Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Wednesday 27 March 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.03.27

To kinesiske APT-grupper øker cyberspionasje mot ASEAN-land. Tyskland advarer om 17 000 sårbare Microsoft Exchange-servere eksponert på nettet. Hackere utnytter Rays rammeverksfeil for å kapre servere og ressurser.

To kinesiske APT-grupper øker cyberspionasje mot ASEAN-land

To kinesisk relaterte APT-grupper har målrettet enheter tilknyttet ASEAN og medlemsland over de siste tre månedene, inkludert Mustang Panda, som nylig har angrepet Myanmar med DOPLUGS backdoor.

Mustang Panda, også kjent som Camaro Dragon og Earth Preta, benytter phishing-e-poster for å levere malware-pakker, en koblet til ASEAN-Australia Special Summit.

Sist avslører Trend Micro en ny trusselaktør kalt Earth Krahang, som målretter seg mot 116 enheter i 35 land ved hjelp av skreddersydd malware og sårbarheter i Openfire og Oracle-servere.

Tyskland advarer om 17 000 sårbare Microsoft Exchange-servere eksponert på nettet

Det tyske nasjonale cybersikkerhetsmyndigheten advarer om at det er oppdaget minst 17 000 Microsoft Exchange-servere i Tyskland som er eksponert på nettet og sårbare for én eller flere kritiske sikkerhetsfeil.

Rundt 45 000 Microsoft Exchange-servere i Tyskland har Outlook Web Access (OWA) aktivert og er tilgjengelige fra internett, ifølge det tyske føderale kontoret for informasjonssikkerhet (BSI).

Rundt 12% av disse serverne bruker fortsatt utdaterte versjoner av Exchange (2010 eller 2013), som ikke har mottatt sikkerhetsoppdateringer siden henholdsvis oktober 2020 og april 2023.

Sårbarheter:

Hackere utnytter Rays rammeverksfeil for å kapre servere og ressurser

En ny hackingkampanje kalt "ShadowRay" retter seg mot en ikke-patchet sårbarhet i Ray, et populært åpent kildekode AI-rammeverk, for å kapre databehandlingskraft og lekke sensitiv data fra tusenvis av selskaper.

Angrepene har pågått siden minst 5. september 2023, rettet mot utdanning, kryptovaluta, bioteknologi og andre sektorer ifølge en rapport fra applikasjonssikkerhetsfirmaet Oligo.

Mitigering: håndheve brannmurregler, legge til autorisasjon på Ray Dashboard-porten og kontinuerlig overvåke for anomalier.

Sårbarheter:

Posted by tsoc at 12:06 0 comments

Tuesday 26 March 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.03.26

Nytt phishing-verktøy omgår MFA for å stjele Microsoft 365 og Gmail-kontoer. Flere tusen brukere rammet av falsk Python-infrastruktur.

Nytt phishing-verktøy omgår MFA for å stjele Microsoft 365 og Gmail-kontoer

Et forholdsvis nytt phishing-verktøy kalt "Tycoon 2FA" har i den siste tiden blitt mer populært. Verktøyet leveres som en tjeneste av utgiverne, og det krever dermed lite teknisk kunnskap å bruke det. Verktøyet benytter seg av en falsk web-server som står mellom offeret og tjenesten det egentlig blir forsøkt logget inn på, såkalt MitM-angrep (Machine in the Middle). Dette gjør at sesjonsnøkler (cookies) og engangskoder brukt i forbindelse med MFA, kan kopieres ut av angriperne.

Det beste tiltaket for å forsvare seg mot denne typen angrep er å Implementere phishing-resistent autentisering, som Yubikeys, Passnøkler osv. Det kan også hjelpe å stramme inn på reglene for conditional access for innlogging.

Flere tusen brukere rammet av falsk Python-infrastruktur

Sikkerhetsselskapet Checkmarx har oppdaget et forsyningskjede-angrep mot Python-relatert programvare og Discord-boter. Trusselaktøren tok over kontoer ved hjelp av stjålne autentiserings-nøkler (cookies), fikk lagt til skadelig kode til diverse prosjekter, satte opp en falsk Python pakkelager og delte skadelige pakker til PyPi-tjenesten. Kompromitterte brukere ble frastjålet informasjon som brukernavn/passord, Telegram-sesjoner, Discord-data, lommebøker brukt for kryptovaluta osv.

Posted by tsoc at 09:59 0 comments

Monday 25 March 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.03.25

Hackere fikk utbetalt $1.1 millioner på Pwn2Own. Mozilla fikser to svakheter i Firefox etter Pwn2Own-konferansen. Apple har gitt ut sikkerhetsoppdateringer. Teknisk analyse av Curious Serpens’ FalseFont-bakdør.

Hackere fikk utbetalt $1.1 millioner på Pwn2Own

Pwn2Own er en sikkerhetskonferanse der det utbetales pengepremier for å omgå sikkerhetssystemer i diverse hardware, OS og applikasjoner. I år ble det utbetalt over $1.1 millioner for å hacke seg inn i en Tesla, Windows, Ubuntu, Oracle Virtualbox, VMware Workstation, Chrome, Firefox osv. Detaljene om svakhetene blir delt med produsenten etter at de er demonstrert. Totalt ble det demonstrert 29 ferske svakheter på konferansen.

Mozilla fikser to svakheter i Firefox etter Pwn2Own-konferansen

I årets Pwn2Own, som nettopp ble arrangert i Vancouver, ble det blant annet demonstrert angrep mot to ferske svakheter i Firefox. Sikkerhetsforskeren Manfred Paul tjente $100.000 etter å først ha utnyttet en "out-of-bounds"-svakhet for å kjøre tilfeldig kode, og deretter en annen svakhet for å komme seg ut av applikasjonens sandkasse. Svakhetene er fikset i Firefox 124.0.1 og Firefox ESR 115.9.1, som ble gitt ut bare én dag etter konkurransen!

Apple har gitt ut sikkerhetsoppdateringer

Apple ha den 21. mars ut sikkerhetsoppdateringer for iOS og iPadOS, men det er så langt ukjent hva som blir patchet. Apple gir noen ganger ut oppdateringer uten beskrivelser først, og slipper først mer informasjon når de fleste har installert patchene. Siste versjon av iOS og iPadOS er nå versjon 17.4.1. Også enheter på eldre versjon har fått oppdatering, versjon 16.7.7.

Teknisk analyse av Curious Serpens’ FalseFont-bakdør

Unit 42 hos Palo Alto Networks har gitt ut en teknisk analyse av en ny bakdør kalt FalseFont, som trusselaktøren Curious Serpens står bak. Palo Alto mener aktøren har knytninger til Iran, og Microsoft benevner den som Peach Sandstorm. Aktøren har tidligere vært aktiv mot luftfarts- og energi-sektoren. Aktøren bruker en falsk jobbsøker-prosess for å få installert bakdøren.

Rapporten har en full gjennomgang av bakdøren, inkludert hvordan å detektere den og hindre installasjon.

Posted by tsoc at 10:26 0 comments

Friday 22 March 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.03.22

Millioner av hotelldører kan enkelt låses opp. Svakhet i Apple-CPUer kan brukes til å hente ut krypteringsnøkler.

Millioner av hotelldører kan enkelt låses opp

Sikkerhetsforskere har oppdaget en svakhet de kaller "Unsaflok" i låser brukt i over 3 millioner hotelldører i 131 land. Svakheten ligger i låsesysystemet Saflok som igjen brukes av mange leverandører. Svakheten lar seg utnytte ved å lage et spesielt utformet nøkkelkort, som vil fungere som en universal-nøkkel.

Berørte hoteller begynte å oppgradere låser i 2023, men fortsatt er det mange som ikke oppgradert. Forskerne bak oppdagelsen har gitt ut en app til iOS og Android som i visse tilfeller kan påvise et nøkkelkort som brukes mot en sårbar lås.

Svakhet i Apple-CPUer kan brukes til å hente ut krypteringsnøkler

En nylig oppdaget svakhet i Apples M-serie med CPUer kalt "GoFetch", lar angripere hente ut krypteringsnøkler fra Macer mens de utfører kryptografiske operasjoner. Svakheten ligger i hardware og patcher for å omgå den kan føre til tapt ytelse.

Svakheten ligger i en del av CPUen som henter inn minne til hurtiglageret på forhånd (DMP), etter hvert som den prøver å forutse hva slags minne som skal aksesseres i framtiden. Svakheten kan utnyttes fra en prosess på samme CPU ,som ikke trenger spesielle rettigheter på systemet.

Posted by tsoc at 12:49 0 comments

Thursday 21 March 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.03.21

Chrome og Mozilla fikser flere sårbarheter i ny oppdatering. Ivanti fikser kritisk sikkerhetssårbarhet etter NATO-rapport. USA organiserer gruppe for å beskytte vannforsyningen. Avslørte svenske nettverk: Slik svindler de for milliarder av kroner. Flere hundre tusen systemer sårbare for "Loop DDoS".

Chrome og Mozilla fikser flere sårbarheter i ny oppdatering

Google og Mozilla kunngjorde tirsdag sikkerhetsoppdateringer for nettleserne Chrome og Firefox, som retter opp i flere sårbarheter, inkludert én med kritisk alvorlighetsgrad og flere med høy. Chrome versjon 123 utbedrer 12 feil, hvor den alvorligste er en sårbarhet i V8 JavaScript- og WebAssembly-motoren.

Firefox 124 adresserer også 12 sikkerhetsfeil, inkludert kritiske minnesikkerhetsfeil som kan utnyttes for vilkårlig kodeeksekvering. I tillegg kunngjorde Mozilla oppdateringer for Thunderbird, versjon 115.9, som adresserer 10 sårbarheter, hvorav ni er felles med de adressert i Firefox 124.

Ivanti fikser kritisk sikkerhetssårbarhet etter NATO-rapport

Ivanti har lansert en sikkerhetsoppdatering for å rette en sårbarhet i Standalone Sentry, rapportert av NATO Cyber Security Centre, som påvirker alle støttede versjoner og tillater uautoriserte aktører å utføre vilkårlige kommandoer. Feilen, identifisert som CVE-2023-41724, gjør systemer sårbare for angrep. Ivanti har også adressert en annen kritisk sårbarhet i Neurons for ITSM, som påvirker lokale distribusjoner. Selskapet oppfordrer kunder til umiddelbart å oppdatere systemene. Det er ingen rapporter om aktiv utnyttelser av sårbarhetene.

USA organiserer gruppe for å beskytte vannforsyningen

I den siste måneden har det stadig kommet nyheter om avanserte angrep mot kritisk infrastruktur i USA, spesielt fra trusselaktøren Volt Typhoon. Amerikanske myndigheter har nå organisert en task-force for å beskytte vannforsyningen spesielt, siden denne både er ekstra utsatt og dårlig sikret.

Amerikanske CISA har også nylig gitt ut nye retningslinjer for ytterligere sikring av all kritisk infrastruktur.

Avslørte svenske nettverk: Slik svindler de for milliarder av kroner

Bedragerier har blitt så lukrativt for svenske kriminelle nettverk, at inntektene overgår det de tjener på narkotikaomsetning.

I en fersk dokumentar fra SVT får vi se hvordan disse nettverkene svindler uskyldige for millioner.

Ofrene i dokumentaren er oftest pensjonister. Flere av dem er norske.

Flere hundre tusen systemer sårbare for "Loop DDoS"

Sikkerhetsforskere har oppdaget en ny DDoS-teknikk de har kalt "Loop DDoS". Denne fungerer ved å få to servere til å sende pakker fram og tilbake til hverandre i det uendelige over UDP-protkollen. Servere som kjører tjenester som DNS, NTP, TFTP, daytime osv. kan være sårbare for angrepet, som settes i gang ved å spoofe den første pakken som starter opp angrepet.

Posted by tsoc at 13:06 0 comments

Wednesday 20 March 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.03.20

Hackere arrestert etter å ha solgt kontoer fra sosiale medier.

Hackere arrestert etter å ha solgt kontoer fra sosiale medier

Det ukrainske cyber-politiet har arrestert tre personer mistenkt for å ha stjålet over 100 millioner kontoer epost-tjenester og sosiale medier som Instagram.

Kontoene ble hacket ved å prøve store mengder forskjellige passord, til et gyldig ble funnet. Tilgang til kontoene ble videresolgt til svindel-gjenger via markeder på det mørke nettet og brukt for å fralure ofrene penger.

Posted by tsoc at 11:56 0 comments

Tuesday 19 March 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.03.19

Fujitsu utsatt for data-angrep. Amerikanske CISA ble kompromittert gjennom Ivanti-svakhet. Sårbarheter i TRENDnet Rutere.

Fujitsu utsatt for data-angrep

Den japanske teknologigiganten Fujitsu bekrefter at noen av deres systemer var infisert av malware. Aktørene som står bak har også klart å eksfiltrere kundedata fra noen av systemene. Selskapet har rundt 124.000 ansatte og tilbyr en rekke produkter og tjenester i over 100 land. De infiserte systemene har blitt isolert og selskapet har iverksatt økt overvåking av sine systemer.

Amerikanske CISA ble kompromittert gjennom Ivanti-svakhet

Innbruddet involverte utnyttelse av sårbarheter i Ivanti-produkter som CISA i forrige måned advarte mot; Ivanti Connect Secure og Ivanti Policy Secure gateways. Som følge av angrepet ble to CISA-systemer kompromittert og kort tid etter tatt ut av drift.

Noen kilder hevder at systemene det gjelder er Infrastructure Protection (IP) Gateway, som inneholder informasjon om avhengigheter i amerikansk infrastruktur, samt Chemical Security Assessment Tool (CSAT), som inneholder planer for kjemisk sikkerhet i privat sektor.

Det er så langt ukjent hvem som stod bak angrepene.

Sårbarheter i TRENDnet Rutere

Nye sårbarheter (CVE-2024-28353 og CVE-2024-28354) har blitt oppdaget i TRENDnet AC2600 MU-MIMO WiFi Rutere (modell TEW-827DRU). Disse sårbarhetene gjør det mulig for angripere å ta over ruteren eksternt ved å injisere kommandoer. Den første sårbarheten gjør det mulig for angripere å få root shell-rettigheter ved å injisere kommandoer gjennom ruterens apply.cgi-grensesnitt. Denne feilen påvirker rutere som kjører fastvareversjon 2.10B01. Den andre sårbarheten har en lignende angrepsvektor og påvirker samme rutermodell og fastvareversjon. TRENDnet planlegger å lansere en fastvareoppdatering 27. mars for å tette sikkerhetshullene.

Anbefaling:

I mellomtiden anbefales det å deaktivere fjernadministrasjon på ruterne.

Posted by tsoc at 11:50 0 comments

Monday 18 March 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.03.18

APT-28 med omfattende phishing-kampanje.

APT-28 med omfattende phishing-kampanje

IBM X-Force rapporterer at den russisk-tilknyttede aktøren APT-28 er aktive med flere phishing-kampanjer. Kampanjen bruker dokumenter som er spesielt tilpasset målene og relaterer seg til finans, helse, økonomi, kritisk infrastruktur osv. Målene befinner seg både i Europa, Amerika og Asia. Målet med operasjonen er å installere ulike bakdører for eksfiltrasjon av data.

Posted by tsoc at 12:21 0 comments

Friday 15 March 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.03.15

Cisco patcher flere svakheter i IOS RX i samleoppdatering. Google Chrome får snart sanntids phishing-beskyttelse.

Cisco patcher flere svakheter i IOS RX i samleoppdatering

Cisco ga på onsdag ut patcher for flere svakheter i IOS XR, inkludert tre sårbarheter rangert med "høy" viktighet, som blant annet kan føre til tjenestenekt og utvidelse av rettigheter på systemet gjennom spesielt utformede kommandoer via en SSH-sesjon. Svakheten er fikset i versjon 7.10.2 av IOS.

Cisco patcher også flere andre svakheter i en mengde utstyr og kunder bør ta en sjekk opp mot de 8 sikkerhets-kunngjøringene.

Google Chrome får snart sanntids phishing-beskyttelse

Google har lenge hatt innebygget beskyttelse mot phishing, svindel og skadevare gjennom "Safe Browsing"-systemet. Systemet fungerer ved at nettleseren en-to ganger i timen laster ned en ny liste over "blokkerte" sider fra Google.

Senere i mars vil Google lansere en forbedret versjon, der spørringene gjøres i sanntid, i motsetningen til dagens periodiske oppdateringer. Dette tvinger seg frem, siden phishing-sidene får kortere og kortere levetid for å unngå blokkering. Systemet skal være implementert på en slik måte at Google ikke har mulighet til å knytte spørringene mot enkeltpersoner, ved hjelp av hashing og miksing av spørringer.

Posted by tsoc at 12:53 0 comments

Thursday 14 March 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.03.14

Nytt angrep utnytter Windows SmartScreen-svakheter til å spre DarkGate-malware.

Nytt angrep utnytter Windows SmartScreen-svakheter til å spre DarkGate-malware

En ny bølge av angrep benytter seg av en nylig utbedret sårbarhet i Windows Defender SmartScreen for å omgå sikkerhetssjekker og installere falsk programvare. Sårbarheten, identifisert som CVE-2024-21412, lar angripere lage spesialkonstruerte filer som unngår SmartScreens advarsler. Ved å utnytte dette smutthullet har "Water Hydra"-hackergruppen tidligere spredt sin DarkMe-malware, og nå har operatører av DarkGate-malware tatt i bruk samme metode for å øke sjansene for infeksjon. Angrepet starter med en ondsinnet e-post som leder ofre til et kompromittert nettsted, deretter til automatisk kjøring av en skadelig MSI-fil forkledd som legitim programvare. Microsoft har utgitt en fiks i sin februar 2024 oppdatering, men Trend Micro advarer om at DarkGate nå er mer sofistikert enn før, med nye avanserte teknikker og oppdatert funksjonalitet.

Sårbarheter:

Posted by tsoc at 12:25 0 comments

Wednesday 13 March 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.03.13

Fortinet kommer med hasteoppdateringer for kritiske svakheter. Microsoft Patchetirsdag Mars 2024.

Fortinet kommer med hasteoppdateringer for kritiske svakheter

Fortinet kommer med 5 sikkerhetsoppdateringer som addresserer 6 store svakheter i sine FortiOS, FortiProxy og FortiClientEMS produkter.

FortiOS og FortiProxy (CVE-2023-42789, CVE-2023-42790) er de mest kritiske svakhetene (målt til CVSS 9.8 og 8.1). Svakhetene tillater angripere å kunne få full tilgang og kontroll over systemet i produktet. Svakhetene strekker seg fra NTLM og HTTP-autentisering til mer sofistikerte metoder som SAML og klientsertifikat-autentisering.

Microsoft Patchetirsdag Mars 2024

Microsoft sin oppdatering for mars 2024 retter opp i 61 svakheter. 2 av disse er vurdert som kritisk og 57 alvorlige. Flere av sårbarhetene kan utnyttes til fjernkjøring av kode, gi utvidede rettigheter og/eller til å ta kontroll over brukere og systemer.

De kritiske sårbarhetene berører Windows Hyper-V (CVE-2024-21407 med CVSS-score 8.1 og CVE-2024-21408 med CVSS-score 5.5). I tillegg har Microsoft rettet 15 CVE siden forrige patche-tirsdag som berører Microsoft Edge Chromium.

Nye oppdateringer til Exchange (on prem/hybrid) har også blitt publisert. Exchange-sårbarheten som er rettet er kategorisert som alvorlig (CVE-2024-26198 med CVSS-score 8.8).

Posted by tsoc at 12:13 0 comments

Tuesday 12 March 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.03.12

Kritiske svakheter i QNap NAS-enheter.

Kritiske svakheter i QNap NAS-enheter

QNAP systems meldte i helgen om flere svakheter i QNAP-enheter, inkludert en svakhet som lar angripere omgå autentisering på boksene. Denne svakheten spores som CVE-2024-21899 og har fått en alvorlighetsgrad på 9.8 av 10. Det er QTS, QuTS hero og QuTScloud som er rammet. QNAP har også utbedre to mindre alvorlige svakheter. Det er utgitt patcher for svakhetene som kan lastes ned fra QNAP.

Posted by tsoc at 12:40 0 comments

Monday 11 March 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.03.11

Microsoft: Hackere har fått tilgang til kildekode og interne systemer. Hackere utnytter bug i WordPress-plugin for å infisere 3300 nettsteder med skadelig kode.

Microsoft: Hackere har fått tilgang til kildekode og interne systemer

Microsoft meldte i januar at hackere med tilknytning til Russland (Midnight Blizzard/Nobelium/APT-29) hadde fått tilgang til deres interne systemer og kundedata ved hjelp av en service-konto uten MFA aktivert. I en ny oppdatering på fredag, opplyser Microsoft at angriperne fikk tak i tilgangsnøkler, passord og andre hemmeligheter i forbindelse med innbruddet. Noen av disse ble delt i eposter mellom Microsoft og kunder, og har siden blitt eksfiltrert i angrepene.

Tilgangsnøklene har videre blitt brukt for å få tilgang til intern kildekode, interne systemer og også kundedata. Angriperne fortsetter sine angrep, med blant annet forsøk på å gjette riktige passord til kontoer. Microsoft opplyser at ingen systemer som brukes av deres kunder så langt har blitt kompromittert. Selskapet har også tatt kontakt med kunder som har blitt kompromittert i angrepene.

Hackere utnytter bug i WordPress-plugin til å infisere 3300 nettsteder med skadelig kode

Hackere utnytter sårbarheter i eldre versjoner av Popup Builder-plugin for WordPress, med CVE-2023-6000, og infiserer over 3 300 nettsteder med ondsinnet kode. Sucuri har oppdaget en økning i angrepene de siste tre ukene, med injeksjoner som omdirigerer besøkende til phishing- og malware-sider. For å forsvare seg, bør brukere oppgradere til Popup Builder 4.2.7 og fjerne ondsinnet kode fra JavaScript og CSS. Artikkelen nevner også to domener knyttet til angrepene som kan blokkeres.

Sårbarheter:

Posted by tsoc at 12:47 0 comments

Friday 8 March 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.03.08

Cisco leverer patcher for flere av sine produkter. Situasjonsrapport fra Telenor SOC - februar 2024. Ransomware-bande har lekket 65.000 dokumenter fra regjeringen i Sveits. Apple patcher macOS, ipadOS, visionOS, watchOS, Safari osv.

Cisco leverer patcher for flere av sine produkter

Cisco har offentliggjort patcher for flere produkter, inkludert en med høy alvorlighet i Secure Client for Linux, MacOS og Windows. Svakheten kan utnyttes til å få tilgang til sensitiv informasjon fra en sårbar klient og dermed også selve VPN-sesjonen. I Linux-klienten er det enda en alvorlig sårbarhet som kan tillate en lokal bruker å oppnå økte rettigheter på systemet.

Cisco patcher også svakheter rangert med medium viktighet i AppDynamics Controller og Duo Authentication for Windows Logon and RDP. Cisco kjenner så langt ikke til at noen av svakhetene blir brukt aktivt i angrep.

Situasjonsrapport fra Telenor SOC - februar 2024

Vi har publisert vår situasjonsrapport fra Telenor SOC for februar 2024. Denne måneden skriver vi blant annet om lekkasje av passord gjennom SMB-protkollen og avanserte angripere som skjuler seg ved hjelp kompromitterte hjemme-routere.

Ransomware-bande har lekket 65.000 dokumenter fra regjeringen i Sveits

NCSC (National Cyber Security Centre) i Sveits har sluppet en rapport etter at leverandøren Xplain ble utsatt for et ransomware-angrep fra gruppen "Play" i mai 2023. I juni 2023 ble det sluppet store mengder informasjon som var stjålet fra leverandøren, etter at løsepenger ikke ble betalt. Av rundt 1.3 millioner lekkede filer var omtrent 65.000 dokumenter tilhørende en rekke myndighetsorganer. Rundt 5000 av dokumentene inneholdt sensitiv informasjon som personopplysninger, tekniske opplysninger, gradert informasjon osv.

Apple patcher macOS, ipadOS, visionOS, watchOS, Safari osv

På onsdag meldte vi om at Apple hadde gitt ut patcher for to aktivt utnyttede svakheter i iOS. Tilsvarende oppdatering har nå blitt gitt ut for Apples andre produkter. Vi anbefaler å patche så fort som mulig.

Posted by tsoc at 12:05 0 comments

Thursday 7 March 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.03.07

Hackede Wordpress-nettsteder kan bruke nettleseren til å hacke flere sider.

Hackede Wordpress-nettsteder kan bruke nettleseren til å hacke flere sider

Hackere kan utnytte diverse svakheter i WordPress-nettsteder for å injisere kode (scripts) på sidene og utvinne kryptovaluta. Nettlesere som besøker sidene og laster ned den injiserte koden, blir satt til å prøve å hacke seg inn i enda flere nettsteder ved å prøve forskjellige kombinasjoner av brukernavn og passord. Så lenge nettleseren har den infiserte siden oppe kan angrepene fortsette. Listene over sider som skal angripes lastes ned fra en kontroll-server som bakmennene kontrollerer. Denne serveren får også beskjed ved vellykkede innlogginger.

Posted by tsoc at 14:31 0 comments

Wednesday 6 March 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.03.06

VMware patcher kritiske sårbarheter som kan tillate ondsinnede aktører til å hoppe ut av en virtuell maskin. HPE Aruba slipper oppdateringer for 7 sårbarheter i ArubaOS . Apple varsler om nulldagssårbarheter for iOS som kan ha blitt utnyttet av trusselaktører.

VMware patcher kritiske sårbarheter som kan tillate ondsinnede aktører til å hoppe ut av en virtuell maskin

VMware har rullet ut kritiske sikkerhetsoppdateringer for ESXi, Workstation, Fusion og Cloud Foundation-produkter, med fokus på fire sårbarheter, hvorav to har alvorlighetsgrad 9.3 av 10. I disse sårbarhetene kan ondsinnede aktører med lokale admin-privilegier på en virtuell maskin klare å kjøre kode fra denne maskinen sin VMX process (ESXi) eller på vegne av host maskinen (Workstation + Fusion). VMware advarer om at disse sårbarhetene kan omgå sandkassebegrensninger, og de vil også slippe oppdateringer for produkter som ikke lenger er støttet (EOL).

HPE Aruba slipper oppdateringer for 7 sårbarheter i ArubaOS

Totalt 7 CVE ble publisert av HPE Aruba 05.03.2024, hvor 4 er kategorisert som alvorlig (CVE-2024-1356, CVE-2024-25611, CVE-2024-25612 og CVE-2024-25613 med CVSS-score 7.2) og 1 som viktig (CVE-2024-25615 med CVSS-score 5.3). HPE Aruba har publisert oppdateringer til støttede produkter.

Apple varsler om nulldagssårbarheter for iOS som kan ha blitt utnyttet av trusselaktører

I dag er det viktig å installere sikkerhetsoppdateringer på både gamle og nye iPhone- og iPad enheter. Apple har rullet ut programvareoppdateringer for å fikse flere sikkerhetshull i sin iOS-plattform, og advarer om at flere av disse sårbarhetene kan allerede ha blitt utnyttet av trusselaktører. Oppdateringene dekker flere sårbarheter, inkludert to sårbarheter i kjernen og RTKit, som kan tillate omgåelse av minnebeskyttelse. Apple har også fikset en personvernsfeil i tilgjengelighetsfunksjonen og en feil i Safari sin Private Browsing funksjon.

Posted by tsoc at 13:11 0 comments

Tuesday 5 March 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.03.05

Sikkerhetsproblemer i Linksys E2000-rutere. Helseselskap betalte antageligvis løsepenger etter angrep.

Sikkerhetsproblemer i Linksys E2000-rutere

Det er oppdaget sikkerhetshull i Linksys E2000-rutere, som gjør det mulig for angripere å omgå autentiseringsmekanismer for ruterens administrasjonsgrensesnitt. Utnyttelse av sårbarheten kan oppstå ved at en angriper venter på at en bruker med tilgang skal logge seg på for å administrere routeren, noe som genererer en session-token. Angriperen kan forespørre nøkkelen ved hjelp av et API-kall, som vil returnere nøkkelen i klartekst. Angriperen kan bruke nøkkelen til å få uautorisert tilgang til ruterens administrasjonsgrensesnitt.

Anbefaling:

Det finnes for øyeblikket ingen offisiell løsning på problemet da routeren ikke lengre mottar programvareoppdateringer.

Sårbarheter:

Helseselskap betalte antageligvis løsepenger etter angrep

I mer enn 10 dager har det vært problemer med utskriving av resepter i USA etter at helseselskapet United Healthcare ble rammet av ransomware. Gruppen bak, AlphV/Black Cat, kom med et krav på $22 millioner USD for å gi fra seg krypteringsnøklene. En betaling til gruppen ble nylig sett på blokk-kjeden til Bitcoin, mange tror derfor at betalingen nå har skjedd. Det går også rykter om at grupperingen AlphV har tatt alle pengene selv uten å dele med sin "underleverandør", som stod bak selve angrepet. Serverne til banden er nå nede.

Posted by tsoc at 12:35 0 comments

Monday 4 March 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.03.04

Lazarus utnytter nulldagssårbarhet i AppLocker.

Lazarus utnytter nulldagssårbarhet i AppLocker

Den nordkoreanse hackergruppen Lazarus har i nylige angrep utnyttet en nulldagssårbarhet (CVE-2024-21338) i AppLocker. Gjennom utnyttelse av sårbarheten kunne angripere oppnå nødvendige privilegier for å manipulere Windows kernel direkte i en oppdatert versjon av deres såkalte FudModule rootkit. Avast rapporterer om substantielle forbedringer sammenlignet med tidligere versjoner, og uttaler at teknikkene Lazarus nå benytter seg av er mer sofisikert enn tidligere. Microsoft har patchet sårbarheten i sin Februar 2024 Patch Tuesday.

Sårbarheter:

Posted by tsoc at 12:06 0 comments

Friday 1 March 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.03.01

Amerikanske myndigheter vil granske risikoer knyttet til sensorer i biler.

Amerikanske myndigheter vil granske risikoer knyttet til sensorer i biler

Biden-administrasjonen melder at de vil vurdere trusler mot nasjonal sikkerhet på grunn av sensorer i stadig mer avanserte biler. Biler produsert i utlandet kan brukes til å spore kundene, kartlegge sensitive objekter, ta opp lyd/film osv. Noen biler har også LIDAR-teknologi som kan lage detaljerte 3D-kart av områder de kjører i. Administrasjonen ser også på trusler rundt at bilene kan slås av for å lamme trafikken. Det har tidligere blitt meldt at amerikanske Tesla-biler ikke tillates i mange statlige kinesiske bygninger.

Posted by tsoc at 11:54 0 comments
Subscribe to: Posts (Atom)
 
>