Hackare utnyttjar brister i Citrix NetScaler för att bryta sig in i nederländsk kritisk infrastruktur

Hackare har brutit sig in i flera organisationer inom kritisk infrastruktur i Nederländerna genom att utnyttja ett minnesöverflödesfel i Citrix NetScaler ADC och Gateway (CVE-2025-6543), klassat som kritiskt. Nederländernas nationella cybersäkerhetscenter uppger att angriparna tog sig in i nätverken i början av maj, flera veckor innan Citrix avslöjade sårbarheten den 25 juni. Med sofistikerade metoder raderade inkräktarna bevis för att dölja sina aktiviteter. En liknande kritisk brist (CVE-2025-5777) avslöjades också i juni.
Forskare rapporterar att mer än 4 100 NetScaler-instanser som är exponerade mot internet fortfarande är sårbara för CVE-2025-6543 och över 3 300 för CVE-2025-5777 globalt, och försök till utnyttjande har upptäckts för båda.
CISA har lagt till båda bristerna i sin katalog över kända exploaterade sårbarheter och uppmanar till omedelbar patchning, med varningar om risker liknande attackvågen “CitrixBleed” 2023. Citrix har under de senaste åren haft flera zero-day-avslöjanden, vilket väcker oro över den potentiella omfattningen av dessa intrång.

Fortinet varnar för kritisk brist i FortiSIEM med exploit-kod i omlopp

Fortinet uppmanar till omedelbar patchning för att åtgärda en kritisk sårbarhet för fjärrexekvering av icke-autentiserade kommandon i FortiSIEM, spårad som CVE-2025-25256 (CVSS 9,8). Sårbarheten påverkar versionerna 5.4 till 7.3 och kan tillåta angripare att köra godtycklig kod via manipulerade CLI-förfrågningar. Även om Fortinet inte har bekräftat något zero-day-utnyttjande varnar företaget för att fungerande exploit-kod cirkulerar i det vilda.
FortiSIEM används i stor utsträckning av myndigheter, stora företag, finansinstitut, vårdgivare och MSSP:er, vilket gör bristen särskilt riskfylld. Det är svårt att upptäcka intrång eftersom utnyttjandet inte lämnar tydliga spår.
Patchar finns tillgängliga i FortiSIEM 7.3.2, 7.2.6, 7.1.8, 7.0.4 och 6.7.10, medan versionerna 5.4–6.6 inte får några korrigeringar eftersom de inte längre stöds.
Avslöjandet kommer efter rapporter om ökande skadlig aktivitet, vilket förstärker oron för potentiellt utnyttjande.

Microsoft patchar 107 brister, inklusive Windows Kerberos zero-day, i augusti 2025-uppdateringar

Microsofts Patch Tuesday i augusti 2025 innehåller åtgärder för 107 säkerhetsbrister, inklusive en offentligt känd zero-day i Windows Kerberos (CVE-2025-53779). Sårbarheten, klassad som måttlig, kan tillåta en autentiserad angripare att få domänadministratörsbehörighet via relativ sökvägstraversering. Den upptäcktes av Yuval Gordon vid Akamai och avslöjades offentligt i maj.
Månadens uppdatering hanterar 44 privilegieeskaleringsbrister, 35 fjärrkörningsfel, 18 informationsläckor, fyra överbelastningssårbarheter och nio spoofing-brister. Tretton klassas som kritiska, varav nio möjliggör fjärrkörning av kod.
Andra viktiga åtgärder inkluderar kritiska patchar för Windows NTLM, GDI+, DirectX, Microsoft Office och Windows Message Queuing. Microsoft uppmanar till snabba uppdateringar, särskilt för företag och domänkontrollanter, för att minska risken för exploatering.
Uppdateringen följer en månad med hög säkerhetsaktivitet bland leverantörer, inklusive akuta patchar från Adobe, Cisco, Fortinet, Google och Trend Micro för aktivt exploaterade sårbarheter.

ShinyHunters läcker 2,8 miljoner Allianz Life-poster i Salesforce-intrång

Hackare har läckt 2,8 miljoner kund- och partnerposter som stulits från det amerikanska försäkringsbolaget Allianz Life i ett Salesforce-dataintrång i juli. Attacken, som är en del av en bredare kampanj riktad mot Salesforce-system, har tagits på sig av ShinyHunters, som nu uppger att de samarbetar med Scattered Spider och tidigare Lapsus$-medlemmar.
De läckta databastabellerna “Accounts” och “Contacts” innehåller känsliga personliga och professionella uppgifter såsom namn, adresser, telefonnummer, födelsedatum, skatteidentifikationsnummer, företagsanknytningar och licensinformation.
Intrånget skedde genom social engineering, där anställda lurades att länka en skadlig OAuth-app till företagets Salesforce-instanser. När den väl var ansluten exfiltrerade angriparna data och ställde utpressningskrav.
ShinyHunters, som tidigare kopplats till stora intrång hos AT&T och Snowflake, använder nu en ny Telegram-kanal för att håna säkerhetsforskare och brottsbekämpande myndigheter samtidigt som de tar på sig flera uppmärksammade attacker. Allianz Lifes utredning pågår fortfarande.

Nigeria ser världens snabbaste tillväxt av cyberattacker när Afrika toppar den globala mål-listan

Nigeria har registrerat världens snabbaste ökning av cyberattacker, med nya data som visar att Afrika är den mest attackerade regionen globalt. Check Points Global Threat Intelligence Report för juli 2025 avslöjar att nigerianska organisationer drabbades av i genomsnitt 6 101 attacker per vecka – en ökning med 67 % jämfört med året innan – vilket gör landet till det mest attackerade i Afrika och ett av de mest sårbara globalt.
På hela kontinenten utsattes organisationer i genomsnitt för 3 374 attacker per vecka, där Angola (3 731), Kenya (3 468) och Sydafrika (2 113) också var hårt drabbade. Telekom, offentlig sektor och finans var de mest attackerade sektorerna, följt av energi och samhällskritiska tjänster.
Globalt låg snittet på 1 947 attacker per vecka i juli, en ökning med 5 % jämfört med föregående år. Utbildning drabbades hårdast med 4 210 attacker per vecka, medan jordbruk såg en ökning på 115 %.
Antalet ransomware-fall ökade med 41 % till 487 incidenter, främst drivet av Qilin, Akira och Play.

Norge: ryska hackare tog tillfälligt kontroll över damm

Norge har officiellt tillskrivit ryska hackare en cyberattack mot Bremanger vattenkraftsdamm i april, vilket markerar första gången landet direkt anklagar Moskva för en sådan incident. Den 7 april tog angriparna kontroll över anläggningen och öppnade en dammlucka som släppte ut 500 liter vatten per sekund under fyra timmar innan intrånget upptäcktes och stoppades. Inga skador rapporterades.
Beate Gangaas, chef för Norges säkerhetspolis PST, sade att attacken var en del av en “förändring i aktivitet” från pro-ryska cyberaktörer, med syfte att skapa rädsla och kaos. Hon varnade för att Norges “ryska granne har blivit farligare”.
Händelsen belyser ökande risker för Norges energiinfrastruktur, som är starkt beroende av vattenkraft. Den följer på bredare varningar om ryska sabotagekampanjer i Europa. Gangaas sade att hon gick ut offentligt för att förbereda norrmännen och avskräcka från fler attacker. Rysslands ambassad i Oslo har inte kommenterat.

Om du är orolig för något av hoten som beskrivs i detta meddelande eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig från de mest väsentliga hoten som din organisation står inför, vänligen kontakta din kundansvarige, eller alternativt hör av dig för att ta reda på hur du kan skydda din organisation.. 

Threat Intel Roundup har utarbetats av Integrity360 och sammanfattar hotnyheter som vi observerar dem, aktuella per publiceringsdatum. Det ska inte betraktas som juridisk, konsultativ eller annan professionell rådgivning. Eventuella rekommendationer bör beaktas i kontexten av din egen organisation. Integrity360 intar ingen politisk ståndpunkt i den information vi delar. Dessutom behöver de uttryckta åsikterna inte nödvändigtvis vara Integrity360:s åsikter.