Publicerad: 2026-06-05 14:50

CERT-SE:s veckobrev v.23

I veckans brev hittar du läsning om “HTTP/2 Bomb”, en metod för överbelastningsangrepp som kombinerar flera tekniker för att göra servrar otillgängliga. Du hittar även information om EU-kommissionens nya åtgärdspaket för att minska beroendet av amerikanska teknikföretag samt en varning från FBI inför sommarens fotbolls-VM.

Utöver detta finns ett urval av veckans nyheter, analyser och rapporter från cybersäkerhetsområdet.

Trevlig helg önskar CERT-SE!

Nyheter från veckan

Cisco varnar för en sårbarhet i Catalyst SD-WAN, CVE-2026-20245, som aktivt exploateras. Ett utnyttjande av sårbarheten kan ge en angripare root-rättigheter. För att utnyttja sårbarheten krävs antingen netadmin-rättigheter eller att någon av sårbarheterna CVE-2026-20182 eller CVE-2026-20127 exploateras. Det finns ingen uppdatering för CVE-2026-20245 tillgänglig, men Cisco uppmanar till att åtgärda CVE-2026-20182. Patch finns också tillgänglig för CVE-2026-20127.
(Cisco, 4/6) https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-privesc-4uxFrdzx

En metod för överbelastningsangrepp som fått namnet “HTTP/2 Bomb” kombinerar flera olika tekniker för att göra servrar otillgängliga på kort tid. Metoden riktas mot servrar som har standardkonfiguration för HTTP/2 och påverkar webbservrar som NGINX, Apache HTTP Server, Microsoft IIS, Envoy samt Cloudflare Pingora.
(Bleeping Computer, 3/6) https://www.bleepingcomputer.com/news/security/new-http-2-bomb-dos-attack-crashes-web-servers-in-under-a-minute/

Under onsdagen presenterade EU-kommissionen ett åtgärdspaket för att minska beroendet av amerikanska teknikföretag. Det paket som presenterades innehöll flera punkter, bland annat önskar EU-kommissionen att trippla kapaciteten för datacentrum under kommande år samt bygga ut kapaciteten för moln och AI. Unionen ska även satsa på öppen källkod och “Chips act 2.0”, vars syfte är att fortsätta främja tillverkningen av chip i Europa.
(SVT Nyheter, 3/6) https://www.svt.se/nyheter/utrikes/eus-plan-frigora-sig-fran-usas-techdominans

Fler aktörer ska få tillgång till AI-modellen Mythos, meddelade företaget Anthropic i tisdags. Project Glasswing utökas därmed med cirka 150 organisationer i över 15 länder. I meddelandet framkommer inte vilka organisationerna som kommer att få tillgång till modellen, men enligt Anthropic ska organisationerna främst vara leverantörer av kritisk infrastruktur.
(Computer Sweden, 3/6) https://computersweden.se/article/4180538/uppgifter-sverige-far-tillgang-till-mythos.html …
(Anthropic, 2/6) https://www.anthropic.com/news/expanding-project-glasswing

Amerikanska cybersäkerhetsmyndigheten CISA informerar om angrepp riktade mot Automatic Tank Gauge (ATG)-system, som används för att övervaka bränslenivåer inom exempelvis energi, kemiindustrin, livsmedelsindustrin och transport. Angriparna kan exempelvis manipulera värdet för bränslenivå eller inaktivera varningsmeddelanden. En rekommendation från CISA är att undvika att exponera ATG-system, inklusive portar och webbgränssnitt, mot internet.
(CISA, 2/6) https://www.cisa.gov/resources-tools/resources/cisa-and-partners-urge-hardening-automatic-tank-gauge-systems

Forskare vid Sansec har upptäckt en kritisk sårbarhet i e-handelsplattformen Magento som kan utnyttjas för fjärrexekvering av kod utan autentisering. Sårbarheten, CVE-2026-45247, har fått en CVSS score på 9.8. Användare rekommenderas att uppdatera till den senaste versionen av Magento, 1.11.12, snarast.
(CyberSecurityNews, 1/6) https://cybersecuritynews.com/magento-cache-plugin-vulnerability

Acer informerar om två kritiska sårbarheter i routern Acer Wave 7. Sårbarheterna kan bland annat utnyttjas för att exfiltrera inloggningsuppgifter till routern, i klartext. Det finns ingen uppdatering och Acer meddelar att de planerar tillgängliggöra detta i slutet av juni.
(Acer, 1/6) https://community.acer.com/en/kb/articles/19673 …
(Bleeping Computer, 3/6) https://www.bleepingcomputer.com/news/security/acer-warns-of-max-severity-zero-days-affecting-wave-7-routers/

Rapporter och analyser

Ett kriminellt hotkluster med kopplingar till Kina som tidigare bedöms varit enbart inriktade på måltavlor i Asien, har nu identifierats i angrepp riktade mot länder i Europa. Hotklustret som benämns TA4922 använder angreppsflöden och skadlig kod som kopplats till mer renodlade spionagehotaktörer, för att skapa otillbörlig åtkomst och stjäla information samt kontouppgifter. Proofpoint ger i denna analys en inblick i hur hotklustret arbetar.
(Proofpoint, 3/6) https://www.proofpoint.com/us/blog/threat-insight/ta4922-suspected-chinese-crime-group-going-global

Över 30 Red Hat npm-paket har komprometterats i syfte att sprida vidare skadlig kod och stjäla känslig information. Den skadliga koden liknar, enligt cybersäkerhetsföretaget Aikido, Mini Shai-Hulud som tidigare offentliggjorts av en hotaktör. De kompromentterade paketen ska ha publicerats via GitHub Actions OIDC.
(Aikido, 1/6) https://www.aikido.dev/blog/red-hat-npm-packages-compromised-credential-stealing-worm

Övrigt

NCSC har initierat ett arbete för att stärka Sveriges förmåga att hantera AI-relaterade cyberhot, med syfte att öka förståelsen för hotet, skapa en lägesbild samt stödja prioriteringar och stärka motståndskraften i samhällsviktiga verksamheter. Arbetet samlar myndigheter, näringsliv, akademi och andra expertmiljöer och bygger vidare på det samverkansintiativ och webbinarium som genomfördes i april.
(NCSC, 4/6) https://www.ncsc.se/sv/aktuellt/nationellt-arbete-for-att-mota-ai-drivna-cyberhot/

Hotaktörer ska ha tillskansat sig åtkomst till Instagramkonton genom en säkerhetsbrist i Metas egen AI-support. Hotaktörer ska ha bett AI-supporten att koppla en ny mejladdress till ett specifikt användarkonto för att sedan kunna motta en verifieringskod. När hotaktören sedan uppgav verifieringskoden för AI-supporten, gav AI-supporten tillbaka en länk för att byta lösenord till användarkontot. Under måndagen uppgav en talesperson för Meta att sårbarheten var åtgärdad.
(HackRead, 2/6) https://hackread.com/hackers-abuse-meta-ai-bot-hijack-instagram-accounts/

I ett inslag i P1 Morgon diskuterades hur Sverige kan tackla hybridattacker, bland annat menar Johan Wiktorin, säkerhetsexpert och medlem av Kungliga krigsvetenskapsakademien, att lagar kan behöva ändras för att möta den ryska krigföringen.
(Sveriges Radio, 2/6) https://www.sverigesradio.se/artikel/kan-andrade-lagar-stoppa-hybridattacker

FBI har inför fotbolls-VM i sommar gått ut med en varning för falska webbplatser som imiterar det internationella fotbollsförbundet FIFA. FBI uppger i ett meddelande att flera falska domäner har identifierats, vars syfte har varit att komma åt personlig och finansiell information.
(FBI, 27/5) https://www.ic3.gov/PSA/2026/PSA260527

Kontakta oss - dygnet runt

CERT-SE är tillgängliga dygnet runt alla dagar på året för att kunna agera och inom vårt uppdrag hjälpa verksamheter som har drabbats av it-säkerhetsincidenter.

telefon

010-240 40 40

e-post

cert@cert.se

Fler nyheter

2026-06-05 14:50

CERT-SE:s veckobrev v.23

I veckans brev hittar du läsning om “HTTP/2 Bomb”, en metod för överbelastningsangrepp som kombinerar flera...

Veckobrev
2026-05-29 14:49

CERT-SE:s veckobrev v.22

I veckans läsning finns ett urval av nyheter, analyser och rapporter inom cybersäkerhetsområdet från veckan som...

Veckobrev
2026-05-22 14:15

CERT-SE:s veckobrev v.21

I veckans läsning finns ett urval av nyheter, analyser och rapporter inom cybersäkerhetsområdet från veckan som...

Veckobrev
2026-05-15 13:15

CERT-SE:s veckobrev v.20

Denna vecka vill vi tipsa om att vi har publicerat enkla och korta ”Tabletop”-övningar för hantering...

Veckobrev
2026-05-15 10:45

Kritisk sårbarhet i Cisco Catalyst SD-WAN Controller och SD-WAN Manager

Cisco har publicerat information om en kritisk sårbarhet som fått den högsta CVSS-klassningen på 10.0. [1]...

Sårbarhet Cisco SD-WAN

Nyheter