Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Monday, 22 June 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.22

Uoppdaterbar «usbliter8» utnyttelse bryter Apples SecureROM oppstartskjede på A12- og A13-brikker. Hackere utnytter Gravity SMTP feil i WordPress for å hente ut API nøkler.

Uoppdaterbar «usbliter8» utnyttelse bryter Apples SecureROM oppstartskjede på A12- og A13-brikker

Forskerne i Paradigm Shift har publisert en fungerende utnyttelse kalt usbliter8 som gir vilkårlig kodekjøring i SecureROM på Apples A12- og A13-brikker. Feilen skyldes en maskinvarefeil i Synopsys DWC2 USB-kontrolleren der håndteringen av USB Setup pakker via DMA kan føre til en repeterbar buffer underflyt som flytter skrivepekeren bakover i minnet. På berørte enheter er USB DART konfigurert i bypass modus i SecureROM, noe som gjør det mulig å overskrive vilkårlig SRAM og oppnå kontroll over kjøringen. Utnyttelsen krever fysisk tilgang til enheten, DFU-modus og en RP2350-basert mikrokontroller koblet via USB, og fullføres før Apples signerte oppstartskjede lastes. På A12 oppnås kontroll ved å overskrive en lagret link registerverdi, mens A13 krever omgåelse av Pointer Authentication (PAC) gjennom flere steg som manipulerer DART-relaterte strukturer og avbruddshåndterere. Etter vellykket utnyttelse kan angriperen starte usignerte iBoo avbilder uten signaturkontroll og omgå Apples tillitskjede. Ingen kompromittering av Secure Enclave er demonstrert, men forskerne peker på at BootROM kontroll kan åpne nye angrepsveier mot denne komponenten. Per 19. juni 2026 er ingen aktiv utnyttelse rapportert offentlig, og ingen programvareoppdatering kan rette feilen fordi SecureROM er permanent programmert i maskinvaren.

Anbefaling:

Kartlegg og erstatt A12-, A13-, S4- og S5-baserte enheter i sensitive miljøer med A14-baserte eller nyere enheter.

Hackere utnytter Gravity SMTP feil i WordPress for å hente ut API nøkler

Et aktivt utnyttet sårbarhet i Gravity SMTP pluginen for WordPress eksponerer sensitiv konfigurasjonsinformasjon fra nettsteder som kjører sårbare versjoner av pluginen. Sårbarheten, CVE-2026-4020, skyldes en REST API endepunkt som er tilgjengelig uten autentisering og returnerer en omfattende systemrapport med serverdetaljer, WordPress konfigurasjon, aktive plugins og lagrede integrasjonshemmeligheter. Angripere kan hente ut API nøkler, SMTP legitimasjon, OAuth tokens og andre hemmeligheter gjennom en enkel HTTP forespørsel mot /wp-json/gravitysmtp/v1/tests/mock-data. Feilen påvirker Gravity SMTP versjon 2.1.4 og eldre, og pluginen er installert på rundt 100 000 WordPress nettsteder. Det er observert omfattende utnyttelse i praksis, med millioner av blokkerte angrepsforsøk og hundrevis av observerte angriper IPer. Eksponerte legitimasjonsdata kan brukes til misbruk av e-posttjenester, utsending av spam, phishing eller videre kompromittering av berørte miljøer.

Anbefaling:

Oppgrader Gravity SMTP til versjon 2.1.5 eller nyere og roter alle SMTP passord, API nøkler og OAuth tokens som har vært konfigurert i pluginen.

Sårbarheter:

Posted by tsoc at 12:05 0 comments

Friday, 19 June 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.19

Skjult i Teams: DragonForce misbruker Microsoft Teams-reléer for å skjule bakdører.

Skjult i Teams: DragonForce misbruker Microsoft Teams-reléer for å skjule bakdører

DragonForce angripere skjulte kommando og kontrolltrafikk inne i Microsoft Teams sin reléinfrastruktur under et ransomware angrep mot et større amerikansk selskap. De benyttet en spesialutviklet Go basert RAT kalt Backdoor.Turn, som er den første kjente skadevaren som misbruker Microsoft Teams sine TURN reléservere for å maskere C2 trafikk. Backdoor.Turn henter et anonymt Teams besøkstoken fra Microsofts Skype baserte identitetstjenester, etablerer forbindelse via en legitim TURN relétjeneste og oppretter deretter en QUIC sesjon mot angripernes server. For nettverksforsvarere fremstår trafikken som legitime forbindelser til Microsoft Teams servere. Angriperne oppholdt seg i miljøet mellom én og to måneder. Kampanjen benyttet også Bring Your Own Vulnerable Driver (BYOVD) og en tidligere ukjent utnyttelse av Huawei driveren HWAuidoOs2Ec.sys for å omgå sikkerhetsmekanismer.

Anbefaling:

Overvåk og analyser uvanlig Microsoft Teams relatert nettverkstrafikk som etablerer vedvarende forbindelser via TURN reléer.

Posted by tsoc at 12:18 0 comments

Thursday, 18 June 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.18

«FortiBleed» eksponerer VPN-legitimasjon for titusenvis av Fortinet-enheter.

«FortiBleed» eksponerer VPN-legitimasjon for titusenvis av Fortinet-enheter

En omfattende datasamling kalt «FortiBleed» inneholder tilsynelatende gyldige VPN- og admin-legitimasjoner for rundt 74 000 Fortinet/FortiGate-enheter globalt. Datasettet, oppdaget av sikkerhetsforsker Bob Diachenko, inkluderer brukernavn, e‑postadresser og klartekstpassord knyttet til over 21 000 organisasjoner i 194 land. Flere store selskaper og kritiske sektorer er representert, og enkelte legitimasjoner er bekreftet som ekte.

Ifølge funnene stammer dataene trolig fra en langvarig credential-harvesting-kampanje med massiv brute force-aktivitet mot blant annet FortiGate SSL VPN og Microsoft SQL Server. Angriperne skal også ha fanget opp autentiseringshashes, knekt dem med GPU-klynger og brukt tilgangene til lateral bevegelse inn i interne Active Directory-miljøer. Datasettet inneholder detaljerte logger over vellykkede innbrudd og informasjon om målorganisasjoner, noe som tyder på strukturert og vedvarende aktivitet.

Opprinnelsen til lekkasjen er ikke fullt avklart. Fortinet sier selv at dataene trolig er en samling fra tidligere hendelser og bruteforce-angrep, og ikke knyttet til en ny sårbarhet. Likevel viser analyser at mange av de kompromitterte enhetene fortsatt er tilgjengelige på nett, ofte med eksponerte administrasjonsgrensesnitt.

Berørte virksomheter bør umiddelbart rotere passord, aktivere multifaktorautentisering (MFA), gjennomgå logger for mistenkelig aktivitet og kartlegge eventuell kompromittering av brukerkontoer. Det finnes også verktøy for å sjekke om man er påvirket, "Fortibleed Lookup".

Posted by tsoc at 12:25 0 comments

Wednesday, 17 June 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.17

ClickFix-kampanjer sprer nye malware-loadere via falske oppdateringer.

ClickFix-kampanjer sprer nye malware-loadere via falske oppdateringer

Flere pågående ClickFix-kampanjer bruker sosial manipulering for å lure brukere til å kjøre PowerShell-kommandoer som installerer nye loadere som BabaDeda, Lorem Ipsum og Potemkin. Disse laster ned infostealere, RATs og i noen tilfeller ransomware, ofte via teknikker som in-memory kjøring, DLL side-loading og skjulte payloads.

Kampanjene bruker kompromitterte WordPress-sider og falske nettleseroppdateringer for å nå mange brukere. Aktører som Vanilla Tempest kobles til aktivitet som kan ende i ransomware-angrep. Potemkin skiller seg ut ved bruk av domain generation (DGA) og videre manuell kompromittering med lateral spredning i nettverk.

ClickFix fungerer fordi brukere følger tilsynelatende legitime instruksjoner, og er spesielt skummelt der brukeren har forhøyede rettigheter.

Anbefaling:

Unngå å lime inn kommandoer fra nettsider, og styrk overvåking av PowerShell og uvanlig prosessaktivitet. Generell brukeropplæring og bevisstgjøring rundt sikkerhet.

Posted by tsoc at 11:40 0 comments

Tuesday, 16 June 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.16

En-klikks sårbarhet i Microsoft 365 Copilot muliggjør datatyveri via e-post. Kinesiske hackere misbrukte Google Workspace-regler for å stjele forsknings- og forsvarsrelaterte e-poster. Nord-Korea med målrettede angrep mot utviklere og automatiserte arbeidsflyter.

En-klikks sårbarhet i Microsoft 365 Copilot muliggjør datatyveri via e-post

En kritisk sårbarhet (CVE-2026-42824) i Microsoft 365 Copilot kunne ha gjort det mulig for angripere å hente ut sensitive data som e‑poster, filer og MFA‑koder via ett enkelt klikk på en legitim Microsoft‑lenke. Angrepet, kalt SearchLeak, utnyttet en kombinasjon av flere feil, inkludert prompt injection, for å få Copilot til å hente og eksfiltrere data uten brukerinteraksjon. Sårbarheten er nå rettet av Microsoft, og det finnes ingen indikasjoner på aktiv utnyttelse. Hendelsen illustrerer økt risiko knyttet til AI‑integrasjoner og behovet for strengere datastyring og overvåkning.

Anbefaling:

Gjennomgå og implementer Microsofts oppdaterte sikkerhetsmekanismer for Microsoft 365 Copilot og overvåk bruk av eksternt innhold i Copilot-arbeidsflyter.

Sårbarheter:

Kinesiske hackere misbrukte Google Workspace-regler for å stjele forsknings- og forsvarsrelaterte e-poster

En Kina-tilknyttet spionasjegruppe kalt UNC6508 oppholdt seg i nordamerikanske medisinske, akademiske og militære forskningsmiljøer i over ett år og stjal sensitiv e-postkommunikasjon. Innledende tilgang ble oppnådd gjennom kompromitterte eksternt eksponerte REDCap-servere ("sikker" nettapplikasjon for å bygge og administrere nettbaserte spørreskjemaer og databaser), hvor skadevaren INFINITERED ble installert for å opprettholde tilgang, samle inn brukernavn og passord, og fungere som en bakdør. INFINITERED modifiserte REDCap-systemfiler, gjeninnsatte seg selv ved oppgraderinger, lagret innloggingsdata kryptert i databasen og mottok kommandoer via HTTP-cookies. Etter å ha oppnådd administrative rettigheter misbrukte gruppen Google Workspace sin funksjon for innholdsregler («content compliance rules») ved å opprette en regel som overvåket nær 150 nøkkelord og automatisk sendte kopier av treffende e-poster til en Gmail-konto kontrollert av angriperne. Metoden krevde ingen egen skadevare på e-postsystemet og genererte ikke unormal nettverkstrafikk fordi den benyttet innebygde funksjoner i Google Workspace. Aktiviteten er observert fra september 2023 til november 2025, og målene inkluderte forsvarsrelatert forskning, geopolitikk, avansert teknologi, offensive cyberprogrammer og medisinsk forskning.

Anbefaling:

Oppdater og fjern gamle REDCap-versjoner, gjennomgå Google Workspace-regler for videresending/BCC til eksterne adresser, kontroller administrasjonslogger for regelendringer, jakt på indikatorer knyttet til INFINITERED og innfør phishing-resistent MFA på administratorkontoer.

Nord-Korea med målrettede angrep mot utviklere og automatiserte arbeidsflyter

Nordkoreanske trusselaktører gjennomfører en omfattende phishingkampanje (bl.a. UNK_DeadDrop) rettet mot utviklere, der ofre lokkes med falske jobbtilbud eller forespørsler om kodegjennomgang.
E‑postene peker til tilsynelatende legitime GitHub‑repos som, når de åpnes i verktøy som VS Code eller Cursor, automatisk kjører skjult kode og installerer skadevare.
Angrepet utnytter utviklerverktøy og arbeidsflyt som leveransekanal, og gir angriperne tilgang til kryptolommebøker, legitimasjon og andre sensitive data.
Aktiviteten har tydelige likhetstrekk med MITRE‑gruppen Contagious Interview (G1052), som er kjent for å målrette utviklere for økonomisk gevinst og etterretning.

Telenor anbefaler å alltid verifisere kilder før du åpner ukjente repositories, begrense automatisk kjøring av oppgaver i utviklingsverktøy, og overvåk bruk av tredjeparts kode og extensions tett.

Posted by tsoc at 12:03 0 comments

Monday, 15 June 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.15

Over 400 Arch Linux-pakker kompromittert for å distribuere rootkit og informasjonsstjeler. Kritisk Splunk-sårbarhet muliggjør uautentisert RCE.

Over 400 Arch Linux-pakker kompromittert for å distribuere rootkit og informasjonsstjeler

Over 400 pakker i Arch User Repository (AUR) har blitt kompromittert og brukt til å distribuere skadevare som kombinerer informasjons stjeling og et Linux-rootkit. En ny vedlikeholder utga seg for å være en betrodd publisist og modifiserte pakker slik at et installasjonsskript ble lastet ned og kjørte en ondsinnet npm pakke, "atomic lockfile." Denne pakken installerte et ELF-program kalt "deps", som er beskrevet som en legitimasjonsstjeler med valgfrie eBPF rootkit-funksjoner som kan skjule prosesser i systemet. Berørte komponenter er AUR pakker, PKGBUILD skript og den ondsinnede npm-pakken "atomic lockfile." Skadevaren retter seg mot GitHub-legitimasjon, SSH-artefakter, HashiCorp Vault token, nettleser cookies, samt Slack-, Discord-, Microsoft Teams- og Telegram-data. Analysen viste også funksjoner for arkivering av data, håndtering av flerdelte filer og HTTP-opplasting for eksfiltrering av innsamlet informasjon. AUR vedlikeholdere arbeider med å identifisere og fjerne ondsinnede endringer samt blokkere kontoene som distribuerte dem.

Anbefaling:

Gjennomgå listen over berørte pakker og indikatorene på kompromittering, og roter alle legitimasjoner dersom kompromitterte pakker er installert.

Kritisk Splunk-sårbarhet muliggjør uautentisert RCE

Splunk har publisert sikkerhetsoppdateringer for en kritisk sårbarhet (CVE-2026-20253) i Splunk Enterprise som kan gi angripere uautorisert tilgang til filoperasjoner og i verste fall remote code execution (RCE) – uten autentisering. Feilen har CVSS-score på 9,8 og påvirker versjoner før 10.0.7 og 10.2.4.

Sårbarheten skyldes manglende autentiseringskontroll i en PostgreSQL sidecar-tjeneste, som eksponerer endepunktene /v1/postgres/recovery/backup og /v1/postgres/recovery/restore. En angriper kan utnytte disse til å laste inn en ondsinnet database-dump og få SQL-kode kjørt direkte i Splunks lokale PostgreSQL-instans.

Angrepskjeden gjør det mulig å skrive vilkårlige filer til filsystemet ved hjelp av funksjoner som lo_export. Dette kan eskaleres til RCE ved å overskrive eksisterende Python-skript som Splunk kjører regelmessig, og dermed injisere en payload. Splunk Cloud er ikke berørt, da den ikke bruker PostgreSQL sidecars.

Det er foreløpig ingen bekreftet aktiv utnyttelse, men detaljerte exploit-beskrivelser er offentlig tilgjengelige. Dette øker risikoen for rask utnyttelse. Det anbefales å oppgradere til versjon 10.0.7 eller 10.2.4 umiddelbart og begrense nettverkstilgang til berørte tjenester.

Posted by tsoc at 12:04 0 comments

Friday, 12 June 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.12

Oracle reduserer risikoen fra PeopleSoft nulldag utnyttet i datatyveriangrep. Huawei HG532 ruter – fortsatt risiko knyttet til gammel sårbarhet i utgått utstyr. Microsoft Teams for Android sårbarhet kan lekke sensitiv informasjon.

Oracle reduserer risikoen fra PeopleSoft nulldag utnyttet i datatyveriangrep

En kritisk nulldagsårbarhet i Oracle PeopleSoft PeopleTools sporet som CVE-2026-35273 er brukt i aktive datatyveriangrep og muliggjør fjernkjøring av kode uten autentisering. Sårbarheten påvirker PeopleSoft Enterprise PeopleTools versjon 8.61 og 8.62 og har en CVSS-score på 9.8. Feilen ligger i PeopleTools komponenten, og vellykket utnyttelse gir angriperen mulighet til å kjøre kode på systemet uten innlogging. ShinyHunters har bekreftet at de står bak angrepene og oppgir at de brukte en kjede av eldre sårbarheter og nulldag feil for å kompromittere PeopleSoft installasjoner. Ifølge opplysningene skal data ha blitt stjålet fra 300 instanser hos mer enn 100 organisasjoner. Oracle har publisert nødtiltak for å redusere risikoen mens en permanent sikkerhetsoppdatering er under utvikling.

Anbefaling:

Implementer Oracles publiserte nødtiltak for CVE-2026-35273 og undersøk logger for trafikk fra de oppgitte IP adressene knyttet til angrepene.

Sårbarheter:

Huawei HG532 ruter – fortsatt risiko knyttet til gammel sårbarhet i utgått utstyr

Det er observert fornyet aktivitet knyttet til en gammel og kjent sårbarhet i Huawei HG532; CVE-2017-17215, som kan gi angriper mulighet til å kjøre kommandoer eller kode på sårbare enheter. Sårbarheten ble opprinnelig kjent i 2017 og gjelder eldre hjemmerutere/gatewayer fra Huawei.

Sårbarheten gir en angriper mulighet til å

  • Kjøre vilkårlig kode på enheten

  • Ta full kontroll over routeren (altså se all ukryptert data som går gjennom den)

  • Rekruttere enheten til botnet, typisk varianter av Mirai

Saken er særlig relevant fordi dette i stor grad gjelder utstyr som er utenfor støtte (End of Service / EOL) fra produsenten. Huawei opplyser selv at anbefalt håndtering for slike produkter er å benytte midlertidige sikringstiltak eller å erstatte enheten, fremfor å basere seg på ordinære sikkerhetsoppdateringer.

Trusselen vurderes fortsatt som relevant fordi sårbarheten fremdeles blir utnyttet med høy og vedvarende aktivitet i aktive kampanjer.

Det er grunn til å anta at deler av dette utstyret fortsatt er i bruk, også i Norge. Åpne kilder indikerer at et tosifret antall enheter er offentlig eksponert nasjonalt, og flere tusen globalt.

Virksomheter bør identifisere om Huawei HG532 eller annet tilsvarende utgått nettverksutstyr fortsatt er i drift, og prioritere utfasing eller utskifting. Dersom utskifting ikke kan gjennomføres umiddelbart, bør enheten skjermes fra internett, plasseres bak brannmur og følges opp med kompenserende tiltak.

Sårbarheter:

Microsoft Teams for Android sårbarhet kan lekke sensitiv informasjon

Microsoft har publisert en sikkerhetsoppdatering for en høyrisiko sårbarhet i Microsoft Teams for Android, identifisert som CVE-2026-42835. Sårbarheten skyldes mangelfull håndtering av data som sendes til underliggende komponenter i applikasjonen, noe som kan føre til uautorisert informasjonslekkasje over nettverk. En angriper med gyldig tilgang til Teams miljøet kan potensielt utnytte svakheten til å hente ut sensitiv informasjon. Microsoft har klassifisert sårbarheten med en CVSS-score på 8.1 (High). Berørte versjoner omfatter Teams for Android før versjon 1.0.76.2026111302, og Microsoft har publisert oppdateringer som adresserer problemet.

Anbefaling:

Oppdater Microsoft Teams for Android til nyeste tilgjengelige versjon umiddelbart. Organisasjoner bør verifisere at mobile enheter administrert gjennom MDM eller Intune løsninger mottar oppdateringen. Gjennomgå mobile sikkerhetspolicyer og sørg for at Teams klienter behandles som en del av virksomhetens kritiske infrastruktur. Overvåk også for uvanlig tilgang til Teams-relatert informasjon og autentiserte brukerkontoer.

Sårbarheter:

Posted by tsoc at 12:16 0 comments
Subscribe to: Posts (Atom)
 
>