End-of-Day report
Timeframe: Mittwoch 07-09-2022 18:00 - Donnerstag 08-09-2022 18:00
Handler: Thomas Pribitzer
Co-Handler: Michael Schlagenhaufer
News
RAID-Manager von Hitachi könnte Ansatzpunkt für Schadcode-Attacken sein
Für einige Versionen von Hitachi RAID Manager SRA sind Sicherheitsupdates erschienen. Für einige Ausgaben gibt es jedoch keinen Support mehr.
https://heise.de/-7257664
Threat landscape for industrial automation systems for H1 2022
This report is based on an analysis of statistical data collected through the Kaspersky Security Network (KSN), a distributed antivirus network.
https://securelist.com/threat-landscape-for-industrial-automation-systems-for-h1-2022/107373/
Profiling DEV-0270: PHOSPHORUS- ransomware operations
Microsoft threat intelligence teams have been tracking multiple ransomware campaigns and have tied these attacks to DEV-0270, also known as Nemesis Kitten, a sub-group of Iranian actor PHOSPHORUS.
https://www.microsoft.com/security/blog/2022/09/07/profiling-dev-0270-phosphorus-ransomware-operations/
Analyzing Obfuscated VBS with CyberChef, (Thu, Sep 8th)
I took a closer look at this sample on MalwareBazaar, because it had no tags (now it has a VBS tag).
https://isc.sans.edu/diary/rss/29028
HTTPS-Zertifikate: Die Rückkehr der Sperrlisten
Zukünftig soll es endlich wieder möglich sein, kompromittierte Zertifikate einfach zu sperren. Apple und Mozilla preschen vor und Lets Encrypt zieht mit.
https://heise.de/-7257554
Tensel-markt.de ist Fake!
Vorsicht vor Fake-Elektronik und Technik-Shops! Tensel-markt.de, gohlke-shop.de und Techno-max.de locken mit ihrem professionellen Design zahlreiche Konsument:innen in die Falle. Bestellen Sie nicht bei diesen Shops, Sie verlieren Ihr Geld!
https://www.watchlist-internet.at/news/tensel-marktde-ist-fake/
Lazarus and the tale of three RATs
Cisco Talos has been tracking a new campaign operated by the Lazarus APT group, attributed to North Korea by the United States government. This campaign involved the exploitation of vulnerabilities in VMWare Horizon to gain an initial foothold into targeted organizations.
http://blog.talosintelligence.com/2022/09/lazarus-three-rats.html
How Malicious Actors Abuse Native Linux Tools in Attacks
Through our honeypots and telemetry, we were able to observe instances in which malicious actors abused native Linux tools to launch attacks on Linux environments. In this blog entry, we discuss how these utilities were used and provide recommendations on how to minimize their impact.
https://www.trendmicro.com/en_us/research/22/i/how-malicious-actors-abuse-native-linux-tools-in-their-attacks.html
Vulnerabilities
HP fixes severe bug in pre-installed Support Assistant tool
HP issued a security advisory alerting users about a newly discovered vulnerability in HP Support Assistant, a software tool that comes pre-installed on all HP laptops and desktop computers, including the Omen sub-brand.
https://www.bleepingcomputer.com/news/security/hp-fixes-severe-bug-in-pre-installed-support-assistant-tool/
Cisco Security Advisories 2022-09-07
Cisco published 4 security advisories (2 high, 2 medium severity)
https://tools.cisco.com/security/center/Search.x?publicationTypeIDs=1&securityImpactRatings=critical,high,medium&firstPublishedStartDate=2022%2F09%2F07&firstPublishedEndDate=2022%2F09%2F07
VPN-Lücke in älteren Cisco-Routern wird nicht mehr geschlossen
Für einige Cisco-Router ist der Support ausgelaufen. Es gibt wichtige Sicherheitsupdates für unter anderem Webex.
https://heise.de/-7257206
IBM Security Bulletins 2022-09-07
IBM Java 8, IBM Aspera Faspex, IBM WebSphere Application Server, IBM WebSphere Application Server Liberty, Enterprise Content Management System Monitor, IBM DB2, IBM Semeru Runtime, IBM Robotic Process Automation for Cloud Pak, IBM Intelligent Operations Center
https://www.ibm.com/blogs/psirt/
Security updates for Thursday
Security updates have been issued by Debian (libgoogle-gson-java), Fedora (autotrace, insight, and open-vm-tools), Oracle (open-vm-tools), Red Hat (open-vm-tools, openvswitch2.13, openvswitch2.15, openvswitch2.16, openvswitch2.17, ovirt-host, and rh-nodejs14-nodejs and rh-nodejs14-nodejs-nodemon), Scientific Linux (open-vm-tools), Slackware (python3), SUSE (clamav, gdk-pixbuf, gpg2, icu, ImageMagick, java-1_8_0-ibm, libyajl, mariadb, udisks2, webkit2gtk3, and yast2-samba-provision), and Ubuntu (dnsmasq).
https://lwn.net/Articles/907508/
Nagios Enterprises Nagios XI: Mehrere Schwachstellen
Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Nagios Enterprises Nagios XI ausnutzen, um einen Cross-Site Scripting Angriff durchzuführen und Daten zu manipulieren.
https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2022-1338
Xerox FreeFlow Print Server: Mehrere Schwachstellen
Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Xerox FreeFlow Print Server ausnutzen, um die Vertraulichkeit, Verfügbarkeit und Integrität des Systems zu gefährden.
https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2022-1335
Drupal: Schwachstelle ermöglicht Umgehen von Sicherheitsvorkehrungen
Ein entfernter, anonymer Angreifer kann eine Schwachstelle in Drupal ausnutzen, um Sicherheitsvorkehrungen zu umgehen.
https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2022-1341
Aruba ClearPass Policy Manager: Mehrere Schwachstellen
Ein Angreifer kann mehrere Schwachstellen in Aruba ClearPass Policy Manager ausnutzen, um Daten zu manipulieren oder offenzulegen, seine Rechte zu erweitern, Code auszuführen oder einen Denial of Service zu verursachen.
https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2022-1340
MZ Automation libIEC61850
https://us-cert.cisa.gov/ics/advisories/icsa-22-251-01