Weekly Cyber News Roundup

20:e april till 26:e april 2024

Content 

01. News Bites
  • Hackare tog sig in via bakdörr på Cisco ASA-enheter via två zero-days (CVE-2024-20353, CVE-2024-20359)

  • Ring-kunder får 5,6 miljoner dollar i förlikning om integritetskränkning

  • Kritiskt fel i plugin-programmet Forminator påverkar över 300 000 WordPress-sajter

  • UnitedHealth bekräftar att de betalade ransomware-gäng för att stoppa dataläckage

02. Conclusion

Quick News Bites

Hackare tog sig in via bakdörr på Cisco ASA-enheter via två zero-days (CVE-2024-20353, CVE-2024-20359)

Det senaste avslöjandet indikerar att hackargruppen känd som ArcaneDoor har utnyttjat zero-day-sårbarheter i Cisco-nätverksutrustning för att infiltrera statliga nätverk mellan november 2023 och januari 2024.

Dessa zero-day-sårbarheter, som spåras som CVE-2024-20353 och CVE-2024-20359, ger angripare möjlighet att få obehörig åtkomst till känsliga system och data.

CVE-2024-20353: En sårbarhet i hanteringen och VPN-webbservrarna för Cisco Adaptive Security Appliance (ASA) Software och Cisco Firepower Threat Defense (FTD) Software kan göra det möjligt för en oautentiserad fjärrangripare att få enheten att ladda på nytt oväntat, vilket resulterar i ett denial of service (DoS)-tillstånd. 

CVE-2024-20359: En sårbarhet i en äldre funktion som möjliggjorde förladdning av VPN-klienter och plug-ins som har varit tillgängligt i Cisco Adaptive Security Appliance (ASA), Software och Firepower Threat Defense (FTD) -programvara kan göra det möjligt för en autentiserad lokal angripare att köra godtycklig kod med privilegier på root-level. Privilegier på administratörsnivå krävs för att utnyttja denna sårbarhet.

ArcaneDoors utnyttjande av dessa sårbarheter understryker den betydande risk som opatchad nätverksinfrastruktur utgör, särskilt inom kritiska statliga sektorer. Gruppens aktiviteter belyser vikten av att i god tid patcha och vidta proaktiva cybersäkerhetsåtgärder för att minska hotet från sofistikerade cyberattacker riktade mot viktig infrastruktur och känsliga myndighetsnätverk. Vidare understryks behovet av förbättrat utbyte av underrättelser om hot och samarbete mellan myndigheter, organisationer i den privata sektorn och cybersäkerhetsexperter för att effektivt upptäcka, bemöta och mildra cyberhot som riktar sig mot kritisk infrastruktur och nationell säkerhet.

Ring-kunder får 5,6 miljoner dollar i förlikning om integritetskränkning

 I en betydande utveckling i cybersäkerhetslandskapet har Ring-kunder tilldelats en förlikning på 5,6 miljoner USD som svar på ett integritetsintrång. Efter anklagelserna om otillräckliga säkerhetsåtgärder som ledde till obehörig åtkomst till kundernas hemsäkerhetskameror och personlig information.

Detta intrång belyser de potentiella risker som är förknippade med IoT-enheter (Internet-of-Things), men understryker också vikten av robusta säkerhetsprotokoll för att skydda användarnas integritet, eftersom konsumenterna i allt högre grad förlitar sig på smarta hem-enheter för säkerhet och bekvämlighet.

Det är absolut nödvändigt för företag som Ring att prioritera cybersäkerhet och genomföra strikta åtgärder, t.ex. kryptering, multifaktorautentisering och regelbundna säkerhetsrevisioner, för att skydda användardata från obehörig åtkomst och utnyttjande.

Denna incident belyser också vikten av transparens, ansvarsskyldighet och regelefterlevnad för att upprätthålla konsumenternas förtroende och skydda den personliga integriteten i en alltmer uppkopplad värld.

Kritiskt fel i plugin-programmet Forminator påverkar över 300 000 WordPress-sajter

 En kritisk säkerhetsbrist har upptäckts i plugin-programmet Forminator, vilket påverkar över 300 000 Wordpress-sajter. Forminator-plugin är ett populärt Wordpress-plugin som tillhandahåller en dra-och-släpp-redigerare som du kan använda för att skapa många olika typer av formulär, inklusive kontaktformulär, omröstningar och till och med frågesporter. Och detta integreras med andra tjänster från tredje part som Google Sheets, Trello och MailChimp för att nämna några. Detta kommer efter att en akritisk sårbarhet hittades i ett annat WordPress-plugin, LayerSlider, för några veckor sedan.

Denna sårbarhet utgör ett betydande hot mot webbplatsens säkerhet, vilket potentiellt gör det möjligt för fjärrangripare att köra godtycklig kod och få obehörig åtkomst till känslig data. Utnyttjande av denna brist kan leda till allvarliga konsekvenser, inklusive webbplatsförvanskning, datastöld och kompromettering av användarinformation.

Spåras för närvarande som följande tre sårbarheter:

CVE-2024-28890 - Otillräcklig validering av filer under filuppladdning, vilket gör det möjligt för en fjärran angripare att ladda upp och köra skadliga filer på webbplatsens server. Påverkar Forminator 1.29.0 och föregående.

CVE-2024-31077 - SQL-injektionsfel som gör det möjligt för fjärrangripare med administratörsrättigheter att utföra godtyckliga SQL-frågor i webbplatsens databas. Påverkar Forminator 1.29.3 och föregående.

CVE-2024-31857 - XSS-fel (Cross-site scripting) som gör det möjligt för en fjärranvänd angripare att exekvera godtycklig HTML- och skriptkod i en användares webbläsare om användaren luras att följa en speciellt utformad länk. Påverkar Forminator 1.15.4 och äldre.

Den utbredda användningen av Forminator-pluginet på många WordPress-webbplatser amplifierar risken, vilket gör det till ett attraktivt mål för skadliga aktörer som vill utnyttja sårbarheter i stor skala. Webbplatsadministratörer uppmanas starkt att omedelbart tillämpa de senaste korrigeringarna och uppdateringarna som tillhandahålls av plugin-utvecklarna. Integrity360 vill också råda organisationer som använder WordPress-sajter att använda så få plugin-program som möjligt när de bygger sin webbplats och i vissa fall till och med att bara aktivera plugin-programmen när de behövs.

UnitedHealth bekräftar att de betalade ransomware-gäng för att stoppa dataläckage

Att UnitedHealth Group nyligen bekräftade att man betalat en ransomware-grupp för att förhindra att känslig data läckte ut understryker allvaret i det föränderliga hotlandskapet. Detta avslöjande belyser de utmanande beslut som organisationer står inför när de ska mitigera effekterna av ransomware-attacker/cyberattacker.

Att betala lösensumman kan visserligen tillfälligt minska exponeringen av data, men det väcker också etiska och säkerhetsmässiga frågor, vilket kan leda till fler ransomware-attacker och uppmuntra cyberbrottslingar. Dessutom innebär inte betalningen av lösensumman att hotaktören kommer att göra som de säger, utan du kan ställas inför det faktum att du har betalat för att uppgifterna inte ska läcka ut men att hotaktörerna ändå har läckt ut uppgifterna eller att du aldrig hör av dem igen när de har tagit emot pengarna.

Denna incident är en stark påminnelse om det kritiska behovet av kraftfulla cybersäkerhetsförsvar, proaktiva strategier för incidenthantering och motståndskraftiga mekanismer för säkerhetskopiering och återställning av data för att effektivt bekämpa hot från ransomware. Organisationer måste prioritera investeringar i cybersäkerhet, anta omfattande riskhanteringsmetoder och ha ett nära samarbete med brottsbekämpande myndigheter och cybersäkerhetsexperter för att förbättra sin motståndskraft mot ransomware-attacker och skydda känslig information från skadlig exploatering.

Integrity360 vill påminna organisationer om att aldrig betala lösensumman för ransomware, eftersom man då också kan bli föremål för straffrättsliga åtgärder. Brottsbekämpande myndigheter varken uppmuntrar, stöder eller tolererar betalning av krav på lösensummor, eftersom betalningar till de kriminella grupper som ligger bakom dessa attacker vidmakthåller hotet och inte garanterar att offren får tillgång till sina uppgifter igen.

Closing Summary

Om du är orolig för något av de hot som beskrivs i denna bulletin eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig mot de mest väsentliga hoten mot din organisation, kontakta din kundansvarige eller kontakta oss för att ta reda på hur du kan skydda din organisation.

Disclaimer

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.

Need advice?

If you are worried about any of the threats outlined in this roundup or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager or fill in the form for a complimentary no-commitment consultation.

More detailed threat intelligence news?

If you’d like more detailed threat intelligence news, Integrity360 offers this as part of our security monitoring managed services.

We also offer a tailored threat intelligence monitoring service for your organisation that actively monitors for threat actors and campaigns of direct relevance to your organisation, brand damage, copycat & spoofed domains, credential leakage and dark web monitoring.

Security-first-stacked-logo4-No-Padding

Cyber Security Conference

STOCKHOLM | 17 October 2023

Integrity360's flagship conference Security First comes to Stockholm in 2023!

Join leading cybersecurity experts from across the community as we explore the latest threats and industry trends, and learn practical strategies to safeguard your organisation.