AI & Security Intelligence 19 – 20 Maart 2026

By Djimit* een overzicht voor AI cloud- en security professional*

CRITICAL Urgency: 10/10Langflow RCE exploited 20h post-disclosure • Cisco FMC CVSS 10.0 zero-day (Interlock) deadline 22 Mar • SharePoint 9.8 deadline MORGEN • Cisco SD-WAN ED 26-03 deadline 23 Mar • DORA DNB register ingediend 20 Mar

1 — Editor’s Synthesis

• De afgelopen 48 uur onthullen een dreigingslandschap waarin de reactietijd voor verdedigers tot het absolute minimum is gereduceerd. Langflow CVE-2026-33017 (CVSS 9.3) werd binnen 20 uur na publicatie actief uitgebuit — zes unieke aanvallers stalen API-keys, databasecredentials en supply-chain-toegang. Dit bevestigt het Rapid7-rapport: de mediane tijd tot KEV-opname is gedaald tot 5 dagen, een halvering ten opzichte van vorig jaar.

• Cisco domineert het dreigingslandschap met twee gelijktijdige CVSS 10.0-kwetsbaarheden. FMC CVE-2026-20131 werd 36 dagen als zero-day uitgebuit door Interlock-ransomware voordat patches beschikbaar kwamen — CISA-deadline 22 maart. SD-WAN CVE-2026-20127 werd zelfs drie jaar lang uitgebuit door geavanceerde dreigingsactor UAT-8616, wat Emergency Directive ED 26-03 triggerde met een 24-uurs-patchverplichting en verplichte logging naar CISA CLAW vóór 23 maart.

• SharePoint CVE-2026-20963 (CVSS 9.8) heeft morgen, 21 maart, als CISA-deadline. Organisaties die in januari niet hebben gepatcht, staan nu bloot aan actieve exploitatie. Ivanti EPMM voegt daar twee extra 9.8-zero-days aan toe die de Nederlandse en EU-overheidssystemen direct treffen — contactgegevens en apparaatdata van ambtenaren zijn gecompromitteerd.

• APT28 (Fancy Bear) voert Operation GhostMail uit tegen Oekraïense maritieme infrastructuur via Zimbra CVE-2025-66376. Het patroon — één e-mail, geen bijlage, volledige mailbox-exfiltratie binnen 90 dagen — is direct repliceerbaar naar elke EU-overheid die Zimbra gebruikt. Tegelijkertijd worden Nederlandse overheidsfunctionarissen en journalisten doelwit van Signal/WhatsApp-accountkapingcampagnes.

• Op het regulatoire front is vandaag D-day voor DORA: DNB vereiste gisteren (20 maart) de indiening van het Register of Information in xBRL-CSV-formaat. AFM heeft tot 31 maart. De NIS2-Cyberbeveiligingswet nadert debat en stemming, met invoering gericht op 1 juli 2026. Het IMCO/LIBE-comité keurde de Digital Omnibus goed (101-9-8), plenaire stemming 26 maart. CRA-feedback loopt tot 31 maart.

• NVIDIA GTC 2026 onthult Vera Rubin (288GB HBM4, 50 petaFLOPS) als volgende compute-sprong, terwijl Mistral AI met Small 4 (119B parameters, 256k context) en Forge-platform inzet op on-premise enterprise-customisatie — relevant voor Nederlandse digitale soevereiniteit. OpenAI’s acquisitie van Promptfoo signaleert dat AI-security een integraal onderdeel wordt van modelontwikkeling.

2 — Security Intelligence

Lane A — Verified News (19–20 maart 2026)

Langflow CVE-2026-33017 — Critical RCE Exploited in 20 Uur

• Langflow, een populair open-source AI-pipeline-platform, heeft kritieke kwetsbaarheid CVE-2026-33017 (CVSS 9.3) met ontbrekende authenticatie en code-injectie. Eén HTTP-verzoek voert willekeurige Python-code uit. (Bron: SecurityWeek, 19 maart 2026)

• Binnen 20 uur na disclosure op 17 maart waren zes unieke bron-IP’s actief: massale scanning, reconnaissance en data-exfiltratie van API-keys, credentials en database-toegang. (Bron: Sysdig Blog, 20 maart 2026)

• Langflow wordt breed ingezet in enterprise AI/ML-pipelines. De snelheid van exploitatie (20 uur) bevestigt dat organisaties real-time vulnerability-monitoring moeten implementeren voor AI-tooling. Controleer interne Langflow-deployments onmiddellijk.

Cisco Firewall Management Center CVE-2026-20131 — CVSS 10.0 Zero-Day

• Cisco FMC heeft maximale-ernst deserialization-kwetsbaarheid CVE-2026-20131 (CVSS 10.0). Ongeauthenticeerde aanvallers voeren willekeurige Java-code uit als root. (Bron: Help Net Security, 20 maart 2026)

• Interlock-ransomwaregroep exploiteert dit lek sinds 26 januari 2026 — 36 dagen vóór de patch. CISA-deadline voor federale agentschappen: 22 maart 2026. (Bron: The Hacker News, 20 maart 2026)

• FMC beheert complete firewall-ecosystemen. Compromittering geeft aanvallers geprivilegieerd overzicht over het hele SD-WAN/firewall-landschap. Prioriteer patching boven alle andere activiteiten.

Microsoft SharePoint CVE-2026-20963 — CVSS 9.8 Active Exploitation

• SharePoint Server Subscription/2019/2016 Enterprise heeft actief uitgebuite deserialization-RCE CVE-2026-20963 (CVSS 9.8). Geen authenticatie vereist, lage complexiteit. Gepatcht januari 2026. CISA-deadline: 21 maart (MORGEN). (Bron: SecurityWeek, CISA KEV)

• Organisaties die de januari-patch niet hebben toegepast zijn nu kwetsbaar. SharePoint is wijdverspreid in Nederlandse overheden en bedrijven. Verifieer patchstatus vandaag nog.

Cisco SD-WAN CVE-2026-20127 — CVSS 10.0, Emergency Directive ED 26-03

• Cisco Catalyst SD-WAN Controller/Manager heeft authenticatie-bypass CVE-2026-20127 (CVSS 10.0), actief uitgebuit sinds 2023 door geavanceerde actor UAT-8616. CISA heeft Emergency Directive ED 26-03 uitgevaardigd: patching binnen 24 uur, verplichte logging naar CLAW vóór 23 maart. (Bron: CISA, The Hacker News)

• Drie jaar onopgemerkte exploitatie onderstreept de noodzaak van continue network-monitoring en zero-trust-architectuur voor WAN-management.

Ivanti EPMM CVE-2026-1281/1340 — Dual 9.8 Zero-Days Treffen NL/EU

• Ivanti Endpoint Manager Mobile heeft twee pre-authenticatie RCE-zero-days (elk CVSS 9.8). Actieve exploitatie in VS, Duitsland, Australië, Canada. Sectoren: overheid, zorg, manufacturing. CISA-deadline: 23 maart. (Bron: Unit42/Palo Alto, Tenable)

• Nederlandse en EU-overheidssystemen bevestigd getroffen. Medewerkerscontactgegevens en apparaatdata gecompromitteerd. (Bron: The Record/Recorded Future)

• EPMM is de facto standaard voor mobiel apparaatbeheer bij overheden. Controleer MDM-logs op ongeautoriseerde toegang en roteer credentials.

ConnectWise ScreenConnect CVE-2026-3564 — Session Hijacking

• ConnectWise ScreenConnect versies vóór 26.1 hebben cryptografische handtekeningverificatie-bypass CVE-2026-3564. Ongeauthenticeerde aanvallers kapen sessies via ASP.NET machine key misbruik. (Bron: Help Net Security, 20 maart 2026)

• ScreenConnect is breed ingezet door MSP’s en IT-afdelingen. Update onmiddellijk naar versie 26.1+; roteer ASP.NET machine keys.

APT28 Operation GhostMail — Zimbra Exploitatie Oekraïne

• Russische militaire inlichtingendienst GRU (APT28/Fancy Bear) exploiteert Zimbra CVE-2025-66376 (XSS) tegen Oekraïense Hydrografische Dienst. Eén phishing-e-mail exfiltreert login-credentials, sessietokens, 2FA-backup-codes en 90 dagen mailboxdata. (Bron: The Record, BleepingComputer, 19 maart 2026)

• EU-overheden die Zimbra gebruiken moeten onmiddellijk patchen en auditen op vergelijkbare phishing. Het aanvalspatroon is triviaal repliceerbaar.

GlassWorm Supply-Chain — Uitbreiding naar 400+ Repositories

• GlassWorm-campagne omvat nu 72+ malafide Open VSX-extensies, 150+ GitHub-repositories, 400+ code-repositories totaal, en 9+ miljoen extensie-installaties. Invisible Unicode-tekens (U+FE00-U+FE0F) verbergen payloads. Gestolen GitHub-tokens worden gebruikt voor force-push van malware in Python-repositories. (Bron: BleepingComputer, Aikido.dev)

• Developer-ecosystemen worden systematisch gecompromitteerd. Implementeer extensie-allowlisting en verifieer repository-integriteit via signed commits.

CISA KEV Toevoegingen 19–20 maart 2026

• 19 maart: CVE-2026-20131 (Cisco FMC), CVE-2026-20963 (SharePoint), CVE-2025-66376 (Zimbra). 20 maart: 5 CVE’s waaronder Apple buffer overflows, Craft CMS code injection, en Laravel Livewire code injection. (Bron: CISA Alerts)

Nederlandse Overheidsfunctionarissen — Signal/WhatsApp Kapingcampagne

• In de week van 9-15 maart 2026 zijn Nederlandse overheidsfunctionarissen en journalisten doelwit van een phishing-campagne gericht op Signal- en WhatsApp-accounts. Signal heeft een advisory gepubliceerd. (Bron: Digital Forensics Magazine, 20 maart 2026)

• Communicatie-infrastructuur van overheidsmedewerkers is direct bedreigd. Implementeer hardware security keys voor messaging-apps en awareness-training over account-kaping.

Governance & Compliance (EU/NL)

• DORA Register of Information: DNB-deadline was 20 maart 2026 (gisteren). AFM-deadline verlengd tot 31 maart. Formaat: xBRL-CSV via MyDNB/AFM Portal. Referentiedatum: 31 december 2025. (Bron: DNB)

• NIS2 Cyberbeveiligingswet: Tweede Kamer debat en stemming gepland maart 2026. Invoering gericht op 1 juli 2026. Uitgebreide verplichtingen voor bedrijven in vitale sectoren. (Bron: NCTV, Samen Digitaal Veilig)

• Digital Omnibus: IMCO/LIBE goedkeuring 18 maart (101-9-8). Plenaire stemming 26 maart. Machine-leesbare AI-contentmarkering verplicht per 2 november 2026. (Bron: AIACTO.eu)

• CRA Draft Guidance feedback tot 31 maart 2026. Richt zich op remote data processing, FOSS, support-periodes en samenspel met EU-wetgeving. (Bron: DLA Piper, EC Digital Strategy)

• BIO2 v1.3 gepubliceerd in Staatscourant (5 maart 2026). Risico-gebaseerde aanpak vervangt BBN-niveaus; aligneert met ISO 27002:2022. v1.4 gepland eind 2027. (Bron: BIO-overheid.nl, VNG)

• EDPB & EDPS: gezamenlijke opinie 19 maart over Cybersecurity Act 2 (CSA2) en NIS2-amendementen. AP prioriteert massasurveillance, AI-systemen en digitale weerbaarheid in 2026. (Bron: AP, EDPB)

Lane B — Daily Executive Brief

Control of the Day: Vulnerability Response SLA

• WIE: Security Operations / Vulnerability Management team

• WAT: Definieer en handhaaf een gedifferentieerd SLA voor kwetsbaarheidsrespons: CVSS 9.0+ = 24 uur, CVSS 7.0-8.9 = 72 uur, CVSS 4.0-6.9 = 14 dagen, CVSS <4.0 = 30 dagen

• WAAR: Vulnerability management platform (Qualys, Tenable, Rapid7), CMDB, change management systeem

• METRIC: Percentage kwetsbaarheden geremedieerd binnen SLA per ernst-categorie; target: 95% voor CVSS 9.0+

Failure Mode of the Day: Inadequate AI-Tooling Security Review

• FAALPATROON: AI-tools (Langflow, n8n, custom pipelines) worden uitgerold zonder dezelfde security-review als traditionele applicaties. Publiek bereikbare endpoints zonder authenticatie worden over het hoofd gezien.

• OORZAAK: AI-tooling valt buiten bestaande SDLC- en change-managementprocessen. Shadow AI-deployments ontsnappen aan vulnerability scanning.

• TEGENMAATREGEL: Neem alle AI-platforms op in het CMDB en vulnerability-scanning-scope. Vereis authenticatie op alle API-endpoints. Voer periodieke exposure-assessment uit op AI-tooling.

10 Minute Drill: AI-Pipeline Security Audit

• **1. *Open vulnerability scanner dashboard en filter op ‘AI’, ‘ML’, ‘Langflow’, ‘n8n’, ‘pipeline’ → Output: *Screenshot van alle AI-gerelateerde assets in CMDB

• **2. *Controleer netwerk-exposure: bekijk welke AI-endpoints publiek bereikbaar zijn zonder authenticatie → Output: *Lijst van exposed AI-endpoints met IP/poort/service

• **3. *Verifieer patch-status van Langflow, n8n, en andere AI-orchestratietools tegen CVE-2026-33017 en bekende CVE’s → Output: *Patch-compliance-rapport per AI-tool

• **4. *Exporteer API-key-inventaris voor alle AI-services; identificeer keys zonder rotatieschema → Output: *API-key-audit met laatste rotatiedatum

• **5. *Documenteer bevindingen in een AI-tooling-security-baseline en plan kwartaal-review → Output: *AI Security Baseline document v1.0 met reviewdatum

3 — Research Radar

ArXiv — Cryptography & Security (cs.CR)

Atomicity for Agents: Exposing, Exploiting, and Mitigating TOCTOU Vulnerabilities in Browser-Use Agents

Linxi Jiang, Zhijie Liu, Haotian Luo, Zhiqiang Lin

Identificeert TOCTOU-race-condition-kwetsbaarheden in browser-automatiseringsagenten en stelt mitigaties voor. Essentieel voor evaluatie van AI-agent-veiligheid in enterprise-automatisering.

https://arxiv.org/list/cs.CR/recent

Performance Testing of ChaCha20-Poly1305 for IoT and ICS Devices

Kristján Orri Ragnarsson, Jacky Mallett

Evalueert ChaCha20-Poly1305-encryptieprestaties op IoT- en ICS-apparaten. Relevant voor OT-security en critical-infrastructure-bescherming.

https://arxiv.org/list/cs.CR/current

On The Effectiveness of the UK NIS Regulations as a Mandatory Cybersecurity Reporting Regime

Various authors

Analyseert de effectiviteit van verplichte cybersecurity-incidentrapportage onder UK NIS-regelgeving. Direct relevant voor NIS2-implementatie in NL.

https://arxiv.org/list/cs.CR/current

FedTrident: Resilient Road Condition Classification Against Poisoning Attacks in Federated Learning

Sheng Liu, Panos Papadimitratos

Verdediging tegen data-poisoning-aanvallen in federated-learning-systemen. Kritiek voor gedistribueerde ML-deployments.

https://arxiv.org/list/cs.CR/current

ArXiv — Artificial Intelligence (cs.AI)

The Synthetic Web: Adversarially-Curated Mini-Internets for Diagnosing Epistemic Weaknesses of Language Agents

Various authors

Creëert synthetische webomgevingen om faalmodi van taalmodel-agenten systematisch te testen. Belangrijk voor AI-agentbetrouwbaarheid.

https://arxiv.org/list/cs.AI/current

DIG to Heal: Scaling General-purpose Agent Collaboration via Explainable Dynamic Decision Paths

Various authors

Framework voor coördinatie van meerdere AI-agenten met interpreteerbare besluitvormingspaden. Relevant voor enterprise multi-agent-systemen.

https://arxiv.org/list/cs.AI/current

ArXiv — Machine Learning (cs.LG)

DyMoE: Dynamic Expert Orchestration with Mixed-Precision Quantization for Efficient MoE Inference on Edge

Yuegui Huang, Zhiyuan Fang et al.

Efficiënte inferentie voor Mixture-of-Experts-modellen op edge-devices. Maakt on-premises AI-deployment op beperkte hardware mogelijk.

https://arxiv.org/list/cs.LG/current

Rigorous Error Certification for Neural PDE Solvers

Amartya Mukherjee, Maxwell Fitzsimmons et al.

Formele verificatiemethoden voor neurale netwerk-gebaseerde PDE-solvers met gecertificeerde foutgrenzen. Kritiek voor wetenschappelijke en engineering-toepassingen.

https://arxiv.org/list/cs.LG/current

HuggingFace Trending

• Llama 3.3 (Meta) — 8B/70B varianten. Grootste open-weight-ecosysteem met uitgebreide community fine-tunes.

• Qwen 3 7B — Sterkste 7B-model voor code-generatie (leidt HumanEval-benchmarks). Ideaal voor coding-assistant-toepassingen.

• Mistral Small 3 (Mistral AI) — 7B dense en Mixtral 8x7B MoE. Geoptimaliseerd voor snelle inferentie.

• Nemotron-Cascade 2 (NVIDIA) — 3B geactiveerde parameters MoE. IMO-goudmedaille en IOI-benchmarks.

4 — Open Source & GitHub Discovery

• OpenClaw (Python/TypeScript) 210K+ stars — Persoonlijke AI-assistent. Breakout-project van GTC 2026, >100K stars in eerste week.

• karpathy/autoresearch (Python) 23K+ stars — Research-automatisering door Andrej Karpathy. HN score 198. Automatiseert paper-discovery en -samenvatting.

• Shadowbroker (Python) 15K+ stars — OSINT-tool met 15 real-time databronnen. HN score 304. Relevant voor threat intelligence teams.

• mattpocock/skills (TypeScript) Trending stars — Personal skills directory. Community-gedreven competentie-mapping.

• Project N.O.M.A.D (Various) #1 Trendshift stars — Offline survival-computer met AI-tools. Interessant edge-computing-concept.

• Gstack (Shell/YAML) Trending stars — Claude Code development setup met 15 developer tools. Productiviteitsversneller.

5 — AI Apps & Tools

NVIDIA Agent Toolkit — Enterprise Agentic Platform

• NVIDIA lanceerde open-source Agent Toolkit, geadopteerd door Adobe, Salesforce, SAP, ServiceNow, Cisco, Palantir, Box en Red Hat. Platform voor enterprise-breed deployment van AI-agenten. (Bron: Enterprise Connect 2026)

Mistral AI — Small 4 + Forge Platform

• Mistral Small 4: 119B parameters, 256k context window, volledig open source. Geoptimaliseerd voor chat, coding, agentic tasks en complex redeneren. (Bron: Mistral AI)

• Mistral Forge: enterprise-platform voor het bouwen van frontier-grade modellen op eigen data. Relevant voor digitale soevereiniteit en data-governance. (Bron: American Bazaar Online)

• Leanstral: eerste open-source Lean 4-code-agent voor formele verificatie. 6B parameters, Apache 2.0. Relevant voor gereguleerde industrieën. (Bron: Mistral AI)

OpenAI Acquires Promptfoo

• OpenAI neemt AI-security-platform Promptfoo over voor vulnerability-detectie in AI-modellen. Signaleert integratie van AI-security in modelontwikkeling. (Bron: OpenAI Blog)

Spacelift Intelligence

• AI-aangedreven infrastructure-operations-platform voor overbelaste infra-teams. Automatiseert IaC-workflows met AI-gestuurde inzichten. (Bron: PR Newswire)

IBM + NVIDIA Expanded Collaboration

• GTC 2026-aankondiging: verdiepte samenwerking op AI-operationalisatie, GPU-native analytics en soevereine controles. (Bron: NVIDIA GTC)

6 — Regulatory & Ethics Monitor

DORA — Register of Information Deadlines

• DNB-deadline: 20 maart 2026 (gisteren). AFM-deadline: 31 maart 2026. xBRL-CSV-formaat via MyDNB/AFM Portal. Referentiedatum: 31-12-2025.

• Financiële instellingen die niet tijdig hebben ingediend moeten onmiddellijk contact opnemen met hun toezichthouder. DORA-register is fundamenteel voor ICT-risicobeheersing van de financiële sector.

NIS2 Cyberbeveiligingswet — Tweede Kamer

• Debat en stemming gepland maart 2026. Invoering gericht op 1 juli 2026. Uitgebreide verplichtingen voor vitale sectoren. (Bron: NCTV, Samen Digitaal Veilig)

• Organisaties in essentiële diensten moeten nu beginnen met gap-analyse tegen Cyberbeveiligingswet-vereisten. De implementatieperiode zal kort zijn.

EU AI Act — Implementatietijdlijn

• Volledige toepassingsdatum: 2 augustus 2026. Raad heeft nieuwe verboden aangenomen (non-consensuele intimate content, CSAM). Hoog-risico-deadlines: Annex III december 2027, Annex I augustus 2028. Boetes: €15M of 3% wereldwijde omzet. Elke lidstaat moet minimaal één AI-sandbox inrichten vóór 2 augustus 2026. (Bron: Consilium, Baker Botts)

Digital Omnibus — Naar Plenaire Stemming

• IMCO/LIBE goedkeuring 18 maart (101-9-8). Plenaire stemming 26 maart. Machine-leesbare AI-contentmarkering verplicht per 2 november 2026. Expliciet verbod op nudifier-systemen. (Bron: AIACTO.eu)

CRA — Feedback Periode

• Draft Guidance gepubliceerd 3 maart. Feedbackperiode loopt tot 31 maart 2026. Behandelt remote data processing, FOSS-uitzonderingen, support-periodes. (Bron: EC Digital Strategy, DLA Piper)

BIO2 v1.3 — Gepubliceerd

• Risico-gebaseerde aanpak vervangt BBN-niveaus. Aligneert met ISO 27002:2022. Operationaliseert Cyberbeveiligingswet-zorgverplichtingen. v1.4 gepland eind 2027. (Bron: BIO-overheid.nl, VNG)

EDPB/AP — Cybersecurity Act 2

• EDPB & EDPS adopteerden 19 maart gezamenlijke opinie over CSA2 en NIS2-amendementen. AP 2026-prioriteiten: massasurveillance, AI-systemen, digitale weerbaarheid. (Bron: EDPB, AP)

7 — The Daily Meta-Prompt

**Scenario: **Langflow CVE-2026-33017 is actief uitgebuit. Uw organisatie gebruikt Langflow in meerdere AI-pipelines. Zes aanvallers zijn geïdentificeerd met API-key-diefstal en database-credential-exfiltratie. Voer het volgende incident-response-protocol uit.

Taak 1 — Triage

#CheckStatusPrioriteitOwner1Identificeer alle Langflow-instanties in CMDB en netwerksegmentenOpenP1SOC Lead2Exporteer netwerklogboeken voor Langflow-endpoints (poort 7860/443) afgelopen 72 uurOpenP1Network Ops3Bekijk WAF/reverse-proxy-logs op verdachte POST-requests naar /api/v1/runOpenP1SOC Analyst4Controleer of Langflow-versie gepatcht is tegen CVE-2026-33017OpenP1Platform Team5Verifieer of publiek bereikbare Langflow-endpoints bestaan zonder authenticatieOpenP1Security Engineer

Taak 2 — Impact Assessment

#ImpactgebiedBeoordelingErnstActie1API-Key ExposureExporteer inventaris van alle API-keys gebruikt door Langflow-pipelinesKritiekRoteer alle keys2Database CredentialsBekijk welke databases bereikbaar zijn vanuit Langflow-service-accountKritiekRoteer DB-credentials3Supply ChainControleer downstream-systemen die Langflow-output consumeren op integriteitHoogAudit outputdata4Data ExfiltratieExporteer netflow-data voor anomaal uitgaand verkeer vanaf Langflow-hostsHoogForensisch onderzoek5Lateral MovementBekijk EDR-alerts op Langflow-hostsystemen voor post-exploitatie-indicatorenHoogEDR-analyse

Taak 3 — Containment Plan

#ActieOwnerDeadlineVerificatie1Isoleer alle Langflow-instanties van het netwerk via firewall-rulesNetwork OpsT+2hExporteer firewall-regelset; verifieer geen inbound-traffic2Roteer alle API-keys en database-credentials gebruikt door LangflowPlatform TeamT+4hExporteer key-rotatie-audit; verifieer oude keys gerevoked3Bekijk en exporteer IOC’s (IP-adressen, hashes) uit SIEM voor Langflow-gerelateerde eventsSOC AnalystT+4hIOC-lijst geëxporteerd en gedeeld met threat-intel-platform4Update Langflow naar gepatchte versie op isolated staging-omgevingDevOpsT+8hVerificatie van CVE-patch via versienummer en changelog5Voer vulnerability-scan uit op alle AI-pipeline-endpointsSecurity EngineerT+12hExporteer scanrapport; verifieer geen resterende exposed endpoints

Taak 4 — Risk Register

Risk IDBeschrijvingLIScoreMitigatieReview****OwnerIR-20260320-001Langflow RCE via CVE-2026-33017 met API-key-exfiltratie5525Isolatie + patching + credential-rotatie22-03SOC LeadIR-20260320-002Cisco FMC CVSS 10.0 zero-day met Interlock-ransomware5525Emergency patching vóór 22 maart deadline22-03Infra LeadIR-20260320-003SharePoint RCE actieve exploitatie, deadline morgen5420Verifieer januari-patch; isoleer unpatched servers21-03Platform LeadIR-20260320-004Ivanti EPMM zero-days treffen NL/EU overheid4520MDM-log-audit + credential-rotatie23-03MDM AdminIR-20260320-005DORA register-indiening compliance-risico3412Bevestig indiening bij DNB/AFM; bewaar ontvangstbewijs31-03Compliance

Taak 5 — Executive Update Template

**Aan: **CISO, CTO, VP Engineering

**Onderwerp: **[CRITICAL] Langflow CVE-2026-33017 Actieve Exploitatie — Incident Response Geactiveerd

**Status: **Incident response geactiveerd. Langflow-instanties worden geïsoleerd. API-keys en database-credentials in rotatie. Tegelijkertijd worden Cisco FMC (deadline 22 maart), SharePoint (deadline 21 maart) en Ivanti EPMM (deadline 23 maart) met urgentie gepatcht.

**Impact: **Potentiële API-key- en credential-exfiltratie via Langflow. Drie CISA-deadlines binnen 72 uur voor Cisco FMC, SharePoint en SD-WAN. DORA-register ingediend bij DNB.

**Vervolgacties: **1) Forensisch onderzoek Langflow-hosts (T+12h). 2) Patch-verificatie Cisco FMC/SD-WAN (T+24h). 3) SharePoint patch-compliance-rapport (T+4h). 4) DORA-indieningsbevestiging (vandaag).

**Volgende update: **21 maart 2026, 09:00 CET

8 — Sources & Distribution Assets

Bronnen per Categorie

Lane A — Security

• CISA Known Exploited Vulnerabilities Catalog — cisa.gov/known-exploited-vulnerabilities-catalog

• CISA Alerts 19-20 maart 2026 — cisa.gov/news-events/alerts

• CISA Emergency Directive ED 26-03 — cisa.gov/news-events/directives/ed-26-03

• SecurityWeek — securityweek.com (SharePoint, Langflow)

• BleepingComputer — bleepingcomputer.com (GlassWorm, APT28, Interlock)

• The Hacker News — thehackernews.com (Cisco FMC, SD-WAN, Langflow)

• Help Net Security — helpnetsecurity.com (Cisco FMC, ScreenConnect)

• Sysdig Blog — sysdig.com/blog (Langflow exploitation analysis)

• Rapid7 2026 Global Threat Landscape Report — rapid7.com

• Unit42/Palo Alto — unit42.paloaltonetworks.com (Ivanti EPMM)

• The Record/Recorded Future — therecord.media (Zimbra, Ivanti NL/EU)

• Krebs on Security — krebsonsecurity.com (Stryker/Handala)

• Arctic Wolf — arcticwolf.com (Cisco SD-WAN, Stryker)

• NCSC-NL Advisories — advisories.ncsc.nl

• CERT-EU — cert.europa.eu/publications

• Digital Forensics Magazine — digitalforensicsmagazine.com (Signal/WhatsApp)

Lane B — Executive Brief

• NIST Cybersecurity Framework (CSF) 2.0 — nist.gov/cyberframework

• CIS Controls v8.1 — cisecurity.org/controls

• OWASP Top 10 for LLM Applications — owasp.org

Research & AI

• ArXiv — arxiv.org (cs.CR, cs.AI, cs.LG)

• HuggingFace — huggingface.co/blog (State of OS Spring 2026)

• NVIDIA GTC 2026 — blogs.nvidia.com/blog/gtc-2026-news

• Mistral AI — mistral.ai/news (Small 4, Forge, Leanstral)

• OpenAI — openai.com/index (Promptfoo acquisition)

GitHub & Tools

• GitHub Trending — github.com/trending

• Trendshift — trendshift.io

• ShareUHack Weekly — shareuhack.com

Regulatory

• DNB DORA Guidance — dnb.nl/en/sector-news/supervision-2026

• NCTV Cyberbeveiligingswet — nctv.nl/onderwerpen/cyberbeveiligingswet

• Samen Digitaal Veilig — samendigitaalveilig.nl

• EU AI Act Implementation — artificialintelligenceact.eu

• AIACTO.eu — aiacto.eu (Digital Omnibus IMCO/LIBE)

• EC Digital Strategy — digital-strategy.ec.europa.eu (CRA guidance)

• DLA Piper — dlapiper.com (CRA analysis)

• BIO-overheid.nl — bio-overheid.nl (BIO2 v1.3)

• EDPB Work Programme — privacy-web.nl (EDPB 2026-2027)

• Autoriteit Persoonsgegevens — autoriteitpersoonsgegevens.nl

Distribution Assets

LinkedIn Post (max 3000 tekens)

🔴 CRITICAL: Tech & Security Intelligence — 19-20 maart 2026

Drie CVSS 10.0-kwetsbaarheden tegelijkertijd actief uitgebuit:

• ⚠️ Langflow CVE-2026-33017 (CVSS 9.3) — exploited in 20 uur. Zes aanvallers stalen API-keys en DB-credentials uit AI-pipelines

• ⚠️ Cisco FMC CVE-2026-20131 (CVSS 10.0) — Interlock-ransomware exploiteerde 36 dagen als zero-day. Deadline 22 maart

• ⚠️ Cisco SD-WAN CVE-2026-20127 (CVSS 10.0) — 3 JAAR onopgemerkt uitgebuit. CISA Emergency Directive ED 26-03

• ⚠️ SharePoint CVE-2026-20963 (CVSS 9.8) — CISA deadline MORGEN 21 maart

Plus: Ivanti EPMM dual zero-days treffen NL/EU overheid • APT28 Operation GhostMail via Zimbra • GlassWorm 400+ repos • NL overheidsfunctionarissen Signal-kaping

Regulatory: DORA DNB register ingediend • NIS2 Cyberbeveiligingswet nadert stemming • Digital Omnibus plenair 26 maart • CRA feedback tot 31 maart

Rapid7 rapport: exploited CVE’s +105% YoY, mediane tijd tot KEV 5 dagen.

#CyberSecurity #CISO #NIS2 #DORA #EUAIAct #ThreatIntelligence #Langflow #CiscoSecurity #ZeroDay #DigitalSovereignty

CISO Flash Card

PrioriteitItemActieP0 — NUSharePoint CVE-2026-20963 CISA deadline 21 maartVerifieer januari-patch; isoleer unpatched serversP0 — 24hCisco FMC CVE-2026-20131 CISA deadline 22 maartEmergency patching; controleer op Interlock-IOC’sP0 — 24hLangflow CVE-2026-33017 actieve exploitatieIsoleer instanties; roteer API-keys en DB-credentialsP0 — 48hCisco SD-WAN ED 26-03 deadline 23 maartPatch + syslog naar CLAW; audit UAT-8616 IOC’sP1 — 48hIvanti EPMM CVE-2026-1281/1340 deadline 23 maartMDM-log-audit; credential-rotatie; patch EPMMP1 — WeekConnectWise ScreenConnect CVE-2026-3564Update naar v26.1+; roteer ASP.NET machine keysP2 — ComplianceDORA Register (AFM deadline 31 maart)Bevestig DNB-indiening; bereid AFM-indiening voorP2 — MonitorNIS2 / Digital Omnibus / CRAGap-analyse Cyberbeveiligingswet; CRA feedback 31 maart