CERT RSS

Nacionalni CERT kao koordinator kampanje u Republici Hrvatskoj, poziva sve zainteresirane da se uključe u obilježavanje Europskog mjeseca kibernetičke sigurnosti (ECSM).

Kampanja ovogodišnjeg ECSM-a fokusirat će se na socijalni inženjering kao najveću kibernetičku prijetnju.

ECSM koordinira Agencija EU za kibernetičku sigurnost (ENISA), uz potporu Europske komisije i zemalja članica EU.

O ECSM-u

ECSM je godišnja kampanja Europske unije, posvećena promicanju kibernetičke sigurnosti među građanima i organizacijama, podizanju svijesti i razmjeni dobrih praksi. Svake godine, tijekom listopada, diljem Europe održavaju se stotine aktivnosti, uključujući konferencije, radionice, treninge, webinare, prezentacije, online kvizove i još mnogo toga, kako bi građani naučili više o zaštiti na internetu.

Službeni početak kampanje održat će se na „Cyber Days 2023.“ u Europskom parlamentu 26., 27. i 28. rujna.

Što je socijalni inženjering?

Socijalni inženjering je manipulacija žrtvom kako bi ona izvršila neku radnju ili odala osjetljive i/ili osobne podatke. Napadači iskorištavaju povjerenje svoje žrtve i navode ju na akciju kojom nesvjesno pomaže napadačima da izvedu napad koji su osmislili.

ENISA prepoznaje i analizira trenutne i buduće kibernetičke prijetnje, uključujući trendove oko socijalnog inženjeringa. Sve veće prikupljanje podataka o ponašanju korisnika može dovesti do ciljanih phishing napada, a korištenje novih tehnologija kao što su umjetna inteligencija i automatizacija pomoću strojnog učenja omogućuje napadačima analizu ponašanja korisnika i pokretanje ciljanih phishing napada.

Phishing, koji spada u socijalni inženjering, je postao najčešći vektor napada, a nakon što napadači ostvare pristup sustavu, mogu se izvesti daljnji napadi, poput ransomwarea.

ECSM kampanja će korisnicima svih dobnih skupina skrenuti pozornost na različite tehnike socijalnog inženjeringa. Održat će se aktivnosti koje će im omogućiti upoznavanje s različitim načinima na koje ih kibernetički kriminalci mogu prevariti. Također, naučit će kako prepoznati i uočiti potencijalne prijevare na vrijeme.

Priključite se obilježavanju ECSM-a te pratite portal CERT.hr kao i naše društvene mreže kako bi naučili sve o ovoj temi.

The post ECSM2023: Nove tehnologije olakšavaju prijevare first appeared on CERT.hr.

Hrvatska udruga banaka (HUB) je izdala upozorenje za sve klijente banaka, a mi Vam ga prenosimo u cijelosti:

Zagreb, 21. rujna 2023. – U posljednje vrijeme zabilježen je povećan broj poziva prema klijentima banaka u kojem ih nepoznati pozivatelji obavještavaju o jedinstvenoj prilici za ulaganje u kripto valute s velikim povratom za mali ulog.

Pozivatelj najavljuje potencijalnoj žrtvi da će joj dostaviti elektroničku poštu s poveznicom na kojoj je moguće instalirati aplikaciju i unijeti kopiju osobne iskaznice, IBAN-a i pristupnih podataka s tokena. Također, pozivatelj često traži od potencijalne žrtve uplatu dodatnog iznosa novca uz obećanje da će  nakon toga dobiti isplatu većeg iznosa novca. Opisana situacija nažalost nije prvi korak u pametnom ulaganju, već najčešće početak sofisticirane investicijske prijevare.

Upozoravamo klijente banaka da ne odaju nepoznatim pozivateljima podatke o svojoj elektroničkoj pošti, a u slučaju da su već zaprimili elektroničku poštu da ne otvaraju poveznicu ili privitke te da odmah izbrišu takvu elektroničku poštu iz svojih pretinaca.

Odavanjem financijskih i osobnih podataka ili kodova koje generira token trećim osobama građani se izlažu značajnom riziku te se omogućava nepoznatim osobama da neovlašteno pristupe njihovom internetskom i mobilnom bankarstvu te im nanesu financijsku štetu.

Preporučamo da o aktualnim vrstama prijevara građani informiraju svoje bližnje, a osobito starije članove obitelji kako bi se zaštitili od potencijalnih prijevara. U slučaju dodatnih pitanja ili ako sumnjate da ste žrtva prijevare i ako ste dali bankovne podatke, odmah se obratite svojoj banci, a prijevaru prijavite MUP-u.

Ovim putem ponovno skrećemo pozornost i na vrlo česte prijevare povezane s oglašavanjem za prodaju proizvoda i usluga na raznim internetskim stranicama.

Prodavatelji usluga u takvim situacijama mogu postati žrtve prijevara u slučaju da povjeruju da lažni kupac doista želi kupiti njegovu robu, odnosno proizvod ili uslugu. U takvim slučajevima, lažni kupac traži od prodavatelja sigurnosne podatke s njegove kartice ili u posljednje vrijeme i jednokratne zaporke i autorizacijske kodove generirane tokenom koje nakon toga navodni kupac može zloupotrijebiti u cilju stjecanja financijske koristi.

U nastavku donosimo nekoliko preporuka za sigurno ponašanje prilikom oglašavanja i prodaje robe ili usluga:

• Ako objavljujete oglas za prodaju nekog proizvoda ili usluge na internetskom oglasniku, za uplatu na vaš račun zainteresiranom kupcu nikada ne šaljite broj kartice, datum važenja ili CVV/CVC broj s poleđine kartice!;
• Nikada ne šaljite fotografiju obje strane svoje kartice (prednju i stražnju stranu) i ni u kojem slučaju nikome ne smijete dati svoje generirane zaporke ili kodove za kupnju. Banka vas nikada neće kontaktirati putem maila ili telefona i pitati za kodove generirane putem tokena;
• Kako bi kupac izvršio uplatu na vaš račun, NIJE potrebno autorizirati karticu putem 3D-Secure programa ili dati kodove ili zaporke generirane tokenom te isto tako nemojte odgovarati na poslane poveznice u kojima se od vas traži da unesete gore navedene podatke o svojim karticama ili spomenute zaporke i kodove;
  • U navedenim poveznicama prevaranti često dostavljaju poveznice lažnih dostavnih službi gdje se traži unos vaših kartičnih podataka  (a često i stanje računa) za navodnu potvrdu uplate. Ukoliko dobijete ovakvu poveznicu odmah  je izbrišite  i ne odgovarajte na istu!
• Prije objave samoga oglasa za svoje usluge ili proizvode, pomno pročitajte i sigurnosne smjernice koje se nalaze na istome;
• Ako vas zainteresirani kupac kontaktira s namjerom da kupi vaše usluge ili proizvode, za uplatu koju trebate zaprimiti dovoljno je da kupcu pošaljete IBAN svog računa;
• Nikada ne šaljite ili ne dajte na uvid jednokratne zaporke i autorizacijske kodove generirane Vašim tokenom;
• Također, ako kupujete proizvode oglašene putem javnih internetski stranica za oglašavanje obratite pozornost i pomno proučite upute povezane uz plaćanje odabranog proizvoda i slijedite sigurnosne preporuke.

The post Upozorenje HUB-a: Zabilježen je povećan broj poziva prema klijentima banaka u vezi ulaganja u kripto valute s velikim povratom first appeared on CERT.hr.

Pokažite svoje znanje i vještine u području kibernetičke sigurnosti u četvrtom izdanju CTF natjecanja – H4cknite namijenjenom srednjoškolskim timovima!

Natjecanje će se provoditi od 13. listopada (20:00 sati) – petak do 15. listopada (20:00 sati) – nedjelja 2023. godine, a pristupiti mu mogu samo prijavljeni timovi (ukupno šest osoba – prijavitelj i pet članova tima) s dobivenim korisničkim podacima za pristup natjecanju.

Pravo sudjelovanja imaju svi učenici srednjih škola u Republici Hrvatskoj uz mentorstvo svojih profesora kao Prijavitelja timova.

Natjecanje u obliku CTF-a (Capture the Flag) namijenjeno je srednjoškolskim timovima. Natjecanjem se proširuje svijest o važnosti primjene sigurnosnih mjera te izbjegavanju i ispravljanju mogućih sigurnosnih propusta u programskom kôdu, postavkama ili nekoj drugoj komponenti računalnog sustava.

H4cknite natjecanje je također i kvalifikacijski proces izbora članova tima za European Cyber Security Challenge – ECSC natjecanje.

Za sudjelovanje u nagradnom natjecanju potrebno je, tijekom prijavnog razdoblja za nagradno natjecanje (od 19. rujna do zaključno 10. listopada 2023.), pristupiti prijavnom obrascu Organizatora u kojem prijavitelj navodi nazive članova svojih timova (prijavitelj i pet članova tima – ukupno šest osoba) uz originalan i kreativan naziv svog tima. Za sudjelovanje u nagradnom natjecanju potrebno je:

• ispuniti prijavni obrazac za svoj tim
• upoznati se s Pravilima natjecanja
• popuniti sva polja obrasca za prijavu istinitim osobnim i kontakt podacima
• prihvatiti Pravila postavljanjem kvačice na polje “Potvrđujem da sam upoznat/a i suglasan/na s pravilima ovog natjecanja”
• prihvatiti GDPR suglasnost opisanu na stranicama cert.hr i carnet.hr

Sva dodatna pitanja možete postaviti slanjem upita na adresu elektroničke pošte ecsm@cert[.]hr!

Prijave su otvorene od 19. rujna do 10. listopada 2023. godine.

Pravilnik natjecanja je dostupan na poveznici: H4CKNITE PRAVILNIK

The post Otvorene su prijave za H4cknite first appeared on CERT.hr.

INVESTICIJSKA PRIJEVARA SE KORISTI ZA KRAĐU NOVCA I OSOBNIH PODATAKA. U JEDNOM TRENUTKU MOŽETE OSTATI BEZ ŽIVOTNE UŠTEĐEVINE, A POVRAT NOVCA JE MALO VJEROJATAN.

Kako funkcioniraju investicijske prijevare?

1. Prevaranti će vas kontaktirati
Putem poziva, maila, društvenih mreža ili neke druge aplikacije za dopisivanje. Lažiraju brojeve i mail adrese.

2. Ponudit će vam isplativo ulaganje

Lažno će vam se predstavit kao investitori, brokeri ili kao neka tvrtka koja se bavi ulaganjima te će vam ponuditi odličnu priliku za ulaganje i brzu zaradu!

       Često spominju: kriptovalute, dionice, zlato i druge oblike zarade!

OVO JE TRENUTAK KAD TREBATE PREKINUTI SVU KOMUNIKACIJU! PREKINITE POZIV ILI DOPISIVANJE I BLOKIRAJTE MOGUĆNOST DALJNJEG KONTAKTIRANJA!

3. Agresivno nagovaranje na ulaganje

Ovakvi prevaranti koriste agresivne metode nagovaranja. Konstantno vas zovu (i do nekoliko desetaka puta dnevno), uvjeravaju vas da će prilika za ulaganje proći, da morate odmah uložiti i tjeraju vas na djelovanje vršenjem jakog pritiska.

4. Tražit će vas osobne podatke – KRAĐA!

Ako vas uspiju nagovoriti na bilo što, tražit će od vas razne podatke:

• PRESLIKU OSOBNE ISKAZNICE
• PRESLIKU BANKOVNE KARTICE
• IZJAVE SUGLASNOSTI
• UPLATU NOVCA
• BROJ VAŠEG BANKOVNOG TOKENA – NE OTKRIVAJTE GA NIKOME!!!

POMOĆU OVIH PODATAKA PREVARANTI ĆE DOBITI PRISTUP VAŠEM RAČUNU I UKRAST ĆE SAV NOVAC KOJI IMATE NA NJEMU!

NIKAD NEPOZNATOJ OSOBI NE OTKRIVAJTE SVOJE PODATKE, A POGOTOVO NE PODATKE O BANKOVNOM RAČUNU!!!

Prevaranti su uporni i kontaktirat će vas koliko god je potrebno da od vas dobiju ono što žele. Ne preuzimajte na uređaj nikakve aplikacije koje vam predlažu!

NITKO VAS NEĆE KONTAKTIRATI KAKO BI VAM OMOGUĆIO BRZU ZARADU. OSOBE KOJE SE BAVE INVESTIRANJEM NE ZOVU NEPOZNATE OSOBE KAKO BI IM ZARADILI NOVAC!!

Apeliramo na građane da obrate pažnju na ovaj oblik prijevare i podijele informacije sa svojim poznanicima, pogotovo sa STARIJIM članovima obitelji.

Ako ste postali žrtva ovakve prijevare, slučaj odmah prijavite u najbližu policijsku postaju!

The post INVESTICIJSKE PRIJEVARE first appeared on CERT.hr.

Dragi učenici, učitelji i roditelji iz Rijeke i okolice! Pridružite nam se na radionici “Cybersecurity Ninja” i upoznajte se s prijetnjama na internetu te mjerama zaštite.

Predavanja prilagođena uzrastu održat će se u dva termina:

Predavanje za učenike – petak 15.9.2023. / 14.00-16.00h
Predavanje za učitelje i roditelje – subota 16.9.2023. / 12.00-14.00h

Osnovna škola Gornja Vežica Rijeka – Gornja vežica 31.

Broj mjesta je ograničen! Osigurajte svoje mjesto prijavom na poveznici:

Pratite nas i dalje jer uskoro kreću prijave i za ostale gradove

SPLIT – 29. i 30. rujna

OSIJEK – 12. i 13. listopada

VARAŽDIN – 21. i 22. listopada

ZAGREB – 3. i 4. studenog

The post Cybersecurity Ninja first appeared on CERT.hr.

U organizaciji Agencije za odgoj i obrazovanje, 31. kolovoza je održan Državni stručni skup na kojem smo sudjelovali kao predavači s temom “Digitalni trag”. U webinaru je sudionicima objašnjeno zašto digitalni trag treba tretirati kao neizbrisiv, kako ga provjeriti i kako u slučaju pronalaska neželjenog sadržaja vezanog uz sebe, iskoristiti pravo na brisanje, sadržano u GDPR-u.

Snimku webinara možete pronaći na poveznici: https://meduza.carnet.hr/index.php/media/watch/49108

#SurfajSigurnije

The post Digitalni trag first appeared on CERT.hr.

U organizaciji Agencije za odgoj i obrazovanje, 31. kolovoza je održan Državni stručni skup na kojem smo sudjelovali kao predavači s temom “Što radi Nacionalni CERT”. Sudionike smo upoznali s djelovanjem Nacionalnog CERT-a, njegovim ustrojstvom, uslugama, nacionalnom i međunarodnom suradnjom te sadržajem našeg portala koji im mogao koristiti u svakodnevnom poslu.

Snimku webinara možete pronaći na poveznici: https://meduza.carnet.hr/index.php/media/watch/49108

#SurfajSigurnije

The post Što radi Nacionalni CERT first appeared on CERT.hr.

Duolingo, aplikacija s više od 74 milijuna aktivnih mjesečnih korisnika, jedna je od najpopularnijih aplikacija za učenje stranih jezika.

Bleepingcomputer piše kako su podaci 2.6 milijuna korisnika ove aplikacije ponuđeni na podaju putem hakerskog foruma. Među podacima se nalaze javno dostupne informacije kao što su korisnička imena, ali i skrivene informacije poput email adresa i dr.

Zbog ranjivosti aplikacije, napadači su mogli provjeravati jesu li pojedine email adrese povezane s korisnicima Duolinga, a za provjeru su mogli koristiti popise email adresa koje su bile dio prijašnjih kompromitacija. Pomoću provjere email adresa, napadači su sastavili bazu podataka koja sadrži javne i skrivene podatke korisnika Duolingo aplikacije.

Problem ovakve kompromitacije je što može biti osnova za naprednu phishing kampanju.

Ako ste korisnik Duolingo aplikacije, budite na oprezu prilikom otvaranja mailova koji se odnose na ovu aplikaciju. Napadači mogu iskoristiti prikupljene podatke kako bi kreirali uvjerljivu phishing poruku i prevarili Vas.

Obratite pažnju na poruke koje Vas traže:

• Otvaranje sumnjive poveznice
• Unos osobnih podataka
• Hitnu promjenu lozinke
• Uplatu novčanih sredstava
• Preuzimanje sumnjivih privitaka

Proučite našu infografiku: Prepoznaj phishing

The post Kompromitirani su podaci 2.6 milijuna korisnika Duolingo aplikacije first appeared on CERT.hr.

Svaka organizacija može postati žrtva kibernetičkog napada te za takvu situaciju treba imati plan kako bi odgovor na incident bio pravovremen i uspješan. Switch.ch nam donosi 10 savjeta za uspješniju reakciju u slučaju kibernetičkog incidenta.

1. Ništa na prazan želudac

Iako zvuči čudno, zapravo bi trebalo biti logično. Tim koji radi na rješavanju kibernetičkog incidenta mora biti sit. Ako nisu zadovoljene osnovne ljudske potrebe, teško je očekivati dobre rezultate. Ako na stres dodamo glad i žeđ dobit ćemo neefikasan tim. Zato, osigurajte potrebnu hranu i piće bez obzira u koje doba dana se incident dogodi.

2. Ploča je vaš prijatelj

Zapisujte, mapirajte i planirajte zajedno. Bez obzira na dostupne digitalne alate, fizička ploča ili veliki komad papira su od velike pomoći za vrijeme timskih rasprava i sastanaka. U kriznim situacijama nije vrijeme za raspravu oko fonta i pozadine u prezentaciji, potrebno je brzo raspraviti i donijeti odluku.

3. Telefoni će zvoniti

Kibernetički incidenti privlače mnogo pažnje. Stručnjaci i mediji koji se bave ovim područjem htjet će saznati što se i kako dogodilo, a tu su i korisnici koji će se pitati zašto usluga nije dostupna. Znatiželjnici će pokušati doći do informacija na razne načine, pozivima, mailom, osobnim razgovorima, nedozvoljenim fotografiranjem i sl. Zato treba osigurati kanal komunikacije putem kojeg će te vršiti komunikaciju sa zainteresiranim stranama.

4. Kriza može donijeti promjene

Svatko se drugačije nosi sa stresom i ustaljena hijerarhija se lako promijeni. Oni koji su uključeni u proces moraju biti spremni na kaos i promjene. Osobe koje uživaju najviše poštovanja i imaju povjerenje zaposlenika nisu uvijek osobe koje su na vodećim pozicijama te se može dogoditi da u trenutku krize one preuzmu upravljanje kako bi osigurali stabilnost i kontinuitet procesa.

5. Traži pomoć, prijavi slučaj

Ne znamo svi sve i nije sramota tražiti pomoć. Sigurnost najbolje funkcionira kad različiti timovi surađuju i razmjenjuju ideje. Razmjenom ideja se dijeli znanje što može značajno ubrzati rješavanje krize. Kibernetički incident treba prijaviti jer se radi o ilegalnoj radnji. Ako bi pozvali policiju u slučaju provale u dom, isto treba učiniti i u slučaju provale u sustav.

6. Prvo praktičnost, onda perfekcionizam

Iako nas nagon tjera pratiti svaki trag vezan uz kibernetički incident, u prvim trenucima treba se baviti krucijalnim stvarima, a potpunu analizu odraditi nakon što se stanje stabilizira. Detaljna analiza je svakako potrebna i ako se propusti utvrditi koja ranjivost je dovela do incidenta može se očekivati novi incident i to u kratkom periodu.

7. Odgovor na incident treba uvježbati

Papir sve trpi. Vjerojatno se negdje u ladici nalazi i procedura s koracima za reakciju i oporavak u slučaju kibernetičkog incidenta. Ali, je li ta procedura ikad isprobana? Ako odgovor na incident nije uvježban pomoću simulacije krize, u kombinaciji sa stresom može doći do kaosa. Zato, organizirajte kibernetičke vježbe za različite vrste napada, uočite slabosti na kojima trebate poraditi, raspravite rezultate vježbe te prilagodite procedure svojim potrebama.

8. Budite kreativni

Popis zadataka je koristan za usmjeravanje procesa rješavanja kibernetičkog incidenta, ali svaki incident je specifičan i zahtjeva drugačiji pristup. Potrebno je pronaći najbolji odgovor u danom trenutku. Za praćenje koraka s napadačima potrebna je kreativnosti i mogućnost prilagodbe kako bi se primijenila i nekonvencionalna rješenja.

9. Maraton treba izdržati

Rješavanje kibernetičkog incidenta može biti zamoran i dugotrajan posao. Iako postoje osobe koje žele raditi na slučaju 24 sata dnevno, to fizički nije moguće. Podsjetite svoje kolege da se moraju odmoriti, odmaknuti od stresa i vratiti svježi kako ne bi „izgorjeli“, jer povratak sustava u redovito funkcioniranje može potrajati neočekivano dugo vremena.

10. Što sve imamo?

Veliki sustavi i tvrtke imaju veliku IT infrastrukturu i potrebno je poznavati što se sve u njoj nalazi. Iako je podizanje svijesti zaposlenika i provođenje sigurnosnih politika potrebno za sprječavanje incidenta, poznavanje infrastrukture i što se sve u njoj nalazi ubrzat će oporavak i povratak u redovito poslovanje.

#SurfajSigurnije

The post 10 savjeta za uspješan odgovor na kibernetički incident first appeared on CERT.hr.

Ivanti, softverska tvrtka iz SAD-a,  izdala je zakrpu za ranjivost koja omogućuje zaobilaženje autentifikacije na mobilnim uređajima koji koriste Endpoint Manager Mobile (EPMM) peket (bivši MobileIron Core).

Zakrpa se odnosi na ranjivost CVE-2023-35078 te onemogućuje udaljeni pristup API-u bez autentifikacije. Napadač iskorištavanjem ove ranjivosti može pristupiti osobnim podacima klijenata i napraviti određene promjene na serveru.

Ranjive su verzije paketa starije od verzije 11.8.1.0. Svima se savjetuje da bez odgađanja nadograde svoje sustave kako ne bi postali žrtve ove ranjivosti

The post Ivanti je izdao zakrpu za MobileIron ranjivost nultog dana first appeared on CERT.hr.

Od početka godine, Apple je zakrpao 11 ranjivosti nultog dana koje su napadači iskorištavali za napade na uređaje koji koriste iOS, macOS i iPadOS.

Zakrpa ispravlja grešku Kernela (jezgre operativnog sustava), praćenu pod šifrom CVE-2023-38606, koja zahvaća verzije iOS-a starije od verzije iOS 15.7.1.

CVE-2023-38606 ranjivost spada u zero-click exploit, tj. ranjivosti koje ne zahtijevaju nikakvo djelovanje žrtve, a omogućuje postavljanje triangulacijskog softvera za praćenje.

Ažurirajte svoje Apple uređaje kako ne bi postali žrtva ranjivosti za koje već postoje izdane zakrpe.

The post Apple je izdao zakrpu za 0-day ranjivost koja se aktivno iskorištava first appeared on CERT.hr.

Citrix, tvrtka koja svojim rješenjima omogućuje rad na daljinu brojnim tvrtkama i zaposlenicima, objavila je upozorenje o kritičnoj ranjivosti i pozvala sve korisnike da bez odgode ažuriraju svoje sustave.

Kritična ranjivost (CVE-2023-3519) NetScaler ADC-a i NetScaler Gateway-a, već se aktivno iskorištava, ali su izdane zakrpe koje otklanjaju ranjivosti.

Ranjivost CVE-2023-3519 napadaču omogućuje udaljeno izvršavanje kôda bez potrebe za autentifikacijom.

Kako bi ranjivost mogla biti iskorištena, ranjivi uređaji moraju biti konfigurirani kao gateway (VPN virtualni poslužitelj, ICA proxy, CVPN, RDP proxy) ili kao virtualni poslužitelji za autentifikaciju (AAA server).

NetScaler ADC i NetScaler Gateway verzije 12.1 su zastarjele i korisnicima se savjetuje prelazak na novije verzije.

Korisnici ovih servisa, bi trebali provjeriti pojavljuju li im se web shell-ovi koji su noviji od zadnjeg datuma instalacije, provjeriti logove za HTTP greške, te pojavljuju li se naredbe koje bi mogle sugerirati na kompromitaciju sustava.

Izdane zakrpe rješavaju još dvije ranjivosti: CVE-2023-3466 i CVE-2023-3467.

CVE-2023-3466 je ranjivost koja može dovesti do cross-site scripting-a (XSS), a može biti iskorištena ako žrtva očita poveznicu od napadača, a na istoj mreži se nalazi ranjivi uređaj.

CVE-2023-3467 je ranjivost koja napadaču omogućuje eskalaciju privilegija na one root administratora.

Više o ovim ranjivostima pročitajte na https://support.citrix.com/article/CTX561482/citrix-adc-and-citrix-gateway-security-bulletin-for-cve20233519-cve20233466-cve20233467

The post Kritična ranjivost Citrix Netscaler Gateway i ADC-a first appeared on CERT.hr.

AIOS (The All-In-One Security) dodatak je rješenje koje korisnicima nudi vatrozid za web aplikacije, zaštitu sadržaja i sigurnosni alat za prijavu u WordPress stranice.

Otkriveno je da AIOS v5.1.9 bilježi prijave, odjave te neuspješne prijave korisnika, ali ujedno sprema i unesene lozinke. Ono što je nevjerojatno, je to da je lozinke pohranjivao u tzv. plain text (nekriptiranom) obliku.

Svaki servis koji brine o sigurnosti svojih korisnika, lozinke treba spremati u kriptiranom obliku, tj. u obliku hash-a. U tom slučaju ni vlasnik servisa ne zna lozinke korisnika, a u slučaju curenja podataka lozinke napadaču nisu korisne prije dekripcije.

BleepingComputer navodi kako je izdano rješenje

AIOS je izdao verziju 5.2.0 koja ispravlja ovu grešku i briše dosad spremljene lozinke.

Ovaj propust je mogao biti koban za korisnike u slučaju kad bi administratori stranica koje koriste ovaj dodatak pokušali iskoristiti prikupljene lozinke za prijavu u druge sustave ili u slučaju kad bi stranicu kompromitirao zlonamjerni akter.

Ako administrirate stranicu koja koristi AIOS dodatak, ažurirajte ga na najnoviju verziju kako bi zaštitili sebe i svoje korisnike.

#SurfajSigurnije

The post WordPress dodatak AIOS je pohranjivao lozinke u nekriptiranom obliku first appeared on CERT.hr.

Nedavno smo pisali o pojavi malwarea u aplikacijama preuzetim iz legitimnih izvora. Više od 600 000 korisnika zarazilo je svoje uređaje Fleckpe malwareom preuzimanjem aplikacija iz Google Play-a.

Akteri koji namjeravaju podmetnuti zlonamjerni kôd, ne čine to prilikom predaje aplikacije na provjeru, već to učine prilikom budućih ažuriranja.

Iako Google redovito uklanja takve aplikacije, zlonamjerni akteri nisu imali velike prepreke za njihovo ponovno objavljivanje. S lakoćom su mogli registrirati novi profil i objaviti aplikacije pod drugim imenom.

Od 31. kolovoza 2023., Google Play će zahtijevati od svih novih računa koji se registriraju kao organizacija da prilože važeći jedinstveni D-U-N-S (Data Universal Numbering System) broj.

Također, Google Play će navesti više detalja o tvrtki koja je izdala aplikaciju. Uz ime razvojnog programera, e-poštu i lokaciju, navodit će se naziv tvrtke, puna adresa, URL web stranice i broj telefona. Podaci će se redovito provjeravati, a oni kod kojih se utvrde nepravilnosti bi će uklonjeni iz Google Play-a.

Tako će se otežati povratak zlonamjernih aktera na Google Play, jer će za ponovnu registraciju trebati osnovati posve novu tvrtku. Osnažit će se sigurnost i vjerodostojnost platforme te dodatno zaštititi krajnje korisnike.

The post Google Play uvodi nova pravila kako bi smanjili broj zlonamjernih aplikacija first appeared on CERT.hr.

Microsoft je izdao zakrpe za srpanj 2023. kojima se rješava šest ranjivosti nultog dana i 132 nedostatka.

Čak 37 ranjivosti omogućavalo je udaljeno izvršavanje kôda (remote code execution – RCE), a devet ih je označeno kao kritične ranjivosti.

Osim udaljenog izvršavanja kôda, ranjivosti su omogućavale eskalaciju privilegija, zaobilaženje sigurnosnih značajki, otkrivanje informacija i uskraćivanje usluge (DoS).

Šest ranjivosti su se aktivno iskorištavale su:

CVE-2023-32046 – Windows MSHTML Platform Elevation of Privilege Vulnerability

CVE-2023-32049 – Windows SmartScreen Security Feature Bypass Vulnerability

CVE-2023-36874 – Windows Error Reporting Service Elevation of Privilege Vulnerability

CVE-2023-36884 – Office and Windows HTML Remote Code Execution Vulnerability

ADV230001 – Guidance on Microsoft Signed Drivers Being Used Maliciously

CVE-2023-35311 – Microsoft Outlook Security Feature Bypass Vulnerability

Osim Microsofta, zakrpe su nedavno izdali AMD, Apple, Ciso, Google, MOVEit, SAP i VMware.

Ažurirajte svoje sustave kako bi ih zaštitili i onemogućili iskorištavanje njihovih poznatih ranjivost.

Više o izdanim zakrpama pročitajte na: bleepingcomputer.com

The post Microsoft je izdao zakrpe za srpanj first appeared on CERT.hr.

Trend Micro je objavio tehničko izvješće o novom ransomwareu nazvanom ‘Big Head’, čije je ranije inačice istraživao i Fortinet. Tvrde da sve tri inačice potječu od istog aktera koji prilagođava pristup napada.

Za vrijeme kriptiranja podataka korisniku na prikazuje lažni proces ažuriranja Windowsa.

Big Head je .NET binarna datoteka koja instalira tri kriptirane datoteke na sustav. Jednu za širenje zlonamjernog kôda, druga za komunikaciju s Telegram botom i treću za šifriranje datoteka i prikazivanje lažnog Windows ažuriranja.

Svaka žrtva dobije jedinstveni ID koji se dohvaća iz %appdata%\\ID direktorija ili se generira pomoću nasumičnog 40-znamenkastog niza znakova.

Ransomware uklanja shadow copies kako bi onemogućio jednostavno vraćanje sustava u stanje prije šifriranja, a preskočit će šifriranje određenih direktorija (npr. Windows, Recycle Bin, Program Files) kako bi sustav ipak ostao upotrebljiv.

Ovaj ransomware provjerava je li pokrenut u virtualnom računalu te jezik sustava. Ransomware neće kriptirati sustav ako je on postavljen na jedan od jezika bivših zemalja članica Sovjetskog saveza.

Zanimljivo je što ovaj ransomware za vrijeme enkripcije prikazuje ekran koji korisniku sugerira da je u procesu nadogradnje Windows sustava.

Nakon završetka enkripcije, korisniku se na ekranu pojavljuje poruka s obavijesti o kompromitaciji sustava.

Trend Micro zaključuje kako se ne radi o nekom sofisticiranom ransomwareu, jer su njegove tehnike enkripcije standardne te ga je lako primijetiti. Ali, fokus ovog ransomwarea je na korisnicima koji se daju zavarati jednostavnim tehnikama (kao što je prikazivanje lažnog Windows ažuriranja).  

Više o Big Head ransomwareu pročitajte na:

https://www.trendmicro.com/en_us/research/23/g/tailing-big-head-ransomware-variants-tactics-and-impact.html

https://www.fortinet.com/blog/threat-research/fortiguard-labs-ransomware-roundup-big-head

The post Big Head ransomware za vrijeme enkripcije prikazuje lažno Windows ažuriranje first appeared on CERT.hr.

‘Ultimate Member’ je dodatak koji omogućuje registraciju i upravljanje zajednicama na WordPress stranicama.

Kritična ranjivost (CVE-2023-3460) ‘Ultimate Member’ WordPress dodatka dobila je ocjenu 9.8. Ranjive su sve verzije dodatka koji broji više od 200 000 aktivnih instalacija.

Iskorištavanjem ove ranjivosti, napadač može registrirati nove admin račune.

Ranjivost su pokušali otkloniti veće nekoliko puta, ali još uvijek postoje mehanizmi za zaobilaženje sigurnosnih mjera i njezino iskorištavanje.

Preporuka je ukloniti ovaj dodatak do izdavanja zakrpe.

Indikatori kompromitacije:

• pojava novih admin računa
• pojava korisničkih imena kao što su: wpenginer, wpadmins, wpengine_backup, se_brutal, segs_brutal
• u logovima se pojavljuju IP adrese za koje je poznato da iskorištavaju ovu ranjivost (146.70.189[.]245, 103.187.5[.]128, 103.30.11[.]160, 103.30.11[.]146, and 172.70.147[.]176)
• pojava korisničkih računa s “exelica[.]com” domenom
• instalirani su novi WordPress dodaci

Ako je stranica kompromitirana, uklanjanje dodatka neće riješiti problem. Potrebno je napraviti cjelovito skeniranje stranice i ukloniti sve potencijalne prijetnje koje je napadač mogao postaviti.

The post Otkrivena je kritična ranjivost ‘Ultimate Member’ WordPress dodatka. Zakrpe nema. first appeared on CERT.hr.

Inženjer za računalnu sigurnost u Nacionalnom CERT-u (F. Omazić) je prilikom testiranja popularne platforme za sigurne komunikacije “Mattermost” otkrio ranjivost nultog dana (zero-day vulnerability).

S obzirom na to da se radilo o lokalnoj instanci Mattermost poslužitelja, kao PoC (Proof of concept) izrađena je i zero-day exploit skripta, to jest skripta koja iskorištava pronađenu ranjivost.

Prema pravilima odgovornog prijavljivanja ranjivosti, ranjivost je prijavljena Mattermost razvojnom timu programera i inženjera za računalnu sigurnost uz svu potrebnu dokumentaciju, opis ranjivosti i priloženi exploit kôd kao PoC te potencijalni popravak.

Također, radi odgovornog prijavljivanja sve dodatne ranjivosti, exploit kôd i greške vezane uz ovaj pronalazak neće biti objavljene.

Ranjivost u pitanju dobila je dodjelu CVSS ranga Medium, a radi se o ranjivosti koja dozvoljava uskraćivanje usluge (Denial of service) pomoću jednostavne programske skripte koja šalje modificirane zahtjeve poslužitelju i tako iskorištava niz ranjivosti.

Mattermost tim javno je izrazio zahvale za doprinos razvoju Mattermost platforme: 
– https://mattermost.com/security-vulnerability-report/
te
– https://mattermost.com/security-updates/ (MMSA-2023-00171) 

Te je dodijeljen CVE broj kao oznaka ranjivosti:
CVE-2023-2785

Reference:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-2785
https://nvd.nist.gov/vuln/detail/CVE-2023-2785

CERT.hr nastavlja suradnju i korištenje Mattermost platforme te izražava izuzetno zadovoljstvo biti od koristi projektu kao što je Mattermost sa svojim doprinosima.

The post Otkrili smo Zero-day ranjivost Mattermost platforme first appeared on CERT.hr.

Skrivanje zlonamjernog kôda unutar legitimnih programa popularna je taktika kriminalnih aktera. Tako su hakeri odlučili sakriti zlonamjerni kôd za rudarenje kripto valuta unutar instalacijskog paketa popularne video igre Super Mario 3: Mario Forever.

Ova besplatna verzija računalne igre preuzeta je više od milijun puta. Pobudila je nostalgiju među igračima jer je zadržala mehaniku starije verzije, ali uz poboljšanu grafiku.

Zlonamjerni akteri iskoristili su ovu priliku i kreirali zlonamjernu .zip datoteku koja osim datoteke igrice sadrži i datoteke za pokretanje programa za rudarenje kripto valuta.

Trojanska verzija širila se putem oglašavanja na društvenim mrežama, forumima, iskorištavanjem SEO optimizacije za bolje rangiranje u rezultatima pretrage i sl.

Preuzeta arhiva sadrži tri datoteke: legitimnu Super Mario 3 datoteku (“super-mario-forever-v702e.exe”) te java.exe i atom.exe datoteke koje se automatski instaliraju na računalo korisnika prilikom instalacije igrice.

Napadači znaju da igrači računalnih igara posjeduju snažnija računala, a ona su prikladnija za rudarenje kripto valuta zbog mogućnosti obrade velikih količina podataka.

„Java.exe“ datoteka služi kao XMR program za rudarenje Monero kripto valute, a „atom.exe“ služi za uspostavljanje veze sa zaraženim računalnom, kako bi napadač mogao upravljati procesom rudarenja.

XMR program za rudarenje radi kao pozadinski proces bez znanja i pristanka korisnika te tako koristi žrtvine resurse. Osim rudarenja kripto valuta, program skuplja podatke kao što su naziv računala, korisničko ime, podatke o procesoru i grafičkoj kartici te dr.

Atom.exe stvara svoj duplikat unutar skrivene mape u direktoriju igre, a zatim stvara zadatak koji se pokreće svakih 15 minuta, a skriven je pod imenom legitimnog procesa.

Apeliramo na građane da datoteke preuzimaju samo iz provjerenih i službenih izvora, a sumnjive datoteke provjere antivirusnim programom.

Više o ovoj kampanji pročitajte na https://blog.cyble.com/2023/06/23/trojanized-super-mario-game-installer-spreads-supremebot-malware/

The post Piratske verzije popularne igre Super Mario, mogu skrivati zlonamjerni kôd first appeared on CERT.hr.

Fortinet je jučer izdao sigurnosne zakrpe za kritičnu ranjivost (CVE-2023-27997) koja pogađa FortiOS i FortiProxy SSL-VPN.

Ranjivost potencijalno omogućuje udaljenom napadaču izvršavanje proizvoljnog programskog koda.

Nacionalni CERT preporučuje instalaciju sigurnosnih zakrpa ovisno o trenutnoj verziji koja se koristi.

Više o samoj ranjivosti kao i ranjivim verzijama FortOS-a i FortiProxy-a možete pronaći na:

https://www.fortiguard.com/psirt/FG-IR-23-097

https://nvd.nist.gov/vuln/detail/CVE-2023-27997

https://www.bleepingcomputer.com/news/security/fortinet-fixes-critical-rce-flaw-in-fortigate-ssl-vpn-devices-patch-now/

https://securityonline.info/cve-2023-27997-fortinet-fortigate-pre-auth-rce-vulnerability/

Također, Fortinet je izdao i sigurnosne zakrpe za druge ranjivosti, od kojih su tri ocijenjene kao “High“.

Više o ostalim ranjivostima možete pronaći na:

https://www.fortinet.com/blog/psirt-blogs/analysis-of-cve-2023-27997-and-clarifications-on-volt-typhoon-campaign

#SurfajSigurnije

The post Fortinet je izdao sigurnosne zakrpe za kritičnu ranjivost CVE-2023-27997 first appeared on CERT.hr.