Säkerhetsvarning: Kritisk sårbarhet för kommandoinjektion i Palo Alto PAN-OS-enheter - omedelbara uppgraderingar rekommenderas
En kritisk sårbarhet har identifierats i Palo Alto PAN-OS-enheter som placerade mot internet, vilket utgör ett betydande säkerhetshot. Denna kommandoinjektionsbrist är allvarlig på grund av dess enkla utnyttjande, vilket gör den till ett attraktivt mål för skadliga aktörer. Som ett resultat förväntas många incidenter när fler parter försöker utnyttja dessa exponerade enheter.
Integrity360:s IR-team (Incident Response) arbetar redan proaktivt för att fastställa om PAN-OS-drivna enheter har äventyrats.
Palo Alto har utfärdat en brådskande uppmaning till kunder att omedelbart uppgradera till en fast version av PAN-OS för att säkerställa skydd. De angivna versionerna som löser detta problem är PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1, PAN-OS 11.1.2-h3 och alla efterföljande versioner. Kunder som uppgraderar till dessa versioner kommer att vara fullt skyddade.
Ransomware-gänget Snatch hävdar att de hackat 25 brittiska kungligheter, inklusive kung Charles III
Ransomware-ligan känd som Snatch påstod sig ha lyckats kompromettera flera medlemmar av den brittiska kungafamiljen. Detta tillkännagavs ursprungligen på en av deras webbplatser den 10 april, men gänget uppdaterade sitt meddelande om hackningen den 15 april och igen den 16 april. Inlägget avslöjade namnen på 25 kungliga familjemedlemmar, inklusive kung Charles III, drottning Camilla och prinsen och prinsessan av Wales, och delade en länk till en nedladdningsbar 32-kilobyte-fil med namnet Royals.zip.
Snatch har aktivt delat med sig av dessa uppgifter i enskilda inlägg under hela mars, gett säkerhetsråd och kommenterat sina handlingar. Gruppen har också gått in i privatlivet hos andra globala personer, däribland Frankrikes president Emmanuel Macron.
Kungahuset bekräftar påståendet och har samarbetat med Storbritanniens nationella cybersäkerhetscenter, men inga störningar har rapporterats. Snatchs aktiviteter, ursprung och motiv är fortfarande höljda i dunkel.
Den senaste tidens övergång till en hacktivistisk modell, som beskrivs i ett manifest som publicerades i januari 2024, tyder på en djupare ideologisk drivkraft bakom deras verksamhet. Det nya tillvägagångssättet innebär att företagsledares och regeringstjänstemäns personuppgifter exponeras, vilket återspeglar Snatchs övertygelse att om personuppgiftsincidenter är triviala för regeringar så borde de inte heller bry sig om sin egen dataexponering.
Storbritanniens regering påbörjar bedömning av sårbarheter på offentliga webbplatser med stöd av tredje part
Cabinet Office har säkrat ett betydande kontrakt för att hantera triage av de många sårbarheter som årligen hittas på regeringens webbplatser av cyberexperter. Vulnerability Reporting Service (VRS), som tidigare drevs av National Cyber Security Centre inom GCHQ, kommer nu att övervakas av Government Security Group som en del av det nya Government Cyber Coordination Centre (GC3) i Whitehall. Denna övergång ligger i linje med de strategier som beskrivs i regeringens cybersäkerhetsstrategi 2022, som syftar till att centralisera avslöjandet av sårbarheter.
VRS fungerar som en onlineplattform där cyberforskare kan rapportera säkerhetsbrister som de upptäcker inom statliga verksamheter. Bara under 2022 behandlade VRS framgångsrikt 989 giltiga sårbarhetsrapporter, vilket ledde till att 440 sårbarheter åtgärdades i 237 brittiska statliga organisationer. Omkring 80 % av dessa sårbarheter klassificerades som "kritiska" eller "mycket allvarliga".
Supply chain attack mot Cisco Duo MFA
Telefonnummer och andra känsliga uppgifter från användare av Cisco Duos tjänst för identitetsautentisering har äventyrats efter ett intrång hos en tredjepartsleverantör av telefoni. Cisco Duo, som är känt för att tillhandahålla robusta lösningar för multifaktorautentisering (MFA) och single sign-on (SSO), har mer än 100 000 kunder med över en miljard autentiseringsförfrågningar varje månad. Incidenten, som avslöjades av Ciscos dataskydds- och incidentresponsteam, inträffade efter att en hotaktör fick åtkomst till tredjepartsleverantörens system den 1 april. Intrånget möjliggjordes av en phishing-attack mot en av leverantörens anställda.
Angriparen kunde ladda ner loggar med information om SMS-meddelanden som skickats under mars, inklusive telefonnummer, operatörer och geografiska metadata, även om inget meddelandeinnehåll exponerades. Trots att det hittills inte finns några bevis för missbruk av uppgifterna gav intrånget hackarna potentiella mål för spear phishing eller SIM-bytesattacker. Roger Grimes på KnowBe4 betonade riskerna med sådan exponering och kritiserade den allmänna bristen på tillräckliga investeringar från företagens sida för att bekämpa "social engineering" och phishing, som står för majoriteten av de framgångsrika cyberattackerna.
Detta är en av de största MFA-leverantörerna vid sidan av Microsoft Authentication, så att se en attack mot leverantörskedjan är oroande.
Cyberbrottslingar riktar in sig på telekomanställda i SIM-bytesbedrägerier och erbjuder kontanter för insiderhjälp
Cyberbrottslingar utnyttjar enligt uppgift stulna anställningsuppgifter från telefonföretag för att rekrytera insiders för olagliga SIM-swapping-system och erbjuder snabba kontanter för deras samarbete. I en avslöjande Reddit-tråd delade anställda från T-Mobile och Verizon erfarenheter av att ta emot oönskade textmeddelanden som uppmanade dem att delta i dessa bedrägerier. En text, som publicerades i en skärmdump, hänvisade direkt till T-Mobile-anställdas katalog och erbjöd upp till $ 300 per SIM-byte.
SIM-byte, eller simjacking, innebär att cyberkriminella manipulerar telefonoperatörens personal att överföra ett offers telefonnummer till ett SIM-kort under deras kontroll och kringgå multifaktorautentisering för att få kontoåtkomst. Social engineering används ofta, men att muta insiders visar sig vara mer effektivt.
Både T-Mobile och Verizon har tidigare drabbats av intrång som kunde ha exponerat anställdas uppgifter. T-Mobile uppgav dock att det inte nyligen skett systemöverträdelser, vilket tyder på att uppgifterna kan vara föråldrade. Frekvensen av sådana texter pekar på en samordnad insats för att utnyttja telekommunikationspersonal, med allvarliga rättsliga följder för dem som deltar. Nya FCC-regler och T-Mobiles tjänst "SIM Protection" är steg mot att bekämpa detta växande hot.
Angrepp med hjälp av SIM-kort ökar. Illegalt klonade SIM-kort används i alla typer av attacker eftersom säkerheten är beroende av SMS.
