End-of-Day report
Timeframe: Mittwoch 06-07-2022 18:00 - Donnerstag 07-07-2022 18:00
Handler: Michael Schlagenhaufer
Co-Handler: Robert Waldner
News
Ransomware, hacking groups move from Cobalt Strike to Brute Ratel
Hacking groups and ransomware operations are moving away from Cobalt Strike to the newer Brute Ratel post-exploitation toolkit to evade detection by EDR and antivirus solutions.
https://www.bleepingcomputer.com/news/security/ransomware-hacking-groups-move-from-cobalt-strike-to-brute-ratel/
Online programming IDEs can be used to launch remote cyberattacks
Security researchers are warning that hackers can abuse online programming learning platforms to remotely launch cyberattacks, steal data, and scan for vulnerable devices, simply by using a web browser.
https://www.bleepingcomputer.com/news/security/online-programming-ides-can-be-used-to-launch-remote-cyberattacks/
Automating binary vulnerability discovery with Ghidra and Semgrep
Semgrep is a static analysis tool that works on source code, but thanks to Haruspex we can leverage its power also against closed source binaries.
https://security.humanativaspa.it/automating-binary-vulnerability-discovery-with-ghidra-and-semgrep/
Liste betrügerischer Investitionsplattformen
Betrügerische Investitionsplattformen versprechen hohe Gewinne - risikofrei und ohne Finanzwissen. Der Handel erfolgt automatisiert oder mit persönlicher Beratung. Bereits mit kleinen Investitionen können angeblich hohe Gewinne erzielt werden. Klingt sehr verlockend, ist aber Betrug!
https://www.watchlist-internet.at/news/liste-betruegerischer-investitionsplattformen/
AsyncRAT Being Distributed to Vulnerable MySQL Servers
The ShadowServer foundation has recently released a report showing that there are about 3.6 million MySQL servers exposed to outside.
https://asec.ahnlab.com/en/36315/
Vulnerabilities
Jetzt aktualisieren! Codeschmuggel durch Lücke in OpenSSL möglich***
Die gravierendere Schwachstelle betrifft OpenSSL 3.0.4, das am 21. Juni veröffentlicht wurde. Darin haben die Entwickler laut eigener Beschreibung einen ernsthaften Fehler eingebaut, der die RSA-Implementierung auf Prozessoren mit Unterstützung für die AVX-512 IFMA-Befehlssatzerweiterung betrifft. Die Implementierung mit privaten Schlüsseln mit 2048-Bit ist nicht korrekt und ein Speicherfehler tritt bei der Berechnung auf. Ein Angreifer könnte als Folge davon aus dem Internet Code einschleusen und ausführen (CVE-2022-2274, noch kein CVSS-Score, Risiko "hoch").
https://www.heise.de/news/Jetzt-aktualisieren-Codeschmuggel-durch-Luecke-in-OpenSSL-moeglich-7163675.html
Cisco Security Advisories 2022-07-06
Cisco published 9 Security Advisories (1 Critical, 1 High, 7 Medium Severity)
https://tools.cisco.com/security/center/Search.x?publicationTypeIDs=1&firstPublishedStartDate=2022%2F07%2F06&firstPublishedEndDate=2022%2F07%2F06
IBM Security Bulletins 2022-07-06
IBM CICS TX Standard, IBM Tivoli Netcool Impact, IBM Security Verify Access Product, App Connect professional, IBM Engineering Lifecycle Management, IBM CICS TX Advanced, IBM CICS TX Standard, IBM Security Verify Access Appliance, IBM Tivoli Application Dependency Discovery Manager.
https://www.ibm.com/blogs/psirt/
Patchday Android: Systemlücke lässt Schadcode passieren
Es gibt wichtige Sicherheitsupdates für Android-Smartphones und -Tablets. Einige Lücken sind als kritisch eingestuft.
https://heise.de/-7164810
Schwachstellen in OpenVPN Access Server geschlossen
Version 2.11.0 des OpenVPN Access Server schließt einige Sicherheitslücken. Angreifer hätten die Server etwa für DDoS-Verstärkungs-Angriffe missbrauchen können.
https://heise.de/-7165442
Security updates for Thursday
Security updates have been issued by Debian (intel-microcode), Fedora (dotnet3.1 and gnupg2), Oracle (grub2, kernel, php:7.4, php:8.0, and qemu-kvm), SUSE (389-ds, apache2, crash, curl, expat, firefox, fwupd, fwupdate, ImageMagick, ldb, samba, liblouis, librttopo, openssl, openssl-1_0_0, openssl-1_1, openssl-3, oracleasm, php7, php8, python-Twisted, python310, rsyslog, s390-tools, salt, thunderbird, and xen), and Ubuntu (linux-lts-xenial, linux-kvm and openssl).
https://lwn.net/Articles/900286/
Apache Commons: Schwachstelle ermöglicht Codeausführung
Ein entfernter Angreifer kann eine Schwachstelle in Apache Commons ausnutzen, um beliebigen Programmcode auszuführen.
https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2022-0590
ZDI-22-949: (0Day) xhyve e1000 Stack-based Buffer Overflow Local Privilege Escalation Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-22-949/
Dovecot: Schwachstelle ermöglicht Privilegieneskalation
https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2022-0589
Nextcloud Mail: Schwachstelle ermöglicht Umgehen von Sicherheitsvorkehrungen
https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2022-0594
HCL BigFix: Mehrere Schwachstellen
https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2022-0606
XSS-Schwachstelle in Jira-App (SYSS-2022-039)
https://www.syss.de/pentest-blog/xss-schwachstelle-in-jira-app-syss-2022-039
QNAP: Checkmate Ransomware via SMB Services Exposed to the Internet
https://www.qnap.com/en-us/security-advisory/QSA-22-21
Microsoft Edge 103.0.1264.49 (6. Juli 2022)
https://www.borncity.com/blog/2022/07/07/microsoft-edge-103-0-1264-49-6-juli-2022/