Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Monday, 23 March 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.03.23

Trivy Supply Chain-angrep utløser selvspredende CanisterWorm på tvers av 47 npm-pakker.

Trivy Supply Chain-angrep utløser selvspredende CanisterWorm på tvers av 47 npm-pakker

Angriperne bak Trivy‑angrepet har kompromittert 47 npm‑pakker med en ny selvspredende skadevare kalt CanisterWorm. Skadevaren bruker en ICP-canister som et desentralisert kontrollpunkt for å hente kommandoer og nye payloads. Infiserte pakker installerer et Python-bakdørprogram som holder seg vedvarende via en systemd‑tjeneste. En nyere variant kan automatisk samle inn npm-tokens fra utviklere og CI‑miljøer og spre seg videre uten manuell innsats. Dette gjør at kompromitterte utviklere uvitende kan bli spredningspunkter, noe som forsterker rekkevidden dramatisk.

Posted by tsoc at 11:32 0 comments

Friday, 20 March 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.03.20

Kritisk Magento-sårbarhet muliggjør uautentisert RCE via filopplasting.

Kritisk Magento-sårbarhet muliggjør uautentisert RCE via filopplasting

Sansec beskriver en ny kritisk Magento/Adobe Commerce-sårbarhet kalt PolyShell, som lar angripere laste opp ondsinnet kode forkledd som bildefiler via REST API. Dette kan åpne opp risiko for uautentisert ekstern kjøring av kode og kontoovertakelse, avhengig av webserverkonfigurasjonen.

Nesten alle produksjonsversjoner av Magento 2 er berørt, med unntak av pre-release patch 2.4.9-alpha3 og nyere. Sansec skriver at de ikke har observert aktiv utnyttelse av denne sårbarheten, men forventer at angrep kommer til å oppstå i nær tid.

Anbefaling:

Det er foreløpig ikke utgitt en offisiell fiks for Magento versjoner i produksjon, men Sansec anbefaler blant annet å begrense tilgang til opplastingskatalogen for å hindre kjøring av potensielt ondsinnede filer.

Posted by tsoc at 12:39 0 comments

Thursday, 19 March 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.03.19

Kritisk Telnetd sårbarhet gir uautentisert root RCE i GNU InetUtils. Ubuntu sårbarhet (CVE-2026-3888) kan gi lokal root-tilgang via namespace-feil. Kritisk sårbarhet i UniFi Network Application.

Kritisk Telnetd sårbarhet gir uautentisert root RCE i GNU InetUtils

En kritisk sårbarhet i GNU InetUtils telnetd, identifisert som CVE-2026-32746 (CVSS 9.8), gjør det mulig for en uautentisert ekstern angriper å oppnå "remote code execution" (RCE) som root. Feilen skyldes en "out-of-bounds write" i håndteringen av "LINEMODE SLC suboption", som fører til buffer overflow under Telnet protokollens handshake før autentisering. Angrepet krever kun én tilkobling til port 23, uten bruk av påloggingsinformasjon eller brukerinteraksjon. Sårbarheten påvirker alle versjoner opp til og med 2.7, og det finnes foreløpig ingen patch, men en forventes innen 1. april 2026. Vellykket utnyttelse kan gi full systemkontroll og åpne for bakdører, datatyveri og videre spredning i nettverk.

Anbefaling:

Deaktiver Telnet tjenesten dersom den ikke er nødvendig. Dersom den må brukes, kjør den uten root rettigheter. Blokker port 23 både på nettverksnivå og host basert brannmur, og begrens tilgang til kun nødvendige systemer. Isoler Telnet tjenester i egne nettverkssoner. Følg med på og installer patch så snart den blir tilgjengelig.

Sårbarheter:

Ubuntu sårbarhet (CVE-2026-3888) kan gi lokal root-tilgang via namespace-feil

En ny sårbarhet i Ubuntu identifisert som CVE-2026-3888 gjør det mulig for lokale angripere å eskalere privilegier til root gjennom feil håndtering av user namespaces i Linux-kjernen. Problemet oppstår når systemet feilaktig tillater tilgang til ressurser på tvers av namespace-grenser, noe som kan utnyttes til å oppnå høyere privilegier. Sårbarheten påvirker flere Ubuntu-versjoner og krever at angriperen allerede har lokal tilgang til systemet, men gir deretter full kontroll over maskinen.

Det er publisert proof-of-concept kode som demonstrerer hvordan sårbarheten kan utnyttes i praksis, noe som øker risikoen for aktiv utnyttelse. Canonical har bekreftet problemet og har gitt ut sikkerhetsoppdateringer for berørte versjoner av Ubuntu.

Anbefaling:

Oppdater Ubuntu-systemer til nyeste sikkerhetsoppdateringer umiddelbart. Deaktiver user namespaces dersom det ikke er nødvendig i miljøet. Begrens lokal tilgang til systemer og bruk prinsippet om minste privilegium. Overvåk systemer for mistenkelig aktivitet og forsøk på privilege escalation

Sårbarheter:

Kritisk sårbarhet i UniFi Network Application

Det er oppdaget to alvorlige sikkerhetssårbarheter i UniFi Network Application fra Ubiquiti, hvor den mest kritiske har fått en CVSS-score på 10.0.

Den første sårbarheten (CVE-2026-22557) er en såkalt path traversal-feil som kan utnyttes av en angriper med nettverkstilgang. Denne gir mulighet til å lese og manipulere filer på det underliggende systemet, og i verste fall oppnå tilgang til kontoer.

Den andre sårbarheten (CVE-2026-22558) gjelder en NoSQL injection-feil. Denne krever at angriperen allerede har autentisert tilgang, men kan føre til eskalering av privilegier.

Flere versjoner av UniFi Network Application er berørt, inkludert versjon 10.1.85 og tidligere. Også release candidate-versjoner og UniFi Express-enheter er påvirket.

Ubiquiti anbefaler at brukere oppdaterer til følgende versjoner så snart som mulig:

  • UniFi Network Application 10.1.89 eller nyere

  • Release Candidate 10.2.97 eller nyere

  • UniFi Express firmware 4.0.13 eller nyere

Sårbarhetene understreker viktigheten av jevnlige oppdateringer og god tilgangskontroll i nettverksmiljøer.

Posted by tsoc at 15:30 0 comments

Wednesday, 18 March 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.03.18

Apple slipper første bakgrunnsoppdatering for sikkerhet for å fikse WebKit-sårbarhet.

Apple slipper første bakgrunnsoppdatering for sikkerhet for å fikse WebKit-sårbarhet

Apple har introdusert en ny type sikkerhetsoppdatering som installeres automatisk i bakgrunnen uten full OS oppdatering, kalt “Rapid Security Response” eller lignende mekanisme. Denne første oppdateringen adresserer en sårbarhet i WebKit, nettlesermotoren som brukes av Safari og alle nettlesere på iOS og iPadOS. Feilen kunne utnyttes gjennom ondsinnet webinnhold og føre til minnekorrupsjon eller potensielt kjøring av vilkårlig kode. Apple har ikke bekreftet aktiv utnyttelse i dette tilfellet, men lignende WebKit-sårbarheter har tidligere blitt brukt i målrettede angrep.

Oppdateringen distribueres automatisk til nyere enheter og kan installeres raskere enn tradisjonelle OS-oppdateringer. Formålet er å redusere tiden brukere er sårbare for kritiske feil, spesielt i komponenter som WebKit som eksponeres direkte via nettinnhold.

Anbefaling:

Brukere bør sørge for at automatiske oppdateringer er aktivert slik at bakgrunnsoppdateringer installeres umiddelbart. Det anbefales også å starte enheten på nytt ved behov for å sikre at oppdateringen er aktiv. Organisasjoner bør overvåke at enheter faktisk mottar disse oppdateringene og ikke kun baserer seg på tradisjonelle OS-patcher.

Posted by tsoc at 12:18 0 comments

Tuesday, 17 March 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.03.17

GlassWorm angrep bruker stjålne GitHub tokens for å tvinge skadelig programvare inn i Python repoer.

GlassWorm angrep bruker stjålne GitHub tokens for å tvinge skadelig programvare inn i Python repoer

GlassWorm kampanjen har utviklet en ny angrepsmetode kalt ForceMemo, hvor angripere bruker stjålne GitHub tokens til å få tilgang til utviklerkontoer og injisere skadelig kode i Python repositorier. Angrepet innebærer at angriperne rebaser legitime commits med ondsinnet kode og deretter force pusher dette til hovedbranchen samtidig som original commit informasjonen som melding der forfatter og dato beholdes. Dette gjør angrepet svært vanskelig å oppdage siden det ikke etterlater synlige spor som pull requests eller endringshistorikk i GitHub grensesnittet.

Kampanjen har vært aktiv siden minst 8. mars 2026, og benytter også en C2 infrastruktur knyttet til kryptotransaksjoner hvor payload URLer oppdateres hyppig. Dette er første kjente supply chain angrep som bruker denne typen historikkmanipulasjon for å skjule ondsinnede endringer.

Anbefaling:

Organisasjoner bør rotere alle GitHub tokens og andre kompromitterte brukerdetaljer umiddelbart. Det anbefales også å overvåke repositories for uautoriserte force pushes, implementere strengere tilgangskontroll og bruke sikkerhetsverktøy som kan oppdage uvanlige endringer i commit historikk. Videre bør man aktivere logging og varsling for kontoaktivitet og sikre bruk av multifaktorautentisering for utviklerkontoer.

Posted by tsoc at 12:14 0 comments

Monday, 16 March 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.03.16

Falske enterprise VPN-nettsteder brukt til å stjele VPN-legitimasjon. ClickFix-kampanjer sprer MacSync macOS-infostealer via falske AI-verktøyinstallatører.

Falske enterprise VPN-nettsteder brukt til å stjele VPN-legitimasjon

En trusselaktør identifisert som Storm-2561 distribuerer falske nedlastinger av populære enterprise VPN-klienter for å stjele VPN-legitimasjon fra brukere. Angriperne bruker SEO-forgiftning for å manipulere søkeresultater slik at brukere som søker etter VPN-klienter blir sendt til falske nettsteder som etterligner legitime leverandører som Ivanti, Cisco og Fortinet.

Den falske klienten viser et troverdig påloggingsvindu der brukeren blir bedt å oppgi VPN-brukernavn og passord. Disse opplysningene sendes så til den ondsinnede aktørens infrastruktur. I tillegg kan skadevaren stjele lokal VPN-konfigurasjon som er lagret i "connectionstore.dat" filen.

For å skjule angrepet viser installasjonsprogrammet en feilmelding etter tyveriet og viser frem instruksjoner for å laste ned den legitime VPN-klienten. Dermed kan kompromitteringen bli misforstått som en teknisk feil og gå ubemerket.

ClickFix-kampanjer sprer MacSync macOS-infostealer via falske AI-verktøyinstallatører

Tre separate ClickFix-kampanjer er avdekket som distribusjonsvektor for en macOS-informasjonstyver kalt MacSync. I motsetning til tradisjonelle utnyttelsesbaserte angrep er metoden helt avhengig av brukerinteraksjon – vanligvis i form av kopiering og kjøring av kommandoer – noe som gjør den særlig effektiv mot brukere som ikke er klar over konsekvensene av å kjøre ukjente og obfuskerte terminalkommandoer.

Det er foreløpig ukjent om kampanjene er utført av samme trusselaktør. Tre distinkte kampanjer er dokumentert:

November 2025: En kampanje som brukte OpenAI Atlas-nettleseren som lokkemat, distribuert via sponsede søkeresultater på Google, ledet brukere til en falsk Google Sites-URL med en nedlastingsknapp. Ved klikk ble det vist instruksjoner om å åpne Terminal og lime inn en kommando, som lastet ned et shellscript. Shellscriptet ba brukeren om systempassordet og kjørte deretter MacSync med brukernivå-tillatelser.

Desember 2025: En malvertising-kampanje som utnyttet sponsede lenker knyttet til søk som «how to clean up your Mac» på Google, ledet brukere til delte samtaler på det legitime OpenAI ChatGPT-nettstedet for å gi inntrykk av at lenkene var trygge. ChatGPT-samtalene omdirigerte ofrene til ondartede GitHub-inspirerte landingssider som lurte brukere til å kjøre ondartede kommandoer i Terminal.

Februar 2026: En kampanje rettet mot Belgia, India og deler av Nord- og Sør-Amerika, som distribuerte en ny variant av MacSync via ClickFix-lokkemat. Den nyeste iterasjonen støtter dynamiske AppleScript-nyttelaster og kjøring i minnet for å omgå statisk analyse, adferdsdetektion og komplisere hendelseshåndtering.

Shellscriptet som kjøres etter terminalkommandoen, kontakter en hardkodet server og henter den ondartede AppleScript-nyttelasten, og sletter samtidig spor etter datatyveriet. Den ondartede programvaren er utstyrt for å høste et bredt spekter av data fra kompromitterte enheter, inkludert legitimasjonsdata, filer, nøkkelringdatabaser og seed-fraser fra kryptovaluta-lommebøker.

Funnene indikerer at trusselaktørene tilpasser metoden for å holde seg ett skritt foran sikkerhetsverktøy, og utnytter tilliten brukere har til ChatGPT-samtaler for å overbevise dem om å kjøre ondartede kommandoer. Den nyeste varianten representerer sannsynligvis en tilpasning fra skadevare-utvikleren for å opprettholde effektiviteten mot oppdaterte OS- og programvaresikkerhetstiltak.

I de siste månedene har ClickFix-kampanjer brukt legitime plattformer som Cloudflare Pages, Squarespace og Tencent EdgeOne til å hoste falske installasjonsanvisninger for utviklerverktøy som Anthropics Claude Code. URL-ene distribueres via ondsinnte søkemotorannonser.

Brukere anbefales å utvise forsiktighet ved nedlasting av programvare, opprettholde en null-tillit-tankegang, bruke anerkjent sikkerhetsprogramvare og holde seg oppdatert på de nyeste phishing- og ClickFix-taktikkene som benyttes av ondsinnede aktører. Viktig å merke seg er at selv klarerte nettsteder kan kompromitteres og brukes mot intetanende besøkende.

Posted by tsoc at 13:47 0 comments

Friday, 13 March 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.03.13

To nye aktivt utnyttede Nulldagssårbarheter i Chrome, hasteoppdatering er sendt ut. . Apple Utgir Sikkerhetsoppdateringer for Eldre iOS Enheter etter Coruna WebKit Utnyttelse.

To nye aktivt utnyttede Nulldagssårbarheter i Chrome, hasteoppdatering er sendt ut.

Google har sendt ut en hasteoppdatering etter å ha oppdaget to alvorlige nulldagssårbarheter i Chrome som er under aktiv utnyttelse.

Den første ligger i grafikkbiblioteket Skia og kan gjøre det mulig for angripere å kjøre vilkårlig kode, mens den andre befinner seg i V8‑motoren som håndterer JavaScript. Google holder tilbake tekniske detaljer til de fleste brukerne har oppdatert.

Dette er den andre og tredje aktivt utnyttede nulldagssårbarhetene Google har fikset i Chrome så langt i 2026.

Anbefaling:

Det anbefales å oppdatere Chrome til nyeste versjon så raskt som mulig.

Apple Utgir Sikkerhetsoppdateringer for Eldre iOS Enheter etter Coruna WebKit Utnyttelse

Apple har publisert sikkerhetsoppdateringer for eldre versjoner av iOS og iPadOS etter at sårbarheten CVE-2023-43010 ble identifisert som brukt i Coruna exploit kit. Feilen ligger i WebKit og kan føre til minnekorrupsjon når ondsinnet webinnhold behandles, noe som potensielt kan åpne for videre utnyttelse av systemet. Sårbarheten ble opprinnelig fikset i iOS 17.2, iPadOS 17.2, macOS Sonoma 14.2 og Safari 17.2, men Apple har nå backportet oppdateringen til eldre enheter som ikke kan oppgraderes til nyere iOS versjoner. Oppdateringene gjelder spesielt iOS 15.8.7 / iPadOS 15.8.7 og iOS 16.7.15 / iPadOS 16.7.15, som dekker eldre enheter som blant annet iPhone 6s, iPhone 7, iPhone SE (1. generasjon), iPhone 8, iPhone X og flere iPad modeller. Samtidig inkluderer iOS 15.8.7 også patcher for ytterligere tre sårbarheter knyttet til Coruna exploit kjeden.

Anbefaling:

Oppdater iOS og iPadOS til nyeste tilgjengelige versjon for enheten så raskt som mulig. Organisasjoner bør sørge for at også eldre Apple enheter mottar tilgjengelige sikkerhetsoppdateringer, eller fases ut dersom de ikke lenger får patcher. Brukere bør også være forsiktige med å åpne ukjente lenker eller besøke mistenkelige nettsider siden WebKit sårbarheter kan utnyttes via spesiallaget webinnhold.

Posted by tsoc at 12:19 0 comments
Subscribe to: Comments (Atom)
 
>