Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday, 5 June 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.05

Cisco tetter kritisk SSRF sårbarhet i Unified Communications Manager. Ny sårbarhet i Microsoft Edge lar angripere kjøre kode.

Cisco tetter kritisk SSRF sårbarhet i Unified Communications Manager

Cisco har publisert sikkerhetsoppdateringer for CVE-2026-20230 i Cisco Unified Communications Manager (Unified CM) og Unified Communications Manager Session Management Edition (Unified CM SME). Sårbarheten er en server-side request forgery (SSRF) feil som skyldes mangelfull validering av spesifikke HTTP-forespørsler. En uautentisert angriper kan sende en spesiallaget HTTP-forespørsel til et sårbart system og få systemet til å skrive filer til det underliggende operativsystemet. Filskrivingen kan deretter brukes til å eskalere privilegier til root på den berørte enheten. Cisco oppgir CVSS-score 8.6, men vurderer den praktiske sikkerhetspåvirkningen som kritisk på grunn av muligheten for root-tilgang. Det finnes offentlig tilgjengelig proof-of-concept kode for sårbarheten, og Cisco har gjort oppdateringer tilgjengelige for berørte versjoner.

Anbefaling:

Installer de Cisco-oppdateringene som adresserer CVE-2026-20230 så snart som mulig.

Sårbarheter:

Ny sårbarhet i Microsoft Edge lar angripere kjøre kode

En nylig omtalt sårbarhet i Microsoft Edge (Chromium-basert) kan føre til fjernkjøring av kode (RCE) dersom en bruker besøker et ondsinnet nettsted. Sårbarheten utnyttes via spesiallaget webinnhold og krever normalt brukerinteraksjon. En vellykket utnyttelse kan gi angriper mulighet til å kjøre vilkårlig kode med rettighetene til innlogget bruker. Det er per nå ikke bekreftet aktiv utnyttelse i stor skala, og det finnes ingen kjente funn i kundemiljøer. Alle systemer som kjører utdaterte versjoner av Microsoft Edge kan være berørt. Risikoen vurderes som moderat til høy, gitt Edges utbredelse i virksomhetsmiljøer.

Anbefaling:

Det anbefales å oppdatere Edge til nyeste versjon så raskt som mulig. I tillegg bør organisasjoner overvåke mistenkelig nettleserrelatert aktivitet og begrense brukerrettigheter der det er mulig.

Sårbarheter:

Posted by tsoc at 11:14 0 comments

Thursday, 4 June 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.04

Nytt “HTTP/2 Bomb” DoS-angrep krasjer servere på under ett minutt.

Nytt “HTTP/2 Bomb” DoS-angrep krasjer servere på under ett minutt

Et nytt denial-of-service (DoS)-angrep, kalt HTTP/2 Bomb, kan utføres fra én enkelt maskin for å ta ned webservere i løpet av sekunder.

Metoden fungerer mot vanlige HTTP/2-konfigurasjoner på store webservere, inkludert NGINX, Apache HTTP Server, Microsoft IIS, Envoy og Cloudflare Pingora.

HTTP/2 Bomb kombinerer to tidligere kjente HTTP/2 DoS-teknikker: Ressursbinding i Slowloris-stil gjennom HTTP/2-flytkontrollstopp og HPACK-kompresjonsforsterkning.

Når disse teknikkene kombineres, kan én enkelt klient med en båndbredde på 100 Mbps bruke opp titalls gigabyte med RAM på få sekunder. Dette skjer ved at serveren tvinges til å allokere minne uten at det blir frigitt.

Som et resultat kan én byte sendt fra angriperen føre til tusenvis av byte med minneallokering på serversiden. Tester viser at Envoy og Apache httpd har de verste forholdstallene, med henholdsvis rundt 5700:1 og 4000:1.

Den andre delen av angrepet handler om å hindre at minnet frigjøres etter at forespørselen er fullført. Dette kan oppnås ved å annonsere et "zero-byte flow control window". I stedet for å sende et svar, vil serveren periodisk sende små WINDOW_UPDATE-rammer for å unngå tidsavbrudd.

I dette scenarioet blir forespørselen aldri fullført, og det allokerte minnet fortsetter å vokse uten å bli frigitt.

Videre informasjon og sårbarheter

Fullstendige tekniske detaljer om HTTP/2 Bomb angrepet vil bli offentliggjort på Real World AI Security konferansen senere denne måneden, i en presentasjon av forskeren Quang Luong. Samtidig har proof-of-concept utnyttelser allerede blitt publisert.

Det er imidlertid ikke alle webservere som er sårbare for HTTP/2 Bomb. Enkelte plattformer har allerede mottatt sikkerhetsoppdateringer, og noen tilpassede serverkonfigurasjoner kan gi en viss grad av beskyttelse.

Sårbarheten er blant annet utbedret i:

  • NGINX 1.29.8, som introduserer direktivet max_headers

  • Apache httpd mod_http2 2.0.41, der sårbarheten er registrert som CVE-2026-49975

Per nå finnes det ingen tilgjengelige oppdateringer for IIS, Envoy eller Pingora. For disse anbefales det å:

  • deaktivere HTTP/2 der det er mulig

  • plassere en proxy eller brannmur foran serveren som begrenser antall headere

Anbefaling:

For å beskytte seg mot HTTP/2 Bomb-angrepet anbefales det å oppdatere berørt programvare, deaktivere HTTP/2 der det er mulig, og implementere beskyttelse via proxy eller brannmur med strenge begrensninger på headere og ressursbruk.

Sårbarheter:

Posted by tsoc at 12:01 0 comments

Wednesday, 3 June 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.03

Google retter en aktivt utnyttet Android zero-day og 124 andre sårbarheter. VS Code-nulldagssårbarhet lar angripere stjele GitHub-token med ett klikk.

Google retter en aktivt utnyttet Android zero-day og 124 andre sårbarheter

Google har publisert Android-sikkerhetsoppdateringene for juni 2026 som retter 124 sårbarheter, inkludert en zero-day som er blitt utnyttet i målrettede angrep. Den aktivt utnyttede sårbarheten CVE-2025-48595 finnes i Android Framework og påvirker enheter som kjører Android 14 eller nyere. Feilen gjør det mulig for en lokal angriper å oppnå kodekjøring og privilegieeskalering på sårbare enheter. Google opplyser at sårbarheten har vært under begrenset og målrettet utnyttelse. Oppdateringen retter også 18 kritiske sårbarheter i System-, Framework- og Qualcomm komponenter. Den mest alvorlige av disse kan føre til ekstern privilegieeskalering uten behov for brukerinteraksjon eller ekstra kjørerettigheter. Oppdateringene distribueres gjennom sikkerhetsnivåene 2026-06-01 og 2026-06-05, der sist nevnte inkluderer alle rettelser fra første nivå samt ytterligere tredjeparts- og kjerne komponenter.

Anbefaling:

Installer Android-sikkerhetsoppdateringen fra juni 2026 så snart den er tilgjengelig for enheten.

VS Code-nulldagssårbarhet lar angripere stjele GitHub-token med ett klikk

En offentliggjort nulldagssårbarhet i Visual Studio Code gjør det mulig å stjele GitHub OAuth-token ved å lure brukere til å klikke på en lenke. Sårbarheten påvirker github.dev og utnytter meldingsutvekslingen mellom VS Code sine sandkasse isolerte webviews og hoved editoren. Det publiserte proof-of-concept angrepet kjører ondsinnet JavaScript i et webview og simulerer tastetrykk, installerer en utvidelse og henter ut GitHub OAuth-tokenet som sendes til github.dev. Tokenet er ikke begrenset til ett enkelt repository og gir tilgang til alle private repositories brukeren har tilgang til. Angrepet bruker deretter GitHub API-et til å kartlegge tilgjengelige private repositories. På publiseringstidspunktet var sårbarheten ikke rettet og hadde ikke fått tildelt CVE-nummer.

Anbefaling:

Tøm informasjonskapsler og lokal nettstedsdata for github.dev slik at innlogging til GitHub-utvidelsen krever eksplisitt godkjenning ved åpning av potensielt ondsinnede lenker

Posted by tsoc at 10:36 0 comments

Tuesday, 2 June 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.02

Ny DriveSurge trusselaktør bruker ClickFix og falske oppdateringer for å infisere besøkende på nettstedet. SmartApeSG kampanje bruker ClickFix teknikk for å distribuere NetSupport RAT.

Ny DriveSurge trusselaktør bruker ClickFix og falske oppdateringer for å infisere besøkende på nettstedet

DriveSurge er en ny identifisert trusselaktør som har kompromittert tusenvis av legitime nettsteder og bruker zTDS (Traffic Distribution System) til å omdirigere besøkende til skadevarekampanjer. Angrepene benytter enten falske nettleseroppdateringer (FakeUpdates) eller ClickFix teknikker som instruerer brukere til å lime inn ondsinnede kommandoer i PowerShell eller terminalvinduer. Den injiserte JavaScript-koden profilerer offerets operativsystem, nettleser og annen informasjon før passende angrepsmetode velges. Forskningen beskriver flere identifiserbare infrastrukturmønstre, inkludert spesifikke JavaScript-filer som t.js, ext-b.*.js og jsrepo, samt bruk av base64 obfuskering for å skjule zTDS komponenter. En analysert macOS payload lastes ned fra IP adressene 46.226.166[.]57 og 147.45.42[.]200, etablerer deretter C2-kommunikasjon mot 147.45.42[.]205:8133 og inneholder logikk for miljøprofilering og utklippsmanipulering. Aktøren ser ut til å operere som en Initial Access Broker med Pay-Per-Install modell der kompromitterte systemer videreselges til andre aktører

Anbefaling:

Blokker og overvåk kjente DriveSurge-indikatorer, inkludert zTDS-relatert JavaScript-innhold og kommunikasjon mot identifiserte C2-adresser.

SmartApeSG kampanje bruker ClickFix teknikk for å distribuere NetSupport RAT

SmartApeSG, også kjent som ZPHP eller HANEY MANEY, bruker kompromitterte nettsteder til å distribuere NetSupport RAT gjennom ClickFix baserte angrep. Besøkende blir presentert for en falsk CAPTCHA side som ber dem bekrefte at de er mennesker, men formålet er å få brukeren til å utføre ondsinnede kommandoer manuelt. Den injiserte JavaScript koden aktiveres bare under bestemte forhold og starter en infeksjonskjede som installerer NetSupport RAT på Windows-systemer. Angrepet har utviklet seg fra falske nettleseroppdateringer til ClickFix teknikker som gjør sosial manipulering mer troverdig og vanskeligere å oppdage. NetSupport RAT gir angriperen ekstern tilgang til det kompromitterte systemet og kan brukes til videre kontroll og aktivitet på maskinen. Kampanjen er observert på kompromitterte nettsteder hvor skjulte skript brukes til å omdirigere brukere til de falske verifikasjonssidene.

Anbefaling:

Overvåk kompromitterte nettsteder for uautoriserte JavaScript injeksjoner og blokker ClickFix relaterte verifikasjonssider som ber brukere kjøre kommandoer manuelt.

Posted by tsoc at 12:05 0 comments

Monday, 1 June 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.01

WP Maps Pro-feil utnyttet for å opprette administrator kontoer på WordPress nettsteder.

WP Maps Pro-feil utnyttet for å opprette administrator kontoer på WordPress nettsteder

En kritisk sårbarhet (CVE-2026-8732) i WordPress plugin WP Maps Pro gjør det mulig for angripere å opprette administrator kontoer uten autentisering. Feilen skyldes en svakhet i en “midlertidig tilgang” funksjon, som kan misbrukes til å generere en admin-bruker og gi passordfri innlogging. Sårbarheten utnyttes allerede aktivt, med tusenvis av blokkerte angrepsforsøk det siste døgnet. Med admin‑tilgang kan angripere ta full kontroll over nettstedet, installere skadevare og hente ut data. Brukere anbefales å oppdatere umiddelbart til versjon 6.1.1.

Sårbarheter:

Posted by tsoc at 12:04 0 comments

Friday, 29 May 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.05.29

Sårbarhet i Veeam Backup & Replication kan gi ekstern kodekjøring. Ny PureLogs variant bruker "process hollowing" via MsBuild.exe. Microsoft advarer mot offentlig publisering av zero-day-detaljer før koordinering med leverandør.

Sårbarhet i Veeam Backup & Replication kan gi ekstern kodekjøring

En kritisk sårbarhet er oppdaget i Veeam Backup & Replication og kan gi autentiserte domenebrukere mulighet til å utføre kode eksternt på backupserveren. Sårbarheten påvirker domenetilknyttede installasjoner av Veeam Backup & Replication versjon 12.3.0.310 og alle tidligere versjoner i 12 serien. Feilen skyldes utilstrekkelig validering av brukerinput i Veeam komponenter som er tilgjengelige for domenebrukere. En angriper med gyldig domenekonto kan sende spesiallagde forespørsler til backupserveren og oppnå kjøring av vilkårlig kode. Veeam har publisert sikkerhetsoppdateringer i versjon 12.3.1 for å løse sårbarheten. Backupsystemer er attraktive mål fordi kompromittering kan gi tilgang til sikkerhetskopier og påvirke gjenoppretting etter ransomwareangrep.

Anbefaling:

Oppgrader til Veeam Backup & Replication 13.0.2.29 uten forsinkelse og begrens privilegier for lokale brukere på backup-systemer.

Sårbarheter:

Ny PureLogs variant bruker "process hollowing" via MsBuild.exe

En ny variant av PureLogs malware distribueres gjennom phishingeposter som utgir seg for å være innkjøpsordrer med vedlagte arkivfiler. Angrepet starter med en obfuskert JavaScript fil som dekrypterer og kjører et PowerShell skript som igjen laster en kryptert .NET modul direkte i minnet. Kampanjen bruker prosesshuling mot Windows prosessen MsBuild.exe for å skjule kjøringen av skadevaren og redusere synlighet for sikkerhetsverktøy. Den nedlastede .NET modulen er forkledd som en legitim Windows Task Scheduler komponent og kommuniserer med en ekstern C2 server for å hente flere moduler. PureLogs er utviklet for å stjele nettleserdata, legitimasjon, kryptolommebokfiler og systeminformasjon fra kompromitterte Windows systemer. Angrepet benytter flere lag med obfuskering, filløs kjøring og legitime Windows komponenter for å gjøre analyse og deteksjon vanskeligere.

Microsoft advarer mot offentlig publisering av zero-day-detaljer før koordinering med leverandør

Microsoft advarte mot offentlig publisering av zero-day-sårbarheter uten forhåndskoordinering med leverandøren etter at flere Windows-relaterte sårbarheter ble publisert før sikkerhetsoppdateringer var tilgjengelige. De berørte sårbarhetene inkluderer RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma og MiniPlasma, hvor flere av dem gir SYSTEM-rettigheter eller påvirker sikkerhetsmekanismer som Windows Defender og BitLocker. Ifølge Microsoft ble tekniske detaljer og proof-of-concept-kode gjort offentlig uten Coordinated Vulnerability Disclosure (CVD), noe som økte eksponeringsvinduet for ubeskyttede systemer. BlueHammer, RedSun og UnDefend er beskrevet som sårbarheter som allerede har vært brukt i aktive angrep. Microsoft opplyser at manglende forhåndsvarsling kompliserer utvikling av mitigeringer og sikkerhetsoppdateringer. Selskapet fremhever at angripere aktivt overvåker offentlige disclosures for å utvikle exploit-kode før patcher er tilgjengelige.

Anbefaling:

Følg Microsofts sikkerhetsoppdateringer tett og implementer patcher umiddelbart når de blir tilgjengelige.

Posted by tsoc at 13:05 0 comments

Thursday, 28 May 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.05.28

Ny ondsinnet npm-pakke "Malware-Slop" eksfiltrerer data ved bruk av GitHub Tokens.

Ny ondsinnet npm-pakke "Malware-Slop" eksfiltrerer data ved bruk av GitHub Tokens

En ny ondsinnet npm-pakke under navnet "mouse5212-super-formatter" har blitt oppkalt "Malware-Slop" og fungerer som en infostealer og forsøker å stjele filer, tokens og sensitiv utviklerinformasjon fra kompromitterte miljøer. Skadevaren ble oppdaget av OX Security, og det spesielle i dette tilfellet er at angriperen ved en feil inkluderte sin egen hardkodede private GitHub-token i pakken. Dette leder direkte til hvorfor skadevaren ble oppkalt Malware-Slop, hvor ondsinnede agenter uten forståelse for opsec-konsepter kan ta i bruk AI verktøy for å generere lugubre skadevarer.

Hendelsen føyer seg inn i en større trend med supply-chain-angrep mot npm-økosystemet, hvor angripere kompromitterer eller publiserer falske pakker for å infisere utviklermiljøer og CI/CD-pipelines. Flere nyere kampanjer som Shai-Hulud og lignende skadevare-familier har vist hvor effektivt slike angrep kan spre seg gjennom kompromitterte avhengigheter og stjålne utviklertokens.

Anbefaling:

Om man har lastet ned "mouse5212-super-formatter" anbefaler OX Security at man bør tilbakekalle sine GitHub Access Tokens, i tillegg til å se etter sensitive filer i mappen «/mnt/user-data» og behandle dem som kompromitterte.

Posted by tsoc at 12:01 0 comments
Subscribe to: Posts (Atom)
 
>