Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday, 18 August 2017

2017.08.18 - Nyhetsbrev

Utviklerkontoer til populære Chrome-utvidelser tatt over av cyberkriminelle. Ny variant av Locky-løsepengevirus omgår antivirus.

Utviklerkontoer til populære Chrome-utvidelser tatt over av cyberkriminelle

I slutten av juli og begynnelsen av august ble utviklerkontoer tilknyttet 8 populære Chrome-utvidelser overtatt av kriminelle. Kontoene ble brukt til å distribuere manipulerte versjoner av utvidelsene. Over 4.7 millioner brukere kan være berørt.

Kontoene ble stjålet ved at angriperne brukte phishing-eposter for å få tilgang. Det ble lagt inn kode i utvidelsene som byttet ut legitim reklame på nettsteder med annen reklame, for det meste pornografiske nettsteder. I teorien kan de også ha hentet inn innloggingsdetaljer fra sluttbrukere.

De kompromitterte utvidelsene er:

Web Developer - 1,044,016 brukere
Chrometana - 597,577 brukere
Infinity New Tab - 476,803 brukere
CopyFish - 37,397 brukere
Web Paint - 53,930 brukere
Social Fixer - 182,083 brukere
TouchVPN - 1,031,690 brukere
Betternet VPN - 1,334,517 brukere
Referanser
http://securityaffairs.co/wordpress/62090/hac[...]

Ny variant av Locky-løsepengevirus omgår antivirus

Fra 9. til 11. august, havnet løsepengeviruset kalt IKARUSdilapidated i titusenvis av innbokser ifølge Comodo Threat Intelligence Lab. Innholdet er en fil med navn "E 2017-08-09 (580).vbs" hvor 580 og ".vbs" kan endre seg fra mail til mail. Hvis filen lastes ned og kjøres, laster denne ned et dokument. Når brukeren åpner dokumentet, ser det ut til å være fylt med tilfeldige tegn, og det inkluderer teksten "Enable macro if data encoding is incorrect". Dersom brukeren slår på makroer, lagres og kjøres en eksekverbar fil som laster ned det virkelige løsepengeviruset.

Etter at en klient er infisert, blir brukeren bedt om laste ned TOR-nettleseren for å besøke en betalingsside. Løsepengesummen er fra 0.5 til 1 Bitcoin (ca 16980 til 33960 NOK).
Referanser
https://threatpost.com/locky-ransomware-varia[...]

Thursday, 17 August 2017

2017.08.17 - Nyhetsbrev

Norsk mobilapp muliggjorde uthenting av fødselsnummer. Flere alvorlige svakheter i Drupal Core. Cisco fikser svakheter i flere produkter.

Norsk mobilapp muliggjorde uthenting av fødselsnummer

Appen "Trygg Reise" fra Tryg forsikring hadde manglende autentisering mot et bakenforliggende system. Ved hjelp av en proxy, var det mulig å få hentet ut informasjon om bileiere ved å slå opp på skilt-nummer. Info som kunne hentes ut var navn, adresse, forsikringer og fødselsnummer.
Referanser
https://www.digi.no/artikler/norsk-mobilapp-a[...]

Flere alvorlige svakheter i Drupal Core

Det har blitt sluppet en ny versjon av publiseringssystemet Drupal som utbedrer tre svakheter. En av svakhetene har blitt rangert som "kritisk".
Anbefaling
Oppdater til Drupal v8.3.7.
Referanser
https://www.drupal.org/SA-CORE-2017-004

Cisco fikser svakheter i flere produkter

Cisco fikser svakheter i produktene "Application Policy Infrastructure Controller" og "Virtual Network Function Element Manager".
Anbefaling
dfg
Referanser
https://www.us-cert.gov/ncas/current-activity[...]

Wednesday, 16 August 2017

2017.08.16 - Nyhetsbrev

Telenor utgir rapporten "Digital Sikkerhet 2017".

Bakdør funnet i flere produkter fra NetSarang.

Det omfattende utpressingsangrepet "NotPetya" i juni kan komme til å koste Maersk Line opptil to milliarder kroner.

Bakdør funnet i flere NetSarang produkter.

KasperskyLabs oppdaget tidligere i juni en bakdør lagt inn i server-håndteringssystemer fra NetSarang. Bakdøren ble oppdaget etter mistenkelige DNS-spørringer fra servere som brukte NetSarang produkter. Bakdøren er fjernet i nyeste oppdateringer.
Referanser
https://securelist.com/shadowpad-in-corporate[...]

Telenor utgir rapporten "Digital Sikkerhet 2017"

En ny rapport fra Telenor Norge kaster lys over risikoer og utfordringer Norge står overfor når avanserte trusselaktører utnytter cyberspace.
Referanser
http://www.mynewsdesk.com/no/telenor/pressrel[...]
https://www.telenor.no/om/digital-sikkerhet/
http://

Utpressingsangrepet "NotPetya" kan koste Maersk Line opptil to milliarder kroner.

Shippingfirmaet Maersk Line skriver i deres kvartalsrapport for Q2 at utpressingsangrepet "NotPetya", som rammet dem i slutten av juni, kan koste selskapet så mye som 200-300 millioner dollar.
Referanser
https://www.digi.no/artikler/dataangrepet-kan[...]
http://investor.maersk.com/releasedetail.cfm?[...]

Tuesday, 15 August 2017

2017.08.15 - Nyhetsbrev

PostgreSQL fikser tre svakheter og over 50 feil i siste oppdatering. Svakhet fra patche-tirsdag i Windows har orme-potensiale.

PostgreSQL fikser tre svakheter og over 50 feil i siste oppdatering

Siste ukes oppdatering fikset en svakhet som aksepterte blanke passord. Det anbefales å oppgradere.
Referanser
http://www.securityweek.com/password-flaws-pa[...]

Svakhet fra patche-tirsdag i Windows har orme-potensiale

CVE-2017-8620, fikset i august-oppdateringen fra Microsoft, har potensiale til kunne benyttes til spredning av ormer. Svakheten gir angriper muligheten til å oppgradere rettigheter og fra eksternt ståsted angripe og kjøre kode. Alle Windows versjoner er påvirket svakheten utnyttes via SMB. Vi anbefaler å oppgradere.
Referanser
https://threatpost.com/windows-search-bug-wor[...]

Monday, 14 August 2017

2017.08.14 - Nyhetsbrev

Sikkerhetsoppdateringer til Symantec Messaging Gateway. Spoofing av GPS-signaler narret navigasjonsutstyret til flere titalls skip. Hackergruppen APT28 hacket gjester på hoteller i Europa og Midtøsten.

Hackergruppen APT28 hacket gjester på hoteller i Europa og Midtøsten

Den russisktalende hackergruppen APT28 skal, i følge forskere, ha lurt gjester ved hoteller i Europa og Midtøsten til å laste ned skjemaer som likner på hotellenes egne skjemaer. Disse filene installerer skadevaren Gamefish som igjen sprer seg videre over nettet ved hjelp av svakheten i SMB-protokollen brukt i NSA sitt EternalBlue-verktøy. Målet for angrepene skal ha vært forretningsfolk og politikere. Det anbefales på et generelt grunnlag at man unngår å bruke offentlige, åpne nettverk.
Referanser
https://threatpost.com/apt28-using-eternalblu[...]

Spoofing av GPS-signaler narret navigasjonsutstyret til flere titalls skip

Den siste tiden er det rapportert om flere skip som feilrapporterer posisjonen sin. Det mistenkes at flere av hendelsene skyldes russisk testing av et nytt system for GPS-spoofing. Slik spoofing av GPS-signaler kan misbrukes til mange formål, blant annet GPS-avhengige raketter brukt av militæret.
Referanser
https://www.digi.no/artikler/falske-gps-signa[...]
https://www.newscientist.com/article/2143499-[...]

Sikkerhetsoppdateringer til Symantec Messaging Gateway

Symantec har oppdaget og fikset to sikkerhetshull i Symantec Messaging Gateway. Den ene feilen er klassifisert som alvorlig og gjør det mulig for en angriper å kjøre uautorisert kode eksternt. I verste fall kan dette føre til at en angriper får tilgang til maskinen.
Anbefaling
Oppdater Symantec Messaging Gateway 10.6.3-267
Referanser
https://www.symantec.com/security_response/se[...]

Friday, 11 August 2017

2017.08.11 - Nyhetsbrev

Sårbarheter i Juniper Networks Junos OS

Sårbarheter i Junipers JunOS

Det er oppdaget sårbarheter (CVE-2017-2347 / CVE2016-3074) i operativsystemet tilhørende Juniper Networks routere som kjører Junos OS. Sårbarhetene åpner for heap-overflow og tjenestenekt.

Juniper har sluppet oppdateringer som tetter svakhetene.
Anbefaling
Oppdater berørte systemet.
Referanser
https://kb.juniper.net/InfoCenter/index?page=[...]

Thursday, 10 August 2017

2017.08.10 - Nyhetsbrev

Data fra Carbon Blacks EDR-tjeneste hentet ut via Virus Total sitt 3-parts API.

Carbon Black anklaget for å ha lekket kundedata

Sensitiv bedriftsdata fra kunder beskyttet av Carbon Black Endpoint Detection and Response (EDR)-løsning har blitt funnet på Virus Total i følge Direct Defense. Lekkasjen har blitt knyttet til en API-nøkkel som Direct Defence sier tilhører Carbon Black Cb Response. Selv om EDR-løsningen endrer navn på filene ved hjelp av hashing, blir filene fremdeles lagret hos Virus Total. Ved å abonnere på data fra Virus Total, kan en laste ned tidligere opplastede filer. Det er på denne måten DirectDefence fant filene lastet opp fra Carbon Black.

Carbon Blacks CTO Michael Viscuso kom på banen etter avsløringene. Han opplyser at Carbon Black ikke laster opp filer til Virus Total i standard konfigurasjon. Dette er funksjonalitet som kan slås på for brukere som ønsker dette. Dersom brukeren prøver å slå på funksjonen, advares det også mot at tredjeparter kan få tak i filene som lastes opp. Mange andre sikkerhetsverktøy laster også opp ukjente filer til Virus Total og andre sikkerhetsjenester.
Referanser
https://www.bleepingcomputer.com/news/securit[...]
https://www.carbonblack.com/2017/08/09/direct[...]
https://blog.savagesec.com/words-have-meaning[...]