Ny Linux "pedit COW" sårbarhet muliggjør root tilgang ved korrupsjon av cachede binærfiler. GitHub-repo kan lure AI kodeagenter til å kjøre skjult skadevare. Angrep via falske OpenAI organisasjoner retter seg mot sikkerhetsselskaper. DirtyClone sårbarhet i Linux gir lokal root tilgang via klonede nettverkspakker. Amazon Q sårbarhet ga kodekjøring og tilgang til skymiljøer.
Ny Linux "pedit COW" sårbarhet muliggjør root tilgang ved korrupsjon av cachede binærfiler
En sårbarhet i Linux kjernens trafikkontrollsubsystem gjør det mulig for en lokal uprivilegert bruker å oppnå root rettigheter på berørte systemer. Sårbarheten, CVE-2026-46331, kalt "pedit COW", er en out-of-bounds write i pakkeredigeringsfunksjonen act_pedit som korrumperer delt page cache-minne. Angrepet endrer den cachede kopien av en setuid binær, for eksempel /bin/su, i minnet uten å endre filen på disk, slik at filintegritetskontroller fortsatt viser at filen er uendret samtidig som den modifiserte binæren kjøres med root rettigheter. Utnyttelsen krever at act_pedit-modulen kan lastes og at uprivilegerte user namespaces er aktivert, slik at angriperen får CAP_NET_ADMIN i sitt navnerom. Artikkelen opplyser at en offentlig fungerende proof-of-concept (PoC) ble publisert dagen etter at CVE ble tildelt, og at RHEL 10 og Debian 13 er bekreftet sårbare under standardkonfigurasjon.
Installer oppdatert Linux kjerne og start systemet på nytt. Dersom oppdatering ikke er mulig, deaktiver act_pedit eller uprivilegerte user namespaces dersom dette er forenlig med driftsmiljøet.
GitHub-repo kan lure AI kodeagenter til å kjøre skjult skadevare
Eksperter fra Mozillas Zero Day Investigative Network (0DIN) har demonstrert en ny angrepsmetode der et tilsynelatende legitimt GitHub repositorium kan få AI baserte kodeagenter til å kjøre ondsinnet kode uten at det oppdages. Repositoriet inneholder ingen synlig skadevare, og verken sikkerhetsverktøy, AI agenter eller utviklere får tydelige varsler.
Angrepet utnytter en kjede av tilsynelatende legitime steg. Et normalt oppsett med installasjonsinstruksjoner, en Python pakke som bevisst feiler og ber om initialisering, og en kommando som henter data fra en DNS TXT record kontrollert av angriperen. AI agenten tolker feilen som et vanlig oppsettproblem og kjører automatisk kommandoen som til slutt leverer et skjult payload.
Dersom angrepet lykkes, får angriperen et interaktivt shell med samme rettigheter som utvikleren. Dette kan gi tilgang til miljøvariabler, API nøkler og lokale konfigurasjoner, samt mulighet for videre kompromittering og persistens. Metoden krever ingen eksplisitt exploit kode i repositoriet, siden angrepets logikk er spredd over flere lag som hver for seg virker ufarlige.
Selv om konseptet foreløpig er demonstrert i et kontrollert scenario, advarer eksperter om at slike repositorier enkelt kan spres via for eksempel jobbannonser, guider eller meldinger til utviklere. De anbefaler bedre transparens i AI agenter, spesielt rundt hvilke kommandoer og eksterne ressurser som faktisk kjøres under oppsett.
Verifiser kilder før kjøring av kode, begrens automatiske handlinger i AI verktøy, og gjennomgå alle init og setup steg manuelt ved bruk av tredjeparts kode.
Angrep via falske OpenAI organisasjoner retter seg mot sikkerhetsselskaper
Trusselaktører oppretter falske OpenAI organisasjoner som utgir seg for legitime selskaper, og inviterer ansatte til å bli med. Invitasjonene sendes fra OpenAIs legitime e-postadresse og passerer autentisering, noe som gjør dem svært troverdige og vanskelig å oppdage som phishing.
Kampanjen, omtalt som “Poisoned Tenant”, ble avdekket av Push Security etter at ansatte mottok invitasjoner til en falsk organisasjon som utga seg for deres eget selskap. Angriperne hadde kartlagt spesifikke ansatte og gitt dem administrative rettigheter, noe som gir full tilgang i tenantet. Selv om OpenAI viser en advarsel om at domenet ikke samsvarer med selskapet, er denne lett å overse i invitasjonen.
Formålet ser ut til å være datainnsamling. Ved å få ansatte til å bruke den falske ChatGPT arbeidsflaten, kan angriperne få tilgang til sensitive data som kildekode, interne dokumenter og kundedata via prompts og prosjekter. Angrepet skiller seg fra tradisjonell phishing ved at det utnytter legitime SaaS unksjoner, noe som gjør det mer sannsynlig å omgå sikkerhetskontroller.
Verifiser uventede invitasjoner til organisasjoner, overvåk medlemskap i SaaS plattformer, og øk bevisstheten rundt denne typen sosial manipulering.
DirtyClone sårbarhet i Linux gir lokal root tilgang via klonede nettverkspakker
En ny lokal privilegieeskaleringssårbarhet i Linux kjernen, kalt DirtyClone, gjør det mulig for uprivilegerte lokale brukere å oppnå root tilgang ved å manipulere klonede nettverkspakker gjennom XFRM/IPsec subsystemet. Sårbarheten påvirker funksjonen __pskb_copy_fclone(), som mister sikkerhetsflagget SKBFL_SHARED_FRAG under pakkekloning, noe som fører til feil håndtering av sidebufferminne (page cache). Angrepet utnytter en kjede med vmsplice, splice, netfilter TEE og IPsec dekryptering for å overskrive den minnebaserte kopien av en privilegert binærfil uten å endre filen på disk eller etterlate spor i kjernelogger eller revisjonslogger. Berørte systemer omfatter blant annet Debian og Fedora med aktiverte uprivilegerte navnerom som standard, mens Ubuntu 24.04+ har delvis begrensning via AppArmor. Feilen er rettet i Linux v7.1-rc5 og gjennom tilbakeporterte oppdateringer til vedlikeholdte kjerner.
Oppdater Linux kjernen til v7.1-rc5 eller installer distribusjonens tilbakeporterte oppdatering for CVE-2026-43503. Dersom oppdatering ikke er mulig umiddelbart, begrens uprivilegerte navnerom, svartelist modulene esp4, esp6 og rxrpc dersom IPsec ikke brukes, og tøm sidebufferen etter at tiltakene er innført.
Amazon Q sårbarhet ga kodekjøring og tilgang til skymiljøer
En sårbarhet med høy alvorlighetsgrad i Amazon Q Developer utvidelsen gjorde det mulig å kjøre vilkårlig kode og hente ut sky-brukerdetaljer når en utvikler åpnet et kompromittert kodearkiv. Feilen skyldtes at Amazon Q automatisk lastet MCP konfigurasjoner fra .amazonq/mcp.json uten brukerens samtykke eller kontroll av om arbeidsområdet var tillitsverdig, samtidig som opprettede prosesser arvet hele utviklerens miljøvariabler. Dette gjorde det mulig å hente ut blant annet AWS legitimasjon, API nøkler, CLI tokens og SSH agent tilkoblinger til en angriper-kontrollert server. Artikkelen beskriver også en egen sårbarhet der manglende validering av symbolske lenker muliggjorde traversering av katalog utenfor arbeidsområdet. Berørte produkter omfatter Amazon Q Developer for VS Code, JetBrains, Eclipse, Visual Studio og Language Servers for AWS under de oppgitte versjonene. Amazon har publisert sikkerhetsoppdateringer, og oppdaterte versjoner installeres automatisk for de fleste brukere.
Oppdater alle Amazon Q Developer-utvidelser til siste versjon, kontroller .amazonq/ kataloger i ukjente kodearkiver, og godkjenn bare MCP servere som er eksplisitt verifisert og tillitsverdige.
