End-of-Day report
Timeframe: Mittwoch 10-01-2024 18:00 - Donnerstag 11-01-2024 18:00
Handler: Thomas Pribitzer
Co-Handler: n/a
News
Atomic Stealer rings in the new year with updated version
Mac users should be aware of an active distribution campaign via malicious ads delivering Atomic Stealer. The latest iteration of the malware is stealthy thanks to added encryption and obfuscation of its code.
https://www.malwarebytes.com/blog/threat-intelligence/2024/01/atomic-stealer-rings-in-the-new-year-with-updated-version
SECGlitcher (Part 1) - Reproducible Voltage Glitching on STM32 Microcontrollers
Voltage glitching is a technique used in hardware security testing to try to bypass or modify the normal operation of a device by injecting a glitch.
https://sec-consult.com/blog/detail/secglitcher-part-1-reproducible-voltage-glitching-on-stm32-microcontrollers/
Achtung Nachahmer: Gefahren durch gefälschte Messaging-Apps und App-Mods
Klone und Mods von WhatsApp, Telegram und Signal sind nach wie vor ein beliebtes Mittel zur Verbreitung von Malware. Lassen Sie sich nicht für dumm verkaufen.
https://www.welivesecurity.com/de/mobile-sicherheit/achtung-nachahmer-gefahren-durch-gefalschte-messaging-apps-und-app-mods/
Vorsicht vor Promi-Klonen auf Social Media: So täuschen Kriminelle treue Fans
Christina Stürmer, Hubert von Goisern oder Christopher Seiler: Das sind nur 3 von zahlreichen österreichischen Prominenten, die auf Facebook und Instagram vertreten sind -allerdings nicht nur mit einem einzigen Profil. Denn Kriminelle erstellen Fake-Profile, auf denen sie sich als diese Stars ausgeben, um den treuen Fans das Geld aus der Tasche zu ziehen.
https://www.watchlist-internet.at/news/vorsicht-vor-promi-klonen-auf-social-media-so-taeuschen-kriminelle-treue-fans/
Medusa Ransomware Turning Your Files into Stone
Medusa ransomware gang has not only escalated activities but launched a leak site. We also analyze new TTPS encountered in an incident response case.
https://unit42.paloaltonetworks.com/medusa-ransomware-escalation-new-leak-site/
Vulnerabilities
Kein Patch verfügbar: Ivanti Connect Secure und Policy Secure sind angreifbar
In Ivanti Connect Secure und Policy Secure klaffen aktiv ausgenutzte Sicherheitslücken. Patches gibt es bisher nicht - nur einen Workaround.
https://www.golem.de/news/kein-patch-verfuegbar-ivanti-connect-secure-und-policy-secure-sind-angreifbar-2401-181065.html
Zoho ManageEngine: Codeschmuggel in ADSelfService Plus möglich
In Zoho ManageEngine ADSelfService Plus klafft eine kritische Sicherheitslücke. Angreifer können dadurch Schadcode einschleusen.
https://www.heise.de/news/Zoho-ManageEngine-Codeschmuggel-in-ADSelfService-Plus-moeglich-9594221.html
Sicherheitspatch: API-Fehler in Cisco Unity Connection macht Angreifer zum Root
Verschiedene Netzwerkprodukte von Cisco sind verwundbar. Eine Lücke gilt als kritisch.
https://www.heise.de/news/Sicherheitspatch-API-Fehler-in-Cisco-Unity-Connection-macht-Angreifer-zum-Root-9593930.html
BIOS-Sicherheitsupdates von Dell und Lenovo
Dell stellt aktualisierte BIOS-Versionen für einige Geräte bereit. AMI schließt mehrere Sicherheitslücken, Lenovo reicht diese durch.
https://www.heise.de/news/BIOS-Sicherheitsupdates-von-Dell-und-Lenovo-9594096.html
Sicherheitspatch: IBM Security Verify für Root-Attacken anfällig
Die Entwickler haben in IBMs Zugriffsmanagementlösung Security Verify mehrere Sicherheitslücken geschlossen.
https://www.heise.de/news/Sicherheitspatch-IBM-Security-Verify-fuer-Root-Attacken-anfaellig-9594439.html
Juniper Networks bessert zahlreiche Schwachstellen aus
Juniper Networks hat 27 Sicherheitsmitteilungen veröffentlicht. Sie betreffen Junos OS, Junos OS Evolved und diverse Hardware.
https://www.heise.de/news/Juniper-Networks-bessert-zahlreiche-Schwachstellen-aus-9594717.html
Security updates for Thursday
Security updates have been issued by Debian (chromium), Fedora (chromium, python-paramiko, tigervnc, and xorg-x11-server), Oracle (ipa, libxml2, python-urllib3, python3, and squid), Red Hat (.NET 6.0, .NET 7.0, .NET 8.0, container-tools:4.0, fence-agents, frr, gnutls, idm:DL1, ipa, kernel, kernel-rt, libarchive, libxml2, nss, openssl, pixman, python-urllib3, python3, tigervnc, tomcat, and virt:rhel and virt-devel:rhel modules), SUSE (gstreamer-plugins-bad), and Ubuntu (firefox, Go, linux-aws, [...]
https://lwn.net/Articles/958029/
Active Exploitation of Two Zero-Day Vulnerabilities in Ivanti Connect Secure VPN
Volexity analyzed one of the collected memory samples and uncovered the exploit chain used by the attacker. Volexity discovered two different zero-day exploits which were being chained together to achieve unauthenticated remote code execution (RCE).
https://www.volexity.com/blog/2024/01/10/active-exploitation-of-two-zero-day-vulnerabilities-in-ivanti-connect-secure-vpn/
Cisco TelePresence Management Suite Cross-Site Scripting Vulnerabilities
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-tms-portal-xss-AXNeVg3s
Apache ActiveMQ OpenWire Protocol Class Type Manipulation Arbitrary Code Execution Vulnerability affects Atos Unify OpenScape UC and Atos Unify Common Management Platform
https://networks.unify.com/security/advisories/OBSO-2401-02.pdf
ZDI Security Advisories
https://www.zerodayinitiative.com/advisories/published/
IBM Security Bulletins
https://www.ibm.com/support/pages/bulletin/
Rapid Software LLC Rapid SCADA
https://www.cisa.gov/news-events/ics-advisories/icsa-24-011-03
Horner Automation Cscape
https://www.cisa.gov/news-events/ics-advisories/icsa-24-011-04