Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Tuesday, 29 April 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.04.29

Google observerte 75 zero-day sårbarheter.

Google observerte 75 zero-day sårbarheter

I 2024 observerte Google 75 zero-day sårbarheter som ble utnyttet ut i det fri, en nedgang fra 98 i 2023. Av disse sårbarhetene var 44% rettet mot sikkerhetsprodukter for bedrifter. Det var en betydelig reduksjon i zero-day utnyttelse av nettlesere og mobil-enheter. Microsoft Windows sto for 22 av zero-day sårbarhetene, mens andre plattformer som Apple Safari, iOS, Android, Chrome og Firefox også hadde sårbarheter. I tillegg ble 20 sårbarheter identifisert i sikkerhetsprogramvare og -apparater. Utnyttelseskjeder som retter seg mot mobile enheter fortsetter å være utbredt.

Posted by tsoc at 13:26 0 comments

Friday, 25 April 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.04.25

Kritisk Erlang/OTP-sårbarhet (CVE-2025-32433) påvirker flere Cisco-produkter. Hackere utnytter MS-SQL-servere for å installere Ammyy Admin og PetitPotato. Falsk positiv i Microsoft Defender XDR fører til massiv datalekkasje.

Kritisk Erlang/OTP-sårbarhet (CVE-2025-32433) påvirker flere Cisco-produkter

Cisco har bekreftet at en nylig avslørt sårbarhet i Erlang/OTP (CVE-2025-32433, score 10) påvirker flere av selskapets løsninger. Feilen ligger i SSH-implementasjonen og gjør at en uautentisert angriper kan oppnå full kontroll over systemet. Utnyttelsen er allerede beskrevet som enkel og offentlig proof-of-concept kode finnes. Sårbarheten er rettet i OTP-27.3.3, OTP-26.2.5.11 og OTP-25.3.2.20, mens alle tidligere versjoner er sårbare. Flere rutere og svitsjer er fortsatt under gransking, men Cisco bekrefter at ConfD, NSO, Smart PHY, iNode Manager og Ultra Cloud Core produkter er påvirket. Det anbefales at kunder følger med på Ciscos rådgivning og oppdaterer sårbare versjoner snarest.

Sårbarheter:

Hackere utnytter MS-SQL-servere for å installere Ammyy Admin og PetitPotato

En ny cyberangrepskampanje retter seg mot dårlig sikrede Microsoft SQL (MS-SQL) servere ved å utnytte svake passord og feilkonfigurerte systemer. Etter å ha fått tilgang, installerer angriperne fjernstyringsverktøyet Ammyy Admin og privilegieeskaleringsverktøyet PetitPotato, noe som gir dem full kontroll over de kompromitterte systemene.

Anbefaling:

Administratorer bør umiddelbart sikre MS-SQL-servere med sterke, unike passord, deaktivere unødvendige tjenester og overvåke for uvanlig aktivitet. Det anbefales også å implementere brannmurregler for å begrense tilgang og holde systemene oppdatert med de nyeste sikkerhetsoppdateringene.

Falsk positiv i Microsoft Defender XDR fører til massiv datalekkasje

En feilklassifisering i Microsoft Defender XDR førte til at over 1 700 sensitive dokumenter ble offentlig tilgjengelige. Sikkerhetsplattformen feilaktig flagget legitime Adobe Acrobat Cloud-lenker som skadelige, noe som resulterte i at brukere lastet opp disse dokumentene til ANY.RUNs offentlige sandkasse for analyse. Mange av disse opplastingene ble gjort av brukere med gratisabonnement, som standard deler analyser offentlig, og førte til eksponering av konfidensielle bedriftsdata fra hundrevis av organisasjoner.

Posted by tsoc at 12:58 0 comments

Tuesday, 22 April 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.04.22

Cisco Webex-sårbarhet lar angripere kjøre kode via invitasjonslenker til møter. SuperCard X: Android-skadelig programvare utnytter NFC-reléangrep for å misbruke stjålne kort. Microsoft Entra-kontolåsing forårsaket av feil med bruker token logging.

Cisco Webex-sårbarhet lar angripere kjøre kode via invitasjonslenker til møter

Cisco har utgitt sikkerhetsoppdateringer for å rette en alvorlig sårbarhet i Webex-appen, identifisert som CVE-2025-20236. Denne sårbarheten skyldes utilstrekkelig validering av input når Webex behandler invitasjonslenker til møter. Angripere kan utnytte dette ved å sende spesiallagde møteinvitasjonslenker som får brukere til å laste ned vilkårlige filer. Ved å klikke på slike lenker kan angripere kjøre vilkårlige kommandoer med brukerens privilegier. Sårbarheten påvirker alle operativsystemer og systemkonfigurasjoner der Webex-appen er installert.

Sårbarheter:

SuperCard X: Android-skadelig programvare utnytter NFC-reléangrep for å misbruke stjålne kort

En ny Android-skadelig programvare kalt 'SuperCard X' er identifisert som en Malware-as-a-Service (MaaS)-plattform som muliggjør NFC-reléangrep. Denne plattformen lar angripere bruke kompromitterte betalingskortdata til å utføre transaksjoner via NFC, inkludert uttak fra minibanker og kjøp i butikker. SuperCard X er knyttet til kinesisktalende trusselaktører og deler kode med det åpne kildekodeprosjektet NFCGate og dets ondsinnede variant NGate, som tidligere har blitt brukt i angrep i Europa. Angrepene starter ofte med falske SMS- eller WhatsApp-meldinger som utgir seg for å være fra offerets bank, og ber dem ringe et nummer for å løse påståtte problemer. Under samtalen blir offeret lurt til å oppgi kortinformasjon og PIN-kode. Angriperen forsøker deretter å overbevise offeret om å fjerne forbruksgrenser via bankappen. SuperCard X ble oppdaget av det mobile sikkerhetsfirmaet Cleafy, som rapporterte om angrep i Italia. Disse angrepene involverte flere varianter av skadelig programvare, noe som indikerer at tilknyttede aktører tilbys tilpassede versjoner for spesifikke regioner eller behov.

Anbefaling:

Brukere bør være årvåkne overfor uventede meldinger som hevder å være fra banker og unngå å oppgi sensitiv informasjon som kortnummer og PIN-kode over telefon. Det anbefales å installere apper kun fra offisielle appbutikker og bruke sikkerhetsløsninger som kan oppdage og blokkere skadelig programvare.​

Microsoft Entra-kontolåsing forårsaket av feil med bruker token logging

Microsoft bekreftet at en intern feil i deres loggsystem førte til at mange brukere av Microsoft Entra ID opplevde kontolåsinger i helgen 19.–20. april 2025. Feilen oppsto da systemet ved en glipp logget faktiske bruker-refresh-tokens i stedet for kun metadata. Da Microsoft senere forsøkte å rette opp dette ved å ugyldiggjøre tokenene, ble det automatisk utløst sikkerhetsvarsler om lekkede legitimasjons-opplysninger. Dette førte til at kontoer ble låst, noe som skapte problemer for mange brukere. Microsoft har rettet feilen og informert berørte kunder, og jobber med tiltak for å forhindre lignende hendelser i fremtiden.

Posted by tsoc at 14:13 0 comments

Wednesday, 16 April 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.04.16

Midnight Blizzard benytter ny GrapeLoader-malware i phishing-kampanje rettet mot ambassader. Kritisk Chrome-sikkerhetsoppdatering: Installer nå for å unngå CVE-2025-3619 og CVE-2025-3620.

Midnight Blizzard benytter ny GrapeLoader-malware i phishing-kampanje rettet mot ambassader

En ny spear-phishing-kampanje, utført av den russiske statssponsede etterretningsgruppen APT29 (også kjent som Midnight Blizzard eller Cozy Bear), retter seg mot diplomatiske mål i Europa. Kampanjen benytter en falsk e-postinvitasjon til vinsmaking for å lokke ofre til å laste ned en ondsinnet ZIP-fil.

Den inneholder en ny malware loader kalt GrapeLoader, som kjøres via DLL sideloading, etablerer persistence og kontakter en C2-server for å laste ned shellcode. Denne loaderen er designet for å være vanskelig å oppdage, med blant annet forsinket kjøring og minnebeskyttelse.

GrapeLoader leverer en ny variant av backdoor-programmet WineLoader, som samler inn detaljert informasjon om systemet og muliggjør videre spionasje. Den nye varianten er tungt obfuskert for å unngå analyse og oppdagelse.

Check Point Research konkluderer med at APT29 stadig forbedrer sine teknikker, og at denne kampanjen viser en høy grad av sofistikasjon og målrettethet.

Kritisk Chrome-sikkerhetsoppdatering: Installer nå for å unngå CVE-2025-3619 og CVE-2025-3620

Google har nettopp rullet ut Chrome 135.0.7049.95/.96 for Windows og macOS, samt 135.0.7049.95 for Linux, for å tette to alvorlige sårbarheter. En av dem, CVE-2025-3619, er klassifisert som «kritisk» og består av en heap buffer overflow-feil i kodekenes håndtering av data, noe som kan åpne for vilkårlig kodekjøring. Den andre feilen, CVE-2025-3620, er en bruk-etter-frigjøring («use-after-free») i USB-modulen, som også kan føre til utnyttelse med eksekvering av ondsinnet kode. Begge disse feilene kan la angripere ta kontroll over systemet dersom oppdatering ikke installeres.

Google begrenser bevisst detaljert informasjon om sårbarhetene for å gi flest mulig tid til å oppdatere, særlig hvis andre prosjekter er avhengige av ubeskyttet kode. Brukere og administratorer oppfordres derfor til å forsikre seg om at de kjører den nyeste Chrome-versjonen, enten ved å vente på automatisk oppdatering eller ved å sjekke manuelt via chrome://settings/help. Dette minimerer faren for at uvedkommende utvikler og sprer skadevare basert på disse sårbarhetene.

Posted by tsoc at 12:09 0 comments

Tuesday, 15 April 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.04.15

New ResolverRAT Malware Targets Pharma And Healthcare Orgs Worldwide. Phishing Campaigns Use Real-Time Checks to Validate Victim Emails Before Credential Theft. Tycoon2FA Phishing Kit Targets Microsoft 365 With New Tricks.

New ResolverRAT Malware Targets Pharma And Healthcare Orgs Worldwide

Den nylig oppdagede fjernstyrte trojaneren "ResolverRAT" retter seg mot farmasøytiske og helsesektoren globalt via phishing-e-poster som utgir seg for å være juridiske varsler. Angrepet distribuerer en legitim fil ("hpreader.exe") som injiserer malwaren i minnet ved hjelp av reflektiv DLL-loading. ResolverRAT opererer fullstendig i minnet og benytter .NET "ResourceResolve"-mekanismer for å unngå tradisjonell deteksjon. Den benytter XOR-kryptering for persistens via Windows-registeret og sprer store datamengder i små biter for å unngå oppdagelse.

Phishing Campaigns Use Real-Time Checks to Validate Victim Emails Before Credential Theft

En ny type phishing-kampanje kalt "precision-validating phishing" bruker sanntidsvalidering av e-postadresser for å sikre at kun gyldige og aktive e-postkontoer angripes. Ved hjelp av API- eller JavaScript-basert validering testes e-postadressen før en falsk innloggingsside vises. Dersom adressen ikke er i angriperens database, blir brukeren omdirigert til uskyldige sider som Wikipedia. Dette gjør kampanjene vanskeligere å oppdage og mer effektive. En relatert kampanje bruker også "file deletion"-lokkemidler for å levere enten falske Microsoft-innloggingssider eller installere skjult fjernstyringsverktøy (ScreenConnect).

Tycoon2FA Phishing Kit Targets Microsoft 365 With New Tricks

Phishing-as-a-service-plattformen Tycoon2FA har fått betydelige oppdateringer som forbedrer evnen til å omgå sikkerhet og MFA-beskyttelse i Microsoft 365 og Gmail. Nye triks inkluderer usynlige Unicode-tegn i JavaScript, selv-hostet CAPTCHA via HTML5, og anti-debugging som blokkerer verktøy som Burp Suite. I tillegg er det registrert en 1800% økning i phishingangrep som benytter ondsinnede SVG-filer, ofte utformet som lydmeldinger eller dokumentikoner, som inneholder JavaScript som fører til falske Microsoft-innloggingssider.

Posted by tsoc at 09:33 0 comments

Monday, 14 April 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.04.14

Fortinet advarer: Angripere beholder tilgang til FortiGate-enheter etter patching via SSL-VPN-symlink. Alvorlig sårbarhet i WordPress plugin OttoKit (SureTriggers) utnyttes. SpyNote, BadBazaar og MOONSHINE: Mobilspionvare truer Android- og iOS-brukere.

Fortinet advarer: Angripere beholder tilgang til FortiGate-enheter etter patching via SSL-VPN-symlink

Fortinet har oppdaget at trusselaktører utnytter tidligere kjente og nå patchede sårbarheter—inkludert CVE-2022-42475, CVE-2023-27997 og CVE-2024-21762—for å opprette en symbolsk lenke (symlink) mellom brukerfil- og rotfilsystemene i FortiGate-enheter. Denne symlinken, plassert i en mappe brukt for språkfiler i SSL-VPN, gir angriperne vedvarende lesetilgang til konfigurasjonsfiler, selv etter at de opprinnelige sårbarhetene er tettet. SSL-VPN-brukere er spesielt utsatt, mens de som aldri har aktivert denne funksjonen ikke er berørt. Fortinet har utgitt oppdateringer for FortiOS som automatisk fjerner slike symlinker og forhindrer at SSL-VPN-serveren distribuerer dem.

Alvorlig sårbarhet i WordPress plugin OttoKit (SureTriggers) utnyttes

Angripere utnytter nå en alvorlig sårbarhet i OttoKit (tidligere SureTriggers) for WordPress, som ble offentliggjort av Wordfence 9. april. Svakheten (CVE-2025-3102, score 8,1) gjør det mulig å omgå autentisering og opprette nye administratorbrukere, noe som i praksis kan gi angripere full kontroll over et nettsted. Sårbarheten skyldes manglende validering av secret_key variabelen og oppstår når plugin-en ikke er konfigurert med en API-nøkkel, noe som gjør at secret_key blir tom. Versjon 1.0.79 av OttoKit/SureTriggers retter feilen og det anbefales å oppgradere umiddelbart og kontrollere logger for uvanlige administrator­kontoer dersom plugin-en brukes.

Sårbarheter:

SpyNote, BadBazaar og MOONSHINE: Mobilspionvare truer Android- og iOS-brukere

Cybersecurity-forskere har avdekket at trusselaktører bruker nylig registrerte domener for å distribuere Android-malwaren SpyNote via falske nettsteder som etterligner Google Play Store. Disse sidene tilbyr tilsynelatende legitime apper, som Chrome-nettleseren, men installerer i virkeligheten SpyNote, en fjernstyrt trojaner (RAT) kjent for å misbruke tilgjengelighetstjenester for å samle inn sensitiv data som SMS, kontakter, samtalelogger, posisjonsinformasjon og filer. SpyNote gir også angripere mulighet til å aktivere kamera og mikrofon, manipulere samtaler og utføre vilkårlige kommandoer. I tillegg har etterretningsbyråer fra flere land advart om at malware-familiene BadBazaar og MOONSHINE brukes til å målrette mot minoritetsgrupper som uigurer, taiwanere og tibetanere, samt NGO-er, journalister og sivilsamfunnsaktører. Disse truslene spres gjennom apper som etterligner populære plattformer som WhatsApp og Skype, samt mindre kjente apper som Tibet One og Audio Quran.

Posted by tsoc at 09:32 0 comments

Thursday, 10 April 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.04.10

Sårbarhet i Apache mod_auth_openidc kan gi uautentiserte brukere tilgang til beskyttet innhold.

Sårbarhet i Apache mod_auth_openidc kan gi uautentiserte brukere tilgang til beskyttet innhold.

En alvorlig sårbarhet i Apache mod_auth_openidc (CVE-2025-31492, score 8.2) gjør at uautentiserte brukere kan få tilgang til beskyttet innhold. Feilen ligger i håndteringen av forespørsler når OIDCProviderAuthRequestMethod er satt til POST og det ikke eksisterer noe "Gateway" eller lastbalanserer på applikasjonsnivå som beskytter serveren. Da returnerer modulen et svar som inneholder både autentiseringsskjema og det beskyttede innholdet. Oppdatering til versjon 2.4.16.11 eller nyere løser problemet, og man kan også bytte til OIDCProviderAuthRequestMethod GET for å unngå sårbarheten. Det anbefales å oppdatere eller justere konfigurasjonen.

Sårbarheter:

Posted by tsoc at 12:10 0 comments

Wednesday, 9 April 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.04.09

Microsofts april 2025 Patch Tuesday patcher utnyttet zero-day og 134 sårbarheter. Fortinet oppfordrer til oppgradering av FortiSwitch for å rette kritisk sårbarhet i administrativ passordendring. Google retter totalt 62 sårbarheter, inkludert 2 zero-days.

Microsofts april 2025 Patch Tuesday patcher utnyttet zero-day og 134 sårbarheter

Microsofts april 2025 Patch Tuesday inkluderer sikkerhetsoppdateringer for 134 sårbarheter, hvorav en er en aktivt utnyttet zero-day-sårbarhet. Blant disse er elleve klassifisert som "Kritiske" og innebærer fjernkjøring av kode. Den aktivt utnyttede sårbarheten, CVE-2025-29824, er en eskalering av privilegier i Windows Common Log File System Driver, som tillater lokale angripere å oppnå SYSTEM-rettigheter. Denne sårbarheten har blitt utnyttet av RansomEXX løsepengevirusgruppen.

Anbefaling:

Det anbefales sterkt at brukere og administratorer installerer de nyeste sikkerhetsoppdateringene fra Microsoft for å beskytte systemene mot sårbarhetene, spesielt den aktivt utnyttede CVE-2025-29824.

Sårbarheter:

Fortinet oppfordrer til oppgradering av FortiSwitch for å rette kritisk sårbarhet i administrativ passordendring

Fortinet har utgitt sikkerhetsoppdateringer for å adressere en kritisk sårbarhet i FortiSwitch som kan tillate en angriper å utføre uautoriserte endringer av administratorpassord. Sårbarheten, identifisert som CVE-2024-48887, har en CVSS-score på 9.3 av 10.0. Den påvirker flere versjoner av FortiSwitch, inkludert 7.6.0, 7.4.0 til 7.4.4, 7.2.0 til 7.2.8, 7.0.0 til 7.0.10 og 6.4.0 til 6.4.14. Fortinet anbefaler brukere å oppdatere til de nyeste versjonene for å beskytte systemene sine mot potensielle angrep.

Anbefaling:

Brukere bør umiddelbart oppdatere FortiSwitch til de nyeste tilgjengelige versjonene for å beskytte mot denne sårbarheten. Som midlertidige tiltak anbefales det å deaktivere HTTP/HTTPS-tilgang til administrative grensesnitt og begrense systemtilgang til kun pålitelige verter.

Sårbarheter:

Google retter totalt 62 sårbarheter, inkludert 2 zero-days

Google har i april 2025-utgivelsen av Androids sikkerhetsoppdatering rettet 62 sårbarheter, inkludert to zero-day-feil som har blitt aktivt utnyttet i målrettede angrep. En av disse, en høy-severitets privilegieeskaleringssårbarhet (CVE-2024-53197) i Linux-kjernens USB-audio driver for ALSA-enheter, ble rapportert og utnyttet av serbiske myndigheter for å låse opp konfiskerte Android-enheter ved hjelp av en exploit-kjede utviklet av det israelske digitale etterforskningsselskapet Cellebrite. Den andre zero-day-feilen (CVE-2024-53150) er en informasjonssårbarhet i Android-kjernen forårsaket av en out-of-bounds lesesvakhet, som tillot lokale angripere å stjele sensitiv informasjon på sårbare enheter uten bruker interaskjon. Google delte disse rettelsene med OEM-partnere i januar 2025.

Anbefaling:

Brukere anbefales sterkt å oppdatere sine Android-enheter til den nyeste sikkerhetsoppdateringen for å beskytte mot disse sårbarhetene.

Posted by tsoc at 12:13 0 comments

Monday, 7 April 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.04.07

Kritisk Ivanti-sårbarhet aktivt utnyttet for å distribuere TRAILBLAZE og BRUSHFIRE malware.

Kritisk Ivanti-sårbarhet aktivt utnyttet for å distribuere TRAILBLAZE og BRUSHFIRE malware

Ivanti har avslørt en kritisk sårbarhet (CVE-2025-22457) med en CVSS-score på 9.0, som påvirker Connect Secure, Policy Secure og ZTA Gateways. Sårbarheten er en stack-basert buffer overflow som tillater uautentiserte angripere å utføre vilkårlig kode eksternt. Google-eide Mandiant observerte utnyttelse av denne sårbarheten i midten av mars 2025, hvor angripere distribuerte en minnebasert minnebasert "dropper" 
kalt TRAILBLAZE og en passiv bakdør ved navn BRUSHFIRE. Disse verktøyene etablerer vedvarende bakdørstilgang på kompromitterte enheter, noe som potensielt muliggjør brukerinformasjons tyveri, dataeksfiltrering mm.

Anbefaling:

Ivanti anbefaler at kunder overvåker sine eksterne ICT-systemer for tegn på kompromittering, spesielt webserver-krasj. Hvis det oppdages tegn på kompromittering, bør enheten tilbakestilles til fabrikkinnstillinger og oppdateres til versjon 22.7R2.6 før den settes tilbake i produksjon. Videre bør kunder sikre at deres systemer er oppdatert til de nyeste versjonene som adresserer denne sårbarheten.

Posted by tsoc at 14:21 0 comments

Friday, 4 April 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.04.04

Nytt GitHub-forsyningskjedeangrep sporet mot lekket SpotBugs-token. Google Patcher Quick Share-sårbarhet som muliggjør stille filoverføringer uten samtykke.

Nytt GitHub-forsyningskjedeangrep sporet mot lekket SpotBugs-token

Ett omfattende forsyningskjedeangrep på GitHub, som opprinnelig rettet seg mot Coinbase i mars 2025, har blitt sporet tilbake til en stjålet token fra SpotBugs sin arbeidsflyt. Angrepet startet i november 2024 da en vedlikeholder av SpotBugs inkluderte sin personlige tilgangstoken (PAT) i en CI-arbeidsflyt. En angriper utnyttet deretter en sårbar 'pull_request_target' arbeidsflyt for å stjele denne tokenen via en ondsinnet pull request. Den stjålne tokenen ble senere brukt til å kompromittere flere GitHub-prosjekter, inkludert Reviewdog og tj-actions/changed-files, noe som til slutt eksponerte hemmeligheter i 218 repositories.

Anbefaling:

Utviklere bør unngå å inkludere personlige tilgangstokens direkte i CI-arbeidsflyter. Det anbefales å bruke alternative autentiseringsmetoder som GitHub App-tokens eller OIDC for å minimere risikoen for token-lekkasje. I tillegg bør man være forsiktig med å bruke 'pull_request_target' arbeidsflyter, da disse kan være sårbare for ondsinnede pull requests.

Google Patcher Quick Share-sårbarhet som muliggjør stille filoverføringer uten samtykke

Google har utgitt en oppdatering for å adressere en sårbarhet i Quick Share for Windows, kjent som CVE-2024-10668 (CVSS-score: 5.9). Denne sårbarheten kunne utnyttes til å utføre denial-of-service (DoS) angrep eller sende vilkårlige filer til en brukers enhet uten deres godkjenning. Problemet oppsto som en omgåelse av tidligere rapporterte svakheter i Quick Share, som tillot angripere å krasje applikasjonen eller overføre filer uten brukerens samtykke. Google har løst dette i Quick Share for Windows versjon 1.0.2002.2.

Anbefaling:

Brukere av Quick Share for Windows bør umiddelbart oppdatere til versjon 1.0.2002.2 for å beskytte seg mot potensielle utnyttelser av denne sårbarheten.

Posted by tsoc at 12:05 0 comments

Thursday, 3 April 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.04.03

Cisco advarer om CSLU bakdør brukt i angrep.

Cisco advarer om CSLU bakdør brukt i angrep

Cisco advarer om en kritisk sårbarhet i Cisco Smart Licensing Utility (CSLU) som eksponerer en innebygd bakdør i form av en administratorkonto. Denne sårbarheten, identifisert som CVE-2024-20439, lar uautentiserte angripere logge inn på upatchede systemer med administrative rettigheter via CSLU-applikasjonens API. Selv om Cisco utbedret feilen i september 2024, ble det i mars 2025 oppdaget forsøk på utnyttelse av sårbarheten i det fri. Angripere har også kombinert denne sårbarheten med en annen kritisk feil, CVE-2024-20440, som tillater tilgang til loggfiler med sensitiv informasjon. Begge sårbarhetene krever at CSLU-applikasjonen er startet, da den ikke kjører i bakgrunnen som standard.

Anbefaling:

Cisco anbefaler sterkt at kunder oppgraderer til en fastsatt programvareversjon for å rette opp disse sårbarhetene.

Posted by tsoc at 15:28 0 comments

Tuesday, 1 April 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.04.01

Russiske hackere utnytter CVE-2025-26633 via MSC EvilTwin for å distribuere SilentPrism og DarkWisp. Hackere misbruker WordPress MU-plugins for å skjule ondsinnet kode. Phishing-plattformen 'Lucid' står bak bølge av iOS- og Android-SMS-angrep.

Russiske hackere utnytter CVE-2025-26633 via MSC EvilTwin for å distribuere SilentPrism og DarkWisp

Den russiske hackergruppen kjent som Water Gamayun, også kalt EncryptHub og LARVA-208, utnytter en nylig oppdaget sårbarhet i Microsoft Management Console (MMC), identifisert som CVE-2025-26633 eller "MSC EvilTwin". Gjennom manipulering av ondsinnede Microsoft Console-filer (.msc) kan de kjøre vilkårlig kode på infiserte systemer. Angrepene involverer bruk av skadelige .msi-filer og .msc-filer for å levere bakdørene SilentPrism og DarkWisp, som gir angriperne mulighet til fjernkontroll, datatyveri og vedvarende tilgang til kompromitterte systemer. ​

Anbefaling:

Det anbefales sterkt å installere sikkerhetsoppdateringen fra Microsoft som adresserer CVE-2025-26633 umiddelbart. Administratorer bør også gjennomgå systemer for tegn på kompromittering, spesielt relatert til bruk av .msc- og .msi-filer. Videre bør det implementeres robuste sikkerhetstiltak, inkludert oppdaterte antivirusprogrammer og inntrengningsdeteksjonssystemer, for å beskytte mot slike angrep.

Sårbarheter:

Hackere misbruker WordPress MU-plugins for å skjule ondsinnet kode

Hackere utnytter WordPress' 'Must-Use Plugins' (MU-plugins) for å skjule ondsinnet kode som kjøres automatisk på alle sider uten å vises i adminpanelet. MU-plugins er PHP-filer lagret i 'wp-content/mu-plugins/'-katalogen og aktiveres automatisk ved sidelasting. Angriperne bruker denne teknikken til å oppnå vedvarende tilgang og skjule skadelig programvare, inkludert bakdører, spammere og injeksjoner av ondsinnet kode.

Anbefaling:

WordPress-administratorer bør regelmessig inspisere 'mu-plugins'-katalogen for uautoriserte filer, overvåke filendringer og sikre at alle plugins og temaer er oppdatert. Det anbefales også å implementere sikkerhetstiltak som brannmurer og inntrengningsdeteksjonssystemer for å beskytte mot uautorisert tilgang.

Phishing-plattformen 'Lucid' står bak bølge av iOS- og Android-SMS-angrep

Lucid' er en phishing-as-a-service (PhaaS) plattform operert av den kinesiske cyberkriminelle gruppen 'XinXin' siden midten av 2023. Den har rettet seg mot 169 enheter i 88 land ved å sende sofistikerte meldinger via iMessage (iOS) og RCS (Android). Plattformen selges til andre trusselaktører gjennom et abonnementsbasert modell, som gir tilgang til over 1 000 phishing-domener, automatisk genererte phishing-nettsteder og avanserte spamming-verktøy.

Anbefaling:

Brukere bør være ekstra forsiktige med meldinger mottatt via iMessage og RCS, spesielt de som inneholder lenker eller ber om personlig informasjon. Det anbefales å bekrefte avsenderens legitimitet før man klikker på lenker eller deler sensitiv informasjon.

Posted by tsoc at 11:02 0 comments
Subscribe to: Posts (Atom)
 
>