Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Thursday, 16 October 2025

Daglig nyhetsbrev fra Telenor Cyberdefence - 2025.10.16

SAP har utgitt sikkerhetsoppdateringer for oktober. 13 sårbarheter fikset hvorav tre er kritiske.. F5 sikkerhetsbrudd eksponerer BIG-IP kildekode.

SAP har utgitt sikkerhetsoppdateringer for oktober. 13 sårbarheter fikset hvorav tre er kritiske.

SAP har utgitt fikser som adresserer 13 nye sårbarheter i oktober 2015 oppdateringen. Den mest alvorlige har CVSS score 10 (CVE-2025-42944) og ligger i SAP NetWeaver AS Java. Denne lar en uautentisert angriper utnytte RMI-P4 modulen ved å sende en ondsinnet Java payload til en åpen port. Dette lar så angriper kjøre vilkårlig kode. Videre ble to andre kritiske feil rettet: CVE-2025-42937 (CVSS 9.8) i SAP Print Service som mangler tilstrekkelig validering av filstier og muliggjør "path traversal" og overskriving av filer. CVE-2025-42910 (CVSS 9.0) i SAP Supplier Relationship Management som tillater en autentisert angriper å laste opp vilkårlige filer.

SAP anbefaler at det prioriteres å installere de nye sikkerhetsoppdateringene så fort som mulig.

F5 sikkerhetsbrudd eksponerer BIG-IP kildekode

F5 Networks bekreftet et alvorlig datainnbrudd der statssponsede aktører stjal kildekode og informasjon om upubliserte sårbarheter i BIG-IP produkter. Angriperne hadde vedvarende tilgang i minst 12 måneder, trolig via BRICKSTORM skadevare tilknyttet kinesiske UNC5221. Selv om ingen kundedata eller systemer som CRM ble kompromittert, kan eksfiltrert sårbarhetsinformasjon brukes til målrettede angrep. CISA har utstedt en nød direktiv som pålegger amerikanske byråer å sikre og oppdatere F5 produkter innen 22. oktober 2025.

Anbefaling:

Oppdater BIG-IP, F5OS, BIG-IP Next, BIG-IQ og APM klienter umiddelbart. Begrens offentlig tilgang til administrasjonsgrensesnitt. Implementer sterkere overvåking og tilgangskontroller.

Posted by tsoc at 12:05 0 comments

Wednesday, 15 October 2025

Daglig nyhetsbrev fra Telenor Cyberdefence - 2025.10.15

Kinesiske hackere misbruker geokartleggingsverktøy for å holde seg i gang i årevis. Microsoft sikkerhetsoppdateringer Tirsdag – Oktober 2025: 172 sårbarheter og 6 null-dagers feil fikset. Nytt Pixnapping-angrep på Android kan lese MFA-koder.

Kinesiske hackere misbruker geokartleggingsverktøy for å holde seg i gang i årevis

Kinesiske statstilknyttede hackere (antatt gruppen Flax Typhoon) misbrukte en funksjon i ArcGIS – et geografisk informasjonssystem – ved å laste opp en ondsinnet Java SOE‑utvidelse som fungerer som et webskal via REST‑API. De fikk tilgang via gyldige administratorlegitimasjoner på en offentlig ArcGIS-server som var koblet til interne servere. Webskallet bruker en hardkodet hemmelig nøkkel og kan utføre kommandoer via base64-kodede parametere. For å opprettholde persistens installerte angriperne SoftEther VPN Bridge som Windows-tjeneste som starter automatisk, og opprettet en utgående HTTPS-tunnel til angripernes server. Gjennom denne tunnelen kunne de bevege seg sideveis i nettet, hente legitimasjoner (f.eks. SAM, LSA secrets), og eksfiltrere data – selv om webskallet blir fjernet, kan VPN‑tjenesten fortsatt fungere. ReliaQuest observerte målrettede operasjoner mot IT‑stasjoner og forsøk på priviliegieeskalering og lateral bevegelse.

Microsoft sikkerhetsoppdateringer Tirsdag – Oktober 2025: 172 sårbarheter og 6 null-dagers feil fikset

Microsoft lanserte på tirsdag 14. oktober 2025 sikkerhetsoppdateringer som retter 172 sårbarheter, inkludert 6 null-dagers sårbarheter. Blant disse er 8 vurdert som «Kritiske», og resten dekker kategorier som heving av privilegier, ekstern kodekjøring, informasjonsavsløring, tjenestenekt, omgåelse av sikkerhetsfunksjoner og forfalskning. I tillegg er dette den siste gratis sikkerhetsoppdateringen for Windows 10, ettersom systemet nå har nådd slutten av støtten.

Anbefaling:

Det anbefales å installere sikkerhetsoppdateringene som blir listet i artikkelen til Microsoft. I tillegg bør man vurdere å oppgradere fra Windows 10 om mulig.

Nytt Pixnapping-angrep på Android kan lese MFA-koder

Pixnapping er et nytt angrep som lar Android-apper uten tillatelser hente skjermdata som meldinger, e-poster og 2FA-koder ved å manipulere grafikkmotoren og utnytte GPU-komprimering.

Appen legger et hvitt dekkvindu over målet og leser en og en piksel via en gjennomsiktig flekk, forstørrer den med en uskarphetseffekt og tolker innholdet med OCR-teknologi.

Angrepet fungerer på moderne Android-enheter og kan hente ut sensitive koder på under 30 sekunder. Google forsøkte å fikse sårbarheten (CVE-2025-48561) i september, men forskere fant en måte å omgå løsningen. En mer robust oppdatering kommer i desember 2025.

Ingen kjente apper på Google Play utnytter sårbarheten per dags dato.

Sårbarheter:

Posted by tsoc at 12:08 0 comments

Tuesday, 14 October 2025

Daglig nyhetsbrev fra Telenor Cyberdefence - 2025.10.14

SonicWall VPN brukere blir kompromitert med antatt stjålende brukeropplysninger.

SonicWall VPN brukere blir kompromitert med antatt stjålende brukeropplysninger

Angrepskampanje mot SonicWall VPN brukere, angrepene som er omtalt i artikkelen er observert av Huntress og de rappoterte at så mange som 100 brukere over 16 miljøer var kompromitert mellom 4.-10. oktober.

Huntress sier videre at de ikke har funnet bevis for at det er en sammenheng mellom kompromitering og datalekasjen fra SonciWall VPN fra 17. september i år. "Fordi disse filene inneholder svært sensitiv informasjon, er de krypterte, og legitimasjonene og hemmelighetene inni dem er individuelt kryptert med AES-256-algoritmen."

Referanseartikkelen inneholder en IoC IP adresse hvor de fleste observerte angrepene stammer fra og en sjekkliste med anbefalte tiltak for å mitigere skadeomfanget.

Posted by tsoc at 15:04 0 comments

Monday, 13 October 2025

Daglig nyhetsbrev fra Telenor Cyberdefence - 2025.10.13

Stealit skadevare utnytter Node.js funksjon for å spre seg via falske spill og VPN installasjoner.

Stealit skadevare utnytter Node.js funksjon for å spre seg via falske spill og VPN installasjoner

Forskere ved Fortinet FortiGuard Labs har avdekket en aktiv kampanje der Stealit skadevare misbruker Node.js funksjonen Single Executable Application (SEA) for å kjøre ondsinnet kode uten behov for Node.js installasjon. Distribusjonen skjer via falske spill og VPN installasjoner lastet opp på Mediafire og Discord. Skadevaren tilbyr fjernstyring, datatyveri, skjermovervåkning og ransomware funksjoner for både Windows og Android. Den manipulerer også Microsoft Defender for å unngå deteksjon og benytter legitime verktøy som ChromElevator for informasjonsinnhenting fra nettlesere, meldingsapper og spillklienter

Posted by tsoc at 12:49 0 comments

Friday, 10 October 2025

Daglig nyhetsbrev fra Telenor Cyberdefence - 2025.10.10

Cl0p-gruppen utnytter Oracle-sårbarhet til å bryte seg inn hos titalls organisasjoner.

Cl0p-gruppen utnytter Oracle-sårbarhet til å bryte seg inn hos titalls organisasjoner

Google Threat Intelligence Group og Mandiant rapporterer at en null-dag-sårbarhet i Oracle E-Business Suite (CVE-2025-61882, CVSS 9.8) har blitt aktivt utnyttet av aktører knyttet til Cl0p/FIN11 siden juli 2025. Angriperne brukte en kombinasjon av SSRF, CRLF-injeksjon, autentiseringsbypass og XSL-injeksjon for fjernkode eksekvering. Ondsinnede payloads som GOLDVEIN.JAVA, SAGEGIFT, SAGELEAF og SAGEWAVE ble brukt til datatyveri og videre kompromittering. En massiv e-postkampanje startet 29. september 2025, der ofrene ble utpresset for stjålne data. Oracle har utgitt nødoppdateringer for å tette feilen.

Sårbarheter:

Posted by tsoc at 12:10 0 comments

Thursday, 9 October 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.10.09

Fra phishing til skadevare: AI blir Russlands nye cybervåpen i krigen mot Ukraina.

Fra phishing til skadevare: AI blir Russlands nye cybervåpen i krigen mot Ukraina

Russiske hackergrupper bruker nå kunstig intelligens (AI) aktivt i cyberangrep mot Ukraina, ifølge landets cybersikkerhetsmyndighet SSSCIP. AI brukes både til å generere phishing-kampanjer og til å utvikle skadevare som WRECKSTEEL, HOMESTEEL, GIFTEDCROOK, Amatera Stealer, Strela Stealer og Kalambur. Aktører som APT28, Sandworm og flere UAC-grupper utnytter også kjente sårbarheter i Roundcube og Zimbra (bl.a. CVE-2023-43770, CVE-2024-37383, CVE-2025-49113, CVE-2024-27443, CVE-2025-27915) til “zero-click”-angrep. Angrepene rettes mot militær, offentlig og kritisk infrastruktur, ofte via legitime tjenester som Google Drive og Dropbox for datatyveri.

Posted by tsoc at 15:31 0 comments

Wednesday, 8 October 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.10.08

Microsoft rapporterer om aktiv utnyttelse av kritisk sårbahet i Fortra GoAnywhere MFT.

Microsoft rapporterer om aktiv utnyttelse av kritisk sårbahet i Fortra GoAnywhere MFT

Microsoft rapporterer om aktiv utnyttelse av den en kritiske sårbarheten (CVE-2025-10035) i Fortra GoAnywhere MFT, som skyldes en deserialiseringsfeil i “License Servlet”-komponenten. Microsoft har observert angrep fra kjente trusselaktører, inkludert løsepengegrupper, som utnytter sårbarheten for datatyveri og etablering av bakdører.

Anbefaling:

Oppdater umiddelbart til GoAnywhere MFT versjon 7.5.4 eller nyere. Vurder å eventuelt deaktivere tilgang til “License Servlet” dersom oppdatering ikke er mulig.

Sårbarheter:

Posted by tsoc at 12:20 0 comments
Subscribe to: Comments (Atom)
 
>