Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Wednesday, 20 November 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.11.20

Apple med kritisk sikkerhetsoppdatering for to null-dagers sårbarheter. Ford undersøker mulig datainnbrudd etter lekkasje av kundedata.


Apple med kritisk sikkerhetsoppdatering for to null-dagers sårbarheter

Apple har nylig utgitt sikkerhetsoppdateringer for å rette to null-dagers sårbarheter som har blitt utnyttet i angrep mot Intel-baserte Mac-systemer. Disse sårbarhetene ble funnet i henholdsvis JavaScriptCore og WebKit-komponentene i macOS. Den første sårbarheten tillater fjernkjøring av kode gjennom ondsinnet webinnhold, mens den andre muliggjør cross-site scripting (XSS) angrep. Apple har adressert disse sikkerhetsproblemene i macOS Sequoia 15.1.1, samt i iOS 17.7.2, iPadOS 17.7.2, iOS 18.1.1, iPadOS 18.1.1 og visionOS 2.1.1. Brukere oppfordrers til å oppdatere sine enheter umiddelbart for å beskytte mot potensielle trusler.

Ford undersøker mulig datainnbrudd etter lekkasje av kundedata

Ford undersøker nå påstander om et datainnbrudd etter at en trusselaktør hevder å ha lekket 44 000 kunderegistreringer på et hackerforum. Dataene inkluderer kundenes fulle navn, fysiske adresser, kjøpsdetaljer, forhandlerinformasjon og tidsstempler. Selv om informasjonen ikke er svært sensitiv, kan den brukes i phishingangrep. Ford har bekreftet at de er klar over situasjonen og aktivt undersøker påstandene.

Tuesday, 19 November 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.11.19

Palo Alto patcher nulldags-svakheter som blir utnyttet i angrep.


Palo Alto patcher nulldags-svakheter som blir utnyttet i angrep

Palo Alto har nå patchet to svakheter som har vært aktivt utnyttet i angrep mot selskapets brannmurer. Den ene svakheten (CVE-2024-0012) ligger i management web-interfacet og kan gi angripere med nettverkstilgang til dette administrator-tilgang. Palo Alto ga ellerede 8. november ut rådgivning til kundene om kun gi tilgang til web-interface for godkjente enheter.

Den andre svakheten (CVE-2024-9474) har også allerede blitt utnyttet i angrep. Denne lar en vanlig bruker av brannmuren utføre kommandoer som root-brukeren.

Palo Alto har gitt ut en rapport med IoCer for angrepene som har utnyttet disse to svakhetene.

Vi anbefaler å installere patcher så raskt som mulig. Overvåkingsplattformen Shadowserver meldte på fredag at over 8700 management-interfacer var eksponert mot nettet.

Monday, 18 November 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.11.18

Det har vært en rolig helg.

Friday, 15 November 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.11.15

Svakhet i management-interface på Palo Alto-brannmurer utnyttes i angrep. CISA advarer om at to kritiske sårbarheter i Expedition fra Palo Alto Networks aktivt utnyttes.


Svakhet i management-interface på Palo Alto-brannmurer utnyttes i angrep

11. november meldte vi om rykter om en mulig svakhet i admin-interfacet til Palo Alto-brannmurer som lar angripere kjøre tilfeldig kode på enhetene. Palo Alto ga ut en rådgivningsartikkel om saken, der de anbefalte å hindre tilgang til admin-interface fra ikke-godkjente enheter/IP-adresser.

Palo Alto har nå oppdatert artikkelen og opplyser at de ser utnyttelse av svakheten mot brannmurer, og at svakheten kan utnyttes uten autentisering. Svakheten har fått CVSS-score på 9.3/10. En patch for svakheten er foreløpig ikke tilgjengelig.

CISA advarer om at to kritiske sårbarheter i Expedition fra Palo Alto Networks aktivt utnyttes

CISA (Cybersecurity and Infrastructure Security Agency, USA) advarer om at to kritiske sårbarheter i Palo Alto Networks verktøyet "Expedition" utnyttes i angrep. Sårbarhetene, som involverer uautentisert kommandoinjeksjon (CVE-2024-9463) og SQL-injeksjon (CVE-2024-9465), gir angripere mulighet til å henholdsvis kjøre vilkårlige OS-kommandoer som root i Expedition og å hente ut informasjon fra Expedition databaser, samt lese og skrive til vilkårlige filer.

Palo Alto Networks har lansert sikkerhetsoppdateringer i Expedition versjon 1.2.96 og anbefaler umiddelbar oppdatering, eller å begrense tilgangen til verktøyet hvis oppdatering ikke er mulig. Videre anbefaler de å rotere alle nøkler prossesert i Expedition.

Thursday, 14 November 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.11.14

Sikkerhetsoppdateringer for Zoom og Chrome. Bitdefender lanserer dekrypteringsverktøy for ShrinkLocker-ransomware.


Sikkerhetsoppdateringer for Zoom og Chrome

Zoom har lansert oppdateringer som retter opp i seks sikkerhetsfeil, inkludert to alvorlige sårbarheter som kunne tillate hackere å eskalere rettigheter eller lekke sensitiv informasjon. Sårbarhetene berører Zoom Workplace App, Rooms Client, Rooms Controller, Video SDK, Meeting SDK og Workplace VDI Client for Windows.

Google har også lansert Chrome 131 med oppdateringer som retter opp i 12 sårbarheter, inkludert en alvorlig feil i Blink og seks mindre alvorlige feil. Brukere oppfordres til å oppdatere programvaren sin så snart som mulig.

Bitdefender lanserer dekrypteringsverktøy for ShrinkLocker-ransomware

Bitdefender lanserte nylig et dekrypteringsverktøy for den nye ransomware-varianten ShrinkLocker. Skadevaren ble først oppdaget av Kaspersky i mai tidligere i år.

ShrinkLocker skiller seg fra tradisjonelle ransomware-varianter ved å bruke BitLocker til å kryptere filene på systemet med et tilfeldig generert passord som sendes til angriperen. Bitdefenders dekrypteringsverktøy fungerer ved å reversere prosessen der ShrinkLocker fjerner beskyttelsene fra BitLocker-diskene. Ofrene må laste ned verktøyet på en USB-enhet og følge spesifikke trinn for å dekryptere dataene.

Wednesday, 13 November 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.11.13

Kritiske sårbarheter i Citrix Virtual Apps and Desktops. Microsoft, Adobe og SAP-sårbarheter for november 2024. Fortinet gir ut oppdateringer for flere produkter.


Kritiske sårbarheter i Citrix Virtual Apps and Desktops

HelseCERT melder at Citrix den 12. november varslet om sårbarheter i Citrix Session Recording, en komponent i Citrix Virtual Apps and Desktops. Sårbarhetene ble funnet av watchTowr Labs, som hevder at de kan utføres uten autentisering og at konsekvensene er mye høyere enn Citrix selv påstår.

Vellykket utnyttelse gjør det mulig for angriper å:

  • Oppnå NetworkService-tilgang med en domenebruker (CVE-2024-8068)

  • Kjøre kode på Citrix-serveren dersom man har NetworkService-tilgang (CVE-2024-8069)

Ifølge Citrix forutsetter utnyttelse at angriper har en autentisert bruker. WatchTowr Labs, som først oppdaget sårbarheten, mener at den kan utnyttes uten autentisering.

Vellykket utnyttelse gir angriper "begrenset mulighet" til å kjøre kode på Citrix Virtual Apps and Desktops serveren ifølge Citrix. WatchTowr Labs hevder at konsekvensene er mye større og gir angriper full kontroll på serveren.

Sårbarhetene har fått en CVSS score på 5.1 (MEDIUM) fra Citrix, men HelseCERT anser sårbarhetene som kritiske basert på usikkerheten rundt hva som kreves for å utnytte den og konsekvensene av utnyttelse.

Utnyttelseskode er tilgjengelig og HelseCERT er kjent med at sårbarheten utnyttes aktivt.

Anbefaling:

Sårbare enheter bør oppdateres så fort som mulig!

Microsoft, Adobe og SAP-sårbarheter for november 2024

JustisCERT melder at Microsoft sin oppdatering for november 2024 retter 89 Microsoft CVE, hvor 4 er vurdert som kritiske og 83 som alvorlige. Flere av sårbarhetene kan utnyttes til fjernkjøring av kode, gi utvidede rettigheter og/eller til å ta kontroll over brukere og systemer. De kritiske sårbarhetene berører Airlift.microsoft.com (CVE-2024-49056 med CVSS-score 7.3/6.4), Windows Kerberos (CVE-2024-43639 med CVSS-score 9.8/8.5), Microsoft Windows VMSwitch (CVE-2024-43625 med CVSS-score 8.1/7.1 og .NET and Visual Studio (CVE-2024-43498 med CVSS-score 9.8/8.5). I tillegg har Microsoft rettet 31 CVE siden forrige patche-tirsdag som berører Microsoft Edge Chromium.

Nye oppdateringer til Microsoft Exchange Server (on prem/hybrid) har også blitt publisert. Exchange-sårbarheten som er rettet er kategorisert som alvorlig og har CVSS-score 7.5/6.7 (CVE-2024-49040).

Adobe har også publisert 8 bulletiner som dekker 48 CVE hvor 28 er vurdert som kritisk (CVSS-score til og med 7.8). Flere av sårbarhetene gjør det mulig for angriper å kjøre vilkårlig kode. De kritiske sårbarhetene berører Adobe After Effects, Adobe Substance 3D Painter, Adobe Illustrator, Adobe InDesign, Adobe Photoshop og Adobe Commerce.

SAP Security Patch Day for november 2024 inneholder 8 nye bulletiner med CVSS-score til og med 8.8 (alvorlig).

Fortinet gir ut oppdateringer for flere produkter

Fortinet har gitt ut oppdateringer for FortiAnalyzer, FortiClient og FortiOS. Se oppsummeringen fra CISA for mer detaljer.

Tuesday, 12 November 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.11.12

FBI: Hackere bruker falske politiforespørsler for å stjele persondata. Nye råd skal gi tryggere datasentertjenester. Veeam gir ut patch for alvorlig svakhet i Backup Enterprise Manager.


FBI: Hackere bruker falske politiforespørsler for å stjele persondata

FBI har utstedt en advarsel om at hackere utnytter lovlige system for dataforespørsler til å stjele brukerdata fra amerikanske teknologiselskaper. Etter å ha kompromittere e-postadresser tilhørende politi og myndigheter, sender hackerne falske "nødforespørsler" for å få tilgang til sensitiv informasjon som e-postadresser og telefonnumre tilhørende kunder.

FBI har observert en økning i slike angrep siden august, og advarer nå om at kriminelle aktivt selger tilgang til kompromitterte kontoer og tjenester for å utføre disse angrepene. Hackerne utnytter systemet for nødforespørsler, som er ment for å gi politiet rask tilgang til data i tilfeller der det er fare for liv eller eiendom, uten å måtte innhente rettslig godkjennelse.

Nye råd skal gi tryggere datasentertjenester

Stadig flere kritiske samfunnsfunksjoner og -verdier legges over på digital infrastruktur. Det gjør datasentre til en sentral leverandør for norske virksomheter. God kunnskap er viktig når virksomheter skal kjøpe datasentertjenester.

NSM og Nkom står bak felles råd for å bistå offentlige og private virksomheter i kjøpsprosessen. Rapporten er et hjelpemiddel i anbuds- og anskaffelsesprosesser, og tar opp ulike tema virksomheter bør ta stilling til ved anskaffelse av datasentertjenester. Gode risikovurderinger må ligge i bunn. For å hjelpe virksomhetene, er en egen sjekkliste for vurderingspunkter i form av et eget regneark tilgjengelig.

Veeam gir ut patch for alvorlig svakhet i Backup Enterprise Manager

Veeam har lansert en oppdatering for en alvorlig autentiseringsfeil (CVE-2024-40715) i Backup Enterprise Manager. Sårbarheten kan utnyttes av en ekstern angriper via et man-in-the-middle (MiTM) angrep for å omgå autentisering. Veeam anbefaler brukere å installere oppdatering for Backup Enterprise Manager versjon 12.2.0.334 eller oppgradere til den nyeste versjonen av Veeam Backup & Replication.

Sophos advarer samtidig om at ransomware-grupper nå utnytter en tidligere Veeam-sårbarhet (CVE-2024-40711) for å installere skadevare.

Sårbarheter:

 
>