Skarp ökning av hacktivistaktivitet allt eftersom Israel/Hamas konflikten eskalerar
Enligt rapporter har minst 15 ransomware-kollektiv, inklusive Anonymous Sudan och Killnet, aktivt deltagit i cyberattacker mot israeliska och palestinska institutioner och deras uppbackare. Killnet konfirmerade via sin Telegramkanal att de siktar in sig på Israel, medan flera indiska grupper också delgett liknande mål. En sådan grupp gick till och med ut och påstod sig genomfört en framgångsrik cyberattack mot den palestinska regeringens hemsida, enligt deras eget Twitterupplägg.
Anonymous Sudan initierade attacker mot Israel kort efter de första raketerna sköts av Hamas under terroristgruppens vedervärdiga attack på lördagen. Gruppen påstår sig ha satt nödvarningssystem ur funktion i Israel. Även The Jerusalem Post, Israels största engelskspråkiga dagstidning, var utsatta från samma grupp.
Dessutom rapporterade det att Israels oberoende systemoperatörsnätverk äventyrades vilket ledde till en nedstängning av deras webbsida. Attacken utfördes av en grupp som också riktade in sig på Israel Electric Corporation. Å andra sidan, ThreatSec, en pro-Israelgrupp, påstår sig ha äventyrat infrastrukturen på den Gazabaserade internetleverantören AlfaNet.
MOVEit sårbarhet tvingar Flagstar Bank att gå ut med dataintrångsvarningar till över 800k av dess kunder
Flagstar Bank, en amerikansk baserad handelsbank gick ut med en varning till 837 390 av dess amerikanska kunder om ett dataintrång som påverkar deras personliga information.
I ett offentligt meddelande har Flagstar Bank angett att MOVEit sårbarheten inte har komprimerat deras egna system eller påverkat deras kundtjänstfunktioner utan att cyberkriminella lyckades komma åt filer som skickades via MOVEit, vilka har innehållit personlig kundinformation från Flagstar och deras tillhörande institutioner.
En cybersäkerhetsfirma ifrån Los Angeles avslöjade att även om de stulna uppgifterna ännu inte dykt upp på Dark Web, så har den lagts ut till försäljning i privata underjordiska forum.
Detta är inte den första cybersäkerhetsincidenten för Flagstar Bank. Under juni 2022 avslöjade de ett intrång som påverkade 1.5 miljoner individer men där detaljerna inte har blivit officiella. En annan attack, som utfördes av ransomware-gänget Clop, skedde under mars 2021 och påverkade nästan samma mängd kunder.
Air Europa råder sina kunder att avbryta betalningar med kreditkort efter en cyberattack
Air Europa, ett spanskt flygbolag baserat i Mallorca, råder sina kunder att avbryta deras betalningar med kreditkort efter en cyberattack mot deras betalningssystem online.
Företaget har inte gått ut med antalet påverkade kunder eller när attacken skedde. I ett uttalande försäkrade Air Europa att ”inga bevis på att intrånget i slutändan användes för att begå bedrägeri,” men ger inga detaljer på naturen bakom attacken. Flygbolaget e-postar påverkade kunder och finansinstitutioner och uppmanar till annullering samt att byta ut alla bankkort som använts på hemsidan för att begränsa risken för bedrägeri.
Detta är inte den första säkerhetsbristen för Air Europa, år 2021 fick flygbolaget böta efter sin hantering av ett dataintrång under 2018 som påverkat 489 000 stycken kunder.
Företaget rapporterade intrånget 41 dagar efter det inträffat vilket bryter mots EU:s GDPR regler som kräver rapportering inom 72 timmar. Detta kommer under ökad granskning av cybersäkerheten hos flygbolag, vilket exemplifieras av British Airways reducerade bot på 20 miljoner pund (24,5 miljoner USD) efter ett liknande intrång som involverade betaldata.
Patch Tuesday fixar flertalet zero-days och aktivt utnyttjade sårbarheter
I Microsofts oktober 2023 Patch Tuesday rullade teknikjätten ut säkerhetsuppdateringar för totalt 104 sårbarheter, där tre aktivt utnyttjade zero-days fel inkluderats. Sårbarheterna omfattar bland annat 45 RCE-buggar (Remote Code Executions), 26 privilegiehöjande sårbarheter och 17 Denial of Service-problem. Enbart 12 av dessa kategoriserades som ”kritiska”, och alla var RCE sårbarheter.
De tre aktivt utnyttjade zero-days-felen är:
- CVE-2023-41763 – En privilegiehöjande sårbarhet i Skype for Business. En angripare som exploaterade detta kunde potentiellt se känslig information.
- CVE-2023-36563 – En brist i Microsoft WordPad som gör det möjligt att stjäla NTLM-hashvärden vilka kan knäckas eller använda för ytligare attacker. Felet hittades internt av Microsofts Threat intelligence group.
- CVE-2023-44487 – En ny DDoS-attackteknik som kallas ”HTTP/2 Rapid Reset” vilken utnyttjar HTTP/2s stream cancellation-funktion för att överbelasta servrar. Även om det inte finns någon komplett ”fix” så föreslår Microsoft att man inaktiverar HTTP/2-protokollet som ett mitigerande steg.
Denna Patch Tuesday tog också upp en Chromium-sårbarhet, CVE-2023-5346, vilken redan fixats tidigare i månaden av Google. Apple släppte under tiden korrigeringar av två zero-day sårbarheter tidigare under månaden.
Microsoft avslöjade att två av zero-days hade offentliggjorts, vilket understryker vikten för användare att uppdatera sina system.
Curl 8.4.0 släpptes i förtid efter att ett allvarligt fel upptäckts
Curls utvecklingsteam avslöjade en allvarlig sårbarhet, CVE-2023-38545, som påverkar versionerna 7.69.0 till 8.3.0 i Curl-biblioteket.
Detta Heap-baserade buffertöverflödesproblem sker vid användning av en SOCKS5-proxy med fjärrvärdesnamn som överstiger 255 byte. För att exploatera detta måste en angripare få ett offer att ansluta via en skadlig SOCKS5-proxy och sedan omdirigera dem till en URL med ett långt värdnamn för att utlösa överflödet. Framgångsrikt utnyttjande kan resultera i fjärrexekvering av kod.
För att mitigera denna sårbarhet borde kunder uppgradera till Curl 8.4.0 eller tillämpa tillgängliga patcher. Sårbarheten är inte lätt att utnyttja, vilket förklaras av Curls upphovsman Daniel Stenberg, eftersom det kräver specifika villkor som proxy-handskakningen och en ”dubbel närvaro” av skadliga element för en framgångsrik attack.
En andra sårbarhet med lägre allvarhetsgrad, CVE-2023-38546, påverkar också Curl-biblioteket. Det kan potentiellt tillåta en angripare att injicera godtyckliga cookies i ett program som använder berörda versioner. Utnyttjandet kräver dock specifika villkor och anses vara mindre sannolikt att användas för en attack.
Dessa sårbarheter understryker behovet av snabba säkerhetsuppdateringar, särskilt för bibliotek som Curl som är fundamentalt för många applikationer. Alla som använder sig påverkade versioner borde omedelbart tillämpa patcher eller uppgraderingar för att undvika potentiella risker.
Om du är orolig över något utan hoten som beskrivits ovan i denna rapport eller behöver hjälp att avgöra vilka steg du behöver ta för att skydda från dem flesta väsentliga hot som din organisation står inför, vänligen ta kontakt med din kontoansvarige eller alternativt ta kontakt med oss för att ta reda på hur du kan skydda din organisation.
