CISA advarer om aktivt utnyttet sårbarhet i Oracle Identity Manager. Hackere utnytter 7-Zip RCE sårbarhet aktivt via ondsinnede ZIP symlinks.
CISA advarer om aktivt utnyttet sårbarhet i Oracle Identity Manager
CISA har lagt til sårbarheten CVE-2025-61757, en kritisk feil i Oracle Identity Manager (versjon 12.2.1.4.0 og 14.1.2.1.0), i sin “Known Exploited Vulnerabilities”liste etter at det er bevist at den utnyttes aktivt. Sårbarheten skyldes manglende autentisering som gir en angriper mulighet til fjern-kodekjøring uten å være logget inn. Ved å omgå et sikkerhetsfilter, for eksempel ved å legge til ?WSDL eller ;.wadl i URI, kan angriperen få tilgang til et API endepunkt (/iam/governance/.../groovyscriptstatus) og sende en HTTP POST som injiserer Groovy annotasjoner som blir kjørt ved kompilering og dermed få kontroll. Analyser av honeypot logger fra slutten av august til tidlig september 2025 viste mange slike forespørsler fra forskjellige IP-adresser, noe som tyder på koordinert angrep før patch ble utgitt. Oracle har fikset sårbarheten i sin kritiske oppdatering i oktober 2025, og CISA krever at føderale byråer ruller ut denne patchen innen 12. desember 2025
Installer den tilgjengelige oppdateringen fra Oracle Corporation for Identity Manager umiddelbart. . Kontroller alle installerte instanser av Oracle Identity Manager versjon 12.2.1.4.0 eller 14.1.2.1.0, og sett i verk tiltak for å sikre at ingen uautentiserte tilgangspunkter eksisterer. Overvåk tilgangen til API endepunktene nevnt (f.eks. groovyscriptstatus) og se etter mistenkelige HTTP POST forespørsler som kan indikere forsøkt utnyttelse.
Hackere utnytter 7-Zip RCE sårbarhet aktivt via ondsinnede ZIP symlinks
Sårbarheten CVE-2025-11001 i 7-Zip blir nå aktivt utnyttet i angrep, ifølge et sikkerhetsvarsel fra NHS England Digital. Feilen skyldes mangelfull validering av symbolske lenker i ZIP filer, som gjør det mulig for angripere å manipulere filsti håndtering og oppnå remote code execution (RCE) når offeret pakker ut en spesielt konstruert ZIP fil. Dette gjelder primært Windows systemer og kan spesielt misbrukes når 7-Zip kjøres med forhøyede rettigheter, tjenestekontoer, eller på enheter som har Windows Developer Mode aktivert. Sårbarheten ble oppdaget av Ryota Shiga (GMO Flatt Security) og ble utbedret i versjon 7-Zip 25.00 (juli 2025). En relatert svakhet, CVE-2025-11002, omhandler også feil i håndtering av symlinks som kan gi "directory traversal". Proof-of-concept kode er offentlig tilgjengelig, men det er fortsatt ukjent hvem som står bak de aktive angrepene.
Oppdater umiddelbart til 7-Zip versjon 25.00 eller nyere, da eldre versjoner er sårbare. 7-Zip har ingen automatisk oppdatering, så administratorer må verifisere og rulle ut oppdateringen manuelt. Begrens bruk av 7-Zip på kontoer med administrative rettigheter eller tjenestekontoer; vurder sandboxing. Unngå å åpne ZIP filer fra ukjente kilder og overvåk endpoints for mistenkelige filoperasjoner knyttet til utpakking.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.