CERT-SE:s veckobrev v.29

VECKOBREV

En händelserik vecka på it-säkerhetsområdet. Den 18 juli skickade CERT-SE ut ett blixtmeddelande med anledning av kritiska sårbarheter i Cisco Secure Email Gateway och den 19 juli orsakade ett tekniskt fel i CrowdStrike Falcon Sensor omfattande driftstörningar i flera delar av världen. Du hittar CERT-SE:s artiklar om dessa händelser här:

Båda dessa kan komma att uppdateras med ytterligare information.

Med det vill CERT-SE önska en trevlig helg!

Nyheter i veckan

iPhone users in 98 countries warned about spyware by Apple (12 jul)https://www.malwarebytes.com/blog/news/2024/07/iphone-users-in-98-countries-warned-about-spyware-by-apple

Hacktivist Groups “People’s Cyber Army” And “HackNeT” Launch Trial DDoS Attacks on French Websites; prior to the Onslaught during Paris Olympics (15 jul)https://cyble.com/blog/hacktivist-groups-peoples-cyber-army-and-hacknet-launch-trial-ddos-attacks-on-french-websites-prior-to-the-onslaught-during-paris-olympics/
Paris 2024 Olympics to face complex cyber threats (16 jul)https://www.helpnetsecurity.com/2024/07/16/france-olympic-games-2024-cybersecurity-services-spending/

Email addresses of 15 million Trello users leaked on hacking forum (16 jul)https://www.bleepingcomputer.com/news/security/email-addresses-of-15-million-trello-users-leaked-on-hacking-forum/

Major Microsoft 365 outage caused by Azure configuration change (19 jul)https://www.bleepingcomputer.com/news/microsoft/major-microsoft-365-outage-caused-by-azure-configuration-change/

Globala it-störningar – flyg ställs in över hela världen (19 jul)https://www.svt.se/nyheter/utrikes/it-storningar-varlden-over
Larm om it-strul världen över (19 jul)https://www.aftonbladet.se/nyheter/a/MnnWWm/larm-om-it-strul-varlden-over

Rapporter och analyser

Fake AWS Packages Ship Command and Control Malware In JPEG Files (14 jul)https://blog.phylum.io/fake-aws-packages-ship-command-and-control-malware-in-jpeg-files/

HardBit ransomware version 4.0 supports new obfuscation techniques (15 jul)https://securityaffairs.com/165735/malware/hardbit-ransomware-version-4-0.html

Threat Spotlight: Attackers abuse URL protection services to mask phishing links (15 jul)https://blog.barracuda.com/2024/07/15/threat-spotlight-attackers-abuse-url-protection-services

SEXi ransomware rebrands to APT INC, continues VMware ESXi attacks (15 jul)https://www.bleepingcomputer.com/news/security/sexi-ransomware-rebrands-to-apt-inc-continues-vmware-esxi-attacks/

The Importance of Data Security in Hospitality (15 jul)https://www.devx.com/technology/the-importance-of-data-security-in-hospitality/

DarkGate, the Swiss Army knife of malware, sees boom after rival Qbot crushed (16 jul)https://www.theregister.com/2024/07/16/darkgate_malware/

Defending Against APTs: A Learning Exercise with Kimsuky (16 jul)https://www.rapid7.com/blog/post/2024/07/16/defending-against-apts-a-learning-exercise-with-kimsuky/

Container Breakouts: Escape Techniques in Cloud Environments (18 jul)https://unit42.paloaltonetworks.com/container-escape-techniques/

Informationssäkerhet och blandat

Improving cyber resilience of frontline forces in Europe (15 jul)https://www.gov.uk/government/news/improving-cyber-resilience-of-frontline-forces-in-europe

Cybersecurity crisis communication: What to do (15 jul)https://securityintelligence.com/articles/cybersecurity-crisis-communication-what-to-do/

Discover the growing threats to data security (15 jul)https://www.helpnetsecurity.com/2024/07/15/pranava-adduri-bedrock-security-data-security-risks/

Punch Card Hacking – Exploring a Mainframe Attack Vector (16 jul)https://blog.nviso.eu/2024/07/16/punch-card-hacking-exploring-a-mainframe-attack-vector/

Forget Brexit – EU cybersecurity upgrade means UK too (16 jul)https://northwestbylines.co.uk/politics/brexit/forget-brexit-eu-cybersecurity-upgrade-means-uk-too/

UK Government Set to Introduce New Cyber Security and Resilience Bill (18 jul)https://www.infosecurity-magazine.com/news/government-cyber-security-bill-2024/

CERT-SE i veckan

Kritiska sårbarheter i flera produkter från IBM (16 jul)https://www.cert.se/2024/07/kritiska-sarbarheter-i-flera-produkter-fran-ibm.html

Oracles kvartalsvisa säkerhetsuppdatering för juli 2024 (17 jul)https://www.cert.se/2024/07/oracles-kvartalsvisa-sakerhetsuppdateringar-for-juli-2024.html

Kritiska sårbarheter i produkter från Cisco (18 jul)https://www.cert.se/2024/07/kritiska-sarbarheter-i-produkter-fran-cisco.html

BM24-004 Kritisk sårbarhet i Cisco Secure Email Gateway (18 jul)https://www.cert.se/2024/07/bm24-003-kritisk-sarbarhet-i-cisco-secure-email-gateway.html

Allvarliga störningar i CrowdStrike påverkar många organisationers it-miljöer (19 jul)https://www.cert.se/2024/07/allvarliga-storningar-i-crowdstrike-paverkar-manga-organisationers-it-miljoer.html

Allvarliga störningar i CrowdStrike påverkar många organisationers it-miljöer

Text: CERT.se (Myndigheten för Samhällsskydd och Beredskap, MSB)

SÅRBARHET CROWDSTRIKE

Under morgonen den 19 juli uppmärksammades störningar i säkerhetsplattformen CrowdStrike. Störningarna kan drabba servrar och klienter som kör Microsoft Windows där programvaran Falcon Sensor från CrowdStrike är installerad. Det finns rapporter om att dessa enheter kan bli otillgängliga.

CrowdStrike har bekräftat att de upplever störningar och arbetar med att lösa problemen. De rekommenderar följande tillfälliga åtgärder för de som drabbats:

1. Starta Windows i Safe Mode eller i Windows Recovery Environment
2. Gå till katalogen C:\Windows\System32\drivers\CrowdStrike
3. Hitta filen som matchar "C-00000291*.sys" och döp om den till "C-00000291*.renamed"
4. Starta enheten normalt

Att genomföra dessa åtgärder på enheter där BitLocker är aktiverat kräver särskild hantering, framför allt tillgång till administratörsbehörighet och giltig krypteringsnyckel.

Utbredningen av störningarna är i detta läge oklara, men drabbar flera delar av världen. CERT-SE följer utvecklingen löpande och kommer att uppdatera cert.se allteftersom mer information blir tillgänglig.

CERT-SE tar gärna emot information från svenska aktörer som drabbas av störningarna. Du når oss på 010-240 40 40 eller på cert@cert.se.

Uppdatering 2024-07-19 09:59

CrowdStrike ska ha avbrutit utrullningen av den felaktiga uppdatering som orsakat problemen.

Uppdatering 2024-07-19 11:23

Luxemburgs CSIRT har gått ut med IOC:er som stöd för att identifiera de drivrutiner som tros orsaka de tekniska problem som gör servrar och klienter otillgängliga. [1]

Uppdatering 2024-07-19 12:54

CrowdStrike har gått ut med ett första officiellt uttalande om de tekniska problemen i Falcon Agent. [2]

Uppdatering 2024-07-19 13:21

Kortare tillägg kopplat till CrowdStrikes rekommenderade åtgärder till drabbade som berör enheter där BitLocker är aktiverat. Microsoft och Amazon AWS har gått ut med rekommenderade åtgärder till kunder som drabbats av de tekniska problemen med CrowdStrike på virtuella maskiner i Azure respektive EC2 [3,4].

Källor

[1] https://www.circl.lu/pub/tr-87/
[2] https://www.crowdstrike.com/blog/statement-on-windows-sensor-update/
[3] https://azure.status.microsoft/en-us/status
[4] https://health.aws.amazon.com/health/status

Globalt IT-haveri efter allvarlig sårbarhet hos CrowdStrike

Uppdaterad: 2024-07-19; kl 23.45

Sedan igår kväll svensk tid har ett globalt IT-haveri drabbat flera stora verksamheter världen över. IT-haveriet orsakades av allvarliga fel i en uppdatering av programvaran Falcon Sensor som rullades ut för Microsoft Windows 10-användare. Även Google AWS och BitLocker påverkades i viss utsträckning. Följden blev att enheter över hela världen visade blå eller svart skärm. Under flera timmar var till exempel även denna sajt oåtkomlig på grund av problem hos vår leverantör.

Bolaget varnar användarna för att avinstallera CrowdStrikes programvara eftersom man då är helt utan skydd mot skadlig kod. Istället ber man användarna vänta tills en ny patch är klar. Enligt bolaget har man nu börjat distribuera ut en rättad uppdatering av Falcon Sensor. Det krävs dock en manuell hantering av varje server eller agent som har programmet installerat vilket gör att det kommer att ta längre tid för kunderna att avhjälpa IT-haveriet lokalt och regionalt.

Patchar ofta otillräckligt testade

Den 3:e torsdagen i månaden distribuerar bl a Microsoft och andra stora IT-leverantörer ut större uppdateringar. Innan en patch eller uppdatering får rullas ut ska den genomgå tester och granskningar för att se till att inga allvarliga fel finns eller kan uppstå när den når användarna. Men på senare tid har den 3:e torsdagen i månaden allt oftare förknippats med stora och allvarliga IT-haverier. Därför rekommenderas bolagen att framöver höja beredskapen och förmågan att hantera allvarliga IT-störningar och haverier.

Flyg, transport och sjukvård bland drabbade verksamheter

Bland de globalt drabbade verksamheterna fanns bland annat amerikanska och europeiska flygbolag och logistikbolag. Även sjukvården drabbades i vissa länder. Flygplanen som stod på marken fick inte lyfta och flyg i luften fick cirkulera runt flygplatserna. Andra verksamheter som påverkats i stor omfattning är bankverksamheter i Storbritannien, mediabolag och även IT-driftbolag.

Läs mer om IT-haveriet i Veckans nyhetsbrev från CERT.se.