VECKOBREV

Veckans nyhetssvep bjuder på blandad läsning. Vi vill passa på att tipsa om ett rykande färskt poddavsnitt, där vi gästar Bli säker-podden och berättar om arbetet på CERT-SE och NCSC-SE: https://nikkasystems.com/2023/11/03/podd-222-vad-gor-cert-se-och-ncsc-se/

Årets CTF är nu avslutad och vi återkommer som vanligt med resultat och genomgång på vår hemsida. Tills dess, vill vi dela en fin video skapad av en av årets deltagare: https://www.youtube.com/watch?v=oFdY9hnn6KM

Trevlig Allhelgonahelg önskar CERT-SE!

Nyheter i veckan

Over a million Windows and Linux systems infected by this tricky new malware (27 okt)
https://www.techradar.com/pro/security/over-a-million-windows-and-linux-systems-infected-by-this-tricky-new-malware

CISA Announces Launch of Logging Made Easy (27 okt)
https://www.cisa.gov/news-events/alerts/2023/10/27/cisa-announces-launch-logging-made-easy

Simulerad cyberattack – En övning för att stärka länets samverkansförmåga (27 okt)
https://www.lansstyrelsen.se/ostergotland/om-oss/nyheter-och-press/nyheter—ostergotland/2023-10-27-en-ovning-for-att-starka-lanets-samverkansformaga.html

F5 Labs Report Reveals Rise in Malicious Automation (29 okt)
https://thefintechtimes.com/f5-labs-mitigating-the-menace-strategies-for-defending-digital-identities/

Hackers could track you across the globe due to this worrying smartphone security flaw (29 okt)
https://www.techradar.com/pro/security/hackers-could-track-you-across-the-globe-due-to-this-worrying-smartphone-security-flaw

Störningar hos Tele2 – trygghetslarm påverkas (30 okt)
https://www.svt.se/nyheter/inrikes/storningar-hos-tele2-1

Stanford Investigating Cyber Incident, Ransomware Threat (30 okt)
https://www.govtech.com/education/higher-ed/stanford-investigating-cyber-incident-ransomware-threat

20 scary cybersecurity facts and figures for a haunting Halloween (30 okt)
https://www.welivesecurity.com/en/cybersecurity/20-scary-cybersecurity-facts-figures-haunting-halloween/

Nätfiskarna använder sig allt oftare av QR-koder (31 okt)
https://www.aktuellsakerhet.se/natfiskarna-anvander-sig-allt-oftare-av-qr-koder/

Alliance of 40 countries to vow not to pay ransom to cybercriminals, US says (31 okt)
https://www.reuters.com/technology/alliance-40-countries-vow-not-pay-ransom-cybercriminals-us-says-2023-10-31/

British Library suffering major technology outage after cyber-attack (31 okt)
https://www.theguardian.com/books/2023/oct/31/british-library-suffering-major-technology-outage-after-cyber-attack

‘Mass exploitation’ of Citrix Bleed underway as ransomware crews pile in (31 okt)
https://www.theregister.com/2023/10/31/mass_exploitation_citrix_bleed/

Mandiant Investigation of Session Hijacking via Citrix NetScaler ADC and Gateway Vulnerability (31 okt)
https://www.mandiant.com/resources/blog/session-hijacking-citrix-cve-2023-4966

Toronto Public Library outages caused by Black Basta ransomware attack (1 nov)
https://www.bleepingcomputer.com/news/security/toronto-public-library-outages-caused-by-black-basta-ransomware-attack/

Major Mexican airport confirms experts are working to address cyberattack (1 nov)
https://therecord.media/queretaro-international-airport-mexico-cyberattack

A ‘kill switch’ deliberately shut down notorious Mozi botnet, researchers say (1 nov)
https://therecord.media/mozi-botnet-killswitch-shut-down

3,000 Apache ActiveMQ servers vulnerable to RCE attacks exposed online (1 nov)
https://www.bleepingcomputer.com/news/security/3-000-apache-activemq-servers-vulnerable-to-rce-attacks-exposed-online/

Hackers use Citrix Bleed flaw in attacks on govt networks worldwide (1 nov)
https://www.bleepingcomputer.com/news/security/hackers-use-citrix-bleed-flaw-in-attacks-on-govt-networks-worldwide/

A Ukrainian Company Shares Lessons in Wartime Resilience (1 nov)
https://www.darkreading.com/edge/ukraine-company-lessons-wartime-resilience

FIRST Announces CVSS 4.0 – New Vulnerability Scoring System (2 nov)
https://thehackernews.com/2023/11/first-announces-cvss-40-new.html…
https://www.first.org/cvss/v4-0/index.html

HelloKitty ransomware deployed via critical Apache ActiveMQ flaw (2 nov)
https://www.csoonline.com/article/657956/hellokitty-ransomware-deployed-via-critical-apache-activemq-flaw.html

Boeing says ‘cyber incident’ hit parts business after ransom threat (nov 2)
https://www.reuters.com/business/aerospace-defense/boeing-investigating-cyber-incident-affecting-parts-business-2023-11-01/

Nearly 5,000 Okta employees affected by third-party data breach (2 nov)
https://therecord.media/okta-employees-impacted-by-third-party-breach

Researchers Find 34 Windows Drivers Vulnerable to Full Device Takeover (2 nov)
https://thehackernews.com/2023/11/researchers-find-34-windows-drivers.html

Ace Hardware says 1,202 devices were hit during cyberattack (2 nov)
https://www.bleepingcomputer.com/news/security/ace-hardware-says-1-202-devices-were-hit-during-cyberattack/

“Take immediate action” to patch your Confluence Data Center and Server instances (2 nov)
https://www.malwarebytes.com/blog/news/2023/11/atlassian-take-immediate-action-to-patch-your-confluence-data-center-and-server-instances

Akamai – Ransomware on the Move – Evolving Exploitation Techniques and the Active Pursuit of Zero-Days
https://www.akamai.com/resources/state-of-the-internet/ransomware-on-the-move

Informationssäkerhet och blandat

G7-länderna överens om uppförandekod för AI (30 okt)
https://computersweden.idg.se/2.2683/1.780302/g7-landerna-overens-om-uppforandekod-for-ai

Natointrädet ställer nya krav på informationsdelning – ”det kommer en lavin” (30 okt)
https://computersweden.idg.se/2.2683/1.780296/natointradet-paverkar-hela-samhallet–en-lavin-av-ny-information

IMY yttrar sig över förslag till förändrad datalagring (30 okt)
https://www.imy.se/nyheter/imy-yttrar-sig-over-forslag-till-forandrad-datalagring/

The cyber workforce gap is growing (31 okt)
https://www.nextgov.com/cybersecurity/2023/10/cyber-workforce-gap-growing/391618/

Carl Bildt får uppdraget att göra en översyn av Sveriges underrättelseverksamhet (31 okt)
https://www.aktuellsakerhet.se/carl-bildt-far-uppdraget-att-gora-en-oversyn-av-sveriges-underrattelseverksamhet/

Sluta inte att tänka säkert! (1 nov)
https://www.imy.se/blogg/sluta-inte-att-tanka-sakert/

UK’s National Crime Agency Establishes Crypto Investigation Team (2 nov)
https://mpost.io/uks-national-crime-agency-establishes-crypto-investigation-team/

EU digital ID reforms should be ‘actively resisted’, say experts (2 nov)
https://www.computerweekly.com/news/366557952/EU-eIDAS-reforms-should-be-actively-resisted-say-experts

The State of IT Security in Germany in 2023 (2 nov)
https://www.bsi.bund.de/EN/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html

Mitre Att&CK V14 Released (2 nov)
https://www.helpnetsecurity.com/2023/11/02/mitre-attck-v14/

FIRST Common Vulnerability Scoring System 4.0
https://first.org/cvss

Utbildning i FIRST CVSS 4.0
https://learn.first.org/

Crate-CTF – En tävling i cybersäkerhet den 18 november
https://foi.se/forskning/informationssakerhet/crate—sveriges-nationella-cyberanlaggning-for-totalforsvaret/crate-ctf—en-tavling-i-cybersakerhet.html?openExpanderWith=CTF%3Aen%2CCTF

SÅRBARHETAPACHEACITVEMQ

Apache informerar om en kritisk sårbarhet i ActiveMQ (CVE-2023-46604). Ett angrepp möjliggör att fjärrköra skadlig kod (remote code execution – RCE). [1]

Bristen ligger i hur data deserialiseras. Genom att utnyttja detta kan en angripare köra godtycklig kod på ett angripet system. [1]

Apache Software Foundation klassar sårbarheten som 10.0 enligt CVSS-skalan. NIST har ännu inte bedömt sårbarheten. [2]

Uppdatering 2023-11-02

Det finns rapporter om att sårbarheten nu utnyttjas aktivt. [3]

Påverkade produkter

Apache ActiveMQ 5.18.0 innan 5.18.3
Apache ActiveMQ 5.17.0 innan 5.17.6
Apache ActiveMQ 5.16.0 innan 5.16.7
Apache ActiveMQ innan 5.15.16
Apache ActiveMQ Legacy OpenWire Module 5.18.0 innan 5.18.3
Apache ActiveMQ Legacy OpenWire Module 5.17.0 innan 5.17.6
Apache ActiveMQ Legacy OpenWire Module 5.16.0 innan 5.16.7
Apache ActiveMQ Legacy OpenWire Module 5.8.0 innan 5.15.16

Rekommendationer

CERT-SE rekommenderar att uppdatera Apache ActiveMQ snarast möjligt.

Källor

[1] https://activemq.apache.org/security-advisories.data/CVE-2023-46604-announcement.txt

[2] https://nvd.nist.gov/vuln/detail/CVE-2023-46604

[3] https://www.rapid7.com/blog/post/2023/11/01/etr-suspected-exploitation-of-apache-activemq-cve-2023-46604/

Sekundärkälla: CERT.se (MSB).

SÅRBARHETCISCO

Cisco har gått ut med information om en kritisk sårbarhet (CVE-2023-20198) i Cisco IOS XE Software som utnyttjas aktivt som en nolldagssårbarhet. Sårbarheten har en CVSS-klassning på 10,0 och bör hanteras skyndsamt av verksamheter som använder utrustning från Cisco med mjukvaran i fråga. [1]

Sårbarheten finns i webbgränssnittet i Cisco IOS XE och gör det möjligt för en oautentiserad angripare att på distans skapa ett lokalt användarkonto med administrationsbehörigheter (level 15) som kan användas för att ta kontroll över systemet.

System är sårbara om de är exponerade mot internet, har webbgränssnittet aktiverat och är åtkomliga över http eller https.

Artikeln kan komma att uppdateras.

Uppdatering 2023-10-19

CERT-SE vill särskilt trycka på vikten av att hantera sårbarheten skyndsamt. Sårbarheten utnyttjas aktivit i många länder, däribland Sverige.

CISA publicerade i juni en rekommendation om att inte exponera managementinterface mot internet. Rekommendationen kan användas som vägledning för att begränsa möjliga framtida angrepp. [3]

Uppdatering 2023-10-23

Cisco har släppt en säkerhetsuppdatering för IOS XE serien 17.9. [1]

CISA har publicerat rådgivning för att hantera sårbarheterna i Cisco IOS XE. Rådgivningen uppdateras när mer information finns. [4]

Uppdatering 2023-10-30

Talos Intelligence rekommenderar även att undersöka om det i systemet finns nyligen skapade eller oförklarliga användarkonton, vilket kan vara tecken på kompromettering. [2]

Uppdatering 2023-11-02

Cisco har släppt ytterligare en säkerhetsuppdatering, denna gång för IOS XE-serien 17.6. [1]

CISA har även uppdaterat sin rådgivning för att hantera sårbarheterna i Cisco IOS XE. [5]

Påverkade produkter

Cisco IOS XE

Rekommendationer

CERT-SE rekommenderar att följa Ciscos vägledning för hur man går tillväga för att undersöka om webbgränssnitet är aktiverat samt om det är åtkomligt via http eller https. Cisco erbjuder dessutom IOC:er för att indikera om systemet komprometterats.

CERT-SE rekommenderar vidare att installera säkerhetsuppdateringar så snart dessa blir tillgängliga. Säkerhetsuppdateringar för IOS XE serien 17.9 och 17.6 finns nu tillgängliga.[1]

Om man kan ha varit sårbar bör man även undersöka systemen för att se om man kan vara drabbad av ett intrång. Det är troligtvis inte tillräckligt att enbart söka efter möjliga bakdörrar genom att kontrollera systemen utifrån, utan en grundlig undersökning behövs.

Indikatorer på kompromettering att leta efter finns i Ciscos rådgivning, CISA:s rådgivning samt hos Cisco Talos. [1,2,4]

Det Cisco-ägda cybersäkerhetsföretaget Talos har gjort en djupare analys av sårbarheten. [2]

Källor

[1] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z

[2] https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/

[3] https://www.cisa.gov/news-events/directives/binding-operational-directive-23-02

[4] https://www.cisa.gov/guidance-addressing-cisco-ios-xe-web-ui-vulnerabilities

[5] https://www.cisa.gov/news-events/alerts/2023/10/27/cisa-updates-guidance-addressing-cisco-ios-xe-web-ui-vulnerabilities-additional-releases

Sekundärkälla: CERT.se (MSB).

SÅRBARHETATLASSIAN

Atlassian informerar om en kritisk sårbarhet i Confluence Data Center och Confluence Server.

Atlassian skriver att ett utnyttjade av sårbarheten kan leda till omfattande dataförluster, utan att gå in på vidare detaljer. Atlassian klassar sårbarheten som 9.1 i CVSS-skalan. NIST har ännu inte gjort en bedömning. [1]

Påverkade produkter

Confluence Data Center och Confluence Server innan version 7.19.16
Confluence Data Center och Confluence Server innan version 8.3.4
Confluence Data Center och Confluence Server innan version 8.4.4
Confluence Data Center och Confluence Server innan version 8.5.3
Confluence Data Center och Confluence Server innan version 8.6.1

Rekommendationer

CERT-SE rekommenderar att uppdatera sårbara versioner snarast möjligt. Atlassian skriver att om det inte finns möjlighet att installera uppdatering, så är en mitigerande åtgärd att göra säkerhetskopia på instansen, samt om möjligt också att koppla bort den från internet.

Källor

[1] https://confluence.atlassian.com/security/cve-2023-22518-improper-authorization-vulnerability-in-confluence-data-center-and-server-1311473907.html

Sekundärkälla: CERT.se (MSB).