WordPress-plugin sårbarhet exponerar känslig webbplatsdata

En allvarlig sårbarhet har upptäckts i det populära WordPress-pluginet Anti-Malware Security and Brute-Force Firewall, installerat på över 100 000 webbplatser. Sårbarheten, identifierad som CVE-2025-11705, gör det möjligt för autentiserade användare med prenumerantbehörighet att läsa vilken fil som helst på servern, inklusive känsliga filer som wp-config.php, vilket kan avslöja databasuppgifter, lösenordshashar och autentiseringsnycklar.

Problemet, som rapporterades till Wordfence, påverkar versioner 4.23.81 och tidigare och beror på avsaknad av behörighetskontroller i pluginets AJAX-skanningsfunktion. En korrigerad version, 4.23.83, släpptes den 15 oktober och innehåller korrekt användarverifiering.

Även om Wordfence inte har sett aktiv exploatering, är alla webbplatser som tillåter användarregistrering eller prenumerationer potentiellt utsatta. Administratörer uppmanas starkt att uppdatera omedelbart.

Hacktivister bryter sig in i Kanadas kritiska infrastruktursystem

Canadian Centre for Cyber Security har utfärdat en varning efter att hacktivister brutit sig in i flera kritiska infrastruktursystem och manipulerat industriella kontroller i incidenter som kunde ha orsakat farliga förhållanden. Varningen lyfter fram tre fall som påverkat ett vattenreningsverk, ett olje- och gasföretag samt en jordbruksverksamhet, där angripare ändrade tryck, temperatur och övervakningsvärden, vilket utlöste falska larm och störningar.

Myndigheterna tror att intrången var opportunistiska snarare än sofistikerade, avsedda att skapa rädsla, få medial uppmärksamhet och underminera allmänhetens förtroende. Incidenterna liknar globala oro, där USA nyligen stoppade ryska hackare som riktade sig mot industriella kontrollsystem.

Cybercentret uppmanar organisationer att ta bort direkt internetåtkomst, använda multifaktorautentisering, genomföra penetrationstester och hålla firmware uppdaterad.

Microsoft löser global DNS-störning efter liknande AWS-problem

Microsoft har löst en stor DNS-störning som tillfälligt påverkade Azure, Microsoft 365 och relaterade tjänster globalt. Störningen började runt 16:00 UTC och orsakade omfattande inloggningsproblem och anslutningsfel, vilket hindrade användare från att komma åt företagsnätverk, Azure-portalen, Intune och Exchange-administrationscentret.

Störningen drabbade tiotusentals organisationer, inklusive vårdgivare och det nederländska järnvägssystemet, som upplevde avbrott i biljett- och reseplattformar. Microsoft bekräftade problem med Azure Front Door CDN och rekommenderade användning av PowerShell och CLI tills tjänsterna återställdes.

Incidenten inträffade kort efter en liknande DNS-störning hos AWS (Amazon Web Services) som påverkade miljontals plattformar. Microsoft har återställt funktionaliteten genom att omdirigera trafik och undersöker fortfarande grundorsaken för att stärka tjänstens motståndskraft.

Atroposia: Malware-as-a-Service väcker oro

Säkerhetsforskare hos Varonis har upptäckt en ny malware-as-a-service (MaaS)-plattform kallad Atroposia, som erbjuder cyberbrottslingar ett kraftfullt fjärråtkomsttrojan (RAT) för endast $200 per månad. Detta modulära verktyg möjliggör ihållande och dold åtkomst till infekterade system och inkluderar avancerade funktioner som dold fjärrskrivbord, filsystemkontroll, stöld av urklipp och inloggningsuppgifter samt DNS-kapning.

Atroposias krypterade kommunikation och förmåga att kringgå User Account Control (UAC) i Windows gör den särskilt farlig. Den inbyggda sårbarhetsskannern kan identifiera exploaterbara svagheter i företagsmiljöer, såsom föråldrade VPN-klienter eller osäker programvara.

Varonis varnar för att Atroposia ansluter sig till en växande lista av plug-and-play-verktyg som SpamGPT och MatrixPDF, vilket sänker den tekniska tröskeln för mindre erfarna angripare.

Herodotus och GhostGrab riktar sig mot Android-användare globalt

Två nya Android-hot, Herodotus och GhostGrab, har dykt upp inom det växande malware-as-a-service (MaaS)-ekosystemet.

Herodotus, upptäckt av ThreatFabric, är en banktrojan som riktar sig mot Italien och Brasilien. Den simulerar mänskligt beteende för att kringgå biometrisk bedrägeridetektion och utnyttjar Androids tillgänglighetstjänster för att ta över enheter, stjäla inloggningsuppgifter och fånga upp 2FA-koder. Dess unika funktion är slumpmässiga fördröjningar vid fjärrinmatning, vilket får åtgärderna att verka mänskliga och undvika upptäckt.

GhostGrab, identifierad av CYFIRMA, är ett hybridhot som riktar sig mot användare i Indien. Den kombinerar stöld av bankuppgifter med Monero-mining i bakgrunden, vilket skapar dubbla intäktsströmmar för angriparna. Den distribueras via falska finansappar och begär högriskbehörigheter för att stjäla känslig information, inklusive bankkort-PIN och statliga ID-handlingar.

Båda hoten visar på den ökande sofistikeringen hos Android-skadlig kod.

Säkerhetstips: Undvik att installera appar utanför officiella butiker, granska behörigheter noggrant och använd endast betrodda källor som Google Play.