Thursday, 22 May 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.05.22

Ny Active Directory sårbarhet i Windows Server 2025 - Foreløpig ingen fiks. Over 100 falske Chrome utvidelser avslørt: Stjeler innloggingsinformasjon og gjenbruker nettleserøkter.

Ny Active Directory sårbarhet i Windows Server 2025 - Foreløpig ingen fiks

En alvorlig sårbarhet i Windows Server 2025, relatert til den nye funksjonen delegated Managed Service Account (dMSA), gjør det mulig for angripere å eskalere privilegier og overta rettigheter til hvilken som helst Active Directory (AD) bruker. Sårbarheten, oppdaget av Akamai forsker Yuval Gordon, utnytter en feil i hvordan tillatelser håndteres under migrering av eksisterende service-kontoer til dMSA. Selv om dMSA ikke er i aktiv bruk, er sårbarheten til stede i alle domener med minst én Windows Server 2025 domenekontroller. Angrepet, kalt "BadSuccessor", krever kun en tilsynelatende ufarlig tillatelse på en organisatorisk enhet for å gjennomføres. Microsoft har ennå ikke utgitt en sikkerhetsoppdatering for denne sårbarheten.

Anbefalinger:

  • Gjennomgå og begrense tillatelser på organisatoriske enheter (OU) i AD

  • Overvåke og loggføre endringer i tjeneste-kontoer og deres tillatelser

  • Vurdere å deaktivere eller begrense bruken av dMSA funksjonen inntil en offisiell patch er tilgjengelig

  • Holde seg oppdatert på informasjon fra Microsoft angående kommende sikkerhetsoppdateringer

Over 100 falske Chrome utvidelser avslørt: Stjeler innloggingsinformasjon og gjenbruker nettleserøkter

Over 100 ondsinnede Chrome-utvidelser har blitt oppdaget av sikkerhetsforskere fra DomainTools.

Disse utvidelsene utgir seg for å være legitime verktøy som VPN-tjenester, produktivitets verktøy og krypto relaterte tjenester, men inneholder skjult funksjonalitet som stjeler informasjonskapsler, kaprer nettleserøkter, injiserer annonser og omdirigerer trafikk. Utvidelsene ber om omfattende tillatelser via manifest.json-filen, inkludert tilgang til alle besøkte nettsteder og muligheten til å kjøre vilkårlig kode hentet fra angriperkontrollerte domener.

De benytter også "onreset"-hendelsen i Document Object Model (DOM) for å omgå Content Security Policy (CSP). Flere av disse utvidelsene ble promotert gjennom falske nettsteder som etterligner kjente tjenester som DeepSeek, Manus, DeBank og FortiVPN for å tiltrekke seg ofre.

Google har fjernet de identifiserte utvidelsene fra Chrome Web Store, men det er fortsatt usikkert hvor mange brukere som er berørt.

at No comments:

Monday, 19 May 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.05.19

Ransomware-gjenger tar i bruk Skitnet for skjulte etter-angrepsaktiviteter.

Ransomware-gjenger tar i bruk Skitnet for skjulte etter-angrepsaktiviteter

Skitnet, også kjent som "Bossnet", er en ny type etter-angreps-malware som i økende grad benyttes av ransomware-grupper som BlackBasta og Cactus. Ifølge Prodaft-forskere har Skitnet vært tilgjengelig på undergrunnsfora som RAMP siden april 2024, men har fått betydelig oppmerksomhet blant trusselaktører siden tidlig 2025. Malwaren starter med en Rust-basert loader som dekrypterer og laster en Nim-basert nyttelast i minnet. Denne nyttelasten etablerer en DNS-basert omvendt shell for kommunikasjon med kommando- og kontrollserveren (C2), og bruker tre tråder for henholdsvis å sende "heartbeat"-forespørsler, overvåke og eksfiltrere shell-utdata, samt lytte etter og dekryptere kommandoer fra DNS-responser. Skitnet har blitt observert i reelle angrep, inkludert Microsoft Teams-phishing mot bedrifter.

at No comments:

Friday, 16 May 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.05.16

Google fikser alvorlig Chrome-sårbarhet med offentlig utnyttelseskode. Forskere avslører nye Intel prosessor sårbarheter som muliggjør minnelekasjer og Spectre v2 angrep.

Google fikser alvorlig Chrome-sårbarhet med offentlig utnyttelseskode

Google har utgitt en nødoppdatering for å rette en alvorlig sårbarhet i Chrome-nettleseren, identifisert som CVE-2025-4664. Denne sårbarheten, oppdaget av sikkerhetsforsker Vsevolod Kokorin fra Solidlab, skyldes utilstrekkelig policyhåndhevelse i Chrome's Loader-komponent. Den tillater fjernangripere å lekke data på tvers av opprinnelser via ondsinnede HTML-sider, spesielt ved å manipulere Link-headeren til å sette en referrer-policy som kan avsløre sensitive spørringsparametere. Dette kan føre til full konto-overtakelse, spesielt i OAuth-autentiseringsflyter. Google er klar over at det eksisterer en offentlig utnyttelseskode for denne sårbarheten, noe som indikerer potensiell aktiv utnyttelse. Oppdateringer som adresserer denne sårbarheten er tilgjengelige i Chrome versjon 136.0.7103.113 for Windows/Linux og 136.0.7103.114 for macOS.

Anbefaling:

Oppdater Chrome-nettleseren umiddelbart til versjon 136.0.7103.113 (Windows/Linux) eller 136.0.7103.114 (macOS) for å beskytte mot denne sårbarheten. Utviklere bør gjennomgå bruken av Link-headeren og referrer-policyer i sine applikasjoner for å sikre at sensitive data ikke utilsiktet eksponeres.

Sårbarheter:

Forskere avslører nye Intel prosessor sårbarheter som muliggjør minnelekasjer og Spectre v2 angrep

Forskere ved ETH Zürich har avdekket flere nye sikkerhetsfeil i moderne Intel-prosessorer som muliggjør lekkasje av sensitiv informasjon fra minnet. Den mest fremtredende sårbarheten, kalt Branch Privilege Injection (BPI), utnytter spekulativ utførelse og gren forutsigelse for å omgå sikkerhets-barrierer og få tilgang til privilegert minne. Denne sårbarheten er identifisert som CVE-2024-45332 og påvirker alle Intel prosessorer produsert siden 2018. I tillegg er to andre sårbarheter, CVE-2024-28956 og CVE-2025-24495, oppdaget, som tillater lekkasje av kjerneminne med hastigheter opptil 17 Kb/s, og kan bryte domene separasjon, noe som muliggjør tradisjonelle Spectre v2 angrep mellom brukere og virtuelle maskiner.

at No comments:

Thursday, 15 May 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.05.15

Ivanti Patcher Kritiske Sårbarheter i EPMM som Muliggjør Fjernkodekjøring. Fortinet Patcher Kritisk Zero-Day Sårbarhet i FortiVoice-systemer (CVE-2025-32756).

Ivanti Patcher Kritiske Sårbarheter i EPMM som Muliggjør Fjernkodekjøring

Ivanti har utgitt sikkerhetsoppdateringer for å adressere to sårbarheter i Endpoint Manager Mobile (EPMM), identifisert som CVE-2025-4427 (CVSS 5.3) og CVE-2025-4428 (CVSS 7.2). Disse sårbarhetene, som involverer autentiseringsomgåelse og fjernkodekjøring, har blitt utnyttet i begrensede angrep. Berørte versjoner inkluderer 11.12.0.4 og tidligere (fikset i 11.12.0.5), 12.3.0.1 og tidligere (fikset i 12.3.0.2), 12.4.0.1 og tidligere (fikset i 12.4.0.2), samt 12.5.0.0 og tidligere (fikset i 12.5.0.1). Sårbarhetene stammer fra to integrerte open-source biblioteker, hvis navn ikke er offentliggjort. Ivanti bemerker at risikoen reduseres betydelig dersom API-tilgang allerede filtreres via innebygd Portal ACLs-funksjonalitet eller en ekstern webapplikasjonsbrannmur. Kun den lokale EPMM-løsningen er berørt; Ivanti Neurons for MDM og andre produkter påvirkes ikke.

Anbefaling:

Ivanti anbefaler følgende tiltak: Oppdater EPMM til de nyeste versjonene som adresserer sårbarhetene. Hvis umiddelbar oppdatering ikke er mulig, implementer filtrering av API-tilgang ved hjelp av innebygd Portal ACLs-funksjonalitet eller en ekstern webapplikasjonsbrannmur. Overvåk systemer for uvanlig aktivitet og gjennomfør sikkerhetsvurderinger for å identifisere potensielle kompromitteringer.

Fortinet Patcher Kritisk Zero-Day Sårbarhet i FortiVoice-systemer (CVE-2025-32756)

Fortinet har utgitt sikkerhetsoppdateringer for å rette en kritisk stack-basert buffer overflow-sårbarhet (CVE-2025-32756) med en CVSS-score på 9.6. Sårbarheten tillater uautentiserte, eksterne angripere å utføre vilkårlig kode eller kommandoer via spesiallagde HTTP-forespørsler. Den har blitt aktivt utnyttet i angrep mot FortiVoice enterprise telefonsystemer. Andre berørte produkter inkluderer FortiMail, FortiNDR, FortiRecorder og FortiCamera. Angriperne har blant annet utført nettverksskanninger, slettet systemkrasjlogger og aktivert "fcgi debugging" for å logge legitimasjon fra systemet eller SSH-innloggingsforsøk.

Sårbarheter:
at No comments:

Wednesday, 14 May 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.05.14

Microsoft Mai 2025 Patch retter 5 utnyttede zero-days og 72 sårbarheter. Kina-tilknyttede APT-er utnytter SAP CVE-2025-31324 for å kompromittere 581 kritiske systemer globalt. SAP Patcher andre zero-day-sårbarhet utnyttet i nylige angrep.

Microsoft Mai 2025 Patch retter 5 utnyttede zero-days og 72 sårbarheter

Microsofts Patch for mai 2025 inkluderer sikkerhetsoppdateringer for totalt 72 sårbarheter, hvorav fem er aktivt utnyttede CVE-er og to er offentlig kjente zero-day-sårbarheter. Blant disse er én kritisk sårbarhet i Microsoft DWM Core Library (CVE-2025-30400) som tillater eskalering av privilegier til SYSTEM-nivå. Totalt er seks sårbarheter klassifisert som "Critical", inkludert fem fjernkodekjøringsfeil og én informasjonslekkasje. Fordelingen av sårbarheter er: 17 for eskalering av privilegier, 2 for sikkerhetsomgåelse, 28 for fjernkodekjøring, 15 for informasjonslekkasje, 7 for tjenestenekt og 2 for spoofing. Disse oppdateringene er tilgjengelige for Windows 10 og 11, samt for Windows Server-plattformer.

Anbefaling:

Microsoft anbefaler umiddelbar installasjon av de nyeste sikkerhetsoppdateringene via Windows Update eller Microsoft Update Catalog. Oppdateringene er obligatoriske og vil automatisk installeres med mindre de utsettes manuelt. Det er også viktig å planlegge en omstart for å fullføre installasjonen.

Kina-tilknyttede APT-er utnytter SAP CVE-2025-31324 for å kompromittere 581 kritiske systemer globalt

En kritisk sårbarhet i SAP NetWeaver Visual Composer, identifisert som CVE-2025-31324, blir aktivt utnyttet av flere kinesiske statssponsede trusselaktører, inkludert UNC5221, UNC5174 og CL-STA-0048. Sårbarheten tillater uautentisert filopplasting, noe som gir angripere mulighet til å utføre fjernkodekjøring (RCE). Over 581 SAP NetWeaver-installasjoner er bekreftet kompromittert, med bakdører installert via webskall. Angrepene retter seg mot kritisk infrastruktur som gassdistribusjonsnettverk, vann- og avfallshåndteringssystemer i Storbritannia, medisinsk utstyrsproduksjon og olje- og gasselskaper i USA, samt statlige departementer i Saudi-Arabia. Angriperne bruker ulike verktøy som KrustyLoader, SNOWLIGHT, VShell og GOREVERSE for å opprettholde vedvarende tilgang og utføre ytterligere ondsinnede aktiviteter.

Anbefaling:

Det anbefales både å oppdatere SAP NetWeaver til den nyeste versjonen umiddelbart, og å bruke webapplikasjonsbrannmurer (WAF) og inntrengingsdeteksjonssystemer (IDS) for å oppdage og blokkere ondsinnet aktivitet.

Sårbarheter:

SAP Patcher andre zero-day-sårbarhet utnyttet i nylige angrep

SAP har utgitt sikkerhetsoppdateringer for å adressere en ny zero-day-sårbarhet (CVE-2025-42999) i SAP NetWeaver Visual Composer. Denne sårbarheten ble oppdaget under etterforskningen av tidligere angrep som utnyttet en annen sårbarhet (CVE-2025-31324), som ble fikset i april. Angripere har kombinert begge sårbarhetene siden januar for å laste opp ondsinnede JSP-webskall og verktøy som Brute Ratel, selv på fullt oppdaterte systemer. Over 2040 SAP NetWeaver-servere er eksponert på internett og sårbare for disse angrepene, med minst 474 allerede kompromittert.

Anbefaling:

SAP anbefaler alle kunder som bruker SAP NetWeaver å umiddelbart installere sikkerhetsoppdateringene beskrevet i Security Notes 3594142 og 3604119 for å beskytte systemene sine.

at No comments:

Monday, 12 May 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.05.12

Russiske hackere bruker falsk CAPTCHA via ClickFix for å distribuere ny LOSTKEYS-malware. SonicWall utgir sikkerhetsoppdateringer for tre kritiske sårbarheter i SMA 100-enheter. Falske verktøy brukt til å spre Noodlophile skadevare – over 62 000 rammet via Facebook-lokkemidler.

Russiske hackere bruker falsk CAPTCHA via ClickFix for å distribuere ny LOSTKEYS-malware

Den russisk-støttede hackergruppen COLDRIVER (også kjent som Callisto, Star Blizzard og UNC4057) har blitt observert i en ny spionasjekampanje der de distribuerer skadevaren LOSTKEYS ved hjelp av en sosial manipulasjonsteknikk kalt ClickFix. Angrepene starter med en falsk CAPTCHA-verifisering på en lokkeside, hvor ofrene blir instruert til å åpne Windows' Kjør-dialog og lime inn en PowerShell-kommando. Denne kommandoen laster ned og kjører ytterligere skript som til slutt aktiverer LOSTKEYS-malwaren. LOSTKEYS er i stand til å stjele filer fra en forhåndsdefinert liste over filtyper og kataloger, samt sende systeminformasjon og kjørende prosesser tilbake til angriperen. Malwaren ble observert i angrep i januar, mars og april 2025, rettet mot nåværende og tidligere rådgivere til vestlige regjeringer og militærer, samt journalister, tenketanker og NGO-er. Personer med tilknytning til Ukraina har også vært mål. Google oppdaget ytterligere LOSTKEYS-artefakter tilbake til desember 2023, forkledd som binærfiler relatert til Maltego-plattformen, men det er uklart om disse er knyttet til COLDRIVER.

SonicWall utgir sikkerhetsoppdateringer for tre kritiske sårbarheter i SMA 100-enheter

SonicWall har utgitt sikkerhetsoppdateringer for å adressere tre alvorlige sårbarheter i sine Secure Mobile Access (SMA) 100-serie enheter, inkludert modellene SMA 200, 210, 400, 410 og 500v. Disse sårbarhetene kan utnyttes av en fjernangriper med SSL-VPN-brukerrettigheter til å oppnå ekstern kodekjøring på root-nivå. Ved å kombinere disse sårbarhetene kan en angriper gjøre følsomme systemkataloger skrivbare, eskalere privilegier til administratornivå og skrive kjørbare filer til systemkataloger, noe som resulterer i full kontroll over enheten. Spesielt er CVE-2025-32819 vurdert som en omgåelse av en tidligere identifisert feil rapportert av NCC Group i desember 2021, og det er indikasjoner på at denne sårbarheten kan ha blitt utnyttet som en zero-day. Sårbarhetene er adressert i programvareversjon 10.2.1.15-81sv.

Anbefaling:

Det anbefales sterkt at alle brukere av SMA 100-serien oppdaterer til programvareversjon 10.2.1.15-81sv umiddelbart for å beskytte mot potensielle angrep. Videre bør organisasjoner gjennomgå sine sikkerhetsprotokoller for å sikre at kun autoriserte brukere har tilgang til SSL-VPN, og overvåke systemene for uvanlig aktivitet som kan indikere forsøk på utnyttelse.

Falske verktøy brukt til å spre Noodlophile skadevare – over 62 000 rammet via Facebook-lokkemidler

En ny skadevarekampanje er avslørt av Morphisec, hvor nettkriminelle bruker falske AI-verktøy og Facebook-annonser for å lokke brukere til å laste ned Noodlophile Stealer. Skadevaren stjeler nettleserpassord, kryptolommebøker og kan gi angripere fjernstyrt tilgang via XWorm. Kampanjen benytter nettsider som virker ekte og lokker spesielt kreative brukere og småbedrifter med gratis bilde- og videoredigering drevet av kunstig intelligens. Angrepet skjer i flere steg, og skadevaren distribueres via passordbeskyttede ZIP-filer og skjulte filer med tilsynelatende harmløse navn. Informasjon stjålet fra ofre sendes via en Telegram-bot. Morphisec har koblet utvikleren av skadevaren til Vietnam og identifisert Facebook-profiler som promoterer den direkte. Det anbefales å unngå nedlasting av verktøy fra sosiale medier og alltid sjekke filer med sikkerhetsverktøy som VirusTotal før installasjon.

at No comments:

Thursday, 8 May 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.05.08

Samsung MagicINFO 9 Server RCE-sårbarhet nå aktivt utnyttet i angrep. Play Ransomware utnyttet Windows-sårbarhet CVE-2025-29824 som zero-day. Cisco oppdaterer CVE-2025-20188 (10.0 CVSS) i IOS XE som muliggjør root-utnyttelse via JWT.

Samsung MagicINFO 9 Server RCE-sårbarhet nå aktivt utnyttet i angrep

En alvorlig sårbarhet (CVE-2024-7399) i Samsung MagicINFO 9 Server, et system for fjernstyring av digital skilting, blir nå aktivt utnyttet av angripere. Sårbarheten tillater uautentisert fjernkjøring av kode (RCE) ved at angripere laster opp en ondsinnet .jsp-fil via en uautorisert POST-forespørsel, som deretter kan kjøres for å utføre vilkårlige kommandoer på serveren. Sårbarheten ble først offentliggjort i august 2024 og ble adressert i versjon 21.1050. Etter publiseringen av en proof-of-concept (PoC) 30. april 2025, har sikkerhetsfirmaet Arctic Wolf rapportert om aktiv utnyttelse, inkludert bruk av Mirai-botnett for å kompromittere enheter.

Anbefaling:

Administratorer bør umiddelbart oppgradere Samsung MagicINFO Server til versjon 21.1050 eller nyere for å tette sårbarheten. Det anbefales også å begrense nettverkstilgang til serveren og overvåke systemlogger for mistenkelige fil operasjoner.

Play Ransomware utnyttet Windows-sårbarhet CVE-2025-29824 som zero-day

Trusselaktører tilknyttet Play-ransomwaregruppen utnyttet en nylig patchet sårbarhet i Microsoft Windows, CVE-2025-29824, som en zero-day i et angrep mot en amerikansk organisasjon. Sårbarheten, en privilegie-eskalering i Common Log File System (CLFS)-driveren, ble brukt til å oppnå SYSTEM-rettigheter. Angrepet inkluderte bruk av Grixba, en spesialtilpasset informasjonstyv, og en uautorisert opprettelse av en administratorkonto. Det ble ikke distribuert noen ransomware-payload i dette tilfellet, noe som indikerer at aktørene fokuserte på informasjonsinnsamling og etablering av vedvarende tilgang.

Cisco oppdaterer CVE-2025-20188 (10.0 CVSS) i IOS XE som muliggjør root-utnyttelse via JWT

Cisco har rettet en kritisk sårbarhet (CVE-2025-20188) i sine IOS XE Wireless Controllers, som kunne tillate en uautentisert angriper å laste opp vilkårlige filer og kjøre kommandoer med root-rettigheter. Feilen skyldes en hardkodet JSON Web Token (JWT) og kan utnyttes via spesiallagde HTTPS-forespørsler hvis funksjonen Out-of-Band AP Image Download er aktivert. Denne funksjonen er imidlertid deaktivert som standard, og kun enkelte Catalyst 9800-produkter er berørt hvis funksjonen er slått på. Cisco anbefaler å oppdatere til siste versjon, men funksjonen kan midlertidig deaktiveres som en midlertidig løsning.

Sårbarheter:
at No comments:

Wednesday, 7 May 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.05.07

Apache Parquet exploit verktøy oppdager servere som er sårbare for kritisk feil. Forskere avdekker skadevare i falsk Discord PyPI pakke lastet ned over 11 500 ganger.

Apache Parquet exploit verktøy oppdager servere som er sårbare for kritisk feil

En kritisk sårbarhet i Apache Parquet (CVE-2025-30065), med en CVSS score på 10.0, gjør det mulig for angripere å eksekvere vilkårlig kode på servere som leser spesiallagde Parquet-filer. Sårbarheten skyldes en deserialiseringsfeil i parquet-avro-modulen, hvor det ikke er tilstrekkelige restriksjoner på hvilke Java-klasser som kan instansieres ved lesing av Avro-data innebygd i Parquet-filer. F5 Labs har nylig publisert et "proof of concept" verktøy som demonstrerer hvordan sårbarheten kan utnyttes, og som også kan brukes av administratorer til å identifisere og sikre sårbare systemer.

Sårbarheter:

Forskere avdekker skadevare i falsk Discord PyPI pakke lastet ned over 11 500 ganger

Forskere innen cybersikkerhet har avdekket en ondsinnet Python pakke kalt discordpydebug på PyPI (Python Package Index), som utgir seg for å være et verktøy for utvikling av Discord-boter. Når pakken installeres, kobler den seg til en ekstern server og kan kjøre vilkårlige kommandoer, samt lese og skrive filer på systemet. Til tross for at den ble lastet opp allerede i mars 2022, har den blitt lastet ned over 11 500 ganger og er fortsatt tilgjengelig, noe som viser den vedvarende risikoen med forsyningskjedeangrep i åpne programvarelagre

at No comments:

Tuesday, 6 May 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.05.06

Kritisk sårbarhet i Langflow tillater ekstern kodeeksekvering. Nytt sikkerhetsverktøy fra AWS medførte alvorlig sikkerhetsrisiko. Nulldagssårbarhet i Windows Deployment Services muliggjør systemkrasj. Darcula (PhaaS) stjal 884 000 kredittkort gjennom 13 millioner klikk.

Kritisk sårbarhet i Langflow tillater ekstern kodeeksekvering

En kritisk sårbarhet i Langflow (CVE-2025-3248) lar uvedkommende eksekvere vilkårlig kode uten autentisering. Sårbarheten skyldes bruk av Python-funksjonen exec() på innsendt kode uten tilstrekkelig autentisering eller isolasjon, noe som gjør det mulig for angripere å ta full kontroll over serveren. Sårbarheten er lett å utnytte og har blitt aktivt misbrukt, ifølge CISA. Feilen er rettet i versjon 1.3.0, og organisasjoner oppfordres til å oppdatere umiddelbart.

Sårbarheter:

Nytt sikkerhetsverktøy fra AWS medførte alvorlig sikkerhetsrisiko

AWS lanserte verktøyet Account Assessment for AWS Organizations for å forbedre sikkerhetsinnsikt, men introduserte med seg en alvorlig sårbarhet. Offisiell dokumentasjon anbefaler å installere verktøyets "hub"-rolle i mindre sikre kontoer, noe som åpnet for privilegie-eskalering til høysensitive miljøer som produksjon og administrasjonskontoer. Feilen ble oppdaget av sikkerhetsforskere og rapportert til AWS, som deretter oppdaterte veiledningen for å redusere risiko. Hendelsen viser hvor lett tillitsmekanismer i skyinfrastruktur kan feiltolkes – selv av leverandøren selv.

Nulldagssårbarhet i Windows Deployment Services muliggjør systemkrasj

En nylig oppdaget sårbarhet i Microsofts Windows Deployment Services (WDS) gjør det mulig for angripere å krasje servere eksternt uten brukerinteraksjon. Feilen, som utnytter en svakhet i UDP-basert TFTP-tjeneste på port 69, tillater enkle angrep ved å sende forfalskede UDP-pakker. Angripere kan overbelaste systemminnet ved å utløse ubegrensede sesjoner, noe som kan lamme bedriftens OS-distribusjonssystemer. Sårbarheten kan utnyttes med minimal teknisk kunnskap, og det er ingen kjent løsning fra Microsoft, noe som gjør det til en stor trussel for organisasjoner som bruker WDS.

Darcula (PhaaS) stjal 884 000 kredittkort gjennom 13 millioner klikk

En avansert Phishing-as-a-Service-plattform kalt Darcula har stått bak en av de største kjente digitale korttyveriene, med 884 000 kredittkort stjålet gjennom over 13 millioner klikk globalt. Plattformen tilbyr realistiske nettsidekopier og omgår tofaktorautentisering via sanntidskapring. Angrepet, som startet i slutten av 2024, rammet brukere i 32 land – spesielt i Nord-Amerika og Europa – og anslås å ha forårsaket økonomiske tap på over 150 millioner dollar. Bakmennene benyttet en modulær arkitektur og flerstegs-infeksjon via e-post, SMS og sosiale medier. Sikkerhetsanalytikere advarer om trusselens kompleksitet og oppfordrer til skjerpet phishing-deteksjon og økt bevissthet hos brukere.

at No comments:

Monday, 5 May 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.05.05

Ondsinnede Go-moduler leverer diskødeleggende Linux-malware i avansert forsyningskjedeangrep. Microsoft gjør passnøkler til standard for nye Microsoft-kontoer i push for passordfri sikkerhet. SonicWall bekrefter aktiv utnyttelse av ny zero-day sårbarhet i GMS- og Analytics produkter.

Ondsinnede Go-moduler leverer diskødeleggende Linux-malware i avansert forsyningskjedeangrep

Forskere har avdekket tre ondsinnede Go-moduler – prototransform, go-mcp og tlsproxy – som inneholder obfuskert kode designet for å hente og kjøre et destruktivt shell-skript på Linux-systemer. Skriptet overskriver hele primærdisk (/dev/sda) med nuller, noe som gjør systemet ubrukelig og forhindrer oppstart. Disse modulene sjekker operativsystemet og bruker wget for å laste ned nyttelasten. I tillegg er det identifisert flere ondsinnede npm- og PyPI-pakker som stjeler kryptovaluta-nøkler og eksfiltrerer data via Gmail SMTP og WebSockets.

Microsoft gjør passnøkler til standard for nye Microsoft-kontoer i push for passordfri sikkerhet

Microsoft har kunngjort at passnøkler nå blir standard på nye Microsoft-kontoer, som et ledd i deres innsats for å avskaffe tradisjonelle passord. Passnøkler er en kryptert, biometrisk-basert autentiseringsmetode som eliminerer behovet for passord og reduserer risikoen for phishing og datainnbrudd. Endringen innebærer at brukere kan logge inn med ansiktsgjenkjenning, fingeravtrykk eller PIN, og gjelder for tjenester som Outlook, OneDrive og Xbox. Eksisterende brukere kan også enkelt aktivere passnøkler via kontoinnstillingene. Satsingen er en del av en bredere bransjetrend der selskaper som Apple og Google også går over til FIDO2-baserte løsninger for økt sikkerhet og brukervennlighet.

SonicWall bekrefter aktiv utnyttelse av ny zero-day sårbarhet i GMS- og Analytics produkter

SonicWall har bekreftet at en kritisk zero-day sårbarhet (CVE-2024-37902) i deres GMS- og Analytics produkter aktivt utnyttes i angrep. Sårbarheten gir uautorisert angripere mulighet til å omgå autentisering og kjøre vilkårlig kode på sårbare systemer. SonicWall har utgitt nødoppdateringer og ber alle kunder umiddelbart oppdatere til de nyeste versjonene. Selskapet samarbeider med myndigheter og sikkerhetsmiljøet for å overvåke situasjonen. Det advares spesielt om at sårbarheten kan brukes i målrettede angrep mot bedriftsinfrastruktur.

at No comments:

Friday, 2 May 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.05.02

WordPress-plugin forkledd som sikkerhetsverktøy injiserer bakdør. CISA advarer om aktivt utnyttet Apache HTTP Server-sårbarhet. SonicWall SMA100 OS-kommandoinjeksjon utnyttes aktivt. Nye angrepsteknikker ved bruk av MCP avslørt. Windows RDP tillater innlogging med utgåtte passord – Microsoft bekrefter ingen løsning. Kinesiske hackere utnytter IPv6 SLAAC for skjult nettverkstilgang. Hackere bruker nytt Eye Pyramid-verktøy for å utnytte Python og distribuere skadelig programvare.

WordPress-plugin forkledd som sikkerhetsverktøy injiserer bakdør

En ny skadelig kampanje retter seg mot WordPress-nettsteder ved å bruke et ondsinnet plugin som utgir seg for å være et sikkerhetsverktøy. Ifølge Wordfence-forskere gir denne skadevaren angripere vedvarende tilgang, mulighet for fjernkjøring av kode og injeksjon av JavaScript, samtidig som den forblir skjult fra plugin-dashbordet for å unngå oppdagelse. Skadevaren ble først oppdaget under en opprydding av et nettsted i slutten av januar 2025, hvor en modifisert 'wp-cron.php'-fil ble funnet. Denne filen oppretter og aktiverer programmatisk et ondsinnet plugin kalt 'WP-antymalwary-bot.php'. Andre plugin-navn brukt i kampanjen inkluderer 'addons.php', 'wpconsole.php', 'wp-performance-booster.php' og 'scr.php'. Hvis pluginet slettes, gjenoppretter 'wp-cron.php' det automatisk ved neste besøk på nettstedet. Mangelen på serverlogger gjør det vanskelig å identifisere den eksakte infeksjonskjeden, men Wordfence antar at infeksjonen skjer via en kompromittert hostingkonto eller FTP-legitimasjon. Lite er kjent om gjerningspersonene, men forskerne bemerket at kommando- og kontrollserveren (C2) er lokalisert på Kypros, og det er trekk som ligner på et forsyningskjedeangrep fra juni 2024. Når pluginet er aktivt på serveren, utfører det en selvstatussjekk og gir deretter angriperen administratorrettigheter.

CISA advarer om aktivt utnyttet Apache HTTP Server-sårbarhet

CISA har lagt til CVE-2024-38475, en kritisk sårbarhet i Apache HTTP Server, i sin katalog over kjente utnyttede sårbarheter. Feilen, som påvirker mod_rewrite i versjoner 2.4.59 og tidligere, gjør det mulig for angripere å kartlegge URL-er til uventede filsystemplasseringer, noe som potensielt kan føre til kodeutførelse eller avsløring av kildekode. Sårbarheten har en CVSS-score på 9.1 og utnyttes aktivt i pågående angrep. 

Anbefaling:

Organisasjoner bør umiddelbart oppgradere til Apache HTTP Server versjon 2.4.60 eller nyere og gjennomgå RewriteRules for å sikre at substitusjoner er riktig begrenset.

Sårbarheter:

SonicWall SMA100 OS-kommandoinjeksjon utnyttes aktivt

En alvorlig sårbarhet i SonicWall SMA100-serien, identifisert som CVE-2023-44221, utnyttes nå aktivt i pågående angrep. Feilen gjør det mulig for autentiserte angripere med administrative rettigheter å injisere vilkårlige kommandoer via SSL-VPN-administrasjonsgrensesnittet. Sårbarheten påvirker enheter med firmwareversjoner opp til og med 10.2.1.9-57sv. SonicWall har utgitt en sikkerhetsoppdatering i versjon 10.2.1.10-62sv og høyere for å rette problemet.

Anbefaling:

Organisasjoner bør umiddelbart oppdatere til den nyeste firmwareversjonen, aktivere flerfaktorautentisering for alle kontoer, endre passord til sterke og unike verdier, begrense VPN-tilgang til nødvendige kontoer, fjerne unødvendige kontoer og konfigurere omfattende loggovervåking for alle brannmur-enheter.

Sårbarheter:

Nye angrepsteknikker ved bruk av MCP avslørt

En ny teknikk kalt Malicious Command Protocol (MCP) gjør det mulig for angripere å opprette vedvarende, skjulte forbindelser via kryptert API-trafikk. MCP benytter minnebaserte PowerShell-skript og protokolltunneling for å unngå tradisjonell deteksjon. Metoden har allerede blitt brukt mot flere finansinstitusjoner med langvarig tilgang før oppdagelse.

Anbefaling:

Organisasjoner bør styrke sine sikkerhetsprotokoller ved å implementere avanserte overvåkingsverktøy som kan oppdage uvanlige API-kall og minnebaserte trusler. Det er også viktig å gjennomføre regelmessige sikkerhetsrevisjoner og opplæring for ansatte for å redusere risikoen for phishing-angrep.

Windows RDP tillater innlogging med utgåtte passord – Microsoft bekrefter ingen løsning

Microsoft har bekreftet at Remote Desktop Protocol (RDP) tillater brukere å logge inn med tidligere gyldige passord, selv etter at de er endret eller tilbakekalt. Dette skyldes at Windows lagrer en lokal, kryptert kopi av passordet, og ved RDP-innlogging sjekkes dette mot den lokale cachen i stedet for å validere passordet online. Dermed kan angripere med gamle legitimasjoner fortsatt få tilgang via RDP, selv om passordet er endret i skyen. Microsoft anser dette som en designbeslutning, ikke en sikkerhetssårbarhet, og har ingen planer om å endre oppførselen.

Anbefaling:

Organisasjoner bør vurdere å begrense RDP-tilgang, deaktivere RDP der det ikke er nødvendig, og implementere sikkerhetstiltak som multifaktorautentisering og strengere tilgangskontroller for å redusere risikoen.

Kinesiske hackere utnytter IPv6 SLAAC for skjult nettverkstilgang

En kinesisk statssponset hackergruppe har utviklet en ny metode for å infiltrere nettverk ved å utnytte IPv6-funksjonen SLAAC (Stateless Address Autoconfiguration). Ved å introdusere en ondsinnet IPv6-router i et ellers IPv4-basert nettverk, sender angriperne ut falske Router Advertisements (RA) som får enhetene til å tildele seg selv IPv6-adresser og konfigurere DNS-innstillinger kontrollert av angriperne. Dette skaper et skjult IPv6-overleggsnettverk som omgår tradisjonelle sikkerhetstiltak som NAT og brannmurer, og gir angriperne direkte tilgang til enhetene. Teknikken utnytter også NAT-PT (Network Address Translation - Protocol Translation) for å koble IPv6-trafikk til IPv4-internett, noe som gjør det vanskelig å oppdage og blokkere aktiviteten.

Hackere bruker nytt Eye Pyramid-verktøy for å utnytte Python og distribuere skadelig programvare

Trusselaktører bruker det Python-baserte verktøyet Eye Pyramid til å distribuere skadelig programvare direkte i minnet, noe som gjør det vanskelig å oppdage. Verktøyet er brukt i kombinasjon med Cobalt Strike og løsepengegrupper som Rhysida og BlackCat. Det muliggjør vedvarende tilgang og er spesielt farlig for organisasjoner med blandede IT-miljøer.

at No comments: