Fortinet släpper uppdateringar för att åtgärda kritisk FortiSIEM-sårbarhet

Fortinet har släppt säkerhetsuppdateringar för att åtgärda en kritisk sårbarhet som påverkar FortiSIEM, spårad som CVE-2025-64155 och betygsatt till 9,4 på CVSS-skalan.
Sårbarheten är ett operativsystemrelaterat kommandoinjektionsproblem som gör det möjligt för en oautentiserad angripare att uppnå fjärrkörning av kod på sårbara Super- och Worker-noder. Forskare har visat hur exponerade backend-tjänster som lyssnar på TCP-port 7900 kan utnyttjas för att skriva skadliga filer och i slutändan eskalera privilegier till full root-åtkomst, vilket leder till total kompromettering av appliance-systemet.
Flera versioner av FortiSIEM påverkas, med korrigeringar tillgängliga via uppgraderingar eller migrering till patchade versioner. FortiSIEM Cloud påverkas inte.
Fortinet har även åtgärdat en separat kritisk sårbarhet i FortiFone (CVE-2025-47855) som kan möjliggöra oautentiserad åtkomst till enhetens konfigurationsdata.
Organisationer uppmanas starkt att omedelbart tillämpa uppdateringarna och begränsa åtkomsten till exponerade administrationsportar för att minska risken.

Microsoft slår ut cyberbrottsplattformen RedVDS

Microsoft har meddelat att man slagit ut RedVDS, en storskalig cybercrime-as-a-service-plattform kopplad till över 40 miljoner dollar i rapporterade förluster i USA sedan mars 2025. Genom samordnade civilrättsliga åtgärder i USA och Storbritannien beslagtog Microsoft central infrastruktur och tog RedVDS marknadsplats och kundportal offline i samarbete med Europol och tyska myndigheter.
RedVDS sålde tillgång till tillfälliga Windows-baserade virtuella servrar för så lite som 24 dollar i månaden, vilket möjliggjorde phishing, business email compromise, stöld av autentiseringsuppgifter och betalningsavledningsbedrägerier i stor skala. Utredare kopplade tjänsten till flera hotaktörsgrupper och identifierade ett gemensamt tekniskt fingeravtryck över tusentals skadliga servrar.
Microsoft avslöjade att angripare använde RedVDS för att skicka upp till en miljon phishing-mejl per dag och kompromettera nästan 200 000 konton under de senaste månaderna. Många kampanjer utnyttjade även generativa AI-verktyg, inklusive ChatGPT, för att skapa mer övertygande lockbeten. Tidigare störningar, inklusive åtgärder mot RaccoonO365 tillsammans med Cloudflare, visar på ökade ansträngningar att slå ut kriminell infrastruktur vid källan.

CNIL bötfäller Free Mobile och Free med 42 miljoner euro för brister i dataskyddet

Frankrikes dataskyddsmyndighet CNIL har utfärdat sammanlagda böter på 42 miljoner euro mot Free Mobile och dess moderbolag Free efter ett omfattande dataintrång i oktober 2024. Incidenten exponerade personuppgifter kopplade till nästan 23 miljoner mobil- och fastnätskunder, vilket gör den till ett av de mest betydande telekombrotten i Frankrike.
Angripare komprometterade ett internt hanteringsverktyg och stal kundinformation, varav delar senare erbjöds till salu på ett hackerforum. CNIL:s utredning visade att bolagen brustit i flera GDPR-skyldigheter, inklusive otillräckliga säkerhetskontroller, bristfällig kommunikation till drabbade kunder och alltför lång lagring av data om tidigare abonnenter.
Trots förbättringar efter incidenten slog CNIL fast att tidigare vårdslöshet möjliggjorde attacken och har krävt ytterligare åtgärder inom strikta tidsramar.
Fallet följer en bredare trend av telekombrott i Frankrike, inklusive incidenter som drabbat Orange France och Bouygues Telecom, vilket understryker kvarstående cyberrisker i hela sektorn.

Sydkoreanska konglomeratet Kyowon drabbat av ransomware-attack

Kyowon Group har bekräftat att bolaget utsattes för en ransomware-attack som störde verksamheten och ledde till stöld av data från interna system. Incidenten inträffade i januari och påverkade en betydande del av Kyowons servermiljö, där koreanska medier rapporterar att omkring 600 av företagets 800 servrar drabbades.
Kyowon uppger att angriparna exfiltrerade data under intrånget, men har ännu inte bekräftat om kundinformation ingick. Företaget, som är verksamt inom utbildning, förlag, digitalt lärande och konsumenttjänster, har över 9,6 miljoner registrerade konton kopplade till cirka 5,5 miljoner personer. Kyowon har underrättat Koreas Internet- och säkerhetsmyndighet och uppger att återställningen av tjänsterna närmar sig sitt slut.
Intrånget är det senaste i en rad uppmärksammade cyberincidenter i Sydkorea, efter nyligen rapporterade händelser hos Coupang, Korean Air, SK Telecom och Dior Korea, vilket belyser kvarstående risker inom flera stora sektorer.

Reprompt-attacken belyser risker i Copilot Personal-sessioner

Säkerhetsforskare har avslöjat en ny attackteknik kallad Reprompt som kan göra det möjligt för angripare att kapa en användares Microsoft Copilot-session och i det tysta exfiltrera känslig data. Metoden upptäcktes av Varonis, som visade hur en skadlig prompt kan döljas i en legitim Copilot-URL och köras efter ett enda klick från användaren.
Reprompt utnyttjar hur Copilot hanterar parametern ”q” i URL:er, vilket gör att injicerade instruktioner körs automatiskt. Genom att kedja efterföljande förfrågningar och utnyttja brister i Copilots skydd kan angripare behålla åtkomst till en autentiserad session även efter att Copilot-fliken stängts. Forskare visade hur detta kan kringgå skydd mot dataläckage och möjliggöra osynlig informationsutvinning.
Problemet påverkade endast Copilot Personal och inte Microsoft 365 Copilot. Microsoft informerades på ett ansvarsfullt sätt och släppte en korrigering som en del av Patch Tuesday i januari 2026. Användare uppmanas starkt att snarast installera de senaste Windows-uppdateringarna.

Om du är orolig för något av hoten som beskrivs i detta meddelande eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig från de mest väsentliga hoten som din organisation står inför, vänligen kontakta din kundansvarige, eller alternativt hör av dig för att ta reda på hur du kan skydda din organisation.

Threat Intel Roundup har utarbetats av Integrity360 och sammanfattar hotnyheter som vi observerar dem, aktuella per publiceringsdatum. Det ska inte betraktas som juridisk, konsultativ eller annan professionell rådgivning. Eventuella rekommendationer bör beaktas i kontexten av din egen organisation. Integrity360 intar ingen politisk ståndpunkt i den information vi delar. Dessutom behöver de uttryckta åsikterna inte nödvändigtvis vara Integrity360:s åsikter.