剣 KENSAI
← Back to archive

Dagelijks dreigingsbriefing

2026-03-27 · Vrijdag · W13
Samengesteld uit BleepingComputer, The Hacker News, SecurityWeek & meer bronnen
4
Kritieke CVEs
3
Datalekken
2
Actieve exploits
6
Dreigingscampagnes

🔓 Datalekken & inbreuken

Hightower Holding datalek — 130.000 getroffen

26 mrtSecurityWeek
HOGE IMPACT

Financieel holdingbedrijf Hightower onthulde dat hackers namen, burgerservicenummers en rijbewijsnummers uit hun omgeving hebben geëxfiltreerd. Ongeveer 130.000 personen zijn getroffen. Het lek benadrukt de aanhoudende targeting van financiële dienstverleners die grote persoonsgegevensets beheren.

KENSAI Take: Financiële dienstverleners blijven topdoelwitten. Bedrijven die persoonsgegevens op grote schaal verwerken hebben continue kwetsbaarheidsmonitoring nodig — precies wat KENSAIs geautomatiseerde scanning biedt.

securityweek.com

Ajax Amsterdam FC — Fangegevens blootgesteld, ticketkaping

26 mrtBleepingComputer
GEMIDDELD

De Nederlandse voetbalclub AFC Ajax onthulde een inbreuk waarbij een hacker kwetsbaarheden in zijn IT-systemen exploiteerde en toegang kreeg tot persoonlijke gegevens van enkele honderden fans. De toegang maakte ticketkapingsmogelijkheden mogelijk. Dit toont aan hoe zelfs «niet-technische» organisaties te maken krijgen met geavanceerde aanvallen wanneer zij consumentengegevens bezitten.

bleepingcomputer.com

LeakBase-beheerder gearresteerd in Rusland

25–26 mrtMeerdere bronnen
RECHTSHANDHAVING

De Russische politie arresteerde een inwoner van Taganrog die vermoedelijk de eigenaar is van LeakBase, een groot cybercrimeforum voor de handel in gestolen databases en hackingtools, operationeel sinds 2021. Technische apparatuur werd in beslag genomen. Afzonderlijk werd de vermoedelijke beheerder van de RedLine infostealer, Hambardzum Minasyan, uitgeleverd van Armenië aan de VS om strafrechtelijke aanklachten te ondergaan.

thehackernews.com

🚨 Kritieke CVEs & kwetsbaarheden

CVE-2026-33017 — Langflow AI Framework RCE (CVSS 9.3)

ACTIEF MISBRUIKTCISA KEV
KRITIEK 9.3

CISA heeft CVE-2026-33017 toegevoegd aan zijn catalogus van bekende misbruikte kwetsbaarheden. De fout treft Langflow ≤1.8.1, een populair open-source AI-workflowframework (145K GitHub-sterren). Maakt niet-geauthenticeerde remote code execution mogelijk via een enkele gemanipuleerde HTTP-aanvraag door niet-gesandboxde flow-uitvoering. Misbruik begon slechts 20 uur na openbaarmaking — er bestond geen publieke PoC; aanvallers hebben exploits reverse-engineered uitsluitend op basis van het advies. Geautomatiseerd scannen → misbruik → dataverzameling (.env, .db-bestanden) vond plaats binnen 24 uur.

KENSAI Take: AI-infrastructuur wordt een primair aanvalsoppervlak. Misbruiktijdlijnen van 20 uur betekenen dat organisaties continue geautomatiseerde scanning nodig hebben, geen kwartaalpentetests. Dit is KENSAIs kernwaardepropositie.

bleepingcomputer.com

PolyShell — Magento/Adobe Commerce niet-geauthenticeerde RCE

MASSAAL MISBRUIK56,7% van kwetsbare winkels
KRITIEK

Een nieuwe kwetsbaarheid genaamd PolyShell treft Magento Open Source en Adobe Commerce, waardoor niet-geauthenticeerde bestandsupload naar RCE via de REST API mogelijk is. Onder massaal misbruik sinds 19 maart, met meer dan 50 scannende IP's. Sansec meldt dat 56,7% van de kwetsbare winkels is aangevallen. Een nieuwe WebRTC-gebaseerde betaalskimmer werd via dit vector ingezet, waarbij Content Security Policy wordt omzeild door DTLS-versleutelde UDP-kanalen te gebruiken in plaats van HTTP. Patch alleen beschikbaar in bèta (2.4.9-beta1).

KENSAI Take: E-commerceplatforms zijn kritieke infrastructuur voor bedrijven. De WebRTC-exfiltratietechniek omzeilt traditionele CSP — DAST-tools die alleen HTTP monitoren zullen dit volledig missen. KENSAIs multi-vectoraanpak detecteert wat traditionele scanners missen.

thehackernews.com

BIND DNS — Ernstige OOM-kwetsbaarheden

26 mrtSecurityWeek
HOOG

ISC heeft updates uitgebracht die ernstige kwetsbaarheden in BIND DNS-resolvers verhelpen. Speciaal gemaakte domeinen konden out-of-memory-condities veroorzaken die leiden tot geheugenlekken en mogelijke denial of service. DNS-infrastructuurbeheerders moeten onmiddellijk patchen.

securityweek.com

Cisco IOS — Meerdere kwetsbaarheden gepatcht

26 mrtSecurityWeek
HOOG

Cisco heeft patches uitgebracht voor meerdere kwetsbaarheden in IOS-software, die fouten verhelpen die konden leiden tot denial of service, omzeiling van secure boot, informatieblootstelling en privilege-escalatie. Netwerkinfrastructuur met Cisco IOS dient bijgewerkt te worden.

securityweek.com

Apple iOS/macOS 26.4 — Beveiligingsupdates

26 mrtSecurityWeek
GEMIDDELD

Apple heeft beveiligingsfixes uitgebracht voor iOS/macOS 26.4, plus backports voor oudere versies: iOS 18.7.7, iPadOS 18.7.7, macOS Sequoia 15.7.5 en macOS Sonoma 14.8.5. Update alle Apple-apparaten direct.

securityweek.com

☠️ Dreigingscampagnes & malware

Red Menshen (China) — Diep in telecom-backbone via BPFDoor

26 mrtThe Hacker News / Rapid7
APTSTAATSGESTUURD

De China-gelieerde dreigingsactor Red Menshen (Earth Bluecrow / DecisiveArchitect) heeft kernel-level implantaten en passieve backdoors diep in telecomnetwerken in het Midden-Oosten en Azië ingebed sinds 2021. Rapid7 beschreef deze als «enkele van de meest onopvallende digitale slapercellen» ooit aangetroffen. De BPFDoor-implantaten maken persistente langdurige spionage tegen overheidsnetwerken mogelijk via compromittering van telecominfrastructuur.

KENSAI Take: Staatsgestuurde actoren die op kernel-niveau opereren in telecom-backbones — NIS2-naleving vereist dat organisaties precies dit soort toeleveringsketenrisico's meewegen. Telecomaanbieders in de DACH-regio moeten hun blootstelling beoordelen.

thehackernews.com

Sandworm (Rusland) — Backdoors via illegale software

26 mrtThe Hacker News
APTSTAATSGESTUURD

De Russische APT Sandworm verspreidt backdoors (Tambur, Sumbur, Kalambur, DemiMur) via illegale software zoals «Microsoft.Office.2025x64». Gebruikt Telegram als distributiemiddel gericht op Oekraïense gebruikers die softwarecracks zoeken. DemiMur forceert de import van vervalste rootcertificaten in de OS-truststore, waardoor persistente manipulatie van de vertrouwensketen mogelijk wordt.

thehackernews.com

Coruna iOS Exploit Framework — Evolutie van Operation Triangulation

26 mrtBleepingComputer
ZERO-CLICK

Het Coruna exploit kit is geïdentificeerd als een evolutie van het framework dat werd gebruikt bij Operation Triangulation, de campagne uit 2023 die iPhones aanviel via zero-click iMessage-exploits. Dit vertegenwoordigt de voortdurende ontwikkeling van geavanceerde mobiele exploitcapaciteiten.

bleepingcomputer.com

Keenadu — Android firmware-level backdoor verspreidt zich

26 mrtSophos / The Hacker News
FIRMWARE

Sophos detecteerde Keenadu, een firmware-backdoor ingebed in Androids libandroid_runtime.so die zich injecteert in het Zygote-proces (ouder van alle Android-apps), waardoor aanvallers totale apparaatcontrole krijgen. Meer dan 500 gecompromitteerde apparaten over ~50 modellen gedetecteerd, voornamelijk budgetapparaten van Allview, BLU, Dcode, DOOGEE en anderen. Wordt vooraf geïnstalleerd vanuit de fabriek verzonden.

thehackernews.com

TeamPCP — OSS toeleveringsketen compromittering over ecosystemen

26 mrtSecurityWeek
TOELEVERINGSKETEN

De dreigingsgroep TeamPCP breidde uit van het compromitteren van GitHub Action-tags (aanvankelijk Trivy) naar aanvallen op NPM, Docker Hub, VS Code Extensions en PyPI. De groep zou zich hebben samengevoegd met Lapsus$ voor bredere toeleveringsketenaanvallen over meerdere pakket-ecosystemen.

securityweek.com

TikTok for Business — Phishingcampagne met bot-ontwijking

26 mrtBleepingComputer
PHISHING

Nieuwe phishingcampagne gericht op TikTok for Business-accounts die anti-bottechnieken gebruikt om beveiligingstools te verhinderen kwaadaardige pagina's te analyseren. Zakelijke accounts op sociale media blijven waardevolle doelwitten voor het stelen van inloggegevens.

bleepingcomputer.com

VK sanctioneert Xinbi-marktplaats

26 mrtBleepingComputer
SANCTIES

Het VK sanctioneerde Xinbi, een Chinestalige crypto-marktplaats die gestolen gegevens en satellietinternetapparatuur verkoopt aan oplichtersnetwerken in Zuidoost-Azië. Verbonden met «pig butchering»-oplichting en andere georganiseerde fraudeoperaties.

bleepingcomputer.com

🛡️ Beveiligingstools & industrie

RSAC 2026 Conferentie — Aankondigingen Dag 2

26 mrtSecurityWeek
RSAC 2026

De RSAC 2026 is gaande met belangrijke leveranciersaankondigingen. Kernthema's omvatten door AI aangedreven beveiligingsoperaties, post-quantum cryptografie-gereedheid en identiteitsgerichte verdedigingsstrategieën.

securityweek.com

Dell & HP — Quantumbestendige apparaatbeveiliging

26 mrtSecurityWeek
PQC

Zowel Dell als HP kondigden nieuwe quantumbestendige beveiligingsmogelijkheden aan voor pc's en printers, in lijn met Googles recent gepubliceerde PQC-migratietijdlijn 2029. Google integreert ML-DSA (Module-Lattice-Based Digital Signature Algorithm) in het geverifieerde opstartproces van Android 17.

securityweek.com

GitHub — AI-aangedreven kwetsbaarheidsdetectie

26 mrtThe Hacker News
AI SECURITY

GitHub kondigde AI-aangedreven beveiligingsdetecties aan in GitHub Code Security, als aanvulling op CodeQL om kwetsbaarheden te vinden die traditionele statische analyse mist. Het hybride detectiemodel toont problemen en voorgestelde oplossingen binnen pull request-workflows. Publieke preview verwacht begin Q2 2026.

thehackernews.com

Onit Security — $11M voor exposure management

26 mrtSecurityWeek
FINANCIERING

Onit Security haalde $11M op om te investeren in zijn exposure management-platform en uit te breiden naar nieuwe sectoren. De exposure management-markt blijft investeringen aantrekken naarmate organisaties zoeken naar continue zichtbaarheid in hun aanvalsoppervlak.

securityweek.com

FCC verbiedt in het buitenland gemaakte consumentenrouters

26 mrtSecurityWeek
REGELGEVING

De FCC verbood nieuwe consumentenrouters die buiten de VS zijn vervaardigd, onder verwijzing naar risico's voor de nationale veiligheid. Het verbod sluit aan bij een bepaling van het Witte Huis dat alle in het buitenland geproduceerde routers een veiligheidsbedreiging vormen. Aanzienlijke gevolgen voor de toeleveringsketen van de netwerkindustrie.

securityweek.com

📊 Opkomende patronen

1. AI-infrastructuur is het nieuwe aanvalsoppervlak

CVE-2026-33017 (Langflow) misbruikt in 20 uur. AI-workflowtools zijn blootgesteld aan internet, vaak niet gepatcht, en bevatten API-sleutels en cloudcredentials. Verwacht meer AI-specifieke CVEs naarmate de adoptie versnelt. Organisaties die AI-tools implementeren moeten deze als kritieke infrastructuur behandelen.

2. CSP-omzeiling via niet-HTTP-kanalen

De WebRTC-betaalskimmer vertegenwoordigt een paradigmaverschuiving: aanvallers gebruiken DTLS-versleutelde UDP-datakanalen om gegevens te exfiltreren die volledig onzichtbaar zijn voor HTTP-gerichte beveiligingstools. CSP alleen is niet langer voldoende. Beveiligingsmonitoring moet verder reiken dan HTTP om WebRTC, WebSocket en andere browser-API's te dekken.

3. Toeleveringsketenaanvallen worden ecosysteemoverschrijdend

De uitbreiding van TeamPCP van GitHub Actions → NPM → Docker Hub → VS Code → PyPI toont dat aanvallers het gehele OSS-ecosysteem als één aanvalsoppervlak behandelen. Het compromitteren van één pakketbeheerder biedt houvast in anderen. SBOM en afhankelijkheidsmonitoring zijn nu essentieel, niet optioneel.

4. Tijdlijn post-quantum cryptografie wordt concreet

Googles PQC-migratietermijn 2029 + Dell/HP hardware-aankondigingen + Android 17 ML-DSA-integratie signaleren dat PQC overgaat van theoretisch naar praktisch. «Sla nu op, ontcijfer later»-aanvallen maken dit een huidige, geen toekomstige bedreiging. NIS2-plichtige organisaties moeten beginnen met PQC-gereedheidbeoordelingen.

5. Identiteit blijft de zwakste schakel

PwC's onderzoek bevestigt dat AI de snelheid en schaal van aanvallen versterkt, terwijl identiteitsdiefstal evolueert naar een volledige cybercriminele toeleveringsketen. De uitlevering van de RedLine-beheerder en de sluiting van LeakBase tonen hoe geïndustrialiseerd credentialsdiefstal is geworden. MFA-omzeilingstechnieken blijven zich ontwikkelen naast AITM-phishingkits.

6. Compromittering op firmware-niveau op grote schaal

Keenadu die vooraf geïnstalleerd wordt op meer dan 500 apparaten over 50 modellen toont dat firmware-toeleveringsketenaanvallen reëel en wijdverbreid zijn. Budgetapparaten blijven vectoren voor massasurveillance. Organisaties met BYOD-beleid lopen verhoogd risico door gecompromitteerde consumentenhardware.