Oracles uppdatering för oktober 2024 åtgärdar över 300 säkerhetsbrister och kräver omedelbar spridning

Oracles kritiska uppdatering för oktober 2024 (CPU) innehåller 334 nya säkerhetsuppdateringar som åtgärdar 220 unika CVE.

Noterbart är att 186 uppdateringar löser sårbarheter på distans som inte kräver autentisering.

Oracle Communications uppmärksammades mest, med 81 av 100 uppdateringar som hanterar kritiska brister som utnyttjas på distans utan autentisering. MySQL, Fusion Middleware, Financial Services Applications och E-Business Suite har också genomgått betydande uppdateringar, med 45 uppdateringar för MySQL (varav 12 åtgärdar problem som kan lösas på distans).

Andra produkter såsom Communications Applications, Analytics och PeopleSoft genomgick omkring ett dussin uppdateringar vardera. Mindre uppdateringar släpptes för Oracle Commerce, Java SE och olika företagsprodukter.

Oracle rekommenderar att kunderna implementerar uppdateringarna omedelbart eftersom hotaktörer har utnyttjat kända sårbarheter där uppdateringar redan fanns tillgängliga. Uppdateringen inkluderar även korrigeringar för ej utnyttjbara CVE och tredjepartskomponenter. Liksom vid tidigare uppdateringar betonar Oracle vikten av skyndsam uppdatering för att undvika cyberattacker på ej uppdaterade system.

Företag hackat efter att omedvetet ha anställt en nordkoreansk cyberbrottsling som distansarbetande IT-medarbetare

Ett icke namngivet företag, hackades efter att omedvetet ha anställt en nordkoreansk cyberbrottsling som distansarbetande IT-medarbetare. Personen hade förfalskat sina referenser och personuppgifter, vilket gav honom tillgång till företagets nätverk, där han laddade ned känslig data och ställde krav på lösensumma. Attacken rapporterades av Secureworks för att öka medvetenheten om ökat hot från nordkoreanska operatörer som utser sig vara IT-konsulter.

Konsulten, som tros vara en man, anställdes under sommaren och hade tillgång till företagets system i fyra månader. Han ska ha skickat sin lön tillbaka till Nordkorea genom att kringgå sanktioner med hjälp av komplexa metoder för penningtvätt. Efter att ha avskedats på grund av bristande arbetsresultat mottog företaget e-post med krav på lösensumma i kryptovaluta, med hot om att läcka de stulna uppgifterna om betalningen uteblev. Detta fall belyser en växande trend där nordkoreanska cyberoperatörer infiltrerar västerländska företag, och rapporter som antyder att sådan praxis även har påverkat även 100 andra framgångsrika bolag.  

Organisationer bör använda Cyberconnect360 för att rekrytera talanger, vilket säkerställer noggranna bakgrundskontroller och säkerhetsgranskning.

Microsoft-kunder utsätts för mer än 600 miljoner cyberattacker varje dag från cyberbrottslingar och nationella aktörer

Microsofts Digital Defense Report avslöjar att deras kunder utsätts för över 600 miljoner cyberhot dagligen, från ransomware till identitetsattacker. Statliga hotaktörer samarbetar alltmer med cyberbrottsgrupper och delar kunskap för spionage, påverkan och ekonomisk vinning. Denna samverkan har lett till en ökning av attacker där statliga grupper utnyttjar geopolitiska spänningar, som konflikterna i Ukraina och Israel, för att rikta in sig på globala aktörer.

Att skydda sig mot detta ständigt växande hotlandskap kräver en omfattande strategi för cybersäkerhet utöver sina rutinmässiga hygienåtgärder. Det är viktigt att stärka det digitala landskapet och engagera alla nivåer – från enskilda användare till företagsledare och regeringschefer – för att stärka sin motstådskraft mot de ökade hoten.

Dessutom använder cyberbrottslingar alltmer AI för mer sofistikerade attacker, vilket gör det avgörande för organisationer att anta flexibla och robusta cybersäkerhetsåtgärder. Microsofts rapport betonar att det hotfulla cyberklimatet är globalt och understryker vikten för organisationer att vara vaksamma mot dessa snabbt föränderliga hot.

Forskare varnar för fler än 200 skadliga appar som upptäckts på Google Play, med nästan åtta miljoner nedladdningar

Forskare har upptäckt över 200 skadliga appar som visas via Google Play mellan juni 2023 och april 2024, med nästan åtta miljoner nedladdningar. Dessa appar tillhör skadlig programvara som Joker, som stjäl information hos användare av premiumtjänster, och Adware, som visar påträngande annonser. Facestealer, Coper och Harly är ett par ytterligare identifierade hot.

Trots Google Plays säkerhetskontroller lyckas angripare ofta kringgå dessa genom tekniker såsom ‘versionering’, där skadlig kod distribueras via uppdateringar eller laddas från angriparkontrollerade servrar. Vissa skadekampanjer, som Necro och Goldoson, har nått miljontals användare genom att inbäddad skadlig kod i populära produkt- och livsstilsappar.

Forskarna rapporterade en övergripande nedgång i antalet skadliga attacker på Google Play, med i genomsnitt 1,7 miljoner blockeringar per månad.

För att skydda sig mot dessa skadliga appar bör användare läsa app-recensioner, granska behörigheter och undvika att installera appar som begär tillgång av känslig information.

CISA lägger till kritiska sårbarheter i SolarWinds, Windows och Firefox till listan över kända sårbarheter; myndigheter uppmanas till uppdatering senast den 5 november

Cybersecurity and Infrastructure Security Agency (CISA) har lagt till tre sårbarheter till sin lista över Kända exploaterade sårbarheter (KEV), inklusive en kritisk brist i SolarWinds Web Help Desk (WHD) som åtgärdades i augusti 2024. Denna brist, benämnd CVE-2024-28987, involverar hårdkodade referenser som tillåter angripare att få åtkomst till och manipulera WHD-data utan tillstånd.

SolarWinds utfärdade en snabbkorrigering strax efter att bristen rapporterades och uppmanar användare att uppdatera till WHD 12.8.3 Hotfix 2 eller senare. Federala myndigheter har fram till den 5 november 2024 att säkra sina system. Två andra sårbarheter är en Kernel-brist i Windows, CVE-2024-30088, utnyttjad av APT34 för att erhålla SYSTEM-privilegier, och en sårbarhet i Mozilla Firefox, CVE-2024-9680, potentiellt använd för spionage. CISA kräver att federala myndigheter åtgärdar dessa brister vid samma tidpunkt.

Nordkoreanska gruppen ScarCruft utnyttjar Windows ”zero-day” för att distribuera RokRAT-skador via äventyrade annonser

Den nordkoreanska hackargruppen ScarCruft, även känd som TA-RedAnt, har utnyttjat en nyuppdaterad zero-day sårbarhet i Windows, CVE-2024-38178, för att distribuera skadlig programvara kallat RokRAT. Bristen, betygsatt 7,5 på CVSS-skalan, handlar om ”memory corruption” i skriptmotorn, specifikt vid användning av Edge läget i Internet Explorer. Microsoft åtgärdade problemet i augusti 2024, men attacken krävde att användare klickade på en skadlig länk för att utlösa fjärrkörning av kod.

The AhnLab Security Intelligence Center och Sydkoreas National Cyber Security Center identifierade kampanjen, kallad “Operation Code on Toast” där ScarCruft utnyttjade en Internet Explorer-modul inom ett ‘toast’-annonsprogram för att distribuera skadlig programvara. Genom intrång i en lokal reklambyrås server infekterade angriparna enheter via booby-trappade annonser.

RokRAT möjliggör remote access, filenumerering och processavslutning, med hjälp av legitima molntjänster som Dropbox och Google Cloud som servrar för att undvika att bli upptäckta.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.