Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday, 25 July 2014

2014.07.25 - Nyhetsbrev

F-Secure skriver om Mayhem, ESB utsatt for datainnbrudd, flere titusentalls WordPress-sider infisert, og svakheter i IE økt med 100% i følge rapport.

F-Secure går dypt inn i detaljer om "Mayhem"

I nyhetsbrevet vårt på tirsdag (22/07/2014) skrev vi om "Mayhem", en relativt ny malware som sprer seg gjennom Linux og FreeBSD servere ved å bruke et PHP script. F-Secure går nå dypt inn i detaljer om malware, i en artikkelen hvor de skriver om hvordan "Mayhem" infiserer servere, hvordan det er bygget opp og hva den kompromitterte serveren brukes til.
Referanser
http://www.f-secure.com/weblog/archives/00002727.html

Den Europeiske Sentralbank utsatt for datainnbrudd

ZDNet forteller at den nettstedet til Den Europeiske Sentralbank har blitt kompromittert og at personlig informasjon har blitt stjålet av angripere. Angriperne har i følge banken fått tilgang til en database som inneholdt informasjon om personer som hadde registrert seg på konferanser og andre arrangementer. Rundt 20 000 email adresser og en lavere antall telefonnummer og adresser skal ha vært stjålet, i følge BBC.
Referanser
http://www.zdnet.com/european-central-bank-suffers-security-breach-personal-data-stolen-7000031958/#ftag=RSS4d2198e http://www.bbc.com/news/business-28458323

Flere tusen WordPress sider kompromitert gjennom MailPoet

Sikkerhetseksperter hos selskapet Sucuri form ser at det er har vært en stor økning i antall angrep mot WordPress sider som bruker en utdatert versjon av en utvidelse med navn MailPoet. MailPoet hadde for litt siden en svakhet som gjorde det mulig for angripere å laste opp en vilkårlig fil til serveren, noe som kan gjøre det mulig for angriperen å ta over serveren helt. For 3 uker siden ble det gitt ut en oppdatering til denne utvidelsen som fikset denne svakheten. På disse tre ukene har angripere utnyttet denne svakheten på mellom 30 000 til 50 000 nettsider, selv om nettstedet ikke kjørte WordPress CMS eller faktisk hadde MailPoet utvidelsen aktivert.
Referanser
http://securityaffairs.co/wordpress/26931/hacking/wordpress-mailpoet-flaw.html

Svakheter i Internet Explorer har hatt en økning på 100%

Bromium Labs har analysert svakheter i flere forskjellige programvarer fra de første seks måneden i 2014. I denne analysen har Bromium Labs kommet frem til at antall svakheter i Internet Explorer har økt med mer enn 100% siden 2013. Sikkerhetsforskerene bak rapporten forteller også det at det har vært en nedgang i antall 0-dagssvakheter i Java, men at både Internet Explorer og Flash har sett en økning i disse.
Referanser
http://www.net-security.org/secworld.php?id=17158 http://www.bromium.com/sites/default/files/bromium-h1-2014-threat_report.pdf

Thursday, 24 July 2014

2014.07.24 - Nyhetsbrev

ISC melder om et kjekt triks mot Ransomware, og Apple QuickTime er sårbar for ekstern kodeeksekvering.

Windows Previous Versjon kan brukes mot Ransomware

SANS ICS melder om en lite triks som kan brukes mot Ransomware: Windows har en funksjon som heter "Previous Version", som en vanligvis bruker om en har slettet en fil eller gjort en modifikasjon som en ønsker å omgjøre. Men om Ransomware har kryptert viktige filer, kan det være en får tak i den ukrypterte versjonen via denne funksjonen.
Referanser
https://isc.sans.edu/diary/Windows+Previous+Versions+against+ransomware/18439

Apple QuickTime 'mvhd' Atom Heap Memory Corruption Remote Code Execution Vulnerability

Apple QuickTime er sårbar for filer eller nettsteder som er utformet på en spesiell måte. Om en bruker åpner en slik side/fil, vil angriperen kunne klare å kjøre egen kode på den sårbare enheten. Det er ikke kommet ut en fiks for dette ennå.
Anbefaling
Ikke åpne filer eller nettsteder som du ikke kjenner opphavet til
Referanser
http://zerodayinitiative.com/advisories/ZDI-14-264/

Wednesday, 23 July 2014

2014.07.23 - Nyhetsbrev

Mozilla oppdaterer Firefox og Thunderbird, og Symantec Endpoint Protection Manager er sårbar mot bruteforce innlogging.

Mozilla oppdaterer Firefox og Thunderbird

Mozilla har nå gitt ut oppdatering for Firefox, Firefox ESR og Thunderbird. Den nye versjonen for Firefox, 31, skal ha fikset en del svakheter som gjorde det mulig for angripere å kjøre vilkårlig kode via systemet, blant annet via WebGL, gjennom et spesielt kodebiblotek. Thunderbird har også fått fikset en del slike svakheter også.
Referanser
http://www.us-cert.gov/ncas/current-activity/2014/07/22/Mozilla-Releases-Security-Updates-Firefox-Firefox-ESR-and https://www.mozilla.org/security/known-vulnerabilities/firefox.html https://www.mozilla.org/security/known-vulnerabilities/thunderbird.html https://www.mozilla.org/security/known-vulnerabilities/firefoxESR.html

Symantec Endpoint Protection Manager sårbar mot bruteforce innlogging

Det er funnet en sårbarhet i web innloggingen til Symantec Endpoint Protection Manager. Sårbarheten går ut på at bruker innloggingen ikke hindrer automatisk innlogging ved bruk av CAPTCHA, og er derfor sårbar mot bruteforce-angrep.
Anbefaling
Anbefaler å oppdatere når ny versjon blir lagt ut.
Referanser
http://packetstormsecurity.com/files/127569/sepm-brute.txt

Tuesday, 22 July 2014

2014.07.22 - Nyhetsbrev

Open Wireless Router Firmware er lansert av EFF, og en ny malware sprer seg på Linux og FreeBSD-systemer.

"Mayhem" malwaren spres gjennom Linux og FreeBSD servere

Det er oppdaget en relativt ny malware, "Mayhem", sprer seg gjennom Linux og FreeBSD servere ved å bruke et PHP script. Den infiserer systemer som ikke er fullt oppdatert med dagens sikkerhets-oppdateringer. Ansatte ved den russiske Internett portalen Yandex har funnet 1400 infiserte maskiner.
Referanser
https://www.virusbtn.com/virusbulletin/archive/2014/07/vb201407-Mayhem http://www.theregister.co.uk/2014/07/18/malware_linux_freebsd_web_servers/

EFF utgav den 20. juli Open Wireless Router Firmware

EFF har lansert ett prøveprosjekt mot åpen ruter-firmware som er designet for å være et sikrere og mer fleksibelt alternativ til de eksisterende programvarene som kjører på hjemme- og småbedrifts-ruterne. Prosjektet baserer seg på at folk kan bidra ved utvikling og feilsøking av kildekoden som ligger tilgjengelig via Github.
Referanser
https://www.eff.org/deeplinks/2014/07/building-open-wireless-router http://threatpost.com/eff-releases-open-wireless-router-firmware/107331

Monday, 21 July 2014

2014.07.21 - Nyhetsbrev

Det er oppdaget alvrolige svakheter i både Advantech WebAccess og en rekke SoHo-routere fra Cisco. I tillegg har en gruppe cyber-kriminelle blitt arrestert etter rumensk og fransk politi har raidet flere lokasjoner.

Rumensk cyber gruppe tatt av Europol

Europol melder at en gruppe med cyber-kriminelle, bestående for det meste av rumenske statsborgere, har blitt stoppet etter at rumensk politi og fransk politi raidet flere lokasjoner. Europol forklarer at gruppen har stått bak mange angrep ved å bruke RAT (Remote Access Tool) med key-loggere for å ta over maskiner som de da brukte til å overføre penger med. Dette har skjedd for det meste i hele Europa, med fokuser rundt Norge, Østerrike, Belgia, Tyskland og Storbritannia.
Referanser
https://www.europol.europa.eu/content/international-network-romanian-cybercriminals-dismantled

Advantech WebAccess Remote Code Execution Vulnerability

Det finnes flere svakheter i Advantech WebAccess, hvor disse kan bli utnyttet av en angriper til å eksekvere kode på sårbare maskiner. Advantech har slippet ut oppdatering som fikser dette.
Anbefaling
Oppdatere programvaren
Referanser
http://www.zerodayinitiative.com/advisories/ZDI-14-251

Svakhet i Cisco SoHo rutere

Cisco advarer om at det er kritisk svakhet i deres SoHo (small office/home office) rutere. Denne svakheten kommer av hvordan ruterene håndetere HTTP forespørseler. Cisco forteller at denne svakheten gjør det mulig for angripere å sende en spesiell HTTP forespørsel som fører til at enheten kræsjer og gir mulighet til å kjøre vilkårlig kode.

Svakheten kan finnes i disse enhetene: DPC3212, DPC3825 8x4 DOCSIS 3.0, EPC3212, EPC3825 8x4 DOCSIS 3.0, DPC3010 DOCSIS 3.0 8x4, DPC3925 8x4 DOCSIS 3.0, DPQ3925 8x4 DOCSIS 3.0, EPC3010 DOCSIS 3.0 og EPC3925 8x4 DOCSIS 3.0.

Cisco anbefaler å oppdatere så fort som mulig.
Anbefaling
Cisco anbefaler å oppdatere så fort som mulig.
Referanser
http://www.v3.co.uk/v3-uk/news/2356126/cisco-warns-of-critical-security-hole-in-soho-routers

Friday, 18 July 2014

2014.07.18 - Nyhetsbrev

11 000 systemer infisert av Pushdo trojaner i løpet av 24 timer. Flere sårbarheter i Apache Web server er fikset. Hackere fikk i 2010 nesten kontroll over NASDAQ.

11 000 systemer infisert av Pushdo trojaner på 24 timer

Trojaneren Pushdo har, ifølge Bitdefender, infisert 11 000 systemer i løpet av 24 timer. Trojaneren blir brukt som spam distributør, hvor selve spammingen blir utført av komponenten Cutwail som regelmessig blir installert på den kompromitterte klienten.
Referanser
http://labs.bitdefender.com/2014/07/new-pushdo-variant-surfaces/ http://www.theregister.co.uk/2014/07/17/pushdo_trojan_outbreak/

Hackere hadde nesten fått kontroll over NASDAQ

I 2010 hadde noen hackere med god erfaring brukt minst to zero-day exploits til å få tilgang til nettverket til NASDAQ. I flere måneder fikk de plassert ut skadelig malware for å lage kaos i nettverket.
Referanser
http://arstechnica.com/security/2014/07/how-elite-hackers-almost-stole-the-nasdaq/

Sårbarheter i Apache Web server fikset

Fem sårbarheter i Apache Web server har blitt fikset. Blant disse var to sårbarheter kategorisert som alvorlige, pga mulig DoS, og to som moderate. Den siste sårbarheten kunne utnyttes til å forårsake buffer overflow, og i enkelte tilfeller føre til ekstern kodeeksekvering.
Anbefaling
Oppdater til siste versjon.
Referanser
https://httpd.apache.org/security/vulnerabilities_24.html
http://threatpost.com/five-vulnerabilities-fixed-in-apache-web-server/107278

Thursday, 17 July 2014

2014.07.17 - Nyhetsbrev

Det er funnet en svakhet i Bitdefender GravityZone, Arbor rapporter om 100 DDoS hendelser på over 100 GB/s hittil i år, og i følge FBI infiserer botnet 18 systemer hvert sekund.

Over 100 DDoS hendelser på over 100 GB/s i år.

Arbor Networks rapporterer at det har vært over 100 angrep som har vært større enn 100 GB/s så langt i år. Det blir nevnt at det har vært dobbelt så mange angrep på over 20 GB/s sammenlignet med året 2013.
Referanser
http://www.net-security.org/secworld.php?id=17123 http://www.hacksurfer.com/posts/more-than-100-ddos-attacks-over-100-gb-slash-sec-in-2014-so-far-arbor-networks

Botnet infiserer 18 systemer hvert sekund ifølge FBI

Assisterende direktør hos FBI, Joseph Demarest, sier at botnet har medført tap på over ni milliarder amerikanske dollar for amerikanske ofre, og over 110 milliarder dollar globalt. Det nevnes også at 500 millioner maskiner blir infisert i året. Han forteller videre at FBI utvikler nye teknologier og løsninger for å kunne mitigere den økende trenden, men sier samtidig at det må bli tettere samarbeid mellom politi, det offentlige og de private sektorene.
Referanser
http://www.v3.co.uk/v3-uk/news/2355596/botnets-infecting-18-systems-per-second-warns-fbi

Sårbarhet funnet i Bitdefender GravityZone

Sårbarhet funnet i Bitdefender GravityZone (Endpoint Protection Manager), som kan gi angripere tilgang til produktets database. Dette gjør at angriperne får full tilgang til plattformen, og gir de mulighet til videre angripe andre tilkoblede produkter (Endpoints). Bitdefender siste patch retter kun deler av denne sårbarheten.
Anbefaling
Oppdatert til siste versjon, selv om det ikke retter svakheten 100%
Referanser
https://www.sec-consult.com/fxdata/seccons/prod/temedia/advisories_txt/20140716-3_Bitdefender_GravityZone_Multiple_critical_vulnerabilities_v10.txt
http://www.theregister.co.uk/2014/07/17/flaws_found_in_bitdefender_enterprise_endpoint_manager/