Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.10.31

Alvorlige sårbarheter i NGINX Ingress Controller truer sikkerheten til Kubernetes Cluster.

---

Alvorlige sårbarheter i NGINX Ingress Controller truer sikkerheten til Kubernetes Cluster

Tre alvorlige sårbarheter i NGINX ingress controller for Kubernetes har blitt avdekket, kjent som CVE-2023-5043, CVE-2023-5044 og CVE-2022-4886. Disse sårbarhetene muliggjør tyveri av påloggingsinformasjon og andre hemmeligheter fra Kubernetes-cluster. De to første sårbarhetene, med høy alvorlighetsgrad, stammer fra feil inndatahåndtering og kan utnyttes til å injisere skadelig kode, få utvidet tilgang og stjele sensitive data. For å redusere risikoen anbefales det å konfigurere sikkerhetsflagg i ingress controller. Den tredje sårbarheten er også alvorlig og kan utnyttes til å få tilgang til Kubernetes API-autentiseringsopplysninger, og deretter kan angriperen stjele alle hemmeligheter i clusteret. Sikring mot denne sårbarheten avhenger av konfigurasjonen av pathType-feltet. Sårbarhetene setter fokus på en grunnleggende utfordring, da ingress controller har høye privilegier og ofte er eksponert for ekstern trafikk, noe som øker risikoen for angrep.

Sårbarheter

CVE-2023-5043

Referanser:

https://www.theregister.com/2023/10/30/unpatched_nginx_ingress_controller_bugs/
https://thehackernews.com/2023/10/urgent-new-security-flaws-discovered-in.html

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.10.30

Hackere tjente over 1 million dollar på 58 null-dager under Pwn2Own Toronto. LooneyPwner - exploitverktøy som retter seg mot "Looney Tunables" Glibc-sårbarheten.

---

Hackere tjente over 1 million dollar på 58 null-dager under Pwn2Own Toronto

Hackingkonkurransen Pwn2Own Toronto 2023 avsluttet med at sikkerhetsforskere tjente over 1 million dollar for 58 null-dagers angrep på forbrukerprodukter som mobiltelefoner og IoT-enheter. Team Viettel vant konkurransen, etterfulgt av Team Orca. Angrepene rammet enheter fra flere produsenter, og leverandører har 120 dager til å utgi oppdateringer for de utnyttede sårbarhetene.

Referanser:

https://www.bleepingcomputer.com/news/security/hackers-earn-over-1-million-for-58-zero-days-at-pwn2own-toronto/

LooneyPwner - exploitverktøy som retter seg mot "Looney Tunables" Glibc-sårbarheten

LooneyPwner er et proof-of-concept exploit-verktøy som retter seg mot den kritiske "Looney Tunables"-sårbarheten i GNU C Library (glibc) kjent som CVE-2023-4911. Sårbarheten ble nylig avslørt og kan gi angripere root-tilgang på Linux-distribusjoner som Fedora, Ubuntu og Debian. LooneyPwner identifiserer glibc-versjoner, sjekker sårbarhetsstatus og gir muligheten for utnyttelse.

Svakheten brukes for å oppnå utvidede lokale rettigheter og kan utbedres ved å oppdatere til siste versjon av glibc.

Sårbarheter

CVE-2023-4911

Referanser:

https://www.kitploit.com/2023/10/looneypwner-exploit-tool-for-cve-2023.html

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.10.27

Kritisk svakhet i F5 BIG-IP.

---

Kritisk svakhet i F5 BIG-IP

JustisCERT varsler om sårbarheter i produkter fra F5. Totalt 2 CVE ble publisert 26.10.2023, hvor 1 er kategorisert som kritisk (CVE-2023-46747 med CVSS-score 9.8) og 1 som alvorlig (CVE-2023-46748 med CVSS-score 8.8). Den kritiske sårbarheten gjør det mulig for en uautentisert angriper å kjøre kode på F5 BIG-IP. F5 har publisert en oversikt over berørte produkter og nødvendige oppdateringer.

Anbefaling:

Oppdater berørt utstyr.

Sårbarheter

CVE-2023-46747, CVE-2023-46748

Referanser:

https://my.f5.com/manage/s/article/K000137368

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.10.26

Microsoft skriver om avansert økonomisk motivert aktør. Trusselaktør utnytter sårbarhet zero-day i Roundcube. Apple oppdaterer iOS og macOS.

---

Microsoft skriver om avansert økonomisk motivert aktør

Microsoft har skrevet en artikkel om den Nord-koreanske aktøren Octo Tempest, også kjent som 0ktapus, Scattered Spider og UNC3944. Aktøren er finansielt motivert og benytter seg av sosial manipulasjon for å oppnå initiell tilgang til firmaer over hele verden. Microsoft anser denne aktøren for å være en av de mest avanserte innen sitt felt. Det kan derfor være en god idé å studere taktikkene, teknikkene og prosedyrene (TTP) til aktøren som Microsoft har vedlagt.

Referanser:

https://www.microsoft.com/en-us/security/blog/2023/10/25/octo-tempest-crosses-boundaries-to-facilitate-extortion-encryption-and-destruction/

Trusselaktør utnytter sårbarhet zero-day i Roundcube

Trusselaktøren Winter Vivern har utnyttet en null-dags sårbarhet i Roundcube webmail-programvaren for å stjele e-postmeldinger fra regjeringer i Europa. Dette er en bekymringsfull utvikling, da gruppen tidligere har benyttet seg av allerede kjente sårbarheter.

Aktøren har også tidligere utnyttet en annen sårbarhet i Roundcube og utgjør en trussel for europeiske myndigheter på grunn av deres vedvarende angrep, samt mye dårlig oppdatert programvare. Aktøren handler ofte i tråd med Russlands interesser.

Sårbarheter

CVE-2020-35730

Referanser:

https://thehackernews.com/2023/10/nation-state-hackers-exploiting-zero.html
https://www.welivesecurity.com/en/eset-research/winter-vivern-exploits-zero-day-vulnerability-roundcube-webmail-servers/
https://arstechnica.com/security/2023/10/pro-russia-hackers-target-inboxes-with-0-day-in-webmail-app-used-by-millions/

Apple oppdaterer iOS og macOS

Apple har sluppet en større oppdatering for de fleste av sine produkter. Det har blitt patchet 21 sårbarheter i iOS og 44 i macOS. Apple advarer om at flere av svakhetene som blir fikset kan brukes til å kjøre vilkårlig kode, øke rettigheter på systemer, stjele sensitive data osv. Det har så langt ikke blitt rapportert om at noen av svakhetene utnyttes i angrep.

Referanser:

https://www.securityweek.com/apple-ships-major-ios-macos-security-updates/
https://support.apple.com/kb/HT213982
https://support.apple.com/en-us/HT213984

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.10.25

1Password hadde datainnbrudd etter Okta-hack. Kritisk sårbarhet i VMware vCenter og Cloud Foundation.

---

1Password hadde datainnbrudd etter Okta-hack

1Password tilbyr en tjeneste for lagring, utfylling og håndtering av passord, såkalt passordhvelv. Selskapet opplyser at de den 29. september oppdaget mistenkelig aktivitet i Okta-instansen i nettverket sitt, som blir brukt til å autentisere mot interne applikasjoner. Innbruddet ble stanset og ingen kundedata eller andre sensitive systemer skal være rammet. Hendelsen skjedde etter at Okta ble utsatt for et datainnbrudd tidligere i september og uvedkommende fikk stjålet 1Passwords sesjonsnøkler.

Referanser:

https://arstechnica.com/security/2023/10/1password-detects-suspicious-activity-in-its-internal-okta-account/

Kritisk sårbarhet i VMware vCenter og Cloud Foundation

JustisCERT varsler om sårbarheter i VMware vCenter Server og VMware Cloud Foundation. Totalt 2 CVE ble publisert 25. oktober, hvor 1 er kategorisert som kritisk (CVE-2023-34048 med CVSS-score 9.8) og 1 som viktig (CVE-2023-34056 med CVSS-Score 4.3). Den kritiske sårbarheten gjør det mulig for en ondsinnet aktør med nettverkstilgang til VMware vCenter Server/VMware Cloud Foundation å kjøre vilkårlig kode.

• VMware vCenter Server < 7.OU3o

• VMware vCenter Server < 8.0U2

• VMware Cloud Foundation < 4.x KB88287

• VMware Cloud Foundation < 5.x KB88287

Anbefaling:

Installer patcher fra leverandør.

Referanser:

https://www.vmware.com/security/advisories/VMSA-2023-0023.html

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.10.24

Citrix advarer: Svakhet i Citrix Netscaler/ADC utnyttes aktivt. Cisco publiserer oppdatering mot null-dagssårbarheter i iOS XE.

---

Citrix advarer: Svakhet i Citrix Netscaler/ADC utnyttes aktivt

I nyhetsbrevet 11. oktober meldte vi om en ny kritisk svakhet i Citrix Netscaler/ADC.

Citrix ber nå administratorer om å patche umiddelbart for å beskytte mot aktive angrep som utnytter sårbarheten CVE-2023-4966. Dette sikkerhetshullet ble rangert som 9.4 av 10 i alvorlighetsgrad, og kan utnyttes av uautoriserte angripere uten brukerinteraksjon.

Mens Citrix opprinnelig ikke hadde indikasjoner på at sårbarheten ble utnyttet, avdekket cybersecurity-firmaet Mandiant senere at trusselaktører hadde misbrukt den. Angrepene inkluderte stjeling av autentiseringssesjoner og konto-hijacking. Mandiant observerte også at angrepene hadde kompromittert infrastruktur tilhørende både det offentlige og teknologiselskaper.

Anbefaling:

Enheter bør sjekkes for infeksjon og patches.

Sårbarheter

CVE-2023-4966

Referanser:

https://www.mandiant.com/resources/blog/remediation-netscaler-adc-gateway-cve-2023-4966
https://support.citrix.com/article/CTX579459/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20234966-and-cve20234967

Cisco publiserer oppdatering mot null-dagssårbarheter i iOS XE

Cisco har nå begynt å gi ut viktige sikkerhetsoppdateringer for å fikse sårbarheter i sitt iOS XE-operativsystem, som har blitt utnyttet av angripere for å kompromittere over 50 000 enheter. De to null-dagssårbarhetene gjør det mulig for angripere å kompromittere enheter over nettverket, dersom de kan få tilgang til web-basert admin-interface. De siste dagene har det vært noe usikkerhet rundt hvor mange enheter som faktisk har vært kompromittert, siden angripere har brukt forskjellige varianter av malware mot sårbare enheter.

Saken ble også omtalt av NSM i Dagens Nærlingsliv i går. NCSC i Norge har bekreftet at flere enheter er kompromittert.

Anbefaling:

Sårbare enheter som har vært eksponert mot nettet bør sjekkes for kompromittering og patches. Den viktigste anbefalingen er imidlertid å ikke eksponere mulighet for administrator-innlogging mot offentlig tilgjengelige nettverk.

Sårbarheter

CVE-2023-20273

Referanser:

https://thehackernews.com/2023/10/backdoor-implant-on-hacked-cisco.html
https://www.cisa.gov/news-events/alerts/2023/10/23/cisa-updates-guidance-addressing-cisco-ios-xe-web-ui-vulnerabilities
https://www.dn.no/teknologi/nsm/cybersikkerhet/sofie-nystrom/nsm-sjefen-bekrefter-handterer-nytt-avansert-cyberangrep-mot-norge/2-1-1538140
https://nsm.no/fagomrader/digital-sikkerhet/nasjonalt-cybersikkerhetssenter/varsler-fra-ncsc/oppdatert-varsel-for-sarbarheter-i-cisco-ios-xe-web-ui-cve-2023-20198

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.10.23

Okta varsler om datainnbrudd i støttesystem – sensitive kundedata stjålet.

---

Okta varsler om datainnbrudd i støttesystem – sensitive kundedata stjålet

Okta har varslet om at hackere brøt seg inn i deres system for kundestøtte og stjal sensitive data som kan brukes til å gi seg ut for å være gyldige brukere i form av informasjonskapsler (cookies). Ved feilsøking av påloggingsproblemer har flere kunder sendt inn HTTP Archive (HAR)-filer som har inneholdet sesjonsnøkler som trusselaktøren har stjålet.

Selskapet BeyondTrust oppdaget innbrudd i sine systemer med stjålne sesjonsnøkler fra Okta allerede 2. oktober og meldte fra om dette til Okta. Først 19. oktober opplyste Okta at de hadde vært utsatt for en hendelse. CloudFlare har også opplevd datainnbrudd etter Okta-hendelsen.

Okta opplyser at det jobbes med berørte kunder for å etterforske saken og at de har satt i verk tiltak for å beskytte kundene, inkludert ugyldiggjøring av lekkede sesjonsnøkler. Okta forsikrer at produksjonssystemene deres ikke ble berørt, og tjenestene fungerer normalt. Også i 2022 ble Okta utsatt for et alvorlig datainnbrudd.

Referanser:

https://www.securityweek.com/okta-support-system-hacked-sensitive-customer-data-stolen/
https://blog.cloudflare.com/how-cloudflare-mitigated-yet-another-okta-compromise/
https://www.bleepingcomputer.com/news/security/okta-says-its-support-system-was-breached-using-stolen-credentials/

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.10.20

Ragnar Locker-ransomwarenettstedet ble tatt ned av FBI og Europol. India slår til mot tech-support svindlere. Telenor Norge lanserer kvartalsvis sikkerhetspuls. VMware gir ut oppdateringer for Fusion, Workstation og Aria Operations for Logs. NSM har gitt ut rapporten Nasjonalt digitalt risikobilde 2023.

---

Ragnar Locker-ransomwarenettstedet ble tatt ned av FBI og Europol.

Ransomware-gruppen "Ragnar Locker" sin lekkasjeside ble på torsdag erstattet med en melding fra FBI, Europol og flere europeiske politimyndigheter. Selv om detaljer om operasjonen er begrenset, bekreftet en Europol-talsperson at tiltak fortsatt pågår og at mer informasjon vil komme senere.

Fra 2020 til 2022 angrep Ragnar Locker over 50 ofre, blant annet innen kritiske sektorer som produksjon, energi og finans. Gruppen benyttet en dobbel utpressingstaktikk og hadde flere høyprofilerte ofre. Selv om beslagleggelsen av nettstedet er et positivt skritt, påpeker eksperter at ransomware-trusselen fortsatt er betydelig.

Referanser:

https://therecord.media/ragnar-locker-ransomware-site-taken-down-fbi-europol

India slår til mot tech-support svindlere

Indias Central Bureau of Investigation (CBI) har gjennomført aksjoner på 76 steder i India for å stanse svindlere som driver med falsk tech-support og investerings-svindel. Mange har nok opplevd å bli oppringt fra personer som gir seg ut for å komme fra Microsoft eller har fantastiske investerings-muligheter. Internasjonale politimyndigheter, Microsoft og Amazon har også bidratt i operasjonen. Politiet tok beslag i flere PCer, mobiltelefoner, SIM-kort og bankkontoer. Flere av svindel-gruppene har holdt det gående i over fem år.

Referanser:

https://www.bleepingcomputer.com/news/security/india-targets-microsoft-amazon-tech-support-scammers-in-nationwide-crackdown/

Telenor Norge lanserer kvartalsvis sikkerhetspuls

I dag lanserer Telenor Norge sin nye Sikkerhetspuls. Her skal vi dele statistikk og innsikt fra vårt sikkerhetsmiljø hvert kvartal fremover. Denne innsikten mener vi er svært viktig å dele, både for å styrke vår felles trusselforståelse og for å lære av hverandre.

Referanser:

https://www.mynewsdesk.com/no/telenor/pressreleases/naa-er-en-av-to-nordmenn-mer-bekymret-for-norges-digitale-sikkerhet-3280760

VMware gir ut oppdateringer for Fusion, Workstation og Aria Operations for Logs

Oppdateringene har blitt kategorisert som "viktige" og har en CVSS opp til 8.1. I VMware Aria Operations for Logs kan en ikke-autentisert bruker injisere filer i enheten og dermed få kjørt vilkårlig kode. I VMware Workstation og Fusion er det blant annet mulig for en administrator i en VM å lese minnet til hypervisoren.

Referanser:

https://www.vmware.com/security/advisories/VMSA-2023-0021.html
https://www.vmware.com/security/advisories/VMSA-2023-0022.html

NSM har gitt ut rapporten Nasjonalt digitalt risikobilde 2023.

Rapporten tar blant annet opp at:

NSM forventer at utviklingen innenfor kunstig intelligens og store språkmodeller vil føre til ytterligere profesjonalisering hos angripere.

Cyberoperasjoner kan få økt fysisk slagkraft når industrielle systemer i økende grad kobles til internett.

Økt cybersikkerhet gjør andre metoder for tilgang til informasjon mer attraktive. Innsiderisikoen kan øke ved ensidig fokus på cybersikkerhet. Det er avgjørende å tenke sikkerhet i alle domener.

Valgpåvirkning gjennom cyberoperasjoner setter demokratier under press.

Referanser:

https://nsm.no/aktuelt/norge-rammes-av-avanserte-malrettede-cyberangrep
https://nsm.no/getfile.php/1313382-1697777843/NSM/Filer/Dokumenter/Rapporter/Nasjonalt%20digitalt%20risikobilde%202023.pdf

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.10.19

SpyNote Android-malware spres via falske vulkanutbruddsalarm. Nordkoreanske hackere utnytter kritisk TeamCity-feil. Nord-Koreanske hackergrupper utnytter sårbarhet i JetBrains' TeamCity.

---

SpyNote Android-malware spres via falske vulkanutbruddsalarm

SpyNote Android-skadevaren har blitt observert utnyttet i angrep rettet mot Italia, gjennom en falsk offentlig varslingstjeneste kalt "IT-alert". Den falske tjenesten advarer om forestående vulkanutbrudd og oppfordrer besøkende til å installere en app for å holde seg oppdatert. Når Android-brukere forsøker å laste ned appen, installeres SpyNote-skadevaren på enheten deres. Denne skadevaren brukes blant annet til tyveri av brukerinformasjon og innhenting av informasjon fra bank-, kryptovaluta- og sosiale medieapplikasjoner. SpyNote-skadevaren ble opprinnelig dokumentert i 2022 og har nå utviklet seg til sin tredje versjon, som selges til cyberkriminelle. Etter en kildekodelekkasje økte påvisningen av SpyNote malware betydelig. For å beskytte seg mot slike trusler, bør man unngå å laste ned APK-filer fra kilder utenfor Play-butikken med mindre man stoler på utgiveren.

Referanser:

https://www.bleepingcomputer.com/news/security/spynote-android-malware-spreads-via-fake-volcano-eruption-alerts/

Nord-Koreanske hackergrupper utnytter sårbarhet i JetBrains' TeamCity

Flere hackergrupper tilknyttet Nord-Koreas regjering retter seg mot en sårbarhet i JetBrains' produkt TeamCity, som brukes av utviklere for å teste og utveksle programvarekode før lansering. De to hackergruppene Diamond Sleet og Onyx Sleet har ifølge Microsoft utnyttet denne sårbarheten, kjent som CVE-2023-42793. JetBrains utga en utbedring 20. september, men offentliggjøring av tekniske detaljer har ført til utnyttelse av flere ransomware-grupper. Forskere fra PRODRAFT oppdaget over 1,200 sårbare servere som ikke hadde blitt oppdatert.

Referanser:

https://therecord.media/teamcity-vulnerability-targeted-by-nk-hackers

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.10.18

Det har vært et rolig døgn.

---

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.10.17

Cisco advarer om en ny zero-day sårbarhet i IOS XE som for øyeblikket utnyttes i angrep.

---

Cisco advarer om zero-day sårbarhet i IOS XE som utnyttes i angrep.

Cisco advarer om en alvorlig zero-day-sårbarhet i deres IOS XE-programvare, som kan tillate angripere å oppnå fulle administratorrettigheter og ta kontroll over kompromitterte rutere.

Sårbarheten spores som CVE-2023-20198 og har for øyeblikket ingen patch. Den påvirker fysiske og virtuelle enheter med Web User Interface (Web UI)-funksjonen aktivert, sammen med HTTP- eller HTTPS Server-funksjonen slått på.

Cisco har identifisert aktiv utnyttelse av denne sårbarheten når enheter er eksponert mot internett eller utrygge nettverk. Vellykket utnyttelse tillater en angriper å opprette en privilegert konto med full kontroll over den kompromitterte enheten. Norske HelseCERT melder at routere som har admin-interface eksponert mot usikre nett bør regnes som kompromitterte og at hendelseshåndtering bør iverksettes.

Angrepene ble først oppdaget 28. september, og Cisco identifiserte relatert aktivitet datert tilbake til 18. september.

Cisco jobber aktivt med en programvarefiks og oppfordrer kunder til å øyeblikkelig gjøre som beskrevet i sikkerhetsveiledningen.

Anbefaling:

Deaktivere HTTP-serverfunksjonen på systemer eksponert mot Internet for å blokkere denne angrepsvektoren. Søke etter uforklarlige eller nylig opprettede brukerkontoer som indikatorer på skadelig aktivitet.

Referanser:

https://www.bleepingcomputer.com/news/security/cisco-warns-of-new-ios-xe-zero-day-actively-exploited-in-attacks/
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.10.16

Det har vært en rolig helg.

---

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.10.13

Flere sårbarheter i Juniper-produkter. Kriminelle har brukt IMSI-fangere for å sende ut svindel-SMSer. Kritiske svakhet i Fortinet-produkter. Forhåndsmeldt curl-sårbarhet viste seg å være mindre alvorlig.

---

Kriminelle har brukt IMSI-fangere for å sende ut svindel-SMSer

I tre uker kjørte den siktede mannen (25) rundt i Oslo og Bergen og lurte til seg sensitive bankopplysninger med avansert datautstyr. Etterforskningen startet etter at PST trodde utenlandsk etterretning spanet mot Norge. Folk som har vært i nærheten av IMSI-fangeren har fått tilsendt en SMS. Meldingene ga seg ut for å komme fra DHL, Bank Norwegian eller DNB. Ifølge Økokrim er flere rammet.

Referanser:

https://www.nrk.no/norge/her-avslores-_spionen__--har-avdekket-avansert-svindelmetode-1.16591686

Flere sårbarheter i Juniper-produkter

EkomCERT melder at Juniper 11. oktober publiserte varsel om 31 nye sårbarheter tilknyttet Junos OS og Junos OS Evolved. Ni av sårbarhtene er klassifisert med "høy" viktighet. Flere av sårbarhetene lar seg utnytte via Internett uten autentisering og berører nettverksprotokoller som BGP og LLDP og kan føre til restart av tjenester og kan således utnyttes til tjenestenektangrep.

EkomCERT ønsker også spesielt å fremheve sårbarheter knyttet til CVE-2023-44194 hvor en angriper med lokal tilgang til sårbar enhet kan lage bakdør med superbruker (root) tilgangsnivå, og CVE-2023-44182 hvor en sårbarhet i en ulike administrative grensesnitt kan påvirke integritet og konfidenisalitet og åpner for en rekke ulike angrep som f.eks. rettighets-eskalering.

EkomCERT er ikke kjent med aktiv ondsinnet utnyttelse av de publiserte sårbarhetene.

Referanser:

https://supportportal.juniper.net/s/global-search/%40uri?language=en_US#sort=%40sfcec_community_publish_date_formula__c%20descending&f:ctype=[Security%20Advisories]

Kritiske svakhet i Fortinet-produkter

HelseCERT melder om sårbarheter i produkter fra Fortinet. Totalt 25 bulletiner ble publisert 10. og 11. oktober, hvor 3 er kategorisert som kritiske og 8 som alvorlig. De kritiske sårbarhetene berører FortiSIEM (CVE-2023-40714 med CVSS-score 9.7 og CVE-2023-34992 med CVSS-score 9.6) og FortiWLM (CVE-2023-34993 med CVSS-score 9.6). Fortinet har publisert oppdateringer til støttede produkter.

Referanser:

https://www.fortiguard.com/psirt

Forhåndsmeldt curl-sårbarhet viste seg å være mindre alvorlig

Den 10. oktober meldte vi om en kommende oppdatering til curl-biblioteket som skulle rette to alvorlige sikkerhetssvakheter. Oppdateringen er nå lansert, og feilene den fikser viste seg å være mindre alvorlig enn fryktet. Den mest alvorlige svakheten ligger i håndteringen av SOCKS5 proxy-forbindelser gjennom curl. Svakheten krever også nøyaktig timing for å kunne utnyttes. Vi anbefaler uansett å oppdatere til curl versjon 8.4.0 som fikser problemene.

Referanser:

https://www.bleepingcomputer.com/news/security/hyped-up-curl-vulnerability-falls-short-of-expectations/

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.10.12

Sårbarheter i F5-utstyr. Hackere knyttet til Kinesiske myndigheter utnytter kritisk svakhet i Atlassian-produkter. Chrome 118 Patcher 20 Sårbarheter.

---

Sårbarheter i F5-utstyr

KraftCERT melder at F5 den 10.10 publiserte et varsel om flere alvorlige og medium alvorlige sårbarheter i F5 BIG-IP. Den mest alvorlige sårbarheten er tildelt CVE-2023-41373 som avhengig av konfigurasjon har CVSS på 8.8 (HØY) eller 9.9 (KRITISK) [2]. Sårbarheten gjør det mulig for en autentisert angriper å kjøre kode på berørte enheter via administratorgrensesnittet.

Anbefaling:

Oppdater berørte produkter til en versjon som lukker sårbarhetene iht. vanlige oppdateringsrutiner.

Referanser:

https://my.f5.com/manage/s/article/K000137053

Chrome 118 Patcher 20 Sårbarheter

Google lanserte på tirsdag Chrome 118. Med denne lanseringen patcher de 20 sårbarheter, derav 12 ble meldt av eksterne kilder.

Den mest alvorlige av de eksternt rapporterte sårbarhetene er CVE-2023-5218, en kritisk feil beskrevet som en "use-after-free" i Site Isolation, Chromes komponent som er ansvarlig for å forhindre at nettsteder stjeler data fra andre nettleser-vinduer/tabs. Chrome 118 patcher også åtte sårbarheter med middels alvorlighetsgrad rapportert av eksterne forskere.

Den nyeste Chrome-utgivelsen rulles nå ut som versjon 118.0.5993.70 for macOS og Linux, og som versjon 118.0.5993.70/.71 for Windows."

Referanser:

https://www.securityweek.com/chrome-118-patches-20-vulnerabilities/

Hackere knyttet til Kinesiske myndigheter utnytter kritisk svakhet i Atlassian-produkter

I følge Microsoft har hackere knyttet til kinesiske myndigheter utnyttet svakheten CVE-2023-22515, som ligger i Atlassians Confluence Data Center og Server produkter. Disse angrepene har pågått siden 14. september.

Atlassian publiserte en patch til svakhetene 4. oktober og anbefaler alle som bruker disse produktene om å oppdatere sine systemer. Systemer som har vært eksponert mot Internet bør også sjekke for kompromittering. Vi anbefaler også at systemer som dette ikke gjøres offentlig tilgjengelige over Internet.

Referanser:

https://therecord.media/chinese-govt-hackers-exploiting-atlassian

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.10.11

Ny kritisk svakhet i Citrix Netscaler kan lekke interne data. Microsoft har sluppet patcher for oktober. Rekordstort DDoS-angrep brukte helt ny teknikk. Sikkerhetsoppdateringer fra Adobe og SAP. Økokrim på svindelaksjon i Romania.

---

Økokrim på svindelaksjon i Romania

Økokrim har siden januar i år etterforsket et stort antall bedragerier begått mot minst 400 nordmenn som er lurt til å oppgi sin egen Bank-ID til svindlere i Romania. Det samlede tapet er sannsynligvis på mange millioner kroner. Tre rumenske menn ble pågrepet i en aksjon i Romania i går. To av dem er begjært utlevert av Økokrim, siktet for grovt bedrageri og ID-tyveri i Norge.

Under etterforskningen har Økokrim hatt et godt samarbeid med private aktører, som blant annet BankID og Visma.

Referanser:

https://www.vg.no/nyheter/i/8JM5ax/oekokrim-paa-svindelaksjon-i-romania

Rekordstort DDoS-angrep brukte helt ny teknikk

Cloudflare, Google og AWS offentliggjorde i går at en ny angreps-teknikk kalt HTTP/2 Rapid Reset i de siste ukene har blitt brukt til å generere rekordstore DDoS-angrep. Den nye angreps-teknikken ble først sett brukt i starten av august. Et av angrepene sett av Google var på 201 RPS (Requests Per Second), syv ganger større enn det største angrepet de hadde sett til da. Selskapene sier at eksisterende DDoS-beskyttelse stort sett klarer å håndtere de nye angrepene, men de har innført noen nye mitigerings-tiltak.

Angrepet fungerer ved å misbruke en HTTP/2-funksjon kalt "stream cancellation", ved å sende forespørsler, for deretter å øyeblikkelig kansellere den. Det rekordstore angrepet ble generert ved hjelp av et botnett på rundt 20.000 maskiner, noe som i denne sammenhengen er relativt lite.

Referanser:

https://www.securityweek.com/rapid-reset-zero-day-exploited-to-launch-largest-ddos-attacks-in-history/

Ny kritisk svakhet i Citrix Netscaler kan lekke interne data

Citrix NetScaler ADC og NetScaler Gateway er rammet av en sikkerhetssvakhet som kan medføre lekkasje av interne data fra en sårbar server. Svakheten spores som CVE-2023-4966 og har fått en CVSS på 9.4 av 10, siden den kan utnyttes over nettet med lav kompleksitet. Det er så langt usikkert hva slags informasjon som kan lekke.

Citrix har sluppet oppdaterte versjoner, som også utbedrer en annen svakhet.

Anbefaling:

Vi anbefaler å patche så fort som mulig.

Referanser:

https://www.bleepingcomputer.com/news/security/new-critical-citrix-netscaler-flaw-exposes-sensitive-data/
https://support.citrix.com/article/CTX579459/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20234966-and-cve20234967

Microsoft har sluppet patcher for oktober

Denne måneden gir Microsoft ut patcher for 105 svakheter. Det er tre svakheter som utnyttes aktivt.

Den første (CVE-2023-44487) er en svakhet i HTTP/2 som muliggjør store DDoS-angrep. Denne svakheten kalt "Rapid Reset Attack" er omtalt i en egen sak i dagens nyhetsbrev.

Den andre (CVE-2023-36563) er en informasjonslekkasje i WordPad som kan føre til lekkasje av hashede passord over nettet. Svakheten kan utnyttes ved å lure en bruker til å åpne en sepsielt uformet fil.

Den tredje (CVE-2023-41763) kan avsløre IP-adresser og porter tilhørende en Skype for Business Server.

Microsoft patcher også flere svakheter i Layer 2 Tunneling Protocol og Message Queue. Begge disse komponentene har fått flere patcher de siste månedene.

Referanser:

https://isc.sans.edu/diary/October%202023%20Microsoft%20Patch%20Tuesday%20Summary/30300
https://msrc.microsoft.com/update-guide/

Sikkerhetsoppdateringer fra Adobe og SAP

JustisCERT melder at Adobe har publisert 3 bulletiner som dekker 13 CVE hvor 8 er vurdert som kritisk (CVSS-score til og med 8.8). Flere av sårbarhetene gjør det mulig for angriper å kjøre vilkårlig kode. De kritiske sårbarheten berører Adobe Commerce og Adobe Photoshop.

SAP Security Patch Day for oktober 2023 inneholder 7 nye bulletiner med CVSS-score til og med 6.8 (viktig).

Referanser:

https://helpx.adobe.com/security/security-bulletin.html
https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.10.10

GNOME Linux-systemer utsatt for RCE-angrep via nedlasting av filer. Sikkerhetsoppdatering for to nye sårbarheter i Curl-biblioteket kommer den 11. oktober. Amnesty International har analysert Predator Spyware.

---

Amnesty International har analysert Predator Spyware

I de siste ukene har det vært flere saker med bruk av ferske svakheter mot mobiltelefoner og nettlesere utført av kommersielle leverandører av overvåkingsprogramvare. Denne typen programvare blir typisk kjøpt inn for store summer av nasjonalstater og brukes for å overvåke kriminelle, journalister, opposisjonen, dissidenter osv.

Amnesty International har nettopp gitt ut en rapport med nærmere analyse av programvaren Predator som Intellexa Alliance står bak. En pakke for å kompromittere iOS og Android-devicer og overvåke opp til 10 brukere samtidig koster 8 millioner Euro. Programvaren er oppdaget i 25 land over hele verden. Amnesty har blant annet avdekket at programvaren blir brukt mot opposisjonen i Egypt ved hjelp av lokale mobiloperatører.

Referanser:

https://www.darkreading.com/endpoint/operation-behind-predator-mobile-spyware-industrial-scale
https://securitylab.amnesty.org/latest/2023/10/technical-deep-dive-into-intellexa-alliance-surveillance-products/

Sikkerhetsoppdatering for to nye sårbarheter i Curl-biblioteket kommer den 11. oktober

Utviklerne av Curl-biblioteket har publisert en advarsel om to sikkerhetsproblemer, som forventes å bli adressert i en kommende oppdatering planlagt for utgivelse 11. oktober 2023. De to sårbarhetene er klassifisert som høy og lav risiko, med identifikatorene CVE-2023-38545 og CVE-2023-38546. Det er ikke gitt detaljer om sårbarhetene og hvilke versjoner som er påvirket, for å hindre mulig identifisering av problemområdet før oppdateringen. Likevel antas det at flere versjoner av biblioteket de siste årene er berørt.

Sårbarheten CVE-2023-38545 påvirker både libcurl og curl, mens CVE-2023-38546 påvirker kun libcurl. Sårbarhetene vil bli rettet opp i curl-versjon 8.4.0.

Anbefaling:

Oppdatere og skanne systemer som bruker curl og libcurl

Referanser:

https://thehackernews.com/2023/10/security-patch-for-two-new-flaws-in.html

GNOME Linux-systemer utsatt for RCE-angrep via nedlasting av filer

Minnekorrupsjons-sårbarhet i libcue-biblioteket kan gi angripere mulighet til å eksekvere kode på Linux-systemer som kjører GNOME. Libcue er et bibliotek laget for å analysere cue-sheet-filer og som er integrert i Tracker Miners, en metadataindekser for filer, som er standard i de nyeste versjonene av GNOME. Cue-filer er plain-text filer som inneholder oppsett om lydspor, finnes typisk som .FLAC lydfil-format.

For at sårbarheten skal bli utnyttet, må brukeren laste ned en ondsinnet .CUE-fil som blir lagret i /Downloads. Grunnet måten disse filene er brukt av tracker-miners, ble denne sårbarheten en 1-click RCE. Minnekorrupsjonen blir trigget når Tracker Miners-metadata-indekser parserer den lagrede filen automatisk via tracker-extract prosessen. Sikkerhetsforskeren fra Github Kevin Backhouse, sier at alle som bruker GNOME bør oppdatere så snart som mulig.

Anbefaling:

Oppdater GNOME desktop environment

Referanser:

https://www.bleepingcomputer.com/news/security/gnome-linux-systems-exposed-to-rce-attacks-via-file-downloads/

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.10.09

NSA og CISA deler topp ti sikkerhetstabber. Microsoft har gitt ut sin årlige sikkerhetsrapport.

---

NSA og CISA deler topp ti sikkerhetstabber

Amerikanske NSA og CISA har sluppet et dokument der de går igjennom de vanligste tabbene og feilkonfigureringene som store organisasjoner gjør innen cybersikkerhet. De går også igjennom hvordan trusselaktører utnytter disse hullene i forsvaret. Dataene er hentet inn fra deres arbeid med sikkerhetstesting av organisasjoner og gjelder blant annet feil standard-innstillinger, bruk av administrator-bruker til vanlig arbeid, manglende monitorering og segmentering av nettverk, manglende patche-rutiner osv.

Referanser:

https://www.securityweek.com/organizations-warned-of-top-10-cybersecurity-misconfigurations-seen-by-cisa-nsa/
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-278a

Microsoft har gitt ut sin årlige sikkerhetsrapport

Microsoft har gitt ut sin fjerde årlige Digital Defense Report som dekker perioden juli 2022 til juni 2023. Der nevner de blant annet at Russland har økt sin spionasje-aktivitet, Iran utfører destruktive angrep og at Kina fokuserer på USA som mål.

Referanser:

https://blogs.microsoft.com/on-the-issues/2023/10/05/microsoft-digital-defense-report-2023-global-cyberattacks/
https://aka.ms/aka.ms.mddrrep

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.10.06

GNU C Library sårbarhet gir angripere root-tilgang på populære Linux-distribusjoner.

---

GNU C Library sårbarhet gir angripere root-tilgang på populære Linux-distribusjoner.

En alvorlig sårbarhet i GNU C Library's dynamiske laster har blitt avslørt, som lar lokale angripere oppnå root-rettigheter på populære Linux-distribusjoner som Debian, Ubuntu og Fedora. Sårbarheten, kjent som 'Looney Tunables' , kommer fra en buffer overflow-svakhet. Flere sikkerhetsforskere har allerede publisert eksperimentelle utnyttelser.

Referanser:

https://www.bleepingcomputer.com/news/security/exploits-released-for-linux-flaw-giving-root-on-major-distros/

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.10.05

Atlassian patcher kritisk sårbarhet i Confluence. Apple advarer mot aktiv utnyttelse av nulldagssårbarhet iOS 17. Røde Kors gir ut etiske retningslinjer for hacktivister i krig.

---

Atlassian patcher kritisk sårbarhet i Confluence

Atlassian har patchet en kritisk zero-day sårbarhet, identifisert som CVE-2023-22515, i Confluence-plattformen. Denne sårbarheten muliggjorde ekstern eksekvering av kode på sårbare systemer og ble aktivt utnyttet i angrep før sikkerhetsoppdateringen ble utgitt.

Anbefaling:

Alle Confluence-brukere anbefales å umiddelbart oppdatere for å beskytte seg mot potensielle angrep, eventuelt stenge berørte instanser eller isolere dem fra internett-tilgang hvis umiddelbar oppdatering ikke er mulig.

Røde Kors gir ut etiske retningslinjer for hacktivister i krig

Den internasjonale Røde Kors-komiteen (ICRC) har utgitt de første etiske retningslinjene for sivile hackere - eller hacktivister - som er involvert i væpnede konflikter. Organisasjonen ber hacktivister om å overholde åtte “humanitærrettsbaserte regler” for å beskytte seg selv og unngå å skade andre. ICRC sa at internasjonal humanitærrett ikke forbyr hacking av militære mål under væpnede konflikter, men de som er involvert i slike operasjoner må følge grunnleggende humanitære prinsipper.

Referanser:

https://therecord.media/icrc-ethical-guidelines-hacktivists

Apple advarer mot aktiv utnyttelse av nulldagssårbarhet iOS 17

Apples katt-og-mus-kamp med zero-day utnyttelser på sin flaggskip iOS-plattform viser ingen tegn til å være over. Apple hastet ut en ny oppdatering onsdag for å dekke et par alvorlige sårbarheter og advarte om at en av sårbarhetene allerede har blitt utnyttet som en nulldagssårbarhet. I en kunngjøring sa Apple at den utnyttede CVE-2023-42824 sårbarheten tillater en lokal angriper å heve rettigheter, og antyder at den er trolig er blitt brukt i observerte angrep.

Anbefaling:

Apple oppfordrer ofte målrettede brukere til å aktivere Lockdown Mode for å redusere eksponeringen.

Referanser:

https://www.securityweek.com/apple-warns-of-newly-exploited-ios-17-kernel-zero-day/

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.10.04

Microsoft har lansert oppdateringer for null-dag sårbarheter i Edge, Teams og Skype. Android sikkerhetsoppdateringer for Oktober. Oppsummering av nyhetsbildet innen datasikkerhet for September 2023.

---

Oppsummering av nyhetsbildet innen datasikkerhet for September 2023

Denne måneden skriver vi blant annet om bruk av ferske svakheter mot mobiltelefoner og nettlesere fra kommersielle leverandører av overvåkingsprogramvare.

Referanser:

https://telenorsoc.blogspot.com/2023/10/oppsummering-av-nyhetsbildet-innen.html

Microsoft har lansert oppdateringer for null-dag sårbarheter i Edge, Teams og Skype

Microsoft har lansert oppdateringer for Edge, Teams og Skype for å tette to null-dagers sårbarheter i åpen kildekode-biblioteker som brukes av de tre produktene.

Den første feilen er en sårbarhet kjent som CVE-2023-4863, forårsaket av en svakhet i form av en bufferoverflow i heapminnet i WebP-kodebiblioteket (libwebp). Dens påvirkning varierer fra krasjer til kjøring av vilkårlig kode.

Den andre sårbarheten (CVE-2023-5217) skyldes også en svakhet i form av en bufferoverflow i heapminnet i VP8-kodingen av libvpx video codec-biblioteket, noe som kan føre til app-krasjer eller tillate kjøring av vilkårlig kode etter vellykket utnyttelse.

Anbefaling:

Oppdater Edge, Teams og skype.

Referanser:

https://www.bleepingcomputer.com/news/microsoft/microsoft-edge-teams-get-fixes-for-zero-days-in-open-source-libraries/

Android sikkerhetsoppdateringer for Oktober

Google har nylig lansert sikkerhetsoppdateringer for Android i oktober 2023, som inkluderer fiks for to sårbarheter som blir aktivt utnyttet (CVE-2023-4863). Vanligvis deler Google Android-sikkerhetsbulletiner inn i to forskjellige patch-nivåer, basert på de berørte komponentene, men denne månedens bulletin har en tredje del, sikkerhetspatch-nivået 2023-10-06, som spesifikt adresserer CVE-2023-4863.

Anbefaling:

Oppdater android enheter.

Referanser:

https://www.securityweek.com/androids-october-2023-update-patches-two-exploited-vulnerabilities/

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.10.03

Mali GPU-sårbarhet rammer Android-enheter og Chromebooks. Exim patcher tre av seks svakheter avslørt sist uke.

---

Mali GPU-sårbarhet rammer Android-enheter og Chromebooks

Arm advarer om pågående angrep som retter seg mot en sårbarhet i Mali GPU-enhetsdrivere, som påvirker Google Pixels, Android-enheter, Chromebooks og Linux-maskinvare. Feilen gjør det mulig for ikke-privilegerte brukere å utnytte GPU-minnebehandling og potensielt få tilgang til tidligere frigjort minne.

Arm anbefaler oppdatering av berørte drivere og opplyser at svakheten allerede har blitt utnyttet i aktive angrep. Google patchet raskt Pixels og Chromebooks, mens andre enheter forblir sårbare til de oppdateres. Sårbarheten (CVE-2023-4211) påvirker Arm GPUer utgitt det siste tiåret.

Arm avslørte også to relaterte sårbarheter (CVE-2023-33200, CVE-2023-34970) som tillater også kan tilgang til frigitt minne. Alle tre svakhetene krever lokal tilgang og vil dermed typisk bli utnyttet av ondsinnede apper til å utvide sine rettigheter.

Referanser:

https://arstechnica.com/security/2023/10/vulnerable-arm-gpu-drivers-under-active-exploitation-patches-may-not-be-available/

Exim patcher tre av seks svakheter avslørt sist uke

Vi meldte i går om svakheter i epost-serveren (MTA) Exim som ble innmeldt for lenge siden uten at de har blitt patchet. Tre av disse seks svakhetene er nå utbedret. Vi anbefaler å installere siste versjon!

Referanser:

https://www.bleepingcomputer.com/news/security/exim-patches-three-of-six-zero-day-bugs-disclosed-last-week/

2023.10.02 - Nyhetsbrev

Cyberkriminelle bruker ny ASMCrypt skadevare. En rekke norske forsvars­kommuner utsatt for dataangrep i januar. Flere alvorlige feil i Exim har ikke blitt fikset på lang tid.

Cyberkriminelle bruker ny ASMCrypt skadevare

Kriminelle selger et nytt krypterings- og "loader"-verktøy kalt ASMCrypt, som beskrives som en videreutviklet versjon av annen skadevare kjent som DoubleFinger. Målet med slike verktøy er å laste ned den endelige skadevaren uten at den oppdages av antivirus eller EDR. ASMCrypt oppretter en kryptert datastruktur gjemt inne i en PNG-fil og lastes typisk opp til en bildevertstjeneste. "Loadere" blir stadig mer populære for deres evne til å levere skadevare og brukes av trusselaktører for å få tilgang til nettverk for deretter å utføre løsepengeangrep, datatyveri og annen ondsinnet aktivitet.
Referanser
https://thehackernews.com/2023/09/cybercrimin[...]

Flere alvorlige feil i Exim har ikke blitt fikset på lang tid

Exim er en MTA (Mail Transfer Agent) som brukes til å håndtere epost av mange organisasjoner. Det viser seg nå at Exim har flere svakheter som ble meldt inn allerede i juni 2022, uten at disse har blitt fikset. Den mest alvorlige har en CVSS (Common Vulnerability Scoring System) på 9.8/10 og muliggjør vilkårlig kjøring av kode på sårbare systemer uten å være autentisert. En ny versjon der noen av svakhetene er fikset er ferdig utviklet, men har ikke blitt offentliggjort enda.
Referanser
https://thehackernews.com/2023/09/new-critica[...]

En rekke norske forsvars­kommuner utsatt for dataangrep i januar

Ordfører Wenche Pedersen fra Vadsø kommune i Nord-Norge uttrykker bekymring for at små kommuner som Vadsø ikke kan håndtere det økte ansvaret for nasjonal sikkerhet alene. Et dataangrep i februar viste seg å være rettet mot flere kommuner i Nord-Norge enn det som først ble kjent. Pedersen mener at nasjonale myndigheter må bistå kommunene i håndteringen av slike angrep. Flere kommuner i regionen rapporterer manglende kontroll over egen datasystemer. De ønsker mer støtte og ressurser fra nasjonale myndigheter for å bedre IKT-sikkerheten.
Referanser
https://www.nrk.no/tromsogfinnmark/en-rekke-f[...]