Sårbarheter i produkter fra Atlassian og Oracle. SharePoint ToolShell angrep rammer organisasjoner på tvers av fire kontinenter. GLASSWORM – selv‑propagerende VS Code utvidelseorm. VIDARStealer 2.0 legger til flertrådet datatyveri, bedre unnvikelse.
Sårbarheter i produkter fra Atlassian og Oracle
JustisCERT varsler at det er avdekket et stort antall sårbarheter i programvare fra både Atlassian og Oracle. Atlassian har rettet 14 sårbarheter, mens Oracle har utbedret hele 374 sårbarheter i sin kvartalsvise «Critical Patch Update». Angrepsflaten vurderes som stor, og flere av sårbarhetene har en CVSS-score på opptil 9,8 av 10, noe som indikerer svært høy risiko for kompromittering dersom systemene ikke oppdateres.
For Atlassian finnes flere kritiske og høyalvorlige sårbarheter i server/data center versjoner, blant annet mulighet for inkludert fjernkjøring av vilkårlig kode (RCE), uautorisert tilgang til sensitive filer, og omgåelse av sikkerhetsmekanismer
For Oracle omfatter oppdateringene mange produkter som blant annet Oracle Database, WebLogic Server, Java SE, og MySQL. Dette innebærer også sårbarheter som kan utnyttes eksternt uten autentisering.
Anbefaling:
Umiddelbart identifisere om man bruker berørte Atlassian og Oracle produkter i egen infrastruktur.
Oppdatere til siste tilgjengelige versjoner som leverandørene har angitt som «fixed» eller "ikke berørt". (Atlassian anbefaler å oppgradere til siste versjon eller en spesifisert patchet versjon).
Gjennomføre segmentering, begrense tilgang, logge og overvåke bruk og adferd av systemene.
Sikre at patch policy er på plass og at kritiske sårbarheter prioriteres umiddelbart.
SharePoint ToolShell angrep rammer organisasjoner på tvers av fire kontinenter
Hackere antatt tilknyttet Kina har utnyttet sårbarheten CVE‑2025‑53770 (også kjent som ToolShell) i Microsoft SharePoint for å angripe organisasjoner innen statlige etater, universiteter, telekom og finans over fire kontinenter. BleepingComputer Sårbarheten rammer SharePoint on‑premises og gir ekstern, uautentisert kjøring av kode samt full tilgang til filsystemet, og bygger på to tidligere rapporterte feil: CVE‑2025‑49706 og CVE‑2025‑49704. BleepingComputer Angrepene startet allerede rundt 21. juli, dagen etter at Microsoft utsendte en nøduppdatering. BleepingComputer I flere tilfeller ble det benyttet web shells for persistent tilgang, etterfulgt av DLL side‑loading av bakdører og bruk av verktøy for brukerdetaljer dumping, dataeksfiltrasjon og C2 kommunikasjon.
GLASSWORM – selv‑propagerende VS Code utvidelseorm
Angripere har lansert en ny og høyst sofistikert kampanje kalt GlassWorm som målretter utvidelser til Visual Studio Code (VS Code) og OpenVSX markedet. Malwaren ble oppdaget 17. oktober 2025 gjennom kompromittering av minst sju OpenVSX utvidelser med totalt ca. 35 800 nedlastinger. Den sprer seg automatisk ved at den stjeler "developer credentials" (NPM, GitHub), utnytter dem for å publisere kompromitterte pakker og deretter infiserer flere brukere og systemer.
GlassWorm benytter flere avanserte teknikker: usynlige Unicode tegn for å skjule skadelig kode fra kodeanalyseverktøy, en tredelt kommunikasjons kanal for kommando og kontroll som inkluderer en offentlig Solana blockchain adresse, direkte IP C2‑server, og en Google Calendar hendelse som "fallback". Truesec Infeksjonen legger blant annet til SOCKS proxytjenester, skjulte VNC servere og stjeler kryptolommebok relatert informasjon, samt målretter 49 ulike wallet utvidelser.
VIDARStealer 2.0 legger til flertrådet datatyveri, bedre unnvikelse
Malwarefamilien Vidar Stealer har blitt oppgradert til versjon 2.0, skrevet om i C, med støtte for multitrådet datatyveri og mer avanserte evasjonsteknikker. Den nye versjonen bruker direkte injeksjon i nettleserprosesser for å hente ut krypteringsnøkler fra minnet i Google Chrome (App‑Bound Encryption) og sender stjålet data via Telegram bots eller Steam profiler. Den stjeler passord, kortinformasjon, kryptovalutalommebøker, Telegram, Discord, sky innlogginger og mer. Forskerne forventer at den får økt bruk i kampanjer resten av 2025.
