Alvorlige hendelser
I februar håndterte TSOC 11 alvorlige hendelser i forbindelse med tjenestene knyttet til
Sikkerhetsovervåking, opp fra 7 i januar.
DDoS-angrep
Det var 60
bekreftede DDoS-angrep denne måneden, ned fra 67 i januar. 36 av angrepene ble
mitigert. Et gjennomsnittlig angrep var på 8.512 Gbps og varte i 34 minutter.
Det største angrepet observert i denne perioden var på 86.3 Gbps og varte i 41minutter. Misbruk
av DNS stod for brorparten av angrepene.
Nyhetsoppsummering
VMware
har utgitt oppdateringer for fem sårbarheter i Aria Operations og Aria
Operations for Logs (versjon 8.x), hvorav to regnes som høy risiko. De
alvorligste sårbarhetene kan la angripere skaffe seg utvidede rettigheter via
informasjonslekkasje og krever ikke administratorrettigheter for å utnytte.
Sårbarhetene omfatter også mulighet for lagret XSS og en sårbarhet omfatter
dårlig tilgangskontroll som gir ikke-administrative brukere en potensielt
høyere tilgang enn tiltenkt.
Microsoft
advarer om at angripere utnytter eksponerte ASP.NET-nøkler til å distribuere
skadelig programvare. Microsoft har oppdaget at angripere utnytter statiske
ASP.NET-maskinnøkler funnet på nettet til å utføre kodeinjeksjonsangrep via
ViewState. Disse nøklene, som ofte hentes fra offentlige kodeplattformer,
brukes til å generere ondsinnede ViewStates med gyldig message authentication
code (MAC). Når slike ViewStates sendes via POST-forespørsler, dekrypterer og
validerer ASP.NET Runtime dem. Dette kan gi angriperne mulighet til å kjøre
vilkårlig kode på målets IIS-webserver. I desember 2024 observerte Microsoft et
tilfelle der en angriper brukte en offentlig kjent maskinnøkkel til å levere
Godzilla-rammeverket, som har funksjoner for kommandoeksekvering og injeksjon
av shellkode.
Apple har
utgitt nødoppdateringer for å rette en nulldagssårbarhet (CVE-2025-24200) som
har blitt utnyttet i målrettede og svært sofistikerte angrep. Sårbarheten
tillot fysiske angripere å deaktivere USB-begrenset modus på låste enheter, noe
som potensielt åpnet for uautorisert uthenting av informasjon. USB-begrenset
modus, introdusert i iOS 11.4.1, blokkerer USB-tilbehør fra å opprette en
datatilkobling hvis enheten har vært låst i over en time. Sårbarheten er nå
adressert i iOS 18.3.1 og iPadOS 18.3.1 med forbedret tilstandshåndtering.
Fortinet
advarer om en ny autentiseringsomgåelses-sårbarhet (CVE-2025-24472) i FortiOS
og FortiProxy, som angripere aktivt utnytter for å få
super-administratorrettigheter på sårbare enheter. Sårbarheten gjør det mulig å
opprette falske brukere, manipulere brannmurregler og få tilgang til interne
nettverk via SSL VPN. Angrepene har pågått siden november 2024, ifølge Arctic
Wolf Labs, som har observert scanning, rekognosering, konfigurasjonsendringer
og lateral bevegelse i kompromitterte systemer.
To
sikkerhetssårbarheter har blitt oppdaget i OpenSSH som kan føre til
Man-in-the-Middle (MitM) og Denial-of-Service (DoS) angrep under visse
betingelser. Begge sårbarhetene er adressert i OpenSSH versjon 9.9p2, utgitt
18. februar 2025.
Palo Alto
PAN-OS har en kritisk sårbarhet (CVE-2025-0108) i administrasjonsgrensesnittet,
som lar angripere omgå autentisering og kjøre visse PHP-script. Sårbarheten har
en CVSS-score på 8.8 og utnyttes allerede aktivt, ifølge CISA. Angripere kan
potensielt hente ut sensitiv informasjon som brannmurkonfigurasjon,
VPN-brukere, sertifikater og nøkler. Internetteksponerte enheter bør tas av
nett og oppdateres. Øvrige sårbare enheter bør oppdateres.
Administrasjonsgrensesnitt bør ikke eksponeres på internett, men sikres med
VPN, IP-hvitelister eller lignende.
CISA og
FBI rapporterer at angripere som benytter Ghost løsepengevirus har infiltrert
ofre i over 70 land siden tidlig 2021. De rammede sektorene inkluderer kritisk
infrastruktur, helsevesen, offentlig sektor, utdanning, teknologi, produksjon
samt en rekke små og mellomstore bedrifter. Angriperne utnytter kjente
sårbarheter i utdatert programvare og fastvare. Gruppen benytter ulike navn og
varianter av løsepengevirus, inkludert Cring.exe, Ghost.exe, ElysiumO.exe og
Locker.exe, og endrer ofte filendelser og innholdet i løsepengebrevene for å
unngå deteksjon.
