Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday 26 April 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.04.26

Logistikkselskapet Skanlog rammet av ransomware.

Logistikkselskapet Skanlog rammet av ransomware

Dagens Næringsliv har meldt om et omfattende cyberangrep mot det skandinaviske logistikkselskapet Skanlog, som har rammet selskapets forretningssystemer.  Dette påvirker blant annet leveranser av vin og brennevin både i Norge og Sverige. 

Selskapet, som ble etablert i 1994, har sitt hovedkontor i Danmark. Det er dermed dansk politi og danske myndigheter som håndterer saken. Angrepet startet natt til 21. april og benyttet LockBit 3.0 for å kryptere selskapets filer og systemer, melder DN.

Posted by tsoc at 12:24 0 comments

Thursday 25 April 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.04.25

Avansert trusselaktør utnytter 0-dags svakheter i Cisco ASA VPN. Google fikser kritisk Chrome-svakhet.

Avansert trusselaktør utnytter 0-dags svakheter i Cisco ASA VPN

NSM NCSC melder at en avansert trusselaktør utnytter flere nulldagssårbarheter i CISCO ASA VPN i kritsk infrastruktur. Kampanjen har pågått siden november 2023. Det er mulig at fjernaksessløsninger fra andre leverandører også er berørt.

Utnyttelse av sårbarhetene krever påskrudd SSL VPN, IPsec IKEv2 VPN med "client services", eller eksponering av HTTPS-administrasjonsgrensesnitt.

Inngangsvektor i kampanjen er ukjent. Det betyr at det kan finnes én eller flere nulldagssårbarheter som lar en ekstern angriper under visse forutsetninger forbigå autentisering, få fotfeste på enheten og oppnå administratorrettigheter.

Sårbarhetene som omtales av Cisco krever enten autentisering for å utnyttes eller tillater i verste fall tjenestenekt. Cisco har publisert sikkerhetsoppdateringer som adresserer disse sårbarhetene.

Virksomheter som bruker Cisco ASA VPN bør iverksette Cisco sine anbefalinger for patching og avkreftelse av kompromittering. NCSC ønsker tilbakemelding ved konkrete funn på Cisco-enheter og/eller observert trafikk mellom aktørkontrollert infrastruktur og Cisco-enheter.

NSM har også flere forslag til tiltak, spesielt for samfunnsviktige virksomheter.

Google fikser kritisk Chrome-svakhet

Google kunngjorde onsdag en Chrome-oppdatering som fikser fire sårbarheter, inkludert én kritisk, kjent som CVE-2024-4058. Denne ligger i ANGLE-grafikkmotorlaget. Med tanke på at den er tildelt en 'kritisk' alvorlighetsgrad, kan feilen sannsynligvis utnyttes eksternt for vilkårlig kodeutførelse eller sandkasseflukt med begrenset brukerinteraksjon. Vi anbefaler snarlig patching!

Posted by tsoc at 12:57 0 comments

Wednesday 24 April 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.04.24

Mandiant har gitt ut sin sikkerhetsrapport for 2024. NRK har gitt ut sine årlige trusselvurdering.

Mandiant har gitt ut sin sikkerhetsrapport for 2024

Google Mandiant har gitt ut sin årlige oppsummering for 2024. Denne gir innsikt i målrettede angrep som har blitt undersøkt av Mandiant i 2024. Noen høydepunkter fra rapporten:

  • Snitttiden fra et innbrudd skjer til det oppdages har gått videre ned fra 16 dager i 2022 til 10 dager i fjor.

  • I 54% av sakene ble offeret gjort oppmerksom på innbruddet av en ekstern tredjepart.

  • Inngangsvektorene er 38% exploits, 17% phishing, 15% tidligere innbrudd og 10% stjålne innloggingsdetaljer. Innbrudd via VPN-bokser, brannmurer og andre enheter eksponert direkte mot Internet er økende. Loggdata fra disse enhetene er også ofte mangelfulle.

Vi anbefaler å lese rapporten!

NRK har gitt ut sine årlige trusselvurdering

NRK skriver i forordet til sin årlige trusselvurdering blant annet følgende: "Det siste året har vi sett flere situasjoner der aktivister har forstyrret direktesendinger for å fremme et budskap. Vi har også sett NRK og NRK-journalisters troverdighet misbrukes gjennom falske nyheter, falske nettsider og annonser til villedning og bedrageri av publikum. Redaktørstyrte medier er viktige i kampen mot falske nyheter og påvirkningsoperasjoner. Tillit er avgjørende, og aldri har NRKs rolle som veiviser i hva som er fakta vært viktigere."

Posted by tsoc at 12:49 0 comments

Tuesday 23 April 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.04.23

Politiets årlige rapport om cyberrettet og cyberstøttet kriminalitet. Legitime github-lagre brukes til å spre malware. Andelen som betaler løsepenger etter angrep er fallende.

Politiets årlige rapport om cyberrettet og cyberstøttet kriminalitet

Politiet har gitt ut sin årlige rapport om cyberkriminalitet. I forordet skriver de blant annet følgende: "Omfanget av kriminaliteten er stort. Norske virksomheter er attraktive mål for kriminelle. Samtidig rammer også cyberkriminaliteten enkeltpersoner. Truslene vi står overfor er sammensatte, og verktøyene og virkemidlene som rettes mot oss er i stadig utvikling. Kriminaliteten har i 2023 hatt stor geografisk spredning og rammet bredt." Vi anbefaler en gjennomlesning!

Legitime github-lagre brukes til å spre malware

Github lar brukere laste opp malware til kjente Github-lagre (repositories), uten tillatelse fra eieren av lageret. Dette gjøres ved å legge til en kommentar til et kjent Github-lager og deretter laste opp en exe-fil sammen med kommentaren. Exe-filen vil da få en filsti som ligger under det kjente lageret, som f.eks:

https://github.com/microsoft/vcpkg/files/13563781/malware.zip

Kommentaren kan siden slettes, men filen vil bli liggende igjen og kan brukes til å spre malware ved å legge til lenken til filen i andre nettsider eller eposter.

Andelen som betaler løsepenger etter angrep er fallende

Statistikk fra sikkerhetsfirmaet Coveware viser at kun 28% av ofrene for ransomware-angrep så langt i år har betalt. I 2019 var det rundt 85% av ofrene som betalte, og siden har andelen heldigvis gått kraftig nedover. Nedgangen kan skyldes at flere har rutiner og backups for å få i gang igjen normal drift, samt at flere ofre har opplevd at angriperne har stukket av med pengene uten å gi noe igjen.

Sikkerhetsfirmaet Chainalysis har imidlertid regnet seg fram til at det i fjor ble betalt over $1.1 milliarder USD i løsepenger i fjor, det høyeste hittil.

Posted by tsoc at 14:47 0 comments

Monday 22 April 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.04.22

MITRE kompromittert gjennom Ivanti-såbarheter. Kritisk sårbarhet under utnyttelse i CrushFTP. Uløst sårbarhet tillater en angriper å slette filer i Windows – uten rettigheter. Sårbarhet i AWS og Google Cloud kommandolinje-verktøy kan eksponere sensitiv informasjon.

MITRE kompromittert gjennom Ivanti-såbarheter

MITRE Corporation var blant virksomhetene som ble kompromittert gjennom to zero-day svakheter i Ivanti Connect Secure i januar. Forrige uke oppdaget MITRE at en ukjent stats-sponset aktør hadde brutt seg inn i deres ugraderte forsknings- og utviklingsnettverk. Kjernenettet skal ikke være rammet. Angriperne rakk å installere en bakdør i nettverket før sårbarhetene ble lukket.

Kritisk sårbarhet under utnyttelse i CrushFTP

CrushFTP melder om en kritsk sårbarhet i deres filoverføringsverktøy som allerede utnyttes i aktive målrettede angrep. Ved å utnytte svakheten, kan brukere få tilgang til systemfiler utenfor deres virtuelle filsystem.

Anbefaling:

Svakheten er fikset i versjon 11.1.0 og vi anbefaler snarlig oppgradering!

Uløst sårbarhet tillater en angriper å slette filer i Windows – uten rettigheter

Sikkerhetseksperten Or Yair har oppdaget en sårbarhet i Windows-operativsystemet som gjør det mulig for angripere å oppnå rootkit-lignende funksjoner uten at det kreves spesielle privilegier.

Sårbarheten er knyttet til hvordan APIer i brukerområdet (user-space) i Windows konverterer filstier fra det tradisjonelle DOS-formatet til det mer moderne NT-formatet. I konverteringen fra DOS til NT, vil Windows automatisk fjerne alle etterfølgende punktum fra stielementer og alle etterfølgende mellomrom fra det siste stielementet. Denne oppførselen, som Yair har kalt "MagicDot", kan utnyttes av angripere til å skjule ondsinnede filer, kataloger og prosesser og til å utgi seg for å være legitime filer – uten å ha administratorrettigheter.

I utredningen av problemet har Or Yair oppdaget fire sårbarheter tilknyttet problemet, tre er allerede patchet av Microsoft. Den fjerde sårbarhet, et EOP (elevation of privilege) problem, tillater angriperen å slette filer uten rettigheter. Microsoft anerkjenner problemet, men sårbarheten har enda ikke fått en CVE eller løsning.

Anbefaling:

Det anbefales å bruke NT-filstier som forhindrer konverteringsprosessen og sikrer at filstien er den samme som tiltenkt.

Sårbarhet i AWS og Google Cloud kommandolinje-verktøy kan eksponere sensitiv informasjon

I November ble det oppdaget en sårbarhet i Azure CLI (Command Line Interface) som eksponerte sensitiv informasjon i systemlogger. Sårbarheten fikk en CVSS score på 8.6. Sikkerhetsselskapet Orca Research Pod har nylig oppdaget det samme problemet i AWS og Google Cloud sine CLIer. CLIer brukes blant annet for å lette samhandling med skyløsninger eller CI/CD-miljøer. Problemet ligger i at APIene for de overnevnte tjenestene returnerer konfigurasjoner for ressursene, inkludert miljøvariabler som kan inneholde tilgangsnøkler. Eksempelvis kan en bruker med leserettigheter til skylagring og skylogging, eksfiltrere og ytterlige eskalere egne rettigheter.

Anbefaling:

Det anbefales å ikke ha hemmeligheter/tilgangsnøkler i miljøvariabler for serverløse ressurser. I stedet bør man definere sensitive variabler i den tilknyttede Secrets Manager-tjenesten. I tillegg bør kommando-utdata som ikke er nødvendige i loggene sendes til /dev/null. Dette forhindrer unødvendig eksponering av sensitiv informasjon.

Sårbarheter:

Posted by tsoc at 14:29 0 comments

Friday 19 April 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.04.19

Sikkerhetsoppdateringer fra Atlassian og Cisco.

Sikkerhetsoppdateringer fra Atlassian og Cisco

Både Atlassian og Cisco har gitt ut sikkerhetsoppdateringer.

Atlassian fikser 7 svakheter, alle med høy viktighet. Disse er i produktene Bamboo Data Center and Server, Confluence Data Center and Server, Jira Software Data Center and Server og Jira Service Management Data Center and Server.

Cisco har gitt ut 3 oppdateringer, rangert med medium og høy viktighet. Den mest alvorlige svakheten ligger i Integrated Management Controller (IMC) og rammer en rekke av deres produkter. Denne gjør det mulig for lokale angripere å utvide sine rettigheter til root på systemet. Det finnes allerede utnyttelseskode for å misbruke denne svakheten.

Vi anbefaler brukere av produktene om å oppgradere!

Posted by tsoc at 12:23 0 comments

Thursday 18 April 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.04.18

Ny versjon av MDM-systemet Ivani Avalanche fikser 27 svakheter. Mandiant med bloggpost om den russiske trusselaktøren Sandworm/APT44.

Ny versjon av Ivani Avalanche fikser 27 svakheter

Ivanti har gitt ut sin kvartalsvise oppdatering av Avalanche, som er et MDM-system (Mobile Device Management). Oppdateringen utbedrer 27 svakheter. To av disse har blitt kategorisert som kritiske, og gjør det mulig å kjøre vilkårlig kode dersom en har nettverkstilgang til enheten, uten bruker på systemet. Begge svakhetene skyldes heap-overflow svakheter og er relativt enkle å utnytte.

Ivanti er ikke kjent med at noen av svakhetene utnyttes i aktive angrep. Vi anbefaler rask patching!

Mandiant med bloggpost om den russiske trusselaktøren Sandworm

Trusselaktøren Sandworm har vært aktiv i over 15 år og knyttes mot GRUs (Den russiske militære etterretningen) avdeling "Main Centre for Special Technologies" (GTsST), også kjent som Unit 74455. Aktøren er også kjent som Iridium, Seashell Blizzard og Mandiant kaller den nå for APT44.

Aktøren er den som er mest involvert i spionasje og sabotasje mot Ukraina i forbindelse med den pågående krigen. Gruppen instruerer f.eks. soldater i hvordan de eksfiltrerer informasjon fra beslagslagte telefoner og sender inn til GRU.

GRU har også forbindelser til flere hacktivist-grupper. Én av disse, Cyber Army of Russian Reborn, har f.eks. brutt seg inn hos et vannverk i USA og et renseanlegg i Polen.

Posted by tsoc at 11:42 0 comments

Wednesday 17 April 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.04.17

Utnyttelseskode for kritisk svakhet i Palo Alto-brannmurrer offentliggjort. Cisco advarer mot innloggingsforsøk mot VPN- og SSH-tjenester. Juniper patcher Junos OS og Junos OS Evolved. Oracle har gitt ut sin kvartalsvise sikkerhetsoppdatering.

Utnyttelseskode for kritisk svakhet i Palo Alto-brannmurrer offentliggjort

Vi meldte fredag om en kritisk svakhet i brannmurer fra Palo Alto. I går ble en patch sluppet for problemet. Utnyttelseskode er nå offentliggjort og svakheten utnyttes i stor skala.

Vi anbefaler å patche sårbare brannmurer så fort som mulig. Brannmurer som har vært eksponert mot Internett uten patch bør også sees på som kompromitterte. Råd om å slå av telemetri-logging for å unngå svakheten har vist seg ikke å fungere. Svakheten ble først utnyttet i målrettede angrep 26. mars.

Sårbarheter:

Cisco advarer mot innloggingsforsøk mot VPN- og SSH-tjenester

Cisco Talos advarer i en bloggpost om storskala innloggingsforsøk mot VPN- og SSH-tjenester som er tilgjengelig fra Internet. Angrepene har tiltatt i det siste og bruker ofte benyttede brukernavn og passord. Innloggingsforsøkene kommer gjerne fra VPN-endepunkter eller TOR exit-noder.

Typiske angrepsmål er: Cisco Secure Firewall VPN, Checkpoint VPN, Fortinet VPN, SonicWall VPN, RD Web Services, Miktrotik, Draytek og Ubiquiti.

Vi anbefaler å sjekke for standard-kontoer på systemer, slå på MFA og benytte sertifikat-basert innlogging dersom mulig.

Juniper patcher Junos OS og Junos OS Evolved

Juniper Networks har gitt ut oppdateringer som fikser en rekke svakheter i Junos OS, Junos OS Evolved og andre produkter. Svakhetene kan blant annet føre til krasj, høy CPU-belastning, cross-site scripting (XSS) og tilgang til filer på systemet. Vi anbefaler Juniper-kunder å se igjennom oppdateringene!

Oracle har gitt ut sin kvartalsvise sikkerhetsoppdatering

Oracle har gitt ut sin kvartalsvise oppdatering for 1. kvartal 2024. Denne gangen patcher de 441 nye svakheter i et stort antall produkter. Oracle har publisert risk-tabeller for å gjøre det lettere å prioritere patching. Vi anbefaler kunder av Oracle å sette seg nøye inn i oppdatreringen og planlegge patching.

Posted by tsoc at 15:00 0 comments

Tuesday 16 April 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.04.16

Mangelfull nøkkelgenerering i Putty påvirker flere produkter. Rettighetseskalering som følge av sårbarhet i YubiKey Manager. Kritisk såbarhet i Delinea Secret Server.

Mangelfull nøkkelgenerering i Putty påvirker flere produkter

Det har blitt oppdaget at Putty genererer svake nøkler til algoritmen ECDSA (Elliptic Curve Digital Signature Algorithm). Ved å observere kun 60 signaturer, kan en finne ut den private nøkkelen. Signaturene kan for eksempel høstes inn av en server eller via signerte git-commits.

Sårbare produkter er:

- PuTTY 0.68 - 0.80
- FileZilla 3.24.1 - 3.66.5
- WinSCP 5.9.5 - 6.3.2
- TortoiseGit 2.4.0.2 - 2.15.0
- TortoiseSVN 1.10.0 - 1.14.6

Svakheten er fikset i Putty v0.81, FileZilla v.3.67.0, WinSCP v.6.3.3 og TortoiseGit 2.15.0.1. Alle tidligere genererte nøkler med denne algoritmen (NIST P-521) må sees på som kompromitterte.

Sårbarheter:

Rettighetseskalering som følge av sårbarhet i YubiKey Manager

Sikkerhetsleverandøren bak sikkerhetsnøklene Yubico, har sendt ut varsel som advarer Windows-brukere om en sårbarhet i programvaren YubiKey Manager. Sårbarheten har en CVSS-score på 7.7, og gjør det mulig for en angriper med tilgang til en Windows-maskin å eskalere rettighetene sine lokalt, dersom brukeren starter YubiKey Manager GUI som administrator. Dette gjøres typisk, siden Windows krever administratorrettigheter for å samhandle med FIDO-enheter som YubiKey. Når brukergrensesnittet kjøres som administrator, kan alle nettleservinduer som åpnes, også arve de forhøyede rettighetene.

Sårbarheten påvirker versjoner av YubiKey Manager før 1.2.6.

Anbefaling:

Oppdater til den siste versjonen av YubiKey Manager. I tillegg kan brukere angi Microsoft Edge som standardnettleser, som inneholder sikkerhetstiltak for å unngå å arve administrative rettigheter.

Sårbarheter:

Kritisk såbarhet i Delinea Secret Server

HelseCERT melder at det 11. april 2024 ble det publisert en bloggpost om en sårbarhet i Delinea Secret Server som gjør det mulig å omgå autentisering.

Delinea publiserte 13. april 2024 et varsel om at de er klar over sårbarheten og at mitigerende tiltak er implementert på Secret Server Cloud.

Utnyttelse forutsetter at angriper har tilgang på en bruker i systemet, men denne brukeren trenger ikke å være høyt priviligert.

Sårbarheten er verken tildelt CVE eller en CVSS-score, men HelseCERT anser sårbarheten som kritisk fordi den er ukomplisert å utnytte.

Følgende produkter er sårbare: Secret Server On-Premises før versjon 11.7.000001.

Kode for utnyttelse er offentlig tilgjengelig, men det er så langt ikke meldt om aktiv utnyttelse.

Posted by tsoc at 12:09 0 comments

Monday 15 April 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.04.15

Patch gitt ut for kritisk svakhet i Palo Alto-brannmurer. Flere pågrepet for eldrebedragerier.

Patch gitt ut for kritisk svakhet i Palo Alto-brannmurer

Selskapet Volexity oppdaget nylig en kritisk nulldagssårbarhet (CVE-2024-3400) i Palo Alto Networks' PAN-OS-programvare, noe vi også meldte om her på fredag.

I samarbeid med Palo Alto Networks har cybersikkerhetsselskapet oppdaget at trusselaktøren UTA0218, siden 26. mars, har utnyttet sårbarheten mot flere organisasjoner. I noen av tilfellene har angriperne utnyttet sårbarheten til å installere en bakdør som gir vedvarende tilganger.

I en uttalelse fra Volexity er det mye som tyder på at UTA0218 er en statlig trusselaktør basert på utnyttelsen av sårbarheten og kapabiliteten i angrepene. Selv om Palo Alto vurderer sårbarheten særlig knyttet opp mot én enkelt trusselaktør, vil trolig flere trusselaktører komme til å forsøke og utnytte sårbarheten i fremtiden.

Palo Alto har akkurat sluppet en patch for sårbarheten og vi anbefaler å installere denne ASAP, samt sjekke enheter som har vært sårbare for mulig kompromittering. NSM NCSC melder at de så langt ikke er kjent med at sårbarheten har vært utnyttet i Norge.

Sårbarheter:

Flere pågrepet for eldrebedragerier

Flere personer i Norge og Danmark er pågrepet i en politiaksjon rettet mot omfattende bedragerier av eldre i Oslo-området. Flere adresser er også ransaket.

– De kriminelle aktørene har utgitt seg for å være fra politiet både via telefon og ved fysisk oppmøte hos fornærmede, for å få tilgang til deres bankkontoer og bankkort. Deretter har fornærmedes kontoer blitt tappet og kortene brukt til kjøp av dyre gjenstander, skriver politiet i en pressemelding.

Posted by tsoc at 12:58 0 comments

Friday 12 April 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.04.12

Apple har advart brukere i 92 land om avansert overvåkingsprogramvare. Malware rettet mot systemadministratorer levert via Google-annonser. Kritiske feil gjør 92 000 D-Link NAS-enheter sårbare for angrep. Kritisk svakhet i PAN-OS muliggjør injisering av kommandoer. Sårbarheter i Citrix Hypervisor og XenServer.

Apple har advart brukere i 92 land om avansert overvåkingsprogramvare

Apple har varslet brukere av deres produkter i 92 land om at de har vært utsatt for angrep fra avansert overvåkingsprogramvare. Denne typen programvare blir typisk brukt av nasjonalstater for å bekjempe terrorisme og overvåke kriminelle, men mange bruker det også for overvåking av journalister, opposisjonen osv. Det mest kjente firmaet som leverer denne typen tjenester er israelske NSO Group med systemet "Pegasus". Det er ukjent hvem som står bak denne siste bølgen med angrep.

Personer som står i fare for å rammes av denne typen angrep anbefales å slå på "Lockdown Mode", på sin Apple-enhet. Denne gjør enheten sikrere, mot noe tap i funksjonalitet.

Malware rettet mot systemadministratorer levert via Google-annonser

Malwarebytes har skrevet en bloggpost om en pågående kampanje som forsøker å levere skadevare til systemadministratorer. Ved søk på populære programmer som PuTTy og FileZilla, dukker det opp annonser i toppen av søkeresultatet som fører til nedlasting av skadevare av typen Nitrogen. Denne brukes for initiell tilgang til kompromitterte systemer, og etterfølges gjerne av tyveri av informasjon eller installasjon av ransomware.

Annonsene har blitt rapportert til Google, men kampanjen fortsetter. Vi anbefaler å sjekke nøye hvilke sider en laster ned programvare fra og sjekke installasjonsfiler nøye før de kjøres. Sponsede søkeresultater bør også unngås ved søk på programvare.

Kritiske feil gjør 92 000 D-Link NAS-enheter sårbare for angrep

Trusselaktører skanner og utnytter aktivt et par sikkerhetsfeil som sies å påvirke så mange som 92.000 internetteksponerte D-Link nettverkstilkoblede lagringsenheter (NAS). Dette gjelder "legacy D-Link produkter", som har nådd end-of-life (EoL). Følgende produkter er påvirket:

  • DNS-320L

  • DNS-325

  • DNS-327L

  • DNS-340L

D-Link har opplyst at de ikke planlegger å komme med en oppdatering og oppfordrer i stedet kundene til å erstatte utstyret.

Kritisk svakhet i PAN-OS muliggjør injisering av kommandoer

Palo Alto Networks melder om en kritisk (CVE 10.0) sårbarhet i GlobalProtect-funksjonaliteten i PAN-OS programvaren. Sårbarheten lar angripere injisere kommandoer og dermed kjøre vilkårlig kode på brannmuren med root-privilegier.

Oppdateringer for PAN-OS 10.2, 11.0 og 11.1 er under utvikling og er beregnet klar 14. april. Cloud NGFW, Panorama appliances og Prisma Access er ikke rammet. Palo Alto har publisert en teknikk for å mitigere omfanget av en eventuell utnyttelse inntil en patch foreligger.

Sårbarheter:

Sårbarheter i Citrix Hypervisor og XenServer

JustisCERT varsler om sårbarheter i produkter fra Citrix. Totalt 3 CVEer ble publisert av Citrix den 11.04.2024, hvor alle 3 er kategorisert som alvorlige: CVE-2023-46842, CVE-2024-2201 (berører kun Citrix-oppsett med Intel CPU) og CVE-2024-31142 (berører kun Citrix-oppsett med AMD CPU).

 Citrix har publisert oppdateringer til støttede produkter.

Posted by tsoc at 11:22 0 comments

Thursday 11 April 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.04.11

Ny Spectre-variant kan gi utvidet tilgang til minne på virtuelle servere. Sårbarheter i produkter fra Palo Alto, Juniper Networks, GitLab og Chromium-baserte nettlesere. Sviktende håndtering av bruker-input i flere programmeringsspråk i Windows.

Ny Spectre-variant kan gi utvidet tilgang til minne på virtuelle servere

Spectre er navnet på flere teknikker for å utnytte svakheter i måten moderne CPUer benytter seg av spekulativ kjøring av kode. Teknikken fører til stor økning i ytelsen, men kan gjøre at en prosess får tilgang til minnet til andre prosesser.

En ny variant av svakheten er nå offentliggjort av forskere ved Vrije Universiteit Amsterdam. Denne omgå flere av de mitigerende tiltak som Intel har innført for å stoppe svakheten. Svakheten er spesielt farlig i skymiljøer, der prosesser fra flere brukere kan kjøre på samme server.

Sårbarheter:

Sårbarheter i produkter fra Palo Alto, Juniper Networks, GitLab og Chromium-baserte nettlesere

JustisCERT melder om nye sårbarheter:

Produkter fra Palo Alto Networks. Totalt 7 CVE ble publisert av Palo Alto den 10.04.2024, hvor 4 er kategorisert som alvorlig med CVSS-score 8.2 - 8.2). De alvorlige sårbarhetene berører Palo Alto PAN-OS. Palo Alto har publisert oppdateringer til støttede produkter.

Produkter fra Juniper Networks. Totalt 36 bulletiner ble publisert 10.04.2024, hvor 3 er kategorisert som kritisk med CVSS-score 9.8 og 10 som alvorlig. De kritiske sårbarhetene berører Juniper Cloud Native Router, Juniper cRPD, Junos OS og Junos OS Evolved. Juniper har publisert oppdateringer til støttede produkter.

GitLab Community Edition (CE) og GitLab Enterprise Edition (EE). Totalt 4 CVE ble publisert 10.04.2024, hvor 2 er kategorisert som alvorlig med CVSS-score 8.7. GitLab har publisert nødvendige oppdateringer.

Chromium-baserte nettlesere. Totalt 3 sårbarheter er rettet av Google i «Stable Channel Update for Desktop, 10. april 2024» for Windows, Mac og Linux, hvor alle 3 er kategorisert som alvorlig (CVE-2024-3157, CVE-2024-3515 og CVE-2024-3516). Vær oppmerksom på at selv om sårbarheter nå er rettet i Google Chrome så kan det ta noen dager før andre Chromium-baserte nettlesere får nødvendig oppdatering.

Sviktende håndtering av bruker-input i flere programmeringsspråk

I går hadde vi en sak om sviktende håndtering av bruker-input i Rust for Windows, som kan føre til injisering av kommandoer til operativsystemet. Det viser seg nå at flere programmerings-språk og -verktøy er utsatt for de samme problemene: Haskell, Node.js, PHP og yt-dlp. CERT ved Carnegie Mellon University har gitt ut veiledning rundt svakhetene.

Posted by tsoc at 12:40 0 comments

Wednesday 10 April 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.04.10

Microsoft patcher hele 157 svakheter i april. Sikkerhetspatcher fra SAP og Adobe. Kritisk svakhet i Rust muliggjør kommando-injisering.

Microsoft patcher hele 157 svakheter i april

Microsoft har gitt ut sine månedlige sikkerhetsoppdateringer for april. Denne måneden patches 157 svakheter, noe som er ny rekord. Syv av svakhetene er egentlig Chromium-svakheter som også rammer Microsofts Edge-nettleser. To av svakhetene utnyttes allerede i aktive angrep.

De tre kritiske svakhetene ligger i Microsoft Defender for IoT og rammer derfor ikke alle kunder.

Den første svakheten som utnyttes aktivt (CVE-2024-26234) beskrives som en proxy diver-spoofing svakhet. Oppdateringen sperrer for bruk av en spesiell driver-fil som har blitt signert med et Microsoft-godkjent sertfikat, men som i virkeligheten er en bakdør.

Den andre svakheten (CVE-2024-29988) gjør det nok en gang mulig å omgå sikkerhets-mekanismene i SmartScreen. Denne svakheten er forsøkt patchet tidligere, men denne kunne omgås.

Rundt 40 av svakhetene (rangert som viktige) ligger i Microsoft OLE Driver for SQL Server. Svakhetene rammer klienter som kobler seg opp mot ondsinnede SQL-servere, ikke serverne i seg selv.

Sikkerhetspatcher fra SAP og Adobe

JustisCERT melder at også Adobe og SAP har gitt ut sikkerhetspatcher i forbindelse med patche-tirsdag.

Adobe har publisert 9 bulletiner som dekker 24 CVE, hvor 5 er vurdert som kritisk (CVSS-score til og med 9.0). Flere av sårbarhetene gjør det mulig for angriper å kjøre vilkårlig kode. De kritiske sårbarhetene berører Adobe Animate, Adobe Commerce/Magento Open Source og Adobe Media Encoder.

SAP Security Patch Day for april 2024 inneholder 10 nye bulletiner med CVSS-score til og med 8.8 (alvorlig).

Kritisk svakhet i Rust muliggjør kommando-injisering

Rust melder om en kritisk svakhet (CVSS: 10.0) i Rusts standard-bibliotek for Windows. Svakheten gjør det mulig å injisere kommandoer som blir kjørt av operativsystemet, når Rust starter opp batch-filer. Alle Rust-versjoner før v1.77.2 er sårbare.

Sårbarheter:

Posted by tsoc at 12:58 0 comments

Tuesday 9 April 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.04.09

Det har vært et rolig døgn.

Posted by tsoc at 12:35 0 comments

Monday 8 April 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.04.08

Kritisk feil i Magento fører til installasjon av bakdør og tyveri av kredittkort-info. Situasjonsrapport fra Telenor SOC - mars 2024.

Kritisk feil i Magento fører til installasjon av bakdør

En kritisk feil i Magento, fulgt som CVE-2024-20720 med CVSS på 9.1/10, gjør det mulig for trusselaktører å installere en bakdør i nettbutikk-løsninger. De installerer deretter programvare for å stjele kredittkort-informasjon fra brukerne. Vi anbefaler sjekk av sårbare systemer og installasjon av oppdatering fra leverandør! En fikset versjon ble sluppet allerede 13. februar.

Sårbarheter:

Situasjonsrapport fra Telenor SOC - mars 2024

Vi har publisert vår situasjonsrapport fra Telenor SOC for mars 2024. Denne måneden skriver vi blant annet om et avansert forsyningskjede-angrep mot Linux-distribusjoner gjennom xz-biblioteket.

Posted by tsoc at 13:07 0 comments

Friday 5 April 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.04.05

Ny HTTP/2 DoS-angrep kan krasje webservere med én tilkobling. Sårbarheter i produkter fra Cisco.

Ny HTTP/2 DoS-angrep kan krasje webservere med én tilkobling

Sikkerhetsforskere har oppdaget sårbarheter i HTTP/2-protokollen, kalt "CONTINUATION Flood", som kan føre til tjenestenektangrep (DoS) og krasje webservere med bare én TCP-tilkobling. Sårbarhetene oppstår fordi protokollen ikke klarer å sette gode nok grenser for håndtering av visse typer data, kalt "CONTINUATION frames". Dette kan la angripere sende så mye data at det overvelder og potensielt krasjer serveren. Flere CVE-IDer er tildelt for forskjellige implementasjoner av HTTP/2 som er sårbare for disse angrepene. Forskerne advarer om at dette problemet kan være vanskelig å feilsøke og mitigere, uten detaljert kunnskap om HTTP/2, og oppfordrer til oppgradering av berørte servere og biblioteker​.

Sårbarheter i produkter fra Cisco

JustisCERT varsler om sårbarheter i produkter fra Cisco. Totalt 12 bulletiner (omfatter 12 CVE) ble publisert av Cisco den 03.04.2024, hvor 1 er kategorisert som alvorlig (CVE-2024-20348 med CVSS-score 7.5) og 11 som viktig (CVSS-score 4.9 - 7.5). Den alvorlige sårbarheten berører Cisco Nexus Dashboard Fabric Controller versjon 12.1.3b, se egen link under.

Cisco har publisert oppdateringer til støttede produkter.

Posted by tsoc at 12:48 0 comments

Thursday 4 April 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.04.04

Google fikser svakheter i Pixel-telefoner og Chrome. Ivanti fikser svakheter i VPN-produkter og lover bedre sikkerhet framover .

Google fikser svakheter i Pixel-telefoner og Chrome

Google har fikset to svakheter som utnyttes aktivt i Pixel-telefoner. Svakhetene har blitt brukt av forensics-firmaer for å låse opp telefoner uten bruk av PIN-kode og få tilgang til informasjon. Google har også sluppet månedlige oppdateringer for Android generelt. Den alvorligste svakheten her har blitt klassifisert som "høy" og utbedrer en svakhet som kan gi utvidede rettigheter på systemet med lokal tilgang.

Google har også sluppet en ny versjon av Chrome som utbedrer en svakhet som ble demonstrert på Pwn2Own-konferansen før påske. Svakheten (CVE-2024-3159) ligger i V8 javascript-motoren, og sikkerhetsforskeren som oppdaget den fikk en belønning på $42.500.

Ivanti fikser svakheter i VPN-produkter og lover bedre sikkerhet framover

Ivanti fikser fire svakheter i Connect Secure og Policy Secure. De to mest alvorlige svakhetene har fått en CVSS-score på 8.2 av 10. Svakhetene kan føre til kjøring av vilkårlig kode og tjenestenekt-angrep uten autentisering. Ivanti melder at svakhetene så langt ikke har blitt utnyttet i angrep.

The Record meldte også i går at Ivanti lover forbedring i sikkerheten framover, etter at deres produkter har blitt brukt som inngangsport i flere kjente saker i det siste.

Posted by tsoc at 13:23 0 comments

Wednesday 3 April 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.04.03

Chrome skal hindre tyveri av sesjonsnøkler. Microsoft får kritikk av CISA Review Board etter sikkerhetshendelse.

Chrome skal hindre tyveri av sesjonsnøkler

Etter innlogging på nettsteder opprettes det typisk en sesjonsnøkkel lagret i en cookie/informasjonskapsel for å holde brukeren innlogget. I forbindelse med malware og phishing blir gjerne disse stjålet, og angriperen kan deretter misbruke disse fritt fra andre PCer for å bli innlogget som offeret.

Google introduserer nå en ny funksjon i Chrome som binder sesjonsnøkkelen opp mot den fysiske PCen til brukeren. Dette gjøres ved å opprette et offentlig/privat krypto-nøkkelpar der den private delen lagres i PCens TPM-chip (Trusted Platform Module). Stjålne sesjonsnøkler vil bli ubrukelige uten den private nøkkelen som er lagret i TMPM

Funksjonen er foreløpig i test, men kan slås på manuelt.

Microsoft får kritikk av CISA Review Board etter sikkerhetshendelse

Microsoft ble utsatt for en sikkerhetshendelse i 2023. Angripere med knytning til Kina klarte å ta seg inn i deres skybaserte Exchange-miljø. Aktøren fikk tak i eposter fra både ansatte i Microsoft og statsansatte i USA.

Gjennomgangen av hendelsen og Microsofts sikkerhet konkluderer med at hendelsen aldri skulle ha skjedd og var mulig å avverge. Videre skriver de at sikkerhetskulturen hos Microsoft ikke er tilfredstillende og trenger en oppdatering, spesielt sett i lys av hvor mye sensitiv informasjon de har ansvar for.

For å gjennomføre operasjonen, utnyttet angriperne en rekke sikkerhetssvakheter hos Microsoft. Microsoft oppdaget ikke hendelsen selv, men ble varlset av en kunde. CISA er også skeptiske til kommunikasjonen til allmenheten etter hendelsen.

Posted by tsoc at 12:23 0 comments

Tuesday 2 April 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.04.02

Avansert forsyningskjede-angrep mot Linux. Google har gjennomgått zero-day svakheter fra 2023. Ny phishing-tjeneste bruker iMesagge og RCS. Apple-brukere oversvømt av MFA-forespørsler. Sikkerhetsoppdateringer fra Cisco.

Avansert forsyningskjede-angrep mot Linux

En avansert trusselaktør har i over to år jobbet målrettet med å få lagt til en bakdør i Linux-distribusjoner. Aktøren manipulerte til seg kontrollen av kildekoden til komprimerings-biblioteket "xz" og la til kode for å implementere en avansert bakdør. Bakdøren gjorde det mulig å logge inn via ssh på sårbare systemer, ved å benytte seg av en spesiell krypterings-nøkkel. Sårbarheten blir aktivert når SSH benytter seg av "xz"-biblioteket via systemd.

Operasjonen ble heldigvis oppdaget av en Microsoft-ansatt på grunn av at login noen ganger feilet, samt at innloggingen tok rundt et halvt sekund lengre enn vanlig. Så langt ser det ikke ut til at bakdøren kom inn i noen mye brukte Linux-varianter, men det var bare snakk om uker før de store distribusjonene hadde oppdatert til en sårbar versjon. Aktøren har også manipulert andre prosjekter for å gjøre det vanskeligere å oppdage bakdøren.

Vi anbefaler å sjekke versjonsnumre på "xz" på Linux-systemer og oppgradere til en sikker versjon.

Google har gjennomgått zero-day svakheter fra 2023

Google har gjennomgått alle kjente zero-day svakheter som ble brukt i 2023. I fjor ble det oppdaget 97 nye zero-days totalt, en økning på over 50% fra 2022.

I fjor var det en økning i svakheter som rettet seg mot tredjeparts-komponenter og kode-biblioteker. Gjennom å kompromittere disse, kan trusselaktørene ofte utnytte flere systemer som igjen benytter seg av disse.

De to største gruppene som benyttet seg av ferske svakheter var komersielle leverandører av overvåkingsprogramvare og spionasje-relaterte aktører. På tredje plass kom finansielt motiverte aktører.

Ny phishing-tjeneste bruker iMesagge og RCS

Netcraft har sett nærmere på phishing-tjenesten Darcula. Tjenesten støtter ikke bare SMS, men også iMessage mot iPhones og RCS mot Android-telefoner. Bruken av disse krypterte tjenestene kan inngi økt tillitt hos mottakeren. De gjør det også umulig for mobilleverandøren å filtrere ut spam, siden meldingene ikke kan leses av leverandøren.

I de siste månendene har phishing via iMessage og RCS rammet også norske brukere.

Apple-brukere oversvømt av MFA-forespørsler

Flere Apple-kunder har i det siste opplevd å bli bombardert med forespørsler om å godkjenne innlogginger i forbindelse med avanserte phishing-angrep. Det kommer en mengde av disse forespørslene fra systemet, og trusselaktøren håper at offeret skal trykke feil på én av dem for å ta over kontrollen av Apple ID-kontoen. Dersom dette ikke lykees, ringer de opp offeret og utgir seg for å være fra Apple support for å "hjelpe til med å stoppe angrepet".

Sikkerhetsoppdateringer fra Cisco

Cisco ga 27. mars ut 17 sikkerhetsoppdateringer for 18 svakheter. 10 av svakhetene er klassifisert som alvorlige. Cisco har publisert oppdateringer og vi anbefaler å se over og installere disse.

Posted by tsoc at 13:02 0 comments

Wednesday 27 March 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.03.27

To kinesiske APT-grupper øker cyberspionasje mot ASEAN-land. Tyskland advarer om 17 000 sårbare Microsoft Exchange-servere eksponert på nettet. Hackere utnytter Rays rammeverksfeil for å kapre servere og ressurser.

To kinesiske APT-grupper øker cyberspionasje mot ASEAN-land

To kinesisk relaterte APT-grupper har målrettet enheter tilknyttet ASEAN og medlemsland over de siste tre månedene, inkludert Mustang Panda, som nylig har angrepet Myanmar med DOPLUGS backdoor.

Mustang Panda, også kjent som Camaro Dragon og Earth Preta, benytter phishing-e-poster for å levere malware-pakker, en koblet til ASEAN-Australia Special Summit.

Sist avslører Trend Micro en ny trusselaktør kalt Earth Krahang, som målretter seg mot 116 enheter i 35 land ved hjelp av skreddersydd malware og sårbarheter i Openfire og Oracle-servere.

Tyskland advarer om 17 000 sårbare Microsoft Exchange-servere eksponert på nettet

Det tyske nasjonale cybersikkerhetsmyndigheten advarer om at det er oppdaget minst 17 000 Microsoft Exchange-servere i Tyskland som er eksponert på nettet og sårbare for én eller flere kritiske sikkerhetsfeil.

Rundt 45 000 Microsoft Exchange-servere i Tyskland har Outlook Web Access (OWA) aktivert og er tilgjengelige fra internett, ifølge det tyske føderale kontoret for informasjonssikkerhet (BSI).

Rundt 12% av disse serverne bruker fortsatt utdaterte versjoner av Exchange (2010 eller 2013), som ikke har mottatt sikkerhetsoppdateringer siden henholdsvis oktober 2020 og april 2023.

Sårbarheter:

Hackere utnytter Rays rammeverksfeil for å kapre servere og ressurser

En ny hackingkampanje kalt "ShadowRay" retter seg mot en ikke-patchet sårbarhet i Ray, et populært åpent kildekode AI-rammeverk, for å kapre databehandlingskraft og lekke sensitiv data fra tusenvis av selskaper.

Angrepene har pågått siden minst 5. september 2023, rettet mot utdanning, kryptovaluta, bioteknologi og andre sektorer ifølge en rapport fra applikasjonssikkerhetsfirmaet Oligo.

Mitigering: håndheve brannmurregler, legge til autorisasjon på Ray Dashboard-porten og kontinuerlig overvåke for anomalier.

Sårbarheter:

Posted by tsoc at 12:06 0 comments

Tuesday 26 March 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.03.26

Nytt phishing-verktøy omgår MFA for å stjele Microsoft 365 og Gmail-kontoer. Flere tusen brukere rammet av falsk Python-infrastruktur.

Nytt phishing-verktøy omgår MFA for å stjele Microsoft 365 og Gmail-kontoer

Et forholdsvis nytt phishing-verktøy kalt "Tycoon 2FA" har i den siste tiden blitt mer populært. Verktøyet leveres som en tjeneste av utgiverne, og det krever dermed lite teknisk kunnskap å bruke det. Verktøyet benytter seg av en falsk web-server som står mellom offeret og tjenesten det egentlig blir forsøkt logget inn på, såkalt MitM-angrep (Machine in the Middle). Dette gjør at sesjonsnøkler (cookies) og engangskoder brukt i forbindelse med MFA, kan kopieres ut av angriperne.

Det beste tiltaket for å forsvare seg mot denne typen angrep er å Implementere phishing-resistent autentisering, som Yubikeys, Passnøkler osv. Det kan også hjelpe å stramme inn på reglene for conditional access for innlogging.

Flere tusen brukere rammet av falsk Python-infrastruktur

Sikkerhetsselskapet Checkmarx har oppdaget et forsyningskjede-angrep mot Python-relatert programvare og Discord-boter. Trusselaktøren tok over kontoer ved hjelp av stjålne autentiserings-nøkler (cookies), fikk lagt til skadelig kode til diverse prosjekter, satte opp en falsk Python pakkelager og delte skadelige pakker til PyPi-tjenesten. Kompromitterte brukere ble frastjålet informasjon som brukernavn/passord, Telegram-sesjoner, Discord-data, lommebøker brukt for kryptovaluta osv.

Posted by tsoc at 09:59 0 comments

Monday 25 March 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.03.25

Hackere fikk utbetalt $1.1 millioner på Pwn2Own. Mozilla fikser to svakheter i Firefox etter Pwn2Own-konferansen. Apple har gitt ut sikkerhetsoppdateringer. Teknisk analyse av Curious Serpens’ FalseFont-bakdør.

Hackere fikk utbetalt $1.1 millioner på Pwn2Own

Pwn2Own er en sikkerhetskonferanse der det utbetales pengepremier for å omgå sikkerhetssystemer i diverse hardware, OS og applikasjoner. I år ble det utbetalt over $1.1 millioner for å hacke seg inn i en Tesla, Windows, Ubuntu, Oracle Virtualbox, VMware Workstation, Chrome, Firefox osv. Detaljene om svakhetene blir delt med produsenten etter at de er demonstrert. Totalt ble det demonstrert 29 ferske svakheter på konferansen.

Mozilla fikser to svakheter i Firefox etter Pwn2Own-konferansen

I årets Pwn2Own, som nettopp ble arrangert i Vancouver, ble det blant annet demonstrert angrep mot to ferske svakheter i Firefox. Sikkerhetsforskeren Manfred Paul tjente $100.000 etter å først ha utnyttet en "out-of-bounds"-svakhet for å kjøre tilfeldig kode, og deretter en annen svakhet for å komme seg ut av applikasjonens sandkasse. Svakhetene er fikset i Firefox 124.0.1 og Firefox ESR 115.9.1, som ble gitt ut bare én dag etter konkurransen!

Apple har gitt ut sikkerhetsoppdateringer

Apple ha den 21. mars ut sikkerhetsoppdateringer for iOS og iPadOS, men det er så langt ukjent hva som blir patchet. Apple gir noen ganger ut oppdateringer uten beskrivelser først, og slipper først mer informasjon når de fleste har installert patchene. Siste versjon av iOS og iPadOS er nå versjon 17.4.1. Også enheter på eldre versjon har fått oppdatering, versjon 16.7.7.

Teknisk analyse av Curious Serpens’ FalseFont-bakdør

Unit 42 hos Palo Alto Networks har gitt ut en teknisk analyse av en ny bakdør kalt FalseFont, som trusselaktøren Curious Serpens står bak. Palo Alto mener aktøren har knytninger til Iran, og Microsoft benevner den som Peach Sandstorm. Aktøren har tidligere vært aktiv mot luftfarts- og energi-sektoren. Aktøren bruker en falsk jobbsøker-prosess for å få installert bakdøren.

Rapporten har en full gjennomgang av bakdøren, inkludert hvordan å detektere den og hindre installasjon.

Posted by tsoc at 10:26 0 comments

Friday 22 March 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.03.22

Millioner av hotelldører kan enkelt låses opp. Svakhet i Apple-CPUer kan brukes til å hente ut krypteringsnøkler.

Millioner av hotelldører kan enkelt låses opp

Sikkerhetsforskere har oppdaget en svakhet de kaller "Unsaflok" i låser brukt i over 3 millioner hotelldører i 131 land. Svakheten ligger i låsesysystemet Saflok som igjen brukes av mange leverandører. Svakheten lar seg utnytte ved å lage et spesielt utformet nøkkelkort, som vil fungere som en universal-nøkkel.

Berørte hoteller begynte å oppgradere låser i 2023, men fortsatt er det mange som ikke oppgradert. Forskerne bak oppdagelsen har gitt ut en app til iOS og Android som i visse tilfeller kan påvise et nøkkelkort som brukes mot en sårbar lås.

Svakhet i Apple-CPUer kan brukes til å hente ut krypteringsnøkler

En nylig oppdaget svakhet i Apples M-serie med CPUer kalt "GoFetch", lar angripere hente ut krypteringsnøkler fra Macer mens de utfører kryptografiske operasjoner. Svakheten ligger i hardware og patcher for å omgå den kan føre til tapt ytelse.

Svakheten ligger i en del av CPUen som henter inn minne til hurtiglageret på forhånd (DMP), etter hvert som den prøver å forutse hva slags minne som skal aksesseres i framtiden. Svakheten kan utnyttes fra en prosess på samme CPU ,som ikke trenger spesielle rettigheter på systemet.

Posted by tsoc at 12:49 0 comments
Subscribe to: Posts (Atom)
 
>