Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Monday, 13 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.13

Marimo RCE-feil CVE-2026-39987 utnyttet innen 10 timer etter avsløring. Utnyttelse av nulldagssårbarhet i kampanje mot Adobe Acrobat Reader.

Marimo RCE-feil CVE-2026-39987 utnyttet innen 10 timer etter avsløring

En kritisk sårbarhet i det åpne Python notatverktøyet Marimo, identifisert som CVE-2026-39987 (CVSS 9,3), ble utnyttet mindre enn 10 timer etter offentliggjøring. Sårbarheten gjorde det mulig for uautentiserte angripere å få full fjernkommandotilgang via WebSocket endepunktet /terminal/ws, og berørte alle versjoner til og med 0.20.4. Feilen skyldtes manglende autentiseringskontroll på dette endepunktet, i motsetning til andre deler av applikasjonen. Ifølge Sysdig ble de første angrepene observert under 10 timer før identifisering, selv uten tilgjengelig exploit kode. Angriperen gjennomførte manuell rekognosering og forsøkte å hente sensitive data som .env-filer og SSH nøkler. Hendelsen viser hvor raskt trusselaktører reagerer på nye sårbarheter, og hvor kritisk rask patching av internet eksponerte systemer er.

Sårbarheter:

Utnyttelse av nulldagssårbarhet i kampanje mot Adobe Acrobat Reader

En sofistikert nulldagssårbarhets kampanje rettet mot Adobe Acrobat Reader har blitt avdekket i april 2026. Angrepet benytter spesiallagde PDF filer for å profilere ofre og potensielt levere andre-stegs payloads for fjernkjøring av kode (RCE) og sandbox escape (SBX). Kampanjen har vært aktiv siden slutten av 2025 og har spesielt rettet seg mot energi- og infrastruktursektoren. 

Eksploiten benytter seg av tungt obfuskert JavaScript som kjører så snart filen åpnes. I stedet for å aktivere selve nyttelasten umiddelbart, begynner den å hente ut informasjon fra maskinen ved hjelp av innebygde Acrobat-API-er – inkludert lokale filer og systemdetaljer og sender dette tilbake til servere under angriperens kontroll.

 

Anbefalte tiltak: 
Blokkering av C2 adresser: Sperr all trafikk til 169.40.2.68 og 188.214.34.20.

User-Agent Filtrering: Overvåk/blokker HTTP trafikk med "Adobe Synchronizer" i User-Agent feltet hvis det ikke er legitimt behov.

Patching: Oppdater Adobe Reader så snart offisiell patch er tilgjengelig fra Adobe Security Bulletins.

Posted by tsoc at 12:16 0 comments

Friday, 10 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.10

Sårbarheter i produkter fra Juniper (April 2026). Sårbarheter i GitLab. Ny STX RAT kombinerer skjult fjernstyring og Infostealer i avansert angrep.

Sårbarheter i produkter fra Juniper (April 2026)

Den høyeste alvorlighetsgraden blant sårbarhetene anses som kritisk (CVSSv3 9.8).

Juniper har publisert informasjon om nye sårbarheter funnet i deres produkter.

Berørte produktversjoner:

   Produkt             Versjon
   ------------------- ---------------------------------
   Junos OS            Se lenkede varsler for detaljer
   Junos OS Evolved    Se lenkede varsler for detaljer
   CTP OS              9.2R1, 9.2R2.
   Junos Space         < 24.1R5 Patch V3.
   JSI vLWC versions   < 3.0.94.
   Apstra              < 6.1.1.

Sårbarhetsinformasjon:

Kun kritisk og høy tatt med. Se lenkede varsler for komplett liste.

   CVE              CWE       CVSS
   ---------------- --------- ------
   CVE-2026-33784             9.8
   CVE-2022-24805   CWE-120   8.8
   CVE-2026-33785             8.8
   CVE-2026-33788             7.8
   CVE-2026-33793             7.8
   CVE-2026-33778             7.5
   CVE-2026-33790             7.5
   CVE-2026-33797             7.4
   CVE-2026-21916             7.3


Anbefaling:

Oppdateringer er tilgjengelige. Ta kontakt med deres leverandør for bistand.

Sårbarheter i GitLab


Den høyeste alvorlighetsgraden blant sårbarhetene anses som høy (CVSSv3 8.5).

GitLab har publisert informasjon om nye sårbarheter funnet i deres produkter.

Vellykket utnyttelse av sårbarhetene kan bl.a. føre til tjenestenekt, og kjøring av kommandoer.

Sårbarhetene kan utnyttes via fjerntilkobling.

Berørte produktversjoner:

+-----------------------------------------------------------+-----------+
| Produkt                                                   | Versjon   |
+===========================================================+===========+
| GitLab Community Edition (CE) and Enterprise Edition (EE) | < 18.10.3 |
|                                                           | < 18.9.5  |
|                                                           | < 18.8.9  |
+-----------------------------------------------------------+-----------+

Sårbarhetsinformasjon:

   CVE              CWE        CVSS
   ---------------- ---------- ------
   CVE-2026-5173    CWE-749    8.5
   CVE-2025-12664   CWE-1284   7.5
   CVE-2026-1092    CWE-1284   7.5
   CVE-2026-1101    CWE-1284   6.5
   CVE-2026-1403               6.5
   CVE-2026-1516    CWE-94     5.7
   CVE-2026-4332    CWE-79     5.4
   CVE-2025-9484    CWE-862    4.3
   CVE-2026-1752    CWE-863    4.3
   CVE-2026-2104    CWE-639    4.3
   CVE-2026-2619    CWE-863    4.3
   CVE-2026-4916    CWE-862    2.7




Anbefaling:

Tiltak: Oppdateringer er tilgjengelige. Ta kontakt med deres leverandør for bistand.

Ny STX RAT kombinerer skjult fjernstyring og Infostealer i avansert angrep

En ny Remote Access Trojan (RAT) kalt STX RAT har blitt identifisert som en avansert trussel i 2026, med funksjoner for både skjult fjernstyring og datatyveri. Malware ble først observert i februar 2026 og spres blant annet via VBScript- og JScript filer samt trojaniserte installasjonsfiler som FileZilla. Infeksjonskjeden inkluderer PowerShell som laster payload direkte i minnet. STX RAT har avanserte anti-analyse mekanismer som oppdager virtuelle miljøer og bruker AMSI bypass teknikker for å unngå deteksjon. Den samler inn systeminformasjon og stjeler brukerdetaljer fra verktøy som FileZilla, WinSCP og Cyberduck, samt tar skjermbilder av offerets maskin. Kommunikasjon med C2 server er kryptert med moderne algoritmer som X25519 og ChaCha20-Poly1305, noe som gjør trafikken vanskelig å analysere

Anbefalinger:
lokker kjente C2-adresser og overvåk nettverkstrafikk for mistenkelig aktivitet. Implementer deteksjonsregler som YARA for å identifisere malware i minnet. Overvåk bruk av WScript, JScript og PowerShell, spesielt fra midlertidige kataloger. Deaktiver VBScript og JScript der det ikke er nødvendig for å redusere angrepsflaten. Sørg for oppdatert endpoint-beskyttelse og bruk prinsippet om minste privilegier

Posted by tsoc at 13:07 0 comments

Thursday, 9 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.09

Kritisk sårbarhet i Grafana. APT28 bak ny PRISMEX‑kampanje mot Ukraina og NATO-land. Atomic Stealer distribueres via Script Editor i nye macOS‑angrep.

Kritisk sårbarhet i Grafana

Grafana har publisert viktige sikkerhetsoppdateringer som retter to alvorlige sårbarheter (CVE‑2026‑27876 og CVE‑2026‑27880) i flere støttede versjoner. Den mest kritiske sårbarheten kan, under gitte forutsetninger, utnyttes til ekstern kodekjøring (RCE) i selv‑hostede Grafana‑instanser der SQL Expressions er aktivert og brukere har rettigheter til å kjøre spørringer mot datakilder. Dette kan gi en angriper full kontroll over Grafana‑verten. I tillegg er det identifisert en høyalvorlig sårbarhet som gjør det mulig for uautentiserte angripere å krasje Grafana‑tjenesten via ressurskrevende forespørsler (DoS).

Sårbare versjoner:

  • 12.4.2

  • 12.3.6

  • 12.2.8

  • 12.1.10

  • 11.6.14

Anbefaling:

Grafana anbefaler at alle berørte instanser oppgraderes umiddelbart til siste patch‑nivå for å redusere risiko og sikre stabil drift.

APT28 bak ny PRISMEX‑kampanje mot Ukraina og NATO-land

Den russisk‑tilknyttede trusselaktøren APT28 er knyttet til en ny målrettet phishing kampanje mot Ukraina og flere europeiske NATO‑land. Kampanjen benytter skadevaresuiten PRISMEX og har vært aktiv siden minst høsten 2025. Angrepene utnytter nylig annonserte sårbarheter som CVE‑2026‑21509 og CVE‑2026‑21513, trolig brukt som nulldagssårbarheter, og distribuerer skadevare via LNK filer.

PRISMEX kombinerer steganografi, COM‑kapring og misbruk av legitime skytjenester for kommando‑ og kontroll, og har både spionasje- og destruktiv kapasitet. Aktiviteten indikerer et strategisk fokus på forsyningskjeder og operasjonell støtte til Ukraina.

Atomic Stealer distribueres via Script Editor i nye macOS‑angrep

En ny kampanje retter seg mot macOS-brukere og distribuerer skadevaren Atomic Stealer (AMOS) ved å utnytte Script Editor som kjøreflate for ondartet kode. Angrepet bygger på kjente ClickFix‑teknikker, der brukere lokkes til falske Apple lignende nettsider med instruksjoner for å «frigjøre diskplass».

Nettstedene benytter applescript:// lenker som åpner Script Editor med forhåndsutfylt kode, noe som muliggjør kjøring av kommandoer uten direkte bruk av Terminal. Koden laster ned og kjører en Mach‑O binær som kan hente ut Keychain data, passord, nettleserdata, kryptolommebøker og systeminformasjon, og som kan etablere vedvarende tilgang via bakdør.

Kampanjen illustrerer hvordan legitime macOS komponenter kan misbrukes i sosial manipulering, og understreker behovet for tydelige retningslinjer, brukerbevissthet og bruk av offisielle Apple‑kilder ved feilsøking og systemvedlikehold.

Posted by tsoc at 12:18 0 comments

Wednesday, 8 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.08

Android zero-interaction sårbarhet muliggjør angrep uten brukerhandling. Docker sårbarhet CVE-2026-34040 lar angripere omgå autorisering og få tilgang til host. Hackere misbruker falske TradingView Premium-innlegg for å spre skadevare.

Android zero-interaction sårbarhet muliggjør angrep uten brukerhandling

En ny zero-interaction sårbarhet i Android gjør det mulig for angripere å kompromittere enheter uten at brukeren trenger å gjøre noe som helst. Angrepet kan utløses via spesiallagde meldinger eller data sendt til enheten, hvor sårbarheten i systemkomponenter håndterer innholdet automatisk og fører til kjøring av ondsinnet kode. Dette gjør angrepet spesielt farlig siden det ikke krever klikk, nedlasting eller annen brukerinteraksjon.

Sårbarheten kan gi angripere tilgang til sensitive data, meldinger og potensielt full kontroll over enheten. Den er spesielt alvorlig fordi den kan utnyttes i målrettede angrep mot enkeltpersoner eller organisasjoner, inkludert overvåkning og spionasje. Zero-interaction angrep er kjent for å være vanskelige å oppdage og stoppe med tradisjonelle sikkerhetsmekanismer.

Docker sårbarhet CVE-2026-34040 lar angripere omgå autorisering og få tilgang til host

En høy alvorlig sårbarhet i Docker Engine (CVE-2026-34040, CVSS 8.8) gjør det mulig for angripere å omgå autorisasjonsplugins (AuthZ) og oppnå tilgang til vertssystemet. Feilen skyldes en ufullstendig patch av CVE-2024-41110 og oppstår når Docker håndterer HTTP-forespørsler større enn 1 MB feil, noe som fører til at request body ikke sendes til autorisasjonspluginen. Dette kan utnyttes ved å sende en manipulert forespørsel som gjør at sikkerhetskontrollen ikke trigges, og dermed tillater opprettelse av privilegerte containere med root-tilgang til host, inkludert tilgang til sensitive data som SSH-nøkler, AWS credentials og Kubernetes-konfigurasjoner. Sårbarheten kan utnyttes med lav kompleksitet og uten brukerinteraksjon, og rammer spesielt miljøer som benytter AuthZ-plugins for sikkerhet.

Anbefaling:

Oppgrader til Docker Engine versjon 29.3.1 eller nyere umiddelbart. Begrens tilgang til Docker API til kun betrodde brukere og unngå AuthZ-plugins som er avhengige av inspeksjon av request body hvis patching ikke er mulig.

Sårbarheter:

Hackere misbruker falske TradingView Premium-innlegg for å spre skadevare

Hackere utnytter TradingView ved å publisere falske innlegg som utgir seg for å tilby “Premium” indikatorer og tradingstrategier. Disse innleggene inneholder lenker til eksterne nedlastninger som i realiteten distribuerer skadevare forkledd som legitime trading-verktøy. Når brukere laster ned og kjører filene, installeres bakdører og infostealers som gir angriperne tilgang til systemer, nettleserdata og kryptolommebøker.

Angrepene retter seg spesielt mot tradere og kryptoinvestorer, og utnytter tilliten til populære analyseverktøy og fellesskap. Skadevaren er ofte pakket i arkivfiler og krever manuell kjøring, noe som gjør sosial manipulering til en sentral del av angrepet. Kampanjen viser en økende trend der legitime plattformer misbrukes til distribusjon av malware gjennom brukergenerert innhold.

Posted by tsoc at 11:40 0 comments

Tuesday, 7 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.07

Microsoft advarer mot gruppen Storm-1175 som står bak Medusa løsepengevirus.

Microsoft advarer mot gruppen Storm-1175 som står bak Medusa løsepengevirus

Microsoft beskriver hvordan trusselaktøren Storm-1175, en gruppe kjent for å distribuere Medusa løsepengevirus, gjennomfører flere angrep mot internett eksponerte systemer. Gruppen fokuserer spesielt på å identifisere og utnytte sårbare "web-facing" applikasjoner for initiell tilgang, før de beveger seg videre i nettverket hvor de etablerer persistens og distribuerer løsepengevirus. Aktiviteten kjennetegnes av rask utnyttelse av nylig oppdagede sårbarheter og effektiv operasjonalisering av tilgang til kompromitterte miljøer.

Et eksempel av svakheter som de har utnyttet er CVE-2025-10035, en kritisk sårbarhet i GoAnywhere MFT som muliggjør uautentisert kommandoinjeksjon og fjernkjøring av kode. Storm-1175 utnyttet denne ved å manipulere lisensmekanismer for å oppnå initiell tilgang, deretter installere verktøy for vedvarende tilgang og til slutt levere Medusa løsepengeviruset. Angriperne bruker også lignende sårbarheter i offentlig eksponerte tjenester for å etablere web shells, gjennomføre lateral bevegelse og eksfiltrere data før kryptering av systemer.

Anbefaling:

Organisasjoner bør prioritere rask patching av alle internet eksponerte systemer, spesielt kritiske tjenester som filoverføringsløsninger. I tillegg bør man kontinuerlig overvåke etter tegn på kompromittering ved å blant annet ta i bruk kjente "Indicators-of-Compromise" (IoC) for trussel aktøren.

Sårbarheter:

Posted by tsoc at 12:11 0 comments

Monday, 6 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.06

Microsoft avslører nye PHP Web shells som bruker cookies for skjult fjernkjøring på Linux servere. Kritisk Fortinet-sårbarhet utnyttes aktivt - hasteoppdatering lansert. Microsoft tvinger oppgradering til Windows 11 25H2 for uadministrerte enheter.

Microsoft avslører nye PHP Web shells som bruker cookies for skjult fjernkjøring på Linux servere

Microsoft Defender Research Team har identifisert en ny teknikk der angripere bruker HTTP cookies som kontrollkanal for PHP baserte web shells på Linux servere. I stedet for tradisjonelle metoder via URL parametere eller "request body", aktiveres ondsinnet kode kun når spesifikke cookie verdier sendes, noe som gjør aktiviteten svært vanskelig å oppdage da den blander seg med normal trafikk. Web shellene benytter kraftig obfuskering og kan rekonstruere payloads dynamisk eller skrive dem til disk før eksekvering. I flere tilfeller oppnår angripere initiell tilgang via stjålne brukerdetaljer eller utnyttelse av kjente sårbarheter, og etablerer deretter persistens ved hjelp av "cron jobs" som automatisk gjenoppretter skadevare dersom den fjernes. Denne «self-healing» mekanismen sikrer vedvarende tilgang og muliggjør skjult remote code execution (RCE) over tid, samtidig som spor i logger minimeres.

Kritisk Fortinet-sårbarhet utnyttes aktivt - hasteoppdatering lansert

Fortinet har publisert en nødoppdatering for en kritisk sårbarhet (CVE-2026-35616) i FortiClient EMS som allerede blir aktivt utnyttet i angrep. Feilen skyldes manglende tilgangskontroll og gjør det mulig for uautentiserte angripere å kjøre kode via spesiallagde forespørsler.

Sårbarheten rammer versjonene 7.4.5 og 7.4.6, og over 2 000 eksponerte systemer er funnet på nettet. Problemet ble oppdaget som en såkalt zero-day og utnyttet før det ble rapportert. Fortinet oppfordrer brukere til å installere sikkerhetsoppdateringen umiddelbart eller oppgradere til kommende versjon 7.4.7 for å beskytte seg.

Sårbarheter:

Microsoft tvinger oppgradering til Windows 11 25H2 for uadministrerte enheter

Microsoft har startet en automatisk utrulling som tvinger uadministrerte Windows 11 enheter (Home og Pro) fra versjon 24H2 til 25H2, også kjent som Windows 11 2025 Update. Oppgraderingen skjer som del av en maskinlæringsbasert utrulling som vurderer enhetsklarhet, og installeres automatisk via Windows Update uten behov for brukerhandling. Bakgrunnen er at Windows 11 24H2 når "end-of-support" 13. oktober 2026, og enheter som ikke oppdateres vil miste sikkerhetsoppdateringer, feilrettinger og teknisk støtte. Oppgraderingen leveres som en liten “enablement package” på under 200 KB som aktiverer allerede installerte funksjoner, noe som gir rask installasjon med kun én omstart. Utrullingen gjelder kun enheter som ikke er administrert av IT systemer som Intune eller Endpoint Manager, og brukere kan kun midlertidig utsette oppdateringen.

Anbefaling:

Sørg for at enheter oppdateres til Windows 11 25H2 så raskt som mulig for å opprettholde sikkerhetsoppdateringer. Organisasjoner bør ha kontroll på hvilke enheter som er unmanaged og vurdere å flytte disse inn under sentral administrasjon. Brukere bør ikke utsette oppdateringen unødvendig, da dette kan føre til eksponering for kjente sårbarheter etter end-of-support.

Posted by tsoc at 12:12 0 comments

Friday, 3 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.03

Kritisk Cisco IMC sårbarhet gir admin-tilgang uten autentisering. 700 Next.js-hosts kompromittert i omfattende angrep. Claude Code-lekkasje brukt til å spre infostealer malware på GitHub.

Kritisk Cisco IMC sårbarhet gir admin-tilgang uten autentisering

Cisco har publisert sikkerhetsoppdateringer for en kritisk sårbarhet i Integrated Management Controller (IMC), sporet som CVE-2026-20093. Sårbarheten skyldes feil håndtering av passordendringsforespørsler og kan utnyttes av en uautentisert angriper via en spesiallaget HTTP-forespørsel for å omgå autentisering. Dette gjør det mulig å endre passord for alle brukere inkludert admin og deretter få full administrativ tilgang til systemet.

IMC er en out-of-band administrasjonskomponent som gir full kontroll over servere selv når operativsystemet er avslått, noe som gjør konsekvensene svært alvorlige. Cisco opplyser at det per nå ikke finnes tegn til aktiv utnyttelse, men anbefaler sterkt umiddelbar oppdatering siden det ikke finnes midlertidige tiltak.

Anbefaling:

Oppgrader til siste versjon av Cisco IMC og SSM On-Prem umiddelbart da det ikke finnes workarounds.

Sårbarheter:

700 Next.js-hosts kompromittert i omfattende angrep

En nylig rapport avslører at over 700 servere som kjører Next.js har blitt kompromittert i et koordinert angrep. Angriperne utnyttet en sårbarhet knyttet til feilkonfigurerte eller eksponerte miljøer, som gjorde det mulig å kjøre ondsinnet kode og installere bakdører. Flere av de berørte systemene ble brukt til videre angrep, inkludert kryptomining og distribusjon av skadevare. Angrepet viser hvordan moderne webapplikasjonsrammeverk kan bli mål hvis sikkerhetspraksis ikke følges nøye, spesielt rundt eksponering av administrative grensesnitt og miljøvariabler

Anbefaling:

Det anbefales å oppdatere Next.js til siste versjon og sikre at alle miljøvariabler og administrative endepunkter ikke er offentlig tilgjengelige. Videre bør man implementere autentisering på sensitive API-ruter, overvåke uvanlig trafikk og kjøre sikkerhetsskanninger for å oppdage kompromitterte systemer. Det er også viktig å bruke prinsippet om minste privilegium og sikre serverkonfigurasjoner.

Claude Code-lekkasje brukt til å spre infostealer malware på GitHub

Trusselaktører utnytter den nylige lekkasjen av Claude Code kildekode fra Anthropic til å spre infostealer malware via falske GitHub-repositorier. Lekkasjen oppstod 31. mars 2026 da rundt 513 000 linjer TypeScript kode ble eksponert gjennom en feil i en npm-pakke, noe som avslørte interne funksjoner, arkitektur og sikkerhetsmekanismer. Angripere opprettet deretter falske repositorier som utgir seg for å tilby den lekkede koden med utvidede funksjoner, men som i realiteten distribuerer Vidar infostealer sammen med GhostSocks malware via ondsinnede nedlastninger. Kampanjen utnytter høy interesse rundt lekkasjen og gjør det enkelt for utviklere å bli lurt gjennom søk og GitHub.

Anbefaling:

Unngå å laste ned eller kjøre kode fra GitHub som hevder å være lekket Claude Code, verifiser kun kilder fra offisielle kanaler, implementer Zero Trust-arkitektur, og unngå å kjøre AI-agenter med tilgang til lokale systemer på uverifisert kode

Posted by tsoc at 12:07 0 comments
Subscribe to: Comments (Atom)
 
>