Ivanti varnar för aktiv exploatering av en kritisk sårbarhet

Ivanti har utfärdat en varning om den aktiva exploateringen av en kritisk sårbarhet (CVE-2025-0282, CVSS-poäng: 9,0) i Ivanti Connect Secure, Policy Secure och Neurons for ZTA Gateways. Felet, ett stack-baserat buffertöverflöd, möjliggör fjärrkörning av kod utan autentisering och påverkar versioner före 22.7R2.5.

Säkerhetsföretaget Mandiant tillskriver attackerna en Kina-länkad hotaktör, UNC5337, och lyfter fram användningen av tidigare odokumenterade skadeprogram, DRYHOOK och PHASEJAM, som en del av malware-ekosystemet SPAWN. Angriparna har inaktiverat SELinux, modifierat loggar, distribuerat webbshells och kört skript för att upprätthålla åtkomsten.

Ivanti har släppt en säkerhetsuppdatering och uppmanar till omedelbar uppdatering. Den amerikanska säkerhetsmyndigheten CISA har lagt till CVE-2025-0282 i sin lista över kända exploaterade sårbarheter och har satt en deadline för efterlevnad till den 15 januari 2025. Organisationer rekommenderas att söka efter tecken på kompromettering och rapportera misstänkt aktivitet.

Atos förnekar intrång efter påståenden från Space Bears-ransomware

Det franska IT-tjänsteföretaget Atos förnekar att deras system har komprometterats efter påståenden från ransomwaregruppen Space Bears om att ha stulit en "företagsdatabas".

Atos bekräftade att de har undersökt påståendena och inte funnit "några bevis för intrång eller ransomware som påverkat Atos/Eviden-system globalt" och att ingen lösenkravsbegäran har mottagits. Företaget erkände dock att viss data som nämner företagets namn erhölls från ett externt tredjepartssystem som inte är kopplat till deras infrastruktur.

Gruppen Space Bears, aktiv sedan våren 2024, listar över 40 offer på sin dark web-sajt och hotar att publicera den påstådda Atos-datan. Företaget har försäkrat sina kunder om att deras egen data, källkod och immateriella rättigheter förblir säkra.

Ny Mirai-baserad botnet riktar in sig på industriella routrar och smarta hem-enheter

Ett Mirai-baserat botnet utvecklas snabbt och använder zero-day-exploits för att attackera sårbarheter i industriella routrar och smarta hem-enheter. Botnetet, som upptäcktes i början av 2024, kontrollerar för närvarande 15 000 aktiva noder dagligen, främst i Kina, USA, Ryssland, Turkiet och Iran.

Forskare vid Chainxin X Lab avslöjade att botnetet började utnyttja okända sårbarheter i november 2024, inklusive CVE-2024-12856, en sårbarhet i Four-Faith-routrar som identifierades i december. Botnetet riktar sig också mot Neterbit-routrar och Vimar smarta hem-enheter.

Botnetets huvudsakliga mål är att genomföra distribuerade överbelastningsattacker (DDoS) som ofta överstiger 100 Gbps, vilket kan orsaka stora störningar. Trots att attackerna är korta (10–30 sekunder) är deras intensitet tillräcklig för att påverka även robusta infrastrukturer.

Användare uppmanas att uppdatera firmware, inaktivera onödiga fjärranslutningar och ändra standardlösenord för administratörskonton. Botnetets globala spridning belyser behovet av bättre säkerhetsåtgärder för IoT-enheter.

GorillaBot: nytt Mirai-inspirerat botnet riktar sig mot globala sektorer

Cybersäkerhetsföretaget NSFOCUS har upptäckt en ny familj av botnet-skadeprogram, Gorilla (även kallat GorillaBot), baserat på den läckta källkoden till Mirai-botnetet. Mellan den 4 och 27 september 2024 utfärdade botnetet över 300 000 attackkommandon, med ett genomsnitt på 20 000 DDoS-attacker dagligen.

GorillaBot har riktat attacker mot universitet, myndighetssajter, telekomföretag, banker samt spel- och bettingsektorer i över 100 länder. De mest utsatta länderna är Kina, USA, Kanada och Tyskland. Botnetet använder olika DDoS-metoder, inklusive UDP-flood, SYN-flood och ACK-flood, och utnyttjar UDP-spoofing för att förstärka attackerna.

GorillaBot kan operera på flera CPU-arkitekturer och utnyttjar även en känd Apache Hadoop YARN-sårbarhet för att köra fjärrkod. Ihållande närvaro uppnås genom systemd-tjänster och modifierade startfiler.

NSFOCUS påpekar att botnetet använder sofistikerade krypteringsmetoder och undvikandetekniker som kopplas till Keksec-gruppen. Vissa forskare menar dock att GorillaBot har varit aktivt i över ett år.

Försök att utnyttja den kritiska KerioControl-sårbarheten CVE-2024-52875

Hackare utnyttjar CVE-2024-52875, en CRLF-injectionsårbarhet i GFI KerioControl-brandväggar som möjliggör fjärrkörning av kod med ett enda klick. Sårbarheten, som avslöjades av säkerhetsforskaren Egidio Romano i december 2024, påverkar versioner 9.2.5 till 9.4.5 och beror på bristande sanering av parametern "dest", vilket möjliggör injektion av skadliga payloads i HTTP-svar.

Angripare kan injicera JavaScript för att extrahera cookies eller CSRF-tokens från användares webbläsare. Genom att använda en CSRF-token från en autentiserad administratör kan de ladda upp en skadlig .IMG-fil för att få root-åtkomst via Kerios uppgraderingsfunktion och öppna en omvänd shell.

Greynoise har identifierat aktiva exploateringsförsök från flera IP-adresser, medan Censys rapporterar över 23 000 exponerade KerioControl-inställningar på internet. GFI Software har släppt version 9.4.5 Patch 1 och uppmanar användare att uppdatera omedelbart.

Administratörer som inte kan uppdatera bör begränsa åtkomst till webbgränssnittet till betrodda IP-adresser, inaktivera offentlig åtkomst till "/admin"-sidor och övervaka "dest"-parametern för att upptäcka anomalier.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.