Situasjonsrapport - november 2025

Alvorlige hendelser

I november håndterte Telenor Cyberdefence 23 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, opp fra 20 i forrige periode.

DDoS-angrep
Det var 53 bekreftede DDoS-angrep denne måneden, ned fra 58 i oktober. 21 av disse ble håndtert og mitigert. Et gjennomsnittlig angrep var på 6,43 Gbps og varte i 60 minutter. Det største angrepet observert i denne perioden var på 42,2 Gbps og varte i 2 timer. Misbruk av DNS stod for 66% av angrepene.

Nyhetsoppsummering
JustisCERT varsler at Apple 3. november 2025 har publisert sikkerhetsoppdateringer som retter omfattende sårbarheter i en rekke Apple produkter: 56 sårbarheter i iOS og iPadOS 26.1, 105 i macOS Tahoe 26.1, 60 i macOS Sequoia 15.7.2, 49 i macOS Sonoma 14.8.2, 29 i tvOS 26.1, 32 i watchOS 26.1, 43 i visionOS 26.1, 21 i Safari 26.1 og 2 i Xcode 26.1.

Cybersecurity and Infrastructure Security Agency (CISA) har sendt ut et varsel om en kritisk fjernkjøringsfeil i CentOS Web Panel som nå aktivt utnyttes av angripere. Den berørte sårbarheten spores som CVE-2025-48703 og gjør det mulig for uautentiserte angripere (som kjenner et gyldig brukernavn) å kjøre vilkårlige shell kommandoer på en sårbar CWP instans.

Cisco har utgitt sikkerhetsoppdateringer for en kritisk sårbarhet i Unified Contact Center Express (UCCX) som gjør det mulig for en uautentisert angriper å laste opp manipulerte filer, omgå autentisering, kjøre vilkårlig kode eller eskalere til root-privilegier via Java RMI. Sårbarheten rammer UCCX uavhengig av hvordan enheter er konfigurert, og har fått kode CVE-2025-20354 med CVSS 9.8. Cisco anbefaler umiddelbar oppgradering til fiksede versjoner da det ikke finnes andre "workarounds".

En omfattende driftsfeil hos internettinfrastrukturleverandøren Cloudflare inntraff tirsdag 18. november 2025 rundt klokken 12:30 norsk tid. Feilen førte til at mange brukere opplevde ustabilitet eller fullstendig nedetid på flere nettsteder i flere timer og ble møtt med feilmeldingen "Internal server error - Error code 500". Feilen ble rettet etter omtrent tre timer. Cloudflare har selv identifisert årsaken som en latent feil (latent bug) i et system som håndterer bot-trafikk. I følge Cloudflare var det en rutinemessig konfigurasjonsendring som førte til at en automatisk generert konfigurasjonsfil vokste seg større enn forventet og utløste en krasj i programvaren. De understreker at dette ikke var et cyberangrep.

Amazon avslører angrep som utnyttet sårbarheter i Cisco ISE og Citrix NetScaler som zero-day. En avansert trusselaktør har brukt to hittil ukjente (zero day) sårbarheter i Citrix NetScaler ADC/Gateway og Cisco Identity Services Engine (ISE) og ISE Passive Identity Connector for å levere spesiallaget skadelig programvare. Amazon’s trusselintelligens team oppdaget utbrudd via sin “MadPot” honeypot infrastruktur hvor de så uautentisert fjernkjøring og innlogging¬ omgåelse mot disse produktene. Sårbarhetene ble senere offentliggjort og patchet, men aktøren hadde allerede utnyttet dem via web‐shell med Java refleksjon og brukte DES kryptering og uvanlig HTTP-header autentisering for å unngå deteksjon.

I september 2025 ble en selvrepliserende orm flagget som skadevare for leverandørkjedeangrep. Angrepet, kalt "Shai-Hulud" (etter sandormene i Dune-universet), påvirket over 500 npm-pakker (node package manager) og hadde som hovedmål å tilegne seg innloggingsinformasjon og annen hemmelig informasjon fra utviklere. 24.november 2025 gikk det ut informajson om at en orm med lignende egenskaper som Shai-Hulud hadde blitt observert. JavaScript pakkesystemet npm, som brukes av Node.js, ble rammet av skadevarekampanjen som har fått tilnavnet "Sha1-Hulud: The Second Coming." På det meste skal over 1000 npm-pakker være rammet, blant annet populære fra Postman, ENS, AsyncAPI, PostHog og Zapier. Ormen kamufleres som en trojaner og under installasjon av en kompromittert pakke vil ormen også installere seg selv og søke etter innloggingsdetaljer til blant annet GitHub, skytjenester som AWS, Azure og GCP, og npm.

 Om ormen lykkes, publiseres informasjonen på et offentlig GitHub-repo med offerets konto. Den forsøker også å spre seg selv ved å misbruke npm-innlogging til å infisere pakker offeret har ansvar for. Per 24.november 2025 melder Wiz (https://www.wiz.io) om mer at mer enn 350 unike brukere og over 25 000 repoer er påvirket av skadevaren.

Microsoft planlegger å oppdatere sikkerheten for Entra ID-autentisering slik at eksterne script-injeksjonsangrep (som cross-site scripting / XSS) blir blokkert. Fra midten til slutten av oktober 2026 vil innlogging via nettleser på adresser som begynner med login.microsoftonline.com bare tillate skript fra Microsoft-støttede CDN-domener og inline-skript fra betrodde Microsoft-kilder.

 

 

Situasjonsrapport - oktober 2025

Alvorlige hendelser

I oktober håndterte Telenor Cyberdefence 20 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, opp fra 16 i forrige periode.

DDoS-angrep
Det var 58 bekreftede DDoS-angrep denne måneden, ned fra 69 i september. 18 av disse ble håndtert og mitigert. Et gjennomsnittlig angrep var på 9,96 Gbps og varte i 60 minutter. Det største angrepet observert i denne perioden var på 84,7 Gbps og varte i 10 minutter. Misbruk av DNS stod for 64% av angrepene.

Nyhetsoppsummering
Ny digitalsikkerhetslov i Norge. Den nye digitalsikkerhetsloven i Norge trer i kraft 1. oktober 2025 og skal styrke beredskapen mot digitale trusler. Loven gjelder for virksomheter som leverer samfunnskritiske og viktige tjenester, og den pålegger strengere krav til risikohåndtering, sikkerhetstiltak, varsling av hendelser og tilsyn. NSM får et utvidet ansvar som tilsynsmyndighet, og loven bygger på EUs NIS2-direktiv.

Angrepskampanje mot SonicWall VPN brukere. Angrepene er observert av Huntress og de rapporterte at så mange som 100 brukere over 16 miljøer var kompromittert mellom 4.-10. oktober. Huntress sier videre at de ikke har funnet bevis for at det er en sammenheng mellom kompromittering og datalekkasjen fra SonciWall VPN fra 17. september i år. "Fordi disse filene inneholder svært sensitiv informasjon, er de krypterte, og legitimasjonene og hemmelighetene inni dem er individuelt kryptert med AES-256-algoritmen."

F5 Networks bekreftet et alvorlig datainnbrudd der statssponsede aktører stjal kildekode og informasjon om upubliserte sårbarheter i BIG-IP produkter. Angriperne hadde vedvarende tilgang i minst 12 måneder, trolig via BRICKSTORM skadevare tilknyttet kinesiske UNC5221. Selv om ingen kundedata eller systemer som CRM ble kompromittert, kan eksfiltrert sårbarhetsinformasjon brukes til målrettede angrep. CISA har utstedt en nød direktiv som pålegger amerikanske byråer å sikre og oppdatere F5 produkter innen 22. oktober 2025.

Det amerikanske byrået Cybersecurity and Infrastructure Security Agency (CISA) advarer om at en høy alvorlig sårbarhet i Microsoft Windows SMB Client (CVE 2025 33073) nå utnyttes aktivt. Sårbarheten gjør det mulig for en angriper med gyldige autentiseringsdetaljer å overtale et offer til å koble tilbake til en ondsinnet applikasjon, noe som kan gi angriperen SYSTEM privilegier på målsystemet. CISA har nå lagt sårbarheten inn i sin “Known Exploited Vulnerabilities” katalog.

Klopatra, ny Android-banktrojan med opprinnelse i Tyrkia. Klopatra er et nytt Android Remote Access Trojan (RAT) / banking-trojan som bruker kommersiell kodebeskyttelse for å forsinke analyse. Skadevaren leveres via en «dropper» kamuflert som en IPTV-app og utfører handlinger som å stjele legitimasjon og utføre nattlige banktransaksjoner. Det er blitt observert målrettede angrep mot europeiske finansmål, med hovedfokus i Spania og Italia hvor det er flere tusen infiserte enheter.

CISA advarer om aktiv utnyttelse av den kritiske sårbarheten CVE-2025-54253 (CVSS 10.0) i Adobe Experience Manager. Versjon 6.5.23 og eldre er rammet. Sårbarheten skyldes en feilkonfigurasjon som lar angripere omgå autentisering og muliggjør kjøring av vilkårlig kode uten brukerinteraksjon. Dette er en sårbarhet fra april som Adobe har rettet den 9. august, men mange systemer har enda ikke blitt patchet og CISA ser nå aktiv utnyttelse av denne. Det anbefales å patche umiddelbart om dette ikke allerede er gjort.

JustisCERT varsler at det er avdekket et stort antall sårbarheter i programvare fra både Atlassian og Oracle. Atlassian har rettet 14 sårbarheter, mens Oracle har utbedret hele 374 sårbarheter i sin kvartalsvise «Critical Patch Update». Angrepsflaten vurderes som stor, og flere av sårbarhetene har en CVSS-score på opptil 9,8 av 10, noe som indikerer svært høy risiko for kompromittering dersom systemene ikke oppdateres.