Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Monday, 23 June 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.06.23

Cloudflare blokkerer rekordstort 7,3 Tbps DDoS-angrep mot hosting-leverandør.

Cloudflare blokkerer rekordstort 7,3 Tbps DDoS-angrep mot hosting-leverandør

Cloudflare avverget i midten av mai 2025 et nytt rekordangrep av typen distribuert tjenestenekt (DDoS) rettet mot en hosting-leverandørs IP. Angrepet nådde en topp på 7,3 Tbps og sendte totalt 37,4 TB trafikk på bare 45 sekunder—det tilsvarer cirka 9 350 HD-filmer. Trafikken kom fra over 122 000 IP-adresser i 161 land, fordelt over 5 433 autonome systemer, med hoveddeler fra Brasil og Vietnam. Angrepet benyttet flere vektorer, først og fremst UDP-flood (99,996 %), men inkluderte også refleksjonsangrep som QOTD, Echo, NTP, Portmap og RIPv1. Cloudflare håndterte angrepet automatisk gjennom Magic Transit og sitt distribuerte anycast-nettverk uten behov for menneskelig intervensjon.

Posted by tsoc at 12:40 0 comments

Friday, 20 June 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.06.20

Veeam lapper CVE-2025-23121: Kritisk RCE-feil med CVSS-rangering 9.9 i Backup & Replication. Linux udisks sårbarhet lar angripere få root-tilgang på flere store Linux-distribusjoner.

Veeam lapper CVE-2025-23121: Kritisk RCE-feil med CVSS-rangering 9.9 i Backup & Replication

Veeam har løst en kritisk remote code execution (RCE)-sårbarhet (CVE‑2025‑23121, CVSS 9.9) som lar en autentisert domene‑bruker kjøre vilkårlig kode på domene‑tilknyttede Backup‑servere. Sikkerhetsfeilen gjelder alle Veeam Backup & Replication versjon 12‑bygg opp til 12.3.1.1139, og ble fikset i versjon 12.3.2 (build 12.3.2.3617). I tillegg ble to andre sårbarheter (CVE‑2025‑24286: høy alvorlighetsgrad; CVE‑2025‑24287: medium) som kan resultere i kodekjøring via Backup Operator‑rolle og lokalt systembruk, også fikset

Anbefaling:

Oppgrader umiddelbart til Veeam Backup & Replication 12.3.2 (build 12.3.2.3617) . Unngå bruk av domene-tilknyttede backup-servere; vær oppmerksom på at Veeam selv advarer mot dette

Linux udisks sårbarhet lar angripere få root-tilgang på flere store Linux-distribusjoner

Qualys Threat Research Unit har funnet to lokale sårbarheter i Linux-systemer som kan føre til eskalering av privilegier på flere store distribusjoner. CVE-2025-6018 sitter i PAM-oppsettet til openSUSE Leap 15 og SUSE Linux Enterprise 15, og gir angripere «allow_active» tilgang. CVE-2025-6019 ligger i libblockdev/udisks, som er standard i de fleste distribusjoner, og lar en «allow_active» bruker eskalere videre til root. De to sårbarhetene kan kjedes og en vanlig konto kan oppnå full systemkontroll. Qualys har publisert proof-of-concept-kode som viser hvor enkelt angrep kan utføres på Ubuntu, Debian , Fedora og openSUSE.

Anbefaling:

Installer de nyutgitte sikkerhets­patchene for både PAM og libblockdev/udisks umiddelbart.

Posted by tsoc at 16:25 0 comments

Wednesday, 18 June 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.06.18

Veeam VBR RCE-sårbarhet lar domene­brukere hacke backup-servere. Kritisk Zyxel-sårbarhet utnyttes aktivt etter en lengre periode med stillhet.

Veeam VBR RCE-sårbarhet lar domene­brukere hacke backup-servere

Veeam har utgitt sikkerhetsoppdateringer for å fikse flere sårbarheter i deres Backup & Replication-programvare, inkludert en kritisk RCE-feil (CVE-2025-23121, score 9.9). Feilen kan utnyttes av autentiserte domenebrukere til å kjøre kode eksternt på backup-servere. Det er kun domene-tilsluttede installasjoner som er påvirket, og kun Veeam VBR versjoner 12 og nyere. Sårbarheten er fikset i versjon 12.3.2.3617 som ble utgitt 17. juni 2025.

Anbefaling:

Oppdater til Veeam Backup & Replication 12.3.2.3617. Unngå å knytte backup-servere direkte til domener. Følg bestepraksis: https://bp.veeam.com/security/Design-and-implementation/Hardening/Workgroup_or_Domain.html#best-practice

Sårbarheter:

Kritisk Zyxel-sårbarhet utnyttes aktivt etter en lengre periode med stillhet

En kritisk RCE‑sårbarhet (CVE‑2023‑28771) i Zyxel-routeres IKEv2-pakke‑dekoder (UDP port 500) er nå aktivt utnyttet, med 244 unike IP‑adresser koblet til Verizon Business som deltar i angrepet. Angrepet synes å være knyttet til Mirai-botnett, med mål om å rekruttere enheter til DDoS og andre automatiserte operasjoner. Zyxel har lansert patcher for sårbarheten siden 2023, men tusenvis av enheter er fortsatt eksponerte på internett med høy utnyttelsesrisiko.

Anbefaling:

Organisasjoner bør umiddelbart oppdatere Zyxel-enheter til siste firmware, implementere nettverkskontroller som blokkerer UDP/500, og overvåke trafikk for uvanlige IKEv2-forsøk.

Sårbarheter:

Posted by tsoc at 15:04 0 comments

Tuesday, 17 June 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.06.17

Anubis ransomware legger til destruktiv "wiper" for permanent sletting av filer. Over 46 000 Grafana-instanser utsatt for konto-overtakelsefeil.

Anubis ransomware legger til destruktiv "wiper" for permanent sletting av filer

Anubis, en relativt ny ransomware-as-a-service (RaaS) aktør har implementert en ny “wipe mode” (aktiveres via /WIPEMODE-parameter). Dette destruerer filinnholdet og setter filstørrelsen til 0 KB, slik at ingen gjenoppretting er mulig selv om løsepengene betales. Denne funksjonen intensiverer presset på ofre gjennom en kombinert modell av kryptering (med .anubis-utvidelse) og dataødeleggelse. Angrepene starter med spear-phishing, etterfølges av privilegie-eskalering, sletting av shadow copies, drap av tjenester, kryptering (ECIES), og wiper-funksjon. Operatørene har også etablert en affiliate-struktur med ulike inntektsandeler (80 % kryptering, 60 % data-utpressing, 50 % initial tilgang).

Over 46 000 Grafana-instanser utsatt for konto-overtakelsefeil

En kritisk open-redirect-sårbarhet (CVE-2025-4123), oppdaget av Alvaro Balada, rammer en rekke Grafana-installasjoner. Feilen tillater at angripere sender brukere til en skadelig plugin som kan utføre JavaScript, kapre brukersesjoner på tvers av internett-tilgjengelige Grafana-tjenere (36 % av ~129 000), endre kontoopplysninger og utløse SSRF dersom Image Renderer-plugin er aktivert .

Sårbarheter:

Posted by tsoc at 13:10 0 comments

Monday, 16 June 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.06.16

Trend Micro retter seks kritiske sårbarheter i Apex Central og Endpoint Encryption PolicyServer. Over 80 000 Microsoft Entra ID‑kontoer er blitt målrettet under angrep ved bruk av TeamFiltration.

Trend Micro retter seks kritiske sårbarheter i Apex Central og Endpoint Encryption PolicyServer

Den 10. juni 2025 har Trend Micro utgitt oppdateringer som adresserer seks kritiske sårbarheter i Apex Central og Endpoint Encryption (TMEE) PolicyServer. Dette inkluderer flere fjern driver feil og en autentiseringsomgåelse. Alle sårbarhetene kan utnyttes før autentisering, og lar angripere kjøre kode som "SYSTEM" eller "NETWORK SERVICE". Det er ingen kjente utnyttelser i offentligheten, men raske oppdateringer anbefales likevel.

Anbefaling:

Det anbefales å oppgradere TMEE PolicyServer til versjon 6.0.0.4013 (Patch 1 Update 6), installere Patch B7007 for Apex Central 2019 (On‑Prem), gjennomgå fjerntilgang og perimetersikkerhet, og anvende tilleggsbeskyttelse som IPS-regler.

Over 80 000 Microsoft Entra ID‑kontoer er blitt målrettet under angrep ved bruk av TeamFiltration

En ny kontoovertakelse-kampanje også kjent som UNK_SneakyStrike, har siden desember 2024 utført massive "password spray" angrep mot over 80 000 Microsoft Entra ID‑kontoer i mer enn 100 skytjenesteleietakere. Angrepene brukte verktøyet TeamFiltration, som utnytter Microsoft Teams API og AWS‑servere for å identifisere brukernavn, prøve vanlige passord, få tilgang til OneDrive, Outlook og Teams, og forblir i skyen uten å utløse varsler.

Anbefaling:

Det anbefales å bruke unike og sterke passord i kombinasjon med flerfaktorautentisering (MFA). I tillegg bør man overvåke innlogginger, og implementere retningslinjer for betinget tilgang for å blokkere risikofylte innlogginger.

Posted by tsoc at 12:52 0 comments

Friday, 13 June 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.06.13

Password‑spraying attacks target 80 000 Microsoft Entra ID‑kontoer.

Password‑spraying attacks target 80 000 Microsoft Entra ID‑kontoer

Hackere fra gruppen UNK_SneakyStrike har siden desember 2024 benyttet det offentlige rammeverket TeamFiltration for passordsprøyteangrep mot mer enn 80 000 Microsoft Entra ID-kontoer i hundrevis av organisasjoner. Angrepene skjer i bølger med opptil 16 500 kontoer per dag. TeamFiltration kartlegger brukere, sprøyter passord, eksfilerer data og legger inn bakdører via O365/EntraID. Angrepene identifiseres blant annet ved en sjelden user-agent, OAuth-klient‑ID-er, utdatert Secureworks FOCI-snapsjott, og trafikk via AWS og Office 365 Basic-kontoer. Angrepene har resultert i flere konto-overtakelser.

Anbefaling:

Blokker IP-adresser som er listet som kompromitterte i IOC‑seksjonen. Opprett overvåkingsregler for bruk av TeamFiltration sin user‑agent‑streng. Aktiver MFA på alle brukerkontoer. Implementer og håndhev OAuth 2.0. Bruk betinget tilgang (Conditional Access Policies) i Microsoft Entra ID for å begrense tilganger og sikring.

Posted by tsoc at 12:45 0 comments

Thursday, 12 June 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.06.12

Brute‑force angrep mot Apache Tomcat administrasjonspaneler. Ny Secure Boot sårbarhet lar angripere installere Bootkit skadevare – oppdater nå!.

Brute‑force angrep mot Apache Tomcat administrasjonspaneler

En koordinert kampanje startet 5. juni 2025, hvor omtrent 400 unike, onde IP-adresser fra blant annet DigitalOcean infrastruktur gjennomfører brute‑force forsøk mot eksponerte Apache Tomcat Manager‑grensesnitt. Angrepene utgjør en bred, opportunistisk trusselprofil og fungerer som en tidlig varselsignal om mulig fremtidig utnyttelse

Anbefaling:

Sikre at Tomcat Manager‑grensesnitt kun er tilgjengelig fra localhost eller gjennom VPN/firewall. Innfør sterke autentiseringsmekanismer, unngå standard eller lette passord. Overvåk logger for uvanlige innloggingsforsøk, og blokker mistenkelige/frekvente IP‑adresser. Hold Tomcat oppdatert med siste sikkerhetsfikser, inkludert patch for CVE‑2025‑24813

Ny Secure Boot sårbarhet lar angripere installere Bootkit skadevare – oppdater nå!

En ny Secure Boot omgåelse, CVE‑2025‑3052, avdekket 10. juni 2025, gjør det mulig for angripere med administratorrettigheter å slå av Secure Boot beskyttelsen på PC-er og servere. Sårbarheten skyldes en legitim "BIOS flaske utility" signert med Microsofts UEFI sertifikat, som kan manipulere variabler i NVRAM («gSecurity2») og dermed deaktivere sikkerhetsmekanismer. Dette åpner for installasjon av Bootkit skadevare som kan overleve OS reinstallasjoner.

Posted by tsoc at 14:18 0 comments
Subscribe to: Posts (Atom)
 
>