Två Ivanti Zero Days utnyttjas nu i massa
Två zero-day sårbarheter i Ivantis Connect Secure VPN och Policy Secure network access control appliances utnyttjas nu i stor skala. Dessa sårbarheter, identifierade som CVE-2023-46805 (en autentiseringsbypass) och CVE-2024-21887 (ett kommandoinjektionsfel), har använts i attacker sedan december, med utbredda incidenter från och med den 11 januari. Offren finns över hela världen och inkluderar småföretag och större organisationer inom olika branscher.
Cybersäkerhetsforskare har utfärdat en varning och konstaterar att offren för dessa attacker är många och globala, allt från småföretag till några av världens största organisationer, inklusive flera Fortune 500-företag inom olika branscher.
Ivanti har ännu inte släppt patchar för dessa sårbarheter, vilket gör att administratörer måste tillämpa leverantörens åtgärder för att mildra effekterna på alla ICS VPN i sina nätverk. Ivanti har dock sagt att patchar kommer att göras tillgängliga under veckan den 22 januari. Ivantis Integrity Checker Tool rekommenderas för att identifiera potentiella intrång, och all data på komprometterade enheter bör betraktas som inkräktade.
Anonymous Sudan hävdar att man utfört cyberattacker mot London Internet Exchange som vedergällning för Storbritanniens och USA:s flygattacker mot Houthi-mål
Den ryskanknutna hacktivistgruppen Anonymous Sudan hävdade att de hade genomfört en cyberattack mot London Internet Exchange (LINX).
Gruppen hävdar att deras attack var en vedergällning mot Storbritanniens stöd till Israel och de senaste luftangreppen mot Jemen. Anonymous Sudan har vidare hotat med en betydande cyberattack mot Storbritannien inom en snar framtid.
Påståendet dök upp den 12 januari genom deras Telegram-kanal. Äktheten i påståendet är dock fortfarande obekräftad. LINX: s webbplats förblev operativ under den påstådda attackperioden vilket väckte tvivel om gruppens påståenden.
Anonymous Sudan är ökända för sina DDoS-attacker mot organisationer som de uppfattar som antiryska eller antimuslimska. Deras mål har inkluderat flygbolag, statliga institutioner, banker, stora företag, flygplatser och telekommunikationsföretag, och attackerna sker nästan varje vecka.
Mallorcas kommunfullmäktige i Calvià drabbat av ransomware-attack, avvisar krav på lösensumma på 10 miljoner euro
Calviàs kommunfullmäktige på Mallorca, ett populärt turistmål med 50 000 invånare, drabbades av en ransomware-attack i lördags, vilket allvarligt påverkade de kommunala tjänsterna.
Calvià är känt för att locka omkring 1,6 miljoner turister varje år och drabbades av betydande störningar när dess system utsattes för intrång. Rådet bildade en kriskommitté för att bedöma skadorna och ta fram en strategi för att mildra effekterna.
Rådet tillkännagav sina ansträngningar för att återställa normaliteten efter cyberattacken, som syftade till att utpressa rådet genom ransomware. Borgmästare Juan Antonio Amengual tillkännagav att IT-specialister genomför en kriminalteknisk analys för att fastställa omfattningen av intrånget och för att återställa de drabbade systemen.
Attacken har lett till att alla administrativa tidsfrister för inlämningar har skjutits upp till den 31 januari 2024.
Kommunen ber om ursäkt för olägenheterna och försäkrar att man kommer att fortsätta kommunicera via telefon och personliga möten, men man har inte identifierat gärningsmännen. Lokala medier rapporterade om en lösensumma på 10 miljoner euro (cirka 11 miljoner dollar), men borgmästare Amengual hävdade bestämt att kommunen inte skulle betala lösensumman.
Denna incident belyser hotet från ransomware, sårbarheten hos små kommuner och risken för betydande störningar av viktiga tjänster och verksamheter.
Google patchar kritiska zero-day exploiteringen CVE-2024-0519 i Chrome
Google har korrigerat en kritisk och aktivt utnyttjad zero-day-sårbarhet i Chrome, vilket är den första exploateringen av detta slag som upptäckts under 2024. Företaget har utfärdat ett säkerhetsmeddelande där man bekräftar att det finns en exploatering för CVE-2024-0519. Denna allvarliga brist, som finns i JavaScript-motorn Chrome V8, möjliggör minnesåtkomst utanför gränserna, vilket kan leda till dataintrång eller systemkrascher.
Uppdaterade versioner av Chrome för Windows (120.0.6099.224/225), Mac (120.0.6099.234) och Linux (120.0.6099.224) släpptes snabbt, mindre än en vecka efter att problemet hade rapporterats
Chrome-användare kan förvänta sig automatiska uppdateringar eller kan manuellt initiera processen. Sårbarheten innebär en svaghet i minnesåtkomst utanför gränserna, som beskrivet av MITRE, vilket kan leda till obehörig dataåtkomst eller segmenteringsfel.
Google har inte avslöjat några detaljer om de attacker som utnyttjar denna sårbarhet, utan har valt att begränsa tillgången till information om buggen tills de flesta användare har fått korrigeringen. Detta tillvägagångssätt gäller även om felet finns i tredjepartsbibliotek som används av andra projekt.
Förutom CVE-2024-0519 åtgärdade Google andra sårbarheter i V8-motorn, inklusive en out-of-bounds write (CVE-2024-0517) och typförväxling (CVE-2024-0518), som båda kan möjliggöra godtycklig kodkörning på komprometterade system.
Citrix utfärdar brådskande patchvarning för Netscaler ADC och gateway-apparater på grund av två aktivt utnyttjade Zero-Day-sårbarheter
Citrix har utfärdat en kritisk varning till sina kunder och uppmanar till omedelbar patchning av Netscaler ADC- och Gateway-apparater mot två aktivt utnyttjade zero-day-sårbarheter, CVE-2023-6548 och CVE-2023-6549. Dessa sårbarheter utgör allvarliga risker, inklusive fjärrkörning av kod och denial-of-service-attacker, som främst påverkar Netscalers hanteringsgränssnitt.
För att utnyttja sårbarheten för kodexekvering måste angriparen ha tillgång till konton med låga privilegier och hanteringsgränssnitt som NSIP, CLIP eller SNIP. Enheterna är sårbara för DoS-attacker när de konfigureras som en gateway eller en virtuell AAA-server. Sårbarheterna påverkar kundhanterade NetScaler-apparater men påverkar inte Citrix-hanterade molntjänster eller Adaptive Authentication.
Över 1 500 Netscaler-gränssnitt är för närvarande exponerade online. Citrix säkerhetsrådgivning understryker vikten av att patcha dessa enheter för att avvärja potentiella attacker. Företaget har observerat exploateringar på oskadade enheter och rekommenderar kunder att omedelbart uppdatera till de senaste versionerna.
För de som använder NetScaler ADC och Gateway version 12.1 rekommenderas uppgradering till en version som stöds.
Under tiden rekommenderar Citrix att administratörer blockerar nätverkstrafik till sårbara instanser och ser till att de inte exponeras online. Företaget rekommenderar starkt att man fysiskt eller logiskt separerar nätverkstrafik till enhetens hanteringsgränssnitt från normal trafik och avråder från att exponera hanteringsgränssnittet mot internet, vilket beskrivs i deras guide för säker driftsättning.
