Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Thursday, 19 March 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.03.19

Kritisk Telnetd sårbarhet gir uautentisert root RCE i GNU InetUtils. Ubuntu sårbarhet (CVE-2026-3888) kan gi lokal root-tilgang via namespace-feil. Kritisk sårbarhet i UniFi Network Application.

Kritisk Telnetd sårbarhet gir uautentisert root RCE i GNU InetUtils

En kritisk sårbarhet i GNU InetUtils telnetd, identifisert som CVE-2026-32746 (CVSS 9.8), gjør det mulig for en uautentisert ekstern angriper å oppnå "remote code execution" (RCE) som root. Feilen skyldes en "out-of-bounds write" i håndteringen av "LINEMODE SLC suboption", som fører til buffer overflow under Telnet protokollens handshake før autentisering. Angrepet krever kun én tilkobling til port 23, uten bruk av påloggingsinformasjon eller brukerinteraksjon. Sårbarheten påvirker alle versjoner opp til og med 2.7, og det finnes foreløpig ingen patch, men en forventes innen 1. april 2026. Vellykket utnyttelse kan gi full systemkontroll og åpne for bakdører, datatyveri og videre spredning i nettverk.

Anbefaling:

Deaktiver Telnet tjenesten dersom den ikke er nødvendig. Dersom den må brukes, kjør den uten root rettigheter. Blokker port 23 både på nettverksnivå og host basert brannmur, og begrens tilgang til kun nødvendige systemer. Isoler Telnet tjenester i egne nettverkssoner. Følg med på og installer patch så snart den blir tilgjengelig.

Sårbarheter:

Ubuntu sårbarhet (CVE-2026-3888) kan gi lokal root-tilgang via namespace-feil

En ny sårbarhet i Ubuntu identifisert som CVE-2026-3888 gjør det mulig for lokale angripere å eskalere privilegier til root gjennom feil håndtering av user namespaces i Linux-kjernen. Problemet oppstår når systemet feilaktig tillater tilgang til ressurser på tvers av namespace-grenser, noe som kan utnyttes til å oppnå høyere privilegier. Sårbarheten påvirker flere Ubuntu-versjoner og krever at angriperen allerede har lokal tilgang til systemet, men gir deretter full kontroll over maskinen.

Det er publisert proof-of-concept kode som demonstrerer hvordan sårbarheten kan utnyttes i praksis, noe som øker risikoen for aktiv utnyttelse. Canonical har bekreftet problemet og har gitt ut sikkerhetsoppdateringer for berørte versjoner av Ubuntu.

Anbefaling:

Oppdater Ubuntu-systemer til nyeste sikkerhetsoppdateringer umiddelbart. Deaktiver user namespaces dersom det ikke er nødvendig i miljøet. Begrens lokal tilgang til systemer og bruk prinsippet om minste privilegium. Overvåk systemer for mistenkelig aktivitet og forsøk på privilege escalation

Sårbarheter:

Kritisk sårbarhet i UniFi Network Application

Det er oppdaget to alvorlige sikkerhetssårbarheter i UniFi Network Application fra Ubiquiti, hvor den mest kritiske har fått en CVSS-score på 10.0.

Den første sårbarheten (CVE-2026-22557) er en såkalt path traversal-feil som kan utnyttes av en angriper med nettverkstilgang. Denne gir mulighet til å lese og manipulere filer på det underliggende systemet, og i verste fall oppnå tilgang til kontoer.

Den andre sårbarheten (CVE-2026-22558) gjelder en NoSQL injection-feil. Denne krever at angriperen allerede har autentisert tilgang, men kan føre til eskalering av privilegier.

Flere versjoner av UniFi Network Application er berørt, inkludert versjon 10.1.85 og tidligere. Også release candidate-versjoner og UniFi Express-enheter er påvirket.

Ubiquiti anbefaler at brukere oppdaterer til følgende versjoner så snart som mulig:

  • UniFi Network Application 10.1.89 eller nyere

  • Release Candidate 10.2.97 eller nyere

  • UniFi Express firmware 4.0.13 eller nyere

Sårbarhetene understreker viktigheten av jevnlige oppdateringer og god tilgangskontroll i nettverksmiljøer.

Posted by tsoc at 15:30 0 comments

Wednesday, 18 March 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.03.18

Apple slipper første bakgrunnsoppdatering for sikkerhet for å fikse WebKit-sårbarhet.

Apple slipper første bakgrunnsoppdatering for sikkerhet for å fikse WebKit-sårbarhet

Apple har introdusert en ny type sikkerhetsoppdatering som installeres automatisk i bakgrunnen uten full OS oppdatering, kalt “Rapid Security Response” eller lignende mekanisme. Denne første oppdateringen adresserer en sårbarhet i WebKit, nettlesermotoren som brukes av Safari og alle nettlesere på iOS og iPadOS. Feilen kunne utnyttes gjennom ondsinnet webinnhold og føre til minnekorrupsjon eller potensielt kjøring av vilkårlig kode. Apple har ikke bekreftet aktiv utnyttelse i dette tilfellet, men lignende WebKit-sårbarheter har tidligere blitt brukt i målrettede angrep.

Oppdateringen distribueres automatisk til nyere enheter og kan installeres raskere enn tradisjonelle OS-oppdateringer. Formålet er å redusere tiden brukere er sårbare for kritiske feil, spesielt i komponenter som WebKit som eksponeres direkte via nettinnhold.

Anbefaling:

Brukere bør sørge for at automatiske oppdateringer er aktivert slik at bakgrunnsoppdateringer installeres umiddelbart. Det anbefales også å starte enheten på nytt ved behov for å sikre at oppdateringen er aktiv. Organisasjoner bør overvåke at enheter faktisk mottar disse oppdateringene og ikke kun baserer seg på tradisjonelle OS-patcher.

Posted by tsoc at 12:18 0 comments

Tuesday, 17 March 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.03.17

GlassWorm angrep bruker stjålne GitHub tokens for å tvinge skadelig programvare inn i Python repoer.

GlassWorm angrep bruker stjålne GitHub tokens for å tvinge skadelig programvare inn i Python repoer

GlassWorm kampanjen har utviklet en ny angrepsmetode kalt ForceMemo, hvor angripere bruker stjålne GitHub tokens til å få tilgang til utviklerkontoer og injisere skadelig kode i Python repositorier. Angrepet innebærer at angriperne rebaser legitime commits med ondsinnet kode og deretter force pusher dette til hovedbranchen samtidig som original commit informasjonen som melding der forfatter og dato beholdes. Dette gjør angrepet svært vanskelig å oppdage siden det ikke etterlater synlige spor som pull requests eller endringshistorikk i GitHub grensesnittet.

Kampanjen har vært aktiv siden minst 8. mars 2026, og benytter også en C2 infrastruktur knyttet til kryptotransaksjoner hvor payload URLer oppdateres hyppig. Dette er første kjente supply chain angrep som bruker denne typen historikkmanipulasjon for å skjule ondsinnede endringer.

Anbefaling:

Organisasjoner bør rotere alle GitHub tokens og andre kompromitterte brukerdetaljer umiddelbart. Det anbefales også å overvåke repositories for uautoriserte force pushes, implementere strengere tilgangskontroll og bruke sikkerhetsverktøy som kan oppdage uvanlige endringer i commit historikk. Videre bør man aktivere logging og varsling for kontoaktivitet og sikre bruk av multifaktorautentisering for utviklerkontoer.

Posted by tsoc at 12:14 0 comments

Monday, 16 March 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.03.16

Falske enterprise VPN-nettsteder brukt til å stjele VPN-legitimasjon. ClickFix-kampanjer sprer MacSync macOS-infostealer via falske AI-verktøyinstallatører.

Falske enterprise VPN-nettsteder brukt til å stjele VPN-legitimasjon

En trusselaktør identifisert som Storm-2561 distribuerer falske nedlastinger av populære enterprise VPN-klienter for å stjele VPN-legitimasjon fra brukere. Angriperne bruker SEO-forgiftning for å manipulere søkeresultater slik at brukere som søker etter VPN-klienter blir sendt til falske nettsteder som etterligner legitime leverandører som Ivanti, Cisco og Fortinet.

Den falske klienten viser et troverdig påloggingsvindu der brukeren blir bedt å oppgi VPN-brukernavn og passord. Disse opplysningene sendes så til den ondsinnede aktørens infrastruktur. I tillegg kan skadevaren stjele lokal VPN-konfigurasjon som er lagret i "connectionstore.dat" filen.

For å skjule angrepet viser installasjonsprogrammet en feilmelding etter tyveriet og viser frem instruksjoner for å laste ned den legitime VPN-klienten. Dermed kan kompromitteringen bli misforstått som en teknisk feil og gå ubemerket.

ClickFix-kampanjer sprer MacSync macOS-infostealer via falske AI-verktøyinstallatører

Tre separate ClickFix-kampanjer er avdekket som distribusjonsvektor for en macOS-informasjonstyver kalt MacSync. I motsetning til tradisjonelle utnyttelsesbaserte angrep er metoden helt avhengig av brukerinteraksjon – vanligvis i form av kopiering og kjøring av kommandoer – noe som gjør den særlig effektiv mot brukere som ikke er klar over konsekvensene av å kjøre ukjente og obfuskerte terminalkommandoer.

Det er foreløpig ukjent om kampanjene er utført av samme trusselaktør. Tre distinkte kampanjer er dokumentert:

November 2025: En kampanje som brukte OpenAI Atlas-nettleseren som lokkemat, distribuert via sponsede søkeresultater på Google, ledet brukere til en falsk Google Sites-URL med en nedlastingsknapp. Ved klikk ble det vist instruksjoner om å åpne Terminal og lime inn en kommando, som lastet ned et shellscript. Shellscriptet ba brukeren om systempassordet og kjørte deretter MacSync med brukernivå-tillatelser.

Desember 2025: En malvertising-kampanje som utnyttet sponsede lenker knyttet til søk som «how to clean up your Mac» på Google, ledet brukere til delte samtaler på det legitime OpenAI ChatGPT-nettstedet for å gi inntrykk av at lenkene var trygge. ChatGPT-samtalene omdirigerte ofrene til ondartede GitHub-inspirerte landingssider som lurte brukere til å kjøre ondartede kommandoer i Terminal.

Februar 2026: En kampanje rettet mot Belgia, India og deler av Nord- og Sør-Amerika, som distribuerte en ny variant av MacSync via ClickFix-lokkemat. Den nyeste iterasjonen støtter dynamiske AppleScript-nyttelaster og kjøring i minnet for å omgå statisk analyse, adferdsdetektion og komplisere hendelseshåndtering.

Shellscriptet som kjøres etter terminalkommandoen, kontakter en hardkodet server og henter den ondartede AppleScript-nyttelasten, og sletter samtidig spor etter datatyveriet. Den ondartede programvaren er utstyrt for å høste et bredt spekter av data fra kompromitterte enheter, inkludert legitimasjonsdata, filer, nøkkelringdatabaser og seed-fraser fra kryptovaluta-lommebøker.

Funnene indikerer at trusselaktørene tilpasser metoden for å holde seg ett skritt foran sikkerhetsverktøy, og utnytter tilliten brukere har til ChatGPT-samtaler for å overbevise dem om å kjøre ondartede kommandoer. Den nyeste varianten representerer sannsynligvis en tilpasning fra skadevare-utvikleren for å opprettholde effektiviteten mot oppdaterte OS- og programvaresikkerhetstiltak.

I de siste månedene har ClickFix-kampanjer brukt legitime plattformer som Cloudflare Pages, Squarespace og Tencent EdgeOne til å hoste falske installasjonsanvisninger for utviklerverktøy som Anthropics Claude Code. URL-ene distribueres via ondsinnte søkemotorannonser.

Brukere anbefales å utvise forsiktighet ved nedlasting av programvare, opprettholde en null-tillit-tankegang, bruke anerkjent sikkerhetsprogramvare og holde seg oppdatert på de nyeste phishing- og ClickFix-taktikkene som benyttes av ondsinnede aktører. Viktig å merke seg er at selv klarerte nettsteder kan kompromitteres og brukes mot intetanende besøkende.

Posted by tsoc at 13:47 0 comments

Friday, 13 March 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.03.13

To nye aktivt utnyttede Nulldagssårbarheter i Chrome, hasteoppdatering er sendt ut. . Apple Utgir Sikkerhetsoppdateringer for Eldre iOS Enheter etter Coruna WebKit Utnyttelse.

To nye aktivt utnyttede Nulldagssårbarheter i Chrome, hasteoppdatering er sendt ut.

Google har sendt ut en hasteoppdatering etter å ha oppdaget to alvorlige nulldagssårbarheter i Chrome som er under aktiv utnyttelse.

Den første ligger i grafikkbiblioteket Skia og kan gjøre det mulig for angripere å kjøre vilkårlig kode, mens den andre befinner seg i V8‑motoren som håndterer JavaScript. Google holder tilbake tekniske detaljer til de fleste brukerne har oppdatert.

Dette er den andre og tredje aktivt utnyttede nulldagssårbarhetene Google har fikset i Chrome så langt i 2026.

Anbefaling:

Det anbefales å oppdatere Chrome til nyeste versjon så raskt som mulig.

Apple Utgir Sikkerhetsoppdateringer for Eldre iOS Enheter etter Coruna WebKit Utnyttelse

Apple har publisert sikkerhetsoppdateringer for eldre versjoner av iOS og iPadOS etter at sårbarheten CVE-2023-43010 ble identifisert som brukt i Coruna exploit kit. Feilen ligger i WebKit og kan føre til minnekorrupsjon når ondsinnet webinnhold behandles, noe som potensielt kan åpne for videre utnyttelse av systemet. Sårbarheten ble opprinnelig fikset i iOS 17.2, iPadOS 17.2, macOS Sonoma 14.2 og Safari 17.2, men Apple har nå backportet oppdateringen til eldre enheter som ikke kan oppgraderes til nyere iOS versjoner. Oppdateringene gjelder spesielt iOS 15.8.7 / iPadOS 15.8.7 og iOS 16.7.15 / iPadOS 16.7.15, som dekker eldre enheter som blant annet iPhone 6s, iPhone 7, iPhone SE (1. generasjon), iPhone 8, iPhone X og flere iPad modeller. Samtidig inkluderer iOS 15.8.7 også patcher for ytterligere tre sårbarheter knyttet til Coruna exploit kjeden.

Anbefaling:

Oppdater iOS og iPadOS til nyeste tilgjengelige versjon for enheten så raskt som mulig. Organisasjoner bør sørge for at også eldre Apple enheter mottar tilgjengelige sikkerhetsoppdateringer, eller fases ut dersom de ikke lenger får patcher. Brukere bør også være forsiktige med å åpne ukjente lenker eller besøke mistenkelige nettsider siden WebKit sårbarheter kan utnyttes via spesiallaget webinnhold.

Posted by tsoc at 12:19 0 comments

Wednesday, 11 March 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.03.11

HPE advarer om flere alvorlige svakheter i Aruba Networking AOS-CX. Microsoft månedlig sikkerhetsoppdatering med 79 sårbarheter, Tirsdag – mars 2026.

HPE advarer om flere alvorlige svakheter i Aruba Networking AOS-CX

HPE har publisert sikkerhetsoppdateringer for flere sårbarheter i Aruba AOS-CX. Den mest alvorlige med CVSS score 9.8 kan gjøre det mulig for en uautentisert angriper å omgå autentisering i web-grensesnittet og potensielt tilbakestille admin passord. Andre sårbarheter inkluderer blant annet kommandoinjeksjon via CLI, og en åpen omdirigering sårbarhet i web-grensesnittet. Berørte versjoner er AOS-CX 10.17, 10.16, 10.13 og 10.10. Foreløpig finnes det ingen kjente aktive utnyttelser av svakhetene.

Anbefaling:

For å håndtere sårbarhetene i de berørte programvarene anbefales det å oppgradere HPE Networking AOS-CX til en av følgende versjoner: 10.17.1001+, 10.16.1030+, 10.13.1161+, 10.10.1180+.

Microsoft månedlig sikkerhetsoppdatering med 79 sårbarheter, Tirsdag – Mars 2026

Microsoft har utgitt sin månedlige sikkerhetsoppdatering for mars 2026. Denne inkluderer sikkerhetsoppdateringer som retter 79 sårbarheter som blant annet omfatter 2 offentlig avdekkede nulldagssårbarheter. Svakheten med høyest base CVSS score er CVE-2026-21536 med en score på 9.8. CVE-2026-21536 omfatter en svakhet i Microsoft Devices Pricing Program som kan tillate ekstern kjøring av kode. Det er ikke blitt avdekket noe misbruk av denne svakheten.

Anbefaling:

Microsoft anbefaler å installere disse oppdateringene så snart som mulig.

Sårbarheter:

Posted by tsoc at 11:50 0 comments

Monday, 9 March 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.03.09

Ny Variant av ClickFix Kampanje Lurer Windows brukere til å Starte Windows Terminal og Installere Lumma Infostealer. Falsk CleanMyMac nettside sprer Shub Stealer og stjeler Kryptovaluta Wallets på macOS. Falske installasjons guider for Claude Code sprer infostealer i InstallFix angrep.

Ny Variant av ClickFix Kampanje Lurer Windows brukere til å Starte Windows Terminal og Installere Lumma Infostealer

Microsoft Threat Intelligence har oppdaget en ny variant av ClickFix svindelen der angripere manipulerer Windows brukere til å starte Windows Terminal via hurtigtasten Windows + X → I og deretter lime inn en kommando som egentlig installerer malware. Kampanjen ble observert i februar 2026 og er en videreutvikling av tidligere ClickFix angrep som vanligvis brukte Win + R og Run dialogen. Ved å bruke Windows Terminal, som er et legitimt administrasjonsverktøy, prøver angriperne å unngå sikkerhetsdeteksjon siden aktiviteten ser mer normal ut i systemlogger. Kommandoen som ofrene limer inn er en sterkt kodet PowerShell kommando som starter en kompleks infeksjonskjede. I ett scenario lastes en omdøpt versjon av 7-Zip ned sammen med et komprimert malware payload som deretter etablerer persistens, legger til unntak i Microsoft Defender og samler system og nettleserdata. Til slutt installeres Lumma Stealer, en infostealer skadevare som injiserer seg i Chrome og Edge for å stjele lagrede passord og andre nettleserdata.

Anbefalinger: Brukere bør aldri kopiere og kjøre kommandoer fra nettsteder i Windows Terminal, PowerShell eller Run dialogen uten å forstå hva kommandoen gjør.

Organisasjoner bør implementere overvåking av PowerShell og terminalaktivitet, blokkere mistenkelige skript og styrke brukeropplæring rundt sosial manipulering (Social Engineering) og falske verifiseringssider.

Falsk CleanMyMac nettside sprer Shub Stealer og stjeler Kryptovaluta Wallets på macOS

Sikkerhetsforskere fra Malwarebytes har oppdaget en ny kampanje der angripere har opprettet en falsk nettside som utgir seg for å være CleanMyMac, et populært macOS optimaliseringsverktøy. Brukere som besøker siden blir lokket til å laste ned en tilsynelatende legitim installasjonsfil, men installasjonen inneholder i stedet malware. Når filen kjøres installeres Shub Stealer, en infostealer som kan hente sensitiv informasjon fra systemet, inkludert nettleserdata og lagrede legitimasjonsopplysninger. Skadevare pakken inneholder også en bakdør som spesifikt retter seg mot kryptovaluta wallets, hvor angriperne forsøker å stjele eller omdirigere kryptotransaksjoner ved å manipulere wallet relaterte data og prosesser. Kampanjen utnytter at CleanMyMac er et velkjent verktøy blant macOS brukere, noe som gjør det lettere å lure ofre til å installere programvaren uten å mistenke noe.

Falske installasjons guider for Claude Code sprer infostealer i InstallFix angrep

Sikkerhetsforskere fra Push Security har avdekket en ny sosial manipuleringsteknikk kalt InstallFix. Dette er en videreutvikling av ClickFix angrep, hvor angripere lager falske installasjonsguider for populære CLI verktøy. I kampanjen kopierer angripere installasjonssiden til Claude Code, et CLI-verktøy fra Anthropic, og distribuerer siden via sponsede Google annonser som dukker opp når brukere søker etter installasjon av verktøyet. Den falske siden er nesten identisk med den legitime og inneholder legitime lenker til den offisielle siden, men installasjonskommandoene er manipulert slik at de laster ned og kjører skadevare fra malisiøse servere.

Når brukere kopierer og kjører installasjonskommandoene i terminal eller kommandolinje, starter kommandoene blant annet Windows verktøyet mshta.exe for å hente en fjern HTA payload som installerer infostealeren Amatera. Denne skadevaren kan stjele passord, nettlesercookies, sesjonstokener og systeminformasjon. Kampanjen er vanskelig å oppdage fordi falske sider hostes på legitime plattformer som Cloudflare Pages, Squarespace og Tencent EdgeOne.

Posted by tsoc at 12:11 0 comments
Subscribe to: Comments (Atom)
 
>