Dagelijks Beveiligingsonderzoek
2026-03-22 · Zaterdag 21 maart → Zondag 22 maart · Automatisch gegenereerd om 04:00 CET
⚡ TL;DR — Wat vandaag belangrijk is
- Trivy supply chain-aanval evolueert — nieuwe zelfverspreidende "CanisterWorm" treft 47 npm-pakketten met blockchain-gebaseerde C2
- Oracle noodpatch — CVE-2026-21992 (CVSS 9.8) maakt ongeauthenticeerde RCE mogelijk in Identity Manager
- FBI waarschuwt voor Russische Signal/WhatsApp-phishing — duizenden accounts al gecompromitteerd
- DoJ ontmantelt recordbrekende DDoS-botnets — 3M+ apparaten, 31,4 Tbps-aanvallen verstoord
- CISA-deadline VANDAAG — maximale ernst Cisco FMC-fout CVE-2026-20131 moet vóór 22 maart gepatcht zijn
- Langflow RCE binnen 20 uur misbruikt — CVE-2026-33017 (CVSS 9.3) actief aangevallen
- Navia-datalek treft 2,7 miljoen mensen — persoonlijke en zorgplangegevens gestolen
Trivy Scanner gecompromitteerd — CanisterWorm verspreidt zich naar 47 npm-pakketten
supply chain kritiekDe Trivy-kwetsbaarheidsscanner van Aqua Security werd voor de tweede keer in een maand gecompromitteerd. Dreigingsgroep TeamPCP kaapte 75 GitHub Action-tags in aquasecurity/trivy-action en aquasecurity/setup-trivy, en injecteerde credential-stelende malware in CI/CD-pipelines. Een vervolgaanval implementeerde CanisterWorm, een zelfverspreidende worm die 47 npm-pakketten infecteerde in @EmilGroup, @opengov en andere scopes. De worm gebruikt Internet Computer Protocol (ICP) blockchain-canisters als dead-drop C2-resolvers — het eerste gedocumenteerde geval van deze techniek — waardoor verwijdering extreem moeilijk is. Persistentie via systemd-services die zich voordoen als PostgreSQL-tooling.
Bronnen: The Hacker News · BleepingComputer
Magento PolyShell — Ongeauthenticeerde upload & RCE via REST API
kritiekSansec ontdekte een kritieke fout in Magento's REST API waarmee ongeauthenticeerde aanvallers willekeurige executables vermomd als afbeeldingen kunnen uploaden, wat leidt tot remote code execution en accountovername. De aanval, genaamd PolyShell, misbruikt de verwerking van afbeeldingsbestanden. Er is nog geen publieke exploitatie waargenomen, maar duizenden Magento-sites worden al getroffen door een aparte, lopende defacement-campagne die op 27 februari begon.
Bronnen: The Hacker News · SecurityWeek
CVE-2026-21992 — Oracle Identity Manager ongeauthenticeerde RCE
kritiek CVSS 9.8Oracle bracht een nood-out-of-band-patch uit voor een kritieke ongeauthenticeerde remote code execution-kwetsbaarheid in Identity Manager en Web Services Manager. Geen authenticatie vereist voor exploitatie. Oracle drong aan op onmiddellijke patching.
Bron: The Hacker News
CVE-2026-20131 — Cisco Secure Firewall Management Center (maximale ernst)
kritiek CVSS 10.0CISA beval alle federale agentschappen om deze maximale-ernst Cisco FMC-kwetsbaarheid te patchen vóór vandaag, 22 maart. Details wijzen erop dat het volledige systeemcompromittering mogelijk maakt. Toegevoegd aan CISA's Known Exploited Vulnerabilities-catalogus.
Bron: BleepingComputer
CVE-2026-33017 — Langflow ongeauthenticeerde RCE (misbruikt in 20 uur)
kritiek CVSS 9.3Kritieke ontbrekende authenticatie + code-injectie-fout in Langflow (populaire AI-workflowbouwer). Dreigingsactoren bewapenden de kwetsbaarheid binnen 20 uur na publieke onthulling via het POST /api/v1-endpoint. Benadrukt het krimpende tijdsvenster voor patch-implementatie.
Bron: The Hacker News
CISA voegt Apple, Craft CMS, Laravel Livewire toe aan KEV-catalogus
actief misbruiktVijf extra kwetsbaarheden toegevoegd aan CISA's KEV-catalogus met een patchdeadline van 3 april 2026. Bevat CVE-2025-31277 (Apple, CVSS 8.8) plus fouten in Craft CMS en Laravel Livewire. Allemaal bevestigd onder actieve exploitatie.
Bron: The Hacker News
CVE-2025-32975 — Quest KACE-exploitatie in de onderwijssector
kritiekKritieke kwetsbaarheid in het Quest KACE-systeembeheerapparaat mogelijk misbruikt tegen onderwijssector-doelwitten. Organisaties die Quest KACE gebruiken, moeten onmiddellijk patchen.
Bron: SecurityWeek
FBI/CISA: Russische inlichtingendiensten richten zich op Signal & WhatsApp op grote schaal
staatsactor hoge impactDe FBI en CISA hebben een gezamenlijke openbare waarschuwing uitgegeven dat Russische inlichtingendiensten massale phishing-campagnes voeren tegen Signal- en WhatsApp-gebruikers. Doelwitten zijn onder andere huidige/voormalige Amerikaanse overheidsfunctionarissen, militair personeel, politieke figuren en journalisten. Duizenden accounts al gecompromitteerd. Na toegang te hebben verkregen, bekijken actoren berichten, stelen contacten, imiteren slachtoffers en ketenen verdere phishing vanuit vertrouwde identiteiten. FBI-directeur Kash Patel bevestigde de campagne op X.
Bronnen: The Hacker News · BleepingComputer
VS bevestigt link Handala met Iraanse overheid
staatsactorDe Amerikaanse overheid heeft meerdere domeinen in beslag genomen die door Handala werden gebruikt, en bevestigde hiermee de link met de Iraanse overheid. De groep voerde cyber-ondersteunde psychologische operaties uit. Domeinen werden in een gecoördineerde actie uit de lucht gehaald.
Bron: SecurityWeek
3 mannen aangeklaagd voor smokkelen van AI-hardware naar China
exportcontroleDrie personen aangeklaagd wegens overtreding van Amerikaanse exportcontrolewetten door het beramen van de omleideing van grote hoeveelheden krachtige AI-servers, geassembleerd in de Verenigde Staten, naar China.
Bron: SecurityWeek
DoJ ontmantelt IoT-botnets met 3 miljoen apparaten — Record 31,4 Tbps DDoS
kritiekHet Amerikaanse DoJ, samen met Canadese en Duitse autoriteiten, verstoorde C2-infrastructuur voor AISURU, Kimwolf, JackSkid en Mossad-botnets — die gezamenlijk meer dan 3 miljoen geïnfecteerde IoT-apparaten controleerden (DVR's, smart-tv's, settopboxen). Deze botnets lanceerden recordbrekende DDoS-aanvallen tot 31,4 Tbps. Een enorme coalitie uit de private sector assisteerde (Akamai, AWS, Cloudflare, Google, Oracle, PayPal en meer). Verdachten zijn onder andere een 23-jarige in Canada en een 15-jarige in Duitsland. Geen arrestaties aangekondigd.
Bron: The Hacker News
Navia-datalek — 2,7 miljoen getroffen
grootschaligTussen eind december 2025 en medio januari 2026 stalen hackers persoonlijke en zorgplangegevens uit Navia's omgeving, met impact op 2,7 miljoen personen. Gezondheidszorg- en uitkeringsgegevens gecompromitteerd.
Bron: SecurityWeek
Duizenden Magento-sites getroffen door lopende defacement-campagne
webaanvallenEen massale defacement-campagne die op 27 februari begon, heeft duizenden Magento-gebaseerde e-commerce-sites getroffen, gericht op wereldwijde merken en zelfs overheidsdiensten. Gecombineerd met de nieuwe PolyShell-kwetsbaarheid staan Magento-beheerders voor een serieus dreigingslandschap.
Bron: SecurityWeek
Microsoft Azure Monitor-waarschuwingen misbruikt voor callback-phishing
phishingAanvallers misbruiken Microsoft Azure Monitor-waarschuwingen om callback-phishing-e-mails te versturen die zich voordoen als het Microsoft Security Team. De e-mails waarschuwen voor ongeautoriseerde kosten en lokken slachtoffers om aanvallergecontroleerde telefoonnummers te bellen.
Bron: BleepingComputer
Google Android "Advanced Flow" — 24 uur sideloading-wachttijd
androidGoogle kondigde een nieuw sideloading-mechanisme aan voor Android: apps van niet-geverifieerde ontwikkelaars vereisen nu een verplichte wachttijd van 24 uur voor installatie. Onderdeel van hun ontwikkelaarsverificatiebeleid om malware en scam-app-distributie te verminderen.
Bron: The Hacker News
Operatie Alice — 373.000 Dark Web-sites neergehaald
rechtshandhavingInternationale rechtshandhavingsoperatie sloot meer dan 373.000 dark web-sites die nep illegaal materiaal aanboden.
Bron: BleepingComputer
VK verscherpt eisen voor cyberincidentmelding
regelgevingHet Verenigd Koninkrijk verscherpt de meldingsverplichtingen voor cyberincidenten voor organisaties, in navolging van de NIS2-trend in de EU voor strengere meldingsplichten bij datalekken.
Bron: SecurityWeek
Oasis Security — $120 miljoen voor Agentic Access Management
R&D-uitbreiding voor AI-framework toegangsbeheer en go-to-market-opschaling.
Cape — $100 miljoen voor cellulaire beveiliging
Privacy-gerichte MVNO voor consumenten, bedrijven en overheden.
Eclypsium — $25 miljoen voor apparaat-supply chain-beveiliging
Uitbreiding van firmware- en supply chain-beveiligingsplatformcapaciteiten.
1stProtect — $20 miljoen (stealth exit) voor endpointbeveiliging
Gedragsmonitoring en verificatie van gebruikersintentie om aanvallen in real-time te stoppen.
Allure Security — $17 miljoen voor online merkbescherming
Uitbreiding van het digitale merkbeschermingsplatform.
Belangrijkste trends deze week
1. Supply chain-aanvallen versnellen: Trivy/CanisterWorm toont aan dat aanvallers supply chain-compromissen ketenen — één inbreuk leidt tot zelfverspreidende wormen door hele ecosystemen. Blockchain-gebaseerde C2 (ICP-canisters) maakt verwijdering vrijwel onmogelijk.
2. Tijd-tot-exploitatie krimpt: Langflow CVE-2026-33017 werd binnen 20 uur na onthulling misbruikt. Het patchvenster is effectief nul voor internetgerichte diensten.
3. AI-gestuurde phishing-verfijning neemt toe: Gedragsanalyse wordt essentieel nu AI gepersonaliseerde phishing genereert die verouderde detectie omzeilt. Browsergebaseerde AITM-aanvallen en ClickFix-technieken veroorzaken grote inbreuken.
4. Staatsactoren richten zich op berichtenapps: Russische inlichtingendiensten voeren industriële campagnes tegen versleutelde berichtendiensten (Signal, WhatsApp). Vertrouwensketens worden misbruikt — gecompromitteerde accounts worden gebruikt om contacten te phishen.
5. IoT-botnetschaal bereikt infrastructuurniveaus: 31,4 Tbps DDoS-capaciteit van gecompromitteerde consumetenelektronica. Zelfs na neerhalen blijft de geïnfecteerde apparatenpopulatie bestaan.
6. Aanscherping regelgeving gaat door: VK sluit aan bij NIS2-achtige meldingsverplichtingen. Nalevingslast neemt toe voor EU/VK-organisaties.
Wat dit betekent voor KENSAI-klanten
Supply chain-monitoring: Het Trivy/npm-compromis benadrukt waarom continue afhankelijkheidsscanning belangrijk is. KENSAI's SBOM-analyse en afhankelijkheidscontroles detecteren precies deze patronen.
Urgentie patchbeheer: Met CVE-exploitatievensters die krimpen tot uren (Langflow) en CISA die same-day patches verplicht (Cisco), is geautomatiseerde kwetsbaarheidsscanning niet langer optioneel — het is overleven.
NIS2-rapportage: De verscherpte meldingsregels van het VK weerspiegelen NIS2 Artikel 23. DACH-organisaties staan voor dezelfde verplichtingen. KENSAI's nalevingsrapportagecapaciteiten adresseren deze behoefte direct.
Berichtenbeveiliging: De Russische Signal/WhatsApp-campagne is een wake-up call voor elke organisatie die vertrouwt op consumentenberichtendiensten voor gevoelige communicatie.