Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Tuesday, 2 April 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.04.02

Avansert forsyningskjede-angrep mot Linux. Google har gjennomgått zero-day svakheter fra 2023. Ny phishing-tjeneste bruker iMesagge og RCS. Apple-brukere oversvømt av MFA-forespørsler. Sikkerhetsoppdateringer fra Cisco.


Avansert forsyningskjede-angrep mot Linux

En avansert trusselaktør har i over to år jobbet målrettet med å få lagt til en bakdør i Linux-distribusjoner. Aktøren manipulerte til seg kontrollen av kildekoden til komprimerings-biblioteket "xz" og la til kode for å implementere en avansert bakdør. Bakdøren gjorde det mulig å logge inn via ssh på sårbare systemer, ved å benytte seg av en spesiell krypterings-nøkkel. Sårbarheten blir aktivert når SSH benytter seg av "xz"-biblioteket via systemd.

Operasjonen ble heldigvis oppdaget av en Microsoft-ansatt på grunn av at login noen ganger feilet, samt at innloggingen tok rundt et halvt sekund lengre enn vanlig. Så langt ser det ikke ut til at bakdøren kom inn i noen mye brukte Linux-varianter, men det var bare snakk om uker før de store distribusjonene hadde oppdatert til en sårbar versjon. Aktøren har også manipulert andre prosjekter for å gjøre det vanskeligere å oppdage bakdøren.

Vi anbefaler å sjekke versjonsnumre på "xz" på Linux-systemer og oppgradere til en sikker versjon.

Google har gjennomgått zero-day svakheter fra 2023

Google har gjennomgått alle kjente zero-day svakheter som ble brukt i 2023. I fjor ble det oppdaget 97 nye zero-days totalt, en økning på over 50% fra 2022.

I fjor var det en økning i svakheter som rettet seg mot tredjeparts-komponenter og kode-biblioteker. Gjennom å kompromittere disse, kan trusselaktørene ofte utnytte flere systemer som igjen benytter seg av disse.

De to største gruppene som benyttet seg av ferske svakheter var komersielle leverandører av overvåkingsprogramvare og spionasje-relaterte aktører. På tredje plass kom finansielt motiverte aktører.

Ny phishing-tjeneste bruker iMesagge og RCS

Netcraft har sett nærmere på phishing-tjenesten Darcula. Tjenesten støtter ikke bare SMS, men også iMessage mot iPhones og RCS mot Android-telefoner. Bruken av disse krypterte tjenestene kan inngi økt tillitt hos mottakeren. De gjør det også umulig for mobilleverandøren å filtrere ut spam, siden meldingene ikke kan leses av leverandøren.

I de siste månendene har phishing via iMessage og RCS rammet også norske brukere.

Apple-brukere oversvømt av MFA-forespørsler

Flere Apple-kunder har i det siste opplevd å bli bombardert med forespørsler om å godkjenne innlogginger i forbindelse med avanserte phishing-angrep. Det kommer en mengde av disse forespørslene fra systemet, og trusselaktøren håper at offeret skal trykke feil på én av dem for å ta over kontrollen av Apple ID-kontoen. Dersom dette ikke lykees, ringer de opp offeret og utgir seg for å være fra Apple support for å "hjelpe til med å stoppe angrepet".

Sikkerhetsoppdateringer fra Cisco

Cisco ga 27. mars ut 17 sikkerhetsoppdateringer for 18 svakheter. 10 av svakhetene er klassifisert som alvorlige. Cisco har publisert oppdateringer og vi anbefaler å se over og installere disse.

No comments:

Post a Comment

Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.

 
>