Cisco fikser aktivt utnyttet Zero-day sårbarhet i Unified CM og Webex. Proxyware skadelig programvare forkledd som Notepad++ verktøy utnytter Windows Utforsker prosessen til å kapre systemer. Ondsinnet PyPI pakke etterligner SymPy og distribuerer XMRig miner på Linux hosts.
Cisco fikser aktivt utnyttet Zero-day sårbarhet i Unified CM og Webex
Cisco har utgitt sikkerhetsoppdateringer for å fikse en kritisk Zero-day sårbarhet (CVE-2026-20045) i flere Unified Communications produkter og Webex Calling Dedicated Instance som har blitt aktivt utnyttet i angrep. Sårbarheten skyldes feil i validering av bruker input i HTTP forespørsler til det web-baserte management grensesnittet, noe som kan tillate en uautentisert angriper å kjøre vilkårlige kommandoer på operativsystemet og deretter eskalere til root rettigheter. Cisco er klar over forsøk på utnyttelse i det fri og anbefaler umiddelbar oppgradering til patchede versjoner da ingen midlertidige "workarounds" finnes. Sårbarheten er lagt til i CISA Known Exploited Vulnerabilities katalogen med krav om patch innen 11. februar 2026 for amerikanske føderale byråer.
Oppgrader alle berørte Cisco Unified CM og Webex instanser til de nyeste versjonene som fikser CVE-2026-20045 (inkluderer blant annet 14SU5 og 15SU4 patcher) så snart som mulig. Gjennomgå og sikre at web-baserte management grensesnitt er beskyttet bak brannmurer og ikke offentlig eksponert der det er mulig. Overvåk nettverk og systemer for tegn på tidligere kompromittering før patching.
Proxyware skadelig programvare forkledd som Notepad++ verktøy utnytter Windows Utforsker prosessen til å kapre systemer
En ny, sofistikert proxyware kampanje har blitt oppdaget som utkler skadelig programvare som en legitim Notepad++ installasjon for å infisere brukernes systemer. Trusselaktøren kjent som Larva-25012 bruker falske nedlastingssider og annonser for piratkopiert programvare for å lure ofre til å laste ned pakker som inneholder både en legitim Notepad++ installerer og en skjult skadelig komponent. Når installasjonen kjøres, etablerer skadevare persistens via "Windows Task Scheduler", injiserer seg i kjørende prosesser (f.eks. explorer.exe), og installerer proxyware moduler som Infatica og DigitalPulse for å kapre offerets internettbåndbredde og generere inntekter for angriperen uten brukerens samtykke, en teknikk som kalles proxyjacking. Skadevare komponentene benytter "DLL side-loading", PowerShell skript, og endrer Windows Defender innstillinger for å unngå deteksjon. Distribusjonen har i stor grad blitt sett i Sør-Korea via GitHub hostede MSP/ZIP pakker som inneholder de skadelige filene.
Ondsinnet PyPI pakke etterligner SymPy og distribuerer XMRig miner på Linux hosts
En ondsinnet pakke på Python Package Index (PyPI) ved navn sympy-dev har blitt oppdaget at etterligner det populære biblioteket for matematikk; SymPy for å lure brukere til å installere den. Pakken har blitt lastet ned over 1 100 ganger siden publisering 17. januar 2026 og inneholder modifisert kode som fungerer som en loader for en XMRig cryptocurrency miner på Linux systemer. Den ondsinnede koden aktiveres kun når bestemte funksjoner kalles, henter en konfigurasjon og en ELF payload fra en angriper kontrollert server, og kjører mining prosessen i minnet for å unngå spor på disk. I tillegg kan implantsfunksjonen kjøre vilkårlig annen kode med Python prosessen privilegier. Pakken er fortsatt tilgjengelig på PyPI per nå.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.