Marimo RCE-feil CVE-2026-39987 utnyttet innen 10 timer etter avsløring. Utnyttelse av nulldagssårbarhet i kampanje mot Adobe Acrobat Reader.
Marimo RCE-feil CVE-2026-39987 utnyttet innen 10 timer etter avsløring
En kritisk sårbarhet i det åpne Python notatverktøyet Marimo, identifisert som CVE-2026-39987 (CVSS 9,3), ble utnyttet mindre enn 10 timer etter offentliggjøring. Sårbarheten gjorde det mulig for uautentiserte angripere å få full fjernkommandotilgang via WebSocket endepunktet /terminal/ws, og berørte alle versjoner til og med 0.20.4. Feilen skyldtes manglende autentiseringskontroll på dette endepunktet, i motsetning til andre deler av applikasjonen. Ifølge Sysdig ble de første angrepene observert under 10 timer før identifisering, selv uten tilgjengelig exploit kode. Angriperen gjennomførte manuell rekognosering og forsøkte å hente sensitive data som .env-filer og SSH nøkler. Hendelsen viser hvor raskt trusselaktører reagerer på nye sårbarheter, og hvor kritisk rask patching av internet eksponerte systemer er.
Utnyttelse av nulldagssårbarhet i kampanje mot Adobe Acrobat Reader
En sofistikert nulldagssårbarhets kampanje rettet mot Adobe Acrobat Reader har blitt avdekket i april 2026. Angrepet benytter spesiallagde PDF filer for å profilere ofre og potensielt levere andre-stegs payloads for fjernkjøring av kode (RCE) og sandbox escape (SBX). Kampanjen har vært aktiv siden slutten av 2025 og har spesielt rettet seg mot energi- og infrastruktursektoren.
Eksploiten benytter seg av tungt obfuskert JavaScript som kjører så snart filen åpnes. I stedet for å aktivere selve nyttelasten umiddelbart, begynner den å hente ut informasjon fra maskinen ved hjelp av innebygde Acrobat-API-er – inkludert lokale filer og systemdetaljer og sender dette tilbake til servere under angriperens kontroll.
Anbefalte tiltak:
Blokkering av C2 adresser: Sperr all trafikk til 169.40.2.68 og 188.214.34.20.
User-Agent Filtrering: Overvåk/blokker HTTP trafikk med "Adobe Synchronizer" i User-Agent feltet hvis det ikke er legitimt behov.
Patching: Oppdater Adobe Reader så snart offisiell patch er tilgjengelig fra Adobe Security Bulletins.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.