Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.09.20

Politimyndigheter har tatt ned gruppering som låste opp stjålne mobiler. Google: Iranske hackere planter bakdører i Midtøstens telekom- og myndighetssystemer. Ivanti har gitt ut kritisk oppdatering for Cloud Service Appliance.

---

Politimyndigheter har tatt ned gruppering som låste opp stjålne mobiler

En internasjonal politioperasjon har slått til mot et forbryternettverk som siden 2018 har spesialisert seg på å låse opp stjålne mobiltelefoner. Banden har kontrollert et automatisk phishing-system med en mengde sider som ga seg ut for å være forskjellige mobiltjenester. Tjenesten ble brukt av tyver via mellommenn for å låse opp mobiltelefoner etter at de var stjålet, ved å lure de egentlige eierne av mobilene til å gi fra seg personlig informasjon og passord.

Referanser:

https://www.bleepingcomputer.com/news/security/police-dismantles-iserver-phone-unlocking-network-linked-to-483-000-victims/

Google: Iranske hackere planter bakdører i Midtøstens telekom- og myndighetssystemer

En avansert cyberoperasjon knyttet til Irans etterretningsministerium (MOIS) fungerer som en avansert tilgangsleverandør for iranske hackere, rapporterer Googles sikkerhetsavdeling Mandiant. Gruppen, kalt UNC1860, har utviklet spesialiserte verktøy og passive bakdører som gir vedvarende tilgang til systemer hos telekommunikasjonsselskaper og myndighetsorganer i Midtøsten. UNC1860s verktøy er designet for å unngå antivirusprogrammer og har blitt brukt i destruktive angrep mot Israel og Albania. Mandiant beskriver UNC1860 som en formidabel trussel som støtter mål som spenner fra spionasje til nettverksangrep. Gruppen har også vist interesse for mål i Saudi-Arabia og Qatar, og har tilknytninger til andre iranske hackergrupper som APT34. Rapporten inneholder Yara-regler og MD5-hasher som kan sjekkes mot egne systemer

Referanser:

https://therecord.media/iran-backdoors-planted-across-middle-east-telecoms-government-orgs https://cloud.google.com/blog/topics/threat-intelligence/unc1860-iran-middle-eastern-networks/

Ivanti har gitt ut kritisk oppdatering for Cloud Service Appliance

Ivanti har gitt ut en oppdatering for Cloud Services Appliance v. 4.6 (CSA) som fikser en svakhet som lar hvem som helst logge seg inn som administrator på enheten. Sammen med en annen svakhet som ble offentliggjort 13. september (CVE-2024-8190), kan en angriper få full kontroll over en sårbar installasjon. Svakheten blir allerede utnyttet i begrensede målrettede angrep.

Sårbarheter:

CVE-2024-8963CVE-2024-8190

Referanser:

https://www.cisa.gov/news-events/alerts/2024/09/19/ivanti-releases-admin-bypass-security-update-cloud-services-appliance

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.09.19

Stort kinesisk botnett gikk under radaren i fire år. Global politiaksjon tok ned kryptert kommunikasjonsplattform brukt av kriminelle. Google utgir Chrome 129 med rettelser for ni sårbarheter.

---

Stort kinesisk botnett gikk under radaren i fire år

FBI har avdekket og stengt ned et stort botnettverk kalt Raptor Train, styrt av kinesiske statsstøttede hackere. Botnettverket, som besto av over 260 000 kompromitterte routere og IoT-enheter, har operert uoppdaget i fire år og ble primært brukt til å angripe mål i USA og Taiwan. Angrepene var rettet mot kritisk infrastruktur, inkludert statlige etater, telekommunikasjonsselskaper og forsvarskontraktører. Raptor Train ble drevet av et kinesisk selskap kalt Integrity Technology Group, med forbindelser til den kinesiske staten. FBI har gjennomført en vellykket operasjon for å ta kontroll over botnettverk-infrastrukturen og desinfisere de kompromitterte enhetene.

Denne typen botnett brukes gjerne av trusselaktører for å kunne angripe mål fra enheter som befinner seg i nærheten geografisk. Det er da lettere å gjemme angrepstrafikken i tilsynelatende lovlig trafikk.

Referanser:

https://blog.lumen.com/derailing-the-raptor-train/ https://arstechnica.com/security/2024/09/massive-china-state-iot-botnet-went-undetected-for-four-years-until-now/ https://www.ic3.gov/Media/News/2024/240918.pdf

Global politiaksjon tok ned kryptert kommunikasjonsplattform brukt av kriminelle

En internasjonal koalisjon ledet av Europol og Eurojust har lykkes i å ta ned en kryptert kommunikasjonsplattform kalt "Ghost", som ble brukt av organiserte kriminelle nettverk verden over. Plattformen muliggjorde sikker kommunikasjon for kriminelle aktiviteter som narkotikahandel, hvitvasking og voldelige handlinger. Operasjonen involverte ni land og resulterte i 51 arrestasjoner, beslag av over 1 million euro i kontanter, samt våpen og narkotika.

Aksjonen avslører et fragmentert landskap for kryptert kommunikasjon, der kriminelle aktører stadig søker nye tekniske løsninger for å unngå overvåkning.

Referanser:

https://www.europol.europa.eu/media-press/newsroom/news/global-coalition-takes-down-new-criminal-communication-platform https://therecord.media/ghost-encrypted-criminal-communications-takedown-arrests

Google utgir Chrome 129 med rettelser for ni sårbarheter

Google har lansert Chrome 129 med oppdateringer for ni sårbarheter, hvorav seks ble rapportert av eksterne forskere. Den mest alvorlige feilen er en "type confusion"-sårbarhet i JavaScript-motoren V8, som potensielt kan utnyttes til fjernkjøring av kode. Oppdateringen inkluderer også rettelser for tre middels alvorlige sårbarheter relatert til V8, sikkerhets-brukerinterface forbedringer relatert til nedlasting av filer, samt datavalidering i Omnibox.

Selskapet har så langt utbetalt $13,000 i belønning til forskerne som rapporterte feilene, men det totale beløpet kan bli høyere.

Referanser:

https://www.securityweek.com/chrome-129-patches-high-severity-vulnerability-in-v8-engine/ https://chromereleases.googleblog.com/2024/09/stable-channel-update-for-desktop_17.html

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.09.18

Sårbarheter i produkter fra Atlassian, HPE Aruba, VMware/Broadcom og GitLab.

---

Sårbarheter i produkter fra Atlassian, HPE Aruba, VMware/Broadcom og GitLab

JustisCERT varsler om sårbarheter i:

• Produkter fra Atlassian. Totalt 4 forskjellige CVE ble publisert 17.09, hvor alle er kategorisert som alvorlig (CVE-2024-22871, CVE-2024-29857, CVE-2024-32007 og CVE-2024-34750, alle med CVSS-Score 7.5). Atlassian har publisert oppdateringer til støttede produkter.

• HPE Aruba Networking Controller og Gateway. Totalt 3 CVE ble publisert 17.09, hvor alle er kategorisert som alvorlig (CVE-2024-42501, CVE-2024-42502 og CVE-2024-42503, alle med CVSS-Score 7.2). HPE Aruba har publisert oppdateringer til støttede produkter.

• VMware vCenter Server og Cloud Foundation. Totalt 2 CVE ble publisert av VMware/Broadcom den 17.09, hvor 1 er kategorisert som kritisk (CVE-2024-38812 med CVSS-score 9.8) og 1 som alvorlig (CVE-2024-38813 med CVSS-Score med 7.5). VMware/Broadcom har publisert oppdateringer til støttede produkter. Sårbarhetene kan utnyttes ved å sende nettverkstrafikk til en sårbar server uten å være innlogget.

• GitLab CE/EE. Totalt 1 CVE ble publisert av GitLab den 17.09, kategorisert som kritisk (CVE-2024-45409 med CVSS-score 10.0). GitLab har publisert oppdateringer til støttede produkter.

Referanser:

https://confluence.atlassian.com/security/security-bulletin-september-17-2024-1431249025.html https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbnw04709en_us&docLocale=en_US https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/security-advisories/0/24968 https://about.gitlab.com/releases/2024/09/17/patch-release-gitlab-17-3-3-released/

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.09.17

Apple utgir iOS 18 med rettelser for 33 svakheter i iPhone og iPad. CloudImposer: Kritisk svakhet i Google Cloud Platform rettet.

---

Apple utgir iOS 18 med rettelser for 33 svakheter i iPhone og iPad

Apple har lansert en omfattende oppdatering av iOS med versjon 18, som utbedrer minst 33 sikkerhetssårbarheter i komponenter som tilgjengelighetsfunksjoner, Bluetooth, kontrollsenter og Wi-Fi.

Flere av svakhetene kan potensielt gi uautorisert tilgang til sensitiv brukerdata eller full kontroll over enheten. Apple påpeker spesielt problemer i tilgjengelighetsfunksjonene som kunne la angripere med fysisk tilgang bruke Siri til å få tilgang til sensitiv informasjon, kontrollere nærliggende enheter eller se nylige bilder uten autentisering.

Referanser:

https://support.apple.com/en-us/121250 https://www.securityweek.com/apple-patches-major-security-flaws-with-ios-18-refresh/

CloudImposer: Kritisk svakhet i Google Cloud Platform rettet

Tenable Security oppdaget en kritisk svakhet i Google Cloud Platform (GCP) Composer, som kunne ha blitt utnyttet for å kjøre kode på millioner av Google-servere. Svakheten lå i den interne forsyningskjeden og utnyttet avhengigheter mellom programvarepakker. Svakheten er nå fikset.

Referanser:

https://www.tenable.com/blog/cloudimposer-executing-code-on-millions-of-google-servers-with-a-single-malicious-package https://thehackernews.com/2024/09/google-fixes-gcp-composer-flaw-that.html

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.09.16

Skadevare låser nettleseren i kiosk-modus for å stjele Google-påloggingsinformasjon.

---

Skadevare låser nettleseren i kiosk-modus for å stjele Google-påloggingsinformasjon

En ny type skadevare utnytter nettleserens kiosk-modus for å lure brukere til å oppgi sine Google-påloggingsdetaljer. Kios-modus brukes i PCer som skal gi informasjon til almennheten, typisk i museer, billettautomater, flyplasser osv.

Angrepet, som har pågått siden august 2024, bruker Amadey-skadevaren for å starte et scipt som låser nettleseren i kiosk-modus på Googles innloggingsside og deaktiverer vanlige medtoder for å komme seg bort fra nettsiden som ESC- og F11-tastene. Målet er å frustrere brukeren til å gi fra seg sitt Google-passord for å "låse opp" datamaskinen. Når brukeren har lagt inn påloggingsinformasjonen, stjeles den av skadevaren "StealC" og sendes tilbake til angriperen.

Referanser:

https://www.bleepingcomputer.com/news/security/malware-locks-browser-in-kiosk-mode-to-steal-google-credentials/ https://research.openanalysis.net/credflusher/kiosk/stealer/stealc/amadey/autoit/2024/09/11/cred-flusher.html

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.09.13

Fortinet utsatt for datainnbrudd.

---

Fortinet utsatt for datainnbrudd

Fortinet bekrefter at de har blitt utsatt for et datainnbrudd etter at en hacker hevdet å ha stjålet 440GB med filer fra selskapets Microsoft SharePoint-instans i Azure. Hackeren forsøkte å presse Fortinet til å betale for å la være å publisere dataene, men selskapet nektet. Fortinet sier selv at kundedata fra en tredjeparts skylagringstjeneste ble stjålet, men hevder at mindre enn 0,3% av kundene er berørt. Selskapet opplyser også at ingen ondsinnet aktivitet har rammet kundene som følge av hendelsen, og at det ikke var løsepengevirus involvert i innbruddet.

Referanser:

https://www.bleepingcomputer.com/news/security/fortinet-confirms-data-breach-after-hacker-claims-to-steal-440gb-of-files/ https://www.fortinet.com/blog/business-and-technology/notice-of-recent-security-incident

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.09.12

Sårbarheter i produkter fra Cisco, Palo Alto Networks og GitLab. Chrome 128-oppdatering løser fire alvorlige sårbarheter i minnehåndtering.

---

Sårbarheter i produkter fra Cisco, Palo Alto Networks og GitLab

JustisCERT varsler om sårbarheter i følgende produkter:

• Produkter fra Cisco. Totalt 9 CVE (8 bulletiner) ble publisert 11.09, hvor 7 CVE er kategorisert som alvorlig (CVE-2024-20304, CVE-2024-20381, CVE-2024-20317, CVE-2024-20406, CVE-2024-20398, CVE-2024-20483 og CVE-2024-20489, med CVSS-Score 7.4 - 8.8). Cisco har publisert oppdateringer til støttede produkter.

• Produkter fra Palo Alto Networks. Totalt 7 bulletiner ble publisert 11.09, hvor 2 er kategorisert som alvorlig (omfatter 30 CVE med CVSS-Score til og med 8.8). De alvorlige sårbarhetene berører Palo Alto PAN-OS 11.2.x og Prisma Access Browser. Palo Alto har publisert oppdateringer til støttede produkter.

• GitLab CE/EE. Totalt 17 CVE ble publisert av GitLab den 11.09, hvor 1 er kategorisert som kritisk (CVE-2024-6678 med CVSS-score 9.9) og 3 som alvorlig (CVE-2024-8640, CVE-2024-8635 og CVE-2024-8124 med CVSS-Score til og med 8.5). GitLab har publisert oppdateringer til støttede produkter.

Referanser:

https://sec.cloudapps.cisco.com/security/center/publicationListing.x https://security.paloaltonetworks.com/ https://about.gitlab.com/releases/2024/09/11/patch-release-gitlab-17-3-2-released/

Chrome 128-oppdatering løser fire alvorlige sårbarheter i minnehåndtering

Google ga på tirsdag ut sikkerhetsoppdatering for Chrome 128 som fikser fem sårbarheter, hvor fire er rapportert av eksterne sikkerhetsforskere. Disse fire sårbarhetene er klassifisert med "høy" alvorlighetsgrad og er relatert til minnehåndtering. Blant sårbarhetene finner vi en heap buffer overflow i Skia-biblioteket, en use-after-free-feil i Media Router, en type confusion i V8 JavaScript-motoren, og en use-after-free-svakhet i Autofill-funksjonen. Google har allerede betalt ut henholdsvis $11k og $15k USD i belønning for to av de rapporterte svakhetene.

Oppdateringen rulles nå ut for Windows, macOS og Linux, og er den tredje oppdateringen for Chrome 128 på like mange uker.

Referanser:

https://www.securityweek.com/chrome-128-update-resolves-high-severity-vulnerabilities/ https://chromereleases.googleblog.com/2024/09/stable-channel-update-for-desktop_10.html

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.09.11

Microsoft patchetirsdag fikser 79 svakheter. Adobe patcher 28 svakheter i diverse produkter. Situasjonsrapport fra Telenor SOC - august 2024.

---

Microsoft patchetirsdag fikser 79 svakheter

September-oppdateringen fra Microsoft fikser 79 svakheter i diverse produkter. Syv av svakhetene regnes som kritiske, fire utnyttes allerede aktivt i angrep. Noen av de interessante svakhetene er:

• CVE-2024-43491: En svakhet som lar en lokal angriper fjerne tidligere installerte patcher og dermed utnytte svakheter som egentlig er patchet.

• CVE-2024-38014: En svakhet i Windows Installer kan gi en lokal angriper System-rettigheter.

• CVE-2024-38217: Nok en svakhet i sikkerhetssystemet "Mark of the Web". Denne gjør det enklere å få systemet til å godta og kjøre nedlastet skadevare.

NCSC-pulsen forblir på nivå (1): NORMALSITUASJON på bakgrunn av disse sårbarhetene.

Referanser:

https://isc.sans.edu/diary/Microsoft+September+2024+Patch+Tuesday/31254/ https://msrc.microsoft.com/update-guide/ https://www.securityweek.com/microsoft-says-windows-update-zero-day-being-exploited-to-undo-security-fixes/

Adobe patcher 28 svakheter i diverse produkter

Adobe slapp i går en rekke oppdateringer for sine produkter i forbindelse med patche-tirsdag. De to alvorligste svakhetene kan korrumpere minnet i Adobe Acrobat & Reader og kan brukes til å ta kontroll over en sårbar maskin dersom brukeren åpner et spesielt utformet dokument.

Det er også oppdateringer for Adobe ColdFusion, Adobe Photoshop, Adobe Media Encoder og Adobe Edition.

Vi anbefaler å patche svakhetene i Adobe Reader så fort som mulig, dersom disse er installert på bruker-PCer.

Sårbarheter:

CVE-2024-41869CVE-2024-45112

Referanser:

https://www.securityweek.com/adobe-patches-critical-code-execution-flaws-in-multiple-products/ https://helpx.adobe.com/security/security-bulletin.html

Situasjonsrapport fra Telenor SOC - august 2024

Vi har publisert vår situasjonsrapport fra Telenor SOC for august 2024. Denne måneden skriver vi blant annet om en ansatt hos en kunde som ble lurt til å laste ned skadevare (Lumma Stealer) ved hjelp av en falsk CAPTCHA.

Referanser:

https://telenorsoc.blogspot.com/2024/09/situasjonsrapport-fra-telenor-soc.html

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.09.10

Kritiske sårbarheter i Kibana.

---

Kritiske sårbarheter i Kibana

HelseCERT melder at Elastic den 9. september 2024 varslet om to sårbarheter i Kibana. Begge kan la angriper kjøre vilkårlig kode på det underliggende operativsystemet.

Den første sårbarheten, CVE-2024-37288, krever at man bruker Elastic Securitys innebygde AI-verktøy og har konfigurert en Amazon Bedrock Connector.

Den andre sårbarheten, CVE-2024-37285, er kun utnyttbar dersom man har høye privilegier til Kibana-instansen. For en oversikt over hvilke privilegier som kreves se varselet fra Kibana.

Sårbarhetene har fått en CVSS score på henholdsvis 9.9 (KRITISK) og 9.1 (KRITISK).

Følgende versjoner av Kibana er sårbare:
 - 8.15.0 for CVE-2024-37288
 - 8.10.0 til og med 8.15 for CVE-2024-37285

HelseCERT kjenner ikke til at utnyttelseskode er offentlig tilgjengelig, og sårbarheten utnyttes så langt ikke aktivt.

Anbefaling:

Sårbare enheter bør oppdateres til versjon 8.15.1 snarest.

Sårbarheter:

CVE-2024-37288CVE-2024-37285

Referanser:

https://discuss.elastic.co/t/kibana-8-15-1-security-update-esa-2024-27-esa-2024-28/366119

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.09.09

Det har vært en rolig helg.

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.09.06

Ansatte i Lowe's kompromittert gjennom målrettede Google-annonser. Russiske militære hackere truer kritisk infrastruktur i USA og globalt, advarer FBI og partnere.

---

Ansatte i Lowe's kompromittert gjennom målrettede Google-annonser

I august satte angripere opp en målrettet kampanje mot ansatte i firmaet Lowe's, for å høste inn brukernavn og passord. Angriperne kjøpte annonser fra Google i forbindelse med treff på søkeordet "MyLowesLife", som er navnet på firmaets interne portal. Dersom en ansatt trykket på de sponsede resultatene, ble vedkommende sendt til en phishing-side som var lik til den vanlige portal-innloggingen. Phishing-siden samlet inn brukernes salgsnummer, passord og svar på sikkerhetsspørsmål før de ble videresendt til den faktiske MyLowesLife-nettsiden.

Referanser:

https://www.malwarebytes.com/blog/news/2024/09/lowes-employees-phished-via-google-ads

Russiske militære hackere truer kritisk infrastruktur i USA og globalt, advarer FBI og partnere

FBI, CISA, NSA og internasjonale partnere har utgitt en felles cybersikkerhetsadvarsel om russiske militære cyberaktører som retter seg mot kritisk infrastruktur i USA og globalt. Advarselen fokuserer på aktiviteter knyttet til GRU 161s spesialiserte treningssenter (Enhet 29155), som har utført datanettverk-operasjoner for spionasje, sabotasje og omdømmeskade siden 2020.

Rapporten inkluderer taktikker, teknikker og prosedyrer (TTPer), samt indikatorer på kompromittering (IOCer) assosiert med disse aktørene. Myndighetene oppfordrer organisasjoner til å gjennomgå advarselen for anbefalte tiltak mot de ondsinnede aktivitetene.

Referanser:

https://www.cisa.gov/news-events/alerts/2024/09/05/fbi-cisa-nsa-and-us-and-international-partners-release-advisory-russian-military-cyber-actors

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.09.05

USA justisdepartement har tatt ned russisk påvirkningsoperasjon. Sårbarheter i produkter fra Cisco, Juniper Networks og Veeam. Android-oppdatering tetter sikkerhetshull utnyttet i angrep.

---

USA justisdepartement har tatt ned russisk påvirkningsoperasjon

Justisdepartementet i USA har beslaglagt 32 internettdomener som ble brukt i en russisk statssponset påvirkningskampanje kalt "Doppelganger". Operasjonen, styrt av den russiske presidentadministrasjonen, spredte propaganda for å redusere støtten til Ukraina, fremme pro-russiske interesser og påvirke velgere i USA og andre land. Kampanjen benyttet seg av metoder som betaling til Youtube-profiler for å lage innhold, AI-generert innhold, betalte annonser på sosiale medier og falske profiler for å spre desinformasjon. Som en del av aksjonen har det amerikanske finansdepartementet også innført sanksjoner mot 10 personer og 2 enheter involvert i påvirkningsoperasjonen.

CNN melder at den russiske operasjonen finansierte et amerikansk firma kalt "Tenet Media", som igjen betalte flere amerikanske Youtube-kommentatorer for å støtte russiske interesser.

Referanser:

https://www.justice.gov/opa/pr/justice-department-disrupts-covert-russian-government-sponsored-foreign-malign-influence https://edition.cnn.com/2024/09/04/politics/doj-alleges-russia-funded-company-linked-social-media-stars/index.html https://therecord.media/doj-seizes-russian-disinfo-domains-election

Sårbarheter i produkter fra Cisco, Juniper Networks og Veeam

JustisCERT varsler om sårbarheter i:

• Produkter fra Cisco. Totalt 6 CVE (5 bulletiner) ble publisert av Cisco den 04.09.2024, hvor 2 er kategorisert som kritisk (CVE-2024-20439 og CVE-2024-20440, begge med CVSS-score 9.8) og 1 som alvorlig (CVE-2024-20430 med CVSS-score 7.3). De kritiske sårbarhetene berører Cisco Smart Licensing Utility. Cisco har publisert oppdateringer til støttede produkter.

• Juniper Secure Analytics (JSA). Totalt 1 bulletin (JSA86686 som omfatter 196 CVE) ble publisert av Juniper Networks den 04.09.2024, kategorisert som kritisk (CVSS-score 9.8). Juniper Networks har publisert nødvendig oppdatering.

• Produkter fra Veeam. Totalt 18 CVE ble publisert av Veeam den 04.09.2024, hvor 5 er kategorisert som kritisk (CVE-2024-40711, CVE-2024-42024, CVE-2024-42019, CVE-2024-38650 og CVE-2024-39714 med CVSS-score 9.0 - 9.9) og 13 som alvorlig (CVSS-score 7.3 - 8.8). Veeam har publisert oppdateringer til støttede produkter.

Referanser:

https://sec.cloudapps.cisco.com/security/center/publicationListing.x https://supportportal.juniper.net/s/article/On-Demand-JSA-Series-Multiple-vulnerabilities-resolved-in-Juniper-Secure-Analytics-in-7-5-0-UP9-IF02 https://www.veeam.com/kb4649

Android-oppdatering tetter sikkerhetshull utnyttet i angrep

Google har lansert sikkerhetsoppdateringer for Android som utbedrer 35 sårbarheter, inkludert en alvorlig lokal rettighetseskalerings-feil som har blitt utnyttet i angrep. Sårbarheten, kjent som CVE-2024-32896, påvirker Androids Framework-komponent og kan føre til at en lokal angriper får økte privilegier.

Sårbarheter:

CVE-2024-32896

Referanser:

https://www.securityweek.com/androids-september-2024-update-patches-exploited-vulnerability/ https://source.android.com/docs/security/bulletin/2024-09-01

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.09.04

Digital sikkerhet 2024 - Har vi tid til å vente?. Kloning-sårbarhet i YubiKey og andre autentiseringsnøkler. Google fikser svakheter i Chrome.

---

Digital sikkerhet 2024 - Har vi tid til å vente?

Telenor har i dag gitt ut sin årlige rapport "Digital sikkerhet".

Trusselsituasjonen i og mot Norge har endret seg mye i løpet av kort tid. Vi som er leverandører av kritisk infrastruktur må forberede oss på scenarier som før var utenkelige. Vi må alle øke innsatsen for å styrke egen motstandsdyktighet, ikke minst gjelder dette næringslivet.

I årets rapport ser vi nærmere på utviklingen i trusselbildet, og særlig på behovet for å bygge mer resiliens i virksomheter og på tvers av alle sektorer.

Referanser:

https://www.telenor.no/om/digital-sikkerhet/2024/

Kloning-sårbarhet i YubiKey og andre autentiseringsnøkler

Det er nylig oppdaget en sårbarhet i FIDO-implementasjonen i de populære autentiseringsnøklene fra YubiKey. Sårbarheten utnytter en kryptografisk svakhet, som muligjør kloning av enheten dersom en angriper får fysisk tilgang til sikkerhetsnøkkelen. Sikkerhetsfeilen påvirker mikrokontrolleren SLE78 som finnes i YubiKeys og andre autentiseringsenheter, men krever sofistikert spesialutstyr.

I følge Yubico (selskapet bak YubiKey) vil det i noen tilfeller også kreves at angriperen har tilgang til informasjon som brukernavn, PIN eller passord for at en innlogging med en klonet nøkkel skal lykkes. Yubico opplyser om at oppdatering av nøkkelens fastvare ikke er mulig, og at sårbare nøkler dermed vil forbli sårbare.

Vi anbefaler alle å slå på PIN-kode-sikring på sikkerhetsnøkler. Dette vil beskytte både originale mistede nøkler, samt eventuelt klonede nøkler.

Referanser:

https://arstechnica.com/security/2024/09/yubikeys-are-vulnerable-to-cloning-attacks-thanks-to-newly-discovered-side-channel/ https://support.yubico.com/hc/en-us/articles/4402836718866-Understanding-YubiKey-PINs

Google fikser svakheter i Chrome

Google fikset på mandag fire svakheter i Chrome i versjonene for Windows, Mac og Linux. Det er så langt bare sluppet detaljer om to av svakhetene, begge klassifisert med "høy" viktighet. Disse svakhetene ligger i WebAudio og Javascript-motoren V8. De to svakhetene, som det ikke har blitt gitt detaljer om enda, er oppdaget av Google selv.

Referanser:

https://chromereleases.googleblog.com/2024/09/stable-channel-update-for-desktop.html

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.09.03

Det har vært et rolig døgn.

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.09.02

Hackere fra Nord-Korea har utnyttet nylig oppdaget zero-day i Chromium. Ny ransomware-as-a-service (RaaS) gruppe retter seg mot VMware ESXi-systemer.

---

Hackere fra Nord-Korea har utnyttet nylig oppdaget zero-day i Chromium

Nordkoreanske hackere utnyttet en nylig oppdaget sårbarhet i Chromium for å distribuere rootkitet "FudModule". Sårbarheten som ble utnyttet ligger i javascript-motoren V8, kjent som CVE-2024-7971. Den ble oppdaget av Microsoft 19. august 2024 og patchet av Google i en oppdatering av Chrome 21. august. Etter å ha utnyttet svakheten i Chrome, ble en annen svakhet i Windows Kernel utnyttet, kjent som CVE-2024-38106, for å få installere rootkitet på systemet.

Aktiviteten Microsoft oppdaget er knyttet til hackergruppen Citrine Sleet. Angrepene var rettet mot finansinstitusjoner som i hovedsak jobber med kryptovaluta.

Sårbarheter:

CVE-2024-7971

Referanser:

https://www.microsoft.com/en-us/security/blog/2024/08/30/north-korean-threat-actor-citrine-sleet-exploiting-chromium-zero-day/ https://thehackernews.com/2024/08/north-korean-hackers-deploy-fudmodule.html

Ny ransomware-as-a-service (RaaS) gruppe retter seg mot VMware ESXi-systemer

Ransomware-as-a-service (RaaS) gruppen Cicada3301 har siden juni angrepet selskaper verden rundt. Gruppen har allerede listet 19 ofre på sin utpressingsportal. Gruppen gjennomfører dobbelutpressing ved at de først stjeler data, før de så krypterer enhetene hos ofrene. De krever deretter løsepenger for dekryptering av data og truer videre med lekkasjer av data som ble stjålet. Gruppen forsøker å maksimere skaden mot ESXi-virtualiseringsmiljøer i bedrifter blant annet ved å stoppe virtuelle maskiner, slette snapshots og forsinke krypteringen for å unngå deteksjon.

Referanser:

https://www.bleepingcomputer.com/news/security/cicada3301-ransomwares-linux-encryptor-targets-vmware-esxi-systems/