CERT-SE startsida
Sök inom CERT-SE
Publicerad: 2026-04-24 15:30

CERT-SE:s veckobrev v.17

Veckobrev

I veckobrevet kan du bland annat läsa om ett flertal sårbarheter samt information kring utvecklingen gällande Anthropics Claude Mythos och Project Glasswing. Du hittar även övriga nyheter, rapporter och analyser inom cybersäkerhetsområdet från veckan som har gått.

Trevlig helg önskar CERT-SE!

Nyheter från veckan

ATG ska ha utsatts för ett dataintrång där personuppgifter om över 150 000 kunder ska ha läckt, enligt Dagens Nyheter. Det ska bland annat röra sig om namn, adresser och i flera fall personnummer. ATG har inte bekräftat intrånget.
(Dagens Nyheter, 23/4)
https://www.dn.se/sverige/atgs-spelares-uppgifter-lackta-pa-darknet/
(SVT Nyheter, 23/4)
https://www.svt.se/nyheter/inrikes/150-000-atg-spelares-uppgifter-lackta-pa-darknet

Den amerikanska molnplattformen Vercel har utsatts för ett angrepp. Hotaktören ska ha tillskansat sig åtkomst till vissa av företagets interna system via ett AI-verktyg som tillhandahålls av en tredjepartsleveratör. En begränsad mängd kunder ska ha påverkats i samband med angreppet, enligt företaget.
(Vercel, 23/4)
https://vercel.com/kb/bulletin/vercel-april-2026-security-incident
(Bleeping Computer, 19/4)
https://www.bleepingcomputer.com/news/security/vercel-confirms-breach-as-hackers-claim-to-be-selling-stolen-data/

Enligt uppgifter till Bloomberg ska en obehörig grupp användare haft tillgång till Anthropics starkt begränsade modell Claude Mythos, inom Project Glasswing. Gruppen ska ha tillskansat sig åtkomst via delade konton och utnyttjande av API-nycklar. Anthropic har meddelat att företaget utreder händelsen, som skapar diskussion om fördelar och risker med AI-modellen.
(HackRead, 22/4)
https://hackread.com/discord-access-anthropic-claude-mythos-ai-breach/
(Bloomberg, 21/4)
https://www.bloomberg.com/news/articles/2026-04-21/anthropic-s-mythos-model-is-being-accessed-by-unauthorized-users

PoC (proof of concept) har publicerats för en kritisk sårbarhet i Fortinet FortiSandbox. Sårbarheten, CVE-2026-39808, möjliggör för en oautentiserad angripare att fjärrexekvera skadlig kod med högsta behörighetsnivå. Fortinet uppmanar användare att omgående uppgradera till en senare version än 4.4.8.
(CyberSecurityNews, 18/4)
https://cybersecuritynews.com/poc-exploit-fortisandbox-vulnerability/

Rapporter och analyser

CISA och NCSC-UK har publicerat en rapport om skadlig kod, kallad Firestarter, vilket är en bakdörr som riktar sig mot Cisco Firepower och Secure Firewall-enheter som kör ASA- eller FTD-mjukvara. Hotaktören utnyttjar sårbarheterna CVE-2025-20333 och CVE-2025-20362 för att få initial åtkomst. Därefter installeras Firestarter för att upprätthålla åtkomst även efter säkerhetsuppdatering. Organisationer som använder berörda produkter uppmanas att kontrollera enheter efter tecken på intrång samt att installera tillgängliga uppdateringar.
(CISA, 23/4)
https://www.cisa.gov/news-events/news/cisa-warns-firestarter-malware-targeting-cisco-asa-including-firepower-and-secure-firewall-products

CERT-EU har publicerat en artikel om hur AI påverkar sårbarhetslandskapet och lyfter fram hur sårbarheter upptäcks och utnyttjas allt snabbare. AI-drivna verktyg sänker tröskeln för avancerade angrepp, samtidigt som exploatering av exponerade system är en fortsatt vanlig initial attackvektor. CERT-EU har även sammanställt rekommendationer kring hur försvarsförmågan kan stärkas.
(CERT-EU, 21/4)
https://www.cert.europa.eu/blog/ai-vulnerability-discovery-defenders-must-adapt

Hotaktörer inom utpressningsangrepp missbrukar QEMU, ett öppet källkodsverktyg för virtualisering, för att dölja skadlig aktivitet från säkerhetssystem. Angripare utnyttjar bland annat kända sårbarheter i SolarWinds Web Help Desk samt Citrix Bleed 2 i NetScaler ADC och Gateway, för att få åtkomst till system för att sedan distribuera skadlig kod.
(Bleeping Computer, 17/4)
https://www.bleepingcomputer.com/news/security/payouts-king-ransomware-uses-qemu-vms-to-bypass-endpoint-security/

Övrigt

NCSC samverkar med AI Sweden, Arméstaben och Näringsvärnet för att öka förståelsen gällande möjliga konsekvenser av de senaste kraftfulla AI-modellerna. Under fredagen hölls ett webbinarium om Mythos Preview och Project Glasswing samt dess betydelse för Sverige. En inspelning av webbinariet kommer att publiceras på AI Swedens hemsida.
(NCSC, 24/4)
https://www.ncsc.se/sv/aktuellt/samverkan-med-ai-sweden/

NCSC har tillsammans med internationella partners publicerat nya rekommendationer för att skydda sig mot dolda nätverk av komprometterade enheter med kopplingar till Kina. Nätverken kan användas för bland annat överbelastningsangrepp. Råden betonar vikten av grundläggande säkerhetsåtgärder som säkerhetsuppdateringar, utbyte av osäkra enheter samt övervakning av nätverkstrafik.
(NCSC, 23/4)
https://www.ncsc.se/sv/aktuellt/nya-internationella-rad-for-att-forsvara-sig-mot-dolda-natverk-med-kopplingar-till-kina2/

I veckan har Sverige deltagit i Natos cyberförsvarsövning Locked Shields i Estland. Fokus för övningen har bland annat varit AI och valsäkerhet. Totalt deltog över 4 000 personer från cirka 40 länder.
(Sveriges Radio, 22/4)
https://www.sverigesradio.se/artikel/natos-storsta-cyberovning-ai-ska-skyddar-valsystem

ENISA har publicerat en uppdaterad version av sitt ramverk för bedömning av nationella cybersäkerhetsförmågor, NCAF 2.0. Ramverket är ett metodstöd riktat till beslutsfattare och myndigheter med ansvar för att utforma, implementera och utvärdera nationella cybersäkerhetsstrategier. Tillsammans med ett tillhörande onlineverktyg ger NCAF 2.0 möjlighet att identifiera styrkor, brister och prioriterade områden i det nationella cybersäkerhetsarbetet. Ramverket är anpassat till europeiska regelverk, däribland NIS2-direktivet.
(ENISA, 22/4)
https://www.enisa.europa.eu/news/assess-your-national-cybersecurity-capabilities-and-maturity-with-the-updated-enisa-framework

Från CERT-SE

Deutsche Telekom har publicerat information om en ny sårbarhet som påverkar flera brett använda Linux-distributioner. Sårbarheten CVE-2026-41651 (Pack2TheRoot), har fått en CVSSv3.1-klassning på 8.8. Ett framgångsrikt utnyttjande möjliggör för en oprivilegierad användare att installera eller ta bort systempaket utan behörighet. Sårbarheten kan även utnyttjas för att få fullständig root-åtkomst eller för att kompromettera systemet på andra sätt.
(CERT-SE, 24/4)
https://www.cert.se/2026/04/kritisk-sarbarhet-i-flertal-linux-distributioners-packagekit.html

Microsoft har publicerat information om en kritiskt sårbarhet i Microsoft AspNet Core Data Protection. Sårbarheten, CVE-2026-40372, har fått en CVSSv3.1-klassning på 9.1. Felaktig verifiering av kryptografisk signatur i ASP.NET Core möjliggör för obehörig angripare att utöka behörigheter över nätverket.
(CERT-SE, 22/4)
https://www.cert.se/2026/04/kritisk-sarbarhet-i-microsoft-aspnet-core-data-protection.html

CERT-SE har publicerat en uppdatering gällande skadliga versioner av Axios JavaScript-bibliotek. Detta med anledning av att CISA har publicerat varningsinformation samt detekteringsvägledning gällande komprometteringen i Axios-nodens pakethanterare (npm).
(CERT-SE, 21/4)
https://www.cert.se/2026/03/skadliga-versioner-av-axios-javascript-bibliotek.html