CERT-SE startsida
Sök inom CERT-SE
Publicerad: 2026-01-30 14:50

CERT-SE:s veckobrev v.5

Veckobrev

Denna vecka har det rapporterats om ett flertal sårbarheter, bland annat gällande nolldagssårbarheter i Microsoft Office och Fortinet FortiOS. Utöver detta går det även att läsa CERT-PL:s rapport om angreppet mot polska energianläggningar som skedde i december.

Trevlig helg önskar CERT-SE!

Nyheter från veckan

Fortinet har publicerat information om en nolldagssårbarhet (CVE-2026-24858) i FortiOS där ett framgångsrikt utnyttjande innebär att en hotaktör kan kringå SSO-autentisering. Fortinet har genomfört åtgärder för att mitigera sårbarheten och har även publicerat säkerhetsuppdateringar.
(Helpnet Security, 28/1) https://www.helpnetsecurity.com/2026/01/28/fortinet-forticloud-sso-zero-day-vulnerability-cve-2026-24858/

FBI har tagit över forumet RAMP som innehöll marknadsföring av skadlig kod och tjänster kopplade till olika typer av cyberangrepp. Det ryskspråkiga forumet har bland annat använts av cyberkriminella inriktade på utpressningsangrepp.
(Hack Read, 28/1) https://hackread.com/russian-cybercrime-ramp-forum-seized-fbi/

Nike utreder en potentiell dataläcka efter att hotaktören Wordleaks hävdar att de har exfiltrerat mer än 1,4TB av företagets filer.
(DarkReading, 27/1) https://www.darkreading.com/cyberattacks-data-breaches/worldeaks-extortion-group-stole-1.4tb-nike-data

En sårbarhet i Telnet som ingår i GNU InetUtils berör en stor mängd exponerade Telnet-servrar runt om i världen. Sårbarheten (CVE-2026-24061) kan göra det möjligt för en hotaktör att kringgå autentisering. En uppdaterad version som åtgärdar sårbarheten har publicerats.
(Bleeping Computer, 26/1) https://www.bleepingcomputer.com/news/security/nearly-800-000-telnet-servers-exposed-to-remote-attacks/

Rapporter och analyser

CERT-PL har publicerat en rapport gällande de omfattande angreppen som nyligen skett mot energiinfrastruktur i Polen. I rapporten beskrivs hur angreppen sannolikt kan ha gått till samt IOC:er och detektionsregler som kan användas för analys och skyddsåtgärder.
(CERT-PL, 30/1) https://cert.pl/en/posts/2026/01/incident-report-energy-sector-2025/

Checkpoint Research har publicerat sin årsrapport där hotlandskapet presenteras utifrån data som samlats in under 2025. Bland trenderna noteras att AI nu används i alla delar av angreppskedjan, till exempel som verktyg för allt mer sofistikerade nätfiskeangrepp.
(Checkpoint, 28/1). https://research.checkpoint.com/2026/cyber-security-report-2026/

Ett nytt inofficiellt rekord har satts gällande omfattning av överbelastningsangrepp enligt Cloudflare. Bakom angreppet ligger botnätet Aisuru med koppling till Kimwolf, och volymen uppgick till som mest 31,4Tbps.
(Bleeping Computer, 28/1). https://www.bleepingcomputer.com/news/security/aisuru-botnet-sets-new-record-with-314-tbps-ddos-attack/

En ny hotkampanj utnyttjar Microsoft Application Virtualization för att kringgå säkerhetssystem och leverera skadlig kod som är inriktad på informationsstöld. Kampanjen inleds med en falsk CAPTCHA-prompt och drar sedan nytta av komponenter där användaren ombeds om verifiering, vilket leder till installation av den skadliga koden.
(Cybersecurity News, 28/1) https://cybersecuritynews.com/fake-captcha-attack-leverages-microsoft-application-virtualization/

I en ny analys beskrivs vishing-angrepp som riktar sig mot flertal SSO-verktyg. Cyberkriminella grupper kombinerar i angreppen samtal och avancerat nätfiske för att få tillgång till användarnas system och stjäla information. Hotaktören Shinyhunters kopplas till angreppen.
(Cyberscoop, 26/1) https://cyberscoop.com/shinyhunters-voice-phishing-sso-okta-mfa-bypass-data-theft/

Övrigt

Säkerhetsexperter varnar för att open source-ekosystemet har blivit en ökad strukturell riskfaktor, i takt med att ett ökat antal nedladdade paket innehåller skadlig kod eller sårbarheter.
(Infosecurity Magazine, 28/1). https://www.infosecurity-magazine.com/news/454000-malicious-open-source/

Statsunderstödda hotaktörer och mer avancerade cyberkriminella grupperingar drar nytta av en sårbarhet i WinRAR (CVE-2025-8088) som offentliggjordes tillsammans med en säkerhetsuppdatering för ett drygt halvår sedan. Trots detta får utnyttjandet av sårbarheten en bredare spridning enligt Google Threat Intelligence.
(Cyberscoop, 27/1). https://cyberscoop.com/winrar-defect-active-exploits-google-threat-intel/

Frankrike planerar att fasa ut amerikanska videokonferenstjänster såsom Microsoft Teams och Zoom inom statliga myndigheter, och ersätta dem med det franska verktyget Visio. Detta för att stärka den digitala suveräniteten och minska beroendet till icke-europeiska tjänster.
(Computer Sweden, 27/1) https://computersweden.se/article/4122594/franska-myndigheter-kastar-ut-teams-och-zoom.html

Från CERT-SE

Ivanti har publicerat säkerhetsuppdateringar för två kritiska sårbarheter i Ivanti Endpoint Manager Mobile (EPMM). Framgångsrikt utnyttjande av dessa sårbarheter innebär att en oautentiserad angripare kan fjärrköra skadlig kod. CERT-SE rekommenderar att snarast uppdatera sårbara produkter enligt tillverkarens rekommendationer och att undersöka system efter indikationer på intrång.
(30/1) https://www.cert.se/2026/01/kritiska-sarbarheter-i-ivanti-epmm.html

SolarWinds har publicerat uppdateringar som åtgärdar fyra kritiska sårbarheter i SolarWinds Web Help Desk, samtliga har fått en CVSS-klassning på 9.8. Framgångsrikt utnyttjande av sårbarheterna innebär att en angripare kan kringgå autentisering, fjärrexekvera kod och tillskansa sig åtkomst till administrativa funktioner.
(29/1) https://www.cert.se/2026/01/kritisk-sarbarhet-i-solarwinds-web-help-desk.html

Microsoft har publicerat information om en nolldagssårbarhet i Microsoft Office som exploateras av hotaktörer. Sårbarheten (CVE-2026-21509) har fått CVSS-klassificering 7.8 av Microsoft och kan ge en oautentiserad angripare möjlighet att kringgå en lokal säkerhetsfunktion genom att skicka ett skadligt Office-dokument som användaren öppnar.
(27/1) https://www.cert.se/2026/01/allvarlig-nolldagssarbarhet-i-microsoft-office.html