Kritiska sårbarheter i Marval MSM

En svensk säkerhetsforskare har publicerat om tre sårbarheter i produkten Marval MSM från ITSM-leverantören Marval. Företaget har släppt säkerhetsuppdateringar som hanterar två av sårbarheterna. De två av sårbarheterna klassas som kritiska. [1,2,3]

Sårbarheten CVE-2023-33282 har fått CVSS-klassningen 9,1. Den beror på att System-användaren vid installation får ett förbestämt lösenord. Genom att använda inloggningsuppgifter lagrade i databasen kan en användare initiera en session med System-behörighet. [1]

Även CVE-2023-33284 har fått CVSS-klassningen 9,1. Sårbarheten kan göra det möjligt för en autentiserad användare att fjärrköra kod på servern. [3]

Påverkade produkter

Marval MSM

Rekommendationer

CERT-SE rekommenderar att uppdatera sårbara produkter så snart som möjligt.

Källor

[1] https://www.cyberskydd.se/cve/2023/CVE-2023-33282.html
[2] https://www.cyberskydd.se/cve/2023/CVE-2023-33283.html
[3] https://www.cyberskydd.se/cve/2023/CVE-2023-33284.html

Källa: CERT.se

Systembolaget utsatt för cyberattack

Systembolagets hemsida har under större del av måndagen varit helt eller delvis oåtkomlig för besökare. Driftstörningarna uppges ha att göra med en cyberattack.

Även Swish drabbades av omfattande tekniska störningar med följd att man inte kunde svischa pengar. Orsaken till driftstörningarna är när detta skrivs okänd. Efter någon timme fungerande tjänsten åter normalt.

Under måndagskvällen rapporterade Microsoft på Twitter att deras användare upplevde störa störningar i vissa tjänster i Office 365. Enligt Down Detector är störningarna omfattande och pågick ännu vid 23-tiden.

CERT.SE:s veckobrev v.22

Nyheter i veckan

Med början idag återger vi CERT.se veckobrev och varningar för skadlig kod och pågående attacker mot IT-system och IT-infrastruktur.

Clever ‘File Archiver In The Browser’ phishing trick uses ZIP domains (28 maj)
https://www.bleepingcomputer.com/news/security/clever-file-archiver-in-the-browser-phishing-trick-uses-zip-domains/

Don’t Click That ZIP File! Phishers Weaponizing .ZIP Domains to Trick Victims (29 maj)
https://thehackernews.com/2023/05/dont-click-that-zip-file-phishers.html

Hackers hold city of Augusta hostage in a ransomware attack (29 maj)
https://www.csoonline.com/article/3697854/hackers-hold-city-of-augusta-hostage-in-a-ransomware-attack.html

This new malware hijacks Windows WordPad to avoid detection (29 maj)
https://www.techradar.com/news/this-new-malware-hijacks-windows-wordpad-to-avoid-detection

Flash loan attack on Jimbos Protocol steals over $7.5 million (29 maj)
https://www.bleepingcomputer.com/news/security/flash-loan-attack-on-jimbos-protocol-steals-over-75-million/

Android apps containing SpinOk module with spyware features installed over 421,000,000 times (29 maj)
https://news.drweb.com/show/?i=14705

Lessons from Denmark: Why knowledge sharing is the most important weapon against cyber threats (30 maj)
https://www.weforum.org/agenda/2023/05/denmark-knowledge-sharing-key-to-cybersecurity-resilience/

Tricks of the trade: How a cybercrime ring operated a multi‑level fraud scheme (30 maj)
https://www.welivesecurity.com/2023/05/30/tricks-trade-cybercrime-ring-fraud-scheme/

Hackers Win $105,000 for Reporting Critical Security Flaws in Sonos One Speakers (30 maj)
https://thehackernews.com/2023/05/hackers-win-105000-for-reporting.html

MSB värd för internationell cybersäkerhetsövning i Sverige (31 maj)
https://www.msb.se/sv/aktuellt/nyheter/2023/maj/msb-vard-for-internationell-cybersakerhetsovning-i-sverige/

Ddos-attack lamslår nationella gymnasieprov i Grekland (31 maj)
https://computersweden.idg.se/2.2683/1.779312/ddos-attack-lamslar-nationella-gymnasieprov-i-grekland

Dark Pink APT Group Leverages TelePowerBot and KamiKakaBot in Sophisticated Attacks (31 maj)
https://thehackernews.com/2023/05/dark-pink-apt-group-leverages.html

Mirai Variant Opens Tenda, Zyxel Gear to RCE, DDoS (31 maj)
https://www.darkreading.com/endpoint/mirai-variant-tenda-zyxel-rce-ddos

SAS Airlines hit by $3 million ransom demand following DDoS attacks (31 maj)
https://www.bitdefender.com/blog/hotforsecurity/sas-airlines-hit-by-3-million-ransom-demand-following-ddos-attacks/

Hackare kan orsaka SAS-problemen (2 jun)
https://www.svt.se/nyheter/snabbkollen/hackare-kan-orsaka-sas-problemen

BlackCat claims the hack of the Casepoint legal technology platform used by US agencies (1 jun)
https://securityaffairs.com/146915/cyber-crime/blackcat-ransomware-casepoint.html

Nytt cybersäkerhetscenter öppnar i Stockholm – ska sysselsätta 300 specialister (1 jun)
https://computersweden.idg.se/2.2683/1.779330/nytt-cybersakerhetscenter-oppnar-i-stockholm–ska-sysselsatta-300-specialister

A-kassornas motståndskraft ska utredas (1 jun)
https://www.svd.se/a/JQMkr8/a-kassornas-motstandskraft-ska-utredas

A-kassan ska fungera i kris och krig (2 jun)
https://www.regeringen.se/pressmeddelanden/2023/06/a-kassan-ska-fungera-i-kris-och-krig/

Rapporter och fördjupningar

Account Compromise, Financial Theft, and Supply Chain Attacks: Analyzing the Small and Medium Business APT Phishing Landscape in 2023 (24 maj)
https://www.proofpoint.com/us/blog/threat-insight/small-and-medium-business-APT-phishing-landscape-in-2023

Abusing Web Services Using Automated CAPTCHA-Breaking Services and Residential Proxies (25 maj)
https://www.trendmicro.com/en_us/research/23/e/abusing-web-services-using-automated-captcha-breaking-services-and-residential-proxies.html

What is a web shell? (26 maj)
https://blog.talosintelligence.com/what-is-a-web-shell/

Void Rabisu’s Use of RomCom Backdoor Shows a Growing Shift in Threat Actors’ Goals (30 maj)
https://www.trendmicro.com/en_us/research/23/e/void-rabisu-s-use-of-romcom-backdoor-shows-a-growing-shift-in-th.html

Investigating BlackSuit Ransomware’s Similarities to Royal (31 maj)
https://www.trendmicro.com/en_us/research/23/e/investigating-blacksuit-ransomwares-similarities-to-royal.html

New Horabot campaign targets the Americas (1 jun)
https://blog.talosintelligence.com/new-horabot-targets-americas/

Your web browsing habits may be less private than you think (1 jun)
https://research.ibm.com/blog/browser-fingerprinting

Informationssäkerhet och blandat

E-post från polisen efter intrång hos leverantör (26 maj)
https://polisen.se/aktuellt/nyheter/2023/maj/mail-fran-polismyndigheten-efter-intrang-hos-leverantor/

Sökande till polisen kan ha fått personuppgifter röjda efter cyberattack (26 maj)
https://www.svt.se/nyheter/inrikes/sokande-till-polisen-har-fatt-personuppgifter-rojda-efter-lacka

Ingen påverkan på IT-miljön efter cyberattack (1 jun)
https://www.kriminalvarden.se/om-kriminalvarden/nyheter/2023/juni/ingen-paverkan-pa-it-miljon-efter-cyberattack/

PyPI announces mandatory use of 2FA for all software publishers (28 maj)
https://www.bleepingcomputer.com/news/security/pypi-announces-mandatory-use-of-2fa-for-all-software-publishers/

MCNA Dental data breach impacts 8.9 million people after ransomware attack (29 maj)
https://www.bleepingcomputer.com/news/security/mcna-dental-data-breach-impacts-89-million-people-after-ransomware-attack/

New hacking forum leaks data of 478,000 RaidForums members (29 maj)
https://www.bleepingcomputer.com/news/security/new-hacking-forum-leaks-data-of-478-000-raidforums-members/

Capita cyber-attack: 90 organisations report data breaches (30 maj)
https://www.theguardian.com/business/2023/may/30/capita-cyber-attack-data-breaches-ico

FBI-attacken som slog ut ryska spionprogrammet (31 maj)
https://sverigesradio.se/avsnitt/sa-fick-fbi-det-ryska-spionprogrammet-att-forstora-sig-sjalvt

Toyota finds more misconfigured servers leaking customer info (31 maj)
https://www.bleepingcomputer.com/news/security/toyota-finds-more-misconfigured-servers-leaking-customer-info/

FTC Orders Ring to Pay $5.8 Million in Refunds For Surveilling Customers, Failing to Stop Hackers (31 maj)
https://www.vice.com/en/article/5d9375/ftc-orders-ring-to-pay-5-million-in-refunds-failing-stop-hackers

Maryland License Plates Now Inadvertently Advertising Filipino Online Casino (31 maj)
https://www.vice.com/en/article/4a3xe9/maryland-license-plates-now-inadvertently-advertising-filipino-online-casino

Adversaries can reconstruct classified information from unclassified data, warns White House official (31 maj)
https://therecord.media/classified-data-reconstructed-from-unclassified-kemba-walden-cycon

Ethernet (50th Birthday) (1 jun)
https://youtu.be/TkOVgkcrvbg

CERT-SE i veckan

Kritisk sårbarhet i MOVEit Transfer

Nordisk-amerikansk cybersäkerhetsövning i Sverige

SAS-strejken över – trafiken återupptas omgående

CET: 06.45 – Uppdaterad: 06.56

SAS och de skandinaviska pilotfacken i Danmark, Norge och Sverige är överens som ett nytt 5,5 årigt avtal. Strax före halv fyra på tisdagsmorgonen blåstes strejken formellt av. Det innebär enligt bolaget att alla planerade flygningar i dag med några undantag kommer att genomföras.

Enligt SAS har runt 370.000 resenärer drabbats av den 15 dagar långa strejken. Kostnaden för bolaget i förlorade intäkter och kompensationer till kunderna uppgår till ca 1,5 miljarder svenska kronor. Piloterna har fått igenom ett viktigt krav i förhandlingarna som innebär att 450 piloter successivt återanställs fram till 2024.

Man misstänkt för skjutningarna i Köpenhamn häktad

CET: 16.13

Den 22-årige man som igår greps av dansk polis och senare anhölls, som misstänkt för skjutningarna i köpcentrumet Fields, har häktats av dansk domstol. I första hand häktas han i 24 dagar. Han ska överföras till en psykiatrisk avdelning för vård. Mannen är sedan tidigare känd av den danska polisen.

FoHM begär att apkoppor klassas som en samhällsfarlig sjukdom – första fallet i Sverige

CET: 13.47

Igår berättade WHO att man identifierat flera fall av den ovanliga sjukdomen apkoppor på flera håll i Europa. Idag meddelar Folkhälsomyndigheten (FoHM) att man fått rapport om ett konstaterat fall i Sverige. Som en följd av det har FoHM begärt att regeringen skyndsamt ska klassa apkoppor som en allmänfarlig och anmälningspliktig sjukdom.

Fakta om apkoppor

Apkoppor, monkeypox, är en mycket ovanlig sjukdom som orsakas av infektion med apkoppsvirus.

Den vanligaste smittvägen är från djur till människa, men det kan i ovanliga fall överföras vid nära kontakt mellan människor.

Sjukdomen förekommer främst i västra och centrala Afrika, fall rapporterade i övriga världen har oftast resekoppling till den regionen.

Sjukdomen ger ofta upphov till utslag, sår och blåsor på huden, symtomen är ofta milda. Feber och svullna lymfkörtlar kan också vara tecken på sjukdomen.

Vid sexuellt överförd smitta kan blåsor på könsorgan och runt analöppning uppstå.

Inkubationstiden, tiden från smitta till att sjukdomen bryter ut, är vanligen 6 till 13 fagar men kan variera mellan 5 och 21 dagar.

Källa: Folkhälsomyndigheten

Texten uppdateras fortlöpande – RED

Lättade restriktioner i Danmark och Sverige inom de närmsta veckorna

CET 03.56

Danmark väntas inom kort avskaffa samtliga restriktioner kopplade till covid-pandemin. Orsaken är att en mycket stor del av befolkningen antingen har genomgången infektion i de två omikronvarianterna BA.1 och BA.2, och att en väldigt hög andel av den danska befolkningen är vaccinerade med 2 eller 3 doser. Även i Sverige tror Folkhälsomyndigheten (FoHM) att det kan vara möjligt att lyfta åtminstone en del av de restriktioner som så sent under onsdagen förlängdes med ytterligare två veckor.

Om Sverige följer det mönster man har sett i Sydafrika, Storbritannien och Danmark kan pandemin snart övergå i en endemi, alltså en inhemsk smitta. I de länderna har man först sett en exceptionell snabb smittspridning bland stora delar av befolkningen. Symtomen har varit relativt milda. Få har var så sjuka att de behövt slutenvård eller IVA. Ännu färre har avlidit. Av de som fått två vaccindoser eller som nyligen haft en genomgången infektion av delta har omikron gett milda symtom. I många fall har de infekterade varit asymtomatiska.

Det är ännu för tidigt att ta ut glädjen. En ny variant kan mycket väl komma som vi saknar immunitet för. Stora delar av världen saknar fortfarande vaccin och i många länder är vaccinationsviljan inte så stor som man skulle önska. Intensiva kampanjer mot vaccinering drivs också på många håll som i bl a Sverige och USA.

Dricksvatten för 80.000 öbor på Tonga hotas efter kraftigt vulkanutbrott

CET 22.52

Röda Korset varnar för att dricksvattnet hotas för uppåt 80.000 öbor på ön Tonga efter att en undervattensvulkan fått ett kraftfullt utbrott under lördagen. Det var är vulkanen Hunga som ligger delvis under vatten som fick ett kraftigt utbrott under lördagen. Ett askmoln har svept in huvudön och närliggande öar. På grund av askmolnet har Tonga tappat kontakten med omvärlden. Tele- och internetkommunikationerna är avbrutna och det går inte heller att flyga in hjälp till ön på grund av askmolnet.

Tsunamivarningar för hela Stilla havsområdet

Vulkanutbrottet orsakade också tsunamivarningar i hela Stilla havsområdet. Myndigheterna på Nya Zeeland befarar att minst två personer kan ha omkommit i tsunamivågorna.

Enligt Röda Korset kan många av de boende på ön behöva nödhjälp då marken är täckt av ett tjockt giftigt lager med aska. Askan kan också ha kontaminerat dricksvattnet för många.

Drönare flög olovligt (UAS) över svenska kärnkraftverk

CET 11.42

Flera drönare flög under fredagskvällen över svenska kärnkraftverk. Det ledde till en febril polisiär aktivitet vid samtliga kärnkraftverk. Vid Forsmark kunde besättningen i polishelikoptern visuellt se och följa drönaren som är av större modell. Efter en stund tappade man bort den.

Händelserna är troligen samordnade men vem som utfört de olagliga flygningarna med UAS-enheter är än så länge oklart.

Polisen har i samtliga fall upprättat en anmälan om brott mot skyddslagen, luftfartslagen och lagen om förbud mot avbildande av skyddsobjekt. Man har samordnat utredningen av brotten på nationell nivå.