Stealth Falcon: Nya avancerade cyberattacker i Mellanöstern

CVE-2025-33053 och Stealth Falcon: Cyberangrepp med precision i Mellanöstern

Check Point Research (CPR) har avslöjat en ny sofistikerad cyberkampanj genomförd av den statsstödda hotaktören Stealth Falcon. Genom att skicka bifogade .url-filer utnyttjar angriparna en tidigare okänd sårbarhet i Windows (CVE-2025-33053) som tillåter Remote Code Execution (RCE). Exploiten gör det möjligt att exekvera kod direkt från en WebDAV-server, kontrollerad av en angripare.

Microsoft har åtgärdat sårbarheten i sina månatliga säkerhetsuppdatering som släpptes igår tisdag för juni månad.

Stealth Falcon riktar sina attacker mot högt uppsatta mål i Mellanöstern och Afrika, inklusive regerings- och försvarsorganisationer i länder som Turkiet, Qatar, Egypten och Jemen. Infektionsvektorn är oftast riktad nätfiske med bifogade länkar eller arkiv som innehåller dessa WebDAV-baserade payloads.

Angriparna använder skräddarsydda implantat baserade på det öppna C2-ramverket Mythic. Den nyupptäckta ”Horus Agent” är en vidareutveckling av deras tidigare modifierade Apollo-agent och är byggd i C++. Den inkluderar omfattande anti-analys-tekniker, kontrollflödesförvrängning, API-hashning samt C&C-kommunikation krypterad med AES och RC4.

En infektionskedja som identifierades hos ett turkiskt försvarsföretag använde en .url-fil som utnyttjade CVE-2025-33053. Genom att ändra arbetskatalogen till en WebDAV-adress kunde en legitim Windows-komponent luras att köra en skadlig fil (route.exe) från angriparens server. Detta är en ny variant av en redan känd DLL hijacking-teknik, men i detta fall med fullständiga exekverbara filer.

Horus Loader, skriven i C++, använder metoder såsom ”IPfuscation”, där payloaden är maskerad som en lista med IPv6-adresser. Den dekrypteras i minnet och injiceras i en legitim Edge browser-process. Angriparna använde även Code Virtualizer (liknande Themida protector) för att skydda koden mot reverse-engineering och analys och kunde därmed kringgå flera säkerhetsprodukter.

IPfuscation:

IPfuscation

Agenten stöder ett antal olika kommandon: systemkartläggning, konfigurationsuppdatering, filuppladdning, kodinjektion och processhantering. Målet är att identifiera värdefulla offer innan ytterligare payloads exekveras.

Vidare har Stealth Falcon utvecklat flera skräddarsydda post infection-moduler:

  • Credential dumper: extraherar filer från en virtuell disk (VHD) för att komma åt NTDS.dit, SAM och SYSTEM
  • Passiv bakdörr: en tjänst som lyssnar på nätverkstrafik och exekverar mottagen payload
  • Keylogger: loggar tangenttryckningar till en krypterad fil i Windows Temp-katalog.

Angriparna köper gamla domännamn med gott rykte via NameCheap för att undvika upptäckt. De använder även LOLBins (Living Off The Land Binaries) och WebDAV för att dölja sina spår.

Gruppen Stealth Falcon visar på hög teknisk kompetens och långsiktig strategisk planering. Genom att kombinera zerodays, avancerade payloads, välvalda mål och utstuderad infrastruktur förblir gruppen en av de mest sofistikerade APT-aktörerna med fokus på mellanöstern.

Alla organisationer, särskilt inom offentlig sektor och försvar, bör snarast implementera Microsofts säkerhetsuppdatering för CVE-2025-33053 och utvärdera sin exponering mot WebDAV och LOLBins i sin miljö.

Digital suveränitet: från buzzword till affärskritisk verklighet

Digital suveränitet

Att digital suveränitet har seglat upp som ett nyckelbegrepp är knappast förvånande. I ett geopolitiskt läge präglat av osäkerhet blir det avgörande att veta var data lagras, vem som tekniskt och juridiskt kan komma åt den och vilken lagstiftning som gäller. Vi är fortfarande beroende av hyperscalers som Microsoft Azure, Amazon Web Services och Google Cloud Platform, men vi kan inte lite på dessa leverantörer full ut.

Varför en plan B är nödvändig

  • Amerikanska FISA §702 och liknande extraterritoriella lagar ger amerikanska myndigheter möjlighet att kräva utlämning av data – även om den lagras i EU-regioner
  • Nya sanktioner eller exportkontroller kan snabbt begränsa åtkomsten till molnresurser.
  • Domstolsbeslut (t.ex. Schrems II) har redan gjort det juridiskt riskabelt att lagra personuppgifter utanför EU/EES utan tillräckliga skyddsåtgärder
  • Nationella säkerhetskrav i bl.a. Norge och Danmark uppmanar offentliga verksamheter att utreda hur de kan migrera bort från amerikanska molntjänster vid behov
  • Kostnads- och prestandaoptimering kräver förhandlingsutrymme – något man bara får om man faktiskt kan byta leverantör

Så bygger du verklig handlingsfrihet

  1. Dataklassificera – identifiera vilka informationsmängder som måste stanna inom EU/EES.
  2. Designa för portabilitet – använd container- och orkestreringslösningar som fungerar oberoende av underliggande moln.
  3. Upprätta exit-planer – kräv tydliga processer, tidsramar och kostnader för data-export i alla avtal.
  4. Implementera multi- eller hybrid-cloud – sprid risker genom redundans hos olika leverantörer eller regioner.
  5. Automatisera deployment – Infrastructure-as-Code gör det möjligt att återskapa hela miljöer hos en ny leverantör med kort varsel.
  6. Bevaka lagstiftning och standarder – följ EU-initiativ som NIS 2, CRA och utvecklingen kring FISA §702-förlängningar.
  7. Testa att återställning av backuper fungerar – Och att dessa med fördel ligger inom Sverige/EU.

Rekommenderade verktyg och ramverk

BehovRekommendation
Portabilitet i applikationTerraform, Pulumi, Crossplane
Databasflytt med minimal driftstoppLogical replication + blue/green
Oberoende övervakningPrometheus + Grafana
EU-lokal filsynkNextcloud (on-prem eller EU-cloud)
Kryptering som defaultAge, Vault eller on-prem KMS

Kolla även in följande sajt för EU-alternativ:

Nästa steg för din organisation

  1. Utför en GAP-analys av nuvarande leverantörslåsning (En gapanalys, eller GAP-analys är ett verktyg för att identifiera skillnader mellan en organisations nuvarande tillstånd och dess önskade framtida tillstånd)
  2. Prioritera åtgärder för system med hög riskprofil eller personuppgifter.
  3. Testa er beredskap – Öva och testa att flytta en av era tjänster till en alternativ plattform
  4. Förankra hos ledningen – digital suveränitet är lika mycket en affärsstrategisk som teknisk fråga. Förbered Er på att det kommer att kosta tid och resurser inom Er organisation!

Slutsats

Digital suveränitet handlar inte om att överge molnet, utan om att behålla kontrollen och förhandlingsstyrkan när omvärlden snabbt förändras. Genom att planera för data-portabilitet och ha en klar plan B minskar ni både juridisk och operativ risk den dag ni faktiskt behöver flytta.

Wiz rapport State of Code Security 2025

Wiz rapport State of Code Security 2025

Företaget Wiz senaste rapport State of Code Security 2025 ger oss en ny djupgående inblick i hur dagens utveckling hänger ihop med molnsäkerhet, men även vilka brister som är de mest kritiska just nu.

Genom att analysera hundratusentals repon och CI/CD-pipelines under 2024 visar rapporten hur vanligt det är med exponerade hemligheter, osäkra konfigurationer och svaga skydd i moderna utvecklingsflöden. Värt att notera också är att Wiz köptes upp av Google för ca två månader sedan.

En av de mest oroande insikterna i rapporten som jag läser är att 61 % av organisationerna har minst ett repository med känsliga nycklar och då ofta i form av API-token till molntjänster såsom AWS eller Databricks. Det gäller inte bara publika repon utan också privata. Det skapar en farlig illusion av säkerhet: bara för att ett repo är privat betyder det inte att det är säkert.

GitHub Actions är också ett annat område som är relativt nytt, och där säkerheten också ofta brister. De flesta organisationer som aktiverat Actions låter alla repositories köra alla typer av workflows, inklusive externa och potentiellt illvilliga. Det här ökar risken för supply chain-attacker dramatiskt. Lägg därtill att nästan 80 % av dessa workflows har både WRITE-access och möjlighet att godkänna pull requests, och du får ett scenario där ett komprometterat workflow kan skriva kod direkt till huvudgrenen utan någon mänsklig inblandning.

Self-hosted GitHub runners är ett område där säkerhetsläget är sämre än många tror. Rapporten visar att 35 % av företagen använder sådana runners, som ofta är persistenta och delas mellan olika repos. Dessa maskiner har i snitt tre gånger fler installerade teknologier än vanliga servrar och dessutom fler sårbarheter, vilket gör dem till en attraktiv ingångspunkt för attacker.

När man tittar på språkanvändning i repos är det tydligt att script- och tolkspråk dominerar. Shellscript, JavaScript och Python toppar listan, medan kompilerade språk som C och C++ knappt förekommer alls. Det här påverkar vilka säkerhetsverktyg som är mest relevanta, och pekar på behovet av att anpassa regeluppsättningar och scanningsverktyg utifrån verklig språkanvändning.

En annan intressant observation gäller GitHub Apps. Många appar har rättigheter att både läsa och skriva till repos via scopes som contents och pull_requests. Det betyder att en komprometterad app kan få omfattande kontroll över koden. Kombinationen av brett åtkomstområde och låg kontrollnivå gör dessa appar till en potentiellt farlig attackvektor.

Rapporten från Wiz bekräftar också att GitHub är både den mest använda och mest öppna plattformen för att hantera källkod. Hela 35 % av GitHub-repos är publika, vilket är tre gånger mer än hos andra version control system (VCS) plattformar. Detta gör GitHub till ett självklart mål för angripare som systematiskt letar efter exponerad kod, credentials eller svaga konfigurationer.

Sammantaget visar rapporten att sårbarheter i kod, pipelines och moln inte längre kan hanteras i separata fack. Angripare rör sig sömlöst mellan dessa domäner allt från en läckt token i ett GitHub-repo till en container i produktion.

För att möta en ny och förändrad hotbild måste vi tänka på säkerhet som en helhet, från commit till cloud. Jag gillar också begreppet ”shift left” (vänsterförflyttning) vilket betyder att vi måste tänka på säkerhet tidigare och tidigare i utvecklingsprocessen.

Kritisk sårbarhet i Cisco IOS XE Wireless Controller – godtycklig filuppladdning möjlig

Cisco publicerade igår information om en allvarlig sårbarhet med det maximala CVSS-betyget 10 av 10! Sårbarheten påverkar Cisco IOS XE Software för Wireless LAN Controllers (WLCs) och kan utnyttjas av en obehörig extern angripare för att ladda upp godtyckliga filer till systemet. En lyckad attack kan i förlängningen ge angriparen möjlighet att köra kommandon med root-behörighet.

  • CVE-ID: CVE-2025-20188
  • CVSS-poäng: 10.0 (Kritisk)
  • Cisco Bug ID: CSCwk33139
  • CWE: CWE-798 (Hard-coded credentials)

Bakgrund

Sårbarheten beror på att en hårdkodad JSON Web Token (JWT) finns installerad. En angripare kan utnyttja detta genom att skicka HTTPS-förfrågningar till det API som används för Out-of-Band Access Point (AP) Image Download och då använda denna hårdkodade JWT.

Funktionen är inte aktiverad som standard som tur är, men om den är påslagen kan en lyckad attack möjliggöra:

  • Filuppladdning
  • Path traversal
  • Godtycklig kommandoexekvering som root (RCE)

Påverkade produkter

Sårbarheten påverkar följande Cisco-produkter om de kör sårbara versioner av IOS XE och har funktionen Out-of-Band AP Image Download aktiverad:

  • Catalyst 9800-CL Wireless Controllers för molnmiljöer
  • Catalyst 9800 Embedded Wireless Controller för Catalyst 9300, 9400 och 9500
  • Catalyst 9800 Series Wireless Controllers
  • Inbyggd Wireless Controller på Catalyst Access Points

Så kontrollerar du om din enhet är sårbar

Kör följande kommando:

show running-config | include ap upgrade

Om svaret innehåller:

ap upgrade method https

…är funktionen aktiverad och enheten potentiellt sårbar.

Ej påverkade produkter

Cisco har bekräftat att följande produkter ej påverkas:

  • IOS Software
  • IOS XE på enheter som inte är WLCs
  • IOS XR
  • Meraki-produkter
  • NX-OS
  • WLC med AireOS

Åtgärdsförslag

Cisco har släppt uppdateringar som åtgärdar problemet. Det finns inga workarounds i dagsläget, men man kan tillfälligt mildra sårbarheten genom att inaktivera Out-of-Band AP Image Download-funktionen. Detta påverkar inte AP-klienternas status eftersom standardmetoden Control And Provisioning of Wireless Access Points (CAPWAP) används då.

Sårbarheten identifierades internt på Cisco Advanced Security Initiatives Group (ASIG).

Källa

Ökning av SVG-baserade cyberattacker: Vad du bör veta

Ökat antal attacker som använder SVG

Nya rapporter visar en kraftig ökning av attacker som utnyttjar SVG-filer – ett filformat som ofta förknippas med ofarliga ikoner och grafik på webben. Men under ytan kan dessa filer innehålla dold JavaScript-kod som används för bl.a. phishing.

SVG (Scalable Vector Graphics) är ett XML-baserat filformat för tvådimensionell grafik som kan skalas obegränsat utan att förlora kvalitet. Formatet används ofta för ikoner, logotyper och illustrationer på websidor.

Följande graf visar på ny statistik från cybersäkerhetsföretaget Trustwave:

Det är således bifogade filer i E-postmeddelanden där SVG först och främst används som attackvektor.

Risken ligger i att webbläsare som Chrome, Firefox, Safari och Edge kör automatiskt inbäddad JavaScript-kod utan att visa några säkerhetsvarningar. Det gör SVG-phishing särskilt effektivt, eftersom användaren inte får någon varning om potentiella risker med att öppna dessa bifogade filer.

I kontrast till detta kör skrivbordsbaserade e-postklienter som Outlook och Thunderbird vanligtvis inte skript i SVG-filer. I stället uppmanas användaren att öppna filen i en extern webbläsare. Vilket oavsiktligt ökar risken för phishing genom att flytta attackvektorn till en mindre kontrollerad och mer eventuellt en mer sårbar miljö.

Det är viktigt att poängtera att denna typ av attacker har observerats sedan 2015, men först nu har en markant ökning noterats. Även kan olika smugglings och obfuskerings-tekniker användas för att ta sig förbi Secure Email Gateways (SEGs), verktyg för detta finns också såsom AutoSmuggle.

Exempel på skadlig kod som använder SVG

Exempel på JavaScript-kod inbäddad i SVG:

Förslag på säkerhetshöjande åtgärder

  • Blockera SVG-bilagor i e-postfilter om möjligt
  • Inaktivera JavaScript-rendering av SVG i webbläsare (om möjligt)
  • Använd säkerhetslösningar som kan analysera inbäddad kod i exempelvis SVG-filer
  • Informera användare om riskerna med att öppna bilagor
  • Genomför återkommande penetrationstest och testa perimeterskyddets motståndskraft

Övrigt

Viktigt också att poängtera att det har skett en ökning gällande LNK-filer dvs shortcuts (MS-SHLLINK).

Källor: Cofence, Trustwave

Verizon DBIR 2025: Ökande hot och trender i cybersäkerhet

Verizon Data Breach Investigations Report (DBIR) 2025

Varje år sedan 2008 släpper den amerikanska telekomjätten Verizon sin Data Breach Investigations Report (DBIR). Rapporten kommer ut en gång om året och analyserar tiotusentals attacker från hela världen för att ge organisationer en bättre insikt av aktuella cyberhot.

Årets rapport analyserat ca 22 000 incidenter och 12 195 bekräftade dataintrång från 139 länder. Trenden för denna rapport och år är tydlig: ökat beroende av tredjepartsleverantörer, fortsatt fokus på utnyttjande av sårbarheter samt mänskliga misstag.

Statistiken pekar på hur utnyttjande av sårbarheter håller på att gå ikapp användning av stulna inloggningar som den vanligaste vägen in för angripare i IT-system.

  • 20% av alla intrång började med att angripare utnyttjade sårbarheter: en ökning på 34% jämfört med förra året
  • Framför allt attackerades edge-enheter och VPN:er, vilket ökade nästan åttafaldigt

Vi kan även se att ransomware fortsätter att dominera:

  • 44 % av alla dataintrång involverade ransomware, upp från 32 % året innan
  • Medianbeloppet som betalades i lösensummor minskade till cirka 1,1 miljon SEK
  • Dessutom vägrade 64 % av offren att betala överhuvudtaget vilket är positivt

Små och medelstora företag är särskilt utsatta för ransomware hela då 88% av rapporterade intrång involverade ransomware.

En dramatisk ökning gällande cybersäkerhet som relaterar tredjepartsleverantörer:

  • 30 % av alla intrång involverade tredjepartsleverantörer (jämfört med 15 % året innan).

Incidenter som utnyttjade data som kom via Snowflake och sårbarheter i MOVEit visar att tredjepartsrelationer måste granskas hårdare ur ett säkerhetsperspektiv.

Trots all teknik så förblir vi människor tyvärr en stor svaghet:

  • Cirka 60 % av intrången involverade mänskligt beteende, som klick på phishinglänkar eller felaktig hantering av känslig data.

Credential reuse och informationsläckor via publika kodrepon, särskilt GitHub, bidrar till fortsatt höga siffror.

Att använda privata enheter (BYOD) i jobbet har en mörk baksida visar också rapporten:

  • 46 % av systemen som läckte företagsinloggningar var icke-hanterade enheter (dvs använder ej MDM, mobile device management)
  • 54 % av ransomware-offren hade sina företagsdomäner exponerade i credential dumps

En tydlig signal för organisationer förbättra styrningen av BYOD och hantering av behörigheter/hemligheter.

En annan sak vi kan se i rapporten är att intrång motiverade av spionage växer kraftigt:

  • 17 % av intrången hade spionagemotiv, nästan en fördubbling jämfört med tidigare år
  • 70 % av dessa spionageangrepp började med utnyttjande av sårbarhet

Och ovan tycker jag visar på att det inte bara är pengar som driver hotaktörer, är viktigt att poängtera.

Generativ AI (GenAI) har inte revolutionerat cyberhotlandskapet ännu, men vi kan se en liten påverkan:

  • Antalet skadliga e-postmeddelanden som skrivits med hjälp av AI har fördubblats på två år
  • 15% av anställda använder GenAI på sina företagsenheter, ofta utan tillräcklig säkerhetskontroll. Kanske även så saknas det en policy för hur AI får användas?

Det tyder således på en stor risk för dataläckage via GenAI-tjänster såsom ChatGPT.

Rapporten i sin helhet på 117 sidor går att ladda hem som PDF via Verizons hemsida här:

Verizon 2025 Data Breach Investigations Report

Cybersäkerhet i Sverige 2024

Myndigheterna FMV, FRA, Försvarsmakten, MSB, Polisen, PTS samt Säkerhetspolisen har tillsammans tagit fram en publikation med titeln Cybersäkerhet i Sverige 2024.

Publikationen är en broschyr på cirka 40 sidor som ger organisationer en grund att stå på samt så redovisas hur hotet ser ut, några vanliga metoder för angrepp samt tio konkreta råd. Avsändare av publikationen är förutom myndigheterna listade ovan, och Nationellt cybersäkerhetscenter som sedan november 2024 är del av FRA.

Jag har med skapat en sammanställning över de 10 rekommendationerna som myndigheterna föreslår:

1. Upptäck säkerhetshändelser tidigt – Använd manuella, tekniska och automatiserade metoder för att identifiera incidenter snabbt.

2. Installera säkerhetsuppdateringar skyndsamt – Uppdatera system, särskilt de som är internetexponerade, verksamhetskritiska eller har sårbarheter.

3. Kontrollera behörigheter och använd stark autentisering – Stäng av inaktiva konton och ge bara nödvändiga behörigheter.

4. Skydda höga behörigheter – Inför tydliga rutiner för hur administrativa behörigheter tilldelas och används.

5. Stäng av oanvända tjänster och protokoll – Inaktivera funktioner som inte behövs för att minska risken för attacker.

6. Säkerhetskopiera och testa återställning – Skapa regelbundna säkerhetskopior och testa att de fungerar.

7. Segmentera nätverket och kontrollera åtkomst – Begränsa och övervaka trafiken i nätverket och tillåt endast godkänd utrustning att ansluta.

8. Använd vitlistning av mjukvara – Tillåt bara godkänd mjukvara att köras i systemet för att minska riskerna.

9. Uppdatera gammal mjuk- och hårdvara – Byt ut utrustning som inte längre stöds av leverantören eller får säkerhetsuppdateringar.

10. Kontrollera internetåtkomst – Begränsa obehörig kommunikation med omvärlden för att skydda interna system och data.

Även så har publikationen exempel från verkligheten för varje rekommendation vilket jag tycker är bra.

Här kan du ladda hem publikationen i sin helhet som PDF:

Cybersäkerhetstrender 2025

Cybersäkerhetstrender 2025

Cyberhoten fortsätter att utvecklas och bli allt mer sofistikerade. Under det gångna året har vi sett en ökning av ransomware-attacker, hotaktörers användning av AI och en växande risk inom leverantörskedjor (cyber security supply chain). Samtidigt ställer nya EU-regelverk som NIS2 och Cyber Resilience Act högre krav på organisationer att säkerställa robust cybersäkerhet. I detta inlägg går vi igenom några av de mest aktuella trenderna och vad de innebär för framtiden och året 2025.

Ransomware

Att snabbt omvandla ett intrång till pengar har länge varit en stor motiverande faktor för cyberbrottslingar. Ransomware-gängen får allt större resurser, vilket möjliggör för dem att köpa initial åtkomst till IT-system från så kallade Initial Access Brokers (IAB). Detta göder även marknaden för zero-day-sårbarheter, vilket gör det möjligt för dessa grupper att införskaffa och utnyttja nya säkerhetsluckor.

Den genomsnittliga lösensumman uppgick till cirka 9 miljoner SEK år 2024, en ökning med 58 % jämfört med föregående år. Tillgången till RaaS-kit (Ransomware-as-a-Service) på dark web har sänkt tröskeln för cyberbrottslingar, vilket gör det enklare även för mindre tekniskt kunniga aktörer att genomföra attacker.

Artificiell intelligens (AI)

Användningen av deepfake-videor och syntetiskt tal fortsätter att utvecklas och utnyttjas av hotaktörer. Mer innehåll skapas med hjälp av AI för att manipulera och styra narrativ i önskade riktningar. Personas och sockpuppets kan med hjälp av AI skapa trovärdiga, fiktiva profiler som är svåra att skilja från verkliga individer. Även spam och botnät använder AI i allt större utsträckning för att skapa engagemang, manipulera känslor och generera fler följare och klick.

AI-agenter och generativ AI (GenAI) blir dessutom allt smartare och mer effektiva. Jag tror att vi kommer att se en fortsatt utveckling på detta område.

Värt att nämna är att AI också används på försvarssidan. Jag använder själv AI dagligen för att skapa proof-of-concept-kod, analysera säkerhetsbrister och lösa komplexa problem. Fler säkerhetsprodukter integrerar också AI som en del av sina verktyg, exempelvis för att analysera stora mängder loggfiler eller agera som co-piloter i incidenthantering.

Enligt en tidigare studie från Capgemini anser 69% av organisationerna att AI kommer att vara nödvändigt för att hantera cyberattacker i framtiden. Länk om du vill läsa mer:

Lagar och regler

EU satsar stort på cybersäkerhetsområdet, och två viktiga regelverk är NIS2 och Cyber Resilience Act (CRA). Dessa regler håller på att implementeras i svensk lag och är särskilt viktiga för organisationer som utvecklar mjukvara eller tillhandahåller samhällskritiska tjänster.

Under året har vi också sett exempel på hur GDPR har påverkat tillgången till nya tjänster. Exempelvis har tjänster som Apple Intelligence inte kunnat lanseras direkt i GDPR-reglerade områden.

Cyber Security Supply Chain

Cybersäkerhet inom leverantörskedjan blir allt viktigare, och vi ser fler attacker som utnyttjar underleverantörer, tredjepartskomponenter och liknande.

Enligt en rapport från Ponemon Institute, sponsrad av Black Duck, har 59% av de tillfrågade organisationerna påverkats av en mjukvaruleveranskedjeattack eller exploatering, varav majoriteten inträffade under det senaste året.

Lyckligtvis görs det stora framsteg inom området, med initiativ som SLSA, Sigsum, reproducerbara byggen och sigstore för att höja säkerheten.

Övrigt

Några ämnen som kommer att bli alltmer relevanta under 2025 inkluderar attacker mot autentiseringslösningar som Okta, Auth0 och Keycloak. Vi kommer även att se en ökad användning och implementering av passkeys som en del av den lösenordslösa framtiden. Adversary-in-the-Middle (AitM) blir bättre och svårare att detektera bl.a. med verktyg såsom Evilginx.

Det rådande världsläget bidrar också till att cyberattacker används som en del av hybridkrigsföringen mellan och mot stater. Min spaning är att vi kommer att se fler och mer avancerade attacker, ofta sponsrade av stater, i framtiden.

För några dagar sedan så listade jag även de allvarligaste sårbarheterna som uppdagades under 2024. Du kan läsa om dem här:

Några tidigare års trendspaningar inom cybersäkerhet hittar du här:

Allvarligaste sårbarheterna 2024

Allvarligaste sårbarheterna 2024

Den amerikanska myndigheten för cybersäkerhet och infrastruktur (CISA), i samarbete med Homeland Security Systems Engineering and Development Institute (HSSEDI), som drivs av MITRE, har publicerat 2024 års lista över de 25 farligaste programvarusvagheterna (CWE Top 25). Denna årliga lista identifierar de mest kritiska programvarusvagheterna som angripare ofta utnyttjar.

CISA uppmanar organisationer att utgå från denna lista när man bygger sina strategier och skyddsförmågor samt att utvecklingsteam är väl medvetna om dessa brister och sårbarheter.

Listan är rankad efter ett poängsystem där bl.a. allvarlighetsgraden enligt CVSS är inräknad. Och antalet brister (CVE:er) i Known Exploited Vulnerabilities Catalog (KEV) återfinnes också i listan.

Hela listan återfinnes här:

RankIDNamnPoängCVEs i KEVRank förändring vs. 2023
1CWE-79Improper Neutralization of Input During Web Page Generation (’Cross-site Scripting’)56.923+1
2CWE-787Out-of-bounds Write45.2018-1
3CWE-89Improper Neutralization of Special Elements used in an SQL Command (’SQL Injection’)35.8840
4CWE-352Cross-Site Request Forgery (CSRF)19.570+5
5CWE-22Improper Limitation of a Pathname to a Restricted Directory (’Path Traversal’)12.744+3
6CWE-125Out-of-bounds Read11.423+1
7CWE-78Improper Neutralization of Special Elements used in an OS Command (’OS Command Injection’)11.305-2
8CWE-416Use After Free10.195-4
9CWE-862Missing Authorization10.110+2
10CWE-434Unrestricted Upload of File with Dangerous Type10.0300
11CWE-94Improper Control of Generation of Code (’Code Injection’)7.137+12
12CWE-20Improper Input Validation6.781-6
13CWE-77Improper Neutralization of Special Elements used in a Command (’Command Injection’)6.744+3
14CWE-287Improper Authentication5.944-1
15CWE-269Improper Privilege Management5.220+7
16CWE-502Deserialization of Untrusted Data5.075-1
17CWE-200Exposure of Sensitive Information to an Unauthorized Actor5.070+13
18CWE-863Incorrect Authorization4.052+6
19CWE-918Server-Side Request Forgery (SSRF)4.0520
20CWE-119Improper Restriction of Operations within the Bounds of a Memory Buffer3.692-3
21CWE-476NULL Pointer Dereference3.580-9
22CWE-798Use of Hard-coded Credentials3.462-4
23CWE-190Integer Overflow or Wraparound3.373-9
24CWE-400Uncontrolled Resource Consumption3.230+13
25CWE-306Missing Authentication for Critical Function2.735-5

Windows RCE i LDAP

I tisdags var det återigen dags för Microsofts månatliga Patch-tisdag, och denna gång adresserades ett antal mycket allvarliga säkerhetsbrister. Totalt patchades 16 sårbarheter som möjliggör Remote Code Execution (RCE), varav flera klassas som kritiska.

Den brist med högst CVSSv3 base score var en sårbarhet i Windows LDAP-hantering som hamnar på hela 9.8. Som förmildrande åtgärd rekommenderar Microsoft att blockera inkommande RPC-anrop, samt förhindra helt utgående trafik från domänkontrollanter. Vid utnyttjande av bristen så erhåller en eventuell angripare samma rättigheter som LDAP-tjänsten. Samt så klart installera själva patchen som åtgärdar bristen (och övriga brister inom LDAP som listas nedan).

Extended Protection for Authentication (EPA), SMB signing och LDAP signing + channel binding är rekommenderat att använda generellt i Windows-miljöer för att höja säkerheten.

Även så har ett aktivt utnyttjande av en zero-day i Windows Common Log File System (CLFS) identifierats och patchats, CVE-2024-49138. Den har en något lägre CVSS på 7.8, främst för att det är en lokal brist men medger rättighetshöjningar.

Nedan följer en tabell med samtliga tre brister som åtgärdas i LDAP:

SeverityCVSS ScoreCVEDescription
Critical9.8CVE-2024-49112Windows Lightweight Directory Access Protocol (LDAP) Remote Code Execution Vulnerability
Critical8.1CVE-2024-49124Windows Lightweight Directory Access Protocol (LDAP) Client Remote Code Execution Vulnerability
Critical8.1CVE-2024-49127Windows Lightweight Directory Access Protocol (LDAP) Remote Code Execution Vulnerability