End-of-Day report
Timeframe: Montag 28-08-2023 18:00 - Dienstag 29-08-2023 18:00
Handler: Michael Schlagenhaufer
Co-Handler: Robert Waldner
News
Malware loader lowdown: The big 3 responsible for 80% of attacks so far this year
Three malware loaders - QBot, SocGholish, and Raspberry Robin - are responsible for 80 percent of observed attacks on computers and networks so far this year.
https://go.theregister.com/feed/www.theregister.com/2023/08/28/top_malware_loaders/
Leaking File Contents with a Blind File Oracle in Flarum
Flarum is a free, open source PHP-based forum software used for everything from gaming hobbyist sites to cryptocurrency discussion. [..] Through our research we were able to leak the contents of arbitrary local files in Flarum through a blind oracle, and conduct blind SSRF attacks with only a basic user account.
https://blog.assetnote.io/2023/08/28/leaking-file-contents-with-a-blind-file-oracle-in-flarum/
Compromised OpenCart Payment Module Steals Credit Card Information
It seems that the attackers had manually modified one of the key files responsible for the processing of payment information on their OpenCart website; this is very similar to another credit card skimmer that we recently wrote about.
https://blog.sucuri.net/2023/08/opencart-payment-module-steals-credit-card-information.html
Jetzt patchen! Exploitcode legt Attacken auf Juniper-Firewalls nahe
Sicherheitsforscher haben Schwachstellen in Juniper Firewalls und Switches dokumentiert. Das können Angreifer nun missbrauchen.
https://heise.de/-9287740
Zoho ManageEngine: Schwachstelle erlaubt Umgehen von Mehrfaktorauthentifizierung
Zahlreiche ManageEninge-Produkte von Zoho sind von Schwachstellen betroffen, die die Umgehung der Mehrfaktorauthentifizierung (MFA) ermöglichen. Während aktualisierte Softwarepakete offenbar seit Ende Juni bereitstehen, wurde erst jetzt die CVE-Meldung dazu bekannt.
https://heise.de/-9287917
MalDoc in PDF: Japanisches CERT warnt vor in PDFs versteckten Malware-Dokumenten
Cyberkriminelle finden immer neue Wege, Malware vor der Erkennung zu verstecken. Das japanische CERT hat jetzt bösartige Word-Dokumente in PDFs gefunden.
https://heise.de/-9288262
Gefälschte Beschwerdemails an Hotels führen zu Schadsoftware
Derzeit kursieren gefälschte E-Mails mit angeblichen Gästebeschwerden. Bisher sind uns zwei Versionen bekannt. In einem E-Mail beklagt sich ein vermeintlicher Gast über die Sauberkeit der Zimmer, in einer anderen Version, wirft man dem Personal vor, Wertgegenstände aus dem Zimmer gestohlen zu haben. Als Beweis finden Sie im E-Mail einen Link zu Fotos. Wir vermuten Schadsoftware, klicken Sie nicht auf den Link!
https://www.watchlist-internet.at/news/gefaelschte-beschwerdemails-an-hotels-fuehren-zu-schadsoftware/
Ungefixter Skype-Bug ermöglicht Angreifern die IP-Adresse der Opfer abzufragen (August 2023)
Ein Sicherheitsforscher ist auf eine Möglichkeit gestoßen, die IP-Adresse eines Skype-Benutzers zu ermitteln, ohne dass die Zielperson überhaupt auf einen Link klicken muss.
https://www.borncity.com/blog/2023/08/29/ungefixter-skype-bug-ermglicht-angreifern-die-ip-adresse-der-opfer-abzufragen-august-2023/
Vulnerabilities
Multiple Vulnerabilities found in Techview LA-5570 Wireless Gateway Home Automation Controller
The Security Team at [exploitsecurity.io] uncovered multiple vulnerabilities in the Techview LA-5570 Wireless Home Automation Controller [Firmware Version 1.0.19_T53]. These vulnerabilities can be used to to gain full control of the affected device. CVE IDs: CVE-2023-34723, CVE-2023-34724, CVE-2023-34725
https://www.exploitsecurity.io/post/cve-2023-34723-cve-2023-34724-cve-2023-34725
Webbrowser: Firefox 117, ESR 115.2 und ESR 102.15 dichten Sicherheitslecks ab
Die Mozilla-Entwickler haben die Firefox-Versionen 117, ESR 115.2 und ESR 102.15 herausgegeben, die mehrere teils hochriskante Sicherheitslücken schließen.
https://heise.de/-9288483
Security updates for Tuesday
Security updates have been issued by Debian (flask-security and opendmarc), Fedora (qemu), Oracle (rust and rust-toolset:ol8), Red Hat (cups and libxml2), Scientific Linux (cups), SUSE (ca-certificates-mozilla, chromium, clamav, freetype2, haproxy, nodejs12, procps, and vim), and Ubuntu (faad2, json-c, libqb, linux, linux-aws, linux-lts-xenial, linux-gcp-5.15, linux-gke, linux-gke-5.15, linux-gkeop, linux-gkeop-5.15, and linux-gke, linux-ibm-5.4).
https://lwn.net/Articles/943006/
Unauthenticated OS Command Injection im Patton SN200 VoIP-Gateway (SYSS-2023-019)
Durch verschiedene Schwachstellen können unangemeldete Angreifende Sytembefehle auf dem Patton SN200 VoIP-Gateway ausführen.
https://www.syss.de/pentest-blog/unauthenticated-os-command-injection-im-patton-sn200-voip-gateway-syss-2023-019
Festo Didactic: Cross-Site-Scripting (XSS) vulnerability in LX-Appliance
https://cert.vde.com/de/advisories/VDE-2023-040/
Reflected Cross-Site Scripting (XSS) Schwachstelle in Codebeamer (ALM Solution) von PTC
https://sec-consult.com/de/vulnerability-lab/advisory/reflected-cross-site-scripting-xss-schwachstelle-in-codebeamer-alm-solution-von-ptc/
IBM Watson Discovery for IBM Cloud Pak for Data affected by vulnerability in scikit-learn
https://www.ibm.com/support/pages/node/7029479
A CVE-2023-21967 vulnerability in IBM Java Runtime affects IBM Process Designer 8.5.7 shipped with IBM Business Automation Workflow
https://www.ibm.com/support/pages/node/7029615
The IBM Engineering Lifecycle Engineering product using IBM SDK, Java Technology Edition Quarterly CPU - Apr 2023 - Includes Oracle April 2023 CPU is vulnerable to (CVE-2023-2597)
https://www.ibm.com/support/pages/node/7029634
IBM Event Streams is vulnerable to denial of service attacks due to snappy-java (CVE-2023-34453, CVE-2023-34455, CVE-2023-34454)
https://www.ibm.com/support/pages/node/7029640
IBM Event Streams is vulnerable to a denial of service attack due to Golang Go (CVE-2023-29409)
https://www.ibm.com/support/pages/node/7029639
Platform Navigator and Automation Assets in IBM Cloud Pak for Integration are vulnerable to code injection and privilege escalation due to multiple vulnerabilities in Go
https://www.ibm.com/support/pages/node/7029646
Operations Dashboard is vulnerable to remote code execution, privilege escalation, and denial of service due to multiple Go vulnerabilities
https://www.ibm.com/support/pages/node/7029648
IBM Cloud Transformation Advisor is vulnerable to multiple vulnerabilities
https://www.ibm.com/support/pages/node/7029656
Vulnerabilities in IBM Java included with IBM Tivoli Monitoring.
https://www.ibm.com/support/pages/node/7029662