CERT-SE:s veckobrev v.14

VECKOBREV

Blandade nyheter från veckan som gått. Denna förkortade arbetsvecka har präglats i hög grad av den uppmärksammade bakdörren i XZ Utils.

Vi vill också tipsa om MSB:s kommande Forum för samhällsviktiga kommunikationstjänster där CERT-SE medverkar på temat incidenthantering. Läs mer på MSB:s webbplats:https://www.msb.se/sv/aktuellt/kalender/2024/april/forum-for-samhallsviktiga-kommunikationstjanster/

Nyheter i veckan

Ivanti-linked breach of CISA potentially affected more than 100,000 individuals (29 mar)https://cyberscoop.com/ivanti-linked-breach-of-cisa-potentially-affected-more-than-100000-individuals/

AT&T confirms data for 73 million customers leaked on hacker forum (30 mar)https://www.bleepingcomputer.com/news/security/atandt-confirms-data-for-73-million-customers-leaked-on-hacker-forum/
https://about.att.com/story/2024/addressing-data-set-released-on-dark-web.html

Känsliga svenska internetkablar ligger oskyddade på havsbotten (30 mar)https://www.svt.se/nyheter/inrikes/kansliga-svenska-internetkablar-ligger-oskyddade-pa-havsbotten

Svenska politiker utsatta för kinesisk hackerattack (31 mar)https://www.svt.se/nyheter/utrikes/svenska-politiker-utsatta-for-kinesisk-hackerattack

Svenskars routrar utnyttjade av kinesisk hackergrupp (1 apr)https://www.svt.se/nyheter/inrikes/svenskars-routrar-har-utnyttjats-av-kinesisk-hackergrupp

Prudential Insurance says data of 36,000 exposed during February cyberattack (2 apr)https://therecord.media/prudential-discloses-new-information-from-february-incident

Microsoft warns Gmail blocks some Outlook email as spam, shares fix (2 apr)https://www.bleepingcomputer.com/news/microsoft/microsoft-warns-gmail-blocks-some-outlook-email-as-spam-shares-fix/

US State Department investigates alleged theft of government data (3 apr)https://www.bleepingcomputer.com/news/security/us-state-department-investigates-alleged-theft-of-government-data/

Cyber Safety Review Board Report Slams Microsoft Security Failures in Government Email Breach (3 apr)https://www.infosecurity-magazine.com/news/microsoft-security-failures/

XZ Utils Backdoor Attack Brings Another Similar Incident to Light (3 apr)https://www.securityweek.com/xz-utils-backdoor-attack-brings-another-similar-incident-to-light/

Cyberattack Causes Disruptions at Omni Hotels (4 apr)https://www.securityweek.com/cyberattack-causes-disruptions-at-omni-hotels/

SEXi Ransomware Desires VMware Hypervisors in Ongoing Campaign (5 apr)https://www.darkreading.com/threat-intelligence/sexi-ransomware-desires-vmware-hypervisors

Rapporter och analyser

Earth Freybug Uses UNAPIMON for Unhooking Critical APIs (2 apr)https://www.trendmicro.com/en_us/research/24/d/earth-freybug.html

New Red Ransomware Group (Red CryptoApp) Exposes Victims on Wall of Shame (4 apr)https://www.hackread.com/red-ransomware-group-red-cryptoapp-wall-of-shame/

Latrodectus: This Spider Bytes Like Ice (4 apr)https://www.proofpoint.com/us/blog/threat-insight/latrodectus-spider-bytes-ice

LockBit Ransomware Takedown Strikes Deep Into Brand’s Viability (4 apr)https://www.darkreading.com/threat-intelligence/lockbit-ransomware-takedown-strikes-brand-viability

Informationssäkerhet och blandat

‘Many-shot jailbreak’: lab reveals how AI safety features can be easily bypassed (3 apr)https://www.theguardian.com/technology/2024/apr/03/many-shot-jailbreaking-ai-artificial-intelligence-safety-features-bypass

NIST Wants Help Digging Out of Its NVD Backlog (2 apr)https://www.darkreading.com/vulnerabilities-threats/nist-needs-help-digging-out-of-its-vulnerability-backloghttps://nvd.nist.gov/general/news/nvd-program-transition-announcement

EU skrotar kritiserat säkerhetskrav för molnjättar (4 apr)https://computersweden.se/article/2080548/eu-skrotar-kritiserat-sakerhetskrav-for-molnjattar.html

Cybersäkerhetskollen 2024 lanserad (3 apr)https://www.msb.se/sv/aktuellt/nyheter/2024/april/cybersakerhetskollen-2024-lanserad/

CERT-SE i veckan

Kritisk sårbarhet i XZ Utils (xz/liblzma) (30 mar)https://www.cert.se/2024/03/kritisk-sarbarhet-i-xz-utils.html

Allvarliga sårbarheter i Ivanti Connect Secure och Ivanti Policy Secure (4 apr)https://www.cert.se/2024/04/allvarliga-sarbarheter-i-ivanti-connect-secure-och-ivanti-policy-secure.html

Allvarlig sårbarhet i Cisco Nexus Dashboard Fabric Controller (5 apr)https://www.cert.se/2024/04/allvarlig-sarbarhet-i-cisco-nexus-dashboard-fabric-controller.html

CERT-SE:s veckobrev v.13

VECKOBREV

Blandade nyheter från veckan.

Nyheter i veckan

Driftstörningar hos Telenor orsakade problem att ringa SOS (22 mar)https://sverigesradio.se/artikel/driftstorningar-hos-telenor-orsakade-problem-att-ringa-sos

German Police Seize ‘Nemesis Market’ in Major International Darknet Raid (24 mar)https://thehackernews.com/2024/03/german-police-seize-nemesis-market-in.html

Key Lesson from Microsoft’s Password Spray Hack: Secure Every Account (25 mar)https://thehackernews.com/2024/03/key-lesson-from-microsofts-password.html

Tech trade union confirms cyberattack behind IT, email outage (25 mar)https://www.theregister.com/2024/03/25/cwu_security_incident/?td=rt-3a

CISA urges software devs to weed out SQL injection vulnerabilities (25 mar)https://www.bleepingcomputer.com/news/security/cisa-urges-software-devs-to-weed-out-sql-injection-vulnerabilities/..https://www.cisa.gov/resources-tools/resources/secure-design-alert-eliminating-sql-injection-vulnerabilities-software

Over 170K users caught up in poisoned Python package ruse (25 mar)https://www.theregister.com/2024/03/25/python_package_malware/

HKScan targeted in cybersecurity attack (25 mar)https://www.wattagnet.com/regions/europe/article/15667131/hkscan-targeted-in-cybersecurity-attack..https://www.hkscan.com/en/newsroom/news/2024/03/information-security-release-c4780757/

New MFA-bypassing phishing kit targets Microsoft 365, Gmail accounts (25 mar)https://www.bleepingcomputer.com/news/security/new-mfa-bypassing-phishing-kit-targets-microsoft-365-gmail-accounts/

New MFA-bypassing phishing kit targets Microsoft 365, Gmail accounts (25 mar)https://www.bleepingcomputer.com/news/security/new-mfa-bypassing-phishing-kit-targets-microsoft-365-gmail-accounts/

US sanctions APT31 hackers behind critical infrastructure attacks (25 mar)https://www.bleepingcomputer.com/news/security/us-sanctions-apt31-hackers-behind-critical-infrastructure-attacks/

EU Commission launches probes into Alphabet, Apple, Meta for anticompetitive behavior (25 mar)https://www.euractiv.com/section/platforms/news/eu-commission-launches-investigations-into-alphabet-apple-meta-for-anticompetitive-behavior/

Senator demands answers from HHS about $7.5 million cyber theft in 2023 (25 mar)https://therecord.media/hhs-reported-grant-payment-scam-sen-bill-cassidy-letter

China cyber-attacks explained: who is behind the hacking operation against the US and UK? (26 mar)https://www.theguardian.com/technology/2024/mar/26/china-cyber-attack-uk-us-explained-hack-apt-31

ZenHammer Attack Targets DRAM on Systems With AMD CPUs (26 mar)https://www.securityweek.com/zenhammer-attack-targets-dram-on-systems-with-amd-cpus/

Germany warns of 17K vulnerable Microsoft Exchange servers exposed online (26 mar)https://www.bleepingcomputer.com/news/security/germany-warns-of-17k-vulnerable-microsoft-exchange-servers-exposed-online/

China cyber-attacks explained: who is behind the hacking operation against the US and UK? (26 mar)https://www.theguardian.com/technology/2024/mar/26/china-cyber-attack-uk-us-explained-hack-apt-31

Tolv års handlingar oläsliga efter ransomware-attacken mot Kalmar (26 mar)https://computersweden.se/article/2074799/tolv-ars-handlingar-olasliga-efter-ransomwareattacken-mot-kalmar.html

Investigation into hacking of Parliament’s information systems has been ongoing (26 mar)https://poliisi.fi/en/-/investigation-into-hacking-of-parliament-s-information-systems-has-been-ongoing

Recent ‘MFA Bombing’ Attacks Targeting Apple Users (26 mar)https://krebsonsecurity.com/2024/03/recent-mfa-bombing-attacks-targeting-apple-users/

Researchers Discover 40,000-Strong EOL Router, IoT Botnet (26 mar)https://www.securityweek.com/researchers-discover-40000-strong-eol-router-iot-botnet/

Zero-days exploited in the wild jumped 50% in 2023, fueled by spyware vendors (27 mar)https://therecord.media/zero-day-exploits-jumped-in-2023-spyware

92% of IT Leaders Say Cyberthreats Are on the Rise, 51% See AI Attacks for the First Time (27 mar)https://www.thefastmode.com/market-trends/35466-92-of-it-leaders-say-cyberthreats-are-on-the-rise-51-see-ai-attacks-for-the-first-time

Foresight Cybersecurity Threats For 2030 – Update 2024: Executive Summary (27 mar)https://www.enisa.europa.eu/publications/foresight-cybersecurity-threats-for-2030-update-2024-executive-summary

New Cyber Threats to Challenge Financial Services Sector in 2024 (27 mar)https://www.darkreading.com/cyberattacks-data-breaches/new-cyber-threats-to-challenge-financial-services-sector-in-2024..https://www.fsisac.com/navigatingcyber2024?utm_campaign=2024-GIOReport

Informationssäkerhet och blandat

NIST Launches Cybersecurity Framework (CSF) 2.0 (20 mar)https://www.trendmicro.com/en_us/research/24/c/nist-cybersecurity-framework-2024.html

Hardware-level Apple Silicon vulnerability can leak cryptographic keys (22 mar)https://www.theregister.com/AMP/2024/03/22/hardwarelevel_apple_silicon_vulnerability_can/

The UK Digital Information Bill: Brexit dividend or data disaster? (25 mar)https://www.theregister.com/2024/03/25/uk_digital_information_bill_feature/?td=keepreading

The state of ransomware: Faster, smarter, and meaner (25 mar)https://www.csoonline.com/article/2069830/the-state-of-ransomware.html/amp/

Data Security Trends: 2024 Report Analysis (25 mar)https://securityboulevard.com/2024/03/data-security-trends-2024-report-analysis/.. 2024 Thales Data Threat Report Reveals Rise in Ransomware Attacks, as Compliance Failings Leave Businesses Vulnerable to Breacheshttps://www.thalesgroup.com/en/worldwide/security/press_release/2024-thales-data-threat-report-reveals-rise-ransomware-attacks

”It-skandalen förstörde människors liv” (25 mar)https://computersweden.se/article/2073623/it-skandalen-forstorde-manniskors-liv.html

Officials plan for new age of cyber threats to satellites (25 mar)https://www.politico.com/news/2024/03/25/satellite-cyber-threat-00148672

Finnish police linked APT31 to the 2021 parliament attack (27 mar)https://securityaffairs.com/161102/apt/finnish-police-linked-apt31-to-the-2021-parliament-attack.html

CERT-SE i veckan

Kritiska sårbarheter i FortiOS, FortiProxy och FortiClientEMS (13 mars) (Uppdaterad)https://www.cert.se/2024/03/kritiska-sarbarheter-i-fortios-och-fortiproxy.html

CERT-SE:s veckobrev v.13

VECKOBREV

Blandade nyheter från veckan.

Nyheter i veckan

Driftstörningar hos Telenor orsakade problem att ringa SOS (22 mar)https://sverigesradio.se/artikel/driftstorningar-hos-telenor-orsakade-problem-att-ringa-sos

German Police Seize ‘Nemesis Market’ in Major International Darknet Raid (24 mar)https://thehackernews.com/2024/03/german-police-seize-nemesis-market-in.html

Key Lesson from Microsoft’s Password Spray Hack: Secure Every Account (25 mar)https://thehackernews.com/2024/03/key-lesson-from-microsofts-password.html

Tech trade union confirms cyberattack behind IT, email outage (25 mar)https://www.theregister.com/2024/03/25/cwu_security_incident/?td=rt-3a

CISA urges software devs to weed out SQL injection vulnerabilities (25 mar)https://www.bleepingcomputer.com/news/security/cisa-urges-software-devs-to-weed-out-sql-injection-vulnerabilities/..https://www.cisa.gov/resources-tools/resources/secure-design-alert-eliminating-sql-injection-vulnerabilities-software

Over 170K users caught up in poisoned Python package ruse (25 mar)https://www.theregister.com/2024/03/25/python_package_malware/

HKScan targeted in cybersecurity attack (25 mar)https://www.wattagnet.com/regions/europe/article/15667131/hkscan-targeted-in-cybersecurity-attack..https://www.hkscan.com/en/newsroom/news/2024/03/information-security-release-c4780757/

New MFA-bypassing phishing kit targets Microsoft 365, Gmail accounts (25 mar)https://www.bleepingcomputer.com/news/security/new-mfa-bypassing-phishing-kit-targets-microsoft-365-gmail-accounts/

New MFA-bypassing phishing kit targets Microsoft 365, Gmail accounts (25 mar)https://www.bleepingcomputer.com/news/security/new-mfa-bypassing-phishing-kit-targets-microsoft-365-gmail-accounts/

US sanctions APT31 hackers behind critical infrastructure attacks (25 mar)https://www.bleepingcomputer.com/news/security/us-sanctions-apt31-hackers-behind-critical-infrastructure-attacks/

EU Commission launches probes into Alphabet, Apple, Meta for anticompetitive behavior (25 mar)https://www.euractiv.com/section/platforms/news/eu-commission-launches-investigations-into-alphabet-apple-meta-for-anticompetitive-behavior/

Senator demands answers from HHS about $7.5 million cyber theft in 2023 (25 mar)https://therecord.media/hhs-reported-grant-payment-scam-sen-bill-cassidy-letter

China cyber-attacks explained: who is behind the hacking operation against the US and UK? (26 mar)https://www.theguardian.com/technology/2024/mar/26/china-cyber-attack-uk-us-explained-hack-apt-31

ZenHammer Attack Targets DRAM on Systems With AMD CPUs (26 mar)https://www.securityweek.com/zenhammer-attack-targets-dram-on-systems-with-amd-cpus/

Germany warns of 17K vulnerable Microsoft Exchange servers exposed online (26 mar)https://www.bleepingcomputer.com/news/security/germany-warns-of-17k-vulnerable-microsoft-exchange-servers-exposed-online/

China cyber-attacks explained: who is behind the hacking operation against the US and UK? (26 mar)https://www.theguardian.com/technology/2024/mar/26/china-cyber-attack-uk-us-explained-hack-apt-31

Tolv års handlingar oläsliga efter ransomware-attacken mot Kalmar (26 mar)https://computersweden.se/article/2074799/tolv-ars-handlingar-olasliga-efter-ransomwareattacken-mot-kalmar.html

Investigation into hacking of Parliament’s information systems has been ongoing (26 mar)https://poliisi.fi/en/-/investigation-into-hacking-of-parliament-s-information-systems-has-been-ongoing

Recent ‘MFA Bombing’ Attacks Targeting Apple Users (26 mar)https://krebsonsecurity.com/2024/03/recent-mfa-bombing-attacks-targeting-apple-users/

Researchers Discover 40,000-Strong EOL Router, IoT Botnet (26 mar)https://www.securityweek.com/researchers-discover-40000-strong-eol-router-iot-botnet/

Zero-days exploited in the wild jumped 50% in 2023, fueled by spyware vendors (27 mar)https://therecord.media/zero-day-exploits-jumped-in-2023-spyware

92% of IT Leaders Say Cyberthreats Are on the Rise, 51% See AI Attacks for the First Time (27 mar)https://www.thefastmode.com/market-trends/35466-92-of-it-leaders-say-cyberthreats-are-on-the-rise-51-see-ai-attacks-for-the-first-time

Foresight Cybersecurity Threats For 2030 – Update 2024: Executive Summary (27 mar)https://www.enisa.europa.eu/publications/foresight-cybersecurity-threats-for-2030-update-2024-executive-summary

New Cyber Threats to Challenge Financial Services Sector in 2024 (27 mar)https://www.darkreading.com/cyberattacks-data-breaches/new-cyber-threats-to-challenge-financial-services-sector-in-2024..https://www.fsisac.com/navigatingcyber2024?utm_campaign=2024-GIOReport

Informationssäkerhet och blandat

NIST Launches Cybersecurity Framework (CSF) 2.0 (20 mar)https://www.trendmicro.com/en_us/research/24/c/nist-cybersecurity-framework-2024.html

Hardware-level Apple Silicon vulnerability can leak cryptographic keys (22 mar)https://www.theregister.com/AMP/2024/03/22/hardwarelevel_apple_silicon_vulnerability_can/

The UK Digital Information Bill: Brexit dividend or data disaster? (25 mar)https://www.theregister.com/2024/03/25/uk_digital_information_bill_feature/?td=keepreading

The state of ransomware: Faster, smarter, and meaner (25 mar)https://www.csoonline.com/article/2069830/the-state-of-ransomware.html/amp/

Data Security Trends: 2024 Report Analysis (25 mar)https://securityboulevard.com/2024/03/data-security-trends-2024-report-analysis/.. 2024 Thales Data Threat Report Reveals Rise in Ransomware Attacks, as Compliance Failings Leave Businesses Vulnerable to Breacheshttps://www.thalesgroup.com/en/worldwide/security/press_release/2024-thales-data-threat-report-reveals-rise-ransomware-attacks

”It-skandalen förstörde människors liv” (25 mar)https://computersweden.se/article/2073623/it-skandalen-forstorde-manniskors-liv.html

Officials plan for new age of cyber threats to satellites (25 mar)https://www.politico.com/news/2024/03/25/satellite-cyber-threat-00148672

Finnish police linked APT31 to the 2021 parliament attack (27 mar)https://securityaffairs.com/161102/apt/finnish-police-linked-apt31-to-the-2021-parliament-attack.html

CERT-SE i veckan

Kritiska sårbarheter i FortiOS, FortiProxy och FortiClientEMS (13 mars) (Uppdaterad)https://www.cert.se/2024/03/kritiska-sarbarheter-i-fortios-och-fortiproxy.html

Söktjänster granskas efter Kammarrättsdom

Uppdaterad 2024-03-26; 01.10

Mål 6027-23

Efter Kammarrättens dom mot Prolegia har Integritetsskyddsmyndigheten (IMY) beslutat att särskilt granska alla söktjänster med frivilligt utgivningsbevis.

Bakgrunden är rekryteringsbolaget Prolegia hos Åklagarmyndigheten begärde ut vissa allmänna handlingar ur två brottmål. Åklagarmyndigheten beslutade att inte lämna ut de begärda handlingarna med hänvisning till att bolaget inte som huvudsaklig verksamhet sysslade med journalistisk utgivning. Bolaget överklagade beslutet med hänvisning till undantagen i dataskyddsförordningen och Yttrandefrihetsgrundlagen (YGL). Man registrerade också ett så kallat frivilligt utgivningsbevis men av bolagets verksamhetsbeskrivning kunde man inte utläsa att det ägnade sig åt journalistisk verksamhet. Istället framgick det att bolagets verksamhet utgjordes av bakgrundskontroller och konsultverksamhet inom rekrytering.

Frivilliga utgivningsbevis under lupp

Det som i normala fall är sekretessbelagda uppgifter enligt OSL (Offentlighets- och sekretesslagen) och dataskyddsförordningen (GDPR), får i under vissa omständigheter lämnas ut till ett bolag som har ett så kallat frivilligt utgivningsbevis. Utlämning av personuppgifter är också möjligt även om det avser mycket känsliga personuppgifter som t ex inkomst, domstolshandlingar, brottsbelastning och skulder hos Kronofogden. Söktjänsten hanterar rent tekniskt informationen i en databas och ansvarar också för att de uppgifter de publicerar är korrekta. Om någon uppgift är felaktig kan en privatperson framföra klagomål och begära rättelse. Trots att möjligheten till rättelse finns har många personer upplevt att söktjänsterna är ovilliga att ta ansvar för de uppgifter de publicerar. I ett parallellt ärende har en privatperson stämt Mr Koll för grovt förtal.

Inom säkerhetsbranschen och bland rekryterare används möjligheten att få ut mycket känslig information om privatpersoner regelmässigt. Det är till och med möjligt att få ut information om en person varit intagen för psykiatrisk vård. Ett av bolagen är alltså Prolegia som utvecklat en något som kan jämföras med en brottsdatabas. För brottsdatabaser finns det särskilda regler enligt Brottsdatalagen. Vem som helst får inte samla in uppgifter för systematisk bearbetning i ett datasystem. Ett privat företag kan få tillstånd att göra sådan insamling under vissa förutsättningar men de förutsättningarna ansåg vare sig Förvaltningsrätten eller Kammarrätten var uppfyllda i det här målet.

Kraftig begränsning av söktjänsternas tillgång till känslig information

Målet är intressant eftersom det är första gången de tillfälliga utgivningsbevisen prövas rättsligt. Och det är troligt att Prolegia kommer att försöka att gå hela vägen till EU-domstolen. Men under tiden kommer nu IMY att granska alla bolag med så kallade tillfälliga utgivningsbevis som erbjuder söktjänster som kan innehålla mycket känsliga personuppgifter.

Om Kammarrättens dom står sig hela vägen till EU-domstolen då kommer söktjänsternas information att begränsas kraftigt. Några kan till och med behöva upphöra med sin verksamhet.

Uppdaterad: 2024-03-21 14:31 -Publicerad: 2024-02-09 10:37

BM24-001 Kritiska RCE-sårbarheter i Forti-produkter

Källa: CERT.se/MSB

BLIXTMEDDELANDEFORTINETFORTIOSFORTIPROXYFORTIPAMFORTISWITCHMANAGER

Fortinet har publicerat säkerhetsuppdateringar som hanterar två kritiska sårbarheter i FortiOS. Dessa har tilldelats CVSS-klassificering 9.6 och 9.8.

Den kritiska sårbarheten CVE-2024-21762 påverkar SSL VPN-komponenten i FortiOS och kan möjliggöra för en icke-autentiserad fjärrangripare att köra godtyckliga kommandon och kod mot den sårbara enheten (remote code execution). För att sårbarheten ska kunna utnyttjas krävs att SSL VPN-funktion är aktiverad. Mitigerande åtgärder finns. Troligen utnyttjas denna sårbarhet redan aktivt [1].

Den kritiska sårbarheten CVE-2024-23113 i FortiOS fgfmd [2] kan även den utnyttjas av en fjärrangripare men hanteras av säkerhetsuppdaterade versioner enligt.

Uppdatering 2024-02-12

Flera påverkade Forti-produkter har lagts till i listorna för CVE-2024-21762 (uppdaterat nedan) och CVE-2024-23113. Därför har även rubriken på CERT-SE:s artikel uppdaterats för att inte endast nämna FortiOS. De tillkomna Forti-produkterna är olika versioner av FortiPAM, FortiProxy samt FortiSwitchManager [1,2].

Uppdatering 2024-03-21

Proof of concept för hur sårbarhet CVE-2024-21762 kan utnyttjas finns publikt tillgänglig på internet. Sårbarheten utnyttjas aktivt. [3]

Påverkade produkter

FortiOS 7.4, versioner 7.4.0 till och med 7.4.2
(uppgradera till 7.4.3 eller senare)

FortiOS 7.2, versioner 7.2.0 till och med 7.2.6
(uppgradera till 7.2.7 eller senare)

FortiOS 7.0, versioner 7.0.0 till och med 7.0.13
(uppgradera till 7.0.14 eller senare)

FortiOS 6.4, versioner 6.4.0 till och med 6.4.14
(uppgradera till 6.4.15 eller senare)

FortiOS 6.2, versioner 6.2.0 till och med 6.2.15
(uppgradera till 6.2.16 eller senare)

FortiOS 6.0 (alla versioner 6.0)

FortiProxy 7.4, versioner 7.4.0 till och med 7.4.2
(uppgradera till 7.4.3 eller senare)

FortiProxy 7.2, versioner 7.2.0 till och med 7.2.8
(uppgradera till 7.2.9 eller senare)

FortiProxy 7.0, versioner 7.0.0 till och med 7.0.14
(uppgradera till 7.0.15 eller senare)

FortiProxy 2.0, versioner 2.0.0 till och med 2.0.13
(uppgradera till 2.0.14 eller senare)

FortiProxy 1.2 (alla versioner 1.2)

FortiProxy 1.1 (alla versioner 1.1)

FortiProxy 1.0 (alla versioner 1.0)

Rekommendationer

CERT-SE rekommenderar att snarast möjligt säkerhetsuppdatera sårbara produkter och följa tillverkarens rekommendationer gällande mitigerande åtgärder, för att undvika ett angrepp.

Källor

[1] https://fortiguard.fortinet.com/psirt/FG-IR-24-015

[2] https://fortiguard.fortinet.com/psirt/FG-IR-24-029

[3] https://isc.sans.edu/diary/Scans+for+Fortinet+FortiOS+and+the+CVE202421762+vulnerability/30762

CERT-SE:s veckobrev v.12

VECKOBREV

Veckans svep bjuder på en blandning av händelser, fördjupningar och rekommendationer. Bland annat en vägledning från NCSC-UK för chefer och ledning i både privat och offentlig sektor, om vad man bör tänka på i händelse av en cybersäkerhetsincident.

Nyheter i veckan

International Monetary Fund email accounts hacked in cyberattack (15 mars)https://www.bleepingcomputer.com/news/security/international-monetary-fund-email-accounts-hacked-in-cyberattack/

Stora datorproblem hos Jordbruksverket (16 mars)https://www.svt.se/nyheter/lokalt/jonkoping/stora-datorproblem-hos-jordbruksverket

NIST NVD Halt Leaves Thousands of Vulnerabilities Untagged (18 mars)https://www.hackread.com/nist-nvd-halt-leaves-vulnerabilities-untagged/

CISA hit by hackers, key systems taken offline (18 mars)https://securityintelligence.com/news/cisa-hackers-key-systems-offline/

New Zealand media company: Hackers directly targeting individuals after alleged data breach (18 mars)https://therecord.media/mediaworks-new-zealand-data-breach-extortion

Finland, Germany, Ireland, Japan, Poland, South Korea added to US-led spyware agreement (18 mars)https://therecord.media/international-spyware-agreement-new-members

Commercial Bank of Ethiopia glitch lets customers withdraw millions (18 mars)https://www.bbc.com/news/world-68599027

Fujitsu found malware on IT systems, confirms data breach (18 mars)https://www.bleepingcomputer.com/news/security/fujitsu-found-malware-on-it-systems-confirms-data-breach/

New Phishing Attack Uses Clever Microsoft Office Trick to Deploy NetSupport RAT (19 mars)https://thehackernews.com/2024/03/new-phishing-attack-uses-clever.html

Försäkringskassan varnar för bluffmejl (19 mars)https://sakerhetskollen.se/aktuella-brott/forsakringskassan-varnar-for-bluffmejl

Strul hos Skatteverket när deklarationen öppnade (19 mars)https://tt.omni.se/strul-hos-skatteverket-nar-deklarationen-oppnade/a/4o6r5V

Hackare avslöjade nätverk – misstänks ha lurat äldre (20 mars)https://sverigesradio.se/artikel/hackare-avslojade-natverk-misstanks-ha-lurat-aldre

SVT Uppdrag Granskning: hackaren (20 mars)https://www.svtplay.se/video/e6dEVLw/uppdrag-granskning/hackaren

300,000 Systems Vulnerable to New Loop DoS Attack (20 mars)https://www.securityweek.com/300000-systems-vulnerable-to-new-loop-dos-attack/… 
Advisory on Application-layer Loop DoS Attacks (19 mars)https://cispa.saarland/group/rossow/Loop-DoS

Earth Krahang Exploits Intergovernmental Trust to Launch Cross-Government Attacks (18 mars)https://www.trendmicro.com/en_us/research/24/c/earth-krahang.htmlhttps://www.bleepingcomputer.com/news/security/chinese-earth-krahang-hackers-breach-70-orgs-in-23-countries/

“Disabling cyberattacks” are hitting critical US water systems, White House warns (20 mars)https://arstechnica.com/security/2024/03/critical-us-water-systems-face-disabling-cyberattacks-white-house-warns/
https://www.bleepingcomputer.com/news/security/white-house-and-epa-warn-of-hackers-breaching-water-systems/

Danmark blev ramt af GPS-jamming i nyt angreb på kritisk infrastruktur (20 mars)https://jyllands-posten.dk/indland/ECE16955137/danmark-blev-ramt-af-gpsjamming-i-nyt-angreb-paa-kritisk-infrastruktur/

Exploit released for Fortinet RCE bug used in attacks, patch now (21 mars)https://www.bleepingcomputer.com/news/security/exploit-released-for-fortinet-rce-bug-used-in-attacks-patch-now/

New StrelaStealer Phishing Attacks Hit Over 100 Organizations in E.U. and U.S. (22 mars)https://thehackernews.com/2024/03/new-strelastealer-phishing-attacks-hit.html

Informationssäkerhet och blandat

Inside the Rabbit Hole: BunnyLoader 3.0 Unveiled (15 mars)https://unit42.paloaltonetworks.com/analysis-of-bunnyloader-malware/

Department of Homeland Security lays out AI plans in new roadmap (18 mars)https://fedscoop.com/dhs-ai-roadmap/

New Attack Shows Risks of Browsers Giving Websites Access to GPU (18 mars)https://www.securityweek.com/new-attack-shows-risks-of-browsers-giving-websites-access-to-gpu/

We’re one step closer to a global cybersecurity standard for smart home devices (19 mars)https://www.theverge.com/2024/3/18/24104906/csa-iot-device-security-specification-product-security-verification-mark

A prescription for privacy protection: Exercise caution when using a mobile health app (19 mars)https://www.welivesecurity.com/en/privacy/prescription-privacy-protection-exercise-caution-mobile-health-app/

PRC state-sponsored cyber activity: Actions for critical infrastructure leaders (19 mars)https://www.cisa.gov/resources-tools/resources/prc-state-sponsored-cyber-activity-actions-critical-infrastructure-leaders

Abusing the DHCP Administrators Group to Escalate Privileges in Windows Domains (20 mars)https://www.akamai.com/blog/security-research/abusing-dhcp-administrators-group-for-privilege-escalation-in-windows-domains

Making Sense of Operational Technology Attacks: The Past, Present, and Future (21 mars)https://thehackernews.com/2024/03/making-sense-of-operational-technology.html

Responding to a cyber incident – a guide for CEOs (21 mars)https://www.ncsc.gov.uk/guidance/ceos-responding-cyber-incidents

Årsrapport: Recorded Future 2023 Annual Report (21 mars)https://www.recordedfuture.com/2023-annual-report

Målet: Nya Cybercampus Sverige ska stärka hela landets it-säkerhet (22 mars)https://www.nyteknik.se/tech/malet-nya-cybercampus-sverige-ska-starka-hela-landets-it-sakerhet/4246479

Opening Pandora’s box – Supply Chain Insider Threats in Open Source projectshttps://boostsecurity.io/blog/opening-pandora-box-supply-chain-insider-threats-in-oss-projects

CERT-SE i veckan

Uppdaterad artikel – Kritiska RCE-sårbarheter i Forti-produkter (21 mars)https://www.cert.se/2024/02/kritiska-rce-sarbarheter-i-fortios.html

Kritiska sårbarheter i Ivanti Neurons för ITSM och Standalone Sentry (21 mars)https://www.cert.se/2024/03/kritiska-sarbarheter-i-ivanti-neurons-och-standalone-sentry.html

CERT-SE:s veckobrev v.11

VECKOBREV

I veckan har MSB:s årsrapport för föregående års it-incidentrapportering släppts. Till skillnad från tidigare år, där majoriteten av de rapporterade it-incidenterna har berott på systemfel och misstag, vår cyberangrepp den vanligaste orsaken 2023. Ökningen av cyberangrepp kopplas till att fler överbelastningsangrepp rapporterades under första halvan av året. I veckan har det även varit patchtisdag, så se till att era system är uppdaterade. Veckobrevet bjuder dessutom på en hel del spännande fördjupande artiklar, så som Brittish Librarys utvärdering av sin tidigare incident.

Nyheter i veckan

Attack wrangles thousands of web users into a password-cracking botnet (7 mar)https://arstechnica.com/security/2024/03/attack-wrangles-thousands-of-web-users-into-a-password-cracking-botnet/

Update on Microsoft Actions Following Attack by Nation State Actor Midnight Blizzard (8 mar)https://msrc.microsoft.com/blog/2024/03/update-on-microsoft-actions-following-attack-by-nation-state-actor-midnight-blizzard/

CISA forced to take two systems offline last month after Ivanti compromise (8 mar)https://therecord.media/cisa-takes-two-systems-offline-following-ivanti-compromise

Incognito Darknet Market Mass-Extorts Buyers, Sellers (11 mar)https://krebsonsecurity.com/2024/03/incognito-darknet-market-mass-extorts-buyers-sellers/

Belgian village whose brewery was hit by cyberattack faces another on its coffee roastery (11 mar)https://therecord.media/koffie-beyers-cyberattack-coffee-roaster-duvel-belgium

Franska myndigheter utsatta för it-attack (11 mar)https://www.aftonbladet.se/nyheter/a/Rr77qd/aftonbladet-direkt?pinnedEntry=1226344

New network code on cybersecurity for EU electricity sector (11 mar)https://energy.ec.europa.eu/news/new-network-code-cybersecurity-eu-electricity-sector-2024-03-11_en

Over 12 million auth secrets and keys leaked on GitHub in 2023 (12 mar)https://www.bleepingcomputer.com/news/security/over-12-million-auth-secrets-and-keys-leaked-on-github-in-2023/

Sophiahemmet betalar inte lösensumma till hackarna (12 mar)https://www.mitti.se/nyheter/sophiahemmet-betalar-inte-losensumma-till-hackarna-6.3.209636.d86253e919

Fastighetsbolaget Örebroporten utsatt för dataintrång (12 mar)https://www.svt.se/nyheter/lokalt/orebro/fastighetsbolaget-orebroporten-utsatt-for-dataintrang

Cyberattack on U.S. health care system could be biggest in sector’s history (12 mar)https://www.youtube.com/watch?v=g1daKX_eke8

Förbättringar i välfärdens informationssäkerhetsarbete (12 mar)https://skr.se/skr/tjanster/pressrum/nyheter/nyhetsarkiv/forbattringarivalfardensinformationssakerhetsarbete.79730.html

Så förbereder du dig mot cyberattacker (12 mar)https://www.svt.se/nyheter/inrikes/sa-forbereder-du-dig-for-cyberattacker

Expert varnar för AI inför EU-valet: Har inte rätt verktyg (13 mar)https://sverigesradio.se/artikel/expert-varnar-for-ai-infor-eu-valet-har-inte-ratt-verktyg

Stanford University Hacked – Attackers Breached The Internal Network (13 mar)https://cybersecuritynews.com/stanford-university-hacked/

Tidigare Must-chef ska utreda cyberattack (13 mar)https://tt.omni.se/tidigare-must-chef-ska-utreda-cyberattack/a/Q7nljR

Alert: Cybercriminals Deploying VCURMS and STRRAT Trojans via AWS and GitHub (13 mar)https://thehackernews.com/2024/03/alert-cybercriminals-deploying-vcurms.html

Antalet cyberangrepp ökade kraftigt 2023 (14 mar)https://www.svt.se/nyheter/inrikes/antalet-cyberangrepp-okade-kraftigt-2023.. Antalet cyberangrepp ökade kraftigt under 2023 (14 mar)https://www.msb.se/sv/aktuellt/nyheter/2024/mars/antalet-cyberangrepp-okade-kraftigt-under-2023/

Nissan Hack: 10K+ Users Data Stolen by Hackers (14 mar)https://cybersecuritynews.com/nissan-hack-10k-users-data-stolen-by-hackers/

Stort kabelhaveri stör internet i Afrika (15 mar)https://www.aftonbladet.se/nyheter/a/Rr77qd/aftonbladet-direkt?pinnedEntry=1227609

McDonald’s bekräftar it-haveri – stora problem (15 mar)https://www.svt.se/nyheter/inrikes/problem-pa-mcdonalds-restauranger-stangda

Millions of users may have had data leaked in new French government agency security breach (15 mar)https://www.techradar.com/pro/security/millions-of-users-may-have-had-data-leaked-in-new-french-government-agency-security-breach

Scottish health service says ‘focused and ongoing cyber attack’ may disrupt services (15 mar)https://therecord.media/scottish-nhs-cyberattack-healthcare-dumfries-galloway

Recent Ivanti Vulnerabilities: 4 Lessons Security Leaders Can Learn (15 mar)https://www.informationweek.com/cyber-resilience/recent-ivanti-vulnerabilities-4-lessons-security-leaders-can-learn

Informationssäkerhet och blandat

TA577’s Unusual Attack Chain Leads to NTLM Data Theft (4 mar)https://www.proofpoint.com/us/blog/threat-insight/ta577s-unusual-attack-chain-leads-ntlm-data-theft

LEARNING LESSONS FROM THE CYBER-ATTACK British Library cyber incident review (8 mar)https://www.bl.uk/home/british-library-cyber-incident-review-8-march-2024.pdf

February 2024’s Most Wanted Malware: WordPress Websites Targeted by Fresh FakeUpdates Campaign (11 mar)https://blog.checkpoint.com/research/february-2024s-most-wanted-malware-wordpress-websites-targeted-by-fresh-fakeupdates-campaign/

FakeBat delivered via several active malvertising campaigns (12 mar)https://www.malwarebytes.com/blog/threat-intelligence/2024/03/fakebat-delivered-via-several-active-malvertising-campaigns

The 2024 Sophos Threat Report: Cybercrime on Main Street (12 mar)https://news.sophos.com/en-us/2024/03/12/2024-sophos-threat-report/

Threat actors leverage document publishing sites for ongoing credential and session token theft (13 mar)https://blog.talosintelligence.com/threat-actors-leveraging-document-publishing-sites/

Security Flaws within ChatGPT Ecosystem Allowed Access to Accounts On Third-Party Websites and Sensitive Data (13 mar)https://salt.security/blog/security-flaws-within-chatgpt-extensions-allowed-access-to-accounts-on-third-party-websites-and-sensitive-data

SVG Files Abused in Emerging Campaigns (13 mar)https://cofense.com/blog/svg-files-abused-in-emerging-campaigns/

A patched Windows attack surface is still exploitable (14 mar)https://securelist.com/windows-vulnerabilities/112232/

New email standards: what you need to knowhttps://www.techradar.com/pro/new-email-standards-what-you-need-to-know

CERT-SE i veckan

Microsofts månatliga säkerhetsuppdateringar för mars 2024 (14 mar)https://www.cert.se/2024/03/microsofts-manatliga-sakerhetsuppdateringar-for-mars-2024.html

Adobes månatliga säkerhetsuppdateringar för mars 2024 (14 mar)https://www.cert.se/2024/03/adobes-manatliga-sakerhetsuppdateringar-for-mars-2024.html

SAP:s månatliga säkerhetsuppdateringar för mars 2024 (14 mar)https://www.cert.se/2024/03/saps-manatliga-sakerhetsuppdateringar-for-mars-2024.html

Kritiska sårbarheter i FortiOS, FortiProxy och FortiClientEMS (Uppdaterad 15 mar)https://www.cert.se/2024/03/kritiska-sarbarheter-i-fortios-och-fortiproxy.html

Kritisk sårbarhet i Arcserve UDP (15 mar)https://www.cert.se/2024/03/Kritisk-sarbarhet-i-Arcserve-UDP.html

Kritisk sårbarhet i Juniper Secure Analytics (15 mar)https://www.cert.se/2024/03/Kritisk-sarbarhet-i-juniper-secure-analytics.html

Kammarrätten fastställer sanktionsavgift mot Klarna till 7,5 miljoner

Mål: 2829-23 

Klarna ska betala en sanktionsavgift om 7,5 miljoner kronor eftersom dataskyddsinformationen inte uppfyllt kraven i EU:s dataskyddsförordning. 

Överträdelserna av dataskyddsförordningen består av att Klarna inte lämnat tillräcklig information till de registrerade till exempel om hur personuppgifter kommer att lagras, och att informationen varit svårtillgänglig eller otydlig.

– Kammarrätten bedömer att en sanktionsavgift om 7,5 miljoner kronor är motiverad för att vara effektiv, proportionell och avskräckande. Kammarrätten gör därmed samma bedömning som Integritetsskyddsmyndigheten, säger Peder Liljeqvist, lagman vid kammarrätten.

Kammarrätten ändrar därmed förvaltningsrättens dom att sanktionsavgiften skulle vara 6 miljoner kronor.

Kammarrättens pressmeddelande – mål 2829-23

IMY:s handläggningsprocess – bakgrund (IMY)

Delbetänkande av Utredningen om genomförande av NIS2- och CER-direktiven

SOU 2024:18

Den 5 mars överlämnade den särskilde utredaren Anette Norman sitt delbetänkande till ny Cybersäkerhetslag. Nu ska lagen ut på remiss innan tjänstemännen på regeringskansliet kan starta beredningsarbetet att Riksdagen kan ta beslut om att införa lagen den 1 januari 2025.

Ladda ner delbetänkande här SOU 2024:18

Omfattande informationsläcka hos Folkhälsomyndigheten (FoHM)

Uppdaterad 2024-03-11; kl 08.39

En extern IT-konsult åtals nu för brott mot tystnadsplikten sedan han misstänks ha delat FoHM:s vaccinationsregister med en vaccinationkritisk sajt. Enligt myndigheten finns cirka 7 miljoner svenskar i vaccinregistret. Omfattningen av informationsläckan avslöjades sedan mannen blivit påkommen med att ha läckt vaccinationsuppgifter om 800 barn. IT-konsulten polisanmäldes då och det är den förundersökning som pågått sedan dess som får polisen att misstänka att den misstänkte läckt hela vaccinationsregistret.

På grund av sitt uppdrag fick den misstänkte ovanligt vida behörigheter till olika IT-system bland annat vaccinationsregistret. FoHM säger sig nu ha vidtagit åtgärder för att något liknande inte ska vara möjligt i framtiden.

Uppgifterna som läckt ut är enligt Läkartidningen personuppgifter på ca 7 miljoner vuxna.

IT-konsult åtalas för att ha läckt vaccinationsregistret till vaccinationskritisk sajt (SR Ekot)

Ny anmälan till IMY – hela vaccinationsregistret misstänks ha röjts (Läkartidningen)