Over 4 000 bakdører kapret ved registrering av utløpte domener. Ivanti advarer om ny Connect Secure-sårbarhet utnyttet i zero-day-angrep.
Over 4 000 bakdører kapret ved registrering av utløpte domener
Over 4 000 forlatte, men fremdeles aktive web-bakdører ble overtatt da sikkerhetsforskere registrerte utløpte domener som kontrollerte dem. Blant de kompromitterte systemene var servere til myndigheter, universiteter og offentlige etater. Ved å kjøpe utløpte adresser, hindret forskerne at ondsinnede aktører kunne ta over domenene og misbruke dem videre. Disse bakdørene – blant annet r57shell, c99shell og “China Chopper” – gir inntrengere fjerntilgang til offerets systemer.
Som et forebyggende tiltak overlot WatchTowr Labs ansvaret for domenene til The Shadowserver Foundation, som sender trafikken videre til en server hos dem (sink-hole). Dermed stanser og registrerer de potensielt skadelige aktiviteter og sikrer at bakdørene ikke blir misbrukt på nytt.
Ivanti advarer om ny Connect Secure-sårbarhet utnyttet i zero-day-angrep
Ivanti varsler at angripere har utnyttet en kritisk sårbarhet (CVE-2025-0282) i Connect Secure for å installere skadevare på sårbare enheter. Feilen er en buffer-overflow som gjør det mulig for uvedkommende å kjøre kode fra eksternt ståsted.
Ivanti har allerede utgitt oppdatering i firmware versjon 22.7R2.5, mens tilsvarende fikser for Policy Secure og Neurons for ZTA ikke kommer før 21. januar 2025. Selskapet anbefaler å slette konfigurasjon (factory reset) før oppgradering, dersom skanninger avdekker kompromittering. En tilhørende svakhet (CVE-2025-0283) kan misbrukes til å eskalere privilegier lokalt, men er foreløpig ikke observert i aktive angrep.
Oppdater til firmwareversjon 22.7R2.5
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.