A támadók előtt tárva-nyitva az ajtó: súlyos Oracle-hiba
Az Egyesült Államok Kiberbiztonsági és Infrastruktúra-biztonsági Ügynöksége (CISA) figyelmeztetést adott ki az Oracle Identity Manager súlyos sebezhetőségéről, amelyet aktívan ki is használnak a támadók. Ez a hiba, amely a CVE-2025-61757 azonosítót kapta, lehetőséget ad távoli kódfuttatásra még a bejelentkezés előtt. A problémát a Searchlight Cyber elemzői fedezték fel, akik szerint a sebezhetőség könnyen kihasználható és jelentős veszélyt jelent.
Kiskapu a REST API-n keresztül
A hiba lényege, hogy az Oracle Identity Manager REST API-ján egy biztonsági szűrőt könnyen meg lehet kerülni. Egy speciálisan formázott URL-lel – például a ?WSDL vagy a ;.wadl paraméter hozzáadásával – a rendszer nyitottá válik, mintha publikus lenne. Így a támadók engedély nélküli hozzáférést szerezhetnek egy Groovy-szkript végponthoz, ahol normál esetben nem futna le programkód. A Groovy speciális funkcióit kihasználva azonban a támadók rosszindulatú kódot futtathatnak fordítás közben.
Gyors javítás, de veszélyes exploit
A sebezhetőséget október 21-én javították, miután a részleteket nyilvánosságra hozták. A CISA minden szövetségi kormányzati ügynökséget felszólított, hogy december 12-ig telepítse a javítást. Johannes Ullrich kutató szerint a sebezhetőséget már augusztus végén kihasználták, sokkal korábban, mint ahogy az Oracle befoltozta volna.
Az elemzések szerint különböző IP-címekről érkeztek POST-kérelmek két végpont felé, de mindegyik ugyanazt a Chrome 60-as böngészőazonosítót használta Windows 10-en. Ez arra utal, hogy egy szervezett támadóról lehet szó.
Azonnali frissítést sürgetnek
A CISA kiemelte, hogy az ilyen típusú sebezhetőségek gyakran jelentik a támadók elsődleges célpontját, ezért elengedhetetlen az azonnali javítás. Az Oracle továbbra is vizsgálja, történt-e újabb támadás a hiba kihasználásával.
Kína történelmi sikert ért el az űrtechnológiában: a Hosszú Menetelés–10B (Long March 10B) hordozórakéta első fokozatát először sikerült épségben visszahozni a Földre, egy a tengerre telepített, hálóval felszerelt platformra...
🕷 Egy 34 éves örmény férfi bűnösnek vallotta magát az Egyesült Államokban, miután több vállalat számítógépes rendszereibe tört be, és a hírhedt Ryuk zsarolóvírust használta adatállományok titkosítására...
Két hete, amikor bekapcsoltam a Roku TV-t a nappaliban, már az első képernyőn egy oktatófelület fogadott, amely arról tájékoztatott, hogy teljesen megújult a főoldal és az egész kezelőfelület...
Felmerül a kérdés, hogy miért ért véget ilyen hamar a nagyra törő kísérlet: az Atlas böngésző, amelyet az OpenAI még egy éve sem indított el, máris leállította...
A trópusi Csendes-óceánon az átlagosnál jóval melegebb tengerfelszíni hőmérsékletet figyeltek meg június első hetében, a műholdas adatok szerint egyre intenzívebb az El Niño...
⚡ Az okostelefonok, elektromos autók és más hordozható elektronikai eszközök ma mind akkumulátorokra támaszkodnak, miközben a fogyasztók folyamatosan hosszabb üzemidőt, nagyobb biztonságot és tartósságot várnak el...
Fizetős iOS appok és játékok, amik ingyenesek a mai napon. CrestWall – 4K Wallpapers (iPhone/iPad)A CrestWall egy kézzel válogatott, 4K felbontású háttérképeket kínáló alkalmazás, amely elsősorban azoknak készült, akik fontosnak tartják iPhone-juk kinézetét...
Az Apple minden várakozást felülmúló lépésre szánta el magát: pert indított az OpenAI és két volt alkalmazottja ellen, miután súlyos üzleti titoksértéssel vádolja őket...
A rendezők ritkán élnek át annyi heves online felháborodást, mint Christopher Nolan, akinek a legújabb projektje, az Odüsszeia (Odyssey) szereposztása is vihart kavart a közösségi médiában...
Az OpenAI új, GPT-5.6 Sol nevű MI-modelljét a vállalat minden eddiginél biztonságosabbnak hirdeti, azonban a brit kormány által végzett előzetes tesztek során az derült ki, hogy a rendszer védelmi korlátai könnyen átléphetők, így potenciálisan veszélyes számítógépes támadásokra is használhatóvá válhat...
A Progress Software figyelmezteti azokat a vállalatokat, amelyek a ShareFile Storage Zone Controllert saját Windows-szerveren használják, hogy azonnal állítsák le rendszereiket, mert valós külső biztonsági fenyegetés jelent meg...
👀 Érdekes kérdés, hogy miként váltak a kezdetben menő, újdonságként beharangozott Meta okosszemüvegek néhány hónap alatt sok helyen szinte vállalhatatlan eszközzé...
Tavasszal több ezer ápoló és mentálhigiénés dolgozó vonult utcára San Franciscóban, hogy tiltakozzon a kórházi munkájukban egyre inkább jelen lévő technológiák ellen...
Ármány és hatalomváltás Bizáncban, a flamandok nagy győzelme Franciaország felett, Vichy Franciaország megszületése, az első transzatlanti műholdas tévéadás és a Skylab látványos megsemmisülése – sűrű nap a világtörténelemben...
📷 A Canon EOS R6 III a gyártó legfrissebb teljes képmezős, tükör nélküli fényképezőgépe, amely minden eddiginél magasabbra teszi a lécet a középhaladó fotósok számára...
💫 Egy új kísérletben sikerült ötvözni a kvantumszámítógépet és a szuperszámítógépet, így áttörést értek el a fúziós reaktorokban zajló fizikai folyamatok modellezésében...