Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Monday, 24 June 2019

2019.06.24 - Nyhetsbrev

USA har gjennomført cyberangrep mot Iran. Iran benekter at disse har vært effektive.

Amerikansk cyberangrep mot Iran

USA har gjennomført digitale motangrep mot en Iransk etteretningsgruppe med koblinger til Iranian Revolutionary Guard. Angrepene skal ha vært skadelige for Irans kommando- og kontrollsystemer. Iran har senere benektet at angrepene har hatt noen effekt.
Referanser
https://www.theverge.com/2019/6/22/18714010/u[...]

Friday, 21 June 2019

2019.06.21 - Nyhetsbrev

Kryptovaluta-angrep tidligere i uken rettet seg mot MacOS. Iranske hackere har startet en nye kampanjer mot USA.

Kryptovaluta-angrep tidligere i uken rettet seg mot MacOS

Tidligere denne uken kom det frem at en Firefox-svakhet ble aktivt utnyttet utnyttet til å stjele kryptovaluta. Nå viser det seg at angrepet besto av to 0-dags svakheter ikke én, og var rettet mot ansatte i kryptobørsen Coinbase, ikke deres brukere. Det spesielle er at angrepet virker å være rettet mot MacOS-maskiner og prøvde å installere en bakdør på maskinene.

Mozilla har nå også sluppet en fiks for den andre svakheten brukt i angrepet. Dette er en sandbox-escape svakhet.
Referanser
https://arstechnica.com/information-technolog[...]
https://www.zdnet.com/article/firefox-zero-da[...]
https://www.mozilla.org/en-US/security/adviso[...]

Iranske hackere har startet en nye kampanjer mot USA

Nå som den militære spenningen mellom de to landene øker sier nå tre sikkerhetsselskaper at de har sett iranske hackere prøve å få tilgang til flere amerikanske organisasjoner i løpet av de siste 2 ukene.
Referanser
https://www.wired.com/story/iran-hackers-us-p[...]

Thursday, 20 June 2019

2019.06.20 - Nyhetsbrev

Cisco oppdaterer flere produkter. Symantec: APT-gruppen Turla overtar serverne til OilRig. Videresending til svindel-sider fra legitime nyhetssider. En kritisk sårbarhet i Oracle WebLogic blir aktivt utnyttet.

Cisco oppdaterer flere produkter

Cisco har sluppet en sikkerhetsoppdatering til en rekke av sine produkter. Sjekk saken for liste over produkter.
Referanser
https://www.us-cert.gov/ncas/current-activity[...]

Symantec: APT-gruppen Turla overtar serverne til OilRig

APT-gruppen Turla ser ut til å ha tatt kontroll over servere tilhørende en annen APT-gruppe, OilRig. Førstnevnte gruppe knyttes til Russland og den andre til Iran. Denne typen operasjoner kan gjøre det enda vanskeligere å vite hvem som faktisk står bak et cyber-angrep.
Referanser
https://www.symantec.com/blogs/threat-intelli[...]
https://arstechnica.com/information-technolog[...]

Videresending til svindel-sider fra legitime nyhetssider

Det dukker opp svindel-sider når en besøker diverse legitime nyhetssider. Det er annonser på sidene som videresender til disse svindel-sidene. Svindelen blir automatisk tilpasset den Internett-leverandøren offeret har for å virke mer troverdig.

Se vår Facebook-side for eksempel på hvordan svindelsiden ser ut.
Referanser
https://www.facebook.com/TelenorSOC/

En kritisk sårbarhet i Oracle WebLogic blir aktivt utnyttet

En sårbarhet i XML-dekoderen til Oracle WebLogic Server Web Services gjør det mulig å eksekvere kode fra eksternt hold uten autentisering. Utnyttelse av WebLogic-sårbarheter er en kjent inngangsvektor og det samme forventes med denne sårbarheten.
Anbefaling
Oppdater Oracle WebLogic umiddelbart
Referanser
https://www.oracle.com/technetwork/security-a[...]
https://www.us-cert.gov/ncas/current-activity[...]
https://threatpost.com/oracle-warns-of-new-ac[...]

Wednesday, 19 June 2019

2019.06.19 - Nyhetsbrev

Mozialla har sluppet patch for svakhet i Firefox og Firefox ESR som utnyttes for å stjele kryptovaluta. Facebook har lansert en egen kryptovaluta kalt Libra.

Svakhet i Firefox og Firefox ESR utnyttes for å stjele kryptovaluta

Mozilla har gitt ut sikkerhetsoppdateringer for å løse et sikkerhetsproblem i Firefox og Firefox ESR. En angriper kan utnytte dette sikkerhetsproblemet for å ta kontroll over et berørt system. Brukere og administratorer oppfordres til å oppdatere til Firefox 67.0.3 og Firefox ESR 60.7.1. Svakheten er allerede under aktiv utnyttelse og brukes for å stjele kryptovaluta!
Referanser
https://www.us-cert.gov/ncas/current-activity[...]
https://www.mozilla.org/en-US/security/adviso[...]

Facebook har lansert en egen kryptovaluta

Facebook har gitt ut en prototyp av sin egen kryptovaluta kalt Libra, som planlegges lansert neste år. En testutgave er allerede operativ. Facebook ønsker å gjøre det enkelt å bruke kryptovaluta i det daglige, samt å få en valuta som er mer stabil for store kurssvingninger enn andre kryptovalutaer. De ser også for seg at den kan brukes i land der få har tilgang til banktjenester. Verdien av valutaen skal være på rundt 1 USD per enhet og kobles mot flere store valutaer.
Referanser
https://www.nrk.no/urix/facebook-lanserer-ege[...]
https://www.wired.com/story/ambitious-plan-be[...]

Tuesday, 18 June 2019

2019.06.18 - Nyhetsbrev

Flere svakheter i Linux og FreeBSD kernel.

Svakheter i Linux og FreeBSD kernel

Det er oppdaget 3 svakheter i hvordan Linux og FreeBSD kernel håndterer TCP-pakker. Svkahetene knyttes til funksjonene Minimum segment size (MSS) og TCP Selective Acknowledgement (SACK). Den mest alvorlige svakheten (SACK Panic) vurderes som kritisk.
Referanser
https://github.com/Netflix/security-bulletins[...]

Monday, 17 June 2019

2019.06.17 - Nyhetsbrev

APT-aktøren XENOTIME kartlegger elforsyningen i USA. Oppgang i antall ransomware-angrep. New York Times: USA har installert sabotasjeprogramvare i Russlands strømnett.

APT-aktøren XENOTIME kartlegger elforsyningen i USA

IT-sikkerhetsfirmaet Dragos melder at trusselaktøren XENOTIME har startet kartlegging av elektrisitetsforsyingen i USA. Tidligere har aktøren konsentrert seg om olje- og gass-sektoren. Aktøren har tidligere angrepet Aramco i Saudi Arabia med malwaren Triton.
Referanser
https://dragos.com/blog/industry-news/threat-[...]
https://www.itwire.com/security/sec-firm-drag[...]

Oppgang i antall ransomware-angrep

Threatpost opplyser at ransomware-angrep har hatt stor oppgang i 2019. "Denne typen angrep vil fortsette å være en trussel så lenge folk fortsetter å betale for å dekryptere filene sine", sier sikkerhetsforskerene fra Positive Technologies. Mange nye framgangsmåter har også endret seg i løpet av det siste året. Et nevneverdig eksempel på dette er CryptoMix, en form ransomware som informerer ofre om at hele summen man betaler for å låse opp filene vil bli donert til en veldedighetsorganisasjon for barn. En annen form for ransomware benytter nå en forfalsket versjon av PayPal for å gjennomføre betalingen. Dette er naturligvis en falsk portal som brukes til å stjele innloggingsdetaljer.
Referanser
https://threatpost.com/threatlist-ransomware-[...]

New York Times: USA har installert sabotasjeprogramvare i Russlands strømnett

New York times rapporterer i en artikkel at USA har plantet skadelig programvare i det Russiske strømnettet, samt andre mål. Kildene sier at USA kan gjøre betydelig skade ved en eventuell konflikt. Trump har senere lagt ut en melding på Twitter om saken der han sier at den er løgn og at New York Times er fiender av folket.
Referanser
https://www.nytimes.com/2019/06/15/us/politic[...]
https://www.aftenposten.no/verden/i/4qrn76/Ne[...]

Friday, 14 June 2019

2019.06.14 - Nyhetsbrev

Norge blir medlem av cybersikkerhetssenteret i Tallinn. Telegram-direktør hevder at kinesiske myndigheter står bak nylig DDoS-angrep. Svakhet i Exim mailserver blir utnyttet.

Norge blir medlem av cybersikkerhetssenteret i Tallinn

Norge blir i dag medlem av det internasjonale senteret, Cooperative Cyber Defence Centre of Excellene, som holder til i Tallinn i Estland. Forsvarsminister Frank Bakke-Jensen sier at et digitalt angrep kan være alvorlig og ramme samfunnskritisk infrastruktur, samt militære operasjoner. Han understreker at de nå styrker samarbeidet med partnere og allierte om digital sikkerhet.
Referanser
https://www.regjeringen.no/no/aktuelt/styrker[...]

Telegram-direktør hevder at kinesiske myndigheter står bak nylig DDoS-angrep

Pavel Durov, direktøren av meldingstjenesten Telegram, hevder at kinesiske myndigheter står bak et nylig DDoS-angrep mot tjenesten. I en uttalelse sier han at angrepet var av en slik størrelsesorden at han mistenker at statlige aktører er nødt til å ha stått bak det. Han legger også til at flesteparten av de involverte IP-adressene kan spores tilbake til Kina.

Angrepet inntraff under en stor offentlig protest i Hong Kong. Durov mener at dette vekker mistanke, ettersom den krypterte meldingstjenesten tidligere har blitt brukt som et verktøy for å kommunisere i forbindelse med protester. Det amerikanske nyhetsbyrået Bloomberg opplyser også at demonstrantene benytter masker for å skjule ansiktene sine under protestene for å unngå annsiktsgjenkjenningsteknologi.
Referanser
https://www.theverge.com/2019/6/13/18677282/t[...]

Svakhet i Exim mailserver blir utnyttet

Millioner av Exim mailservere blir angrepet gjennom en kjent svakhet. Svakheten muliggjør ekstern kodeeksekvering som root på de sårbare versjonene av Exim mailserver. Svakheten er fikset i versjon 4.92.
Referanser
https://www.bleepingcomputer.com/news/securit[...]
https://nvd.nist.gov/vuln/detail/CVE-2019-10149

Thursday, 13 June 2019

2019.06.13 - Nyhetsbrev

Intel med sikkerhetsoppdateringer til en rekke produkter. Cross-Site Request Forgery svakhet i Cisco IOS XE Software Web GUI.

Intel med sikkerhetsoppdateringer til en rekke produkter

Intel gir ut oppdateringer til diverse produkter. Svakhetene skal bl.a. kunne bli brukt til å gi eskalerte rettigheter på et allerede infisert system.
Referanser
https://www.us-cert.gov/ncas/current-activity[...]

Cross-Site Request Forgery svakhet i Cisco IOS XE Software Web GUI

Cisco gir ut oppdatering for en CSRF-svakhet i Cisco IOS XE Software Web GUI. Svakheten kan potensielt utnyttes av utenforstående til å få utført handlinger på systemet i kontekst av en allerede eksisterende og aktiv bruker.
Referanser
https://tools.cisco.com/security/center/conte[...]

Wednesday, 12 June 2019

2019.06.12 - Nyhetsbrev

Amerikansk tollvesen sier hackere har stjålet informasjon om reisende. Angrep som benytter seg av falske notifikasjoner i kalender-applikasjoner. Microsoft patcher 21 kritiske svakheter. Adobe gir ut sikkerhetsoppdatering til flere av deres produkter. RAMBleed tar i bruk Rowhammer-metodikk for å lese informasjon i minne.

Amerikansk tollvesen sier hackere har stjålet informasjon om reisende

Det Amerikanske Tollvesenet sier at en at en underleverandør skal ha lagret bilder av bilskilt, og reisende personer uten deres tillatelse lokalt. Entrepenøren skal deretter ha blitt hacket, og angriperne skal ha eksfiltrert dataene. Det er ukjent hvem som står bak angrepet.
Referanser
https://www.zdnet.com/article/cbp-says-hacker[...]

Angrep som benytter seg av falske notifikasjoner i kalender-applikasjoner

En ny form for phishing har økt i popularitet i løpet av den siste tiden. Angripere benytter seg nå av notifikasjoner i kalender-applikasjoner på mobile enheter for å utføre phishing. Ved invitasjon dukker det opp et varsel som man kan velge å avslå eller godta. Dersom invitasjonen kommer fra en angriper og man godtar, blir man videresendt til en ny nettside som ber brukeren om å taste inn sensitiv informasjon. Eksempler på dette kan være adresse eller kredittkort-detaljer. Dette har vist seg å være en overraskende effektivt fremgangsmetode. De fleste er i dag oppmerksomme på hvilke lenker man trykker på som blir sendt på epost og SMS, men ytterst få har erfaring med phishing-forsøk i kalender-applikasjoner.
Anbefaling
Ikke trykk på lenker som man ikke vet hvor kommer fra.
Referanser
https://threatpost.com/google-calendar-attack[...]

Microsoft patcher 21 kritiske svakheter

Microsoft har i sin månedlige oppdatering patchet 88 svakheter, hvor 21 av disse var rangert som kritiske. Microsoft fikser også fire av zero-day svakhetene publisert på nett av SandBoxEscaper tidligere denne måneden. Ingen av dem skal ha blitt utnyttet i skadevarekampanjer.
Anbefaling
Oppdater.
Referanser
https://www.zdnet.com/article/microsofts-june[...]

Adobe gir ut sikkerhetsoppdatering til flere av deres produkter

Adobe patcher svakheter i produktene ColdFusion, Flash Player og Campaign. Oppdateringen fikser ulike feil i de nevnte produktene som ved utnyttelse vil gi angriper mulighet til å eksekvere kode.
Anbefaling
Oppdater.
Referanser
https://blogs.adobe.com/psirt/?p=1760

RAMBleed tar i bruk Rowhammer-metodikk for å lese informasjon i minne

Forskere fra Australia, Østerrike og USA har oppdaget en angrepsteknikk som gjør det mulig å lese og hente ut informasjon fra andre programmer og brukere. Angrepet som har fått navnet RAMBleed bruker minneproblematikken tidligere utnyttet i Rowhammer til å lese potensiell sensitiv informasjon. Angrepsmetoden skal være svært sofistikert, og anses foreløpig som et mer teoretisk angrep.
Anbefaling
Vent på patcher.
Referanser
https://rambleed.com/
https://www.theregister.co.uk/2019/06/11/ramb[...]

Tuesday, 11 June 2019

2019.06.11 - Nyhetsbrev

Oppgang i antall SIM Swapping-angrep mot utvinnere av kryptovaluta. GoldBrute RDP Botnet skanner etter sårbare servere. Hackere stjal 9.5 millioner dollar fra kryptovaluta-lommebøker til GateHub brukere. Europeisk internettrafikk rutet gjennom Kina i mer enn 2 timer. Zero-Day Rettighetseskalerings-svakhet i Windows. Google bekrefter at bakdør fra 2017 kom forhåndsinstallert på en rekke Android enheter.

Europeisk internettrafikk rutet gjennom Kina i mer enn 2 timer

Etter en BGP-leak fra Safe Host ble trafikk fra flere europeiske ISPer rutet gjennom China Telecom. China Telecom hadde også en lignende hendelse i fjor, hvor det ble spekulert i om kinesiske myndigheter stod bak.
Referanser
https://www.zdnet.com/article/for-two-hours-a[...]

Oppgang i antall SIM Swapping-angrep mot utvinnere av kryptovaluta

SIM-swapping er en form for angrep der angriperne bruker sosial manipulering eller andre teknikker for å få overført et offer sitt mobilnummer til sitt eget simkort. På denne måten kan de motta SMSer som sendes med i forbindelse med 2-faktor autentisering for å tilbakestille passord eller for å få tilgang til kontoer. I hovedsak har denne typen angrep blitt brukt for å få tilgang til krypto-lommebøker.
Referanser
https://yro.slashdot.org/story/19/06/09/21382[...]

GoldBrute RDP Botnet skanner etter sårbare servere

14. Mai ble Remote Desktop Protokollen oppdatert for Windows XP, Windows 7 og Windows 2003 i forbindelse med BlueKeep-svakheten. Det anslås at ca. 1.5 millioner servere holder RDP
åpen mot internett uten at det er behov for det. Nå forsøker et botnet som går under navnet "GoldBrute" å få tilgang til disse serverne ved hjelp av bruteforcing. De benytter seg av en taktikk hvor hver bot maksimalt utfører et påloggingsforsøk hver, i håp om å ikke bli oppdaget ettersom alle forsøkene kommer fra forskjellige adresser. Selv et system som har oppdatert til nyeste versjon er sårbart for bruteforce angrep dersom passordene som benyttes ikke er sterke nok. Det tryggest er derfor å unngå å eksponere RDP med mindre man har direkte behov or den.
Referanser
https://it.slashdot.org/story/19/06/08/032223[...]

Hackere stjal 9.5 millioner dollar fra kryptovaluta-lommebøker til GateHub brukere

Hackere har stjelt 23.2 millioner Ripple Coins (XRP) fra kryptovaluta-lommebøkene til brukere av GateHub. Dette tilsvarer omtrent 9.5 millioner amerikanske dollar. GateHub har gitt ut en midlertidig forklaring hvor de innrømmer at angrepet har funnet sted. Det er enda ikke klart hvordan angriperene har fått tilgang til informasjonen som behøves for å dekryptere de hemmelige nøklene. GateHub opplyser om at de har informert sikkerhetsmyndigheter om angrepet og kommer til å lansere en offisiell uttalelse så snart den interne etterforskningen er gjennomført.
Referanser
https://www.zdnet.com/article/hackers-steal-9[...]
https://gatehub.net/blog/gatehub-preliminary-[...]

Zero-Day, Rettighetseskalerings-svakhet i Windows

For to uker siden rapporterte en anonym sikkerhetsetterforsker fire nye Windows svakheter. En av disse svakhetene kunne føre til lokal rettighetseskalering. Nå har den samme etterforskeren, som går under navnet Sandbox Escaper, delt en ny zero-day svakhet som oppnår det samme. Ved å utnytte en race-condition i Microsoft Edge får vedkommende muligheten til å utføre oppgaver som egentlig behøver administrator-rettigheter.
Anbefaling
Oppdater til nyeste versjon.
Referanser
https://thehackernews.com/2019/06/windows-eop[...]

Google bekrefter at bakdør fra 2017 kom forhåndsinstallert på en rekke Android enheter

Bakdøren Triada ble oppdaget i 2016 og ble brukt for å sende spam og vise annonser på infiserte enheter. Kaspersky omtalte den da som "en av de mest avanserte trojanerne for telefoner". I 2017 ble det videre oppdaget at denne bakdøren var innebygd i en rekke Android enheter sin firmware. Det innebærer at enhetene var infiserte i det de forlot fabrikken og at det ikke var mulig å fjerne bakdøren ved bruk av standard prosedyrer. Google har siden den gang jobbet tett sammen med produsentene for å sørge for at bakdøren ikke leveres med nye enheter.
Anbefaling
Oppdater til nyeste versjon
Referanser
https://arstechnica.com/information-technolog[...]

Friday, 7 June 2019

2019.06.07 - Nyhetsbrev

Google gir ut juni-oppdateringer for Android. Svakhet i Exim påvirker over halvparten av Internett-eksponerte mail-servere. Clearsky Security utgir rapport om MuddyWater. VMware gir ut oppdatering til Tools og Workstation

Google gir ut juni-oppdateringer for Android

Google har nå publisert oppdateringer til Android for juni 2019. Oppdateringene fikser 8 kritiske svakheter og 13 svakheter klassifisert med høy viktighet fordelt over flere komponenter i operativsystemet.
Referanser
https://source.android.com/security/bulletin/[...]

Svakhet i Exim påvirker over halvparten av Internett-eksponerte mail-servere

ZDNet melder om at svakheten som ble funnet i Exim ser ut til å gjelde halvparten av alle e-mail servere på Internett. 57% av e-mail servere som er på internet benytter seg av Exim. Svakheten gjør det mulig for angriper å utføre kommandoer på e-mail serveren som root. Dette gjør det mulig for angriper å ta kontroll over mail-serveren.

Svakheten i Exim har blitt fikset ved en tilfeldighet i versjon 4.92.
Referanser
https://www.zdnet.com/article/new-rce-vulnera[...]

Clearsky Security utgir rapport om MuddyWater

Clearsky Security har gitt ut en rapport om MuddyWater, en Iransk APT-gruppe. Rapporten omhandler gruppens nye og avanserte angrepsvektorer for å angripe statlige enheter og mål innenfor telekommunikasjonssektoren.
Referanser
https://www.clearskysec.com/wp-content/upload[...]

VMware gir ut oppdatering til Tools og Workstation

VMware har gitt ut en oppdatering til VMware Tools og VMware Workstation som fikser en svakhet som gjorde det mulig for angriper å utnytte VMware Tools i en Windows VM til å hente ut kernel informasjon samt utføre DoS-angrep mot Windows VMen.

VMware Tools for Windows 10.3.10 fikser svakheten.
Anbefaling
Oppdater VMware Tools for Windows til 10.3.10 for å fikse svakheten
Referanser
https://www.vmware.com/security/advisories/VM[...]

Thursday, 6 June 2019

2019.06.06 - Nyhetsbrev

Platinum APT grupperingen har brukt steganografi for å skjule kommunikasjon. Cisco med flere oppdateringer til sårbare produkter.

Steganografi brukt av APT-gruppering

Securelist skriver om nye angrepsteknikker fra den velkjente hackergrupperingen Platinum APT group. I analyserte angrep fra 2018 ser en at det brukes steganografi for å skjule kommunikasjon.
Referanser
https://securelist.com/platinum-is-back/91135/

Cisco med oppdatering for flere produkter

Cisco har kommet med ni sikkerhetsoppdateringer til flere av sine produkter. Noen av svakhetene som fikses er av en slik karakter at de kan utnyttes fra eksternt ståsted. Vi anbefaler en gjennomgang og oppdatering hvis man har sårbare systemer.
Referanser
https://www.us-cert.gov/ncas/current-activity[...]

Wednesday, 5 June 2019

2019.06.05 - Nyhetsbrev

Nytt hackeverktøy for e-post er lekket. Chrome-oppdatering fikser flere svakheter

Nytt hackeverktøy for e-post er lekket

Det er lekket et nytt verktøy for å hacke e-post og stjele informasjon. Verktøyet som blir kalt Jason blir assosiert med den iranske grupperingen OilRig APT, og spres nå online.
Referanser
http://securityaffairs.co/wordpress/86569/hac[...]

Chrome-oppdatering fikser flere svakheter

Google har kommet med oppdatering til Chrome for Windows, Mac og Linux. Oppdateringen fikser flere svakheter.
Referanser
https://chromereleases.googleblog.com/2019/06[...]

Tuesday, 4 June 2019

2019.06.04 - Nyhetsbrev

Russland og Kina flytter over til egenutviklede operativsystemer. Sårbarhet i MacOS lar programmer styre muspeker. Ny bakdør for Linux: HiddenWasp.

Russland og Kina flytter over til egenutviklede operativsystemer

Det russiske militæret er i ferd med å fase ut Windows som OS og flytter over på sin egen Linux-distribusjon kalt Astra Linux. OSet ble klarert for å håndtere gradert informasjon forrige måned.

Tidligere i måneden kom det også meldinger om at det kinesiske militæret er i ferd med å gå over til et egenutviklet OS, som ikke er basert på Linux.
Referanser
https://www.zdnet.com/article/russian-militar[...]
https://www.zdnet.com/article/chinese-militar[...]

Sårbarhet i MacOS lar programmer styre muspeker

En sårbarhet i MacOS lar allerede installerte applikasjoner gjøre syntetiske musklikk på skjermen. Dette gjør at applikasjonene kan få tilgang til å utføre handlinger de egentlig ikke skal ha tillatelse til. Feilen kan f.eks. brukes til å dele posisjon eller å slå på mikrofonen på systemet ved å godta dialogbokser uten at brukeren merker det.
Referanser
https://threatpost.com/macos-zero-day-malicio[...]

Ny bakdør for Linux: HiddenWasp

Sikkerhetsforskere har oppdaget en ny bakdør laget for Linux som de har kalt HiddenWasp. Bakdøren ble ikke oppdaget av anti-virus programvare og er antagelig i bruk i målrettede angrep.
Referanser
https://arstechnica.com/information-technolog[...]

Monday, 3 June 2019

2019.06.03 - Nyhetsbrev

Kritiske sårbarheter i Nvidia GeForce Experience har blitt rettet opp. Sårbarhet i Notepad fra Microsoft. Ny cryptojacking-orm sprer seg i Kina.

Ny cryptojacking-orm sprer seg i Kina

En ny cryptojacking-orm ved navn Beapy sprer seg i Kina. Målet med ormen er å benytte andres maskiner til å utvinne kryptovaluta. Ormen spres først via epost og benytter seg deretter av DoublePulsar-svakheten for å oppnå videre spredning. Til nå har den i hovedsak blitt oppdaget i bedrifter i Kina, men den er også sett i Sør-Korea, Japan og Vietnam.
Referanser
https://www.symantec.com/blogs/threat-intelli[...]

Kritiske sårbarheter i Nvidia GeForce Experience har blitt rettet opp

Nvidia har rettet opp i to kritiske sårbarheter i sin programvare, GeForce Experience. Disse sårbarhetene kan gi mulighet for rettighetseskalering, lokal eksekvering av kode, informasjonslekkasje og tjenestenekt. Den første felien lå i en hjelpefunksjon i kontrollpanelet for programvaren. Den andre feilen var knyttet til selve installasjonsprosessen. Nvidia opplyser at begge feilene krevde lokal tilgang til maskinvaren for å kunne utnyttes.
Anbefaling
Installer nyeste versjon av programvaren.
Referanser
https://threatpost.com/nvidia-fixes-high-seve[...]

Sårbarhet i Notepad fra Microsoft

En sårbarhet knyttet til minne-korrupsjon i Microsofts programvare, Notepad, gjør det mulig å åpne et terminalvindu gjennom programmet. For å utnytte feilen er en angriper først nødt til å få åpnet programvaren på målet. Tidligere eksisterte det feil i Internet Explorer som kunne brukes for å oppnå dette, men disse har siden blitt rettet opp i. Sårbarheten anses derfor ikke som noen vesentlig sikkerhetsrisiko.
Anbefaling
Ingen anbefaling.
Referanser
https://threatpost.com/researcher-exploits-mi[...]

Friday, 31 May 2019

2019.05.31 - Nyhetsbrev

Utnyttelse av SharePoint-svakhet. Svakhet i Docker kan gi full tilgang til host-filsystemet. Apple har sluppet sikkerhetsoppdatering.

Utnyttelse av SharePoint-svakhet

Unit 42, en del av Palo Alto Networks, har observert at en svakhet i SharePoint har blitt utnyttet til å installere webshell på servere til statlige organisasjoner i to land i Midtøsten. Svakheten skal være fikset i en oppdatering som kom 12. Mars.
Referanser
https://unit42.paloaltonetworks.com/emissary-[...]
https://support.microsoft.com/en-us/help/4462[...]

Svakhet i Docker kan gi full tilgang til host-filsystemet

En svakhet i alle docker versjoner kan gjøre det mulig for en angriper å oppnå full lese og skrive tilganger for hele systemet.
Referanser
https://seclists.org/oss-sec/2019/q2/131
https://duo.com/decipher/docker-bug-allows-ro[...]

Apple har sluppet sikkerhetsoppdatering

Apple har sluppet sikkerhetsoppdatering for de trådløseruterene: AirPort Extreme og AirPort Time Capsule
Referanser
https://support.apple.com/en-us/HT210090

Tuesday, 28 May 2019

2019.05.28 - Nyhetsbrev

1 million Windows-maskiner er sårbare for BlueKeep-svakhet. Ny aktivitet fra kinesisk trusselaktør.

1 million Windows-maskiner er sårbare for BlueKeep-svakhet

Etter at svakheten i Microsofts RDP produkt ble kjent har en sikkerhetsforsker forsøkt å finne antall sårbare enheter. Resultatet var omtrent 950,000 maskiner. Artikkelen beskriver prosedyren for skanningen, samt anbefalinger med tiltak man bør gjøre i tillegg til å patche.
Referanser
https://blog.erratasec.com/2019/05/almost-one[...]

Ny aktivitet fra kinesisk trusselaktør

Sikkerhetsforskere fra enSilo oppdaget i April 2019 ny aktivitet som trolig er knyttet til en kinesisk trusselaktør. Bloggposten beskriver aktivitet rettet mot private og statlige organisasjoner i sør-øst Asia, og det antas å være aktøren APT10 som står bak.
Referanser
https://blog.ensilo.com/uncovering-new-activi[...]

Monday, 27 May 2019

2019.05.27 - Nyhetsbrev

Australske Canva har antagelig blitt hacket og tapt brukerdata tilhørende 139 millioner brukere. Svakhet i Jenkins-plugin .

Australske Canva har antagelig blitt hacket og tapt brukerdata tilhørende 139 millioner brukere

En hacker påstår ovenfor ZDNet at han har stjålet brukerdata fra designtjenesten Canva. Brukernavn, navn, epostaddresser og landsinformasjon for 139 millioner brukere kan være på avveie. Påstandene er underbygget ved oversendelse av eksempel-data.
Referanser
https://www.zdnet.com/article/australian-tech[...]

Svakhet i Jenkins-plugin

En svakhet i en plugin til Jenkins med navnet "Jenkins Credentials" gjorde at angripere kunne bekrefte om enkelt-filer eksisterte på serveren. Svakheten førte ikke til at man kunne se innholdet i filene, men å få vite om en fil er til stede eller ikke kan legge til rette for andre typer angrep.
Anbefaling
Oppdater til nyeste versjon.
Referanser
https://wwws.nightwatchcybersecurity.com/2019[...]

Friday, 24 May 2019

2019.05.24 - Nyhetsbrev

Google har delt data om autentisering og phishing.

Google har delt data om autentisering og phishing

Google har delt data om hvor godt forskjellige 2-faktor autentiseringsmetoder stopper phising-angrep. Å måtte skrive inn en kode fra en SMS-melding blokkert for eksempel 100% av automatiserte angrep, 76% av masseutsendte angrep og 76% av målrettede angrep.

Det beste forsvaret var bruk av en fysisk sikkerhetsnøkkel, som stoppet alle angrep.
Referanser
https://thenextweb.com/google/2019/05/23/goog[...]
https://security.googleblog.com/2019/05/new-r[...]

Thursday, 23 May 2019

2019.05.23 - Nyhetsbrev

To nye zero-day svakheter i Windows har blitt offentliggjort. Mai-oppdateringen av Windows er nå tilgjengelig. Jens Stoltenberg varsler cyberløft i Nato. Sikkerhetsoppdaeringer til Mozilla Firefox. Kritisk sårbarhet avdekket i Slack.

Mai-oppdateringen av Windows er nå tilgjengelig

Microsoft sin mai-oppdatering av Windows 10 er nå tilgjengelig for nedlasting. I denne oppdateringen er det mulig å starte virtuelle instanser av Windows i et eget vindu som ikke påvirker hovedinstallasjonen, for eksempel for å teste ut malware. Microsoft har også lagt til bedre historikk når det gjelder sikkerhetshendelser. Det er også lagt inn støtte for pålogging ved hjelp av fysiske sikkerhetsnøkler.
Referanser
https://www.neowin.net/news/the-windows-10-ma[...]

Jens Stoltenberg varsler cyberløft i Nato

NATOs generalsekretær Jens Stoltenberg sier trusler i det digitale rommet vil få høyeste prioritet på alliansens toppmøte i London til høsten. Stoltenberg gjør det også klart at de allierte i NATO står klar til å bruke cybervåpen i kamp – og ikke bare som svar på angrep.
Referanser
https://www.digi.no/artikler/jens-stoltenberg[...]

To nye zero-day svakheter i Windows

I går slapp Twitter-brukeren SandboxEscaper en 0-dags sårbarhet for Windows. I dag har den samme personen sluppet to nye.

Den første sårbarheten gjør det mulig å oppnå utvidede rettigheter i systemet gjennom en svakhet i Windows Error Reporting. Denner er veldig vanskelig å utnytte i praksis.

Den andre svakheten gjør det mulig å komme ut av den innebygde prosess-isoleringen i Internet Explorer 11.
Anbefaling
Vent på oppdatering.
Referanser
https://www.bleepingcomputer.com/news/microso[...]

Sikkerhetsoppdaeringer til Mozilla Firefox

Mozilla har gitt ut kritiske sikkerhetsoppdateringer til nettleseren sin i Firefox versjon 67.
Anbefaling
Oppdater nettleseren til nyeste versjon
Referanser
https://www.mozilla.org/en-US/security/adviso[...]

Kritisk sårbarhet avdekket i Slack

En kritisk sårbarhet i programvaren Slack gir angripere mulighet til å motta alle filer man laster ned i applikasjonen. Angrepet fungerer ved at angriperne sender en spesielt formatert link til en bruker eller kanal i applikasjonen. Dersom en bruker trykker på linken endres de personlige innstillingene for hvor filer blir lagret. Angriperne kan dermed velge at filene skal sendes til sin egen server. Siden filene fremdeles kan åpnes direkte i applikasjonen kan det være vanskelig å oppdage at innstillingene har blitt endret. Svakheten er fikset i siste versjon.
Anbefaling
Ikke trykk på linker man ikke vet hvor kommer fra. Oppdater til nyeste versjon av programvaren.
Referanser
https://threatpost.com/slack-remote-file-hija[...]

Wednesday, 22 May 2019

2019.05.22 - Nyhetsbrev

Google lagret passord i klartekst i 14 år. Sensitiv data av HCL ansatte og kunder lå eksponert for offentligheten. Ny zero-day svakhet i Windows.

Google lagret passord i klartekst i 14 år

Google lagret passord i klartekst til noen "G Suite" kunder i deres interne systemer helt tilbake til 2005. De skal ikke ha funnet bevis på misbruk av disse passordene.
Referanser
https://cloud.google.com/blog/products/g-suit[...]
https://www.cnet.com/news/google-had-some-pas[...]

Sensitiv data av HCL ansatte og kunder lå åpent eksponert

HLC hadde flere subdomener som var tilgjengelig for offentligheten som inneholdt personlig informasjon, klartekst passord av nyansatte, rapporter angående infrastrukturer til kunder, samt web-applikasjoner som håndterte ansatte og kunder.
Referanser
https://threatpost.com/data-leak-hcl-customer[...]
https://www.cso.com.au/article/661831/it-serv[...]

Ny zero-day svakhet i Windows

En sikkerhetsforsker har publisert en demo av en ny svakhet i Windows 10. Svakheten utnytter Task Scheduler til å oppnå admin-rettigheter ved bruk av spesielt utformede .job filer. Sikkerhetsforskeren, som kaller seg SandboxEscaper, hevder å ha informasjon om flere svakheter som hun ønsker å selge.
Referanser
https://www.zdnet.com/article/windows-10-zero[...]
https://securityaffairs.co/wordpress/85952/br[...]

Tuesday, 21 May 2019

2019.05.21 - Nyhetsbrev

Brukerdata til flere millioner instagram-kontoer lå eksponert for offentligheten.

Brukerdata til flere millioner instagram-kontoer lå eksponert for offentligheten

Markedsføringsselskapet Chtrbox lagret offentlig og privat brukerdata av flere millioner instagram-kontoer som tilhørte "influencers" og merkenavn. Databasen med denne informasjonen var usikret og lå eksponert for offentligheten.
Referanser
https://techcrunch.com/2019/05/20/instagram-i[...]

Monday, 20 May 2019

2019.05.20 - Nyhetsbrev

GozNum-nettverket stoppet. Nedgang i angrep av hacktiviser. Økning i cipher stunting. Salesforce slo av 100 skyinstanser grunnet en feil hvor brukere fikk lese og skrive tilgang til alle dataene. Google og flere store selskaper kutter samarbeid med Huawei. Cisco WebEx ekstern kodeeksekvering.

GozNum-nettverket stoppet

Et internasjonalt samarbeid har stoppet personene bak malwaren GozNym. Dette virues ble brukt til å hente ut innloggingsinformasjon til bankkontoer og ble i hovedsak sendt til bedrifters økonomi-avdelinger gjennom phising-mails. Bakmennene er blant annet fra Georgia, Ukraina, Moldova og Russland.
Referanser
https://www.europol.europa.eu/newsroom/news/g[...]

Nedgang i angrep av hacktiviser

ZDNet melder at det har vært en 95 prosent nedgang i antall angrep av såkalt hacktivister siden 2015. Dette kommer frem av tall publisert av IBM X-Force. Årsaken til denne store grunner er antatt å være at hacker-samfunnet Anonymous, som stod for 45 prosent av angrepene i perioden, ikke lenger eksisterer.
Referanser
https://www.zdnet.com/article/hacktivist-atta[...]

Økning i cipher stunting

Ifølge sikkerhetsselskapet Akamai har det vært en kraftig økning i tilfeller der angripere endrer signaturen til kryptert SSL- og TLS-trafikk. Teknikken er kjent som Cipher Stunting og brukes for å få et få antall maskiner til å utgi seg for å være mange hundre tusen eller millioner maskiner.
Referanser
https://www.darkreading.com/threat-intelligen[...]

Salesforce slo av 100 skyinstanser grunnet en feil hvor brukere fikk lese og skrive tilgang til alle dataene

Salesforce slo av 100 skyinstanser, som hostet Pardot brukere, for å sikre data. Trolig kjørte Salesforce et script som ga flere brukere lese og skrive tilgang på all data. Dette påvirker alle brukere som bruker disse systemene, uavhengig om de benytter seg av Pardot.
Referanser
https://www.theregister.co.uk/2019/05/17/sale[...]

Google og flere store selskaper kutter samarbeid med Huawei

Framtidige Android-telefoner fra Huawei kan miste tilgang til Google-apper, Google Play, sikkerhetsoppdateringer osv. Selskapet har blitt svarteliste av den amerikanske administrasjonen. Endringene skal ikke gjelde eksisterende telefoner.
Referanser
https://www.nrk.no/urix/en-rekke-populaere-ap[...]

Cisco WebEx ekstern kodeeksekvering

Cisco WebEx er et utbredt webkonferanse- og samarbeidsprogramvare, og på mandag ble det avslørt en alvorlig feil som kan tillate vilkårlig kodeeksekvering på WebEx for Windows. Problemet består av flere sårbarheter i det web-baserte administrasjonsgrensesnittet til "PI EPN manager", som kan tillate en ekstern angriper å eksekvere vilkårlig kode på det underliggende operativsystemet.
Anbefaling
En patch er nå tilgjengelig, og Cisco anbefaler administratorer å oppdatere så tidlig som mulig.
Referanser
https://threatpost.com/cisco-webex-remote-cod[...]

Thursday, 16 May 2019

2019.05.16 - Nyhetsbrev

Cisco har sluppet sikkerhetsoppdateringer. Falskt angrepsvarsel ble lagt inn i Eurovision-sending.

Cisco har sluppet sikkerhetsoppdateringer

Cisco har sluppet sikkerhetsoppdateringer for en mengde av sine produkter.
Referanser
https://tools.cisco.com/security/center/publi[...]

Falskt angrepsvarsel ble lagt inn i Eurovision-sending

Nettsiden som videreformidlet sendingen fra Eurovision 2019-eventen i Isreal ble hacket på tirsdag. Videosendingen ble også avbrutt av en falsk advarsel om et pågående rakettangrep.
Referanser
http://www.hackread.com/hackers-interrupt-isr[...]
https://www.digi.no/artikler/eurovision-sendi[...]

Wednesday, 15 May 2019

2019.05.15 - Nyhetsbrev

Nye svakheter funnet i Intel-CPUer. Microsoft patchetirsdag: ormbar-svakhet og 0-day under utnyttelse. Adobe slipper 87 patcher. VMware slipper oppdateringer. Apple patcher 173 svakheter i diverse produkter.

Microsoft patchetirsdag: ormbar-svakhet og 0-day under utnyttelse

Microsoft har sluppet deres månedlige sikkerhetsoppdateringer. Oppdateringene omfatter mange av deres produkter. 22 av svakhetene er rangert som kritiske.

Én av svakhetene i Windows sitt feilrapporteringssystem blir allerede utnyttet i aktive angrep til å oppnå utvidede rettigheter på kompromittere systemer.

Microsoft har også gitt ut en sikkerhetsoppdatering til flere av deres operativsystemer som i utgangspunktet ikke lenger mottar brukerstøtte. Svakheten er funnet i "Remote Desktop Services"-komponenten som brukes i blant annet Windows 7, XP, og Windows 2003. I likhet med WannaCry gjør svakheten det mulig for infiserte enheter å spre skadevaren videre automatisk, altså å utvikle en dataorm. Microsoft har ikke sett tegn til utnyttelse av svakheten, men anbefaler å oppdatere berørte enheter.
Anbefaling
Installer patcher.
Referanser
https://portal.msrc.microsoft.com/en-us/secur[...]
https://krebsonsecurity.com/2019/05/microsoft[...]
https://threatpost.com/microsoft-patches-zero[...]

Adobe slipper 87 patcher

Adobe har sluppet 87 patcher for Acrobat/Reader, Flash Player og Adobe Media Encoder for Windows og Mac OS. Flere av svakhetene har blitt rangert som kritiske, men Apple har ikke sett tegn på aktiv utnyttelse enda.
Anbefaling
Installer patcher.
Referanser
https://blogs.adobe.com/psirt/?p=1746
https://threatpost.com/adobe-flash-acrobat-re[...]

VMware slipper oppdateringer

VMware har sluppet oppdateringer for vCenter Server, ESXi, Workstation og Fusion. Noen av patchene er for å motvirke de nye svakhetene i Intel-CPUer.
Anbefaling
Installer patcher
Referanser
https://www.vmware.com/security/advisories/VM[...]

Apple patcher 173 svakheter i diverse produkter

Apple har gitt ut 173 patcher for diverse hardware, macOS, iPhone, Apple TV og Apple Watch. Flere av patchene er for å utbedre de nye Intel-svakhtene som ble offentliggjort i dag. 42 av fiksene er i iOS versjon 12.3, som også inneholder mye ny funksjonalitet.
Anbefaling
Installer patcher
Referanser
https://support.apple.com/en-us/HT201222
https://threatpost.com/apple-patches-intel-si[...]

Nye svakheter funnet i Intel-CPUer

I kjølevannet av Meltdown og Spectre-svakhetene, har det nå blitt offentliggjort flere nye svakheter i Intel-CPUer. Svakhetene er oppdaget av Intel selv, sikkerhetsfirmaer og forskere ved flere universiteter. De nye svakhetene har fått navnene ZombieLoad, Fallout og RIDL (Rogue In-Flight Data Load). Svakhetene har blitt oppdaget for opptil et år siden, men har blitt holdt hemmelig.

De nye svakhetene henter ut informasjon fra CPUen mens informasjonen beveger seg mellom forskjellige deler av den. Dette gjør at en prosess kan hente informasjon fra en annen prosess. Virtuelle miljøer er spesielt utsatt.

Det kreves patching av både hardware og software for motvirke svakhetene. Å slå av hyperthreading kan hjelpe. Google har f.eks. slått av HyperThreading i siste versjon av ChromeOS av sikkerhetsmessige grunner. Forskerne mener at de fortatt vil finne lignende svakheter framover.
Anbefaling
Installer patcher og slå eventuelt av hyperthreading
Referanser
https://www.wired.com/story/intel-mds-attack-[...]
https://www.theregister.co.uk/2019/05/14/inte[...]
https://www.intel.com/content/www/us/en/secur[...]

Tuesday, 14 May 2019

2019.05.14 - Nyhetsbrev

Twitter delte lokasjonsdata av iOS-brukere til reklame-partner med uhell. Kjøring av kode via nettverket i Linux-kjernen. Alvorlig svakhet i WhatsApp for iOS/Android. To alvorlige svakheter i Cisco-routere.

Twitter delte lokasjonsdata av iOS-brukere til reklame-partner med uhell

En bug i iOS-appen til Twitter gjorde at lokasjonsdata med en nøyaktighet på inntil 5 kilometer ble sendt til en reklame-partner. Hvis man hadde aktivert "precise location" funksjonen med en bruker, for så å logge inn med en annen bruker, kunne lokasjonsdataen for også denne brukeren bli sendt videre uten at man hadde godkjent det på noen måte.
Referanser
https://help.twitter.com/en/location-data-col[...]

Kjøring av kode via nettverket i Linux-kjernen

Det er en sårbarhet i Linux-kjerner eldre enn versjon 5.0.8 som gjør det mulig å kjøre vilkårlig kode via nettverket eller utføre tjenestenektangrep. Dette er en race-condition i kjernen. Svakheten skal heldigvis være vanskelig å utnytte i praksis, men patching anbefales!
Anbefaling
Oppgrader til siste versjon av kjernen.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Alvorlig svakhet i WhatsApp for iOS/Android

Det er meldt om en alvorlig svakhet i WhatsApp for iOS/Android. Noen kan ta kontroll over telefonen din, kun ved å ringe den via WhatsApp. Du trenger ikke en gang å svare på anropet for at dette skal skje. Vi anbefaler å oppgradere til siste versjon fra App Store/Google Play ASAP.
Anbefaling
Installer siste versjon fra App Store/Google Play
Referanser
https://arstechnica.com/information-technolog[...]
https://journalisten.no/facebook-hacking-sosi[...]
https://www.nytimes.com/2019/05/13/technology[...]

To alvorlige svakheter i Cisco-routere

Selskapet Red Balloon Security har oppdaget to alvorlige svakheter i Cisco-produkter. Den ene svakheten lar en angriper omgå secure-boot mekanismen (Trust Anchor) og installere egen programvare på routeren. Den andre svakheten gir muligheten for å kjøre tilfeldige kommandoer på en router via nettverket. Til sammen gjør svakhetene det mulig å ta kontroll over en router via nettet og installere et spesialtilpasset OS på den.

Cisco har publisert patcher for svakheten som gjør det mulig å kjøre kommandoer via nettverket. Svakheten i Trust Anchor er ikke fikset enda og vil antaglig kreve fysisk nærhet til hardware når den skal patches.
Anbefaling
Install patch ASAP
Referanser
https://www.wired.com/story/cisco-router-bug-[...]
https://www.theregister.co.uk/2019/05/13/cisc[...]
https://thrangrycat.com/
https://tools.cisco.com/security/center/conte[...]

Monday, 13 May 2019

2019.05.13 - Nyhetsbrev

Windows 10 har fått FIDO2-sertifisering for passordfri innlogging. Telenor har presentert tips om hvordan en skal sikre IoT. Svakhet i Microsoft SharePoint blir nå utnyttet aktivt. Tre svakheter i Nvidia GPU-drivere.

Windows 10 har fått FIDO2-sertifisering for passordfri innlogging

Windows 10 har nå blitt offisielt FIDO2-serifisert av FIDO-alliansen. FIDO2 er et sett av standarder som muliggjør enkle og sikker pålogging på nettsider og applikasjoner via biometriske løsninger, mobile enheter eller fysiske sikkerhetsnøkler, og baserer seg på solid kryptografisk sikkerhet. Støtten kommer i neste oppdatering av Windows, som er ventet i slutten av mai.
Referanser
https://www.digi.no/artikler/na-tar-windows-1[...]

Telenor har presentert tips om hvordan en skal sikre IoT

Sikkerhetsdirektør Hanne Tangen Nilsen har gitt råd og tips om hvordan næringslivet skal forholde seg til IoT-sikkerhet. Dette ble gjort under Telenors eget arrangement for tingenes internett, IoT Gathering.
Referanser
https://www.digi.no/artikler/bruk-penger-pa-s[...]

Svakhet i Microsoft SharePoint blir nå utnyttet aktivt

Svakheten krever at angriper laster opp en pakke designet for å utnytte de kompromitterte versjonene av SharePoint. Angriperne laster typisk opp en bakdør, gjerne av typen ChinaChopper. Svakheten ble patchet av Microsoft i februar.
Referanser
https://portal.msrc.microsoft.com/en-US/secur[...]
https://www.cert.govt.nz/it-specialists/advis[...]

Tre svakheter i Nvidia GPU-drivere

Nvidia har patchet tre svakheter i sine GPU-drivere. Disse kan utnyttes til å oppnå utvidere rettigheter, utføre DoS-angrep og å hente ut informasjon fra et sårbart system. Maskinvareleverandørene jobber med å distribuere patcher.
Anbefaling
Installer patch fra leverandør
Referanser
https://threatpost.com/nvidia-windows-gamers-[...]

Friday, 10 May 2019

2019.05.10 - Nyhetsbrev

Ny variant av nordkoreansk malware. Gruppering skal ha brutt seg inn hos amerikanske antivirus-leverandører. Svakhet i PharStreamWrapper truer CMSer.

Ny variant av nordkoreansk malware

The Department of Homeland Security og Federal Bureau of Investigaion har identifisert en ny malware-variant som de kaller ELECTRICFISH som blir brukt av den nordkoreansk stat.

Linken under inkluderer analyse av malwaren, IoCer samt mer informason om ondsinnet cyber aktivitet fra Nord-Korea
Referanser
https://www.us-cert.gov/ncas/current-activity[...]

Gruppering skal ha brutt seg inn hos AV-leverandører

En hackergruppe som kaller seg for "Fxmsp" påstår å ha brutt seg inn hos tre amerikanske antivirusprogramleverandører, og driver nå ned aktiv markedsføring av kildekode og nettverkstilgang til selskapene. De forlanger 300.000 dollar, eller i underkant av 3 millioner kroner for dette, og har sterke beviser på gyldigheten av sine påstander. Gruppen hevder å ha utviklet en legitimasjonsstjelende botnet-malware som samler brukernavn og passord - for å angripe godt sikrede nettverk.
Referanser
https://arstechnica.com/information-technolog[...]

Svakhet i PharStreamWrapper truer CMSer

En svakhet i PharStreamWrapper, en PHP-kompontent utviklet av Typo3, kan gjøre flere forskjellige CMS-løsninger sårbare. Websider som kjører Drupal, Joomla eller Typo3 kan ha en svakhet som gjøre det mulig for angripere å eksekvere vilkårlig kode. Det anbefales å installere oppdatering fra respektive leverandør.
Anbefaling
Installer oppdatering fra respektive leverandør.
Referanser
https://arstechnica.com/information-technolog[...]

Thursday, 9 May 2019

2019.05.09 - Nyhetsbrev

Verizon har utgitt Data Breach Investigations Report for 2019. Det er oppdaget en alvorlig svakhet i Docker images som er basert på Alpine Linux.

Verizon har utgitt 2019 Data Breach Investigations Report

Data Breach Investigations Report (DBIR) fra Verizon er en rapport som har høy status i sikkerhetsmiljøet, spesielt med tanke på rapportens detaljerte innhold. Verizon har nå utgitt sin DBIR for 2019, hvor de går gjennom sine funn. Kort oppsummert viser statistikken at angrep som er økonomiske motivert øker, og det samme kan sies om angrep mot enkle mål.
Referanser
https://www.securityweek.com/verizon-publishe[...]

Alvorlig svakhet i Docker images som er basert på Alpine Linux

Det er oppdaget en alvorlig svakhet i de populære Docker imagene til Alpine Linux. Svakheten er at root-kontoen er ulåst, slik at en bruker kan logge seg inn som administrator uten noen form for autentisering.
Anbefaling
Oppgrader
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Wednesday, 8 May 2019

2019.05.08 - Nyhetsbrev

Cisco fikser alvorlig svakhet i Elastic Services Controller. Kryptobørsen Binance utsatt for sikkerhetsbrudd. Google gir ut månedlig sikkerhetsoppdatering for Android. APT-aktøren Turla har utviklet svært avansert Exchange-bakdør.

Sikkerhetsoppdatering til Cisco Elastic Services Controller

Cisco utgir sikkerhetsoppdatering til deres Elastic Services Controller (ESC) som fikser en svakhet som kan forbigå autentisering i deres REST API.
Referanser
https://www.us-cert.gov/ncas/current-activity[...]
https://tools.cisco.com/security/center/conte[...]
https://threatpost.com/critical-flaw-in-cisco[...]

Kryptovalutabørsen Binance utsatt for sikkerhetsbrudd

Binance oppdaget et stort sikkerhetsbrudd tirsdag 7. mai der hackere kom seg unna med 7000 Bitcoins, over 40 millioner USD. Hackere klarte å samle inn et stort antall API-nøkler tilhørende brukere, 2FA-koder, og potensielt annen info. Hackerne brukte en rekke teknikker, inkludert phishing, malware og andre angrep. Binance dekker tapet for kundene i forbindelse med hendelsen, så ingen brukeres midler vil bli påvirket. Innskudd og uttak vil forbli suspendert i ca 1 uke.
Referanser
https://www.binance.com/en/support/articles/3[...]
https://www.cnbc.com/2019/05/08/binance-bitco[...]

APT-aktøren Turla har utviklet svært avansert Exchange-bakdør

Den antatt russiske APT-aktøren Turla har utviklet en Exchange-bakdør kalt LightNeuron. Bakødren kan hente inn og endre info i alle eposter som går gjennom serveren. Den mottaer nye kommandoer via eposter. Disse epostene inneholder bildevedlegg der kommandoene er gjemt ved hjelp av steganografi. Bakdøren er brukt i nylige angrep mot mål i Midtøsten og Østeuropa.
Referanser
https://www.zdnet.com/article/russian-cybersp[...]
https://www.welivesecurity.com/wp-content/upl[...]

Google gir ut månedlig sikkerhetsoppdatering for Android

Google er ute med sin månedlig sikkerhetsoppdatering til Android. Som vanlig er det en lang rekke sårbarheter som fikses. Se referanse for mer informasjon.
Referanser
https://source.android.com/security/bulletin/[...]