Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Monday 18 March 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.03.18

APT-28 med omfattende phishing-kampanje.


APT-28 med omfattende phishing-kampanje

IBM X-Force rapporterer at den russisk-tilknyttede aktøren APT-28 er aktive med flere phishing-kampanjer. Kampanjen bruker dokumenter som er spesielt tilpasset målene og relaterer seg til finans, helse, økonomi, kritisk infrastruktur osv. Målene befinner seg både i Europa, Amerika og Asia. Målet med operasjonen er å installere ulike bakdører for eksfiltrasjon av data.

Friday 15 March 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.03.15

Cisco patcher flere svakheter i IOS RX i samleoppdatering. Google Chrome får snart sanntids phishing-beskyttelse.


Cisco patcher flere svakheter i IOS RX i samleoppdatering

Cisco ga på onsdag ut patcher for flere svakheter i IOS XR, inkludert tre sårbarheter rangert med "høy" viktighet, som blant annet kan føre til tjenestenekt og utvidelse av rettigheter på systemet gjennom spesielt utformede kommandoer via en SSH-sesjon. Svakheten er fikset i versjon 7.10.2 av IOS.

Cisco patcher også flere andre svakheter i en mengde utstyr og kunder bør ta en sjekk opp mot de 8 sikkerhets-kunngjøringene.

Google Chrome får snart sanntids phishing-beskyttelse

Google har lenge hatt innebygget beskyttelse mot phishing, svindel og skadevare gjennom "Safe Browsing"-systemet. Systemet fungerer ved at nettleseren en-to ganger i timen laster ned en ny liste over "blokkerte" sider fra Google.

Senere i mars vil Google lansere en forbedret versjon, der spørringene gjøres i sanntid, i motsetningen til dagens periodiske oppdateringer. Dette tvinger seg frem, siden phishing-sidene får kortere og kortere levetid for å unngå blokkering. Systemet skal være implementert på en slik måte at Google ikke har mulighet til å knytte spørringene mot enkeltpersoner, ved hjelp av hashing og miksing av spørringer.

Thursday 14 March 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.03.14

Nytt angrep utnytter Windows SmartScreen-svakheter til å spre DarkGate-malware.


Nytt angrep utnytter Windows SmartScreen-svakheter til å spre DarkGate-malware

En ny bølge av angrep benytter seg av en nylig utbedret sårbarhet i Windows Defender SmartScreen for å omgå sikkerhetssjekker og installere falsk programvare. Sårbarheten, identifisert som CVE-2024-21412, lar angripere lage spesialkonstruerte filer som unngår SmartScreens advarsler. Ved å utnytte dette smutthullet har "Water Hydra"-hackergruppen tidligere spredt sin DarkMe-malware, og nå har operatører av DarkGate-malware tatt i bruk samme metode for å øke sjansene for infeksjon. Angrepet starter med en ondsinnet e-post som leder ofre til et kompromittert nettsted, deretter til automatisk kjøring av en skadelig MSI-fil forkledd som legitim programvare. Microsoft har utgitt en fiks i sin februar 2024 oppdatering, men Trend Micro advarer om at DarkGate nå er mer sofistikert enn før, med nye avanserte teknikker og oppdatert funksjonalitet.

Sårbarheter:

Wednesday 13 March 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.03.13

Fortinet kommer med hasteoppdateringer for kritiske svakheter. Microsoft Patchetirsdag Mars 2024.


Fortinet kommer med hasteoppdateringer for kritiske svakheter

Fortinet kommer med 5 sikkerhetsoppdateringer som addresserer 6 store svakheter i sine FortiOS, FortiProxy og FortiClientEMS produkter.

FortiOS og FortiProxy (CVE-2023-42789, CVE-2023-42790) er de mest kritiske svakhetene (målt til CVSS 9.8 og 8.1). Svakhetene tillater angripere å kunne få full tilgang og kontroll over systemet i produktet. Svakhetene strekker seg fra NTLM og HTTP-autentisering til mer sofistikerte metoder som SAML og klientsertifikat-autentisering.

Microsoft Patchetirsdag Mars 2024

Microsoft sin oppdatering for mars 2024 retter opp i 61 svakheter. 2 av disse er vurdert som kritisk og 57 alvorlige. Flere av sårbarhetene kan utnyttes til fjernkjøring av kode, gi utvidede rettigheter og/eller til å ta kontroll over brukere og systemer.

De kritiske sårbarhetene berører Windows Hyper-V (CVE-2024-21407 med CVSS-score 8.1 og CVE-2024-21408 med CVSS-score 5.5). I tillegg har Microsoft rettet 15 CVE siden forrige patche-tirsdag som berører Microsoft Edge Chromium.

Nye oppdateringer til Exchange (on prem/hybrid) har også blitt publisert. Exchange-sårbarheten som er rettet er kategorisert som alvorlig (CVE-2024-26198 med CVSS-score 8.8).

Tuesday 12 March 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.03.12

Kritiske svakheter i QNap NAS-enheter.


Kritiske svakheter i QNap NAS-enheter

QNAP systems meldte i helgen om flere svakheter i QNAP-enheter, inkludert en svakhet som lar angripere omgå autentisering på boksene. Denne svakheten spores som CVE-2024-21899 og har fått en alvorlighetsgrad på 9.8 av 10. Det er QTS, QuTS hero og QuTScloud som er rammet. QNAP har også utbedre to mindre alvorlige svakheter. Det er utgitt patcher for svakhetene som kan lastes ned fra QNAP.

Monday 11 March 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.03.11

Microsoft: Hackere har fått tilgang til kildekode og interne systemer. Hackere utnytter bug i WordPress-plugin for å infisere 3300 nettsteder med skadelig kode.


Microsoft: Hackere har fått tilgang til kildekode og interne systemer

Microsoft meldte i januar at hackere med tilknytning til Russland (Midnight Blizzard/Nobelium/APT-29) hadde fått tilgang til deres interne systemer og kundedata ved hjelp av en service-konto uten MFA aktivert. I en ny oppdatering på fredag, opplyser Microsoft at angriperne fikk tak i tilgangsnøkler, passord og andre hemmeligheter i forbindelse med innbruddet. Noen av disse ble delt i eposter mellom Microsoft og kunder, og har siden blitt eksfiltrert i angrepene.

Tilgangsnøklene har videre blitt brukt for å få tilgang til intern kildekode, interne systemer og også kundedata. Angriperne fortsetter sine angrep, med blant annet forsøk på å gjette riktige passord til kontoer. Microsoft opplyser at ingen systemer som brukes av deres kunder så langt har blitt kompromittert. Selskapet har også tatt kontakt med kunder som har blitt kompromittert i angrepene.

Hackere utnytter bug i WordPress-plugin til å infisere 3300 nettsteder med skadelig kode

Hackere utnytter sårbarheter i eldre versjoner av Popup Builder-plugin for WordPress, med CVE-2023-6000, og infiserer over 3 300 nettsteder med ondsinnet kode. Sucuri har oppdaget en økning i angrepene de siste tre ukene, med injeksjoner som omdirigerer besøkende til phishing- og malware-sider. For å forsvare seg, bør brukere oppgradere til Popup Builder 4.2.7 og fjerne ondsinnet kode fra JavaScript og CSS. Artikkelen nevner også to domener knyttet til angrepene som kan blokkeres.

Sårbarheter:

Friday 8 March 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.03.08

Cisco leverer patcher for flere av sine produkter. Situasjonsrapport fra Telenor SOC - februar 2024. Ransomware-bande har lekket 65.000 dokumenter fra regjeringen i Sveits. Apple patcher macOS, ipadOS, visionOS, watchOS, Safari osv.


Cisco leverer patcher for flere av sine produkter

Cisco har offentliggjort patcher for flere produkter, inkludert en med høy alvorlighet i Secure Client for Linux, MacOS og Windows. Svakheten kan utnyttes til å få tilgang til sensitiv informasjon fra en sårbar klient og dermed også selve VPN-sesjonen. I Linux-klienten er det enda en alvorlig sårbarhet som kan tillate en lokal bruker å oppnå økte rettigheter på systemet.

Cisco patcher også svakheter rangert med medium viktighet i AppDynamics Controller og Duo Authentication for Windows Logon and RDP. Cisco kjenner så langt ikke til at noen av svakhetene blir brukt aktivt i angrep.

Situasjonsrapport fra Telenor SOC - februar 2024

Vi har publisert vår situasjonsrapport fra Telenor SOC for februar 2024. Denne måneden skriver vi blant annet om lekkasje av passord gjennom SMB-protkollen og avanserte angripere som skjuler seg ved hjelp kompromitterte hjemme-routere.

Ransomware-bande har lekket 65.000 dokumenter fra regjeringen i Sveits

NCSC (National Cyber Security Centre) i Sveits har sluppet en rapport etter at leverandøren Xplain ble utsatt for et ransomware-angrep fra gruppen "Play" i mai 2023. I juni 2023 ble det sluppet store mengder informasjon som var stjålet fra leverandøren, etter at løsepenger ikke ble betalt. Av rundt 1.3 millioner lekkede filer var omtrent 65.000 dokumenter tilhørende en rekke myndighetsorganer. Rundt 5000 av dokumentene inneholdt sensitiv informasjon som personopplysninger, tekniske opplysninger, gradert informasjon osv.

Apple patcher macOS, ipadOS, visionOS, watchOS, Safari osv

På onsdag meldte vi om at Apple hadde gitt ut patcher for to aktivt utnyttede svakheter i iOS. Tilsvarende oppdatering har nå blitt gitt ut for Apples andre produkter. Vi anbefaler å patche så fort som mulig.

 
>