Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday, 29 May 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.05.29

Sårbarhet i Veeam Backup & Replication kan gi ekstern kodekjøring. Ny PureLogs variant bruker "process hollowing" via MsBuild.exe. Microsoft advarer mot offentlig publisering av zero-day-detaljer før koordinering med leverandør.

Sårbarhet i Veeam Backup & Replication kan gi ekstern kodekjøring

En kritisk sårbarhet er oppdaget i Veeam Backup & Replication og kan gi autentiserte domenebrukere mulighet til å utføre kode eksternt på backupserveren. Sårbarheten påvirker domenetilknyttede installasjoner av Veeam Backup & Replication versjon 12.3.0.310 og alle tidligere versjoner i 12 serien. Feilen skyldes utilstrekkelig validering av brukerinput i Veeam komponenter som er tilgjengelige for domenebrukere. En angriper med gyldig domenekonto kan sende spesiallagde forespørsler til backupserveren og oppnå kjøring av vilkårlig kode. Veeam har publisert sikkerhetsoppdateringer i versjon 12.3.1 for å løse sårbarheten. Backupsystemer er attraktive mål fordi kompromittering kan gi tilgang til sikkerhetskopier og påvirke gjenoppretting etter ransomwareangrep.

Anbefaling:

Oppgrader til Veeam Backup & Replication 13.0.2.29 uten forsinkelse og begrens privilegier for lokale brukere på backup-systemer.

Sårbarheter:

Ny PureLogs variant bruker "process hollowing" via MsBuild.exe

En ny variant av PureLogs malware distribueres gjennom phishingeposter som utgir seg for å være innkjøpsordrer med vedlagte arkivfiler. Angrepet starter med en obfuskert JavaScript fil som dekrypterer og kjører et PowerShell skript som igjen laster en kryptert .NET modul direkte i minnet. Kampanjen bruker prosesshuling mot Windows prosessen MsBuild.exe for å skjule kjøringen av skadevaren og redusere synlighet for sikkerhetsverktøy. Den nedlastede .NET modulen er forkledd som en legitim Windows Task Scheduler komponent og kommuniserer med en ekstern C2 server for å hente flere moduler. PureLogs er utviklet for å stjele nettleserdata, legitimasjon, kryptolommebokfiler og systeminformasjon fra kompromitterte Windows systemer. Angrepet benytter flere lag med obfuskering, filløs kjøring og legitime Windows komponenter for å gjøre analyse og deteksjon vanskeligere.

Microsoft advarer mot offentlig publisering av zero-day-detaljer før koordinering med leverandør

Microsoft advarte mot offentlig publisering av zero-day-sårbarheter uten forhåndskoordinering med leverandøren etter at flere Windows-relaterte sårbarheter ble publisert før sikkerhetsoppdateringer var tilgjengelige. De berørte sårbarhetene inkluderer RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma og MiniPlasma, hvor flere av dem gir SYSTEM-rettigheter eller påvirker sikkerhetsmekanismer som Windows Defender og BitLocker. Ifølge Microsoft ble tekniske detaljer og proof-of-concept-kode gjort offentlig uten Coordinated Vulnerability Disclosure (CVD), noe som økte eksponeringsvinduet for ubeskyttede systemer. BlueHammer, RedSun og UnDefend er beskrevet som sårbarheter som allerede har vært brukt i aktive angrep. Microsoft opplyser at manglende forhåndsvarsling kompliserer utvikling av mitigeringer og sikkerhetsoppdateringer. Selskapet fremhever at angripere aktivt overvåker offentlige disclosures for å utvikle exploit-kode før patcher er tilgjengelige.

Anbefaling:

Følg Microsofts sikkerhetsoppdateringer tett og implementer patcher umiddelbart når de blir tilgjengelige.

Posted by tsoc at 13:05 0 comments

Thursday, 28 May 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.05.28

Ny ondsinnet npm-pakke "Malware-Slop" eksfiltrerer data ved bruk av GitHub Tokens.

Ny ondsinnet npm-pakke "Malware-Slop" eksfiltrerer data ved bruk av GitHub Tokens

En ny ondsinnet npm-pakke under navnet "mouse5212-super-formatter" har blitt oppkalt "Malware-Slop" og fungerer som en infostealer og forsøker å stjele filer, tokens og sensitiv utviklerinformasjon fra kompromitterte miljøer. Skadevaren ble oppdaget av OX Security, og det spesielle i dette tilfellet er at angriperen ved en feil inkluderte sin egen hardkodede private GitHub-token i pakken. Dette leder direkte til hvorfor skadevaren ble oppkalt Malware-Slop, hvor ondsinnede agenter uten forståelse for opsec-konsepter kan ta i bruk AI verktøy for å generere lugubre skadevarer.

Hendelsen føyer seg inn i en større trend med supply-chain-angrep mot npm-økosystemet, hvor angripere kompromitterer eller publiserer falske pakker for å infisere utviklermiljøer og CI/CD-pipelines. Flere nyere kampanjer som Shai-Hulud og lignende skadevare-familier har vist hvor effektivt slike angrep kan spre seg gjennom kompromitterte avhengigheter og stjålne utviklertokens.

Anbefaling:

Om man har lastet ned "mouse5212-super-formatter" anbefaler OX Security at man bør tilbakekalle sine GitHub Access Tokens, i tillegg til å se etter sensitive filer i mappen «/mnt/user-data» og behandle dem som kompromitterte.

Posted by tsoc at 12:01 0 comments

Wednesday, 27 May 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.05.27

Kritisk SharePoint sårbarhet kan gi fjernkjøring av kode.

Kritisk SharePoint sårbarhet kan gi fjernkjøring av kode

Microsoft har publisert informasjon om en alvorlig sårbarhet i Microsoft SharePoint, identifisert som CVE-2026-45659. Sårbarheten skyldes usikker deserialisering av upålitelig data, og kan utnyttes av en autentisert angriper til å kjøre vilkårlig kode over nettet. Feilen har CVSS-score 8.8 og krever lav kompleksitet for utnyttelse.

Berørte systemer inkluderer SharePoint Enterprise Server 2016, SharePoint Server 2019 og SharePoint Server Subscription Edition. Microsoft har publisert sikkerhetsoppdateringer for de berørte versjonene. Per nå finnes det ingen offentlig bekreftet aktiv utnyttelse, men er vurdert som mulig å bli utnyttet av autentiserte angripere.

Anbefaling:

Det anbefales å installere de siste sikkerhetsoppdateringene fra Microsoft som gjelder de påvirkede produktene.

Sårbarheter:

Posted by tsoc at 12:01 0 comments

Tuesday, 26 May 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.05.26

Ghost CMS-feil utnyttet til å kompromittere over 700 nettsteder. FBI advarer om Kali365 som retter seg mot Microsoft 365-kontoer. Alvorlige sårbarheter i mye brukt nettverksutstyr.

Ghost CMS-feil utnyttet til å kompromittere over 700 nettsteder

En aktiv kampanje utnytter SQL-injeksjonssårbarheten CVE-2026-26980 i Ghost CMS for å kompromittere nettsteder og distribuere ClickFix-relatert skadevare. Sårbarheten påvirker Ghost CMS Content API og gjør det mulig å hente ut data fra databasen uten autentisering, inkludert nettstedets Admin API Key. Ved bruk av denne nøkkelen kunne angriperne benytte Ghost Admin API til å endre eksisterende innhold og injisere ondsinnet JavaScript på nettstedene. Over 700 nettsteder ble kompromittert i kampanjen. Feilen ble rettet i Ghost versjon 6.19.1. Sårbarheten har en CVSS-score på 9,4 og gir tilgang til sensitive data som kan brukes til videre kompromittering av nettstedet.

Anbefaling:

Oppgrader Ghost CMS til versjon 6.19.1 eller nyere.

Sårbarheter:

FBI advarer om Kali365 som retter seg mot Microsoft 365-kontoer

Kali365 er en phishing-som-tjeneste (PhaaS) plattform som brukes til å kapre Microsoft 365-kontoer ved å misbruke OAuth Device Code autentisering. Plattformen ble først observert i april 2026 og distribueres via Telegram, der angripere får tilgang til ferdige phishing-kampanjer, AI-genererte lokkemeldinger og funksjoner for innsamling av OAuth-token.

Angrepet benytter «device code phishing», hvor offeret mottar en e-post som utgir seg for å komme fra en legitim sky- eller dokumentdelingstjeneste og inneholder en enhetskode. Når brukeren legger inn koden på Microsofts legitime innloggingsside og fullfører MFA, utstedes OAuth access- og refresh-token som angriperen fanger opp.

Berørt system er Microsoft 365 og tilhørende Microsoft Entra-identiteter. Den tekniske årsaken er misbruk av OAuth 2.0 Device Authorization Grant flyten, der angriperen får gyldige token uten å stjele passord eller MFA-koder.

Konsekvensen er vedvarende tilgang til tjenester som Outlook, Teams og OneDrive, samt andre applikasjoner tilgjengelige via brukerens Single Sign-On-konto. Dette gir mulighet for datatyveri og videre misbruk av kontoer uten nye MFA-utfordringer.

Anbefaling:

Begrens eller blokker Device Code Flow gjennom Conditional Access-policyer, slik FBI anbefaler.

Alvorlige sårbarheter i mye brukt nettverksutstyr

Ubiquiti har publisert sikkerhetsoppdateringer for flere alvorlige sårbarheter i UniFi OS, inkludert tre med maksimal alvorlighetsgrad.

Kritiske sårbarheter

  • CVE-2026-34908

    • Feil i tilgangskontroll gjør det mulig å utføre uautoriserte endringer

  • CVE-2026-34909

    • Path traversal gjør det mulig å få tilgang til filer på systemet

  • CVE-2026-34910

    • Command injection gjør det mulig å kjøre vilkårlige kommandoer

Alle tre kan utnyttes av angripere uten privilegier, og med lav kompleksitet.

Andre sårbarheter som er patchet

  • En ekstra command injection (CVE-2026-33000)

  • En informasjonlekkasje (CVE-2026-34911)

Risiko

  • Kan føre til full kompromittering av systemet

  • Kan gi tilgang til sensitiv informasjon

  • Kan utnyttes i automatiserte angrep

Omtrent 100 000 UniFi-enheter er eksponert på internett, noe som øker risikoen.

Anbefaling:

Dette er en kritisk situasjon som bør prioriteres høyt. Kombinasjonen av lav kompleksitet og mangel på autentisering gjør sårbarhetene spesielt farlige. - Oppdater UniFi OS umiddelbart - Unngå eksponering av management-grensesnitt mot internett - Overvåk logger for mistenkelig aktivitet

Posted by tsoc at 15:56 0 comments

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.05.26

Ghost CMS-feil utnyttet til å kompromittere over 700 nettsteder. FBI advarer om Kali365 som retter seg mot Microsoft 365-kontoer. Alvorlige sårbarheter i mye brukt nettverksutstyr.

Ghost CMS-feil utnyttet til å kompromittere over 700 nettsteder

En aktiv kampanje utnytter SQL-injeksjonssårbarheten CVE-2026-26980 i Ghost CMS for å kompromittere nettsteder og distribuere ClickFix-relatert skadevare. Sårbarheten påvirker Ghost CMS Content API og gjør det mulig å hente ut data fra databasen uten autentisering, inkludert nettstedets Admin API Key. Ved bruk av denne nøkkelen kunne angriperne benytte Ghost Admin API til å endre eksisterende innhold og injisere ondsinnet JavaScript på nettstedene. Over 700 nettsteder ble kompromittert i kampanjen. Feilen ble rettet i Ghost versjon 6.19.1. Sårbarheten har en CVSS-score på 9,4 og gir tilgang til sensitive data som kan brukes til videre kompromittering av nettstedet.

Anbefaling:

Oppgrader Ghost CMS til versjon 6.19.1 eller nyere.

Sårbarheter:

FBI advarer om Kali365 som retter seg mot Microsoft 365-kontoer

Kali365 er en phishing-som-tjeneste (PhaaS) plattform som brukes til å kapre Microsoft 365-kontoer ved å misbruke OAuth Device Code autentisering. Plattformen ble først observert i april 2026 og distribueres via Telegram, der angripere får tilgang til ferdige phishing-kampanjer, AI-genererte lokkemeldinger og funksjoner for innsamling av OAuth-token.

Angrepet benytter «device code phishing», hvor offeret mottar en e-post som utgir seg for å komme fra en legitim sky- eller dokumentdelingstjeneste og inneholder en enhetskode. Når brukeren legger inn koden på Microsofts legitime innloggingsside og fullfører MFA, utstedes OAuth access- og refresh-token som angriperen fanger opp.

Berørt system er Microsoft 365 og tilhørende Microsoft Entra-identiteter. Den tekniske årsaken er misbruk av OAuth 2.0 Device Authorization Grant flyten, der angriperen får gyldige token uten å stjele passord eller MFA-koder.

Konsekvensen er vedvarende tilgang til tjenester som Outlook, Teams og OneDrive, samt andre applikasjoner tilgjengelige via brukerens Single Sign-On-konto. Dette gir mulighet for datatyveri og videre misbruk av kontoer uten nye MFA-utfordringer.

Anbefaling:

Begrens eller blokker Device Code Flow gjennom Conditional Access-policyer, slik FBI anbefaler.

Alvorlige sårbarheter i mye brukt nettverksutstyr

Ubiquiti har publisert sikkerhetsoppdateringer for flere alvorlige sårbarheter i UniFi OS, inkludert tre med maksimal alvorlighetsgrad.

Kritiske sårbarheter

  • CVE-2026-34908

    • Feil i tilgangskontroll gjør det mulig å utføre uautoriserte endringer

  • CVE-2026-34909

    • Path traversal gjør det mulig å få tilgang til filer på systemet

  • CVE-2026-34910

    • Command injection gjør det mulig å kjøre vilkårlige kommandoer

Alle tre kan utnyttes av angripere uten privilegier, og med lav kompleksitet.

Andre sårbarheter som er patchet

  • En ekstra command injection (CVE-2026-33000)

  • En informasjonlekkasje (CVE-2026-34911)

Risiko

  • Kan føre til full kompromittering av systemet

  • Kan gi tilgang til sensitiv informasjon

  • Kan utnyttes i automatiserte angrep

Omtrent 100 000 UniFi-enheter er eksponert på internett, noe som øker risikoen.

Anbefaling:

Dette er en kritisk situasjon som bør prioriteres høyt. Kombinasjonen av lav kompleksitet og mangel på autentisering gjør sårbarhetene spesielt farlige. - Oppdater UniFi OS umiddelbart - Unngå eksponering av management-grensesnitt mot internett - Overvåk logger for mistenkelig aktivitet

Posted by tsoc at 13:41 0 comments

Monday, 25 May 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.05.25

Claude Mythos AI finner 10 000 alvorlige sårbarheter i mye brukt programvare.

Claude Mythos AI finner 10 000 alvorlige sårbarheter i mye brukt programvare

Anthropics Project Glasswing har identifisert over 10 000 sårbarheter med høy eller kritisk alvorlighetsgrad i samfunnskritisk programvare ved hjelp av AI-modellen Claude Mythos Preview. Av 6 202 kandidater i mer enn 1 000 åpen kildekode-prosjekter ble 1 726 verifisert som reelle funn, der 1 094 ble vurdert som høy eller kritisk alvorlighetsgrad. En av de bekreftede sårbarhetene er CVE-2026-5194 i WolfSSL, som gjør det mulig å forfalske sertifikater og utgi seg for å være en legitim tjeneste. Prosjektet har så langt bidratt til at 97 funn er rettet og 88 sikkerhetsvarsler er publisert. Artikkelen fremhever at AI-baserte verktøy nå finner sårbarheter raskere enn organisasjoner klarer å validere og utbedre dem. Anthropic anbefaler derfor kortere patch-sykluser, raskere utrulling av sikkerhetsoppdateringer, flerfaktorautentisering og bedre logging for deteksjon og respons.

Anbefaling:

Forkort test- og utrullingstiden for sikkerhetsoppdateringer

Sårbarheter:

Posted by tsoc at 09:41 0 comments

Friday, 22 May 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.05.22

Windows Defender nulldagssårbarhet utnyttes aktivt i angrep. Kritisk sårbarhet i Cisco Secure Workload kan gi uautorisert administrator-tilgang. Badiis skadevare kaprer IIS servere og gjør dem til skjulte proxy noder. WantToCry løsepengevirus misbruker SMB tjenester for lateral spredning. GhostTree skadevare angriper EDR produkter for å skjule aktivitet.

Windows Defender nulldagssårbarhet utnyttes aktivt i angrep

To lekkede Windows Defender nulldagssårbarheter, CVE-2026-45498 og CVE-2026-41091, blir aktivt brukt etter at exploit kode ble publisert offentlig på GitHub. Sårbarhetene påvirker Microsoft Defender sin anti-skadevare motor og oppdateringsmekanisme, og gir lokal privilegieeskalering til SYSTEM på Windows 10, Windows 11 og enkelte Windows Server systemer. Angrepene bruker race conditions, path confusion, NTFS junction points og manipulasjon av Defender sin sanerings og signaturoppdateringsprosess uten behov for kernel utnyttelse eller minnekorrupsjon. Huntress observerte kjøring av binærer som FunnyApp.exe, RedSun.exe og Undef.exe fra bruker-skrivbare mapper som Downloads og Pictures. Angriperne kjørte også kommandoer som whoami /priv, cmdkey /list og net group før privilegieeskalering. Microsoft publiserte oppdaterte Defender Engine og plattform versjoner for å redusere risikoen og blokkere aktiv utnyttelse.

Anbefaling:

Administratorer bør kontrollere at Defender Engine versjonen er minst 1.1.26040.8 og at anti-skadevare platform versjonen er minst 4.18.26040.7 på alle endepunkter. Oppdateringer kan tvangskjøres via Windows Security → Virus & threat protection → Protection updates → Check for updates. I Windows Security → Settings → About.

Kritisk sårbarhet i Cisco Secure Workload kan gi uautorisert administrator-tilgang

En kritisk sårbarhet i Cisco Secure Workload gjør det mulig å få uautorisert administrator-tilgang til berørte systemer uten gyldig autentisering. Feilen skyldes utilstrekkelig validering i autentiseringsmekanismen til webgrensesnittet, noe som lar en angriper sende spesiallagde HTTP forespørsler direkte mot applikasjonen. En vellykket utnyttelse gir tilgang til administrative funksjoner og sensitiv systeminformasjon. Sårbarheten påvirker Cisco Secure Workload installasjoner som er offentlig tilgjengelige eller eksponert internt mot mindre betrodde nettverk. Cisco publiserte sikkerhetsoppdateringer for å rette feilen og opplyste at det ikke finnes workarounds som fullt ut eliminerer risikoen. Artikkelen oppgir ikke aktiv utnyttelse, men understreker at sårbarheten har høy alvorlighetsgrad på grunn av muligheten for full administrativ kontroll.

Anbefaling:

Organisasjoner bør oppgradere til faste versjoner som inkluderer sikkerhetsfiksen. Versjon 3.10 er rettet i 3.10.8.3, versjon 4.0 er rettet i 4.0.3.17, og kunder som bruker versjon 3.9 eller eldre må migrere til en støttet versjon med tilgjengelig sikkerhetsfiks.

Sårbarheter:

Badiis skadevare kaprer IIS servere og gjør dem til skjulte proxy noder

Badiis er en ny skadevar familie som kompromitterer Microsoft IIS servere og gjør dem om til skjulte proxy servere for videre angrep og anonym trafikkruting. Skadevaren installerer et ondsinnet IIS modulbibliotek som injiseres direkte i IIS workerprosessen (w3wp.exe) og overvåker innkommende HTTP forespørsler for spesifikke kommandoer sendt av angriperen. Når riktige verdier oppdages i HTTP headere eller URL parametere, åpner modulen en proxy tunnel som lar angriperen videresende trafikk gjennom den kompromitterte serveren. Aktiviteten skjules ved å operere inne i legitime IIS prosesser uten å opprette separate prosesser eller tjenester. Analysen viser at malware operatørene brukte IIS serverne til å skjule opprinnelsen til videre angrep og til å omgå nettverksfiltrering. Kampanjen ble observert mot offentlig eksponerte Windows servere med IIS installert, spesielt systemer med svak eller manglende tilgangskontroll.

WantToCry løsepengevirus misbruker SMB tjenester for lateral spredning

WantToCry er en ny løsepengevirus variant som sprer seg gjennom SMB tjenester for å kompromittere Windows systemer i interne nettverk. skadevare familien bruker stjålne eller svake brukerdetaljer til å autentisere mot eksponerte SMB delinger og kopierer deretter ransomware binærer til andre systemer for videre kjøring. Analysen viser at skadevaren benytter innebygde Windows verktøy og skript for lateral bevegelse og fjernutførelse etter kompromittering. Krypteringen retter seg mot brukerdata og delte nettverksressurser, samtidig som filer får nye filendelser og løsepengebeskjeder legges igjen på berørte systemer. Aktiviteten ble observert mot miljøer med utilstrekkelig segmentering og SMB eksponering mellom interne systemer. Artikkelen beskriver også at løsepengevirus operatørene forsøker å deaktivere sikkerhetsmekanismer og prosesser før krypteringen starter for å redusere muligheten for gjenoppretting.

GhostTree skadevare angriper EDR produkter for å skjule aktivitet

GhostTree er en skadevare familie utviklet for å deaktivere og omgå EDR produkter på kompromitterte Windows systemer. Skadevaren identifiserer aktive sikkerhetsprosesser og bruker direkte prosessmanipulasjon, tjenestekontroll og driverrelaterte teknikker for å stoppe overvåkning og redusere deteksjon. Analysen viser at GhostTree forsøker å terminere sikkerhetsagenter, blokkere telemetri og forhindre oppstart av beskyttelsesmekanismer før videre skadevareaktivitet utføres. skadevare koden inneholder støtte for flere kjente EDR og antivirusløsninger og bruker legitime Windows API-er for å skjule handlingene inne i normale systemprosesser. Etter deaktivering av sikkerhetsverktøy kan angriperne laste inn ytterligere payloads, utføre fjernkommandoer og etablere vedvarende tilgang til systemet. Aktiviteten ble observert i målrettede angrep der omgåelse av endpoint beskyttelse var nødvendig for videre kompromittering.

Posted by tsoc at 12:07 0 comments
Subscribe to: Posts (Atom)
 
>