Tageszusammenfassung - 13.01.2023

End-of-Day report

Timeframe: Donnerstag 12-01-2023 18:00 - Freitag 13-01-2023 18:00 Handler: Robert Waldner Co-Handler: Michael Schlagenhaufer

News

Fortinet says hackers exploited critical vulnerability to infect VPN customers

Remote code-execution bug was exploited to backdoor vulnerable servers.

https://arstechnica.com/?p=1909594


NortonLifeLock warns that hackers breached Password Manager accounts

Gen Digital, formerly Symantec Corporation and NortonLifeLock, is sending data breach notifications to customers, informing them that hackers have successfully breached Norton Password Manager accounts in credential-stuffing attacks.

https://www.bleepingcomputer.com/news/security/nortonlifelock-warns-that-hackers-breached-password-manager-accounts/


Malware: Android-TV-Box mit vorinstallierter Schadsoftware gekauft

Auf Amazon hat ein Sicherheitsforscher eine Android-TV-Box gekauft - und entdeckte eine tief ins System integrierte Schadsoftware.

https://www.golem.de/news/malware-android-tv-box-mit-vorinstallierter-schadsoftware-gekauft-2301-171170.html


Cybercriminals Using Polyglot Files in Malware Distribution to Fly Under the Radar

Remote access trojans such as StrRAT and Ratty are being distributed as a combination of polyglot and malicious Java archive (JAR) files, once again highlighting how threat actors are continuously finding new ways to fly under the radar.

https://thehackernews.com/2023/01/cybercriminals-using-polyglot-files-in.html


Keeping the wolves out of wolfSSL

Trail of Bits is publicly disclosing four vulnerabilities that affect wolfSSL: CVE-2022-38152, CVE-2022-38153, CVE-2022-39173, and CVE-2022-42905. The four issues, which have CVSS scores ranging from medium to critical, can all result in a denial of service (DoS).

https://blog.trailofbits.com/2023/01/12/wolfssl-vulnerabilities-tlspuffin-fuzzing-ssh/


Bad things come in large packages: .pkg signature verification bypass on macOS

Besides signing applications, it is also possible to sign installer packages (.pkg files). During a short review of the xar source code, we found a vulnerability (CVE-2022-42841) that could be used to modify a signed installer package without invalidating its signature. This vulnerability could be abused to bypass Gatekeeper, SIP and under certain conditions elevate privileges to root. [..] This was fixed by Apple with a 2 character fix: changing uint32_t to uint64_t in macOS 13.1.

https://sector7.computest.nl/post/2023-01-xar/


Crassus Windows privilege escalation discovery tool

Accenture made a tool called Spartacus, which finds DLL hijacking opportunities on Windows. Using Spartacus as a starting point, we created Crassus to extend Windows privilege escalation finding capabilities beyond simply looking for missing files. The ACLs used by files and directories of privileged processes can find more than just looking for missing files to achieve the goal.

https://github.com/vullabs/Crassus


Cyber-Attacken auf kritische Lücke in Control Web Panel

Cyberkriminelle greifen eine kritische Sicherheitslücke in CWP (Control Web Panel, ehemals CentOS Web Panel) an. Sie kompromittieren die verwundbaren Systeme.

https://heise.de/-7458440


Red Hat ergänzt Malware-Erkennungsdienst für RHEL

Im Rahmen von Red Hat Insights ergänzt das Unternehmen nun einen Malware-Erkennungsdienst. Der ist für RHEL 8 und 9 verfügbar.

https://heise.de/-7458189


Most Cacti Installations Unpatched Against Exploited Vulnerability

Most internet-exposed Cacti installations have not been patched against a critical-severity command injection vulnerability that is being exploited in attacks.

https://www.securityweek.com/most-cacti-installations-unpatched-against-exploited-vulnerability


Bestellen Sie nicht auf Cardione.at!

Cardione ist ein Nahrungsergänzungsmittel, das angeblich bei Bluthochdruck helfen soll. Cardione.at wirbt mit gefälschten Empfehlungen eines Arztes, es gibt keine Impressums- oder sonstige Unternehmensdaten. Wir raten: Bestellen Sie keine Cardione Tabletten!

https://www.watchlist-internet.at/news/vorsicht-vor-bestellung-auf-cardioneat/


Fake-Shop alvensleben.net imitiert Sofortüberweisung und fragt TANs ab!

Nehmen Sie sich vor Fake-Shops wie alvensleben.net in Acht. Der Shop hat insbesondere Kinderspielzeug, Brettspiele und Sportgeräte im Sortiment, bietet aber auch Gartenmöbel und Klettergerüste sowie Bettwäsche an. Bezahlt werden soll per Sofortüberweisung. Achtung: Die Daten werden nicht an den Zahlungsdienstleister weitergeleitet, sondern von den Kriminellen abgegriffen. Später werden Sie zur Übermittlung von TAN-Codes überredet und dadurch um Ihr Geld gebracht!

https://www.watchlist-internet.at/news/fake-shop-alvenslebennet-imitiert-sofortueberweisung-und-fragt-tans-ab/


Microsoft ASR/Defender Update kann Desktop-/Startmenü-Verknüpfungen löschen

Wie aktuell in mehreren Medien berichtet wird, scheint das letzte Update von MS ASR/Defender Auswirkungen auf Desktop-/Startmenüverknüpfungen zu haben, und kann unter anderem dazu führen dass O365 Applikationen nicht mehr gestartet werden können. Gängiger Workaround scheint momentan zu sein, die entsprechenden Regeln auf "Audit" zu setzen. Microsoft hat die Regel wieder entfernt, es kann aber noch dauern, bis das global wirksam wird. Inzwischen wird empfohlen, im Admin Center auf SI MO497128 zu schauen.

https://cert.at/de/aktuelles/2023/1/microsoft-asrdefender-update-kann-desktop-startmenu-verknupfungen-loschen

Vulnerabilities

Security updates for Friday

Security updates have been issued by Fedora (cacti, cacti-spine, mbedtls, postgresql-jdbc, and rust), Oracle (.NET 6.0, dbus, expat, grub2, kernel, kernel-container, libtasn1, libtiff, sqlite, and usbguard), Red Hat (rh-postgresql10-postgresql), SUSE (php7), and Ubuntu (heimdal, linux, linux-aws, linux-aws-5.15, linux-azure, linux-azure-5.15, linux-gcp, linux-gcp-5.15, linux-hwe-5.15, linux-ibm, linux-kvm, linux-oracle, linux-raspi,, linux, linux-aws, linux-aws-hwe, linux-azure, [...]

https://lwn.net/Articles/919907/


IBM Security Bulletins 2023-01-13

IBM Cloud Pak for Data, IBM Cloud Pak for Security, IBM Security Verify Access Appliance, IBM Watson Speech Services, IBM Watson Speech Services Cartridge for IBM Cloud Pak for Data, IBM Watson Text to Speech and Speech to Text (IBM Watson- Speech Services 1.1), ICP Speech to Text and Text to Speech

https://www.ibm.com/support/pages/bulletin/


CISA Releases Twelve Industrial Control Systems Advisories

https://us-cert.cisa.gov/ncas/current-activity/2023/01/12/cisa-releases-twelve-industrial-control-systems-advisories


Juniper Networks Releases Security Updates for Multiple Products

https://us-cert.cisa.gov/ncas/current-activity/2023/01/12/juniper-networks-releases-security-updates-multiple-products