Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Wednesday, 10 June 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.10

Microsoft Defender «RoguePlanet» Zero-day gir system-rettigheter på oppdatert Windows. ServiceNow-feil utnyttet for å få uautorisert tilgang til kundeinstanser.

Microsoft Defender «RoguePlanet» Zero-day gir system-rettigheter på oppdatert Windows

En ny zero-day sårbarhet i Microsoft Defender, kalt RoguePlanet, er offentliggjort av sikkerhetsforskeren Nightmare Eclipse kort tid etter Microsofts juni 2026 Patch Tuesday. Sårbarheten påvirker fullt oppdaterte Windows 10- og Windows 11-systemer og gjør det mulig å starte en kommandolinje med SYSTEM-rettigheter. Feilen skyldes en race condition i Microsoft Defender der tidskritiske operasjoner kan misbrukes for å oppnå privilegieeskalering. Ifølge forskeren ble sårbarheten opprinnelig utviklet som en metode for fjernkjøring av kode via filer på SMB-delinger, men den publiserte PoC-en fokuserer på lokal privilegieeskalering. PoC-en fungerer ved å utnytte Defenders håndtering av monterte ISO-filer og er beskrevet som «hit or miss» på grunn av race condition-mekanismen. Windows Server er ikke påvirket av den publiserte PoC-en fordi vanlige brukere ikke kan montere ISO-filer der. Organisasjoner som benytter applikasjonskontroll/allowlisting kan blokkere kjøring av utnyttelsen.

Anbefaling:

Implementer applikasjonskontroll (allowlisting) for å hindre at RoguePlanet-koden kan kjøres.

ServiceNow-feil utnyttet for å få uautorisert tilgang til kundeinstanser

Angripere utnyttet en autentiseringsfri tilgangsfeil i et ServiceNow-API for å hente data fra kundeinstanser. ServiceNow oppdaget unormal aktivitet og bekreftet at enkelte kunder ble berørt av vellykkede spørringer mot instanstabeller. Feilen var knyttet til et API-endepunkt som under visse omstendigheter ga større tilgang enn tiltenkt uten autentisering. ServiceNow installerte en sikkerhetsoppdatering 5. juni 2026 som endret konfigurasjonen av endepunktet slik at kun autentiserte brukere får tilgang. Berørte kunder ble varslet direkte etter at selskapet observerte tegn på vellykket utnyttelse. Artikkelen beskriver aktiv utnyttelse av feilen mot kundeinstanser før oppdateringen ble rullet ut.

Anbefaling:

Bekreft at sikkerhetsoppdateringen fra 5. juni 2026 er installert og gjennomgå logger for uautoriserte API-forespørsler mot ServiceNow-instansen.

Posted by tsoc at 12:03 0 comments

Tuesday, 9 June 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.09

Ny Linux kjernesårbarhet gjør det mulig å eskalere privilegier til root. Check Point VPN null-dagssårbarhet brukt i angrep for å distribuere løsepengevirus. Kritiske lagrede XSS-sårbarheter rettet i VMware Aria Automation.

Ny Linux kjernesårbarhet gjør det mulig å eskalere privilegier til root

En use-after-free-sårbarhet i Linux-kjernens nftables kan gjøre det mulig for lokale brukere uten administratorrettigheter å få root-rettigheter på blant annet Debian Bookworm, Debian Trixie, Ubuntu 22.04 LTS og Ubuntu 24.04 LTS.

Feilen skyldes en logisk feil i nft_map_catchall_activate(), som gjør at enkelte objekter kan bli håndtert feil når transaksjoner avbrytes. Dette kan føre til en dangling pointer og videre til en use-after-free-tilstand.

En angriper kan bruke flere nftables-transaksjoner til å hente ut informasjon om minneoppsettet og deretter ta kontroll over kjøringen i kjernen. Dette kan gi root-rettigheter og mulig brudd ut av containere og namespaces. En fungerende offentlig exploit er publisert. Sårbarheten ble rettet oppstrøms 5. februar 2026 gjennom en kjerneoppdatering.

Anbefaling:

Installer den oppstrøms kjerneoppdateringen (commit f41c5d1) eller oppdater til en distribuert kjerneversjon som inneholder rettelsen.

Check Point VPN null-dagssårbarhet brukt i angrep for å distribuere løsepengevirus

En kritisk sårbarhet i undersystemet for autentisering i Check Point Remote Access VPN og Mobile Access blir aktivt utnyttet. Det er kjent at sårbarheten utnyttes av skadevare.

CVE-2026-50751 påvirker installasjoner som bruker den utdaterte nøkkelutvekslingsprotokollen IKEv1, der en logisk feil i sertifikatvalideringen gjør at en ekstern angriper kan opprette en VPN sesjon uten gyldig passord. Berørte produkter inkluderer:

  • Mobile Access/SSL VPN

  • Remote Access VPN

  • Spark Firewall

i versjoner fra R80.20.X til R82.10.

Angrepene ble observert fra 7. mai 2026 og økte betydelig i begynnelsen av juni mot flere titalls organisasjoner globalt. Etter innledende tilgang er ytterligere handlinger nødvendig for å få tilgang til interne ressurser eller eskalere privilegier. Under etterforskningen identifiserte Check Point også CVE-2026-50752, en relatert feil i IKEv1-sertifikatvalidering som kan muliggjøre man-in-the-middle-angrep mot site-to-site VPN forbindelser under bestemte forhold.

Skadevaren Qilin ransomware har blitt observert brukt i angrep

Anbefaling:

Installer Check Points tilgjengelige oppdatering (hotfix) for berørte Security Gateways. Dersom oppdatering ikke kan gjennomføres umiddelbart, fjern støtte for eldre fjernaksessklienter, konfigurer VPN-autentisering til kun IKEv2, krev maskinsertifikatautentisering og aktiver IPS med oppdaterte signaturer. Disse avhjelpende tiltakene bør uansett gjennomføres som en del av normal herding av systemene.

Kritiske lagrede XSS-sårbarheter rettet i VMware Aria Automation

Broadcom har publisert sikkerhetsoppdateringer for tre lagrede XSS sårbarheter i VMware Aria Automation. Sårbarhetene påvirker VMware Aria Automation 8.x og skyldes utilstrekkelig validering og sanitering av brukerinput i ulike komponenter. En angriper med tilgang til produktet kan lagre skadelig JavaScript-kode som kjøres i nettleseren til andre brukere når de åpner berørte sider. Dette kan føre til kapring av brukersesjoner, utførelse av handlinger på vegne av brukeren og tilgang til sensitive data som er tilgjengelige i applikasjonen. Sårbarhetene krever autentisert tilgang, men kan påvirke brukere med høyere privilegier dersom de eksponeres for det lagrede innholdet. Broadcom har gjort oppdateringer tilgjengelige og oppfordrer kunder til å installere disse så raskt som mulig.

Anbefaling:

Installer de publiserte sikkerhetsoppdateringene for VMware Aria Automation så raskt som mulig.

Posted by tsoc at 09:59 0 comments

Monday, 8 June 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.08

C0XMO Botnet Utvider Gafgyt med Avanserte DDoS og Spredningsfunksjoner. Miasma angrep rammer Microsoft på GitHub.

C0XMO Botnet Utvider Gafgyt med Avanserte DDoS og Spredningsfunksjoner

Sikkerhetsforskere hos Fortinet har avdekket en ny variant av Gafgyt-botnettet, kalt C0XMO, som retter seg mot DD-WRT rutere og en rekke andre enheter på tvers av arkitekturer som ARM, MIPS, PowerPC, SuperH, x86 og x86_64. Botnettet utnytter blant annet CVE-2021-27137, en uautentisert buffer overflow-sårbarhet som muliggjør fjernkjøring av kode. Malware benytter også brute force-angrep mot Telnet og SSH tjenester med svake passord for videre spredning. Etter kompromittering installerer den persistensmekanismer via cron-jobber og oppstarts-skript, samtidig som den fjerner konkurrerende botnett og sikkerhetsverktøy fra infiserte systemer. C0XMO kommuniserer med en hardkodet C2 server og støtter hele 19 ulike DDoS angrepsmetoder, inkludert TCP, UDP, SYN og ICMP floods, samt NTP og Memcached amplifiseringsangrep. Fortinet beskriver botnettet som betydelig mer avansert og modulært enn tidligere Gafgyt varianter, med mulighet for løpende utvidelse av funksjonalitet og målplattformer.

CVE-koder: CVE-2021-27137

Anbefaling:

Anbefalinger: Oppdater berørte enheter med tilgjengelige sikkerhetsoppdateringer umiddelbart. Bytt standard og svake passord på SSH og Telnet tjenester til unike og sterke brukerdetaljer. Deaktiver Telnet og ekstern administrasjon dersom det ikke er nødvendig. Overvåk nettverk for uvanlig skanning mot porter som 22, 23, 80, 443, 7547, 8080 og 8443. Gjennomfør regelmessige revisjoner av IoT enheter, rutere og DVR systemer for å identifisere kompromittering og ukjente persistensmekanismer.

Sårbarheter:

Miasma angrep rammer Microsoft på GitHub

En pågående supply chain kampanje kalt Miasma har kompromittert 73 GitHub repositories tilknyttet Microsoft (Azure, Azure‑Samples, Microsoft og MicrosoftDocs). GitHub har deaktivert repoene etter brudd på vilkår. Blant de rammede er sentrale Durable Task‑prosjekter på tvers av flere språk.

Angrepet knyttes til en re‑kompromittering av "durabletask" og utnytter tillitsmodellen i open source: ondsinnet kode publiseres med legitime nøkler. I nyere tilfeller ble skadevare pushet direkte til GitHub‑repos og trigges når utviklere åpner dem i verktøy som VS Code eller AI‑kodingsagenter.

Posted by tsoc at 12:15 0 comments

Friday, 5 June 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.05

Cisco tetter kritisk SSRF sårbarhet i Unified Communications Manager. Ny sårbarhet i Microsoft Edge lar angripere kjøre kode.

Cisco tetter kritisk SSRF sårbarhet i Unified Communications Manager

Cisco har publisert sikkerhetsoppdateringer for CVE-2026-20230 i Cisco Unified Communications Manager (Unified CM) og Unified Communications Manager Session Management Edition (Unified CM SME). Sårbarheten er en server-side request forgery (SSRF) feil som skyldes mangelfull validering av spesifikke HTTP-forespørsler. En uautentisert angriper kan sende en spesiallaget HTTP-forespørsel til et sårbart system og få systemet til å skrive filer til det underliggende operativsystemet. Filskrivingen kan deretter brukes til å eskalere privilegier til root på den berørte enheten. Cisco oppgir CVSS-score 8.6, men vurderer den praktiske sikkerhetspåvirkningen som kritisk på grunn av muligheten for root-tilgang. Det finnes offentlig tilgjengelig proof-of-concept kode for sårbarheten, og Cisco har gjort oppdateringer tilgjengelige for berørte versjoner.

Anbefaling:

Installer de Cisco-oppdateringene som adresserer CVE-2026-20230 så snart som mulig.

Sårbarheter:

Ny sårbarhet i Microsoft Edge lar angripere kjøre kode

En nylig omtalt sårbarhet i Microsoft Edge (Chromium-basert) kan føre til fjernkjøring av kode (RCE) dersom en bruker besøker et ondsinnet nettsted. Sårbarheten utnyttes via spesiallaget webinnhold og krever normalt brukerinteraksjon. En vellykket utnyttelse kan gi angriper mulighet til å kjøre vilkårlig kode med rettighetene til innlogget bruker. Det er per nå ikke bekreftet aktiv utnyttelse i stor skala, og det finnes ingen kjente funn i kundemiljøer. Alle systemer som kjører utdaterte versjoner av Microsoft Edge kan være berørt. Risikoen vurderes som moderat til høy, gitt Edges utbredelse i virksomhetsmiljøer.

Anbefaling:

Det anbefales å oppdatere Edge til nyeste versjon så raskt som mulig. I tillegg bør organisasjoner overvåke mistenkelig nettleserrelatert aktivitet og begrense brukerrettigheter der det er mulig.

Sårbarheter:

Posted by tsoc at 11:14 0 comments

Thursday, 4 June 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.04

Nytt “HTTP/2 Bomb” DoS-angrep krasjer servere på under ett minutt.

Nytt “HTTP/2 Bomb” DoS-angrep krasjer servere på under ett minutt

Et nytt denial-of-service (DoS)-angrep, kalt HTTP/2 Bomb, kan utføres fra én enkelt maskin for å ta ned webservere i løpet av sekunder.

Metoden fungerer mot vanlige HTTP/2-konfigurasjoner på store webservere, inkludert NGINX, Apache HTTP Server, Microsoft IIS, Envoy og Cloudflare Pingora.

HTTP/2 Bomb kombinerer to tidligere kjente HTTP/2 DoS-teknikker: Ressursbinding i Slowloris-stil gjennom HTTP/2-flytkontrollstopp og HPACK-kompresjonsforsterkning.

Når disse teknikkene kombineres, kan én enkelt klient med en båndbredde på 100 Mbps bruke opp titalls gigabyte med RAM på få sekunder. Dette skjer ved at serveren tvinges til å allokere minne uten at det blir frigitt.

Som et resultat kan én byte sendt fra angriperen føre til tusenvis av byte med minneallokering på serversiden. Tester viser at Envoy og Apache httpd har de verste forholdstallene, med henholdsvis rundt 5700:1 og 4000:1.

Den andre delen av angrepet handler om å hindre at minnet frigjøres etter at forespørselen er fullført. Dette kan oppnås ved å annonsere et "zero-byte flow control window". I stedet for å sende et svar, vil serveren periodisk sende små WINDOW_UPDATE-rammer for å unngå tidsavbrudd.

I dette scenarioet blir forespørselen aldri fullført, og det allokerte minnet fortsetter å vokse uten å bli frigitt.

Videre informasjon og sårbarheter

Fullstendige tekniske detaljer om HTTP/2 Bomb angrepet vil bli offentliggjort på Real World AI Security konferansen senere denne måneden, i en presentasjon av forskeren Quang Luong. Samtidig har proof-of-concept utnyttelser allerede blitt publisert.

Det er imidlertid ikke alle webservere som er sårbare for HTTP/2 Bomb. Enkelte plattformer har allerede mottatt sikkerhetsoppdateringer, og noen tilpassede serverkonfigurasjoner kan gi en viss grad av beskyttelse.

Sårbarheten er blant annet utbedret i:

  • NGINX 1.29.8, som introduserer direktivet max_headers

  • Apache httpd mod_http2 2.0.41, der sårbarheten er registrert som CVE-2026-49975

Per nå finnes det ingen tilgjengelige oppdateringer for IIS, Envoy eller Pingora. For disse anbefales det å:

  • deaktivere HTTP/2 der det er mulig

  • plassere en proxy eller brannmur foran serveren som begrenser antall headere

Anbefaling:

For å beskytte seg mot HTTP/2 Bomb-angrepet anbefales det å oppdatere berørt programvare, deaktivere HTTP/2 der det er mulig, og implementere beskyttelse via proxy eller brannmur med strenge begrensninger på headere og ressursbruk.

Sårbarheter:

Posted by tsoc at 12:01 0 comments

Wednesday, 3 June 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.03

Google retter en aktivt utnyttet Android zero-day og 124 andre sårbarheter. VS Code-nulldagssårbarhet lar angripere stjele GitHub-token med ett klikk.

Google retter en aktivt utnyttet Android zero-day og 124 andre sårbarheter

Google har publisert Android-sikkerhetsoppdateringene for juni 2026 som retter 124 sårbarheter, inkludert en zero-day som er blitt utnyttet i målrettede angrep. Den aktivt utnyttede sårbarheten CVE-2025-48595 finnes i Android Framework og påvirker enheter som kjører Android 14 eller nyere. Feilen gjør det mulig for en lokal angriper å oppnå kodekjøring og privilegieeskalering på sårbare enheter. Google opplyser at sårbarheten har vært under begrenset og målrettet utnyttelse. Oppdateringen retter også 18 kritiske sårbarheter i System-, Framework- og Qualcomm komponenter. Den mest alvorlige av disse kan føre til ekstern privilegieeskalering uten behov for brukerinteraksjon eller ekstra kjørerettigheter. Oppdateringene distribueres gjennom sikkerhetsnivåene 2026-06-01 og 2026-06-05, der sist nevnte inkluderer alle rettelser fra første nivå samt ytterligere tredjeparts- og kjerne komponenter.

Anbefaling:

Installer Android-sikkerhetsoppdateringen fra juni 2026 så snart den er tilgjengelig for enheten.

VS Code-nulldagssårbarhet lar angripere stjele GitHub-token med ett klikk

En offentliggjort nulldagssårbarhet i Visual Studio Code gjør det mulig å stjele GitHub OAuth-token ved å lure brukere til å klikke på en lenke. Sårbarheten påvirker github.dev og utnytter meldingsutvekslingen mellom VS Code sine sandkasse isolerte webviews og hoved editoren. Det publiserte proof-of-concept angrepet kjører ondsinnet JavaScript i et webview og simulerer tastetrykk, installerer en utvidelse og henter ut GitHub OAuth-tokenet som sendes til github.dev. Tokenet er ikke begrenset til ett enkelt repository og gir tilgang til alle private repositories brukeren har tilgang til. Angrepet bruker deretter GitHub API-et til å kartlegge tilgjengelige private repositories. På publiseringstidspunktet var sårbarheten ikke rettet og hadde ikke fått tildelt CVE-nummer.

Anbefaling:

Tøm informasjonskapsler og lokal nettstedsdata for github.dev slik at innlogging til GitHub-utvidelsen krever eksplisitt godkjenning ved åpning av potensielt ondsinnede lenker

Posted by tsoc at 10:36 0 comments

Tuesday, 2 June 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.02

Ny DriveSurge trusselaktør bruker ClickFix og falske oppdateringer for å infisere besøkende på nettstedet. SmartApeSG kampanje bruker ClickFix teknikk for å distribuere NetSupport RAT.

Ny DriveSurge trusselaktør bruker ClickFix og falske oppdateringer for å infisere besøkende på nettstedet

DriveSurge er en ny identifisert trusselaktør som har kompromittert tusenvis av legitime nettsteder og bruker zTDS (Traffic Distribution System) til å omdirigere besøkende til skadevarekampanjer. Angrepene benytter enten falske nettleseroppdateringer (FakeUpdates) eller ClickFix teknikker som instruerer brukere til å lime inn ondsinnede kommandoer i PowerShell eller terminalvinduer. Den injiserte JavaScript-koden profilerer offerets operativsystem, nettleser og annen informasjon før passende angrepsmetode velges. Forskningen beskriver flere identifiserbare infrastrukturmønstre, inkludert spesifikke JavaScript-filer som t.js, ext-b.*.js og jsrepo, samt bruk av base64 obfuskering for å skjule zTDS komponenter. En analysert macOS payload lastes ned fra IP adressene 46.226.166[.]57 og 147.45.42[.]200, etablerer deretter C2-kommunikasjon mot 147.45.42[.]205:8133 og inneholder logikk for miljøprofilering og utklippsmanipulering. Aktøren ser ut til å operere som en Initial Access Broker med Pay-Per-Install modell der kompromitterte systemer videreselges til andre aktører

Anbefaling:

Blokker og overvåk kjente DriveSurge-indikatorer, inkludert zTDS-relatert JavaScript-innhold og kommunikasjon mot identifiserte C2-adresser.

SmartApeSG kampanje bruker ClickFix teknikk for å distribuere NetSupport RAT

SmartApeSG, også kjent som ZPHP eller HANEY MANEY, bruker kompromitterte nettsteder til å distribuere NetSupport RAT gjennom ClickFix baserte angrep. Besøkende blir presentert for en falsk CAPTCHA side som ber dem bekrefte at de er mennesker, men formålet er å få brukeren til å utføre ondsinnede kommandoer manuelt. Den injiserte JavaScript koden aktiveres bare under bestemte forhold og starter en infeksjonskjede som installerer NetSupport RAT på Windows-systemer. Angrepet har utviklet seg fra falske nettleseroppdateringer til ClickFix teknikker som gjør sosial manipulering mer troverdig og vanskeligere å oppdage. NetSupport RAT gir angriperen ekstern tilgang til det kompromitterte systemet og kan brukes til videre kontroll og aktivitet på maskinen. Kampanjen er observert på kompromitterte nettsteder hvor skjulte skript brukes til å omdirigere brukere til de falske verifikasjonssidene.

Anbefaling:

Overvåk kompromitterte nettsteder for uautoriserte JavaScript injeksjoner og blokker ClickFix relaterte verifikasjonssider som ber brukere kjøre kommandoer manuelt.

Posted by tsoc at 12:05 0 comments
Subscribe to: Posts (Atom)
 
>