剣 KENSAI
← Back to archive
🛡️ KENSAI THREAT INTELLIGENCE

Dagelijks Beveiligingsonderzoek

2026-03-22 · Zaterdag 21 maart → Zondag 22 maart · Automatisch gegenereerd om 04:00 CET

⚡ TL;DR — Wat vandaag belangrijk is

  • Trivy supply chain-aanval evolueert — nieuwe zelfverspreidende "CanisterWorm" treft 47 npm-pakketten met blockchain-gebaseerde C2
  • Oracle noodpatch — CVE-2026-21992 (CVSS 9.8) maakt ongeauthenticeerde RCE mogelijk in Identity Manager
  • FBI waarschuwt voor Russische Signal/WhatsApp-phishing — duizenden accounts al gecompromitteerd
  • DoJ ontmantelt recordbrekende DDoS-botnets — 3M+ apparaten, 31,4 Tbps-aanvallen verstoord
  • CISA-deadline VANDAAG — maximale ernst Cisco FMC-fout CVE-2026-20131 moet vóór 22 maart gepatcht zijn
  • Langflow RCE binnen 20 uur misbruikt — CVE-2026-33017 (CVSS 9.3) actief aangevallen
  • Navia-datalek treft 2,7 miljoen mensen — persoonlijke en zorgplangegevens gestolen
🔗 Supply Chain-aanvallen

Trivy Scanner gecompromitteerd — CanisterWorm verspreidt zich naar 47 npm-pakketten

supply chain kritiek

De Trivy-kwetsbaarheidsscanner van Aqua Security werd voor de tweede keer in een maand gecompromitteerd. Dreigingsgroep TeamPCP kaapte 75 GitHub Action-tags in aquasecurity/trivy-action en aquasecurity/setup-trivy, en injecteerde credential-stelende malware in CI/CD-pipelines. Een vervolgaanval implementeerde CanisterWorm, een zelfverspreidende worm die 47 npm-pakketten infecteerde in @EmilGroup, @opengov en andere scopes. De worm gebruikt Internet Computer Protocol (ICP) blockchain-canisters als dead-drop C2-resolvers — het eerste gedocumenteerde geval van deze techniek — waardoor verwijdering extreem moeilijk is. Persistentie via systemd-services die zich voordoen als PostgreSQL-tooling.

Bronnen: The Hacker News · BleepingComputer

Magento PolyShell — Ongeauthenticeerde upload & RCE via REST API

kritiek

Sansec ontdekte een kritieke fout in Magento's REST API waarmee ongeauthenticeerde aanvallers willekeurige executables vermomd als afbeeldingen kunnen uploaden, wat leidt tot remote code execution en accountovername. De aanval, genaamd PolyShell, misbruikt de verwerking van afbeeldingsbestanden. Er is nog geen publieke exploitatie waargenomen, maar duizenden Magento-sites worden al getroffen door een aparte, lopende defacement-campagne die op 27 februari begon.

Bronnen: The Hacker News · SecurityWeek

🚨 Kritieke CVE's & Patches

CVE-2026-21992 — Oracle Identity Manager ongeauthenticeerde RCE

kritiek CVSS 9.8

Oracle bracht een nood-out-of-band-patch uit voor een kritieke ongeauthenticeerde remote code execution-kwetsbaarheid in Identity Manager en Web Services Manager. Geen authenticatie vereist voor exploitatie. Oracle drong aan op onmiddellijke patching.

Bron: The Hacker News

CVE-2026-20131 — Cisco Secure Firewall Management Center (maximale ernst)

kritiek CVSS 10.0

CISA beval alle federale agentschappen om deze maximale-ernst Cisco FMC-kwetsbaarheid te patchen vóór vandaag, 22 maart. Details wijzen erop dat het volledige systeemcompromittering mogelijk maakt. Toegevoegd aan CISA's Known Exploited Vulnerabilities-catalogus.

Bron: BleepingComputer

CVE-2026-33017 — Langflow ongeauthenticeerde RCE (misbruikt in 20 uur)

kritiek CVSS 9.3

Kritieke ontbrekende authenticatie + code-injectie-fout in Langflow (populaire AI-workflowbouwer). Dreigingsactoren bewapenden de kwetsbaarheid binnen 20 uur na publieke onthulling via het POST /api/v1-endpoint. Benadrukt het krimpende tijdsvenster voor patch-implementatie.

Bron: The Hacker News

CISA voegt Apple, Craft CMS, Laravel Livewire toe aan KEV-catalogus

actief misbruikt

Vijf extra kwetsbaarheden toegevoegd aan CISA's KEV-catalogus met een patchdeadline van 3 april 2026. Bevat CVE-2025-31277 (Apple, CVSS 8.8) plus fouten in Craft CMS en Laravel Livewire. Allemaal bevestigd onder actieve exploitatie.

Bron: The Hacker News

CVE-2025-32975 — Quest KACE-exploitatie in de onderwijssector

kritiek

Kritieke kwetsbaarheid in het Quest KACE-systeembeheerapparaat mogelijk misbruikt tegen onderwijssector-doelwitten. Organisaties die Quest KACE gebruiken, moeten onmiddellijk patchen.

Bron: SecurityWeek

🎯 Staatsactoren & Spionage

FBI/CISA: Russische inlichtingendiensten richten zich op Signal & WhatsApp op grote schaal

staatsactor hoge impact

De FBI en CISA hebben een gezamenlijke openbare waarschuwing uitgegeven dat Russische inlichtingendiensten massale phishing-campagnes voeren tegen Signal- en WhatsApp-gebruikers. Doelwitten zijn onder andere huidige/voormalige Amerikaanse overheidsfunctionarissen, militair personeel, politieke figuren en journalisten. Duizenden accounts al gecompromitteerd. Na toegang te hebben verkregen, bekijken actoren berichten, stelen contacten, imiteren slachtoffers en ketenen verdere phishing vanuit vertrouwde identiteiten. FBI-directeur Kash Patel bevestigde de campagne op X.

Bronnen: The Hacker News · BleepingComputer

VS bevestigt link Handala met Iraanse overheid

staatsactor

De Amerikaanse overheid heeft meerdere domeinen in beslag genomen die door Handala werden gebruikt, en bevestigde hiermee de link met de Iraanse overheid. De groep voerde cyber-ondersteunde psychologische operaties uit. Domeinen werden in een gecoördineerde actie uit de lucht gehaald.

Bron: SecurityWeek

3 mannen aangeklaagd voor smokkelen van AI-hardware naar China

exportcontrole

Drie personen aangeklaagd wegens overtreding van Amerikaanse exportcontrolewetten door het beramen van de omleideing van grote hoeveelheden krachtige AI-servers, geassembleerd in de Verenigde Staten, naar China.

Bron: SecurityWeek

🤖 Botnets & DDoS

DoJ ontmantelt IoT-botnets met 3 miljoen apparaten — Record 31,4 Tbps DDoS

kritiek

Het Amerikaanse DoJ, samen met Canadese en Duitse autoriteiten, verstoorde C2-infrastructuur voor AISURU, Kimwolf, JackSkid en Mossad-botnets — die gezamenlijk meer dan 3 miljoen geïnfecteerde IoT-apparaten controleerden (DVR's, smart-tv's, settopboxen). Deze botnets lanceerden recordbrekende DDoS-aanvallen tot 31,4 Tbps. Een enorme coalitie uit de private sector assisteerde (Akamai, AWS, Cloudflare, Google, Oracle, PayPal en meer). Verdachten zijn onder andere een 23-jarige in Canada en een 15-jarige in Duitsland. Geen arrestaties aangekondigd.

Bron: The Hacker News

💀 Datalekken

Navia-datalek — 2,7 miljoen getroffen

grootschalig

Tussen eind december 2025 en medio januari 2026 stalen hackers persoonlijke en zorgplangegevens uit Navia's omgeving, met impact op 2,7 miljoen personen. Gezondheidszorg- en uitkeringsgegevens gecompromitteerd.

Bron: SecurityWeek

Duizenden Magento-sites getroffen door lopende defacement-campagne

webaanvallen

Een massale defacement-campagne die op 27 februari begon, heeft duizenden Magento-gebaseerde e-commerce-sites getroffen, gericht op wereldwijde merken en zelfs overheidsdiensten. Gecombineerd met de nieuwe PolyShell-kwetsbaarheid staan Magento-beheerders voor een serieus dreigingslandschap.

Bron: SecurityWeek

🎣 Phishing & Social Engineering

Microsoft Azure Monitor-waarschuwingen misbruikt voor callback-phishing

phishing

Aanvallers misbruiken Microsoft Azure Monitor-waarschuwingen om callback-phishing-e-mails te versturen die zich voordoen als het Microsoft Security Team. De e-mails waarschuwen voor ongeautoriseerde kosten en lokken slachtoffers om aanvallergecontroleerde telefoonnummers te bellen.

Bron: BleepingComputer

📱 Platform- & Tool-updates

Google Android "Advanced Flow" — 24 uur sideloading-wachttijd

android

Google kondigde een nieuw sideloading-mechanisme aan voor Android: apps van niet-geverifieerde ontwikkelaars vereisen nu een verplichte wachttijd van 24 uur voor installatie. Onderdeel van hun ontwikkelaarsverificatiebeleid om malware en scam-app-distributie te verminderen.

Bron: The Hacker News

Operatie Alice — 373.000 Dark Web-sites neergehaald

rechtshandhaving

Internationale rechtshandhavingsoperatie sloot meer dan 373.000 dark web-sites die nep illegaal materiaal aanboden.

Bron: BleepingComputer

VK verscherpt eisen voor cyberincidentmelding

regelgeving

Het Verenigd Koninkrijk verscherpt de meldingsverplichtingen voor cyberincidenten voor organisaties, in navolging van de NIS2-trend in de EU voor strengere meldingsplichten bij datalekken.

Bron: SecurityWeek

💰 Financiering beveiligingsindustrie

Oasis Security — $120 miljoen voor Agentic Access Management

R&D-uitbreiding voor AI-framework toegangsbeheer en go-to-market-opschaling.

Cape — $100 miljoen voor cellulaire beveiliging

Privacy-gerichte MVNO voor consumenten, bedrijven en overheden.

Eclypsium — $25 miljoen voor apparaat-supply chain-beveiliging

Uitbreiding van firmware- en supply chain-beveiligingsplatformcapaciteiten.

1stProtect — $20 miljoen (stealth exit) voor endpointbeveiliging

Gedragsmonitoring en verificatie van gebruikersintentie om aanvallen in real-time te stoppen.

Allure Security — $17 miljoen voor online merkbescherming

Uitbreiding van het digitale merkbeschermingsplatform.

📊 Opkomende dreigingspatronen

Belangrijkste trends deze week

1. Supply chain-aanvallen versnellen: Trivy/CanisterWorm toont aan dat aanvallers supply chain-compromissen ketenen — één inbreuk leidt tot zelfverspreidende wormen door hele ecosystemen. Blockchain-gebaseerde C2 (ICP-canisters) maakt verwijdering vrijwel onmogelijk.

2. Tijd-tot-exploitatie krimpt: Langflow CVE-2026-33017 werd binnen 20 uur na onthulling misbruikt. Het patchvenster is effectief nul voor internetgerichte diensten.

3. AI-gestuurde phishing-verfijning neemt toe: Gedragsanalyse wordt essentieel nu AI gepersonaliseerde phishing genereert die verouderde detectie omzeilt. Browsergebaseerde AITM-aanvallen en ClickFix-technieken veroorzaken grote inbreuken.

4. Staatsactoren richten zich op berichtenapps: Russische inlichtingendiensten voeren industriële campagnes tegen versleutelde berichtendiensten (Signal, WhatsApp). Vertrouwensketens worden misbruikt — gecompromitteerde accounts worden gebruikt om contacten te phishen.

5. IoT-botnetschaal bereikt infrastructuurniveaus: 31,4 Tbps DDoS-capaciteit van gecompromitteerde consumetenelektronica. Zelfs na neerhalen blijft de geïnfecteerde apparatenpopulatie bestaan.

6. Aanscherping regelgeving gaat door: VK sluit aan bij NIS2-achtige meldingsverplichtingen. Nalevingslast neemt toe voor EU/VK-organisaties.

🇪🇺 NIS2 & KENSAI-relevantie

Wat dit betekent voor KENSAI-klanten

Supply chain-monitoring: Het Trivy/npm-compromis benadrukt waarom continue afhankelijkheidsscanning belangrijk is. KENSAI's SBOM-analyse en afhankelijkheidscontroles detecteren precies deze patronen.

Urgentie patchbeheer: Met CVE-exploitatievensters die krimpen tot uren (Langflow) en CISA die same-day patches verplicht (Cisco), is geautomatiseerde kwetsbaarheidsscanning niet langer optioneel — het is overleven.

NIS2-rapportage: De verscherpte meldingsregels van het VK weerspiegelen NIS2 Artikel 23. DACH-organisaties staan voor dezelfde verplichtingen. KENSAI's nalevingsrapportagecapaciteiten adresseren deze behoefte direct.

Berichtenbeveiliging: De Russische Signal/WhatsApp-campagne is een wake-up call voor elke organisatie die vertrouwt op consumentenberichtendiensten voor gevoelige communicatie.