CISA markeert Apple, Craft CMS, Laravel-bugs in KEV, bestelt patching vóór 3 april 2026

Cyberbeveiliging
CISA markeert Apple, Craft CMS, Laravel-bugs in KEV, bestelt patching vóór 3 april 2026

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft vrijdag vijf beveiligingsfouten met gevolgen voor Apple, Craft CMS en Laravel Livewire toegevoegd aan de Known Exploited Vulnerabilities (KEV)-catalogus, en heeft er bij federale instanties op aangedrongen deze vóór 3 april 2026 te patchen.

De kwetsbaarheden die zijn uitgebuit, worden hieronder vermeld:

  • CVE-2025-31277 (CVSS-score: 8,8) – Een kwetsbaarheid in Apple WebKit die kan leiden tot geheugenbeschadiging bij het verwerken van kwaadwillig vervaardigde webinhoud. (Opgelost in juli 2025)
  • CVE-2025-43510 (CVSS-score: 7,8) – Een kwetsbaarheid voor geheugenbeschadiging in de kernelcomponent van Apple, waardoor een kwaadaardig programma onverwachte veranderingen kan veroorzaken in het geheugen dat tussen processen wordt gedeeld. (Opgelost in december 2025)
  • CVE-2025-43520 (CVSS-score: 8,8) – Een kwetsbaarheid voor geheugenbeschadiging in de kernelcomponent van Apple, waardoor een kwaadaardig programma onverwachte systeembeëindiging kan veroorzaken of kernelgeheugen kan schrijven. (Opgelost in december 2025)
  • CVE-2025-32432 (CVSS-score: 10,0) – Een kwetsbaarheid voor code-injectie in Craft CMS waardoor een aanvaller op afstand willekeurige code kan uitvoeren. (Opgelost in april 2025)
  • CVE-2025-54068 (CVSS-score: 9,8) – Een kwetsbaarheid voor code-injectie in Laravel Livewire waardoor niet-geverifieerde aanvallers in specifieke scenario’s opdrachten op afstand kunnen uitvoeren. (Opgelost in juli 2025)

De toevoeging van de drie kwetsbaarheden van Apple aan de KEV-catalogus komt in de nasleep van rapporten van Google Threat Intelligence Group (GTIG), iVerify en Lookout over een iOS-exploitkit met de codenaam DarkSword die deze tekortkomingen, samen met drie bugs, gebruikt om verschillende malwarefamilies zoals GHOSTBLADE, GHOSTKNIFE en GHOSTSABER in te zetten voor gegevensdiefstal.

Volgens Orange Cyberdefense SensePost wordt CVE-2025-32432 sinds februari 2025 als een zero-day uitgebuit door onbekende dreigingsactoren. Sindsdien is er ook waargenomen dat een inbraakset die wordt gevolgd als Mimo (ook bekend als Hezb) de kwetsbaarheid misbruikt om een ​​cryptocurrency-mijnwerker en residentiële proxyware in te zetten.

De lijst wordt afgerond met CVE-2025-54068, waarvan de exploitatie onlangs werd gemarkeerd door het Ctrl-Alt-Intel Threat Research-team als onderdeel van aanvallen van de Iraanse staatsgesponsorde hackgroep MuddyWater (ook bekend als Boggy Serpens).

In een rapport dat eerder deze week werd gepubliceerd, riep Palo Alto Networks Unit 42 de consistente targeting van de tegenstander op diplomatieke en kritieke infrastructuur, waaronder energie, maritiem en financieel, in het Midden-Oosten en andere strategische doelen wereldwijd.

“Hoewel social engineering het bepalende kenmerk blijft, vergroot de groep ook haar technologische capaciteiten”, aldus Unit 42. “De gevarieerde toolset omvat onder meer door AI verbeterde malware-implantaten die anti-analysetechnieken bevatten voor persistentie op de lange termijn. Deze combinatie van social engineering en snel ontwikkelde tools creëert een krachtig dreigingsprofiel.”

“Ter ondersteuning van zijn grootschalige social engineering-campagnes maakt Boggy Serpens gebruik van een op maat gemaakt, webgebaseerd orkestratieplatform”, aldus Unit 42. “Deze tool stelt operators in staat om massale e-mailbezorging te automatiseren en tegelijkertijd de gedetailleerde controle over de identiteit van de afzender en de doellijsten te behouden.”

De groep, toegeschreven aan het Iraanse Ministerie van Inlichtingen en Veiligheid (MOIS), richt zich voornamelijk op cyberspionage, hoewel deze ook in verband is gebracht met ontwrichtende operaties gericht op het Technion Israel Institute of Technology door de DarkBit-ransomware-persona aan te nemen.

Een van de bepalende kenmerken van het vakmanschap van MuddyWater is het gebruik van gekaapte accounts van officiële overheids- en bedrijfsentiteiten bij spearphishing-aanvallen, en het misbruik van vertrouwde relaties om op reputatie gebaseerde blokkeringssystemen te omzeilen en malware te leveren.

In een aanhoudende campagne tegen een niet bij naam genoemd nationaal maritiem en energiebedrijf in de VAE tussen 16 augustus 2025 en 11 februari 2026 zou de bedreigingsacteur vier verschillende aanvalsgolven hebben uitgevoerd, die hebben geleid tot de inzet van verschillende malwarefamilies, waaronder GhostBackDoor en Nuso (ook bekend als HTTP_VIP). Enkele van de andere opmerkelijke tools in het arsenaal van de bedreigingsacteur zijn onder meer UDPGangster en LampoRAT (ook bekend als CHAR).

“De recente activiteit van Boggy Serpens is een voorbeeld van een volwassener wordend dreigingsprofiel, nu de groep haar gevestigde methodologieën integreert met verfijnde mechanismen voor operationele volharding”, aldus Unit 42. “Door zijn ontwikkelingspijplijn te diversifiëren met moderne codeertalen zoals Rust en AI-ondersteunde workflows, creëert de groep parallelle sporen die de redundantie garanderen die nodig is om een ​​hoog operationeel tempo aan te houden.”

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Magento PolyShell Flaw maakt niet-geverifieerde uploads, RCE en accountovername mogelijk

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]