Oppdateringer fra Atlassian og Splunk. Apple har sluppet oppdaterte versjoner av iOS og macOS. Sikkerhetsforskere omgår tofaktorautentisering i Microsoft Azure. Politiet stenger 27 DDoS booter-tjenester i forkant av årlige juleangrep.
Oppdateringer fra Atlassian og Splunk
Atlassian har sluppet 10 oppdateringer for Bamboo, Bitbucket og Confluence. Alle har fått alvorlighetsgrad "høy" med CVSS-score på 7.1 - 8.1. Det er ikke meldt om at svakhetene utnyttes i aktive angrep.
Splunk er også ute med 7 nye bulletins som fikser 15 svakheter i sine produkter og tredjepartsbiblioteker. Den mest alvorlige svakheten har fått en CVSS-score på 8.8 og er en deserialiseringssvakhet som kan føre til at en bruker med lave rettigheter kan kjøre vilkårlig kode fra eksternt ståsted. Splunk Enterprise versjon 9.3.2, 9.2.4, and 9.1.7 fikser svakhetene.
Apple har sluppet oppdaterte versjoner av iOS og macOS
Apple har gitt ut iOS 18.2 og macOS Sequoia 15.2 med oppdateringer for en mengde svakheter i blant annet kjernen, WebKit, AppleMobileFileIntegrity, passord-håndtering og ImageIO. watchOS, tvOS og visionOS er også oppdatert.
Sikkerhetsforskere omgår tofaktorautentisering i Microsoft Azure
Oasis Securitys forskningsteam avdekket en kritisk sårbarhet i Microsofts implementering av tofaktorautentisering (MFA) som tillot angripere å omgå den og få uautorisert tilgang til brukerkontoer. Sårbarheten utnyttet manglende "rate limiting" og et tidsvindu på 3 minutter for å gjette en 6-sifret kode fra en autentiseringsapp. Dette gjorde det mulig å utføre et stort antall gjetninger på kort tid uten å varsle brukeren, eller uten at systemet hindret forsøkene. I snitt tok det rundt 70 minutter å logge inn på en konto med 6-sifret kode som andre faktor. Microsoft har løst problemet ved å innføre strengere "rate limiting" etter et visst antall mislykkede forsøk.
Politiet stenger 27 DDoS booter-tjenester i forkant av årlige juleangrep
I en internasjonal aksjon kalt "Operation PowerOFF" har politiet stengt 27 plattformer som tilbyr DDoS-angrep. Aksjonen koordineres av Europol og involverer 15 land. Målet er å holde både tilbydere og brukere av slike tjenester ansvarlige. Tre administratorer bak plattformene er arrestert, og over 300 brukere er identifisert for videre etterforskning.
Julehøytiden har historisk være en en periode med økt risiko for DDoS-angrep. Motivene bak angrepene varierer fra økonomisk vinning til ideologiske årsaker.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.