Auf diesem Blog können Mitarbeiter:innen von CERT.at Beiträge veröffentlichen. Da dies möglichst unbürokratisch abläuft, werden die darin vertretenen Meinungen nicht immer auch von CERT.at vertreten.
Der CERT.at Blog kann alternativ auch als Feed bezogen werden.
Dec 22
Juniper backdoors
Juniper hat in einem Advisory (hier unsere unsere Warnung dazu) der Welt gesagt, dass sie bei einem Code-Audit zwei Hintertüren in ScreenOS gefunden haben.Die eine ist eine technisch ziemlich triviale Sache: ein konstantes Passwort erlaubt den Login per ssh oder telnet. Angeblich hat es nur ...
Dec 02
Ponmocup
Aktuell ist das Botnet, zu dem wir die meisten Infektionen gemeldet bekommen, immer noch Conficker. Weit abgeschlagen dahinter finden sich "gozi", "nymaim", "ZeuS" (incl. Varianten), "tinba" und "dyre". Die genauen Zahlen variieren stark, da ist die Konsistenz der Messungen nicht die beste.Jetzt ...
Nov 19
GovCERT.ch zu den DDoS-Erpressungen
Die Kollegen aus der Schweiz haben ausführlich zu den aktuellen Erpressungsversuchen (DD4BC/Armada Collective) gebloggt und auch eine Zusammenfassung über Mitigations-Massnahmen geschrieben.Wir können uns dem nur anschliessen.Autor: Robert Waldner
Nov 16
DD4BC / Armada Collective: Erpressung mittels DDoS
Das ist mal wieder nichts wirklich Neues. Distributed Denial of Service Angriffe gibt es schon lange, das mag mit Turf-Fights in der Rotlicht-Szene angefangen haben, der Angriff auf Estland 2007 hat das Thema groß in die Presse gebracht, und spätestens seit den Angriffen der "Anonymous"-Bewegung ...
Verfasst von: Otmar Lendl
Nov 12
Die Apache Software Foundation zu dem Java Commons Collection/Java (De)Serialization Problem
Die Apache Software Foundation hat dazu einen ausführlichen Blog-Post verfasst.Die Money Quote daraus: "Even when the classes implementing a certain functionality cannot be blamed for this vulnerability, and fixing the known cases will also not make the usage of serialization in an untrusted ...
Nov 09
Ransomware meets CMS / Linux
Ransomware am PC gibt es schon seit Jahren: Die Malware sperrt/verschlüsselt den infizierten PC und verlangt Lösegeld dafür, damit der User weiterarbeiten kann.Dass schlecht gewartete Webseiten mit Joomla, Wordpress, Drupal & co ein Fressen für Hacker sind, ist auch nichts neues. ...
Oct 23
5E5: Die nächste runde Ticketnummer
Es ist soweit: unser Ticketsystem hat wieder eine symbolische Grenze überschritten: Wir haben das Ticket #500000 behandelt:Date: Thu Oct 22 11:07:54 2015
Queue: Investigations
Subject: [CERT.at #500000] SSDP-Service aus dem Internet erreichbar in AS12635 Was bedeuten diese Zahlen? ...
Queue: Investigations
Subject: [CERT.at #500000] SSDP-Service aus dem Internet erreichbar in AS12635 Was bedeuten diese Zahlen? ...
Oct 08
Wieder WLAN/SOHO router - remote root
Wie viele der kleinen WLAN Router (auch "SOHO" Router - small home and office router - genannt), hat auch Netgear bei der Sicherheit vom Web Interface gepatzt - so scheint es.
Heute wurde bekannt, dass Netgear WNR1000v4 Router (eventuell sind auch andere Modelle betroffen) mit den folgenden Firmware ...
Sep 18
Router Security / SYNful Knock
Wir bekamen Anfragen zum Thema SYNful Knock (Siehe FireEye Teil 1, Teil 2). Uns war das keine Warnung wert, daher fasst dieser Blogpost unseren Standpunkt zusammen:Management Summary
* Der SYNful Knock Angriff ist keine neue Kategorie von Bedrohungen.
* Es gibt keinen bekannten ...
* Der SYNful Knock Angriff ist keine neue Kategorie von Bedrohungen.
* Es gibt keinen bekannten ...
Aug 31
Patch für Schwachstelle in Hewlett Packard lt4112 LTE/HSPA+ Gobi 4G Module (Remote Execution of Arbitrary Code)
Beschreibung
Hewlett Packard hat ein Security Bulletin zu einer Sicherheitslücke im HP lt4112 LTE/HSPA+ Gobi 4G Module veröffentlicht. Die Schwachstelle erlaubt einem entfernten Angreifer das Ausführen beliebigen Codes. Ein Firmware-Update, welches das Problem behebt, ist verfügbar. ...