Uppdatering: Kritisk sårbarhet

Ytterligare en sårbarhet i det vanligt förekommande Apache-biblioteket Log4j som används för loggning och spårbarhet har upptäckts Log4j (CVE-2021-45046) denna drabbar även version 2.15.0 som först släpptes för att åtgärda problemet.


En ny version har släppts och Log4j 2.17.0 är nu den senaste versionen.


IRT vill understryka allvarligheten i denna sårbarhet och påminna om att ni omedelbart bör inventera och gå igenom era applikationer och system för att utreda om ni har sårbarheten eller inte.
Detta kan vara lite ”knepigt” eftersom Log4j kan finnas inbyggd i olika komponenter. Sök information hos respektive tillverkare/leverantör som ni har för ERA system.

CERT.se har uppdaterat sin information och trycker hårdare på vikten av att åtgärda detta.
Det räcker alltså inte att ”bara vänta på en patch” utan aktiva åtgärder krävs omgående!

https://cert.se/2021/12/uppdatering-om-det-allvarliga-laget-gallande-sarbarheten-i-log4j
https://cert.se/2021/12/kritisk-sarbarhet-i-apache-log4j

Kritisk sårbarhet

Kritisk sårbarhet Kritisk sårbarhet i vanligt förekommande Apache-biblioteket Log4j som används för loggning och spårbarhet.

IRT rekommenderar att ni omedelbart inventerar och går igenom era applikationer och system för att utreda om ni har sårbarheten eller inte.  Detta kan vara lite ”knepigt” eftersom Log4j kan finnas inbyggd i olika komponenter.  Sök information hos respektive tillverkare/leverantör som ni har för ERA system, alternativt ta del av generell information.

Mer information ang. Log4j finns på CERT.se https://cert.se/2021/12/kritisk-sarbarhet-i-apache-log4j

Temporärt stopp att ta emot bilagor i zip-format via e-post

Från den 16 november kl 15.00 kommer bilagor i zip-format att automatiskt tas bort från e-post som skickas till din e-postadress.

Studenter, kollegor eller personer utanför Umeå universitet som skickar e-post med zip-filer kommer få ett meddelande som lyder ”zip-filer är för närvarande inte tillåtna som bilaga”.

Stoppet beror på att det pågår intrångsförsök på både nationell och global nivå genom att nyttja bilagor i e-posten. Leverantören för e-post arbetar på att ta fram en lösning så snart som möjligt.

Fler typer av bilagor påverkas inte just nu

I dagsläget påverkas bara bilagor som är skickade som zip-filer – inte andra typer av bilagor. Men det kan komma att förändras. Därför ber vi dig att vara uppmärksam på om du får e-post med bilagor som du inte förväntat dig, som har konstigt namngivna bilagor, eller på andra sätt väcker din misstänksamhet.

Vidarebefordra gärna dessa e-postmeddelanden till abuse@umu.se så hjälper IRT-funktionen på ITS att göra en bedömning. Ha även för vana att hålla dig uppdaterad via Driftinfo och IRT-bloggen.

Studenternas e-post är inte påverkad

Umeå universitets studenter har sin e-post via O365 och påverkas inte av samma temporära stopp i sin e-post. Däremot kommer bilagor i zip-format som de skickar till medarbetare under stoppet inte komma fram. Om de försöker skicka e-post med en zip-fil får de ett meddelande om att ”zip-filer är för närvarande inte tillåtna som bilaga.”

Oklart hur länge stoppet behövs

I dagsläget är det oklart hur länge det temporära stoppet behövs. Det beror framför allt på hur snabbt leverantören kan åtgärda den sårbarhet som används. Så fort en lösning för sårbarheten är tillgänglig kommer ITS installera dessa och stoppet kan hävas.

Har du frågor?

Kontakta Servicedesk, www.umu.se/servicedesk

Virus: Mail som ser ut som gamla mail-konversationer

Vi har under dagen sett några exempel på mail-lådor (inte på UmU) som blivit kapade, då troligen av någon trojan. Det är externa användare som har skickat mail till användare på UmU och det är gamla mailkonversationer som återanvänds. Även om det tydligt framgår att avsändaren är en helt annan person än den ursprungliga, så vill hackarna lura dig till att tro att du svarar på en gammal mail-tråd. I mailet finns en länk till en webb-sajt där du förväntas ladda ner en zip-fil. Gör inte det då den innehåller virus!

Exempel på hur ett sådant mail kan se ut, men både avsändare och länk till zip-fil varierar:

Om du får ett sådant mail slänger du det direkt i papperskorgen.
Vi på IRT svarar gärna om du har fler frågor kring detta: irt@umu.se

Phishing-mejl: ”IT-service” och ”Observera – Svara nu”

Några exempel på vad som ligger i dagens skörd av phishing-mejl. Bägge exemplen har något gemensamt: De vill få dig stressad, känna att något är fel på din mejl/mobiltelefon och vem vill att något av detta ska sluta fungera? Låt dig aldrig stressa av sådana här mejl, utan kontakta istället IRT (irt@umu.se) om du är tveksam på om det är en korrekt uppmaning eller inte.

Det första exemplet kommer från en användare som troligen svarat på ett likadant brev redan och då fått sitt användarnamn och lösenord stulet och använt för att i sin tur skicka spam. Detta är ett klassiskt phishing-mejl som enkelt kan avslöjas genom att kontrollera avsändaren och om du mot förmodan ändå klickat på länken så hamnar du på ett standardformulär hos en gratistjänst som inte ser ut att ha något med UmU att göra.

Det andra exemplet vill att du ska svara på deras brev och svarsadressen indikerar att det handlar om något sorts bitcoin-scam. Även detta är ett tydligt exempel på när avsändaren och svarsadress borde ge dig röd varningsflagg. Nu utger sig visserligen den som skickade mailet att vara en hackare och då är det knappast korrekta adresser som använts, men att någon skulle lyckas placera en ”Trojan Horse Virus” på alla dina elektroniska enheter låter helt orimligt och som en typisk Google translate.

Exempel 1

Exempel 2