Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.11.30

CISA advarer om aktivt utnyttelsen av Unitronics programmerbare logiske kontrollere (PLC-er).

---

CISA advarer om aktivt utnyttelsen av Unitronics programmerbare logiske kontrollere (PLC-er)

CISA advarer om aktivt utnyttelsen av Unitronics programmerbare logiske kontrollere (PLC-er) i vann- og avløpssystemer. Cyber-trusselaktører retter seg mot disse PLC-ene. CISA anbefaler umiddelbare sikkerhetstiltak, inkludert endring av standardpassord, implementering av tofaktorautentisering, frakobling av PLC-er fra internett og sikkerhetskopi av konfigurasjoner for rask gjenoppretting. Andre forholdsregler inkluderer bruk av en annen TCP-port, oppdatering av PLC/HMI til den nyeste versjonen, og utforsking av verktøy og ressurser levert av CISA og WWS-sektorens partnere.

Referanser:

https://therecord.media/cisa-water-utilities-unitronics-plc-vulnerability

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.11.29

0-dagssvakhet i Google Chrome utnyttes aktivt. Ransomware-aktører arrestert i Ukraina. Sårbarheter i produkter fra Zyxel.

---

0-dagssvakhet i Google Chrome utnyttes aktivt

Google har gitt ut en ny versjon av Google Chrome som fikser syv sikkerhetssvakheter, inkludert én som allerede utnyttes i aktive angrep. Denne svakheten, kjent som CVE-2023-6345, skyldes en integer-overflow svakhet i Skia, et bibliotek for 2D-grafikk. Dette er den sjette zero-day svakhet i Chrome i år.

Anbefaling:

Installer siste versjon: 119.0.6045.199.

Sårbarheter:

CVE-2023-6345

Referanser:

https://thehackernews.com/2023/11/zero-day-alert-google-chrome-under.html

Ransomware-aktører arrestert i Ukraina

Politi fra syv land, inkludert Norge, var med i arrestasjon av fem personer i Ukraina mistenkt for å ha drevet med utpressing ved hjelp av ransomware. Personene er mistenkt for å vært involvert i angrep utført under navnene LockerGata, MegaCortex, Hive og Darma. De har kryptert over 1000 servere tilhørende større firmaer over hele verden og har krevet inn minst $82 millioner i løsepenger.

Etterforskningen startet etter angrepet mot Hydro og har vært i over fem år. Ti personer fra Kripos har vært i Kyiv i forbindelse med aksjonen. Én mistenkt sitter fra før arrestert i Norge. Fortsatt er det flere mistenkte som ikke er pågrepet.

Referanser:

https://therecord.media/ransomware-gang-suspects-arrested-ukraine https://www.vg.no/nyheter/i/dwA3do/kripos-med-paa-storaksjon-i-ukraina-hackerliga-tatt-etter-hydro-angrep

Sårbarheter i produkter fra Zyxel

JustisCERT melder om sårbarheter som berører flere brannmur-produkter og aksesspunkt fra Zyxel. Totalt ni CVEer ble publisert 28. november, hvor en er kategorisert som alvorlig (CVE-2023-4398 med CVSS-score 7.5) og åtte som viktig (CVSS-Score til og med 5.5). Den alvorlige sårbarheten berører ATP, USG og VPN-produktene fra Zyxel.

Zyxel har publisert oppdateringer til sine brannmur-produkter og veiledning for oppgradering. Hotfix til berørte Zyxel aksesspunkt (AP) er kun tilgjengelig på forespørsel frem til nødvendig oppdatering blir publisert i 2024.

Anbefaling:

Installer relevante oppdateringer.

Sårbarheter:

CVE-2023-4398

Referanser:

https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-multiple-vulnerabilities-in-firewalls-and-aps https://support.zyxel.eu/hc/en-us/articles/9207995518610-Firewall-USG-ATP-VPN-How-to-Update-Upgrade-Firmware-on-USG-ATP-VPN

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.11.28

ownCloud avslører kritiske sikkerhetshull. Russiske hackere har offentliggjort danske personopplysninger.

---

ownCloud avslører kritiske sikkerhetshull

ownCloud er en tjeneste for samhandling og fildeling som benyttes av over 600 bedriftskunder. De har nå avslørt tre kritiske sårbarheter, hvor den alvorligste (CVE-2023-49103) i graph API-appen kan eksponere admin-passord, login-detaljer for epost-server og lisensnøkler. Angrepet utnytter en avhengighet i et tredjepartsbibliotek.

Den andre kritiske sårbarheten (CVE-2023-49105) lar angripere få tilgang til, endre eller slette filer uten autentisering. Den tredje sårbarheten påvirker oauth2-biblioteket.

ownCloud har rettet sårbarhetene og oppfordrer kunder til å implementere nødvendige tiltak, inkludert endring av passord. Eksempel-kode for utnyttelse har allerede blitt utgitt for én av svakhetene. Vi anbefaler ikke at en deler denne typen tjenester direkte ut mot nettet.

Referanser:

https://www.theregister.com/2023/11/27/three_major_vulnerabilities_in_owncloud/ https://owncloud.com/security/

Russiske hackere har offentliggjort danske personopplysninger

Ransomware-gruppen Black Basta krevde seks millionar dollar for ikke å offentliggjøre 2.5TB med interne data som ble stjålet fra eiendomsmegler-kjeden EDC 1. november. Etter at EDC nektet å betale, har gruppen nå lagt ut personnummer, epost-adresser, adresser osv. for over 100.000 personer. De har også lagt ut kopier av pass, førerkort og sykdomshistorie for 1300 personer. EDC jobber med å varsle de som er rammet.

Referanser:

https://www.dr.dk/nyheder/viden/teknologi/russiske-hackere-har-frigivet-tusindvis-af-danske-edc-kunders-personlige

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.11.27

Det har vært en rolig helg.

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.11.24

Bilgigant utsatt for datainnbrudd – norsk nettløsning nede. macOS infiseres gjennom falske nettleseroppdatteringer.

---

Bilgigant utsatt for datainnbrudd – norsk nettløsning nede

Toyotas Europa- og Afrika-kontor gikk tidligere i november ut med en beskjed om at de hadde oppdaget uautorisert aktivitet i sine systemer i et "begrenset antall markeder".

NRK kan nå fortelle at datainnbruddet også har fått følger for norske kunder. I flere uker har nemlig nettløsningen til Toyotas finansieringsselskap vært nede.

Referanser:

https://nrkbeta.no/2023/11/23/bilgigant-utsatt-for-datainnbrudd-norsk-nettlosning-nede/

macOS infiseres gjennom falske nettleseroppdatteringer

ClearFake er en ny malware-kampanje som sprer informasjons-innhøsteren Atomic Stealer, en populær malware som retter seg mot MacOS. I den nye kampanjen blir brukerne lurt til å installere oppdateringer til nettleseren, etter å ha besøk en kompromittert nettside. Kampanjen støtter både Safari og Chrome. Dersom brukeren blir lurt, vil Atomic Stealer kopiere ut KeyChain passord, system-detaljer, desktop-filer og detaljer fra eventuelle krypto-lommebøker osv.

Referanser:

https://www.malwarebytes.com/blog/threat-intelligence/2023/11/atomic-stealer-distributed-to-mac-users-via-fake-browser-updates

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.11.23

Nordkoreanske hackere utgir seg som jobbrekrutterere og jobbsøkere i malware-kampanjer. Akamai har oppdaget to 0-dags sårbarheter som brukes av botnett. Videoredigerings-programmet CyberLink kompromittert i forsyningskjedeangrep . Mozilla utgir sikkerhetsoppdateringer for Firefox og Thunderbird.

---

Nordkoreanske hackere utgir seg som jobbrekrutterere og jobbsøkere i malware-kampanjer

Nordkoreanske trusselaktører er knyttet til to kampanjer der de utgir seg både som jobbrekrutterere og jobbsøkere for å distribuere skadevare og oppnå uautorisert ansettelse i organisasjoner basert i USA og andre deler av verden. Den førstnevnte kampanjen har som mål å infisere utvikler-PCer og stjele kryptovaluta, mens den sistnevne har som mål å tjene penger for regimet.

Referanser:

https://thehackernews.com/2023/11/north-korean-hackers-pose-as-job.html
https://unit42.paloaltonetworks.com/two-campaigns-by-north-korea-bad-actors-target-job-hunters/

Akamai har oppdaget to 0-dags sårbarheter som brukes av botnett

Akamais Security Intelligence Response Team (SIRT) har oppdaget to 0-dags sårbarheter som brukes aktivt for å innlemme sårbare enheter i et botnett. Botnettet brukes for å utføre større DDoS-angrep. og Akamai har fulgt det siden slutten av 2022. Svakhetene det er snakk om ligger i routere og utstyr for videoovervåking som enda ikke har blitt patchet.

Referanser:

https://www.akamai.com/blog/security-research/new-rce-botnet-spreads-mirai-via-zero-days

Videoredigerings-programmet CyberLink kompromittert i forsyningskjedeangrep

En trusselaktør Microsoft følger som "Diamond Sleet" (Lazarus Group) har kompromittert et populært program for videoredigering kalt CyberLink. Produsenten ble kompromittert, og en versjon av programvaren med malware inkludert ble lagt ut for nedlasting i oktober. Malwaren kontakter en kommando og kontroll-server og laster eventuelt ned mer malware.

Referanser:

https://www.microsoft.com/en-us/security/blog/2023/11/22/diamond-sleet-supply-chain-compromise-distributes-a-modified-cyberlink-installer/
https://thehackernews.com/2023/11/north-korean-hackers-distribute.html

Mozilla utgir sikkerhetsoppdateringer for Firefox og Thunderbird.

Mozilla har nylig lansert viktige sikkerhetsoppdateringer for både Firefox og Thunderbird. Disse oppdateringene retter opp sårbarheter som kan utnyttes for å få uautorisert kontroll over sårbare systemer.

Cybersecurity and Infrastructure Security Agency (CISA) oppfordrer alle brukere og administratorer til å ta en nærmere titt på de aktuelle rådene, og sørge for å installere de nødvendige oppdateringene så raskt som mulig.

Referanser:

https://www.cisa.gov/news-events/alerts/2023/11/22/mozilla-releases-security-updates-firefox-and-thunderbird#Cybersecurity
https://www.mozilla.org/en-US/security/advisories/mfsa2023-51/
https://www.mozilla.org/en-US/security/advisories/mfsa2023-49/

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.11.22

Check Point har sammenlignet ransomware på Linux og Windows. Atlassian har sluppet oppdateringer for diverse produkter.

---

Check Point har sammenlignet ransomware på Linux og Windows

Cisco har sett på noen nylige ransomware-angrep som har rettet seg mot Linux-systemer, flere mot ESXi-systemer. De har også sammenlignet disse med ransomware-rettet mot Windows, og har funnet ut at Linux-variantene fortsatt er enklere.

Referanser:

https://research.checkpoint.com/2023/the-platform-matters-a-comparative-study-on-linux-and-windows-ransomware-attacks/

Atlassian har sluppet oppdateringer for diverse produkter

Alassian har gitt ut 26 sikkerhetsoppdateringer for november. Svakhetene befinner seg i Confluence, Jira, Crowd, Bitbucket og Bamboo.

Anbefaling:

Oppdater til minimum versjons-numrene listet opp i artikkelen.

Referanser:

https://confluence.atlassian.com/security/security-bulletin-november-21-2023-1318881573.html

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.11.21

Carbon Black: Infeksjoner med NetSupport RAT øker.

---

Infeksjoner med NetSupport RAT øker

VMware Carbon Black melder i en ny rapport at trusselaktører retter seg mot utdannings-, regjerings- og næringslivssektorene med en fjernstyringstrojaner kalt NetSupport RAT. Leveringsmekanismene for skadevaren inkluderer falske oppdateringer for kjent programvare, drive-by-nedlastinger, bruk av skadevarelastere (f.eks. GHOSTPULSE), og ulike former for phishing-kampanjer.

Referanser:

https://thehackernews.com/2023/11/netsupport-rat-infections-on-rise.html
https://blogs.vmware.com/security/2023/11/netsupport-rat-the-rat-king-returns.html

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.11.20

Tomra: På innsiden av et dataangrep. FBI og CISA informerer om Scattered Spider sine teknikker.

---

Tomra: På innsiden av et dataangrep

I sommer ble den norske giganten Tomra utsatt for alle virksomheters mareritt. Det skulle koste dem 200 millioner kroner å rydde opp. Les mer om hendelsen og oppryddningen hos NRK.

Referanser:

https://www.nrk.no/kultur/xl/pa-innsiden-av-et-dataangrep-1.16631261

FBI og CISA informerer om Scattered Spider sine teknikker

Det føderale etterforskningsbyrået FBI og Cybersecurity and Infrastructure Security Agency (CISA) sender ut en felles advarsel om den økende cybertrusselen fra Scattered Spider. Gruppen som er kjent for datautpressing og bruk av BlackCat/ALPHV ransomware, utnytter avanserte sosiale manipulasjonsteknikker som phishing i tillegg til teknikker som filkryptering.

Advarselen gir innsikt i Scattered Spiders taktikker. FBI og CISA oppfordrer virksomheter til å styrke sikkerheten ved å implementere anbefalte tiltak for å redusere risikoen for cyberangrep fra Scattered Spider, inkludert forbedret applikasjonskontroll og sikker autentisering.

Referanser:

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-320a

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.11.17

Ti vanlige sårbarheter i norske IKT-systemer. Utviklere legger fortsatt inn innloggingsdetaljer i kildekode. Fersk svakhet i Zimbra brukt mot regjeringer i flere land. Telenor registrerer stor økning i svindelanrop som gir seg ut for å være fra politiet.

---

Ti vanlige sårbarheter i norske IKT-systemer

Selv om programvare, nettverk, brukere og virksomheter blir sikrere, ser NSMs inntrengingstestere at de samme sårbarhetene går igjen år etter år. Derfor har NSM samlet de ti vanligste sårbarhetene – og råd for hvordan de kan håndteres – i rapporten Ti sårbarheter i norske IKT-systemer.

Referanser:

https://nsm.no/regelverk-og-hjelp/rapporter/ti-sarbarheter-i-norske-ikt-systemer

Utviklere legger fortsatt inn innloggingsdetaljer i kildekode

Ars Technica har en artikkel om problemet med kildekode som inneholder passord, API-nøkler, SSH-nøkler osv. Problemet har vært kjent i mer enn et tiår, men fortsatt er det mange som gjør feilen, selv større organisasjoner. Angripere kan hente ut denne typen informasjon fra offentlige biblioteker som GitHub, PyPi osv. Det finnes flere måter å unngå problematikken på, som bruk av private .env-filer for sensitive data og ulike passordhvelv-tjenester fra leverandører som Google, Amazon og Microsoft.

Referanser:

https://arstechnica.com/security/2023/11/developers-cant-seem-to-stop-exposing-credentials-in-publicly-accessible-code/

Fersk svakhet i Zimbra brukt mot regjeringer i flere land

Google TAG oppdaget i juni 2023 en fersk svakhet (zero-day) i epost-systemet Zimbra. Svakheten ble utnyttet av fire forskjellige trusselaktører til å stjele eposter, login-detaljer og autentiseringsnøkler. En offisiell patch ble først gjort tilgjengelig 25. juli. En av trusselaktørene som utnyttet svakheten, "Winter Vivern", har også tidligere utnyttet svakheter i Zimbra og Roundcube. Denne trusselaktøren knyttes ofte mot Russland og Belarus.

Sårbarheter

CVE-2023-37580

Referanser:

https://blog.google/threat-analysis-group/zimbra-0-day-used-to-target-international-government-organizations/

Telenor registrerer stor økning i svindelanrop som gir seg ut for å være fra politiet

I forrige uke fanget Telenors svindelfiltre i mobilnettet opp over 1,1 millioner uønskede samtaler. I løpet av en vanlig uke ligger antallet på rundt 400.000. Økningen skyldes i stor grad mange tilfeller av politisvindel, altså at svindlere ringer opp og gir seg ut for å være fra politiet.

– Politiet vil aldri, aldri, aldri spørre deg om din BankID. Dette er det utrolig viktig at folk forstår og husker på, sier politiinspektør og næringslivskontakt i Oslo politidistrikt, Christina Rooth, i pressemeldingen.

Referanser:

https://www.online.no/sikkerhet/advarer-mot-politisvindel/

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.11.16

FBI sliter med å stoppe ransomware-gjeng. Fortinet utgir sikkerhetsoppdateringer for FortiClient og FortiGate.

---

FBI sliter med å stoppe ransomware-gjeng

Reuters har snakket med ni sikkerhetsseksperter som mener at FBI har problemer med å stoppe en ransomware-gruppe (Scattered Spider) som har rammet mange mål, spesielt i USA, i løpet av de siste to årene. Retuers mener at FBI har kjent identiteten til minst 12 medlemmer av gruppen, som har stått bak angrep blant annet mot MGM Resorts og Caesars Entertainment. Flere av medlemmene skal befinne seg på amerikansk jord, men lite skjer. FBI nekter å kommentere saken.

Referanser:

https://www.reuters.com/technology/cybersecurity/fbi-struggled-disrupt-dangerous-casino-hacking-gang-cyber-responders-say-2023-11-14/

Fortinet utgir sikkerhetsoppdateringer for FortiClient og FortiGate

Fortinet patcher blant annet en generell SOCKS5-proxy svakhet i libcurl, mulighet for å slette filer på systemet som en vanlig bruker, samt DLL-hicjacking gjennom endringer i en konfigurasjonsfil. Brukere av Fortinet-utstyr anbefales å oppdatere!

Referanser:

https://www.cisa.gov/news-events/alerts/2023/11/14/fortinet-releases-security-updates-forticlient-and-fortigate
https://www.fortiguard.com/psirt/FG-IR-23-385
https://www.fortiguard.com/psirt/FG-IR-22-299
https://www.fortiguard.com/psirt/FG-IR-23-274

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.11.15

Microsofts har gitt ut sikkerhetsoppdateringer for november 2023. Intel patcher svakhet i flere av sine CPUer med ny mikrokode. Ny svakhet rammer AMD-CPUer: CacheWarp. Eksponerte enheter i ytterkant av nettverk utnyttes av Kina. Kritisk feil i VMware Cloud Director Appliance omgår autentisering. Sikkerhetsoppdateringer fra Adobe og SAP.

---

Microsofts har gitt ut sikkerhetsoppdateringer for november 2023

Microsoft har gitt ut sine månedlige sikkerhetsoppdateringer for november. Totalt er det 58 sårbarheter, inkludert fem null-dagers sårbarheter (utnyttes allerede aktivt).

Norske NCSC fremhever tre kritiske følgende tre kritiske svakheter:

• CVE-2023-36397: Sårbarhet i Windows Internet Connection Sharing hvor en angriper under visse omstendigheter kan sende en ondsinnet fil over nettverket, og som et resultat kjøre vilkårlig kode.

• CVE-2023-36400: Sårbarhet i forbindelse med Windows HMAC Key Derivation hvor en angriper under visse omstendigheter kan ta kontroll over systemet.

• CVE-2023-36052: Sårbarhet i Azure kommandolinjeverktøy (CLI) hvor en angriper kan søke etter og lese innloggingsdetaljer i logger som lagres i åpne lagringsplasser.

NCSC fremhever videre tre sårbarheter som har blitt aktivt utnyttet:

• CVE-2023-36025: Sårbarhet i Microsoft Security SmartScreen hvor en angriper kan omgå Windows Defender SmartScreen dersom en bruker trykker på en spesifikt utformet Internet Shortcut (.URL) fil eller link til en slik fil.

• CVE-2023-36033: Sårbarhet i Windows DWM Core Library hvor en angriper kan oppnå SYSTEM rettigheter ved lokal utnyttelse.

• CVE-2023-36036: Sårbarhet i Windows Cloud Files Mini Filter Driver hvor en angriper kan oppnå SYSTEM rettigheter ved lokal utnyttelse.

Referanser:

https://www.bleepingcomputer.com/news/microsoft/microsoft-november-2023-patch-tuesday-fixes-5-zero-days-58-flaws/
https://nsm.no/fagomrader/digital-sikkerhet/nasjonalt-cybersikkerhetssenter/varsler-fra-ncsc/patchetirsdag-november-2023
https://isc.sans.edu/diary/Microsoft+Patch+Tuesday+November+2023/30400/
https://msrc.microsoft.com/update-guide

Intel patcher svakhet i flere av sine CPUer med ny mikrokode

Intel har funnet en sikkerhetssårbarhet i enkelte av sine prosessorer. Dette kan føre til eskalering av privileger og/eller informasjonsavsløring og/eller tjenestenekt via lokal tilgang, etter å ha fått CPUen over i en spesiell tilstand. Svakheten kan være alvorlig i delte miljøer, som skymiljøer. Enkelte av de berørte produktene er 10th og 11th Gen Intel prosessor.

Sårbarheter

CVE-2023-23583

Referanser:

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00950.html
https://lock.cmpxchg8b.com/reptar.html

Ny svakhet rammer AMD-CPUer: CacheWarp

CacheWarp er et nytt programvarebasert angrep mot AMD SEV-ES og SEV-SNP (Secure Encrypted Virtualization), som tillater angripere å manipulere kontrollflyten og få tilgang til krypterte virtuelle maskiner (VM-er). Angrepet gir også mulighet for fjernkjøring av kode ved å ta over eldre autentiserte sesjoner. Svakheten skal ikke ramme tradisjonelle virtualiserte maskiner som ikke benytter seg av AMD SEV.

Svakheten har fått benevnelsen CVE-2023-20592 og tilbyr en mikrokodeoppdatering for å løse sårbarheten.

Sårbarheter

CVE-2023-20592

Referanser:

https://cachewarpattack.com/#faq
https://www.amd.com/en/resources/product-security/bulletin/amd-sb-3005.html

Eksponerte enheter i ytterkant av nettverk utnyttes av Kina

Recorded Future har nettopp gitt ut en rapport om angreps-aktivitet fra Kina. I det siste har Kinesiske aktører økt sine angrep mot såkalt "edge-devices", altså enheter som står i ytterkant av bedrifters nettverk og er eksponert mot Internet. Flere ransomware-aktører har også utnyttet denne typen enheter i det siste. Disse enhetene er ekstra sårbare mot ferske angrep, før de blir patchet. De bør derfor patches kjapt, overvåkes ekstra nøye og tilgang til interne systemer i nettet bør begrenses så mye som mulig.

Referanser:

https://www.darkreading.com/vulnerabilities-threats/zero-days-in-edge-devices-china-cyber-warfare-tactic
https://www.recordedfuture.com/charting-chinas-climb-leading-global-cyber-power

Kritisk feil i VMware Cloud Director Appliance omgår autentisering

VMware har utgitt en nødoppdatering for en alvorlig autentiseringsfeil i Cloud Director Appliance-produktet. Feilen, med en alvorlighetsgrad på 9.8 av 10, tillater ondsinnede aktører med nettverkstilgang å omgå påloggingsbegrensninger på spesifikke porter. Sårbarheten rammer enheter som har blitt oppgraderte fra eldre versjoner til VMware Cloud Director Appliance versjon 10.5. VMware anbefaler bedrifter å følge deres retningslinjer for å avhjelpe risikoen.

Sårbarheter

CVE-2023-34060

Referanser:

https://www.securityweek.com/critical-authentication-bypass-flaw-in-vmware-cloud-director-appliance/
https://www.vmware.com/security/advisories/VMSA-2023-0026.html

Sikkerhetsoppdateringer fra Adobe og SAP

JustisCERT melder om oppdateringer fra Adobe og SAP.

Adobe har publisert 14 bulletiner som dekker 76 CVE hvor 40 er vurdert som kritisk (CVSS-score til og med 9.8). Flere av sårbarhetene gjør det mulig for angriper å kjøre vilkårlig kode. De kritiske sårbarheten berører Acrobat and Reader, After Effects, Audition, ColdFusion, FrameMaker Publishing Server, InCopy, Media Encoder, Photoshop, Premiere Pro og RoboHelp Server.

SAP Security Patch Day for november2023 inneholder 3 nye bulletiner med CVSS-score opp til 9.6.

Referanser:

https://helpx.adobe.com/security/security-bulletin.html
https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.11.14

Kinas største bank rammet av ransomware etter utnyttelse av "CitrixBleed"-svakheten.

---

Kinas største bank rammet av ransomware

Et ransomware-angrep rammet sist uke Kinas største bank, Industrial and Commercial Bank of China. Angrepet førte til at banken måtte stenge ned noen tjenester, noe som heldigvis kun hadde minimal påvirkning på andre markeder. Wall Street Journal melder i dag at en Citrix Netscaler-server som ikke var patchet for sårbarheten "CitrixBleed" var inngangsvektoren for Lockbit 3.0. Reuters opplyser at banken antageligvis har betalt løsepenger for å få tilgang til systemene sine igjen.

Sårbarheter

CVE-2023-4966

Referanser:

https://www.securityweek.com/yellen-says-ransomware-attack-on-chinas-biggest-bank-minimally-disrupted-treasury-market-trades/
https://doublepulsar.com/lockbit-ransomware-group-assemble-strike-team-to-breach-banks-law-firms-and-governments-4220580bfcee
https://www.reuters.com/technology/cybersecurity/icbc-paid-ransom-after-hack-that-disrupted-markets-cybercriminals-say-2023-11-13/

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.11.13

Sårbarhet i SLP utnyttes aktivt.

---

Sårbarhet i SLP utnyttes aktivt

I følge CISA utnyttes nå en sårbarhet i SLP (Service Location Protocol) med alvorlighetsgrad høy, som kan utnyttes til å utføre massive DoS-forsterkningsangrep.

Sårbarheten tillater en uautentisert angriper å registrere tjenester og bruke spoofet UDP-trafikk for å gjennomføre et tjenestenektangrep med en betydelig forsterkningsfaktor.

SLP protokollen brukes til å tillate systemer på et lokalt nettverk å finne hverandre og etablere kommunikasjon og er egentlig ikke ment å eksponeres eksternt.

Sårbarheter

CVE-2023-29552

Referanser:

https://thehackernews.com/2023/11/cisa-alerts-high-severity-slp.html

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.11.10

Fersk svakhet i SysAid utnyttet i ransomware-angrep.

---

Fersk svakhet i SysAid utnyttet i ransomware-angrep

Ransomware-aktører har utnyttet en zero-day svakhet i et verktøy brukt i forbindelse med brukerstøtte kalt SysAid. Microsoft varslet leverandøren om svakheten 2. november og en versjon som fikser svakheten ble utgitt 8. november.

Det er Cl0p ransomware som blir installert på sårbare systemer. Cl0p ble også installert på tusenvis av systemer etter at det tidligere i høst ble oppdaget en alvorlig svakhet i filoverføringssystemet MoveIt.

Anbefaling:

Oppdater til SysAid versjon 23.3.36. Sjekk systemer som har vært eksponert for infeksjon.

Referanser:

https://www.securityweek.com/sysaid-zero-day-vulnerability-exploited-by-ransomware-group/
https://www.bleepingcomputer.com/news/security/microsoft-sysaid-zero-day-flaw-exploited-in-clop-ransomware-attacks/

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.11.09

Det har vært et rolig døgn.

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.11.08

Sikkerhetsoppdateringer og Sårbarhetsfikser i Android for November 2023. BlueNoroff-gruppen angriper Mac-brukere med nytt skadevare.

---

Sikkerhetsoppdateringer og Sårbarhetsfikser i Android for November 2023

Google har lansert Android-sikkerhetsoppdateringer for november 2023, som består av to deler: sikkerhetsnivåene 2023-11-01 og 2023-11-05. Del 1 retter 15 sårbarheter, der den mest kritiske (CVE-2023-40113) påvirket Android-versjoner fra 11 til 13. Samtlige 15 problemer var av høy alvorlighetsgrad og omfatter informasjonslekkasje, eskalering av privilegier og tjenenekt. Del 2 adresserer 22 sikkerhetsfeil i Arm, MediaTek og Qualcomm-komponenter. Google lanserte også oppdateringer for Kernel-versjoner og patchet åtte sårbarheter i Pixel-enheter. Google kjenner ikke til at noen av svakhetene har blitt benyttet i angrep.

Referanser:

https://www.securityweek.com/37-vulnerabilities-patched-in-android-with-november-2023-security-updates/

BlueNoroff-gruppen angriper Mac-brukere med nytt skadevare

Den nordkoreanske hackergruppen BlueNoroff har utviklet et nytt macOS skadevare, kalt ObjCShellz, som kan åpne eksterne kommandolinjer på kompromitterte enheter. Gruppen, kjent for å angripe kryptobørser og finansinstitusjoner globalt, benytter seg av en bakdør som kommuniserer med et angriperkontrollert domene for å etterligne legitime kryptoselskapers nettsider. Malware-analytikere fra selskapet "Jamf" oppdaget at data sendt til serveren deles opp og settes sammen igjen for å unngå deteksjon. ObjCShellz er designet for å kjøre på både Intel og Arm Mac-systemer og mistenkes å være en del av en flertrinns angrepskampanje levert via sosial manipulering.

Referanser:

https://www.bleepingcomputer.com/news/security/bluenoroff-hackers-backdoor-macs-with-new-objcshellz-malware/#google_vignette

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.11.07

Situasjonsrapport fra Telenor SOC - oktober 2023. Google Kalender utnyttet som hackerinfrastruktur. Kritiske sårbarheter i Veeam ONE IT-overvåkingsprogramvare.

---

Situasjonsrapport fra Telenor SOC - oktober 2023

Vi har publisert vår situasjonsrapport fra Telenor SOC for oktober 2023. Denne måneden skriver vi blant annet om avanserte proxy-baserte phishing-angrep mot Norge og en kritisk svakhet i Cisco IOS XE.

Referanser:

https://telenorsoc.blogspot.com/2023/11/situasjonsrapport-fra-telenor-soc.html

Google Kalender utnyttet som hackerinfrastruktur

Google har nylig advart om en ny teknikk der angripere bruker Google Kalender som en del av deres command and control (C2) infrastruktur. Det omtalte angrepsverktøyet, kalt Google Calendar RAT, tillater skadelig kommandooverføring via kalenderhendelser. Dette ble avslørt i et proof-of-concept (PoC) publisert på GitHub, som beskriver hvordan angripere skjuler sin kommunikasjon ved å utnytte kalenderbeskrivelser. Selv om det ikke er rapportert om faktisk misbruk i praksis, har sikkerhetsfirmaet Mandiant observert at konseptet blir delt på skjulte forum. Googles egen Threat Analysis Group har tidligere identifisert liknende misbruk av deres tjenester, og har deaktivert flere kontoer knyttet til angrepskampanjer.

Referanser:

https://securityaffairs.com/153700/hacking/google-calendar-rat-attacks.html
https://github.com/MrSaighnal/GCR-Google-Calendar-RAT/blob/main/README.md

Kritiske sårbarheter i Veeam ONE IT-overvåkingsprogramvare

Veeam har utgitt sikkerhetsoppdateringer for å tette fire sikkerhetshull i sin ONE IT-overvåkings- og analyseplattform, hvorav to er vurdert som kritiske. Den mest alvorlige sårbarheten, med en CVSS-score på 9.9, gjør det mulig for en uautorisert bruker å eksekvere kode på SQL-serveren ved å hente informasjon om databasetilkoblinger. Den andre sårbarheten tillater en bruker med begrenset tilgang til å skaffe NTLM-hashen til kontoen som brukes av Veeam ONE-rapporteringstjenesten.

De berørte versjonene av Veeam ONE IT-overvåkingsprogramvaren er:

• Veeam ONE versjon 11

• Veeam ONE versjon 11a

• Veeam ONE versjon 12

Anbefaling:

Veeam anbefaler at brukere av berørte versjoner umiddelbart stopper overvåknings- og rapporteringstjenester, installerer de utgitte hurtigfiksene og starter tjenestene på nytt.

Sårbarheter

CVE-2023-38547, CVE-2023-38548, CVE-2023-38549, CVE-2023-41723

Referanser:

https://thehackernews.com/2023/11/critical-flaws-discovered-in-veeam-one.html

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.11.06

NRK svindlet for nær en million kroner. NorSIS inn i Nasjonal sikkerhetsmyndighet (NSM). Kinsing-aktører utnytter nylige sårbarheter i Linux for å trenge inn i cloud miljøer.. Nordkoreanske hackere bruker ny 'KandyKorn' macOS-malware i angrep.

---

NRK svindlet for nær en million kroner

NRK betalte 80.000 euro til en svindler som ga seg ut for å være fra den islandske allmennkringkasteren i forbindelse med dramaserien «Ministeren».

Kriminelle lurte NRK-medarbeideren til å logge inn på en svindel-side, der du tror du har logget inn for å gjøre et eller annet legitimt. Det er ikke nytt, det nye her er at den kriminelle klarte å fange opp tofaktorprosessen, ifølge NRK.

Referanser:

https://www.nrk.no/norge/nrk-svindlet-for-naer-en-million-kroner-1.16621474

NorSIS inn i Nasjonal sikkerhetsmyndighet (NSM)

Norsk senter for informasjonssikring, NorSIS på Gjøvik, vil fra årsskiftet bli en del av Nasjonal sikkerhetsmyndighet (NSM).

Merkevaren NorSIS videreføres etter virksomhetsoverdragelsen, og enheten under NSM forblir lokalisert på Gjøvik. De NorSIS-ansatte i foreningen som følger overdragelsen tilbys ansettelse i NSM. NorSIS arbeider for en trygg digital hverdag, med særlig oppmerksomhet på allmennheten og små og mellomstore bedrifter.

Referanser:

https://www.regjeringen.no/no/aktuelt/norsis-inn-i-nasjonal-sikkerhetsmyndighet-nsm/id3012425/

Kinsing-aktører utnytter nylige sårbarheter i Linux for å trenge inn i cloud miljøer.

Trusselaktøren "Kinsing" har blitt observert mens de forsøker å utnytte den nylig avslørte Linux-sårbarheten kalt "Looney Tunables" for å oppnå utvidede tilganger i systemer, som en del av en ny kampanje designet for å trenge inn i sky-miljøer.

Dette er det første kjente tilfeller der en trusselaktør har benyttet denne svakheten i reelle angrep. Målet med kampanjen ser ut til å være utvinning av kryptovaluta på systemer de får kontroll over.

Referanser:

https://thehackernews.com/2023/11/kinsing-actors-exploit-linux-flaw-to.html
https://blog.aquasec.com/loony-tunables-vulnerability-exploited-by-kinsing

Nordkoreanske hackere bruker ny 'KandyKorn' macOS-malware i angrep

Den Nord-Koreanske hackergruppen, Lazarus, har nylig kommet på radaren igjen med bruk av sofistikert ondsinnet programvare rettet mot både macOS og Windows. Et av de mest oppsiktsvekkende angrepene var rettet mot blockchain-ingeniører ansatt hos en kryptobørs, der ofrene ved hjelp av sosial manipulering ble overbevist om å laste ned en tilsynelatende uskyldig arkivfil som inneholdt skadelig kode. Etter flere trinn og teknikker for å unngå oppdagelse, ble en avansert macOS-malware ved navn KandyKorn kjørt på maskinen, som gav angriperne mulighet til å eksfiltrere data fra systemet.

Referanser:

https://www.securityweek.com/north-korean-hackers-use-new-kandykorn-macos-malware-in-attacks/

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.11.03

Sikkerhetsforskere finner 34 Windows enhetsdrivere med alvorlige feil. Boeing bekrefter cyberangrep etter påstander om LockBit-ransomware.

---

Sikkerhetsforskere finner 34 Windows enhetsdrivere med alvorlige feil

Sikkerhetsforskere fra VMware Carbon Black har funnet 34 Windows-drivere med alvorlige feil som lar en ikke-priviligert prosess ta full kontroll over enheten. Svakhetene tillot tilgang til kernel-minnet, omgåelse av sikkerhets-mekanismer som ASLR, sletting av firmware osv. Svakhetene er oppdaget ved hjelp av automatisert statisk kodeanalyse.

Referanser:

https://thehackernews.com/2023/11/researchers-find-34-windows-drivers.html

Boeing bekrefter cyberangrep etter påstander om LockBit-ransomware

Luftfartsgiganten Boeing etterforsker en cyberangrep som påvirker deres reservedel og distribusjonsvirksomhet, etter at LockBit-ransomware-gjengen hevder å ha brutt seg inn og stjålet data i selskapets nettverk. Nettstedet til Boing Services er nede etter hendelsen. Boeing sier at hendelsen ikke påvirker flysikkerheten og bekrefter samarbeid med myndighetene og politi som en del av en pågående etterforskning.

Ransomware-gjengen Lockbit hevder at de har stjålet en betydelig mengde sensitiv informasjon. Boings navn ble etter en stund fjernet fra Lockbits liste over kompromitterte firmaer, noe som kan tyde på at forhandlinger om løsepenger har startet.

Referanser:

https://www.bleepingcomputer.com/news/security/boeing-confirms-cyberattack-amid-lockbit-ransomware-claims/

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.11.02

Versjon 4.0 av CVSS for vurdering av sårsbarhetsalvorlighetsgrad lansert. Cisco har sluppet sin halvårlige sikkerhetsoppdatering.

---

Versjon 4.0 av CVSS for vurdering av sårsbarhetsalvorlighetsgrad lansert

FIRST (Forum of Incident Response and Security Teams) har offisielt lansert CVSS v4.0, neste generasjon av deres standard for å vurdere alvorlighetsgraden til sårbarheter, åtte år etter CVSS v3.0, forrige versjon.

CVSS er et standardisert rammeverk for å vurdere alvorlighetsgraden av programvaresårbarheter, som brukes til å tildele numeriske poeng eller kvalitativ representasjon (som lav, middels, høy og kritisk) basert på utnyttbarhet, innvirkning på konfidensialitet, integritet, tilgjengelighet og nødvendige rettigheter, der høyere poeng angir mer alvorlige sårbarheter.

Referanser:

https://www.bleepingcomputer.com/news/security/new-cvss-40-vulnerability-severity-rating-standard-released/
https://www.first.org/cvss/

Cisco har sluppet sin halvårlige sikkerhetsoppdatering

EkomCERT melder at Cisco den 1. november publiserte flere sårbarhetsvarsler i forbindelse med en samleoppdatering for Cisco ASA, FMC og FTD. I denne oppdateringen er de fleste sårbarhetene knyttet til Cisco FTD. EkomCERT ønsker spesielt å fremheve flere av sårbarhetene som kan benyttes til tjenestenektanrep mot berørte enheter knyttet til håndtering av ICMPv6 og generell regelhåndtering i Firepower 2100-serien. Oppdateringen inneholder også patch til den eldre sårbarheten CVE-2022-20713, som berører FTD VPN Web client, og hvor det finnes kode for utnyttelse tilgjengelig.

Referanser:

https://sec.cloudapps.cisco.com/security/center/viewErp.x?alertId=ERP-74985

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.11.01

40 land går sammen om å ikke betale løsepenger til cyberkriminelle. Forbud mot Meta om bruk av persondata utvides til hele EØS. Google har gitt ut Chrome 119. VMware oppdaterer Workspace ONE UEM. 'Elektra-Leak'-angripere samler inn AWS Cloud-nøkler i en GitHub-kampanje. Atlassian advarer om kritisk Confluence-svakhet.

---

40 land går sammen om å ikke betale løsepenger til cyberkriminelle

USA sier at de har gått sammen med en rekke andre land om å skrive under på en avtale om ikke å betale ut løsepenger til ransomware-grupper, samt å ødelegge for deres muligheter for å motta betalinger. Tiltaket kalles "The International Counter Ransomware Initiative". Landene skal samarbeide om å overvåke og svarteliste kontoer brukt for betalinger.

Referanser:

https://www.reuters.com/technology/alliance-40-countries-vow-not-pay-ransom-cybercriminals-us-says-2023-10-31/

Forbud mot Meta om bruk av persondata utvides til hele EØS

Datatilsynet beordret i sommer Meta å stanse bruken av nordmenns persondata til adferdsbasert reklame. Teknologikjempen, som eier Facebook og Instagram, har siden august fått én million i daglige bøter for å ikke følge vedtaket. Datatilsynet har nå vunnet frem hos Personvernrådet i EU og tilsynets forbud utvides til flere land i EØS.

Som mottrekk vurderer Meta å kreve rundt 150 kroner i måneden for å få en annonsefri utgave av Facebook og Instagram.

Referanser:

https://nrkbeta.no/2023/10/31/forbud-mot-meta-om-bruk-av-persondata-utvides-til-hele-eos/
https://www.tek.no/nyheter/nyhet/i/nQx2RQ/abonner-paa-reklamefri-facebook-og-insta

Google har gitt ut Chrome 119

Google har gitt ut Chrome versjon 119 som utbedrer 15 svakheter. Tre av svakhetene har blitt kategorisert med viktighet "høy".

Referanser:

https://chromereleases.googleblog.com/search/label/Stable%20updates

VMware oppdaterer Workspace ONE UEM

VMware har gitt ut en oppdatering for Workspace ONE UEM console som utbedrer en åpen redirigerings-svakhet. En ondsinnet aktør kan utnytte denne svakheten til å videresende et offer til angriperens web-server og få tilgang til SAML-svaret, for deretter å logge inn som offeret.

Anbefaling:

Installer patcher fra VMware.

Sårbarheter

CVE-2023-20886

Referanser:

https://www.vmware.com/security/advisories/VMSA-2023-0025.html

'Elektra-Leak'-angripere samler inn AWS Cloud-nøkler i en GitHub-kampanje

Angripere bruker eksponerte AWS IAM-nøkler eksponert gjennom offentlige GitHub-prosjekter for å opprette EC2-instanser for kryptovalutautvinning. Til tross for mottiltak fra AWS, har angriperne klart å opprette over 474 EC2-instanser i løpet av kort tid. Angrpet viser at mange organisasjoner dessverre fortsatt har dårlige rutiner når det gjelder å beskytte sine tilgangsnøkler.

Referanser:

https://www.darkreading.com/cloud/elektra-leak-attackers-harvest-aws-cloud-keys-github-campaign

Atlassian advarer om kritisk Confluence-svakhet

Atlassian advarer om en kritisk sikkerhetssvakhet i Confluence Data Center og Server som kan føre til store datatap dersom den blir utnyttet av en angriper. Svakheten har fått CVVS på 9.1 av 10 og kan utnyttes uten å autentisere seg mot serveren. Vi anbefaler å oppgradere til ny versjon, se vedlagte liste! Tjenester som Confluence bør heller ikke eksponeres direkte ut på nettet.

Anbefaling:

Oppgrader til versjon 7.19.16, 8.3.4, 8.4.4, 8.5.3, 8.6.1.

Sårbarheter

CVE-2023-22518

Referanser:

https://confluence.atlassian.com/security/cve-2023-22518-improper-authorization-vulnerability-in-confluence-data-center-and-server-1311473907.html
https://thehackernews.com/2023/10/atlassian-warns-of-new-critical.html