Threat Advisories

U.S. Cybersecurity and Infrastructure Security Agency (CISA) har lagt till en nyligen avslöjad VMware Aria Operations-sårbarhet, spårad som CVE-2026-22719till sin Known Exploited Vulnerabilities (KEV) -katalog efter att ha bekräftat aktivt utnyttjande i naturen. Sårbarheten är en kommandoinjektionssårbarhet som möjliggör oautentiserad fjärrkörning av kod (RCE) under vissa förhållanden. VMware (Broadcom) släppte korrigeringar den 24 februari 2026, men rapporter tyder på att angripare nu utnyttjar problemet mot system som inte är korrigerade. Federala civila myndigheter har fått i uppdrag att åtgärda sårbarheten senast den 24 mars 2026.

Det globala geopolitiska och cybersäkerhetslandskapet har förändrats dramatiskt efter att USA den 28 februari 2026 inledde Operation "Epic Fury" och den parallella israeliska kampanjen Operation "Roaring Lion" mot Iran. De samordnade militära anfallen eliminerade framgångsrikt Irans viktigaste ledare, inklusive den högste ledaren ayatolla Ali Khamenei, och försämrade kraftigt Irans konventionella militära och nukleära infrastruktur.

Cisco Catalyst SD-WAN-plattformar används i stor utsträckning av företag, myndigheter och tjänsteleverantörer och fungerar ofta som kärninfrastruktur som länkar samman fjärrkontor, datacenter och molnmiljöer. Eftersom dessa styrenheter ofta kan nås från externa nätverk för att stödja distribuerade operationer, utgör de ett mycket synligt och attraktivt mål för hotaktörer.

CVE-2026-2329 är en kritisk stackbaserad buffertöverskridningssårbarhet som påverkar Grandstream GXP1600-serien av VoIP-bordstelefoner. Bristen finns i enhetens webbaserade API-slutpunkt och kan utnyttjas på distans utan någon autentisering. Om den utnyttjas framgångsrikt kan en angripare få full fjärrkodkörning med root-privilegier på telefonen.

Översikt över sårbarheter

CVE-2026-2649 är en mycket allvarlig sårbarhet för heltalsöverskridanden i JavaScript-motorn V8 som används av Google Chrome. Problemet påverkar Chrome-versioner tidigare än 145.0.7632.109. Om en användare öppnar en speciellt utformad HTML-sida kan felet leda till heap-korruption i webbläsaren.
Eftersom V8 hanterar JavaScript-exekvering kan svagheter i denna komponent ha stor inverkan på normal surfning och sandboxade processer.

Den populära txt-editorn Notepad++ med öppen källkod har utsatts för en sofistikerad attack i leverantörskedjan av en misstänkt statsstödd hotaktör.

Ivanti har offentliggjort och åtgärdat två kritiska säkerhetsbrister som påverkar Ivanti Endpoint Manager Mobile (EPMM) och som har utnyttjats aktivt i nolldagsattacker. Bristerna, som har spårats som CVE-2026-1281 och CVE-2026-1340, möjliggör obehörig fjärrkörning av kod och har CVSS-poäng på 9,8, vilket placerar dem bland de allvarligaste sårbarhetsklasserna. En av sårbarheterna har lagts till i CISA:s KEV-katalog (Known Exploited Vulnerabilities), vilket avsevärt ökar behovet av att åtgärda sårbarheterna, särskilt i federala miljöer i USA.

Microsoft har utfärdat en out of band emergency patch som adresserar en aktivt utnyttjad Microsoft Office zero day-sårbarhet, spårad som CVE202621509. Felet är en säkerhetsfunktion som gör det möjligt för angripare att kringgå COM/OLE-baserade begränsningar i Microsoft 365 och Microsoft Office.

En kritisk sårbarhet för förbikoppling av fjärrautentisering (CVE-2026-24061, CVSS 9.8) har upptäckts i GNU InetUtils telnetd-tjänst, vilket påverkar alla versioner från 1.9.3 till och med 2.7. Felet gör det möjligt för oautentiserade angripare att omedelbart få root-åtkomst på berörda system genom att utnyttja felaktig hantering av miljövariabeln USER. Problemet förblev oupptäckt i nästan 11 år och undersöks nu aktivt av illasinnade aktörer.

CrashFix är en aktiv och mycket vilseledande webbläsarbaserad skadlig kampanj som missbrukar ett skadligt Google Chrome-tillägg för att avsiktligt krascha användarnas webbläsare och socialt manipulera dem att utföra angripare-levererade kommandon. Kampanjen levererar i slutändan en tidigare odokumenterad Windows fjärråtkomst trojan som kallas ModeloRAT. Aktiviteten har tillskrivits en trafikdistributions- och åtkomstförmedlingsoperation som spåras som KongTuke, även känd under alias som TAG-124 och 404 TDS. Denna kampanj dokumenterades offentligt i januari 2026 av Huntress och representerar en utveckling av ClickFix-stilattacker, som utnyttjar användarnas frustration och förtroende för legitima plattformar för att få körning på företagssystem.