Situasjonsrapport - november 2025

Alvorlige hendelser

I november håndterte Telenor Cyberdefence 23 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, opp fra 20 i forrige periode.

DDoS-angrep
Det var 53 bekreftede DDoS-angrep denne måneden, ned fra 58 i oktober. 21 av disse ble håndtert og mitigert. Et gjennomsnittlig angrep var på 6,43 Gbps og varte i 60 minutter. Det største angrepet observert i denne perioden var på 42,2 Gbps og varte i 2 timer. Misbruk av DNS stod for 66% av angrepene.

Nyhetsoppsummering
JustisCERT varsler at Apple 3. november 2025 har publisert sikkerhetsoppdateringer som retter omfattende sårbarheter i en rekke Apple produkter: 56 sårbarheter i iOS og iPadOS 26.1, 105 i macOS Tahoe 26.1, 60 i macOS Sequoia 15.7.2, 49 i macOS Sonoma 14.8.2, 29 i tvOS 26.1, 32 i watchOS 26.1, 43 i visionOS 26.1, 21 i Safari 26.1 og 2 i Xcode 26.1.

Cybersecurity and Infrastructure Security Agency (CISA) har sendt ut et varsel om en kritisk fjernkjøringsfeil i CentOS Web Panel som nå aktivt utnyttes av angripere. Den berørte sårbarheten spores som CVE-2025-48703 og gjør det mulig for uautentiserte angripere (som kjenner et gyldig brukernavn) å kjøre vilkårlige shell kommandoer på en sårbar CWP instans.

Cisco har utgitt sikkerhetsoppdateringer for en kritisk sårbarhet i Unified Contact Center Express (UCCX) som gjør det mulig for en uautentisert angriper å laste opp manipulerte filer, omgå autentisering, kjøre vilkårlig kode eller eskalere til root-privilegier via Java RMI. Sårbarheten rammer UCCX uavhengig av hvordan enheter er konfigurert, og har fått kode CVE-2025-20354 med CVSS 9.8. Cisco anbefaler umiddelbar oppgradering til fiksede versjoner da det ikke finnes andre "workarounds".

En omfattende driftsfeil hos internettinfrastrukturleverandøren Cloudflare inntraff tirsdag 18. november 2025 rundt klokken 12:30 norsk tid. Feilen førte til at mange brukere opplevde ustabilitet eller fullstendig nedetid på flere nettsteder i flere timer og ble møtt med feilmeldingen "Internal server error - Error code 500". Feilen ble rettet etter omtrent tre timer. Cloudflare har selv identifisert årsaken som en latent feil (latent bug) i et system som håndterer bot-trafikk. I følge Cloudflare var det en rutinemessig konfigurasjonsendring som førte til at en automatisk generert konfigurasjonsfil vokste seg større enn forventet og utløste en krasj i programvaren. De understreker at dette ikke var et cyberangrep.

Amazon avslører angrep som utnyttet sårbarheter i Cisco ISE og Citrix NetScaler som zero-day. En avansert trusselaktør har brukt to hittil ukjente (zero day) sårbarheter i Citrix NetScaler ADC/Gateway og Cisco Identity Services Engine (ISE) og ISE Passive Identity Connector for å levere spesiallaget skadelig programvare. Amazon’s trusselintelligens team oppdaget utbrudd via sin “MadPot” honeypot infrastruktur hvor de så uautentisert fjernkjøring og innlogging¬ omgåelse mot disse produktene. Sårbarhetene ble senere offentliggjort og patchet, men aktøren hadde allerede utnyttet dem via web‐shell med Java refleksjon og brukte DES kryptering og uvanlig HTTP-header autentisering for å unngå deteksjon.

I september 2025 ble en selvrepliserende orm flagget som skadevare for leverandørkjedeangrep. Angrepet, kalt "Shai-Hulud" (etter sandormene i Dune-universet), påvirket over 500 npm-pakker (node package manager) og hadde som hovedmål å tilegne seg innloggingsinformasjon og annen hemmelig informasjon fra utviklere. 24.november 2025 gikk det ut informajson om at en orm med lignende egenskaper som Shai-Hulud hadde blitt observert. JavaScript pakkesystemet npm, som brukes av Node.js, ble rammet av skadevarekampanjen som har fått tilnavnet "Sha1-Hulud: The Second Coming." På det meste skal over 1000 npm-pakker være rammet, blant annet populære fra Postman, ENS, AsyncAPI, PostHog og Zapier. Ormen kamufleres som en trojaner og under installasjon av en kompromittert pakke vil ormen også installere seg selv og søke etter innloggingsdetaljer til blant annet GitHub, skytjenester som AWS, Azure og GCP, og npm.

 Om ormen lykkes, publiseres informasjonen på et offentlig GitHub-repo med offerets konto. Den forsøker også å spre seg selv ved å misbruke npm-innlogging til å infisere pakker offeret har ansvar for. Per 24.november 2025 melder Wiz (https://www.wiz.io) om mer at mer enn 350 unike brukere og over 25 000 repoer er påvirket av skadevaren.

Microsoft planlegger å oppdatere sikkerheten for Entra ID-autentisering slik at eksterne script-injeksjonsangrep (som cross-site scripting / XSS) blir blokkert. Fra midten til slutten av oktober 2026 vil innlogging via nettleser på adresser som begynner med login.microsoftonline.com bare tillate skript fra Microsoft-støttede CDN-domener og inline-skript fra betrodde Microsoft-kilder.

 

 

Situasjonsrapport - oktober 2025

Alvorlige hendelser

I oktober håndterte Telenor Cyberdefence 20 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, opp fra 16 i forrige periode.

DDoS-angrep
Det var 58 bekreftede DDoS-angrep denne måneden, ned fra 69 i september. 18 av disse ble håndtert og mitigert. Et gjennomsnittlig angrep var på 9,96 Gbps og varte i 60 minutter. Det største angrepet observert i denne perioden var på 84,7 Gbps og varte i 10 minutter. Misbruk av DNS stod for 64% av angrepene.

Nyhetsoppsummering
Ny digitalsikkerhetslov i Norge. Den nye digitalsikkerhetsloven i Norge trer i kraft 1. oktober 2025 og skal styrke beredskapen mot digitale trusler. Loven gjelder for virksomheter som leverer samfunnskritiske og viktige tjenester, og den pålegger strengere krav til risikohåndtering, sikkerhetstiltak, varsling av hendelser og tilsyn. NSM får et utvidet ansvar som tilsynsmyndighet, og loven bygger på EUs NIS2-direktiv.

Angrepskampanje mot SonicWall VPN brukere. Angrepene er observert av Huntress og de rapporterte at så mange som 100 brukere over 16 miljøer var kompromittert mellom 4.-10. oktober. Huntress sier videre at de ikke har funnet bevis for at det er en sammenheng mellom kompromittering og datalekkasjen fra SonciWall VPN fra 17. september i år. "Fordi disse filene inneholder svært sensitiv informasjon, er de krypterte, og legitimasjonene og hemmelighetene inni dem er individuelt kryptert med AES-256-algoritmen."

F5 Networks bekreftet et alvorlig datainnbrudd der statssponsede aktører stjal kildekode og informasjon om upubliserte sårbarheter i BIG-IP produkter. Angriperne hadde vedvarende tilgang i minst 12 måneder, trolig via BRICKSTORM skadevare tilknyttet kinesiske UNC5221. Selv om ingen kundedata eller systemer som CRM ble kompromittert, kan eksfiltrert sårbarhetsinformasjon brukes til målrettede angrep. CISA har utstedt en nød direktiv som pålegger amerikanske byråer å sikre og oppdatere F5 produkter innen 22. oktober 2025.

Det amerikanske byrået Cybersecurity and Infrastructure Security Agency (CISA) advarer om at en høy alvorlig sårbarhet i Microsoft Windows SMB Client (CVE 2025 33073) nå utnyttes aktivt. Sårbarheten gjør det mulig for en angriper med gyldige autentiseringsdetaljer å overtale et offer til å koble tilbake til en ondsinnet applikasjon, noe som kan gi angriperen SYSTEM privilegier på målsystemet. CISA har nå lagt sårbarheten inn i sin “Known Exploited Vulnerabilities” katalog.

Klopatra, ny Android-banktrojan med opprinnelse i Tyrkia. Klopatra er et nytt Android Remote Access Trojan (RAT) / banking-trojan som bruker kommersiell kodebeskyttelse for å forsinke analyse. Skadevaren leveres via en «dropper» kamuflert som en IPTV-app og utfører handlinger som å stjele legitimasjon og utføre nattlige banktransaksjoner. Det er blitt observert målrettede angrep mot europeiske finansmål, med hovedfokus i Spania og Italia hvor det er flere tusen infiserte enheter.

CISA advarer om aktiv utnyttelse av den kritiske sårbarheten CVE-2025-54253 (CVSS 10.0) i Adobe Experience Manager. Versjon 6.5.23 og eldre er rammet. Sårbarheten skyldes en feilkonfigurasjon som lar angripere omgå autentisering og muliggjør kjøring av vilkårlig kode uten brukerinteraksjon. Dette er en sårbarhet fra april som Adobe har rettet den 9. august, men mange systemer har enda ikke blitt patchet og CISA ser nå aktiv utnyttelse av denne. Det anbefales å patche umiddelbart om dette ikke allerede er gjort.

JustisCERT varsler at det er avdekket et stort antall sårbarheter i programvare fra både Atlassian og Oracle. Atlassian har rettet 14 sårbarheter, mens Oracle har utbedret hele 374 sårbarheter i sin kvartalsvise «Critical Patch Update». Angrepsflaten vurderes som stor, og flere av sårbarhetene har en CVSS-score på opptil 9,8 av 10, noe som indikerer svært høy risiko for kompromittering dersom systemene ikke oppdateres.

 

 

Situasjonsrapport - september 2025

Alvorlige hendelser

I september håndterte Telenor Cyberdefence 16 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, ned fra 17 i forrige periode.

DDoS-angrep
Det var 69 bekreftede DDoS-angrep denne måneden, opp fra 37 i august. 25 av disse ble håndtert og mitigert. Et gjennomsnittlig angrep var på 5,02 Gbps og varte i 16 minutter. Det største angrepet observert i denne perioden var på 59,7 Gbps og varte i 8 minutter. Misbruk av DNS stod for 85% av angrepene.

Nyhetsoppsummering
Amazon Web Services sitt trusselintelligens team har oppdaget og stoppet en vannhulls-kampanje utført av den russiske statssponsede aktøren APT29. Angriperne kompromitterte legitime nettsider og injiserte skjult JavaScript som omdirigerte omtrent 10% av besøkende til ondsinnede domener som etterlignet Cloudflare sider. Hensikten var å lure brukere til å autorisere angriper kontrollerte enheter via Microsofts enhetskode autentisering. Kampanjen benyttet teknikker som Base64 koding, tilfeldig omdirigering, bruk av cookies for å unngå gjentatt omdirigering, samt hurtig bytte av infrastruktur ved forstyrrelser. Amazon isolerte berørte EC2 instansene, samarbeidet med Cloudflare og Microsoft, og stengte ned de ondsinnede domenene.

I slutten av august 2025 ble det observert to markante bølger av nettverksskanninger rettet mot Cisco ASA enheter, hovedsakelig omkring innloggingsportaler og Telnet/SSH, med opptil 25 000 unike IP-adresser involvert. Den andre bølgen 26. august ble drevet av et brasiliansk bot-nett med cirka 17 000 IP-er. Skanningene brukte "Chrome-lignende" brukeragenter, noe som tyder på felles opprinnelse. Disse skanningene kan både være forsøk på å utnytte allerede kjente, patchede sårbarheter, men fungerer ofte som rekognoseringsaktivitet før nye sårbarheter offentliggjøres. Systemadministratorer rådes til å oppdatere ASA enheter, innføre MFA ved ekstern tilgang, skjule eller ikke eksponere ASA innlogging portaler, og bruke VPN, reverse proxy eller tilgangs gateway med geo blokkering og rate limiting for beskyttelse.

Microsoft har fikset en kritisk sårbarhet i Entra ID (tidligere Azure Active Directory), sporet som CVE-2025-55241 (CVSS 10.0). Feilen lå i valideringen av service-to-service tokens via den utdaterte Azure AD Graph API, som gjorde det mulig å utgi seg for enhver bruker på tvers av tenants. Dette kunne gi full kompromittering av tjenester som SharePoint Online, Exchange Online og Azure-ressurser. Sårbarheten har blitt fikset av Microsoft, uten behov for kundetiltak.

Cisco har utgitt sikkerhetsoppdateringer for å fikse en alvorlig Zero-day sårbarhet (CVE-2025-20352) i IOS og IOS XE. Feilen ligger i SNMP subsystemet og kan utnyttes via spesiallagde SNMP pakker over IPv4/v6. Alle SNMP versjoner er påvirket. Angripere med lave privilegier kan forårsake DoS (tjenestenekt), mens de med høyere privilegier kan oppnå full kontroll over sårbare systemer. Cisco bekrefter at sårbarheten allerede er utnyttet i angrep etter kompromittering av lokale administratorbrukere. Det finnes for tiden ingen midlertidig løsning annet enn å installere sikkerhetsoppdateringene Cisco har utgitt.

Tre nye Zero-day sårbarheter i Cisco ASA og FTD (CVE-2025-20333, CVSS 9.9, CVE-2025-20363, CVSS 9.0 og CVE-2025-20362, CVSS 6.5) blir aktivt utnyttet i pågående angrep. Sårbarhetene gjør det mulig for angripere å kjøre kode som root på sårbare enheter og å omgå autentisering via manipulerte HTTP forespørsler. Sårbarheten CVE-2025-20363 påvirker også Cisco IOS. NCSC anbefaler å installere nye sikkerhetsoppdateringer samt å følge Ciscos anbefalinger og har hevet pulsen til to: forhøyet fare. I USA har CISA utstedt et nød direktiv (ED 25-03) som pålegger føderale etater å gjennomføre tiltak innen 24 timer.

Akira ransomware angriper fortsatt SonicWall SSL VPN enheter, og forskere har oppdaget at angriperne klarer å logge inn på kontoer selv med OTP (One-Time Password) basert MFA aktivert. Angrepene knyttes til tidligere sårbarhet (CVE-2024-40766), hvor stjålne påloggingsinformasjon og OTP seeds trolig fortsatt misbrukes. Arctic Wolf observerer at angriperne får flere OTP utfordringer før vellykket innlogging, noe som antyder kompromitterte MFA seeds eller alternative metoder for å generere gyldige koder. Etter innbrudd beveger de seg raskt i nettverket, angriper blant annet Veeam backup-servere og bruker BYOVD (Bring Your Own Vulnerable Driver) teknikker for å deaktivere sikkerhetsprogramvare.

 

 

Situasjonsrapport - august 2025

Alvorlige hendelser

I august håndterte Telenor Cyberdefence 17 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, opp fra 7 i juli.

DDoS-angrep
Det var 37 bekreftede DDoS-angrep denne måneden, opp fra 27 i juli. 19 av disse ble håndtert og mitigert. Et gjennomsnittlig angrep var på 16,6 Gbps og varte i 18 minutter. Det største angrepet observert i denne perioden var på 244 Gbps og varte i 16 minutter. Misbruk av DNS stod for 94% av angrepene.

Nyhetsoppsummering
Fortinet har utgitt en kritisk sikkerhetsadvarsel for FortiSIEM, da en OS-kommandoinjeksjonsfeil (CVE-2025-25256) med CVSS 9.8 tillater uautentiserte angripere å utføre skadelige kommandoer via CLI-forespørsler. Praktisk angrepskode for dette sikkerhetsproblemet er blitt observert av Fortinet, og sårbarheten gir ingen tydelige indikatorer på kompromiss (IoCs). Påvirkede versjoner inkluderer FortiSIEM 6.1–7.2.x.

En kritisk sikkerhetssårbarhet i GitHub Copilot og Visual Studio Code — CVE‑2025‑53773 — utnyttes gjennom prompt‑injeksjon. Ved å manipulere .vscode/settings.json kan angripere aktivere den såkalte “YOLO mode” ("chat.tools.autoApprove": true), noe som fjerner alle sikkerhetsbekreftelser og gir verktøyet frihet til å kjøre shell-kommandoer og utføre vilkårlig kode på systemet

Crypto24-gruppen har nylig blitt observert i angrep mot store organsisasjoner i USA, Europa og Asia, spesielt innen finans, produksjon, underholdning og teknologi. Etter å ha fått inital tilgang så oppretter de administrative eller lokale kontoer, gjennomfører rekognosering via batch-script og setter opp vedvarende tilgang med skadelige Windosw-tjenester som "WinMainSvc" (keylogger) og "MSRuntime" (ransomware-logger). Deretter bruker de en tilpasset variant av verktøyet RealBindingEDR, som prøver å indentifisere hvilke EDR-løsninger som er tilstede.

Cisco har varslet om en kritisk remote code execution (RCE)-sårbarhet i RADIUS-subsystemet til Secure Firewall Management Center (FMC). Sårbarheten, identifisert som CVE-2025-20265, har fått den maksimale alvorlighetsscoren 10.0. En uautentisert og ekstern angriper kan sende spesiallaget input under RADIUS-autentiseringsfasen, enten via web- eller SSH-grensesnitt der RADIUS er aktivert, og dermed oppnå vilkårlig kjøring av shell-kommandoer med forhøyede rettigheter. Cisco har utgitt gratis sikkerhetsoppdateringer via vanlige kanaler for kunder med gyldig servicekontrakt.

FBI og Cisco Talos har gått ut med advarsler om en pågående cyber-etterretningskampanje utført av russiske hackere tilknyttet FSBs Center 16-enhet (kjent som både Static Tundra, Berserk Bear, Dragonfly m.fl.). Over de siste tolv månedene har de utnyttet den syv år gamle og kritiske sårbarheten CVE-2018-0171 i Cisco IOS- og IOS XE-programvare (Smart Install-funksjonen), og rettet angrep mot tusenvis av nettverksenheter i kritisk infrastruktur globalt.

PDF Editor By AppSuite, tilsynelatende et verktøy for PDF-redigering (visning, konvertering, utfylling, sammenslåing, signering og komprimering), viser seg å være et uønsket program med typiske kjennetegn for nettleserkapring (browser hijacker). Installasjonen endrer standard søkemotor til Yahoo gjennom en omdirigerings-URL (search-redirect.com) – en falsk søkemotor som kan samle data og føre brukere til upålitelige nettsteder. Den kan også vise påtrengende annonser, redusere nettleser- og systemytelse, og overvåke nettleseraktivitet. Brukere bør unngå å installere programmet og fjerne det umiddelbart dersom det er til stede.

Citrix oppdaterer tre NetScaler svakheter, bekrefter aktiv utnyttelse av CVE-2025-7775. Den 26. august 2025 har Citrix adressert tre alvorlige sårbarheter i "NetScaler ADC" og "NetScaler Gateway," inkludert CVE-2025-7775, som er under aktiv utnyttelse.

 

 

Situasjonsrapport - juli 2025

Alvorlige hendelser

I juli håndterte Telenor Cyberdefence 7 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, ned fra 18 i juni.

DDoS-angrep
Det var 27 bekreftede DDoS-angrep denne måneden, ned fra 68 i juni. 16 av disse ble håndtert og mitigert. Et gjennomsnittlig angrep var på 7,95 Gbps og varte i 60 minutter. Det største angrepet observert i denne perioden var på 35,4 Gbps og varte i 24 timer. Misbruk av DNS stod for 82% av angrepene.

Nyhetsoppsummering
Grafana Labs har gitt ut en kritisk sikkerhetsoppdatering for Image Renderer‑pluginen (og Synthetic Monitoring Agent) etter åtte Chromium sårbarheter ble oppdaget og utnyttet via bug bounty. Fire av disse (CVE‑2025‑5959, CVE‑2025‑6191, CVE‑2025‑6192 med score 8.8 og CVE‑2025‑6554 med score 8.1) gjør det mulig med fjernkodekjøring, ukontrollert minnetilgang eller heap‑korrupsjon via ondsinnet HTML. Brukere oppfordres til å oppdatere til Image Renderer ≥ 3.12.9 og Synthetic Agent ≥ 0.38.3 umiddelbart. Grafana Cloud og Azure Managed Grafana er allerede oppdatert.

CitrixBleed2 (CVE-2025-5777) er en alvorlig sårbarhet i Citrix NetScaler-enheter som lar angripere hente ut minneinnhold og stjele brukersesjoner ved hjelp av feilformede innloggingsforespørsler. Sårbarheten ligner på den tidligere CitrixBleed-feilen fra 2023 og er enkel å utnytte. Selv om Citrix hevder at det ikke finnes bevis for aktiv utnyttelse, har sikkerhetsforskere funnet indikasjoner på det motsatte. Det er sterkt anbefalt å installere tilgjengelige sikkerhetsoppdateringer.

Sårbarheter i produkter fra Atlassian, Oracle og Broadcom (VMware). JustisCERT varsler den 16. juli 2025 om alvorlige sårbarheter i produkter fra Atlassian, Oracle og Broadcom (VMware). Atlassian publiserte 15. juli 2025 hele 20 nye CVE‑numre med CVSS-scoringer mellom 7.2 og 8.8, og har rukket å lansere oppdateringer for alle støttede produkter.

Microsoft har utgitt nødoppdateringer for to aktive null-dag-sårbarheter, CVE-2025-53770 og CVE-2025-53771, som er blitt utnyttet i “ToolShell”-angrep mot lokale SharePoint-servere. Angrepene har rammet titalls organisasjoner verden over, med påvist utnyttelse siden 18. juli.

Sårbarheter i Apple‑produkter og i SonicWall SonicOS. Apple har rettet til sammen 29 sårbarheter i iOS og iPadOS 18.3, 17 i iPadOS 17.7.4, 61 i macOS Sequoia 15.3, 41 i macOS Sonoma 14.7.3, 31 i macOS Ventura 13.7.3, samt flere i Safari, tvOS, visionOS og watchOS.