CERT-SE:s veckobrev v.2

Det har varit en något lugnare period under jul och nyår även om det både förekommit allvarliga, nya sårbarheter (exempelvis gällande MongoDB) och ett flertal större cyberangrepp internationellt. Här nedan är en sammanfattning för de senaste veckorna.

Trevlig helg önskar CERT-SE!

Nyheter från senaste veckorna

Den europeiska rymdorganisationen (ESA) har utsatts för ett angrepp där en hotaktör med alias 888 påstår sig ha kommit över 200 GB data. (HackRead 31/12) https://hackread.com/hacker-european-space-agency-data-breach/

IBM varnar för en sårbarhet i API Connect som skulle kunna ge angripare möjlighet att kringå autentisering och få otillbörlig tillgång till applikationer. (Bleeping Computer 31/12) https://www.bleepingcomputer.com/news/security/ibm-warns-of-critical-api-connect-auth-bypass-vulnerability/

Botnätet Rondodex rapporteras utnyttja sårbarheten React2Shell för att infektera Next.js-servrar med skadlig kod. (Bleeping Computer 31/12) https://www.bleepingcomputer.com/news/security/rondodox-botnet-exploits-react2shell-flaw-to-breach-nextjs-servers/

Uppgifter kopplade till 2,3 miljoner abonnenter på Wired påstås ha läckt efter ett angrepp från en hotaktör med alias “Lovely”. Condé Nast, medieföretaget som äger Wired, ska ha mottagit hot om att en större mängd data kopplad till flertal produkter och tjänster ska publiceras av hotaktören. (HackRead 27/12) https://hackread.com/hacker-leak-wired-com-records-conde-nast-breach/

Ett cyberangrepp har skapat störningar och stora tillgänglighetsproblem för Frankrikes postmyndighet La Poste och La Banque Postale. (Le Monde 22/12) https://www.lemonde.fr/en/france/article/2025/12/22/suspected-cyberattack-disrupts-france-s-postal-service_6748757_7.html

En rumänsk myndighet som ansvarar för nationell vattenförvaltning har drabbats av ett utpressningsangrepp mot en större mängd system, bland annat inom administration och uppföljning. (Bleeping Computer 22/12) https://www.bleepingcomputer.com/news/security/romanian-water-authority-hit-by-ransomware-attack-over-weekend/

En driftstörning i system där patienters provsvar hanteras inom Region Jönköping ledde till manuell hantering och långa svarstider. (Sveriges Radio 19/12) https://www.sverigesradio.se/artikel/regionen-gar-upp-i-stabslage-stora-problem-med-provsvar

Rapporter och analyser

Cyera rapporterar om och analyserar en ny sårbarhet i n8n, som används för att automatisera flöden och integrationer inom bland annat AI-modeller och LLM:er. Deras bedömning är att ca 100 000 n8n-servrar är exponerade för sårbarheten som skulle kunna ge en angripare möjlighet att ta kontroll över n8n-instanser och få tillgång till känslig information. (Cyera Research Labs 7/1) https://www.cyera.com/research-labs/ni8mare-unauthenticated-remote-code-execution-in-n8n-cve-2026-21858

Android-botnätet Kimwolf utnyttjar lokal proxy för att infektera Android-enheter. Kimwolf använder varianter av den skadliga koden Aisuru, och har vuxit till att inkludera mer än 2 miljoner enheter. (Bleeping Computer 6/1) https://www.bleepingcomputer.com/news/security/kimwolf-android-botnet-abuses-residential-proxies-to-infect-internal-devices/

Hotaktören Transparent Tribe (APT36) har genomfört omfattande angrepp mot myndigheter och utbildningsväsende i Indien, baserat på en trojan för fjärråtkomst som installeras genom att LNK-filer i PDF-dokument aktiveras av användaren. (The Hacker News 2/1) https://thehackernews.com/2026/01/transparent-tribe-launches-new-rat.html

En hotkampanj med riktade nätfiskeangrepp drar nytta av nära 30 publicerade npm-paket för att underlätta stöld av inloggningsuppgifter. Hotkampanjen är främst riktad mot medarbetare vid organisationer inom kritisk infrastruktur i USA och länder nära allierade med USA. (The Hacker News 29/12) https://thehackernews.com/2025/12/27-malicious-npm-packages-used-as.html

En ny våg av kontokapningar mot Microsoft 365 oroar säkerhetsexperter. Den teknik som nu används kallas “device code phishing” och bygger på att angriparen missbrukar Microsofts system för enhetsautentisering. Användaren luras att själv godkänna en inloggning genom att ange en engångskod på en officiell verifieringssida. (Forbes 23/12) https://www.forbes.com/sites/daveywinder/2025/12/21/warning-microsoft-365-account-hacking-surge-china--russia-suspected/

Övrigt

Från och med 1 januari har Myndigheten för samhällsskydd och beredskap (MSB) bytt namn till Myndigheten för civilt försvar. Det nya namnet är ett uttryck för den roll och det ansvar som myndigheten axlat inom Sveriges totalförsvar. (Myndigheten för civilt försvar 1/1) https://www.mcf.se/sv/aktuellt/nyheter/2026/januari/valkommen-till-myndigheten-for-civilt-forsvar/

Det förekom störningar hos BankID inför julen, med problem att logga in på flertal webbplatser, däribland Kivra och Swish. (SVT 22/12) https://www.svt.se/nyheter/inrikes/storningar-hos-bank-id-problem-att-logga-in

Webbplatserna för Sveriges domstolar, däribland de för tingsrätter, hovrätter samt domstol.se, låg nere under natten till julafton och under delar av morgonen. (Dagens Nyheter 24/12) https://www.dn.se/direkt/2025-12-24/hemsidorna-for-sveriges-domstolar-lag-nere/

Att använda sig av AI kan skapa en debatt om säkerheten med fokus på modellens ursprung. RISE belyser hur debatten om AI i offentlig sektor ofta blandar ihop molntjänster, lokal drift och modellernas beteende. I denna översikt redogör RISE begreppen och lyfter vilka risker som är viktiga att ha i åtanke. (RISE 19/12) https://www.ri.se/sv/nyheter/blogg/ai-modell-eller-ai-tjanst-skillnaden-som-avgor-sakerheten

Från CERT-SE

MongoDB har publicerat information om säkerhetsuppdateringar gällande sårbarheten CVE-2025-14847 som är kopplad till zlib-komprimerad nätverkstrafik, och skulle kunna leda till att en angripare får tillgång till känslig information. Sårbarheten utnyttjas aktivt och har fått en CVSS-klassificering på 8,7 (CVSS v4.0) av MongoDB. (CERT-SE 29/12 och 30/12) https://www.cert.se/2025/12/sarbarhet-i-mongodb.html