End-of-Day report
Timeframe: Dienstag 11-10-2022 18:00 - Mittwoch 12-10-2022 18:00
Handler: Michael Schlagenhaufer
Co-Handler: Robert Waldner
News
Ein guter Tag für Freund:innen von Adobe Software und gepflegtem Patchen
Da kann man sich nicht beschweren: nicht nur eine kritische Lücke in Adobe Commerce und Magento Open Source (CVSS 10.0 - Highscore-verdächtig), sondern auch gleich deren mehrere in Adobe ColdFusion (unter Anderem 4x mit CVSS 9.8 und 1x mit 8.1). Nutzer:innen von Adobe Acrobat/Acrobat Reader kommen ebenfalls nicht zu kurz, auch wenn man dort dank Auto-Updates vielleicht nicht selbst so viel Spass mit dem Patchen hat. Und auch wenn ich nicht weiß, was (eine) Adobe Dimension ist: Admins haben dort 4x CVSS 7.8 - Freude.
https://cert.at/de/blog/2022/10/ein-guter-tag-fur-freundinnen-von-adobe-software-und-gepflegtem-patchen
New npm timing attack could lead to supply chain attacks
Security researchers have discovered an npm timing attack that reveals the names of private packages so threat actors can release malicious clones publicly to trick developers into using them instead.
https://www.bleepingcomputer.com/news/security/new-npm-timing-attack-could-lead-to-supply-chain-attacks/
Malicious WhatsApp mod distributed through legitimate apps
The malicious version of YoWhatsApp messenger, containing Triada trojan, was spreading through ads in the popular Snaptube app and the Vidmate apps internal store.
https://securelist.com/malicious-whatsapp-mod-distributed-through-legitimate-apps/107690/
Userland Execution of Binaries Directly from Python
TL;DR: If you are familiar with what a userland binary execution tool does and you just want to see the code and/or test it, skip the rest of this post and go to the project GitHubs page.
https://www.anvilsecure.com/blog/userland-execution-of-binaries-directly-from-python.html
A deep dive into CVE-2021-42847 - arbitrary file write and XXE in ManageEngine ADAudit Plus before 7006
After coming across a vulnerable instance during a pentest, and discovering that no root cause analysis or PoC has ever been made available for this vulnerability, I decided to have a closer look myself.
https://medium.com/@erik.wynter/pwning-manageengine-from-endpoint-to-exploit-bc5793836fd
Brute-Force-Angriffe: Microsoft rüstet Schutzmechanismus nach
Die Windows-Updates zum Oktober-Patchday haben auch eine neue Funktion mitgebracht. Sie sperrt lokale Administratorkonten bei fehlerhaften Log-in-Versuchen.
https://heise.de/-7306276
Abo-Falle bei der Wohnungssuche auf rentola.at
Sind Sie gerade auf Wohnungssuche? Dann nehmen Sie sich vor einem undurchsichtigen Abo-Vertrag auf rentola.at in Acht. Geworben wird mit unzähligen Wohnungen in ganz Österreich und auf der ganzen Welt. Für eine erste Nachricht an Vermieter:innen müssen Sie jedoch 1 Euro bezahlen. Ein versteckter Kostenhinweis verrät: Hier landen Sie in einem teuren Abonnement!
https://www.watchlist-internet.at/news/abo-falle-bei-der-wohnungssuche-auf-rentolaat/
Qakbot Being Distributed as ISO Files Instead of Excel Macro
There is a recent increase in the distribution method of malware through ISO files. Among the malware, it has been identified that Qakbot, an online banking malware, has had its distribution method changed from Excel 4.0 Macro to ISO files.
https://asec.ahnlab.com/en/39537/
VMware vCenter Server bug disclosed last year still not patched
VMware informed customers today that vCenter Server 8.0 (the latest version) is still waiting for a patch to address a high-severity privilege escalation vulnerability disclosed in November 2021.
https://www.bleepingcomputer.com/news/security/vmware-vcenter-server-bug-disclosed-last-year-still-not-patched/
Vulnerabilities
Kritische Sicherheitslücke in Magento Open Source und Adobe Commerce - Updates verfügbar
Adobe hat Updates für die E-Commerce Software Suites Magento Open Source und Adobe Commerce herausgegeben. CVE-Nummer(n): CVE-2022-35698 CVSS Base Score: 10.0. Angreifer:innen können beliebigen Code auf betroffenen Systemen ausführen (vermutlich mit den Rechten des Webservers), und haben Zugriff auf alle Daten die im E-Commerce System gespeichert sind.
https://cert.at/de/warnungen/2022/10/kritische-sicherheitslucke-in-magento-open-source-und-adobe-commerce-updates-verfugbar
Microsoft Security Update Summary (11. Oktober 2022)
Am 11. Oktober 2022 hat Microsoft Sicherheitsupdates für Windows-Clients und -Server, für Office usw. - sowie für weitere Produkte - veröffentlicht. Die Sicherheitsupdates beseitigen 84 Schwachstellen -
https://www.borncity.com/blog/2022/10/11/microsoft-security-update-summary-11-oktober-2022/
Exchange Server Sicherheitsupdates (11. Oktober 2022)
Microsoft hat zum 11. Oktober 2022 Sicherheitsupdates für Exchange Server 2013, Exchange Server 2016 und Exchange Server 2019 veröffentlicht. Diese Updates sollen Schwachstellen, die von externen Sicherheitspartnern gemeldet oder durch Microsoft gefunden wurden, schließen. Die seit Ende September 2022 bekannten 0-day-Schwachstellen (ProxyNotShell) werden aber nicht beseitigt.
https://www.borncity.com/blog/2022/10/12/exchange-server-sicherheitsupdates-11-oktober-2022/
IBM Security Bulletins 2022-10-11
IBM Robotic Process Automation, IBM App Connect Enterprise, IBM Security Identity Management, IBM Security Guardium, IBM Cloud Pak, Rational Change, IBM Navigator Mobile Android, Rational Synergy.
https://www.ibm.com/blogs/psirt/
Schneider Elecronic Security Advisories 2022-10-11
4 new, 8 updated
https://www.se.com/ww/en/work/support/cybersecurity/security-notifications.jsp
Webbrowser: Google schließt sechs Sicherheitslücken in Chrome
Google hat ein Update für den Webbrowser Chrome veröffentlicht. Es schließt insgesamt sechs Sicherheitslücken, von denen ein hohes Risiko ausgeht.
https://heise.de/-7305732
Fortinet-Patchday: Mehrere kritische Lücken geschlossen
Nachdem am Wochenende eine kritische Sicherheitslücke in Fortinet-Produkten bekannt wurde, hat das Unternehmen nun weitere Updates bereitgestellt.
https://heise.de/-7306400
Security updates for Wednesday
Security updates have been issued by Debian (mediawiki and twig), Oracle (expat, gnutls and nettle, and kernel), Red Hat (expat, kernel, and kpatch-patch), and Ubuntu (advancecomp and dotnet6).
https://lwn.net/Articles/910953/
Zoom Video Communications: Mehrere Schwachstellen
Ein entfernter, authentisierter oder lokalerAngreifer kann mehrere Schwachstellen in Zoom Video Communications Zoom Client und Zoom Video Communications On-Premise ausnutzen, um einen Denial of Service Angriff durchzuführen und Sicherheitsmaßnahmen zu umgehen.
https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2022-1677
LibreOffice: Schwachstelle ermöglicht Codeausführung
Ein entfernter, anonymer Angreifer kann eine Schwachstelle in LibreOffice ausnutzen, um beliebigen Programmcode auszuführen.
https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2022-1679
bingo!CMS vulnerable to authentication bypass
https://jvn.jp/en/jp/JVN74592196/
The installer of Sony Content Transfer may insecurely load Dynamic Link Libraries
https://jvn.jp/en/jp/JVN40620121/
VMSA-2022-0026
https://www.vmware.com/security/advisories/VMSA-2022-0026.html
WAGO: FTP-Server - Denial-of-Service
https://cert.vde.com/de/advisories/VDE-2022-047/