Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Monday, 15 June 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.15

Over 400 Arch Linux-pakker kompromittert for å distribuere rootkit og informasjonsstjeler. Kritisk Splunk-sårbarhet muliggjør uautentisert RCE.

Over 400 Arch Linux-pakker kompromittert for å distribuere rootkit og informasjonsstjeler

Over 400 pakker i Arch User Repository (AUR) har blitt kompromittert og brukt til å distribuere skadevare som kombinerer informasjons stjeling og et Linux-rootkit. En ny vedlikeholder utga seg for å være en betrodd publisist og modifiserte pakker slik at et installasjonsskript ble lastet ned og kjørte en ondsinnet npm pakke, "atomic lockfile." Denne pakken installerte et ELF-program kalt "deps", som er beskrevet som en legitimasjonsstjeler med valgfrie eBPF rootkit-funksjoner som kan skjule prosesser i systemet. Berørte komponenter er AUR pakker, PKGBUILD skript og den ondsinnede npm-pakken "atomic lockfile." Skadevaren retter seg mot GitHub-legitimasjon, SSH-artefakter, HashiCorp Vault token, nettleser cookies, samt Slack-, Discord-, Microsoft Teams- og Telegram-data. Analysen viste også funksjoner for arkivering av data, håndtering av flerdelte filer og HTTP-opplasting for eksfiltrering av innsamlet informasjon. AUR vedlikeholdere arbeider med å identifisere og fjerne ondsinnede endringer samt blokkere kontoene som distribuerte dem.

Anbefaling:

Gjennomgå listen over berørte pakker og indikatorene på kompromittering, og roter alle legitimasjoner dersom kompromitterte pakker er installert.

Kritisk Splunk-sårbarhet muliggjør uautentisert RCE

Splunk har publisert sikkerhetsoppdateringer for en kritisk sårbarhet (CVE-2026-20253) i Splunk Enterprise som kan gi angripere uautorisert tilgang til filoperasjoner og i verste fall remote code execution (RCE) – uten autentisering. Feilen har CVSS-score på 9,8 og påvirker versjoner før 10.0.7 og 10.2.4.

Sårbarheten skyldes manglende autentiseringskontroll i en PostgreSQL sidecar-tjeneste, som eksponerer endepunktene /v1/postgres/recovery/backup og /v1/postgres/recovery/restore. En angriper kan utnytte disse til å laste inn en ondsinnet database-dump og få SQL-kode kjørt direkte i Splunks lokale PostgreSQL-instans.

Angrepskjeden gjør det mulig å skrive vilkårlige filer til filsystemet ved hjelp av funksjoner som lo_export. Dette kan eskaleres til RCE ved å overskrive eksisterende Python-skript som Splunk kjører regelmessig, og dermed injisere en payload. Splunk Cloud er ikke berørt, da den ikke bruker PostgreSQL sidecars.

Det er foreløpig ingen bekreftet aktiv utnyttelse, men detaljerte exploit-beskrivelser er offentlig tilgjengelige. Dette øker risikoen for rask utnyttelse. Det anbefales å oppgradere til versjon 10.0.7 eller 10.2.4 umiddelbart og begrense nettverkstilgang til berørte tjenester.

Posted by tsoc at 12:04 0 comments

Friday, 12 June 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.12

Oracle reduserer risikoen fra PeopleSoft nulldag utnyttet i datatyveriangrep. Huawei HG532 ruter – fortsatt risiko knyttet til gammel sårbarhet i utgått utstyr. Microsoft Teams for Android sårbarhet kan lekke sensitiv informasjon.

Oracle reduserer risikoen fra PeopleSoft nulldag utnyttet i datatyveriangrep

En kritisk nulldagsårbarhet i Oracle PeopleSoft PeopleTools sporet som CVE-2026-35273 er brukt i aktive datatyveriangrep og muliggjør fjernkjøring av kode uten autentisering. Sårbarheten påvirker PeopleSoft Enterprise PeopleTools versjon 8.61 og 8.62 og har en CVSS-score på 9.8. Feilen ligger i PeopleTools komponenten, og vellykket utnyttelse gir angriperen mulighet til å kjøre kode på systemet uten innlogging. ShinyHunters har bekreftet at de står bak angrepene og oppgir at de brukte en kjede av eldre sårbarheter og nulldag feil for å kompromittere PeopleSoft installasjoner. Ifølge opplysningene skal data ha blitt stjålet fra 300 instanser hos mer enn 100 organisasjoner. Oracle har publisert nødtiltak for å redusere risikoen mens en permanent sikkerhetsoppdatering er under utvikling.

Anbefaling:

Implementer Oracles publiserte nødtiltak for CVE-2026-35273 og undersøk logger for trafikk fra de oppgitte IP adressene knyttet til angrepene.

Sårbarheter:

Huawei HG532 ruter – fortsatt risiko knyttet til gammel sårbarhet i utgått utstyr

Det er observert fornyet aktivitet knyttet til en gammel og kjent sårbarhet i Huawei HG532; CVE-2017-17215, som kan gi angriper mulighet til å kjøre kommandoer eller kode på sårbare enheter. Sårbarheten ble opprinnelig kjent i 2017 og gjelder eldre hjemmerutere/gatewayer fra Huawei.

Sårbarheten gir en angriper mulighet til å

  • Kjøre vilkårlig kode på enheten

  • Ta full kontroll over routeren (altså se all ukryptert data som går gjennom den)

  • Rekruttere enheten til botnet, typisk varianter av Mirai

Saken er særlig relevant fordi dette i stor grad gjelder utstyr som er utenfor støtte (End of Service / EOL) fra produsenten. Huawei opplyser selv at anbefalt håndtering for slike produkter er å benytte midlertidige sikringstiltak eller å erstatte enheten, fremfor å basere seg på ordinære sikkerhetsoppdateringer.

Trusselen vurderes fortsatt som relevant fordi sårbarheten fremdeles blir utnyttet med høy og vedvarende aktivitet i aktive kampanjer.

Det er grunn til å anta at deler av dette utstyret fortsatt er i bruk, også i Norge. Åpne kilder indikerer at et tosifret antall enheter er offentlig eksponert nasjonalt, og flere tusen globalt.

Virksomheter bør identifisere om Huawei HG532 eller annet tilsvarende utgått nettverksutstyr fortsatt er i drift, og prioritere utfasing eller utskifting. Dersom utskifting ikke kan gjennomføres umiddelbart, bør enheten skjermes fra internett, plasseres bak brannmur og følges opp med kompenserende tiltak.

Sårbarheter:

Microsoft Teams for Android sårbarhet kan lekke sensitiv informasjon

Microsoft har publisert en sikkerhetsoppdatering for en høyrisiko sårbarhet i Microsoft Teams for Android, identifisert som CVE-2026-42835. Sårbarheten skyldes mangelfull håndtering av data som sendes til underliggende komponenter i applikasjonen, noe som kan føre til uautorisert informasjonslekkasje over nettverk. En angriper med gyldig tilgang til Teams miljøet kan potensielt utnytte svakheten til å hente ut sensitiv informasjon. Microsoft har klassifisert sårbarheten med en CVSS-score på 8.1 (High). Berørte versjoner omfatter Teams for Android før versjon 1.0.76.2026111302, og Microsoft har publisert oppdateringer som adresserer problemet.

Anbefaling:

Oppdater Microsoft Teams for Android til nyeste tilgjengelige versjon umiddelbart. Organisasjoner bør verifisere at mobile enheter administrert gjennom MDM eller Intune løsninger mottar oppdateringen. Gjennomgå mobile sikkerhetspolicyer og sørg for at Teams klienter behandles som en del av virksomhetens kritiske infrastruktur. Overvåk også for uvanlig tilgang til Teams-relatert informasjon og autentiserte brukerkontoer.

Sårbarheter:

Posted by tsoc at 12:16 0 comments

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.12

Oracle reduserer risikoen fra PeopleSoft nulldag utnyttet i datatyveriangrep. Huawei HG532 ruter – fortsatt risiko knyttet til gammel sårbarhet i utgått utstyr. Microsoft Teams for Android sårbarhet kan lekke sensitiv informasjon.

Oracle reduserer risikoen fra PeopleSoft nulldag utnyttet i datatyveriangrep

En kritisk nulldagsårbarhet i Oracle PeopleSoft PeopleTools sporet som CVE-2026-35273 er brukt i aktive datatyveriangrep og muliggjør fjernkjøring av kode uten autentisering. Sårbarheten påvirker PeopleSoft Enterprise PeopleTools versjon 8.61 og 8.62 og har en CVSS-score på 9.8. Feilen ligger i PeopleTools komponenten, og vellykket utnyttelse gir angriperen mulighet til å kjøre kode på systemet uten innlogging. ShinyHunters har bekreftet at de står bak angrepene og oppgir at de brukte en kjede av eldre sårbarheter og nulldag feil for å kompromittere PeopleSoft installasjoner. Ifølge opplysningene skal data ha blitt stjålet fra 300 instanser hos mer enn 100 organisasjoner. Oracle har publisert nødtiltak for å redusere risikoen mens en permanent sikkerhetsoppdatering er under utvikling.

Anbefaling:

Implementer Oracles publiserte nødtiltak for CVE-2026-35273 og undersøk logger for trafikk fra de oppgitte IP adressene knyttet til angrepene.

Sårbarheter:

Huawei HG532 ruter – fortsatt risiko knyttet til gammel sårbarhet i utgått utstyr

Det er observert fornyet aktivitet knyttet til en gammel og kjent sårbarhet i Huawei HG532; CVE-2017-17215, som kan gi angriper mulighet til å kjøre kommandoer eller kode på sårbare enheter. Sårbarheten ble opprinnelig kjent i 2017 og gjelder eldre hjemmerutere/gatewayer fra Huawei.

Sårbarheten gir en angriper mulighet til å

  • Kjøre vilkårlig kode på enheten

  • Ta full kontroll over routeren (altså se all ukryptert data som går gjennom den)

  • Rekruttere enheten til botnet, typisk varianter av Mirai

Saken er særlig relevant fordi dette i stor grad gjelder utstyr som er utenfor støtte (End of Service / EOL) fra produsenten. Huawei opplyser selv at anbefalt håndtering for slike produkter er å benytte midlertidige sikringstiltak eller å erstatte enheten, fremfor å basere seg på ordinære sikkerhetsoppdateringer.

Trusselen vurderes fortsatt som relevant fordi sårbarheten fremdeles blir utnyttet med høy og vedvarende aktivitet i aktive kampanjer.

Det er grunn til å anta at deler av dette utstyret fortsatt er i bruk, også i Norge. Åpne kilder indikerer at et tosifret antall enheter er offentlig eksponert nasjonalt, og flere tusen globalt.

Virksomheter bør identifisere om Huawei HG532 eller annet tilsvarende utgått nettverksutstyr fortsatt er i drift, og prioritere utfasing eller utskifting. Dersom utskifting ikke kan gjennomføres umiddelbart, bør enheten skjermes fra internett, plasseres bak brannmur og følges opp med kompenserende tiltak.

Sårbarheter:

Microsoft Teams for Android sårbarhet kan lekke sensitiv informasjon

Microsoft har publisert en sikkerhetsoppdatering for en høyrisiko sårbarhet i Microsoft Teams for Android, identifisert som CVE-2026-42835. Sårbarheten skyldes mangelfull håndtering av data som sendes til underliggende komponenter i applikasjonen, noe som kan føre til uautorisert informasjonslekkasje over nettverk. En angriper med gyldig tilgang til Teams miljøet kan potensielt utnytte svakheten til å hente ut sensitiv informasjon. Microsoft har klassifisert sårbarheten med en CVSS-score på 8.1 (High). Berørte versjoner omfatter Teams for Android før versjon 1.0.76.2026111302, og Microsoft har publisert oppdateringer som adresserer problemet.

Anbefaling:

Oppdater Microsoft Teams for Android til nyeste tilgjengelige versjon umiddelbart. Organisasjoner bør verifisere at mobile enheter administrert gjennom MDM eller Intune løsninger mottar oppdateringen. Gjennomgå mobile sikkerhetspolicyer og sørg for at Teams klienter behandles som en del av virksomhetens kritiske infrastruktur. Overvåk også for uvanlig tilgang til Teams-relatert informasjon og autentiserte brukerkontoer.

Sårbarheter:

Posted by tsoc at 12:00 0 comments

Thursday, 11 June 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.11

Maksimal alvorlighetsgrad i Ivanti Sentry-sårbarhet utnyttes nå i angrep.

Maksimal alvorlighetsgrad i Ivanti Sentry-sårbarhet utnyttes nå i angrep

En aktivt utnyttet sårbarhet i Ivanti Sentry gjør det mulig å kjøre kode med root-rettigheter på internett-eksponerte sikre mobilgatewayer. Sårbarheten er identifisert som CVE-2026-10520 og skyldes OS command injection i Ivanti Sentry. Ivanti publiserte sikkerhetsoppdateringer i versjonene R10.5.2, R10.6.2 og R10.7.1, og opplyste først at det ikke fantes tegn til aktiv utnyttelse. Dagen etter rapporterte Shadowserver omfattende forsøk på utnyttelse basert på offentlig tilgjengelig PoC-kode, og observerte kompromitterte systemer. Angripere kan oppnå root-nivå fjernkjøring av kode uten å være autentisert. Berørte systemer er Ivanti Sentry-gatewayer som brukes til å sikre trafikk mellom bedriftssystemer og mobile enheter.

Anbefaling:

Oppgrader Ivanti Sentry til R10.5.2, R10.6.2 eller R10.7.1 umiddelbart.

Sårbarheter:

Posted by tsoc at 10:21 0 comments

Wednesday, 10 June 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.10

Microsoft Defender «RoguePlanet» Zero-day gir system-rettigheter på oppdatert Windows. ServiceNow-feil utnyttet for å få uautorisert tilgang til kundeinstanser.

Microsoft Defender «RoguePlanet» Zero-day gir system-rettigheter på oppdatert Windows

En ny zero-day sårbarhet i Microsoft Defender, kalt RoguePlanet, er offentliggjort av sikkerhetsforskeren Nightmare Eclipse kort tid etter Microsofts juni 2026 Patch Tuesday. Sårbarheten påvirker fullt oppdaterte Windows 10- og Windows 11-systemer og gjør det mulig å starte en kommandolinje med SYSTEM-rettigheter. Feilen skyldes en race condition i Microsoft Defender der tidskritiske operasjoner kan misbrukes for å oppnå privilegieeskalering. Ifølge forskeren ble sårbarheten opprinnelig utviklet som en metode for fjernkjøring av kode via filer på SMB-delinger, men den publiserte PoC-en fokuserer på lokal privilegieeskalering. PoC-en fungerer ved å utnytte Defenders håndtering av monterte ISO-filer og er beskrevet som «hit or miss» på grunn av race condition-mekanismen. Windows Server er ikke påvirket av den publiserte PoC-en fordi vanlige brukere ikke kan montere ISO-filer der. Organisasjoner som benytter applikasjonskontroll/allowlisting kan blokkere kjøring av utnyttelsen.

Anbefaling:

Implementer applikasjonskontroll (allowlisting) for å hindre at RoguePlanet-koden kan kjøres.

ServiceNow-feil utnyttet for å få uautorisert tilgang til kundeinstanser

Angripere utnyttet en autentiseringsfri tilgangsfeil i et ServiceNow-API for å hente data fra kundeinstanser. ServiceNow oppdaget unormal aktivitet og bekreftet at enkelte kunder ble berørt av vellykkede spørringer mot instanstabeller. Feilen var knyttet til et API-endepunkt som under visse omstendigheter ga større tilgang enn tiltenkt uten autentisering. ServiceNow installerte en sikkerhetsoppdatering 5. juni 2026 som endret konfigurasjonen av endepunktet slik at kun autentiserte brukere får tilgang. Berørte kunder ble varslet direkte etter at selskapet observerte tegn på vellykket utnyttelse. Artikkelen beskriver aktiv utnyttelse av feilen mot kundeinstanser før oppdateringen ble rullet ut.

Anbefaling:

Bekreft at sikkerhetsoppdateringen fra 5. juni 2026 er installert og gjennomgå logger for uautoriserte API-forespørsler mot ServiceNow-instansen.

Posted by tsoc at 12:03 0 comments

Tuesday, 9 June 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.09

Ny Linux kjernesårbarhet gjør det mulig å eskalere privilegier til root. Check Point VPN null-dagssårbarhet brukt i angrep for å distribuere løsepengevirus. Kritiske lagrede XSS-sårbarheter rettet i VMware Aria Automation.

Ny Linux kjernesårbarhet gjør det mulig å eskalere privilegier til root

En use-after-free-sårbarhet i Linux-kjernens nftables kan gjøre det mulig for lokale brukere uten administratorrettigheter å få root-rettigheter på blant annet Debian Bookworm, Debian Trixie, Ubuntu 22.04 LTS og Ubuntu 24.04 LTS.

Feilen skyldes en logisk feil i nft_map_catchall_activate(), som gjør at enkelte objekter kan bli håndtert feil når transaksjoner avbrytes. Dette kan føre til en dangling pointer og videre til en use-after-free-tilstand.

En angriper kan bruke flere nftables-transaksjoner til å hente ut informasjon om minneoppsettet og deretter ta kontroll over kjøringen i kjernen. Dette kan gi root-rettigheter og mulig brudd ut av containere og namespaces. En fungerende offentlig exploit er publisert. Sårbarheten ble rettet oppstrøms 5. februar 2026 gjennom en kjerneoppdatering.

Anbefaling:

Installer den oppstrøms kjerneoppdateringen (commit f41c5d1) eller oppdater til en distribuert kjerneversjon som inneholder rettelsen.

Check Point VPN null-dagssårbarhet brukt i angrep for å distribuere løsepengevirus

En kritisk sårbarhet i undersystemet for autentisering i Check Point Remote Access VPN og Mobile Access blir aktivt utnyttet. Det er kjent at sårbarheten utnyttes av skadevare.

CVE-2026-50751 påvirker installasjoner som bruker den utdaterte nøkkelutvekslingsprotokollen IKEv1, der en logisk feil i sertifikatvalideringen gjør at en ekstern angriper kan opprette en VPN sesjon uten gyldig passord. Berørte produkter inkluderer:

  • Mobile Access/SSL VPN

  • Remote Access VPN

  • Spark Firewall

i versjoner fra R80.20.X til R82.10.

Angrepene ble observert fra 7. mai 2026 og økte betydelig i begynnelsen av juni mot flere titalls organisasjoner globalt. Etter innledende tilgang er ytterligere handlinger nødvendig for å få tilgang til interne ressurser eller eskalere privilegier. Under etterforskningen identifiserte Check Point også CVE-2026-50752, en relatert feil i IKEv1-sertifikatvalidering som kan muliggjøre man-in-the-middle-angrep mot site-to-site VPN forbindelser under bestemte forhold.

Skadevaren Qilin ransomware har blitt observert brukt i angrep

Anbefaling:

Installer Check Points tilgjengelige oppdatering (hotfix) for berørte Security Gateways. Dersom oppdatering ikke kan gjennomføres umiddelbart, fjern støtte for eldre fjernaksessklienter, konfigurer VPN-autentisering til kun IKEv2, krev maskinsertifikatautentisering og aktiver IPS med oppdaterte signaturer. Disse avhjelpende tiltakene bør uansett gjennomføres som en del av normal herding av systemene.

Kritiske lagrede XSS-sårbarheter rettet i VMware Aria Automation

Broadcom har publisert sikkerhetsoppdateringer for tre lagrede XSS sårbarheter i VMware Aria Automation. Sårbarhetene påvirker VMware Aria Automation 8.x og skyldes utilstrekkelig validering og sanitering av brukerinput i ulike komponenter. En angriper med tilgang til produktet kan lagre skadelig JavaScript-kode som kjøres i nettleseren til andre brukere når de åpner berørte sider. Dette kan føre til kapring av brukersesjoner, utførelse av handlinger på vegne av brukeren og tilgang til sensitive data som er tilgjengelige i applikasjonen. Sårbarhetene krever autentisert tilgang, men kan påvirke brukere med høyere privilegier dersom de eksponeres for det lagrede innholdet. Broadcom har gjort oppdateringer tilgjengelige og oppfordrer kunder til å installere disse så raskt som mulig.

Anbefaling:

Installer de publiserte sikkerhetsoppdateringene for VMware Aria Automation så raskt som mulig.

Posted by tsoc at 09:59 0 comments

Monday, 8 June 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.08

C0XMO Botnet Utvider Gafgyt med Avanserte DDoS og Spredningsfunksjoner. Miasma angrep rammer Microsoft på GitHub.

C0XMO Botnet Utvider Gafgyt med Avanserte DDoS og Spredningsfunksjoner

Sikkerhetsforskere hos Fortinet har avdekket en ny variant av Gafgyt-botnettet, kalt C0XMO, som retter seg mot DD-WRT rutere og en rekke andre enheter på tvers av arkitekturer som ARM, MIPS, PowerPC, SuperH, x86 og x86_64. Botnettet utnytter blant annet CVE-2021-27137, en uautentisert buffer overflow-sårbarhet som muliggjør fjernkjøring av kode. Malware benytter også brute force-angrep mot Telnet og SSH tjenester med svake passord for videre spredning. Etter kompromittering installerer den persistensmekanismer via cron-jobber og oppstarts-skript, samtidig som den fjerner konkurrerende botnett og sikkerhetsverktøy fra infiserte systemer. C0XMO kommuniserer med en hardkodet C2 server og støtter hele 19 ulike DDoS angrepsmetoder, inkludert TCP, UDP, SYN og ICMP floods, samt NTP og Memcached amplifiseringsangrep. Fortinet beskriver botnettet som betydelig mer avansert og modulært enn tidligere Gafgyt varianter, med mulighet for løpende utvidelse av funksjonalitet og målplattformer.

CVE-koder: CVE-2021-27137

Anbefaling:

Anbefalinger: Oppdater berørte enheter med tilgjengelige sikkerhetsoppdateringer umiddelbart. Bytt standard og svake passord på SSH og Telnet tjenester til unike og sterke brukerdetaljer. Deaktiver Telnet og ekstern administrasjon dersom det ikke er nødvendig. Overvåk nettverk for uvanlig skanning mot porter som 22, 23, 80, 443, 7547, 8080 og 8443. Gjennomfør regelmessige revisjoner av IoT enheter, rutere og DVR systemer for å identifisere kompromittering og ukjente persistensmekanismer.

Sårbarheter:

Miasma angrep rammer Microsoft på GitHub

En pågående supply chain kampanje kalt Miasma har kompromittert 73 GitHub repositories tilknyttet Microsoft (Azure, Azure‑Samples, Microsoft og MicrosoftDocs). GitHub har deaktivert repoene etter brudd på vilkår. Blant de rammede er sentrale Durable Task‑prosjekter på tvers av flere språk.

Angrepet knyttes til en re‑kompromittering av "durabletask" og utnytter tillitsmodellen i open source: ondsinnet kode publiseres med legitime nøkler. I nyere tilfeller ble skadevare pushet direkte til GitHub‑repos og trigges når utviklere åpner dem i verktøy som VS Code eller AI‑kodingsagenter.

Posted by tsoc at 12:15 0 comments
Subscribe to: Posts (Atom)
 
>