Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday 27 November 2020

2020.11.27 - Nyhetsbrev

Canon bekrefter at de har blitt utsatt for løsepengevirus-angrep i august.

Canon bekrefter at de har blitt utsatt for løsepengevirus-angrep i august

Canon bekrefter at de har blitt utsatt for løsepengevirus-angrep i august og at de også har blitt frastjålet data. Hackergruppen Maze har tatt på seg skylden for angrepet og har foreløpig publisert filer som inneholder markedsføringsinformasjon.
Referanser
https://securityaffairs.co/wordpress/111523/m[...]

Thursday 26 November 2020

2020.11.26 - Nyhetsbrev

Nigerianere arrestert etter internasjonal BEC-svindel. Passord for nesten 50 000 sårbare Fortinet VPNer eksponert på Internett. Sopra Steria anslår at Ransomware-angrepet i oktober vil koste bedriften 50 millioner euro. Nye nulldagssårbarheter funnet i Windows 7 og Windows server 2008.

Nigerianere arrestert etter internasjonal BEC-svindel

Tre påståtte medlemmer av en nigeriansk nettkriminalitetsgjeng som kompromitterte 500 000 selskaper og offentlige organisasjoner i mer enn 150 land er nå arrestert. Arrestasjonene ble utført i Lagos som en del av den årelange, INTERPOL-ledede operasjonen Falcon. Operasjonen er rettet mot nettkriminelle som bruker en form for svindel kalt Business Email Compromise (BEC) for å stjele penger. Målet med angrepene til de pågrepne var å stjele autentiseringsdata fra nettlesere, epost- og FTP-klienter, muligens for å selge dataene til høyestebydende på det mørke nettet.
Referanser
https://www.infosecurity-magazine.com/news/ni[...]
https://www.interpol.int/en/News-and-Events/N[...]

Passord for nesten 50 000 sårbare Fortinet VPNer eksponert på Internett

En hacker har nå lekket VPN-innlogging for nesten 50 000 sårbare Fortinet VPNer. I løpet av helgen la en hacker ut en liste over exploits for FortiOS svakheten CVE-2018-13379, som kan brukes til å stjele VPN-legitimasjon fra disse enhetene. På listen over sårbare mål er IPer som tilhører blant annet telekom og offentlige organisasjoner fra hele verden.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Sopra Steria anslår at Ransomware-angrepet i oktober vil koste bedriften 50 millioner euro

I oktober informerte IT-giganten Sopra Steria om at de hadde blitt rammet av et Ryuk ransomware-angrep. Dette er samme type ransomware som også rammet NHS i England i September. Tiltakene som ble iverksatt etter at angrepet ble oppdaget, samt utbedringene som har måttet gjennomføres i etterkant av angrepet, har hatt stor innvirkning på den operasjonelle driften. Sopra Steria anslår at det totale tapet vil ligge et sted mellom 40 og 50 millioner euro. Bedriften har forsikring som dekker inntil 30 millioner euro i kostnader i forbindelse med cyberangrep. Hittil har det ikke blitt funnet tegn til at informasjon har blitt hentet ut av systemene.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Nye nulldagssårbarheter funnet i Windows 7 og Windows server 2008

Det har blitt oppdaget to sårbarheter i registernøklene som ligger under RPC Endpoint Mapper og DNSCache. Sårbarhetene gjør det mulig for en angriper som allerede har tilgang til systemene, å laste opp egne DLL-filer i under-nøkler som blir brukt av Windows Performance Monitoring System. Så langt har ikke Microsoft sagt om de vil komme med sikkerhetsoppdateringer for å fikse problemet, ettersom begge operativsystemene ikke er støttet av Microsoft lenger. ACROS Security har sluppet en mini-patch som skal fikse svakheten.
Referanser
https://www.zdnet.com/article/security-resear[...]

Tuesday 24 November 2020

2020.11.24 - Nyhetsbrev

Sikkerhetsforskere bryter seg inn i Tesla på 90 sekunder. Ny kritisk svakhet i produkter fra VMWare (CVE-2020-4006).

Sikkerhetsforskere bryter seg inn i Tesla på 90 sekunder

Sikkerhetsforskere har klart å bryte seg inn i en Tesla Model X i løpet av 90 sekunder. Innbruddet blir gjort ved å skrive en ny firmware til bilens nøkkel og krever at nøkkelen er innenfor blåtann-rekkevidde. Angriperne kan deretter hente ut adgangskoder til bilen fra nøkkelen. Svakheten skal delvis skyldes manglende sjekk av om kode er har gyldig signatur. Tesla skal fikse svakheten ved hjelp av ny programvare som sendes ut automatisk til bilene.
Referanser
https://www.wired.com/story/tesla-model-x-hac[...]
https://www.youtube.com/watch?v=clrNuBb3myE

Ny kritisk svakhet i produkter fra VMWare (CVE-2020-4006)

For andre gang på én uke melder VMware om en kritisk svakhet, denne gangen i VMware Workspace One Access, Access Connector, Identity Manager og Identity Manager Connector. VMware Cloud Foundation (vIDM) og vRealize Suite Lifecycle Manager (vIDM) er også rammet. Foreløpig har VMware gitt instruksjoner for hvordan systemer kan konfigureres for å unngå svakheten, mens de jobber med å utvikle patcher.
Anbefaling
Implementer work-around før patch blir sluppet.
Referanser
https://www.vmware.com/security/advisories/VM[...]
https://www.helpnetsecurity.com/2020/11/24/vm[...]

Monday 23 November 2020

2020.11.23 - Nyhetsbrev

GoDaddys ansatte brukt i angrep mot kryptovaluta tjenester.

GoDaddys ansatte brukt i angrep mot kryptovaluta tjenester.

GoDaddy sine ansatte gikk på phising angrep og overførte kontrollen over flere kryptovaluta domener. Alle domenene som ble overført fikk epost tjenesten sin omdirigert til privateemail.com, samt flere endringer i DNS innstillingene sine. Liquid.com ble angrepet rundt 13 november og sier at det ikke ser ut som om angriperne har hatt tilgang til personlig data.
Referanser
https://krebsonsecurity.com/2020/11/godaddy-e[...]

Friday 20 November 2020

2020.11.20 - Nyhetsbrev

Kritiske sårbarheter i VMWare avdekket under kinesisk hackerkonkurranse.

Kritiske sårbarheter i VMWare avdekket under kinesisk hackerkonkurranse

Under en kinesisk hackerkonkurranse ble det avdekket en kritisk sårbarhet i VMWare. Sårbarheten lar en lokal administrator på VMen utføre kode som vert-maskinens VMX-prosess. VMS-prosessen har som oppgave å kjøre VMkernel, og håndterer også I/O. Dette betyr at potensialet for datauthenting fins. Sårbarheten har kode CVE-2020-4004 og har fått 9.3. DEt er også avdekket en annen svakhet, som bygger på denne. Begge er patchet av VMware.
Referanser
https://www.theregister.com/2020/11/20/vmware[...]
https://www.vmware.com/security/advisories/VM[...]

Thursday 19 November 2020

2020.11.19 - Nyhetsbrev

Symantec rapporterer om en stor kampanje av aktøren Cicada/APT10/Cloud Hopper. Kritisk sårbarhet avdekket i programvare for industrielle kontrollsystemer

Symantec rapporterer om kampanje mot Japan fra Cicada/APT10/Cloud Hopper

Symantec rapporterer om at de har oppdaget en større kampanje mot Japan fra en APT gruppe, som de mener må være stor og med gode ressurser. Symantec mener at de har funnet indikasjoner som tyder på at aktiviteten kan linkes til Cicada/APT10/Cloud Hopper. Kampanjen ser ut til å ha fokus på selskaper i øst-asia.
Referanser
https://symantec-enterprise-blogs.security.co[...]
https://www.bleepingcomputer.com/news/securit[...]

Kritisk sårbarhet avdekket i programvare for industrielle kontrollsystemer

En kritisk sårbarhet har blitt avdekket i Real-Time Automation (RTA) 499 ES EtherNet/IP stack, som påvirker industrielle kontrollsystemer. I verste fall kan sårbarheten utnyttes til å oppnå ekstern eksekvering av vilkårlig kode på systemene. I følge et søk på tjenesten Shodan finnes det mer enn 8000 ENIP-kompatible enheter som er eksponert mot internett.

Svakheten ble fjernet allerede i 2012, men det er rimelig å anta at flere bedrifter har kjøpt programvaren før dette og integrert det i sin egen firmware, som dermed fremdeles er sårbar. Svakheten har fått tildelt koden CVE-2020-25159, og scorer 9.8 av 10 på sårbarhetsskalaen.
Anbefaling
Sjekk etter sårbare systemer og oppgrader.
Referanser
https://thehackernews.com/2020/11/researchers-warn-of-critical-flaws.html

Wednesday 18 November 2020

2020.11.18 - Nyhetsbrev

Eksponert database inneholder hundre tusen kompromitterte brukere. Rapport fra Trend Micro om kriminelles bruk av skyløsninger for å selge informasjon. HTTP push-meldinger fra nettlesere benyttet til å dele adware og click fraud.

Eksponert database inneholder hundre tusen kompromitterte brukere

Kriminelle passordstjelere lot en ElasticSearch-database være eksponert. Her hadde de over 100 tusen brukernavn og passord som de hadde fått tilgang til ved å late som om de var en tjeneste som kunne vise hvem som besøkte Facebook profilen til brukeren. Hackerne brukte dermed tilgang til brukernes kontoer til å publisere innlegg som viste til en falsk Bitcoin-tjeneste. Databasen var åpen fra juni til 22. september i år.
Referanser
https://threatpost.com/exposed-database-100k-[...]

Rapport fra Trend Micro om kriminelles bruk av skyløsninger for å selge informasjon

Trend Micro har utgitt en rapport hvor de beskriver hvordan kriminelle benytter skytjenester for å selge organisert informasjon som er hentet inn gjennom for eksempel skadevare som keyloggere. Det nye er at tjenestene er lagt opp som abonnements-tjenester som hele tiden holdes oppdatert.
Referanser
https://www.digi.no/artikler/farlig-trend-hac[...]
https://newsroom.trendmicro.com/2020-11-16-Cy[...]

HTTP push-meldinger fra nettlesere benyttet til å dele adware og click fraud

Selskapet Indelible har gitt ut en rapport om hvordan kriminelle benytter HTTP Push Notification (RFC 8030) til å spre adware og click fraud kampanjer. Mange nettsteder spør brukeren om de kan sende brukeren varsler om nyheter, nye varer osv. Det viser seg nå at en del selger tilgang til å bruke disse varslene videre til kriminelle, som bruker dem til å prøve å svindle brukere. Det anbefales å svare nei til slike forespørsler, bortsett fra nettsteder du stoler på.
Referanser
https://krebsonsecurity.com/2020/11/be-very-s[...]
https://www.indelible.global/post/pushbug-unc[...]

Tuesday 17 November 2020

2020.11.17 - Nyhetsbrev

Intel471 har publisert en artikkel om Ransomware trender under pandemien. Kritiske svakheter i Cisco Security Manager.

Intel471 har publisert en artikkel om RansomWare trender under pandemien

Intel 471 har sett på over 25 ulike Ransomware-as-a-Service (RaaS) grupper og har nå publisert en artikkel hvor de tar for seg trender under årets pandemi.
Referanser
https://public.intel471.com/blog/ransomware-a[...]

Kritiske svakheter i Cisco Security Manager

Cisco har sluppet patcher for kritiske svakheter i Cisco Security Manager. Det har allerede blitt publisert eksempel-kode som demonstrerer svakhetene. Patcher ble sluppet i versjon 4.22 som ble utgitt forrige uke.
Anbefaling
Installer patcher.
Referanser
https://www.zdnet.com/article/cisco-reveals-t[...]
https://tools.cisco.com/security/center/publi[...]

Monday 16 November 2020

2020.11.16 - Nyhetsbrev

Apple lanserer sikkerhetsoppdateringer for flere produkter. Google Chrome nulldags-sårbarheter under aktiv utnyttelse.

Apple lanserer sikkerhetsoppdateringer for flere produkter

Apple har gitt ut sikkerhetsoppdateringer for å løse sårbarheter i flere produkter. En angriper kan utnytte noen av disse sårbarhetene for å ta kontroll over et berørt system. Noen av disse sikkerhetssvakhetene har allerede blitt brukt til å ta kontroll over sårbare systemer.

Cybersecurity and Infrastructure Security Agency (CISA) oppfordrer brukere og administratorer til å gå gjennom Apples sikkerhetssider for macOS Big Sur 11.0, 11.0.1, macOS High Sierra 10.13.6, macOS Mojave 10.14.6 og Safari 14.0.1 og installere de nødvendige oppdateringene.
Referanser
https://us-cert.cisa.gov/ncas/current-activit[...]

Google Chrome nulldags-sårbarheter under aktiv utnyttelse

Begge sårbarhetene gjør det mulig for en angriper å ta over sårbare systemer hvis de besøker en nettside som laster opp vilkårlig kode på systemet. De to nulldags-sårbarhetene går under CVE-2020-16013 og CVE-2020-16017 og har fått definert alvorlighetsgrad 8.4 av 10.
Anbefaling
Oppdater Chrome så fort det kommer en ny oppdatering.
Referanser
https://threatpost.com/2-zero-day-bugs-google[...]

Friday 13 November 2020

2020.11.13 - Nyhetsbrev

DNS-cache-forgiftningsangrep fra 2008 kan brukes igjen grunnet Linux-svakhet.

DNS-cache-forgiftningsangrep tilbake grunnet Linux-svakhet

Forskere har identifisert en ny metode som kan brukes til å utføre DNS-cache-forgiftningsangrep. Den nye sårbarheten påvirker flere DNS-løsninger (BIND, Unbound, dnsmasq), har fått kallenavnet SAD DNS (Side-channel AttackeD DNS) og tildelt CVE-2020-25705.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Thursday 12 November 2020

2020.11.12 - Nyhetsbrev

Google fikser to nye zero-day svakheter i Chrome, CheckPoint har sporet ransomwaren Pay2Key til Iran og løsepengevirus rammer flere svenske virksomheter. I tillegg slipper Mozilla sikkerhetsoppdateringer for Firefox, Firefox ESR og Thunderbird og en ondsinnet gruppe bruker Facebook-annonser til løspenge-angrep.

Google fikser to nye zero-day svakheter i Chrome

Google har totalt lappet fem "Zero-day" sårbarheter i Chrome i løpet av de siste tre ukene. De to nyeste ble sluppet 11 November for Chrome versjon 86.0.4240.198.

Det nye med de siste patchene er at de ble oppdaget av en anonym kilde som tipset Google. De tre første ble oppdaget internt av sikkerhetsforskere fra Google.

I henhold til Chrome 86.0.4240.198-endringsloggen har de to siste svakhetene fått følgende CVE-numre: CVE-2020-16009 og CVE-2020-16010.

De fleste zero-day svakheter brukes vanligvis i målrettet angrep. Selv om det er uklart farenivå for vanlige brukere, anbefales Chrome-brukere å oppdatere til v86.0.4240.198 via nettleserens innebygde oppdateringsfunksjon så fort som mulig.
Referanser
https://www.zdnet.com/article/google-patches-[...]

CheckPoint har sporet ransomwaren Pay2Key til Iran

Forrige uke ga CheckPoint ut informasjon om den nye ransomware-gruppen Pay2Key, som primært har rammet israelske firmaer. Sikkerhetsselskapet har nå fulgt løsepengebetalinger betalt ut av flere ofre, og verdiene ender opp i en iransk Bitcoin-børs.
Referanser
https://research.checkpoint.com/2020/pay2key-[...]

Løsepengevirus rammer flere svenske virksomheter

Sveriges radio melder at en bølge av løsepengevirus har rammet svenske virksomheter siden fredag sist uke. Over 12 svenske bedrifter skal være rammet så langt.
Referanser
https://sverigesradio.se/artikel/7598006

Ondsinnet gruppe bruker Facebook-annonser til løspenge-angrep

Den ondsinnede gruppen Ragnar Locker Team har tatt i bruk annonser på Facebook til å skape blest om sine løspengeangrep. Annonsen de la ut var målrettet mot den italienske bedriften Campari Goups kunder. Etter at Ragnar Locker hadde hacket seg inn hos Campari, stjal de viktig data og krevde penger for å levere dem tilbake. Annonsene ble blir altså brukt for å skape oppmerksomhet rundt de lekkede dokumentene og tvinge Campari til å betale.
Referanser
https://krebsonsecurity.com/2020/11/ransomwar[...]

Mozilla slipper sikkerhetsoppdateringer for Firefox, Firefox ESR og Thunderbird

Mozilla har sluppet sikkerhetsoppdateringer som fikser en sårbarhet i Firefox, Firefox ESR og Thunderbird. Denne sårbarheten gjør det mulig for en angriper å ta kontroll over et system som er berørt av dette.
The Cybersecurity and Infrastructure Security Agency (CISA) oppfordrer derfor brukere og administratorer til å se over Mozilla Security Advisory for Firefox 82.0.3, Firefox ESR 78.4.1, og Thunderbird 78.4.2.
Anbefaling
Referanser
https://us-cert.cisa.gov/ncas/current-activit[...]

Wednesday 11 November 2020

2020.11.11 - Nyhetsbrev

Microsoft patcher blant annet svakhet som allerede utnyttes i målrettede angrep i sin oppdatering for november 2020. Ny svakhet i Intel-CPUer tillater uthenting av data: PLATYPUS.

Microsoft med månedsoppdatering for november 2020

Microsoft slipper månedsoppdatering for november. 112 svakheter blir fikset, hvor 17 er vurdert som kritiske. Svakheten CVE-2020-17087, en alvorlig kjernesvakhet blir nå patchet. Denne svakheten har blitt utnyttet i målrettede angrep, sammen med en nå patchet svakhet i Google Chrome.

De kritiske sårbarhetene påvirker blant annet Azure Sphere, Microsoft Edge, Printer Spooler, Exchange Server og Network File System. Spesielt de to sistnevnte svakhetene kan vise seg å være viktig å patche fort, les artikkelen fra Krebs on Security fra detaljer.
Referanser
https://msrc.microsoft.com/update-guide/en-us
https://krebsonsecurity.com/2020/11/patch-tue[...]

Ny svakhet i Intel-CPUer tillater uthenting av data: PLATYPUS

Intel CPUer har en mulighet for å lese ut nøyaktig internt strømforbruk fra CPU og RAM, kalt RAPL (Intel Running Average Power Limit). I Linux har alle brukere av systemet tilgang til disse dataene.

Ved hjelp av svakheten kan brukere av systemet lese ut senstive data fra minnet, for eksempel kryptonøkler og passord. I et simulert angrep lot det seg for eksempel gjøre å hente ut en RSA-nøkkel fra Intel SGX (sikker del av CPU) på 100 minutter.
Anbefaling
Installer patcher fra Intel.
Referanser
https://platypusattack.com/
https://www.intel.com/content/www/us/en/secur[...]

Tuesday 10 November 2020

2020.11.10 - Nyhetsbrev

Datalekkasje rammer millioner av hotellgjester. Windows 10, iOS, Chrome og Firefox hacket på kinesisk konferanse. Verdens nest største laptop-produsent utsatt for ransomware angrep.

Datalekkasje rammer millioner av hotellgjester

Reservasjonssystemet "Cloud Hospitality" har hatt kundedata liggende åpent tilgjengelig etter en feilkonfigurert S3-bøtte. Systemet brukes av firmaer som Booking.com og Expedia for å integrere forskjellige reservasjonssystemer. Totalt 24.4GB med data har vært tilgjengelig. Av data som er lekket nevnes navn, epost-adresser, passnumre, kredittkortdata osv.
Referanser
https://threatpost.com/millions-hotel-guests-[...]

Windows 10, iOS, Chrome og Firefox hacket på kinesisk konferanse

Den tredje internasjonale hacker-konkurransen kalt Tianfu Cup har blitt avholdt i Chengdu, Kina. Under konferansen ble det demonstrert nye fungerende angrep mot en rekke kjente produkter som Adobe Reader, iPhone 11, CentOS, Docker, Google Chrome, Windows 10, Firefox, Samsung Galaxy S20 og VMware ESXi. Konkurransen er et kinesisk tilsvar på Pwn2Own-konferansen, som kinesere ikke lengre får delta i.
Referanser
https://thehackernews.com/2020/11/windows-10-[...]

Verdens nest største laptop-produsent utsatt for ransomware angrep

Compal, verdens nest største laptop-produsent, ble utsatt for ransomware-angrep i helgen. Selskapet bygger laptoper for Apple, Acer, Lenovo, Dell, Toshiba, HP og Fujitsu. Det blir anslått at 30% av datasystemene til selskapet er påvirket av det som trolig er DoppelPaymer-ransomware, men produksjonslinjen skal fortsatt fungere. Talspersoner for selskapet sier de har blitt utsatt for et hacker-angrep, men nekter for at det er ransomware.
Referanser
https://www.zdnet.com/article/compal-the-seco[...]

Monday 9 November 2020

2020.11.09 - Nyhetsbrev

Ny type ransomware: Pay2Key. Kaspersky har publisert tredje kvartals APT trend rapport. Detaljert gjennomgang av løsepengevirus-infeksjon: Cobalt Strike og Ryuk. Nyoppdaget orm angriper x86 Linuxservere og IoT enheter. Det har blitt oppdaget en Linux-variant av løsepengeviruset RansomEXX.

Ny type ransomware: Pay2Key

Checkpoint melder at de har oppdaget en ny type ransomware: Pay2Key. Denne utgaven har så langt blitt brukt til å kompromittere israelske firmaer. Initiell angrepsvektor er ofte RDP-servere og psexec.exe brukes for å kjøre kode på maskiner i nettverket. Gruppen har også en side der de legger ut smakebiter på informasjon de stjeler fra rammede firmaer.
Referanser
https://research.checkpoint.com/2020/ransomwa[...]

Kaspersky har publisert tredje kvartals APT trend rapport

Kaspersky har publisert tredje kvartals APT trend-rapport. Her tar de for seg hva forskjellige trusselaktører har foretatt seg det siste kvartalet.
Referanser
https://securelist.com/apt-trends-report-q3-2[...]

Detaljert gjennomgang av løsepengevirus-infeksjon: Cobalt Strike og Ryuk

AdvIntel Incident Response har fått innsyn i hvordan en gruppering kalt "One" har infisert et nettverk med løsepengeviruset Ryuk. De har en detaljert gjennomgang av hendelsesforløpet med tilhørende verktøy og kommandoer som ble brukt.
Referanser
https://www.advanced-intel.com/post/anatomy-o[...]

Nyoppdaget orm angriper x86 Linuxservere og IoT enheter

En orm som retter seg mot Linuxservere og IoT-enheter har blitt beskrevet av Juniper Threat Labs 15. oktober. Ormen har fått navnet Gitpaste-12, på grunn av at den har minst 12 angrepsmoduler tilgjengelig og bruker Github og pastebin for å hoste disse skadelige modulene. Threatpost har skrevet en artikkel som beskriver måten den angriper og sprer seg på.
Referanser
https://threatpost.com/gitpaste-12-worm-linux[...]

Det har blitt oppdaget en Linux-variant av løsepengeviruset RansomEXX

Windows-løsepengeviruset RansomEXX har nå også blitt oppdaget i Linux-variant. RansomEXX er i utgangspunktet benyttet mot større mål hvor angriperne prøver å få store utbetalinger. Ettersom mange bedrifter benytter Linux på interne systemer, hvor skadepotensialet kan være langt større enn på en vanlig sluttbruker-klient, gir det mening at dette løsepengeviruset nå også kan benyttes i Linux-miljøer.
Referanser
https://www.zdnet.com/article/linux-version-o[...]

Friday 6 November 2020

2020.11.06 - Nyhetsbrev

Stor samling med databaser lekket fra hackernettsiden Cit0Day, Apple patcher tre 0-dagssårbarheter i ny iOS-oppdatering, Cisco ute med oppdateringer og målrettetede angrep mot VoIP systemer

Stor samling med databaser lekket fra hackernettsiden Cit0Day

En stor samling med hackede databaser ble lagt ut på russisk hackerforum i oktober. I dataene finnes brukernavn, email, hashede passord og passord i klartekst. Samlingen skal stamme fra nettsiden Cit0Day som ble tatt ned i midten av september, og inneholde opp mot 50 gb, eller 13 milliarder oppføringer, i følge ZDNet. Samlingen har siden spredd seg gjennom andre kanaler. Mye av innholdet er gammelt, men det finnes også nyere databaser i filene.
Referanser
https://www.zdnet.com/article/23600-hacked-da[...]

Apple patcher tre 0-dagssårbarheter i ny iOS-oppdatering

Apple har nå gitt ut oppdatering for å fikse tre 0-dagssvakheter i iOS som ble aktivt utnyttet. Svakhetene gikk blant annet på å utføre kode eksikvering ved å lage font på en spesiell måte, i tilegg til å få tilgang til kernel minne.
Referanser
https://www.bleepingcomputer.com/news/securit[...]
https://support.apple.com/en-us/HT211929

Cisco ute med oppdateringer

Cisco har gitt ut oppdatering til flere av sine produkter som skal fikse flere svakheter. Noen svakheter kunne blitt utnyttet til å ta over systemet. Blant produktene som det fikses svakheter i er Cisco AnyConnect Secure Mobility Client, Cisco Webex Meetings Desktop App, med flere
Referanser
https://tools.cisco.com/security/center/publi[...]

Målrettetede angrep mot VoIP systemer

Check Point Research har observert en rekke målrettede angrep mot VoIP systemer av over 1200 organisasjoner det siste året. Spesifikt mot SIP (Session Initiation Protocol) serverene. Under etterforskningen deres fant dem ut at det er en gruppe som utnytter svakheter i Sangoma PBX, som er et web GUI som administrer Astrisk. Astrisk er et av de mest populære VoIP systemene. Svakhetene i Sangoma gjør det mulig for angriper å ta over systemet og laste opp deres egen kode. Etter å ha tatt over systemet ser det ut som at angriperene selger videre telefonnummerene fra systemer de har kompromitert til høyeste bud, som kan da utnytte disse til det dem måtte ønske, ofte uten at selskapet som har VoIP systemet kan legge merke til dette.
Referanser
https://blog.checkpoint.com/2020/11/05/whos-c[...]

Thursday 5 November 2020

2020.11.05 - Nyhetsbrev

Nulldagssårbarhet i Solaris utnyttet av hackergruppen UNC1945. Russland arresterer skadevare utvikler.

Nulldagssårbarhet i Solaris utnyttet av hackergruppen UNC1945

Sikkerhetsfirmaet FireEye beskriver hvordan en trusselaktør, som de kaller UNC1945, brukte en nulldagssårbarhet i Oracle sitt operativsystem Solaris for å få fotfeste i et bedriftsnett. Sårbarheten (CVE-2020-14871) tillot gruppen å forbigå autentisering og installere en bakdør inn i nettverket. Derfra brukte de en lettvekts linux VM til å kartlegge nettverket og bevege seg lateralt til andre systemer. Sårbarheten ble patchet i Oracle sin oktoberoppdatering.
Referanser
https://www.zdnet.com/article/hacker-group-us[...]
https://www.fireeye.com/blog/threat-research/[...]

Russland arresterer skadevare utvikler

Russiske myndigheter arresterte i september en utvikler av skadevare. Vedkommende er misstenkt å stå bak skadevare som infiserte mer enn 2100 maskiner i Russland. Det er sjelden at slike arrestasjoner skjer i Russland, men denne personen lot skadevaren angripe også russiske datasystemer.
Referanser
https://www.zdnet.com/article/russian-authori[...]

Wednesday 4 November 2020

2020.11.04 - Nyhetsbrev

Det svenske forsikringsselskapet Folksam har delt persondata med teknologi-giganter. Google fikser to nye nulldagssårbarheter i Chrome. Adobe oppdaterer Acrobat og Reader.

Det svenske forsikringsselskapet Folksam har delt persondata med teknologi-giganter

Selskapet Folksam har delt personopplysninger om sine rundt 1 million kunder til teknologi-firmaer som Google, Microsoft, Adobe, Linkedin og Facebook. Det er blant annet delt opplysninger som personnummer, forsikringer og fagforeningsmedlemsskap. Opplysningene har blitt brukt til målrettet markedsføring.
Referanser
https://sverigesradio.se/artikel/7591197
https://www.bleepingcomputer.com/news/securit[...]
https://nyhetsrum.folksam.se/sv/2020/11/03/fo[...]

Google fikser to nye nulldagssårbarheter i Chrome

Sårbarhetene som patches er CVE-2020-16009, som gjør det mulig med vilkårlig kodeeksekvering via en bug i javascript-motoren i Chrome og CVE-2020-16010, som er en heap-buffer overflow i Chrome for Android. Google skriver at de er kjent med aktiv utnyttelse av begge sårbarhetene.
Anbefaling
Oppdater til siste versjon!
Referanser
https://arstechnica.com/information-technolog[...]
https://chromereleases.googleblog.com/2020/11[...]

Adobe oppdaterer Acrobat og Reader

Adobe har patchet flere svaheter i de populære applikasjonene Reader og Acrobat. Den mest alvorlige svakheten har blitt kategorisert som "kritisk" av Adobe og kan føre til kjøring av vilkårlig kode dersom brukeren åpner et spesielt uformet dokument.
Anbefaling
Installer oppdatering!
Referanser
https://helpx.adobe.com/security/products/acr[...]

Tuesday 3 November 2020

2020.11.03 - Nyhetsbrev

Google Drive misbrukt i ny svindel. Maritimt cyber-senter etableres i Norge. Siste ord fra E-sjefen: Cyberangrepene vil fortsette.

Google Drive misbrukt i ny svindel

Angripere misbruker nå Google Drive til å sende ut eposter som ser legitime ut, siden de faktisk blir sendt ut fra Google. På mobiltelefoner kan også meldinger dukke opp som push-varsler. En tjeneste som lar brukere tagge hverandre i delte filer misbrukes for å få til dette. Filen som blir delt inneholder en lenke til sider med malware eller phishing.
Referanser
https://www.wired.com/story/beware-a-new-goog[...]

Maritimt cyber-senter etableres i Norge

Den norske rederinæringen bygger opp et internasjonalt ledende senter for å møte den stadig økende cybertrusselen. Bak denne satsingen står Den Norske Krigsforsikring for Skib (DNK) og Norges Rederiforbund. Sammen danner de Norwegian Maritime Cyber Resilience Centre (NORMA Cyber) som blir operativt fra 1. januar 2021.
Referanser
https://rederi.no/aktuelt/2020/maritimt-cyber[...]

Siste ord fra E-sjefen: Cyberangrepene vil fortsette

Den avtroppende sjefen for E-tjenesten, Morten Haga Lunde, tror ikke at Russland eller Kina ønsker å starte noen militær konflikt, men sier at landene vil fortsette å bruke midler som ligger helt opp mot grensen for krig.
Referanser
https://www.vg.no/nyheter/innenriks/i/WOO6mQ/[...]

Monday 2 November 2020

2020.11.02 - Nyhetsbrev

Google avslører nulldags-sårbarhet i Windows under aktiv utnyttelse. Enda en kritisk svakhet i Oracle WebLogic.

Google avslører nulldags-sårbarhet i Windows under aktiv utnyttelse

Google avslørte en nulldags sårbarhet i Windows som aktivt blir utnyttet av angripere. Angriperne bruker først en svakhet i Google Chrome (CVE-2020-15999) for å få tilgang til å kjøre kode inne i Chrome sin sandbox. Deretter bruker de svakheten i Windows Kernel (CVE-2020-17087) til å bryte seg ut av sandboxen og kjøre koden direkte i Windows.

Svakheten i Chrome er allerede fikset i versjon 86.0.4240.111, så den opprinnelige exploit-kjeden lar seg ikke utføre lengre. Aktører kan imidlertid benyte seg av svakheter i annen programvare for å få seg et fotfeste på Windows-maskiner.

Windows exploiten fungerer mot både windows 7 og 10, og har så langt ikke fått noen oppdatering som fikser feilen. Neste patche-tirsdag er 10. november, og svakheten vil antageligvis bli utbedret da.
Anbefaling
Oppdater til siste versjon av Chrome og vent på Windows-fiks.
Referanser
https://www.zdnet.com/article/google-disclose[...]
https://arstechnica.com/information-technolog[...]
https://bugs.chromium.org/p/project-zero/issu[...]

Enda en kritisk svakhet i Oracle WebLogic

Oracle melder om en ny kritisk svakhet i WebLogic. Svakheten har fått navnet CVE-2020-14750, og kan utnyttes av en angriper uten å autentisere seg mot web-serveren. Den er relatert til den nylig omtalte svakheten CVE-2020-14882, som ble patchet i Oracles kvartalsvise oppdatering og som har blitt akvivt utnyttet de siste dagene.

Oracle har gitt ut patcher som vi anbefaler å installere så fort som mulig.
Anbefaling
Installer patcher.
Referanser
https://www.oracle.com/security-alerts/alert-[...]

 
>