Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Thursday 16 May 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.05.16

Cyberkriminelle utnytter Microsofts Quick Assist-funksjon i løsepengevareangrep. Google retter opp enda en aktivt utnyttet Chrome nulldags-sårbarhet. NCSC anbefaler å erstatte SSLVPN/WebVPN med sikrere alternativer. Sårbarheter i produkter fra Fortinet. Google lanserer nye sikkerhetsfunksjoner til Android.

Cyberkriminelle utnytter Microsofts Quick Assist-funksjon i løsepengevareangrep

Angripere utnytter Microsofts Quick Assist-applikasjon for å utføre angrep ved hjelp av sosial manipulering, hvor angriperne gir seg ut for å være pålitelige kontakter for å få tilgang til offerets enhet og distribuere Black Basta-ransomware.

Angrepskjeden involverer phishing via telefon for å få offeret til å installere fjernovervåkingsverktøy, etterfulgt av distribusjon av skadelig programvare som QakBot og Cobalt Strike, før Black Basta-ransomware aktiveres.

Microsoft advarer brukere om muligheten for tech support-svindel via Quick Assist og oppfordrer organisasjoner til å blokkere eller avinstallere dette og lignende verktøy og til å trene ansatte i å gjenkjenne slike angrep.

Google retter opp enda en aktivt utnyttet Chrome nulldags-sårbarhet

Google har rullet ut fiks for å adressere ni sikkerhetsproblemer i Chrome, inkludert en ny zero-day sårbarhet som har blitt utnyttet. Denne sårbarheten, tildelt CVE-2024-4947, omhandler en variabeltype-feil i V8 JavaScript og WebAssembly-motoren, og Google anbefaler brukere å oppgradere til de nyeste versjonene for å motvirke potensielle trusler. Dette er den tredje sikkerhetsoppdateringen til Chrome i løpet av få dager.

Sårbarheter:

NCSC anbefaler å erstatte SSLVPN/WebVPN med sikrere alternativer

Årsaken er gjentakende utnyttelse av sårbarheter. Overgang til anbefalt tiltak bør være på plass innen 2025. For virksomheter underlagt sikkerhetsloven bør det skje før utgangen av året. Les varselet fra NCSC for nærmere detaljer.

Sårbarheter i produkter fra Fortinet

JustisCERT varsler om sårbarheter i Produkter fra Fortinet. Totalt 17 bulletiner (omfatter 20 CVE) ble publisert av FortiGuard Labs den 14.05.2024, hvor 4 er kategorisert som alvorlig (omfatter CVE-2024-23105, CVE-2024-21760, CVE-2024-23667, CVE-2024-23668, CVE-2024-23669, CVE-2024-23670 og CVE-2024-31491 med CVSS-score 7.1 - 8.6). De alvorlige sårbarhetene berører FortiPortal, FortiSOAR, FortiWebManager og FortiSandbox. Fortinet har publisert oppdateringer til støttede produkter.

Google lanserer nye sikkerhetsfunksjoner til Android

Google har lansert en rekke nye sikkerhetsfunksjoner for Android. Noen av disse rulles ut i de kommende måendene til Android-versjoner helt tilbake til versjon 10, mens andre bare kommer den nyeste versjon 15.

Nye funksjoner er blant annet analyse på mobilen for å oppdage uvanlig oppførsel fra apper, strengere standard-tilganger ved installasjon av apper utenfor Google Play, økt sikkerhet ved deling av skjerm ogadvarsel ved bruk av mobilnett med manglende kryptering. Mange av funksjonene tar sikte på å stoppe bank-trojanere, som har blitt utbredt i en del land.

Det skal bli vanskeligere å bytte ut brukeren med en ny på stjålne telefoner. Låseskjermen skal også aktivere seg automatisk ved brå bevegelser, for å hindre tyveri av opplåste mobiler.

Posted by tsoc at 13:11 0 comments

Wednesday 15 May 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.05.15

Microsoft patchetirsdag mai 2024. Kritiske svakheter i VMware Workstation og Fusion. Google patcher enda en svakhet i Chrome som utnyttes. SAP har sluppet sin kvartalsvise oppdatering. Kritiske svakheter i produkter fra Adobe, blant annet Reader. Svakhet i WiFi-standarden kobler brukere til usikre nett.

Microsoft patchetirsdag mai 2024

Microsoft lanserte tirsdag kveld sine månedlige sikkerhetsoppdateringer. Denne måneden er én av svakhetene vurdert som kritisk av Microsoft. Denne påvirker Microsoft SharePoint Server. Sårbarheten lar en autentisert angriper kjøre vilkårlig kode på Sharepoint-serveren, dersom vedkommende har Site Owner-rettigheter.

To av svakhetene utnyttes allerede aktivt i angrep:

  • CVE-2024-30040: omgåelse av sikkerhetsmekanismer i Windows MSHTML. Svakheten kan føre til kjøring av vilkårlig kode, dersom brukeren blir lurt til å åpne et spesielt utformet dokument.

  • CVE-2024-30051: lokal privilegieeskalering i Windows DWM. Svakheten kan utnyttes av en vanlig bruker til å oppnå System-rettigheter. Den har blant annet blitt brukt av skadevaren QakBot til å få full tilgang til systemer.

Anbefaling:

Telenor anbefaler systemeiere å oppdatere programvaren på sine systemer til siste versjon så snart det lar seg gjøre.

Kritiske svakheter i VMware Workstation og Fusion

Broadcom melder om kritiske svakheter i VMware Workstation og Fusion. Svakhetene kan brukes for å få tilgang til sensitiv informasjon, tjenestenekt og kjøring av vilkårlig kode, under visse forhold. Den mest alvorlige svakheten er CVE-2024-22267 med CVSS på 9.3 av 10. Denne svakheten skyldes bruk av allerede frigjort minne i "vbluetooth"-enheten. Svakheten gjør det mulig for en bruker med system-tilgang til en virtuell maskin å kjøre kode som VMX-prosessen på host-systemet.

Anbefaling:

Vi anbefaler å installere nye versjoner av programvaren: Workstation versjon 17.5.2 og Fusion versjon 13.5.2.

Google patcher enda en svakhet i Chrome som utnyttes

Google har for andre gang på én uke patchet en svakhet i Chrome som allerede utnyttes aktivt i angrep. Svakheten har fått alvorlighetsgrad "høy" og gjelder skriving utenfor allokert minne i V8 JavaScript og WebAssembly-motoren. Svakheten ble meldt til Google 9. mai og det finnes tilgjengelig utnyttelseskode.

Sårbarheter:

SAP har sluppet sin kvartalsvise oppdatering

SAP har gitt ut sin kvartalsvise sikkerhetsoppdatering med oppdateringer for en rekke produkter. Denne gangen er det 14 nye svakheter og også oppdateringer for 3 svakheter fra forrige kvartal. Vi anbefaler SAP-kunder å sette seg inn i oppdateringen!

Kritiske svakheter i produkter fra Adobe, blant annet Reader

Adobe har gitt ut 35 sikkerhets-oppdateringer til en rekke av sine produkter i forbindelse med patchetirsdag. Blant annet blir det patchet kritiske svakheter i mye brukte Acrobat og Acrobat Reader. Flere av disse svakhetene kan brukes til å få kjørt kode på et sårbart system, dersom en bruker lures til å åpne en spesielt uformet PDF-fil. Svakhetene gjelder både Windows og MacOS.

Det er også patcher for andre produkter som Illustrator, Substande 3D Painter, Aero, Animate osv.

Svakhet i WiFi-standarden kobler brukere til usikre nett

Sikkerhetsforskere har oppdaget en design-svakhet i WiFi-standarden som lar angripere lure ofre til å koble seg til usikre nettverk og avlytte datatrafikken. Feilen kan også utnytte muligheten for automatisk frakobling fra nettverk til å slå av VPN-kryptering for visse nettverk. Svakheten skal kunne utnyttes på alle WiFi-klienter og operativsystemer. Rapporten om svakheten foreslår forbedringer til WiFi-standarden for å bøte på problemene.

Posted by tsoc at 13:51 0 comments

Tuesday 14 May 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.05.14

Apple sikkerhetspatcher alle sine produkter.

Apple sikkerhetspatcher alle sine produkter

Apple har gitt ut patcher for iPhone, iPad, macOS osv. Én av svakhetene som patches, CVE-2024-23296, har allerede blitt utnyttet i aktive angrep og patches nå også for eldre versjon av macOS og iOS.

De nye versjonene av iOS (v. 17.5), MacOS (v. 14.5) og Safari (v. 17.5) utbedrer også en mengde andre svakheter. Vi anbefaler å oppdatere så fort som mulig.

Posted by tsoc at 12:14 0 comments

Monday 13 May 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.05.13

Dell-Datainnbrudd: 49 millioner kunderegistre stjålet. Google med hurtig patch til Chrome.

Dell-Datainnbrudd: 49 millioner kunderegistre stjålet

En trusselaktør har misbrukt et API fra Dell for å stjele informasjon fra 49 millioner kunder ved å registrere seg som en falsk partnerbedrift. Datainnbruddet omfattet kundeordrer, garantidetaljer, servicekoder, navn, installasjonssteder, kundenumre og ordrenumre. Hendelsen ble først rapportert av BleepingComputer.

Menelik, trusselaktøren bak innbruddet, fortalte at hen hadde skaffet tilgang til Dells partnerportal, hvor hen uten hinder kunne skrape informasjon ved å generere 5000 forespørsler i minuttet over tre uker. Den omfattende dataen inkluderer detaljer om flere Dell-produkter, blant annet over 22 millioner skjermer og millioner av ulike Dell-datamaskiner.

Selv om Menelik kontaktet Dell for å rapportere sikkerhetshullet, fikk han aldri noe svar, og det tok to uker før feilen ble rettet—rundt samme tid som dataene ble lagt ut for salg på et hackingforum. Dell bekreftet å ha mottatt kommunikasjonen, men har avstått fra ytterligere kommentarer grunnet en pågående etterforskning.

Dell hevder at de var klar over aktiviteten og allerede undersøkte saken før de mottok e-posten fra Menelik. En tredjeparts forensisk firma er engasjert for å etterforske innbruddet ytterligere.

Google med hurtig patch til Chrome

Google med "124"-oppdatering retter 4 sårbarheter hvorav en er kritisk. Den kritiske sårbarheten som medlemmer av "Qrious Secure" har avdekket tillater mulig ekstern vilkårlig kode eksekvering blant annet. Dette er en av et fåtall av Chrome sårbarheter som har blitt tildelt "kritiske" alvorlighetsgrader de siste årene.

"Qrious Secure" har tidligere i år rapport Chrome sårbarhetene CVE-2024-0517 CVE-2024-0223

Posted by tsoc at 12:55 0 comments

Friday 10 May 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.05.10

Alvorlige sårbarheter i F5 Central Manager kan føre til full kontroll over enheter. Situasjonsrapport fra Telenor SOC - april 2024. Google patcher kritisk svakhet i mai-oppdatering for Android.

Alvorlige sårbarheter i F5 Central Manager kan føre til full kontroll over enheter

To alvorlige sårbarheter er oppdaget i F5s Next Central Manager, som utgjør en risiko for uautorisert kontroll over berørte enheter. Sikkerhetseksperter fra Eclypsium har rapportert disse sårbarhetene, som muliggjør at trusselaktører kan fjernutnytte systemet og oppnå full administrativ tilgang. Sårbarhetene, identifisert som CVE-2024-21793 (CVSS 7.5) og CVE-2024-26026 (CVSS 7.5), innebærer begge risiko for SQL-injeksjon som kan utløses via enhetens API uten autentisering.

Disse feilene påvirker versjoner 20.0.1 til 20.1.0 av Next Central Manager, med en løsning tilgjengelig i versjon 20.2.0. Dersom de blir utnyttet, kan disse sårbarhetene tillate angripere å manipulere systemet ytterligere ved å opprette skjulte administrator-kontoer, noe som sikrer vedvarende uautorisert tilgang. Ytterligere sikkerhetsproblemer som er oppdaget inkluderer sårbarheter som tillater brute-force-angrep på admin-passord og muliggjør tilbakestilling av passord uten kjennskap til det forrige.

Selv om det ikke er bevis for aktiv utnyttelse, er alvorlighetsgraden av disse sårbarhetene såppas store at vi anbefaler brukere om å oppdatere sine systemer snarest.

Situasjonsrapport fra Telenor SOC - april 2024

Vi har publisert vår situasjonsrapport fra Telenor SOC for april 2024. Denne måneden skriver vi blant annet om svakheter i brannmurer fra Palo Alto og VPN-utstyr fra Cisco.

Google patcher kritisk svakhet i mai-oppdatering for Android

Google har sluppet sin månedlige sikkerhetsoppdatering for Android. Denne måneden er det 26 svakheter som fikses, inkludert én kategorisert som kritisk i System-komponenten. Denne svakheten, CVE-2024-23706, gjør det mulig for en angriper å oppnå utvidede rettigheter på et sårbart system. Google melder ikke at noen av svakhetene har blitt brukt i reelle angrep.

Sårbarheter:

Posted by tsoc at 11:41 0 comments

Wednesday 8 May 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.05.08

Lederen for ransomware-gruppen Lockbit avslørt. Lønningssystemet til forsvardespartementet i UK hacket.

Lederen for ransomware-gruppen Lockbit avslørt

I februar meldte internasjonale politimyndigheter at de hadde infiltrert infrastrukturen til Lockbit og tok kontroll over nettsiden deres. De brukte blant annet denne til å poste råd til ofre av banden. Lockbit er kjent som en av de mest aktive og skadelige ransomware-bandene.

I en ny oppdatering har nå lederen for gruppen, kalt "LockBitSupp", blitt offentliggjort med bilde og navn. Flere land har også innført sanksjoner mot den russiske statsborgeren. Det er også utlovet en dusør på $10 millioner for informasjon som fører til at han blir arresert.

Lønningssystemet til forsvardespartementet i UK hacket

Lønningssystemet som brukes av det britiske forsvarsdepartementet (MoD). Innbruddet kan brukes til å få oversikt over ansatte i forsvaret, deres stillinger og lønninger. Systemet driftes av en ekstern tredjepart, og har ingen koblinger mot andre interne datasystemer.

Posted by tsoc at 12:01 0 comments

Tuesday 7 May 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.05.07

Svakhet i Tinyproxy kan føre til overtakelse av server. Svakhet i Citrix Netscaler ADC og Gateway kan føre til lekkasje av intern informasjon.

Svakhet i Tinyproxy kan føre til overtakelse av server

Cisco Talos har oppdaget en kritisk svakhet i TinyProxy som kan gjøre det mulig å ta kontroll over servere som eksponerer tjenesten. Over 90.000 instanser av tjenesten er eksponert åpent på Internett, og over 50% av disse er sårbare for svakheten.

Svakheten har fått benevnelsen CVE-2023-49606 med CVSS-score på 9.8 av 10, og er en "use-after-free"-svakhet, altså at applikasjonen fortsetter å bruke et minneområde etter at det har blitt frigjort fra bruk.

Talos meldte fra om svakheten i desember 2023, men de ansvarlige for TinyProxy mottok ikke eposten, siden det ble brukt en utdatert epost-adresse. Det finnes derfor ikke en fiks for svakheten enda.

Brukere av tjenesten bør vurdere å ta den av nett til en fikset versjon foreligger.

Sårbarheter:

Svakhet i Citrix Netscaler ADC og Gateway

Citrix har gitt ut en ny versjon av Citrix Netscaler ADC og Gateway, som utbedrer en svakhet som lar en ekstern angriper hente ut informasjon fra minnet til serveren. Svakheten minner mye om "Citrix Bleed" (CVE-2023-4966)-svakheten fra 2023, men denne varianten har ikke like stor sjanse for å lekke sensitiv informasjon. Svakheten oppstår fordi applikasjonen leser fra minneområder som egentlig ikke er tildelt til den.

Svakheten ble oppdaget i januar av sikkerhetsforskere fra Bishop Fox. Svakheten har ikke fått en ny CVE tildelt, siden den har mye overlapp med CVE-2023-4966. Svakheten er fikset i versjon 13.1-51.15.

Posted by tsoc at 12:50 0 comments

Monday 6 May 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.05.06

Kritiske sårbarheter i ArubaOS. Finland advarer mot Android-malware som tar over bankkontoer.

Kritiske sårbarheter i ArubaOS

JustisCERT melder at HPE Aruba Networking publiserte et varsel 30. april 2024 om kritiske sårbarheter i ArubaOS. Vellykket utnyttelse av sårbarhetene gjør det mulig for en uautentisert angriper å oppnå fjernkjøring av vilkårlig kode/kommandoer (CVSS-score 9.8 - kritisk).

Utnyttelse forutsetter nettverkstilgang til enheten. I ArubaOS 8.x kreves det også at den forbedrede PAPI-sikkerhetsfunksjonen ikke er aktivert.

Så vidt JustisCERT vet, utnyttes ikke sårbarheten aktivt og de kjenner heller ikke til offentlig tilgjengelig kode for utnyttelse. Vi anbefaler brukere av dette utstyret om å oppdatere snarlig!

Finland advarer mot Android-malware som tar over bankkontoer

Finske Traficom advarer mot en skadevare-kampanje rettet mot Android-telefoner. Ofrene mottar SMS-meldinger skrevet på finsk om å ringe et telefonnummer. Svindlerne som svarer, overbeviser så offeret om å installere et anti-virus program, som i virkeligheten er skadevare. Meldingene bruker spoofing, for å få det til å virke som om de kommer fra banker, telekom-selskaper osv.

Appen som blir lastet ned, lar seg ikke umiddelbart installere, da den ikke er å finne på Googles offisielle Play Store. Men ved å trykke seg igjennom diverse sikkerhetsadvarsler, er det mulig å få installert den. Et av ofrene skal ha mistet 95.000 euro etter å ha blit utsatt for svindelen.

Myndighetene i Finland er usikre på hvilken type trojaner som benyttes, men de har en mistanke mot Vultur-trojaneren.

Posted by tsoc at 12:52 0 comments

Friday 3 May 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.05.03

Populære Android-apper er sårbare for overskriving av filer. Verizon har gitt ut Data Breach Investigations Report 2024.

Populære Android-apper er sårbare for overskriving av filer

Flere Android-apper, som Xiaomi File Manager og WPS Office, er sårbare for en svakhet kjent som "Dirty Stream". Svakheten gjør det mulig for andre apper å overskrive filer i de sårbare appene. Dette kan igjen føre til kjøring av valgfri kode eller tyveri av login-nøkler.

Svakheten skyldes feilaktig oppsett av en Android-funksjon for å dele data mellom apper. Begge de to appene nevnt her har utbedret problemet etter at Microsoft påpekte det, men det kan finnes flere sårbare apper.

Verizon har gitt ut Data Breach Investigations Report 2024

Verizon har gitt ut sin årlige DBIR-rapport. Rapporten tar for seg erfaringer fra reelle datainnbrudd fra det foregående året. Antallet sikkerhetshendelser og verifiserte innbrudd har doblet seg fra året før.

Utnyttelse av sikkerhetssvakheter var inngangsvektor i 14% av innbruddene, noe som er en 180% økning fra året før. Dette skyldtes i stor grad MOVEit-angrepene. Fortsatt er det identitetsbaserte innbrudd som er vanligst, gjerne ved hjelp av phishing eller gjenbrukte passord.

Posted by tsoc at 13:06 0 comments

Thursday 2 May 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.05.02

Change Healthcare ble kompromittert gjennom Citrix-konto uten MFA. Dropbox Sign har vært utsatt for kompromittering. CISA har sluppet anbefalinger i forbindelse med OT-angrep.

Change Healthcare ble kompromittert gjennom Citrix-konto uten MFA

Det amerikanske selskapet Change Healthcare ble rammet av ransomware i februar 2024. I forbindelse med en høring har det nå kommet fram flere detaljer rundt hendelsen.

Hendelsen startet med at en ansatt den 8. februar ble utsatt for malware som kopierer ut sensitiv informasjon fra en PC, blant annet brukernavn og passord til selskapets Citrix-plattform. Trusselaktøren kunne så enkelt logge på bedriftens systemer, siden MFA ikke var i bruk. Aktøren var aktiv i det interne nettverket i rundt 10 dager før kryptering av systemene startet.

Change Healthcare betalte $22 millioner til trusselaktøren BlackCat for å unngå at gruppen skulle lekke personlige data tilhørende bedriftens kunder, samt låse opp interne systemer.

Dropbox Sign har vært utsatt for kompromittering

Dropbox skriver i en bloggpost at de 24. april oppdaget at uvedkommende hadde fått tilgang til produksjonsmiljøet til tjenesten Dropbox Sign, tidligere kjent som HelloSign. Trusselaktøren har også fått tilgang til informasjon om brukerne av tjenesten. Ingen andre deler av Dropbox sitt produksjonsmiljø skal være rammet.

Brukerne som er rammet har allerede fått nullstilt sine passord. Aktøren fikk tilgang til miljøet gjennom et verktøy for systemkonfigurasjon.

CISA har sluppet anbefalinger i forbindelse med OT-angrep

De siste månedene har hacktivister med knytning til Russland angrepet flere OT-systemer i vestlige land, eksempelvis vannverk og demninger. Angrepsteknikkene er enkle og har så langt ikke hatt alvorlige konsekvenser. Som oftest blir systemene kompromittert gjennom dårlig sikrede VNC-servere.

CISA anbefaler eiere av OT-systemer å sette seg inn i trusselen og gjennomføre deres anbefalinger for å stoppe denne typen angrep.

Posted by tsoc at 12:26 0 comments
Subscribe to: Posts (Atom)
 
>