2022.10.31 - Nyhetsbrev

Daily Mail: Telefonen til eks-statsminiteren i England Lizz Truss var hacket av Russland. Ny malware kalt "Azov" sletter data og legger skylden på sikkerhetsforskere.

Daily Mail: Telefonen til eks-statsminiteren i England Lizz Truss var hacket av Russland

Avisen Daily Mail hevder at telefonen til eks-statsminitor Liz Truss var kompromittert av agenter fra Kremlin, mens hun var utenriksminister. Hackingen av mobilen kan ha tilgjengeligjort sensitiv informasjon for angriperne. Etter at operasjonen ble oppdaet, ble telefonen plassert i en låst safe for å unngå videre lekkasje av informasjon.
Referanser
https://www.dailymail.co.uk/news/article-1136[...] https://www.nrk.no/nyheter/daily-mail-hevder-[...]

Ny malware kalt "Azov" sletter data og legger skylden på sikkerhetsforskere

En ny type malware kalt "Azov" blir distribuert gjennom piratkopiert programvare og verktøy for å lage gyldige lisensnøkler til kommersiell programvare. Azov krypterer data på rammede systemer og legger skylden på en gruppe sikkerhetsforskere og nettstedet Bleeping Computer. Foreløpig er det ingen kjent måte å låse opp igjen de krypterte dataene.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2022.10.28 - Nyhetsbrev

Microsoft har gjort nye oppdagelser rundt Raspberry Robin aktivitet. OpenSSL har annonsert at 1. November skal de slippe ny versjon av OpenSSL som fikser kritisk sårbarhet. Google Chrome ute med oppdatering. Slik vil telefonselskapene forsøke å blokkere telefon­svindel.

Microsoft har gjort nye oppdagelser rundt Raspberry Robin-aktivitet

Microsoft har nylig oppdaget aktivitet som indikerer at Raspberry Robin ormen er en del av et komplekst malware økosystem som fokuserer på menneskelig-operert ransomware, etter den intielle infeksjonen. Raspbery Robin spredte seg initielt via USB-enheter, men har nå flere spredningsvektorer. Det er løsepengevirus-gruppen Clop som Microsoft har sett at benytter seg av malwaren.
Referanser
https://www.microsoft.com/en-us/security/blog[...]

OpenSSL slipper ny versjon av OpenSSL 1. november som fikser kritisk sårbarhet

OpenSSL-prosjekt har annonsert at de skal slippe en fix for en kritisk OpenSSL svakhet den 1. november og at bedrifter og driftspersonell burde gjøre seg klare for patching. Den nye versjonen vil bli v3.0.7. Svakheten gjelder ikke versjoner som er eldre enn versjon 3.0.0. Svakheten vil blant annet ramme mange Linux-versjoner som må oppdateres.
Referanser
https://www.helpnetsecurity.com/2022/10/26/op[...] https://mta.openssl.org/pipermail/openssl-ann[...]

Google ute med oppdatering for én alvorlig svakhet i Chrome

Google har sluppet en oppdatering for Chrome som fikser en zero-day svakhet i javascript-motoren V8. Svakheten ble rapportert 25. oktober og fiks er allerede tilgjengelig. Google opplyser utnyttelseskode for svakheten er tilgjengelig.
Referanser
https://chromereleases.googleblog.com/2022/10[...]

Slik vil telefonselskapene forsøke å blokkere telefon­svindel

Norske mobiloperatører går sammen om å sette en stopper for muligheten til å utgi seg for å ringe fra faste telefonumre tilhørende norske bedrifter og etater. Fra før har spoofing av mobilnumre vært sperret, men nå sperres også oppringninger fra fasttelefonnumre.
Referanser
https://www.vg.no/nyheter/i/rllqzl/slik-vil-t[...]

2022.10.27 - Nyhetsbrev

VMware fikser kritisk Cloud Foundation remote code execution bug. Trusselaktører bygger om bank-trojanere til generelle bakdører. Pro-kinesisk desinformasjonskampanje rettet mot valgkamp i USA.

VMware fikser kritisk Cloud Foundation remote code execution bug

Feilen (CVE-2021-39144) befinner seg i XStream open-source biblioteket som Cloud Foundation tar i bruk og har en CVSSv3 score på 9.8. Den lar ikke-autentiserte trusselaktører eksekvere kode som root. VMware har oppdatert XStream til versjon 1.4.19 for å fikse feilen. I tillegg har VMware sluppet oppdateringer for en annen svakhet (CVE-2022-31678) som kan trigge tjenestenekt eller eksponere informasjon etter vellykede XML External Entity Injection (XXE)-angrep.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Trusselaktører bygger om bank-trojanere til bakdører

Trusselaktører fortsetter å resirkulere kode fra eldre verktøy for å bygge mer generaliserte rammeverk. Denne gangen er det trusselaktøren Gozi, som står bak Ursnif, som slutter å fokusere verktøyet mot banktjenester og heller velger å utvikle det til en mer generell løsning med bakdør-muligheter. Mandiant skriver i analysen deres av Ursnif, at trusselaktørene trolig går i denne retningen da det er enklere å forholde seg til en enkelt kodebase for verktøyene deres. De vil også gjøre koden vanskeligere å oppdage for forsvarere som prøver å stoppe den, og mot analytikere som prøver å finne angriperen.
Referanser
https://www.darkreading.com/risk/threat-group[...]

Pro-kinesisk desinformasjonskampanje rettet mot valgkamp i USA

Mandiant melder at en gruppe de har kalt Dragonbridge, som i årevis har promotert kinesiske interesser i sosiale medier nå har rettet seg mot USA. I flere desinformasjonskampanjer beskylder de USA for å stå bak hacking som egentlig var utført av kinesisk-sponsede trusselaktører, sabotasjen mot Nord Stream-gassrørledningen og de forsøker å overbevise den amerikanske befolkningen til ikke å stemme i det kommende mellomvalget.
Referanser
https://www.wired.com/story/us-midterm-electi[...]

2022.10.25 - Nyhetsbrev

Irans atomenergiorganisasjon (AEOI) hacket og trues med lekkasje av eposter. Apple slipper sikkerhetsoppdateringer, 0-dags svakhet i iOS utnyttes i angrep. Chrome-utvidelse med over 1 million installasjoner tar kontroll over nettleseren.

Irans atomenergiorganisasjon (AEOI) hacket og trues med lekkasje av eposter

Irans atomenergiorganisasjon har vært utsatt for et data-angrep med påfølgende trusler om lekkasje av interne eposter. Organisasjonen melder på Twitter og Telegram at de mistenker et spesifikt land for å stå bak angrepet. Black Reward er gruppen som har tatt på seg ansvaret for angrepet. De truer med at de skal offentligjøre interne eposter, med mindre den iranske stat løslater mennesker som ble arrestert etter de store demonstrasjonene i landet etter drapet på Mahsa Amini.
Referanser
https://therecord.media/iran-says-specific-fo[...]

Apple slipper sikkerhetsoppdateringer, 0-dags svakhet i iOS utnyttes i angrep

Apple har sluppet sikkerhetsoppdateringer for iOS, iPadOS, macOS, Safari, tvOS og watchOS. Apple har også sluppet en helt ny versjon av macOS kalt Ventura (versjon 13). Inkludert i oppdatering for iOS og iPadOS er en patch for en 0-dags sårbarhet, CVE-2022-42827, som utnyttes i angrep for å kjøre vilkårlig kode med kjerne-privilegier på enheten. For mer informasjon om de andre sårbarhetene patchet i Apples nyeste oppdatering; se deres nettsider.
Referanser
https://support.apple.com/en-us/HT201222 https://isc.sans.edu/diary.html?storyid=29182

Chrome-utvidelse med over 1 million installasjoner tar kontroll over nettleseren

Sikkerhetsforskere ved Guardio Labs har oppdaget en annonse-kampanje som lurer brukere til å installere en Chrome-utvidelse som tar kontroll over søk i nettleseren. Dette gjøres ved å lure brukeren til å tro at en nettleser-utvidelse må lastes ned for å se på en video. Når utvidelsen først blir lastet ned inneholder den ikke noe fiendtlig kode, dette blir først lastet ned ved en senere anledning. Foreløpig blir det heldigvis ikke installert direkte destruktiv malware av disse utvidelsene, men dette kan endre seg i framtiden.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2022.10.24 - Nyhetsbrev

F5 slipper sikkerhetsoppdateringer med høy alvorlighetsgrad. Zero-day svakhet i Windows omgår sikkerhetsvarsler for nedlastede filer.

F5 slipper sikkerhetsoppdateringer med høy alvorlighetsgrad

F5 har sluppet sikkerhetsoppdateringer for oktober der totalt 18 sårbarheter har blitt fikset. Flere av disse anses som kritiske, der en sårbarhet tillot en angriper å oppnå ekstern kode-eksekvering på produkter konfigurert i "standard" eller "appliance"-modus. For mer informasjon om sårbarhetene se vedlagte lenker.
Referanser
https://www.securityweek.com/dozen-high-sever[...] https://support.f5.com/csp/article/K30425568

Zero-day svakhet i Windows omgår sikkerhetsvarsler for nedlastede filer

En ny zero-day svakhet i Windows gjør at en angriper kan lure brukere til kjøre filer lastet ned fra nettet uten at det vises sikkerhets-advarsler først, for eksempel ved kjøring av Javascript og eksekverbare filer. Windows merker alle filer lastet ned fra Internet på en måte som gjør at systemet kan merke når de blir forsøkt kjørt og vise en ekstra sikkerhetsadvarsel. Ved hjelp av denne svakheten kan en angriper omgå denne attributten ved hjelp av et ugyldig signerings-sertifikat og dermed få windows til å stole på javascript-filen.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2022.10.21 - Nyhetsbrev

Microsoft har lekket 2,4TB med sensitive data tilhørende kunder ved en feil.

Microsoft har lekket 2,4TB med sensitive data tilhørende kunder ved en feil

2.4TB med data som omhandler Microsofts kunder har vært åpent tilgjengelig på nettet i flere år, siden dataene ved en feil var lagret i en åpen Azure lagrings-instans. Informasjonen som var tilgjengelig var blant annet signerte fakturaer, kontrakter, kontaktinformasjon og epost-adresser til 65,000 kunder i løpet av fem år. Microsoft har fått kritikk i forbindelse med hvordan de har håndtert den nylige sikkerhetsglippen etter mangelfull informasjon og ufarliggjøring av hendelsen.
Referanser
https://arstechnica.com/information-technolog[...]

2022.10.20 - Nyhetsbrev

Australsk helseforsikringsforetak trues med avsløringer etter datainnbrudd

Australsk helseforsikringsforetak trues med avsløringer etter datainnbrudd

En av Australias største leverandører av privat helseforsikring, Medibank Private Limited, gikk i forrige uke ut med informasjon om at de hadde blitt utsatt for datainnbrudd. Angriperne hevder nå de har fått tilgang til 200 GB med sensitiv informasjon om kundene, inkl. helseopplysninger, og truer nå med å selge denne informasjonen dersom Medibank ikke betaler et større beløp. Videre truer angriperne med å kontakte de 1000 mest prominente kundene og vise dem deres egne opplysninger. Dette som en "advarsel" til Medibank.
Referanser
https://www.smh.com.au/technology/medibank-ha[...]

2022.10.19 - Nyhetsbrev

Oracle med kritiske oppdateringer, Datainnbrudd hos Domeneshop, PST inviterer til pressemøte

PST inviterer til pressemøte

PST inviterer til pressemøte i Nydalen 19/10 kl. 14.00 Tema: oppdatering om etterretningstrusselen mot Norge.
Referanser
https://twitter.com/PSTnorge/status/158262787[...]

Datainnbrudd hos Domeneshop

Natt til 17. Oktober var det datainnbrudd hos Domeneshop. Angriperne eksfilrerte store mengder data. For epost-brukere av tjenesten inneholder data som er på avveie bl.a. brukernavn, krypterte passord, epost tilknyttet brukeren, samt for- og etternavn, avdelingsnavn og funksjon. Domeneshop har sendt ut beskjed at alle brukere må bytte passord innen 20. okt klokka 16:00
Referanser
https://domene.shop/status?id=930

Oracle med kritiske oppdateringer

Oracle har kommet med en liste av produkter og versjoner som har fått oppdatering for kritiske feil eller sårbarheter.
Anbefaling
Følg referanselenken for å se hvilke tjenester som er truffet av disse oppdateringene og oppdater så fort det lar seg gjøre
Referanser
https://www.oracle.com/security-alerts/cpuoct[...]

2022.10.18 - Nyhetsbrev

Sårbarhet i Apache Commons Text versjon 1.5-1.9 muliggjør ekstern kodeeksekvering.

Sårbarhet i Apache Commons Text versjon 1.5-1.9 muliggjør ekstern kodeeksekvering

En ny sårbarhet i Apache Commons Text-modulen sammenlignes med log4j-sårbarheten som ble oppdaget i fjor. Sårbarheten gjør det mulig for en uautentisert ekstern angriper å eksekvere vilkårlig kode på servere med sårbare den sårbare komponenten. Sårbarheten går under benevnelsen CVE-2022-42889 og har en alvorlightsgrad i henhold til CVSS på 9.8/10. Det anbefales derfor sterkt å oppdatere til Apache Commons Text versjon 1.10, der problemet er fikset. Denne oppdaterte versjonen ble sluppet allerede 24. september. Det finnes eksempelkode for å utnytte svakheten, men det er ikke meldt om aktive angrep så langt.
Referanser
https://www.darkreading.com/application-secur[...]

2022.10.17 - Nyhetsbrev

Det Indiske kraftselskapet Tata Power bekrefter data-angrep. Personinformasjon tilhørende mer enn 380.000 anestesi-pasienter ble stjålet i USA. Aruba fikser flere kritiske svakheter.

Det Indiske kraftselskapet Tata Power bekrefter data-angrep

Kraftselskapet hører til i Mumbai og bekreftet på fredag at de hadde vært utsatt for cyberangrep som påvirket noen av deres IT-systemer. De bekrefter at alle kritiske systemer er oppe igjen, og at det jobbes med å komme tilbake til normal drift. De har ikke utgitt mer informasjon rundt angrepet i skrivende stund.
Referanser
https://techcrunch.com/2022/10/14/india-power[...]

Personinformasjon tilhørende mer enn 380.000 anestesi-pasienter ble stjålet i USA

Departementet for Helse i USA opplyser at en leverandør til helsevesenet har blitt frastjålet pasientdata. Hendelsen skjedde 15. juli og rammet leverandøren "Resource Anesthesiology Associates", men det har ikke blitt sluppet mer informasjon om hvem som står bak angrepet. Informasjonen som ble eksfiltrert var eposter, fullt navn, forsikrings-numre, personnummer, betalingsdata og helse-informasjon som inkluderte diagnoser og behandling. Hendelsen har medført at flere pasienter mottok målrettede phising-angrep på epost.
Referanser
https://www.scmagazine.com/analysis/breach/da[...]

Aruba fikser flere kritiske svakheter

Aruba har sluppet oppdateringer for deres mye brukte WAN-management løsning, EdgeConnect Orchestrator. Oppdateringen fikser flere kritiske svakheter.
Referanser
https://www.bleepingcomputer.com/news/securit[...] https://www.arubanetworks.com/assets/alert/AR[...]

2022.10.14 - Nyhetsbrev

JustisCERT melder at Juniper har sluppet patcher for flere svakheter. Cisco Talos har oppdaget et nytt Kinesisk angrepsrammeverk. Kritisk sårbarhet oppdaget i PLCer fra Siemens.

JustisCERT melder at Juniper har sluppet patcher for flere svakheter

JustisCERT melder i en epost om sårbarheter i flere produkter fra Juniper. Totalt 37 bulletiner ble publisert 12. oktober, hvor fire er kritiske (JSA69889, JSA69881, JSA69897 og JSA69882, alle med CVSS-score 9.8), 15 er alvorlige og 18 er viktige. Juniper har publisert oppdateringer til berørte produkter.
Referanser
https://supportportal.juniper.net/s/global-se[...]

Cisco Talos har oppdaget et nytt Kinesisk angrepsrammeverk

Cisco Talos har oppdaget et nytt angrepsrammeverk som inneholder et kommando og kontroll (C2)-verktøy kalt "Alchimist", og en trojaner med funksjonalitet for fjernadministrasjon kalt "Insekt". Rammeverket har et web-grensesnitt skrevet på kinesisk, og sikter seg inn mot både Windows, Mac og Linux. Rammeverket er programmert i språket GoLang.
Referanser
https://blog.talosintelligence.com/2022/10/al[...]

Kritisk sårbarhet oppdaget i Siemens-produkter

Forskere hos "Clarotys Team 82" annonserte denne uken at de har oppdaget en ny sårbarhet i logiske kontrollere (PLC) fra Siemens. Den har fått benevnelsen CVE-2022-38465 med en CVSS-poengsum på 9.3. Sårbarheten påvirker PLCene SIMATIC S7-1200 og S7-1500 med tilhørende versjoner av TIA Portal, som forenkler kommunikasjon mellom PLCene og andre maskiner. Ved hjelp av sårbarheten kan man hente ut hardkodede kryptografiske nøkler fra produktene. Disse nøklene gjør det mulig å komme seg forbi alle de fire nivåene av tilgangs-beskyttelse i produktene og utføre avanserte angrep. Siemens har publisert oppdateringer for å fikse sårbarheten. Siemens poengeterer også at produktet ble laget for nesten 10 år siden, og at sikkerhetsløsningene som ble valgt den gangen ikke lengre er tilstrekkelige.
Referanser
https://therecord.media/critical-vulnerabilit[...]

2022.10.13 - Nyhetsbrev

Ny Windows group policy begrenser passordgjetting mot admin-bruker.
Exchange-svakhet ikke fikset av denne månedenes Microsoft-patcher.

Ny Windows group policy begrenser passordgjetting mot admin-bruker

Microsoft har lagt til en ny group policy som låser kontoer i 10 minutter etter 10 feilede innloggningsforsøk mot en bruker. Dette gjelder både for standard-brukere og administrator-brukere. Funksjonen er automatisk slått på for nye installasjoner av Windows 11, men kan også skrus av eller på i Registry for eksisterende installasjoner eller Windows 10.
Referanser
https://www.bleepingcomputer.com/news/microso[...]

Exchange-svakhet ikke fikset av denne månedenes Microsoft-patcher

Microsoft kom tirsdag kveld rutinemessig med sikkerhetsoppdatering til en rekke av selskapets produkter. De kom derimot ikke med sikkerhetsoppdatering til to svakheter som utnyttes aktivt mot Exchange Server. Det er fortsatt uklart når skikkelige patcher kommer, men Microsoft har gitt ut råd for hvordan en kan gjøre konfigurasjonsendringer for å gjøre svakhetene vanskeligere å utnytte.
Referanser
https://www.digi.no/artikler/til-tross-for-an[...] https://msrc-blog.microsoft.com/2022/09/29/cu[...]

2022.10.12 - Nyhetsbrev

Microsoft gir ut sikkerhetsoppdateringer for oktober. Ny rapport om trojaneren Emotet publisert av VMware. Adobe og SAP har gitt ut sikkerhetsoppdateringer.

Microsoft gir ut sikkerhetsoppdateringer for oktober

Microsoft har offentliggjort sine månedlige sikkerhetsoppdateringer med 96 bulletiner, hvorav 13 svakheter er vurdert som kritiske og én allerede blir utnyttet i aktive angrep. Flere av sårbarhetene kan utnyttes til å kjøre kode over Internett og ta kontroll over brukere og systemer. De kritiske sårbarhetene påvirker blant annet Windows COM+ Event System Service, Windows Point-To-Point Tunneling Protocol og Microsoft Office SharePoint. Disse sårbarhetene er gjennomgått i mer detaljer på Microsoft sine sider.
Referanser
https://portal.msrc.microsoft.com/en-us/secur[...] https://isc.sans.edu/forums/diary/October%202[...]

Ny rapport om trojaneren Emotet publisert av VMware

En ny rapport publisert av VMware går i dybden på trojaneren Emotet. Trojaneren har sine røtter fra 2014 og er laget av trusselaktøren Mummy Spider (TA542). Emotet-botnettet ble tatt ned av politimyndigheter i flere land i januar 2021, men dukket opp igjen i november 2021. Programvaren har senere blitt videreutviklet og er kjent som TrickBot. Rapporten til VMware beskriver infrastrukturen til trojaneren,hvordan den gjemmer konfigurasjonen sin og hvordan den videre sprer seg.
Referanser
https://thehackernews.com/2022/10/new-report-[...] https://blogs.vmware.com/security/2022/10/emo[...]

Adobe og SAP har gitt ut sikkerhetsoppdateringer

I forbindelse med den månedlige patche-tirsdag har også Adobe og SAP gitt ut sikkerhetsoppdateringer. Adobe har oppdatert ColdFusion, Reader, Commerce og Dimension. SAP har sluppet 15 patcher, der den mest alvorlige har en CVSS-score på 9.9 og ligger i "SAP Manufacturing Execution".
Referanser
https://helpx.adobe.com/security/security-bul[...] https://dam.sap.com/mac/app/e/pdf/preview/emb[...]

2022.10.11 - Nyhetsbrev

Hackere har utnyttet kritisk RCE-svakhet i Zimbra Collaboration Suite. BIOS-kildekode til Intels Alder Lake-CPU lekket.

Hackere har utnyttet kritisk RCE-svakhet i Zimbra Collaboration Suite

En alvorlig svakhet i Zimbras verktøy for samarbeid har blitt aktivt utnyttet. Svakheten har fått benevnelsen CVE-2022-41352 og en kritikalitets-karakter på 9.8 av 10. Svakheten ligger i scanning av innkommende eposter og gjør at en angriper kan ta kontroll over systemet ved å sende inn spesielt utformede eposter. Rapid7 har råd for hvordan svakheten kan utbedres.
Referanser
https://thehackernews.com/2022/10/hackers-exp[...] https://www.rapid7.com/blog/post/2022/10/06/e[...]

BIOS-kildekode til Intels Alder Lake-CPU lekket

Ukjente personer har lekket BIOS-kildekoden til Intels Alder Lake CPU til 4chan og Github. Sammen med kildekoden er det også verktøy for å bygge BIOS/UEFI-filer. Intel opplyser at kildekoden har blitt lekket av en tredjepart som hadde tilgang til den. Intel opplyser at dette ikke skal ha sikkerhetsmessige konsekvenser, da de ikke benytter seg av obfuskering av informasjon som et sikkerhetstiltak.
Referanser
https://www.tomshardware.com/news/intel-confi[...]

2022.10.10 - Nyhetsbrev

Kritisk autentiseringssårbarhet funnet i Fortinet brannmur og-proxy tjenester.

Kritisk autentiseringssårbarhet funnet i Fortinet brannmur og-proxy tjenester

Fortinet anbefaler å oppdatere FortiGate brannmurer og FortiProxy nettproxyer mot en kritisk autentiseringssårbarhet. Sårbarheten CVE-2022-40684 tillater en angriper å hoppe over autentiseringsprosessen til det administrative grensesnittet ved å benytte spesielle HTTP og HTTPS forespørsler. FortiOS (7.0.0 -> 7.0.6 og 7.2.0 -> 7.2.1) og FortiProxy (7.0.0 -> 7.0.6 og 7.2.0) er sårbare mot svakheten. Fortinet anbefaler å deaktivere HTTPS-administrering frem til oppdateringene har blitt utført. Denne typen tjenester bør uansett aldri eksponeres direkte mot Internett.
Referanser
https://www.bleepingcomputer.com/news/securit[...] https://www.tenable.com/blog/cve-2022-40684-c[...]

2022.10.07 - Nyhetsbrev

Albania vurderte å utløse NATOs artikkel 5 etter cyber-angrep. Sikkerhetshull i Windows utnyttet av hackergruppen Lazarus. Cisco lanserer sikkerhetsoppdateringer. Oppsummering av nyhetsbildet innen datasikkerhet for september 2022.

Oppsummering av nyhetsbildet innen datasikkerhet for september 2022

Vi har publisert en oppsummering av nyhetsbildet innen datasikkerhet for september 2022. Denne måneden er hovedsakene dataangrep mot Uber og Rockstar Games, samt en ny alvorlig svakhet i Microsoft Exchange Server.
Referanser
https://telenorsoc.blogspot.com/2022/10/oppsu[...]

Cisco lanserer sikkerhetsoppdateringer

Cisco lanserer sikkerhetsoppdateringer for noen Cisco-produkter. Disse inkluderer en sårbarhet i Cisco Enterprise NFV Infrastructure der opplastede oppgraderingsfiler ikke blir verifisert ordentlig ved hjelp av kryptografiske signaturer. Cisco Expressway-produkter er også påvirket, der en angriper kan klare å benytte seg av falske sertifikater eller få en innlogget bruker til å utføre uautoriserte kommandoer på enheten (CSRF).
Referanser
https://www.cisa.gov/uscert/ncas/current-acti[...] https://tools.cisco.com/security/center/conte[...]

Sikkerhetshull i Windows utnyttet av hackergruppen Lazarus

Lazarus-gruppen er blitt den siste i en rekke av grupper som har utnyttet teknikken kalt BYOVD (Bring your own vulnerable driver). Gjennom å installere en sårbar driver signert av Dell, klarte angriperene å skru av all virusbeskyttelse i Windows. Intiell tilgang til maskinen ble oppnådd gjennom Word-dokumenter lastet ned med fiendtlige makroer. Etter å ha slått av virusbeskyttelsen kunne angriperne installere en bakdør. Fortsatt finnes det mange sårbare drivere som kan utnyttes på denne måten for å få utvidet tilgang til Windows-systemer.
Referanser
https://arstechnica.com/information-technolog[...]

Albania vurderte å utløse NATOs artikkel 5 etter cyber-angrep

Albania har vært rammet av flere bølger av cyber-angrep fra Iran, etter vedvarende konflikt mellom de to landene. Etter en bølge med angrep i juli, ble landet tvunget til å slå av mange offentlige tjenester, noe som skapte store forsinkelser i betalinger og utstedelse av dokumenter for innbyggerne. Albania vurderte å utløse artikkel 5, men valgte til slutt å ikke gjøre det da ingen mennesker ble direkte fysisk skadet i angrepene.
Referanser
https://www.politico.com/news/2022/10/05/why-[...]

2022.10.05 - Nyhetsbrev

NSA, CISA og FBI advarer om verktøy brukt av avanserte angripere.

NSA, CISA og FBI advarer om verktøy brukt av avanserte angripere

NSA, CISA og FBI advarer om verktøy brukt av flere APT-grupper. Angriperne brukte åpen kildekode-verktøyet "Impacket" for å bevege seg rundt i nettverket og det spesielt utviklede "CovalentStealer" for å eksfiltrere data. Verktøyene har i nyere tid blitt brukt for å stjele sensitiv informasjon fra leverandører til forsvaret. Verktøyene ble oppdaget av CISA og en tredjepart. Mer informasjon om hva APT gruppene gjorde i nettverket, samt IoCer, kan finnes i en detaljert rapport.
Referanser
https://www.nsa.gov/Press-Room/News-Highlight[...]

2022.10.04 - Nyhetsbrev

NSM advarer mot økning i antall cyberangrep mot norske selskaper. Google har sluppet sikkerhetsoppdateringer for Android.

NSM advarer mot økning i antall cyberangrep mot norske selskaper

I forbindelse med sikkerhetsmåneden har NSM sluppet rapporten Nasjonalt digitalt risikobilde 2022 som advarer om en økning i cyberangrep mot norske selskap. Både avanserte og enkle angrepsmetoder har blitt benyttet. De sektorene som er mest utsatt for cyberangrep i 2022 er ifølge NSM teknologibedrifter, forskning og utvikling, og offentlige forvaltningsorganer.
Referanser
https://www.digi.no/artikler/nsm-advarer-mot-[...] https://nsm.no/aktuelt/digitalt-risikobilde-2[...]

Google har sluppet sikkerhetsoppdateringer for Android

Månedenes sikkerhetsoppdateringer er ute for Android. Den mest alvorlige svakheten denne månedeen ligger i komponenten "Framework" og lar en applikasjon oppnå utvidede rettigheter på systemet uten at den trenger noen initielle rettigheter. Ellers er det en mengde sårbarheter som blir utbedret i forskjellige komponenter fra ulike leverandører.
Referanser
https://source.android.com/docs/security/bull[...]