Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Wednesday, 25 March 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.03.25

LiteLLM PyPI skadevare stjeler sky-, krypto-, Slack- og Discord nøkler. Falske jobbtilbud via Google Forms sprer PureHVNC malware. APT-angrep retter seg mot RDP servere for vedvarende tilgang.

LiteLLM PyPI skadevare stjeler sky-, krypto-, Slack- og Discord nøkler

LiteLLM ble nylig kompromittert etter at en angriper tok over en vedlikeholders konto og lastet opp to ondsinnede versjoner (1.82.7 og 1.82.8) på PyPi. Disse versjonene inneholder en infostealer som forsøker å hente AWS-, GCP- og GitHub-nøkler, SSH-nøkler, kryptolommebøker og en rekke andre sensitive data. Skadelig programvare samlet inn og krypterte informasjon før den blir sendt til en ekstern C2-server, og inneholdt også en tredje nyttelast designet for vedvarende tilgang. Brukere som installerte LiteLLM i dette tidsrommet uten versjonspinning, risikerer å være rammet. Det anbefales å rotere alle nøkler umiddelbart og alltid pinne avhengigheter for å forhindre automatisk installasjon av kompromitterte versjoner.

Falske jobbtilbud via Google Forms sprer PureHVNC malware

En pågående kampanje misbruker Google Forms til å spre PureHVNC Remote Access Trojan via falske jobbtilbud, prosjektforespørsler og forretningsdokumenter. Angrepet starter ved at brukere mottar en lenke til et troverdig Google Form, ofte distribuert via LinkedIn, hvor de blir bedt om å laste ned en ZIP-fil. Denne filen inneholder legitime dokumenter kombinert med ondsinnede filer som utnytter DLL hijacking for å starte en flertrinns infeksjonskjede som til slutt installerer PureHVNC.

Malwaren gir angripere full fjernkontroll over systemet, inkludert mulighet til å hente systeminformasjon, stjele data fra nettlesere, kryptolommebøker og applikasjoner som Telegram, samt installere ytterligere moduler og opprettholde vedvarende tilgang. Kampanjen skiller seg ut ved å bruke legitime tjenester som Google Forms, Dropbox og URL-forkortere for å omgå sikkerhetsmekanismer og øke troverdigheten.

APT-angrep retter seg mot RDP servere for vedvarende tilgang

Avanserte trusselaktører (APT-grupper) gjennomfører målrettede angrep mot RDP-servere ved å utnytte svake passord, feilkonfigurasjoner og manglende sikring av eksterne tilkoblinger. Angriperne bruker ofte brute force og credential stuffing for å få tilgang, før de etablerer vedvarende kontroll gjennom bakdører og legitime administrasjonsverktøy. Etter innlogging utføres rekognosering, lateral bevegelse i nettverket og installasjon av ytterligere malware eller ransomware.

Angrepene kjennetegnes ved bruk av stealth teknikker som legitime Windows verktøy, skjult trafikk og minimal synlig aktivitet for å unngå deteksjon. RDP fungerer som en kritisk inngangsport, og kompromitterte systemer brukes ofte videre til datatyveri eller som del av større angrepskampanjer.

Posted by tsoc at 12:10 0 comments

Tuesday, 24 March 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.03.24

Kritisk sårbarhet i Oracle Fusion Middleware (CVE-2026-21992). Kritisk sårbarhet i Citrix NetScaler skaper risiko for minnelekkasje og uautorisert tilgang. Trivy supply-chain attack sprer seg til Docker og GitHub-repositorier.

Kritisk sårbarhet i Oracle Fusion Middleware (CVE-2026-21992)

CVE-2026-21992 er en kritisk sårbarhet i Oracle Fusion Middleware som har fått CVSS Base Score på 9.8. Sårbarheten gjelder spesifikt Oracle Identity Manager og Oracle Web Services Manager, og kan utnyttes av en uautentisert angriper med nettverkstilgang via HTTP. Vellykket utnyttelse kan føre til kompromittering av systemet, med potensielle konsekvenser som uautorisert tilgang og påvirkning av konfidensialitet, integritet eller tilgjengelighet. Kompleksiteten ved å utnytte sårbarheten er vurdert som lav og påvirker komponentene REST WebServices og Web Services Security.

Anbefaling:

Oracle anbefaler at berørte systemer oppdateres umiddelbart med tilgjengelige sikkerhetsoppdateringer fra deres offisielle sikkerhetsvarsler. I tillegg bør organisasjoner vurdere å begrense eksponering av berørte tjenester mot internett for å redusere risikoen for utnyttelse.

Sårbarheter:

Kritisk sårbarhet i Citrix NetScaler skaper risiko for minnelekkasje og uautorisert tilgang

Citrix advarer om en kritisk sårbarhet i Citrix NetScaler ADC og Gateway (CVE-2026-3055) som skyldes en out-of-bounds read-feil. Denne kan utnyttes av uautentiserte angripere for å lese sensitiv informasjon direkte fra minnet på berørte enheter når systemet er konfigurert med SAML-Identity Provider (IDP). Dette skyldes av utilstrekkelig validering av input i NetScaler ADC og NetScaler Gateway.

Sårbarheten vurderes som kritisk, med en CVSS-score på 9.3, og kan utnyttes uten behov for autentisering.

Anbefaling:

Citrix anbefaler at alle berørte systemer oppdateres umiddelbart til versjoner som inneholder sikkerhetsfikser. Organisasjoner bør prioritere systemer som er eksponert mot internett eller bruker SAML-IDP.

Sårbarheter:

Trivy supply-chain attack sprer seg til Docker og GitHub-repositorier

Et pågående supply chain-angrep mot Trivy, et svært utbredt open source sikkerhetsverktøy fra Aqua Security har eskalert ved at angripergruppen TeamPCP har publisert ondsinnede Docker-images og kompromittert selskapets GitHub-organisasjon. Angriperne utnyttet tidligere kompromitterte legitimasjoner og mangelfull token-rotasjon for å få vedvarende tilgang, noe som gjorde det mulig å manipulere repositories og distribuere infostealer-malware via CI/CD pipelines. Spesielt ble Docker Hub-images med versjonene 0.69.5 og 0.69.6 publisert uten offisielle GitHub-releases, og inneholdt indikatorer på kompromittering.

Angrepet bygger videre på en tidligere kompromittering av Trivy sin build pipeline, hvor også versjon 0.69.4 og GitHub Actions ble manipulert. Angriperne injiserte credential-stealing kode som kunne hente ut sensitive data fra utviklingsmiljøer. Det understrekes at Docker-tags ikke er immutable, og at man derfor ikke kan stole blindt på versjonsnavn for integritet.

Anbefaling:

Organisasjoner bør umiddelbart unngå Trivy-versjonene 0.69.4, 0.69.5 og 0.69.6 og heller bruke kjente trygge versjoner som 0.69.3 eller tidligere. Det anbefales å verifisere integriteten til images via digest i stedet for tags, samt oppdatere til patched versjoner av relaterte GitHub Actions. I tillegg bør alle tokens og credentials roteres på en sikker og fullstendig måte, og systemer som kan ha vært eksponert må gjennomgås for kompromittering.

Posted by tsoc at 12:31 0 comments

Monday, 23 March 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.03.23

Trivy Supply Chain-angrep utløser selvspredende CanisterWorm på tvers av 47 npm-pakker.

Trivy Supply Chain-angrep utløser selvspredende CanisterWorm på tvers av 47 npm-pakker

Angriperne bak Trivy‑angrepet har kompromittert 47 npm‑pakker med en ny selvspredende skadevare kalt CanisterWorm. Skadevaren bruker en ICP-canister som et desentralisert kontrollpunkt for å hente kommandoer og nye payloads. Infiserte pakker installerer et Python-bakdørprogram som holder seg vedvarende via en systemd‑tjeneste. En nyere variant kan automatisk samle inn npm-tokens fra utviklere og CI‑miljøer og spre seg videre uten manuell innsats. Dette gjør at kompromitterte utviklere uvitende kan bli spredningspunkter, noe som forsterker rekkevidden dramatisk.

Posted by tsoc at 11:32 0 comments

Friday, 20 March 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.03.20

Kritisk Magento-sårbarhet muliggjør uautentisert RCE via filopplasting.

Kritisk Magento-sårbarhet muliggjør uautentisert RCE via filopplasting

Sansec beskriver en ny kritisk Magento/Adobe Commerce-sårbarhet kalt PolyShell, som lar angripere laste opp ondsinnet kode forkledd som bildefiler via REST API. Dette kan åpne opp risiko for uautentisert ekstern kjøring av kode og kontoovertakelse, avhengig av webserverkonfigurasjonen.

Nesten alle produksjonsversjoner av Magento 2 er berørt, med unntak av pre-release patch 2.4.9-alpha3 og nyere. Sansec skriver at de ikke har observert aktiv utnyttelse av denne sårbarheten, men forventer at angrep kommer til å oppstå i nær tid.

Anbefaling:

Det er foreløpig ikke utgitt en offisiell fiks for Magento versjoner i produksjon, men Sansec anbefaler blant annet å begrense tilgang til opplastingskatalogen for å hindre kjøring av potensielt ondsinnede filer.

Posted by tsoc at 12:39 0 comments

Thursday, 19 March 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.03.19

Kritisk Telnetd sårbarhet gir uautentisert root RCE i GNU InetUtils. Ubuntu sårbarhet (CVE-2026-3888) kan gi lokal root-tilgang via namespace-feil. Kritisk sårbarhet i UniFi Network Application.

Kritisk Telnetd sårbarhet gir uautentisert root RCE i GNU InetUtils

En kritisk sårbarhet i GNU InetUtils telnetd, identifisert som CVE-2026-32746 (CVSS 9.8), gjør det mulig for en uautentisert ekstern angriper å oppnå "remote code execution" (RCE) som root. Feilen skyldes en "out-of-bounds write" i håndteringen av "LINEMODE SLC suboption", som fører til buffer overflow under Telnet protokollens handshake før autentisering. Angrepet krever kun én tilkobling til port 23, uten bruk av påloggingsinformasjon eller brukerinteraksjon. Sårbarheten påvirker alle versjoner opp til og med 2.7, og det finnes foreløpig ingen patch, men en forventes innen 1. april 2026. Vellykket utnyttelse kan gi full systemkontroll og åpne for bakdører, datatyveri og videre spredning i nettverk.

Anbefaling:

Deaktiver Telnet tjenesten dersom den ikke er nødvendig. Dersom den må brukes, kjør den uten root rettigheter. Blokker port 23 både på nettverksnivå og host basert brannmur, og begrens tilgang til kun nødvendige systemer. Isoler Telnet tjenester i egne nettverkssoner. Følg med på og installer patch så snart den blir tilgjengelig.

Sårbarheter:

Ubuntu sårbarhet (CVE-2026-3888) kan gi lokal root-tilgang via namespace-feil

En ny sårbarhet i Ubuntu identifisert som CVE-2026-3888 gjør det mulig for lokale angripere å eskalere privilegier til root gjennom feil håndtering av user namespaces i Linux-kjernen. Problemet oppstår når systemet feilaktig tillater tilgang til ressurser på tvers av namespace-grenser, noe som kan utnyttes til å oppnå høyere privilegier. Sårbarheten påvirker flere Ubuntu-versjoner og krever at angriperen allerede har lokal tilgang til systemet, men gir deretter full kontroll over maskinen.

Det er publisert proof-of-concept kode som demonstrerer hvordan sårbarheten kan utnyttes i praksis, noe som øker risikoen for aktiv utnyttelse. Canonical har bekreftet problemet og har gitt ut sikkerhetsoppdateringer for berørte versjoner av Ubuntu.

Anbefaling:

Oppdater Ubuntu-systemer til nyeste sikkerhetsoppdateringer umiddelbart. Deaktiver user namespaces dersom det ikke er nødvendig i miljøet. Begrens lokal tilgang til systemer og bruk prinsippet om minste privilegium. Overvåk systemer for mistenkelig aktivitet og forsøk på privilege escalation

Sårbarheter:

Kritisk sårbarhet i UniFi Network Application

Det er oppdaget to alvorlige sikkerhetssårbarheter i UniFi Network Application fra Ubiquiti, hvor den mest kritiske har fått en CVSS-score på 10.0.

Den første sårbarheten (CVE-2026-22557) er en såkalt path traversal-feil som kan utnyttes av en angriper med nettverkstilgang. Denne gir mulighet til å lese og manipulere filer på det underliggende systemet, og i verste fall oppnå tilgang til kontoer.

Den andre sårbarheten (CVE-2026-22558) gjelder en NoSQL injection-feil. Denne krever at angriperen allerede har autentisert tilgang, men kan føre til eskalering av privilegier.

Flere versjoner av UniFi Network Application er berørt, inkludert versjon 10.1.85 og tidligere. Også release candidate-versjoner og UniFi Express-enheter er påvirket.

Ubiquiti anbefaler at brukere oppdaterer til følgende versjoner så snart som mulig:

  • UniFi Network Application 10.1.89 eller nyere

  • Release Candidate 10.2.97 eller nyere

  • UniFi Express firmware 4.0.13 eller nyere

Sårbarhetene understreker viktigheten av jevnlige oppdateringer og god tilgangskontroll i nettverksmiljøer.

Posted by tsoc at 15:30 0 comments

Wednesday, 18 March 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.03.18

Apple slipper første bakgrunnsoppdatering for sikkerhet for å fikse WebKit-sårbarhet.

Apple slipper første bakgrunnsoppdatering for sikkerhet for å fikse WebKit-sårbarhet

Apple har introdusert en ny type sikkerhetsoppdatering som installeres automatisk i bakgrunnen uten full OS oppdatering, kalt “Rapid Security Response” eller lignende mekanisme. Denne første oppdateringen adresserer en sårbarhet i WebKit, nettlesermotoren som brukes av Safari og alle nettlesere på iOS og iPadOS. Feilen kunne utnyttes gjennom ondsinnet webinnhold og føre til minnekorrupsjon eller potensielt kjøring av vilkårlig kode. Apple har ikke bekreftet aktiv utnyttelse i dette tilfellet, men lignende WebKit-sårbarheter har tidligere blitt brukt i målrettede angrep.

Oppdateringen distribueres automatisk til nyere enheter og kan installeres raskere enn tradisjonelle OS-oppdateringer. Formålet er å redusere tiden brukere er sårbare for kritiske feil, spesielt i komponenter som WebKit som eksponeres direkte via nettinnhold.

Anbefaling:

Brukere bør sørge for at automatiske oppdateringer er aktivert slik at bakgrunnsoppdateringer installeres umiddelbart. Det anbefales også å starte enheten på nytt ved behov for å sikre at oppdateringen er aktiv. Organisasjoner bør overvåke at enheter faktisk mottar disse oppdateringene og ikke kun baserer seg på tradisjonelle OS-patcher.

Posted by tsoc at 12:18 0 comments

Tuesday, 17 March 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.03.17

GlassWorm angrep bruker stjålne GitHub tokens for å tvinge skadelig programvare inn i Python repoer.

GlassWorm angrep bruker stjålne GitHub tokens for å tvinge skadelig programvare inn i Python repoer

GlassWorm kampanjen har utviklet en ny angrepsmetode kalt ForceMemo, hvor angripere bruker stjålne GitHub tokens til å få tilgang til utviklerkontoer og injisere skadelig kode i Python repositorier. Angrepet innebærer at angriperne rebaser legitime commits med ondsinnet kode og deretter force pusher dette til hovedbranchen samtidig som original commit informasjonen som melding der forfatter og dato beholdes. Dette gjør angrepet svært vanskelig å oppdage siden det ikke etterlater synlige spor som pull requests eller endringshistorikk i GitHub grensesnittet.

Kampanjen har vært aktiv siden minst 8. mars 2026, og benytter også en C2 infrastruktur knyttet til kryptotransaksjoner hvor payload URLer oppdateres hyppig. Dette er første kjente supply chain angrep som bruker denne typen historikkmanipulasjon for å skjule ondsinnede endringer.

Anbefaling:

Organisasjoner bør rotere alle GitHub tokens og andre kompromitterte brukerdetaljer umiddelbart. Det anbefales også å overvåke repositories for uautoriserte force pushes, implementere strengere tilgangskontroll og bruke sikkerhetsverktøy som kan oppdage uvanlige endringer i commit historikk. Videre bør man aktivere logging og varsling for kontoaktivitet og sikre bruk av multifaktorautentisering for utviklerkontoer.

Posted by tsoc at 12:14 0 comments
Subscribe to: Comments (Atom)
 
>