tag:blogger.com,1999:blog-12003212682115031032024-03-18T12:21:56.485+01:00TSOC-nyhetsbrev- daglige oppdateringer fra TSOCtsochttp://www.blogger.com/profile/03423025793438361055noreply@blogger.comBlogger3341125tag:blogger.com,1999:blog-1200321268211503103.post-52814784247928810162024-03-18T12:21:00.001+01:002024-03-18T12:21:24.937+01:00Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.03.18<p font-size: 1.17em> APT-28 med omfattende phishing-kampanje. </p><hr>
<div style='margin-bottom: 20px'>
<h2 style='margin-bottom: -0.5em'>APT-28 med omfattende phishing-kampanje</h2>
<p>IBM X-Force rapporterer at den russisk-tilknyttede aktøren APT-28 er aktive med flere phishing-kampanjer. Kampanjen bruker dokumenter som er spesielt tilpasset målene og relaterer seg til finans, helse, økonomi, kritisk infrastruktur osv. Målene befinner seg både i Europa, Amerika og Asia. Målet med operasjonen er å installere ulike bakdører for eksfiltrasjon av data.</p>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Referanser:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href=https://thehackernews.com/2024/03/apt28-hacker-group-targeting-europe.html>https://thehackernews.com/2024/03/apt28-hacker-group-targeting-europe.html</a>
</div>
</div>
</div>
tsochttp://www.blogger.com/profile/03423025793438361055noreply@blogger.com0tag:blogger.com,1999:blog-1200321268211503103.post-81557580578595838082024-03-15T12:53:00.001+01:002024-03-15T12:53:34.008+01:00Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.03.15<p font-size: 1.17em> Cisco patcher flere svakheter i IOS RX i samleoppdatering. Google Chrome får snart sanntids phishing-beskyttelse. </p><hr>
<div style='margin-bottom: 20px'>
<h2 style='margin-bottom: -0.5em'>Cisco patcher flere svakheter i IOS RX i samleoppdatering</h2>
<p>Cisco ga på onsdag ut patcher for flere svakheter i IOS XR, inkludert tre sårbarheter rangert med "høy" viktighet, som blant annet kan føre til tjenestenekt og utvidelse av rettigheter på systemet gjennom spesielt utformede kommandoer via en SSH-sesjon. Svakheten er fikset i versjon 7.10.2 av IOS.</p><p>Cisco patcher også flere andre svakheter i en mengde utstyr og kunder bør ta en sjekk opp mot de 8 sikkerhets-kunngjøringene.</p>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Referanser:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href=https://www.securityweek.com/cisco-patches-high-severity-ios-rx-vulnerabilities/>https://www.securityweek.com/cisco-patches-high-severity-ios-rx-vulnerabilities/</a>
<a style='flex: 1;' href=https://sec.cloudapps.cisco.com/security/center/viewErp.x?alertId=ERP-75299>https://sec.cloudapps.cisco.com/security/center/viewErp.x?alertId=ERP-75299</a>
</div>
</div>
</div>
<div style='margin-bottom: 20px'>
<h2 style='margin-bottom: -0.5em'>Google Chrome får snart sanntids phishing-beskyttelse</h2>
<p>Google har lenge hatt innebygget beskyttelse mot phishing, svindel og skadevare gjennom "Safe Browsing"-systemet. Systemet fungerer ved at nettleseren en-to ganger i timen laster ned en ny liste over "blokkerte" sider fra Google.</p><p>Senere i mars vil Google lansere en forbedret versjon, der spørringene gjøres i sanntid, i motsetningen til dagens periodiske oppdateringer. Dette tvinger seg frem, siden phishing-sidene får kortere og kortere levetid for å unngå blokkering. Systemet skal være implementert på en slik måte at Google ikke har mulighet til å knytte spørringene mot enkeltpersoner, ved hjelp av hashing og miksing av spørringer.</p>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Referanser:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href=https://www.bleepingcomputer.com/news/google/google-chrome-gets-real-time-phishing-protection-later-this-month/>https://www.bleepingcomputer.com/news/google/google-chrome-gets-real-time-phishing-protection-later-this-month/</a>
</div>
</div>
</div>
tsochttp://www.blogger.com/profile/03423025793438361055noreply@blogger.com0tag:blogger.com,1999:blog-1200321268211503103.post-27959526286799751632024-03-14T12:25:00.001+01:002024-03-14T12:25:02.798+01:00Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.03.14<p font-size: 1.17em> Nytt angrep utnytter Windows SmartScreen-svakheter til å spre DarkGate-malware. </p><hr>
<div style='margin-bottom: 20px'>
<h2 style='margin-bottom: -0.5em'>Nytt angrep utnytter Windows SmartScreen-svakheter til å spre DarkGate-malware</h2>
<p>En ny bølge av angrep benytter seg av en nylig utbedret sårbarhet i Windows Defender SmartScreen for å omgå sikkerhetssjekker og installere falsk programvare. Sårbarheten, identifisert som CVE-2024-21412, lar angripere lage spesialkonstruerte filer som unngår SmartScreens advarsler. Ved å utnytte dette smutthullet har "Water Hydra"-hackergruppen tidligere spredt sin DarkMe-malware, og nå har operatører av DarkGate-malware tatt i bruk samme metode for å øke sjansene for infeksjon. Angrepet starter med en ondsinnet e-post som leder ofre til et kompromittert nettsted, deretter til automatisk kjøring av en skadelig MSI-fil forkledd som legitim programvare. Microsoft har utgitt en fiks i sin februar 2024 oppdatering, men Trend Micro advarer om at DarkGate nå er mer sofistikert enn før, med nye avanserte teknikker og oppdatert funksjonalitet.</p>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Sårbarheter:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href='https://nvd.nist.gov/vuln/detail/CVE-2024-21412'>CVE-2024-21412</a>
</div>
</div>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Referanser:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href=https://www.bleepingcomputer.com/news/security/hackers-exploit-windows-smartscreen-flaw-to-drop-darkgate-malware/>https://www.bleepingcomputer.com/news/security/hackers-exploit-windows-smartscreen-flaw-to-drop-darkgate-malware/</a>
</div>
</div>
</div>
tsochttp://www.blogger.com/profile/03423025793438361055noreply@blogger.com0tag:blogger.com,1999:blog-1200321268211503103.post-21769053934684635362024-03-13T12:13:00.001+01:002024-03-13T12:13:05.592+01:00Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.03.13<p font-size: 1.17em> Fortinet kommer med hasteoppdateringer for kritiske svakheter. Microsoft Patchetirsdag Mars 2024. </p><hr>
<div style='margin-bottom: 20px'>
<h2 style='margin-bottom: -0.5em'>Fortinet kommer med hasteoppdateringer for kritiske svakheter</h2>
<p>Fortinet kommer med 5 sikkerhetsoppdateringer som addresserer 6 store svakheter i sine FortiOS, FortiProxy og FortiClientEMS produkter. </p><p>FortiOS og FortiProxy (CVE-2023-42789, CVE-2023-42790) er de mest kritiske svakhetene (målt til CVSS 9.8 og 8.1). Svakhetene tillater angripere å kunne få full tilgang og kontroll over systemet i produktet. Svakhetene strekker seg fra NTLM og HTTP-autentisering til mer sofistikerte metoder som SAML og klientsertifikat-autentisering. </p>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Sårbarheter:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href='https://nvd.nist.gov/vuln/detail/CVE-2023-42789 '>CVE-2023-42789 </a><a style='flex: 1;' href='https://nvd.nist.gov/vuln/detail/CVE-2023-42790'>CVE-2023-42790</a><a style='flex: 1;' href='https://nvd.nist.gov/vuln/detail/CVE-2024-23112'>CVE-2024-23112</a><a style='flex: 1;' href='https://nvd.nist.gov/vuln/detail/CVE-2023-46717'>CVE-2023-46717</a><a style='flex: 1;' href='https://nvd.nist.gov/vuln/detail/CVE-2023-48788'>CVE-2023-48788</a><a style='flex: 1;' href='https://nvd.nist.gov/vuln/detail/CVE-2023-47534'>CVE-2023-47534</a>
</div>
</div>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Referanser:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href=https://securityonline.info/fortinet-issues-urgent-security-patches-for-critical-vulnerabilities/>https://securityonline.info/fortinet-issues-urgent-security-patches-for-critical-vulnerabilities/</a>
</div>
</div>
</div>
<div style='margin-bottom: 20px'>
<h2 style='margin-bottom: -0.5em'>Microsoft Patchetirsdag Mars 2024</h2>
<p>Microsoft sin oppdatering for mars 2024 retter opp i 61 svakheter. 2 av disse er vurdert som kritisk og 57 alvorlige. Flere av sårbarhetene kan utnyttes til fjernkjøring av kode, gi utvidede rettigheter og/eller til å ta kontroll over brukere og systemer. </p><p>De kritiske sårbarhetene berører Windows Hyper-V (CVE-2024-21407 med CVSS-score 8.1 og CVE-2024-21408 med CVSS-score 5.5). I tillegg har Microsoft rettet 15 CVE siden forrige patche-tirsdag som berører Microsoft Edge Chromium.</p><p>Nye oppdateringer til Exchange (on prem/hybrid) har også blitt publisert. Exchange-sårbarheten som er rettet er kategorisert som alvorlig (CVE-2024-26198 med CVSS-score 8.8).</p>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Sårbarheter:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href='https://nvd.nist.gov/vuln/detail/CVE-2024-21408'>CVE-2024-21408</a><a style='flex: 1;' href='https://nvd.nist.gov/vuln/detail/CVE-2024-21407'>CVE-2024-21407</a>
</div>
</div>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Referanser:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href=https://msrc.microsoft.com/update-guide/releaseNote/2024-Mar>https://msrc.microsoft.com/update-guide/releaseNote/2024-Mar</a>
<a style='flex: 1;' href=https://isc.sans.edu/diary/30736>https://isc.sans.edu/diary/30736</a>
</div>
</div>
</div>
tsochttp://www.blogger.com/profile/03423025793438361055noreply@blogger.com0tag:blogger.com,1999:blog-1200321268211503103.post-14249430240854111542024-03-12T12:40:00.001+01:002024-03-12T12:40:07.289+01:00Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.03.12<p font-size: 1.17em> Kritiske svakheter i QNap NAS-enheter. </p><hr>
<div style='margin-bottom: 20px'>
<h2 style='margin-bottom: -0.5em'>Kritiske svakheter i QNap NAS-enheter</h2>
<p>QNAP systems meldte i helgen om flere svakheter i QNAP-enheter, inkludert en svakhet som lar angripere omgå autentisering på boksene. Denne svakheten spores som CVE-2024-21899 og har fått en alvorlighetsgrad på 9.8 av 10. Det er QTS, QuTS hero og QuTScloud som er rammet. QNAP har også utbedre to mindre alvorlige svakheter. Det er utgitt patcher for svakhetene som kan lastes ned fra QNAP.</p>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Referanser:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href=https://www.securityweek.com/critical-vulnerability-allows-access-to-qnap-nas-devices/>https://www.securityweek.com/critical-vulnerability-allows-access-to-qnap-nas-devices/</a>
<a style='flex: 1;' href=https://www.qnap.com/en/security-advisory/qsa-24-09>https://www.qnap.com/en/security-advisory/qsa-24-09</a>
</div>
</div>
</div>
tsochttp://www.blogger.com/profile/03423025793438361055noreply@blogger.com0tag:blogger.com,1999:blog-1200321268211503103.post-24060531189054371062024-03-11T12:47:00.001+01:002024-03-11T12:47:52.935+01:00Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.03.11<p font-size: 1.17em> Microsoft: Hackere har fått tilgang til kildekode og interne systemer. Hackere utnytter bug i WordPress-plugin for å infisere 3300 nettsteder med skadelig kode. </p><hr>
<div style='margin-bottom: 20px'>
<h2 style='margin-bottom: -0.5em'>Microsoft: Hackere har fått tilgang til kildekode og interne systemer</h2>
<p>Microsoft meldte i januar at hackere med tilknytning til Russland (Midnight Blizzard/Nobelium/APT-29) hadde fått tilgang til deres interne systemer og kundedata ved hjelp av en service-konto uten MFA aktivert. I en ny oppdatering på fredag, opplyser Microsoft at angriperne fikk tak i tilgangsnøkler, passord og andre hemmeligheter i forbindelse med innbruddet. Noen av disse ble delt i eposter mellom Microsoft og kunder, og har siden blitt eksfiltrert i angrepene.</p><p>Tilgangsnøklene har videre blitt brukt for å få tilgang til intern kildekode, interne systemer og også kundedata. Angriperne fortsetter sine angrep, med blant annet forsøk på å gjette riktige passord til kontoer. Microsoft opplyser at ingen systemer som brukes av deres kunder så langt har blitt kompromittert. Selskapet har også tatt kontakt med kunder som har blitt kompromittert i angrepene.</p>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Referanser:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href=https://arstechnica.com/security/2024/03/microsoft-says-kremlin-backed-hackers-accessed-its-source-and-internal-systems/>https://arstechnica.com/security/2024/03/microsoft-says-kremlin-backed-hackers-accessed-its-source-and-internal-systems/</a>
<a style='flex: 1;' href=https://msrc.microsoft.com/blog/2024/03/update-on-microsoft-actions-following-attack-by-nation-state-actor-midnight-blizzard/>https://msrc.microsoft.com/blog/2024/03/update-on-microsoft-actions-following-attack-by-nation-state-actor-midnight-blizzard/</a>
</div>
</div>
</div>
<div style='margin-bottom: 20px'>
<h2 style='margin-bottom: -0.5em'>Hackere utnytter bug i WordPress-plugin til å infisere 3300 nettsteder med skadelig kode</h2>
<p>Hackere utnytter sårbarheter i eldre versjoner av Popup Builder-plugin for WordPress, med CVE-2023-6000, og infiserer over 3 300 nettsteder med ondsinnet kode. Sucuri har oppdaget en økning i angrepene de siste tre ukene, med injeksjoner som omdirigerer besøkende til phishing- og malware-sider. For å forsvare seg, bør brukere oppgradere til Popup Builder 4.2.7 og fjerne ondsinnet kode fra JavaScript og CSS. Artikkelen nevner også to domener knyttet til angrepene som kan blokkeres.</p>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Sårbarheter:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href='https://nvd.nist.gov/vuln/detail/CVE-2023-6000'>CVE-2023-6000</a>
</div>
</div>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Referanser:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href=https://www.bleepingcomputer.com/news/security/hackers-exploit-wordpress-plugin-flaw-to-infect-3-300-sites-with-malware/>https://www.bleepingcomputer.com/news/security/hackers-exploit-wordpress-plugin-flaw-to-infect-3-300-sites-with-malware/</a>
</div>
</div>
</div>
tsochttp://www.blogger.com/profile/03423025793438361055noreply@blogger.com0tag:blogger.com,1999:blog-1200321268211503103.post-31266520067925178702024-03-08T12:05:00.001+01:002024-03-08T12:05:20.218+01:00Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.03.08<p font-size: 1.17em> Cisco leverer patcher for flere av sine produkter. Situasjonsrapport fra Telenor SOC - februar 2024. Ransomware-bande har lekket 65.000 dokumenter fra regjeringen i Sveits. Apple patcher macOS, ipadOS, visionOS, watchOS, Safari osv. </p><hr>
<div style='margin-bottom: 20px'>
<h2 style='margin-bottom: -0.5em'>Cisco leverer patcher for flere av sine produkter</h2>
<p>Cisco har offentliggjort patcher for flere produkter, inkludert en med høy alvorlighet i Secure Client for Linux, MacOS og Windows. Svakheten kan utnyttes til å få tilgang til sensitiv informasjon fra en sårbar klient og dermed også selve VPN-sesjonen. I Linux-klienten er det enda en alvorlig sårbarhet som kan tillate en lokal bruker å oppnå økte rettigheter på systemet.</p><p>Cisco patcher også svakheter rangert med medium viktighet i AppDynamics Controller og Duo Authentication for Windows Logon and RDP. Cisco kjenner så langt ikke til at noen av svakhetene blir brukt aktivt i angrep.</p>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Sårbarheter:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href='https://nvd.nist.gov/vuln/detail/CVE-2024-20337'>CVE-2024-20337</a><a style='flex: 1;' href='https://nvd.nist.gov/vuln/detail/CVE-2024-20338'>CVE-2024-20338</a>
</div>
</div>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Referanser:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href=https://www.securityweek.com/cisco-patches-high-severity-vulnerabilities-in-vpn-product/>https://www.securityweek.com/cisco-patches-high-severity-vulnerabilities-in-vpn-product/</a>
<a style='flex: 1;' href=https://sec.cloudapps.cisco.com/security/center/publicationListing.x>https://sec.cloudapps.cisco.com/security/center/publicationListing.x</a>
</div>
</div>
</div>
<div style='margin-bottom: 20px'>
<h2 style='margin-bottom: -0.5em'>Situasjonsrapport fra Telenor SOC - februar 2024</h2>
<p>Vi har publisert vår situasjonsrapport fra Telenor SOC for februar 2024. Denne måneden skriver vi blant annet om lekkasje av passord gjennom SMB-protkollen og avanserte angripere som skjuler seg ved hjelp kompromitterte hjemme-routere.</p>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Referanser:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href=https://telenorsoc.blogspot.com/2024/03/situasjonsrapport-fra-telenor-soc.html>https://telenorsoc.blogspot.com/2024/03/situasjonsrapport-fra-telenor-soc.html</a>
</div>
</div>
</div>
<div style='margin-bottom: 20px'>
<h2 style='margin-bottom: -0.5em'>Ransomware-bande har lekket 65.000 dokumenter fra regjeringen i Sveits</h2>
<p>NCSC (National Cyber Security Centre) i Sveits har sluppet en rapport etter at leverandøren Xplain ble utsatt for et ransomware-angrep fra gruppen "Play" i mai 2023. I juni 2023 ble det sluppet store mengder informasjon som var stjålet fra leverandøren, etter at løsepenger ikke ble betalt. Av rundt 1.3 millioner lekkede filer var omtrent 65.000 dokumenter tilhørende en rekke myndighetsorganer. Rundt 5000 av dokumentene inneholdt sensitiv informasjon som personopplysninger, tekniske opplysninger, gradert informasjon osv.</p>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Referanser:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href=https://www.bleepingcomputer.com/news/security/switzerland-play-ransomware-leaked-65-000-government-documents/>https://www.bleepingcomputer.com/news/security/switzerland-play-ransomware-leaked-65-000-government-documents/</a>
</div>
</div>
</div>
<div style='margin-bottom: 20px'>
<h2 style='margin-bottom: -0.5em'>Apple patcher macOS, ipadOS, visionOS, watchOS, Safari osv</h2>
<p>På onsdag meldte vi om at Apple hadde gitt ut patcher for to aktivt utnyttede svakheter i iOS. Tilsvarende oppdatering har nå blitt gitt ut for Apples andre produkter. Vi anbefaler å patche så fort som mulig.</p>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Referanser:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href=https://support.apple.com/en-gb/HT201222>https://support.apple.com/en-gb/HT201222</a>
</div>
</div>
</div>
tsochttp://www.blogger.com/profile/03423025793438361055noreply@blogger.com0tag:blogger.com,1999:blog-1200321268211503103.post-4906028679712996022024-03-07T14:31:00.001+01:002024-03-07T14:31:54.342+01:00Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.03.07<p font-size: 1.17em> Hackede Wordpress-nettsteder kan bruke nettleseren til å hacke flere sider. </p><hr>
<div style='margin-bottom: 20px'>
<h2 style='margin-bottom: -0.5em'>Hackede Wordpress-nettsteder kan bruke nettleseren til å hacke flere sider</h2>
<p>Hackere kan utnytte diverse svakheter i WordPress-nettsteder for å injisere kode (scripts) på sidene og utvinne kryptovaluta. Nettlesere som besøker sidene og laster ned den injiserte koden, blir satt til å prøve å hacke seg inn i enda flere nettsteder ved å prøve forskjellige kombinasjoner av brukernavn og passord. Så lenge nettleseren har den infiserte siden oppe kan angrepene fortsette. Listene over sider som skal angripes lastes ned fra en kontroll-server som bakmennene kontrollerer. Denne serveren får også beskjed ved vellykkede innlogginger.</p>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Referanser:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href=https://www.bleepingcomputer.com/news/security/hacked-wordpress-sites-use-visitors-browsers-to-hack-other-sites/>https://www.bleepingcomputer.com/news/security/hacked-wordpress-sites-use-visitors-browsers-to-hack-other-sites/</a>
</div>
</div>
</div>
tsochttp://www.blogger.com/profile/03423025793438361055noreply@blogger.com0tag:blogger.com,1999:blog-1200321268211503103.post-80017015849252729522024-03-06T13:11:00.001+01:002024-03-06T13:11:42.266+01:00Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.03.06<p font-size: 1.17em> VMware patcher kritiske sårbarheter som kan tillate ondsinnede aktører til å hoppe ut av en virtuell maskin. HPE Aruba slipper oppdateringer for 7 sårbarheter i ArubaOS . Apple varsler om nulldagssårbarheter for iOS som kan ha blitt utnyttet av trusselaktører. </p><hr>
<div style='margin-bottom: 20px'>
<h2 style='margin-bottom: -0.5em'>VMware patcher kritiske sårbarheter som kan tillate ondsinnede aktører til å hoppe ut av en virtuell maskin</h2>
<p>VMware har rullet ut kritiske sikkerhetsoppdateringer for ESXi, Workstation, Fusion og Cloud Foundation-produkter, med fokus på fire sårbarheter, hvorav to har alvorlighetsgrad 9.3 av 10. I disse sårbarhetene kan ondsinnede aktører med lokale admin-privilegier på en virtuell maskin klare å kjøre kode fra denne maskinen sin VMX process (ESXi) eller på vegne av host maskinen (Workstation + Fusion). VMware advarer om at disse sårbarhetene kan omgå sandkassebegrensninger, og de vil også slippe oppdateringer for produkter som ikke lenger er støttet (EOL).</p>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Sårbarheter:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href='https://nvd.nist.gov/vuln/detail/CVE-2024-22252'>CVE-2024-22252</a><a style='flex: 1;' href='https://nvd.nist.gov/vuln/detail/CVE-2024-22253'>CVE-2024-22253</a>
</div>
</div>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Referanser:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href=https://www.securityweek.com/vmware-patches-critical-esxi-sandbox-escape-flaws/>https://www.securityweek.com/vmware-patches-critical-esxi-sandbox-escape-flaws/</a>
</div>
</div>
</div>
<div style='margin-bottom: 20px'>
<h2 style='margin-bottom: -0.5em'>HPE Aruba slipper oppdateringer for 7 sårbarheter i ArubaOS </h2>
<p>Totalt 7 CVE ble publisert av HPE Aruba 05.03.2024, hvor 4 er kategorisert som alvorlig (CVE-2024-1356, CVE-2024-25611, CVE-2024-25612 og CVE-2024-25613 med CVSS-score 7.2) og 1 som viktig (CVE-2024-25615 med CVSS-score 5.3). HPE Aruba har publisert oppdateringer til støttede produkter.</p>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Sårbarheter:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href='https://nvd.nist.gov/vuln/detail/CVE-2024-1356'>CVE-2024-1356</a><a style='flex: 1;' href='https://nvd.nist.gov/vuln/detail/CVE-2024-25611'>CVE-2024-25611</a><a style='flex: 1;' href='https://nvd.nist.gov/vuln/detail/CVE-2024-25612'>CVE-2024-25612</a><a style='flex: 1;' href='https://nvd.nist.gov/vuln/detail/CVE-2024-25613'>CVE-2024-25613</a><a style='flex: 1;' href='https://nvd.nist.gov/vuln/detail/CVE-2024-25615'>CVE-2024-25615</a>
</div>
</div>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Referanser:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href=https:// https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2024-002.txt> https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2024-002.txt</a>
</div>
</div>
</div>
<div style='margin-bottom: 20px'>
<h2 style='margin-bottom: -0.5em'>Apple varsler om nulldagssårbarheter for iOS som kan ha blitt utnyttet av trusselaktører</h2>
<p>I dag er det viktig å installere sikkerhetsoppdateringer på både gamle og nye iPhone- og iPad enheter. Apple har rullet ut programvareoppdateringer for å fikse flere sikkerhetshull i sin iOS-plattform, og advarer om at flere av disse sårbarhetene kan allerede ha blitt utnyttet av trusselaktører. Oppdateringene dekker flere sårbarheter, inkludert to sårbarheter i kjernen og RTKit, som kan tillate omgåelse av minnebeskyttelse. Apple har også fikset en personvernsfeil i tilgjengelighetsfunksjonen og en feil i Safari sin Private Browsing funksjon.</p>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Sårbarheter:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href='https://nvd.nist.gov/vuln/detail/CVE-2024-23225'>CVE-2024-23225</a><a style='flex: 1;' href='https://nvd.nist.gov/vuln/detail/CVE-2024-23296'>CVE-2024-23296</a>
</div>
</div>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Referanser:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href=https://www.securityweek.com/apple-blunts-zero-day-attacks-with-ios-17-4-update/>https://www.securityweek.com/apple-blunts-zero-day-attacks-with-ios-17-4-update/</a>
</div>
</div>
</div>
tsochttp://www.blogger.com/profile/03423025793438361055noreply@blogger.com0tag:blogger.com,1999:blog-1200321268211503103.post-33709255945190093332024-03-05T12:35:00.001+01:002024-03-05T12:35:55.737+01:00Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.03.05<p font-size: 1.17em> Sikkerhetsproblemer i Linksys E2000-rutere. Helseselskap betalte antageligvis løsepenger etter angrep. </p><hr>
<div style='margin-bottom: 20px'>
<h2 style='margin-bottom: -0.5em'>Sikkerhetsproblemer i Linksys E2000-rutere</h2>
<p>Det er oppdaget sikkerhetshull i Linksys E2000-rutere, som gjør det mulig for angripere å omgå autentiseringsmekanismer for ruterens administrasjonsgrensesnitt. Utnyttelse av sårbarheten kan oppstå ved at en angriper venter på at en bruker med tilgang skal logge seg på for å administrere routeren, noe som genererer en session-token. Angriperen kan forespørre nøkkelen ved hjelp av et API-kall, som vil returnere nøkkelen i klartekst. Angriperen kan bruke nøkkelen til å få uautorisert tilgang til ruterens administrasjonsgrensesnitt.</p>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='margin-bottom: 0; flex: 1;'>Anbefaling:</b>
<p style='margin: 0; flex: 1;'>Det finnes for øyeblikket ingen offisiell løsning på problemet da routeren ikke lengre mottar programvareoppdateringer.</p>
</div>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Sårbarheter:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href='https://nvd.nist.gov/vuln/detail/CVE-2024-27497'>CVE-2024-27497</a>
</div>
</div>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Referanser:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href=https://warp-desk-89d.notion.site/Linksys-E-2000-efcd532d8dcf4710a4af13fca131a5b8>https://warp-desk-89d.notion.site/Linksys-E-2000-efcd532d8dcf4710a4af13fca131a5b8</a>
</div>
</div>
</div>
<div style='margin-bottom: 20px'>
<h2 style='margin-bottom: -0.5em'>Helseselskap betalte antageligvis løsepenger etter angrep</h2>
<p>I mer enn 10 dager har det vært problemer med utskriving av resepter i USA etter at helseselskapet United Healthcare ble rammet av ransomware. Gruppen bak, AlphV/Black Cat, kom med et krav på $22 millioner USD for å gi fra seg krypteringsnøklene. En betaling til gruppen ble nylig sett på blokk-kjeden til Bitcoin, mange tror derfor at betalingen nå har skjedd. Det går også rykter om at grupperingen AlphV har tatt alle pengene selv uten å dele med sin "underleverandør", som stod bak selve angrepet. Serverne til banden er nå nede.</p>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Referanser:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href=https://www.wired.com/story/alphv-change-healthcare-ransomware-payment/>https://www.wired.com/story/alphv-change-healthcare-ransomware-payment/</a>
</div>
</div>
</div>
tsochttp://www.blogger.com/profile/03423025793438361055noreply@blogger.com0tag:blogger.com,1999:blog-1200321268211503103.post-4244032813043803862024-03-04T12:06:00.001+01:002024-03-04T12:06:14.522+01:00Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.03.04<p font-size: 1.17em> Lazarus utnytter nulldagssårbarhet i AppLocker. </p><hr>
<div style='margin-bottom: 20px'>
<h2 style='margin-bottom: -0.5em'>Lazarus utnytter nulldagssårbarhet i AppLocker</h2>
<p>Den nordkoreanse hackergruppen Lazarus har i nylige angrep utnyttet en nulldagssårbarhet (CVE-2024-21338) i AppLocker. Gjennom utnyttelse av sårbarheten kunne angripere oppnå nødvendige privilegier for å manipulere Windows kernel direkte i en oppdatert versjon av deres såkalte FudModule rootkit. Avast rapporterer om substantielle forbedringer sammenlignet med tidligere versjoner, og uttaler at teknikkene Lazarus nå benytter seg av er mer sofisikert enn tidligere. Microsoft har patchet sårbarheten i sin Februar 2024 Patch Tuesday. </p><p></p>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Sårbarheter:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href='https://nvd.nist.gov/vuln/detail/CVE-2024-21338'>CVE-2024-21338</a>
</div>
</div>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Referanser:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href=https://decoded.avast.io/janvojtesek/lazarus-and-the-fudmodule-rootkit-beyond-byovd-with-an-admin-to-kernel-zero-day/>https://decoded.avast.io/janvojtesek/lazarus-and-the-fudmodule-rootkit-beyond-byovd-with-an-admin-to-kernel-zero-day/</a>
<a style='flex: 1;' href=https://www.securityweek.com/windows-zero-day-exploited-by-north-korean-hackers-in-rootkit-attack/>https://www.securityweek.com/windows-zero-day-exploited-by-north-korean-hackers-in-rootkit-attack/</a>
<a style='flex: 1;' href=https://www.bleepingcomputer.com/news/security/windows-kernel-bug-fixed-last-month-exploited-as-zero-day-since-august/#google_vignette>https://www.bleepingcomputer.com/news/security/windows-kernel-bug-fixed-last-month-exploited-as-zero-day-since-august/#google_vignette</a>
</div>
</div>
</div>
tsochttp://www.blogger.com/profile/03423025793438361055noreply@blogger.com0tag:blogger.com,1999:blog-1200321268211503103.post-57087425000702068422024-03-01T11:54:00.003+01:002024-03-01T11:56:28.535+01:00Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.03.01<p font-size: 1.17em> Amerikanske myndigheter vil granske risikoer knyttet til sensorer i biler. </p><hr>
<div style='margin-bottom: 20px'>
<h2 style='margin-bottom: -0.5em'>Amerikanske myndigheter vil granske risikoer knyttet til sensorer i biler</h2>
<p>Biden-administrasjonen melder at de vil vurdere trusler mot nasjonal sikkerhet på grunn av sensorer i stadig mer avanserte biler. Biler produsert i utlandet kan brukes til å spore kundene, kartlegge sensitive objekter, ta opp lyd/film osv. Noen biler har også LIDAR-teknologi som kan lage detaljerte 3D-kart av områder de kjører i. Administrasjonen ser også på trusler rundt at bilene kan slås av for å lamme trafikken. Det har tidligere blitt meldt at amerikanske Tesla-biler ikke tillates i mange statlige kinesiske bygninger.</p>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Referanser:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href=https://www.securityweek.com/biden-administration-will-investigate-national-security-risks-posed-by-chinese-made-smart-cars/>https://www.securityweek.com/biden-administration-will-investigate-national-security-risks-posed-by-chinese-made-smart-cars/</a>
<a style='flex: 1;' href=https://asia.nikkei.com/Spotlight/Supply-Chain/Tesla-cars-face-more-entry-bans-in-China-as-security-concerns-accelerate>https://asia.nikkei.com/Spotlight/Supply-Chain/Tesla-cars-face-more-entry-bans-in-China-as-security-concerns-accelerate</a>
</div>
</div>
</div>
tsochttp://www.blogger.com/profile/03423025793438361055noreply@blogger.com0tag:blogger.com,1999:blog-1200321268211503103.post-9809932582157138372024-02-29T12:33:00.001+01:002024-02-29T12:33:05.247+01:00Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.02.29<p font-size: 1.17em> Lockbit ransomware er tilbake etter politiaksjon. Sårbarheter i produkter fra HPE Aruba, Cisco og Juniper Networks. </p><hr>
<div style='margin-bottom: 20px'>
<h2 style='margin-bottom: -0.5em'>Lockbit ransomware er tilbake etter politiaksjon</h2>
<p>Forrige uke tok internasjonale politimyndigheter kontroll over deler av infrastrukturen til Lockbit og arresterte tre personer. Gjengen har nå slått tilbake med offentliggjøring av nye ofre på ny infrastruktur. De bruker også ny programvare for kryptering.</p>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Referanser:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href=https://www.bleepingcomputer.com/news/security/lockbit-ransomware-returns-to-attacks-with-new-encryptors-servers/>https://www.bleepingcomputer.com/news/security/lockbit-ransomware-returns-to-attacks-with-new-encryptors-servers/</a>
</div>
</div>
</div>
<div style='margin-bottom: 20px'>
<h2 style='margin-bottom: -0.5em'>Sårbarheter i produkter fra HPE Aruba, Cisco og Juniper Networks</h2>
<p><strong>JustisCERT varsler om sårbarheter i:</strong></p><ul><li><p>ClearPass Policy Manager fra HPE Aruba. Totalt 10 CVE ble publisert av HPE Aruba 27.02.2024, hvor 1 er kategorisert som kritisk (CVE-2023-50164 med CVSS-score 9.8) og 5 som alvorlig, med CVSS-score 7.2. HPE Aruba har publisert oppdateringer til støttede produkter.</p></li><li><p>Produkter fra Cisco. Totalt 5 bulletiner som dekker 5 CVE ble publisert 28.02.2024, hvor 2 er kategorisert som alvorlig (CVE-2024-20321 og CVE-2024-20267), begge med CVSS-score 8.6 og 3 som viktig, med CVSS-score 5.3 - 6.6. De alvorlige sårbarhetene berører Cisco NX-OS som benyttes på flere av Cisco sine produkter. Cisco har publisert oppdateringer til støttede produkter.</p></li><li><p>Produkter fra Juniper Networks. Totalt 14 CVE ble publisert 29.02.2024, hvor 2 er kategorisert som kritisk (CVE-2023-44981 med CVSS-score 9.1 og CVE-2023-37920 med CVSS-score 9.8) og 6 som alvorlig, med CVSS-score 7.5 - 7.8. Sårbarhetene berører Juniper Secure Analytics (JSA). Juniper har publisert nødvendige oppdateringer.</p></li></ul>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Referanser:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href=https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2024-001.txt>https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2024-001.txt</a>
<a style='flex: 1;' href=https://sec.cloudapps.cisco.com/security/center/publicationListing.x>https://sec.cloudapps.cisco.com/security/center/publicationListing.x</a>
<a style='flex: 1;' href=https://supportportal.juniper.net/s/article/On-Demand-JSA-Series-Multiple-vulnerabilities-resolved-in-Juniper-Secure-Analytics-in-7-5-0-UP7-IF05?language=en_US>https://supportportal.juniper.net/s/article/On-Demand-JSA-Series-Multiple-vulnerabilities-resolved-in-Juniper-Secure-Analytics-in-7-5-0-UP7-IF05?language=en_US</a>
</div>
</div>
</div>
tsochttp://www.blogger.com/profile/03423025793438361055noreply@blogger.com0tag:blogger.com,1999:blog-1200321268211503103.post-79958681279292794982024-02-28T14:37:00.001+01:002024-02-28T14:37:48.092+01:00Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.02.28<p font-size: 1.17em> PST tettet sikkerhetshull på norske rutere. Gamle domener blir brukt til å sende ut millioner av spam-eposter. </p><hr>
<div style='margin-bottom: 20px'>
<h2 style='margin-bottom: -0.5em'>PST tettet sikkerhetshull på norske rutere</h2>
<p>Tidligere i februar meldte vi at FBI hadde tatt ned et router-botnett kontrollert av APT 28. Det viser seg at PST også har vært med på aksjonen i samarbeidet med FBI og flere andre land. Aksjonen hadde som formål å tette sikkerhetshull på routerne, som har blitt brukt som hoppepunkter (proxy) for et russisk hackernettverk.</p><p>Botnettet bestod av Ubiquiti Edge OS-routere med standard brukernavn og passord. I Norge tok man ned rundt ti rutere, hvor man stengte bakdøren og tettet sikkerhetshullene.</p>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Referanser:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href=https://www.politiforum.no/pst-tettet-sikkerhetshull-pa-norske-rutere-som-ble-benyttet-av-russisk-hackernettverk/257461>https://www.politiforum.no/pst-tettet-sikkerhetshull-pa-norske-rutere-som-ble-benyttet-av-russisk-hackernettverk/257461</a>
</div>
</div>
</div>
<div style='margin-bottom: 20px'>
<h2 style='margin-bottom: -0.5em'>Gamle domener blir brukt til å sende ut millioner av spam-eposter</h2>
<p>En spam-kampanje kalt SubdoMailing har benyttet seg av 8800 forskjellige domener til å sende ut spam som kommer seg forbi spam-filtre. Bakmennene kartlegger og får tilgang til subdomener av kjente domener som ikke lengre er i bruk. Disse er ofte satt opp med korrekte SPF-innstillinger og har godt renommé, som gjør at spammen som blir sendt ut gjerne kommer fram.</p>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Referanser:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href=https://www.securityweek.com/domains-once-owned-by-major-firms-help-millions-of-spam-emails-bypass-security/>https://www.securityweek.com/domains-once-owned-by-major-firms-help-millions-of-spam-emails-bypass-security/</a>
</div>
</div>
</div>
tsochttp://www.blogger.com/profile/03423025793438361055noreply@blogger.com0tag:blogger.com,1999:blog-1200321268211503103.post-8518859937546841262024-02-27T12:19:00.001+01:002024-02-27T12:19:28.613+01:00Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.02.27<p font-size: 1.17em> UK NCSC har sluppet råd for å unngå kompromittering i nettskyen. Det hvite hus oppfordrer til bruk av sikrere programmeringsspråk. </p><hr>
<div style='margin-bottom: 20px'>
<h2 style='margin-bottom: -0.5em'>UK NCSC har sluppet råd for å unngå kompromittering i nettskyen</h2>
<p>Britiske National Cyber Security Centre (NCSC) har sluppet rådgivninger for å unngå kompromittering av brukerkontoer i nettskyen. Rådene er spesielt laget for å stoppe innbrudd fra russiske aktører, som har tilpasset seg økt bruk av skytjenester, der eksponerte tjenester med svakheter kan være vanskeligere å finne.</p><p>Aktørene benytter seg derfor ofte av legitime brukerkontoer for å få tilgang. Denne tilgangen kan skaffes via gamle inaktive kontoer, service-kontoer med enkle passord, tyveri av tilgangsnøkler fra private enheter, passordgjetting mot kontoer, standardpassord ved innrullering av nye enheter osv.</p><p>NCSC poengeterer også at angrepene ofte kommer fra IP-adresser som er i geografisk nærhet til offeret, ved at trusselaktørene benytter seg av proxy-botnett bygget opp ved hjelp av sårbare hjemmerutere.</p>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Referanser:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href=https://www.ncsc.gov.uk/news/svr-cyber-actors-adapt-tactics-for-initial-cloud-access>https://www.ncsc.gov.uk/news/svr-cyber-actors-adapt-tactics-for-initial-cloud-access</a>
</div>
</div>
</div>
<div style='margin-bottom: 20px'>
<h2 style='margin-bottom: -0.5em'>Det hvite hus oppfordrer til bruk av sikrere programmeringsspråk</h2>
<p>Det hvite hus har offentliggjort en pressemelding og rapport der de oppfordrer teknologiselskaper til å bruke sikrere programmeringsspråk som håndterer minne på en trygg måte. Populære språk som C/C++ er utsatt for svakheter i forbindelse med overflyt av buffere, allokering og frigjøring av minne osv. Svakheter av denne typen blir stadig oppdaget i mange produkter, og kan være vanskelig å oppdage i kildekoden. Mange anbefaler å bruke språk som håndterer minnet sikrere, som Rust.</p>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Referanser:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href=https://www.whitehouse.gov/oncd/briefing-room/2024/02/26/press-release-technical-report/>https://www.whitehouse.gov/oncd/briefing-room/2024/02/26/press-release-technical-report/</a>
<a style='flex: 1;' href=https://www.bleepingcomputer.com/news/security/white-house-urges-devs-to-switch-to-memory-safe-programming-languages/>https://www.bleepingcomputer.com/news/security/white-house-urges-devs-to-switch-to-memory-safe-programming-languages/</a>
</div>
</div>
</div>
tsochttp://www.blogger.com/profile/03423025793438361055noreply@blogger.com0tag:blogger.com,1999:blog-1200321268211503103.post-18775172585845915792024-02-26T12:22:00.001+01:002024-02-26T12:22:48.088+01:00Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.02.26<p font-size: 1.17em> Flere danske nettsider utsatt for dataangrep (DDoS). </p><hr>
<div style='margin-bottom: 20px'>
<h2 style='margin-bottom: -0.5em'>Flere danske nettsider utsatt for dataangrep (DDoS)</h2>
<p>Den prorussiske hackergruppen NoName057 har satt flere flere danske nettsider ut av spill med DDoS-angrep. Denne ganger er det transportsektoren som er målet, og nettsidene til Kastrup flyplass er fortsatt nede. Også to mindre flyplasser er rammet. Hendelsen har ikke hatt noen konsvekvenser for flytrafikken. Også norske virksomheter har flere ganger tidligere vært rammet av den samme grupperingen.</p>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Referanser:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href=https://www.digi.no/artikler/flere-danske-nettsider-hacket-russiske-hackere-far-skylden/544075>https://www.digi.no/artikler/flere-danske-nettsider-hacket-russiske-hackere-far-skylden/544075</a>
<a style='flex: 1;' href=https://www.aftonbladet.se/nyheter/a/Q7Qvpx/kastrup-utsatt-for-hackerattack>https://www.aftonbladet.se/nyheter/a/Q7Qvpx/kastrup-utsatt-for-hackerattack</a>
</div>
</div>
</div>
tsochttp://www.blogger.com/profile/03423025793438361055noreply@blogger.com0tag:blogger.com,1999:blog-1200321268211503103.post-29416604155171525422024-02-23T12:06:00.001+01:002024-02-23T12:06:10.955+01:00Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.02.23<p font-size: 1.17em> Europol fortsetter nedstengningen av Lockbit. </p><hr>
<div style='margin-bottom: 20px'>
<h2 style='margin-bottom: -0.5em'>Europol fortsetter nedstengningen av Lockbit</h2>
<p>Tidligere denne uken ble det meldt at internasjonale politistyrker hadde hacket seg inn i infrastrukturen til ransomware-gjengen Lockbit. Europol har siden arrestert tre mistenkte i Polen og Ukraina, samt ettersøkt russiske bakmenn. Amerikanske myndigheter har også utlovet en dusør på $15 millioner USD for opplysninger som kan føre til arrestasjon av lederne av banden. Dekrypteringsnøkler for flere hundre ofre er også tllgjengelig.</p><p>Den siste utviklingen i saken er at fildelings-tjenesten Mega og epost-tjenestene Tutanota og Protonmail har stengt ned 14.000 kontoer i forbindelse med aksjonen. Kontoene har blitt identifisert brukt av Lockbit eller deres underleverandører, eller i forbindelse med andre ransomware-operasjoner.</p>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Referanser:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href=https://therecord.media/lockbit-ransomware-takedown-mega-tutanota-protonmail>https://therecord.media/lockbit-ransomware-takedown-mega-tutanota-protonmail</a>
<a style='flex: 1;' href=https://www.justice.gov/opa/pr/us-and-uk-disrupt-lockbit-ransomware-variant>https://www.justice.gov/opa/pr/us-and-uk-disrupt-lockbit-ransomware-variant</a>
</div>
</div>
</div>
tsochttp://www.blogger.com/profile/03423025793438361055noreply@blogger.com0tag:blogger.com,1999:blog-1200321268211503103.post-31705558184289981802024-02-22T12:52:00.001+01:002024-02-22T12:52:10.217+01:00Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.02.22<p font-size: 1.17em> Sårbarheter i produkter fra Atlassian og VMware. Kritisk sårbarhet i ConnectWise ScreenConnect. Sikkerhetsoppdateringer for Firefox og Chrome. Stor lekkasje avslører hvordan den kinesiske leverandøren I-Soon arbeider. </p><hr>
<div style='margin-bottom: 20px'>
<h2 style='margin-bottom: -0.5em'>Sårbarheter i produkter fra Atlassian og VMware</h2>
<p>JustisCERT melder om svakheter i produkter fra Atlassian og VMware.</p><p>11 CVE ble publisert av Atlassian 20.02.2024, der alle er kategorisert som alvorlig (CVSS-score 7.1 - 8.5). Atlassian har publisert oppdateringer til støttede produkter.</p><p>3 CVE ble publisert for produkter fra VMware. 20.02.2024, hvor 1 er kategorisert som kritisk (CVE-2024-22245 med CVSS-score 9.6) og 1 som alvorlig (CVE-2024-22250 med CVSS-score 7.8). Den kritiske sårbarheten berører VMware Enhanced Authentication Plug-in. Produktet er End-Of-life og VMware anbefaler at programvaren avinstalleres.</p>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Referanser:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href=https://justiscert.no/[justiscert-varsel]-[021-2024]-[tlpclear]-sarbarheter-i-produkter-fra-atlassian-og-vmware>https://justiscert.no/[justiscert-varsel]-[021-2024]-[tlpclear]-sarbarheter-i-produkter-fra-atlassian-og-vmware</a>
</div>
</div>
</div>
<div style='margin-bottom: 20px'>
<h2 style='margin-bottom: -0.5em'>Kritisk sårbarhet i ConnectWise ScreenConnect</h2>
<p>ScreenConnect er et produkt som er populært å bruke til fjernadministrasjon, og som ofte eksponeres direkte mot Internet. ConnectWise melder nå om en kritisk sårbarhet i produktet som allerede utnyttes aktivt i angrep. Svakheten lar en angriper omgå autentisering og få kjørt tilfeldig kode.</p><p>Det er delt tre IP-adresser som har stått bak kompromittering av eksponerte installasjoner. Vi anbefaler å sjekke eksponerte installasjoner for eventuell kompromittering og å oppgradere til siste versjon så fort som mulig.</p>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Referanser:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href=https://www.connectwise.com/company/trust/security-bulletins/connectwise-screenconnect-23.9.8>https://www.connectwise.com/company/trust/security-bulletins/connectwise-screenconnect-23.9.8</a>
<a style='flex: 1;' href=https://www.csoonline.com/article/1309007/critical-connectwise-screenconnect-flaw-exploited-in-the-wild.html>https://www.csoonline.com/article/1309007/critical-connectwise-screenconnect-flaw-exploited-in-the-wild.html</a>
</div>
</div>
</div>
<div style='margin-bottom: 20px'>
<h2 style='margin-bottom: -0.5em'>Sikkerhetsoppdateringer for Firefox og Chrome</h2>
<p>Google og Mozilla har sluppet henholdvis Chrome versjon 122 og Firefox 123. Begge oppdateringene løser flere såbarheter, inkludert minnehåndteringsfeil som har blitt kategorisert med alvorlighetsgrad "høy".</p>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Referanser:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href=https://www.securityweek.com/chrome-122-firefox-123-patch-high-severity-vulnerabilities/>https://www.securityweek.com/chrome-122-firefox-123-patch-high-severity-vulnerabilities/</a>
<a style='flex: 1;' href=https://chromereleases.googleblog.com/2024/02/stable-channel-update-for-desktop_20.html>https://chromereleases.googleblog.com/2024/02/stable-channel-update-for-desktop_20.html</a>
<a style='flex: 1;' href=https://www.mozilla.org/en-US/security/advisories/mfsa2024-05/>https://www.mozilla.org/en-US/security/advisories/mfsa2024-05/</a>
</div>
</div>
</div>
<div style='margin-bottom: 20px'>
<h2 style='margin-bottom: -0.5em'>Stor lekkasje avslører hvordan den kinesiske leverandøren I-Soon arbeider</h2>
<p>Noen har offentliggjort en stor mengde interne data fra det kinesiske sikkerhetsfirmaet I-Soon på Github. Lekkasjene tyder på at firmaet selger tjenester og utstyr til blant annet kinesiske myndigheter. I henhold til dokumentene skal firmaet ha hacket seg inn hos bedrifter og myndigheter i flere land.</p>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Referanser:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href=https://www.theregister.com/2024/02/22/i_soon_china_infosec_leak/>https://www.theregister.com/2024/02/22/i_soon_china_infosec_leak/</a>
<a style='flex: 1;' href=https://jupyter.securitybreak.io/ISOON_DataLeak_OCR_GenAI/ISOON_ChinLeaks.html>https://jupyter.securitybreak.io/ISOON_DataLeak_OCR_GenAI/ISOON_ChinLeaks.html</a>
<a style='flex: 1;' href=https://github.com/mttaggart/I-S00N>https://github.com/mttaggart/I-S00N</a>
</div>
</div>
</div>
tsochttp://www.blogger.com/profile/03423025793438361055noreply@blogger.com0tag:blogger.com,1999:blog-1200321268211503103.post-86487193691225349802024-02-21T12:52:00.001+01:002024-02-21T12:52:49.464+01:00Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.02.21<p font-size: 1.17em> Det har vært et rolig døgn. </p>tsochttp://www.blogger.com/profile/03423025793438361055noreply@blogger.com0tag:blogger.com,1999:blog-1200321268211503103.post-34785443424176236542024-02-20T12:08:00.001+01:002024-02-20T12:08:17.042+01:00Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.02.20<p font-size: 1.17em> Linux-kjernefeil tillater potensielle privilegie-eskalering. Cyberkriminalitetsbanden Lockbit stanset av Storbritannia, USA og EU. </p><hr>
<div style='margin-bottom: 20px'>
<h2 style='margin-bottom: -0.5em'>Linux-kjernefeil tillater potensielle privilegie-eskalering</h2>
<p>En sårbarhet i Linux-kjernen CVE-2024-0646 påvirker implementasjonen av Linux-kjernens TLS-funksjonalitet (Transport Layer Security) når en bruker kaller en funksjon <em>splice()</em> med en kTLS-socket (Kernel TLS) som destinasjon. Sårbarheten gjør det mulig for en lokal bruker å krasje eller potensielt eskalere sine rettigheter. Sårbarheten har en høy alvorlighetsgrad med en CVSS-score på 7.8.</p>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='margin-bottom: 0; flex: 1;'>Anbefaling:</b>
<p style='margin: 0; flex: 1;'>For å minimere risikoen må Linux-kjernen oppdateres til 6.7-rc5 eller senere versjoner.</p>
</div>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Sårbarheter:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href='https://nvd.nist.gov/vuln/detail/CVE-2024-0646'>CVE-2024-0646</a>
</div>
</div>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Referanser:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href=https://nvd.nist.gov/vuln/detail/CVE-2024-0646>https://nvd.nist.gov/vuln/detail/CVE-2024-0646</a>
</div>
</div>
</div>
<div style='margin-bottom: 20px'>
<h2 style='margin-bottom: -0.5em'>Cyberkriminalitetsbanden Lockbit stanset av Storbritannia, USA og EU</h2>
<p> Lockbit, en beryktet cyberkriminalitetsgjeng som krever løsepenger fra sine ofre, har blitt stoppet i en sjelden internasjonal politiaksjon, opplyste amerikanske og britiske myndigheter mandag. Operasjonen ble drevet av Storbritannias National Crime Agency, US Federal Bureau of Investigation, Europol og en koalisjon av internasjonale politibyråer, ifølge et innlegg på Lockbit utpressingsnettsted. En talsperson for NCA og en talsperson for det amerikanske justisdepartementet bekreftet at byråene hadde stanset gjengen og sa at operasjonen var "pågående og under utvikling".</p>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Referanser:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href=https://www.reuters.com/technology/cybersecurity/lockbit-cybercrime-gang-disrupted-by-international-police-operation-2024-02-19/ >https://www.reuters.com/technology/cybersecurity/lockbit-cybercrime-gang-disrupted-by-international-police-operation-2024-02-19/ </a>
</div>
</div>
</div>
tsochttp://www.blogger.com/profile/03423025793438361055noreply@blogger.com0tag:blogger.com,1999:blog-1200321268211503103.post-32551364475074696802024-02-19T13:11:00.001+01:002024-02-19T13:11:56.268+01:00Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.02.19<p font-size: 1.17em> CISA legger til to sårbarheter i listen over "Known Exploited Vulnerabilities". Sårbarheter i produkter fra F5. Ny funksjon i Chrome skal blokkere angrep mot lokale nettverk. </p><hr>
<div style='margin-bottom: 20px'>
<h2 style='margin-bottom: -0.5em'>CISA legger til to sårbarheter i listen over "Known Exploited Vulnerabilities"</h2>
<p>CISA har nylig advart om aktiv utnyttelse av to alvorlige sårbarheter, CVE-2024-21410 og CVE-2020-3259.</p><p>Førstnevnte er en kritisk sårbarhet i Microsoft Exchange Server som tillater angripere å eskalere privilegier gjennom NTLM-reléangrep mot sårbare servere. Denne sårbarheten har en kritisk alvorlighetsgrad med en CVSS-score på 9.8. </p><p>Den andre sårbarheten er knyttet til webtjenestegrensesnittet til Cisco Adaptive Security Appliance og Cisco Firepower Threat Defense. Sårbarheten tillater en angriper å hente minneinnhold fra en berørt enhet. Denne sårbarheten har en høy alvorlighetsgrad med en CVSS-score på 7.5.</p><p>Alle som ikke har patchet disse produktene allerede bør sjekke etter infeksjon og snarest gjennomføre patching.</p>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Sårbarheter:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href='https://nvd.nist.gov/vuln/detail/CVE-2024-21410'>CVE-2024-21410</a><a style='flex: 1;' href='https://nvd.nist.gov/vuln/detail/CVE-2020-3259'>CVE-2020-3259</a>
</div>
</div>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Referanser:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href=https://www.cisa.gov/news-events/alerts/2024/02/15/cisa-adds-two-known-exploited-vulnerabilities-catalog>https://www.cisa.gov/news-events/alerts/2024/02/15/cisa-adds-two-known-exploited-vulnerabilities-catalog</a>
</div>
</div>
</div>
<div style='margin-bottom: 20px'>
<h2 style='margin-bottom: -0.5em'>Sårbarheter i produkter fra F5</h2>
<p>JustisCERT melder om sårbarheter i produkter fra F5. Totalt 20 CVE ble publisert i F5 sin kvartalsvise sikkerhetsoppdatering den 14.02.2024, der 14 er kategorisert som alvorlig (CVSS-score 7.2 - 8.7). F5 har publisert oppdateringer til støttede produkter.</p>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Referanser:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href=https://my.f5.com/manage/s/article/K000138353>https://my.f5.com/manage/s/article/K000138353</a>
</div>
</div>
</div>
<div style='margin-bottom: 20px'>
<h2 style='margin-bottom: -0.5em'>Ny funksjon i Chrome skal blokkere angrep mot lokale nettverk</h2>
<p>Google tester en ny funksjon i Chrome som skal forhindre at ondsinnede nettsider kontakter enheter i det lokale nettverket for å utnytte svakheter eller drive med kartlegging. Den nye funksjonen er kalt "Private Network Access protections" og gjør en sjekk dersom en nettside lastet ned fra internett prøver å kontakte lokale enheter på nettverket, som router, printere eller andre PCer. Det har tidligere vært eksempler på at svakheter i routere har åpnet opp for at ondsinnede nettsider kunne endre DNS-innstillingene i lokale routere med én enkel HTTP-spørring.</p>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Referanser:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href=https://www.bleepingcomputer.com/news/google/new-google-chrome-feature-blocks-attacks-against-home-networks/>https://www.bleepingcomputer.com/news/google/new-google-chrome-feature-blocks-attacks-against-home-networks/</a>
<a style='flex: 1;' href=https://chromestatus.com/feature/4869685172764672>https://chromestatus.com/feature/4869685172764672</a>
</div>
</div>
</div>
tsochttp://www.blogger.com/profile/03423025793438361055noreply@blogger.com0tag:blogger.com,1999:blog-1200321268211503103.post-83180398761539674482024-02-16T12:50:00.001+01:002024-02-16T12:50:51.321+01:00Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.02.16<p font-size: 1.17em> FBI har tatt ned router-botnett kontrollert av APT 28. Ny malware omgår biometrisk ansiktsgjenkjenning. </p><hr>
<div style='margin-bottom: 20px'>
<h2 style='margin-bottom: -0.5em'>FBI har tatt ned router-botnett kontrollert av APT 28</h2>
<p>FBI melder at amerikanske myndigheter har tatt ned enda et botnett bygget opp for det meste av hjemmeroutere, denne gangen bestående av Ubiquiti Edge OS-routere. Det skal ha vært russiske APT 28/Fancy Bear (russisk militær etterretningstjeneste), som benyttet seg av botnettet for spionasje. Det var malwaren "Moobot" som ble installert på routerne ved å benytte seg av standard-passord satt av produsenten. FBI har, etter en rettskjennelse, endret på brannmur-reglene på routerne, slik at fjerntilgang blir slått av.</p><p>Forrige måned meldte amerikanske myndigheter at de hadde tatt ned et lignende botnett som kinesiske aktører benyttet seg av. Denne typen botnett blir ofte brukt som et proxy-nettverk under angrep. For offeret ser angrepstrafikken ut til å komme fra IP-adresser i umiddelbar geografisk nærhet, og virker dermed mer legitim enn om den skulle komme fra en kjent VPN-adresse eller utlandet.</p>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Referanser:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href=https://www.securityweek.com/fbi-dismantles-ubiquiti-router-botnet-controlled-by-russian-cyberspies/>https://www.securityweek.com/fbi-dismantles-ubiquiti-router-botnet-controlled-by-russian-cyberspies/</a>
<a style='flex: 1;' href=https://www.documentcloud.org/documents/24429108-fbi-apt28-moobot-redacted-warrant-and-affidavit>https://www.documentcloud.org/documents/24429108-fbi-apt28-moobot-redacted-warrant-and-affidavit</a>
</div>
</div>
</div>
<div style='margin-bottom: 20px'>
<h2 style='margin-bottom: -0.5em'>Ny malware omgår biometrisk ansiktsgjenkjenning</h2>
<p>Kinesiske hackere har utviklet en sofistikert bank-trojaner for å lure personlig informasjon og ansikts-scanninger fra ofre, som de deretter bruker til å logge på ofrenes bank-kontoer. Trojaneren har fått navnet "GoldPickaxe" og finnes både for iOS og Android-mobiler.</p><p>Trojaneren gir seg ut for å være utgitt fra myndighetene og lurer ofrene til å scanne ansiktene sine. Scanningene brukes så for å lure biometrisk innlogging i diverse banker i Sørøst-Asia.</p>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Referanser:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href=https://www.darkreading.com/application-security/ios-malware-steals-faces-defeat-biometrics-ai-swaps>https://www.darkreading.com/application-security/ios-malware-steals-faces-defeat-biometrics-ai-swaps</a>
</div>
</div>
</div>
tsochttp://www.blogger.com/profile/03423025793438361055noreply@blogger.com0tag:blogger.com,1999:blog-1200321268211503103.post-90473057169599574892024-02-15T12:29:00.001+01:002024-02-15T12:29:34.634+01:00Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.02.15<p font-size: 1.17em> Microsoft: Ny kritisk Outlook RCE-feil utnyttet som nulldag. Ubuntus 'command-not-found'-verktøy kan misbrukes til å spre skadelig programvare. SAP-oppdatering av kritisk sårbarhet som eksponerer bruker- og forretningsdata. Microsoft har analysert trusselaktøreres bruk av ChatGPT. Kritisk feil i Zoom-klient for Windows. </p><hr>
<div style='margin-bottom: 20px'>
<h2 style='margin-bottom: -0.5em'>Microsoft: Ny kritisk Outlook RCE-feil utnyttet som nulldag</h2>
<p>Microsoft har oppdatert en sikkerhetsadvarsel i dag for å advare om at en kritisk Outlook-feil ble utnyttet i angrep som en zero-day før den ble fikset i månedens Patch Tuesday. Sårbarheten, oppdaget av Check Point-forsker Haifei Li og sporet som CVE-2024-21413, gjør det mulig for en angriper å kjøre tifleldig kode når e-poster med skadelige lenker åpnes i en sårbar versjon av Microsoft Outlook.</p><p>Angriperen kan utnytte dette til å få utvidet tilgang, inkludert lese-, skrive- og slettefunksjonalitet, og til lokale lekkasje av NTLM-autentiseringsinformasjon (hasher). Svakheten kan utnyttes også når brukeren kun ser på eposten i forhåndsvisning, som normalt skal være ekstra sikker. </p>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Sårbarheter:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href='https://nvd.nist.gov/vuln/detail/CVE-2024-21413'>CVE-2024-21413</a>
</div>
</div>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Referanser:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href=https://www.bleepingcomputer.com/news/security/microsoft-new-critical-outlook-rce-bug-exploited-as-zero-day/>https://www.bleepingcomputer.com/news/security/microsoft-new-critical-outlook-rce-bug-exploited-as-zero-day/</a>
</div>
</div>
</div>
<div style='margin-bottom: 20px'>
<h2 style='margin-bottom: -0.5em'>Ubuntus 'command-not-found'-verktøy kan misbrukes til å spre skadelig programvare</h2>
<p>En logisk feil mellom Ubuntu's 'command-not-found' pakkeforslagssystem og snap pakke-repositoriet, kan tillate angripere å promotere ondsinnede Linux-pakker til intetanende brukere. Sikkerhetsbristen oppstår på grunn av verktøyets evne til å foreslå snap-pakker for installasjon når de mangler på systemet, uten en tilstrekkelig valideringsmekanisme for å sikre at pakkene er autentiske og trygge. Angriperne kan utnytte dette til å gi brukeren feilaktige forslag til installasjon av ondsinnet programvare.</p>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Referanser:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href=https://www.bleepingcomputer.com/news/security/ubuntu-command-not-found-tool-can-be-abused-to-spread-malware/>https://www.bleepingcomputer.com/news/security/ubuntu-command-not-found-tool-can-be-abused-to-spread-malware/</a>
<a style='flex: 1;' href=https://thehackernews.com/2024/02/ubuntu-command-not-found-tool-could.html>https://thehackernews.com/2024/02/ubuntu-command-not-found-tool-could.html</a>
</div>
</div>
</div>
<div style='margin-bottom: 20px'>
<h2 style='margin-bottom: -0.5em'>SAP-oppdatering av kritisk sårbarhet som eksponerer bruker- og forretningsdata</h2>
<p>SAP har gitt ut 13 nye og tre oppdaterte sikkerhetsnotater som en del av sin sikkerhetsoppdatering for februar 2024. Dette inkluderer en kritisk kode-injiserings sårbarhet i SAP ABA-komponenten, som kan tillate en angriper å utføre handlinger uten tillatelse og gjøre hele systemet utilgjengelig, eller hente ut interne data fra systemet. SAP har løst sårbarheten ved å legge til en konfigurerbar sjekk på eksterne kall til funksjonsmodulen.</p>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Sårbarheter:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href='https://nvd.nist.gov/vuln/detail/CVE-2024-22131'>CVE-2024-22131</a>
</div>
</div>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Referanser:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href=https://www.securityweek.com/sap-patches-critical-vulnerability-exposing-user-business-data/>https://www.securityweek.com/sap-patches-critical-vulnerability-exposing-user-business-data/</a>
</div>
</div>
</div>
<div style='margin-bottom: 20px'>
<h2 style='margin-bottom: -0.5em'>Microsoft har analysert trusselaktøreres bruk av ChatGPT</h2>
<p>Microsoft og OpenAI har avdekket at flere trusselaktører fra Kina, Russland, Iran og Nord-Korea har benyttet seg av verktøyet ChatGPT i varierende grad. Bruken har blitt analysert og kontoene har blitt sperret. Foreløpig ser det ikke ut til at APTene benytter de nye verktøyene i vesentlig grad eller på en automatisert måte.</p><p>Eksempler på bruk som har blitt avdekket så langt er: Finne informasjon om firmaer og sikkerhetsverktøy, fjerne bugs i og generere kode, generering av scripts, produksjon av innhold til phishing-eposter, oversette tekniske dokumenter osv.</p>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Referanser:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href=https://www.microsoft.com/en-us/security/blog/2024/02/14/staying-ahead-of-threat-actors-in-the-age-of-ai/>https://www.microsoft.com/en-us/security/blog/2024/02/14/staying-ahead-of-threat-actors-in-the-age-of-ai/</a>
<a style='flex: 1;' href=https://openai.com/blog/disrupting-malicious-uses-of-ai-by-state-affiliated-threat-actors>https://openai.com/blog/disrupting-malicious-uses-of-ai-by-state-affiliated-threat-actors</a>
</div>
</div>
</div>
<div style='margin-bottom: 20px'>
<h2 style='margin-bottom: -0.5em'>Kritisk feil i Zoom-klient for Windows</h2>
<p>Zoom melder at det er en kritisk svakhet i Windows-versjonen av Zoom-klienten som skyldes manglende validering av input. Svakheten kan utnyttes via nettverket for å få tilgang til en maskin med den sårbare versjonen installert. Zoom har gitt ut nye versjoner av programvaren som fikser problemet.</p>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Referanser:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href=https://www.zoom.com/en/trust/security-bulletin/ZSB-24008/>https://www.zoom.com/en/trust/security-bulletin/ZSB-24008/</a>
</div>
</div>
</div>
tsochttp://www.blogger.com/profile/03423025793438361055noreply@blogger.com0tag:blogger.com,1999:blog-1200321268211503103.post-48452059734358958182024-02-14T12:36:00.001+01:002024-02-14T12:36:31.384+01:00Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.02.14<p font-size: 1.17em> Microsoft patcher, inkludert to aktivt utnyttede svakheter. Ny DoS-svakhet i DNSSEC rammer DNS-servere. Adobe patcher flere produkter, inkludert Acrobat Reader. </p><hr>
<div style='margin-bottom: 20px'>
<h2 style='margin-bottom: -0.5em'>Microsoft patcher, inkludert to aktivt utnyttede svakheter</h2>
<p></p><p>Microsoft har utgitt en oppdatering for å tette 73 sikkerhetshull, inkludert to null-dagers sårbarheter, CVE-2024-21351 og CVE-2024-21412, som aktivt blir utnyttet. Den første påvirker Windows SmartScreen og utnyttes aktivt for å installere malware, mens den andre gjør det mulig for angripere å omgå sikkerhetssjekker gjennom internett-snarveifiler.</p><p>Blant de lappede feilene er fem sett på som kritiske og ligger i produkter som Hyper-V, Dynamics, Outlook og Exchange Server.</p>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Sårbarheter:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href='https://nvd.nist.gov/vuln/detail/CVE-2024-21412'>CVE-2024-21412</a><a style='flex: 1;' href='https://nvd.nist.gov/vuln/detail/CVE-2024-21351 '>CVE-2024-21351 </a><a style='flex: 1;' href='https://nvd.nist.gov/vuln/detail/CVE-2024-20684'>CVE-2024-20684</a><a style='flex: 1;' href='https://nvd.nist.gov/vuln/detail/CVE-2024-21357'>CVE-2024-21357</a><a style='flex: 1;' href='https://nvd.nist.gov/vuln/detail/CVE-2024-21351'>CVE-2024-21351</a><a style='flex: 1;' href='https://nvd.nist.gov/vuln/detail/CVE-2024-21380'>CVE-2024-21380</a><a style='flex: 1;' href='https://nvd.nist.gov/vuln/detail/CVE-2024-21410'>CVE-2024-21410</a><a style='flex: 1;' href='https://nvd.nist.gov/vuln/detail/CVE-2024-21413 '>CVE-2024-21413 </a>
</div>
</div>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Referanser:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href=https://www.bleepingcomputer.com/news/security/hackers-used-new-windows-defender-zero-day-to-drop-darkme-malware/>https://www.bleepingcomputer.com/news/security/hackers-used-new-windows-defender-zero-day-to-drop-darkme-malware/</a>
<a style='flex: 1;' href=https://thehackernews.com/2024/02/microsoft-rolls-out-patches-for-73.html>https://thehackernews.com/2024/02/microsoft-rolls-out-patches-for-73.html</a>
<a style='flex: 1;' href=https://isc.sans.edu/diary/30646>https://isc.sans.edu/diary/30646</a>
<a style='flex: 1;' href=https://portal.msrc.microsoft.com/en-us/security-guidance>https://portal.msrc.microsoft.com/en-us/security-guidance</a>
</div>
</div>
</div>
<div style='margin-bottom: 20px'>
<h2 style='margin-bottom: -0.5em'>Ny DoS-svakhet i DNSSEC rammer DNS-servere</h2>
<p>Det er oppdaget en svakhet i DNSSEC-spesifikasjonen som kan føre til DoS-angrep mot DNS-servere ved å bruke opp alt av tilgjengelige ressurser. Svakheten har fått navnet KeyTrap av sikkerhetsforskerne ved ATHENE i Darmstadt. DNS-leverandører som BIND, Unbound osv. har sluppet oppdateringer.</p><p>Angrepet gjennomføres ved å sende en DNS-forespørsel til en sårbar server, som serveren ikke kan svare på. Den lures til å kontakte en ondsinnet server, som sender et spesielt utformet svar tilbake som får serveren til å bruke opp alle tilgjengelige ressurser. Én datapakke kan få en server tilå slutte å svare i mellom 170 sekunder og 16 timer, avhengig av typen programvare.</p>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Sårbarheter:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href='https://nvd.nist.gov/vuln/detail/CVE-2023-50387'>CVE-2023-50387</a>
</div>
</div>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Referanser:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href=https://www.theregister.com/2024/02/13/dnssec_vulnerability_internet/>https://www.theregister.com/2024/02/13/dnssec_vulnerability_internet/</a>
<a style='flex: 1;' href=https://www.presseportal.de/pm/173495/5713546>https://www.presseportal.de/pm/173495/5713546</a>
</div>
</div>
</div>
<div style='margin-bottom: 20px'>
<h2 style='margin-bottom: -0.5em'>Adobe patcher flere produkter, inkludert Acrobat Reader</h2>
<p>Adobe har publisert seks sikkerhetsadvarsler om svakheter i blant annet Acrobat (Reader), Commerce, FrameMaker og Audition. Flere av svakhetene er regnet som kritiske og kan føre til vilkårlig kjøring av kode når en bruker åpner en spesielt utformet fil, inkludert .PDF-filer i Acrobat.</p>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Referanser:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href=https://helpx.adobe.com/security/security-bulletin.html>https://helpx.adobe.com/security/security-bulletin.html</a>
</div>
</div>
</div>
tsochttp://www.blogger.com/profile/03423025793438361055noreply@blogger.com0tag:blogger.com,1999:blog-1200321268211503103.post-68137163991836158312024-02-13T11:49:00.001+01:002024-02-13T11:49:00.574+01:00Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.02.13<p font-size: 1.17em> Proofpoint: Aktiv phishing-kampanje mot bedrifters Azure-miljøer. </p><hr>
<div style='margin-bottom: 20px'>
<h2 style='margin-bottom: -0.5em'>Phishing-kampanje mot bedrifters Azure-miljøer</h2>
<p>Sikkerhetsselskapet Proofpoint melder om pågående phishing-angrep mot bedrifters Azure-miljøer. Flere titalls firmaer er rammet med hundrevis av individuelle ofre. Kompromitteringene fører til eksfiltrasjon av data, finansiell svindel og misbruk av identiteter.</p><p>Phishing-epostene inneholder dokumenter som er typisk individuelt utformet mot enkeltpersoner i ledelsen. Disse leder igjen til forfalskede innloggingssider. Etter at initiell tilgang er oppnådd, endrer angriperne MFA-innstillinger og kjører automatiserte verktyøy for å oppnå utvidet tilgang.</p>
<div style='display: flex; row-gap: 2px; flex-direction: column; margin-bottom: 10px;'>
<b style='flex: 1;'>Referanser:</b>
<div style='flex: 1; display: flex; flex-direction: column;'>
<a style='flex: 1;' href=https://www.darkreading.com/cloud-security/senior-executives-targeted-ongoing-azure-account-takeover>https://www.darkreading.com/cloud-security/senior-executives-targeted-ongoing-azure-account-takeover</a>
</div>
</div>
</div>
tsochttp://www.blogger.com/profile/03423025793438361055noreply@blogger.com0