Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Monday, 23 December 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.12.23

Apache Tomcat fikser kritisk sårbarhet for ekstern kjøring av kode (RCE).

Apache Tomcat fikser kritisk sårbarhet for ekstern kjøring av kode (RCE)

Apache Software Foundation har publisert en sikkerhetsoppdatering som utbedrer en kritisk RCE-sårbarhet (CVE-2024-56337) i Apache Tomcat. Sårbarheten finnes i flere versjoner av Tomcat, inkludert 11.0.0-M1 til 11.0.1, 10.1.0-M1 til 10.1.33, og 9.0.0.M1 til 9.0.97. Angripere kan utnytte denne feilen på filsystemer som ikke skiller mellom store og små bokstaver, der Tomcats standard servlet har skrivefunksjonalitet aktivert. Ved å manipulere spesifikke kataloger kan ondsinnede aktører omgå sikkerhetstiltak og laste opp filer som inneholder skadelig JSP-kode, noe som til slutt fører til ekstern kjøring av kode.

Anbefaling:

Oppdater Tomcat-installasjoner til de nyeste sikre versjonene: Apache Tomcat 11.0.2 eller senere, Apache Tomcat 10.1.34 eller senere, Apache Tomcat 9.0.98 eller senere. Avhengig av hvilken Java-versjon som brukes med Tomcat, kan ytterligere konfigurasjon være nødvendig for å redusere risikoen fullstendig.

Sårbarheter:

Posted by tsoc at 10:48 0 comments

Friday, 20 December 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.12.20

Phishingkapanje med bruk av kalenderinvitasjoner. Kritisk sårbarhet i Fortinet FortiWLM. Chrome 131-oppdatering fikser alvorlige minnefeil.

Phishingkapanje med bruk av kalenderinvitasjoner

Sikkerhetseksperter hos Check Point har oppdaget at cyberkriminelle utnytter Google Calendar og Google Drawings for å omgå e-postsikkerhetspolicyer. Kampanjen har rammet over 300 bedrifter så langt med over 4000 phishing-e-poster sendt på fire uker.

E-post-“headeren” manipuleres for å se legitime ut for mottakeren. I starten brukte phishing-forsøkene lenker til Google Forms, men angriperne har nå tilpasset angrepet ved å bruke Google Drawings. Målet er å lure brukere til å klikke på skadelige lenker som kan stjele sensitiv informasjon, og som videre kan brukes til digital utpressing.

Angrepene skjer ved at brukeren mottar en e-post med en kalenderfil (.ics) som leder til falske nettsider. Teknikken ved bruk av kalenderfiler er tidligere kjent. Kampanjen utytter en i utgangspunktet legitim tjeneste for å minimere sjansen for deteksjon.

For å bekjempe disse teknikkene anbefales det at organisasjoner implementerer e-postsikkerhetsløsninger og bruker to-faktorautentisering (MFA) for brukerautentisering. Brukere bør også være forsiktige med uventede invitasjoner og aktivere innstillingen for "kjente avsendere" i Google Calendar for å redusere risiko for denne typen phishingangrep.

Kritisk sårbarhet i Fortinet FortiWLM

Helsecert melder at Fortinet den 18. desember publiserte et varsel om en kritisk sårbarhet i FortiWLM 8.6 og 8.5. Oppdatering er tilgjengelig for berørte utgivelser av FortiWLM. Vellykket utnyttelse av denne sårbarheten, kombinert med CVE-2023-48782 gir uautentisert kodekjøring.

Sårbarheten er tildelt CVE-2023-34990 og har fått en CVSS-score på 9.6 (KRITISK).

Følgende produkter er sårbare:

  • FortiWLM 8.6  8.6.0 til og med 8.6.5

  • FortiWLM 8.5  8.5.0 til og med 8.5.4

Kode for utnyttelse er ikke offentlig tilgjengelig så langt HelseCERT kjenner til.

Anbefaling:

HelseCERT anbefaler å oppdatere FortiWLM til gjeldende versjon før juleferien, med bakgrunn i sårbarhetens kritikalitet og at de ser det som sannsynlig at sårbare instanser kan bli utnyttet innen kort tid.

Sårbarheter:

Chrome 131-oppdatering fikser alvorlige minnefeil

Google har lansert en oppdatering for Chrome-nettleseren som retter fem sikkerhetsproblemer, inkludert fire alvorlige minnefeil. Tre av disse feilene finnes i V8 JavaScript-motoren. En av feilene, CVE-2024-12692, er en variabeltype-feil som potensielt kan føre til ekstern kjøring av kode. Oppdateringen adresserer også en buffer overflow-feil (CVE-2024-12693) og en use-after-free-feil (CVE-2024-12694). Google har ikke rapportert om at noen av disse feilene har blitt utnyttet så langt.

Anbefaling:

Brukere bør oppdatere Chrome-nettleseren sin til versjon 131.0.6778.204/.205 for Windows og macOS, eller versjon 131.0.6778.204 for Linux.

Posted by tsoc at 13:00 0 comments

Thursday, 19 December 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.12.19

CISA pålegger føderale etater å sikre Microsoft 365-tenanter.

CISA pålegger føderale etater å sikre Microsoft 365-tenanter

Amerikanske CISA har utstedt et bindende operativt direktiv (BOD 25-01) som pålegger føderale sivile etater i USA å sikre sine Microsoft 365-miljøer. Etatene må identifisere alle relevante Microsoft 365-tenanter, distribuere CISAs automatiserte konfigurasjonsvurderingsverktøy (ScubaGear), integrere med CISAs kontinuerlige overvåkingsinfrastruktur og utbedre eventuelle avvik fra de minimumssikringen innenfor definerte tidsrammer. CISA planlegger å utvide direktivet til å omfatte andre skyplattformer, med Google Workspace som den neste i køen.

Selv om BOD 25-01 kun gjelder for føderale sivile etater i USA, bør alle organisasjoner vurdere å implementere de samme sikkerhetstiltakene for sine Microsoft 365-miljøer for å redusere risikoen for sikkerhetsbrudd.

Posted by tsoc at 12:54 0 comments

Wednesday, 18 December 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.12.18

Gran kommune utsatt for dataangrep. Adopsjon, Trafikk og Sikkerhet: Cloudflares Årsrapport for 2024.

Gran kommune utsatt for dataangrep

Gran kommune har satt kriseledelse etter at et dataangrep ble oppdaget 17. desember.

Det er foreløpig ukjent hvor alvorlig datainnbruddet er, og hvilke konsekvenser dette kan få. Dette melder kommunen selv på sine sider.

– Vi har gjennomført noen tiltak allerede. Ett tiltak er å stenge ned kommunens internettforbindelse, melder kommunen.

Adopsjon, Trafikk og Sikkerhet: Cloudflares Årsrapport for 2024

Cloudflare har publisert sin årlige gjennomgang av internett-trender og mønstre observert gjennom 2024. Rapporten "2024 Cloudflare Radar Year in Review", presenterer innsikt på globalt og regionalt nivå over en rekke målinger.

Trafikk

  • Global internett-trafikk økte med 17,2% i 2024.

  • Google forble den mest populære internett-tjenesten totalt sett.

  • Trafikk fra Starlink vokste 3,3 ganger globalt i 2024.

  • Googlebot var ansvarlig for det høyeste volumet av forespørselstrafikk til Cloudflare i 2024.

Adopsjon og bruk

  • Nesten en tredjedel av mobiltrafikk globalt var fra Apple iOS-enheter.

  • Nesten halvparten av webforespørsler brukte HTTP/2, med 20,5% som brukte HTTP/3.

  • Go overgikk NodeJS som det mest populære språket brukt for å gjøre automatiserte API-forespørsler.

Tilkobling

  • 225 større internett-forstyrrelser ble observert globalt i 2024.

  • 28,5% av IPv6-kapable forespørsler ble gjort over IPv6.

  • 41,3% av global trafikk kommer fra mobile enheter.

Sikkerhet

  • 6,5% av global trafikk ble mitigert/filtrert av Cloudflares systemer som potensielt ondsinnet.

  • USA var ansvarlig for over en tredjedel av global bot-trafikk.

  • Gambling/spill var den mest angrepne industrien globalt.

E-postsikkerhet

  • Gjennomsnittlig ble 4,3% av e-poster flagget som ondsinnede i 2024.

  • Over 99% av e-postmeldingene behandlet av Cloudflare Email Security fra .bar, .rest, og .uno toppnivådomener ble funnet å være enten spam eller ondsinnede.

Posted by tsoc at 14:16 0 comments

Tuesday, 17 December 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.12.17

NSM og næringslivet stanser svindelforsøk. Amnesty International avdekker Android zero-day-exploit brukt mot journalister i Serbia.

NSM og næringslivet stanser svindelforsøk

NSM har inngått samarbeid med Næringslivets sikkerhetsråd (NSR) for å varsle små og mellomstore bedrifter om mulige svindelforsøk. På to uker er over 200 bedrifter blitt varslet.

Amnesty International avdekker Android zero-day-exploit brukt mot journalister i Serbia

Amnesty International har avdekket at en Android zero-day svakhet har blitt brukt til å installere spionprogramvaren NoviSpy på telefonene til journalister i Serbia. Cellebrites produkter for forensics skal ha blitt brukt til å låse opp enhetene først. I ett tilfelle ble en journalists telefon angivelig hacket under en politikontroll ved hjelp av Cellebrite-teknologi. Svakheten i driverne til Qualcomm-brikkesettet omgår krypteringsbeskyttelse og låser opp enheten, som baner vei for installasjon av spionprogramvare. Svakheten ble patchet i oktober i år. NoviSpy kan fange opp sensitive personopplysninger og aktivere telefonens mikrofon eller kamera eksternt.

Programvaren fra Cellebrite ble kjøpt inn ved hjelp av penger donert av Norge, opplyser Amnesty.

Posted by tsoc at 13:22 0 comments

Monday, 16 December 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.12.16

Clop-gjengen bekrefter datatyveri ved hjelp av Cleo-programvaren. Forsøk på å utntyte ny kritisk svakhet i Apache Struts. Citrix NetScaler utsettes for kraftig økning i brute force-angrep. Tysklands cybersikkerhetsbyrå blokkerer BadBox-skadevare på 30 000 enheter.

Clop-gjengen bekrefter datatyveri ved hjelp av Cleo-programvaren

Clop-ransomware-gruppen har tatt på seg ansvaret for datainnbrudd i Cleo Harmony, VLTrader og LexiCom ved å utnytte en sårbarhet merket CVE-2024-50623. Programvaren brukes av større firmaer for overføring av store filer. Cybersikkerhetsfirmaet Huntress oppdaget at den opprinneligepatchen for svakheten var ufullstendig, noe som lot trusselsaktørene laste opp en Java-bakdør for å stjele data og få tilgang til kompromitterte nettverk.

CISA har bekreftet at sårbarheten er blitt aktivt utnyttet i ransomware-angrep, selv om Cleo enda ikke har offentliggjort dette. Clop har annonsert at de vil slette data fra tidligere angrep og kun fokusere på nye selskaper som er rammet av Cleo-angrepene. Ransomware-gruppen har spesialisert seg på å utnytte ukjente sårbarheter i sikre filoverføringsplattformer siden 2020, med betydelige angrep mot blant annet Accellion, SolarWinds, GoAnywhere og MOVEit.

Sårbarheter:

Forsøk på å utntyte ny kritisk svakhet i Apache Struts

Forrige uke meldte Apache om en ny svakhet i Struts2. Svakheten lar en angriper endre katalogen der en fil blir lastet opp. Det kan dermed være mulig å laste opp et web-shell og senere få startet dette fra rotkatalogen til serveren. Patching av svakheten er ikke helt rett fram, da den krever manuelle endringer i konfigurasjonsfiler for å ha noen effekt. SANS melder nå at det scannes etter svakheten og at den muligens blir forsøkt utnyttet.

Sårbarheter:

Citrix NetScaler utsettes for kraftig økning i brute force-angrep

Cloud Software Group har observert en økning i passordspraying-angrep rettet mot NetScaler-enheter. Angrepene oversvømmer enheten med autentiseringsforespørsler, noe som kan føre til ressursuttømming og driftsforstyrrelser. Selv om multifaktorautentisering (MFA) forhindrer uautorisert tilgang, kan angrepene føre til overbelastning av CPU, fylle opp loggfiler og i noen tilfeller krasje enheten. Angrepene er rettet mot eldre endepunkter som bruker grunnleggende autentisering,

Sikkerhetsselskapet Cyderes identifiserte først økningen og knytter den til nylig rapporterte sårbarheter i Citrix NetScaler-produkter, inkludert CVE-2024-8534 og CVE-2024-8535. Angriperne bruker en distribuert strategi med hyppige bytter av IP-adresser og ASN-numre for å unngå deteksjon.

Anbefaling:

Cloud Software Group anbefaler å aktivere MFA, blokkere forespørsler til spesifikke endepunkter, bruke WAF, aktivere IP-omdømme og rotere loggfiler oftere for å redusere risikoen for angrep.

Tysklands cybersikkerhetsbyrå blokkerer BadBox-skadevare på 30 000 enheter

Tyske myndigheter har identifisert og omdirigert kommunikasjonen til 30 000 enheter infisert med BadBox-skadevare. Skadevaren, som primært rammer Android-enheter, ble forhåndsinstallert på enheter som video-avspillere og digitale fotorammer, og gir hackere mulighet til å opprette falske kontoer, spre desinformasjon og utføre annonsebedrageri. Myndighetene brukte "sinkholing" for å omdirigere trafikk fra infiserte enheter til sikre servere, og hindret dermed hackere i å få tilgang. BadBox er knyttet til Triada-skadevare, som skaper en bakdør for angripere. Det er dessverre ganske vanlig at billige elektronikk-produkter fra tvilsomme leverandører inneholder ferdig installert skadevare.

Posted by tsoc at 13:10 0 comments

Friday, 13 December 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.12.13

NSM anbefaler overgang til phishingresistent autentisering.

NSM anbefaler overgang til phishingresistent autentisering

NSM anbefaler virksomheter å gå over til passnøkler (passkeys) eller andre FIDO2-implementasjoner for autentisering. Årsaken er at aktører i økende grad tar seg forbi tradisjonell flerfaktorautentisering.

NSM har registrert en rekke phishingkampanjer der målet er økonomisk vinning, ofte via fakturasvindel. Kampanjene lar seg gjennomføre fordi virksomheter ikke påkrever phishingresistent autentisering.

NSM anbefaler å prioritere implementering av phishingresistent autentisering på Microsoft 365 og andre skyløsninger, samt identitetsløsninger og internetteksponerte tjenester. Prioriter spesielt utsatte brukere som økonomiansvarlige, ledere og systemadministratorer ved gradvis utrulling.

Posted by tsoc at 12:57 0 comments

Thursday, 12 December 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.12.12

Oppdateringer fra Atlassian og Splunk. Apple har sluppet oppdaterte versjoner av iOS og macOS. Sikkerhetsforskere omgår tofaktorautentisering i Microsoft Azure. Politiet stenger 27 DDoS booter-tjenester i forkant av årlige juleangrep.

Oppdateringer fra Atlassian og Splunk

Atlassian har sluppet 10 oppdateringer for Bamboo, Bitbucket og Confluence. Alle har fått alvorlighetsgrad "høy" med CVSS-score på 7.1 - 8.1. Det er ikke meldt om at svakhetene utnyttes i aktive angrep.

Splunk er også ute med 7 nye bulletins som fikser 15 svakheter i sine produkter og tredjepartsbiblioteker. Den mest alvorlige svakheten har fått en CVSS-score på 8.8 og er en deserialiseringssvakhet som kan føre til at en bruker med lave rettigheter kan kjøre vilkårlig kode fra eksternt ståsted. Splunk Enterprise versjon 9.3.2, 9.2.4, and 9.1.7 fikser svakhetene.

Apple har sluppet oppdaterte versjoner av iOS og macOS

Apple har gitt ut iOS 18.2 og macOS Sequoia 15.2 med oppdateringer for en mengde svakheter i blant annet kjernen, WebKit, AppleMobileFileIntegrity, passord-håndtering og ImageIO. watchOS, tvOS og visionOS er også oppdatert.

Sikkerhetsforskere omgår tofaktorautentisering i Microsoft Azure

Oasis Securitys forskningsteam avdekket en kritisk sårbarhet i Microsofts implementering av tofaktorautentisering (MFA) som tillot angripere å omgå den og få uautorisert tilgang til brukerkontoer. Sårbarheten utnyttet manglende "rate limiting" og et tidsvindu på 3 minutter for å gjette en 6-sifret kode fra en autentiseringsapp. Dette gjorde det mulig å utføre et stort antall gjetninger på kort tid uten å varsle brukeren, eller uten at systemet hindret forsøkene. I snitt tok det rundt 70 minutter å logge inn på en konto med 6-sifret kode som andre faktor. Microsoft har løst problemet ved å innføre strengere "rate limiting" etter et visst antall mislykkede forsøk.

Politiet stenger 27 DDoS booter-tjenester i forkant av årlige juleangrep

I en internasjonal aksjon kalt "Operation PowerOFF" har politiet stengt 27 plattformer som tilbyr DDoS-angrep. Aksjonen koordineres av Europol og involverer 15 land. Målet er å holde både tilbydere og brukere av slike tjenester ansvarlige. Tre administratorer bak plattformene er arrestert, og over 300 brukere er identifisert for videre etterforskning.

Julehøytiden har historisk være en en periode med økt risiko for DDoS-angrep. Motivene bak angrepene varierer fra økonomisk vinning til ideologiske årsaker.

Posted by tsoc at 12:38 0 comments

Wednesday, 11 December 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.12.11

Microsoft patchetirsdag fikser zero-day. SAP og Adobe gir også ut patcher.

Microsoft patchetirsdag fikser zero-day

Microsoft har gitt ut sine patcher for desember. Denne gangen er det 71 svakheter og 16 er vurdert som kritiske.

En svakhet i "Windows Common Log File System Driver" (CVE-2024-49138) blir allerede utnyttet aktivt av angripere for å oppnå utvidede rettigheter på et allere kompromittert system. Dette systemet har også tidligere vært utsatt for lignende svakheter.

Ni av de kritiske svakhetene ligger i "Windows Remote Desktop Service". Utnyttelse av svakhetene kan føre til kjøring av kode over nettverket, uten at angriper trenger en innlogget bruker. Denne tjenesten bør ikke eksponeres direkte mot Internett.

SAP og Adobe gir også ut patcher

10. desember ga SAP ut patcher for flere av sine produkter. Totalt var det ti nye oppdateringer, samt tre oppdateringer til tidligere patcher. Den mest alvorlige svakhet har fått CVSS-score på 9.1 og ligger i NetWeaver AS for Java.

Adobe ga også ut 160 patcher for 16 produkter i går. 90 av oppdateringene gjelder Adobe Experience Manager. Seks av svakhetene ligger i Adobe Acrobat og Reader, og de kan føre til både kjøring av tilfeldig kode, tjenestenekt og minnelekkasje.

Posted by tsoc at 13:36 0 comments

Tuesday, 10 December 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.12.10

Alvorlige sårbarheter i SonicWall SMA-100 SSL-VPN. Nå har det blitt vanskeligere å “spoofe” mobilnummeret ditt.

Alvorlige sårbarheter i SonicWall SMA-100 SSL-VPN

HelseCERT melder at SonicWall den 3. desember varslet om sårbarheter i SonicWall SMA-100 SSL-VPN.

Vellykket utnyttelse gjør det blant annet mulig:

  • For en uautentisert angriper å kjøre kode (CVE-2024-53703, CVSS 8.1)

  • For en autentisert angriper å kjøre kode (CVE-2024-40763, CVSS 7.5)

  • For en uautentisert angriper å kartlegge filsystemet (CVE-2024-38475, CVSS 7.5)

  • For en uautentisert angriper å kjøre kode på webgrensesnittet (CVE-2024-45318, CVSS 8.1)

Følgende versjoner er sårbare: Sonicwall SMA 100-serien før 10.2.1.14-75sv.

HelseCERT kjenner ikke til at utnyttelseskode er offentlig tilgjengelig eller at sårbarheten utnyttes aktivt.

Nå har det blitt vanskeligere å “spoofe” mobilnummeret ditt

Alle mobiloperatørene har allerede systemer på plass for å blokkere svindelforsøk fra egne nummer. Tidligere i år sendte Nasjonal kommunikasjonsmyndighet (Nkom) brev til Telenor, Telia og Ice og ba dem styrke samarbeidet for å stoppe enda flere svindelforsøk. Nå har økt samarbeid ført til at mobiloperatørene kan blokkere svindelforsøk som hos andre operatører, uavhengig av hvilket norsk mobilnett numrene hører til.

– Det er gledelig at selskapene nå rapporterer at de har fått på plass bedre deling av informasjon og koordinering av «grensekontrollen» på mobiltrafikk som kommer fra utlandet, og som spoofer norske nummer. Norge er så vidt vi vet det andre landet i verden som har innført et slikt digitalt skjold, og det har allerede redusert misbruket av norske mobilnummer, sier John-Eivind Velure som er direktør i Nkom.

Posted by tsoc at 14:31 0 comments

Monday, 9 December 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.12.09

Hackere bruker falske videokonferanseapper for å stjele kryptovaluta. Ultralytics AI-bibliotek kompromittert: PyPI-versjoner brukes til å utvinne kryptovaluta. Situasjonsrapport fra Telenor SOC - november 2024.

Hackere bruker falske videokonferanseapper for å stjele kryptovaluta

Forskere har oppdaget en ny svindel som bruker falske videokonferanseapper for å spre et informasjonsstjeler-skadevare kalt Realst, som spesielt retter seg mot utviklere innen kryptovaluta. Svindelen fungerer ved å lokke ofrene til å laste ned en app fra et falskt nettsted under dekke av et forretningsmøte. Skadevaren stjeler sensitiv informasjon som kryptovaluta, bankdetaljer og nettleserdata. Trusselaktørene benytter AI for å gjøre nettstedene mer troverdige, noe som gjør det vanskeligere å oppdage svindelen.

Ultralytics AI-bibliotek kompromittert: PyPI-versjoner brukes til å utvinne kryptovaluta

To versjoner av det populære Python-biblioteket Ultralytics (8.3.41 og 8.3.42) ble nylig kompromittert i et forsyningskjede-angrep, der en kryptovalutaminer ble distribuert. Angriperne utnyttet et sikkerhetshull i GitHub Actions for å sette inn ondsinnet kode i byggmiljøet etter kodegjennomgang, og dermed publisere endret kildekode på PyPI.

Brukere av biblioteket blir oppfordret til å oppdatere til den nyeste versjonen for å unngå å kjøre den ondsinnede koden, som var en XMRig-miner. Angreps-kampanjen kan også ha blitt brukt til mer alvorlige handlinger, som installasjon av bakdører (RATs).

Situasjonsrapport fra Telenor SOC - november 2024

Vi har publisert vår situasjonsrapport fra Telenor SOC for november 2024. Denne måneden skriver vi blant annet om svakheter i brannmurer fra Palo Alto og statsstøttede hackere som angriper bedrifter fra nærliggende WiFi-nettverk.

Posted by tsoc at 12:58 0 comments

Friday, 6 December 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.12.06

Sårbarhet i Cisco NX-OS bootloader. Flere sårbarheter oppdaget i HPE Aruba Networking ClearPass Policy Manager. Googles desember-oppdatering patcher 14 svakheter. 19-åring arrestert i USA for koblinger til Scattered Spider-gjengen. Amerikansk organisasjon i Kina utsatt for målrettet angrep.

Sårbarhet i Cisco NX-OS bootloader

Cisco har kunngjort en sårbarhet (CVE-2024-20397) i NX-OS-programvarens bootloader som påvirker over 100 av selskapets produkter. Feilen gjør det mulig for angripere å omgå signaturverifisering og laste inn uverifisert programvare. For å utnytte sårbarheten kreves fysisk tilgang, eller tilgang fra en autentisert lokal bruker med administrative rettigheter. Berørte enheter inkluderer følgende: MDS 9000-serien, Nexus 3000-, 7000- og 9000-serien, samt UCS 6400- og 6500-serien.

Anbefaling:

Cisco har utgitt oppdateringer for mange av de berørte produktene og vil fullføre utrullingen innen utgangen av måneden, med unntak av noen utgåtte modeller. Selv om sårbarheten ikke er kjent for å ha blitt utnyttet, oppfordres brukere til å oppdatere enhetene sine snarest.

Flere sårbarheter oppdaget i HPE Aruba Networking ClearPass Policy Manager

Flere sårbarheter har blitt oppdaget i HPE Aruba Networking ClearPass Policy Manager. Disse inkluderer fjernkjøring av vilkårlig kode (RCE) med høy alvorlighetsgrad (CVE-2024-51771), kommandoinjeksjon med middels alvorlighetsgrad (CVE-2024-51772) og cross-site skripting (XSS) med middels alvorlighetsgrad (CVE-2024-51773). Disse sårbarhetene påvirker programvareversjoner lavere enn 6.11.9 og lavere enn 6.12.2. For å utnytte disse kreves autentisering, men de kan potensielt gi angripere mulighet til å kjøre vilkårlige kommandoer og manipulere data. Sårbarhetene ble oppdaget gjennom HPEs bug bounty-program. HPE anbefaler oppdatering til nyere versjoner (6.11.10 og 6.12.3 eller høyere) som løser problemene, samt å utøve god nettverkssegmentering. Foreløpig er det ikke rapportert om utnyttelse av svakhetene.

Googles desember-oppdatering patcher 14 svakheter

Google har gitt ut sin månedlige pakker med patcher for Android. Denne måneden patches det 6 svakheter med alvorlighetsgrad "høy". I tillegg er det diverse patcher for komponenter fra tredjeparter. Den mest alvorlige svakheten (CVE-2024-43767) ligger i system-komponenten og kan føre til kjøring av kode fra eksternt ståsted. De fem andre svakhetene kan føre til at en angriper kan få utvidede rettigheter på systemet. Det blir ikke rapportert at noen av svakhetene blir brukt i aktive angrep.

Sårbarheter:

19-åring arrestert i USA for koblinger til Scattered Spider-gjengen

En 19 år gammel mann er arrestert i USA, mistenkt for å ha brutt seg inn i nettverkene til en finansinstitusjon og to telekomselskaper. Gjerningsmannen skal ha brukt stjålne innloggingsdetaljer, som han fikk tak i ved hjelp av tekst- og tale-phishing rettet mot ansatte. Han utga seg også for å være IT-support for å presse ansatte til å besøke phishing-nettsider.

I tillegg skal han ha sendt over 8,6 millioner phishing-meldinger i et forsøk på å stjele kryptovaluta fra privatpersoner. FBI fant bevis for den kriminelle aktiviteten på guttens iPhone. Han har innrømmet å kjenne medlemmer av Scattered Spider, en gruppe av engelsktalende hackere som har fått flere medlemmer arrestert i det siste.

Amerikansk organisasjon i Kina utsatt for målrettet angrep

En stor amerikansk organisasjon, med betydelig tilstedeværelse i Kina, ble utsatt for et fire måneder langt angrep fra en kinesisk trusselaktør. Angriperne fikk tilgang til organisasjonens nettverk og utnyttet en rekke teknikker, inkludert DLL-sideloading, Impacket-scripts, og "living off the land"-verktøy som WMI, PsExec og PowerShell. De kompromitterte flere maskiner, inkludert Exchange-servere, for å samle inn og eksfiltrere data. Symantec mener at en kinesisk aktør står bak og at målet er å samle inn informasjon.

Posted by tsoc at 13:37 0 comments

Thursday, 5 December 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.12.05

Android skadevare kalt «DroidBot» forsøker å stjele innloggingsdetaljer til Europeiske banker. Pegasus-spionprogramvare kan være mer utbredt enn antatt.

Android skadevare kalt «DroidBot» forsøker å stjele innloggingsdetaljer i Europeiske banker

En nyere skadevare for Android telefoner kalt «DroidBot» brukes til å stjele innloggingsdetaljer. Foreløpig er 77 kryptovaluta-børser og bankapper i Storbritannia, Italia, Frankrike, Spania og Portugal blitt forsøkt angrepet. DroidBot har vært aktiv siden juni 2024 og fungerer som en «malware-as-a-service» (MaaS), hvor angrepstjenesten selges til kjøpere. DroidBot utgir seg for å være legitime apper som Google Chrome eller Google Play for å lure brukere til å installere den. Gjennom å misbruke Androids tilgjengelighetstjenester kan den overvåke brukerhandlinger og kan utføre tasteloggings- og fjernstyringsfunksjoner. Selv om den foreløpig ikke inneholder svært sofistikerte funksjoner er det rapportert 776 unike enheter som har blitt infisert. For å beskytte seg anbefales brukere å kun laste ned apper fra Google Play, være oppmerksomme på tillatelsesforespørsler og sikre at Play Protect er aktivert på enheten.

Pegasus-spionprogramvare kan være mer utbredt enn antatt

Forskere fra iVerify har oppdaget syv nye Pegasus-spionprogramvareinfeksjoner, som typisk rammer journalister, myndighetspersoner og bedriftsledere. Infeksjonene startet for flere år siden og spenner over både iPhone- og Android-enheter. Det er myndigheter i forskjellige land som står bak infeksjonene.

Funnene ble gjort i mai under en skanning av 3500 enheter fra iVerify-brukere. Undersøkelsen avdekket flere Pegasus-varianter for både iOS og Android, med 2.5 infiserte enheter per 1000 enheter scannet.

Funnene tyder på at sikkerhetsforskere kan ha undervurdert utbredelsen til mobil spionprogramvare, spesielt Pegasus. Programvaren kan utnytte OS-sårbarheter og bruke zero-click-angrep for å få tilgang til og hente ut data fra en infisert mobilenhet.

Posted by tsoc at 12:16 0 comments

Wednesday, 4 December 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.12.04

CISA og partnere gir ut veiledning for å sikre kommunikasjonsinfrastruktur etter angrep. Veeam tetter alvorlige sikkerhetshull i Service Provider Console. Data om over 760 000 ansatte fra store selskaper lekket på nett. Europol har tatt ned den krypterte meldingstjenesten MATRIX, brukt av kriminelle.

CISA og partnere gir ut veiledning for å sikre kommunikasjonsinfrastruktur etter angrep

CISA, i samarbeid med NSA, FBI og internasjonale partnere, har publisert en veiledning for å styrke sikkerheten i kommunikasjonsinfrastruktur. Veiledningen er et svar på at en trusselaktør tilknyttet Kina har kompromittert nettverk tilhørende store, globale telekom-leverandører. CISA og partnerne oppfordrer nettverksforsvarere og ingeniører til å følge beste praksis i veiledningen, inkludert patching av sårbare enheter og tjenester, for å redusere risikoen for angrep. Veiledningen inneholder også informasjon om Kinas statlig sponsede trusselaktører og prinsipper for sikker design.

CNN melder at amerikanske telecom-selskaper og myndigheter fortsatt jobber med å få ut kinesiske trusselaktører fra telekom-nettverk.

Veeam tetter alvorlige sikkerhetshull i Service Provider Console

Veeam har utbedret to sårbarheter i Veeam Service Provider Console (VSPC), hvorav én (CVE-2024-42448) kan tillate at eksterne angripere oppnår kodekjøring på VSPC-servermaskinen.

Sårbarhetene påvirker VSPC versjon 8.1.0.21377 og alle tidligere versjoner 8 og 7. CVE-2024-42448 tillater ekstern kodekjøring fra VSPC-administrasjonsagentmaskinen på VSPC-servermaskinen, mens CVE-2024-42449 tillater angripere å lekke en NTLM-hash av VSPC-serverens tjenestekonto og slette filer på VSPC-servermaskinen. Begge sårbarhetene krever at administrasjonsagenten er autorisert på serveren.

Anbefaling:

Oppgrader til Veeam Service Provider Console v8.1.0.21999.

Data om over 760 000 ansatte fra store selskaper lekket på nett

En hacker har publisert detaljer om over 760 000 ansatte fra kjente selskaper som Bank of America, Koch, Nokia, JLL, Xerox, Morgan Stanley og Bridgewater på et hackingforum. Dataene stammer trolig fra fjorårets MOVEit-angrep, der en zero-day sårbarhet i Progress Softwares filoverføringsprogramvare ble utnyttet.

Den russisk-knyttede ransomware-gruppen Cl0p antas å stå bak angrepet. De lekkede dataene inkluderer navn, e-postadresser, telefonnumre, ansatt-IDer, stillingstitler og navn på ledere.

Europol har tatt ned den krypterte meldingstjenesten MATRIX, brukt av kriminelle

MATRIX, en kryptert meldingstjeneste utviklet av kriminelle for kriminelle, er blitt tatt ned av en felles innsatsgruppe bestående av hovedsakelig franske og nederlandske myndigheter.

Tjenesten ble oppdaget på telefonen til en kriminell dømt for drapet på en nederlandsk journalist i 2021. Myndighetene klarte å overvåke meldingene i tjenesten i tre måneder, og samlet inn over 2,3 millioner meldinger på 33 språk knyttet til alvorlig kriminalitet som narkotikahandel, våpenhandel og hvitvasking av penger. Det er så langt usikkert hvordan overvåkingen ble utført.

MATRIX var mer teknisk avansert enn tidligere tjenester som Sky ECC og EncroChat, med over 40 servere i flere land.

Posted by tsoc at 12:13 0 comments

Tuesday, 3 December 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.12.03

Exploitkode for Zero-Day i Windows Task Scheduler utgitt, aktivt utnyttet av RomCom-gruppen. Cisco Bekrefter Aktiv Utnyttelse av Ti År Gammel WebVPN-Sårbarhet i ASA-programvare. Sørkoreansk CEO arrestert for å ha lagt til DDoS-funksjonalitet i satellittmottakere.

Exploitkode for Zero-Day i Windows Task Scheduler utgitt, aktivt utnyttet av RomCom-gruppen

En PoC (Proof of Concept) for en kritisk Windows Task Scheduler-sårbarhet, CVE-2024-49039, er nylig offentliggjort. Denne feiltypen gir angripere muligheten til å eskalere privilegier og kjøre vilkårlig kode på offerets system. Sårbarheten er allerede aktivt utnyttet av den kriminelle gruppen RomCom, som har brukt den til å angripe brukere av Firefox og Tor Browser. Microsoft har lansert en sikkerhetsoppdatering for å tette hullet.

Sårbarheter:

Cisco Bekrefter Aktiv Utnyttelse av Ti År Gammel WebVPN-Sårbarhet i ASA-programvare

Cisco har bekreftet at sårbarheten CVE-2014-2120, som påvirker WebVPN på Cisco ASA-programvare, aktivt utnyttes. Denne XSS-sårbarheten kan tillate angripere å kjøre skadelig kode via den sårbare påloggingssiden. Til tross for at feilen ble oppdaget i 2014, har Cisco nylig advart om økt utnyttelse, og oppfordrer til oppdatering av programvaren. Cybersecurity and Infrastructure Security Agency (CISA) har lagt til CVE-2014-2120 i sin "Known Exploited Vulnerabilities" liste.

Sårbarheter:

Sørkoreansk CEO arrestert for å ha lagt til DDoS-funksjonalitet i satellittmottakere

En sør-koreansk teknologibedrift har blitt avslørt i å produsere og selge over 240.000 satellittmottakere med innebygd DDoS-funksjonalitet etter spesiell forespørsel fra en kjøper. Produsenten har samarbeidet med en utenlandsk kringkastingsbedrift og installerte DDoS-modulen.

Interpol bidro med etterretningsinformasjon som hjalp politiet i etterforskningen, noe som resulterte i pågripelse av selskapets administrerende direktør og fem ansatte. De siktede risikerer nå tiltale for brudd på lover om informasjons- og kommunikasjonsnettverk. Politiet har beslaglagt selskapets eiendeler og konfiskert verdier for rundt 4,35 millioner amerikanske dollar. Kjøperne av utstyret er foreløpig ikke pågrepet, og politiet søker internasjonal bistand for å spore dem.

Posted by tsoc at 13:09 0 comments

Monday, 2 December 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.12.02

Interpol arresterer 5500 personer og beslaglegger $400 millioner i global aksjon.

Interpol arresterer 5500 og beslaglegger $400 millioner i global aksjon

Interpol har ledet en global politiaksjon kalt Operation HAECHI-V, som involverte myndigheter fra 40 land mellom juli og november 2024. Operasjonen resulterte i pågripelse av mer enn 5.500 mistenkte cyberkriminelle og beslagleggelse av over 400 millioner dollar i virtuelle og forskjellige lands valutaer. Blant resultatene var en felles aksjon fra koreanske og kinesiske myndigheter som avviklet en omfattende voice phishing-gruppe som hadde forårsaket tap på 1,1 milliarder dollar for over 1.900 ofre. Interpol har også advart mot en ny svindelteknikk kalt "USDT Token Approval Scam", der kriminelle gir seg ut for å være potensielle romantiske partnere for å lure ofre til å gi dem full tilgang til sine krypto-lommebøker.

Posted by tsoc at 15:15 0 comments
Subscribe to: Posts (Atom)
 
>