Kennisbank
Insights
Alerts!
ZeroDay kwetsbaarheden verholpen in Ivanti Endpoint Manager Mobile
Ivanti heeft twee kwetsbaarheden verholpen in Endpoint Manager Mobile (EPMM), ok wel bekend als MobileIron. De kwetsbaarheden stellen een ongeauthenticeerde kwaadwillende in staat om willekeurige code uit te voeren op het kwetsbare systeem. Van de kwetsbaarheid met kenmerk CVE-2026-1281 meldt Ivanti dat deze actief is misbruikt bij een zeer beperkt aantal klanten. Er is geen Proof-of-Concept-code publiek beschikbaar, maar het NCSC verwacht dat deze spoedig publiek kan verschijnen, waardoor de kans op grootschalig misbruik zal toenemen.
Kwetsbaarheden verholpen in SolarWinds Web Help Desk
SolarWinds heeft kwetsbaarheden verholpen in SolarWinds Web Help Desk. De kwetsbaarheden omvatten onder andere de mogelijkheid voor ongeauthenticeerde aanvallers om toegang te krijgen tot beperkte functionaliteiten binnen het systeem, het gebruik van hardcoded credentials die ongeautoriseerde toegang tot administratieve functies kunnen verlenen, en kwetsbaarheden gerelateerd aan onbetrouwbare data-deserialisatie die mogelijk op afstand code-executie kunnen mogelijk maken. Daarnaast is er een kwetsbaarheid die het mogelijk maakt om authenticatiemechanismen te omzeilen, wat kan leiden tot ongeautoriseerde toegang en de mogelijkheid om specifieke acties binnen het systeem uit te voeren.
Kwetsbaarheden verholpen in Fortinet producten
Fortinet heeft kwetsbaarheden verholpen in FortiOS, FortiProxy, FortiWeb en FortiSwitchManager. De kwetsbaarheden stellen ongeauthenticeerde aanvallers in staat om toegang te krijgen tot de systemen door gebruik te maken van verschillende technieken, waaronder het omzeilen van FortiCloud SSO-login authenticatie via speciaal vervaardigde SAML-berichten, het behouden van actieve SSLVPN-sessies ondanks een wachtwoordwijziging, en het uitvoeren van ongeautoriseerde operaties via vervalste HTTP- of HTTPS-verzoeken. Dit kan leiden tot ongeautoriseerde toegang tot gevoelige API-gegevens en andere netwerkbronnen. **update 16-12-25**: Onderzoekers melden actief misbruik waar te nemen van de kwetsbaarheden met kenmerk CVE-2025-59718 en CVE-59719. Deze kwetsbaarheden stellen kwaadwillenden in staat om de Single Sign On te omzeilen en zo toegang te krijgen tot de kwetsbare systemen. De onderzoekers hebben Indicators of Compromise (IoC's) gepubliceerd om misbruik te kunnen onderzoeken. Het NCSC adviseert zo spoedig mogelijk de updates van Fortinet in te zetten, indien dit nog niet is gedaan, eventueel de mitigerende maatregelen in te zetten en middels de gepubliceerde IoC's te onderzoeken of misbruik heeft plaatsgevonden en op basis daarvan de administrator accounts het password van te roteren. Het NCSC adviseert aanvullend om te overwegen de open sessies van administrators te sluiten na inzet van de updates. Zie voor detailinformatie van de IoC's: https://arcticwolf.com/resources/blog/arctic-wolf-observes-malicious-sso-logins-following-disclosure-cve-2025-59718-cve-2025-59719/ **update 23-01-26**: De updates werken niet voldoende om te beschermen tegen de FortiCloud single sign-on (SSO) bypass kwetsbaarheden (CVE-2025-59718 en CVE-2025-59719). Er is misbruik van deze kwetsbaarheden waargenomen op systemen die de laatste updates hadden doorgevoerd. Zowel Fortinet als ArcticWolf hebben IoC's en mitigerende maatregelen ter beschikking gesteld. **update 28-01-26**: Bron CERT-AT bijgevoegd, bevat nieuwe IoC's voor onderzoek. Zie voor detailinformatie van de IoC's en mitigerende maatregelen: https://www.fortinet.com/blog/psirt-blogs/analysis-of-sso-abuse-on-fortios & https://arcticwolf.com/resources/blog/arctic-wolf-observes-malicious-configuration-changes-fortinet-fortigate-devices-via-sso-accounts/
Kwetsbaarheid verholpen in Fortinet producten
Fortinet heeft een kwetsbaarheid verholpen in FortiAnalyzer, FortiManager, FortiOS en FortiProxy producten. De kwetsbaarheid bevindt zich in specifieke implementaties van FortiCloud SSO-authenticatie. De kwetsbaarheid stelt aanvallers met een geregistreerd apparaat en een FortiCloud-account in staat om de authenticatie te omzeilen en toegang te krijgen tot andere geregistreerde apparaten wanneer FortiCloud SSO-authenticatie is ingeschakeld. Fortinet heeft aangegeven dat er actief misbruik van de kwetsbaarheid is waargenomen. Fortinet heeft in hun advisory ook indicators-of-compromise (IoC's) beschikbaar gesteld om misbruik van de kwetsbaarheid te onderkennen. Het NCSC adviseert partijen die gebruikmaken van de kwetsbare implementaties om ook middels deze IoC’s terug te kijken in de logging.
Kwetsbaarheid verholpen in SmarterTools SmarterMail
SmarterTools heeft kwetsbaarheden verholpen in SmarterMail. Een kwaadwillende kan de kwetsbaarheden misbruiken om authenticatie te omzeilen en willekeurige code uit te voeren met rechten van de beheerder, en mogelijk SYSTEM. Voor succesvol misbruik moet de kwaadwillende toegang hebben tot de API-interface (met name de `/api/v1/auth/force-reset-password` endpoint) en kan op die manier zonder voorafgaande authenticatie het wachtwoord van een beheerder resetten door middel van een speciaal geprepareerd HTTP-verzoek. Ook kan een kwaadwillende een malafide HTTP-server inrichten, om daarmee een slachtoffer te misleiden deze te bezoeken en zo willekeurige code uit te voeren op de kwetsbare server. Voor de kwetsbaarheid met kenmerk CVE-2026-23760 is Proof-of-Concept-code gepubliceerd en het Amerikaanse CISA heeft de kwetsbaarheid op de Known Exploited Vulnerabilities-lijst geplaatst, wat aangeeft dat de kwetsbaarheid actief is misbruikt.
