Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Thursday, 23 May 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.05.23

Kritisk autentiseringsfeil i GitHub Enterprise Server. Mandiant skriver om aktørers bruk av private relay-nettverk (ORB). Rapid 7 har gitt ut "2024 Attack Intelligence Report". Cisco oppdaterer ASA, FMC og FTD-programvare.


Kritisk autentiseringsfeil i GitHub Enterprise Server

En kritisk feil i autentiseringsmekanismen i Github Enterprise Server gjør at ikke-autentiserte brukere kan oppnå administrator-tilgang til systemet. Feilen er registrert som CVE-2024-4985 og har fått en CVSS på 10 av 10. Feilen rammer installasjoner som benytter seg av single sign-on og krypert bekreftelse (encrypted assertion). Sistnevnte er en funksjon som ikke er slått på som standard. Github har gitt ut versjon 3.9.15, 3.10.12, 3.11.10 og 3.12.4 for å fikse svakheten. Det er så langt ikke meldt at svakheten har blitt utnyttet i aktive angrep.

Sårbarheter:

Mandiant skriver om aktørers bruk av private relay-nettverk (ORB)

De siste årene har avanserte aktører tatt i bruk såkalte "ORB-nettverk" (Operational Relay Box Networks) for å skjule hvor deres angrepstrafikk kommer fra. Dette er proxy-nettverk som er bygget opp av kompromitterte servere og hjemmeroutere, leide virtuelle servere i skyen og andre enheter. Angriperne bruker disse enhetene til å sende trafikk ut på nettet og kan dermed bytte IP-adresser ofte. IoCer som forholder seg til IP-adresser blir dermed mindre nyttige. Det er egne aktører som vedlikeholder og selger tilgang til disse nettverkene. Les Mandiants rapport for detaljer.

Rapid 7 har gitt ut "2024 Attack Intelligence Report"

Sikkerhetsselskapet Rapid 7 har gitt ut sin årlige rapport med oversikt over sårbarheter og trender i hvordan de utnyttes. I år skriver de blant annet om at zero-day svakheter har blitt utnyttet i flere masse-kompromitteringer, en økning i utnyttelse av enheter eksponert direkte mot Internet (edge-devices) og at mange angrep mot VPN og fjerninnlogging kunne ha vært unngått ved bruk av MFA (Multi-Faktor Autentisering).

Cisco oppdaterer ASA, FMC og FTD-programvare

Nkom melder at Cisco den 22. mai publiserte 22 sårbarhetsvarsler på sine nettsider i forbindelse med en planlagt samleoppdatering av Cisco ASA, FMC og FTD. Et par av varslene blir karakterisert med alvorlighet "høy", hvor en autentisert bruker av Cisco Firepower Management Center kan gjennomføre et SQL injection angrep mot et sårbart system. Ut over dette har Cisco også sluppet to oppdateringer på eldre varsler vedrørende Cisco firepower, uten neveneverdige endringer i selve sårbarheten.

EkomCERT er ikke kjent med aktiv ondsinnet utnyttelse av noen av sårbarhetene. Enkelte av sårbarhetene er imidlertid rapportert inn via eksterne parter.

No comments:

Post a Comment

Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.

 
>