Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday, 31 August 2018

2018.08.31 - Nyhetsbrev

Säpo: Flere forsøk på å påvirke det svenske valget. Lekkasjer fra kinesiske cyber-operasjoner.

Lekkasjer fra kinesiske cyber-operasjoner

I April 2017 begynte en gruppe som kaller seg IntrusionTruth å slippe detaljer angående personer og operasjoner relatert til cyber-spionasje. Det er uvisst hva som er motivet til gruppen. Firmaet CrowdStrike omtaler noe av informasjonen som har kommet fram i denne bloggposten.
Referanser
https://www.crowdstrike.com/blog/two-birds-on[...]

Flere forsøk på å påvirke det svenske valget

Det svenske sikkerhetspolitiet Säpo sier de har sett en økning i forsøk på å påvirke det svenske valget.
Referanser
https://www.digi.no/artikler/sapo-flere-forso[...]

Thursday, 30 August 2018

2018.08.30 - Nyhetsbrev

Sensitive data eksponeres via WiFi-broadcast fra Android-enheter.

Sensitive data eksponeres via WiFi-broadcast fra Android-enheter

System broadcast i Android eksponerer detaljer om brukerens enhet til alle lokale applikasjoner på enheten. Detaljer som BSSID, lokal ip, DNS-informasjon og MAC addresse er egentlig blokkert i APIet, men om man lytter på broadcast pakker over WiFi kan en applikasjon få tilgang til dataene.

Informasjonen kan for eksempel brukes til å unikt identifisere en enhet via MAC-adressen eller geolokalisering ved hjelp av SSID-navnet på nettverket. Svakheten er fikset i Android P.
Anbefaling
Oppgrader til Android P / 9 eller nyere
Referanser
https://wwws.nightwatchcybersecurity.com/2018[...]

Wednesday, 29 August 2018

2018.08.29 - Nyhetsbrev

Cisco patcher Cisco Data Center Network Manager. Adobe gir ut sikkerhetsoppdatering for Creative Cloud.

Cisco patcher Cisco Data Center Network Manager

Cisco har fikset en feil i Cisco Data Center Network Manager. Feilen gjør at en ekstern autentisert angriper kan få tilgang til sensitive filer på systemet ved hjelp av å skifte arbeidskatalog.
Anbefaling
Installer patch.
Referanser
https://tools.cisco.com/security/center/conte[...]

Adobe gir ut sikkerhetsoppdatering for Creative Cloud

Adobe har gitt ut en sikkerhetsoppdatering som fikser en sårbarhet i Adobe Creative Cloud Desktop Application. Svakheten kan utnyttes til rettighetseskalering. Det har allerede blitt utgitt eksempel-kode som kan utnytte svakheten.
Anbefaling
Installer patch.
Referanser
https://helpx.adobe.com/security/products/cre[...]
https://threatpost.com/adobe-pushes-out-unsch[...]

Tuesday, 28 August 2018

2018.08.28 - Nyhetsbrev

Iranske hackere stjeler innloggingsinformasjon fra universiteter. Millioner av smartmobiler kan angripes med gamle modemkommandoer. Feil i Windows gir lokal rettighetseskalering.

Iranske hackere stjeler innloggingsinformasjon fra universiteter

Grupperingen Cobalt Dickens, som forbindes med den iranske regjeringen, stjeler login-informasjon fra universiteter over hele verden ved hjelp av falske innloggingssider. SecureWorks har oppdaget falske sider laget for 76 universiteter fra 14 land. De fleste målene var i USA.
Referanser
https://www.darkreading.com/endpoint/iranian-[...]
https://www.secureworks.com/blog/back-to-scho[...]

Millioner av smartmobiler kan angripes med gamle modemkommandoer

Store mengder Android-baserte smartmobiler fra minst 10 ulike leverandører, samt enheter utstyrt med Android-distribusjonen LineageOS, kan angripes ved hjelp av såkalte AT-kommandoer. Dette er kommandoer som ble brukt til å styre modemer.

Angrepet krever at mobilen er fysisk plugget inn i enheten som skal angripe den. Forskerne som har undersøkt dette har fokusert på Android 6.0, men noen nyere mobiler skal også være sårbare. Samsung og LG har gitt ut oppdateringer for svakheten i juli.
Referanser
https://www.digi.no/artikler/millioner-av-sma[...]

Feil i Windows gir lokal rettighetseskalering

En person på Twitter har publisert eksempel-kode for å utnytte en ny lokal rettighetseskalering i Windows. Feilen ligger i Task Scheduler og måten den håndterer Advanced Local Procedure Calls (ALPC). Utnyttelse av svakheten gjør at en vanlig lokal bruker kan få System-rettigheter.

Svakheten fungerer mot en fullt oppdatert 64-bit Windows 10 og det foreligger foreløpig ingen patch fra Microsoft.
Anbefaling
Vent på patch
Referanser
https://www.theregister.co.uk/2018/08/28/wind[...]
https://www.kb.cert.org/vuls/id/906424
https://github.com/SandboxEscaper/randomrepo/[...]

Monday, 27 August 2018

2018.08.27 - Nyhetsbrev

Samferdselsdepartementet vurderer tiltak for å sikre norske mobilnett.

Samferdselsdepartementet vurderer tiltak for å sikre norske mobilnett


Samferdselsdepartementet sier de vil vurdere mulige tiltak overfor utstyrsleverandører fra land Norge ikke har sikkerhetspolitisk samarbeid med. USA har bannlyst Huawei og ZTE fra sine mobilnett, og nå har også Australia truffet en tilsvarende avgjørelse; de to kinesiske selskapene får ikke være med på utbygging av mobilnett i Australia.
Referanser
https://www.tek.no/artikler/samferdselsdepart[...]

Friday, 24 August 2018

2018.08.24 - Nyhetsbrev

Det anbefales å skru av SMT/hyperthreading på Intel-CPUer. Store mengder overvåkningsdata lå tilgjengelig online. T-Mobile frastjålet persondata til 2 millioner kunder.

Det anbefales å skru av SMT/hyperthreading på Intel-CPUer

Utviklere som jobber med OpenBSD anbefaler å slå av støtte for SMT/Hyperthreading i BIOS på maskiner med Intel-CPUer. Måten denne teknologien er implementert på i Intel-CPUer skal være fundamentalt gal og det vil bli oppdaget enda flere sikkerhetshull i framtiden. Dette vil gjøre det lett å stjele data fra kernel eller andre virtuelle maskiner på et system.
Referanser
https://undeadly.org/cgi?action=article;sid=2[...]

Store mengder overvåkningsdata lå tilgjengelig online

Et firma som selger overvåkningsprogramvare for telefoner for foreldre og bedrifter har latt store mengder data ligge tilgjengelig online. Det skal dreie seg om flere terrabyte med data inkludert bilder, lydopptak, tekstmeldinger, surfehistorikk, lokasjonsdata, passordhashes og facebook meldinger som lå tilgjengelig i en dårlig beskyttet "Amazon S3 bucket".

Foreldre og bedrifter bør være klar over denne problemstillingen når de installerer slik programvare på telefoner og PCer.
Referanser
https://motherboard.vice.com/en_us/article/9k[...]

T-Mobile frastjålet persondata til 2 millioner kunder

Mandag 20 august ble T-Mobile utsatt for et data-angrep og frastjålet kundedata. Navn, epost, adresser, kontonummer og transaksjonsinformasjon ble stjålet. Til alt hell ble ikke kortnumre, personnummre eller passord stjålet.
Referanser
https://motherboard.vice.com/en_us/article/a3[...]

Thursday, 23 August 2018

2018.08.23 - Nyhetsbrev

Svakheter i Adobe Photoshop, Apache Struts 2 og Ghostscript. Wired har skrevet om hvordan Notpetya-utbrudet ble opplevd hos Maersk. Hackergruppe har tjent millioner av dollar på å stjele pressemeldinger.

Adobe med sikkerhetsoppdatering til Photoshop

Adobe utgir sikkerhetsoppdatering til sin Photoshop CC-programvare for to kritiske minnesvakheter, kun en uke etter den månedlige oppdateringen. Oppdateringen gjelder både for Windows- og MacOS-brukere. Adobe vet ikke om svakheten har blitt utnyttet enda.
Referanser
https://threatpost.com/adobe-patches-critical[...]
https://helpx.adobe.com/security/products/pho[...]
https://www.us-cert.gov/ncas/current-activity[...]

Apache med sikkerhetsoppdatering for Struts 2

Apache Software Foundation har sluppent en kritisk sikkerhetsoppdatering til en svakhet som kan føre til ekstern kodeeksekvering.
Referanser
https://cwiki.apache.org/confluence/display/W[...]
https://www.us-cert.gov/ncas/current-activity[...]

Ghostscript-svakhet muliggjør ekstern kodeeksekvering

Ghostscript, som er et opensource alternativ til Adobe PostScript, bruks av mange tjenester for blant annet å åpne PDF-filer på nett. Svakheten kan medføre datalekkasje og gjør at angriper eksternt kan eksekvere kode. Biblioteket inngår i mye forskjellige programvare.
Referanser
https://nakedsecurity.sophos.com/2018/08/23/h[...]
https://www.us-cert.gov/ncas/current-activity[...]
https://www.kb.cert.org/vuls/id/332928

Historien bak NotPetya

WIRED forteller hvordan selskapet Maersk opplevde utbruddet av NotPetya i 2017. Artikkelen går også inn på hvordan NotPetya begynte å spre seg.
Referanser
https://www.wired.com/story/notpetya-cyberatt[...]

Hackergruppe har tjent millioner av dollar på pressemeldinger

The Verge skriver om hvordan en internasjonal hackergruppe brøt seg inn og stjal pressemeldinger fra pressebyråer, før de ble offentliggjort. Pressemeldingene ble solgt videre til aksje-tradere.
Referanser
https://www.theverge.com/2018/8/22/17716622/s[...]

Wednesday, 22 August 2018

2018.08.22 - Nyhetsbrev

Intel med hardware-fiks av Spectre og Meltdown sårbarheter i ny generasjon av prosessorer. Facebook stenger over 650 sider som knyttes til Iran og spreding av falsk informasjon. Smart strømplugg fra Belkin sårbar for fjern-eksekvering av kode via upnp.

Intel med hardware-fiks av Spectre og Meltdown sårbarheter i ny generasjon av prosessorer.

Intel melder at deres nye generasjon av prosessorer kalt Cascade Lake vil ha hardware-fiks for de mye omtalte Spectre- og Meltdown-svakhetene. Et åpent spørsmål er hvordan en slik HW-fiks vil påvirke ytelsen. Iflg. Intel vil dette være svært avhengig av type oppgave som skal utføres, men kan typisk forventes å ligge i området 5-10%. Cascade Lake forventes lansert senere i år.
Referanser
https://www.extremetech.com/computing/275776-[...]

Facebook stenger over 650 sider som knyttes til Iran og spreding av falsk informasjon.

Facebook skal ha stengt omlag 650 sider som knyttes opp mot Iran og Russland. Sidene skal angivelig ha blitt benyttet til å spre falsk informasjon i ulike Iran-styrte kampanjer for å understøtte Iranske interesser i bla. midtøsten.
Referanser
https://www.dn.no/nyheter/2018/08/22/0747/Pol[...]

Smart strømplugg fra Belkin sårbar for fjern-eksekvering av kode via upnp

Forskere hos McAfee har avdekket at Belkins smarte strømplugg Wemo Insight er sårbar for fjern-eksekvering av kode via upnp. Kompromittering av disse smarte strømpluggene kan igjen åpne for videre inntrengning i nettverkene slike strømplugger måtte være tilkoblet. Ekstern utnyttelse av svakheten forutsetter eksponering av upnp-portene, som default er TCP 49152 og 49153
Anbefaling
Ikke eksponèr upnp eksternt.
Referanser
https://threatpost.com/belkin-iot-smart-plug-[...]

Tuesday, 21 August 2018

2018.08.21 - Nyhetsbrev

Microsoft hevder å ha funnet russisk operasjon med amerikanske politiske institusjoner som mål. Bergen Kommune risikerer millionbot etter dataangrepet. Indisk bank ble frastjålet 13,5 millioner dollar etter dataangrep.

Microsoft hevder å ha funnet russisk operasjon med amerikanske politiske institusjoner som mål

Microsoft hevder å ha funnet seks falske nettsider som hadde som mål å hacke maskinene til de som besøkt sidene. Noen av nettsidene skal ha vært relatert til offentlig politikk og Senatet, og alle seks sidene skal ha blitt opprettet av en gruppe som blir knyttet til den russiske regjeringen.
Referanser
https://www.washingtonpost.com/business/econo[...]

Bergen Kommune risikerer millionbot etter dataangrepet

Bergen kommune risikerer millionbot etter dataangrepet som avslørte alvorlig mangel på datasikkerhet. Identum tok over som leverandør for kommunen sitt ID-håndteringssystem for syv måneder siden. Etter det daglig leder i Identum sier, skal selskapet ha vært klare for å innføre to-trinns påloggingssystem, men kommunen ønsket å vente til høsten. Etter innføringen av GDPR i sommer har Datatilsynet mulighet til å gi Bergen kommune straffegebyr på opptil 20 millioner euro, eller 4 % av omsetningen.
Referanser
https://www.nrk.no/hordaland/it-ekspert-kalla[...]

Indisk bank ble frastjålet 13,5 millioner dollar etter dataangrep

En indisk bank ble utsatt for dataangrep hvor 13,5 millioner dollar ble stjålet. Angriperne klarte å bryte seg inn på en ukjent finansinstitusjon, og deretter ble 2 millioner dollar stjålet via bankoverføringer og 11,5 millioner dollar via uautoriserte ATM-uttak i mer enn 24 land. Dette skjedde etter at FBI gikk ut med advarsel om en kommende global ATM svindel.
Referanser
https://krebsonsecurity.com/2018/08/indian-ba[...]

Monday, 20 August 2018

2018.08.20 - Nyhetsbrev

Bergen kommune hadde fil med brukernavn og passord åpent tilgjengelig. Feil i VBscript-engine blir aktivt utnyttet i angrep. Alvorlig PHP-svakhet muliggjør ekstern kodeeksekvering.

Bergen kommune hadde fil med brukernavn og passord åpent tilgjengelig

Brukernavn og passord for administrativ tilgang i en fil som elever hadde tilgang til var årsaken til "hackingen" hos Bergen kommune. En elev prøvde å varsle om sikkerhetstabben, men ble ikke hørt.
Referanser
https://www.nrk.no/hordaland/datainnbrotet_-b[...]

Feil i VBscript-engine blir aktivt utnyttet i angrep

En av svakhetene som ble patchet i denne månedens patchetirsdag fra Microsoft blir allerede utnyttet i målrettede angrep. Feilen kan utnyttes gjennom Internet Explorer. Internet Explorer versjon 11 er ikke rammet, siden funksjonaliteten som utnyttes er fjernet i denne versjonen.
Anbefaling
Patch!
Referanser
https://blog.trendmicro.com/trendlabs-securit[...]
https://www.cert.dk/da/news/2018-08-20/vbscript

Alvorlig PHP-svakhet muliggjør ekstern kodeeksekvering

Det er oppdaget alvorlige svakheter i PHP som kan gjøre det mulig å kompromittere web-servere som benytter seg av systemet. Dette gjelder for eksempel WordPress og Typo3. Svakheten ble rapportert til WordPress i februar 2017, men er fortsatt ikke fikset.
Anbefaling
Vent på patch.
Referanser
https://threatpost.com/severe-php-exploit-thr[...]

Friday, 17 August 2018

2018.08.17 - Nyhetsbrev

Svakhet i Google Chrome kan gi lekke informasjon om Facebook-brukere.

Svakhet i Google Chrome kan gi ekstra informasjon om Facebook-brukere

Feilen gir angripere mulighet til å skaffe informasjon som alder, kjønn, likes og geografisk posisjon. Dette gjøres ved å spørre etter sider som brukeren ikke har tilgang til på Facebook. Noen sider på Facebook er f.eks. ikke tilgjengelige for brukere fra staten Texas, mens andre ikke er tilgjengelige for mindreårige.

Buggen finnes i Blink engine som brukes for å kjøre Chrome. Den ble rettet i Chrome 68 som ble gitt ut i juli.
Referanser
https://threatpost.com/google-chrome-bug-open[...]

Thursday, 16 August 2018

2018.08.16 - Nyhetsbrev

Bergen kommune utsatt for datainnbrudd. Oppdatering for flere produkter fra Cisco.

Bergen kommune utsatt for datainnbrudd

Bergen kommune oppdaget mandag kveld et sikkerhetsavvik i brukerportalen "eFeide". I følge kommunen skal en uvedkommende ha klart å ta seg inn et område av portalen som bare et fåtall administratorer skal ha tilgang til. På denne måten har angriperen fått tilgang til brukernavn, passord og annen personlig informasjon knyttet til systemets brukere, spesielt lærere og elever i kommunen. Kommunen frykter at opptil 35.000 personer er rammet av hendelsen.
Referanser
https://www.nrk.no/hordaland/datainnbrot-hos-[...]

Oppdatering for flere produkter fra Cisco

Cisco slapp den 15. august en oppdatering for flere av sine produkter. Flere av svakhetene kan brukes til denial-of-service angrep fra et eksternt ståsted.
Referanser
https://tools.cisco.com/security/center/publi[...]

Wednesday, 15 August 2018

2018.08.15 - Nyhetsbrev

Adobe, VMware og Micrsoft har sluppet oppdateringer. Svakheter i IKE v1-nøkkelutveksling i VPN i flere routere. Foreshadow: Nye svakheter i spekulativ eksekvering av kode. Svakheter i pre-installerte Android-apper fra flere leverandører.

Adobe har sluppet oppdateringer

Adobe har sluppet oppdateringer for Acrobat, Reader, Experience Manager, Flash Player og Creative Cloud Desktop Application. Flere av svakhetene kan brukes til å ta kontroll over et sårbart system.
Referanser
https://helpx.adobe.com/security.html

Svakheter i IKE v1-nøkkelutveksling i VPN i flere routere

Flere produsenter av routere har svakheter i nøkkelhåndteringen i forbindelse med VPN-forbindelser. Svakhetene ligger i IKE v1. Nøkler kan utsettes for offline brute-force angrep. Cisco, Huawei og Zyxel har allerede sluppet oppdateringer.
Referanser
https://www.securityweek.com/crypto-flaw-affe[...]
https://www.kb.cert.org/vuls/id/857035

Foreshadow: Nye svakheter i spekulativ eksekvering av kode

Forskere har oppdaget enda flere svakheter i Intel-CPUer som kan brukes til å lese ut sensitive data. Disse svakhetene er kalt Foreshadow, og lar angripere lese ut info fra L1-cache (også informasjon tilhørende SMM (System Management Mode)), OS-kernel og informasjon tilhørende andre virtuelle maskiner som kjører på samme CPU.

Intel har sluppet ny mikrokode for CPUer, men OS og hypervisor må også patches for å fjerne alle svakhetene.
Referanser
https://foreshadowattack.eu/
https://threatpost.com/intel-cpus-afflicted-w[...]

VMware med sikkerhetsoppdateringer for august

VMware har sluppet patcher for svakheter i vSphere, Workstation, Fusion og Virtual Appliances. Disse kan brukes for å stjele sensitiv data.
Referanser
https://www.vmware.com/security/advisories/VM[...]

Microsoft med oppdatering for august

Microsoft patcher 63 svakheter hvor 21 er kritiske. Oppdateringene gjelder følgende komponenter: Internet Explorer, Edge, Office, .NET, Windows, Device Guard Code, ChakraCore, Exchange Server, SQL Server og Visual Studio.

En spesielt kjedelig svakhet ligger i multi-faktor autentisering i Microsoft Directory Federation Services. Ved bruk av flere faktorer, blir gyldigheten av de to faktorene sjekket hver for seg, i stedet for sammen. En kan for eksempel bruke en hacket epost-konto som en andre faktor for en hvilken som helst konto på systemet.
Referanser
https://portal.msrc.microsoft.com/en-us/secur[...]
https://isc.sans.edu/diary/rss/23986
https://www.symantec.com/blogs/threat-intelli[...]
https://threatpost.com/microsoft-flaw-allows-[...]

Svakheter i pre-installerte Android-apper

Firmaet Kryptowire har oppdaget svakheter i flere apper som er pre-installerte på forskjellige Android-enheter. Flere apper har for mye tilgang til systemet, uten at brukeren blir spurt om dette. Noen har også krypto-nøkler og passord hardkodet i appen.
Referanser
https://www.kb.cert.org/vuls/id/787952
https://media.defcon.org/DEF%20CON%2026/DEF%2[...]

Tuesday, 14 August 2018

2018.08.14 - Nyhetsbrev

Oracle Database med kritisk svakhet. Utviklere som ikke følger Googles sikkerhetsdokumentasjon åpner for svakheter i Android.

Mangel på å følge sikkerhetsdokumentasjonen fra Google har gjort Android telefoner sårbare for angrep

Svakheten utnytter faktumet at Android telefoner har et område på disk eller eksternt minnekort som deles mellom apper. Dette kan en angriper utnytte for å få en privilegert applikasjon til å kjøre vilkårlig kode. Checkpoint som belyser svakheten sier at 50% av alle applikasjoner de testet er kodet på en slik måte at de er utsatt for svakheten.
Referanser
https://threatpost.com/def-con-2018-man-in-th[...]

Kritisk sårbarhet i Oracle Database

Svakheten kan gi angriper total kontroll over hosten. Dette gjelder både Windows og Linux maskiner med Oracle Database versjon 11.2.0.4 og 12.2.0.1. Oracle ber brukere patche berørt infrastruktur omgående.
Referanser
http://www.oracle.com/technetwork/security-ad[...]

Monday, 13 August 2018

2018.08.13 - Nyhetsbrev

NSM etablerer nasjonalt cybersikkerhetssenter. Kritisk svakhet i Oracle Database Server. Svakhet i macOS omgår kjerne-beskyttelse. Sårbarheter i Apples MDM-løsning for macOS.

NSM etablerer nasjonalt cybersikkerhetssenter

I takt med en stadig økende digitalisering av Norge ser NSM behov for et tydelig offentlig ansikt som viser myndighetenes arbeid for å motvirke cybertrusler. I løpet av høsten etablerer Nasjonal sikkerhetsmyndighet (NSM) derfor Nasjonalt cybersikkerhetssenter, som skal gjøre det digitale rom sikrere for norske aktører.
Referanser
https://www.nsm.stat.no/aktuelt/nsm-etablerer[...]

Kritisk svakhet i Oracle Database Server

Oracle har sluppet en oppdatering til Oracle Database Server etter at de har oppdaget en kritisk svakhet som er svært enkel å utnytte. En autentisert ekstern bruker kan utnytte svakheten til å ta kontroll over den sårbare databaser-serveren.
Anbefaling
Installer patch
Referanser
http://www.oracle.com/technetwork/security-ad[...]
http://securityaffairs.co/wordpress/75310/hac[...]

Svakhet i macOS omgår kjerne-beskyttelse

Patrick Wardle har offentliggjort en svakhet i macOS på Defcon. Når programmer trenger utvidede rettigheter til kjernen på macOS, må brukeren godkjenne dette ved å bekrefte i en dialog-boks. Svakheten gjør at denne sikkerheten kan omgås, ved å simulere museklikk fra et program.
Anbefaling
Installer siste versjon
Referanser
https://securityaffairs.co/wordpress/75293/ha[...]

Sårbarheter i Apples MDM-løsning for macOS

Sårbarheter i Apples MDM-løsning kan føre til at Mac-maskiner underlagt dette administrasjonsverktøyet kan hackes i oppstartsfasen. Svakheten er i autentisering, som gir mulighet for mann-i-midten-angrep. Apple har allerede gitt ut oppdatering for sårbarheten.
Anbefaling
Installer patch
Referanser
https://www.digi.no/artikler/slik-kan-nye-mac[...]
https://www.securityweek.com/macs-enterprise-[...]

Friday, 10 August 2018

2018.08.10 - Nyhetsbrev

US-CERT melder om Nordkoreansk trojaner.

US-CERT melder om Nordkoreansk trojaner

US-CERT melder om at Department of Homeland Security og FBI sammen med samarbeidspartnere har oppdaget en trojaner som blir brukt av Nord Korea. Trojaneren har fått navn KEYMARBLE. US-CERT har gitt ut en analyserapport av trojaneren.
Referanser
https://www.us-cert.gov/ncas/analysis-reports[...]

Thursday, 9 August 2018

2018.08.09 - Nyhetsbrev

Størrelse på DDos-angrep øker, men frekvensen synker.

Størrelsen på DDoS-angrep øker, men frekvensen synker

En rapport publisert av NETSCOUT arbor forteller at det var syv ganger flere DDoS-Anrep over 300Gbps i første halvdel av 2018, sammenlignet med første halvdel i 2017. Gjennomsnittsstørrelsen på DDoS-angrep steg med 174% i perioden, men frekvens på antall angrep gikk ned 13%. Økningen skyldes i stor grad oppdagelsen av nye metoder for distribuerte angrep, og det store antallet ubeskyttede IoT-enheter.
Referanser
https://www.securityweek.com/ddos-attacks-les[...]

Wednesday, 8 August 2018

2018.08.08 - Nyhetsbrev

Google med månedlig sikkerhetsoppdatering for Android. Ny metode som forenkler knekking av WPA og WPA2 passord avdekket. Svakhet i Linux-kjernen kan føre til tjenestenekt. Mozilla med sikkerhetsoppdatering til Thunderbird.

Google har sluppet sin månedlige sikkerhetsoppdatering for Android

Google har sluppet august-oppdateringen for Android. Det er tre kritiske oppdateringer denne gangen. Disse kan utnyttes ved å få systemet til å behandle spesielt utformede filer. Det er også fikset flere svakheter i Linux-kjernen og i programvare for Qualcomm-brikksettet.
Referanser
https://source.android.com/security/bulletin/[...]

Ny metode som forenkler knekking av WPA og WPA2 passord avdekket

Utviklere av passord-knekke programmet Hashcat skal ved en tilfeldighet ha snublet over en ny teknikk som gjør det enklere enn tidligere antatt å knekke WPA og WPA2 wifi passord. Der man tidligere var avhengig av å snappe opp en full 4-way handshake som inntreffer når en bruker autentiserer seg mot aksesspunktet, og deretter utføre brute-force angrep mot den, holder det nå å snappe opp èn enkelt pakke. Angrepsmetoden skal fungere mot WPA og WPA2 sikrede nettverk med PMKID-basert roaming påslått.
Referanser
https://www.theregister.co.uk/2018/08/06/wpa2[...]

Svakhet i Linux-kjernen kan utnyttes til tjenestenekt-angrep

Det har blitt oppdaget en svakhet i versjon 4.9+ av Linux-kjernen som kan utnyttes til å forårsake en tilstand av tjenestenekt mot et sårbart system. I detalj går svakheten ut på at kjerne kan bli tvunget til til å gjøre tidkrevende kall til tcp_collapse_ofo_queue() og tcp_prune_ofo_queue() funksjonene for hver innkommende datapakke. For å kunne utføre angrepet kreves det en etablert TCP-sesjon mot maskinen som skal angripes. Forskjellige leverandører har allerede begynt å slippe oppdateringer.
Anbefaling
Installer oppdatering fra leverandør
Referanser
https://www.us-cert.gov/ncas/current-activity[...]
https://www.kb.cert.org/vuls/id/962459

Mozilla med sikkerhetsoppdatering til Thunderbird

Mozilla slipper sikkerhetsoppdatering for en rekke svakheter som potensielt sett kan utnyttes til å få kjørt ondsinnet kode på sårbare systemer. Flere av svakhetene er alvorlige, men generelt skal de være umulig å utnytte via eposter, siden scripting er slått av som standard.
Anbefaling
Installer patch.
Referanser
https://www.mozilla.org/en-US/security/adviso[...]

Monday, 6 August 2018

2018.08.06 - Nyhetsbrev

HP Inc. med sikkerhetsoppdateringer til InkJet-skrivere. Virus stoppet flere Taiwan Semiconductor Manufacturing Co. fabrikker fredag kveld. Ondsinnede Microsoft-filer funnet i Android-apper.

HP Inc. med sikkerhetsoppdateringer til InkJet-skrivere

HP Inc. har utgitt en oppdatering som skal fikse to svakheter i InkJet-skrivere, rundt 225 forskjellige modeller av Pagewide, DesignJet, OfficeJet, Deskjet og HP Envy-produktlinjer. Svakhetene kan bli utnyttet ved å printe ut en fil som utløser en overflytsfeil i enten stacken eller en statisk buffer, som gir mulighet til å eksekvere ondsinnet kode på printeren.
Referanser
https://www.theregister.co.uk/2018/08/03/hp_p[...]
https://www.digi.no/artikler/svaert-alvorlige[...]

Virus stoppet flere Taiwan Semiconductor Manufacturing Co. fabrikker fredag kveld

Et virus forårsaket fredag kveld stopp og forstyrrelser for flere av fabrikkene til Taiwan Semiconductor Manufacturing Co., som bl.a. er ansvarlige for Iphone sin hovedprosessor. Produksjonen skal nå være i gang igjen. Firmaet sier at viruset ikke skal ha blitt introdusert av en hacker, altså at det ikke var målrettet.
Referanser
https://www.bloomberg.com/news/articles/2018-[...]

Ondsinnede Microsoft-filer funnet i Android-apper

Forskere har funnet 145 apper på Google Play som alle innehold ondsinnede, kjørbare Microsoft-filer. Forskerne sier at utviklerne antageligvis ikke visste om at appene deres ble infisert og at det mest sannsynlig skyldes at appene er utviklet på infiserte Windows-maskiner. Appene er fjernet fra Google Play, men forskerne sier at infiserte apper ikke kunne skade Android-telefoner på noen måte.
Referanser
https://threatpost.com/malicious-android-apps[...]

Friday, 3 August 2018

2018.08.03 - Nyhetsbrev

Tre medlemmer av hackergruppen Carbanak arrestert. Drupal gir ut sikkerhetsoppdatering.

Tre medlemmer av hackergruppen Carbanak arrestert

Tre Ukrainske hackere er arrestert i henholdsvis Polen, Tyskland og Spania. Arrestasjonene skjedde i løpet av våren, men har først nå blitt offentliggjort. De tre skal ha vært medlemmer av gruppen FIN7/Carbanak Group og har blitt etterforsket av amerikanske myndigheter.
Referanser
https://www.digi.no/artikler/medlemmer-av-hac[...]

Drupal gir ut sikkerhetsoppdatering

Drupal har gitt ut en sikkerhetsoppdatering som retter opp i en svakhet i Drupal 8.x-versjoner.
Anbefaling
Oppdater til siste versjon.
Referanser
https://www.drupal.org/SA-CORE-2018-005

Thursday, 2 August 2018

2018.08.02 - Nyhetsbrev

Cisco gir ut sikkerhetsoppdatering. Brukerdata fra reddit.com stjålet.

Cisco gir ut sikkerhetsoppdatering

Cisco har gitt ut en sikkerhetsoppdatering som retter opp i en svakhet i Cisco Prime Collaboration Privisioning. En ekstern angriper vil kunne utnytte denne svakheten til å skape en denial-of-service situasjon.
Referanser
https://tools.cisco.com/security/center/conte[...]

Brukerdata fra reddit.com stjålet

19. juni oppdaget Reddit at flere av deres ansattes kontoer var blitt kompromittert. Kontoene var beskyttet med 2FA via SMS, men en angriper har fått tak i disse SMSene og fått tilgang til brukerdata. Angriperen skal ha fått tilgang til brukerdata om brukere opprettet i 2007 og tidligere, samt informasjon som knytter brukernavn til epost-addresse for nyere brukere.
Referanser
https://www.reddit.com/r/announcements/commen[...]
https://arstechnica.com/information-technolog[...]

Wednesday, 1 August 2018

2018.08.01 - Nyhetsbrev

Facebook har oppdaget kampanje for politisk påvirkning. Telegram-trafikk fra flere steder i verden ble omdirigert gjennom Iran.

Facebook har oppdaget kampanje for politisk påvirkning

Facebook annonserte tirsdag at de har oppdaget en pågående kampanje der en rekke ikke-autentiske sider og brukere blir brukt til politisk påvirkning. I følge Facebook er det snakk om 17 brukerprofiler, 8 Facebook sider, og syv Instagram-kontoer. Mellom April 2017 og Juni 2018 skal kontoene ha betalt 11.000 dollar for 150 reklame-kampanjer på de to plattformene.
Referanser
https://www.nytimes.com/2018/07/31/us/politic[...]
https://www.nrk.no/urix/ny-kampanje-for-a-pav[...]

Telegram trafikk fra flere steder i verden ble omdirigert gjennom Iran

Mandag ble data fra meldingstjenesten Telegram sendt gjennom Iran. Årsaken ser ut til å være en BGP-hijack hvor trafikk blir sendt via en tredjepart, som kan medføre blant annet avlytting eller MitM-angrep. Telegram er forbudt i Iran men blir likevel brukt av over 30 millioner, blant annet til å planlegge protestaksjoner mot Iranske myndigheter.
Referanser
https://www.cyberscoop.com/telegram-iran-bgp-[...]