CERT-SE:s veckobrev v.22

VECKOBREV

Under veckan har en sårbarhet i VPN-produkter från Check Points uppmärksammats. Sårbarheten utnyttjas aktivt och att genomföra en exploatering är relativt enkelt. CERT-SE vill därför trycka på vikten att snarast möjligt uppdatera och vidta andra åtgärder. Se vidare: http://www.cert.se/2024/05/nolldagssarbarhet-i-vpn-produkter-fran-check-point.html

Nyheter i veckan

CVE-2024-4978: Backdoored Justice AV Solutions Viewer Software Used in Apparent Supply Chain Attack (23 maj)https://www.rapid7.com/blog/post/2024/05/23/cve-2024-4978-backdoored-justice-av-solutions-viewer-software-used-in-apparent-supply-chain-attack/

Lantmäteriet begränsar tillgången till viss information i ett antal digitala tjänster på grund av säkerhetsskäl (24 maj)https://www.lantmateriet.se/sv/om-lantmateriet/press/nyheter/lantmateriet-begransar-tillgangen-till-viss-information-i-ett-antal-digitala-tjanster-pa-grund-av-sakerhetsskal

Potent youth cybercrime ring made up of 1,000 people, FBI official says (24 maj)https://cyberscoop.com/potent-youth-cybercrime-ring-made-up-of-1000-people-fbi-official-says

Hackers phish finance orgs using trojanized Minesweeper clone (26 maj)https://www.bleepingcomputer.com/news/security/hackers-phish-finance-orgs-using-trojanized-minesweeper-clone/

Popular recording software used in courtrooms infected by password-stealing backdoor (27 maj)https://www.techspot.com/news/103151-popular-recording-software-used-courtrooms-infected-password-stealing.html

Police arrest man after computer viruses created by misusing AI (28 maj)https://www.asahi.com/ajw/articles/15283413

Researchers Warn of CatDDoS Botnet and DNSBomb DDoS Attack Technique (28 maj)https://thehackernews.com/2024/05/researchers-warn-of-catddos-botnet-and.html

Treasury Sanctions Creators of 911 S5 Proxy Botnet (28 maj)https://krebsonsecurity.com/2024/05/treasury-sanctions-creators-of-911-s5-proxy-botnet/

Data breach exposes details of 25,000 current and former BBC employees (29 maj)https://www.theguardian.com/media/article/2024/may/29/data-breach-exposes-details-of-25000-current-and-former-bbc-employees

Hackare uppger: Har stulit data från Ticketmaster (29 maj)https://www.svt.se/nyheter/utrikes/hackare-uppger-har-stulit-data-fran-ticketmaster..

It-experten: Dataintrång på biljettjätten kan stämma (29 maj)https://sverigesradio.se/artikel/it-experten-dataintrang-pa-biljettjatten-kan-stamma

Cybercriminals Abuse Stack Overflow to Promote Malicious Python Package (30 maj)https://thehackernews.com/2024/05/cybercriminals-abuse-stackoverflow-to.html

Operation Endgame (30 maj)https://www.troyhunt.com/operation-endgame/..

Largest ever operation against botnets hits dropper malware ecosystem (30 maj)https://www.europol.europa.eu/media-press/newsroom/news/largest-ever-operation-against-botnets-hits-dropper-malware-ecosystem

Rapporter och analyser

Rapport: Var fjärde företag har aldrig testat sin säkerhetsplan (27 maj)https://www.voister.se/artikel/2024/05/rapport-var-fjarde-foretag-har-aldrig-testat-sin-sakerhetsplan..

The CIO report: Leading your business through cyber riskhttps://assets.barracuda.com/assets/docs/dms/barracuda-cyber-resilience-report.pdf

Svenska it-säkerhetschefer ser generativ AI som en stor risk (27 maj)https://computersweden.se/article/2115778/svenska-it-sakerhetschefer-ser-generativ-ai-som-en-stor-risk.html..

2024 Voice of the CISOhttps://www.proofpoint.com/us/resources/white-papers/voice-of-the-ciso-report

Din bil riskerar att bli hackad – om den inte redan är det (27 maj)https://www.his.se/nyheter/2024/maj/din-bil-riskerar-att-bli-hackad–om-den-inte-redan-ar-det

Europe’s cybersecurity chief says disruptive attacks have doubled in 2024, sees Russia behind many (29 maj)https://apnews.com/article/europe-election-cybersecurity-russia-ukraine-5b0cca725d17a028dd458df77a60440c

Informationssäkerhet och blandat

Scientists Have Discovered A New Way To Count (And It’s Actually Really Important) (22 maj)https://www.iflscience.com/scientists-have-discovered-a-new-way-to-count-and-its-actually-really-important-74327

Så hanterade Vellinge vinterns cyberattack (27 maj)https://www.voister.se/artikel/2024/05/sa-hanterade-vellinge-vinterns-cyberattack

EU Is Tightening Cybersecurity for Energy Providers (29 maj)https://www.tripwire.com/state-of-security/eu-tightening-cybersecurity-energy-providers

CERT-SE i veckan

Nolldagssårbarhet i VPN-produkter från Check Point (29 maj)https://www.cert.se/2024/05/nolldagssarbarhet-i-vpn-produkter-fran-check-point.html

CERT-SE:s veckobrev v.21

VECKOBREV

Blandade nyheter från veckan.

Nyheter i veckan

First LockBit, now BreachForums: Are cops winning the war or just a few battles? (17 maj)https://www.theregister.com/2024/05/17/cops_crime_winning

New Threat Insights Reveal That Cybercriminals Increasingly Target the Pharmacy Sector (17 maj)https://www.proofpoint.com/us/blog/email-and-cloud-threats/cybercriminals-increasingly-targeting-pharmacy-sector

Australia Investigates Data Breach at National Electronic Prescriptions Provider; Health Data Potentially Compromised (17 maj)https://www.bitdefender.com/blog/hotforsecurity/australia-investigates-data-breach-at-national-electronic-prescriptions-provider-health-data-potentially-compromised

American Radio Relay League cyberattack takes Logbook of the World offline (19 maj)https://www.bleepingcomputer.com/news/security/arrl-cyberattack-takes-logbook-of-the-world-offline

Allt fler cyberattacker i Norden sker via PDF-filer (20 maj)https://computersweden.se/article/2112439/allt-fler-cyberattacker-i-norden-sker-via-pdf-filer.html

British Library’s candid ransomware comms driven by ‘emotional intelligence’ (20 maj)https://www.theregister.com/2024/05/20/the_british_library_owes_lauded

Finanssektorn spurtar – snart skärps EU:s regler för cybersäkerhet (20 maj)https://computersweden.se/article/2109630/finanssektorn-spurtar-snart-skarps-eus-regler-for-cybersakerhet.html

Keylogger in Microsoft Exchange Server Steals Login Credentials From Login Page (21 maj)https://cybersecuritynews.com/keylogger-embedded-microsoft-exchange-server/

Små kommuner särskilt utsatta för it-attacker (21 maj)https://sverigesradio.se/artikel/fortsatt-stora-problem-for-bjurholms-kommun-efter-it-attack

Data från Svenska kyrkan publicerades på darknet – tusentals berörda (21 maj)https://sverigesradio.se/artikel/data-fran-svenska-kyrkan-publicerades-pa-darknet-tusentals-berorda

Malware Delivery via Cloud Services Exploits Unicode Trick to Deceive Users (21 maj)https://thehackernews.com/2024/05/malware-delivery-via-cloud-services.html

Chinese hackers hide on military and govt networks for 6 years (22 maj)https://www.bleepingcomputer.com/news/security/unfading-sea-haze-hackers-hide-on-military-and-govt-networks-for-6-years/

State hackers turn to massive ORB proxy networks to evade detection (22 maj)https://www.bleepingcomputer.com/news/security/state-hackers-turn-to-massive-orb-proxy-networks-to-evade-detection/

Rapporter och analyser

QNAPping At The Wheel (17 maj)https://labs.watchtowr.com/qnap-qts-qnapping-at-the-wheel-cve-2024-27130-and-friends

Tiny BackDoor Goes Undetected – Suspected Turla leveraging MSBuild to Evade detection (20 maj)https://cyble.com/blog/tiny-backdoor-goes-undetected-suspected-turla-leveraging-msbuild-to-evade-detection

CISA: Software Transparency in SaaS Environments (21 maj)https://www.cisa.gov/sites/default/files/2024-05/Software%20Transparency%20in%20SaaS%20Environments.pdf

Rapid7 Releases the 2024 Attack Intelligence Report (21 maj)https://www.rapid7.com/blog/post/2024/05/21/rapid7-releases-the-2024-attack-intelligence-report/

Informationssäkerhet och blandat

Fördjupat samarbete med USA inom totalförsvar och cybersäkerhet i fokus när Carl-Oskar Bohlin besökte Washington (17 maj)https://www.regeringen.se/artiklar/2024/05/fordjupat-samarbete-med-usa-inom-totalforsvar-och-cybersakerhet-i-fokus-nar-carl-oskar-bohlin-besokte-washington

Why Your Wi-Fi Router Doubles as an Apple AirTag (21 maj)https://krebsonsecurity.com/2024/05/why-your-wi-fi-router-doubles-as-an-apple-airtag/#more-67551

NIST quantum-resistant algorithms to be published within weeks, top White House advisor says (22 maj)https://therecord.media/nist-post-quantum-cryptography-standards-publishing-soon

Business email compromise: new guidance to protect your organisationhttps://www.ncsc.gov.uk/blog-post/business-email-compromise-guidance-protect-organisation

CERT-SE i veckan

Allvarlig sårbarhet i Cisco FMC (23 maj)https://www.cert.se/2024/05/allvarlig-sarbarhet-i-cisco-fmc.html

Allvarlig sårbarhet i Confluence-produkter (23 maj)https://www.cert.se/2024/05/allvarlig-sarbarhet-i-confluence-produkter.html

Kritiska sårbarheter i produkter från Ivanti (23 maj)https://www.cert.se/2024/05/kritiska-sarbarheter-i-produkter-fran-ivanti.html

Kritisk sårbarhet i GitHub Enterprise Server (22 maj)https://www.cert.se/2024/05/kritisk-sarbarhet-i-github-enterprise-server.html

Kritisk sårbarhet i Fluent Bit (21 maj)https://www.cert.se/2024/05/kritisk-sarbarhet-i-fluent-bit.html

Störningar i Westpays betalterminaler över hela landet – prognos saknas

Uppdaterad 21 maj kl 06.25

Betalterminalbolaget Westpay har drabbats av omfattande driftstörningar i sina betalterminaler över hela landet, det uppger Dagens Industri som var först med nyheten. Problemen började vid middagstid då Axfoods butikskedjor City Gross, Willys, Hemköp och Tempo inte kunde genomföra köp där man blippar kortet i betalterminalerna. Under eftermiddagen och kvällen har driftstörningarna förvärrats så att de nu även påverkar andra butiker och även restauranger i hela landet.

IT-bolaget Tietoevry ansvarar för driften av Westpays betalterminaler. Bolaget drabbades i tidigare i år av en omfattande cyberattack där ett stort antal företag, kommuner, regioner och statliga myndigheter drabbades. En myndighet som drabbades hårt var TLV. Tietoevry har kritiserats för sin krishantering och bristande transparens.

Vid 22.40-tiden igår berättade Westpay att man lyckats återställa till normal drift och att man nu utreder vad som ligger bakom driftstörningen

Länkar

Omfattande driftstörningar i Westpays betalterminaler (DI – ligger vanligen bakom betalvägg)

Driftstörningar i Westpays betalterminaler i hela landet – går inte att betala (Marcus Oscarsson)

Westpays hemsida

80 000 personuppgifter i Helsingfors stad läckta vid dataintrång

Den 13 maj berättade Helsingfors stad att man utsatts för ett dataintrång där uppgifter om 80 000 personuppgifter läckt, något som Computer Sweden var först med att publicera. Uppgifterna om eleverna bedöms delvis som känsliga eller sekretessbelagda. Dataintrånget kom till stadens kännedom den 30 april och möjliggjordes eftersom staden inte uppdaterat en sårbarhet i en distansförbindelseserver.

Helsingfors stad arbetar nu med att kartlägga den djupare tekniska omfattningen av intrånget samtidigt som man vidtar säkerhetshöjande åtgärder för att förhindra framtida intrång.

Helsingfors stad har informerat de som är berörda av dataintrånget.

Länkar

Helsingfors stad

Computer Sweden

Traficom – råd för de som utsatts för dataläckage

Sabotageförsök mot dricksvattenanläggningar i Leksand

Dala Vatten och Avfall har utfärdat en kokrekommendation för dricksvattnet i kommunen sedan man upptäckt försök till skadegörelse mot dricksvattenanläggningar i Leksands kommun.

Rekommendationen att kok dricksvattnet gäller tills vidare.

Dala Vatten och Avfall meddelar att man från kl 21 ikväll har dricksvattentankar utplacerade på olika platser.

Länkar

Dala Vatten och Avfall

Leksands kommun

Varning för kraftiga eller extrema solstormar

Natten mot lördagen höjde Svenska Kraftnät (SVK) beredskapen med anledning av att stora delar av Sverige drabbades av en extrem solstorm. Åtgärder vidtogs för att begränsa överföringen av el mellan elområdena. Även MSB följer händelseutvecklingen och har via Krisinformation.se lagt ut information om pågående solstormar. Den höjda beredskapen är kopplad till regionala och globala varningar som utfärdats av National Oceanic and Atmospheric Administration (NOAA) och det nationella centret för rymdväder (SWPC).

Solstormar som påverkar jorden i allvarlig omfattning är ganska ovanliga men SPWC förutspår att vi är i en period med ökande antal solstormar. Prognosen har fram till nu pekat på år 2025 som ett solstormsrikt år. Senast en solstorm påverkade jorden så allvarligt som nu sker är mitten på 1800-talet. Då kunde man läsa en bok i ljuset av mäktiga norrsken ända ner till ekvatorn.

För Sveriges del som är mycket elberoende kan konsekvenserna bli mycket allvarliga.

Länkar

NOAA

Svenska Kraftnät

Krisinformation.se

CERT-SE:s veckobrev v.19

VECKOBREV

Polisen berättar om andra fasen i operation Cronos, där man försöker komma åt administratören och utvecklaren bakom LockBit. USA utlovar en belöning på upp till 10 miljoner dollar för tips som leder till att mannen grips eller döms.

Trevlig helg!

Nyheter i veckan

Dating apps kiss’n’tell all sorts of sensitive personal info (4 maj)https://www.theregister.com/2024/05/04/dating_apps_privacy_mozilla/?td=rt-3a

From teenage cyber-thug to Europe’s most wanted (5 maj)https://www.bbc.com/news/articles/cyxe9g4zlgpo

Using MITM to bypass FIDO2 phishing-resistant protection (5 maj)https://securityboulevard.com/2024/05/using-mitm-to-bypass-fido2-phishing-resistant-protection/

Detaljhandeln orolig för cybersäkerhet – men prioriterar den inte (6 maj)https://computersweden.se/article/2098126/detaljhandeln-orolig-for-cybersakerhet-men-prioriterar-den-inte.html

Finsk varning för Android-app som länsar bankkonton (6 maj)https://computersweden.se/article/2098160/finsk-varning-for-android-app-som-lansar-bankkonton.html

Stealing cookies: Researchers describe how to bypass modern authentication (6 maj)https://cyberscoop.com/stealing-cookies-researchers-describe-how-to-bypass-modern-authentication/

Why Your VPN May Not Be As Secure As It Claims (6 maj)https://krebsonsecurity.com/2024/05/why-your-vpn-may-not-be-as-secure-as-it-claims/

New attack leaks VPN traffic using rogue DHCP servers (7 maj)https://www.bleepingcomputer.com/news/security/new-tunnelvision-attack-leaks-vpn-traffic-using-rogue-dhcp-servers/

Trafikverket satsar på prediktiv analys och automatisering – ”potentialen är enorm” (7 maj)https://computersweden.se/article/2098131/trafikverket-satsar-pa-prediktiv-analys-och-automatisering-potentialen-ar-enorm.html

Svenska kyrkan hotas på pengar (7 maj)https://www.dn.se/direkt/2024-05-07/svenska-kyrkan-hotas-pa-pengar/

Nya åtgärder mot ransomware-tjänsten LockBits administratör (8 maj)https://polisen.se/aktuellt/nyheter/nationell/2024/maj/nya-atgarder-mot-ransomware-tjansten-lockbits-administrator/..

Police resurrect LockBit’s site and troll the ransomware gang (6 maj)https://techcrunch.com/2024/05/06/police-resurrect-lockbits-site-and-troll-the-ransomware-gang/?guccounter=1

APT28 campaign targeting Polish government institutions (8 maj)https://cert.pl/en/posts/2024/05/apt28-campaign/

Akira and Cisco AnyConnect: The working exploit for CVE-2020-3259 (8 maj)https://www.truesec.com/hub/blog/akira-and-cisco-anyconnect-the-working-exploit-for-cve-2020-3259

Informationssäkerhet och blandat

NCS3 – Förstudie om cybersäkerhet i dricksvattenverk (2 maj)https://www.foi.se/rapporter/rapportsammanfattning.html?reportNo=FOI-R–5578–SE

Omfattande cyberattacker väntas mot sommarens OS i Paris (7 maj)https://computersweden.se/article/2098185/omfattande-cyberattacker-vantas-mot-sommarens-os-i-paris.html

IT-säkerhet fram till frontlinjen – Utvecklingsprocesser för IT-system i Försvarsmakten (7 maj)https://www.foi.se/rapporter/rapportsammanfattning.html?reportNo=FOI-R–5598–SE

Where did my VMware Security Advisories go? (7 maj)https://blogs.vmware.com/security/2024/05/where-did-my-vmware-security-advisories-go.html

Global Cybercrime Report 2024: Which Countries Face the Highest Risk? (8 maj)https://securityboulevard.com/2024/05/global-cybercrime-report-2024-which-countries-face-the-highest-risk/amp/

Choosing Secure and Verifiable Technologies (9 maj)https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/outsourcing-and-procurement/cyber-supply-chains/choosing-secure-and-verifiable-technologies

iOS 17: Add More Security to Your iPhone Messages in 4 Easy Steps (10 maj)https://www.cnet.com/tech/services-and-software/ios-17-add-more-security-to-your-iphone-messages-in-4-easy-steps/

Boeing confirms 2023 $200m ransomware demand (10 maj)https://www.airport-technology.com/news/boeing-confirms-2023-hack-200m-ransomware/

CERT-SE:s veckobrev v.18

VECKOBREV

Blandade händelser från veckan. Bland annat om sårbarheter i ArubaOS och intrång i verksamheter i olika sektorer.

Vi vill också nämna att vi just nu söker en IT-säkerhetsspecialist: https://www.cert.se/om-cert-se/lediga-jobb/

Sista ansökningsdag är den 9 maj!

Nyheter i veckan

Telegram is down with “Connecting” error (26 apr)https://www.bleepingcomputer.com/news/technology/telegram-is-down-with-connecting-error/

Kaiser’s website tracking tools may have compromised data on 13 million customers (26 apr)https://therecord.media/kaiser-permanente-potential-third-party-data-exposure

Cyberattack hits Georgia county at center of voting software breach (26 apr)https://cyberscoop.com/cyberattack-hits-georgia-county-at-center-of-voting-software-breach/

Bogus npm Packages Used to Trick Software Developers into Installing Malware (27 apr)https://thehackernews.com/2024/04/bogus-npm-packages-used-to-trick.html

NATO’s international cybersecurity exercise Locked Shields concludes (27 apr)https://www.ukrinform.net/rubric-society/3857429-natos-international-cybersecurity-exercise-locked-shields-concludes.html

Okta Warns of Unprecedented Surge in Proxy-Driven Credential Stuffing Attacks (28 apr)https://thehackernews.com/2024/04/okta-warns-of-unprecedented-surge-in.html

CISA Rolls Out New Guidelines to Mitigate AI Risks to US Critical Infrastructure (29 apr)https://www.securityweek.com/cisa-rolls-out-new-guidelines-to-mitigate-ai-risks-to-us-critical-infrastructure/

Anticipating and addressing cybersecurity challenges (29 apr)https://www.helpnetsecurity.com/2024/04/29/various-cybersecurity-challenges-organizations-face-video/

Change Healthcare hacked using stolen Citrix account with no MFA (30 apr)https://www.bleepingcomputer.com/news/security/change-healthcare-hacked-using-stolen-citrix-account-with-no-mfa/

Umeå universitet utsatt för omfattande cyberattack (2 maj)https://www.umu.se/nyheter/umea-universitet-utsatt-for-omfattande-cyberattack_11935138/..

IT-chefen om attacken mot universitetet (2 maj)https://sverigesradio.se/artikel/omfattande-it-attack-mot-umea-universitet

Dropbox Discloses Breach of Digital Signature Service Affecting All Users (2 maj)https://thehackernews.com/2024/05/dropbox-discloses-breach-of-digital.html

Informationssäkerhet och blandat

CISA Rolls Out New Guidelines to Mitigate AI Risks to US Critical Infrastructure (29 apr)https://www.securityweek.com/cisa-rolls-out-new-guidelines-to-mitigate-ai-risks-to-us-critical-infrastructure/

UK becomes first country to ban default bad passwords on IoT devices (29 apr)https://therecord.media/united-kingdom-bans-defalt-passwords-iot-devices

USB Malware Attacks on Industrial Orgs Becoming More Sophisticated (29 apr)https://www.securityweek.com/honeywell-usb-malware-attacks-on-industrial-orgs-becoming-more-sophisticated/

Anticipating and addressing cybersecurity challenges (29 apr)https://www.helpnetsecurity.com/2024/04/29/various-cybersecurity-challenges-organizations-face-video/

Considerations for Operational Technology Cybersecurity (30 apr)https://thehackernews.com/2024/04/considerations-for-operational.html

New U.K. Law Bans Default Passwords on Smart Devices Starting April 2024 (30 apr)https://thehackernews.com/2024/04/new-uk-law-bans-default-passwords-on.html

Preventing the Next Big Cyberattack on U.S. Health Care (1 maj)https://hbr.org/2024/05/preventing-the-next-big-cyberattack-on-u-s-health-care

NCSC’s New Mobile Risk Model Aimed at “High-Threat” Firms (1 maj)https://www.infosecurity-magazine.com/news/ncscs-mobile-risk-model-highthreat/

Falsk information om cyberattacker skapar allt större osäkerhet (3 maj)https://computersweden.se/article/2096581/falsk-information-om-cyberattacker-skapar-allt-storre-osakerhet.html

CERT-SE i veckan

Allvarliga sårbarheter i Brocade SANnav (29 apr)https://www.cert.se/2024/04/allvarliga-sarbarheter-i-brocade-sannav.html

Flera kritiska sårbarheter i produkter från Aruba Networks (2 maj)https://www.cert.se/2024/05/flera-kritisika-sarbarheter-i-produkter-fran-aruba-networks.html