Fortra utgir patch for CVSS 10.0 GoAnywhere MFT sårbarhet. LastPass advarer om falske GitHub repositorier som sprer Atomic Infostealer mot macOS.
Fortra utgir patch for CVSS 10.0 GoAnywhere MFT sårbarhet
Fortra har utgitt en kritisk oppdatering for en sårbarhet i GoAnywhere Managed File Transfer (MFT), sporet som CVE-2025-10035, med en CVSS score på 10.0. Feilen ligger i "License Servlet" og kan utnyttes via en forfalsket lisensrespons til å deserialisere ondsinnet objekt, noe som kan føre til kommandoinjeksjon. Sårbarheten krever at systemet er offentlig tilgjengelig over internett. Fortra oppgir at sårbarheten ikke er observert utnyttet enda, men lignende feil i samme produkt har tidligere blitt brukt av ransomware grupper som LockBit.
Oppdater til GoAnywhere MFT versjon 7.8.4 eller Sustain Release 7.6.3 umiddelbart. Hvis oppdatering ikke er mulig, bør man sørge for at GoAnywhere Admin Console ikke er eksponert mot internett.
LastPass advarer om falske GitHub repositorier som sprer Atomic Infostealer mot macOS
LastPass har oppdaget en kampanje der falske GitHub repositorier sprer Atomic Infostealer malware mot macOS brukere. Angripere bruker "SEO poisoning" for å få falske sider høyt opp i nettleser søk, hvor de utgir seg for å være kjente verktøy som LastPass, 1Password, Dropbox, Notion, Obsidian, Shopify og flere. Ofrene blir lokket til å trykke på knapper som "Install LastPass on MacBook", som leder til GitHub-sider kontrollert av angriperne. Disse sidene ber brukere kopiere og kjøre kommandoer i Terminal, noe som installerer infostealer.
Brukere bør unngå å laste ned programvare fra tredjeparts GitHub-sider eller ukjente kilder, og kun installere apper fra offisielle nettsider eller App Store.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.