A kiberfenyegetések növekvő áradata és a kibervédelem fontossága
2024.03.15
Cyberfenyegetések növekvő ütemben terjednek és az előttünk álló év tele van a választási év miatt előre jelzett kibertámadásokkal és incidensekkel. Több mint 50 országban lesz szavazás.
Az új fenyegetések, mint az AI és a deepfake technológia miatt, magasabb a tétje az erős kibervédelem kialakításának, mint valaha.
Az emberi kockázatok, az összes kibertámadás 74%-át okozzák, beleértve a hibákat, az ellopott hitelesítő adatokat, a hozzáférési jogosultságokkal való visszaélést vagy a social engineeringet. Különösen nagy aggodalomra ad okot bizonyos szektorokban, mint például a közszférában, ahol a válaszadók 87%-a aggódik amiatt, hogy az alkalmazottak email és közösségi média hibái károsíthatják intézményüket. Ennek ellenére csak valamivel több, mint a válaszadók fele mondja, hogy szervezetük havonta vagy folyamatosan biztosít kiberbiztonsági tudatossági képzést, és ez enyhén csökkent a 2023-as évhez képest (52% szemben a 54%-kal).
Az IT csapatok proaktívan lépnek fel a védelmi stratégiáik fokozásával, különösen, mivel az AI új kihívásokat vet fel. Az AI megjelenése felgyorsítja a phishing és a zsarolóvírusok terjedését, megkönnyítve a fenyegető szereplők számára a sikeres támadások végrehajtását. A válaszadók 80%-a aggódik az AI által jelentett új fenyegetések miatt, és 67%-uk szerint az AI-vezérelte támadások hamarosan hétköznapivá válnak. Ahogy a cégek felkészülnek az új fenyegetésekre, a kiberkockázatokat egyre inkább üzleti problémának tekintik, nem csak IT problémának.
Az email marad a kiberfenyegetések, mint a phishing, a spoofing és a zsarolóvírusok elsődleges támadási vektora.
Az adatszivárgások költségei az egekbe szöknek. Világszerte az adatszivárgások átlagos költsége most 4,45 millió dollár, három év alatt 15%-kal nőtt. Az amerikai cégek esetében az átlag több mint kétszerese, 9,48 millió dollár adatszivárgásonként. Globálisan, 2023-ban, az ellopott elektronikus rekordok száma majdnem elérte a 6 milliárdot. A probléma részben az erőforrások hiányában rejlik.
Pozitív fejleményként, a válaszadók 97%-a mondja, hogy igazgatótanácsaik és felső vezetőik támogatják kiberbiztonsági erőfeszítéseiket, és 57%-uk magas szintű támogatásról számol be. Ugyanakkor sok válaszadó úgy érzi, erőfeszítéseiket aláássa az elégtelen költségvetés és azok felhasználásának korlátozásai.
Kilencből tíz cégnek most van formális kiberbiztonsági stratégiája, és ezeknek 96%-a egyetért abban, hogy ez megerősítette képességüket embereik, folyamataik és technológiáik védelmében. „Az új eszközök és technológiák, mint az AI és a deepfake, megváltoztatja a fenyegető szereplők működési módját; de az emberek maradnak a legnagyobb akadálya a cégek kiberfenyegetésektől való védelmének,” mondta Marc van Zadelhoff, a Mimecast vezérigazgatója. „A kiberbiztonsági és IT csapatoknak szorosabban kell együttműködniük a szélesebb üzleti vezetőkkel az emberi kockázat megértésének prioritásaként. A megfelelő eszközökkel és oktatással a cégek jobban védhetik magukat a fenyegetésekkel szemben és kezelhetik az emberi kockázatot.”
Az Egyesült Államok betiltja a Kaspersky antivírus szoftverét biztonsági aggályok miatt
2024.06.24
A Kereskedelmi Minisztérium Ipari és Biztonsági Hivatala (BIS) végleges határozatot hozott, amely megtiltja a Kaspersky Lab, Inc.-nek, egy oroszországi székhelyű vírusirtó szoftverrel és kiberbiztonsági vállalat amerikai leányvállalatának, hogy közvetlenül vagy közvetve vírusirtó szoftvert és kiberbiztonsági szolgáltatásokat nyújtson. Az első ilyen jellegű végső határozat, amelyet az Információs és Kommunikációs Technológiai és Szolgáltatások Hivatala (OICTS) adott ki.
Az OICTS feladata annak kivizsgálása, hogy az Egyesült Államokban végrehajtott bizonyos információs és kommunikációs technológiai vagy szolgáltatási tranzakciók túlzott vagy elfogadhatatlan nemzetbiztonsági kockázatot jelentenek-e. A Kaspersky innentől kezdve nem adhatja el szoftvereit az Egyesült Államokban, és nem nyújthat frissítéseket a már használatban lévő szoftverekhez.
Ezen intézkedés mellett a BIS három további szervezetet is felvett az Entity Listre: AO Kaspersky Lab és OOO Kaspersky Group (Oroszország), valamint a Kaspersky Labs Limited (Egyesült Királyság). Ezek az entitások együttműködtek az orosz katonai és hírszerzési hatóságokkal, támogatva az orosz kormány kiberhírszerzési céljait.
Az Egyesült Államok kormányzata hosszú és alapos vizsgálat után arra a következtetésre jutott, hogy a vállalat által folytatott tevékenység nemzetbiztonsági kockázatot jelent az orosz kormány támadó kiberképességei és a Kaspersky működésének befolyásolási lehetősége miatt. A vizsgálat eredménye alapján a Kaspersky nem folytathatja tevékenységét az Egyesült Államokban.
Azoknak az egyéneknek és vállalkozásoknak, akik Kaspersky szoftvert használnak, sürgősen át kell állniuk új beszállítókra, hogy minimalizálják a személyes vagy más érzékeny adatok rosszindulatú szereplők általi kihasználásának kockázatát. A Kaspersky továbbra is nyújthat bizonyos szolgáltatásokat, beleértve az antivírus aláírási frissítéseket és a kódfrissítéseket, 2024. szeptember 29-én 0:00 óráig keleti idő szerint (EDT).
Gina Raimondo kereskedelmi miniszter hangsúlyozta, hogy az Egyesült Államok elkötelezett a nemzetbiztonság védelme mellett, és minden eszközt felhasznál, hogy megvédje az amerikai népet és információkat. Alejandro N. Mayorkas belbiztonsági miniszter szerint az intézkedések létfontosságúak a nemzetbiztonság szempontjából és az amerikaiak személyes adatainak és magánéletének védelmében.
A Kaspersky több mint 400 millió felhasználó és 270 000 vállalati ügyfél számára nyújt kiberbiztonsági és antivírus termékeket és szolgáltatásokat világszerte. Az Egyesült Államok kormánya már korábban is tett lépéseket a Kaspersky ellen, beleértve egy 2017-es rendeletet, amely megkövetelte a szövetségi ügynökségektől a Kaspersky-termékek eltávolítását.
A Kereskedelmi Minisztérium, a Belbiztonsági Minisztérium és az Igazságügyi Minisztérium együttműködik az amerikai ügyfelekkel, hogy segítséget nyújtson a Kaspersky szoftver eltávolításában és az alternatív megoldások megtalálásában. További információk és nyilvánosan elérhető források az oicts.bis.gov/kaspersky weboldalon találhatók.
A kiberfenyegetések növekvő áradata és a kibervédelem fontossága
2024.03.15
Cyberfenyegetések növekvő ütemben terjednek és az előttünk álló év tele van a választási év miatt előre jelzett kibertámadásokkal és incidensekkel. Több mint 50 országban lesz szavazás.
Az új fenyegetések, mint az AI és a deepfake technológia miatt, magasabb a tétje az erős kibervédelem kialakításának, mint valaha.
Az emberi kockázatok, az összes kibertámadás 74%-át okozzák, beleértve a hibákat, az ellopott hitelesítő adatokat, a hozzáférési jogosultságokkal való visszaélést vagy a social engineeringet. Különösen nagy aggodalomra ad okot bizonyos szektorokban, mint például a közszférában, ahol a válaszadók 87%-a aggódik amiatt, hogy az alkalmazottak email és közösségi média hibái károsíthatják intézményüket. Ennek ellenére csak valamivel több, mint a válaszadók fele mondja, hogy szervezetük havonta vagy folyamatosan biztosít kiberbiztonsági tudatossági képzést, és ez enyhén csökkent a 2023-as évhez képest (52% szemben a 54%-kal).
Az IT csapatok proaktívan lépnek fel a védelmi stratégiáik fokozásával, különösen, mivel az AI új kihívásokat vet fel. Az AI megjelenése felgyorsítja a phishing és a zsarolóvírusok terjedését, megkönnyítve a fenyegető szereplők számára a sikeres támadások végrehajtását. A válaszadók 80%-a aggódik az AI által jelentett új fenyegetések miatt, és 67%-uk szerint az AI-vezérelte támadások hamarosan hétköznapivá válnak. Ahogy a cégek felkészülnek az új fenyegetésekre, a kiberkockázatokat egyre inkább üzleti problémának tekintik, nem csak IT problémának.
Az email marad a kiberfenyegetések, mint a phishing, a spoofing és a zsarolóvírusok elsődleges támadási vektora.
Az adatszivárgások költségei az egekbe szöknek. Világszerte az adatszivárgások átlagos költsége most 4,45 millió dollár, három év alatt 15%-kal nőtt. Az amerikai cégek esetében az átlag több mint kétszerese, 9,48 millió dollár adatszivárgásonként. Globálisan, 2023-ban, az ellopott elektronikus rekordok száma majdnem elérte a 6 milliárdot. A probléma részben az erőforrások hiányában rejlik.
Pozitív fejleményként, a válaszadók 97%-a mondja, hogy igazgatótanácsaik és felső vezetőik támogatják kiberbiztonsági erőfeszítéseiket, és 57%-uk magas szintű támogatásról számol be. Ugyanakkor sok válaszadó úgy érzi, erőfeszítéseiket aláássa az elégtelen költségvetés és azok felhasználásának korlátozásai.
Kilencből tíz cégnek most van formális kiberbiztonsági stratégiája, és ezeknek 96%-a egyetért abban, hogy ez megerősítette képességüket embereik, folyamataik és technológiáik védelmében. „Az új eszközök és technológiák, mint az AI és a deepfake, megváltoztatja a fenyegető szereplők működési módját; de az emberek maradnak a legnagyobb akadálya a cégek kiberfenyegetésektől való védelmének,” mondta Marc van Zadelhoff, a Mimecast vezérigazgatója. „A kiberbiztonsági és IT csapatoknak szorosabban kell együttműködniük a szélesebb üzleti vezetőkkel az emberi kockázat megértésének prioritásaként. A megfelelő eszközökkel és oktatással a cégek jobban védhetik magukat a fenyegetésekkel szemben és kezelhetik az emberi kockázatot.”
Francia Kormány Kibertámadásokkal Szemben
2024.03.12
A francia kormány hétfőn közölte, hogy szolgáltatásait "példátlan intenzitású" célzott kibertámadások érték, és egy különleges válságközpontot aktiváltak az online szolgáltatások helyreállítására.
Gabriel Attal miniszterelnök hivatala egy közleményben azt mondta, hogy a támadások vasárnap este kezdődtek és több kormányzati minisztériumot érintettek, részleteket azonban nem közöltek. Hétfő délutánra azt mondták, "a támadások hatása a legtöbb szolgáltatásra nézve csökkent, és a kormányzati oldalakhoz való hozzáférés helyreállt."
Egy olyan hackercsoport, amelyet kiberbiztonsági szakértők Oroszországot támogatónak tartanak, az Anonymous Sudan, online bejegyzésekben vállalta a felelősséget a támadásokért. A francia miniszterelnök hivatala és a digitális biztonsági ügynökség nem kívánta kommentálni az állítást, sem azt részletezni, hogy mely célpontokat támadták vagy milyen kárt okozhattak.
Egy francia tisztviselő szerint denial-of-service támadásokról volt szó, ami egy gyakori típusú kibertámadás, amely adatokkal árasztja el az oldalt annak érdekében, hogy túlterhelje és offline állapotba kényszerítse.
A francia kormány az utóbbi években, különösen a 2021-es kórházakat érintő káros zsarolóvírus-támadások után, és a nyári Párizsi Olimpia előtt, erőfeszítéseket tett a kiberbiztonság javítására.
A francia kormány Oroszországot vádolta azzal, hogy hosszú távú online manipulációs kampányt folytat Ukrajna nyugati támogatói ellen, többek között a Francia Külügyminisztérium weboldalának tükrözésével és más módszerekkel. Emmanuel Macron elnök egyre keményebb álláspontot képvisel Moszkvával és az ukrajnai háborúval szemben.
A Microsoftot hacker támadás érte
2024.03.11
A Microsoft pénteken nyilvánosságra hozta, hogy a Midnight Blizzard (más néven APT29 vagy Cozy Bear) néven ismert, Kreml által állítólag támogatott hackercsoportnak sikerült hozzáférnie egyes forráskód-tárházaihoz és belső rendszereihez, egy 2024 januárjában napvilágot látott hacket követően.
"Az elmúlt hetekben bizonyítékot találtunk arra, hogy a Midnight Blizzard a vállalati e-mail rendszereinkből eredetileg kiszivárgott információkat használja arra, hogy jogosulatlan hozzáférést szerezzen, vagy megpróbáljon szerezni" - közölte a technológiai óriás.
"Ez magában foglalta a vállalat egyes forráskód-tárhelyeihez és belső rendszereihez való hozzáférést. Eddig nem találtunk bizonyítékot arra, hogy a Microsoft által hosztolt, ügyfelekkel kapcsolatos rendszereket veszélybe sodorták volna"."
Redmond, amely továbbra is vizsgálja a betörés mértékét, azt nyilatkozta, hogy az orosz állam által támogatott, "fenyegető szereplő", megpróbálja kihasználni a különböző típusú titkokat, amelyeket talált, beleértve azokat is, amelyeket az ügyfelek és a Microsoft között e-mailben osztottak meg.
Azt azonban nem közölte, hogy melyek ezek a titkok, illetve a kompromittálódás mértékét, bár elmondta, hogy közvetlenül elérte az érintett ügyfeleket. Az nem világos, hogy milyen forráskódhoz fértek hozzá.
A Microsoft kijelentette, hogy növelte biztonsági beruházásait, és megjegyezte továbbá, hogy az "ellenfél" februárban akár tízszeresére is növelte támadásait, a januárban megfigyelt "már nagy volumenű" támadásokhoz képest.
"A Midnight Blizzard folyamatban lévő támadását a hackercsoport erőforrásainak tartós, jelentős lekötése, koordinációja és összpontosítása jellemzi" - áll a közleményben.
"Lehet, hogy a megszerzett információkat arra használja fel, hogy képet alkosson a támadandó területekről, és fokozza a támadásait. Ez tágabb értelemben véve, egy példátlan globális fenyegetés, különösen kifinomult támadások, a nemzetállamok ellen"."
A Microsoft feltörésére állítólag 2023 novemberében került sor, amikor a Midnight Blizzard egy password spray támadást alkalmazva sikeresen beszivárgott egy olyan régi, nem termelői, tesztüzemben használt bérlői fiókba, amely nem rendelkezett többfaktoros hitelesítéssel (MFA).
A technológiai óriás január végén felfedte, hogy az APT29 más szervezeteket is célba vett, kihasználva a kezdeti hozzáférési módszerek sokszínűségét, a lopott hitelesítő adatoktól kezdve az ellátási láncot érintő támadásokig.
A Cisco bejelentett egy Patchet a VPN hijacking bug-ra a Secure Client szoftverénél
2024.03.11
A Cisco javításokat adott ki egy jelentős súlyosságú biztonsági rés kezelésére, amely a Secure Client szoftverét érinti és amelyet egy támadó felhasználhatna egy célzott felhasználó VPN munkamenetének megnyitására.
A hálózati eszközöket gyártó vállalat a sebezhetőséget, amely a CVE-2024-20337 azonosító alatt van nyilvántartva (CVSS pontszám: 8.2), úgy írta le, hogy az lehetővé teszi egy hitelesítetlen, távoli támadó számára, hogy végrehajtson egy carriage return line feed (CRLF) injekciós támadást egy felhasználó ellen.
Ez a probléma a felhasználó által megadott bejelentkezés hanyag ellenőrzéséből ered, és egy hacker kihasználhatja a hibát egy felhasználó átverésére, azáltal hogy rákattint egy különlegesen előkészített linkre VPN munkamenet létesítése közben.
"Egy sikeres exploit lehetővé tenné a támadó számára, hogy tetszőleges szkriptkódot futtasson a böngészőben vagy hozzáférjen érzékeny, böngésző alapú információkhoz, beleértve egy érvényes SAML tokent," közölte a vállalat egy tanácsadói közleményben.
"A támadó ezután felhasználhatná ezt a tokent egy távoli hozzáférésű VPN munkamenet létrehozására az érintett felhasználó jogosultságaival.
A sebezhetőség a Secure Client Windows, Linux és macOS verzióit érinti, és a következő verziókban lett kezelve:
- 4.10.04065 előtt (nem érintett)
- 4.10.04065 és utána (javítva a 4.10.08025 verzióban)
- 5.0 (át kell térni egy javított kiadásra)
- 5.1 (javítva a 5.1.2.42 verzióban)
Az Amazon biztonsági kutatóját, Paulos Yibelo Mesfint ismerték el azzal, hogy felfedezte és jelentette a hibát, aki a The Hacker Newsnak nyilatkozva elmondta, hogy a hiányosság lehetővé teszi a támadók számára a helyi belső hálózatokhoz való hozzáférést, amikor egy célzott személy az ő ellenőrzésük alá tartozó weboldalra látogat.
A Cisco kiadott javításokat a CVE-2024-20338-ra is (CVSS pontszám: 7.3), egy másik jelentős súlyosságú hibára a Secure Client Linux verziójában, ami lehetővé tenné egy hitelesített, helyi támadó számára, hogy jogosultságokat szerezzen egy érintett eszközön. Ez a hiba a 5.1.2.42 verzióban lett orvosolva.
"Egy támadó kihasználhatja ezt a sebezhetőséget egy rosszindulatú könyvtárfájl másolásával egy meghatározott könyvtárba a fájlrendszeren belül, és rávehet egy adminisztrátort, hogy indítson újra egy meghatározott folyamatot," áll a közleményben. "Egy sikeres exploit lehetővé tenné a támadó számára, hogy tetszőleges kódot futtasson az érintett eszközön root jogosultságokkal."
"Egy sikeres exploit lehetővé tenné a támadó számára, hogy tetszőleges kódot futtasson az érintett eszközön root jogosultságokkal."
Kritikus Fortinet Fortios bug, 150.000 eszköz lehet érintett
2024.03.11
Kutatók figyelmeztetnek, hogy a Fortinet FortiOS rendszerében található kritikus sebezhetőség, a CVE-2024-21762 potenciálisan 150.000 nem frissített eszközt érinthet. Februárban a Fortinet figyelmeztetett, hogy a FortiOS SSL VPN-ben található kritikus távoli kódfuttatási sebezhetőség, a CVE-2024-21762 (CVSS pontszám 9.6) aktívan kihasználásra került a világban zajló támadásokban.
A biztonsági cég nem szolgált részletekkel az ezt a sebezhetőséget kihasználó támadásokról.
A probléma egy out-of-bounds írási sebezhetőség, amelyet speciálisan előkészített HTTP kérések küldésével lehet kihasználni a sebezhető eszközök ellen. A gyártó ajánlása az SSL VPN letiltása (a webmód letiltása NEM elfogadható átmeneti megoldás) átmeneti megoldásként vagy az eszközök frissítése.
"Egy out-of-bounds írási sebezhetőség [CWE-787] a FortiOS rendszerben lehetővé teheti egy távoli, hitelesítetlen támadó számára, hogy tetszőleges kódot vagy parancsot hajtson végre speciálisan előkészített HTTP kérésekkel."
"Átmeneti megoldás: az SSL VPN letiltása (a webmód letiltása NEM elfogadható átmeneti megoldás). Megjegyzés: Ez potenciálisan kihasználható a világban."
Az alábbi táblázat tartalmazza az érintett verziók listáját és azokat a verziókat, amelyek megoldják a problémát.
| Verzió | Érintett | Megoldás |
| FortiOS 7.6 | Nem érintett | Nem alkalmazható |
| FortiOS 7.4 | 7.4.0-tól 7.4.2-ig | Frissítés 7.4.3-ra vagy magasabbra |
| FortiOS 7.2 | 7.2.0-tól 7.2.6-ig | Frissítés 7.2.7-re vagy magasabbra |
| FortiOS 7.0 | 7.0.0-tól 7.0.13-ig | Frissítés 7.0.14-re vagy magasabbra |
| FortiOS 6.4 | 6.4.0-tól 6.4.14-ig | Frissítés 6.4.15-re vagy magasabbra |
| FortiOS 6.2 | 6.2.0-tól 6.2.15-ig | Frissítés 6.2.16-ra vagy magasabbra |
| FortiOS 6.0 | Az összes 6.0 verzió | Áttérés egy javított kiadásra |
Az Egyesült Államok Kiberbiztonsági és Infrastruktúra Biztonsági Ügynöksége (CISA) hozzáadta ezt a sebezhetőséget a Known Exploited Vulnerabilities (KEV) katalógusához.
Ezen a héten a Shadowserver Alapítvány kutatói bejelentették, hogy közel 150 000 eszköz még mindig potenciálisan érintett lehet.
A kutatók az internetet montorozzák az internetre csatlakoztatott Fortinet FortiOS és FortiProxy rendszerekkel kapcsolatban, amelyek sebezhetőek a CVE-2024-21762-vel szemben.
150 000 találat volt 2024. március 6-án.
A sebezhető eszközök többsége (2024. március 9-én) az Egyesült Államokban van (24 647), ezt követi India (7 713) és Brazília (4 934).
A GreyNoise kutatói szintén közzétettek egy érdekes elemzést a hibáról, "A Fortinet CVE-2024-21762 kutatása: Sebezhetőségek kutatása a detektálás mérnöki munkájához" címmel.
