Zero Day Initiative har publicerat information om en nolldagssårbarhet (CVE-2023-42115) i e-postservern Exim med CVSS-klassning 9,8. [1]

Sårbarheten gör det möjligt för en oautentiserad angripare att fjärrköra kod på sårbara system. Bristande validering av data från användaren i SMTP-tjänsten kan uttnyttjas för buffertöverskridning och på så vis köra kod.

Påverkade produkter

Exim (alla versioner)

Rekommendationer

Till dess att en rättning görs tillgänglig rekommenderar CERT-SE att avskilja applikationen från nätverket.

Källor

[1] https://www.zerodayinitiative.com/advisories/ZDI-23-1469/

Med anledning av att den europeiska cybersäkerhetsmånaden snart börjar har CERT-SE lanserat årets CTF-utmaning. Mer information om hur du kan delta hittar du på cert.se:

https://www.cert.se/2023/09/cert-se-ctf2023

Nyheter i veckan

Sony investigates cyberattack as hackers fight over who’s responsible (25 sep)
https://www.bleepingcomputer.com/news/security/sony-investigates-cyberattack-as-hackers-fight-over-whos-responsible/

City of Dallas Details Ransomware Attack Impact, Costs (25 sep)
https://www.securityweek.com/city-of-dallas-details-ransomware-attack-impact-costs/

Säkerhetshål hos fackförbund – medlemskap har kunnat kartläggas (26 sep)
https://computersweden.idg.se/2.2683/1.780069/sakerhetshal-hos-fackforbund–medlemskap-har-kunnat-kartlaggas

The Rhysida ransomware group hit the Kuwait Ministry of Finance (26 sep)
https://securityaffairs.com/151501/cyber-crime/rhysida-ransomware-kuwait-ministry-of-finance.html

Ransomware group demands $51 million from Johnson Controls after cyber attack (28 sep)
https://www.bitdefender.com/blog/hotforsecurity/ransomware-group-demands-51-million-from-johnson-controls-after-cyber-attack/

Nätverksfel fick Volkswagens fabriker att stanna (28 sep)
https://computersweden.idg.se/2.2683/1.780086/natverksfel-fick-volkswagens-fabriker-att-stanna

Intrång i Götegorgsregionens IT-system (28 sep)
https://goteborgsregionen.se/nyheterochpress/intrangigrsitsystem.5.2299e1a318a930fd21214d8d.html

Roundup: Medusa ransomware hit Philippine state insurer and more briefs (29 sep)
https://www.healthcareitnews.com/news/asia/roundup-medusa-ransomware-hit-philippine-state-insurer-and-more-briefs

Rapporter och analyser

Threat Analysis: MGM Resorts International ALPHV/Blackcat/Scattered Spider Ransomware Attack (25 sep)
https://blog.morphisec.com/mgm-resorts-alphv-spider-ransomware-attack

Almost 8 million DDoS attacks launched in first half of 2023 (26 sep)
https://betanews.com/2023/09/26/almost-8-million-ddos-attacks-launched-in-first-half-of-2023/

A new spin on the ZeroFont phishing technique (26 sep)
https://isc.sans.edu/diary/A+new+spin+on+the+ZeroFont+phishing+technique/30248/

LockBit 3.0 tops hacking list in August amid drop in ransomware attacks (26 sep)
https://siliconangle.com/2023/09/26/lockbit-3-0-tops-hacking-list-august-amid-decrease-ransomware-attacks/

People’s Republic of China-Linked Cyber Actors Hide in Router Firmware (27 sep)
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-270a

Researchers Release Details of New RCE Exploit Chain for SharePoint (27 sep)
https://www.darkreading.com/vulnerabilities-threats/reseachers-release-details-of-new-rce-exploit-chain-for-sharepoint

Google quietly corrects previously submitted disclosure for critical webp 0-day (27 sep)
https://arstechnica.com/security/2023/09/google-quietly-corrects-previously-submitted-disclosure-for-critical-webp-0-day/

Malicious ad served inside Bing’s AI chatbot (28 sep)
https://www.malwarebytes.com/blog/threat-intelligence/2023/09/malicious-ad-served-inside-bing-ai-chatbot

FBI: Dual ransomware attack victims now get hit within 48 hours (28 sep)
https://www.bleepingcomputer.com/news/security/fbi-dual-ransomware-attack-victims-now-get-hit-within-48-hours/
…
https://www.ic3.gov/Media/News/2023/230928.pdf

Phishing via Dropbox (28 sep)
https://blog.checkpoint.com/harmony-email/phishing-via-dropbox/

Microsoft breach led to theft of 60,000 US State Dept emails (28 sep)
https://www.bleepingcomputer.com/news/security/microsoft-breach-led-to-theft-of-60-000-us-state-dept-emails/

The anatomy of a Facebook account heist (28 sep)
https://www.vox.com/technology/2023/9/28/23892964/facebook-account-hacked-theft-stolen-online-scams-meta

APT34 Deploys Phishing Attack With New Malware (29 sep)
https://www.trendmicro.com/en_us/research/23/i/apt34-deploys-phishing-attack-with-new-malware.html

Informationssäkerhet och blandat

Europeiska cybersäkerhetsmånaden startar 1 oktober
https://cybersecuritymonth.eu/

Teachers encouraged to enter schoolgirls into UK’s flagship cyber security contest (25 sep)
https://www.ncsc.gov.uk/news/teachers-encouraged-to-enter-schoolgirls-into-uks-flagship-cyber-security-contest

What Does Secure by Design Actually Mean? (28 sep)
https://www.tripwire.com/state-of-security/what-does-secure-design-actually-mean

National Security Agency is starting an artificial intelligence security center (28 sep)
https://apnews.com/article/nsa-artificial-intelligence-security-deepfakes-f9b19dd64890884cc2b0700ddf66e666

Vägledning på gång för att minska antalet telefonbedrägerier (29 sep)
https://pts.se/sv/nyheter/telefoni/2023/vagledning-pa-gang-for-att-minska-antalet-telefonbedragerier/

CERT-SE i veckan

Kritiska sårbarheter i Progress WS_FTP

CERT-SE CTF 2023

Kritiska sårbarheter i Cisco-produkter (uppdaterad 2023-09-29)

Information gällande felaktigt utskick från CERT-SE

Ett matigt veckosvep med rapporter, fördjupningar och flertalet nyheter om cybersäkerhetshändelser runt om i världen. 

Vi passar även på att nämna att vi nästa vecka tjuvstartar cybersäkerhetsmånaden med att släppa CERT-SE:s årliga CTF!

Trevlig helg önskar CERT-SE!

Nyheter i veckan

Thousands of Juniper Junos firewalls still open to hijacks, exploit code available to all (18 sep)
https://www.theregister.com/2023/09/18/juniper_firewalls_rce/

Latest evolution of ‘pig butchering’ scam lures victim into fake mining scheme (18 sep)
https://news.sophos.com/en-us/2023/09/18/latest-evolution-of-pig-butchering-scam-lures-victim-into-fake-mining-scheme/

Retool Falls Victim to SMS-Based Phishing Attack Affecting 27 Cloud Clients (18 sep)
https://thehackernews.com/2023/09/retool-falls-victim-to-sms-based.html

Financially Motivated UNC3944 Threat Actor Shifts Focus to Ransomware Attacks (18 sep)
https://thehackernews.com/2023/09/financially-motivated-unc3944-threat.html

Bumblebee malware returns in new attacks abusing WebDAV folders (18 sep)
https://www.bleepingcomputer.com/news/security/bumblebee-malware-returns-in-new-attacks-abusing-webdav-folders/#google_vignette

Kuwait’s finance ministry says cyber attack hits one of its systems (18 sep)
https://www.reuters.com/world/middle-east/kuwaits-finance-ministry-says-cyber-attack-hits-one-its-systems-2023-09-18/

Sri Lanka Government Hit by Ransomware, Loses Critical Data (18 sep)
https://techreport.com/news/sri-lanka-government-hit-by-ransomware-loses-critical-data/

Third-party ransomware attack disrupts major Colombian government agencies (18 sep)
https://www.scmagazine.com/brief/third-party-ransomware-attack-disrupts-major-colombian-government-agencies

DHS: Ransomware attackers headed for second most profitable year (18 sep)
https://therecord.media/dhs-ransomware-headed-for-second-profits

One Million Plus Dymocks Customers Impacted by Cyber Attack (18 sep)
https://australiancybersecuritymagazine.com.au/one-million-plus-dymocks-customers-impacted-by-cyber-attack/

Government to create six ”cyber shields” to layer Australian protection (18 sep)
https://www.itnews.com.au/news/government-to-create-six-cyber-shields-to-layer-australian-protection-600355

Microsoft AI Researchers Accidentally Expose 38 Terabytes of Confidential Data (19 sep)
https://thehackernews.com/2023/09/microsoft-ai-researchers-accidentally.html

More than 20,000 details ’at risk’ after police data cyber attack (19 sep)
https://www.bbc.com/news/uk-england-manchester-66843618

Chinese Spies Infected Dozens of Networks With Thumb Drive Malware (19 sep)
https://www.wired.com/story/china-usb-sogu-malware/

Unveiling the Shadows: The Dark Alliance between GuLoader and Remcos (19 sep)
https://research.checkpoint.com/2023/unveiling-the-shadows-the-dark-alliance-between-guloader-and-remcos/

Cyberattack on Kansas town affects email, phone, payment systems (19 sep)
https://therecord.media/pittsburg-kansas-government-cyberattack

Manitoba government confirms it was hacked in recent cyber attack (19 sep)
https://winnipeg.citynews.ca/2023/09/19/manitoba-government-confirms-it-was-hacked-in-recent-cyber-attack/

Hackers backdoor telecom providers with new HTTPSnoop malware (19 sep)
https://www.bleepingcomputer.com/news/security/hackers-backdoor-telecom-providers-with-new-httpsnoop-malware/

Fake CVE-2023-40477 Proof of Concept Leads to VenomRAT (19 sep)
https://unit42.paloaltonetworks.com/fake-cve-2023-40477-poc-hides-venomrat/
…
https://www.helpnetsecurity.com/2023/09/21/fake-winrar-poc/

Earth Lusca’s New SprySOCKS Linux Backdoor Targets Government Entities (19 sep)
https://thehackernews.com/2023/09/earth-luscas-new-sprysocks-linux.html

Finland, Europol take down PIILOPUOTI dark web marketplace (19 sep)
https://therecord.media/europol-finland-take-down-pillopuoti-dark-web-market

FBI and CISA Release Advisory on Snatch Ransomware (20 sep)
https://www.cisa.gov/news-events/alerts/2023/09/20/fbi-and-cisa-release-advisory-snatch-ransomware

International Criminal Court Suffers Cyberattack (20 sep)
https://www.darkreading.com/attacks-breaches/international-criminal-court-faces-cyber-intrusion-launches-investigation

Pizza Hut Australia hack: data breach exposes customer information and order details (20 sep)
https://www.theguardian.com/australia-news/2023/sep/20/pizza-hut-hack-australia-data-breach-passwords-information-leak

Attacks on 5G Infrastructure From Users’ Devices (20 sep)
https://www.trendmicro.com/en_us/research/23/i/attacks-on-5g-infrastructure-from-users-devices.html

Signal Messenger Introduces PQXDH Quantum-Resistant Encryption (20 sep)
https://thehackernews.com/2023/09/signal-messenger-introduces-pqxdh.html

P2PInfect botnet activity surges 600x with stealthier malware variants (20 sep)
https://www.bleepingcomputer.com/news/security/p2pinfect-botnet-activity-surges-600x-with-stealthier-malware-variants/
…
https://www.cadosecurity.com/cado-security-labs-researchers-witness-a-600x-increase-in-p2pinfect-traffic/

MGM Resorts computers back up after 10 days as analysts eye effects of casino cyberattacks (21 sep)
https://apnews.com/article/vegas-mgm-resorts-caesars-cyberattack-shutdown-a01b9a2606e58e702b8e872e979040cc

Cyber attack brought Elron ticketing system down Wednesday (21 sep)
https://news.err.ee/1609107212/cyber-attack-brought-elron-ticketing-system-down-wednesday

Air Canada says hackers accessed limited employee records during cyberattack (21 sep)
https://therecord.media/air-canada-limited-employee-info-accessed

Informationssäkerhet och blandat

Fostering Digital Resilience: Strategies for Building Robust Cybersecurity in an Evolving Threat Landscape (18 sep)
https://www.indrastra.com/2023/09/fostering-digital-resilience-strategies.html

FBI Tech Tuesday: Building a Digital Defense Against QR Code Scams (19 sep)
https://www.fbi.gov/contact-us/field-offices/elpaso/news/fbi-tech-tuesday-building-a-digital-defense-against-qr-code-scams

The mystery of the CVEs that are not vulnerabilities (19 sep)
https://www.malwarebytes.com/blog/news/2023/09/the-mystery-of-the-cves-that-are-not-vulnerabilities

Shadow IT: Security policies may be a problem (20 sep)
https://www.helpnetsecurity.com/2023/09/20/shadow-it-security-policies/

Have I been hacked? Cybersecurity experts share tips for protecting personal data (20 sep)
https://www.theglobeandmail.com/canada/article-cybersecurity-hacked-security-tips/

Ger nytt liv till inbyggda datorsystem (20 sep)
https://kaw.wallenberg.org/forskning/ger-nytt-liv-till-inbyggda-datorsystem

DDoS Attack Statistics and Facts You Must Know (2018-2023 Data) (21 sep)
https://techreport.com/statistics/ddos-statistics-facts/

Alldeles nyss såg vi ett felaktigt mailutskick från CERT.se. Företaget Autora köper upp och säljer vidare taxibilar och på något sätt har deras utskick hamnat hos en rad myndigheter och företag som prenumererar på nyhetsbrev från CERT.se.

R.A.P.S. har varit i kontakt med CERT.se som bekräftar att man arbetar med att ta reda på hur ett blixmeddelande från deras prenumerationstjänst kunnat få en helt annan avsändare.

CERT.se har anmält händelsen till IMY (Integritetsskyddsmyndigheten).

Information från CERT.se om felaktigt utskick

Uppdaterad: CET: 00.10 – 2023-09-26

Ett större ras inträffade natten mot lördagen vid E6 i höjd med Stenungsundsmotet. Larmet inkom klockan 01.48 till räddningstjänsten som skickade en stor mängd resurser. Minst fyra personer har förts till sjukhus efter att tre bilar och en buss kört ner i det slukhål som bildades i vid raset.

I området ligger bland annat en hamburgerrestaurang och en bensinmack som nu ingår i det skreddrabbade området. Det finns också flera mindre vägar och mindre antal villafastigheter i området. Enligt räddningstjänsten är av dessa utrymda. Den drabbade området uppskattas till minst mellan 300-500 meter i diameter.

Både Trafikverket och polisen beskriver konsekvenserna av raset kommer att leda till mycket omfattande trafikstörningar eftersom trafiken behöver ledas om till mindre vägar. Särskilt påtagligt kommer det att bli för den tunga trafiken som begränsas av regler gäller för det mindre vägnätet. Avstängningen av E6 och mindre vägar i området kommer att bestå under en längre tid. Förmodligen handlar det om flera månader eftersom allt behöver byggas upp från grunden. Representanter från Räddningstjänsten, polisen, Stenungsunds kommun, Trafikverket och Statens Geotekniska Institut (SGI) har under lördagen inspekterat rasområdet. Undersökningarna kommer att fortsätta ytterligare en tid.

Polisen inledde en förundersökning gällande misstanke om grov allmänfarlig ödeläggelse. På måndagen övertog en miljöåklagare utredningen samt ändrade brottsrubriceringen till att gälla misstanke om miljöbrott. I området för lerskredet har det pågått sprängningar för en ny företagspark. På platsen har också mycket stora schaktmassor deponerats. Det finns en obekräftad teori om att dessa schaktmassor bidragit till lerskredet.

Räddningstjänsten i Storgöteborgs pressmeddelande

Delar av vägbanan på E6 i höjd med Stenungsundsmotet har rasat (Stenungsunds kommun)

Pressmeddelande Statens Geotekniska Institut (SGI)

Uppdaterad information från Stenungsunds kommun

Trafiken.nu Göteborg – information om alternativa färdvägar

Karta: Trafikverket

Åklagaren har begärt en domstolsanställd vid Attunda tingsrätt häktad för grovt sekretessbrott och grovt dataintrång. Den anställde anhölls av åklagare vid Särskilda Åklagarkammaren den 20 september. Den fortsatta utredningen har lett fram till att den misstänkte nu begärs häktad.

Enligt åklagaren har brottsligheten varit systemhotande och skett på flera platser i Stockholms län.

Under tre år har 38 terabyte (!) känslig data om Microsoft-anställdas lösenord, nycklar och interna meddelanden varit tillgängliga för allmänheten hos Github, det uppger Computer Sweden som citerar Wiz och TechCrunch.

Mängden data är så ofattbart stor att det är svårt att förstå hur det ens varit möjligt att det fått pågå under så lång tid. Mircosoft har den senaste tiden drabbats av flera allvarliga informationsläckor.

En domstolsanställd vid Attunda tingsrätt norr om Stockholm anhölls på onsdagen av åklagare som misstänkt för grovt sekretessbrott. En teknisk undersökning har gjorts på den anhållnes arbetsplats. Poliser på Särskilda åklagarkammaren, som utreder brott där bl a domstolsanställda och poliser misstänks för brott handlägger fortsatt utredningen, direktiv från åklagaren i ärendet.

Domstolspersonal hanterar en stor mängd sekretessbelagd information som t ex beslut om hemlig avlyssning och andra hemliga tvångsåtgärder. Därför är misstankarna, om de leder till åtal och fällande dom, ytterst allvarliga för tilliten till domstolsväsendet. Ärendet är ovanligt då misstankarna rör sig om ett grovt sekretessbrott.

Åklagarmyndighetens pressmeddelande om anhållandet

Den irländska motsvarigheten till Integritetsmyndigheten (IMY) beslutar om en sanktionsavgift för Tiktok på 345 miljoner euro, ca 4,1 miljarder svenska kronoro, för att man inte följt dataskyddslagstiftningen (GDPR) för barn mellan 14-17 år. Det har varit möjligt för barn under 18 år att registrera ett konto utan föräldrarnas medgivande. Dessutom har det varit möjligt att lämnar kommentarer på barnens konton.

Tiktok uppger att man är ”respektfullt oeniga” med den irländska dataskyddsmyndigheter men det är i dagsläget oklart om det kinesiska bolaget kommer att överklaga sanktionsbeslutet. Tiktok menar också att man redan före granskningen ändrade funktionen för barn mellan 13-16 år och att man under hela den tid granskningen pågått gjort anpassningar till den europeiska dataskyddslagstiftningen.

Länk till Data Protection Commission

Denna fredag den 15 september innebär 99 dagar kvar till julafton! Strax innan jul väntas SANS släppa sin 2023 SANS Holiday Hack Challenge & KringleCon. Fram till dess går det bra att ta en titt på 2021 och 2022 års upplagor.

https://www.sans.org/mlp/holiday-hack-challenge-2023/

Nyheter i veckan

Associated Press warns that AP Stylebook data breach led to phishing attack (10 sep)
https://www.bleepingcomputer.com/news/security/associated-press-warns-that-ap-stylebook-data-breach-led-to-phishing-attack/

Square: Last week’s outage was caused by DNS issue, not a cyberattack (11 sep)
https://www.bleepingcomputer.com/news/technology/square-last-weeks-outage-was-caused-by-dns-issue-not-a-cyberattack/

Council of Europe report calls use of Pegasus spyware by several countries potentially illegal (11 sep)
https://therecord.media/council-of-europe-report-pegasus-spyware

Cyberkriminella stjäl processorkraft från svenska företag (11 sep)
https://www.aktuellsakerhet.se/cyberkriminella-stjal-processorkraft-fran-svenska-foretag/

Ransomwaregäng påstår sig ha hackat Rädda Barnen – som bekräftar intrång (12 sep)
https://computersweden.idg.se/2.2683/1.779963/cyberbrottslingar-pastar-sig-ha-kommit-at-radda-barnen

Apple backports BLASTPASS zero-day fix to older iPhones (12 sep)
https://www.bleepingcomputer.com/news/security/apple-backports-blastpass-zero-day-fix-to-older-iphones/

MGM Resorts: Slot machines go down in cyber-attack on firm (12 sep)
https://www.bbc.com/news/technology-66784894

Israeli Hospital Hit By Ransomware Attack, 1TB Data Stolen (12 sep)
https://www.darkreading.com/dr-global/israeli-hospital-hit-by-attackers-1tb-data-stolen

Microsoft Warns of New Phishing Campaign Targeting Corporations via Teams Messages (13 sep)
https://thehackernews.com/2023/09/microsoft-warns-of-new-phishing.html

Caesars Confirms Ransomware Hack, Stolen Loyalty Program Database (14 sep)
https://www.securityweek.com/caesars-confirms-ransomware-hack-stolen-loyalty-program-database/

Manchester Police officers’ data exposed in ransomware attack (14 sep)
https://www.bleepingcomputer.com/news/security/manchester-police-officers-data-exposed-in-ransomware-attack/

Cyber-attacks: the apex of crime-as-a-service (IOCTA 2023) (15 sep)
https://www.europol.europa.eu/publication-events/main-reports/cyber-attacks-apex-of-crime-service-iocta-2023

Nederländernas fotbollsförbund betalar lösensumma efter rysk cyberattack (15 sep)
https://www.dn.se/sport/nederlandernas-fotbollsforbund-betalar-losensumma-efter-rysk-cyberattack/

Informationssäkerhet och blandat

The International Criminal Court will now prosecute cyberwar crimes (8 sep)
https://arstechnica.com/information-technology/2023/09/the-international-criminal-court-will-now-prosecute-cyberwar-crimes/

Record number of cyberattacks targeting critical IT infrastructure reported to UK gov’t this year (11 sep)
https://therecord.media/uk-critical-it-infrastructure-attacks-reports-to-nis

The European Cyber Shield (12 sep)
https://cert.at/en/blog/2023/9/european-cyber-shield

Guide till säkrare containers (12 sep)
https://kryptera.se/guide-till-sakrare-containers/

5 Password Cracking Techniques Used in Cyber Attacks (13 sep)
https://www.proofpoint.com/us/blog/information-protection/password-cracking-techniques-used-in-cyber-attacks

Contextualizing Deepfake Threats to Organizations
https://media.defense.gov/2023/Sep/12/2003298925/-1/-1/0/CSI-DEEPFAKE-THREATS.PDF

CERT-SE i veckan

Sårbarhet i Cisco-produkter utnyttjas aktivt

Microsofts säkerhetsuppdateringar för september 2023

Adobes månatliga säkerhetsuppdateringar för september 2023

CERT-SE har fått förnyad certifiering från Trusted Introducer