End-of-Day report
Timeframe: Donnerstag 02-02-2023 18:00 - Freitag 03-02-2023 18:00
Handler: Michael Schlagenhaufer
Co-Handler: Robert Waldner
News
Hackers weaponize Microsoft Visual Studio add-ins to push malware
Security researchers warn that hackers may start using Microsoft Visual Studio Tools for Office (VSTO) more often as method to achieve persistence and execute code on a target machine via malicious Office add-ins.
https://www.bleepingcomputer.com/news/security/hackers-weaponize-microsoft-visual-studio-add-ins-to-push-malware/
Anker: Eufy-Kameras waren nicht so sicher wie beworben
Nach anfänglichem Abstreiten gibt Anker zu, dass die Werbeversprechen zur Sicherheit der Eufy-Überwachungskameras nicht eingehalten wurden.
https://www.golem.de/news/anker-eufy-kameras-waren-nicht-so-sicher-wie-beworben-2302-171655.html
Konami Code Backdoor Concealed in Image
Attackers are always looking for new ways to conceal their malware and evade detection, whether it-s through new forms of obfuscation, concatenation, or - in this case - unorthodox use of image file extensions. One of the most common backdoors that we have observed over the last few months has been designed to evade detection by placing the payload in an image file and requiring some additional tricks to unlock it.
https://blog.sucuri.net/2023/02/konami-code-backdoor-concealed-in-image.html
Pre-Auth RCE in Aspera Faspex: Case Guide for Auditing Ruby on Rails
IBM Aspera Faspex promises security to end users by offering encryption options for the files being uploaded through its application. This security model is broken through the pre-authentication RCE vulnerability we discovered, that allowed us to execute arbitrary commands on the Aspera Faspex server.
https://blog.assetnote.io/2023/02/02/pre-auth-rce-aspera-faspex/
Cisco patcht mehrere Produkte - potenzielle Backdoor-Lücke
Cisco hat Updates zum Schließen von Sicherheitslücken in mehreren Produkten veröffentlicht. Die gravierendste klafft in der IOx Application Hosting Environment.
https://heise.de/-7483079
Zwei Sicherheitsprobleme in OpenSSH 9.2 gelöst
Der OpenSSH-Client ist in einer aktualisierten Version erschienen. Informationen über die geschlossenen Sicherheitslücken sind noch rar.
https://heise.de/-7483316
Erneute Phishing-Welle mit E-Mails im Namen der WKO
-Aktualisierung Ihrer Firmendaten-: Haben Sie eine E-Mail vom -WKO Serviceteam- mit diesem Betreff erhalten, sollten Sie genau hinsehen. Denn derzeit versenden Cyberkriminelle willkürlich solche Phishing-Mails an österreichische Unternehmer:innen und geben sich dabei als Wirtschaftskammer Österreich aus.
https://www.watchlist-internet.at/news/erneute-phishing-welle-mit-e-mails-im-namen-der-wko/
OneNote Dokumente als neues Hilfsmittel für Spammer und Co.
Nachdem Microsoft im Juli letzten Jahres die Hürde für Spammer deutlich höher gelegt hat - eingebettete Makros in heruntergeladenen Office Dokumente wurden per Default disabled - musste aus Sicht der Angreifer entsprechender Ersatz gefunden werden. Neuen Erkenntnissen zufolge, wurde dieser auch erfolgreich in Form von OneNote Dokumenten gefunden.
https://cert.at/de/aktuelles/2023/2/onenote-dokumente-als-neues-hilfsmittel-fur-spammer-und-co
What is an OSINT Tool - Best OSINT Tools 2023
An OSINT tool is a must for every researcher - In this article, we will explore the 15 best OSINT tools that you can use for your investigations.
https://www.hackread.com/what-is-osint-tool-best-osint-tools-2023/
Vulnerabilities
K000130496: Overview of F5 vulnerabilities (February 2023)
On February 1, 2023, F5 announced the following security issues. This document is intended to serve as an overview of these vulnerabilities and security exposures to help determine the impact to your F5 devices. You can find the details of each issue in the associated articles.
https://my.f5.com/manage/s/article/K000130496
Angreifer könnten Windows-PCs mit VMware Workstation attackieren
Ein Sicherheitsupdate schließt eine Lücke in der Virtualisierungslösung VMware Workstation. Angreifer brauchten lokale Benutzerrechte auf dem PC des Opfers.
https://heise.de/-7483515
Security updates for Friday
Security updates have been issued by Fedora (chromium and vim), Slackware (openssh), and Ubuntu (lrzip and tiff).
https://lwn.net/Articles/922112/
CISA Releases Six Industrial Control Systems Advisories
ICSA-23-033-01 Delta Electronics DIAScreen, ICSA-23-033-02 Mitsubishi Electric GOT2000 Series and GT SoftGOT2000, ICSA-23-033-03 Baicells Nova, ICSA-23-033-04 Delta Electronics DVW-W02W2-E2, ICSA-23-033-05 Delta Electronics DX-2100-L1-CN, ICSA-22-221-01 Mitsubishi Electric Multiple Factory Automation Products (Update D).
https://us-cert.cisa.gov/ncas/current-activity/2023/02/02/cisa-releases-six-industrial-control-systems-advisories
B&R Advisory: Several Issues in APROL Database
Several Issues in ARPOL database, CVE ID: CVE-2022-43761, CVE-2022-43762, CVE-2022-43763, CVE-2022-43764, CVE-2022-43765
https://www.br-automation.com/downloads_br_productcatalogue/assets/1674823095245-en-original-1.0.pdf
IBM Security Bulletins 2023-02-01
Tivoli System Automation Application Manager, IBM MQ, IBM FlashSystem 5000, IBM FlashSystem 7200, IBM FlashSystem 7300, IBM FlashSystem 9100, IBM FlashSystem 9200, IBM FlashSystem 9500, IBM FlashSystem V9000, IBM Spectrum Virtualize as Software Only, IBM Spectrum Virtualize for Public Cloud, IBM Storwize V5000, V5000E, V7000 and V5100, Jazz for Service Management, SAN Volume Controller, IBM App Connect Enterprise, IBM Voice Gateway, IBM Aspera, IBM MQ, IBM Business Automation Workflow, IBM Control Desk, IBM Maximo, IBM Sterling Connect:Direct File Agent.
https://www.ibm.com/support/pages/bulletin/
Exploitation of GoAnywhere MFT zero-day vulnerability
A warning has been issued about an actively exploited zero-day vulnerability affecting on-premise instances of Fortra-s GoAnywhere MFT.
https://www.rapid7.com/blog/post/2023/02/03/exploitation-of-goanywhere-mft-zero-day-vulnerability/