Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Wednesday, 16 April 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.04.16

Midnight Blizzard benytter ny GrapeLoader-malware i phishing-kampanje rettet mot ambassader. Kritisk Chrome-sikkerhetsoppdatering: Installer nå for å unngå CVE-2025-3619 og CVE-2025-3620.

Midnight Blizzard benytter ny GrapeLoader-malware i phishing-kampanje rettet mot ambassader

En ny spear-phishing-kampanje, utført av den russiske statssponsede etterretningsgruppen APT29 (også kjent som Midnight Blizzard eller Cozy Bear), retter seg mot diplomatiske mål i Europa. Kampanjen benytter en falsk e-postinvitasjon til vinsmaking for å lokke ofre til å laste ned en ondsinnet ZIP-fil.

Den inneholder en ny malware loader kalt GrapeLoader, som kjøres via DLL sideloading, etablerer persistence og kontakter en C2-server for å laste ned shellcode. Denne loaderen er designet for å være vanskelig å oppdage, med blant annet forsinket kjøring og minnebeskyttelse.

GrapeLoader leverer en ny variant av backdoor-programmet WineLoader, som samler inn detaljert informasjon om systemet og muliggjør videre spionasje. Den nye varianten er tungt obfuskert for å unngå analyse og oppdagelse.

Check Point Research konkluderer med at APT29 stadig forbedrer sine teknikker, og at denne kampanjen viser en høy grad av sofistikasjon og målrettethet.

Kritisk Chrome-sikkerhetsoppdatering: Installer nå for å unngå CVE-2025-3619 og CVE-2025-3620

Google har nettopp rullet ut Chrome 135.0.7049.95/.96 for Windows og macOS, samt 135.0.7049.95 for Linux, for å tette to alvorlige sårbarheter. En av dem, CVE-2025-3619, er klassifisert som «kritisk» og består av en heap buffer overflow-feil i kodekenes håndtering av data, noe som kan åpne for vilkårlig kodekjøring. Den andre feilen, CVE-2025-3620, er en bruk-etter-frigjøring («use-after-free») i USB-modulen, som også kan føre til utnyttelse med eksekvering av ondsinnet kode. Begge disse feilene kan la angripere ta kontroll over systemet dersom oppdatering ikke installeres.

Google begrenser bevisst detaljert informasjon om sårbarhetene for å gi flest mulig tid til å oppdatere, særlig hvis andre prosjekter er avhengige av ubeskyttet kode. Brukere og administratorer oppfordres derfor til å forsikre seg om at de kjører den nyeste Chrome-versjonen, enten ved å vente på automatisk oppdatering eller ved å sjekke manuelt via chrome://settings/help. Dette minimerer faren for at uvedkommende utvikler og sprer skadevare basert på disse sårbarhetene.

Posted by tsoc at 12:09 0 comments

Tuesday, 15 April 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.04.15

New ResolverRAT Malware Targets Pharma And Healthcare Orgs Worldwide. Phishing Campaigns Use Real-Time Checks to Validate Victim Emails Before Credential Theft. Tycoon2FA Phishing Kit Targets Microsoft 365 With New Tricks.

New ResolverRAT Malware Targets Pharma And Healthcare Orgs Worldwide

Den nylig oppdagede fjernstyrte trojaneren "ResolverRAT" retter seg mot farmasøytiske og helsesektoren globalt via phishing-e-poster som utgir seg for å være juridiske varsler. Angrepet distribuerer en legitim fil ("hpreader.exe") som injiserer malwaren i minnet ved hjelp av reflektiv DLL-loading. ResolverRAT opererer fullstendig i minnet og benytter .NET "ResourceResolve"-mekanismer for å unngå tradisjonell deteksjon. Den benytter XOR-kryptering for persistens via Windows-registeret og sprer store datamengder i små biter for å unngå oppdagelse.

Phishing Campaigns Use Real-Time Checks to Validate Victim Emails Before Credential Theft

En ny type phishing-kampanje kalt "precision-validating phishing" bruker sanntidsvalidering av e-postadresser for å sikre at kun gyldige og aktive e-postkontoer angripes. Ved hjelp av API- eller JavaScript-basert validering testes e-postadressen før en falsk innloggingsside vises. Dersom adressen ikke er i angriperens database, blir brukeren omdirigert til uskyldige sider som Wikipedia. Dette gjør kampanjene vanskeligere å oppdage og mer effektive. En relatert kampanje bruker også "file deletion"-lokkemidler for å levere enten falske Microsoft-innloggingssider eller installere skjult fjernstyringsverktøy (ScreenConnect).

Tycoon2FA Phishing Kit Targets Microsoft 365 With New Tricks

Phishing-as-a-service-plattformen Tycoon2FA har fått betydelige oppdateringer som forbedrer evnen til å omgå sikkerhet og MFA-beskyttelse i Microsoft 365 og Gmail. Nye triks inkluderer usynlige Unicode-tegn i JavaScript, selv-hostet CAPTCHA via HTML5, og anti-debugging som blokkerer verktøy som Burp Suite. I tillegg er det registrert en 1800% økning i phishingangrep som benytter ondsinnede SVG-filer, ofte utformet som lydmeldinger eller dokumentikoner, som inneholder JavaScript som fører til falske Microsoft-innloggingssider.

Posted by tsoc at 09:33 0 comments

Monday, 14 April 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.04.14

Fortinet advarer: Angripere beholder tilgang til FortiGate-enheter etter patching via SSL-VPN-symlink. Alvorlig sårbarhet i WordPress plugin OttoKit (SureTriggers) utnyttes. SpyNote, BadBazaar og MOONSHINE: Mobilspionvare truer Android- og iOS-brukere.

Fortinet advarer: Angripere beholder tilgang til FortiGate-enheter etter patching via SSL-VPN-symlink

Fortinet har oppdaget at trusselaktører utnytter tidligere kjente og nå patchede sårbarheter—inkludert CVE-2022-42475, CVE-2023-27997 og CVE-2024-21762—for å opprette en symbolsk lenke (symlink) mellom brukerfil- og rotfilsystemene i FortiGate-enheter. Denne symlinken, plassert i en mappe brukt for språkfiler i SSL-VPN, gir angriperne vedvarende lesetilgang til konfigurasjonsfiler, selv etter at de opprinnelige sårbarhetene er tettet. SSL-VPN-brukere er spesielt utsatt, mens de som aldri har aktivert denne funksjonen ikke er berørt. Fortinet har utgitt oppdateringer for FortiOS som automatisk fjerner slike symlinker og forhindrer at SSL-VPN-serveren distribuerer dem.

Alvorlig sårbarhet i WordPress plugin OttoKit (SureTriggers) utnyttes

Angripere utnytter nå en alvorlig sårbarhet i OttoKit (tidligere SureTriggers) for WordPress, som ble offentliggjort av Wordfence 9. april. Svakheten (CVE-2025-3102, score 8,1) gjør det mulig å omgå autentisering og opprette nye administratorbrukere, noe som i praksis kan gi angripere full kontroll over et nettsted. Sårbarheten skyldes manglende validering av secret_key variabelen og oppstår når plugin-en ikke er konfigurert med en API-nøkkel, noe som gjør at secret_key blir tom. Versjon 1.0.79 av OttoKit/SureTriggers retter feilen og det anbefales å oppgradere umiddelbart og kontrollere logger for uvanlige administrator­kontoer dersom plugin-en brukes.

Sårbarheter:

SpyNote, BadBazaar og MOONSHINE: Mobilspionvare truer Android- og iOS-brukere

Cybersecurity-forskere har avdekket at trusselaktører bruker nylig registrerte domener for å distribuere Android-malwaren SpyNote via falske nettsteder som etterligner Google Play Store. Disse sidene tilbyr tilsynelatende legitime apper, som Chrome-nettleseren, men installerer i virkeligheten SpyNote, en fjernstyrt trojaner (RAT) kjent for å misbruke tilgjengelighetstjenester for å samle inn sensitiv data som SMS, kontakter, samtalelogger, posisjonsinformasjon og filer. SpyNote gir også angripere mulighet til å aktivere kamera og mikrofon, manipulere samtaler og utføre vilkårlige kommandoer. I tillegg har etterretningsbyråer fra flere land advart om at malware-familiene BadBazaar og MOONSHINE brukes til å målrette mot minoritetsgrupper som uigurer, taiwanere og tibetanere, samt NGO-er, journalister og sivilsamfunnsaktører. Disse truslene spres gjennom apper som etterligner populære plattformer som WhatsApp og Skype, samt mindre kjente apper som Tibet One og Audio Quran.

Posted by tsoc at 09:32 0 comments

Thursday, 10 April 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.04.10

Sårbarhet i Apache mod_auth_openidc kan gi uautentiserte brukere tilgang til beskyttet innhold.

Sårbarhet i Apache mod_auth_openidc kan gi uautentiserte brukere tilgang til beskyttet innhold.

En alvorlig sårbarhet i Apache mod_auth_openidc (CVE-2025-31492, score 8.2) gjør at uautentiserte brukere kan få tilgang til beskyttet innhold. Feilen ligger i håndteringen av forespørsler når OIDCProviderAuthRequestMethod er satt til POST og det ikke eksisterer noe "Gateway" eller lastbalanserer på applikasjonsnivå som beskytter serveren. Da returnerer modulen et svar som inneholder både autentiseringsskjema og det beskyttede innholdet. Oppdatering til versjon 2.4.16.11 eller nyere løser problemet, og man kan også bytte til OIDCProviderAuthRequestMethod GET for å unngå sårbarheten. Det anbefales å oppdatere eller justere konfigurasjonen.

Sårbarheter:

Posted by tsoc at 12:10 0 comments

Wednesday, 9 April 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.04.09

Microsofts april 2025 Patch Tuesday patcher utnyttet zero-day og 134 sårbarheter. Fortinet oppfordrer til oppgradering av FortiSwitch for å rette kritisk sårbarhet i administrativ passordendring. Google retter totalt 62 sårbarheter, inkludert 2 zero-days.

Microsofts april 2025 Patch Tuesday patcher utnyttet zero-day og 134 sårbarheter

Microsofts april 2025 Patch Tuesday inkluderer sikkerhetsoppdateringer for 134 sårbarheter, hvorav en er en aktivt utnyttet zero-day-sårbarhet. Blant disse er elleve klassifisert som "Kritiske" og innebærer fjernkjøring av kode. Den aktivt utnyttede sårbarheten, CVE-2025-29824, er en eskalering av privilegier i Windows Common Log File System Driver, som tillater lokale angripere å oppnå SYSTEM-rettigheter. Denne sårbarheten har blitt utnyttet av RansomEXX løsepengevirusgruppen.

Anbefaling:

Det anbefales sterkt at brukere og administratorer installerer de nyeste sikkerhetsoppdateringene fra Microsoft for å beskytte systemene mot sårbarhetene, spesielt den aktivt utnyttede CVE-2025-29824.

Sårbarheter:

Fortinet oppfordrer til oppgradering av FortiSwitch for å rette kritisk sårbarhet i administrativ passordendring

Fortinet har utgitt sikkerhetsoppdateringer for å adressere en kritisk sårbarhet i FortiSwitch som kan tillate en angriper å utføre uautoriserte endringer av administratorpassord. Sårbarheten, identifisert som CVE-2024-48887, har en CVSS-score på 9.3 av 10.0. Den påvirker flere versjoner av FortiSwitch, inkludert 7.6.0, 7.4.0 til 7.4.4, 7.2.0 til 7.2.8, 7.0.0 til 7.0.10 og 6.4.0 til 6.4.14. Fortinet anbefaler brukere å oppdatere til de nyeste versjonene for å beskytte systemene sine mot potensielle angrep.

Anbefaling:

Brukere bør umiddelbart oppdatere FortiSwitch til de nyeste tilgjengelige versjonene for å beskytte mot denne sårbarheten. Som midlertidige tiltak anbefales det å deaktivere HTTP/HTTPS-tilgang til administrative grensesnitt og begrense systemtilgang til kun pålitelige verter.

Sårbarheter:

Google retter totalt 62 sårbarheter, inkludert 2 zero-days

Google har i april 2025-utgivelsen av Androids sikkerhetsoppdatering rettet 62 sårbarheter, inkludert to zero-day-feil som har blitt aktivt utnyttet i målrettede angrep. En av disse, en høy-severitets privilegieeskaleringssårbarhet (CVE-2024-53197) i Linux-kjernens USB-audio driver for ALSA-enheter, ble rapportert og utnyttet av serbiske myndigheter for å låse opp konfiskerte Android-enheter ved hjelp av en exploit-kjede utviklet av det israelske digitale etterforskningsselskapet Cellebrite. Den andre zero-day-feilen (CVE-2024-53150) er en informasjonssårbarhet i Android-kjernen forårsaket av en out-of-bounds lesesvakhet, som tillot lokale angripere å stjele sensitiv informasjon på sårbare enheter uten bruker interaskjon. Google delte disse rettelsene med OEM-partnere i januar 2025.

Anbefaling:

Brukere anbefales sterkt å oppdatere sine Android-enheter til den nyeste sikkerhetsoppdateringen for å beskytte mot disse sårbarhetene.

Posted by tsoc at 12:13 0 comments

Monday, 7 April 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.04.07

Kritisk Ivanti-sårbarhet aktivt utnyttet for å distribuere TRAILBLAZE og BRUSHFIRE malware.

Kritisk Ivanti-sårbarhet aktivt utnyttet for å distribuere TRAILBLAZE og BRUSHFIRE malware

Ivanti har avslørt en kritisk sårbarhet (CVE-2025-22457) med en CVSS-score på 9.0, som påvirker Connect Secure, Policy Secure og ZTA Gateways. Sårbarheten er en stack-basert buffer overflow som tillater uautentiserte angripere å utføre vilkårlig kode eksternt. Google-eide Mandiant observerte utnyttelse av denne sårbarheten i midten av mars 2025, hvor angripere distribuerte en minnebasert minnebasert "dropper" 
kalt TRAILBLAZE og en passiv bakdør ved navn BRUSHFIRE. Disse verktøyene etablerer vedvarende bakdørstilgang på kompromitterte enheter, noe som potensielt muliggjør brukerinformasjons tyveri, dataeksfiltrering mm.

Anbefaling:

Ivanti anbefaler at kunder overvåker sine eksterne ICT-systemer for tegn på kompromittering, spesielt webserver-krasj. Hvis det oppdages tegn på kompromittering, bør enheten tilbakestilles til fabrikkinnstillinger og oppdateres til versjon 22.7R2.6 før den settes tilbake i produksjon. Videre bør kunder sikre at deres systemer er oppdatert til de nyeste versjonene som adresserer denne sårbarheten.

Posted by tsoc at 14:21 0 comments

Friday, 4 April 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.04.04

Nytt GitHub-forsyningskjedeangrep sporet mot lekket SpotBugs-token. Google Patcher Quick Share-sårbarhet som muliggjør stille filoverføringer uten samtykke.

Nytt GitHub-forsyningskjedeangrep sporet mot lekket SpotBugs-token

Ett omfattende forsyningskjedeangrep på GitHub, som opprinnelig rettet seg mot Coinbase i mars 2025, har blitt sporet tilbake til en stjålet token fra SpotBugs sin arbeidsflyt. Angrepet startet i november 2024 da en vedlikeholder av SpotBugs inkluderte sin personlige tilgangstoken (PAT) i en CI-arbeidsflyt. En angriper utnyttet deretter en sårbar 'pull_request_target' arbeidsflyt for å stjele denne tokenen via en ondsinnet pull request. Den stjålne tokenen ble senere brukt til å kompromittere flere GitHub-prosjekter, inkludert Reviewdog og tj-actions/changed-files, noe som til slutt eksponerte hemmeligheter i 218 repositories.

Anbefaling:

Utviklere bør unngå å inkludere personlige tilgangstokens direkte i CI-arbeidsflyter. Det anbefales å bruke alternative autentiseringsmetoder som GitHub App-tokens eller OIDC for å minimere risikoen for token-lekkasje. I tillegg bør man være forsiktig med å bruke 'pull_request_target' arbeidsflyter, da disse kan være sårbare for ondsinnede pull requests.

Google Patcher Quick Share-sårbarhet som muliggjør stille filoverføringer uten samtykke

Google har utgitt en oppdatering for å adressere en sårbarhet i Quick Share for Windows, kjent som CVE-2024-10668 (CVSS-score: 5.9). Denne sårbarheten kunne utnyttes til å utføre denial-of-service (DoS) angrep eller sende vilkårlige filer til en brukers enhet uten deres godkjenning. Problemet oppsto som en omgåelse av tidligere rapporterte svakheter i Quick Share, som tillot angripere å krasje applikasjonen eller overføre filer uten brukerens samtykke. Google har løst dette i Quick Share for Windows versjon 1.0.2002.2.

Anbefaling:

Brukere av Quick Share for Windows bør umiddelbart oppdatere til versjon 1.0.2002.2 for å beskytte seg mot potensielle utnyttelser av denne sårbarheten.

Posted by tsoc at 12:05 0 comments

Thursday, 3 April 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.04.03

Cisco advarer om CSLU bakdør brukt i angrep.

Cisco advarer om CSLU bakdør brukt i angrep

Cisco advarer om en kritisk sårbarhet i Cisco Smart Licensing Utility (CSLU) som eksponerer en innebygd bakdør i form av en administratorkonto. Denne sårbarheten, identifisert som CVE-2024-20439, lar uautentiserte angripere logge inn på upatchede systemer med administrative rettigheter via CSLU-applikasjonens API. Selv om Cisco utbedret feilen i september 2024, ble det i mars 2025 oppdaget forsøk på utnyttelse av sårbarheten i det fri. Angripere har også kombinert denne sårbarheten med en annen kritisk feil, CVE-2024-20440, som tillater tilgang til loggfiler med sensitiv informasjon. Begge sårbarhetene krever at CSLU-applikasjonen er startet, da den ikke kjører i bakgrunnen som standard.

Anbefaling:

Cisco anbefaler sterkt at kunder oppgraderer til en fastsatt programvareversjon for å rette opp disse sårbarhetene.

Posted by tsoc at 15:28 0 comments

Tuesday, 1 April 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.04.01

Russiske hackere utnytter CVE-2025-26633 via MSC EvilTwin for å distribuere SilentPrism og DarkWisp. Hackere misbruker WordPress MU-plugins for å skjule ondsinnet kode. Phishing-plattformen 'Lucid' står bak bølge av iOS- og Android-SMS-angrep.

Russiske hackere utnytter CVE-2025-26633 via MSC EvilTwin for å distribuere SilentPrism og DarkWisp

Den russiske hackergruppen kjent som Water Gamayun, også kalt EncryptHub og LARVA-208, utnytter en nylig oppdaget sårbarhet i Microsoft Management Console (MMC), identifisert som CVE-2025-26633 eller "MSC EvilTwin". Gjennom manipulering av ondsinnede Microsoft Console-filer (.msc) kan de kjøre vilkårlig kode på infiserte systemer. Angrepene involverer bruk av skadelige .msi-filer og .msc-filer for å levere bakdørene SilentPrism og DarkWisp, som gir angriperne mulighet til fjernkontroll, datatyveri og vedvarende tilgang til kompromitterte systemer. ​

Anbefaling:

Det anbefales sterkt å installere sikkerhetsoppdateringen fra Microsoft som adresserer CVE-2025-26633 umiddelbart. Administratorer bør også gjennomgå systemer for tegn på kompromittering, spesielt relatert til bruk av .msc- og .msi-filer. Videre bør det implementeres robuste sikkerhetstiltak, inkludert oppdaterte antivirusprogrammer og inntrengningsdeteksjonssystemer, for å beskytte mot slike angrep.

Sårbarheter:

Hackere misbruker WordPress MU-plugins for å skjule ondsinnet kode

Hackere utnytter WordPress' 'Must-Use Plugins' (MU-plugins) for å skjule ondsinnet kode som kjøres automatisk på alle sider uten å vises i adminpanelet. MU-plugins er PHP-filer lagret i 'wp-content/mu-plugins/'-katalogen og aktiveres automatisk ved sidelasting. Angriperne bruker denne teknikken til å oppnå vedvarende tilgang og skjule skadelig programvare, inkludert bakdører, spammere og injeksjoner av ondsinnet kode.

Anbefaling:

WordPress-administratorer bør regelmessig inspisere 'mu-plugins'-katalogen for uautoriserte filer, overvåke filendringer og sikre at alle plugins og temaer er oppdatert. Det anbefales også å implementere sikkerhetstiltak som brannmurer og inntrengningsdeteksjonssystemer for å beskytte mot uautorisert tilgang.

Phishing-plattformen 'Lucid' står bak bølge av iOS- og Android-SMS-angrep

Lucid' er en phishing-as-a-service (PhaaS) plattform operert av den kinesiske cyberkriminelle gruppen 'XinXin' siden midten av 2023. Den har rettet seg mot 169 enheter i 88 land ved å sende sofistikerte meldinger via iMessage (iOS) og RCS (Android). Plattformen selges til andre trusselaktører gjennom et abonnementsbasert modell, som gir tilgang til over 1 000 phishing-domener, automatisk genererte phishing-nettsteder og avanserte spamming-verktøy.

Anbefaling:

Brukere bør være ekstra forsiktige med meldinger mottatt via iMessage og RCS, spesielt de som inneholder lenker eller ber om personlig informasjon. Det anbefales å bekrefte avsenderens legitimitet før man klikker på lenker eller deler sensitiv informasjon.

Posted by tsoc at 11:02 0 comments

Monday, 31 March 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.03.31

Infostealer-kampanje kompromitterer 10 npm-pakker, retter seg mot utviklere. Ny Morphing Meerkat phishing-kit etterligner 114 merkevarer ved bruk av ofrenes DNS e-postoppføringer.

Infostealer-kampanje kompromitterer 10 npm-pakker, retter seg mot utviklere

Ti npm-pakker, inkludert den populære 'country-currency-map', ble nylig oppdatert med ondsinnet kode som stjeler miljøvariabler og annen sensitiv informasjon fra utvikleres systemer. Koden, oppdaget av Sonatype-forsker Ali ElShakankiry, er skjult i de obfuskertede skriptene "/scripts/launch.js" og "/scripts/diagnostic-report.js", som aktiveres ved installasjon av pakken. Den stjålne informasjonen sendes til en ekstern server på "eoi2ectd5a5tn1h.m.pipedream(.)net". Miljøvariabler er ofte mål for slike angrep da de kan inneholde API-nøkler, databaselegitimasjon, skylagringsnøkler og krypteringsnøkler, som kan brukes i videre angrep.

Anbefaling:

Utviklere bør umiddelbart sjekke om de har installert noen av de kompromitterte pakkene og fjerne dem fra sine prosjekter. Det anbefales også å rotere eventuelle eksponerte nøkler eller legitimasjon som kan ha blitt kompromittert. Videre bør utviklere være årvåkne ved oppdatering av avhengigheter og vurdere å bruke verktøy som overvåker for ondsinnede pakker.

Ny Morphing Meerkat phishing-kit etterligner 114 merkevarer ved bruk av ofrenes DNS e-postoppføringer

Forskere har avdekket en ny phishing-as-a-service (PhaaS) plattform kalt Morphing Meerkat, som utnytter DNS MX-oppføringer for å dynamisk generere falske innloggingssider som imiterer rundt 114 forskjellige merkevarer. Angriperne bruker ofte åpne omdirigeringer på annonseplattformer og kompromitterte domener for å distribuere phishing-innhold, og de stjålne legitimasjonene overføres via flere kanaler, inkludert Telegram

Anbefaling:

Brukere bør være ekstra forsiktige med e-poster som inneholder lenker til innloggingssider, spesielt hvis de er omdirigert via ukjente domener. Det anbefales å verifisere ektheten av slike e-poster og å unngå å oppgi legitimasjon på sider som ikke er bekreftet som legitime.

Posted by tsoc at 11:55 0 comments

Friday, 28 March 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.03.28

Mozilla har fikset kritisk sårbarhet i Firefox for Windows. Splunk fikser alvorlige sårbarheter i Splunk Enterprise og Secure Gateway.

Mozilla har fikset kritisk sårbarhet i Firefox for Windows

Mozilla har utgitt Firefox 136.0.4 for å rette en kritisk sårbarhet (CVE-2025-2857) som gjør det mulig for angripere å omgå nettleserens sandbox på Windows-maskiner. Feilen berører også Firefox ESR og minner om en nylig Chrome sårbarhet (CVE-2025-2783) som kunne bli utnyttet på en tilsvarende måte. Ifølge Mozilla kunne angripere få hovedprosesser til å dele visse systemressurser med uprivilegerte underprosesser, og dermed rømme ut av sandboxen. Problemet rammer kun Firefox på Windows, og andre operativsystemer er ikke berørt.

Anbefaling:

Brukere av Firefox på Windows bør umiddelbart oppdatere til de nyeste versjonene for å beskytte seg mot potensielle utnyttelser av denne sårbarheten.

Splunk fikser alvorlige sårbarheter i Splunk Enterprise og Secure Gateway

Splunk har gitt ut oppdateringer som fikser flere sårbarheter i produktene sine. Blant annet to alvorlige feil i Splunk Enterprise og Splunk Secure Gateway. Den ene sårbarheten (CVE-2025-20229, score 8.0) fører til at lavt privilegerte brukere kan kjøre vilkårlig kode ved å laste opp filer til mappen "$SPLUNK_HOME/var/run/splunk/apptemp" grunnet manglende autorisasjonssjekker. Den andre sårbarheten (CVE-2025-20231, score 7.1) fører til at lavt privilegerte brukere kan kjøre søk med høyere privilegier og dermed eksponere sensitiv informasjon. Utnyttelse av denne krever en vellykket phish i forkant da den går ut på at brukerøkter og autorisasjonstokener eksponeres i klartekst under et visst kall. Splunk anbefaler alle å oppdatere snarest til de nyeste versjonene.

Anbefaling:

Det anbefales sterkt at alle brukere oppdaterer sine Splunk-produkter til de nyeste versjonene for å beskytte mot potensielle angrep som utnytter disse sårbarhetene.

Posted by tsoc at 13:42 0 comments

Thursday, 27 March 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.03.27

RedCurl cyberspioner utvikler løsepengevirus for å kryptere Hyper-V-servere. New Android malware uses Microsoft's .NET MAUI to evade detection. Malicious npm-pakke modifiserer lokal 'ethers'-bibliotek for å initiere reverse shell-angrep.

RedCurl cyberspioner utvikler løsepengevirus for å kryptere Hyper-V-servere

Den kjente cyberspionasjegruppen RedCurl, aktiv siden 2018, har nå begynt å bruke et nytt løsepengevirus kalt "QWCrypt" for å målrette Hyper-V virtuelle maskiner. Angrepene starter med phishing-e-poster som inneholder ".IMG"-vedlegg forkledd som CV-er. Når disse åpnes, monteres de automatisk som en ny stasjonsbokstav i Windows, og inneholder en skjermsparerfil som utnytter DLL-sidelasting for å laste ned en ondsinnet nyttelast. RedCurl bruker også "living-off-the-land"-verktøy for å opprettholde skjult tilstedeværelse, sprer seg lateralt med en tilpasset wmiexec-variant, og benytter verktøyet 'Chisel' for tunneling og RDP-tilgang. Før løsepengeviruset distribueres, deaktiverer angriperne forsvarsmekanismer ved hjelp av krypterte 7z-arkiver og en flertrinns PowerShell-prosess. QWCrypt støtter flere kommandolinjeargumenter for å målrette Hyper-V-maskiner, inkludert muligheten til å ekskludere spesifikke virtuelle maskiner og å slå av eller drepe VM-prosesser. Under kryptering brukes XChaCha20-Poly1305-algoritmen, og filer får enten ".locked$" eller ".randombits$"-utvidelser. Løsepengebrevet, kalt "!!!how_to_unlock_randombits_files.txt$", inneholder tekst fra andre kjente løsepengevirus som LockBit, HardBit og Mimic.

New Android malware uses Microsoft's .NET MAUI to evade detection

Nye Android-malwarekampanjer utnytter Microsofts kryssplattform-rammeverk .NET MAUI for å skjule ondsinnet kode i binære blob-filer, noe som gjør det vanskelig for sikkerhetsverktøy å oppdage dem. Disse appene utgir seg for å være legitime tjenester og benytter flere avanserte teknikker for å unngå deteksjon.

Anbefaling:

Brukere bør være forsiktige med å laste ned apper fra ukjente kilder, holde enhetene sine oppdatert med de nyeste sikkerhetsoppdateringene, og bruke pålitelige sikkerhetsløsninger for å beskytte mot slike trusler.

Malicious npm-pakke modifiserer lokal 'ethers'-bibliotek for å initiere reverse shell-angrep

To ondsinnede pakker, 'ethers-provider2' og 'ethers-providerz', ble nylig oppdaget på npm-registeret. Disse pakkene er designet for å infisere det lokalt installerte 'ethers'-biblioteket ved å erstatte en av filene med en modifisert versjon som laster ned og kjører en reverse shell, noe som gir angripere fjernkontroll over det kompromitterte systemet. Selv etter at de ondsinnede pakkene er fjernet, forblir den skadelige koden i 'ethers'-biblioteket, noe som gir en vedvarende trussel.

Anbefaling:

Utviklere bør nøye gjennomgå og verifisere tredjepartspakker før de installeres. Det er viktig å overvåke og inspisere endringer i lokale biblioteker for å oppdage uautoriserte modifikasjoner. Implementering av sikkerhetsverktøy som kan oppdage og varsle om slike endringer anbefales også.

Posted by tsoc at 14:49 0 comments

Wednesday, 26 March 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.03.26

VMware fikser alvorlig sårbarhet i VMware Tools for Windows.

VMware fikser alvorlig sårbarhet i VMware Tools for Windows

VMware har rettet en alvorlig sårbarhet i VMware Tools for Windows som gjorde det mulig for angripere å omgå autentisering og utføre handlinger med høyere privilegier enn tiltenkt. Sårbarheten CVE-2025-22230 påvirker versjoner 11.x.x og 12.x.x, og har fått en CVSSv3-score på 7.8. Angripere kan utnytte sårbarheten til å utføre privilegerte operasjoner i en Windows virtuell maskin uten å ha administrative rettigheter i denne virtuelle maskinen. VMware anbefaler alle brukere å oppdatere til versjon 12.5.1, som inneholder nødvendige sikkerhetsoppdateringer. Det er kun Windows-versjonen av VMware Tools som er påvirket.

Sårbarheter:

Posted by tsoc at 12:15 0 comments

Tuesday, 25 March 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.03.25

Kritisk sårbarhet i Next.js lar hackere omgå autorisasjon. Ny VanHelsing ransomware retter seg mot Windows-, ARM- og ESXi-systemer.

Kritisk sårbarhet i Next.js lar hackere omgå autorisasjon

En kritisk sårbarhet er oppdaget i det åpne rammeverket Next.js, som potensielt lar angripere omgå autorisasjonskontroller. Sårbarheten, identifisert som CVE-2025-29927, gjør det mulig for angripere å sende forespørsler som når destinasjonsstier uten å gjennomgå nødvendige sikkerhetssjekker. Next.js er et populært React-rammeverk med over 9 millioner ukentlige nedlastinger, brukt av selskaper som TikTok, Twitch, Hulu, Netflix, Uber og Nike.

Anbefaling:

Utviklere som bruker Next.js bør umiddelbart oppdatere til den nyeste versjonen som adresserer denne sårbarheten. Det er også viktig å gjennomgå eksisterende mellomvarekomponenter for å sikre at de ikke er sårbare for denne typen angrep, samt å implementere ytterligere sikkerhetstiltak for å beskytte mot uautoriserte forespørsler.

Sårbarheter:

Ny VanHelsing ransomware retter seg mot Windows-, ARM- og ESXi-systemer

En ny ransomware-as-a-service (RaaS) kalt VanHelsing har dukket opp, med målretting mot flere plattformer, inkludert Windows, Linux, BSD, ARM og ESXi-systemer. Lansert 7. mars 2025, har den allerede kompromittert tre kjente ofre, med krav om løsepenger på opptil $500 000. VanHelsing bruker doble utpressingstaktikker ved å kryptere filer og true med å lekke stjålet data.

Anbefaling:

Organisasjoner bør umiddelbart oppdatere og patche alle systemer, implementere robuste sikkerhetskopieringsrutiner. Det anbefales også å segmentere nettverket for å begrense spredningen av ransomware om systemet er kompromittert. Det er lurt å trene ansatte i å gjenkjenne phishing-forsøk.

Posted by tsoc at 12:03 0 comments

Monday, 24 March 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.03.24

Hacker påstår å ha kompromittert Oracle Cloud og stjålet 6 millioner dataregistre. VMware-sårbarheter aktivt utnyttet for å implementere løsepengeprogramvare. Coinbase opprinnelig målrettet i GitHub Actions Supply Chain Attack; 218 Repositories' CI/CD-hemmeligheter avslørt. Oracle avviser påstander om innbrudd i skyplattformen. iOS 18.3.2 oppdatering: Viktige sikkerhetsfikser og endringer. Malware-kampanje infiserer over 20 000 WordPress-nettsteder.

Hacker påstår å ha kompromittert Oracle Cloud og stjålet 6 millioner dataregistre

En hacker, kjent som “rose87168”, hevder å ha stjålet 6 millioner dataregistre fra Oracle Clouds Single Sign-On (SSO) og Lightweight Directory Access Protocol (LDAP) systemer. De påståtte dataene inkluderer Java KeyStore (JKS) filer, krypterte SSO-passord, nøkkelfiler og Enterprise Manager JPS-nøkler. Hackerens påstander har ført til at flere store selskaper og offentlige etater, inkludert australske banker, telekommunikasjonsselskaper og flyselskaper, har iverksatt undersøkelser for å vurdere potensielle sikkerhetsbrudd.

VMware-sårbarheter aktivt utnyttet for å implementere løsepengeprogramvare

Det har vært en økning i løsepengeangrep som utnytter kritiske sårbarheter i VMware-produkter som ESXi, Workstation og Fusion. Disse sårbarhetene, identifisert som CVE-2025-22224 (CVSS 9.3), CVE-2025-22225 (CVSS 8.2) og CVE-2025-22226 (CVSS 7.1), gjør det mulig for angripere å unnslippe virtuelle maskiners isolasjon, kompromittere hypervisorer og distribuere løsepengeprogramvare på tvers av hele klynger. Per 4. mars 2025 er over 41 500 internettilgjengelige VMware ESXi-hypervisorer sårbare for CVE-2025-22224, en kritisk null-dagers sårbarhet som allerede utnyttes i angrep.

Anbefaling:

Det er sterkt anbefalt at organisasjoner umiddelbart oppdaterer sine VMware-produkter til de nyeste versjonene for å beskytte mot potensielle angrep som utnytter disse sårbarhetene.

Coinbase opprinnelig målrettet i GitHub Actions Supply Chain Attack; 218 Repositories' CI/CD-hemmeligheter avslørt

Et forsyningskjedeangrep på GitHub Action "tj-actions/changed-files" startet som et målrettet angrep mot Coinbases agentkit, før det spredte seg bredere. Angriperen kompromitterte også "reviewdog/action-setup" (CVE-2025-30154) for å få tilgang til en Personal Access Token (PAT) og injisere ondsinnet kode i 218 repositorier. Metodene inkluderte "forking", "dangling commits" og "mulitple temporary GitHub user accounts" for å skjule spor. Målet var trolig kryptotyveri, men etter at Coinbase oppdaget angrepet, eskalerte det. Innen 19. mars 2025 var trusselen eliminert. GitHub oppfordrer brukere til å gjennomgå tredjeparts Actions nøye.

Oracle avviser påstander om innbrudd i skyplattformen

Oracle har benektet påstander om at deres offentlige skytjeneste ble kompromittert, etter at en trusselaktør forsøkte å selge det som hevdes å være kundedata og sikkerhetsnøkler. Selskapet opplyser at de ikke har funnet noen tegn til datainnbrudd eller tap av kundeinformasjon. Kunder anbefales likevel å følge med på eventuell uvanlig aktivitet og holde systemer oppdatert.

iOS 18.3.2 oppdatering: Viktige sikkerhetsfikser og endringer

Apple har nylig lansert iOS 18.3.2, en oppdatering som adresserer flere sikkerhetsproblemer og feil. Blant de viktigste endringene er en kritisk sikkerhetsfiks for WebKit, som forhindrer at ondsinnet webinnhold kan bryte ut av Web Content-sandkassen. Dette er en tilleggsfiks for en sårbarhet som opprinnelig ble håndtert i iOS 17.2.

Anbefaling:

Det anbefales sterkt å oppdatere til iOS 18.3.2 så snart som mulig for å beskytte enheten mot potensielle trusler. For å oppdatere, gå til Innstillinger > Generelt > Programvareoppdatering, og følg instruksjonene på skjermen.

Sårbarheter:

Malware-kampanje infiserer over 20 000 WordPress-nettsteder

En langvarig malware-kampanje, kjent som “DollyWay World Domination”, har siden 2016 kompromittert over 20 000 WordPress-nettsteder globalt. Denne kampanjen injiserer skadelige omdirigeringsskript i infiserte nettsteder, som fører besøkende gjennom en kjede av svindelsider innen kryptovaluta og nettdating, før de ender opp på ondsinnede nettsteder eller phishing-sider.

Posted by tsoc at 13:29 0 comments

Friday, 21 March 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.03.21

Kritiske sårbarheter i Cisco Smart Licensing Utility nå utnyttet i angrep. WordPress-sikkerhetsplugin WP Ghost sårbar for ekstern kodeutførelse.

Kritiske sårbarheter i Cisco Smart Licensing Utility nå utnyttet i angrep

To kritiske sårbarheter i Cisco Smart Licensing Utility (CSLU), identifisert som CVE-2024-20439 og CVE-2024-20440, blir nå aktivt utnyttet i angrep. CVE-2024-20439 er en statisk legitimasjonssårbarhet som kan tillate uautentiserte, eksterne angripere å få administrative rettigheter på sårbare systemer. CVE-2024-20440 er en informasjonslekkasjesårbarhet som kan eksponere sensitive data gjennom spesiallagde HTTP-forespørsler. Disse sårbarhetene ble opprinnelig oppdaget under intern sikkerhetstesting og påvirker kun systemer der CSLU er aktivt startet av brukeren.

Anbefaling:

Organisasjoner som bruker Cisco Smart Licensing Utility, bør umiddelbart oppdatere til de nyeste versjonene som adresserer disse sårbarhetene. Det er også viktig å sikre at CSLU kun kjøres når det er nødvendig, og at tilgang til applikasjonen er strengt kontrollert for å forhindre uautorisert tilgang.

WordPress-sikkerhetsplugin WP Ghost sårbar for ekstern kodeutførelse

Den populære WordPress-sikkerhetspluginen WP Ghost, brukt på over 200 000 nettsteder, har en kritisk sårbarhet (CVSS-score: 9,6) som kan tillate uautentiserte angripere å fjernkjøre kode og overta servere. Sårbarheten, identifisert som CVE-2025-26909, påvirker alle versjoner av WP Ghost opp til 5.4.01 og skyldes utilstrekkelig validering av brukerinput.

Anbefaling:

Det anbefales at pluginen oppdateres til versjon 5.4.02 eller nyere umiddelbart. Frem til oppdatering er utført, bør "Change Paths"-funksjonen deaktiveres, eller settes til en modus som ikke er sårbar.

Sårbarheter:

Posted by tsoc at 19:12 0 comments

Thursday, 20 March 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.03.20

ClearFake infiserer 9 300 nettsteder, bruker falsk reCAPTCHA og Turnstile for å spre informasjonstyver. CISA advarer om aktiv utnyttelse i GitHub Action forsyningskjede-kompromittering.

ClearFake infiserer 9 300 nettsteder, bruker falsk reCAPTCHA og Turnstile for å spre informasjonstyver

ClearFake-kampanjen har kompromittert minst 9 300 nettsteder ved å bruke falske reCAPTCHA- og Cloudflare Turnstile-verifiseringer for å lure brukere til å laste ned skadevare som Lumma Stealer og Vidar Stealer. Angrepet utnytter kompromitterte WordPress-nettsteder og benytter teknikker som EtherHiding og ClickFix for å distribuere skadevaren. Disse teknikkene involverer bruk av Binance Smart Chain for å hente nyttelaster og utføre ondsinnet PowerShell-kode under dekke av å løse ikke-eksisterende tekniske problemer.

Anbefaling:

Brukere og organisasjoner bør være årvåkne overfor uventede nettleseroppdateringer eller verifiseringsforespørsler. Det anbefales å holde programvare oppdatert og bruke pålitelige sikkerhetsløsninger for å oppdage og forhindre slike trusler.

CISA advarer om aktiv utnyttelse i GitHub Action forsyningskjede-kompromittering

Den 18. mars 2025 la U.S. Cybersecurity and Infrastructure Security Agency (CISA) til en sårbarhet knyttet til forsyningskjede-kompromittering av GitHub Action 'tj-actions/changed-files' i sin katalog over kjente utnyttede sårbarheter (KEV). Sårbarheten, identifisert som CVE-2025-30066 med en CVSS-score på 8,6, innebærer at ondsinnet kode er injisert i GitHub Action, noe som gir en ekstern angriper mulighet til å få tilgang til sensitive data via actions-logger. Disse dataene kan inkludere AWS-tilgangsnøkler, GitHub personlige tilgangstokener (PATs), npm-tokener og private RSA-nøkler.

Anbefaling:

Berørte brukere anbefales å oppdatere til den nyeste versjonen av 'tj-actions/changed-files' (46.0.1) innen 4. april 2025 for å sikre sine nettverk mot aktive trusler. Det anbefales også å erstatte de berørte handlingene med sikrere alternativer, revidere tidligere arbeidsflyter for mistenkelig aktivitet, rotere eventuelle lekkede hemmeligheter, og feste alle GitHub Actions til spesifikke commit-hasher i stedet for versjonstags.

Sårbarheter:

Posted by tsoc at 13:47 0 comments

Wednesday, 19 March 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.03.19

Kritisk AMI MegaRAC-sårbarhet kan la angripere overta og ødelegge servere. Upatchet Windows Zero-Day utnyttet av 11 statssponsede trusselgrupper siden 2017. Ny 'Rules File Backdoor' angrep lar hackere injisere ondsinnet kode via AI-kodeeditorer.

Kritisk AMI MegaRAC-sårbarhet kan la angripere overta og ødelegge servere

En kritisk sårbarhet (CVE-2024-54085) er oppdaget i American Megatrends International's MegaRAC Baseboard Management Controller (BMC) programvare, som brukes i servere fra flere leverandører, inkludert HPE, Asus og ASRock. Sårbarheten kan utnyttes av eksterne, uautoriserte angripere gjennom fjernstyringsgrensesnitt som Redfish, noe som gir full kontroll over den kompromitterte serveren. Dette kan føre til installasjon av skadelig programvare, ødeleggelse av firmware, eller gjøre serveren ubrukelig ved å skade komponenter som BMC eller BIOS/UEFI.

Anbefaling:

Det anbefales å begrense tilgang til BMC-grensesnitt ved å plassere dem i dedikerte nettverk segmenter og bruke tilgangskontrollmekanismer. I tillegg bør fastvaren oppdateres til nyeste versjon så snart leverandøren frigir en sikkerhetsoppdatering som adresserer denne sårbarheten.

Sårbarheter:

Upatchet Windows Zero-Day utnyttet av 11 statssponsede trusselgrupper siden 2017

En upatchet sårbarhet i Microsoft Windows, identifisert som ZDI-CAN-25373, har siden 2017 blitt utnyttet av 11 statssponsede grupper fra Kina, Iran, Nord-Korea og Russland. Sårbarheten gjør det mulig for angripere å kjøre skjulte ondsinnede kommandoer på ofrenes maskiner ved hjelp av spesiallagde Windows-snarveier (.LNK-filer). Over 1000 slike .LNK-filer har blitt oppdaget, og er assosiert med kjente trusselaktører som Evil Corp, Kimsuky og ScarCruft. Målene inkluderer regjeringer, private selskaper, finansinstitusjoner og militære byråer i land som USA, Canada, Russland og Sør-Korea. Microsoft har klassifisert problemet som lav alvorlighetsgrad og planlegger ikke å utgi en fiks.

Anbefaling:

Selv om Microsoft ikke planlegger å utgi en fiks, bør organisasjoner være årvåkne og implementere alternative sikkerhetstiltak for å beskytte seg mot potensielle angrep som utnytter denne sårbarheten.

Ny 'Rules File Backdoor' angrep lar hackere injisere ondsinnet kode via AI-kodeeditorer

Forskere har avdekket en ny forsyningskjede-angrepsvektor kalt 'Rules File Backdoor' som påvirker AI-drevne kodeeditorer som GitHub Copilot og Cursor. Angrepet utnytter skjulte unicode-tegn og sofistikerte unnvikelsesteknikker i konfigurasjonsfiler, noe som fører til at AI-verktøyene genererer ondsinnet kode. Dette kan resultere i at sårbar kode sprer seg stille på tvers av prosjekter, og utgjør en betydelig risiko for forsyningskjeden.

Anbefaling:

Utviklere bør nøye gjennomgå og validere regler og konfigurasjonsfiler før de integreres i prosjekter. Det er også viktig å være oppmerksom på usynlige tegn i filer og sikre at AI-generert kode blir grundig gjennomgått for potensielle sårbarheter.

Posted by tsoc at 10:24 0 comments

Tuesday, 18 March 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.03.18

CVE-2024-540385: Kritisk HPE Cray XD670-sårbarhet kan omgå autentisering eksternt.

CVE-2024-540385: Kritisk HPE Cray XD670-sårbarhet kan omgå autentisering eksternt

En nyoppdaget sårbarhet (CVE-2024-540385) i AMI BMC Redfish-API-en på HPE Cray XD670-servere åpner for fjerninnlogging uten gyldige legitimasjoner. Med en toppscore på CVSS 10 tillater feilen angripere å få uautorisert tilgang til Baseboard Management Controller (BMC), som styrer kritiske funksjoner som strømhåndtering og konsolltilgang. Denne sårbarheten er særlig alvorlig i høyytelsesmiljøer der XD670-maskiner ofte benyttes, siden et vellykket angrep kan gi full kontroll over serverne og potensielt føre til datainnbrudd eller systemavbrudd.

HPE har bekreftet at utgaven som er berørt, er XD670 med BMC-firmware eldre enn versjon 1.19. Administratører anbefales å oppdatere til den nyeste fastvaren (1.19, publisert 29. januar 2025) umiddelbart for å hindre utnyttelse av denne kritiske sårbarheten.

Sårbarheter:

Posted by tsoc at 12:37 0 comments

Monday, 17 March 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.03.17

Ondsinnede PyPI-pakker stjal skytilgangstokens – Over 14 100 nedlastinger før fjerning. CVE-2025-22954: Kritisk SQL-injeksjon i Koha, CVSS 10.

Ondsinnede PyPI-pakker stjal skytilgangstokens – Over 14 100 nedlastinger før fjerning

Forskere har avdekket en kampanje der ondsinnede pakker på Python Package Index (PyPI) utgir seg for å være tidsrelaterte verktøy, men som i realiteten stjeler sensitive data som skytjeneste-tilgangstokens. Totalt ble 20 slike pakker oppdaget, med over 14 100 nedlastinger før de ble fjernet. Pakkene var delt inn i to grupper: en som lastet opp data til angriperens infrastruktur, og en annen som implementerte klientfunksjonalitet for skytjenester som Alibaba Cloud, Amazon Web Services og Tencent Cloud.

Liste over ondsinnede pakker:

  • Tid-relaterte pakker:

    snapshot-photo, time-check-server, time-check-server-get, time-server-analysis, time-server-analyzer, time-server-test, time-service-checker.

  • Cloud-relaterte pakker:

    aclient-sdk, acloud-client, acloud-clients, acloud-client-uses, alicloud-client, alicloud-client-sdk, amzclients-sdk, awscloud-clients-core, credential-python-sdk, enumer-iam, tclients-sdk, tcloud-python-sdks, tcloud-python-test.

Anbefaling:

Utviklere bør være årvåkne ved installasjon av Python-pakker, spesielt de med navn som ligner på populære biblioteker. Det anbefales å gjennomgå avhengigheter nøye og sikre at de kommer fra pålitelige kilder.

CVE-2025-22954: Kritisk SQL-injeksjon i Koha, CVSS 10

En svært alvorlig sårbarhet (CVE-2025-22954) er oppdaget i Koha, det utbredte open-source systemet for bibliotekadministrasjon. Feilen, som har en CVSS-score på 10, skyldes manglende filtrering i funksjonen GetLateOrMissingIssues (C4/Serials.pm), noe som åpner for SQL-injeksjon via parameterne supplierid og serialid. I Koha versjon 21.11.x og eldre kan selv uautentiserte brukere utnytte sårbarheten, mens nyere versjoner krever pålogging før angrepet kan utføres. Mulige konsekvenser inkluderer uautorisert innsyn i, endring eller sletting av data i bibliotekets database.

For å løse problemet er Koha versjon 24.11.02 utgitt med en sikkerhetsfiks for SQL-injeksjonen, i tillegg til en rekke andre forsterkninger. Disse inkluderer blant annet bedre håndtering av undertrykte poster, sikkerhetsforbedringer for REST-ruter, strammere CSRF-beskyttelse og tiltak mot XSS. Alle Koha-brukere anbefales å oppgradere snarest til versjon 24.11.02 for å unngå risiko for potensielt alvorlige datainnbrudd og andre ondsinnede handlinger.

Sårbarheter:

Posted by tsoc at 12:44 0 comments

Friday, 14 March 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.03.14

GitLab utgir sikkerhetsoppdateringer for kritiske autentiseringsomgåelsessårbarheter. Ny SuperBlack løsepengevirus utnytter Fortinet autentiseringsomgåelses-sårbarheter. ClickFix-angrep distribuerer infostealere og RAT-er via falske Booking.com-e-poster. Ny nordkoreansk Android-spyware oppdaget på Google Play. Juniper tetter sårbarhet som lot kinesiske cyberspioner bakdør rutere siden midten av 2024.

GitLab utgir sikkerhetsoppdateringer for kritiske autentiseringsomgåelsessårbarheter

GitLab har utgitt sikkerhetsoppdateringer for Community Edition (CE) og Enterprise Edition (EE), som adresserer ni sårbarheter, inkludert to kritiske feil i ruby-saml-biblioteket. Disse sårbarhetene, identifisert som CVE-2025-25291 og CVE-2025-25292, tillater en autentisert angriper med tilgang til et gyldig signert SAML-dokument å utgi seg for en annen bruker innenfor samme SAML Identity Provider (IdP)-miljø. Dette kan føre til uautorisert tilgang til brukerens kontoer, potensielle databrudd og eskalering av privilegier. Sårbarhetene påvirker alle versjoner før 17.7.7, 17.8.5 og 17.9.2.

Anbefaling:

Det anbefales sterkt at alle installasjoner som kjører berørte versjoner oppgraderes til de nyeste versjonene (17.7.7, 17.8.5 eller 17.9.2) så snart som mulig for å forhindre potensielle sikkerhetsbrudd

Ny SuperBlack løsepengevirus utnytter Fortinet autentiseringsomgåelses-sårbarheter

En ny løsepengevirus kalt 'SuperBlack', operert av en aktør kjent som 'Mora_001', utnytter to autentiseringsomgåelses-sårbarheter i Fortinets produkter: CVE-2024-55591 og CVE-2025-24472. Disse sårbarhetene, avslørt av Fortinet i henholdsvis januar og februar 2025, tillater uautorisert tilgang til FortiGate-brannmurer. 'SuperBlack' ble oppdaget i slutten av januar 2025, med angrep som startet så tidlig som 2. februar 2025.

Anbefaling:

Administratorer bør umiddelbart oppdatere FortiOS og FortiProxy til de nyeste versjonene som adresserer disse sårbarhetene. Det anbefales også å gjennomgå nettverkslogger for tegn på uautorisert tilgang eller mistenkelig aktivitet, samt å implementere ytterligere sikkerhetstiltak for å beskytte mot fremtidige angrep.

ClickFix-angrep distribuerer infostealere og RAT-er via falske Booking.com-e-poster

Microsoft advarer om en pågående phishing-kampanje som utgir seg for å være Booking.com. Denne kampanjen, som startet i desember 2024, retter seg mot ansatte i hotell- og reiselivsbransjen. Angriperne bruker ClickFix-teknikker, der falske feil vises for å lure brukere til å utføre "fikser" som faktisk installerer infostealere og fjernadministrasjonsverktøy (RATs) på enhetene deres. Målet er å kapre ansattkontoer på Booking.com for å stjele kunders betalingsinformasjon og personlige data, noe som kan føre til ytterligere angrep mot gjester.

Anbefaling:

Ansatte i hotell- og reiselivsbransjen bør være ekstra årvåkne overfor e-poster som utgir seg for å være fra Booking.com. Det er viktig å unngå å klikke på lenker eller utføre handlinger som foreslås i slike e-poster uten å verifisere deres ekthet. Implementering av tofaktorautentisering og regelmessig opplæring i sikkerhetstiltak anbefales for å redusere risikoen for kompromittering.

Ny nordkoreansk Android-spyware oppdaget på Google Play

En ny Android-spyware kalt 'KoSpy', knyttet til den nordkoreanske trusselaktøren APT37 (også kjent som 'ScarCruft'), har infiltrert Google Play og tredjeparts app-butikken APKPure gjennom minst fem ondsinnede apper. Disse appene, maskert som filbehandlere, sikkerhetsverktøy og programvareoppdateringer, har vært aktive siden mars 2022 og retter seg mot koreansk- og engelsktalende brukere. 'KoSpy' kan samle inn omfattende data fra infiserte enheter, inkludert SMS-meldinger, anropslogger, posisjonsdata, filer, lydopptak og skjermbilder.

Anbefaling:

Brukere bør umiddelbart avinstallere de identifiserte ondsinnede appene: '휴대폰 관리자' (Phone Manager), 'File Manager' (com.file.exploer), '스마트 관리자' (Smart Manager), '카카오 보안' (Kakao Security) og 'Software Update Utility'. Aktiver Google Play Protect for å motta varsler om potensielt skadelige apper, og unngå å laste ned apper fra uoffisielle kilder.

Juniper tetter sårbarhet som lot kinesiske cyberspioner bakdør rutere siden midten av 2024

Juniper Networks har utgitt sikkerhetsoppdateringer for å adressere en sårbarhet i Junos OS, identifisert som CVE-2025-21590. Denne sårbarheten, forårsaket av utilstrekkelig isolasjon i kjernen, tillater lokale angripere med høye privilegier å kjøre vilkårlig kode på sårbare rutere, noe som kompromitterer enhetenes integritet. Kinesiske cyberspioner, kjent som UNC3886, har utnyttet denne sårbarheten siden midten av 2024 ved å installere skreddersydde bakdører på Juniper MX-rutere som kjører utgått maskinvare og programvare. Disse bakdørene inkluderer aktive og passive funksjoner, samt skript som deaktiverer loggingsmekanismer for å unngå oppdagelse.

Anbefaling:

Det anbefales sterkt at alle som bruker berørte Juniper-enheter, oppdaterer til de nyeste versjonene av Junos OS så snart som mulig. I mellomtiden bør shell-tilgang begrenses til kun betrodde brukere for å redusere risikoen for utnyttelse.

Sårbarheter:

Posted by tsoc at 12:34 0 comments
Subscribe to: Posts (Atom)
 
>