Säkerhetsvarning: Kritisk sårbarhet för kommandoinjektion i Palo Alto PAN-OS-enheter - omedelbara uppgraderingar rekommenderas
Ransomware-gänget Snatch hävdar att de hackat 25 brittiska kungligheter, inklusive kung Charles III
Storbritanniens regering påbörjar bedömning av sårbarheter på offentliga webbplatser med stöd av tredje part
Supply chain attack mot Cisco Duo MFA
Cyberbrottslingar riktar in sig på telekomanställda i SIM-bytesbedrägerier och erbjuder kontanter för insiderhjälp
En kritisk sårbarhet har identifierats i Palo Alto PAN-OS-enheter som placerade mot internet, vilket utgör ett betydande säkerhetshot. Denna kommandoinjektionsbrist är allvarlig på grund av dess enkla utnyttjande, vilket gör den till ett attraktivt mål för skadliga aktörer. Som ett resultat förväntas många incidenter när fler parter försöker utnyttja dessa exponerade enheter.
Integrity360:s IR-team (Incident Response) arbetar redan proaktivt för att fastställa om PAN-OS-drivna enheter har äventyrats.
Palo Alto har utfärdat en brådskande uppmaning till kunder att omedelbart uppgradera till en fast version av PAN-OS för att säkerställa skydd. De angivna versionerna som löser detta problem är PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1, PAN-OS 11.1.2-h3 och alla efterföljande versioner. Kunder som uppgraderar till dessa versioner kommer att vara fullt skyddade.
Ransomware-ligan känd som Snatch påstod sig ha lyckats kompromettera flera medlemmar av den brittiska kungafamiljen. Detta tillkännagavs ursprungligen på en av deras webbplatser den 10 april, men gänget uppdaterade sitt meddelande om hackningen den 15 april och igen den 16 april. Inlägget avslöjade namnen på 25 kungliga familjemedlemmar, inklusive kung Charles III, drottning Camilla och prinsen och prinsessan av Wales, och delade en länk till en nedladdningsbar 32-kilobyte-fil med namnet Royals.zip.
Snatch har aktivt delat med sig av dessa uppgifter i enskilda inlägg under hela mars, gett säkerhetsråd och kommenterat sina handlingar. Gruppen har också gått in i privatlivet hos andra globala personer, däribland Frankrikes president Emmanuel Macron.
Kungahuset bekräftar påståendet och har samarbetat med Storbritanniens nationella cybersäkerhetscenter, men inga störningar har rapporterats. Snatchs aktiviteter, ursprung och motiv är fortfarande höljda i dunkel.
Den senaste tidens övergång till en hacktivistisk modell, som beskrivs i ett manifest som publicerades i januari 2024, tyder på en djupare ideologisk drivkraft bakom deras verksamhet. Det nya tillvägagångssättet innebär att företagsledares och regeringstjänstemäns personuppgifter exponeras, vilket återspeglar Snatchs övertygelse att om personuppgiftsincidenter är triviala för regeringar så borde de inte heller bry sig om sin egen dataexponering.
Cabinet Office har säkrat ett betydande kontrakt för att hantera triage av de många sårbarheter som årligen hittas på regeringens webbplatser av cyberexperter. Vulnerability Reporting Service (VRS), som tidigare drevs av National Cyber Security Centre inom GCHQ, kommer nu att övervakas av Government Security Group som en del av det nya Government Cyber Coordination Centre (GC3) i Whitehall. Denna övergång ligger i linje med de strategier som beskrivs i regeringens cybersäkerhetsstrategi 2022, som syftar till att centralisera avslöjandet av sårbarheter.
VRS fungerar som en onlineplattform där cyberforskare kan rapportera säkerhetsbrister som de upptäcker inom statliga verksamheter. Bara under 2022 behandlade VRS framgångsrikt 989 giltiga sårbarhetsrapporter, vilket ledde till att 440 sårbarheter åtgärdades i 237 brittiska statliga organisationer. Omkring 80 % av dessa sårbarheter klassificerades som "kritiska" eller "mycket allvarliga".
Telefonnummer och andra känsliga uppgifter från användare av Cisco Duos tjänst för identitetsautentisering har äventyrats efter ett intrång hos en tredjepartsleverantör av telefoni. Cisco Duo, som är känt för att tillhandahålla robusta lösningar för multifaktorautentisering (MFA) och single sign-on (SSO), har mer än 100 000 kunder med över en miljard autentiseringsförfrågningar varje månad. Incidenten, som avslöjades av Ciscos dataskydds- och incidentresponsteam, inträffade efter att en hotaktör fick åtkomst till tredjepartsleverantörens system den 1 april. Intrånget möjliggjordes av en phishing-attack mot en av leverantörens anställda.
Angriparen kunde ladda ner loggar med information om SMS-meddelanden som skickats under mars, inklusive telefonnummer, operatörer och geografiska metadata, även om inget meddelandeinnehåll exponerades. Trots att det hittills inte finns några bevis för missbruk av uppgifterna gav intrånget hackarna potentiella mål för spear phishing eller SIM-bytesattacker. Roger Grimes på KnowBe4 betonade riskerna med sådan exponering och kritiserade den allmänna bristen på tillräckliga investeringar från företagens sida för att bekämpa "social engineering" och phishing, som står för majoriteten av de framgångsrika cyberattackerna.
Detta är en av de största MFA-leverantörerna vid sidan av Microsoft Authentication, så att se en attack mot leverantörskedjan är oroande.
Cyberbrottslingar utnyttjar enligt uppgift stulna anställningsuppgifter från telefonföretag för att rekrytera insiders för olagliga SIM-swapping-system och erbjuder snabba kontanter för deras samarbete. I en avslöjande Reddit-tråd delade anställda från T-Mobile och Verizon erfarenheter av att ta emot oönskade textmeddelanden som uppmanade dem att delta i dessa bedrägerier. En text, som publicerades i en skärmdump, hänvisade direkt till T-Mobile-anställdas katalog och erbjöd upp till $ 300 per SIM-byte.
SIM-byte, eller simjacking, innebär att cyberkriminella manipulerar telefonoperatörens personal att överföra ett offers telefonnummer till ett SIM-kort under deras kontroll och kringgå multifaktorautentisering för att få kontoåtkomst. Social engineering används ofta, men att muta insiders visar sig vara mer effektivt.
Både T-Mobile och Verizon har tidigare drabbats av intrång som kunde ha exponerat anställdas uppgifter. T-Mobile uppgav dock att det inte nyligen skett systemöverträdelser, vilket tyder på att uppgifterna kan vara föråldrade. Frekvensen av sådana texter pekar på en samordnad insats för att utnyttja telekommunikationspersonal, med allvarliga rättsliga följder för dem som deltar. Nya FCC-regler och T-Mobiles tjänst "SIM Protection" är steg mot att bekämpa detta växande hot.
Angrepp med hjälp av SIM-kort ökar. Illegalt klonade SIM-kort används i alla typer av attacker eftersom säkerheten är beroende av SMS.
Om du är orolig för något av de hot som beskrivs i denna bulletin eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig mot de mest väsentliga hoten mot din organisation, kontakta din kundansvarige eller kontakta oss för att ta reda på hur du kan skydda din organisation.
The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.
If you are worried about any of the threats outlined in this roundup or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager or fill in the form for a complimentary no-commitment consultation.
If you’d like more detailed threat intelligence news, Integrity360 offers this as part of our security monitoring managed services.
We also offer a tailored threat intelligence monitoring service for your organisation that actively monitors for threat actors and campaigns of direct relevance to your organisation, brand damage, copycat & spoofed domains, credential leakage and dark web monitoring.
Integrity360's flagship conference Security First comes to Stockholm in 2023!
Join leading cybersecurity experts from across the community as we explore the latest threats and industry trends, and learn practical strategies to safeguard your organisation.