Friday, 29 November 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.11.29

CVE-2024-11667: Kritisk sårbarhet i Zyxel brannmurer utnyttes aktivt. Integer Overflow-sårbarhet i Windows-driver muliggjør Privilege Escalation, PoC publisert. CVE-2024-52951 XSS i Omada Identity.

CVE-2024-11667: Kritisk sårbarhet i Zyxel brannmurer utnyttes aktivt

En alvorlig sårbarhet i Zyxel-brannmurer (CVE-2024-11667) tillater angripere å laste opp og laste ned filer via spesielt utformede URLer. Dette kan føre til kompromittering av sensitive data og videre angrep som VPN-tilkoblinger og endringer i brannmurinnstillinger. Sårbarheten er utnyttet til å spre Helldown ransomware. Det er utgitt en oppdatering (ZLD firmware 5.39), men brukerkonto-passord må også tilbakestilles for å forhindre videre kompromittering.

Sårbarheter:

Integer Overflow-sårbarhet i Windows-driver muliggjør Privilege Escalation, PoC publisert

En kritisk sårbarhet i Windows-driveren ksthunk.sys kan utnyttes av angripere for å heve privilegier ved hjelp av en integer overflow. Feilen oppstår i funksjonen CKSAutomationThunk::ThunkEnableEventIrp, hvor manglende overflow-validering fører til en heap overflow og gir angripere tilgang til å overskrive minne og endre prosess-tokens til SYSTEM-privilegier.

PoC(Proof of Concept)-kode har blitt publisert, men Microsoft hevder at dette er et duplikatproblem som er løst, selv om feilen fortsatt er utnyttbar på Windows 11 23H2.

CVE-2024-52951 XSS i Omada Identity

Sårbarheten CVE-2024-52951 i Omada Identity ble nylig offentligjort. Sårbarheten gjør det mulig å utføre Cross-Site Scripting (XSS) angrep fra en autentisert angriper. Dette muliggjør kjøring av vilkårlig kode i nettleseren til offeret enten ved en spesielt laget URL eller ved å manipulere historikklisten over tilgangsforespørsler. Problemet er løst i versjon 15U1 og i hotfix #309 for versjon 14.14. Brukere anbefales å oppgradere.

Anbefaling:

Oppgrader til versjon 15U1 eller hotfix #309 for versjon 14.14

at No comments:

Thursday, 28 November 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.11.28

Microsoft har utgitt sikkerhetsoppdateringene for Exchange Server fra november på nytt. Hackere utnytter sikkerhetshull i ProjectSend for å installere bakdører på utsatte servere.

Microsoft har utgitt sikkerhetsoppdateringene for Exchange Server fra november på nytt

Etter å ha løst problemer med e-postleveringer på Exchange servere som bruker egendefinerte e-postregler, har Microsoft utgitt sikkerhetsoppdateringen Nov 2024 SUv1 (nå SUv2) på nytt. De opprinnelige oppdateringene ble trukket tilbake fordi de forårsaket leveringsproblemer for e-post dersom det var konfigurert "flow rules" eller DLP-regler på serveren. På servere som manuelt installerte den første versjonen (Nov 2024 SUv1) anbefales det nå å installere den oppdaterte versjonen (Nov 2024 SUv2) som retter disse problemene. Dersom oppdateringen ble installert gjennom Microsoft/Windows Update vil den nye versjonen bli tilgjengelig i desember.

Hackere utnytter sikkerhetshull i ProjectSend for å installere bakdører på utsatte servere

En kritisk sikkerhetssårbarhet i ProjectSend (versjon 1.3.9), programvare for fildeling via HTTP, har blitt utnyttet av hackere for å installere bakdører på servere. Feilen finnes i systemets filopplastingsfunksjon, som gjør det mulig for angripere å laste opp og kjøre skadelig kode uten at administratorer merker det. Når sårbarheten utnyttes, kan hackerne få full kontroll over serveren, stjele data, eller gjennomføre videre angrep. Angrepet skjer via HTTP-forespørsler, der angriperne sender spesifikke kommandoer som omgår sikkerhetstiltakene i ProjectSend.

ProjectSend anbefaler at alle brukere av tjenesten oppdaterer til versjon 1.3.10 eller høyere umiddelbart, da denne sårbarheten er en kritisk sikkerhetsrisiko for utsatte servere.

Sårbarheter:
at No comments:

Wednesday, 27 November 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.11.27

Matrix botnet utnytter IoT-enheter i DDoS botnet-kampanje. Nytt NachoVPN-angrep bruker falske VPN-servere for å installere skadelige oppdateringer. VMware lanserer sikkerhetsoppdateringer for alvorlige sårbarheter i Aria Operations. RomCom-gruppen utnytter nulldagssårbarheter i Firefox og Windows i sofistikerte cyberangrep.

Matrix botnet utnytter IoT-enheter i DDoS botnet-kampanje

Ved bruk av svakheter og feilkonfigurasjon av IoT- (Internet of Things) enheter, bruker trusselaktøren Matrix disse til å utføre Distributed Denial of Service (DDoS) angrep.

Aktøren bruker kjente sikkerhetsfeil, samt standard eller svake passord for å få tilgang til et bredt spekter av Internett-tilkoblede enheter som IP-kameraer, DVRer, rutere og telekomutstyr.

Trusselaktøren har også blitt observert i å utnytte feilkonfigurerte Telnet-, SSH- og Hadoop-servere, med et spesielt fokus på IP-adresseområder knyttet til skytjenesteleverandører (CSPer) som Amazon Web Services (AWS), Microsoft Azure og Google Cloud.

Nytt NachoVPN-angrep bruker falske VPN-servere for å installere skadelige oppdateringer

Et sett med sårbarheter kalt "NachoVPN" lar falske VPN-servere installere ondsinnede oppdateringer når upatchede Palo Alto- og SonicWall SSL-VPN-klienter kobler seg til dem. Sikkerhetsforskere fra AmberWolf fant at trusselaktører kan lure potensielle ofre til å koble SonicWall NetExtender- og Palo Alto Networks GlobalProtect VPN-klienter til angriperkontrollerte VPN-servere ved å bruke ondsinnede nettsteder eller dokumenter for sosial manipulering.

Dette kan føre til at angripere stjeler innloggingsinformasjon, kjører kode med forhøyede rettigheter, installerer skadevare via oppdateringer, og utfører kode-signeringsforfalskning eller mann-i-midten-angrep.

SonicWall sendte ut oppdateringer i juli til CVE-2024-29014, mens Palo Alto sendte ut oppdateringer i dag for å rette CVE-2024-5921.

Anbefaling:

Oppdater til nyeste versjon

VMware lanserer sikkerhetsoppdateringer for alvorlige sårbarheter i Aria Operations

VMware har publisert en sikkerhetsbulletin med oppdateringer som fikser fem sikkerhetshull i Aria Operations, inkludert en sårbarhet som tillater lokal privilegieeskalering og en sårbarhet for cross-site scripting (XSS). Sårbarhetene påvirker VMware Aria Operations (versjon 8.x) og VMware Cloud Foundation (versjon 4.x og 5.x som bruker Aria Operations). Angripere kan utnytte disse sårbarhetene for å få tilgang til sensitive data, kjøre ondsinnet kode og ta kontroll over systemet. VMware oppfordrer brukere til å installere de tilgjengelige oppdateringene snarest.

RomCom-gruppen utnytter nulldagssårbarheter i Firefox og Windows i sofistikerte cyberangrep

Trusselaktøren RomCom, som antas å være knyttet til Russland, har nylig utnyttet to nulldagssårbarheter i angrep. Den ene sårbarheten lå i Mozilla Firefox og den andre i Microsoft Windows. Angrepene har som mål å infisere offerets system med RomCom-bakdøren.

Sårbarheten i Firefox (CVE-2024-9680, patchet i oktober 2024) tillater kjøring av vilkårlig kode uten brukerinteraksjon, mens sårbarheten i Windows Task Scheduler (CVE-2024-49039, patchet i november 2024) muliggjør rettighetseskalering. Angrepet involverer en falsk nettside som omdirigerer ofre til en server som hoster et skadelig nyttelast. Nyttelasten utnytter begge sårbarhetene for å oppnå kodekjøring og installere RomCom RAT, en aktivt vedlikeholdt skadevare.

at No comments:

Tuesday, 26 November 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.11.26

Alvorlig svakhet i 7-Zip. QNAP retter kritiske feil i NAS-enheter og rutere.

Alvorlig svakhet i 7-Zip

7-Zip er et populært verktøy for å behandle arkiv-filer. Det er nå oppdaget en alvorlig svakhet i verktøyet med CVSS-score på 7.8, som lar en angriper kjøre vilkårlig kode på et sårbart system. Feilen ligger i behandling av data som blir dekomprimert. Feilen kan utnyttes ved å overbevise et offer om å åpne en spesielt utformet arkiv-fil.

Anbefaling:

Brukere oppfordres til å oppgradere til versjon 24.07 eller nyere av 7-Zip.

Sårbarheter:

QNAP retter kritiske feil i NAS-enheter og rutere

I helgen har QNAP publisert sikkerhets-patcher som blant annet inneholder tre kritiske svakheter. For QNAP Notes Station 3 er det svakheter i forbindelse med manglende autentisering (CVE-2024-38643), og en innen Server-side request forgery (SSRF) for eksterne brukere (CVE-2024-38645). Den siste kritiske svakheten er CVE-2024-48860 som påvirker QuRouter 2.4.x produkter og er en OS-kommando injeksjon.

QNAP har også rettet en mengde mindre kritiske svakheter i sine enheter.

at No comments:

Monday, 25 November 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.11.25

Russisk APT-gruppe utnyttet nærliggende Wi-Fi-nettverk for skjult tilgang. Cloudflare-rapport etter kabelbrudd i Østersjøen.

Russisk APT-gruppe utnyttet nærliggende Wi-Fi-nettverk for skjult tilgang

En russisk APT-gruppe, antatt å være Fancy Bear (APT28), har utviklet en ny angrepsmetode kalt "Nearest Neighbor Attack" for å få tilgang til Wi-Fi-nettverk. Metoden innebærer å utnytte nettverk i nærheten av målet for å omgå sikkerhetstiltak som multifaktorautentisering (MFA). Angriperne kompromitterer først et nærliggende nettverk og bruker deretter enheter med tilgang til begge nettverk, som bærbare datamaskiner eller rutere, som en bro for å få tilgang til målet.

Volexity avdekket angrepet i februar 2022, rettet mot en organisasjon i Washington D.C. med tilknytning til Ukraina. Angrepet involverte blant annet passordspraying, utnyttelse av sårbarheter og "living-off-the-land"-teknikker. Microsoft bekreftet APT28s involvering i april 2023.

Organisasjoner bør behandle WiFi-nettverk (spesielt de med delte passord) som åpne nettverk og kreve VPN-tilkobling eller lignende for å få tilgang til interne tjenester.

Cloudflare-rapport etter kabelbrudd i Østersjøen

Som følge av de to nylige kabelbruddene i Østersjøen, rapporterer Cloudflare om minimal innvirkning på internettforbindelsen i de nærliggende landene. Den 17. november 2024 ble BCS East-West Interlink-kabelen mellom Litauen og Sverige trolig sabotert, og dagen etter ble C-Lion1-kabelen mellom Finland og Tyskland rammet. Til tross for at disse kablene er viktige for internettkapasiteten i regionen, viser Cloudflares målinger ingen betydelige nedganger i trafikkvolumet eller internettytelsen i de nærliggende landene. Dette skyldes i stor grad internettinfrastrukturen i Europa, med flere redundante forbindelser både under vann og på land.

Analysen viser at landene har flere alternative ruter for internetttrafikk, inkludert andre undersjøiske kabler og landbaserte fiberforbindelser til naboland. Som følge av hendelse, understreker Cloudflare viktigheten av å bygge redundante og robuste nettverksarkitekturer for å unngå at enkeltstående kabelbrudd kan fører til omfattende forstyrrelser i internett-infrastrukturen.

at No comments:

Friday, 22 November 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.11.22

Sør-Korea: Nord-koreansk trusselaktør sto bak Ethereum-tyveri verdt 42 millioner dollar i 2019. Designfeil i Fortinet VPN skjuler vellykkede brute-force-angrep.

Sør-Korea: Nord-koreansk trusselaktør sto bak Ethereum-tyveri verdt 42 millioner dollar i 2019

Politiet i Sør-Korea har nylig bekreftet at angripere tilknyttet Nord-Koreas militære etterretningstjeneste har stått bak et omfattende tyveri av kryptovaluta i 2019. Angrepet resulterte i at 342 000 Ethereum, verdt ca. 41,5 millioner dollar på tidspunktet, ble stjålet fra den sør-koreanske kryptobørsen Upbit.

Etterforskningen som er gjennomført i samarbeid med FBI avslører at angriperne infiltrerte kryptobørsen, og overførte de stjålne verdiene til ukjente krypto-lommebøker. Mer enn halvparten av de stjålne eiendelene har blitt hvitvasket gjennom tre kryptobørser som angriperne selv har opprettet. Disse børsene har sannsynligvis svake eller ikke-eksisterende AML og KYC-prosedyrer, noe som gjør det mulig for de kriminelle å veksle stjålet Ethereum til Bitcoin til en rabattert pris. De resterende midlene har blitt hvitvasket gjennom 51 forskjellige børser.

Sør-Koreansk politi har identifisert angriperne som medlemmer av Lazarus-gruppen og Andariel, også kjent som APT38 og APT45. Andariel er kjent for å fokusere på sør-koreanske organisasjoner og bedrifter. Begge knyttes til Nord-Koreas Reconnaissance General Bureau. Lazarus-gruppen er kjent for en rekke høyprofilerte cyberangrep, mot blant annet Sony Pictures i 2014, Bangladesh Bank i 2016 og løsepengeangrepet WannaCry i 2017.

I løpet av etterforskningen har politiet lyktes med å spore opp og få tilbake 4,8 Bitcoin fra en sveitsisk kryptobørs. Til tross for gjentatte anklager, benekter Nord-Korea enhver involvering i cyberhacking eller kryptotyveri.

Designfeil i Fortinet VPN skjuler vellykkede brute-force-angrep

En nyoppdaget designsvakhet i Fortinets VPN-server gjør det mulig å skjule vellykkede innloggingsforsøk under brute-force-angrep. Sårbarheten ligger i serveren sin to-trinns påloggingsprosess, hvor vellykkede forsøk kun logges etter både autentisering og autorisasjon er fullført. Ved å avbryte prosessen etter autentiseringen kan angripere verifisere gyldige påloggingsdetaljer uten at dette registreres i loggene.

Sikkerhetsselskapet Pentera, som oppdaget svakheten, har utviklet et script som utnytter denne designfeilen. Fortinet har ikke klassifisert dette som en sårbarhet, til tross for at det kan gi angripere mulighet til å samle inn gyldige påloggingsdetaljer uten at dette oppdages av sikkerhetsteam.

at No comments:

Thursday, 21 November 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.11.21

Svakhet i Linux-distribusjoner lar vanlige brukere få root-tilgang. CrowdStrike avdekker LIMINAL PANDA: Trusslekatør som retter seg mot telekom-sektoren. Fem medlemmer av Scattered Spider-gruppen arrestert. Alvorlige sårbarheter i Atlassian-produkter.

Svakhet i Linux-distribusjoner lar vanlige brukere få root-tilgang

Flere Linux-distribusjoner (inkludert Debian og Ubuntu) inneholder en pakke kalt "needrestart" som er installert som standard. Qualys Threat Research Unit (TRU) har oppdaget fem svakheter i pakken, med høyeste CVSS-score på 7.8 av 10. Svakhetene lar vanlige brukere utvide sine rettigheter på systemet til root. Vi anbefaler å installere patcher for feilene.

CrowdStrike avdekker LIMINAL PANDA: Trusslekatør som retter seg mot telekom-sektoren

CrowdStrike har identifisert en ny kinesisk statsstøttet trusselaktør kalt LIMINAL PANDA som har angrepet telekomselskaper siden 2020. Gruppen benytter spesialtilpassede verktøy for skjult tilgang, kommando og kontroll (C2), og dataeksfiltrering. LIMINAL PANDA utnytter sin omfattende kunnskap om telekomnettverk til å spre seg mellom ulike leverandører. De bruker blant annet GSM-protokoller for C2 og verktøy for å hente ut abonnentinformasjon, samtalemetadata og tekstmeldinger. CrowdStrike vurderer at LIMINAL PANDAs aktivitet er rettet mot innsamling av etterretning.

Fem medlemmer av Scattered Spider-gruppen arrestert

Det amerikanske justisdepartementet siktet fem personer for å ha utført omfattende phishing-kampanjer som ga dem tilgang til sensitive data og kryptovaluta verdt 11 millioner dollar. De siktede, fire fra USA og én fra UK, er medlemmer av Scattered Spider-gruppen, som har vært knyttet til en rekke alvorlige cyberhendelser, inkludert ransomware-angrepet mot MGM Casino i fjor. Gruppen har tidligere angrepet selskaper som Coinbase, Twilio, LastPass og Reddit. De siktede brukte SMS-meldinger for å lokke ansatte til å klikke på ondsinnede lenker og oppgi innloggingsinformasjon.

Alvorlige sårbarheter i Atlassian-produkter

HelseCERT melder at Atlassian nylig slapp sin månedlige sikkerhetsrapport, med informasjon om totalt 19 alvorlige sårbarheter. Under følger de vi vurderer som mest alvorlige. Hele listen finnes i rapporten.

Vellykket utnyttelse gjør det mulig for angripere å:

  • Fjernkjøre kode i Sourcetree for både Windows og Mac (CVE-2024-21697/8,8 HØY)

  • Lekke sensitiv informasjon med XSS-angrep i Jira Core/Jira Management Data Center and Server (CVE-2024-45801/CVSS 8,3 HØY)

  • Fjernkjøre kode i Bamboo Data Center and Server (CVE-2024-47651/CSS 7,3 HØY)

HelseCERT er ikke kjent med aktiv utnyttelse av sårbarhetene, eller at utnyttelsekode er tilgjengelig.

at No comments:

Wednesday, 20 November 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.11.20

Apple med kritisk sikkerhetsoppdatering for to null-dagers sårbarheter. Ford undersøker mulig datainnbrudd etter lekkasje av kundedata.

Apple med kritisk sikkerhetsoppdatering for to null-dagers sårbarheter

Apple har nylig utgitt sikkerhetsoppdateringer for å rette to null-dagers sårbarheter som har blitt utnyttet i angrep mot Intel-baserte Mac-systemer. Disse sårbarhetene ble funnet i henholdsvis JavaScriptCore og WebKit-komponentene i macOS. Den første sårbarheten tillater fjernkjøring av kode gjennom ondsinnet webinnhold, mens den andre muliggjør cross-site scripting (XSS) angrep. Apple har adressert disse sikkerhetsproblemene i macOS Sequoia 15.1.1, samt i iOS 17.7.2, iPadOS 17.7.2, iOS 18.1.1, iPadOS 18.1.1 og visionOS 2.1.1. Brukere oppfordrers til å oppdatere sine enheter umiddelbart for å beskytte mot potensielle trusler.

Ford undersøker mulig datainnbrudd etter lekkasje av kundedata

Ford undersøker nå påstander om et datainnbrudd etter at en trusselaktør hevder å ha lekket 44 000 kunderegistreringer på et hackerforum. Dataene inkluderer kundenes fulle navn, fysiske adresser, kjøpsdetaljer, forhandlerinformasjon og tidsstempler. Selv om informasjonen ikke er svært sensitiv, kan den brukes i phishingangrep. Ford har bekreftet at de er klar over situasjonen og aktivt undersøker påstandene.

at No comments:

Tuesday, 19 November 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.11.19

Palo Alto patcher nulldags-svakheter som blir utnyttet i angrep.

Palo Alto patcher nulldags-svakheter som blir utnyttet i angrep

Palo Alto har nå patchet to svakheter som har vært aktivt utnyttet i angrep mot selskapets brannmurer. Den ene svakheten (CVE-2024-0012) ligger i management web-interfacet og kan gi angripere med nettverkstilgang til dette administrator-tilgang. Palo Alto ga ellerede 8. november ut rådgivning til kundene om kun gi tilgang til web-interface for godkjente enheter.

Den andre svakheten (CVE-2024-9474) har også allerede blitt utnyttet i angrep. Denne lar en vanlig bruker av brannmuren utføre kommandoer som root-brukeren.

Palo Alto har gitt ut en rapport med IoCer for angrepene som har utnyttet disse to svakhetene.

Vi anbefaler å installere patcher så raskt som mulig. Overvåkingsplattformen Shadowserver meldte på fredag at over 8700 management-interfacer var eksponert mot nettet.

at No comments:

Monday, 18 November 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.11.18

Det har vært en rolig helg.

at No comments:

Friday, 15 November 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.11.15

Svakhet i management-interface på Palo Alto-brannmurer utnyttes i angrep. CISA advarer om at to kritiske sårbarheter i Expedition fra Palo Alto Networks aktivt utnyttes.

Svakhet i management-interface på Palo Alto-brannmurer utnyttes i angrep

11. november meldte vi om rykter om en mulig svakhet i admin-interfacet til Palo Alto-brannmurer som lar angripere kjøre tilfeldig kode på enhetene. Palo Alto ga ut en rådgivningsartikkel om saken, der de anbefalte å hindre tilgang til admin-interface fra ikke-godkjente enheter/IP-adresser.

Palo Alto har nå oppdatert artikkelen og opplyser at de ser utnyttelse av svakheten mot brannmurer, og at svakheten kan utnyttes uten autentisering. Svakheten har fått CVSS-score på 9.3/10. En patch for svakheten er foreløpig ikke tilgjengelig.

CISA advarer om at to kritiske sårbarheter i Expedition fra Palo Alto Networks aktivt utnyttes

CISA (Cybersecurity and Infrastructure Security Agency, USA) advarer om at to kritiske sårbarheter i Palo Alto Networks verktøyet "Expedition" utnyttes i angrep. Sårbarhetene, som involverer uautentisert kommandoinjeksjon (CVE-2024-9463) og SQL-injeksjon (CVE-2024-9465), gir angripere mulighet til å henholdsvis kjøre vilkårlige OS-kommandoer som root i Expedition og å hente ut informasjon fra Expedition databaser, samt lese og skrive til vilkårlige filer.

Palo Alto Networks har lansert sikkerhetsoppdateringer i Expedition versjon 1.2.96 og anbefaler umiddelbar oppdatering, eller å begrense tilgangen til verktøyet hvis oppdatering ikke er mulig. Videre anbefaler de å rotere alle nøkler prossesert i Expedition.

at No comments:

Thursday, 14 November 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.11.14

Sikkerhetsoppdateringer for Zoom og Chrome. Bitdefender lanserer dekrypteringsverktøy for ShrinkLocker-ransomware.

Sikkerhetsoppdateringer for Zoom og Chrome

Zoom har lansert oppdateringer som retter opp i seks sikkerhetsfeil, inkludert to alvorlige sårbarheter som kunne tillate hackere å eskalere rettigheter eller lekke sensitiv informasjon. Sårbarhetene berører Zoom Workplace App, Rooms Client, Rooms Controller, Video SDK, Meeting SDK og Workplace VDI Client for Windows.

Google har også lansert Chrome 131 med oppdateringer som retter opp i 12 sårbarheter, inkludert en alvorlig feil i Blink og seks mindre alvorlige feil. Brukere oppfordres til å oppdatere programvaren sin så snart som mulig.

Bitdefender lanserer dekrypteringsverktøy for ShrinkLocker-ransomware

Bitdefender lanserte nylig et dekrypteringsverktøy for den nye ransomware-varianten ShrinkLocker. Skadevaren ble først oppdaget av Kaspersky i mai tidligere i år.

ShrinkLocker skiller seg fra tradisjonelle ransomware-varianter ved å bruke BitLocker til å kryptere filene på systemet med et tilfeldig generert passord som sendes til angriperen. Bitdefenders dekrypteringsverktøy fungerer ved å reversere prosessen der ShrinkLocker fjerner beskyttelsene fra BitLocker-diskene. Ofrene må laste ned verktøyet på en USB-enhet og følge spesifikke trinn for å dekryptere dataene.

at No comments:

Wednesday, 13 November 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.11.13

Kritiske sårbarheter i Citrix Virtual Apps and Desktops. Microsoft, Adobe og SAP-sårbarheter for november 2024. Fortinet gir ut oppdateringer for flere produkter.

Kritiske sårbarheter i Citrix Virtual Apps and Desktops

HelseCERT melder at Citrix den 12. november varslet om sårbarheter i Citrix Session Recording, en komponent i Citrix Virtual Apps and Desktops. Sårbarhetene ble funnet av watchTowr Labs, som hevder at de kan utføres uten autentisering og at konsekvensene er mye høyere enn Citrix selv påstår.

Vellykket utnyttelse gjør det mulig for angriper å:

  • Oppnå NetworkService-tilgang med en domenebruker (CVE-2024-8068)

  • Kjøre kode på Citrix-serveren dersom man har NetworkService-tilgang (CVE-2024-8069)

Ifølge Citrix forutsetter utnyttelse at angriper har en autentisert bruker. WatchTowr Labs, som først oppdaget sårbarheten, mener at den kan utnyttes uten autentisering.

Vellykket utnyttelse gir angriper "begrenset mulighet" til å kjøre kode på Citrix Virtual Apps and Desktops serveren ifølge Citrix. WatchTowr Labs hevder at konsekvensene er mye større og gir angriper full kontroll på serveren.

Sårbarhetene har fått en CVSS score på 5.1 (MEDIUM) fra Citrix, men HelseCERT anser sårbarhetene som kritiske basert på usikkerheten rundt hva som kreves for å utnytte den og konsekvensene av utnyttelse.

Utnyttelseskode er tilgjengelig og HelseCERT er kjent med at sårbarheten utnyttes aktivt.

Anbefaling:

Sårbare enheter bør oppdateres så fort som mulig!

Microsoft, Adobe og SAP-sårbarheter for november 2024

JustisCERT melder at Microsoft sin oppdatering for november 2024 retter 89 Microsoft CVE, hvor 4 er vurdert som kritiske og 83 som alvorlige. Flere av sårbarhetene kan utnyttes til fjernkjøring av kode, gi utvidede rettigheter og/eller til å ta kontroll over brukere og systemer. De kritiske sårbarhetene berører Airlift.microsoft.com (CVE-2024-49056 med CVSS-score 7.3/6.4), Windows Kerberos (CVE-2024-43639 med CVSS-score 9.8/8.5), Microsoft Windows VMSwitch (CVE-2024-43625 med CVSS-score 8.1/7.1 og .NET and Visual Studio (CVE-2024-43498 med CVSS-score 9.8/8.5). I tillegg har Microsoft rettet 31 CVE siden forrige patche-tirsdag som berører Microsoft Edge Chromium.

Nye oppdateringer til Microsoft Exchange Server (on prem/hybrid) har også blitt publisert. Exchange-sårbarheten som er rettet er kategorisert som alvorlig og har CVSS-score 7.5/6.7 (CVE-2024-49040).

Adobe har også publisert 8 bulletiner som dekker 48 CVE hvor 28 er vurdert som kritisk (CVSS-score til og med 7.8). Flere av sårbarhetene gjør det mulig for angriper å kjøre vilkårlig kode. De kritiske sårbarhetene berører Adobe After Effects, Adobe Substance 3D Painter, Adobe Illustrator, Adobe InDesign, Adobe Photoshop og Adobe Commerce.

SAP Security Patch Day for november 2024 inneholder 8 nye bulletiner med CVSS-score til og med 8.8 (alvorlig).

Fortinet gir ut oppdateringer for flere produkter

Fortinet har gitt ut oppdateringer for FortiAnalyzer, FortiClient og FortiOS. Se oppsummeringen fra CISA for mer detaljer.

at No comments:

Tuesday, 12 November 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.11.12

FBI: Hackere bruker falske politiforespørsler for å stjele persondata. Nye råd skal gi tryggere datasentertjenester. Veeam gir ut patch for alvorlig svakhet i Backup Enterprise Manager.

FBI: Hackere bruker falske politiforespørsler for å stjele persondata

FBI har utstedt en advarsel om at hackere utnytter lovlige system for dataforespørsler til å stjele brukerdata fra amerikanske teknologiselskaper. Etter å ha kompromittere e-postadresser tilhørende politi og myndigheter, sender hackerne falske "nødforespørsler" for å få tilgang til sensitiv informasjon som e-postadresser og telefonnumre tilhørende kunder.

FBI har observert en økning i slike angrep siden august, og advarer nå om at kriminelle aktivt selger tilgang til kompromitterte kontoer og tjenester for å utføre disse angrepene. Hackerne utnytter systemet for nødforespørsler, som er ment for å gi politiet rask tilgang til data i tilfeller der det er fare for liv eller eiendom, uten å måtte innhente rettslig godkjennelse.

Nye råd skal gi tryggere datasentertjenester

Stadig flere kritiske samfunnsfunksjoner og -verdier legges over på digital infrastruktur. Det gjør datasentre til en sentral leverandør for norske virksomheter. God kunnskap er viktig når virksomheter skal kjøpe datasentertjenester.

NSM og Nkom står bak felles råd for å bistå offentlige og private virksomheter i kjøpsprosessen. Rapporten er et hjelpemiddel i anbuds- og anskaffelsesprosesser, og tar opp ulike tema virksomheter bør ta stilling til ved anskaffelse av datasentertjenester. Gode risikovurderinger må ligge i bunn. For å hjelpe virksomhetene, er en egen sjekkliste for vurderingspunkter i form av et eget regneark tilgjengelig.

Veeam gir ut patch for alvorlig svakhet i Backup Enterprise Manager

Veeam har lansert en oppdatering for en alvorlig autentiseringsfeil (CVE-2024-40715) i Backup Enterprise Manager. Sårbarheten kan utnyttes av en ekstern angriper via et man-in-the-middle (MiTM) angrep for å omgå autentisering. Veeam anbefaler brukere å installere oppdatering for Backup Enterprise Manager versjon 12.2.0.334 eller oppgradere til den nyeste versjonen av Veeam Backup & Replication.

Sophos advarer samtidig om at ransomware-grupper nå utnytter en tidligere Veeam-sårbarhet (CVE-2024-40711) for å installere skadevare.

Sårbarheter:
at No comments:

Monday, 11 November 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.11.11

Rykter om svakhet i Palo Alto-brannmurer.

Rykter om svakhet i Palo Alto-brannmurer

Det går rykter om at det finnes en svakhet i admin-interfacet til Palo Alto-brannmurer som lar angripere kjøre tilfeldig kode på enhetene. Det er så langt ikke kjent detaljer rundt svakheten eller hvem som eventuelt utnytter den.

Palo Alto Networks har gitt ut en rådgivningsartikkel om saken der de anbefaler å kun tillate tilgang til admin-interface fra forhåndsgodkjente interne IP-adresser, og absolutt ikke fra det offentlige Internet. I det siste har det vært mange alvorlige svakheter i admin-interface i brannmurer, VPN-enheter, routere osv. så dette er et godt generelt råd for denne typen enheter.

at No comments:

Friday, 8 November 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.11.08

Nordkoreanske hackere angriper kryptoselskaper med ny macOS-malware. Situasjonsrapport fra Telenor SOC - oktober 2024. Hackere utnytter kritisk nulldagssårbarhet i PTZ-kameraer.

Nordkoreanske hackere angriper kryptoselskaper med ny macOS-malware

SentinelOne har avdekket en ny kampanje kalt "Hidden Risk", der nordkoreanske hackere retter seg mot kryptoselskaper med skadevare som infiserer macOS-enheter. Angriperne bruker e-poster med falske nyheter om kryptovaluta-trender for å lokke ofrene til å åpne et ondsinnet program forkledd som en PDF-fil. Kampanjen har sannsynligvis pågått siden juli 2024 og benytter seg av sosial manipulering rettet mot ansatte i kryptovalutasektoren. FBI advarte i september 2024 om slike angrep, som ofte involverer falske jobbtilbud eller investeringsmuligheter for å bygge tillit før skadevaren leveres.

Situasjonsrapport fra Telenor SOC - oktober 2024

Vi har publisert vår situasjonsrapport fra Telenor SOC for oktober 2024. Denne måneden skriver vi blant annet om en økning i større DDoS-angrep mot Norge.

Hackere utnytter kritisk nulldagssårbarhet i PTZ-kameraer

Hackere utnytter to nulldagssårbarheter i PTZOptics’ PTZ-kameraer — CVE-2024-8956 og CVE-2024-8957 — som utgjør en risiko i industrielle, helserelaterte, offentlige og juridiske omgivelser.

GreyNoise oppdaget disse sårbarhetene i april 2024 etter å ha registrert uvanlig aktivitet på sitt honeypot-nettverk.

CVE-2024-8956 muliggjør uautorisert tilgang til kameraets CGI-API og eksponerer sensitiv informasjon som brukernavn og MD5-passordhasher. CVE-2024-8957 åpner for ekstern kodeeksekvering gjennom svak input sanitering i 'ntp_client' binary.

Disse sårbarhetene kan gi full kontroll over kameraene, føre til infeksjon med botnettprogramvare og muligheter for angrep på nettverket. Berørte enheter inkluderer NDI-kompatible kameraer med firmware-versjoner under 6.3.40 på Hi3516A V600 SoC, inkludert kameraer fra PTZOptics, Multicam Systems SAS og SMTAV. Selv om PTZOptics utga en oppdatering 17. september, forblir enkelte modeller, som PT20X-NDI-G2 og PT12X-NDI-G2, upatchede. GreyNoise antar at problemene kan stamme fra VHD Corporation SDK, noe som indikerer at et bredt spekter av enheter kan være påvirket.

Anbefaling:

Brukere bør kontakte sin enhetsleverandør for å undersøke om oppdateringer som retter CVE-2024-8956 og CVE-2024-8957 er inkludert i den nyeste tilgjengelige firmware-oppdateringen for deres enheter.

at No comments:

Thursday, 7 November 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.11.07

Cisco har gitt ut flere sikkerhetsoppdateringer. Ny skadevare bruker QEMU-virtualisering for å unngå deteksjon.

Cisco har gitt ut flere sikkerhetsoppdateringer

Cisco har gitt ut en rekke oppdateringer, der den mest alvorlige er en kritisk svakhet i Ultra-Reliable Wireless Backhaul (URWB) aksess-punkter. Svakheten utnyttes gjennom web-grensesnittet og kan gjøre det mulig for en ikke-autentisert angriper å kjøre kommandoer på systemet med root-rettigheter.

Det er også rettet sårbarheter med "høy" kritikalitet i "Cisco Nexus Dashboard Fabric Controller" og "Cisco Enterprise Chat and Email", samt en rekke mindre alvorlige svakheter.

Ny skadevare bruker QEMU-virtualisering for å unngå deteksjon

En ny ondsinnet kampanje kalt CRON#TRAP bruker en ny teknikk der angriperne setter opp et virtuelt Linux-miljø ved hjelp av QEMU-emulering på kompromitterte maskiner. Kampanjen starter med phishing-eposter som inneholder lenker til store zip-filer som inneholder et forhåndskonfigurert bakdør-program i det virtuelle miljøet. Angriperne bruker Chisel, et legitimt verktøy, for å opprette krypterte tunneler for dataoverføring til en kommando- og kontrollserver (C2) i USA. Analyser av det emulerte Linux-miljøet viser at angriperne har utført en rekke ondsinnede aktiviteter, inkludert nettverksrekognosering, privilegieeskalering og dataeksfiltrering.

For å unngå denne typen angrep bør maskiner settes opp til kun å tillate kjøring av forhåndsgodkjente applikasjoner fra spesifikke kataloger.

at No comments:

Wednesday, 6 November 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.11.06

Mann arrestert i Canada etter Snowflake-innbrudd. Kritiske sårbarheter i Aruba-aksesspunkter. OWASP har sluppet rådgivning rundt AI-sikkerhet.

Mann arrestert i Canada etter Snowflake-innbrudd

KrebsOnSecurity opplyser at en person er arrestert i Candada, relatert til datainnbruddene hos Snowflake tidligere i år. Arrestasjonen skjer på anmodning fra amerikanske myndigheter, som vil kreve utlevering. Tidligere i år var rundt 165 kunder av Snowflake utsatt for innbrudd i sine bedrifts-kontoer hos leverandøren, med påfølgende tyveri av data og utpressingforsøk. Blant de mest kjente ofrene var Ticketmaster, AT&T og Santander Bank. Tilgangen ble oppnådd ved å bruke passord fra infeksjoner med informasjons-stjelende malware. Snowflake hadde ikke krav om to-faktor autentisering, men har siden fått dette.

Trusselaktøren bak angrepet ble omtalt som UNC5537, og KrebsOnSecurity har nå avslørt identiteten til to av medlemmene. Den andre skal oppholde seg i Tyrkia og er allerede ettersøkt av USA.

Kritiske sårbarheter i Aruba-aksesspunkter

HelseCERT melder at HPE Aruba Networking den 5. november ga ut nye oppdateringer som lukker kritiske sårbarheter i aksesspunktene deres. Vellykket utnyttelse gjør det mulig for en uautentisert angriper å fjernkjøre vilkårlig kode som en privilegert bruker.

To CVE-er omhandler samme sårbarhet:

  • CVE-2024-42509 med CVSS-score 9.8 (KRITISK)

  • CVE-2024-47460 med CVSS-score 9.0 (KRITISK)

Sårbarhetene gjelder en kommandoinjeksjon i CLI-tjenesten som er tilgjengelig via PAPI-protokollen på UDP-port 8211. Utnyttelse forutsetter nettverkstilgang til enheten.

Følgende produkter er sårbare:

  • Instant AOS-8

  • AOS-10

Sårbarheten lukkes i følgende versjoner:

  • AOS-10.7.x.x:    10.7.0.0 og over

  • AOS-10.4.x.x:    10.4.1.5 og over

  • Instant AOS-8.12.x.x:  8.12.0.3 og over

  • Instant AOS-8.10.x.x:  8.10.0.14 og over

Merk at sårbarheten berører mange versjoner som ikke lenger får oppdateringer.

OWASP har sluppet rådgivning rundt AI-sikkerhet

OWASP Foundation (Open Source Foundation for Application Security) har sluppet ny rådgivning rundt AI-sikkerhet. OWASP er mest kjent for sin topp 10-liste over vanlige sårbarheter i web-applikasjoner. De har nå gitt ut informasjon relatert til generativ AI, inkludert en topp 10-liste over sårbarheter for LLM-applikasjoner.

at No comments:

Tuesday, 5 November 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.11.05

To av månedens patchede Android-svakheter utnyttes i aktive angrep. Svindlere misbruker DocuSign-API for å sende overbevisende falske fakturaer.

To av månedens patchede Android-svakheter utnyttes i aktive angrep

Google har gitt ut sin månedlige pakke med sikkerhetsoppdatering for Android, der det advares om at to av svakhetene allerede utnyttes aktivt i begrensede angrep. Totalt fikses 44 svakheter.

Én av svakhetene, CVE-2024-43047, er en "use-after-free"-svakhet, i FastRPC-driveren til Qualcomm-brikkesettet, som kan føre til minnekorrupsjon når den utnyttes av lokale angripere med vanlige privilegier. Vi omtalte denne svakheten for første gang i nyhetsbrevet 8. oktober, da både Google og Amnesty meldte om begrenset utnyttelse.

Den andre svakheten som utnyttes aktivt er CVE-2024-43093. Svakheten ligger i Androids rammeverk, men få detaljer er så langt kjent.

Svindlere misbruker DocuSign-API for å sende overbevisende falske fakturaer

Cyberkriminelle utnytter DocuSign-APIer for å sende falske fakturaer som ser påfallende ekte ut, ved å bruke legitime DocuSign-kontoer og maler. Svindlerne oppretter betalte DocuSign-kontoer, som gir dem mulighet til å endre maler og bruke APIet direkte for å etterligne kjente programvareselskaper som Norton.

Siden fakturaene sendes direkte gjennom DocuSign sin plattform, ser de legitime ut for e-posttjenester og spam/phishing-filtre, og det er ingen ondsinnet kode eller vedlegg å oppdage. Ved å utnytte APIer som "Envelopes:create", kan angriperne automatisere prosessen og sende ut store mengder falske fakturaer med minimal manuell innsats.

Saken viser viktigheten av gode prosedyrer rundt innkjøp med matching av kjøp til riktig faktura.

at No comments:

Monday, 4 November 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.11.04

Det har vært en rolig helg.

at No comments:

Friday, 1 November 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.11.01

Sophos avslører hvordan hackere gjentatte ganger angrep selskapets systemer. Trusselaktør utnytter skjult nettverk for å utføre passordspray-angrep.

Sophos avslører hvordan hackere gjentatte ganger angrep selskapets systemer

Det britiske cybersikkerhetsselskapet Sophos har dokumentert en langvarig konflikt mellom firmaet og kinesiske statsstøttede hackere, som har angrepet deres systemer fra 2018. Angrepene inkluderte blant annet et vellykket hackerangrep på Sophos' kontor i India, hvor hackerne fikk initiell tilgang via en veggmontert skjerm.

Hackerne benyttet avanserte teknikker som SQL-injeksjon, kommandoinjeksjon, et brukerland-rootkit kalt TERMITE, trojanske Java-filer og et unikt UEFI-bootkit. Sophos svarte ved å distribuere egne etterretningsimplantater gjennom sine systemer for å overvåke hackernes verktøy, bevegelser og taktikker. De samarbeidet også med Nederlands nasjonale cybersikkerhetssenter for å beslaglegge servere som var vertskap for angriperdomener.

Trusselaktør utnytter skjult nettverk for å utføre passordspray-angrep

Microsoft har fulgt med på trusselaktøren kalt Storm-0940, som benytter et nettverk av kompromitterte små kontor- og hjemmerutere (kalt CovertNetwork-1658) til å gjennomføre passordspray-angrep. Nettverket består hovedsakelig av TP-Link rutere som er hacket ved å utnytte en ukjent sårbarhet, og som muliggjør kjøring av angripers kode.

Trusselaktøren gjennomfører lavvolum passordsprayeangrep, med gjennomsnittlig bare ett påloggingsforsøk per konto per dag, noe som gjør angrepene vanskelige å oppdage. Etter at sikkerhetsleverandører som Sekoia og Team Cymru rapporterte om nettverket i juli og august 2024, har bruken av den opprinnelige infrastrukturen gått kraftig ned. Microsoft mener at trusselaktøren sannsynligvis arbeider med å skaffe ny infrastruktur som ikke lar seg så lett kjenne igjen. Angrepene retter seg primært mot organisasjoner i Nord-Amerika og Europa innenfor sektorer som tenketanker, myndigheter, lov- og forsvarsindustrien.

Les hele rapporten for oversikt over TTPer og råd for å beskytte seg mot denne typen angrep.

at No comments: