Beveiligingsonderzoek
⚡ Samenvatting — Wat Vandaag Belangrijk Is
- Trivy supply chain-aanval escaleert: zelfverspreidende malware CanisterWorm infecteert nu meer dan 47 npm-pakketten via gecompromitteerde GitHub Actions
- Noodpatch van Oracle: CVE-2026-21992 (CVSS 9.8) — niet-geauthenticeerde RCE in Identity Manager, patch onmiddellijk
- DoJ ontmantelt recordbrekende DDoS-botnets: meer dan 3 miljoen apparaten in 4 IoT-botnets uitgeschakeld (pieken tot 31,4 Tbps)
- FBI waarschuwt voor Russische Signal/WhatsApp-phishing: duizenden accounts al gecompromitteerd, gericht op overheid en militairen
- Langflow CVE-2026-33017 binnen 20 uur misbruikt: CVSS 9.3, niet-geauthenticeerde RCE in de AI-pipelinetool
- Navia-datalek legt 2,7 miljoen records bloot: persoonlijke gegevens en zorgverzekeringsdata gestolen tussen december 2025 en januari 2026
Trivy Scanner-compromittering veroorzaakt CanisterWorm — 47 npm-pakketten geïnfecteerd
KritiekDe supply chain-aanval op de Trivy-kwetsbaarheidsscanner door dreigingsgroep TeamPCP is dramatisch geëscaleerd. De aanvallers compromitteerden GitHub Actions aquasecurity/trivy-action en aquasecurity/setup-trivy, kaapten 75 tags om CI/CD-geheimen te stelen. Een vervolgaanval installeerde CanisterWorm, een zelfverspreidende worm die ICP-canisters (fraudebestendige smart contracts) gebruikt en zich inmiddels heeft verspreid naar 47 npm-pakketten, waardoor indamming uiterst moeilijk is.
VoidStealer omzeilt Chrome Application-Bound Encryption via debugger-truc
HoogEen nieuwe info-stealer genaamd VoidStealer gebruikt een innovatieve techniek om Chrome's Application-Bound Encryption (ABE) te omzeilen en de browser-mastersleutel te extraheren. Dit maakt het mogelijk om alle opgeslagen wachtwoorden, cookies en gevoelige gegevens te ontsleutelen. De op debugger gebaseerde aanpak vertegenwoordigt een evolutie in technieken voor het stelen van inloggegevens die de nieuwste beschermingen van Chrome omzeilt.
CVE-2026-21992 — Oracle Identity Manager Niet-geauthenticeerde RCE (CVSS 9.8)
KritiekOracle heeft een nood-out-of-band-patch uitgebracht voor een kritieke niet-geauthenticeerde kwetsbaarheid voor uitvoering van code op afstand in Identity Manager en Web Services Manager. Het lek vereist geen authenticatie en is op afstand te misbruiken. Organisaties die Oracle Identity Manager gebruiken, moeten onmiddellijk patchen — dit is een nooduitgave buiten de reguliere kwartaalcyclus.
CVE-2026-33017 — Langflow Niet-geauthenticeerde RCE Binnen 20 Uur Misbruikt
KritiekEen kritieke kwetsbaarheid in Langflow (CVSS 9.3), de populaire AI-pipelinetool, werd binnen slechts 20 uur na openbare bekendmaking in het wild misbruikt. Het lek combineert ontbrekende authenticatie met code-injectie om uitvoering van code op afstand te bereiken via het POST /api/v1-endpoint. Actief misbruik bevestigd — patch of haal onmiddellijk offline.
CVE-2026-20131 — Cisco Secure Firewall Management Center (maximale ernst)
KritiekCISA heeft federale instanties opgedragen om vóór 22 maart een kwetsbaarheid met maximale ernst in Cisco Secure Firewall Management Center (FMC) te patchen. Deze is toegevoegd aan de KEV-catalogus, wat bevestigd misbruik aangeeft. Organisaties die Cisco FMC gebruiken, moeten onmiddellijk de patchstatus verifiëren.
CISA voegt Apple-, Craft CMS- en Laravel Livewire-kwetsbaarheden toe aan KEV
HoogCISA heeft vijf actief misbruikte kwetsbaarheden toegevoegd aan de catalogus van Bekende Misbruikte Kwetsbaarheden: CVE-2025-31277 (Apple, CVSS 8.8) en kwetsbaarheden in Craft CMS en Laravel Livewire. Federale instanties moeten vóór 3 april 2026 patchen. Actief misbruik is bevestigd.
Magento PolyShell — Niet-geauthenticeerde RCE via REST API-beeldupload
KritiekSansec onthulde "PolyShell", een kritiek lek in Magento's REST API waarmee niet-geauthenticeerde aanvallers willekeurige uitvoerbare bestanden vermomd als afbeeldingen kunnen uploaden, waarmee ze code-uitvoering en accountovername bereiken. Duizenden Magento-sites worden al aangevallen in een lopende defacement-campagne die e-commerceplatforms en wereldwijde merken treft sinds 27 februari.
Quest KACE-kwetsbaarheid misbruikt tegen de onderwijssector
HoogEen kritieke kwetsbaarheid in Quest KACE (CVE-2025-32975) wordt mogelijk misbruikt bij aanvallen op de onderwijssector. Quest KACE wordt veel gebruikt voor systeembeheer en endpointbeveiliging in scholen en universiteiten.
Navia-datalek — 2,7 miljoen records gestolen
HoogHet bedrijf voor uitkeringsadministratie Navia maakte een datalek bekend dat 2,7 miljoen personen treft. Tussen eind december 2025 en half januari 2026 exfiltreerden hackers persoonlijke informatie en gegevens van zorgverzekeringen. Dit is een van de grootste datalekken in de zorgsector gerapporteerd in het eerste kwartaal van 2026.
FBI: Russische inlichtingendienst richt zich op Signal en WhatsApp in massale phishingcampagne
HoogDe FBI en CISA hebben een gezamenlijke waarschuwing uitgegeven dat aan Russische inlichtingendiensten gelieerde dreigingsactoren phishingcampagnes uitvoeren tegen gebruikers van Signal en WhatsApp. Doelwitten zijn huidige en voormalige Amerikaanse overheidsfunctionarissen, militair personeel, politieke figuren en journalisten. Duizenden accounts zijn al gecompromitteerd. Aanvallers krijgen volledige toegang tot berichten en contacten en gebruiken gecompromitteerde accounts voor verdere phishing vanuit vertrouwde identiteiten.
Azure Monitor-waarschuwingen misbruikt voor callback-phishing
GemiddeldMicrosoft Azure Monitor-waarschuwingen worden ingezet om legitiem ogende callback-phishing-e-mails te versturen die zich voordoen als het Microsoft Security Team. De e-mails waarschuwen voor "ongeautoriseerde kosten" en gebruiken het vertrouwen in de Azure-infrastructuur om e-mailbeveiligingsfilters te omzeilen.
VS bevestigt band van Handala met de Iraanse overheid, neemt domeinen in beslag
GemiddeldDe Verenigde Staten hebben officieel bevestigd dat de hackgroep Handala opereert namens de Iraanse overheid en hebben meerdere domeinen in beslag genomen die werden gebruikt voor hun cybergestuurde psychologische operaties.
3 mannen aangeklaagd voor smokkel van AI-hardware naar China
IntelDrie personen zijn aangeklaagd voor het overtreden van Amerikaanse exportcontrolewetten door het plannen van het omleiden van grote hoeveelheden krachtige AI-servers van de VS naar China, wat de aanhoudende spanningen rond AI-technologietransfers benadrukt.
DoJ ontmantelt 4 IoT-botnets — 3 miljoen apparaten, record DDoS van 31,4 Tbps
IntelHet Amerikaanse DoJ heeft samen met Canada en Duitsland de C2-infrastructuur van de AISURU-, Kimwolf-, JackSkid- en Mossad-botnets ontmanteld. Deze botnets hadden meer dan 3 miljoen IoT-apparaten (DVR's, camera's, routers, smart-tv's) tot slaaf gemaakt en recordbrekende DDoS-aanvallen gelanceerd met pieken tot 31,4 Tbps. Partners uit de privésector waren onder meer Akamai, AWS, Cloudflare, Google en anderen. De beheerder van het Kimwolf-botnet is gelinkt aan een 23-jarige uit Ottawa; ook een 15-jarige in Duitsland wordt verdacht. Er zijn nog geen arrestaties aangekondigd.
Operatie Alice — 373.000 dark web-sites offline gehaald
IntelDe internationale rechtshandhavingsoperatie "Operatie Alice" heeft meer dan 373.000 dark web-sites offline gehaald. Dit is een van de grootste gecoördineerde ontmantelingen van illegale dark web-infrastructuur tot op heden.
Beveiligingsstartups halen deze week meer dan $282 miljoen op
IntelBelangrijke financieringsrondes in de beveiligingssector deze week:
- Oasis Security — $120 miljoen voor agentisch toegangsbeheer
- Cape — $100 miljoen voor cellulaire beveiliging / privacygerichte MVNO
- Eclypsium — $25 miljoen voor supply chain-beveiliging van apparaten
- 1stProtect — $20 miljoen (stealth) voor endpoint-gedragsmonitoring
- Allure Security — $17 miljoen voor online merkbescherming
Belangrijkste Trends Deze Week
Analyse1. Supply chain-aanvallen versnellen: De Trivy-compromittering + CanisterWorm vertegenwoordigt een nieuw paradigma — zelfverspreidende wormen in pakketecosystemen met blockchain-gebaseerde C2. CI/CD-pipelines zijn nu een primair aanvalsoppervlak.
2. Tijd tot misbruik krimpt: Langflow CVE-2026-33017 werd binnen 20 uur na bekendmaking bewapend. Verdedigers hebben minder dan een dag om te reageren op kritieke bekendmakingen — geautomatiseerd patchen is niet langer optioneel.
3. Aanvalsoppervlak van AI-tools breidt uit: Zowel Langflow (AI-pipelinetool) als de aanklachten voor AI-hardwaresmokkel benadrukken dat AI-infrastructuur nu een primair doelwit is — zowel de tools als de hardware.
4. Natiestaten richten zich op berichtenapps: Russische inlichtingendiensten die Signal/WhatsApp massaal aanvallen, signaleert een verschuiving van het targeten van e-mail naar het targeten van versleutelde berichtenapps, waarmee het beveiligingsadvies "gebruik gewoon Signal" wordt ondermijnd.
5. Agentische beveiliging komt op: De ophaling van $120 miljoen door Oasis Security voor "agentisch toegangsbeheer" en de bredere trend naar AI-gestuurde beveiligingstools weerspiegelen een sterke inzet van de sector op autonome verdedigingscapaciteiten.
Kansen voor KENSAI Deze Week
- Magento PolyShell: Duizenden e-commercesites getroffen → KENSAI kan dit detecteren via DAST-scanning. Contentkans voor de DACH e-commercemarkt.
- Supply chain-aanvallen: Trivy/CanisterWorm valideert KENSAI's waardepropositie voor SBOM/afhankelijkheidsscanning. NIS2 vereist supply chain-risicobeheer.
- 20-uurs misbruikvenster: Perfect gespreksonderwerp voor KENSAI's pitch voor continue scanning — "Kan uw beveiligingsteam in 20 uur patchen?"
- Oasis $120M-ophaling: Valideert de marktbereidheid voor autonome beveiligingstools — KENSAI's positionering als autonome pentest sluit aan bij de trend.
- Kritieke Oracle/Cisco-patches: Benadrukken in NIS2-compliancecontent — verplichte patchvereisten onder de richtlijn.