Over 12,000 KerioControl-brannmurer eksponert for utnyttet RCE-sårbarhet. Apple fikser zero-day utnyttet i 'ekstremt sofistikerte' angrep. Microsoft advarer om at angripere utnytter eksponerte ASP.NET-nøkler til å distribuere skadelig programvare.
Over 12,000 KerioControl-brannmurer eksponert for utnyttet RCE-sårbarhet
Over 12 000 GFI KerioControl-brannmurinstanser er sårbare for Remote Code Execution (RCE) angrep (CVE-2024-52875). Sårbarheten ble oppdaget i midten av desember 2024 av sikkerhetsforsker Egidio Romano, som demonstrerte potensialet for farlige ett-klikks utnyttelser. GFI Software rullet ut en sikkerhetsoppdatering (versjon 9.4.5 Patch 1) den 19. desember 2024. Til tross for dette rapporterer The Shadowserver Foundation at 12 229 KerioControl-brannmurer fortsatt er eksponert for angrep som utnytter denne sårbarheten. De fleste av disse instansene befinner seg i Iran, USA, Italia, Tyskland, Russland, Kasakhstan, Usbekistan, Frankrike, Brasil, og India. En offentlig tilgjengelig proof-of-concept (PoC) øker også risikoen for utnyttelse.
Administratorer oppfordres sterkt til å oppdatere til den nyeste versjonen for å beskytte systemene sine.
Apple fikser zero-day utnyttet i 'ekstremt sofistikerte' angrep
Apple har utgitt nødoppdateringer for å rette en nulldagssårbarhet (CVE-2025-24200) som har blitt utnyttet i målrettede og svært sofistikerte angrep. Sårbarheten tillot fysiske angripere å deaktivere USB-begrenset modus på låste enheter, noe som potensielt åpnet for uautorisert uthenting av informasjon. USB-begrenset modus, introdusert i iOS 11.4.1, blokkerer USB-tilbehør fra å opprette en datatilkobling hvis enheten har vært låst i over en time. Sårbarheten er nå adressert i iOS 18.3.1 og iPadOS 18.3.1 med forbedret tilstandshåndtering.
Brukere bør umiddelbart oppdatere sine iPhone- og iPad-enheter til iOS 18.3.1 eller iPadOS 18.3.1 for å beskytte mot denne sårbarheten. Det er også viktig å være oppmerksom på fysisk tilgang til enhetene og sikre dem mot uautorisert tilgang.
Microsoft advarer om at angripere utnytter eksponerte ASP.NET-nøkler til å distribuere skadelig programvare
Microsoft har oppdaget at angripere utnytter statiske ASP.NET-maskinnøkler funnet på nettet til å utføre kodeinjeksjonsangrep via ViewState. Disse nøklene, som ofte hentes fra offentlige kodeplattformer, brukes til å generere ondsinnede ViewStates med gyldig message authentication code (MAC). Når slike ViewStates sendes via POST-forespørsler, dekrypterer og validerer ASP.NET Runtime dem. Dette kan gi angriperne mulighet til å kjøre vilkårlig kode på målets IIS-webserver. I desember 2024 observerte Microsoft et tilfelle der en angriper brukte en offentlig kjent maskinnøkkel til å levere Godzilla-rammeverket, som har funksjoner for kommandoeksekvering og injeksjon av shellkode.
Utviklere bør unngå å bruke statiske eller offentlig tilgjengelige maskinnøkler i sine applikasjoner. Det anbefales å generere unike nøkler for hver implementering og sikre at disse holdes konfidensielle. Regelmessig gjennomgang av kodebasen for å identifisere og erstatte potensielt kompromitterte nøkler er også viktig.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.