8 Lästid 
Table of Contents
Cybersäkerhet är inte längre bara ett IT-problem – det är en affärskritisk fråga som håller cheferna vakna om nätterna och det finns goda skäl till det. Hotbilden har blivit allt mer sofistikerad, med angripare som ständigt hittar nya sätt att utnyttja cybersäkerhetssårbarheter och andra svagheter i vår digitala infrastruktur.
Varje dag står organisationer inför en störtflod av hot mot cybersäkerheten, allt från ransomware-attacker som kan stänga ner hela verksamheten till dataintrång som exponerar känslig kundinformation. Kostnaden för dessa attacker fortsätter att stiga, och det genomsnittliga dataintrånget kostar nu organisationer miljontals kronor i direkta kostnader, böter och förlorade affärer.
Det som gör detta särskilt utmanande är att cyberbrottslingar inte behöver vara särskilt sofistikerade för att orsaka betydande skada. Många framgångsrika attacker utnyttjar grundläggande sårbarheter mot cybersäkerheten som organisationer har förbisett eller inte prioriterat att åtgärda. Dessa säkerhetsbrister finns ofta i de grundläggande system som företag nyttjar dagligen – just den infrastruktur som ser till att verksamheten fungerar smidigt.
Vikten av att förstå vanliga sårbarheter i cybersäkerhet
Att förstå de vanligaste IT-säkerhetshoten och sårbarheterna som penetrationstestare stöter på ger värdefull insikt i var organisationer är mest utsatta. Det här är inte teoretiska hot – de är verkliga attackvektorer som cyberbrottslingar aktivt utnyttjar varje dag. Genom att undersöka dessa mönster kan vi bättre förstå hur vi ska prioritera säkerhetsinsatser och resurser där de har störst inverkan. Denna kunskap utgör grunden för alla effektiva cybersäkerhetsstrategier och hjälper organisationer att gå från reaktiv incidenthantering till proaktivt förebyggande av hot.
Så låt oss dyka in i de 10 främsta cybersäkerhetsbristerna som penetrationstestare stötte på oftast under 2024 och 2025. Ännu viktigare, låt oss prata om vad du kan göra för att skydda din organisation från att bli nästa rubrik.
1. Multicast DNS-spoofing / mDNS-spoofing
Här är något som kanske förvånar dig: en av de vanligaste cybersäkerhetssårbarheterna har inget att göra med sofistikerad skadlig kod eller zero-day-exploits. Det handlar faktiskt om hur enheter i ditt nätverk presenterar sig för varandra.
Multicast DNS är ett system som hjälper enheter i ett lokalt nätverk (t.ex. ditt kontors Wi-Fi) att hitta och ansluta till varandra utan att behöva en central server. Tänk på det som en lokal telefonbok som enheter använder för att hitta skrivare, delade mappar eller andra nätverksresurser.
Angripare kan utge sig för att vara legitima enheter genom att svara på dessa nätverksfrågor med falsk information. Det är som att någon fångar upp en fråga om ”Var är skrivaren?” och svarar med ”Den är här borta!” när de i själva verket dirigerar dig till en skadlig enhet.
Detta kan leda till man-in-the-middle-attacker där cyberbrottslingar avlyssnar din kommunikation, stjäl data eller fångar inloggningsuppgifter utan din vetskap.
För att skydda dig själv bör du inaktivera mDNS när det inte behövs, särskilt i företagsmiljöer. IT-administratörer kan använda grupprincipinställningar på Windows-system för att stänga av ”Multicast Name Resolution” och implementera säkra DNS-protokoll som DNSSEC med korrekt autentisering.
2. Förfalskning av NetBIOS Name Service (NBNS)
NetBIOS Name Service är ett äldre protokoll som används i Windows-nätverk för att matcha domännamn i ett lokalt nätverk. Det gör det möjligt för enheter att identifiera och kommunicera med varandra med hjälp av namn istället för IP-adresser. NetBIOS fungerar när andra namnmatchningsmetoder som DNS inte är tillgängliga, inte svarar eller inte är konfigurerade.
Systemet söker först efter DNS-mappningar mellan namn och IP i den lokala värdfilen. Om ingen hittas frågar den de konfigurerade DNS-servrarna. Om de också misslyckas med att matcha namnet, sänder den en NBNS-fråga till det lokala nätverket och begär ett svar från andra enheter.
Detta äldre system har inga inbyggda säkerhetskontroller, vilket gör det enkelt för angripare att omdirigera din nätverkstrafik till skadliga enheter, vilket potentiellt kan stjäla känslig information eller inloggningsuppgifter.
Om du vill minimera förfalskning av NetBIOS-namntjänsten inaktiverar du NetBIOS om det inte krävs. Detta kan göras via DHCP-inställningar, konfiguration av nätverkskort eller ändringar i systemregistret. Övervaka dessutom nätverkstrafiken för misstänkt NBNS-aktivitet för att upptäcka potentiella förfalskningsförsök. Moderna nätverk kräver vanligtvis inte det här äldre protokollet.
3. Länka lokal multicast-namnmatchning (LLMNR) förfalskning
LLMNR (Link-Local Multicast Name Resolution) är ett protokoll som gör det möjligt för enheter i samma lokala nätverk att matcha värdnamn utan en DNS-server. Den använder multicast-meddelanden för att fråga och svara på begäranden om namnmatchning. LLMNR används främst i små eller ad-hoc-nätverk för enkel enhetsupptäckt.
Systemet kontrollerar först sin lokala värdfil efter ett matchande DNS-namn och IP-adress. Om den inte hittas frågar den de konfigurerade DNS-servrarna efter adressen. Om DNS-servrarna inte kan lösa det skickar systemet en LLMNR-begäran på det lokala nätverket för att få hjälp från andra enheter.
I likhet med de tidigare cybersäkerhetssårbarheterna kan angripare svara på dessa nätverksfrågor med falsk information, vilket lurar enheter att ansluta till skadliga system i stället för legitima system. Cyberbrottslingar kan fånga autentiseringsförsök och potentiellt knäcka lösenord eller få obehörig åtkomst till nätverksresurser.
För att minimera LLMNR-förfalskning inaktiverar du LLMNR via grupprincipinställningar eller registerändringar. IT-administratörer bör aktivera inställningen ”Stäng av multicast-namnmatchning” för att förhindra dessa falska svar. Dessa ändringar hjälper till att förhindra falska namnmatchningssvar i det lokala nätverket.
4. IPV6 DNS-förfalskning
IPv6 var tänkt att lösa många av Internets problem, och på många sätt har det gjort det. Men det introducerade också nya attackvektorer, särskilt kring DNS-spoofing.
IPv6 DNS-spoofing är en attack där en illvillig aktör fångar upp eller förfalskar DNS-svar över ett IPv6-nätverk och manipulerar en enhet för att lösa ett domännamn till en falsk eller skadlig IP-adress. Det som gör detta särskilt farligt är att IPv6 ofta är aktiverat som standard på moderna system, men många organisationer har inte konfigurerat sina IPv6-säkerhetsinställningar korrekt. Detta kan leda till omdirigering till nätfiskewebbplatser, man-in-the-middle-attacker eller obehörig åtkomst. Attacken utnyttjar ofta sårbarheter i cybersäkerheten i DNS-konfigurationen.
För att skydda mot IPv6 DNS-spoofing använder du säkra DNS-protokoll som DNSSEC för att validera DNS-svar. Konfigurera IPv6-inställningarna korrekt och inaktivera oanvända funktioner, till exempel falska routerannonser. Använd grupprincip för att begränsa DNS-serverinställningarna till betrodda källor. Implementera brandväggsregler för att blockera obehörig DNS-trafik över IPv6. Regelbunden övervakning av DNS-trafik hjälper också till att upptäcka och reagera på misstänkt aktivitet.
5. Föråldrade Microsoft Windows-system
Föråldrade Windows-system är mycket sårbara för cyberattacker eftersom de saknar säkerhetskorrigeringar för kända cybersäkerhetssårbarheter. Dessa säkerhetsbrister kan utnyttjas av angripare för att få obehörig åtkomst, köra skadlig kod eller sprida skadlig kod. Dessa system saknar ofta det senaste skyddet mot utpressningstrojaner, zero-day-exploits och nätverksbaserade attacker. Utan regelbundna uppdateringar är de inkompatibla med nyare säkerhetsstandarder och protokoll. Dessutom får system som inte stöds inte längre säkerhetsuppdateringar från Microsoft, vilket ökar den långsiktiga risken.
För att minska sårbarheter i cybersäkerheten i föråldrade Microsoft Windows-system rekommenderar vi att du antingen uppgraderar till en version av Windows som stöds eller konsekvent implementerar säkerhetsuppdateringar och korrigeringar. Implementera nätverkssegmentering och begränsa åtkomsten till kritiska system. Använd slutpunktsskydd och övervaka ovanlig aktivitet för att minska exponeringen för hot.
6. Kringgå IPMI-autentisering
IPMI (Intelligent Platform Management Interface) är ett system som gör det möjligt för IT-administratörer att fjärrstyra och övervaka servrar, även när de är avstängda. IPMI Authentication Bypass är en sårbarhet i IPMI (Intelligent Platform Management Interface) som gör det möjligt för angripare att få obehörig åtkomst till en servers hanteringsgränssnitt utan giltiga autentiseringsuppgifter på distans. Det utnyttjar vanligtvis brister i hur IPMI hanterar autentisering eller sessionshantering. När detta kringgås kan det leda till att lösenordshashvärden hämtas, och om svaga hash-algoritmer eller standardhashalgoritmer används kan angripare kanske knäcka dem och få tag på lösenord i klartext.
För att minimera förbikoppling av IPMI-autentisering inaktiverar du IPMI om det inte behövs eller begränsar dess åtkomst till endast betrodda hanteringsnätverk. Ändra alltid standardautentiseringsuppgifter och använd starka, komplexa lösenord. Uppdatera firmware regelbundet för att korrigera kända cybersäkerhetssårbarheter. Övervaka och logga dessutom IPMI-åtkomst för att upptäcka obehörig aktivitet.
7. Windows RCE (EternalBlue)
EternalBlue, en sårbarhet i Windows RCE (Remote Code Execution), utnyttjar en brist i fildelningsprotokollet SMBv1 , vilket gör det möjligt för angripare att exekvera godtycklig kod på distans. Denna sårbarhet användes som bekant i stora cyberattacker som WannaCry och NotPetya, som spred sig snabbt över nätverk över hela världen och orsakade miljarder i skador. Sårbarheten (CVE-2017-0144) påverkar opatchade Windows-system och gör det möjligt att kompromettera hela systemet utan användarinteraktion.
För att mildra EternalBlue-sårbarheten (Windows RCE) använder du Microsofts säkerhetskorrigeringar på alla berörda system. Inaktivera SMBv1-protokollet om det inte krävs i din miljö. Använd dessutom nätverksbrandväggar och segmenteringar för att blockera SMB-trafik från ej betrodda källor.
8. Windows RCE (Bluekeep)
Windows RCE-sårbarheten känd som BlueKeep (CVE-2019-0708) påverkar Remote Desktop Services på äldre Windows-versioner, vilket gör det möjligt för angripare att köra kod på distans utan autentisering. Denna sårbarhet kan utnyttjas för att skapa maskbara attacker som automatiskt sprider skadlig kod över nätverk av sårbara system. Angripare kan få fullständig kontroll över system med exponerade fjärrskrivbordstjänster, vilket kan påverka flera datorer i ett nätverk utan användarinteraktion.
För att mildra BlueKeep-sårbarheten (Windows RCE) bör du tillämpa officiella Microsoft-säkerhetskorrigeringar, inaktivera Fjärrskrivbordstjänster om det inte behövs, se till att systemet uppdateras regelbundet och undvika att exponera Fjärrskrivbord för Internet.
9. Firebird-servrar accepterar standardautentiseringsuppgifter
Firebird är en databasserver som, liksom många system, levereras med standardanvändarnamn och lösenord (vanligtvis SYSDBA/masterkey) som administratörer bör ändra under installationen.
Sårbarheten Firebird-servrarna accepterar standardautentiseringsuppgifter uppstår när databasservern lämnas med sitt standardanvändarnamn och lösenord, vilket tillåter obehörig åtkomst. Angripare kan utnyttja detta för att få fullständig kontroll över databasen. Detta utgör en allvarlig risk, särskilt om servern är exponerad för internet eller opålitliga nätverk. Angripare kan få fullständig kontroll över databaser som innehåller känslig information, vilket kan komma åt, ändra eller stjäla kritiska affärsdata.
För att skydda dig själv, ändra omedelbart standarduppgifterna till ett starkt, unikt lösenord, begränsa åtkomsten till Firebird-servern genom att begränsa den till betrodda nätverk och användare, granska regelbundet konfigurationer och tillämpa säkerhetskorrigeringar för att minska exponeringen för obehörig åtkomst.
10. Säkerhetsproblem med utökning av privilegier i Active Directory Certificate Services
Active Directory Certificate Services (AD CS) hanterar digitala certifikat i Windows-miljöer. Dessa certifikat används för att verifiera identiteter och skydda kommunikation. Sårbarheter i behörighetseskalering i Active Directory Certificate Services (AD CS) gör det möjligt för angripare att utnyttja felkonfigurerade certifikatmallar eller behörigheter för att eskalera privilegier inom en domän. Dessa brister kan göra det möjligt för lågprivilegierade användare att utge sig för att vara konton med högre privilegier, inklusive domänadministratörer.
Den här sårbarheten kan göra det möjligt för användare på låg nivå att få fullständig kontroll över en organisations Windows-domän och få åtkomst till alla system och känslig information.
För att åtgärda AD CS ESC-sårbarheter bör organisationer tillämpa alla relevanta Microsoft-säkerhetskorrigeringar utan dröjsmål och regelbundet granska och korrigera behörigheter för AD CS-registernycklar. Att stärka försvaret innebär också att framtvinga åtkomst med lägsta behörighet, begränsa åtkomst till känsliga resurser och implementera stark övervakning för ovanliga aktiviteter.
Slutsats
Dessa topp 10 sårbarheter representerar de vanligaste säkerhetsbristerna som hittats i verkliga penetrationstester under 2024. Även om de tekniska detaljerna kan verka komplexa, involverar lösningarna ofta grundläggande säkerhetsrutiner: att hålla system uppdaterade, ändra standardlösenord, inaktivera onödiga tjänster och implementera korrekt övervakning.
Det viktigaste för organisationer är att många av dessa sårbarheter kan förebyggas genom god säkerhetshygien och regelbundet underhåll. Genom att förstå dessa vanliga hot och implementera de rekommenderade skydden kan företag avsevärt minska risken för att falla offer för cyberattacker.
Kom ihåg att cybersäkerhet är en pågående process, inte en engångslösning. Regelbundna säkerhetsbedömningar, utbildning av anställda och att hålla sig informerad om nya hot är viktiga komponenter i en omfattande säkerhetsstrategi.
This post is also available in:
English