Cisco advarer om sårbarhet med maksimal alvorlighet i Firewall Management Center. Crypto24 skadevare rammer store organisasjoner med tilpasset EDR-unngåelsesverktøy.
Cisco advarer om sårbarhet med maksimal alvorlighet i Firewall Management Center
Cisco har varslet om en kritisk remote code execution (RCE)-sårbarhet i RADIUS-subsystemet til Secure Firewall Management Center (FMC). Sårbarheten, identifisert som CVE-2025-20265, har fått den maksimale alvorlighetsscoren 10.0. En uautentisert og ekstern angriper kan sende spesiallaget input under RADIUS-autentiseringsfasen, enten via web- eller SSH-grensesnitt der RADIUS er aktivert, og dermed oppnå vilkårlig kjøring av shell-kommandoer med forhøyede rettigheter. Cisco har utgitt gratis sikkerhetsoppdateringer via vanlige kanaler for kunder med gyldig servicekontrakt.
Cisco anbefaler at alle kunder som benytter FMC-versjoner 7.0.7 eller 7.7.0 med RADIUS-autentisering aktivert (enten for web- eller SSH-administrasjon) installerer de tilgjengelige programvareoppdateringene umiddelbart. Cisco nevner at det foreløpig ikke er noen andre midlertidige løsninger, så om man ikke kan oppdatere så anbefales det å deaktivere RADIUS-autentisering og erstatte den med en annen metode.
Crypto24 skadevare rammer store organisasjoner med tilpasset EDR-unngåelsesverktøy
Crypto24-gruppen har nylig blitt observert i angrep mot store organisasjoner i USA, Europa og Asia, spesielt innen finans, produksjon, underholdning og teknologi. Etter å ha fått initial tilgang så oppretter de administrative eller lokale kontoer, gjennomfører rekognosering via batch-skript, og setter opp vedvarende tilgang med skadelige Windows-tjenester som «WinMainSvc» (keylogger) og «MSRuntime» (ransomware-loader). Deretter bruker de en tilpasset variant av verktøyet RealBlindingEDR, som prøver å identifisere hvilke EDR-løsninger som er tilstede. Om noen EDR-løsninger blir identifisert, så vil den forsøke å “blinde” disse ved å deaktivere kernel hooks. Spesielt for Trend Micro kjøres en legitim avinstallerer, XBCUninstaller.exe, for å fjerne Trend Vision One og unngå oppdagelse. Til slutt eksfilterer den data via Google Drive ved hjelp av WinINET.
Trend Micro har i slutten av rapporten sin delt en liste av indikatorer på kompromitering av Crypto24 skadevare som organisasjoner kan bruke for å potensielt oppdage den.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.