Threat actors are actively exploiting CVE-2025-59287 in WSUS to deploy ShadowPad.

ASEC notes the attackers used PowerCat for shell access, then fetched and installed ShadowPad with certutil/curl, executing it through DLL side-loading.

How are you securing WSUS or other update infrastructure in your environment?
💬 Share your insights
⭐ Follow TechNadu for timely threat intel

#infosec #WSUS #ShadowPad #CVE2025 #malware #threatintel #sysadmin #DFIR #TechNadu

🚨 Hackers are using a fixed Windows bug (CVE-2025-59287) to spread ShadowPad malware through WSUS servers.

They used normal Windows tools like curl and certutil to install it — a method seen before in Chinese hacking groups.

Systems patched too late may have already been compromised.

Full story ↓ https://thehackernews.com/2025/11/shadowpad-malware-actively-exploits.html

📰 ShadowPad Backdoor Deployed via Critical WSUS Server Vulnerability

🔥 CRITICAL: Chinese APTs are actively exploiting a WSUS RCE vulnerability (CVE-2025-59287) to deploy the ShadowPad backdoor. Attackers gain SYSTEM access for espionage. Patching is urgent! #ThreatIntel #CVE #ShadowPad #CyberAttack

🔗 https://cyber.netsecops.io/articles/shadowpad-backdoor-deployed-exploiting-windows-server-vulnerability/?utm_source=mastodon&utm_medium=social&utm_campaign=twitter_auto

Microsoft corregge il bug su WSUS, ma gli hacker Cinesi arrivano prima

Una vulnerabilità recentemente corretta nei servizi di aggiornamento di Windows Server di Microsoft ha portato a una serie di attacchi utilizzando uno degli strumenti di spionaggio più noti degli ultimi anni.

Gli incidenti dimostrano la rapidità con cui gli aggressori possono passare dallo studio di un exploit pubblicato allo sfruttamento attivo della vulnerabilità per penetrare nell’infrastruttura.

Secondo l’azienda sudcoreana AhnLab, un gruppo sconosciuto ha ottenuto l’accesso ai server Windows che eseguivano WSUS sfruttando la vulnerabilità CVE-2025-59287. Questa vulnerabilità è stata sfruttata per eseguire utilità di sistema standard, consentendo agli aggressori di contattare un server esterno e scaricare codice dannoso.

Prima di installare lo strumento principale, è stata utilizzata l’utilità PowerCat, che ha fornito agli aggressori un prompt dei comandi remoto. Quindi, utilizzando certutil e curl, è stato installato ShadowPad sul sistema.

Questo programma è considerato uno sviluppo di PlugX ed è da tempo utilizzato da entità collegate alla Cina. La sua architettura è modulare e viene avviato tramite sostituzione di libreria.

Un file DLL, situato in memoria e responsabile dell’esecuzione del contenuto principale, viene caricato nel file legittimo ETDCtrlHelper.exe. Al suo interno viene implementato un modulo che carica componenti aggiuntivi e utilizza meccanismi stealth e di persistenza.

Microsoft ha corretto CVE-2025-59287 un mese fa. Il bug è classificato come critico perché consente l’esecuzione di codice arbitrario con privilegi di sistema. Dopo il rilascio di un exploit dimostrativo, molti gruppi hanno iniziato a scansionare in massa i server WSUS accessibili, ottenendo l’accesso iniziale, effettuando ricognizioni e scaricando sia file dannosi che strumenti di amministrazione legittimi. Secondo AhnLab, è in questo modo che ShadowPad è stato distribuito sui server.

L’incidente ha chiaramente dimostrato che ogni vulnerabilità diventa una minaccia reale se la sua risoluzione viene ritardata. Quanto più rapidamente vengono affrontati i problemi identificati, tanto minore è la probabilità che gli aggressori riescano a infiltrarsi nell’infrastruttura e a trasformare un guasto in una crisi conclamata.

L'articolo Microsoft corregge il bug su WSUS, ma gli hacker Cinesi arrivano prima proviene da Red Hot Cyber.

On Thursday, this blog was released about CVE-2025-61757 in Oracle Fusion Middleware - Oracle Identity Manager really

https://slcyber.io/research-center/breaking-oracles-identity-manager-pre-auth-rce/

Within 24 hours, it was added to CISA KEV as actively exploited 🤔

https://www.nu11secur1ty.com/2025/11/cve-2025-61757-oracle-wlserver-122140.html

Grafana : une faille dans SCIM permet d’élever ses privilèges et de devenir admin ! https://www.it-connect.fr/grafana-scim-cve-2025-41115/ #ActuCybersécurité #Cybersécurité #Vulnérabilité

7-Zip RCE flaw (CVE-2025-11001) actively exploited in attacks in the wild https://securityaffairs.com/184850/security/7-zip-rce-flaw-cve-2025-11001-actively-exploited-in-attacks-in-the-wild.html

Oh look, another "We're not fixing this vuln so the only real mitigation we can offer is to disable the service" from a security vendor. The service this time is BIND. In F5 BIG-IP DNS. No I'm not joking.

https://my.f5.com/manage/s/article/K000157948

This is for CVE-2025-40780 which was published over a month ago.

https://www.cve.org/CVERecord?id=CVE-2025-40780

⚠️ CVE-2025-7402: HIGH severity SQL Injection in Ads Pro Plugin (≤4.95) for WordPress. Unauthenticated attackers can leak DB data via 'site_id'—patch unavailable. Deploy WAF & monitor activity! https://radar.offseq.com/threat/cve-2025-7402-cwe-89-improper-neutralization-of-sp-c1c197c1 #OffSeq #WordPress #SQLi #Vuln

⚠️ CVE-2025-6389 (CRITICAL, CVSS 9.8): All versions of Sneeit Framework for WordPress are vulnerable to unauth RCE via sneeit_articles_pagination_callback(). Disable plugin & monitor for compromise. https://radar.offseq.com/threat/cve-2025-6389-cwe-94-improper-control-of-generatio-740e50f0 #OffSeq #WordPress #CVE2025_6389 #RCE

D-Link

https://www.cve.org/CVERecord?id=CVE-2025-13562

Davantis

https://www.cve.org/CVERecord?id=CVE-2025-41016

https://www.cve.org/CVERecord?id=CVE-2025-41017

cc: @Dio9sys @da_667

#internetOfShit

This feels like a pretty good summary of the state of things in tech.

https://ozex.gitlab.io/tricks_hacks/2025-11-19-cve-2025-63958/index.html

MILLENSYS Vision Tools Workspace 6.5.0.2585 exposes a sensitive configuration endpoint (/MILLENSYS/settings) that is accessible without authentication. This page leaks plaintext database credentials, file share paths, internal license server configuration, and software update parameters. An unauthenticated attacker can retrieve this information by accessing the endpoint directly, potentially leading to full system compromise. The vulnerability is due to missing access controls on a privileged administrative function.

That seems like it could be a problem.

https://access.redhat.com/security/cve/cve-2025-13609

A vulnerability has been identified in keylime where an attacker can exploit this flaw by registering a new agent using a different Trusted Platform Module (TPM) device but claiming an existing agent's unique identifier (UUID). This action overwrites the legitimate agent's identity, enabling the attacker to impersonate the compromised agent and potentially bypass security controls.