Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Thursday, 31 October 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.10.31

Skadevaren «FakeCall» omdirigerer nå banksamtaler til angripere. NSM: Mobilapplikasjoner på tjenesteenheter. Google og Mozilla oppdaterer nettlesere.

Skadevaren «FakeCall» omdirigerer nå banksamtaler til angripere

Skadevaren "FakeCall" for Android har utviklet seg og kaprer nå brukernes samtaler til bankene deres ved å omdirigere dem til angripernes numre. Denne banktrojaneren er designet for stemmephishing (vishing), der den utgir seg for å være finansinstitusjoner for å lure brukere til å avsløre sensitiv informasjon.

Den nyeste versjonen av FakeCall, analysert av Zimperium, ber brukerne om å sette den som standard samtalehåndterer. Dette gir den muligheten til å avskjære samtaler og etterligne bankens grensesnitt, noe som lurer brukerne til å tro at de er i kontakt med banken sin. Nye funksjoner gir angripere mulighet til å fjernstyre enheten, spore plassering, slette apper, ta opp lyd eller video og få tilgang til bilder. FakeCall bruker nå Androids Accessibility Service for å få omfattende kontroll over enhetens brukergrensesnitt. Zimperium advarer om tung kodeobfuskering og råder brukere til å unngå APK-installasjoner fra utenfor Google Play.

NSM: Mobilapplikasjoner på tjenesteenheter

Tjenesteenheter er en integrert del av organisasjonens digitale infrastruktur med samme behov for sikring som eksempelvis stasjonære eller bærbare datamaskiner. NSM anbefaler sterkt at norske virksomheter ikke overlater til den enkelte ansatte å vurdere hvilke applikasjoner som kan lastes ned på tjenesteenheter. NSM har derfor samlet en rekke råd og anbefalinger knyttet til mobilapplikasjoner for norske virksomheter å benytte i sikkerhetsarbeidet for tjenesteenheter.

Google og Mozilla oppdaterer nettlesere

Både Google og Mozilla ga på tirsdag ut oppdateringer for sine nettlesere.

I Chrome versjon 130 fikses det to svakheter. Den ene , CVE-2024-10487, er en kritisk minneoverskrivingssvakhet i WebGPU-systemet. Detaljer rundt svakheten er så langt ikke kjent, men det er så langt ikke meldt om at den brukes i angrep.

Mozilla melder at 11 svakheter har blitt fikset i Firefox og Thunderbird versjon 132. De to alvorligste svakhetene har fått "høy" viktighet.

Sårbarheter:

Posted by tsoc at 12:58 0 comments

Wednesday, 30 October 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.10.30

Mer detaljer om "Operation Magnus", der politiet har tatt ned malware som stjeler personlig informasjon.

Mer detaljer om "Operation Magnus"

I går ble det meldt at politimyndigheter i flere land i hadde tatt ned informasjons-stjelerne Redline og Meta i "Operation Magnus". I dag har det kommet flere detaljer rundt operasjonen.

USA har i dag tatt ut tiltalte mot en russisk statsborger de mener er utvikleren bak Redline-malwaren. Det har også kommet fram at nederlandsk politi har tatt beslag i tre servere i Nederland. Belgisk politit har arrestert to personer i forbindelse med aksjonen, som skal være Redline-kunder.

Sikkerhetsfirmaet ESET har lansert en scanner som kan lastes ned for å sjekke om en maskin har vært påvirket av en informasjons-stjeler. Firmaet har også hjulpet til i forbindelse med aksjonen.

Posted by tsoc at 12:30 0 comments

Tuesday, 29 October 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.10.29

Myndigheter i flere land har tatt ned informasjons-stjelerne Redline og Meta. Phishing-angrep bruker RDP-konfigurasjonsfiler i eposter. Apple har gitt ut sikkerhetsoppdateringer for sine produkter.

Myndigheter i flere land har tatt ned Redline og Meta informasjons-stjelere

Den 28. oktober kunngjorde nederlandsk politi, i tett samarbeid med FBI og andre partnere, at de hadde tatt ned informasjons-stjelerne Redline og Meta i "Operasjon Magnus". Saken er under etterforskning og mer informasjon vil komme etter hvert.

Uifra videoen som er lagt ut på siden kan det virke som om myndighetene har infiltrert forsyningskjeden til informasjons-stjelerne og sendt ut en modifisert versjon til brukerne, noe som gjør det mulig å spore dem.

Phishing-angrep bruker RDP-konfigurasjonsfiler i eposter

CERT-UA har avdekket en sofistikert phishingkampanje som retter seg mot offentlige etater, industri og militære enheter i Ukraina. Angriperne sender ut e-poster som utgir seg for å handle om integrasjon av Amazon- og Microsoft-tjenester og implementering av Zero Trust Architecture. De vedlagte .RDP-filene etablerer i virkeligheten utgående Remote Desktop-forbindelser til angripernes servere.

Når disse filene åpnes, får angriperne omfattende tilgang til offerets datamaskinressurser, inkludert lokale disker, nettverksressurser, skrivere og mulighet til å kjøre uautoriserte programmer. Analyser tyder på at forberedelsene til cyberangrepene startet allerede i august 2024, noe som indikerer en godt planlagt operasjon.

Vi anbefaler å blokkere .rdp-filer i eposter, begrense tilgang til verktøyet der det ikke er nødvendig og sette opp group policies for å hindre redirigering av lokale ressurser via RDP-sesjoner.

Apple har gitt ut sikkerhetsoppdateringer for sine produkter

Apple ga i går ut sikkerhetsoppdateringer for sine produkter, inkludert iOS 18.1, macOS Sequoia 15.1 og watchOS 11.1. Flere av oppdateringene for iOS fikser muligheter for å omgå låseskjermen og få tilgang til sensitiv informasjon. Det er så langt ikke meldt om at noen av svakhetene utnyttes i aktive angrep. Totalt er det 67 svakheter som utbedres.

Posted by tsoc at 12:47 0 comments

Monday, 28 October 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.10.28

Over $1 million USD utbetalt etter hacker-konkurransen Pwn2Own i Irland.

Over $1 million USD utbetalt etter hacker-konkurransen Pwn2Own i Irland

Under årets Pwn2Own-konkurranse i Irland demonstrerte sikkerhetsforskere over 70 nye sårbarheter i ulik forbrukerelektronikk som overvåkningskameraer, skrivere, NAS-enheter, smarthøyttalere og mobiltelefoner. Viettel Cyber Security-teamet vant konkurransen og sikret seg totalt 205 000 dollar i premiepenger. Premier på henholdsvis 250 000 dollar for Pixel 8 og iPhone 15, samt 300 000 dollar for WhatsApp-sårbarheter, forble urørte da ingen meldte seg på for å hacke disse produktene. Over de fire konkurransedagene ble det utbetalt totalt 1 066 625 dollar i premiepenger, hvilket er omtrent det samme som fjorårets arrangement. Sårbarhetene blir rapportert til de respektive produsentene.

Posted by tsoc at 13:48 0 comments

Friday, 25 October 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.10.25

Cisco fikser svakheter, inkludert VPN DoS-sårbarhet. Slå av "Advertising ID" på Android og iOS for å hindre sporing. Finland rapporterer om russisk sabotasje og påvirkningsoperasjoner.

Cisco fikser svakheter, inkludert VPN DoS-sårbarhet

Cisco har rettet en sårbarhet (CVE-2024-20481) i sine Cisco ASA og Firepower Threat Defense (FTD) produkter. Feilen gjorde det mulig for angripere å utføre et tjenestenektangrep (DoS) mot RAVPN-tjenesten ved å sende mange autentiseringsforespørsler. Feilen skyldes en minnelekkasje i forbindelse med håndtering av innlogging.

Cisco har også utstedt 37 sikkerhetsvarsler for 42 sårbarheter i flere av sine produkter, inkludert tre sårbarheter som er rangert kritisk. Disse tre er CVE-2024-20412 for Firepower Threat Defense (FTD), CVE-2024-20424 for Secure Firewall Management Center (FMC) og CVE-2024-20329 for Adaptive Security Appliance (ASA). Det kreves lokal tilgang eller en innlogget bruker for å utnytte disse svakhetene.

Sårbarheter:

Slå av "Advertising ID" på Android og iOS for å hindre sporing

De siste dagene har det igjen blitt fokus på lokasjons-sporing av mobiltelefoner ved hjelp av "Advertising ID", som er et unikt nummer som brukes for å spore mobiltelefoner på tvers av applikasjoner og annonser. Ved hjelp av abonnements-tjenester og annonse-auksjoner kan hvem som helst få tilgang til å spore hvor mobiltelefoner beveger seg, og ofte finne ut hvor brukerne bor og hva de foretar seg.

En enkel måte å gjøre denne sporingen vanskeligere på er å slette Advertising ID i mobiltelefonen.

Finland rapporterer om russisk sabotasje og påvirkningsoperasjoner

Finland rapporterer om en økning i fiendtlige aktiviteter fra Russland, ifølge landets innenriksminister Lulu Ranne. NATO og vestlige etterretningstjenester, inkludert Finlands egen, advarer om at Russland står bak et økende antall fiendtlige handlinger i Europa.

Disse aktivitetene inkluderer cyberangrep, sabotasje, og organisert migrasjon. Ranne påpeker at dette skaper en generell følelse av usikkerhet og uklarhet om hva som er sant og ikke. Selv om mange hendelser fortsatt er under etterforskning, indikerer både sivil og militær etterretning at Russland er hovedaktøren bak disse omfattende påvirkningsoperasjonene mot Finland.

Finlands sikkerhetstjeneste (Supo) bemerker at noen mistenkelige hendelser kan være knyttet til vandalisme og ikke nødvendigvis til fremmede stater. Dette kan skyldes økt årvåkenhet i befolkningen. Likevel rapporterer store selskaper som energiselskapet Fortum og banken Nordea om daglige cyberangrep og andre forstyrrelser.

Finske myndigheter undersøker systematisk alle tilfeller av droner som oppdages nær kritisk infrastruktur. Det har også vært rapportert om flere tyverier ved vannverk og lignende anlegg, hvor teknisk utstyr har blitt stjålet uten åpenbar økonomisk interesse.

Posted by tsoc at 12:44 0 comments

Thursday, 24 October 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.10.24

Fortinet svakheten aktivt utnyttet siden juni.

Fortinet svakheten aktivt utnyttet siden juni

Mandiant har avdekket at sårbarhet i Fortinet FortiManager, som vi tidligere har omtalt, har vært utnyttet i angrep siden juni 2024. Denne svakheten gjør det mulig for angripere å omgå autentisering og utføre API-kommandoer på FortiManager-servere, noe som kan eksponere sensitiv konfigurasjonsdata om administrerte enheter. Svakheten har nå fått CVE-nummer: CVE-2024-47575. Trusselaktøren UNC5820 er identifisert som den som står bak angrepene. Fortinet har gitt ut sikkerhetsoppdateringer og anbefaler at brukere implementerer nødvendige tiltak for å beskytte systemene sine.

Sårbarheter:

Posted by tsoc at 14:29 0 comments

Wednesday, 23 October 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.10.23

Mer detaljer/spekulasjoner rundt Fortigate-svakhet. Svakhet i Samsung-telefoner utnyttes aktivt. Kritisk sårbarhet i VMware vCenter Server og Cloud Foundation. Utnyttelse av Docker Remote API-servere.

Mer detaljer/spekulasjoner rundt Fortigate-svakhet

Sikkerhetsforskeren Kevin Beaumont har prøvd å samle informasjon rundt den påståtte svakheten i Fortigate som er under utnyttelse. Vi omtalte dette i gårsdagens nyhetsbrev.

Svakhet i Samsung-telefoner utnyttes aktivt

En null-dags svakhet kjent som CVE-2024-44068 utnyttes aktivt mot Samsung-mobiler. Svakheten ligger i "m2m scaler"-driveren til diverse Exynos-brikkesett. Den utnyttes som en del av en kjede av flere svakheter til å ta kontroll over sårbare mobiler. Svakheten ble patchet i Oktober-oppdateringen til Samsung, og vi oppfordrer til å oppdatere så fort som mulig!

Kritisk sårbarhet i VMware vCenter Server og Cloud Foundation

HelseCERT melder at Broadcom den 21. oktober varslet om at oppdateringene de slapp i september for to sårbarheter i VMware Vcenter og Cloud Foundation ikke var tilstrekkelige for å lukke sårbarhetene. Nye oppdateringer er sluppet, inkludert for 8.0 Update 2, som ikke fikk oppdatering i september.

Vellykket utnyttelse gjør det mulig for angripere å:

  • Kjøre kode (CVE-2024-38812/CVSS 9,8 (KRITISK))

  • Øke rettigheter til root (CVE-2024-38813/CVSS 7,5 (ALVORLIG))

Begge sårbarhetene går ut på at angriper sender en spesielt utformet nettverkspakke. Utnyttelse krever dermed nettverkstilgang til vCenter Server.

Sårbarhetene lukkes i følgende versjoner av vCenter Server og "Async patch" for Cloud Foundation:

  • 8.0 U3d

  • 8.0 U2e

  • 7.0 U3t

HelseCERT er ikke kjent med at utnyttelseskode er offentlig tilgjengelig eller at sårbarhetene utnyttes aktivt.

Utnyttelse av Docker Remote API-servere

Ondsinnede aktører har nylig blitt observert å utnytte Docker remote API-servere for å distribuere kryptomineren SRBMiner på kompromitterte systemer. Ifølge en rapport fra Trend Micro bruker angriperne gRPC-protokollen over h2c for å omgå sikkerhetstiltak og utføre kryptomining på Docker-serverne. Kampanjen starter ved at angriperne identifiserer offentlig tilgjengelige Docker API-servere og sjekker muligheten for HTTP/2-protokolloppgraderinger. Deretter sender de en forespørsel om å oppgradere tilkoblingen til h2c-protokollen, som er HTTP/2 uten TLS-kryptering. Når serveren har behandlet oppgraderingsforespørselen, sendes en "/moby.buildkit.v1.Control/Solve" gRPC-forespørsel for å opprette en container. Denne brukes så til å mine XRP-kryptovaluta ved hjelp av SRBMiner-programvaren som er lagret på GitHub.

Trend Micro rapporterer også om eksponerte Docker remote API-servere som utnyttes for å distribuere perfctl-skadevare (enten kryptomining eller proxyjacking). Denne kampanjen bygger på samme angrepsmetodikk som tidligere nevnt, og opprettter en Docker-container med navnet "ubuntu:mantic-20240405". Skadevaren som er kodet ved hjep av Base64 blir så eksekvert.

For å beskytte seg mot slike angrep anbefales brukere å implementere tilgangskontroller og autentiseringsmekanismer for Docker remote API-servere, samt overvåke serverne for unormal aktivitet.

Posted by tsoc at 12:26 0 comments

Tuesday, 22 October 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.10.22

MacOS-sårbarhet kan gi uautorisert tilgang til kamera, mikrofon og andre sensitive data.. Fortinet har gitt ut kritisk oppdatering for svakhet som allerede utnyttes. Over 6000 WordPress-nettsteder hacket for å spre informasjons-stjelere.

MacOS-sårbarhet kan gi uautorisert tilgang til kamera, mikrofon og andre sensitive data.

Microsoft Threat Intelligence har oppdaget en sikkerhetssårbarhet i macOS kalt "HM Surf" som kan omgå operativsystemets beskyttelsesmekanisme "Transparency, Consent, and Control" (TCC). Sårbarheten gjør det mulig for angripere å få tilgang til sensitive data som kamera, mikrofon, lokasjon og nettleserhistorikk uten brukerens samtykke ved å manipulere Safari-nettleserens konfigurasjonsfiler. Apple har allerede utgitt en sikkerhetsoppdatering for sårbarheten 16. september, som nå er identifisert som CVE-2024-44133, i macOS Sequoia. Microsoft har observert at den kjente macOS-skadevaren Adload potensielt utnytter denne sårbarheten. Sårbarheten påvirker primært Safari-nettleseren, siden denne har utvidede tilganger til systemet.

Sårbarheter:

Fortinet har gitt ut kritisk oppdatering for svakhet som allerede utnyttes

For en uke siden varslet Fortinet utvalgte kunder om en kritisk svakhet i FortiManager. De siste dagene har selskapet også gitt ut sikkerhetsoppdateringer, men det har ikke blitt sluppet detaljer om disse. Det går rykter om at svakheten utnyttes aktivt av kinesiske aktører, men den har enda ikke fått et offisielt CVE-nummer.

Vi anbefaler Fortinet-kunder å følge med på kommunikasjon fra selskapet og installere oppdateringer så fort de er tilgjengelige.

Over 6000 WordPress-nettsteder hacket for å spre informasjons-stjelere

En omfattende hacker-kampanje har kompromittert mer enn 6000 WordPress-nettsteder ved å installere falske plugins med navn som ligner på legitime tillegg som "Wordfence Security" og "LiteSpeed Cache". De ondsinnede pluginene injiserer JavaScript-kode som viser falske feilmeldinger og programvareoppdateringer til besøkende, særlig gjennom kampanjene kjent som ClearFake og ClickFix. Når brukere prøver å løse disse falske problemene, blir de i stedet ofre for informasjonstyveri gjennom skadevare. Angriperne får tilgang til WordPress-nettstedene ved å bruke stjålne administrator-kontoer, og bruker en automatisert prosess for å installere de ondsinnede pluginene.

Posted by tsoc at 11:53 0 comments

Monday, 21 October 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.10.21

Cisco tar ned DevHub-portal etter datalekkasje fra hacker. Nordea utsatt for kraftige DDoS-angrep. Microsoft mistet to uker med sikkerhetslogger for noe kunder.

Cisco tar ned DevHub-portal etter datalekkasje fra hacker

Cisco har tatt ned sin offentlige DevHub-portal etter at en hacker kjent som IntelBroker lekket interne data. Selskapet hevder at det ikke er tegn til at selve systemene deres har blitt kompromittert, men bekrefter at enkelte filer som ikke skulle ha vært offentlig tilgjengelige har blitt publisert. Hackeren hevder til BleepingComputer at tilgangen ble oppnådd gjennom en tredjeparts utviklingsmiljø via et eksponert API-token. Dataene som ble lekket, inkluderte blant annet kildekode, teknisk dokumentasjon og konfigurasjonsfiler. Cisco etterforsker fortsatt saken, men sier fortsatt at de ikke tror at personlige eller økonomiske data er kompromittert.

Nordea utsatt for kraftige DDoS-angrep: –⁠ Enorm økning

– Vi ser en økning i DDoS-angrep. Vi vet vi er blant mange som kjenner på dette. Det siste angrepet varte over 25 dager og var mye kraftigere og i en helt annen form enn vi har sett før, sier Randi Marjamaa, landsjef for Nordea Norge til VG.

Siden sommeren har banken og dens nordiske søster­fillialer opplevd en kraftig økning i antall tjenestenekt­angrep, forteller hun. Noen av angrepene starter i ett land og smitter til et annet.

Microsoft mistet to uker med sikkerhetslogger for noe kunder

Microsoft har varslet noen kunder om at de mangler over to uker med sikkerhetslogger for noen av deres skytjenester. Feilen oppsto mellom 2. og 19. september i en intern overvåkingsagent. Berørte tjenester inkluderer Microsoft Entra, Sentinel, Defender for Cloud og Purview. Microsoft understreker at loggtapet ikke skyldes en sikkerhetshendelse, men kan påvirke kunders evne til å analysere data, oppdage trusler og generere sikkerhetsvarslinger. Selskapet har løst problemet ved å rulle tilbake en endring i sine systemer og har varslet de berørte kundene om hendelsen.

Posted by tsoc at 13:28 0 comments

Friday, 18 October 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.10.18

Kritisk feil i Kubernetes Image Builder gir SSH root-tilgang til VM-er. Kritisk sårbarhet i Jetpack-plugin fikset i 101 oppdateringer. Oppdatering av Chrome Stable Channel. Oracle fikser over 200 sårbarheter i oktober CPU (Critical Patch Update). F5 fikser svakheter i BIG-IP og BIG-IQ.

Kritisk feil i Kubernetes Image Builder gir SSH root-tilgang til VM-er

En kritisk sårbarhet i Kubernetes, kjent som CVE-2024-9486, gir uautorisert SSH-tilgang til virtuelle maskiner (VM-er) opprettet med Kubernetes Image Builder versjon 0.1.37 eller tidligere, spesielt for bilder bygget med Proxmox provider. Problemet skyldes at standardkonto for innlogging er aktivert under byggingsprosessen, og ikke blir deaktivert etterpå. Angripere kan utnytte dette for å få root-tilgang til berørte VM-er.

Den anbefalte løsningen er å oppdatere til Image Builder versjon 0.1.38 eller senere, som setter et tilfeldig generert passord og deaktiverer "builder"-kontoen etter byggingen. Alternativt kan brukere midlertidig redusere risikoen ved å deaktivere builder-kontoen med kommandoen usermod -L builder.

En annen relatert sårbarhet, CVE-2024-9594, påvirker bilder bygget med Nutanix, OVA, QEMU eller raw providers. Den har middels alvorlighetsgrad siden den krever tilgang til VM-en som oppretter bildet under byggeprosessen. Samme løsning og tiltak gjelder.

Kritisk sårbarhet i Jetpack-plugin fikset i 101 oppdateringer

Automattic har utgitt sikkerhetsoppdateringer for 101 versjoner av WordPress-pluginen Jetpack for å fikse en kritisk sårbarhet som var tilgjengelig siden 2016 (versjon 3.9.9). Feilen ble oppdaget under en intern sikkerhetsgjennomgang og påvirker alle utgivelser fra versjon 3.9.9 og fremover. Sårbarheten, som gir innloggede brukere mulighet til å lese besøkendes innsendinger via Jetpacks kontaktskjema, er nå løst med disse oppdateringene.

Administratorer av nettsider som bruker Jetpack oppfordres til å sjekke sin versjon og oppdatere om nødvendig. Automattic har ingen bevis for at sårbarheten har blitt utnyttet, men advarer om at det kan skje nå som oppdateringene er ute.

Oppdatering av Chrome Stable Channel: Kritiske sikkerhetspatcher inkludert i ny versjon

Chrome Stable channel har oppdatert til versjon 130.0.6723.58/.59 for Windows, Mac og Linux. Denne oppdateringen inkluderer flere sikkerhetsoppdateringer, som retter 17 sårbarheter. Den mest kritiske, CVE-2024-9954, er en "use after free"-sårbarhet i AI, med en bugbounty-premie på $36,000. Oppdateringen inkluderer også sikkerhetsforbedringer av medium og lav alvorlighetsgrad knyttet til komponenter som Web Authentication, DevTools, og Picture-in-Picture.

Sårbarheter:

Oracle fikser over 200 sårbarheter i oktober CPU (Critical Patch Update)

Oracle kunngjorde tirsdag 334 nye sikkerhetsoppdateringer i sin oktober 2024 Critical Patch Update (CPU). Av disse er 186 sikkerhetsoppdateringer for sårbarheter som kan utnyttes eksternt uten autentisering. Oracle Communications fikk flest sikkerhetsoppdateringer, med 81 av 100 oppdateringer rettet mot eksternt utnyttbare sårbarheter som ikke krever autentisering. MySQL, Fusion Middleware, Financial Services Applications, E-Business Suite er blant andre programmer som mottok flere sikkerhetsoppdateringer i denne patche-runden. Oracle oppfordrer kundene til å installere sikkerhetsoppdateringene raskt, da trusselaktører historisk er kjent for å utnytte kjente sårbarheter i Oracle-produkter.

F5 fikser svakheter i BIG-IP og BIG-IQ

På onsdag ga F5 ut sin kvartalsvise oppdatering for sine produkter. Blant annet utbedres svakheten CVE-2024-45844 i BIG-IP, som gjør det mulig for en bruker med eksisterende tilgang til systemet å utvide rettighetene sine. Vi anbefaler F5-kunder å se over oppdateringene.

Sårbarheter:

Posted by tsoc at 12:39 0 comments

Tuesday, 15 October 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.10.15

Cisco undersøker sikkerhetsbrudd etter salg av stjålne data. Nkom advarer mot sabotasje og cyberangrep på infrastruktur.

Cisco undersøker sikkerhetsbrudd etter salg av stjålne data

Cisco har bekreftet at de undersøker et mulig sikkerhetsbrudd etter at stjålne data ble lagt ut for salg på et hackingforum. Selskapet forsøker å vurdere omfanget av lekkasjen og arbeider for å identifisere hvordan angrepet skjedde. Foreløpige rapporter tyder på at hackergruppen Scattered Spider kan stå bak angrepet. Det anbefales at Cisco-kunder er ekstra oppmerksomme på potensielle phishing-forsøk. Ytterligere detaljer vil bli delt etter hvert som etterforskningen skrider frem.

Nkom advarer mot sabotasje og cyberangrep på infrastruktur

I årets rapport beskriver Nkom et endret trusselbilde. Forholdet til Russland er blitt verre, og Kina er på jakt etter opplysninger innen industri og politikk.

Den sikkerhetspolitiske situasjonen gir økt risiko for tilbydere av internett og telefoni.

– Konsekvensen av typer handlinger som kan rettes mot sektoren, kan være veldig store, advarer fungerende direktør i Nkom, John-Eivind Velure.

– Norge er et veldig digitalisert land, som er helt avhengig av at internettjenester og mobiltjenester skal virke stort sett, eller helst hele tida, forklarer han.

Posted by tsoc at 13:41 0 comments

Monday, 14 October 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.10.14

Svindlere målretter seg mot brukere av Airbnb og Booking.com.

Svindlere målretter seg mot brukere av Airbnb og Booking.com

Forskere fra ESET har avdekket at svindlernettverket Telekopye har utvidet sin virksomhet til å angripe brukere av populære booking-plattformer som Booking.com og Airbnb. Svindlerne bruker kompromitterte kontoer tilhørende legitime hoteller og utleiere for å målrettet svindle brukere som nylig har booket opphold, men ennå ikke har betalt. De sender phishing-e-poster som hevder det er problemer med betalingen og leder ofrene til godt utformede, falske nettsider som etterligner de ekte plattformene med kundens ekte informasjon inkludert.

Denne typen svindel har hatt en skarp økning i 2024, særlig i sommermånedene, og har nå nådd omtrent halvparten av deteksjonene sammenlignet med Telekopyes tradisjonelle nettbutikksvindler. Politiet i Tsjekkia og Ukraina har arrestert flere cyberkriminelle knyttet til Telekopye i to felles operasjoner sent i 2023.

Posted by tsoc at 14:09 0 comments

Friday, 11 October 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.10.11

Kritisk sårbarhet i GitLab EE. Sårbarheter i Juniper-utstyr. Undersøkelse: Ni av ti nordmenn utsettes for digitale svindelforsøk. I gårsdagens nyhetsbrev var det en feil i saken om en svakhet i Firefox. I saken var det listet opp sårbare versjoner, men det riktige var at dette var de fiksede versjonene. Vi beklager!

Kritisk sårbarhet i GitLab EE

HelseCERT melder at GitLab den 9. oktober informerte om en kritisk sårbarhet i GitLab Enterprise Edition (EE). Sårbarheten lar angripere kjøre pipelines på vilkårlige branches. I praksis åpner dette for kjøring av vilkårlig kode.

Sårbarheten er tildelt CVE-2024-9164 og har fått en CVSS-score på 9,8 (KRITISK).

Sårbarheten lukkes i følgende versjoner av Gitlab CE/EE:
17.4.2
17.3.5
17.2.9

HelseCERT kjenner ikke til at utnyttelseskode er offentlig tilgjengelig eller at sårbarheten utnyttes aktivt. Vi anbefaler å oppgradere!

Sårbarheter:

Sårbarheter i Juniper-utstyr

Juniper publiserte 9. oktober 2024 31 sårbarhetsvarsler knyttet til JunOS og JunOS Evolved. Ett av sårbarhetsvarslene er vurdert til til å være kritisk og påvirker web-api og grpc telemetri via flere sårbarheter oppdaget i den innebyggde webserveren i Juniper Junos OS. Ut over dette er 13 andre av sårbarhetene vurdert til kritikalitet høy og flere av disse berører blant annet feilaktig håndtering av BGP meldinger kan føre til krasj i ruting daemon og tjenestenekt.

EkomCERT er ikke kjent med ondsinnet utnyttelse av sårbarhetene.

EkomCERT anbefaler alle ekomaktører med sårbart utstyr å prioritere
oppdatering eller iverksette mitigerende tiltak.

Undersøkelse: Ni av ti nordmenn utsettes for digitale svindelforsøk

I undersøkelsen Respons Analyse har utført for Nasjonal kommunikasjonsmyndighet (Nkom), oppgir ni av ti over 18 år at de er utsatt for svindelforsøk i løpet av det siste året. 74 prosent sier det skjer månedlig eller oftere, mens 11 prosent svarer at det skjer daglig.

Posted by tsoc at 12:10 0 comments

Thursday, 10 October 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.10.10

Firefox nulldags-sårbarhet under angrep: oppdater nettleseren din nå. Kritiske sårbarheter i Palo Alto Networks' Expedition-verktøy truer brannmurer. Internet Archive er under angrep. Avansert gruppering utvikler verktøysett for å kompromittere isolerte systemer. Situasjonsrapport fra Telenor SOC - september 2024.

Firefox nulldags-sårbarhet under angrep: oppdater nettleseren din nå

Mozilla har avslørt en kritisk sikkerhetsfeil som blir aktivt utnyttet, og påvirker Firefox og Firefox Extended Support Release (ESR). Svakheten er av typen "user-after-free" og ligger i komponenten "Animation timeline". Det er foreløpig ingen detaljer om hvordan svakheten blir utnyttet og i hvilke type angrep.

Svakheten er fikset i følgende versjoner:

  • Firefox 131.0.2

  • Firefox ESR 128.3.1

  • Firefox ESR 115.16.1.

Sårbarheter:

Kritiske sårbarheter i Palo Alto Networks' Expedition-verktøy truer brannmurer

Palo Alto Networks har nylig utgitt en sikkerhetsadvarsel som om flere alvorlige sårbarheter i deres Expedition-migrasjonsverktøy, med CVSS-score opp til 9,9. Sårbarhetene inkluderer OS-kommandoinjeksjon, SQL-injeksjon og lagring av sensitiv informasjon i klartekst, som potensielt kan gi angripere rotaksess og mulighet til å stjele konfidensiell data som brukernavn, passord og API-nøkler fra PAN-OS-brannmurer. Det er allerede offentlig utnyttelseskode tilgjengelig.

Anbefaling:

Organisasjoner som bruker Palo Alto Networks Expedition bør straks oppgradere til versjon 1.2.96 eller nyere

Situasjonsrapport fra Telenor SOC - september 2024

Vi har publisert vår situasjonsrapport fra Telenor SOC for august 2024. Denne måneden skriver vi blant annet om en phishing-kampanje som rammet flere norske firmaer og omgikk vanlig tofaktor-autentisering.

Internet Archive er under angrep

The Internet Archive er et nettsted som arkiverer innhold fra Internet og tar var på dette for ettertiden. Nettstedet har vært rammet av et datainnbrudd via et sårbart Javascript-bibliotek. Via svakheten har uvedkommende fått tilgang til systemene og har blant annet lastet ned en database med oversikt over de 31 millioner registrerte brukerne. Nettstedet har også vært utsatt for store DDoS-angrep i flere uker. Det er ukjent hvem som står bak angrepene. Tjenesten "Have I been Pwned" har blitt oppdatert med de kompromitterte epost-adressene.

Avansert gruppering utvikler verktøysett for å kompromittere isolerte systemer

Sikkerhetsselskapet ESET har avdekket to sofistikerte verktøysett utviklet av en hackergruppe sponset av en nasjonalstat, muligens fra Russland, for å stjele sensitive data fra isolerte systemer (air-gap).

Det første verktøysettet ble brukt mot en sørasiatisk ambassade i Hviterussland i 2019, mens det andre infiserte en EU-organisasjon tre år senere. Begge verktøysettene tilskrives gruppen GoldenJackal, som viser tydelig besitter betydelige ressursser ved å utvikle to separate verktøy rettet mot isolerte systemer på fem år. Angrepene involverer infisering av USB-enheter for å overføre data mellom isolerte og internettilkoblede systemer. Det nyeste verktøysettet viser økt sofistikasjon med en modulær tilnærming og flere eksfiltrasjonsmekanismer.

Bedrifter med isolerte systemer bør etablere strenge rutiner for håndtering og kontroll av eksterne lagringsenheter.

Posted by tsoc at 16:58 0 comments

Wednesday, 9 October 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.10.09

Microsoft patcher 117 svakheter. Adobe og SAP har gitt ut oppdateringer. Det har klosset seg til for LEGO.

Microsoft patcher 117 svakheter

Denne måneden patcher Microsoft 117 svakheter i forbindelse med patche-tirsdag. Tre av svakhetene regnes som kritiske. Fem svakheter har allerede blitt kjent før patchene ble gitt ut, og to av disse blir allerede utnyttet aktivt i angrep. Noen av de mer interessante svakhetene er:

  • CVE-2024-43572: En angriper kan få en bruker til å åpne en spesielt utformet MSC (Microsoft Save Console)-fil og dermed få kjørt vilkårlig kode. Denne svakheten har allerede blitt utnyttet.

  • CVE-2024-43573: Svakheten muliggjør spoofing i MSHTML-systemet, altså Internet Explorer og eldre versjoner av Edge. Denne svakheten har allerede blitt utnyttet aktivt, men det er ukjent nøyaktig hvordan.

  • CVE-2024-6197: Denne svakheten i CURL ble opprinnelig patchet i juli. Personene som vedlikeholder CURL opplyser at svakheten mest sannsynlig kun kan føre til krasj, ikke kjøring av tilfeldig kode.

  • CVE-2024-20659: Svakheten kan la en virtuell maskin forbigå UEFI ved reboot av host-maskinen for deretter å kompromittere hypervisoren og kernelen. Det kreves fysisk tilgang for å utnytte svakheten.

Adobe og SAP har gitt ut oppdateringer

Adobe har gitt ut oppdateringer for flere av sine produkter. De mest alvorlige svakhetene finnes i Adobe Commerce og Magento Open Source.

SAP har også gitt ut 6 sikkerhets-oppdateringerfor sin portefølje. De mest alvorlige svakhetene ligger i SAP BusinessObjects.

Klosset seg til for LEGO

LEGOs offisielle nettside ble nylig endret for å promotere en svindel-kryptovaluta. Hendelsen skjedde oktober 5. fra 03:00 til 04:15 norsk tid. I løpet av perioden erstattet angriperen hovedbanneret på LEGO.com med et bilde som reklamerte for "LEGO Coin" som angivelig kunne kjøpes med Ethereum. Til forskjell fra mange kryptosvindel-metoder, ledet denne brukere til den legitime Uniswap-plattformen (desentralisert kryptovaluta-børs) for å kjøpe den falske kryprovalutaen. LEGO bekrefter angrepet på nettsiden deres, men gir ingen detaljer om hendelsesforløpet. Angrepet var relativt mislykket, med få tusen kroner verdt av tokens kjøpt. LEGO har identifisert årsaken og implementerer tiltak for å forhindre fremtidige hendelser. Denne typen angrep på et så høyprofilert nettsted blir vanligvis ikke brukt kun for en kryptovaluta-svindel, da de kan gi angriperne mulighet for å tilegne seg sensitiv data som kundedata eller kredittkortinformasjon.

Posted by tsoc at 12:35 0 comments

Tuesday, 8 October 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.10.08

Qualcomm fikser kritisk nulldagssårbarhet i flere brikkesett.

Qualcomm fikser kritisk nulldagssårbarhet i flere brikkesett

Qualcomm har utgitt en oppdatering for en nulldagssårbarhet i Digital Signal Processor (DSP)-tjenesten, som påvirker flere titalls brikkesett. Sårbarheten, identifisert som CVE-2024-43047, skyldes en "use-after-free"-svakhet, som kan føre til minnekorrupsjon når den utnyttes av lokale angripere med vanlige privilegier. Google Project Zero og Amnesty International Security Lab oppdaget sårbarheten, som allerede er blitt utnyttet i begrensede, målrettede angrep. Qualcomm anbefaler enhetsprodusenter om å implementere oppdateringen så raskt som mulig. Svakheten rammer flere typer produkter med Qualcomm-brikkesett, inkludert Android-mobiler.

Sårbarheter:

Posted by tsoc at 12:12 0 comments

Monday, 7 October 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.10.07

Apple har fikset to svakheter i iOS 18.

Apple har fikset to svakheter i iOS 18

Apple har gitt ut oppdateringer til iOS og iPadOS for å fikse to svakheter.

Den ene svakheten kan gjøre det mulig for en person med fysisk tilgang til enheten å få lest opp lagrede passord på enheten. Dette er mulig på grunn av en svakhet i funksjonaliteten "VoiceOver", som brukes for å få lest opp tekst fra skjermen.

Svakhet nummer to gjelder bare de nye iPhone 16-modellene og kan gjøre det mulig å ta opp lyd noen få sekunder før mikrofon-ikonet vises. Dette ikonet indikerer når mikrofonen er aktiv.

Anbefaling:

Oppdater til iOS 18.0.1 og iPadOS 18.0.1.

Posted by tsoc at 15:11 0 comments

Friday, 4 October 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.10.04

Sikkerhetsoppdateringer fra Google og Mozilla: Løser 17 sårbarheter i Chrome og Firefox. Global innsats mot hacker-gruppen "Lockbit". FIN7-hackere sprer skadevare gjennom deepfake-nettsteder. Rekordstort DDoS-angrep.

Sikkerhetsoppdateringer fra Google og Mozilla: Løser 17 sårbarheter i Chrome og Firefox

Google og Mozilla har lansert nye sikkerhetsoppdateringer for Chrome og Firefox, som inkluderer 17 sårbarheter, hvorav 10 er av høy alvorlighetsgrad.

Chrome-oppdateringen (versjonene 129.0.6668.89/.90) løser fire sikkerhetsproblemer, inkludert tre sårbarheter av høy alvorlighetsgrad rapportert av eksterne forskere: en integer-overflow i Layout, utilstrekkelig datavalidering i Mojo, og feil-implementering i V8. Google tildelte 10 000 dollar for oppdagelsen av én av disse sårbarhetene.

Mozilla’s Firefox 131-oppdatering fikser 13 sårbarheter, inkludert syv høy alvorlighetsgrad feil, hvorav noen påvirker Android-brukere. Disse inkluderer problemer med cross-origin access og vilkårlig lasting av sider. Oppdateringen løser også tre minnesikkerhetsfeil som kan føre til vilkårlig kodekjøring.

Anbefaling:

Brukere anbefales å oppdatere nettlesere og e-postklienter, selv om det ikke er rapportert om aktive utnyttelser for disse sårbarhetene.

Global innsats mot hacker-gruppen "Lockbit"

Europol ledet en global aksjon mot LockBit ransomware-syndikatet, som har stått bak over 1,800 cyberangrep over hele verden. I samarbeid med politimyndigheter fra USA, Storbritannia, Frankrike, Spania og flere andre land, resulterte operasjonen i arrestasjonen av fire nøkkelmedlemmer samt beslagleggelse av viktig IT-infrastruktur som ble brukt av syndikatet. LockBit, en av de mest aktive ransomware-gruppene, har utpresset millioner fra ofre. Operasjonen var en del av "Operation Cronos", og myndighetene innførte sanksjoner mot tilknyttede personer.

LockBit-angrep er vanskelige å forutsi på grunn av de mange uavhengige tilknyttede aktørene som bruker ulike teknikker. Europol har støttet utviklingen av dekrypteringsverktøy og støtter også ofre gjennom "No More Ransom"-prosjektet.

I samarbeid med japansk politi, UK’s National Crime Agency, og FBI er disse verktøyene tilgjengelige gratis på "No More Ransom"-nettstedet. Plattformen tilbyr over 120 løsninger for å dekryptere mer enn 150 typer ransomware og har hjulpet over 6 millioner ofre globalt, noe som understreker viktigheten av internasjonalt samarbeid innen cybersikkerhet.

FIN7-hackere sprer skadevare gjennom deepfake-nettsteder

FIN7, en kjent hackergruppe, har lansert nettsteder som hevder å generere deepfake-nakenbilder, men som i stedet sprer skadelig programvare til brukerne. Disse nettstedene lurer besøkende til å laste ned og kjøre ondsinnede filer som deretter kompromitterer systemene deres. Brukere advares om å være forsiktige med slike sider og unngå å laste ned mistenkelige filer.

Rekordstort DDoS-angrep

Cloudflare publiserte at de nylig har håndtert et rekordstort DDoS-angrep på 3.8 terabit per sekund, det største som noensinne er offentliggjort av noen organisasjon. Siden tidlig september har selskapet bekjempet en månedslang kampanje med hyper-volumetriske DDoS-angrep på lag 3 og 4.

Angrepene utnyttet hovedsakelig UDP på en fast port og kom fra kompromitterte enheter over hele verden (blant annet Vietnam, Russland og Brasil), med mål om å utmatte CPU-sykluser og nettverksbåndbredde hos målene. For å forsvare seg mot slike angrep, benytter Cloudflare flere avanserte teknikker som et Anycast-nettverk som sprer angrepstrafikken over et globalt nettverk av servere, dynamisk signaturgenerering ved hjelp av XDP (express data path) og eBPF (extended Berkley Packet Filter) for å analysere og blokkere skadelig nettverkstrafikk.

I følge Cloudflares DDoS-trusselrapport for det andre kvartal i 2024, er det en 20% økning i DDoS-angrep sammenliknet med i fjor. Til tross for en nedgang på 49% fra forrige kvartal, forble DNS-baserte angrep den vanligste angrepsvektoren på nettverkslaget.

Posted by tsoc at 12:12 0 comments
Subscribe to: Posts (Atom)
 
>