Cybersäkerhetscentrets veckoöversikt – 19/2024

I denna veckas översikt behandlas följande

• Vi tog bort den allvarliga varningen om den kritiska sårbarheten hos Palo Alto
• Skadeprogrammet Mirai är svårt att bli av med
• Cybersäkerhetscentrets fallidentifikationer förnyades
• Aktuella bedrägerier

Vi tog bort den allvarliga varningen om den kritiska sårbarheten hos Palo Alto

I april riktades ett allvarligt hot mot organisationer som använder produkten Palo Alto GlobalProtect. Man hade upptäckt en kritisk sårbarhet hos produkten, vilket utnyttjades aktivt redan innan de korrigerande uppdateringarna publicerades. Vi publicerade ett sårbarhetsmeddelande om ämnet och strax därefter fick vi in de första anmälningarna om dataintrång.

Efter att vi tagit emot de första anmälningarna om dataintrång bedömde vi situationen som allvarlig i Finland och beslutade att publicera en allvarlig varning om sårbarheten den 18 april 2024. Sårbarheten hade märkbara effekter och krävde att en uppdatering och undersökning av enheter. Syftet med varningen var att informera inhemska organisationer om att de snabbt bör vidta åtgärder för sina Palo Alto-enheter.

Allt som allt tog Cybersäkerhetscentret emot cirka 15 anmälningar om incidenter rörande Palo Alto-enheter. Några allvarligare dataintrångsfall har inte framkommit. Hotet mot organisationerna försvann efter att enheterna uppdaterades och vi har inte fått in några nya anmälningar på två veckor, så vi beslutade att ta bort varningen den 7 maj 2024.

Varningen om sårbarheten hos Palo Alto-produkterna publicerades baserat på anmälningar från organisationer. Det är viktigt att Cybersäkerhetscentret får in anmälningar även i fortsättningen och vi hoppas att man kontaktar Cybersäkerhetscentret med låg tröskel. Informationen i anmälningarna kan användas för att förebygga informationssäkerhetsincidenter även i andra organisationer. Våra lägesbildsprodukter och informationen som vi förmedlar vidare är till stor del beroende av anmälningarna som vi får in, så även en enskild anmälan kan få en viktig roll.

Läs mer:

• Kritisk sårbarhet hos Palo Altos GlobalProtect-produkt (på finska)
• Dataintrång i Palo Alto GlobalProtect-produkter – förutsätter omedelbara åtgärder
• Varningen avseende Palo Alto GlobalProtect-produkter har tagits bort (på finska)
• Varför är det viktigt att utreda en informationssäkerhetsincident och varför bör man anmäla saken till myndigheterna? (på finska)

Skadeprogrammet Mirai är svårt att bli av med

Skadeprogrammet Mirai riktar sig till smarta enheter på nätet (sakernas internet, dvs IoT-enheter) och är ett av de fenomen som har påverkat och fortfarande påverkar cybersäkerheten mest de senaste årtiondena. Mirais programkod är allmänt tillgänglig och cyberbrottslingarna uppdaterar och kopierar den ständigt till nya varianter. Det har visat sig vara svårt att bekämpa och städa upp Mirai-smittor speciellt av kulturella skäl: man ser det lätt som ”någon annans problem”. Mirai kommer alltså sannolikt att fortsätta att ställa till besvär under en lång tid, skriver specialsakkunnig Perttu Halonen i bloggtexten ”Framtiden heter Mirai (Extern länk)” som vi publicerade nyligen. 

Att bekämpa skadeprogram och botnät som baseras på Mirai har visat sig vara ett eländigt problem. Det finns enormt många sårbara enheter på internet och de har nästan lika många ägare, allt från hushåll till storföretag. Man börjar ofta använda smarta enheter utan att tänka alls på att skydda dem eller hur länge de håller, och även om användaren är intresserad av att skydda sin enhet kräver varje enhet olika åtgärder, vilket utgör en utmaning både i fråga om kunskaper och tid. Användarna har svårt att själva se om en enhet har blivit smittad. De kännbara effekterna av en smitta riktas ofta till tredje parter till exempel i form av en denial of service-attack, dvs. vägran att tillhandahålla tjänster, som gjorts med den smittad enheten, vilket ägaren till den smittade enheten ofta tycker är ”någon annans problem”.

En hållbar bekämpning av Mirai skulle kräva att en stor grupp aktörer runt om i världen tog gemensamt ansvar. I Finland fungerar det ganska bra tack vare en lagstiftning som uppmuntrar till att reagera på skadlig datatrafik och ett bra samarbete mellan Traficom och teleföretagen.

Specialsakkunnig Halonen har listat åtgärder som var och en kan vidta för att gå med i den gemensamma kampen för att få bort förutsättningarna för Mirai att fungera och samtidigt många andra skadeprogram:

1. Kräv att försäljarna av smarta enheter informerar om hur länge programmet i enheten stöds och hur du uppdaterar programmet.
2. Följ enheternas bruksanvisning.
3. Byt ut enheternas standardlösenord till egna lösenord. Använd olika lösenord för varje enhet och användarkonto.
4. Kolla statusen för varje enhet regelbundet (till exempel en gång i månaden samtidigt som du kollar brandvarnarna). Installera alltid uppdateringar när de är tillgängliga. Om möjligt, ställ in uppdateringarna så att de installeras automatiskt.
5. Välj i första hand molntjänster för att dela innehåll utanför ditt hem i stället för att öppna upp ditt hemmanätverk så att det blir synligt på internet.
6. Ta enheten ur bruk senast när stödet för programmet i den upphör.

Cybersäkerhetscentrets fallidentifikationer förnyades

Identifikationen [FICORA #1234567] som tidigare användes i rubrikfältet i våra e-postmeddelanden har bytt form till [NCSC-FI #1234]. Observera det ändrade identifikationsformatet för de automatiska hanteringsregler som läser identifikationerna. Ändringen trädde i kraft för nya fall den 7 maj 2024.

Mer information får du genom att skicka ett e-postmeddelande till kyberturvallisuuskeskus@traficom.fi.

Aktuella bedrägerier

I den här sammanfattningen berättar vi om aktuella bedrägerier som har rapporterats till Cybersäkerhetscentret under den senaste veckan.