Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Monday, 20 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.20

Cisco patcher fire kritiske sårbarheter i Identity Services og Webex som muliggjør RCE og brukerimitasjon. Mirai-varianten Nexcorium utnytter CVE-2024-3721 for å kapre TBK DVR-er til DDoS-botnett. Kritisk feil i Protobuf-biblioteket gjør det mulig å kjøre JavaScript-kode.

Cisco patcher fire kritiske sårbarheter i Identity Services og Webex som muliggjør RCE og brukerimitasjon

Cisco har publisert sikkerhetsoppdateringer for fire kritiske sårbarheter i Identity Services Engine (ISE), ISE-PIC og Webex som kan føre til fjernkjøring av kode, kommandoeksekvering og brukerimitasjon. De mest alvorlige feilene (CVSS opptil 9.9) skyldes utilstrekkelig validering av brukerinput og svak sertifikatvalidering i SSO-integrasjon. Dette kan gjøre det mulig for angripere med gyldige eller til og med uten autentisering i enkelte tilfeller å kjøre vilkårlige kommandoer, eskalere privilegier til root eller utgi seg for legitime brukere i Webex. I enkelte scenarioer kan også DoS oppstå ved at ISE-noder blir utilgjengelige. Cisco opplyser at det ikke er observert aktiv utnyttelse, men anbefaler rask oppdatering.

Anbefaling:

Oppdater til siste tilgjengelige versjoner av Cisco ISE og ISE-PIC i henhold til anbefalte patch-nivåer. For Webex SSO-brukere anbefales det å laste opp nytt SAML-sertifikat i Control Hub.

Mirai-varianten Nexcorium utnytter CVE-2024-3721 for å kapre TBK DVR-er til DDoS-botnett

Sikkerhetsforskere fra Fortinet og Palo Alto Networks har avdekket at angripere aktivt utnytter kjente sårbarheter i IoT‑ og nettverksenheter for å spre Mirai‑baserte botnett. I TBK‑DVR‑enheter misbrukes sårbarheten CVE‑2024‑3721 til å installere skadevaren Nexcorium, som gir angriperen varig tilgang og mulighet til å utføre DDoS‑angrep. Skadevaren kombinerer utnyttelse av sårbarheter med brute‑force‑angrep og sideveis spredning for å infisere flere enheter i samme nettverk. Samtidig observeres aktive angrepsforsøk mot utgåtte (EoL) TP‑Link‑rutere via CVE‑2023‑33538, og selv om mange av disse forsøkene feiler, viser de at gamle enheter uten oppdateringer og med standardpassord fortsatt utgjør en betydelig sikkerhetsrisiko og bør erstattes.

Kritisk feil i Protobuf-biblioteket gjør det mulig å kjøre JavaScript-kode

Det er avdekket en kritisk remote code execution‑sårbarhet (RCE) i protobuf.js, et svært utbredt JavaScript‑bibliotek brukt til strukturert datakommunikasjon i Node.js og skybaserte applikasjoner. Sårbarheten skyldes utrygg dynamisk kodegenerering, der biblioteket bygger og kjører JavaScript‑funksjoner basert på protobuf‑skjemaer uten tilstrekkelig validering av identifikatorer. Dette gjør det mulig for en angriper å levere et ondsinnet skjema som kan injisere og kjøre vilkårlig kode når applikasjonen behandler data. Feilen påvirker eldre versjoner av biblioteket og kan føre til kompromittering av servere eller utviklermiljøer. Brukere anbefales å oppgradere til oppdaterte versjoner og behandle protobuf-skjemaer som ikke-sikker input.

Posted by tsoc at 11:55 0 comments

Friday, 17 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.17

Cisco patcher fire kritiske sårbarheter i Identity Services og Webex som muliggjør RCE og brukerimitasjon.

Cisco patcher fire kritiske sårbarheter i Identity Services og Webex som muliggjør RCE og brukerimitasjon

Cisco har publisert sikkerhetsoppdateringer for fire kritiske sårbarheter i Identity Services Engine (ISE), ISE-PIC og Webex som kan føre til fjernkjøring av kode, kommandoeksekvering og brukerimitasjon. De mest alvorlige feilene (CVSS opptil 9.9) skyldes utilstrekkelig validering av brukerinput og svak sertifikatvalidering i SSO-integrasjon. Dette kan gjøre det mulig for angripere med gyldige eller til og med uten autentisering i enkelte tilfeller å kjøre vilkårlige kommandoer, eskalere privilegier til root eller utgi seg for legitime brukere i Webex. I enkelte scenarioer kan også DoS oppstå ved at ISE-noder blir utilgjengelige. Cisco opplyser at det ikke er observert aktiv utnyttelse, men anbefaler rask oppdatering.

Anbefaling:

Oppdater til siste tilgjengelige versjoner av Cisco ISE og ISE-PIC i henhold til anbefalte patch-nivåer. For Webex SSO-brukere anbefales det å laste opp nytt SAML-sertifikat i Control Hub.

Posted by tsoc at 13:04 0 comments

Thursday, 16 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.16

April Patch Tuesday fikser kritiske sårbarheter i SAP, Adobe, Microsoft og flere. UAC-0247 retter datatyv-kampanje mot ukrainske klinikker og myndigheter.

April Patch Tuesday fikser kritiske sårbarheter i SAP, Adobe, Microsoft og flere

April Patch Tuesday 2026 inkluderer en rekke kritiske sikkerhetsoppdateringer fra leverandører som Microsoft, SAP, Adobe og Fortinet. Oppdateringene adresserer flere alvorlige sårbarheter, inkludert fjernkjøring av kode (RCE) og risiko for datatyveri. Microsoft alene har fikset over 160 sårbarheter, inkludert minst én aktivt utnyttet nulldagssårbarhet i SharePoint (CVE-2026-32201). Flere av sårbarhetene er klassifisert som kritiske og kan gi angripere mulighet til å ta kontroll over systemer eller eskalere privilegier.

Anbefaling:

Organisasjoner bør prioritere å installere alle tilgjengelige sikkerhetsoppdateringer umiddelbart, spesielt for internett-eksponerte systemer som SharePoint. Det anbefales også å teste patcher raskt og rulle dem ut for å redusere risiko for aktiv utnyttelse.

Sårbarheter:

UAC-0247 retter datatyv-kampanje mot ukrainske klinikker og myndigheter

Ukrainas Computer Emergencies Response Team (CERT-UA) har avdekket en ny kampanje som har rettet seg mot myndigheter og kommunale helseinstitusjoner for å distribuere skadevare som kan stjele sensitive data fra Chromium-baserte nettlesere og WhatsApp. Aktiviteten ble observert mellom mars og april 2026, og tilskrives en trusselgruppe kalt UAC-0247. Opprinnelsen til kampanjen er foreløpig ukjent.

Angrepskjeden starter med en e-post som utgir seg for å være et forslag om humanitær hjelp, og oppfordrer mottakerne til å klikke på en lenke som omdirigerer til enten et legitimt nettsted kompromittert via en cross-site scripting (XSS)-sårbarhet, eller et falskt nettsted laget ved hjelp av AI-verktøy. Målet i begge tilfeller er å få offeret til å kjøre en Windows Shortcut-fil (LNK), som i sin tur kjører en ekstern HTML Application (HTA) via det legitime Windows-verktøyet "mshta.exe". HTA-filen viser et lokkeskjema for å distrahere offeret, mens den i bakgrunnen laster ned en binærfil som injiserer shellcode i en legitim prosess som "runtimeBroker.exe". CERT-UA har også observert en to-stegs loader der andre steg er implementert i et egenutviklet eksekverbart filformat, med payload som er både komprimert og kryptert.

Blant skadevaren som distribueres finnes:

  • RAVENSHELL: et TCP reverse shell som oppretter tilkobling til en styringsserver for å motta kommandoer som utføres via "cmd.exe".

  • AGINGFLY: et C#-basert fjernstyringsverktøy som kommuniserer med en C2-server via WebSockets, og som kan kjøre kommandoer, starte keylogger, laste ned filer og kjøre ytterligere nyttelaster.

  • SILENTLOOP: et PowerShell-skript som blant annet henter C2-serverens aktuelle IP-adresse fra en Telegram-kanal, med fallback til alternative mekanismer.

I tillegg benyttes flere åpen kildekode-verktøy: ChromElevator (omgår Chromiums app-bound encryption for å hente cookies og lagrede passord), ZAPiXDESK (dekrypterer lokale WhatsApp Web-databaser), RustScan (nettverksskanner), Ligolo-Ng og Chisel (tunneling over TCP/UDP/TLS), samt kryptoutvinneren XMRig.

Gjennomgang av omtrent et dusin hendelser viser at angrepene legger til rette for rekognosering, lateral bevegelse og tyveri av legitimasjon og andre sensitive data. CERT-UA indikerer også at representanter for Ukrainas forsvarsstyrker kan ha vært mål, gjennom distribusjon av skadelige ZIP-arkiver via Signal som leverer AGINGFLY ved bruk av DLL side-loading.

For å redusere risikoen anbefales det å begrense kjøring av LNK-, HTA- og JS-filer, samt legitime verktøy som "mshta.exe", "powershell.exe" og "wscript.exe".

Posted by tsoc at 12:21 0 comments

Wednesday, 15 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.15

Silent Storm infostealer kaprer sesjoner og dekrypterer server-side data.

Silent Storm infostealer kaprer sesjoner og dekrypterer server-side data

En ny infostealer kalt Silent Storm er identifisert som en avansert trussel som kan kapre aktive brukersesjoner og dekryptere sensitiv data direkte fra server side lagring. I motsetning til tradisjonelle infostealers som kun stjeler lagrede passord eller cookies, utnytter denne teknikker for å hente og dekryptere autentiseringsdata i sanntid, noe som gjør det mulig å omgå multifaktorautentisering. Angrepene retter seg spesielt mot nettlesere og autentiseringsmekanismer, og gjør det mulig for angripere å få vedvarende tilgang til kontoer uten å måtte logge inn på nytt. Silent Storm benytter avanserte metoder for å unngå deteksjon og opererer i minnet, noe som gjør den vanskelig å oppdage med tradisjonelle sikkerhetsverktøy.

Posted by tsoc at 11:55 0 comments

Tuesday, 14 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.14

CISA legger til 6 aktivt utnyttede sårbarheter i Fortinet, Microsoft og Adobe.

CISA legger til 6 aktivt utnyttede sårbarheter i Fortinet, Microsoft og Adobe

CISA har lagt til seks sårbarheter i sin Known Exploited Vulnerabilities (KEV) katalog etter bekreftet aktiv utnyttelse. Den mest kritiske er CVE-2026-21643 (CVSS 9.1) i Fortinet FortiClient EMS, som gjør det mulig for uautentiserte angripere å utføre kode via SQL injection. I tillegg er flere kjente sårbarheter inkludert, blant annet CVE-2023-21529 i Microsoft Exchange som brukes til å spre "Medusa ransomware", samt eldre sårbarheter i Adobe Reader og Microsoft komponenter som fortsatt utnyttes i angrep. Sårbarhetene dekker et bredt spekter av angrepstyper, inkludert "remote code execution (RCE)" og "privilege escalation", og påvirker kritiske systemer i mange virksomheter. CISA har satt en frist til 27. april 2026 for å implementere nødvendige sikkerhetstiltak i berørte miljøer.

Anbefaling:

Oppdater alle berørte systemer umiddelbart med tilgjengelige sikkerhetsoppdateringer. Prioriter spesielt Fortinet FortiClient EMS og Microsoft Exchange. Overvåk systemer for tegn på utnyttelse, spesielt relatert til SQL injection og uvanlig aktivitet i Exchange servere. Fjern eller oppdater eldre programvare som fortsatt inneholder kjente sårbarheter. Følg CISA sine anbefalinger og sørg for patching innen fristen.

Posted by tsoc at 12:04 0 comments

Monday, 13 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.13

Marimo RCE-feil CVE-2026-39987 utnyttet innen 10 timer etter avsløring. Utnyttelse av nulldagssårbarhet i kampanje mot Adobe Acrobat Reader.

Marimo RCE-feil CVE-2026-39987 utnyttet innen 10 timer etter avsløring

En kritisk sårbarhet i det åpne Python notatverktøyet Marimo, identifisert som CVE-2026-39987 (CVSS 9,3), ble utnyttet mindre enn 10 timer etter offentliggjøring. Sårbarheten gjorde det mulig for uautentiserte angripere å få full fjernkommandotilgang via WebSocket endepunktet /terminal/ws, og berørte alle versjoner til og med 0.20.4. Feilen skyldtes manglende autentiseringskontroll på dette endepunktet, i motsetning til andre deler av applikasjonen. Ifølge Sysdig ble de første angrepene observert under 10 timer før identifisering, selv uten tilgjengelig exploit kode. Angriperen gjennomførte manuell rekognosering og forsøkte å hente sensitive data som .env-filer og SSH nøkler. Hendelsen viser hvor raskt trusselaktører reagerer på nye sårbarheter, og hvor kritisk rask patching av internet eksponerte systemer er.

Sårbarheter:

Utnyttelse av nulldagssårbarhet i kampanje mot Adobe Acrobat Reader

En sofistikert nulldagssårbarhets kampanje rettet mot Adobe Acrobat Reader har blitt avdekket i april 2026. Angrepet benytter spesiallagde PDF filer for å profilere ofre og potensielt levere andre-stegs payloads for fjernkjøring av kode (RCE) og sandbox escape (SBX). Kampanjen har vært aktiv siden slutten av 2025 og har spesielt rettet seg mot energi- og infrastruktursektoren. 

Eksploiten benytter seg av tungt obfuskert JavaScript som kjører så snart filen åpnes. I stedet for å aktivere selve nyttelasten umiddelbart, begynner den å hente ut informasjon fra maskinen ved hjelp av innebygde Acrobat-API-er – inkludert lokale filer og systemdetaljer og sender dette tilbake til servere under angriperens kontroll.

 

Anbefalte tiltak: 
Blokkering av C2 adresser: Sperr all trafikk til 169.40.2.68 og 188.214.34.20.

User-Agent Filtrering: Overvåk/blokker HTTP trafikk med "Adobe Synchronizer" i User-Agent feltet hvis det ikke er legitimt behov.

Patching: Oppdater Adobe Reader så snart offisiell patch er tilgjengelig fra Adobe Security Bulletins.

Posted by tsoc at 12:16 0 comments

Friday, 10 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.10

Sårbarheter i produkter fra Juniper (April 2026). Sårbarheter i GitLab. Ny STX RAT kombinerer skjult fjernstyring og Infostealer i avansert angrep.

Sårbarheter i produkter fra Juniper (April 2026)

Den høyeste alvorlighetsgraden blant sårbarhetene anses som kritisk (CVSSv3 9.8).

Juniper har publisert informasjon om nye sårbarheter funnet i deres produkter.

Berørte produktversjoner:

   Produkt             Versjon
   ------------------- ---------------------------------
   Junos OS            Se lenkede varsler for detaljer
   Junos OS Evolved    Se lenkede varsler for detaljer
   CTP OS              9.2R1, 9.2R2.
   Junos Space         < 24.1R5 Patch V3.
   JSI vLWC versions   < 3.0.94.
   Apstra              < 6.1.1.

Sårbarhetsinformasjon:

Kun kritisk og høy tatt med. Se lenkede varsler for komplett liste.

   CVE              CWE       CVSS
   ---------------- --------- ------
   CVE-2026-33784             9.8
   CVE-2022-24805   CWE-120   8.8
   CVE-2026-33785             8.8
   CVE-2026-33788             7.8
   CVE-2026-33793             7.8
   CVE-2026-33778             7.5
   CVE-2026-33790             7.5
   CVE-2026-33797             7.4
   CVE-2026-21916             7.3


Anbefaling:

Oppdateringer er tilgjengelige. Ta kontakt med deres leverandør for bistand.

Sårbarheter i GitLab


Den høyeste alvorlighetsgraden blant sårbarhetene anses som høy (CVSSv3 8.5).

GitLab har publisert informasjon om nye sårbarheter funnet i deres produkter.

Vellykket utnyttelse av sårbarhetene kan bl.a. føre til tjenestenekt, og kjøring av kommandoer.

Sårbarhetene kan utnyttes via fjerntilkobling.

Berørte produktversjoner:

+-----------------------------------------------------------+-----------+
| Produkt                                                   | Versjon   |
+===========================================================+===========+
| GitLab Community Edition (CE) and Enterprise Edition (EE) | < 18.10.3 |
|                                                           | < 18.9.5  |
|                                                           | < 18.8.9  |
+-----------------------------------------------------------+-----------+

Sårbarhetsinformasjon:

   CVE              CWE        CVSS
   ---------------- ---------- ------
   CVE-2026-5173    CWE-749    8.5
   CVE-2025-12664   CWE-1284   7.5
   CVE-2026-1092    CWE-1284   7.5
   CVE-2026-1101    CWE-1284   6.5
   CVE-2026-1403               6.5
   CVE-2026-1516    CWE-94     5.7
   CVE-2026-4332    CWE-79     5.4
   CVE-2025-9484    CWE-862    4.3
   CVE-2026-1752    CWE-863    4.3
   CVE-2026-2104    CWE-639    4.3
   CVE-2026-2619    CWE-863    4.3
   CVE-2026-4916    CWE-862    2.7




Anbefaling:

Tiltak: Oppdateringer er tilgjengelige. Ta kontakt med deres leverandør for bistand.

Ny STX RAT kombinerer skjult fjernstyring og Infostealer i avansert angrep

En ny Remote Access Trojan (RAT) kalt STX RAT har blitt identifisert som en avansert trussel i 2026, med funksjoner for både skjult fjernstyring og datatyveri. Malware ble først observert i februar 2026 og spres blant annet via VBScript- og JScript filer samt trojaniserte installasjonsfiler som FileZilla. Infeksjonskjeden inkluderer PowerShell som laster payload direkte i minnet. STX RAT har avanserte anti-analyse mekanismer som oppdager virtuelle miljøer og bruker AMSI bypass teknikker for å unngå deteksjon. Den samler inn systeminformasjon og stjeler brukerdetaljer fra verktøy som FileZilla, WinSCP og Cyberduck, samt tar skjermbilder av offerets maskin. Kommunikasjon med C2 server er kryptert med moderne algoritmer som X25519 og ChaCha20-Poly1305, noe som gjør trafikken vanskelig å analysere

Anbefalinger:
lokker kjente C2-adresser og overvåk nettverkstrafikk for mistenkelig aktivitet. Implementer deteksjonsregler som YARA for å identifisere malware i minnet. Overvåk bruk av WScript, JScript og PowerShell, spesielt fra midlertidige kataloger. Deaktiver VBScript og JScript der det ikke er nødvendig for å redusere angrepsflaten. Sørg for oppdatert endpoint-beskyttelse og bruk prinsippet om minste privilegier

Posted by tsoc at 13:07 0 comments
Subscribe to: Comments (Atom)
 
>