Threat Advisories

Ivanti har offentliggjort och åtgärdat två kritiska säkerhetsbrister som påverkar Ivanti Endpoint Manager Mobile (EPMM) och som har utnyttjats aktivt i nolldagsattacker. Bristerna, som har spårats som CVE-2026-1281 och CVE-2026-1340, möjliggör obehörig fjärrkörning av kod och har CVSS-poäng på 9,8, vilket placerar dem bland de allvarligaste sårbarhetsklasserna. En av sårbarheterna har lagts till i CISA:s KEV-katalog (Known Exploited Vulnerabilities), vilket avsevärt ökar behovet av att åtgärda sårbarheterna, särskilt i federala miljöer i USA.

Microsoft har utfärdat en out of band emergency patch som adresserar en aktivt utnyttjad Microsoft Office zero day-sårbarhet, spårad som CVE202621509. Felet är en säkerhetsfunktion som gör det möjligt för angripare att kringgå COM/OLE-baserade begränsningar i Microsoft 365 och Microsoft Office.

En kritisk sårbarhet för förbikoppling av fjärrautentisering (CVE-2026-24061, CVSS 9.8) har upptäckts i GNU InetUtils telnetd-tjänst, vilket påverkar alla versioner från 1.9.3 till och med 2.7. Felet gör det möjligt för oautentiserade angripare att omedelbart få root-åtkomst på berörda system genom att utnyttja felaktig hantering av miljövariabeln USER. Problemet förblev oupptäckt i nästan 11 år och undersöks nu aktivt av illasinnade aktörer.

CrashFix är en aktiv och mycket vilseledande webbläsarbaserad skadlig kampanj som missbrukar ett skadligt Google Chrome-tillägg för att avsiktligt krascha användarnas webbläsare och socialt manipulera dem att utföra angripare-levererade kommandon. Kampanjen levererar i slutändan en tidigare odokumenterad Windows fjärråtkomst trojan som kallas ModeloRAT. Aktiviteten har tillskrivits en trafikdistributions- och åtkomstförmedlingsoperation som spåras som KongTuke, även känd under alias som TAG-124 och 404 TDS. Denna kampanj dokumenterades offentligt i januari 2026 av Huntress och representerar en utveckling av ClickFix-stilattacker, som utnyttjar användarnas frustration och förtroende för legitima plattformar för att få körning på företagssystem.

En allvarlig säkerhetsbrist (CVE-2025-25256) har nyligen identifierats i flera versioner av Fortinet FortiSIEM. På grund av att ett offentligt Proof of Concept (PoC) nu är tillgängligt har risken för utnyttjande ökat avsevärt, vilket gör omedelbar uppmärksamhet och åtgärd absolut nödvändig.

Bakgrund

Under helgen har Integrity360 blivit kontaktat av flera kunder angående en nyligen upptäckt kritisk sårbarhet (CVE-2025-53770) som riktar sig mot lokala instanser av Microsoft SharePoint via en deserialiseringsbrist. Denna zero-day har enligt uppgifter utnyttjats i stor skala sedan mitten av juli, vilket utgör en allvarlig risk för alla SharePoint-miljöer på plats som inte är patchade (Subscription, Server 2016 och Server 2019). Integrity360 vill försäkra kunder att sårbarheten inte påverkar molnversioner av SharePoint Online, som används av majoriteten av organisationer. Många organisationer håller sannolikt på att migrera till Microsoft 365 eftersom stödet för SharePoint on-premise snart upphör.

Bakgrund:
Cisco har åtgärdat en kritisk sårbarhet, identifierad som CVE-2025-20337 (med CVSS-poäng på 10), i Identity Services Engine (ISE) och Cisco Identity Services Engine Passive Identity Connector (ISE-PIC). En obehörig angripare kan utnyttja denna sårbarhet för att exekvera godtycklig kod på det underliggande operativsystemet med root-behörigheter.

Den 8 juli 2025 släppte Microsoft sin månatliga Patch Tuesday-uppdatering som åtgärdar över 130 sårbarheter i hela produktportföljen. Den här uppdateringsrundan innehåller 10 kritiska sårbarheter, inklusive en offentliggjord zero-day-sårbarhet i Microsoft SQL Server.