剣 KENSAI
← Back to archive

🛡️ Beveiligingsonderzoek Briefing

31 maart 2026 · Automatisch gegenereerd om 04:00 CET · Bronnen: BleepingComputer, The Hacker News, SecurityWeek, CyberSecurityNews

⚡ TL;DR — Wat vandaag belangrijk is

  • 3 kritieke CVE's actief misbruikt — Citrix NetScaler, F5 BIG-IP en Fortinet FortiClient EMS worden actief aangevallen
  • Europese Commissie gehackt — ShinyHunters claimt meer dan 350 GB aan gestolen data van Europa.eu
  • Datalek in de gezondheidszorg — Patiëntgegevens van CareCloud gestolen bij netwerkinbraak
  • Russische APT-activiteit — Star Blizzard neemt DarkSword iOS-exploitkit in gebruik; nieuwe CTRL-toolkit maakt gebruik van RDP-kaping
  • Supply chain-aanval — Kwaadaardige PyPI-pakketten richten zich op gebruikers van de Telnyx SDK
  • Apple reageert op ClickFix — macOS Tahoe 26.4 voegt plakbescherming toe aan Terminal

🔓 Datalekken en inbraken

Europese Commissie — Europa.eu gehackt door ShinyHunters

Kritiek Overheid Datadiefstal

De Europese Commissie heeft een groot datalek bevestigd nadat de afpersingsgroep ShinyHunters beweerde meer dan 350 GB aan informatie te hebben gestolen uit de cloudsystemen van de Europese Commissie. Het incident is een van de grootste overheidsgerelateerde datadiefstalincidenten in de recente Europese geschiedenis.

SecurityWeek ↗

CareCloud — Patiëntgegevens uit de gezondheidszorg gestolen

Hoog Gezondheidszorg PHI

Het zorgtechnologiebedrijf CareCloud heeft een cyberbeveiligingsincident bekendgemaakt waarbij een van hun elektronische patiëntendossier-omgevingen (EHR) is getroffen. Gevoelige patiëntgegevens zijn blootgesteld tijdens een netwerkstoring van ongeveer acht uur. Het lek treft een onbekend aantal patiënten van wie de beschermde gezondheidsinformatie (PHI) mogelijk is ingezien.

BleepingComputer ↗

FBI-directeur Kash Patel — Persoonlijke e-mail gehackt

Hoog Overheid Iran

De FBI heeft bevestigd dat Iraanse hackers het persoonlijke e-mailaccount van FBI-directeur Kash Patel hebben aangevallen. Een pro-Iraanse hackgroep claimde de verantwoordelijkheid en stelde e-mails en documenten beschikbaar voor download. De VS biedt een beloning van $10 miljoen voor informatie over de hackers. De FBI gaf aan dat de gecompromitteerde informatie verouderd is.

SecurityWeek ↗

🚨 Kritieke CVE's — Actief misbruikt

CVE-2026-3055 — Citrix NetScaler ADC/Gateway Memory Overread

CVSS 9.3 ⚠ ACTIEF MISBRUIKT

Een kritieke memory overread-kwetsbaarheid in Citrix NetScaler ADC en Gateway stelt aanvallers in staat gevoelige informatie te lekken, waaronder sessie-ID's van geauthenticeerde beheerders. Misbruik vereist dat het apparaat is geconfigureerd als SAML Identity Provider. Actief misbruik waargenomen sinds 27 maart.

Actie: Patch onmiddellijk. Controleer SAML IDP-configuraties.

BleepingComputer ↗

F5 BIG-IP APM — DoS herclassificeerd als kritieke RCE

Kritieke RCE ⚠ ACTIEF MISBRUIKT

F5 heeft een BIG-IP APM-kwetsbaarheid herclassificeerd van hoog-risico DoS naar kritieke RCE. Aanvallers plaatsen actief webshells op niet-gepatchte apparaten. CISA heeft deze kwetsbaarheid toegevoegd aan de Known Exploited Vulnerabilities (KEV)-catalogus.

Actie: Patch onmiddellijk. Controleer BIG-IP-instanties op webshells.

BleepingComputer ↗

CVE-2026-21643 — Fortinet FortiClient EMS SQL Injection

Kritiek ⚠ ACTIEF MISBRUIKT

Een kritieke SQL injection-kwetsbaarheid in Fortinets FortiClient Endpoint Management Server (EMS) wordt actief misbruikt in het wild. Dreigingsactoren maken gebruik van deze fout voor initiële toegang tot bedrijfsnetwerken.

Actie: Patch FortiClient EMS onmiddellijk. Controleer EMS-logs op afwijkende queries.

CyberSecurityNews ↗

🔥 Overige belangrijke kwetsbaarheden

Grafana 12.4.2 — Twee kritieke RCE-kwetsbaarheden

Kritiek Monitoring

Twee kritieke kwetsbaarheden in Grafana maken volledige uitvoering van code op afstand mogelijk. Beveiligingsupdates uitgebracht in versie 12.4.2.

CyberSecurityNews ↗

CVE-2026-33660 — n8n Workflow Automation RCE

Kritiek Automatisering

Een kritieke RCE-fout in het populaire open-source workflowautomatiseringsplatform n8n stelt hostservers bloot aan aanvallen met uitvoering van code op afstand.

CyberSecurityNews ↗

CVE-2026-33634 — Aqua Trivy Scanner

Kritiek DevSecOps ⚠ IN KEV

CISA heeft een kritieke kwetsbaarheid in Aqua Security's Trivy-scanner toegevoegd aan de KEV-catalogus. Ironisch genoeg werd een beveiligingsscanner zelf een kwetsbaarheidsvector.

CyberSecurityNews ↗

Vim — Willekeurige opdrachten uitvoeren via kwaadaardige bestanden

Hoog Ontwikkelaarstools

Een ernstige fout in Vim stelt aanvallers in staat willekeurige opdrachten uit te voeren via kwaadaardige bestanden. Ontwikkelaars die Vim gebruiken moeten onmiddellijk updaten.

CyberSecurityNews ↗

Cisco Secure Firewall Management Center — Niet-geauthenticeerde RCE

Kritiek Netwerkbeveiliging

Niet-geauthenticeerde kwetsbaarheid voor uitvoering van code op afstand in Cisco's Secure Firewall Management Center (FMC)-software.

CyberSecurityNews ↗

Synology DiskStation Manager — Uitvoering van opdrachten op afstand

Kritiek NAS

Niet-geauthenticeerde aanvallers op afstand kunnen willekeurige opdrachten uitvoeren op Synology DSM-apparaten.

CyberSecurityNews ↗

Jira Work Management — Opgeslagen XSS

Gemiddeld Atlassian

Een opgeslagen XSS-kwetsbaarheid in Jira Work Management kan leiden tot accountcompromittatie binnen het Atlassian-ecosysteem.

CyberSecurityNews ↗

Claude Chrome-extensie — 0-Click Prompt Injection

Kritiek AI-beveiliging

Een zero-click kwetsbaarheid in Anthropics Claude Chrome-extensie stelde meer dan 3 miljoen gebruikers bloot aan stille prompt injection-aanvallen, waardoor kwaadaardige websites de AI-assistent konden kapen.

CyberSecurityNews ↗

🕵️ Dreigingsactoren en campagnes

Russische APT Star Blizzard — DarkSword iOS-exploitkit

Rusland APT iOS

De door de Russische staat gesponsorde groep Star Blizzard heeft de DarkSword iOS-exploitkit in gebruik genomen en richt zich op overheids-, hoger onderwijs-, financiële en juridische instellingen, evenals denktanks. Dit markeert een opvallende uitbreiding van hun mobiele exploitatiemogelijkheden.

SecurityWeek ↗

Russische CTRL-toolkit — RDP-kaping via FRP-tunnels

Rusland RAT RDP

Een nieuw ontdekte toolkit voor toegang op afstand van Russische oorsprong, genaamd CTRL, wordt verspreid via kwaadaardige LNK-bestanden vermomd als mappen met privésleutels. Gebouwd in .NET, bevat het credential phishing (Windows Hello UI), keylogging, RDP-sessiekaping en reverse proxy-tunneling via Fast Reverse Proxy (FRP).

The Hacker News ↗

Aan China gelinkte APT's — Zuidoost-Aziatische overheid als doelwit

China Spionage APT

Drie aan China gelieerde dreigingsclusters (Mustang Panda, Earth Estries/Crimson Palace, Unfading Sea Haze) voerden een gecoördineerde campagne uit tegen een Zuidoost-Aziatische overheid. Ingezette malware omvat HIUPAN, PUBLOAD, MASOL RAT, PoshRAT, FluffyGh0st en andere — wat wijst op een goed gefinancierde, aanhoudende operatie.

The Hacker News ↗

Iran — Cyberoperaties in oorlogscontext

Iran Hybride oorlogsvoering

Aan Iran gelinkte hackgroepen schakelen over op cyberaanvallen met hoog volume en lage impact, versterkt door kunstmatige intelligentie. Doelwitten zijn onder meer ziekenhuizen, infrastructuur en civiele systemen in een evoluerend conflictlandschap.

SecurityWeek ↗

📦 Supply chain en malware

TeamPCP supply chain-aanval — Telnyx SDK vergiftigd op PyPI

Hoog Supply chain PyPI

Twee kwaadaardige versies van de populaire Telnyx SDK werden geüpload naar het PyPI-register, gericht op Windows-, macOS- en Linux-systemen. Onderdeel van de groeiende TeamPCP supply chain-aanvalcampagne.

SecurityWeek ↗

RoadK1ll — Nieuw WebSocket-implantaat voor laterale beweging

Malware Post-exploitatie

Een nieuw geïdentificeerd implantaat genaamd RoadK1ll maakt gebruik van WebSocket-verbindingen om stille laterale beweging mogelijk te maken van gecompromitteerde hosts naar andere systemen op het netwerk.

BleepingComputer ↗

Infiniti Stealer — Cloudflare-thema ClickFix gericht op Macs

macOS Infostealer

Een Cloudflare-thema ClickFix-aanval installeert Infiniti Stealer op Macs via valse CAPTCHA-pagina's, Bash-scripts, een Nuitka-loader en een op Python gebaseerde infostealer. Apples macOS Tahoe 26.4 bevat nu Terminal-plakwaarschuwingen specifiek om ClickFix-technieken tegen te gaan.

SecurityWeek ↗

🛠️ Beveiligingstools en verdediging

Apple macOS Tahoe 26.4 — Terminal-plakbescherming

Verdediging macOS

Apple heeft een nieuwe beveiligingsfunctie geïntroduceerd in macOS Tahoe 26.4 die het plakken en uitvoeren van mogelijk schadelijke opdrachten in Terminal blokkeert, als directe maatregel tegen de ClickFix social engineering-techniek die gebruikers ertoe verleidt kwaadaardige opdrachten te plakken.

BleepingComputer ↗

Huskeys — Startup voor edge-beveiligingsbeheer ($8 miljoen financiering)

Startup Edge-beveiliging

Huskeys kwam uit stealth-modus met $8 miljoen aan financiering en bouwt een edge security management (ESM)-platform — een AI-engine bovenop de gehele edge-beveiligingsstack.

SecurityWeek ↗

Google stelt kwantumdeadline vast op 2029

Quantum Cryptografie

Google heeft een interne deadline van 2029 vastgesteld voor kwantumgerelateerde beveiligingsgereedheid, wat aangeeft dat de migratietijdlijnen naar post-kwantumcryptografie steeds strakker worden.

SecurityWeek ↗

📈 Opkomende patronen en trends

LLM's ondermijnen toegangscontrole

AI-risico IAM

SecurityWeek benadrukt een groeiende zorg: LLM's kunnen complexe toegangscontrolebeleiden (Rego, Cedar) in seconden genereren, maar een enkele ontbrekende voorwaarde of gehallucineerd attribuut kan stilletjes least-privilege beveiligingsmodellen ontmantelen. Organisaties die AI gebruiken om toegangsbeleid te schrijven moeten de output behandelen als onbetrouwbare code die grondige beoordeling vereist.

Browsergebaseerde aanvallen omzeilen traditionele controles

Browserbeveiliging AITM

Een rapport van Push Security beschrijft hoe browsergebaseerde aanvallen — AITM-phishing, ClickFix, kwaadaardige OAuth-apps en sessiekaping — grote datalekken veroorzaken terwijl bestaande beveiligingscontroles ze niet detecteren. De browser wordt het primaire aanvalsoppervlak.

CVE's in netwerkapparatuur onder snelle massale exploitatie

Patroon Edge-apparaten

Het rapport van vandaag toont 3 afzonderlijke leveranciers van netwerkapparatuur (Citrix, F5, Fortinet) met kritieke CVE's die gelijktijdig actief worden misbruikt. Het venster tussen openbaarmaking en misbruik blijft krimpen. Het patchen van edge-apparaten is niet optioneel — het is een race.

Staatsgesponsorde mobiele exploitatie breidt zich uit

APT Mobiel

De adoptie van de DarkSword iOS-exploitkit door Star Blizzard signaleert dat Russische APT's hun mobiele aanvalscapaciteiten uitbreiden. Gecombineerd met Irans AI-versterkte aanvalsschaling breiden offensieve capaciteiten van natiestaten zich sneller uit dan de defensieve dekking.