Tyvärr är denna artikel enbart tillgänglig på English.
Category: Blog
Healthcare Compliance in the Nordics & DACH: Navigating Regulation, Risk & Digital Transformation
Tyvärr är denna artikel enbart tillgänglig på English.
Consolidation is the Future of IT Operations: A Strategic Imperative for 2025
Tyvärr är denna artikel enbart tillgänglig på English.
DORA & Cyber Resilience Governance Strategies for 2025
Tyvärr är denna artikel enbart tillgänglig på English.
The Future of Protection is Cloud Security Mesh
Tyvärr är denna artikel enbart tillgänglig på English.
What is Hacking? Types, Tools, and How to Guard Against Cyber Threats
Tyvärr är denna artikel enbart tillgänglig på English.
A Guide to Types of Cyber Attacks
Tyvärr är denna artikel enbart tillgänglig på English.
How a CoE Can Supercharge Your Threat Detection Capabilities?
Tyvärr är denna artikel enbart tillgänglig på English.
Citrix-dataintrång av Iridium-hackare: 8 säkerhetsåtgärder för att förhindra IT
Citrix Systems, Inc. är ett amerikanskt multinationellt programvaruföretag som tillhandahåller servrar, tillämpnings- och datorvirtualiseringar, nätverk, programvara som tjänst (SaaS) och molntekniker. Citrix lösningar påstås användas av över 400 000 kunder runt om i världen, inklusive 99 procent av företagen på Fortune 100 och 98 procent av dem på Fortune 500.
Attacken
I mars månad varnade FBI Citrix för att en grupp Iran-baserade hackare som kallas Iridium hade attackerat företagets interna nätverk och stulit/nedladdat 6 TB mycket känsliga data. De hade utnyttjat en kombination av verktyg, tekniker och procedurer för att göra intrång i nätverket och därmed få tillgång till nätverket.
”Citrix beklagar djupt den påverkan incidenten kan ha haft på berörda kunder. Citrix strävar efter att uppdatera kunderna med mer information allt eftersom undersökningen fortskrider och fortsätter att arbeta tillsammans med relevanta polismyndigheter”, säger Black, CSIO på Citrix.
Hackartaktik
Enligt FBI använde hackaren en taktik som kallas password spraying och stulen inloggningsattack (credential stuffing). Password spraying är en teknik som används vid cyberattacker mot ett svagt lösenord för att kompromettera den första säkerhetsnivån och därefter gå vidare och bryta nästa säkerhetslager. En stulen inloggningsattack (credential stuffing) handlar om att man stjäl ett lösenord från datadumpar och sedan använder dem för att få tillgång till andra tjänster och därmed komprometterar säkerheten och tjänsterna. På så sätt lyckades hackare ta sig in och kunde ladda ned de känsliga filerna.
Rapport efter undersökningen
Baserat på den undersökning som gjorts bekräftade Citrix att hackare haft intermittent åtkomst till företagets nätverk mellan 13 oktober 2018 och 8 mars 2019 och att de avlägsnat filer från Citrix interna system. De stulna data innehåller information om nuvarande och tidigare anställda samt information om förmånstagare, personnummer och ekonomisk information.
Säkerhetsåtgärder för att förhindra sådana dataintrång:
1. Aktivera multifaktorautentisering (t.ex. Google Keys)
2. Aktivera captcha i vissa situationer
3. Svartlista de IP-adresser som härrör från ett fåtal (eller en) IP-adress. Blockera adresser som försöker logga in på flera olika konton
4. Generera varningar för det konto vars tröskelvärde nått maxtaket
5. Meddela användare och berörda team om de ovanliga säkerhetshändelserna
6. Införa en policy med flerstegsinloggning (t.ex. 2AF och multifaktorautentisering)
7. Begränsa åtkomsten utifrån
8. Förbjuda enkla lösenord och utbilda användarna i hur man använder komplexa lösenord med lösenordshanterare
Citrix lösning och förebyggande åtgärder
För att hitta en lösning på dataintrånget och ta fram förebyggande åtgärder inför framtiden inledde Citrix ett samarbete med ett ledande cybersäkerhetsföretag som bistod det interna teamet med den kriminaltekniska undersökningen. De samarbetar också med FBI i samband med deras undersökning av IT-brottslingarna.
Känner du att känsliga data är tillräckligt säkra?
Om inte bör du skynda dig och få en kostnadsfri säkerhetsbedömning av oss.
DELL-SÅRBARHET: HUR FÖREBYGGER MAN FJÄRRHACKNING?
Undrar du någonsin över den inbyggda programvaran i datorn? Vad händer om den påverkar säkerheten? Vilket är det värsta tänkbara scenariot? Ett förinstallerad program i datorn kan utgöra en allvarlig säkerhetsrisk. Låt oss förstå vad som kan hända med hjälp av ett exempel nyligen från ett intrång hos Dell, ett välkänt datorteknikföretag som är verksamma inom hårdvaru- och mjukvarusystem.
Dell är ett amerikanskt multinationellt datorteknikföretag med kärnexpertis inom hårdvara och mjukvara. Ett globalt företag som designar, utvecklar och tillverkar persondatorer (pc) samt ett antal olika datorrelaterade produkter.
Dell SupportAssist, tidigare känt som Dell System Detect, kontrollerar hälsan på datorsystemets hårdvara och mjukvara. Målet med att ha denna funktion i systemet är följande:
1. Interagera med Dell Support-webbplatsen och automatiskt detektera en Service Tag eller Express Service Code för Dell-produkten
2. Skanna befintliga enhetsdrivrutiner och installera saknade drivrutiner eller befintliga uppdateringar
3. Utföra diagnostiska tester av hårdvaran
Bill Demirkapi, en ung (17-årig) oberoende säkerhetsforskare upptäckte en kritisk sårbarhet med fjärrstyrd kodkörning i funktionen Dell SupportAssist.
Hur fungerar då Dell SupportAssist? Den körs på en webbserver lokalt i användarsystemet och använder någon av portarna 8884, 8883, 8886 eller 8885. Den accepterar olika kommandon som URL-parametrar för att utföra vissa fördefinierade uppgifter på datorn. Dessa uppgifter innefattar aktiviteter som insamling av detaljerad systeminformation eller nedladdning av programvara från en fjärrserver och installation av den i systemet.
”En obehörig person som attackerar systemet, och delar nätverksåtkomstlagret med det sårbara systemet, kan kompromettera det sårbara systemet genom att lura en användare att ladda ned och exekvera en godtycklig körbar kod via SupportAssist-klienten från en attacksajt”, säger det multinationella datorteknikföretaget Dell i ett meddelande.
Vår nästa generations cybersäkerhetstjänst kan dock förebygga ovan identifierad ARP-attack tack vare detekterings- och åtgärdsprocess baserad på IOC och IOA. Genom att analysera det digitala avtrycket kan vi förebygga sådana attacker med hjälp av digital forensisk teknik och bedrägerihanteringsteknik. Vad beträffar företagsnätverksinfrastruktur kan vi göra följande:
1. Automatisera hotkorrelationssystemet och förebygga attacker med hjälp av AI-drivna analyser av hotunderrättelser och beteenden.
2. Hitta en sådan attack med hjälp av en proaktiv hotjaktstjänst (säkerhetsanalyser för att detektera okända och dolda hot).
3. Övervaka nätverksenheter och slutanvändarenheter för att identifiera riskerna i miljön.
4. Blockera hot i miljön med IOC/IOA.
Efter att problemet blivit känt har Dell åtgärdat en sårbarhet vid validering av felaktigt ursprung (CVE-2019-3718) i programvaran Support Assist. Detta kommer att hjälpa användarna att förebygga CSRF-attacker (Cross-Site Request Forgery) i systemen.
