Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Wednesday, 3 December 2025

Daglig nyhetsbrev fra Telenor Cyberdefence - 2025.12.03

Google fikser 107 sårbarheter – to Zero-day sårbarheter.

Google fikser 107 sårbarheter – to Zero-day sårbarheter

Google har publisert desember oppdateringen for Android med totalt 107 sikkerhetsfikser. Blant dem er to Zero-day sårbarheter (CVE-2025-48633 og CVE-2025-48572) som er mistenkt brukt i målrettede angrep. Sårbarhetene omfatter informasjonslekasje og privilegie eskalering, og rammer Android versjoner 13 til 16. Oppdateringen inkluderer også kritiske feilrettinger i Kernel og komponenter fra leverandører som Qualcomm og MediaTek, samt en DoS-feil i rammeverket (CVE-2025-48631) som vurderes som den mest alvorlige.

Anbefaling:

Det anbefales å oppdater Android-enheter til patch-nivå 2025-12-05 (eller senere), slik at sårbarhetene kan bli dekket.

Posted by tsoc at 13:25 0 comments

Tuesday, 2 December 2025

Daglig nyhetsbrev fra Telenor Cyberdefence - 2025.12.02

Tredje bølge av GlassWorm skadevare med ondsinnede VS Code-pakker.

Tredje bølge av GlassWorm skadevare med ondsinnede VS Code-pakker

Skadevare kampanjen GlassWorm, som tidligere har kompromittert utvidelser i VS Code og Open VSX-markedet, har nå lansert en tredje bølge med 24 nye ondsinnede pakker. Når en utvidelse installeres kan GlassWorm stjele legitimasjon for GitHub, npm, OpenVSX, samt kryptolommebokdata. Den kan også sette opp en SOCKS-proxy og en HVNC-klient for fjernkontrollering av maskinen.

Anbefaling:

Sjekk ut pakkene det gjelder fra nyhetsartikkelen i References. I tillegg bør man vurdere å deaktivere automatisk oppdatering av utvidelser.

Posted by tsoc at 10:14 0 comments

Monday, 1 December 2025

Daglig nyhetsbrev fra Telenor Cyberdefence - 2025.12.01

GitLab patcher flere sårbarheter som muliggjør autentiseringsomgåelse og DoS angrep. Nordkoreanske hackere utnytter npm, GitHub og Vercel til å levere OtterCookie skadevare.

GitLab patcher flere sårbarheter som muliggjør autentiseringsomgåelse og DoS angrep

GitLab har den 26. november 2025 gitt ut nye versjoner (18.6.1, 18.5.3 og 18.4.5 for både CE og EE) som patcher flere alvorlige sårbarheter. Oppdateringene løser feil som kunne la angripere omgå autentisering (login bypass), stjele påloggingsinformasjon, eller utløse server overbelastning (DoS).

Anbefaling:

Oppdater alle egne (self-managed) GitLab instanser umiddelbart til versjon 18.6.1, 18.5.3 eller 18.4.5.

Nordkoreanske hackere utnytter npm, GitHub og Vercel til å levere OtterCookie skadevare

Ifølge analysen bak Contagious Interview kampanjen har statssponsede nordkoreanske hackere siden 10. oktober 2025 publisert minst 197 ondsinnede npm pakker med over 31 000 nedlastinger som distribuerer malware kjent som OtterCookie. Angrepene bruker typosquatting (dvs. pakker med navn som ligner populære biblioteker), og ondsinnet kode installerere via “postinstall” skript som automatisk henter og kjører payload fra kompromitterte servere. Når installasjonen skjer, kan malware stjele sensitiv informasjon, som data fra systemer, cryptocurrency lommebøker, nettleserprofiler og filer, opprette bakdører, og gi angriperne permanent tilgang på tvers av plattformer (Windows, macOS, Linux)

Anbefaling:

Gjennomfør umiddelbar gjennomgang av alle npm avhengigheter spesielt pakker med uvanlige/nylige navn eller som ikke er kjente biblioteker. Unngå å bruke pakker uten klar kilde, og unngå “typosquatted” eller tvilsomme biblioteknavn. Implementer strengere kontroll i bygge- og deploy pipeline: bruk “allow-list” (bare kjente/validerte pakker), og analyser “postinstall” skript for uventet nettverkstrafikk eller ekstern kode henting.

Posted by tsoc at 12:44 0 comments

Thursday, 27 November 2025

Daglig nyhetsbrev fra Telenor Cyberdefence - 2025.11.27

Microsoft forsterker sikkerheten for Microsoft Entra ID-innlogging mot script-injekson.

Microsoft forsterker sikkerheten for Microsoft Entra ID-innlogging mot script-injekson

Microsoft planlegger å oppdatere sikkerheten for Entra ID-autentisering slik at eksterne script-injeksjonsangrep (som cross-site scripting / XSS) blir blokkert. Fra midten til slutten av oktober 2026 vil innlogging via nettleser på adresser som begynner med login.microsoftonline.com bare tillate skript fra Microsoft-støttede CDN-domener og inline-skript fra betrodde Microsoft-kilder.

Anbefaling:

Organisasjoner bør teste alle sine sign-in-flows i forkant av oktober 2026, med developer-konsollen, åpen blokkeringer vil vises som røde feilmeldinger.Unngå bruk av nettleserutvidelser eller verktøy som injiserer egenkode på innloggingssider («code-injection tools»), disse vil slutte å fungere etter deployeringen.

Posted by tsoc at 09:57 0 comments

Wednesday, 26 November 2025

Daglig nyhetsbrev fra Telenor Cyberdefence - 2025.11.26

Spredning av Sha1-Hulud skadevarekampanje.

Spredning av Sha1-Hulud skadevarekampanje

I september 2025 ble en selvrepliserende orm flagget som skadevare for leverandørkjedeangrep. Angrepet, kalt "Shai-Hulud" (etter sandormene i Dune-universet), påvirket over 500 npm-pakker (node package manager) og hadde som hovedmål å tilegne seg innloggingsinformasjon og annen hemmelig informasjon fra utviklere.

24.november 2025 gikk det ut informajson om at en orm med lignende egenskaper som Shai-Hulud hadde blitt observert. JavaScript pakkesystemet npm, som brukes av Node.js, ble rammet av skadevarekampanjen som har fått tilnavnet "Sha1-Hulud: The Second Coming." På det meste skal over 1000 npm-pakker være rammet, blant annet populære fra Postman, ENS, AsyncAPI, PostHog og Zapier. Ormen kamufleres som en trojaner og under installasjon av en kompromittert pakke vil ormen også installere seg selv og søke etter innloggingsdetaljer til blant annet GitHub, skytjenester som AWS, Azure og GCP, og npm.

 Om ormen lykkes, publiseres informasjonen på et offentlig GitHub-repo med offerets konto. Den forsøker også å spre seg selv ved å misbruke npm-innlogging til å infisere pakker offeret har ansvar for.

 Per 24.november 2025 melder Wiz (https://www.wiz.io) om mer at mer enn 350 unike brukere og over 25 000 repoer er påvirket av skadevaren.

I denne andre bølgen introduserer Sha1-Hulud en langt mer aggressiv reservemekanisme: Hvis skadevaren mislykkes i å autentisere seg eller etablere vedvarende tilgang, forsøker den å ødelegge hele offerets hjemmekatalog. Spesifikt sletter skadevaren hver skrivbar fil som tilhører den nåværende brukeren i deres hjemmemappe. Denne destruktive logikken utløses kun når alle følgende betingelser er oppfylt:

  • Den ikke kan autentisere seg mot GitHub

  • Den ikke kan opprette et GitHub-lager

  • Den ikke kan hente et GitHub-token

  • Den ikke kan finne et NPM-token

Det vil si, dersom skadevaren ikke greier å tilegne seg innloggingsinformasjon, innhente tokens eller sikre seg en kanal for datautfiltrering, vil den ty til katastrofal dataødeleggelse.

Det er per i dag ikke kjent hvem som står bak Sha1-Hulud, men mye tyder på at det er samme aktør som står bak angrepene i august og september.

For oversikt over hvilke pakker dette gjelder, se vedlagte lenker.

Posted by tsoc at 12:37 0 comments

Tuesday, 25 November 2025

Daglig nyhetsbrev fra Telenor Cyberdefence - 2025.11.25

Microsoft WSUS Remote Code Execution (CVE-2025-59287).

Microsoft WSUS Remote Code Execution (CVE-2025-59287)

En kritisk sårbarhet (RCE) i Windows Server Update Services (WSUS) ble identifisert 14. oktober 2025 og er katalogisert som CVE‑2025‑59287 (CVSS 9,8). Sårbarheten tillater en angriper, uten autentisering å kjøre vilkårlig kode med systemrettigheter på en WSUS-server. Den ble aktivt utnyttet i felten, og ble ført opp i Cybersecurity and Infrastructure Security Agency’s (CISA) katalog over kjente utnyttede sårbarheter 24. oktober. Feilen skyldes usikker deserialisering av ukontrollerte data via endepunktene GetCookie() og ReportingWebService i WSUS-rollen. Berørte systemer inkluderer Windows Server 2012, 2012 R2, 2016, 2019, 2022 (inkl. 23H2) og 2025, men kun der WSUS-rollen er aktivert. Angripere har blant annet benyttet standard TCP-porter 8530/8531 for WSUS med kjede­kommandoer som peker mot PowerShell og intern rekognosering/exfiltrasjon.

Anbefaling:

Installer Microsofts ut-av-norm-oppdatering (out-of-band) fra 23. oktober 2025 umiddelbart. Hvis ikke mulig: midlertidig deaktivér WSUS-serverrollen eller blokker TCP-porter 8530 og 8531 for innkommende trafikk på brannmuren. Gjennomfør aktiv jakt (threat-hunting) etter kjennetegn på utnyttelse, som etterfølgende prosesskjeder etter wsusservice.exe eller w3wp.exe med «wsuspool». Segmenter nettverket slik at WSUS-servere ikke er eksponert mot offentlige nettverk, og kontroller aktiva-kartlegging for å identifisere WSUS-instanser eksponert mot internett.

Sårbarheter:

Posted by tsoc at 09:41 0 comments

Monday, 24 November 2025

Daglig nyhetsbrev fra Telenor Cyberdefence - 2025.11.24

CISA advarer om aktivt utnyttet sårbarhet i Oracle Identity Manager. Hackere utnytter 7-Zip RCE sårbarhet aktivt via ondsinnede ZIP symlinks.

CISA advarer om aktivt utnyttet sårbarhet i Oracle Identity Manager

CISA har lagt til sårbarheten CVE-2025-61757, en kritisk feil i Oracle Identity Manager (versjon 12.2.1.4.0 og 14.1.2.1.0), i sin “Known Exploited Vulnerabilities”liste etter at det er bevist at den utnyttes aktivt. Sårbarheten skyldes manglende autentisering som gir en angriper mulighet til fjern-kodekjøring uten å være logget inn. Ved å omgå et sikkerhetsfilter, for eksempel ved å legge til ?WSDL eller ;.wadl i URI, kan angriperen få tilgang til et API endepunkt (/iam/governance/.../groovyscriptstatus) og sende en HTTP POST som injiserer Groovy annotasjoner som blir kjørt ved kompilering og dermed få kontroll. Analyser av honeypot logger fra slutten av august til tidlig september 2025 viste mange slike forespørsler fra forskjellige IP-adresser, noe som tyder på koordinert angrep før patch ble utgitt. Oracle har fikset sårbarheten i sin kritiske oppdatering i oktober 2025, og CISA krever at føderale byråer ruller ut denne patchen innen 12. desember 2025

Anbefaling:

Installer den tilgjengelige oppdateringen fra Oracle Corporation for Identity Manager umiddelbart. . Kontroller alle installerte instanser av Oracle Identity Manager versjon 12.2.1.4.0 eller 14.1.2.1.0, og sett i verk tiltak for å sikre at ingen uautentiserte tilgangspunkter eksisterer. Overvåk tilgangen til API endepunktene nevnt (f.eks. groovyscriptstatus) og se etter mistenkelige HTTP POST forespørsler som kan indikere forsøkt utnyttelse.

Sårbarheter:

Hackere utnytter 7-Zip RCE sårbarhet aktivt via ondsinnede ZIP symlinks

Sårbarheten CVE-2025-11001 i 7-Zip blir nå aktivt utnyttet i angrep, ifølge et sikkerhetsvarsel fra NHS England Digital. Feilen skyldes mangelfull validering av symbolske lenker i ZIP filer, som gjør det mulig for angripere å manipulere filsti håndtering og oppnå remote code execution (RCE) når offeret pakker ut en spesielt konstruert ZIP fil. Dette gjelder primært Windows systemer og kan spesielt misbrukes når 7-Zip kjøres med forhøyede rettigheter, tjenestekontoer, eller på enheter som har Windows Developer Mode aktivert. Sårbarheten ble oppdaget av Ryota Shiga (GMO Flatt Security) og ble utbedret i versjon 7-Zip 25.00 (juli 2025). En relatert svakhet, CVE-2025-11002, omhandler også feil i håndtering av symlinks som kan gi "directory traversal". Proof-of-concept kode er offentlig tilgjengelig, men det er fortsatt ukjent hvem som står bak de aktive angrepene.

Anbefaling:

Oppdater umiddelbart til 7-Zip versjon 25.00 eller nyere, da eldre versjoner er sårbare. 7-Zip har ingen automatisk oppdatering, så administratorer må verifisere og rulle ut oppdateringen manuelt. Begrens bruk av 7-Zip på kontoer med administrative rettigheter eller tjenestekontoer; vurder sandboxing. Unngå å åpne ZIP filer fra ukjente kilder og overvåk endpoints for mistenkelige filoperasjoner knyttet til utpakking.

Posted by tsoc at 12:12 0 comments
Subscribe to: Comments (Atom)
 
>