SAP retter feil med utførelse av NetWeaver kommandoer med maksimal alvorlighetsgrad. Fra MostereRAT til ClickFix: Nye skadevarekampanjer fremhever økende risikoer for AI og phishing. Økning i nettverksskanninger rettet mot Cisco ASA enheter vekker bekymring.
SAP retter feil med utførelse av NetWeaver kommandoer med maksimal alvorlighetsgrad
SAP utgir i september 2025 en sikkerhetsoppdatering som retter tre kritiske sårbarheter i NetWeaver. Hovedsakelig en deserialiseringsfeil (CVE-2025-42944) med CVSS 10/10, som tillater uautentisert angriper å utføre OS kommandoer via RMI-P4. I tillegg er det en fil operasjonsfeil (CVE-2025-42922, CVSS 9.9) som muliggjør vilkårlig filopplasting via Deploy Web Service, og en manglende autentisering (CVE-2025-42958, CVSS 9.1) som gir uautoriserte høyt privilegerte brukere tilgang til sensitiv data og administrasjonsfunksjoner
Det anbefales å følge SAPs patch- og mitigasjonsanbefalinger umiddelbart ved å anvende de nye security note-oppdateringene som er publisert via SAPs supportportal
Fra MostereRAT til ClickFix: Nye skadevarekampanjer fremhever økende risikoer for AI og phishing
Cybersecurityforskere rapporterer i september 2025 om en phishing kampanje som leverer «MostereRAT», en "stealthy" skadevare som kombinerer "banking" skadevare med funksjonalitet som fjernstyrings trojan (RAT). Kampanjen bruker flere avanserte teknikker for å unngå oppdagelse, inkludert en "staged payload" utviklet i Easy Programming Language (EPL), funksjoner for å skjule ondsinnede operasjoner og deaktivere sikkerhetsverktøy, bruk av mutual TLS for sikre C2 kommunikasjoner, støtte for distribusjon av sekundære plugins og evnen til å installere vanlige fjerntilgang verktøy.
Økning i nettverksskanninger rettet mot Cisco ASA enheter vekker bekymring
I slutten av august 2025 ble det observert to markante bølger av nettverksskanninger rettet mot Cisco ASA enheter, hovedsakelig omkring innloggingsportaler og Telnet/SSH, med opptil 25 000 unike IP-adresser involvert. Den andre bølgen 26. august ble drevet av et brasiliansk bot-nett med cirka 17 000 IP-er. Skanningene brukte "Chrome-lignende" brukeragenter, noe som tyder på felles opprinnelse. Disse skanningene kan både være forsøk på å utnytte allerede kjente, patchede sårbarheter, men fungerer ofte som rekognoseringsaktivitet før nye sårbarheter offentliggjøres. Systemadministratorer rådes til å oppdatere ASA enheter, innføre MFA ved ekstern tilgang, skjule eller ikke eksponere ASA innlogging portaler, og bruke VPN, reverse proxy eller tilgangs gateway med geo blokkering og rate limiting for beskyttelse.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.