Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday, 30 January 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.01.30

To nulldagssårbarheter i Ivanti EPMM benyttet i angrep. Ny Microsoft Teams funksjon lar deg rapportere mistenkelige samtaler.

To nulldagssårbarheter i Ivanti EPMM benyttet i angrep

Ivanti har offentliggjort to kritiske nulldagssårbarheter (CVE‑2026‑1281 og CVE‑2026‑1340) i Endpoint Manager Mobile (EPMM) som gjør det mulig for angripere å kjøre vilkårlig kode uten autentisering.

Feilene utnyttes aktivt og kan gi angripere tilgang til omfattende bruker‑ og enhetsdata. De kan også gi mulighet til å endre konfigurasjoner via API eller webkonsoll. Ivanti har utgitt midlertidige RPM patcher uten nedetid, men disse må reinstaleres ved oppgraderinger frem til en permanent fiks kommer i versjon 12.8.0.0 senere i Q1 2026.

Selskapet gir også veiledning for å oppdage angrep, inkludert regex søk i Apache logger, og anbefaler å gjenopprette fra kjent god backup hvis kompromittering mistenkes. CISA har lagt én av sårbarhetene til sin KEV liste.

Ny Microsoft Teams funksjon lar deg rapportere mistenkelige samtaler

Microsoft ruller ut en ny «Report a Call» funksjon i Microsoft Teams, planlagt tilgjengelig fra midten av mars 2026. Denne lar brukere flagge mistenkelige eller uønskede "én-til-én-samtaler" som potensielle svindel eller phishing forsøk. Funksjonen er aktivert som standard, men kan deaktiveres av administratorer i Teams Admin Center under innstillingene for Calling.

Når en samtale rapporteres, deles begrenset metadata (tidspunkt, varighet, anroper ID og deltaker Teams IDer) med organisasjonen og Microsoft som får videre behandling. Administratorer kan se rapporterte hendelser i Microsoft Defender portalen, mens organisasjoner uten Defender lisenser får grunnleggende informasjon i Teams Admin Center.

Funksjonen forventes utrullet globalt innen april 2026.

Posted by tsoc at 12:06 0 comments

Thursday, 29 January 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.01.29

Hackere bytter til Tsundere Bot i nye løsepengeangrep . Ny sandbox escape sårbarhet utsetter n8n instanser for RCE angrep. Falsk Moltbot AI kodeassistent på VS Code Marketplace sprer skadevare.

Hackere bytter til Tsundere Bot i nye løsepengeangrep

Trusselaktøren TA584 trapper opp virksomheten og bruker nå Tsundere Bot og XWorm for å skaffe seg initial tilgang som kan ende i løsepengeangrep.

Angrepene starter med e‑poster fra kompromitterte kontoer som leder ofre gjennom filtrering, CAPTCHA og en falsk ClickFix side som får dem til å kjøre en PowerShell kommando. Denne laster ned og kjører enten XWorm eller Tsundere Bot, et fleksibelt "Malware as a Service" verktøy som kan samle informasjon, bevege seg i nettverket og hente ned andre ondartede komponenter.

Proofpoint ser en kraftig økning i TA584 aktivitet og forventer at aktøren vil fortsette å utvide målrettingen og eksperimentere med nye verktøy.

Ny sandbox escape sårbarhet utsetter n8n instanser for RCE angrep

Det er avdekket to alvorlige sårbarheter i n8n, en populær plattform for workflow automatisering, som gjør det mulig for autentiserte angripere å bryte ut av sandbox miljøer og utføre vilkårlig kode på vertsoperativsystemet.

Sårbarhetene påvirker både JavaScript baserte eval noder og Python noder, der utilstrekkelig isolering gjør det mulig å få tilgang til hovedprosessen, miljøvariabler og underliggende systemressurser. Vellykket utnyttelse kan føre til full kompromittering av n8n instansen, inkludert eksponering av API nøkler, tokens, legitimasjon og videre lateral bevegelse i interne nettverk. Gitt at n8n ofte brukes som et sentralt integrasjonspunkt mot interne systemer og tredjepartstjenester, vurderes konsekvensene som betydelige selv om angrepene krever autentisert tilgang.

Anbefaling:

Oppdater n8n umiddelbart til versjoner som inneholder sikkerhetsfikser: CVE-2026-1470: 1.123.17, 2.4.5, 2.5.1 eller nyere, CVE-2026-0863: 1.123.14, 2.3.5, 2.4.2 eller nyere

Falsk Moltbot AI kodeassistent på VS Code Marketplace sprer skadevare

En ny, falsk Visual Studio Code utvidelse som utgir seg for å være en Moltbot basert AI kodeassistent ble nylig oppdaget på den offisielle VS Code Marketplace. Utvidelsen, kalt “ClawdBot Agent – AI Coding Assistant”, ble publisert 27. januar 2026 av en bruker med navnet clawdbot, til tross for at Moltbot ikke har noen legitim VS Code utvidelse.

Når den installeres, kjører den automatisk ved oppstart av VS Code og henter en config.json fra en ekstern server. Denne instruerer utvidelsen til å kjøre en ondartet binær kalt Code.exe, som installerer et legitimt fjernstyringsverktøy som ConnectWise ScreenConnect og kobler seg til angriperens infrastruktur for vedvarende ekstern tilgang. Utvidelsen har også flere reserve­mekanismer, blant annet ved å laste ned og sideloade en Rust kompilert DLL (DWrite.dll) fra Dropbox. I tillegg inneholder den hardkodede alternative URLer og batch skript som kan hente ondartede komponenter fra andre domener.

Angrepet utnytter Moltbots økende popularitet for å lure utviklere, og kan kompromittere både utviklingsklienter og tilknyttede nettverk. Microsoft har fjernet utvidelsen etter funnene.

Posted by tsoc at 12:17 0 comments

Wednesday, 28 January 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.01.28

Fortinet har utgitt sikkerhetsoppdateringer for CVE-2026-24858 etter at aktiv utnyttelse av FortiOS SSO ble oppdaget. Kritiske sårbarheter i VMware vCenter Server og Cloud Foundation. Hackere bruker Teams til å levere skadelig innhold som utgir seg for å være Microsoft-tjenester.

Fortinet har utgitt sikkerhetsoppdateringer for CVE-2026-24858 etter at aktiv utnyttelse av FortiOS SSO ble oppdaget

Fortinet har utgitt sikkerhetsoppdateringer for en kritisk sårbarhet i FortiOS (CVE-2026-24858, CVSS 9,4) som utnyttes aktivt. Feilen er knyttet til FortiCloud Single Sign-On (SSO) og påvirker FortiOS, FortiManager og FortiAnalyzer.

Sårbarheten kan gjøre det mulig for en angriper med FortiCloud-konto å logge inn på andre kunders enheter dersom FortiCloud SSO er aktivert. SSO er ikke aktivert som standard, men kan være slått på i enkelte miljøer.

Fortinet har bekreftet at trusselaktører har utnyttet sårbarheten til å få uautorisert administrativ tilgang, opprette lokale admin-kontoer, endre konfigurasjoner og hente ut data.

Fortinet har midlertidig deaktivert og deretter gjenaktivert FortiCloud SSO, med krav om oppgradering til siste programvareversjon. Kunder anbefales å oppgradere umiddelbart, kontrollere konfigurasjoner og rotere relevante passord.

CVE-2026-24858 er lagt til CISA sin liste over kjente utnyttede sårbarheter, med frist for utbedring 30. januar 2026.

Anbefaling:

Oppgrader umiddelbart til nyeste firmware på berørte Fortinet-produkter. Deaktiver FortiCloud SSO hvis den ikke er nødvendig, og følg med på mistenkelig admin- og VPN-aktivitet.

Kritiske sårbarheter i VMware vCenter Server og Cloud Foundation

VMware har publisert sikkerhetsoppdateringer for flere alvorlige sårbarheter i vCenter Server som også påvirker VMware Cloud Foundation. To kritiske heap-overflow-sårbarheter (CVE-2024-37079 og CVE-2024-37080) i DCERPC-implementasjonen kan utnyttes av en angriper med nettverkstilgang og kan føre til fjernkjøring av kode. Det er indikasjoner på at CVE-2024-37079 allerede er utnyttet aktivt.

I tillegg er det avdekket en viktig lokal rettighetseskaleringssårbarhet (CVE-2024-37081) som kan gi en lokal, autentisert bruker mulighet til å eskalere privilegier til root på vCenter Server Appliance.

Det finnes ingen fungerende workarounds. VMware anbefaler å oppgradere til fastsatte, korrigerte versjoner så raskt som mulig for å redusere risiko.

Anbefaling:

Oppgrader umiddelbart til anbefalt "Fixed Versions". For vCenter Server-instanser som er eksponert mot internett, anbefales det å fjerne tilgangen umiddelbart frem til oppdatering er gjennomført.

Hackere bruker Teams til å levere skadelig innhold som utgir seg for å være Microsoft-tjenester

En ny sofistikert phishing kampanje utnytter Microsoft Teams sin legitime funksjon «Invite a Guest» for å distribuere ondartet innhold som etterligner Microsoft tjenester. 

Trusselaktørene oppretter falske Teams grupper med villedende navn som imiterer faktureringsvarsler (for eksempel «Subscription Auto-Pay Notice…») og inviterer eksterne brukere. Mottakeren får deretter en e‑post sendt fra en legitim Microsoft adresse som passerer autentiseringskontroller som SPF, DKIM og DMARC, men som inneholder manipulert tekst og et telefonnummer til en falsk supportlinje.

Angrepene har omfattet minst 12 866 phishing meldinger og rundt 6 135 ofre, særlig i USA. Målrettede sektorer inkluderer produksjon, ingeniørarbeid, utdanning, teknologi og profesjonelle tjenester.

Posted by tsoc at 13:39 0 comments

Tuesday, 27 January 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.01.27

Microsoft patcher nulldagssårbarhet som blir aktivt utnyttet.

Microsoft patcher nulldagssårbarhet som blir aktivt utnyttet

Microsoft har gitt ut sikkerhetsoppdateringer for å fikse en aktivt utnyttet nulldagssårbarhet i Microsoft Office som lar angripere omgå sikkerhetsfunksjoner hvis en bruker åpner en ondartet Office fil. Sårbarheten har fått CVE-2026-21509 med score 7.8. For at angrepet skal lykkes må angripere lure brukere til å åpne filer. En midlertidig løsning finnes ved å modifisere enkelte registerverdier, men det anbefales å installere den offisielle oppdateringen for eldre Office versjoner.

Brukere med Office 2021 og nyere får beskyttelse automatisk via en server-side endring fra Microsoft, men må starte Office programmene på nytt for at oppdateringen skal tre i kraft.

Sårbarheter:

Posted by tsoc at 12:32 0 comments

Monday, 26 January 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.01.26

Sårbarheter i FortiCloud-SSO utnyttes framdeles etter patching.

Sårbarheter i FortiCloud-SSO utnyttes framdeles etter patching

Fortinet har bekreftet at sårbarheter i FortiCloud SSO-autentisering (CVE-2025-59718 og CVE-2025-59719, begge med score 9.8) fortsatt kan utnyttes selv på oppdaterte FortiGate-brannmurer. De jobber nå med en komplett utbedring. Angripere har klart å omgå de tidligere utgitte patchene ved å sende manipulerte SAML-meldinger for å få til vellykkede SSO-pålogging uten å ha gyldige legitimasjoner. Etter uautorisert tilgang har de opprettet generiske kontoer, gjort konfigurasjonsendringer som gir VPN-tilgang, og eksfiltrert brannmurkonfigurasjoner.

Fortinet anbefaler å begrense administrativ internettilgang og å midlertidig deaktivere FortiCloud SSO-pålogging som tiltak inntil løsning er ute.

Posted by tsoc at 12:05 0 comments

Friday, 23 January 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.01.23

Cisco fikser aktivt utnyttet Zero-day sårbarhet i Unified CM og Webex. Proxyware skadelig programvare forkledd som Notepad++ verktøy utnytter Windows Utforsker prosessen til å kapre systemer. Ondsinnet PyPI pakke etterligner SymPy og distribuerer XMRig miner på Linux hosts.

Cisco fikser aktivt utnyttet Zero-day sårbarhet i Unified CM og Webex

Cisco har utgitt sikkerhetsoppdateringer for å fikse en kritisk Zero-day sårbarhet (CVE-2026-20045) i flere Unified Communications produkter og Webex Calling Dedicated Instance som har blitt aktivt utnyttet i angrep. Sårbarheten skyldes feil i validering av bruker input i HTTP forespørsler til det web-baserte management grensesnittet, noe som kan tillate en uautentisert angriper å kjøre vilkårlige kommandoer på operativsystemet og deretter eskalere til root rettigheter. Cisco er klar over forsøk på utnyttelse i det fri og anbefaler umiddelbar oppgradering til patchede versjoner da ingen midlertidige "workarounds" finnes. Sårbarheten er lagt til i CISA Known Exploited Vulnerabilities katalogen med krav om patch innen 11. februar 2026 for amerikanske føderale byråer.

Anbefaling:

Oppgrader alle berørte Cisco Unified CM og Webex instanser til de nyeste versjonene som fikser CVE-2026-20045 (inkluderer blant annet 14SU5 og 15SU4 patcher) så snart som mulig. Gjennomgå og sikre at web-baserte management grensesnitt er beskyttet bak brannmurer og ikke offentlig eksponert der det er mulig. Overvåk nettverk og systemer for tegn på tidligere kompromittering før patching.

Sårbarheter:

Proxyware skadelig programvare forkledd som Notepad++ verktøy utnytter Windows Utforsker prosessen til å kapre systemer

En ny, sofistikert proxyware kampanje har blitt oppdaget som utkler skadelig programvare som en legitim Notepad++ installasjon for å infisere brukernes systemer. Trusselaktøren kjent som Larva-25012 bruker falske nedlastingssider og annonser for piratkopiert programvare for å lure ofre til å laste ned pakker som inneholder både en legitim Notepad++ installerer og en skjult skadelig komponent. Når installasjonen kjøres, etablerer skadevare persistens via "Windows Task Scheduler", injiserer seg i kjørende prosesser (f.eks. explorer.exe), og installerer proxyware moduler som Infatica og DigitalPulse for å kapre offerets internettbåndbredde og generere inntekter for angriperen uten brukerens samtykke, en teknikk som kalles proxyjacking. Skadevare komponentene benytter "DLL side-loading", PowerShell skript, og endrer Windows Defender innstillinger for å unngå deteksjon. Distribusjonen har i stor grad blitt sett i Sør-Korea via GitHub hostede MSP/ZIP pakker som inneholder de skadelige filene.

Ondsinnet PyPI pakke etterligner SymPy og distribuerer XMRig miner på Linux hosts

En ondsinnet pakke på Python Package Index (PyPI) ved navn sympy-dev har blitt oppdaget at etterligner det populære biblioteket for matematikk; SymPy for å lure brukere til å installere den. Pakken har blitt lastet ned over 1 100 ganger siden publisering 17. januar 2026 og inneholder modifisert kode som fungerer som en loader for en XMRig cryptocurrency miner på Linux systemer. Den ondsinnede koden aktiveres kun når bestemte funksjoner kalles, henter en konfigurasjon og en ELF payload fra en angriper kontrollert server, og kjører mining prosessen i minnet for å unngå spor på disk. I tillegg kan implantsfunksjonen kjøre vilkårlig annen kode med Python prosessen privilegier. Pakken er fortsatt tilgjengelig på PyPI per nå.

Posted by tsoc at 12:25 0 comments

Thursday, 22 January 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.01.22

Kritiske sårbarheter i samtlige produkter fra Cisco.

Kritiske sårbarheter i samtlige produkter fra Cisco

Adminpanelet til flere Cisco Unified Communications-produkter har en sårbarhet som Cisco selv klassifiserer som kritisk. Sårbarheten gir en angriper og mulighet til å elevere privilegier til tilsvarende root og kjøre kommandoer som root på det underliggende operativsystemet. Sårbarheten har fått CVSS score 8.2.

Utnyttelse krever at adminpanelet kan nås fra nettverket.

Svakheten ligger i manglende validering av HTTP-spørringer til den underliggende serveren, noe som gjør at autentisering ikke kreves.

Merk at versjon 12 av berørte produkter ikke lenger er støttet og vil IKKE få oppdatering som løser sårbarheten.

Følgende Cisco produkter er sårbare:

  • Unified CM

  • Unified CM SME

  • Unified CM IM&P

  • Unity Connection

  • Webex Calling Dedicated Instance

Anbefaling:

Oppdater til minst følgende versjoner: 14SU5, 5SU4 (Mar 2026). Sørg for at adminpanel ikke er eksponert mot internett, helst bør tilgang begrenses til faste og dedikerte interne IP’er. Det anbefales også å skjerme adminpanelet med VPN-tilgang som en ekstra sikkerhet. Sørg for at adminpanelet IKKE kan nå ikke-relevane enheter på nettverket for å forhindre sideveis-forflytning.

Sårbarheter:

Posted by tsoc at 15:20 0 comments

Wednesday, 21 January 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.01.21

Vedrørende tidligere utsending idag. Fake ad blocker utvidelse krasjer nettleseren for ClickFix-angrep. Ny phishing-kampanje utnytter LinkedIn-meldinger for å spre skadevare.

Vedrørende tidligere utsending idag

Telenor Cyberdefence beklager feilutsendingen av nyhetsbrevet tidligere i dag, her kommer dagens nyhetsbrev.

Fake ad blocker utvidelse krasjer nettleseren for ClickFix-angrep

En ondartet malvertising-kampanje har brukt en falsk Chrome/Edge utvidelse kalt NexShield som utgir seg for å være en annonse og sporingsblokker. Utvidelsen krasjer brukernes nettleser gjennom en ressursutarming (DoS) ved å åpne utallige interne tilkoblinger, og når nettleseren starter på nytt vises et falskt varsel om «unormalt stopp» og en anbefaling om å utføre en «scan».

Hvis brukeren følger instruksjonene og limer inn kommandoen som ligger i utklippstavlen, kjøres en skjult PowerShell-kommando som laster ned og kjører skadelig kode. For domenetilknyttede (enterprise) maskiner installeres en Python basert remote access trojan kalt ModeloRAT, som kan utføre systemreconnaissance, kjøre kommandoer, endre register, hente inn flere payloads og oppdatere seg selv.

Denne kampanjen er en variant av ClickFix angrep som er blitt døpt CrashFix, og den tilskrives trusselaktøren kjent som KongTuke. Utvidelsen er fjernet fra Chrome Web Store, men brukere som har installert den må gjennomføre full systemrens siden fjerning av utvidelsen ikke sletter alle infiserte komponenter.

Ny phishing-kampanje utnytter LinkedIn-meldinger for å spre skadevare

Sikkerhetsforskere hos ReliaQuest har avdekket en ny phishing-kampanje som bruker private meldinger på LinkedIn til å spre ondartet programvare.

Trusselaktører tar kontakt med personer i nøkkelposisjoner via LinkedIn, bygger tillit, og lurer dem til å laste ned en infisert WinRAR-fil. Når filen åpnes, installeres en legitim PDF-leser sammen med en ondartet DLL-fil som kjører i bakgrunnen. Angriperne bruker deretter en Python-tolker til å etablere vedvarende fjerntilgang til systemet.

I motsetning til e-post, der de fleste organisasjoner har sikkerhetsverktøy på plass, mangler sosiale medier ofte samme overvåking. Dette gjør direktemeldinger til en attraktiv kanal for angripere som ønsker å omgå tradisjonelle sikkerhetskontroller.

Kampanjen ser ut til å være bred og opportunistisk, rettet mot flere bransjer og regioner. Når angriperne først har fått tilgang, kan de eskalere privilegier, bevege seg lateralt i nettverket og eksfiltrere data.

Posted by tsoc at 13:12 0 comments

Monday, 19 January 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.01.19

Kritisk sikkerhetssårbarhet i WordPress-plugin utnyttes aktivt.

Kritisk sikkerhetssårbarhet i WordPress-plugin utnyttes aktivt

En kritisk sikkerhetssårbarhet i WordPress-pluginen Modular DS utnyttes nå aktivt av angripere, ifølge sikkerhetsselskapet Patchstack.

Sårbarheten (CVE-2026-23550) har fått høyeste alvorlighetsgrad (CVSS 10.0) og gjør det mulig for uautentiserte angripere å få administratortilgang til nettsteder. Feilen finnes i alle versjoner til og med 2.5.1, og er rettet i versjon 2.5.2. Over 40 000 nettsteder bruker pluginen.

Problemet skyldes flere designvalg som sammen skaper en sikkerhetssårbarhet: Et «direct-request»-modus kan omgå autentisering ved å legge til spesifikke parametere i URL-en. Dette gir tilgang til sensitive funksjoner som innlogging og systemdata.

Angrepene ble først oppdaget 13. januar 2026, der hackere forsøkte å opprette admin-brukere via sårbare endepunkter.

Anbefaling:

Brukere oppfordres til å oppdatere umiddelbart og sjekke om nettsteder er kompromittert ved å se etter ukjente admin-kontoer eller mistenkelig aktivitet.

Sårbarheter:

Posted by tsoc at 13:14 0 comments

Friday, 16 January 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.01.16

Kritisk sårbarhet i FortiOS/FortiSwichManager. Ny StackWarp sårbarhet truer konfidensielle VM-er på AMD plattformer.

Kritisk sårbarhet i FortiOS/FortiSwichManager

Fortinet har varslet om en alvorlig sårbarhet i FortiOS og FortiSwitchManager som kan gjøre det mulig for en angriper å kjøre kode på sårbare enheter. Sårbarheten krever tilgang til cw_acd-daemonen, som ofte er eksponert på UDP-portene 5246–5249. Det finnes per nå ingen kjente aktive angrep eller offentlig tilgjengelig utnyttelseskode.

Berørte produkter må oppdateres til faste versjoner for å lukke sårbarheten (se under Tiltak).

Internetteksponerte instanser bør oppdateres senest 18. januar 2026, og øvrige instanser senest 29. januar 2026.

På bakgrunn av sårbarhetens alvorlighetsgrad vurderes det som mulig at den vil bli utnyttet over tid dersom tiltak ikke gjennomføres.

Anbefaling:

Sårbarheten lukkes i følgende versjoner av FortiOS:  -7.6.4  - 7.4.9  - 7.2.12  - 7.0.18  - 6.14.17 Sårbarheten lukkes i følgende versjoner av FortiSwitchManager:  - 7.2.7  - 7.0.6

Ny StackWarp sårbarhet truer konfidensielle VM-er på AMD plattformer

Sikkerhetsforskere har funnet en ny sårbarhet, kalt StackWarp, som rammer AMD prosessorer basert på Zen arkitekturen (Zen 1–Zen 5). Sårbarheten kan gjøre det mulig å bryte beskyttelsen i konfidensielle virtuelle maskiner (VM-er) som bruker AMD Secure Encrypted Virtualization med Secure Nested Paging (SEV-SNP).

Feilen ligger i hvordan prosessoren håndterer stack operasjoner. En angriper som har kontroll over den fysiske serveren kan i enkelte tilfeller påvirke kjøringen av en VM, og oppnå høyere rettigheter eller kjøre egen kode inne i VM-en. Det er per nå ingen kjente aktive angrep eller offentlig tilgjengelig angrepskode.

AMD er gjort kjent med sårbarheten, som er registrert som CVE-2025-29943, og har publisert sikkerhetsoppdateringer. Selv om angrep krever høy tilgang, vurderes det som mulig at sårbarheten kan bli utnyttet over tid dersom oppdateringer ikke installeres.

Anbefalinger:

Virksomheter som bruker AMD baserte servere med konfidensielle VM-er bør sørge for at mikrokode, firmware og andre systemoppdateringer er oppdatert i tråd med leverandørens anbefalinger. Det bør også avklares med sky leverandører at nødvendige tiltak er på plass.

Sårbarheter:

Posted by tsoc at 12:01 0 comments

Thursday, 15 January 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.01.15

Fortinet fikser kritisk FortiSIEM feil som tillater uautorisert ekstern kjøring av kode.

Fortinet fikser kritisk FortiSIEM feil som tillater uautorisert ekstern kjøring av kode

Fortinet har utgitt sikkerhetsoppdateringer for å fikse en kritisk sårbarhet i FortiSIEM som kan tillate en uatentisert angriper å kjøre vilkårlig kode på sårbare systemer. Sårbarheten, CVE-2025-64155, er en OS-kommando injeksjonsfeil med CVSS-score på 9.4 (Critical), og påvirker Super og Worker noder i FortiSIEM. Angripere kan sende manipulerte TCP forespørsler til phMonitor tjenesten (port 7900) som ikke krever autentisering, og dermed skrive filer som kan gi remote code execution (RCE) og root tilgang. Fortinet har utgitt fiks for en rekke versjoner (6.7.0–7.4.0), og anbefaler oppgradering til sikre versjoner samt å begrense tilgang til phMonitor porten som en midlertidig mitigering. Fortinet har også sendt ut fiks for en annen kritisk sårbarhet i FortiFone (Fortinet har også levert rettelser for et annet kritisk sikkerhetsproblem i FortiFone (CVE-2025-47855, CVSS-score: 9.3).

Anbefaling:

Oppgrader FortiSIEM til de nyeste versjonene som har fikset sårbarheten (f.eks. 7.1.9+, 7.2.7+, 7.3.5+, 7.4.1+). Begrens nettverkstilgang til phMonitor porten (TCP 7900) for kun betrodde interne systemer som midlertidig tiltak. Begrens nettverkstilgang til phMonitor-porten (TCP 7900) for kun betrodde interne systemer som midlertidig tiltak..

Posted by tsoc at 12:30 0 comments

Wednesday, 14 January 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.01.14

Microsoft sikkerhetsoppdateringer Tirsdag – Januar 2026: 114 sårbarheter med 3 nulldagssårbarhet fikset.

Microsoft sikkerhetsoppdateringer Tirsdag – Januar 2026: 114 sårbarheter med 3 nulldagssårbarhet fikset

Microsoft har utgitt sin første månedlige sikkerhetsoppdatering for 2026 den 13. januar. Dette inkluderer sikkerhetsoppdateringer som retter 114 sårbarheter i Windows og andre produkter, inkludert tre null-dagssårbarheter. Blant disse er CVE-2026-20805 aktivt utnyttet, og to (CVE-2026-21265, CVE-2023-31096) er offentlig kjente. Oppdateringene inneholder også åtte kritiske feil som tillot ekstern kjøring av kode og privilegie eskalering.

Anbefaling:

Microsoft anbefaler å installere disse oppdateringene så snart som mulig, spesielt på systemer som er utsatt for nettverkseksponering eller kjører kritiske tjenester.

Posted by tsoc at 12:30 0 comments

Tuesday, 13 January 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.01.13

CISA legger til ny aktivt utnyttet sårbarhet i KEV-katalogen.

CISA legger til ny aktivt utnyttet sårbarhet i KEV-katalogen

CISA har lagt til en ny sårbarhet i sin Known Exploited Vulnerabilities (KEV) katalog. Sårbarheten, CVE-2025-8110, påvirker Gogs og er en path traversal-sårbarhet som er blitt observert utnyttet av ondsinnede aktører. Sårbarheten stammer fra en feil håndtering av symbolske lenker i PutContents API i Gogs, som da tillater lokal kjøring av kode. Videre oppfordrer CISA alle typer virksomheter til å gjøre nødvendige tiltak for å minimere eksponering for cyberangrep.

Anbefaling:

Det anbefales å ta i bruk mitigeringer i henhold til leverandørens instruksjoner, og følge gjeldende BOD 22-01-veiledning for skytjenester. Ellers bør man vurdere å avbryte bruken av produktet om tiltakene for mitigering ikke er mulig.

Sårbarheter:

Posted by tsoc at 13:52 0 comments

Monday, 12 January 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.01.12

Alvorlig sårbarhet i Pakkebehandleren pnpm. BreachForums-database lekket – 324 000 kontoer eksponert.

Alvorlig sårbarhet i Pakkebehandleren pnpm

En sårbarhet i pnpm v10.0.0–10.25 gjør det mulig for git-baserte avhengigheter å kjøre kode under installasjon og omgå innebygde sikkerhetsmekanismer. Dette kan føre til ekstern kodekjøring uten godkjenning.

Anbefaling:

Anbefalt tiltak er å oppgradere til pnpm 10.26.0 eller nyere.

Sårbarheter:

BreachForums-database lekket – 324 000 kontoer eksponert

Hackerforumet BreachForums har fått sin database lekket med 324 000 kontoer, inkludert brukernavn, IP-adresser og registreringsdatoer.

Lekkasjen stammer fra en gammel backup som ble publisert av gruppen "ShinyHunters" og inneholder også en kompromittert PGP-nøkkel. Over 70 000 innlegg har ekte IP-adresser som kan avsløre brukerene sin lokasjon og utgjør en stor OPSEC-risiko. Administratoren hevder at lekkasjen ikke skyldes et nytt angrep, men en feil under "restore" fra backup etter tidligere beslag av forumets domener.

Hendelsen har fornyet spekulasjoner om forumets sikkerhet og mulige myndighetskontroll. BreachForums har tidligere vært knyttet til store datainnbrudd og utpressingsaksjoner.

Posted by tsoc at 12:09 0 comments

Friday, 9 January 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.01.09

Ny sårbarhet i Cisco Identity Service Engine og ISE Passive I dentity Connector.

Ny sårbarhet i Cisco Identity Service Engine og ISE Passive I dentity Connector

Cisco har utgitt sikkerhetsoppdateringer for en sårbarhet (CVE-2026-20029) i Identity Services Engine (ISE) og ISE Passive Identity Connector, som kan utnyttes av angripere med administratorrettigheter til å lese sensitive filer på systemet via manipulert XML‑behandling. Selv om det ikke finnes tegn til aktiv utnyttelse, er det publisert fungerende angrepskode, og Cisco anbefaler på det sterkeste å oppgradere til versjoner hvor sårbarheten er patchet.

Selskapet har samtidig rettet flere IOS XE‑sårbarheter og minner om tidligere kritiske ISE‑ og AsyncOS‑zero‑days som har vært aktivt utnyttet av trusselaktører, inkludert en kinesisk gruppe. Inntil enkelte ventende sikkerhetsoppdateringer er klare, råder Cisco kunder til å begrense tilgang og sikre utsatte enheter bak brannmurer.

Posted by tsoc at 13:04 0 comments

Thursday, 8 January 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.01.08

Kritisk sårbarhet i n8n (CVSS 10.0) lar uautoriserte angripere ta full kontroll. Kritisk sårbarhet i HPE OneView blir aktivt utnyttet i angrep . Telenor Cyberdefence sin kvartalsrapport for Q4 2024.

Kritisk sårbarhet i n8n (CVSS 10.0) lar uautoriserte angripere ta full kontroll

En ny kritisk sårbarhet i n8n gjør det mulig for uautentiserte angripere å oppnå full kontroll over sårbare installasjoner. Sårbarheten er registrert som CVE-2026-21858 og har en CVSS-score på 10.0.

Feilen skyldes en svakhet i håndteringen av form-baserte webhooks, der manglende validering av "Content-Type" gjør det mulig å manipulere filbehandling. Dette kan utnyttes til å lese vilkårlige filer, hente sensitive hemmeligheter, omgå autentisering og videre eskalere til vilkårlig kommandoeksekvering.

Sårbarheten inngår i en rekke nylig offentliggjorte kritiske feil i n8n. De siste to ukene har plattformen fikset flere alvorlige sårbarheter, inkludert CVE-2025-68613 og CVE-2025-68668 (N8scape), som muliggjorde fjernkodeeksekvering for autentiserte brukere, samt CVE-2026-21877, en kritisk feil i filopplasting som kunne føre til full kompromittering av instanser.

I motsetning til disse krever CVE-2026-21858 ingen autentisering, noe som øker risikoen betydelig.

Feilen berører alle versjoner til og med 1.65.0, og er fikset i versjon 1.121.0, publisert 18. november 2025. Nyere versjoner i både 1.x- og 2.x grenene er ikke påvirket.

Brukere anbefales å oppgradere umiddelbart og sikre at Forms og webhooks ikke er eksponert uten autentisering.

Sårbarheter:

Kritisk sårbarhet i HPE OneView blir aktivt utnyttet i angrep

CISA advarer om at en kritisk sårbarhet i HPE OneView (CVE‑2025‑37164) nå aktivt utnyttes i angrep. Feilen, som påvirker alle versjoner før 11.00, gjør det mulig for uautentiserte angripere å oppnå fjernkjøring av kode gjennom en enkel injeksjonsmetode. HPE har ingen midlertidige tiltak og ber alle kunder oppgradere til versjon 11.00 umiddelbart.

Sårbarheten er lagt til i CISA sin katalog over aktivt utnyttede svakheter, og amerikanske føderale etater må sikre systemene sine innen 28. januar. CISA oppfordrer også private virksomheter til å oppdatere raskt, ettersom slike svakheter ofte brukes av ondsinnede aktører. Dette kommer i kjølvannet av flere andre sikkerhetsproblemer hos HPE det siste året, inkludert hardkodede brukerdetaljer og flere alvorlige sårbarheter i andre produkter.

Sårbarheter:

Telenor Cyberdefence sin kvartalsrapport for Q4 2024

Telenor Cyberdefence sin kvartalsrapport for Q4 2024 er klar og ligger på TCD sin nettside.

Høydepunkter er:

Angrepene er mer målrettede, utnytter identitet, mennesker og skaleres med AI.

Fra avansert phishing som omgår MFA, til forsyningskjedeangrep og nye AI sårbarheter, dette er ikke enkeltstående hendelser, men et mønster vi ser daglig i vårt sikkerhetssenter.

Posted by tsoc at 12:00 0 comments

Wednesday, 7 January 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.01.07

ClickFix-angrep bruker falske Windows BSOD-skjermer for å presse brukere til å kjøre malware. Cloud-fildelingstjenester målrettet for bedriftsdatatyveri. Ny D-Link sårbarhet i legacy DSL rutere.

ClickFix-angrep bruker falske Windows BSOD-skjermer for å presse brukere til å kjøre malware

En ny kampanje i ClickFix-serien (sporet som PHALT#BLYX) retter seg mot hotell- og serveringsbransjen i Europa ved å sende phishing-eposter som utgir seg for å være fra Booking.com med en falsk kansellerings- eller refusjonsmelding. Når mottakeren klikker lenken, blir de ført til en svært realistisk kopi av Booking.com-nettsiden hvor et script først viser en «loading-feil» og deretter en fullskjerm «falsk Windows BSOD». Dette skaper illusjonen av et systemkrasj og oppfordrer brukeren til å åpne Kjør-dialogen (Windows Run), lime inn og kjøre en kommando. Kommandoen laster ned og kompilerer et .NET-prosjekt via den legitime MSBuild.exe, som deretter installerer malware (DCRAT) ved å legge til unntak i Windows Defender, etablere persistens og åpne en bakdør for fjernkontroll, keylogging og ekstra last ned (inkludert kryptominer). Angrepet utnytter sosiale ingeniørteknikker for å få brukeren til manuelt å kjøre skadelig kode selv

Cloud-fildelingstjenester målrettet for bedriftsdatatyveri

: En trusselaktør kjent som Zestix (og også identifisert som Sentap i enkelte rapporter) tilbyr å selge stjålne bedriftsdata fra dusinvis av organisasjoner etter å ha skaffet seg tilgang til skybaserte fil-delingstjenester som ShareFile, Nextcloud og OwnCloud. Ifølge etterforskning fra Hudson Rock er den sannsynlige tilgangsmetoden bruk av stjålne brukerlegitimasjoner hentet via info-stjeler-malware som RedLine, Lumma og Vidar, som ofte distribueres via malvertising og phishing-kampanjer. Angripere har brukt disse stjålne legitimasjonene til å logge inn på målte systemer – spesielt der flerefaktorautentisering (MFA) ikke er aktivert – og har lastet ned store mengder sensitive filer som de nå tilbyr på undergrunnsmarkeder. Tjenestene selv er ikke nødvendigvis sårbare i seg selv; problemet ligger i kompromitterte legitimasjoner og dårlig sikkerhetshygiene i organisasjoner.

Ny D-Link sårbarhet i legacy DSL rutere

En nylig oppdaget sårbarhet, CVE‑2026‑0625, gjør det mulig for uautentiserte angripere å utføre kommandoinjeksjon på flere eldre D‑Link DSL rutere via dnscfg.cgi endepunktet.

Sårbarheten ble rapportert etter at Shadowserver oppdaget et uvanlig angrepsforsøk, og D‑Link har bekreftet at flere modeller som har vært end‑of‑life siden 2020 er berørt og ikke vil få sikkerhetsoppdateringer. Selskapet undersøker fortsatt om flere produkter påvirkes, men variasjoner i firmware gjør kartleggingen vanskelig. Angrep krever vanligvis LAN‑tilgang eller at ruteren er konfigurert for ekstern administrasjon.

Brukere anbefales å erstatte EoL‑enheter eller isolere dem i ikke‑kritiske nettverk med strengere sikkerhetsoppsett.

Sårbarheter:

Posted by tsoc at 12:31 0 comments

Tuesday, 6 January 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.01.06

Kritisk "vilkårlig kommandoeksekvering" sårbarhet i n8n.

Kritisk "vilkårlig kommandoeksekvering" sårbarhet i n8n

En kritisk sårbarhet (CVE-2025-68668) er avdekket i n8n, en populær åpen kildekode-plattform for arbeidsflytautomatisering.

Sårbarheten har en CVSS-score på 9,9 og skyldes en svikt i beskyttelsesmekanismer, som gjør det mulig for en autentisert angriper med rettigheter til å opprette eller endre arbeidsflyter å kjøre vilkårlige systemkommandoer på vertssystemet. Feilen berører versjoner fra 1.0.0 til før 2.0.0, og er rettet i versjon 2.0.0. Midlertidige tiltak inkluderer å deaktivere Code Node, slå av Python-støtte, eller aktivere task runner-basert Python-sandbox.

Organisasjoner som benytter n8n bør umiddelbart oppgradere til siste versjon og vurdere anbefalte mitigeringer for å redusere risikoen.

Sårbarheter:

Posted by tsoc at 12:07 0 comments

Monday, 5 January 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.01.05

Nettkriminelle misbruker Google Cloud Email funksjonen i flertrinns phishing kampanje. Over 10 000 Fortinet brannmurer eksponert og aktivt utnyttet via 2FA-bypass sårbarhet. Ny VVS Discord infostealer.

Nettkriminelle misbruker Google Cloud Email funksjonen i flertrinns phishing kampanje

Sikkerhetsforskere har avslørt en omfattende phishing kampanje der angripere misbruker Google Cloud Application Integration sin e-post funksjon for å sende ut falske e-poster som ser ut som legitime varsler fra Google. E-postene blir sendt fra en ekte Google adresse (noreply-application-integration@google.com), noe som gjør at de omgår vanlige e-post filtre og autentiseringssjekker som SPF og DMARC og i stor grad havner i brukernes innbokser. Meldingen inneholder typiske bedriftsvarsler (som voicemail eller tilgang til delte filer) med lenker som leder brukeren gjennom flere omdirigeringer, inkludert en falsk CAPTCHA side, før de ender på en falsk Microsoft påloggingsside som stjeler brukerdetaljer. Kampanjen har sendt nesten 9 400 phishing-eposter til ca. 3 200 organisasjoner globalt i løpet av en 14-dagers periode i desember 2025, målrettet mot flere sektorer som produksjon, teknologi, finans, profesjonelle tjenester og detaljhandel. Google har blokkert misbruket og jobber med ytterligere tiltak.

Over 10 000 Fortinet brannmurer eksponert og aktivt utnyttet via 2FA-bypass sårbarhet

Over 10 000 Fortinet brannmur instanser er fortsatt eksponert på internett og sårbare for angrep som utnytter en kritisk 2FA-bypass sårbarhet (CVE-2020-12812) som ble oppdaget for fem år siden. Sårbarheten, med alvorlighetsgrad 9,8/10, gjør det mulig for angripere å logge inn uten å bli bedt om flerfaktorautentisering ved å endre brukernavnets store/små bokstaver. Selv om Fortinet lanserte sikkerhetsoppdateringer i 2020, viser nyere analyser at sårbarheten fortsatt misbrukes, spesielt på enheter med LDAP aktivert.

Shadowserver rapporterer at over 10 000 enheter er ubeskyttet, og sårbarheten har tidligere vært brukt i ransomware-angrep og av statssponsede aktører. Fortinet produkter er ofte mål for angrep, inkludert nyere nulldagssårbarheter, noe som understreker behovet for rask patching og streng konfigurasjonskontroll.

Ny VVS Discord infostealer

En ny Python-basert infostealer kalt VVS Stealer er avdekket, designet for å stjele Discord tokens, kontodata og nettleserinformasjon fra Chromium og Firefox baserte nettlesere, samt ta skjermbilder.

Skadelig programvare distribueres som en PyInstaller pakke og benytter Pyarmor for obfuskering, noe som gjør den vanskelig å analysere og oppdage. VVS Stealer setter opp persistens via Windows Startup og bruker falske feilmeldinger for å lure brukere til omstart. Den kan også utføre Discord injeksjon ved å terminere applikasjonen og laste ned et obfuskert JavaScript payload for å overvåke trafikk via Chrome DevTools Protocol.

Skadevaren markedsføres på Telegram med fleksible abonnementsløsninger, noe som senker terskelen for anskaffelse og øker tilgjengeligheten for trusselaktører. Denne trenden viser økende bruk av avansert obfuskering og legitime verktøy til å lage stealthy malware.

Posted by tsoc at 12:06 0 comments

Friday, 2 January 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.01.02

«Zoom Stealer» utvidelser for nettlesere samler inn bedriftsrelatert møteinformasjon.

«Zoom Stealer» utvidelser for nettlesere samler inn bedriftsrelatert møteinformasjon

En ny kampanje kalt Zoom Stealer har kompromittert over 2,2 millioner brukere av Chrome, Firefox og Edge gjennom 18 nettleserutvidelser som samler inn data fra videomøter, inkludert møtelenker, ID-er, emner, beskrivelser og innebygde passord.

Kampanjen er knyttet til en kinesisk trusselaktør, DarkSpectre, som også står bak tidligere angrep som GhostPoster og ShadyPanda. Utvidelsene fungerer som lovede verktøy (f.eks. videoopptak og nedlasting), men ber om omfattende tilgang til 28 videokonferanseplattformer som Zoom, Teams og Google Meet. Dataene eksfiltreres i sanntid via WebSocket og kan brukes til bedriftsespionasje, sosial manipulering og salg av møtelenker. Flere av utvidelsene er fortsatt tilgjengelige i Chrome Web Store.

Det anbefales å gjennomgå bruk av nettleserutvidelser, begrense til nødvendige minimum og vurdere strengere kontroll for å redusere risikoen for lekkasje av konfidensiell møteinformasjon.

Posted by tsoc at 13:02 0 comments
Subscribe to: Comments (Atom)
 
>