Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Monday, 4 May 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.05.04

DEEP#DOOR Python Bakdør stjeler nettleser og Cloud brukerdetaljer via Tunneling. Windows 11 April 2026 Sikkerhetsppdatering skaper problemer for Tredjeparts Backup løsninger.

DEEP#DOOR Python Bakdør stjeler nettleser og Cloud brukerdetaljer via Tunneling

Sikkerhetsforskere har avdekket en avansert Python basert bakdør kalt DEEP#DOOR som gir angripere vedvarende tilgang og omfattende spionasjemuligheter på kompromitterte systemer. Infeksjonen starter med et batch script (install_obf.bat) som deaktiverer Windows sikkerhetsmekanismer, trekker ut en innebygd Python payload og etablerer persistens via blant annet "Registry Run keys", "Startup mapper" planlagte oppgaver og WMI. Skadevaren kommuniserer med angripere gjennom tunneling tjenesten bore[.]pub, noe som skjuler trafikk og eliminerer behovet for egen C2 infrastruktur. Funksjonaliteten inkluderer keylogging, skjerm og lydopptak, webcam tilgang, reverse shell og tyveri av brukerdetaljer fra nettlesere, SSH nøkler og cloud plattformer som AWS, Google Cloud og Azure. Den inneholder også omfattende unngåelses teknikker som AMSI og ETW bypass, sandbox detektering og loggsletting, samt en “self-healing” persistensmekanisme som gjenoppretter skadevarehvis den fjernes.

Windows 11 April 2026 Sikkerhetsppdatering skaper problemer for Tredjeparts Backup løsninger

Microsoft sin sikkerhetsoppdatering for Windows 11 fra april 2026 (KB5083769) forårsaker feil i "Volume Shadow Copy Service (VSS)", noe som fører til at tredjeparts backup løsninger feiler eller stopper helt. Problemet påvirker Windows 11 versjon 24H2 og 25H2, og resulterer i at backup-jobber enten timer ut eller ikke fullføres, noe som kan føre til manglende sikkerhetskopiering. Flere leverandører som UrBackup, Macrium Reflect og Acronis har bekreftet problemer og anbefaler midlertidig å avinstallere oppdateringen. Microsoft sin egen backup løsning er ikke påvirket. Det er utstedt en MS-DEFCON 3-advarsel, som innebærer at organisasjoner bør vente med utrulling til en fiks er tilgjengelig.

Anbefaling:

Unngå å installere KB5083769 i produksjonsmiljøer inntil en patch er tilgjengelig. Dersom oppdateringen allerede er installert og skaper problemer, bør den avinstalleres og oppdateringer pauses midlertidig. Verifiser backup status og test at backup løsninger fungerer som forventet. Følg med på oppdateringer fra Microsoft og leverandører for en permanent løsning.

Posted by tsoc at 12:06 0 comments

Thursday, 30 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.30

Kritisk RCE-sårbarhet (CVSS 10.0) i Google Gemini CLI – flere alvorlige feil også avdekket i Cursor. Ny alvorlig sårbarhet i Linux kernel.

Kritisk RCE-sårbarhet (CVSS 10.0) i Google Gemini CLI – flere alvorlige feil også avdekket i Cursor

Google har rettet en kritisk sårbarhet (CVSS 10.0) i Gemini CLI som kunne la eksterne angripere kjøre vilkårlige kommandoer på vertssystemer. Sårbarheten, som ikke har fått tildelt en egen CVE-identifikator, påvirker følgende versjoner:

  • @google/gemini-cli < 0.39.1

  • @google/gemini-cli < 0.40.0-preview.3

  • google-github-actions/run-gemini-cli < 0.1.22

Feilen ligger i at Gemini CLI ved kjøring i headless-modus (typisk i CI-miljøer) automatisk stolte på arbeidsmappen verktøyet kjørte i, og lastet inn konfigurasjon og miljøvariabler uten validering eller sandboxing. Dette gjorde det mulig for en angriper å plante en spesielt utformet konfigurasjon i .gemini/-mappen som førte til kodekjøring på verten før sandboxen ble initialisert. I praksis kunne CI/CD-pipelines som behandler pull requests fra eksterne bidragsytere bli forvandlet til supply chain-angrepsveier. Oppdateringen krever nå at mapper eksplisitt må markeres som tillitsverdige før konfigurasjonsfiler kan lastes. Brukere som kjører workflows på betrodde inndata kan sette GEMINI_TRUST_WORKSPACE: 'true', mens de som behandler utrygge inndata bør gjennomgå Googles veiledning for å sikre arbeidsflyten. Google har også strammet inn allowlisting av verktøy i --yolo-modus for å hindre at prompt injection via for eksempel GitHub issues kan utløse automatisk kjøring av shell-kommandoer.

Samtidig har Novee Security avdekket en høyalvorlig sårbarhet (CVE-2026-26268, CVSS 8.1) i utviklerverktøyet Cursor før versjon 2.5. Feilen lar en angriper bryte ut av sandboxen via .git-konfigurasjoner, ved å plante et "bare repository" med en ondartet Git-hook som utløses automatisk ved commit eller checkout. Et typisk angrep starter med at en bruker kloner et offentlig GitHub-repo som inneholder et innebygd "bare repository" med en post-checkout hook. Når brukeren deretter ber Cursor-agenten om å forklare kodebasen, parser agenten en AGENTS.md-fil som instruerer den til å kjøre git checkout i bare-repoet, hvilket utløser hooken og fører til kodekjøring uten ytterligere brukerinteraksjon. Sårbarheten ble patchet i februar 2026.

I tillegg har LayerX rapportert en så langt uadressert sårbarhet i Cursor (CVSS 8.2), kalt CursorJacking, som lar enhver installert utvidelse hente ut API-nøkler og legitimasjon lagret i en lokal SQLite-database. Cursor håndhever ikke tilgangskontroll mellom utvidelser og databasen, hvilket kan føre til kontoovertakelse, datalekkasje og økonomisk tap som følge av uautorisert API-bruk. Cursor har påpekt at angrepet forutsetter at brukeren allerede har installert en ondartet utvidelse lokalt, og oppfordrer derfor brukere til kun å installere utvidelser fra pålitelige kilder.

Brukere og organisasjoner anbefales å oppdatere Gemini CLI og Cursor til siste versjon umiddelbart, gjennomgå CI/CD-konfigurasjoner som benytter AI-agenter, og være restriktive med hvilke utvidelser som installeres i utviklingsmiljøet. Det bør også utvises ekstra varsomhet ved kloning av ukjente repositories, særlig når disse åpnes i AI-drevne IDE-er som autonomt kan utføre Git-operasjoner.

Sårbarheter:

Ny alvorlig sårbarhet i Linux kernel

Ny alvorlig sårbarhet i Linux kernel rammer så godt som alle Linux-distribusjoner laget etter 2017 frem til nylig oppdatering.

Sårbarheten vurderes å være mer alvorlig enn kalkulert i CVE(7.8) på grunn av utbredelsen av sårbare systemer.

CVE-2026-31431, også kalt Copy Fail, er en sårbarhet i linux kernel som finnes i alle store Linux distribusjoner, inkludert Ubuntu, Amazon Linux, RHEL, SUSE. Funnet er attibuert til Taeyang Lee, forsker på sikkerhet hos theori.io . Den har vært kjent i lukkede miljøer i ca. to uker, men er ikke publisert før nå.

I korte trekk gjør utnyttelse av sårbarheten det mulig for en vanlig bruker uten spesielle privilegier å bli root. Utnyttelse krever hverken nettverkstilgang, muligheter for debug eller installerte komponenter.

Anbefaling:

Oppdater Linux kernel til 6.19.13 eller senere, avhjelpende tiltak er å blokkere opprettelse av AF_ALG-sockets ved hjelp av seccomp eller å svarteliste algif_aead modulen.

Posted by tsoc at 11:41 0 comments

Wednesday, 29 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.29

Forskere oppdager kritisk GitHub RCE sårbarhet som kan utnyttes via en Git push.

Forskere oppdager kritisk GitHub RCE sårbarhet som kan utnyttes via en Git push

En kritisk sårbarhet identifisert som CVE-2026-3854 med CVSS score 8.7 påvirker både GitHub.com og GitHub Enterprise Server og kan gi fjernkjøring av kode via ett enkelt git push. Feilen skyldes manglende sanitering av bruker input i push opsjoner som ble inkludert i interne headers, noe som muliggjør command injection. En angriper med tilgang til å pushe til et repository kan dermed utføre vilkårlig kode på backend infrastrukturen.

På grunn av GitHub sin multi-tenant arkitektur kunne vellykket utnyttelse føre til kryss tenant tilgang, hvor angripere potensielt kan lese millioner av repositories på samme lagringsnode uavhengig av organisasjon. Sårbarheten ble oppdaget av Wiz og fikset svært raskt på GitHub.com, og det finnes per nå ingen indikasjoner på aktiv utnyttelse. Oppdateringer er tilgjengelig for flere versjoner av GitHub Enterprise Server.

Anbefaling:

Oppdater GitHub Enterprise Server til versjonene 3.14.25, 3.15.20, 3.16.16, 3.17.13, 3.18.8, 3.19.4, 3.20.0 eller nyere umiddelbart.

Sårbarheter:

Posted by tsoc at 12:02 0 comments

Tuesday, 28 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.28

Forskere avdekker 73 falske VS Code-utvidelser som sprer GlassWorm v2 malware. Rolle sårbarhet i Entra ID patchet av Microsoft.

Forskere avdekker 73 falske VS Code-utvidelser som sprer GlassWorm v2 malware

Forskere har identifisert 73 falske utvidelser i Open VSX-registeret for Visual Studio Code, som er del av en pågående kampanje kalt GlassWorm v2. Seks av disse er bekreftet skadelige, mens resten fungerer som såkalte “sleeper” pakker som bygger tillit før de senere kan oppdateres med skadevare. Kampanjen har eksistert siden desember 2025 og omfatter totalt over 320 artefakter. Utvidelsene etterligner legitime pakker med samme navn, ikon og beskrivelse for å lure utviklere til installasjon.

Angrepet benytter avanserte teknikker som typosquatting, sosial manipulering og Zig-baserte droppere for å installere en sekundær VSIX-utvidelse fra GitHub. Denne kan infisere flere IDE-er på samme maskin, inkludert VS Code, Cursor , VSCodium, og muliggjør tyveri av sensitiv informasjon og legitimasjon.

Anbefalinger:
Vær svært kritisk til hvilke VS Code-utvidelser som installeres, spesielt fra Open VSX. Verifiser utgiver, nedlastninger og autentisitet før installasjon, og unngå pakker som etterligner kjente utvidelser.

Rolle sårbarhet i Entra ID patchet av Microsoft

En administrativ rolle for AI‑agenter i Entra ID kan gjøre virksomheter sårbare for angrep som privilege escalation og identity takeover.

Forskere hos Silverfort har avdekket at rollen Agent ID Administrator, som Microsoft introduserte som en del av deres agent identity‑plattform, kunne tildeles brukere på en måte som ga dem utvidet tilgang til service principals. Dette gjorde det mulig å ta over eierskap av en tjenestebruker, legge til egne legitimasjonsdetaljer og deretter logge inn som den aktuelle service principal.

Microsoft har adressert og patchet denne sårbarheten etter 1. mars. Nye forsøk på å ta eierskap over en non-agent service principal resulterer nå i en Forbidden-feilmelding.

For å mitigere denne typen trusler anbefales organisasjoner å overvåke bruken av sensitive roller nøye, særlig roller knyttet til eierskap av service principals og endringer i legitimasjoner.

Posted by tsoc at 13:04 0 comments

Monday, 27 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.27

Ny bakdør holder seg aktiv på Cisco enheter etter patching.

Ny bakdør holder seg aktiv på Cisco enheter etter patching

Cybersikkerhetsmyndigheter i USA og Storbritannia advarer om en avansert bakdør kalt Firestarter som opprettholder tilgang på Cisco Firepower- og Secure Firewall enheter selv etter oppdateringer og patching. Angriperen, kjent som UAT-4356, utnytter sårbarheter som CVE-2025-20333 og CVE-2025-20362 for å få initiell tilgang.

Et typisk angrep starter med skadevaren Line Viper, som brukes til å etablere VPN tilgang og hente ut sensitiv konfigurasjon som brukerdetaljer og nøkler. Deretter installeres Firestarter, som sørger for vedvarende tilgang ved å integrere seg i kjernen av systemet (LINA) og automatisk reinstallere seg selv ved omstart eller terminering.

Skadevaren kan også kjøre angriperstyrt kode direkte i minnet via manipulerte WebVPN forespørsler. En særlig alvorlig egenskap er at den overlever omstart, firmwareoppdateringer og sikkerhetsoppdateringer. Cisco anbefaler re-installering og oppgradering av enheter for å fjerne trusselen.

Anbefaling:

Administratorer kan sjekke kompromittering ved å kjøre kommandoen show kernel process | include lina_cs. Oppdater og reinstaller berørte enheter umiddelbart, overvåk for mistenkelig aktivitet, og sørg for at kjente sårbarheter er lukket. Unngå midlertidige løsninger som kan føre til systemfeil.

Posted by tsoc at 12:02 0 comments

Saturday, 25 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.25

Hackere bruker falske CAPTCHA sider for å lure brukere til skadevare og svindel.

Hackere bruker falske CAPTCHA sider for å lure brukere til skadevare og svindel

En økende trend der angripere bruker falske CAPTCHA verifiseringssider som etterligner legitime sikkerhetssjekker for å lure brukere til å utføre skadelige handlinger. Disse sidene ser ut som kjente løsninger som Cloudflare og utnytter tilliten brukere har til slike kontroller. I stedet for å bekrefte at brukeren er et menneske, blir ofrene bedt om å utføre handlinger som å kjøre kommandoer, gi tillatelser eller installere programvare, noe som fører til infeksjon av malware eller misbruk som SMS svindel. Kampanjen er omfattende og inkluderer tusenvis av kompromitterte nettsteder som distribuerer disse falske sidene, noe som gjør dette til en effektiv og raskt voksende sosial manipulasjonsmetode.

Anbefaling:

Brukere bør unngå å utføre handlinger utover standard CAPTCHA interaksjoner, som å kjøre kommandoer eller gi ekstra tillatelser, og umiddelbart forlate mistenkelige sider.

Posted by tsoc at 16:57 0 comments

Friday, 24 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.24

Bitwarden CLI kompromittert i pågående Checkmarx forsyningskjedeangrep. UNC6692 utnytter Microsoft Teams til Helpdesk Phishing og sprer SNOW skadevare.

Bitwarden CLI kompromittert i pågående Checkmarx forsyningskjedeangrep

Bitwarden CLI har blitt kompromittert som del av en pågåendeforsyningskjedeangrep kampanje knyttet til Checkmarx, hvor en ondsinnet versjon @bitwarden/cli@2026.4.0 ble publisert via npm. Angrepet utnyttet en kompromittert GitHub Actions komponent i CI/CD pipeline, og inkluderte skadelig kode i filen bw1.js. Skadevare kjørte via en preinstall hook og stjal sensitiv informasjon som GitHub og npm tokens, SSH nøkler, miljøvariabler og CI/CD hemmeligheter, før data ble eksfiltrert til domenet audit.checkmarx[.]cx eller til offentlige GitHub repositories. Angrepet kunne også bruke stjålne tokens til å injisere ondsinnede workflows i andre repositories og spre seg videre som en slags forsyningskjede orm. Hendelsen fant sted i et begrenset tidsrom 22. april 2026 (ca. 1,5 time), og Bitwarden bekrefter at ingen brukerdata eller vault data ble kompromittert. Kampanjen er knyttet til en bredere trusselaktør aktivitet (muligens TeamPCP) og representerer en avansert utvikling av tidligere forsyningskjedeangrep, inkludert målretting av AI utviklingsverktøy og CI/CD miljøer.

Anbefaling:

Fjern umiddelbart versjon @bitwarden/cli@2026.4.0 dersom den er installert. Roter alle potensielt eksponerte hemmeligheter, inkludert GitHub, npm og cloud tokens. Gjennomgå CI/CD pipelines for uautoriserte workflows og aktivitet. Implementer streng kontroll på avhengigheter og bruk verktøy for å validere integriteten til pakker. Overvåk GitHub repositories for uvanlige commits eller eksfiltrering av data.

UNC6692 utnytter Microsoft Teams til Helpdesk Phishing og sprer SNOW skadevare

En ny trusselaktør, UNC6692, bruker avansert sosial manipulering via Microsoft Teams for å kompromittere virksomheter. Angrepet starter med e-postbombing for å skape panikk, før angriperen kontakter offeret via Teams og utgir seg for å være IT support. Offeret blir deretter lurt til å installere en falsk “Mailbox Repair and Sync Utility”, som i realiteten laster ned et AutoHotkey script fra AWS. Scriptet installerer en ondsinnet nettleserutvidelse (SNOWBELT) i Microsoft Edge, som fungerer som bakdør og laster ned flere komponenter i SNOW skadevare familien, inkludert SNOWGLAZE (tunnelering) og SNOWBASIN (RCE og persistens). Angriperne kan deretter stjele brukerdetaljer, utføre lateral bevegelse via teknikker som "Pass-the-Hash", hente LSASS minne, og eksfiltrere data via legitime verktøy som Rclone og LimeWire. Kampanjen retter seg særlig mot ledere og nøkkelpersonell, og misbruker legitime skytjenester for å skjule aktivitet og omgå sikkerhetsfiltre.

Anbefalinger: Implementer strenge verifiseringsrutiner for IT support via Teams og begrens ekstern kommunikasjon i plattformen. Tren ansatte i å gjenkjenne sosial manipulering og phishing. Begrens bruk av fjernstyringsverktøy og overvåk installasjon av nettleserutvidelser. Hardening av PowerShell og overvåking av uvanlig aktivitet er kritisk. Overvåk også bruk av legitime verktøy som Rclone og uvanlig trafikk mot skytjenester.

Posted by tsoc at 12:08 0 comments
Subscribe to: Posts (Atom)
 
>