Sårbarhet i ArcServe UDP

En sårbarhet har upptäckts i mjukvaran ArcServe UDP. 

Sårbarheten (CVE-2023-26258), som i skrivande stund inte fått någon CVSS-klassning, möjliggör en oautentiserad användare att få åtkomst inloggningsuppgifter till administratörskonton i hanteringsgränssnittet. [1]

En uppdatering finns tillgänglig. 

Påverkade produkter

Sårbarheterna påverkar följande produkter: 

ArcServe UDP (versionerna 7.0-9.0)

Rekommendationer

CERT-SE rekommenderar användare att uppdatera sina system så snart som möjligt. 

Källor

[1] https://support.arcserve.com/s/article/KB000015720?language=en_US

Råd gällande förebyggande och hantering av överbelastningsangrepp (uppdaterad 2023-06-29)

CERT-SE har sammanställt råd gällande hur man stärker skyddet mot överbelastningsangrepp samt vad man kan göra under ett pågående angrepp.

Behöver du råd och stöd i att hantera ett pågående överbelastningsangrepp?
Kontaka CERT-SE på cert@cert.se eller 010-240 40 40

Överbelastningsangrepp, eller DDoS-angrepp (Distributed Denial of Service), kan orsaka betydande störningar på en webbplats eller onlinetjänst genom att den utsätts för en överdriven mängd trafik. Olika typer av DDoS-angrepp slår mot olika nivåer i den drabbade verksamhetens nätverk. Det finns inte någon enskild lösning som kan skydda mot alla typer av överbelastningsangrepp. En kombination av flera tillvägagångssätt behöver implementeras, samtidigt som det är viktigt att regelbundet granska och uppdatera dessa åtgärder för att följa angreppsmetodernas utveckling. Se över konfigurationer av verksamhetens it-system som är kopplade mot internet.

Säkerställ att verksamheten har rutiner för hur ni ska agera om ni drabbas av överbelastningsangrepp och genomför övningar. Identifiera vilka system och tjänster som är mest kritiska för att underlätta prioritering under pågående angrepp. 

En god dialog med verksamhetens internetleverantör (ISP) är viktig, både i det förebyggande arbetet och vid hantering av ett pågående angrepp.

Det finns flera tillvägagångssätt som kan användas för att mildra effekterna av ett överbelastningsangrepp:

  1. Använd skyddstjänster mot överbelastningsangrepp: Många ISP:er erbjuder skyddstjänster som kan absorbera och filtrera den inkommande trafiken och endast dirigera legitim trafik till din server. Alternativt kan ett Content Delivery Network (CDN) användas för att skydda sin webbserver. 
  2. Aktivera hastighetsbegränsning: Detta innebär att sätta en gräns för antalet förfrågningar som en användare kan göra till din webbplats inom en given tidsperiod. Detta kan hjälpa till att förhindra att din server överväldigas av överdriven trafik.
  3. Använd trafikfiltrering: Implementera filter för att blockera trafik från kända skadliga ip-adresser eller trafik som inte uppfyller vissa kriterier (bedöm om exempelvis blockering av trafik från utlandet kan vara ett alternativ). En web application firewall (WAF) kan nyttjas för att hantera överbelastningsangrepp som riktar in sig på applikationslagret. Tillgången till loggar är viktigt för att kunna avgöra vilken typ av angrepp eller vilka system som drabbats.
  4. Ha koll på helheten: Ett överbelastningsangrepp kan ibland vara ett sätt att styra verksamhetens uppmärksamhet och resurser bort från andra typer av angrepp. Det är därför viktigt att säkerställa övervakning av händelser i hela nätverksmiljön för att upptäcka och hantera sådana försök.
  5. Uppdatera regelbundet: Håll all programvara och säkerhetsåtgärder uppdaterade för att säkerställa att de kan försvara sig mot de senaste metoderna för överbelastningsangrepp.
  6. Upprätta polisanmälan: Glöm inte att upprätta en polisanmälan om ni drabbats av överbelastningsangrepp (se länk nederst på sidan).

Dela loggfiler med CERT-SE

CERT-SE tar gärna emot loggar från verksamheter som drabbats av överbelastningsangrepp eller observerat avvikelser i sin it-miljö kopplat till sådana. Informationen ökar våra möjligheter att följa händelseutvecklingen i samhället och agera proaktivt för att varna andra verksamheter som riskerar att drabbas. Vi kan ta emot råa loggfiler eller sammanställningar. Kontakta oss på cert@cert.se för fortsatt dialog om hur du kan dela loggar med oss.

Mer information och rekommendationer för systematiskt informationssäkerhetsarbete

Uppdatera sårbara system: 
https://cert.se/nyckelord/Sarbarhet/

Se över cyberhygienen: 
https://www.cert.se/2022/02/cert-se-uppmanar-organisationer-att-skarpa-uppmarksamheten

Systematiskt informationssäkerhetsarbete:
https://www.msb.se/sv/amnesomraden/informationssakerhet-cybersakerhet-och-sakra-kommunikationer/systematiskt-informationssakerhetsarbete/

Stöd för uppföljning och förbättring av informationssäkerhetsarbetet:
https://www.msb.se/infosakkollen

Information om polisanmälan hos Polismyndigheten:
https://polisen.se

Källa: CERT.se

Allvarliga sårbarheter i VMware vCenter server och VMware Cloud Foundation

VMware informerar om allvarliga sårbarheter i flera versioner av VMware vCenter server och VMware Cloud Foundation. Genom att utnyttja sårbarheten kan en angripare köra skadlig kod. [1]

Det rör sig om totalt fem sårbarheter. Fyra av dem har en CVSSv3-gradering 8.1. Det rör sig om CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895, där de två förstnämnda kan utnyttjas för att köra skadlig kod. Den femte har CVSSv3-gradering 5.9 (CVE-2023-20896). [1]

Påverkade produkter

VMware vCenter server 7.0 till 8.0 
VMware Cloud Foundation 4.x till 5.x

Rekommendationer

CERT-SE rekommenderar att uppdatera sårbara produkter så snart det är möjligt. 

Källor

[1] https://www.vmware.com/security/advisories/VMSA-2023-0014.html

Kritisk sårbarhet i FortiNAC

Fortinet har publicerat en uppdatering till en sårbarhet som möjliggör att fjärrköra skadlig kod (RCE, Remote Code Execution) i FortiNAC. [1]

Sårbarheten kan utnyttjas genom att skicka ett speciellt utformat paket till TCP-port 1050. En angripare kan sedan fjärrköra skadlig kod på systemet. NIST har gett sårbarheten beteckning CVE-2023-33299, och anger nivån till 9.6 på CVSSv3-skalan. [2]

Påverkade produkter

FortiNAC version 9.4.0 till 9.4.2
FortiNAC version 9.2.0 till 9.2.7
FortiNAC version 9.1.0 till 9.1.9
FortiNAC version 7.2.0 till 7.2.1
FortiNAC 8.8 alla versioner
FortiNAC 8.7 alla versioner
FortiNAC 8.6 alla versioner
FortiNAC 8.5 alla versioner
FortiNAC 8.3 alla versioner

Rekommendationer

CERT-SE rekommenderar att uppdatera sårbara produkter så snart det är möjligt. 

Källor

[1] https://www.fortiguard.com/psirt/FG-IR-23-074
[2] https://nvd.nist.gov/vuln/detail/CVE-2023-33299

Allvarlig olycka på Gröna Lund – attraktion har havererat

För en stund sedan inträffade ett allvarligt haveri med en åkattraktion på Gröna Lund i centrala Stockholm. Polisen utrymmer just nu nöjesparken och delar av Djurgården för att bereda plats åt räddningsfordonen. Det är en omfattande räddningstjänstinsats och ytterligare resurser är på väg från olika delar av Stockholmsregionen.

Enligt polisens hemsida inträffade olyckan klockan 11.40. Man bekräftar också att det finns skadade personer.

Räddningsinsats vid Gröna Lund

Apple rättar tre nolldagssårbarheter

Apple har släppt säkerhetsuppdateringar som rättar sårbarheter i flera versioner av företagets operativsystem samt i webbläsaren Safari. Bland dessa finns tre sårbarheter som enligt Apple kan ha utnyttjats som nolldagssårbarheter. [1]

Den ena (CVE-2023-32434) gör det möjligt för en angripare att köra godtycklig kod på kernelnivå. Den andra (CVE-2023-32435) kan uttnyttjas för att att med hjälp av specialutformat webbinnehåll fjärrköra godtycklig kod i webbkomponenten WebKit. Den sista är en sårbarhet i webbläsaen Safari som även den gör det möjligt att fjärrköra godtycklig kod med hjälp av specialformat webbinnehåll. Ingen av sårbarheterna har fått en CVSS-klassning ännu.

Påverkade produkter

iOS 16 före 16.5.1
iOS 15 före 15.7.7
iPadOS 16 före 16.5.1
iPadOS 15 före 15.7.7
macOS Ventura före 13.4.1
macOS Monterey före 12.6.7
macOS Bug Sur före 11.7.8
watchOS 9 före 9.5.2
watchOS 8 före 8.8.1
Safari före 16.5.1

Rekommendationer

CERT-SE rekommenderar att installera säkerhetsuppdateringarna så snart som möjligt.

Källor

[1] https://support.apple.com/en-us/HT201222

Källa: CERT.se

CERT-SE:s veckobrev v.25

Lite kortare veckobrev denna kortvecka. Glad midsommar önskar CERT-SE!

Nyheter i veckan

CISA Order Highlights Persistent Risk at Network Edge (15 jun)
https://krebsonsecurity.com/2023/06/cisa-order-highlights-persistent-risk-at-network-edge/

Microsoft Response to Layer 7 Distributed Denial of Service (DDoS) Attacks (16 jun)
https://msrc.microsoft.com/blog/2023/06/microsoft-response-to-layer-7-distributed-denial-of-service-ddos-attacks/
..
Microsoft bekräftar: ddos-attacker bakom störningar för Azure och Outlook (19 jun)
https://computersweden.idg.se/2.2683/1.779468/microsoft-bekraftar-ddos-attacker-bakom-storningar-for-azure-och-outlook

This new malware is proving quite popular… and dangerous (19 jun)
https://www.techradar.com/news/this-new-malware-is-proving-quite-popular-and-dangerous

Researchers Discover New Sophisticated Toolkit Targeting Apple macOS Systems (19 jun)
https://thehackernews.com/2023/06/researchers-discover-new-sophisticated.html

Moveit hack: attack on BBC and BA offers glimpse into the future of cybercrime (19 jun)
https://theconversation.com/moveit-hack-attack-on-bbc-and-ba-offers-glimpse-into-the-future-of-cybercrime-207670

European Investment Bank hit by cyber attack after Russian hackers vow to bring down financial system (19 jun)
https://www.telegraph.co.uk/business/2023/06/19/european-investment-bank-cyber-attack-russian-hackers/

Ransomware gang preys on cancer centers, triggers alert (20 jun)
https://www.scmagazine.com/news/ransomware/ransomware-cancer-center-alert

Rorschach Ransomware: What You Need to Know (20 jun)
https://www.darkreading.com/attacks-breaches/rorschach-ransomware-what-you-need-to-know

Massive Leak Of ChatGPT Credentials: Over 100,000 Accounts Affected (20 jun)
https://www.searchenginejournal.com/massive-leak-of-chatgpt-credentials-over-100000-accounts-affected/489801/
..
100K+ Infected Devices Leak ChatGPT Accounts to the Dark Web (20 jun)
https://www.darkreading.com/application-security/100k-infected-devices-leak-chatgpt-accounts-dark-web

Informationssäkerhet och blandat

JPL Creates World’s Largest PDF Archive to Aid Malware Research (14 jun)
https://www.jpl.nasa.gov/news/jpl-creates-worlds-largest-pdf-archive-to-aid-malware-research

Food Producers Band Together in Face of Cyber Threats (15 jun)
https://www.wsj.com/articles/food-producers-band-together-in-face-of-cyber-threats-8aa2e3ca

Unpacking RDStealer: An Exfiltration Malware Targeting RDP Workloads (20 jun)
https://www.bitdefender.com/blog/businessinsights/unpacking-rdstealer-an-exfiltration-malware-targeting-rdp-workloads/

Improve Your Security Posture With MANRS (20 jun)
https://www.manrs.org/2023/06/improve-your-security-posture-with-manrs/

CERT-SE i veckan

Apple rättar tre nolldagarssårbarheter

Sårbarhet i VMware Aria Operations Networks exploateras aktivt

Kritisk sårbarhet i Zyxel NAS

Kritisk sårbarhet i MOVEit Transfer (uppdaterad 2023-06-16)

Ett flertal rapporter varnar för en kritisk sårbarhet i MOVEit Transfer. [1,2,3]

Sårbarheten (CVE-2023-34362) innebär att en oautentiserad angripare kan utföra en SQL-injektion och få förhöjda rättigheter för att sedan kunna köra skadlig kod på systemet (RCE). När detta är gjort är det möjligt för angriparen att plantera en bakdörr på det drabbade systemet, ett s.k. webshell. På så sätt kan en angripare mer eller mindre ta kontroll över den drabbade maskinen (och potentiellt sett även andra maskiner på samma nätsegment).

Indikationer finns redan att denna sårbarhet utnyttjas aktivt mot organisationer i Sverige. 

Rekommenderade åtgärder och säkerhetspatchar finns publicerade. [2]

Uppdatering 2023-06-08

CISA har publicerat en sammanställning med ytterligare tekniska detaljer, IOC:er och skyddsåtgärder. [4]

Uppdatering 2023-06-12

Progress rapporterar den 9 juni om ytterligare en sårbarhet i MOVEit Transfer (CVE-2023-35036). Patchen för CVE-2023-34362 har uppdaterats och inbegriper nu även fix för sårbarheten rapporterad den 9 juni. Verksamheter som tidigare, innan patchen uppdaterades, installerat patch för CVE-2023-34362 rekommenderas att snarast möjligt installera också patch för den senaste sårbarheten. [5]

Uppdatering 2023-06-13

Ett proof of concept för att utnyttja sårbarheten CVE-2023-34362 har nu tillgängliggjorts offentligt. [6]

Uppdatering 2023-06-16

Säkerhetsuppdateringar för en ny kritisk sårbarhet i MOVEit har publicerats den 15 juni. Den nya sårbarheten har inte tilldelats ett CVE-nummer ännu, men det rör sig om en sk. privilege escalation-sårbarhet vilket innebär att en angripare kan öka sina rättigheter och potentiell tillskansa sig obehörig åtkomst till it-miljön [7].

Progress har publicerat olika råd beroende på om man har säkerhetsuppdaterat de tidigare sårbarheterna eller inte [7]. 

Påverkade produkter

Sårbarheten påverkar följande produkter: [2]

MOVEit Transfer 2023.0.0
MOVEit Transfer 2022.1.x    
MOVEit Transfer 2022.0.x    
MOVEit Transfer 2021.1.x    
MOVEit Transfer 2021.0.x

Rekommendationer

CERT-SE rekommenderar att uppdatera sårbara produkter där uppdatering finns tillgänglig. Där uppdatering inte finns tillgänglig ska systemet skiljas från internet för att förhindra otillbörlig åtkomst

Källor

[1] https://www.rapid7.com/blog/post/2023/06/01/rapid7-observed-exploitation-of-critical-moveit-transfer-vulnerability/
[2] https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023
[3] https://www.bleepingcomputer.com/news/security/new-moveit-transfer-zero-day-mass-exploited-in-data-theft-attacks/
[4] https://www.cisa.gov/sites/default/files/2023-06/aa23-158a-stopransomware-cl0p-ransomware-gang-exploits-moveit-vulnerability_5.pdf
[5] https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-CVE-Pending-Reserve-Status-June-9-2023
[6] https://www.bleepingcomputer.com/news/security/exploit-released-for-moveit-rce-bug-used-in-data-theft-attacks/
[7] https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-15June2023

Källa: CERT.se

Nätfiske med falska avsändare och PDF-bilagor 

CERT-SE har observerat flera fall av nätfiske med gemensamt modus av spoofade avsändarnamn och PDF:er. 

I denna nätfiskekampanj ser e-postmeddelandena ut att komma från den egna organisationen, sk. e-post spoofing. E-postmeddelandet har en bifogad skadlig PDF som mottagaren uppmanas klicka på. 

E-post spoofing innebär att en angripare ändrar sitt namn i e-postmeddelandets avsändarnamn till exempelvis en organisations eller individs namn i syfte att utge sig från att vara någon annan. Detta görs genom att ändra i e-postmeddelandets header. Det kan vara svårt för en mottagare att upptäcka detta eftersom i vissa e-postprogram är det endast detta namn som visas och inte avsändaradressen.

CERT-SE har analyserat ett antal fall där PDF:er har som används i bilaga i e-postmeddelandet och efterföljande modus. PDF:en har ett namn med endast en eller två tecken och med innehåll av en sida till en känd organisation. Eftersom det står att den skickade PDFen är skyddad, uppmanas mottagaren att klicka på ”OPEN” för att kunna se dokumentet. OPEN-knappen är en länk till en webbplats (olika domäner har observerats).

PDF är ett vanligt använt filformat som har stöd för många funktioner. Bland annat kan PDF användas för att exekvera javascript-kod. PDF:er kan också innehålla missledande information med syftet att få användaren att klicka på en länk och där ladda ner kod eller skriva in sina inloggningsuppgifter till diverse tjänster. Det finns olika sätt att göra PDF-hantering säkrare, men dessa metoder minskar ofta funktionaliteten hos filtypen vilket är en avvägning som måste tas före föreslagna åtgärder implementeras. Olika PDF läsare har olika mycket stöd och säkerhet, exempelvis stöd för ”säkert läge”, som stänga av javascript och hyperlänkar i PDF:er. 

Rekommendationer

  • CERT-SE uppmanar till vaksamhet på nätfiske i allmänhet och den ovan beskrivna typen i synnerhet. Kontakta gärna CERT-SE med observationer och/eller exempel på mottagna e-postmeddelanden.
  • Utbilda er organisations användare på att bli bättre på att identifiera denna typ av nätfiske, att de ska undersöka avsändaradress och inte enbart namnet i misstänkta e-post.
  • Underlätta för era användare genom att markera e-post som kommer från externa avsändare. Då blir det tydligt om ett interna mejlkonto spoofas. 
  • CERT-SE rekommenderar användning av multifaktorautentisering. Inför effektiv lösenordspolicy.
  • Se över eventuella påverkade användarkonton och vidta nödvändiga åtgärder. Har någon inom er organisation drabbats rekommenderar CERT-SE att gå igenom konfigurationen av kontot.
  • Utöver det bör alla medarbetare informeras om att de ska vara extra vaksamma och upplys om vilken metodik som används vid nätfiske. Uppmana användare som vet att de klickat på en länk och angett sina inloggningsuppgifter att meddela it-ansvarig så snart som möjligt.
  • Se över lämpliga alternativ för att göra PDF-hantering säkrare, tex. sätta standard för vilken programvara som ska öppna PDF:er i er miljö. Vissa PDF-läsare har stöd för ”säkert läge” som stänger av javascript och hyperlänkar. 

Nätfiske är vanligt förekommande och går ut på att lura till sig känslig information som användaruppgifter, lösenord, kontouppgifter, kreditkortsinformation med mera. Dessa attacker riktas ofta mot organisationer som hanterar olika typer av personuppgifter, finansiella transaktioner av olika slag och/eller annan känslig information.

CERT-SE har tidigare publicerat information om att förebygga och identifiera nätfiske. Se även artiklarna Flera fall av likartat nätfiske mot svenska verksamheter och CERT-SE uppmanar alla organisationer att skärpa uppmärksamheten kring nätfiske och DDoS.

Källa: CERT.se

Mobiltelefoner för 6 miljoner stulna i förråd i Lunds kommun

1.400 mobiltelefoner till ett uppskattat värde av 6 miljoner kronor har stulits från ett förråd vid Gastelyckan i Lunds kommun, det uppger Sydsvenskan som var först med att berätta om händelsen. Det motsvarar ungefär 6.300 kronor per enhet. Polisen ber nu allmänheten om hjälp att lösa stölden som rubriceras som grov stöld. Det är så pass många enheter att man åtminstone behövt en mindre lastbil för att transportera stöldgodset.

Enligt Lunds kommuns t f säkerhetschef, Anna Sjöstrand, rör det sig om mobiltelefoner av märket iPhone SE. Stölden skedde från en lokal som inte ägs av Lunds kommun natten mellan torsdag och fredag. Polisanmälan gjordes på fredagens eftermiddag. Ingen kan i nuläget svara på varför 1.400 av kommunens mobiltelefoner befann sig i ett förråd i ett nattid öde industriområde.