13e november till 17e november 2023
I månadens patch Wednesday åtgärdade Microsoft 63 säkerhetsproblem i sin programvara, inklusive tre som utnyttjas aktivt. Bristerna varierar i allvarlighetsgrad, där tre bedöms som kritiska, 56 som viktiga och fyra som måttliga. Noterbart är att två sårbarheter redan var offentliga vid tidpunkten för uppdateringen.
Bland de kritiska sårbarheterna finns fem zero-days, inklusive en Windows SmartScreen Security Feature Bypass (CVE-2023-36025) och två Windows elevation of privilege vulnerabilities (CVE-2023-36033 och CVE-2023-36036), som kan göra det möjligt för angripare att få SYSTEM-behörighet.
CVE-2023-36025 är den tredje zero-day i Windows SmartScreen som utnyttjats under 2023. Microsoft har inte detaljerat vilka attackmetoder eller hotaktörer som är inblandade, men noterar att dessa brister kan användas tillsammans med buggar för fjärrkörning av kod.
U.S. Cyber security and Infrastructure Security Agency (CISA) har uppmanat federala myndigheter att tillämpa dessa korrigeringar senast den 5 december 2023, på grund av hur allvarliga dessa problem är. Dessutom patchade Microsoft kritiska brister i fjärrkörning av kod i Protected Extensible Authentication Protocol och Pragmatic General Multicast samt ett heap-baserat buffertöverflöde i curl-biblioteket.
En sårbarhet i Azure CLI som kunde leda till att lösenord och användarnamn i klartext avslöjades åtgärdades också. Microsoft har sedan dess härdat Azure CLI mot potentiell exponering av hemligheter.
Lockbit ransomwareattacker utnyttjar sårbarheten (CVE-2023-4966) i Citrix Bleed för att infiltrera stora organisationer vilket leder till datastöld och filkryptering. Trots att Citrix släppte korrigeringar för över en månad sedan är tusentals klienter, särskilt i USA, fortfarande sårbara. Högprofilerade mål som Industrial and Commercial Bank of China (ICBC), DP World, Allen & Overy och Boeing har angripits, med Citrix Bleed-felet som en gemensam faktor.
Dessa attacker tros vara utförda av en aktör med LockBit-anknytningar, som utnyttjar denna sårbarhet för nätverksintrång. LockBit, som är en stora på Ransomware-as-a-Service, ger sina affilierade stor frihet när det gäller deras angreppsmetoder. Detta mönster liknar tidigare beteenden som setts i GandCrab- och REvil-operationer, där affilierade specialiserat sig på specifika branscher eller åtkomstmetoder.
ver 10 400 Citrix-servrar världen över är fortfarande sårbara för CVE-2023-4966, vilket utgör en betydande risk. USA ligger i topp när det gäller antalet sårbara servrar, följt av Tyskland, Kina och Storbritannien. Dessa opatchade servrar, som finns i kritiska organisationer, skapar en enorm attackyta.
Citrix Bleed, som avslöjades den 10 oktober, är ett kritiskt säkerhetsproblem som påverkar Citrix NetScaler ADC och Gateway och ger åtkomst till känslig information. Mandiant rapporterade att hackare började utnyttja denna brist i slutet av augusti. Citrix har uppmanat administratörer att säkra sina system mot dessa lågkomplexa, interaktionsfria attacker. AssetNote har publicerat ett proof-of-concept-utnyttjande som visar hur sessionstoken kan stjälas.
DP World Plc, en ledande global hamnoperatör, brottas med en betydande eftersläpning på 30 000 fraktcontainrar i australiensiska hamnar efter en cyberattack. Hackningen, som inträffade i fredags, ledde till en nedstängning av verksamheten i Melbourne, Sydney, Brisbane och Fremantle. Delar av verksamheten återupptogs denna vecka, men pågående utredningar och åtgärder för att skydda nätverket förväntas orsaka ytterligare störningar.
Företaget, som hanterar 40% av Australiens sjöhandel, flyttade endast 5 000 containrar på måndagen, en bråkdel av den vanliga dagliga volymen. Detta bakslag förvärras av kommande lokala strejker, vilket kan fördröja en återgång till normal drift till nästa vecka.
DP World medgav att data stulits i samband med den cyberattack som ledde till att hamnar i hela landet stängdes förra veckan. Experter menar att intrånget sannolikt berodde på att företaget inte hade uppdaterat den välkända Citrix-säkerhetsbristen som utnyttjades av ransomwaregänget LockBit.
I sin senaste årsrapport betonar National Cyber Security Centre (NCSC) att Storbritannien omgående måste stärka sitt cyberförsvar, särskilt inom viktiga sektorer som vatten, el, kommunikation, transport, finansiella nätverk och internettjänster.
Detta ökade risklandskap drivs av framväxten av statsanslutna cybergrupper, en ökning av aggressiva cyberaktiviteter och pågående geopolitiska spänningar. Under det senaste året har vi sett framväxten av statsanslutna cyberaktörer, ofta med sympatier för Rysslands agerande i Ukraina, som utgör ideologiskt drivna hot. Ett anmärkningsvärt exempel är den skadliga programvaran "Snake", som kopplas till ryskt spionage och den federala säkerhetstjänsten FSB, vilket avslöjades av NCSC.
Med nästa allmänna val på horisonten som ska äga rum i januari 2025, förväntar sig NCSC utmaningar från framsteg inom artificiell intelligens, inklusive användning av sofistikerade språkmodeller för att skapa falskt innehåll, utplacering av hyperrealistiska robotar för att sprida desinformation och utvecklingen av deepfake-kampanjer.
Rapporten tar också upp hoten från Kina och Ryssland. Kinas statsanknutna cyberaktörer riktar in sig på brittiska intressen med avancerad taktik, medan Ryssland fortfarande är en formidabel global cybermotståndare. NCSC har noterat Rysslands opportunistiska cyberaktiviteter i Ukraina och den framväxande hotmodellen för ransomware, som i hög grad påverkar Storbritannien.
Iran, som trots att de är mindre avancerade än Ryssland och Kina, fortsätter att ägna sig åt cyberintrång för stöld och sabotage. NCSC har utfärdat varningar om Irananknutna cyberaktiviteter som riktar in sig på sårbarheter inom olika sektorer, inklusive kritisk nationell infrastruktur.
Om du är orolig för något av de hot som beskrivs i denna bulletin eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig mot de mest väsentliga hoten mot din organisation, kontakta din kundansvarige eller kontakta oss för att ta reda på hur du kan skydda din organisation.
The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.
If you are worried about any of the threats outlined in this roundup or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager or fill in the form for a complimentary no-commitment consultation.
If you’d like more detailed threat intelligence news, Integrity360 offers this as part of our security monitoring managed services.
We also offer a tailored threat intelligence monitoring service for your organisation that actively monitors for threat actors and campaigns of direct relevance to your organisation, brand damage, copycat & spoofed domains, credential leakage and dark web monitoring.
Integrity360's flagship conference Security First comes to Stockholm in 2023!
Join leading cybersecurity experts from across the community as we explore the latest threats and industry trends, and learn practical strategies to safeguard your organisation.