Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Wednesday 31 July 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.07.31

SMS-stjelerkampanje infiserer Android-enheter globalt. Mandrake-spyware oppdaget i Google Play Store-apper. Ny versjon av Chrome fikser svakheter og legger til sikkerhetsfunksjon.

SMS-stjelerkampanje infiserer Android-enheter globalt

En omfattende kampanje infiserer Android-enheter i 113 land med skadevare som stjeler SMS-meldinger og engangspassord (OTP). Denne skadevaren bruker Telegram-boter for å spre seg og er rettet mot over 600 tjenester. Angrepet, som er økonomisk motivert, påvirker blant annet brukere i USA, India, Russland, Brasil og Mexico. Skadevaren finnes ikke i Google Play, så ofrene må lures til å installere .apk-filer som lastes ned.

Mandrake-spyware oppdaget i Google Play Store-apper

En ny versjon av Android-spywaren Mandrake har blitt funnet i fem applikasjoner tilgjengelig på Google Play Store, med over 32 000 installasjoner før de ble fjernet. Applikasjonene brukte avanserte teknikker for å skjule seg og unngå oppdagelse. Mandrake spionerer på brukere ved å samle inn detaljert informasjon og kan fjernstyre enhetene.

De berørte appene er:

  • Telegram Themes

  • Fast Cleaner

  • Cool Profiles

  • Wallpaper XYZ

  • Battery Saver Pro

Ny versjon av Chrome fikser svakheter og legger til sikkerhetsfunksjon

Google har sluppet en ny versjon av Chrome som utbedrer tre svakheter, den mest alvorlig blir kategorisert som "kritisk".

Den nye versjonen introduserer også en ny sikkerhetsfunksjon som gjør det vanskeligere for malware å stjele informasjonskapsler og andre sensitive data fra nettleseren i Windows. Dette gjøres ved å kryptere de sensitive dataene og kun la en egen prosess med SYSTEM-priviligier dekryptere dem. I Windows vil ellers andre applikasjoner som startes av samme bruker kunne lese de sensitive dataene.

Posted by tsoc at 12:00 0 comments

Tuesday 30 July 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.07.30

Ransomware-operatører utnytter ESXi-sårbarhet for masse-kryptering. Apple oppdaterer sine produkter. Kritiske ServiceNow-sårbarheter utnyttes aktivt.

Ransomware-operatører utnytter ESXi-sårbarhet for masse-kryptering

Sikkerhetsforskere fra Microsoft har oppdaget en sårbarhet i ESXi-hypervisorer som utnyttes av flere ransomware-operatører for å oppnå full administrativ tilgang til domenetilknyttede ESXi-hypervisorer. Denne sårbarheten, identifisert som CVE-2024-37085, gjør det mulig for angripere å oppnå full kontroll over maskinene som kjører på hypervisoren. Svakheten går ut på å opprette en gruppe kalt “ESX Admins” i domenet og legge til en bruker kontrollert av angriperen. Brukere lagt til i en gruppe med dette eksakte navnet får automatisk administrativ tilgang til hypervisorer i domenet, uten noen videre tilgangssjekk.

Anbefaling:

Microsoft har samarbeidet med VMware for å utgi en sikkerhetsoppdatering og anbefaler administratorer å installere denne oppdateringen for å beskytte sine servere

Sårbarheter:

Apple oppdaterer sine produkter

JustisCERT varsler om sårbarheter som berører flere av Apple sine produkter. Apple publiserte 29. juli informasjon om at de blant annet har rettet 26 sårbarheter i iOS/iPadOS 16.7.9, 35 i iOS/iPadOS 17.6, 41 i macOS Monterey, 45 i macOS Ventura, 69 i macOS Sonoma, 9 i Safari, 19 i tvOS, 19 i visionOS og 29 i watchOS.

Apple har publisert oppdateringer til støttede produkter og vi anbefaler å oppdatere.

Berørte produkter er:*

  • iOS og iPadOS < 16.7.9

  • iOS og iPadOS < 17.6

  • macOS Monterey < 12.7.6

  • macOS Ventura < 13.6.8

  • macOS Sonoma < 14.6

  • Safari < 17.6

  • tvOS < 17.6

  • visionOS < 1.3

  • watchOS < 10.6

Kritiske ServiceNow-sårbarheter utnyttes aktivt

To nylig oppdagede kritiske sårbarheter i ServiceNow (CVE-2024-4879 og CVE-2024-5217) blir nå aktivt utnyttet av trusselaktører. Begge sårbarhetene tillater uautentisert fjernkjøring av kode, noe som gir full tilgang til berørte systemer. En trusselaktør hevder å ha samlet e-postadresser og tilhørende hasher fra over 105 ServiceNow-databaser, og selger denne informasjonen på BreachForums. ServiceNow ga ut patcher for begge svakhetene 10. juli. Vi anbefaler å patche og sjekke sårbare instanser for kompromittering.

Posted by tsoc at 12:22 0 comments

Monday 29 July 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.07.29

Alvorlig sårbarhet i Secure Boot. Svakhet i WhatsApp tillater kjøring av Python- og PHP-skript.

Alvorlig sårbarhet i Secure Boot

En alvorlig sårbarhet kalt PKfail har blitt oppdaget i Secure Boot-funksjonen, som lar angripere installere UEFI-skadevare på hundrevis av enheter fra 10 forskjellige produsenter. Denne svakheten skyldes bruk av testnøkler i stedet for sikre plattformnøkler, noe som undergraver hele sikkerhetskjeden fra firmware til operativsystemet. Berørte produsenter inkluderer Acer, Dell, HP, Intel, Lenovo og Supermicro. Brukere anbefales å oppdatere til siste firmware når fikset versjon er tilgjengelig for å beskytte sine enheter.

Svakhet i WhatsApp tillater kjøring av Python- og PHP-skript

En ny sårbarhet i WhatsApp for Windows tillater at Python- og PHP-skript kan kjøre uten advarsel når mottakeren åpner dem. Problemet oppstår kun dersom Python er installert, noe som begrenser målgruppen. WhatsApp blokkerer flere filtyper, men Python- og PHP-skript er ikke inkludert på blokkeringslisten. Sikkerhetsforskere oppfordrer Meta til å adressere denne sårbarheten for å forbedre brukersikkerheten.

Posted by tsoc at 12:34 0 comments

Friday 26 July 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.07.26

Det har vært et rolig døgn.

Posted by tsoc at 12:40 0 comments

Thursday 25 July 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.07.25

Google lanserer Chrome 127 med sikkerhetsoppdateringer. CrowdStrike lover bedre tester etter store IT problemer. Docker fikser kritisk AuthZ-autoriseringssårbarhet fra 2018.

Google lanserer Chrome 127 med sikkerhetsoppdateringer

Google kunngjorde tirsdag utgivelsen av Chrome 127 med oppdateringer for 24 sårbarheter, inkludert 16 rapportert av eksterne forskere. Minnefeil var igjen de mest utbredte sikkerhetsproblemene, inkludert fire med høy alvorlighetsgrad. Oppdateringen løser fem kritiske feil, inkludert tre use-after-free feil i Downloads, Loader og Dawn, en out-of-bounds minnetilgang i ANGLE, og en feilaktig implementering i Canvas. Chrome 127 fikser også åtte alvorlige feil, som en heap buffer overflow i Layout og use-after-free feil i Tabs, User Education og CSS. Google har utbetalt over $55,000 i bug bounty belønninger, hvor beløp for seks sårbarheter ennå ikke er bestemt. Brukere anbefales å oppdatere nettleseren så snart som mulig.

CrowdStrike lover bedre tester etter store IT problemer

CrowdStrike har lovet å forbedre sine programvaretester etter at en feilaktig oppdatering for Windows-systemer forårsaket et globalt IT-brudd på fredag. Feilen resulterte i problemer for banker, sykehus og flyselskaper, med millioner av PC-er som viste såkalte "blue screens". I en gjennomgang publisert onsdag, avslørte CrowdStrike at en feil i et system designet for å sikre programvareoppdateringer var årsaken. CrowdStrike har uttalt at bedre tester og kontroller vil forhindre lignende hendelser i fremtiden.

Docker fikser kritisk AuthZ-autoriseringssårbarhet fra 2018

Docker har utstedt en hasteoppdatering som retter en kritisk sårbarhet i Docker Engine som tillater angripere å omgå autorisasjonsplugins (AuthZ) under spesifikke omstendigheter.

Sårbarheten, merket som CVE-2024-41110 med en CVSS-score på 10/10, ble opprinnelig funnet og rettet i 2018, men etterfølgende patch i januar 2019 ble ikke videreført til senere hovedversjoner.

Docker advarer om at alle som er avhengige av autorisasjonsplugins for å gjøre tilgangskontrollbeslutninger kan potensielt være påvirket. Ondsinnede forespørseler mot Docker-daemon som ikke inneholder "body" (Content-Length = 0), kan føre til at forespørselen blir feilaktig godtatt av daemonen.

Berørte versjoner av Docker inkluderer Docker Engine versjoner <= v19.03.15 til <= v27.1.0, med patchede versjoner > v23.0.14 og > v27.1.0. Docker EE v19.03.x og alle versjoner av Mirantis Container Runtime er ikke sårbare.

Sårbarheter:

Posted by tsoc at 13:07 0 comments

Wednesday 24 July 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.07.24

Det har vært et rolig døgn.

Posted by tsoc at 12:13 0 comments

Tuesday 23 July 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.07.23

Tre arrestert i Spania for bruk av DDoSia hacktivistplattform. Microsoft skylder på EU-regler for problemer med Windows etter CrowdStrike-hendelsen.

Tre arrestert i Spania for bruk av DDoSia hacktivistplattform

Spanske myndigheter arresterte tre personer for å ha brukt DDoSia, en pro-russisk hacktivistplattform, til å utføre DDoS-angrep mot NATO-land. Arrestasjonene fant sted i Sevilla, Huelva og Manacor, hvor politiet også beslagla datamaskinutstyr og dokumenter. Til tross for arrestasjonene fortsatte hacktivistgruppen sine angrep mot mål i EU. DDoSia, utviklet av NoName057, bruker frivilliges båndbredde til å utføre angrep og betaler toppbidragsytere for deres innsats. Spanske etterforskere jobber nå med å identifisere flere deltakere i DDoSia-angrepene.

Microsoft skylder på EU-regler for problemer med Windows etter CrowdStrike-hendelsen

Microsoft undersøker om restriksjoner pålagt av EU-kommisjonen kan ha forsterket problemene med Windows-systemer under den nylige CrowdStrike-hendelsen. Selskapet peker på en avtale fra 2009 som krevde at Microsoft gir sikkerhetsprogramvareutviklere samme tilgang til Windows som selskapet selv har. Denne avtalen, som skulle fremme konkurranse, kan ha gjort det mulig for tredjepartsleverandører å forstyrre systemer. Apple og Google er ikke underlagt lignende reguleringer og har derfor begrenset utviklernes tilgang til deres operativsystemer. Til tross for sikkerhetsfordelene ved å begrense tilgang, er det usannsynlig at EU vil gi Microsoft tillatelse til å gjøre dette på grunn av tidligere beslutninger.

Posted by tsoc at 13:08 0 comments

Monday 22 July 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.07.22

Microsoft anslår at 8.5 million Windows-enheter ble rammet av Crowdstrike.

Microsoft anslår at 8.5 million Windows-enheter ble rammet av Crowdstrike

Microsoft anslår at 8.5 millioner Windows-enheter ble påvirket av den feilaktige oppdateringen fra CrowdStrike som forårsaket store IT-avbrudd globalt på fredag. Lørdag lanserte Microsoft et USB-verktøy for å hjelpe IT-administratorer med å reparere de berørte systemene raskere. Problemet oppstod på grunn av en sensoroppdatering som forårsaket en logikkfeil og resulterte i "Blue Screen of Death" på kritiske systemer. Selv om mindre enn én prosent av alle Windows-maskiner ble rammet, har Microsoft utplassert hundrevis av ingeniører for å bistå kunder med gjenopprettingen.

Posted by tsoc at 13:49 0 comments

Friday 19 July 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.07.19

Større globalt nettverksbrudd forårsaket av CrowdStrike. APT41 Infiltrerer Nettverk i Italia, Spania, Taiwan, Tyrkia og Storbritannia.

Større globalt nettverksbrudd forårsaket av CrowdStrike

En feilaktig oppdatering fra cybersikkerhetsselskapet CrowdStrike har ført til at Windows-maskiner ikke lenger klarer å starte opp som følge av en feil i kjerne-driveren til produktet. Påvirkede maskiner vil stå fast i "Blue Screen of Death" (BSOD) og er nødt til å fikses manuelt ved å starte opp maskinene i "Safe Mode". Ettersom dette er en relativt manuell prosess, samt at maskinene kan være kryptert med BitLocker, vil dette kreve mye innsats for å gjennomføre fiksen på tvers av mange maskiner samtidig.

Tekniske problemer har blitt rapportert fra en rekke sektorer, inkludert flyselskaper, banker og mediehus over hele verden.

CrowdStrike har identifisert og rullet tilbake den feilaktige oppdateringen.

APT41 Infiltrerer Nettverk i Italia, Spania, Taiwan, Tyrkia og Storbritannia

Flere organisasjoner innen global shipping og logistikk, media og underholdning, teknologi og bilindustri i Italia, Spania, Taiwan, Thailand, Tyrkia og Storbritannia har blitt mål for en vedvarende kampanje av den Kina-baserte hackergruppen APT41. APT41 har siden 2023 opprettholdt uautorisert tilgang til flere nettverk, noe som har gjort det mulig for dem å hente ut sensitiv data over lengre tid, ifølge en rapport fra Mandiant. Angrepene involverer bruk av web shell (ANTSWORD og BLUEBEAM), spesialtilpassede droppere (DUSTPAN og DUSTTRAP), og offentlige verktøy (SQLULDR2 og PINEGROVE) for å oppnå vedvarende tilgang og eksfiltrere data. Webshellene laster ned DUSTPAN-droppere som installerer Cobalt Strike Beacon for kommando- og kontrollkommunikasjon, etterfulgt av droppere for videre lateral bevegelse. Google har remediert de kompromitterte Workspace-kontoene for å hindre videre uautorisert tilgang.

Posted by tsoc at 12:48 0 comments

Thursday 18 July 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.07.18

Cisco advarer om kritisk sårbarhet i Smart Software Manager. Oracle ruller ut 441 nye sikkerhetsoppdateringer. Google Chrome 126 sikkerhetsoppdatering adresserer 10 sårbarheter. Nordkoreanske hackere oppdaterer BeaverTail skadevare.

Cisco advarer om kritisk sårbarhet i Smart Software Manager

Cisco har utgitt oppdateringer for å adressere en kritisk sikkerhetsfeil i Smart Software Manager On-Prem (Cisco SSM On-Prem) som kan tillate en ekstern, ikke-autentisert angriper å endre passordet til alle brukere, inkludert administratorer. Sårbarheten, kjent som CVE-2024-20419, har en CVSS-score på 10.0 og skyldes feil implementering av passordendringsprosessen. Feilen påvirker versjoner 8-202206 og tidligere, men er løst i versjon 8-202212, og versjon 9 er ikke sårbar. Det finnes ingen midlertidige løsninger, og Cisco er ikke klar over noen aktiv utnyttelse.

Sårbarheter:

Oracle ruller ut 441 nye sikkerhetsoppdateringer

Oracle annonserte tirsdag 441 nye sikkerhetspatcher som en del av sin april 2024 Critical Patch Update, hvorav over 200 retter opp i sårbarheter som kan utnyttes eksternt uten autentisering. Det omfatter omtrent 330 unike CVE-er i denne oppdateringen, inkludert over 30 kritiske sårbarheter. Berørte produkter inkluderer blant annet Oracle Communications, Fusion Middleware, Financial Services Applications, E-Business Suite, MySQL og flere. Oracle oppfordrer kundene sine til å installere oppdateringene umiddelbart for å beskytte seg mot potensielle angrep.

Google Chrome 126 sikkerhetsoppdatering adresserer 10 sårbarheter

Google har lansert sikkerhetsoppdateringer for Chrome 126 som adresserer ti sårbarheter, inkludert åtte med høy alvorlighetsgrad. Disse ble funnet av eksterne forskere. De fleste av disse feilene er minnesikkerhetsproblemer som kan føre til sandbox-escape og ekstern kodeeksekvering. Oppdateringen retter opp feil i V8-motoren, use-after-free-feil i Screen Capture, et race condition i DevTools, og out-of-bounds minnetilgang i V8. Google har utbetalt over $32,000 i bug bounty-belønninger for disse sårbarhetene. Den nye Chrome-versjonen rulles ut som versjon 126.0.6478.182/183 for Windows og macOS, og 126.0.6478.182 for Linux, med tilsvarende oppdatering for Android.

Nordkoreanske hackere oppdaterer BeaverTail skadevare

Sikkerhetsforskere har oppdaget en oppdatert variant av "stealer" skadevare, som angripere tilknyttet Nord-Korea har brukt i tidligere spionasjekampanjer mot jobbsøkere. Denne varianten, en macOS DMG-fil kalt "MiroTalk.dmg", imiterer en legitim videotjeneste, men leverer faktisk BeaverTail-skadevare, ifølge sikkerhetsforsker Patrick Wardle. BeaverTail er kjent for å stjele sensitiv informasjon fra nettlesere og kryptolommebøker, og kan også levere tilleggsprogrammer som InvisibleFerret. Det er nå blitt distribuert via infiserte møteinvitasjoner i stedet for de tidligere brukte npm-pakkene. Sikkerhetseksperter advarer om at denne teknikken utnytter sosial manipulering og krever umiddelbare tiltak for å beskytte seg mot slike trusler.

Posted by tsoc at 12:17 0 comments

Wednesday 17 July 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.07.17

Det har vært et rolig døgn.

Posted by tsoc at 12:07 0 comments

Tuesday 16 July 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.07.16

AT&T betaler løsepenger etter datainnbrudd. Iranske Hackere Bruker Ny BugSleep Bakdør i Cyberangrep.

AT&T betaler løsepenger etter datainnbrudd

Det nylig avslørte datainnbruddet hos AT&T har blitt knyttet til en amerikansk hacker bosatt i Tyrkia. Telekomgiganten betalte angivelig 370 000 dollar i løsepenger for å sikre at den stjålne informasjonen ble slettet. Innbruddet påvirket samtlige av AT&T sine kunder, og dataene som ble stjålet inkluderte samtale- og tekstinteraksjoner fra mai 2022 til januar 2023. Selskapet påstår at ingen sensitive personopplysninger, som innholdet av samtaler eller tekstmeldinger, ble kompromittert. AT&T har begynt å varsle rundt 110 millioner kunder om hendelsen.

Iranske Hackere Bruker Ny BugSleep Bakdør i Cyberangrep

Den iranske statssponsede gruppen MuddyWater har blitt observert i bruk av en ny, hittil ukjent bakdør kalt BugSleep i en nylig angrepskampanje, ifølge Check Point og Sekoia. Denne gangen har de unngått sitt vanlige verktøy, det legitime overvåkingsprogrammet Atera, og brukt et nytt, uregistrert verktøy i stedet. Målet for angrepene inkluderer land som Tyrkia, Aserbajdsjan, Jordan, Saudi-Arabia, Israel og Portugal. MuddyWater er kjent for å kompromittere e-postkontoer gjennom spear-phishing. BugSleep er i stand til å laste ned og opp filer, åpne reverse shell samt etablere persistent tilgang på det kompromitterte systemet. Økt overvåking kan ha ført til at MuddyWater har skiftet til denne nye metoden.

Posted by tsoc at 12:27 0 comments

Monday 15 July 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.07.15

Kritisk sårbarhet i Exim.

Kritisk sårbarhet i Exim

En kritisk sårbarhet, nå kjent som CVE-2024-39929, er funnet i over 1,5 millioner internett-tilgjengelige Exim mail transfer agent (MTA)-installasjoner. Denne gjør det mulig for angripere å levere ondsinnede kjørbare filer til brukernes inboxer, ifølge Censys. Feilen, med en CVSS-score på 9.1, påvirker RFC 2231 header-parsing, noe som fører til feil parsing av filnavn og potensielt omgåelse av mekanismer for blokkering av filtypeutvidelser. Utnyttelse kan muliggjøre kodekjøring og systemkompromittering dersom brukeren åpner vedlegget. Selv om proof-of-concept-kode er offentlig tilgjengelig, er det ikke observert noen utnyttelsesforsøk.

Censys bemerker at av 6,5 millioner internett-tilgjengelige SMTP-mailservere kjører omtrent 4,8 millioner Exim. Per 10. juli 2024 er 1.567.109 Exim-servere potensielt sårbare, hovedsakelig i USA, Russland og Canada. Selv om sårbarheten ble adressert i Exim MTA versjon 4.98, forblir de fleste servere upatchet. Kun 82 installasjoner kjører den patchede versjonen. Censys har gitt ressurser for å hjelpe organisasjoner med å identifisere og oppdatere sårbare Exim-installasjoner.

Anbefaling:

Oppdatere til nyeste Exim MTA iterasjon så fort det lar seg gjøre

Sårbarheter:

Posted by tsoc at 11:57 0 comments

Friday 12 July 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.07.12

Kritisk Sikkerhetsfeil i Palo Alto Networks Expedition Verktøy Rettet.

Kritisk Sikkerhetsfeil i Palo Alto Networks Expedition Verktøy Rettet

Palo Alto Networks har utgitt sikkerhetsoppdateringer for å rette fem sårbarheter i sine produkter, inkludert en kritisk feil som kan føre til autentiseringsomgåelse. Den mest alvorlige sårbarheten, CVE-2024-5910 med en CVSS-score på 9,3, påvirker Expedition migreringsverktøyet og kan føre til at en angriper overtar en admin-konto. Sårbarheten påvirker alle versjoner av Expedition før versjon 1.2.92. Brukere oppfordres til å oppdatere til den nyeste versjonen for å beskytte seg mot potensielle trusler. Palo Alto Networks anbefaler også å begrense nettverkstilgang til Expedition til autoriserte brukere.

Sårbarheter:

Posted by tsoc at 12:15 0 comments

Thursday 11 July 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.07.11

Angripere har utnyttet Microsoft Zero-Day i 18 måneder. GitLab patcher kritisk sårbarhet som tillater uautoriserte pipeline-jobber. VMware Fikser Kritisk SQL-Injection i Aria Automation.

Angripere har utnyttet Microsoft Zero-Day i 18 måneder

To separate trusselaktører har i minst 18 måneder utnyttet en null-dagers sårbarhet, CVE-2024-38112, i Microsofts MSHTML (Trident) motor, på nyere Windows 10 og Windows 11 systemer. Sårbarheten lar angripere sende spesiallagde URL-filer som åpner en farlig nettside i Internet Explorer. Ved hjelp av skjulte .hta-filer kamuflert som PDF-dokumenter, kan angripere kjøre skadelig kode som løsepengevirus og spionvare på offerets maskin. Angrepene har vært målrettet mot individer i Vietnam og Tyrkia, hvor angripere forsøker å installere infostealeren Atlantida. US Cybersecurity and Infrastructure Security Agency (CISA) oppfordrer nå organisasjoner til å implementere Microsofts sikkerhetstiltak for å beskytte seg mot sårbarheten.

GitLab patcher kritisk sårbarhet som tillater uautoriserte pipeline-jobber

GitLab har utgitt oppdateringer for å løse sikkerhetsfeil i sin programvareplattform, inkludert en kritisk feil (CVE-2024-6385) med en CVSS-score på 9,6 av 10. Feilen tillater angripere å kjøre pipeline-jobber som en vilkårlig bruker. Andre oppdateringer inkluderer en middels alvorlighetsgradssårbarhet (CVE-2024-5257) som lar en utvikler med spesifikke tillatelser endre URL-en for et gruppenavn. Alle sikkerhetsmangler er rettet i GitLab CE og EE versjoner 17.1.2, 17.0.4, og 16.11.6.

VMware Fikser Kritisk SQL-Injection i Aria Automation

VMware har adressert en kritisk SQL-injection sårbarhet (CVE-2024-22280) med en CVSSv3-score på 8,5, som påvirker deres Aria Automation-plattform. Aria Automation forenkler administrasjonen av skyinfrastruktur og applikasjoner. Sårbarheten tillater en autentisert, ondsinnet bruker å utføre uautoriserte les/skrive-operasjoner i databasen ved hjelp av spesiallagde SQL-forespørsler. Feilen påvirker versjon 8.x av Aria Automation og versjonene 5.x og 4.x av Cloud Foundation. VMware har ingen midlertidige løsninger for denne sårbarheten.

Sårbarheter:

Posted by tsoc at 12:03 0 comments

Wednesday 10 July 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.07.10

Kritisk Sikkerhetsoppdatering for NetScaler. Microsofts juli 2024 Patch Tuesday oppdatering løser 142 sårbarheter, inkludert 4 zero-days.

Kritisk Sikkerhetsoppdatering for NetScaler

To kritiske sårbarheter, CVE-2024-6235 og CVE-2024-6236, er oppdaget i NetScaler Console, NetScaler SVM og NetScaler Agent. CVE-2024-6235 kan føre til sensitiv informasjon lekkasje, mens CVE-2024-6236 kan føre til tjenestenekt. Alle berørte produkter inkluderer versjoner av NetScaler Console, NetScaler SVM, og NetScaler Agent før spesifikke oppdateringer. Det anbefales sterkt at kunder oppdaterer til de nyeste versjonene umiddelbart. Kunder som bruker Citrix-administrert NetScaler Console Service trenger ikke å foreta seg noe.

Microsofts juli 2024 Patch Tuesday oppdatering løser 142 sårbarheter, inkludert 4 zero-days

Microsofts Patch Tuesday-oppdatering for juli 2024 adresserte 142 sårbarheter, inkludert fem kritiske og fire zero-days. To av zero-days var aktivt utnyttet: en Hyper-V elevation of privilege og en MSHTML spoofing-sårbarhet. De resterende to zero-days var offentlig kjente sårbarheter i .NET/Visual Studio og ARM FetchBench. Oppdateringen omfattet en rekke ulike sårbarhetstyper, inkludert 59 fjernkjøringssårbarheter og 26 eskalering av privilegier.

Posted by tsoc at 15:06 0 comments

Tuesday 9 July 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.07.09

Cybersikkerhetsbyråer advarer om Kina-tilknyttet APT40.

Cybersikkerhetsbyråer advarer om Kina-tilknyttet APT40

Flere cybersikkerhetsbyråer fra Australia, Canada, Tyskland, Japan, New Zealand, Sør-Korea, Storbritannia og USA har utstedt en felles advarsel om en Kina-tilknyttet cyber spionasjegruppe kalt APT40. Gruppen har vært aktiv siden minst 2013 og har utført angrep mot organisasjoner i Asia-Stillehavsområdet og andre land. APT40 er kjent for raskt å kunne utnytte nye sikkerhetssårbarheter. Teknikker som web shells, utdatert utstyr for å opprettholde tilgang og unngå oppdagelse. For å redusere risikoen anbefales det at organisasjoner implementerer gode loggføringsmekanismer, flerfaktorautentisering, robust oppdateringshåndtering og nettverkssegmentering.

Posted by tsoc at 12:05 0 comments

Monday 8 July 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.07.08

Rolig helg.

Posted by tsoc at 12:18 0 comments

Friday 5 July 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.07.05

Det har vært et rolig døgn.

Posted by tsoc at 13:44 0 comments

Thursday 4 July 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.07.04

Bloggpost om nedgraderings-angrep mot passkey-autentisering. Europol har koordinert aksjon mot kriminelles misbruk av Cobalt Strike.

Nedgraderings-angrep mot passkey-autentisering

En sikkerhetsforsker ved eSentire har skrevet om nedgraderings-angrep mot passkey-autentisering ved AitM (Adversary In The Middle)-angrep. Mange tjenester tilbyr nå login ved hjelp hardware eller software-baserte FIDO2-kompatible sikkerhetsnøkler, eller passkeys. Disse gjør i teorien phishing-angrep umulig å gjennomføre. Ved hjelp av phishing-sider som benytter seg av AitM-teknikker, kan imidlertid innloggings-sidene skrives om i sanntid, til kun å tilby usikre innloggingsmetoder.

Bloggposten demonstrerer disse teknikkene og tar for seg forskjellige metoder for å motvirke angrepene, samt hvordan best å håndtere mistede sikkerhetsnøkler. Vi anbefaler en gjennomlesning!

Europol har koordinert aksjon mot kriminelt misbruk av Cobalt Strike

Det legitime sikkerhetsverktøyet Cobalt Strike brukes ofte av kriminelle aktører for å bryte seg inn i bedrifter, samt å beholde tilgang til nettverket. Verktøyet er egentlig laget for legitim bruk i forbindelse med sikkerhetstester, men det blir ofte misbrukt i piratkopierte utgaver.

I forbindelse med aksjonen, kjent som "Operation MORPHEUS", har Europol sørget for å ta ned 593 Cobalt Strike-servere i 27 land. Europol har blant annet samarbeidet med BAE Systems Digital Intelligence, Trellix, Spamhaus, abuse.ch og The Shadowserver Foundation i forbindelse med aksjonen. Europol vil nå følge med på denne misbruk framover og aksjonere etter hvert som det trengs.

Posted by tsoc at 13:12 0 comments

Wednesday 3 July 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.07.03

Google patcher 25 svakheter i Android.

Google patcher 25 svakheter i Android

Google har i denne månedens sikkerhetsoppdatering for Android patchet 25 svakheter, inkludert én kritisk som kan gi utvidete rettigheter på systemet. Denne svakheten ligger i "framework"-delen av systemet og krever ingen spesielle tilganger til systemet for å kunne utnyttes. Det er så langt ikke meldt om at noen av svakhetene utnyttes i aktive angrep.

Sårbarheter:

Posted by tsoc at 13:02 0 comments

Tuesday 2 July 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.07.02

Kritisk sårbarhet i Gitlab. Cisco advarer mot ny svakhet som utnyttes i avanserte angrep.

Kritisk sårbarhet i Gitlab

HelseCERT melder at GitLab 26. juni 2024 ga ut oppdateringer som lukker flere sikkerhetshull i produktene GitLab Community Edition (CE) og Enterprise Edition (EE).

Den mest alvorlige av disse er CVE-2024-5655 (CVSS på 9.6), som lar angriper kjøre pipelines som andre brukere, inkludert administratorer. I praksis kan dette muliggjøre kjøring av vilkårlig kode og gi en angriper full kontroll over systemet. I tillegg kan det lekke sensitiv informasjon og kode.

Utnyttelse forutsetter at angriper har en bruker med tilgang til gitt prosjekt.

Andre nevneverdige sårbarheter gjør det mulig for angripere å:

  • Utføre XSS-angrep med ondsinnede commit-meldinger (CVE-2024-4901, CVSSS på 8,5)

  • Manipulere serveren til å utføre handlinger på sine vegne (CSRF) (CVE-2024-4994, CVSS på 8,1)

  • Lekke innholdet i private repo som tilhører offentlige prosjekter (CVE-2024-6323, CVSS på 7,5)

Følgende produkter er sårbare:
GitLab CE/EE versjon:

  • 15.8 - 16.11.4

  • 17.0 - 17.0.2

  • 17.1 - 17.1.0

HelseCERT er ikke kjent med at det eksisterer offentlig utnyttelseskode eller at sårbarhetene utnyttes aktivt.

Anbefaling:

Sårbare installasjoner bør oppdateres så fort som mulig.

Sårbarheter:

Cisco advarer mot ny svakhet som utnyttes i avanserte angrep

Cisco ga i går ut en patch for en 0-dags svakhet i NX-OS som utnyttes aktivt i angrep. Svakheten har bare fått "medium" alvorlighet, siden den krever tilgang til ruteren for å kunne utnyttes. Svakheten lar en bruker med en administrator-bruker og CLI-tilgang utføre kommandoer som root-brukeren, uten at dette logges til syslog.

Svakheten brukes av avanserte aktører til å laste opp skadevare til enheten som lar dem beholde tilgang til enheten, laste opp flere filer og kjøre kode.

Cisco har en egen "Software Checker" for å sjekke etter sårbare enheter internt.

Sårbarheter:

Posted by tsoc at 12:04 0 comments

Monday 1 July 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.07.01

TeamViewer har hatt innbrudd fra russisk aktør. Microsoft advarer flere firmaer om tyveri av eposter. Kritisk sårbarhet i produkter fra Juniper satt opp i HA-modus. Kritisk autentiseringsfeil i OpenSSH rammer millioner av systemer.

TeamViewer har hatt innbrudd fra russisk aktør

TeamViewer opplyste på fredag at de har vært utsatt for et datainnbrudd fra den russiske aktøren APT-29, også kjent som Cozy Bear og Midnight Blizzard. Aktøren forbindes med den russiske militære etterretningstjenesten SVR. Innbruddet ble gjort ved å logge seg inn med brukernavn og passord tilhørende en vanlig ansatt. Firmaet opplyser at angrepet ble stoppet i deres interne nettverk og ikke spredde seg til produksjonsnettverket.

Microsoft advarer flere firmaer om tyveri av eposter

Microsoft var tidligere i år utsatt for et avansert datainnbrudd fra en russisk aktør (APT-29). Aktøren fikk tilgang til Microsofts interne systemer, og hentet blant annet ut eposter tilhørende flere ameikanske departementer.

Det viser seg nå at innbruddet rammet flere kunder enn først antatt. Microsoft har nå varslet flere kunder og satt opp en portal der kundene kan sjekke hvilke eposter som har blitt kompromittert av angriperne.

Kritisk sårbarhet i produkter fra Juniper satt opp i HA

JustisCERT varsler om en sårbarhet som berører produkter fra Juniper. Totalt 1 CVE ble publisert av Juniper den 27.06.2024, kategorisert som kritisk (CVE-2024-2973 med CVSS-score 10.0). Sårbarheten gjør det mulig for en angriper å ta full kontroll over berørte enheter ved å omgå funksjonen for API-autentisering. Sårbarheten berører kun Session Smart Route, Session Smart Conductor og WAN Assurance Router, dersom disse er satt opp i «High Availability» (HA).

Sårbarheter:

Kritisk autentiseringsfeil i OpenSSH rammer millioner av systemer

Qualys har avslørt en kritsk svakhet i OpenSSH kalt "regreSSHion", som rammer glibc-baserte Linux-systemer. Svakheten kan la ikke-autentiserte angripere oppnå root-tilgang og få full kontroll over sårbare systemer. Svakheten er en "race condition" i sshd og rammer systemer med standard konfigurasjon. Feilen er fikset i versjon 9.8p1. Dersom patcher ikke kan installeres, bør sårbare SSH-servere beskyttes bak aksesslister, brannmurer e.l.

Sårbarheter:

Posted by tsoc at 12:43 0 comments
Subscribe to: Posts (Atom)
 
>