Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.01.31

Feil i glibc kan gi angripere root-tilgang på mange Linux-distribusjoner.

---

Feil i glibc kan gi angripere root-tilgang på mange Linux-distribusjoner

En angriper med lokal tilgang til et system kan bruke en nylig oppdaget svakhet i glibc sin syslog-funksjon (GNU C library) til å øke sine rettigheter til root-tilgang. Feilen ble antageligvis introdusert i august 2022 i versjon 2.37 av biblioteket. De mest populære Linux-distribusjonene som Debian 12/13, Ubuntu 23.04/23.10 og Fedora 37/39 er sårbare for svakheten. Qualys fant også to andre mindre alvorlige svakheter i forbindelse med sine undersøkelser.

Sårbarheter:

CVE-2023-6246

Referanser:

https://thehackernews.com/2024/01/new-glibc-flaw-grants-attackers-root.html https://blog.qualys.com/vulnerabilities-threat-research/2024/01/30/qualys-tru-discovers-important-vulnerabilities-in-gnu-c-librarys-syslog https://www.qualys.com/2024/01/30/cve-2023-6246/syslog.txt

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.01.30

DNB registrerte 10.000 svindelforsøk mot sine kunder i fjor. Sikkerhetsbrudd hos leveringstjenesten Helthjem.

---

DNB registrerte 10.000 svindelforsøk mot sine kunder i fjor

- I løpet av det siste året har vi fått en stor økning av angrep mot bedrifter og offentlige instanser, i tillegg til at den store økningen i bedrageriforsøk mot personkunder fortsetter. Heldigvis klarer vi å stoppe det meste, sier Maria Løvold, konserndirektør for Technology & Services. Les DNBs rapport "Finansiell trygghet i en usikker verden" for detaljer.

Referanser:

https://news.cision.com/no/dnb-bank-asa/r/alvorlig-trusselbilde-for-okonomisk-kriminalitet,c3915582 https://mb.cision.com/Public/1975/3915582/a26d55655788a7da.pdf

Sikkerhetsbrudd hos leveringstjenesten Helthjem

Helthjem har registrert en lekkasje som ga uvedkommende tilgang til deler av deres kundebase. Opplysninger som navn, e-post, adresse og telefonnummer kan være lekket.

Firmaet presiserer at dette kun gjelder opplysninger som kunder har oppgitt i forbindelse med direkte registrering på helthjem.no. De ber videre om ekstra årvåkenhet, da personer kan gi seg ut for å være Helthjem og be om ytterligere informasjon eller betalingsopplysninger.

Referanser:

https://www.vg.no/nyheter/i/mQkOjq/sikkerhetsbrudd-hos-leveringstjeneste

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.01.29

Bitdefender har analysert global SMS-svindel. Flere firmaer enn Microsoft og HPE rammet av innbrudd.

---

Bitdefender har analysert global SMS-svindel

Bitdefender har sett på hvordan SMS blir brukt globalt til mange forskjellige typer svindel. De har blant annet sett på hvilken type svindel som brukes i de forskjellige verdensdelene. De regner med at svindlerne har lurt til seg minst $40 millioner dollar bare de siste tre månedene. Svindlerne tilpasser språk og temaer til hvert enkelt land for å få best mulig effekt.

Telenor ser og stanser også store mengder SMS-spam. Bare i Q4 2024 stoppet vi 4,5 millioner meldinger. Vi blokkerer også fortløpende svindel-domener i våre tjenester Nettvern og SafeZone.

Referanser:

https://www.bitdefender.com/blog/labs/investigating-worldwide-sms-scams-and-tens-of-millions-of-dollars-in-fraud/ https://www.telenor.no/om/sikkerhet/sikkerhetspuls_q4_23/

Flere firmaer enn Microsoft og HPE rammet av innbrudd

Washington Post skriver at de vet om minst 10 firmaer som er rammet av angrep mot deres Microsoft-baserte epost-tjenester i nettskyen, i tillegg til de allerede kjente angrepene mot Microsoft og HP Enterprise.

Den russiske Utenriksetterretningstjenesten SVR skal stå bak angreps-bølgen.

Referanser:

https://wapo.st/47Qi3yC

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.01.26

Også HP Enterprise utsatt for langvarig datainnbrudd. Svakheter i Jenkins, Juniper Networks og GitLab.

---

Også HP Enterprise utsatt for langvarig datainnbrudd

Hewlett Packard Enterprise's (HPE) melder at de har vært utsatt for datainnbrudd, der uvedkommende har hatt tilgang til deres skybaserte epost-systemer siden mai 2023. HPE mener at det er grupperingen APT 29 som står bak, også kjent som Nobelium, Midnight Blizzard og Cozy Bear. Aktøren knyttes til den russiske Utenriksetterretningstjenesten SVR.

21. januar meldte også Microsoft at de hadde hatt data-innbrudd der samme aktør hadde hatt tilgang til deres systemer i flere måneder. Denne tilgangen ble oppnådd ved hjelp av passord-spraying.

Referanser:

https://thehackernews.com/2024/01/tech-giant-hp-enterprise-hacked-by.html

Svakheter i Jenkins, Juniper Networks og GitLab

JustisCERT varsler om sårbarheter i:

• Produkter fra Jenkins. Totalt 12 CVE ble publisert av Jenkins den 24.01.2024, hvor 1 er kategorisert som kritisk (CVE-2024-23897 med CVSS-score 9.8) og 6 som alvorlig. Jenkins har publisert oppdateringer til støttede produkter.

• Produkter fra Juniper Networks. Totalt 2 nye bulletiner ble publisert av Juniper Networks den 25.01.2024. De dekker 5 CVE'er, hvor 1 er kategorisert som alvorlig (CVE-2024-21620 med CVSS-score 8.8) og 3 som viktig (CVE-2024-21619, CVE-2023-36846 og CVE-2023-36851). Den alvorlige sårbarheten berører Junos OS SRX og EX serien. Juniper Networks har publisert mitigerende tiltak og oppdateringer til støttede produkter.

• GitLab Community Edition (CE) og GitLab Enterprise Edition (EE). Totalt 5 CVE'er ble publisert 25.01.2024, hvor 1 er kategorisert som kritisk (CVE-2024-0402 med CVSS-score 9.9) og 4 som viktig (CVE-2023-6159, CVE-2023-5933, CVE-2023-5612 og CVE-2024-0456). GitLab har publisert nødvendige oppdateringer.

Referanser:

https://www.jenkins.io/security/advisory/2024-01-24/ https://supportportal.juniper.net/s/article/2024-01-Out-of-Cycle-Security-Bulletin-Junos-OS-SRX-Series-and-EX-Series-Multiple-vulnerabilities-in-J-Web-have-been-addressed?language=en_US https://supportportal.juniper.net/s/article/2024-01-Reference-Advisory-Junos-OS-and-Junos-OS-Evolved-Impact-of-Terrapin-SSH-Attack-CVE-2023-48795?language=en_US https://about.gitlab.com/releases/2024/01/25/critical-security-release-gitlab-16-8-1-released/

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.01.25

Vanlig feilkonfigurasjon kan gi tilgang til Google Kubernetes Cluster. Sårbarheter i produkter fra Cisco .

---

Vanlig feilkonfigurasjon kan gi tilgang til Google Kubernetes Cluster

Sikkerhetsfirmaet Orca har oppdaget at mange brukere av Google Kubernetes Engine har feil i tilgangskontrollen som kan gi uvedkommende tilgang til Kubernetes-clusteret til kunden. Firmaet mistenker at rundt 250.000 kunder har svakheten.

Feilkonfigurasjonen skyldes at mange tror at gruppen "system:authenticated" tilsvarer brukere som er autentisert inn til brukerens organisasjon, men i virkeligheten gjelder dette alle brukere som er autentisert mot Google. Det holder altså å ha en vanlig Gmail-konto for å være i denne gruppen.

Google har ryddet opp i tilgangene fra GKE versjon 1.28 slik at system:authenticated gruppen ikke kan knyttes opp mot cluster-admin rollen. Google har også varslet berørte kunder via epost.

Referanser:

https://thehackernews.com/2024/01/google-kubernetes-misconfig-lets-any.html

Sårbarheter i produkter fra Cisco

JustisCERT varsler om sårbarheter i produkter fra Cisco. Totalt 3 nye bulletiner ble publisert av Cisco den 24.01.2024. De dekker 3 CVE, hvor 1 er kategorisert som kritisk (CVE-2024-20253 med CVSS-score 9.9) og 2 som viktig (CVE-2024-20263 og CVE-2024-20305). Den kritiske sårbarheten berører en rekke produkter i kategorien Cisco Unified Communications, som bør kobles fra nett frem til de er blitt oppdatert.

Referanser:

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-rce-bWNzQcUm https://sec.cloudapps.cisco.com/security/center/publicationListing.x

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.01.24

Sikkerhetsfikser for Chrome og Firefox. Piratkopierte Mac-apper fører til avansert malware. Kritisk svakhet i Fortra GoAnywhere utnyttes aktivt.

---

Sikkerhetsfikser for Chrome og Firefox

Google har gitt en ny versjon av Chrome for Mac, Linux og Windows som utbedrer 17 sikkerhetssvakheter. Den mest alvorlige svakheten har viktighet "høy" og er en "use after free"-svakhet i WebAudio. Det er så langt ikke meldt om at noen av svakhetene utnyttes aktivt i angrep.

Mozilla har også kommet med en ny versjon av Firefox. Det rettes 15 svakheter, der 5 har fått viktighet "høy". Epost-leseren Thunderbird får også en oppdatering.

Referanser:

https://chromereleases.googleblog.com/2024/01/stable-channel-update-for-desktop_23.html https://www.mozilla.org/en-US/security/advisories/mfsa2024-01/ https://www.mozilla.org/en-US/security/advisories/mfsa2024-04/

Piratkopierte Mac-apper fører til avansert malware

Piratkopierte applikasjoner har lenge vært kjent for å være pakket sammen med malware. Kaspersky melder nå om at apper som er laget for å "låse opp" kommersiell programvare på Mac infiserer maskinen med informasjons-stjelende malware. Malwaren laster ned kommandoer ved hjelp av oppslag mot en DNS-server kontrollert av angriperne. Svarene kommer som TXT-oppføringer kodet med BASE64.

Infiserte maskiner får en bakdør og blir tappet for informasjon, med spesiell fokus på krypto-lommebøker.

Referanser:

https://www.bleepingcomputer.com/news/security/cracked-macos-apps-drain-wallets-using-scripts-fetched-from-dns-records/ https://securelist.com/new-macos-backdoor-crypto-stealer/111778/

Kritisk svakhet i Fortra GoAnywhere utnyttes aktivt

Det meldes at en kritisk svakhet i Fortras GoAnywhere Managed File Transfer (MFT) utnytes aktivt. Utnytelse lar en angriper opprette en ny administrator-konto på enheten og har fått CVSS-score på 9.8 av 10.

Svakheten gjøres mer alvorlig av at denne typen systemer ofte er eksponert direkte mot Internett. Versjon 7.4.1 fikser svakheten. Enheter som har vært sårbare og eksponert bør sjekkes for infeksjon, typisk i form av nyopprettede kontoer.

Sårbarheter:

CVE-2024-0204

Referanser:

https://thehackernews.com/2024/01/patch-your-goanywhere-mft-immediately.html

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.01.23

Kritisk zero-day i Apple-produkter fikses i ny oppdatering.

---

Kritisk zero-day i Apple-produkter fikses i ny oppdatering

Apple slapp på mandag sikkerhetsoppdateringer for iOS, iPadOS, macOS, tvOS og Safari-nettleseren for å håndtere en null-dags sårbarhet som har vært gjenstand for aktiv utnyttelse i det fri. Apple har også fikset flere andre svakheter, også av eldre type for tidligere versjoner av iOS og macOS.

Problemet, identifisert som CVE-2024-23222, er en variabel-type feil (type confusion bug) som kunne utnyttes av en trusselaktør for å oppnå vilkårlig kjøring av kode ved besøk på en spesielt utformet nettside.

Den siste versjonen av iOS er nå 17.3. I denne versjonen er det en ny sikkerhets-funksjon kalt "Stolen Device Protection", som kan slås på av brukeren. Den nye funksjonen krever ekstra autentisering ved endring av kritiske sikkerhetsparametere, når telefonen ikke er i bruk hjemme eller på jobb. Endringen kommer etter en rekke tyverier av iPhones i USA i det siste.

Sårbarheter:

CVE-2024-23222

Referanser:

https://thehackernews.com/2024/01/apple-issues-patch-for-critical-zero.html https://www.cnet.com/tech/mobile/apples-new-ios-17-security-feature-blocks-opportunistic-iphone-thieves/ https://support.apple.com/en-gb/HT201222 https://isc.sans.edu/diary/Apple+Updates+Everything+New+0+Day+in+WebKit/30578

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.01.22

Tietoevry i Sverige rammet av ransomware-angrep. Microsoft rammet av datainnbrudd igjen. Apache ActiveMQ-feil utnyttet i Godzilla web-shell angrep.

---

Tietoevry i Sverige rammet av ransomware-angrep

Deler av ett av Tietoevrys datasentre i Sverige ble rammet av ransomware-angrep og noen av deres systemer gikk ned. Dette skjedde natten mellom 19. og 20 januar. Gjenoppretting av systemer og data pågår, men noen kunder er fortsatt rammet i større eller mindre grad.

Hendelsen skal være isolert til kun den svenske delen av Tietoevry og deres kunder. Bleepingcomputer melder at det er Akira-gruppen som står bak angrepet.

Referanser:

https://www.tietoevry.com/en/newsroom/all-news-and-releases/other-news/2024/01/ransomware-attack-in-sweden-update/ https://www.bleepingcomputer.com/news/security/tietoevry-ransomware-attack-causes-outages-for-swedish-firms-cities/

Microsoft rammet av datainnbrudd igjen

Microsoft melder at de den 12. januar oppdaget at en aktør med knytning til den russiske stat hadde tilgang til deres interne systemer. Microsoft kaller aktøren for Midnight Blizzard, men den er også kjent som Nobelium, APT29 og Cozy Bear.

Microsoft har avdekket av aktøren først fikk tilgang til deres systemer i november 2023, ved hjelp av et passord-spray angrep, der mye brukte passord blir prøvd mot en rekke kontoer. Aktøren fikk på denne måten tilgang til en konto i en test-tenant. Tilgangene ble brukt til å lese interne epost-kontoer i Microsoft, blant annet kontoene til ledelsen. Microsoft mener at aktøren hadde som mål å finne ut hva slags informasjon Microsoft hadde om aktøren selv.

Microsoft poengeterer at angrepet ikke skyldtes svakheter i systemene deres. De lover å innføre nye tiltak for å øke sikkerheten ytterligere.

Referanser:

https://msrc.microsoft.com/blog/2024/01/microsoft-actions-following-attack-by-nation-state-actor-midnight-blizzard/ https://www.securityweek.com/microsoft-says-russian-gov-hackers-stole-email-data-from-senior-execs/

Apache ActiveMQ feil utnyttet i Godzilla web-shell angrep

Sikkerhetsforskere advarer om en "betydelig økning" i aktiviteten til trusselaktører som utnytter en sårbarhet i Apache ActiveMQ for å levere Godzilla-webshell på kompromitterte enheter.

"Webshellene er skjult i et ukjent binærformat og er designet for å unngå sikkerhetskontroller og signaturbaserte skannere," har Trustwave sagt. "Merkelig nok, til tross for den ukjente filformatet, fortsetter ActiveMQ's JSP-motor å kompilere og utføre webshellen."

CVE-2023-46604 (CVSS-poengsum: 10.0) refererer til en alvorlig sårbarhet i Apache ActiveMQ som muliggjør ekstern kjøring av kode. Siden den ble offentliggjort sent i oktober 2023 har den vært under aktiv utnyttelse av flere aktører for å distribuere ransomware, rootkits, kryptovaluta-utvinnere og DDoS botnet-klienter. Svakheten ble patchet allerede i september i fjor.

Sårbarheter:

CVE-2023-46604

Referanser:

https://thehackernews.com/2024/01/apache-activemq-flaw-exploited-in-new.html

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.01.19

Kritisk svakhet i Juniper Secure Analytics. Microsoft: Iranske hackere har midøsten-eksperter som mål.

---

Kritisk svakhet i Juniper Secure Analytics

KraftCERT melder at Juniper publiserte et varsel 17. januar om flere sårbarheter i Secure Analytics. Den mest alvorlige er en kritisk sårbarhet i det underliggende biblioteket Apache Struts. Sårbarheten er tildelt CVE-2023-50164 og har en CVSS score på 9.8 (KRITISK). Utnyttelse av sårbarheten lar en ondsinnet aktør laste opp filer til tjenesten og dermed oppnå kodeeksekvering.

Følgende versjoner av Juniper Secure Analytics er sårbare: Alle versjoner opp til 7-5-0 UP7 IF04. Kode for utnyttelse er ikke offentlig tilgjengelig så langt vi kjenner til. Juniper informerer om at de ikke er kjent med at sårbarheten utnyttes.

Sårbarheter:

CVE-2023-5016

Referanser:

https://supportportal.juniper.net/s/global-search/%40uri?language=en_US#sort=%40sfcec_community_publish_date_formula__c%20descending&numberOfResults=50&f:ctype=[Security%20Advisories]

Microsoft: Iranske hackere har midøsten-eksperter som mål

Microsoft melder at iranske hackere prøver å få tilgang til informasjon fra kjente eksperter som har midt-østen som sitt spesialområde. Ofrene er typisk ansatt hos universisteter eller forskningsorganisasjoner, og blir typisk lurt til å laste ned malware ved hjelp av phishing. I denne kampanjen har angriperne gitt seg ut for å være journalister fra kjente nyhetsorganisasjoner for å lure sine ofre.

Referanser:

https://therecord.media/microsoft-iranian-hackers-high-profile-experts https://www.microsoft.com/en-us/security/blog/2024/01/17/new-ttps-observed-in-mint-sandstorm-campaign-targeting-high-profile-individuals-at-universities-and-research-orgs/

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.01.18

Informasjons-stjeler malware på Mac utvikler seg stadig. Riksrevisjonen: Hacket seg inn på høyskoler og universiteter. Mange nye lekkede brukernavn og passord i ny passord-dump. Oracle patcher 200 svakheter i kvartalsvis oppdatering.

---

Informasjons-stjeler malware på Mac utvikler seg stadig

SentinelOne har en bloggpost om informasjons-stjelere på macOS. De har blant annet sett på Atomic Stealer, MetaStealer og RealStealer. Den innebygde sikkerhetsfunksjonen XProtect har signaturer for disse, men de oppdateres stadig og får ny funksjonalitet for å omgå deteksjon.

Referanser:

https://www.sentinelone.com/blog/the-many-faces-of-undetected-macos-infostealers-keysteal-atomic-cherrypie-continue-to-adapt/

Riksrevisjonen: Hacket seg inn på høyskoler og universiteter

Riksrevisjonen klarte å trenge seg inn i systemene på tre høyskoler og universiteter. Fare for verdifull forskningsdata, mener de. Dette kommer fram i en ny rapport Riksrevisjonen la fram onsdag. De testet IT-sikkerheten ved 10 av landets største universiteter og høyskoler.

Referanser:

https://www.nrk.no/norge/riksrevisjonen_-hacket-seg-inn-pa-tre-hoyskoler-og-universiteter-1.16718905 https://www.riksrevisjonen.no/rapporter-mappe/no-2023-2024/informasjonssikkerhet-i-forskning-innenfor-kunnskapssektoren/

Mange nye lekkede brukernavn og passord i ny passord-dump

Sikkerhetsforskere har oppdaget en ny fil med brukernavn og passord kalt "naz.api". Filen inneholder 71 millioner kombinasjoner av brukernavn og passord til forskjellige tjenester, hvorav rundt 25 millioner av disse ikke har vært sett tidligere i tjenesten "Have I Been Pwned?". Tjenesten har sendt ut varsler til registrerte brukere og vi anbefaler en sjekk av egen e-post adresse for å få oversikt over lekkede passord.

Referanser:

https://arstechnica.com/security/2024/01/71-million-passwords-for-facebook-coinbase-and-others-found-for-sale/ https://haveibeenpwned.com/

Oracle patcher 200 svakheter i kvartalsvis oppdatering

Oracle har sluppet sin første kvartalsvis sikkerhetsoppdatering i 2024. Svakheten inneholder 389 patcher som utbedrer rundt 200 unike svakheter (CVE). Vi anbefaler kunder av selskapet å ta en sjekk!

Referanser:

https://www.securityweek.com/oracle-patches-200-vulnerabilities-with-january-2024-cpu/

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.01.17

Kritisk svakhet i NetScaler ADC og NetScaler Gateway. Kritisk sikkerhetsfeil i VMware Aria Automation. Atlassian advarer mot kritisk svakhet i eldre versjoner av Confluence. Fersk svakhet i Google Chrome utnyttes i aktive angrep.

---

Kritisk svakhet i NetScaler ADC og NetScaler Gateway

Citrix melder at to ferske svakheter i NetScaler ADC/Gateway allerede utnyttes i aktive angrep. Den første svakheten (CVE-2023-6549) lar en angriper utføre tjenestenektangrep (DoS), mens den andre (CVE-2023-6548) lar en bruker som er autentisert via administrasjons-grensesnittet kjøre vilkårlig kode på enheten.

Citrix har gitt ut oppdateringer til støttede versjoner og vi anbefaler å patche så fort som mulig. Administrasjons-grensesnitt på denne typen enheter bør kun være tilgjengelig fra sikrede interne nettverk.

Sårbarheter:

CVE-2023-6548CVE-2023-6549

Referanser:

https://support.citrix.com/article/CTX584986/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20236548-and-cve20236549 https://www.bleepingcomputer.com/news/security/citrix-warns-of-new-netscaler-zero-days-exploited-in-attacks/

Kritisk sikkerhetsfeil i VMware Aria Automation

VMWare har sluppet en oppdatering for Aria Automation/Cloud Foundation med CVVS-score på 9.9. Svakheten gjør at tilgangskontrollen til enheten kan omgås. Oppdateringer er publisert og vi anbefaler å oppdatere så fort som mulig. Det er så langt ikke rapportert om at svakheten utnyttes aktivt.

Sårbarheter:

CVE-2023-34063

Referanser:

https://www.vmware.com/security/advisories/VMSA-2024-0001.html

Atlassian advarer mot kritisk svakhet i eldre versjoner av Confluence

Atlassian Confluence Data Center og Confluence Server er sårbare for en kritisk svakhet (CVSS: 10.0) som lar angriperen kjøre tilfeldig kode på en sårbar enhet uten å ha autentisert seg. Alle versjoner gitt ut før 5. desember 2023 er sårbare. Svakheten utnyttes ved å injisere en template.

Versjonene 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x, og 8.5.0 til og med 8.5.3 er sårbare for svakheten. Vi anbefaler å sjekke versjonsnummer og eventuelt patche!

Sårbarheter:

CVE-2023-22527

Referanser:

https://www.bleepingcomputer.com/news/security/atlassian-warns-of-critical-rce-flaw-in-older-confluence-versions/

Fersk svakhet i Google Chrome utnyttes i aktive angrep

Google melder om en ny 0-dags svakhet i Chrome med benevnelsen CVE-2024-0519. Svakheten gjør det mulig å kjøre vilkårlig kode gjennom nettleseren på grunn av en svakhet i håndtering av minne i javascript-motoren V8. Den nye versjonen patcher også tre andre svakheter.

Sårbarheter:

CVE-2024-0519

Referanser:

https://www.securityweek.com/google-warns-of-chrome-browser-zero-day-being-exploited/ https://chromereleases.googleblog.com/2024/01/stable-channel-update-for-desktop_16.html

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.01.16

Ivanti Connect Secure-svakhet blir masseutnyttet. To varetektsfengslet for å ha sendt 21.000 svindel-SMSer.

---

Ivanti Connect Secure-svakhet blir masseutnyttet

To alvorlige sårbarheter i Ivantis nettverkssikkerhetsprodukt Connect Secure VPN utnyttes globalt av flere trusselaktører. Over 1700 ICS VPN-enheter er kompromittert, og angrepene rammer på tvers av mange sektorer. Ivanti har ennå ikke utgitt sikkerhetsoppdateringer, så administratorer oppfordres til å implementere midlertidige tiltak og anse all data på de berørte enhetene som kompromittert. Mange av angrepene involverer en avansert GIFTEDVISITOR-webshell, og mistenkes å involvere kinesiske statssponsede aktører.

Sårbarheter:

CVE-2023-46805CVE-2024-21887

Referanser:

https://www.bleepingcomputer.com/news/security/ivanti-connect-secure-zero-days-now-under-mass-exploitation/

To varetektsfengslet for 21.000 svindel-SMSer

Det var tirsdag 9. januar at to utenlandske statsborgere ble pågrepet under mistanke om pågående bedragerivirksomhet. De to siktede oppholdt seg i Norge da de ble pågrepet.

– Disse svindel-SMS-ene har i all hovedsak knyttet seg til en falsk Vipps-nettside, som var Norgevipps.com. Det er en falsk nettside, hvor man ikke må legge inn noe som helst av sensitiv informasjon, sier politiadvokat Alexander Bjorvatn Øien til VG.

Referanser:

https://www.vg.no/nyheter/i/BW8oBw/to-varetektsfengslet-for-21-000-svindel-sms

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.01.15

GrapheneOS mener hyppig automatisk omstart av Android minimerer utnyttelse. Nye funn utfordrer attribusjon i cyberangrep rettet mot den danske energisektoren. Hacker arrestert for å ha utvunnet kryptovalute på 1 million servere.

---

GrapheneOS mener hyppig automatisk omstart av Android minimerer utnyttelse

GrapheneOS-teamet, som står bak den personvern- og sikkerhetsfokuserte Android-baserte operativsystemet med samme navn, foreslår at Android bør introdusere en automatisk omstartfunksjon for å gjøre utnyttelse av firmware-feil vanskeligere. Teamet avslørte nylig firmware-sårbarheter i Android-operativsystemet som påvirker Google Pixel- og Samsung Galaxy-telefoner, og som kan utnyttes for å stjele data og spionere på brukere når enheten ikke er i bruk.

GrapheneOS-teamet har implementert en auto-omstartfunksjon i sitt operativsystem for å minimere mulighetsvinduet for angripere ved å tilbakestille alle beskyttelsessystemer på enheten mer hyppig enn det en bruker normalt ville gjøre. Mye avansert malware er kun aktivt i RAM og infeksjonen vil forsvinne etter en reboot.

Referanser:

https://www.bleepingcomputer.com/news/security/grapheneos-frequent-android-auto-reboots-block-firmware-exploits/

Nye funn utfordrer attribusjon i cyberangrep rettet mot den danske energisektoren

Cyberangrepene mot energisektoren i Danmark i fjor kan ha vært utført uten involvering fra den russisk-tilknyttede Sandworm-hackergruppen, viser nye funn fra Forescout. Angrepene, som rettet seg mot rundt 22 danske energirelaterte organisasjoner i mai 2023, skjedde i to bølger. Forescouts undersøkelse av kampanjen avslørte imidlertid at de to bølgene ikke var relatert og sannsynligvis stod ikke den statlige trusselaktøren bak.

Den andre bølgen var en del av en bredere masseutnyttelseskampanje mot sårbare Zyxel-brannmurer, og at dette ikke var begrenset til dansk infrastruktur.

Sårbarheter:

CVE-2023-28771CVE-2020-9054CVE-2022-30525

Referanser:

https://thehackernews.com/2024/01/new-findings-challenge-attribution-in.html https://therecord.media/denmark-attacks-forescout-analysis-zyxel

Hacker arrestert for å ha utvunnet kryptovalute på 1 million servere

En person ble denne uken arrestert i Ukraina for å ha opprettet og brukt 1 million virtuelle servere til å utvinne kryptovaluta, noe som resulterte i en gevinst på over 2 millioner USD. Tilgangen til serverne blir skaffet gjennom å hacke seg inn i bedrifters kontoer og så opprette serverne i deres kontoer. For å forsvare seg mot denne typen angrep er det viktig med god kontroll på tilganger og overvåking av egne ressurser.

Referanser:

https://www.bleepingcomputer.com/news/security/hacker-spins-up-1-million-virtual-servers-to-illegally-mine-crypto/

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.01.12

Juniper og Cisco patcher flere produkter. Gitlab gir ut kritisk sikkerhetsoppdatering som muliggjør overtagelse av kontoer.

---

Juniper og Cisco patcher flere produkter

JustisCERT melder at Juniper og Cisco har levert patcher for flere av sine produkter.

Cisco: Totalt 7 nye bulletiner ble publisert 10.01.2024. De dekker 11 CVEer, hvor 1 er kategorisert som kritisk (CVE-2024-20272 med CVSS-score 7.3) og 10 som alvorlig. Den kritiske sårbarheten berører Cisco Unity Connection. Cisco har publisert nødvendige oppdateringer til de fleste av de berørte produktene.

Juniper: Produkter fra Juniper Networks. Totalt 27 nye bulletiner ble publisert 10.01.2024, hvor 4 er kategorisert som kritisk og 9 som alvorlig. De kritiske sårbarhetene berører Juniper Networks Session Smart Router (CVE-2023-38408 og CVE-2022-37434 med CVSS-score 9.8), Juniper Networks CTPView (CVE-2021-26691, CVE-2021-39275 og CVE-2021-44790 med CVSS-score 9.8), Juniper Networks Junos OS på SRX Series og EX Series (CVE-2024-21591 med CVSS-score 9.8) og Juniper Networks Security Director Insights (CVE-2019-17571, CVE-2020-9493, CVE-2022-23305 og CVE-2021-44228 med CVSS-score til og med 10.0). Juniper Networks har publisert oppdateringer til støttede produkter.

Referanser:

https://supportportal.juniper.net/s/global-search/%40uri?language=en_US#sort=%40sfcec_community_publish_date_formula__c%20descending&numberOfResults=50&f:ctype=[Security%20Advisories] https://sec.cloudapps.cisco.com/security/center/publicationListing.x https://www.securityweek.com/cisco-patches-critical-vulnerability-in-unity-connection-product/

Gitlab gir ut kritisk sikkerhetsoppdatering

Gitlab har gitt ut versjon 16.7.2 (og 16.6.4/16.5.6) for å fikse 5 svakheter, hvorav 2 regnes som kritiske. Den første kritiske svakheten lar en angriper resette passordet til en tilfeldig bruker uten at brukeren trenger å gjøre noe via en passord-reset epost til en tilfeldig adresse. Den andre svakheten lar en angriper misbruke Slack/Mattermost-integrasjon til å utføre kommandoer som en annen bruker.

Gitlab anbefaler på det sterkeste at alle oppdaterer sine installasjoner så fort som mulig.

Referanser:

https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.01.11

Volexity melder om aktivt utnyttelse av svakheter i Ivanti Connect Secure VPN (Pulse Secure). Google patcher 58 svakheter i Android i januar.

---

Volexity melder om aktivt utnyttelse av svakheter i Ivanti Connect Secure VPN (Pulse Secure)

Sikkerhetsselskapet Volexity har oppdaget at to ferske svakheter i Ivanti Connect Secure VPN (tidligere Pulse Secure) utnyttes aktivt i angrep. Svakhetene utnyttes etter hverandre for å kunne kjøre vilkårlig kode på en sårbar server uten måtte autentisere seg. Trusselaktøren endrer deretter på konfigurasjonen på serveren for å slå på tastatur-logging, lagre passord og åpne for fjernadministrasjon. Tilgangen benyttes også for å oppnå videre tilgang til interne nettverk.

Brukere av dette produktet bør øyeblikkelig sjekke for kompromittering og lese seg opp på Ivantis anbefalinger.

Sårbarheter:

CVE-2024-21887CVE-2023-46805

Referanser:

https://www.volexity.com/blog/2024/01/10/active-exploitation-of-two-zero-day-vulnerabilities-in-ivanti-connect-secure-vpn/ https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US

Google patcher 58 svakheter i Android i januar

10 av svakhetene har alvorlighetsgrad "høy" og ligger i Android Framework og System-komponentene. Den mest alvorlige svakheten kan føre til utvidede rettigheter på systemet for en app som ikke har spesielle rettigheter på systemet. Oppdateringen fikser også en mengde svakheter i driverne til hardware fra Arm, Imagination Technologies, MediaTek, Unisoc og Qualcomm.

Referanser:

https://www.securityweek.com/androids-january-2024-security-update-patches-58-vulnerabilities/

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.01.10

Vi har publisert vår situasjonsrapport fra Telenor SOC for desember 2023. Fortinet fikser svakheter i FortiOS og FortiProxy. Microsoft med relativt liten sikkerhetsoppdatering i januar 2024.

---

Vi har publisert vår situasjonsrapport fra Telenor SOC for desember 2023

Denne måneden skriver vi blant annet om cyber-angrep mot den ukrainske teleoperatøren Kyivstar før jul. Mange fryktet at det skulle bli et oppsving i angrep med løsepengevirus i løpet av jule- og nyttårshelgen, noe som heldigvis viste seg å ikke skje.

Referanser:

https://telenorsoc.blogspot.com/2024/01/situasjonsrapport-fra-telenor-soc.html

Fortinet fikser svakheter i FortiOS og FortiProxy

JustisCERT varsler om sårbarheter i produkter fra Fortinet. Totalt 5 bulletiner ble publisert 09.01.2024, hvor 1 er kategorisert som alvorlig (CVE-2023-44250 med CVSS-score 8.3) og 4 som viktig. Den alvorlige sårbarheten berører FortiOS og FortiProxy.

 

Fortinet har publisert oppdateringer til støttede produkter. [1]

Sårbarheter:

CVE-2023-44250

Referanser:

https://www.fortiguard.com/psirt

Microsoft med relativt liten sikkerhetsoppdatering i januar 2024

Microsofts første sikkerhetsoppdatering for 2024 var relativt liten med bare 48 patcher for Microsoft-produkter og fire for Chromium (Edge). Det er så langt ikke meldt om at noen av svakhetene utnyttes aktivt i angrep.

Det er to kritiske svakheter i henholdsvis Kerberos og Hyper-V. Kerberos-svakheten gjør det mulig for en angriper med tilgang til trafikkstrømmen mellom klient og server (MitM) å omgå autentisering. Den andre svakheten er det ikke mange detaljer rundt, men den kan gi mulighet for å kjøre vilkårlig kode dersom angriperen klarer å utnytte en kappløpssituasjon (race condition).

Sårbarheter:

CVE-2024-20674CVE-2024-20700

Referanser:

https://isc.sans.edu/diary/Microsoft%20January%202024%20Patch%20Tuesday/30548 https://www.helpnetsecurity.com/2024/01/09/cve-2024-20674-cve-2024-20700/ https://msrc.microsoft.com/update-guide

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.01.09

Ransomware-ofre får besøk av bevæpnet politi i USA. Spionasje-kampanje retter seg inn mot nederlandske mål.

---

Ransomware-ofre får besøk av bevæpnet politi i USA

To sykehus i USA har i det siste blitt rammet av ransomware-angrep og angriperne har stjålet store mengder sensitive pasientdata. Noen av pasientene mottar nå trusler direkte fra ransomware-banden der de truer med å offentliggjøre personlige detaljer eller å utføre "swatting"-angrep mot dem. Pasientene blir oppfordret av angriperne til å prøve å overbevise sykehuset om å betale løsepengene.

"Swatting" er relativt utbredt i USA og går ut på å ringe politiets nødtelefon og si at det foregår en gissel-situasjon eller lignende, og videre oppgi adressen til offeret til politiet. Politiet vil da ofte møte opp tungt bevæpnet og farlige situasjoner kan oppstå.

Referanser:

https://www.darkreading.com/cyberattacks-data-breaches/swatting-latest-extortion-tactic-ransomware-attacks

Spionasje-kampanje retter seg inn mot nederlandske mål

Recorded Future melder at tyrkiske stats-sponsede hackere i det siste har rettet seg inn mot telekom, media og tech-selskaper i Nederland. Det er trusselaktøren "SeaTurtle" som står bak aksjonen. Målet med aksjonen skal være å innhente politiske opplysninger om befolkningsgrupper og politiske dissidenter. Initiell tilgang til målene oppnås typisk gjennom offentlig tilgjengelige svakheter.

Referanser:

https://therecord.media/turkish-sea-turtle-hackers-espionage

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.01.08

Ivanti advarer om kritisk sårbarhet i Ivanti EPM.

---

Ivanti advarer om kritisk sårbarhet i Ivanti EPM

Ivanti har identifisert en kritisk SQL-injeksjon sårbarhet (CVE-2023-39336) i deres Endpoint Manager-produkt. Sårbarheten har en alvorlighetsgrad på 9.6 av 10 og tillater uautentiserte angripere å kjøre skadelig kode i berørte systemer. Dette kan igjen gi angripere kontroll over endepunkter som kjører EPM-agenten.

Kunder av Ivanti Endpoint Protection Manager bør installere oppdatering eller iverksette tiltak så snart som mulig. Ivanti ble klar over sårbarheten i oktober og har utgitt begrenset informasjon til registrerte brukere. Foreløpig er det ingen kjent aktiv utnyttelse av sårbarheten.

Sårbarheter:

CVE-2023-39336

Referanser:

https://arstechnica.com/security/2024/01/ivanti-warns-of-critical-vulnerability-in-its-popular-line-of-endpoint-protection-software/ https://www.ivanti.com/blog/security-update-for-ivanti-epm

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.01.05

Google patcher 6 svakheter i sin første oppdatering for 2024.

---

Google patcher 6 svakheter i sin første oppdatering for 2024

Google har kunngjort den første sikkerhetsoppdateringen for Chrome i 2024, som retter seks sårbarheter, inkludert fire rapportert av eksterne forskere. Disse inkluderer høyt alvorlige minnesikkerhetsfeil, hvorav tre har blitt belønnet med bug bounty. Oppdateringen adresserer spesifikke sårbarheter i ANGLE-grafikkmotoren og Chrome's WebAudio-komponent, mens Google fortsetter arbeidet med å forbedre minnesikkerheten i nettleseren.

Sårbarheter:

CVE-2024-0222 CVE-2024-0223CVE-2024-0224 CVE-2024-0225

Referanser:

https://www.securityweek.com/google-patches-six-vulnerabilities-with-first-chrome-update-of-2024/

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.01.04

Angriper kompromitterte Orange Spain sin RIPE-konto på grunn av fraværende tofaktorautentisering.

---

Angriper kompromitterte Orange Spain sin RIPE-konto på grunn av fraværende tofaktorautentisering

Orange Spain opplevde internettavbrudd etter at en angriper brøt seg inn i selskapets RIPE-konto. Angriperen feilkonfigurerte BGP-ruting og RPKI-konfigurasjonen, noe som resulterte i ytelsesproblemer i Orange Spain sitt nettverk og påvirket surfingen for noen kunder. Ifølge Cloudflare førte angrepet til omdirigering av trafikk til ondsinnede nettsteder. Angrepet ble utført av en trusselaktør kjent som 'Snow', som endret AS-nummeret knyttet til Orange Spain sine IP-adresser. Ytelsesproblemer i nettverket er synlig i Cloudflares trafikkgraf for AS12479. Orange Spain forsikrer imidlertid om at kundedata ikke ble kompromittert, og at tjenestene er under gjenoppretting. Årsaken til bruddet ble knyttet til fraværet av tofaktorautentisering på RIPE-kontoen.

Referanser:

https://www.bleepingcomputer.com/news/security/hacker-hijacks-orange-spain-ripe-account-to-cause-bgp-havoc/ https://radar.cloudflare.com/as12479?dateStart=2024-01-03&dateEnd=2024-01-03

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.01.03

Det har vært et rolig døgn.

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.01.02

Cactus Ransomware Angriper Svenske Coop.

---

Cactus Ransomware Angriper Svenske Coop

Cactus ransomware-gruppen har angivelig hacket Coop, en ledende detaljhandel- og dagligvarekjede i Sverige. Coop står overfor en potensiell lekkasje av personlige data, med over 21.000 kataloger som har blitt kompromittert. Gruppen skal også ha publisert et ID kort som bevis på inntrengelsen.

Cactus-gruppen bruker sofistikerte verktøy for å finne mål, for å deretter søke etter sårbarheter. Når gruppen finner en sårbarhet, infiserer de målet med skadevare. Etter skadevaren er på plass, og gruppen har oppnådd elevert tilgang på systemet, bruker de legitim programvare for å oppnå fjernaksess og deaktiverer kjente antivirus på infiserte systemer.

Referanser:

https://securityaffairs.com/156709/cyber-crime/cactus-ransomware-coop-sweden.html