End-of-Day report
Timeframe: Donnerstag 12-01-2023 18:00 - Freitag 13-01-2023 18:00
Handler: Robert Waldner
Co-Handler: Michael Schlagenhaufer
News
Fortinet says hackers exploited critical vulnerability to infect VPN customers
Remote code-execution bug was exploited to backdoor vulnerable servers.
https://arstechnica.com/?p=1909594
NortonLifeLock warns that hackers breached Password Manager accounts
Gen Digital, formerly Symantec Corporation and NortonLifeLock, is sending data breach notifications to customers, informing them that hackers have successfully breached Norton Password Manager accounts in credential-stuffing attacks.
https://www.bleepingcomputer.com/news/security/nortonlifelock-warns-that-hackers-breached-password-manager-accounts/
Malware: Android-TV-Box mit vorinstallierter Schadsoftware gekauft
Auf Amazon hat ein Sicherheitsforscher eine Android-TV-Box gekauft - und entdeckte eine tief ins System integrierte Schadsoftware.
https://www.golem.de/news/malware-android-tv-box-mit-vorinstallierter-schadsoftware-gekauft-2301-171170.html
Cybercriminals Using Polyglot Files in Malware Distribution to Fly Under the Radar
Remote access trojans such as StrRAT and Ratty are being distributed as a combination of polyglot and malicious Java archive (JAR) files, once again highlighting how threat actors are continuously finding new ways to fly under the radar.
https://thehackernews.com/2023/01/cybercriminals-using-polyglot-files-in.html
Keeping the wolves out of wolfSSL
Trail of Bits is publicly disclosing four vulnerabilities that affect wolfSSL: CVE-2022-38152, CVE-2022-38153, CVE-2022-39173, and CVE-2022-42905. The four issues, which have CVSS scores ranging from medium to critical, can all result in a denial of service (DoS).
https://blog.trailofbits.com/2023/01/12/wolfssl-vulnerabilities-tlspuffin-fuzzing-ssh/
Bad things come in large packages: .pkg signature verification bypass on macOS
Besides signing applications, it is also possible to sign installer packages (.pkg files). During a short review of the xar source code, we found a vulnerability (CVE-2022-42841) that could be used to modify a signed installer package without invalidating its signature. This vulnerability could be abused to bypass Gatekeeper, SIP and under certain conditions elevate privileges to root. [..] This was fixed by Apple with a 2 character fix: changing uint32_t to uint64_t in macOS 13.1.
https://sector7.computest.nl/post/2023-01-xar/
Crassus Windows privilege escalation discovery tool
Accenture made a tool called Spartacus, which finds DLL hijacking opportunities on Windows. Using Spartacus as a starting point, we created Crassus to extend Windows privilege escalation finding capabilities beyond simply looking for missing files. The ACLs used by files and directories of privileged processes can find more than just looking for missing files to achieve the goal.
https://github.com/vullabs/Crassus
Cyber-Attacken auf kritische Lücke in Control Web Panel
Cyberkriminelle greifen eine kritische Sicherheitslücke in CWP (Control Web Panel, ehemals CentOS Web Panel) an. Sie kompromittieren die verwundbaren Systeme.
https://heise.de/-7458440
Red Hat ergänzt Malware-Erkennungsdienst für RHEL
Im Rahmen von Red Hat Insights ergänzt das Unternehmen nun einen Malware-Erkennungsdienst. Der ist für RHEL 8 und 9 verfügbar.
https://heise.de/-7458189
Most Cacti Installations Unpatched Against Exploited Vulnerability
Most internet-exposed Cacti installations have not been patched against a critical-severity command injection vulnerability that is being exploited in attacks.
https://www.securityweek.com/most-cacti-installations-unpatched-against-exploited-vulnerability
Bestellen Sie nicht auf Cardione.at!
Cardione ist ein Nahrungsergänzungsmittel, das angeblich bei Bluthochdruck helfen soll. Cardione.at wirbt mit gefälschten Empfehlungen eines Arztes, es gibt keine Impressums- oder sonstige Unternehmensdaten. Wir raten: Bestellen Sie keine Cardione Tabletten!
https://www.watchlist-internet.at/news/vorsicht-vor-bestellung-auf-cardioneat/
Fake-Shop alvensleben.net imitiert Sofortüberweisung und fragt TANs ab!
Nehmen Sie sich vor Fake-Shops wie alvensleben.net in Acht. Der Shop hat insbesondere Kinderspielzeug, Brettspiele und Sportgeräte im Sortiment, bietet aber auch Gartenmöbel und Klettergerüste sowie Bettwäsche an. Bezahlt werden soll per Sofortüberweisung. Achtung: Die Daten werden nicht an den Zahlungsdienstleister weitergeleitet, sondern von den Kriminellen abgegriffen. Später werden Sie zur Übermittlung von TAN-Codes überredet und dadurch um Ihr Geld gebracht!
https://www.watchlist-internet.at/news/fake-shop-alvenslebennet-imitiert-sofortueberweisung-und-fragt-tans-ab/
Microsoft ASR/Defender Update kann Desktop-/Startmenü-Verknüpfungen löschen
Wie aktuell in mehreren Medien berichtet wird, scheint das letzte Update von MS ASR/Defender Auswirkungen auf Desktop-/Startmenüverknüpfungen zu haben, und kann unter anderem dazu führen dass O365 Applikationen nicht mehr gestartet werden können. Gängiger Workaround scheint momentan zu sein, die entsprechenden Regeln auf "Audit" zu setzen. Microsoft hat die Regel wieder entfernt, es kann aber noch dauern, bis das global wirksam wird. Inzwischen wird empfohlen, im Admin Center auf SI MO497128 zu schauen.
https://cert.at/de/aktuelles/2023/1/microsoft-asrdefender-update-kann-desktop-startmenu-verknupfungen-loschen
Vulnerabilities
Security updates for Friday
Security updates have been issued by Fedora (cacti, cacti-spine, mbedtls, postgresql-jdbc, and rust), Oracle (.NET 6.0, dbus, expat, grub2, kernel, kernel-container, libtasn1, libtiff, sqlite, and usbguard), Red Hat (rh-postgresql10-postgresql), SUSE (php7), and Ubuntu (heimdal, linux, linux-aws, linux-aws-5.15, linux-azure, linux-azure-5.15, linux-gcp, linux-gcp-5.15, linux-hwe-5.15, linux-ibm, linux-kvm, linux-oracle, linux-raspi,, linux, linux-aws, linux-aws-hwe, linux-azure, [...]
https://lwn.net/Articles/919907/
IBM Security Bulletins 2023-01-13
IBM Cloud Pak for Data, IBM Cloud Pak for Security, IBM Security Verify Access Appliance, IBM Watson Speech Services, IBM Watson Speech Services Cartridge for IBM Cloud Pak for Data, IBM Watson Text to Speech and Speech to Text (IBM Watson- Speech Services 1.1), ICP Speech to Text and Text to Speech
https://www.ibm.com/support/pages/bulletin/
CISA Releases Twelve Industrial Control Systems Advisories
https://us-cert.cisa.gov/ncas/current-activity/2023/01/12/cisa-releases-twelve-industrial-control-systems-advisories
Juniper Networks Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2023/01/12/juniper-networks-releases-security-updates-multiple-products