Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Wednesday, 28 January 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.01.28

Fortinet har utgitt sikkerhetsoppdateringer for CVE-2026-24858 etter at aktiv utnyttelse av FortiOS SSO ble oppdaget. Kritiske sårbarheter i VMware vCenter Server og Cloud Foundation. Hackere bruker Teams til å levere skadelig innhold som utgir seg for å være Microsoft-tjenester.

Fortinet har utgitt sikkerhetsoppdateringer for CVE-2026-24858 etter at aktiv utnyttelse av FortiOS SSO ble oppdaget

Fortinet har utgitt sikkerhetsoppdateringer for en kritisk sårbarhet i FortiOS (CVE-2026-24858, CVSS 9,4) som utnyttes aktivt. Feilen er knyttet til FortiCloud Single Sign-On (SSO) og påvirker FortiOS, FortiManager og FortiAnalyzer.

Sårbarheten kan gjøre det mulig for en angriper med FortiCloud-konto å logge inn på andre kunders enheter dersom FortiCloud SSO er aktivert. SSO er ikke aktivert som standard, men kan være slått på i enkelte miljøer.

Fortinet har bekreftet at trusselaktører har utnyttet sårbarheten til å få uautorisert administrativ tilgang, opprette lokale admin-kontoer, endre konfigurasjoner og hente ut data.

Fortinet har midlertidig deaktivert og deretter gjenaktivert FortiCloud SSO, med krav om oppgradering til siste programvareversjon. Kunder anbefales å oppgradere umiddelbart, kontrollere konfigurasjoner og rotere relevante passord.

CVE-2026-24858 er lagt til CISA sin liste over kjente utnyttede sårbarheter, med frist for utbedring 30. januar 2026.

Anbefaling:

Oppgrader umiddelbart til nyeste firmware på berørte Fortinet-produkter. Deaktiver FortiCloud SSO hvis den ikke er nødvendig, og følg med på mistenkelig admin- og VPN-aktivitet.

Kritiske sårbarheter i VMware vCenter Server og Cloud Foundation

VMware har publisert sikkerhetsoppdateringer for flere alvorlige sårbarheter i vCenter Server som også påvirker VMware Cloud Foundation. To kritiske heap-overflow-sårbarheter (CVE-2024-37079 og CVE-2024-37080) i DCERPC-implementasjonen kan utnyttes av en angriper med nettverkstilgang og kan føre til fjernkjøring av kode. Det er indikasjoner på at CVE-2024-37079 allerede er utnyttet aktivt.

I tillegg er det avdekket en viktig lokal rettighetseskaleringssårbarhet (CVE-2024-37081) som kan gi en lokal, autentisert bruker mulighet til å eskalere privilegier til root på vCenter Server Appliance.

Det finnes ingen fungerende workarounds. VMware anbefaler å oppgradere til fastsatte, korrigerte versjoner så raskt som mulig for å redusere risiko.

Anbefaling:

Oppgrader umiddelbart til anbefalt "Fixed Versions". For vCenter Server-instanser som er eksponert mot internett, anbefales det å fjerne tilgangen umiddelbart frem til oppdatering er gjennomført.

Hackere bruker Teams til å levere skadelig innhold som utgir seg for å være Microsoft-tjenester

En ny sofistikert phishing kampanje utnytter Microsoft Teams sin legitime funksjon «Invite a Guest» for å distribuere ondartet innhold som etterligner Microsoft tjenester. 

Trusselaktørene oppretter falske Teams grupper med villedende navn som imiterer faktureringsvarsler (for eksempel «Subscription Auto-Pay Notice…») og inviterer eksterne brukere. Mottakeren får deretter en e‑post sendt fra en legitim Microsoft adresse som passerer autentiseringskontroller som SPF, DKIM og DMARC, men som inneholder manipulert tekst og et telefonnummer til en falsk supportlinje.

Angrepene har omfattet minst 12 866 phishing meldinger og rundt 6 135 ofre, særlig i USA. Målrettede sektorer inkluderer produksjon, ingeniørarbeid, utdanning, teknologi og profesjonelle tjenester.

Posted by tsoc at 13:39 0 comments

Tuesday, 27 January 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.01.27

Microsoft patcher nulldagssårbarhet som blir aktivt utnyttet.

Microsoft patcher nulldagssårbarhet som blir aktivt utnyttet

Microsoft har gitt ut sikkerhetsoppdateringer for å fikse en aktivt utnyttet nulldagssårbarhet i Microsoft Office som lar angripere omgå sikkerhetsfunksjoner hvis en bruker åpner en ondartet Office fil. Sårbarheten har fått CVE-2026-21509 med score 7.8. For at angrepet skal lykkes må angripere lure brukere til å åpne filer. En midlertidig løsning finnes ved å modifisere enkelte registerverdier, men det anbefales å installere den offisielle oppdateringen for eldre Office versjoner.

Brukere med Office 2021 og nyere får beskyttelse automatisk via en server-side endring fra Microsoft, men må starte Office programmene på nytt for at oppdateringen skal tre i kraft.

Sårbarheter:

Posted by tsoc at 12:32 0 comments

Monday, 26 January 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.01.26

Sårbarheter i FortiCloud-SSO utnyttes framdeles etter patching.

Sårbarheter i FortiCloud-SSO utnyttes framdeles etter patching

Fortinet har bekreftet at sårbarheter i FortiCloud SSO-autentisering (CVE-2025-59718 og CVE-2025-59719, begge med score 9.8) fortsatt kan utnyttes selv på oppdaterte FortiGate-brannmurer. De jobber nå med en komplett utbedring. Angripere har klart å omgå de tidligere utgitte patchene ved å sende manipulerte SAML-meldinger for å få til vellykkede SSO-pålogging uten å ha gyldige legitimasjoner. Etter uautorisert tilgang har de opprettet generiske kontoer, gjort konfigurasjonsendringer som gir VPN-tilgang, og eksfiltrert brannmurkonfigurasjoner.

Fortinet anbefaler å begrense administrativ internettilgang og å midlertidig deaktivere FortiCloud SSO-pålogging som tiltak inntil løsning er ute.

Posted by tsoc at 12:05 0 comments

Friday, 23 January 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.01.23

Cisco fikser aktivt utnyttet Zero-day sårbarhet i Unified CM og Webex. Proxyware skadelig programvare forkledd som Notepad++ verktøy utnytter Windows Utforsker prosessen til å kapre systemer. Ondsinnet PyPI pakke etterligner SymPy og distribuerer XMRig miner på Linux hosts.

Cisco fikser aktivt utnyttet Zero-day sårbarhet i Unified CM og Webex

Cisco har utgitt sikkerhetsoppdateringer for å fikse en kritisk Zero-day sårbarhet (CVE-2026-20045) i flere Unified Communications produkter og Webex Calling Dedicated Instance som har blitt aktivt utnyttet i angrep. Sårbarheten skyldes feil i validering av bruker input i HTTP forespørsler til det web-baserte management grensesnittet, noe som kan tillate en uautentisert angriper å kjøre vilkårlige kommandoer på operativsystemet og deretter eskalere til root rettigheter. Cisco er klar over forsøk på utnyttelse i det fri og anbefaler umiddelbar oppgradering til patchede versjoner da ingen midlertidige "workarounds" finnes. Sårbarheten er lagt til i CISA Known Exploited Vulnerabilities katalogen med krav om patch innen 11. februar 2026 for amerikanske føderale byråer.

Anbefaling:

Oppgrader alle berørte Cisco Unified CM og Webex instanser til de nyeste versjonene som fikser CVE-2026-20045 (inkluderer blant annet 14SU5 og 15SU4 patcher) så snart som mulig. Gjennomgå og sikre at web-baserte management grensesnitt er beskyttet bak brannmurer og ikke offentlig eksponert der det er mulig. Overvåk nettverk og systemer for tegn på tidligere kompromittering før patching.

Sårbarheter:

Proxyware skadelig programvare forkledd som Notepad++ verktøy utnytter Windows Utforsker prosessen til å kapre systemer

En ny, sofistikert proxyware kampanje har blitt oppdaget som utkler skadelig programvare som en legitim Notepad++ installasjon for å infisere brukernes systemer. Trusselaktøren kjent som Larva-25012 bruker falske nedlastingssider og annonser for piratkopiert programvare for å lure ofre til å laste ned pakker som inneholder både en legitim Notepad++ installerer og en skjult skadelig komponent. Når installasjonen kjøres, etablerer skadevare persistens via "Windows Task Scheduler", injiserer seg i kjørende prosesser (f.eks. explorer.exe), og installerer proxyware moduler som Infatica og DigitalPulse for å kapre offerets internettbåndbredde og generere inntekter for angriperen uten brukerens samtykke, en teknikk som kalles proxyjacking. Skadevare komponentene benytter "DLL side-loading", PowerShell skript, og endrer Windows Defender innstillinger for å unngå deteksjon. Distribusjonen har i stor grad blitt sett i Sør-Korea via GitHub hostede MSP/ZIP pakker som inneholder de skadelige filene.

Ondsinnet PyPI pakke etterligner SymPy og distribuerer XMRig miner på Linux hosts

En ondsinnet pakke på Python Package Index (PyPI) ved navn sympy-dev har blitt oppdaget at etterligner det populære biblioteket for matematikk; SymPy for å lure brukere til å installere den. Pakken har blitt lastet ned over 1 100 ganger siden publisering 17. januar 2026 og inneholder modifisert kode som fungerer som en loader for en XMRig cryptocurrency miner på Linux systemer. Den ondsinnede koden aktiveres kun når bestemte funksjoner kalles, henter en konfigurasjon og en ELF payload fra en angriper kontrollert server, og kjører mining prosessen i minnet for å unngå spor på disk. I tillegg kan implantsfunksjonen kjøre vilkårlig annen kode med Python prosessen privilegier. Pakken er fortsatt tilgjengelig på PyPI per nå.

Posted by tsoc at 12:25 0 comments

Thursday, 22 January 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.01.22

Kritiske sårbarheter i samtlige produkter fra Cisco.

Kritiske sårbarheter i samtlige produkter fra Cisco

Adminpanelet til flere Cisco Unified Communications-produkter har en sårbarhet som Cisco selv klassifiserer som kritisk. Sårbarheten gir en angriper og mulighet til å elevere privilegier til tilsvarende root og kjøre kommandoer som root på det underliggende operativsystemet. Sårbarheten har fått CVSS score 8.2.

Utnyttelse krever at adminpanelet kan nås fra nettverket.

Svakheten ligger i manglende validering av HTTP-spørringer til den underliggende serveren, noe som gjør at autentisering ikke kreves.

Merk at versjon 12 av berørte produkter ikke lenger er støttet og vil IKKE få oppdatering som løser sårbarheten.

Følgende Cisco produkter er sårbare:

  • Unified CM

  • Unified CM SME

  • Unified CM IM&P

  • Unity Connection

  • Webex Calling Dedicated Instance

Anbefaling:

Oppdater til minst følgende versjoner: 14SU5, 5SU4 (Mar 2026). Sørg for at adminpanel ikke er eksponert mot internett, helst bør tilgang begrenses til faste og dedikerte interne IP’er. Det anbefales også å skjerme adminpanelet med VPN-tilgang som en ekstra sikkerhet. Sørg for at adminpanelet IKKE kan nå ikke-relevane enheter på nettverket for å forhindre sideveis-forflytning.

Sårbarheter:

Posted by tsoc at 15:20 0 comments

Wednesday, 21 January 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.01.21

Vedrørende tidligere utsending idag. Fake ad blocker utvidelse krasjer nettleseren for ClickFix-angrep. Ny phishing-kampanje utnytter LinkedIn-meldinger for å spre skadevare.

Vedrørende tidligere utsending idag

Telenor Cyberdefence beklager feilutsendingen av nyhetsbrevet tidligere i dag, her kommer dagens nyhetsbrev.

Fake ad blocker utvidelse krasjer nettleseren for ClickFix-angrep

En ondartet malvertising-kampanje har brukt en falsk Chrome/Edge utvidelse kalt NexShield som utgir seg for å være en annonse og sporingsblokker. Utvidelsen krasjer brukernes nettleser gjennom en ressursutarming (DoS) ved å åpne utallige interne tilkoblinger, og når nettleseren starter på nytt vises et falskt varsel om «unormalt stopp» og en anbefaling om å utføre en «scan».

Hvis brukeren følger instruksjonene og limer inn kommandoen som ligger i utklippstavlen, kjøres en skjult PowerShell-kommando som laster ned og kjører skadelig kode. For domenetilknyttede (enterprise) maskiner installeres en Python basert remote access trojan kalt ModeloRAT, som kan utføre systemreconnaissance, kjøre kommandoer, endre register, hente inn flere payloads og oppdatere seg selv.

Denne kampanjen er en variant av ClickFix angrep som er blitt døpt CrashFix, og den tilskrives trusselaktøren kjent som KongTuke. Utvidelsen er fjernet fra Chrome Web Store, men brukere som har installert den må gjennomføre full systemrens siden fjerning av utvidelsen ikke sletter alle infiserte komponenter.

Ny phishing-kampanje utnytter LinkedIn-meldinger for å spre skadevare

Sikkerhetsforskere hos ReliaQuest har avdekket en ny phishing-kampanje som bruker private meldinger på LinkedIn til å spre ondartet programvare.

Trusselaktører tar kontakt med personer i nøkkelposisjoner via LinkedIn, bygger tillit, og lurer dem til å laste ned en infisert WinRAR-fil. Når filen åpnes, installeres en legitim PDF-leser sammen med en ondartet DLL-fil som kjører i bakgrunnen. Angriperne bruker deretter en Python-tolker til å etablere vedvarende fjerntilgang til systemet.

I motsetning til e-post, der de fleste organisasjoner har sikkerhetsverktøy på plass, mangler sosiale medier ofte samme overvåking. Dette gjør direktemeldinger til en attraktiv kanal for angripere som ønsker å omgå tradisjonelle sikkerhetskontroller.

Kampanjen ser ut til å være bred og opportunistisk, rettet mot flere bransjer og regioner. Når angriperne først har fått tilgang, kan de eskalere privilegier, bevege seg lateralt i nettverket og eksfiltrere data.

Posted by tsoc at 13:12 0 comments

Monday, 19 January 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.01.19

Kritisk sikkerhetssårbarhet i WordPress-plugin utnyttes aktivt.

Kritisk sikkerhetssårbarhet i WordPress-plugin utnyttes aktivt

En kritisk sikkerhetssårbarhet i WordPress-pluginen Modular DS utnyttes nå aktivt av angripere, ifølge sikkerhetsselskapet Patchstack.

Sårbarheten (CVE-2026-23550) har fått høyeste alvorlighetsgrad (CVSS 10.0) og gjør det mulig for uautentiserte angripere å få administratortilgang til nettsteder. Feilen finnes i alle versjoner til og med 2.5.1, og er rettet i versjon 2.5.2. Over 40 000 nettsteder bruker pluginen.

Problemet skyldes flere designvalg som sammen skaper en sikkerhetssårbarhet: Et «direct-request»-modus kan omgå autentisering ved å legge til spesifikke parametere i URL-en. Dette gir tilgang til sensitive funksjoner som innlogging og systemdata.

Angrepene ble først oppdaget 13. januar 2026, der hackere forsøkte å opprette admin-brukere via sårbare endepunkter.

Anbefaling:

Brukere oppfordres til å oppdatere umiddelbart og sjekke om nettsteder er kompromittert ved å se etter ukjente admin-kontoer eller mistenkelig aktivitet.

Sårbarheter:

Posted by tsoc at 13:14 0 comments
Subscribe to: Comments (Atom)
 
>