Ghost CMS-feil utnyttet til å kompromittere over 700 nettsteder. FBI advarer om Kali365 som retter seg mot Microsoft 365-kontoer. Alvorlige sårbarheter i mye brukt nettverksutstyr.
Ghost CMS-feil utnyttet til å kompromittere over 700 nettsteder
En aktiv kampanje utnytter SQL-injeksjonssårbarheten CVE-2026-26980 i Ghost CMS for å kompromittere nettsteder og distribuere ClickFix-relatert skadevare. Sårbarheten påvirker Ghost CMS Content API og gjør det mulig å hente ut data fra databasen uten autentisering, inkludert nettstedets Admin API Key. Ved bruk av denne nøkkelen kunne angriperne benytte Ghost Admin API til å endre eksisterende innhold og injisere ondsinnet JavaScript på nettstedene. Over 700 nettsteder ble kompromittert i kampanjen. Feilen ble rettet i Ghost versjon 6.19.1. Sårbarheten har en CVSS-score på 9,4 og gir tilgang til sensitive data som kan brukes til videre kompromittering av nettstedet.
Oppgrader Ghost CMS til versjon 6.19.1 eller nyere.
FBI advarer om Kali365 som retter seg mot Microsoft 365-kontoer
Kali365 er en phishing-som-tjeneste (PhaaS) plattform som brukes til å kapre Microsoft 365-kontoer ved å misbruke OAuth Device Code autentisering. Plattformen ble først observert i april 2026 og distribueres via Telegram, der angripere får tilgang til ferdige phishing-kampanjer, AI-genererte lokkemeldinger og funksjoner for innsamling av OAuth-token.
Angrepet benytter «device code phishing», hvor offeret mottar en e-post som utgir seg for å komme fra en legitim sky- eller dokumentdelingstjeneste og inneholder en enhetskode. Når brukeren legger inn koden på Microsofts legitime innloggingsside og fullfører MFA, utstedes OAuth access- og refresh-token som angriperen fanger opp.
Berørt system er Microsoft 365 og tilhørende Microsoft Entra-identiteter. Den tekniske årsaken er misbruk av OAuth 2.0 Device Authorization Grant flyten, der angriperen får gyldige token uten å stjele passord eller MFA-koder.
Konsekvensen er vedvarende tilgang til tjenester som Outlook, Teams og OneDrive, samt andre applikasjoner tilgjengelige via brukerens Single Sign-On-konto. Dette gir mulighet for datatyveri og videre misbruk av kontoer uten nye MFA-utfordringer.
Begrens eller blokker Device Code Flow gjennom Conditional Access-policyer, slik FBI anbefaler.
Alvorlige sårbarheter i mye brukt nettverksutstyr
Ubiquiti har publisert sikkerhetsoppdateringer for flere alvorlige sårbarheter i UniFi OS, inkludert tre med maksimal alvorlighetsgrad.
Kritiske sårbarheter
CVE-2026-34908
Feil i tilgangskontroll gjør det mulig å utføre uautoriserte endringer
CVE-2026-34909
Path traversal gjør det mulig å få tilgang til filer på systemet
CVE-2026-34910
Command injection gjør det mulig å kjøre vilkårlige kommandoer
Alle tre kan utnyttes av angripere uten privilegier, og med lav kompleksitet.
Andre sårbarheter som er patchet
En ekstra command injection (CVE-2026-33000)
En informasjonlekkasje (CVE-2026-34911)
Risiko
Kan føre til full kompromittering av systemet
Kan gi tilgang til sensitiv informasjon
Kan utnyttes i automatiserte angrep
Omtrent 100 000 UniFi-enheter er eksponert på internett, noe som øker risikoen.
Dette er en kritisk situasjon som bør prioriteres høyt. Kombinasjonen av lav kompleksitet og mangel på autentisering gjør sårbarhetene spesielt farlige. - Oppdater UniFi OS umiddelbart - Unngå eksponering av management-grensesnitt mot internett - Overvåk logger for mistenkelig aktivitet
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.