OpenSSH har åtgärdat sårbarheten CVE-2023-38408 som tillåter fjärrkörning av kod (RCE) via vidarebefordrad SSH-agent. 

Under vissa förutsättningar kan en angripare tillåtas köra kod via en vidarebefordrad SSH-agent med hjälp av funktionaliteten för PKCS#11. Problemet upptäcktes av Qualys Security Advisory team[1].

Att kunna lagra nycklar i SSH-agenten gör att användaren slipper upprepa sin lösenfras för varje server hen loggar in i. Samma sak gäller naturligtvis för skriptkörning. Sårbarheten ligger i att en angripare med tillgång till den server som användaren loggar in i, med hjälp av en vidarebefordran av SSH-agenten, kan ladda i och ur programbibliotek från /usr/lib* på användarens dator. För lyckat utnyttjande måste specifika programbibliotek finnas på nämnda kataloger. Dessutom måste SSH-agenten vara kompilerad med ENABLE_PKCS11, vilket också är det vanligaste. 

En teknisk beskrivning av problemet ges av Qualsys[2].

Koncepttest (PoC) för utnyttjande av sårbarheten till fjärrkörning av kod finns tillgängligt. Vid tiden för publicering känner vi inte till att sårbarheten utnyttjas aktivt men utesluter inte att så kommer ske. 

Påverkade produkter

OpenSSH tidigare än 9.3p2
Sårbarheten påverkar system där SSH-agenten används med vidarebefordran aktiverad (option -A)[3].

Rekommendationer

Det innebär alltid en risk att använda SSH-agenter konfigurerade för vidarebefordran varför sådan användning avråds. 
Systemadministratörer bör snarast se över sina OpenSSH-konfigurationer och vid behov åtgärda dessa. System som misstänks ha varit exponerade före åtgärdandet bör undersökas efter spår på utnyttjande. Skulle sådana spår av utnyttjande upptäckas måste källan där angriparen redan har fotfäste efterforskas. 

Försäkra er om att ni använder OpenSSH 9.3p2 eller senare version, i annat fall uppgradera snarast. 

Källor

[1] https://vulcan.io/blog/how-to-fix-cve-2023-38408-in-openssh/
[2] https://www.qualys.com/2023/07/19/cve-2023-38408/rce-openssh-forwarded-ssh-agent.txt
[3] https://man.openbsd.org/ssh.1

Oracle har publicerat en av sina återkommande uppdateringar gällande flera av sina produkter. Totalt hanterar säkerhetsuppdateringen 508 sårbarheter varav många är kritiska. [1]

40 av sårbarheterna som hanteras i säkerhetsuppdateringen har en CVSS-klassning på 9,8. Ett stort antal av dem gör det möjligt för en angripare att utan autentisering skaffa sig fjärrtillgång till sårbara system.

Påverkade produkter

Se Oracles webbplats för att en komplett lista över vilka produkter som är sårbara. [1]

Rekommendationer

CERT-SE rekommenderar att installera säkerhetsuppdateringarna så snart som möjligt.

Källor

[1] https://www.oracle.com/security-alerts/cpujul2023.html

I juni stals nyckeln till Azure:s AD men Microsoft uppger att man ännu inte vet hur stölden gick till, enligt Bleeping Computer. Det är klarlagt att det är kinesiska hackare som stulit signeringsnyckel till Azure:s AD. Händelsen betraktas som mycket allvarlig då Azure utgör en viktig del av säkerhetsinfrastrukturen för t ex Office 365.

Det var onormala beteenden i Office 365 som avslöjade stölden. Sedan dess har ett 25-tal amerikanska myndigheter rapporterat om att man angripits av hackare. Det är oklart omstölden har något samband med myndigheternas rapporter om attacker.

Stölden väcker allvarliga tvivel och frågor om amerikansk IT- och informationssäkerhetskultur. Och kan också påverka den överenskommelse som EU-kommissionen gjort med den amerikanska regeringen om dataskydd enligt artikel 46 i Dataskyddsförordningen (GDPR).

Adobe har släppt sina månatliga säkerhetsuppdateringar för juli. Säkerhetsuppdateringarna rättar totalt 12 sårbarheter i Adobe InDesign och 3 sårbarheter i Adobe ColdFusion. Tre av sårbarheterna klassar Adobe som kritiska. [1,2]

Säkerhetsuppdateringarna rättar totalt 3 sårbarheter i Adobe ColdFusion, varav två kritiska. Den kritiska sårbarheten CVE-2023-29300 kan utnyttjas för att fjärrköra kod och har fått CVSS-klassningen 9,8. Även sårbarheten CVE-2023-29298, som kan utnyttjas för att kringgå en säkerhetsfunktion och har fått CVSS-klassningen 7,5, klassas som kritisk. [2]

Säkerhetsuppdateringarna rättar totalt 12 sårbarheter i Adobe InDesign varav en kritisk. Det är sårbarheten CVE-2023-29308 som kan utnyttjas för att fjärrköra kod och har fått CVSS-klassningen 7,8 som Adobe klassar som kritisk. [3]

Uppdatering 2023-07-18

Adobe har släppt en uppdatering kopplat till de månatliga säkerhetsuppdateringarna för juli, gällande Adobe ColdFusion. Det handlar om CVE-2023-29308 som inte fått någon CVSS-klassning ännu men där det finns ett proof of concept tillgängligt för att utnyttja sårbarheten.[4]

Påverkade produkter

ColdFusion 2018, Update 16 och tidigare versioner
ColdFusion 2021, Update 6 och tidigare versioner
ColdFusion 2023, GA Release (2023.0.0.330468)

Adobe InDesign, ID18.3 and earlier version
Adobe InDesign, ID17.4.1 and earlier version

Rekommendationer

CERT-SE rekommenderar att snarast möjligt installera säkerhetsuppdateringarna.

Källor

[1] https://helpx.adobe.com/security/security-bulletin.html
[2] https://helpx.adobe.com/security/products/coldfusion/apsb23-40.html
[3] https://helpx.adobe.com/security/products/indesign/apsb23-38.html
[4] https://helpx.adobe.com/security/products/coldfusion/apsb23-41.html

Publicerad 2023-07-14 14:36 – Veckobrev

CERT-SE:s veckobrev v.28

Här kommer det sista veckobrevet innan sommarupphållet. Det innehåller en rejäl samling sårbarhetsartiklar, inte minst från patch-tisdag, och en massa andra nyheter. 

Veckobrevet är tillbaka vecka 32! Trevlig helg!

Nyheter i veckan

Major cyber attack at Scottish university as police and government called in (7 jul)
https://www.thescottishsun.co.uk/news/scottish-news/10925930/university-uws-cyber-attack-police-government/

RomCom Threat Actor Suspected of Targeting Ukraine’s NATO Membership Talks at the NATO Summit (8 jul)
https://blogs.blackberry.com/en/2023/07/romcom-targets-ukraine-nato-membership-talks-at-nato-summit

French Government Allows Remote Access to Suspects’ Devices: Privacy Concerns Arise (9 jul)
https://www.itsecuritynews.info/french-government-allows-remote-access-to-suspects-devices-privacy-concerns-arise/

Lithuania Hit by Cyberattacks on NATO Summit Eve (10 jul)
https://www.kyivpost.com/post/19293

Busy Japanese port hit by cyberattack (10 jul) 
https://www.ship-technology.com/news/busy-japanese-port-hit-by-cyberattack/

Bay Area city shuts down municipal sites following cyberattack (10 juli)
https://therecord.media/hayward-california-shuts-down-municipal-sites-cyberattack

Deutsche Bank confirms provider breach exposed customer data (11 jul)
https://www.bleepingcomputer.com/news/security/deutsche-bank-confirms-provider-breach-exposed-customer-data/

The Demoscene, Now An Irreplaceable Piece Of Cultural Heritage (11 jul)
https://hackaday.com/2023/07/11/the-demoscene-now-an-irreplaceable-piece-of-cultural-heritage/

Mitigation for China-Based Threat Actor Activity (11 jul)
https://blogs.microsoft.com/on-the-issues/2023/07/11/mitigation-china-based-threat-actor/

Tampa Bay zoo targeted in cyberattack by apparent offshoot of Royal ransomware (12 juli)
https://therecord.media/tampa-zoo-targeted-in-cyberattack

Apple re-releases zero-day patch after fixing browsing issue (12 juli)
https://www.bleepingcomputer.com/news/apple/apple-re-releases-zero-day-patch-after-fixing-browsing-issue/

Ransomware Attacks on Banking Industry (12 juli)
https://socradar.io/ransomware-attacks-on-banking-industry/

Big Head Ransomware Found in Malvertising and Fake Windows Updates (12 juli)
https://www.hackread.com/big-head-ransomware-fake-windows-updates/

Cyberattack on Norwegian Refugee Council online database (13 jul)
https://www.nrc.no/news/2023/july/cyberattack-on-norwegian-refugee-council-online-database/

The last Russian hacker kick at the NATO summit: a questionable data leak (13 juli)
https://cybernews.com/news/russian-gang-leaks-nato-summit-docs-vilnius/

Hackers Target Chinese Gamers With Microsoft-Signed Rootkit (13 jul)
https://www.darkreading.com/attacks-breaches/researchers-discover-microsoft-signed-rootkit-for-loading-2nd-stage-kernel-module

BlackLotus UEFI Bootkit Source Code Leaked on GitHub (13 juli)
https://www.securityweek.com/blacklotus-uefi-bootkit-source-code-leaked-on-github/

Informationssäkerhet och blandat

Google plans to scrape everything you post online to train its AI (5 jul)
https://www.malwarebytes.com/blog/news/2023/07/google-plans-to-scrape-everything-you-post-online-to-train-its-ai

Apps with 1.5M installs on Google Play send your data to China (6 jul)
https://www.bleepingcomputer.com/news/security/apps-with-15m-installs-on-google-play-send-your-data-to-china/

June 2023’s Most Wanted Malware: Qbot Most Prevalent Malware in First Half of 2023 and Mobile Trojan SpinOk Makes its Debut (6 jul)
https://blog.checkpoint.com/security/june-2023s-most-wanted-malware-qbot-most-prevalent-malware-in-first-half-of-2023-and-mobile-trojan-spinok-makes-its-debut/

Data Protection: European Commission adopts new adequacy decision for safe and trusted EU-US data flows (10 jul)
https://ec.europa.eu/commission/presscorner/detail/en/ip_23_3721

Big Head’ malware threat looms, warn researchers (10 jul)
https://www.scmagazine.com/news/ransomware/big-head-malware-threat-looms

Serious Security: Rowhammer returns to gaslight your computer (10 jul)
https://nakedsecurity.sophos.com/2023/07/10/serious-security-rowhammer-returns-to-gaslight-your-computer/

Storm-0978 attacks reveal financial and espionage motives
https://www.microsoft.com/en-us/security/blog/2023/07/11/storm-0978-attacks-reveal-financial-and-espionage-motives/

EU Council cuts down special product categories in cybersecurity law (11 jul)
https://www.euractiv.com/section/cybersecurity/news/eu-council-cuts-down-special-product-categories-in-cybersecurity-law/

The Spies Who Loved You: Infected USB Drives to Steal Secrets (11 jul)
https://www.mandiant.com/resources/blog/infected-usb-steal-secrets

Old certificate, new signature: Open-source tools forge signature timestamps on Windows drivers (11 juli)
https://blog.talosintelligence.com/old-certificate-new-signature/

Inside the Mind of the Hacker: Report Shows Speed and Efficiency of Hackers in Adopting New Technologies (12 jul)
https://www.securityweek.com/inside-the-mind-of-the-hacker-report-shows-speed-and-efficiency-of-hackers-in-adopting-new-technologies/

Enhanced Monitoring to Detect APT Activity Targeting Outlook Online (12 juli)
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-193a

Chinese Cyberspies Used Forged Authentication Tokens to Hack Government Emails (12 jul)
https://www.securityweek.com/chinese-cyberspies-used-forged-authentication-tokens-to-hack-government-emails/

How a Cloud Flaw Gave Chinese Spies a Key to Microsoft’s Kingdom (12 juli)
https://www.wired.com/story/microsoft-cloud-attack-china-hackers/

Microsoft SQL password-guessing attacks rising as hackers picot from OneNote vectors
https://www.techcentral.ie/microsoft-sql-password-guessing-attacks-rising-as-hackers-picot-from-onenote-vectors/

USB drive malware attacks spiking again in first half of 2023 (13 jul)
https://www.bleepingcomputer.com/news/security/usb-drive-malware-attacks-spiking-again-in-first-half-of-2023/

New Common Vulnerability Scoring System (CVSS) set to be cyber sector game-changer (13 jul)
https://www.first.org/newsroom/releases/20230713

CERT-SE i veckan

Kritisk sårbarhet i Ghostscript PDF-bibliotek

Kritiska sårbarheter i SonicWall-produkter

Kritisk sårbarhet Citrix Secure Access för Ubuntu

Kritisk sårbarhet i Fortinet-produkter

Flera allvarliga sårbarheter i HPE Aruba-produkter

SAP:s månatliga säkerhetsuppdateringar för juli

Adobes månatliga säkerhetsuppdateringar för juli

Microsofts månatliga säkerhetsuppdateringar för juli 2023

Källa: CERT.se

Ghostscript, ett open-source-bibiliotek för PostScript och med bred användning för Linux rendering och hantering av PDF-filer, har en kritisk sårbarhet med CVSS-klassificering 9.8 [1].

Eftersom Ghostscript är vanligt förekommande i Linux, ofta installerad som standard, inbyggt i program som renderar PDF-filer eller EPS-filer behöver alla dessa uppdateras. Sårbarheten (CVE-2023-36664) kan utnyttjas av en fjärrangripare för att exekvera godtycklig kod och detta kan ske när en fil öppnas. Sårbarheten har potential att påverka även andra operativ system såsom Windows, genom portering av Ghostscript på det nya operativsystemet. 

Påverkade produkter

Programvaror som använder Ghostscript med versioner före 10.01.2.

Applikationer som använder Ghostscript, inkluderar exempelvis LibreOffice, Inkscape (Windows) och Scribus.

Rekommendationer

CERT-SE rekommenderar att verksamheter ser över ifall Ghostscript används i programvaror för PDF-/EPS-rendering och i så fall genomför säkerhetsuppdatering snarast.

Källor

[1] https://www.kroll.com/en/insights/publications/cyber/ghostscript-cve-2023-36664-remote-code-execution-vulnerability

SonicWall har publicerat säkerhetsuppdateringar som hanterar flera kritiska sårbarheter i SonicWall GMS och Analytics [1].

Påverkade produkter

GMS - Virtual Appliance 9.3.2-SP1 och tidigare versioner
GMS - Windows 9.3.2-SP1 och tidigare versioner
Analytics - 2.5.0.4-R7 och tidigare versioner

Rekommendationer

CERT-SE rekommenderar att uppdatera sårbara produkter så snart det är möjligt.

Källor

[1] https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2023-0010

Citrix har publicerat säkerhetsuppdateringar som hanterar sårbarheter i Secure Access client för Ubuntu, vilken är kritisk med CVSS-klassificering 9.6 av 10 [1], samt för Windows [2]. 

CVE-2023-24492, som påverkar Citrix Secure Access client för Ubuntu (tidigare Citrix Gateway VPN client för Ubuntu) är en sårbarhet vilken kan utnyttjas av en fjärrangripare som lyckas övertyga en mottagaren att öppna en skadlig länk för att sedan acceptera ytterligare uppmaningar. 

CVE-2023-24491, som påverkar Citrix Secure Access client för Windows, är en sårbarhet vilken kan utnyttjas av en angripare med åtkomst till en sårbar klient med standardanvändarkonto för att utöka rättigheter till NT Authority\System.

Påverkade produkter

Ubuntu
Citrix ADC och Gateway, versioner före 23.5.2

Windows
Citrix ADC och Gateway, versions före 23.5.1.3

Rekommendationer

CERT-SE rekommenderar att snarast uppdatera sårbara produkter enligt tillverkarens rekommendationer. 

Källor

[1] https://support.citrix.com/article/CTX564169/citrix-secure-access-client-for-ubuntu-security-bulletin-for-cve202324492
[2] https://support.citrix.com/article/CTX561480/citrix-secure-access-client-for-windows-security-bulletin-for-cve202324491

Fortinet har publicerat säkerhetsuppdateringar för flera sårbarheter varav en kritisk i FortiOS och FortiProxy, vilken har tilldelats CVSS-klassificering 9.8 av 10 [1, 2].

Den kritiska sårbarheten (CVE-2023-33308) påverkar vissa versioner av FortiOS och FortiProxy som är konfigurerade med regler som använder ”proxy mode” tillsammans med ”SSL deep packet inspection” [1]. 

Påverkade produkter

FortiOS
FortiProxy
FortiExtender

För en fullständig förteckning av säkerhetsuppdateringar gällande fler produkter, se tillverkarens webbsida [3].

Rekommendationer

CERT-SE rekommenderar att snarast uppdatera sårbara produkter enligt tillverkarens rekommendationer samt ta del av publicerade mitigerande åtgärder för att ytterligare minska risken för angrepp.

Källor

[1] https://www.fortiguard.com/psirt/FG-IR-23-183
[2] https://www.fortiguard.com/psirt/FG-IR-22-039
[3] https://www.fortiguard.com/psirt

SonicWall har publicerat säkerhetsuppdateringar som hanterar flera kritiska sårbarheter i SonicWall GMS och Analytics [1].

Påverkade produkter

GMS - Virtual Appliance 9.3.2-SP1 och tidigare versioner
GMS - Windows 9.3.2-SP1 och tidigare versioner
Analytics - 2.5.0.4-R7 och tidigare versioner

Rekommendationer

CERT-SE rekommenderar att uppdatera sårbara produkter så snart det är möjligt.

Källor

[1] https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2023-0010