Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday, 31 May 2019

2019.05.31 - Nyhetsbrev

Utnyttelse av SharePoint-svakhet. Svakhet i Docker kan gi full tilgang til host-filsystemet. Apple har sluppet sikkerhetsoppdatering.

Utnyttelse av SharePoint-svakhet

Unit 42, en del av Palo Alto Networks, har observert at en svakhet i SharePoint har blitt utnyttet til å installere webshell på servere til statlige organisasjoner i to land i Midtøsten. Svakheten skal være fikset i en oppdatering som kom 12. Mars.
Referanser
https://unit42.paloaltonetworks.com/emissary-[...]
https://support.microsoft.com/en-us/help/4462[...]

Svakhet i Docker kan gi full tilgang til host-filsystemet

En svakhet i alle docker versjoner kan gjøre det mulig for en angriper å oppnå full lese og skrive tilganger for hele systemet.
Referanser
https://seclists.org/oss-sec/2019/q2/131
https://duo.com/decipher/docker-bug-allows-ro[...]

Apple har sluppet sikkerhetsoppdatering

Apple har sluppet sikkerhetsoppdatering for de trådløseruterene: AirPort Extreme og AirPort Time Capsule
Referanser
https://support.apple.com/en-us/HT210090

Tuesday, 28 May 2019

2019.05.28 - Nyhetsbrev

1 million Windows-maskiner er sårbare for BlueKeep-svakhet. Ny aktivitet fra kinesisk trusselaktør.

1 million Windows-maskiner er sårbare for BlueKeep-svakhet

Etter at svakheten i Microsofts RDP produkt ble kjent har en sikkerhetsforsker forsøkt å finne antall sårbare enheter. Resultatet var omtrent 950,000 maskiner. Artikkelen beskriver prosedyren for skanningen, samt anbefalinger med tiltak man bør gjøre i tillegg til å patche.
Referanser
https://blog.erratasec.com/2019/05/almost-one[...]

Ny aktivitet fra kinesisk trusselaktør

Sikkerhetsforskere fra enSilo oppdaget i April 2019 ny aktivitet som trolig er knyttet til en kinesisk trusselaktør. Bloggposten beskriver aktivitet rettet mot private og statlige organisasjoner i sør-øst Asia, og det antas å være aktøren APT10 som står bak.
Referanser
https://blog.ensilo.com/uncovering-new-activi[...]

Monday, 27 May 2019

2019.05.27 - Nyhetsbrev

Australske Canva har antagelig blitt hacket og tapt brukerdata tilhørende 139 millioner brukere. Svakhet i Jenkins-plugin .

Australske Canva har antagelig blitt hacket og tapt brukerdata tilhørende 139 millioner brukere

En hacker påstår ovenfor ZDNet at han har stjålet brukerdata fra designtjenesten Canva. Brukernavn, navn, epostaddresser og landsinformasjon for 139 millioner brukere kan være på avveie. Påstandene er underbygget ved oversendelse av eksempel-data.
Referanser
https://www.zdnet.com/article/australian-tech[...]

Svakhet i Jenkins-plugin

En svakhet i en plugin til Jenkins med navnet "Jenkins Credentials" gjorde at angripere kunne bekrefte om enkelt-filer eksisterte på serveren. Svakheten førte ikke til at man kunne se innholdet i filene, men å få vite om en fil er til stede eller ikke kan legge til rette for andre typer angrep.
Anbefaling
Oppdater til nyeste versjon.
Referanser
https://wwws.nightwatchcybersecurity.com/2019[...]

Friday, 24 May 2019

2019.05.24 - Nyhetsbrev

Google har delt data om autentisering og phishing.

Google har delt data om autentisering og phishing

Google har delt data om hvor godt forskjellige 2-faktor autentiseringsmetoder stopper phising-angrep. Å måtte skrive inn en kode fra en SMS-melding blokkert for eksempel 100% av automatiserte angrep, 76% av masseutsendte angrep og 76% av målrettede angrep.

Det beste forsvaret var bruk av en fysisk sikkerhetsnøkkel, som stoppet alle angrep.
Referanser
https://thenextweb.com/google/2019/05/23/goog[...]
https://security.googleblog.com/2019/05/new-r[...]

Thursday, 23 May 2019

2019.05.23 - Nyhetsbrev

To nye zero-day svakheter i Windows har blitt offentliggjort. Mai-oppdateringen av Windows er nå tilgjengelig. Jens Stoltenberg varsler cyberløft i Nato. Sikkerhetsoppdaeringer til Mozilla Firefox. Kritisk sårbarhet avdekket i Slack.

Mai-oppdateringen av Windows er nå tilgjengelig

Microsoft sin mai-oppdatering av Windows 10 er nå tilgjengelig for nedlasting. I denne oppdateringen er det mulig å starte virtuelle instanser av Windows i et eget vindu som ikke påvirker hovedinstallasjonen, for eksempel for å teste ut malware. Microsoft har også lagt til bedre historikk når det gjelder sikkerhetshendelser. Det er også lagt inn støtte for pålogging ved hjelp av fysiske sikkerhetsnøkler.
Referanser
https://www.neowin.net/news/the-windows-10-ma[...]

Jens Stoltenberg varsler cyberløft i Nato

NATOs generalsekretær Jens Stoltenberg sier trusler i det digitale rommet vil få høyeste prioritet på alliansens toppmøte i London til høsten. Stoltenberg gjør det også klart at de allierte i NATO står klar til å bruke cybervåpen i kamp – og ikke bare som svar på angrep.
Referanser
https://www.digi.no/artikler/jens-stoltenberg[...]

To nye zero-day svakheter i Windows

I går slapp Twitter-brukeren SandboxEscaper en 0-dags sårbarhet for Windows. I dag har den samme personen sluppet to nye.

Den første sårbarheten gjør det mulig å oppnå utvidede rettigheter i systemet gjennom en svakhet i Windows Error Reporting. Denner er veldig vanskelig å utnytte i praksis.

Den andre svakheten gjør det mulig å komme ut av den innebygde prosess-isoleringen i Internet Explorer 11.
Anbefaling
Vent på oppdatering.
Referanser
https://www.bleepingcomputer.com/news/microso[...]

Sikkerhetsoppdaeringer til Mozilla Firefox

Mozilla har gitt ut kritiske sikkerhetsoppdateringer til nettleseren sin i Firefox versjon 67.
Anbefaling
Oppdater nettleseren til nyeste versjon
Referanser
https://www.mozilla.org/en-US/security/adviso[...]

Kritisk sårbarhet avdekket i Slack

En kritisk sårbarhet i programvaren Slack gir angripere mulighet til å motta alle filer man laster ned i applikasjonen. Angrepet fungerer ved at angriperne sender en spesielt formatert link til en bruker eller kanal i applikasjonen. Dersom en bruker trykker på linken endres de personlige innstillingene for hvor filer blir lagret. Angriperne kan dermed velge at filene skal sendes til sin egen server. Siden filene fremdeles kan åpnes direkte i applikasjonen kan det være vanskelig å oppdage at innstillingene har blitt endret. Svakheten er fikset i siste versjon.
Anbefaling
Ikke trykk på linker man ikke vet hvor kommer fra. Oppdater til nyeste versjon av programvaren.
Referanser
https://threatpost.com/slack-remote-file-hija[...]

Wednesday, 22 May 2019

2019.05.22 - Nyhetsbrev

Google lagret passord i klartekst i 14 år. Sensitiv data av HCL ansatte og kunder lå eksponert for offentligheten. Ny zero-day svakhet i Windows.

Google lagret passord i klartekst i 14 år

Google lagret passord i klartekst til noen "G Suite" kunder i deres interne systemer helt tilbake til 2005. De skal ikke ha funnet bevis på misbruk av disse passordene.
Referanser
https://cloud.google.com/blog/products/g-suit[...]
https://www.cnet.com/news/google-had-some-pas[...]

Sensitiv data av HCL ansatte og kunder lå åpent eksponert

HLC hadde flere subdomener som var tilgjengelig for offentligheten som inneholdt personlig informasjon, klartekst passord av nyansatte, rapporter angående infrastrukturer til kunder, samt web-applikasjoner som håndterte ansatte og kunder.
Referanser
https://threatpost.com/data-leak-hcl-customer[...]
https://www.cso.com.au/article/661831/it-serv[...]

Ny zero-day svakhet i Windows

En sikkerhetsforsker har publisert en demo av en ny svakhet i Windows 10. Svakheten utnytter Task Scheduler til å oppnå admin-rettigheter ved bruk av spesielt utformede .job filer. Sikkerhetsforskeren, som kaller seg SandboxEscaper, hevder å ha informasjon om flere svakheter som hun ønsker å selge.
Referanser
https://www.zdnet.com/article/windows-10-zero[...]
https://securityaffairs.co/wordpress/85952/br[...]

Tuesday, 21 May 2019

2019.05.21 - Nyhetsbrev

Brukerdata til flere millioner instagram-kontoer lå eksponert for offentligheten.

Brukerdata til flere millioner instagram-kontoer lå eksponert for offentligheten

Markedsføringsselskapet Chtrbox lagret offentlig og privat brukerdata av flere millioner instagram-kontoer som tilhørte "influencers" og merkenavn. Databasen med denne informasjonen var usikret og lå eksponert for offentligheten.
Referanser
https://techcrunch.com/2019/05/20/instagram-i[...]

Monday, 20 May 2019

2019.05.20 - Nyhetsbrev

GozNum-nettverket stoppet. Nedgang i angrep av hacktiviser. Økning i cipher stunting. Salesforce slo av 100 skyinstanser grunnet en feil hvor brukere fikk lese og skrive tilgang til alle dataene. Google og flere store selskaper kutter samarbeid med Huawei. Cisco WebEx ekstern kodeeksekvering.

GozNum-nettverket stoppet

Et internasjonalt samarbeid har stoppet personene bak malwaren GozNym. Dette virues ble brukt til å hente ut innloggingsinformasjon til bankkontoer og ble i hovedsak sendt til bedrifters økonomi-avdelinger gjennom phising-mails. Bakmennene er blant annet fra Georgia, Ukraina, Moldova og Russland.
Referanser
https://www.europol.europa.eu/newsroom/news/g[...]

Nedgang i angrep av hacktiviser

ZDNet melder at det har vært en 95 prosent nedgang i antall angrep av såkalt hacktivister siden 2015. Dette kommer frem av tall publisert av IBM X-Force. Årsaken til denne store grunner er antatt å være at hacker-samfunnet Anonymous, som stod for 45 prosent av angrepene i perioden, ikke lenger eksisterer.
Referanser
https://www.zdnet.com/article/hacktivist-atta[...]

Økning i cipher stunting

Ifølge sikkerhetsselskapet Akamai har det vært en kraftig økning i tilfeller der angripere endrer signaturen til kryptert SSL- og TLS-trafikk. Teknikken er kjent som Cipher Stunting og brukes for å få et få antall maskiner til å utgi seg for å være mange hundre tusen eller millioner maskiner.
Referanser
https://www.darkreading.com/threat-intelligen[...]

Salesforce slo av 100 skyinstanser grunnet en feil hvor brukere fikk lese og skrive tilgang til alle dataene

Salesforce slo av 100 skyinstanser, som hostet Pardot brukere, for å sikre data. Trolig kjørte Salesforce et script som ga flere brukere lese og skrive tilgang på all data. Dette påvirker alle brukere som bruker disse systemene, uavhengig om de benytter seg av Pardot.
Referanser
https://www.theregister.co.uk/2019/05/17/sale[...]

Google og flere store selskaper kutter samarbeid med Huawei

Framtidige Android-telefoner fra Huawei kan miste tilgang til Google-apper, Google Play, sikkerhetsoppdateringer osv. Selskapet har blitt svarteliste av den amerikanske administrasjonen. Endringene skal ikke gjelde eksisterende telefoner.
Referanser
https://www.nrk.no/urix/en-rekke-populaere-ap[...]

Cisco WebEx ekstern kodeeksekvering

Cisco WebEx er et utbredt webkonferanse- og samarbeidsprogramvare, og på mandag ble det avslørt en alvorlig feil som kan tillate vilkårlig kodeeksekvering på WebEx for Windows. Problemet består av flere sårbarheter i det web-baserte administrasjonsgrensesnittet til "PI EPN manager", som kan tillate en ekstern angriper å eksekvere vilkårlig kode på det underliggende operativsystemet.
Anbefaling
En patch er nå tilgjengelig, og Cisco anbefaler administratorer å oppdatere så tidlig som mulig.
Referanser
https://threatpost.com/cisco-webex-remote-cod[...]

Thursday, 16 May 2019

2019.05.16 - Nyhetsbrev

Cisco har sluppet sikkerhetsoppdateringer. Falskt angrepsvarsel ble lagt inn i Eurovision-sending.

Cisco har sluppet sikkerhetsoppdateringer

Cisco har sluppet sikkerhetsoppdateringer for en mengde av sine produkter.
Referanser
https://tools.cisco.com/security/center/publi[...]

Falskt angrepsvarsel ble lagt inn i Eurovision-sending

Nettsiden som videreformidlet sendingen fra Eurovision 2019-eventen i Isreal ble hacket på tirsdag. Videosendingen ble også avbrutt av en falsk advarsel om et pågående rakettangrep.
Referanser
http://www.hackread.com/hackers-interrupt-isr[...]
https://www.digi.no/artikler/eurovision-sendi[...]

Wednesday, 15 May 2019

2019.05.15 - Nyhetsbrev

Nye svakheter funnet i Intel-CPUer. Microsoft patchetirsdag: ormbar-svakhet og 0-day under utnyttelse. Adobe slipper 87 patcher. VMware slipper oppdateringer. Apple patcher 173 svakheter i diverse produkter.

Microsoft patchetirsdag: ormbar-svakhet og 0-day under utnyttelse

Microsoft har sluppet deres månedlige sikkerhetsoppdateringer. Oppdateringene omfatter mange av deres produkter. 22 av svakhetene er rangert som kritiske.

Én av svakhetene i Windows sitt feilrapporteringssystem blir allerede utnyttet i aktive angrep til å oppnå utvidede rettigheter på kompromittere systemer.

Microsoft har også gitt ut en sikkerhetsoppdatering til flere av deres operativsystemer som i utgangspunktet ikke lenger mottar brukerstøtte. Svakheten er funnet i "Remote Desktop Services"-komponenten som brukes i blant annet Windows 7, XP, og Windows 2003. I likhet med WannaCry gjør svakheten det mulig for infiserte enheter å spre skadevaren videre automatisk, altså å utvikle en dataorm. Microsoft har ikke sett tegn til utnyttelse av svakheten, men anbefaler å oppdatere berørte enheter.
Anbefaling
Installer patcher.
Referanser
https://portal.msrc.microsoft.com/en-us/secur[...]
https://krebsonsecurity.com/2019/05/microsoft[...]
https://threatpost.com/microsoft-patches-zero[...]

Adobe slipper 87 patcher

Adobe har sluppet 87 patcher for Acrobat/Reader, Flash Player og Adobe Media Encoder for Windows og Mac OS. Flere av svakhetene har blitt rangert som kritiske, men Apple har ikke sett tegn på aktiv utnyttelse enda.
Anbefaling
Installer patcher.
Referanser
https://blogs.adobe.com/psirt/?p=1746
https://threatpost.com/adobe-flash-acrobat-re[...]

VMware slipper oppdateringer

VMware har sluppet oppdateringer for vCenter Server, ESXi, Workstation og Fusion. Noen av patchene er for å motvirke de nye svakhetene i Intel-CPUer.
Anbefaling
Installer patcher
Referanser
https://www.vmware.com/security/advisories/VM[...]

Apple patcher 173 svakheter i diverse produkter

Apple har gitt ut 173 patcher for diverse hardware, macOS, iPhone, Apple TV og Apple Watch. Flere av patchene er for å utbedre de nye Intel-svakhtene som ble offentliggjort i dag. 42 av fiksene er i iOS versjon 12.3, som også inneholder mye ny funksjonalitet.
Anbefaling
Installer patcher
Referanser
https://support.apple.com/en-us/HT201222
https://threatpost.com/apple-patches-intel-si[...]

Nye svakheter funnet i Intel-CPUer

I kjølevannet av Meltdown og Spectre-svakhetene, har det nå blitt offentliggjort flere nye svakheter i Intel-CPUer. Svakhetene er oppdaget av Intel selv, sikkerhetsfirmaer og forskere ved flere universiteter. De nye svakhetene har fått navnene ZombieLoad, Fallout og RIDL (Rogue In-Flight Data Load). Svakhetene har blitt oppdaget for opptil et år siden, men har blitt holdt hemmelig.

De nye svakhetene henter ut informasjon fra CPUen mens informasjonen beveger seg mellom forskjellige deler av den. Dette gjør at en prosess kan hente informasjon fra en annen prosess. Virtuelle miljøer er spesielt utsatt.

Det kreves patching av både hardware og software for motvirke svakhetene. Å slå av hyperthreading kan hjelpe. Google har f.eks. slått av HyperThreading i siste versjon av ChromeOS av sikkerhetsmessige grunner. Forskerne mener at de fortatt vil finne lignende svakheter framover.
Anbefaling
Installer patcher og slå eventuelt av hyperthreading
Referanser
https://www.wired.com/story/intel-mds-attack-[...]
https://www.theregister.co.uk/2019/05/14/inte[...]
https://www.intel.com/content/www/us/en/secur[...]

Tuesday, 14 May 2019

2019.05.14 - Nyhetsbrev

Twitter delte lokasjonsdata av iOS-brukere til reklame-partner med uhell. Kjøring av kode via nettverket i Linux-kjernen. Alvorlig svakhet i WhatsApp for iOS/Android. To alvorlige svakheter i Cisco-routere.

Twitter delte lokasjonsdata av iOS-brukere til reklame-partner med uhell

En bug i iOS-appen til Twitter gjorde at lokasjonsdata med en nøyaktighet på inntil 5 kilometer ble sendt til en reklame-partner. Hvis man hadde aktivert "precise location" funksjonen med en bruker, for så å logge inn med en annen bruker, kunne lokasjonsdataen for også denne brukeren bli sendt videre uten at man hadde godkjent det på noen måte.
Referanser
https://help.twitter.com/en/location-data-col[...]

Kjøring av kode via nettverket i Linux-kjernen

Det er en sårbarhet i Linux-kjerner eldre enn versjon 5.0.8 som gjør det mulig å kjøre vilkårlig kode via nettverket eller utføre tjenestenektangrep. Dette er en race-condition i kjernen. Svakheten skal heldigvis være vanskelig å utnytte i praksis, men patching anbefales!
Anbefaling
Oppgrader til siste versjon av kjernen.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Alvorlig svakhet i WhatsApp for iOS/Android

Det er meldt om en alvorlig svakhet i WhatsApp for iOS/Android. Noen kan ta kontroll over telefonen din, kun ved å ringe den via WhatsApp. Du trenger ikke en gang å svare på anropet for at dette skal skje. Vi anbefaler å oppgradere til siste versjon fra App Store/Google Play ASAP.
Anbefaling
Installer siste versjon fra App Store/Google Play
Referanser
https://arstechnica.com/information-technolog[...]
https://journalisten.no/facebook-hacking-sosi[...]
https://www.nytimes.com/2019/05/13/technology[...]

To alvorlige svakheter i Cisco-routere

Selskapet Red Balloon Security har oppdaget to alvorlige svakheter i Cisco-produkter. Den ene svakheten lar en angriper omgå secure-boot mekanismen (Trust Anchor) og installere egen programvare på routeren. Den andre svakheten gir muligheten for å kjøre tilfeldige kommandoer på en router via nettverket. Til sammen gjør svakhetene det mulig å ta kontroll over en router via nettet og installere et spesialtilpasset OS på den.

Cisco har publisert patcher for svakheten som gjør det mulig å kjøre kommandoer via nettverket. Svakheten i Trust Anchor er ikke fikset enda og vil antaglig kreve fysisk nærhet til hardware når den skal patches.
Anbefaling
Install patch ASAP
Referanser
https://www.wired.com/story/cisco-router-bug-[...]
https://www.theregister.co.uk/2019/05/13/cisc[...]
https://thrangrycat.com/
https://tools.cisco.com/security/center/conte[...]

Monday, 13 May 2019

2019.05.13 - Nyhetsbrev

Windows 10 har fått FIDO2-sertifisering for passordfri innlogging. Telenor har presentert tips om hvordan en skal sikre IoT. Svakhet i Microsoft SharePoint blir nå utnyttet aktivt. Tre svakheter i Nvidia GPU-drivere.

Windows 10 har fått FIDO2-sertifisering for passordfri innlogging

Windows 10 har nå blitt offisielt FIDO2-serifisert av FIDO-alliansen. FIDO2 er et sett av standarder som muliggjør enkle og sikker pålogging på nettsider og applikasjoner via biometriske løsninger, mobile enheter eller fysiske sikkerhetsnøkler, og baserer seg på solid kryptografisk sikkerhet. Støtten kommer i neste oppdatering av Windows, som er ventet i slutten av mai.
Referanser
https://www.digi.no/artikler/na-tar-windows-1[...]

Telenor har presentert tips om hvordan en skal sikre IoT

Sikkerhetsdirektør Hanne Tangen Nilsen har gitt råd og tips om hvordan næringslivet skal forholde seg til IoT-sikkerhet. Dette ble gjort under Telenors eget arrangement for tingenes internett, IoT Gathering.
Referanser
https://www.digi.no/artikler/bruk-penger-pa-s[...]

Svakhet i Microsoft SharePoint blir nå utnyttet aktivt

Svakheten krever at angriper laster opp en pakke designet for å utnytte de kompromitterte versjonene av SharePoint. Angriperne laster typisk opp en bakdør, gjerne av typen ChinaChopper. Svakheten ble patchet av Microsoft i februar.
Referanser
https://portal.msrc.microsoft.com/en-US/secur[...]
https://www.cert.govt.nz/it-specialists/advis[...]

Tre svakheter i Nvidia GPU-drivere

Nvidia har patchet tre svakheter i sine GPU-drivere. Disse kan utnyttes til å oppnå utvidere rettigheter, utføre DoS-angrep og å hente ut informasjon fra et sårbart system. Maskinvareleverandørene jobber med å distribuere patcher.
Anbefaling
Installer patch fra leverandør
Referanser
https://threatpost.com/nvidia-windows-gamers-[...]

Friday, 10 May 2019

2019.05.10 - Nyhetsbrev

Ny variant av nordkoreansk malware. Gruppering skal ha brutt seg inn hos amerikanske antivirus-leverandører. Svakhet i PharStreamWrapper truer CMSer.

Ny variant av nordkoreansk malware

The Department of Homeland Security og Federal Bureau of Investigaion har identifisert en ny malware-variant som de kaller ELECTRICFISH som blir brukt av den nordkoreansk stat.

Linken under inkluderer analyse av malwaren, IoCer samt mer informason om ondsinnet cyber aktivitet fra Nord-Korea
Referanser
https://www.us-cert.gov/ncas/current-activity[...]

Gruppering skal ha brutt seg inn hos AV-leverandører

En hackergruppe som kaller seg for "Fxmsp" påstår å ha brutt seg inn hos tre amerikanske antivirusprogramleverandører, og driver nå ned aktiv markedsføring av kildekode og nettverkstilgang til selskapene. De forlanger 300.000 dollar, eller i underkant av 3 millioner kroner for dette, og har sterke beviser på gyldigheten av sine påstander. Gruppen hevder å ha utviklet en legitimasjonsstjelende botnet-malware som samler brukernavn og passord - for å angripe godt sikrede nettverk.
Referanser
https://arstechnica.com/information-technolog[...]

Svakhet i PharStreamWrapper truer CMSer

En svakhet i PharStreamWrapper, en PHP-kompontent utviklet av Typo3, kan gjøre flere forskjellige CMS-løsninger sårbare. Websider som kjører Drupal, Joomla eller Typo3 kan ha en svakhet som gjøre det mulig for angripere å eksekvere vilkårlig kode. Det anbefales å installere oppdatering fra respektive leverandør.
Anbefaling
Installer oppdatering fra respektive leverandør.
Referanser
https://arstechnica.com/information-technolog[...]

Thursday, 9 May 2019

2019.05.09 - Nyhetsbrev

Verizon har utgitt Data Breach Investigations Report for 2019. Det er oppdaget en alvorlig svakhet i Docker images som er basert på Alpine Linux.

Verizon har utgitt 2019 Data Breach Investigations Report

Data Breach Investigations Report (DBIR) fra Verizon er en rapport som har høy status i sikkerhetsmiljøet, spesielt med tanke på rapportens detaljerte innhold. Verizon har nå utgitt sin DBIR for 2019, hvor de går gjennom sine funn. Kort oppsummert viser statistikken at angrep som er økonomiske motivert øker, og det samme kan sies om angrep mot enkle mål.
Referanser
https://www.securityweek.com/verizon-publishe[...]

Alvorlig svakhet i Docker images som er basert på Alpine Linux

Det er oppdaget en alvorlig svakhet i de populære Docker imagene til Alpine Linux. Svakheten er at root-kontoen er ulåst, slik at en bruker kan logge seg inn som administrator uten noen form for autentisering.
Anbefaling
Oppgrader
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Wednesday, 8 May 2019

2019.05.08 - Nyhetsbrev

Cisco fikser alvorlig svakhet i Elastic Services Controller. Kryptobørsen Binance utsatt for sikkerhetsbrudd. Google gir ut månedlig sikkerhetsoppdatering for Android. APT-aktøren Turla har utviklet svært avansert Exchange-bakdør.

Sikkerhetsoppdatering til Cisco Elastic Services Controller

Cisco utgir sikkerhetsoppdatering til deres Elastic Services Controller (ESC) som fikser en svakhet som kan forbigå autentisering i deres REST API.
Referanser
https://www.us-cert.gov/ncas/current-activity[...]
https://tools.cisco.com/security/center/conte[...]
https://threatpost.com/critical-flaw-in-cisco[...]

Kryptovalutabørsen Binance utsatt for sikkerhetsbrudd

Binance oppdaget et stort sikkerhetsbrudd tirsdag 7. mai der hackere kom seg unna med 7000 Bitcoins, over 40 millioner USD. Hackere klarte å samle inn et stort antall API-nøkler tilhørende brukere, 2FA-koder, og potensielt annen info. Hackerne brukte en rekke teknikker, inkludert phishing, malware og andre angrep. Binance dekker tapet for kundene i forbindelse med hendelsen, så ingen brukeres midler vil bli påvirket. Innskudd og uttak vil forbli suspendert i ca 1 uke.
Referanser
https://www.binance.com/en/support/articles/3[...]
https://www.cnbc.com/2019/05/08/binance-bitco[...]

APT-aktøren Turla har utviklet svært avansert Exchange-bakdør

Den antatt russiske APT-aktøren Turla har utviklet en Exchange-bakdør kalt LightNeuron. Bakødren kan hente inn og endre info i alle eposter som går gjennom serveren. Den mottaer nye kommandoer via eposter. Disse epostene inneholder bildevedlegg der kommandoene er gjemt ved hjelp av steganografi. Bakdøren er brukt i nylige angrep mot mål i Midtøsten og Østeuropa.
Referanser
https://www.zdnet.com/article/russian-cybersp[...]
https://www.welivesecurity.com/wp-content/upl[...]

Google gir ut månedlig sikkerhetsoppdatering for Android

Google er ute med sin månedlig sikkerhetsoppdatering til Android. Som vanlig er det en lang rekke sårbarheter som fikses. Se referanse for mer informasjon.
Referanser
https://source.android.com/security/bulletin/[...]

Tuesday, 7 May 2019

2019.05.07 - Nyhetsbrev

Symantec: Kinesiske hackere fikk tak i NSA-verktøy i 2016.

Kinesiske hackere fikk tak i NSA-verktøy i 2016

Kinesiske etterretningsagenter fikk tak i hacker-vertkøy fra NSA og brukte disse i angrep mot firmaer i USA og Europa i 2016. Symantec antar at Kina ikke stjal verktøyene, men fikk tak i dem da USA brukte dem mot mål i Kina.
Referanser
https://www.nytimes.com/2019/05/06/us/politic[...]
https://www.symantec.com/blogs/threat-intelli[...]

Monday, 6 May 2019

2019.05.06 - Nyhetsbrev

For første gang blir militærangrep brukt som direkte svar på cyberangrep. Gebyr til Oslo Kommune for brudd på personopplysningssikkerheten. Hackergruppe truer forsyningskjeder. Nettleserutvidelser sluttet å fungere i Firefox etter sertifikat-tabbe.

For første gang blir militærangrep brukt som svar på cyberangrep

For tre år siden erklære NATO "cyber" som en offisiell slagmark i moderne krigføring. Israel sier nå at de har svart på et Hamas-cyberangrep med et luftangrep som utslettet Hamas sin avdeling for cyber-krigføring.
Referanser
https://www.zdnet.com/article/in-a-first-isra[...]
https://twitter.com/IDF/status/1125066395010699264

Gebyr til Oslo Kommune for brudd på personopplysningssikkerheten

Datatilsynet melder om at de har sendt varsel til Oslo Kommune med et overtredelsesgebyr på 2 millioner kroner for brudd på personopplysningssikkerheten. Årsaken er en mobilapplikasjon som ble brukt av foresatte og elever til å kommunisere med ansatte i skolen. Det var manglende sikkerhet rundt innloggingsprosessen. Dette medfører at uvedkommende kan ha fått tilgang til å se og endre sensitive personopplysninger til 83 000 barn i grunnskolen. Videre inneholdt applikasjonen et fritekstfelt som la til rette for at foresatte kunne sende sensitive personopplysninger. Datatilsynet omtaler dette som et grovt brudd på regelverket.
Referanser
https://www.datatilsynet.no/aktuelt/aktuelle-[...]

Hackergruppe truer forsyningskjeder

I løpet av de siste tre årene har en gruppen Wicked Panda/Barium infiltrert forsyningskjedene til minst 6 store organisasjoner. Det er antatt at medlemmene er av kinesisk opprinnelse. Gruppen har stått bak innbrudd hos CCleaner og ASUS. melder wired.com. Metoden går ut på å infisere store mengder PCer gjennom forsyningskjeder og så hente ut data fra interessante maskiner for spionasje.
Referanser
https://www.wired.com/story/barium-supply-cha[...]

Nettleserutvidelser sluttet å fungere i Firefox etter sertifikat-tabbe

Mozilla Firefox har problemer med et utgått sertifikat, noe som medførte at en del utvidelser ble deaktivert. Mozilla opplyser de har løst problemet og vil rulle ut oppdateringen automatisk.
Referanser
https://bugzilla.mozilla.org/show_bug.cgi?id=[...]
https://www.cnet.com/news/firefox-fix-restore[...]

Friday, 3 May 2019

2019.05.03 - Nyhetsbrev

Svakhet i Dells suppoertverktøy SupportAssist. Citrix utsatt for datauthenting over en periode på seks måneder.

Svakhet i Dells supportverktøy SupportAssist

Dell har gitt ut en sikkerhetsoppdatering til sitt eget supportverktøy SupportAssist. Oppdateringen tetter et hull som kan gi en ekstern angriper mulighet til å utføre operasjoner i en administrator-kontekst. Verktøyet kommer ferdiginstallert på alle Windows-enheter solgt av selskapet.
Referanser
https://it.slashdot.org/story/19/05/02/213124[...]

Citrix utsatt for datauthenting over en periode på seks måneder

Tidlig i mars ble det meldt om at Citrix var utsatt for et datainnbrudd. Nå har det kommet fram at Citrix ble kompromittert i et såkalt passwordspray-angrep hvor angriperne kom seg inn i systemet og stjal data om finans og ansatte. Angriperne hadde tilgang til det internet nettet i seks måneder. FBI bistår i saken.
Referanser
https://www.zdnet.com/article/hackers-lurked-[...]

Thursday, 2 May 2019

2019.05.02 - Nyhetsbrev

Sikkerhetsoppdatering fra Cisco. Hackere stjeler og krever løsepenger for finansdata relatert til noen av verdens største selskaper. Sårbarhet for signatur-spoofing funnet i en rekke populære mail-klienter. Oppdatering for Google Chrome. Ny løsepengevirus kalt Sodinokibi utnytter kritisk Oracle WebLogic-feil.

Sikkerhetsoppdatering fra Cisco

Cisco security Advisory beskriver 41 svakheter i deres produkter hvor 1 er vurdert som kritisk.
Referanser
https://tools.cisco.com/security/center/publi[...]

Hackere stjeler og krever løsepenger for finansdata relatert til noen av verdens største selskaper

Dataene ble stjålet fra Citycomp, som er et internett-infrastrukturfirma som tilbyr tjenester til flere store selskaper, inkludert Oracle, Airbus, Toshiba og Volkswagen. Angrepet er en del av et utpressingsforsøk, men Citycomp har ikke gitt etter. Angriperne har nå publisert data fra alle disse selskapene, og hele saken er under politietterforskning.
Referanser
https://motherboard.vice.com/en_us/article/d3[...]

Sårbarhet for signatur-spoofing funnet i en rekke populære mail-klienter

Forskere ved Ruhr University og Münster University har funnet sårbarheter ved digital signering i en rekke av de mest populære mail-klientene. Av de 25 klientene som ble testet viste 14 seg å være sårbare for 1 eller flere av svakhetene.
Referanser
https://thehackernews.com/2019/04/email-signa[...]

Oppdatering for Google Chrome

Ny versjon, 74.0.3729.131, av Google Chrome nettleseren inneholder 2 sikkerhetsoppdateringer.
Referanser
https://chromereleases.googleblog.com/2019/04[...]

Ny løsepengevirus kalt Sodinokibi utnytter kritisk Oracle WebLogic-feil

En nylig oppdatert kritisk feil i Oracle WebLogic blir aktivt utnyttet for å spre et nytt løsepengevirus (ransomware) variant, som forskere kaller Sodinokibi. Mens ransomware-varianter vanligvis krever en form for brukerinteraksjon - for eksempel å åpne et vedlegg til en e-postmelding eller klikke på en ondsinnet lenke, var denne hendelsen unormal da angriperne utnyttet Oracle WebLogic-sårbarheten direkte.
Anbefaling
Versjon 10.3.6.0.0 og 12.1.3.0.0 av Oracle WebLogic er sårbare. Feilen ble oppdatert 26. april.
Referanser
https://threatpost.com/new-sodinokibi-ransomw[...]