Publicerad: 2026-05-15 13:15

CERT-SE:s veckobrev v.20

Denna vecka vill vi tipsa om att vi har publicerat enkla och korta ”Tabletop”-övningar för hantering av utpressningsangrepp, överbelastningsangrepp och nätfiske. Du hittar övningarna här: https://www.cert.se/tema/ovningar/

Som vanligt innehåller veckobrevet blandade nyheter, analyser och rapporter från veckan som gått.

Trevlig helg önskar CERT-SE!

Nyheter från veckan

Under tisdagen kom uppgifter om att det amerikanska företaget Instructure, leverantör av utbildningsplattformen Canvas, nått en överenskommelse med hotaktören Shinyhunters i syfte att förhindra att stulen data läcks. Det var den 29 april som företaget utsattes för ett angrepp där en mängd information, bland annat personuppgifter, stals. Den 7 maj utsattes företaget återigen för ett angrepp, som ska ha koppling till händelsen en vecka tidigare. I Sverige används Canvas av flera lärosäten, ett antal av dessa valde under en period att stänga ned plattformen, skriver SVT Nyheter. CERT-SE uppmanar de drabbade att fortsatt vara extra uppmärksamma på försök till nätfiske eller bedrägerier kopplat till den stulna informationen.
(Bleeping Computer, 12/5)
https://www.bleepingcomputer.com/news/security/instructure-reaches-agreement-with-shinyhunters-to-stop-data-leak/ …
(Instructure, 11/5)
https://www.instructure.com/incident_update/ …
(SVT Nyheter, 9/5)
https://www.svt.se/nyheter/inrikes/flera-svenska-universitet-drabbade-i-hackerattack

Checkmarx har publicerat information om att en skadlig version av deras Jenkins Application Security Testing (AST) plugin har publicerats på Jenkins Marketplace. Händelsen har kopplingar till den leveranskedjeattack som företaget drabbades av tidigare i år. Checkmarx har nu gjort nya versioner av Jenkins AST plugin tillgängliga i Jenkins Marketplace samt GitHub, och uppmanar användare att säkerställa så att de använder den senaste versionen.
(SecurityWeek, 11/5)
https://www.securityweek.com/checkmarx-jenkins-ast-plugin-compromised-in-supply-chain-attack/

Driftstörningar i Transportstyrelsens it-system har den senaste veckan påverkat myndighetens e-tjänster. Störningarna har bland annat medfört att det inte gått att ställa på och av fordon på Mina sidor, eller skriva förarprov hos Trafikverket. Problemen är nu åtgärdade och samtliga e-tjänster och förarprov ska återigen fungera.
(Transportstyrelsen, 10/5)
https://www.transportstyrelsen.se/sv/om-oss/pressrum/nyhetsarkiv/2026/storningar-paverkar-transportstyrelsens-system/

En privilegieeskalerings-sårbarhet i Linux-kärnan, CVE-2026-43000, även kallad Fragnesia, har upptäckts. En lokal användare kan genom att utnyttja sårbarheten tillskansa sig root-rättigheter. Sårbarheten följer efter de nyligen uppmärksammade sårbarheterna Dirty Frag och Copy Fail. PoC (Proof of Concept) finns tillgänglig och användare uppmanas att säkerhetsuppdatera i enlighet med anvisningar från leverantörer av respektive Linux-distrubution.
(Linuxsecurity, 14/5)
https://linuxsecurity.com/features/fragnesia-linux-privilege-escalation

Rapporter och analyser

En ny våg av angrepp baserade på den självreplikerande skadliga koden Shai-Hulud riktas mot ett större antal utvecklarpaket inom NPM och PyPi. Det gäller bland annat TanStack, Mistral AI, Guardrails AI, UiPath och OpenSearch. Hotaktören TeamPCP kopplas till angreppen där den skadliga koden sprids genom att giltiga OpenID Connect-tokens missbrukas för att publicera infekterade paket i verifierade versioner. De infekterade paketen har sammantaget miljontals nedladdningar per vecka.
(Bleeping Computer, 12/5)
https://www.bleepingcomputer.com/news/security/shai-hulud-attack-ships-signed-malicious-tanstack-mistral-npm-packages/ …
(Step Security, 11/5)
https://www.stepsecurity.io/blog/mini-shai-hulud-is-back-a-self-spreading-supply-chain-attack-hits-the-npm-ecosystem

Google Threat Intelligence, GTI, har publicerat en rapport som beskriver hur hotaktörer använder sig av AI. För första gången har GTI identiferat skadlig kod för att utnyttja en nolldagssårbarhet, där koden bedöms vara utvecklad med hjälp av en AI-modell. Den skadliga koden är designad för att angripa ett populärt verktyg byggt på öppen källkod, som används för webbadministration. Vid analys av den skadliga koden hittade GTI tecken på att den är skapad med hjälp av AI, bland annat en “hallucinerad” kommentar om en CVSS-score som inte existerar i verkligheten och format i kodstrukturen som följer mönster för träningsdata i LLM-modeller.
(Google Threat Intelligence, 11/5)
https://cloud.google.com/blog/topics/threat-intelligence/ai-vulnerability-exploitation-initial-access …
(Hackread, 11/5)
https://hackread.com/google-hackers-used-ai-develop-zero-day-exploit/

Check Point Research beskriver hur ransomware-landskapet konsolideras, där ett fåtal större grupper står för den absoluta majoriteten av angreppen. Rapporten lyfter särskilt fram hotaktören The Gentlemen, som snabbt vuxit genom att utnyttja tusentals redan komprometterade Fortinet FortiGate-enheter.
(Check Point, 11/5)
https://research.checkpoint.com/2026/the-state-of-ransomware-q1-2026/

Övrigt

AI-dataförgiftning är en dold risk för organisationer som använder sig av stora språkmodeller och autonoma agenter. Genom att manipulera den interna processen för att träna AI-modeller kan angripare förvanska modellens förståelse av verkligheten och orsaka stor skada. Eftersom förgiftning av data tar sig andra uttryck än traditionella cyberattacker kan de vara svåra att upptäcka. Computer Sweden ger en fördjupning om vad som är viktigt att tänka på.
(Computer Sweden, 11/5)
https://computersweden.se/article/4168755/den-forvrangda-sanningen-det-dolda-sakerhetshotet-inom-foretags-ai.html

Från CERT-SE

Cisco har publicerat information om en kritisk sårbarhet som fått den högsta CVSS-klassningen på 10.0. Sårbarheten, CVE-2026-20182, utnyttjas aktivt och CISA har lagt till den i KEV-katalogen (Known Exploited Vulnerabilities catalog). CERT-SE rekommenderar att uppdatera i enlighet med tillverkarens anvisningar, samt söka igenom system efter tecken på intrång.
(CERT-SE, 15/5)
https://www.cert.se/2026/05/kritisk-sarbarhet-i-cisco-sd-wan.html

CERT-SE har publicerat en sammanställning av de säkerhetsuppdateringar som publicerats av Microsoft, Fortinet, SAP, Ivanti och Adobe i samband med patchtisdagen. CERT-SE rekommenderar att så snart som möjligt installera säkerhetsuppdateringarna i enlighet med leverantörens anvisningar.
(CERT-SE, 12/5)
https://www.cert.se/2026/05/patchtisdag-maj-2026-samlad-information-om-manadens-sakerhetsuppdateringar.html

Kontakta oss - dygnet runt

CERT-SE är tillgängliga dygnet runt alla dagar på året för att kunna agera och inom vårt uppdrag hjälpa verksamheter som har drabbats av it-säkerhetsincidenter.

telefon

010-240 40 40

e-post

cert@cert.se

Fler nyheter

2026-05-15 13:15

CERT-SE:s veckobrev v.20

Denna vecka vill vi tipsa om att vi har publicerat enkla och korta ”Tabletop”-övningar för hantering...

Veckobrev
2026-05-15 10:45

Kritisk sårbarhet i Cisco Catalyst SD-WAN Controller och SD-WAN Manager

Cisco har publicerat information om en kritisk sårbarhet som fått den högsta CVSS-klassningen på 10.0. [1]...

Sårbarhet Cisco SD-WAN
2026-05-12 10:32

Patchtisdag maj 2026 – samlad information om månadens säkerhetsuppdateringar

Flera leverantörer har släppt sina månatliga säkerhetsuppdateringar för maj. Nedan finns en sammanställning av de säkerhetsuppdateringar...

Sårbarhet Patchtisdag Microsoft Fortinet SAP Ivanti Adobe
2026-05-08 15:10

CERT-SE:s veckobrev v.19

I veckans brev kan du läsa om angreppet mot utbildningsplattformen Canvas, som tillhandahålls av det amerikanska...

Veckobrev
2026-05-08 09:50

Flera sårbarheter i Ivanti Endpoint Manager Mobile (EPMM)

Ivanti har publicerat information om uppdateringar som åtgärdar fem sårbarheter.

Sårbarhet Ivanti

Nyheter