Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.11.21

Svakhet i Linux-distribusjoner lar vanlige brukere få root-tilgang. CrowdStrike avdekker LIMINAL PANDA: Trusslekatør som retter seg mot telekom-sektoren. Fem medlemmer av Scattered Spider-gruppen arrestert. Alvorlige sårbarheter i Atlassian-produkter.

---

Svakhet i Linux-distribusjoner lar vanlige brukere få root-tilgang

Flere Linux-distribusjoner (inkludert Debian og Ubuntu) inneholder en pakke kalt "needrestart" som er installert som standard. Qualys Threat Research Unit (TRU) har oppdaget fem svakheter i pakken, med høyeste CVSS-score på 7.8 av 10. Svakhetene lar vanlige brukere utvide sine rettigheter på systemet til root. Vi anbefaler å installere patcher for feilene.

Referanser:

https://thehackernews.com/2024/11/decades-old-security-vulnerabilities.html

CrowdStrike avdekker LIMINAL PANDA: Trusslekatør som retter seg mot telekom-sektoren

CrowdStrike har identifisert en ny kinesisk statsstøttet trusselaktør kalt LIMINAL PANDA som har angrepet telekomselskaper siden 2020. Gruppen benytter spesialtilpassede verktøy for skjult tilgang, kommando og kontroll (C2), og dataeksfiltrering. LIMINAL PANDA utnytter sin omfattende kunnskap om telekomnettverk til å spre seg mellom ulike leverandører. De bruker blant annet GSM-protokoller for C2 og verktøy for å hente ut abonnentinformasjon, samtalemetadata og tekstmeldinger. CrowdStrike vurderer at LIMINAL PANDAs aktivitet er rettet mot innsamling av etterretning.

Referanser:

https://www.crowdstrike.com/en-us/blog/liminal-panda-telecom-sector-threats/ https://thehackernews.com/2024/11/china-backed-hackers-leverage-sigtran.html?m=1

Fem medlemmer av Scattered Spider-gruppen arrestert

Det amerikanske justisdepartementet siktet fem personer for å ha utført omfattende phishing-kampanjer som ga dem tilgang til sensitive data og kryptovaluta verdt 11 millioner dollar. De siktede, fire fra USA og én fra UK, er medlemmer av Scattered Spider-gruppen, som har vært knyttet til en rekke alvorlige cyberhendelser, inkludert ransomware-angrepet mot MGM Casino i fjor. Gruppen har tidligere angrepet selskaper som Coinbase, Twilio, LastPass og Reddit. De siktede brukte SMS-meldinger for å lokke ansatte til å klikke på ondsinnede lenker og oppgi innloggingsinformasjon.

Referanser:

https://therecord.media/five-scattered-spider-members-charged-breaches-11-million-theft https://cyberscoop.com/federal-charges-scattered-spider-cybercrime-phishing-cryptocurrency-theft/ https://techcrunch.com/2024/11/20/us-charges-five-accused-of-multi-year-hacking-spree-targeting-tech-and-crypto-giants/

Alvorlige sårbarheter i Atlassian-produkter

HelseCERT melder at Atlassian nylig slapp sin månedlige sikkerhetsrapport, med informasjon om totalt 19 alvorlige sårbarheter. Under følger de vi vurderer som mest alvorlige. Hele listen finnes i rapporten.

Vellykket utnyttelse gjør det mulig for angripere å:

• Fjernkjøre kode i Sourcetree for både Windows og Mac (CVE-2024-21697/8,8 HØY)

• Lekke sensitiv informasjon med XSS-angrep i Jira Core/Jira Management Data Center and Server (CVE-2024-45801/CVSS 8,3 HØY)

• Fjernkjøre kode i Bamboo Data Center and Server (CVE-2024-47651/CSS 7,3 HØY)

HelseCERT er ikke kjent med aktiv utnyttelse av sårbarhetene, eller at utnyttelsekode er tilgjengelig.

Referanser:

https://confluence.atlassian.com/pages/viewpage.action?pageId=1456179091