Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday 19 April 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.04.19

Sikkerhetsoppdateringer fra Atlassian og Cisco.

Sikkerhetsoppdateringer fra Atlassian og Cisco

Både Atlassian og Cisco har gitt ut sikkerhetsoppdateringer.

Atlassian fikser 7 svakheter, alle med høy viktighet. Disse er i produktene Bamboo Data Center and Server, Confluence Data Center and Server, Jira Software Data Center and Server og Jira Service Management Data Center and Server.

Cisco har gitt ut 3 oppdateringer, rangert med medium og høy viktighet. Den mest alvorlige svakheten ligger i Integrated Management Controller (IMC) og rammer en rekke av deres produkter. Denne gjør det mulig for lokale angripere å utvide sine rettigheter til root på systemet. Det finnes allerede utnyttelseskode for å misbruke denne svakheten.

Vi anbefaler brukere av produktene om å oppgradere!

Posted by tsoc at 12:23 0 comments

Thursday 18 April 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.04.18

Ny versjon av MDM-systemet Ivani Avalanche fikser 27 svakheter. Mandiant med bloggpost om den russiske trusselaktøren Sandworm/APT44.

Ny versjon av Ivani Avalanche fikser 27 svakheter

Ivanti har gitt ut sin kvartalsvise oppdatering av Avalanche, som er et MDM-system (Mobile Device Management). Oppdateringen utbedrer 27 svakheter. To av disse har blitt kategorisert som kritiske, og gjør det mulig å kjøre vilkårlig kode dersom en har nettverkstilgang til enheten, uten bruker på systemet. Begge svakhetene skyldes heap-overflow svakheter og er relativt enkle å utnytte.

Ivanti er ikke kjent med at noen av svakhetene utnyttes i aktive angrep. Vi anbefaler rask patching!

Mandiant med bloggpost om den russiske trusselaktøren Sandworm

Trusselaktøren Sandworm har vært aktiv i over 15 år og knyttes mot GRUs (Den russiske militære etterretningen) avdeling "Main Centre for Special Technologies" (GTsST), også kjent som Unit 74455. Aktøren er også kjent som Iridium, Seashell Blizzard og Mandiant kaller den nå for APT44.

Aktøren er den som er mest involvert i spionasje og sabotasje mot Ukraina i forbindelse med den pågående krigen. Gruppen instruerer f.eks. soldater i hvordan de eksfiltrerer informasjon fra beslagslagte telefoner og sender inn til GRU.

GRU har også forbindelser til flere hacktivist-grupper. Én av disse, Cyber Army of Russian Reborn, har f.eks. brutt seg inn hos et vannverk i USA og et renseanlegg i Polen.

Posted by tsoc at 11:42 0 comments

Wednesday 17 April 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.04.17

Utnyttelseskode for kritisk svakhet i Palo Alto-brannmurrer offentliggjort. Cisco advarer mot innloggingsforsøk mot VPN- og SSH-tjenester. Juniper patcher Junos OS og Junos OS Evolved. Oracle har gitt ut sin kvartalsvise sikkerhetsoppdatering.

Utnyttelseskode for kritisk svakhet i Palo Alto-brannmurrer offentliggjort

Vi meldte fredag om en kritisk svakhet i brannmurer fra Palo Alto. I går ble en patch sluppet for problemet. Utnyttelseskode er nå offentliggjort og svakheten utnyttes i stor skala.

Vi anbefaler å patche sårbare brannmurer så fort som mulig. Brannmurer som har vært eksponert mot Internett uten patch bør også sees på som kompromitterte. Råd om å slå av telemetri-logging for å unngå svakheten har vist seg ikke å fungere. Svakheten ble først utnyttet i målrettede angrep 26. mars.

Sårbarheter:

Cisco advarer mot innloggingsforsøk mot VPN- og SSH-tjenester

Cisco Talos advarer i en bloggpost om storskala innloggingsforsøk mot VPN- og SSH-tjenester som er tilgjengelig fra Internet. Angrepene har tiltatt i det siste og bruker ofte benyttede brukernavn og passord. Innloggingsforsøkene kommer gjerne fra VPN-endepunkter eller TOR exit-noder.

Typiske angrepsmål er: Cisco Secure Firewall VPN, Checkpoint VPN, Fortinet VPN, SonicWall VPN, RD Web Services, Miktrotik, Draytek og Ubiquiti.

Vi anbefaler å sjekke for standard-kontoer på systemer, slå på MFA og benytte sertifikat-basert innlogging dersom mulig.

Juniper patcher Junos OS og Junos OS Evolved

Juniper Networks har gitt ut oppdateringer som fikser en rekke svakheter i Junos OS, Junos OS Evolved og andre produkter. Svakhetene kan blant annet føre til krasj, høy CPU-belastning, cross-site scripting (XSS) og tilgang til filer på systemet. Vi anbefaler Juniper-kunder å se igjennom oppdateringene!

Oracle har gitt ut sin kvartalsvise sikkerhetsoppdatering

Oracle har gitt ut sin kvartalsvise oppdatering for 1. kvartal 2024. Denne gangen patcher de 441 nye svakheter i et stort antall produkter. Oracle har publisert risk-tabeller for å gjøre det lettere å prioritere patching. Vi anbefaler kunder av Oracle å sette seg nøye inn i oppdatreringen og planlegge patching.

Posted by tsoc at 15:00 0 comments

Tuesday 16 April 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.04.16

Mangelfull nøkkelgenerering i Putty påvirker flere produkter. Rettighetseskalering som følge av sårbarhet i YubiKey Manager. Kritisk såbarhet i Delinea Secret Server.

Mangelfull nøkkelgenerering i Putty påvirker flere produkter

Det har blitt oppdaget at Putty genererer svake nøkler til algoritmen ECDSA (Elliptic Curve Digital Signature Algorithm). Ved å observere kun 60 signaturer, kan en finne ut den private nøkkelen. Signaturene kan for eksempel høstes inn av en server eller via signerte git-commits.

Sårbare produkter er:

- PuTTY 0.68 - 0.80
- FileZilla 3.24.1 - 3.66.5
- WinSCP 5.9.5 - 6.3.2
- TortoiseGit 2.4.0.2 - 2.15.0
- TortoiseSVN 1.10.0 - 1.14.6

Svakheten er fikset i Putty v0.81, FileZilla v.3.67.0, WinSCP v.6.3.3 og TortoiseGit 2.15.0.1. Alle tidligere genererte nøkler med denne algoritmen (NIST P-521) må sees på som kompromitterte.

Sårbarheter:

Rettighetseskalering som følge av sårbarhet i YubiKey Manager

Sikkerhetsleverandøren bak sikkerhetsnøklene Yubico, har sendt ut varsel som advarer Windows-brukere om en sårbarhet i programvaren YubiKey Manager. Sårbarheten har en CVSS-score på 7.7, og gjør det mulig for en angriper med tilgang til en Windows-maskin å eskalere rettighetene sine lokalt, dersom brukeren starter YubiKey Manager GUI som administrator. Dette gjøres typisk, siden Windows krever administratorrettigheter for å samhandle med FIDO-enheter som YubiKey. Når brukergrensesnittet kjøres som administrator, kan alle nettleservinduer som åpnes, også arve de forhøyede rettighetene.

Sårbarheten påvirker versjoner av YubiKey Manager før 1.2.6.

Anbefaling:

Oppdater til den siste versjonen av YubiKey Manager. I tillegg kan brukere angi Microsoft Edge som standardnettleser, som inneholder sikkerhetstiltak for å unngå å arve administrative rettigheter.

Sårbarheter:

Kritisk såbarhet i Delinea Secret Server

HelseCERT melder at det 11. april 2024 ble det publisert en bloggpost om en sårbarhet i Delinea Secret Server som gjør det mulig å omgå autentisering.

Delinea publiserte 13. april 2024 et varsel om at de er klar over sårbarheten og at mitigerende tiltak er implementert på Secret Server Cloud.

Utnyttelse forutsetter at angriper har tilgang på en bruker i systemet, men denne brukeren trenger ikke å være høyt priviligert.

Sårbarheten er verken tildelt CVE eller en CVSS-score, men HelseCERT anser sårbarheten som kritisk fordi den er ukomplisert å utnytte.

Følgende produkter er sårbare: Secret Server On-Premises før versjon 11.7.000001.

Kode for utnyttelse er offentlig tilgjengelig, men det er så langt ikke meldt om aktiv utnyttelse.

Posted by tsoc at 12:09 0 comments

Monday 15 April 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.04.15

Patch gitt ut for kritisk svakhet i Palo Alto-brannmurer. Flere pågrepet for eldrebedragerier.

Patch gitt ut for kritisk svakhet i Palo Alto-brannmurer

Selskapet Volexity oppdaget nylig en kritisk nulldagssårbarhet (CVE-2024-3400) i Palo Alto Networks' PAN-OS-programvare, noe vi også meldte om her på fredag.

I samarbeid med Palo Alto Networks har cybersikkerhetsselskapet oppdaget at trusselaktøren UTA0218, siden 26. mars, har utnyttet sårbarheten mot flere organisasjoner. I noen av tilfellene har angriperne utnyttet sårbarheten til å installere en bakdør som gir vedvarende tilganger.

I en uttalelse fra Volexity er det mye som tyder på at UTA0218 er en statlig trusselaktør basert på utnyttelsen av sårbarheten og kapabiliteten i angrepene. Selv om Palo Alto vurderer sårbarheten særlig knyttet opp mot én enkelt trusselaktør, vil trolig flere trusselaktører komme til å forsøke og utnytte sårbarheten i fremtiden.

Palo Alto har akkurat sluppet en patch for sårbarheten og vi anbefaler å installere denne ASAP, samt sjekke enheter som har vært sårbare for mulig kompromittering. NSM NCSC melder at de så langt ikke er kjent med at sårbarheten har vært utnyttet i Norge.

Sårbarheter:

Flere pågrepet for eldrebedragerier

Flere personer i Norge og Danmark er pågrepet i en politiaksjon rettet mot omfattende bedragerier av eldre i Oslo-området. Flere adresser er også ransaket.

– De kriminelle aktørene har utgitt seg for å være fra politiet både via telefon og ved fysisk oppmøte hos fornærmede, for å få tilgang til deres bankkontoer og bankkort. Deretter har fornærmedes kontoer blitt tappet og kortene brukt til kjøp av dyre gjenstander, skriver politiet i en pressemelding.

Posted by tsoc at 12:58 0 comments

Friday 12 April 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.04.12

Apple har advart brukere i 92 land om avansert overvåkingsprogramvare. Malware rettet mot systemadministratorer levert via Google-annonser. Kritiske feil gjør 92 000 D-Link NAS-enheter sårbare for angrep. Kritisk svakhet i PAN-OS muliggjør injisering av kommandoer. Sårbarheter i Citrix Hypervisor og XenServer.

Apple har advart brukere i 92 land om avansert overvåkingsprogramvare

Apple har varslet brukere av deres produkter i 92 land om at de har vært utsatt for angrep fra avansert overvåkingsprogramvare. Denne typen programvare blir typisk brukt av nasjonalstater for å bekjempe terrorisme og overvåke kriminelle, men mange bruker det også for overvåking av journalister, opposisjonen osv. Det mest kjente firmaet som leverer denne typen tjenester er israelske NSO Group med systemet "Pegasus". Det er ukjent hvem som står bak denne siste bølgen med angrep.

Personer som står i fare for å rammes av denne typen angrep anbefales å slå på "Lockdown Mode", på sin Apple-enhet. Denne gjør enheten sikrere, mot noe tap i funksjonalitet.

Malware rettet mot systemadministratorer levert via Google-annonser

Malwarebytes har skrevet en bloggpost om en pågående kampanje som forsøker å levere skadevare til systemadministratorer. Ved søk på populære programmer som PuTTy og FileZilla, dukker det opp annonser i toppen av søkeresultatet som fører til nedlasting av skadevare av typen Nitrogen. Denne brukes for initiell tilgang til kompromitterte systemer, og etterfølges gjerne av tyveri av informasjon eller installasjon av ransomware.

Annonsene har blitt rapportert til Google, men kampanjen fortsetter. Vi anbefaler å sjekke nøye hvilke sider en laster ned programvare fra og sjekke installasjonsfiler nøye før de kjøres. Sponsede søkeresultater bør også unngås ved søk på programvare.

Kritiske feil gjør 92 000 D-Link NAS-enheter sårbare for angrep

Trusselaktører skanner og utnytter aktivt et par sikkerhetsfeil som sies å påvirke så mange som 92.000 internetteksponerte D-Link nettverkstilkoblede lagringsenheter (NAS). Dette gjelder "legacy D-Link produkter", som har nådd end-of-life (EoL). Følgende produkter er påvirket:

  • DNS-320L

  • DNS-325

  • DNS-327L

  • DNS-340L

D-Link har opplyst at de ikke planlegger å komme med en oppdatering og oppfordrer i stedet kundene til å erstatte utstyret.

Kritisk svakhet i PAN-OS muliggjør injisering av kommandoer

Palo Alto Networks melder om en kritisk (CVE 10.0) sårbarhet i GlobalProtect-funksjonaliteten i PAN-OS programvaren. Sårbarheten lar angripere injisere kommandoer og dermed kjøre vilkårlig kode på brannmuren med root-privilegier.

Oppdateringer for PAN-OS 10.2, 11.0 og 11.1 er under utvikling og er beregnet klar 14. april. Cloud NGFW, Panorama appliances og Prisma Access er ikke rammet. Palo Alto har publisert en teknikk for å mitigere omfanget av en eventuell utnyttelse inntil en patch foreligger.

Sårbarheter:

Sårbarheter i Citrix Hypervisor og XenServer

JustisCERT varsler om sårbarheter i produkter fra Citrix. Totalt 3 CVEer ble publisert av Citrix den 11.04.2024, hvor alle 3 er kategorisert som alvorlige: CVE-2023-46842, CVE-2024-2201 (berører kun Citrix-oppsett med Intel CPU) og CVE-2024-31142 (berører kun Citrix-oppsett med AMD CPU).

 Citrix har publisert oppdateringer til støttede produkter.

Posted by tsoc at 11:22 0 comments

Thursday 11 April 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.04.11

Ny Spectre-variant kan gi utvidet tilgang til minne på virtuelle servere. Sårbarheter i produkter fra Palo Alto, Juniper Networks, GitLab og Chromium-baserte nettlesere. Sviktende håndtering av bruker-input i flere programmeringsspråk i Windows.

Ny Spectre-variant kan gi utvidet tilgang til minne på virtuelle servere

Spectre er navnet på flere teknikker for å utnytte svakheter i måten moderne CPUer benytter seg av spekulativ kjøring av kode. Teknikken fører til stor økning i ytelsen, men kan gjøre at en prosess får tilgang til minnet til andre prosesser.

En ny variant av svakheten er nå offentliggjort av forskere ved Vrije Universiteit Amsterdam. Denne omgå flere av de mitigerende tiltak som Intel har innført for å stoppe svakheten. Svakheten er spesielt farlig i skymiljøer, der prosesser fra flere brukere kan kjøre på samme server.

Sårbarheter:

Sårbarheter i produkter fra Palo Alto, Juniper Networks, GitLab og Chromium-baserte nettlesere

JustisCERT melder om nye sårbarheter:

Produkter fra Palo Alto Networks. Totalt 7 CVE ble publisert av Palo Alto den 10.04.2024, hvor 4 er kategorisert som alvorlig med CVSS-score 8.2 - 8.2). De alvorlige sårbarhetene berører Palo Alto PAN-OS. Palo Alto har publisert oppdateringer til støttede produkter.

Produkter fra Juniper Networks. Totalt 36 bulletiner ble publisert 10.04.2024, hvor 3 er kategorisert som kritisk med CVSS-score 9.8 og 10 som alvorlig. De kritiske sårbarhetene berører Juniper Cloud Native Router, Juniper cRPD, Junos OS og Junos OS Evolved. Juniper har publisert oppdateringer til støttede produkter.

GitLab Community Edition (CE) og GitLab Enterprise Edition (EE). Totalt 4 CVE ble publisert 10.04.2024, hvor 2 er kategorisert som alvorlig med CVSS-score 8.7. GitLab har publisert nødvendige oppdateringer.

Chromium-baserte nettlesere. Totalt 3 sårbarheter er rettet av Google i «Stable Channel Update for Desktop, 10. april 2024» for Windows, Mac og Linux, hvor alle 3 er kategorisert som alvorlig (CVE-2024-3157, CVE-2024-3515 og CVE-2024-3516). Vær oppmerksom på at selv om sårbarheter nå er rettet i Google Chrome så kan det ta noen dager før andre Chromium-baserte nettlesere får nødvendig oppdatering.

Sviktende håndtering av bruker-input i flere programmeringsspråk

I går hadde vi en sak om sviktende håndtering av bruker-input i Rust for Windows, som kan føre til injisering av kommandoer til operativsystemet. Det viser seg nå at flere programmerings-språk og -verktøy er utsatt for de samme problemene: Haskell, Node.js, PHP og yt-dlp. CERT ved Carnegie Mellon University har gitt ut veiledning rundt svakhetene.

Posted by tsoc at 12:40 0 comments
Subscribe to: Posts (Atom)
 
>