Actuele dreigingen en kwetsbaarheden uit meer dan 10 publieke bronnen: NCSC NL, CISA, CISA KEV, NVD, MITRE, Exploit-DB, Mandiant, Microsoft, Cisco Talos, Kaspersky en meer — vertaald naar begrijpelijke actie. Selecteer uw branche voor een gepersonaliseerd overzicht.
Cisco PSIRT bevestigt limited exploitation door een geavanceerde threat actor (cluster UAT-8616) van CVE-2026-20182. Een ongeauthenticeerde aanvaller doet zich voor als vHub-device en omzeilt zo de certificaatcheck in vdaemon. Vervolgens kan een attacker-controlled SSH-key in vmanage-admin worden geïnjecteerd. CISA heeft het lek met spoed in KEV opgenomen met een federale patch-deadline. Iedere NL-organisatie met SD-WAN aan het internet loopt direct risico op volledige network takeover.
Aanbevolen actie
Patch Catalyst SD-WAN Controller en Manager onmiddellijk volgens cisco-sa-sdwan-rpa2. Beperk UDP 12346 tot bekende peer-IP's via ACL en monitor authorized_keys op vmanage-admin. Review SSH-login en config-pushes sinds 1 april op onbekende sources.
CISA KEVHoog
8 mei 2026
Ivanti EPMM — actief misbruikte authenticated RCE in MDM-server
Ivanti EPMM vóór 12.6.1.1, 12.7.0.1 en 12.8.0.1Improper input validation in admin-interfaceCombineerbaar met credentials uit eerdere CVE-2026-1281/1340CVSS 7.2 — authenticated RCE op MDM-server
Ivanti heeft op 8 mei een security advisory uitgebracht voor CVE-2026-6973 in Endpoint Manager Mobile. Aanvallers ketenen vaak eerder gelekte EPMM admin-credentials (uit CVE-2026-1281/1340) aan dit lek om vervolgens code uit te voeren op de MDM-server. CISA heeft het lek toegevoegd aan de KEV-catalogus. Voor NL-organisaties die mobile devices via EPMM beheren is dit een directe weg naar laterale beweging binnen het netwerk.
Aanbevolen actie
Upgrade EPMM binnen 24 uur naar 12.6.1.1, 12.7.0.1 of 12.8.0.1. Forceer een wachtwoord-reset voor álle EPMM-admins en lokale serviceaccounts, ook als MFA aanstaat. Review de EPMM admin-audit en device-policy-wijzigingen sinds 1 april en isoleer mobile devices die ongebruikelijke configuratiewijzigingen ontvingen.
NCSC NLHoog
18 mei 2026
NGINX ngx_http_rewrite_module — heap buffer overflow in webserver
IT & TechnologieFinancieel & VerzekeringenRetail & E-commerceOverheid & Publieke Sector
Getroffen producten
NGINX open-source (mainline en stable)Module ngx_http_rewrite_moduleNGINX Plus equivalente versiesHeap-based buffer overflow + incorrect calculation of buffer size
Het NCSC publiceerde op 18 mei advisory NCSC-2026-0164 over een heap-based buffer overflow in NGINX. Misbruik via speciaal opgebouwde rewrite-regels of door een aanvaller-controlled config kan leiden tot crash of mogelijk code-uitvoering in het webserver-proces. NGINX draait voor de helft van het Nederlandse web — reverse proxy's, load balancers en app-frontends zijn allemaal in scope. Op het moment van publicatie is er nog geen bewijs van actief misbruik, maar PoC-druk is hoog.
Aanbevolen actie
Update NGINX naar de meest recente mainline/stable build die door NCSC wordt aanbevolen. Controleer custom rewrite-regels op user-controlled input en beperk wie nginx.conf kan aanpassen. Plan een review van alle reverse-proxy frontends binnen 14 dagen.
Microsoft MSRCKritiek
13 mei 2026
ASP.NET Core Data Protection — ongeauthenticeerde SYSTEM-RCE via cookie forging
ASP.NET Core Data Protection (alle ondersteunde .NET versies)Self-hosted en IIS-hosted ASP.NET Core webappsCVSS 9.8 — ongeauthenticeerde RCE als SYSTEM
Microsoft bracht op 13 mei een emergency security update uit voor een kritieke fout in ASP.NET Core Data Protection. Een ongeauthenticeerde aanvaller kan authenticatie-cookies forgen en zo SYSTEM-privileges krijgen op de webserver. Iedere .NET-applicatie die Data Protection gebruikt voor session-cookies of antiforgery tokens is in scope — wat in Nederland praktisch elke moderne .NET-webapp betreft. Geen publieke PoC op moment van publicatie, maar de exploit-keten is volgens Microsoft eenvoudig.
Aanbevolen actie
Installeer per direct de .NET out-of-band update van 13 mei 2026 op álle ASP.NET Core hosts. Roteer Data Protection keys na de update om bestaande forged-cookies te invalideren. Audit IIS- en Kestrel-logs op verdachte cookie-aanvragen met afwijkende user-agents sinds 1 mei.
Cisco TalosKritiek
13 mei 2026
Microsoft Patch Tuesday mei 2026 — 137 lekken waarvan 31 kritiek geclassificeerd
Windows 10/11 en Windows Server (alle ondersteunde varianten)Microsoft Office en SharePoint ServerAzure-componenten en .NET runtime31 lekken Kritiek (waarvan 14 RCE) — geen zero-days bevestigd
Cisco Talos meldt dat Microsoft's mei-Patch-Tuesday 137 CVE's afsluit, waaronder 31 Kritieke en 14 Remote Code Execution-lekken. Geen van de lekken werd op uitrolmoment actief misbruikt gemeld, maar de combinatie van Windows-kernel, Office en SharePoint-fixes maakt deze ronde één van de zwaarste van 2026. NL MKB-omgevingen met SharePoint-on-prem of brede Office-deployment lopen de grootste blootstelling.
Aanbevolen actie
Rol Patch Tuesday van mei 2026 binnen 14 dagen uit op werkstations en binnen 7 dagen op servers (SharePoint, RD-gateway, AD). Prioriteer hosts met inkomende RDP/SMB-exposure. Sluit Office-macro's uit voor internet-getriggerde documenten waar nog niet is gepatcht.
BleepingComputerKritiek
12 mei 2026
Exim 4.97–4.99.2 — kritieke remote code execution via STARTTLS/CHUNKING
IT & TechnologieOverheid & Publieke SectorZorg & GezondheidFinancieel & Verzekeringen
Getroffen producten
Exim 4.97 t/m 4.99.2Builds gecompileerd tegen GnuTLSSTARTTLS én CHUNKING geadverteerd in EHLOOngeauthenticeerde RCE in mailproces
BleepingComputer rapporteert een kritieke RCE in Exim die ongeauthenticeerd misbruikt kan worden in standaardconfiguraties met STARTTLS en CHUNKING aan. Exim verzorgt nog steeds een groot deel van de SMTP-relays in Nederland — universiteiten, hostingproviders en oudere on-prem mailomgevingen zijn primair in scope. Een succesvolle exploit geeft de aanvaller code-uitvoering met dezelfde rechten als het Exim-proces, vaak met root-pad naar lateraal verkeer.
Aanbevolen actie
Update Exim onmiddellijk naar 4.99.3 of hoger. Als patchen niet direct kan: disable CHUNKING in de EHLO-advertise of switch naar OpenSSL-builds. Controleer mailserver-logs op afwijkende EHLO/BDAT-traffic sinds 1 mei en zet een tijdelijke WAF-regel voor SMTP-anomalieën.
AI SecurityHoog
5 mei 2026
EchoLeak — eerste zero-click prompt injection in productie-LLM (RAG-assistenten)
Productie-LLM assistenten met RAG over mailboxen / SharePointTools die externe content (mail, attachments, web) auto-injecten in contextBevestigd in research op Microsoft 365 Copilot-achtige stacksOWASP LLM Top 10 #1 — Prompt Injection
Onderzoekers publiceerden EchoLeak, de eerste gedocumenteerde zero-click prompt-injection in een productieproduct. Door een geprepareerde e-mail of document naar het slachtoffer te sturen kan een aanvaller zonder enige interactie de LLM-assistent dwingen interne data (mails, documenten, klantenlijsten) naar een externe URL te exfiltreren. Voor NL-bedrijven die Copilot of een andere RAG-assistent op zakelijke data zetten is dit het urgentste AI-risico van Q2 2026.
Aanbevolen actie
Beperk in elke LLM-assistent welke externe content (inbound mail, public web) automatisch in de context wordt geladen. Implementeer output-filtering die uitgaande URL's en externe API-calls blokkeert tenzij expliciet door gebruiker bevestigd. Voeg AI-assistent-data-flows toe aan de NIS2 risico-analyse.
MandiantHoog
22 april 2026
M-Trends 2026 — PROMPTFLUX en PROMPTSTEAL malware bevragen LLM's mid-execution
Endpoints in omgevingen zonder strikte egress-filtering naar LLM API'sDetectie-stacks die alleen op statische IOC's leunenMean-time-to-exploit gemiddeld -7 dagen (exploit vóór patch)Breakout-tijd lateral movement: 22 seconden
Mandiant publiceerde M-Trends 2026 op basis van 500.000 uur incident response in 2025. Twee nieuwe malware-families — PROMPTFLUX en PROMPTSTEAL — bevragen LLM's tijdens uitvoering om payloads en evasion-tactieken on-the-fly aan te passen. Daarnaast: aanvallers exploiteren CVE's gemiddeld 7 dagen vóór de patch beschikbaar is. Voor NL MKB betekent dit dat klassieke signature-detectie en maandelijkse patchcycli structureel achterlopen.
Aanbevolen actie
Implementeer egress-filtering op endpoints richting publieke LLM-API endpoints (openai.com, anthropic.com, etc.) zodat alleen geautoriseerde apps verbinden. Verkort patch-SLA voor internet-exposed assets naar 72 uur. Investeer in gedragsdetectie (EDR/XDR) in plaats van enkel IOC-feeds en bespreek dit dreigingsbeeld met directie i.h.k.v. NIS2 bestuurdersaansprakelijkheid.
🔍 Geen advisories gevonden voor deze combinatie. Probeer een ander filter.