Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Tuesday, 31 March 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.03.31

Kritisk RCE-sårbarhet i F5 BIG-IP APM aktivt utnyttet. Axios NPM-pakker kompromittert i supply-chain-angrep med RAT-skadevare.

Kritisk RCE-sårbarhet i F5 BIG-IP APM aktivt utnyttet

En kritisk sårbarhet i F5 BIG-IP APM (CVE-2025-53521) blir nå aktivt utnyttet i angrep. Den ble først klassifisert som en mindre alvorlig DoS-feil i oktober 2025. Sårbarheten er nå oppgradert til en remote code execution (RCE) sårbarhet som gjør det mulig for angripere uten innlogging å kjøre kode på sårbare systemer. Angripere har utnyttet sårbarheten til å installere webshells på enheter som ikke har installert sikkerhetsoppdateringer enda for å få vedvarende tilgang til nettverket. Det anbefales å sjekke om om en sårbar BIG-IP APM versjon har vært installert og gå over F5s IoC-liste.

Sårbarheter:

Axios NPM-pakker kompromittert i supply-chain-angrep med RAT-skadevare

Et avansert supply chain-angrep har kompromittert det svært populære JavaScript-biblioteket Axios ved å publisere ondsinnede versjoner (1.14.1 og 0.30.4) via en kapret npm-konto. Angriperne injiserte en falsk avhengighet, plain-crypto-js@4.2.1, som inneholder et postinstall script som distribuerer en kryssplattform Remote Access Trojan (RAT) for Windows, macOS og Linux. Skadevaren kommuniserer med en C2-server, laster ned sekundære payloads og sletter spor etter seg selv for å unngå deteksjon. Angrepet var nøye planlagt med forhåndsforberedte payloads og rask distribusjon til begge versjonsgrener innen minutter.

Posted by tsoc at 10:54 0 comments

Monday, 30 March 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.03.30

Citrix NetScaler under aktiv søk for CVE-2026-3055 (CVSS 9.3) . Fillesingsfeil i Smart Slider-plugin påvirker 500 000 WordPress-nettsteder. Ny Infinity Stealer-skadevare snapper opp macOS-data via ClickFix-lokkemidler. Telnyx PyPI-pakke utsatt for forsyningskjedeangrep.

Citrix NetScaler under aktiv søk for CVE-2026-3055 (CVSS 9.3)

En kritisk sårbarhet i Citrix NetScaler ADC og NetScaler Gateway, CVE‑2026‑3055 (CVSS 9.3), blir nå aktivt kartlagt av trusselaktører ifølge Defused Cyber og watchTowr. Feilen skyldes mangelfull input‑validering som kan føre til memory overread og lekkasje av sensitiv informasjon, men kan bare utnyttes dersom enheten er konfigurert som en SAML Identity Provider. Angripere analyserer nå autentiseringsmetoder via /cgi/GetAuthMethods for å avklare om systemer er sårbare. Citrix opplyser at flere versjoner før de nyeste patchene er berørt, og sikkerhetseksperter ber organisasjoner om å oppdatere umiddelbart før rekognosering går over til faktisk utnyttelse. Dette føyer seg inn i en rekke tidligere aktivt utnyttede NetScaler‑sårbarheter de siste årene.

Sårbarheter:

Fillesingsfeil i Smart Slider-plugin påvirker 500 000 WordPress-nettsteder

En sårbarhet i WordPress‑utvidelsen Smart Slider 3 gjør at autentiserte brukere med kun abonnent‑rettigheter kan lese vilkårlige filer på serveren, inkludert sensitive filer som wp-config.php. Dette kan føre til tyveri av brukerdata og i verste fall full overtakelse av nettstedet. Feilen, CVE‑2026‑3098, berører alle versjoner opp til 3.5.1.33 og skyldes manglende rettighetssjekker i pluginens eksportfunksjon. En patch ble utgitt 24. mars, men rundt 500 000 nettsteder antas fortsatt å bruke en sårbar versjon. Website‑eiere anbefales å oppdatere pluginen umiddelbart.

Sårbarheter:

Ny Infinity Stealer-skadevare snapper opp macOS-data via ClickFix-lokkemidler

Infinity Stealer er et nytt info‑stealende skadeprogram som retter seg mot macOS og bruker en Python‑payload kompilert til en ekte binærfil via Nuitka, noe som gjør analysen vanskeligere. Angrepet starter med en falsk Cloudflare‑lignende CAPTCHA (ClickFix‑teknikk) som lurer brukeren til å lime inn en Base64‑kodet kommando i Terminal for å omgå macOS‑beskyttelser. Denne kommandoen henter ned og kjører et Nuitka‑kompilert lastetrinn som igjen distribuerer hovedmalwaren. Infinity Stealer kan ta skjermbilder og stjele data fra nettlesere, macOS Keychain, kryptolommebøker og utviklerfiler. Forskere advarer om at dette viser at trusler mot macOS blir stadig mer avanserte, og brukere bør aldri kjøre Terminal‑kommandoer de ikke forstår.

Telnyx PyPI-pakke utsatt for forsyningskjedeangrep

Et forsyningskjedeangrep rammet Telnyx sitt Python SDK på PyPI, der ondsinnede versjoner (4.87.1 og 4.87.2) ble publisert med skjult bakdørkode. Den skadelige koden lastet ned malware som var kamuflert som en WAV-lydfil, noe som gjorde at angrepet var vanskeligere å oppdage. De kompromitterte pakkene er fjernet, og Telnyx bekrefter at deres egen infrastruktur ikke ble påvirket. Utviklere som har installert de berørte versjonene anbefales å nedgradere til versjon 4.87.0, anta kompromittering og dermed rotere nøkler som har vært tilgjengelige fra maskinen. Angrepet knyttes til gruppen TeamPCP, som også står bak nylige angrep mot Trivy, Checkmarx og LiteLLM.

Posted by tsoc at 12:21 0 comments

Friday, 27 March 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.03.27

CISA advarer om aktivt utnyttet Code Injection sårbarhet i Langflow.

CISA advarer om aktivt utnyttet Code Injection sårbarhet i Langflow

CISA har lagt til en kritisk sårbarhet i Langflow i sitt Known Exploited Vulnerabilities (KEV) katalog etter bekreftet aktiv utnyttelse. Sårbarheten, CVE-2026-33017, er en kritisk "code injection" sårbarhet som lar uautentiserte angripere kjøre vilkårlig kode uten gyldige brukerdetaljer.

Feilen skyldes manglende tilgangskontroll og utilstrekkelig validering i plattformens håndtering av generert kode, noe som gjør det mulig å opprette og kjøre ondartede workflows direkte i systemet. Dette er spesielt kritisk fordi Langflow brukes til å bygge og orkestrere AI og LLM baserte systemer, og kompromittering kan føre til datatyveri, manipulering av prosesser og videre angrep inn i interne nettverk.

Sårbarheten er knyttet til flere alvorlige svakheter, inkludert manglende autentisering (CWE-306) og feil håndtering av kodeinjeksjon (CWE-94 og CWE-95).

Anbefaling:

Oppdater Langflow til nyeste versjon umiddelbart dersom patch er tilgjengelig. Følg CISA sine retningslinjer og sikre systemet innen fristen 8. april 2026. Dersom oppdatering ikke er mulig, implementer kompenserende tiltak i henhold til BOD 22-01, eller vurder å deaktivere eller fjerne Langflow fra miljøet midlertidig. Overvåk systemer for uautorisert aktivitet og begrens eksponering av tjenesten mot internett.

Sårbarheter:

Posted by tsoc at 12:45 0 comments

Wednesday, 25 March 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.03.25

LiteLLM PyPI skadevare stjeler sky-, krypto-, Slack- og Discord nøkler. Falske jobbtilbud via Google Forms sprer PureHVNC malware. APT-angrep retter seg mot RDP servere for vedvarende tilgang.

LiteLLM PyPI skadevare stjeler sky-, krypto-, Slack- og Discord nøkler

LiteLLM ble nylig kompromittert etter at en angriper tok over en vedlikeholders konto og lastet opp to ondsinnede versjoner (1.82.7 og 1.82.8) på PyPi. Disse versjonene inneholder en infostealer som forsøker å hente AWS-, GCP- og GitHub-nøkler, SSH-nøkler, kryptolommebøker og en rekke andre sensitive data. Skadelig programvare samlet inn og krypterte informasjon før den blir sendt til en ekstern C2-server, og inneholdt også en tredje nyttelast designet for vedvarende tilgang. Brukere som installerte LiteLLM i dette tidsrommet uten versjonspinning, risikerer å være rammet. Det anbefales å rotere alle nøkler umiddelbart og alltid pinne avhengigheter for å forhindre automatisk installasjon av kompromitterte versjoner.

Falske jobbtilbud via Google Forms sprer PureHVNC malware

En pågående kampanje misbruker Google Forms til å spre PureHVNC Remote Access Trojan via falske jobbtilbud, prosjektforespørsler og forretningsdokumenter. Angrepet starter ved at brukere mottar en lenke til et troverdig Google Form, ofte distribuert via LinkedIn, hvor de blir bedt om å laste ned en ZIP-fil. Denne filen inneholder legitime dokumenter kombinert med ondsinnede filer som utnytter DLL hijacking for å starte en flertrinns infeksjonskjede som til slutt installerer PureHVNC.

Malwaren gir angripere full fjernkontroll over systemet, inkludert mulighet til å hente systeminformasjon, stjele data fra nettlesere, kryptolommebøker og applikasjoner som Telegram, samt installere ytterligere moduler og opprettholde vedvarende tilgang. Kampanjen skiller seg ut ved å bruke legitime tjenester som Google Forms, Dropbox og URL-forkortere for å omgå sikkerhetsmekanismer og øke troverdigheten.

APT-angrep retter seg mot RDP servere for vedvarende tilgang

Avanserte trusselaktører (APT-grupper) gjennomfører målrettede angrep mot RDP-servere ved å utnytte svake passord, feilkonfigurasjoner og manglende sikring av eksterne tilkoblinger. Angriperne bruker ofte brute force og credential stuffing for å få tilgang, før de etablerer vedvarende kontroll gjennom bakdører og legitime administrasjonsverktøy. Etter innlogging utføres rekognosering, lateral bevegelse i nettverket og installasjon av ytterligere malware eller ransomware.

Angrepene kjennetegnes ved bruk av stealth teknikker som legitime Windows verktøy, skjult trafikk og minimal synlig aktivitet for å unngå deteksjon. RDP fungerer som en kritisk inngangsport, og kompromitterte systemer brukes ofte videre til datatyveri eller som del av større angrepskampanjer.

Posted by tsoc at 12:10 0 comments

Tuesday, 24 March 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.03.24

Kritisk sårbarhet i Oracle Fusion Middleware (CVE-2026-21992). Kritisk sårbarhet i Citrix NetScaler skaper risiko for minnelekkasje og uautorisert tilgang. Trivy supply-chain attack sprer seg til Docker og GitHub-repositorier.

Kritisk sårbarhet i Oracle Fusion Middleware (CVE-2026-21992)

CVE-2026-21992 er en kritisk sårbarhet i Oracle Fusion Middleware som har fått CVSS Base Score på 9.8. Sårbarheten gjelder spesifikt Oracle Identity Manager og Oracle Web Services Manager, og kan utnyttes av en uautentisert angriper med nettverkstilgang via HTTP. Vellykket utnyttelse kan føre til kompromittering av systemet, med potensielle konsekvenser som uautorisert tilgang og påvirkning av konfidensialitet, integritet eller tilgjengelighet. Kompleksiteten ved å utnytte sårbarheten er vurdert som lav og påvirker komponentene REST WebServices og Web Services Security.

Anbefaling:

Oracle anbefaler at berørte systemer oppdateres umiddelbart med tilgjengelige sikkerhetsoppdateringer fra deres offisielle sikkerhetsvarsler. I tillegg bør organisasjoner vurdere å begrense eksponering av berørte tjenester mot internett for å redusere risikoen for utnyttelse.

Sårbarheter:

Kritisk sårbarhet i Citrix NetScaler skaper risiko for minnelekkasje og uautorisert tilgang

Citrix advarer om en kritisk sårbarhet i Citrix NetScaler ADC og Gateway (CVE-2026-3055) som skyldes en out-of-bounds read-feil. Denne kan utnyttes av uautentiserte angripere for å lese sensitiv informasjon direkte fra minnet på berørte enheter når systemet er konfigurert med SAML-Identity Provider (IDP). Dette skyldes av utilstrekkelig validering av input i NetScaler ADC og NetScaler Gateway.

Sårbarheten vurderes som kritisk, med en CVSS-score på 9.3, og kan utnyttes uten behov for autentisering.

Anbefaling:

Citrix anbefaler at alle berørte systemer oppdateres umiddelbart til versjoner som inneholder sikkerhetsfikser. Organisasjoner bør prioritere systemer som er eksponert mot internett eller bruker SAML-IDP.

Sårbarheter:

Trivy supply-chain attack sprer seg til Docker og GitHub-repositorier

Et pågående supply chain-angrep mot Trivy, et svært utbredt open source sikkerhetsverktøy fra Aqua Security har eskalert ved at angripergruppen TeamPCP har publisert ondsinnede Docker-images og kompromittert selskapets GitHub-organisasjon. Angriperne utnyttet tidligere kompromitterte legitimasjoner og mangelfull token-rotasjon for å få vedvarende tilgang, noe som gjorde det mulig å manipulere repositories og distribuere infostealer-malware via CI/CD pipelines. Spesielt ble Docker Hub-images med versjonene 0.69.5 og 0.69.6 publisert uten offisielle GitHub-releases, og inneholdt indikatorer på kompromittering.

Angrepet bygger videre på en tidligere kompromittering av Trivy sin build pipeline, hvor også versjon 0.69.4 og GitHub Actions ble manipulert. Angriperne injiserte credential-stealing kode som kunne hente ut sensitive data fra utviklingsmiljøer. Det understrekes at Docker-tags ikke er immutable, og at man derfor ikke kan stole blindt på versjonsnavn for integritet.

Anbefaling:

Organisasjoner bør umiddelbart unngå Trivy-versjonene 0.69.4, 0.69.5 og 0.69.6 og heller bruke kjente trygge versjoner som 0.69.3 eller tidligere. Det anbefales å verifisere integriteten til images via digest i stedet for tags, samt oppdatere til patched versjoner av relaterte GitHub Actions. I tillegg bør alle tokens og credentials roteres på en sikker og fullstendig måte, og systemer som kan ha vært eksponert må gjennomgås for kompromittering.

Posted by tsoc at 12:31 0 comments

Monday, 23 March 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.03.23

Trivy Supply Chain-angrep utløser selvspredende CanisterWorm på tvers av 47 npm-pakker.

Trivy Supply Chain-angrep utløser selvspredende CanisterWorm på tvers av 47 npm-pakker

Angriperne bak Trivy‑angrepet har kompromittert 47 npm‑pakker med en ny selvspredende skadevare kalt CanisterWorm. Skadevaren bruker en ICP-canister som et desentralisert kontrollpunkt for å hente kommandoer og nye payloads. Infiserte pakker installerer et Python-bakdørprogram som holder seg vedvarende via en systemd‑tjeneste. En nyere variant kan automatisk samle inn npm-tokens fra utviklere og CI‑miljøer og spre seg videre uten manuell innsats. Dette gjør at kompromitterte utviklere uvitende kan bli spredningspunkter, noe som forsterker rekkevidden dramatisk.

Posted by tsoc at 11:32 0 comments

Friday, 20 March 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.03.20

Kritisk Magento-sårbarhet muliggjør uautentisert RCE via filopplasting.

Kritisk Magento-sårbarhet muliggjør uautentisert RCE via filopplasting

Sansec beskriver en ny kritisk Magento/Adobe Commerce-sårbarhet kalt PolyShell, som lar angripere laste opp ondsinnet kode forkledd som bildefiler via REST API. Dette kan åpne opp risiko for uautentisert ekstern kjøring av kode og kontoovertakelse, avhengig av webserverkonfigurasjonen.

Nesten alle produksjonsversjoner av Magento 2 er berørt, med unntak av pre-release patch 2.4.9-alpha3 og nyere. Sansec skriver at de ikke har observert aktiv utnyttelse av denne sårbarheten, men forventer at angrep kommer til å oppstå i nær tid.

Anbefaling:

Det er foreløpig ikke utgitt en offisiell fiks for Magento versjoner i produksjon, men Sansec anbefaler blant annet å begrense tilgang til opplastingskatalogen for å hindre kjøring av potensielt ondsinnede filer.

Posted by tsoc at 12:39 0 comments
Subscribe to: Comments (Atom)
 
>