Aktstk. 370 - 2021-22 - Endeligt svar på spørgsmål 1: Spm., om Folketinget vil blive orienteret om indkomne cyberangreb, således at der kan opnås et kendskab til risikobilledet, til sundhedsministeren

Finansudvalget 2021-22
Aktstk. 370
Offentligt

TLP:WHITE

Finansudvalget 2021-22

Aktstk. 370 - endeligt svar på § 16 spørgsmål 1

Offentligt

Cybervejrudsigt i

sundhedssektoren

Q2 2022

Publiceret af:

Den decentrale cyber- og informationssikkerhedsenhed i

sundhedssektoren (DCISsund)

[email protected]

@DCIS_Sund

Aktstk. 370 - 2021-22 - Endeligt svar på spørgsmål 1: Spm., om Folketinget vil blive orienteret om indkomne cyberangreb, således at der kan opnås et kendskab til risikobilledet, til sundhedsministeren

TLP:WHITE

Introduktion

Baggrund

Cybervejrudsigten publiceres af sundhedssektorens

DCISsund (Decentral cyber- og informationssikker-

hedsenhed) hvert kvartal og er en opdatering på de

vigtigste aktuelle cyber- og informationssikkerheds-

hændelser i sundhedssektoren.

Cybervejrudsigten skaber et overblik over begi-

venheder fra de seneste kvartaler og forudsiger

på baggrund af disse, hvilke begivenheder, der kan

forventes i det næste kvartal.

Den kan benyttes som sektorspecifik rådgivning til

sundhedssektorens løbende risikovurdering og ope-

rative overblik.

Resume

TLP-mærkning

Al information, som sendes ud fra sundhedssekto-

rens DCIS, TLP-mærkes.

TLP-skalaen er opdelt i fire niveauer, som både i

navn og farvekode indikerer, hvor følsomme informa-

tionerne er, og hvordan de må anvendes af modtage-

ren. Det er vigtigt at understrege, at restriktionerne

for deling både gælder det markerede dokument

samt anden mundtlig og skriftlig omtale af indholdet.

Denne publikation er TLP:WHITE - Informationerne anses

ikke som særligt følsomme og kan frit deles. WHITE væl-

ges, når afsenderen har vurderet, at der er minimal eller

slet ingen risiko ved at offentliggøre informationerne.

DCISsund sænker trusselsniveauet til

Generel:Blå,

hvilket indikerer en generel risiko for hacking, mal-

ware eller anden ondsindet aktivitet, der kan lede til

alvorlig tab af tilgængelighed, fortrolighed, autentici-

tet eller integritet.

Det vurderes, at der er et potentiale for ondsindede

cyberaktiviteter, men der er ikke eksempler på

igangværende udnyttelse.

også vil være gældende, hvis Rusland vælger at

angribe allierede til Ukraine.

Der advares i bredt omkring ”collateral damage”, hvis

man benytter Ukrainske leverandører. ”Collateral

damage” dækker over hændelser og/eller skader, som

ikke kun har konsekvenser for det tilsigtede/direkte mål.

Anbefalinger:

Nets nedbrud

Den 21. juni 2022 blev Nets ramt af et nedbrud.

DCISsund anbefaler, at man sikrer at

beredskabsplaner og backups er opdaterede og

tilgængelige, og stadig aktivt søger og udbedrer

Log4Shell-sårbarhederne.

Datagrundlag

DCISsund overvåger og udsender løbende varsler til

aktører i sundhedssektoren. Varslerne udsendes på

baggrund af data fra vores kollegaer i sundhedssek-

toren globalt set. Disse triagerer vi med information

fra Center for Cybersikkerhed (CfCS), risikovurderin-

ger fra aktørerne i sektoren, åbne kilder samt andre

sektor-DCIS’er.

De oplistede varsler er et udpluk af de mest kritiske

udsendte varsler. Listerne er derved ikke udtømmende.

Kritikalitet

DCISsund har valgt at benytte samme metodik som

CIS (Center for Internet Security) til vurdering af

trusselsniveau.

Truslen vurderes inden for 5 niveauer og afbildes

med 5 ikoner og farver, som ses nedenfor.

Valideringen af brugere gennem det såkaldte

rod-certifikat (ICA3) var berørt af den aktuelle drifts-

På nuværende trusselsniveau

Generel:Blå

bør man

forstyrrelse. Dette certifikat benyttes til validering af generelt overveje at:

omkring en tredjedel af brugerne af NemID.

›

Identificer sårbare systemer

›

Øge overvågning af kritiske systemer

En del systemer i sundhedssektoren var ramt af

›

Implementere passende modforanstaltninger for

nedbruddet, DCISsund gik derfor i et let informati-

at beskytte sårbare kritiske systemer

onsberedskab, for at sikre hurtig og effektiv dialog

›

Når løsninger, fx patches er tilgængelige, test og

med sundhedssektorens aktører.

implementer i et vindue, der passer driften

DCISsund fulgte og undersøgte siturationen nøje og

var i tæt dialog med berørte aktører. Der blev varslet

Derudover bør man i stadig relation til trusselsbille-

om hændelsen bredt i sektoren.

det i forbindelse med krigen i Ukraine:

Nets foretog en teknisk ændring d. 26. juni hvilket fik

›

Sikrer sig, at beredskabsplaner er opdaterede og

systemerne tilbage på normal drift, hvorefter DCIS-

tilgængelige.

sund gik ud af informationsberedskabet.

›

Opretholde offline backups af kritiske data for at

beskytte mod tab af integritet eller tilgængelighed

i tilfælde af brud.

›

Øget awareness til medarbejderes omkring mulige

Krigen i Ukraine

phishing-angreb.

Siden krigen i Ukraine startede, har DCISsund arbej-

det på robusthed i sektoren. Der blev skruet yderli-

gere op for videndelings niveauet på tværs af landet,

med ugentlige møder, sammen med regioner og

kommuner, hvor robushed og trusler blive vurderet.

DCISsund udarbejder derudover ugentlige briefs, som

indeholder det aktuelle situationsoverblik, trusselsbil-

lede, status i sektoren, anbefalinger, risikoscenarier og

ad-hoc vurderinger, som løbende sendes ud til sektoren.

Indtil videre har Rusland primært angrebet kritisk

infrastruktur inden for finans- og telesektoren samt

statslige hjemmesider i Ukraine. Vi formoder, at dette

Lav:Grøn

Generel:Blå

Øget:Gul

Høj:Orange

Kritisk:Rød

TLP:WHITE

Q2 2022

TLP:WHITE

Varsler & hændelser i sundhedssektoren

3. Kvartal 2021

4. Kvartal 2021

1. Kvartal 2022

2. Kvartal 2022

Generel

Udvalgte varsler

›

Kritisk sårbarhed i FortiWeb OS

Aktiv udnyttelse af ProxyShell sårbar-

heder

Sårbarheder i Atlassain Confluence

Sårbarheder i Palo Alto produkter

›

Øget

Udvalgte varsler

Kritisk sårbarhed i Apache Log4j

kodebibliotek

Citrix ADC, Citrix Gateway og Citrix

SD-WAN WANOP

Zero-day i Windows installer (MSI)

Multiple Vulnerabilities in Apache

HTTP Server Affecting Cisco Products

›

Øget

Udvalgte varsler

Destruktive cyberangreb observeret

mod ukrainske organisationer

Zero-day fix til apple enheder

Zero-day i Google Chrome browser

Øget fokus på kritisk infrastruktur

2 Zero-days i Mozilla Firefox

Sårbarhed i Infusionspumper

›

Generel

Udvalgte varsler

Kritiske sårbarheder i VMware

Kritisk opdatering til Zyxel firewlls og VPN

TLSstorm sårbarhed i Avaya og Aruba

Hackere udnytter kritisk fejl i Zyxel

firewalls og VPN’er

Alvorlige sårbarheder i SonicWall

SSLVPN SMA 1000-serien

Antal udsendte varsler

H�½j

Kritisk

Lav

Antal udsendte varsler

�½get

H�½j

Kritisk

Lav

Antal udsendte varsler

Kritisk

Lav

Antal udsendte varsler

Generel

�½get

H�½j

Kritisk

Lav

Generel

�½get

Generel

�½get

H�½j

TLP:WHITE

Q2 2022

TLP:WHITE

Varsler & hændelser Q2 2022

Kritisk opdatering til Zyxel firewlls

og VPN

1. april 2022 -

Høj:Orange

Zyxel har udsendt sikkerhedsopdateringer som

addresserer sårbarheder nogle af deres business

firewall og VPN produkter sårbarheden har fået en

CSS på 9.8!

flg produkter er ifølge Zyxel impliceret

USG/ZyWALL running firmware versions ZLD V4.20

through ZLD V4.70 (fixed in ZLD V4.71)

USG FLEX running firmware versions ZLD V4.50

through ZLD V5.20 (fixed in ZLD V5.21 Patch 1)

ATP running firmware versions ZLD V4.32 through

ZLD V5.20 (fixed in ZLD V5.21 Patch 1)

VPN running firmware versions ZLD V4.30 through

ZLD V5.20 (fixed in ZLD V5.21)

NSG running firmware versions V1.20 through V1.33

Patch 4 (Hotfix V1.33p4_WK11 available now, with

standard patch V1.33 Patch 5 expected in May 2022)

Det anbefales at firmwareopdatere sine Zyxel-pro-

dukter

Kilde:

https://thehackernews.com/2022/03/zyxel-relea-

ses-patches-for-critical-bug.html

Udsendte varsler de sidste 12 måneder

https://www.bleepingcomputer.com/news/

security/zyxel-patches-critical-bug-affecting-fi-

rewall-and-vpn-devices/

https://www.zyxel.com/support/Zyxel-security-advi-

sory-for-authentication-bypass-vulnerability-of-fi-

rewalls.shtml

Det anbefales af man opdaterer sine systemer

Kilder

https://www.darkreading.com/vulnerabiliti-

es-threats/tls-flaws-leave-avaya-aruba-swit-

ches-open-to-complete-takeover

https://thehackernews.com/2022/05/critical-tl-

storm-20-bugs-affect-widely.html

https://www.bleepingcomputer.com/news/security/

hackers-are-exploiting-critical-bug-in-zyxel-fi-

rewalls-and-vpns/

https://www.zyxel.com/support/security_advisories.

shtml

https://www.rapid7.com/blog/post/2022/05/12/

cve-2022-30525-fixed-zyxel-firewall-unauthentica-

ted-remote-command-injection/

TLSstorm sårbarhed i Avaya og

Aruba

4. maj 2022 -

Høj:Orange

Vi er blevet opmærksom på en kritisk sårbarhed i

Avaya og Aruba switches

CVE-2022-23676 (CVSS score: 9.1) - Two memory

corruption vulnerabilities in the RADIUS client imple-

mentation of Aruba switches

CVE-2022-23677 (CVSS score: 9.0) - NanoSSL misuse

on multiple interfaces in Aruba switches

CVE-2022-29860 (CVSS score: 9.8) - TLS reassembly

heap overflow vulnerability in Avaya switches

CVE-2022-29861 (CVSS score: 9.8) - HTTP header

parsing stack overflow vulnerability in Avaya swit-

ches

HTTP POST request handling heap overflow vulnera-

bility in a discontinued Avaya product line (no CVE)

Hackere udnytter kritisk fejl i Zyxel

firewalls og VPN’er

16. maj 2022 -

Høj:Orange

CVE-2022-30525

CVSS 9.8

Hackere udnytter kritisk fejl i Zyxel firewalls og

VPN’er

Zyxel har frigivet en patch til en kritisk sårbahed,

som bliver aktivt udnyttet af cyberkriminelle.

Public POC på sårbarheden CVE-

2022-22972 som omhandler VMware

Workspace ONE, vIDM, og vRealize

Automation 7.6

30. maj 2022 -

Høj:Orange

Den 19 Maj udsendte vi et varsel omkring kritiske

sårbarheder I VMware.

Horizon3ai har nu frigivet et Public POC på sårbar-

heden CVE-2022-22972 som omhandler VMware

Workspace ONE, vIDM, og vRealize Automation 7.6,

Der gør det muligt at omgå authentication på oven-

stående produkter.

sårbarheden tillader en ikke-autenticeret, ekstern

angriber at afvikle vilkårlig kode som ’nobody’ bruger Mitigation for ovenstående er beskrevet på vmware

på den berørte enhed.

hjemmeside:

Zyxel anbefaler at man patcher omgående!

Kilder:

- https://www.vmware.com/security/advisories/

VMSA-2022-0014.html

Lav

Generel

�½get

H�½j

tr3

2021

tr4

tr1

2022

tr2

TLP:WHITE

Q2 2022

Kritisk

jul

aug

sep

okt

nov

dec

jan

feb

apr

jun

DCISsund

Den decentrale cyber- og informationssikkerhedsenhed

for sundhedssektoren

Den decentrale cyber- og informationssikkerhedsenhed

i sundhedssektoren (DCISsund) skal styrke arbejdet med

cyber- og informationssikkerhed på tværs af den danske

sundhedssektor.

Læs mere om DCISsund her