Redaktionen – R.A.P.S.

Flera kritiska sårbarheter i Nessus Network Monitor-komponenter

Publicerad av CERT 2023-12-01

SÅRBARHETNESSUS NETWORK MONITOR

Tenable har släppt en ny verions av Nessus Network Monitor. I version 6.3.1 är kritiska säkerhetsbrister i tredjepartskomponenterna HandlebarsJS, OpenSSL och jquery-file-upload lagade [1].

Påverkade produkter

Nessus Network Monitor 6.3.0 och tidigare

I Nessus Network Monitor 6.3.1 uppdateras HandlebarsJS till version 4.7.8, OpenSSL till version 3.0.12 och jquery-file-upload till version 10.8.0.

Rekommendationer

CERT-SE rekommenderar att uppdatera sårbara produkter snarast.

Källor

[1] https://www.tenable.com/security/tns-2023-43

CERT-SE:s veckobrev v.48

VECKOBREV

Det har varit en händelserik vecka i cybervärlden. Här kommer ett urval av CERT-SE:s omvärldsbevakning samt en cyberutmaning till adventsmyset.

Nyheter i veckan

ESET Research dives into the onboarding and scamming processes of Telekopye online fraudsters (23 nov)https://www.eset.com/int/about/newsroom/press-releases/research/eset-research-dives-into-the-onboarding-and-scamming-processes-of-telekopye-online-fraudsters/

Bekräftat: Ransomware-attack mot Svenska kyrkan (24 nov)https://www.kyrkanstidning.se/nyhet/allvarlig-it-storning-pa-svenska-kyrkans-webbplats..
Cyberangrepp mot Svenska kyrkan (23 nov)https://via.tt.se/pressmeddelande/3393640/cyberangrepp-mot-svenska-kyrkan

Legal tech firm investigating cyberattack that could scupper sales (24 nov)https://www.estateagenttoday.co.uk/breaking-news/2023/11/legal-tech-firm-investigating-cyberattack-that-could-scupper-sales

UK police plan national roll-out of facial-recognition phone app (24 nov)https://www.computerweekly.com/news/366560813/UK-police-plan-national-roll-out-of-facial-recognition-phone-app

Hackers Hijack Industrial Control System at US Water Utility (27 nov)https://www.securityweek.com/hackers-hijack-industrial-control-system-at-us-water-utility/..
Water Utility Control System Cyber Incident Advisory: ICS/SCADA Incident at Municipal Water Authority of Aliquippa (27 nov)https://www.waterisac.org/portal/tlpclear-water-utility-control-system-cyber-incident-advisory-icsscada-incident-municipal..
Exploitation of Unitronics PLCs used in Water and Wastewater Systems (28 nov)https://www.cisa.gov/news-events/alerts/2023/11/28/exploitation-unitronics-plcs-used-water-and-wastewater-systems

Ardent hospital ERs disrupted in 6 states after ransomware attack (27 nov)https://www.bleepingcomputer.com/news/security/ardent-hospital-ers-disrupted-in-6-states-after-ransomware-attack/..
Capital Health | Information Technology Security Incidenthttps://www.capitalhealth.org/information-technology-security-incident

Slovenia’s largest power provider HSE hit by ransomware attack (27 nov)https://www.bleepingcomputer.com/news/security/slovenias-largest-power-provider-hse-hit-by-ransomware-attack/

Cyberattack on Japan firm managing Line app was ‘supply chain attack’ targeting weakness (28 nov)https://mainichi.jp/english/articles/20231128/p2a/00m/0bu/023000c

Joint Cyberspace Command participates in execise Cyber Coalition 2023 (28 nov)https://emad.defensa.gob.es/en/prensa/noticias/2023/11/Listado/231128-ni-ciber-mcce-em.html

New BLUFFS attack lets attackers hijack Bluetooth connections (28 nov)https://www.bleepingcomputer.com/news/security/new-bluffs-attack-lets-attackers-hijack-bluetooth-connections/

Felsökning kring journalsystemet TakeCare fortsätter (29 nov)https://www.regionstockholm.se/verksamhet/halsa-och-vard/nyheter-halsa-och-vard/2023/11/felsokning-kring-journalsystemet-takecare-fortsatter/

Japan’s space agency hit by cyberattack (29 nov)https://therecord.media/japan-space-agency-cyberattack

Okta says hackers stole data for all customer support users in cyber breach (29 nov)https://www.reuters.com/technology/cybersecurity/okta-says-hackers-stole-data-all-customer-support-users-cyber-breach-2023-11-29/..
Okta | October Customer Support Security Incident – Update and Recommended Actions (29 nov)https://sec.okta.com/harfiles

Behind the Attack: LUMMA Malware (29 nov)https://perception-point.io/blog/behind-the-attack-lumma-malware/

Zoom Vulnerability Allowed Hackers to Take Over Meetings, Steal Data (29 nov)https://www.hackread.com/zoom-vulnerability-hackers-hijack-meetings-data/

Cybersäkerhetscentrets veckoöversikt – 47/2023 (29 nov)https://www.kyberturvallisuuskeskus.fi/sv/aktuellt/cybersakerhetscentrets-veckooversikt-472023

Promon discovers new Android banking malware, “FjordPhantom” (30 nov)https://promon.co/security-news/fjordphantom-android-malware/

RedLine Stealer Malware Deployed Via ScrubCrypt Evasion Tool (30 nov)https://www.infosecurity-magazine.com/news/redline-stealer-malware-scrubcrypt/

CACTUS Ransomware Exploits Qlik Sense Vulnerabilities in Targeted Attacks (30 nov)https://thehackernews.com/2023/11/cactus-ransomware-exploits-qlik-sense.html

Informationssäkerhet och blandat

DHS CISA and UK NCSC Release Joint Guidelines for Secure AI System Development (26 nov)https://www.cisa.gov/news-events/news/dhs-cisa-and-uk-ncsc-release-joint-guidelines-secure-ai-system-development..
Roadmap for AIhttps://www.cisa.gov/resources-tools/resources/roadmap-ai..
Guidelines for secure AI system development (27 nov)https://www.ncsc.gov.uk/collection/guidelines-secure-ai-system-development..
4 key takeaways from new global AI security guidelines (27 nov)https://www.scmagazine.com/news/4-key-takeaways-from-new-global-ai-security-guidelines

Women in Cybersecurity: Breaking Barriers & Shaping Futures (27 nov)https://techround.co.uk/startups/women-cybersecurity-breaking-barriers-shaping-future/

Digg och IMY publicerar vägledning om dataskydd och innovation (27 nov)https://www.imy.se/nyheter/digg-och-imy-publicerar-vagledning-om-dataskydd-och-innovation/

Digital car keys are here. Are we ready? (27 nov)https://www.theverge.com/23970875/digital-car-key-iphone-unlock-start-ccc-standard

‘Tis the season to be wary: 12 steps to ruin a cybercriminal’s day (27 nov)https://www.welivesecurity.com/en/scams/tis-season-wary-ruin-cybercriminals-day/

Försvarsmakten bygger ut cyberförsvar: ”Blivit högre intresse” (28 nov)https://sverigesradio.se/artikel/forsvaret-behover-fler-cyberkunniga

International collaboration leads to dismantlement of ransomware group in Ukraine amidst ongoing war (28 nov)https://www.europol.europa.eu/media-press/newsroom/news/international-collaboration-leads-to-dismantlement-of-ransomware-group-in-ukraine-amidst-ongoing-war

Stort säkerhetsfokus i Kil efter it-attack mot grannkommunen (29 nov)https://www.voister.se/artikel/2023/11/stort-sakerhetsfokus-i-kil-efter-it-attack-mot-grannkommunen

CISA Announces Secure by Design Alert Series: How Vendor Decisions Can Reduce Harm at a Global Scale (29 nov)https://www.cisa.gov/news-events/news/cisa-announces-secure-design-alert-series-how-vendor-decisions-can-reduce-harm-global-scale..
Secure by Design Alert: How Software Manufacturers Can Shield Web Management Interfaces From Malicious Cyber Activity (29 nov)https://www.cisa.gov/resources-tools/resources/secure-design-alert-how-software-manufacturers-can-shield-web-management-interfaces-malicious-cyber

Black Basta ransomware victims have paid over $100 million (29 nov)https://www.elliptic.co/blog/black-basta-ransomware-victims-have-paid-over-100-million

Five Cybersecurity Predictions for 2024 (29 nov)https://www.securityweek.com/five-cybersecurity-predictions-for-2024/

How AI Is Shaping Malware Analysis (29 nov)https://blog.virustotal.com/2023/11/how-ai-is-shaping-malware-analysis.html

AI: The new puppet master behind cyberattacks (30 nov)https://www.scmagazine.com/perspective/ai-the-new-puppetmaster-behind-cyberattacks

2023 SANS Holiday Hack Challenge & KringleConhttps://www.sans.org/mlp/holiday-hack-challenge-2023/

CERT-SE i veckan

Flera kritiska sårbarheter i Zyxels NAS-produkter (1 dec)https://www.cert.se/2023/12/flera-kritiska-sarbarheter-i-zyxels-nas-produkter.html

IMY ger Östersunds kommun sanktionsavgift

Skolplattformen Google Workspace for Educations har sedan 2020 använts i 24 kommunala skolor bland annat för att ge återkoppling på tilldelade elevuppgifter. Cirka 6.000 elever och 1.300 anställdas personuppgifter har behandlats i systemet utan att Östersunds kommun gjort en risk- och konsekvensanalys av den personuppgiftsbehandling som sker.

IMY (Integritetsskyddsmyndigheten) menar att en så pass omfattande personuppgiftsbehandling i behöver föregås av en risk- och konsekvensanalys. Därför utfärdar IMY en sanktionsavgift på 300.000 kronor till ban- och utbildningsnämnden.

Allvarlig risk för den enskildes kontroll över sina personuppgifter

– Det är nödvändigt att göra en konsekvensbedömning, om det finns en hög risk för personers fri- och rättigheter i samband med en personuppgiftsbehandling, för att kunna vidta lämpliga skyddsåtgärder, säger Nina Hellgren, jurist på IMY. Att identifiera risker och därefter hantera dem, är en viktig del av ett kontinuerligt och systematiskt dataskyddsarbete.

Att barn- och utbildningsnämnden inte utfört en konsekvensbedömning innan skolplattformen infördes gör att IMY utfärdar en administrativ sanktionsavgift på 300 000 kronor mot nämnden för överträdelse av dataskyddsförordningen, GDPR.

Länk: IMY:s beslut

Kravet på konsekvensbedömning

Att utföra en konsekvensbedömning är obligatoriskt om behandlingen av personuppgifter sannolikt leder till en hög risk för personers fri- och rättigheter. I dataskyddsförordningen, GDPR, anges exempel på situationer där det krävs en konsekvensbedömning. IMY har tagit fram kriterier för personuppgiftsbehandlingar som måste föregås av en bedömning. Kriterierna finns listade i ”Förteckning enligt artikel 35.4 i dataskyddsförordningen”.

Malmös stadsbussar ska kameraövervakas i realtid

Samtliga stadsbussar i Malmö har kameror som spelar och lagrar filmer när bussarna är i trafik. Men från och med januari 2024 ska bussarna sända livebilder till trafikledningscentralen.

SVT Skåne som var först med att berätta om kamerorna berättar att Nobina sedan februari 2022 har ett pilotprojekt där kameror i buss 5 och 7 sänt bilder i realtid till bolagets trafikledningscentral. Särskilt utbildade trafikledare övervakar och granskar bilderna för att upptäcka sådant som kan påverka tryggheten och säkerhet i bussen.

Om trafikledaren eller bussföraren upplever en hotfull eller farlig situation kan polis larmas. Bussföraren kan också själv larma och då startas en kamera vid förarplatsen. Bakgrunden till att projektet nu blir en permanent del av Nobinas säkerhetsarbete är det allt våldsammare samhällsklimatet.

Länk: Livekameror på samtliga bussar – Malmö först i landet (SVT Skåne)

Felsökning i Take Care fortsätter – Region Stockholm i stabsläge tills vidare

Sedan i måndags morse kl 8 pågår felsökning i Region Stockholms och Region Gotlands huvudjournalsystem Take Care. Det var efter ett planerat underhåll i helgen som problemen började. IT-systemet gick väldigt trögt eller svarade inte alls. I det läget beslutades att man skulle övergå till manuella rutiner.

Med Back Up-lösningenen, som egentligen är en nödlösning, kan vårdgivarna fungera i stort sett normalt. Vårdgivarna uppmanas därför att använda systemet under tiden som felsökningen pågår. Som patient kan man känna sig helt trygg. Alla som behöver vård oavsett vårdnivå kommer också att få den.

Region Stockholms sjukhusledning har beslutat att kvarstå i Regional Särskild Sjukhusledning (RSSL) och befinner sig i nuläget i stabsläge. Det innebär att ett antal viktiga besluts- och analysfunktioner har högre beredskap och även deltar i arbetet med att hantera situationen.

Länk: Fortsatt felsökning i Take Care (Region Stockholm)

Region Stockholm driftsätter back-up för att häva driftstörningarna i Take Care

Sedan igår morse har Region Stockholm och Region Gotland drabbats av stora driftstörningar i huvudjournaqsystemet Take Care. Men klockan 12.30 meddelade Region Stockholm att man tagit en back-up-lösning i drift som gör att systemet i stort sett går använda som vanligt. Man betonar dock att läget är fortsatt allvarligt och sjukhusledningen kvarstår i RSSL (Regional Särskild Sjukhusledning) och stabsläge.

Det var ett underhållsarbete i helgen som orsakade det allvarliga störningarna i vårddokumentationssystemet Take Care. Störningarna i systemet är de allvarligaste på flera år. Sommaren 2022 drabbades regionen också av omfattande störningar i Take Care men då lyckades man återställa till normal drift samma dag.

Alla som behöver vård får vård

Region Stockholm betonar också att alla som är i behov av vård också kan få denna trots driftstörningarna. Är man i behov av vård ska man höra av sig precis som vanligt.

Länk: Back-up-lösning ger tillgång till Take Care (Region Stockholm)

Störningarna i journalsystemet Take Care lösta i Region Gotland

Region Gotland uppger på sin hemsida att de omfattande störningarna i huvudjournaqsystemet Take Care är lösta. Sedan ca klockan 9.30 återgår man till normal drift.

Länk: Störningarna i Take Care lösta (Region Gotland)

Fortsatta störningar i Region Stockholms journalsystem Take Care

Uppdaterad 2023-11-28; kl 09.51

Sedan måndag morgon har hälsa- och sjukvården i Region Stockholm och Region Gotland upplevt stora störningar i journalsystemet Take Care.

Enligt Region Stockholm går IT-systemet mycket segt eller ger inte alls någon åtkomst till patientinformation.

Sjukvården i Region Stockholm och Region Gotland har en väl fungerande beredskap när störningar i journalsystemet uppstår. Det innebär att man sedan igår gått över till manuella rutiner. För att skapa en gemensam lägesbild bemannar man också ett antal viktiga besluts- och analysfunktioner. Den första beredskapsnivån är stabsläge. Sjukhusledningen i regionerna liksom de större akutsjukhusen befinner sig just nu i stabsläge och s k regional särskild sjukhusledning (RSSL).

Längre väntetider

En konsekvens av att sjukvården tillämpar manuella rutiner kan vara längre väntetider på det större akutsjukhusen. Vården är trots rådande läge patientsäker.

Det finns i nuläget inte någon prognos för när problemen ska vara åtgärdade.

Länk: Fortsatta störningar i Take Care (Region Stockholm) 28/11

Länk: Problem med att nå journalsystemet Take Care (Region Stockholm) 27/11

Region Gotland: Störningar i Take Care journalsystem

Patientdata i vården alltmer åtråvärd för cyberkriminella

Antalet attacker mot vårdverksamheter fortsätter att öka, enligt företaget Check Point. Det är främst överbelastningsattacker s k dDos-attacker och Phishing-attacker som drabbar vården men även andra typer av hot har identifierats.

Patientdata på individuell nivå och aggregerad gruppnivå är åtråvärd information för olika antagonistiska aktörer. Det är därför inte konstigt att dessa försöker hitta vägar in i vårdverksamheternas IT-system. Det sker antingen genom olika former av digitala attacker men också genom att kontakta personer som kan sitta på vägar in i systemen.

Sjukvården har i grunden utmaningar i verksamhetsskyddet som liknar de andra offentligt drivna verksamheter har. För inte så länge sedan greps en domstolsanställd administratör sedan hon gett grovt kriminella tillgång till domstolens IT-system och genom att avslöja information om pågående ärenden där polis och åklagare fått domstolsbeslut på att använda hemliga tvångsmedel. Vårddokumentationssystemen har högre teknisk säkerhet och kontrollerna är bättre men det finns det möjligheter att åstadkomma stor skada genom att personer med vidsträckta behörigheter kan läcka information från dessa IT-system. Just nu känner vi (så vitt jag vet) inte till att några allvarliga incidenter där information läckt. Men det kan lika gärna bero på att vi inte upptäckt den än.

Om Polisens farhågor om att den grova organiserade brottsligheten tagit sig in hos Skatteverket, Försäkringskassan, kommuner och regionerna då är det bara en tidsfråga innan vi får en omfattande informationsläcka ur våra vårddokumenationssystem.

CERT-SE:s veckobrev v.47

VECKOBREV

Blandade nyheter från veckan som gått. Idag är det många som handlar klappar inför jul och vi vill uppmana alla läsare att vara lite extra vaksamma. Som alltid så är ett erbjudande som är för bra för att vara sant ofta falskt.

Nyheter i veckan

More than 330,000 Medicare recipients affected by MOVEit breach (17 nov)
https://therecord.media/more-than-hundreds-thousands-medicare-moveit…
185,000 Individuals Impacted by MOVEit Hack at Car Parts Giant AutoZone (22 nov)
https://www.securityweek.com/185000-individuals-impacted-by-moveit-hack-at-car-parts-giant-autozone/

Canadian government discloses data breach after contractor hacks (20 nov)
https://www.bleepingcomputer.com/news/security/canadian-government-discloses-data-breach-after-contractor-hacks/

Danska mäklaren EDC utpressas att betala lösensumma för att undvika att 700 000 kunders data publiceras (på danska) (20 nov)
https://finans.dk/erhverv/ECE16613128/edc-afpresses-betal-eller-700000-kunders-data-laegges-paa-internettet/

Greater Paris wastewater agency dealing with cyberattack (20 nov)
https://therecord.media/paris-wastewater-agency-hit-cyberattack

British Library: Employee data leaked in cyber attack (22 nov)
https://www.bbc.com/news/entertainment-arts-67484639

US Cybersecurity Lab Suffers Major Data Breach (21 nov)
https://www.infosecurity-magazine.com/news/us-cybersecurity-lab-major-data/

Hacktivists breach U.S. nuclear research lab, steal employee data (21 nov)
https://www.bleepingcomputer.com/news/security/hacktivists-breach-us-nuclear-research-lab-steal-employee-data/

Kansas officials blame 5-week disruption of court system on “sophisticated foreign cyberattack” (21 nov)
https://apnews.com/article/kansas-courts-cyberattack-hack-network-offline-097a11cfa9de552ec5a9ea49b500d3d6

Svenska kyrkan drabbad av allvarlig it-störning (23 nov)
https://www.svt.se/nyheter/inrikes/svenska-kyrkan-drabbad-av-allvarlig-it-storning–wej89e

Rapporter och analyser

Mitigation Guide: Healthcare and Public Health (HPH) Sector (17 nov)
https://www.cisa.gov/resources-tools/resources/mitigation-guide-healthcare-and-public-health-hph-sector

A deep dive into Phobos ransomware, recently deployed by 8Base group (17 nov)
https://blog.talosintelligence.com/deep-dive-into-phobos-ransomware/

Researchers extract RSA keys from SSH server signing errors (19 nov)
https://www.bleepingcomputer.com/news/security/researchers-extract-rsa-keys-from-ssh-server-signing-errors/

Konni Campaign Distributed Via Malicious Document (20 nov)
https://www.fortinet.com/blog/threat-research/konni-campaign-distributed-via-malicious-document

CVE-2023-46604 (Apache ActiveMQ) Exploited to Infect Systems With Cryptominers and Rootkits (20 nov)
https://www.trendmicro.com/en_us/research/23/k/cve-2023-46604-exploited-by-kinsing.html

Is this the real life? Is this just fantasy? Caught in a landslide, NoEscape from NCC Group (20 nov)
https://research.nccgroup.com/2023/11/20/is-this-the-real-life-is-this-just-fantasy-caught-in-a-landslide-noescape-from-ncc-group/

The ‘Gram Scam: Meta Phishing Attack Lures Victims via Spoofed Copyright Infringement Policy (20 nov)
https://perception-point.io/blog/the-gram-scam-meta-phishing-attack-lures-victims-via-spoofed-copyright-infringement-policy/

New “Agent Tesla” Variant: Unusual “ZPAQ” Archive Format Delivers Malware (21 nov)
https://www.gdatasoftware.com/blog/2023/11/37822-agent-tesla-zpaq

Navigating the SMB Threat Landscape: Key Insights from Huntress’ SMB Threat Report (21 nov)
https://www.huntress.com/blog/navigating-the-smb-threat-landscape-key-insights-from-huntress-smb-threat-report

PlayCrypt Ransomware-as-a-Service Expands Threat from Script Kiddies and Sophisticated Attackers (21 nov)
https://adlumin.com/post/playcrypt-ransomware-as-a-service-expands-threat-from-script-kiddies-and-sophisticated-attackers/

Digitalisering i vården skapar nya risker (21 nov)
https://www.foi.se/nyheter-och-press/nyheter/2023-11-21-digitalisering-i-varden-skapar-nya-risker.html

StopRansomware: LockBit 3.0 Ransomware Affiliates Exploit CVE 2023-4966 Citrix Bleed Vulnerability (21 nov)
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-325a

A Touch of Pwn – Part I (21 nov)
https://blackwinghq.com/blog/posts/a-touch-of-pwn-part-i/

Comparative Study Results on Linux and Windows Ransomware Attacks, Exploring Notable Trends and Surge in Attacks on Linux Systems (21 nov)
https://blog.checkpoint.com/security/comparative-study-results-on-linux-and-windows-ransomware-attacks-exploring-notable-trends-and-surge-in-attacks-on-linux-systems/

Atomic Stealer distributed to Mac users via fake browser updates (21 nov)
https://www.malwarebytes.com/blog/threat-intelligence/2023/11/atomic-stealer-distributed-to-mac-users-via-fake-browser-updates

InfectedSlurs Botnet Spreads Mirai via Zero-Days (21 nov)
https://www.akamai.com/blog/security-research/new-rce-botnet-spreads-mirai-via-zero-days

Cyberattackerna allt fler – svenska vården extra utsatt (22 nov)
https://computersweden.idg.se/2.2683/1.780449/cyberattackerna-okar-varden-extra-utsatt

Malware dev says they can revive expired Google auth cookies (21 nov)
https://www.bleepingcomputer.com/news/security/malware-dev-says-they-can-revive-expired-google-auth-cookies/

Informationssäkerhet och blandat

Reflecting on 20 years of Patch Tuesday (17 nov)
https://msrc.microsoft.com/blog/2023/11/reflecting-on-20-years-of-patch-tuesday/

Radioinslag: Angripare riktar in sig mot svenskt näringsliv – vill slå ut verksamhet (20 nov)
https://sverigesradio.se/artikel/angripare-riktar-in-sig-mot-svenskt-naringsliv-vill-sla-ut-verksamhet

Radioinslag: Dålig koll på cybersäkerhet – så kan företag skydda sig (20 nov)
https://sverigesradio.se/avsnitt/dalig-koll-pa-cybersakerhet-sa-kan-foretag-skydda-sig–2

Var vaksam i julhandeln – bedragare lurar med paketbluffar (20 nov)
https://internetstiftelsen.se/nyheter/var-vaksam-i-julhandeln-bedragare-lurar-med-paketbluffar/

EU cybersecurity exercise: foster cooperation, secure free and fair EU elections (21 nov)
https://www.enisa.europa.eu/news/eu-cybersecurity-exercise-foster-cooperation-secure-free-and-fair-eu-elections

Will Quantum Computing change the way we use encryption? (23 nov)
https://betanews.com/2023/11/23/will-quantum-computing-change-the-way-we-use-encryption/

CERT-SE i veckan

Flera sårbarheter i Citrix Netscaler ADC och Netscaler Gateway (uppdaterad 2023-11-20)