CERT-SE:s veckobrev v.16

Bland veckans läsning i veckobrevet finns råd för ökad säkerhet inom OT, som Nationellt cybersäkerhetscenter (NCSC) nyligen publicerat. Utöver det hittar du information om ett antal sårbarheter och rapporter att läsa.

Trevlig helg önskar CERT-SE!

Nyheter från veckan

Tre nyligen läckta nolldagssårbarheter i Windows - UnDefend, BlueHammer och RedSun - utnyttjas i angrepp. Sistnämnda tillåter angripare att få SYSTEM-privileger för Windows 10, Windows 11, Windows Server 2019 och senare versioner. BlueHammer har tilldelats CVE-2026-33825, medan de andra två i skrivande stund inte har någon CVE.
(Bleeping Computer, 17/4)
https://www.bleepingcomputer.com/news/security/recently-leaked-windows-zero-days-now-exploited-in-attacks

En allvarlig sårbarhet i Splunk Enterprise kan utnyttjas för att fjärrexekvera skadlig kod. Sårbarheten har benämnts CVE-2026-20204 och har fått en CVSS-klassning på 7.1.
(CyberSecurityNews, 16/4)
https://cybersecuritynews.com/splunk-enterprise-and-cloud-platform-vulnerability

Hotaktören ShinyHunters har läckt personlig information om 13,5 miljoner användare genom deras konton från utbildningsföretaget McGraw Hill. Bland uppgifterna finns namn, adress, telefonnummer och mejladresser - uppgifter som kan komma att utnyttjas för nätfiske.
(Bleeping Computer, 16/4)
https://www.bleepingcomputer.com/news/security/data-breach-at-edtech-giant-mcgraw-hill-affects-135-million-accounts

Cisco har publicerat säkerhetsuppdateringar för att uppdatera fyra kritiska sårbarheter i platformen Webex Services, där en av sårbarheterna, CVE-2026-20147, möjliggör fjärrexekvering av kod.
(The Hacker News, 16/4)
https://thehackernews.com/2026/04/cisco-patches-four-critical-identity.html

Operation PowerOFF, ett internationellt samarbete mellan myndigheter i flera länder, däribland Sverige, har identifierat 75 000 enheter som används vid överbelastningsangrepp. Fyra individer har gripits och 53 domäner har stängts ned som följd av detta.
(Bleeping Computer, 16/4)
https://www.bleepingcomputer.com/news/security/operation-poweroff-identifies-75k-ddos-users-takes-down-53-domains

Under onsdagen den 15 april drabbades Coop av tekniska störningar, vilket fick konsekvenser för betalningssystemet. Störningen drabbade funktionen för att göra kortbetalning trådlöst med “blipp”.
(TV4, 14/4)
https://www.tv4.se/artikel/25voZ0yKAGk1sAlG4xQwr1/stora-betalproblem-foer-coop

Rese- och hotellbokningssajten Booking.com har utsatts för ett dataintrång. Känsliga uppgifter har läckt och riskerar att användas för nätfiskekampanjer och för att kartlägga användares resemönster. Inga uppgifter kring betalkort har läckts enligt Booking.com.
(Computer Sweden, 14/4)
https://computersweden.se/article/4158354/kunduppgifter-lackta-efter-intrang-hos-booking-com.html

I Nederländerna har flera sjukhus utsatts för störningar efter att mjukvaruleverantören ChipSoft utsatts för ett utpressningsangrepp. ChipSoft, som är en stor leverantör av patientjournalsystem, har stängt ned delar av sina digitala tjänster som används av flera sjukhus i landet.
(The Record, 10/4)
https://therecord.media/chipsoft-ransomware-attack-disrupts-dutch-hospitals

Rapporter och analyser

NCSC har publicerat rekommendationer kring skydd av OT-miljöer. Uppdateringar till denna typ av enheter är ofta eftersatt, och utgångspunkten bör därför vara att de bör betraktas som sårbara. NCSC rekommenderar bland annat att inte exponera OT mot internet och att segmentera mellan OT- och IT-nätverk.
(NCSC)
https://www.ncsc.se/sv/cybersakerhet/operativ-teknik/fordjupade-rad-och-rekommendationer/

Säkerhetsföretaget WIZ har publicerat en rapport om hot inom molnmiljö 2026. Rapporten lyfter bland annat fram hur AI har utökat ytan för molnattacker samt hur hotaktörer använder AI för att förbättra redan beprövade tekniker.
(WIZ, 2026)
https://www.wiz.io/reports/cloud-threat-retrospective-2026

En ny rapport från FOI belyser riskerna med den stora mängden tillgänglig data som, om de kombineras, kan leda till att känsliga uppgifter om säkerhetskänslig verksamhet avslöjas.
(FOI, 14/4)
https://www.foi.se/rapporter/rapportsammanfattning.html?reportNo=FOI-R--5931--SE

Övrigt

Utvecklingen av AI kan komma att innebära att mängden påträffade sårbarheter i mjukvara kraftigt kommer att öka, vilket riskerar att göra existensen av två separata databaser, NISTs NVD och ENISAS EUVD, kaotisk. FIRST:s CEO Chris Gibson menar att utvecklingen kräver ett utökat samarbete, med ett federerat globalt system.
(Infosecurity Magazine, 17/4)
https://www.infosecurity-magazine.com/interviews/first-ceo-cve-collaboration-ai/

Förundersökningen gällande grovt dataintrång och försök till grov utpressning mot Miljödata läggs ned på grund av avsaknad av bevisning, meddelar Åklagarmyndigheten. I samband med cyberangreppet läckte drygt 1,5 miljoner personers uppgifter.
(Åklagarmyndigheten, 14/4)
https://www.aklagare.se/for-media/pressmeddelanden/2026/april/forundersokning-om-grovt-dataintrang-laggs-ned/

Från CERT-SE

Flera leverantörer har släppt sina månatliga säkerhetsuppdateringar för april. I denna artikel finns en sammanfattning av de säkerhetsuppdateringar som Microsoft, Adobe, Cisco, SAP och Fortinet har publicerat inför och i samband med patchtisdagen.
(CERT-SE, 14/4)
https://www.cert.se/2026/04/patchtisdag-april-2026-samlad-information-om-manadens-sakerhetsuppdateringar.html