Cisco Unified CM-sårbarhet CVE-2026-20230 utnyttes nå i angrep. CISA legger til Ubiquiti UniFi OS-sårbarheter i katalog over aktivt utnyttede sårbarheter. Hackere bruker planlagt oppgave «GoogleErrorReport» for vedvarende tilgang i Dropping Elephant-kampanje.
Cisco Unified CM-sårbarhet CVE-2026-20230 utnyttes nå i angrep
En aktivt utnyttet sårbarhet i Cisco Unified Communications Manager (Unified CM) og Cisco Unified Communications Manager Session Management Edition (Unified CM SME) gjør det mulig for en uautentisert angriper å utføre SSRF angrep og oppnå root rettigheter på berørte systemer. Sårbarheten ligger i WebDialer komponenten og skyldes mangelfull validering av spesifikke HTTP forespørsler. Ved å sende spesiallagde HTTP forespørsler kan angriperen skrive filer til det underliggende operativsystemet, som deretter brukes til privilegieeskalering til root. Defused observerte aktiv utnyttelse fra én IP adresse hvor korrekt konstruerte file://-payloads ble brukt til å opprette filer på enhetene. Den observerte koden skrev blant annet filen /tmp/cve-2026-20230-test.txt for å identifisere sårbare systemer. Cisco publiserte sikkerhetsoppdateringer 3. juni 2026, og sårbarheten krever at WebDialer tjenesten er aktivert for å kunne utnyttes.
Oppgrader til en Cisco-versjon som inneholder rettelsen, eller deaktiver WebDialer-tjenesten dersom oppgradering ikke kan gjennomføres umiddelbart.
CISA legger til Ubiquiti UniFi OS-sårbarheter i katalog over aktivt utnyttede sårbarheter
Flere kritiske sårbarheter i Ubiquiti UniFi OS er lagt til av CISA i Known Exploited Vulnerabilities katalogen etter bevis på aktiv utnyttelse. Sårbarhetene påvirker UniFi OS enheter og UniFi OS Server, og omfatter feil i tilgangskontroll, katalogtraversering og kommandoinjeksjon. CVE-2026-34908 gjør det mulig å utføre uautoriserte endringer uten autentisering, mens CVE-2026-34909 gir tilgang til filer på det underliggende operativsystemet gjennom en path traversal feil. CVE-2026-34910 muliggjør kommandoinjeksjon etter at de andre sårbarhetene er brukt til å omgå autentisering. Når sårbarhetene kombineres kan en angriper oppnå ekstern kodekjøring med root rettigheter på berørte systemer. Konsekvensene inkluderer full administrativ kontroll, tilgang til lagrede hemmeligheter, manipulering av administratorkontoer og kompromittering av administrerte nettverksenheter.
Oppgrader berørte UniFi OS-systemer til leverandørens korrigerte versjoner så raskt som mulig.
Hackere bruker planlagt oppgave «GoogleErrorReport» for vedvarende tilgang i Dropping Elephant-kampanje
Dropping Elephant har lansert en oppdatert kampanje som bruker en ondsinnet Windows snarvei (GRES3001.lnk) forkledd som et PDF dokument for å installere en fjernstyringstrojaner (RAT). Når filen åpnes, starter den et PowerShell skript som laster ned flere komponenter fra chinagreenenergy[.]org, som inkludert Fondue.exe, APPWIZ.cpl og en kryptert nyttelast som dekrypteres og lastes direkte inn i minnet via Donut loader. RAT en benytter DLL side loading gjennom Fondue.exe og APPWIZ.cpl, og kjøres uten å skrive den endelige nyttelasten til disk. For persistens oppretter skadevaren en planlagt oppgave kalt «GoogleErrorReport» som kjører Fondue.exe hvert minutt fra C:\Users\Public, slik at infeksjonen automatisk gjenopprettes etter avbrudd. RAT en samler systeminformasjon, tar skjermbilder, laster opp og ned filer og mottar kommandoer fra gcl-power[.]org over HTTPS på port 443. Koden inneholder kontrollflyt obfuskering, oppdager debugger og sandbox prosesser, og manipulerer AMSI, WLDP og ETW for å redusere muligheten for analyse og deteksjon. All kommunikasjon krypteres med Salsa20 og Base64-koding.
Overvåk og undersøk planlagte oppgaver med navnet «GoogleErrorReport» som kjører binærfiler fra C:\Users\Public
