Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Thursday, 5 February 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.02.05

CISA: VMware ESXi-sårbarhet utnyttes nå i løsepenge-angrep. Hackere kompromitterer NGINX-servere for å omdirigere brukertrafikk.

CISA: VMware ESXi-sårbarhet utnyttes nå i løsepenge-angrep

CISA har bekreftet at en sårbarhet i VMware ESXi (en hypervisor brukt til virtualisering) nå blir aktivt utnyttet av ransomware grupper. Sårbarheten er en arbitrary write sandbox escape, sporet som CVE-2025-22225.

Dette er den samme feilen som tidligere ble rapportert som en zero-day som ble rettet i mars 2025, sammen med to andre sårbarheter: CVE-2025-22224 og CVE-2025-22226.

Sårbarheten gjør det mulig for en angriper med privilegert tilgang til VMX-prosessen å skrive til kernel og omgå hypervisorens isolasjonsmekanismer. Dette kan gi full kontroll over hypervisoren og potensielt alle virtuelle maskiner som kjører på den.

Anbefaling:

Det anbefales å oppdatere alle berørte systemer i henhold til VMware sine sikkerhetsanbefalinger, og å rulle ut tilgjengelige oppdateringer som adresserer CVE-2025-22225, samt tilhørende sårbarhetene: CVE-2025-22224 og CVE-2025-22226.

Hackere kompromitterer NGINX-servere for å omdirigere brukertrafikk

Forskere ved DataDog Security Labs har avdekket at en trusselaktør aktivt kompromitterer NGINX-servere ved å injisere ondsinnede konfigurasjonsblokker i eksisterende NGINX-konfigurasjoner. Dette gjør at legitime brukerforespørsler blir fanget på bestemte URL-baner og deretter videresendt via angriperkontrollerte domener ved bruk av proxy_pass direktivet. Angrepet rammer særlig NGINX-instanser administrert med Baota-paneler og nettsteder med asiatiske TLD-er (.in, .id, .pe, .bd, .th) samt .edu og .gov-domener. Angrepet utnytter ikke en sårbarhet i NGINX-programvaren, men manipulerer konfigurasjonsfiler noe som gjør det vanskelig å oppdage uten spesifikk overvåkning. Trafikkbelastningen ser ofte legitim ut og passerer vanligvis til den opprinnelige destinasjonen, noe som kan skjule den ondsinnede videresendingen og eksponere brukere for risiko som datafangst, phishing eller levering av skadelig innhold.

Posted by tsoc at 12:21 0 comments

Wednesday, 4 February 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.02.04

Hackere utnytter kritisk React Native Metro sårbarhet for å bryte seg inn i utviklersystemer. APT28 utnytter ny Microsoft Office sårbarhet .

Hackere utnytter kritisk React Native Metro sårbarhet for å bryte seg inn i utviklersystemer

Hackere utnytter aktivt en kritisk sårbarhet i Metro serveren som brukes i React Native utviklingsmiljøer. Feilen "CVE-2025-11953" gjør at en angriper uten autentisering kan sende spesiallagde POST forespørsler til en /open-url endepunkt og dermed kjøre vilkårlige operativsystemkommandoer på både Windows og Linux/macOS maskiner. Angrepet har blitt observert fra desember 2025 til januar 2026 der skadelig kode leveres og kjøres, blant annet ved å deaktivere sikkerhetsbeskyttelse og installere ytterligere skadevare. Sårbarheten påvirker @react-native-community/cli-server-api versjoner 4.8.0 til 20.0.0-alpha.2 og er fikset i versjon 20.0.0 og senere. Ca. 3 500 Metro servere er fortsatt eksponert på internett, og aktive utnyttelser rapporteres i flere kampanjer.

Anbefaling:

Oppdater til sikker versjon (Metro 20.0.0 eller nyere), sikre utviklingsmiljøer mot internett eksponering, overvåk trafikk for uvanlige forespørsler og behandle utviklingsservere med samme sikkerhetskontroller som produksjonssystemer.

Sårbarheter:

APT28 utnytter ny Microsoft Office sårbarhet

Russisk tilknyttede APT28 utnyttet sårbarheten kun tre dager etter offentliggjøring. Kampanjen «Operation Neusploit» retter seg mot Ukraina, Slovakia og Romania via ondartede RTF filer med lokaliserte lokkemidler.

Angrepet leverer enten MiniDoor som stjeler e-post fra Outlook eller PixyNetLoader, som etablerer persistens via COM kapring og dropper Covenant Grunt implantatet. CERT-UA rapporterer over 60 ukrainske myndighetsmål.

Anbefaling:

Patch CVE-2026-21509 umiddelbart. Blokker WebDAV tilkoblinger til ukjente eksterne ressurser. Overvåk for COM kapring og mistenkelig DLL aktivitet fra explorer.exe

Sårbarheter:

Posted by tsoc at 13:13 0 comments

Tuesday, 3 February 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.02.03

Apple styrker personvernet i iOS 26.3 med ny funksjon som lar brukere begrense hvor nøyaktig posisjonsdata mobiloperatører kan samle inn.

Ny personvernfunksjon fra Apple begrenser posisjonssporing på iPhone og iPad

Apple introduserer en ny personvernfunksjon i iOS 26.3 som lar brukere begrense hvor presis posisjonsdata som deles med mobiloperatører. Med innstillingen «Begrens presis posisjon» vil mobilnett kun se en omtrentlig plassering, som nabolag, i stedet for en eksakt adresse. Funksjonen påvirker ikke nødanrop eller posisjonsdeling med apper og tjenester som «Hvor er?».

Funksjonen er foreløpig kun tilgjengelig på utvalgte iPhone- og iPad-modeller og støttes bare av enkelte mobilnett. Tiltaket kommer i kjølvannet av at FCC tidligere har ilagt store bøter til mobiloperatører for misbruk av posisjonsdata, og regnes som et viktig steg for å redusere hvor detaljert informasjon operatører kan samle om brukernes bevegelser.

Anbefaling:

Oppdater til iOS 26.3 eller nyere dersom enheten og operatøren støtter funksjonen. Aktiver «Begrens presis posisjon» i mobilinnstillingene for bedre personvern. Fortsett å gjennomgå apptillatelser for posisjonstjenester separat, da disse ikke påvirkes av funksjonen. Organisasjoner bør følge med på operatørstøtte og vurdere personvernkonsekvenser for ansatte som bruker firmatelefoner.

Posted by tsoc at 10:28 0 comments

Monday, 2 February 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.02.02

Notepad++ sin offisielle oppdateringsmekanisme ble kapret for å levere skadevare til utvalgte brukere. Ny personvernfunksjon fra Apple begrenser posisjonssporing på iPhone og iPad.

Notepad++ sin offisielle oppdateringsmekanisme ble kapret for å levere skadevare til utvalgte brukere

Vedlikeholderen av Notepad++ har avslørt at statssponsede angripere kapret programmets oppdateringsmekanisme og omdirigerte oppdateringstrafikk til ondsinnede servere. Angrepet skyldtes en svakhet hos hosting-leverandøren, ikke en feil i selve Notepad++-koden, og gjorde det mulig å levere manipulerte oppdateringer via WinGUp til utvalgte brukere.

Ifølge sikkerhetsforsker Kevin Beaumont ble angrepet brukt av Kina-tilknyttede trusselaktører for å spre skadevare. Hendelsen startet trolig i juni 2025 og varte frem til desember samme år. Notepad++ har nå flyttet nettstedet til en ny hosting-leverandør.

Ny personvernfunksjon fra Apple begrenser posisjonssporing på iPhone og iPad

Apple introduserer en ny personvernfunksjon i iOS 26.3 som lar brukere begrense hvor presis posisjonsdata som deles med mobiloperatører. Med innstillingen «Begrens presis posisjon» vil mobilnett kun se en omtrentlig plassering, som nabolag, i stedet for en eksakt adresse. Funksjonen påvirker ikke nødanrop eller posisjonsdeling med apper og tjenester som «Hvor er?».

Funksjonen er foreløpig kun tilgjengelig på utvalgte iPhone- og iPad-modeller og støttes bare av enkelte mobilnett. Tiltaket kommer i kjølvannet av at FCC tidligere har ilagt store bøter til mobiloperatører for misbruk av posisjonsdata, og regnes som et viktig steg for å redusere hvor detaljert informasjon operatører kan samle om brukernes bevegelser.

Anbefaling:

Oppdater til iOS 26.3 eller nyere dersom enheten og operatøren støtter funksjonen. Aktiver «Begrens presis posisjon» i mobilinnstillingene for bedre personvern. Fortsett å gjennomgå apptillatelser for posisjonstjenester separat, da disse ikke påvirkes av funksjonen. Organisasjoner bør følge med på operatørstøtte og vurdere personvernkonsekvenser for ansatte som bruker firmatelefoner.

Posted by tsoc at 13:21 0 comments

Friday, 30 January 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.01.30

To nulldagssårbarheter i Ivanti EPMM benyttet i angrep. Ny Microsoft Teams funksjon lar deg rapportere mistenkelige samtaler.

To nulldagssårbarheter i Ivanti EPMM benyttet i angrep

Ivanti har offentliggjort to kritiske nulldagssårbarheter (CVE‑2026‑1281 og CVE‑2026‑1340) i Endpoint Manager Mobile (EPMM) som gjør det mulig for angripere å kjøre vilkårlig kode uten autentisering.

Feilene utnyttes aktivt og kan gi angripere tilgang til omfattende bruker‑ og enhetsdata. De kan også gi mulighet til å endre konfigurasjoner via API eller webkonsoll. Ivanti har utgitt midlertidige RPM patcher uten nedetid, men disse må reinstaleres ved oppgraderinger frem til en permanent fiks kommer i versjon 12.8.0.0 senere i Q1 2026.

Selskapet gir også veiledning for å oppdage angrep, inkludert regex søk i Apache logger, og anbefaler å gjenopprette fra kjent god backup hvis kompromittering mistenkes. CISA har lagt én av sårbarhetene til sin KEV liste.

Ny Microsoft Teams funksjon lar deg rapportere mistenkelige samtaler

Microsoft ruller ut en ny «Report a Call» funksjon i Microsoft Teams, planlagt tilgjengelig fra midten av mars 2026. Denne lar brukere flagge mistenkelige eller uønskede "én-til-én-samtaler" som potensielle svindel eller phishing forsøk. Funksjonen er aktivert som standard, men kan deaktiveres av administratorer i Teams Admin Center under innstillingene for Calling.

Når en samtale rapporteres, deles begrenset metadata (tidspunkt, varighet, anroper ID og deltaker Teams IDer) med organisasjonen og Microsoft som får videre behandling. Administratorer kan se rapporterte hendelser i Microsoft Defender portalen, mens organisasjoner uten Defender lisenser får grunnleggende informasjon i Teams Admin Center.

Funksjonen forventes utrullet globalt innen april 2026.

Posted by tsoc at 12:06 0 comments

Thursday, 29 January 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.01.29

Hackere bytter til Tsundere Bot i nye løsepengeangrep . Ny sandbox escape sårbarhet utsetter n8n instanser for RCE angrep. Falsk Moltbot AI kodeassistent på VS Code Marketplace sprer skadevare.

Hackere bytter til Tsundere Bot i nye løsepengeangrep

Trusselaktøren TA584 trapper opp virksomheten og bruker nå Tsundere Bot og XWorm for å skaffe seg initial tilgang som kan ende i løsepengeangrep.

Angrepene starter med e‑poster fra kompromitterte kontoer som leder ofre gjennom filtrering, CAPTCHA og en falsk ClickFix side som får dem til å kjøre en PowerShell kommando. Denne laster ned og kjører enten XWorm eller Tsundere Bot, et fleksibelt "Malware as a Service" verktøy som kan samle informasjon, bevege seg i nettverket og hente ned andre ondartede komponenter.

Proofpoint ser en kraftig økning i TA584 aktivitet og forventer at aktøren vil fortsette å utvide målrettingen og eksperimentere med nye verktøy.

Ny sandbox escape sårbarhet utsetter n8n instanser for RCE angrep

Det er avdekket to alvorlige sårbarheter i n8n, en populær plattform for workflow automatisering, som gjør det mulig for autentiserte angripere å bryte ut av sandbox miljøer og utføre vilkårlig kode på vertsoperativsystemet.

Sårbarhetene påvirker både JavaScript baserte eval noder og Python noder, der utilstrekkelig isolering gjør det mulig å få tilgang til hovedprosessen, miljøvariabler og underliggende systemressurser. Vellykket utnyttelse kan føre til full kompromittering av n8n instansen, inkludert eksponering av API nøkler, tokens, legitimasjon og videre lateral bevegelse i interne nettverk. Gitt at n8n ofte brukes som et sentralt integrasjonspunkt mot interne systemer og tredjepartstjenester, vurderes konsekvensene som betydelige selv om angrepene krever autentisert tilgang.

Anbefaling:

Oppdater n8n umiddelbart til versjoner som inneholder sikkerhetsfikser: CVE-2026-1470: 1.123.17, 2.4.5, 2.5.1 eller nyere, CVE-2026-0863: 1.123.14, 2.3.5, 2.4.2 eller nyere

Falsk Moltbot AI kodeassistent på VS Code Marketplace sprer skadevare

En ny, falsk Visual Studio Code utvidelse som utgir seg for å være en Moltbot basert AI kodeassistent ble nylig oppdaget på den offisielle VS Code Marketplace. Utvidelsen, kalt “ClawdBot Agent – AI Coding Assistant”, ble publisert 27. januar 2026 av en bruker med navnet clawdbot, til tross for at Moltbot ikke har noen legitim VS Code utvidelse.

Når den installeres, kjører den automatisk ved oppstart av VS Code og henter en config.json fra en ekstern server. Denne instruerer utvidelsen til å kjøre en ondartet binær kalt Code.exe, som installerer et legitimt fjernstyringsverktøy som ConnectWise ScreenConnect og kobler seg til angriperens infrastruktur for vedvarende ekstern tilgang. Utvidelsen har også flere reserve­mekanismer, blant annet ved å laste ned og sideloade en Rust kompilert DLL (DWrite.dll) fra Dropbox. I tillegg inneholder den hardkodede alternative URLer og batch skript som kan hente ondartede komponenter fra andre domener.

Angrepet utnytter Moltbots økende popularitet for å lure utviklere, og kan kompromittere både utviklingsklienter og tilknyttede nettverk. Microsoft har fjernet utvidelsen etter funnene.

Posted by tsoc at 12:17 0 comments

Wednesday, 28 January 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.01.28

Fortinet har utgitt sikkerhetsoppdateringer for CVE-2026-24858 etter at aktiv utnyttelse av FortiOS SSO ble oppdaget. Kritiske sårbarheter i VMware vCenter Server og Cloud Foundation. Hackere bruker Teams til å levere skadelig innhold som utgir seg for å være Microsoft-tjenester.

Fortinet har utgitt sikkerhetsoppdateringer for CVE-2026-24858 etter at aktiv utnyttelse av FortiOS SSO ble oppdaget

Fortinet har utgitt sikkerhetsoppdateringer for en kritisk sårbarhet i FortiOS (CVE-2026-24858, CVSS 9,4) som utnyttes aktivt. Feilen er knyttet til FortiCloud Single Sign-On (SSO) og påvirker FortiOS, FortiManager og FortiAnalyzer.

Sårbarheten kan gjøre det mulig for en angriper med FortiCloud-konto å logge inn på andre kunders enheter dersom FortiCloud SSO er aktivert. SSO er ikke aktivert som standard, men kan være slått på i enkelte miljøer.

Fortinet har bekreftet at trusselaktører har utnyttet sårbarheten til å få uautorisert administrativ tilgang, opprette lokale admin-kontoer, endre konfigurasjoner og hente ut data.

Fortinet har midlertidig deaktivert og deretter gjenaktivert FortiCloud SSO, med krav om oppgradering til siste programvareversjon. Kunder anbefales å oppgradere umiddelbart, kontrollere konfigurasjoner og rotere relevante passord.

CVE-2026-24858 er lagt til CISA sin liste over kjente utnyttede sårbarheter, med frist for utbedring 30. januar 2026.

Anbefaling:

Oppgrader umiddelbart til nyeste firmware på berørte Fortinet-produkter. Deaktiver FortiCloud SSO hvis den ikke er nødvendig, og følg med på mistenkelig admin- og VPN-aktivitet.

Kritiske sårbarheter i VMware vCenter Server og Cloud Foundation

VMware har publisert sikkerhetsoppdateringer for flere alvorlige sårbarheter i vCenter Server som også påvirker VMware Cloud Foundation. To kritiske heap-overflow-sårbarheter (CVE-2024-37079 og CVE-2024-37080) i DCERPC-implementasjonen kan utnyttes av en angriper med nettverkstilgang og kan føre til fjernkjøring av kode. Det er indikasjoner på at CVE-2024-37079 allerede er utnyttet aktivt.

I tillegg er det avdekket en viktig lokal rettighetseskaleringssårbarhet (CVE-2024-37081) som kan gi en lokal, autentisert bruker mulighet til å eskalere privilegier til root på vCenter Server Appliance.

Det finnes ingen fungerende workarounds. VMware anbefaler å oppgradere til fastsatte, korrigerte versjoner så raskt som mulig for å redusere risiko.

Anbefaling:

Oppgrader umiddelbart til anbefalt "Fixed Versions". For vCenter Server-instanser som er eksponert mot internett, anbefales det å fjerne tilgangen umiddelbart frem til oppdatering er gjennomført.

Hackere bruker Teams til å levere skadelig innhold som utgir seg for å være Microsoft-tjenester

En ny sofistikert phishing kampanje utnytter Microsoft Teams sin legitime funksjon «Invite a Guest» for å distribuere ondartet innhold som etterligner Microsoft tjenester. 

Trusselaktørene oppretter falske Teams grupper med villedende navn som imiterer faktureringsvarsler (for eksempel «Subscription Auto-Pay Notice…») og inviterer eksterne brukere. Mottakeren får deretter en e‑post sendt fra en legitim Microsoft adresse som passerer autentiseringskontroller som SPF, DKIM og DMARC, men som inneholder manipulert tekst og et telefonnummer til en falsk supportlinje.

Angrepene har omfattet minst 12 866 phishing meldinger og rundt 6 135 ofre, særlig i USA. Målrettede sektorer inkluderer produksjon, ingeniørarbeid, utdanning, teknologi og profesjonelle tjenester.

Posted by tsoc at 13:39 0 comments
Subscribe to: Comments (Atom)
 
>