14.–15. februar deltok jeg, John-André Bjørkhaug som jobber som Red Teamer i Netsecurity, på Disobey 2025 i Helsinki. Med årets 2375 deltakere er Disobey uten tvil Nordens største og råeste sikkerhets- og hacker-konferanse.

Vi har mottatt rapporter om at en stor andel norske brukerkontoer har blitt kompromittert, der brukernavn og passord er på avveie. Dette har resultert i en økning av uautoriserte pålogginger, spesielt fra norske IP-adresser, noe som gjør dem vanskeligere å oppdage. For å beskytte dine kontoer og data anbefaler vi på det sterkeste at multifaktorautentisering (MFA) aktiveres – uavhengig av geolokasjon – for å redusere risikoen for uautorisert tilgang.

Summary On December 31, 2024, version 1.0.1 of the modern terminal emulator Ghostty was released that patched a code execution vulnerability, now tracked as CVE-2024-56803. While terminals execute commands by design, this vulnerability allowed for unintended command execution through the title reporting escape sequence (\e[21t).

"I 2025 får vi ikke lov til å være så naive" - NSM Denne uken ble årets nasjonale trussel- og risikovurderinger lagt frem av etterretnings- og sikkerhetstjenestene, noe som tydeliggjør en ytterligere tilspissning av situasjonsbildet sammenlignet med tidligere år. Rapporten signaliserer en forverret global sikkerhetssituasjon, der sabotasjeaksjoner og påvirkningsoperasjoner inntar en sentral rolle. Dette medfører betydelige implikasjoner, ikke minst med tanke på det forestående stortingsvalget i Norge i 2025.

De siste tiårene har vi sett en betydelig økning i integrasjon, digitalisering og effektivisering av industrianlegg. Virksomheter står nå overfor en økende kompleksitet på grunn av integrasjoner mellom IT og operasjonell teknologi (OT), bruk av skyløsninger og økt bruk av 4G- og 5G-løsninger for kommunikasjon. Denne utviklingen har revolusjonert måten vi driver forretning på, men har samtidig introdusert nye utfordringer knyttet til sikkerhet. Spesielt for OT-miljøer blir det viktig å håndtere disse utfordringene gjennom en risikobasert tilnærming. Vi vil i tiden fremover se økt integrasjon for effektivisering av driften. Vi må tilrettelegge for en sikker integrasjon som resulterer i en effektiv, pålitelig og sikker drift. I dette blogginnlegget tar vi for oss: Utfordringer med økende grav av integrasjoner Status for leverandørsikkerhet Hva som kreves i henhold til lov om digital sikkerhet (NIS2) Hvordan du kan bygge en motstandsdyktig leverandørkjede ved å anvende en risikobasert tilnærming

I år reiste tre medlemmer av Netsecuritys Red Team til Las Vegas for å delta på den anerkjente Hacker Summer Camp. Anders, Tor-Erik, og John var de heldige utvalgte. Tor-Erik og John ankom først for å delta på BSides, hvor John holdt sitt første foredrag i USA, på PasswordCon-sporet, om sårbarheter i fysiske adgangskontroller. Tor-Erik var med som støtte. Anders fulgte etter, og sammen deltok de på Defcon.

Oversikt Den 15. mars 2024 lanserte GNOME en oppdatering for libvte som fikset en minneforbruksårbarhet, nå kjent som CVE-2024-37535. Denne sårbarheten påvirker mange populære terminalemulatorer som GNOME Terminal, XFCE Terminal og MATE Terminal som bruker libvte versjon 0.76.2 eller eldre. Denne sårbarheten kan utnyttes av en angriper til å drepe Xorg-sesjonen, noe som vil føre til at offeret mister alt av ulagret arbeid.

Oversikt 28. februar 2024 lanserte RARLAB en oppdatering for WinRAR, som fikset en ANSI escape injection sårbarhet som jeg hadde funnet i konsollversjonene av RAR og UnRAR, som påvirket versjon 6.24 og tidligere. Denne sårbarheten, sporet som CVE-2024-33899 for Linux og Unix systemer og CVE-2024-36052 for Windows, gjorde det mulig for angripere å forfalske fil listen eller utføre en lokal tjeneste angrep (kun Linux og Unix).

Nye sårbarheter oppdaget i VMware ESXi (CVE-2025-22224, CVE-2025-22225, CVE-2025-22226) Broadcom (VMware) har publisert et sikkerhetsråd (VMSA-2025-0004) som adresserer tre nye sårbarheter i VMware ESXi: CVE-2025-22224 – Kritisk heap-overflow-sårbarhet CVE-2025-22225 – Alvorlig vilkårlig skrive-sårbarhet CVE-2025-22226 – Alvorlig informasjonslekkasje-sårbarhet CVE-2025-22224 - Kritisk heap-overflow-sårbarhet i VMCI Denne sårbarheten påvirker VMware ESXi og Workstation og skyldes en Time-of-Check Time-of-Use (TOCTOU)-feil, som kan føre til en out-of-bounds-skriving. En ondsinnet aktør med lokale administrative rettigheter på en virtuell maskin kan utnytte sårbarheten til å eksekvere kode som VMX-prosessen på verten. Sårbarheten er vurdert som kritisk med en maksimal CVSSv3-basisscore på 9,3. CVE-2025-22225 - Alvorlig vilkårlig skrive-sårbarhet i VMware ESXi En ondsinnet aktør med rettigheter innenfor VMX-prosessen kan utløse en vilkårlig skriving til kjernen, noe som kan føre til en sandbox escape. Dette innebærer at angriperen bryter ut av det isolerte kjøringsmiljøet (sandbox) og potensielt får høyere privilegier eller kontroll over vertssystemet. Sårbarheten er vurdert som alvorlig med en maksimal CVSSv3-basisscore på 8,2. CVE-2025-22226 - Alvorlig HGFS-informasjonslekkasje-sårbarhet Denne sårbarheten påvirker VMware ESXi, Workstation og Fusion og skyldes en out-of-bounds-lesing i HGFS. En ondsinnet aktør med administrative rettigheter på en virtuell maskin kan utnytte sårbarheten til å lekke minne fra VMX-prosessen. Sårbarheten er vurdert som alvorlig med en maksimal CVSSv3-basisscore på 7,1.

Kritisk FortiManager API sårbarhet Fortinet har rapportert en kritisk sårbarhet i FortiManager API-en, identifisert som CVE-2024-47575 med CVSS score: 9.8, og har blitt utnyttet i zero-day angrep. Mangel på autentisering i fgfmd-daemon gjør det mulig for trusselaktører å bruke uautentiserte FortiManager-enheter til å kjøre vilkårlig kode eller kommandoer ved hjelp av spesiallagde forespørsler. For å få uautentisert tilgang, må angriperen først få tak i et gyldig SSL-sertifikat for en FortiGate-enhet, som vil muliggjøre sikker kommunikasjon med FortiManager. Deretter kobles den komprimmiterte FortiGate-enheten til en eksponert FortiManager gjennom FortiGate til FortiManager-protokollen (FGFM). Sårbarheten i FGFM API-en gjør at angriperen kan omgå ytterligere autorisasjonskontroller som vanligvis ville vært påkrevd for å utføre kommandoer. Når angriperen har fått uautentisert tilgang til FortiManager, har vedkommende full kontroll over administrerte enheter. Dette har blitt brukt til å stjele sensitive filer, inkludert konfigurasjoner, IP-adresser og autentiserings opplysninger.

En phishingkampanje er oppdaget, hvor angriper utnytter brukers kontaktlister til å spre seg videre.

Information from Palo Alto Networks

Det pågår en aktiv utnyttelse av nulldagssårbarheter i Ivanti Connect Secure (ICS) VPN. Alle versjoner av produktet er sårbare. NSM skriver:

Alle som har Palo Alto Networks brannmur og benytter seg av PAN skytjenester vil kunne oppleve frafall av tjeneste etter 31.12. Vi oppfordrer derfor alle som benytter disse tjenestene til å gjøre nødvendig oppdatering.

Palo Alto Networks har kommet med en oppdatering på Cortex XDR PRO og Datalake rundt integrasjon mot FW og analyse av FW data. Alle FW skal nå konfigureres/legges til direkte i XDR GUI. Dette skal i utgangspunktet skje automatisk fra Palo Alto Networks sin side, men de anbefaler at man gjør dette manuelt før DataLake går ut på lisens/dato. Vi har satt sammen en liten guide for å vise deg hvordan du manuelt migrerer FW, til å sende logger direkte til XDR. Logg på XDR GUI:

FortiOS SSL-VPN buffer overflow HVA: FortiNet rapporterer om kjent sårbarhet, CVE-2022-42475 ved deres FortiOS som affekterer SSL-VPN. Sårbarheten gjør det mulig for ekstern uautorisert aktør å kjøre vilkårlig kode på affekterte systemer.

OpenSSL v3.x sårbarhet HVA: Biblioteket Open SSL v3.x [1] som blir brukt for å håndtere kryptering og til å sikre kommunikasjon må oppdateres til minimum v3.0.7 for å lukke en Kritisk sårbarhet. REFERANSER: OpenSSL teamet publiserte 25. oktober et forvarsel [2] om at versjon 3.0.7 vil bli publisert tidlig morgen (Eastern Time) tirsdag 1. november 2022. I dag 1. november har de lagt ut informasjon om CVE-2022-3786 [9] og CVE-2022-3602 [10], begge sårbarhetene er vurdert som High / Viktig - altså er de nedgradert fra Critical / Kritisk som ble varslet på forhånd! NÅR: Versjonene som kan misbrukes er alle 3.x versjoner fra v3.0.0 (sept 2021) til og med v3.0.6 (oktober 2022). [3] Ny versjon 3.0.7 ble gjort tilgjengelig 1. november 2022 [4], se informasjon om oppdatering som er publisert [8]. HVOR: Slike bibliotek blir tatt inn i mange verktøy, både open source og proprietære. Slik inkludering bør og skal være deklarert som del av lisens og / eller produktdokumentasjon men biblioteket vil typisk ikke være del av software inventory og vil ofte ikke bli oppdatert før løsningen biblioteket er brukt i publiserer ny versjon. På grunn av dette blir en nødt til å gjøre en manuell kartlegging av hvor biblioteket kan være brukt i miljøet. Husk at det kan være en del av alt fra lokalt installert programvare / Private Cloud løsning til Public Cloud og SaaS tjenester. Selv om en har kartlagt hvor slike bibliotek har vært brukt tidligere må en være forberedt på at andre applikasjoner / tjenester / komponenter kan være berørt denne gang. Merk at NCSC-NL har sammen med en gruppe frivillige en oversikt de oppdaterer kontinuerlig, den peker blant annet på at mange Linux distribusjoner er berørt og må oppdateres. [5] mange produkt vil ikke være berørt fordi de enda ikke har oppdatert til v3.x. en oppdatering til v1.1.1 kom samtidig med v3.0.7, men denne skal ikke inneholde en sikkerhetsoppdatering HVA KAN SKJE: Oppdatert: Nå som vi har fått publiseringen fra OpenSSL teamet [6] ser vi at kritikalitet er endret fra Critical til High, dette da det antas å være vanskelig å utnytte sårbarheten. De to identifiserte sårbarhetene går ut på at OpenSSL kan bli påvirket (buffer overflow) av et sertifikat som er konfigurert med ekstra tegn i ett av feltene. Merk også at det potensielt farlige innholdet i sertifikatet kun blir behandlet dersom sertifikatet er signert av en offisiell sertifikatutsteder eller dersom sjekk av sertifikatkjeden ikke blir utført av klient / server SANNSYNLIGHET Oppdatert: Vi visste fra før at mange tjenester og programvarepakker ikke er berørt da de fortsatt ikke har tatt i bruk v3.x av OpenSSL. Muligheten for å presentere et modifisert sertifikat til klienter er mindre sannsynlig da f.eks. Windows klienter og servere ikke bruker OpenSSL biblioteket. Og servere er kun sårbare dersom de ber om klientsertifikat. Det fremstår derfor som lite sannsynlig at denne sårbarheten krever annen behandling enn nevnt under, at en følger med på oppdateringer fra leverandører og installerer disse som del av vanlig oppdateringsrutine. HVA BØR DU GJØRE: NB: Merk at de som abonnerer på kritisk varsling fra oss ikke vil få nye varsling på e-post når vi oppdaterer vurderingene - sjekk innom siden regelmessig utover kvelden og utover i uken. Netsecurity's anbefaling er å jobbe med å identifisere omfang / potensiale. Se også råd fra Nasjonal Sikkerhetsmyndighet (NSM) [7] som vil bli oppdatert.