CISA waarschuwt voor actieve aanvallen op SharePoint servers
Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft een waarschuwing uitgegeven over actieve cyberaanvallen die misbruik maken van meerdere kwetsbaarheden in Microsoft SharePoint. Aanvallers gebruiken een exploitketen genaamd "ToolShell" om ongeautoriseerde toegang te verkrijgen tot on-premise SharePoint-servers.
De aanvalsketen combineert twee ernstige kwetsbaarheden:
CVE-2025-49706: Een zwakke plek in de authenticatie waardoor netwerkvervalsing mogelijk is.
CVE-2025-49704: Een kwetsbaarheid voor externe code-uitvoering (RCE).
Volgens CISA zijn er aanwijzingen dat aanvallers na de aanval een webshell installeren. Deze webshell stelt hen in staat om opdrachten uit te voeren, bestanden te uploaden en informatie te stelen. Daarnaast wordt gewaarschuwd dat de exploitatie van een andere, vergelijkbare kwetsbaarheid (CVE-2025-53770) waarschijnlijk is, omdat deze kan worden ingezet om eerdere patches te omzeilen.
CISA roept organisaties dringend op om de indicators of compromise (IOC's) en detectiesignaturen uit hun rapport te gebruiken om hun systemen te controleren op sporen van de malware. Voor meer informatie over de kwetsbaarheden en aanbevolen maatregelen, verwijst CISA naar een eerder uitgebracht beveiligingsbericht van Microsoft.
Meer over Servers
Over Witold Kepinski
