Situasjonsrapport - september 2025

Alvorlige hendelser

I september håndterte Telenor Cyberdefence 16 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, ned fra 17 i forrige periode.

DDoS-angrep
Det var 69 bekreftede DDoS-angrep denne måneden, opp fra 37 i august. 25 av disse ble håndtert og mitigert. Et gjennomsnittlig angrep var på 5,02 Gbps og varte i 16 minutter. Det største angrepet observert i denne perioden var på 59,7 Gbps og varte i 8 minutter. Misbruk av DNS stod for 85% av angrepene.

Nyhetsoppsummering
Amazon Web Services sitt trusselintelligens team har oppdaget og stoppet en vannhulls-kampanje utført av den russiske statssponsede aktøren APT29. Angriperne kompromitterte legitime nettsider og injiserte skjult JavaScript som omdirigerte omtrent 10% av besøkende til ondsinnede domener som etterlignet Cloudflare sider. Hensikten var å lure brukere til å autorisere angriper kontrollerte enheter via Microsofts enhetskode autentisering. Kampanjen benyttet teknikker som Base64 koding, tilfeldig omdirigering, bruk av cookies for å unngå gjentatt omdirigering, samt hurtig bytte av infrastruktur ved forstyrrelser. Amazon isolerte berørte EC2 instansene, samarbeidet med Cloudflare og Microsoft, og stengte ned de ondsinnede domenene.

I slutten av august 2025 ble det observert to markante bølger av nettverksskanninger rettet mot Cisco ASA enheter, hovedsakelig omkring innloggingsportaler og Telnet/SSH, med opptil 25 000 unike IP-adresser involvert. Den andre bølgen 26. august ble drevet av et brasiliansk bot-nett med cirka 17 000 IP-er. Skanningene brukte "Chrome-lignende" brukeragenter, noe som tyder på felles opprinnelse. Disse skanningene kan både være forsøk på å utnytte allerede kjente, patchede sårbarheter, men fungerer ofte som rekognoseringsaktivitet før nye sårbarheter offentliggjøres. Systemadministratorer rådes til å oppdatere ASA enheter, innføre MFA ved ekstern tilgang, skjule eller ikke eksponere ASA innlogging portaler, og bruke VPN, reverse proxy eller tilgangs gateway med geo blokkering og rate limiting for beskyttelse.

Microsoft har fikset en kritisk sårbarhet i Entra ID (tidligere Azure Active Directory), sporet som CVE-2025-55241 (CVSS 10.0). Feilen lå i valideringen av service-to-service tokens via den utdaterte Azure AD Graph API, som gjorde det mulig å utgi seg for enhver bruker på tvers av tenants. Dette kunne gi full kompromittering av tjenester som SharePoint Online, Exchange Online og Azure-ressurser. Sårbarheten har blitt fikset av Microsoft, uten behov for kundetiltak.

Cisco har utgitt sikkerhetsoppdateringer for å fikse en alvorlig Zero-day sårbarhet (CVE-2025-20352) i IOS og IOS XE. Feilen ligger i SNMP subsystemet og kan utnyttes via spesiallagde SNMP pakker over IPv4/v6. Alle SNMP versjoner er påvirket. Angripere med lave privilegier kan forårsake DoS (tjenestenekt), mens de med høyere privilegier kan oppnå full kontroll over sårbare systemer. Cisco bekrefter at sårbarheten allerede er utnyttet i angrep etter kompromittering av lokale administratorbrukere. Det finnes for tiden ingen midlertidig løsning annet enn å installere sikkerhetsoppdateringene Cisco har utgitt.

Tre nye Zero-day sårbarheter i Cisco ASA og FTD (CVE-2025-20333, CVSS 9.9, CVE-2025-20363, CVSS 9.0 og CVE-2025-20362, CVSS 6.5) blir aktivt utnyttet i pågående angrep. Sårbarhetene gjør det mulig for angripere å kjøre kode som root på sårbare enheter og å omgå autentisering via manipulerte HTTP forespørsler. Sårbarheten CVE-2025-20363 påvirker også Cisco IOS. NCSC anbefaler å installere nye sikkerhetsoppdateringer samt å følge Ciscos anbefalinger og har hevet pulsen til to: forhøyet fare. I USA har CISA utstedt et nød direktiv (ED 25-03) som pålegger føderale etater å gjennomføre tiltak innen 24 timer.

Akira ransomware angriper fortsatt SonicWall SSL VPN enheter, og forskere har oppdaget at angriperne klarer å logge inn på kontoer selv med OTP (One-Time Password) basert MFA aktivert. Angrepene knyttes til tidligere sårbarhet (CVE-2024-40766), hvor stjålne påloggingsinformasjon og OTP seeds trolig fortsatt misbrukes. Arctic Wolf observerer at angriperne får flere OTP utfordringer før vellykket innlogging, noe som antyder kompromitterte MFA seeds eller alternative metoder for å generere gyldige koder. Etter innbrudd beveger de seg raskt i nettverket, angriper blant annet Veeam backup-servere og bruker BYOVD (Bring Your Own Vulnerable Driver) teknikker for å deaktivere sikkerhetsprogramvare.

 

 

Situasjonsrapport - august 2025

Alvorlige hendelser

I august håndterte Telenor Cyberdefence 17 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, opp fra 7 i juli.

DDoS-angrep
Det var 37 bekreftede DDoS-angrep denne måneden, opp fra 27 i juli. 19 av disse ble håndtert og mitigert. Et gjennomsnittlig angrep var på 16,6 Gbps og varte i 18 minutter. Det største angrepet observert i denne perioden var på 244 Gbps og varte i 16 minutter. Misbruk av DNS stod for 94% av angrepene.

Nyhetsoppsummering
Fortinet har utgitt en kritisk sikkerhetsadvarsel for FortiSIEM, da en OS-kommandoinjeksjonsfeil (CVE-2025-25256) med CVSS 9.8 tillater uautentiserte angripere å utføre skadelige kommandoer via CLI-forespørsler. Praktisk angrepskode for dette sikkerhetsproblemet er blitt observert av Fortinet, og sårbarheten gir ingen tydelige indikatorer på kompromiss (IoCs). Påvirkede versjoner inkluderer FortiSIEM 6.1–7.2.x.

En kritisk sikkerhetssårbarhet i GitHub Copilot og Visual Studio Code — CVE‑2025‑53773 — utnyttes gjennom prompt‑injeksjon. Ved å manipulere .vscode/settings.json kan angripere aktivere den såkalte “YOLO mode” ("chat.tools.autoApprove": true), noe som fjerner alle sikkerhetsbekreftelser og gir verktøyet frihet til å kjøre shell-kommandoer og utføre vilkårlig kode på systemet

Crypto24-gruppen har nylig blitt observert i angrep mot store organsisasjoner i USA, Europa og Asia, spesielt innen finans, produksjon, underholdning og teknologi. Etter å ha fått inital tilgang så oppretter de administrative eller lokale kontoer, gjennomfører rekognosering via batch-script og setter opp vedvarende tilgang med skadelige Windosw-tjenester som "WinMainSvc" (keylogger) og "MSRuntime" (ransomware-logger). Deretter bruker de en tilpasset variant av verktøyet RealBindingEDR, som prøver å indentifisere hvilke EDR-løsninger som er tilstede.

Cisco har varslet om en kritisk remote code execution (RCE)-sårbarhet i RADIUS-subsystemet til Secure Firewall Management Center (FMC). Sårbarheten, identifisert som CVE-2025-20265, har fått den maksimale alvorlighetsscoren 10.0. En uautentisert og ekstern angriper kan sende spesiallaget input under RADIUS-autentiseringsfasen, enten via web- eller SSH-grensesnitt der RADIUS er aktivert, og dermed oppnå vilkårlig kjøring av shell-kommandoer med forhøyede rettigheter. Cisco har utgitt gratis sikkerhetsoppdateringer via vanlige kanaler for kunder med gyldig servicekontrakt.

FBI og Cisco Talos har gått ut med advarsler om en pågående cyber-etterretningskampanje utført av russiske hackere tilknyttet FSBs Center 16-enhet (kjent som både Static Tundra, Berserk Bear, Dragonfly m.fl.). Over de siste tolv månedene har de utnyttet den syv år gamle og kritiske sårbarheten CVE-2018-0171 i Cisco IOS- og IOS XE-programvare (Smart Install-funksjonen), og rettet angrep mot tusenvis av nettverksenheter i kritisk infrastruktur globalt.

PDF Editor By AppSuite, tilsynelatende et verktøy for PDF-redigering (visning, konvertering, utfylling, sammenslåing, signering og komprimering), viser seg å være et uønsket program med typiske kjennetegn for nettleserkapring (browser hijacker). Installasjonen endrer standard søkemotor til Yahoo gjennom en omdirigerings-URL (search-redirect.com) – en falsk søkemotor som kan samle data og føre brukere til upålitelige nettsteder. Den kan også vise påtrengende annonser, redusere nettleser- og systemytelse, og overvåke nettleseraktivitet. Brukere bør unngå å installere programmet og fjerne det umiddelbart dersom det er til stede.

Citrix oppdaterer tre NetScaler svakheter, bekrefter aktiv utnyttelse av CVE-2025-7775. Den 26. august 2025 har Citrix adressert tre alvorlige sårbarheter i "NetScaler ADC" og "NetScaler Gateway," inkludert CVE-2025-7775, som er under aktiv utnyttelse.