CyberVergelijker

Kritieke beveiligingslekken mei 2026: Linux, cPanel en Azure bedreigd

Kritieke beveiligingslekken mei 2026: Linux, cPanel en Azure bedreigd

In mei 2026 zijn drie kritieke beveiligingslekken aan het licht gekomen die Nederlandse gebruikers en bedrijven direct bedreigen. Een ernstige Linux root-bug wordt actief uitgebuit, cPanel-servers worden aangevallen met “Sorry” ransomware, en Azure-omgevingen worden doelwit van geautomatiseerde OAuth-jacking-aanvallen. Dit artikel beschrijft wat er gebeurd is en welke stappen je moet nemen.

Wat is er precies gebeurd?

Drie parallelle cyberbedreiging zijn deze maand geactiveerd:

1. Linux Root Access Bug CVE-2026-3 Actief Uitgebuit

Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) voegde op vrijdag een kritieke Linux-kwetsbaarheid toe aan de “Known Exploited Vulnerabilities” (KEV) catalogus. De bug CVE-2026-3 biedt aanvallers root-toegang tot Linux-systemen en wordt al actief in het wild uitgebuit. CISA’s toevoegaan aan de KEV-lijst betekent dat de kwetsbaarheid een directe bedreiging voor kritieke infrastructuur vormt en schneller patches vereist.

2. cPanel Ransomware-Aanvallen met CVE-2026-41940

Een nieuw ontdekt beveiligingsgat in cPanel (CVE-2026-41940) wordt op massale schaal misbruikt door cybercriminelen achter de “Sorry” ransomware. Bedrijven en webhostingproviders berichten over gijzelde websites en versleutelde data. De aanvallen richten zich specifiek op servers met verouderde cPanel-versies waarin het patch nog niet is uitgerold.

3. ConsentFix v3: Azure OAuth-Jacking op Automatische Piloot

Hackerforums delen een nieuw aanvalstype genaamd ConsentFix v3, dat gericht is op Microsoft Azure-omgevingen. Dit type aanval voert geautomatiseerde OAuth-abuse uit door nep-toestemmingsschermen in te zetten. De vorige ConsentFix-versie werkte handmatig; versie 3 schaalt massaal op en automatiseert het hele proces.

Waarom is dit belangrijk voor Nederlandse gebruikers en bedrijven?

Nederland telt duizenden bedrijven die Linux-servers draaien, cPanel-hosting gebruiken of op Azure-cloud werken. Deze drie kwetsbaarheden zijn daarom buitengewoon risicovol:

  • Linux-kwetsbaarheid: Veel Nederlandse datacenters en bedrijfsservers draaien op Linux. Root-toegang betekent volledige systeemcompromis.
  • cPanel-aanvallen: Webhosting en SMB’s die cPanel gebruiken, worden direct getroffen door “Sorry” ransomware.
  • Azure OAuth-jacking: Bedrijven met Microsoft 365 of Azure-abonnementen riskeren toegangsdiefstal op een schaal die eerder onmogelijk was.

De combinatie van deze drie aanvallen creëert een perfecte storm voor Nederlandse IT-afdelingen die al software supply chain aanvallen aan hun hoofd hebben.

Wat kun je doen?

Voor Linux-gebruikers:

  1. Controleer onmiddellijk welke Linux-distributie en kernel-versie je draait: uname -r
  2. Raadpleeg de offici\u00eble CVE-database (NVD) voor patches specifiek voor jouw distributie
  3. Update alle systemen binnen 24 uur, ook productieservers
  4. Monitor logs op tekenen van inbraak (root-login pogingen, onbekende processen)
  5. Schakel Multi-Factor Authentication (MFA) in op alle serverbeheer-accounts

Voor cPanel-gebruikers:

  1. Update cPanel onmiddellijk naar de meest recente versie met CVE-2026-41940 patch
  2. Controleer web application firewall (WAF) regels en blokkeer verdachte requests
  3. Scan alle websites op backdoors en malware met gratis tools
  4. Maak databackups onafhankelijk van cPanel-server (externe backup)
  5. Neem contact op met je webhosting-provider voor hun patch-status

Voor Azure-gebruikers:

  1. Controleer Azure Active Directory logs op verdachte consent-aanvragen
  2. Implementeer conditional access policies: blok OAuth-verzoeken uit onbekende locaties
  3. Dwing MFA af voor alle gebruikers, vooral admin-accounts
  4. Limiteer OAuth-app-machtigingen en verwijder ongebruikte integraties
  5. Stel alerts in voor risicante aanmeldingsactiviteiten in Azure Defender

Voor iedereen:

  1. Update wachtwoorden voor kritieke accounts (server, hosting, cloud)
  2. Controleer welke applicaties OAuth-toegang hebben en wees selectief
  3. Activeer beveiligingslogging op alle systemen en archiveer logs
  4. Hou de CISA KEV-catalog in de gaten voor updates

Achtergrond: Technische Context

CVE-2026-3 is een kernel-level privilege escalation bug die aanvallers toestaat om van user-level naar root-access te springen. Dit is het ergste type kwetsbaarheid omdat root volledige controle over het systeem geeft: je kunt alles installeren, verwijderen, en monitoren.

CVE-2026-41940 in cPanel is waarschijnlijk een authentication bypass of remote code execution flaw. “Sorry” ransomware versleutelt vervolgens alle bestanden en eist losgeld. Deze aanvallen combineren vaak ook data-exfiltratie, dus hackers hebben je data ook al gekopieerd voor ze hem versleutelen.

ConsentFix v3 is een social engineering aanval gecombineerd met automatisering. Het stuurt gebruikers naar nep-Microsoft-login-schermen die er authentiek uitzien. Nadat een gebruiker inlogt, krijgt de malicious app OAuth-toestemming voor hun volledige Microsoft-account. In tegenstelling tot wachtwoorddiefstal, blijft deze toegang zelfs als het slachtoffer zijn wachtwoord wijzigt.

Deze drie aanvallen illustreren een trend: automation at scale. Hackers bouwen tools die duizenden systemen tegelijk kunnen prospecten en aanvallen. Dit maakt handmatige defensie ontoereikend; je hebt nu geautomatiseerde detection en patching nodig.

Veelgestelde vragen

Wat betekent CVE-2026-3 voor mijn thuiscomputer?

Als je een Linux desktop (Ubuntu, Fedora, Debian) draait, ben je ook kwetsbaar. Echter, thuiscomputers zijn meestal geen prioriteit voor massale Linux-exploits omdat ze niet altijd online staan. Prioriteit: update eerst servers, dan workstations. Voor thuis kun je gratis antivirus software gebruiken als extra laag, hoewel dat intrusion niet voorkomt.

Hoe weet ik of mijn cPanel server al aangevallen is?

Controleer cPanel access logs op verdachte login-pogingen. Kijk naar file modification timestamps (mtime) van website-bestanden. Ransomware maakt meestal een “README.txt” of soortgelijk bestand aan. Scan ook je database op onbekende user-accounts. Neem contact op met je hosting-provider als je twijfelt.

Is mijn Microsoft 365-account veilig tegen ConsentFix v3?

Niet automatisch. Als je op nep-login-schermen hebt geklikt of OAuth-toestemming hebt gegeven aan onbekende apps, ben je kwetsbaar. Controleer “App permissions” in je Microsoft account-instellingen. Verwijder apps die je niet herkent. Zet MFA aan voor alle accounts. ConsentFix v3 kan ook phishing-e-mails gebruiken, dus wees alert op verdachte links.

Welke patchprioriteitsvolgorde moet ik aanhouden?

Prioriteit 1: Linux kernelupdate (CVE-2026-3) op alle servers. Prioriteit 2: cPanel update op hosting-servers. Prioriteit 3: Azure Defender settings + MFA instellingen. Test patches eerst op test-servers, zeker voor productiesystemen.

Hoe kan ik mijn bedrijf beschermen tegen toekomstige aanvallen van deze schaal?

Automatiseer patching met security update tools, implementeer zero-trust access policies, en maak jaarlijkse security audits. Richt een incident response team in. Kijk naar veilig thuiswerken beleid als je remote teams hebt. Training tegen phishing helpt ook tegen ConsentFix-achtige aanvallen.

Conclusie

Mei 2026 markeert een escalatie in cyberaanvallen: drie kritieke kwetsbaarheden gebruikt op massale schaal. Linux servers, cPanel-hosting en Azure-clouds zijn gelijk getroffen. De tijd om te handelen is nu, niet volgende week. Update onmiddellijk, monitor je logs, en zet MFA overal in. Nederlandse IT-afdelingen die al verwikkeld zijn in software supply chain aanvallen, moeten nu op meerdere fronten verdedigen.

Volg onze updates en beschouw dit artikel als startpunt voor je eigen risk assessment. De volgende stap: patch nu.

Bronvermelding

Redactie CyberVergelijker

De redactie van CyberVergelijker.nl test en vergelijkt cybersecurityproducten voor de Nederlandse consument en het mkb. Elk product wordt op echte apparaten getest en beoordeeld op beveiliging, gebruiksgemak, prijs-kwaliteit en klantenservice.