Situasjonsrapport - april 2025

Alvorlige hendelser

I april håndterte Telenor Cyberdefence 9 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, ned fra 12 i mars.

DDoS-angrep
Det var 65 bekreftede DDoS-angrep denne måneden, ned fra 69 i mars. 49 av disse ble håndtert og mitigert. Et gjennomsnittlig angrep var på 17,3 Gbps og varte i 60 minutter. Det største angrepet observert i denne perioden var på 120 Gbps og varte i 9 minutter. Misbruk av DNS, sammen med IP fragmentering, stod for brorparten av angrepene.

Nyhetsoppsummering
Phishing-plattformen 'Lucid' står bak bølge av iOS- og Android-SMS-angrep. Lucid' er en phishing-as-a-service (PhaaS) plattform operert av den kinesiske cyberkriminelle gruppen 'XinXin' siden midten av 2023. Den har rettet seg mot 169 enheter i 88 land ved å sende sofistikerte meldinger via iMessage (iOS) og RCS (Android). Plattformen selges til andre trusselaktører gjennom et abonnementsbasert modell, som gir tilgang til over 1 000 phishing-domener, automatisk genererte phishing-nettsteder og avanserte spamming-verktøy.

Cisco advarer om en kritisk sårbarhet i Cisco Smart Licensing Utility (CSLU) som eksponerer en innebygd bakdør i form av en administratorkonto. Denne sårbarheten, identifisert som CVE-2024-20439, lar uautentiserte angripere logge inn på upatchede systemer med administrative rettigheter via CSLU-applikasjonens API. Selv om Cisco utbedret feilen i september 2024, ble det i mars 2025 oppdaget forsøk på utnyttelse av sårbarheten i det fri. Angripere har også kombinert denne sårbarheten med en annen kritisk feil, CVE-2024-20440, som tillater tilgang til loggfiler med sensitiv informasjon. Begge sårbarhetene krever at CSLU-applikasjonen er startet, da den ikke kjører i bakgrunnen som standard.

Ivanti har avslørt en kritisk sårbarhet (CVE-2025-22457) med en CVSS-score på 9.0, som påvirker Connect Secure, Policy Secure og ZTA Gateways. Sårbarheten er en stack-basert buffer overflow som tillater uautentiserte angripere å utføre vilkårlig kode eksternt. Google-eide Mandiant observerte utnyttelse av denne sårbarheten i midten av mars 2025, hvor angripere distribuerte en minnebasert minnebasert "dropper" kalt TRAILBLAZE og en passiv bakdør ved navn BRUSHFIRE. Disse verktøyene etablerer vedvarende bakdørstilgang på kompromitterte enheter, noe som potensielt muliggjør brukerinformasjons tyveri, dataeksfiltrering mm.

Fortinet har oppdaget at trusselaktører utnytter tidligere kjente og nå patchede sårbarheter—inkludert CVE-2022-42475, CVE-2023-27997 og CVE-2024-21762—for å opprette en symbolsk lenke (symlink) mellom brukerfil- og rotfilsystemene i FortiGate-enheter. Denne symlinken, plassert i en mappe brukt for språkfiler i SSL-VPN, gir angriperne vedvarende lesetilgang til konfigurasjonsfiler, selv etter at de opprinnelige sårbarhetene er tettet. SSL-VPN-brukere er spesielt utsatt, mens de som aldri har aktivert denne funksjonen ikke er berørt. Fortinet har utgitt oppdateringer for FortiOS som automatisk fjerner slike symlinker og forhindrer at SSL-VPN-serveren distribuerer dem.

Microsoft Entra-kontolåsing forårsaket av feil med bruker token logging. Microsoft bekreftet at en intern feil i deres loggsystem førte til at mange brukere av Microsoft Entra ID opplevde kontolåsinger i helgen 19.–20. april 2025. Feilen oppsto da systemet ved en glipp logget faktiske bruker-refresh-tokens i stedet for kun metadata. Da Microsoft senere forsøkte å rette opp dette ved å ugyldiggjøre tokenene, ble det automatisk utløst sikkerhetsvarsler om lekkede legitimasjons-opplysninger. Dette førte til at kontoer ble låst, noe som skapte problemer for mange brukere. Microsoft har rettet feilen og informert berørte kunder, og jobber med tiltak for å forhindre lignende hendelser i fremtiden.

Cisco har utgitt sikkerhetsoppdateringer for å rette en alvorlig sårbarhet i Webex-appen, identifisert som CVE-2025-20236. Denne sårbarheten skyldes utilstrekkelig validering av input når Webex behandler invitasjonslenker til møter. Angripere kan utnytte dette ved å sende spesiallagde møteinvitasjonslenker som får brukere til å laste ned vilkårlige filer. Ved å klikke på slike lenker kan angripere kjøre vilkårlige kommandoer med brukerens privilegier. Sårbarheten påvirker alle operativsystemer og systemkonfigurasjoner der Webex-appen er installert.