Alvorlige hendelser
I mai håndterte Telenor Cyberdefence 7 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, ned fra 9 i april.
DDoS-angrep
Det var 69 bekreftede DDoS-angrep denne måneden, opp fra 65 i april. 38 av disse ble håndtert og mitigert. Et gjennomsnittlig angrep var på 11,9 Gbps og varte i 22 minutter. Det største angrepet observert i denne perioden var på 360 Gbps og varte i 60 minutter. Misbruk av DNS, sammen med IP fragmentering, stod for 70% av angrepene.
Nyhetsoppsummering
Ivanti har utgitt sikkerhetsoppdateringer for å adressere to sårbarheter i Endpoint Manager Mobile (EPMM). Disse sårbarhetene, som involverer autentiseringsomgåelse og fjernkodekjøring, har blitt utnyttet i begrensede angrep. Sårbarhetene stammer fra to integrerte open-source biblioteker, hvis navn ikke er offentliggjort. Ivanti bemerker at risikoen reduseres betydelig dersom API-tilgang allerede filtreres via innebygd Portal ACLs-funksjonalitet eller en ekstern webapplikasjonsbrannmur. Kun den lokale EPMM-løsningen er berørt; Ivanti Neurons for MDM og andre produkter påvirkes ikke.
Ny Active Directory sårbarhet i Windows Server 2025. En alvorlig sårbarhet i Windows Server 2025, relatert til den nye funksjonen delegated Managed Service Account (dMSA), gjør det mulig for angripere å eskalere privilegier og overta rettigheter til hvilken som helst Active Directory (AD) bruker. Sårbarheten, oppdaget av Akamai forsker Yuval Gordon, utnytter en feil i hvordan tillatelser håndteres under migrering av eksisterende service-kontoer til dMSA. Selv om dMSA ikke er i aktiv bruk, er sårbarheten til stede i alle domener med minst én Windows Server 2025 domenekontroller. Angrepet, kalt "BadSuccessor", krever kun en tilsynelatende ufarlig tillatelse på en organisatorisk enhet for å gjennomføres.
Windows RDP tillater innlogging med utgåtte passord. Microsoft har bekreftet at Remote Desktop Protocol (RDP) tillater brukere å logge inn med tidligere gyldige passord, selv etter at de er endret eller tilbakekalt. Dette skyldes at Windows lagrer en lokal, kryptert kopi av passordet, og ved RDP-innlogging sjekkes dette mot den lokale cachen i stedet for å validere passordet online. Dermed kan angripere med gamle legitimasjoner fortsatt få tilgang via RDP, selv om passordet er endret i skyen. Microsoft anser dette som en designbeslutning, ikke en sikkerhetssårbarhet, og har ingen planer om å endre oppførselen.
Nytt sikkerhetsverktøy fra AWS medførte alvorlig sikkerhetsrisiko. AWS lanserte verktøyet Account Assessment for AWS Organizations for å forbedre sikkerhetsinnsikt, men introduserte med seg en alvorlig sårbarhet. Offisiell dokumentasjon anbefaler å installere verktøyets "hub"-rolle i mindre sikre kontoer, noe som åpnet for privilegie-eskalering til høysensitive miljøer som produksjon og administrasjonskontoer. Feilen ble oppdaget av sikkerhetsforskere og rapportert til AWS, som deretter oppdaterte veiledningen for å redusere risiko. Hendelsen viser hvor lett tillitsmekanismer i skyinfrastruktur kan feiltolkes – selv av leverandøren selv.
Kina-tilknyttede APT-er utnytter SAP for å kompromittere kritiske systemer globalt. En kritisk sårbarhet i SAP NetWeaver Visual Composer, identifisert som CVE-2025-31324, blir aktivt utnyttet av flere kinesiske statssponsede trusselaktører. Sårbarheten tillater uautentisert filopplasting, noe som gir angripere mulighet til å utføre fjernkodekjøring (RCE). Over 581 SAP NetWeaver-installasjoner er bekreftet kompromittert, med bakdører installert via webskall. Angrepene retter seg mot kritisk infrastruktur som gassdistribusjonsnettverk, vann- og avfallshåndteringssystemer i Storbritannia, medisinsk utstyrsproduksjon og olje- og gasselskaper i USA, samt statlige departementer i Saudi-Arabia. Angriperne bruker ulike verktøy som KrustyLoader, SNOWLIGHT, VShell og GOREVERSE for å opprettholde vedvarende tilgang og utføre ytterligere ondsinnede aktiviteter.
