Simovits Hänt-i-veckan vecka 10

Internet skannas nu med publika exploits efter tomcat-servrar sårbara mot CVE-2020-1938 (a.k.a. Ghostcat). Den bakomliggande bristen är att anslutningar via AJP getts högre behörigheter än dem via HTTP i Tomcat. AJP är också som default aktiverat och kräver ingen autentisering. Finns i webbapplikationen möjlighet att ladda upp filer kan bristen leda till fjärrexekvering av kod. https://www.bleepingcomputer.com/news/security/active-scans-for-apache-tomcat-ghostcat-vulnerability-detected-patch-now/

Check point har sammanställt olika kända sätt som olika typer av skadlig kod avgör om den kör i en virtuell miljö. Bra referensmaterial för den som utvecklar eller gör reverse engineering av skadlig kod! https://evasions.checkpoint.com

Coronaviruset är också en anledning till “virusspridning” på nätet https://blog.checkpoint.com/2020/03/05/update-coronavirus-themed-domains-50-more-likely-to-be-malicious-than-other-domains/