VMware har publicerat säkerhetsuppdateringar som hanterar flera sårbarheter i Aria Operations Networks, varav en är kritisk (CVE-2023-34039) och har en CVSSv3-score på 9.8 [1].

Ett lyckat angrepp möjliggör för en angripare med nätverksaccess att kringgå SSH-autentisering för att komma åt Aria Operations for Networks CLI.

Påverkade produkter

VMware Aria Operations for Networks 6.x

Rekommendationer

CERT-SE rekommenderar att uppdatera sårbara produkter så snart det är möjligt. 

Källor

[1] https://www.vmware.com/security/advisories/VMSA-2023-0018.html

Juniper Networks rättar fyra sårbarheter (CVE-2023-36844, CVE-2023-36845, CVE-2023-36846, CVE-2023-36847) i Junos OS som tillsammans uppnår kritisk allvarlighetsgrad. 

Sårbarheterna finns i komponenten J-Web som tillåter användare att konfigurera, hantera och övervaka hårdvara i produktserierna SRX och EX som kör Junos OS. Två av sårbarheterna gör det möjligt att modifiera PHP-variabler genom specialutformade anrop medan de övriga två gör det möjligt att skriva filer till filsystemet. Genom att kedja samman de fyra sårbarheterna kan en angripare fjärrköra kod på sårbara system utan autentisering.

Uppdatering 2023-08-29

Juniper Networks har publicerat proof-of-concept (PoC) för dessa fyra kritiska sårbarheter CVE-2023-36844, CVE-2023-36845, CVE-2023-36846, CVE-2023-36847 [2].

Påverkade produkter

Juniper Networks Junos OS på enheter i SRX-serien:
Alla versioner före 20.4R3-S8
21.2-versioner före 21.2R3-S6
21.3-versioner före 21.3R3-S5
21.4-versioner före 21.4R3-S5
22.1-versioner före 22.1R3-S3
22.2-versioner före 22.2R3-S2
22.3-versioner före 22.3R2-S2, 22.3R3
22.4-versioner före 22.4R2-S1, 22.4R3

Juniper Networks Junos OS på enheter i EX-serien:
Alla versioner före 20.4R3-S8
21.2-versioner före 21.2R3-S6
21.3-versioner före 21.3R3-S5
21.4-versioner före 21.4R3-S4
22.1-versioner före 22.1R3-S3
22.2-versioner före 22.2R3-S1
22.3-versioner före 22.3R2-S2, 22.3R3
22.4-versioner före 22.4R2-S1, 22.4R3

Rekommendationer

CERT-SE rekommenderar att snarast möjligt uppdatera sårbara produkter. I situationer där uppdatering inte är möjligt på kort sikt, föreslår Juniper Networks att J-Web inaktiveras eller att tillgång begränsas till pålitliga klienter.

Källor

[1] https://supportportal.juniper.net/s/article/2023-08-Out-of-Cycle-Security-Bulletin-Junos-OS-SRX-Series-and-EX-Series-Multiple-vulnerabilities-in-J-Web-can-be-combined-to-allow-a-preAuth-Remote-Code-Execution
[2] https://github.com/watchtowrlabs/juniper-rce_cve-2023-36844

Den 31 maj utsattas pensionsbolaget AMF för en cyberattack där hackare kom över personuppgifter från 186.000 av bolagets kunder. Bolaget uppger att man polisanmält händelsen och även anmält det inträffade som en personuppgiftsincident till IMY (Integritetsskyddsmyndigheten) och till Finansinspektionen.

IMY (Integritetsskyddsmyndigheten) utfärdar en s k sanktionsavgift på 35 miljoner för mycket allvarliga brister i dataskyddet hos Moderna Försäkringar, som senare kom att tas över av försäkringsbolaget Trygg-Hansa. IMY:s utredning visar att uppgifterna varit otillräckligt skyddade i 2 år.

Efter att ha tagit emot ett tips inledde IMY en tillsyn av försäkringsbolaget Trygg-Hansa. Tipsaren hade fått ett mejl från bolaget med en länk till en offertsida. På offertsidan fanns det klickbara länkar med webbadresser som ledde till dokument med försäkringsinformation. Tipsaren märkte dock att det gick att komma åt andra försäkringstagares dokument, utan någon form av inloggning, genom att bara byta ut några siffror i webblänken.

– Handlingarna som har varit åtkomliga för obehöriga har i vissa fall innehållit känsliga personuppgifter, bland annat uppgifter om hälsa som dessutom har haft en hög detaljnivå, så att det exempelvis gått att utläsa hur ett hälsoproblem uppkommit eller detaljer kring ett hälsotillstånd. Sammantaget har den stora mängden personuppgifter gjort det möjligt att skapa en tydlig bild av en persons privata förhållanden, säger Evelin Palmér, jurist på IMY.

Allvarlig brist

Att mycket känsliga och uppgifter hälsouppgifter med hög detaljrikedom varit förhållandevis lättillgängliga är allvarligt då det handlar om ett av de största försäkringsbolagen. Försäkringsbolag har långtgående möjligheter att få begär ut mycket känsliga uppgifter om individer i samband med försäkringsärenden som gäller sjukdomsärenden där en försäkringstagare begär ersättning. Det indikerar att branschen behöver skärpa sitt informationssäkerhetsarbete för att se till att lagar och regler följs vid databehandling av kunderna.

Trygg-Hansa har inte själva upptäckt bristerna i samband med övertagandet av Moderna Försäkrings verksamhet vilket får anses vara uppseendeväckande. Det har rimligtvis skett någon form av genomlysning av den övertagna verksamheten och det bör också ha genomförts en Compliance där olika specialister på IT-säkerhet, informationssäkerhet och dataskyddslagstiftning borde ha upptäckt bristerna i IT-systemets webbgränssnitt.

Det är också allvarligt att den tjänsteman hos Trygg-Hansa som mottog tipset från ”tipsaren” inte förstod allvaret i de uppgifterna som lämnades vilket ledde till att den rapporterade incidenten inte vidarebefordrades i organisationen. Det betyder att Trygg-Hansa vid tillfället för incidentens upptäckt inte följt ISO-27001-standarden. Det kan indikera att organisationens medarbetare inte har tillräckliga kunskaper om hur misstänkta informationssäkerhetsincidenter ska rapporteras.

202 personer drabbade

Av IMY:s utredning framgår att minst 202 försäkringstagares mycket känsliga personuppgifter kan ha röjts under den tid då säkerhetsbristerna pågått. Trygg-Hansa uppger idag att man vidtagit åtgärder som gör att det inte längre är möjlighet att byta ut tecken i URL-strängen som visas när en försäkringstagare loggar in på tjänsten.

Trygg-Hansa säger i en skriftlig kommentar så här:

”Moderna Försäkringar åtgärdade säkerhetsbristen omgående efter att försäkringbolaget informerats av IMY. Kundernas säkerhet och integritet är högsta prioritet för alla försäkringsbolag. Trygg-Hansa ser därför mycket allvarligt på att kontrollsystemen i Moderna Försäkringar inte levde upp till bolagets höga krav på en säker it-miljö som ska säkerställa att kundernas personuppgifter skyddas.”

Vidare framhåller man att de drabbade kunderna fanns i Moderna Försäkringars IT-system. Inga kunder hos Trygg-Hansa vid det tillfället är drabbade.

IMY:s granskningsrapport och beslut (PDF)

Nyheter i veckan

CISA Releases Malware Analysis Reports on Barracuda Backdoors (18 aug)
https://www.cisa.gov/news-events/alerts/2023/07/28/cisa-releases-malware-analysis-reports-barracuda-backdoors

Japanese watchmaker Seiko breached by BlackCat ransomware gang (21 aug)
https://www.bleepingcomputer.com/news/security/japanese-watchmaker-seiko-breached-by-blackcat-ransomware-gang/

TP-Link smart bulbs can let hackers steal your WiFi password (21 aug)
https://www.bleepingcomputer.com/news/security/tp-link-smart-bulbs-can-let-hackers-steal-your-wifi-password/

French town of Sartrouville recovering from cyberattack claimed by ransomware gang (21 aug)
https://therecord.media/french-town-hit-by-cyberattack

British intelligence is tipping off ransomware targets to disrupt attacks (21 aug)
https://therecord.media/gchq-ncsc-tipping-off-ransomware-targets-early-warning

Tesla says data breach impacting 75,000 employees was an insider job (21 aug)
https://techcrunch.com/2023/08/21/tesla-breach-employee-insider/

Australian software provider Energy One hit by cyberattack (21 aug)
https://therecord.media/australian-energy-one-hit-with-cyberattack

Researchers Uncover Real Identity of CypherRAT and CraxsRAT Malware Developer (21 aug)
https://www.securityweek.com/researchers-uncover-real-identity-of-cypherrat-and-craxsrat-malware-developer/

Akira ransomware targets Cisco VPNs to breach organizations (22 aug)
https://www.bleepingcomputer.com/news/security/akira-ransomware-targets-cisco-vpns-to-breach-organizations/

Carderbee hacking group hits Hong Kong orgs in supply chain attack (22 aug)
https://www.bleepingcomputer.com/news/security/carderbee-hacking-group-hits-hong-kong-orgs-in-supply-chain-attack/

Cyberattack on Belgian social service centers forces them to close (22 aug)
https://therecord.media/charleroi-belgium-cpas-cyberattack

MacOS version of info-stealing XLoader gets an upgrade (22 aug)
https://therecord.media/apple-macos-malware-xloader-infostealer

Open redirect flaws increasingly exploited by phishers (23 aug)
https://www.helpnetsecurity.com/2023/08/23/open-redirect-phishing/

Cybercriminals turn to AI to bypass modern email security measures (23 aug)
https://www.helpnetsecurity.com/2023/08/23/ai-enabled-email-threats/

Discord starts notifying users affected by March data breach (23 aug)
https://www.bleepingcomputer.com/news/security/discord-starts-notifying-users-affected-by-march-data-breach/

Profile Stealers Spread via LLM-themed Facebook Ads (23 aug)
https://www.trendmicro.com/en_us/research/23/h/profile-stealers-spread-via-llm-themed-facebook-ads.html

Protecting Canada’s energy infrastructure and supply chain from cyber attacks (23 aug)
https://uwaterloo.ca/news/protecting-canadas-energy-infrastructure-and-supply-chain

US issues threat warning after hackers break into a satellite (23 aug)
https://www.defenseone.com/threats/2023/08/national-intelligence-office-issues-cyber-warning-government-and-commercial-satellites/389671/

WinRAR zero-day exploited since April to hack trading accounts (23 aug)
https://www.bleepingcomputer.com/news/security/winrar-zero-day-exploited-since-april-to-hack-trading-accounts/

Danish cloud host says customers ‘lost all data’ after ransomware attack (23 aug)
https://techcrunch.com/2023/08/23/cloudnordic-azero-cloud-host-ransomware/
..
Mange danske virksomheder er ramt af hackerangreb: ”Der er ingen virksomhed tilbage” (23 aug)
https://www.radio4.dk/nyheder/mange-danske-virksomheder-er-ramt-af-hackerangreb-der-er-ingen-virksomhed-tilbage/
..
CloudNordic Faces Severe Data Loss After Ransomware Attack (24 aug)
https://www.hackread.com/cloudnordic-data-loss-ransomware-attack/

New ”Whiffy Recon” Malware Triangulates Infected Device Location via Wi-Fi Every Minute (24 aug)
https://thehackernews.com/2023/08/new-whiffy-recon-malware-triangulates.html

Informationssäkerhet och blandat

Cybercrime: 14 arrests, thousands of illicit cyber networks disrupted in Africa operation (18 aug)
https://www.interpol.int/News-and-Events/News/2023/Cybercrime-14-arrests-thousands-of-illicit-cyber-networks-disrupted-in-Africa-operation

Quantum-Readiness: Migration to Post-Quantum Cryptography (21 aug)
https://www.cisa.gov/resources-tools/resources/quantum-readiness-migration-post-quantum-cryptography

Cyber-Awareness Education Is a Change-Management Initiative (23 aug)
https://www.fortinet.com/blog/ciso-collective/cyber-awareness-is-a-change-management-initiative

5 Early Warning Indicators That Are Key to Protecting National Secrets (23 aug)
https://www.darkreading.com/vulnerabilities-threats/5-early-warning-indicators-that-are-key-to-protecting-national-secrets

Här är KTH:s nya superdator – snabbast i Sverige (23 aug)
https://sverigesradio.se/artikel/har-ar-kths-nya-superdator-snabbast-i-sverige

Särskilt sändebud för internationella cyberfrågor (24 aug)
https://www.regeringen.se/pressmeddelanden/2023/08/ny-sidasarskilt-sandebud-for-internationella-cyberfragor/

Tolv kommuner bildar AI-råd – vill driva på utvecklingen (24 aug)
https://computersweden.idg.se/2.2683/1.779823/tolv-kommuner-bildar-ai-rad–vill-driva-pa-utvecklingen

Europe’s tough new rules for Big Tech start today. Is anyone ready? (25 aug)
https://www.theregister.com/2023/08/25/google_eu_dsa/

ENISA Call for Expression of Interest – Participate in the survey on Cryptographic Products and Services Cybersecurity Market Analysis
https://www.enisa.europa.eu/topics/market/enisa-survey-on-cryptographic-products-and-services/

Rapporter

NCC Group Cyber Threat Intelligence Reports: July 2023 Report
https://www.nccgroup.com/us/resource-hub/cyber-threat-intelligence-reports/

Så kan militära AI-system angripas och vilseledas (22 aug)
https://www.foi.se/nyheter-och-press/nyheter/2023-08-22-sa-kan-militara-ai-system-angripas-och-vilseledas.html

Surge in Cybercrime: Check Point 2023 Mid-Year Security Report Reveals 48 Ransomware Groups Have Breached Over 2,200 Victims (23 aug)
https://blog.checkpoint.com/security/check-point-software-2023-mid-year-security-report-old-meets-new-as-usb-devices-and-artificial-intelligence-are-exploited-by-cybercriminals/

Time keeps on slippin’ slippin’ slippin’: The 2023 Active Adversary Report for Tech Leaders (23 aug)
https://news.sophos.com/en-us/2023/08/23/active-adversary-for-tech-leaders/

Netskope Threat Labs Report: TELECOM
https://www.netskope.com/netskope-threat-labs/threat-labs-report-telecom-august-2023

CERT-SE i veckan

Kritisk sårbarhet i Ivanti Mobileiron Sentry (uppdaterad 2023-08-25)

Kritiska sårbarheter i Juniper Networks Junos OS

Uppdaterad 2023-08-23 12:17 | Publicerad 2023-08-22 12:19 – Sårbarhet, Ivanti, Mobileiron

Ivanti har rättat en kritisk sårbarhet (CVE-2023-38035, CVSS-klassning 9,8) i Ivanti Mobileiron Sentry [1]. Produkten kan användas som en gateway mellan mobila enheter och bakomliggande system [2].

Sårbarheten möjliggör för en angripare att kringgå behörighetskontroller till systemets administrationsportal och på så sätt fjärrköra skadlig kod (remote code execution, RCE). Ivanti skriver att risken för att sårbarheten kan utnyttjas är lägre för kunder som inte har administrationsportalen exponerad mot internet.

Sårbarheten har enligt Ivanti utnyttjats som en nolldagssårbarhet i begränsad omfattning.

Uppdatering 2023-08-23

CISA har lagt sårbarheten till sin lista över kända utnyttjade sårbarheter. [3]

Påverkade produkter

Ivanti Mobileiron Sentry version 9.18.0 eller tidigare.

Rekommendationer

CERT-SE rekommenderar att snarast uppdatera sårbara produkter enligt instruktioner i tillverkarens säkerhetsmeddelande. Ivanti rekommenderar att blockera tillgång till administrationsportalen via internet och endast tillåta tillgång via interna administrationsnät.

Källor

[1] https://forums.ivanti.com/s/article/CVE-2023-38035-API-Authentication-Bypass-on-Sentry-Administrator-Interface
[2] https://help.ivanti.com/mi/help/en_us/SNTRY/9.x/gdco/SentryGuide/MobileIron_Sentry_overvi.htm
[3] https://www.cisa.gov/known-exploited-vulnerabilities-catalog

Juniper Networks rättar fyra sårbarheter (CVE-2023-36844, CVE-2023-36845, CVE-2023-36846, CVE-2023-36847) i Junos OS som tillsammans uppnår kritisk allvarlighetsgrad. 

Sårbarheterna finns i komponenten J-Web som tillåter användare att konfigurera, hantera och övervaka hårdvara i produktserierna SRX och EX som kör Junos OS. Två av sårbarheterna gör det möjligt att modifiera PHP-variabler genom specialutformade anrop medan de övriga två gör det möjligt att skriva filer till filsystemet. Genom att kedja samman de fyra sårbarheterna kan en angripare fjärrköra kod på sårbara system utan autentisering.

Påverkade produkter

Juniper Networks Junos OS på enheter i SRX-serien:
Alla versioner före 20.4R3-S8
21.2-versioner före 21.2R3-S6
21.3-versioner före 21.3R3-S5
21.4-versioner före 21.4R3-S5
22.1-versioner före 22.1R3-S3
22.2-versioner före 22.2R3-S2
22.3-versioner före 22.3R2-S2, 22.3R3
22.4-versioner före 22.4R2-S1, 22.4R3

Juniper Networks Junos OS på enheter i EX-serien:
Alla versioner före 20.4R3-S8
21.2-versioner före 21.2R3-S6
21.3-versioner före 21.3R3-S5
21.4-versioner före 21.4R3-S4
22.1-versioner före 22.1R3-S3
22.2-versioner före 22.2R3-S1
22.3-versioner före 22.3R2-S2, 22.3R3
22.4-versioner före 22.4R2-S1, 22.4R3

Rekommendationer

CERT-SE rekommenderar att snarast möjligt uppdatera sårbara produkter. I situationer där uppdatering inte är möjligt på kort sikt, föreslår Juniper Networks att J-Web inaktiveras eller att tillgång begränsas till pålitliga klienter.

Källor

[1] https://supportportal.juniper.net/s/article/2023-08-Out-of-Cycle-Security-Bulletin-Junos-OS-SRX-Series-and-EX-Series-Multiple-vulnerabilities-in-J-Web-can-be-combined-to-allow-a-preAuth-Remote-Code-Execution

Veckans nyhetsbrev bjuder på blandade godbitar och ett antal fördjupande artiklar. Bland annat berättar Viasat om vad som hände förra våren när de råkade ut för en omfattande attack. Dessutom har NCSC gått ut med en save the date inför sin konferens den 5 december.

Trevlig helg önskar CERT-SE!

Nyheter i veckan

Increase in Companies Falsely Claiming an Ability to Recover Funds Lost in Cryptocurrency Investment Scams (11 aug)
https://www.ic3.gov/Media/Y2023/PSA230811

5 arrested in Poland for running bulletproof hosting service for cybercrime gangs (11 aug)
https://www.europol.europa.eu/media-press/newsroom/news/5-arrested-in-poland-for-running-bulletproof-hosting-service-for-cybercrime-gangs

US cyber body to review cloud computing safety, Microsoft breach (11 aug)
https://www.reuters.com/technology/us-cyber-safety-review-board-assess-online-intrusion-microsoft-exchange-dhs-2023-08-11/

Security News This Week: A New Attack Reveals Everything You Type With 95 Percent Accuracy (12 aug)
https://www.wired.co.uk/article/keystroke-attack-security-roundup

Knight ransomware distributed in fake Tripadvisor complaint emails (12 aug)
https://www.bleepingcomputer.com/news/security/knight-ransomware-distributed-in-fake-tripadvisor-complaint-emails/

Veilid: A secure peer-to-peer network for apps that flips off the surveillance economy (12 aug)
https://www.theregister.com/2023/08/12/veilid_privacy_data/

MaginotDNS attacks exploit weak checks for DNS cache poisoning (13 aug)
https://www.bleepingcomputer.com/news/security/maginotdns-attacks-exploit-weak-checks-for-dns-cache-poisoning/

100,000 Hackers Exposed from Top Cybercrime Forums (14 aug)
https://www.hudsonrock.com/blog/100-000-hackers-exposed-from-top-cybercrime-forums

Tonåring från Uppsala län tar på sig två stora IT-attacker (14 aug)
https://www.svt.se/nyheter/lokalt/uppsala/tonaring-fran-uppsala-lan-tar-pa-sig-tva-stora-it-attacker–7c3ffr

Evasive Phishing Campaign Steals Cloud Credentials Using Cloudflare R2 and Turnstile (14 aug)
https://www.netskope.com/blog/evasive-phishing-campaign-steals-cloud-credentials-using-cloudflare-r2-and-turnstile

Discord.io confirms breach after hacker steals data of 760K users (14 aug)
https://www.bleepingcomputer.com/news/security/discordio-confirms-breach-after-hacker-steals-data-of-760k-users/

Cyber Criminals Targeting Victims through Mobile Beta-Testing Applications (14 aug)
https://www.ic3.gov/Media/Y2023/PSA230814

Millions of Americans’ health data stolen after MOVEit hackers targeted IBM (14 aug)
https://techcrunch.com/2023/08/14/millions-americans-health-data-moveit-hackers-clop-ibm/

Most DDoS attacks tied to gaming, business disputes, FBI and prosecutors say (14 aug)
https://therecord.media/ddos-attacks-tied-to-gaming-business-disputes-fbi-says

LinkedIn Accounts Under Attack (14 aug)
https://cyberint.com/blog/research/linkedin-accounts-under-attack-how-to-protect-yourself/

Shutdown of e-mail solution following cyberattack (15 aug)
https://www.regjeringen.no/en/aktuelt/shutdown-of-e-mail-solution-following-cyberattack/id2991023/

Misstänkt rysk it-attack mot Uppsala universitet: ”Kan öka sårbarheten” (15 aug)
https://www.svt.se/nyheter/lokalt/uppsala/misstankt-rysk-it-attack-mot-uppsala-universitet-kan-oka-sarbarheten–r0kbmr

Inside the largest-ever A.I. chatbot hack fest, where hackers tried to outsmart OpenAI, Microsoft, Google (15 aug)
https://www.cnbc.com/2023/08/15/def-con-hackers-try-to-crack-chatbots-from-openai-google-microsoft.html

Suburban DC school district responds to cyberattack (15 aug)
https://therecord.media/prince-georges-county-schools-maryland-cyberattack

Överbelastningsattack på Jordbruksverket i Jönköping (15 aug)
https://www.svt.se/nyheter/lokalt/jonkoping/overbelastningsattack-pa-jordbruksverket-i-jonkoping

Toward Quantum Resilient Security Keys (15 aug)
https://security.googleblog.com/2023/08/toward-quantum-resilient-security-keys.html

Varningar för investeringsbedrägerier fortsätter öka (16 aug)
https://www.fi.se/sv/publicerat/nyheter/2023/varningar-for-investeringsbedragerier-fortsatter-oka/

Tech glitch let people with empty bank accounts withdraw hundreds in cash (16 aug)
https://arstechnica.com/information-technology/2023/08/tech-error-let-people-with-empty-bank-accounts-withdraw-hundreds-in-cash/

Angreps av Ryssland – nu berättar Viasat om attacken som slog ut internet i Ukraina (18 aug)
https://computersweden.idg.se/2.2683/1.779778/angreps-av-ryssland–nu-berattar-viasat-om-attacken-som-slog-ut-internet-i-ukraina

Informationssäkerhet och blandat

Monti Ransomware Unleashes a New Encryptor for Linux (14 aug)
https://www.trendmicro.com/en_us/research/23/h/monti-ransomware-unleashes-a-new-encryptor-for-linux.html

What’s New in the NIST Cybersecurity Framework 2.0 (14 aug)
https://www.darkreading.com/operations/whats-new-in-nist-cybersecurity-framework-2-0

Approximately 2000 Citrix NetScalers backdoored in mass-exploitation campaign (15 aug)
https://blog.fox-it.com/2023/08/15/approximately-2000-citrix-netscalers-backdoored-in-mass-exploitation-campaign/

Introducing Cloudflare’s 2023 phishing threats report (16 aug)
https://blog.cloudflare.com/2023-phishing-report/

Intel insiders go undercover revealing fresh details into NoName hacktivist operations (16 aug)
https://cybernews.com/cyber-war/new-undercover-intel-noname-russian-hacktivist-operations/

Windows feature that resets system clocks based on random data is wreaking havoc (16 aug)
https://arstechnica.com/security/2023/08/windows-feature-that-resets-system-clocks-based-on-random-data-is-wreaking-havoc/

Raccoon Stealer malware back with updated version following administrator arrest (16 aug)
https://therecord.media/raccoon-malware-back-with-updated-version

PowerHell: Active Flaws in PowerShell Gallery Expose Users to Attacks (16 aug)
https://blog.aquasec.com/powerhell-active-flaws-in-powershell-gallery-expose-users-to-attacks

CISA Publishes JCDC Remote Monitoring and Management Systems Cyber Defense Plan (16 aug)
https://www.cisa.gov/news-events/news/cisa-publishes-jcdc-remote-monitoring-and-management-systems-cyber-defense-plan

Major Energy Company Targeted in Large QR Code Campaign (16 aug)
https://cofense.com/blog/major-energy-company-targeted-in-large-qr-code-campaign/

ProxyNation: The dark nexus between proxy apps and malware (16 aug)
https://cybersecurity.att.com/blogs/labs-research/proxynation-the-dark-nexus-between-proxy-apps-and-malware

Protecting your information and data when using applications- ITSAP.40.200
https://www.cyber.gc.ca/en/protecting-your-information-and-data-when-using-applications-itsap40200

Debian Celebrates 30 years!
https://bits.debian.org/2023/08/debian-turns-30.html

Save the date: NCSC konferens 5 december 2023
https://www.ncsc.se/aktuellt/ncsc-konferens-2023/

CERT-SE i veckan

Kritisk sårbarhet i Citrix NetScaler ADC och Gateway (uppdaterad 2023-08-17)

Uppdaterad 2023-08-17 15:44 | Publicerad 2023-07-19 10:55 – Sårbarhet, Citrix, unauthenticated remote code execution, XSS, privilege escalation

Citrix har publicerat säkerhetsuppdateringar som åtgärdar sårbarheter i Citrix Netscaler ADC och Netscaler gateway. Den allvarligaste är CVE-2023-3519 som tillåter en oautentiserad användare att exekvera godtycklig kod. Den är klassad som kritisk med CVSS-klassificering 9.8 av 10.

Utöver denna åtgärdas även CVE-2023-3466 som har fått en CVSS-klassificering på 8.3 samt CVE-2023-3467 med CVSS-klassificering 8.[1]

Uppdatering 2023-07-20

Sårbarhet med CVE-2023-3519 exploateras nu aktivt.[2]

Uppdatering 2023-08-17

Mandiant och Citrix har utvecklat ett verktyg som kan användas för att upptäcka intrång som redan har inträffat. Det är möjligt att en enhet är komprometterad utan att verktyget upptäcker det och verktyget identifierar inte potentiellt sårbara enheter. [3]

Påverkade produkter

    Citrix Netscaler ADC och Gateway 13.1, versioner före 13.1-49.13
    Citrix Netscaler ADC och Gateway 13.0, versioner före 13.0-91.13
    Citrix Netscaler ADC 13.1-FIPS, versioner före 13.1-37.159
    Citrix Netscaler ADC 12.1-FIPS, versioner före 12.1-55.297
    Citrix Netscaler ADC 12.1-NDcPP, versioner före 12.1-55.297

Rekommendationer

CERT-SE rekommenderar att snarast möjligt uppdatera sårbara produkter enligt tillverkarens rekommendationer. 

Källor

[1] https://support.citrix.com/article/CTX561482/citrix-adc-and-citrix-gateway-security-bulletin-for-cve20233519-cve20233466-cve20233467
[2] https://www.cisa.gov/news-events/alerts/2023/07/20/cisa-releases-cybersecurity-advisory-threat-actors-exploiting-citrix-cve-2023-3519
[3] https://www.mandiant.com/resources/blog/citrix-adc-vulnerability-ioc-scanner

2023-08-17; kl 17.41

Region Stockholm ansvarar för att hälso- och sjukvården och kollektivtrafiken fungerar även i en krissituation. Oavsett vilken terrorhotnivå som gäller i Sverige arbetar regionen kontinuerligt med beredskap inför allvarliga händelser och samhällsstörningar. Det finns en väl etablerad organisation och planering samt en nära samverkan med myndigheter och övriga aktörer.

– Region Stockholm är och ska alltid vara förberedd på allvarliga händelser och samhällsstörningar, oberoende av terrorhotnivå. Vi är givetvis vaksamma och följer utvecklingen noga. Det finns en stor erfarenhet av att ha hanterat flera allvarliga händelser inom regionen sedan tidigare, säger Rickard Sundbom, administrativ direktör på Region Stockholm.

– Vi arbetar kontinuerligt med vår beredskap både före, under och efter en allvarlig händelse. Det innebär exempelvis utbildning och övning, riskbedömningar inför händelser och evenemang och säkerställande av korrekt säkerhetsutrustning- och rutiner. Vi har även en nära samverkan med andra samhällsaktörer i Stockholms län, inte minst polismyndigheten, säger Rickard Sundbom, administrativ direktör på Region Stockholm.

Så här arbetar Region Stockholm vid en allvarlig händelse

Region Stockholm arbetar efter krisberedskapssystemets principer för krishantering. Dessa principer är ansvarsprincipen, likhetsprincipen och närhetsprincipen. Planer är framtagna för att kunna arbeta före, under och efter en allvarlig händelse eller samhällsstörning i samtliga verksamheter.

Regionens funktion Tjänsteman i Beredskap (TiB) tar emot larm dygnet runt årets alla dagar gällande händelser och stora samhällsstörningar. När allvarliga händelser inträffar finns krisledningsorganisationer på regional och lokal nivå som hanterar händelsen.

Beredskapslägen

Är händelsen allvarlig och av större karaktär beslutas det om att en krisledningsorganisation ska startas. Det beslutas också om vilket beredskapsläge som intas. De tre beredskapslägena inom Region Stockholms hälso- och sjukvård är stabsläge, förstärkningsläge och katastrofläge:

• Stabsläge innebär att en särskild sjukvårdsledning håller sig underrättad om läget, vidtar nödvändiga åtgärder och följer händelseutvecklingen.
• Förstärkningsläge innebär att en särskild sjukvårdsledning vidtar åtgärder för förstärkning av vissa viktiga funktioner.
• Katastrofläge innebär att en särskild sjukvårdsledning vidtar åtgärder för förstärkning av alla viktiga funktioner.

Övning, utbildning och samverkan

I Region Stockholm utbildas och övas samtliga verksamheter på både lokal och regional nivå kontinuerligt. Kris- och katastrofmedicinska utbildningar ges årligen till regionens vårdverksamheter.

Region Stockholm är också medlem i Samverkan stockholmsregionen, SSR, som är en etablerad samverkan mellan aktörer i Stockholmsregionen och som tillsammans ansvarar för att hantera störningar och krissituationer i Stockholms län. Inom SSR sker en kontinuerlig samverkan med aktörerna för att planera beredskapen Stockholms län samt skapa och dela gemensamma lägesbilder.

Text: Region Stockholm