CERT-SE:s veckobrev v.4

EU-kommissionen har under veckan presenterat ett nytt cybersäkerhetspaket, där cybersäkerhetsmyndigheten ENISA får en tydlig förstärkning. Detta går att läsa om i veckobrevet tillsammans med flera nyheter, rapporter och analyser inom cybersäkerhetsområdet.

Trevlig helg önskar CERT-SE!

Nyheter från veckan

En kritisk remote command injection-sårbarhet har identifierats i Apaches bRPC:s inbyggda heap profiler-tjänst. Sårbarheten kan göra det möjligt för en oautentiserad angripare att köra godtyckliga systemkommandon.
(Cyber Security News, 20/1) https://cybersecuritynews.com/apache-brpc-vulnerability-2/

Skatteverket varnar för pågående nätfiske som ser ut att komma från myndigheten. Bedragarna använder sig av falska mejl, sms, brev och telefonsamtal i olika varianter.
(Skatteverket) https://www.skatteverket.se/omoss/kontaktaoss/mejlaoss/omnatbedragerier.4.8bcb26d16a5646a148128ae.html

NCSC UK varnar för ryska hacktivistgrupper som riktar in sig på brittiska organisationers webbplatser och tjänster. I varningen riktar man sig särskilt mot operatörer inom kritisk infrastruktur och lokala myndigheter. NCSC UK har sammanställt rekommendationer kring hur organisationer kan utvärdera och stärka sin motståndskraft mot angrepp.
(NCSC UK, 19/1) https://www.ncsc.gov.uk/news/pro-russia-hacktivist-activity-continues-to-target-uk-organisations&site=ncsc

Hotaktörer använder nyhetsrubriker om Venezuela för att sprida en skadliga kod som fått namnet Lotuslite, via en .zip-fil. Angreppen bygger på att skapa nyfikenhet att klicka på skadliga länkar med koppling till aktuella nyheter.
(The Hacker News, 16/1) https://thehackernews.com/2026/01/lotuslite-backdoor-targets-us-policy.html

En stor amerikansk ISP har blockerat inkommande trafik kopplat till ett stort antal C2-serverbotnät under de senaste månaderna.
(Govinfo Security, 16/1) https://www.govinfosecurity.com/isp-sinkholes-kimwolf-servers-amid-eruption-bot-traffic-a-30549

Rapporter och analyser

En analys från cybersäkerhetsföretaget Pentera visar att hotaktörer drar nytta av felkonfigurerade säkerhetssystem för att skapa otillbörlig access till system hos större företag och verksamheter. Det gäller bland annat webbapplikationer för säkerhetsträning och intern säkerhetstestning, som t ex DVMA, OWASP och Hackazon.
(Bleeping Computer, 21/1) https://www.bleepingcomputer.com/news/security/hackers-exploit-security-testing-apps-to-breach-fortune-500-firms/

En ny, utvecklad variant av Quasar RAT (Remote Access Trojan) som fått namnet Pulsar RAT, har tillfört ny funktionalitet för att hotaktörer effektivare ska kunna dölja angrepp och otillbörlig närvaro i angripna system.
(Cyber Security News, 20/1) https://cybersecuritynews.com/pulsar-rat-gain-remote-access/

I en ny form av hotkampanj riktar hotaktörer in sig på större företag, bland annat inom finanssektorn i USA, via en ny skadlig kod som fått namnet PDFSider. Angreppet bygger på social manipulation med användning av riktat nätfiske och en falsk teknisk support. Hotkampanjen bedöms ha kopplingar till etablerade hotaktörer, där syftet är att tillskansa sig långsiktig tillgång till system med känslig information.
(Bleeping Computer, 19/1) https://www.bleepingcomputer.com/news/security/new-pdfsider-windows-malware-deployed-on-fortune-100-firms-network/

Hotaktörer använder Visual Studio Code som en plattform för angrepp genom att använda dess extension-funktioner för att föra in skadlig kod i utvecklingsmiljöer. Angreppet inleds med att en användare installerar ett VSC-tillägg som ser ofarligt ut men som innehåller skadlig kod för att bland annat stjäla information.
(Trend Micro, 19/1) https://www.trendmicro.com/en_us/research/26/a/analysis-of-the-evelyn-stealer-campaign.html

Övrigt

MITRE har lanserat ett nytt ramverk för inbäddade system, ESTM (Embedded System Threat Matrix), med inspiration från MITRES:s populära ramverk ATT&CK. Syftet med ESTM är att ge ett tydligt stöd för att skapa starkare skydd kring såväl hårdvara som mjukvara i kritiska, inbäddade system.
(Security Week, 21/1) https://www.securityweek.com/mitre-launches-new-security-framework-for-embedded-systems/

Användare globalt har blivit föremål för skräppost från Zendesk:s support-system. De flera hundra rapporterade meddelandena innehöll märkliga och stundvis alarmerande budskap. Support-systemet tillåter overifierade användare att skapa ärenden, vilket utnyttjats genom att använda svarsfunktionen som möjliggjort massutskick.
(Bleeping Computer, 21/1) https://www.bleepingcomputer.com/news/security/zendesk-ticket-systems-hijacked-in-massive-global-spam-wave/

Nu lanseras den nya EU-finansierade sårbarhetsdatabasen GCVE, Global Cybersecurity Vulnerability Enumeration, som finns på gcve.eu och db.gcve.eu. Den nya tjänsten är ett initiativ för att över tid kunna tillföra adderat värde och minska beroendet av USA-baserade CVE-tjänster.
(Hackread, 20/1) https://hackread.com/eu-launches-gcve-track-vulnerabilities-us/

EU-kommissionen har presenterat ett nytt cybersäkerhetspaket, där cybersäkerhetsmyndigheten ENISA får en tydlig förstärkning. En central del i förslaget är ett riskbaserat ramverk för att hantera cybersäkerhet i ICT-leverantörskedjor.
(EU-kommissionen, 20/1) https://commission.europa.eu/news-and-media/news/new-measures-strengthen-cybersecurity-resilience-and-capabilities-2026-01-20_sv …
https://ec.europa.eu/commission/presscorner/detail/en/ip_26_105

Från CERT-SE

Oracle har publicerat information om en sårbarhet i Oracle HTTP Server och WebLogic Server Proxy Plug-in. Sårbarheten, CVE-2026-21962, är kritisk och har fått en CVSS-klassning på 10. CERT-SE rekommenderar att snarast möjligt installera säkerhetsuppdateringarna i enlighet med leverantörens anvisningar.
(21/1) https://www.cert.se/2026/01/kritisk-sarbarhet-i-oracle.html

CERT-SE har uppdaterat artikeln om en kritisk nolldagssårbarhet i Cisco AsyncOS, gällande information om att Cisco har publicerat säkerhetsuppdateringar för sårbarheten CVE-2025-20393.
(16/1 och 19/12) https://www.cert.se/2025/12/kritisk-nolldagssarbarhet-i-cisco-asyncos.html