Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday, 10 January 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.01.10

Ny versjon av Banshee Stealer unngår deteksjon. Mulig datainnbrudd hos Gravy Analytics kan lekke posisjonsdata om norske borgere.

Ny versjon av Banshee Stealer unngår deteksjon

En ny versjon av Banshee Stealer har de siste to månedene unngått deteksjon ved å bruke en strengkrypteringsalgoritme som også benyttes av Apples XProtect. Banshee, som er designet for å stjele informasjon fra macOS-systemer, ble først oppdaget i midten av 2024 og tilbød seg som en stealer-as-a-service for kriminelle.

Kildekoden til Banshee Stealer ble lekket på XSS-forumene i november 2024, noe som førte til at prosjektet ble stengt for offentligheten. Lekkasjen åpnet for andre malware-utviklere å forbedre det eksisterende verktøyet.

Ifølge Check Point Research, som oppdaget en av de nye variantene, gjør den nye krypteringsmetoden at Banshee kan skjule seg blant vanlige prosesser og fremstå som legitim, samtidig som den stjeler sensitiv informasjon fra infiserte systemer. En annen endring er at skadevaren ikke lenger unngår systemer den identifiserer som russiske.

Mulig datainnbrudd hos Gravy Analytics kan lekke posisjonsdata om norske borgere

Gravy Analytics, som er et selskap som spesialiserer seg på posisjonsdata fra mobiltelefoner, har angivelig blitt utsatt for et stort datainnbrudd som kan ramme millioner av personer globalt. Hackerne påstår å ha stjålet store mengder sensitiv informasjon, inkludert nøyaktige GPS-koordinater, tidsstempler og bevegelseshistorikk, noe som kan føre til alvorlige personvernbrudd. Blant de berørte dataene finnes det detaljer om 146.000 norske mobilenheter som potensielt kan avsløre personlige bevegelsesmønstre. Hackerne har publisert et utrag av dataen de påstår å ha stjålet som har blitt vurdert som ekte av flere eksperter. Et generelt tiltak som anbefales er å være restriktiv i hvilke tillatelser man gir applikasjoner.

Posted by tsoc at 12:58 0 comments

Thursday, 9 January 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.01.09

Over 4 000 bakdører kapret ved registrering av utløpte domener. Ivanti advarer om ny Connect Secure-sårbarhet utnyttet i zero-day-angrep.

Over 4 000 bakdører kapret ved registrering av utløpte domener

Over 4 000 forlatte, men fremdeles aktive web-bakdører ble overtatt da sikkerhetsforskere registrerte utløpte domener som kontrollerte dem. Blant de kompromitterte systemene var servere til myndigheter, universiteter og offentlige etater. Ved å kjøpe utløpte adresser, hindret forskerne at ondsinnede aktører kunne ta over domenene og misbruke dem videre. Disse bakdørene – blant annet r57shell, c99shell og “China Chopper” – gir inntrengere fjerntilgang til offerets systemer.

Som et forebyggende tiltak overlot WatchTowr Labs ansvaret for domenene til The Shadowserver Foundation, som sender trafikken videre til en server hos dem (sink-hole). Dermed stanser og registrerer de potensielt skadelige aktiviteter og sikrer at bakdørene ikke blir misbrukt på nytt.

Ivanti advarer om ny Connect Secure-sårbarhet utnyttet i zero-day-angrep

Ivanti varsler at angripere har utnyttet en kritisk sårbarhet (CVE-2025-0282) i Connect Secure for å installere skadevare på sårbare enheter. Feilen er en buffer-overflow som gjør det mulig for uvedkommende å kjøre kode fra eksternt ståsted.

Ivanti har allerede utgitt oppdatering i firmware versjon 22.7R2.5, mens tilsvarende fikser for Policy Secure og Neurons for ZTA ikke kommer før 21. januar 2025. Selskapet anbefaler å slette konfigurasjon (factory reset) før oppgradering, dersom skanninger avdekker kompromittering. En tilhørende svakhet (CVE-2025-0283) kan misbrukes til å eskalere privilegier lokalt, men er foreløpig ikke observert i aktive angrep.

Anbefaling:

Oppdater til firmwareversjon 22.7R2.5

Posted by tsoc at 13:45 0 comments

Wednesday, 8 January 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.01.08

Kinesiske hackere har brutt seg inn i Charter og Windstream-nettverk. Malicious nettleserutvidelser er den neste fronten for identitetangrep. CISA flagger kritiske feil i Mitel- og Oracle-systemer midt i aktiv utnyttelse. Casio avslører at data fra 8 500 personer ble eksponert i oktober ransomware-angrep.

Kinesiske hackere har brutt seg inn i Charter og Windstream-nettverk

Kinesiske statssponserte hackere, kjent som Salt Typhoon, har brutt seg inn i flere amerikanske telekommunikasjonsnettverk, inkludert Charter Communications, Windstream og Consolidated Communications. De har fått tilgang til sensitive data som tekstmeldinger, talemeldinger og samtaler. Etter disse hendelsene har CISA anbefalt end-to-end kryptering for å beskytte kommunikasjon.

Malicious nettleserutvidelser er den neste fronten for identitetangrep

En nylig kampanje utnyttet ondsinnede nettleserutvidelser, som kompromitterte data fra 2,6 millioner brukere globalt. Angriperne stjal informasjonskapsler og autentiseringstokener via utvidelser, inkludert Facebook-cookies. Over 35 utvidelser ble påvirket, og flere er fortsatt under undersøkelse. Risikofylte utvidelser har tilgang til sensitiv informasjon som passord og nettleserdata.

CISA flagger kritiske feil i Mitel- og Oracle-systemer midt i aktiv utnyttelse

U.S. Cybersecurity and Infrastructure Security Agency (CISA) la denne uken tre sårbarheter i Mitel MiCollab og Oracle WebLogic Server til sin liste over Kjente Utnyttede Sårbarheter (KEV), etter å ha fått bevis på aktiv utnyttelse. Sårbarhetene inkluderer:

  • CVE-2024-41713 (CVSS 9.1): En sårbarhet i Mitel MiCollab som kan gi en angriper uautorisert tilgang.

  • CVE-2024-55550 (CVSS 4.4): En sårbarhet i Mitel MiCollab som tillater en autentisert angriper med administratortilgang å lese filer.

  • CVE-2020-2883 (CVSS 9.8): En sårbarhet i Oracle WebLogic Server som kan utnyttes av en uautorisert angriper med nettverkstilgang.

Casio avslører at data fra 8 500 personer ble eksponert i oktober ransomware-angrep

Casio har bekreftet at et ransomware-angrep i oktober 2024 førte til lekkasje av personopplysninger for 8 500 personer, inkludert ansatte, forretningspartnere og en liten gruppe kunder. Angrepet ble utført av Underground ransomware-gruppen som krevde løsepenger, men Casio nektet å betale. Eksponerte data omfatter blant annet ansattes personlige informasjon, kunders leveringsdata og interne dokumenter. Det ble ikke lekket betalingsinformasjon.

Posted by tsoc at 12:02 0 comments

Tuesday, 7 January 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.01.07

Rolig døgn

Posted by tsoc at 14:00 0 comments

Monday, 6 January 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.01.06

Rolig helg.

Posted by tsoc at 14:10 0 comments

Monday, 23 December 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.12.23

Apache Tomcat fikser kritisk sårbarhet for ekstern kjøring av kode (RCE).

Apache Tomcat fikser kritisk sårbarhet for ekstern kjøring av kode (RCE)

Apache Software Foundation har publisert en sikkerhetsoppdatering som utbedrer en kritisk RCE-sårbarhet (CVE-2024-56337) i Apache Tomcat. Sårbarheten finnes i flere versjoner av Tomcat, inkludert 11.0.0-M1 til 11.0.1, 10.1.0-M1 til 10.1.33, og 9.0.0.M1 til 9.0.97. Angripere kan utnytte denne feilen på filsystemer som ikke skiller mellom store og små bokstaver, der Tomcats standard servlet har skrivefunksjonalitet aktivert. Ved å manipulere spesifikke kataloger kan ondsinnede aktører omgå sikkerhetstiltak og laste opp filer som inneholder skadelig JSP-kode, noe som til slutt fører til ekstern kjøring av kode.

Anbefaling:

Oppdater Tomcat-installasjoner til de nyeste sikre versjonene: Apache Tomcat 11.0.2 eller senere, Apache Tomcat 10.1.34 eller senere, Apache Tomcat 9.0.98 eller senere. Avhengig av hvilken Java-versjon som brukes med Tomcat, kan ytterligere konfigurasjon være nødvendig for å redusere risikoen fullstendig.

Sårbarheter:

Posted by tsoc at 10:48 0 comments

Friday, 20 December 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.12.20

Phishingkapanje med bruk av kalenderinvitasjoner. Kritisk sårbarhet i Fortinet FortiWLM. Chrome 131-oppdatering fikser alvorlige minnefeil.

Phishingkapanje med bruk av kalenderinvitasjoner

Sikkerhetseksperter hos Check Point har oppdaget at cyberkriminelle utnytter Google Calendar og Google Drawings for å omgå e-postsikkerhetspolicyer. Kampanjen har rammet over 300 bedrifter så langt med over 4000 phishing-e-poster sendt på fire uker.

E-post-“headeren” manipuleres for å se legitime ut for mottakeren. I starten brukte phishing-forsøkene lenker til Google Forms, men angriperne har nå tilpasset angrepet ved å bruke Google Drawings. Målet er å lure brukere til å klikke på skadelige lenker som kan stjele sensitiv informasjon, og som videre kan brukes til digital utpressing.

Angrepene skjer ved at brukeren mottar en e-post med en kalenderfil (.ics) som leder til falske nettsider. Teknikken ved bruk av kalenderfiler er tidligere kjent. Kampanjen utytter en i utgangspunktet legitim tjeneste for å minimere sjansen for deteksjon.

For å bekjempe disse teknikkene anbefales det at organisasjoner implementerer e-postsikkerhetsløsninger og bruker to-faktorautentisering (MFA) for brukerautentisering. Brukere bør også være forsiktige med uventede invitasjoner og aktivere innstillingen for "kjente avsendere" i Google Calendar for å redusere risiko for denne typen phishingangrep.

Kritisk sårbarhet i Fortinet FortiWLM

Helsecert melder at Fortinet den 18. desember publiserte et varsel om en kritisk sårbarhet i FortiWLM 8.6 og 8.5. Oppdatering er tilgjengelig for berørte utgivelser av FortiWLM. Vellykket utnyttelse av denne sårbarheten, kombinert med CVE-2023-48782 gir uautentisert kodekjøring.

Sårbarheten er tildelt CVE-2023-34990 og har fått en CVSS-score på 9.6 (KRITISK).

Følgende produkter er sårbare:

  • FortiWLM 8.6  8.6.0 til og med 8.6.5

  • FortiWLM 8.5  8.5.0 til og med 8.5.4

Kode for utnyttelse er ikke offentlig tilgjengelig så langt HelseCERT kjenner til.

Anbefaling:

HelseCERT anbefaler å oppdatere FortiWLM til gjeldende versjon før juleferien, med bakgrunn i sårbarhetens kritikalitet og at de ser det som sannsynlig at sårbare instanser kan bli utnyttet innen kort tid.

Sårbarheter:

Chrome 131-oppdatering fikser alvorlige minnefeil

Google har lansert en oppdatering for Chrome-nettleseren som retter fem sikkerhetsproblemer, inkludert fire alvorlige minnefeil. Tre av disse feilene finnes i V8 JavaScript-motoren. En av feilene, CVE-2024-12692, er en variabeltype-feil som potensielt kan føre til ekstern kjøring av kode. Oppdateringen adresserer også en buffer overflow-feil (CVE-2024-12693) og en use-after-free-feil (CVE-2024-12694). Google har ikke rapportert om at noen av disse feilene har blitt utnyttet så langt.

Anbefaling:

Brukere bør oppdatere Chrome-nettleseren sin til versjon 131.0.6778.204/.205 for Windows og macOS, eller versjon 131.0.6778.204 for Linux.

Posted by tsoc at 13:00 0 comments
Subscribe to: Posts (Atom)
 
>