End-of-Day report
Timeframe: Montag 15-01-2024 18:00 - Dienstag 16-01-2024 18:00
Handler: Stephan Richter
Co-Handler: Thomas Pribitzer
News
A lightweight method to detect potential iOS malware
Analyzing Shutdown.log file as a lightweight method to detect indicators of infection with sophisticated iOS malware such as Pegasus, Reign and Predator.
https://securelist.com/shutdown-log-lightweight-ios-malware-detection-method/111734/
DORA: Noch ein Jahr bis zur vollständigen Einhaltung des neuen Rechtsrahmens
In einem Jahr, am 17. Januar 2025, wird die EU-Verordnung über die über die digitale operationale Resilienz im Finanzsektor (DORA) in Kraft treten.
https://sec-consult.com/de/blog/detail/dora-noch-ein-jahr-bis-zur-vollstaendigen-einhaltung-des-neuen-rechtsrahmens/
Phemedrone-Infostealer umgeht Windows Defender Smartscreeen-Filter
Trend Micro hat den Phemedrone-Infostealer analysiert. Der schaffte es durch eine Lücke im Windows Defender Smartscreen-Filter auf Rechner.
https://www.heise.de/news/Phemedrone-Infostealer-umgeht-Windows-Defender-Smartscreeen-Filter-9599002.html
Deepfake-Videos mit bekannten Gesichtern locken in Investmentfallen
Kriminelle greifen bei der Bewerbung betrügerischer Finanzangebote besonders tief in die Trickkiste. Website-Kopien von Zeitungen mit gefälschten Promi-Artikel kennen wir nur zu gut. Mittlerweile kommen aber auch zum Teil sehr professionelle Deep-Fake-Videos zum Einsatz. Darin erklären Ihnen bekannte Promis, Moderator:innen oder Politiker:innen, wie Sie mit einer -geheimen- Plattform schnell reich werden.
https://www.watchlist-internet.at/news/deepfake-videos-mit-bekannten-gesichtern-locken-in-investmentfallen/
Vorsicht vor Kryptoscams, die in Wien auf der Straße liegen
Ein seltsamer Fund in der Nähe der Wiener Karlskirche legt nahe, dass Passanten derzeit mit gefälschten Paper-Wallets geködert werden
https://www.derstandard.at/story/3000000203274/vorsicht-vor-kryptoscams-die-in-wien-auf-der-strasse-liegen
CISA and FBI Release Known IOCs Associated with Androxgh0st Malware
Today, CISA and the Federal Bureau of Investigation (FBI) released a joint Cybersecurity Advisory (CSA), Known Indicators of Compromise Associated with Androxgh0st Malware, to disseminate known indicators of compromise (IOCs) and tactics, techniques, and procedures (TTPs) associated with threat actors deploying Androxgh0st malware.
https://www.cisa.gov/news-events/alerts/2024/01/16/cisa-and-fbi-release-known-iocs-associated-androxgh0st-malware
Ivanti Connect Secure VPN Exploitation Goes Global
Important: If your organization uses Ivanti Connect Secure VPN and you have not applied the mitigation, then please do that immediately! Organizations should immediately review the results of the built-in Integrity Check Tool for log entries indicating mismatched or new files.
https://www.volexity.com/blog/2024/01/15/ivanti-connect-secure-vpn-exploitation-goes-global/
Vulnerabilities
Sonicwall: Angreifer können über 178.000 Firewalls zum Absturz bringen
Die beiden Schwachstellen, über die der DoS-Angriff gelingt, sind eigentlich schon lange bekannt. Auch ein Exploit steht seit Monaten bereit.
https://www.golem.de/news/sonicwall-angreifer-koennen-ueber-178-000-firewalls-zum-absturz-bringen-2401-181212.html
Cross-Site-Scripting in Monitoringsoftware PRTG erlaubt Sessionklau
Mit einem präparierten Link können Angreifer PRTG-Nutzer in die Irre führen und die Authentifizierung umgehen. Ein Update schafft Abhilfe.
https://www.heise.de/news/Cross-Site-Scripting-in-Monitoringsoftware-PRTG-erlaubt-Sessionklau-9598174.html
Atlassian: Updates zum Patchday schließen 28 hochriskante Schwachstellen
Atlassian veranstaltet einen Patchday und schließt dabei 28 Sicherheitslücken in diversen Programmen, die als hohes Risiko gelten.
https://www.heise.de/news/Atlassian-Updates-zum-Patchday-schliessen-28-hochriskante-Schwachstellen-9598439.html
Kritische Sicherheitslücke: VMware vergaß Zugriffskontrollen in Aria Automation
Angreifer mit einem gültigen Konto können sich erweiterte Rechte verschaffen. VMWare bietet Patches an, Cloud-Kunden bleiben verschont.
https://www.heise.de/news/Kritische-Sicherheitsluecke-VMware-vergass-Zugriffskontrollen-in-Aria-Operations-9598732.html
Codeschmuggel in Juniper JunOS: Weltweit tausende Geräte betroffen
Ist auf einer Firewall der SRX-Serie oder einem Switch der EX-Reihe das Web-Management-Interface aktiviert, drohen Angriffe. Juniper hat Updates in petto.
https://www.heise.de/news/Codeschmuggel-in-Juniper-JunOS-Weltweit-tausende-Geraete-betroffen-9599033.html
Security updates for Tuesday
Security updates have been issued by Gentoo (KTextEditor, libspf2, libuv, and Nettle), Mageia (hplip), Oracle (container-tools:4.0, gnutls, idm:DL1, squid, squid34, and virt:ol, virt-devel:rhel), Red Hat (.NET 6.0, krb5, python3, rsync, and sqlite), SUSE (chromium, perl-Spreadsheet-ParseXLSX, postgresql, postgresql15, postgresql16, and rubygem-actionpack-5_1), and Ubuntu (binutils, libspf2, libssh2, mysql-5.7, w3m, webkit2gtk, and xerces-c).
https://lwn.net/Articles/958416/
VU#132380: Vulnerabilities in EDK2 NetworkPkg IP stack implementation.
https://kb.cert.org/vuls/id/132380
VU#302671: SMTP end-of-data uncertainty can be abused to spoof emails and bypass policies
https://kb.cert.org/vuls/id/302671
IBM Security Bulletins
https://www.ibm.com/support/pages/bulletin/
VMSA-2024-0001 - VMware Aria Automation (formerly vRealize Automation) update addresses a Missing Access Control vulnerability (CVE-2023-34063)
https://www.vmware.com/security/advisories/VMSA-2024-0001.html
NetScaler ADC and NetScaler Gateway Security Bulletin for CVE-2023-6548 and CVE-2023-6549
https://support.citrix.com/article/CTX584986/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20236548-and-cve20236549
Citrix Session Recording Security Bulletin for CVE-2023-6184
https://support.citrix.com/article/CTX583930/citrix-session-recording-security-bulletin-for-cve20236184
Citrix StoreFront Security Bulletin for CVE-2023-5914
https://support.citrix.com/article/CTX583759/citrix-storefront-security-bulletin-for-cve20235914
SFPMonitor.sys KOOB Write vulnerability
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2023-6340
SEW-EURODRIVE MOVITOOLS MotionStudio
https://www.cisa.gov/news-events/ics-advisories/icsa-24-016-01
Integration Objects OPC UA Server Toolkit
https://www.cisa.gov/news-events/ics-advisories/icsa-24-016-02