Australia advarer om BadCandy infeksjoner på upatchede Cisco enheter. Open VSX tilbakekaller tilgangstokener etter forsyningskjedeangrep med ondsinnede utvidelser.
Australia advarer om BadCandy infeksjoner på upatchede Cisco enheter
Australske myndigheter advarer om aktive angrep mot Cisco IOS XE enheter som ikke er oppdatert for sårbarheten CVE-2023-20198, en kritisk feil som tillater fjernangripere å opprette lokale admin brukere og installere BadCandy webshell. Webshell gir angripere root tilgang, og selv om det slettes ved omstart, kan det enkelt installeres på nytt hvis enheten fortsatt er sårbar. Over 400 enheter i Australia ble kompromittert siden juli 2025, og 150 forblir infisert. Angrepene knyttes til statssponsede aktører som den kinesiske gruppen Salt Typhoon.
Cisco administratorer må umiddelbart installere sikkerhetsoppdateringer, deaktivere ubrukte webgrensesnitt, og følge Ciscos hardening guide og security bulletin. Det anbefales også å utføre hendelseshåndtering og overvåking for å oppdage reinfeksjon.
Open VSX tilbakekaller tilgangstokener etter forsyningskjedeangrep med ondsinnede utvidelser
Registrerings plattformen Open VSX (drevet av Eclipse Foundation) roterte flere tilgangstokener etter at de ble lekket av utviklere i offentlige repositorier. Forskerne hos Wiz oppdaget over 550 eksponerte hemmeligheter i både Visual Studio Code og Open VSX markeder. Noen av tokenene kunne gi tilgang til prosjekter med opptil 150 000 nedlastinger, slik at trusselaktører kunnet publisere ondsinnede utvidelser. Angrepet ble kalt GlassWorm, og var innrettet mot utvikler brukerdetaljer og kryptolommeboksdata via skjulte Unicode tegn. Inntrengingen ble raskt neutralisert og innen 21. oktober var de ondsinnede utvidelsene fjernet, og tokenene tilbakekalt. Sikkerhetsforbedringer er iverksatt, som kortere token levetid, automatiserte sikkerhetsskanninger ved publisering og samarbeid med andre markeder.
