Situasjonsrapport - november 2025

Alvorlige hendelser

I november håndterte Telenor Cyberdefence 23 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, opp fra 20 i forrige periode.

DDoS-angrep
Det var 53 bekreftede DDoS-angrep denne måneden, ned fra 58 i oktober. 21 av disse ble håndtert og mitigert. Et gjennomsnittlig angrep var på 6,43 Gbps og varte i 60 minutter. Det største angrepet observert i denne perioden var på 42,2 Gbps og varte i 2 timer. Misbruk av DNS stod for 66% av angrepene.

Nyhetsoppsummering
JustisCERT varsler at Apple 3. november 2025 har publisert sikkerhetsoppdateringer som retter omfattende sårbarheter i en rekke Apple produkter: 56 sårbarheter i iOS og iPadOS 26.1, 105 i macOS Tahoe 26.1, 60 i macOS Sequoia 15.7.2, 49 i macOS Sonoma 14.8.2, 29 i tvOS 26.1, 32 i watchOS 26.1, 43 i visionOS 26.1, 21 i Safari 26.1 og 2 i Xcode 26.1.

Cybersecurity and Infrastructure Security Agency (CISA) har sendt ut et varsel om en kritisk fjernkjøringsfeil i CentOS Web Panel som nå aktivt utnyttes av angripere. Den berørte sårbarheten spores som CVE-2025-48703 og gjør det mulig for uautentiserte angripere (som kjenner et gyldig brukernavn) å kjøre vilkårlige shell kommandoer på en sårbar CWP instans.

Cisco har utgitt sikkerhetsoppdateringer for en kritisk sårbarhet i Unified Contact Center Express (UCCX) som gjør det mulig for en uautentisert angriper å laste opp manipulerte filer, omgå autentisering, kjøre vilkårlig kode eller eskalere til root-privilegier via Java RMI. Sårbarheten rammer UCCX uavhengig av hvordan enheter er konfigurert, og har fått kode CVE-2025-20354 med CVSS 9.8. Cisco anbefaler umiddelbar oppgradering til fiksede versjoner da det ikke finnes andre "workarounds".

En omfattende driftsfeil hos internettinfrastrukturleverandøren Cloudflare inntraff tirsdag 18. november 2025 rundt klokken 12:30 norsk tid. Feilen førte til at mange brukere opplevde ustabilitet eller fullstendig nedetid på flere nettsteder i flere timer og ble møtt med feilmeldingen "Internal server error - Error code 500". Feilen ble rettet etter omtrent tre timer. Cloudflare har selv identifisert årsaken som en latent feil (latent bug) i et system som håndterer bot-trafikk. I følge Cloudflare var det en rutinemessig konfigurasjonsendring som førte til at en automatisk generert konfigurasjonsfil vokste seg større enn forventet og utløste en krasj i programvaren. De understreker at dette ikke var et cyberangrep.

Amazon avslører angrep som utnyttet sårbarheter i Cisco ISE og Citrix NetScaler som zero-day. En avansert trusselaktør har brukt to hittil ukjente (zero day) sårbarheter i Citrix NetScaler ADC/Gateway og Cisco Identity Services Engine (ISE) og ISE Passive Identity Connector for å levere spesiallaget skadelig programvare. Amazon’s trusselintelligens team oppdaget utbrudd via sin “MadPot” honeypot infrastruktur hvor de så uautentisert fjernkjøring og innlogging¬ omgåelse mot disse produktene. Sårbarhetene ble senere offentliggjort og patchet, men aktøren hadde allerede utnyttet dem via web‐shell med Java refleksjon og brukte DES kryptering og uvanlig HTTP-header autentisering for å unngå deteksjon.

I september 2025 ble en selvrepliserende orm flagget som skadevare for leverandørkjedeangrep. Angrepet, kalt "Shai-Hulud" (etter sandormene i Dune-universet), påvirket over 500 npm-pakker (node package manager) og hadde som hovedmål å tilegne seg innloggingsinformasjon og annen hemmelig informasjon fra utviklere. 24.november 2025 gikk det ut informajson om at en orm med lignende egenskaper som Shai-Hulud hadde blitt observert. JavaScript pakkesystemet npm, som brukes av Node.js, ble rammet av skadevarekampanjen som har fått tilnavnet "Sha1-Hulud: The Second Coming." På det meste skal over 1000 npm-pakker være rammet, blant annet populære fra Postman, ENS, AsyncAPI, PostHog og Zapier. Ormen kamufleres som en trojaner og under installasjon av en kompromittert pakke vil ormen også installere seg selv og søke etter innloggingsdetaljer til blant annet GitHub, skytjenester som AWS, Azure og GCP, og npm.

 Om ormen lykkes, publiseres informasjonen på et offentlig GitHub-repo med offerets konto. Den forsøker også å spre seg selv ved å misbruke npm-innlogging til å infisere pakker offeret har ansvar for. Per 24.november 2025 melder Wiz (https://www.wiz.io) om mer at mer enn 350 unike brukere og over 25 000 repoer er påvirket av skadevaren.

Microsoft planlegger å oppdatere sikkerheten for Entra ID-autentisering slik at eksterne script-injeksjonsangrep (som cross-site scripting / XSS) blir blokkert. Fra midten til slutten av oktober 2026 vil innlogging via nettleser på adresser som begynner med login.microsoftonline.com bare tillate skript fra Microsoft-støttede CDN-domener og inline-skript fra betrodde Microsoft-kilder.