Hackerattacker.
Jag är nyfiken på vad forumet tycker om den senaste tidens erövringar av svenska viktiga webtjänster.
Svenska Tietoevry blev då mycket hårt drabbad med ett stort antal utslagna tjänster för många kunder.
Sen vad jag inte får ihop (åt nördhållet) efter att ha läst Computer Sweden så kände man ju till hotet.
https://computersweden.idg.se/2.2683/1.780796/cyberattack-mot-tietoevry-slar-hart-manga-drabbade
Varningen
https://computersweden.idg.se/2.2683/1.780750/akira
Sen var det här då en sk Zero-day säkerhetshål som man borde ha koll på inkl att det var klassat som "medium" hot.
https://sec.cloudapps.cisco.com/sec...yAdvisory/cisco-sa-asaftd-ravpn-auth-8LyfCkeC
Eller så innebar då patchen en massa merarbete?
Åsikter?
Svenska Tietoevry blev då mycket hårt drabbad med ett stort antal utslagna tjänster för många kunder.
Sen vad jag inte får ihop (åt nördhållet) efter att ha läst Computer Sweden så kände man ju till hotet.
https://computersweden.idg.se/2.2683/1.780796/cyberattack-mot-tietoevry-slar-hart-manga-drabbade
Varningen
https://computersweden.idg.se/2.2683/1.780750/akira
Sen var det här då en sk Zero-day säkerhetshål som man borde ha koll på inkl att det var klassat som "medium" hot.
https://sec.cloudapps.cisco.com/sec...yAdvisory/cisco-sa-asaftd-ravpn-auth-8LyfCkeC
Eller så innebar då patchen en massa merarbete?
Åsikter?
För många ägg i samma korg. I bred mening. Allt från att bygga enorma molntjänstplattformar med dålig eller obefintlig sektionering till kritiska beroenden till centrala system och monokulturella systemval.P paralun skrev:
Jo men det märkliga är det här Cisco Zero-day säkerhetshålet, blir inte klok på det. Hur kan amn missa att patcha ett medium hot?C cpalm skrev:
(Sen är det ju av samma skäl att vi ska hålla våra hemmaroutrar uppdaterade med senaste firmware)
Konstigare saker händer dagligen. Sen har det mig veterligen inte offentliggjorts huruvida just Cisco-säkerhetshålet var den attackvektor som användes i Tieto-fallet. Kan även t.ex. vara som i Coop-fallet att intrånget kommit genom en tredje part.P paralun skrev:
Sen om vi skall prata "zero day" så är det ju per definition inte en zero-day-attack om säkerhetshålet är allmänt känt. Vänta bara tills vissa länders "cyberkrigare" kommer igång, som förmodligen sitter med tusentals okända säkerhetsbrister på lager. De betalar bra för sådana, så det är inte otroligt att det är betydligt fler säkerhetsbrister som förblir opublicerade än de som publiceras.
Jo vem vet och det här säkerhetshålet är klart märkligt.C cpalm skrev:
https://sec.cloudapps.cisco.com/sec...yAdvisory/cisco-sa-asaftd-ravpn-auth-8LyfCkeC
Varför ptachade man inte ? Sen kan det då vara att patchen medförde merarbete?
Vad är det för märkligt med det säkerhetshålet?P paralun skrev:
Vem är det som inte patchat?
Utan direkt kunskap om vad som hänt här så är medium långt ifrån högt. Patchning stör så är det inte critical eller high så lär man planera in det det lämpligt servicefönster.
Om angreppet var på en Cisco-utrustning, det är väl inte säkerställt (?), så är det inte så märkligt att flera kunder drabbas. Den typen av utrustning delar ofta flera kunder på. Alternativet är såklart att alla har egen hårdvara, eventuellt i egen drift, vilket normalt blir dyrare och inte ofta säkrare.
Varningar för ryska hackergrupper är inget nytt. Ryssland, Kina och Iran är de största hoten sen länge, med lite olika inriktningar. Hoten från Ryssland har knappast minskat på senare år.
Om angreppet var på en Cisco-utrustning, det är väl inte säkerställt (?), så är det inte så märkligt att flera kunder drabbas. Den typen av utrustning delar ofta flera kunder på. Alternativet är såklart att alla har egen hårdvara, eventuellt i egen drift, vilket normalt blir dyrare och inte ofta säkrare.
Varningar för ryska hackergrupper är inget nytt. Ryssland, Kina och Iran är de största hoten sen länge, med lite olika inriktningar. Hoten från Ryssland har knappast minskat på senare år.
Aha, ja det är lite konstigt att inte Cisco uppgraderat allvarlighetsgraden.Fairlane skrev:
NIST graderar den till 9.1 Critical:
https://nvd.nist.gov/vuln/detail/CVE-2023-20269
Ja det är klart värre.C cpalm skrev:
Kan ev. vara Ivanti, https://computersweden.idg.se/2.2683/1.780786/svenska-foretag-hackade-via-sakerhetshal-i-ivanti-vpn men missad patchning är det troligtvis...
Men den där är ju från september 23? Nog borde Tieto patchat sin brandvägg åtminstonde kvartalsvis? 😲C cpalm skrev:
Som sagt, bara för att detta säkerhetshål använts för att plantera akira vid de finska incidenterna kan man inte ta för givet att det är så det gått till i detta fall. Kanske, kanske inte.Unikt namn skrev:
Jo absolut, jag tolkade det som ni visste att denna sårbarhet använts här.C cpalm skrev:
Jag har även hört ryktena om Ivanti, men inte läst något definitivt.
En VPN tjänst är väl dock högst rimlig att patcha ganska omgående. En organisation av Tietos storlek bör ja redundans så att nertiden blir försumbar.
Men det är ju samtidigt lätt att agera kaptain hindsight.
Hoppas att mer detaljer blir tillgängliga allt eftersom så man får läsa på hur det gick till.
Vad jag förstått är det via opatchad Avanti (pulse secure) angriparna kommit in. Sen nyttjat säkerhetshål i hypervisor ESXi.