Taggat med: Cybersecurity

Ny brist i WinRAR utnyttjas av minst två hotaktörer

Ny brist i WinRAR utnyttjas av minst två hotaktörer

Det har identifierats en path-traversal-sårbarhet i WinRAR som ha fått CVE‑2025‑8088. Gäller Windows-versioner av WinRAR före 7.13. Genom att utnyttja funktionen för alternativa dataströmmar (ADS) kan angripare inkludera skadlig kod i .rar-arkiv som vid extraktion placeras i oavsedd katalog, såsom Start-mappen i Windows, vilket resulterar i automatisk uppstart av malware efter inloggning. NIST anger att denna sårbarhet möjliggör godtycklig kodexekvering och påverkar WinRAR-verktyg inklusive komponenten UnRAR.dll och cli-versioner.

Antivirus-företaget ESET upptäckte tidigt utnyttjandet av zero-day sårbarheten i juli 2025. Mellan 18 och 21 juli skickades målinriktade spear phishing-mejl till företag inom finans-sektor, tillverkning, försvar och logistik främst i Europa och Kanada. Rar-arkivfilerna var presenterade som jobbcv:n men innehöll dolda skadliga ADS-filer som i sin tur distribuerade DLL- och LNK-filer, samt installerade bakdörrar i samband med autostart. De skadliga komponenterna inkluderade SnipBot‑variant, RustyClaw och Mythic Agent, ofta kopplade till den rysk‑allierade hackergruppen RomCom (även kallad Storm‑0978, UNC2596 med flera). Hackergruppen anses ha stark teknisk kapacitet och ett geopolitisk driv som innefattar spioneri och cyberbrottslighet.

Utöver RomCom har även en annan aktör kallad Paper Werewolf, enligt BI.ZONE, använt samma sårbarhet mot mål inom Ryssland. Båda grupperna kan ha fått tillgång till exploiten via ett nätforum där den låg ute till salu för cirka 762000 SEK i slutet av juni:

Sårbarheten har fått hög allvarlighetsgrad, med CVSS-värde hela på 8,4. WinRAR släppte en säkerhetskorrigering i version 7.13 den 30 juli 2025 efter omedelbar kontakt från ESET, men eftersom programmet saknar automatisk uppdatering måste användare manuellt installera den nya versionen.

Kanske dags för WinRAR att börja med någon annan form av licensmodell som inkluderar automatiska uppgraderingar 😆

Här har ESET samlat ett antal IoC:er gällande RomCom:

Wiz rapport State of Code Security 2025

Wiz rapport State of Code Security 2025

Företaget Wiz senaste rapport State of Code Security 2025 ger oss en ny djupgående inblick i hur dagens utveckling hänger ihop med molnsäkerhet, men även vilka brister som är de mest kritiska just nu.

Genom att analysera hundratusentals repon och CI/CD-pipelines under 2024 visar rapporten hur vanligt det är med exponerade hemligheter, osäkra konfigurationer och svaga skydd i moderna utvecklingsflöden. Värt att notera också är att Wiz köptes upp av Google för ca två månader sedan.

En av de mest oroande insikterna i rapporten som jag läser är att 61 % av organisationerna har minst ett repository med känsliga nycklar och då ofta i form av API-token till molntjänster såsom AWS eller Databricks. Det gäller inte bara publika repon utan också privata. Det skapar en farlig illusion av säkerhet: bara för att ett repo är privat betyder det inte att det är säkert.

GitHub Actions är också ett annat område som är relativt nytt, och där säkerheten också ofta brister. De flesta organisationer som aktiverat Actions låter alla repositories köra alla typer av workflows, inklusive externa och potentiellt illvilliga. Det här ökar risken för supply chain-attacker dramatiskt. Lägg därtill att nästan 80 % av dessa workflows har både WRITE-access och möjlighet att godkänna pull requests, och du får ett scenario där ett komprometterat workflow kan skriva kod direkt till huvudgrenen utan någon mänsklig inblandning.

Self-hosted GitHub runners är ett område där säkerhetsläget är sämre än många tror. Rapporten visar att 35 % av företagen använder sådana runners, som ofta är persistenta och delas mellan olika repos. Dessa maskiner har i snitt tre gånger fler installerade teknologier än vanliga servrar och dessutom fler sårbarheter, vilket gör dem till en attraktiv ingångspunkt för attacker.

När man tittar på språkanvändning i repos är det tydligt att script- och tolkspråk dominerar. Shellscript, JavaScript och Python toppar listan, medan kompilerade språk som C och C++ knappt förekommer alls. Det här påverkar vilka säkerhetsverktyg som är mest relevanta, och pekar på behovet av att anpassa regeluppsättningar och scanningsverktyg utifrån verklig språkanvändning.

En annan intressant observation gäller GitHub Apps. Många appar har rättigheter att både läsa och skriva till repos via scopes som contents och pull_requests. Det betyder att en komprometterad app kan få omfattande kontroll över koden. Kombinationen av brett åtkomstområde och låg kontrollnivå gör dessa appar till en potentiellt farlig attackvektor.

Rapporten från Wiz bekräftar också att GitHub är både den mest använda och mest öppna plattformen för att hantera källkod. Hela 35 % av GitHub-repos är publika, vilket är tre gånger mer än hos andra version control system (VCS) plattformar. Detta gör GitHub till ett självklart mål för angripare som systematiskt letar efter exponerad kod, credentials eller svaga konfigurationer.

Sammantaget visar rapporten att sårbarheter i kod, pipelines och moln inte längre kan hanteras i separata fack. Angripare rör sig sömlöst mellan dessa domäner allt från en läckt token i ett GitHub-repo till en container i produktion.

För att möta en ny och förändrad hotbild måste vi tänka på säkerhet som en helhet, från commit till cloud. Jag gillar också begreppet ”shift left” (vänsterförflyttning) vilket betyder att vi måste tänka på säkerhet tidigare och tidigare i utvecklingsprocessen.

Kritisk sårbarhet i Cisco IOS XE Wireless Controller – godtycklig filuppladdning möjlig

Cisco publicerade igår information om en allvarlig sårbarhet med det maximala CVSS-betyget 10 av 10! Sårbarheten påverkar Cisco IOS XE Software för Wireless LAN Controllers (WLCs) och kan utnyttjas av en obehörig extern angripare för att ladda upp godtyckliga filer till systemet. En lyckad attack kan i förlängningen ge angriparen möjlighet att köra kommandon med root-behörighet.

  • CVE-ID: CVE-2025-20188
  • CVSS-poäng: 10.0 (Kritisk)
  • Cisco Bug ID: CSCwk33139
  • CWE: CWE-798 (Hard-coded credentials)

Bakgrund

Sårbarheten beror på att en hårdkodad JSON Web Token (JWT) finns installerad. En angripare kan utnyttja detta genom att skicka HTTPS-förfrågningar till det API som används för Out-of-Band Access Point (AP) Image Download och då använda denna hårdkodade JWT.

Funktionen är inte aktiverad som standard som tur är, men om den är påslagen kan en lyckad attack möjliggöra:

  • Filuppladdning
  • Path traversal
  • Godtycklig kommandoexekvering som root (RCE)

Påverkade produkter

Sårbarheten påverkar följande Cisco-produkter om de kör sårbara versioner av IOS XE och har funktionen Out-of-Band AP Image Download aktiverad:

  • Catalyst 9800-CL Wireless Controllers för molnmiljöer
  • Catalyst 9800 Embedded Wireless Controller för Catalyst 9300, 9400 och 9500
  • Catalyst 9800 Series Wireless Controllers
  • Inbyggd Wireless Controller på Catalyst Access Points

Så kontrollerar du om din enhet är sårbar

Kör följande kommando:

show running-config | include ap upgrade

Om svaret innehåller:

ap upgrade method https

…är funktionen aktiverad och enheten potentiellt sårbar.

Ej påverkade produkter

Cisco har bekräftat att följande produkter ej påverkas:

  • IOS Software
  • IOS XE på enheter som inte är WLCs
  • IOS XR
  • Meraki-produkter
  • NX-OS
  • WLC med AireOS

Åtgärdsförslag

Cisco har släppt uppdateringar som åtgärdar problemet. Det finns inga workarounds i dagsläget, men man kan tillfälligt mildra sårbarheten genom att inaktivera Out-of-Band AP Image Download-funktionen. Detta påverkar inte AP-klienternas status eftersom standardmetoden Control And Provisioning of Wireless Access Points (CAPWAP) används då.

Sårbarheten identifierades internt på Cisco Advanced Security Initiatives Group (ASIG).

Källa