End-of-Day report
Timeframe: Freitag 02-02-2024 18:00 - Montag 05-02-2024 18:00
Handler: Michael Schlagenhaufer
Co-Handler: Stephan Richter
News
Newest Ivanti SSRF zero-day now under mass exploitation
An Ivanti Connect Secure and Ivanti Policy Secure server-side request forgery (SSRF) vulnerability tracked as CVE-2024-21893 is currently under mass exploitation by multiple attackers.
https://www.bleepingcomputer.com/news/security/newest-ivanti-ssrf-zero-day-now-under-mass-exploitation/
Cyberangriff: Fernwartungssoftware-Anbieter Anydesk gehackt
Anydesk ist Opfer eines Cyberangriffs geworden. Die Folgen sind noch nicht klar, aber möglicherweise gravierend.
https://www.golem.de/news/cyberangriff-fernwartungssoftware-anbieter-anydesk-gehackt-2402-181848.html
Darknet: Anydesk-Zugangsdaten in Hackerforen aufgetaucht
Quelle der Daten ist nach aktuellen Erkenntnissen wohl nicht der jüngste Sicherheitsvorfall bei Anydesk. Ein Passwortwechsel wird dennoch empfohlen.
https://www.golem.de/news/darknet-anydesk-zugangsdaten-in-hackerforen-aufgetaucht-2402-181868.html
How to hack the Airbus NAVBLUE Flysmart+ Manager
Airbus Navblue Flysmart+ Manager allowed attackers to tamper with the engine performance calculations and intercept data. Flysmart+ is a suite of apps for pilot EFBs, helping deliver efficient and safe departure and arrival of flights. Researchers from Pen Test Partners discovered a vulnerability in Navblue Flysmart+ Manager that can be exploited [...]
https://securityaffairs.com/158661/hacking/airbus-flysmart-flaw.html
Encrypted Attacks: Impact on Public Sector
Following FBI and CISA warnings to public sector defenders in November regarding increased targeting by infamous ransomware groups, the imperative to understand and defend against evolving - and increasingly covert - cyber threats has intensified. According to Zscaler ThreatLabz analysis of the 2023 threat landscape, 86% of threats hide within encrypted traffic. What does this mean for the public sector?
https://www.zscaler.com/blogs/security-research/encrypted-attacks-impact-public-sector
Hacking a Smart Home Device
How I reverse engineered an ESP32-based smart home device to gain remote control access and integrate it with Home Assistant.
https://jmswrnr.com/blog/hacking-a-smart-home-device
Videokonferenz voller KI-Klone: Angestellter schickt Betrügern 24 Millionen Euro
Bislang werden im Rahmen der "Chef-Masche" Angestellte zumeist von einer Person überzeugt, Geld herauszugeben. Ein Fall in Hongkong hat nun eine neue Qualität.
https://www.heise.de/-9618064.html
Hartkodiertes Passwort: Wärmepumpen von Alpha Innotec und Novelan angreifbar
Ein IT-Forscher hat in der Firmware von Alpha Innotec- und Novelan-Wärmepumpen das hartkodierte Root-Passwort gefunden. Updates bieten Abhilfe.
https://www.heise.de/-9618846.html
Ivanti Zero Day - Threat Actors observed leveraging CVE-2021-42278 and CVE-2021-42287 for quick privilege escalation to Domain Admin
TL;dr NCC Group has observed what we believe to be the attempted exploitation of CVE-2021-42278 and CVE-2021-42287 as a means of privilege escalation, following the successful compromise of an Ivanti Secure Connect VPN using the following zero-day vulnerabilities reported by Volexity1 on 10/01/2024: [...]
https://research.nccgroup.com/2024/02/05/ivanti-zero-day-threat-actors-observed-leveraging-cve-2021-42278-and-cve-2021-42287-for-quick-privilege-escalation-to-domain-admin/
Achtung: E-Card mit 500 Euro Guthaben für Apothekenkäufe ist Fake
Auf Facebook wird eine -E-Card-Gutscheinkarte- beworben. Wenn Sie eine kurze Umfrage ausfüllen und 2 Euro überweisen, erhalten Sie angeblich 500 Euro für Apothekeneinkäufe. Achtung, dabei handelt es sich um Betrug. Ein solches Angebot gibt es nicht!
https://www.watchlist-internet.at/news/achtung-e-card-mit-500-euro-guthaben-fuer-apothekenkaeufe-ist-fake/
Sicherheitsvorfall bei der AnyDesk Software GmbH
Der deutsche Softwarehersteller AnyDesk Software GmbH, Entwickler der Fernwartungssoftware AnyDesk, hat am Abend des 02.02.2024 im Rahmen einer Pressemeldung über einen erfolgreichen Angriff gegen seine Infrastruktur informiert. Laut dem Unternehmen wurde direkt nach Entdeckung des Vorfalles ein externer Sicherheitsdienstleister zur Behandlung des Vorfalls hinzugezogen und die zuständigen Behörden informiert. Weiters gibt das Unternehmen an, dass keinerlei private Schlüssel, [...]
https://cert.at/de/aktuelles/2024/2/sicherheitsvorfall-bei-der-anydesk-software-gmbh
Vulnerabilities
Docker, Kubernetes und co.: Hacker können aus Containern auf Hostsysteme zugreifen
Die Schwachstellen dafür beziehen sich auf Buildkit und das CLI-Tool runc. Eine davon erreicht mit einem CVSS von 10 den maximal möglichen Schweregrad.
https://www.golem.de/news/docker-kubernetes-und-co-hacker-koennen-aus-containern-auf-hostsysteme-zugreifen-2402-181875.html
Security updates for Monday
Security updates have been issued by Debian (rear, runc, sudo, and zbar), Fedora (chromium, grub2, libebml, mingw-python-pygments, and python-aiohttp), Gentoo (FreeType, GNAT Ada Suite, Microsoft Edge, NBD Tools, OpenSSL, QtGui, SDDM, Wireshark, and Xen), Mageia (dracut, glibc, nss and firefox, openssl, packages, perl, and thunderbird), Slackware (libxml2), SUSE (java-11-openjdk, java-17-openjdk, perl, python-uamqp, slurm, and xerces-c), and Ubuntu (libssh and openssl).
https://lwn.net/Articles/960952/
2024-02-05: Cyber Security Advisory - B&R Automation Runtime FTP uses unsecure encryption mechanisms
https://www.br-automation.com/fileadmin/SA23P004_FTP_uses_unsecure_encryption_mechanisms-f57c147c.pdf
Canon: CPE2024-001 - Regarding vulnerabilities for Small Office Multifunction Printers and Laser Printers - 05 February 2024
https://www.canon-europe.com/support/product-security-latest-news/
IBM Security Bulletins
https://www.ibm.com/support/pages/bulletin/
QNAP: Neue Firmware-Versionen beheben Befehlsschmuggel-Lücke
https://www.heise.de/-9617332.html
IT-Sicherheitsüberwachung Juniper JSA für mehrere Attacken anfällig
https://www.heise.de/-9617677.html
HCL schließt Sicherheitslücken in Bigfix, Devops Deploy und Launch
https://www.heise.de/-9618224.html