Situasjonsrapport - desember 2025

Alvorlige hendelser

I desember håndterte Telenor Cyberdefence 14 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, ned fra 23 i forrige periode.

DDoS-angrep
Det var 25 bekreftede DDoS-angrep denne måneden, ned fra 53 i desember. 8 av disse ble håndtert og mitigert. Et gjennomsnittlig angrep var på 8,52 Gbps og varte i 3 timer. Det største angrepet observert i denne perioden var på 63,1 Gbps og varte i 3 dager. IP Fragmentation var den mest brukte angrepsvektoren denne perioden.

Nyhetsoppsummering
Sårbarheten React2Shell (React / Next.js) — identifisert som CVE-2025-55182 — tillater en angriper å kjøre vilkårlig kode på servere med bare én HTTP-forespørsel, uten autentisering. Den rammer server-komponenter og applikasjoner bygget med React/Next.js som bruker React Server Components. Sikkerhetsanalytikere melder at over 75 000 internet-eksponerte IP-adresser er sårbare, og at mer enn 30 organisasjoner allerede er kompromittert. Angripere, inkludert statstilknyttede grupper med bånd til Kina, har brukt sårbarheten til å kjøre shell-kommandoer, laste ned bakdører (som Vshell), droppere (som Snowlight) og stjele credentials, særlig på cloud-miljøer som AWS.

CISA og NSA advarer om BRICKSTORM skadevare mot VMware ESXi og Windows miljø. Nye fellesråd fra CISA, NSA og Canadian Centre for Cyber Security advarer om at malware kampanjen BRICKSTORM aktivt angriper virtuelle miljøer basert på VMware vSphere (ESXi / vCenter) og Windows. BRICKSTORM er en Go basert bakdør med avansert “tradecraft”: Den integrerer seg dypt i virtualiseringsinfrastruktur, benytter DNS-over-HTTPS (DoH), WebSocket + TLS kryptering for C2 trafikk, og kan etablere “rogue” virtuelle maskiner, stjele VM snapshots for å hente kredentialer, samt klone og kjøre usynlige VM-er.

Fortinet, Ivanti og SAP har utgitt kritiske sikkerhetsoppdateringer for å tette sårbarheter som kan føre til autentiseringsomgåelse og fjernkjøring av kode. Fortinet har rettet feil i FortiOS, FortiWeb, FortiProxy og FortiSwitchManager (CVE-2025-59718 og CVE-2025-59719, CVSS 9.8) knyttet til mangelfull verifisering av kryptografiske signaturer, og anbefaler midlertidig å deaktivere FortiCloud SSO-login. Ivanti har fikset en alvorlig XSS sårbarhet i Endpoint Manager (CVE-2025-10573, CVSS 9.6) som kan gi angripere kontroll over administratorøkter, samt tre andre høy-risiko feil. SAP har publisert en oppdateringer for 14 sårbarheter. Denne inkludert blant annet tre kritiske (bl.a. CVE-2025-42880, CVSS 9.9) som muliggjør kodeinjeksjon og deserialisering.

Avanserte phishing-kits bruker KI og omgår MFA for å stjele legitimasjon i stor skala. Fire nye phishing‑kits – BlackForce, GhostFrame, InboxPrime AI og Spiderman – har blitt identifisert og brukes til å stjele brukerlegitimasjon i stor skala. BlackForce kan utføre Man‑in‑the‑Browser‑angrep for å fange opp både passord og engangskoder og dermed omgå flere faktor‑autentisering (MFA). GhostFrame bruker en skjult iframe i tilsynelatende harmløse sider for å lure brukere til falske påloggingssider. InboxPrime AI automatiserer phishing‑kampanjer ved hjelp av kunstig intelligens som genererer svært overbevisende e‑poster for å unngå filtrering. Spiderman gir mulighet for phishing mot europeiske banker og tjenester med realistiske replikaer av innloggingssider og kan fange både legitimasjon, 2FA‑koder og andre sensitive data. Disse kitene gjør det enklere og billigere for cyberkriminelle å lansere sofistikerte angrep.

Cisco har varslet om en kritisk nulldagssårbarhet (CVE-2025-20393) i Cisco AsyncOS, som aktivt utnyttes av en avansert trusselaktør med tilknytning til Kina (UAT-9686). Angrepene utnytter en kritisk sårbarhet i "Cisco Secure Email Gateway" og "Secure Email and Web Manager". Dette gir trusselaktørene mulighet til å kjøre kommandoer med root-rettigheter på de berørte systemene. Sårbarheten har CVSS-score 10.0 og skyldes feil i inputvalidering. Exploitering krever at Spam Quarantine-funksjonen er aktivert og eksponert mot internett.

Hackere utnytter kritiske sårbarheter i flere Fortinet-produkter (CVE-2025-59718 og CVE-2025-59719) for å oppnå uautorisert administrativ tilgang og hente ut konfigurasjonfiler. Sårbarhetene skyldes feil i validering av kryptografiske signaturer i SAML-meldinger ved bruk av FortiCloud SSO, som ikke er standard, men aktiveres automatisk ved registrering via FortiCare. Angrepene som er observert siden 12. desember har resultert i eksfiltrering av konfigurasjonfiler som kan avsløre nettverkstruktur og hashed passord.

Sikkerhetsbyrået CISA har lagt sårbarheten CVE-2025-6218 som er en "path-traversal" feil i WinRAR for Windows til sin liste over kjente utnyttede sårbarheter (KEV), etter bekreftede angrep. Feilen kan utnyttes til å plassere filer i sensitive kataloger (for eksempel oppstartsmappen i Windows), og dermed kjører kode med brukerprivilegier uten at det kreves høyere privilegier. Sårbarheten ble fikset i WinRAR versjon 7.12 (juni 2025). Ifølge rapporter har trusselaktører som GOFFEE / Paper Werewolf, Bitter APT (APT-C-08 / Manlinghua) og Gamaredon brukt feilen i målrettede phishing kampanjer for å distribuere ondsinnet programvare, inkludert trojanere og bakdører som etablerer persistens.

 

 

Situasjonsrapport - november 2025

Alvorlige hendelser

I november håndterte Telenor Cyberdefence 23 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, opp fra 20 i forrige periode.

DDoS-angrep
Det var 53 bekreftede DDoS-angrep denne måneden, ned fra 58 i oktober. 21 av disse ble håndtert og mitigert. Et gjennomsnittlig angrep var på 6,43 Gbps og varte i 60 minutter. Det største angrepet observert i denne perioden var på 42,2 Gbps og varte i 2 timer. Misbruk av DNS stod for 66% av angrepene.

Nyhetsoppsummering
JustisCERT varsler at Apple 3. november 2025 har publisert sikkerhetsoppdateringer som retter omfattende sårbarheter i en rekke Apple produkter: 56 sårbarheter i iOS og iPadOS 26.1, 105 i macOS Tahoe 26.1, 60 i macOS Sequoia 15.7.2, 49 i macOS Sonoma 14.8.2, 29 i tvOS 26.1, 32 i watchOS 26.1, 43 i visionOS 26.1, 21 i Safari 26.1 og 2 i Xcode 26.1.

Cybersecurity and Infrastructure Security Agency (CISA) har sendt ut et varsel om en kritisk fjernkjøringsfeil i CentOS Web Panel som nå aktivt utnyttes av angripere. Den berørte sårbarheten spores som CVE-2025-48703 og gjør det mulig for uautentiserte angripere (som kjenner et gyldig brukernavn) å kjøre vilkårlige shell kommandoer på en sårbar CWP instans.

Cisco har utgitt sikkerhetsoppdateringer for en kritisk sårbarhet i Unified Contact Center Express (UCCX) som gjør det mulig for en uautentisert angriper å laste opp manipulerte filer, omgå autentisering, kjøre vilkårlig kode eller eskalere til root-privilegier via Java RMI. Sårbarheten rammer UCCX uavhengig av hvordan enheter er konfigurert, og har fått kode CVE-2025-20354 med CVSS 9.8. Cisco anbefaler umiddelbar oppgradering til fiksede versjoner da det ikke finnes andre "workarounds".

En omfattende driftsfeil hos internettinfrastrukturleverandøren Cloudflare inntraff tirsdag 18. november 2025 rundt klokken 12:30 norsk tid. Feilen førte til at mange brukere opplevde ustabilitet eller fullstendig nedetid på flere nettsteder i flere timer og ble møtt med feilmeldingen "Internal server error - Error code 500". Feilen ble rettet etter omtrent tre timer. Cloudflare har selv identifisert årsaken som en latent feil (latent bug) i et system som håndterer bot-trafikk. I følge Cloudflare var det en rutinemessig konfigurasjonsendring som førte til at en automatisk generert konfigurasjonsfil vokste seg større enn forventet og utløste en krasj i programvaren. De understreker at dette ikke var et cyberangrep.

Amazon avslører angrep som utnyttet sårbarheter i Cisco ISE og Citrix NetScaler som zero-day. En avansert trusselaktør har brukt to hittil ukjente (zero day) sårbarheter i Citrix NetScaler ADC/Gateway og Cisco Identity Services Engine (ISE) og ISE Passive Identity Connector for å levere spesiallaget skadelig programvare. Amazon’s trusselintelligens team oppdaget utbrudd via sin “MadPot” honeypot infrastruktur hvor de så uautentisert fjernkjøring og innlogging¬ omgåelse mot disse produktene. Sårbarhetene ble senere offentliggjort og patchet, men aktøren hadde allerede utnyttet dem via web‐shell med Java refleksjon og brukte DES kryptering og uvanlig HTTP-header autentisering for å unngå deteksjon.

I september 2025 ble en selvrepliserende orm flagget som skadevare for leverandørkjedeangrep. Angrepet, kalt "Shai-Hulud" (etter sandormene i Dune-universet), påvirket over 500 npm-pakker (node package manager) og hadde som hovedmål å tilegne seg innloggingsinformasjon og annen hemmelig informasjon fra utviklere. 24.november 2025 gikk det ut informajson om at en orm med lignende egenskaper som Shai-Hulud hadde blitt observert. JavaScript pakkesystemet npm, som brukes av Node.js, ble rammet av skadevarekampanjen som har fått tilnavnet "Sha1-Hulud: The Second Coming." På det meste skal over 1000 npm-pakker være rammet, blant annet populære fra Postman, ENS, AsyncAPI, PostHog og Zapier. Ormen kamufleres som en trojaner og under installasjon av en kompromittert pakke vil ormen også installere seg selv og søke etter innloggingsdetaljer til blant annet GitHub, skytjenester som AWS, Azure og GCP, og npm.

 Om ormen lykkes, publiseres informasjonen på et offentlig GitHub-repo med offerets konto. Den forsøker også å spre seg selv ved å misbruke npm-innlogging til å infisere pakker offeret har ansvar for. Per 24.november 2025 melder Wiz (https://www.wiz.io) om mer at mer enn 350 unike brukere og over 25 000 repoer er påvirket av skadevaren.

Microsoft planlegger å oppdatere sikkerheten for Entra ID-autentisering slik at eksterne script-injeksjonsangrep (som cross-site scripting / XSS) blir blokkert. Fra midten til slutten av oktober 2026 vil innlogging via nettleser på adresser som begynner med login.microsoftonline.com bare tillate skript fra Microsoft-støttede CDN-domener og inline-skript fra betrodde Microsoft-kilder.

 

 

Situasjonsrapport - oktober 2025

Alvorlige hendelser

I oktober håndterte Telenor Cyberdefence 20 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, opp fra 16 i forrige periode.

DDoS-angrep
Det var 58 bekreftede DDoS-angrep denne måneden, ned fra 69 i september. 18 av disse ble håndtert og mitigert. Et gjennomsnittlig angrep var på 9,96 Gbps og varte i 60 minutter. Det største angrepet observert i denne perioden var på 84,7 Gbps og varte i 10 minutter. Misbruk av DNS stod for 64% av angrepene.

Nyhetsoppsummering
Ny digitalsikkerhetslov i Norge. Den nye digitalsikkerhetsloven i Norge trer i kraft 1. oktober 2025 og skal styrke beredskapen mot digitale trusler. Loven gjelder for virksomheter som leverer samfunnskritiske og viktige tjenester, og den pålegger strengere krav til risikohåndtering, sikkerhetstiltak, varsling av hendelser og tilsyn. NSM får et utvidet ansvar som tilsynsmyndighet, og loven bygger på EUs NIS2-direktiv.

Angrepskampanje mot SonicWall VPN brukere. Angrepene er observert av Huntress og de rapporterte at så mange som 100 brukere over 16 miljøer var kompromittert mellom 4.-10. oktober. Huntress sier videre at de ikke har funnet bevis for at det er en sammenheng mellom kompromittering og datalekkasjen fra SonciWall VPN fra 17. september i år. "Fordi disse filene inneholder svært sensitiv informasjon, er de krypterte, og legitimasjonene og hemmelighetene inni dem er individuelt kryptert med AES-256-algoritmen."

F5 Networks bekreftet et alvorlig datainnbrudd der statssponsede aktører stjal kildekode og informasjon om upubliserte sårbarheter i BIG-IP produkter. Angriperne hadde vedvarende tilgang i minst 12 måneder, trolig via BRICKSTORM skadevare tilknyttet kinesiske UNC5221. Selv om ingen kundedata eller systemer som CRM ble kompromittert, kan eksfiltrert sårbarhetsinformasjon brukes til målrettede angrep. CISA har utstedt en nød direktiv som pålegger amerikanske byråer å sikre og oppdatere F5 produkter innen 22. oktober 2025.

Det amerikanske byrået Cybersecurity and Infrastructure Security Agency (CISA) advarer om at en høy alvorlig sårbarhet i Microsoft Windows SMB Client (CVE 2025 33073) nå utnyttes aktivt. Sårbarheten gjør det mulig for en angriper med gyldige autentiseringsdetaljer å overtale et offer til å koble tilbake til en ondsinnet applikasjon, noe som kan gi angriperen SYSTEM privilegier på målsystemet. CISA har nå lagt sårbarheten inn i sin “Known Exploited Vulnerabilities” katalog.

Klopatra, ny Android-banktrojan med opprinnelse i Tyrkia. Klopatra er et nytt Android Remote Access Trojan (RAT) / banking-trojan som bruker kommersiell kodebeskyttelse for å forsinke analyse. Skadevaren leveres via en «dropper» kamuflert som en IPTV-app og utfører handlinger som å stjele legitimasjon og utføre nattlige banktransaksjoner. Det er blitt observert målrettede angrep mot europeiske finansmål, med hovedfokus i Spania og Italia hvor det er flere tusen infiserte enheter.

CISA advarer om aktiv utnyttelse av den kritiske sårbarheten CVE-2025-54253 (CVSS 10.0) i Adobe Experience Manager. Versjon 6.5.23 og eldre er rammet. Sårbarheten skyldes en feilkonfigurasjon som lar angripere omgå autentisering og muliggjør kjøring av vilkårlig kode uten brukerinteraksjon. Dette er en sårbarhet fra april som Adobe har rettet den 9. august, men mange systemer har enda ikke blitt patchet og CISA ser nå aktiv utnyttelse av denne. Det anbefales å patche umiddelbart om dette ikke allerede er gjort.

JustisCERT varsler at det er avdekket et stort antall sårbarheter i programvare fra både Atlassian og Oracle. Atlassian har rettet 14 sårbarheter, mens Oracle har utbedret hele 374 sårbarheter i sin kvartalsvise «Critical Patch Update». Angrepsflaten vurderes som stor, og flere av sårbarhetene har en CVSS-score på opptil 9,8 av 10, noe som indikerer svært høy risiko for kompromittering dersom systemene ikke oppdateres.

 

 

Situasjonsrapport - september 2025

Alvorlige hendelser

I september håndterte Telenor Cyberdefence 16 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, ned fra 17 i forrige periode.

DDoS-angrep
Det var 69 bekreftede DDoS-angrep denne måneden, opp fra 37 i august. 25 av disse ble håndtert og mitigert. Et gjennomsnittlig angrep var på 5,02 Gbps og varte i 16 minutter. Det største angrepet observert i denne perioden var på 59,7 Gbps og varte i 8 minutter. Misbruk av DNS stod for 85% av angrepene.

Nyhetsoppsummering
Amazon Web Services sitt trusselintelligens team har oppdaget og stoppet en vannhulls-kampanje utført av den russiske statssponsede aktøren APT29. Angriperne kompromitterte legitime nettsider og injiserte skjult JavaScript som omdirigerte omtrent 10% av besøkende til ondsinnede domener som etterlignet Cloudflare sider. Hensikten var å lure brukere til å autorisere angriper kontrollerte enheter via Microsofts enhetskode autentisering. Kampanjen benyttet teknikker som Base64 koding, tilfeldig omdirigering, bruk av cookies for å unngå gjentatt omdirigering, samt hurtig bytte av infrastruktur ved forstyrrelser. Amazon isolerte berørte EC2 instansene, samarbeidet med Cloudflare og Microsoft, og stengte ned de ondsinnede domenene.

I slutten av august 2025 ble det observert to markante bølger av nettverksskanninger rettet mot Cisco ASA enheter, hovedsakelig omkring innloggingsportaler og Telnet/SSH, med opptil 25 000 unike IP-adresser involvert. Den andre bølgen 26. august ble drevet av et brasiliansk bot-nett med cirka 17 000 IP-er. Skanningene brukte "Chrome-lignende" brukeragenter, noe som tyder på felles opprinnelse. Disse skanningene kan både være forsøk på å utnytte allerede kjente, patchede sårbarheter, men fungerer ofte som rekognoseringsaktivitet før nye sårbarheter offentliggjøres. Systemadministratorer rådes til å oppdatere ASA enheter, innføre MFA ved ekstern tilgang, skjule eller ikke eksponere ASA innlogging portaler, og bruke VPN, reverse proxy eller tilgangs gateway med geo blokkering og rate limiting for beskyttelse.

Microsoft har fikset en kritisk sårbarhet i Entra ID (tidligere Azure Active Directory), sporet som CVE-2025-55241 (CVSS 10.0). Feilen lå i valideringen av service-to-service tokens via den utdaterte Azure AD Graph API, som gjorde det mulig å utgi seg for enhver bruker på tvers av tenants. Dette kunne gi full kompromittering av tjenester som SharePoint Online, Exchange Online og Azure-ressurser. Sårbarheten har blitt fikset av Microsoft, uten behov for kundetiltak.

Cisco har utgitt sikkerhetsoppdateringer for å fikse en alvorlig Zero-day sårbarhet (CVE-2025-20352) i IOS og IOS XE. Feilen ligger i SNMP subsystemet og kan utnyttes via spesiallagde SNMP pakker over IPv4/v6. Alle SNMP versjoner er påvirket. Angripere med lave privilegier kan forårsake DoS (tjenestenekt), mens de med høyere privilegier kan oppnå full kontroll over sårbare systemer. Cisco bekrefter at sårbarheten allerede er utnyttet i angrep etter kompromittering av lokale administratorbrukere. Det finnes for tiden ingen midlertidig løsning annet enn å installere sikkerhetsoppdateringene Cisco har utgitt.

Tre nye Zero-day sårbarheter i Cisco ASA og FTD (CVE-2025-20333, CVSS 9.9, CVE-2025-20363, CVSS 9.0 og CVE-2025-20362, CVSS 6.5) blir aktivt utnyttet i pågående angrep. Sårbarhetene gjør det mulig for angripere å kjøre kode som root på sårbare enheter og å omgå autentisering via manipulerte HTTP forespørsler. Sårbarheten CVE-2025-20363 påvirker også Cisco IOS. NCSC anbefaler å installere nye sikkerhetsoppdateringer samt å følge Ciscos anbefalinger og har hevet pulsen til to: forhøyet fare. I USA har CISA utstedt et nød direktiv (ED 25-03) som pålegger føderale etater å gjennomføre tiltak innen 24 timer.

Akira ransomware angriper fortsatt SonicWall SSL VPN enheter, og forskere har oppdaget at angriperne klarer å logge inn på kontoer selv med OTP (One-Time Password) basert MFA aktivert. Angrepene knyttes til tidligere sårbarhet (CVE-2024-40766), hvor stjålne påloggingsinformasjon og OTP seeds trolig fortsatt misbrukes. Arctic Wolf observerer at angriperne får flere OTP utfordringer før vellykket innlogging, noe som antyder kompromitterte MFA seeds eller alternative metoder for å generere gyldige koder. Etter innbrudd beveger de seg raskt i nettverket, angriper blant annet Veeam backup-servere og bruker BYOVD (Bring Your Own Vulnerable Driver) teknikker for å deaktivere sikkerhetsprogramvare.

 

 

Situasjonsrapport - august 2025

Alvorlige hendelser

I august håndterte Telenor Cyberdefence 17 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, opp fra 7 i juli.

DDoS-angrep
Det var 37 bekreftede DDoS-angrep denne måneden, opp fra 27 i juli. 19 av disse ble håndtert og mitigert. Et gjennomsnittlig angrep var på 16,6 Gbps og varte i 18 minutter. Det største angrepet observert i denne perioden var på 244 Gbps og varte i 16 minutter. Misbruk av DNS stod for 94% av angrepene.

Nyhetsoppsummering
Fortinet har utgitt en kritisk sikkerhetsadvarsel for FortiSIEM, da en OS-kommandoinjeksjonsfeil (CVE-2025-25256) med CVSS 9.8 tillater uautentiserte angripere å utføre skadelige kommandoer via CLI-forespørsler. Praktisk angrepskode for dette sikkerhetsproblemet er blitt observert av Fortinet, og sårbarheten gir ingen tydelige indikatorer på kompromiss (IoCs). Påvirkede versjoner inkluderer FortiSIEM 6.1–7.2.x.

En kritisk sikkerhetssårbarhet i GitHub Copilot og Visual Studio Code — CVE‑2025‑53773 — utnyttes gjennom prompt‑injeksjon. Ved å manipulere .vscode/settings.json kan angripere aktivere den såkalte “YOLO mode” ("chat.tools.autoApprove": true), noe som fjerner alle sikkerhetsbekreftelser og gir verktøyet frihet til å kjøre shell-kommandoer og utføre vilkårlig kode på systemet

Crypto24-gruppen har nylig blitt observert i angrep mot store organsisasjoner i USA, Europa og Asia, spesielt innen finans, produksjon, underholdning og teknologi. Etter å ha fått inital tilgang så oppretter de administrative eller lokale kontoer, gjennomfører rekognosering via batch-script og setter opp vedvarende tilgang med skadelige Windosw-tjenester som "WinMainSvc" (keylogger) og "MSRuntime" (ransomware-logger). Deretter bruker de en tilpasset variant av verktøyet RealBindingEDR, som prøver å indentifisere hvilke EDR-løsninger som er tilstede.

Cisco har varslet om en kritisk remote code execution (RCE)-sårbarhet i RADIUS-subsystemet til Secure Firewall Management Center (FMC). Sårbarheten, identifisert som CVE-2025-20265, har fått den maksimale alvorlighetsscoren 10.0. En uautentisert og ekstern angriper kan sende spesiallaget input under RADIUS-autentiseringsfasen, enten via web- eller SSH-grensesnitt der RADIUS er aktivert, og dermed oppnå vilkårlig kjøring av shell-kommandoer med forhøyede rettigheter. Cisco har utgitt gratis sikkerhetsoppdateringer via vanlige kanaler for kunder med gyldig servicekontrakt.

FBI og Cisco Talos har gått ut med advarsler om en pågående cyber-etterretningskampanje utført av russiske hackere tilknyttet FSBs Center 16-enhet (kjent som både Static Tundra, Berserk Bear, Dragonfly m.fl.). Over de siste tolv månedene har de utnyttet den syv år gamle og kritiske sårbarheten CVE-2018-0171 i Cisco IOS- og IOS XE-programvare (Smart Install-funksjonen), og rettet angrep mot tusenvis av nettverksenheter i kritisk infrastruktur globalt.

PDF Editor By AppSuite, tilsynelatende et verktøy for PDF-redigering (visning, konvertering, utfylling, sammenslåing, signering og komprimering), viser seg å være et uønsket program med typiske kjennetegn for nettleserkapring (browser hijacker). Installasjonen endrer standard søkemotor til Yahoo gjennom en omdirigerings-URL (search-redirect.com) – en falsk søkemotor som kan samle data og føre brukere til upålitelige nettsteder. Den kan også vise påtrengende annonser, redusere nettleser- og systemytelse, og overvåke nettleseraktivitet. Brukere bør unngå å installere programmet og fjerne det umiddelbart dersom det er til stede.

Citrix oppdaterer tre NetScaler svakheter, bekrefter aktiv utnyttelse av CVE-2025-7775. Den 26. august 2025 har Citrix adressert tre alvorlige sårbarheter i "NetScaler ADC" og "NetScaler Gateway," inkludert CVE-2025-7775, som er under aktiv utnyttelse.