Samsung MagicINFO 9 Server RCE-sårbarhet nå aktivt utnyttet i angrep. Play Ransomware utnyttet Windows-sårbarhet CVE-2025-29824 som zero-day. Cisco oppdaterer CVE-2025-20188 (10.0 CVSS) i IOS XE som muliggjør root-utnyttelse via JWT.
Samsung MagicINFO 9 Server RCE-sårbarhet nå aktivt utnyttet i angrep
En alvorlig sårbarhet (CVE-2024-7399) i Samsung MagicINFO 9 Server, et system for fjernstyring av digital skilting, blir nå aktivt utnyttet av angripere. Sårbarheten tillater uautentisert fjernkjøring av kode (RCE) ved at angripere laster opp en ondsinnet .jsp-fil via en uautorisert POST-forespørsel, som deretter kan kjøres for å utføre vilkårlige kommandoer på serveren. Sårbarheten ble først offentliggjort i august 2024 og ble adressert i versjon 21.1050. Etter publiseringen av en proof-of-concept (PoC) 30. april 2025, har sikkerhetsfirmaet Arctic Wolf rapportert om aktiv utnyttelse, inkludert bruk av Mirai-botnett for å kompromittere enheter.
Administratorer bør umiddelbart oppgradere Samsung MagicINFO Server til versjon 21.1050 eller nyere for å tette sårbarheten. Det anbefales også å begrense nettverkstilgang til serveren og overvåke systemlogger for mistenkelige fil operasjoner.
Play Ransomware utnyttet Windows-sårbarhet CVE-2025-29824 som zero-day
Trusselaktører tilknyttet Play-ransomwaregruppen utnyttet en nylig patchet sårbarhet i Microsoft Windows, CVE-2025-29824, som en zero-day i et angrep mot en amerikansk organisasjon. Sårbarheten, en privilegie-eskalering i Common Log File System (CLFS)-driveren, ble brukt til å oppnå SYSTEM-rettigheter. Angrepet inkluderte bruk av Grixba, en spesialtilpasset informasjonstyv, og en uautorisert opprettelse av en administratorkonto. Det ble ikke distribuert noen ransomware-payload i dette tilfellet, noe som indikerer at aktørene fokuserte på informasjonsinnsamling og etablering av vedvarende tilgang.
Cisco oppdaterer CVE-2025-20188 (10.0 CVSS) i IOS XE som muliggjør root-utnyttelse via JWT
Cisco har rettet en kritisk sårbarhet (CVE-2025-20188) i sine IOS XE Wireless Controllers, som kunne tillate en uautentisert angriper å laste opp vilkårlige filer og kjøre kommandoer med root-rettigheter. Feilen skyldes en hardkodet JSON Web Token (JWT) og kan utnyttes via spesiallagde HTTPS-forespørsler hvis funksjonen Out-of-Band AP Image Download er aktivert. Denne funksjonen er imidlertid deaktivert som standard, og kun enkelte Catalyst 9800-produkter er berørt hvis funksjonen er slått på. Cisco anbefaler å oppdatere til siste versjon, men funksjonen kan midlertidig deaktiveres som en midlertidig løsning.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.