Alvorlige hendelser
I januar håndterte TSOC 7 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, ned fra 16 i desember.
DDoS-angrep
Det var 67
bekreftede DDoS-angrep denne måneden, opp fra 45 i desember. 46 av angrepene
ble mitigert. Et gjennomsnittlig angrep var på 22.2 Gbps og varte i 26
minutter. Det største angrepet observert i denne perioden var på 845 Gbps og
varte i 22 minutter. Misbruk av DNS stod for brorparten av angrepene.
Nyhetsoppsummering
Kritisk sårbarhet i Windows BitLocker utnyttet
En ny kritisk sårbarhet i BitLocker (CVE-2025-21210) tillater angripere med fysisk tilgang å manipulere krypterte data, og tvinge Windows til å skrive ukrypterte data (som passord og nøkkelmateriale) til disk. Angrepet utnytter en feil i hvordan crash-dump konfigurasjoner håndteres. Microsoft har utgitt en oppdatering for å hindre utnyttelse.
Mulig datainnbrudd hos Gravy Analytics kan lekke posisjonsdata om norske borgere
Gravy Analytics, som er et selskap som spesialiserer seg på posisjonsdata fra mobiltelefoner, har angivelig blitt utsatt for et stort datainnbrudd som kan ramme millioner av personer globalt. Hackerne påstår å ha stjålet store mengder sensitiv informasjon, inkludert nøyaktige GPS-koordinater, tidsstempler og bevegelseshistorikk, noe som kan føre til alvorlige personvernbrudd. Blant de berørte dataene finnes det detaljer om 146.000 norske mobilenheter som potensielt kan avsløre personlige bevegelsesmønstre. Hackerne har publisert et utrag av dataen de påstår å ha stjålet som har blitt vurdert som ekte av flere eksperter. Et generelt tiltak som anbefales er å være restriktiv i hvilke tillatelser man gir applikasjoner.
Kinesiske hackere har brutt seg inn i Charter og Windstream-nettverk
Kinesiske statssponserte hackere, kjent som Salt Typhoon, har brutt seg inn i flere amerikanske telekommunikasjonsnettverk, inkludert Charter Communications, Windstream og Consolidated Communications. De har fått tilgang til sensitive data som tekstmeldinger, talemeldinger og samtaler. Etter disse hendelsene har CISA anbefalt end-to-end kryptering for å beskytte kommunikasjon.
Ivanti advarer om ny Connect Secure-sårbarhet utnyttet i zero-day-angrep
Ivanti
varsler at angripere har utnyttet en kritisk sårbarhet (CVE-2025-0282) i
Connect Secure for å installere skadevare på sårbare enheter. Feilen er en
buffer-overflow som gjør det mulig for uvedkommende å kjøre kode fra eksternt
ståsted. En tilhørende svakhet
(CVE-2025-0283) kan misbrukes til å eskalere privilegier lokalt, men er
foreløpig ikke observert i aktive angrep.
Kritisk
sårbarhet i Windows BitLocker utnyttet
En ny
kritisk sårbarhet i BitLocker (CVE-2025-21210) tillater angripere med fysisk
tilgang å manipulere krypterte data, og tvinge Windows til å skrive ukrypterte
data (som passord og nøkkelmateriale) til disk. Angrepet utnytter en feil i
hvordan crash-dump konfigurasjoner håndteres. Microsoft har utgitt en
oppdatering for å hindre utnyttelse.
Alvorlige
sårbarheter i Palo Alto brannmurer lar angripere omgå Secure Boot på hardware
En ny
rapport fra Eclypsium avslører alvorlige sårbarheter i Palo Alto
Networks-brannmurer som gjør det mulig for angripere å omgå Secure Boot,
utnytte feil på hardwarenivå og få høyere privilegier for å opprettholde
tilgang i nettverk. Tre modeller PA-3260, PA-1410 og PA-415, er undersøkt og
rammes av kjente svakheter som BootHole, PixieFail og LogoFAIL som kan føre til
at angripere får kjøre vilkårlig kode. Funnene peker på mangler i Palo Altos
oppdateringer som gjør at enhetene framdeles er sårbare for angrep.
PoC
frigitt for zero-day sårbarhet i Fortinet
En
Proof-of-Concept (PoC)-utnyttelse har blitt offentliggjort for CVE-2024-55591,
en kritisk nulldagssårbarhet i Fortinet-produkter. Sårbarheten gjør det mulig
for angripere å kompromittere systemer eksternt, noe som setter titusenvis av
enheter i fare.
Hackere
utnytter RDP-protokollen for å få tilgang til Windows-systemer og fjernstyre
nettlesere
Cyberkriminelle
utnytter sårbarheter i Remote Desktop Protocol (RDP) for å oppnå uautorisert
tilgang til Windows-systemer og fjernkontrollere nettlesere. Angriperne bruker
ofte brute-force-angrep på svake passord eller kjøper tilgang via
mørkenettmarkeder. Etter å ha fått tilgang, kan de kapre aktive RDP-økter,
bevege seg lateralt i nettverket og rekonstruere brukeraktivitet, inkludert
nettleserinteraksjoner, ved hjelp av verktøy som Mimikatz og BMC-Tools.
