Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Tuesday, 29 July 2014

2014.07.29 - Nyhetsbrev

Hackere skal ha eksfiltrert store mengder informasjon fra tre av Israels våpenleverandører.

Israelske våpenleverandører hacket

Krebs on security melder i dag at sikkerhetsselskapet CyberESI har gitt ut en rapport som beskriver et omfattende hackerangrep mot tre store israelske våpenleverandører. Selskapene skal blant annet ha stått for utviklingen av rakettforsvarssystemet "Iron Dome". Den israelske regjeringen har tidligere gitt dette systemet æren for å ha stoppet en femtedel av de over 2000 rakettene som palestinske militanter skal ha avfyrt mot dem og CyberESI mener at det er stor sannsynlighet for at det var denne teknologien angriperne var interessert i. Angrepet skal ha skjedd mellom oktober 2011 og august 2012 og hackerne skal i løpet av tidsperioden ha hentet ut store mengder data, inkludert informasjon om flere våpensystemer.
Referanser
http://krebsonsecurity.com/2014/07/hackers-plundered-israeli-defense-firms-that-built-iron-dome-missile-defense-system/

Monday, 28 July 2014

2014.07.28 - Nyhetsbrev

Det har vært en rolig helg.

Det er ingen nye saker siden sist.


Friday, 25 July 2014

2014.07.25 - Nyhetsbrev

F-Secure skriver om Mayhem, ESB utsatt for datainnbrudd, flere titusentalls WordPress-sider infisert, og svakheter i IE økt med 100% i følge rapport.

F-Secure går dypt inn i detaljer om "Mayhem"

I nyhetsbrevet vårt på tirsdag (22/07/2014) skrev vi om "Mayhem", en relativt ny malware som sprer seg gjennom Linux og FreeBSD servere ved å bruke et PHP script. F-Secure går nå dypt inn i detaljer om malware, i en artikkelen hvor de skriver om hvordan "Mayhem" infiserer servere, hvordan det er bygget opp og hva den kompromitterte serveren brukes til.
Referanser
http://www.f-secure.com/weblog/archives/00002727.html

Den Europeiske Sentralbank utsatt for datainnbrudd

ZDNet forteller at den nettstedet til Den Europeiske Sentralbank har blitt kompromittert og at personlig informasjon har blitt stjålet av angripere. Angriperne har i følge banken fått tilgang til en database som inneholdt informasjon om personer som hadde registrert seg på konferanser og andre arrangementer. Rundt 20 000 email adresser og en lavere antall telefonnummer og adresser skal ha vært stjålet, i følge BBC.
Referanser
http://www.zdnet.com/european-central-bank-suffers-security-breach-personal-data-stolen-7000031958/#ftag=RSS4d2198e http://www.bbc.com/news/business-28458323

Flere tusen WordPress sider kompromitert gjennom MailPoet

Sikkerhetseksperter hos selskapet Sucuri form ser at det er har vært en stor økning i antall angrep mot WordPress sider som bruker en utdatert versjon av en utvidelse med navn MailPoet. MailPoet hadde for litt siden en svakhet som gjorde det mulig for angripere å laste opp en vilkårlig fil til serveren, noe som kan gjøre det mulig for angriperen å ta over serveren helt. For 3 uker siden ble det gitt ut en oppdatering til denne utvidelsen som fikset denne svakheten. På disse tre ukene har angripere utnyttet denne svakheten på mellom 30 000 til 50 000 nettsider, selv om nettstedet ikke kjørte WordPress CMS eller faktisk hadde MailPoet utvidelsen aktivert.
Referanser
http://securityaffairs.co/wordpress/26931/hacking/wordpress-mailpoet-flaw.html

Svakheter i Internet Explorer har hatt en økning på 100%

Bromium Labs har analysert svakheter i flere forskjellige programvarer fra de første seks måneden i 2014. I denne analysen har Bromium Labs kommet frem til at antall svakheter i Internet Explorer har økt med mer enn 100% siden 2013. Sikkerhetsforskerene bak rapporten forteller også det at det har vært en nedgang i antall 0-dagssvakheter i Java, men at både Internet Explorer og Flash har sett en økning i disse.
Referanser
http://www.net-security.org/secworld.php?id=17158 http://www.bromium.com/sites/default/files/bromium-h1-2014-threat_report.pdf

Thursday, 24 July 2014

2014.07.24 - Nyhetsbrev

ISC melder om et kjekt triks mot Ransomware, og Apple QuickTime er sårbar for ekstern kodeeksekvering.

Windows Previous Versjon kan brukes mot Ransomware

SANS ICS melder om en lite triks som kan brukes mot Ransomware: Windows har en funksjon som heter "Previous Version", som en vanligvis bruker om en har slettet en fil eller gjort en modifikasjon som en ønsker å omgjøre. Men om Ransomware har kryptert viktige filer, kan det være en får tak i den ukrypterte versjonen via denne funksjonen.
Referanser
https://isc.sans.edu/diary/Windows+Previous+Versions+against+ransomware/18439

Apple QuickTime 'mvhd' Atom Heap Memory Corruption Remote Code Execution Vulnerability

Apple QuickTime er sårbar for filer eller nettsteder som er utformet på en spesiell måte. Om en bruker åpner en slik side/fil, vil angriperen kunne klare å kjøre egen kode på den sårbare enheten. Det er ikke kommet ut en fiks for dette ennå.
Anbefaling
Ikke åpne filer eller nettsteder som du ikke kjenner opphavet til
Referanser
http://zerodayinitiative.com/advisories/ZDI-14-264/

Wednesday, 23 July 2014

2014.07.23 - Nyhetsbrev

Mozilla oppdaterer Firefox og Thunderbird, og Symantec Endpoint Protection Manager er sårbar mot bruteforce innlogging.

Mozilla oppdaterer Firefox og Thunderbird

Mozilla har nå gitt ut oppdatering for Firefox, Firefox ESR og Thunderbird. Den nye versjonen for Firefox, 31, skal ha fikset en del svakheter som gjorde det mulig for angripere å kjøre vilkårlig kode via systemet, blant annet via WebGL, gjennom et spesielt kodebiblotek. Thunderbird har også fått fikset en del slike svakheter også.
Referanser
http://www.us-cert.gov/ncas/current-activity/2014/07/22/Mozilla-Releases-Security-Updates-Firefox-Firefox-ESR-and https://www.mozilla.org/security/known-vulnerabilities/firefox.html https://www.mozilla.org/security/known-vulnerabilities/thunderbird.html https://www.mozilla.org/security/known-vulnerabilities/firefoxESR.html

Symantec Endpoint Protection Manager sårbar mot bruteforce innlogging

Det er funnet en sårbarhet i web innloggingen til Symantec Endpoint Protection Manager. Sårbarheten går ut på at bruker innloggingen ikke hindrer automatisk innlogging ved bruk av CAPTCHA, og er derfor sårbar mot bruteforce-angrep.
Anbefaling
Anbefaler å oppdatere når ny versjon blir lagt ut.
Referanser
http://packetstormsecurity.com/files/127569/sepm-brute.txt

Tuesday, 22 July 2014

2014.07.22 - Nyhetsbrev

Open Wireless Router Firmware er lansert av EFF, og en ny malware sprer seg på Linux og FreeBSD-systemer.

"Mayhem" malwaren spres gjennom Linux og FreeBSD servere

Det er oppdaget en relativt ny malware, "Mayhem", sprer seg gjennom Linux og FreeBSD servere ved å bruke et PHP script. Den infiserer systemer som ikke er fullt oppdatert med dagens sikkerhets-oppdateringer. Ansatte ved den russiske Internett portalen Yandex har funnet 1400 infiserte maskiner.
Referanser
https://www.virusbtn.com/virusbulletin/archive/2014/07/vb201407-Mayhem http://www.theregister.co.uk/2014/07/18/malware_linux_freebsd_web_servers/

EFF utgav den 20. juli Open Wireless Router Firmware

EFF har lansert ett prøveprosjekt mot åpen ruter-firmware som er designet for å være et sikrere og mer fleksibelt alternativ til de eksisterende programvarene som kjører på hjemme- og småbedrifts-ruterne. Prosjektet baserer seg på at folk kan bidra ved utvikling og feilsøking av kildekoden som ligger tilgjengelig via Github.
Referanser
https://www.eff.org/deeplinks/2014/07/building-open-wireless-router http://threatpost.com/eff-releases-open-wireless-router-firmware/107331

Monday, 21 July 2014

2014.07.21 - Nyhetsbrev

Det er oppdaget alvrolige svakheter i både Advantech WebAccess og en rekke SoHo-routere fra Cisco. I tillegg har en gruppe cyber-kriminelle blitt arrestert etter rumensk og fransk politi har raidet flere lokasjoner.

Rumensk cyber gruppe tatt av Europol

Europol melder at en gruppe med cyber-kriminelle, bestående for det meste av rumenske statsborgere, har blitt stoppet etter at rumensk politi og fransk politi raidet flere lokasjoner. Europol forklarer at gruppen har stått bak mange angrep ved å bruke RAT (Remote Access Tool) med key-loggere for å ta over maskiner som de da brukte til å overføre penger med. Dette har skjedd for det meste i hele Europa, med fokuser rundt Norge, Østerrike, Belgia, Tyskland og Storbritannia.
Referanser
https://www.europol.europa.eu/content/international-network-romanian-cybercriminals-dismantled

Advantech WebAccess Remote Code Execution Vulnerability

Det finnes flere svakheter i Advantech WebAccess, hvor disse kan bli utnyttet av en angriper til å eksekvere kode på sårbare maskiner. Advantech har slippet ut oppdatering som fikser dette.
Anbefaling
Oppdatere programvaren
Referanser
http://www.zerodayinitiative.com/advisories/ZDI-14-251

Svakhet i Cisco SoHo rutere

Cisco advarer om at det er kritisk svakhet i deres SoHo (small office/home office) rutere. Denne svakheten kommer av hvordan ruterene håndetere HTTP forespørseler. Cisco forteller at denne svakheten gjør det mulig for angripere å sende en spesiell HTTP forespørsel som fører til at enheten kræsjer og gir mulighet til å kjøre vilkårlig kode.

Svakheten kan finnes i disse enhetene: DPC3212, DPC3825 8x4 DOCSIS 3.0, EPC3212, EPC3825 8x4 DOCSIS 3.0, DPC3010 DOCSIS 3.0 8x4, DPC3925 8x4 DOCSIS 3.0, DPQ3925 8x4 DOCSIS 3.0, EPC3010 DOCSIS 3.0 og EPC3925 8x4 DOCSIS 3.0.

Cisco anbefaler å oppdatere så fort som mulig.
Anbefaling
Cisco anbefaler å oppdatere så fort som mulig.
Referanser
http://www.v3.co.uk/v3-uk/news/2356126/cisco-warns-of-critical-security-hole-in-soho-routers