Cyber security news August 2022

This posting is here to collect cyber security news in August 2022.

I post links to security vulnerability news to comments of this article.

You are also free to post related links to comments.

543 Comments

  1. Tomi Engdahl says:

    The music video for Janet Jackson’s 1989 pop hit Rhythm Nation has been recognized as a cybersecurity vulnerability CVE-2022-38392 and has already been acknowledged by security vendor Tenable.

    Microsoft reported it can crash some old laptop computers.
    “It turns out that the song contained one of the natural resonant frequencies for the model of 5400 RPM laptop hard drives that they and other manufacturers used,”

    https://www.theregister.com/2022/08/18/janet_jackson_video_crashes_laptops/

    Reply
  2. Tomi Engdahl says:

    Kun niitä sormenjälkiä alettiin (pakolla) keräämään, vakuutettiin, että näin ei koskaan tulisi tapahtumaa. Ja tässä sitä nyt taas ollaan.

    Sormenjälkesi rikos­tutkintaan?
    Sisäministeriö selvittää, voisiko poliisi hyödyntää passi- ja henkilökorttirekisterien sormenjälkitietoja rikostorjunnassa. Oikeusoppinut uskoo, että tulevaisuudessa se on mahdollista.
    https://yle.fi/uutiset/3-12576861

    Reply
  3. Tomi Engdahl says:

    Janet Jackson’s Rhythm Nation can cause some old laptops with an HDD to crash
    https://www.xda-developers.com/janet-jackson-rhythm-nation-laptop-crash/

    Reply
  4. Tomi Engdahl says:

    Sormenjälkesi rikos­tutkintaan?
    Sisäministeriö selvittää, voisiko poliisi hyödyntää passi- ja henkilökorttirekisterien sormenjälkitietoja rikostorjunnassa. Oikeusoppinut uskoo, että tulevaisuudessa se on mahdollista.
    https://yle.fi/uutiset/3-12576861

    Reply
  5. Tomi Engdahl says:

    Pääministeri Sanna Marin sanoo olevansa valmis huumetestiin, videoilla puhutaan hänen mukaansa muusta kuin “jauhojengistä”
    Pääministeri Sanna Marinista on levinnyt somessa videoita, joissa hän juhlii suomalaisjulkkisten kanssa.
    https://yle.fi/uutiset/3-12581590

    Reply
  6. Tomi Engdahl says:

    TheTruthSpy exposed: This spyware lookup tool says if your Android device was compromised
    https://techcrunch.com/pages/thetruthspy-investigation/

    Reply
  7. Tomi Engdahl says:

    Scammers Distribute Fake Microsoft Office USB Sticks With Malware
    By Anton Shilov published about 18 hours ago
    https://www.tomshardware.com/news/scammers-distribute-fake-microsoft-office-usb-sticks-with-malware

    Counterfeit Microsoft Office USB sticks contain ransomware.

    Reply
  8. Tomi Engdahl says:

    Google blocks largest HTTPS DDoS attack ‘reported to date’
    https://www.bleepingcomputer.com/news/security/google-blocks-largest-https-ddos-attack-reported-to-date/

    A Google Cloud Armor customer was hit with a distributed denial-of-service (DDoS) attack over the HTTPS protocol that reached 46 million requests per second (RPS), making it the largest ever recorded of its kind.

    In just two minutes, the attack escalated from 100,000 RPS to a record-breaking 46 million RPS, almost 80% more than the previous record, an HTTPS DDoS of 26 million RPS that Cloudflare mitigated in June.

    To put into perspective how massive the attack was at its peak, Google says that it was the equivalent of getting all the daily requests to Wikipedia in just 10 seconds.

    Luckily, the customer had already deployed the recommended rule from Cloud Armor allowing operations to run normally. The assault ended 69 minutes after it started.

    Reply
  9. Tomi Engdahl says:

    Attackers waited until holidays to hit US government > https://www.malwarebytes.com/blog/threat-intelligence/2022/08/government-attacks-wait-until-the-holidays-to-strike

    Sometimes they even wait for Blackhat/Defcon .. since most of their smart people are OoO

    Reply
  10. Tomi Engdahl says:

    National Vulnerability Database: CVE-2021-32862 > https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2021-32862, 2022-08-18 19:15:14 +0000
    The GitHub Security Lab discovered sixteen ways to exploit a cross-site scripting vulnerability in nbconvert. When using nbconvert to generate an HTML version of a user-controllable notebook, it is possible to inject arbitrary HTML which may lead to cross-site scripting (XSS) vulnerabilities if these HTML notebooks are served by a web server (eg: nbviewer).

    Reply
  11. Tomi Engdahl says:

    Facebook’s In-App Browser Injects JavaScript Into Third-Party Websites
    Meta reportedly says it needs to inject the script into websites to respect privacy choices.
    https://uk.pcmag.com/security/142071/facebooks-in-app-browser-injects-javascript-into-third-party-websites

    Reply
  12. Tomi Engdahl says:

    Viroon kohdistui raju verkko­hyökkäys
    https://www.is.fi/digitoday/tietoturva/art-2000009012794.html
    VIROLAISEN ERR-tietotoimiston mukaan venäläinen Killnet-hakkeriryhmä on ottanut vastuun hyökkäyksestä. Kohteeksi joutui 12 valtionlaitosta ja 4 yksityisen sektorin verkkopalvelua. Yksi kohteista oli Viron sähköinen tunnistautumisjärjestelmä, joka vastaa jossain määrin Suomi.fitä. Palvelu kärsi lyhyistä häiriöistä kuuden muun palvelun ohella. Palvelunestohyökkäysten ohella virolaisiin järjestelmiin yritettiin ujuttaa haittaohjelmia. ERR:n mukaan niitä löytyi 137 laitteelta. Hyökkäykset seurasivat Viron tuoretta päätöstä hankkiutua eroon neuvostoaikaisista muistomerkeistä.

    Reply
  13. Tomi Engdahl says:

    Cyber Command deployed hunt forward’ defenders to Croatia to help secure systems https://therecord.media/cyber-command-deployed-hunt-forward-defenders-to-croatia-to-help-secure-systems/
    U.S. Cyber Command recently sent a team of “elite defensive cyber operators” to Croatia for the first time as part of its hunt forward operations aimed at collecting information on adversary activity and strengthening partner cyber defenses. The effort, which brought together experts from the Croatian Security and Intelligence Agency’s
    (SOA) Cyber Security Centre as well as U.S. military and civilian personnel, comes at a time when countries in Central and Eastern Europe are on high alert for cyberattacks linked to the war between Russia and Ukraine. Government agencies and businesses in Lithuania, Romania, Latvia and elsewhere have been pummeled by pro-Kremlin hackers in recent months, and European Union leaders have warned of potential “spillover effects” from such attacks.

    Reply
  14. Tomi Engdahl says:

    Fortinet: Use of wipers expanding beyond Ukraine to 24 countries https://therecord.media/fortinet-use-of-wipers-expanding-beyond-ukraine-to-24-countries/
    The use of wiper malware is increasingly expanding beyond the Ukraine conflict, according to research released today by cybersecurity giant Fortinet, with new variants popping up at an unprecedented rate. Wiper malware has been used heavily by hacking groups supporting Russia’s invasion of Ukraine. Recorded Future’s Insikt Group has tracked nine different wipers used in Ukraine, including WhisperKill, WhisperGate, HermeticWiper, IsaacWiper, CaddyWiper, and DoubleZero. Microsoft researchers said in April that they had observed nearly 40 destructive cyberattacks targeting hundreds of systems in Ukraine.

    Reply
  15. Tomi Engdahl says:

    PayPal Phishing Scam Uses Invoices Sent Via PayPal https://krebsonsecurity.com/2022/08/paypal-phishing-scam-uses-invoices-sent-via-paypal/
    Scammers are using invoices sent through PayPal.com to trick recipients into calling a number to dispute a pending charge. The missives which come from Paypal.com and include a link at Paypal.com that displays an invoice for the supposed transaction state that the user’s account is about to be charged hundreds of dollars. Recipients who call the supplied toll-free number to contest the transaction are soon asked to download software that lets the scammers assume remote control over their computer.

    Reply
  16. Tomi Engdahl says:

    USB “Rubber Ducky” Attack Tool
    https://www.schneier.com/blog/archives/2022/08/usb-rubber-ducky-attack-tool.html
    Already, previous versions of the Rubber Ducky could carry out attacks like creating a fake Windows pop-up box to harvest a user’s login credentials or causing Chrome to send all saved passwords to an attacker’s webserver. But these attacks had to be carefully crafted for specific operating systems and software versions and lacked the flexibility to work across platforms. The newest Rubber Ducky aims to overcome these limitations. It ships with a major upgrade to the DuckyScript programming language, which is used to create the commands that the Rubber Ducky will enter into a target machine. While previous versions were mostly limited to writing keystroke sequences, DuckyScript 3.0 is a feature-rich language, letting users write functions, store variables, and use logic flow controls (i.e., if this then that). That means, for example, the new Ducky can run a test to see if it’s plugged into a Windows or Mac machine and conditionally execute code appropriate to each one or disable itself if it has been connected to the wrong target. It also can generate pseudorandom numbers and use them to add variable delay between keystrokes for a more human effect.

    Reply
  17. Tomi Engdahl says:

    Janet Jackson’s music video is now a vulnerability for crashing hard disks https://www.bleepingcomputer.com/news/security/janet-jacksons-music-video-is-now-a-vulnerability-for-crashing-hard-disks/
    Janet Jackson’s Rhythm Nation music video of 1989 has officially been declared a security vulnerability as it freezes some models of hard drives on older computers. Assigned CVE-2022-38392, the vulnerability we are talking about is a Denial of Service (DoS), specifically a side-channel attack

    Reply
  18. Tomi Engdahl says:

    Microsoft Sysmon can now block malicious EXEs from being created https://www.bleepingcomputer.com/news/microsoft/microsoft-sysmon-can-now-block-malicious-exes-from-being-created/
    Microsoft has released Sysmon 14 with a new ‘FileBlockExecutable’
    option that lets you block the creation of malicious executables, such as EXE, DLL, and SYS files, for better protection against malware.
    This feature is a powerful tool for system administrators as it allows them to block the creation of executables based on various criteria, such as the file path, whether they match specific hashes, or are dropped by certain executables.

    Reply
  19. Tomi Engdahl says:

    Hackers Using Bumblebee Loader to Compromise Active Directory Services https://thehackernews.com/2022/08/hackers-using-bumblebee-loader-to.html
    The malware loader known as Bumblebee is being increasingly co-opted by threat actors associated with BazarLoader, TrickBot, and IcedID in their campaigns to breach target networks for post-exploitation activities. “Bumblebee operators conduct intensive reconnaissance activities and redirect the output of executed commands to files for exfiltration, ” Cybereason researchers Meroujan Antonyan and Alon Laufer said in a technical write-up.

    Reply
  20. Tomi Engdahl says:

    Google Play malware: If you’ve downloaded these malicious apps, delete them immediately
    https://www.zdnet.com/article/google-play-malware-if-youve-downloaded-these-malicious-apps-delete-them-immediately/#ftag=RSSbaffb68
    A total of 35 “clearly malicious” apps in the Google Play store have been discovered and detailed by cybersecurity researchers at Bitdefender, many of which duped victims into downloading them. Alkup.
    https://www.bitdefender.com/blog/labs/real-time-behavior-based-detection-on-android-reveal-dozens-of-malicious-apps-on-google-play-store

    Reply
  21. Tomi Engdahl says:

    Cisco Squashes High-Severity Bug in Web Protection Solution
    https://www.securityweek.com/cisco-squashes-high-severity-bug-web-protection-solution

    Cisco has announced patches for a high-severity escalation of privilege vulnerability in AsyncOS for Cisco Secure Web Appliance.

    Formerly Web Security Appliance (WSA), Cisco’s Secure Web Appliance is an enterprise protection solution designed to block risky sites and provide application visibility and control.

    Tracked as CVE-2022-20871, the newly addressed flaw can be exploited remotely to inject commands and escalate privileges to root, but requires authentication for successful exploitation.

    According to Cisco, the security bug exists because user-supplied input for the web interface is not sufficiently validated.

    “An attacker could exploit this vulnerability by authenticating to the system and sending a crafted HTTP packet to the affected device. A successful exploit could allow the attacker to execute arbitrary commands on the underlying operating system and elevate privileges to root,” Cisco explains.

    The tech giant also notes that the attacker needs to have at least read-only credentials to successfully exploit the issue.

    Cisco has resolved the vulnerability with the release of AsyncOS for Secure Web Appliance version 14.5.0-537 and plans to release updates for versions 12.5 and 14.0 of the appliance as well.

    Reply
  22. Tomi Engdahl says:

    Estonia Blocks Cyberattacks Claimed by Russian Hackers
    https://www.securityweek.com/estonia-blocks-cyberattacks-claimed-russian-hackers

    Estonia on Thursday said it had thwarted a major wave of cyber attacks against public and private institutions, as Russian hackers claimed responsibility.

    “Yesterday, Estonia was subject to the most extensive cyber attacks it has faced since 2007,” Undersecretary for Digital Transformation Luukas Ilves said on Twitter.

    “Attempted DDoS attacks targeted both public institutions and the private sector,” he added.

    “The attacks were ineffective. E-Estonia is up and running. Services were not disrupted.”

    Reply
  23. Tomi Engdahl says:

    TXOne Networks Scores $70M Series B Investment
    https://www.securityweek.com/txone-networks-scores-70m-series-b-investment

    TXOne Networks, a joint venture between cybersecurity firm Trend Micro and industrial networking solutions provider Moxa, has banked $70 million in new venture capital funding.

    The company, which maintains dual headquarters in Texas and Taiwan, said the Series B round was led by TGVest Capital and brings the total raised to $94 million.

    TXOne Networks was created in 2018 by Trend Micro and Moxa to build and sell technology for securing industrial internet of things (IIoT) environments.

    The company offers security gateways, endpoint agents and network segmentation solutions designed to help organizations secure, control and monitor equipment and operational technology (OT).

    The new financing provides additional runway for TXOne Networks to pursue business in the smart manufacturing, smart city, smart energy and other IIoT environments.

    Reply
  24. Tomi Engdahl says:

    Joka neljäs venäläinen kiertää Putinin propagandaa VPN:n avulla
    https://etn.fi/index.php/13-news/13894-joka-neljaes-venaelaeinen-kiertaeae-putinin-propagandaa-vpn-n-avulla

    AtlasVPN:n tuoreimman VPN-barometrin mukaan (Global VPN Adoption Index) VPN-latauksien määrä oli vuoden ensimmäisellä puoliskolla 215 miljoonaa. Merkittävin markkinoiden muutos tapahtui Venäjällä, jossa lähes neljäsosa väestöstä latasi VPN-palveluita. VPN on venäläisten keskeinen keino kiertää Putinin hallinnon propagandaa, joka kertoo omaa versiotaan maan laittomasta hyökkäyksestä Ukrainaan.

    Vielä vuodenvaihteessa vain 3-9 prosenttia venäläisistä käytti VPN-yhteyksiä. Tilanne muuttui maaliskuussa, kun venäläinen tuomioistuin kielsi Facebookin ja Instagramin leimaamalla sen emoyhtiö Metan ekstremistiseksi.

    Reply
  25. Tomi Engdahl says:

    Asiantuntija teki pysäyttävän havainnon Tiktok-sovelluksesta – vakava varoitus: ”Poista viimeistään nyt”
    Sovellukseen rakennettu selain voi käytännössä nähdä kaiken, mitä käyttäjä selaimella kirjoittaa.
    https://www.iltalehti.fi/digiuutiset/a/7f198b34-9bb6-4449-8aba-df1238500050

    Tietoturvatutkija Felix Krause on julkaissut raporttinsa, joka sisältää huonoja uutisia Tiktok-sovelluksen käyttäjille. Heitä onkin paljon, sillä kiinalaisella videosovelluksella on kuukausittain yli miljardi aktiivista käyttäjää.

    Mikäli sovelluksen käyttäjä on käyttänyt Tiktokin sisäänrakennettua selainta, on sovellus voinut tarkkailla kaikkia näppäimistön syötteitä ja napautuksia. Eli käytännössä: mikäli käyttäjä on avannut linkin TikTokissa sen sisäisellä selaimella, on sovellus voinut nähdä kaikki sen sisällä kirjoitetut tiedot.

    – Tämä voi sisältää salasanoja, luottokorttitietoja ja muita tietoja, Krause kirjoittaa.

    Tiktokissa markkinoidaan paljon erilaisia tuotteita, ja niiden ostolinkkejä jaetaan suoraan sovelluksen videoiden yhteydessä, joten esimerkiksi pankki- ja luottokorttitietojen syöttäminen selaimessa ei kuulostaisi tavattomalta.

    Asiasta on tviitannut esimerkiksi sosiaalisen median- ja tietosuojan asiantuntija Harto Pönkä.

    – Jos olet asentanut Tiktokin työpuhelimeesi, poista se viimeistään nyt, hän kirjoittaa.

    Reply
  26. Tomi Engdahl says:

    Varoitus Iphone-omistajille: Päivitä puhelin heti!
    Haavoittuvuuksia on saatettu käyttää aktiivisesti hyväksi.
    https://www.iltalehti.fi/tietoturva/a/e2ea889d-abfc-4dfc-a837-ac57b8f13a3e
    Apple on julkaissut IOS 15.6.1 -päivityksen, jonka yhteydessä yhtiö varoitti kahdesta haavoittuvuudesta, joita on käytetty hyväksi hyökkäyksissä.
    Ensimmäinen haavoittuvuus on mahdollistanut Applen mukaan mielivaltaisen koodin suorittamisen kernelin oikeuksilla. Apple kertoo raportissaan olevansa tietoinen raportista, jonka mukaan haavoittuvuutta on saatettu käyttää aktiivisesti hyväksi.
    Toinen haavoittuvuus koskee Safari-sovelluksen WebKit-selainmoottoria. Haavoittuvuus mahdollistaa mielivaltaisen koodin suorittamisen. Apple uskoo, että myös tätä haavoittuvuutta on käytetty aktiivisesti hyväksi.
    Käytännössä haavoittuvuudet mahdollistavat siis sen, että hyökkääjä voi saada täyden etähallinnan uhrinsa laitteeseen.
    About the security content of iOS 15.6.1 and iPadOS 15.6.1
    https://support.apple.com/en-us/HT213412

    Reply
  27. Tomi Engdahl says:

    Näkökulma: Marinin videokohun loppusiivous kuuluu julkaisijalle – ”Voiko joku olla niin typerä”
    Aino Vasankari
    Haluan, että pääministeri voi vaihtaa kunnolla vapaalle. Samalla toivoisin, että hänen lähipiirinsä käyttäisi enemmän päätään ja arvostaisivat muiden yksityisyyttä, kirjoittaa Iltalehden ulkomaantoimittaja Aino Vasankari.
    https://www.iltalehti.fi/politiikka/a/c62103e5-ffdd-4674-b07f-8ccd3c4201b1

    Reply
  28. Tomi Engdahl says:

    “Eurooppalaisten lompakkosovellusten kehittäminen kytkeytyy Suomessa kansallisesti osaksi digitaalisen henkilöllisyyden kehittämistä. Valtiovarainministeriön digitaalisen henkilöllisyyden ohjelmassa ja Digi- ja väestöviraston digitaalisen henkilöllisyyden kehittämishankkeessa koordinoidaan digitaalisen henkilöllisyyden kehittämistyötä.” [https://valtioneuvosto.fi/-/10623/suomi-hakee-eu-komissiolta-rahoitusta-eurooppalaisten-lompakkosovellusten-pilotointiin-yhdessa-muiden-maiden-kanssa](https://valtioneuvosto.fi/-/10623/suomi-hakee-eu-komissiolta-rahoitusta-eurooppalaisten-lompakkosovellusten-pilotointiin-yhdessa-muiden-maiden-kanssa)

    Reply
  29. Tomi Engdahl says:

    Linux-ytimestä löytyi uusi vakava reikä
    https://etn.fi/index.php/13-news/13902-linux-ytimestae-loeytyi-uusi-vakava-reikae
    Jokavuotisessa Black Hat -tietoturvakonferenssissa esitellään aina myös uusia haavoittuvuuksia. Nyt tapahtumassa on esitelty Linux-ytimen haavoittuvuus, joka on potentiaalisesti erittäin vaarallinen. Sen avulla on periaatteessa mahdollista päästä käsiksi järjestelmän kaikkiin resursseihin.

    Northwestern Universityn tutkijat Zhenpeng Lin, Yuhang Wu ja Xinyu Xing raportoivat haavoittuvuudesta, jolle ovat antaneet nimeksi DirtyCred. Nimi viittaa taannoiseen DirtyPipe-haavoittuvuuteen, joka on sittemmin kernelissä korjattu, mutta joka vaivasi esimerkiksi kaikkia Android-puhelimia, joiden käyttöjärjestelmä pohjautui Linuxin versioon 5.8.
    Vaikka DirtyPipe oli tehokas, sen hyödynnettävyys on tiiviisti sidoksissa CVE-2022-0847-haavoittuvuuden kykyyn, joka käyttää väärin Linuxin liukuhihnamekanismia ja syöttää tietoja satunnaisiin tiedostoihin.
    DirtyCred-haavoittuvuuden löytäjien mukaan uusi aukko vie idean seuraavalle tasolle. Sen avulla on mahdollista nostaa käyttäjätunnisteiden oikeudet root-tasolle asti. Toisin kuin DirtyPipessä, DirtyCred ei ole sidottu yhden kontin alueelle. Tämä on potentiaalisesti hyvin haitallinen ominaisuus.
    Löytäjät esittävät demossaan, miten haavoittuvuus toimii CentOS-käyttöjärjestelmässä. Aukko koskee esimerkiksi kaikkia CentOS-versoita 8:sta eteenpäin. Perusongelma liittyy siihen, että objektien eristäminen perustuu kernelissä tyyppiin, eikä oikeuksiin. Ratkaisuksi tutkijat esittävät root-taosn oikeuksia omaavien tunnisteiden eristämistä muista.
    Cautious! A New Exploitation Method!
    No Pipe but as Nasty as Dirty Pipe
    https://i.blackhat.com/USA-22/Thursday/US-22-Lin-Cautious-A-New-Exploitation-Method.pdf

    Reply

Leave a Comment

Your email address will not be published. Required fields are marked *

*

*