Kompromitterte Amerikanske internettleverandører. Sårbarheter i produkter fra HPE Aruba og Citrix. Sårbarheter i Cisco-utstyr.
Kompromitterte Amerikanske internettleverandører
Trusselaktøren "Salt Typhoon", med antatte forbindelser til den kinesiske regjeringen, har i følge amerikanske myndigheter nylig brutt seg inn hos flere amerikanske internettleverandører. Kampanjen har som mål å stjele sensitiv informasjon, og er en del av en større trend med kinesiske angrep rettet mot kritisk infrastruktur i USA. I følge sikkerhetseksperten Steven Adair, frykter man at trusselaktøren skal få tilgang til kjernerutere som kan muligjøre uthenting av informasjon, viderekoble internettrafikk og installere ondsinnet programvare.
Det er også avdekket et nettverk med over 200 000 enheter, inkludert rutere, kameraer og andre internett-tilkoblede enheter som ble brukt av en annen trusselaktør kalt Flax Typhoon. Vi omtalte dette botnettet i nyhetsbrevet 19. september.
FBI-direktør Christopher Wray har advart om Kinas kapabiliteter, og amerikanske myndigheter har gjentatte ganger advart om kinesiske datainnbrudd. I følge dem er dette sannsynligvis bare «toppen av isfjellet» på grunn av trusselaktørenes sofistikerte angrepsmetodikker. Kinesiske myndigheter har benektet anklagene om angrep.
Sårbarheter i produkter fra HPE Aruba og Citrix
JustisCERT varsler om sårbarheter i:
HPE Aruba Networking Access Points. Totalt 3 CVE ble publisert 24.09, hvor alle er kategorisert som kritisk (CVE-2024-42505, CVE-2024-42506 og CVE-2024-42507, alle med CVSS-Score 9.8). HPE Aruba har publisert oppdateringer til støttede produkter.
Citrix XenServer og Citrix Hypervisor. Totalt 3 CVE ble publisert 24.09, kategorisert som viktig (CVE-2024-45817, CVE-2022-24805 og CVE-2022-24809, med CVSS-Score 6.2 - 6.5). Citrix har publisert oppdateringer til støttede produkter.
Sårbarheter i Cisco-utstyr
EKomCERT melder at Cisco den 25. september publiserte 15 sårbarhetsvarseler på sine nettsider, 11 i forbindelse med den planlagte halvårlige samleoppdatering av Cisco IOS og IOS XE. Ni av varslene blir karakterisert med alvorlighetsgrad høy, resten medium.
EkomCERT ønsker å fremheve sårbarheter knyttet til IPv4 fragmentering på Cisco ASR 1000 Series og Cisco cBR-8, DHCP Snooping, Protocol Independent Multicast (PIM) og Resource Reservation Protocol (RSVP). Disse sårbarhetene og flere kan i gitte konfigurasjoner utnyttes til å utføre tjenestenektangrep.
EkomCERT er ikke kjent med aktiv ondsinnet utnyttelse av noen av sårbarhetene. Flere av sårbarhetene er oppdaget i forbindelse med supportsak hos Cisco TAC.
EkomCERT anbefaler alle ekomaktører med sårbart utstyr å oppdatere eller iverksette mitigerende tiltak.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.