End-of-Day report
Timeframe: Freitag 31-03-2023 18:00 - Montag 03-04-2023 18:00
Handler: Robert Waldner
Co-Handler: Stephan Richter
News
New Money Message ransomware demands million dollar ransoms
A new ransomware gang named Money Message has appeared, targeting victims worldwide and demanding million-dollar ransoms not to leak data and release a decryptor.
https://www.bleepingcomputer.com/news/security/new-money-message-ransomware-demands-million-dollar-ransoms/
Hacken ist für alle: Die Austria Cyber Security Challenge startet
Der Hackerwettbewerb will heuer verstärkt Frauen für die IT-Security begeistern.
https://futurezone.at/digital-life/austria-cyber-security-challenge-acsc-bewerb-it-anmeldung-teilnahme-hacker-2023/402383030
With KEYPLUG, China-s RedGolf Spies On, Steals From Wide Field of Targets
The group remains highly active within a wide range of geographies and industry verticals, targeting aviation, automotive, education, government, media, information technology, and religious organizations. [..] Insikt Group has identified a wider cluster of KEYPLUG samples and infrastructure used by RedGolf from at least 2021 to 2023. (Anm.: das Paper enthält etliche beobachtenswerte IOCs).
https://go.recordedfuture.com/hubfs/reports/cta-2023-0330.pdf
Angriffe auf hochriskante Sicherheitslücke in Wordpress-Plug-in Elementor Pro
Angreifer missbrauchen eine Sicherheitslücke im Wordpress-Plug-in Elementor Pro zum Einbrechen in Webseiten. Admins sollten die Updates umgehend installieren.
https://heise.de/-8384344
IT-Forscher: Mehr als 15 Millionen verwundbare Systeme offen im Netz
IT-Forscher haben den Known-Exploited-Vulnerabilities-Catalog der CISA mit der Datenbank Sh0dan abgeglichen und Millionen verwundbarer Systeme gefunden.
https://heise.de/-8511852
Jetzt updaten: Kritische Schwachstelle in Nextcloud
Eine als kritisch eingestufte Sicherheitslücke in der Kollaborationssoftware Nextcloud könnte Angreifern das Ausführen von Schadcode ermöglichen.
https://heise.de/-8515005
Microsoft OneNote Starts Blocking Dangerous File Extensions
Microsoft is boosting the security of OneNote users by blocking embedded files with extensions that are considered dangerous.
https://www.securityweek.com/microsoft-onenote-starts-blocking-dangerous-file-extensions/
Money Mule: Geldwäsche-Jobs über WhatsApp
Nehmen Sie sich vor betrügerischen Job-Angeboten auf WhatsApp in Acht. Kriminelle kontaktieren teils wahllos, teils gezielt Menschen auf Job-Suche über die bekannte Chat-Plattform. Ein Tageslohn von 50 bis 300 Euro täglich bei Arbeit aus dem Home-Office mag verlockend klingen. Doch Vorsicht: Sie werden hier zum Money Mule, helfen Kriminellen bei der Geldwäsche und machen sich womöglich selbst strafbar!
https://www.watchlist-internet.at/news/money-mule-geldwaesche-jobs-ueber-whatsapp/
Malicious ISO File Leads to Domain Wide Ransomware
IcedID continues to deliver malspam emails to facilitate a compromise. This case covers the activity from a campaign in late September of 2022.
https://thedfirreport.com/2023/04/03/malicious-iso-file-leads-to-domain-wide-ransomware/
Bi(n)gBang: Microsoft Azure-Schwachstelle ermöglicht Bing Search Hijacking und Office 365-Datenklau
Unschöne Geschichte, auf die alle gewartet haben, und die die Gefahren der Cloud aufzeigt. Microsoftsd Azure-Cloud-Dienste ermöglichten eine Fehlkonfigurierung, die dann eine Sicherheitslücke schuf. In der Folge konnten Angreifer potentiell Schadcode in die Suchergebnisseiten von Bing einschleusen, um diese zu [...]
https://www.borncity.com/blog/2023/03/30/bigbang-microsoft-azure-schwachstelle-ermglicht-bing-search-hijacking-und-office-365-datenklau/
Design-Schwäche im WiFi-Protokoll ermöglicht Angreifern das Abfangen des Netzwerkverkehrs
Noch ein kleiner Nachtrag von Ende März 2023. Sicherheitsforscher sind auf eine gravierende Design-Schwäche im IEEE 802.11 WiFi-Protokollstandards gestoßen. Diese Schwäche könnte es Angreifern ermöglichen, WLAN-Zugangspunkte abzuhören und Netzwerk-Frames im Klartext zu übermitteln.
https://www.borncity.com/blog/2023/04/02/design-schwche-im-wifi-protokoll-ermglicht-angreifern-das-abfangen-des-netzwerkverkehrs/
Vulnerabilities
Multiple vulnerabilities in Aten PE8108 power distribution unit (CVE-2023-25413, CVE-2023-25415, CVE-2023-25407, CVE-2023-25409, CVE-2023-25414, CVE-2023-25411)
Pentagrid identified several vulnerabilities in the PE8108 rack power distribution unit (PDU) manufactured by Aten. [..] At the time of publication, the most recent firmware is version v2.4.232 from 2022-11-22 and there is no new firmware available via Atens website.
https://www.pentagrid.ch/en/blog/multiple-vulnerabilities-in-aten-PE8108-power-distribution-unit/
Nvidia schließt Sicherheitslücken in Treibern und Verwaltungssoftware
Nvidia hat zum Monatswechsel aktualisierte Treiber und Verwaltungssoftware veröffentlicht. Damit schließt der Hersteller teils hochriskante Sicherheitslecks.
https://heise.de/-8511759
Geräteverwaltung HCL Bigfix dichtet DoS-Lücke ab
Die Geräteverwaltungssoftware HCL Bigfix enthält eine Schwachstelle, die Angreifern das Lahmlegen der Software auf Endpoints ermöglicht.
https://heise.de/-8514805
Security updates for Monday
Security updates have been issued by Debian (duktape, firmware-nonfree, intel-microcode, svgpp, and systemd), Fedora (amanda, dino, flatpak, golang, libldb, netconsd, samba, tigervnc, and vim), Red Hat (nodejs:14), Slackware (ruby and seamonkey), SUSE (drbd, flatpak, glibc, grub2, ImageMagick, kernel, runc, thunderbird, and xwayland), and Ubuntu (amanda).
https://lwn.net/Articles/928204/
Multiple Vulnerabilities in the Autodesk® FBX® SDK software
Applications and services utilizing the Autodesk® FBX® SDK software have been affected by an Out-Of-Bounds Write and Stack Buffer Overflow vulnerabilities. Exploitation of these vulnerabilities may lead to information disclosure, code execution and/or denial-of-service.
https://www.autodesk.com/trust/security-advisories/adsk-sa-2023-0004
Vulnerabilities for Autodesk® Maya® USD plugin
USD (Universal Scene Description) plugin for Autodesk® Maya® has been affected by a file uninitialized variable, out-of-bounds read, and out-of-bounds write vulnerabilities.
https://www.autodesk.com/trust/security-advisories/adsk-sa-2023-0003
Vulnerability Spotlight: Buffer overflow vulnerability in ADMesh library
https://blog.talosintelligence.com/vulnerability-spotlight-buffer-overflow-vulnerability-in-admesh-library/
IBM Security Bulletins
https://www.ibm.com/support/pages/bulletin/
HAProxy vulnerable to HTTP request/response smuggling
https://jvn.jp/en/jp/JVN38170084/
Multiple vulnerabilities in Seiko Solutions SkyBridge MB-A100/A110/A200/A130 SkySpider MB-R210
https://jvn.jp/en/jp/JVN40604023/
Cisco Identity Services Engine Vulnerabilities
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-7Q4TNYUx
Cisco Identity Services Engine Cross-Site Scripting Vulnerability
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-xss-twLnpy3M
Cisco Secure Web Appliance Content Encoding Filter Bypass Vulnerabilities
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-wsa-bypass-bwBfugek
ZDI-23-348: Bentley View SKP File Parsing Out-Of-Bounds Write Remote Code Execution Vulnerability
https://www.zerodayinitiative.com/advisories/ZDI-23-348/
ZDI-23-347: Bentley View SKP File Parsing Use-After-Free Information Disclosure Vulnerability
https://www.zerodayinitiative.com/advisories/ZDI-23-347/
ZDI-23-346: Bentley View SKP File Parsing Use-After-Free Remote Code Execution Vulnerability
https://www.zerodayinitiative.com/advisories/ZDI-23-346/
ZDI-23-345: Bentley View FBX File Parsing Out-Of-Bounds Read Information Disclosure Vulnerability
https://www.zerodayinitiative.com/advisories/ZDI-23-345/
ZDI-23-344: Bentley View FBX File Parsing Heap-based Buffer Overflow Remote Code Execution Vulnerability
https://www.zerodayinitiative.com/advisories/ZDI-23-344/