Weekly Cyber News Roundup

15:e januari till 19:e januari

Content 

01. News Bites

Två Ivanti Zero Days utnyttjas nu i massa

Anonymous Sudan hävdar att man utfört cyberattacker mot London Internet Exchange som vedergällning för Storbritanniens och USA:s flygattacker mot Houthi-må

Mallorcas kommunfullmäktige i Calvià drabbat av ransomware-attack, avvisar krav på lösensumma på 10 miljoner euro

Google patchar kritiska zero-day exploiteringen CVE-2024-0519 i Chrome

Citrix utfärdar brådskande patchvarning för Netscaler ADC och gateway-apparater på grund av två aktivt utnyttjade Zero-Day-sårbarheter

02. Conclusion

Quick News Bites

Två Ivanti Zero Days utnyttjas nu i massa

Två zero-day sårbarheter i Ivantis Connect Secure VPN och Policy Secure network access control appliances utnyttjas nu i stor skala. Dessa sårbarheter, identifierade som CVE-2023-46805 (en autentiseringsbypass) och CVE-2024-21887 (ett kommandoinjektionsfel), har använts i attacker sedan december, med utbredda incidenter från och med den 11 januari. Offren finns över hela världen och inkluderar småföretag och större organisationer inom olika branscher.

Cybersäkerhetsforskare har utfärdat en varning och konstaterar att offren för dessa attacker är många och globala, allt från småföretag till några av världens största organisationer, inklusive flera Fortune 500-företag inom olika branscher.

Ivanti har ännu inte släppt patchar för dessa sårbarheter, vilket gör att administratörer måste tillämpa leverantörens åtgärder för att mildra effekterna på alla ICS VPN i sina nätverk. Ivanti har dock sagt att patchar kommer att göras tillgängliga under veckan den 22 januari. Ivantis Integrity Checker Tool rekommenderas för att identifiera potentiella intrång, och all data på komprometterade enheter bör betraktas som inkräktade.

Anonymous Sudan hävdar att man utfört cyberattacker mot London Internet Exchange som vedergällning för Storbritanniens och USA:s flygattacker mot Houthi-mål

Den ryskanknutna hacktivistgruppen Anonymous Sudan hävdade att de hade genomfört en cyberattack mot London Internet Exchange (LINX).

Gruppen hävdar att deras attack var en vedergällning mot Storbritanniens stöd till Israel och de senaste luftangreppen mot Jemen. Anonymous Sudan har vidare hotat med en betydande cyberattack mot Storbritannien inom en snar framtid.

Påståendet dök upp den 12 januari genom deras Telegram-kanal. Äktheten i påståendet är dock fortfarande obekräftad. LINX: s webbplats förblev operativ under den påstådda attackperioden vilket väckte tvivel om gruppens påståenden.

Anonymous Sudan är ökända för sina DDoS-attacker mot organisationer som de uppfattar som antiryska eller antimuslimska. Deras mål har inkluderat flygbolag, statliga institutioner, banker, stora företag, flygplatser och telekommunikationsföretag, och attackerna sker nästan varje vecka.

Mallorcas kommunfullmäktige i Calvià drabbat av ransomware-attack, avvisar krav på lösensumma på 10 miljoner euro

Calviàs kommunfullmäktige på Mallorca, ett populärt turistmål med 50 000 invånare, drabbades av en ransomware-attack i lördags, vilket allvarligt påverkade de kommunala tjänsterna.

Calvià är känt för att locka omkring 1,6 miljoner turister varje år och drabbades av betydande störningar när dess system utsattes för intrång. Rådet bildade en kriskommitté för att bedöma skadorna och ta fram en strategi för att mildra effekterna.

Rådet tillkännagav sina ansträngningar för att återställa normaliteten efter cyberattacken, som syftade till att utpressa rådet genom ransomware. Borgmästare Juan Antonio Amengual tillkännagav att IT-specialister genomför en kriminalteknisk analys för att fastställa omfattningen av intrånget och för att återställa de drabbade systemen.

Attacken har lett till att alla administrativa tidsfrister för inlämningar har skjutits upp till den 31 januari 2024.

Kommunen ber om ursäkt för olägenheterna och försäkrar att man kommer att fortsätta kommunicera via telefon och personliga möten, men man har inte identifierat gärningsmännen. Lokala medier rapporterade om en lösensumma på 10 miljoner euro (cirka 11 miljoner dollar), men borgmästare Amengual hävdade bestämt att kommunen inte skulle betala lösensumman.

Denna incident belyser hotet från ransomware, sårbarheten hos små kommuner och risken för betydande störningar av viktiga tjänster och verksamheter.

Google patchar kritiska zero-day exploiteringen CVE-2024-0519 i Chrome

Google har korrigerat en kritisk och aktivt utnyttjad zero-day-sårbarhet i Chrome, vilket är den första exploateringen av detta slag som upptäckts under 2024. Företaget har utfärdat ett säkerhetsmeddelande där man bekräftar att det finns en exploatering för CVE-2024-0519. Denna allvarliga brist, som finns i JavaScript-motorn Chrome V8, möjliggör minnesåtkomst utanför gränserna, vilket kan leda till dataintrång eller systemkrascher.

Uppdaterade versioner av Chrome för Windows (120.0.6099.224/225), Mac (120.0.6099.234) och Linux (120.0.6099.224) släpptes snabbt, mindre än en vecka efter att problemet hade rapporterats

Chrome-användare kan förvänta sig automatiska uppdateringar eller kan manuellt initiera processen. Sårbarheten innebär en svaghet i minnesåtkomst utanför gränserna, som beskrivet av MITRE, vilket kan leda till obehörig dataåtkomst eller segmenteringsfel.

Google har inte avslöjat några detaljer om de attacker som utnyttjar denna sårbarhet, utan har valt att begränsa tillgången till information om buggen tills de flesta användare har fått korrigeringen. Detta tillvägagångssätt gäller även om felet finns i tredjepartsbibliotek som används av andra projekt.

Förutom CVE-2024-0519 åtgärdade Google andra sårbarheter i V8-motorn, inklusive en out-of-bounds write (CVE-2024-0517) och typförväxling (CVE-2024-0518), som båda kan möjliggöra godtycklig kodkörning på komprometterade system.

Citrix utfärdar brådskande patchvarning för Netscaler ADC och gateway-apparater på grund av två aktivt utnyttjade Zero-Day-sårbarheter

Citrix har utfärdat en kritisk varning till sina kunder och uppmanar till omedelbar patchning av Netscaler ADC- och Gateway-apparater mot två aktivt utnyttjade zero-day-sårbarheter, CVE-2023-6548 och CVE-2023-6549. Dessa sårbarheter utgör allvarliga risker, inklusive fjärrkörning av kod och denial-of-service-attacker, som främst påverkar Netscalers hanteringsgränssnitt.

För att utnyttja sårbarheten för kodexekvering måste angriparen ha tillgång till konton med låga privilegier och hanteringsgränssnitt som NSIP, CLIP eller SNIP. Enheterna är sårbara för DoS-attacker när de konfigureras som en gateway eller en virtuell AAA-server. Sårbarheterna påverkar kundhanterade NetScaler-apparater men påverkar inte Citrix-hanterade molntjänster eller Adaptive Authentication.

Över 1 500 Netscaler-gränssnitt är för närvarande exponerade online. Citrix säkerhetsrådgivning understryker vikten av att patcha dessa enheter för att avvärja potentiella attacker. Företaget har observerat exploateringar på oskadade enheter och rekommenderar kunder att omedelbart uppdatera till de senaste versionerna.

För de som använder NetScaler ADC och Gateway version 12.1 rekommenderas uppgradering till en version som stöds.

Under tiden rekommenderar Citrix att administratörer blockerar nätverkstrafik till sårbara instanser och ser till att de inte exponeras online. Företaget rekommenderar starkt att man fysiskt eller logiskt separerar nätverkstrafik till enhetens hanteringsgränssnitt från normal trafik och avråder från att exponera hanteringsgränssnittet mot internet, vilket beskrivs i deras guide för säker driftsättning.

Closing Summary

Om du är orolig för något av de hot som beskrivs i denna bulletin eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig mot de mest väsentliga hoten mot din organisation, kontakta din kundansvarige eller kontakta oss för att ta reda på hur du kan skydda din organisation.

Disclaimer

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.

Need advice?

If you are worried about any of the threats outlined in this roundup or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager or fill in the form for a complimentary no-commitment consultation.

More detailed threat intelligence news?

If you’d like more detailed threat intelligence news, Integrity360 offers this as part of our security monitoring managed services.

We also offer a tailored threat intelligence monitoring service for your organisation that actively monitors for threat actors and campaigns of direct relevance to your organisation, brand damage, copycat & spoofed domains, credential leakage and dark web monitoring.

Security-first-stacked-logo4-No-Padding

Cyber Security Conference

STOCKHOLM | 17 October 2023

Integrity360's flagship conference Security First comes to Stockholm in 2023!

Join leading cybersecurity experts from across the community as we explore the latest threats and industry trends, and learn practical strategies to safeguard your organisation.