Ukesnytt digital sikkerhet - Uke 20

Canvas-innbruddet rammer 37 norske utdanningsinstitusjoner – Instructure betaler løsepenger

Leverandøren bryter med etablert prinsipp om å ikke betale løsepenger.

Instructure, eieren av læringsplattformen Canvas, kunngjorde 1. mai 2026 at de er rammet av et cyberangrep. Hackergruppen ShinyHunters hevder å ha hentet ut 3,65 terabyte data fra rundt 8 800 utdanningsinstitusjoner globalt, inkludert 37 i Norge. Datatilsynet hadde fredag 8. mai mottatt 32 avviksmeldinger fra norske utdanningsinstitusjoner. Berørte data omfatter navn, e-postadresser, student-ID-numre og private meldinger mellom brukere. Instructure betalte løsepenger 11. mai og opplyser at de har mottatt bekreftelse på at dataene er slettet. Sikt, som forvalter Canvas-avtalen for norsk sektor, oppgir at de ikke var informert om forhandlingene før betalingen fant sted. Berørte institusjoner inkluderer UiO, UiS, UiA, OsloMet, USN, NTNU, Høgskolen i Innlandet, Høgskolen i Molde, Høgskolen i Østfold, NIH og Kristiania. Dette er tredje gang Canvas er rammet av sikkerhetshendelser; en tilsvarende kompromittering skjedde via Salesforce i september 2025.

Hva så?

Saken eksponerer to konkrete risikoer for norske virksomheter. Den første er leverandørkjede: en sentral SaaS-leverandør som administreres av et felles innkjøpsorgan skaper en høy konsentrasjonsrisiko. Når Instructure forhandler med trusselaktører uten å informere norske kunder, mister sektoren kontroll over sin egen hendelseshåndtering og over hvilke prinsipper som anvendes. Den andre er fortsatt phishing-risiko mot rammede brukere: stjålne student-IDer og meldingsinnhold kan brukes til målrettet svindel selv etter at hovedlekkasjen er "slettet". Betalingen sender et signal til kriminelle aktører om at storstilte angrep mot SaaS-leverandører i utdannings- og bedriftssektoren gir uttelling.

Kilde: VG – https://www.vg.no/nyheter/i/0p9rM2/canvas-ble-hacket-betalte-hackerne-for-aa-faa-dataen-tilbake – Publisert: 12.05.2026

Kilde: TechWatch – https://techwatch.no/nyheter/strategi/article19288587.ece – Publisert: 12.05.2026

Polens ABW rapporterer inntrenging i industrielle styresystemer ved fem vannverk

Statlige aktører flytter fokus fra etterretning og datatyveri til fysisk forstyrrelse av kritisk infrastruktur.

Polens innenriksetterretning ABW publiserte 8. mai sin første offentlige aktivitetsrapport siden 2014. Rapporten beskriver brudd ved vannverk i fem byer – Jabłonna Lacka, Szczytno, Małdyty, Tolkmicko og Sierakowo – der angripere i flere tilfeller fikk tilgang til industrielle styresystemer og evnen til å endre tekniske parametre på pumper, alarmer og kjemisk dosering. Ved minst ett anlegg endret angripere innstillinger etter å ha kompromittert en administratorkonto. ABW navngir russiske APT-grupper APT28 og APT29 samt den hviterussisk-tilknyttede UNC1151 som aktive mot polske mål. Polens regjering registrerte over 40 000 rapporter om mulige cybersikkerhetshendelser i rapporteringsperioden. Angrepsvektoren ved vannverkene var svake passord og styresystemer eksponert direkte mot internett. ABW advarte om at russisk etterretning i økende grad aksepterer risiko for sivile tap i sabotasjeoperasjoner, og at flere planlagte angrep kunne ha forårsaket jernbane- eller luftfartshendelser.

Hva så?

Norske virksomheter som drifter SCADA, ICS eller OT-utstyr må anta at samme modus opererer mot dem. Norske kommunale vann- og avløpsanlegg, kraftleverandører og industribedrifter har samme strukturelle problem som de polske: begrensede sikkerhetsressurser, legacy-kontrollsystemer og ofte direkte internetteksponering. Inntrenging i et kommunalt vannverk krever ikke nulldagssårbarheter når standardpassord og åpen RDP gjør jobben. Bedrifter som har slik teknologi bør kartlegge hvilke OT-enheter som er eksponert mot internett (Shodan-søk på egen IP-rekke er en rask start) og vurdere risikoreduserende tiltak. Inntrengingsforsøk fra "hacktivist"-grupper bør behandles som etterretningsledede operasjoner, ikke som opportunistiske.

Kilde: The Record – https://therecord.media/polish-intelligence-warns-hackers-attacked-water-treatment – Publisert: 08.05.2026

Kilde: SecurityWeek – https://www.securityweek.com/polish-security-agency-reports-ics-breaches-at-five-water-treatment-plants/ – Publisert: 08.05.2026

Linux-kjernefeil med ferdig angrepskode

En ni år gammel feil i Linux-kjernen gir lokale brukere root-tilgang. PoC-kode finnes allerede i åpne repositorier, og cloud- og containermiljøer er særlig eksponert.

CISA la 1. mai CVE-2026-31431 («Copy Fail», CVSS 7.8) til KEV-katalogen. Feilen er en logikkfeil i Linux-kjernens kryptografiske autentiseringsmal som lar uprivilegerte brukere eskalere til root via en kontrollert 4-bytes overskriving i sidecachen. Feilen har eksistert siden 2017 og er utbedret i kjerneversjoner 6.18.22, 6.19.12 og 7.0. Ferdig PoC-kode finnes i Python, Go og Rust på åpne repositorier.

Hva så?

Sårbarheten er lokal, men det er nok for angripere som allerede har fotfeste i et system eller en container. Cloud-infrastruktur, virtualiseringsplattformer og containermiljøer der uprivilegerte prosesser kjører er særlig utsatte. Linux-distribusjoner som Red Hat, Ubuntu og SUSE har sluppet patcher. Virksomheter som drifter Linux-servere lokalt eller i skyen bør prioritere oppdateringen.

Kilde: The Hacker News – https://thehackernews.com/2026/05/cisa-adds-actively-exploited-linux-root.html – Publisert: 1.–7. mai 2026

Enda en ny sårbarhet i Linux-kjernen oppdaget

En ny sårbarhet i Linux-kjernen med navnet Dirty Frag skaper usikkerhet for infrastruktur basert på åpen kildekode. Feilen ligner på den nylig varslede Copy Fail-sårbarheten og rammer mange distribusjoner.

Etter varselet om sårbarheten CVE-2026-31431 i april er det nå oppdaget en ny feil i Linux-kjernen. Sårbarheten Dirty Frag gjør det mulig for angripere å utnytte svakheter i hvordan systemet håndterer fragmentering av datapakker. Nasjonal sikkerhetsmyndighet opplyser at de fleste Linux-distribusjoner med kjerne kompilert etter 2017 er berørt.

Hva så?

Dette er særlig relevant for virksomheter som drifter egne serverparker, skytjenester eller bruker Linux i industrielle kontrollsystemer. Sårbarheten kan i verste fall føre til at angripere overtar kontrollen over berørte systemer. Systemadministratorer må sjekke versjonsnumre på kjernene som er i bruk og forberede oppdatering så snart distribusjonene slipper sine rettelser.

Kilde: Nasjonal sikkerhetsmyndighet – https://nsm.no/fagomrader/digital-sikkerhet/nasjonalt-cybersikkerhetssenter/varsler-fra-nsm/ny-alvorlig-sarbarhet-i-linux – Publisert: 08.05.2026

ENISA styrker koordinering av sårbarheter i Europa

EUs byrå for cybersikkerhet tar en større rolle i arbeidet med å identifisere og registrere sårbarheter. Dette skal bidra til raskere informasjonsdeling på tvers av landegrensene i Europa.

Fire nye organisasjoner har sluttet seg til programmet for registrering av sårbarheter under ledelse av ENISA. Dette er en del av en større satsing på å bygge en mer konsekvent og samordnet håndtering av IT-sikkerhet i Europa. ENISA fungerer nå som et sentralt kontaktpunkt for nasjonale myndigheter og sikkerhetsmiljøer i EU.

Hva så?

For norske virksomheter betyr dette mer pålitelig og tidsriktig informasjon om trusler som er spesifikke for det europeiske markedet. Utvidelsen vil gjøre det lettere for sikkerhetsansvarlige å få oversikt over sårbarheter i programvare og utstyr som brukes i vår region. Dette styrker den kollektive forsvarsevnen mot grenseoverskridende cyberangrep.

Kilde: ENISA – https://www.enisa.europa.eu/news/new-cve-numbering-authorities-under-enisa-root – Publisert: 06.05.2026