Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Wednesday, 11 February 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.02.11

Seks aktivt utnyttede nulldagssårbarheter fikset i Microsofts februar 2026 oppdateringer. SSH Stalker bruker 15 år gammel IRC teknikk til C2. Reynolds løsepengevirus installerer ondsinnet driver for å deaktivere sikkerhetsverktøy.

Seks aktivt utnyttede nulldagssårbarheter fikset i Microsofts februar 2026 oppdateringer

Microsofts Patch Tuesday for februar 2026 retter rundt 60 sårbarheter i ulike produkter, inkludert seks aktivt utnyttede nulldagssårbarheter. Disse påvirker blant annet Windows SmartScreen, Windows Shell, Microsoft 365/Office, Internet Explorer, Desktop Window Manager, Remote Desktop Services og Remote Access Connection Manager.

Flere av sårbarhetene kan utnyttes ved at brukeren lures til å åpne en ondsinnet lenke, HTML-, LNK- eller Office fil. Andre kan gi lokal rettighetseskalering til SYSTEM nivå eller føre til tjenestenekt (DoS). Det finnes foreløpig begrenset offentlig informasjon om konkrete angrep, men funnene er blant annet kreditert Google Threat Intelligence Group, Microsoft, CrowdStrike og Acros Security. Dette kan indikere at profesjonelle aktører, muligens statssponsede, har vært involvert.

CISA har lagt de seks nulldagssårbarhetene til i sin KEV katalog, noe som understreker alvoret. I tillegg til Windows og Office har Microsoft også patchet sårbarheter i Azure, Defender, Exchange, .NET, GitHub Copilot, Edge og Power BI.

Anbefaling:

Anbefalingen er å oppdatere berørte systemer så raskt som mulig.

SSH Stalker bruker 15 år gammel IRC teknikk til C2

Linux botnettet SSHStalker benytter klassiske IRC baserte kontrollmekanismer fremfor moderne C2 rammeverk, ifølge trusselintelligensselskapet Flare. I stedet for avansert stealth prioriterer aktørene skala, robusthet og lave kostnader. Botnettet sprer seg gjennom automatisert SSH skanning og brute force angrep, blant annet via en Go-binær som utgir seg for å være verktøyet nmap.

Når et system kompromitteres, brukes det videre til å skanne nye mål, en ormlignende spredningsmekanisme. På infiserte maskiner installeres blant annet GCC for å kompilere skadevare lokalt, og vedvarende tilgang sikres gjennom cron jobber som kjøres hvert minutt og relanserer bot prosessen dersom den stoppes.

SSHStalker inneholder også exploits for 16 eldre Linux kjerne (kernel) sårbarheter (fra 2009–2010) for å eskalere privilegier. Ifølge Flare er rundt 7 000 systemer trolig berørt, hovedsakelig innenfor skymiljøer som Oracle Cloud.

Når det gjelder formål, har forskerne observert funksjonalitet for blant annet innsamling av AWS nøkler, nettsideskanning, kryptomining (blant annet PhoenixMiner) og DDoS kapasitet, selv om aktiv bruk av DDoS foreløpig ikke er bekreftet. Botene ser i stor grad ut til å være i en ventefase, noe som kan indikere testing eller tilgangslagring.

Anbefaling:

Flare anbefaler blant annet å deaktivere passordbasert SSH-autentisering, fjerne kompilatorer fra produksjonsmiljøer, overvåke IRC-lignende utgående trafikk og reagere på mistenkelige cron-jobber med hyppig kjøring.

Reynolds løsepengevirus installerer ondsinnet driver for å deaktivere sikkerhetsverktøy

Den såkalte BYOVD teknikken går ut på å misbruke legitime, men sårbare drivere for å skaffe seg høyere rettigheter i Windows og deaktivere sikkerhetsløsninger slik at angrep kan gjennomføres uoppdaget. Metoden har i flere år vært populær blant løsepengegrupper.

I en fersk kampanje knyttet til løsepengevirus familien Reynolds ble en sårbar Windows driver fra NsecSoft pakket direkte inn i selve skadevaren. Normalt distribueres slike verktøy separat for å slå av sikkerhetsprogramvare før kryptering starter. Ved å kombinere alt i én fil blir angrepet både raskere og vanskeligere å stoppe.

Driveren inneholder en kjent sårbarhet som kan brukes til å avslutte vilkårlige prosesser, blant annet sikkerhetsprogrammer fra flere kjente leverandører. Forskerne peker på at denne typen integrert forsvarsomgåelse gjør angrep enklere å gjennomføre for tilknyttede aktører og reduserer muligheten for at forsvarere oppdager aktiviteten i tide.

Samtidig viser nye rapporter at ransomware landskapet blir stadig mer profesjonalisert. Flere grupper tilbyr nå støttefunksjoner for utpressing, benytter avanserte krypteringsmetoder og retter seg i økende grad mot skytjenester og feilkonfigurerte lagringsmiljøer. Antall angrep fortsatte å øke i 2025, og gjennomsnittlig løsepengebetaling steg betydelig mot slutten av året.

Eksperter understreker at misbruk av sårbare drivere fortsatt er en alvorlig utfordring, og at defensive tiltak ofte er reaktive, noe som gjør det krevende å stanse nye varianter før de tas i bruk i faktiske angrep.

Posted by tsoc at 12:01 0 comments

Tuesday, 10 February 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.02.10

Ny Kritisk sårbarhet i FortiClientEMS. Microsoft Exchange Online markerer legitime e-poster som phishing.

Ny Kritisk sårbarhet i FortiClientEMS

Fortinet har sluppet sikkerhetsoppdateringer for en kritisk sårbarhet i FortiClientEMS (CVE-2026-21643) med en alvorlighetsgrad på 9,1, som kan gjøre det mulig for en uautorisert angriper å kjøre vilkårlig kode gjennom SQL‑injeksjon via spesiallagde HTTP‑forespørsler.

Feilen berører spesielt FortiClientEMS 7.4.4, som må oppgraderes til versjon 7.4.5 eller nyere, mens versjonene 7.2 og 8.0 ikke er påvirket. Oppdagelsen krediteres Fortinets eget sikkerhetsteam, og selv om det ikke finnes tegn til aktiv utnyttelse, anbefales rask patching.

Dette kommer samtidig som Fortinet har håndtert en annen kritisk sårbarhet (CVE-2026-24858) i flere av sine produkter, som har blitt aktivt utnyttet til å opprette admin kontoer, endre konfigurasjoner og hente ut brannmurdata.

Microsoft Exchange Online markerer legitime e-poster som phishing

Microsoft bekrefter et pågående problem med Exchange Online hvor legitime e-poster blir feilaktig merket som phishing og satt i karantene.

Problemet startet 5. februar 2026 og påvirker kunder ved at både sending og mottak av e-post er forstyrret. Årsaken er en ny URL-regel i systemets antiphishing filtre som feilaktig vurderer enkelte trygge lenker som skadelige, noe som fører til at e-postene blir klassifisert som phishing og sperret.

Microsoft jobber med å løslate karanterte meldinger tilbake til innbokser og fjerne blokkeringen av legitime URL-er, men har ikke offentliggjort nøyaktig estimat for når hele problemet er løst. Tidligere har lignende feil forekommet i Exchange Online-tjenesten.

Posted by tsoc at 13:05 0 comments

Monday, 9 February 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.02.09

Cyberangrep rammer OL-forberedelser i Italia – kobles til russiske aktører. Anthropic Claude Opus 4.6 bruker AI til å finne 500+ ukjente sårbarheter i åpen kildekode. PST trusselvurdering 2026.

Cyberangrep rammer OL-forberedelser i Italia – kobles til russiske aktører

Italienske myndigheter har avdekket pågående cyberangrep mot digitale systemer knyttet til vinter-OL i Milano-Cortina 2026. Angrepene har rammet offentlige nettsteder, transportrelaterte tjenester og arrangementsinfrastruktur, og knyttes til trusselaktører med tilknytning til Russland. Aktiviteten har hovedsakelig bestått av tjenestenektangrep (DDoS) og forsøk på å forstyrre offentlig tilgjengelige tjenester.

Ifølge italienske sikkerhetsmyndigheter inngår angrepene i bredere statlig støttede påvirkningsoperasjoner, der internasjonale sportsarrangementer brukes som symbolske mål i en geopolitisk kontekst. Hendelsene illustrerer hvordan store arrangementer med høy synlighet representerer attraktive mål for cyberoperasjoner, og understreker behovet for styrket beskyttelse av eksponert infrastruktur og økt digital beredskap i forkant av slike arrangementer.

Anthropic Claude Opus 4.6 bruker AI til å finne 500+ ukjente sårbarheter i åpen kildekode

AI-selskapet Anthropic har lansert sin nyeste store språkmodell Claude Opus 4.6, som har utmerket seg med evnen til å identifisere sikkerhetssvakheter i programvare på et nivå som tradisjonelle verktøy sliter med. Under intern testing fant modellen mer enn 500 tidligere ukjente høy-alvorlige sårbarheter i populære åpen kildekode-biblioteker som Ghostscript, OpenSC og CGIF, inkludert feil som kan føre til systemkrasj og bufferoverflow-problemer. Modellen gjorde dette uten spesialtilpassede verktøy eller detaljerte instruksjoner, ved i stedet å resonere om kode på en måte som ligner en menneskelig forsker.

Evnen til å oppdage slike feil “out-of-the-box” markerer et skifte i hvordan AI kan brukes til sikkerhetsanalyse og sårbarhetsjakt. Samtidig understreker funnene viktigheten av hurtig patching og sikker gjennomgang av avhengigheter, spesielt i programvare der tradisjonelle fuzzere og automatiske tester ofte går glipp av komplekse logiske feil. Opus 4.6 representerer både et verktøy for forsvarere og et signal om hvordan avansert AI kan endre landskapet for programvaresikkerhet fremover.

PST trusselvurdering 2026

Norge står overfor et skjerpet og vedvarende cybertrusselbilde i 2026, ifølge den nye Nasjonale trusselvurderingen fra Politiets sikkerhetstjeneste (PST). Rapporten slår fast at cyberoperasjoner er det viktigste virkemiddelet fremmede stater bruker for etterretning mot Norge.

Russland, Kina, Iran og Nord-Korea gjennomfører cyberoperasjoner direkte eller via såkalte proxy-aktører. Angrepene retter seg mot både offentlige og private virksomheter og benyttes til etterretning, kartlegging av digital infrastruktur, påvirkningsoperasjoner og i enkelte tilfeller sabotasje. PST forventer at flere slike operasjoner vil lykkes i året som kommer.

Trusselaktørene utnytter både tekniske sårbarheter, som svakheter i rutere og zero-day-feil i e-postsystemer, og menneskelige sårbarheter gjennom avansert sosial manipulering. Kinesiske aktører trekkes frem som særlig aktive i det digitale domenet, og PST advarer om at kunstig intelligens vil gjøre cyberangrep mer målrettede, effektive og vanskeligere å oppdage.

PST understreker at cybersikkerhet er et felles ansvar og oppfordrer virksomheter til å styrke beskyttelsestiltak, situasjonsforståelse og rapportering av mistenkelig digital aktivitet.

Posted by tsoc at 13:02 0 comments

Friday, 6 February 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.02.06

F5 fikser kritiske sårbarheter i BIG-IP, NGINX og relaterte produkter. Hackere bruker Windows Screensaver til å distribuere RMM-verktøy og få ekstern tilgang til systemer. Spamkampanje distribuerer falske PDF-er og installerer verktøy for fjernovervåking for vedvarende tilgang.

F5 fikser kritiske sårbarheter i BIG-IP, NGINX og relaterte produkter

F5 har publisert sin februar 2026 Quarterly Security Notification med oppdateringer som adresserer flere sårbarheter og sikkerhetseksponeringer i produkter som F5 BIG-IP, NGINX Plus, og tilknyttede tjenester. Disse feilene inkluderer hovedsakelig risikoer relatert til denial-of-service (DoS) og konfigurasjonssvakheter som kan føre til tjenesteavbrudd i miljøer som web applikasjonsbrannmurer og Kubernetes innganger. Selv om det ikke er rapportert om aktiv utnyttelse i det fri per nå, oppfordres F5 brukere, spesielt de med internett eksponerte systemer, til å oppdatere til de nyeste oppdaterte versjonene for å redusere risikoen for misbruk.

Anbefaling:

Installer de siste sikkerhetsoppdateringene umiddelbart på alle påvirkede F5 produkter (BIG-IP, NGINX Plus, osv.) for å forhindre mulige DoS angrep og begrense risiko for tjenesteavbrudd.

Hackere bruker Windows Screensaver til å distribuere RMM-verktøy og få ekstern tilgang til systemer

En ny og aktiv kampanje har blitt avdekket der angripere utnytter Windows skjermsparer filer (.scr) som et angrepsvektor for å kompromittere systemer. Teknikken begynner med en spear-phishing-e-post som lokker brukere til å laste ned en fil som ser ut som et legitimt forretningsdokument, men som egentlig er en .scr-fil som Windows kjører som et ekte program. Når filen kjøres, installeres et legitimt RMM-verktøy (Remote Monitoring and Management), som for eksempel SimpleHelp, stille og automatisk. Fordi disse verktøyene normalt brukes for gyldig ekstern administrasjon, utløser installasjonen ofte ikke sikkerhetsalarmer, og angriperne får dermed vedvarende fjernkontroll over systemet, kan stjele data, bevege seg lateralt i nettverket og potensielt distribuere skadelig programvare som ransomware. Dette representerer en skifte i trusselmetodikk ved å bruke anerkjente verktøy og tjenester som sky-hosting for å skjule ondsinnet aktivitet.

Spamkampanje distribuerer falske PDF-er og installerer verktøy for fjernovervåking for vedvarende tilgang

En aktiv spamkampanje sprer e-poster med tilsynelatende PDF-vedlegg som “Invoice_Details.pdf” eller “Defective_Product_Order.pdf” for å lure mottakere til å installere Remote Monitoring and Management (RMM) verktøy. Når offeret åpner PDF-en vises en falsk feilmelding om at dokumentet ikke kan lastes, og brukeren blir bedt om å klikke en lenke som ser ut som en Adobe nedlastingsside. I stedet for Adobe installeres RMM programvare som ScreenConnect, Syncro, NinjaOne eller SuperOps, som er legitime programvarer brukt til IT administrasjon, men her misbrukes den for å gi angripere vedvarende fjernkontroll over systemet. Programvaren er digitalt signert og omgår derfor ofte antivirus og sikkerhetsverktøy, noe som gir angripere full tilgang til maskinen med mulighet for filoverføring, skjermkontroll og langvarig tilgang

Posted by tsoc at 12:04 0 comments

Thursday, 5 February 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.02.05

CISA: VMware ESXi-sårbarhet utnyttes nå i løsepenge-angrep. Hackere kompromitterer NGINX-servere for å omdirigere brukertrafikk.

CISA: VMware ESXi-sårbarhet utnyttes nå i løsepenge-angrep

CISA har bekreftet at en sårbarhet i VMware ESXi (en hypervisor brukt til virtualisering) nå blir aktivt utnyttet av ransomware grupper. Sårbarheten er en arbitrary write sandbox escape, sporet som CVE-2025-22225.

Dette er den samme feilen som tidligere ble rapportert som en zero-day som ble rettet i mars 2025, sammen med to andre sårbarheter: CVE-2025-22224 og CVE-2025-22226.

Sårbarheten gjør det mulig for en angriper med privilegert tilgang til VMX-prosessen å skrive til kernel og omgå hypervisorens isolasjonsmekanismer. Dette kan gi full kontroll over hypervisoren og potensielt alle virtuelle maskiner som kjører på den.

Anbefaling:

Det anbefales å oppdatere alle berørte systemer i henhold til VMware sine sikkerhetsanbefalinger, og å rulle ut tilgjengelige oppdateringer som adresserer CVE-2025-22225, samt tilhørende sårbarhetene: CVE-2025-22224 og CVE-2025-22226.

Hackere kompromitterer NGINX-servere for å omdirigere brukertrafikk

Forskere ved DataDog Security Labs har avdekket at en trusselaktør aktivt kompromitterer NGINX-servere ved å injisere ondsinnede konfigurasjonsblokker i eksisterende NGINX-konfigurasjoner. Dette gjør at legitime brukerforespørsler blir fanget på bestemte URL-baner og deretter videresendt via angriperkontrollerte domener ved bruk av proxy_pass direktivet. Angrepet rammer særlig NGINX-instanser administrert med Baota-paneler og nettsteder med asiatiske TLD-er (.in, .id, .pe, .bd, .th) samt .edu og .gov-domener. Angrepet utnytter ikke en sårbarhet i NGINX-programvaren, men manipulerer konfigurasjonsfiler noe som gjør det vanskelig å oppdage uten spesifikk overvåkning. Trafikkbelastningen ser ofte legitim ut og passerer vanligvis til den opprinnelige destinasjonen, noe som kan skjule den ondsinnede videresendingen og eksponere brukere for risiko som datafangst, phishing eller levering av skadelig innhold.

Posted by tsoc at 12:21 0 comments

Wednesday, 4 February 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.02.04

Hackere utnytter kritisk React Native Metro sårbarhet for å bryte seg inn i utviklersystemer. APT28 utnytter ny Microsoft Office sårbarhet .

Hackere utnytter kritisk React Native Metro sårbarhet for å bryte seg inn i utviklersystemer

Hackere utnytter aktivt en kritisk sårbarhet i Metro serveren som brukes i React Native utviklingsmiljøer. Feilen "CVE-2025-11953" gjør at en angriper uten autentisering kan sende spesiallagde POST forespørsler til en /open-url endepunkt og dermed kjøre vilkårlige operativsystemkommandoer på både Windows og Linux/macOS maskiner. Angrepet har blitt observert fra desember 2025 til januar 2026 der skadelig kode leveres og kjøres, blant annet ved å deaktivere sikkerhetsbeskyttelse og installere ytterligere skadevare. Sårbarheten påvirker @react-native-community/cli-server-api versjoner 4.8.0 til 20.0.0-alpha.2 og er fikset i versjon 20.0.0 og senere. Ca. 3 500 Metro servere er fortsatt eksponert på internett, og aktive utnyttelser rapporteres i flere kampanjer.

Anbefaling:

Oppdater til sikker versjon (Metro 20.0.0 eller nyere), sikre utviklingsmiljøer mot internett eksponering, overvåk trafikk for uvanlige forespørsler og behandle utviklingsservere med samme sikkerhetskontroller som produksjonssystemer.

Sårbarheter:

APT28 utnytter ny Microsoft Office sårbarhet

Russisk tilknyttede APT28 utnyttet sårbarheten kun tre dager etter offentliggjøring. Kampanjen «Operation Neusploit» retter seg mot Ukraina, Slovakia og Romania via ondartede RTF filer med lokaliserte lokkemidler.

Angrepet leverer enten MiniDoor som stjeler e-post fra Outlook eller PixyNetLoader, som etablerer persistens via COM kapring og dropper Covenant Grunt implantatet. CERT-UA rapporterer over 60 ukrainske myndighetsmål.

Anbefaling:

Patch CVE-2026-21509 umiddelbart. Blokker WebDAV tilkoblinger til ukjente eksterne ressurser. Overvåk for COM kapring og mistenkelig DLL aktivitet fra explorer.exe

Sårbarheter:

Posted by tsoc at 13:13 0 comments

Tuesday, 3 February 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.02.03

Apple styrker personvernet i iOS 26.3 med ny funksjon som lar brukere begrense hvor nøyaktig posisjonsdata mobiloperatører kan samle inn.

Ny personvernfunksjon fra Apple begrenser posisjonssporing på iPhone og iPad

Apple introduserer en ny personvernfunksjon i iOS 26.3 som lar brukere begrense hvor presis posisjonsdata som deles med mobiloperatører. Med innstillingen «Begrens presis posisjon» vil mobilnett kun se en omtrentlig plassering, som nabolag, i stedet for en eksakt adresse. Funksjonen påvirker ikke nødanrop eller posisjonsdeling med apper og tjenester som «Hvor er?».

Funksjonen er foreløpig kun tilgjengelig på utvalgte iPhone- og iPad-modeller og støttes bare av enkelte mobilnett. Tiltaket kommer i kjølvannet av at FCC tidligere har ilagt store bøter til mobiloperatører for misbruk av posisjonsdata, og regnes som et viktig steg for å redusere hvor detaljert informasjon operatører kan samle om brukernes bevegelser.

Anbefaling:

Oppdater til iOS 26.3 eller nyere dersom enheten og operatøren støtter funksjonen. Aktiver «Begrens presis posisjon» i mobilinnstillingene for bedre personvern. Fortsett å gjennomgå apptillatelser for posisjonstjenester separat, da disse ikke påvirkes av funksjonen. Organisasjoner bør følge med på operatørstøtte og vurdere personvernkonsekvenser for ansatte som bruker firmatelefoner.

Posted by tsoc at 10:28 0 comments

Monday, 2 February 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.02.02

Notepad++ sin offisielle oppdateringsmekanisme ble kapret for å levere skadevare til utvalgte brukere. Ny personvernfunksjon fra Apple begrenser posisjonssporing på iPhone og iPad.

Notepad++ sin offisielle oppdateringsmekanisme ble kapret for å levere skadevare til utvalgte brukere

Vedlikeholderen av Notepad++ har avslørt at statssponsede angripere kapret programmets oppdateringsmekanisme og omdirigerte oppdateringstrafikk til ondsinnede servere. Angrepet skyldtes en svakhet hos hosting-leverandøren, ikke en feil i selve Notepad++-koden, og gjorde det mulig å levere manipulerte oppdateringer via WinGUp til utvalgte brukere.

Ifølge sikkerhetsforsker Kevin Beaumont ble angrepet brukt av Kina-tilknyttede trusselaktører for å spre skadevare. Hendelsen startet trolig i juni 2025 og varte frem til desember samme år. Notepad++ har nå flyttet nettstedet til en ny hosting-leverandør.

Ny personvernfunksjon fra Apple begrenser posisjonssporing på iPhone og iPad

Apple introduserer en ny personvernfunksjon i iOS 26.3 som lar brukere begrense hvor presis posisjonsdata som deles med mobiloperatører. Med innstillingen «Begrens presis posisjon» vil mobilnett kun se en omtrentlig plassering, som nabolag, i stedet for en eksakt adresse. Funksjonen påvirker ikke nødanrop eller posisjonsdeling med apper og tjenester som «Hvor er?».

Funksjonen er foreløpig kun tilgjengelig på utvalgte iPhone- og iPad-modeller og støttes bare av enkelte mobilnett. Tiltaket kommer i kjølvannet av at FCC tidligere har ilagt store bøter til mobiloperatører for misbruk av posisjonsdata, og regnes som et viktig steg for å redusere hvor detaljert informasjon operatører kan samle om brukernes bevegelser.

Anbefaling:

Oppdater til iOS 26.3 eller nyere dersom enheten og operatøren støtter funksjonen. Aktiver «Begrens presis posisjon» i mobilinnstillingene for bedre personvern. Fortsett å gjennomgå apptillatelser for posisjonstjenester separat, da disse ikke påvirkes av funksjonen. Organisasjoner bør følge med på operatørstøtte og vurdere personvernkonsekvenser for ansatte som bruker firmatelefoner.

Posted by tsoc at 13:21 0 comments

Friday, 30 January 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.01.30

To nulldagssårbarheter i Ivanti EPMM benyttet i angrep. Ny Microsoft Teams funksjon lar deg rapportere mistenkelige samtaler.

To nulldagssårbarheter i Ivanti EPMM benyttet i angrep

Ivanti har offentliggjort to kritiske nulldagssårbarheter (CVE‑2026‑1281 og CVE‑2026‑1340) i Endpoint Manager Mobile (EPMM) som gjør det mulig for angripere å kjøre vilkårlig kode uten autentisering.

Feilene utnyttes aktivt og kan gi angripere tilgang til omfattende bruker‑ og enhetsdata. De kan også gi mulighet til å endre konfigurasjoner via API eller webkonsoll. Ivanti har utgitt midlertidige RPM patcher uten nedetid, men disse må reinstaleres ved oppgraderinger frem til en permanent fiks kommer i versjon 12.8.0.0 senere i Q1 2026.

Selskapet gir også veiledning for å oppdage angrep, inkludert regex søk i Apache logger, og anbefaler å gjenopprette fra kjent god backup hvis kompromittering mistenkes. CISA har lagt én av sårbarhetene til sin KEV liste.

Ny Microsoft Teams funksjon lar deg rapportere mistenkelige samtaler

Microsoft ruller ut en ny «Report a Call» funksjon i Microsoft Teams, planlagt tilgjengelig fra midten av mars 2026. Denne lar brukere flagge mistenkelige eller uønskede "én-til-én-samtaler" som potensielle svindel eller phishing forsøk. Funksjonen er aktivert som standard, men kan deaktiveres av administratorer i Teams Admin Center under innstillingene for Calling.

Når en samtale rapporteres, deles begrenset metadata (tidspunkt, varighet, anroper ID og deltaker Teams IDer) med organisasjonen og Microsoft som får videre behandling. Administratorer kan se rapporterte hendelser i Microsoft Defender portalen, mens organisasjoner uten Defender lisenser får grunnleggende informasjon i Teams Admin Center.

Funksjonen forventes utrullet globalt innen april 2026.

Posted by tsoc at 12:06 0 comments

Thursday, 29 January 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.01.29

Hackere bytter til Tsundere Bot i nye løsepengeangrep . Ny sandbox escape sårbarhet utsetter n8n instanser for RCE angrep. Falsk Moltbot AI kodeassistent på VS Code Marketplace sprer skadevare.

Hackere bytter til Tsundere Bot i nye løsepengeangrep

Trusselaktøren TA584 trapper opp virksomheten og bruker nå Tsundere Bot og XWorm for å skaffe seg initial tilgang som kan ende i løsepengeangrep.

Angrepene starter med e‑poster fra kompromitterte kontoer som leder ofre gjennom filtrering, CAPTCHA og en falsk ClickFix side som får dem til å kjøre en PowerShell kommando. Denne laster ned og kjører enten XWorm eller Tsundere Bot, et fleksibelt "Malware as a Service" verktøy som kan samle informasjon, bevege seg i nettverket og hente ned andre ondartede komponenter.

Proofpoint ser en kraftig økning i TA584 aktivitet og forventer at aktøren vil fortsette å utvide målrettingen og eksperimentere med nye verktøy.

Ny sandbox escape sårbarhet utsetter n8n instanser for RCE angrep

Det er avdekket to alvorlige sårbarheter i n8n, en populær plattform for workflow automatisering, som gjør det mulig for autentiserte angripere å bryte ut av sandbox miljøer og utføre vilkårlig kode på vertsoperativsystemet.

Sårbarhetene påvirker både JavaScript baserte eval noder og Python noder, der utilstrekkelig isolering gjør det mulig å få tilgang til hovedprosessen, miljøvariabler og underliggende systemressurser. Vellykket utnyttelse kan føre til full kompromittering av n8n instansen, inkludert eksponering av API nøkler, tokens, legitimasjon og videre lateral bevegelse i interne nettverk. Gitt at n8n ofte brukes som et sentralt integrasjonspunkt mot interne systemer og tredjepartstjenester, vurderes konsekvensene som betydelige selv om angrepene krever autentisert tilgang.

Anbefaling:

Oppdater n8n umiddelbart til versjoner som inneholder sikkerhetsfikser: CVE-2026-1470: 1.123.17, 2.4.5, 2.5.1 eller nyere, CVE-2026-0863: 1.123.14, 2.3.5, 2.4.2 eller nyere

Falsk Moltbot AI kodeassistent på VS Code Marketplace sprer skadevare

En ny, falsk Visual Studio Code utvidelse som utgir seg for å være en Moltbot basert AI kodeassistent ble nylig oppdaget på den offisielle VS Code Marketplace. Utvidelsen, kalt “ClawdBot Agent – AI Coding Assistant”, ble publisert 27. januar 2026 av en bruker med navnet clawdbot, til tross for at Moltbot ikke har noen legitim VS Code utvidelse.

Når den installeres, kjører den automatisk ved oppstart av VS Code og henter en config.json fra en ekstern server. Denne instruerer utvidelsen til å kjøre en ondartet binær kalt Code.exe, som installerer et legitimt fjernstyringsverktøy som ConnectWise ScreenConnect og kobler seg til angriperens infrastruktur for vedvarende ekstern tilgang. Utvidelsen har også flere reserve­mekanismer, blant annet ved å laste ned og sideloade en Rust kompilert DLL (DWrite.dll) fra Dropbox. I tillegg inneholder den hardkodede alternative URLer og batch skript som kan hente ondartede komponenter fra andre domener.

Angrepet utnytter Moltbots økende popularitet for å lure utviklere, og kan kompromittere både utviklingsklienter og tilknyttede nettverk. Microsoft har fjernet utvidelsen etter funnene.

Posted by tsoc at 12:17 0 comments

Wednesday, 28 January 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.01.28

Fortinet har utgitt sikkerhetsoppdateringer for CVE-2026-24858 etter at aktiv utnyttelse av FortiOS SSO ble oppdaget. Kritiske sårbarheter i VMware vCenter Server og Cloud Foundation. Hackere bruker Teams til å levere skadelig innhold som utgir seg for å være Microsoft-tjenester.

Fortinet har utgitt sikkerhetsoppdateringer for CVE-2026-24858 etter at aktiv utnyttelse av FortiOS SSO ble oppdaget

Fortinet har utgitt sikkerhetsoppdateringer for en kritisk sårbarhet i FortiOS (CVE-2026-24858, CVSS 9,4) som utnyttes aktivt. Feilen er knyttet til FortiCloud Single Sign-On (SSO) og påvirker FortiOS, FortiManager og FortiAnalyzer.

Sårbarheten kan gjøre det mulig for en angriper med FortiCloud-konto å logge inn på andre kunders enheter dersom FortiCloud SSO er aktivert. SSO er ikke aktivert som standard, men kan være slått på i enkelte miljøer.

Fortinet har bekreftet at trusselaktører har utnyttet sårbarheten til å få uautorisert administrativ tilgang, opprette lokale admin-kontoer, endre konfigurasjoner og hente ut data.

Fortinet har midlertidig deaktivert og deretter gjenaktivert FortiCloud SSO, med krav om oppgradering til siste programvareversjon. Kunder anbefales å oppgradere umiddelbart, kontrollere konfigurasjoner og rotere relevante passord.

CVE-2026-24858 er lagt til CISA sin liste over kjente utnyttede sårbarheter, med frist for utbedring 30. januar 2026.

Anbefaling:

Oppgrader umiddelbart til nyeste firmware på berørte Fortinet-produkter. Deaktiver FortiCloud SSO hvis den ikke er nødvendig, og følg med på mistenkelig admin- og VPN-aktivitet.

Kritiske sårbarheter i VMware vCenter Server og Cloud Foundation

VMware har publisert sikkerhetsoppdateringer for flere alvorlige sårbarheter i vCenter Server som også påvirker VMware Cloud Foundation. To kritiske heap-overflow-sårbarheter (CVE-2024-37079 og CVE-2024-37080) i DCERPC-implementasjonen kan utnyttes av en angriper med nettverkstilgang og kan føre til fjernkjøring av kode. Det er indikasjoner på at CVE-2024-37079 allerede er utnyttet aktivt.

I tillegg er det avdekket en viktig lokal rettighetseskaleringssårbarhet (CVE-2024-37081) som kan gi en lokal, autentisert bruker mulighet til å eskalere privilegier til root på vCenter Server Appliance.

Det finnes ingen fungerende workarounds. VMware anbefaler å oppgradere til fastsatte, korrigerte versjoner så raskt som mulig for å redusere risiko.

Anbefaling:

Oppgrader umiddelbart til anbefalt "Fixed Versions". For vCenter Server-instanser som er eksponert mot internett, anbefales det å fjerne tilgangen umiddelbart frem til oppdatering er gjennomført.

Hackere bruker Teams til å levere skadelig innhold som utgir seg for å være Microsoft-tjenester

En ny sofistikert phishing kampanje utnytter Microsoft Teams sin legitime funksjon «Invite a Guest» for å distribuere ondartet innhold som etterligner Microsoft tjenester. 

Trusselaktørene oppretter falske Teams grupper med villedende navn som imiterer faktureringsvarsler (for eksempel «Subscription Auto-Pay Notice…») og inviterer eksterne brukere. Mottakeren får deretter en e‑post sendt fra en legitim Microsoft adresse som passerer autentiseringskontroller som SPF, DKIM og DMARC, men som inneholder manipulert tekst og et telefonnummer til en falsk supportlinje.

Angrepene har omfattet minst 12 866 phishing meldinger og rundt 6 135 ofre, særlig i USA. Målrettede sektorer inkluderer produksjon, ingeniørarbeid, utdanning, teknologi og profesjonelle tjenester.

Posted by tsoc at 13:39 0 comments

Tuesday, 27 January 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.01.27

Microsoft patcher nulldagssårbarhet som blir aktivt utnyttet.

Microsoft patcher nulldagssårbarhet som blir aktivt utnyttet

Microsoft har gitt ut sikkerhetsoppdateringer for å fikse en aktivt utnyttet nulldagssårbarhet i Microsoft Office som lar angripere omgå sikkerhetsfunksjoner hvis en bruker åpner en ondartet Office fil. Sårbarheten har fått CVE-2026-21509 med score 7.8. For at angrepet skal lykkes må angripere lure brukere til å åpne filer. En midlertidig løsning finnes ved å modifisere enkelte registerverdier, men det anbefales å installere den offisielle oppdateringen for eldre Office versjoner.

Brukere med Office 2021 og nyere får beskyttelse automatisk via en server-side endring fra Microsoft, men må starte Office programmene på nytt for at oppdateringen skal tre i kraft.

Sårbarheter:

Posted by tsoc at 12:32 0 comments

Monday, 26 January 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.01.26

Sårbarheter i FortiCloud-SSO utnyttes framdeles etter patching.

Sårbarheter i FortiCloud-SSO utnyttes framdeles etter patching

Fortinet har bekreftet at sårbarheter i FortiCloud SSO-autentisering (CVE-2025-59718 og CVE-2025-59719, begge med score 9.8) fortsatt kan utnyttes selv på oppdaterte FortiGate-brannmurer. De jobber nå med en komplett utbedring. Angripere har klart å omgå de tidligere utgitte patchene ved å sende manipulerte SAML-meldinger for å få til vellykkede SSO-pålogging uten å ha gyldige legitimasjoner. Etter uautorisert tilgang har de opprettet generiske kontoer, gjort konfigurasjonsendringer som gir VPN-tilgang, og eksfiltrert brannmurkonfigurasjoner.

Fortinet anbefaler å begrense administrativ internettilgang og å midlertidig deaktivere FortiCloud SSO-pålogging som tiltak inntil løsning er ute.

Posted by tsoc at 12:05 0 comments

Friday, 23 January 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.01.23

Cisco fikser aktivt utnyttet Zero-day sårbarhet i Unified CM og Webex. Proxyware skadelig programvare forkledd som Notepad++ verktøy utnytter Windows Utforsker prosessen til å kapre systemer. Ondsinnet PyPI pakke etterligner SymPy og distribuerer XMRig miner på Linux hosts.

Cisco fikser aktivt utnyttet Zero-day sårbarhet i Unified CM og Webex

Cisco har utgitt sikkerhetsoppdateringer for å fikse en kritisk Zero-day sårbarhet (CVE-2026-20045) i flere Unified Communications produkter og Webex Calling Dedicated Instance som har blitt aktivt utnyttet i angrep. Sårbarheten skyldes feil i validering av bruker input i HTTP forespørsler til det web-baserte management grensesnittet, noe som kan tillate en uautentisert angriper å kjøre vilkårlige kommandoer på operativsystemet og deretter eskalere til root rettigheter. Cisco er klar over forsøk på utnyttelse i det fri og anbefaler umiddelbar oppgradering til patchede versjoner da ingen midlertidige "workarounds" finnes. Sårbarheten er lagt til i CISA Known Exploited Vulnerabilities katalogen med krav om patch innen 11. februar 2026 for amerikanske føderale byråer.

Anbefaling:

Oppgrader alle berørte Cisco Unified CM og Webex instanser til de nyeste versjonene som fikser CVE-2026-20045 (inkluderer blant annet 14SU5 og 15SU4 patcher) så snart som mulig. Gjennomgå og sikre at web-baserte management grensesnitt er beskyttet bak brannmurer og ikke offentlig eksponert der det er mulig. Overvåk nettverk og systemer for tegn på tidligere kompromittering før patching.

Sårbarheter:

Proxyware skadelig programvare forkledd som Notepad++ verktøy utnytter Windows Utforsker prosessen til å kapre systemer

En ny, sofistikert proxyware kampanje har blitt oppdaget som utkler skadelig programvare som en legitim Notepad++ installasjon for å infisere brukernes systemer. Trusselaktøren kjent som Larva-25012 bruker falske nedlastingssider og annonser for piratkopiert programvare for å lure ofre til å laste ned pakker som inneholder både en legitim Notepad++ installerer og en skjult skadelig komponent. Når installasjonen kjøres, etablerer skadevare persistens via "Windows Task Scheduler", injiserer seg i kjørende prosesser (f.eks. explorer.exe), og installerer proxyware moduler som Infatica og DigitalPulse for å kapre offerets internettbåndbredde og generere inntekter for angriperen uten brukerens samtykke, en teknikk som kalles proxyjacking. Skadevare komponentene benytter "DLL side-loading", PowerShell skript, og endrer Windows Defender innstillinger for å unngå deteksjon. Distribusjonen har i stor grad blitt sett i Sør-Korea via GitHub hostede MSP/ZIP pakker som inneholder de skadelige filene.

Ondsinnet PyPI pakke etterligner SymPy og distribuerer XMRig miner på Linux hosts

En ondsinnet pakke på Python Package Index (PyPI) ved navn sympy-dev har blitt oppdaget at etterligner det populære biblioteket for matematikk; SymPy for å lure brukere til å installere den. Pakken har blitt lastet ned over 1 100 ganger siden publisering 17. januar 2026 og inneholder modifisert kode som fungerer som en loader for en XMRig cryptocurrency miner på Linux systemer. Den ondsinnede koden aktiveres kun når bestemte funksjoner kalles, henter en konfigurasjon og en ELF payload fra en angriper kontrollert server, og kjører mining prosessen i minnet for å unngå spor på disk. I tillegg kan implantsfunksjonen kjøre vilkårlig annen kode med Python prosessen privilegier. Pakken er fortsatt tilgjengelig på PyPI per nå.

Posted by tsoc at 12:25 0 comments

Thursday, 22 January 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.01.22

Kritiske sårbarheter i samtlige produkter fra Cisco.

Kritiske sårbarheter i samtlige produkter fra Cisco

Adminpanelet til flere Cisco Unified Communications-produkter har en sårbarhet som Cisco selv klassifiserer som kritisk. Sårbarheten gir en angriper og mulighet til å elevere privilegier til tilsvarende root og kjøre kommandoer som root på det underliggende operativsystemet. Sårbarheten har fått CVSS score 8.2.

Utnyttelse krever at adminpanelet kan nås fra nettverket.

Svakheten ligger i manglende validering av HTTP-spørringer til den underliggende serveren, noe som gjør at autentisering ikke kreves.

Merk at versjon 12 av berørte produkter ikke lenger er støttet og vil IKKE få oppdatering som løser sårbarheten.

Følgende Cisco produkter er sårbare:

  • Unified CM

  • Unified CM SME

  • Unified CM IM&P

  • Unity Connection

  • Webex Calling Dedicated Instance

Anbefaling:

Oppdater til minst følgende versjoner: 14SU5, 5SU4 (Mar 2026). Sørg for at adminpanel ikke er eksponert mot internett, helst bør tilgang begrenses til faste og dedikerte interne IP’er. Det anbefales også å skjerme adminpanelet med VPN-tilgang som en ekstra sikkerhet. Sørg for at adminpanelet IKKE kan nå ikke-relevane enheter på nettverket for å forhindre sideveis-forflytning.

Sårbarheter:

Posted by tsoc at 15:20 0 comments

Wednesday, 21 January 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.01.21

Vedrørende tidligere utsending idag. Fake ad blocker utvidelse krasjer nettleseren for ClickFix-angrep. Ny phishing-kampanje utnytter LinkedIn-meldinger for å spre skadevare.

Vedrørende tidligere utsending idag

Telenor Cyberdefence beklager feilutsendingen av nyhetsbrevet tidligere i dag, her kommer dagens nyhetsbrev.

Fake ad blocker utvidelse krasjer nettleseren for ClickFix-angrep

En ondartet malvertising-kampanje har brukt en falsk Chrome/Edge utvidelse kalt NexShield som utgir seg for å være en annonse og sporingsblokker. Utvidelsen krasjer brukernes nettleser gjennom en ressursutarming (DoS) ved å åpne utallige interne tilkoblinger, og når nettleseren starter på nytt vises et falskt varsel om «unormalt stopp» og en anbefaling om å utføre en «scan».

Hvis brukeren følger instruksjonene og limer inn kommandoen som ligger i utklippstavlen, kjøres en skjult PowerShell-kommando som laster ned og kjører skadelig kode. For domenetilknyttede (enterprise) maskiner installeres en Python basert remote access trojan kalt ModeloRAT, som kan utføre systemreconnaissance, kjøre kommandoer, endre register, hente inn flere payloads og oppdatere seg selv.

Denne kampanjen er en variant av ClickFix angrep som er blitt døpt CrashFix, og den tilskrives trusselaktøren kjent som KongTuke. Utvidelsen er fjernet fra Chrome Web Store, men brukere som har installert den må gjennomføre full systemrens siden fjerning av utvidelsen ikke sletter alle infiserte komponenter.

Ny phishing-kampanje utnytter LinkedIn-meldinger for å spre skadevare

Sikkerhetsforskere hos ReliaQuest har avdekket en ny phishing-kampanje som bruker private meldinger på LinkedIn til å spre ondartet programvare.

Trusselaktører tar kontakt med personer i nøkkelposisjoner via LinkedIn, bygger tillit, og lurer dem til å laste ned en infisert WinRAR-fil. Når filen åpnes, installeres en legitim PDF-leser sammen med en ondartet DLL-fil som kjører i bakgrunnen. Angriperne bruker deretter en Python-tolker til å etablere vedvarende fjerntilgang til systemet.

I motsetning til e-post, der de fleste organisasjoner har sikkerhetsverktøy på plass, mangler sosiale medier ofte samme overvåking. Dette gjør direktemeldinger til en attraktiv kanal for angripere som ønsker å omgå tradisjonelle sikkerhetskontroller.

Kampanjen ser ut til å være bred og opportunistisk, rettet mot flere bransjer og regioner. Når angriperne først har fått tilgang, kan de eskalere privilegier, bevege seg lateralt i nettverket og eksfiltrere data.

Posted by tsoc at 13:12 0 comments

Monday, 19 January 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.01.19

Kritisk sikkerhetssårbarhet i WordPress-plugin utnyttes aktivt.

Kritisk sikkerhetssårbarhet i WordPress-plugin utnyttes aktivt

En kritisk sikkerhetssårbarhet i WordPress-pluginen Modular DS utnyttes nå aktivt av angripere, ifølge sikkerhetsselskapet Patchstack.

Sårbarheten (CVE-2026-23550) har fått høyeste alvorlighetsgrad (CVSS 10.0) og gjør det mulig for uautentiserte angripere å få administratortilgang til nettsteder. Feilen finnes i alle versjoner til og med 2.5.1, og er rettet i versjon 2.5.2. Over 40 000 nettsteder bruker pluginen.

Problemet skyldes flere designvalg som sammen skaper en sikkerhetssårbarhet: Et «direct-request»-modus kan omgå autentisering ved å legge til spesifikke parametere i URL-en. Dette gir tilgang til sensitive funksjoner som innlogging og systemdata.

Angrepene ble først oppdaget 13. januar 2026, der hackere forsøkte å opprette admin-brukere via sårbare endepunkter.

Anbefaling:

Brukere oppfordres til å oppdatere umiddelbart og sjekke om nettsteder er kompromittert ved å se etter ukjente admin-kontoer eller mistenkelig aktivitet.

Sårbarheter:

Posted by tsoc at 13:14 0 comments

Friday, 16 January 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.01.16

Kritisk sårbarhet i FortiOS/FortiSwichManager. Ny StackWarp sårbarhet truer konfidensielle VM-er på AMD plattformer.

Kritisk sårbarhet i FortiOS/FortiSwichManager

Fortinet har varslet om en alvorlig sårbarhet i FortiOS og FortiSwitchManager som kan gjøre det mulig for en angriper å kjøre kode på sårbare enheter. Sårbarheten krever tilgang til cw_acd-daemonen, som ofte er eksponert på UDP-portene 5246–5249. Det finnes per nå ingen kjente aktive angrep eller offentlig tilgjengelig utnyttelseskode.

Berørte produkter må oppdateres til faste versjoner for å lukke sårbarheten (se under Tiltak).

Internetteksponerte instanser bør oppdateres senest 18. januar 2026, og øvrige instanser senest 29. januar 2026.

På bakgrunn av sårbarhetens alvorlighetsgrad vurderes det som mulig at den vil bli utnyttet over tid dersom tiltak ikke gjennomføres.

Anbefaling:

Sårbarheten lukkes i følgende versjoner av FortiOS:  -7.6.4  - 7.4.9  - 7.2.12  - 7.0.18  - 6.14.17 Sårbarheten lukkes i følgende versjoner av FortiSwitchManager:  - 7.2.7  - 7.0.6

Ny StackWarp sårbarhet truer konfidensielle VM-er på AMD plattformer

Sikkerhetsforskere har funnet en ny sårbarhet, kalt StackWarp, som rammer AMD prosessorer basert på Zen arkitekturen (Zen 1–Zen 5). Sårbarheten kan gjøre det mulig å bryte beskyttelsen i konfidensielle virtuelle maskiner (VM-er) som bruker AMD Secure Encrypted Virtualization med Secure Nested Paging (SEV-SNP).

Feilen ligger i hvordan prosessoren håndterer stack operasjoner. En angriper som har kontroll over den fysiske serveren kan i enkelte tilfeller påvirke kjøringen av en VM, og oppnå høyere rettigheter eller kjøre egen kode inne i VM-en. Det er per nå ingen kjente aktive angrep eller offentlig tilgjengelig angrepskode.

AMD er gjort kjent med sårbarheten, som er registrert som CVE-2025-29943, og har publisert sikkerhetsoppdateringer. Selv om angrep krever høy tilgang, vurderes det som mulig at sårbarheten kan bli utnyttet over tid dersom oppdateringer ikke installeres.

Anbefalinger:

Virksomheter som bruker AMD baserte servere med konfidensielle VM-er bør sørge for at mikrokode, firmware og andre systemoppdateringer er oppdatert i tråd med leverandørens anbefalinger. Det bør også avklares med sky leverandører at nødvendige tiltak er på plass.

Sårbarheter:

Posted by tsoc at 12:01 0 comments

Thursday, 15 January 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.01.15

Fortinet fikser kritisk FortiSIEM feil som tillater uautorisert ekstern kjøring av kode.

Fortinet fikser kritisk FortiSIEM feil som tillater uautorisert ekstern kjøring av kode

Fortinet har utgitt sikkerhetsoppdateringer for å fikse en kritisk sårbarhet i FortiSIEM som kan tillate en uatentisert angriper å kjøre vilkårlig kode på sårbare systemer. Sårbarheten, CVE-2025-64155, er en OS-kommando injeksjonsfeil med CVSS-score på 9.4 (Critical), og påvirker Super og Worker noder i FortiSIEM. Angripere kan sende manipulerte TCP forespørsler til phMonitor tjenesten (port 7900) som ikke krever autentisering, og dermed skrive filer som kan gi remote code execution (RCE) og root tilgang. Fortinet har utgitt fiks for en rekke versjoner (6.7.0–7.4.0), og anbefaler oppgradering til sikre versjoner samt å begrense tilgang til phMonitor porten som en midlertidig mitigering. Fortinet har også sendt ut fiks for en annen kritisk sårbarhet i FortiFone (Fortinet har også levert rettelser for et annet kritisk sikkerhetsproblem i FortiFone (CVE-2025-47855, CVSS-score: 9.3).

Anbefaling:

Oppgrader FortiSIEM til de nyeste versjonene som har fikset sårbarheten (f.eks. 7.1.9+, 7.2.7+, 7.3.5+, 7.4.1+). Begrens nettverkstilgang til phMonitor porten (TCP 7900) for kun betrodde interne systemer som midlertidig tiltak. Begrens nettverkstilgang til phMonitor-porten (TCP 7900) for kun betrodde interne systemer som midlertidig tiltak..

Posted by tsoc at 12:30 0 comments

Wednesday, 14 January 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.01.14

Microsoft sikkerhetsoppdateringer Tirsdag – Januar 2026: 114 sårbarheter med 3 nulldagssårbarhet fikset.

Microsoft sikkerhetsoppdateringer Tirsdag – Januar 2026: 114 sårbarheter med 3 nulldagssårbarhet fikset

Microsoft har utgitt sin første månedlige sikkerhetsoppdatering for 2026 den 13. januar. Dette inkluderer sikkerhetsoppdateringer som retter 114 sårbarheter i Windows og andre produkter, inkludert tre null-dagssårbarheter. Blant disse er CVE-2026-20805 aktivt utnyttet, og to (CVE-2026-21265, CVE-2023-31096) er offentlig kjente. Oppdateringene inneholder også åtte kritiske feil som tillot ekstern kjøring av kode og privilegie eskalering.

Anbefaling:

Microsoft anbefaler å installere disse oppdateringene så snart som mulig, spesielt på systemer som er utsatt for nettverkseksponering eller kjører kritiske tjenester.

Posted by tsoc at 12:30 0 comments

Tuesday, 13 January 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.01.13

CISA legger til ny aktivt utnyttet sårbarhet i KEV-katalogen.

CISA legger til ny aktivt utnyttet sårbarhet i KEV-katalogen

CISA har lagt til en ny sårbarhet i sin Known Exploited Vulnerabilities (KEV) katalog. Sårbarheten, CVE-2025-8110, påvirker Gogs og er en path traversal-sårbarhet som er blitt observert utnyttet av ondsinnede aktører. Sårbarheten stammer fra en feil håndtering av symbolske lenker i PutContents API i Gogs, som da tillater lokal kjøring av kode. Videre oppfordrer CISA alle typer virksomheter til å gjøre nødvendige tiltak for å minimere eksponering for cyberangrep.

Anbefaling:

Det anbefales å ta i bruk mitigeringer i henhold til leverandørens instruksjoner, og følge gjeldende BOD 22-01-veiledning for skytjenester. Ellers bør man vurdere å avbryte bruken av produktet om tiltakene for mitigering ikke er mulig.

Sårbarheter:

Posted by tsoc at 13:52 0 comments

Monday, 12 January 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.01.12

Alvorlig sårbarhet i Pakkebehandleren pnpm. BreachForums-database lekket – 324 000 kontoer eksponert.

Alvorlig sårbarhet i Pakkebehandleren pnpm

En sårbarhet i pnpm v10.0.0–10.25 gjør det mulig for git-baserte avhengigheter å kjøre kode under installasjon og omgå innebygde sikkerhetsmekanismer. Dette kan føre til ekstern kodekjøring uten godkjenning.

Anbefaling:

Anbefalt tiltak er å oppgradere til pnpm 10.26.0 eller nyere.

Sårbarheter:

BreachForums-database lekket – 324 000 kontoer eksponert

Hackerforumet BreachForums har fått sin database lekket med 324 000 kontoer, inkludert brukernavn, IP-adresser og registreringsdatoer.

Lekkasjen stammer fra en gammel backup som ble publisert av gruppen "ShinyHunters" og inneholder også en kompromittert PGP-nøkkel. Over 70 000 innlegg har ekte IP-adresser som kan avsløre brukerene sin lokasjon og utgjør en stor OPSEC-risiko. Administratoren hevder at lekkasjen ikke skyldes et nytt angrep, men en feil under "restore" fra backup etter tidligere beslag av forumets domener.

Hendelsen har fornyet spekulasjoner om forumets sikkerhet og mulige myndighetskontroll. BreachForums har tidligere vært knyttet til store datainnbrudd og utpressingsaksjoner.

Posted by tsoc at 12:09 0 comments

Friday, 9 January 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.01.09

Ny sårbarhet i Cisco Identity Service Engine og ISE Passive I dentity Connector.

Ny sårbarhet i Cisco Identity Service Engine og ISE Passive I dentity Connector

Cisco har utgitt sikkerhetsoppdateringer for en sårbarhet (CVE-2026-20029) i Identity Services Engine (ISE) og ISE Passive Identity Connector, som kan utnyttes av angripere med administratorrettigheter til å lese sensitive filer på systemet via manipulert XML‑behandling. Selv om det ikke finnes tegn til aktiv utnyttelse, er det publisert fungerende angrepskode, og Cisco anbefaler på det sterkeste å oppgradere til versjoner hvor sårbarheten er patchet.

Selskapet har samtidig rettet flere IOS XE‑sårbarheter og minner om tidligere kritiske ISE‑ og AsyncOS‑zero‑days som har vært aktivt utnyttet av trusselaktører, inkludert en kinesisk gruppe. Inntil enkelte ventende sikkerhetsoppdateringer er klare, råder Cisco kunder til å begrense tilgang og sikre utsatte enheter bak brannmurer.

Posted by tsoc at 13:04 0 comments

Thursday, 8 January 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.01.08

Kritisk sårbarhet i n8n (CVSS 10.0) lar uautoriserte angripere ta full kontroll. Kritisk sårbarhet i HPE OneView blir aktivt utnyttet i angrep . Telenor Cyberdefence sin kvartalsrapport for Q4 2024.

Kritisk sårbarhet i n8n (CVSS 10.0) lar uautoriserte angripere ta full kontroll

En ny kritisk sårbarhet i n8n gjør det mulig for uautentiserte angripere å oppnå full kontroll over sårbare installasjoner. Sårbarheten er registrert som CVE-2026-21858 og har en CVSS-score på 10.0.

Feilen skyldes en svakhet i håndteringen av form-baserte webhooks, der manglende validering av "Content-Type" gjør det mulig å manipulere filbehandling. Dette kan utnyttes til å lese vilkårlige filer, hente sensitive hemmeligheter, omgå autentisering og videre eskalere til vilkårlig kommandoeksekvering.

Sårbarheten inngår i en rekke nylig offentliggjorte kritiske feil i n8n. De siste to ukene har plattformen fikset flere alvorlige sårbarheter, inkludert CVE-2025-68613 og CVE-2025-68668 (N8scape), som muliggjorde fjernkodeeksekvering for autentiserte brukere, samt CVE-2026-21877, en kritisk feil i filopplasting som kunne føre til full kompromittering av instanser.

I motsetning til disse krever CVE-2026-21858 ingen autentisering, noe som øker risikoen betydelig.

Feilen berører alle versjoner til og med 1.65.0, og er fikset i versjon 1.121.0, publisert 18. november 2025. Nyere versjoner i både 1.x- og 2.x grenene er ikke påvirket.

Brukere anbefales å oppgradere umiddelbart og sikre at Forms og webhooks ikke er eksponert uten autentisering.

Sårbarheter:

Kritisk sårbarhet i HPE OneView blir aktivt utnyttet i angrep

CISA advarer om at en kritisk sårbarhet i HPE OneView (CVE‑2025‑37164) nå aktivt utnyttes i angrep. Feilen, som påvirker alle versjoner før 11.00, gjør det mulig for uautentiserte angripere å oppnå fjernkjøring av kode gjennom en enkel injeksjonsmetode. HPE har ingen midlertidige tiltak og ber alle kunder oppgradere til versjon 11.00 umiddelbart.

Sårbarheten er lagt til i CISA sin katalog over aktivt utnyttede svakheter, og amerikanske føderale etater må sikre systemene sine innen 28. januar. CISA oppfordrer også private virksomheter til å oppdatere raskt, ettersom slike svakheter ofte brukes av ondsinnede aktører. Dette kommer i kjølvannet av flere andre sikkerhetsproblemer hos HPE det siste året, inkludert hardkodede brukerdetaljer og flere alvorlige sårbarheter i andre produkter.

Sårbarheter:

Telenor Cyberdefence sin kvartalsrapport for Q4 2024

Telenor Cyberdefence sin kvartalsrapport for Q4 2024 er klar og ligger på TCD sin nettside.

Høydepunkter er:

Angrepene er mer målrettede, utnytter identitet, mennesker og skaleres med AI.

Fra avansert phishing som omgår MFA, til forsyningskjedeangrep og nye AI sårbarheter, dette er ikke enkeltstående hendelser, men et mønster vi ser daglig i vårt sikkerhetssenter.

Posted by tsoc at 12:00 0 comments
Subscribe to: Comments (Atom)
 
>