Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday 29 December 2023

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.12.29

Det har vært et rolig døgn.

Thursday 28 December 2023

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.12.28

Barracuda har fikset fersk svakhet i Email Security Gateway (ESG). Detaljer om Operation Triangulation, zero-click angrep mot iOS.


Barracuda har fikset fersk svakhet i Email Security Gateway (ESG)

Nettverks- og epost-sikkerhetsfirmaet Barracuda opplyser at de automatisk har patchet alle instanser av Email Security Gateway (ESG) 21. desember. Dette ble gjort etter at de oppdaget at en ukjent svakhet ble utyttet av kinesiske hackere i grupperingen UNC4841. Dagen etterpå sendte de ut enda en oppdatering for å fjerne malware kalt "SeaSpy" og "Saltwater" fra enheter som allerede hadde blitt infisert. Svakheten, som går under benevnelsen CVE-2023-7102, ligger i parsing av Excel-filer i vedlegg til eposter. Dette er andre gangen at Barracuda ESG er rammet av en zero-day svakhet i år.

Sårbarheter:

Detaljer om Operation Triangulation, zero-click angrep mot iOS

22. juni hadde nyhetsbrevet en sak om Operation Triangulation, en avansert overvåkingsprogramvare oppdaget av russiske Kaspersky som rettet seg mot iOS-enheter. Tilgang til enheten oppnås ved å sende en usynlig melding i iMessage, uten at brukeren kan oppdage noe eller trenger å foreta seg noe.

Kaspersky har nå sluppet detaljer om svakhetene som ble utnyttet og hvordan programvaren fungerer. Den benytter seg blant annet av en svakhet i TrueType-fonter, 2 kernel-svakheter, en svakhet i Safari-nettleseren og en udokumentert hardware-egenskap.

Wednesday 27 December 2023

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.12.27

Over 327 000 Android-enheter infisert av ny Xamalicious skadevare. EasyPark hacket – kundedata på avveie.


Over 327 000 Android-enheter infisert av ny Xamalicious skadevare

En ny skadevare, kalt Xamalicious, har blitt oppdaget av McAfee Mobile Research Team. Denne bakdøren utnytter operativsystemets tilgjengelighetsfunksjoner for å utføre skadelige handlinger og har allerede påvirket over 327 000 enheter. Xamalicious kan samle inn data om enheten og kontakte en kommando- og kontrollserver(C2) for å hente en sekundær fil med mer funksjonalitet. Den kan også oppdatere seg selv for å fungere som spionvare eller banktrojaner. McAfee har identifisert 25 apper som inneholder denne trusselen, hvor noen ble distribuert via den offisielle Google Play Store siden midten av 2020.

EasyPark hacket – kundedata på avveie

Parkeringsselskapet EasyPark melder at de er rammet av et datainnbrudd. "10. desember 2023 ble vi utsatt for et dataangrep. Angrepet resulterte i et innbrudd på ikke-sensitive kundedata", skriver EasyPark på sine nettsider. Selskapet opplyser videre at kunder kan åpne appen for å sjekke om de er berørt.

Friday 22 December 2023

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.12.22

Mozilla patcher Firefox og Thunderbird. Ny sofistikert trojaner rammer både macOS og Windows.


Mozilla patcher Firefox og Thunderbird

Mozilla har gitt ut nye versjoner av Firefox og Thunderbird for å fikse 20 sikkerhetssvakheter, inkludert flere feil i håndtering av minne. Den mest alvorlige svakheten i Firefox ligger i håndtering av verktor-grafikk i WebGL-biblioteket. De nye versjonene er Firefox 121 og Thunderbird 115.6.

Ny sofistikert trojaner rammer både macOS og Windows

AT&T Alien Labs har oppdaget en ny trojaner de kaller JaskaGO, som er spesialisert for å stjele informasjon som innholdet i krypto-lommebøker, passord, cookies osv. Den er skrevet i programmeringsspråket Go og har egne utgaver for både macOS og Windows. Anti-virus systemer har ingen eller svært mangelfull deteksjon.

Thursday 21 December 2023

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.12.21

Google patcher årets åttende zero-day i Chrome. Ny phishing-teknikk prøver å stjele backup-koder for innlogging til Instagram.


Google patcher årets åttende zero-day i Chrome

Google har sluppet en oppdatering for å patche en kritisk svakhet i Chrome som allerede utnyttes aktivt i angrep. Svakheten ligger i WebRTC-komponenten, som brukes til strømming av bilde og lyd og ble oppdaget av Googles eget TAG-team. Den nye versjonen er 120.0.6099.129/130.

Sårbarheter:

Ny phishing-teknikk prøver å stjele Instagram backup-koder

En ny phishing-kampanje gir seg ut for å være en copyright-klage fra rettighetshavere. Kampanjen er svært overbevisende utformet og spør til slutt om en to-faktor backup-kode for å sende inn svar på klagen. Disse kodene brukes i tilfelle brukeren har mistet tilgang til sine vanlige måter å bekrefte innlogging på, som SMS-koder.

Wednesday 20 December 2023

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.12.20

FBI har tatt ned Blackcat ransomware-gjengen sine nettsider og gitt ut krypteringsnøkler til ofre. Interpol har arrestert 3500 mistenkte for datakriminalitet. Nytt angrep mot SSH kan nedgradere sikkerheten.


FBI har tatt ned Blackcat ransomware-gjengen sine nettsider

FBI har tatt ned nettsidene til den kjente ransomware-gjengen ALPHV Blackcat. De har i flere uker overvåket aktivitetene til gjengen og stjålet nøkler for dekryptering av data, som de har videresendt til Blackcats ofre. 500 bedrifter har dermed fått låst opp dataene sine og har unngått å betale 68 millioner USD i løsepenger.

Etter aksjonen ble de beslaglagte sidene igjen endret tilbake til en melding fra Blackcat-gjengen om at de flytter til en ny nettadresse. Gjengen meldte også at de tillott sine "underleverandører" å angripe sykehus og kritisk infrastruktur fra nå av.

Mange spekulerer nå i at banden kommer til å skifte navn og flytte over til helt ny infrastruktur.

CISA og FBI har også gitt ut veiledning rundt Blackcat sine taktikker, teknikker og prosedyrer (TTPs) i forbindelse med aksjonen.

Interpol har arrestert 3500 mistenkte for datakriminalitet

Interpol melder at de har beslaglagt over 300 millioner USD og arrestert 3500 mistenkte i en global operasjon kalt "HAECHI IV". Aksjonen har pågått i seks måneder i 34 land og har rettet seg mot syv typer svindel-operasjoner: voice phishing, dating-svindel, sex-utpressing, investerings-svindel, hvitvasking i forbindelse med pengespill, BEC (business email compromise)-svindel og falske nettbutikker.

Nytt angrep mot SSH kan nedgradere sikkerheten

Det er avdekket en ny svakhet i SSH-protokollen kalt "Terrapin". Angrepet gjør det mulig for en angriper, som har tilgang til trafikkstrømmen mellom klient og server, å fjerne pakker i trafikkstrømmen under oppkoblingen av sesjonen uten at verken klient eller server kan oppdage angrepet. Dette kan blant annet brukes til å nedgradere sesjonen til mindre sikker kryptering. OpenSSH har gitt ut versjon 9.6 som fikser problemet.

Sårbarheter:

Tuesday 19 December 2023

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.12.19

Bedrifter på Jæren rammet av ransomware-angrep.


Bedrifter på Jæren rammet av ransomware-angrep

Rundt 30 bedrifter på Jæren, blant annet Norwegian Seals og SR-Group, er rammet av driftsproblemer etter at driftsleverandøren Nettdrift AS ble utsatt for ransomware.

"Angrepet er utført av en større, internasjonalt kjent trusselaktør og er gjennomført på en svært sofistikert måte", sier daglig leder i SR-Group, Dag Martin Smørdal. Til Stavanger Aftenblad opplyser Nettdrift AS at det er aktøren "Akira" som står bak angrepet.

Monday 18 December 2023

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.12.18

Sårbarheter i open-source brannmuren Netgate pfSense. Sikkerhetsbrudd hos MongoDB eksponerte kundedata.


Sårbarheter i open-source brannmuren Netgate pfSense

Sikkerhetsforskere fra SonarCloud oppdaget flere sikkerhetsproblemer i pfSense CE. Sårbarhetene er av typen XSS (cross-site-scripting) og kommando-injisering. Ekspertene påpekte at en angriper kan kombinere disse for å utføre vilkårlige kommandoer på en sårbar pfSense-enhet.

En trusselaktør kan lure en autentisert pfSense-bruker til å klikke på en ondsinnet utformet lenke som inneholder en XSS-nyttelast som utløser sårbarheten for kommandoinjisering.

Angrepscenariet kan innebære at trusselaktører sender spesielt utformede lenker i phishing-meldinger eller lurer offeret til å klikke på nettinnhold.

Feilene påvirker pfSense CE 2.7.0 og tidligere, samt pfSense Plus 23.05.1 og tidligere. Netgate adresserte sårbarhetene med utgivelsen av pfSense CE 2.7.1 og pfSense Plus 23.09.

Anbefaling:

Oppdatering av brannmurer til pfSense CE 2.7.1, pfSense Plus 23.09.

Sikkerhetsbrudd hos MongoDB eksponerte kundedata

MongoDB har bekreftet et sikkerhetsbrudd hvor kundedata ble eksponert. De informerte kundene om at et cyberangrep ble oppdaget onsdag kveld (13. desember), med uautorisert tilgang til selskapets systemer. MongoDB har uttalt at kundekonto-metadata og kontaktinformasjon er eksponert, men det er ingen indikasjoner på at data lagret i MongoDB Atlas er påvirket. Selskapet råder kunder til å aktivere flerfaktorautentisering og være på vakt mot målrettede phishing-forsøk.

Friday 15 December 2023

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.12.15

Microsoft har tatt ned tjeneste som lagde over 750 millioner falske kontoer. Ubiquiti-brukere får tilgang til andres utstyr.


Microsoft har tatt ned tjeneste som lagde over 750 millioner falske kontoer

Microsoft meldte på onsdag at de hadde tatt ned en tjeneste brukte av cyber-kriminelle for å skaffe seg falske kontoer hos Microsoft og andre leverandører. Via tjenesten kunne kriminelle kjøpe seg store mengder kontoer til bruk for phishing, spam, ransomware osv. Flere kjente trusselaktører har benyttet seg av tjenesten som har hatt millioner av dollar i inntekter.

Ubiquiti-brukere får tilgang til andres utstyr

13. desember har brukere av routere og overvåkingskameraer fra Ubiquiti meldt at de har fått tilgang til andre brukeres utstyr, etter å ha logget inn på firmaets skytjeneste UniFi. Firmaet melder at problemene skyldtes en konfigurasjons-feil i deres plattform som blandet sammen to grupper med brukere. Rundt 2400 brukere ble rammet av problemene, som nå skal være utbedret. Kontoer som ble aksessert av uvedkommende vil bli varslet via epost.

Thursday 14 December 2023

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.12.14

Trusselaktøren Volt Typhoon benytter seg av hjemmerouter-botnet.


Trusselaktøren Volt Typhoon benytter seg av hjemmerouter-botnet

Volt Typhoon er en trusselaktør som har kartlagt blant annet amerikansk kritisk infrastruktur. Aktøren benytter seg av et eget botnet bestående av utdaterte hjemmeroutere fra blant annet Cisco, Netgear og Fortinet. Enhetene har typisk flere sårbarheter eller svake passord, og det leveres ikke lengre oppdatert programvare for dem. Trusselaktøren benytter disse enhetene for å skjule sin kommunikasjon og få det til å virke som om data-trafikken går til enheter som er geografisk i nærheten av målet som angripes.

Wednesday 13 December 2023

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.12.13

Microsoft har sluppet patcher for desember. Kritisk svakhet i Apache Struts 2. Ukrainas største mobiloperatør Kyivstar rammet av cyber-angrep. Russiske APT28 bak pågende spionasje-kampanje mot europeiske mål.


Microsoft har sluppet patcher for desember

Microsoft har gitt ut sine patcher for desember 2023. Denne måneden er det kun 35 patcher, der 4 blir sett på som kritiske. Kun én av sårbarhetene er offentlig på forhånd og ingen av dem utnyttes så langt i aktive angrep. De kritiske sårbarhetene ligger i Internet Connection Sharing (ICS), Power Platform Connector og MSHTML.

Kritisk svakhet i Apache Struts 2

Apache melder om en kritisk svakhet i Apache Struts 2 som kan føre til vilkårlig kjøring av kode på serveren. Svakheten oppstår siden det er mulig å traversere kataloger og laste opp filer til serveren.

Anbefaling:

Oppgrader til versjon 2.5.33 eller 6.3.0.2.

Sårbarheter:

Ukrainas største mobiloperatør Kyivstar rammet av cyber-angrep

Tirsdag ble Kyivstar rammet av et større cyber-angrep. Kundedata skal ikke være på avveie, men både tale- og data-trafikk gikk ned og var ikke tilbake før onsdag kveld. Selskapet har selv tatt ned interne systemer etter å ha oppdaget angrepet, for å unngå videre ødeleggelser mens omfanget av angrepet kartlegges. Angrepet har blant annet ført til at varsling av flyangrep har gått ned i deler av Kyiv.

I går meldte også den ukrainse militære etterretningstjenesten at de hadde hacket seg inn hos det russiske skattvesenet og ødelagt store mengder data.

Russiske APT28 bak pågende spionasje-kampanje mot europeiske mål

Målene for kampanjen er først og fremst organisasjoner i europeiske land som har med tildeling av nødhjelp å gjøre.

Kampanjen involverer bruk av dokumenter som er spesielt utformet for å vekke interesse hos hvert enkelt av målene og gir seg ut for å komme fra kjente institusjoner som FN, Bank of Israel, EU-parlamentet osv.

Noen av angrepene bruker RAR-arkiver som utnytter svakheten kalt CVE-2023-38831 for å spre HeadLace, en bakdør som først ble avslørt av Emergency Response Team of Ukraine (CERT-UA) i angrep rettet mot kritisk infrastruktur i landet.

Tuesday 12 December 2023

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.12.12

Trusselaktører utnytter fortsatt Log4j-svakheten. Apple patcher 43 sårbarheter. 50.000 WordPress-nettsteder sårbare for kritisk svakhet i backup-plugin.


Trusselaktører utnytter fortsatt Log4j-svakheten

Kjente trusselaktører med bindinger til Nord-Korea har nylig brukt den to år gamle Log4Shell-sårbarheten til å angripe organisasjoner med tre nye trojanere for fjernstyring (RAT). Fortsatt bruker rundt 1/3 av applikasjoner som bruker Log4j-biblioteket en gammel og sårbar versjon.

Trusselaktører har nylig skiftet taktikk ved å bruke Log4Shell-sårbarheten til å installere skadelig programvare og utfører kommandoer for å samle blant annet systeminformasjon og passord. Det er primært eksponerte VMware Horizon-servere som har blitt kompromittert.

Sårbarheter:

Apple patcher 43 sårbarheter

Apple har i dag utgitt oppdateringer for iOS, macOS, tvOS og watchOS. Disse oppdateringene retter 43 sårbarheter. To av sårbarhetene utnyttes allerede. Forrige uke mottok disse to sårbarhetene rettelser for gjeldende versjoner av iOS og macOS. Denne nye oppdateringen dekker også eldre versjoner av iOS og macOS.

50.000 WordPress-nettsteder sårbare for kritisk svakhet i backup-plugin

En kritisk svakhet i en WordPress plugin kalt "Backup Migration" gjør at tusenvis av nettsteder kan bli kompromittert. Svakheten har fått en CVS på 9.8 av 10 og versjoner til og med v1.3.6 er sårbare. Svakheten gjør at en angriper kan kjøre vilkårlig PHP-kode uten å autentisere seg først. Vi anbefaler å oppdatere til versjon 1.3.8 som har fikset svakheten. Kompromitterte WordPress-sider blir ofte brukt til å legge ut malware og phishing-svindel.

Monday 11 December 2023

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.12.11

Ny metode for prosess-injisering omgår EDR-produkter.


Ny metode for prosess-injisering omgår EDR-produkter

Sikkerhetsforskere har funnet en ny metode for å injisere malware i legitime prosesser for å unngå deteksjon kalt "Pool Party". De nye teknikkene er testet mot fem kjente EDR-verktøy med hell. Injiseringen gjøres ved å ta kontroll over Window sin "thread pool".

Friday 8 December 2023

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.12.08

Chrome 120 retter 10 sårbarheter. Ny Bluetooth-svakhet lar hackere ta kontroll over Android, Linux, macOS og iOS-enheter. Nasjonal sikkerhetsmyndighet har inngått ulovlig låneavtale på 200 millioner kroner. UK navngir FSB-avdeling bak hacker-angrep og lekkasjer.


Chrome 120 retter 10 sårbarheter

Google har lansert Chrome 120 med rettelser for 10 sårbarheter, hvorav fem ble identifisert av eksterne forskere som nå har mottatt totalt $15 000 i bug bounty-belønninger. Den mest alvorlige sårbarheten, CVE-2023-6508, ble belønnet med $10 000 og er en "use after free"-feil i Media Stream. En annen betydelig feil, CVE-2023-6509, påvirker Chromes "Side Panel Search"-komponent.

Den nyeste Chrome-iterasjonen er nå versjon 120.0.6099.62 for macOS og Linux, samt versjoner 120.0.6099.62/.63 for Windows.

Ny Bluetooth-svakhet lar hackere ta kontroll over Android, Linux, macOS og iOS-enheter

En kritisk Bluetooth-sårbarhet kan utnyttes av trusselaktører for å ta kontroll over Android-, Linux-, macOS- og iOS-enheter. Identifisert som CVE-2023-45866, omhandler problemet omgåelse av autentisering som tillater angripere å koble seg til sårbare enheter og injisere tastetrykk, som kan føre til at en kan utføre kommandoer på enheten. Angriperen kan koble seg til uten at offeret får beskjed om det eller må godta oppkoblingen.

Sårbarheten påvirker et bredt spekter av enheter som kjører Android, iOS, Linux og macOS. Angrepet kan utføres fra en Linux-datamaskin med en vanlig Bluetooth-adapter, uten behov for spesialisert maskinvare. Flere tekniske detaljer om sårbarheten forventes å bli publisert senere.

Sårbarheter:

Situasjonsrapport fra Telenor SOC - november 2023

Vi har publisert vår situasjonsrapport fra Telenor SOC for november 2023. Denne måneden skriver vi blant annet om informasjons-stjeler malware, som gjør at en trusselaktører kan bruke Internett som om de satt på din PC.

Nasjonal sikkerhetsmyndighet har inngått ulovlig låneavtale på 200 millioner kroner

NSM-direktør Sofie Nystrøm har bedt om å få fratre med umiddelbar virkning. Dette har departementet akseptert. - Dette er en alvorlig sak. Justis- og beredskapsdepartementet vil, i samarbeid med Forsvarsdepartementet, sette inn en interimledelse i NSM, sier justis- og beredskapsminister Emilie Enger Mehl. Sammen med forsvarsministeren iverksetter hun flere umiddelbare tiltak.

UK navngir FSB-avdeling bak hacker angrep og lekkasjer

Den britiske regjeringen har beskyldt en avdeling i Russlands FSB for å stå bak en serie med cyber-angrep for å undergrave demokratiske institusjoner i landet. Den russiske ambassadøren har blitt kalt inn til samtaler.

Siden 2015 har de personlige epost-kontoene til hundrevis av britiske borgere blitt utsatt for datainnbrudd. Data har så blitt hentet ut og lekket for å støtte russiske interesser. Gruppen som skal stå bak angrepene er kjent som Calisto, COLDRIVER eller Star Blizzard og avdelingen "Centre 18" hos FSB skal stå bak. To personer fra avdelingen har blitt lagt til en britisk sanksjonsliste.

Microsoft har sluppet en rapport om hendelsen med oversikt over nye taktikker, teknikker og prosedyrer (TTP) fra trusselaktøren. CISA har også sluppet en oppdatering.

Thursday 7 December 2023

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.12.07

Trusselaktører kan utnytte AWS STS for å infiltrere skykontoer. NSM anbefaler virksomheter å gjøre gode juleforberedelser. Apple og Google gir regjeringer tilgang til push-varsler.


Trusselaktører kan utnytte AWS STS for å infiltrere skykontoer

Trusselaktører kan dra nytte av Amazon Web Services Security Token Service (AWS STS) som en måte å infiltrere skykontoer og utføre påfølgende angrep.

Tjenesten gjør det mulig for trusselaktører å etterligne brukeridentiteter og roller i skyomgivelser, ifølge analyser fra Red Canary-forskerne Thomas Gardner og Cody Betsworth.

AWS STS er en webtjeneste som gir brukere muligheten til å be om midlertidige, begrensede rettigheter for å få tilgang til AWS-ressurser uten å måtte opprette en AWS-identitet. Disse STS-tokenene kan være gyldige fra 15 minutter til 36 timer.

Trusselaktører kan stjele langsiktige IAM-token gjennom ulike metoder, som malware-infeksjoner, offentlig eksponerte legitimasjoner og phishing-e-poster, og deretter bruke dem til å fastslå roller og privilegier knyttet til disse tokenene via API-kall.

NSM anbefaler virksomheter å gjøre gode juleforberedelser

Ingen vil ha juleferien avbrutt av et cyberangrep. Med høytiden få dager og uker unna, deler NSM tre konkrete råd for digital beredskap for å sikre julefreden. God beredskap og klare planer for ferien tar ned risikoen for cyberangrep med alvorlige konsekvenser.

Apple og Google gir regjeringer tilgang til push-varsler

Etter opplysninger fra en amerikansk senator, har det kommet fram at Apple og Google gir regjeringer i flere land tilgang til push-varslene som kommer opp på telefoner. Disse varslene behandles ofte av Apple/Google før de kommer opp på mobilene. Varslene kan inneholde tekst som kan avsløre bruk av apper og noen ganger også tekst fra ellers krypterte apper. Google gir allerede detaljert informasjon rundt pålegg om å utlevere denne typen informasjon, mens Apple skal begynne nå.

Wednesday 6 December 2023

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.12.06

Atlassian lanserer kritiske programvarefiks for å forhindre ekstern kjøring av kode . Microsoft advarer om at den russiske støttede APT28 utnytter en kritisk sårbarhet i Outlook.


Atlassian lanserer kritiske programvarefiks for å forhindre ekstern kjøring av kode

Atlassian har lansert fikser for fire kritiske sårbarheter, inkludert deserialisering og fjernkjøringssårbarheter, i produkter som Confluence og Jira. Disse sårbarhetene kan tillate uautorisert eksekvering av kode. Brukere oppfordres sterkt til å oppdatere sine installasjoner for å unngå potensielle sikkerhetsrisikoer.

Microsoft advarer om at den russiske støttede APT28 utnytter en kritisk sårbarhet i Outlook.

Microsoft meldte på mandag at de oppdaget aktivitet fra en nasjonsstøttet trusselaktør, støttet av Kreml, som utnyttet en nå-lukket kritisk sikkerhetsfeil i Outlook e-posttjenesten for å få uautorisert tilgang til ofrenes kontoer innen Exchange-servere.

Sikkerhetsfeilen det dreier seg om er CVE-2023-23397 (CVSS score: 9.8), en kritisk privilegie-eskaleringssårbarhet som kunne tillate en angriper å få tilgang til en brukers Net-NTLMv2-hash, som deretter kunne brukes til å gjennomføre et releangrep mot en annen tjeneste for å autentisere seg som brukeren. Den ble patchet av Microsoft i mars 2023.

Sårbarheter:

Tuesday 5 December 2023

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.12.05

Kritisk Android-sikkerhetsoppdatering løser alvorlig sårbarhet for fjernutføring av kode. BBC: Hackere øker sine angrep mot kunder av Booking.com. Flere svakheter i SonicWall SSL-VPN SMA100.


Kritisk Android-sikkerhetsoppdatering løser alvorlig sårbarhet for fjernutføring av kode

Google kunngjorde i går at sikkerhetsoppdateringene for Android i desember 2023 adresserer 85 sårbarheter, inkludert én kritisk nullklikk-sårbarhet for fjerneksekvering av kode (RCE). Den identifiserte sårbarheten, CVE-2023-40088, er lokalisert i Androids System-komponent og tillater fjerneksekvering av kode uten behov for ekstra privilegier eller brukerinteraksjon, såkalt zero-click. Oppdateringen inkluderer også retting av 84 andre sikkerhetssårbarheter, hvorav fire er kritiske og påvirker Android Framework, System-komponenter og Qualcomm's closed-source komponenter.

Sårbarheter:

BBC: Hackere øker sine angrep mot kunder av Booking.com

Svindlere bruker nå en ny teknikk for å svindle penger fra ofre av booking.com-kunder. De får først tilgang til bruker-portalene til hoteller og andre reiseselskaper via phishing-angrep eller kjøp av innloggingsdetaljer. De bruker så booking.com sine systemer til å sende ut eposter der de ber kundene om ekstra innbetaling, forhåndsbetaling osv. Epostene er sendt fra hotellenes ekte booking.com-kontoer, så det er svært vanskelig å avsløre denne svindelen.

Flere svakheter i SonicWall SSL-VPN SMA100

JustisCERT varsler om sårbarheter i SMA-produkter fra SonicWall. Totalt 2 CVE ble publisert av SonicWall den 04.12.2023, begge er kategorisert som alvorlig (CVE-2023-44221 med CVSS-score 7.2 og CVE-2023-5970 med CVSS-score 6.3).

SonicWall har publisert oppdateringer til støttede produkter, som er: SonicWall SMA 100 serien (200, 210, 400, 410, 500v) med firmware 10.x eldre enn 10.2.1.10-62sv.

Monday 4 December 2023

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.12.04

UEFI-feil gjør at bootkits kan kompromittere enheter ved hjelp av bilder. Alvorlige sårbarheter i Gitlab CE og EE.


UEFI-feil gjør at bootkits kan kompromittere enheter ved hjelp av bilder

Sårbarheter i UEFI-systemfirmware fra ledende leverandører tillater angripere å levere skadelig kode som omgår sikker oppstart på hundrevis av enheter. Sårbarhetene, kalt "LogoFail", utnytter sårbarheter i bildedekodings-biblioteker i firmware og påvirker enheter fra Intel, Acer, og Lenovo, og dekker både x86- og ARM-arkitekturer. Svakhetene kan brukes til å plante skadelig kode på som lastes inn før operativsystemet, og dermed er vanskelig å oppdage. Fullstendige detaljer vil bli avslørt på Black Hat Europe i London.

Alvorlige sårbarheter i Gitlab CE og EE

HelseCERT melder om alvorlige svakheter i Gitlab Community Edition og Enterprise Edition. To av sårbarhetene er kategorisert som alvorlige. Vellykket utnyttelse av sårbarhetene muliggjør:

- Eksekvering av JavaScript-kode i brukerens nettleser (CVE-2023-6033, CVSS på 8.7 ALVORLIG)

- Privilegieeskalering (CVE-2023-6396, CVSS på 8.1 ALVORLIG)

Anbefaling:

Oppdater til versjon 16.6.1, 16.5.3 eller 16.4.3.

Friday 1 December 2023

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.12.01

Apple kommer med ny sikkerhetsoppdatering. Nytt angrep mot Bluetooth åpner for overtakelse av sesjoner.


Apple kommer med ny sikkerhetsoppdatering

Apple har sluppet sikkerhetsoppdateringer for å rette to null-dagssårbarheter for iPhone, iPad og Mac, som har blitt aktivt utnyttet i angrep. Feilene, oppdaget av Googles Threat Analysis Group, ligger i WebKit-nettlesermotoren og tillater angripere å få tilgang til sensitiv informasjon og kjøre tilfeldig kode på en sårbar enhet. Oppdateringene påvirker et bredt spekter av Apple-enheter, og kommer etter at 20 null-dagssårbarheter har blitt fikset i løpet av året.

De nye versjonene for produktene er iOS 17.1.2, macOS Sonoma 14.1.2 og Safari 17.1.2.

Nytt angrep mot Bluetooth åpner for overtakelse av sesjoner

Sikkerhetsforskere ved EURECOM har avdekket et nytt angrep mot Bluetooth-chipset som åpner for å ta over sesjoner mellom allerede sammenkoblede enheter. Angrepet fungerer ved at en spoofer de to enhetene, setter seg i midten av kommunikasjonen og får til en nedgradering av krypteringen som er brukt mellom enhetene. Flere leverandører jobber med en fiks for svakheten. Foreløpig anbefales det å avvise forbindelser med svak kryptering.

Sårbarheter:

Thursday 30 November 2023

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.11.30

CISA advarer om aktivt utnyttelsen av Unitronics programmerbare logiske kontrollere (PLC-er).


CISA advarer om aktivt utnyttelsen av Unitronics programmerbare logiske kontrollere (PLC-er)

CISA advarer om aktivt utnyttelsen av Unitronics programmerbare logiske kontrollere (PLC-er) i vann- og avløpssystemer. Cyber-trusselaktører retter seg mot disse PLC-ene. CISA anbefaler umiddelbare sikkerhetstiltak, inkludert endring av standardpassord, implementering av tofaktorautentisering, frakobling av PLC-er fra internett og sikkerhetskopi av konfigurasjoner for rask gjenoppretting. Andre forholdsregler inkluderer bruk av en annen TCP-port, oppdatering av PLC/HMI til den nyeste versjonen, og utforsking av verktøy og ressurser levert av CISA og WWS-sektorens partnere.

Wednesday 29 November 2023

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.11.29

0-dagssvakhet i Google Chrome utnyttes aktivt. Ransomware-aktører arrestert i Ukraina. Sårbarheter i produkter fra Zyxel.


0-dagssvakhet i Google Chrome utnyttes aktivt

Google har gitt ut en ny versjon av Google Chrome som fikser syv sikkerhetssvakheter, inkludert én som allerede utnyttes i aktive angrep. Denne svakheten, kjent som CVE-2023-6345, skyldes en integer-overflow svakhet i Skia, et bibliotek for 2D-grafikk. Dette er den sjette zero-day svakhet i Chrome i år.

Anbefaling:

Installer siste versjon: 119.0.6045.199.

Sårbarheter:

Ransomware-aktører arrestert i Ukraina

Politi fra syv land, inkludert Norge, var med i arrestasjon av fem personer i Ukraina mistenkt for å ha drevet med utpressing ved hjelp av ransomware. Personene er mistenkt for å vært involvert i angrep utført under navnene LockerGata, MegaCortex, Hive og Darma. De har kryptert over 1000 servere tilhørende større firmaer over hele verden og har krevet inn minst $82 millioner i løsepenger.

Etterforskningen startet etter angrepet mot Hydro og har vært i over fem år. Ti personer fra Kripos har vært i Kyiv i forbindelse med aksjonen. Én mistenkt sitter fra før arrestert i Norge. Fortsatt er det flere mistenkte som ikke er pågrepet.

Sårbarheter i produkter fra Zyxel

JustisCERT melder om sårbarheter som berører flere brannmur-produkter og aksesspunkt fra Zyxel. Totalt ni CVEer ble publisert 28. november, hvor en er kategorisert som alvorlig (CVE-2023-4398 med CVSS-score 7.5) og åtte som viktig (CVSS-Score til og med 5.5). Den alvorlige sårbarheten berører ATP, USG og VPN-produktene fra Zyxel.

Zyxel har publisert oppdateringer til sine brannmur-produkter og veiledning for oppgradering. Hotfix til berørte Zyxel aksesspunkt (AP) er kun tilgjengelig på forespørsel frem til nødvendig oppdatering blir publisert i 2024.

Anbefaling:

Installer relevante oppdateringer.

Sårbarheter:

Tuesday 28 November 2023

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.11.28

ownCloud avslører kritiske sikkerhetshull. Russiske hackere har offentliggjort danske personopplysninger.


ownCloud avslører kritiske sikkerhetshull

ownCloud er en tjeneste for samhandling og fildeling som benyttes av over 600 bedriftskunder. De har nå avslørt tre kritiske sårbarheter, hvor den alvorligste (CVE-2023-49103) i graph API-appen kan eksponere admin-passord, login-detaljer for epost-server og lisensnøkler. Angrepet utnytter en avhengighet i et tredjepartsbibliotek.

Den andre kritiske sårbarheten (CVE-2023-49105) lar angripere få tilgang til, endre eller slette filer uten autentisering. Den tredje sårbarheten påvirker oauth2-biblioteket.

ownCloud har rettet sårbarhetene og oppfordrer kunder til å implementere nødvendige tiltak, inkludert endring av passord. Eksempel-kode for utnyttelse har allerede blitt utgitt for én av svakhetene. Vi anbefaler ikke at en deler denne typen tjenester direkte ut mot nettet.

Russiske hackere har offentliggjort danske personopplysninger

Ransomware-gruppen Black Basta krevde seks millionar dollar for ikke å offentliggjøre 2.5TB med interne data som ble stjålet fra eiendomsmegler-kjeden EDC 1. november. Etter at EDC nektet å betale, har gruppen nå lagt ut personnummer, epost-adresser, adresser osv. for over 100.000 personer. De har også lagt ut kopier av pass, førerkort og sykdomshistorie for 1300 personer. EDC jobber med å varsle de som er rammet.

Monday 27 November 2023

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.11.27

Det har vært en rolig helg.

Friday 24 November 2023

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.11.24

Bilgigant utsatt for datainnbrudd – norsk nettløsning nede. macOS infiseres gjennom falske nettleseroppdatteringer.


Bilgigant utsatt for datainnbrudd – norsk nettløsning nede

Toyotas Europa- og Afrika-kontor gikk tidligere i november ut med en beskjed om at de hadde oppdaget uautorisert aktivitet i sine systemer i et "begrenset antall markeder".

NRK kan nå fortelle at datainnbruddet også har fått følger for norske kunder. I flere uker har nemlig nettløsningen til Toyotas finansieringsselskap vært nede.

Referanser:

https://nrkbeta.no/2023/11/23/bilgigant-utsatt-for-datainnbrudd-norsk-nettlosning-nede/

macOS infiseres gjennom falske nettleseroppdatteringer

ClearFake er en ny malware-kampanje som sprer informasjons-innhøsteren Atomic Stealer, en populær malware som retter seg mot MacOS. I den nye kampanjen blir brukerne lurt til å installere oppdateringer til nettleseren, etter å ha besøk en kompromittert nettside. Kampanjen støtter både Safari og Chrome. Dersom brukeren blir lurt, vil Atomic Stealer kopiere ut KeyChain passord, system-detaljer, desktop-filer og detaljer fra eventuelle krypto-lommebøker osv.

Referanser:

https://www.malwarebytes.com/blog/threat-intelligence/2023/11/atomic-stealer-distributed-to-mac-users-via-fake-browser-updates

Thursday 23 November 2023

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.11.23

Nordkoreanske hackere utgir seg som jobbrekrutterere og jobbsøkere i malware-kampanjer. Akamai har oppdaget to 0-dags sårbarheter som brukes av botnett. Videoredigerings-programmet CyberLink kompromittert i forsyningskjedeangrep . Mozilla utgir sikkerhetsoppdateringer for Firefox og Thunderbird.


Nordkoreanske hackere utgir seg som jobbrekrutterere og jobbsøkere i malware-kampanjer

Nordkoreanske trusselaktører er knyttet til to kampanjer der de utgir seg både som jobbrekrutterere og jobbsøkere for å distribuere skadevare og oppnå uautorisert ansettelse i organisasjoner basert i USA og andre deler av verden. Den førstnevnte kampanjen har som mål å infisere utvikler-PCer og stjele kryptovaluta, mens den sistnevne har som mål å tjene penger for regimet.

Referanser:

https://thehackernews.com/2023/11/north-korean-hackers-pose-as-job.html
https://unit42.paloaltonetworks.com/two-campaigns-by-north-korea-bad-actors-target-job-hunters/

Akamai har oppdaget to 0-dags sårbarheter som brukes av botnett

Akamais Security Intelligence Response Team (SIRT) har oppdaget to 0-dags sårbarheter som brukes aktivt for å innlemme sårbare enheter i et botnett. Botnettet brukes for å utføre større DDoS-angrep. og Akamai har fulgt det siden slutten av 2022. Svakhetene det er snakk om ligger i routere og utstyr for videoovervåking som enda ikke har blitt patchet.

Referanser:

https://www.akamai.com/blog/security-research/new-rce-botnet-spreads-mirai-via-zero-days

Videoredigerings-programmet CyberLink kompromittert i forsyningskjedeangrep

En trusselaktør Microsoft følger som "Diamond Sleet" (Lazarus Group) har kompromittert et populært program for videoredigering kalt CyberLink. Produsenten ble kompromittert, og en versjon av programvaren med malware inkludert ble lagt ut for nedlasting i oktober. Malwaren kontakter en kommando og kontroll-server og laster eventuelt ned mer malware.

Referanser:

https://www.microsoft.com/en-us/security/blog/2023/11/22/diamond-sleet-supply-chain-compromise-distributes-a-modified-cyberlink-installer/
https://thehackernews.com/2023/11/north-korean-hackers-distribute.html

Mozilla utgir sikkerhetsoppdateringer for Firefox og Thunderbird.

Mozilla har nylig lansert viktige sikkerhetsoppdateringer for både Firefox og Thunderbird. Disse oppdateringene retter opp sårbarheter som kan utnyttes for å få uautorisert kontroll over sårbare systemer.

Cybersecurity and Infrastructure Security Agency (CISA) oppfordrer alle brukere og administratorer til å ta en nærmere titt på de aktuelle rådene, og sørge for å installere de nødvendige oppdateringene så raskt som mulig.

Referanser:

https://www.cisa.gov/news-events/alerts/2023/11/22/mozilla-releases-security-updates-firefox-and-thunderbird#Cybersecurity
https://www.mozilla.org/en-US/security/advisories/mfsa2023-51/
https://www.mozilla.org/en-US/security/advisories/mfsa2023-49/

Wednesday 22 November 2023

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.11.22

Check Point har sammenlignet ransomware på Linux og Windows. Atlassian har sluppet oppdateringer for diverse produkter.


Check Point har sammenlignet ransomware på Linux og Windows

Cisco har sett på noen nylige ransomware-angrep som har rettet seg mot Linux-systemer, flere mot ESXi-systemer. De har også sammenlignet disse med ransomware-rettet mot Windows, og har funnet ut at Linux-variantene fortsatt er enklere.

Referanser:

https://research.checkpoint.com/2023/the-platform-matters-a-comparative-study-on-linux-and-windows-ransomware-attacks/

Atlassian har sluppet oppdateringer for diverse produkter

Alassian har gitt ut 26 sikkerhetsoppdateringer for november. Svakhetene befinner seg i Confluence, Jira, Crowd, Bitbucket og Bamboo.

Anbefaling:

Oppdater til minimum versjons-numrene listet opp i artikkelen.

Referanser:

https://confluence.atlassian.com/security/security-bulletin-november-21-2023-1318881573.html

Tuesday 21 November 2023

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.11.21

Carbon Black: Infeksjoner med NetSupport RAT øker.


Infeksjoner med NetSupport RAT øker

VMware Carbon Black melder i en ny rapport at trusselaktører retter seg mot utdannings-, regjerings- og næringslivssektorene med en fjernstyringstrojaner kalt NetSupport RAT. Leveringsmekanismene for skadevaren inkluderer falske oppdateringer for kjent programvare, drive-by-nedlastinger, bruk av skadevarelastere (f.eks. GHOSTPULSE), og ulike former for phishing-kampanjer.

Referanser:

https://thehackernews.com/2023/11/netsupport-rat-infections-on-rise.html
https://blogs.vmware.com/security/2023/11/netsupport-rat-the-rat-king-returns.html

Monday 20 November 2023

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.11.20

Tomra: På innsiden av et dataangrep. FBI og CISA informerer om Scattered Spider sine teknikker.


Tomra: På innsiden av et dataangrep

I sommer ble den norske giganten Tomra utsatt for alle virksomheters mareritt. Det skulle koste dem 200 millioner kroner å rydde opp. Les mer om hendelsen og oppryddningen hos NRK.

Referanser:

https://www.nrk.no/kultur/xl/pa-innsiden-av-et-dataangrep-1.16631261

FBI og CISA informerer om Scattered Spider sine teknikker

Det føderale etterforskningsbyrået FBI og Cybersecurity and Infrastructure Security Agency (CISA) sender ut en felles advarsel om den økende cybertrusselen fra Scattered Spider. Gruppen som er kjent for datautpressing og bruk av BlackCat/ALPHV ransomware, utnytter avanserte sosiale manipulasjonsteknikker som phishing i tillegg til teknikker som filkryptering.

Advarselen gir innsikt i Scattered Spiders taktikker. FBI og CISA oppfordrer virksomheter til å styrke sikkerheten ved å implementere anbefalte tiltak for å redusere risikoen for cyberangrep fra Scattered Spider, inkludert forbedret applikasjonskontroll og sikker autentisering.

Referanser:

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-320a

Friday 17 November 2023

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.11.17

Ti vanlige sårbarheter i norske IKT-systemer. Utviklere legger fortsatt inn innloggingsdetaljer i kildekode. Fersk svakhet i Zimbra brukt mot regjeringer i flere land. Telenor registrerer stor økning i svindelanrop som gir seg ut for å være fra politiet.


Ti vanlige sårbarheter i norske IKT-systemer

Selv om programvare, nettverk, brukere og virksomheter blir sikrere, ser NSMs inntrengingstestere at de samme sårbarhetene går igjen år etter år. Derfor har NSM samlet de ti vanligste sårbarhetene – og råd for hvordan de kan håndteres – i rapporten Ti sårbarheter i norske IKT-systemer.

Referanser:

https://nsm.no/regelverk-og-hjelp/rapporter/ti-sarbarheter-i-norske-ikt-systemer

Utviklere legger fortsatt inn innloggingsdetaljer i kildekode

Ars Technica har en artikkel om problemet med kildekode som inneholder passord, API-nøkler, SSH-nøkler osv. Problemet har vært kjent i mer enn et tiår, men fortsatt er det mange som gjør feilen, selv større organisasjoner. Angripere kan hente ut denne typen informasjon fra offentlige biblioteker som GitHub, PyPi osv. Det finnes flere måter å unngå problematikken på, som bruk av private .env-filer for sensitive data og ulike passordhvelv-tjenester fra leverandører som Google, Amazon og Microsoft.

Referanser:

https://arstechnica.com/security/2023/11/developers-cant-seem-to-stop-exposing-credentials-in-publicly-accessible-code/

Fersk svakhet i Zimbra brukt mot regjeringer i flere land

Google TAG oppdaget i juni 2023 en fersk svakhet (zero-day) i epost-systemet Zimbra. Svakheten ble utnyttet av fire forskjellige trusselaktører til å stjele eposter, login-detaljer og autentiseringsnøkler. En offisiell patch ble først gjort tilgjengelig 25. juli. En av trusselaktørene som utnyttet svakheten, "Winter Vivern", har også tidligere utnyttet svakheter i Zimbra og Roundcube. Denne trusselaktøren knyttes ofte mot Russland og Belarus.

Sårbarheter

CVE-2023-37580

Referanser:

https://blog.google/threat-analysis-group/zimbra-0-day-used-to-target-international-government-organizations/

Telenor registrerer stor økning i svindelanrop som gir seg ut for å være fra politiet

I forrige uke fanget Telenors svindelfiltre i mobilnettet opp over 1,1 millioner uønskede samtaler. I løpet av en vanlig uke ligger antallet på rundt 400.000. Økningen skyldes i stor grad mange tilfeller av politisvindel, altså at svindlere ringer opp og gir seg ut for å være fra politiet.

– Politiet vil aldri, aldri, aldri spørre deg om din BankID. Dette er det utrolig viktig at folk forstår og husker på, sier politiinspektør og næringslivskontakt i Oslo politidistrikt, Christina Rooth, i pressemeldingen.

Referanser:

https://www.online.no/sikkerhet/advarer-mot-politisvindel/

Thursday 16 November 2023

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.11.16

FBI sliter med å stoppe ransomware-gjeng. Fortinet utgir sikkerhetsoppdateringer for FortiClient og FortiGate.


FBI sliter med å stoppe ransomware-gjeng

Reuters har snakket med ni sikkerhetsseksperter som mener at FBI har problemer med å stoppe en ransomware-gruppe (Scattered Spider) som har rammet mange mål, spesielt i USA, i løpet av de siste to årene. Retuers mener at FBI har kjent identiteten til minst 12 medlemmer av gruppen, som har stått bak angrep blant annet mot MGM Resorts og Caesars Entertainment. Flere av medlemmene skal befinne seg på amerikansk jord, men lite skjer. FBI nekter å kommentere saken.

Referanser:

https://www.reuters.com/technology/cybersecurity/fbi-struggled-disrupt-dangerous-casino-hacking-gang-cyber-responders-say-2023-11-14/

Fortinet utgir sikkerhetsoppdateringer for FortiClient og FortiGate

Fortinet patcher blant annet en generell SOCKS5-proxy svakhet i libcurl, mulighet for å slette filer på systemet som en vanlig bruker, samt DLL-hicjacking gjennom endringer i en konfigurasjonsfil. Brukere av Fortinet-utstyr anbefales å oppdatere!

Referanser:

https://www.cisa.gov/news-events/alerts/2023/11/14/fortinet-releases-security-updates-forticlient-and-fortigate
https://www.fortiguard.com/psirt/FG-IR-23-385
https://www.fortiguard.com/psirt/FG-IR-22-299
https://www.fortiguard.com/psirt/FG-IR-23-274

Wednesday 15 November 2023

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.11.15

Microsofts har gitt ut sikkerhetsoppdateringer for november 2023. Intel patcher svakhet i flere av sine CPUer med ny mikrokode. Ny svakhet rammer AMD-CPUer: CacheWarp. Eksponerte enheter i ytterkant av nettverk utnyttes av Kina. Kritisk feil i VMware Cloud Director Appliance omgår autentisering. Sikkerhetsoppdateringer fra Adobe og SAP.


Microsofts har gitt ut sikkerhetsoppdateringer for november 2023

Microsoft har gitt ut sine månedlige sikkerhetsoppdateringer for november. Totalt er det 58 sårbarheter, inkludert fem null-dagers sårbarheter (utnyttes allerede aktivt).

Norske NCSC fremhever tre kritiske følgende tre kritiske svakheter:

  • CVE-2023-36397: Sårbarhet i Windows Internet Connection Sharing hvor en angriper under visse omstendigheter kan sende en ondsinnet fil over nettverket, og som et resultat kjøre vilkårlig kode.

  • CVE-2023-36400: Sårbarhet i forbindelse med Windows HMAC Key Derivation hvor en angriper under visse omstendigheter kan ta kontroll over systemet.

  • CVE-2023-36052: Sårbarhet i Azure kommandolinjeverktøy (CLI) hvor en angriper kan søke etter og lese innloggingsdetaljer i logger som lagres i åpne lagringsplasser.

NCSC fremhever videre tre sårbarheter som har blitt aktivt utnyttet:

  • CVE-2023-36025: Sårbarhet i Microsoft Security SmartScreen hvor en angriper kan omgå Windows Defender SmartScreen dersom en bruker trykker på en spesifikt utformet Internet Shortcut (.URL) fil eller link til en slik fil.

  • CVE-2023-36033: Sårbarhet i Windows DWM Core Library hvor en angriper kan oppnå SYSTEM rettigheter ved lokal utnyttelse.

  • CVE-2023-36036: Sårbarhet i Windows Cloud Files Mini Filter Driver hvor en angriper kan oppnå SYSTEM rettigheter ved lokal utnyttelse.

Referanser:

https://www.bleepingcomputer.com/news/microsoft/microsoft-november-2023-patch-tuesday-fixes-5-zero-days-58-flaws/
https://nsm.no/fagomrader/digital-sikkerhet/nasjonalt-cybersikkerhetssenter/varsler-fra-ncsc/patchetirsdag-november-2023
https://isc.sans.edu/diary/Microsoft+Patch+Tuesday+November+2023/30400/
https://msrc.microsoft.com/update-guide

Intel patcher svakhet i flere av sine CPUer med ny mikrokode

Intel har funnet en sikkerhetssårbarhet i enkelte av sine prosessorer. Dette kan føre til eskalering av privileger og/eller informasjonsavsløring og/eller tjenestenekt via lokal tilgang, etter å ha fått CPUen over i en spesiell tilstand. Svakheten kan være alvorlig i delte miljøer, som skymiljøer. Enkelte av de berørte produktene er 10th og 11th Gen Intel prosessor.

Sårbarheter

CVE-2023-23583

Referanser:

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00950.html
https://lock.cmpxchg8b.com/reptar.html

Ny svakhet rammer AMD-CPUer: CacheWarp

CacheWarp er et nytt programvarebasert angrep mot AMD SEV-ES og SEV-SNP (Secure Encrypted Virtualization), som tillater angripere å manipulere kontrollflyten og få tilgang til krypterte virtuelle maskiner (VM-er). Angrepet gir også mulighet for fjernkjøring av kode ved å ta over eldre autentiserte sesjoner. Svakheten skal ikke ramme tradisjonelle virtualiserte maskiner som ikke benytter seg av AMD SEV.

Svakheten har fått benevnelsen CVE-2023-20592 og tilbyr en mikrokodeoppdatering for å løse sårbarheten.

Sårbarheter

CVE-2023-20592

Referanser:

https://cachewarpattack.com/#faq
https://www.amd.com/en/resources/product-security/bulletin/amd-sb-3005.html

Eksponerte enheter i ytterkant av nettverk utnyttes av Kina

Recorded Future har nettopp gitt ut en rapport om angreps-aktivitet fra Kina. I det siste har Kinesiske aktører økt sine angrep mot såkalt "edge-devices", altså enheter som står i ytterkant av bedrifters nettverk og er eksponert mot Internet. Flere ransomware-aktører har også utnyttet denne typen enheter i det siste. Disse enhetene er ekstra sårbare mot ferske angrep, før de blir patchet. De bør derfor patches kjapt, overvåkes ekstra nøye og tilgang til interne systemer i nettet bør begrenses så mye som mulig.

Referanser:

https://www.darkreading.com/vulnerabilities-threats/zero-days-in-edge-devices-china-cyber-warfare-tactic
https://www.recordedfuture.com/charting-chinas-climb-leading-global-cyber-power

Kritisk feil i VMware Cloud Director Appliance omgår autentisering

VMware har utgitt en nødoppdatering for en alvorlig autentiseringsfeil i Cloud Director Appliance-produktet. Feilen, med en alvorlighetsgrad på 9.8 av 10, tillater ondsinnede aktører med nettverkstilgang å omgå påloggingsbegrensninger på spesifikke porter. Sårbarheten rammer enheter som har blitt oppgraderte fra eldre versjoner til VMware Cloud Director Appliance versjon 10.5. VMware anbefaler bedrifter å følge deres retningslinjer for å avhjelpe risikoen.

Sårbarheter

CVE-2023-34060

Referanser:

https://www.securityweek.com/critical-authentication-bypass-flaw-in-vmware-cloud-director-appliance/
https://www.vmware.com/security/advisories/VMSA-2023-0026.html

Sikkerhetsoppdateringer fra Adobe og SAP

JustisCERT melder om oppdateringer fra Adobe og SAP.

Adobe har publisert 14 bulletiner som dekker 76 CVE hvor 40 er vurdert som kritisk (CVSS-score til og med 9.8). Flere av sårbarhetene gjør det mulig for angriper å kjøre vilkårlig kode. De kritiske sårbarheten berører Acrobat and Reader, After Effects, Audition, ColdFusion, FrameMaker Publishing Server, InCopy, Media Encoder, Photoshop, Premiere Pro og RoboHelp Server.

SAP Security Patch Day for november2023 inneholder 3 nye bulletiner med CVSS-score opp til 9.6.

Referanser:

https://helpx.adobe.com/security/security-bulletin.html
https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10

 
>