Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

fredag 4. april 2014

Oppsummering av nyhetsbildet mars 2014

Antallet alvorlige hendelser registrert av våre IDS-sensorer gikk noe opp i mars sammenlignet med februar. Det er for det meste social engineering og gamle exploits mot utdatert programvare som benyttes.

Denne måneden gikk antallet håndterte DDoS-hendelser den sammenlignet med februar. Noe av nedgangen kan skyldes automatiserte tiltak i Telenors nettverk. Det største angrepet gjennom perioden var på 27Gbps og 25 av angrepene var på over 10Gbps.

Telenors SOC har i slutten av februar observert at angripere ved flere tilfeller har logget seg inn på FTP-tjenere tilhørende kunder. Her klarer de å logge seg inn på tjeneren med gyldige brukernavn og passord. Disse er antakeligvis stjålet fra kompromitterte klientmaskiner. Angriperne sjekker så om de har skrivetilgang til til tjeneren ved å forsøke å laste opp en fil kalt “ftpchk3.php”. Dersom de får tilgang, forsøker de å laste opp skadelig kode og få lagt denne ut på eventuelle web-servere som befinner seg på samme tjener. Det anbefales ikke å ha FTP-tjenere eksponert mot Internett.

I februar ble det oppdaget en ny type DDoS-angrep. En angriper fikk 162.000 WordPress-sider til å angripe andre web-servere. Angrepet gjøres ved å bruke en ping-back-kommando i WordPress og be om at svaret sendes til offeret. Denne kommandoen sendes så til tusenvis av WordPress-sider. Sidene til KrebsOnSecurity.com ble blant annet tatt ned av dette angrepet. Flere norske bloggsider var også ufrivillig med i angrepet.

En svakhet i krypteringsbiblioteket GnuTLS gjorde det trivielt for en angriper å omgå SSL- og TLS-kryptering hos applikasjoner som benytter seg av biblioteket. Svakheten omfatter bl.a. populære Linux-distribusjoner som Red Hat, Ubuntu og Debian, men det er antatt at mer enn 200 forskjellige operativsystemer og applikasjoner benytter seg av biblioteket. Svakheten kan ha eksistert helt siden 2005. Apple patchet en lignende krypteringssvakhet sist måned.

Denne måneden ble konkurransen Pwn2Own avholdt i Canada. I denne konkurransen gis det ut store pengepremier for å hacke kjent programvare. Den store vinneren ble det franske sikkerhetsselskapet Vupen. Blant programvare som ble funnet sårbar var Chrome, Internet Explorer, FireFox, Java og Flash. Alle disse programmene ble utnyttet til å få kontroll over maskinen som ble angrepet. Dette viser at det stadig er mulig å finne svært alvorlige svakheter i mye brukt programvare.

Microsoft ga ut en FixIt-patch for en nyoppdaget sårbarhet i Microsoft Word. Sårbarheten ble observert i målrettede angrep og tillater en angriper å eksekvere kode på et sårbart system. Koden kan eksekveres dersom brukeren åpner en fil av typen RTF (Rich Text Format) som kommer fra angriperen eller dersomom brukeren bruker Outlooks forhåndsviser til å se på denne filen i en e-post.

I forbindelse med konflikten i Ukraina ble nettsidene til NATO, Kremlin og den russiske sentralbanken tatt ned ved hjelp av DDoS-angrep. Det ble også gjennomført mindre angrep mot medienettsteder i Ukraina samt målrettede DoS-angrep mot telefoner tilhørende Ukrainske politikere.

I denne månedens NSA-avsløringer kom det fram at NSA skal ha et system som kan ta opp alle telefonsamtaler i minst ett land og lagre disse i 30 dager. Det ble også avslørt at NSA har hacket seg inn i interne nettverk hos Huawei. Hensikten skal ha vært å tilegne seg kunnskap om selskapet og eventuelle knytninger motl myndighetene. De skal også ha ønsket å finne ut hvordan man kan utnytte svakheter i Huawei-produkter, for således å kunne tilegne seg tilgang til Huawei-baserte nettverk.

 
>