Cyber security news November 2024

This posting is here to collect cyber security news in November 2024.

I post links to security vulnerability news to comments of this article.

You are also free to post related links to comments.

234 Comments

  1. Tomi Engdahl says:

    Suosituista keittiölaitteista tehtiin huolestuttava havainto
    Miksi kiertoilmakypsennin haluaa käyttää puhelimesi mikrofonia?
    https://www.iltalehti.fi/digiuutiset/a/4d904a55-bdb3-446b-98fb-794aabcbd598

    Älylaitteista ja jatkuvasti verkossa olevista vimpaimista on tullut osa ihmisten jokapäiväistä elämää.

    Laitteet eivät pelkästään helpota ihmisten arkea, vaan vastavuoroisesti ne saattavat kerätä tarpeettoman paljon tietoa omistajastaan kyseenalaisia tarkoitusperiä varten.

    Brittiläinen kuluttajajärjestö Which? on julkaissut selvityksen, jossa se tarkasteli kolmea airfryer-laitetta eli kiertoilmakypsennintä. Kävi ilmi, että koko kolmikko halusi kohtuuttoman laajat oikeudet itselleen puhelimen kautta käytetyn kumppanisovelluksen kautta.

    Sovelluksia käytetään esimerkiksi laitteen käynnistämiseen etänä tai ajastetusti. Kaikki kolme kiertoilmakypsennintä muun muassa halusi käyttää puhelimen mikrofonia ilman mitään selkeää syytä. Aigostarin airfryer halusi tietää käyttäjänsä syntymäpäivän ja sukupuolen.

    Xiaomin airfyerin havaittiin olevan yhteydessä muun muassa Facebookin, Tiktokin ja Tencentin mainonnanseurantaan. Xiaomin ja Aigostarin laitteet lähettivät myös käyttäjädataa kiinalaisille palvelimille. Tosin tämä oli mainittu tietosuojaselosteessa.

    Which? selvitti myös muun muassa älytelevisioiden vaatimia tietoja. Selvityksessään organisaatio kuvailee televisioita ”mainoksia pursuaviksi ja käyttäjädataa ahnehtiviksi laitteiksi”.

    Why is my air fryer spying on me? Which? reveals the smart devices gathering your data – and where they send it
    https://www.which.co.uk/policy-and-insight/article/why-is-my-air-fryer-spying-on-me-which-reveals-the-smart-devices-gathering-your-data-and-where-they-send-it-a9Fa24K6gY1c

    Which? research has found evidence of excessive smart device surveillance – from air fryers demanding permission to listen in on conversations and sharing data with TikTok, to TVs wanting to know users’ exact locations at all times

    Reply
  2. Tomi Engdahl says:

    Nordealla häiriö
    Ongelman laajuudesta ei ole toistaiseksi tietoa.
    Nordealla häiriö
    https://www.is.fi/digitoday/art-2000010834993.html

    Reply
  3. Tomi Engdahl says:

    Laaja häiriö juna-asemilla
    https://www.iltalehti.fi/kotimaa/a/5ffa9d30-7855-4269-a259-d87425734d84

    Juna-asemien laituri- ja informaationäytöissä on vikaa koko rataverkolla, kertoo Fintraffic Rataliikennekeskus. Näytöillä saattaa näkyä vanhaa tietoa tai ne ovat kokonaan pimeinä.

    Reply
  4. Tomi Engdahl says:

    Iranian Hackers Target Aerospace Industry in ‘Dream Job’ Campaign

    Iran-linked Charming Kitten hackers have been running a ‘dream job’ campaign targeting the aerospace industry with the SnailResin malware.

    https://www.securityweek.com/iranian-hackers-target-aerospace-industry-in-dream-job-campaign/

    Reply
  5. Tomi Engdahl says:

    Low-Code, High Risk: Millions of Records Exposed via Misconfigured Microsoft Power Pages

    Security researcher investigated Microsoft Power Pages installations and found several with misconfigurations allowing unintentional access to confidential data.

    https://www.securityweek.com/low-code-high-risk-millions-of-records-exposed-via-misconfigured-microsoft-power-pages/

    Reply
  6. Tomi Engdahl says:

    CISA, FBI Confirm China Hacked Telecoms Providers for Spying

    CISA and the FBI have confirmed that Chinese hackers compromised the networks of telecommunications companies to spy on specific targets

    https://www.securityweek.com/cisa-fbi-confirm-china-hacked-telecoms-providers-for-spying/

    Reply
  7. Tomi Engdahl says:

    Windows Zero-Day Exploited by Russia Triggered With File Drag-and-Drop, Delete Actions

    The exploit for a new zero-day vulnerability in Windows is executed by deleting files, drag-and-dropping them, or right clicking on them.

    https://www.securityweek.com/windows-zero-day-exploited-by-russia-triggered-with-file-drag-and-drop-delete-actions/

    Reply
  8. Tomi Engdahl says:

    NIST Explains Why It Failed to Clear CVE Backlog

    NIST says all known exploited CVEs in the backlog have been addressed, but admitted that clearing the entire backlog by October was optimistic.

    https://www.securityweek.com/nist-explains-why-it-failed-to-clear-cve-backlog/

    NIST on Wednesday shared an update on its progress in clearing the CVE backlog in the National Vulnerability Database (NVD) and explained why it was not able to meet a self-imposed deadline.

    NIST revealed in February that delays should be expected in the analysis of CVE identifiers in the NVD as it was working on improving the program.

    There was a backlog of over 18,000 vulnerabilities over the next few months, but NIST announced in late May that it had awarded a contract to Analygence for additional processing support for the NVD. It also said that it expected to clear the entire backlog by the end of the fiscal year (September 30).

    However, vulnerability management firm VulnCheck reported in late September that 72% of the over 18,000 CVEs had yet to be analyzed, compared to 93% on May 19. Nearly half of the known exploited vulnerabilities (KEV) had also yet to be analyzed.

    In an update shared on Wednesday, NIST said it now has a full team of analysts on board and they are able to analyze all CVEs as they come in. The agency said the entire KEV backlog has been addressed.

    However, NIST admitted that its initial estimate of September 30 for clearing the entire backlog was optimistic.

    “This is due to the fact that the data on backlogged CVEs that we are receiving from Authorized Data Providers (ADPs) are in a format that we are not currently able to efficiently import and enhance,” the agency explained. “To address this issue, we are developing new systems that will allow us to process incoming ADP data more efficiently.”

    Reply
  9. Tomi Engdahl says:

    Unpatched Flaw in Legacy D-Link NAS Devices Exploited Days After Disclosure

    Exploitation attempts targeting CVE-2024-10914, a recently disclosed ‘won’t fix’ vulnerability affecting outdated D-Link NAS devices.

    https://www.securityweek.com/unpatched-flaw-in-legacy-d-link-nas-devices-exploited-days-after-disclosure/

    Reply
  10. Tomi Engdahl says:

    Järjestelmä­häiriö juna-asemilla korjattu
    Asemien informaationäytöt ja kuulutukset toimivat taas.
    https://www.is.fi/kotimaa/art-2000010834982.html

    Rautatieasemien laituri- ja informaationäytöissä ollut häiriö on korjattu, kertoo Fintrafficin rataliikennekeskus tiedotteessa. Asemien informaationäytöt ja kuulutukset toimivat taas ajantasaisesti.

    Reply
  11. Tomi Engdahl says:

    Otkes: Helsingin kaupungin tietomurto poikkeuksellisen laaja
    Tämänhetkisten tietojen mukaan vapunaattona paljastunut tietovuoto koskee noin 300 000 ihmisen tietoja.
    https://www.iltalehti.fi/kotimaa/a/723bb529-d1f0-4f47-91a5-644eac8f97b9

    Onnettomuustutkintakeskuksen (Otkes) mukaan Helsingin kaupungin tietomurto oli poikkeuksellisen laaja.

    Helsingin kaupungin kasvatuksen ja koulutuksen toimialaan kohdistui huhtikuussa laaja tietomurto, joka havaittiin vappuaattona. Otkesin mukaan parhaan tämänhetkisen tiedon puitteissa voidaan puhua noin 300 000 ihmisen tietojen vuotamisesta.

    Otkes havainnollistaa keväisen tietomurron laajuutta vertaamalla kovalevyllä olleiden asiakirjojen määrää stadiontorneihin. Otkesin mukaan tietomurron kohteena olleella kovalevyllä on ollut A4-kokoisia asiakirjoja yli 17 stadiontornin korkeuden verran.

    – Emme tiedä, kuinka suuri osa tästä tietomäärästä on vuotanut. Lisäksi materiaalin joukossa on joukko sekalaisia asiakirjoja, huomauttaa tutkintaryhmän johtaja Hanna Tiirinki Otkesin tiedotteessa.

    Valtioneuvosto asetti heinäkuussa Otkesin yhteyteen riippumattoman tutkintaryhmän selvittämään Helsingin kaupunkiin kohdistunutta tietomurtoa.

    Kyseessä on turvallisuustutkintalain mukainen poikkeuksellinen tapahtuman tutkinta. Tutkintaryhmältä odotetaan kesän 2025 aikana suosituksia siitä, miten tulevaisuudessa voidaan paremmin kehittää varautumista tietomurron kaltaisiin erittäin vakaviin tapahtumiin ja kuinka niiden seurauksia voidaan lieventää.

    Tietomurto havaittiin vapunaattona, mutta Otkesin mukaan viitteitä murrosta oli kuitenkin jo ennen huhtikuun viimeistä päivää.

    Hanna Tiirinki kehottaa opettajia ja vanhempia käymään nuorten kanssa keskustelua mahdollisista tietojen vuotamisen seurauksista.

    – Käytännössähän nuoren tietoja voidaan käyttää esimerkiksi hänen täysi-ikäiseksensä tultuaan vaikkapa identiteettivarkauden toteuttamiseen.

    Reply
  12. Tomi Engdahl says:

    Digihuijaukset ovat tuottoisampia kuin huumekauppa – huijareille 2,5 vuodessa yli 100 miljoonaa euroa
    https://www.iltalehti.fi/digiuutiset/a/24ae90ca-c989-469e-b6c7-57c8db94ec5a

    Suomalaiset ovat menettäneet kuluneen kahden ja puolen vuoden aikana huijareille yli 100 miljoonaa euroa. Suurin summa, lähes 36 miljoonaa, meni sijoitushuijauksiin.

    Reply
  13. Tomi Engdahl says:

    Posti sai Suomen historian suurimmat gdpr-sakot – miljoonia euroja
    Justus Vento15.11.202410:58|päivitetty15.11.202411:08Tietosuoja-asetusTietosuoja
    Omaposti-palvelu rikkoo tietosuojavaltuutetun mukaan tietosuojasäännöksiä.
    https://www.tivi.fi/uutiset/posti-sai-suomen-historian-suurimmat-gdpr-sakot-miljoonia-euroja/1ec3e50a-0e07-470b-b17b-0db46f27dd5b

    Reply
  14. Tomi Engdahl says:

    Yli 52 merkin käyttäjätunnus riitti kirjautumiseen ilman salasanaa – oletko jo tarkistanut lokisi?
    Joona Komonen6.11.202414:47SalasanatTietoturva
    Oktan mukaan haavoittuvuuden hyödyntäminen oli mahdollista kolmen kuukauden ajan.
    https://www.tivi.fi/uutiset/yli-52-merkin-kayttajatunnus-riitti-kirjautumiseen-ilman-salasanaa-oletko-jo-tarkistanut-lokisi/6836f3fe-2453-490f-b4f5-641b4f78fa27

    Reply
  15. Tomi Engdahl says:

    Uusi huijaus ohittaa kaksivaiheisen tunnistautumisen – FBI huolissaan
    Petri Ranta6.11.202422:33SähköpostiHaavoittuvuudetTietoturva
    Edes kaksivaiheinen tunnistautuminen ei suojaa kohdetta.
    https://www.tivi.fi/uutiset/uusi-huijaus-ohittaa-kaksivaiheisen-tunnistautumisen-fbi-huolissaan/4689f1aa-6a7f-4ab2-aa33-9a4ebe842ac2

    Reply
  16. Tomi Engdahl says:

    VPN Test: Here’s How to Check if Your VPN Is Working
    Find out how to test your VPN, from checking for DNS leaks and WebRTC leaks to ensuring your VPN’s kill switch and split tunneling features are functioning properly.
    https://www.cnet.com/tech/services-and-software/vpn-test-is-my-vpn-working/

    Reply
  17. Tomi Engdahl says:

    Glove Stealer Malware Bypasses Chrome’s App-Bound Encryption
    https://www.securityweek.com/glove-stealer-malware-bypasses-chromes-app-bound-encryption/

    The Glove Stealer malware leverages a recently disclosed App-Bound encryption bypass method in attacks.

    Reply
  18. Tomi Engdahl says:

    In Other News: TSA Wants New Cyber Rules, Scam Call Detection in Android, SIM Swappers Arrested
    https://www.securityweek.com/in-other-news-tsa-wants-new-cyber-rules-scam-call-detection-in-android-sim-swappers-arrested/

    Noteworthy stories that might have slipped under the radar: TSA proposes new cyber rules for pipelines and railroads, Google adds scam call detection to Android, SIM swappers arrested in US.

    Reply
  19. Tomi Engdahl says:

    Known Brand, Government Domains Hijacked via Sitting Ducks Attacks
    https://www.securityweek.com/known-brand-government-domains-hijacked-via-sitting-ducks-attacks/

    Threat actors have hijacked over 70,000 domains, including known brands and government entities, because of failed domain ownership verification.

    Tens of thousands of domains, including those of well-known brands, non-profits, and government entities, have been hijacked over the past five years because DNS providers failed to properly verify domain ownership, cybersecurity firm Infoblox reports.

    The issue was initially disclosed in late July, when Eclypsium and Infoblox said that roughly 35,000 domains had been hijacked since 2018 by abusing the weakness as part of so-called Sitting Ducks attacks.

    https://www.securityweek.com/over-35k-domains-hijacked-in-sitting-ducks-attacks/

    Reply
  20. Tomi Engdahl says:

    Ahold Delhaize Cybersecurity Incident Impacts Giant Food, Hannaford
    https://www.securityweek.com/ahold-delhaize-cybersecurity-incident-impacts-giant-food-hannaford/

    Cybersecurity incident impacts Giant Food, Hannaford, and other Ahold Delhaize USA brands, including pharmacies and e-commerce services.

    Several US pharmacies and supermarket chains owned by Dutch food giant Ahold Delhaize have been affected by a cybersecurity incident disclosed on Friday.

    Giant Food pharmacies and Hannaford supermarkets are among the impacted brands that have reported network issues as result of the incident, but other brands might be affected as well.

    One of the largest food retailers in the world, Ahold Delhaize operates several supermarkets and ecommerce sites in the US, including Food Lion, Giant Food, Hannaford, Stop & Shop, and The Giant Company.

    As of Tuesday, Hannaford’s ecommerce portal remains unavailable, citing technical issues with its servers. The websites of Food Lion, Giant Food, The Giant Company, and Stop & Shop remain available, with all mirroring an incident notice from Ahold Delhaize USA.

    Reply
  21. Tomi Engdahl says:

    Ax Sharma / BleepingComputer:
    Some GitHub projects have been targeted with malicious commits; a Texas researcher claims someone is impersonating him to make the submissions and smear him

    https://www.bleepingcomputer.com/news/security/github-projects-targeted-with-malicious-commits-to-frame-researcher/

    Reply
  22. Tomi Engdahl says:

    Morgan Meaker / Wired:
    A profile of and an interview with Aura Salla, a former Meta lobbyist turned EU Parliament member, who says the EU’s Big Tech regulation went too far, too fast

    https://www.wired.com/story/meta-lobbyist-eu-regulator-big-tech-rules-too-far/

    Reply
  23. Tomi Engdahl says:

    Tietoliikennekaapeli katkesi – Nyt kommentoivat Elisa ja Telia
    Cinian merikaapelin katkeamisella ei ole toistaiseksi vaikutuksia teleoperaattoreiden toimintaan.
    https://www.iltalehti.fi/kotimaa/a/68514586-3a7f-43af-b233-0a60a65a68d2

    Suomen ja Saksan välinen Cinia Oy:n merikaapeli on katkennut. Kyseinen C-Lion1-merikaapeli on Suomen ja Saksan välillä kulkeva tietoliikenteen merikaapeli.

    Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus sai tiedon häiriöstä Cinialta maanantaiaamuna. Yhtiö ja viranomaiset selvittävät asiaa yhteistyössä.

    Merikaapelin yhteyksiä käyttävät suomalaiset teleoperaattorit Elisa ja Telia.

    Kaapelin katkeaminen ei ole vaikuttanut Elisan tai Telian yhteyksiin. Telian viestinnänasiantuntija Timo Saxén kertoo, että yhteydet toimivat normaalisti.

    – Seuraamme tilannetta. Nyt tällä ei ole ollut liikenteeseemme vaikutusta, eikä tämä aiheuta akuuttia toimintaa meidän päässä, Saxén kertoo.

    – Ulkomaan yhteydet on lähtökohtaisesti mitoitettu ja rakennettu niin, että ne kestävät poikkeustilanteen, Wallenius kertoo.

    Yksi osuus Elisan verkosta kulkee Walleniuksen mukaan Cinian kautta. Toistaiseksi tilanne ei aiheuta toimia.

    – Tämä on Cinian omistama kaapeli. Yhtiö vastaa siitä ja luotamme siihen, että Cinia tekee tarvittavat toimet ja saa kaapelin kuntoon.

    Reply
  24. Tomi Engdahl says:

    Traficom Ylelle: Suomen ja Saksan välinen merikaapeli on katkennut – tietoliikenne­yhteydet ovat poikki
    Vika huomattiin Cinian mukaan kello neljän jälkeen maanantaina aamulla.
    https://yle.fi/a/74-20125324

    Suomen ja Saksan välillä kulkeva Cinia Oy:n C-Lion1-merikaapeli on katkennut.

    Valokuituverkkoja rakentavan ja tietoliikennepalveluita toimittavan valtionyhtiö Cinian tiedotteen mukaan kaapelissa havaittiin vikatilanne kello neljän jälkeen maanantaina aamulla. Merikaapelissa kulkevat tietoliikenneyhteydet ovat poikki.

    Kaapelin katkeamisen vahvistaa Ylelle johtaja Samuli Bergström Traficomin Kyberturvallisuuskeskuksesta.

    – Syitä parhaillaan selvitetään. Häiriöitä voi olla aika ajoin ja syitä voi olla useita, ne ovat esimerkiksi alttiita säälle ja merenkulun aiheuttamille vahingoille. Oleellista on, että ongelmat on havaittu ja korjaaviin toimenpiteisiin ryhdytään, hän kertoo.

    Vikatilanne Suomen ja Saksan välisessä C-Lion-1-merikaapelissa
    https://www.cinia.fi/uutiset/vikatilanne-suomen-ja-saksan-valisessa-c-lion1-merikaapelissa

    Suomen ja Saksan välisessä Cinia Oy:n C-Lion1 merikaapelissa on havaittu vikatilanne 18.11.2024. Vian seurauksena C-Lion1-merikaapelissa kulkevat tietoliikenneyhteydet ovat poikki. Vian syy ei ole vielä tiedossa ja sitä selvitetään parhaillaan. Lisätietoja tilanteesta päivitetään viimeistään tiistaina 19.11.2024.

    Reply
  25. Tomi Engdahl says:

    Kaapelin katkeaminen on luultavammin tihutyö kuin vahinko, sanoo asiantuntija
    Professorin mukaan yhden kaapelin katkeamisen seuraus ei välttämättä ole vielä iso.
    https://yle.fi/a/74-20125351

    Suomen ja Saksan välisen C-Lion1-merikaapelin katkeaminen on todennäköisemmin tahallinen teko kuin vahinko.

    Näin arvioi Ylelle Jyväskylän yliopiston kyberturvallisuuden työelämäprofessori Tapio Frantti.

    – Jos tätä todennäköisyyden kannalta katsoo, niin kyllä tämä tahallisuuden puolelle menee, Frantti sanoo.

    Frantti arvioi asiaa ensimmäisten mediatietojen varassa.

    Tietoliikennekaapeli on ohutta kelalta merenpohjaan laskettavaa kaapelia. Sellainen voisi rikkoutua vahingossa esimerkiksi kalastuksessa tai ankkurin repimänä, mutta tällaiset vahingot tulevat yleensä nopeasti tietoon.

    – Herättää epäilyksiä, kun kaapeli menee poikki, että miksi niin on tapahtunut. Äkkiä se kääntyy siihen suuntaan, kenellä voisi olla motiivi tehdä tällaista, Frantti jatkaa.

    Frantti arvioi, että tapauksen selvittäminen voi olla vaikeaa.

    Yksittäinen katkeaminen ei lamauta Suomea

    Frantin mukaan yksittäisen kaapelin katkeaminen ei vielä merkitse vakavaa haittaa. Tavallinen netinkäyttäjä ei välttämättä huomaa koko asiaa kuin isompina viiveinä.

    - Internet on rakennettu niin, että liikennettä voidaan kierrättää muuta kautta, Frantti sanoo.

    Suomi on kytkeytynyt muihin maihin useilla muillakin tietoliikennekaapeleilla. Niitä menee muun muassa Ruotsiin ja Viroon.

    C-Lion1:n kapasiteetti on 144 teratavua sekunnissa.

    Kaapelin katkeaminen vie siis niin paljon kapasiteetia pois pelistä. Mutta muut kaapelit eivät Frantin mukaan ole ”täynnä” kuin yleensä hetkellisesti, eli niihin voidaan ajaa lisää liikennettä.

    Reply
  26. Tomi Engdahl says:

    300 Drinking Water Systems in US Exposed to Disruptive, Damaging Hacker Attacks
    https://www.securityweek.com/300-drinking-water-systems-in-us-exposed-to-disruptive-damaging-hacker-attacks/

    EPA flags security vulnerabilities in more than 300 drinking water systems that serve roughly 110 million individuals.

    Over 300 drinking water systems that serve roughly 110 million people in the US are affected by vulnerabilities that could lead to service disruptions, a new report from the Environmental Protection Agency (EPA)’s Office of Inspector General (OIG) shows.

    A passive assessment of security defects in 1,062 drinking water systems that serve over 193 million individuals has revealed that a quarter of them could potentially fall victim to attacks leading to functionality loss, denial-of-service (DoS) conditions, and customer information compromise.

    The assessment covered five cybersecurity categories, namely email security, IT hygiene, vulnerabilities, adversarial threat, and malicious activity, and rated the identified weaknesses with critical to low scores, based on their potential impact.

    As of October 2024, 97 of the assessed water systems, which serve approximately 27 million individuals, contained critical and high-severity issues, OIG’s report (PDF) shows.

    An additional 211 drinking water systems, covering roughly 83 million people, were found to be impacted by medium and low-severity weaknesses, by having externally visible open portals.

    “If malicious actors exploited the cybersecurity vulnerabilities we identified in our passive assessment, they could disrupt service or cause irreparable physical damage to drinking water infrastructure,” OIG says.

    Reply
  27. Tomi Engdahl says:

    Tämä tiedetään Suomen ja Saksan katkenneesta kaapelista
    https://www.is.fi/kotimaa/art-2000010842546.html

    Reply
  28. Tomi Engdahl says:

    Telecoms cable break reported between Finland and Germany
    All telecommunications running on the submarine cable have been cut off. A cybersecurity expert tells Yle that the cable break is likely to be intentional.
    https://yle.fi/a/74-20125339

    Reply
  29. Tomi Engdahl says:

    Mystery fault takes undersea internet cable between Germany and Finland out of service. Undersea cable between Lithuania and Sweden is also damaged.

    The failures come weeks after the United States warned that it had detected increased Russian military activity around key undersea cables.

    All telecommunications running on the submarine cable between Finland and Germany have been cut off. A cybersecurity expert tells Yle that the cable break is likely to be intentional. The nearly 1,200-kilometre-long cable is the only direct link of its kind between Finland and Central Europe. There are other cable routes through other countries.

    Telia transmits the internet connection to Lithuania through three cables, which means that the internet bandwidth was reduced by one-third due to the incident.

    https://edition.cnn.com/2024/11/18/europe/undersea-cable-disrupted-germany-finland-intl/index.html
    https://yle.fi/a/74-20125339
    https://www.lrt.lt/en/news-in-english/19/2416006/undersea-cable-between-lithuania-and-sweden-damaged-telia
    https://www.reddit.com/r/worldnews/comments/1guazvp/undersea_cable_between_lithuania_and_sweden/?rdt=32951

    Reply
  30. Tomi Engdahl says:

    VMware Discloses Exploitation of Hard-to-Fix vCenter Server Flaw

    The saga of VMWare’s critical CVE-2024-38812 vCenter Server bug has reached the “exploitation detected” stage.

    https://www.securityweek.com/vmware-discloses-exploitation-of-hard-to-fix-vcenter-server-flaw/

    Reply
  31. Tomi Engdahl says:

    Why Custom IOCs Are Necessary for Advanced Threat Hunting and Detection

    The ability to internalize and operationalize customized threat intelligence as part of a holistic security system is no longer a luxury; it’s a necessity.

    https://www.securityweek.com/why-custom-iocs-are-necessary-for-advanced-threat-hunting-and-detection/

    Reply
  32. Tomi Engdahl says:

    Discontinued GeoVision Products Targeted in Botnet Attacks via Zero-Day

    A zero-day vulnerability affecting five discontinued GeoVision product models has been exploited by a botnet.

    https://www.securityweek.com/discontinued-geovision-products-targeted-in-botnet-attacks-via-zero-day/

    Discontinued GeoVision video surveillance products are falling victim to botnet attacks targeting a newly discovered zero-day vulnerability, The Shadowserver Foundation warns.

    The issue, tracked as CVE-2024-11120 (CVSS score of 9.8), is described as an OS command injection flaw that can be exploited remotely, without authentication.

    “Unauthenticated remote attackers can exploit this vulnerability to inject and execute arbitrary system commands on the device,” a NIST advisory reads.

    Reply
  33. Tomi Engdahl says:

    Windows Zero-Day Exploited by Russia Triggered With File Drag-and-Drop, Delete Actions
    https://www.securityweek.com/windows-zero-day-exploited-by-russia-triggered-with-file-drag-and-drop-delete-actions/

    The exploit for a new zero-day vulnerability in Windows is executed by deleting files, drag-and-dropping them, or right clicking on them.

    A newly patched zero-day vulnerability in Windows can be exploited with minimal interaction from the user, such as deleting a file or right-clicking on it, cybersecurity firm ClearSky warns.

    Tracked as CVE-2024-43451, the zero-day is a medium-severity flaw that impacts the MSHTM engine, which continues to be used through WebBrowser control by Edge in Internet Explorer mode and other applications, exposing them to any security defects plaguing the component.

    Successful exploitation of CVE-2024-43451 allows threat actors to steal a victim’s NTLMv2 hash and then use it to authenticate as the targeted user by performing pass-the-hash attacks.

    “Minimal interaction with a malicious file by a user such as selecting (single-click), inspecting (right-click), or performing an action other than opening or executing could trigger this vulnerability,” Microsoft noted in a November 12 advisory.

    According to ClearSky, which identified the flaw and reported it to Microsoft in June 2024, seemingly innocuous actions that could trigger an exploit hidden in a URL file include deleting the file and drag-and-dropping the file to another folder.

    ClearSky observed CVE-2024-43451 being exploited in the wild by a suspected Russian threat actor in attacks targeting Ukrainian entities.

    The victims would receive phishing emails originating from a compromised Ukrainian government server that prompted them to renew their academic certificates. The emails directed the victims to malicious ZIP files downloaded from the official government site.

    The archive contained two files – a PDF document and a URL file – that would target two known vulnerabilities, namely CVE-2023-320462 and CVE-2023-360251. The URL, which directs to an external server to fetch two executables, was also designed to exploit the newly disclosed zero-day.

    “When the user interacts with the URL file by right-clicking, deleting, or moving it, the vulnerability is triggered. This action establishes a connection with the attacker’s server and downloads further malicious files, including SparkRAT malware,” ClearSky explains in a technical report (PDF).

    Reply
  34. Tomi Engdahl says:

    CNN:
    Two Baltic Sea internet cables, connecting Lithuania with Sweden and Finland with Germany, were suddenly disrupted, sparking concerns of Russian sabotage — Two undersea internet cables in the Baltic Sea have been suddenly disrupted, according to local telecommunications companies …

    Two undersea cables in Baltic Sea disrupted, sparking warnings of possible ‘hybrid warfare’
    https://edition.cnn.com/2024/11/18/europe/undersea-cable-disrupted-germany-finland-intl/

    Two undersea internet cables in the Baltic Sea have been suddenly disrupted, according to local telecommunications companies, amid fresh warnings of possible Russian interference with global undersea infrastructure.

    A communications cable between Lithuania and Sweden was cut on Sunday morning around 10:00 a.m. local time, a spokesperson from telecommunications company Telia Lithuania confirmed to CNN.

    Another cable linking Finland and Germany was also disrupted, according to Cinia, the state-controlled Finnish company that runs the link. The C-Lion cable – the only direct connection of its kind between Finland and Central Europe – spans nearly 1,200 kilometers (730 miles), alongside other key pieces of infrastructure, including gas pipelines and power cables.

    The area that was disrupted along the Finnish-German cable is roughly 60 to 65 miles away from the Lithuanian-Swedish cable that was cut, a CNN analysis of the undersea routes shows.

    Fears of undersea sabotage

    The incidents come just weeks after the United States warned that it had detected increased Russian military activity around key undersea cables. Two US officials told CNN in September that the US believed Russia was now more likely to carry out potential sabotage operations on these critical pieces of infrastructure.

    The warning came after a joint investigation by the public broadcasters of Sweden, Denmark, Norway and Finland, which reported in April 2023 that Russia had a fleet of suspected spy ships operating in Nordic waters as part of a program of potential sabotage of underwater cables and wind farms in the region.

    Reply
  35. Tomi Engdahl says:

    NBC News:
    The US Library of Congress says hackers accessed some email communications between congressional offices and library staff between January and September 2024 — The Library of Congress didn’t specify who was behind the hack. — The Library of Congress said hackers broke into its communications systems …

    https://www.nbcnews.com/tech/security/library-congress-says-hackers-accessed-emails-lawmakers-offices-rcna180662

    Reply
  36. Tomi Engdahl says:

    Tämä Itämeren kaapelirikoista tiedetään nyt
    Kaksi merikaapelia on katkennut Itämerellä sunnuntain jälkeen.

    https://www.iltalehti.fi/ulkomaat/a/4403c6bf-41ce-42b9-a2cc-b759d5d4aaa4

    Reply
  37. Tomi Engdahl says:

    Suomalaistutkija heitti jo perjantaina ilmoille epäilyn Venäjän suunnitelmista – kommentoi nyt kaapelien katkeamista

    Pekka Kallioniemi huomauttaa, että Kremlistä annettiin viikko sitten erikoinen lausunto merenalaisista kaapeleista.

    https://www.is.fi/ulkomaat/art-2000010842770.html

    Tampereen yliopiston tutkijatohtori Pekka Kallioniemi kirjoitti perjantaina X:ssä uskovansa, että Kreml valmistautuu toteuttamaan massiivisia sabotaasioperaatioita vedenalaisiin internetkaapeleihin.

    Maanantaina uutisoitiin, että sekä Suomen ja Saksan että Liettuan ja Ruotsin väliset tietoliikennekaapelit ovat menneet rikki. Syitä niiden hajoamiseen ei tiedetä.

    – On ollut vain ajan kysymys, kunnes näitä operaatioita alkaa tulla. Venäjä on jo pitkään kartoittanut kriittistä infrastruktuuria vesistöillä. En ole missään nimessä yllättynyt, Kallioniemi sanoo nyt.

    Hän uskoo kaapeleiden katkeamisen kytkeytyvän jollain tavalla Venäjän toimintaan.

    Patrushev syytti noin viikko sitten Yhdysvaltoja ja Britanniaa siitä, että ne aikovat sabotoida vedenalaisia internetkaapeleita ja suunnitella merellisen energiakaupan horjuttamista.

    Kallioniemen mukaan Kreml saattaisi hyvinkin antaa tällaisen viestin, jos se itse suunnittelisi vastaavia toimia.

    – Epäilyttävää vähintäänkin siinä mielessä, että nyt ilmeni tällaista, Kallioniemi toteaa.

    Jos Venäjä olisi kaapelien hajottamisen takana, se voisi mahdollisesti olla reaktio uutisiin siitä, että Ukraina saisi käyttää pitkän kantaman ohjuksia Venäjän puolelle iskemiseen.

    – Toisaalta tällaisten operaatioiden suunnittelu vaatii yleensä aikaa. Voi olla, että tämä on ihan vain perinteistä hybridisodankäyntiä.

    Reply
  38. Tomi Engdahl says:

    Suomen ja Saksan ulkoministereiltä yhteislausunto: ”Kertoo paljon aikamme epävakaudesta”

    Yle kertoo tuoreimmat tiedot aiheesta tässä artikkelissa.

    https://yle.fi/a/74-20125395

    Helsingin Santahaminan ja Saksan Rostockin välillä kulkeva C-Lion1-merikaapeli on katkennut ja sen tietoliikenneyhteydet ovat poikki.
    Myös Liettuan ja Ruotsin välinen tietoliikennekaapeli on vaurioitunut.
    Sabotaasista ei toistaiseksi ole tietoa.
    Valokuituverkkoja rakentava ja tietoliikennepalveluita toimittava valtionyhtiö Cinia järjesti Suomen-kaapelin osalta tiedotustilaisuuden maanantaina. Yhtiön mukaan tämänkaltaiset katkokset eivät synny ilman ulkoista vaikutusta.

    Yhdysvallat varoitti hiljattain, että Venäjän sotilasyksikkö saattaa katkoa kaapeleita

    Yhdysvaltalaiset viranomaiset varoittivat syyskuussa uutiskanava CNN:n mukaan, että Venäjä saattaisi alkaa sabotoida Yhdysvaltain ja sen liittolaisten merenalaisia kaapeleita.

    Reply

Leave a Reply to Tomi Engdahl Cancel reply

Your email address will not be published. Required fields are marked *

*

*