Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Wednesday, 19 January 2022

2022.01.19 - Nyhetsbrev

Oracle har utgitt en ny pakke med kvartalsvise sikkerhetsoppdateringer. Dette kvartalet er det hele 497 sårbarheter som fikses!

Oracle har utgitt ny pakke med kvartalsvise sikkerhetsoppdateringer

Oracle har i januar kommet ut med sikkerhetsoppdatering som inneholder 497 patcher for flere av deres produkter. Flere av svakhetene lar seg utnytte over Internett til å ta kontroll over sårbare systemer. Tre av sårbarhetene har fått høyeste CVSS alvorlighets-score, altså 10.
Referanser
https://www.oracle.com/security-alerts/cpujan[...]

Tuesday, 18 January 2022

2022.01.18 - Nyhetsbrev

Svakhet i Safari lekker Google-konto ID og nettleser-historie. Trend Micro med rapport om trusselaktøren Earth Luscas aktiviteter, verktøy og infrastruktur.

Svakhet i Safari lekker Google-konto ID og nettleser-historie

En svakhet er funnet i Safari 15 på MacOS, iOS og iPadOS knyttet til den kjente nettleser API-en IndexedDB, som brukes av nettleseren til å lagre lokale brukerdata. Svakheten kan lekke data, inkludert bruker-identitet, til nettsteder der brukeren ikke er innlogget. Dette skyldes at WebKit-implementasjonen i Safari 15 ikke følger IndexedDB sin same-origin policy på korrekt måte. Sikkerhetshullet ble kjent 28. november i fjor, men er fortsatt ikke tettet.
Referanser
https://www.bleepingcomputer.com/news/securit[...]
https://dinside.dagbladet.no/mobil/safari-sva[...]
https://safarileaks.com/

Trend Micro med rapport om trusselaktøren Earth Luscas aktiviteter, verktøy og infrastruktur

Trend Micro har i de siste måndene fulgt trusselaktøren Earth Lusca for å kartlegge aktørens angrepsvektorer, verktøy og motiver. Trusselaktøren retter seg mot organisasjoner globalt via en kampanje som i stor grad bruker sosial manipulering, som phishing og falske nettsider.

Trusselaktøren skanner også etter servere med kjente sårbarheter. Cobalt strike virker å være Earth Luscas foretrukne verktøy. Flere detaljer om metoder, verktøy og infrastruktur finnes i detaljert rapport.
Referanser
https://www.trendmicro.com/en_us/research/22/[...]
https://www.trendmicro.com/content/dam/trendm[...]

Monday, 17 January 2022

2022.01.17 - Nyhetsbrev

Nordkoreanske hackere stjal kryptovaluta verdt millioner i 2021. Russiske FSB arresterte og stengte operasjonen til REvil RaaS-gruppen. Destruktiv ondsinnet malware (wiper) rettet mot Ukrainske organisasjoner.

Nordkoreanske hackere stjal kryptovaluta verdt millioner i 2021

Den nordkoreanske finans-orienterte hackergruppen BlueNoroff (Lazarus) har blitt koblet til flere nettangrep rettet mot små til mellomstore bedrifter. Formålet med angrepene er å stjele kryptovaluta. Angrepene er rettet mot FinTech (finansteknologi) selskaper i Kina, Hong Kong, India, Polen, Russland, Singapore, Slovenia, Tsjekkia, U.A.E., USA, Ukraina og Vietnam.
Referanser
https://thehackernews.com/2022/01/north-korea[...]

Russiske FSB arresterte og stengte operasjonen til REvil RaaS-gruppen

Den russiske føderale sikkerhetstjenesten hevder å ha stengt REvil Ransomware sin operasjon, som har vært aktiv siden 2019. 14 personer er arrestert og 25 adresser er ransaket. Det ble også beslaglagt penger, datamaskiner og 20 luksusbiler. FSB opplyser at aksjonen ble utført med bakgrunn i en henvendelse fra USA.
Referanser
https://therecord.media/fsb-raids-revil-ranso[...]

Destruktiv ondsinnet malware (wiper) rettet mot Ukrainske organisasjoner

Microsoft Threat Intelligence Center har funnet bevis på at det har blitt brukt destruktive virus, forkledd som løsepengevirus, i angrep mot Ukrainske organisasjoner tidligere denne uken. De berørte systemene tilhører statlige organisasjoner, ideelle virksomheter, og IT-selskaper. Hittil er det heldigvis ikke store mengder systemer som er rammet, kun noen titalls.
Referanser
https://www.microsoft.com/security/blog/2022/[...]

Friday, 14 January 2022

2022.01.14 - Nyhetsbrev

Google Chrome vil begrense tilgang til private nettverk. Fem medlemmer av en løsepengevirus-gruppe har blitt arrestert i Ukraina. Orca sin sikkerhets-gruppe har oppdaget en sårbarhet i AWS glue. Stort dataangrep mot flere nettsider tilhørende den Ukrainske regjering.

Google Chrome vil begrense tilgang til private nettverk

Google opplyser at Chrome snart skal blokkere nettsider fra å gjennomføre forespørsler mot enheter og servere på lokale nettverk. For å gjennomføre endringene vil Google implementere en ny W3C-spesifikasjon kalt Private Network Access (PNA). Grunnen til at Google vil gjennomføre disse endringene er fordi nettlesere tidligere har blitt brukt som proxyer for angrep mot lokale nettverk. I følge Google vil PNA-spesifikasjonen gjøre det mulig for Chrome å spørre systemer innenfor lokale nettverk om tilgang før en tilkobling blir etablert.
Referanser
https://therecord.media/chrome-will-limit-acc[...]
https://developer.chrome.com/blog/private-net[...]

Fem medlemmer av en løsepengevirus-gruppe har blitt arrestert i Ukraina

Løsepengevirus-gruppen var ansvarlige for angrep mot over 50 bedrifter og ble arrestert tidligere denne uken. Gruppens leder og hans kone er blant de arresterte, sammen med tre andre medlemmer. Gruppen har angrepet myndigheter og private bedrifter med løsepengevirus og DDoS-angrep. Det er antatt at gruppen har tjent over 1 million dollar.
Referanser
https://www.zdnet.com/article/ukrainian-polic[...]
https://therecord.media/ransomware-gang-behin[...]

Orca sin sikkerhets-gruppe har oppdaget en sårbarhet i AWS glue

Sårbarheten gjorde det mulig for angripere å få tilgang til og endre andre brukere sin data. Orca har siden samarbeidet med AWS for å sørge for at ingen brukeres data har blitt utnyttet og hjulpet til med å fjerne feilen. På nettsiden deres har de også gitt ut en artikkel som gjennomgår nulldagssårbarheten.
Referanser
https://orca.security/resources/blog/aws-glue[...]
https://www.infosecurity-magazine.com/news/aw[...]

Stort dataangrep mot flere nettsider tilhørende den Ukrainske regjering

Et stort dataangrep har rammet hjemmesidene til den ukrainske regjeringen samt flere departementer. Det er foreløpig ukjent hvem som står bak. Innholdet på flere av sidene er byttet ut, og det er lagt ut trusler om at personlig informasjon vil bli spredd. Alle sidene skal ha brukt en utdatert versjon av CMS-systemet "October", som inneholdt en svakhet.
Referanser
https://www.nrk.no/urix/ukraina_-massivt-data[...]
https://twitter.com/KimZetter/status/14818906[...]

Thursday, 13 January 2022

2022.01.13 - Nyhetsbrev

Universitetet i Toronto har sluppet rapporten "Project Torgoz", en rapport om hacking av media og sivilsamfunnet i El Salvador. Palo Alto Networks har sluppet 4 nye sikkerhetsoppdateringer. U.S. Cyberkommando har koblet hackegruppen "MuddyWater" til Iran sitt etterretningsapparat. Cisco har sluppet nye sikkerhetsanbefalinger. Juniper gir ut 34 sikkerhetsoppdateringer.

Universitetet i Toronto har sluppet rapporten "Project Torgoz", en rapport om hacking av media og sivilsamfunnet i El Salvador

Ett samarbeid mellom "Frontline Defenders", "SocialTIC", "Fundacion Acceso", "The Citizen Lab" og "Access Now" har bekreftet 35 tilfeller hvor journalister og medlemmer av det sivile i El Salvador har fått telefonene infisert av Pegasus spionvare mellom juli 2020 og november 2021.
Referanser
https://citizenlab.ca/2022/01/project-torogoz[...]

Palo Alto Networks har sluppet 4 nye sikkerhetsoppdateringer

Informasjonen som er sluppet i fire bulletins gjelder svakheter i Cortex XDR Agent. Den mest alvorlige svakheten gjelder en lokal rettighetseskalering på grunn av manglende kontroll av en fil-path. Denne har en CVSS-score (alvorlighetsgrad) på 7.8.
Referanser
https://security.paloaltonetworks.com/
https://security.paloaltonetworks.com/CVE-202[...]

U.S. Cyberkommando har koblet hackegruppen "MuddyWater" til Iran sitt etterretningsapparat

Den Amerikanske Cyberkommandoen avslørte onsdag 12. januar at aktøren "MuddyWater" er et underordnet element i det iranske etterretningdepartementet. Dette er første gangen den amerikanske regjeringen offisielt har knyttet trusselaktøren til Iran. MuddyWater er kjent for å ha angrepet mål innenfor utdanning, turisme, telekommunikasjon og statlige mål som regjeringer.
Referanser
https://therecord.media/cyber-command-ties-ha[...]

Cisco har sluppet nye sikkerhetsanbefalinger

Cisco har sluppet 10 nye sikkerhetsoppdateringer så langt i januar. To av disse er rangert som kritiske og gjelder oppdatert informasjon relatert til log4j, samt en rettighetseskalering i Unified Contact Center.
Referanser
https://tools.cisco.com/security/center/publi[...]

Juniper gir ut 34 sikkerhetsoppdateringer

EKomCERT melder at Juniper har sluppet en rekke oppdateringer det siste døgnet. Flere av sårbarhetene lar seg utnytte via Internett og berører tjenester som DHCP og routing via BGP og OSPF. Svakheter i Log4j blir også utbedret.
Referanser
https://kb.juniper.net/InfoCenter/index?page=[...]

Wednesday, 12 January 2022

2022.01.12 - Nyhetsbrev

APT35 utnytter Log4j-sårbarhet for å distribuere nytt modulært PowerShell-verktøysett. CISA, FBI og NSA med informasjon om russiske stats-støttede angrep mot USA. Seks nulldagssårbarheter fikses i månedens Microsoft-oppdatering. Mozilla slipper oppdateringer til Firefox, Firefox ESR og Thunderbird. Wordpress slipper sikkerhetsoppdateringer.
Sikkerhetsoppdateringer for flere av Adobe sine produkter er tilgjengelig.

APT35 utnytter Log4j-sårbarhet for å distribuere nytt modulært PowerShell-verktøysett

APT35 er mistenkt for å være en iransk nasjonalstatsaktør som har startet skanning og forsøk på å utnytte Log4j-feilen i offentlige systemer få dager etter sårbarheten ble oppdaget. Aktøren bruker åpen kildekodeverktøy i angrepene og baserer operasjonene sine på tidligere infrastruktur. Dette gjorde at angrepene var lettere å oppdage.
Referanser
https://research.checkpoint.com/2022/apt35-ex[...]

CISA, FBI og NSA med informasjon om russiske stats-støttede angrep mot USA

Cybersecurity and Infrastructure Security Agency (CISA), Federal Bureau of Investigation (FBI) og National Security Agency (NSA) oppfordrer nettsikkerhetssamfunnet til øke bevisstheten og å drive proaktiv trusseljakt. De ønsker også at firmaer og organisasjoner implementerer anbefalinger som vil hjelpe organisasjoner med å redusere risikoen for kompromittering. Dokumentet inneholder også en gjennomgang av teknikkene brukt av russiske angripere, hvordan en kan oppdage dem og hvordan en håndterer et vellykket angrep.
Referanser
https://www.cisa.gov/uscert/ncas/alerts/aa22-011a

Seks nulldagssårbarheter fikses i månedens Microsoft-oppdatering

Windows sin januaroppdatering fikser 97 sårbarheter, der seks av de er nulldagssårbarheter. Nulldagssårbarhetene er ikke sett utnyttet ennå, men siden flere har proof-of-concept kode publisert på nettet, så forventes det at disse vil bli forsøkt utnyttet fremover.

Ni av sårbarhetene som fikses i oppdateringen er klassifisert som kritiske. Det er blant annet kritiske sikkerhetsfeil i Microsoft Exchange og Windows sin HTTP protokoll-stack. Den sistnevnte svakheten kan være "ormbar", det kan altså lages malware som sprer seg automatisk fra maskin til maskin ved hjelp av svakheten.
Referanser
https://msrc.microsoft.com/update-guide
https://www.bleepingcomputer.com/news/microso[...]
https://krebsonsecurity.com/2022/01/wormable-[...]
https://www.digi.no/artikler/denne-windows-sa[...]

Mozilla slipper oppdateringer til Firefox, Firefox ESR og Thunderbird

Mozilla har lagt ut nye oppdateringer til Firefox, Firefox ESR og Thunderbird. Oppdateringene har fått klassifisering "Høy" av Mozilla, som betyr at sårbarhetene som fikses potensielt kan utnyttes ved vanlig bruk av produktene.
Referanser
https://www.cisa.gov/uscert/ncas/current-acti[...]

Wordpress slipper sikkerhetsoppdateringer

Wordpress slipper sikkerhetssoppdateringer som fikser fire sårbarheter. Oppdateringer finnes for alle versjoner av Wordpress siden v3.7. Oppdateringen fikser blant annet SQL-injection og cross-site-scripting (XSS).
Referanser
https://wordpress.org/news/2022/01/wordpress-[...]

Sikkerhetsoppdateringer for flere av Adobe sine produkter er tilgjengelig

Adobe har lagt ut sikkerhetsoppdateringer til seks av sine produkter. Oppdateringene har fått Adobes viktighetsgrad 2 og 3, som betyr at de ikke kjenner til at sårbarhetene aktivt utnyttes. Spesielt Adobe Reader kan være viktig å oppdatere, siden den inneholder flere kritiske feil.
Referanser
https://helpx.adobe.com/security/security-bul[...]

Tuesday, 11 January 2022

2022.01.11 - Nyhetsbrev

Sikkerhetsforskere og utviklere lurt av falsk utgave av dnSpy. Løsepengevirus koster norske virksomheter dyrt. Log4Shell lignende svakhet funnet i H2 database konsollen.

Sikkerhetsforskere og utviklere lurt av falsk utgave av dnSpy

En trusselaktør rettet seg inn mot utviklere og sikkerhetsforskere denne uken. dnSpy er en populær debugger og editor brukt til å utvikle .NET-programvare. Noen opprettet denne uken en falsk Github-side samt en ny falsk hjemmeside for programvaren. Det ble deretter gjort søkemotor-optimalisering for å få den falske versjonen av dnSpy opp som første treff hos Google og andre søkemotorer. Den falske versjonen av dnSpy virker som normalt, men laster også ned malware til maskinen den kjører på.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Løsepengevirus koster norske virksomheter dyrt

NRK har sett på løsepengevirus-angrep og kostnader relatert til dette i Norge. NRK har identifisert 29 angrep med denne typen skadevare de siste tre årene. Til sammen har bedriftene tapt minst én milliard kroner på hendelsene. Det er imidlertid ingen definert måte å beregne utgiftene på, og mange angrep av denne typen blir aldri offentlig kjent.
Referanser
https://nrkbeta.no/2022/01/11/losepengevirus-[...]

Log4Shell lignende svakhet funnet i H2 database konsollen

Svakheten kan tillate en angriper å få kjøre tilfeldig kode på en lignende måte som ved Log4shell-svakheten. Sårbarheten utnytter, som Log4shell, JNDI remote class loading. Svakheten blir gjort mindre alvorlig ved at H2 databasen i standard konfigurasjon kun lytter på forbindelser fra den maskinen den selv kjører på (localhost).
Referanser
https://thehackernews.com/2022/01/log4shell-l[...]
https://portswigger.net/daily-swig/researcher[...]