Det har vært et rolig døgn.
Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.
Friday 29 December 2023
Thursday 28 December 2023
Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.12.28
Barracuda har fikset fersk svakhet i Email Security Gateway (ESG). Detaljer om Operation Triangulation, zero-click angrep mot iOS.
Barracuda har fikset fersk svakhet i Email Security Gateway (ESG)
Nettverks- og epost-sikkerhetsfirmaet Barracuda opplyser at de automatisk har patchet alle instanser av Email Security Gateway (ESG) 21. desember. Dette ble gjort etter at de oppdaget at en ukjent svakhet ble utyttet av kinesiske hackere i grupperingen UNC4841. Dagen etterpå sendte de ut enda en oppdatering for å fjerne malware kalt "SeaSpy" og "Saltwater" fra enheter som allerede hadde blitt infisert. Svakheten, som går under benevnelsen CVE-2023-7102, ligger i parsing av Excel-filer i vedlegg til eposter. Dette er andre gangen at Barracuda ESG er rammet av en zero-day svakhet i år.
Sårbarheter:
Detaljer om Operation Triangulation, zero-click angrep mot iOS
22. juni hadde nyhetsbrevet en sak om Operation Triangulation, en avansert overvåkingsprogramvare oppdaget av russiske Kaspersky som rettet seg mot iOS-enheter. Tilgang til enheten oppnås ved å sende en usynlig melding i iMessage, uten at brukeren kan oppdage noe eller trenger å foreta seg noe.
Kaspersky har nå sluppet detaljer om svakhetene som ble utnyttet og hvordan programvaren fungerer. Den benytter seg blant annet av en svakhet i TrueType-fonter, 2 kernel-svakheter, en svakhet i Safari-nettleseren og en udokumentert hardware-egenskap.
Wednesday 27 December 2023
Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.12.27
Over 327 000 Android-enheter infisert av ny Xamalicious skadevare. EasyPark hacket – kundedata på avveie.
Over 327 000 Android-enheter infisert av ny Xamalicious skadevare
En ny skadevare, kalt Xamalicious, har blitt oppdaget av McAfee Mobile Research Team. Denne bakdøren utnytter operativsystemets tilgjengelighetsfunksjoner for å utføre skadelige handlinger og har allerede påvirket over 327 000 enheter. Xamalicious kan samle inn data om enheten og kontakte en kommando- og kontrollserver(C2) for å hente en sekundær fil med mer funksjonalitet. Den kan også oppdatere seg selv for å fungere som spionvare eller banktrojaner. McAfee har identifisert 25 apper som inneholder denne trusselen, hvor noen ble distribuert via den offisielle Google Play Store siden midten av 2020.
EasyPark hacket – kundedata på avveie
Parkeringsselskapet EasyPark melder at de er rammet av et datainnbrudd. "10. desember 2023 ble vi utsatt for et dataangrep. Angrepet resulterte i et innbrudd på ikke-sensitive kundedata", skriver EasyPark på sine nettsider. Selskapet opplyser videre at kunder kan åpne appen for å sjekke om de er berørt.
Friday 22 December 2023
Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.12.22
Mozilla patcher Firefox og Thunderbird. Ny sofistikert trojaner rammer både macOS og Windows.
Mozilla patcher Firefox og Thunderbird
Mozilla har gitt ut nye versjoner av Firefox og Thunderbird for å fikse 20 sikkerhetssvakheter, inkludert flere feil i håndtering av minne. Den mest alvorlige svakheten i Firefox ligger i håndtering av verktor-grafikk i WebGL-biblioteket. De nye versjonene er Firefox 121 og Thunderbird 115.6.
Ny sofistikert trojaner rammer både macOS og Windows
AT&T Alien Labs har oppdaget en ny trojaner de kaller JaskaGO, som er spesialisert for å stjele informasjon som innholdet i krypto-lommebøker, passord, cookies osv. Den er skrevet i programmeringsspråket Go og har egne utgaver for både macOS og Windows. Anti-virus systemer har ingen eller svært mangelfull deteksjon.
Thursday 21 December 2023
Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.12.21
Google patcher årets åttende zero-day i Chrome. Ny phishing-teknikk prøver å stjele backup-koder for innlogging til Instagram.
Google patcher årets åttende zero-day i Chrome
Google har sluppet en oppdatering for å patche en kritisk svakhet i Chrome som allerede utnyttes aktivt i angrep. Svakheten ligger i WebRTC-komponenten, som brukes til strømming av bilde og lyd og ble oppdaget av Googles eget TAG-team. Den nye versjonen er 120.0.6099.129/130.
Sårbarheter:
Ny phishing-teknikk prøver å stjele Instagram backup-koder
En ny phishing-kampanje gir seg ut for å være en copyright-klage fra rettighetshavere. Kampanjen er svært overbevisende utformet og spør til slutt om en to-faktor backup-kode for å sende inn svar på klagen. Disse kodene brukes i tilfelle brukeren har mistet tilgang til sine vanlige måter å bekrefte innlogging på, som SMS-koder.
Wednesday 20 December 2023
Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.12.20
FBI har tatt ned Blackcat ransomware-gjengen sine nettsider og gitt ut krypteringsnøkler til ofre. Interpol har arrestert 3500 mistenkte for datakriminalitet. Nytt angrep mot SSH kan nedgradere sikkerheten.
FBI har tatt ned Blackcat ransomware-gjengen sine nettsider
FBI har tatt ned nettsidene til den kjente ransomware-gjengen ALPHV Blackcat. De har i flere uker overvåket aktivitetene til gjengen og stjålet nøkler for dekryptering av data, som de har videresendt til Blackcats ofre. 500 bedrifter har dermed fått låst opp dataene sine og har unngått å betale 68 millioner USD i løsepenger.
Etter aksjonen ble de beslaglagte sidene igjen endret tilbake til en melding fra Blackcat-gjengen om at de flytter til en ny nettadresse. Gjengen meldte også at de tillott sine "underleverandører" å angripe sykehus og kritisk infrastruktur fra nå av.
Mange spekulerer nå i at banden kommer til å skifte navn og flytte over til helt ny infrastruktur.
CISA og FBI har også gitt ut veiledning rundt Blackcat sine taktikker, teknikker og prosedyrer (TTPs) i forbindelse med aksjonen.
Referanser:
https://www.bleepingcomputer.com/news/security/fbi-disrupts-blackcat-ransomware-operation-creates-decryption-tool/
https://www.cisa.gov/news-events/alerts/2023/12/19/cisa-and-fbi-release-advisory-alphv-blackcat-affiliates
https://www.bleepingcomputer.com/news/security/how-the-fbi-seized-blackcat-alphv-ransomwares-servers/
Interpol har arrestert 3500 mistenkte for datakriminalitet
Interpol melder at de har beslaglagt over 300 millioner USD og arrestert 3500 mistenkte i en global operasjon kalt "HAECHI IV". Aksjonen har pågått i seks måneder i 34 land og har rettet seg mot syv typer svindel-operasjoner: voice phishing, dating-svindel, sex-utpressing, investerings-svindel, hvitvasking i forbindelse med pengespill, BEC (business email compromise)-svindel og falske nettbutikker.
Nytt angrep mot SSH kan nedgradere sikkerheten
Det er avdekket en ny svakhet i SSH-protokollen kalt "Terrapin". Angrepet gjør det mulig for en angriper, som har tilgang til trafikkstrømmen mellom klient og server, å fjerne pakker i trafikkstrømmen under oppkoblingen av sesjonen uten at verken klient eller server kan oppdage angrepet. Dette kan blant annet brukes til å nedgradere sesjonen til mindre sikker kryptering. OpenSSH har gitt ut versjon 9.6 som fikser problemet.
Sårbarheter:
Tuesday 19 December 2023
Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.12.19
Bedrifter på Jæren rammet av ransomware-angrep.
Bedrifter på Jæren rammet av ransomware-angrep
Rundt 30 bedrifter på Jæren, blant annet Norwegian Seals og SR-Group, er rammet av driftsproblemer etter at driftsleverandøren Nettdrift AS ble utsatt for ransomware.
"Angrepet er utført av en større, internasjonalt kjent trusselaktør og er gjennomført på en svært sofistikert måte", sier daglig leder i SR-Group, Dag Martin Smørdal. Til Stavanger Aftenblad opplyser Nettdrift AS at det er aktøren "Akira" som står bak angrepet.
Monday 18 December 2023
Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.12.18
Sårbarheter i open-source brannmuren Netgate pfSense. Sikkerhetsbrudd hos MongoDB eksponerte kundedata.
Sårbarheter i open-source brannmuren Netgate pfSense
Sikkerhetsforskere fra SonarCloud oppdaget flere sikkerhetsproblemer i pfSense CE. Sårbarhetene er av typen XSS (cross-site-scripting) og kommando-injisering. Ekspertene påpekte at en angriper kan kombinere disse for å utføre vilkårlige kommandoer på en sårbar pfSense-enhet.
En trusselaktør kan lure en autentisert pfSense-bruker til å klikke på en ondsinnet utformet lenke som inneholder en XSS-nyttelast som utløser sårbarheten for kommandoinjisering.
Angrepscenariet kan innebære at trusselaktører sender spesielt utformede lenker i phishing-meldinger eller lurer offeret til å klikke på nettinnhold.
Feilene påvirker pfSense CE 2.7.0 og tidligere, samt pfSense Plus 23.05.1 og tidligere. Netgate adresserte sårbarhetene med utgivelsen av pfSense CE 2.7.1 og pfSense Plus 23.09.
Anbefaling:
Oppdatering av brannmurer til pfSense CE 2.7.1, pfSense Plus 23.09.
Sårbarheter:
Sikkerhetsbrudd hos MongoDB eksponerte kundedata
MongoDB har bekreftet et sikkerhetsbrudd hvor kundedata ble eksponert. De informerte kundene om at et cyberangrep ble oppdaget onsdag kveld (13. desember), med uautorisert tilgang til selskapets systemer. MongoDB har uttalt at kundekonto-metadata og kontaktinformasjon er eksponert, men det er ingen indikasjoner på at data lagret i MongoDB Atlas er påvirket. Selskapet råder kunder til å aktivere flerfaktorautentisering og være på vakt mot målrettede phishing-forsøk.
Friday 15 December 2023
Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.12.15
Microsoft har tatt ned tjeneste som lagde over 750 millioner falske kontoer. Ubiquiti-brukere får tilgang til andres utstyr.
Microsoft har tatt ned tjeneste som lagde over 750 millioner falske kontoer
Microsoft meldte på onsdag at de hadde tatt ned en tjeneste brukte av cyber-kriminelle for å skaffe seg falske kontoer hos Microsoft og andre leverandører. Via tjenesten kunne kriminelle kjøpe seg store mengder kontoer til bruk for phishing, spam, ransomware osv. Flere kjente trusselaktører har benyttet seg av tjenesten som har hatt millioner av dollar i inntekter.
Ubiquiti-brukere får tilgang til andres utstyr
13. desember har brukere av routere og overvåkingskameraer fra Ubiquiti meldt at de har fått tilgang til andre brukeres utstyr, etter å ha logget inn på firmaets skytjeneste UniFi. Firmaet melder at problemene skyldtes en konfigurasjons-feil i deres plattform som blandet sammen to grupper med brukere. Rundt 2400 brukere ble rammet av problemene, som nå skal være utbedret. Kontoer som ble aksessert av uvedkommende vil bli varslet via epost.
Thursday 14 December 2023
Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.12.14
Trusselaktøren Volt Typhoon benytter seg av hjemmerouter-botnet.
Trusselaktøren Volt Typhoon benytter seg av hjemmerouter-botnet
Volt Typhoon er en trusselaktør som har kartlagt blant annet amerikansk kritisk infrastruktur. Aktøren benytter seg av et eget botnet bestående av utdaterte hjemmeroutere fra blant annet Cisco, Netgear og Fortinet. Enhetene har typisk flere sårbarheter eller svake passord, og det leveres ikke lengre oppdatert programvare for dem. Trusselaktøren benytter disse enhetene for å skjule sin kommunikasjon og få det til å virke som om data-trafikken går til enheter som er geografisk i nærheten av målet som angripes.
Wednesday 13 December 2023
Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.12.13
Microsoft har sluppet patcher for desember. Kritisk svakhet i Apache Struts 2. Ukrainas største mobiloperatør Kyivstar rammet av cyber-angrep. Russiske APT28 bak pågende spionasje-kampanje mot europeiske mål.
Microsoft har sluppet patcher for desember
Microsoft har gitt ut sine patcher for desember 2023. Denne måneden er det kun 35 patcher, der 4 blir sett på som kritiske. Kun én av sårbarhetene er offentlig på forhånd og ingen av dem utnyttes så langt i aktive angrep. De kritiske sårbarhetene ligger i Internet Connection Sharing (ICS), Power Platform Connector og MSHTML.
Kritisk svakhet i Apache Struts 2
Apache melder om en kritisk svakhet i Apache Struts 2 som kan føre til vilkårlig kjøring av kode på serveren. Svakheten oppstår siden det er mulig å traversere kataloger og laste opp filer til serveren.
Anbefaling:
Oppgrader til versjon 2.5.33 eller 6.3.0.2.
Sårbarheter:
Ukrainas største mobiloperatør Kyivstar rammet av cyber-angrep
Tirsdag ble Kyivstar rammet av et større cyber-angrep. Kundedata skal ikke være på avveie, men både tale- og data-trafikk gikk ned og var ikke tilbake før onsdag kveld. Selskapet har selv tatt ned interne systemer etter å ha oppdaget angrepet, for å unngå videre ødeleggelser mens omfanget av angrepet kartlegges. Angrepet har blant annet ført til at varsling av flyangrep har gått ned i deler av Kyiv.
I går meldte også den ukrainse militære etterretningstjenesten at de hadde hacket seg inn hos det russiske skattvesenet og ødelagt store mengder data.
Referanser:
https://therecord.media/kyivstar-cyberattack-telecom-shutdown-ukraine
https://www.reuters.com/technology/cybersecurity/ukraines-biggest-mobile-operator-suffers-massive-hacker-attack-statement-2023-12-12/
https://securityaffairs.com/155727/cyber-warfare-2/ukraine-hacked-russian-federal-taxation-service.html
Russiske APT28 bak pågende spionasje-kampanje mot europeiske mål
Målene for kampanjen er først og fremst organisasjoner i europeiske land som har med tildeling av nødhjelp å gjøre.
Kampanjen involverer bruk av dokumenter som er spesielt utformet for å vekke interesse hos hvert enkelt av målene og gir seg ut for å komme fra kjente institusjoner som FN, Bank of Israel, EU-parlamentet osv.
Noen av angrepene bruker RAR-arkiver som utnytter svakheten kalt CVE-2023-38831 for å spre HeadLace, en bakdør som først ble avslørt av Emergency Response Team of Ukraine (CERT-UA) i angrep rettet mot kritisk infrastruktur i landet.
Tuesday 12 December 2023
Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.12.12
Trusselaktører utnytter fortsatt Log4j-svakheten. Apple patcher 43 sårbarheter. 50.000 WordPress-nettsteder sårbare for kritisk svakhet i backup-plugin.
Trusselaktører utnytter fortsatt Log4j-svakheten
Kjente trusselaktører med bindinger til Nord-Korea har nylig brukt den to år gamle Log4Shell-sårbarheten til å angripe organisasjoner med tre nye trojanere for fjernstyring (RAT). Fortsatt bruker rundt 1/3 av applikasjoner som bruker Log4j-biblioteket en gammel og sårbar versjon.
Trusselaktører har nylig skiftet taktikk ved å bruke Log4Shell-sårbarheten til å installere skadelig programvare og utfører kommandoer for å samle blant annet systeminformasjon og passord. Det er primært eksponerte VMware Horizon-servere som har blitt kompromittert.
Sårbarheter:
Referanser:
https://www.darkreading.com/threat-intelligence/lazarus-group-still-juicing-log4shell-rats-written-d
https://www.veracode.com/blog/research/state-log4j-vulnerabilities-how-much-did-log4shell-change
https://nsm.no/fagomrader/digital-sikkerhet/nasjonalt-cybersikkerhetssenter/nyheter-fra-ncsc/samleside-for-log4j/advisory-log4j-cve-2021-44228
Apple patcher 43 sårbarheter
Apple har i dag utgitt oppdateringer for iOS, macOS, tvOS og watchOS. Disse oppdateringene retter 43 sårbarheter. To av sårbarhetene utnyttes allerede. Forrige uke mottok disse to sårbarhetene rettelser for gjeldende versjoner av iOS og macOS. Denne nye oppdateringen dekker også eldre versjoner av iOS og macOS.
50.000 WordPress-nettsteder sårbare for kritisk svakhet i backup-plugin
En kritisk svakhet i en WordPress plugin kalt "Backup Migration" gjør at tusenvis av nettsteder kan bli kompromittert. Svakheten har fått en CVS på 9.8 av 10 og versjoner til og med v1.3.6 er sårbare. Svakheten gjør at en angriper kan kjøre vilkårlig PHP-kode uten å autentisere seg først. Vi anbefaler å oppdatere til versjon 1.3.8 som har fikset svakheten. Kompromitterte WordPress-sider blir ofte brukt til å legge ut malware og phishing-svindel.
Monday 11 December 2023
Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.12.11
Ny metode for prosess-injisering omgår EDR-produkter.
Ny metode for prosess-injisering omgår EDR-produkter
Sikkerhetsforskere har funnet en ny metode for å injisere malware i legitime prosesser for å unngå deteksjon kalt "Pool Party". De nye teknikkene er testet mot fem kjente EDR-verktøy med hell. Injiseringen gjøres ved å ta kontroll over Window sin "thread pool".
Friday 8 December 2023
Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.12.08
Chrome 120 retter 10 sårbarheter. Ny Bluetooth-svakhet lar hackere ta kontroll over Android, Linux, macOS og iOS-enheter. Nasjonal sikkerhetsmyndighet har inngått ulovlig låneavtale på 200 millioner kroner. UK navngir FSB-avdeling bak hacker-angrep og lekkasjer.
Chrome 120 retter 10 sårbarheter
Google har lansert Chrome 120 med rettelser for 10 sårbarheter, hvorav fem ble identifisert av eksterne forskere som nå har mottatt totalt $15 000 i bug bounty-belønninger. Den mest alvorlige sårbarheten, CVE-2023-6508, ble belønnet med $10 000 og er en "use after free"-feil i Media Stream. En annen betydelig feil, CVE-2023-6509, påvirker Chromes "Side Panel Search"-komponent.
Den nyeste Chrome-iterasjonen er nå versjon 120.0.6099.62 for macOS og Linux, samt versjoner 120.0.6099.62/.63 for Windows.
Sårbarheter:
Ny Bluetooth-svakhet lar hackere ta kontroll over Android, Linux, macOS og iOS-enheter
En kritisk Bluetooth-sårbarhet kan utnyttes av trusselaktører for å ta kontroll over Android-, Linux-, macOS- og iOS-enheter. Identifisert som CVE-2023-45866, omhandler problemet omgåelse av autentisering som tillater angripere å koble seg til sårbare enheter og injisere tastetrykk, som kan føre til at en kan utføre kommandoer på enheten. Angriperen kan koble seg til uten at offeret får beskjed om det eller må godta oppkoblingen.
Sårbarheten påvirker et bredt spekter av enheter som kjører Android, iOS, Linux og macOS. Angrepet kan utføres fra en Linux-datamaskin med en vanlig Bluetooth-adapter, uten behov for spesialisert maskinvare. Flere tekniske detaljer om sårbarheten forventes å bli publisert senere.
Sårbarheter:
Situasjonsrapport fra Telenor SOC - november 2023
Vi har publisert vår situasjonsrapport fra Telenor SOC for november 2023. Denne måneden skriver vi blant annet om informasjons-stjeler malware, som gjør at en trusselaktører kan bruke Internett som om de satt på din PC.
Nasjonal sikkerhetsmyndighet har inngått ulovlig låneavtale på 200 millioner kroner
NSM-direktør Sofie Nystrøm har bedt om å få fratre med umiddelbar virkning. Dette har departementet akseptert. - Dette er en alvorlig sak. Justis- og beredskapsdepartementet vil, i samarbeid med Forsvarsdepartementet, sette inn en interimledelse i NSM, sier justis- og beredskapsminister Emilie Enger Mehl. Sammen med forsvarsministeren iverksetter hun flere umiddelbare tiltak.
UK navngir FSB-avdeling bak hacker angrep og lekkasjer
Den britiske regjeringen har beskyldt en avdeling i Russlands FSB for å stå bak en serie med cyber-angrep for å undergrave demokratiske institusjoner i landet. Den russiske ambassadøren har blitt kalt inn til samtaler.
Siden 2015 har de personlige epost-kontoene til hundrevis av britiske borgere blitt utsatt for datainnbrudd. Data har så blitt hentet ut og lekket for å støtte russiske interesser. Gruppen som skal stå bak angrepene er kjent som Calisto, COLDRIVER eller Star Blizzard og avdelingen "Centre 18" hos FSB skal stå bak. To personer fra avdelingen har blitt lagt til en britisk sanksjonsliste.
Microsoft har sluppet en rapport om hendelsen med oversikt over nye taktikker, teknikker og prosedyrer (TTP) fra trusselaktøren. CISA har også sluppet en oppdatering.
Thursday 7 December 2023
Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.12.07
Trusselaktører kan utnytte AWS STS for å infiltrere skykontoer. NSM anbefaler virksomheter å gjøre gode juleforberedelser. Apple og Google gir regjeringer tilgang til push-varsler.
Trusselaktører kan utnytte AWS STS for å infiltrere skykontoer
Trusselaktører kan dra nytte av Amazon Web Services Security Token Service (AWS STS) som en måte å infiltrere skykontoer og utføre påfølgende angrep.
Tjenesten gjør det mulig for trusselaktører å etterligne brukeridentiteter og roller i skyomgivelser, ifølge analyser fra Red Canary-forskerne Thomas Gardner og Cody Betsworth.
AWS STS er en webtjeneste som gir brukere muligheten til å be om midlertidige, begrensede rettigheter for å få tilgang til AWS-ressurser uten å måtte opprette en AWS-identitet. Disse STS-tokenene kan være gyldige fra 15 minutter til 36 timer.
Trusselaktører kan stjele langsiktige IAM-token gjennom ulike metoder, som malware-infeksjoner, offentlig eksponerte legitimasjoner og phishing-e-poster, og deretter bruke dem til å fastslå roller og privilegier knyttet til disse tokenene via API-kall.
NSM anbefaler virksomheter å gjøre gode juleforberedelser
Ingen vil ha juleferien avbrutt av et cyberangrep. Med høytiden få dager og uker unna, deler NSM tre konkrete råd for digital beredskap for å sikre julefreden. God beredskap og klare planer for ferien tar ned risikoen for cyberangrep med alvorlige konsekvenser.
Apple og Google gir regjeringer tilgang til push-varsler
Etter opplysninger fra en amerikansk senator, har det kommet fram at Apple og Google gir regjeringer i flere land tilgang til push-varslene som kommer opp på telefoner. Disse varslene behandles ofte av Apple/Google før de kommer opp på mobilene. Varslene kan inneholde tekst som kan avsløre bruk av apper og noen ganger også tekst fra ellers krypterte apper. Google gir allerede detaljert informasjon rundt pålegg om å utlevere denne typen informasjon, mens Apple skal begynne nå.
Wednesday 6 December 2023
Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.12.06
Atlassian lanserer kritiske programvarefiks for å forhindre ekstern kjøring av kode . Microsoft advarer om at den russiske støttede APT28 utnytter en kritisk sårbarhet i Outlook.
Atlassian lanserer kritiske programvarefiks for å forhindre ekstern kjøring av kode
Atlassian har lansert fikser for fire kritiske sårbarheter, inkludert deserialisering og fjernkjøringssårbarheter, i produkter som Confluence og Jira. Disse sårbarhetene kan tillate uautorisert eksekvering av kode. Brukere oppfordres sterkt til å oppdatere sine installasjoner for å unngå potensielle sikkerhetsrisikoer.
Microsoft advarer om at den russiske støttede APT28 utnytter en kritisk sårbarhet i Outlook.
Microsoft meldte på mandag at de oppdaget aktivitet fra en nasjonsstøttet trusselaktør, støttet av Kreml, som utnyttet en nå-lukket kritisk sikkerhetsfeil i Outlook e-posttjenesten for å få uautorisert tilgang til ofrenes kontoer innen Exchange-servere.
Sikkerhetsfeilen det dreier seg om er CVE-2023-23397 (CVSS score: 9.8), en kritisk privilegie-eskaleringssårbarhet som kunne tillate en angriper å få tilgang til en brukers Net-NTLMv2-hash, som deretter kunne brukes til å gjennomføre et releangrep mot en annen tjeneste for å autentisere seg som brukeren. Den ble patchet av Microsoft i mars 2023.
Sårbarheter:
Tuesday 5 December 2023
Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.12.05
Kritisk Android-sikkerhetsoppdatering løser alvorlig sårbarhet for fjernutføring av kode. BBC: Hackere øker sine angrep mot kunder av Booking.com. Flere svakheter i SonicWall SSL-VPN SMA100.
Kritisk Android-sikkerhetsoppdatering løser alvorlig sårbarhet for fjernutføring av kode
Google kunngjorde i går at sikkerhetsoppdateringene for Android i desember 2023 adresserer 85 sårbarheter, inkludert én kritisk nullklikk-sårbarhet for fjerneksekvering av kode (RCE). Den identifiserte sårbarheten, CVE-2023-40088, er lokalisert i Androids System-komponent og tillater fjerneksekvering av kode uten behov for ekstra privilegier eller brukerinteraksjon, såkalt zero-click. Oppdateringen inkluderer også retting av 84 andre sikkerhetssårbarheter, hvorav fire er kritiske og påvirker Android Framework, System-komponenter og Qualcomm's closed-source komponenter.
Sårbarheter:
BBC: Hackere øker sine angrep mot kunder av Booking.com
Svindlere bruker nå en ny teknikk for å svindle penger fra ofre av booking.com-kunder. De får først tilgang til bruker-portalene til hoteller og andre reiseselskaper via phishing-angrep eller kjøp av innloggingsdetaljer. De bruker så booking.com sine systemer til å sende ut eposter der de ber kundene om ekstra innbetaling, forhåndsbetaling osv. Epostene er sendt fra hotellenes ekte booking.com-kontoer, så det er svært vanskelig å avsløre denne svindelen.
Referanser:
Flere svakheter i SonicWall SSL-VPN SMA100
JustisCERT varsler om sårbarheter i SMA-produkter fra SonicWall. Totalt 2 CVE ble publisert av SonicWall den 04.12.2023, begge er kategorisert som alvorlig (CVE-2023-44221 med CVSS-score 7.2 og CVE-2023-5970 med CVSS-score 6.3).
SonicWall har publisert oppdateringer til støttede produkter, som er: SonicWall SMA 100 serien (200, 210, 400, 410, 500v) med firmware 10.x eldre enn 10.2.1.10-62sv.
Sårbarheter:
Monday 4 December 2023
Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.12.04
UEFI-feil gjør at bootkits kan kompromittere enheter ved hjelp av bilder. Alvorlige sårbarheter i Gitlab CE og EE.
UEFI-feil gjør at bootkits kan kompromittere enheter ved hjelp av bilder
Sårbarheter i UEFI-systemfirmware fra ledende leverandører tillater angripere å levere skadelig kode som omgår sikker oppstart på hundrevis av enheter. Sårbarhetene, kalt "LogoFail", utnytter sårbarheter i bildedekodings-biblioteker i firmware og påvirker enheter fra Intel, Acer, og Lenovo, og dekker både x86- og ARM-arkitekturer. Svakhetene kan brukes til å plante skadelig kode på som lastes inn før operativsystemet, og dermed er vanskelig å oppdage. Fullstendige detaljer vil bli avslørt på Black Hat Europe i London.
Alvorlige sårbarheter i Gitlab CE og EE
HelseCERT melder om alvorlige svakheter i Gitlab Community Edition og Enterprise Edition. To av sårbarhetene er kategorisert som alvorlige. Vellykket utnyttelse av sårbarhetene muliggjør:
- Eksekvering av JavaScript-kode i brukerens nettleser (CVE-2023-6033, CVSS på 8.7 ALVORLIG)
- Privilegieeskalering (CVE-2023-6396, CVSS på 8.1 ALVORLIG)
Anbefaling:
Oppdater til versjon 16.6.1, 16.5.3 eller 16.4.3.
Sårbarheter:
Friday 1 December 2023
Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.12.01
Apple kommer med ny sikkerhetsoppdatering. Nytt angrep mot Bluetooth åpner for overtakelse av sesjoner.
Apple kommer med ny sikkerhetsoppdatering
Apple har sluppet sikkerhetsoppdateringer for å rette to null-dagssårbarheter for iPhone, iPad og Mac, som har blitt aktivt utnyttet i angrep. Feilene, oppdaget av Googles Threat Analysis Group, ligger i WebKit-nettlesermotoren og tillater angripere å få tilgang til sensitiv informasjon og kjøre tilfeldig kode på en sårbar enhet. Oppdateringene påvirker et bredt spekter av Apple-enheter, og kommer etter at 20 null-dagssårbarheter har blitt fikset i løpet av året.
De nye versjonene for produktene er iOS 17.1.2, macOS Sonoma 14.1.2 og Safari 17.1.2.
Nytt angrep mot Bluetooth åpner for overtakelse av sesjoner
Sikkerhetsforskere ved EURECOM har avdekket et nytt angrep mot Bluetooth-chipset som åpner for å ta over sesjoner mellom allerede sammenkoblede enheter. Angrepet fungerer ved at en spoofer de to enhetene, setter seg i midten av kommunikasjonen og får til en nedgradering av krypteringen som er brukt mellom enhetene. Flere leverandører jobber med en fiks for svakheten. Foreløpig anbefales det å avvise forbindelser med svak kryptering.
Sårbarheter:
Subscribe to:
Posts (Atom)
