Næringslivets
sikkerhets-
råd
Meny

Ukesnytt digital sikkerhet - Uke 35

27. aug 2025
Lesetid: 6 min

Kritisk sårbarhet i Citrix NetScaler utnyttes nå. NSM anbefaler umiddelbar patching

Citrix har sendt ut en hasteadvarsel om en kritisk sårbarhet i sine NetScaler-produkter, som brukes for sikker fjerntilgang og applikasjonsleveranse. Sårbarheten blir aktivt utnyttet i angrep, og alle brukere må oppdatere sine systemer umiddelbart.

Sårbarheten, angitt som CVE-2025-7775, er en minnefeil som kan føre til Remote Code Execution (RCE) eller tjenestenekt (DoS) på berørte enheter. Den har fått en alvorlighetsgrad på 9.2 av 10. Citrix bekrefter at de har observert at sårbarheten blir utnyttet som en "zero-day", det vil si at angrepene pågikk før en sikkerhetsoppdatering var tilgjengelig. Sårbarheten rammer NetScaler ADC og NetScaler Gateway når de er konfigurert som en gateway (for eksempel for VPN) eller som en autentiseringsserver. Citrix har publisert oppdateringer og oppfordrer alle kunder til å installere disse så raskt som mulig.

Nasjonalt cybersikkerhetssenter (NCNC) har som følge av denne sårbarheten hevet risikonivået til nivå to (av fem): Forhøyet fare.

Hva så?

Citrix NetScaler er en utbredt løsning i mange norske virksomheter, ofte som en sentral del av infrastrukturen for fjerntilgang for ansatte. En kompromittering av disse enhetene kan gi en angriper en direkte inngangsport til bedriftens interne nettverk. For norske bedrifter med NetScaler-installasjoner er risikoen akutt, og alle som har denne teknologien må oppdatere systemene umiddelbart. Hvis patching ikke er mulig, må de anbefalte midlertidige tiltakene fra Citrix implementeres umiddelbart.

Lenke: (https://thehackernews.com/2025/08/citrix-patches-three-netscaler-flaws.html)

Dato: 26. august 2025

CISA advarer om at utbredt utviklerverktøy (Git) har sårbarhet under aktiv utnyttelse

Det amerikanske cybersikkerhetsdirektoratet (CISA) har lagt til en alvorlig sårbarhet i versjonskontrollsystemet Git i sin katalog over kjente, utnyttede sårbarheter (KEV). Dette bekrefter at sårbarheten nå brukes i aktive angrep.

Sårbarheten, angitt som CVE-2025-48384, er en feil i hvordan Git håndterer spesielle tegn i konfigurasjonsfiler på macOS- og Linux-systemer. En angriper kan lage et ondsinnet programvarelager ("repository") som, når det klones av en utvikler, kan føre til at vilkårlig kode kjøres på utviklerens maskin. Fordi Git er et svært mye brukt verktøy for nesten all moderne programvareutvikling, er potensialet for spredning betydelig. CISA har satt en frist for amerikanske føderale etater til 15. september for å patche sårbarheten, en sterk indikasjon på alvorlighetsgraden.

Hva så?

Git er ryggraden i utviklingsavdelingene i så å si alle norske teknologibedrifter og interne IT-avdelinger. Denne sårbarheten gjør utviklermiljøer og automatiserte byggesystemer (CI/CD-pipelines) til direkte mål. En vellykket utnyttelse kan gi en angriper full kontroll over en utviklers maskin, med tilgang til kildekode, passord og interne systemer. Dette representerer en alvorlig trussel mot programvareforsyningskjeden, da en angriper kan bruke tilgangen til å injisere ondsinnet kode i bedriftens egne produkter. Alle norske virksomheter som driver med programvareutvikling må umiddelbart verifisere hvilke Git-versjoner som er i bruk og oppdatere til en sikker versjon. I tillegg bør utviklere advares mot å klone ukjente eller upålitelige kodebaser.

Lenke: (https://www.cisa.gov/news-events/alerts/2025/08/25/cisa-adds-three-known-exploited-vulnerabilities-catalog)

Dato: 25. august 2025

Statlig spionasje: Kinesisk-koblede hackere kaprer nettverkstrafikk for å angripe diplomater

En kinesisk-tilknyttet hackergruppe, kjent som Silk Typhoon (UNC6384), bruker en avansert teknikk for å angripe diplomater og andre strategiske mål. Ved å kapre påloggingssider for offentlige nettverk, lurer de ofrene til å installere skadevare.

Angriperne utnytter såkalte "captive portals" – påloggingssidene man ofte møter på hoteller, flyplasser og i andre offentlige Wi-Fi-soner. Ved å gjennomføre et "adversary-in-the-middle"-angrep (AitM), kaprer de nettverkstrafikken og omdirigerer offeret til en falsk side som ser ut som den legitime påloggingssiden. Fra denne siden blir offeret lurt til å laste ned og installere en digitalt signert skadevare (PlugX). Teknikken er sofistikert fordi den ikke baserer seg på tradisjonell e-post-phishing, men i stedet våpenliggjør selve nettverksmiljøet.1

Hva så?

Selv om diplomater er hovedmålet, er teknikken relevant for alle som reiser og jobber mobilt. Norske bedrifter bør ha klare retningslinjer og tekniske kontroller, for eksempel obligatorisk bruk av VPN (Virtual Private Network) for all trafikk, bruk av moderne endepunktsbeskyttelse (EDR) som kan oppdage unormal aktivitet, og ikke minst, opplæring av ansatte slik at de er bevisste på denne typen trusler.

Lenke: (https://www.bleepingcomputer.com/news/security/silk-typhoon-hackers-hijack-network-captive-portals-in-diplomat-attacks/)

Dato: 26. august 2025

NIST forbereder for fremtiden med ny veiledning for håndtering av nye cyberrisikoer

Det amerikanske standardiseringsinstituttet NIST har publisert et utkast til en ny veileder for hvordan organisasjoner kan håndtere nye og fremvoksende cyberrisikoer, som de fra kunstig intelligens (KI) og kvantedatamaskiner.

Den nye publikasjonen, Draft NIST SP 1331, er ment å brukes sammen med det anerkjente NIST Cybersecurity Framework (CSF) 2.0. Veilederen skal hjelpe organisasjoner med å forbedre sin evne til å identifisere, vurdere og håndtere risikoer som ennå ikke er fullt ut forstått. Dette inkluderer trusler knyttet til KI, komplekse leverandørkjeder og fremtidige teknologier. NIST har også nylig publisert andre utkast, blant annet et konseptdokument for å utvikle spesifikke sikkerhetskontroller for KI-systemer. Dette viser at standardiseringsmiljøene nå jobber aktivt med å gjøre risikostyring mer dynamisk og fremtidsrettet.

Hva så?

Mange norske virksomheter, spesielt innen kritisk infrastruktur og de med internasjonale forretningsforbindelser, bruker NIST CSF som grunnlag for sitt sikkerhetsarbeid. Den nye veiledningen er et viktig signal om at risikostyring ikke lenger kan være en statisk, periodisk øvelse. Bedriftsledere bør se på dette som en oppfordring til å bygge en mer proaktiv og fremtidsrettet tilnærming til sikkerhet. Ved å følge med på arbeidet til NIST, kan norske bedrifter få verdifull innsikt i hvilke trusler og teknologier som vil prege risikobildet i årene som kommer, og dermed starte forberedelsene tidlig.

Lenke: (https://csrc.nist.gov/news)

Dato: 21. august 2025

Rekordstor interesse for digital sikkerhetskompetanse

Norsk senter for informasjonssikring (NorSIS), nå en del av Nasjonal sikkerhetsmyndighet, melder om en dobling i påmeldinger til gratis ekspertforedrag under Nasjonal sikkerhetsmåned sammenlignet med i fjor.

Interessen for å heve kompetansen innen digital sikkerhet har aldri vært større. Allerede nå har dobbelt så mange bedrifter som i fjor sikret seg et gratis foredrag i forbindelse med Nasjonal sikkerhetsmåned i oktober. NorSIS ser dette som et tydelig tegn på at flere virksomheter ser behovet for å være bedre rustet mot digitale trusler. Årets tema for sikkerhetsmåneden er "Digital beredskap", som handler om å være i forkant ved å identifisere kritiske digitale ressurser, etablere gode rutiner og sikre kontinuitet under en krise.

Hva så?

Dette er et svært positivt tegn for norsk næringsliv. Det indikerer en modning i markedet, der cybersikkerhet går fra å være et "IT-problem" til å bli anerkjent som en kjernekomponent i forretningskontinuitet og risikostyring. For den enkelte bedrift betyr dette at investering i sikkerhetskompetanse er i ferd med å bli en forventet standard. Den økte etterspørselen kan være en direkte konsekvens av de mange profilerte angrepene som har preget nyhetsbildet. Dette skaper et momentum som bedriftsledere kan utnytte til å forankre sikkerhetskulturen i egen organisasjon.

Lenke: (https://norsis.no/nyheter/)

Dato: 21. august 2025

Forskere viser hvordan AI-genererte sammendrag kan manipuleres til å spre skadevare

En ny angrepsteknikk, kalt "ClickFix", demonstrerer hvordan angripere kan manipulere kunstig intelligens (KI) til å inkludere ondsinnede instrukser i ellers harmløse tekstsammendrag. Dette utnytter den økende tilliten vi har til KI-generert innhold.

Angrepet fungerer ved at en angriper forgifter datagrunnlaget som en KI-modell bruker til å lage et sammendrag. Resultatet er at KI-en, i god tro, genererer et sammendrag som inneholder skadelige instruksjoner eller lenker. Fordi instruksjonene ser ut til å komme fra den "objektive" KI-en, er brukere mer tilbøyelige til å stole på dem og følge dem, for eksempel ved å laste ned en fil eller klikke på en lenke som fører til installasjon av skadevare. Dette er en ny og subtil form for sosial manipulering hvor KI-en blir en ufrivillig medskyldig.

Hva så?

Norske virksomheter tar i økende grad i bruk KI-verktøy for å øke produktiviteten. Denne forskningen er en viktig advarsel om at man ikke kan stole blindt på resultatene. Ansatte må trenes opp i "KI-skepsis" og lære å kritisk vurdere innhold generert av KI, på samme måte som de har lært å være skeptiske til e-poster fra ukjente avsendere. Angrepet utnytter en kognitiv bias der vi tillegger maskiner en autoritet de ikke nødvendigvis har. Sikkerhetsopplæringen må oppdateres for å reflektere denne nye trusselen, der grensen mellom pålitelig informasjon og manipulasjon blir stadig mer uklar.

Lenke: (https://www.darkreading.com/ai-ml/clickfix-attack-tricks-ai-summaries-into-pushing-malware)

Dato: 25. august 2025

Takk for at du vil laste ned en rapport fra NSR.

  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
Lukk

Takk!

En epost med lenke til nedlasting av ${ this.publicationData ? this.publicationData.title : '' } er sendt til ${ this.email }.

Lukk