NCSC Alerts

Oracle heeft kwetsbaarheden verholpen in diverse database producten en subsystemen, zoals de Core Database, Graal, Application Express, GoldenGate en REST data. De kwetsbaarheden bevinden zich in verschillende componenten van de Oracle Database, waaronder de Data Mining component en de Java VM. Deze kwetsbaarheden stellen laaggeprivilegieerde geauthenticeerde gebruikers in staat om het systeem te compromitteren, wat kan leiden tot ongeautoriseerde toegang en gegevensmanipulatie. De Java VM-kwetsbaarheid kan ook leiden tot ongeautoriseerde wijzigingen van gegevens.

Ivanti heeft kwetsbaarheden verholpen in Connect Secure en Policy Secure. De eerste kwetsbaarheid (CVE-2025-0282) kan door kwaadwillenden misbruikt worden om zonder authenticatie op afstand willekeurige code uit te voeren. De tweede kwetsbaarheid (CVE-2025-0283) kan door een lokaal geauthenticeerde kwaadwillende misbruikt worden om de rechten te verhogen. Ivanti geeft aan dat CVE-2025-0282 actief misbruikt word bij gebruikers van Connect Secure. Er is Proof-of-Concept-code beschikbaar. Ivanti adviseert om de interne en externe Integrity Checker Tools (ICT) te gebruiken op betreffende apparatuur, de interne integrity check tool zou echter mogelijk door malafide handelingen niet correct werken. Het NCSC adviseert om de meest recente versies van de Integrity Checker Tools (ICT) in te zetten om mogelijk misbruik te kunnen detecteren. Op dit moment is dat versie ICT-V22725 (build 3819). In de aanval zouden mogelijk meerdere persistence technieken zijn toegepast, een daarvan is het blokkeren van een legitieme patch en in plaats daarvan een schijn patch op het scherm weer te geven als het systeem gepatched wordt. Dit zou betekenen dat de update die zou zijn uitgevoerd niet correct is en mogelijk zou een kwaadwillende nog steeds toegang hebben tot het apparaat. Ook adviseert Ivanti om bij onderkenning van eerder misbruik betreffende apparatuur te factory resetten en de versie terug te zetten naar 22.7R2.5. Het is belangrijk dat bij tekenen van misbruik credentials en API tokens worden geroteerd, deze zouden mogelijk gestolen kunnen zijn.

Schneider Electric heeft kwetsbaarheden verholpen in Modicon M340, M580 en diverse communicatiemodules. Een kwaadwillende kan de kwetsbaarheden misbruiken om een Denial-of-Service te veroorzaken of toegang te krijgen tot systeemgegevens en mogelijk de werking van de controllers te beïnvloeden. Voor succesvol misbruik moet de kwaadwillende toegang hebben tot de productie-omgeving. Het is goed gebruik een dergelijke omgeving niet publiek toegankelijk te hebben.

Fortinet heeft kwetsbaarheden verholpen in FortiSwitch, FortiManager, FortiAnalyzer, FortiOS en FortiProxy. De kwetsbaarheden omvatten onder andere hard-coded cryptografische sleutels, onjuiste verwerking van OS-commando's, en out-of-bounds schrijf- en leesfouten. Aanvallers kunnen deze kwetsbaarheden misbruiken om ongeautoriseerde toegang te verkrijgen, willekeurige code uit te voeren en Denial-of-Service-aanvallen te veroorzaken.

Ivanti heeft kwetsbaarheden verholpen in Ivanti Endpoint Manager (EPM) die aanwezig waren in versies vóór de januari 2025 beveiligingsupdates. De kwetsbaarheden omvatten path traversal, SQL-injectie, deserialisatie, onjuist bestandsnaamvalidatie en onvoldoende validatie van handtekeningen. Deze kwetsbaarheden stellen zowel ongeauthenticeerde als geauthenticeerde aanvallers in staat om toegang te krijgen tot gevoelige informatie, code op afstand uit te voeren, en kunnen leiden tot een Denial-of-Service.

Mozilla heeft kwetsbaarheden verholpen in Firefox en Thunderbird (Specifiek voor versies onder 134 en 128.6). De kwetsbaarheden omvatten onder andere client-side path traversal, privilege escalation en use-after-free condities. Deze kwetsbaarheden kunnen door kwaadwillenden worden misbruikt om ongeautoriseerde toegang te verkrijgen, crashes te veroorzaken of mogelijkerwijze willekeurige code uit te voeren.

Rsync Project heeft kwetsbaarheden verholpen in Rsync (versies

Microsoft heeft een kwetsbaarheid verholpen in Power Automate for Desktops. Een kwaadwillende kan de kwetsbaarheid misbruiken om willekeurige code uit te voeren in de context van het slachtoffer en daarmee mogelijk toegang krijgen tot gevoelige gegevens. Voor succesvol misbruik moet de kwaadwillende het slachtoffer misleiden een malafide bestand te openen.

Microsoft heeft kwetsbaarheden verholpen in Azure producten. Een kwaadwillende met voorafgaande authenticatie kan de kwetsbaarheden misbruiken om toegang te krijgen tot gevoelige gegevens in de context van het slachtoffer. Voor succesvol misbruik moet het slachtoffer inloggen, waarbij de kwaadwillende een race-conditie weet te winnen. Misbruik is hierdoor niet eenvoudig, waardoor grootschalig actief misbruik niet waarschijnlijk is. ``` Microsoft Azure Gateway Manager: CVE-IDCVSSImpact CVE-2025-214036.40Toegang tot gevoelige gegevens Azure Marketplace SaaS Resources: CVE-IDCVSSImpact CVE-2025-213808.80Toegang tot gevoelige gegevens ```

Microsoft heeft kwetsbaarheden verholpen in diverse Office producten. Een kwaadwillende kan de kwetsbaarheden misbruiken om een beveiligingsmaatregel te omzeilen, zich voor te doen als andere gebruiker, toegang te krijgen tot gevoelige gegevens of willekeurige code uit te voeren in de context van het slachtoffer. Voor succesvol misbruik moet de kwaadwillende het slachtoffer misleiden een malafide bestand te openen of link te volgen. ``` Microsoft Purview: CVE-IDCVSSImpact CVE-2025-213858.80Toegang tot gevoelige gegevens Microsoft Office Word: CVE-IDCVSSImpact CVE-2025-213637.80Uitvoeren van willekeurige code Windows Win32K - GRFX: CVE-IDCVSSImpact CVE-2025-213387.80Uitvoeren van willekeurige code Microsoft Office: CVE-IDCVSSImpact CVE-2025-213467.10Omzeilen van beveiligingsmaatregel CVE-2025-213657.80Uitvoeren van willekeurige code Microsoft Office Excel: CVE-IDCVSSImpact CVE-2025-213547.80Uitvoeren van willekeurige code CVE-2025-213627.80Uitvoeren van willekeurige code CVE-2025-213647.80Omzeilen van beveiligingsmaatregel Microsoft Office Outlook: CVE-IDCVSSImpact CVE-2025-213576.70Uitvoeren van willekeurige code Microsoft AutoUpdate (MAU): CVE-IDCVSSImpact CVE-2025-213607.80Verkrijgen van verhoogde rechten Microsoft Office Outlook for Mac: CVE-IDCVSSImpact CVE-2025-213617.80Uitvoeren van willekeurige code Microsoft Office Visio: CVE-IDCVSSImpact CVE-2025-213457.80Uitvoeren van willekeurige code CVE-2025-213567.80Uitvoeren van willekeurige code Microsoft Office Access: CVE-IDCVSSImpact CVE-2025-213667.80Uitvoeren van willekeurige code CVE-2025-213957.80Uitvoeren van willekeurige code CVE-2025-211867.80Uitvoeren van willekeurige code Microsoft Office OneNote: CVE-IDCVSSImpact CVE-2025-214027.80Uitvoeren van willekeurige code Microsoft Office SharePoint: CVE-IDCVSSImpact CVE-2025-213447.80Uitvoeren van willekeurige code CVE-2025-213487.20Uitvoeren van willekeurige code CVE-2025-213936.30Voordoen als andere gebruiker ```

Microsoft heeft kwetsbaarheden verholpen in Visual Studio en .NET. Een kwaadwillende kan de kwetsbaarheden misbruiken om zich verhoogde rechten toe te kennen, toegang te krijgen tot gevoelige gegevens of om willekeurige code uit te voeren in de context van het slachtoffer. Voor succesvol misbruik moet de kwaadwillende het slachtoffer misleiden een malafide bestand te openen en verwerken. ``` Visual Studio: CVE-IDCVSSImpact CVE-2024-503387.40Toegang tot gevoelige gegevens CVE-2025-211788.80Uitvoeren van willekeurige code CVE-2025-214057.30Verkrijgen van verhoogde rechten .NET, .NET Framework, Visual Studio: CVE-IDCVSSImpact CVE-2025-211768.80Uitvoeren van willekeurige code .NET: CVE-IDCVSSImpact CVE-2025-211718.10Uitvoeren van willekeurige code CVE-2025-211738.00Verkrijgen van verhoogde rechten .NET and Visual Studio: CVE-IDCVSSImpact CVE-2025-211727.50Uitvoeren van willekeurige code ```

Microsoft heeft kwetsbaarheden verholpen in Windows. Een kwaadwillende kan de kwetsbaarheden misbruiken om aanvallen uit te voeren die kunnen leiden tot de volgende categorieën schade:

FortiNet heeft een kwetsbaarheid verholpen in FortiOS en FortiProxy. De kwetsbaarheid bevindt zich in de node.js implementatie van de management-webinterface en stelt een kwaadwillende in staat om authenticatie te omzeilen om zo zonder voorafgaande authenticatie of autorisaties super-admin te worden op het kwetsbare systeem. Voor succesvol misbruik moet de kwaadwillende toegang hebben tot de management-webinterface. Het is goed gebruik een dergelijke interface niet publiek toegankelijk te hebben, maar af te steunen in een separate beheer-omgeving. FortiNet meldt dat actief misbruik is waargenomen op FortiGate systemen waarop de kwetsbare FortiOS of FortiProxt draait. FortiNet heeft Indicators of Compromise (IoC's) vrijgegeven, waarmee mogelijke compromittatie kan worden ontdekt:

Siemens heeft kwetsbaarheden verholpen in diverse producten als Industrial Edge Management, Mendix, SIMATIC, SIPROTEC en Siveillance. De kwetsbaarheden stellen een kwaadwillende mogelijk in staat aanvallen uit te voeren die kunnen leiden tot de volgende categorieën schade:

SAP heeft kwetsbaarheden verholpen in SAP, NetWeaver en ABAP. De kwetsbaarheden in SAP NetWeaver Application Server voor ABAP en ABAP Platform omvatten onjuiste authenticatiecontroles en zwakke toegangscontroles, die door geauthenticeerde aanvallers kunnen worden misbruikt om hun privileges te escaleren en ongeautoriseerde toegang tot gevoelige gegevens te verkrijgen. Dit kan leiden tot compromittering van de vertrouwelijkheid, integriteit en beschikbaarheid van het systeem. Daarnaast zijn er kwetsbaarheden gerapporteerd die SQL-injectie en cross-site scripting mogelijk maken, wat verdere risico's met zich meebrengt.

Ivanti heeft kwetsbaarheden verholpen in Connect Secure en Policy Secure. De eerste kwetsbaarheid (CVE-2025-0282) kan door kwaadwillenden misbruikt worden om zonder authenticatie op afstand willekeurige code uit te voeren. De tweede kwetsbaarheid (CVE-2025-0283) kan door een lokaal geauthenticeerde kwaadwillende misbruikt worden om de rechten te verhogen. Ivanti geeft aan dat CVE-2025-0282 actief misbruikt word bij gebruikers van Connect Secure. Ivanti adviseert om de interne en externe Integrity Checker Tools (ICT) te gebruiken op betreffende apparatuur, de interne integrity check tool zou echter mogelijk door malafide handelingen niet correct werken. Het NCSC adviseert om de meest recente versies van de Integrity Checker Tools (ICT) in te zetten om mogelijk misbruik te kunnen detecteren. Op dit moment is dat versie ICT-V22725 (build 3819). In de aanval zouden mogelijk meerdere persistence technieken zijn toegepast, een daarvan is het blokkeren van een legitieme patch en in plaats daarvan een schijn patch op het scherm weer te geven als het systeem gepatched wordt. Dit zou betekenen dat de update die zou zijn uitgevoerd niet correct is en mogelijk zou een kwaadwillende nog steeds toegang hebben tot het apparaat. Ook adviseert Ivanti om bij onderkenning van eerder misbruik betreffende apparatuur te factory resetten en de versie terug te zetten naar 22.7R2.5. Het is belangrijk dat bij tekenen van misbruik credentials en API tokens worden geroteerd, deze zouden mogelijk gestolen kunnen zijn.

Juniper heeft kwetsbaarheden verholpen in JunS (Specifiek voor JunOS en JunOS Evolved). De kwetsbaarheden bevinden zich in de manier waarop Juniper's JunOS en JunOS Evolved omgaan met BGP-pakketten en IPv6-pakketten. De eerste kwetsbaarheid kan worden misbruikt door ongeauthenticeerde aanvallers die vervormde BGP-pakketten verzenden, wat kan leiden tot een crash van de routing protocol daemon (rpd). Dit vereist een gevestigde BGP-sessie, wat het een significante zorg maakt voor de netwerkstabiliteit. De tweede kwetsbaarheid in de Juniper Tunnel Driver laat ongeauthenticeerde aanvallers toe om vervormde IPv6-pakketten te verzenden, wat kan resulteren in geheugenuitputting en daaropvolgende systeemcrashes, met impact op de stabiliteit van de getroffen systemen.

Ivanti heeft kwetsbaarheden verholpen in Connect Secure en Policy Secure. De eerste kwetsbaarheid (CVE-2025-0282) kan door kwaadwillenden misbruikt worden om zonder authenticatie op afstand willekeurige code uit te voeren. De tweede kwetsbaarheid (CVE-2025-0283) kan door een lokaal geauthenticeerde kwaadwillende misbruikt worden om de rechten te verhogen. Ivanti geeft aan dat CVE-2025-0282 actief misbruikt word bij gebruikers van Connect Secure. Ivanti adviseert om de interne en externe Integrity Checker Tools (ICT) te gebruiken op betreffende apparatuur, de interne integrity check tool zou echter mogelijk door malafide handelingen niet correct werken. Het NCSC adviseert ook de Integrity Checker Tools (ICT) in te zetten om mogelijk misbruik te kunnen detecteren. In de aanval zouden mogelijk meerdere persistence technieken zijn toegepast, een daarvan is het blokkeren van een legitieme patch en in plaats daarvan een schijn patch op het scherm weer te geven als het systeem gepatched word. Dit zou betekenen dat de update die zou zijn uitgevoerd niet correct is en mogelijk zou een kwaadwillende nog steeds toegang hebben tot het apparaat. Ook adviseert Ivanti om bij onderkenning van eerder misbruik betreffende apparatuur te factory resetten en de versie terug te zetten naar 22.7R2.5. Het is belangrijk dat bij tekenen van misbruik credentials en API tokens worden geroteerd, deze zouden mogelijk gestolen kunnen zijn.

Ivanti heeft kwetsbaarheden verholpen in Connect Secure en Policy Secure. De eerste kwetsbaarheid (CVE-2025-0282) kan door kwaadwillenden misbruikt worden om zonder authenticatie op afstand willekeurige code uit te voeren. De tweede kwetsbaarheid (CVE-2025-0283) kan door een lokaal geauthenticeerde kwaadwillende misbruikt worden om de rechten te verhogen. Ivanti geeft aan dat CVE-2025-0282 actief misbruikt word bij gebruikers van Connect Secure. Ivanti adviseert om de interne en externe Integrity Checker Tools (ICT) te gebruiken op betreffende apparatuur, de interne integrity check tool zou echter mogelijk door malafide handelingen niet correct werken. Het NCSC adviseert ook de Integrity Checker Tools (ICT) in te zetten om mogelijk misbruik te kunnen detecteren, deze is alleen beschibaar voor versie 22.7R2.5. In de aanval zouden mogelijk meerdere persistence technieken zijn toegepast, een daarvan is het blokkeren van een legitieme patch en in plaats daarvan een schijn patch op het scherm weer te geven als het systeem gepatched word. Dit zou betekenen dat de update die zou zijn uitgevoerd niet correct is en mogelijk zou een kwaadwillende nog steeds toegang hebben tot het apparaat. Ook adviseert Ivanti om bij onderkenning van eerder misbruik betreffende apparatuur te factory resetten en de versie terug te zetten naar 22.7R2.5. Het is belangrijk dat bij tekenen van misbruik credentials en API tokens worden geroteerd, deze zouden mogelijk gestolen kunnen zijn.

Ivanti heeft kwetsbaarheden verholpen in Connect Secure en Policy Secure. De eerste kwetsbaarheid (CVE-2025-0282) kan door kwaadwillenden misbruikt worden om zonder authenticatie op afstand willekeurige code uit te voeren. De tweede kwetsbaarheid (CVE-2025-0283) kan door een lokaal geauthenticeerde kwaadwillende misbruikt worden om de rechten te verhogen. Ivanti geeft aan dat CVE-2025-0282 actief misbruikt worden bij gebruikers van Connect Secure.