloud-platforms die gastgebruikers buitensporige datatoegang verlenen. De afpersingsgroep ShinyHunters beweert een nieuwe kwetsbaarheid te misbruiken om actief gegevens te stelen uit Salesforce-instanties, naast het configuratieprobleem.

HIGH IMPACT

FBI onderzoekt inbreuk op gevoelig surveillancesysteem

De FBI onderzoekt "verdachte" cyberactiviteit op een systeem met gevoelige surveillance-informatie. Het bureau heeft het Congres op de hoogte gesteld en werkt aan het bepalen van de omvang en impact. Details blijven geclassificeerd.

HIGH IMPACT

UNC4899 (Noord-Korea) drong cryptobedrijf binnen via getrojaniseerde AirDrop

De Noord-Koreaanse dreigingsactor UNC4899 (ook bekend als Jade Sleet/TraderTraitor) compromitteerde een cryptovaluta-organisatie door een ontwikkelaar via social engineering te misleiden om een getrojaniseerd bestand via AirDrop naar zijn werkapparaat te sturen. Aanvallers bewogen lateraal naar de cloudinfrastructuur met living-off-the-cloud-technieken om miljoenen in cryptovaluta te stelen.

🚨 Kritieke CVE's en kwetsbaarheden

CVSS 10.0 CVE-2026-20127

Cisco Catalyst SD-WAN — Actief misbruikte zero-day

Kwetsbaarheid van maximale ernst in Cisco Catalyst SD-WAN Controller en SD-WAN Manager. Publieke PoC-exploit vrijgegeven. WatchTowr meldt wijdverbreid misbruik vanaf talrijke unieke IP-adressen. Maakt authenticatie-bypass en root-toegang mogelijk. Patch onmiddellijk.

CRITICAL CVE-2026-27944

Nginx UI — Ongeauthenticeerd downloaden en ontsleutelen van back-ups

Kritieke kwetsbaarheid in Nginx UI stelt ongeauthenticeerde aanvallers in staat om volledige systeemback-ups te downloaden en te ontsleutelen, waardoor configuratiebestanden, inloggegevens en gevoelige data worden blootgesteld.

CRITICAL CVE-2026-29058

AVideo-platform — Zero-click opdrachtinjectie

Zero-click-kwetsbaarheid van maximale ernst in het open-source videohostingplatform AVideo stelt aanvallers in staat om willekeurige opdrachten uit te voeren op streamingservers zonder enige gebruikersinteractie.

HIGH CVE-2026-25611

MongoDB — Ongeauthenticeerde servercrash

CVSS 7.5-kwetsbaarheid stelt ongeauthenticeerde aanvallers in staat om blootgestelde MongoDB-servers te laten crashen met minimale bandbreedte. Ontdekt door onderzoekers van Cato CTRL.

CRITICAL CVE-2026-1492

WordPress Membership-plugin — Aanmaken van beheerdersaccounts

De User Registration & Membership-plugin voor WordPress stelt ongeauthenticeerde aanvallers in staat om beveiligingscontroles te omzeilen en beheerdersaccounts aan te maken.

CRITICAL iOS EXPLOIT KIT

CISA voegt kwetsbaarheden van Coruna iOS-exploitkit toe aan KEV

iOS-exploitkit van staatsniveau ("Coruna") richt zich op 23 kwetsbaarheden in iOS 13 tot en met 17.2.1. CISA heeft deze op 5 maart toegevoegd aan de Known Exploited Vulnerabilities-catalogus. Actief misbruik bevestigd.

HIGH

Cisco Secure Firewall Management Center — RCE en authenticatie-bypass

Twee afzonderlijke kritieke waarschuwingen voor Cisco FMC: één maakt uitvoering van externe code mogelijk (maximale ernst), de andere maakt ongeauthenticeerde authenticatie-bypass mogelijk.

HIGH

ExifTool-kwetsbaarheid — Kwaadaardige afbeeldingen activeren code-uitvoering op macOS

Onderzoekers van Kaspersky ontdekten een kwetsbaarheid waarbij kwaadaardige afbeeldingen code-uitvoering op macOS kunnen activeren via ExifTool, wat aannames over de malware-immuniteit van macOS ter discussie stelt.

MEDIUM

Google Chrome noodupdate — 10 beveiligingspatches

Google heeft Chrome Stable bijgewerkt naar 145.0.7632.159, met 10 beveiligingspatches waaronder kritieke problemen.

🕵️ Dreigingsactoren en campagnes

RUSSIA APT

Russische staatshackers kapen Signal- en WhatsApp-accounts

De Nederlandse overheid heeft een waarschuwing uitgegeven: door de Russische staat gesponsorde hackers voeren een phishingcampagne uit gericht op overheidsfunctionarissen, militair personeel en journalisten om hun Signal- en WhatsApp-accounts te kapen en toegang te krijgen tot versleutelde berichten.

CHINA APT

CL-UNK-1068 — Chinese spionage in Aziatische kritieke infrastructuur

Palo Alto Unit 42 onthulde een jarenlange Chinese spionagecampagne (CL-UNK-1068) gericht op luchtvaart, energie, overheid, farmaceutische industrie en telecom in Zuid-, Zuidoost- en Oost-Azië. Maakt gebruik van aangepaste malware, gemodificeerde open-source tools en LOLBINs voor persistentie.

SOCIAL ENGINEERING

Microsoft Teams-phishing levert A0Backdoor-malware af

Aanvallers benaderden medewerkers van financiële en zorginstellingen via Microsoft Teams en misleidden hen om via Quick Assist externe toegang te verlenen om een nieuw type malware genaamd "A0Backdoor" te installeren.

PHISHING

ClickFix-aanval gebruikt Windows Terminal om detectie te omzeilen

Een nieuwe variant van nep-CAPTCHA-phishingpagina's instrueert slachtoffers om kwaadaardige opdrachten in Windows Terminal te plakken in plaats van in het venster Uitvoeren, waardoor traditionele detectiemethoden worden omzeild.

MALWARE

Meer dan 100 GitHub-repo's verspreiden BoryptGrab-stealer

Meer dan 100 GitHub-repositories verspreiden de BoryptGrab-informatiestealer, gericht op browsergegevens, cryptovalutaportefeuilles, systeeminformatie en gebruikersbestanden.

SUPPLY CHAIN

Chrome-extensies worden kwaadaardig na eigendomsoverdracht

Twee Chrome-extensies (QuickLens, ShotBird) werden kwaadaardig na eigendomsoverdracht, waardoor code-injectie en gegevensdiefstal mogelijk werd voor circa 7.800 gebruikers. Benadrukt het voortdurende supply-chain-risico in browserextensie-ecosystemen.

SUPPLY CHAIN

Kwaadaardig npm-pakket installeert RAT (credential stealer)

JFrog ontdekte een kwaadaardig npm-pakket dat systeemcredentials, browsergegevens, cryptoportefeuilles, SSH-sleutels, Apple Keychain en iMessage-geschiedenis steelt. Installeert een persistente RAT met SOCKS5-proxy en live browsersessiekloning. 178 downloads vóór ontdekking.

ZERO-CLICK

Mail2Shell — Zero-click RCE in FreeScout-helpdesk

Kritieke zero-click-kwetsbaarheid in de open-source helpdesksoftware FreeScout stelt aanvallers in staat om mailservers te kapen door simpelweg een speciaal samengestelde e-mail te versturen — geen gebruikersinteractie vereist.

🔧 Beveiligingstools en branche-updates

AI SECURITY

OpenAI lanceert Codex Security-agent

OpenAI heeft Codex Security uitgerold — een AI-aangedreven beveiligingsagent die kwetsbaarheden vindt, valideert en oplossingen voorstelt. In preview scande het 1,2 miljoen commits en vond 10.561 ernstige problemen. Beschikbaar voor ChatGPT Pro/Enterprise/Business/Edu-gebruikers. De eerste maand gratis.

CLOUD SECURITY

Google: cloudaanvallen verschuiven van zwakke inloggegevens naar kwetsbaarheidsexploitatie

Het Google Cloud Threat Horizons H1 2026-rapport onthult dat aanvallers steeds vaker nieuw onthulde kwetsbaarheden in software van derden misbruiken (niet alleen zwakke inloggegevens) om cloudomgevingen te compromitteren. Het exploitatievenster is gekrompen van weken naar dagen.

M&A

Cybersecurity M&A: 42 deals in februari 2026

Grote deals aangekondigd door Check Point, Booz Allen, Proofpoint, Sophos, Palo Alto Networks en Zscaler. De consolidatie in de cybersecuritymarkt gaat in agressief tempo door.

FUNDING

ArmorCode haalt $16 miljoen op voor exposure management

ArmorCode heeft $16 miljoen opgehaald om de platformontwikkeling voor applicatiebeveiligingspostuurbeheer en exposure management te versnellen.

POLICY

Trump-cyberstrategie: tegenstanders, kritieke infrastructuur, opkomende technologieën

De nieuwe Amerikaanse cyberstrategie roept op tot sterkere afschrikking tegen cyberadversarissen, modernisering van federale netwerken, bescherming van kritieke infrastructuur en investeringen in AI en post-kwantumcryptografie.

LEGAL

EU-hof: banken moeten phishingslachtoffers onmiddellijk terugbetalen

De Advocaat-Generaal van het Hof van Justitie van de EU heeft een formeel advies uitgebracht dat banken slachtoffers van ongeautoriseerde transacties door phishing onmiddellijk moeten terugbetalen. Dit kan een bindend precedent worden voor alle EU-lidstaten.

📊 Opkomende dreigingspatronen

Belangrijkste trends deze week

1. Supply-chain-aanvallen versnellen: Kwaadaardige npm-pakketten, eigendomsoverdrachten van Chrome-extensies en compromittering van dienstverleners (Ericsson) — drie verschillende supply-chain-vectoren in 24 uur. Vertrouwensketens zijn het nieuwe aanvalsoppervlak.

2. Cloud-exploitatievenster krimpt: Het rapport van Google bevestigt dat aanvallers nieuw onthulde kwetsbaarheden binnen dagen misbruiken, niet weken. Patching-SLA's moeten in uren worden gemeten voor cloud-blootgestelde diensten.

3. Berichten-apps doelwit van natiestaten: Russische APT's richten zich specifiek op Signal en WhatsApp voor het kapen van accounts. Versleutelde berichtendiensten zijn hoogwaardige doelwitten voor spionage, geen veilige havens.

4. AI-beveiligingstools worden mainstream: De lancering van OpenAI's Codex Security (1,2 miljoen commits gescand) signaleert dat AI-aangedreven kwetsbaarheidsdetectie verschuift van niche naar standaard DevSecOps-tooling. Directe concurrentie voor KENSAI's markt.

5. Cisco-infrastructuur onder vuur: SD-WAN 0-day, Firewall Management RCE en authenticatie-bypass — Cisco-producten vertonen een cluster van kritieke kwetsbaarheden. Organisaties met Cisco-infrastructuur hebben noodpatchingcycli nodig.