Sikkerhetsoppdateringer er ikke nødvendigvis nok til å avverge trusler, da mange slurver med å implementere oppdateringene. Nå viser det seg at flere eldre og godt kjente sårbarheter blir aktivt utnyttet av hackere.
Det amerikanske etterretningsbyrået NSA publiserte før helgen et sikkerhetsvarsel hvor de advarer mot det de mener er russiske hackere som fortsetter å utnytte sårbarheter som allerede er fikset med oppdateringer.
Fem sikkerhetshull
Sårbarhetene det dreier seg om omfatter utstyr og tjenester fra fem leverandørene, og ble tilkjennegjort allerede i 2018, 2019 og 2020. De fem sårbarhetene er som følger:
- CVE-2018-13379 - Fortinet
- CVE-2019-9670 - Zimbra
- CVE-2019-11510 - Pulse Secure
- CVE-2019-19781 - Citrix
- CVE-2020-4006 - VMware
– NSA, CISA og FBI er klar over at USAs regjering, kritisk infrastruktur og allierte nettverk blir konsekvent skannet, gjort til mål og utnyttet av russiske, statssponsede cyberaktører, skriver NSA i sikkerhetsmeldingen.
At angrepene også rettes mot allierte nettverk betyr at mange vestlige land kan være omfattet av hackerangrepene.
Ifølge NSA forsøker hackerne å skaffe seg informasjon som kan brukes til autentisering, for på den måten å legge til rette for dypere tilgang til systemene.
Etterretningsbyrået mener å vite at det er hackergruppen kjent som Cozy Bear som står bak, en gruppe som tidligere blant annet er blitt knyttet til angrep mot norske institusjoner. Gruppen skal også ha stått bak angrepet mot IT-sikkerhetsselskapet Fireeye.
Ble brukt til angrep mot Norge
En av sårbarhetene NSA nå advarer mot, CVE-2019-11510, ligger i VPN-tjenesten Pulse Secure. Denne har tidligere blitt omtalt av digi.no da den ble brukt til å angripe Norges Handelshøyskole og stjele passord og brukernavn.
Hullet ble kjent allerede i april 2019, men et helt år senere, i april i fjor, advarte Cybersecurity and Infrastructure Security Agency (CISA) at hullet fremdeles ble utnyttet av hackere. Nå, enda et år senere, ser det altså ut til at sårbarheten fortsetter å utgjøre en sikkerhetsrisiko.
En annen av sårbarhetene som fortsatt utnyttes av hackere, CVE-2019-19781, ligger i nettverksutstyr fra leverandøren Citrix. Dette er en kritisk sårbarhet som legger til rette for fjernangrep, og skal ifølge forskere ha rammet over 80 000 virksomheter.
Som digi.no rapporterte ble det oppdaget hackerverktøy som utnyttet denne sårbarheten på begynnelsen av fjoråret, og litt senere kom Citrix med en fiks.
For å beskytte seg mot de pågående hackerangrepene er anbefalingene fra NSA, som alltid, å sørge for at alle nødvendige sikkerhetsoppdateringer er installert. Byrået nevner også andre tiltak som å skille ut internett-rettede tjenester i små, isolerte nettverk.
Flere detaljer finner du i informasjonsdokumentet fra NSA.
Kinesiske hackere brukte NSA-verktøy flere år før det ble kjent gjennom Shadow Brokers-lekkasjen