Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Wednesday, 29 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.29

Forskere oppdager kritisk GitHub RCE sårbarhet som kan utnyttes via en Git push.

Forskere oppdager kritisk GitHub RCE sårbarhet som kan utnyttes via en Git push

En kritisk sårbarhet identifisert som CVE-2026-3854 med CVSS score 8.7 påvirker både GitHub.com og GitHub Enterprise Server og kan gi fjernkjøring av kode via ett enkelt git push. Feilen skyldes manglende sanitering av bruker input i push opsjoner som ble inkludert i interne headers, noe som muliggjør command injection. En angriper med tilgang til å pushe til et repository kan dermed utføre vilkårlig kode på backend infrastrukturen.

På grunn av GitHub sin multi-tenant arkitektur kunne vellykket utnyttelse føre til kryss tenant tilgang, hvor angripere potensielt kan lese millioner av repositories på samme lagringsnode uavhengig av organisasjon. Sårbarheten ble oppdaget av Wiz og fikset svært raskt på GitHub.com, og det finnes per nå ingen indikasjoner på aktiv utnyttelse. Oppdateringer er tilgjengelig for flere versjoner av GitHub Enterprise Server.

Anbefaling:

Oppdater GitHub Enterprise Server til versjonene 3.14.25, 3.15.20, 3.16.16, 3.17.13, 3.18.8, 3.19.4, 3.20.0 eller nyere umiddelbart.

Sårbarheter:

Posted by tsoc at 12:02 0 comments

Tuesday, 28 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.28

Forskere avdekker 73 falske VS Code-utvidelser som sprer GlassWorm v2 malware. Rolle sårbarhet i Entra ID patchet av Microsoft.

Forskere avdekker 73 falske VS Code-utvidelser som sprer GlassWorm v2 malware

Forskere har identifisert 73 falske utvidelser i Open VSX-registeret for Visual Studio Code, som er del av en pågående kampanje kalt GlassWorm v2. Seks av disse er bekreftet skadelige, mens resten fungerer som såkalte “sleeper” pakker som bygger tillit før de senere kan oppdateres med skadevare. Kampanjen har eksistert siden desember 2025 og omfatter totalt over 320 artefakter. Utvidelsene etterligner legitime pakker med samme navn, ikon og beskrivelse for å lure utviklere til installasjon.

Angrepet benytter avanserte teknikker som typosquatting, sosial manipulering og Zig-baserte droppere for å installere en sekundær VSIX-utvidelse fra GitHub. Denne kan infisere flere IDE-er på samme maskin, inkludert VS Code, Cursor , VSCodium, og muliggjør tyveri av sensitiv informasjon og legitimasjon.

Anbefalinger:
Vær svært kritisk til hvilke VS Code-utvidelser som installeres, spesielt fra Open VSX. Verifiser utgiver, nedlastninger og autentisitet før installasjon, og unngå pakker som etterligner kjente utvidelser.

Rolle sårbarhet i Entra ID patchet av Microsoft

En administrativ rolle for AI‑agenter i Entra ID kan gjøre virksomheter sårbare for angrep som privilege escalation og identity takeover.

Forskere hos Silverfort har avdekket at rollen Agent ID Administrator, som Microsoft introduserte som en del av deres agent identity‑plattform, kunne tildeles brukere på en måte som ga dem utvidet tilgang til service principals. Dette gjorde det mulig å ta over eierskap av en tjenestebruker, legge til egne legitimasjonsdetaljer og deretter logge inn som den aktuelle service principal.

Microsoft har adressert og patchet denne sårbarheten etter 1. mars. Nye forsøk på å ta eierskap over en non-agent service principal resulterer nå i en Forbidden-feilmelding.

For å mitigere denne typen trusler anbefales organisasjoner å overvåke bruken av sensitive roller nøye, særlig roller knyttet til eierskap av service principals og endringer i legitimasjoner.

Posted by tsoc at 13:04 0 comments

Monday, 27 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.27

Ny bakdør holder seg aktiv på Cisco enheter etter patching.

Ny bakdør holder seg aktiv på Cisco enheter etter patching

Cybersikkerhetsmyndigheter i USA og Storbritannia advarer om en avansert bakdør kalt Firestarter som opprettholder tilgang på Cisco Firepower- og Secure Firewall enheter selv etter oppdateringer og patching. Angriperen, kjent som UAT-4356, utnytter sårbarheter som CVE-2025-20333 og CVE-2025-20362 for å få initiell tilgang.

Et typisk angrep starter med skadevaren Line Viper, som brukes til å etablere VPN tilgang og hente ut sensitiv konfigurasjon som brukerdetaljer og nøkler. Deretter installeres Firestarter, som sørger for vedvarende tilgang ved å integrere seg i kjernen av systemet (LINA) og automatisk reinstallere seg selv ved omstart eller terminering.

Skadevaren kan også kjøre angriperstyrt kode direkte i minnet via manipulerte WebVPN forespørsler. En særlig alvorlig egenskap er at den overlever omstart, firmwareoppdateringer og sikkerhetsoppdateringer. Cisco anbefaler re-installering og oppgradering av enheter for å fjerne trusselen.

Anbefaling:

Administratorer kan sjekke kompromittering ved å kjøre kommandoen show kernel process | include lina_cs. Oppdater og reinstaller berørte enheter umiddelbart, overvåk for mistenkelig aktivitet, og sørg for at kjente sårbarheter er lukket. Unngå midlertidige løsninger som kan føre til systemfeil.

Posted by tsoc at 12:02 0 comments

Saturday, 25 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.25

Hackere bruker falske CAPTCHA sider for å lure brukere til skadevare og svindel.

Hackere bruker falske CAPTCHA sider for å lure brukere til skadevare og svindel

En økende trend der angripere bruker falske CAPTCHA verifiseringssider som etterligner legitime sikkerhetssjekker for å lure brukere til å utføre skadelige handlinger. Disse sidene ser ut som kjente løsninger som Cloudflare og utnytter tilliten brukere har til slike kontroller. I stedet for å bekrefte at brukeren er et menneske, blir ofrene bedt om å utføre handlinger som å kjøre kommandoer, gi tillatelser eller installere programvare, noe som fører til infeksjon av malware eller misbruk som SMS svindel. Kampanjen er omfattende og inkluderer tusenvis av kompromitterte nettsteder som distribuerer disse falske sidene, noe som gjør dette til en effektiv og raskt voksende sosial manipulasjonsmetode.

Anbefaling:

Brukere bør unngå å utføre handlinger utover standard CAPTCHA interaksjoner, som å kjøre kommandoer eller gi ekstra tillatelser, og umiddelbart forlate mistenkelige sider.

Posted by tsoc at 16:57 0 comments

Friday, 24 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.24

Bitwarden CLI kompromittert i pågående Checkmarx forsyningskjedeangrep. UNC6692 utnytter Microsoft Teams til Helpdesk Phishing og sprer SNOW skadevare.

Bitwarden CLI kompromittert i pågående Checkmarx forsyningskjedeangrep

Bitwarden CLI har blitt kompromittert som del av en pågåendeforsyningskjedeangrep kampanje knyttet til Checkmarx, hvor en ondsinnet versjon @bitwarden/cli@2026.4.0 ble publisert via npm. Angrepet utnyttet en kompromittert GitHub Actions komponent i CI/CD pipeline, og inkluderte skadelig kode i filen bw1.js. Skadevare kjørte via en preinstall hook og stjal sensitiv informasjon som GitHub og npm tokens, SSH nøkler, miljøvariabler og CI/CD hemmeligheter, før data ble eksfiltrert til domenet audit.checkmarx[.]cx eller til offentlige GitHub repositories. Angrepet kunne også bruke stjålne tokens til å injisere ondsinnede workflows i andre repositories og spre seg videre som en slags forsyningskjede orm. Hendelsen fant sted i et begrenset tidsrom 22. april 2026 (ca. 1,5 time), og Bitwarden bekrefter at ingen brukerdata eller vault data ble kompromittert. Kampanjen er knyttet til en bredere trusselaktør aktivitet (muligens TeamPCP) og representerer en avansert utvikling av tidligere forsyningskjedeangrep, inkludert målretting av AI utviklingsverktøy og CI/CD miljøer.

Anbefaling:

Fjern umiddelbart versjon @bitwarden/cli@2026.4.0 dersom den er installert. Roter alle potensielt eksponerte hemmeligheter, inkludert GitHub, npm og cloud tokens. Gjennomgå CI/CD pipelines for uautoriserte workflows og aktivitet. Implementer streng kontroll på avhengigheter og bruk verktøy for å validere integriteten til pakker. Overvåk GitHub repositories for uvanlige commits eller eksfiltrering av data.

UNC6692 utnytter Microsoft Teams til Helpdesk Phishing og sprer SNOW skadevare

En ny trusselaktør, UNC6692, bruker avansert sosial manipulering via Microsoft Teams for å kompromittere virksomheter. Angrepet starter med e-postbombing for å skape panikk, før angriperen kontakter offeret via Teams og utgir seg for å være IT support. Offeret blir deretter lurt til å installere en falsk “Mailbox Repair and Sync Utility”, som i realiteten laster ned et AutoHotkey script fra AWS. Scriptet installerer en ondsinnet nettleserutvidelse (SNOWBELT) i Microsoft Edge, som fungerer som bakdør og laster ned flere komponenter i SNOW skadevare familien, inkludert SNOWGLAZE (tunnelering) og SNOWBASIN (RCE og persistens). Angriperne kan deretter stjele brukerdetaljer, utføre lateral bevegelse via teknikker som "Pass-the-Hash", hente LSASS minne, og eksfiltrere data via legitime verktøy som Rclone og LimeWire. Kampanjen retter seg særlig mot ledere og nøkkelpersonell, og misbruker legitime skytjenester for å skjule aktivitet og omgå sikkerhetsfiltre.

Anbefalinger: Implementer strenge verifiseringsrutiner for IT support via Teams og begrens ekstern kommunikasjon i plattformen. Tren ansatte i å gjenkjenne sosial manipulering og phishing. Begrens bruk av fjernstyringsverktøy og overvåk installasjon av nettleserutvidelser. Hardening av PowerShell og overvåking av uvanlig aktivitet er kritisk. Overvåk også bruk av legitime verktøy som Rclone og uvanlig trafikk mot skytjenester.

Posted by tsoc at 12:08 0 comments

Thursday, 23 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.23

Microsoft publiserer sikkerhetsoppdateringer for kritisk ASP.NET sårbarhet. Selvspredende orm rammer flere legitime npm-pakker.

Microsoft publiserer sikkerhetsoppdateringer for kritisk ASP.NET sårbarhet

Microsoft har publisert en hasteoppdatering utenfor den vanlige patchesyklusen for å rette sårbarheten CVE-2026-40372 i ASP.NET Core Data Protection. Sårbarheten skyldes feilvalidering av HMAC i krypterte payloads. Dette kan gjøre det mulig for en uautentisert angriper å forfalske autentiseringscookies og eskalere privilegier. Microsoft har rettet dette i versjon 10.0.7, men advarer om at tokens som allerede ble legitimt signert som følge av angrep under den sårbare perioden, fortsatt kan være gyldige dersom nøkkelringen ikke roteres.

Sårbarheter:

Selvspredende orm rammer flere legitime npm-pakker

En ny supply chain-kampanje omtalt som CanisterSprawl har kompromittert flere legitime npm-pakker og bruker en selvpropagerende orm for å stjele hemmeligheter fra utviklermiljøer og deretter spre seg videre ved å misbruke stjålne npm-tokener. Skadevaren kjøres via postinstall, samler inn diverse nøkler, .env filer og shell-historikk. Den forsøker også å hente data fra Chromium-baserte nettlesere samt kryptowallets. Data eksfiltreres så til et webhook-endepunkt og en ICP-canister. Kampanjen skiller seg ut fordi den ikke bare stjeler legitimasjon, men også inneholder logikk for å publisere nye ondsinnede pakkeversjoner med infisert postinstall ved hjelp av de stjålne publiseringstokenene.

Posted by tsoc at 12:05 0 comments

Wednesday, 22 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.22

CISA varsler om aktivt utnyttet SD WAN sårbarhet. Ny macOS-trussel: ClickFix-angrep stjeler passord og kryptolommebøker.

CISA varsler om aktivt utnyttet SD WAN sårbarhet

CISA har lagt til Cisco Catalyst SD WAN Manager sårbarheten CVE-2026-20133 (CVSS v3 score 7,5) i sin KEV-katalog (Known Exploited Vulnerabilities) etter bevis på aktiv utnyttelse. Cisco publiserte en fiks for feilen i slutten av februar 2026, men det er framdeles mange systemer uten sikkerhetsoppdateringene. Sårbarheten skyldes utilstrekkelige adgangskontroller mot filsystemet, som gjør at en uautentisert angriper kan lese sensitiv informasjon fra det underliggende operativsystemet via API-kall mot en upatchet enhet. Det anbefales at sikkerhetsoppdateringer installeres.

Sårbarheter:

Ny macOS-trussel: ClickFix-angrep stjeler passord og kryptolommebøker

En ny bølge av såkalte ClickFix-angrep retter seg mot macOS-brukere og sprer en avansert AppleScript-basert infostealer. Angrepet lurer brukere til å kjøre skadelige kommandoer selv, ofte via falske CAPTCHA-sider eller “feilrettinger”.

Ifølge Netskope Threat Labs utnytter kampanjen sosial manipulering for å få brukeren til å lime inn en skjult curl-kommando via Spotlight. Når kommandoen kjøres, lastes skadevare ned i bakgrunnen og begynner å samle inn sensitiv informasjon.

Skadevaren er særlig omfattende: Den retter seg mot minst 14 nettlesere, 16 kryptolommebøker og over 200 nettleserutvidelser. Blant dataene som stjeles er passord, sesjonscookies, autofyll-data og kredittkortinformasjon. I tillegg forsøker den å hente ut innhold fra macOS Keychain.

Et ekstra alvorlig element er at brukeren presses til å oppgi systempassordet sitt via en falsk, men svært troverdig macOS-dialogboks. Denne boksen kan ikke lukkes og fortsetter å dukke opp til korrekt passord blir skrevet inn.

Angrepene er primært observert mot finanssektoren i Asia, men teknikken kan enkelt ramme brukere globalt. Både Windows og macOS maskiner er sårbare, men nyere versjoner av macOS har fått innebygde varsler som kan stoppe slike angrep.

Anbefalinger til brukere:

  • Oppdater til nyeste versjon av macOS for å få innebygde sikkerhetsvarsler

  • Unngå å lime inn kommandoer i Terminal eller Spotlight fra ukjente kilder

  • Vær skeptisk til CAPTCHA-sider som ber deg utføre handlinger på egen maskin

  • Bruk tofaktorautentisering (2FA) der det er mulig

  • Installer og oppdater sikkerhetsprogramvare som kan oppdage infostealers

  • Vurder å bruke separate passordhvelv og unngå lagring av sensitive data i nettlesere

Posted by tsoc at 12:27 0 comments
Subscribe to: Comments (Atom)
 
>