Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Tuesday, 30 June 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.30

SimpleHelp sårbarhet utnyttes til å spre ny Djinn Stealer. Ny angrepsmetode mot Claude Code kan gi angripere full kontroll over brukerens systemer.


SimpleHelp sårbarhet utnyttes til å spre ny Djinn Stealer

Trusselaktører utnytter den kritiske SimpleHelp-sårbarheten CVE-2026-48558 for å få uautorisert tilgang til sårbare servere og opprette høyt privilegerte kontoer. Sårbarheten rammer SimpleHelp installasjoner som benytter OpenID Connect (OIDC), og rundt 1 000 internetteksponerte servere ble identifisert som sårbare da feilen ble offentliggjort.

I et angrep analysert av Blackpoint Cyber brukte angriperne den kompromitterte serveren til å distribuere den nye skadevarekjeden TaskWeaver og Djinn Stealer. TaskWeaver fungerer som en loader som henter og kjører ytterligere moduler fra angripernes C2-infrastruktur, mens Djinn Stealer samler inn sensitiv informasjon fra Windows, macOS og Linux systemer.

Djinn Stealer er spesielt rettet mot utviklermiljøer og forsøker å stjele skytjenestelegitimasjon, Git og SSH nøkler, Docker og Terraform konfigurasjoner, autentiseringstokener, nettleserdata samt kryptovaluta lommebøker. Skadevaren har også særskilt fokus på AI utviklingsverktøy og MCP konfigurasjoner, noe som kan gi angripere tilgang til kildekode, skymiljøer, databaser og interne APIer via stjålne AI assistentidentiteter.

Anbefaling:

Organisasjoner som bruker SimpleHelp bør oppdatere til nyeste versjon umiddelbart, gjennomgå aktive sesjoner og rotere passord, API nøkler og andre legitimasjoner dersom kompromittering mistenkes. Blackpoint har også publisert indikatorer på kompromittering (IoC) knyttet til kampanjen.

Sårbarheter:

Ny angrepsmetode mot Claude Code kan gi angripere full kontroll over brukerens systemer

Forskere fra Mozilla Zero Day Investigative Network (0DIN) har demonstrert et proof of concept angrep som viser hvordan et tilsynelatende legitimt GitHub repositorium kan få AI baserte kodeassistenter som Claude Code til å åpne et reverse shell på utviklerens maskin. Angrepet benytter indirekte prompt injection, der ondsinnede instruksjoner leveres via eksternt innhold i stedet for gjennom brukerens forespørsel. Angrepskjeden består av et legitimt utseende repositorium, en Python pakke som bevisst feiler og ber om initialisering, samt et oppsettsskript som henter en Base64 kodet nyttelast fra en DNS TXT post og sender den direkte til bash for kjøring. Når utvikleren ber Claude Code om å sette opp prosjektet, utfører agenten oppsettstrinnene automatisk, henter DNS innholdet og etablerer et reverse shell med utviklerens brukerrettigheter. Dette gir angriperen tilgang til miljøvariabler, API nøkler, GitHub tokener, skylagringslegitimasjon og mulighet til å etablere vedvarende tilgang. Artikkelen opplyser at samme angrepsmønster kan påvirke andre agentbaserte kodeverktøy, blant annet Cursor og Gemini CLI, og viser til tidligere lignende teknikker brukt i CVE-2025-55284.

Anbefaling:

Bruk sandbox issolerte utviklingsmiljøer for ukjente prosjekter og innfør transparens i kjørekjeder for AI agenter som automatisk utfører oppsettsskript.

Sårbarheter:

Monday, 29 June 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.29

Ny Linux "pedit COW" sårbarhet muliggjør root tilgang ved korrupsjon av cachede binærfiler. GitHub-repo kan lure AI kodeagenter til å kjøre skjult skadevare. Angrep via falske OpenAI organisasjoner retter seg mot sikkerhetsselskaper. DirtyClone sårbarhet i Linux gir lokal root tilgang via klonede nettverkspakker. Amazon Q sårbarhet ga kodekjøring og tilgang til skymiljøer.


Ny Linux "pedit COW" sårbarhet muliggjør root tilgang ved korrupsjon av cachede binærfiler

En sårbarhet i Linux kjernens trafikkontrollsubsystem gjør det mulig for en lokal uprivilegert bruker å oppnå root rettigheter på berørte systemer. Sårbarheten, CVE-2026-46331, kalt "pedit COW", er en out-of-bounds write i pakkeredigeringsfunksjonen act_pedit som korrumperer delt page cache-minne. Angrepet endrer den cachede kopien av en setuid binær, for eksempel /bin/su, i minnet uten å endre filen på disk, slik at filintegritetskontroller fortsatt viser at filen er uendret samtidig som den modifiserte binæren kjøres med root rettigheter. Utnyttelsen krever at act_pedit-modulen kan lastes og at uprivilegerte user namespaces er aktivert, slik at angriperen får CAP_NET_ADMIN i sitt navnerom. Artikkelen opplyser at en offentlig fungerende proof-of-concept (PoC) ble publisert dagen etter at CVE ble tildelt, og at RHEL 10 og Debian 13 er bekreftet sårbare under standardkonfigurasjon.

Anbefaling:

Installer oppdatert Linux kjerne og start systemet på nytt. Dersom oppdatering ikke er mulig, deaktiver act_pedit eller uprivilegerte user namespaces dersom dette er forenlig med driftsmiljøet.

Sårbarheter:

GitHub-repo kan lure AI kodeagenter til å kjøre skjult skadevare

Eksperter fra Mozillas Zero Day Investigative Network (0DIN) har demonstrert en ny angrepsmetode der et tilsynelatende legitimt GitHub repositorium kan få AI baserte kodeagenter til å kjøre ondsinnet kode uten at det oppdages. Repositoriet inneholder ingen synlig skadevare, og verken sikkerhetsverktøy, AI agenter eller utviklere får tydelige varsler.

Angrepet utnytter en kjede av tilsynelatende legitime steg. Et normalt oppsett med installasjonsinstruksjoner, en Python pakke som bevisst feiler og ber om initialisering, og en kommando som henter data fra en DNS TXT record kontrollert av angriperen. AI agenten tolker feilen som et vanlig oppsettproblem og kjører automatisk kommandoen som til slutt leverer et skjult payload.

Dersom angrepet lykkes, får angriperen et interaktivt shell med samme rettigheter som utvikleren. Dette kan gi tilgang til miljøvariabler, API nøkler og lokale konfigurasjoner, samt mulighet for videre kompromittering og persistens. Metoden krever ingen eksplisitt exploit kode i repositoriet, siden angrepets logikk er spredd over flere lag som hver for seg virker ufarlige.

Selv om konseptet foreløpig er demonstrert i et kontrollert scenario, advarer eksperter om at slike repositorier enkelt kan spres via for eksempel jobbannonser, guider eller meldinger til utviklere. De anbefaler bedre transparens i AI agenter, spesielt rundt hvilke kommandoer og eksterne ressurser som faktisk kjøres under oppsett.

Anbefaling:

Verifiser kilder før kjøring av kode, begrens automatiske handlinger i AI verktøy, og gjennomgå alle init og setup steg manuelt ved bruk av tredjeparts kode.

Angrep via falske OpenAI organisasjoner retter seg mot sikkerhetsselskaper

Trusselaktører oppretter falske OpenAI organisasjoner som utgir seg for legitime selskaper, og inviterer ansatte til å bli med. Invitasjonene sendes fra OpenAIs legitime e-postadresse og passerer autentisering, noe som gjør dem svært troverdige og vanskelig å oppdage som phishing.

Kampanjen, omtalt som “Poisoned Tenant”, ble avdekket av Push Security etter at ansatte mottok invitasjoner til en falsk organisasjon som utga seg for deres eget selskap. Angriperne hadde kartlagt spesifikke ansatte og gitt dem administrative rettigheter, noe som gir full tilgang i tenantet. Selv om OpenAI viser en advarsel om at domenet ikke samsvarer med selskapet, er denne lett å overse i invitasjonen.

Formålet ser ut til å være datainnsamling. Ved å få ansatte til å bruke den falske ChatGPT arbeidsflaten, kan angriperne få tilgang til sensitive data som kildekode, interne dokumenter og kundedata via prompts og prosjekter. Angrepet skiller seg fra tradisjonell phishing ved at det utnytter legitime SaaS unksjoner, noe som gjør det mer sannsynlig å omgå sikkerhetskontroller.

Anbefaling:

Verifiser uventede invitasjoner til organisasjoner, overvåk medlemskap i SaaS plattformer, og øk bevisstheten rundt denne typen sosial manipulering.

DirtyClone sårbarhet i Linux gir lokal root tilgang via klonede nettverkspakker

En ny lokal privilegieeskaleringssårbarhet i Linux kjernen, kalt DirtyClone, gjør det mulig for uprivilegerte lokale brukere å oppnå root tilgang ved å manipulere klonede nettverkspakker gjennom XFRM/IPsec subsystemet. Sårbarheten påvirker funksjonen __pskb_copy_fclone(), som mister sikkerhetsflagget SKBFL_SHARED_FRAG under pakkekloning, noe som fører til feil håndtering av sidebufferminne (page cache). Angrepet utnytter en kjede med vmsplice, splice, netfilter TEE og IPsec dekryptering for å overskrive den minnebaserte kopien av en privilegert binærfil uten å endre filen på disk eller etterlate spor i kjernelogger eller revisjonslogger. Berørte systemer omfatter blant annet Debian og Fedora med aktiverte uprivilegerte navnerom som standard, mens Ubuntu 24.04+ har delvis begrensning via AppArmor. Feilen er rettet i Linux v7.1-rc5 og gjennom tilbakeporterte oppdateringer til vedlikeholdte kjerner.

Anbefaling:

Oppdater Linux kjernen til v7.1-rc5 eller installer distribusjonens tilbakeporterte oppdatering for CVE-2026-43503. Dersom oppdatering ikke er mulig umiddelbart, begrens uprivilegerte navnerom, svartelist modulene esp4, esp6 og rxrpc dersom IPsec ikke brukes, og tøm sidebufferen etter at tiltakene er innført.

Amazon Q sårbarhet ga kodekjøring og tilgang til skymiljøer

En sårbarhet med høy alvorlighetsgrad i Amazon Q Developer utvidelsen gjorde det mulig å kjøre vilkårlig kode og hente ut sky-brukerdetaljer når en utvikler åpnet et kompromittert kodearkiv. Feilen skyldtes at Amazon Q automatisk lastet MCP konfigurasjoner fra .amazonq/mcp.json uten brukerens samtykke eller kontroll av om arbeidsområdet var tillitsverdig, samtidig som opprettede prosesser arvet hele utviklerens miljøvariabler. Dette gjorde det mulig å hente ut blant annet AWS legitimasjon, API nøkler, CLI tokens og SSH agent tilkoblinger til en angriper-kontrollert server. Artikkelen beskriver også en egen sårbarhet der manglende validering av symbolske lenker muliggjorde traversering av katalog utenfor arbeidsområdet. Berørte produkter omfatter Amazon Q Developer for VS Code, JetBrains, Eclipse, Visual Studio og Language Servers for AWS under de oppgitte versjonene. Amazon har publisert sikkerhetsoppdateringer, og oppdaterte versjoner installeres automatisk for de fleste brukere.

Anbefaling:

Oppdater alle Amazon Q Developer-utvidelser til siste versjon, kontroller .amazonq/ kataloger i ukjente kodearkiver, og godkjenn bare MCP servere som er eksplisitt verifisert og tillitsverdige.

Friday, 26 June 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.26

Populær Chrome-adblocker kan misbrukes til skjult script-injeksjon. Ny fileless bakdør utnyttes i ransomware‑relaterte kampanjer.


Populær Chrome-adblocker kan misbrukes til skjult script-injeksjon

En populær Chrome-utvidelse,“Adblock for YouTube” med over 10 millioner installasjoner, inneholder funksjonalitet som kan misbrukes til å kjøre vilkårlig JavaScript på brukernes enheter. sikkerhetseksperter har avdekket at utvidelsen kan aktiveres via server-side konfigurasjon til å injisere kode på alle nettsteder, uten behov for oppdatering eller godkjenning fra Chrome Web Store.

Dette innebærer at utvidelsen i praksis kan lese innhold fra nettsider, stjele data og utføre handlinger på vegne av brukeren i påloggede sesjoner. Selv om det per nå ikke finnes bevis for at denne kapasiteten er brukt til ondsinnet aktivitet, representerer selve muligheten en betydelig risiko. Utvidelsen har historisk hatt koblinger til andre adblock-tillegg som senere er fjernet fra Chrome Web Store etter å ha blitt klassifisert som skadevare. Samtidig viser analysen at mekanismer for fjernstyrt script injection har eksistert siden februar 2025.

Anbefaling:

Brukere bør vurdere å fjerne eller erstatte utvidelsen med mer pålitelige alternativer, og generelt begrense antall nettleserutvidelser med omfattende tillatelser.

Ny fileless bakdør utnyttes i ransomware‑relaterte kampanjer

En ny og avansert bakdør kalt Mistic brukes i pågående angrep mot organisasjoner innen blant annet forsikring, utdanning, IT og konsulenttjenester. Angrepene knyttes til en initial access broker kjent som KongTuke, som opererer med økonomisk motiv og ofte selger tilgang videre til andre aktører, inkludert ransomware‑grupper.

Mistic leveres ofte sammen med ModeloRAT via ulike ClickFix‑kampanjer, der brukere lures til å kjøre kommandoer manuelt, for eksempel under påskudd av en sikkerhetsskanning eller via ondsinnede nettleserutvidelser. Når den først er installert, kjører bakdøren hovedsakelig i minnet (fileless), og bruker blant annet DLL side‑loading via legitime Microsoft‑verktøy for å unngå deteksjon.

Bakdøren gir angripere omfattende kontroll over systemet, inkludert filoperasjoner, kjøring av kode fra C2, og dynamisk utvidelse via Beacon Object Files. Den har også en kill switch, som kan slette spor og avslutte seg selv. Siden den ikke lagrer filer på disk, er Mistic godt egnet for å gi skjult og langvarig tilgang

Anbefaling:

Vær særlig oppmerksom på sosial manipulering som får brukere til å kjøre kommandoer manuelt. Overvåk mistenkelig bruk av legitime verktøy, særlig side‑loading og uvanlig prosesskjøring i minnet. Segmentering av nettverk og streng tilgangskontroll kan begrense skade ved kompromittering.

Thursday, 25 June 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.25

Cisco Catalyst SD-WAN-nulldagssårbarhet gir root-tilgang gjennom kommandoinjeksjon. Ny Mistic-bakdør knyttet til KongTuke i ClickFix og ModeloRAT kampanjer og gir skjult tilgang til bedriftsnettverk.


Cisco Catalyst SD-WAN-nulldagssårbarhet gir root-tilgang gjennom kommandoinjeksjon

En aktivt utnyttet nulldagssårbarhet i Cisco Catalyst SD-WAN Manager gjør det mulig å kjøre vilkårlige kommandoer som root på berørte systemer. Sårbarheten finnes i kommandolinjegrensesnittet (CLI), der en bruker med netadmin-rettigheter kan laste opp en spesiallaget fil som utløser kommandoinjeksjon. Feilen påvirker Cisco Catalyst SD-WAN Manager og gir full root-tilgang til systemet ved vellykket utnyttelse. Cisco bekreftet at sårbarheten ble utnyttet i faktiske angrep på tidspunktet for publisering, og det var da ikke tilgjengelig noen sikkerhetsoppdatering for å rette feilen. Cisco publiserte indikatorer på kompromittering (IOC-er) og anbefalte gjennomgang av logger for å identifisere mistenkelig aktivitet.

Anbefaling:

Følg Ciscos IOC-veiledning og gjennomgå SD-WAN Manager-logger for tegn på uautorisert root-aktivitet og mistenkelige filopplastinger.

Sårbarheter:

Ny Mistic-bakdør knyttet til KongTuke i ClickFix og ModeloRAT kampanjer og gir skjult tilgang til bedriftsnettverk

Mistic er en ny bakdør som har blitt brukt i økonomisk motiverte angrep siden april 2026 mot organisasjoner innen forsikring, utdanning, IT og profesjonelle tjenester. Skadevaren er knyttet til KongTuke, også kjent som Woodgnat, en aktør som spesialiserer seg på å skaffe og videreselge tilgang til kompromitterte bedriftsnettverk. Mistic ble observert distribuert sammen med ModeloRAT i minst én hendelse, noe som styrker koblingen til KongTuke. Bakdøren lastes inn ved DLL side-loading gjennom den legitime prosessen MpExtMs.exe og benytter komponenter som etterligner Microsoft-sikkerhetsprogramvare. Den kan kjøre payload direkte i minnet uten å skrive filer til disk, utføre filoperasjoner, kommunisere med kontrollservere og slette seg selv for å redusere spor etter kompromittering. Funnene kobler Mistic til miljøer der tilgang senere kan brukes av løsepengegrupper som Qilin, Interlock, Rhysida, Akira, 8Base og Black Basta.

Anbefaling:

Overvåk DLL side-loading via MpExtMs.exe og aktivitet som innebærer minnebasert kjøring av nyttelast uten filer på disk.

Wednesday, 24 June 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.24

Cisco Unified CM-sårbarhet CVE-2026-20230 utnyttes nå i angrep. CISA legger til Ubiquiti UniFi OS-sårbarheter i katalog over aktivt utnyttede sårbarheter. Hackere bruker planlagt oppgave «GoogleErrorReport» for vedvarende tilgang i Dropping Elephant-kampanje.


Cisco Unified CM-sårbarhet CVE-2026-20230 utnyttes nå i angrep

En aktivt utnyttet sårbarhet i Cisco Unified Communications Manager (Unified CM) og Cisco Unified Communications Manager Session Management Edition (Unified CM SME) gjør det mulig for en uautentisert angriper å utføre SSRF angrep og oppnå root rettigheter på berørte systemer. Sårbarheten ligger i WebDialer komponenten og skyldes mangelfull validering av spesifikke HTTP forespørsler. Ved å sende spesiallagde HTTP forespørsler kan angriperen skrive filer til det underliggende operativsystemet, som deretter brukes til privilegieeskalering til root. Defused observerte aktiv utnyttelse fra én IP adresse hvor korrekt konstruerte file://-payloads ble brukt til å opprette filer på enhetene. Den observerte koden skrev blant annet filen /tmp/cve-2026-20230-test.txt for å identifisere sårbare systemer. Cisco publiserte sikkerhetsoppdateringer 3. juni 2026, og sårbarheten krever at WebDialer tjenesten er aktivert for å kunne utnyttes.

Anbefaling:

Oppgrader til en Cisco-versjon som inneholder rettelsen, eller deaktiver WebDialer-tjenesten dersom oppgradering ikke kan gjennomføres umiddelbart.

Sårbarheter:

CISA legger til Ubiquiti UniFi OS-sårbarheter i katalog over aktivt utnyttede sårbarheter

Flere kritiske sårbarheter i Ubiquiti UniFi OS er lagt til av CISA i Known Exploited Vulnerabilities katalogen etter bevis på aktiv utnyttelse. Sårbarhetene påvirker UniFi OS enheter og UniFi OS Server, og omfatter feil i tilgangskontroll, katalogtraversering og kommandoinjeksjon. CVE-2026-34908 gjør det mulig å utføre uautoriserte endringer uten autentisering, mens CVE-2026-34909 gir tilgang til filer på det underliggende operativsystemet gjennom en path traversal feil. CVE-2026-34910 muliggjør kommandoinjeksjon etter at de andre sårbarhetene er brukt til å omgå autentisering. Når sårbarhetene kombineres kan en angriper oppnå ekstern kodekjøring med root rettigheter på berørte systemer. Konsekvensene inkluderer full administrativ kontroll, tilgang til lagrede hemmeligheter, manipulering av administratorkontoer og kompromittering av administrerte nettverksenheter.

Anbefaling:

Oppgrader berørte UniFi OS-systemer til leverandørens korrigerte versjoner så raskt som mulig.

Hackere bruker planlagt oppgave «GoogleErrorReport» for vedvarende tilgang i Dropping Elephant-kampanje

Dropping Elephant har lansert en oppdatert kampanje som bruker en ondsinnet Windows snarvei (GRES3001.lnk) forkledd som et PDF dokument for å installere en fjernstyringstrojaner (RAT). Når filen åpnes, starter den et PowerShell skript som laster ned flere komponenter fra chinagreenenergy[.]org, som inkludert Fondue.exe, APPWIZ.cpl og en kryptert nyttelast som dekrypteres og lastes direkte inn i minnet via Donut loader. RAT en benytter DLL side loading gjennom Fondue.exe og APPWIZ.cpl, og kjøres uten å skrive den endelige nyttelasten til disk. For persistens oppretter skadevaren en planlagt oppgave kalt «GoogleErrorReport» som kjører Fondue.exe hvert minutt fra C:\Users\Public, slik at infeksjonen automatisk gjenopprettes etter avbrudd. RAT en samler systeminformasjon, tar skjermbilder, laster opp og ned filer og mottar kommandoer fra gcl-power[.]org over HTTPS på port 443. Koden inneholder kontrollflyt obfuskering, oppdager debugger og sandbox prosesser, og manipulerer AMSI, WLDP og ETW for å redusere muligheten for analyse og deteksjon. All kommunikasjon krypteres med Salsa20 og Base64-koding.

Anbefaling:

Overvåk og undersøk planlagte oppgaver med navnet «GoogleErrorReport» som kjører binærfiler fra C:\Users\Public

Tuesday, 23 June 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.23

Backdoor i WordPress Pro-plugins etter leverandør kompromittert.


Backdoor i WordPress Pro-plugins etter leverandør kompromittert

Flere betalte WordPress plugins fra ShapedPlugin ble kompromittert i et supply chain angrep der angripere klarte å manipulere leverandørens build og distribusjonssystem. Ondsinnet kode ble injisert i Pro versjoner distribuert via den offisielle oppdateringskanalen (EDD). Følgende plugins er berørt: Product Slider Pro for WooCommerce (før 3.5.4), Real Testimonials Pro (3.2.5) og Smart Post Show Pro (før 4.0.2). Gratisversjonene på WordPress.org er ikke påvirket.

Den kompromitterte koden laster inn en skjult loader på alle admin sider, som henter en payload fra en ekstern server, installerer en falsk plugin og aktiverer den. Denne pluginen skjuler seg i admin grensesnittet, stjeler legitimasjon og 2FA koder i klartekst, og etablerer persistens gjennom blant annet en REST endepunkt med støtte for vilkårlig filskriving og web shell funksjonalitet. Den samler også sensitiv data som innholdet i wp-config.php, adminbrukere, e-postinnstillinger og WooCommerce ordrer før den sletter spor.

Anbefaling:

Oppdater til sikre versjoner når tilgjengelig, tilbakestill alle passord, regenerer 2FA, gjennomgå administratorbrukere, og kontroller e-post og SMTP konfigurasjoner for kompromittering.

Monday, 22 June 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.22

Uoppdaterbar «usbliter8» utnyttelse bryter Apples SecureROM oppstartskjede på A12- og A13-brikker. Hackere utnytter Gravity SMTP feil i WordPress for å hente ut API nøkler.


Uoppdaterbar «usbliter8» utnyttelse bryter Apples SecureROM oppstartskjede på A12- og A13-brikker

Forskerne i Paradigm Shift har publisert en fungerende utnyttelse kalt usbliter8 som gir vilkårlig kodekjøring i SecureROM på Apples A12- og A13-brikker. Feilen skyldes en maskinvarefeil i Synopsys DWC2 USB-kontrolleren der håndteringen av USB Setup pakker via DMA kan føre til en repeterbar buffer underflyt som flytter skrivepekeren bakover i minnet. På berørte enheter er USB DART konfigurert i bypass modus i SecureROM, noe som gjør det mulig å overskrive vilkårlig SRAM og oppnå kontroll over kjøringen. Utnyttelsen krever fysisk tilgang til enheten, DFU-modus og en RP2350-basert mikrokontroller koblet via USB, og fullføres før Apples signerte oppstartskjede lastes. På A12 oppnås kontroll ved å overskrive en lagret link registerverdi, mens A13 krever omgåelse av Pointer Authentication (PAC) gjennom flere steg som manipulerer DART-relaterte strukturer og avbruddshåndterere. Etter vellykket utnyttelse kan angriperen starte usignerte iBoo avbilder uten signaturkontroll og omgå Apples tillitskjede. Ingen kompromittering av Secure Enclave er demonstrert, men forskerne peker på at BootROM kontroll kan åpne nye angrepsveier mot denne komponenten. Per 19. juni 2026 er ingen aktiv utnyttelse rapportert offentlig, og ingen programvareoppdatering kan rette feilen fordi SecureROM er permanent programmert i maskinvaren.

Anbefaling:

Kartlegg og erstatt A12-, A13-, S4- og S5-baserte enheter i sensitive miljøer med A14-baserte eller nyere enheter.

Hackere utnytter Gravity SMTP feil i WordPress for å hente ut API nøkler

Et aktivt utnyttet sårbarhet i Gravity SMTP pluginen for WordPress eksponerer sensitiv konfigurasjonsinformasjon fra nettsteder som kjører sårbare versjoner av pluginen. Sårbarheten, CVE-2026-4020, skyldes en REST API endepunkt som er tilgjengelig uten autentisering og returnerer en omfattende systemrapport med serverdetaljer, WordPress konfigurasjon, aktive plugins og lagrede integrasjonshemmeligheter. Angripere kan hente ut API nøkler, SMTP legitimasjon, OAuth tokens og andre hemmeligheter gjennom en enkel HTTP forespørsel mot /wp-json/gravitysmtp/v1/tests/mock-data. Feilen påvirker Gravity SMTP versjon 2.1.4 og eldre, og pluginen er installert på rundt 100 000 WordPress nettsteder. Det er observert omfattende utnyttelse i praksis, med millioner av blokkerte angrepsforsøk og hundrevis av observerte angriper IPer. Eksponerte legitimasjonsdata kan brukes til misbruk av e-posttjenester, utsending av spam, phishing eller videre kompromittering av berørte miljøer.

Anbefaling:

Oppgrader Gravity SMTP til versjon 2.1.5 eller nyere og roter alle SMTP passord, API nøkler og OAuth tokens som har vært konfigurert i pluginen.

Sårbarheter:

Friday, 19 June 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.19

Skjult i Teams: DragonForce misbruker Microsoft Teams-reléer for å skjule bakdører.


Skjult i Teams: DragonForce misbruker Microsoft Teams-reléer for å skjule bakdører

DragonForce angripere skjulte kommando og kontrolltrafikk inne i Microsoft Teams sin reléinfrastruktur under et ransomware angrep mot et større amerikansk selskap. De benyttet en spesialutviklet Go basert RAT kalt Backdoor.Turn, som er den første kjente skadevaren som misbruker Microsoft Teams sine TURN reléservere for å maskere C2 trafikk. Backdoor.Turn henter et anonymt Teams besøkstoken fra Microsofts Skype baserte identitetstjenester, etablerer forbindelse via en legitim TURN relétjeneste og oppretter deretter en QUIC sesjon mot angripernes server. For nettverksforsvarere fremstår trafikken som legitime forbindelser til Microsoft Teams servere. Angriperne oppholdt seg i miljøet mellom én og to måneder. Kampanjen benyttet også Bring Your Own Vulnerable Driver (BYOVD) og en tidligere ukjent utnyttelse av Huawei driveren HWAuidoOs2Ec.sys for å omgå sikkerhetsmekanismer.

Anbefaling:

Overvåk og analyser uvanlig Microsoft Teams relatert nettverkstrafikk som etablerer vedvarende forbindelser via TURN reléer.

Thursday, 18 June 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.18

«FortiBleed» eksponerer VPN-legitimasjon for titusenvis av Fortinet-enheter.


«FortiBleed» eksponerer VPN-legitimasjon for titusenvis av Fortinet-enheter

En omfattende datasamling kalt «FortiBleed» inneholder tilsynelatende gyldige VPN- og admin-legitimasjoner for rundt 74 000 Fortinet/FortiGate-enheter globalt. Datasettet, oppdaget av sikkerhetsforsker Bob Diachenko, inkluderer brukernavn, e‑postadresser og klartekstpassord knyttet til over 21 000 organisasjoner i 194 land. Flere store selskaper og kritiske sektorer er representert, og enkelte legitimasjoner er bekreftet som ekte.

Ifølge funnene stammer dataene trolig fra en langvarig credential-harvesting-kampanje med massiv brute force-aktivitet mot blant annet FortiGate SSL VPN og Microsoft SQL Server. Angriperne skal også ha fanget opp autentiseringshashes, knekt dem med GPU-klynger og brukt tilgangene til lateral bevegelse inn i interne Active Directory-miljøer. Datasettet inneholder detaljerte logger over vellykkede innbrudd og informasjon om målorganisasjoner, noe som tyder på strukturert og vedvarende aktivitet.

Opprinnelsen til lekkasjen er ikke fullt avklart. Fortinet sier selv at dataene trolig er en samling fra tidligere hendelser og bruteforce-angrep, og ikke knyttet til en ny sårbarhet. Likevel viser analyser at mange av de kompromitterte enhetene fortsatt er tilgjengelige på nett, ofte med eksponerte administrasjonsgrensesnitt.

Berørte virksomheter bør umiddelbart rotere passord, aktivere multifaktorautentisering (MFA), gjennomgå logger for mistenkelig aktivitet og kartlegge eventuell kompromittering av brukerkontoer. Det finnes også verktøy for å sjekke om man er påvirket, "Fortibleed Lookup".

Wednesday, 17 June 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.17

ClickFix-kampanjer sprer nye malware-loadere via falske oppdateringer.


ClickFix-kampanjer sprer nye malware-loadere via falske oppdateringer

Flere pågående ClickFix-kampanjer bruker sosial manipulering for å lure brukere til å kjøre PowerShell-kommandoer som installerer nye loadere som BabaDeda, Lorem Ipsum og Potemkin. Disse laster ned infostealere, RATs og i noen tilfeller ransomware, ofte via teknikker som in-memory kjøring, DLL side-loading og skjulte payloads.

Kampanjene bruker kompromitterte WordPress-sider og falske nettleseroppdateringer for å nå mange brukere. Aktører som Vanilla Tempest kobles til aktivitet som kan ende i ransomware-angrep. Potemkin skiller seg ut ved bruk av domain generation (DGA) og videre manuell kompromittering med lateral spredning i nettverk.

ClickFix fungerer fordi brukere følger tilsynelatende legitime instruksjoner, og er spesielt skummelt der brukeren har forhøyede rettigheter.

Anbefaling:

Unngå å lime inn kommandoer fra nettsider, og styrk overvåking av PowerShell og uvanlig prosessaktivitet. Generell brukeropplæring og bevisstgjøring rundt sikkerhet.

Tuesday, 16 June 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.16

En-klikks sårbarhet i Microsoft 365 Copilot muliggjør datatyveri via e-post. Kinesiske hackere misbrukte Google Workspace-regler for å stjele forsknings- og forsvarsrelaterte e-poster. Nord-Korea med målrettede angrep mot utviklere og automatiserte arbeidsflyter.


En-klikks sårbarhet i Microsoft 365 Copilot muliggjør datatyveri via e-post

En kritisk sårbarhet (CVE-2026-42824) i Microsoft 365 Copilot kunne ha gjort det mulig for angripere å hente ut sensitive data som e‑poster, filer og MFA‑koder via ett enkelt klikk på en legitim Microsoft‑lenke. Angrepet, kalt SearchLeak, utnyttet en kombinasjon av flere feil, inkludert prompt injection, for å få Copilot til å hente og eksfiltrere data uten brukerinteraksjon. Sårbarheten er nå rettet av Microsoft, og det finnes ingen indikasjoner på aktiv utnyttelse. Hendelsen illustrerer økt risiko knyttet til AI‑integrasjoner og behovet for strengere datastyring og overvåkning.

Anbefaling:

Gjennomgå og implementer Microsofts oppdaterte sikkerhetsmekanismer for Microsoft 365 Copilot og overvåk bruk av eksternt innhold i Copilot-arbeidsflyter.

Sårbarheter:

Kinesiske hackere misbrukte Google Workspace-regler for å stjele forsknings- og forsvarsrelaterte e-poster

En Kina-tilknyttet spionasjegruppe kalt UNC6508 oppholdt seg i nordamerikanske medisinske, akademiske og militære forskningsmiljøer i over ett år og stjal sensitiv e-postkommunikasjon. Innledende tilgang ble oppnådd gjennom kompromitterte eksternt eksponerte REDCap-servere ("sikker" nettapplikasjon for å bygge og administrere nettbaserte spørreskjemaer og databaser), hvor skadevaren INFINITERED ble installert for å opprettholde tilgang, samle inn brukernavn og passord, og fungere som en bakdør. INFINITERED modifiserte REDCap-systemfiler, gjeninnsatte seg selv ved oppgraderinger, lagret innloggingsdata kryptert i databasen og mottok kommandoer via HTTP-cookies. Etter å ha oppnådd administrative rettigheter misbrukte gruppen Google Workspace sin funksjon for innholdsregler («content compliance rules») ved å opprette en regel som overvåket nær 150 nøkkelord og automatisk sendte kopier av treffende e-poster til en Gmail-konto kontrollert av angriperne. Metoden krevde ingen egen skadevare på e-postsystemet og genererte ikke unormal nettverkstrafikk fordi den benyttet innebygde funksjoner i Google Workspace. Aktiviteten er observert fra september 2023 til november 2025, og målene inkluderte forsvarsrelatert forskning, geopolitikk, avansert teknologi, offensive cyberprogrammer og medisinsk forskning.

Anbefaling:

Oppdater og fjern gamle REDCap-versjoner, gjennomgå Google Workspace-regler for videresending/BCC til eksterne adresser, kontroller administrasjonslogger for regelendringer, jakt på indikatorer knyttet til INFINITERED og innfør phishing-resistent MFA på administratorkontoer.

Nord-Korea med målrettede angrep mot utviklere og automatiserte arbeidsflyter

Nordkoreanske trusselaktører gjennomfører en omfattende phishingkampanje (bl.a. UNK_DeadDrop) rettet mot utviklere, der ofre lokkes med falske jobbtilbud eller forespørsler om kodegjennomgang.
E‑postene peker til tilsynelatende legitime GitHub‑repos som, når de åpnes i verktøy som VS Code eller Cursor, automatisk kjører skjult kode og installerer skadevare.
Angrepet utnytter utviklerverktøy og arbeidsflyt som leveransekanal, og gir angriperne tilgang til kryptolommebøker, legitimasjon og andre sensitive data.
Aktiviteten har tydelige likhetstrekk med MITRE‑gruppen Contagious Interview (G1052), som er kjent for å målrette utviklere for økonomisk gevinst og etterretning.

Telenor anbefaler å alltid verifisere kilder før du åpner ukjente repositories, begrense automatisk kjøring av oppgaver i utviklingsverktøy, og overvåk bruk av tredjeparts kode og extensions tett.

Monday, 15 June 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.15

Over 400 Arch Linux-pakker kompromittert for å distribuere rootkit og informasjonsstjeler. Kritisk Splunk-sårbarhet muliggjør uautentisert RCE.


Over 400 Arch Linux-pakker kompromittert for å distribuere rootkit og informasjonsstjeler

Over 400 pakker i Arch User Repository (AUR) har blitt kompromittert og brukt til å distribuere skadevare som kombinerer informasjons stjeling og et Linux-rootkit. En ny vedlikeholder utga seg for å være en betrodd publisist og modifiserte pakker slik at et installasjonsskript ble lastet ned og kjørte en ondsinnet npm pakke, "atomic lockfile." Denne pakken installerte et ELF-program kalt "deps", som er beskrevet som en legitimasjonsstjeler med valgfrie eBPF rootkit-funksjoner som kan skjule prosesser i systemet. Berørte komponenter er AUR pakker, PKGBUILD skript og den ondsinnede npm-pakken "atomic lockfile." Skadevaren retter seg mot GitHub-legitimasjon, SSH-artefakter, HashiCorp Vault token, nettleser cookies, samt Slack-, Discord-, Microsoft Teams- og Telegram-data. Analysen viste også funksjoner for arkivering av data, håndtering av flerdelte filer og HTTP-opplasting for eksfiltrering av innsamlet informasjon. AUR vedlikeholdere arbeider med å identifisere og fjerne ondsinnede endringer samt blokkere kontoene som distribuerte dem.

Anbefaling:

Gjennomgå listen over berørte pakker og indikatorene på kompromittering, og roter alle legitimasjoner dersom kompromitterte pakker er installert.

Kritisk Splunk-sårbarhet muliggjør uautentisert RCE

Splunk har publisert sikkerhetsoppdateringer for en kritisk sårbarhet (CVE-2026-20253) i Splunk Enterprise som kan gi angripere uautorisert tilgang til filoperasjoner og i verste fall remote code execution (RCE) – uten autentisering. Feilen har CVSS-score på 9,8 og påvirker versjoner før 10.0.7 og 10.2.4.

Sårbarheten skyldes manglende autentiseringskontroll i en PostgreSQL sidecar-tjeneste, som eksponerer endepunktene /v1/postgres/recovery/backup og /v1/postgres/recovery/restore. En angriper kan utnytte disse til å laste inn en ondsinnet database-dump og få SQL-kode kjørt direkte i Splunks lokale PostgreSQL-instans.

Angrepskjeden gjør det mulig å skrive vilkårlige filer til filsystemet ved hjelp av funksjoner som lo_export. Dette kan eskaleres til RCE ved å overskrive eksisterende Python-skript som Splunk kjører regelmessig, og dermed injisere en payload. Splunk Cloud er ikke berørt, da den ikke bruker PostgreSQL sidecars.

Det er foreløpig ingen bekreftet aktiv utnyttelse, men detaljerte exploit-beskrivelser er offentlig tilgjengelige. Dette øker risikoen for rask utnyttelse. Det anbefales å oppgradere til versjon 10.0.7 eller 10.2.4 umiddelbart og begrense nettverkstilgang til berørte tjenester.

Friday, 12 June 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.12

Oracle reduserer risikoen fra PeopleSoft nulldag utnyttet i datatyveriangrep. Huawei HG532 ruter – fortsatt risiko knyttet til gammel sårbarhet i utgått utstyr. Microsoft Teams for Android sårbarhet kan lekke sensitiv informasjon.


Oracle reduserer risikoen fra PeopleSoft nulldag utnyttet i datatyveriangrep

En kritisk nulldagsårbarhet i Oracle PeopleSoft PeopleTools sporet som CVE-2026-35273 er brukt i aktive datatyveriangrep og muliggjør fjernkjøring av kode uten autentisering. Sårbarheten påvirker PeopleSoft Enterprise PeopleTools versjon 8.61 og 8.62 og har en CVSS-score på 9.8. Feilen ligger i PeopleTools komponenten, og vellykket utnyttelse gir angriperen mulighet til å kjøre kode på systemet uten innlogging. ShinyHunters har bekreftet at de står bak angrepene og oppgir at de brukte en kjede av eldre sårbarheter og nulldag feil for å kompromittere PeopleSoft installasjoner. Ifølge opplysningene skal data ha blitt stjålet fra 300 instanser hos mer enn 100 organisasjoner. Oracle har publisert nødtiltak for å redusere risikoen mens en permanent sikkerhetsoppdatering er under utvikling.

Anbefaling:

Implementer Oracles publiserte nødtiltak for CVE-2026-35273 og undersøk logger for trafikk fra de oppgitte IP adressene knyttet til angrepene.

Sårbarheter:

Huawei HG532 ruter – fortsatt risiko knyttet til gammel sårbarhet i utgått utstyr

Det er observert fornyet aktivitet knyttet til en gammel og kjent sårbarhet i Huawei HG532; CVE-2017-17215, som kan gi angriper mulighet til å kjøre kommandoer eller kode på sårbare enheter. Sårbarheten ble opprinnelig kjent i 2017 og gjelder eldre hjemmerutere/gatewayer fra Huawei.

Sårbarheten gir en angriper mulighet til å

  • Kjøre vilkårlig kode på enheten

  • Ta full kontroll over routeren (altså se all ukryptert data som går gjennom den)

  • Rekruttere enheten til botnet, typisk varianter av Mirai

Saken er særlig relevant fordi dette i stor grad gjelder utstyr som er utenfor støtte (End of Service / EOL) fra produsenten. Huawei opplyser selv at anbefalt håndtering for slike produkter er å benytte midlertidige sikringstiltak eller å erstatte enheten, fremfor å basere seg på ordinære sikkerhetsoppdateringer.

Trusselen vurderes fortsatt som relevant fordi sårbarheten fremdeles blir utnyttet med høy og vedvarende aktivitet i aktive kampanjer.

Det er grunn til å anta at deler av dette utstyret fortsatt er i bruk, også i Norge. Åpne kilder indikerer at et tosifret antall enheter er offentlig eksponert nasjonalt, og flere tusen globalt.

Virksomheter bør identifisere om Huawei HG532 eller annet tilsvarende utgått nettverksutstyr fortsatt er i drift, og prioritere utfasing eller utskifting. Dersom utskifting ikke kan gjennomføres umiddelbart, bør enheten skjermes fra internett, plasseres bak brannmur og følges opp med kompenserende tiltak.

Sårbarheter:

Microsoft Teams for Android sårbarhet kan lekke sensitiv informasjon

Microsoft har publisert en sikkerhetsoppdatering for en høyrisiko sårbarhet i Microsoft Teams for Android, identifisert som CVE-2026-42835. Sårbarheten skyldes mangelfull håndtering av data som sendes til underliggende komponenter i applikasjonen, noe som kan føre til uautorisert informasjonslekkasje over nettverk. En angriper med gyldig tilgang til Teams miljøet kan potensielt utnytte svakheten til å hente ut sensitiv informasjon. Microsoft har klassifisert sårbarheten med en CVSS-score på 8.1 (High). Berørte versjoner omfatter Teams for Android før versjon 1.0.76.2026111302, og Microsoft har publisert oppdateringer som adresserer problemet.

Anbefaling:

Oppdater Microsoft Teams for Android til nyeste tilgjengelige versjon umiddelbart. Organisasjoner bør verifisere at mobile enheter administrert gjennom MDM eller Intune løsninger mottar oppdateringen. Gjennomgå mobile sikkerhetspolicyer og sørg for at Teams klienter behandles som en del av virksomhetens kritiske infrastruktur. Overvåk også for uvanlig tilgang til Teams-relatert informasjon og autentiserte brukerkontoer.

Sårbarheter:

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.12

Oracle reduserer risikoen fra PeopleSoft nulldag utnyttet i datatyveriangrep. Huawei HG532 ruter – fortsatt risiko knyttet til gammel sårbarhet i utgått utstyr. Microsoft Teams for Android sårbarhet kan lekke sensitiv informasjon.


Oracle reduserer risikoen fra PeopleSoft nulldag utnyttet i datatyveriangrep

En kritisk nulldagsårbarhet i Oracle PeopleSoft PeopleTools sporet som CVE-2026-35273 er brukt i aktive datatyveriangrep og muliggjør fjernkjøring av kode uten autentisering. Sårbarheten påvirker PeopleSoft Enterprise PeopleTools versjon 8.61 og 8.62 og har en CVSS-score på 9.8. Feilen ligger i PeopleTools komponenten, og vellykket utnyttelse gir angriperen mulighet til å kjøre kode på systemet uten innlogging. ShinyHunters har bekreftet at de står bak angrepene og oppgir at de brukte en kjede av eldre sårbarheter og nulldag feil for å kompromittere PeopleSoft installasjoner. Ifølge opplysningene skal data ha blitt stjålet fra 300 instanser hos mer enn 100 organisasjoner. Oracle har publisert nødtiltak for å redusere risikoen mens en permanent sikkerhetsoppdatering er under utvikling.

Anbefaling:

Implementer Oracles publiserte nødtiltak for CVE-2026-35273 og undersøk logger for trafikk fra de oppgitte IP adressene knyttet til angrepene.

Sårbarheter:

Huawei HG532 ruter – fortsatt risiko knyttet til gammel sårbarhet i utgått utstyr

Det er observert fornyet aktivitet knyttet til en gammel og kjent sårbarhet i Huawei HG532; CVE-2017-17215, som kan gi angriper mulighet til å kjøre kommandoer eller kode på sårbare enheter. Sårbarheten ble opprinnelig kjent i 2017 og gjelder eldre hjemmerutere/gatewayer fra Huawei.

Sårbarheten gir en angriper mulighet til å

  • Kjøre vilkårlig kode på enheten

  • Ta full kontroll over routeren (altså se all ukryptert data som går gjennom den)

  • Rekruttere enheten til botnet, typisk varianter av Mirai

Saken er særlig relevant fordi dette i stor grad gjelder utstyr som er utenfor støtte (End of Service / EOL) fra produsenten. Huawei opplyser selv at anbefalt håndtering for slike produkter er å benytte midlertidige sikringstiltak eller å erstatte enheten, fremfor å basere seg på ordinære sikkerhetsoppdateringer.

Trusselen vurderes fortsatt som relevant fordi sårbarheten fremdeles blir utnyttet med høy og vedvarende aktivitet i aktive kampanjer.

Det er grunn til å anta at deler av dette utstyret fortsatt er i bruk, også i Norge. Åpne kilder indikerer at et tosifret antall enheter er offentlig eksponert nasjonalt, og flere tusen globalt.

Virksomheter bør identifisere om Huawei HG532 eller annet tilsvarende utgått nettverksutstyr fortsatt er i drift, og prioritere utfasing eller utskifting. Dersom utskifting ikke kan gjennomføres umiddelbart, bør enheten skjermes fra internett, plasseres bak brannmur og følges opp med kompenserende tiltak.

Sårbarheter:

Microsoft Teams for Android sårbarhet kan lekke sensitiv informasjon

Microsoft har publisert en sikkerhetsoppdatering for en høyrisiko sårbarhet i Microsoft Teams for Android, identifisert som CVE-2026-42835. Sårbarheten skyldes mangelfull håndtering av data som sendes til underliggende komponenter i applikasjonen, noe som kan føre til uautorisert informasjonslekkasje over nettverk. En angriper med gyldig tilgang til Teams miljøet kan potensielt utnytte svakheten til å hente ut sensitiv informasjon. Microsoft har klassifisert sårbarheten med en CVSS-score på 8.1 (High). Berørte versjoner omfatter Teams for Android før versjon 1.0.76.2026111302, og Microsoft har publisert oppdateringer som adresserer problemet.

Anbefaling:

Oppdater Microsoft Teams for Android til nyeste tilgjengelige versjon umiddelbart. Organisasjoner bør verifisere at mobile enheter administrert gjennom MDM eller Intune løsninger mottar oppdateringen. Gjennomgå mobile sikkerhetspolicyer og sørg for at Teams klienter behandles som en del av virksomhetens kritiske infrastruktur. Overvåk også for uvanlig tilgang til Teams-relatert informasjon og autentiserte brukerkontoer.

Sårbarheter:

Thursday, 11 June 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.11

Maksimal alvorlighetsgrad i Ivanti Sentry-sårbarhet utnyttes nå i angrep.


Maksimal alvorlighetsgrad i Ivanti Sentry-sårbarhet utnyttes nå i angrep

En aktivt utnyttet sårbarhet i Ivanti Sentry gjør det mulig å kjøre kode med root-rettigheter på internett-eksponerte sikre mobilgatewayer. Sårbarheten er identifisert som CVE-2026-10520 og skyldes OS command injection i Ivanti Sentry. Ivanti publiserte sikkerhetsoppdateringer i versjonene R10.5.2, R10.6.2 og R10.7.1, og opplyste først at det ikke fantes tegn til aktiv utnyttelse. Dagen etter rapporterte Shadowserver omfattende forsøk på utnyttelse basert på offentlig tilgjengelig PoC-kode, og observerte kompromitterte systemer. Angripere kan oppnå root-nivå fjernkjøring av kode uten å være autentisert. Berørte systemer er Ivanti Sentry-gatewayer som brukes til å sikre trafikk mellom bedriftssystemer og mobile enheter.

Anbefaling:

Oppgrader Ivanti Sentry til R10.5.2, R10.6.2 eller R10.7.1 umiddelbart.

Sårbarheter:

Wednesday, 10 June 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.10

Microsoft Defender «RoguePlanet» Zero-day gir system-rettigheter på oppdatert Windows. ServiceNow-feil utnyttet for å få uautorisert tilgang til kundeinstanser.


Microsoft Defender «RoguePlanet» Zero-day gir system-rettigheter på oppdatert Windows

En ny zero-day sårbarhet i Microsoft Defender, kalt RoguePlanet, er offentliggjort av sikkerhetsforskeren Nightmare Eclipse kort tid etter Microsofts juni 2026 Patch Tuesday. Sårbarheten påvirker fullt oppdaterte Windows 10- og Windows 11-systemer og gjør det mulig å starte en kommandolinje med SYSTEM-rettigheter. Feilen skyldes en race condition i Microsoft Defender der tidskritiske operasjoner kan misbrukes for å oppnå privilegieeskalering. Ifølge forskeren ble sårbarheten opprinnelig utviklet som en metode for fjernkjøring av kode via filer på SMB-delinger, men den publiserte PoC-en fokuserer på lokal privilegieeskalering. PoC-en fungerer ved å utnytte Defenders håndtering av monterte ISO-filer og er beskrevet som «hit or miss» på grunn av race condition-mekanismen. Windows Server er ikke påvirket av den publiserte PoC-en fordi vanlige brukere ikke kan montere ISO-filer der. Organisasjoner som benytter applikasjonskontroll/allowlisting kan blokkere kjøring av utnyttelsen.

Anbefaling:

Implementer applikasjonskontroll (allowlisting) for å hindre at RoguePlanet-koden kan kjøres.

ServiceNow-feil utnyttet for å få uautorisert tilgang til kundeinstanser

Angripere utnyttet en autentiseringsfri tilgangsfeil i et ServiceNow-API for å hente data fra kundeinstanser. ServiceNow oppdaget unormal aktivitet og bekreftet at enkelte kunder ble berørt av vellykkede spørringer mot instanstabeller. Feilen var knyttet til et API-endepunkt som under visse omstendigheter ga større tilgang enn tiltenkt uten autentisering. ServiceNow installerte en sikkerhetsoppdatering 5. juni 2026 som endret konfigurasjonen av endepunktet slik at kun autentiserte brukere får tilgang. Berørte kunder ble varslet direkte etter at selskapet observerte tegn på vellykket utnyttelse. Artikkelen beskriver aktiv utnyttelse av feilen mot kundeinstanser før oppdateringen ble rullet ut.

Anbefaling:

Bekreft at sikkerhetsoppdateringen fra 5. juni 2026 er installert og gjennomgå logger for uautoriserte API-forespørsler mot ServiceNow-instansen.

Tuesday, 9 June 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.09

Ny Linux kjernesårbarhet gjør det mulig å eskalere privilegier til root. Check Point VPN null-dagssårbarhet brukt i angrep for å distribuere løsepengevirus. Kritiske lagrede XSS-sårbarheter rettet i VMware Aria Automation.


Ny Linux kjernesårbarhet gjør det mulig å eskalere privilegier til root

En use-after-free-sårbarhet i Linux-kjernens nftables kan gjøre det mulig for lokale brukere uten administratorrettigheter å få root-rettigheter på blant annet Debian Bookworm, Debian Trixie, Ubuntu 22.04 LTS og Ubuntu 24.04 LTS.

Feilen skyldes en logisk feil i nft_map_catchall_activate(), som gjør at enkelte objekter kan bli håndtert feil når transaksjoner avbrytes. Dette kan føre til en dangling pointer og videre til en use-after-free-tilstand.

En angriper kan bruke flere nftables-transaksjoner til å hente ut informasjon om minneoppsettet og deretter ta kontroll over kjøringen i kjernen. Dette kan gi root-rettigheter og mulig brudd ut av containere og namespaces. En fungerende offentlig exploit er publisert. Sårbarheten ble rettet oppstrøms 5. februar 2026 gjennom en kjerneoppdatering.

Anbefaling:

Installer den oppstrøms kjerneoppdateringen (commit f41c5d1) eller oppdater til en distribuert kjerneversjon som inneholder rettelsen.

Check Point VPN null-dagssårbarhet brukt i angrep for å distribuere løsepengevirus

En kritisk sårbarhet i undersystemet for autentisering i Check Point Remote Access VPN og Mobile Access blir aktivt utnyttet. Det er kjent at sårbarheten utnyttes av skadevare.

CVE-2026-50751 påvirker installasjoner som bruker den utdaterte nøkkelutvekslingsprotokollen IKEv1, der en logisk feil i sertifikatvalideringen gjør at en ekstern angriper kan opprette en VPN sesjon uten gyldig passord. Berørte produkter inkluderer:

  • Mobile Access/SSL VPN

  • Remote Access VPN

  • Spark Firewall

i versjoner fra R80.20.X til R82.10.

Angrepene ble observert fra 7. mai 2026 og økte betydelig i begynnelsen av juni mot flere titalls organisasjoner globalt. Etter innledende tilgang er ytterligere handlinger nødvendig for å få tilgang til interne ressurser eller eskalere privilegier. Under etterforskningen identifiserte Check Point også CVE-2026-50752, en relatert feil i IKEv1-sertifikatvalidering som kan muliggjøre man-in-the-middle-angrep mot site-to-site VPN forbindelser under bestemte forhold.

Skadevaren Qilin ransomware har blitt observert brukt i angrep

Anbefaling:

Installer Check Points tilgjengelige oppdatering (hotfix) for berørte Security Gateways. Dersom oppdatering ikke kan gjennomføres umiddelbart, fjern støtte for eldre fjernaksessklienter, konfigurer VPN-autentisering til kun IKEv2, krev maskinsertifikatautentisering og aktiver IPS med oppdaterte signaturer. Disse avhjelpende tiltakene bør uansett gjennomføres som en del av normal herding av systemene.

Kritiske lagrede XSS-sårbarheter rettet i VMware Aria Automation

Broadcom har publisert sikkerhetsoppdateringer for tre lagrede XSS sårbarheter i VMware Aria Automation. Sårbarhetene påvirker VMware Aria Automation 8.x og skyldes utilstrekkelig validering og sanitering av brukerinput i ulike komponenter. En angriper med tilgang til produktet kan lagre skadelig JavaScript-kode som kjøres i nettleseren til andre brukere når de åpner berørte sider. Dette kan føre til kapring av brukersesjoner, utførelse av handlinger på vegne av brukeren og tilgang til sensitive data som er tilgjengelige i applikasjonen. Sårbarhetene krever autentisert tilgang, men kan påvirke brukere med høyere privilegier dersom de eksponeres for det lagrede innholdet. Broadcom har gjort oppdateringer tilgjengelige og oppfordrer kunder til å installere disse så raskt som mulig.

Anbefaling:

Installer de publiserte sikkerhetsoppdateringene for VMware Aria Automation så raskt som mulig.

Monday, 8 June 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.08

C0XMO Botnet Utvider Gafgyt med Avanserte DDoS og Spredningsfunksjoner. Miasma angrep rammer Microsoft på GitHub.


C0XMO Botnet Utvider Gafgyt med Avanserte DDoS og Spredningsfunksjoner

Sikkerhetsforskere hos Fortinet har avdekket en ny variant av Gafgyt-botnettet, kalt C0XMO, som retter seg mot DD-WRT rutere og en rekke andre enheter på tvers av arkitekturer som ARM, MIPS, PowerPC, SuperH, x86 og x86_64. Botnettet utnytter blant annet CVE-2021-27137, en uautentisert buffer overflow-sårbarhet som muliggjør fjernkjøring av kode. Malware benytter også brute force-angrep mot Telnet og SSH tjenester med svake passord for videre spredning. Etter kompromittering installerer den persistensmekanismer via cron-jobber og oppstarts-skript, samtidig som den fjerner konkurrerende botnett og sikkerhetsverktøy fra infiserte systemer. C0XMO kommuniserer med en hardkodet C2 server og støtter hele 19 ulike DDoS angrepsmetoder, inkludert TCP, UDP, SYN og ICMP floods, samt NTP og Memcached amplifiseringsangrep. Fortinet beskriver botnettet som betydelig mer avansert og modulært enn tidligere Gafgyt varianter, med mulighet for løpende utvidelse av funksjonalitet og målplattformer.

CVE-koder: CVE-2021-27137

Anbefaling:

Anbefalinger: Oppdater berørte enheter med tilgjengelige sikkerhetsoppdateringer umiddelbart. Bytt standard og svake passord på SSH og Telnet tjenester til unike og sterke brukerdetaljer. Deaktiver Telnet og ekstern administrasjon dersom det ikke er nødvendig. Overvåk nettverk for uvanlig skanning mot porter som 22, 23, 80, 443, 7547, 8080 og 8443. Gjennomfør regelmessige revisjoner av IoT enheter, rutere og DVR systemer for å identifisere kompromittering og ukjente persistensmekanismer.

Sårbarheter:

Miasma angrep rammer Microsoft på GitHub

En pågående supply chain kampanje kalt Miasma har kompromittert 73 GitHub repositories tilknyttet Microsoft (Azure, Azure‑Samples, Microsoft og MicrosoftDocs). GitHub har deaktivert repoene etter brudd på vilkår. Blant de rammede er sentrale Durable Task‑prosjekter på tvers av flere språk.

Angrepet knyttes til en re‑kompromittering av "durabletask" og utnytter tillitsmodellen i open source: ondsinnet kode publiseres med legitime nøkler. I nyere tilfeller ble skadevare pushet direkte til GitHub‑repos og trigges når utviklere åpner dem i verktøy som VS Code eller AI‑kodingsagenter.

Friday, 5 June 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.05

Cisco tetter kritisk SSRF sårbarhet i Unified Communications Manager. Ny sårbarhet i Microsoft Edge lar angripere kjøre kode.


Cisco tetter kritisk SSRF sårbarhet i Unified Communications Manager

Cisco har publisert sikkerhetsoppdateringer for CVE-2026-20230 i Cisco Unified Communications Manager (Unified CM) og Unified Communications Manager Session Management Edition (Unified CM SME). Sårbarheten er en server-side request forgery (SSRF) feil som skyldes mangelfull validering av spesifikke HTTP-forespørsler. En uautentisert angriper kan sende en spesiallaget HTTP-forespørsel til et sårbart system og få systemet til å skrive filer til det underliggende operativsystemet. Filskrivingen kan deretter brukes til å eskalere privilegier til root på den berørte enheten. Cisco oppgir CVSS-score 8.6, men vurderer den praktiske sikkerhetspåvirkningen som kritisk på grunn av muligheten for root-tilgang. Det finnes offentlig tilgjengelig proof-of-concept kode for sårbarheten, og Cisco har gjort oppdateringer tilgjengelige for berørte versjoner.

Anbefaling:

Installer de Cisco-oppdateringene som adresserer CVE-2026-20230 så snart som mulig.

Sårbarheter:

Ny sårbarhet i Microsoft Edge lar angripere kjøre kode

En nylig omtalt sårbarhet i Microsoft Edge (Chromium-basert) kan føre til fjernkjøring av kode (RCE) dersom en bruker besøker et ondsinnet nettsted. Sårbarheten utnyttes via spesiallaget webinnhold og krever normalt brukerinteraksjon. En vellykket utnyttelse kan gi angriper mulighet til å kjøre vilkårlig kode med rettighetene til innlogget bruker. Det er per nå ikke bekreftet aktiv utnyttelse i stor skala, og det finnes ingen kjente funn i kundemiljøer. Alle systemer som kjører utdaterte versjoner av Microsoft Edge kan være berørt. Risikoen vurderes som moderat til høy, gitt Edges utbredelse i virksomhetsmiljøer.

Anbefaling:

Det anbefales å oppdatere Edge til nyeste versjon så raskt som mulig. I tillegg bør organisasjoner overvåke mistenkelig nettleserrelatert aktivitet og begrense brukerrettigheter der det er mulig.

Sårbarheter:

 
>