De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft dinsdag vier beveiligingsfouten toegevoegd aan zijn Known Exploited Vulnerabilities (KEV)-catalogus, daarbij verwijzend naar bewijs van actieve uitbuiting in het wild.
De lijst met kwetsbaarheden is als volgt:
- CVE-2026-2441 (CVSS-score: 8,8) – Een use-after-free kwetsbaarheid in Google Chrome waardoor een aanvaller op afstand potentieel heap-corruptie kan misbruiken via een vervaardigde HTML-pagina.
- CVE-2024-7694 (CVSS-score: 7.2) – Een kwetsbaarheid bij het uploaden van willekeurige bestanden in TeamT5 ThreatSonar Anti-Ransomware versies 3.4.5 en eerder, waardoor een aanvaller kwaadaardige bestanden kan uploaden en willekeurige uitvoering van systeemopdrachten op de server kan bewerkstelligen.
- CVE-2020-7796 (CVSS-score: 9,8) – Een SSRF-kwetsbaarheid (server-side request forgery) in Synacor Zimbra Collaboration Suite (ZCS) waardoor een aanvaller een vervaardigd HTTP-verzoek naar een externe host kan sturen en ongeautoriseerde toegang tot gevoelige informatie kan verkrijgen.
- CVE-2008-0015 (CVSS-score: 8.8) – Een op stack gebaseerde bufferoverflow-kwetsbaarheid in Microsoft Windows Video ActiveX Control waardoor een aanvaller externe code kan uitvoeren door een speciaal vervaardigde webpagina op te zetten.
De toevoeging van CVE-2026-2441 aan de KEV-catalogus komt dagen nadat Google heeft erkend dat “er in het wild een exploit voor CVE-2026-2441 bestaat.” Het is momenteel niet bekend hoe de kwetsbaarheid wordt bewapend, maar dergelijke informatie wordt doorgaans achtergehouden totdat een meerderheid van de gebruikers is bijgewerkt met een oplossing om te voorkomen dat andere bedreigingsactoren zich aansluiten bij de exploitatie-bandwagon.
Wat CVE-2020-7796 betreft, bleek uit een rapport dat in maart 2025 werd gepubliceerd door het dreigingsinformatiebureau GreyNoise dat een cluster van ongeveer 400 IP-adressen actief misbruik maakte van meerdere SSRF-kwetsbaarheden, waaronder CVE-2020-7796, om zich te richten op gevoelige gevallen in de VS, Duitsland, Singapore, India, Litouwen en Japan.
“Wanneer een gebruiker een webpagina bezoekt die een exploit bevat die is gedetecteerd als Exploit:JS/CVE-2008-0015, kan deze verbinding maken met een externe server en andere malware downloaden”, merkt Microsoft op in zijn bedreigingencyclopedie. Het zegt ook op de hoogte te zijn van gevallen waarin de exploit wordt gebruikt om Dogkild te downloaden en uit te voeren, een worm die zich via verwisselbare schijven verspreidt.
De worm biedt mogelijkheden om extra binaire bestanden op te halen en uit te voeren, bepaalde systeembestanden te overschrijven, een lange lijst met beveiligingsgerelateerde processen te beëindigen en zelfs het Windows Hosts-bestand te vervangen in een poging te voorkomen dat gebruikers toegang krijgen tot websites die aan beveiligingsprogramma’s zijn gekoppeld.
Het is momenteel onduidelijk hoe de TeamT5 ThreatSonar Anti-Ransomware-kwetsbaarheid wordt misbruikt. De agentschappen van de Federal Civilian Executive Branch (FCEB) worden aanbevolen om vóór 10 maart 2026 de nodige oplossingen aan te brengen, voor optimale bescherming.
