Fortinet släpper patch för en aktivt utnyttjad FortiWeb-zero-day

Fortinet har publicerat akuta säkerhetsuppdateringar för att åtgärda en ny FortiWeb-zero-day-sårbarhet som angripare redan utnyttjar. Den spåras som CVE-2025-58034 och upptäcktes av forskare. Flera versioner av FortiWeb påverkas. Sårbarheten gör det möjligt för autentiserade angripare att köra obehörig kod via specialutformade HTTP-förfrågningar eller CLI-kommandon, vilket gör det till ett allvarligt OS-kommandoinjektionsproblem. Forskarna har redan sett cirka 2 000 utnyttjandeförsök i aktiva attacker.
Administratörer uppmanas starkt att omedelbart uppgradera till de senaste versionerna som släpptes tidigare i veckan. Uppdateringen följer Fortinets bekräftelse förra veckan om att ytterligare en FortiWeb-zero-day, CVE-2025-64446, hade korrigerats och nu finns i CISAs katalog över aktivt utnyttjade sårbarheter.
Dessa avslöjanden läggs till en serie brister som utnyttjats av spionage- och ransomwaregrupper och understryker behovet av snabba patchar på exponerade enheter.

Dataintrång i franska socialförsäkringen exponerar uppgifter om upp till 1,2 miljoner personer

Pajemploi, den franska socialförsäkringstjänsten som används av föräldrar och hemvårdsassistenter, har bekräftat ett allvarligt dataintrång som drabbar upp till 1,2 miljoner individer. Myndigheten uppgav att angripare fick åtkomst till personlig information som tillhör professionella vårdgivare anställda av privata hushåll och registrerade i Pajemploi-systemet, som är en del av URSSAF.
De exponerade uppgifterna inkluderar namn, födelseort, adress, personnummer, ackrediteringsinformation och namn på bankinstitution. Inga kontonummer, e-postadresser, telefonnummer eller lösenord komprometterades. Pajemploi säger att alla berörda personer kommer att kontaktas direkt och att kärntjänster fortsätter att fungera normalt.
Efter att intrånget upptäcktes den 14 november agerade organisationen snabbt för att begränsa incidenten och underrättade CNIL och ANSSI. URSSAF uppmanar till ökad vaksamhet på grund av den förhöjda risken för bedrägeriförsök med de stulna uppgifterna. Ingen ransomwaregrupp har tagit på sig attacken, även om ANSSI ska ha upptäckt intrånget efter att data publicerats på dark web.

Cloudflare bekräftar att stor driftstörning orsakades av internt fel, inte en cyberattack

Cloudflare har bekräftat att den omfattande driftstörningen i tisdags inte orsakades av en cyberattack, trots tidiga spekulationer efter en ovanlig trafikspik. Avbrottet påverkade ett stort antal plattformar, bland annat ChatGPT, X, Dropbox, Shopify och League of Legends, samt flera offentliga tjänster som New Jersey Transit och New York City Emergency Management.
Enligt CTO Dane Knecht berodde störningen på ett latent fel i en kärntjänst som stödjer företagets bot-skydd. En rutinmässig konfigurationsändring utlöste felet, som sedan spred sig och orsakade en bred nätverksdegradering. Cloudflare inledde sin undersökning 11.48 UTC och rullade ut en lösning strax före 14.42 UTC, även om vissa användare fortfarande upplevde intermittenta fel.
Cloudflare meddelar att man kommer att publicera en fullständig incidentanalys. CEO Matthew Prince beskrev händelsen som företagets mest betydande driftstörning sedan 2019.

Microsoft stoppar rekordstor DDoS-attack på 15,7 Tbps kopplad till Aisuru-botnet

Microsoft har avslöjat att företaget framgångsrikt mildrade den största DDoS-attacken i molnet som någonsin registrerats: en topp på 15,72 Tbps riktad mot Azure-tjänster i slutet av oktober. Den multivektorbaserade attacken nådde dessutom nästan 3,64 miljarder paket per sekund och härstammade från Aisuru-botnet, ett snabbt växande nätverk av komprometterade hemroutrar och IoT-enheter.
Över 500 000 IP-adresser från flera regioner användes för att överbelasta en enda endpoint i Australien. Microsoft och Netscout såg samtidigt en kraftig ökning i Aisuru-aktivitet, inklusive ”demonstrationsattacker” på över 20 Tbps riktade främst mot spelindustrin.
Microsoft säger att ökade hastigheter i hushållens fiberanslutningar och kraftfullare uppkopplade enheter driver fram allt större DDoS-kampanjer. Azures DDoS-skydd absorberade och omdirigerade trafiken, vilket höll tjänsterna igång under hela incidenten.

Forskare varnar för att gränsen mellan cyberoperationer och fysiska attacker håller på att suddas ut

Amazons hotintelligensgrupp rapporterar en kraftig ökning av cyberaktivitet som direkt stödjer militära operationer, en trend de kallar ”cyber-enabled kinetic targeting”. Enligt företaget använder Iran-anknutna hotaktörer digital spaning för att stödja fysiska attacker, vilket suddar ut gränsen mellan cyberkrigföring och verkliga militära insatser.
Ett framträdande exempel gäller Imperial Kitten, en grupp kopplad till Irans IRGC. Mellan 2021 och 2024 infiltrerade gruppen maritima system, inklusive AIS-plattformar och CCTV-kameror ombord, för att samla in underrättelser om specifika fartyg. Bara dagar efter att Imperial Kitten genomfört riktade AIS-sökningar efter ett fartyg försökte Houthi-miliser genomföra en missilattack mot samma mål.
En annan iransk aktör, MuddyWater, använde komprometterade CCTV-strömmar i Jerusalem för att stödja missilattacker i juni 2025. Amazon säger att dessa incidenter visar hur cyber-spionage nu direkt påverkar militära beslut, med angripare som döljer sin ursprungliga position via anonymiserande VPN-tjänster. Företaget varnar för att detta markerar en grundläggande förändring i modern krigföring.

Om du är orolig för något av hoten som beskrivs i detta meddelande eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig från de mest väsentliga hoten som din organisation står inför, vänligen kontakta din kundansvarige, eller alternativt hör av dig för att ta reda på hur du kan skydda din organisation.

Threat Intel Roundup har utarbetats av Integrity360 och sammanfattar hotnyheter som vi observerar dem, aktuella per publiceringsdatum. Det ska inte betraktas som juridisk, konsultativ eller annan professionell rådgivning. Eventuella rekommendationer bör beaktas i kontexten av din egen organisation. Integrity360 intar ingen politisk ståndpunkt i den information vi delar. Dessutom behöver de uttryckta åsikterna inte nödvändigtvis vara Integrity360:s åsikter.