CISA Advarer om Utnyttelse av Kritisk Sårbarhet i ConnectWise ScreenConnect. Kritiske Sårbarheter i HPE StoreOnce Kan Gi Full Systemtilgang. Falske DocuSign- og Gitcode-nettsider Sprer NetSupport RAT via Multi-Stage PowerShell-angrep. Kritisk 10 År Gammel Roundcube-sårbarhet Tillater Kjøre Ondsinnet Kode. Ondsinnede RubyGems Utgir Seg for Fastlane – Stjeler Telegram API-data.
CISA Advarer om Utnyttelse av Kritisk Sårbarhet i ConnectWise ScreenConnect
CISA har utstedt en advarsel om aktiv utnyttelse av en nylig patchet sårbarhet i ConnectWise ScreenConnect, identifisert som CVE-2025-3935. Sårbarheten tillater potensielt fjernkjøring av kode på servere via ViewState-injeksjon, forutsatt at angriperen har tilgang til maskinnøkler. Denne sårbarheten er knyttet til en nylig sikkerhetshendelse hos ConnectWise, mistenkt å være en statssponset operasjon. I tillegg advarer CISA om fire andre aktivt utnyttede sårbarheter i ASUS-rutere og Craft CMS, inkludert CVE-2021-32030, CVE-2023-39780, CVE-2024-56145 og CVE-2025-35939. Disse sårbarhetene varierer i alvorlighetsgrad fra medium til kritisk og kan føre til autentiseringsomgåelse og fjernkjøring av kode. CISA har lagt til alle fem sårbarhetene i sin Known Exploited Vulnerabilities (KEV) Catalog og krever at føderale byråer implementerer anbefalte tiltak eller slutter å bruke de berørte produktene innen 23. juni 2025
Kritiske Sårbarheter i HPE StoreOnce Kan Gi Full Systemtilgang
Hewlett Packard Enterprise (HPE) har utgitt sikkerhetsoppdateringer for å tette åtte sårbarheter i deres StoreOnce-løsning for datalagring og sikkerhetskopiering. Den mest alvorlige, CVE-2025-37093 (CVSS 9.8), tillater autentiseringsomgåelse i alle versjoner før 4.3.11. Feilen stammer fra feil implementering av maskinens autentiseringsalgoritme, som gjør det mulig for angripere å få uautorisert tilgang og potensielt kombinere dette med andre feil for å utføre fjernkjøring av kode, få tilgang til sensitiv informasjon, og slette filer med root-rettigheter. Sårbarhetene ble rapportert til HPE i oktober 2024 av en anonym forsker gjennom Zero Day Initiative.
Falske DocuSign- og Gitcode-nettsider Sprer NetSupport RAT via Multi-Stage PowerShell-angrep
En ny kampanje utnytter falske nettsider som etterligner Gitcode og DocuSign for å lure brukere til å kjøre ondsinnede PowerShell-skript som installerer NetSupport RAT – et legitimt administrasjonsverktøy brukt som fjernstyringsskadelig programvare (RAT). Angrepet skjer gjennom flerstegs-skriptkjeder som inkluderer clipboard-forgiftning og sosial manipulering via CAPTCHA. Skriptene henter ytterligere nyttelaster fra domener som tradingviewtool[.]com og docusign.sa[.]com, og gir vedvarende tilgang via filer som wbdims.exe og jp2launcher.exe. Teknikken minner om tidligere SocGholish-kampanjer og benytter utbredte metoder for å omgå oppdagelse.
Kritisk 10 År Gammel Roundcube-sårbarhet Tillater Kjøre Ondsinnet Kode
En kritisk sårbarhet i Roundcube Webmail (CVE-2025-49113) med CVSS-score 9.9 tillater post-autentisert ekstern kjøring av vilkårlig kode via PHP object deserialization. Feilen finnes i _from-parameteren i upload.php, og rammer alle versjoner før 1.5.10 og 1.6.11. Oppdaget av FearsOff og senere verifisert av Positive Technologies, gir sårbarheten enkle muligheter for kompromittering av systemer med tilgang, og har høy risiko gitt Roundcubes tidligere misbruk av nasjonale trusselaktører som APT28. Patch er tilgjengelig i versjon 1.5.10 og 1.6.11.
Ondsinnede RubyGems Utgir Seg for Fastlane – Stjeler Telegram API-data
To ondsinnede RubyGems-pakker som etterligner det legitime Fastlane-pluginet, har blitt brukt til å omdirigere Telegram API-trafikk til en angripers server for å stjele sensitiv informasjon som bot-tokens, meldingsdata og påloggingsinformasjon. De falske pakkene – fastlane-plugin-telegram-proxy og fastlane-plugin-proxy_teleram – er fortsatt tilgjengelige på RubyGems. De har identisk funksjonalitet med den ekte pakken, men sender data til en Cloudflare Worker-kontrollert proxy. Angrepet ble oppdaget av Socket, som anbefaler å fjerne pakkene umiddelbart, rotere alle bot-tokens, og blokkere trafikk til *.workers[.]dev.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.