2019.04.29 - Nyhetsbrev

Docker Hub har vært utsatt for datainnbrudd. Peer-to-Peer svakhet muliggjør utnyttelse av millioner av IoT-enheter. Hvem eier egentlig Huawei? Google fjerner DO Global som utvikler fra Play Store.

Docker Hub har vært utsatt for datainnbrudd

Docker Hub har vært utsatt for et datainnbrudd der innloggingsdetaljer/nøkler til rundt 190.000 kontoer er på avveie. Mange store firmaer er brukere av denne tjenesten. Docker gir nå beskjed til rammede brukere om å velge nye passord.
Referanser
https://motherboard.vice.com/en_us/article/7x[...]

Peer-to-Peer svakhet muliggjør utnyttelse av millioner av IoT-enheter

Det er funnet svakheter i ILnkP2p-enheter som gjør det enkelt å koble seg direkte til enheten uten bli utsatt for brannmurrestriksjoner. Sårbare enheter omfatter overvåkingskameraer, babymonitorer og dørklokker. Hverken China CERT eller noen av leverandørene har svart på henvendelser rundt svakhetene.
Referanser
https://krebsonsecurity.com/2019/04/p2p-weakn[...]

Hvem eier egentlig Huawei?

The New York Times har en artikkel der de prøver å komme til bunns i hvem som egentlig eier firmaet Huawei. Det viser seg å ikke være så enkelt å finne ut av.
Referanser
https://www.nytimes.com/2019/04/25/technology[...]

Google fjerner DO Global som utvikler fra Play Store

Google fjerner DO Global etter at de fant ut at utvikleren bedriver annonsesvindel ved at applikasjonen automatisk trykker på annonser. DO Global hadde i overkant av 100 applikasjoner i Play Store, hvor mer enn halvparten er allerede fjernet. Totalt var applikasjonene lastet ned over 50 millioner ganger.
Referanser
https://www.engadget.com/2019/04/26/google-ba[...]

2019.04.26 - Nyhetsbrev

Banktrojaneren Emotet øker kompleksitet for å unngå oppdagelse og Asus er ikke alene om ha å spredd skadevare gjennom legitime programvare.

Banktrojaneren Emotet øker kompleksitet for å unngå oppdagelse

TrendMicro skriver om en ny versjon av banktrojaneren Emotet. I denne ny versjonen er det gjort mange endringer på hvordan trojaneren kontakter sine kommando og kontroll-servere. Blant annet har den gjort endringer på hvordan forespørselene ser ut, slik at de ligner mer legitime trafikk, slik som å bruke tilfeldige ord i URLen. Den andre store endringen er at kompromitterte enheter ikke lengre kontakter kontroll-serverne direkte, men går gjennom andre kompromitterte enheter, slik som rutere eller printere. Alt blir gjort for å minske sjansen for oppdagelse.
Referanser
https://blog.trendmicro.com/trendlabs-securit[...]

Asus ikke alene om å ha spredd skadevare

Sikkerhetsforskere hos Kaspersky Lab, som oppdaget en ny angrepskampanje der angripere spredde skadevare gjennom offisielle programvareoppdateringer, melder nå at Asus ikke var alene i gjøre dette. Minst seks andre selskaper skal ha blitt misbrukt til å spre skadevare gjennom legitime programvare. Tre av selskapene skal være spillutviklere som infiserte maskiner som installerte spillene deres. Navnene på spillene er Survivor Stories, Infestation og PointBlank.
Referanser
https://www.digi.no/artikler/asus-var-ikke-al[...] https://securelist.com/operation-shadowhammer[...]

2019.04.25 - Nyhetsbrev

Nye sikkerhetsråd ved utenlandsreiser. Zero-day svakhet i Oracle WebLogic.

Nye sikkerhetsråd ved utenlandsreiser

Nasjonal Sikkerhetsmyndighet har utarbeidet reisevettsråd for offentlige virksomheter som skal utenlands. De er vel verdt å få med seg for private også.
Referanser
http://www.cw.no/artikkel/ut-pa-tur-med-nsm

Zero-day svakhet i Oracle WebLogic

Sikkerhetseksperter advarer om en alvorlig svakhet i Oracle WebLogic. Alle versjoner, også den siste, er sårbare. Svakheten kan utnyttes ved å sende spesielt utformede forespørsler til serveren. De sårbare modulene kan slås av for å forhindre utnyttelse.
Anbefaling
Vent på oppdatering
Referanser
http://securityaffairs.co/wordpress/84450/bre[...]

2019.04.24 - Nyhetsbrev

Svakhet i Confluence utnyttes aktivt. Google har oppdatert Chrome.

Svakhet i Confluence utnyttes aktivt

En svakhet i det populære samhandlingsverktøyet Confluence brukes aktivt til å ta kontroll over sårbare servere. Angriperne installerer typisk programvare for å utvinne kryptovaluta eller krypterer systemet og krever løsepenger. Svakheten ble patchet 20. mars og oppdatering og eventuell sjekk av ikke-oppdaterte servere anbefales!
Referanser
https://blog.alertlogic.com/active-exploitati[...] https://confluence.atlassian.com/doc/confluen[...]

Google har oppdatert Chrome

Google har sluppet versjon 74 av Chrome til Windows, Mac og Linux. Oppdateringen inkluderer 39 sikkerhetsfikser.
Anbefaling
Installer siste versjon
Referanser
https://chromereleases.googleblog.com/2019/04[...]

2019.04.23 - Nyhetsbrev

Broadcom open-source driver svakheter. Cisco retter kritisk feil i ASR 9000 serie rutere. FireEye gir ut analyse av bakdøren Carbanak. Hackere lekker detaljer fra iransk APT-gruppe.

Hackere lekker detaljer fra iransk APT-gruppe

Siden 25. mars har ukjente personer lekket detaljer rundt operasjonene til den iranske APT-grupperingen APT34/OilRig. Informasjonen omhandler verktøy, ofre og identiteten til flere av medlemmene og blir lekket via tjenesten Telegram.
Referanser
https://www.wired.com/story/iran-hackers-oilr[...]

Svakheter i Broadcom WiFi open-source driver

Broadcom informerer om svakheter i open source driveren til sitt WiFi-chipset. Svakheten kan utnyttes til DoS angrep forårsaket av heap overflow. Driveren har blitt patchet.
Referanser
https://www.kb.cert.org/vuls/id/166939/

Cisco retter kritisk feil i ASR 9000 serie rutere

Svakheten kan utnyttes til å utøve DoS angrep og ikke-autorisert tilgang til enheten. Cisco IOS XR 64-bit Software Release 6.5.3 og 7.0.1-oppdateringene fikser disse svakhetene. Cisco har også sluppet oppdateringer for diverse andre svakheter.
Referanser
http://securityaffairs.co/wordpress/84059/sec[...]

FireEye gir ut analyse av bakdøren Carbanak

FireEye har publisert første del av en svært detaljert analyse av den kjente bakdøren Carbanak. Analysen vil bestå av 4 deler som vil bli publisert i løpet av uken. Forskere fra FireEye fant kildekoden til bakdøren i to RAR-arkiver som var blitt lastet opp til VirusTotal.
Referanser
https://www.fireeye.com/blog/threat-research/[...]

2019.04.17 - Nyhetsbrev

Oracle har sluppet sikkerhetspatch, som fikser 297 feil.

Zero day svakhet i Windows 10, patch er tilgjenglig.

Ny patch til Oracle produkter

Ny kritisk sikkerhetspatch til Oracle systemer er sluppet. Patchen inneholder løsning for 297 svakheter, fordelt over ulike Oracle løsninger.
Referanser
https://www.oracle.com/technetwork/security-a[...]

Windows Zero-Day svakhet

En nylig patchet Zero day svakhet er oppdaget i Windows 10. Svakheten gjør det mulig for eventuell angriper å ta full kontroll over datamaskinen. Denne svakheten har blitt benyttet til skaffe permanent tilgang til angrepne maskiner. En angriper kan installere programmer, se, endre og og slette data eller opprette brukere med alle rettigheter.
Anbefaling
Oppdater til nyeste utgave av Windows 10
Referanser
https://threatpost.com/windows-zero-day-activ[...]

2019.04.16 - Nyhetsbrev

Wipro hacket, interne systemer benyttet til å angripe deres kunder. Minst elleve kunder er berørt. Wipro informer om at de gjør nødvendige tiltak for å forhindre videre utnyttelse.

Hackere fikk tilgang til Microsoft kundestøtte-konto, dette medførte at de har hatt tilgang til private Outlook.com kontoer.

Datainnbrudd hos IT-giganten Wipro

Den Inidiske IT-gianten, Wipro undersøker det som virker å være et alvorlig innbrudd i deres IT-systemer. De kompromitterte systemene blir angivelig benyttet til å angripe deres kunder. Det er bekreftet at minst 11 kunder er påvirket av dette. Wipro bekrefter at det er oppdaget unormal oppførsel av noen brukere i deres netverk som en følge av en avansert phishing-kampanje. De opplyser videre at de har satt i verk nødvendige tiltak for å forhindre videre utnyttelse, mens de forsetter å undersøke.
Referanser
https://krebsonsecurity.com/2019/04/experts-b[...] https://www.itnews.com.au/news/wipro-hacked-i[...]

Hackere har hatt tilgang til private Outlook.com-kontoer

Hackerene fikk tilgang til en Microsoft kundestøtte-konto hvor de fikk tak i korrespondentens epost-addresser samt subjektet i mailene til privat personer. For en mindre andel av kundene har også innholdet i epostene blitt lest. Betalte Outlook-kontoer er ikke berørt.
Referanser
https://motherboard.vice.com/en_us/article/yw[...]

2019.04.15 - Nyhetsbrev

Hydro etter dataangrepet. Nord Korea med ny skadevare.

Hydro etter dataangrepet: - Man tror krisen blir stor, så blir den enda verre.

Da dataangrepet ble oppdaget dro Hydro ut ledninger på 22.000 datamaskiner i fem verdensdeler. Hydros IT-sjef Jo De Vliegher antar at angriperne har vært i systemet 2-3 uker før de ble oppdaget. Kort tid etter at angrepet ble oppdaget ble det hentet inn sikkerhetseksperter fra hele verden som startet arbeidet med å kartlegge hva som hadde skjedd, i tillegg til å begynne på gjenoppbyggningen av systemet. Vliegher sier at det kommer til å ta måneder før alt er som normalt igjen.
Referanser
https://www.nrk.no/norge/it-sjefen-i-hydro-om[...]

Nord Korea angriper flere Amerikanske mål med ny skadevare: Hoplight

Ny skadevare fra Nord Korea ved navn Hoplight blir brukt mot selskaper i USA, samt offentlige etater. US-CERT forteller at ni forskjellige eksekverbare filer blir brukt til å spre skadevaren. Hoplight er et komplett spionverktøy som er i stand til å samle systeminformasjon, samt hente ut filer og data. Den kan også injisere kode i diverse prosesser og laste ned ytterligere skadevare. US-CERT sier at det er Nord Koreas Hidden Cobra API (Lazarus Group) som står bak skadevaren.
Referanser
https://threatpost.com/north-koreas-hidden-co[...]

2019.04.12 - Nyhetsbrev

Svakheter oppdaget i den nye WiFi sikkerhetsprotokollen WPA3.

Svakheter oppdaget i den nye WiFi sikkerhetsprotokollen WPA3

To sikkerhetsforskere har oppdaget at den nye sikkerhetsprotokollen, WPA3, for Wi-Fi inneholder sårbarheter. Disse sårbarhetene gjør det mulig for angripere å hente ut en hash av passordet til nettverket så lenge de er innenfor tilkoblingsradiusen. Måten angrepet utføres på er ved å lure nettverksutstyret til å bruke en tidligere og mer upålitelig form for passord-utveksling. Det er også en DoS-svakhet og 2 side-channel angrep.
Anbefaling
Installer den nyeste oppdateringen for nettverksutstyret.
Referanser
https://www.zdnet.com/article/dragonblood-vul[...]

2019.04.11 - Nyhetsbrev

Juniper har oppdatert flere av sine produkter. Google benytter Android-telefon som fysisk sikkerhetsnøkkel. Detaljer rundt ekstern kodeeksekvering i Adobe Acrobat Reader meldt som ble fikset på tirsdag.

Juniperhar oppdatert flere av sine produkter

Juniper har sluppet sikkerhetsoppdateringer for en rekke av deres produkter. Mange av feilene ligger i Junos og gjelder flere produkter. Følg linken for detaljer.
Referanser
https://kb.juniper.net/InfoCenter/index?page=[...]

Google benytter Androidtelefon som fysisk sikkerhetsnøkkel

Google lanserte i går en løsning hvor man benytter en Android telefon som fysisk sikkerhetsnøkkel. Dette gjelder Android versjon 7 eller nyere. Ved hjelp av Chrome nettleser, Bluetooth og en Android telefon har man nå en fysisk enhet som kan benyttes isteden for egen fysisk nøkkelenhet. Denne løsningen er sikrere enn å skrive inn en engangskode via en SMS eller app, siden enheten som blir logget inn på må kommunisere med telefonen via Bluetooth og dermed sikre at telefonen er i nærheten.
Referanser
https://www.theverge.com/2019/4/10/18295348/g[...] https://www.blog.google/technology/safety-sec[...]

Ekstern kodeeksekvering i Adobe Acrobat Reader

I forbindelse med tirsdagens patchetirsdag går Talos gjennom én av svakhetene som ble patchet i Adobe Acrobat Reader. Det er et sikkerhetsproblem i Acrobat Reader som kan oppstå hvis en bruker skulle åpne en skadelig PDF på maskinen ved hjelp av programmet. Acrobat er den mest brukte PDF-leseren på markedet, noe som gjør den potensielle målgruppen for disse feilene ganske stor. Programmet støtter innebygd JavaScript-kode i PDF-filen for å tillate interaktive PDF-skjemaer, noe som gir den potensielle angriperen muligheten til å kontrollere minneoppsettet og skape en ekstra angrepsoverflate. Feilen ble patchet på tirsdag.
Anbefaling
Oppdater til versjon 2019.010.20099
Referanser
https://blog.talosintelligence.com/2019/04/vu[...]

2019.04.10 - Nyhetsbrev

Adobe, Microsoft, Intel og SAP fikser en mengde svakheter i diverse produkter. Kaspersky har oppdaget ny statsstøttet gruppe som bruker et avansert verktøy de har kalt TajMahal. Intel publiserer sikkerhetsoppdateringer.

Adobe fikser 43 svakheter i diverse produkter

Adobe fikser 43 svakheter, der 24 regnes som kritiske. Følgende produkter er berørt: Adobe Acrobat and Reader, Adobe Flash Player, Adobe Shockwave player, Adobe Dreamweaver, Adobe XD, Adobe InDesign,Adobe Experience Manager Forms og Adobe Bridge CC.
Referanser
https://threatpost.com/adobe-fixes-24-critica[...] https://blogs.adobe.com/psirt/?p=1735

Microsoft patchetirsdag april 2019

Microsoft har gitt ut sikkerhetsoppdateringer til flere av sine produkter i den månedlige patchetirsdagen. Det opplyses totalt om 76 svakheter, hvorav 17 anses som kritiske. Blant produktene som har fått oppdateringer er Internet Explorer, Adobe Flash, Microsoft Edge, Microsoft SMB Server med flere. To av svakhetene utnyttes allerede aktivt i angrep av avanserte aktører. Dette dreier seg om CVE-2019-0803 og CVE-2019-0859 som brukes for å oppnå utvidet tilgang til systemet. Vi anbefaler å patche ASAP!
Referanser
https://portal.msrc.microsoft.com/en-us/secur[...] https://www.zdnet.com/article/microsofts-apri[...]

SAP slipper oppdateringer for flere produkter

SAP har sluppet seks sikkerhetsoppdateringer, samt tre oppdateringer av eldre sikkerhetsoppdateringer for flere av sine produkter.
Referanser
https://wiki.scn.sap.com/wiki/pages/viewpage.[...]

Kaserpsky har oppdaget ny statsstøttet gruppe med avansert verktøy

Kaspersky Labs har oppdaget en programvarepakke brukt for spionasje de kaller TajMahal. Verktøyet er modulært med mange funksjoner og brukes mest sannsynlig av en statstøttet aktør. Det er ingen likheter med andre kjente lignende verktøy og det ble funnet første gang i nettverket til en ambassade tilhørende et land fra sentral-Asia. TajMahal hadde vært aktiv i nettverket siden 2014.
Referanser
https://www.wired.com/story/tajmahal-swiss-ar[...]

Intel publiserer sikkerhetsoppdateringer

Intel har gitt ut viktige sikkerhetsoppdateringer til en rekke av sine produkter. Disse svakhetene kan utnyttes til å ta kontroll over systemet.
Anbefaling
Oppdater til nyeste versjon
Referanser
https://www.us-cert.gov/ncas/current-activity[...]

2019.04.09 - Nyhetsbrev

Passord-spraying-angrep øker i omfang. Exodus spyware finnes nå for iOS.

Passord-spraying-angrep øker i omfang

Passord-spraying, eller credential stuffing, er en angrepsform som har økt i omfang i 2018. Angriperne får tak i lekkede brukernavn og passord fra datainnbrudd og bruker samme brukernavn og passord mot andre tjenester. Veldig mange brukere benytter det samme passordet på flere tjenester, og kontoen kan dermed tas over. En del tjenestetilbydere sjekker brukernes passord opp mot lekkede passord og tvinger i så fall passordbytte. Å tvinge bruk av to-faktor autentisering kan også motvirke denne typen angrep.
Referanser
https://www.darkreading.com/threat-intelligen[...]

Exodus spyware finnes nå for iOS

Exodus spyware har tidligere blitt funnet av firmaet Lookout på Google Play Store. Dette er en kommersiell spyware som gjerne brukes av statlige aktører. Denne typen spyware er nå også oppdaget på iOS-telefoner. På iOS gjøres installasjonen ved hjelp av enterprise-sertifikater via en spesielt utformet nettside, sendt via epost.
Referanser
https://www.wired.com/story/exodus-spyware-ios/

2019.04.08 - Nyhetsbrev

Hackere bruker Google Cloud Platform til å angripe sårbare D-Link rutere.

Hackere bruker Google Cloud Platform til å angripe sårbare D-Link rutere

Hackere benytter Google Cloud Platform til å angripe sårbare D-Link rutere. Vellykede angrep gjorde at hackerne kunne overstyre DNS forespørsler og dermed videresende klientene til potensiellt farlige sider eller annonser. Kontoene som opprettes i Googles skytjeneste er falske. D-Link rutere bør patches til siste versjon.
Anbefaling
Patch D-Link rutere til siste versjon.
Referanser
https://threatpost.com/hackers-abuse-google-c[...]

2019.04.05 - Nyhetsbrev

Bayer sier de har blitt utsatt for datainnbrudd fra Kina. Amerikanske myndigheter har overvåket Huawei.

Bayer sier de har blitt utsatt for datainnbrudd fra Kina

Legemiddelfirmaet Bayer sier at de har vært utsatt for et dataangrep utført fra Kina. Firmaet malware i nettverket sitt tidlig i 2018. De overvåket angrepet fram til forrige måned og har nå fjernet all malware fra nettverket. Firmaet opplyser at ingen data ble stjålet. Sikkerhetseksperter mener angrepet har vært utført av APT-grupperingen Wicked Panda ved hjelp av programvaren WINNTI.
Referanser
https://in.reuters.com/article/bayer-cyber/ba[...]

Amerikanske myndigheter har overvåket Huawei

Amerikanske myndigheter har brukt skjult overvåking for å skaffe bevis mot Huawei i forbindelse med en retssak mot firmaet. Saken gjelder brudd av sanksjoner og banksvindel. Bevisene er graderte og er skaffet til veie gjennom elektronisk overvåking og fysisk ransakning.
Referanser
https://ca.reuters.com/article/idCAKCN1RG29T-OCATC

2019.04.03 - Nyhetsbrev

Apache fikset svakhet som lot vanlige brukere oppnå root tilgang. Nord-Korea finansierer atomvåpen med kryptovalutatyveri.

Apache fikset svakhet som lot vanlige brukere oppnå root tilgang

Apache fikser en alvorlig svakhet i httpd som gav brukere med skriverettigheter for scripts muligheten til å oppnå root tilgang. Programvaren gjør det mulig for child-prosesser å eksekvere kode med tilgangene tilhørende sin parent-prosess. Feilen er ekstra alvorlig i miljøer med shared hosting.
Referanser
https://www.bleepingcomputer.com/news/securit[...] https://httpd.apache.org/security/vulnerabili[...]

Nord-Korea finansierer atomvåpen med kryptovalutatyveri

Wired har skrevet en artikkel om hvordan den Nord-Koreanske hackegruppen APT-38 aktivt blir brukt til å stjele kryptovaluta for å finansiere nasjonens atomvåpen. I perioden januar 2017 til september 2018 skal gruppen ha stjålet 571 millioner dollar fra fem ulike kryptovaluta-børser i Asia.
Referanser
https://www.wired.co.uk/article/north-korea-h[...]

2019.04.02 - Nyhetsbrev

Google fikser to kritiske svakheter i Android. Antallet skadelige apper installert fra Google Play økte i fjor. Zero-day svakheter i Microsoft Edge og Internet Explorer.

Google fikser to kritiske svakheter i Android

Android fikser to kritiske svakheter som kan brukes til å ta kontroll over en telefon via nettet i denne månedens oppdatering. Ni svakheter som kan brukes til lokal rettighetseskalering fikses også. Ingen av svakhetene utnyttes så langt i angrep.
Referanser
https://www.bleepingcomputer.com/news/securit[...] https://source.android.com/security/bulletin/[...]

Antallet skadelige apper installert fra Google Play økte i fjor

Google har gitt ut sin årlige sikkerhetsrapport for Android og Google Play. Antallet potensielt skadelige apper installert fra Google Play doblet seg i fjor, men dette skyldes hovedsaklig at apper som driver med click fraud i bakgrunnen nå har blitt definert som skadelige. Google advarer også mot at en del leverandører inkluderer skadelige apper på håndsettene sine. Telefoner fra leverandøren BLU var utsatt for dette i fjor.
Referanser
https://www.zdnet.com/article/google-malware-[...] https://threatpost.com/google-warns-of-growin[...] https://source.android.com/security/reports/G[...]

Zero-day svakheter i Microsoft Edge og Internet Explorer

En sikkerhetsforsker har offentliggjort svakheter i Edge og Internet Explorer etter at Microsoft har unnlatt å patche dem. Svakhetene gjør det mulig å omgå same-origin policy. Svakhetene gjør det altså mulig for en nettside å aksessere data fra en annen nettside, noe som normalt ikke skal være mulig.
Referanser
https://thehackernews.com/2019/03/microsoft-e[...]

2019.04.01 - Nyhetsbrev

Direktørsvindel med en vri. Interessant artikkel om cyberkrigen mellom Russland og Ukraina. Kritiske svakheter i VMWare VMware vCloud Director for Service Providers, ESXi, Workstation og Fusion.

Direktørsvindel med en vri

SMS-forfalskning har blitt en ny trend innen svindel. Svindlere sender nå falske SMS-er til ansatte i et firma med beskjed om å overføre en kontantsum. Tilsynelatende kommer SMSen fra direktørens nummer og følges gjerne opp med en bekreftende epost.
Referanser
https://www.csis.dk/newsroom-blog-overview/ce[...]

Interessant artikkel om cyberkrigen mellom Russland og Ukraina

Det er mye som skjer på den digitale fronten mellom Ukraina og Russland. Vice gir en oppsummering av hvordan cyberkrigen utarter seg i forbindelse med det pågående valget.
Referanser
https://news.vice.com/en_us/article/bjqe8m/in[...]

Kritiske svakheter i VMWare VMware vCloud Director for Service Providers, ESXi, Workstation og Fusion

VMWare har fikset en kritisk svakhet i vCloud Director for Service Providers som gjør det mulig å ta over aktive sesjoner mot systemet. I VMware ESXi, Workstation og Fusion fikser de også svakheter som gjør det mulig å få tilgang til host-OS fra virtuelle systemer.
Anbefaling
Installer oppdatering.
Referanser
https://www.vmware.com/security/advisories.html https://www.vmware.com/security/advisories/VM[...]