Cybersäkerhetscentrets veckoöversikt – 44/2023
Den här veckan berättar vi om en bedrägerikampanj efter hyres- och vederlagspengar samt om en felkonfiguration som upptäckts på plattformen ServiceNow och som har utsatt organisationer för dataläckage. Andra teman är Cybersäkerhetscentrets temamånad med fokus på framtiden samt Taisto-övningen som ordnas av Myndigheten för digitalisering och befolkningsdata.
I denna veckas översikt behandlas följande
- En felaktig standardkonfiguration på plattformen ServiceNow möjliggör dataläckage
- Brottslingar försöker komma åt hyres- och vederlagspengar
- Den kommunikativa temamånaden i november blickar in i framtiden
- Cybersäkerhetscentret deltar i evenemanget Cyber Security Nordic
- Den årliga Taisto-övningen som ordnas av Myndigheten för digitalisering och befolkningsdata har börjat igen
- Temat för den europeiska cybersäkerhetsmånaden är social manipulation
En felaktig standardkonfiguration på plattformen ServiceNow möjliggör dataläckage
ServiceNow är en plattform som tillhandahålls som en tjänst och används till exempel för att hantera och behandla fall som rör tekniskt stöd och kundservice. Tjänsten kan anses vara ett av företagets mest kritiska system, eftersom den ofta ger åtkomst till konfidentiell information, såsom detaljer i informationssystem och personuppgifter.
För ungefär en vecka sedan meddelade ServiceNow på sin supportwebbplats att felaktiga konfigurationer på plattformen kan möjliggöra läckage av känslig information. Informationssäkerhetsluckan i fråga är ett kritiskt problem för organisationer som använder tjänsten, eftersom den kan leda till dataläckage av känslig företagsinformation. Cybersäkerhetscentret känner till fall där denna lucka i informationssäkerheten har utnyttjats.
Informationssäkerhetsluckan är relaterad till en felaktig standardkonfiguration av gränssnittskomponenter (widget) som används i tjänsten. Med gränssnittskomponenterna bygger man innehåll i portalen ServiceNow, såsom blanketter, listor och tabeller. ServiceNow tillhandahåller färdiga gränssnittskomponenter som användaren kan ändra enligt sina egna behov. En gränssnittskomponent består av HTML- och CSS-filer samt skript för servrar och användare.
För att begränsa effekterna ska organisationerna vidta åtminstone följande åtgärder:
- Steg 1
Gå igenom åtkomstkontrollistor (access contol list, ACL) som är tomma eller definierade som offentliga.
- Steg 2
Granska de offentliga gränssnittskomponenterna och deras behörigheter. Ta bort komponenter som är offentligt tillgängliga i onödan eller begränsa dem till intern användning.
- Steg 3
Överväg en striktare mekanism för åtkomsthantering, till exempel IP-adressbaserad åtkomst eller adaptiv autentisering (adaptive authentication).
- Steg 4
Överväg att börja använda tillägget ”Explicit Roles” i ServiceNow. Enligt ServiceNow blockerar tillägget externa användares åtkomst till intern data.
- Steg 5
Granska tecken på utnyttjande i Simple List – en lista över händelseloggar i gränssnittskomponenterna.
Brottslingar försöker komma åt hyres- och vederlagspengar
Cybersäkerhetscentret har fått flera anmälningar om ett bedrägeri där offret lockas att betala hyran eller vederlaget till ett nytt konto. I bedrägeriet som sprids via sms uppträder brottslingarna som ”Bostadsaktiebolaget” och påstår att det kontonummer som används för att betala hyran eller vederlaget har ändrats. Meddelandet är en bluff och man ska inte tro på det.
Brottslingarna som uppträder som ”bostadsaktiebolaget” i meddelandet uppmanar till att i fortsättningen betala hyran eller vederlaget till deras bluffkonto.
Det lönar sig inte att svara på misstänkta meddelanden, eftersom du genom att svara på meddelandet inleder en kommunikation med brottslingarna.
”Bedrägerimeddelandena som sprids via sms är av mycket allmän karaktär, för att så många som möjligt ska kunna tro att de berör just honom eller henne. De försöker få folk att ändra sina betalningsuppgifter snabbt och på så sätt betala in pengar på ett konto som innehas av brottslingarna. Det lönar sig alltid att kontrollera betalningsändringar i såväl hyran som vederlaget direkt med hyresvärden eller bostadsaktiebolaget,” konstaterar informationssäkerhetsexpert Samuli Könönen.
En mycket liknande bedrägerikampanj cirkulerade i mars i år. Även då skrev vi om ämnet i vår veckoöversikt 9/2023. I de dåvarande bedrägerimeddelandena talade man bara om hyran. Det verkar som om brottslingarna nu har strävat efter att utvidga sin potentiella offerskara även till dem som äger sin bostad.
Om du redan har hunnit överföra pengar till det kontonummer som anges i meddelandet, ska du utan dröjsmål kontakta din bank och göra en polisanmälan.
Den kommunikativa temamånaden i november blickar in i framtiden
I november riktar Cybersäkerhetscentrets sociala medier blicken mot informationssäkerhetens framtid. I videorna som publiceras varje vecka talar våra experter till exempel om artificiell intelligens och framtidens informationssäkra programvaruutveckling samt berättar om hurdant framtids- och prognostiseringsarbete som utförs vid Traficom.
Hur förändrar artificiell intelligens cybersäkerheten ur angriparnas och försvararnas perspektiv? Varför har finländska företag just nu en ypperlig möjlighet att göra programsäkerhet till en konkurrensfördel? Hur påverkar kvantdatorer dagens krypteringsalgoritmer? Följ våra sociala mediekanaler och håll dig uppdaterad om hur cybervärldens framtid ser ut.
Cybersäkerhetscentret deltar i evenemanget Cyber Security Nordic
Cybersäkerhetscentret vid Traficom, Försörjningsberedskapscentralen och Myndigheten för digitalisering och befolkningsdata deltar tillsammans i evenemanget Cyber Security Nordic i Mässcentret den 7–8 november 2023. Våra teman är informationssäkerhetens framtid, beredskap och artificiell intelligens. Du hittar oss i monter L1 a–c.
Den årliga Taisto-övningen som ordnas av Myndigheten för digitalisering och befolkningsdata har börjat igen
Den årliga Taisto-övningen som ordnas av Myndigheten för digitalisering och befolkningsdata för den sjätte gången har börjat igen Taisto är Finlands största övning i digital säkerhet. Den öppna och avgiftsfria Taisto har planerats speciellt för den offentliga sektorn, men även andra aktörer är välkomna. Taisto erbjuder en säker möjlighet att öva, testa och utveckla organisationens verksamhetsmodeller för digital säkerhet genom fiktiva störningssituationer. Taisto fokuserar i synnerhet på hantering, ledning och kommunikation av störningssituationer, och dess händelser återspeglar aktuella hot.
Temat för den europeiska cybersäkerhetsmånaden är social manipulation
De personer vi möter på internet kan vara något helt annat än vad de påstår. Personer och identiteter kan vara påhittade, modifierade med digitala metoder eller uppträda som en person du känner.
Temat för den europeiska informationssäkerhetsmånaden i år är social manipulation. Följ kampanjen på sociala medier med taggarna #BeSmarterThanAHacker och #CyberSecMonth. Du får bekanta dig med till exempel nätfiskemeddelanden och bedrägerier där man uppträder som en annan person. Europeiska informationssäkerhetsmånaden syns också på Cybersäkerhetscentrets webbplats och på sociala medier där vi delar tips och information på finska.
Sårbarheter
CVE: CVE-2023-22518
CVSS: 9.1
Vad: Kritisk sårbarhet i produkterna Atlassian Confluence
Produkt: Produkterna Atlassian Confluence Data Center och Server
Korrigering: Installera korrigerande programuppdatering
Sårbarhetsmeddelande (på finska)
CVE: CVE-2023-46604
CVSS: 10.0
Vad: Kritiskt sårbarhet som möjliggör distansanvändning i produkten Apache ActiveMQ
Produkt: Apache ActiveMQ och Apache ActiveMQ Legacy OpenWire Module
Korrigering: Användare rekommenderas att uppdatera till versionerna 5.15.16, 5.16.7, 5.17.6 eller 5.18.3 som korrigerar sårbarheten.
Sårbarhetsmeddelande (på finska)
BEKANTA DIG MED VECKOÖVERSIKTEN
Detta är Cybersäkerhetscentrets veckoöversikt (rapporteringsperiod 27.10–2.11.2023). Vår veckoöversikt innehåller information om aktuella cyberfenomen. Veckoöversikten är avsedd för alla från cybersäkerhetsexperter till vanliga medborgare.