Cisco Catalyst SD-WAN-nulldagssårbarhet gir root-tilgang gjennom kommandoinjeksjon. Ny Mistic-bakdør knyttet til KongTuke i ClickFix og ModeloRAT kampanjer og gir skjult tilgang til bedriftsnettverk.
Cisco Catalyst SD-WAN-nulldagssårbarhet gir root-tilgang gjennom kommandoinjeksjon
En aktivt utnyttet nulldagssårbarhet i Cisco Catalyst SD-WAN Manager gjør det mulig å kjøre vilkårlige kommandoer som root på berørte systemer. Sårbarheten finnes i kommandolinjegrensesnittet (CLI), der en bruker med netadmin-rettigheter kan laste opp en spesiallaget fil som utløser kommandoinjeksjon. Feilen påvirker Cisco Catalyst SD-WAN Manager og gir full root-tilgang til systemet ved vellykket utnyttelse. Cisco bekreftet at sårbarheten ble utnyttet i faktiske angrep på tidspunktet for publisering, og det var da ikke tilgjengelig noen sikkerhetsoppdatering for å rette feilen. Cisco publiserte indikatorer på kompromittering (IOC-er) og anbefalte gjennomgang av logger for å identifisere mistenkelig aktivitet.
Følg Ciscos IOC-veiledning og gjennomgå SD-WAN Manager-logger for tegn på uautorisert root-aktivitet og mistenkelige filopplastinger.
Ny Mistic-bakdør knyttet til KongTuke i ClickFix og ModeloRAT kampanjer og gir skjult tilgang til bedriftsnettverk
Mistic er en ny bakdør som har blitt brukt i økonomisk motiverte angrep siden april 2026 mot organisasjoner innen forsikring, utdanning, IT og profesjonelle tjenester. Skadevaren er knyttet til KongTuke, også kjent som Woodgnat, en aktør som spesialiserer seg på å skaffe og videreselge tilgang til kompromitterte bedriftsnettverk. Mistic ble observert distribuert sammen med ModeloRAT i minst én hendelse, noe som styrker koblingen til KongTuke. Bakdøren lastes inn ved DLL side-loading gjennom den legitime prosessen MpExtMs.exe og benytter komponenter som etterligner Microsoft-sikkerhetsprogramvare. Den kan kjøre payload direkte i minnet uten å skrive filer til disk, utføre filoperasjoner, kommunisere med kontrollservere og slette seg selv for å redusere spor etter kompromittering. Funnene kobler Mistic til miljøer der tilgang senere kan brukes av løsepengegrupper som Qilin, Interlock, Rhysida, Akira, 8Base og Black Basta.
Overvåk DLL side-loading via MpExtMs.exe og aktivitet som innebærer minnebasert kjøring av nyttelast uten filer på disk.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.