Noord-Amerika
Cisco
Cisco heeft gebruikers gewaarschuwd voor twee kwetsbaarheden in Catalyst SD-WAN Manager (voorheen bekend als SD-WAN vManage) die momenteel actief worden misbruikt.
De bekendgemaakte kwetsbaarheden zijn:
- CVE-2026-20122 (CVSS-score: 7,1) – Een kwetsbaarheid waardoor willekeurige bestanden kunnen worden overschreven, waardoor een geauthenticeerde externe aanvaller willekeurige bestanden op het lokale bestandssysteem kan overschrijven. Voor een succesvolle exploitatie zijn geldige alleen-lezen inloggegevens met API-toegang op het getroffen systeem vereist.
- CVE-2026-20128 (CVSS-score: 5,5) – Een kwetsbaarheid in de informatieverschaffing waardoor een geauthenticeerde lokale aanvaller gebruikersrechten voor Data Collection Agent (DCA) op het getroffen systeem kan verkrijgen. Voor een succesvolle exploitatie zijn geldige vManage-inloggegevens vereist.
Het bedrijf heeft geen details verstrekt over de omvang van de aanvallen of de betrokken bedreigers. De bekendmaking komt een week nadat Cisco meldde dat een kritieke kwetsbaarheid in Cisco Catalyst SD-WAN Controller en Catalyst SD-WAN Manager, bijgehouden als CVE-2026-20127 met een CVSS-score van 10,0, werd misbruikt door een geavanceerde bedreigingsactor, bekend als UAT-8616, om permanente toegang te verkrijgen tot hoogwaardige organisaties.
BronHoe het uw bedrijf kan beïnvloeden
Aangezien deze kwetsbaarheden al actief worden misbruikt, moeten gebruikers zo snel mogelijk updaten naar een gerepareerde softwareversie. Organisaties moeten ook de toegang vanaf onbeveiligde netwerken beperken, apparaten achter een firewall plaatsen, HTTP-toegang voor het Catalyst SD-WAN Manager-beheerdersportaal uitschakelen en diensten zoals HTTP en FTP uitschakelen wanneer deze niet nodig zijn. Het wijzigen van standaardbeheerderswachtwoorden en het nauwlettend controleren van systeemlogboeken op onverwacht inkomend of uitgaand verkeer kan ook helpen om verdachte activiteiten vroegtijdig op te sporen.
Verenigde Staten
Tennessee Valley Electric Cooperative (TVEC)
Cybercriminelen blijven zich richten op kritieke infrastructuur. De ransomwaregroep Qilin beweert dat het Tennessee Valley Electric Cooperative (TVEC), een Amerikaanse elektriciteitscoöperatie, heeft gehackt.
TVEC, gevestigd in Savannah, Tennessee, levert elektriciteit aan klanten in de provincies Wayne en Hardin in West-Tennessee. De coöperatie heeft niet publiekelijk gereageerd op de eisen van de ransomwarebende. Op basis van eerdere aanvallen van de groep zou de gestolen data echter werknemersinformatie, klantgegevens of interne organisatiedocumenten kunnen bevatten.
De groep heeft zich eerder gericht op andere Amerikaanse elektriciteitscoöperaties, waaronder Karnes Electric Cooperative en San Bernard Electric Cooperative, vorig jaar.
BronHoe het uw bedrijf kan beïnvloeden
Kritieke infrastructuurorganisaties worden steeds vaker het doelwit van cybercriminelen en nationale actoren die essentiële diensten willen verstoren of gevoelige operationele gegevens willen stelen. Om hun verdediging te versterken, moeten organisaties kritieke netwerken segmenteren, continu toezicht houden op verdachte activiteiten en regelmatig hun back-up- en noodherstelplannen testen om hun operationele veerkracht te behouden.
Noord-Amerika
Wikimedia Foundation
De Wikimedia Foundation, de non-profitorganisatie die Wikipedia host, kreeg op 5 maart te maken met een ernstig beveiligingsincident waarbij een zichzelf verspreidende JavaScript-worm betrokken was.
Het probleem kwam aan het licht nadat gebruikers een golf van geautomatiseerde bewerkingen opmerkten waarbij verborgen scripts werden ingevoegd en willekeurige pagina's werden vernield. De worm wijzigde gebruikersscripts en beschadigde Meta-Wiki-pagina's. Volgens de Phabricator-issue tracker van Wikimedia lijkt de aanval te zijn begonnen toen een kwaadaardig script dat op de Russische Wikipedia werd gehost, werd uitgevoerd, waardoor een wereldwijd JavaScript-script op Wikipedia werd gewijzigd met kwaadaardige code.
Het kwaadaardige script, dat voor het eerst werd geüpload in maart 2024, zou verband houden met scripts die werden gebruikt bij eerdere aanvallen op wikiprojecten.
BronHoe het uw bedrijf kan beïnvloeden
Zelfverspreidende JavaScript-wormen zijn bijzonder gevaarlijk omdat ze misbruik maken van het vertrouwen in open-sourcecode en zich automatisch kunnen verspreiden over ontwikkelomgevingen. Organisaties moeten afhankelijkheden van derden streng controleren, pakketintegriteitscontroles afdwingen en repositories monitoren op ongebruikelijke wijzigingen om te voorkomen dat kwaadaardige code zich verspreidt via de softwaretoeleveringsketen.
Verenigde Staten
AkzoNobel
De Nederlandse verfproducent AkzoNobel heeft bevestigd dat hackers het netwerk van een van zijn Amerikaanse vestigingen hebben gehackt, nadat er gegevens waren gelekt door de Anubis-ransomwarebende.
AkzoNobel is een grote verf- en coatingenfabrikant met bekende merken als Dulux, Sikkens, International en Interpon onder zijn paraplu. De Anubis-ransomwaregroep beweert 170 GB aan gegevens van het bedrijf te hebben gestolen. Voorbeelden die op hun leksite zijn geplaatst, omvatten naar verluidt vertrouwelijke overeenkomsten met vooraanstaande klanten, e-mailadressen, telefoonnummers, privé-e-mailcorrespondentie, scans van paspoorten, documenten over materiaaltests en interne technische specificatiebladen.
Ondertussen verklaarde het bedrijf dat de impact beperkt lijkt en dat het passende maatregelen neemt om mogelijk getroffen partijen op de hoogte te stellen en te ondersteunen.
BronHoe het uw bedrijf kan beïnvloeden
Ransomwaregroepen zoals Anubis werken volgens een ransomware-as-a-service (RaaS)-model, waardoor de drempel voor cybercriminaliteit wordt verlaagd en het zelfs voor minder technische criminelen gemakkelijker wordt om geavanceerde aanvallen uit te voeren. Om deze groeiende ransomwarebedreiging tegen te gaan, moeten organisaties proactieve bedreigingsmonitoring implementeren, versleutelde, regelmatig geteste back-ups bijhouden en ervoor zorgen dat systemen snel kunnen worden hersteld zonder afhankelijk te zijn van losgeldbetalingen.
Verenigde Staten
LexisNexis Juridisch & Professioneel
Data-analyse gigant LexisNexis heeft bevestigd dat zijn Legal & Professional-divisie te maken heeft gehad met een cyberbeveiligingsincident, nadat de cybercriminaliteitsgroep Fulcrumsec de verantwoordelijkheid voor de inbreuk op het bedrijf had opgeëist.
Op 3 maart beweerde de cybercriminaliteitsgroep dat het 2 GB aan gegevens had gestolen van LexisNexis Legal & Professional, waaronder bedrijfsaccountgegevens, inloggegevens van werknemers, geheimen over softwareontwikkeling en persoonlijke informatie van 400.000 personen. De volgende dag, 4 maart, bevestigde het bedrijf het incident en zei dat het de inbreuk had beperkt, waarbij het toevoegde dat noch zijn producten, noch zijn diensten waren aangetast. Volgens het bedrijf was slechts een beperkt aantal servers toegankelijk en bestonden de gegevens die daarop waren opgeslagen voornamelijk uit verouderde informatie van vóór 2020.
De aanvallers zouden de bestanden uit een LexisNexis AWS-instantie hebben geëxfiltreerd door misbruik te maken van een niet-gepatchte React2Shell-kwetsbaarheid.
BronHoe het uw bedrijf kan beïnvloeden
Dit incident onderstreept het belang van proactief patchbeheer, aangezien niet-gepatchte kwetsbaarheden een veelvoorkomend toegangspunt blijven voor aanvallers. Organisaties moeten routinematige patching automatiseren, prioriteit geven aan risicogebaseerde updates voor kritieke systemen en intelligente automatiseringstools gebruiken om risicovolle kwetsbaarheden te identificeren en te verhelpen voordat ze kunnen worden misbruikt.
