This posting is here to collect cyber security news in May 2024.
I post links to security vulnerability news to comments of this article.
You are also free to post related links to comments.
This posting is here to collect cyber security news in May 2024.
I post links to security vulnerability news to comments of this article.
You are also free to post related links to comments.
257 Comments
Tomi Engdahl says:
Government
EPA Issues Alert After Finding Critical Vulnerabilities in Drinking Water Systems
The EPA has issued an enforcement alert, outlining the steps needed to comply with the Safe Drinking Water Act.
https://www.securityweek.com/epa-issues-alert-after-finding-critical-vulnerabilities-in-drinking-water-systems/
The US Environmental Protection Agency (EPA) on Monday issued an enforcement alert to outline the measures needed to protect drinking water systems against cyber threats.
Inspections conducted by the EPA since September 2023 found that more than 70% of water systems do not fully comply with the Safe Drinking Water Act. The inspections found that some systems have critical cyber vulnerabilities, including ones introduced by the use of default passwords and authentication systems that can be easily compromised.
The agency has outlined the steps drinking water system operators need to take to secure their assets.
The top recommendations include reducing the internet exposure of systems, conducting regular assessments, changing default passwords, making inventories of IT and OT assets, developing and exercising incident response and recovery plans, backing up systems, addressing vulnerabilities, and conducting awareness training.
“The agency will increase the number of planned inspections and, where appropriate, will take civil and criminal enforcement actions, including in response to a situation that may present an imminent and substantial endangerment,” the EPA said. “Inspections will ensure that water systems are meeting their requirements to regularly assess resilience vulnerabilities, including cybersecurity, and to develop emergency response plans.”
Tomi Engdahl says:
It Now Takes Just 10 Minutes for Trojans to Infect Windows XP
You’d be foolish to run XP for any purpose these days, unless it’s air-gapped.
https://www.extremetech.com/internet/it-now-takes-just-10-minutes-for-trojans-to-infect-windows-xp?utm_campaign=trueAnthem%3A+Trending+Content&utm_medium=trueAnthem&utm_source=facebook&fbclid=IwZXh0bgNhZW0CMTEAAR0vX9KquQYnN4rwkd2qRDMQ0zHo0bQ77kuDZEMK1q-a6tzafyIrGMAL7fM_aem_ASHTPFf6t25NQ7OO_cSRtyIgsyq9V62ScXMUSTG0E-IPte2rNheb5vev4iYDdLEXFkzDBAK19N1V5cTLMuGnC3KS
Tomi Engdahl says:
Isoin vedätys koskaan? Deepfake-huijarit veivät brittifirmalta 23 miljoonaa euroa ovelalla videopuhelulla
https://tekniikanmaailma.fi/isoin-vedatys-koskaan-deepfake-huijarit-veivat-brittifirmalta-23-miljoonaa-euroa-ovelalla-videopuhelulla/
Tunnettu brittifirma on menettänyt kymmeniä miljoonia ovelan deepfake-huijauksen myötä.
Tapahtuma sai alkunsa, kun insinööritoimisto Arupin Hongkongin toimiston työntekijä osallistui videopuheluun, jossa keskustelukumppanit näyttivät ja kuulostivat yrityksen johtajilta.
Tomi Engdahl says:
Critical Bug Allows DoS, RCE, Data Leaks in All Major Cloud Platforms
https://www.darkreading.com/cloud-security/critical-bug-dos-rce-data-leaks-in-all-major-cloud-platforms
An on-by-default endpoint in ubiquitous logging service Fluent Bit contains an oversight that hackers can toy with to rattle most any cloud environment.
Researchers have discovered a severe memory corruption vulnerability inside of a cloud logging utility used across major cloud platforms.
The service, Fluent Bit, is an open source tool for collecting, processing, and forwarding logs and other types of application data. It’s one of the more popular pieces of software out there, with more than 3 billion downloads as of 2022, and a new 10 million or so deployments with each passing day. It’s used by major organizations such as VMware, Cisco, Adobe, Walmart, and LinkedIn, and nearly every major cloud service provider, including AWS, Microsoft, and Google Cloud.
The issue with Fluent Bit, dubbed “Linguistic Lumberjack” in a new report from Tenable, lies in how the service’s embedded HTTP server parses trace requests. Manipulated in one way or another, it can cause denial of service (DoS), data leakage, or remote code execution (RCE) in a cloud environment.
“Everyone gets hyped about a vulnerability in Azure, AWS, GCP, but nobody’s really looking at the technologies that make up all of these major cloud services — common, core pieces of software that now affect every major cloud provider,”
Tomi Engdahl says:
https://www.bleepingcomputer.com/news/security/ransomware-gang-targets-windows-admins-via-putty-winscp-malvertising/
Tomi Engdahl says:
A Windows XP machine’s life expectancy in 2024 seems to be about 10 minutes before even just an idle net connection renders it a trojan-riddled zombie PC
https://www.pcgamer.com/hardware/a-windows-xp-machines-life-expectancy-in-2024-seems-to-be-about-10-minutes-before-even-just-an-idle-net-connection-renders-it-a-trojan-riddled-zombie-pc/?utm_campaign=socialflow&utm_source=facebook.com&utm_medium=social&fbclid=IwZXh0bgNhZW0CMTEAAR2haxRDUdL5T4AxtVtA-_XOyIRgxn6nJoz9K6nRr9jDrIYHLcZQoYd0Xd0_aem_Adn7Hm-O7TlI2LXKrSF7mci1-KrM4FUGkuORGCQVM1Yj-8Fyu4bOo6V4mx_Qsq4hP31__wlKM3sNPVMftyS-agfv
That’s all without clicking a single hot link.
Tomi Engdahl says:
AI Companies Make Fresh Safety Promise at Seoul Summit, Nations Agree to Align Work on Risks
Leading artificial intelligence companies made pledge to develop AI safely, while world leaders agreed to build a network of publicly backed safety institutes to advance research and testing of the technology.
https://www.securityweek.com/ai-companies-make-fresh-safety-promise-at-seoul-summit-nations-agree-to-align-work-on-risks/
Tomi Engdahl says:
https://www.securityweek.com/qnap-rushes-patch-for-code-execution-flaw-in-nas-devices/
Tomi Engdahl says:
Government
CISA Warns of Attacks Exploiting NextGen Healthcare Mirth Connect Flaw
CISA has added CVE-2023-43208, an unauthenticated remote code execution vulnerability, to its KEV catalog.
https://www.securityweek.com/cisa-warns-of-attacks-exploiting-nextgen-healthcare-mirth-connect-flaw/
Tomi Engdahl says:
Data Protection
Zoom Adding Post-Quantum End-to-End Encryption to Products
Zoom is announcing post-quantum end-to-end encryption on Meetings, with Phone and Rooms coming soo
https://www.securityweek.com/zoom-adding-post-quantum-end-to-end-encryption-to-products/
Video communications giant Zoom announced on Tuesday that post-quantum end-to-end encryption (E2EE) has been added to Zoom Workplace.
The feature, which leverages the Kyber 768 key encapsulation method, is currently available worldwide in Zoom Meetings, with Zoom Phone and Zoom Rooms coming soon.
Zoom claims it is the first unified communications-as-a-service company to offer a post-quantum E2EE solution for video conferencing.
“Since we launched end-to-end encryption for Zoom Meetings in 2020 and Zoom Phone in 2022, we have seen customers increasingly use the feature, which demonstrates how important it is for us to offer our customers a secure platform that meets their unique needs,” said Michael Adams, CISO at Zoom.
Tomi Engdahl says:
Norjalaisille pysäyttävä kehotus viranomaisilta
Etätyöt mahdollistava suosittu SSL VPN -teknologia voi olla Norjan kyberturvallisuuskeskuksen mukaan tietoturvariski.
https://www.iltalehti.fi/digiuutiset/a/7cefcb8f-67f6-48d5-86be-19408954ba69
Norjan kansallinen kyberturvallisuuskeskus suosittelee maassa kaikkia organisaatioita luopumaan SSL VPN-/web VPN-pohjaisista etäkäyttöratkaisuista vuoteen 2025 mennessä.
Käytännössä kyse on teknologiasta, joka mahdollistaa organisaatioiden työntekijöille yhteyden yrityksen sisäverkkoon ja järjestelmiin mistä vain julkisen internetin kautta.
Turvallisuuskriittisten toimijoiden tai maan kansallisen tietoturvalain piiriin kuuluvien organisaatioiden tulee siirtyä turvallisempiin vaihtoehtoihin vuoden 2024 loppuun mennessä. Asiasta uutisoi tietoturvaan keskittynyt sivusto Bleeping Computer.
Norjan kyberturvallisuuskeskus suosittelee organisaatioita siirtymään ipsec-pohjaisiin ratkaisuihin, joissa hyödynnetään salausavainten vaihtoa hallinnoivaa ikev2-teknologiaa. Vaikka tämäkään ratkaisu ei ole vedenpitävä, sen käyttöönotto voi merkittävästi vähentää hyökkäyspinta-alaa.
Norway recommends replacing SSL VPN to prevent breaches
https://www.bleepingcomputer.com/news/security/norway-recommends-replacing-ssl-vpn-to-prevent-breaches/
Tomi Engdahl says:
Nyt pitää varoa pdf-liitteitä
https://etn.fi/index.php/13-news/16233-nyt-pitaeae-varoa-pdf-liitteitae
Tietoturvayritys Check Point Researchin tilastojen mukaan haitallisia sähköposteja tulee kaikenlaisissa muodoissa, mutta suuri määrä sisältää haitallisia tiedostoja tai liitteitä. Kaikista haitallisista tiedostoista PDF-tiedostot näyttävät olevan vaarallisimpia. Niistä on tullut hallitseva väline haitaohjelmien levittämiseen.
Tilastot ovat ajatuksia herättäviä. Yksi jokaisesta 246 sähköpostin liitteestä ja yksi jokaisesta 287 linkistä on haitallisia. Lisäksi 62 prosenttia kaikista haitallisista tiedostoista on jaettu sähköpostitse viimeisen kuukauden aikana.
Itse asiassa viimeisen kuukauden aikana Check Point Research on havainnut, että pdf-tiedostot muodostavat 69,1 prosenttia kaikista haitallisista tiedostoista maailmanlaajuisesti. Seuraavaksi lähin on exe eli ajettava ohjelma, niiden osuus on 15,7 prosenttia.
Tomi Engdahl says:
Rockwell Automation warns admins to take ICS devices offline
https://www.bleepingcomputer.com/news/security/rockwell-automation-warns-admins-to-take-ics-devices-offline/
Rockwell Automation warned customers to disconnect all industrial control systems (ICSs) not designed for online exposure from the Internet due to increasing malicious activity worldwide.
Network defenders should never configure such devices to allow remote connections from systems outside the local network. By taking them offline, they can drastically reduce their organizations’ attack surface.
This ensures that threat actors will no longer have direct access to systems that may not yet be patched against security vulnerabilities, allowing attackers to gain access to their targets’ internal networks.
“Due to heightened geopolitical tensions and adversarial cyber activity globally, Rockwell Automation is issuing this notice urging all customers to take IMMEDIATE action to assess whether they have devices facing the public internet and, if so, urgently remove that connectivity for devices not specifically designed for public internet connectivity,” Rockwell said.
“Removing that connectivity as a proactive step reduces attack surface and can immediately reduce exposure to unauthorized and malicious cyber activity from external threat actors.”
SD1672 | IMPORTANT NOTICE: Rockwell Automation Reiterates Customer Guidance to Disconnect Devices from the Internet to Protect from Cyber Threats
https://www.rockwellautomation.com/en-us/trust-center/security-advisories/advisory.SD1672.html
Tomi Engdahl says:
KRP: Helsingin tietomurto on Suomen kaikkien aikojen suurin
Kiristyksestä tai tietojen päätymisestä pimeään verkkoon ei ole tietoa.
https://www.is.fi/digitoday/tietoturva/art-2000010444970.html
Helsingin kaupungin kasvatuksen ja koulutuksen toimialaan huhtikuussa kohdistunut tietomurto on Suomen suurin tietovuoto.
Tutkinnan yleisjohtaja, Keskusrikospoliisin (KRP) rikosylikomisario Marko Leponen vahvistaa, että Suomessa ei ole tiedossa suurempaa tietovuotoa. Vastaamon tietomurrossa varastettiin noin 30 000 ihmisen tiedot.
Helsinkiin kohdistuneessa murrossa ovat vaarantuneet 150 000 nykyisen ja entisen oppijan tiedot. Sama koskee Helsingin kaupungin 38 000 hengen henkilökuntaa. Vaarantua ovat voineet myös oppilaiden huoltajien tiedot.
Näiden tietojen uskotaan vuotaneen
Lapsen ja huoltajan henkilötunnukset
Lapsen ja huoltajan osoitetiedot (ei puhelinnumeroita, ei sähköpostiosoitteita). Turvakiellon alaisista henkilöistä ei osoitetietoja, puhelinnumeroita tai sähköpostiosoitteita
Lapsen äidinkieli
Lapsen kansalaisuus
Lapsen uskontokunta (tarkkuudella ev.lut. / ortodoksi / rekisteröity uskonnollinen yhdyskunta / uskontokuntaan kuulumaton)
Murto voi koskea myös yksityistä varhaiskasvatusta, yksityisiä kouluja ja lukioita sekä yksityisiä ammattioppilaitoksia, Stadin ammatti- ja aikuisopiston opiskelijoita ja oppisopimusopiskelijoita, ruotsinkielisen työväenopiston Arbiksen asiakkaita ja varhaiskasvatuksen kerhotoimintaan osallistuneita perheitä sekä Santahaminassa vierailleiden kulkulupatietoja
Lähde: Helsingin kaupunki
Poliisilla ei ole tietoa siitä, että varastettuja tietoja olisi päätynyt pimeään verkkoon. Helsinki ei ole myöskään saanut lunnasvaatimusta. Mitä muita vaihtoehtoja jää jäljelle?
– Niitä on hankala arvioida. Tuossa [yllä] ovat ne yleisimmät motiivit. On kovin varhaista sanoa tässä vaiheessa.
– Tällä hetkellä tutkinta keskittyy siihen, mitä tietoa järjestelmien ulkorajapinnasta saadaan. Jos siitä saadaan lähtöjä, niin esitämme palveluntarjoajille tiedonsaantipyyntöjä, Leponen sanoo.
Jos aineistoa saadaan riittävästi, tutkinnan seuraavassa vaiheessa siirrytään rakentamaan murtajan käyttämää yhteysketjua ja kokonaisnäkymää.
Poliisi tutkii tapausta törkeänä tietomurtona. Tutkinnassa ei toistaiseksi ole tietosuojarikosta. Tutkinta sellaisesta voidaan kuitenkin käynnistää poliisin omasta aloitteesta, jos murtotutkinnassa tulee esiin tähän viittaavia seikkoja.
Helsingin tietomurtovyyhti laajenee – uhrien määrässä räjähdysmäinen kasvu
Tekijä on selvityksen perusteella saattanut saada haltuunsa aiemmin arvioitua enemmän tietoja.
https://www.is.fi/digitoday/art-2000010442588.html
Tietomurron tekijä on saattanut saada haltuunsa tietoja kaikista helsinkiläisistä oppivelvollisista. On mahdollista, että tietomurto koskee noin 150 000 oppijaa ja lisäksi heidän huoltajiaan.
Lisäksi koko kaupungin henkilöstö, noin 38 000 työntekijää, on tietomurron piirissä.
Kaupungin mukaan tietomurrossa on vuotanut seuraavia tietoja vuosina 2005–2018 syntyneistä helsinkiläisistä oppijoista ja heidän huoltajistaan:
Lapsen ja huoltajan henkilötunnukset
Lapsen ja huoltajan osoitetiedot (ei puhelinnumeroita, ei sähköpostiosoitteita). Turvakiellon alaisista henkilöistä ei osoitetietoja, puhelinnumeroita tai sähköpostiosoitteita
Lapsen äidinkieli
Lapsen kansalaisuus
Lapsen uskontokunta (tarkkuudella ev.lut. / ortodoksi / rekisteröity uskonnollinen yhdyskunta / uskontokuntaan kuulumaton)
Kaupunki epäilee, että tietomurto voi koskea myös yksityistä varhaiskasvatusta, yksityisiä kouluja ja lukioita sekä yksityisiä ammattioppilaitoksia.
Tomi Engdahl says:
Helsinki säilytti samalla verkkolevyllä 10 miljoonaa asiakirjaa ja vetoaa nyt ”normaaliin käytäntöön”
Helsingin tietomurto|Kaupunkiin kohdistunut tietomurto on herättänyt runsaasti kysymyksiä siitä, miksi näin kävi. Näin Helsinki vastaa.
https://www.hs.fi/helsinki/art-2000010442841.html?utm_source=upday&utm_medium=referral
Lähetyskanava @updayFI
Kaupungin verkkolevylle päässyt murtautuja on saattanut päästä käsiksi jopa 150 000 lapsen ja heidän huoltajiensa sekä kaupungin noin 38 000 työntekijän tietoihin, kuten osoitteisiin, henkilötunnuksiin ja jopa passinumeroihin.
Murron kohteena olleella verkkolevyllä oli yli 10 miljoonaa asiakirjaa, jotka ovat sisältäneet hyvin monenkirjavasti erilaista tietoa: levyllä on ollut samassa sekamelskassa sekä arkisia muistioita että satunnaisesti jopa sairauslomatodistuksia tai erityisen tuen päätöksiä.
Nyt verkkolevy on suljettu, eivätkä kaupungin työntekijät pääse käymään verkkolevyn sisältöä läpi.
Heti alkuvaiheessa tiedotettiin, että kyseisellä verkkolevyllä on saattanut olla myös arkaluontoista tietoa, kuten oppilaiden terveydentilaa käsitteleviä asiakirjoja tai henkilöstön sairauspoissaoloja. Onko tilannekuva tarkentunut näiden osalta?
”On mahdollista, että verkkolevyllä on ollut esimerkiksi erityisen tuen päätökseen liittyviä asiakirjoja, jotka liittyvät luokkajakojen valmisteluun, jolloin tietoja säilytetään väliaikaisesti levyllä. Tämä verkkolevy ei ole ollut sairauslomatodistusten säilytyspaikka, mutta niitä on saattanut olla siellä”, Järvenkallas toteaa.
Hän korostaa, että kyseessä on ollut kaupungin ohjeistuksen mukaisesti turvallisena työtilana käytetty verkkolevy, jossa suurin osa aineistosta on erilaisia toimialan muistioita ja valmistelumateriaaleja
Miksi yhdellä verkkolevyllä on ollut näin paljon aineistoa? Miksi tällaisia tietoja ei ole säilytetty järjestelmissä?
”On normaali käytäntö säilyttää tällaisia asiakirjoja verkkolevyllä. Kyseessä on työssä tarvittavia tiedostoja, eikä niitä ole mahdollista pitää järjestelmissä”, Heikkinen vastaa.
”Tiedostot ovat olleet toimialan verkkolevyllä tiedostokansioissa. Normaalisti työntekijöillä on oikeudet oman työyksikkönsä tiedostoihin, mutta nyt murtautuja on pystynyt korottamaan käyttäjäoikeutensa korkeimmalle pääkäyttäjätasolle”, Heikkinen kertoo.
Normaalioloissa tällaiset oikeudet on Heikkisen mukaan vain järjestelmän ylläpitotehtävissä työskentelevillä ihmisillä.
Koska kyseessä on verkkolevy, jolla on tiedostoja, näiden asiakirjojen tarkastelusta ei Heikkisen mukaan jää jälkeä toisin kuin esimerkiksi potilastietojärjestelmissä.
Tietoturvariskit on tuotu esiin useissa eri yhteyksissä, esimerkiksi vuoden 2021 tarkastuskertomuksessa. Miksi niitä ei ole otettu vakavasti?
”Me olemme tehneet paljon tietosuojan ja tietoturvan eteen. Asiaa on käsitelty johdossa, on järjestetty koulutuksia sekä vahdittu, että henkilöstö tekee DigiABC-koulutuksen. Vielä ei voi sanoa, että ohjeita ei olisi noudatettu eikä mielestäni ketään pidä lähteä tuomitsemaan, ennen kuin asia on käyty läpi”, Järvenkallas sanoo.
Kenen vastuulla nämä tietoturvakäytännöt loppujen lopuksi ovat?
”Tietoturvaan liittyvät ohjeistukset tulevat kaupunginkansliasta, eli ne ovat kaupungin johdon sekä kansliapäällikön päättämiä. Toimialat, tietoturva-asiantuntijat sekä tietoturvapäälliköt sitten toteuttavat näitä ohjeistuksia”, Heikkinen toteaa.
Tomi Engdahl says:
Jos autossasi on tällainen rekisterinumero, tietosi on luultavasti viety – Poliisi epäilee törkeää tietomurtoa
https://www.iltalehti.fi/autouutiset/a/329f6ce8-c848-48d1-94c1-3c497d477ab0
Poliisi tutkii törkeänä tietomurtona tapausta, jossa Traficomin ajoneuvorekisteristä on saatu 65 000 ajoneuvon omistajan ja haltijan tiedot.
Poliisi tutkii liikenne- ja viestintäviraston Traficomin ajoneuvorekisteriin kohdistunutta tietomurtoa törkeänä tietomurtona.
– Poliisi epäilee, että Traficomin ajoneuvorekisterin Helsingissä sijaitsevan asiakasorganisaation kautta on päästy ajoneuvorekisteriin ja tehty perusteettomia kyselyitä, joilla epäillään saadun noin 65 000 ajoneuvon omistajan ja haltijan tiedot Traficomin aikaisemmin tiedottamalla tavalla, Helsingin poliisilaitoksen rikosylikomisario Lauri Huittinen sanoo tiedotteessa.
Tietomurrossa saadut tiedot koskevat ajoneuvoja rekisteritunnusvälillä AAA-xxx – ALJ-xxx.
Tunkeutujan on poliisin mukaan saanut haltuunsa sekä ajoneuvon ensimmäisen omistajan tai haltijan että toisen omistajan tai haltijan koko nimen, osoitetiedot sekä henkilötunnuksen.
Tomi Engdahl says:
Näin suosikkipalvelussa huijataan – vain uskomaton tuuri pelasti turkulaisnaisen
Huijarit vedättävät Vintedissä tavaraa myyviä ihmisiä. Yksi uhri välttyi kalliilta vahingolta sattuman kautta.
https://www.is.fi/digitoday/tietoturva/art-2000010444584.html
Tomi Engdahl says:
Viranomainen varoittaa: näistä vpn-ratkaisuista olisi parempi luopua
20.5.2024 21:01
Etätyöt mahdollistava suosittu ssl vpn -teknologia voi olla Norjan kyberturvallisuuskeskuksen mukaan tietoturvariski.
https://www.mikrobitti.fi/uutiset/mb/4737fd86-daff-4be7-b493-1333b8710944?utm_term=Autofeed&utm_medium=Social&utm_source=Facebook#Echobox=1716261692
Tomi Engdahl says:
Norway recommends replacing SSL VPN to prevent breaches
https://www.bleepingcomputer.com/news/security/norway-recommends-replacing-ssl-vpn-to-prevent-breaches/
The Norwegian National Cyber Security Centre (NCSC) recommends replacing SSLVPN/WebVPN solutions with alternatives due to the repeated exploitation of related vulnerabilities in edge network devices to breach corporate networks.
The organization recommends that the transition be completed by 2025, while organizations subject to the ‘Safety Act’ or those in critical infrastructure should adopt safer alternatives by the end of 2024.
NCSC’s official recommendation for users of Secure Socket Layer Virtual Private Network (SSL VPN/WebVPN) products is to switch to Internet Protocol Security (IPsec) with Internet Key Exchange (IKEv2).
IPsec with IKEv2 secures communications by encrypting and authenticating each packet using a set of periodically refreshed ke
“The severity of the vulnerabilities and the repeated exploitation of this type of vulnerability by actors means that the NCSC recommends replacing solutions for secure remote access that use SSL/TLS with more secure alternatives. NCSC recommends Internet Protocol Security (IPsec) with Internet Key Exchange (IKEv2),” reads the NCSC announcement.
While the cybersecurity organization admits IPsec with IKEv2 isn’t free of flaws, it believes switching to it would significantly reduce the attack surface for secure remote access incidents due to having reduced tolerance for configuration errors compared to SSLVPN.
The proposed implementation measures include:
Reconfiguring existing VPN solutions or replacing them
Migrating all users and systems to the new protocol
Disabling SSLVPN functionality and blocking incoming TLS traffic
Using certificate-based authentication
Where IPsec connections are not possible, the NCSC suggests using 5G broadband instead.
Meanwhile, NCSC has also shared interim measures for organizations whose VPN solutions do not offer the IPsec with IKEv2 option and need time to plan and execute the migration.
Unlike IPsec, which is an open standard that most companies follow, SSLVPN does not have a standard, causing network device manufacturers to create their own implementation of the protocol.
However, this has led to numerous bugs discovered over the years in SSL VPN implementations from Cisco, Fortinet, and SonicWall that hackers actively exploit to breach networks.
As an example, Fortinet revealed in February that the Chinese Volt Typhoon hacking group exploited two FortiOS SSL VPN flaws to breach organizations, including a Dutch military network.
NCSC’s recommendations come after the organization recently alerted about an advanced threat actor exploiting multiple zero-day vulnerabilities in Cisco ASA VPNs used in critical infrastructure since November 2023.
Although Cisco fixed the two vulnerabilities on April 24, the cybersecurity and networking equipment firm couldn’t identify how the threat actors initially gained access to the device.
https://www.bleepingcomputer.com/news/security/ivanti-fixes-vpn-gateway-vulnerability-allowing-rce-dos-attacks/
Tomi Engdahl says:
Bing and Copilot fall from the clouds
https://www.theregister.com/2024/05/23/bing_and_copilot_fall_from/?fbclid=IwZXh0bgNhZW0CMTEAAR2uYwhADg3boBGSVTtsw6wlM5rtk-2HPyhv0IK7nRnO2uMOGnQjoUc55yM_aem_ZmFrZWR1bW15MTZieXRlcw
Parts of Microsoft’s Bing are still offline in Europe after it fell over earlier this morning, taking down Copilot and anything else that depends on the search service’s API.
At the time of writing, Search was back and Bing Maps still offline. Microsoft confirmed that there were problems with a Xeet at 0846 UTC, noting “an issue where users may be unable to access the Microsoft Copilot service.”
By our reckoning, large parts of the service have been down for a few hours at the time of publication, and not many people seem to have noticed. Bing’s market share has remained infamously low despite Microsoft throwing fistfuls of dollars at it and adding AI smarts to the service. The main effect of today’s problem may be an exodus of existing users to alternative platforms, something Microsoft can ill afford.
The failure does, however, highlight the interdependency of services. For example, Bing’s downtime meant that DuckDuckGo, which uses Bing as a search results source, was also down, as were web search services from ChatGPT Plus.
Bing might not have gained much traction with consumers, but its API is clearly becoming an important part of the web’s underlying infrastructure, and a failure can, therefore, have far-reaching consequences.
At the time of writing, attempting to use Copilot – we wanted to ask it if VBScript was dead but found that Microsoft’s new shiny had also turned its toes skywards – resulted in a page with nothing but a Bing search box and, subsequently, an error.
Tomi Engdahl says:
Reed Abelson / New York Times:
US hospital operator Ascension, which has ~140 hospitals, remains down indefinitely after a May 8 cyberattack, an eerily similar hack to Change Healthcare — For two weeks at the 140-hospital system, doctors and nurses have had little access to digital records for patient histories, resorting to paper and faxes to treat people.
More: NPR
Fallout From Cyberattack at Ascension Hospitals Persists, Causing Delays in Patient Care
https://www.nytimes.com/2024/05/23/health/cyberattack-ascension-hospitals-patient-data.html
For two weeks at the 140-hospital system, doctors and nurses have had little access to digital records for patient histories, resorting to paper and faxes to treat people.
Tomi Engdahl says:
Martin Zugec / Bitdefender Blog:
A look at China-aligned hacking group Unfading Sea Haze, which has targeted government and military organizations in South China Sea countries since 2018 — In a recent investigation by Bitdefender Labs, a series of cyberattacks targeting high-level organizations in South China Sea countries revealed a previously unknown threat actor.
Deep Dive Into Unfading Sea Haze: A New Threat Actor in the South China Sea
https://www.bitdefender.com/blog/businessinsights/deep-dive-into-unfading-sea-haze-a-new-threat-actor-in-the-south-china-sea/
In a recent investigation by Bitdefender Labs, a series of cyberattacks targeting high-level organizations in South China Sea countries revealed a previously unknown threat actor. We’ve designated this group “Unfading Sea Haze” based on their persistence and focus on the region. The targets and nature of the attacks suggest alignment with Chinese interests.
This wasn’t just about uncovering the present activities of Unfading Sea Haze. It was a journey through time, a digital archaeology of sorts. Our investigation, spanning at least eight victims – primarily military and government targets – stretched back to 2018. We documented Unfading Sea Haze’s current tactics, techniques, and procedures (TTPs), but also the tools they developed in the past.
Analyzing multiple generations of their tools was like exploring a museum exposition of cyberespionage relics. We found multiple iterations based on the well-known Gh0st RAT framework, alongside various .NET payloads.
Tomi Engdahl says:
https://www.securityweek.com/using-ai-mastercard-expects-to-find-compromised-cards-quicker-before-they-get-used-by-criminals/
Tomi Engdahl says:
https://www.securityweek.com/nyse-operator-intercontinental-exchange-gets-10m-sec-fine-over-2021-hack/
Tomi Engdahl says:
Nation-State
Newly Detected Chinese Group Targeting Military, Government Entities
Unfading Sea Haze has been targeting military and government entities in South China Sea countries since 2018.
https://www.securityweek.com/newly-detected-chinese-group-targeting-military-government-entities/
Tomi Engdahl says:
400,000 Impacted by CentroMed Data Breach
The personal information of 400,000 individuals was compromised in a data breach at El Centro Del Barrio (CentroMed).
https://www.securityweek.com/400000-impacted-by-centromed-data-breach/
Tomi Engdahl says:
55,000 Impacted by Cyberattack on California School Association
The Association of California School Administrators (ACSA) is informing nearly 55,000 individuals that they have been impacted by a ransomware attack.
https://www.securityweek.com/55000-impacted-by-cyberattack-on-california-school-association/
Tomi Engdahl says:
Beware – Your Customer Chatbot is Almost Certainly Insecure: Report
As chatbots become more adventurous, the dangers will increase.
https://www.securityweek.com/beware-your-customer-chatbot-is-almost-certainly-insecure-report/
Tomi Engdahl says:
https://www.securityweek.com/vmware-abused-in-recent-mitre-hack-for-persistence-evasion/
Tomi Engdahl says:
Supply Chain Security
Zero-Day Attacks and Supply Chain Compromises Surge, MFA Remains Underutilized: Rapid7 Report
Attackers are getting more sophisticated, better armed, and faster. Nothing in Rapid7’s 2024 Attack Intelligence Report suggests that this will change.
https://www.securityweek.com/zero-day-attacks-and-supply-chain-compromises-surge-mfa-remains-underutilized-rapid7-report/
Tomi Engdahl says:
Yhden ihmisen havainto paljasti mittavan tietovuodon
Poliisi kuvailee Traficomin ja Verohallinnon tietoihin tehtyä murtoa laajaksi ja monimutkaiseksi kokonaisuudeksi.
https://www.iltalehti.fi/kotimaa/a/3e91ec12-6eb8-4cca-b9b3-24cb94a8bbb1
Liikenne- ja viestintävirasto Traficomin ja Verohallinnon tietojen väärinkäyttämiseen johtanut tietomurto paljastui yksityishenkilön tekemästä havainnosta, kertoo poliisi.
Ihminen sai luottotietorekisteristä ilmoituksen, että hänen henkilötunnuksellaan oli tehty rahoituskyselypäätös. Hän epäili, että hänen henkilötunnuksensa on päätynyt vääriin käsiin.
Törkeä tietomurto
Traficom kertoi torstaina 16. toukokuuta sen ajoneuvorekisterin asiakasorganisaation palveluun kohdistuneesta väärinkäytöstä.
Poliisi kertoi perjantaina, että varsinainen tietomurto kohdistui poliisin mukaan helsinkiläisen yrityksen ohjelmistoon, jota on käyttänyt kaksi Liikenne- ja viestintävirasto Traficomin ajoneuvorekisterin asiakasorganisaatiota.
Kahta asiakasorganisaatiota hyödyntämällä murtautuja pystyi hakemaan väärin perustein suuria määriä tietoja Traficomin ajoneuvorekisteristä ja Verohallinnon positiivisesta luottorekisteristä.
Poliisin mukaan murtautuja on saanut perusteettomien kyselyiden kautta haltuunsa noin 65 000 ajoneuvon omistajan ja haltijan tiedot. Saadut tiedot koskevat ajoneuvoja, joiden rekisteritunnus alkaa A-kirjaimella rekisteritunnusvälillä AAA-XXX – ALJ-XXX.
Lisäksi samojen organisaatioiden kautta on kyselty väärin perustein luottotietorekisteriotteita 1 800 henkilöstä.
Poliisi tutkii tapausta törkeänä tietomurtona.
Seikkaperäiset ja ajantasaiset ohjeet omien henkilötietojen suojaamiseen ovat löydettävissä Suomi.fi-sivustolta.
https://www.suomi.fi/oppaat/tietovuoto
Tomi Engdahl says:
Vulnerabilities
Google Patches Fourth Chrome Zero-Day in Two Weeks
Exploited in the wild, Chrome vulnerability CVE-2024-5274 is a high-severity flaw described as a type confusion in the V8 JavaScript and WebAssembly engine.
https://www.securityweek.com/google-patches-fourth-chrome-zero-day-in-two-weeks/
Tomi Engdahl says:
ICS/OT
Rockwell Automation Urges Customers to Disconnect ICS From Internet
Rockwell Automation is concerned about internet-exposed ICS due to heightened geopolitical tensions and adversarial cyber activity globally.
https://www.securityweek.com/rockwell-automation-urges-customers-to-disconnect-ics-from-internet/
Tomi Engdahl says:
Murtautujat pääsivät käsiksi kaikkien lasten tietoihin – ”Tämä on kohtuutonta”
https://www.hs.fi/helsinki/art-2000010446930.html
Helsingin tietomurto|Lapsiasiavaltuutettu Elina Pekkarinen perää laajempaa keskustelua lasten yksityisyyden suojasta, sillä se on aina myös tiedon kerääjän vastuulla.
Tomi Engdahl says:
TANGO DOWN — A software maker serving more than 10,000 courtrooms throughout the world hosted an application update containing a hidden backdoor that maintained persistent communication with a malicious website, researchers reported Thursday, in the latest episode of a supply-chain attack.
The software, known as the JAVS Viewer 8, is a component of the JAVS Suite 8, an application package courtrooms use to record, play back, and manage audio and video from proceedings. Its maker, Louisville, Kentucky-based Justice AV Solutions, says its products are used in more than 10,000 courtrooms throughout the US and 11 other countries. The company has been in business for 35 years.
Via https://arstechnica.com/security/2024/05/crooks-plant-backdoor-in-software-used-by-courtrooms-around-the-world/
Tomi Engdahl says:
Microsoft Copilot fixed worldwide after 24 hour outage
Microsoft Copilot fixed worldwide after 24 hour outage
https://www.bleepingcomputer.com/news/microsoft/microsoft-copilot-fixed-worldwide-after-24-hour-outage/?fbclid=IwZXh0bgNhZW0CMTEAAR30A1kpVmQLHCW2dVzQ4uWFoDWQHe4WEgvQiAzPSiiPXJeeCCbeREJrbL0_aem_ZmFrZWR1bW15MTZieXRlcw
After over a 24-hour outage, Microsoft’s Bing, Copilot, and Copilot in Windows services are back online worldwide, with no information released as to what caused the problem.
The massive outage began around 3 AM EST on Thursday and mainly affected users in Asia and Europe, making it impossible for many to access these services.
During the outage, Bing.com showed either a blank page or a 429 HTTP code error, though direct Bing search still worked.
ChatGPT’s internet search features, which Bing powers, were also down, as confirmed by OpenAI.
Microsoft shared updates throughout the day, initially stating, “We’re working to find the cause of the issue. More information can be found in the admin center under CP795190.”
Tomi Engdahl says:
https://arstechnica.com/security/2024/05/crooks-plant-backdoor-in-software-used-by-courtrooms-around-the-world/
Tomi Engdahl says:
https://www.bleepingcomputer.com/news/security/new-shrinklocker-ransomware-uses-bitlocker-to-encrypt-your-files/
Tomi Engdahl says:
The world’s largest chipmaker could flip a kill switch and remotely disable its machines in the event of an invasion
News
By Jacob Ridley published 21 May 2024
That’s one helluva kill switch.
https://www.pcgamer.com/hardware/the-worlds-largest-chipmaker-could-flip-a-kill-switch-and-remotely-disable-all-its-machines-in-the-event-of-an-invasion/
TSMC is the world’s largest chipmaker, and it produces a massive percentage of the world’s advanced computer chips—by some estimates over the past few years, even around 90%. What happens if something were to happen in that part of the world to disturb this chipmaking ability? It’d be catastrophic, of course, but TSMC and its main machine supplier, Dutch company ASML, say the machines wouldn’t fall into hostile hands.
Citing people close to the matter, Bloomberg reports both TSMC and ASML have ways to disable the lithographic machines located in Taiwan. This kill switch would be able to be remotely activated, should such a drastic action ever be required.
Officials from the US government have reportedly spoken to both companies about what might happen in the event of an invasion, with ASML reassuring officials it was able to stop the machines from falling into the wrong hands.
The switch applies to the latest EUV machines out of ASML. These are also some of the most complicated, expensive, and sizable chip-making machines around today. The machines themselves have taken years to develop, and even longer to actually implement, though are now responsible for producing the most intricate and powerful computer chips today.
Yet this is all planning for hypothetical situations, nothing is certain.
Tomi Engdahl says:
City of Helsinki data breach may impact all learners from Helsinki within the scope of compulsory education
https://yvkoulut.inschool.fi/news/8463
City of Helsinki data breach may impact all learners from Helsinki within the scope of compulsory education
The City of Helsinki was targeted with a serious data brach, which the City became aware of on 30 April 2024. The City has prepared press releases on the matter previously, on 2 May and 13 May 2024. As the investigation into the data breach proceeds, it has been discovered that the impact of the data breach may extend to all learners from Helsinki within the scope of compulsory education, as well as their guardians, i.e. also including private schools and educational institutions.
Tomi Engdahl says:
A root-server at the Internet’s core lost touch with its peers. We still don’t know why.
For 4 days, the c-root server maintained by Cogent lost touch with its 12 peers.
https://arstechnica.com/security/2024/05/dns-glitch-that-threatened-internet-stability-fixed-cause-remains-unclear/
Tomi Engdahl says:
https://www.bleepingcomputer.com/news/security/high-severity-gitlab-flaw-lets-attackers-take-over-accounts/
Tomi Engdahl says:
Juuri nyt: Tälle alueelle trooppiset yöt voivat pian iskeä – ”Tukalat paikat tulee”
IS ExtraNäin voisit saada 3 000 euroa kuukaudessa tekemättä töitä
Tietoturva
Näin puhelimen sormenjälkitunnistus aukeaa videolla – pitäisikö huolestua?
Mikään suojaus ei ole aukoton. Ei myöskään puhelimen lukitus sormenjäljellä.
https://www.is.fi/digitoday/tietoturva/art-2000010382958.html
Tomi Engdahl says:
IoT Security
Cybersecurity Labeling for Smart Devices Aims to Help People Choose Items Less Likely to be Hacked
Under the new U.S. Cyber Trust Mark Initiative, manufacturers can affix the label on their products if they meet federal cybersecurity standards.
https://www.securityweek.com/cybersecurity-labeling-for-smart-devices-aims-to-help-people-choose-items-less-likely-to-be-hacked/
Tomi Engdahl says:
https://www.securityweek.com/google-patches-fourth-chrome-zero-day-in-two-weeks/
Tomi Engdahl says:
https://www.securityweek.com/javs-courtroom-audio-visual-software-installer-serves-backdoor/
Tomi Engdahl says:
Cybercrime
Shell Confirms MOVEit-Related Breach After Ransomware Group Leaks Data
Shell confirms that employee personal information has been stolen after the Cl0p ransomware group leaked data allegedly stolen from the energy giant.
https://www.securityweek.com/shell-confirms-moveit-related-breach-after-ransomware-group-leaks-data/
Tomi Engdahl says:
Zack Whittaker / TechCrunch:
Filings: US pharmaceutical company Cencora notified ~500K individuals since learning about a data breach in February 2024 that exposed health diagnoses and more
US pharma giant Cencora says Americans’ health information stolen in data breach
https://techcrunch.com/2024/05/24/cencora-americans-health-data-stolen-breach-cyberattack/
U.S. pharmaceutical giant Cencora says it is notifying affected individuals that their personal and highly sensitive medical information was stolen during a cyberattack and data breach earlier this year.
In letters to affected individuals sent out this week, Cencora said that the data from its systems includes patient names, their postal address and date of birth, as well as information about their health diagnosis and medications.
The pharma giant said it had initially obtained patients’ data through partnerships with the drug makers it works with “in connection with its patient support programs.” That includes patients of Abbvie, Acadia, Bayer, Novartis, Regeneron, and other companies.
Cencora has not yet described the nature of the cyberattack, which began on February 21 and was not publicly disclosed until the company filed notice with government regulators a week later on February 27. The company, known as AmerisourceBergen until 2023, handles around 20% of the pharmaceuticals sold and distributed throughout the United States.
This is the latest security incident to hit the U.S. healthcare sector following a spate of cyberattacks in recent months, following the huge data breach and lasting outages at UnitedHealth-owned Change Healthcare and the recent and ongoing cyberattack that knocked much of Ascension’s hospital network offline.
Cencora’s spokesperson said there is “no connection” between the incident at Cencora and the cyberattacks at Change and Ascension.
Tomi Engdahl says:
Työntekijä poisti puhelimestaan tietoja – KKV esittää Attendolle 4,4 miljoonan seuraamusmaksua
Kilpailu- ja kuluttajaviraston mukaan Attendo Suomi Oy:tä epäillään kilpailurikkomuksesta.
https://www.iltalehti.fi/kotimaa/a/2bc6f783-1f82-4563-9d13-6e4deec08809
Kilpailu- ja kuluttajavirasto (KKV) esittää Attendo Suomi Oy:lle määrättäväksi liki 4,4 miljoonan euron seuraamusmaksua.
Hoiva-alan yrityksissä ja alan toimialajärjestöissä suoritettiin ennalta ilmoittamattomia tarkastuksia 12. tammikuuta 2023 alkaen.
Attendolle suoritetussa tarkastuksessa selvisi, että työntekijä poisti jo käytyä tiedonvaihtoa työpuhelimestaan tarkastuksen alettua.
– Tammikuun 2023 tarkastuksen aikana Attendon työntekijä, jonka viestienvaihtoa tarkastuksella oli määrä tutkia, poisti puhelimestaan työhön liittyviä WhatsApp-keskusteluja sekä puhelulokin, KKV:n tiedotteessa kerrotaan.
Elinkeinonharjoittajalle on kesäkuusta 2021 lähtien voitu esittää seuraamusmaksua KKV:n toimesta säännösten rikkomisesta.
– Tarkastuksen vastustaminen tietoja poistamalla on moitittava ja vakava rikkomus. Kun yritykselle voidaan kilpailulain nojalla määrätä kilpailunrajoituksesta jopa 10 prosenttiin liikevaihdosta nouseva seuraamusmaksu, yritykselle ei saa olla houkuttelevaa pyrkiä välttämään mahdollista seuraamusmaksua hävittämällä tietoja tarkastuksen alettua, ylijohtaja Timo Mattila kertoo tiedotteessa.
Tomi Engdahl says:
Washington Post:
A look at “prebunking”, exposing people to low doses of misinfo with explanations to develop “mental antibodies” against disinfo, amid AI’s threat to elections
https://www.washingtonpost.com/technology/2024/05/26/us-election-misinformation-prebunking/