Situasjonsrapport - desember 2025

Alvorlige hendelser

I desember håndterte Telenor Cyberdefence 14 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, ned fra 23 i forrige periode.

DDoS-angrep
Det var 25 bekreftede DDoS-angrep denne måneden, ned fra 53 i desember. 8 av disse ble håndtert og mitigert. Et gjennomsnittlig angrep var på 8,52 Gbps og varte i 3 timer. Det største angrepet observert i denne perioden var på 63,1 Gbps og varte i 3 dager. IP Fragmentation var den mest brukte angrepsvektoren denne perioden.

Nyhetsoppsummering
Sårbarheten React2Shell (React / Next.js) — identifisert som CVE-2025-55182 — tillater en angriper å kjøre vilkårlig kode på servere med bare én HTTP-forespørsel, uten autentisering. Den rammer server-komponenter og applikasjoner bygget med React/Next.js som bruker React Server Components. Sikkerhetsanalytikere melder at over 75 000 internet-eksponerte IP-adresser er sårbare, og at mer enn 30 organisasjoner allerede er kompromittert. Angripere, inkludert statstilknyttede grupper med bånd til Kina, har brukt sårbarheten til å kjøre shell-kommandoer, laste ned bakdører (som Vshell), droppere (som Snowlight) og stjele credentials, særlig på cloud-miljøer som AWS.

CISA og NSA advarer om BRICKSTORM skadevare mot VMware ESXi og Windows miljø. Nye fellesråd fra CISA, NSA og Canadian Centre for Cyber Security advarer om at malware kampanjen BRICKSTORM aktivt angriper virtuelle miljøer basert på VMware vSphere (ESXi / vCenter) og Windows. BRICKSTORM er en Go basert bakdør med avansert “tradecraft”: Den integrerer seg dypt i virtualiseringsinfrastruktur, benytter DNS-over-HTTPS (DoH), WebSocket + TLS kryptering for C2 trafikk, og kan etablere “rogue” virtuelle maskiner, stjele VM snapshots for å hente kredentialer, samt klone og kjøre usynlige VM-er.

Fortinet, Ivanti og SAP har utgitt kritiske sikkerhetsoppdateringer for å tette sårbarheter som kan føre til autentiseringsomgåelse og fjernkjøring av kode. Fortinet har rettet feil i FortiOS, FortiWeb, FortiProxy og FortiSwitchManager (CVE-2025-59718 og CVE-2025-59719, CVSS 9.8) knyttet til mangelfull verifisering av kryptografiske signaturer, og anbefaler midlertidig å deaktivere FortiCloud SSO-login. Ivanti har fikset en alvorlig XSS sårbarhet i Endpoint Manager (CVE-2025-10573, CVSS 9.6) som kan gi angripere kontroll over administratorøkter, samt tre andre høy-risiko feil. SAP har publisert en oppdateringer for 14 sårbarheter. Denne inkludert blant annet tre kritiske (bl.a. CVE-2025-42880, CVSS 9.9) som muliggjør kodeinjeksjon og deserialisering.

Avanserte phishing-kits bruker KI og omgår MFA for å stjele legitimasjon i stor skala. Fire nye phishing‑kits – BlackForce, GhostFrame, InboxPrime AI og Spiderman – har blitt identifisert og brukes til å stjele brukerlegitimasjon i stor skala. BlackForce kan utføre Man‑in‑the‑Browser‑angrep for å fange opp både passord og engangskoder og dermed omgå flere faktor‑autentisering (MFA). GhostFrame bruker en skjult iframe i tilsynelatende harmløse sider for å lure brukere til falske påloggingssider. InboxPrime AI automatiserer phishing‑kampanjer ved hjelp av kunstig intelligens som genererer svært overbevisende e‑poster for å unngå filtrering. Spiderman gir mulighet for phishing mot europeiske banker og tjenester med realistiske replikaer av innloggingssider og kan fange både legitimasjon, 2FA‑koder og andre sensitive data. Disse kitene gjør det enklere og billigere for cyberkriminelle å lansere sofistikerte angrep.

Cisco har varslet om en kritisk nulldagssårbarhet (CVE-2025-20393) i Cisco AsyncOS, som aktivt utnyttes av en avansert trusselaktør med tilknytning til Kina (UAT-9686). Angrepene utnytter en kritisk sårbarhet i "Cisco Secure Email Gateway" og "Secure Email and Web Manager". Dette gir trusselaktørene mulighet til å kjøre kommandoer med root-rettigheter på de berørte systemene. Sårbarheten har CVSS-score 10.0 og skyldes feil i inputvalidering. Exploitering krever at Spam Quarantine-funksjonen er aktivert og eksponert mot internett.

Hackere utnytter kritiske sårbarheter i flere Fortinet-produkter (CVE-2025-59718 og CVE-2025-59719) for å oppnå uautorisert administrativ tilgang og hente ut konfigurasjonfiler. Sårbarhetene skyldes feil i validering av kryptografiske signaturer i SAML-meldinger ved bruk av FortiCloud SSO, som ikke er standard, men aktiveres automatisk ved registrering via FortiCare. Angrepene som er observert siden 12. desember har resultert i eksfiltrering av konfigurasjonfiler som kan avsløre nettverkstruktur og hashed passord.

Sikkerhetsbyrået CISA har lagt sårbarheten CVE-2025-6218 som er en "path-traversal" feil i WinRAR for Windows til sin liste over kjente utnyttede sårbarheter (KEV), etter bekreftede angrep. Feilen kan utnyttes til å plassere filer i sensitive kataloger (for eksempel oppstartsmappen i Windows), og dermed kjører kode med brukerprivilegier uten at det kreves høyere privilegier. Sårbarheten ble fikset i WinRAR versjon 7.12 (juni 2025). Ifølge rapporter har trusselaktører som GOFFEE / Paper Werewolf, Bitter APT (APT-C-08 / Manlinghua) og Gamaredon brukt feilen i målrettede phishing kampanjer for å distribuere ondsinnet programvare, inkludert trojanere og bakdører som etablerer persistens.