Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday 19 July 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.07.19

Større globalt nettverksbrudd forårsaket av CrowdStrike. APT41 Infiltrerer Nettverk i Italia, Spania, Taiwan, Tyrkia og Storbritannia.


Større globalt nettverksbrudd forårsaket av CrowdStrike

En feilaktig oppdatering fra cybersikkerhetsselskapet CrowdStrike har ført til at Windows-maskiner ikke lenger klarer å starte opp som følge av en feil i kjerne-driveren til produktet. Påvirkede maskiner vil stå fast i "Blue Screen of Death" (BSOD) og er nødt til å fikses manuelt ved å starte opp maskinene i "Safe Mode". Ettersom dette er en relativt manuell prosess, samt at maskinene kan være kryptert med BitLocker, vil dette kreve mye innsats for å gjennomføre fiksen på tvers av mange maskiner samtidig.

Tekniske problemer har blitt rapportert fra en rekke sektorer, inkludert flyselskaper, banker og mediehus over hele verden.

CrowdStrike har identifisert og rullet tilbake den feilaktige oppdateringen.

APT41 Infiltrerer Nettverk i Italia, Spania, Taiwan, Tyrkia og Storbritannia

Flere organisasjoner innen global shipping og logistikk, media og underholdning, teknologi og bilindustri i Italia, Spania, Taiwan, Thailand, Tyrkia og Storbritannia har blitt mål for en vedvarende kampanje av den Kina-baserte hackergruppen APT41. APT41 har siden 2023 opprettholdt uautorisert tilgang til flere nettverk, noe som har gjort det mulig for dem å hente ut sensitiv data over lengre tid, ifølge en rapport fra Mandiant. Angrepene involverer bruk av web shell (ANTSWORD og BLUEBEAM), spesialtilpassede droppere (DUSTPAN og DUSTTRAP), og offentlige verktøy (SQLULDR2 og PINEGROVE) for å oppnå vedvarende tilgang og eksfiltrere data. Webshellene laster ned DUSTPAN-droppere som installerer Cobalt Strike Beacon for kommando- og kontrollkommunikasjon, etterfulgt av droppere for videre lateral bevegelse. Google har remediert de kompromitterte Workspace-kontoene for å hindre videre uautorisert tilgang.

Thursday 18 July 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.07.18

Cisco advarer om kritisk sårbarhet i Smart Software Manager. Oracle ruller ut 441 nye sikkerhetsoppdateringer. Google Chrome 126 sikkerhetsoppdatering adresserer 10 sårbarheter. Nordkoreanske hackere oppdaterer BeaverTail skadevare.


Cisco advarer om kritisk sårbarhet i Smart Software Manager

Cisco har utgitt oppdateringer for å adressere en kritisk sikkerhetsfeil i Smart Software Manager On-Prem (Cisco SSM On-Prem) som kan tillate en ekstern, ikke-autentisert angriper å endre passordet til alle brukere, inkludert administratorer. Sårbarheten, kjent som CVE-2024-20419, har en CVSS-score på 10.0 og skyldes feil implementering av passordendringsprosessen. Feilen påvirker versjoner 8-202206 og tidligere, men er løst i versjon 8-202212, og versjon 9 er ikke sårbar. Det finnes ingen midlertidige løsninger, og Cisco er ikke klar over noen aktiv utnyttelse.

Sårbarheter:

Oracle ruller ut 441 nye sikkerhetsoppdateringer

Oracle annonserte tirsdag 441 nye sikkerhetspatcher som en del av sin april 2024 Critical Patch Update, hvorav over 200 retter opp i sårbarheter som kan utnyttes eksternt uten autentisering. Det omfatter omtrent 330 unike CVE-er i denne oppdateringen, inkludert over 30 kritiske sårbarheter. Berørte produkter inkluderer blant annet Oracle Communications, Fusion Middleware, Financial Services Applications, E-Business Suite, MySQL og flere. Oracle oppfordrer kundene sine til å installere oppdateringene umiddelbart for å beskytte seg mot potensielle angrep.

Google Chrome 126 sikkerhetsoppdatering adresserer 10 sårbarheter

Google har lansert sikkerhetsoppdateringer for Chrome 126 som adresserer ti sårbarheter, inkludert åtte med høy alvorlighetsgrad. Disse ble funnet av eksterne forskere. De fleste av disse feilene er minnesikkerhetsproblemer som kan føre til sandbox-escape og ekstern kodeeksekvering. Oppdateringen retter opp feil i V8-motoren, use-after-free-feil i Screen Capture, et race condition i DevTools, og out-of-bounds minnetilgang i V8. Google har utbetalt over $32,000 i bug bounty-belønninger for disse sårbarhetene. Den nye Chrome-versjonen rulles ut som versjon 126.0.6478.182/183 for Windows og macOS, og 126.0.6478.182 for Linux, med tilsvarende oppdatering for Android.

Nordkoreanske hackere oppdaterer BeaverTail skadevare

Sikkerhetsforskere har oppdaget en oppdatert variant av "stealer" skadevare, som angripere tilknyttet Nord-Korea har brukt i tidligere spionasjekampanjer mot jobbsøkere. Denne varianten, en macOS DMG-fil kalt "MiroTalk.dmg", imiterer en legitim videotjeneste, men leverer faktisk BeaverTail-skadevare, ifølge sikkerhetsforsker Patrick Wardle. BeaverTail er kjent for å stjele sensitiv informasjon fra nettlesere og kryptolommebøker, og kan også levere tilleggsprogrammer som InvisibleFerret. Det er nå blitt distribuert via infiserte møteinvitasjoner i stedet for de tidligere brukte npm-pakkene. Sikkerhetseksperter advarer om at denne teknikken utnytter sosial manipulering og krever umiddelbare tiltak for å beskytte seg mot slike trusler.

Wednesday 17 July 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.07.17

Det har vært et rolig døgn.

Tuesday 16 July 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.07.16

AT&T betaler løsepenger etter datainnbrudd. Iranske Hackere Bruker Ny BugSleep Bakdør i Cyberangrep.


AT&T betaler løsepenger etter datainnbrudd

Det nylig avslørte datainnbruddet hos AT&T har blitt knyttet til en amerikansk hacker bosatt i Tyrkia. Telekomgiganten betalte angivelig 370 000 dollar i løsepenger for å sikre at den stjålne informasjonen ble slettet. Innbruddet påvirket samtlige av AT&T sine kunder, og dataene som ble stjålet inkluderte samtale- og tekstinteraksjoner fra mai 2022 til januar 2023. Selskapet påstår at ingen sensitive personopplysninger, som innholdet av samtaler eller tekstmeldinger, ble kompromittert. AT&T har begynt å varsle rundt 110 millioner kunder om hendelsen.

Iranske Hackere Bruker Ny BugSleep Bakdør i Cyberangrep

Den iranske statssponsede gruppen MuddyWater har blitt observert i bruk av en ny, hittil ukjent bakdør kalt BugSleep i en nylig angrepskampanje, ifølge Check Point og Sekoia. Denne gangen har de unngått sitt vanlige verktøy, det legitime overvåkingsprogrammet Atera, og brukt et nytt, uregistrert verktøy i stedet. Målet for angrepene inkluderer land som Tyrkia, Aserbajdsjan, Jordan, Saudi-Arabia, Israel og Portugal. MuddyWater er kjent for å kompromittere e-postkontoer gjennom spear-phishing. BugSleep er i stand til å laste ned og opp filer, åpne reverse shell samt etablere persistent tilgang på det kompromitterte systemet. Økt overvåking kan ha ført til at MuddyWater har skiftet til denne nye metoden.

Monday 15 July 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.07.15

Kritisk sårbarhet i Exim.


Kritisk sårbarhet i Exim

En kritisk sårbarhet, nå kjent som CVE-2024-39929, er funnet i over 1,5 millioner internett-tilgjengelige Exim mail transfer agent (MTA)-installasjoner. Denne gjør det mulig for angripere å levere ondsinnede kjørbare filer til brukernes inboxer, ifølge Censys. Feilen, med en CVSS-score på 9.1, påvirker RFC 2231 header-parsing, noe som fører til feil parsing av filnavn og potensielt omgåelse av mekanismer for blokkering av filtypeutvidelser. Utnyttelse kan muliggjøre kodekjøring og systemkompromittering dersom brukeren åpner vedlegget. Selv om proof-of-concept-kode er offentlig tilgjengelig, er det ikke observert noen utnyttelsesforsøk.

Censys bemerker at av 6,5 millioner internett-tilgjengelige SMTP-mailservere kjører omtrent 4,8 millioner Exim. Per 10. juli 2024 er 1.567.109 Exim-servere potensielt sårbare, hovedsakelig i USA, Russland og Canada. Selv om sårbarheten ble adressert i Exim MTA versjon 4.98, forblir de fleste servere upatchet. Kun 82 installasjoner kjører den patchede versjonen. Censys har gitt ressurser for å hjelpe organisasjoner med å identifisere og oppdatere sårbare Exim-installasjoner.

Anbefaling:

Oppdatere til nyeste Exim MTA iterasjon så fort det lar seg gjøre

Sårbarheter:

Friday 12 July 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.07.12

Kritisk Sikkerhetsfeil i Palo Alto Networks Expedition Verktøy Rettet.


Kritisk Sikkerhetsfeil i Palo Alto Networks Expedition Verktøy Rettet

Palo Alto Networks har utgitt sikkerhetsoppdateringer for å rette fem sårbarheter i sine produkter, inkludert en kritisk feil som kan føre til autentiseringsomgåelse. Den mest alvorlige sårbarheten, CVE-2024-5910 med en CVSS-score på 9,3, påvirker Expedition migreringsverktøyet og kan føre til at en angriper overtar en admin-konto. Sårbarheten påvirker alle versjoner av Expedition før versjon 1.2.92. Brukere oppfordres til å oppdatere til den nyeste versjonen for å beskytte seg mot potensielle trusler. Palo Alto Networks anbefaler også å begrense nettverkstilgang til Expedition til autoriserte brukere.

Sårbarheter:

Thursday 11 July 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.07.11

Angripere har utnyttet Microsoft Zero-Day i 18 måneder. GitLab patcher kritisk sårbarhet som tillater uautoriserte pipeline-jobber. VMware Fikser Kritisk SQL-Injection i Aria Automation.


Angripere har utnyttet Microsoft Zero-Day i 18 måneder

To separate trusselaktører har i minst 18 måneder utnyttet en null-dagers sårbarhet, CVE-2024-38112, i Microsofts MSHTML (Trident) motor, på nyere Windows 10 og Windows 11 systemer. Sårbarheten lar angripere sende spesiallagde URL-filer som åpner en farlig nettside i Internet Explorer. Ved hjelp av skjulte .hta-filer kamuflert som PDF-dokumenter, kan angripere kjøre skadelig kode som løsepengevirus og spionvare på offerets maskin. Angrepene har vært målrettet mot individer i Vietnam og Tyrkia, hvor angripere forsøker å installere infostealeren Atlantida. US Cybersecurity and Infrastructure Security Agency (CISA) oppfordrer nå organisasjoner til å implementere Microsofts sikkerhetstiltak for å beskytte seg mot sårbarheten.

GitLab patcher kritisk sårbarhet som tillater uautoriserte pipeline-jobber

GitLab har utgitt oppdateringer for å løse sikkerhetsfeil i sin programvareplattform, inkludert en kritisk feil (CVE-2024-6385) med en CVSS-score på 9,6 av 10. Feilen tillater angripere å kjøre pipeline-jobber som en vilkårlig bruker. Andre oppdateringer inkluderer en middels alvorlighetsgradssårbarhet (CVE-2024-5257) som lar en utvikler med spesifikke tillatelser endre URL-en for et gruppenavn. Alle sikkerhetsmangler er rettet i GitLab CE og EE versjoner 17.1.2, 17.0.4, og 16.11.6.

VMware Fikser Kritisk SQL-Injection i Aria Automation

VMware har adressert en kritisk SQL-injection sårbarhet (CVE-2024-22280) med en CVSSv3-score på 8,5, som påvirker deres Aria Automation-plattform. Aria Automation forenkler administrasjonen av skyinfrastruktur og applikasjoner. Sårbarheten tillater en autentisert, ondsinnet bruker å utføre uautoriserte les/skrive-operasjoner i databasen ved hjelp av spesiallagde SQL-forespørsler. Feilen påvirker versjon 8.x av Aria Automation og versjonene 5.x og 4.x av Cloud Foundation. VMware har ingen midlertidige løsninger for denne sårbarheten.

Sårbarheter:

 
>