Kritisk sårbarhet i Oracle Fusion Middleware (CVE-2026-21992). Kritisk sårbarhet i Citrix NetScaler skaper risiko for minnelekkasje og uautorisert tilgang. Trivy supply-chain attack sprer seg til Docker og GitHub-repositorier.
Kritisk sårbarhet i Oracle Fusion Middleware (CVE-2026-21992)
CVE-2026-21992 er en kritisk sårbarhet i Oracle Fusion Middleware som har fått CVSS Base Score på 9.8. Sårbarheten gjelder spesifikt Oracle Identity Manager og Oracle Web Services Manager, og kan utnyttes av en uautentisert angriper med nettverkstilgang via HTTP. Vellykket utnyttelse kan føre til kompromittering av systemet, med potensielle konsekvenser som uautorisert tilgang og påvirkning av konfidensialitet, integritet eller tilgjengelighet. Kompleksiteten ved å utnytte sårbarheten er vurdert som lav og påvirker komponentene REST WebServices og Web Services Security.
Oracle anbefaler at berørte systemer oppdateres umiddelbart med tilgjengelige sikkerhetsoppdateringer fra deres offisielle sikkerhetsvarsler. I tillegg bør organisasjoner vurdere å begrense eksponering av berørte tjenester mot internett for å redusere risikoen for utnyttelse.
Kritisk sårbarhet i Citrix NetScaler skaper risiko for minnelekkasje og uautorisert tilgang
Citrix advarer om en kritisk sårbarhet i Citrix NetScaler ADC og Gateway (CVE-2026-3055) som skyldes en out-of-bounds read-feil. Denne kan utnyttes av uautentiserte angripere for å lese sensitiv informasjon direkte fra minnet på berørte enheter når systemet er konfigurert med SAML-Identity Provider (IDP). Dette skyldes av utilstrekkelig validering av input i NetScaler ADC og NetScaler Gateway.
Sårbarheten vurderes som kritisk, med en CVSS-score på 9.3, og kan utnyttes uten behov for autentisering.
Citrix anbefaler at alle berørte systemer oppdateres umiddelbart til versjoner som inneholder sikkerhetsfikser. Organisasjoner bør prioritere systemer som er eksponert mot internett eller bruker SAML-IDP.
Trivy supply-chain attack sprer seg til Docker og GitHub-repositorier
Et pågående supply chain-angrep mot Trivy, et svært utbredt open source sikkerhetsverktøy fra Aqua Security har eskalert ved at angripergruppen TeamPCP har publisert ondsinnede Docker-images og kompromittert selskapets GitHub-organisasjon. Angriperne utnyttet tidligere kompromitterte legitimasjoner og mangelfull token-rotasjon for å få vedvarende tilgang, noe som gjorde det mulig å manipulere repositories og distribuere infostealer-malware via CI/CD pipelines. Spesielt ble Docker Hub-images med versjonene 0.69.5 og 0.69.6 publisert uten offisielle GitHub-releases, og inneholdt indikatorer på kompromittering.
Angrepet bygger videre på en tidligere kompromittering av Trivy sin build pipeline, hvor også versjon 0.69.4 og GitHub Actions ble manipulert. Angriperne injiserte credential-stealing kode som kunne hente ut sensitive data fra utviklingsmiljøer. Det understrekes at Docker-tags ikke er immutable, og at man derfor ikke kan stole blindt på versjonsnavn for integritet.
Organisasjoner bør umiddelbart unngå Trivy-versjonene 0.69.4, 0.69.5 og 0.69.6 og heller bruke kjente trygge versjoner som 0.69.3 eller tidligere. Det anbefales å verifisere integriteten til images via digest i stedet for tags, samt oppdatere til patched versjoner av relaterte GitHub Actions. I tillegg bør alle tokens og credentials roteres på en sikker og fullstendig måte, og systemer som kan ha vært eksponert må gjennomgås for kompromittering.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.