Weekly Cyber News Roundup

27:e april till 3:e maj 2024

Content 

01. News Bites
  • Dataintrång i Dropbox
  • GitLab "account takeover bug" utnyttjas aktivt
  • Qantas app exponerade känslig information om resenärer för slumpmässiga användare
  • Okta varnar för ”aldrig tidigare skådade” credential stuffing-attacker mot kunder

02. Conclusion

Quick News Bites

Dataintrång i Dropbox

Dropbox har avslöjat ett betydande säkerhetsintrång som inträffade i DropBox Signs produktionssystem den 24 april och som påverkade e-signaturtjänsten HelloSign, där hotaktörer fick obehörig åtkomst och exfiltrerade kunddata, inklusive autentiseringshemligheter som OAuth-tokens och API-nycklar. Dropbox har också sagt att de som använder e-signaturplattformen men inte registrerade ett konto har även dem fått deras e-postadress och namn exponerade.

Det här intrånget visar det ihållande hotet från cyberbrottslingar som riktar in sig på molnbaserade tjänster och understryker hur viktigt det är att skydda kunddata. Stölden av autentiseringshemligheter innebär allvarliga risker och kan potentiellt göra det möjligt för hotaktörer att komma åt känslig information som lagras i Dropbox-konton och äventyra användardatas konfidentialitet, integritet och tillgänglighet. Intrånget skedde sannolikt på grund av sårbarheter i HelloSigns säkerhetsinfrastruktur eller sofistikerade attacker riktade mot HelloSign-användare, till exempel nätfiske eller "credential stuffing" attacker. Exfiltrationen av autentiseringshemligheter utgör en allvarlig risk, eftersom hotaktörer kan använda dem för att kringgå autentiseringsmekanismer och få obehörig åtkomst till känsliga data som lagras i Dropbox-konton.

Integrity360 rekommenderar att användare bekantar sig med det säkerhetsråd som publicerats av Dropbox (A recent security incident involving Dropbox Sign - Dropbox Sign - Dropbox) om hur man roterar API-nycklar för att få fullständiga behörigheter igen, eftersom Dropbox har begränsat hur API-nycklar kan användas tills de har roterats. Dessutom bör användare ställa in MFA på nytt genom att ta bort konfigurationen av MFA och ställa in den på nytt i sin autentiseringsapp.

Detta är en påminnelse om att organisationer måste förbättra sin förmåga att detektera hot samt incidentrespons för att snabbt kunna identifiera och mildra säkerhetsincidenter. Samarbete mellan molntjänstleverantörer, kunder och cybersäkerhetsexperter är avgörande för att hantera nya hot och skydda känslig information som lagras i molnmiljöer.

GitLab "account takeover bug" utnyttjas aktivt

Cybersecurity and Infrastructure Security Agency (CISA) har utfärdat en varning om aktivt utnyttjande av en kritisk sårbarhet som möjliggör övertagande av GitLab-konton via lösenordsåterställningar. Denna sårbarhet utgör ett allvarligt hot, vilket gör det möjligt för skadliga aktörer att kompromettera användarkonton och potentiellt få tillgång till känsliga data och källkodslager som finns på GitLab-plattformen.

Spårad som CVE-2023-7028, säkerhetsfelet beror på en felaktig svaghet i åtkomstkontrollen som kan göra det möjligt för fjärranslutna oautentiserade hotaktörer att skicka e-postmeddelanden om återställning av lösenord till e-postkonton under deras kontroll för att ändra lösenordet och kapa riktade konton utan användarinteraktion. CVE-2023-7028-buggen påverkar GitLab Community- och Enterprise-utgåvorna, och GitLab fixade det i 16.7.2, 16.5.6 och 16.6.4 och backporterade korrigeringar till versionerna 16.1.6, 16.2.9 och 16.3.7.

Även om angripare inte kan utnyttja denna sårbarhet för att kapa konton där tvåfaktorsautentisering (2FA) är aktiverad, är det viktigt att patcha system där konton inte är skyddade med denna extra säkerhetsåtgärd.

GitLab säkerhetsrådgivning (GitLab Critical Security Release: 16.7.2, 16.6.4, 16.5.6 | GitLab) för denna sårbarhet rekommenderar starkt att alla installationer som kör en version som påverkas av de problem som beskrivs nedan uppgraderas till den senaste versionen så snart som möjligt. Om du inte har uppgraderat ännu bör du vara medveten om att det finns en nyare patch som innehåller ytterligare korrigeringar för det nyligen upptäckta problemet med DB-migrering. Uppgradera till 16.7.3, 16.6.5, 16.5.7 eller nyare för att förhindra migreringsproblemet.

Qantas app exponerade känslig information om resenärer för slumpmässiga användare

Upptäckten att Qantas app exponerade känslig information om resenärer för slumpmässiga användare väcker betydande oro när det gäller datasekretess och säkerhet inom flygindustrin. Detta intrång belyser de potentiella risker som är förknippade med digitala plattformar som används för resehantering, eftersom det kan leda till obehörig åtkomst till personuppgifter, inklusive namn, födelsedatum och resplaner, av personer som inte har behörighet att se sådana uppgifter.

Exponeringen av känsliga resenärer kommer från flera användare som den 1 maj twittrade att de kunde se andra användares reseuppgifter, inklusive personlig identifierbar information, boardingkort för kommande flygningar och annan kontoinformation.

Quantas meddelade att "ingen ytterligare personlig eller finansiell information delades, och kunderna skulle inte ha kunnat överföra eller använda Qantas Points för andra frequent flyers."

Flygbolaget tillade också att de inte är medvetna om att några kunder reser med felaktiga boardingkort, men att de senare lade till processer för att säkerställa att en sådan förväxling som kan orsaka förseningar eller säkerhetsincidenter på flygplatsen förhindras.

Dataintrånget i Qantas app uppstod sannolikt på grund av en felkonfiguration eller säkerhetsbrist i applikationens åtkomstkontroll eller datahanteringsmekanismer. Detta gjorde det möjligt för obehöriga användare att få tillgång till känsliga uppgifter om resenärer genom att utnyttja sårbarheten. Exponeringen av personligt identifierbar information (PII) väcker farhågor om potentialen för identitetsstöld, bedrägeri och andra skadliga aktiviteter riktade mot drabbade resenärer. Dessutom kan det leda till rättsliga påföljder om det visar sig att incidenten bryter mot dataskyddslagar.

Okta varnar för ”aldrig tidigare skådade” credential stuffing-attacker mot kunder

 Okta har utfärdat en varning om en aldrig tidigare skådad "credential stuffing"-attack mot sina kunder, vilket utgör ett betydande hot mot användarkonton och organisationssäkerhet. Credential stuffing-attacker innebär att cyberbrottslingar utnyttjar storskaliga automatiserade verktyg för att systematiskt testa stulna inloggningsuppgifter som erhållits från dataintrång på olika onlinetjänster, inklusive Oktas autentiseringsplattform. Detta utgör en allvarlig risk eftersom framgångsrika attacker kan äventyra känsliga uppgifter, få åtkomst till kritiska system och undergräva organisationens säkerhetsställning.

Omfattningen och frekvensen av dessa attacker belyser den betydande risken för organisationer som använder Oktas tjänster och understryker behovet av robusta autentiserings- och åtkomstkontroller för att minska hotet.

Okta har släppt ett säkerhetsråd avseende credential stuffing-attacken (How to Block Anonymizing Services using Okta | Okta Security) och hur organisationer som har implementerat Okta i sin miljö kan hjälpa till att minska risken för kontoövertagande. Dessa inkluderar lösenordslös autentisering, tillämpning av multifaktorautentisering, användning av starka lösenord, nekande av förfrågningar utanför företagets lokaler, blockering av IP-adresser med dåligt rykte, övervakning och svar på avvikande inloggningar.

 

Closing Summary

Om du är orolig för något av de hot som beskrivs i denna bulletin eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig mot de mest väsentliga hoten mot din organisation, kontakta din kundansvarige eller kontakta oss för att ta reda på hur du kan skydda din organisation.

Disclaimer

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.

Need advice?

If you are worried about any of the threats outlined in this roundup or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager or fill in the form for a complimentary no-commitment consultation.

More detailed threat intelligence news?

If you’d like more detailed threat intelligence news, Integrity360 offers this as part of our security monitoring managed services.

We also offer a tailored threat intelligence monitoring service for your organisation that actively monitors for threat actors and campaigns of direct relevance to your organisation, brand damage, copycat & spoofed domains, credential leakage and dark web monitoring.

Security-first-stacked-logo4-No-Padding

Cyber Security Conference

STOCKHOLM | 17 October 2023

Integrity360's flagship conference Security First comes to Stockholm in 2023!

Join leading cybersecurity experts from across the community as we explore the latest threats and industry trends, and learn practical strategies to safeguard your organisation.