End-of-Day report
Timeframe: Montag 04-10-2021 18:00 - Dienstag 05-10-2021 18:00
Handler: Wolfgang Menezes
Co-Handler: Robert Waldner
News
New UEFI bootkit used to backdoor Windows devices since 2012
A newly discovered and previously undocumented UEFI (Unified Extensible Firmware Interface) bootkit has been used by attackers to backdoor Windows systems by hijacking the Windows Boot Manager since at least 2012.
https://www.bleepingcomputer.com/news/security/new-uefi-bootkit-used-to-backdoor-windows-devices-since-2012/
HiKam - "Hi - Ich bin (nicht) deine Kamera"
Die Sicherheit von IoT-Geräten, wie z.B. Überwachungskameras, sollte viel mehr im Fokus von Herstellern und Nutzern liegen. In der Realität ist dies leider nicht der Fall.
Jahr für Jahr werden mehr IoT-Geräte entdeckt, die eine P2P-Cloud-Verbindung nutzen. Der Defcon-Talk von Paul Marrapese letztes Jahr und die letzte Entdeckung von Mandiant beschreiben nur einen Auszug dessen, was sich in diesem Bereich der IT-Security abgespielt hat. Im Rahmen dieses Blogposts möchten wir Ihnen aktuelle Informationen zur zugrundeliegenden IoT-Sicherheitsproblematik anhand eines konkreten Gerätes vorstellen: die HiKam S6.
https://sec-consult.com/de/blog/detail/hikam-hi-ich-bin-nicht-deine-kamera/
Kleinanzeigenbetrug mit gefälschter Post-Website
Kriminelle verwenden eine gefälschte Post-Website www.post-service.online für Kleinanzeigenbetrug. Sie suchen nach hochpreisigen Angeboten und geben vor, den Kauf über einen erfundenen Kurierservice der Post abwickeln zu wollen. Ziel ist es, den Opfern das Geld aus der Tasche zu ziehen, denn in weiterer Folge werden Kreditkartendaten abgefragt und die Freigabe einer Zahlung verlangt.
https://www.watchlist-internet.at/news/kleinanzeigenbetrug-mit-gefaelschter-post-website/
Vulnerabilities
Löchrige UPnP-Umsetzung in alten Broadcom-SDKs macht Router angreifbar
Einige Routermodelle mit EoL-Status etwa von Linksys & Cisco sind dank Lücken in alten Broadcom-SDK-Versionen via UPnP angreifbar. Updates gibt es nicht.
https://heise.de/-6209100
Sicherheitsupdate: Angreifer könnten auf Dateien von Apache-Webservern zugreifen
Angreifer haben es derzeit auf Apache-Webserver abgesehen. Davon ist aber nur eine bestimmte Version bedroht.
Die Path-Traversal-Lücke (CVE-2021-41773) betrifft ausschließlich die Apache-HTTP-Server-Version 2.4.49.
https://heise.de/-6209130
TYPO3-CORE-SA-2021-015: HTTP Host Header Injection in Request Handling
It has been discovered that TYPO3 CMS is susceptible to host spoofing due to improper validation of the HTTP Host header. TYPO3 uses the HTTP Host header, for example, to generate absolute URLs during the frontend rendering process. Since the host header itself is provided by the client, it can be forged to any value, even in a name-based virtual hosts environment.
CVE-ID: CVE-2021-41114
https://typo3.org/security/advisory/typo3-core-sa-2021-015
TYPO3-CORE-SA-2021-014: Cross-Site-Request-Forgery in Backend URI Handling
It has been discovered that the new TYPO3 v11 feature that allows users to create and share deep links in the backend user interface is vulnerable to cross-site-request-forgery. [...] To successfully carry out an attack, an attacker must trick his victim to access a compromised system. The victim must have an active session in the TYPO3 backend at that time.
https://typo3.org/security/advisory/typo3-core-sa-2021-014
Android Security Bulletin-October 2021
The Android Security Bulletin contains details of security vulnerabilities affecting Android devices. Security patch levels of 2021-10-05 or later address all of these issues.
https://source.android.com/security/bulletin/2021-10-01
docker: Mehrere Schwachstellen
Ein lokaler Angreifer kann mehrere Schwachstellen in docker ausnutzen, um seine Privilegien zu erhöhen oder Informationen offenzulegen.
http://www.cert-bund.de/advisoryshort/CB-K21-1033
SYSS-2021-047: Authentication Bypass in Omikron MultiCash
In der Desktopanwendung MultiCash 4 können mittels der Rechte- und Passwortüberprüfung administrative Rechte über die Anwendung erlang werden.
https://www.syss.de/pentest-blog/syss-2021-047-authentication-bypass-in-omikron-multicash
Security Bulletin: IBM Event Streams is potentially affected by multiple node vulnerabilities
https://www.ibm.com/blogs/psirt/security-bulletin-ibm-event-streams-is-potentially-affected-by-multiple-node-vulnerabilities-2/
Security Bulletin: IBM Event Streams is affected by potential data integrity issue (CVE-2020-25649)
https://www.ibm.com/blogs/psirt/security-bulletin-ibm-event-streams-is-affected-by-potential-data-integrity-issue-cve-2020-25649-2/
Security Bulletin: IBM Event Streams is affected by multiple vulnerabilities in the Java runtime
https://www.ibm.com/blogs/psirt/security-bulletin-ibm-event-streams-is-affected-by-multiple-vulnerabilities-in-the-java-runtime/
Security Bulletin: The Community Edition of IBM ILOG CPLEX Optimization Studio is affected by a vulnerability in libcurl (CVE-2021-22925)
https://www.ibm.com/blogs/psirt/security-bulletin-the-community-edition-of-ibm-ilog-cplex-optimization-studio-is-affected-by-a-vulnerability-in-libcurl-cve-2021-22925/
Security Bulletin: The Community Edition of IBM ILOG CPLEX Optimization Studio is affected by a vulnerability in libcurl (CVE-2021-22924)
https://www.ibm.com/blogs/psirt/security-bulletin-the-community-edition-of-ibm-ilog-cplex-optimization-studio-is-affected-by-a-vulnerability-in-libcurl-cve-2021-22924/
Security Bulletin: The Community Edition of IBM ILOG CPLEX Optimization Studio is affected by a vulnerability in libcurl (CVE-2021-22945)
https://www.ibm.com/blogs/psirt/security-bulletin-the-community-edition-of-ibm-ilog-cplex-optimization-studio-is-affected-by-a-vulnerability-in-libcurl-cve-2021-22945/
Security Bulletin: Publicly disclosed vulnerabilities from Kernel affect IBM Netezza Host Management
https://www.ibm.com/blogs/psirt/security-bulletin-publicly-disclosed-vulnerabilities-from-kernel-affect-ibm-netezza-host-management-14/
Security Bulletin: Apache Solr, shipped with IBM Operations Analytics - Log Analysis, susceptible to multiple vulnerabilities in Apache Tika
https://www.ibm.com/blogs/psirt/security-bulletin-apache-solr-shipped-with-ibm-operations-analytics-log-analysis-susceptible-to-multiple-vulnerabilities-in-apache-tika/
Security Bulletin: Vulnerability in MetadataExtractor used by Apache Solr affect IBM Operations Analytics - Log Analysis Analysis (CVE-2019-14262)
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerability-in-metadataextractor-used-by-apache-solr-affect-ibm-operations-analytics-log-analysis-analysis-cve-2019-14262/