Situasjonsrapport - mai 2025

Alvorlige hendelser

I mai håndterte Telenor Cyberdefence 7 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, ned fra 9 i april.

DDoS-angrep
Det var 69 bekreftede DDoS-angrep denne måneden, opp fra 65 i april. 38 av disse ble håndtert og mitigert. Et gjennomsnittlig angrep var på 11,9 Gbps og varte i 22 minutter. Det største angrepet observert i denne perioden var på 360 Gbps og varte i 60 minutter. Misbruk av DNS, sammen med IP fragmentering, stod for 70% av angrepene.

Nyhetsoppsummering
Ivanti har utgitt sikkerhetsoppdateringer for å adressere to sårbarheter i Endpoint Manager Mobile (EPMM). Disse sårbarhetene, som involverer autentiseringsomgåelse og fjernkodekjøring, har blitt utnyttet i begrensede angrep. Sårbarhetene stammer fra to integrerte open-source biblioteker, hvis navn ikke er offentliggjort. Ivanti bemerker at risikoen reduseres betydelig dersom API-tilgang allerede filtreres via innebygd Portal ACLs-funksjonalitet eller en ekstern webapplikasjonsbrannmur. Kun den lokale EPMM-løsningen er berørt; Ivanti Neurons for MDM og andre produkter påvirkes ikke.

Ny Active Directory sårbarhet i Windows Server 2025. En alvorlig sårbarhet i Windows Server 2025, relatert til den nye funksjonen delegated Managed Service Account (dMSA), gjør det mulig for angripere å eskalere privilegier og overta rettigheter til hvilken som helst Active Directory (AD) bruker. Sårbarheten, oppdaget av Akamai forsker Yuval Gordon, utnytter en feil i hvordan tillatelser håndteres under migrering av eksisterende service-kontoer til dMSA. Selv om dMSA ikke er i aktiv bruk, er sårbarheten til stede i alle domener med minst én Windows Server 2025 domenekontroller. Angrepet, kalt "BadSuccessor", krever kun en tilsynelatende ufarlig tillatelse på en organisatorisk enhet for å gjennomføres.

Windows RDP tillater innlogging med utgåtte passord. Microsoft har bekreftet at Remote Desktop Protocol (RDP) tillater brukere å logge inn med tidligere gyldige passord, selv etter at de er endret eller tilbakekalt. Dette skyldes at Windows lagrer en lokal, kryptert kopi av passordet, og ved RDP-innlogging sjekkes dette mot den lokale cachen i stedet for å validere passordet online. Dermed kan angripere med gamle legitimasjoner fortsatt få tilgang via RDP, selv om passordet er endret i skyen. Microsoft anser dette som en designbeslutning, ikke en sikkerhetssårbarhet, og har ingen planer om å endre oppførselen.

Nytt sikkerhetsverktøy fra AWS medførte alvorlig sikkerhetsrisiko. AWS lanserte verktøyet Account Assessment for AWS Organizations for å forbedre sikkerhetsinnsikt, men introduserte med seg en alvorlig sårbarhet. Offisiell dokumentasjon anbefaler å installere verktøyets "hub"-rolle i mindre sikre kontoer, noe som åpnet for privilegie-eskalering til høysensitive miljøer som produksjon og administrasjonskontoer. Feilen ble oppdaget av sikkerhetsforskere og rapportert til AWS, som deretter oppdaterte veiledningen for å redusere risiko. Hendelsen viser hvor lett tillitsmekanismer i skyinfrastruktur kan feiltolkes – selv av leverandøren selv.

Kina-tilknyttede APT-er utnytter SAP for å kompromittere kritiske systemer globalt. En kritisk sårbarhet i SAP NetWeaver Visual Composer, identifisert som CVE-2025-31324, blir aktivt utnyttet av flere kinesiske statssponsede trusselaktører. Sårbarheten tillater uautentisert filopplasting, noe som gir angripere mulighet til å utføre fjernkodekjøring (RCE). Over 581 SAP NetWeaver-installasjoner er bekreftet kompromittert, med bakdører installert via webskall. Angrepene retter seg mot kritisk infrastruktur som gassdistribusjonsnettverk, vann- og avfallshåndteringssystemer i Storbritannia, medisinsk utstyrsproduksjon og olje- og gasselskaper i USA, samt statlige departementer i Saudi-Arabia. Angriperne bruker ulike verktøy som KrustyLoader, SNOWLIGHT, VShell og GOREVERSE for å opprettholde vedvarende tilgang og utføre ytterligere ondsinnede aktiviteter.

 

 

Situasjonsrapport - april 2025

Alvorlige hendelser

I april håndterte Telenor Cyberdefence 9 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, ned fra 12 i mars.

DDoS-angrep
Det var 65 bekreftede DDoS-angrep denne måneden, ned fra 69 i mars. 49 av disse ble håndtert og mitigert. Et gjennomsnittlig angrep var på 17,3 Gbps og varte i 60 minutter. Det største angrepet observert i denne perioden var på 120 Gbps og varte i 9 minutter. Misbruk av DNS, sammen med IP fragmentering, stod for brorparten av angrepene.

Nyhetsoppsummering
Phishing-plattformen 'Lucid' står bak bølge av iOS- og Android-SMS-angrep. Lucid' er en phishing-as-a-service (PhaaS) plattform operert av den kinesiske cyberkriminelle gruppen 'XinXin' siden midten av 2023. Den har rettet seg mot 169 enheter i 88 land ved å sende sofistikerte meldinger via iMessage (iOS) og RCS (Android). Plattformen selges til andre trusselaktører gjennom et abonnementsbasert modell, som gir tilgang til over 1 000 phishing-domener, automatisk genererte phishing-nettsteder og avanserte spamming-verktøy.

Cisco advarer om en kritisk sårbarhet i Cisco Smart Licensing Utility (CSLU) som eksponerer en innebygd bakdør i form av en administratorkonto. Denne sårbarheten, identifisert som CVE-2024-20439, lar uautentiserte angripere logge inn på upatchede systemer med administrative rettigheter via CSLU-applikasjonens API. Selv om Cisco utbedret feilen i september 2024, ble det i mars 2025 oppdaget forsøk på utnyttelse av sårbarheten i det fri. Angripere har også kombinert denne sårbarheten med en annen kritisk feil, CVE-2024-20440, som tillater tilgang til loggfiler med sensitiv informasjon. Begge sårbarhetene krever at CSLU-applikasjonen er startet, da den ikke kjører i bakgrunnen som standard.

Ivanti har avslørt en kritisk sårbarhet (CVE-2025-22457) med en CVSS-score på 9.0, som påvirker Connect Secure, Policy Secure og ZTA Gateways. Sårbarheten er en stack-basert buffer overflow som tillater uautentiserte angripere å utføre vilkårlig kode eksternt. Google-eide Mandiant observerte utnyttelse av denne sårbarheten i midten av mars 2025, hvor angripere distribuerte en minnebasert minnebasert "dropper" kalt TRAILBLAZE og en passiv bakdør ved navn BRUSHFIRE. Disse verktøyene etablerer vedvarende bakdørstilgang på kompromitterte enheter, noe som potensielt muliggjør brukerinformasjons tyveri, dataeksfiltrering mm.

Fortinet har oppdaget at trusselaktører utnytter tidligere kjente og nå patchede sårbarheter—inkludert CVE-2022-42475, CVE-2023-27997 og CVE-2024-21762—for å opprette en symbolsk lenke (symlink) mellom brukerfil- og rotfilsystemene i FortiGate-enheter. Denne symlinken, plassert i en mappe brukt for språkfiler i SSL-VPN, gir angriperne vedvarende lesetilgang til konfigurasjonsfiler, selv etter at de opprinnelige sårbarhetene er tettet. SSL-VPN-brukere er spesielt utsatt, mens de som aldri har aktivert denne funksjonen ikke er berørt. Fortinet har utgitt oppdateringer for FortiOS som automatisk fjerner slike symlinker og forhindrer at SSL-VPN-serveren distribuerer dem.

Microsoft Entra-kontolåsing forårsaket av feil med bruker token logging. Microsoft bekreftet at en intern feil i deres loggsystem førte til at mange brukere av Microsoft Entra ID opplevde kontolåsinger i helgen 19.–20. april 2025. Feilen oppsto da systemet ved en glipp logget faktiske bruker-refresh-tokens i stedet for kun metadata. Da Microsoft senere forsøkte å rette opp dette ved å ugyldiggjøre tokenene, ble det automatisk utløst sikkerhetsvarsler om lekkede legitimasjons-opplysninger. Dette førte til at kontoer ble låst, noe som skapte problemer for mange brukere. Microsoft har rettet feilen og informert berørte kunder, og jobber med tiltak for å forhindre lignende hendelser i fremtiden.

Cisco har utgitt sikkerhetsoppdateringer for å rette en alvorlig sårbarhet i Webex-appen, identifisert som CVE-2025-20236. Denne sårbarheten skyldes utilstrekkelig validering av input når Webex behandler invitasjonslenker til møter. Angripere kan utnytte dette ved å sende spesiallagde møteinvitasjonslenker som får brukere til å laste ned vilkårlige filer. Ved å klikke på slike lenker kan angripere kjøre vilkårlige kommandoer med brukerens privilegier. Sårbarheten påvirker alle operativsystemer og systemkonfigurasjoner der Webex-appen er installert.

 

 

Situasjonsrapport - mars 2025

Alvorlige hendelser

I mars håndterte Telenor Cyberdefence 12 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, opp fra 11 i februar.

DDoS-angrep
Det var 69 bekreftede DDoS-angrep denne måneden, opp fra 60 i februar. Over halvparten av disse ble håndtert og mitigert. Et gjennomsnittlig angrep var på 17,1 Gbps og varte i 17 minutter. Det største angrepet observert i denne perioden var på 421 Gbps og varte i 18 minutter. Misbruk av DNS stod for brorparten av angrepene.

Nyhetsoppsummering
CISA informerer om at Windows- og Cisco-sårbarheter blir aktivt utnyttet. CISA har advart amerikanske føderale byråer om å sikre sine systemer mot angrep som utnytter sårbarheter i Cisco- og Windows-systemer. Den første sårbarheten (CVE-2023-20118) tillater angripere å utføre vilkårlige kommandoer på flere Cisco VPN-rutere. Selv om denne sårbarheten krever gyldige administrative legitimasjoner, kan angripere oppnå dette ved å kombinere den med CVE-2023-20025, som gir root-privilegier. Den andre sårbarheten (CVE-2018-8639) er en Win32k-privilegiumeskaleringsfeil som lokale angripere kan utnytte for å kjøre vilkårlig kode i kjernemodus, endre data eller opprette falske kontoer med fulle brukerrettigheter.

Hacking-gruppen 'Dark Storm' tar på seg ansvaret for DDoS-angrep på X. Den 10. mars 2025 opplevde det sosiale medieplattformen X (tidligere Twitter) betydelige tjenesteavbrudd globalt, noe som påvirket både mobil- og desktopbrukere. Elon Musk, eier av X, uttalte at plattformen ble utsatt for et "massivt cyberangrep" utført med betydelige ressurser, muligens av en stor, koordinert gruppe eller en nasjon. Det pro-palestinske hacktivistkollektivet Dark Storm hevdet ansvar for angrepet, og delte skjermbilder og lenker som bevis på deres DDoS-angrep mot X. Som respons aktiverte X DDoS-beskyttelsestjenester fra Cloudflare for å håndtere angrepet.

Ny SuperBlack løsepengevirus utnytter Fortinet autentiseringsomgåelses-sårbarheter. En ny løsepengevirus kalt 'SuperBlack', operert av en aktør kjent som 'Mora_001', utnytter to autentiseringsomgåelses-sårbarheter i Fortinets produkter: CVE-2024-55591 og CVE-2025-24472. Disse sårbarhetene, avslørt av Fortinet i henholdsvis januar og februar 2025, tillater uautorisert tilgang til FortiGate-brannmurer. 'SuperBlack' ble oppdaget i slutten av januar 2025, med angrep som startet så tidlig som 2. februar 2025.

Kritiske sårbarheter i Cisco Smart Licensing Utility nå utnyttet i angrep. To kritiske sårbarheter i Cisco Smart Licensing Utility (CSLU), identifisert som CVE-2024-20439 og CVE-2024-20440, blir nå aktivt utnyttet i angrep. CVE-2024-20439 er en statisk legitimasjonssårbarhet som kan tillate uautentiserte, eksterne angripere å få administrative rettigheter på sårbare systemer. CVE-2024-20440 er en informasjonslekkasjesårbarhet som kan eksponere sensitive data gjennom spesiallagde HTTP-forespørsler. Disse sårbarhetene ble opprinnelig oppdaget under intern sikkerhetstesting og påvirker kun systemer der CSLU er aktivt startet av brukeren.

Hackere bruker PowerShell og legitime Microsoft-applikasjoner for å distribuere skadelig programvare. Cyberkriminelle utnytter i økende grad PowerShell og legitime Microsoft-verktøy i såkalte “fileless” angrep, som gjør det vanskeligere for tradisjonelle antivirusprogrammer å oppdage truslene. Ved å misbruke verktøy som BITS (Background Intelligent Transfer Service), kan angripere laste ned og kjøre skadelig programvare uten å etterlate filer på disken.

 

 

Situasjonsrapport - februar 2025

Alvorlige hendelser

I februar håndterte TSOC 11 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, opp fra 7 i januar.

DDoS-angrep
Det var 60 bekreftede DDoS-angrep denne måneden, ned fra 67 i januar. 36 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 8.512 Gbps og varte i 34 minutter. Det største angrepet observert i denne perioden var på 86.3 Gbps og varte i 41minutter. Misbruk av DNS stod for brorparten av angrepene.

Nyhetsoppsummering
VMware har utgitt oppdateringer for fem sårbarheter i Aria Operations og Aria Operations for Logs (versjon 8.x), hvorav to regnes som høy risiko. De alvorligste sårbarhetene kan la angripere skaffe seg utvidede rettigheter via informasjonslekkasje og krever ikke administratorrettigheter for å utnytte. Sårbarhetene omfatter også mulighet for lagret XSS og en sårbarhet omfatter dårlig tilgangskontroll som gir ikke-administrative brukere en potensielt høyere tilgang enn tiltenkt.

Microsoft advarer om at angripere utnytter eksponerte ASP.NET-nøkler til å distribuere skadelig programvare. Microsoft har oppdaget at angripere utnytter statiske ASP.NET-maskinnøkler funnet på nettet til å utføre kodeinjeksjonsangrep via ViewState. Disse nøklene, som ofte hentes fra offentlige kodeplattformer, brukes til å generere ondsinnede ViewStates med gyldig message authentication code (MAC). Når slike ViewStates sendes via POST-forespørsler, dekrypterer og validerer ASP.NET Runtime dem. Dette kan gi angriperne mulighet til å kjøre vilkårlig kode på målets IIS-webserver. I desember 2024 observerte Microsoft et tilfelle der en angriper brukte en offentlig kjent maskinnøkkel til å levere Godzilla-rammeverket, som har funksjoner for kommandoeksekvering og injeksjon av shellkode.

Apple har utgitt nødoppdateringer for å rette en nulldagssårbarhet (CVE-2025-24200) som har blitt utnyttet i målrettede og svært sofistikerte angrep. Sårbarheten tillot fysiske angripere å deaktivere USB-begrenset modus på låste enheter, noe som potensielt åpnet for uautorisert uthenting av informasjon. USB-begrenset modus, introdusert i iOS 11.4.1, blokkerer USB-tilbehør fra å opprette en datatilkobling hvis enheten har vært låst i over en time. Sårbarheten er nå adressert i iOS 18.3.1 og iPadOS 18.3.1 med forbedret tilstandshåndtering.

Fortinet advarer om en ny autentiseringsomgåelses-sårbarhet (CVE-2025-24472) i FortiOS og FortiProxy, som angripere aktivt utnytter for å få super-administratorrettigheter på sårbare enheter. Sårbarheten gjør det mulig å opprette falske brukere, manipulere brannmurregler og få tilgang til interne nettverk via SSL VPN. Angrepene har pågått siden november 2024, ifølge Arctic Wolf Labs, som har observert scanning, rekognosering, konfigurasjonsendringer og lateral bevegelse i kompromitterte systemer.

To sikkerhetssårbarheter har blitt oppdaget i OpenSSH som kan føre til Man-in-the-Middle (MitM) og Denial-of-Service (DoS) angrep under visse betingelser. Begge sårbarhetene er adressert i OpenSSH versjon 9.9p2, utgitt 18. februar 2025.

Palo Alto PAN-OS har en kritisk sårbarhet (CVE-2025-0108) i administrasjonsgrensesnittet, som lar angripere omgå autentisering og kjøre visse PHP-script. Sårbarheten har en CVSS-score på 8.8 og utnyttes allerede aktivt, ifølge CISA. Angripere kan potensielt hente ut sensitiv informasjon som brannmurkonfigurasjon, VPN-brukere, sertifikater og nøkler. Internetteksponerte enheter bør tas av nett og oppdateres. Øvrige sårbare enheter bør oppdateres. Administrasjonsgrensesnitt bør ikke eksponeres på internett, men sikres med VPN, IP-hvitelister eller lignende.

CISA og FBI rapporterer at angripere som benytter Ghost løsepengevirus har infiltrert ofre i over 70 land siden tidlig 2021. De rammede sektorene inkluderer kritisk infrastruktur, helsevesen, offentlig sektor, utdanning, teknologi, produksjon samt en rekke små og mellomstore bedrifter. Angriperne utnytter kjente sårbarheter i utdatert programvare og fastvare. Gruppen benytter ulike navn og varianter av løsepengevirus, inkludert Cring.exe, Ghost.exe, ElysiumO.exe og Locker.exe, og endrer ofte filendelser og innholdet i løsepengebrevene for å unngå deteksjon.

 

 

Situasjonsrapport - januar 2025

 Alvorlige hendelser

I januar håndterte TSOC 7 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, ned fra 16 i desember.

DDoS-angrep
Det var 67 bekreftede DDoS-angrep denne måneden, opp fra 45 i desember. 46 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 22.2 Gbps og varte i 26 minutter. Det største angrepet observert i denne perioden var på 845 Gbps og varte i 22 minutter. Misbruk av DNS stod for brorparten av angrepene.

Nyhetsoppsummering

Kritisk sårbarhet i Windows BitLocker utnyttet
En ny kritisk sårbarhet i BitLocker (CVE-2025-21210) tillater angripere med fysisk tilgang å manipulere krypterte data, og tvinge Windows til å skrive ukrypterte data (som passord og nøkkelmateriale) til disk. Angrepet utnytter en feil i hvordan crash-dump konfigurasjoner håndteres. Microsoft har utgitt en oppdatering for å hindre utnyttelse.

Mulig datainnbrudd hos Gravy Analytics kan lekke posisjonsdata om norske borgere
Gravy Analytics, som er et selskap som spesialiserer seg på posisjonsdata fra mobiltelefoner, har angivelig blitt utsatt for et stort datainnbrudd som kan ramme millioner av personer globalt. Hackerne påstår å ha stjålet store mengder sensitiv informasjon, inkludert nøyaktige GPS-koordinater, tidsstempler og bevegelseshistorikk, noe som kan føre til alvorlige personvernbrudd. Blant de berørte dataene finnes det detaljer om 146.000 norske mobilenheter som potensielt kan avsløre personlige bevegelsesmønstre. Hackerne har publisert et utrag av dataen de påstår å ha stjålet som har blitt vurdert som ekte av flere eksperter. Et generelt tiltak som anbefales er å være restriktiv i hvilke tillatelser man gir applikasjoner.

Kinesiske hackere har brutt seg inn i Charter og Windstream-nettverk
Kinesiske statssponserte hackere, kjent som Salt Typhoon, har brutt seg inn i flere amerikanske telekommunikasjonsnettverk, inkludert Charter Communications, Windstream og Consolidated Communications. De har fått tilgang til sensitive data som tekstmeldinger, talemeldinger og samtaler. Etter disse hendelsene har CISA anbefalt end-to-end kryptering for å beskytte kommunikasjon.

Ivanti advarer om ny Connect Secure-sårbarhet utnyttet i zero-day-angrep
Ivanti varsler at angripere har utnyttet en kritisk sårbarhet (CVE-2025-0282) i Connect Secure for å installere skadevare på sårbare enheter. Feilen er en buffer-overflow som gjør det mulig for uvedkommende å kjøre kode fra eksternt ståsted. En tilhørende svakhet (CVE-2025-0283) kan misbrukes til å eskalere privilegier lokalt, men er foreløpig ikke observert i aktive angrep.

Kritisk sårbarhet i Windows BitLocker utnyttet
En ny kritisk sårbarhet i BitLocker (CVE-2025-21210) tillater angripere med fysisk tilgang å manipulere krypterte data, og tvinge Windows til å skrive ukrypterte data (som passord og nøkkelmateriale) til disk. Angrepet utnytter en feil i hvordan crash-dump konfigurasjoner håndteres. Microsoft har utgitt en oppdatering for å hindre utnyttelse. 

Alvorlige sårbarheter i Palo Alto brannmurer lar angripere omgå Secure Boot på hardware
En ny rapport fra Eclypsium avslører alvorlige sårbarheter i Palo Alto Networks-brannmurer som gjør det mulig for angripere å omgå Secure Boot, utnytte feil på hardwarenivå og få høyere privilegier for å opprettholde tilgang i nettverk. Tre modeller PA-3260, PA-1410 og PA-415, er undersøkt og rammes av kjente svakheter som BootHole, PixieFail og LogoFAIL som kan føre til at angripere får kjøre vilkårlig kode. Funnene peker på mangler i Palo Altos oppdateringer som gjør at enhetene framdeles er sårbare for angrep.

PoC frigitt for zero-day sårbarhet i Fortinet
En Proof-of-Concept (PoC)-utnyttelse har blitt offentliggjort for CVE-2024-55591, en kritisk nulldagssårbarhet i Fortinet-produkter. Sårbarheten gjør det mulig for angripere å kompromittere systemer eksternt, noe som setter titusenvis av enheter i fare.

Hackere utnytter RDP-protokollen for å få tilgang til Windows-systemer og fjernstyre nettlesere
Cyberkriminelle utnytter sårbarheter i Remote Desktop Protocol (RDP) for å oppnå uautorisert tilgang til Windows-systemer og fjernkontrollere nettlesere. Angriperne bruker ofte brute-force-angrep på svake passord eller kjøper tilgang via mørkenettmarkeder. Etter å ha fått tilgang, kan de kapre aktive RDP-økter, bevege seg lateralt i nettverket og rekonstruere brukeraktivitet, inkludert nettleserinteraksjoner, ved hjelp av verktøy som Mimikatz og BMC-Tools.