Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.04.24

Mandiant har gitt ut sin sikkerhetsrapport for 2024. NRK har gitt ut sine årlige trusselvurdering.

---

Mandiant har gitt ut sin sikkerhetsrapport for 2024

Google Mandiant har gitt ut sin årlige oppsummering for 2024. Denne gir innsikt i målrettede angrep som har blitt undersøkt av Mandiant i 2024. Noen høydepunkter fra rapporten:

• Snitttiden fra et innbrudd skjer til det oppdages har gått videre ned fra 16 dager i 2022 til 10 dager i fjor.

• I 54% av sakene ble offeret gjort oppmerksom på innbruddet av en ekstern tredjepart.

• Inngangsvektorene er 38% exploits, 17% phishing, 15% tidligere innbrudd og 10% stjålne innloggingsdetaljer. Innbrudd via VPN-bokser, brannmurer og andre enheter eksponert direkte mot Internet er økende. Loggdata fra disse enhetene er også ofte mangelfulle.

Vi anbefaler å lese rapporten!

Referanser:

https://services.google.com/fh/files/misc/m-trends-2024.pdf https://cloud.google.com/blog/topics/threat-intelligence/m-trends-2024 https://www.darkreading.com/endpoint-security/edge-vpns-firewalls-nonexistent-telemetry-apts

NRK har gitt ut sine årlige trusselvurdering

NRK skriver i forordet til sin årlige trusselvurdering blant annet følgende: "Det siste året har vi sett flere situasjoner der aktivister har forstyrret direktesendinger for å fremme et budskap. Vi har også sett NRK og NRK-journalisters troverdighet misbrukes gjennom falske nyheter, falske nettsider og annonser til villedning og bedrageri av publikum. Redaktørstyrte medier er viktige i kampen mot falske nyheter og påvirkningsoperasjoner. Tillit er avgjørende, og aldri har NRKs rolle som veiviser i hva som er fakta vært viktigere."

Referanser:

https://fido.nrk.no/40e124eefc09a08b0a7adcd523fd477ae36eec7f255895ea6961dc9eddd9c824/NRKs%20trusselvurdering%202024.pdf

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.04.23

Politiets årlige rapport om cyberrettet og cyberstøttet kriminalitet. Legitime github-lagre brukes til å spre malware. Andelen som betaler løsepenger etter angrep er fallende.

---

Politiets årlige rapport om cyberrettet og cyberstøttet kriminalitet

Politiet har gitt ut sin årlige rapport om cyberkriminalitet. I forordet skriver de blant annet følgende: "Omfanget av kriminaliteten er stort. Norske virksomheter er attraktive mål for kriminelle. Samtidig rammer også cyberkriminaliteten enkeltpersoner. Truslene vi står overfor er sammensatte, og verktøyene og virkemidlene som rettes mot oss er i stadig utvikling. Kriminaliteten har i 2023 hatt stor geografisk spredning og rammet bredt." Vi anbefaler en gjennomlesning!

Referanser:

https://www.politiet.no/globalassets/tall-og-fakta/datakriminalitet/cyberkriminalitet-2024.pdf https://www.vg.no/nyheter/innenriks/i/Vzl7lr/norske-barn-utnyttes-i-ny-digital-utpressing

Legitime github-lagre brukes til å spre malware

Github lar brukere laste opp malware til kjente Github-lagre (repositories), uten tillatelse fra eieren av lageret. Dette gjøres ved å legge til en kommentar til et kjent Github-lager og deretter laste opp en exe-fil sammen med kommentaren. Exe-filen vil da få en filsti som ligger under det kjente lageret, som f.eks:

https://github.com/microsoft/vcpkg/files/13563781/malware.zip

Kommentaren kan siden slettes, men filen vil bli liggende igjen og kan brukes til å spre malware ved å legge til lenken til filen i andre nettsider eller eposter.

Referanser:

https://www.bleepingcomputer.com/news/security/github-comments-abused-to-push-malware-via-microsoft-repo-urls/ https://twitter.com/ax_sharma/status/1781706435115491409

Andelen som betaler løsepenger etter angrep er fallende

Statistikk fra sikkerhetsfirmaet Coveware viser at kun 28% av ofrene for ransomware-angrep så langt i år har betalt. I 2019 var det rundt 85% av ofrene som betalte, og siden har andelen heldigvis gått kraftig nedover. Nedgangen kan skyldes at flere har rutiner og backups for å få i gang igjen normal drift, samt at flere ofre har opplevd at angriperne har stukket av med pengene uten å gi noe igjen.

Sikkerhetsfirmaet Chainalysis har imidlertid regnet seg fram til at det i fjor ble betalt over $1.1 milliarder USD i løsepenger i fjor, det høyeste hittil.

Referanser:

https://www.bleepingcomputer.com/news/security/ransomware-payments-drop-to-record-low-of-28-percent-in-q1-2024/

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.04.22

MITRE kompromittert gjennom Ivanti-såbarheter. Kritisk sårbarhet under utnyttelse i CrushFTP. Uløst sårbarhet tillater en angriper å slette filer i Windows – uten rettigheter. Sårbarhet i AWS og Google Cloud kommandolinje-verktøy kan eksponere sensitiv informasjon.

---

MITRE kompromittert gjennom Ivanti-såbarheter

MITRE Corporation var blant virksomhetene som ble kompromittert gjennom to zero-day svakheter i Ivanti Connect Secure i januar. Forrige uke oppdaget MITRE at en ukjent stats-sponset aktør hadde brutt seg inn i deres ugraderte forsknings- og utviklingsnettverk. Kjernenettet skal ikke være rammet. Angriperne rakk å installere en bakdør i nettverket før sårbarhetene ble lukket.

Referanser:

https://therecord.media/mitre-breached-ivanti-zero-days https://medium.com/mitre-engenuity/advanced-cyber-threats-impact-even-the-most-prepared-56444e980dc8

Kritisk sårbarhet under utnyttelse i CrushFTP

CrushFTP melder om en kritsk sårbarhet i deres filoverføringsverktøy som allerede utnyttes i aktive målrettede angrep. Ved å utnytte svakheten, kan brukere få tilgang til systemfiler utenfor deres virtuelle filsystem.

Anbefaling:

Svakheten er fikset i versjon 11.1.0 og vi anbefaler snarlig oppgradering!

Referanser:

https://www.crushftp.com/crush11wiki/Wiki.jsp?page=Update

Uløst sårbarhet tillater en angriper å slette filer i Windows – uten rettigheter

Sikkerhetseksperten Or Yair har oppdaget en sårbarhet i Windows-operativsystemet som gjør det mulig for angripere å oppnå rootkit-lignende funksjoner uten at det kreves spesielle privilegier.

Sårbarheten er knyttet til hvordan APIer i brukerområdet (user-space) i Windows konverterer filstier fra det tradisjonelle DOS-formatet til det mer moderne NT-formatet. I konverteringen fra DOS til NT, vil Windows automatisk fjerne alle etterfølgende punktum fra stielementer og alle etterfølgende mellomrom fra det siste stielementet. Denne oppførselen, som Yair har kalt "MagicDot", kan utnyttes av angripere til å skjule ondsinnede filer, kataloger og prosesser og til å utgi seg for å være legitime filer – uten å ha administratorrettigheter.

I utredningen av problemet har Or Yair oppdaget fire sårbarheter tilknyttet problemet, tre er allerede patchet av Microsoft. Den fjerde sårbarhet, et EOP (elevation of privilege) problem, tillater angriperen å slette filer uten rettigheter. Microsoft anerkjenner problemet, men sårbarheten har enda ikke fått en CVE eller løsning.

Anbefaling:

Det anbefales å bruke NT-filstier som forhindrer konverteringsprosessen og sikrer at filstien er den samme som tiltenkt.

Sårbarheter:

CVE-2023-36396CVE-2023-32054 CVE-2023-42757

Referanser:

https://www.safebreach.com/blog/magicdot-a-hackers-magic-show-of-disappearing-dots-and-spaces/ https://www.csoonline.com/article/2093788/windows-path-conversion-weirdness-enables-unprivileged-rootkit-behavior.html

Sårbarhet i AWS og Google Cloud kommandolinje-verktøy kan eksponere sensitiv informasjon

I November ble det oppdaget en sårbarhet i Azure CLI (Command Line Interface) som eksponerte sensitiv informasjon i systemlogger. Sårbarheten fikk en CVSS score på 8.6. Sikkerhetsselskapet Orca Research Pod har nylig oppdaget det samme problemet i AWS og Google Cloud sine CLIer. CLIer brukes blant annet for å lette samhandling med skyløsninger eller CI/CD-miljøer. Problemet ligger i at APIene for de overnevnte tjenestene returnerer konfigurasjoner for ressursene, inkludert miljøvariabler som kan inneholde tilgangsnøkler. Eksempelvis kan en bruker med leserettigheter til skylagring og skylogging, eksfiltrere og ytterlige eskalere egne rettigheter.

Anbefaling:

Det anbefales å ikke ha hemmeligheter/tilgangsnøkler i miljøvariabler for serverløse ressurser. I stedet bør man definere sensitive variabler i den tilknyttede Secrets Manager-tjenesten. I tillegg bør kommando-utdata som ikke er nødvendige i loggene sendes til /dev/null. Dette forhindrer unødvendig eksponering av sensitiv informasjon.

Sårbarheter:

CVE-2023-36052

Referanser:

https://orca.security/resources/blog/leakycli-aws-google-cloud-command-line-tools-can-expose-sensitive-credentials-build-logs/

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.04.19

Sikkerhetsoppdateringer fra Atlassian og Cisco.

---

Sikkerhetsoppdateringer fra Atlassian og Cisco

Både Atlassian og Cisco har gitt ut sikkerhetsoppdateringer.

Atlassian fikser 7 svakheter, alle med høy viktighet. Disse er i produktene Bamboo Data Center and Server, Confluence Data Center and Server, Jira Software Data Center and Server og Jira Service Management Data Center and Server.

Cisco har gitt ut 3 oppdateringer, rangert med medium og høy viktighet. Den mest alvorlige svakheten ligger i Integrated Management Controller (IMC) og rammer en rekke av deres produkter. Denne gjør det mulig for lokale angripere å utvide sine rettigheter til root på systemet. Det finnes allerede utnyttelseskode for å misbruke denne svakheten.

Vi anbefaler brukere av produktene om å oppgradere!

Referanser:

https://confluence.atlassian.com/security/security-bulletin-april-16-2024-1387857429.html https://sec.cloudapps.cisco.com/security/center/publicationListing.x https://www.bleepingcomputer.com/news/security/cisco-discloses-root-escalation-flaw-with-public-exploit-code/

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.04.18

Ny versjon av MDM-systemet Ivani Avalanche fikser 27 svakheter. Mandiant med bloggpost om den russiske trusselaktøren Sandworm/APT44.

---

Ny versjon av Ivani Avalanche fikser 27 svakheter

Ivanti har gitt ut sin kvartalsvise oppdatering av Avalanche, som er et MDM-system (Mobile Device Management). Oppdateringen utbedrer 27 svakheter. To av disse har blitt kategorisert som kritiske, og gjør det mulig å kjøre vilkårlig kode dersom en har nettverkstilgang til enheten, uten bruker på systemet. Begge svakhetene skyldes heap-overflow svakheter og er relativt enkle å utnytte.

Ivanti er ikke kjent med at noen av svakhetene utnyttes i aktive angrep. Vi anbefaler rask patching!

Sårbarheter:

CVE-2024-29204CVE-2024-24996

Referanser:

https://forums.ivanti.com/s/article/Avalanche-6-4-3-Security-Hardening-and-CVEs-addressed?language=en_US https://www.bleepingcomputer.com/news/security/ivanti-warns-of-critical-flaws-in-its-avalanche-mdm-solution/

Mandiant med bloggpost om den russiske trusselaktøren Sandworm

Trusselaktøren Sandworm har vært aktiv i over 15 år og knyttes mot GRUs (Den russiske militære etterretningen) avdeling "Main Centre for Special Technologies" (GTsST), også kjent som Unit 74455. Aktøren er også kjent som Iridium, Seashell Blizzard og Mandiant kaller den nå for APT44.

Aktøren er den som er mest involvert i spionasje og sabotasje mot Ukraina i forbindelse med den pågående krigen. Gruppen instruerer f.eks. soldater i hvordan de eksfiltrerer informasjon fra beslagslagte telefoner og sender inn til GRU.

GRU har også forbindelser til flere hacktivist-grupper. Én av disse, Cyber Army of Russian Reborn, har f.eks. brutt seg inn hos et vannverk i USA og et renseanlegg i Polen.

Referanser:

https://cloud.google.com/blog/topics/threat-intelligence/apt44-unearthing-sandworm https://services.google.com/fh/files/misc/apt44-unearthing-sandworm.pdf https://www.wired.com/story/cyber-army-of-russia-reborn-sandworm-us-cyberattacks/

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.04.17

Utnyttelseskode for kritisk svakhet i Palo Alto-brannmurrer offentliggjort. Cisco advarer mot innloggingsforsøk mot VPN- og SSH-tjenester. Juniper patcher Junos OS og Junos OS Evolved. Oracle har gitt ut sin kvartalsvise sikkerhetsoppdatering.

---

Utnyttelseskode for kritisk svakhet i Palo Alto-brannmurrer offentliggjort

Vi meldte fredag om en kritisk svakhet i brannmurer fra Palo Alto. I går ble en patch sluppet for problemet. Utnyttelseskode er nå offentliggjort og svakheten utnyttes i stor skala.

Vi anbefaler å patche sårbare brannmurer så fort som mulig. Brannmurer som har vært eksponert mot Internett uten patch bør også sees på som kompromitterte. Råd om å slå av telemetri-logging for å unngå svakheten har vist seg ikke å fungere. Svakheten ble først utnyttet i målrettede angrep 26. mars.

Sårbarheter:

CVE-2024-3400

Referanser:

https://www.bleepingcomputer.com/news/security/exploit-released-for-palo-alto-pan-os-bug-used-in-attacks-patch-now/ https://twitter.com/HackingLZ/status/1780239802496864474 http://security.paloaltonetworks.com/CVE-2024-3400

Cisco advarer mot innloggingsforsøk mot VPN- og SSH-tjenester

Cisco Talos advarer i en bloggpost om storskala innloggingsforsøk mot VPN- og SSH-tjenester som er tilgjengelig fra Internet. Angrepene har tiltatt i det siste og bruker ofte benyttede brukernavn og passord. Innloggingsforsøkene kommer gjerne fra VPN-endepunkter eller TOR exit-noder.

Typiske angrepsmål er: Cisco Secure Firewall VPN, Checkpoint VPN, Fortinet VPN, SonicWall VPN, RD Web Services, Miktrotik, Draytek og Ubiquiti.

Vi anbefaler å sjekke for standard-kontoer på systemer, slå på MFA og benytte sertifikat-basert innlogging dersom mulig.

Referanser:

https://blog.talosintelligence.com/large-scale-brute-force-activity-targeting-vpns-ssh-services-with-commonly-used-login-credentials/

Juniper patcher Junos OS og Junos OS Evolved

Juniper Networks har gitt ut oppdateringer som fikser en rekke svakheter i Junos OS, Junos OS Evolved og andre produkter. Svakhetene kan blant annet føre til krasj, høy CPU-belastning, cross-site scripting (XSS) og tilgang til filer på systemet. Vi anbefaler Juniper-kunder å se igjennom oppdateringene!

Referanser:

https://www.securityweek.com/juniper-networks-publishes-dozens-of-new-security-advisories/ https://supportportal.juniper.net/s/global-search/%40uri?language=en_US#sort=%40sfcec_community_publish_date_formula__c%20descending&f:ctype=[Security%20Advisories]

Oracle har gitt ut sin kvartalsvise sikkerhetsoppdatering

Oracle har gitt ut sin kvartalsvise oppdatering for 1. kvartal 2024. Denne gangen patcher de 441 nye svakheter i et stort antall produkter. Oracle har publisert risk-tabeller for å gjøre det lettere å prioritere patching. Vi anbefaler kunder av Oracle å sette seg nøye inn i oppdatreringen og planlegge patching.

Referanser:

https://www.oracle.com/security-alerts/cpuapr2024.html

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.04.16

Mangelfull nøkkelgenerering i Putty påvirker flere produkter. Rettighetseskalering som følge av sårbarhet i YubiKey Manager. Kritisk såbarhet i Delinea Secret Server.

---

Mangelfull nøkkelgenerering i Putty påvirker flere produkter

Det har blitt oppdaget at Putty genererer svake nøkler til algoritmen ECDSA (Elliptic Curve Digital Signature Algorithm). Ved å observere kun 60 signaturer, kan en finne ut den private nøkkelen. Signaturene kan for eksempel høstes inn av en server eller via signerte git-commits.

Sårbare produkter er:

- PuTTY 0.68 - 0.80
- FileZilla 3.24.1 - 3.66.5
- WinSCP 5.9.5 - 6.3.2
- TortoiseGit 2.4.0.2 - 2.15.0
- TortoiseSVN 1.10.0 - 1.14.6

Svakheten er fikset i Putty v0.81, FileZilla v.3.67.0, WinSCP v.6.3.3 og TortoiseGit 2.15.0.1. Alle tidligere genererte nøkler med denne algoritmen (NIST P-521) må sees på som kompromitterte.

Sårbarheter:

CVE-2024-31497

Referanser:

https://www.openwall.com/lists/oss-security/2024/04/15/6

Rettighetseskalering som følge av sårbarhet i YubiKey Manager

Sikkerhetsleverandøren bak sikkerhetsnøklene Yubico, har sendt ut varsel som advarer Windows-brukere om en sårbarhet i programvaren YubiKey Manager. Sårbarheten har en CVSS-score på 7.7, og gjør det mulig for en angriper med tilgang til en Windows-maskin å eskalere rettighetene sine lokalt, dersom brukeren starter YubiKey Manager GUI som administrator. Dette gjøres typisk, siden Windows krever administratorrettigheter for å samhandle med FIDO-enheter som YubiKey. Når brukergrensesnittet kjøres som administrator, kan alle nettleservinduer som åpnes, også arve de forhøyede rettighetene.

Sårbarheten påvirker versjoner av YubiKey Manager før 1.2.6.

Anbefaling:

Oppdater til den siste versjonen av YubiKey Manager. I tillegg kan brukere angi Microsoft Edge som standardnettleser, som inneholder sikkerhetstiltak for å unngå å arve administrative rettigheter.

Sårbarheter:

CVE-2024-31498

Referanser:

https://www.yubico.com/support/security-advisories/ysa-2024-01/

Kritisk såbarhet i Delinea Secret Server

HelseCERT melder at det 11. april 2024 ble det publisert en bloggpost om en sårbarhet i Delinea Secret Server som gjør det mulig å omgå autentisering.

Delinea publiserte 13. april 2024 et varsel om at de er klar over sårbarheten og at mitigerende tiltak er implementert på Secret Server Cloud.

Utnyttelse forutsetter at angriper har tilgang på en bruker i systemet, men denne brukeren trenger ikke å være høyt priviligert.

Sårbarheten er verken tildelt CVE eller en CVSS-score, men HelseCERT anser sårbarheten som kritisk fordi den er ukomplisert å utnytte.

Følgende produkter er sårbare: Secret Server On-Premises før versjon 11.7.000001.

Kode for utnyttelse er offentlig tilgjengelig, men det er så langt ikke meldt om aktiv utnyttelse.

Referanser:

https://straightblast.medium.com/all-your-secrets-are-belong-to-us-a-delinea-secret-server-authn-authz-bypass-adc26c800ad3 https://trust.delinea.com/?tcuUid=17aaf4ef-ada9-46d5-bf97-abd3b07daae3