Mindre brus i CVE-flödet: SaaS får egen tagg

Mindre brus i CVE-flödet: SaaS får egen tagg

Under lång tid har sårbarheter i rena SaaS-tjänster varit svåra att följa upp: de saknade ofta CVE nummer och blandades ihop med klassisk produkt-/on-prem-logik. Nu finns en officiell lösning: CVE-taggen ”exclusively-hosted-service”.

Vad betyder den?

Taggen används när alla drabbade produkter endast finns som fullt hostade tjänster. Om både hostad och on-prem påverkas ska taggen inte användas. Det gör att vi kan särskilja ren SaaS från allt annat i CVE flödet och snabbare förstå vilken typ av åtgärd som faktiskt krävs.

Varför är det här viktigt?

– Tydligare ansvar och snabbare beslut: Molnleverantörer som Microsoft och Google markerar nu SaaS-CVE:er med denna tagg – ofta för att signalera att ingen kundåtgärd krävs eftersom fixen rullats ut i tjänsten. Det minskar brus och gör rapporteringen mer transparent.

– Bättre spårbarhet: Att SaaS sårbarheter får CVE nummer och konsekvent taggas stänger en gammal lucka i sårbarhetshantering där molnbrister tidigare föll mellan stolarna.

– Mognare prioritering: När källposten (CVE) anger att det rör sig om en “exclusively hosted service” kan vi prioritera rätt: bevaka påverkan, säkerställa kompensatoriska kontroller – men slippa lägga tid på patchplaner där leverantören redan åtgärdat. (Notera att alla verktyg ännu inte exponerar taggen lika tydligt.)

Exempel i praktiken

Microsofts första publiceringar av “cloud service CVEs” använder taggen för att klargöra att ingen kundpatch behövs (t.ex. CVE-2024-35260). Google Cloud har infört samma arbetssätt för kritiska brister i sina tjänster.

Min rekommendation

– Lägg till ett steg i er triagerutin som kontrollerar om CVE-posten har taggen ”exclusively-hosted-service”.

– Om taggen finns: bekräfta drifts-påverkan, verifiera att leverantören rullat ut fixen och dokumentera beslutet – men undvik onödig “patch-teater”.

– Om taggen saknas eller on-prem också påverkas: hantera enligt ordinarie process.

Detta är ett litet men viktigt steg mot bättre transparens och effektivare sårbarhetshantering i en verklighet där SaaS är normen.

Detta är ett gästinlägg skrivet av Oskar Edbro.

Såbarhet i CrushFTP utnyttjas aktivt

Såbarhet i CrushFTP utnyttjas aktivt

Under juli månad började en allvarlig sårbarhet i filöverföringsservern CrushFTP att aktivt utnyttjas på internet. CrushFTP är en kommersiell, Java-baserad produkt som används av företag och myndigheter för säker filhantering och stöder bland annat FTP, SFTP, FTPS och HTTPS.

Enligt sökverktyget FOFA finns minst 30 000 instanser av CrushFTP exponerade mot internet. Bedömningen är att sårbarheten utnyttjats under större delen av juli. Den 22 juli såldes en exploit på kriminella forum, samma dag som bristen hamnade på CISA:s Known Exploited Vulnerabilities (KEV)-lista.

Sårbarheten har fått beteckningen CVE-2025-54309 och återfinns i funktionaliteten Applicability Statement 2 (AS2). Säkerhetsföretagen WatchTowr och Reliaquest har analyserat problemet närmare.

Skärmdump från hackerforum där sårbarheten var till salu:

Påverkade versioner

  • CrushFTP 10: alla versioner under 10.8.5
  • CrushFTP 11: alla versioner under 11.3.4_23

Rekommenderade åtgärder

Organisationer som använder CrushFTP bör omgående:

  • Uppdatera till en säker version
  • Säkerställa att instanser inte är onödigt exponerade mot internet
  • Granska loggar för misstänkt aktivitet
  • Kontrollera nya konton och inloggningar
  • Använd CrushFTP DMZ

🐈 Flertalet nya hashcat-releaser

Det populära lösenordsknäckarverktyget hashcat version 7.0.0 släpptes nyligen efter mer än två års utveckling och över 900 000 rader med kodändringar. Versionen introducerade även Assimilation Bridge, som möjliggör att hashcat kan använda externa beräkningsresurser såsom CPU, FPGA och tolkningsmiljöer direkt i hash‑pipeline. Även Python Bridge, som tillåter implementation av hashmatchningslogik i Python utan behov av omkompilering. Och detta utan att kompilera med stöd för multitrådning. En ny regelmotor Virtual Backend Devices möjliggör att en fysisk GPU kan delas upp i flera logiska enheter för bättre parallell exekvering. Detta släpp införde även automatisk hashmod-detektion så att flaggan -m kan utelämnas eller alternativt –identify kan användas. Mycket efterlängtad funktion som funnits i exmepelvis John the Ripper sedan urminnes tider.

Algoritmsupporten utökades med 58 nya specifika hash-typer (bland annat Argon2, MetaMask, LUKS2, OpenSSH, GPG) men även 20 st extraheringsverktyg för format som APFS, VirtualBox, BitLocker och wallet-format. Prestandan förbättrades genom en ny autotuner och bättre minneshantering, varigenom tidigare 4 GB-gräns togs bort och effektivare utnyttjande över flera enheter blev möjligt. Specifika hash-modar visade stora förbättringar: scrypt upp till +320 %, NetNTLMv2 på Intel +223 %, och RAR3 +54 %.

Backend-stöd förbättrades också: AMD HIP prioriteras numera över OpenCL, och macOS-användare får native Metal-stöd med full Apple Silicon-kompatibilitet och stora hastighetsförbättringar. För utvecklare tillkom förbättrad diagnostik, bättre testtäckning, regelmotorförbättringar och JSON-utdata.

Två veckor senare släpptes version 7.1.0 en mindre men viktig uppdatering med bl.a. nya algoritmer (se nedan).

Lista med algoritmer som finns med i version 7.1.0:

  • AS/400 DES
  • AS/400 SSHA1
  • Blockchain, My Wallet, Legacy Wallets
  • Cisco-ISE Hashed Password (SHA256)
  • LUKS2 (Argon2i KDF type)
  • KeePass (KDBX v4)
  • SAP CODVN H (PWDSALTEDHASH) isSHA512
  • sm3crypt $sm3$, SM3 (Unix)
  • BLAKE2b-256
  • BLAKE2b-256($pass.$salt)
  • BLAKE2b-256($salt.$pass)
  • MD6 (256)
  • sha224($pass.$salt)
  • sha224($salt.$pass)
  • sha224(sha1($pass))
  • sha224(sha224($pass))

Exempel på när hashcat körs i en docker-container:

$ docker run --rm --gpus=all -it hashcat bash
root@d1d5c5b61432:~/hashcat# ./hashcat.bin -I
hashcat (v7.1.0) starting in backend information mode
CUDA Info:
==========
CUDA.Version.: 12.9
Backend Device ID #01
  Name...........: NVIDIA GeForce RTX 4090
  Processor(s)...: 128
  Preferred.Thrd.: 32
  Clock..........: 2565
  Memory.Total...: 24080 MB
  Memory.Free....: 23664 MB
  Memory.Unified.: 0
  Local.Memory...: 99 KB
  PCI.Addr.BDFe..: 0000:01:00.0

I förrgår släpptes även en hotfix som fick version 7.1.1 som åtgärdar ett problem med LUKS2 och KeePass (KDBX4).

Ny brist i WinRAR utnyttjas av minst två hotaktörer

Ny brist i WinRAR utnyttjas av minst två hotaktörer

Det har identifierats en path-traversal-sårbarhet i WinRAR som ha fått CVE‑2025‑8088. Gäller Windows-versioner av WinRAR före 7.13. Genom att utnyttja funktionen för alternativa dataströmmar (ADS) kan angripare inkludera skadlig kod i .rar-arkiv som vid extraktion placeras i oavsedd katalog, såsom Start-mappen i Windows, vilket resulterar i automatisk uppstart av malware efter inloggning. NIST anger att denna sårbarhet möjliggör godtycklig kodexekvering och påverkar WinRAR-verktyg inklusive komponenten UnRAR.dll och cli-versioner.

Antivirus-företaget ESET upptäckte tidigt utnyttjandet av zero-day sårbarheten i juli 2025. Mellan 18 och 21 juli skickades målinriktade spear phishing-mejl till företag inom finans-sektor, tillverkning, försvar och logistik främst i Europa och Kanada. Rar-arkivfilerna var presenterade som jobbcv:n men innehöll dolda skadliga ADS-filer som i sin tur distribuerade DLL- och LNK-filer, samt installerade bakdörrar i samband med autostart. De skadliga komponenterna inkluderade SnipBot‑variant, RustyClaw och Mythic Agent, ofta kopplade till den rysk‑allierade hackergruppen RomCom (även kallad Storm‑0978, UNC2596 med flera). Hackergruppen anses ha stark teknisk kapacitet och ett geopolitisk driv som innefattar spioneri och cyberbrottslighet.

Utöver RomCom har även en annan aktör kallad Paper Werewolf, enligt BI.ZONE, använt samma sårbarhet mot mål inom Ryssland. Båda grupperna kan ha fått tillgång till exploiten via ett nätforum där den låg ute till salu för cirka 762000 SEK i slutet av juni:

Sårbarheten har fått hög allvarlighetsgrad, med CVSS-värde hela på 8,4. WinRAR släppte en säkerhetskorrigering i version 7.13 den 30 juli 2025 efter omedelbar kontakt från ESET, men eftersom programmet saknar automatisk uppdatering måste användare manuellt installera den nya versionen.

Kanske dags för WinRAR att börja med någon annan form av licensmodell som inkluderar automatiska uppgraderingar 😆

Här har ESET samlat ett antal IoC:er gällande RomCom:

Google hackade av ShinyHunters

Google skickade nyligen ut ett mail gällande att dom blivit hackade av gruppen ShinyHunters eller rättare skrivet UNC6240 som påstår sig vara ShinyHunters. Gruppen utnyttjar en typ av Vishing-metod för att erhålla en 8-siffrig token till Salesforce. För det var nämligen en extern instans av mjukvaran Salesforce som hackades, men som innehöll kunduppgifter från bl.a. tjänsten Google Ads. Så här ser mailet som skickades ut, till mig:

Google Salesforce hackade


Google Threat Intelligence Group (GTIG) noterar också att gruppens taktik har utvecklats löpande. De har gått från att använda Salesforce Dataloader till egna utvecklade script (typiskt i Python), vilket gör det svårare att spåra dem eftersom de använder Mullvad VPN och Tor både vid intrång och exfiltrering av kunduppgifter. Även användningen av komprometterade konton för registrering av attackerade applikationer har ökat.

Google genomförde i juni en forensisk insats mot en av sina Salesforce-instanser som påverkats. GTIG analys visade att endast begränsade, i huvudsak offentliga företagsuppgifter exfiltrerades under en kort tidsperiod innan åtkomsten stängdes av.

Som motåtgärder rekommenderar GTIG bland annat att principen om minsta privilegium tillämpas strikt, att hantering av anslutna appar (connected apps) begränsas och granskas noggrant, att åtkomst regleras via IP-policyer, samt att aktivera stöd från Salesforce Shield (transaction security, event monitoring) utnyttjas för att bevaka och blockera ovanlig aktivitet. Vidare understryks vikten av bred användning av multifaktorautentisering.

Stealth Falcon: Nya avancerade cyberattacker i Mellanöstern

CVE-2025-33053 och Stealth Falcon: Cyberangrepp med precision i Mellanöstern

Check Point Research (CPR) har avslöjat en ny sofistikerad cyberkampanj genomförd av den statsstödda hotaktören Stealth Falcon. Genom att skicka bifogade .url-filer utnyttjar angriparna en tidigare okänd sårbarhet i Windows (CVE-2025-33053) som tillåter Remote Code Execution (RCE). Exploiten gör det möjligt att exekvera kod direkt från en WebDAV-server, kontrollerad av en angripare.

Microsoft har åtgärdat sårbarheten i sina månatliga säkerhetsuppdatering som släpptes igår tisdag för juni månad.

Stealth Falcon riktar sina attacker mot högt uppsatta mål i Mellanöstern och Afrika, inklusive regerings- och försvarsorganisationer i länder som Turkiet, Qatar, Egypten och Jemen. Infektionsvektorn är oftast riktad nätfiske med bifogade länkar eller arkiv som innehåller dessa WebDAV-baserade payloads.

Angriparna använder skräddarsydda implantat baserade på det öppna C2-ramverket Mythic. Den nyupptäckta ”Horus Agent” är en vidareutveckling av deras tidigare modifierade Apollo-agent och är byggd i C++. Den inkluderar omfattande anti-analys-tekniker, kontrollflödesförvrängning, API-hashning samt C&C-kommunikation krypterad med AES och RC4.

En infektionskedja som identifierades hos ett turkiskt försvarsföretag använde en .url-fil som utnyttjade CVE-2025-33053. Genom att ändra arbetskatalogen till en WebDAV-adress kunde en legitim Windows-komponent luras att köra en skadlig fil (route.exe) från angriparens server. Detta är en ny variant av en redan känd DLL hijacking-teknik, men i detta fall med fullständiga exekverbara filer.

Horus Loader, skriven i C++, använder metoder såsom ”IPfuscation”, där payloaden är maskerad som en lista med IPv6-adresser. Den dekrypteras i minnet och injiceras i en legitim Edge browser-process. Angriparna använde även Code Virtualizer (liknande Themida protector) för att skydda koden mot reverse-engineering och analys och kunde därmed kringgå flera säkerhetsprodukter.

IPfuscation:

IPfuscation

Agenten stöder ett antal olika kommandon: systemkartläggning, konfigurationsuppdatering, filuppladdning, kodinjektion och processhantering. Målet är att identifiera värdefulla offer innan ytterligare payloads exekveras.

Vidare har Stealth Falcon utvecklat flera skräddarsydda post infection-moduler:

  • Credential dumper: extraherar filer från en virtuell disk (VHD) för att komma åt NTDS.dit, SAM och SYSTEM
  • Passiv bakdörr: en tjänst som lyssnar på nätverkstrafik och exekverar mottagen payload
  • Keylogger: loggar tangenttryckningar till en krypterad fil i Windows Temp-katalog.

Angriparna köper gamla domännamn med gott rykte via NameCheap för att undvika upptäckt. De använder även LOLBins (Living Off The Land Binaries) och WebDAV för att dölja sina spår.

Gruppen Stealth Falcon visar på hög teknisk kompetens och långsiktig strategisk planering. Genom att kombinera zerodays, avancerade payloads, välvalda mål och utstuderad infrastruktur förblir gruppen en av de mest sofistikerade APT-aktörerna med fokus på mellanöstern.

Alla organisationer, särskilt inom offentlig sektor och försvar, bör snarast implementera Microsofts säkerhetsuppdatering för CVE-2025-33053 och utvärdera sin exponering mot WebDAV och LOLBins i sin miljö.

Digital suveränitet: från buzzword till affärskritisk verklighet

Digital suveränitet

Att digital suveränitet har seglat upp som ett nyckelbegrepp är knappast förvånande. I ett geopolitiskt läge präglat av osäkerhet blir det avgörande att veta var data lagras, vem som tekniskt och juridiskt kan komma åt den och vilken lagstiftning som gäller. Vi är fortfarande beroende av hyperscalers som Microsoft Azure, Amazon Web Services och Google Cloud Platform, men vi kan inte lite på dessa leverantörer full ut.

Varför en plan B är nödvändig

  • Amerikanska FISA §702 och liknande extraterritoriella lagar ger amerikanska myndigheter möjlighet att kräva utlämning av data – även om den lagras i EU-regioner
  • Nya sanktioner eller exportkontroller kan snabbt begränsa åtkomsten till molnresurser.
  • Domstolsbeslut (t.ex. Schrems II) har redan gjort det juridiskt riskabelt att lagra personuppgifter utanför EU/EES utan tillräckliga skyddsåtgärder
  • Nationella säkerhetskrav i bl.a. Norge och Danmark uppmanar offentliga verksamheter att utreda hur de kan migrera bort från amerikanska molntjänster vid behov
  • Kostnads- och prestandaoptimering kräver förhandlingsutrymme – något man bara får om man faktiskt kan byta leverantör

Så bygger du verklig handlingsfrihet

  1. Dataklassificera – identifiera vilka informationsmängder som måste stanna inom EU/EES.
  2. Designa för portabilitet – använd container- och orkestreringslösningar som fungerar oberoende av underliggande moln.
  3. Upprätta exit-planer – kräv tydliga processer, tidsramar och kostnader för data-export i alla avtal.
  4. Implementera multi- eller hybrid-cloud – sprid risker genom redundans hos olika leverantörer eller regioner.
  5. Automatisera deployment – Infrastructure-as-Code gör det möjligt att återskapa hela miljöer hos en ny leverantör med kort varsel.
  6. Bevaka lagstiftning och standarder – följ EU-initiativ som NIS 2, CRA och utvecklingen kring FISA §702-förlängningar.
  7. Testa att återställning av backuper fungerar – Och att dessa med fördel ligger inom Sverige/EU.

Rekommenderade verktyg och ramverk

BehovRekommendation
Portabilitet i applikationTerraform, Pulumi, Crossplane
Databasflytt med minimal driftstoppLogical replication + blue/green
Oberoende övervakningPrometheus + Grafana
EU-lokal filsynkNextcloud (on-prem eller EU-cloud)
Kryptering som defaultAge, Vault eller on-prem KMS

Kolla även in följande sajt för EU-alternativ:

Nästa steg för din organisation

  1. Utför en GAP-analys av nuvarande leverantörslåsning (En gapanalys, eller GAP-analys är ett verktyg för att identifiera skillnader mellan en organisations nuvarande tillstånd och dess önskade framtida tillstånd)
  2. Prioritera åtgärder för system med hög riskprofil eller personuppgifter.
  3. Testa er beredskap – Öva och testa att flytta en av era tjänster till en alternativ plattform
  4. Förankra hos ledningen – digital suveränitet är lika mycket en affärsstrategisk som teknisk fråga. Förbered Er på att det kommer att kosta tid och resurser inom Er organisation!

Slutsats

Digital suveränitet handlar inte om att överge molnet, utan om att behålla kontrollen och förhandlingsstyrkan när omvärlden snabbt förändras. Genom att planera för data-portabilitet och ha en klar plan B minskar ni både juridisk och operativ risk den dag ni faktiskt behöver flytta.

Wiz rapport State of Code Security 2025

Wiz rapport State of Code Security 2025

Företaget Wiz senaste rapport State of Code Security 2025 ger oss en ny djupgående inblick i hur dagens utveckling hänger ihop med molnsäkerhet, men även vilka brister som är de mest kritiska just nu.

Genom att analysera hundratusentals repon och CI/CD-pipelines under 2024 visar rapporten hur vanligt det är med exponerade hemligheter, osäkra konfigurationer och svaga skydd i moderna utvecklingsflöden. Värt att notera också är att Wiz köptes upp av Google för ca två månader sedan.

En av de mest oroande insikterna i rapporten som jag läser är att 61 % av organisationerna har minst ett repository med känsliga nycklar och då ofta i form av API-token till molntjänster såsom AWS eller Databricks. Det gäller inte bara publika repon utan också privata. Det skapar en farlig illusion av säkerhet: bara för att ett repo är privat betyder det inte att det är säkert.

GitHub Actions är också ett annat område som är relativt nytt, och där säkerheten också ofta brister. De flesta organisationer som aktiverat Actions låter alla repositories köra alla typer av workflows, inklusive externa och potentiellt illvilliga. Det här ökar risken för supply chain-attacker dramatiskt. Lägg därtill att nästan 80 % av dessa workflows har både WRITE-access och möjlighet att godkänna pull requests, och du får ett scenario där ett komprometterat workflow kan skriva kod direkt till huvudgrenen utan någon mänsklig inblandning.

Self-hosted GitHub runners är ett område där säkerhetsläget är sämre än många tror. Rapporten visar att 35 % av företagen använder sådana runners, som ofta är persistenta och delas mellan olika repos. Dessa maskiner har i snitt tre gånger fler installerade teknologier än vanliga servrar och dessutom fler sårbarheter, vilket gör dem till en attraktiv ingångspunkt för attacker.

När man tittar på språkanvändning i repos är det tydligt att script- och tolkspråk dominerar. Shellscript, JavaScript och Python toppar listan, medan kompilerade språk som C och C++ knappt förekommer alls. Det här påverkar vilka säkerhetsverktyg som är mest relevanta, och pekar på behovet av att anpassa regeluppsättningar och scanningsverktyg utifrån verklig språkanvändning.

En annan intressant observation gäller GitHub Apps. Många appar har rättigheter att både läsa och skriva till repos via scopes som contents och pull_requests. Det betyder att en komprometterad app kan få omfattande kontroll över koden. Kombinationen av brett åtkomstområde och låg kontrollnivå gör dessa appar till en potentiellt farlig attackvektor.

Rapporten från Wiz bekräftar också att GitHub är både den mest använda och mest öppna plattformen för att hantera källkod. Hela 35 % av GitHub-repos är publika, vilket är tre gånger mer än hos andra version control system (VCS) plattformar. Detta gör GitHub till ett självklart mål för angripare som systematiskt letar efter exponerad kod, credentials eller svaga konfigurationer.

Sammantaget visar rapporten att sårbarheter i kod, pipelines och moln inte längre kan hanteras i separata fack. Angripare rör sig sömlöst mellan dessa domäner allt från en läckt token i ett GitHub-repo till en container i produktion.

För att möta en ny och förändrad hotbild måste vi tänka på säkerhet som en helhet, från commit till cloud. Jag gillar också begreppet ”shift left” (vänsterförflyttning) vilket betyder att vi måste tänka på säkerhet tidigare och tidigare i utvecklingsprocessen.

Kritisk sårbarhet i Cisco IOS XE Wireless Controller – godtycklig filuppladdning möjlig

Cisco publicerade igår information om en allvarlig sårbarhet med det maximala CVSS-betyget 10 av 10! Sårbarheten påverkar Cisco IOS XE Software för Wireless LAN Controllers (WLCs) och kan utnyttjas av en obehörig extern angripare för att ladda upp godtyckliga filer till systemet. En lyckad attack kan i förlängningen ge angriparen möjlighet att köra kommandon med root-behörighet.

  • CVE-ID: CVE-2025-20188
  • CVSS-poäng: 10.0 (Kritisk)
  • Cisco Bug ID: CSCwk33139
  • CWE: CWE-798 (Hard-coded credentials)

Bakgrund

Sårbarheten beror på att en hårdkodad JSON Web Token (JWT) finns installerad. En angripare kan utnyttja detta genom att skicka HTTPS-förfrågningar till det API som används för Out-of-Band Access Point (AP) Image Download och då använda denna hårdkodade JWT.

Funktionen är inte aktiverad som standard som tur är, men om den är påslagen kan en lyckad attack möjliggöra:

  • Filuppladdning
  • Path traversal
  • Godtycklig kommandoexekvering som root (RCE)

Påverkade produkter

Sårbarheten påverkar följande Cisco-produkter om de kör sårbara versioner av IOS XE och har funktionen Out-of-Band AP Image Download aktiverad:

  • Catalyst 9800-CL Wireless Controllers för molnmiljöer
  • Catalyst 9800 Embedded Wireless Controller för Catalyst 9300, 9400 och 9500
  • Catalyst 9800 Series Wireless Controllers
  • Inbyggd Wireless Controller på Catalyst Access Points

Så kontrollerar du om din enhet är sårbar

Kör följande kommando:

show running-config | include ap upgrade

Om svaret innehåller:

ap upgrade method https

…är funktionen aktiverad och enheten potentiellt sårbar.

Ej påverkade produkter

Cisco har bekräftat att följande produkter ej påverkas:

  • IOS Software
  • IOS XE på enheter som inte är WLCs
  • IOS XR
  • Meraki-produkter
  • NX-OS
  • WLC med AireOS

Åtgärdsförslag

Cisco har släppt uppdateringar som åtgärdar problemet. Det finns inga workarounds i dagsläget, men man kan tillfälligt mildra sårbarheten genom att inaktivera Out-of-Band AP Image Download-funktionen. Detta påverkar inte AP-klienternas status eftersom standardmetoden Control And Provisioning of Wireless Access Points (CAPWAP) används då.

Sårbarheten identifierades internt på Cisco Advanced Security Initiatives Group (ASIG).

Källa

Ökning av SVG-baserade cyberattacker: Vad du bör veta

Ökat antal attacker som använder SVG

Nya rapporter visar en kraftig ökning av attacker som utnyttjar SVG-filer – ett filformat som ofta förknippas med ofarliga ikoner och grafik på webben. Men under ytan kan dessa filer innehålla dold JavaScript-kod som används för bl.a. phishing.

SVG (Scalable Vector Graphics) är ett XML-baserat filformat för tvådimensionell grafik som kan skalas obegränsat utan att förlora kvalitet. Formatet används ofta för ikoner, logotyper och illustrationer på websidor.

Följande graf visar på ny statistik från cybersäkerhetsföretaget Trustwave:

Det är således bifogade filer i E-postmeddelanden där SVG först och främst används som attackvektor.

Risken ligger i att webbläsare som Chrome, Firefox, Safari och Edge kör automatiskt inbäddad JavaScript-kod utan att visa några säkerhetsvarningar. Det gör SVG-phishing särskilt effektivt, eftersom användaren inte får någon varning om potentiella risker med att öppna dessa bifogade filer.

I kontrast till detta kör skrivbordsbaserade e-postklienter som Outlook och Thunderbird vanligtvis inte skript i SVG-filer. I stället uppmanas användaren att öppna filen i en extern webbläsare. Vilket oavsiktligt ökar risken för phishing genom att flytta attackvektorn till en mindre kontrollerad och mer eventuellt en mer sårbar miljö.

Det är viktigt att poängtera att denna typ av attacker har observerats sedan 2015, men först nu har en markant ökning noterats. Även kan olika smugglings och obfuskerings-tekniker användas för att ta sig förbi Secure Email Gateways (SEGs), verktyg för detta finns också såsom AutoSmuggle.

Exempel på skadlig kod som använder SVG

Exempel på JavaScript-kod inbäddad i SVG:

Förslag på säkerhetshöjande åtgärder

  • Blockera SVG-bilagor i e-postfilter om möjligt
  • Inaktivera JavaScript-rendering av SVG i webbläsare (om möjligt)
  • Använd säkerhetslösningar som kan analysera inbäddad kod i exempelvis SVG-filer
  • Informera användare om riskerna med att öppna bilagor
  • Genomför återkommande penetrationstest och testa perimeterskyddets motståndskraft

Övrigt

Viktigt också att poängtera att det har skett en ökning gällande LNK-filer dvs shortcuts (MS-SHLLINK).

Källor: Cofence, Trustwave