CERT-SE startsida
Sök inom CERT-SE
Publicerad: 2026-05-08 15:10

CERT-SE:s veckobrev v.19

Veckobrev

I veckans brev kan du läsa om angreppet mot utbildningsplattformen Canvas, som tillhandahålls av det amerikanska företaget Instructure. Företaget har bekräftat att en hotaktör har stulit en mängd information, däribland personuppgifter. CERT-SE uppmanar organisationer och drabbade studenter att vara extra uppmärksamma på försök till nätfiske eller bedrägerier kopplat till eventuell läckt information. CERT-SE rekommenderar även drabbade lärosäten att följa leverantörens åtgärder.

Utöver detta hittar du som vanligt nyheter, rapporter och analyser inom cybersäkerhetsområdet från veckan som har gått.

Trevlig helg önskar CERT-SE!

Nyheter från veckan

Utbildningsplattformen Canvas, som tillhandahålls av det amerikanska företaget Instructure, har utsatts för ett angrepp. Företaget bekräftar på sin webbplats att en hotaktör har stulit en mängd information och enligt den interna utredningen ska det finnas personuppgifter bland den stulna datan. Hotaktören ShinyHunters har tagit på sig angreppet, och hävdar att de stulit uppgifter om studenter och personal från närmare 9 000 universitet, högskolor och utbildningsplattformar. Canvas används av en mängd svenska lärosäten, bland annat skriver Försvarshögskolan att de har drabbats men att omfattningen är oklar.
(Instructure, 7/5)
https://status.instructure.com/
(Bleeping Computer, 5/5)
https://www.bleepingcomputer.com/news/security/instructure-hacker-claims-data-theft-from-8-800-schools-universities/
(Försvarshögskolan, 7/5)
https://www.fhs.se/studentportalen/arkiv/nyheter-till-studenter/2026/2026-05-07-uppdatering-om-cybersakerhetsincident-i-larplattformen-canvas.html

Nationalmuseum har utsatts för ett dataintrång. I samband med intrånget har phishingmejl med en länk till ett dokument skickats ut från en av organisationens officiella mejladresser. Nationalmuseum uppger till SVT att intrånget ska ha orsakats av ett nätfiskeangrepp, och att myndighetens centrala system inte verkar vara påverkade.
(SVT, 5/5)
https://www.svt.se/kultur/nationalmuseum-hackat-skickar-ut-phishingmejl

Progress Software varnar för sårbarheterna CVE-2026-4670 samt CVE-2026-5174 gällande grundläggande behörighetskontroll och möjlighet att eskalera behörigheter i MOVEit Automation. Sårbarheterna kan utnyttjas av angripare på distans och Progress uppmanar kunder att skyndsamt genomföra säkerhetsuppdateringar. Sårbarheter i MOVEit har tidigare utnyttjats för angrepp av hotaktörer, bland annat omfattande utpressningsangrepp genomförda av hotaktören Clop.
(Bleeping Computer, 4/5)
https://www.bleepingcomputer.com/news/security/moveit-automation-customers-warned-to-patch-critical-auth-bypass-flaw/

Cybersäkerhetsföretaget Trellix har utsatts för ett angrepp där angriparen tillskansat sig tillgång till delar av företagets interna kodbas. Denna typ av angrepp skulle kunna leda till att hotaktörer får möjlighet att hitta och utnyttja sårbarheter, skapa bakdörrar och genomföra leveranskedjeangrepp mot leverantörens kunder. Trellix har inlett en utredning som i ett inledande skede visar att publicerad kod och produkter som kunderna använder inte är påverkade.
(Cyber Security News, 2/5)
https://cybersecuritynews.com/trellix-source-code-breach/

Rapporter och analyser

Branschorganisationen Svenska Bankföreningen har publicerat sin hotbildsbedömning för 2026. Rapporten beskriver bland annat hur cybersäkerhetsområdet präglas av en mer komplex hotbild där utpressningsangrepp fortsätter att öka, liksom användningen av AI.
(Svenska Bankföreningen, 4/5)
https://www.financesweden.se/om-oss/aktuellt/aktuellt-fran-bankforeningen/hotbildsbedomning-for-sveriges-banker-2026/

En ny skadlig kod i form av infostealer som fått namnet Microstealer, har på kort tid fått en betydande räckvidd. Den skadliga koden har visat sig vara effektiv gällande att undvika upptäckt av säkerhetssystem, och har framförallt använts i angrepp riktade mot mål inom telekom- och utbildningssektorerna. Bland informationen som Microstealer är designad att stjäla finns kontouppgifter lagrade i webbläsare, sessionskakor, skärmdumpar, data från plattformar som Discord och Steam, samt filer kopplade till kryptovaluta.
(Cyber Security News, 4/5)
https://cybersecuritynews.com/new-microstealer-malware-actively-attacking/

CISA har tillsammans med andra amerikanska myndigheter publicerat en guide om hur zero trust-principer kan implementeras på OT-system. Guiden lyfter fram hur organisationer genom zero trust kan förbättra säkerheten och motståndskraften i sina OT-miljöer, inom allt från från industriella styrsystem till automation. Detta för att bidra till en säkrare och mer pålitlig framtid gällande bland annat kritisk infrastruktur.
(CISA 29/4)
https://www.cisa.gov/resources-tools/resources/adapting-zero-trust-principles-operational-technology
(Infosecurity News, 30/4)
https://www.infosecurity-magazine.com/news/zero-trust-guidance-operational/

Övrigt

I en artikel i tidningen Energi berättar Svenska Kraftnäts informationssäkerhetschef Cem Göcgören om vad som fungerade bra och bristerna som avslöjades i samband med dataintrånget under hösten 2025. Cem Göcgören beskriver flera framgångsfaktorer, bland annat att de hade en krisstab som hade tränat på den här typen av händelser och att de inom staben hade tydliga roller.
(Tidningen Energi, 4/5)
https://www.energi.se/artiklar/2026/maj-2026/datastolden-satte-svenska-kraftnat-pa-prov/

NCSC-UK redogör i ett blogginlägg för hur organisationer kan förbereda sig på utvecklingen av AI-modeller. NCSC-UK skriver bland annat att organisationer bör förbereda sig på en ökning av brådskande säkerhetsuppdateringar med anledning av utvecklingen.
(NCSC-UK, 1/5)
https://www.ncsc.gov.uk/blogs/prepare-for-vulnerability-patch-wave

Från CERT-SE

CERT-SE har publicerat information om flera sårbarheter i Ivanti Endpoint Manager Mobile (EPMM). En av sårbarheterna, CVE-2026-6973, tillåter en autentiserad angripare med administrativa rättigheter att exekvera fjärrstyrd kod. Sårbarheten har fått en CVSS-klassning på 7.2. Ivanti har fått in rapporter om att att sårbarheten utnyttjas aktivt. Sårbarheten har även adderats i CISA:s KEV (Known Exploited Vulnerabilities). Utöver det åtgärdas bland annat en sårbarhet som ger en angripare möjlighet att tillskansa sig administrativa rättigheter, och en sårbarhet som tillåter en oautentiserad att tillskansa sig certifikat.
(CERT-SE, 8/5)
https://www.cert.se/2026/05/flera-sarbarheter-i-ivanti-endpoint-manager-mobile-EPMM.html

CERT-SE har publicerat ett dokument som innehåller stöd för att kunna utreda och hantera en incident där ett övertaget M365-konto skickat ut nätfiskemejl internt och externt. Genom att följa rekommendationerna kan organisationer skapa förhöjd säkerhet utan att ha tillgång till de mest avancerade funktionerna.
(CERT-SE, 7/5)
https://www.cert.se/2026/03/forebyggande-atgarder-for-att-sakra-upp-m365-miljoer.html

CERT-SE har publicerat information om en kritisk sårbarhet i PAN-OS. Sårbarheten, CVE-2026-0300, har fått en CVSS-klassning på 9.3 och påverkar USER-ID Autentication Portal. Ett framgångsrikt utnyttjande innebär att en oautentiserad användare kan exekvera godtycklig kod med root-rättigheter.
(CERT-SE, 6/5)
https://www.cert.se/2026/05/kritisk-sarbarhet-i-pan-os.html

CERT-SE har publicerat information om en allvarlig sårbarhet i Apache HTTP Server. Sårbarheten, CVE-2026-23918, har fått en CVSS 3.1-klassning på 8.8. Ett framgångsrikt utnyttjande möjliggör för en oautentiserad angripare att fjärrköra skadlig kod. Sårbarheten påverkar version 2.4.66.
(CERT-SE, 6/5)
https://www.cert.se/2026/05/allvarlig-sarbarhet-i-apache.html

CERT-SE har publicerat information om en sårbarhet som fått namnet “Copy Fail” berör Linux-distributioner från 2017 och framåt. Sårbarheten CVE-2026-31431 har fått CVSS 3.1-klassning 7.8, och innebär att en autentiserad angripare kan eskalera rättigheter till root för systemet. Sårbarheten lades till i CISA:s KEV (Known Exploited Vulnerabilities)-katalog den 1 maj.
(CERT-SE, 4/5)
https://www.cert.se/2026/05/allvarlig-sarbarhet-i-flertal-linuxdistributioner.html