CERT RSS

U protekloj godini zabilježen je veliki porast broja sustava zaraženih zlonamjernim kôdom.

U 2023. godini Nacionalni CERT zaprimio je i obradio 1236 računalno-sigurnosnih incidenata odnosno 4,63 posto manje u odnosu na prošlu godinu. Najučestaliji su phishing (49%) i scam incidenti, dok najveći porast od čak 263 posto bilježe incidenti tipa sustav zaražen zlonamjernim kôdom što označava uspješno ostvarenu kompromitaciju i  zaraženost uređaja zlonamjernim kôdom.

Raspodjela incidenata po tipu u 2023. godini

Nacionalni CERT primao je i statistički obrađivao podatke i o botovima na računalima krajnjih korisnika. Značajno se povećao broj registriranih zaraženih računala u Hrvatskoj. Zbroj zabilježenih botova iznosi 138.676, što je povećanje od 201,3 posto u odnosu na 2022. godinu. Srednja vrijednost broja botova po danu za 2023. godinu iznosila je oko 800.

Nove tehnike napada i sofisticiranije kampanje poput korištenja QR kôda i relevantnih informacija, poput povrata poreza, subvencija za troškove stanovanja ili prelaska na euro, poslužile su za bolje ciljanje i vjerodostojnije iskorištavanje građana. Napadači vješto prikupljaju javno dostupne informacije i manipuliraju korisnike kako bi ostvarili financijsku korist.

Tijekom 2023. Nacionalni CERT sudjelovao je u radu nacionalnih i međunarodnih tijela kojima je cilj povećanje kibernetičke sigurnosti te u međunarodnim vježbama – CyberSOPEx uz koordinaciju ENISE – Agencije Europske unije za kibernetičku sigurnost te NATO-ovoj vježbi Cyber Coalition 2023. Kao nacionalni koordinator provedbe europske kampanje za podizanje svijesti javnosti o kibernetičkoj sigurnosti u okviru obilježavanja Europskog mjeseca kibernetičke sigurnosti organizirano je četvrto izdanje hrvatskog CTF natjecanja za učenike srednjih škola u kojemu je sudjelovalo 315 učenika iz 40 srednjih škola. Tijekom godine, održan je i niz edukacija i predavanja za učenike, nastavnike, studente te stručnjake iz područja kibernetičke sigurnosti.

Zaključujemo kako je Nacionalni CERT u 2023. godini ostvario značajne pomake na području nacionalne i međunarodne suradnje, medijske prisutnosti, daljnjeg usavršavanja djelatnika te na području povećanja razine spremnosti na odgovor na sve složenije sigurnosne izazove

Preuzmite Godišnji izvještaj Nacionalnog CERT-a.

Godišnji izvještaj Nacionalnog CERT-a za 2023. godinuDownload

The post GODIŠNJI IZVJEŠTAJ RADA NACIONALNOG CERT-A ZA 2023. GODINU first appeared on CERT.hr.

Javno su postale dostupne upute za iskorištavanje ranjivosti Jenkinsa – open source poslužitelja za automatizaciju razvoja softvera.

U Jenkinsu su otkrivene dvije ranjivosti:

CVE-2024-23897 – napadaču omogućuje pristup i čitanje proizvoljnih datoteka.

Ova ranjivost proizlazi iz args4j parsera koji automatski proširi sadržaj datoteke ako argument naredbene linije počinje znakom „@“.

CVE-2024-23898 – omogućuje izvršavanje naredbe u Command Lineu navođenjem žrtve da klikne zlonamjernu poveznicu.

Preuzmite zakrpe za navedene ranjivosti. Izdani su i savjeti u kojima su opisani različiti scenariji napada. Ako iz nekog razloga ne možete preuzeti zakrpe, opisani su i koraci za mitigaciju ranjivosti.

Izvor: bleepingcomputer.com

The post Jenkins kritične ranjivosti first appeared on CERT.hr.

Često se u pisanoj komunikaciji putem elektroničke pošte, društvenih mreža ili objava na webu koriste skraćeni oblici URL adresa tzv. skraćeni linkovi ili poveznice na kojima se nalazi neki sadržaj ili vode do nekog sadržaja. Prednosti ovog rješenja su veća vizualna prihvatljivost, lakše upisivanje ili pamćenje, manji broj znakova u porukama ili objavama i zbog tih obilježja općeprihvaćeno rješenje za elektroničku komunikaciju, prijenos informacija pa čak i spajanje na online sastanke. Sadržaj koji se “krije” na toj skraćenoj inačici nama nije vidljiv i ne znamo gdje će nas zapravo skraćeni URL odvesti ili što ćemo klikom na link preuzeti.

Najčešće prepoznajemo skraćene URL-ove po servisu putem kojeg se skraćuju (npr. bit.ly, goo.gl, tinyurl.com i dr.), no koji je izvorni URL zapravo skraćen ne vidimo što predstavlja veliki rizik da će nas klik na taj link odvesti na phishing stranicu ili pokrenuti preuzimanje zlonamjernog softvera na uređaj. Tako i kriminalci iskorištavaju servise za skraćivanje URL-a za svoje zlonamjerne aktivnosti.

Sigurnosni savjeti za skraćene URL-ove

Ako ste sumnjičavi prema skraćenom URL-u, nemojte ga kliknuti. 

Prije nego kliknete otkrijte koji je izvorni URL

• Koristite značajku pregleda servisa za skraćivanje URL-a. Upišite skraćeni URL u adresnu traku svog web preglednika i dodajte znakove opisane u nastavku da biste vidjeli pregled izvornog URL-a:
  • tinyurl.com : Između “https://” i “tinyurl”, upišite  preview
  • Primjer:  https://preview.tinyurl.com/bdddz3vn

• • bit.ly: Na kraju URL-a upišite  +
  • Primjer: https://bit.ly/3SsRE5k+

• Koristite alat za provjeru URL-ova – Prije korištenja bilo kojeg od ovih alata, uvijek budite oprezni i provjerite pouzdanost samog alata kako biste osigurali sigurnost vašeg računala ili privatnosti.

• CheckShortURL
• GetLinkInfo
• CheckTinyURL
• URL X-ray
• Unshorten.It

Prije nego što skratite URL, razmislite o alternativama

• Koristite opisni tekst veze s punim URL-om. U e-porukama i na web stranicama najbolje je koristiti opisni tekst veze iza kojeg stoji puni URL. To ljudima daje do znanja kamo će biti usmjereni nakon što kliknu, a prelaskom pokazivača preko linka prikazuje se cijeli izvorni URL. Takva praksa preporuča se za digitalnu pristupačnost sadržaja.

• Nemojte koristiti skraćeni URL za prijave. Ako usmjeravate ljude na stranicu koja zahtijeva prijavu, dopustite im da vide cijeli URL i recite im da će biti potrebna prijava.

• Jasno navedite odredište kada morate koristiti skraćeni URL. Na nekim društvenim mrežama skraćeni URL je jedina opcija radi ograničenja broja znakova i u tom slučaju treba korisnike jasno obavijestiti na što će ih taj URL odvesti.

Više o temi: Best URL shorteners https://adguard.com/en/blog/best-url-shorteners.html

The post Oprezno sa skraćenim linkovima first appeared on CERT.hr.

Dosad smo govorili o crnim, bijelim i sivim hakerima. Kakvi su to onda rozi?

Podsjetimo se kako ide glavna podjela:

Hakeri crnog šešira – hakeri koji svoje znanje o računalnim sustavima koriste u zlonamjerne svrhe i za vlastitu korist iskorištavaju ranjivosti u sustavima.

Hakeri bijelog šešira – hakeri koji svoje znanje koriste kako bi osnažili sustave otkrivanjem i ispravljanjem njihovih ranjivosti.

Hakeri sivog šešira – hakeri koji u svom djelovanju ponekad koriste nedozvoljene metode ili prekoračuju etičke granice, no ne nužno za svoju korist.

U svijetu kibernetičke sigurnosti hakeri rozog šešira imaj važnu ulogu. Oni su hakeri na početku svoje karijere, učenici, istraživači, entuzijasti koji svojom znatiželjom i istraživanjem otvaraju nove poglede i održavaju kontinuitet razvoja kibernetičke sigurnosti.

Vođeni su radoznalošću, a učiti vole kroz praktične, opipljive primjere u kojima isprobavaju različite alate u okolini koju su sami postavili. Na taj način često i sami otkriju nova rješenja koja je dosadašnja praksa previdjela.

Rozi šeširi vole platforme koje im pružaju novo znanje, vole svoje znanje pokazivati na Capture The Flag (CTF) i drugim natjecanjima, ali pored kompetitivnog duha isto tako vole i dijeliti svoje znanje s vršnjacima i ostatkom zajednice.

Mnogi rozi šeširi prerastu u bijele. Od njih nastaju stručnjaci. Mnogi mladi hakeri se specijaliziraju i postanu stručnjaci koji svojim znanjem doprinose sigurnosti važnih i velikih sustava. U profesiji koja zahtjeva kontinuirano usavršavanje i prilagođavanje, njihova znatiželja je pravi alat koji mogu iskoristiti kako bi držali korak s razvojem tehnologije.

Rozi šeširi su budućnost kibernetičke sigurnosti, oni će jednog dana svoje znanje i utjecaj prenijeti na nove generacije, oni će sačinjavati sigurnosnu zajednicu i razvijati sigurnost za sustave s kojima se još nismo ni susreli.

Zato za kraj donosimo nekoliko savjeta za sve roze šešire i one koji bi se htjeli početi baviti kibernetičkom sigurnosti:

1. Učite i usavršavajte svoje znanje. Iskoristite znanje dostupno na internetu, razne obrazovne platforme i ako ste u mogućnosti pronađite mentora koji Vas može usmjeriti.
2. Držite se etičkih načela i poštujte zakon. Virtualna računala i kontrolirani uvjeti Vam omogućuju simuliranje bilo kakvog događaja za testiranje vlastitih sposobnosti.
3. Povežite se u zajednicu s drugim entuzijastima s kojima možete podijeliti svoje ideje i raspravljati o najnovijim tehnologijama i događajima.
4. Sudjelujte u CTF natjecanjima (npr. HACKNITE) kako bi testirali svoje znanje.

Izvor: Who Are Pink Hat Hackers? – Blue Goat Cyber

The post Tko su hakeri rozog šešira? first appeared on CERT.hr.

VMware, kompanija koja se bavi tehnologijom virtualizacije i oblaka, izdala je upozorenje o postojanju ranjivosti u njihovim proizvodima s najvišom mogućom CVSS ocjenom kritičnosti – 9.9.

Ranjivost je dobila oznaku CVE-2023-34063.

Pogođeni proizvodi:

• VMware Aria Automation (ranije poznat kao vRealize Automation)
• VMware Cloud Foundation (Aria Automation)

U Aria Automation-u postoji ranjivost nedostatka kontrole pristupa (Missing Access Control vulnerability) pomoću koje autentificirani napadač može ostvariti neovlašteni pristup udaljenim organizacijama i procesima.

Za otklanjanje ove ranjivosti odmah preuzmite dostupne zakrpe koje su naveden u tablici:

ProductVersionRunning OnCVE IdentifierCVSSv3SeverityFixed VersionWorkaroundsAdditional DocumentationVMware Aria Automation8.16AnyCVE-2023-34063N/AN/AUnaffectedN/AFAQVMware Aria Automation8.14.xAnyCVE-2023-340639.9critical8.14.1 + PatchN/AFAQVMware Aria Automation8.13.xAnyCVE-2023-340639.9critical8.13.1 + PatchN/AFAQVMware Aria Automation8.12.xAnyCVE-2023-340639.9critical8.12.2 + PatchN/AFAQVMware Aria Automation8.11.xAnyCVE-2023-340639.9critical8.11.2 + PatchN/AFAQVMware Cloud Foundation (Aria Automation)5.x, 4.xAnyCVE-2023-340639.9criticalKB96136N/AFAQ

Za više informacija o ovoj ranjivosti posjetite stranicu VMwarea.

The post VMware kritična ranjivost s ocjenom 9.9 first appeared on CERT.hr.

Otkriveno je da zlonamjerna grupa aktera koristi YouTube za širenje Lumma Stealer malvera.

Putem YouTube videa reklamiraju „krekirane“ inačice aplikacija i vode žrtve kroz proces instalacije.

Napadači koriste skraćene poveznice, najčešće pomoću TynURL i Cuttly servisa koje pokreću preuzimanje .NET datoteke za dohvat Lumma Stealer malvera.

Vektor napada – YouTube

Najprije akter preuzme kontrolu nad nečijim YouTube računom te objavi video u kojem objašnjava preuzimanje krekirane verzije određene aplikacije – nude mogućnost besplatnog korištenja programa koji se inače plaća.  

U opisu videa se nalazi poveznica koja pokreće preuzimanje ZIP datoteke sa skrivenim zlonamjernim kôdom koji služi za kasniju fazu napada.  ZIP datoteka sadrži „installer“ koji pokreće preuzimanje Lumma Stalera.

Slika: YouTube kanal koji reklamira besplatnu verziju Sony Vega pro 20 programa (Izvor: fortinet.com)

Lumma stealer je vrsta zlonamjernog softvera koji može ukrasti osjetljive podatke s računala. Krade podatke o sustavu, povijest pretraživanja, podatke o kripto novčanicima i podatke o dodacima u pregledniku. Napisan je u C programskom jeziku i prodaje se na forumima Dark weba. Kako bi izbjegao detekciju, koristi se različitim tehnikama obfuskacije. Tako napadači preusmjeravaju standardni tok procesa, a sam proces ne otvara nove prozore kako ga žrtva ne bi primijetila.

Detalje o ovoj vrsti napada možete pročitati OVDJE.

The post Kako se pomoću YouTube-a šire malveri first appeared on CERT.hr.

Otkrivene su 0-day ranjivosti u Ivanti Connect Secure-u (ICS) (prije poznat kao Pulse Connect Secure) i Ivanti Policy Secure pristupnicima (engl. gateways).

Ranjive su sve podržane verzije – verzije 9.x i 22.x (podržane verzije možete provjeriti OVDJE).

Ranjivosti:

CVE-2023-46805 (Authentication Bypass) CVSS 8.2

– ranjivost omogućuje zaobilaženje autentifikacije u web komponenti Ivanti ICS-a i Ivanti Policy Secure-a te napadaču omogućuje pristup nedostupnim resursima.

CVE-2024-21887 (Command Injection) CVSS 9.1

– ranjivost omogućuje unos naredbi u web komponente ICS-a i Ivanti Policy Secure-a. Autentificiranom administratoru omogućuje slanje posebno napravljenih zahtjeva i izvršavanje proizvoljnih naredbi na uređaju.

Ako se ove dvije ranjivosti iskoriste zajedno, napadač ne mora biti autentificiran kako bi slao zlonamjerne zahtjeve i izvršavao proizvoljne naredbe u sustavu!

Dok se ne izdaju zakrpe za ove ranjivosti, potrebno je što prije poduzeti mitigacijske mjere.

Ivanti je izdao datoteku koju je potrebno što prije implementirati, a može se preuzeti na njihovom portalu.

Detaljan opis primjene mitigacije nalazi se OVDJE.

U slučaju otkrivanja ranjivosti hitno obavijestite Ivanti i Nacionalni CERT na adresu incident@cert[.]hr kako bi spriječili iskorištavanje ranjivosti i buduće računalno-sigurnosne incidente.

Pratite obavijesti Nacionalnog CERT-a.

Nakon izdavanja zakrpi bit će ih potrebno instalirati u što kraćem roku.

[ZAKRPA]

Najnovije informacije o ranjivostima možete pratiti na poveznici:

https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US

The post UPOZORENJE! IVANTI KRITIČNE RANJIVOSTI first appeared on CERT.hr.

Uredba 2023/2841 o utvrđivanju mjera za visoku zajedničku razini kibernetičke sigurnosti u institucijama, tijelima, uredima i agencijama Unije, objavljena 18. prosinca 2023. godine, stupila je na snagu 7. siječnja 2024. godine.

Cilj ove Uredbe je utvrđivanje mjera kojima se nastoji postići visoka zajednička razina kibernetičke sigurnosti unutar subjekata Unije. Uredba se primjenjuje na subjekte Unije (institucije, tijela, uredi i agencije Unije koji su osnovani Ugovorom o Europskoj uniji, Ugovorom o funkcioniranju Europske unije (TFEU) ili Ugovorom o osnivanju Europske zajednice za atomsku energiju ili na temelju tih ugovora). Uredbom se osniva novi Međuinstitucionalni odbor za kibernetičku sigurnost – IICB i uređuje status CERT-EU-a.

Uredba je usklađena s cijevima koji su utvrđeni Strategijom EU za sigurnosnu uniju i Strategijom EU-a za kibernetičku sigurnost te je u skladu s drugim aktima iz područja kibernetičke sigurnosti, a to su NIS 2 Direktiva, Akt o kibersigurnosti i Preporuke Komisije o koordiniranom odgovoru na kibernetičke incidente i kibernetičke krize velikih razmjera.

Cilj je NIS 2 Direktive postići visoku zajedničku razinu kibernetičke sigurnosti širom Unije kako bi se poboljšalo funkcioniranje unutarnjeg tržišta. Stoga je važno da se i subjekti Unije prilagode utvrđivanjem pravila koja su u skladu s NIS 2 Direktivom. Nužno je da svaki subjekt Unije uspostavi unutarnji okvir za upravljanje kibernetičkim sigurnosnim rizicima, jer se tako može postići visoka zajednička razina kibernetičke sigurnosti. Za upravljanje kibernetičkim sigurnosnim rizicima, svaki subjekt Unije trebao bi poduzeti odgovarajuće i razmjerne tehničke, operativne i organizacijske mjere.

Uredbom se uspostavlja unutarnji okvir za upravljanje kibernetičkim sigurnosnim rizicima, upravljanje i kontrolu rizika, te izvještavanje i razmjenu informacija o rizicima. Uredbom se osniva novo tijelo Međuinstitucionalni odbor za kibernetičku sigurnost – IICB čiji je zadatak praćenje provedbe Uredbe, pružanje podrške subjektima Unije u provedbi Uredbe, nadzor nad provedbom i strateško usmjeravanje CERT-EU-a. Postojeći CERT-EU sad postaje Služba za kibernetičku sigurnost institucija, tijela, ureda i agencija Unije, ali zbog prepoznatljivosti zadržava skraćeni naziv – CERT-EU.

Subjekti Unije uspostavit će unutarnje postupke upravljanja kibernetičkom sigurnosti i postupno će uvesti posebne mjere upravljanja kibernetičkim sigurnosnim rizicima predviđenim Uredbom.

Iako se odnosi na tijela Unije, korisno je pogledati odredbe Uredbe i upoznati se s tekstom članaka koji uređuju sljedeće:

• Okvir za upravljanje kibernetičkim sigurnosnim rizicima – članak 6
• Procjena zrelosti kibernetičke sigurnosti – članak 7
• Mjere upravljanja kibernetičkim sigurnosnim rizicima – članak 8
• Aranžmani za razmjenu informacija o kibernetičkoj sigurnosti -članak 20
• Obveze izvješćivanja – članak 21
• Koordinacija i suradnja pri odgovoru na incidente – članak 22
• Upravljanje velikim incidentima – članak 23

Sadržaj Uredbe se može iskoristiti kao smjernica koja daje obrise okvira u kojima će se kretati obveze subjekata iz opsega primjene NIS 2 Direktive. Dok čekamo donošenje novog Zakona o kibernetičkoj sigurnosti te pripadajućih provedbenih ataka, iz odredbi Uredbe mogu se napraviti planovi aktivnosti kao priprema za sve što nas kao obveznike primjene NIS 2 Direktive očekuje.

Izvor: https://ec.europa.eu/commission/presscorner/detail/hr/ip_23_6782, Uredba 2023/2841

Izvori dokumenata na hrvatskom jeziku:

UREDBA (EU, Euratom) 2023/2841 EUROPSKOG PARLAMENTA I VIJEĆA od 13. prosinca 2023. o utvrđivanju mjera za visoku zajedničku razinu kibernetičke sigurnosti u institucijama, tijelima, uredima i agencijama Unije

KOMUNIKACIJA KOMISIJE EUROPSKOM PARLAMENTU, EUROPSKOM VIJEĆU, VIJEĆU, EUROPSKOM GOSPODARSKOM I SOCIJALNOM ODBORU TE ODBORU REGIJA o strategiji EU-a za sigurnosnu uniju COM(2020) 605 final

ZAJEDNIČKA KOMUNIKACIJA EUROPSKOM PARLAMENTU I VIJEĆU Strategija EU-a za kibersigurnost za digitalno desetljeće  JOIN(2020) 18 final

DIREKTIVA (EU) 2022/2555 EUROPSKOG PARLAMENTA I VIJEĆA od 14. prosinca 2022. o mjerama za visoku zajedničku razinu kibersigurnosti širom Unije, izmjeni Uredbe (EU) br. 910/2014 i Direktive (EU) 2018/1972 i stavljanju izvan snage Direktive (EU) 2016/1148 (Direktiva NIS 2)

Uredba (EU) 2019/881 Europskog parlamenta i Vijeća od 17. travnja 2019. o ENISA-i (Agencija Europske unije za kibersigurnost) te o kibersigurnosnoj certifikaciji u području informacijske i komunikacijske tehnologije i stavljanju izvan snage Uredbe (EU) br. 526/2013 (Akt o kibersigurnosti)

PREPORUKA KOMISIJE (EU) 2017/1584 оd 13. rujna 2017. o koordiniranom odgovoru na kiberincidente i kiberkrize velikih razmjera

The post Nova Uredba Europske unije iz područja kibernetičke sigurnosti first appeared on CERT.hr.