Finansudvalget 2021-22
Aktstk. 370
Offentligt
2630154_0001.png
TLP:WHITE
Finansudvalget 2021-22
Aktstk. 370 - endeligt svar på § 16 spørgsmål 1
Offentligt
Cybervejrudsigt i
sundhedssektoren
Q2 2022
Publiceret af:
Den decentrale cyber- og informationssikkerhedsenhed i
sundhedssektoren (DCISsund)
[email protected]
@DCIS_Sund
Aktstk. 370 - 2021-22 - Endeligt svar på spørgsmål 1: Spm., om Folketinget vil blive orienteret om indkomne cyberangreb, således at der kan opnås et kendskab til risikobilledet, til sundhedsministeren
2630154_0002.png
TLP:WHITE
Introduktion
Baggrund
Cybervejrudsigten publiceres af sundhedssektorens
DCISsund (Decentral cyber- og informationssikker-
hedsenhed) hvert kvartal og er en opdatering på de
vigtigste aktuelle cyber- og informationssikkerheds-
hændelser i sundhedssektoren.
Cybervejrudsigten skaber et overblik over begi-
venheder fra de seneste kvartaler og forudsiger
på baggrund af disse, hvilke begivenheder, der kan
forventes i det næste kvartal.
Den kan benyttes som sektorspecifik rådgivning til
sundhedssektorens løbende risikovurdering og ope-
rative overblik.
Resume
TLP-mærkning
Al information, som sendes ud fra sundhedssekto-
rens DCIS, TLP-mærkes.
TLP-skalaen er opdelt i fire niveauer, som både i
navn og farvekode indikerer, hvor følsomme informa-
tionerne er, og hvordan de må anvendes af modtage-
ren. Det er vigtigt at understrege, at restriktionerne
for deling både gælder det markerede dokument
samt anden mundtlig og skriftlig omtale af indholdet.
Denne publikation er TLP:WHITE - Informationerne anses
ikke som særligt følsomme og kan frit deles. WHITE væl-
ges, når afsenderen har vurderet, at der er minimal eller
slet ingen risiko ved at offentliggøre informationerne.
DCISsund sænker trusselsniveauet til
Generel:Blå,
hvilket indikerer en generel risiko for hacking, mal-
ware eller anden ondsindet aktivitet, der kan lede til
alvorlig tab af tilgængelighed, fortrolighed, autentici-
tet eller integritet.
Det vurderes, at der er et potentiale for ondsindede
cyberaktiviteter, men der er ikke eksempler på
igangværende udnyttelse.
også vil være gældende, hvis Rusland vælger at
angribe allierede til Ukraine.
Der advares i bredt omkring ”collateral damage”, hvis
man benytter Ukrainske leverandører. ”Collateral
damage” dækker over hændelser og/eller skader, som
ikke kun har konsekvenser for det tilsigtede/direkte mål.
Anbefalinger:
Nets nedbrud
Den 21. juni 2022 blev Nets ramt af et nedbrud.
DCISsund anbefaler, at man sikrer at
beredskabsplaner og backups er opdaterede og
tilgængelige, og stadig aktivt søger og udbedrer
Log4Shell-sårbarhederne.
Datagrundlag
DCISsund overvåger og udsender løbende varsler til
aktører i sundhedssektoren. Varslerne udsendes på
baggrund af data fra vores kollegaer i sundhedssek-
toren globalt set. Disse triagerer vi med information
fra Center for Cybersikkerhed (CfCS), risikovurderin-
ger fra aktørerne i sektoren, åbne kilder samt andre
sektor-DCIS’er.
De oplistede varsler er et udpluk af de mest kritiske
udsendte varsler. Listerne er derved ikke udtømmende.
Kritikalitet
DCISsund har valgt at benytte samme metodik som
CIS (Center for Internet Security) til vurdering af
trusselsniveau.
Truslen vurderes inden for 5 niveauer og afbildes
med 5 ikoner og farver, som ses nedenfor.
Valideringen af brugere gennem det såkaldte
rod-certifikat (ICA3) var berørt af den aktuelle drifts-
På nuværende trusselsniveau
Generel:Blå
bør man
forstyrrelse. Dette certifikat benyttes til validering af generelt overveje at:
omkring en tredjedel af brugerne af NemID.
Identificer sårbare systemer
Øge overvågning af kritiske systemer
En del systemer i sundhedssektoren var ramt af
Implementere passende modforanstaltninger for
nedbruddet, DCISsund gik derfor i et let informati-
at beskytte sårbare kritiske systemer
onsberedskab, for at sikre hurtig og effektiv dialog
Når løsninger, fx patches er tilgængelige, test og
med sundhedssektorens aktører.
implementer i et vindue, der passer driften
DCISsund fulgte og undersøgte siturationen nøje og
var i tæt dialog med berørte aktører. Der blev varslet
Derudover bør man i stadig relation til trusselsbille-
om hændelsen bredt i sektoren.
det i forbindelse med krigen i Ukraine:
Nets foretog en teknisk ændring d. 26. juni hvilket fik
Sikrer sig, at beredskabsplaner er opdaterede og
systemerne tilbage på normal drift, hvorefter DCIS-
tilgængelige.
sund gik ud af informationsberedskabet.
Opretholde offline backups af kritiske data for at
beskytte mod tab af integritet eller tilgængelighed
i tilfælde af brud.
Øget awareness til medarbejderes omkring mulige
Krigen i Ukraine
phishing-angreb.
Siden krigen i Ukraine startede, har DCISsund arbej-
det på robusthed i sektoren. Der blev skruet yderli-
gere op for videndelings niveauet på tværs af landet,
med ugentlige møder, sammen med regioner og
kommuner, hvor robushed og trusler blive vurderet.
DCISsund udarbejder derudover ugentlige briefs, som
indeholder det aktuelle situationsoverblik, trusselsbil-
lede, status i sektoren, anbefalinger, risikoscenarier og
ad-hoc vurderinger, som løbende sendes ud til sektoren.
Indtil videre har Rusland primært angrebet kritisk
infrastruktur inden for finans- og telesektoren samt
statslige hjemmesider i Ukraine. Vi formoder, at dette
Lav:Grøn
Generel:Blå
Øget:Gul
Høj:Orange
Kritisk:Rød
2
3
TLP:WHITE
Q2 2022
Aktstk. 370 - 2021-22 - Endeligt svar på spørgsmål 1: Spm., om Folketinget vil blive orienteret om indkomne cyberangreb, således at der kan opnås et kendskab til risikobilledet, til sundhedsministeren
2630154_0003.png
TLP:WHITE
Varsler & hændelser i sundhedssektoren
3. Kvartal 2021
4. Kvartal 2021
1. Kvartal 2022
2. Kvartal 2022
Generel
Udvalgte varsler
Kritisk sårbarhed i FortiWeb OS
Aktiv udnyttelse af ProxyShell sårbar-
heder
Sårbarheder i Atlassain Confluence
Sårbarheder i Palo Alto produkter
Øget
Udvalgte varsler
Kritisk sårbarhed i Apache Log4j
kodebibliotek
Citrix ADC, Citrix Gateway og Citrix
SD-WAN WANOP
Zero-day i Windows installer (MSI)
Multiple Vulnerabilities in Apache
HTTP Server Affecting Cisco Products
Øget
Udvalgte varsler
Destruktive cyberangreb observeret
mod ukrainske organisationer
Zero-day fix til apple enheder
Zero-day i Google Chrome browser
Øget fokus på kritisk infrastruktur
2 Zero-days i Mozilla Firefox
Sårbarhed i Infusionspumper
Generel
Udvalgte varsler
Kritiske sårbarheder i VMware
Kritisk opdatering til Zyxel firewlls og VPN
TLSstorm sårbarhed i Avaya og Aruba
Hackere udnytter kritisk fejl i Zyxel
firewalls og VPN’er
Alvorlige sårbarheder i SonicWall
SSLVPN SMA 1000-serien
Antal udsendte varsler
10
H�½j
0
Kritisk
3
Lav
Antal udsendte varsler
11
9
1
�½get
H�½j
Kritisk
1
Lav
Antal udsendte varsler
13
11
0
Kritisk
5
Lav
Antal udsendte varsler
23
14
8
2
Generel
�½get
H�½j
Kritisk
7
1
Lav
0
Generel
�½get
5
Generel
8
Generel
�½get
H�½j
4
5
TLP:WHITE
Q2 2022
Aktstk. 370 - 2021-22 - Endeligt svar på spørgsmål 1: Spm., om Folketinget vil blive orienteret om indkomne cyberangreb, således at der kan opnås et kendskab til risikobilledet, til sundhedsministeren
2630154_0004.png
TLP:WHITE
Varsler & hændelser Q2 2022
Kritisk opdatering til Zyxel firewlls
og VPN
1. april 2022 -
Høj:Orange
Zyxel har udsendt sikkerhedsopdateringer som
addresserer sårbarheder nogle af deres business
firewall og VPN produkter sårbarheden har fået en
CSS på 9.8!
flg produkter er ifølge Zyxel impliceret
USG/ZyWALL running firmware versions ZLD V4.20
through ZLD V4.70 (fixed in ZLD V4.71)
USG FLEX running firmware versions ZLD V4.50
through ZLD V5.20 (fixed in ZLD V5.21 Patch 1)
ATP running firmware versions ZLD V4.32 through
ZLD V5.20 (fixed in ZLD V5.21 Patch 1)
VPN running firmware versions ZLD V4.30 through
ZLD V5.20 (fixed in ZLD V5.21)
NSG running firmware versions V1.20 through V1.33
Patch 4 (Hotfix V1.33p4_WK11 available now, with
standard patch V1.33 Patch 5 expected in May 2022)
Det anbefales at firmwareopdatere sine Zyxel-pro-
dukter
Kilde:
https://thehackernews.com/2022/03/zyxel-relea-
ses-patches-for-critical-bug.html
Udsendte varsler de sidste 12 måneder
9
8
7
6
5
4
3
2
1
0
https://www.bleepingcomputer.com/news/
security/zyxel-patches-critical-bug-affecting-fi-
rewall-and-vpn-devices/
https://www.zyxel.com/support/Zyxel-security-advi-
sory-for-authentication-bypass-vulnerability-of-fi-
rewalls.shtml
Det anbefales af man opdaterer sine systemer
Kilder
https://www.darkreading.com/vulnerabiliti-
es-threats/tls-flaws-leave-avaya-aruba-swit-
ches-open-to-complete-takeover
https://thehackernews.com/2022/05/critical-tl-
storm-20-bugs-affect-widely.html
https://www.bleepingcomputer.com/news/security/
hackers-are-exploiting-critical-bug-in-zyxel-fi-
rewalls-and-vpns/
https://www.zyxel.com/support/security_advisories.
shtml
https://www.rapid7.com/blog/post/2022/05/12/
cve-2022-30525-fixed-zyxel-firewall-unauthentica-
ted-remote-command-injection/
TLSstorm sårbarhed i Avaya og
Aruba
4. maj 2022 -
Høj:Orange
Vi er blevet opmærksom på en kritisk sårbarhed i
Avaya og Aruba switches
CVE-2022-23676 (CVSS score: 9.1) - Two memory
corruption vulnerabilities in the RADIUS client imple-
mentation of Aruba switches
CVE-2022-23677 (CVSS score: 9.0) - NanoSSL misuse
on multiple interfaces in Aruba switches
CVE-2022-29860 (CVSS score: 9.8) - TLS reassembly
heap overflow vulnerability in Avaya switches
CVE-2022-29861 (CVSS score: 9.8) - HTTP header
parsing stack overflow vulnerability in Avaya swit-
ches
HTTP POST request handling heap overflow vulnera-
bility in a discontinued Avaya product line (no CVE)
Hackere udnytter kritisk fejl i Zyxel
firewalls og VPN’er
16. maj 2022 -
Høj:Orange
CVE-2022-30525
CVSS 9.8
Hackere udnytter kritisk fejl i Zyxel firewalls og
VPN’er
Zyxel har frigivet en patch til en kritisk sårbahed,
som bliver aktivt udnyttet af cyberkriminelle.
Public POC på sårbarheden CVE-
2022-22972 som omhandler VMware
Workspace ONE, vIDM, og vRealize
Automation 7.6
30. maj 2022 -
Høj:Orange
Den 19 Maj udsendte vi et varsel omkring kritiske
sårbarheder I VMware.
Horizon3ai har nu frigivet et Public POC på sårbar-
heden CVE-2022-22972 som omhandler VMware
Workspace ONE, vIDM, og vRealize Automation 7.6,
Der gør det muligt at omgå authentication på oven-
stående produkter.
sårbarheden tillader en ikke-autenticeret, ekstern
angriber at afvikle vilkårlig kode som ’nobody’ bruger Mitigation for ovenstående er beskrevet på vmware
på den berørte enhed.
hjemmeside:
Zyxel anbefaler at man patcher omgående!
Kilder:
- https://www.vmware.com/security/advisories/
VMSA-2022-0014.html
45
36
38
10
3
Lav
Generel
�½get
H�½j
Q
tr3
2021
Q
tr4
Q
tr1
2022
Q
tr2
6
7
TLP:WHITE
Q2 2022
Kritisk
jul
aug
sep
okt
nov
dec
jan
feb
m
ar
apr
m
aj
jun
Aktstk. 370 - 2021-22 - Endeligt svar på spørgsmål 1: Spm., om Folketinget vil blive orienteret om indkomne cyberangreb, således at der kan opnås et kendskab til risikobilledet, til sundhedsministeren
2630154_0005.png
DCISsund
Den decentrale cyber- og informationssikkerhedsenhed
for sundhedssektoren
Den decentrale cyber- og informationssikkerhedsenhed
i sundhedssektoren (DCISsund) skal styrke arbejdet med
cyber- og informationssikkerhed på tværs af den danske
sundhedssektor.
Læs mere om DCISsund her