VECKOBREV

CERT-SE:s omvärldsbevakning denna novembervecka inkluderar rapporter om cyberincidenter hos allt från svenska skolor till casinon. Vi tipsar även om ett antal läsvärda rapporter samt MSB:s serie av webbinarier om olika aspekter av informationssäkerhet, bland annat incidenthantering och säkerhetsåtgärder i informationssystem.

Behöver du råd och stöd kring hur din organisation ska utforma er incidenthanteringsprocess, så har MSB även en rådgivningstjänst för systematiskt informationssäkerhetsarbete: https://www.msb.se/sv/verktyg–tjanster/radgivningstjanst-for-systematiskt-informationssakerhetsarbete

Nyheter i veckan

New Microsoft Exchange zero-days allow RCE, data theft attacks (3 nov)https://www.bleepingcomputer.com/news/microsoft/new-microsoft-exchange-zero-days-allow-rce-data-theft-attacks

Post Mortem on Cloudflare Control Plane and Analytics Outage (4 nov)https://blog.cloudflare.com/post-mortem-on-cloudflare-control-plane-and-analytics-outage

Apple ‘Find My’ network can be abused to steal keylogged passwords (4 nov)https://www.bleepingcomputer.com/news/apple/apple-find-my-network-can-be-abused-to-steal-keylogged-passwords

Discord will switch to temporary file links to block malware delivery (4 nov)https://www.bleepingcomputer.com/news/security/discord-will-switch-to-temporary-file-links-to-block-malware-delivery

‘Scam-in-a-box’: MyGov suspends thousands of accounts linked to dark web fraud kits (5 nov)https://www.theguardian.com/australia-news/2023/nov/06/scam-in-a-box-mygov-suspends-thousands-of-accounts-linked-to-dark-web-kits

American Airlines Pilot Union Recovering After Ransomware Attack (6 nov)https://www.securityweek.com/american-airlines-pilot-union-recovering-after-ransomware-attack

Attacker mot Sverige väntas när ryska hackare erbjuder botnet som tjänst (6 nov)https://computersweden.idg.se/2.2683/1.780345/efter-attack-mot-sverige-nu-erbjuder-ryska-hackare-botnet-som-tjanst

New Jupyter Infostealer Version Emerges with Sophisticated Stealth Tactics (6 nov)https://thehackernews.com/2023/11/new-jupyter-infostealer-version-emerges.html

Emphasizing Security by Default with Advanced Microsoft Authenticator Features (6 nov)https://techcommunity.microsoft.com/t5/microsoft-entra-azure-ad-blog/emphasizing-security-by-default-with-advanced-microsoft/ba-p/3773130

New Gootloader Malware Variant Harder to Detect, Block (6 nov)https://duo.com/decipher/new-gootloader-malware-variant-harder-to-detect-block

Cybercrime service bypasses Android security to install malware (6 nov)https://www.bleepingcomputer.com/news/security/cybercrime-service-bypasses-android-security-to-install-malware

Sveriges domstolars webbsida utsatt för attack: ”Jobbar febrilt på att lösa det här” (7 nov)https://www.nyteknik.se/it-sakerhet/sveriges-domstolars-webbsida-utsatt-for-attack-jobbar-febrilt-pa-att-losa-det-har/4206945

Umeåskola drabbad av cyberattack: ”Frustrerande” (7 nov)https://sverigesradio.se/artikel/umeaskola-drabbad-av-cyberattack

Ransomware Gang Leaks Data Allegedly Stolen From Canadian Hospitals (7 nov)https://www.securityweek.com/ransomware-gang-leaks-data-allegedly-stolen-from-canadian-hospital

What are Kerberoasting attacks and how do you stop them? (7 nov)https://www.itpro.com/security/what-are-kerberoasting-attacks-and-how-do-you-stop-them

India most targeted in cyber attacks: Report (7 nov)https://www.newindianexpress.com/business/2023/nov/07/india-most-targeted-incyber-attacks-report-2630842.html

Experts Expose Farnetwork’s Ransomware-as-a-Service Business Model (8 nov)https://thehackernews.com/2023/11/experts-expose-farnetworks-ransomware.html

Optus outage: Millions affected by Australian network failure (8 nov)https://www.bbc.com/news/world-australia-67340901

OpenAI confirms DDoS attacks behind ongoing ChatGPT outages (9 nov)https://www.bleepingcomputer.com/news/security/openai-confirms-ddos-attacks-behind-ongoing-chatgpt-outages

Sandworm Disrupts Power in Ukraine Using a Novel Attack Against Operational Technology (9 nov)https://www.mandiant.com/resources/blog/sandworm-disrupts-power-ukraine-operational-technology

Microsoft briefly restricted employee access to OpenAI’s ChatGPT, citing security concerns (9 nov)https://www.cnbc.com/2023/11/09/microsoft-restricts-employee-access-to-openais-chatgpt.html

ICBC hit by ransomware impacting global trades (10 nov)https://www.theregister.com/2023/11/10/icbc_ransomware

Rapporter och analyser

Next steps in preparing for post-quantum cryptography (3 nov)https://www.ncsc.gov.uk/whitepaper/next-steps-preparing-for-post-quantum-cryptography

Q3 2023 Threat Horizons Report (3 nov)https://services.google.com/fh/files/blogs/gcat_threathorizons_full_oct2023.pdf..
Google Warns How Hackers Could Abuse Calendar Service as a Covert C2 Channel (6 nov)https://thehackernews.com/2023/11/google-warns-of-hackers-absing-calendar.html

CERT-EU Cyber Security Brief 23-11 – October 2023 (6 nov)https://cert.europa.eu/publications/threat-intelligence/cb23-11/

FEMA and CISA Release Joint Guidance on Planning Considerations for Cyber Incidents (7 nov)https://www.cisa.gov/news-events/alerts/2023/11/07/fema-and-cisa-release-joint-guidance-planning-considerations-cyber-incidents

FBI Highlights Emerging Initial Access Methods Used by Ransomware Groups (8 nov)https://www.securityweek.com/fbi-highlights-emerging-initial-access-methods-used-by-ransomware-groups..
Ransomware Actors Continue to Gain Access through Third Parties and Legitimate System Tools (7 nov)https://www.aha.org/system/files/media/file/2023/11/bi-tlp-clear-pin-ransomware-actors-continue-to-gain-access-through-third-parties-and-legitimate-system-tools-11-7-23.pdf

Informationssäkerhet och blandat

Transit App Shows Rat Activity on the NYC Subway (6 nov)https://laughingsquid.com/transit-app-nyc-subway-rat-detector

Nu går ”småföretagens fluortant” på offensiv mot cyberbrott (6 nov)https://computersweden.idg.se/2.2683/1.780327/stoldskyddsforeningen-pa-offensiv-mot-cyberbrott–en-fluortant-for-smaforetag

Företagens stora skräck – att bli kapad (6 nov)https://www.dagensps.se/foretag/foretagens-stora-skrack-att-bli-kapad/

Larmet: Risk för IT-attack i kommunen (6 nov)https://www.mitti.se/nyheter/larmet-risk-for-itattack-i-kommunen-6.3.182635.cb934f18fa

Offensive and Defensive AI: Let’s Chat(GPT) About It (7 nov)https://thehackernews.com/2023/11/offensive-and-defensive-ai-lets-chatgpt.html

7 free cyber threat maps showing attack intensity and frequency (7 nov)https://www.helpnetsecurity.com/2023/11/07/free-cyber-threat-maps

What the QWAC?! (7 nov)https://scotthelme.co.uk/what-the-qwac

Offensive and Defensive AI: Let’s Chat(GPT) About It (7 nov)https://thehackernews.com/2023/11/offensive-and-defensive-ai-lets-chatgpt.html

85% of people worry about online disinformation, global survey finds (7 nov)https://www.theguardian.com/technology/2023/nov/07/85-of-people-worry-about-online-disinformation-global-survey-finds

Marina Bay Sands in Singapore suffers a data breach (8 nov)https://cybersafe.news/marina-bay-sands-in-singapore-suffers-a-data-breach

Webbinarieserien ”Informationssäkerhet i fokus”https://www.msb.se/sv/amnesomraden/informationssakerhet-cybersakerhet-och-sakra-kommunikationer/systematiskt-informationssakerhetsarbete/webbinarier

CERT-SE i veckan

Kritisk sårbarhet i Atlassian Confluence (uppdaterad)

Flera sårbarheter i Citrix Netscaler ADC och Netscaler Gateway (uppdaterad)

Ett bolag råkade av misstag dela en fil innehållande mycket känsliga uppgifter om 52.000 personers ekonomiska förhållanden. Efter en tillsyn av IMY utfärdar myndigheten en sanktionsavgift på 500.000 kronor. 

Att tappa kontrollen över sina personuppgifter är mycket allvarligt och kan leda till irreparabla skador för den enskilde individen. Därför ställs det mycket höga krav på informationssäkerhet när man delar mycket känsliga personuppgifter vare sig det sker på pappar eller elektroniskt. 

I beslutet hänvisas det till artikel 32 (under avsnitt 2 Säkerhet för personuppgifter). I en kommentar till artikel 32 sägs det att ”den personuppgiftsansvarige och personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när så är lämpligt
a) pseudonymisering och kryptering av personuppgifter
b) förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen- och tjänsterna, 
c) förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident, 
d) ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet” (Dataskyddsförordningen – en kommentar, Sören Öman, s.432-434). 

Vid en överföring av känsliga eller mycket känsliga personuppgifter ska den personuppgiftsansvarige och personuppgiftsbiträdet särskilt beakta de risker som är förknippade med överföringen. I det ingår att försäkra sig om att informationen är korrekt men också att rätt mottagare får del av informationen. Både den personuppgiftsansvarige och personuppgiftsbiträdet har ansvar för att överföringen sker på ett korrekt sätt. Man är också skyldig att se till att man använder rätt metoder och lämplig teknik för överföringen.

Genom att implementera ett Ledningssystem för informationssäkerhet (LIS) som följer ISO 27000 och utbilda all personal i informationssäkerhet kan en organisation säkerställa att den här typen av misstag kan undvikas. Det är ytterst styrelsen, i ett aktiebolag, som ansvarar för att Dataskyddslagstiftningen följs genom att strategiskt och operativt ge ledningen förutsättningar att utveckla och arbeta med informationssäkerhetsfrågorna i organisationen. Ansvaret kan inte delegeras neråt i organisationen. Samtidigt behöver medarbetare som har till uppgift att övervaka att dataskyddslagstiftningen agera om man ser en felaktig hantering av personuppgifter genom att upplysa bolagsledningen som i sin tur har ansvaret att upplysa styrelsen. Om styrelsen därefter inte agerar kan enskilda styrelseledamöter kan göras personligen skadeståndsskyldiga mot bolaget och aktieägarna vid allvarliga brister i informationssäkerheten.

VECKOBREV

Veckans nyhetssvep bjuder på blandad läsning. Vi vill passa på att tipsa om ett rykande färskt poddavsnitt, där vi gästar Bli säker-podden och berättar om arbetet på CERT-SE och NCSC-SE: https://nikkasystems.com/2023/11/03/podd-222-vad-gor-cert-se-och-ncsc-se/

Årets CTF är nu avslutad och vi återkommer som vanligt med resultat och genomgång på vår hemsida. Tills dess, vill vi dela en fin video skapad av en av årets deltagare: https://www.youtube.com/watch?v=oFdY9hnn6KM

Trevlig Allhelgonahelg önskar CERT-SE!

Nyheter i veckan

Over a million Windows and Linux systems infected by this tricky new malware (27 okt)
https://www.techradar.com/pro/security/over-a-million-windows-and-linux-systems-infected-by-this-tricky-new-malware

CISA Announces Launch of Logging Made Easy (27 okt)
https://www.cisa.gov/news-events/alerts/2023/10/27/cisa-announces-launch-logging-made-easy

Simulerad cyberattack – En övning för att stärka länets samverkansförmåga (27 okt)
https://www.lansstyrelsen.se/ostergotland/om-oss/nyheter-och-press/nyheter—ostergotland/2023-10-27-en-ovning-for-att-starka-lanets-samverkansformaga.html

F5 Labs Report Reveals Rise in Malicious Automation (29 okt)
https://thefintechtimes.com/f5-labs-mitigating-the-menace-strategies-for-defending-digital-identities/

Hackers could track you across the globe due to this worrying smartphone security flaw (29 okt)
https://www.techradar.com/pro/security/hackers-could-track-you-across-the-globe-due-to-this-worrying-smartphone-security-flaw

Störningar hos Tele2 – trygghetslarm påverkas (30 okt)
https://www.svt.se/nyheter/inrikes/storningar-hos-tele2-1

Stanford Investigating Cyber Incident, Ransomware Threat (30 okt)
https://www.govtech.com/education/higher-ed/stanford-investigating-cyber-incident-ransomware-threat

20 scary cybersecurity facts and figures for a haunting Halloween (30 okt)
https://www.welivesecurity.com/en/cybersecurity/20-scary-cybersecurity-facts-figures-haunting-halloween/

Nätfiskarna använder sig allt oftare av QR-koder (31 okt)
https://www.aktuellsakerhet.se/natfiskarna-anvander-sig-allt-oftare-av-qr-koder/

Alliance of 40 countries to vow not to pay ransom to cybercriminals, US says (31 okt)
https://www.reuters.com/technology/alliance-40-countries-vow-not-pay-ransom-cybercriminals-us-says-2023-10-31/

British Library suffering major technology outage after cyber-attack (31 okt)
https://www.theguardian.com/books/2023/oct/31/british-library-suffering-major-technology-outage-after-cyber-attack

‘Mass exploitation’ of Citrix Bleed underway as ransomware crews pile in (31 okt)
https://www.theregister.com/2023/10/31/mass_exploitation_citrix_bleed/

Mandiant Investigation of Session Hijacking via Citrix NetScaler ADC and Gateway Vulnerability (31 okt)
https://www.mandiant.com/resources/blog/session-hijacking-citrix-cve-2023-4966

Toronto Public Library outages caused by Black Basta ransomware attack (1 nov)
https://www.bleepingcomputer.com/news/security/toronto-public-library-outages-caused-by-black-basta-ransomware-attack/

Major Mexican airport confirms experts are working to address cyberattack (1 nov)
https://therecord.media/queretaro-international-airport-mexico-cyberattack

A ‘kill switch’ deliberately shut down notorious Mozi botnet, researchers say (1 nov)
https://therecord.media/mozi-botnet-killswitch-shut-down

3,000 Apache ActiveMQ servers vulnerable to RCE attacks exposed online (1 nov)
https://www.bleepingcomputer.com/news/security/3-000-apache-activemq-servers-vulnerable-to-rce-attacks-exposed-online/

Hackers use Citrix Bleed flaw in attacks on govt networks worldwide (1 nov)
https://www.bleepingcomputer.com/news/security/hackers-use-citrix-bleed-flaw-in-attacks-on-govt-networks-worldwide/

A Ukrainian Company Shares Lessons in Wartime Resilience (1 nov)
https://www.darkreading.com/edge/ukraine-company-lessons-wartime-resilience

FIRST Announces CVSS 4.0 – New Vulnerability Scoring System (2 nov)
https://thehackernews.com/2023/11/first-announces-cvss-40-new.html…
https://www.first.org/cvss/v4-0/index.html

HelloKitty ransomware deployed via critical Apache ActiveMQ flaw (2 nov)
https://www.csoonline.com/article/657956/hellokitty-ransomware-deployed-via-critical-apache-activemq-flaw.html

Boeing says ‘cyber incident’ hit parts business after ransom threat (nov 2)
https://www.reuters.com/business/aerospace-defense/boeing-investigating-cyber-incident-affecting-parts-business-2023-11-01/

Nearly 5,000 Okta employees affected by third-party data breach (2 nov)
https://therecord.media/okta-employees-impacted-by-third-party-breach

Researchers Find 34 Windows Drivers Vulnerable to Full Device Takeover (2 nov)
https://thehackernews.com/2023/11/researchers-find-34-windows-drivers.html

Ace Hardware says 1,202 devices were hit during cyberattack (2 nov)
https://www.bleepingcomputer.com/news/security/ace-hardware-says-1-202-devices-were-hit-during-cyberattack/

“Take immediate action” to patch your Confluence Data Center and Server instances (2 nov)
https://www.malwarebytes.com/blog/news/2023/11/atlassian-take-immediate-action-to-patch-your-confluence-data-center-and-server-instances

Akamai – Ransomware on the Move – Evolving Exploitation Techniques and the Active Pursuit of Zero-Days
https://www.akamai.com/resources/state-of-the-internet/ransomware-on-the-move

Informationssäkerhet och blandat

G7-länderna överens om uppförandekod för AI (30 okt)
https://computersweden.idg.se/2.2683/1.780302/g7-landerna-overens-om-uppforandekod-for-ai

Natointrädet ställer nya krav på informationsdelning – ”det kommer en lavin” (30 okt)
https://computersweden.idg.se/2.2683/1.780296/natointradet-paverkar-hela-samhallet–en-lavin-av-ny-information

IMY yttrar sig över förslag till förändrad datalagring (30 okt)
https://www.imy.se/nyheter/imy-yttrar-sig-over-forslag-till-forandrad-datalagring/

The cyber workforce gap is growing (31 okt)
https://www.nextgov.com/cybersecurity/2023/10/cyber-workforce-gap-growing/391618/

Carl Bildt får uppdraget att göra en översyn av Sveriges underrättelseverksamhet (31 okt)
https://www.aktuellsakerhet.se/carl-bildt-far-uppdraget-att-gora-en-oversyn-av-sveriges-underrattelseverksamhet/

Sluta inte att tänka säkert! (1 nov)
https://www.imy.se/blogg/sluta-inte-att-tanka-sakert/

UK’s National Crime Agency Establishes Crypto Investigation Team (2 nov)
https://mpost.io/uks-national-crime-agency-establishes-crypto-investigation-team/

EU digital ID reforms should be ‘actively resisted’, say experts (2 nov)
https://www.computerweekly.com/news/366557952/EU-eIDAS-reforms-should-be-actively-resisted-say-experts

The State of IT Security in Germany in 2023 (2 nov)
https://www.bsi.bund.de/EN/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html

Mitre Att&CK V14 Released (2 nov)
https://www.helpnetsecurity.com/2023/11/02/mitre-attck-v14/

FIRST Common Vulnerability Scoring System 4.0
https://first.org/cvss

Utbildning i FIRST CVSS 4.0
https://learn.first.org/

Crate-CTF – En tävling i cybersäkerhet den 18 november
https://foi.se/forskning/informationssakerhet/crate—sveriges-nationella-cyberanlaggning-for-totalforsvaret/crate-ctf—en-tavling-i-cybersakerhet.html?openExpanderWith=CTF%3Aen%2CCTF

SÅRBARHETAPACHEACITVEMQ

Apache informerar om en kritisk sårbarhet i ActiveMQ (CVE-2023-46604). Ett angrepp möjliggör att fjärrköra skadlig kod (remote code execution – RCE). [1]

Bristen ligger i hur data deserialiseras. Genom att utnyttja detta kan en angripare köra godtycklig kod på ett angripet system. [1]

Apache Software Foundation klassar sårbarheten som 10.0 enligt CVSS-skalan. NIST har ännu inte bedömt sårbarheten. [2]

Uppdatering 2023-11-02

Det finns rapporter om att sårbarheten nu utnyttjas aktivt. [3]

Påverkade produkter

Apache ActiveMQ 5.18.0 innan 5.18.3
Apache ActiveMQ 5.17.0 innan 5.17.6
Apache ActiveMQ 5.16.0 innan 5.16.7
Apache ActiveMQ innan 5.15.16
Apache ActiveMQ Legacy OpenWire Module 5.18.0 innan 5.18.3
Apache ActiveMQ Legacy OpenWire Module 5.17.0 innan 5.17.6
Apache ActiveMQ Legacy OpenWire Module 5.16.0 innan 5.16.7
Apache ActiveMQ Legacy OpenWire Module 5.8.0 innan 5.15.16

Rekommendationer

CERT-SE rekommenderar att uppdatera Apache ActiveMQ snarast möjligt.

Källor

[1] https://activemq.apache.org/security-advisories.data/CVE-2023-46604-announcement.txt

[2] https://nvd.nist.gov/vuln/detail/CVE-2023-46604

[3] https://www.rapid7.com/blog/post/2023/11/01/etr-suspected-exploitation-of-apache-activemq-cve-2023-46604/

Sekundärkälla: CERT.se (MSB).

SÅRBARHETCISCO

Cisco har gått ut med information om en kritisk sårbarhet (CVE-2023-20198) i Cisco IOS XE Software som utnyttjas aktivt som en nolldagssårbarhet. Sårbarheten har en CVSS-klassning på 10,0 och bör hanteras skyndsamt av verksamheter som använder utrustning från Cisco med mjukvaran i fråga. [1]

Sårbarheten finns i webbgränssnittet i Cisco IOS XE och gör det möjligt för en oautentiserad angripare att på distans skapa ett lokalt användarkonto med administrationsbehörigheter (level 15) som kan användas för att ta kontroll över systemet.

System är sårbara om de är exponerade mot internet, har webbgränssnittet aktiverat och är åtkomliga över http eller https.

Artikeln kan komma att uppdateras.

Uppdatering 2023-10-19

CERT-SE vill särskilt trycka på vikten av att hantera sårbarheten skyndsamt. Sårbarheten utnyttjas aktivit i många länder, däribland Sverige.

CISA publicerade i juni en rekommendation om att inte exponera managementinterface mot internet. Rekommendationen kan användas som vägledning för att begränsa möjliga framtida angrepp. [3]

Uppdatering 2023-10-23

Cisco har släppt en säkerhetsuppdatering för IOS XE serien 17.9. [1]

CISA har publicerat rådgivning för att hantera sårbarheterna i Cisco IOS XE. Rådgivningen uppdateras när mer information finns. [4]

Uppdatering 2023-10-30

Talos Intelligence rekommenderar även att undersöka om det i systemet finns nyligen skapade eller oförklarliga användarkonton, vilket kan vara tecken på kompromettering. [2]

Uppdatering 2023-11-02

Cisco har släppt ytterligare en säkerhetsuppdatering, denna gång för IOS XE-serien 17.6. [1]

CISA har även uppdaterat sin rådgivning för att hantera sårbarheterna i Cisco IOS XE. [5]

Påverkade produkter

Cisco IOS XE

Rekommendationer

CERT-SE rekommenderar att följa Ciscos vägledning för hur man går tillväga för att undersöka om webbgränssnitet är aktiverat samt om det är åtkomligt via http eller https. Cisco erbjuder dessutom IOC:er för att indikera om systemet komprometterats.

CERT-SE rekommenderar vidare att installera säkerhetsuppdateringar så snart dessa blir tillgängliga. Säkerhetsuppdateringar för IOS XE serien 17.9 och 17.6 finns nu tillgängliga.[1]

Om man kan ha varit sårbar bör man även undersöka systemen för att se om man kan vara drabbad av ett intrång. Det är troligtvis inte tillräckligt att enbart söka efter möjliga bakdörrar genom att kontrollera systemen utifrån, utan en grundlig undersökning behövs.

Indikatorer på kompromettering att leta efter finns i Ciscos rådgivning, CISA:s rådgivning samt hos Cisco Talos. [1,2,4]

Det Cisco-ägda cybersäkerhetsföretaget Talos har gjort en djupare analys av sårbarheten. [2]

Källor

[1] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z

[2] https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/

[3] https://www.cisa.gov/news-events/directives/binding-operational-directive-23-02

[4] https://www.cisa.gov/guidance-addressing-cisco-ios-xe-web-ui-vulnerabilities

[5] https://www.cisa.gov/news-events/alerts/2023/10/27/cisa-updates-guidance-addressing-cisco-ios-xe-web-ui-vulnerabilities-additional-releases

Sekundärkälla: CERT.se (MSB).

SÅRBARHETATLASSIAN

Atlassian informerar om en kritisk sårbarhet i Confluence Data Center och Confluence Server.

Atlassian skriver att ett utnyttjade av sårbarheten kan leda till omfattande dataförluster, utan att gå in på vidare detaljer. Atlassian klassar sårbarheten som 9.1 i CVSS-skalan. NIST har ännu inte gjort en bedömning. [1]

Påverkade produkter

Confluence Data Center och Confluence Server innan version 7.19.16
Confluence Data Center och Confluence Server innan version 8.3.4
Confluence Data Center och Confluence Server innan version 8.4.4
Confluence Data Center och Confluence Server innan version 8.5.3
Confluence Data Center och Confluence Server innan version 8.6.1

Rekommendationer

CERT-SE rekommenderar att uppdatera sårbara versioner snarast möjligt. Atlassian skriver att om det inte finns möjlighet att installera uppdatering, så är en mitigerande åtgärd att göra säkerhetskopia på instansen, samt om möjligt också att koppla bort den från internet.

Källor

[1] https://confluence.atlassian.com/security/cve-2023-22518-improper-authorization-vulnerability-in-confluence-data-center-and-server-1311473907.html

Sekundärkälla: CERT.se (MSB).

Nyheter i veckan

Ragnar Locker ransomware gang taken down by international police swoop
https://www.europol.europa.eu/media-press/newsroom/news/ragnar-locker-ransomware-gang-taken-down-international-police-swoop

Internationella brottsmålsdomstolen: Cyberattacken hade spionage som mål (23 okt)
https://computersweden.idg.se/2.2683/1.780247/internationella-brottsmalsdomstolen-cyberattacken-hade-spionage-som-mal

City of Philadelphia discloses data breach after five months (23 okt)
https://www.bleepingcomputer.com/news/security/city-of-philadelphia-discloses-data-breach-after-five-months/

Ny attack mot Okta – hackare kom över kundinformation (23 okt)
https://computersweden.idg.se/2.2683/1.780249/okta-hackare

QNAP takes down server behind widespread brute-force attacks (23 okt)
https://www.bleepingcomputer.com/news/security/qnap-takes-down-server-behind-widespread-brute-force-attacks/

Spain arrests 34 cybercriminals who stole data of 4 million people (23 okt)
https://www.bleepingcomputer.com/news/security/spain-arrests-34-cybercriminals-who-stole-data-of-4-million-people/

1Password discloses security incident linked to Okta breach (23 okt)
https://www.bleepingcomputer.com/news/security/1password-discloses-security-incident-linked-to-okta-breach/

US energy firm shares how Akira ransomware hacked its systems (23 okt)
https://www.bleepingcomputer.com/news/security/us-energy-firm-shares-how-akira-ransomware-hacked-its-systems/

Generative AI phishing fears realized as model develops “highly convincing” emails in 5 minutes (24 okt)
https://www.csoonline.com/article/656698/generative-ai-phishing-fears-realized-as-model-develops-highly-convincing-emails-in-5-minutes.html

Espionage group uses webmail server zero-day to target European governments (25 okt)
https://therecord.media/winter-vivern-hackers-roundcube-webmail-zero-day

Alert: PoC Exploits Released for Citrix and VMware Vulnerabilities (25 okt)
https://thehackernews.com/2023/10/alert-poc-exploits-released-for-citrix.html

Measures taken following the unprecedented cyber-attack on the ICC (27 okt)
https://www.icc-cpi.int/news/measures-taken-following-unprecedented-cyber-attack-icc

Microsoft warns of criminal group using ‘advanced’ phishing tricks (27 okt)
https://www.siliconrepublic.com/enterprise/microsoft-octo-tempest-cyberattacks-phishing

Informationssäkerhet och blandat

Dataintrång sprids från en organisation till en annan – sätt stopp för nätfiske (20 okt)
https://www.kyberturvallisuuskeskus.fi/sv/dataintrang-sprids-fran-en-organisation-till-en-annan-satt-stopp-natfiske

An Analysis of Signal’s PQXDH (20 okt)
https://cryspen.com/post/pqxdh/

Norge rammes av avanserte målrettede cyberangrep (20 okt)
https://nsm.no/aktuelt/norge-rammes-av-avanserte-malrettede-cyberangrep
..
Nasjonalt digitalt risikobilde 2023
https://nsm.no/getfile.php/1313382-1697777843/NSM/Filer/Dokumenter/Rapporter/Nasjonalt%20digitalt%20risikobilde%202023.pdf

How hackers can use stolen DNA data (24 okt)
https://technology.inquirer.net/129159/how-hackers-can-use-stolen-dna-data

September blev ny rekordmånad för ransomware (25 okt)
https://computersweden.idg.se/2.2683/1.780261/september-blev-rekordmanad-for-ransomware-attacker

ChatGPT wrote code that can make databases leak sensitive information (25 okt)
https://www.newscientist.com/article/2399370-chatgpt-wrote-code-that-can-make-databases-leak-sensitive-information/

Hackers can force iOS and macOS browsers to divulge passwords and much more (25 okt)
https://arstechnica.com/security/2023/10/hackers-can-force-ios-and-macos-browsers-to-divulge-passwords-and-a-whole-lot-more/

DDoS threat report for 2023 Q3 (26 okt)
https://blog.cloudflare.com/ddos-threat-report-2023-q3

Your email account was hacked. What now? (27 okt)
https://www.pcworld.com/article/2116162/how-to-recover-from-hacked-email-account.html

CERT-SE i veckan

Kritisk sårbarhet i F5 Networks BIG-IP

Flera sårbarheter i VMware vCenter Server, VMware Cloud Foundation och Aria Operations for Logs

Kritiska sårbarheter i SolarWinds ARM

Den senaste veckan har CERT-SE publicerat och uppdaterat flera artiklar om sårbarheter som utnyttjas aktivt. Installera säkerhetsuppdateringar så snart som möjligt och följ tillverkarnas rekommendationer i övrigt. För den som har en stund över är CERT-SE:s CTF tillgänglig fram till sista oktober. Den hittar ni här.

Nyheter i veckan

HTTP/2 Rapid Reset’ Zero-Day Exploited to Launch Largest DDoS Attacks in History (10 okt)
https://www.securityweek.com/rapid-reset-zero-day-exploited-to-launch-largest-ddos-attacks-in-history/

Europe mulls open sourcing TETRA emergency services’ encryption algorithms (12 okt)
https://www.theregister.com/2023/10/12/etsi_tetra_open_source/
…
Rakel-systemets krypteringsalgoritm kan bli öppen källkod (16 okt)
https://computersweden.idg.se/2.2683/1.780201/europa-overvager-att-gora-raddningstjanstens-krypteringsalgoritm-till-oppen-kallkod

Void Rabisu Targets Female Political Leaders with New Slimmed-Down ROMCOM Variant (13 okt)
https://www.trendmicro.com/en_se/research/23/j/void-rabisu-targets-female-leaders-with-new-romcom-variant.html

DarkGate malware spreads through compromised Skype accounts (14 okt)
https://www.bleepingcomputer.com/news/security/darkgate-malware-spreads-through-compromised-skype-accounts/
..
DarkGate Opens Organizations for Attack via Skype, Teams (12 okt)
https://www.trendmicro.com/en_ph/research/23/j/darkgate-opens-organizations-for-attack-via-skype-teams.html

Liberalerna segrade i Ålands lagtingsval – åländska medier utsattes för överbelastningsattack under valkvällen (15 okt)
https://svenska.yle.fi/a/7-10043585

How hackers piled onto the Israeli-Hamas conflict (15 okt)
https://www.politico.eu/article/israel-hamas-war-hackers-cyberattacks/

Steam enforces SMS verification to curb malware-ridden updates (15 okt)
https://www.bleepingcomputer.com/news/security/steam-enforces-sms-verification-to-curb-malware-ridden-updates/

Kansas Supreme Court Probes Potential Ransomware Attack (16 okt)
https://www.govinfosecurity.com/kansas-supreme-court-probes-potential-ransomware-attack-a-23320

Sveriges cybersäkerhet rankas sämst i Norden (16 okt)
https://computersweden.idg.se/2.2683/1.780204/sveriges-cybersakerhet-rankas-samst-i-norden

Hackers steal sensitive info of thousands of Sony employees (16 okt)
https://www.pandasecurity.com/en/mediacenter/mobile-news/sony-employees-hack/

Försvarsmakten: Främmande makt förbereder cyberangrepp mot Sverige (16 okt)
https://www.svt.se/nyheter/inrikes/forsvarsmakten-frammande-makt-forbereder-cyberangrepp-mot-sverige
..
Transportsektorn och Försvarsmakten i gemensam övning mot cyberhot (16 okt)
https://foi.se/nyheter-och-press/nyheter/2023-10-16-transportsektorn-och-forsvarsmakten-i-gemensam-ovning-mot-cyberhot.html

Signal says there is no evidence rumored zero-day bug is real (16 okt)
https://www.bleepingcomputer.com/news/security/signal-says-there-is-no-evidence-rumored-zero-day-bug-is-real/

CERT-UA Reports: 11 Ukrainian Telecom Providers Hit by Cyberattacks (17 okt)
https://thehackernews.com/2023/10/cert-ua-reports-11-ukrainian-telecom.html

Crackdown on nuclear firm after cyber security ‘shortfalls’ (18 okt)
https://theferret.scot/cyber-security-nuclear-security-crackdown/

Finland Charges Psychotherapy Hacker With Extortion (18 okt)
https://www.securityweek.com/finland-charges-psychotherapy-hacker-with-extortion/

D-Link confirms data breach, but downplayed the impact (18 okt)
https://securityaffairs.com/152631/hacking/d-link-confirmed-data-breach.html

Twitter glitch allows CIA informant channel to be hijacked (18 okt)
https://www.bbc.com/news/technology-67137773

Cybersäkerhet en allt tyngre budgetpost – mest kostar det för vården (18 okt)
https://computersweden.idg.se/2.2683/1.780221/cybersakerhet-en-allt-tyngre-budgetpost-mest-kostar-det-for-varden
..
Ny global rapport om cybersäkerhet: Dataintrången alltmer kostsamma
https://www.pwc.se/sv/cyber-security/digital-trust-insights.html

23andMe Users’ Info Leaked Again, Millions of Records Found on Dark Web (19 okt)
https://gizmodo.com/23andme-users-info-leaked-again-records-found-dark-web-1850942298

Dataintrång sprids från en organisation till en annan – sätt stopp för nätfiske (20 okt)
https://www.kyberturvallisuuskeskus.fi/sv/dataintrang-sprids-fran-en-organisation-till-en-annan-satt-stopp-natfiske

Informationssäkerhet och blandat

Understanding DNS Tunneling Traffic in the Wild (13 okt)
https://unit42.paloaltonetworks.com/dns-tunneling-in-the-wild/

“EtherHiding” — Hiding Web2 Malicious Code in Web3 Smart Contracts (13 okt)
https://labs.guard.io/etherhiding-hiding-web2-malicious-code-in-web3-smart-contracts-65ea78efad16

Threat Actors Exploit Atlassian Confluence CVE-2023-22515 for Initial Access to Networks (16 okt)
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-289a

The forgotten malvertising campaign (16 okt)
https://www.malwarebytes.com/blog/threat-intelligence/2023/10/the-forgotten-malvertising-campaign

Are typos still relevant as an indicator of phishing? (16 okt)
https://isc.sans.edu/diary/Are+typos+still+relevant+as+an+indicator+of+phishing/30316/

Discord, I Want to Play a Game (16 okt)
https://www.trellix.com/about/newsroom/stories/research/discord-i-want-to-play-a-game/

IT admins are just as culpable for weak password use (17 okt)
https://outpost24.com/blog/it-admins-weak-password-use/

Are You Sure Your Browser is Up to Date? The Current Landscape of Fake Browser Updates (17 okt)
https://www.proofpoint.com/us/blog/threat-insight/are-you-sure-your-browser-date-current-landscape-fake-browser-updates
..
The Fake Browser Update Scam Gets a Makeover (18 okt)
https://krebsonsecurity.com/2023/10/the-fake-browser-update-scam-gets-a-makeover/

Clever malvertising attack uses Punycode to look like KeePass’s official website (18 okt)
https://www.malwarebytes.com/blog/threat-intelligence/2023/10/clever-malvertising-attack-uses-punycode-to-look-like-legitimate-website

BlackCat Climbs the Summit With a New Tactic (18 okt)
https://unit42.paloaltonetworks.com/blackcat-ransomware-releases-new-utility-munchkin/

Government-backed actors exploiting WinRAR vulnerability (18 okt)
https://blog.google/threat-analysis-group/government-backed-actors-exploiting-winrar-vulnerability/

Multiple North Korean threat actors exploiting the TeamCity CVE-2023-42793 vulnerability (18 okt)
https://www.microsoft.com/en-us/security/blog/2023/10/18/multiple-north-korean-threat-actors-exploiting-the-teamcity-cve-2023-42793-vulnerability/

Unraveling Real-Life Attack Paths – Key Lessons Learned (18 okt)
https://thehackernews.com/2023/10/unraveling-real-life-attack-paths-key.html

There’s a new way to flip bits in DRAM, and it works against the latest defenses (19 okt)
https://arstechnica.com/security/2023/10/theres-a-new-way-to-flip-bits-in-dram-and-it-works-against-the-latest-defenses/

CERT-SE i veckan

Kritisk 0-day-sårbarhet i Confluence utnyttjas aktivt (uppdaterad 2023-10-17)

Oracles kvartalsvisa säkerhetsuppdatering för oktober 2023

Kritisk sårbarhet i Cisco IOS XE Software Web UI (Uppdaterad 2023-10-19)

Flera sårbarheter i Citrix Netscaler ADC och Netscaler Gateway (Uppdaterad 2023-10-19)

Publicerad 2023-10-15 – Uppdaterad 2023-10-16; kl 11.05

Pressträff med Ulf Kristersson kl 11

Statsminister håller en pressträff klockan 11 med anledning av terrorattentatet i Bryssel igår.

Riksdagen håller tyst minut för dödsoffren

Riksdagen håller en tyst minut kl 13 för att hedra de som sköts till döds i terrorattentatet igår kväll.

---

Två svenska medborgare dödades och ytterligare en skadades när en man öppnade eld i Belgiens huvudstad Bryssel i vad den belgiska regeringen betecknar som ett terrorattentat riktat mot svenska medborgare. En av de avlidna svenskarna är bosatt i Schweiz. Tillståndet för den skadade svensken uppges vara allvarligt.

Kvalmatch i Bryssel

Samtidigt med terrorattentatet pågick Sveriges EM-kvalmatch. Denna avbröts efter det att arenan nåddes av uppgifterna om terrorattentatet. Svenska Fotbollsförbundet SvFF:s ordförande, Fredrik Reinfeldt, evakuerades omgående från arenan.

Lockdown och evakuering av svenskar

Efter att matchen avbrutits hölls arenan i ett s k Lockdown-läge med myndigheterna och arrangörerna planerade för hur de 700 svenska supportrarna och landslaget skulle kunnas föras från arenan till sina respektive hotell och sedan vidare till flygplatsen. Enligt uppgift hos TV4 Nyheterna pågick evakueringen ännu vid 04-tiden på tisdagens morgon.

Höjd terrorhotnivå

Belgiens regering har beslutat att höja terrorhotnivån till den högsta i Bryssel, en fyra på den fyrgradiga skalan. På nationell nivå ligger hotnivån kvar på en trea. Den svenska säkerhetspolisen meddelar att man följer händelseutvecklingen mycket noga och står i nära kontakt med sina belgiska motsvarigheter. Någon höjning av terrorhotnivån är i nuläget inte aktuell men att läget kan snabbt förändras om ny information framkommer.

Svenskar varnas

Svenska medborgare på besök i Bryssel uppmanas att inte röra sig på stan och att noga följa myndigheternas anvisningar. Det rekommenderas också att man bär en neutral klädsel som inte väcker uppmärksamhet. Det kan även vara klokt att inte prata svenska.

Pågående terrorhändelse

Den svenska regeringen står i direktkontakt med sin belgiska motsvarighet och har också mottagit kondoleanser för det hemska och avskyvärda terrordådet.

Händelsen betraktas som en pågående terrorhändelse.

Belgiska myndigheter uppger att man i morse grep den misstänkte gärningsmannen. Mannen avled till följd av den skottlossning som uppstod vid gripandet. Den belgiska polisen utesluter inte att att fler gärningsmän med kopplingar till händelsen kan vara på fri fot.

Frankrike och Nederländerna har skärpt gränskontrollen med anledning av terrorattentatet.

Säkerhetspolisens pressmeddelande om dåden i Bryssel

Patchtisdag firar 20 år denna månad! Vi hoppas att detta firas med extra mycket patchning. Titta gärna på de artiklar som vi på CERT-SE publicerat denna vecka med information om kritiska sårbarheter i produkter från flera tillverkare.

Nyheter i veckan

Genetics firm 23andMe says user data stolen in credential stuffing attack (6 okt)
https://www.bleepingcomputer.com/news/security/genetics-firm-23andme-says-user-data-stolen-in-credential-stuffing-attack/

Manufacturing services tech giant hit with cyberattack (10 okt)
https://therecord.media/manufacturing-giant-hit-with-cyberattack

Air Europa customers urged to cancel cards following hack on payment system (10 okt)
https://therecord.media/air-europa-cyberattack-payment-cards

Finnish websites hit by more cyberattacks (11 okt)
https://yle.fi/a/74-20054766

SEC is investigating MOVEit mass-hack, says Progress Software (11 okt)
https://techcrunch.com/2023/10/11/sec-is-investigating-moveit-mass-hack-says-progress-software/

Manufacturing giant dealing with ‘disruptive’ cyberattack (12 okt)
https://therecord.media/manufacturing-giant-dealing-with-disruptive-cyberattack

Microsoft Defender Thwarts Large-Scale Akira Ransomware Attack (12 okt)
https://thehackernews.com/2023/10/microsoft-defender-thwarts-akira.html

Rapporter och analyser

The Art of Concealment: A New Magecart Campaign That’s Abusing 404 Pages (9 okt)
https://www.akamai.com/blog/security-research/magecart-new-technique-404-pages-skimmer

Patch Now: Massive RCE Campaign Wrangles Routers Into Botnet (9 okt)
https://www.darkreading.com/cloud/patch-now-massive-rce-campaign-d-link-zyxel-botnet

Microsoft Digital Defense Report 2023 (10 okt)
https://www.microsoft.com/en-us/security/security-insider/microsoft-digital-defense-report-2023

StopRansomware: AvosLocker Ransomware (Update) (11 okt)
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-284a

Resurgence of LinkedIn Smart Links Identified in Sizable Credential Phishing Campaign (11 okt)
https://cofense.com/blog/linkedin-smart-links-credential-phishing-campaign/

Hackers will use AI to orchestrate worldwide cyberattacks (12 okt)
https://macleans.ca/society/technology/ai-cyberattacks/

NSA releases a repository of signatures and analytics to secure Operational Technology (12 okt)
https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3554537/nsa-releases-a-repository-of-signatures-and-analytics-to-secure-operational-tec/

Ransomware attacks now target unpatched WS_FTP servers (12 okt)
https://www.bleepingcomputer.com/news/security/ransomware-attacks-now-target-unpatched-ws-ftp-servers/

Phishing, the campaigns that are targeting Italy (12 okt)
https://securityaffairs.com/152372/cyber-crime/phishing-campaigns-targt-italy.html

DarkGate Opens Organizations for Attack via Skype, Teams (12 okt)
https://www.trendmicro.com/en_us/research/23/j/darkgate-opens-organizations-for-attack-via-skype-teams.html

Ransomware Roundup – Akira (12 okt)
https://www.fortinet.com/blog/threat-research/ransomware-roundup-akira

ToddyCat: Keep calm and check logs (12 okt)
https://securelist.com/toddycat-keep-calm-and-check-logs/110696/

Shadow PC warns of data breach as hacker tries to sell gamers’ info (12 okt)
https://www.bleepingcomputer.com/news/security/shadow-pc-warns-of-data-breach-as-hacker-tries-to-sell-gamers-info/

ShellBot Uses Hex IPs to Evade Detection in Attacks on Linux SSH Servers (12 okt)
https://thehackernews.com/2023/10/shellbot-uses-hex-ips-to-evade.html

Informationssäkerhet och övrigt

Så fungerar de nya digitala id-korten – bilden förfalskades på några minuter (8 okt)
https://www.dn.se/ekonomi/sa-fungerar-de-nya-digitala-id-korten-bilden-forfalskades-pa-nagra-minuter/

Finlands andra kvantdator invigs – körs i 273 minusgrader (10 okt)
https://svenska.yle.fi/a/7-10043189

CISA, Government, and Industry Partners Publish Fact Sheet for Organizations Using Open Source Software (10 okt)
https://www.cisa.gov/news-events/news/cisa-government-and-industry-partners-publish-fact-sheet-organizations-using-open-source-software

Svenskarna och internet 2023 (10 okt)
https://svenskarnaochinternet.se/rapporter/svenskarna-och-internet-2023/

From chaos to cadence: Celebrating two decades of Microsoft’s Patch Tuesday (11 okt)
https://www.theregister.com/2023/10/11/microsoft_patch_tuesday_turns_20/

Sverige ska få fler cyberexperter – ”finns stort behov” (12 okt)
https://sverigesradio.se/artikel/sverige-ska-fa-fler-cyberexperter-finns-stort-behov

Riksrevisionens rapport om regeringens styrning av samhällets informations- och cybersäkerhet (12 okt)
https://www.regeringen.se/rattsliga-dokument/skrivelse/2023/10/skr.-20232426

Ransomlooker, a new tool to track and analyze ransomware groups’ activities (12 okt)
https://securityaffairs.com/152416/malware/ransomlooker-tool.html

CISA Releases New Resources Identifying Known Exploited Vulnerabilities and Misconfigurations Linked to Ransomware (12 okt)
https://www.cisa.gov/news-events/alerts/2023/10/12/cisa-releases-new-resources-identifying-known-exploited-vulnerabilities-and-misconfigurations-linked