Ukesnytt digital sikkerhet - Uke 23

Autentiseringssårbarhet i Palo Alto PAN-OS utnyttes aktivt

Sårbarheten rammer GlobalProtect-VPN, en tjeneste mange norske virksomheter eksponerer direkte mot internett.

CVE-2026-0257 er en autentiseringssårbarhet i GlobalProtect-portalen og -gatewayen i PAN-OS, som lar en angriper omgå sikkerhetskontroller og opprette en uautorisert VPN-forbindelse. Feilen oppstår fordi samme sertifikat brukes både til HTTPS-tjenesten og til "autentiserings overstyringscookies". En angriper kan hente ut den offentlige nøkkelen fra TLS-sertifikatet og forfalske gyldige cookies. Rapid7 observerte to bølger med utnyttelse, den første fra 18. mai og den andre 21. mai, sannsynligvis fra samme trusselaktør. CISA la sårbarheten inn i KEV-katalogen og påla amerikanske føderale sivile etater å håndtere den innen 1. juni 2026.

Hva så?

Virksomheter som kjører PAN-OS med autentiseringsoverstyring aktivert og gjenbrukt sertifikat er direkte eksponert. Oppgrader til fikset versjon umiddelbart, eller deaktiver autentiseringsoverstyringsfunksjonen, alternativt generer et eget sertifikat som kun brukes til denne funksjonen. Gå gjennom VPN-logger for uventede pålogginger mot lokale administratorkontoer.

Kilde: https://www.helpnetsecurity.com/2026/06/01/hackers-are-exploiting-palo-alto-globalprotect-vpn-authentication-bypass-cve-2026-0257/ – Publisert: 1. juni 2026

EU forhandler med Anthropic om tilgang til Mythos-modellen

NSM har allerede pekt på at språkmodeller som automatisk finner og utnytter sårbarheter er i ferd med å bli en del av det daglige risikobildet; EUs tilgang påvirker hvilke verktøy europeiske myndigheter får til å teste egne systemer.

Anthropic tilbyr EU tilgang til sin Mythos-modell gjennom Project Glasswing, ifølge EU-kommisjonen. Modellen er holdt tilbake fra offentligheten fordi den er svært dyktig til å avdekke og utnytte programvaresårbarheter, og tilgangen har vært begrenset til rundt 40 utvalgte amerikanske selskaper og enkelte myndigheter. EU fikk allerede i mai tilgang til OpenAIs modell GPT-5.5-Cyber, men kommisjonen beskriver forhandlingene med Anthropic som å være på et annet stadium. Anthropic har samtidig signalisert at modeller på Mythos-nivå kan bli tilgjengelige for kunder i løpet av få uker.

Hva så?

Bruk av store språkmodeller til automatisk å finne og utnytte nulldagssårbarheter er i ferd med å bli en del av vårt daglige risikobilde. Anta at både forsvarere og angripere får slike verktøy, og fokuser på god sikkerhetshygiene: reduser internett-eksponering, fjern utdaterte enheter, oppdater programvare regelmessig, og overvåk og loggfør egne systemer kontinuerlig.

Kilde: https://www.cnbc.com/2026/06/01/anthropic-eu-ai-mythos-access-advanced-model.html – Publisert: 1. juni 2026

ChatGPT gjengir ondsinnet Markdown fra nettsider den oppsummerer

Mange norske virksomheter bruker KI-assistenter til å oppsummere dokumenter og nettsider; teknikken gjør slik oppsummering til en leveringskanal for phishing.

Permiso Security har avdekket en teknikk de kaller ChatGPhish, der ChatGPT stoler på Markdown-lenker og -bilder som stammer fra en tredjepartsside assistenten nettopp har oppsummert, og gjengir dem som klikkbare elementer i det betrodde grensesnittet. En angriper kan injisere phishing-URL-er i svaret eller få modellen til å vise falske sikkerhetsvarsler skrevet i ChatGPTs egen stil. Permiso rapporterte feilen til OpenAI via Bugcrowd 29. april 2026 og publiserte kjeden offentlig 29. mai etter en måned uten avklaring.

Hva så?

Risikoen treffer alle virksomheter som bruker ChatGPT til å oppsummere dokumenter eller eksterne sider. KI-sikkerhet er noe de leste bedrifter må ha fokus på, og gi opplæring i. Denne saken viser nok et element som bør inngå i slik opplæring.

Kilde: https://permiso.io/blog/chatgpt-markdown-rendering-vulnerability – Publisert: 29. mai 2026

Nederlandsk politi slår ut botnett med 17 millioner enheter

Botnettet rutet trafikk gjennom kompromittert forbrukerutstyr som «residential proxies». Også norske hjemme-IP-er kan brukes inn i slik infrastruktur uten at eieren merker det.

Nederlandske myndigheter beslagla kommando- og kontrollservere knyttet til et botnett av infiserte datamaskiner, mobiler og nettbrett som ble brukt til å drive et residential proxy-nettverk og legge til rette for nettkriminalitet. Etterforskerne identifiserte 200 servere i Nederland som styrte de infiserte enhetene, og flere servere ble beslaglagt fra en vertstjenesteleverandør som deretter tok nettverket av nett. Botnettet besto av minst 17 millioner enheter som ble fjernstyrt til spam, phishing, svindel og tjenestenektangrep. Lokale medier knytter aksjonen til Asocks, et selskap som tilbyr residential proxy-tjenester.

Hva så?

Billig IoT-utstyr, utdaterte rutere, svake standardkonfigurasjoner og uvedlikeholdt fastvare mater dette økosystemet. Kartlegg internett-eksponert forbruker- og IoT-utstyr i egen virksomhet, bytt ut enheter uten sikkerhetsoppdateringer, og endre standardpassord. Trafikk fra residential proxy-IP-er gjør det vanskeligere å skille legitime brukere fra angripere i logger.

Kilde: https://www.securityweek.com/dutch-police-dismantle-massive-17-million-device-botnet/ – Publisert: 1. juni 2026

FBI advarer om falske FIFA-nettsteder foran fotball-VM

Store idrettsarrangementer er klassisk åte for phishing; ansatte som kjøper billetter eller følger VM kan bli lurt.

FBI har gått ut med en offentlig advarsel om en bølge falske nettsteder som etterligner FIFAs offisielle side foran fotball-VM 2026, som spilles fra 11. juni til 19. juli i USA, Canada og Mexico. Aktørene bruker typosquatting, små stavefeil eller alternative toppdomener, for å lure brukere til å oppgi navn, adresse, telefonnummer, e-post og bankinformasjon, og for å selge falske billetter og hospitality-pakker. FBI har allerede identifisert dusinvis av falske domener og venter at flere dukker opp frem mot og under mesterskapet.

Hva så?

Arrangementsdrevet phishing øker rundt store begivenheter, og tilsvarende kampanjer vil treffe norske brukere. Dette kan også øke risikoen for norske virksomheter dersom de ansatte bruker arbeidsgivers utstyr til private formål.

Kilde: FBI IC3 – https://www.ic3.gov/PSA/2026/PSA260527 – Publisert: 27. mai 2026

KI-tjeneste fra NSR

Næringslivets Sikkerhetsråd starter nå en pilot for Heimdall, en KI-tjeneste som skal hjelpe til med å orientere seg i et stadig omskiftende trusselbilde. I de neste månedene åpner vi for at våre medlemmer kan teste tjenesten i en pilot.

God trusselforståelse krever tid, spesialistkompetanse og evne til å koble sammen mange kilder, alt fra åpne nyheter til kunnskap om aktuelle aktører og deres metoder. For mange virksomheter er dette en utfordring. Generelle trusselrapporter treffer sjelden den enkelte virksomhetens situasjon, og resultatet blir lett at viktig informasjon enten drukner i støy eller aldri når frem.

Heimdall kombinerer tilgjengelige trusselrapporter med ferske hendelser og utviklingstrekk fra åpne kilder, og bruker kunstig intelligens til å sette dette sammen til en rapport som tar utgangspunkt i den enkelte virksomhetens egen beskrivelse av seg selv. Brukeren får dermed en analyse som peker på de truslene, hendelsene og sårbarhetene som faktisk er relevante for dem — uten å måtte lete seg gjennom store mengder materiale.

Heimdall genererer trusselbrief hver uke.

Lagre denne lenken, og sjekk innom hver mandag: https://heimdall.nsr-org.no/trusselbrief

Bli med i piloten

Som pilotbruker får du tidlig tilgang til tjenesten, og din tilbakemelding vil være avgjørende for hvordan vi utvikler den videre. Piloten starter nå, og varer ut august.

Er du interessert? Send en e-post til post@nsr-org.no og merk e-posten med «Heimdall pilot» — så tar vi kontakt.