2021.08.31 - Nyhetsbrev

Ny Microsoft Exchange Server-sårbarhet: ProxyToken.

Ny Microsoft Exchange Server-sårbarhet: ProxyToken

Zero Day Initiative har offentliggjort nok en svakhet i Exchange Server. En uautorisert angriper kan gjør konfigurasjons-endringer på postboksene til brukere på Exchange-servere. Dette kan bli brukt til å kopiere alle epostene tilknyttet den utsatte epostbrukeren og videresende de til angriperen. Svakheten ble patchet i juli av Microsoft og har benevnelsen CVE-2021-33766.
Referanser
https://www.zerodayinitiative.com/blog/2021/8[...] https://threatpost.com/microsoft-exchange-pro[...] https://msrc.microsoft.com/update-guide/vulne[...]

2021.08.27 - Nyhetsbrev

Microsoft advarer om alvorlig feil i Azure-database. Flere Synology produkter påvirket av OpenSSL-sårbarhet . Cisco har patchet svakheter i flere produkter. Atlassian advarer om kritisk Confluence-feil.

Microsoft advarer om alvorlig feil i Azure-database

Microsoft advarte tusenvis av sine Azure Cloud-kunder, inkludert noen av verdens største selskaper, om at inntrengere kan ha hatt tilgang til deres databaser. Sikkerhetshullet har vært til stede i flere måneder, men ble fikset 14 august. Problemet lå i Cosmos-databasen og kunne utnyttes ved å få tilgang til databasen fra en vilkårlig Azure-bruker. Finnerne av svakhetene har fått utbetalt $40.000 for oppdagelsen.
Referanser
https://www.reuters.com/article/microsoft-sec[...] https://www.theregister.com/2021/08/27/chaos_[...]

Flere Synology produkter påvirket av OpenSSL-sårbarhet

Den Taiwan-baserte NAS-produsenten Synology har avslørt at nye OpenSSL-sårbarheter påvirker noen av deres produkter. Flere sårbarheter tillater en angriper å utføre tjenestenekt-angrep eller kjøre vilkårlig kode via en sårbar versjon av Synology DiskStation Manager (DSM), Synology Router Manager (SRM), VPN Plus Server eller VPN Server. Synology jobber med å slippe oppdaterte versjoner som utbedrer svakhetene. I mellomtiden kan det være lurt å begrense tilgangen til de sårbare tjenestene.
Referanser
https://www.bleepingcomputer.com/news/securit[...] https://www.synology.com/en-us/security/advis[...]

Cisco har patchet svakheter i flere produkter

Nettverksgiganten Cisco utsteder to kritiske oppdateringer og seks oppdateringer med høy alvorlighetsgrad. Det ble lansert seks sikkerhetsoppdateringer knyttet til det avanserte nettverksutstyret i 9000-serien, alt fra kritisk, høy og middels alvorlighetsgrad. De mest alvorlige av feilene som er løst av Cisco kan tillate en ekstern og uautentisert angriper å lese eller skrive vilkårlige filer til et applikasjonsprotokollgrensesnitt som brukes i Cisco 9000-seriens svitsjer designet for å administrere sine programvaredefinerte nettverk. Denne kritiske sårbarheten, CVE-2021-1577, påvirker Cisco Application Policy Infrastructure Controller (APIC) og Cisco Cload Application Policy Infrastructure Controller (Cloud APIC).
Anbefaling
Referanser
https://threatpost.com/cisco-issues-critical-[...] https://us-cert.cisa.gov/ncas/current-activit[...] https://tools.cisco.com/security/center/publi[...]

Atlassian advarer om kritisk Confluence feil

Atlassian har advart brukere av Confluence Server om at de må oppdatere produktet for å rette opp en feil som er kritisk. Selskapet beskriver det som en Confluence Server Webwork OGNL injeksonssårbarhet som vil tillate en godkjent bruker, og i noen tilfeller uautentisert bruker, å kjøre vilkårlig kode på en Confluence Server eller Data Senter-forekomst. Atlassian har utgitt versjoner som er fikset, versjonene 6.13.23, 7.4.11, 7.11.6, 7.12.5, og 7.13.0. Selskapet foreslår oppgradering til den siste langsiktige serviceutgivelsen, som er versjon 7.13. Cloud-hosted Confluence påvirkes ikke av feilen.
Anbefaling
Referanser
https://www.theregister.com/2021/08/26/atlass[...]

2021.08.26 - Nyhetsbrev

Ny APT SparklingGoblin bruker en ny bakdør. Kritisk feil i F5 BIG-IP påvirker kunder i sektorer med ekstra behov for sikkerhet. Flere sårbarheter i VMware vRealize Operations .

Ny APT SparklingGoblin bruker en ny bakdør

SparklingGoblin APT målretter seg mot utdanning, detaljhandel og offentlig sektor. Aktøren bruker en ny bakdør som kalles SideWalk. Dette er en modulær bakdør som dynamisk kan laste inn flere moduler som sendes fra C&C (kommando & kontroll)-serveren, den bruker Google Docs for å lagre malware for nedlasting og Cloudflare-tjenester som C&C -server. Sikkerhetsforskere er også uklare hvor APT SparklingGoblin er basert, men det er ledetråder som peker på at de opererer fra Øst-Asia, basert på kinesisk språk som brukes av trusselaktøren.
Referanser
https://threatpost.com/sparklinggoblin-apt/168928/

Kritisk feil i F5 BIG-IP påvirker kunder i sektorer med ekstra behov for sikkerhet

F5 BIG-IP har løst flere sårbarheter med høy alvorlighetsgrad i sine nettverks-enheter. En av dem blir hevet til kritisk alvorlighetsgrad under spesifikke konfigurasjoner, som gjerne brukes i sektorer hvor det er ekstra behov for sikkerhet. Svakhetene som fikses kan blant annet føre til autentisert ekstern kjøring av kommandoer, "cross-site scripting"(XSS) og tjenestenekt (DoS).
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Flere sårbarheter i VMware vRealize Operations

VMWare melder om svakheter i VMware vRealize Operations, VMware Cloud Foundation og vRealize Suite Lifecycle Manager. Sikkerhetsoppdateringer og løsninger er tilgjengelige for å fikse disse sårbarhetene.
Referanser
https://www.vmware.com/security/advisories/VM[...]

2021.08.25 - Nyhetsbrev

Internettleverandører selger tilgang til netflow-data. Powershellskript viser nøyaktig hvilke filer ransomwaregruppene er ute etter. Hacktivister slipper overvåkingsvideoer fra Iransk fengsel.

Internettleverandører selger tilgang til netflow-data

Noen Internettleverandører distribuerer "netflow"-data til sikkerhetsfirmaer som bruker dette til å spore cyber-angrep og aktørene som står bak angrepene. Netflow-data er metadata fra Internett-kommunikasjon som kan brukes til å finne ut hvilke IP-adresser som kommuniserer med hverandre, og og over hvilke tjenester. Informasjonen kan også brukes til å spore trafikken gjennom VPN-forbindelser, for å finne ut hvor trafikken egentlig kommer fra.
Referanser
https://www.vice.com/en/article/jg84yy/data-b[...]

Powershellskript viser nøyaktig hvilke filer ransomwaregruppene er ute etter

Et PowerShell-skript som brukes av Pysa ransomware gir en sniktitt på hvilke typer data ransomare-gjengen prøver å stjele under et cyberangrep. Filene Pysa er ute etter brukes typisk til å drive utpressing etter angrepet, ved å true med å selge eller spre dataene offentlig.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Hacktivister slipper overvåkingsvideoer fra Iransk fengsel

En hacktivist-gruppe som kaller seg "Alis Justice" har hacket seg inn i videoovervåkingssystemet i det iranske fengselet "Evin". Videoene viser mishandling av fanger, noe som lenge har vært mistenkt. En video viser også at hackerne tar kontroll over alle skjermene i overvåkingssenteret til fengselet.
Referanser
https://apnews.com/article/technology-health-[...] https://therecord.media/hacktivists-leak-vide[...]

2021.08.24 - Nyhetsbrev

CISA har sluppet rettningslinjer for hvordan å unngå ransomware-angrep. 2000 Exchange servere er hacket ved hjelp av Proxyshell-utnyttelse. LockFile: Løsepengevirus bruker PetitPotam for å utnytte Windows-domenekontrollere.

CISA har sluppet rettningslinjer for hvordan å unngå ransomware-angrep

US Cybersecurity and Infrastructure Security Agency (CISA) har sluppet en fire-siders guide til hvordan organisasjoner kan unngå å bli utsatt for ransomware-angrep, samt gjøre skaden minst mulig dersom et angrep allikevel skulle inntreffe. De foreslår blant annet: - Sørg for offline-backups som blir testet jevnlig. - Opprett, vedlikehold og tren på planer for å svare på et angrep og gjennoprette driften etter en krise. - Patch og sørg for riktig konfigurasjon av tjenester som er åpne mot Internet. - Bruk effektive spam-filtre for å unngå phishing-eposter - Bruk anti-malware programmer, applikasjons-hvitelisting, begrens admin-tilgang og bruk to-faktor-autentisering.
Referanser
https://securityaffairs.co/wordpress/121338/s[...] https://www.cisa.gov/sites/default/files/publ[...]

2000 Exchange servere er hacket ved hjelp av Proxyshell-utnyttelse

Nesten 2000 exchange E-post servere har blitt hacket de siste to dagene og infisert med bakdører etter at eierne ikke installerte oppdateringer fra Microsoft sine månedlige oppdateringer fra Mai/Juni. Sikkerhetsfirmaet Huntress Labs oppdaget dette fra kode som ble publisert på nettet tidligere denne måneden, og skanning etter sårbare systemer som begynte forrige uke. 8. august var 30.400 av totalt 100.000 Exchange-servere utsatt for utnyttelsen gjennom Proxyshell utnyttelsen som ble oppdaget i 2020, men situasjonen har bedret seg siden da.
Anbefaling
Oppdatert Microsoft Exchange server
Referanser
https://therecord.media/almost-2000-exchange-[...] https://symantec-enterprise-blogs.security.co[...]

LockFile: Løsepengevirus bruker PetitPotam for å utnytte Windows-domenekontrollere

LockFile-løsepengevirus ble først observert på nettverket til en amerikansk finansorganisasjon 20. juli 2021, med den siste aktiviteten så sent som 20 august. Angriperne får først tilgang til ofrenes nettverk via Microsoft Exchange-servere, for å så bruke PetitPotam-sårbarheten som kan gi full tilgang til domenekontrolleren. Vi anbefaler å installere de siste oppdateringene fra Microsoft som fjerner disse sårbarhetene!
Anbefaling
Referanser
https://symantec-enterprise-blogs.security.co[...]

2021.08.23 - Nyhetsbrev

Cloudflare har mitigert et rekordstort DDoS-angrep på 17.2 millioner HTTP-forespørsler per sekund.

Cloudflare har mitigert et rekordstort DDoS-angrep

Internettinfrastrukturselskapet Cloudflare avslørte i dag at de mitigerte det største volumetriske distribuerte denial of service angrepet (DDoS) som er registrert til dags dato. Trusselaktøren brukte et botnett med mer enn 20.000 infiserte enheter for å sende HTTP-forespørsler mot kundens nettverk for å konsumere serverressurser, for å forhindre legitime brukere i å bruke nettstedet under angrep. Angrepet nådde 17,2 millioner HTTP-forespørsler/sekund (RPS), et tall som Cloudflare beskrev som nesten tre ganger større enn noen andre angrep som er offentlig rapportert.
Referanser
https://therecord.media/cloudflare-says-it-mi[...] https://blog.cloudflare.com/cloudflare-thwart[...]

2021.08.20 - Nyhetsbrev

Datakriminelle prøver å rekruttere misfornøyde ansatte til å utføre data angrep. Mozi IoT-Botnet infiserer nå også Netgear, Huawei og ZTE nettverksgatewayer

Datakriminelle prøver å rekruttere misfornøyde ansatte til å utføre data-angrep

Direktøren for trusseletterretning hos Abnormal Security avslører rekruttering av misfornøyde ansatte til å utføre data-angrep mot bedriften de jobber i. Han beskriver hva som skjedde etter han adopterte en falsk identitet etter han mottok tilbud om å laste ned og installere løsepengevirus på maskiner tilhørende bedriften. I dette tilfellet kunne e-posten som ble mottatt spores tilbake til Nigeria.
Referanser
https://krebsonsecurity.com/2021/08/wanted-di[...]

Mozi IoT-Botnet infiserer nå også Netgear, Huawei og ZTE nettverksgatewayer

Mozi er et P2P (peer-to-peer) botnet som benytter seg av et Bittorrent lignende nettverk for å infisere IoT-enheter. Mozi er ikke ukjent, men har nå utviklet seg til å infisere Netgear, Huawei og ZTE-netteverksutstyr via svake passord, kjente sårbarheter og også zero-days.
Referanser
https://www.microsoft.com/security/blog/2021/[...] https://thehackernews.com/2021/08/mozi-iot-bo[...]

2021.08.19 - Nyhetsbrev

T-Mobile: Hacker stjal opplysninger til 48.6 millioner personer.
Chrome har nylig sluppet en ny sikkerhets oppdatering.

T-Mobile: Hacker stjal opplysninger til 48.6 millioner personer

T-Mobile har nå kommet lengre i etterforskningen etter datainnbruddet som vi meldte om for to dager siden. Hackerne har kommet seg unna med personopplysninger til rundt 9 millioner aktive kunder, samt 40 millioner tidligere eller potensielle kunder. Opplysninger som ble mistet var navn, fødselsdato, personnummer samt ID/førerkort-informasjon. Ingen passord, PIN-koder eller finansiell informasjon er på avveie.
Referanser
https://www.bleepingcomputer.com/news/securit[...] https://www.t-mobile.com/news/network/additio[...]

Chrome sikkerhets oppdatering

Chrome har nylig sluppet en ny sikkerhets oppdatering. Versjon: 92.0.4515.159 blir rullet ut i løpet av de neste dagene/ukene som inneholder 9 sikkerhetsoppdateringer.
Referanser
https://chromereleases.googleblog.com/2021/08[...]

2021.08.18 - Nyhetsbrev

En feil i millioner av IoT-enheter lar angripere avlytte samtaler. Fortinet FortiWeb OS Command Injection.

En feil i millioner av IoT-enheter lar angripere avlytte samtaler

Sikkerhetsforskere har oppdaget en kritisk feil som påvirker titalls millioner internett-of-things (IoT)-enheter, som eksponerer live video og audiosamtaler for avlytting. Angriperne kan også overta kontrollen over enheter, inkludert sikkerhetskameraer og tilkoblede babymonitorer. Feilen ligger i ThroughTeks Kalay-nettverk som er brukt i 83 millioner enheter.
Referanser
https://threatpost.com/bug-iot-millions-devic[...]

Fortinet FortiWeb OS Command Injection

En sårbarhet i FortiWebs administrasjonsgrensesnitt (versjon 6.3.11 og tidligere) kan tillate en autentisert ekstern angriper å utføre vilkårlige kommandoer som root på systemet via SAML-serverens konfigurasjonsside.
Referanser
https://www.rapid7.com/blog/post/2021/08/17/f[...]

2021.08.17 - Nyhetsbrev

Hacker hevder å ha stjålet data tilhørende 100 millioner T-Mobile kunder. Sykehus rammet av ransomware er nødt til å avlyse operasjoner og sende ambulanser til andre sykehus. Titalls STARTTLS-elaterte feil funnet i populære E-postklienter.

Hacker hevder å ha stjålet data fra 100 millioner T-Mobile kunder

T-Mobile har en pågående etterforskning etter at en trusselaktør hevder å ha kommet seg inn på T-mobile sine servere og stjålet personlige data til omtrent 100 millioner kunder. Dataene de har stjålet kan inneholde personlig informasjon som personnummer, telefonnummer, førerkortnummer og liknende. De personlige dataene blir nå forsøkt solgt for 6 Bitcoins. Innbruddet skal ha skjedd for to uker siden, etter at en server ved en feil ble eksponert mot Internett.
Referanser
https://www.bleepingcomputer.com/news/securit[...] https://arstechnica.com/gadgets/2021/08/t-mob[...]

Sykehus rammet av ransomware er nødt til å avlyse operasjoner og sende ambulanser til andre sykehus

Flere sykehus og klinikker i West Virginia og Ohio er nødt til å avlyse operasjoner og sende ambulanser videre til andre sykehus. Grunnen er ransomware som har stengt personalet ute fra deres egne IT-systemer. Fasilitetene som er påvirket er eid av Memorial Health System.
Referanser
https://arstechnica.com/gadgets/2021/08/hospi[...]

Titalls STARTTLS-elaterte feil funnet i populære E-postklienter

Sikkerhetsforskere har funnet 40 ulike sårbarheter som utnytter krypteringsmekanismen i e-postklienter og servere for å muliggjøre et man-in-the-middle (MitM) angrep, slik at en inntrenger kan forfalske e-postinnhold og brukeridentifikasjon mellom klient og server. Angrepet krever tilgang til trafikkstrømmen.
Anbefaling
Hold programvaren oppdatert og (for å ha raskere tilkoblinger) konfigurere e-postklient og server til å bruke: Implicit TLS only.
Referanser
https://thehackernews.com/2021/08/dozens-of-s[...]

2021.08.16 - Nyhetsbrev

Trend Micro advarer kunder mot null-dagers angrep mot Apex One.

Trend Micro advarer kunder mot null-dagers angrep mot Apex One

Trend Micro har nylig sluppet en sikkerhetsoppdateringen som fikser sikkerhetshull i Apex One og Apex One as a service.
Anbefaling
Referanser
http://securityaffairs.co/wordpress/121082/se[...]

2021.08.13 - Nyhetsbrev

Microsoft Exchange-servere blir angrepet via ProxyShell-svakheter. GitHub: Kontopassord vil ikke lenger bli akseptert som autorisasjon av Git-operasjoner. IT konsulent-firma mener at Huawei har laget en bakdør for å spionere på Pakistan med stjålet teknologi. Microsoft advarer om enda en Windows Print Spooler RCE sårbarhet.

Microsoft Exchange-servere blir angrepet via ProxyShell-svakheter

Trusselaktører bruker tre nylig oppdagede svakheter i Exchange kalt ProxyShell til å installere bakdører i serverne. Svakhetene ble oppdaget av Devcore Principal Security Researcher Orange Tsai i april 2021.
Referanser
https://www.bleepingcomputer.com/news/microso[...]

GitHub: Kontopassord vil ikke lenger bli akseptert som autorisasjon av Git-operasjoner

Fra 13. august 2021 vil det ikke lenger være mulig å utføre Git-operasjoner via passord-baserte autentisering. Det vil kun være mulig å autentisere brukere med token-basert autentisering (OAuth, SSH-nøkkel eller GitHub App token.
Referanser
https://www.bleepingcomputer.com/news/securit[...] https://github.blog/changelog/2021-08-12-git-[...]

IT konsulent-firma mener at Huawei har laget en bakdør for å spionere på Pakistan med stjålet teknologi

Det California-baserte konsulentselskapet "Business Efficiency Solutions, LLC" har saksøkt det kinesiske teknologiselskapet Huawei for tyveri av deres teknologi. Den stjålne programkoden har blitt brukt for å lage en bakdør for å spionere på pakistanske innbyggere.
Referanser
https://www.theregister.com/2021/08/13/huawei[...]

Microsoft advarer om enda en Windows Print Spooler RCE sårbarhet

Microsoft har oppdaget enda en sårbarhet som muliggjør ekstern kjøring av kode i Windows Print Spooler. Det jobbes med å løse problemet i en kommende sikkerhetsoppdatering. Microsoft har i de siste ukene patchet flere svakheter i denne Windows-komponenten.
Anbefaling
Det anbefales å stoppe og deaktivere Print Spooler service og blokkere utgående SMB trafikk.
Referanser
https://thehackernews.com/2021/08/microsoft-s[...]

2021.08.12 - Nyhetsbrev

Adobe slipper oppdateringer til Magento Commerce og Magento Open Source editions. Accenture sier at Lockbit-angrepet ikke har hatt noe påvirkning på hverken kunder eller driften.

Adobe slipper oppdateringer til Magento Commerce og Magento Open Source editions

Adobe med oppdateringer til Magento Commerce og Magento Open Source editions. Svakhetene er kategorisert som kritisk og viktig. Missbruk kan medføre at man får kjørt fiendtlig kode.
Referanser
https://helpx.adobe.com/security/products/mag[...]

Accenture med info om Lockbit ransomeware angrepet.

Accenture dukket i går opp på listen over bedrifter som hadde blitt angrepet av ransomware-gjengen Lockbit. Accenture melder at angrepet ikke har hatt noen operasjonell påvirkning og at ingen kunder har blitt skadelidende. Bedriften opplyser at de tidlig oppdaget unormal aktivtet, men at dette skjedde i et isolert miljø og raskt ble stoppet.
Referanser
https://www.zdnet.com/article/accenture-says-[...]

2021.08.11 - Nyhetsbrev

Over 600 millioner USD i kryptovaluta stjålet. Microsoft ute med oppdateringer for august. Sikkerhetssårbarheter fikset i Firefox ESR 78.13 og Firefox 91.

Over 600 millioner USD i kryptovaluta stjålet

Poly Network annonserte i går at de hadde blitt angrepet og at angriperene hadde greid å fått overført forskjellige typer kryptovaluta over i deres egen lommebok. Det er estimert at kryptovalutaen hadde en verdi på rundt 611 millioner USD. Angriperen kommuniserer nå offentlig via meldinger lagt inn i transaksjoner sendt fra sin egen adresse og har nå begynt å betale tilbake igjen deler av det stjålne beløpet.
Referanser
https://www.coindesk.com/cross-chain-defi-sit[...] https://www.coindesk.com/poly-network-hacker-[...]

Microsoft ute med oppdateringer for august

Microsoft ga igår ut oppdateringer til flere av sine produkter som fikser flere svakheter, blant annet 44 svakheter i Windows. En av svakhetene gjelder en svakhet i Windows Update Medic som hjelper brukere å reparere Windows Update komponenter som har blitt skadet. Denne svakheten er under aktiv utnyttelse. Oppdateringen fikser også enda en svakhet i Print Spooler, samt en kritisk svakhet i TCP/IP-stacken til Windows.
Referanser
https://krebsonsecurity.com/2021/08/microsoft[...] https://msrc.microsoft.com/update-guide/

Sikkerhetssårbarheter fikset i Firefox ESR 78.13 og Firefox 91

Mozilla har sluppet oppdateringer til Firefox og Firefox ESR (Extended Support Release). Flere av svakhetene har fått rangering "high" og kan potensielt sett brukes til å kjøre vilkårlig kode på et sårbart system.
Anbefaling
Installer siste versjon.
Referanser
https://www.mozilla.org/en-US/security/adviso[...]

2021.08.10 - Nyhetsbrev

Det har vært et rolig døgn.

Det er ingen nye saker siden sist.

2021.08.09 - Nyhetsbrev

Oppdatering til Pulse Secure Connect fikser seks sårbarheter. VMware har gitt ut sikkerhetsoppdateringer for flere produkter. Conti-tilknyttet aktør lekker informasjon om angrepsmetoder brukt i angrepskampanje. Hovedkortleverandøren GIGABYTE er rammet av løsepengevirus. Microsoft Exchange Servere sårbare for Proxyshell-angrep .

Oppdatering til Pulse Secure Connect fikser seks sårbarheter

En oppdatering til Pulse Secure Connect fikser en rekke sikkerhetshull. Produsenten har ikke sett at feilene har blitt utnyttet aktivt så langt. Sårbarhetene trackes som CVE-2021-22933 - 22938
Referanser
https://kb.pulsesecure.net/pkb_mobile#article[...]

VMware har gitt ut sikkerhetsoppdateringer for flere produkter

VMWare har lagt ut sikkerhetsoppdateringer etter at flere sårbarheter ble innrapportert til selskapet. Patcher har blitt laget og lansert for flere produkter.
Referanser
https://www.vmware.com/security/advisories/VM[...]

Conti-tilknyttet aktør lekker informasjon om angrepsmetoder brukt i angrepskampanje

En misfornøyd samarbeidspartner har lagt ut informasjon tilknyttet angrepsmetodene til en leverandør av løsepengevirustjenester kalt Conti. Conti tilbyr RaaS, Ransomware-as-a-service, og tar betalt i en andel av utbetalingene fra ofre. Informasjonen som er lagt ut er et arkiv med dokumenter som beskriver angrepsmetoder og IP-adresser til flere Cobalt Strike servere som Conti benytter seg av.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Hovedkortleverandøren GIGABYTE er rammet av løsepengevirus

Hackere har kryptert PCer og stjålet 112GB med forretningsdata fra den taiwanske hovedkortleverandøren GIGABYTE. Hackergruppen RansomExx sier de er ansvarlig for angrepet og truer med å legge ut informasjonen offentlig dersom selskapet ikke betaler. GIGABYTE sier at angrepet kun har gått rammet noen få interne servere som nå er tatt ned og isolert. Angrepet skal ikke ha klart å påvirke produksjonen av hovedkort.
Referanser
https://therecord.media/motherboard-vendor-gi[...]

Microsoft Exchange Servere sårbare for Proxyshell-angrep

Angripere prøver å utnytte en kjede med sårbarheter i Microsoft Exchange Servere som går under navnet Proxyshell. Sikkerhetsselskapet CERT NZ skriver i et blogginnlegg at de ser at angripere aktivt søker etter og utnytter denne sårbarheten. Det har blitt lansert oppdateringer til disse sårbarhetene, og systemeiere oppfordres til å oppdatere serverne.
Anbefaling
Oppdater til siste sikkerhetsoppdatering.
Referanser
https://www.cert.govt.nz/it-specialists/advis[...]

2021.08.06 - Nyhetsbrev

Europakommisjonen undersøker brudd på cybersikkerhetsprosjektet Atlas

Europakommisjonen undersøker brudd på cybersikkerhetsprosjektet Atlas

Backenddatabasen til cybersikkerhetsprosjektet Atlas har blitt lagt ut for salg på et forum for cyberkriminelle. Atlas er en nettside laget av europakommisjonen for å forenkle sikkerhetssamarbeid mellom medlemsskapsland og inneholder offentlig tilgjengelig informasjon om cybersikkerhetseksperter, universiteter, forskningssentre og myndighetsorganisasjoner. Nyhetssiden The Record bekreftet at informasjonen som lå ute for salg var hentet fra backend-løsningen til nettsiden, og det er uvisst hvordan noen har kommet seg inn i databasen. Nettsiden er nå tatt ned og satt i vedlikeholdsmodus.
Referanser
https://therecord.media/eu-officials-investig[...]

2021.08.05 - Nyhetsbrev

Fysiske angrep på maskiner kan gi angripere tilgang til bedriftsnettverk på 30 minutter. Hackere blokkerte Italias Covid-19 booking system for vaksine er "det mest alvorlige cyberangrepet noensinne". Google chrome sikkerhets oppdatering

Fysiske angrep på maskiner kan gi angripere tilgang til bedriftsnettverk på 30 minutter

Angripere kan forbigå alle sikkerhetsmekanismer på under 30 minutter hvis de har fysisk tilgang til maskinen. Forskere ved Dolos Group har funnet ut av hvordan man forbigår trusted platform module (TPM) for å få tilgang til maskinen. Angrepet blir gjennomført ved å sniffe på dataen som går mellom CMOS chippen og CPUen. Etter å ha koblet til en Salea Logic analyzer klarte forskerne å hente ut nøkkelen til TPM. Videre brukte forskerne den allerede konfigurerte Palo Alto VPNen. Til slutt hadde forskerne mulighet til å starte maskinen og kunne deretter infisere klienten og benytte seg av den for å nå interne domener.
Referanser
https://arstechnica.com/gadgets/2021/08/how-t[...]

Hackere blokkerte Italias Covid-19 booking system for vaksine er "det mest alvorlige cyberangrepet noensinne"

Vaksine booking systemet til Italia har undergått et cybersikkerhets angrep der angriperne brukte en "crypto locker" til å kryptere filene og blokkere all system aktivitet. Det er enda ikke funnet ut hvordan angriperene kom jeg inn på systemet, men de har klart å isolere den infiserte delen. Det melder om at ingen persondata har blitt stjelt under angrepet. Angrepet er sagt til å være det største cybersikkerhets angrepet som har rammet Italia noen gang.
Referanser
https://edition.cnn.com/2021/08/02/business/i[...]

Google chrome sikkerhets oppdatering

Google Chrome har hatt en sikkerhetsoppdateringen som har fikset flere sikkerhets feil som var i tidligere versjoner.
Referanser
https://chromereleases.googleblog.com/2021/08[...]

2021.08.04 - Nyhetsbrev

DeadRinger APT angriper telekommunikasjonsbedrifter. NSA og CISA har gitt ut sikkerhetsanbefalinger for Kubernetes

DeadRinger APT angriper telekommunikasjonsbedrifter.

Sikkerhetsselskapet Cybereason har identifisert tre kampanjer i Sør-Øst Asia som de knytter til en APT som de har navngitt DeadRinger. Cybereason tror at aktøren har kinesisk tilhørighet da den bruker samme teknikker som andre kinesiske aktører. DeadRinger har blant annet utnyttet Microsoft Exchange server sårbarheter. Målet til APTen er å få tak i telekommunikasjonsbedrifter sine Call Detail Records og andre kritiske nettverks komponenter.
Referanser
https://www.zdnet.com/article/deadringer-chin[...]

NSA og CISA har gitt ut sikkerhetsanbefalinger for Kubernetes

NSA og CISA har gitt ut en rapport som inneholder informasjon om trusler i Kubernetes-miljøer, og hvordan man kan konfigurere og vedlikeholde miljøet for å minimere risikoen fra truslene. Hovedtemaene inkluderer scanning etter feilkonfigurering og svakheter, begrensning av rettigheter, separering av nettverk, sterk autentisering og logrevisjon. Det anbefales også å benytte seg av de nyeste oppdateringene.
Referanser
https://www.nsa.gov/News-Features/Feature-Sto[...]

2021.08.03 - Nyhetsbrev

Skadevare til Android stjeler bankinformasjon ved å ta opptak av mobilskjermen.

Skadevare til Android stjeler bankinformasjon ved å ta opptak av mobilskjermen

En ny skadevare ved navn Vultur som er en RAT-programvare (remote access trojan) har infisert tusenvis av android enhenter. Skadevare har spredd seg via Google Play Store. Skadevaren tar et opptak av skjermaktivitenen via VNC-løsning (Virtual Network Computing), og ved hjelp av tilgjenglighets verktøyet til Andriod så kan de se hvilken app som er kjørt i forgrunnen. Threatfabric rapporterer at dette er den første skadevaren av sitt slag som er registrert på platformen.
Referanser
https://www.digi.no/artikler/skadevare-til-an[...] https://arstechnica-com.cdn.ampproject.org/v/[...]

2021.08.02 - Nyhetsbrev

En remote print server kan gi hvilken som helst windowsbruker administrator rettigheter.

En remote print server kan gi hvilken som helst windowsbruker administrator rettigheter.

En sikkerhetsforsker har laget en remote print server som gir enhver windows bruker full administrator tilgang ved å installere en printer driver. Denne driveren gjør at hvem som helst som installerer den vil få administrator rettigheter på windows maskinen. Sikkerhetsforskeren inkluderte også metoder for å mitigere denne nye måten å utnytte PrintNightmare svakheten på. En av disse er å lage et sett med godkjente servere som nye printer drivere kan lastes ned fra.
Referanser
https://www.bleepingcomputer.com/news/microso[...]