F5 fikser kritiske sårbarheter i BIG-IP, NGINX og relaterte produkter. Hackere bruker Windows Screensaver til å distribuere RMM-verktøy og få ekstern tilgang til systemer. Spamkampanje distribuerer falske PDF-er og installerer verktøy for fjernovervåking for vedvarende tilgang.
F5 fikser kritiske sårbarheter i BIG-IP, NGINX og relaterte produkter
F5 har publisert sin februar 2026 Quarterly Security Notification med oppdateringer som adresserer flere sårbarheter og sikkerhetseksponeringer i produkter som F5 BIG-IP, NGINX Plus, og tilknyttede tjenester. Disse feilene inkluderer hovedsakelig risikoer relatert til denial-of-service (DoS) og konfigurasjonssvakheter som kan føre til tjenesteavbrudd i miljøer som web applikasjonsbrannmurer og Kubernetes innganger. Selv om det ikke er rapportert om aktiv utnyttelse i det fri per nå, oppfordres F5 brukere, spesielt de med internett eksponerte systemer, til å oppdatere til de nyeste oppdaterte versjonene for å redusere risikoen for misbruk.
Installer de siste sikkerhetsoppdateringene umiddelbart på alle påvirkede F5 produkter (BIG-IP, NGINX Plus, osv.) for å forhindre mulige DoS angrep og begrense risiko for tjenesteavbrudd.
Hackere bruker Windows Screensaver til å distribuere RMM-verktøy og få ekstern tilgang til systemer
En ny og aktiv kampanje har blitt avdekket der angripere utnytter Windows skjermsparer filer (.scr) som et angrepsvektor for å kompromittere systemer. Teknikken begynner med en spear-phishing-e-post som lokker brukere til å laste ned en fil som ser ut som et legitimt forretningsdokument, men som egentlig er en .scr-fil som Windows kjører som et ekte program. Når filen kjøres, installeres et legitimt RMM-verktøy (Remote Monitoring and Management), som for eksempel SimpleHelp, stille og automatisk. Fordi disse verktøyene normalt brukes for gyldig ekstern administrasjon, utløser installasjonen ofte ikke sikkerhetsalarmer, og angriperne får dermed vedvarende fjernkontroll over systemet, kan stjele data, bevege seg lateralt i nettverket og potensielt distribuere skadelig programvare som ransomware. Dette representerer en skifte i trusselmetodikk ved å bruke anerkjente verktøy og tjenester som sky-hosting for å skjule ondsinnet aktivitet.
Spamkampanje distribuerer falske PDF-er og installerer verktøy for fjernovervåking for vedvarende tilgang
En aktiv spamkampanje sprer e-poster med tilsynelatende PDF-vedlegg som “Invoice_Details.pdf” eller “Defective_Product_Order.pdf” for å lure mottakere til å installere Remote Monitoring and Management (RMM) verktøy. Når offeret åpner PDF-en vises en falsk feilmelding om at dokumentet ikke kan lastes, og brukeren blir bedt om å klikke en lenke som ser ut som en Adobe nedlastingsside. I stedet for Adobe installeres RMM programvare som ScreenConnect, Syncro, NinjaOne eller SuperOps, som er legitime programvarer brukt til IT administrasjon, men her misbrukes den for å gi angripere vedvarende fjernkontroll over systemet. Programvaren er digitalt signert og omgår derfor ofte antivirus og sikkerhetsverktøy, noe som gir angripere full tilgang til maskinen med mulighet for filoverføring, skjermkontroll og langvarig tilgang
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.