Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Monday, 6 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.06

Microsoft avslører nye PHP Web shells som bruker cookies for skjult fjernkjøring på Linux servere. Kritisk Fortinet-sårbarhet utnyttes aktivt - hasteoppdatering lansert. Microsoft tvinger oppgradering til Windows 11 25H2 for uadministrerte enheter.

Microsoft avslører nye PHP Web shells som bruker cookies for skjult fjernkjøring på Linux servere

Microsoft Defender Research Team har identifisert en ny teknikk der angripere bruker HTTP cookies som kontrollkanal for PHP baserte web shells på Linux servere. I stedet for tradisjonelle metoder via URL parametere eller "request body", aktiveres ondsinnet kode kun når spesifikke cookie verdier sendes, noe som gjør aktiviteten svært vanskelig å oppdage da den blander seg med normal trafikk. Web shellene benytter kraftig obfuskering og kan rekonstruere payloads dynamisk eller skrive dem til disk før eksekvering. I flere tilfeller oppnår angripere initiell tilgang via stjålne brukerdetaljer eller utnyttelse av kjente sårbarheter, og etablerer deretter persistens ved hjelp av "cron jobs" som automatisk gjenoppretter skadevare dersom den fjernes. Denne «self-healing» mekanismen sikrer vedvarende tilgang og muliggjør skjult remote code execution (RCE) over tid, samtidig som spor i logger minimeres.

Kritisk Fortinet-sårbarhet utnyttes aktivt - hasteoppdatering lansert

Fortinet har publisert en nødoppdatering for en kritisk sårbarhet (CVE-2026-35616) i FortiClient EMS som allerede blir aktivt utnyttet i angrep. Feilen skyldes manglende tilgangskontroll og gjør det mulig for uautentiserte angripere å kjøre kode via spesiallagde forespørsler.

Sårbarheten rammer versjonene 7.4.5 og 7.4.6, og over 2 000 eksponerte systemer er funnet på nettet. Problemet ble oppdaget som en såkalt zero-day og utnyttet før det ble rapportert. Fortinet oppfordrer brukere til å installere sikkerhetsoppdateringen umiddelbart eller oppgradere til kommende versjon 7.4.7 for å beskytte seg.

Sårbarheter:

Microsoft tvinger oppgradering til Windows 11 25H2 for uadministrerte enheter

Microsoft har startet en automatisk utrulling som tvinger uadministrerte Windows 11 enheter (Home og Pro) fra versjon 24H2 til 25H2, også kjent som Windows 11 2025 Update. Oppgraderingen skjer som del av en maskinlæringsbasert utrulling som vurderer enhetsklarhet, og installeres automatisk via Windows Update uten behov for brukerhandling. Bakgrunnen er at Windows 11 24H2 når "end-of-support" 13. oktober 2026, og enheter som ikke oppdateres vil miste sikkerhetsoppdateringer, feilrettinger og teknisk støtte. Oppgraderingen leveres som en liten “enablement package” på under 200 KB som aktiverer allerede installerte funksjoner, noe som gir rask installasjon med kun én omstart. Utrullingen gjelder kun enheter som ikke er administrert av IT systemer som Intune eller Endpoint Manager, og brukere kan kun midlertidig utsette oppdateringen.

Anbefaling:

Sørg for at enheter oppdateres til Windows 11 25H2 så raskt som mulig for å opprettholde sikkerhetsoppdateringer. Organisasjoner bør ha kontroll på hvilke enheter som er unmanaged og vurdere å flytte disse inn under sentral administrasjon. Brukere bør ikke utsette oppdateringen unødvendig, da dette kan føre til eksponering for kjente sårbarheter etter end-of-support.

Posted by tsoc at 12:12 0 comments

Friday, 3 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.03

Kritisk Cisco IMC sårbarhet gir admin-tilgang uten autentisering. 700 Next.js-hosts kompromittert i omfattende angrep. Claude Code-lekkasje brukt til å spre infostealer malware på GitHub.

Kritisk Cisco IMC sårbarhet gir admin-tilgang uten autentisering

Cisco har publisert sikkerhetsoppdateringer for en kritisk sårbarhet i Integrated Management Controller (IMC), sporet som CVE-2026-20093. Sårbarheten skyldes feil håndtering av passordendringsforespørsler og kan utnyttes av en uautentisert angriper via en spesiallaget HTTP-forespørsel for å omgå autentisering. Dette gjør det mulig å endre passord for alle brukere inkludert admin og deretter få full administrativ tilgang til systemet.

IMC er en out-of-band administrasjonskomponent som gir full kontroll over servere selv når operativsystemet er avslått, noe som gjør konsekvensene svært alvorlige. Cisco opplyser at det per nå ikke finnes tegn til aktiv utnyttelse, men anbefaler sterkt umiddelbar oppdatering siden det ikke finnes midlertidige tiltak.

Anbefaling:

Oppgrader til siste versjon av Cisco IMC og SSM On-Prem umiddelbart da det ikke finnes workarounds.

Sårbarheter:

700 Next.js-hosts kompromittert i omfattende angrep

En nylig rapport avslører at over 700 servere som kjører Next.js har blitt kompromittert i et koordinert angrep. Angriperne utnyttet en sårbarhet knyttet til feilkonfigurerte eller eksponerte miljøer, som gjorde det mulig å kjøre ondsinnet kode og installere bakdører. Flere av de berørte systemene ble brukt til videre angrep, inkludert kryptomining og distribusjon av skadevare. Angrepet viser hvordan moderne webapplikasjonsrammeverk kan bli mål hvis sikkerhetspraksis ikke følges nøye, spesielt rundt eksponering av administrative grensesnitt og miljøvariabler

Anbefaling:

Det anbefales å oppdatere Next.js til siste versjon og sikre at alle miljøvariabler og administrative endepunkter ikke er offentlig tilgjengelige. Videre bør man implementere autentisering på sensitive API-ruter, overvåke uvanlig trafikk og kjøre sikkerhetsskanninger for å oppdage kompromitterte systemer. Det er også viktig å bruke prinsippet om minste privilegium og sikre serverkonfigurasjoner.

Claude Code-lekkasje brukt til å spre infostealer malware på GitHub

Trusselaktører utnytter den nylige lekkasjen av Claude Code kildekode fra Anthropic til å spre infostealer malware via falske GitHub-repositorier. Lekkasjen oppstod 31. mars 2026 da rundt 513 000 linjer TypeScript kode ble eksponert gjennom en feil i en npm-pakke, noe som avslørte interne funksjoner, arkitektur og sikkerhetsmekanismer. Angripere opprettet deretter falske repositorier som utgir seg for å tilby den lekkede koden med utvidede funksjoner, men som i realiteten distribuerer Vidar infostealer sammen med GhostSocks malware via ondsinnede nedlastninger. Kampanjen utnytter høy interesse rundt lekkasjen og gjør det enkelt for utviklere å bli lurt gjennom søk og GitHub.

Anbefaling:

Unngå å laste ned eller kjøre kode fra GitHub som hevder å være lekket Claude Code, verifiser kun kilder fra offisielle kanaler, implementer Zero Trust-arkitektur, og unngå å kjøre AI-agenter med tilgang til lokale systemer på uverifisert kode

Posted by tsoc at 12:07 0 comments

Thursday, 2 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.02

Google fikser utnyttet Chrome zero-day. Cisco IMC Virtual Keyboard Video Monitor lar angripere omdirigere brukere til ondsinnede nettsider. Remcos RAT infeksjonskjede skjuler seg bak obfuskert PowerShell og legitime verktøy.

Google fikser utnyttet Chrome zero-day

Google har fikset en ny Chrome zero-day sårbarhet som de bekrefter har blitt utnyttet i angrep. Sårbarheten (CVE-2026-5281, CVSS v3 score 8,8) skyldes en use-after-free-feil i WebGPU-implementasjonen (Dawn), og kan gjøre det mulig for angripere å kjøre skadelig kode via spesiallagde nettsider, typisk gjort som del av en større angrepskjede. Google holder foreløpig tekniske detaljer tilbake for å hindre videre misbruk mens oppdateringen rulles ut. Brukere og organisasjoner oppfordres til å oppdatere Chrome umiddelbart for å beskytte seg mot potensielle angrep.

Sårbarheter:

Cisco IMC Virtual Keyboard Video Monitor lar angripere omdirigere brukere til ondsinnede nettsider

Cisco har avdekket en sårbarhet i Virtual Keyboard Video Monitor komponenten i Integrated Management Controller som gjør det mulig for en uautentisert angriper å omdirigere brukere til ondsinnede nettsider. Sårbarheten skyldes manglende validering av redirect mål i vKVM tilkoblingshåndtering, og kan utnyttes ved at brukere klikker på spesiallagde lenker. Dette kan føre til phishing og kompromittering av administrator legitimasjon, noe som igjen kan gi tilgang til kritisk infrastruktur.

Sårbarheten påvirker flere Cisco plattformer inkludert UCS B-Series, C-Series, X-Series, samt flere Cisco appliances som DNA Center og Secure Firewall Management Center. Det finnes ingen midlertidige workarounds, og kun oppdatering til fikset programvare eliminerer risikoen.

Anbefaling:

Administratorer bør oppdatere til siste tilgjengelige programvareversjon fra Cisco så raskt som mulig da det ikke finnes noen midlertidige tiltak. I tillegg bør man være oppmerksom på phishing forsøk og begrense eksponering av IMC grensesnitt der det er mulig.

Sårbarheter:

Remcos RAT infeksjonskjede skjuler seg bak obfuskert PowerShell og legitime verktøy

En pågående kampanje utnytter en avansert infeksjonskjede for å distribuere Remcos RAT, der angripere benytter obfuskert PowerShell og legitime Windows-verktøy for å unngå deteksjon. Angrepet starter typisk med phishing e-poster som inneholder ondsinnede vedlegg eller lenker, som deretter laster ned og kjører PowerShell-skript. Disse skriptene er kraftig obfuskert og brukes til å hente nyttelasten, samtidig som de utnytter legitime systemverktøy for å redusere mistanke.

Videre etablerer Remcos RAT persistens på systemet og gir angriperen full fjernkontroll, inkludert mulighet for keylogging, skjermopptak og datatyveri. Kampanjen viser en økende trend der angripere kombinerer legitime verktøy og avansert obfuskering for å omgå sikkerhetsløsninger og operere skjult over lengre

Posted by tsoc at 13:05 0 comments

Wednesday, 1 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.01

Kritisk sårbarhet i Gigabyte Control Center. Kritiske sårbarheter i Progress ShareFile. Kritisk sårbarhet i n8n.

Kritisk sårbarhet i Gigabyte Control Center

En kritisk sårbarhet i Gigabyte Control Center (CVE-2026-4415, CVSS v4 score 9,2) gjør det mulig for en angriper å skrive filer vilkårlig på systemet. Feilen skyldes mangelfull validering av input, og kan utnyttes av en angriper uten autentisering hvis en paringsfunksjon er aktivert i Control Center. Dette kan føre til kjøring av skadelig kode, eskalering av rettigheter eller full kompromittering av systemet. Sårbarheten påvirker versjon 25.07.21.01 og eldre av programvaren, og Gigabyte har gitt ut en oppdatering som fikser problemet. Brukere anbefales sterkt å oppdatere til nyeste versjon.

Sårbarheter:

Kritiske sårbarheter i Progress ShareFile

Progress Software har publisert sikkerhetsoppdateringer for ShareFile Storage Zone Controller etter at det ble avdekket kritiske sårbarheter i on‑prem‑installasjoner av løsningen. Sårbarhetene gir en angriper mulighet til å omgå autentisering, laste opp webshell og oppnå full kontroll over sårbare systemer. Patch ble gjort tilgjengelig 10. mars 2026 og bør installeres senest 2. april 2026.

Utnyttelse forutsetter at ShareFile Storage Zone Controller er tilgjengelig over nettverket, og at det benyttes en on‑prem‑installasjon i 5.x‑serien.

Følgende produkt er berørt:

  • Progress ShareFile Storage Zone Controller versjon 5.x (opp til og med 5.12.3)

Versjon 6.x samt rene SaaS‑miljøer uten egen on‑prem Storage Zone Controller er ikke påvirket.

Per nå er det ikke kjent at utnyttelseskode er offentlig tilgjengelig eller at sårbarhetene utnyttes aktivt. Det foreligger imidlertid informasjon om at en detaljert teknisk analyse, og trolig proof‑of‑concept‑kode, vil bli publisert i nær fremtid. Dette øker risikoen for rask utnyttelse betydelig.

Det anbefales derfor å identifisere eventuelle berørte installasjoner og installere tilgjengelig sikkerhetsoppdatering så snart som mulig. Oppdateringen lastes ned via Progress Software sin portal og krever innlogging.

Anbefaling:

Det anbefales at sårbare enheter oppdateres senest 2.april 2026 til versjon 5.12.4.

Kritisk sårbarhet i n8n

n8n har varslet om en kritisk sårbarhet som kan gi autentiserte brukere med tilgang til arbeidsflyter mulighet til å lese lokale filer og oppnå fjernkodekjøring (RCE) på det underliggende systemet. Sårbarheten ble offentliggjort 25. mars 2026 og er tildelt CVE‑2026‑33660 med en CVSS v4‑score på 9,4 (kritisk). Berørte installasjoner bør oppdateres senest 7. april 2026.

Utnyttelse av sårbarheten gjør det mulig å lese filer på n8n‑verten og utføre vilkårlig kode. Angrep forutsetter at angriperen er autentisert og har tillatelse til å opprette eller endre arbeidsflyter, noe som begrenser eksponeringsflaten, men samtidig gjør sårbarheten særlig relevant i miljøer med mange brukere eller delte administrasjonsrettigheter.

Følgende versjoner er sårbare:

  • n8n eldre enn 2.14.1

  • n8n eldre enn 2.13.3

  • n8n eldre enn 1.123.27

Sårbarheten er lukket i versjonene nevnt over.

Det er per nå ikke kjent at utnyttelseskode er offentlig tilgjengelig eller at sårbarheten misbrukes aktivt. Likevel vurderes det som mulig at sårbare instanser kan bli mål for angrep, ettersom n8n er et utbredt produkt. Risikoen reduseres av at angriper må ha tilgang til en bruker med rettigheter til å opprette arbeidsflyter, men dette anses ikke som tilstrekkelig risikoreduserende alene.

Anbefaling:

Identifisere berørte n8n‑installasjoner og installere tilgjengelig sikkerhetsoppdatering så snart som mulig, og senest innen 7. april 2026.

Posted by tsoc at 12:37 0 comments

Tuesday, 31 March 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.03.31

Kritisk RCE-sårbarhet i F5 BIG-IP APM aktivt utnyttet. Axios NPM-pakker kompromittert i supply-chain-angrep med RAT-skadevare.

Kritisk RCE-sårbarhet i F5 BIG-IP APM aktivt utnyttet

En kritisk sårbarhet i F5 BIG-IP APM (CVE-2025-53521) blir nå aktivt utnyttet i angrep. Den ble først klassifisert som en mindre alvorlig DoS-feil i oktober 2025. Sårbarheten er nå oppgradert til en remote code execution (RCE) sårbarhet som gjør det mulig for angripere uten innlogging å kjøre kode på sårbare systemer. Angripere har utnyttet sårbarheten til å installere webshells på enheter som ikke har installert sikkerhetsoppdateringer enda for å få vedvarende tilgang til nettverket. Det anbefales å sjekke om om en sårbar BIG-IP APM versjon har vært installert og gå over F5s IoC-liste.

Sårbarheter:

Axios NPM-pakker kompromittert i supply-chain-angrep med RAT-skadevare

Et avansert supply chain-angrep har kompromittert det svært populære JavaScript-biblioteket Axios ved å publisere ondsinnede versjoner (1.14.1 og 0.30.4) via en kapret npm-konto. Angriperne injiserte en falsk avhengighet, plain-crypto-js@4.2.1, som inneholder et postinstall script som distribuerer en kryssplattform Remote Access Trojan (RAT) for Windows, macOS og Linux. Skadevaren kommuniserer med en C2-server, laster ned sekundære payloads og sletter spor etter seg selv for å unngå deteksjon. Angrepet var nøye planlagt med forhåndsforberedte payloads og rask distribusjon til begge versjonsgrener innen minutter.

Posted by tsoc at 10:54 0 comments

Monday, 30 March 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.03.30

Citrix NetScaler under aktiv søk for CVE-2026-3055 (CVSS 9.3) . Fillesingsfeil i Smart Slider-plugin påvirker 500 000 WordPress-nettsteder. Ny Infinity Stealer-skadevare snapper opp macOS-data via ClickFix-lokkemidler. Telnyx PyPI-pakke utsatt for forsyningskjedeangrep.

Citrix NetScaler under aktiv søk for CVE-2026-3055 (CVSS 9.3)

En kritisk sårbarhet i Citrix NetScaler ADC og NetScaler Gateway, CVE‑2026‑3055 (CVSS 9.3), blir nå aktivt kartlagt av trusselaktører ifølge Defused Cyber og watchTowr. Feilen skyldes mangelfull input‑validering som kan føre til memory overread og lekkasje av sensitiv informasjon, men kan bare utnyttes dersom enheten er konfigurert som en SAML Identity Provider. Angripere analyserer nå autentiseringsmetoder via /cgi/GetAuthMethods for å avklare om systemer er sårbare. Citrix opplyser at flere versjoner før de nyeste patchene er berørt, og sikkerhetseksperter ber organisasjoner om å oppdatere umiddelbart før rekognosering går over til faktisk utnyttelse. Dette føyer seg inn i en rekke tidligere aktivt utnyttede NetScaler‑sårbarheter de siste årene.

Sårbarheter:

Fillesingsfeil i Smart Slider-plugin påvirker 500 000 WordPress-nettsteder

En sårbarhet i WordPress‑utvidelsen Smart Slider 3 gjør at autentiserte brukere med kun abonnent‑rettigheter kan lese vilkårlige filer på serveren, inkludert sensitive filer som wp-config.php. Dette kan føre til tyveri av brukerdata og i verste fall full overtakelse av nettstedet. Feilen, CVE‑2026‑3098, berører alle versjoner opp til 3.5.1.33 og skyldes manglende rettighetssjekker i pluginens eksportfunksjon. En patch ble utgitt 24. mars, men rundt 500 000 nettsteder antas fortsatt å bruke en sårbar versjon. Website‑eiere anbefales å oppdatere pluginen umiddelbart.

Sårbarheter:

Ny Infinity Stealer-skadevare snapper opp macOS-data via ClickFix-lokkemidler

Infinity Stealer er et nytt info‑stealende skadeprogram som retter seg mot macOS og bruker en Python‑payload kompilert til en ekte binærfil via Nuitka, noe som gjør analysen vanskeligere. Angrepet starter med en falsk Cloudflare‑lignende CAPTCHA (ClickFix‑teknikk) som lurer brukeren til å lime inn en Base64‑kodet kommando i Terminal for å omgå macOS‑beskyttelser. Denne kommandoen henter ned og kjører et Nuitka‑kompilert lastetrinn som igjen distribuerer hovedmalwaren. Infinity Stealer kan ta skjermbilder og stjele data fra nettlesere, macOS Keychain, kryptolommebøker og utviklerfiler. Forskere advarer om at dette viser at trusler mot macOS blir stadig mer avanserte, og brukere bør aldri kjøre Terminal‑kommandoer de ikke forstår.

Telnyx PyPI-pakke utsatt for forsyningskjedeangrep

Et forsyningskjedeangrep rammet Telnyx sitt Python SDK på PyPI, der ondsinnede versjoner (4.87.1 og 4.87.2) ble publisert med skjult bakdørkode. Den skadelige koden lastet ned malware som var kamuflert som en WAV-lydfil, noe som gjorde at angrepet var vanskeligere å oppdage. De kompromitterte pakkene er fjernet, og Telnyx bekrefter at deres egen infrastruktur ikke ble påvirket. Utviklere som har installert de berørte versjonene anbefales å nedgradere til versjon 4.87.0, anta kompromittering og dermed rotere nøkler som har vært tilgjengelige fra maskinen. Angrepet knyttes til gruppen TeamPCP, som også står bak nylige angrep mot Trivy, Checkmarx og LiteLLM.

Posted by tsoc at 12:21 0 comments

Friday, 27 March 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.03.27

CISA advarer om aktivt utnyttet Code Injection sårbarhet i Langflow.

CISA advarer om aktivt utnyttet Code Injection sårbarhet i Langflow

CISA har lagt til en kritisk sårbarhet i Langflow i sitt Known Exploited Vulnerabilities (KEV) katalog etter bekreftet aktiv utnyttelse. Sårbarheten, CVE-2026-33017, er en kritisk "code injection" sårbarhet som lar uautentiserte angripere kjøre vilkårlig kode uten gyldige brukerdetaljer.

Feilen skyldes manglende tilgangskontroll og utilstrekkelig validering i plattformens håndtering av generert kode, noe som gjør det mulig å opprette og kjøre ondartede workflows direkte i systemet. Dette er spesielt kritisk fordi Langflow brukes til å bygge og orkestrere AI og LLM baserte systemer, og kompromittering kan føre til datatyveri, manipulering av prosesser og videre angrep inn i interne nettverk.

Sårbarheten er knyttet til flere alvorlige svakheter, inkludert manglende autentisering (CWE-306) og feil håndtering av kodeinjeksjon (CWE-94 og CWE-95).

Anbefaling:

Oppdater Langflow til nyeste versjon umiddelbart dersom patch er tilgjengelig. Følg CISA sine retningslinjer og sikre systemet innen fristen 8. april 2026. Dersom oppdatering ikke er mulig, implementer kompenserende tiltak i henhold til BOD 22-01, eller vurder å deaktivere eller fjerne Langflow fra miljøet midlertidig. Overvåk systemer for uautorisert aktivitet og begrens eksponering av tjenesten mot internett.

Sårbarheter:

Posted by tsoc at 12:45 0 comments
Subscribe to: Comments (Atom)
 
>