End-of-Day report
Timeframe: Montag 09-12-2024 18:00 - Dienstag 10-12-2024 18:00
Handler: Michael Schlagenhaufer
Co-Handler: n/a
News
Brute-Force-Angriffe auf exponierte Systeme
Aktuell werden dem BSI verstärkt Brute-Force-Angriffe gegen Citrix Netscaler Gateways aus verschiedenen KRITIS-Sektoren sowie von internationalen Partnern gemeldet. [..] Die aktuellen Angriffe heben sich aktuell lediglich in ihrer berichteten Menge von üblichen Angriffen dieser Art heraus. [..] Als Ziel der Brute-Force-Angriffe werden in aktuellen Berichten zwar Citrix Gateways gemeldet. Jedoch ist
diese Cyber-Sicherheitswarnung für alle exponierten Systeme, insbesondere VPN-Gateways, relevant.
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2024/2024-298922-1032.pdf?__blob=publicationFile&v=2
Stark gestiegenes Aufkommen an Microsoft Remote Desktop Protokoll (RDP) Scanning
Ein internationaler Partner (Shadowserver) verzeichnet seit Anfang Dezember ein weltweit sehr stark gestiegenes Aufkommen (x160) an RDP "Scanning" in Wellen [1]. Ob es nur um Ausforschen offener RDP-Ports geht oder bereits weitere Handlungen gesetzt werden, ist aktuell unbekannt. Der Fokus scheint nicht auf dem RDP Standard-Port 3389, sondern auf Port 1098 zu liegen.
https://www.cert.at/de/aktuelles/2024/12/stark-gestiegenes-aufkommen-an-microsoft-remote-desktop-protokoll-rdp-scanning
Microsoft ergreift Maßnahmen gegen NTLM-Relay-Angriffe
Ein Angriffsvektor zum Erlangen von Zugriff im Netz ist sogenanntes NTLM-Relaying. Das erschwert Microsoft nun mit neuen Maßnahmen.
https://heise.de/-10194220
Ultralytics PyPI Package Compromised Through GitHub Actions Cache Poisoning
Over the weekend, the popular Ultralytics PyPI package was compromised in a supply chain attack that was detected following reports of a discrepancy between the library-s code on GitHub and the code that was published to PyPI for v8.3.41.
https://socket.dev/blog/ultralytics-pypi-package-compromised-through-github-actions-cache-poisoning
Malware trends: eBPF exploitation, malware configurations stored in unexpected places, and increased use of custom post-exploitation tools
An investigation into an information security incident has allowed virus analysts at Doctor Web to uncover an ongoing campaign that incorporates many modern trends employed by cybercriminals. A client approached Doctor Web after suspecting that their computer infrastructure had been compromised. While analyzing the client-s data, our virus analysts identified a number of similar cases, leading them to conclude that an active campaign was underway.
https://news.drweb.com/show/?i=14955&lng=en&c=9
When User Input Lines Are Blurred: Indirect Prompt Injection Attack Vulnerabilities in AI LLMs
Indirect prompt attacks are when an LLM takes input from external sources but where an attacker gets to smuggle payloads (additional prompts!) into these external/side sources. These malicious additional prompts modify the overall prompt, breaking out of the data context as they are treated as instructions (they are additional prompts, commands, if you will) and, in turn, influence the initial user prompt provided together with the system prompt and with that, the subsequent actions and output.
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/when-user-input-lines-are-blurred-indirect-prompt-injection-attack-vulnerabilities-in-ai-llms/
Inside Zloader-s Latest Trick: DNS Tunneling
Zloader (a.k.a. Terdot, DELoader, or Silent Night) is a modular Trojan based on the leaked Zeus source code that emerged in 2015. The malware was originally designed to facilitate banking fraud via Automated Clearing House (ACH) and wire transfers. However, similar to other malware families like Qakbot and Trickbot, Zloader has been repurposed for initial access, providing an entry point into corporate environments for the deployment of ransomware.
https://www.zscaler.com/blogs/security-research/inside-zloader-s-latest-trick-dns-tunneling
Mit dem Bumble-Date ins Theater? Vorsicht vor Betrug!
Sie haben auf Bumble jemanden kennengelernt? Sie verstehen sich gut und wollen als erstes Date ins Theater gehen? Doch Ihr Ticket sollten Sie sich selbst auf einer unbekannten Plattform kaufen. Vorsicht, hinter dem vermeintlich perfekten Match stecken Kriminelle, die Sie in einen Fake-Shop locken.
https://www.watchlist-internet.at/news/mit-dem-bumble-date-ins-theater-vorsicht-vor-betrug/
Studie gemeinsam mit dem BSI: IT-Sicherheit von smarten Heizkörperthermostaten
Certitude führte im Auftrag des Bundesministerium für Sicherheit in der Informationstechnik (BSI) die technische Sicherheitsprüfung von smarten Heizkörperthermostaten durch. Die aus diesem Projekt entstandene und heute veröffentlichte Studie zeigt auf, dass es insbesondere beim Umgang mit Schwachstellen Nachholbedarf gibt.
https://certitude.consulting/blog/de/bsi-studie-sicherheit-smarte-heizkorperthermostate/
Full-Face Masks to Frustrate Identification
It-s a video of someone trying on a variety of printed full-face masks. They won-t fool anyone for long, but will survive casual scrutiny. And they-re cheap and easy to swap.
https://www.schneier.com/blog/archives/2024/12/full-face-masks-to-frustrate-identification.html
Vulnerabilities
Transfer-Software von Cleo: Hinter Firewall bringen, Patch wirkungslos
Die Datenstransfer-Software von Cleo hatte eine Sicherheitslücke gestopft - jedoch unzureichend. Das Leck wird aktiv angegriffen.
https://heise.de/-10193961
Wordpress: WPForms-Plug-in reißt Sicherheitsleck in 6 Millionen Webseiten
Im Wordpress-Plug-in WPForms können Angreifer eine Lücke missbrauchen, um etwa Zahlungen rückabzuwickeln. Sechs Millionen Webseiten nutzen das Plug-in.
https://heise.de/-10193387
MC LR Router and GoCast unpatched vulnerabilities
Cisco Talos Vulnerability Research team recently discovered two vulnerabilities in MC Technologies LR Router and three vulnerabilities in the GoCast service. These vulnerabilities have not been patched at time of this posting.
https://blog.talosintelligence.com/mc-lr-router-and-gocast-zero-day-vulnerabilities-2/
SAP-Patchday: Updates schließen teils kritische Sicherheitslücken
Im Dezember informiert SAP über neun neu entdeckte Sicherheitslücken in diversen Produkten. Eine davon gilt als kritisches Risiko.
https://heise.de/-10193418
Sicherheitsschwachstelle in Logitech MX Keys for Business (SYSS-2024-084)
SySS GmbH is currently not aware of a security fix for the described issue. [..] Due to the keyboard not enforcing any sort of authentication during the pairings, MX Keys for Business is vulnerable to machine-in-the-middle (MitM) attacks.
https://www.syss.de/pentest-blog/sicherheitsschwachstelle-in-logitech-mx-keys-for-business-syss-2024-084
Security updates for Tuesday
Security updates have been issued by AlmaLinux (postgresql:15, postgresql:16, and ruby:3.1), Debian (jinja2), Fedora (python-multipart, python-python-multipart, python3.12, retsnoop, rust-rbspy, rust-rustls, and zabbix), Oracle (kernel, libsoup, postgresql:12, postgresql:13, postgresql:15, postgresql:16, redis:7, and ruby:3.1), SUSE (nodejs18, pam, qt6-webengine, and radare2), and Ubuntu (dogtag-pki, linux-intel-iotg, linux-intel-iotg-5.15, ofono, rabbitmq-server, and webkit2gtk).
https://lwn.net/Articles/1001597/
MOBATIME Network Master Clock
https://www.cisa.gov/news-events/ics-advisories/icsa-24-345-01
Horner Automation Cscape
https://www.cisa.gov/news-events/ics-advisories/icsa-24-345-05
Rockwell Automation Arena
https://www.cisa.gov/news-events/ics-advisories/icsa-24-345-06
National Instruments LabVIEW
https://www.cisa.gov/news-events/ics-advisories/icsa-24-345-04
Milesight UG67 Outdoor LoRaWAN Gateway rt-sa-2024-001 - rt-sa-2024-005
https://www.redteam-pentesting.de/en/advisories/
SSA-979056 V1.0: Out of Bounds Write Vulnerability in Parasolid
https://cert-portal.siemens.com/productcert/html/ssa-979056.html
SSA-881356 V1.0: Multiple Memory Corruption Vulnerabilities in Simcenter Femap
https://cert-portal.siemens.com/productcert/html/ssa-881356.html
SSA-800126 V1.0: Deserialization Vulnerability in Siemens Engineering Platforms before V20
https://cert-portal.siemens.com/productcert/html/ssa-800126.html
SSA-730188 V1.0: Multiple File Parsing Vulnerabilities in Solid Edge V2024
https://cert-portal.siemens.com/productcert/html/ssa-730188.html
SSA-701627 V1.0: XXE Injection Vulnerabilities in COMOS
https://cert-portal.siemens.com/productcert/html/ssa-701627.html
SSA-645131 V1.0: Multiple WRL File Parsing Vulnerabilities in Teamcenter Visualization
https://cert-portal.siemens.com/productcert/html/ssa-645131.html
SSA-620799 V1.0: Denial of Service Vulnerability During BLE Pairing in SENTRON Powercenter 1000/1100
https://cert-portal.siemens.com/productcert/html/ssa-620799.html
SSA-392859 V1.0: Local Arbitrary Code Execution Vulnerability in Siemens Engineering Platforms before V20
https://cert-portal.siemens.com/productcert/html/ssa-392859.html
SSA-384652 V1.0: Cross-Site Request Forgery (CSRF) Vulnerability in RUGGEDCOM ROX II
https://cert-portal.siemens.com/productcert/html/ssa-384652.html
SSA-128393 V1.0: Firmware Decryption Vulnerability in SICAM A8000 CP-8031 and CP-8050
https://cert-portal.siemens.com/productcert/html/ssa-128393.html