Cybersäkerhetscentrets veckoöversikt – 43/2023 | Traficom
Hoppa till huvudinnehåll
Cybersäkerhetscentret
Anmäl kränkningar
Anmäl kränkningar
Anmäl kränkningar

Cybersäkerhetscentrets veckoöversikt – 43/2023

1. november 2023 kl 17:10

Den här veckan uppdaterar vi situationen med dataintrångsvågen i Microsoft 365-konton samt berättar om dataintrång i sårbara Cisco-nätenheter. Dessutom påminner vi om att inspelningarna av och materialen för seminariet Informationssäkerhet 2023 och kampanjen Ketjutonttu (Kedjetomten) finns tillgängliga på vår webbplats.

På denna sida

TLP:CLEAR

I denna veckas översikt behandlas följande

  • Hundratals hackade e-postkonton
  • Seminariet Informationssäkerhet 2023 gav en översikt över informationssäkerhetens framtid
  • Slutrapporten om kampanjen Ketjutonttu (Kedjetomten) och inspelningen av webbinariet om resultatöversikten för kampanjen har publicerats
  • En dataintrångsvåg i sårbara Cisco-nätenheter
  • Sårbarheter

Hundratals hackade e-postkonton

En omfattande nätfiskekampanj mot finländska organisationer har fått hundratals offer. Cybersäkerhetscentret gav en allvarlig varning om nätfiskekampanjen den 20 oktober 2023.

Nätfiskekampanjen har kapat organisationers e-postkonton genom att använda de hackade kontonas kontaktlistor och spridit nätfiskemeddelanden från en organisation till en annan. Brottslingarna har använt e-postmeddelanden som de har stulit från de kapade kontona och redigerat till trovärdiga bedrägerier. I de redigerade meddelandena har lagts till en länk till en nätfiskesida eller en fildelningstjänst, via vilken brottslingarna har delad en bifogad fil med en länk till en nätfiskesida. Brottslingarna har också försökt att öka trovärdigheten genom att redigera meddelanden så att de ser ut som säkra e-postmeddelanden eller genom att använda en tjänst för säker e-post som organisationen även i övrigt använder.

Cybersäkerhetscentret har fått ett stort antal anmälningar om nätfiskekampanjen. På basis av observationerna har centret kontaktat tiotals organisationer och utrett dataintrångskedjan. Tack för alla som gjort en anmälan! Anmälningarna skapar en värdefull lägesbild med hjälp av vilken man kan lära sig identifiera och bekämpa skadlig trafik.

Nätfiskekampanjen har fått ett stort antal offer också på grund av att den förfalskade inloggningssidan kapar både lösenordet och koden för tvåfaktorsautentisering.

Vi uppmanar alla organisationer som har upptäckt nätfisketrafik att kontrollera om det under de senaste tiderna har gjorts nya styrregler i e-posten. Man upptäcker inte nödvändigtvis genast alla hackade e-postkonton, så det är bra att utöver de konton som man vet att har hackats kontrollera organisationens alla konton, avbryta alla pågående sessioner, byta lösenord och kontrollera om nya MFA-enheter har kopplats till konton.

Vi gav en gul varning om ärendet den 20 oktober 2023
Läs även: Nätfiskemeddelanden med temat säker e-post resulterar till intrång i e-postkonton

Varför ger vi varningar?

  • Vi ger varningar om betydande informationssäkerhetsincidenter. Varningarna är avsedda för alla som är intresserade av ämnet.
  • Cybersäkerhetscentret ger cirka 1–5 varningar per år.
  • En gul varning ges om en allvarlig fara som kräver omfattande informering.
  • Varningen är i kraft tills vidare. Vi publicerar ett nytt meddelande när varningen upphör.

Seminariet Informationssäkerhet 2023 gav en översikt över informationssäkerhetens framtid

Seminariet Informationssäkerhet 2023 ordnades torsdagen den 12 oktober 2023 i Helsingfors och på webben. I år var seminariets tema framtiden för cybersäkerhet och cyberhot. I synnerhet artificiell intelligens och leveranskedjor lyftes fram i flera olika anföranden.

Ett sammandrag av seminariet och anförandena har nu publicerats på Traficoms webbplats (på finska).

Dessutom publicerade vi en artikel i serien Informationssäkerhet Nu! där vi sammanfattar seminariets viktigaste teman. I artikeln kan du läsa hur leveranskedjor tryggas, hur artificiell intelligens används på ett tryggt och effektivt sätt samt vilken betydelse samarbete har med tanke på cybersäkerhet.

Slutrapporten om kampanjen Ketjutonttu (Kedjetomten) och inspelningen av webbinariet om resultatöversikten för kampanjen har publicerats

Ketjutonttu var Cybersäkerhetscentrets kampanj som finansierades av Försörjningsberedskapscentralen och levererades av Badrap Oy. Målet med Ketjutonttu var att hjälpa finländska företag och deras leverantörer att identifiera ömsesidiga beroenden och hantera cyberrisker i anslutning till leveranskedjorna. Leverantörerna till de organisationer som deltog i kampanjen fick en avgiftsfri granskning av informationssäkerhet som grundar sig på öppna informationskällor. Utöver det fick leverantörerna hjälp för att göra förbättringar.

Webbinariet om resultatöversikten för kampanjen Ketjutonttu ordnades den 5 oktober 2023. Inspelningen av evenemanget samt kampanjens slutrapport har nu publicerats på vår webbplats (på finska).

En dataintrångsvåg i sårbara Cisco-nätenheter

En kritisk sårbarhet i programvaran Cisco IOS XE har möjliggjort en internationell dataintrångsvåg. Sårbarheten kan användas om användargränssnittet (Web GUI) på den sårbara enheten är öppen på det offentliga Internet. Enligt Ciscos Talos-team identifierade man en skadlig programvara som fungerar som bakdörr samt extra användare på de hackade enheterna. Någon känd cyberaktör har inte kopplats till händelserna, men enligt Talos är det en och samma aktör som finns bakom de skadliga programvarorna som upptäckts på enheterna.

Enheter som är synliga på webben hackades snabbt

Måndagen den 16 oktober berättade Ciscos Talos-grupp om en pågående dataintrångskampanj som utnyttjar nolldagssårbarheten CVE-2023-20198 i en komponent i webanvändargränssnittet i programvaran Cisco IOS XE. Dessutom identifierade man den 20 oktober sårbarheten CVE-2023-20273 i komponenten. Även denna sårbarhet har utnyttjats i kampanjen. Ciscos IOS XE är ett operativsystem som används på många av Ciscos nätenheter, såsom routrar, switchar och basstationer.

Internationellt har det identifierats tiotusentals enheter som är utsatta för sårbarheten. En skadlig programvara som fungerar som bakdörr hade installerats på många av dessa enheter. Uppdateringar som korrigerar Ciscos sårbarhet har publicerats sedan den 22 oktober. Utnyttjandet av sårbarheten kan begränsas genom att tillåta åtkomsten till komponenten i webanvändargränssnittet i Cisco IOS XE endast från pålitliga nät eller genom att göra komponenten osynlig på det offentliga Internet.

Angriparen kan använda sårbarheten för att skapa ett användarkonto med fullständiga systemadministratörsrättigheter på enheten. Detta gör det möjligt för angriparen att ta full kontroll över enhetens system. Därefter kan angriparen installera en skadlig programvara som fungerar som en bakdörr på enheten.

Cybersäkerhetscentret påminner om skydd av nätenheter

Cybersäkerhetscentret publicerade ett sårbarhetsmeddelande om sårbarheterna i Cisco IOS XE och varnade ägarna till sårbara enheter i Finland för situationen. Antalet enheter med programvaran Cisco IOS XE som upptäckts i Finland minskade från det preliminära antalet 40 till under 20 enheter. En del av de upptäckta enheterna har innehållit ett skadligt program som fungerar som bakdörr.

Nätenheternas administratörer ska beakta tjänster som i onödan är synliga på det offentliga Internet och skydda enheterna även i fortsättningen för att hindra olika nätangrepp.

Sårbarheter

CVE: CVE-2023-34048

CVSS: 9.8

Vad: En kritisk sårbarhet möjliggör körning av godtycklig kod via distansförbindelse

Produkt: WMware vCenter Server

Korrigering: Det finns inte ännu någon korrigering tillgänglig.

BEKANTA DIG MED VECKOÖVERSIKTEN

Detta är Cybersäkerhetscentrets veckoöversikt (rapporteringsperiod 20.10–26.10.2023). Vår veckoöversikt innehåller information om aktuella cyberfenomen. Veckoöversikten är avsedd för alla från cybersäkerhetsexperter till vanliga medborgare.