Cyber security news April 2024

This posting is here to collect cyber security news in April 2024.

I post links to security vulnerability news to comments of this article.

You are also free to post related links to comments.

155 Comments

  1. Tomi Engdahl says:

    https://www.securityweek.com/in-other-news-moscow-sewage-hack-women-in-cybersecurity-report-dam-security-concerns/

    Russia attempting to sabotage European railways

    The Czech Republic’s transport minister told FT that Russia has been attempting to hack European rail networks in an effort to destabilize the EU and sabotage critical infrastructure. The Czech official said hackers had targeted signaling systems and the networks of the country’s national railway operator.

    https://www.ft.com/content/f8207823-f5e1-4caf-934d-67c648f807bf

    Reply
  2. Tomi Engdahl says:

    https://www.uusiteknologia.fi/2024/04/15/krakkerit-loysivat-uuden-tartuntaketjumenetelman/

    Tietoturvayritys Check Pointin tutkijat ovat havainneet verkossa uuden menetelmän, jolla tuttu trojalainen Remcos (Remote Access Trojan, RAT) pystyy saastuttamaan jälleen verkon tietokoneita. Menetelmä pystyy ohittamaan yleiset turvatoimet käyttäjän koneissa.

    Check Pointin tutkijat saivat selville maaliskuussa, että verkkohakkerit ovat käyttäneet Virtual Hard Disk (VHD) -tiedostoja Remote Access Trojan (RAT) Remcos-etäkäyttötroijalaisen toimittamiseen. VHD-tiedostoja käytetään muun muassa virtuaalikoneiden kiintolevyinä.

    Remcos havaittiin ensimmäisen kerran vuonna 2016. Se levisi aiemmin roskapostien liitteinä olevien Microsoft Office -dokumenttien mukana ja on suunniteltu ohittamaan Microsoft Windowsin käyttäjätilien valvonta (UAC) sekä käynnistämään haittaohjelmia.

    Reply
  3. Tomi Engdahl says:

    https://etn.fi/index.php/13-news/16090-haelyttaevae-tieto-aelypuhelimen-valoanturi-voi-kuvata-kaeyttaejaeae

    Uuden tutkimuksen mukaan yleisesti käytössä olevat älylaitteiden ympäröivää valoa mittaavat valoisuussensorit voivat olla riski käyttäjien yksityisyydensuojan kannalta. MIT:n (Massachusetts Institute of Technology) tietojenkäsittelytieteen ja tekoälyn CSAIL-laboratorio on julkaissut tutkimuksen, jossa paljastetaan, että nämä anturit voivat olla haavoittuvaisia yksityisyyttä loukkaaville uhkille.

    MIT:n tutkijat ovat kehittäneet algoritmin, joka mahdollistaa ympäristön kuvan palauttamisen älylaitteen näytön näkökulmasta käyttäen valoisuussensoreiden hienovaraisia valon voimakkuuden muutoksia. Tämä osoittaa, kuinka hakkerit voivat hyödyntää niitä tietoja kerätäkseen, vaikka sovelluksilta ei vaadita lupaa sensorien käyttöön, toisin kuin kameroille.

    Reply
  4. Tomi Engdahl says:

    TIETOTURVA
    Nyt on mustaa valkoisella: Tämän takia Supo varoitti reitittimistä
    Suojelupoliisin esille nostama uhka on toteutunut ainakin Ruotsissa.
    https://www.is.fi/digitoday/tietoturva/art-2000010356620.html

    KIINAAN yhdistetty APT31-nimellä tunnetun kybertoimijan kerrotaan hyödyntäneen murrettuja ruotsalaisia reitittimiä eri maihin kohdistuneissa hyökkäyksissään ja pyrkineen hankkimaan tietoa brittipoliitikkojen sähköposteista.

    KESKUSRIKOSPOLIISI on myös kertonut, että saman APT31:n yhteys eduskunnan tietomurtoon vuosina 2020–2021 on vahvistunut.

    Reply
  5. Tomi Engdahl says:

    Kiristyshaittaohjelmat osuvat nyt teollisuuteen
    https://etn.fi/index.php/13-news/16092-kiristyshaittaohjelmat-osuvat-nyt-teollisuuteen

    Tietoturvayritys Check Point Software on esitellyt alkuvuoden trendejä kyberhyökkäyksissä. Kyberhyökkäysten kasvu jatkuu kovana. Uutena ilmiönä kiristyshaittaohjelmilla hyökätään nyt yhä useammin valmistavan teollisuuden ja mediatalojen kimppuun.

    Vuoden 2024 ensimmäisellä neljänneksellä kyberhyökkäysten määrä kasvoi 28 prosenttia viime vuoden viimeisestä neljänneksestä ja oli 5 prosenttia suurempi kuin vuotta aikaisemmin.

    Koulutus- ja tutkimussektori on kohdannut eniten hyökkäyksiä, keskimäärin 2454 hyökkäystä organisaatiota kohden viikoittain. Laitteistotoimittajien alalla hyökkäykset kasvoivat 37 % vuoden takaiseen verrattuna, mikä korostaa strategista muutosta kohdevalinnoissa.

    Euroopassa hyökkäysten määrä kasvoi maltillisesti 0,4 %. Suomessa kyberhyökkäykset jopa vähentyivät 12 % vuoden takaisesta.

    Reply
  6. Tomi Engdahl says:

    Tietovuoto Nordean verkkopankissa
    Kauan sitten vanhentuneet käyttöoikeudet tulivat tilinkäyttäjien näkyviin.
    https://www.iltalehti.fi/digiuutiset/a/8a67609d-c9f9-4e4f-9410-dbae5236cf73

    Nordean asiakkaiden tilitietoja vuoti ulkopuolisten nähtäville tiistaina aamulla ja aamupäivällä.

    Nordea vahvistaa virheen Iltalehdelle.

    – Tänään aamupäivällä hyvin lyhyen aikaa osalla asiakkaistamme on saattanut näkyä mobiili- tai verkkopankissa tilejä, joihin heillä on aikaisemmin ollut käyttöoikeus. Virhe saatiin korjattua nopeasti. Pahoittelemme asiakkaillemme aiheutunutta haittaa, Nordea ilmoittaa sähköpostitse.

    Nordea ei ollut omaehtoisesti tiedottanut virheestä kello 12.56 mennessä.
    Lasten tilit näkyviin

    Useat Iltalehden lukijat raportoivat tapahtuneesta. Lukijat kertovat vanhempien päässeen näkemään aikuisten lastensa tilejä.

    Reply
  7. Tomi Engdahl says:

    Vulnerabilities
    Delinea Scrambles to Patch Critical Flaw After Failed Responsible Disclosure Attempt
    https://www.securityweek.com/delinea-scrambles-to-patch-critical-flaw-after-failed-responsible-disclosure-attempt/

    PAM company Delinea over the weekend rushed to patch a critical authentication bypass vulnerability after it apparently ignored the researcher who found the flaw.

    Privileged access management (PAM) solutions provider Delinea over the weekend scrambled to patch a critical vulnerability after it apparently ignored a researcher who attempted to responsibly disclose the issue for weeks.

    On April 12, Delinea informed customers that it had started investigating a “security incident” and that there may be some service disruptions.

    The next day, the company clarified that it had become aware of a critical authentication bypass vulnerability in the Secret Server SOAP API. Delinea initially prevented exploitation by blocking the impacted SOAP endpoints for Secret Server Cloud customers. In addition, it released indicators of compromise (IoCs) to enable customers to detect potential exploitation attempts.

    Later in the day, Delinea announced releasing patches for both Delinea Platform and Secret Server Cloud. On April 14, the company announced patches for Secret Server On-Premises.

    Technical details of the vulnerability along with proof-of-concept (PoC) code were made public on April 12 in a Medium post by researcher Johnny Yu.

    A CVE identifier has yet to be assigned.

    “Delinea Platform and Secret Server Cloud have been updated, and we are working closely with on-premise customers with direct remediation steps. Our Engineering and Security teams have conducted reviews for any evidence of compromised tenant data,” Delinea said in an emailed statement.

    https://straightblast.medium.com/all-your-secrets-are-belong-to-us-a-delinea-secret-server-authn-authz-bypass-adc26c800ad3

    Reply
  8. Tomi Engdahl says:

    Vakava tietoturva-aukko paljastui vahingossa: suomalaisen kehittämään projektiin oli ujutettu takaportti
    Suvi Korhonen2.4.202413:28|päivitetty2.4.202413:34TIETOTURVA
    It-alaa on pääsiäisviikonloppuna ravistellut tieto, että monissa Linux-jakeluissa käytettyyn avoimen koodin XZ-nimiseen kirjastoon oli ujutettu takaportti. Se oli hilkulla päätyä hyvin laajaan jakeluun, mutta paljastui onneksi sattumalta.
    https://www.tivi.fi/uutiset/vakava-tietoturva-aukko-paljastui-vahingossa-suomalaisen-kehittamaan-projektiin-oli-ujutettu-takaportti/788cdb5e-d1a3-4321-a57a-7a7a40cc6700

    Reply
  9. Tomi Engdahl says:

    LG paikkasi televisioidensa tietoturva-aukon nopeasti
    https://etn.fi/index.php/13-news/16101-lg-paikkasi-televisioidensa-tietoturva-aukon-nopeasti

    Kerroimme viime viikolla, että LG-älytelevisioiden WebOS-käyttöjärjestelmästä oli löytynyt useita kriittisiä haavoittuvuuksia. LG kertoo nyt, että aukot on paikattu. Television omistajien kannattaakin hetimiten ladata ohjelmistopäivitys ruutuihinsa.

    Tietoturvayritys Bitdefenderin mukaan ongelmat koskettavat LG-televisioiden WebOS-versioita 4–7. Kaikkiaan maailmalla on yli 91 000 LG:n televisiota, joita tietoturva-aukko koskee. Suomessa tällaisia televisioita on yli 6000.

    Bitfenderin mukaan haavoittuvuuksia on useita. CVE-2023-6317-aukon avulla hyökkääjä voi ohittaa valtuutusmekanismin WebOS:ssa. Asettamalla muuttujan hyökkääjä voi lisätä ylimääräisen käyttäjän televisioon.

    ottaakseen sen kokonaan haltuunsa (CVE-2023-6318). Kolmas haavoittuvuus (CVE-2023-6319) mahdollistaa käyttöjärjestelmän komentojen lisäämisen manipuloimalla musiikin sanoituksista vastaavaa kirjastoa.

    Reply
  10. Tomi Engdahl says:

    Oracle Patches 230 Vulnerabilities With April 2024 CPU
    https://www.securityweek.com/oracle-patches-230-vulnerabilities-with-april-2024-cpu/

    Oracle releases 441 new security patches to address 230 vulnerabilities as part of its April 2024 Critical Patch Update.

    Reply
  11. Tomi Engdahl says:

    Exploitation of Palo Alto Firewall Vulnerability Picking Up After PoC Release

    Palo Alto Networks firewall vulnerability CVE-2024-3400 increasingly exploited after PoC code has been released.

    https://www.securityweek.com/exploitation-of-palo-alto-firewall-vulnerability-picking-up-after-poc-release/

    Reply
  12. Tomi Engdahl says:

    Critical PuTTY Vulnerability Allows Secret Key Recovery

    PuTTY vulnerability CVE-2024-31497 allows attackers to compromise private keys and use them to forge signatures.

    https://www.securityweek.com/critical-putty-vulnerability-allows-secret-key-recovery/

    The developers of PuTTY have released an update to patch a critical vulnerability that can be exploited to recover secret keys.

    PuTTY is an open source client program for SSH, Telnet, and other network protocols, enabling connections to remote servers and file transfers.

    Two researchers from Ruhr University Bochum in Germany discovered that the client and related components “generate heavily biased ECDSA nonces in the case of NIST P-521”, which enables full secret key recovery. The vulnerability is tracked as CVE-2024-31497.

    “The nonce bias allows for full secret key recovery of NIST P-521 keys after a malicious actor has seen roughly 60 valid ECDSA signatures generated by any PuTTY component under the same key,” the researchers explained.

    PuTTY versions 0.68 through 0.80 are affected, and PuTTY 0.81 fixes the vulnerability. Several products that rely on an affected PuTTY version are vulnerable as well, including FileZilla, WinSCP, TortoiseGit and TortoiseSVN. Patches or mitigations are available for these products as well.

    Affected keys must be revoked immediately, PuTTY developers urged users.

    An entry for CVE-2024-31497 in NIST’s National Vulnerability Database warns that the vulnerability could allow supply chain attacks.

    Reply
  13. Tomi Engdahl says:

    You Against the World: The Offenders Dilemma

    Foreign attackers have many more toolsets at their disposal, so we need to make sure we’re selective about our modeling, preparation and how we assess and fortify ourselves.

    https://www.securityweek.com/you-against-the-world-the-offenders-dilemma/

    Reply
  14. Tomi Engdahl says:

    Eduskunnan törkeässä tietomurto-vakoilussa epäilty on nyt tunnistettu – KRP: Taustalla ”kehittynyt uhka” ja ”monimutkainen rikosinfra”
    Poliisi on jatkanut eduskunnan tietojärjestelmiin kohdistuneen tietomurron tutkintaa.
    https://www.tekniikkatalous.fi/uutiset/eduskunnan-torkeassa-tietomurto-vakoilussa-epailty-on-nyt-tunnistettu-krp-taustalla-kehittynyt-uhka-ja-monimutkainen-rikosinfra/f17f40b7-fd3f-487a-b46c-844f5d9c0c10

    Reply
  15. Tomi Engdahl says:

    Nation-State
    Recent OT and Espionage Attacks Linked to Russia’s Sandworm, Now Named APT44
    https://www.securityweek.com/recent-ot-and-espionage-attacks-linked-to-russias-sandworm-now-named-apt44/

    Google Cloud’s Mandiant on Wednesday published a new report summarizing some of the latest activities of Russia’s notorious Sandworm group, which it has started tracking as APT44.

    Sandworm is one of Russia’s most well-known threat groups, being involved in operations whose goal is espionage, disruption, or disinformation. It’s known for the use of highly disruptive malware such as BlackEnergy and Industroyer.

    Since the start of Russia’s war against Ukraine, the group has focused on causing disruption within Ukraine, using wipers and other tactics to achieve its goals. Its cyber operations are often timed with conventional military activities.

    Mandiant summarizes some of the latest operations of Russia’s notorious Sandworm group, which it now tracks as APT44.

    Malware & Threats
    Kapeka: A New Backdoor in Sandworm’s Arsenal of Aggression
    https://www.securityweek.com/kapeka-a-new-backdoor-in-sandworms-arsenal-of-aggression/

    Kapeka is a new backdoor that may be a new addition to Russia-link Sandworm’s malware arsenal and possibly a successor to GreyEnergy.

    Kapeka is a new backdoor that may be a new addition to Russia-linked Sandworm’s malware arsenal and is possibly a backdoor successor to GreyEnergy.
    Kapeka

    There is currently almost zero public knowledge of the Kapeka backdoor beyond a brief description from Microsoft published on February 14, 2024 concerning the discovery of a new backdoor it calls KnuckleTouch. Microsoft attributes the KnuckleTouch backdoor to SeaShell Blizzard, which is its name for Sandworm. There is no Microsoft analysis of this malware, but WithSecure is confident that KnuckleTouch is Kapeka.

    In its own analysis, security firm WithSecure believes Kapeka is the tool of an APT (nation-state group). It is not yet sufficiently confident that the group is Sandworm, but has found numerous overlaps between Kapeka and GreyEnergy sufficient to make this a strong possibility.

    Reply
  16. Tomi Engdahl says:

    James Reddick / The Record:
    Sophos researchers find “crude”, cheap ransomware tools being sold on the dark web, enabling inexperienced freelancers to easily launch attacks

    ‘Crude’ ransomware tools proliferating on the dark web for cheap, researchers find
    https://therecord.media/cheap-ransomware-for-sale-dark-web

    Cheap ransomware is being sold for one-time use on dark web forums, allowing inexperienced freelancers to get into cybercrime without any interaction with affiliates.

    Researchers at the intelligence unit at the cybersecurity firm Sophos found 19 ransomware varieties being offered for sale or advertised as under development on four forums from June 2023 to February 2024.

    They compared the cybercrime tools to “junk guns” — cheap, imported handguns that flooded the U.S. in the 1960s and 1970s. While the weapons were often unreliable, they offered certain advantages like low barriers to entry and little traceability.

    Those same advantages apply for would-be cybercriminals in the market for ransomware starter kits. The varieties researchers observed ranged from $20 to 0.5 bitcoin, or approximately $13,000 at the time it was posted. The median average price was $375.

    Reply
  17. Tomi Engdahl says:

    Wall Street Journal:
    Internal draft: UK’s ICO says Google’s Privacy Sandbox falls short and leaves gaps that can be exploited to undermine privacy of users who should be anonymous

    https://www.wsj.com/tech/google-cookies-replacement-not-enough-to-protect-uk-consumer-privacy-580d1b16?st=e1azdhbteuw0r12&reflink=desktopwebshare_permalink

    Reply
  18. Tomi Engdahl says:

    Five Eyes Agencies Release New AI Security Guidance

    Five Eyes cybersecurity agencies have released joint guidance on securely deploying and operating AI systems.

    https://www.securityweek.com/five-eyes-agencies-release-new-ai-security-guidance/

    Reply
  19. Tomi Engdahl says:

    Ransomware
    Watch Now: Ransomware Resilience & Recovery Summit Sessions Now on Demand

    Join this one-day virtual summit as we shine the spotlight on the shadowy dynamics of ransomware attacks and how you can best prepare your organization to defend against and recover from these relentless attacks.

    https://www.securityweek.com/virtual-event-tomorrow-ransomware-resilience-recovery-summit-2/

    Reply
  20. Tomi Engdahl says:

    OpenMetadata Vulnerabilities Exploited to Abuse Kubernetes Clusters for Cryptomining

    Microsoft warns that several OpenMetadata vulnerabilities are being exploited to deploy cryptomining malware to Kubernetes environments.

    https://www.securityweek.com/openmetadata-vulnerabilities-exploited-to-abuse-kubernetes-clusters-for-cryptomining/

    Reply
  21. Tomi Engdahl says:

    SAP Applications Increasingly in Attacker Crosshairs, Report Shows

    Malicious hackers are targeting SAP applications at an alarming pace, according to warnings from Onapsis and Flashpoint.

    https://www.securityweek.com/sap-applications-increasingly-in-attacker-crosshairs-report-shows/

    Reply
  22. Tomi Engdahl says:

    This Week In Security: Putty Keys, Libarchive, And Palo Alto
    https://hackaday.com/2024/04/19/this-week-in-security-putty-keys-libarchive-and-palo-alto/

    PuTTY 0.81, FileZilla 3.67.0, WinSCP 6.3.3 and TortoiseGit 2.15.0.1 are the updated versions, with TortoiseSVN coming soon. At this point, any ecdsa-sha2-nistp521 key on a Windows machine should probably get revoked and recycled.

    Reply
  23. Tomi Engdahl says:

    Venäjä näyttää nyt tekevän kyberiskuja länsimaiden vesilaitoksiin – Mikko Hyppönen: ”Aikamoinen uutinen”
    Withsecuren tutkimusjohtaja Mikko Hyppönen kertoo, että yhtiö on osoittanut Venäjän sotilastiedustelun tehneen iskun virolaiseen logistiikkayhtiöön.
    https://yle.fi/a/74-20084689

    Reply
  24. Tomi Engdahl says:

    OpenMetadata Vulnerabilities Exploited to Abuse Kubernetes Clusters for Cryptomining
    https://www.securityweek.com/openmetadata-vulnerabilities-exploited-to-abuse-kubernetes-clusters-for-cryptomining/

    Microsoft warns that several OpenMetadata vulnerabilities are being exploited to deploy cryptomining malware to Kubernetes environments.

    Reply
  25. Tomi Engdahl says:

    First Major Attempts to Regulate AI Face Headwinds From All Sides
    https://www.securityweek.com/first-major-attempts-to-regulate-ai-face-headwinds-from-all-sides/

    While over 400 AI-related bills are being debated this year in statehouses nationwide, most target one industry or just a piece of the technology — such as deepfakes used in elections.

    Reply
  26. Tomi Engdahl says:

    https://www.securityweek.com/cannes-hospital-cancels-medical-procedures-following-cyberattack/

    Cannes Hospital Centre – Simone Veil (CHC-SV) shut down its systems in response to a cyberattack it fell victim to last week.

    Also known as the Broussailles Hospital, the healthcare organization decided to completely cut off computer access to contain the attack, which forced employees to turn to pen and paper to continue providing services to patients.

    “These procedures are more time-consuming and the examination delivery times are extended,” an automatic translation of the hospital’s incident notice reads.

    Reply
  27. Tomi Engdahl says:

    Venäjä, Ukraina ja Kiiina maailman ensimmäisen kyberrikoslistan kärjessä
    https://etn.fi/index.php/13-news/16120-venaejae-ukraina-ja-kiiina-maailman-ensimmaeisen-kyberrikoslistan-kaerjessae

    Kansainvälinen tutkijaryhmä on kolmen vuoden intensiivisen tutkimuksen jälkeen koonnut kaikkien aikojen ensimmäisen “World Cybercrime Indexin”, joka tunnistaa maailman tärkeimmät kyberrikollisuuden keskittymät. Listan kärjessä ovat Venäjä, Ukraina, Kiina, Yhdysvallat ja Nigeria.

    Tutkimuksen toinen kirjoittaja tohtori Miranda Bruce Oxfordin yliopistosta ja UNSW Canberrasta sanoi, että tutkimus antaa julkiselle ja yksityiselle sektorille mahdollisuuden keskittää resurssinsa tärkeimpiin tietoverkkorikollisuuden keskuksiin. Samalla se antaa mahdollisuuden käyttää vähemmän aikaa ja varoja kyberrikollisuuden vastatoimiin maissa, joissa ongelmia ei ole.

    Kyberrikosindeksi on julkaistu PLOS ONE -lehdessä.
    https://journals.plos.org/plosone/article?id=10.1371/journal.pone.0297312

    Reply
  28. Tomi Engdahl says:

    Moni kesämökki kylmenee nyt: Ilma­lämpö­pumpun omistajat ihmeissään
    Ongelma jatkuu yhä, eikä sen syy ole tiedossa.
    https://www.is.fi/digitoday/art-2000010376407.html

    Takatalvi ja toimimaton ilmalämpöpumpun hallinta ei ole hyvä yhdistelmä.

    Maailman suurimpiin kuluvan lämpöpumppuvalmistaja Mitsubishi Electricin etähallintajärjestelmä on kärsinyt häiriöistä useamman päivän ajan. Pumppuja ei ole pystynyt ohjaamaan Melcloud-sovelluksen etähallinnan kautta viime viikon torstaista eli 18.4. asti, mikä on asettanut monet mökkien omistajat ikävään tilanteeseen takatalven iskettyä.

    – Tämä tarkoittaa että Mitsubishi-lämpöpumppujen omistajat eivät voi kauko-ohjata laitetta. Tämä voi aiheuttaa suuria kuluja, jos takatalvi jäädyttää asunnon tai kesämökin, kun laitetta ei saa internetin kautta päälle, kirjoitti Ilta-Sanomiin yhteyttä ottanut lukija.

    Tilanteesta tekee erikoisen se, että Mitsubishi Electric on kommentoinut asiaa varsin niukasti: Sovellus antaa ilmoituksen häiriöstä. Lisäksi yhtiön tekniseen tukeen yhteyttä ottaneet käyttäjät sanovat saaneensa vastauksen, jonka mukaan ongelmaa korjataan.

    Moni pumpun omistaja tilanteesta on nyreissään ja vaatii yhtiöltä ja etenkin sovellukselta suurempaa avoimuutta. Moni on varsin suorasanainen:

    – Kriittisen toiminnon nojaaminen ulkopuoliseen pilvipalveluun on lähtökohtaisesti paskaa ja pitäisi aina tapahtua riippumattomasti on-site [paikan päällä], kirjoittaa eräs käyttäjä verkossa.

    – Ei viitsisi lähteä vapaa-ajan asunnolle ajelemaan ja tarkastamaan mikä moodi jäi VILP:iin [ilmavesilämpöpumppu] päälle.

    – Voitko kuvitella tilanteen, jossa kotisi lämmitys ja viilennys ovat riippuvaisia monikansallisesta yhtiöstä, jonka palvelu on täysin käyttökelvoton ja jolla ei ole edes palvelun tilasta kertovaa verkkosivua?

    Jotkut käyttäjät ovat tehneet kiertovirityksiä, joissa sovellus pakotetaan ottamaan yhteys palvelimeen ip-osoitteen perusteella. Tämä edellyttää kuitenkin tietoteknisiä taitoja, sillä yhteys on toteutettava verkosta, jonka nimipalvelinasetuksia voi vaihtaa käsin.

    Ilmalämpöpumppujen asennus- ja huoltoyhtiö KylmäCenter tiedotti ongelmasta perjantaina. Yhtiön mukaan Mitsubishi Electricin Melcloud-sovelluksen etähallinnassa on havaittu euroopanlaajuisia ongelmia. Yhteys on katkeillut torstai-iltapäivästä lähtien ja koskee ilmeisen suurta osaa laitteista.

    KylmäCenterin mukaan ongelma jatkui edelleen maanantaina aamulla, eikä sen syytä ole saatu vielä selville.

    Yhtiö pyrkii maanantain aikana kaivamaan asiakkaille tietoa korjauksen aikataulusta ja mitä toimia se mahdollisesti vaatii asiakkailta. Ei ole esimerkiksi selvää, edellyttääkö korjaaminen Melcloudiin kytkettyjen ilmalämpöpumppujen sammuttamista ja uudelleen käynnistämistä.

    Pisilä ei ole varma, koskeeko ongelma kaikkia Melcloudin käyttäjiä. Nykytiedon perusteella vika vaikuttaisi olevan laaja.

    Voivatko esimerkiksi mökkeilijät tehdä asialle mitään nyt takatalven iskettyä? Pysyykö mökki kylmänä ennen paikan päälle saapumista?

    – Todennäköisesti laitteet toimivat niillä asetuksilla, jotka siellä ovat viimeksi olleet. Jos mökille on jätetty lämmitys päälle, todennäköisesti ei ole syytä huoleen, Pisilä arvioi.

    Melcoudin vika estää kuitenkin uusien asetusten tekemisen. Jos mökille ei ollut esimerkiksi ajastanut lämmityksen käynnistystä tietyllä hetkellä, sitä ei pysty nyt tekemään.

    Pisilä ei osaa sanoa, voiko ongelman takana olla kyberhyökkäys. Viitteitä sellaisesta ei ole näkynyt. Ei ole esimerkiksi näyttöä, että joku ulkopuolinen olisi päässyt hallitsemaan muiden lämpöpumppuja.

    Reply
  29. Tomi Engdahl says:

    Positiivinen luottorekisteri useille suomalaisille: Olet kuollut
    Ongelma on asiakastietojen siirtymisessä teknisiä rajapintoja pitkin rekisteriin.
    https://www.iltalehti.fi/talous/a/7a552f25-4355-4c5b-a838-baf6dfc0fe9c

    Positiivisessa luottorekisterissä on todettu ihmisiä vahingossa kuolleiksi. Syynä on laaja virhe järjestelmässä.

    – Luottotietorekisteriotteille on joillekin asiakkaille muodostunut aiheettomia kuolinpäivämerkintöjä, Verohallinnon tiedotteessa kerrotaan.

    Positiivinen luottotietorekisteri ja yksityishenkilön sähköinen asiointipalvelu avautuivat 1. huhtikuuta. Rekisterin tarkoitus on helpottaa luotonantajien, kuten pankkien päätöksentekoa. Uutta lainaa haettaessa luotonantajat tarkistavat rekisteristä hakijan lainatilanteen ja arvioivat rekisterin avulla hakijan maksukykyä.

    Selvityksen mukaan virheelliset kuolinpäivämerkinnät näkyvät sekä luotonantajalle että yksityishenkilölle luottotietorekisteriotteella.

    – Tähän mennessä olemme saaneet virheestä yksittäisiä havaintoja ja selvitämme ongelman laajuutta.

    Tiedotteen mukaan ongelman juurisyy on paikannettu. Asia liittyy teknisiin rajapintoihin ja asiakastietojen siirtymiseen.

    Yksityishenkilöt voivat tarkastaa rekisteristä omat luottonsa, joka voi helpottaa taloudellisen tilanteen hahmottamista. Rekisteriin on tallennettu muun muassa yksityishenkilöiden kuluttajaluotot, asunto- ja opintolainat sekä luottokorttien luottosaldot.

    Reply
  30. Tomi Engdahl says:

    I am shocked, shocked I say, to hear that Microsoft is a national security threat.

    Microsoft is a national security threat, says ex-White House cyber policy director
    https://www.theregister.com/2024/04/21/microsoft_national_security_risk/?fbclid=IwZXh0bgNhZW0CMTEAAR1v7jqPxS7PyxXdQpxsT1mUN8fm8FAwEwYCX-iFF-X_DkO5kOXwYP5pp1A_aem_AWUjaNGHW1Vx6Ff0LKPPARa3G-S1Cgd9P0_JGNd5C4r8grC7ONw31ZDI7Fn6uUpSKvKTi-0TVIF7VagEr2WdmAmi

    With little competition at the goverment level, Windows giant has no incentive to make its systems safer

    Reply
  31. Tomi Engdahl says:

    Research Shows How Attackers Can Abuse EDR Security Products
    https://www.securityweek.com/research-shows-how-attackers-can-abuse-edr-security-products/

    Vulnerabilities in Palo Alto Networks Cortex XDR allowed a security researcher to turn it into a malicious offensive tool.

    Reply
  32. Tomi Engdahl says:

    MITRE Hacked by State-Sponsored Group via Ivanti Zero-Days
    https://www.securityweek.com/mitre-hacked-by-state-sponsored-group-via-ivanti-zero-days/

    MITRE R&D network hacked in early January by a state-sponsored threat group that exploited an Ivanti zero-day vulnerability.

    MITRE revealed on Friday that one of its R&D networks was hacked a few months ago by a foreign state-sponsored threat actor leveraging zero-day vulnerabilities in an Ivanti product.

    The attack occurred in early January, but it was only discovered this month. It targeted MITRE’s Networked Experimentation, Research, and Virtualization Environment (NERVE), an unclassified collaborative network that is used for research, development, and prototyping.

    Following the discovery of the breach, MITRE took the NERVE environment offline and launched an investigation. The organization determined that the attack involved exploitation of two Ivanti Connect Secure VPN device vulnerabilities for initial access.

    Reply
  33. Tomi Engdahl says:

    Ilmalämpöpumppujen omistajat raivoissaan: ”Tilanne on aivan naurettava”, ”Jouduimme ajamaan edes­takaisin noin 700 kilometriä”
    https://www.is.fi/digitoday/art-2000010379464.html

    Mitsubishi Electricin ongelma on aiheuttanut suurta vaivaa monille suomalaisille.

    Mitsubishi Electricin ilmalämpöpumppujen hallintaan tarkoitetun Melcloud-sovelluksen monipäiväinen katko tuotti monenlaista päänvaivaa ja muutakin vahinkoa suomalaisille asiakkaille.

    Ilta-Sanomien lukijat kertovat kokemuksistaan. Vian vuoksi asunnon tai kesämökin lämpötilan säätäminen etäältä ei ollut mahdollista, jolloin viimeksi päälle jääneet asetukset pysyivät voimassa.

    – Vaimo puhisi kiukusta, kun piti tulla kylmään kotiin kyseisen vian takia, pirkanmaalainen lukija kertoo.

    – Pumppu vapaa-ajan asunnolla 330 kilometrin päässä, missä se ylläpitää peruslämpöjä. Nostan lämpötilaa päivää ennen kun olen menossa paikalle. Päivityspyyntö epäonnistuu. Pumppu on ollut nyt pois päältä, koska oli lämpimämpi jakso, mutta nyt pitäisi saada taas lämmöt päälle. Huudan vittusaatanaa niin, että naapuritkin herää, jos siellä on paikat kylmänä kun menen loppuviikosta paikalle, uusimaalainen lukija parahtaa.

    Toiset kertovat ajaneensa tuntikausia satoja kilometrejä edestakaisin varmistaakseen, että mökillä on kaikki kunnossa. Kaikilla ei ole ollut.

    – Mökillä kyseinen pumppu, ja mökissä vesilukoissa vettä, kaapissakin kaksi astiaa vettä ruuanlaittoon. Mökki meni kylmäksi ja vedet jäätyivät. Kävin sunnuntaina laittamassa pumpun käsin päälle, ei naurata yhtään, turhia kuluja ja siivoamista, myyjät levittelevät käsiään, korvauksia haluttaisiin hakea, mutta mistä, erikoisen hyvää mainetta valmistajalle / myyjille, voi per…e, manaa Keski-Suomessa asuva pumpun omistaja.

    – Kesäasunnollamme Etelä-Pohjanmaalla on talviajan lämmitys kyseisten laitteiden varassa. Viikonloppuna olleen pakkaskauden takia jouduimme ajamaan Helsingistä edestakaisin noin 700 kilometriä tarkistamaan, mikä laitteiden status oli. Laitteiden valmistaja/maahantuoja ei ole informoinut sanallakaan, vaikka palvelun käyttäminen edellyttää yhteystietojen antamista, jolloin käyttäjien nimet ovat tiedossa. Ala-arvoinen suoritus, viikonloppu pilalla ja tarpeettomia polttoainekuluja, pääkaupunkiseudulla asuva lukija sadattelee.

    Monet kritisoivat Mitsubishi Electricin tiedottamista asiasta. Tai paremminkin sen puutetta.

    – Käyttäjät ovat käyneet resetoimassa laitteita ja asetuksia ja yrittäneet saada wifi-yhteyksiä toimimaan – täysin turhaan. Itse olin lähdössä mökille satojen kilometrien päähän katsomaan tilannetta, mutta löysin nettifoorumeilta muiden käyttäjien tietoja asiasta. Edes yksi selkeä tiedote asiasta Mitsubishi Electriciltä olisi estänyt tämän temppuilun. Aivan jäätävää sähläämistä, uusimaalainen lukija arvostelee.

    Valmistajan maahantuoja Scanoffice on kertonut, että kyseessä on palvelinongelma. Joidenkin asiakkaiden mukaan sovellus on esittänyt vikailmoituksen. Yhden lukijan mukaan ilmoitus saapui lauantaina ja siinä luvattiin pikaista korjausta. Toisten mukaan sovellus esitti ilmoituksen vasta maanantaina.

    Ongelmat alkoivat tämän hetken tietojen perusteella torstaina.

    Yksi uusimaalainen lukija pohtii, voisiko tässä olla jopa ryhmäkanteen paikka.

    – Esimerkiksi jos joudut etäpalvelun toimimattomuuden vuoksi ajamaan mökille ja tarkistamaan lämpöpumpun toiminnan, tästä aiheutuu kuluja, jotka siis johtuvat palvelussa olleesta virheestä.

    Jos lämpötila oli säädetty korkeaksi ennen vikaa, pumppu on voinut pauhata viimeisimmän asetuksensa mukaan aiheuttaen osalle asiakkaita turhan korkeita sähkölaskuja. Monessa tapauksessa pumppu on kuitenkin pitänyt yllä 10 asteen oletuslämpöä tyhjässä asunnossa.

    Reply
  34. Tomi Engdahl says:

    Lauren Feiner / The Verge:
    The US Senate passes the TikTok divestment bill by a margin of 79-18; the legislation now heads to President Biden, who has committed to sign it into law — A bill that would force China-based company Bytedance to sell TikTok — or else face a US ban of the platform …

    Senate passes TikTok ban bill, sending it to President Biden’s deskhttps://www.theverge.com/2024/4/23/24137638/senate-passes-tiktok-ban-bill-divest-bytedance-foreign-aid

    / The bill forces ByteDance, TikTok’s Chinese parent company, to either divest itself of the social media platform or else face a ban in the US. The president has already committed to signing it.

    Reply
  35. Tomi Engdahl says:

    The Battle Continues: Mandiant Report Shows Improved Detection But Persistent Adversarial Success

    Mandiant’s M-Trends 2024 report shows that defenses are improving – and that may be true. But the reality remains that these same statistics demonstrate that if anything, the attackers still retain the upper hand.

    https://www.securityweek.com/the-battle-continues-mandiant-report-shows-improved-detection-but-persistent-adversarial-success/

    Reply
  36. Tomi Engdahl says:

    $10 Million Bounty on Iranian Hackers for Cyberattacks on US Gov, Defense Contractors

    Four Iranians are accused of hacking into critical systems at the Departments of Treasury and State and dozens of private US companies.

    https://www.securityweek.com/10-million-bounty-on-iranian-hackers-for-cyber-attacks-on-us-gov-defense-contractors/

    Reply
  37. Tomi Engdahl says:

    Russian Cyberspies Deliver ‘GooseEgg’ Malware to Government Organizations

    Russia-linked APT28 deploys the GooseEgg post-exploitation tool against numerous US and European organizations.

    https://www.securityweek.com/russian-cyberspies-deliver-gooseegg-malware-to-government-organizations/

    Reply

Leave a Reply to Tomi Engdahl Cancel reply

Your email address will not be published. Required fields are marked *

*

*