End-of-Day report
Timeframe: Montag 18-07-2022 18:00 - Dienstag 19-07-2022 18:00
Handler: Michael Schlagenhaufer
Co-Handler: Robert Waldner
News
Authentication Risks Discovered in Okta Platform
Four newly discovered attack paths could lead to PII exposure, account takeover, even organizational data destruction.
https://threatpost.com/risks-okta-sso/180249/
Requests For beacon.http-get. Help Us Figure Out What They Are Looking For, (Tue, Jul 19th)
Based on our First Seen URLs page, we started seeing more requests for 'beacon.http-get' these last few days. The requests are going back a while now but have been increasing.
https://isc.sans.edu/diary/rss/28856
Sicherheit bei Mac-Office: Microsoft fordert zur Systemaktualisierung auf
Nur mit den jüngsten Versionen von Monterey und Big Sur lassen sich Angriffe über Makro-Exploits verhindern, so der Konzern.
https://heise.de/-7182296
WhatsApp-Nachricht über einen Covid-19-Zuschuss von UNICEF ist Fake
Sie haben auf WhatsApp eine Nachricht von UNICEF erhalten? Man will Ihnen einen Covid-19-Zuschuss von 50.000 Euro überweisen? Vorsicht: Dabei handelt es sich um Betrug. Kriminelle geben sich als UNICEF aus und täuschen Spenden oder Gewinne vor. In Wirklichkeit will man Ihnen Geld stehlen! Antworten Sie nicht und blockieren Sie die Nummer!
https://www.watchlist-internet.at/news/whatsapp-nachricht-ueber-einen-covid-19-zuschuss-von-unicef-ist-fake/
I see what you did there: A look at the CloudMensis macOS spyware
Previously unknown macOS malware uses cloud storage as its C&C channel and to exfiltrate documents, keystrokes, and screen captures from compromised Macs
https://www.welivesecurity.com/2022/07/19/i-see-what-you-did-there-look-cloudmensis-macos-spyware/
Riding the InfoRail to Exploit Ivanti Avalanche
I was able to quickly identify a chain of three vulnerabilities in the Ivanti Avalanche Web Application:
[...]
Even though this chain is powerful, its first part heavily depends on factors that are not within the attacker-s control. We can do better, right?
https://www.thezdi.com/blog/2022/7/19/riding-the-inforail-to-exploit-ivanti-avalanche
Vulnerabilities
IBM Security Bulletins 2022-07-18
IBM UrbanCode Build, IBM UrbanCode Release, IBM Sterling Partner Engagement Manager, IBM MQ, App Connect professional, IBM WebSphere Application Server Liberty, IBM Tivoli Netcool Configuration Manager, IBM UrbanCode Build.
https://www.ibm.com/blogs/psirt/
Sicherheitsupdates: Angreifer könnten Juniper-Software mit Schadcode attackieren
Der Netzwerkausrüster Juniper hat unter anderem in Contrail Networking kritische Sicherheitslücken geschlossen.
https://heise.de/-7183158
Security updates for Tuesday
Security updates have been issued by Fedora (buildah), SUSE (dovecot23 and nodejs12), and Ubuntu (harfbuzz, libhttp-daemon-perl, tiff, and webkit2gtk).
https://lwn.net/Articles/901787/
EMC Avamar: Mehrere Schwachstellen ermöglichen Privilegieneskalation
Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann mehrere Schwachstellen in EMC Avamar und EMC NetWorker ausnutzen, um seine Privilegien zu erweitern, beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen und einen Denial-of-Service-Zustand auszulösen.
https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2022-0715
QEMU: Schwachstelle ermöglicht Denial of Service
Ein lokaler Angreifer kann eine Schwachstelle in QEMU ausnutzen, um einen Denial of Service Angriff durchzuführen.
https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2022-0713
Apache CloudStack: Schwachstelle ermöglicht Manipulation von Dateien
Ein entfernter, anonymer Angreifer kann eine Schwachstelle in Apache CloudStack ausnutzen, um vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand auszulösen und Serverdaten zu manipulieren.
https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2022-0711
Redis: Schwachstelle ermöglicht Codeausführung
Ein entfernter Angreifer kann eine Schwachstelle in Redis ausnutzen, um beliebigen Programmcode auszuführen.
https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2022-0709
jQuery: Schwachstelle ermöglicht Cross-Site Scripting
Ein entfernter, anonymer Angreifer kann eine Schwachstelle in jQuery ausnutzen, um einen Cross-Site Scripting Angriff durchzuführen.
https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2022-0708
CVE-2022-30526 (Fixed): Zyxel Firewall Local Privilege Escalation
Rapid7 discovered a local privilege escalation vulnerability affecting Zyxel firewalls. The vulnerability allows a low privileged user, such as `nobody`, to escalate to `root` on affected firewalls.
https://www.rapid7.com/blog/post/2022/07/19/cve-2022-30526-fixed-zyxel-firewall-local-privilege-escalation/