Situasjonsrapport - oktober 2025

Alvorlige hendelser

I oktober håndterte Telenor Cyberdefence 20 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, opp fra 16 i forrige periode.

DDoS-angrep
Det var 58 bekreftede DDoS-angrep denne måneden, ned fra 69 i september. 18 av disse ble håndtert og mitigert. Et gjennomsnittlig angrep var på 9,96 Gbps og varte i 60 minutter. Det største angrepet observert i denne perioden var på 84,7 Gbps og varte i 10 minutter. Misbruk av DNS stod for 64% av angrepene.

Nyhetsoppsummering
Ny digitalsikkerhetslov i Norge. Den nye digitalsikkerhetsloven i Norge trer i kraft 1. oktober 2025 og skal styrke beredskapen mot digitale trusler. Loven gjelder for virksomheter som leverer samfunnskritiske og viktige tjenester, og den pålegger strengere krav til risikohåndtering, sikkerhetstiltak, varsling av hendelser og tilsyn. NSM får et utvidet ansvar som tilsynsmyndighet, og loven bygger på EUs NIS2-direktiv.

Angrepskampanje mot SonicWall VPN brukere. Angrepene er observert av Huntress og de rapporterte at så mange som 100 brukere over 16 miljøer var kompromittert mellom 4.-10. oktober. Huntress sier videre at de ikke har funnet bevis for at det er en sammenheng mellom kompromittering og datalekkasjen fra SonciWall VPN fra 17. september i år. "Fordi disse filene inneholder svært sensitiv informasjon, er de krypterte, og legitimasjonene og hemmelighetene inni dem er individuelt kryptert med AES-256-algoritmen."

F5 Networks bekreftet et alvorlig datainnbrudd der statssponsede aktører stjal kildekode og informasjon om upubliserte sårbarheter i BIG-IP produkter. Angriperne hadde vedvarende tilgang i minst 12 måneder, trolig via BRICKSTORM skadevare tilknyttet kinesiske UNC5221. Selv om ingen kundedata eller systemer som CRM ble kompromittert, kan eksfiltrert sårbarhetsinformasjon brukes til målrettede angrep. CISA har utstedt en nød direktiv som pålegger amerikanske byråer å sikre og oppdatere F5 produkter innen 22. oktober 2025.

Det amerikanske byrået Cybersecurity and Infrastructure Security Agency (CISA) advarer om at en høy alvorlig sårbarhet i Microsoft Windows SMB Client (CVE 2025 33073) nå utnyttes aktivt. Sårbarheten gjør det mulig for en angriper med gyldige autentiseringsdetaljer å overtale et offer til å koble tilbake til en ondsinnet applikasjon, noe som kan gi angriperen SYSTEM privilegier på målsystemet. CISA har nå lagt sårbarheten inn i sin “Known Exploited Vulnerabilities” katalog.

Klopatra, ny Android-banktrojan med opprinnelse i Tyrkia. Klopatra er et nytt Android Remote Access Trojan (RAT) / banking-trojan som bruker kommersiell kodebeskyttelse for å forsinke analyse. Skadevaren leveres via en «dropper» kamuflert som en IPTV-app og utfører handlinger som å stjele legitimasjon og utføre nattlige banktransaksjoner. Det er blitt observert målrettede angrep mot europeiske finansmål, med hovedfokus i Spania og Italia hvor det er flere tusen infiserte enheter.

CISA advarer om aktiv utnyttelse av den kritiske sårbarheten CVE-2025-54253 (CVSS 10.0) i Adobe Experience Manager. Versjon 6.5.23 og eldre er rammet. Sårbarheten skyldes en feilkonfigurasjon som lar angripere omgå autentisering og muliggjør kjøring av vilkårlig kode uten brukerinteraksjon. Dette er en sårbarhet fra april som Adobe har rettet den 9. august, men mange systemer har enda ikke blitt patchet og CISA ser nå aktiv utnyttelse av denne. Det anbefales å patche umiddelbart om dette ikke allerede er gjort.

JustisCERT varsler at det er avdekket et stort antall sårbarheter i programvare fra både Atlassian og Oracle. Atlassian har rettet 14 sårbarheter, mens Oracle har utbedret hele 374 sårbarheter i sin kvartalsvise «Critical Patch Update». Angrepsflaten vurderes som stor, og flere av sårbarhetene har en CVSS-score på opptil 9,8 av 10, noe som indikerer svært høy risiko for kompromittering dersom systemene ikke oppdateres.