Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Monday 21 October 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.10.21

Cisco tar ned DevHub-portal etter datalekkasje fra hacker. Nordea utsatt for kraftige DDoS-angrep. Microsoft mistet to uker med sikkerhetslogger for noe kunder.

Cisco tar ned DevHub-portal etter datalekkasje fra hacker

Cisco har tatt ned sin offentlige DevHub-portal etter at en hacker kjent som IntelBroker lekket interne data. Selskapet hevder at det ikke er tegn til at selve systemene deres har blitt kompromittert, men bekrefter at enkelte filer som ikke skulle ha vært offentlig tilgjengelige har blitt publisert. Hackeren hevder til BleepingComputer at tilgangen ble oppnådd gjennom en tredjeparts utviklingsmiljø via et eksponert API-token. Dataene som ble lekket, inkluderte blant annet kildekode, teknisk dokumentasjon og konfigurasjonsfiler. Cisco etterforsker fortsatt saken, men sier fortsatt at de ikke tror at personlige eller økonomiske data er kompromittert.

Nordea utsatt for kraftige DDoS-angrep: –⁠ Enorm økning

– Vi ser en økning i DDoS-angrep. Vi vet vi er blant mange som kjenner på dette. Det siste angrepet varte over 25 dager og var mye kraftigere og i en helt annen form enn vi har sett før, sier Randi Marjamaa, landsjef for Nordea Norge til VG.

Siden sommeren har banken og dens nordiske søster­fillialer opplevd en kraftig økning i antall tjenestenekt­angrep, forteller hun. Noen av angrepene starter i ett land og smitter til et annet.

Microsoft mistet to uker med sikkerhetslogger for noe kunder

Microsoft har varslet noen kunder om at de mangler over to uker med sikkerhetslogger for noen av deres skytjenester. Feilen oppsto mellom 2. og 19. september i en intern overvåkingsagent. Berørte tjenester inkluderer Microsoft Entra, Sentinel, Defender for Cloud og Purview. Microsoft understreker at loggtapet ikke skyldes en sikkerhetshendelse, men kan påvirke kunders evne til å analysere data, oppdage trusler og generere sikkerhetsvarslinger. Selskapet har løst problemet ved å rulle tilbake en endring i sine systemer og har varslet de berørte kundene om hendelsen.

Posted by tsoc at 13:28 0 comments

Friday 18 October 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.10.18

Kritisk feil i Kubernetes Image Builder gir SSH root-tilgang til VM-er. Kritisk sårbarhet i Jetpack-plugin fikset i 101 oppdateringer. Oppdatering av Chrome Stable Channel. Oracle fikser over 200 sårbarheter i oktober CPU (Critical Patch Update). F5 fikser svakheter i BIG-IP og BIG-IQ.

Kritisk feil i Kubernetes Image Builder gir SSH root-tilgang til VM-er

En kritisk sårbarhet i Kubernetes, kjent som CVE-2024-9486, gir uautorisert SSH-tilgang til virtuelle maskiner (VM-er) opprettet med Kubernetes Image Builder versjon 0.1.37 eller tidligere, spesielt for bilder bygget med Proxmox provider. Problemet skyldes at standardkonto for innlogging er aktivert under byggingsprosessen, og ikke blir deaktivert etterpå. Angripere kan utnytte dette for å få root-tilgang til berørte VM-er.

Den anbefalte løsningen er å oppdatere til Image Builder versjon 0.1.38 eller senere, som setter et tilfeldig generert passord og deaktiverer "builder"-kontoen etter byggingen. Alternativt kan brukere midlertidig redusere risikoen ved å deaktivere builder-kontoen med kommandoen usermod -L builder.

En annen relatert sårbarhet, CVE-2024-9594, påvirker bilder bygget med Nutanix, OVA, QEMU eller raw providers. Den har middels alvorlighetsgrad siden den krever tilgang til VM-en som oppretter bildet under byggeprosessen. Samme løsning og tiltak gjelder.

Kritisk sårbarhet i Jetpack-plugin fikset i 101 oppdateringer

Automattic har utgitt sikkerhetsoppdateringer for 101 versjoner av WordPress-pluginen Jetpack for å fikse en kritisk sårbarhet som var tilgjengelig siden 2016 (versjon 3.9.9). Feilen ble oppdaget under en intern sikkerhetsgjennomgang og påvirker alle utgivelser fra versjon 3.9.9 og fremover. Sårbarheten, som gir innloggede brukere mulighet til å lese besøkendes innsendinger via Jetpacks kontaktskjema, er nå løst med disse oppdateringene.

Administratorer av nettsider som bruker Jetpack oppfordres til å sjekke sin versjon og oppdatere om nødvendig. Automattic har ingen bevis for at sårbarheten har blitt utnyttet, men advarer om at det kan skje nå som oppdateringene er ute.

Oppdatering av Chrome Stable Channel: Kritiske sikkerhetspatcher inkludert i ny versjon

Chrome Stable channel har oppdatert til versjon 130.0.6723.58/.59 for Windows, Mac og Linux. Denne oppdateringen inkluderer flere sikkerhetsoppdateringer, som retter 17 sårbarheter. Den mest kritiske, CVE-2024-9954, er en "use after free"-sårbarhet i AI, med en bugbounty-premie på $36,000. Oppdateringen inkluderer også sikkerhetsforbedringer av medium og lav alvorlighetsgrad knyttet til komponenter som Web Authentication, DevTools, og Picture-in-Picture.

Sårbarheter:

Oracle fikser over 200 sårbarheter i oktober CPU (Critical Patch Update)

Oracle kunngjorde tirsdag 334 nye sikkerhetsoppdateringer i sin oktober 2024 Critical Patch Update (CPU). Av disse er 186 sikkerhetsoppdateringer for sårbarheter som kan utnyttes eksternt uten autentisering. Oracle Communications fikk flest sikkerhetsoppdateringer, med 81 av 100 oppdateringer rettet mot eksternt utnyttbare sårbarheter som ikke krever autentisering. MySQL, Fusion Middleware, Financial Services Applications, E-Business Suite er blant andre programmer som mottok flere sikkerhetsoppdateringer i denne patche-runden. Oracle oppfordrer kundene til å installere sikkerhetsoppdateringene raskt, da trusselaktører historisk er kjent for å utnytte kjente sårbarheter i Oracle-produkter.

F5 fikser svakheter i BIG-IP og BIG-IQ

På onsdag ga F5 ut sin kvartalsvise oppdatering for sine produkter. Blant annet utbedres svakheten CVE-2024-45844 i BIG-IP, som gjør det mulig for en bruker med eksisterende tilgang til systemet å utvide rettighetene sine. Vi anbefaler F5-kunder å se over oppdateringene.

Sårbarheter:

Posted by tsoc at 12:39 0 comments

Tuesday 15 October 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.10.15

Cisco undersøker sikkerhetsbrudd etter salg av stjålne data. Nkom advarer mot sabotasje og cyberangrep på infrastruktur.

Cisco undersøker sikkerhetsbrudd etter salg av stjålne data

Cisco har bekreftet at de undersøker et mulig sikkerhetsbrudd etter at stjålne data ble lagt ut for salg på et hackingforum. Selskapet forsøker å vurdere omfanget av lekkasjen og arbeider for å identifisere hvordan angrepet skjedde. Foreløpige rapporter tyder på at hackergruppen Scattered Spider kan stå bak angrepet. Det anbefales at Cisco-kunder er ekstra oppmerksomme på potensielle phishing-forsøk. Ytterligere detaljer vil bli delt etter hvert som etterforskningen skrider frem.

Nkom advarer mot sabotasje og cyberangrep på infrastruktur

I årets rapport beskriver Nkom et endret trusselbilde. Forholdet til Russland er blitt verre, og Kina er på jakt etter opplysninger innen industri og politikk.

Den sikkerhetspolitiske situasjonen gir økt risiko for tilbydere av internett og telefoni.

– Konsekvensen av typer handlinger som kan rettes mot sektoren, kan være veldig store, advarer fungerende direktør i Nkom, John-Eivind Velure.

– Norge er et veldig digitalisert land, som er helt avhengig av at internettjenester og mobiltjenester skal virke stort sett, eller helst hele tida, forklarer han.

Posted by tsoc at 13:41 0 comments

Monday 14 October 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.10.14

Svindlere målretter seg mot brukere av Airbnb og Booking.com.

Svindlere målretter seg mot brukere av Airbnb og Booking.com

Forskere fra ESET har avdekket at svindlernettverket Telekopye har utvidet sin virksomhet til å angripe brukere av populære booking-plattformer som Booking.com og Airbnb. Svindlerne bruker kompromitterte kontoer tilhørende legitime hoteller og utleiere for å målrettet svindle brukere som nylig har booket opphold, men ennå ikke har betalt. De sender phishing-e-poster som hevder det er problemer med betalingen og leder ofrene til godt utformede, falske nettsider som etterligner de ekte plattformene med kundens ekte informasjon inkludert.

Denne typen svindel har hatt en skarp økning i 2024, særlig i sommermånedene, og har nå nådd omtrent halvparten av deteksjonene sammenlignet med Telekopyes tradisjonelle nettbutikksvindler. Politiet i Tsjekkia og Ukraina har arrestert flere cyberkriminelle knyttet til Telekopye i to felles operasjoner sent i 2023.

Posted by tsoc at 14:09 0 comments

Friday 11 October 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.10.11

Kritisk sårbarhet i GitLab EE. Sårbarheter i Juniper-utstyr. Undersøkelse: Ni av ti nordmenn utsettes for digitale svindelforsøk. I gårsdagens nyhetsbrev var det en feil i saken om en svakhet i Firefox. I saken var det listet opp sårbare versjoner, men det riktige var at dette var de fiksede versjonene. Vi beklager!

Kritisk sårbarhet i GitLab EE

HelseCERT melder at GitLab den 9. oktober informerte om en kritisk sårbarhet i GitLab Enterprise Edition (EE). Sårbarheten lar angripere kjøre pipelines på vilkårlige branches. I praksis åpner dette for kjøring av vilkårlig kode.

Sårbarheten er tildelt CVE-2024-9164 og har fått en CVSS-score på 9,8 (KRITISK).

Sårbarheten lukkes i følgende versjoner av Gitlab CE/EE:
17.4.2
17.3.5
17.2.9

HelseCERT kjenner ikke til at utnyttelseskode er offentlig tilgjengelig eller at sårbarheten utnyttes aktivt. Vi anbefaler å oppgradere!

Sårbarheter:

Sårbarheter i Juniper-utstyr

Juniper publiserte 9. oktober 2024 31 sårbarhetsvarsler knyttet til JunOS og JunOS Evolved. Ett av sårbarhetsvarslene er vurdert til til å være kritisk og påvirker web-api og grpc telemetri via flere sårbarheter oppdaget i den innebyggde webserveren i Juniper Junos OS. Ut over dette er 13 andre av sårbarhetene vurdert til kritikalitet høy og flere av disse berører blant annet feilaktig håndtering av BGP meldinger kan føre til krasj i ruting daemon og tjenestenekt.

EkomCERT er ikke kjent med ondsinnet utnyttelse av sårbarhetene.

EkomCERT anbefaler alle ekomaktører med sårbart utstyr å prioritere
oppdatering eller iverksette mitigerende tiltak.

Undersøkelse: Ni av ti nordmenn utsettes for digitale svindelforsøk

I undersøkelsen Respons Analyse har utført for Nasjonal kommunikasjonsmyndighet (Nkom), oppgir ni av ti over 18 år at de er utsatt for svindelforsøk i løpet av det siste året. 74 prosent sier det skjer månedlig eller oftere, mens 11 prosent svarer at det skjer daglig.

Posted by tsoc at 12:10 0 comments

Thursday 10 October 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.10.10

Firefox nulldags-sårbarhet under angrep: oppdater nettleseren din nå. Kritiske sårbarheter i Palo Alto Networks' Expedition-verktøy truer brannmurer. Internet Archive er under angrep. Avansert gruppering utvikler verktøysett for å kompromittere isolerte systemer. Situasjonsrapport fra Telenor SOC - september 2024.

Firefox nulldags-sårbarhet under angrep: oppdater nettleseren din nå

Mozilla har avslørt en kritisk sikkerhetsfeil som blir aktivt utnyttet, og påvirker Firefox og Firefox Extended Support Release (ESR). Svakheten er av typen "user-after-free" og ligger i komponenten "Animation timeline". Det er foreløpig ingen detaljer om hvordan svakheten blir utnyttet og i hvilke type angrep.

Svakheten er fikset i følgende versjoner:

  • Firefox 131.0.2

  • Firefox ESR 128.3.1

  • Firefox ESR 115.16.1.

Sårbarheter:

Kritiske sårbarheter i Palo Alto Networks' Expedition-verktøy truer brannmurer

Palo Alto Networks har nylig utgitt en sikkerhetsadvarsel som om flere alvorlige sårbarheter i deres Expedition-migrasjonsverktøy, med CVSS-score opp til 9,9. Sårbarhetene inkluderer OS-kommandoinjeksjon, SQL-injeksjon og lagring av sensitiv informasjon i klartekst, som potensielt kan gi angripere rotaksess og mulighet til å stjele konfidensiell data som brukernavn, passord og API-nøkler fra PAN-OS-brannmurer. Det er allerede offentlig utnyttelseskode tilgjengelig.

Anbefaling:

Organisasjoner som bruker Palo Alto Networks Expedition bør straks oppgradere til versjon 1.2.96 eller nyere

Situasjonsrapport fra Telenor SOC - september 2024

Vi har publisert vår situasjonsrapport fra Telenor SOC for august 2024. Denne måneden skriver vi blant annet om en phishing-kampanje som rammet flere norske firmaer og omgikk vanlig tofaktor-autentisering.

Internet Archive er under angrep

The Internet Archive er et nettsted som arkiverer innhold fra Internet og tar var på dette for ettertiden. Nettstedet har vært rammet av et datainnbrudd via et sårbart Javascript-bibliotek. Via svakheten har uvedkommende fått tilgang til systemene og har blant annet lastet ned en database med oversikt over de 31 millioner registrerte brukerne. Nettstedet har også vært utsatt for store DDoS-angrep i flere uker. Det er ukjent hvem som står bak angrepene. Tjenesten "Have I been Pwned" har blitt oppdatert med de kompromitterte epost-adressene.

Avansert gruppering utvikler verktøysett for å kompromittere isolerte systemer

Sikkerhetsselskapet ESET har avdekket to sofistikerte verktøysett utviklet av en hackergruppe sponset av en nasjonalstat, muligens fra Russland, for å stjele sensitive data fra isolerte systemer (air-gap).

Det første verktøysettet ble brukt mot en sørasiatisk ambassade i Hviterussland i 2019, mens det andre infiserte en EU-organisasjon tre år senere. Begge verktøysettene tilskrives gruppen GoldenJackal, som viser tydelig besitter betydelige ressursser ved å utvikle to separate verktøy rettet mot isolerte systemer på fem år. Angrepene involverer infisering av USB-enheter for å overføre data mellom isolerte og internettilkoblede systemer. Det nyeste verktøysettet viser økt sofistikasjon med en modulær tilnærming og flere eksfiltrasjonsmekanismer.

Bedrifter med isolerte systemer bør etablere strenge rutiner for håndtering og kontroll av eksterne lagringsenheter.

Posted by tsoc at 16:58 0 comments

Wednesday 9 October 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.10.09

Microsoft patcher 117 svakheter. Adobe og SAP har gitt ut oppdateringer. Det har klosset seg til for LEGO.

Microsoft patcher 117 svakheter

Denne måneden patcher Microsoft 117 svakheter i forbindelse med patche-tirsdag. Tre av svakhetene regnes som kritiske. Fem svakheter har allerede blitt kjent før patchene ble gitt ut, og to av disse blir allerede utnyttet aktivt i angrep. Noen av de mer interessante svakhetene er:

  • CVE-2024-43572: En angriper kan få en bruker til å åpne en spesielt utformet MSC (Microsoft Save Console)-fil og dermed få kjørt vilkårlig kode. Denne svakheten har allerede blitt utnyttet.

  • CVE-2024-43573: Svakheten muliggjør spoofing i MSHTML-systemet, altså Internet Explorer og eldre versjoner av Edge. Denne svakheten har allerede blitt utnyttet aktivt, men det er ukjent nøyaktig hvordan.

  • CVE-2024-6197: Denne svakheten i CURL ble opprinnelig patchet i juli. Personene som vedlikeholder CURL opplyser at svakheten mest sannsynlig kun kan føre til krasj, ikke kjøring av tilfeldig kode.

  • CVE-2024-20659: Svakheten kan la en virtuell maskin forbigå UEFI ved reboot av host-maskinen for deretter å kompromittere hypervisoren og kernelen. Det kreves fysisk tilgang for å utnytte svakheten.

Adobe og SAP har gitt ut oppdateringer

Adobe har gitt ut oppdateringer for flere av sine produkter. De mest alvorlige svakhetene finnes i Adobe Commerce og Magento Open Source.

SAP har også gitt ut 6 sikkerhets-oppdateringerfor sin portefølje. De mest alvorlige svakhetene ligger i SAP BusinessObjects.

Klosset seg til for LEGO

LEGOs offisielle nettside ble nylig endret for å promotere en svindel-kryptovaluta. Hendelsen skjedde oktober 5. fra 03:00 til 04:15 norsk tid. I løpet av perioden erstattet angriperen hovedbanneret på LEGO.com med et bilde som reklamerte for "LEGO Coin" som angivelig kunne kjøpes med Ethereum. Til forskjell fra mange kryptosvindel-metoder, ledet denne brukere til den legitime Uniswap-plattformen (desentralisert kryptovaluta-børs) for å kjøpe den falske kryprovalutaen. LEGO bekrefter angrepet på nettsiden deres, men gir ingen detaljer om hendelsesforløpet. Angrepet var relativt mislykket, med få tusen kroner verdt av tokens kjøpt. LEGO har identifisert årsaken og implementerer tiltak for å forhindre fremtidige hendelser. Denne typen angrep på et så høyprofilert nettsted blir vanligvis ikke brukt kun for en kryptovaluta-svindel, da de kan gi angriperne mulighet for å tilegne seg sensitiv data som kundedata eller kredittkortinformasjon.

Posted by tsoc at 12:35 0 comments
Subscribe to: Posts (Atom)
 
>