Uppdaterad 2024-03-26; 01.10

Mål 6027-23

Efter Kammarrättens dom mot Prolegia har Integritetsskyddsmyndigheten (IMY) beslutat att särskilt granska alla söktjänster med frivilligt utgivningsbevis.

Bakgrunden är rekryteringsbolaget Prolegia hos Åklagarmyndigheten begärde ut vissa allmänna handlingar ur två brottmål. Åklagarmyndigheten beslutade att inte lämna ut de begärda handlingarna med hänvisning till att bolaget inte som huvudsaklig verksamhet sysslade med journalistisk utgivning. Bolaget överklagade beslutet med hänvisning till undantagen i dataskyddsförordningen och Yttrandefrihetsgrundlagen (YGL). Man registrerade också ett så kallat frivilligt utgivningsbevis men av bolagets verksamhetsbeskrivning kunde man inte utläsa att det ägnade sig åt journalistisk verksamhet. Istället framgick det att bolagets verksamhet utgjordes av bakgrundskontroller och konsultverksamhet inom rekrytering.

Frivilliga utgivningsbevis under lupp

Det som i normala fall är sekretessbelagda uppgifter enligt OSL (Offentlighets- och sekretesslagen) och dataskyddsförordningen (GDPR), får i under vissa omständigheter lämnas ut till ett bolag som har ett så kallat frivilligt utgivningsbevis. Utlämning av personuppgifter är också möjligt även om det avser mycket känsliga personuppgifter som t ex inkomst, domstolshandlingar, brottsbelastning och skulder hos Kronofogden. Söktjänsten hanterar rent tekniskt informationen i en databas och ansvarar också för att de uppgifter de publicerar är korrekta. Om någon uppgift är felaktig kan en privatperson framföra klagomål och begära rättelse. Trots att möjligheten till rättelse finns har många personer upplevt att söktjänsterna är ovilliga att ta ansvar för de uppgifter de publicerar. I ett parallellt ärende har en privatperson stämt Mr Koll för grovt förtal.

Inom säkerhetsbranschen och bland rekryterare används möjligheten att få ut mycket känslig information om privatpersoner regelmässigt. Det är till och med möjligt att få ut information om en person varit intagen för psykiatrisk vård. Ett av bolagen är alltså Prolegia som utvecklat en något som kan jämföras med en brottsdatabas. För brottsdatabaser finns det särskilda regler enligt Brottsdatalagen. Vem som helst får inte samla in uppgifter för systematisk bearbetning i ett datasystem. Ett privat företag kan få tillstånd att göra sådan insamling under vissa förutsättningar men de förutsättningarna ansåg vare sig Förvaltningsrätten eller Kammarrätten var uppfyllda i det här målet.

Kraftig begränsning av söktjänsternas tillgång till känslig information

Målet är intressant eftersom det är första gången de tillfälliga utgivningsbevisen prövas rättsligt. Och det är troligt att Prolegia kommer att försöka att gå hela vägen till EU-domstolen. Men under tiden kommer nu IMY att granska alla bolag med så kallade tillfälliga utgivningsbevis som erbjuder söktjänster som kan innehålla mycket känsliga personuppgifter.

Om Kammarrättens dom står sig hela vägen till EU-domstolen då kommer söktjänsternas information att begränsas kraftigt. Några kan till och med behöva upphöra med sin verksamhet.

BM24-001 Kritiska RCE-sårbarheter i Forti-produkter

Källa: CERT.se/MSB

BLIXTMEDDELANDEFORTINETFORTIOSFORTIPROXYFORTIPAMFORTISWITCHMANAGER

Fortinet har publicerat säkerhetsuppdateringar som hanterar två kritiska sårbarheter i FortiOS. Dessa har tilldelats CVSS-klassificering 9.6 och 9.8.

Den kritiska sårbarheten CVE-2024-21762 påverkar SSL VPN-komponenten i FortiOS och kan möjliggöra för en icke-autentiserad fjärrangripare att köra godtyckliga kommandon och kod mot den sårbara enheten (remote code execution). För att sårbarheten ska kunna utnyttjas krävs att SSL VPN-funktion är aktiverad. Mitigerande åtgärder finns. Troligen utnyttjas denna sårbarhet redan aktivt [1].

Den kritiska sårbarheten CVE-2024-23113 i FortiOS fgfmd [2] kan även den utnyttjas av en fjärrangripare men hanteras av säkerhetsuppdaterade versioner enligt.

Uppdatering 2024-02-12

Flera påverkade Forti-produkter har lagts till i listorna för CVE-2024-21762 (uppdaterat nedan) och CVE-2024-23113. Därför har även rubriken på CERT-SE:s artikel uppdaterats för att inte endast nämna FortiOS. De tillkomna Forti-produkterna är olika versioner av FortiPAM, FortiProxy samt FortiSwitchManager [1,2].

Uppdatering 2024-03-21

Proof of concept för hur sårbarhet CVE-2024-21762 kan utnyttjas finns publikt tillgänglig på internet. Sårbarheten utnyttjas aktivt. [3]

Påverkade produkter

FortiOS 7.4, versioner 7.4.0 till och med 7.4.2
(uppgradera till 7.4.3 eller senare)

FortiOS 7.2, versioner 7.2.0 till och med 7.2.6
(uppgradera till 7.2.7 eller senare)

FortiOS 7.0, versioner 7.0.0 till och med 7.0.13
(uppgradera till 7.0.14 eller senare)

FortiOS 6.4, versioner 6.4.0 till och med 6.4.14
(uppgradera till 6.4.15 eller senare)

FortiOS 6.2, versioner 6.2.0 till och med 6.2.15
(uppgradera till 6.2.16 eller senare)

FortiOS 6.0 (alla versioner 6.0)

FortiProxy 7.4, versioner 7.4.0 till och med 7.4.2
(uppgradera till 7.4.3 eller senare)

FortiProxy 7.2, versioner 7.2.0 till och med 7.2.8
(uppgradera till 7.2.9 eller senare)

FortiProxy 7.0, versioner 7.0.0 till och med 7.0.14
(uppgradera till 7.0.15 eller senare)

FortiProxy 2.0, versioner 2.0.0 till och med 2.0.13
(uppgradera till 2.0.14 eller senare)

FortiProxy 1.2 (alla versioner 1.2)

FortiProxy 1.1 (alla versioner 1.1)

FortiProxy 1.0 (alla versioner 1.0)

Rekommendationer

CERT-SE rekommenderar att snarast möjligt säkerhetsuppdatera sårbara produkter och följa tillverkarens rekommendationer gällande mitigerande åtgärder, för att undvika ett angrepp.

Källor

[1] https://fortiguard.fortinet.com/psirt/FG-IR-24-015

[2] https://fortiguard.fortinet.com/psirt/FG-IR-24-029

[3] https://isc.sans.edu/diary/Scans+for+Fortinet+FortiOS+and+the+CVE202421762+vulnerability/30762

VECKOBREV

Veckans svep bjuder på en blandning av händelser, fördjupningar och rekommendationer. Bland annat en vägledning från NCSC-UK för chefer och ledning i både privat och offentlig sektor, om vad man bör tänka på i händelse av en cybersäkerhetsincident.

Nyheter i veckan

International Monetary Fund email accounts hacked in cyberattack (15 mars)https://www.bleepingcomputer.com/news/security/international-monetary-fund-email-accounts-hacked-in-cyberattack/

Stora datorproblem hos Jordbruksverket (16 mars)https://www.svt.se/nyheter/lokalt/jonkoping/stora-datorproblem-hos-jordbruksverket

NIST NVD Halt Leaves Thousands of Vulnerabilities Untagged (18 mars)https://www.hackread.com/nist-nvd-halt-leaves-vulnerabilities-untagged/

CISA hit by hackers, key systems taken offline (18 mars)https://securityintelligence.com/news/cisa-hackers-key-systems-offline/

New Zealand media company: Hackers directly targeting individuals after alleged data breach (18 mars)https://therecord.media/mediaworks-new-zealand-data-breach-extortion

Finland, Germany, Ireland, Japan, Poland, South Korea added to US-led spyware agreement (18 mars)https://therecord.media/international-spyware-agreement-new-members

Commercial Bank of Ethiopia glitch lets customers withdraw millions (18 mars)https://www.bbc.com/news/world-68599027

Fujitsu found malware on IT systems, confirms data breach (18 mars)https://www.bleepingcomputer.com/news/security/fujitsu-found-malware-on-it-systems-confirms-data-breach/

New Phishing Attack Uses Clever Microsoft Office Trick to Deploy NetSupport RAT (19 mars)https://thehackernews.com/2024/03/new-phishing-attack-uses-clever.html

Försäkringskassan varnar för bluffmejl (19 mars)https://sakerhetskollen.se/aktuella-brott/forsakringskassan-varnar-for-bluffmejl

Strul hos Skatteverket när deklarationen öppnade (19 mars)https://tt.omni.se/strul-hos-skatteverket-nar-deklarationen-oppnade/a/4o6r5V

Hackare avslöjade nätverk – misstänks ha lurat äldre (20 mars)https://sverigesradio.se/artikel/hackare-avslojade-natverk-misstanks-ha-lurat-aldre

SVT Uppdrag Granskning: hackaren (20 mars)https://www.svtplay.se/video/e6dEVLw/uppdrag-granskning/hackaren

300,000 Systems Vulnerable to New Loop DoS Attack (20 mars)https://www.securityweek.com/300000-systems-vulnerable-to-new-loop-dos-attack/… 
Advisory on Application-layer Loop DoS Attacks (19 mars)https://cispa.saarland/group/rossow/Loop-DoS

Earth Krahang Exploits Intergovernmental Trust to Launch Cross-Government Attacks (18 mars)https://www.trendmicro.com/en_us/research/24/c/earth-krahang.html…https://www.bleepingcomputer.com/news/security/chinese-earth-krahang-hackers-breach-70-orgs-in-23-countries/

“Disabling cyberattacks” are hitting critical US water systems, White House warns (20 mars)https://arstechnica.com/security/2024/03/critical-us-water-systems-face-disabling-cyberattacks-white-house-warns/…
https://www.bleepingcomputer.com/news/security/white-house-and-epa-warn-of-hackers-breaching-water-systems/

Danmark blev ramt af GPS-jamming i nyt angreb på kritisk infrastruktur (20 mars)https://jyllands-posten.dk/indland/ECE16955137/danmark-blev-ramt-af-gpsjamming-i-nyt-angreb-paa-kritisk-infrastruktur/

Exploit released for Fortinet RCE bug used in attacks, patch now (21 mars)https://www.bleepingcomputer.com/news/security/exploit-released-for-fortinet-rce-bug-used-in-attacks-patch-now/

New StrelaStealer Phishing Attacks Hit Over 100 Organizations in E.U. and U.S. (22 mars)https://thehackernews.com/2024/03/new-strelastealer-phishing-attacks-hit.html

Informationssäkerhet och blandat

Inside the Rabbit Hole: BunnyLoader 3.0 Unveiled (15 mars)https://unit42.paloaltonetworks.com/analysis-of-bunnyloader-malware/

Department of Homeland Security lays out AI plans in new roadmap (18 mars)https://fedscoop.com/dhs-ai-roadmap/

New Attack Shows Risks of Browsers Giving Websites Access to GPU (18 mars)https://www.securityweek.com/new-attack-shows-risks-of-browsers-giving-websites-access-to-gpu/

We’re one step closer to a global cybersecurity standard for smart home devices (19 mars)https://www.theverge.com/2024/3/18/24104906/csa-iot-device-security-specification-product-security-verification-mark

A prescription for privacy protection: Exercise caution when using a mobile health app (19 mars)https://www.welivesecurity.com/en/privacy/prescription-privacy-protection-exercise-caution-mobile-health-app/

PRC state-sponsored cyber activity: Actions for critical infrastructure leaders (19 mars)https://www.cisa.gov/resources-tools/resources/prc-state-sponsored-cyber-activity-actions-critical-infrastructure-leaders

Abusing the DHCP Administrators Group to Escalate Privileges in Windows Domains (20 mars)https://www.akamai.com/blog/security-research/abusing-dhcp-administrators-group-for-privilege-escalation-in-windows-domains

Making Sense of Operational Technology Attacks: The Past, Present, and Future (21 mars)https://thehackernews.com/2024/03/making-sense-of-operational-technology.html

Responding to a cyber incident – a guide for CEOs (21 mars)https://www.ncsc.gov.uk/guidance/ceos-responding-cyber-incidents

Årsrapport: Recorded Future 2023 Annual Report (21 mars)https://www.recordedfuture.com/2023-annual-report

Målet: Nya Cybercampus Sverige ska stärka hela landets it-säkerhet (22 mars)https://www.nyteknik.se/tech/malet-nya-cybercampus-sverige-ska-starka-hela-landets-it-sakerhet/4246479

Opening Pandora’s box – Supply Chain Insider Threats in Open Source projectshttps://boostsecurity.io/blog/opening-pandora-box-supply-chain-insider-threats-in-oss-projects

CERT-SE i veckan

Uppdaterad artikel – Kritiska RCE-sårbarheter i Forti-produkter (21 mars)https://www.cert.se/2024/02/kritiska-rce-sarbarheter-i-fortios.html

Kritiska sårbarheter i Ivanti Neurons för ITSM och Standalone Sentry (21 mars)https://www.cert.se/2024/03/kritiska-sarbarheter-i-ivanti-neurons-och-standalone-sentry.html