Microsofts Python klient DurableTask kompromittert av TeamPCP hackere. Buffer overflow sårbarhet oppdaget i NGINX.
Microsofts Python klient DurableTask kompromittert av TeamPCP hackere
Tre versjoner av Microsofts Python pakke durabletask (v1.4.1, v1.4.2 og v1.4.3) ble kompromittert med skadevaren rope.pyz etter at TeamPCP fikk tilgang til en GitHub konto og tilhørende PyPI publiseringstoken. Angrepet rammet den offisielle Python klienten til Durable Task rammeverket og gjorde det mulig å publisere ondsinnede pakker direkte til PyPI uten gjennomgang av kode. Skadevaren er Linux spesifikk og injiserer kode i flere komponenter, inkludert task.py, entities/__init__.py, extensions/__init__.py og payload/__init__.py, for å øke antall kjøreveier. Payloaden stjeler AWS IAM-nøkler, Azure og GCP-token, Kubernetes servicekontoer, HashiCorp Vault-token og passorddata fra Bitwarden, 1Password og shell historikkfiler som .bash_history og .zsh_history. Videre sprer skadevaren seg lateralt via AWS SSM og Kubernetes til opptil fem ekstra systemer per kompromittert vert. Kommando og kontrollinfrastrukturen benytter domenene check.git-service[.]com og t.m-kosche[.]com, og PyPI har fjernet de kompromitterte versjonene etter funnene fra Wiz Research. Artikkelen oppgir også indikatorer som /tmp/rope-*.pyz, ~/.cache/.sys-update-check og hashverdien 069ac1dc7f7649b76bc72a11ac700f373804bfd81dab7e561157b703999f44ce for identifisering av infeksjon.
Revider umiddelbart miljøer for durabletask versjon 1.4.1, 1.4.2 og 1.4.3, roter alle kompromitterte skytjeneste brukerdetaljer og blokker kommunikasjon mot de oppgitte C2 domenene.
Buffer overflow sårbarhet oppdaget i NGINX
En buffer overflow sårbarhet i NGINX påvirker HTTP/3 implementasjonen og kan føre til minnekorrupsjon under behandling av spesialutformede nettverksforespørsler. Feilen oppstår i QUIC og HTTP/3 komponentene når NGINX håndterer bestemte header eller datapakker uten tilstrekkelig grensekontroll. Angripere kan sende manipulerte HTTP/3 forespørsler for å trigge heap basert minnekorrupsjon og potensielt krasje tjenesten eller kjøre kode på den berørte serveren. Sårbarheten påvirker systemer hvor HTTP/3 støtte er aktivert, spesielt miljøer som benytter QUIC kommunikasjon mot eksterne klienter. Artikkelen oppgir at problemet er løst i nyere NGINX versjoner gjennom forbedret validering av innkommende data og strengere minnehåndtering. Feilen ble identifisert under analyse av HTTP/3 prosesseringen i NGINX og gjelder spesifikt komponenter relatert til QUIC tilkoblinger. Microsoft Azure og andre større plattformer som benytter NGINX i frontend eller reverse proxy miljøer kan bli påvirket dersom sårbare versjoner er i bruk.
Oppgrader NGINX JavaScript (njs) til versjon 0.9.9 eller nyere som inneholder patchen for CVE‑2026‑8711 og deaktiver HTTP/3 dersom oppgradering ikke kan gjennomføres umiddelbart.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.