Aanbevolen verhaal
Atlassian waarschuwt voor nieuwe kritieke kwetsbaarheid in Confluence waardoor gegevens verloren kunnen gaan
Atlassian heeft gewaarschuwd voor een kritiek beveiligingslek in Confluence Data Center en Server dat kan leiden tot “aanzienlijk gegevensverlies indien misbruikt door een niet-geautoriseerde aanvaller”.
De kwetsbaarheid, die wordt getraceerd als CVE-2023-22518, kreeg aanvankelijk een score van 9.1, maar is sindsdien geëscaleerd naar maximaal 10 op de CVSS-schaal vanwege meldingen van ransomware-exploits in het wild. Het is een kwetsbaarheid voor onjuiste autorisatie die van invloed is op alle versies van Confluence Data Center en Server.
De fout is verholpen in versies: 7.19.16, 8.3.4, 8.4.4, 8.5.3 en 8.6.1. Atlassian adviseert klanten om publiek toegankelijke instances onmiddellijk te patchen of los te koppelen. Cloudversies worden niet beïnvloed.
Aanvankelijk was er geen actieve exploitatie, maar dat is nu veranderd. Atlassian heeft bevestigd dat er aanvallen gaande zijn waarbij gebruik wordt gemaakt van deze kwetsbaarheid. Als je je Confluence instance nog niet hebt gepatcht, doe het dan nu. Verbreek de verbinding met elk systeem dat toegang heeft tot internet en bekijk Atlassian’s advisory voor IOC’s en risicobeperking.
Andere verhalen
Bedreigers maken actief gebruik van F5 BIG-IP-fouten CVE-2023-46747 en CVE-2023-46748
F5 heeft bevestigd dat er actief misbruik wordt gemaakt van CVE-2023-46747 (CVSS 9.8), een kritieke kwetsbaarheid in het configuratieprogramma van BIG-IP. De fout maakt ongeautoriseerde code-uitvoering op afstand mogelijk via de beheerpoort of eigen IP-adressen.
Aanvallers koppelen dit aan CVE-2023-46748 (CVSS 8.8) om systeemcommando’s uit te voeren en toegang te krijgen tot kritieke infrastructuur. F5 heeft voor beide zwakke plekken adviezen gepubliceerd, inclusief indicators of compromise (IOC’s).
Massale exploitatie van randinfrastructuur zoals BIG-IP vormt een groot risico. Logging is cruciaal voor het opsporen van bedreigingen op basis van F5’s IOC’s. Indien nodig kan Approach SOC helpen met detectie- en mitigatiestrategieën.
StripedFly, een complexe malware die een miljoen apparaten infecteerde zonder te worden opgemerkt
Onderzoekers van Kaspersky hebben StripedFly ontdekt, een modulaire cross-platform malware die vijf jaar lang detectie heeft ontlopen terwijl het zich voordeed als een crypto miner. De malware bevat elementen die zijn gekoppeld aan NSA-tools en ondersteunt communicatie via TOR met integratie van GitHub/GitLab/Bitbucket.
Het heeft sinds 2017 wereldwijd meer dan een miljoen systemen geïnfecteerd. Het ware doel ervan blijft onbekend, wat zorgen baart over spionage op staatsniveau.
Zorg ervoor dat alle endpoints worden beschermd met geavanceerde EDR, niet alleen met antivirus. Vooral op laptops met beheerdersrechten kan malware stilletjes overleven en zich verspreiden. Ons SOC kan forensische beoordelingen ondersteunen en advies geven over hardening.
Trojaanse versie van PyCharm-software geleverd via Google-zoekadvertenties
Een nieuwe malvertisingcampagne heeft Dynamic Search Ads gebruikt om gebruikers te verleiden tot het downloaden van valse PyCharm-installateurs vol met malware. Slachtoffers werden omgeleid van een gehackte bruiloftswebsite naar schadelijke bestanden die meerdere soorten malware bevatten.
Payloads waren onder andere Amadey, Stealc, RedLine, Vidar en PrivateLoader, wat resulteerde in een totale compromittering van het systeem.
Dit jaar is het aantal schadelijke Google-advertenties sterk toegenomen. Gebruikers moeten worden getraind om te voorkomen dat ze op advertenties voor softwaredownloads klikken. Ons awareness-team kan uw medewerkers helpen om deze valstrikken te herkennen en te vermijden door middel van gerichte trainingssessies.
Okta-gegevens gecompromitteerd door externe leverancier
Okta is opnieuw getroffen door een inbreuk, dit keer via externe leverancier Rightway Healthcare, waarbij persoonlijke gegevens en gegevens uit de gezondheidszorg van ~5.000 werknemers zijn blootgelegd. Hoewel klanten niet zijn getroffen, komt dit te midden van een aantal recente inbreuken waarbij Okta en zijn partners zijn betrokken.
Beveiligingsexperts hebben Okta’s interne beslissingen bekritiseerd, waaronder het ontmantelen van rode en blauwe teams. De reactie van het bedrijf heeft klanten ongerust gemaakt over de veerkracht van het bedrijf.
Organisaties moeten IAM-platforms zoals Okta behandelen als kritieke infrastructuur. Implementeer gelaagde verdediging, dwing strikte logging af en zorg ervoor dat u bent uitgerust om misbruik van inloggegevens te detecteren, ongeacht de oorzaak van de inbreuk.
