Situasjonsrapport - august 2025

Alvorlige hendelser

I august håndterte Telenor Cyberdefence 17 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, opp fra 7 i juli.

DDoS-angrep
Det var 37 bekreftede DDoS-angrep denne måneden, opp fra 27 i juli. 19 av disse ble håndtert og mitigert. Et gjennomsnittlig angrep var på 16,6 Gbps og varte i 18 minutter. Det største angrepet observert i denne perioden var på 244 Gbps og varte i 16 minutter. Misbruk av DNS stod for 94% av angrepene.

Nyhetsoppsummering
Fortinet har utgitt en kritisk sikkerhetsadvarsel for FortiSIEM, da en OS-kommandoinjeksjonsfeil (CVE-2025-25256) med CVSS 9.8 tillater uautentiserte angripere å utføre skadelige kommandoer via CLI-forespørsler. Praktisk angrepskode for dette sikkerhetsproblemet er blitt observert av Fortinet, og sårbarheten gir ingen tydelige indikatorer på kompromiss (IoCs). Påvirkede versjoner inkluderer FortiSIEM 6.1–7.2.x.

En kritisk sikkerhetssårbarhet i GitHub Copilot og Visual Studio Code — CVE‑2025‑53773 — utnyttes gjennom prompt‑injeksjon. Ved å manipulere .vscode/settings.json kan angripere aktivere den såkalte “YOLO mode” ("chat.tools.autoApprove": true), noe som fjerner alle sikkerhetsbekreftelser og gir verktøyet frihet til å kjøre shell-kommandoer og utføre vilkårlig kode på systemet

Crypto24-gruppen har nylig blitt observert i angrep mot store organsisasjoner i USA, Europa og Asia, spesielt innen finans, produksjon, underholdning og teknologi. Etter å ha fått inital tilgang så oppretter de administrative eller lokale kontoer, gjennomfører rekognosering via batch-script og setter opp vedvarende tilgang med skadelige Windosw-tjenester som "WinMainSvc" (keylogger) og "MSRuntime" (ransomware-logger). Deretter bruker de en tilpasset variant av verktøyet RealBindingEDR, som prøver å indentifisere hvilke EDR-løsninger som er tilstede.

Cisco har varslet om en kritisk remote code execution (RCE)-sårbarhet i RADIUS-subsystemet til Secure Firewall Management Center (FMC). Sårbarheten, identifisert som CVE-2025-20265, har fått den maksimale alvorlighetsscoren 10.0. En uautentisert og ekstern angriper kan sende spesiallaget input under RADIUS-autentiseringsfasen, enten via web- eller SSH-grensesnitt der RADIUS er aktivert, og dermed oppnå vilkårlig kjøring av shell-kommandoer med forhøyede rettigheter. Cisco har utgitt gratis sikkerhetsoppdateringer via vanlige kanaler for kunder med gyldig servicekontrakt.

FBI og Cisco Talos har gått ut med advarsler om en pågående cyber-etterretningskampanje utført av russiske hackere tilknyttet FSBs Center 16-enhet (kjent som både Static Tundra, Berserk Bear, Dragonfly m.fl.). Over de siste tolv månedene har de utnyttet den syv år gamle og kritiske sårbarheten CVE-2018-0171 i Cisco IOS- og IOS XE-programvare (Smart Install-funksjonen), og rettet angrep mot tusenvis av nettverksenheter i kritisk infrastruktur globalt.

PDF Editor By AppSuite, tilsynelatende et verktøy for PDF-redigering (visning, konvertering, utfylling, sammenslåing, signering og komprimering), viser seg å være et uønsket program med typiske kjennetegn for nettleserkapring (browser hijacker). Installasjonen endrer standard søkemotor til Yahoo gjennom en omdirigerings-URL (search-redirect.com) – en falsk søkemotor som kan samle data og føre brukere til upålitelige nettsteder. Den kan også vise påtrengende annonser, redusere nettleser- og systemytelse, og overvåke nettleseraktivitet. Brukere bør unngå å installere programmet og fjerne det umiddelbart dersom det er til stede.

Citrix oppdaterer tre NetScaler svakheter, bekrefter aktiv utnyttelse av CVE-2025-7775. Den 26. august 2025 har Citrix adressert tre alvorlige sårbarheter i "NetScaler ADC" og "NetScaler Gateway," inkludert CVE-2025-7775, som er under aktiv utnyttelse.