GitLab utgir sikkerhetsoppdateringer for kritiske autentiseringsomgåelsessårbarheter. Ny SuperBlack løsepengevirus utnytter Fortinet autentiseringsomgåelses-sårbarheter. ClickFix-angrep distribuerer infostealere og RAT-er via falske Booking.com-e-poster. Ny nordkoreansk Android-spyware oppdaget på Google Play. Juniper tetter sårbarhet som lot kinesiske cyberspioner bakdør rutere siden midten av 2024.
GitLab utgir sikkerhetsoppdateringer for kritiske autentiseringsomgåelsessårbarheter
GitLab har utgitt sikkerhetsoppdateringer for Community Edition (CE) og Enterprise Edition (EE), som adresserer ni sårbarheter, inkludert to kritiske feil i ruby-saml-biblioteket. Disse sårbarhetene, identifisert som CVE-2025-25291 og CVE-2025-25292, tillater en autentisert angriper med tilgang til et gyldig signert SAML-dokument å utgi seg for en annen bruker innenfor samme SAML Identity Provider (IdP)-miljø. Dette kan føre til uautorisert tilgang til brukerens kontoer, potensielle databrudd og eskalering av privilegier. Sårbarhetene påvirker alle versjoner før 17.7.7, 17.8.5 og 17.9.2.
Det anbefales sterkt at alle installasjoner som kjører berørte versjoner oppgraderes til de nyeste versjonene (17.7.7, 17.8.5 eller 17.9.2) så snart som mulig for å forhindre potensielle sikkerhetsbrudd
Ny SuperBlack løsepengevirus utnytter Fortinet autentiseringsomgåelses-sårbarheter
En ny løsepengevirus kalt 'SuperBlack', operert av en aktør kjent som 'Mora_001', utnytter to autentiseringsomgåelses-sårbarheter i Fortinets produkter: CVE-2024-55591 og CVE-2025-24472. Disse sårbarhetene, avslørt av Fortinet i henholdsvis januar og februar 2025, tillater uautorisert tilgang til FortiGate-brannmurer. 'SuperBlack' ble oppdaget i slutten av januar 2025, med angrep som startet så tidlig som 2. februar 2025.
Administratorer bør umiddelbart oppdatere FortiOS og FortiProxy til de nyeste versjonene som adresserer disse sårbarhetene. Det anbefales også å gjennomgå nettverkslogger for tegn på uautorisert tilgang eller mistenkelig aktivitet, samt å implementere ytterligere sikkerhetstiltak for å beskytte mot fremtidige angrep.
ClickFix-angrep distribuerer infostealere og RAT-er via falske Booking.com-e-poster
Microsoft advarer om en pågående phishing-kampanje som utgir seg for å være Booking.com. Denne kampanjen, som startet i desember 2024, retter seg mot ansatte i hotell- og reiselivsbransjen. Angriperne bruker ClickFix-teknikker, der falske feil vises for å lure brukere til å utføre "fikser" som faktisk installerer infostealere og fjernadministrasjonsverktøy (RATs) på enhetene deres. Målet er å kapre ansattkontoer på Booking.com for å stjele kunders betalingsinformasjon og personlige data, noe som kan føre til ytterligere angrep mot gjester.
Ansatte i hotell- og reiselivsbransjen bør være ekstra årvåkne overfor e-poster som utgir seg for å være fra Booking.com. Det er viktig å unngå å klikke på lenker eller utføre handlinger som foreslås i slike e-poster uten å verifisere deres ekthet. Implementering av tofaktorautentisering og regelmessig opplæring i sikkerhetstiltak anbefales for å redusere risikoen for kompromittering.
Ny nordkoreansk Android-spyware oppdaget på Google Play
En ny Android-spyware kalt 'KoSpy', knyttet til den nordkoreanske trusselaktøren APT37 (også kjent som 'ScarCruft'), har infiltrert Google Play og tredjeparts app-butikken APKPure gjennom minst fem ondsinnede apper. Disse appene, maskert som filbehandlere, sikkerhetsverktøy og programvareoppdateringer, har vært aktive siden mars 2022 og retter seg mot koreansk- og engelsktalende brukere. 'KoSpy' kan samle inn omfattende data fra infiserte enheter, inkludert SMS-meldinger, anropslogger, posisjonsdata, filer, lydopptak og skjermbilder.
Brukere bør umiddelbart avinstallere de identifiserte ondsinnede appene: '휴대폰 관리자' (Phone Manager), 'File Manager' (com.file.exploer), '스마트 관리자' (Smart Manager), '카카오 보안' (Kakao Security) og 'Software Update Utility'. Aktiver Google Play Protect for å motta varsler om potensielt skadelige apper, og unngå å laste ned apper fra uoffisielle kilder.
Juniper tetter sårbarhet som lot kinesiske cyberspioner bakdør rutere siden midten av 2024
Juniper Networks har utgitt sikkerhetsoppdateringer for å adressere en sårbarhet i Junos OS, identifisert som CVE-2025-21590. Denne sårbarheten, forårsaket av utilstrekkelig isolasjon i kjernen, tillater lokale angripere med høye privilegier å kjøre vilkårlig kode på sårbare rutere, noe som kompromitterer enhetenes integritet. Kinesiske cyberspioner, kjent som UNC3886, har utnyttet denne sårbarheten siden midten av 2024 ved å installere skreddersydde bakdører på Juniper MX-rutere som kjører utgått maskinvare og programvare. Disse bakdørene inkluderer aktive og passive funksjoner, samt skript som deaktiverer loggingsmekanismer for å unngå oppdagelse.
Det anbefales sterkt at alle som bruker berørte Juniper-enheter, oppdaterer til de nyeste versjonene av Junos OS så snart som mulig. I mellomtiden bør shell-tilgang begrenses til kun betrodde brukere for å redusere risikoen for utnyttelse.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.