Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Tuesday 31 January 2023

2023.01.31 - Nyhetsbrev

Hackere har stjålet krypterte kodesigneringssertifikater fra GitHub.

Hackere har stjålet krypterte kodesigneringssertifikater fra GitHub

GitHub har meldt at krypterte kodesigneringssertifikater, brukt til signering av deres Desktop og Atom-applikasjoner, har blitt stjålet av hackere. De har så langt ikke blitt brukt til skadelige formål.

Hendelsen ble først oppdaget den 6. desember 2022 da Github repoer og andre Github-eide selskapers kode ble klonet med en kompromittert "personal access token" (PAT).

Sertifikatene vil bli tibakekalt den 2. februar. Github har fjernet berørte versjoner av Atom applikasjonen 1.63.0-1.63.1 og Desktop app versjon 3.0.2-3.1.2. Disse vil også slutte å fungere etter 2. februar. Github utgav ny versjoner av applikasjonen den 4. januar med nye sertifikater som ikke har vært kompromittert.

Hendelsen skal ikke innebære noen risiko for brukerne og applikasjonene i seg selv skal ikke ha blitt modifisert.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Monday 30 January 2023

2023.01.30 - Nyhetsbrev

Russisk hackergruppe gikk til angrep mot sykehusnettsider. Microsoft oppfordrer igjen kundene til å oppdatere Exchange-serverne sine.

Russisk hackergruppe gikk til angrep mot sykehusnettsider

Killnet, en russisk hackergruppe stiftet rundt mars 2022, gikk i helgen til angrep mot sykehusnettsider over hele verden. I angrepslisten delt fra aktøren sin Telegram konto fant en også ni norske sykehus, derblant Ahus, SUS og St. Olavs hospital.

Norsk helsenett bekreftet at nettsidene til sykehusene opplevde ustabilitet og unormalt mye trafikk i flere omganger på lørdag. – Norsk helsenett observerte fire kortvarige bølger med økt trafikk mot sykehusenes nettsider, sier kommunikasjonsleder Mette Valle Sannes til VG. Det skjedde klokken 12.30, 16.00, 17.15 og 17.30. – Utover kortvarig ustabilitet på nettsidene i nevnte tidsrom, har hendelsene ikke medført negative konsekvenser for helsetjenesten, sier Sannes.
Referanser
https://www.vg.no/nyheter/innenriks/i/Xbdz47/[...]
https://www.digi.no/artikler/hackergruppe-fra[...]

Microsoft oppfordrer igjen kundene til å oppdatere Exchange-serverne sine

En rekke av de kjente IT-angrepene de senere årene har skjedd ved at angriperne har utnyttet kjente sårbarheter i Microsoft Exchange Server. Angrepene på Stortinget i 2020 og 2021 er de mest kjente her hjemme, men det tok ikke slutt etter dette.

Svært mange av angrepene kunne ha vært unngått dersom Exchange-kundene hadde installert de tilgjengelige sikkerhetsoppdateringene relativt raskt. Man skulle kanskje tro at verdens Exchange-administratorer hadde tatt lærdom av dette, men mye tyder på at det ikke alltid er slik.
Referanser
https://www.digi.no/artikler/microsoft-oppfor[...]

Friday 27 January 2023

2023.01.27 - Nyhetsbrev

Ransomware-infrastrukturen til "Hive" beslaglagt av Europol og nøkler for dekryptering overlevert til ofrene.

Ransomware-infrastruktur beslaglagt av Europol: HIVE

Europol har i samarbeid med europeiske og amerikanske myndigheter klart å ta ned infrastrukturen til HIVE, et ransomware-as-a-service produkt fra HIVE ransomware group. Fra juni 2021 til dags dato har over 1500 firmaer fra over 80 land blitt utsatt for HIVE ransomware. Det er estimert et tap på omtrent 100 millioner euro i løsepenger.

Etter at Europol beslagla infrastrukturen har flere dekrypteringsnøkler blitt funnet, noe som sparte bedrifter for opp mot 120 millioner euro i løsepenger.

FBI har i forbindelse med aksjonen utlovet en dusør på $10 millioner for tips som kan knytte Hive eller andre grupperinger til nasjonalstater.
Referanser
https://www.europol.europa.eu/media-press/new[...]
https://www.bleepingcomputer.com/news/securit[...]

Thursday 26 January 2023

2023.01.26 - Nyhetsbrev

CISA: Pass opp for misbruk av programvare for fjerntilgang.

CISA: Pass opp for misbruk av programvare for fjerntilgang

CISA advarer mot pågående misbruk av programvare for fjerntilgang. Cyber-kriminelle lurer ansatte til å laste ned legitime applikasjoner, som AnyDesk og ScreenConnect, ved hjelp av eposter eller telefonoppringninger. Ofrene blir så lurt til å gi angriperne tilgang til PCene. Målet med angrepene er gjerne overføring av penger eller tyveri av brukernavn og passord til diverse tjenester. TSOC har i det siste sett eksempler på denne typen data-angrep også i Norge.
Referanser
https://www.cisa.gov/uscert/ncas/alerts/aa23-025a

Wednesday 25 January 2023

2023.01.25 - Nyhetsbrev

Kritiske sårbarheter i VMware vRealize Log Insight. Apple iOS 16.3 kommer med støtte for hardware-sikkerhetsnøkler. Facebook utvider testingen av ende til ende kryptert Messenger-app. Internasjonal anti-ransomware-gruppe har startet opp.

Kritiske sårbarheter i VMware vRealize Log Insight

JustisCERT varsler om sårbarheter i VMware vRealize Log Insight. Totalt 4 CVEer ble publisert 24. januar 2023 hvor 2 er kategorisert som kritisk (CVE-2022-31703 og CVE 31704, begge med CVSS-score 9.8) og 1 som alvorlig (CVE-2022-31710 med CVSS-Score 7.5). De kritiske sårbarhetene gjør det mulig for en uautentisert angriper å legge til filer på en berørt enhet, noe som kan resultere i fjernkjøring av kode.

VMware har publisert nødvendige oppdateringer og mitigerende tiltak for støttede produkter.
Referanser
https://www.vmware.com/security/advisories/VM[...]

Apple iOS 16.3 kommer med støtte for hardware-sikkerhetsnøkler

Apple slipper i sin seneste iOS-oppdatering støtte for å bruke sikkerhetsnøkler i form av hardware-nøkler. Disse nøklene ser ut som små minnepenner og bruker USB-C (med adapter) eller NFC (Near-Field Communication) for tilkobling til en iPhone. Med NFC holder det dermed at en har nøkkelen i nærheten av telefonen når en skal autentisere. Disse nøklene kan brukes som et sikrere alternativ i stedet for den vanlige 6-sifrede koden for to-faktor autentisering. Med en hardware-nøkkel sikrer en at innloggingen gjøres fra en enhet tilkoblet nøkkelen. Phishing-angrep blir dermed umulig.
Referanser
https://www.bleepingcomputer.com/news/apple/a[...]

Facebook utvider testingen av ende til ende kryptert Messenger-app

Meta sier at de har begynt å teste ende-til-ende kryptering i Messenger-appen globalt. Flere brukere kan vente seg at appen deres vil få denne oppgraderingen. Fram til nå er det bare enkelte brukere i utvalgte land som har fått tilgang til krypteringen. Samtidig melder de at det også kommer ny funksjonalitet, i form av temaer, emojis, aktiv-status osv.
Referanser
https://thehackernews.com/2023/01/facebook-in[...]

Internasjonal anti-ransomware-gruppe har startet opp

Den australske regjeringen melder at en tidligere annonsert internasjonal anti-ransomware gruppe offisielt har startet arbeidet sitt. Gruppen som kaller seg The International Counter Ransomware Task Force (ICRTF) er et samarbeid mellom 36 nasjoner og EU, og har som formål å forhindre spredning og innvirkningen ransomware-angrep har. De siste årene har ransomware vist seg å bli en større trussel mot nasjonal sikkerhet.

Initiativet har fem undergrupper: Resilience (ledet av Litauen og India), disruption (ledet av Australia), counter illicit finance (ledet av UK og Singapore), public-private partnership (ledet av Spania) og diplomacy (ledet av Tyskland).
Referanser
https://therecord.media/international-counter[...]

Tuesday 24 January 2023

2023.01.24 - Nyhetsbrev

Kommando-og-kontroll systemet Sliver blir mer populært blant malware-utviklere. Apple slipper oppdateringer for mange av sine produkter. USA sin "no-fly" liste publisert åpent på nettet. Svakhet i Google sin Pixel 6 telefon ga root-tilgang.

Kommando-og-kontroll systemet Sliver blir mer populært blant malware-utviklere

Malware-utviklere trenger et system for å kommunisere med infiserte maskiner/systemer. Til dette benyttes gjerne ferdiglagede rammeverk som Cobalt Strike og Metasploit. Et nytt fritt tilgjengelig rammeverk kalt Sliver blir stadig mer populært skriver firmaet Cybereason i en ny rapport.
Referanser
https://thehackernews.com/2023/01/threat-acto[...]

Apple slipper oppdateringer for mange av sine produkter

JustisCERT har sendt ut varsel om sårbarheter som berører flere av Apple sine produkter. Apple publiserte 23.01.2023 informasjon om at de har rettet blant annet 14 sårbarheter i iOS/iPadOS, 18 som berører macOS Monterey, 26 som berører macOS Ventura og 8 som berører macOS Big Sure. Apple har også rettet 1 nulldagssårbarhet (CVE-2022-42856 som er observert aktivt utnyttet) i WebKit nettlesermotoren på iOS 12.5.7.
Referanser
https://support.apple.com/en-us/HT201222

USA sin "no-fly" liste publisert åpent på nettet

TSA (Transport Security Administration) undersøker hvordan USA sin liste over personer de ikke tillater på fly til eller over landet ble lekket på internett. CNN melder at en sveitsisk hacker oppdaget denne listen på en server som blir drevet av selskapet CommuteAir, som er et regionalt flyselskap i USA. CommuteAir melder at dataene som ble lekket er en eldre versjon fra 2019, men at den inneholder navn og fødselsdatoer. Denne listen inneholder informasjon om personer USA anser for å være terrorister, eller mulige terrorister og ble til som et resultat av terrorangrepene mot USA 11.september 2001.
Referanser
https://amp.cnn.com/cnn/2023/01/20/politics/t[...]
https://www.nrk.no/norge/hemmelig-liste-lekke[...]

Svakhet i Google sin Pixel 6 telefon ga root-tilgang

En svakhet (CVE-2022-38181) i Arm Mali GPUen, brukt i Google sin Pixel 6 telefon, kan gi ondsinnede aktører root tilgang og mulighet til å eksekvere kode, skriver sikkerhetsforsker Man Yue Mo på sin egen blogg. Svakheten kunne utnyttes fra en app uten spesielle rettigheter.

Selv om Android sin sikkerhetsavdeling anså svakheten som alvorlig, ville de ikke fikse den, men heller sende den videre til Arm sin sikkerhetsavdeling. Arm på sin side slapp en oppdatering av driveren: r40p0, 07.10.2022. Denne oppdateringen ble en del av Android i januar.
Referanser
https://github.blog/2023-01-23-pwning-the-all[...]

Monday 23 January 2023

2023.01.23 - Nyhetsbrev

Kundedata hos Zendesk på avveie: Ansatte ble utsatt for SMS-phishing. Advarer mot ny teknikk innen epost-phishing: OneNote-vedlegg.

Kundedata hos Zendesk på avveie: Ansatte ble utsatt for SMS-phishing

Zendesk, et amerikansk software-as-a-service (SaaS) selskap, har fått deler av sine kundedata lekket til en trusselaktør som følge av en SMS-phishing kampanje. Kundedataene skal ha blitt kompromittert oktober i fjor, men detaljer rundt omfanget er fremdeles ukjent.

Hendelsen ble offentliggjort av Coinigy, et selskap som spesialiserer seg innen virtuelle lommebøker. Det var altså ikke Zendesk som offentliggjorde denne informasjonen direkte, noe sikkerhetsforsker Jake Williams anser som kritikkverdig.
Referanser
https://www.darkreading.com/application-secur[...]

Advarer mot ny teknikk innen epost-phishing: OneNote-vedlegg

Trusselaktører har nå blitt observert i å benytte seg av OneNote-vedlegg til bruk i epost-phishing kampanjer, en teknikk tidligere brukt ved hjelp av Word eller Excel dokumenter. I juli i fjor endret Microsoft standardinnstillingene for makroer til å være avslått i Microsoft Office-dokumenter som var lastet ned fra nettet, som et tiltak mot potensiell skadevare. Ved å legge til Office-dokumentene som vedlegg til OneNote-filer, kan denne sperren omgås.

Office-vedleggene blir startet ved hjelp av Visual Basic Script-filer som også er vedlagt dokumentet. Disse filene blir gjemt under grafikk-elementer for å virke mer troverdige. Brukeren må også godta en eller flere sikkerhetsadvarsler, men erfaring tilsier at mange brukere ignorerer disse.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Friday 20 January 2023

2023.01.20 - Nyhetsbrev

Sårbarhet i FortiOS trolig utnyttet av kinesiske trusselaktører. Mørke tall for ransomware-grupper: 40 prosent nedgang i profitt.

Sårbarhet i FortiOS trolig utnyttet av kinesiske trusselaktører

Mandiant, et amerikansk kybersikkerhetsfirma og datterselskap av Google, følger nøye med på kinesiske kampanjer relatert til sårbarheter i Fortigate
FortiOS. Sårbarheten gjelder SSL-VPN (CVE-2022-42475) og ble klassifisert som en nulldagssårbarhet som lar en uautorisert angriper oppnå ektern kodeeksekvering.

Mandiant estimerer at denne sårbarheten ble utnyttet så tidlig som oktober 2022 med europeiske myndigheter og tjenestesentere i afrika som mål. Videre har Mandiant oppdaget en variant av skadevaren designet for Windows- og Linux-systemer med navn "BOLDMOVE", trolig brukt for å kunne utnytte FortiGate-brannmurer.
Referanser
https://www.mandiant.com/resources/blog/chine[...]
https://nvd.nist.gov/vuln/detail/CVE-2022-42475

Mørke tall for ransomware-grupper: 40 prosent nedgang i profitt

I løpet av 2022 har ransomware-grupper utpresset ofre for rundt $458.8 millioner, noe som er en nedgang på 40% i forhold til de siste to årene ($765 millioner). I følge data fra Chainalysis kan den drastiske nedgangen i profitt ikke korreleres med færre angrep totalt sett, men heller at ofrene nekter å betale løsepengene. Historisk sett har majoriteten av ofrene endt opp med å betale, der dette nå har snudd i 2022 med 59 prosent av ofrene som ikke endte opp med å betale løsepenger.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Thursday 19 January 2023

2023.01.19 - Nyhetsbrev

Oracle har sluppet sin kvartalsvise sikkerhetsoppdatering. Mailchimp kunngjør nytt datainnbrudd. Mozilla utgir sikkerhets-oppdateringer for Firefox.

Oracle har sluppet sin kvartalsvise sikkerhetsoppdatering

Oracle har sluppet sin kvartalsvise sikkerhetsoppdatering som utbedrer 327 svakheter i en rekke av deres produkter. Vi anbefaler alle med produkter fra Oracle om å ta en grundig gjennomgang av oppdateringen.
Referanser
https://www.oracle.com/security-alerts/cpujan[...]

Mailchimp kunngjør nytt datainnbrudd

Markedsførings-giganten Mailchimp har lagt ut en ny kunngjøring om enda et datainnbrudd som har lekket bruker-data. Dette er det andre datainnbruddet selskapet har hatt de siste seks månedene, hvor begge angrepene er nesten identisk utført. Trusselaktøren målrettet seg mot Mailchimp sine ansatte ved hjelp av sosial manipulering. På denne måten fikk de tak i passordene til de ansatte.

Sist gang Mailchimp ble kompromittert ble kunde-dataene som ble hentet ut brukt til målrettede phishing-angrep.
Referanser
https://techcrunch.com/2023/01/18/mailchimp-h[...]
https://mailchimp.com/january-2023-security-i[...]

Mozilla utgir sikkerhets oppdateringer for Firefox

17. januar ble Firefox versjon 109 kunngjort. Denne sikkerhetsoppdateringen fikser flere store sikkerhetshull, den mest alvorlige går ut på å tillate lesing av tilfeldige filer.
Referanser
https://www.mozilla.org/en-US/security/adviso[...]

Wednesday 18 January 2023

2023.01.18 - Nyhetsbrev

Microsoft har patchet fire SSRF-sårbarheter i Azure Cloud Services. GIT har patchet to kritiske svakheter. Analyst1 publiserer omfattende gjennomgang av LockBit ransomware. Sponsende søkeresultater fra Google sender brukerne til malware.

Microsoft har patchet fire SSRF-sårbarheter i Azure Cloud Services

Microsoft har fikset sårbarheter i fire forskjellige tjenester som er en del av Azure Cloud Services. Alle svakhetene er av typen SSRF - Server Side Request Forgery. Denne type svakhet kan gjøre at tjenesten som kontaktes igjen kontakter andre interne tjenester, som egentlig ikke skal være tilgjengelige for brukeren. Det er sikkerhetsforskere fra Orca Security som har avslørt svakhetene, som nå har blitt fikset. Microsoft hadde allerede mitigerende tiltak som begrenset effekten av svakhetene.
Referanser
https://www.darkreading.com/vulnerabilities-t[...]

GIT har patchet to kritiske svakheter

GIT har patchet to heap-baserte svakheter som gjorde det mulig for en angriper å få kjørt vilkårlig kode. Dette er fikset i versjon 2.30.7.

En tredje svakheter, som kun gjelder Windows, har enda ikke fått noen patch. GIT har sluppet råd for hvordan en kan unngå eksponering mot svakheten.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Analyst1 publiserer omfattende gjennomgang av LockBit ransomware

Analyst1 publiserer en omfattende gjennomgang skrevet av Jon DiMaggio der temaet omhandler LockBit, en type ransomware som har evnen til å kryptere filer på offeret sine datasystemer. Ofte blir LockBit brukt for å kreve løsepenger i form av krypto-valuta for å låse opp filene igjen. I artikkelen blir hele livssyklusen til LockBit fra september 2019 til januar 2022 gjennomgått.
Referanser
https://analyst1.com/ransomware-diaries-volume-1/

Sponsede søkeresultater fra Google sender brukerne til malware

Når en gjør Google-søk kommer det ofte opp sponsede resultater i toppen av resultat-listen. Hackere har nå satt opp falske nedlastings-sider for populære applikasjoner. De kjøper også annonseplasseringer som sender brukerne til disse sidene for å laste ned malware, kamuflert som ekte open-source programvare. Malwaren har i noen tilfeller blitt brukt til å stjele store verdier i form av krypto-valuta.

Husk å alltid verifisere at du henter ned programvare fra den egentlige utgiveren. Det kan også være en god idé å laste opp filer til tjenesten Virus Total for testing, før en kjører nedlastede programmer.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Monday 16 January 2023

2023.01.16 - Nyhetsbrev

Bloggpost om den pro-russiske hacktivist-gruppen NoName057(16). Gruppen GhostSec hevder å ha kryptert den første RTUen i historien. Stor lekkasje fra mobil-forensics firmaene Cellebrite og MSAB.

Bloggpost om den pro-russiske hacktivist-gruppen NoName057(16)

Sentinel Labs har skrevet en bloggpost om NoName057(16). Den pro-russiske gruppen har stått bak mengder av DDoS-angrep, sist mot flere banker i Danmark forrige uke. Gruppen stod også bak angrep mot NAV, Arbeidstilsynet, BankID og flere andre nettsteder i Norge sist sommer. Angrepene blir koordinert via en kanal i chatte-tjenesten Telgram. Primært bruker de verktøyet DDOSIA, som startes opp av tilhengerne av grupperingen. Angrepene foregår typisk via ressurskrevende HTTPS-forespørsler direkte mot tjenestene som angripes. Bidragsytere som genererer mest effektiv angrepstrafikk kan også få betaling.
Referanser
https://www.sentinelone.com/labs/noname05716-[...]

Gruppen GhostSec hevder å ha kryptert den første RTUen i historien

Ghost Security Group (også kjent som GhostSec) hevder på sosiale medier at de har klart å kryptere en RTU. En RTU (Remote Terminal Unit) er en type datamaskin brukt for å kontrollere programmerbare logiske kretser (PLC), samt mekaniske reléer. Industrielle transportbånd vil typisk være kontrollert av en RTU. Påstanden til GhostSec ble kjapt utfordret av andre instanser som mener at denne påstanden er feilaktig.

I en artikkel fra Synsaber påstår Ron Fabela at RTU-enheten gruppen klarte å kryptere ikke nødvendigvis kan klassifiseres som en RTU, der enheten mest sannsynligvis kjører OpenWRT (et operativsystem basert på Linux). Dette er i kontrast til en mer tradisjonell RTU, der operativsystemet ofte er mer spesiallaget til dens behov.
Referanser
https://pylos.co/2023/01/12/embedded-system-r[...]
https://synsaber.com/ghostsec-claim-rtu-ics-hack/

Stor lekkasje fra mobil-forensics firmaene Cellebrite og MSAB

Cellebrite og MSAB er firmaer som spesialiserer seg på forensics-undersøkelser av mobiltelefoner for myndigheter og politi. Cellebrite er israelsk, mens MSAB er svensk. Cellebrite har flere ganger blitt beskyldt for å selge utstyret og programvaren sin til regimer som misbruker dette mot opposisjonelle og journalister.

En anonym person skal nå ha sendt 1.7TB med interne data fra firmaene til nettstedet DDosSecrets for publisering. Hele programvarepakken til Celebrite skal være inkludert i lekkasjen.
Referanser
https://securityaffairs.com/140838/data-breac[...]

Friday 13 January 2023

2023.01.13 - Nyhetsbrev

32 sårbarhetsvarsler fra Juniper for diverse utstyr. DNV bekrefter at de har vært utsatt for ransomware

32 sårbarhetsvarsler fra Juniper

NkomCSIRT melder at Juniper har publisert 32 sårbarhetsvarsler for en rekke ulike produkter, hvorav tre var rangert som kritiske og knyttet til Contrail og Junos Space. De kritiske sårbarhetsvarslene er i stor grad knyttet til tredjeparts programvare eller underliggende OS/programvare og omhandler et stort antall sårbarheter. Flere av sårbarhetene som er rangert til høy kritikalitet berører Junos OS og Junos OS Evolved og fører til tjenestenekt og knyttet til prosessering i eksempelvis BGP, SNMP eller SIP ALG.

EkomCERT er ikke kjent med aktiv ondsinnet utnyttelse av de publiserte sårbarhetene.
Referanser
https://supportportal.juniper.net/s/global-se[...]

DNV bekrefter at de har vært utsatt for ransomware

DNV bekrefter i en melding på deres nettsted at de har vært utsatt for et angrep med ransomware. Angrepet skjedde lørdag 7. januar og rammet serverne til systemet "ShipManager". Dette er et system som brukes for flåtestyring. DNV råder kundene til foreløpig å bruke systemet i frakoblet modus, inntil de får opp ryddet opp.

Ingen andre systemer skal være rammet og DNV jobber sammen med politiet og eksperter for å få opp igjen systemer.
Referanser
https://www.dnv.com/news/cyber-attack-on-ship[...]

Thursday 12 January 2023

2023.01.12 - Nyhetsbrev

Royal Mail rammet av cyber-hendelse som gjør at post til utlandet har stoppet opp.

Royal Mail rammet av cyber-hendelse

Royal Mail i Storbritannia har problemer med import og eksport av post etter en cyber-hendelse. Post inn i landet er forsinket og post ut av landet har midlertidig stoppet nesten helt opp. Kundene har fått beskjed om ikke å levere inn flere pakker eller brev som skal ut av landet. Innenlands post fungerer som normalt.
Referanser
https://www.bbc.com/news/business-64231473

Wednesday 11 January 2023

2023.01.11 - Nyhetsbrev

Microsoft sin første patchetirsdag for 2023 fikser 98 svakheter. Adobe og SAP har også sluppet oppdateringer. Danske banker rammet av DDoS-angrep.

Sikkerhetsoppdateringer fra Adobe og SAP

I forbindelse med denne månedens patche-tirsdag har også Adobe og SAP sluppet oppdateringer.

Adobe har oppdatert Acrobe Reader, InDesign, InCopy og Dimension. Oppdateringen for Adobe Reader er vurdert som kritisk og gjelder både for Windows og macOS.

SAP har sluppet 12 oppdateringer med CVSS-score helt opp til 9.9 for diverse produkter.
Referanser
https://helpx.adobe.com/security/security-bul[...]
https://dam.sap.com/mac/app/e/pdf/preview/emb[...]

Danske banker rammet av DDoS-angrep

Danmarks sentralbank, Nationalbanken, har vært rammet av et tjenestenekt-angrep mandag og tirsdag, som har medført at bankens nettside var utilgjengelig. Angrepene har ikke påvirket sentrale systemer eller daglig drift som kan påvirke den finansielle infrastrukturen i Danmark.

Jyske Bank og Sydbank var også utilgjengelige i perioder.
Referanser
https://e24.no/internasjonal-oekonomi/i/GMyk4[...]
https://www.dr.dk/nyheder/seneste/nationalban[...]

Microsoft sin første patchetirsdag for 2023

Microsoft har sluppet sin første patchetirsdag for 2023, den fikser 98 svakheter hvor 11 er definert som kritiske. En av de kritiske svakhetene er en zero-day svakhet i Windows Advanced Local Procedure Call (ALPC) som kan gi en angriper SYSTEM-privilegier (CVE-2023-21674) og omgå sikkerheten i nettleseren Edge. Det er også andre svakheter i SMB (CVE-2023-21549) og Microsoft Cryptographic Services (CVE-2023-21561) som lar en angriper oppnå utvidede rettigheter.

Det er også kritiske svakheter i SharePoint Server, samt tunneleringsprotokollene L2TP og SSTP. Microsoft har imidlertid ikke vurdert det til at noen av de kritiske svakhetene er lette å utnytte.
Referanser
https://msrc.microsoft.com/update-guide
https://isc.sans.edu/diary/Microsoft+January+[...]

Tuesday 10 January 2023

2023.01.10 - Nyhetsbrev

Utvidet support for Windows 7 og 8/8.1 opphører i dag.

Utvidet support for Windows 7 og 8/8.1 opphører i dag

Vanlig support for Windows 7 og 8/8.1 opphørte allerede i 2018. Det har imidlertid vært mulig få utvidet support (ESU - Extended Security Update) mot betaling. I dag opphører imidlertid også denne muligheten, og sikkerhetsoppdateringer for disse gamle versjonene av Windows vil bli umulig å få via offisielle kanaler.
Referanser
https://www.theregister.com/2023/01/09/micros[...]

Monday 9 January 2023

2023.01.09 - Nyhetsbrev

TV 2 utsatt for dataangrep. Datainnbrudd hos Slack og CircleCI. Vi har publisert en oppsummering av nyhetsbildet innen datasikkerhet for desember 2022.

TV 2 utsatt for dataangrep

Torsdag 6. januar og fredag 7. januar ble TV2.no og TV 2 play utsatt for dataangrep. Angriperne skal ha utnyttet lekkede passord fra andre tjenester for å logge seg inn. Det er foreløpig meldt at 18.000 kunder må bytte sitt passord. For å ytterlig bekjempe angriperene har TV 2 valgt å sperre og tilbakestille passord på berørte kontoer. Datatilsynet er rutinemessig varslet, og TV 2 er også i dialog med Nasjonal Sikkerhetsmyndighet.
Referanser
https://www.digi.no/artikler/tv-2-utsatt-for-[...]
https://e24.no/teknologi/i/4obM3a/tv-2-utsatt[...]

Oppsummering av nyhetsbildet innen datasikkerhet for desember 2022

Vi har publisert en oppsummering av nyhetsbildet innen datasikkerhet for desember 2022. Det har vært en rolig jule- og nyttårshelg, men dessverre ble to norske bedrifter rammet av ransomware i løpet av måneden.
Referanser
https://telenorsoc.blogspot.com/2023/01/oppsu[...]

Datainnbrudd hos Slack og CircleCI

Ars Technica skriver om nylige innbrudd hos chatte-tjenesten Slack og firmaet CircleCi, som driver med testing av programvare. Hos Slack skal hangriperne ikke ha fått tilgang til kunde-informasjon. CircleCi anbefaler at kundene skifter ut al av passord og nøkler som har vært lagret på tjenesten.
Referanser
https://arstechnica.com/information-technolog[...]

Friday 6 January 2023

2023.01.06 - Nyhetsbrev

Den russiske trusselaktøren "Turla" bruker andre aktørers skadevare til egen fordel.

Den russiske trusselaktøren "Turla" bruker andre aktørers skadevare til egen fordel

Den russiske trusselaktøren "Turla", som forbindes med etterretningstjenesten FSB, har fått tilgang til andre trusselaktørers servere ved å registrere gamle domener assosiert med eldre USB-basert skadevare. Turla bruker dermed allerede infiserte systemer fra andre trusselaktører for å unngå å avsløre seg selv.

Turla sin "piggyback"-teknikk har vært observert siden september i fjor i forbindelse med "Andromeda"-skadevaren, som først ble oppdaget i 2013. Da det amerikanske selskapet Mandiant undersøkte kommando og kontroll serveren til Andromeda, oppdaget de at domene assosiert med Andromeda hadde blitt registrert på nytt i 2022, da antageligvis av Turla.
Referanser
https://www.wired.com/story/russia-turla-fsb-[...]

Thursday 5 January 2023

2023.01.05 - Nyhetsbrev

Det tok 11 timer for det danske forsvaret å avverge et DDoS-angrep. Fortinet fikser flere sårbarheter i FortiADC og FortiTester.

Det tok 11 timer for det danske forsvaret å avverge et DDoS-angrep

Den 8. desember fra klokken 9:38 til 13:40 medførte et DDoS-angrep mot det Danske forsvarets hjemmesider at sidene var utilgjengelige, uten at noen oppdaget dette. Angrepet ble utført med varierende intensitet og skiftende angrepsvektor og ble først stoppet etter 11 timer etter at det ble oppdaget. Skylden for nedetiden ble først lagt på en teknisk feil.
Referanser
https://www.dr.dk/nyheder/indland/det-tog-11-[...]

Fortinet fikser flere sårbarheter i FortiADC og FortiTester

Fortinet advarer kunder om CVE-2022-39947 som tillater vilkårlig kjøring av kode ved bruk av spesifikke HTTP-forespørsler mot FortiADC. Sårbarheten krever en lokal bruker på systemet for å kunne utnyttes. En liste over påvirkede versjoner og produkter finnes i referansen. Det er også en lignende svakhet i FortiTester: CVE-2022-35845.
Anbefaling
Patche eller oppdatere påvirkede systemer/produkter
Referanser
https://securityaffairs.com/140322/security/f[...]

Wednesday 4 January 2023

2023.01.04 - Nyhetsbrev

Kritiske sårbarheter hos Ferrari, BMW, Rolls Royce, Porsche osv. Raspberry Robin brukes til angrep mot finanssektoren i Europa.

Kritiske sårbarheter hos Ferrari, BMW, Rolls Royce, Porsche osv.

En gruppe sikkerhetsforskere har undersøkt appene og APIene til diverse billevarandører for svakheter. De har blant annet fått muligheten til å låse opp biler, starte biler, logge inn på interne tjenester hos leverandørene, logge inn som ansatte uten passord, ta full kontroll over brukerkontoer osv. Les rapporten for en gjennomgang av svakhetene.
Referanser
https://samcurry.net/web-hackers-vs-the-auto-[...]

Raspberry Robin brukes til angrep mot finanssektoren i Europa

Sikkerhetsforskere har avdekket at malware-rammeverket Raspberry Robin har blitt brukt i angrep mot europeiske firmaer i finans- og forsikringssektoren. Raspberry Robin sprer seg blant annet via USB-enheter og har vært observert også i Norge de siste månedene. Rammeverket er både vanskelig å detektere og dekompilere. Se bloggposten for en detaljert gjennomgang av sakene med IoCer.
Referanser
https://www.securityjoes.com/post/raspberry-r[...]

Monday 2 January 2023

2023.01.02 - Nyhetsbrev

Nord-Koreansk trusselaktør etterligner investerings-firmaer. Kanadisk gruvefirma stenger produksjonen etter ransomware-angrep. Ransomaware-aktøren Lockbit beklager ransomware-angrep mot sykehus.

Nord-Koreansk trusselaktør etterligner investerings-firmaer

Den finansielt motiverte Nord-Koreanske trusselaktøren BlueNoroff/HiddenCobra har opprettet en rekke nettsteder som etterligner sidene til kjente investerings-firmaer (VC). Banden sender ut falske jobb-tilbud til ansatte i diverse firmaer og lurer dem til å laste ned malware gjemt i .ISO-filer.
Referanser
https://www.scmagazine.com/analysis/identity-[...]

Kanadisk gruvefirma stenger produksjonen etter ransomware-angrep

Det kanadiske gruveselskapet Copper Mountain Mining Corporation (CMMC) ble rammet av et ransomware-angrep den 27. desember. Firmaet tok ned det interne nettverket for å avdekke hvilke systemer som var infisert. Produksjonen ble også tatt ned for å sjekke om OT-nettverket hadde blitt infisert. Hendelsen førte ikke til skader på mennesker, maskiner eller miljø.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Ransomaware-aktøren Lockbit beklager ransomware-angrep mot sykehus

Lockbit har lagt ut en offisiell beklagelse på sine nettsider, etter at deres programvare ble brukt til å kryptere datasystemene til et sykehus som behandlet barn. Lockbit opplyser at en av deres samarbeidspartnere utførte angrepet i strid med deres rettningslinjer og kontoen deres nå har blitt stengt. Sykehuset har blitt tilsendt programvare for å låse opp igjen krypterte systemer.

Lockbit har stått bak angrep mot flere sykehus tidligere, uten at de har lagt ut noen beklagelser.
Referanser
https://securityaffairs.com/140193/cyber-crim[...]

 
>