Content 

01. News Bites
  • Massivt globalt avbrott stör TV-kanaler, flygplatser och banker när Windows-datorer kraschar

  • CVE-2023-6548 uppgraderad till kritisk efter ny information, omedelbara programuppdateringar rekommenderas
  • Cisco utfärdar kritisk mjukvaruuppdatering för CVE-2024-20419-sårbarhet
  • Microsoft rapporterar att Scattered Spider lägger till Qilin Ransomware i arsenalen

 Personuppgifter röjda i samband med dataintrång hos Life360-kunder


02. Conclusion

Quick News Bites

Massivt globalt avbrott stör TV-kanaler, flygplatser och banker när Windows-datorer kraschar

Tv-kanaler, flygplatser och banker över hela världen har drabbats av ett stort avbrott som fått Windows-datorer att oväntat stänga ner. Sky News frukostprogram ersattes av arkivmaterial på fredagsmorgonen.

Downdetector rapporterade plötsliga ökningar av problem med webbplatser, inklusive Microsoft-applikationer, bankwebbplatser och flygbolagsappar. Ryanair uppmanade passagerare att anlända tre timmar tidigt på grund av ett "IT-problem från tredje part" som påverkade alla flygbolag.

Användare i Australien, Nya Zeeland, Indien och Japan rapporterade problem, och Storbritannien drabbades särskilt hårt under fredagens rusningstid. Cybersäkerhetsforskare noterade att "något superkonstigt" hände globalt, med Windows-datorer som visade " blue screen of death".

Cybersäkerhetsingenjörer identifierade ett problem med Crowdstrikes antivirusprogram som orsakade krascher. Crowdstrike bekräftade problemet och uppgav: "Crowdstrike är medvetna om rapporter om Windows-krascher relaterade till Falcon Sensor." Tusentals Windows-maskiner världen över har drabbats, vilket har orsakat betydande störningar.

CVE-2023-6548 uppgraderad till kritisk efter ny information, omedelbara programuppdateringar rekommenderas

 NHS England National Cyber Security Operations Centre (CSOC) har fått information från CrowdStrike som visar att sårbarheten CVE-2023-6548, i motsats till vad Citrix först uppgav, inte kräver användarrättigheter för att kunna utnyttjas. CVE-2023-6548 betecknas nu som en kritisk sårbarhet som kan göra det möjligt för en obehörig angripare att köra fjärrkod på en sårbar NetScaler Gateway- eller NetScaler ADC-enhet.

Denna sårbarhet har tilldelats två olika CVSSv3-poäng. NIST National Vulnerability Database (NVD) klassificerar den med en poäng på 8,8 medan Citrix betygsätter den med 5,5. Problemet ligger i Improper Control of Generation of Code ('Code Injection') i NetScaler ADC och NetScaler Gateway, vilket potentiellt gör det möjligt för en oautentiserad angripare på distans att köra godtycklig kod genom att komma åt hanteringsgränssnittet.

Citrix släppte ursprungligen en säkerhetsrådgivning för CVE-2023-6548 och CVE-2023-6549 i januari 2024, med Cyber Alert CC-4439 som publicerades med medelhög allvarlighetsgrad. Men baserat på ny information från CrowdStrike uppdateras denna Cyber Alert nu till hög allvarlighetsgrad, vilket återspeglar den förhöjda risken som sårbarheten utgör.

 Berörda versioner:

 Följande stödda versioner av NetScaler ADC och NetScaler Gateway påverkas av sårbarheterna:

  • NetScaler ADC och NetScaler Gateway 14.1 före 14.1-12.35

  • NetScaler ADC och NetScaler Gateway 13.1 före 13.1-51.15

  • NetScaler ADC och NetScaler Gateway 13.0 före 13.0-92.21

  • NetScaler ADC 13.1-FIPS före 13.1-37.176

  • NetScaler ADC 12.1-FIPS före 12.1-55.302

  • NetScaler ADC 12.1-NDcPP före 12.1-55.302

 I det första åtgärdsrådet som utfärdades i januari 2024 rekommenderades uppdatering till de senaste versionerna av programvaran som listas i CTX584986. Eftersom ytterligare versioner har släppts sedan dess är det reviderade rådet att uppdatera till den senaste tillgängliga versionen av programvaran, se nedan.

Berörda kunder av NetScaler ADC och NetScaler Gateway ska installera de relevanta uppdaterade versionerna så snart som möjligt.

  • NetScaler ADC och NetScaler Gateway 14.1-12.35 och senare versioner
  • NetScaler ADC och NetScaler Gateway 13.1-51.15 och senare versioner av 13.1
  • NetScaler ADC och NetScaler Gateway 13.0-92.21 och senare versioner av 13.0
  • NetScaler ADC 13.1-FIPS 13.1-37.176 och senare versioner av 13.1-FIPS
  • NetScaler ADC 12.1-FIPS 12.1-55.302 och senare versioner av 12.1-FIPS
  • NetScaler ADC 12.1-NDcPP 12.1-55.302 och senare versioner av 12.1-NDcPP 

Obs: NetScaler ADC och NetScaler Gateway version 12.1 är nu End Of Life (EOL). Kunder rekommenderas att uppgradera sina enheter till en version som stöds och som åtgärdar sårbarheterna.

Cisco utfärdar kritisk mjukvaruuppdatering för CVE-2024-20419-sårbarhet

Cisco har släppt programuppdateringar för att hantera en kritisk sårbarhet, CVE-2024-20419, med en maximal baspoäng på 10. Denna brist gör det möjligt för angripare att ändra alla användares lösenord, inklusive administratörer, utan autentisering.

Sårbarheten påverkar autentiseringssystemet för Cisco Smart Software Manager On-Prem (SSM On-Prem), som används för att hantera Cisco-programvarulicenser och administrera olika produkter lokalt. Cisco förklarade att felaktig implementering av lösenordsbytesprocessen orsakade denna sårbarhet.

"En oautentiserad fjärranvändare kan utnyttja detta genom att skicka utformade HTTP-förfrågningar till en påverkad enhet, vilket ger åtkomst till webbgränssnittet eller API med den komprometterade användarens privilegier", säger Cisco.

Samt "Denna sårbarhet påverkar Cisco Secure Email Gateway om den kör en sårbar version av Cisco AsyncOS och båda följande villkor är uppfyllda:

  • Antingen filanalysfunktionen, som ingår i Cisco Advanced Malware Protection (AMP), eller innehållsfiltreringsfunktionen är aktiverad och tilldelad en policy för inkommande e-post
  • Versionen av Content Scanner Tools är tidigare än 23.3.0.4823"

Fixade utgåvor

Åtgärden för denna sårbarhet distribueras via en uppdaterad version av Content Scanner Tools-paketet. Content Scanner Tools version 23.3.0.4823 och senare innehåller korrigeringen för denna sårbarhet. Den uppdaterade versionen av Content Scanner Tools ingår som standard i Cisco AsyncOS för Cisco Secure Email Software-utgåvor 15.5.1-055 och senare.

Alla Cisco SSM On-Prem-utgåvor tidigare än version 7.0 är sårbara, utan några tillgängliga lösningar. Cisco har ännu inte upptäckt någon exploatering i det vilda.

Microsoft rapporterar att Scattered Spider lägger till Qilin Ransomware i arsenalen

Microsoft har avslöjat att det cyberkriminella gänget Scattered Spider (spårad som Octo Tempest av MS) har införlivat Qilin ransomware i sina attackstrategier.

"Under andra kvartalet 2024 lade den ekonomiskt motiverade hotaktören Octo Tempest, vår mest noggrant spårade hotaktör för ransomware, till RansomHub och Qilin till sina nyttolaster för ransomware under kampanjer", uppgav Microsoft på måndagen.

Denna hotgrupp, som också är känd som Octo Tempest, UNC3944 och 0ktapus, uppstod i början av 2022 och blev känd för sin 0ktapus-kampanj, som riktade sig mot över 130 högprofilerade organisationer, inklusive Microsoft, Binance och T-Mobile. Gänget krypterade också MGM Resorts system efter att ha samarbetat med BlackCat/ALPHV ransomware i mitten av 2023.

FBI och CISA lyfte fram Scattered Spiders taktik i november och noterade deras användning av nätfiske, MFA-bombning och SIM-byte för nätverksåtkomst. Sedan december 2023 har Qilin utvecklat avancerade Linux-krypterare som riktar sig mot VMware ESXi virtuella maskiner.

Qilins operatörer infiltrerar nätverk, extraherar data och distribuerar ransomware, vilket leder till attacker med dubbel utpressning. Lösenkraven har varierat från 25 000 dollar till miljontals dollar och har påverkat olika organisationer, inklusive brittiska Synnovis, som störde flera NHS-sjukhus.

Personuppgifter röjda i samband med dataintrång hos Life360-kunder

En hotaktör känd som "emo" har läckt en databas som innehåller personlig information om 442 519 Life360-kunder. Uppgifterna samlades in genom att utnyttja en brist i inloggnings-API.

Den osäkrade API-slutpunkten tillät verifiering av användarnas e-postadresser, namn och telefonnummer. "När man försökte logga in på ett Life360-konto på Android returnerade inloggningsändpunkten användarens förnamn och telefonnummer", förklarade emo. De verifierade telefonnumren var delvis maskerade.

Life360 har sedan dess åtgärdat API-felet och ersatt faktiska telefonnummer med platshållare. Överträdelsen märktes först av HackManac, med dataläckan som inträffade i mars 2024. Emo uppgav att de inte var ansvariga för händelsen.

I en relaterad händelse läckte emo över 15 miljoner Trello e-postadresser, som också erhölls via ett osäkert API. Dessutom avslöjade Life360 ett utpressningsförsök efter att angripare brutit sig in i en Tile-kundsupportplattform och stulit känslig information. Företaget, som förvärvade Tile 2021, bekräftade att de exponerade uppgifterna inte innehöll kreditkortsnummer eller annan mycket känslig information.

Closing Summary

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

Disclaimer

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.