Kritiske sårbarheter i UniFi OS gir risiko for kommandoinjeksjon og fjernangrep. Falske 7-Zip installasjonsprogrammer gjør enheter til noder i et proxy botnett. APT-C-20 skjuler shellkode i PNG bilder for å starte en filløs C# bakdør. Microsoft retter RoguePlanet nulldagssårbarhet i Microsoft Defender. Palo Alto Networks retter flere sårbarheter i PAN-OS.
Kritiske sårbarheter i UniFi OS gir risiko for kommandoinjeksjon og fjernangrep
Ubiquiti har publisert sikkerhetsoppdateringer for totalt syv kritiske sårbarheter i UniFi OS, inkludert en maksimal alvorlighetsgrad (CVE-2026-50746). Denne sårbarheten påvirker UniFi Connect applikasjonen, som brukes til administrasjon og automatisering av blant annet smarte byggsystemer. Feilen kan utnyttes av en angriper med nettverkstilgang til å utføre kommandoinjeksjon på enheten.
I tillegg er seks andre kritiske sårbarheter patchet i komponenter som UniFi Talk, Access, Protect og selve UniFi OS Server. Flere av disse kan utnyttes med lav kompleksitet uten brukerinteraksjon, noe som øker risikoen betydelig, spesielt siden over 100 000 UniFi instanser er eksponert mot internett.
Ubiquiti anbefaler å oppdatere til nyere versjoner (minst 3.4.20 for Connect) umiddelbart. Det anbefales også å begrense ekstern eksponering og overvåke systemer for mistenkelig aktivitet, da slike enheter historisk har vært mål for botnett og statlige trusselaktører.
Falske 7-Zip installasjonsprogrammer gjør enheter til noder i et proxy botnett
Infoblox har avdekket en trusselaktør kalt Lurking Lizard, som siden minst august 2022 har drevet en ulovlig virksomhet basert på et botnett av kompromitterte enheter som fungerer som proxy noder. I en kampanje tidligere i år ble brukere lokket til å laste ned et trojanisert 7-Zip installasjonsprogram fra domenet 7zip[.]com, som rekrutterte enhetene til botnettet. Infrastrukturanalysen viser at aktøren benytter over 230 domenelignende nettsteder, falske installasjonsprogrammer, VPN-tjenester og falske anmeldelsessider for å spre skadevaren og markedsføre egne proxy tjenester. I følge artikkelen brukes kompromitterte enheter som utgående proxy noder for tredjepartstrafikk, samtidig som nettverket kommersialiseres gjennom falske proxy leverandører. Infrastruktur og WHOIS analyser peker mot at Lurking Lizard opererer fra Kina, og kampanjen omfatter Windows, macOS, Android og andre plattformer.
APT-C-20 skjuler shellkode i PNG bilder for å starte en filløs C# bakdør
En kampanje knyttet til APT-C-20 benytter et ondsinnet dokument med VBA makro som første angrepsledd, før skadevaren etablerer vedvarende tilgang gjennom COM kapring og misbruk av explorer.exe. Den sentrale DLL en henter deretter ut skjult shellkode fra et PNG bilde ved hjelp av LSB steganografi, hvor data er lagret i bildepikslene og dekrypteres før kjøring i minnet. Shellcoden laster en C# basert bakdør reflektivt direkte i minnet, slik at den endelige nyttelasten kan kjøres uten å skrive en kjørbar fil til disk. Kampanjen benytter også en legitim skylagringstjeneste for kommando og kontrolltrafikk, noe som gjør aktiviteten vanskeligere å oppdage med tradisjonelle sikkerhetskontroller. Angrepskjeden kombinerer makroer, COM kapring, steganografi og minnebasert kjøring for å redusere spor på kompromitterte systemer.
Microsoft retter RoguePlanet nulldagssårbarhet i Microsoft Defender
Microsoft har publisert en sikkerhetsoppdatering som retter nulldagssårbarheten RoguePlanet i Microsoft Defender. Sårbarheten, identifisert som CVE-2026-50656, skyldes en race condition i Microsoft Malware Protection Engine som gjør det mulig å oppnå lokale SYSTEM rettigheter på fullt oppdaterte Windows 10 og Windows 11 systemer. Sårbarheten ble offentlig kjent etter at en sikkerhetsforsker publiserte en fungerende proof-of-concept, og Microsoft utviklet deretter en sikkerhetsoppdatering. En vellykket utnyttelse gir angriperen en kommandolinje med SYSTEM rettigheter, som kan brukes til å kjøre vilkårlig kode eller utføre handlinger med de høyeste lokale privilegiene.
Installer Microsofts sikkerhetsoppdatering for Microsoft Defender som retter CVE-2026-50656.
Palo Alto Networks retter flere sårbarheter i PAN-OS
Palo Alto Networks har publisert sikkerhetsoppdateringer som retter flere sårbarheter i PAN OS, inkludert en autentisert kommandoinjeksjon, en bufferoverløpssårbarhet i User-ID Terminal Server Agent, XML injeksjon i Large Scale VPN (LSVPN) og en SSRF sårbarhet i administrasjonsgrensesnittet. CVE-2026-0286 gjør det mulig for en administrator med CLI tilgang å kjøre vilkårlige kommandoer på det underliggende operativsystemet. CVE-2026-0288 kan føre til bufferoverløp i User-ID Terminal Server Agent, mens CVE-2026-0284 og CVE-2026-0285 påvirker henholdsvis LSVPN og administrasjonsgrensesnittet. Palo Alto Networks har publisert oppdateringer for de berørte versjonene av PAN OS, og enkelte sårbarheter kan midlertidig reduseres ved hjelp av Threat Prevention signaturer, men leverandøren anbefaler oppgradering til en rettet versjon.
Oppgrader PAN-OS til en versjon som inneholder sikkerhetsrettelsene for de berørte CVE-ene.