Cyber security news February 2024

This posting is here to collect cyber security news in February 2024.

I post links to security vulnerability news to comments of this article.

You are also free to post related links to comments.

80 Comments

  1. Tomi Engdahl says:

    Chinese hackers spent 5 years waiting in U.S. infrastructure, ready to attack, agencies say
    The report is one of the first public indications that Chinese hackers have had years of access to U.S. infrastructure.
    https://www.nbcnews.com/tech/security/chinese-hackers-cisa-cyber-5-years-us-infrastructure-attack-rcna137706

    Reply
  2. Tomi Engdahl says:

    As if 2 Ivanti vulnerabilities under exploit weren’t bad enough, now there are 3
    Hackers looking to diversify began mass-exploiting a new vulnerability over the weekend.
    https://arstechnica.com/security/2024/02/as-if-two-ivanti-vulnerabilities-under-explot-wasnt-bad-enough-now-there-are-3/

    Reply
  3. Tomi Engdahl says:

    Tietoevry-iskulla synkät seuraukset: varmuuskopiot tuhoutuivat
    20.2.202421:01
    Useat Tietoevryn asiakkaat pelkäävät, että varmuuskopiot on menetetty ikuisiksi ajoiksi.
    https://www.mikrobitti.fi/uutiset/tietoevry-iskulla-synkat-seuraukset-varmuuskopiot-tuhoutuivat/6c73e6bc-7fc1-4ca9-a5c9-c68d6ac5cb38

    Venäläisen Akira-hakkeriryhmän uhriksi Ruotsissa joutuneen Tietoevryn asiakkaat sanovat, että iskussa tuhoutui runsaasti varmuuskopioita. Näin tapahtui siitäkin huolimatta, että Tietoevry on useiden asiakkaiden mukaan vastuussa varmuuskopioista.

    Asiasta uutisoivan Dagens Nyheterin mukaan asiakkaat kaipasivat varmuuskopioita iskun jälkeen, kun asiakkaiden verkkosivuja ja järjestelmiä pyörittäneet Tietoevryn virtualisointi- ja hallintapalvelimet menivät sekaisin.

    Lehden mukaan kopioiden saaminen oli kuitenkin monissa tapauksissa mahdotonta, sillä hakkerit olivat päässeet palvelimien lisäksi käsiksi varmuuskopioihin. Kopiot oli salattu kiristyshaittaohjelmalla ja siksi käyttökelvottomia.

    Reply
  4. Tomi Engdahl says:

    DOJ quietly removed Russian malware from routers in US homes and businesses
    Feds once again fix up compromised retail routers under court order.
    https://arstechnica.com/information-technology/2024/02/doj-turns-tables-on-russian-hackers-uses-their-malware-to-wipe-out-botnet/

    More than 1,000 Ubiquiti routers in homes and small businesses were infected with malware used by Russian-backed agents to coordinate them into a botnet for crime and spy operations, according to the Justice Department.

    That malware, which worked as a botnet for the Russian hacking group Fancy Bear, was removed in January 2024 under a secret court order as part of “Operation Dying Ember,” according to the FBI’s director. It affected routers running Ubiquiti’s EdgeOS, but only those that had not changed their default administrative password. Access to the routers allowed the hacking group to “conceal and otherwise enable a variety of crimes,” the DOJ claims, including spearphishing and credential harvesting in the US and abroad.

    Reply
  5. Tomi Engdahl says:

    DNS Server Vulnerability: Single DNS Packet can Bring Down the System
    https://gbhackers.com/critical-dnssec-flaw/

    A new flaw has been discovered in DNSSEC, which, when exploited by threat actors, could result in the unavailability of technologies such as web browsing, email, and instant messaging. This new class of attacks has been termed “KeyTrap” by researchers.

    Moreover, a threat actor could completely disable large parts of the worldwide internet. KeyTrap attacks affect not only DNS but also the applications using it. The “KeyTrap” class of attacks has been assigned with CVE-2023-50387, and the severity is yet to be categorized. As of December 2023, 31.47% of the web clients used DNSSEC-validating DNS resolvers worldwide.

    CVE-2023-50387: DNSSEC validator
    This particular vulnerability exists due to the processing of responses from specially crafted DNSSEC-signed zones, which causes CPU exhaustion on a DNSSEC-validating resolver.

    Successful exploitation of this vulnerability could significantly affect the resolver’s performance, disrupting the DNS resolution service.

    As a workaround, DNSSEC validation can be disabled entirely, preventing this vulnerability. However, this was not a recommended resolution. Additionally, there is no evidence of active exploitation of this vulnerability by threat actors.

    Reply
  6. Tomi Engdahl says:

    Ubuntu ‘command-not-found’ Tool Could Trick Users into Installing Rogue Packages
    https://thehackernews.com/2024/02/ubuntu-command-not-found-tool-could.html

    Reply
  7. Tomi Engdahl says:

    Ivanti Pulse Secure Found Using 11-Year-Old Linux Version and Outdated Libraries
    https://thehackernews.com/2024/02/ivanti-pulse-secure-found-using-11-year.html

    Reply
  8. Tomi Engdahl says:

    Wyze says camera breach let 13,000 customers briefly see into other people’s homes / The security issue is being blamed on “a third-party caching library,” but the company acknowledges that it let customers down.
    https://www.theverge.com/2024/2/19/24077233/wyze-security-camera-breach-13000-customers-events

    Reply
  9. Tomi Engdahl says:

    https://etn.fi/index.php/13-news/15905-taellae-android-troijalaisella-on-vaarallinen-ominaisuus

    Uutissivusto Bleeping Computer raportoi uusvanhasta Android-troijalaisesta, jossa on erittäin vaarallinen ominaisuus. XLoader on troijalainen, joka aktivoituu automaattisesti, kun se on latautunut käyttäjän Android-puhelimeen.

    XLoader löydettiin ensimmäisen kerran jo vuonna 2018. Haittaohjelma väärentää DNS-tietoja ohjatakseen liikenteen kohti haitallisia sivustoja. Kun haittaohjelma on asentunut laitteelle, se kykenee aktivoitumaan ja käytännössä ottamaan laitteen hallintaansa pääkäyttäjän oikeuksin.

    Reply
  10. Tomi Engdahl says:

    iMessage gets a major makeover that puts it on equal footing with Signal
    How Kybers and ratcheting are boosting the resiliency of Apple’s messaging app.
    https://arstechnica.com/security/2024/02/imessage-gets-a-major-makeover-that-puts-it-on-equal-footing-with-signal/

    Reply
  11. Tomi Engdahl says:

    Iso tietovuoto Kiinassa: IT-yrityksen epäillään hakkeroineen toisinajattelijoiden sometilejä
    Julkisuuteen vuodettiin suuri määrä vakoilusta kertovia dokumentteja. Kiinan viranomaiset etsivät vuotajia.
    https://yle.fi/a/74-20075858

    Reply
  12. Tomi Engdahl says:

    Merkittävä haavoittuvuus GNU glibc-kirjastossa
    https://www.kyberturvallisuuskeskus.fi/fi/haavoittuvuus_5/2024

    GNU glibc-kirjastossa on havaittu puskurin ylivuotohaavoittuvuus, joka vaikuttaa useisiin Linux-jakeluihin. Haavoittuvuus mahdollistaa paikallisille käyttäjille oikeuksien korottamisen pääkäyttäjän (root) tasolle. Linux-jakeluista haavoittuvaiseksi on todettu ainakin Debian (versiot 12 ja 13), Ubuntu (23.04 ja 23.10) ja Fedora (37 – 39). Mainittuihin jakeluihin on tarjolla korjaavat päivitykset.

    glibc:n syslog()-funktion puskurin ylivuotohaavoittuvuus (CVE-2023-6246) mahdollistaa hyökkääjälle tunnuksen käyttöoikeuksien korottamisen pääkäyttäjätasolle (root) haavoittuvassa järjestelmässä.

    CVE-2023-40547
    Published: 23 January 2024
    https://ubuntu.com/security/CVE-2023-40547

    A remote code execution vulnerability was found in Shim. The Shim boot support trusts attacker-controlled values when parsing an HTTP response. This flaw allows an attacker to craft a specific malicious HTTP request, leading to a completely controlled out-of-bounds write primitive and complete system compromise.

    Reply
  13. Tomi Engdahl says:

    Venäjä ja Kiina lähes joka neljännen kyberhyökkäyksen takana
    https://etn.fi/index.php/13-news/15912-venaejae-ja-kiina-laejes-joka-neljaennen-kyberhyoekkaeyksen-takana

    Venäjä ja Kiina ovat nousseet kyberturvallisuuden suurimmiksi uhiksi. Tuoreen Stocklytics.com -sivuston datan mukaan nämä kaksi valtiota ovat vastuussa noin 25 prosentista koko maailman kyberhyökkäyksistä.

    Stocklyticsin asiantuntija Edith Reads on huomannut, että alalla on yhä enemmän valtioiden tukemia toimijoita. – Tämä huolestuttava kehitys korostaa tarvetta maailmanlaajuiselle yhteistyölle tämän vaaran hillitsemiseksi.”

    Reply
  14. Tomi Engdahl says:

    https://www.uusiteknologia.fi/2024/02/27/vaara-voi-vaania-myos-kehittajapaikoissa/

    Tietoturvayhtiö Fortinet on äskettäin havainnut joukon haittaohjelmapaketteja, jotka on ladattu Python Package Indexiin (PyPI), jonka avulla kehittäjät voivat jakaa ja levittää Python-ohjelmistojaan. Äskettäin sinne oli onnistuttu lataamaan haittaohjelmiston sisältäviä tiedostoja.

    Hiljattain havaitussa tapauksessa Fortinet yksilöi käyttäjätunnuksen ”WS”, joka on huomaamatta onnistunut lataamaan indeksiin haittaohjelmiston sisältäviä tiedostoja ja jolla arvioidaan olevan pitkälti yli 2 000 uhria. Haittaohjelmisto on naamioitu sulautumaan laillisten ohjelmistojen joukkoon.

    ’’Erityisen huolestuttavaa on, että hyökkääjä on osoittanut todella ymmärtävänsä, miten Pythonin ekosysteemi toimii. PyPIn laajamittaisen käytön vuoksi kyberhyökkäyksellä on suuri vaikutus kaikkien sektorien kehittäjiin, työskentelivätpä he sitten ohjelmistokehityksen, tietojenkäsittelytieteen tai tekoälyn parissa’’, Fortinetin kyberturvallisuusasiantuntija Timo Lohenoja sanoo.

    sku muistuttaa useita viime vuoden lopussa havaittuja tapauksia, joskin tapausten välillä on myös merkittäviä eroja. Siinä missä aiemmat tapaukset vaikuttivat sekä Linux- että Windows-järjestelmiin, nyt havaittu isku keskittyy yksinomaan Windows-käyttäjiin ja käyttää kohdeosoitteenaan useita eri IP-osoitteita kiinteän osoitteen sijaan. Tämä taktiikka mahdollistaa hyökkäyksen jatkumisen, vaikka jokin tietty palvelin suljettaisiin.

    Reply
  15. Tomi Engdahl says:

    Stephanie Kirchgaessner / The Guardian:
    A US judge orders the NSO Group to hand over its code for Pegasus and other spyware products to Meta, as part of Meta’s ongoing litigation to protect WhatsApp

    Court orders maker of Pegasus spyware to hand over code to WhatsApp
    https://www.theguardian.com/technology/2024/feb/29/pegasus-surveillance-code-whatsapp-meta-lawsuit-nso-group

    Israeli company NSO Group is accused in lawsuit by Meta’s messaging app of spying on 1,400 users over a two-week period

    Reply
  16. Tomi Engdahl says:

    Your fingerprints can be recreated from the sounds made when you swipe on a touchscreen — Chinese and US researchers show new side channel can reproduce fingerprints to enable attacks
    News
    By Mark Tyson published February 19, 2024
    Researchers claim they can successfully attack up to 27.9% of partial fingerprints
    https://www.tomshardware.com/tech-industry/cyber-security/your-fingerprints-can-be-recreated-from-the-sounds-made-when-you-swipe-on-a-touchscreen-researchers-new-side-channel-attack-can-reproduce-partial-fingerprints-to-enable-attacks

    Reply
  17. Tomi Engdahl says:

    https://www.freethink.com/robots-ai/voice-cloning-vall-e
    Microsoft’s new AI needs just 3 seconds of audio to clone a voice
    VALL-E can even mimic a speaker’s emotions and acoustic environment.

    Reply
  18. Tomi Engdahl says:

    Cybercriminals Weaponizing Open-Source SSH-Snake Tool for Network Attacks
    https://thehackernews.com/2024/02/cybercriminals-weaponizing-open-source.html

    Reply

Leave a Reply to Tomi Engdahl Cancel reply

Your email address will not be published. Required fields are marked *

*

*