Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday, 11 July 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.07.11

PerfektBlue Bluetooth-sårbarheter rammer Mercedes, Volkswagen og Skoda-biler. Fake Gaming and AI Firms Pusher Malware mot kryptobrukere via Telegram og Discord. AMD advarer om ’Transient Scheduler Attacks’ – mikroarkitektur-sårbarheter. New ZuRu Malware Variant målrettet mot macOS-utviklere via falsk Termius-app.

PerfektBlue Bluetooth-sårbarheter rammer Mercedes, Volkswagen og Skoda-biler

Sikkerhetsforskere ved PCA Cyber Security har avdekket fire alvorlige Bluetooth-sårbarheter i BlueSDK-biblioteket utviklet av OpenSynergy. Disse sårbarhetene, som har fått samlebetegnelsen «PerfektBlue», finnes i infotainment-systemer brukt i biler fra blant annet Mercedes-Benz, Volkswagen og Skoda. Sårbarhetene (CVE‑2024‑45431, ‑45432, ‑45433 og ‑45434) muliggjør blant annet fjernangrep med en-klikk utførelse (RCE). Slike angrep kan gi uvedkommende tilgang til sensitiv informasjon som GPS-posisjon, samtalelogg og kontaktlister, og i verste fall åpne for videre kompromittering av kjøretøyets mer kritiske systemer.

Anbefaling:

OpenSynergy utga patcher i september 2024. Anbefalt tiltak er at bilprodusenter umiddelbart ruller ut disse firmware‑oppdateringene til sluttbrukerne, og at brukere aktiverer paringsverifikasjon – ikke automatisk pairing – for Bluetooth-enheter.

Fake Gaming and AI Firms Pusher Malware mot kryptobrukere via Telegram og Discord

Cyberkriminelle oppretter falske gaming- og AI-firmaer på Telegram og Discord som tilbyr "gratis" eller "premium" verktøy, men distribuerer i stedet malware rettet mot kryptobrukere. Disse lurer brukere til å laste ned trojanere som stjeler private nøkler, seed-fraser og kryptovaluta-plånbøker. Angrepene sprer seg gjennom SEO-forgiftede domenenavn og sosiale medier, og retter seg særlig mot brukere av Discord- og Telegram-grupper for krypto. Dette gir angriperne full kontroll over ofrenes digitale midler.

AMD advarer om ’Transient Scheduler Attacks’ – mikroarkitektur-sårbarheter

AMD har offentliggjort en ny klasse spesifikke side-kanal-sårbarheter kalt Transient Scheduler Attacks (TSA) i sine prosessorer. Sårbarhetene utnytter timing-informasjon fra CPU-arkitekturens håndtering av instruksjoner – spesielt i L1 cache og store queue. Med lokal kjøring av kode kan angripere utlede data fra tidligere prosesskontekster. Totalt fire CVE-er er identifisert, hvor to er klassifisert som Medium (CVE‑2024‑36350 og CVE‑2024‑36357) og to som Low (CVE‑2024‑36348 og CVE‑2024‑36349). Samlet sett kan disse brukes sammen for å eksfiltrere sensitiv informasjon fra både desktop-, mobil- og datasenterprosessorer

New ZuRu Malware Variant målrettet mot macOS-utviklere via falsk Termius-app

Forskningsrapport fra SentinelOne, avslører en ny variant av macOS‑malware kalt ZuRu som kamuflerer seg som den legitime SSH-klienten Termius. Dette skjer via et modifisert .dmg-installasjonsbilde som inneholder en .localized‑loader og en ondsinnet “Termius Helper1”. Loaderen setter opp persistens, sammenligner MD5-hash og laster ned en modifisert Khepri C2-backdoor fra download.termius[.]info, som gir angripere mulighet til filoverføring, prosesskontroll og ekstern kjøring på kompromitterte macOS 14.1+ systemer.

Anbefaling:

Installer kun Termius fra offisiell kilde og unngå .dmg-filer fra tredjepartsnettsteder og piratkopierte apper.

Posted by tsoc at 12:29 0 comments

Thursday, 10 July 2025

Daglig nyhetsbrev fra Telenor Cyberdefence - 2025.07.10

Microsoft Remote Desktop Client Vulnerability Allows Remote Code Execution. FortiOS Buffer Overflow-sårbarhet Tillater Angripere å Utføre Vilkårlig Kod. Ny sårbarhet i ServiceNow lar angripere utvinne begrenset data.

Microsoft Remote Desktop Client Vulnerability Allows Remote Code Execution

En nylig oppdaget sårbarhet i Microsoft Remote Desktop Client, identifisert som CVE‑2025‑48817 med en CVSS‑score på 8,8, gjør det mulig for angripere å utføre vilkårlig kode på klientmaskinen. Dette skjer ved at en ondsinnet RDP‑server utnytter en sti‑traversal‑feil når en bruker kobler til, noe som gir full kontroll over systemet. Sårbarheten påvirker alle Windows-versjoner fra Server 2008 opp til Windows 11 24H2. Microsoft har utgitt en patch den 8. juli 2025, og brukere oppfordres til å oppdatere umiddelbart

Anbefaling:

Installer Microsofts sikkerhetsoppdatering publisert 8. juli 2025 umiddelbart

Sårbarheter:

FortiOS Buffer Overflow-sårbarhet Tillater Angripere å Utføre Vilkårlig Kod

Fortinet har utgitt en sikkerhetsadvarsel om en heap-basert buffer overflow i cw_stad-daemonen i FortiOS (CVE‑2025‑24477). Sårbarheten gir en autentisert angriper mulighet til å kjøre vilkårlig kode eller kommandoer ved hjelp av spesiallagde forespørsler. Sårbarheten er klassifisert som medium (CVSS 4.0), men har alvorlig konsekvens for privilegieeskalering. Berørte versjoner inkluderer FortiOS 7.6.0–7.6.1, 7.4.0–7.4.7 og 7.2.4–7.2.11, og krav til oppgradering til 7.6.3, 7.4.8 eller 7.2.12 for å lukke feilen. Enkelte FortiWiFi-modeller som brukes som trådløse klienter er også berørt

Sårbarheter:

Ny sårbarhet i ServiceNow lar angripere utvinne begrenset data

En ny sårbarhet i ServiceNow, kalt “Count(er) Strike” (CVE‑2025‑3648), ble oppdaget av Varonis Threat Labs i februar 2025. Den gjør det mulig for brukere med lave privilegier å hente ut sensitive data fra tabeller selv uten full tilgang, ved å bruke feil i ACL‑logikken som tillater innsyn gjennom record count og filtreringsteknikker. Angripere kan gjennom URL‑baserte spørringer som STARTSWITH og CONTAINS iterere seg frem til feltverdier, som kan inkludere PII, konfigurasjonsopplysninger og brukernes legitimasjon. ServiceNow har utbedret problemet i Xanadu- og Yokohama-versjonene ved å endre tilgangsmodell og filtrering.

Sårbarheter:

Posted by tsoc at 09:56 0 comments

Wednesday, 9 July 2025

Daglig nyhetsbrev fra Telenor Cyberdefence - 2025.07.09

Microsoft Juli 2025 Patche Tirsdag: fikser én zero‑day og 137 sårbarheter.

Microsoft Juli 2025 Patche Tirsdag: fikser én zero‑day og 137 sårbarheter

Microsoft har utgitt juli 2025 Patche Tirsdag‑oppdateringen som retter totalt 137 sårbarheter, inkludert én offentlig kjent zero‑day i Microsoft SQL Server (CVE‑2025‑49719) og 14 kritiske feil, blant dem flere fjernkjøring av kode (RCE) i Windows SPNEGO‑mekanismen (CVE‑2025‑47981) og i Microsoft Office/SharePoint. Sårbarhetene spenner over privilegieheving, informasjonslekkasje, sertifikatfeil, DOS og spoofing, med presserende anbefaling om snarlig oppgradering.

Anbefaling:

Installer umiddelbart alle oppdateringer via Windows Update (KB5062553/KB5062552/KB5062554) For SQL Server zero‑day: oppdater SQL-versjonen og installer OLE DB Driver 18 eller 19

Posted by tsoc at 10:21 0 comments

Tuesday, 8 July 2025

Daglig nyhetsbrev fra Telenor Cyberdefence - 2025.07.08

Offentlige utnyttelser for Citrix Bleed 2 NetScaler-feil utgitt.

Offentlige utnyttelser for Citrix Bleed 2 NetScaler-feil utgitt

CitrixBleed2 (CVE-2025-5777) er en alvorlig sårbarhet i Citrix NetScaler-enheter som lar angripere hente ut minneinnhold og stjele brukersesjoner ved hjelp av feilformede innloggingsforespørsler. Sårbarheten ligner på den tidligere CitrixBleed-feilen fra 2023 og er enkel å utnytte. Selv om Citrix hevder at det ikke finnes bevis for aktiv utnyttelse, har sikkerhetsforskere funnet indikasjoner på det motsatte. Det er sterkt anbefalt å installere tilgjengelige sikkerhetsoppdateringer umiddelbart. Svakheten kommer fra å sende feilformede POST-forespørsler under påloggingsforsøk og lar angriperen hente ut minneinnhold.

Anbefaling:

Patch Now!

Sårbarheter:

Posted by tsoc at 12:24 0 comments

Friday, 4 July 2025

Daglig nyhetsbrev fra Telenor Cyberdefence - 2025.07.04

Grafana utgir kritisk sikkerhetsoppdatering for Image Renderer plugin.

Grafana utgir kritisk sikkerhetsoppdatering for Image Renderer plugin

Grafana Labs har gitt ut en kritisk sikkerhetsoppdatering for Image Renderer‑pluginen (og Synthetic Monitoring Agent) etter åtte Chromium sårbarheter ble oppdaget og utnyttet via bug bounty. Fire av disse (CVE‑2025‑5959, CVE‑2025‑6191, CVE‑2025‑6192 med score 8.8 og CVE‑2025‑6554 med score 8.1) gjør det mulig med fjernkodekjøring, ukontrollert minnetilgang eller heap‑korrupsjon via ondsinnet HTML. Brukere oppfordres til å oppdatere til Image Renderer ≥ 3.12.9 og Synthetic Agent ≥ 0.38.3 umiddelbart. Grafana Cloud og Azure Managed Grafana er allerede oppdatert.

Anbefaling:

Oppdater Image Renderer‑plugin til versjon 3.12.9 via grafana-cli eller container. Oppdater Synthetic Monitoring Agent til versjon 0.38.3 (eller container: ...:v0.38.3-browser).

Posted by tsoc at 11:57 0 comments

Thursday, 3 July 2025

Daglig nyhetsbrev fra Telenor Cyberdefence - 2025.07.03

Critical Cisco-sårbarhet i Unified CM gir root-tilgang gjennom statiske legitimasjoner. Hackere bruker PDF for å utgi seg for Microsoft, DocuSign og flere i callback-phishing . NimDoor krypto-tyveri macOS skadevare gjenskaper seg når den stoppes.

NimDoor krypto-tyveri macOS skadevare gjenskaper seg når den stoppes

Nord Koreansk stat-støttet hackergruppe har lansert en ny macOS skadevare kalt NimDoor, rettet mot web3 og kryptoselskaper. Den bruker en rekke moduler; “installer”, “GoogIe LLC” og hovedpayload “CoreKitAgent” – som oppretter vedvarende tilstedeværelse via LaunchAgent og benytter avanserte signalhåndteringsmetoder. Når skadevaren stoppes (SIGINT/SIGTERM), gjenoppretter den seg selv via re-installasjon. I tillegg stjeler den systemdata via AppleScript og exfiltrerer dem hvert halve minutt. En sekundær injekteringskjede (via zoom_sdk_support.scpt) stjeler nettleserdata, Keychain, bash/zsh historikk og Telegram data gjennom skriptet tlgrm. Denne modulære og signalresistente arkitekturen gjør NimDoor til en av de mest komplekse macOS skadevarene knyttet til Nord-Korea.

Critical Cisco-sårbarhet i Unified CM gir root-tilgang gjennom statiske legitimasjoner

Cisco har utgitt sikkerhetsoppdateringer for en kritisk sårbarhet (CVE‑2025‑20309) i Unified Communications Manager og Unified CM SME, med en full CVSS-score på 10.0. Sårbarheten skyldes hardkodede (statiske) root-legitimasjoner som ble etterlatt etter utvikling. En angriper som kjenner disse legitimasjonene kan logge seg inn som root og utføre vilkårlige kommandoer, noe som gir full systemkontroll . Det er foreløpig ingen indikasjoner på at sårbarheten er utnyttet i praksis .

Anbefaling:

Cisco anbefaler umiddelbar installasjon av tilgjengelige oppdateringer på alle berørte versjoner (15.0.1.13010‑1 til 15.0.1.13017‑1). De har også utgitt IoCs – spesielt loggoppføringer i /var/log/active/syslog/secure som viser root-pålogginger – som kan overvåkes for tidlig oppdagelse .

Sårbarheter:

Hackere bruker PDF for å utgi seg for Microsoft, DocuSign og flere i callback-phishing 

Mellom 5. mai og 5. juni 2025 har Cisco Talos avdekket en rekke phishing­kampanjer hvor angripere sender PDF-vedlegg som etterligner etablerte merker som Microsoft, DocuSign, PayPal, NortonLifeLock og Geek Squad. PDF-ene inneholder QR-koder, innebygde lenker eller kommentarer som leder til falske påloggingssider eller oppfordrer brukeren til å ringe et telefonnummer. Under samtaler (TOAD – Telephone‑Oriented Attack Delivery) utgir angriperne seg for å være kundeservicerepresentanter, og lurer ofrene til å oppgi legitimasjon, installere skadevare eller gi fjernkontrolltilgang   .

Posted by tsoc at 12:26 0 comments

Wednesday, 2 July 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.07.02

Vær oppmerksom på den skjulte risikoen i inngangsmiljøet ditt. Chrome Zero‑Day CVE‑2025‑6554 Utnyttes i Angrep – Kritisk Patch Nødvendig.

Vær oppmerksom på den skjulte risikoen i inngangsmiljøet ditt

En sikkerhetsrisiko i Microsoft Entra ID (Azure AD) gjør at gjestebrukere kan utnytte faktureringtillatelser til å opprette abonnementer i eget hjemmetenant og deretter overføre dem inn i et inviterende tenant – mens de beholder eierskap og full admin tilgang. Dette usynliggjør eskalering av privilegier som omgår vanlige Entra eller "Azure RBAC" kontroller, og åpner for rekognosering, policy manipulering, identitets forfalskning og uønsket persistent adgang. Forskerne påpeker at mange sikkerhetsteam overser denne vektoren, og reelle demonstrasjoner viser at metoden brukes aktivt mot organisasjoner.

Chrome Zero‑Day CVE‑2025‑6554 Utnyttes i Angrep – Kritisk Patch Nødvendig

Google har utgitt en kritisk oppdatering for Chrome etter at en Zero‑Day sårbarhet (CVE‑2025‑6554) i V8 JavaScript/WebAssembly motoren ble aktivt utnyttet. Sårbarheten er en type "confusion" feil som lar angripere lese/skrive vilkårlig minne og potensielt kjøre eksternt kode ved at offeret besøker en ondsinnet nettside. CVE‑2025‑6554 ble oppdaget 25. juni 2025 av Clément Lecigne i Google Threat Analysis Group og midlertidig mitigert 26. juni før full patch ble rullet ut 1. juli for Windows (138.0.7204.96/97), Mac (138.0.7204.92/93) og Linux (138.0.7204.96)

Anbefaling:

Oppdater Chrome umiddelbart til anbefalte versjoner: Windows: 138.0.7204.96/.97, Mac: 138.0.7204.92/.93, Linux: 138.0.7204.96

Posted by tsoc at 10:14 0 comments
Subscribe to: Posts (Atom)
 
>