Dagelijkse dreigingsbriefing
Woensdag 18–19 maart 2026 · 14 berichten uit 4 bronnen
⚡ Samenvatting — De 5 belangrijkste punten
- «DarkSword» iOS-exploitkit — Staatsactoren gebruiken een keten van 6 kwetsbaarheden voor volledige iPhone-surveillance
- Cisco FMC zero-day (CVE-2026-20131, CVSS 10.0) — Interlock-ransomware misbruikt dit actief sinds januari
- GNU telnetd RCE (CVE-2026-32746, CVSS 9.8) — Niet-geauthenticeerde root-code-uitvoering zonder patch
- Ubuntu root-escalatie (CVE-2026-3888) — Standaardinstallaties van 24.04+ kwetsbaar via systemd-timingbug
- EU-sancties tegen Chinese en Iraanse bedrijven die staatshackoperaties tegen lidstaten ondersteunen
🔓 Datalekken & blootstellingen
Aura bevestigt datalek van 900.000 marketingcontacten
Identiteitsbeschermingsbedrijf Aura bevestigde ongeautoriseerde toegang tot bijna 900.000 klantrecords met namen en e-mailadressen. De ironie dat een identiteitsbeschermingsbedrijf gehackt wordt, onderstreept dat geen enkel bedrijf immuun is.
Marquis: ransomwarebende stal gegevens van 672.000 mensen
De Texaanse financiële dienstverlener Marquis onthulde dat een ransomwarebende gegevens van meer dan 670.000 personen heeft gestolen bij een aanval in augustus 2025 die ook de activiteiten van 74 banken in de Verenigde Staten verstoorde.
UK Companies House stelde gegevens van miljoenen bedrijven bloot
Het Britse overheidsorgaan bevestigde een kwetsbaarheid die misbruikt had kunnen worden om bedrijfsgegevens op te vragen en records te wijzigen van miljoenen geregistreerde ondernemingen.
Iraanse hackers gebruikten gestolen inloggegevens bij Stryker-inbraak
Medtech-gigant Stryker herstelt systemen nadat de Handala-hackgroep, gelinkt aan Iran, via malware gestolen inloggegevens gebruikte om hun netwerk te infiltreren.
🛡️ Kritieke kwetsbaarheden
Cisco FMC zero-day — CVE-2026-20131 (CVSS 10.0)
Onveilige deserialisatie van Java byte-streams in Cisco Secure Firewall Management Center stelt niet-geauthenticeerde externe aanvallers in staat root-toegang te verkrijgen. De Interlock-ransomwarebende misbruikt dit als zero-day sinds eind januari 2026.
KENSAI Impact: Elke organisatie die Cisco FMC draait, moet onmiddellijk patchen. Dit is de hoogst mogelijke ernstniveau en wordt actief ingezet als wapen.
GNU Telnetd RCE — CVE-2026-32746 (CVSS 9.8)
Out-of-bounds schrijfactie in de LINEMODE Set-verwerking van de GNU InetUtils telnet-daemon maakt niet-geauthenticeerde externe code-uitvoering met verhoogde rechten mogelijk. Momenteel niet gepatcht — schakel telnetd uit indien actief.
KENSAI Impact: Legacy-infrastructuur die nog telnetd draait, is volledig blootgesteld. Directe mitigatie: dienst uitschakelen of poort 23 blokkeren met een firewall.
Ubuntu root-escalatie — CVE-2026-3888 (CVSS 7.8)
Een timing-exploit tussen snap-confine en systemd-tmpfiles stelt onbevoegde lokale aanvallers in staat te escaleren naar volledige root op Ubuntu Desktop 24.04+. Vereist een venster van 10–30 dagen maar resulteert in volledige compromittering van de host.
Apple WebKit Same-Origin-bypass — CVE-2026-20643
Een cross-origin probleem in WebKit's Navigation API omzeilt het same-origin beleid op iOS, iPadOS en macOS. Apple heeft het verholpen via hun nieuwe «Background Security Improvements»-mechanisme — de eerste keer dat deze lichtgewicht patchdistributie is gebruikt.
Zimbra XSS-kwetsbaarheid — Actief misbruik, CISA beveelt patching
CISA heeft Amerikaanse federale instanties opgedragen een actief misbruikte XSS-kwetsbaarheid in Zimbra Collaboration Suite te patchen. Overheids-e-mailservers die ZCS gebruiken, lopen risico.
ConnectWise ScreenConnect handtekeningverificatiefout
ConnectWise waarschuwde voor een cryptografische handtekeningverificatie-kwetsbaarheid in ScreenConnect die kan leiden tot ongeautoriseerde toegang en privilege-escalatie. Patch nu beschikbaar.
9 kritieke IP KVM-fouten — Niet-geauthenticeerde root-toegang
Negen kwetsbaarheden bij GL-iNet, Angeet/Yeeso, Sipeed NanoKVM en JetKVM-apparaten. Ontbrekende firmwarevalidatie, geen brute-force bescherming, gebroken toegangscontroles en blootgestelde debug-interfaces maken volledige overname op BIOS-niveau mogelijk.
WhatsApp View Once-bypass #4 — Meta zal niet patchen
Een onderzoeker onthulde de vierde methode om WhatsApp's «Eenmalig bekijken»-functie te omzeilen. Meta bevestigde dat ze het niet zullen verhelpen omdat er een aangepaste client-applicatie voor nodig is.
💀 Ransomware & actieve aanvallen
«DarkSword» iOS-exploitkit — Staatssurveillance
Een nieuwe exploitkit gericht op zes iOS-kwetsbaarheden maakt volledige apparaatcompromittering mogelijk voor surveillance. Gebruikt door staatsgehackers en commerciële spywareleveranciers. Steelt gegevens van cryptocurrency-wallets en andere apps. Dit is een complete exploitketen — geen enkel bug.
KENSAI Impact: Organisaties met waardevolle doelwitten (bestuurders, overheidsfunctionarissen) moeten ervoor zorgen dat alle iOS-apparaten direct worden bijgewerkt.
DPRK IT-werkersnetwerk gesanctioneerd door OFAC
Het Amerikaanse ministerie van Financiën sanctioneerde zes personen en twee entiteiten betrokken bij het Noord-Koreaanse nep-thuiswerkers programma. DPRK-agenten infiltreren bedrijven onder valse identiteiten om inkomsten te genereren voor wapenprogramma's.
EU sanctioneert Chinese en Iraanse bedrijven voor hackoperaties
De EU sanctioneerde twee Chinese personen, twee Chinese bedrijven en één Iraans bedrijf voor het ondersteunen van hackoperaties tegen EU-lidstaten. Significant voor de NIS2-compliance context.
KENSAI Impact: EU-organisaties onder NIS2 moeten hun threat intelligence-feeds bijwerken. Deze sancties valideren het staatsgedreven dreigingsmodel waarvoor NIS2 is ontworpen.
E-mailsysteem van Nordstrom gekaapt voor cryptofraude
Aanvallers misbruikten de legitieme e-mailinfrastructuur van Nordstrom om cryptofraudeberichten naar klanten te sturen, vermomd als een St. Patrick's Day-actie. De berichten omzeilden e-mailauthenticatie omdat ze van echte Nordstrom-adressen kwamen.
🔧 Industrie & tools
XBOW haalt 120 M$ op tegen 1 Mrd$+ waardering — Autonome offensieve beveiliging
Autonoom offensief beveiligingsbedrijf XBOW bereikte unicorn-status met een ronde van 120 M$. Hun AI-platform ontdekt en valideert autonoom softwarekwetsbaarheden — direct concurrentieterrein voor KENSAI's geautomatiseerde pentesting.
KENSAI Impact: Valideert de markt voor AI-aangedreven beveiligingstests. XBOW's waardering van 1 Mrd$+ bewijst de interesse van investeerders. Belangrijkste onderscheidend kenmerk voor KENSAI: meertalige NIS2-compliancefocus vs. XBOW's pure kwetsbaarheidsontdekking.
Cloud security-startup «Native» verlaat stealth-modus — 42 M$ financiering
Cloud security-startup Native haalde 42 M$ op, met voormalig Google Cloud CISO Phil Venables in het bestuur. Focus op cloud-native beveiliging.
Manifold haalt 8 M$ op voor AI-detectie en -respons
Gericht op het beveiligen van autonome AI op endpoints haalde Manifold 8 M$ op om te investeren in productontwikkeling voor AI-specifieke dreigingsdetectie.
Techgiganten investeren 12,5 M$ in open source-beveiliging
Anthropic, AWS, Google, Microsoft en OpenAI financieren de langetermijn beveiligingsinitiatieven van de Linux Foundation gericht op de beveiliging van open source-software.
📡 Opkomende dreigingspatronen
AI-infrastructuur onder aanval — Amazon Bedrock, LangSmith, SGLang
Nieuw onderzoek toont aan dat AI-code-uitvoeringsomgevingen kunnen worden misbruikt via DNS-queries voor data-exfiltratie. De Amazon Bedrock AgentCore-sandbox staat uitgaand DNS toe dat aanvallers exploiteren voor interactieve shells. LangSmith en SGLang zijn ook getroffen. De AI-stack wordt een eersteklas aanvalsoppervlak.
KENSAI Impact: AI-beveiliging is niet langer theoretisch — het is een actief aanvalsoppervlak. Dit valideert KENSAI's positionering rond AI-beveiligingstests. Bedrijven die AI-agents inzetten, hebben beveiligingsscans nodig.
67% van de CISOs heeft beperkt zicht op AI-gebruik
Het 2026-benchmarkrapport van Pentera ontdekte dat 67% van de CISOs beperkt zicht heeft op hoe AI wordt gebruikt binnen hun organisatie. Geen enkele respondent rapporteerde volledig zicht. AI-adoptie loopt voor op beveiligingscontroles — de tools en vaardigheden om AI-systemen te verdedigen stammen uit een vorig tijdperk.
Schaduw-AI in SaaS-apps maakt massale datalekken mogelijk
Schaduw-AI verborgen in SaaS-applicaties creëert ongecontroleerde datapaden. Agentische AI-functies die automatisch worden ingeschakeld in tools die medewerkers al gebruiken, betekenen dat beveiligingsteams geen zicht hebben op welke gegevens worden verwerkt en waar.
Browsergebaseerde aanvallen omzeilen beveiligingscontroles
Het rapport van Push Security belicht AITM-phishing, ClickFix, kwaadaardige OAuth-apps en sessiekaping als de aanvalsvectoren achter de grootste huidige datalekken — allemaal opererend binnen de browser waar traditionele beveiligingstools beperkt zicht hebben.
Magecart evolueert: payloads verborgen in EXIF-data van dynamische favicons
Nieuwe Magecart-techniek verbergt kwaadaardige payloads in EXIF-data van dynamisch geladen favicons van derden. Omdat de schadelijke code nooit de repository raakt, zal geen enkele statische codescanner — ook niet AI-aangedreven — het detecteren. Alleen clientside runtime-monitoring vangt dit op.