End-of-Day report
Timeframe: Donnerstag 06-06-2024 18:00 - Freitag 07-06-2024 18:00
Handler: Thomas Pribitzer
Co-Handler: Alexander Riepl
News
Sicherheitslücke (CVE-2024-4577) für Remote-Code Ausführung in PHP-CGI / XAMPP entdeckt
In PHP-CGI wurde eine Sicherheitslücke (CVE-2024-4577) entdeckt, die es Angreifern ermöglicht, aus der Ferne und ohne Authentifizierung beliebigen Code auf betroffenen Servern auszuführen. Die Schwachstelle betrifft PHP-Installationen auf Windows-Systemen und erlaubt es Angreifern, durch spezifische Zeichenfolgen den Schutz einer früheren ..
https://www.cert.at/de/aktuelles/2024/6/sicherheitslucke-cve-2024-4577-fur-remote-code-ausfuhrung-in-php-cgi-xampp-entdeckt
New Fog ransomware targets US education sector via breached VPNs
A new ransomware operation named Fog launched in early May 2024, using compromised VPN credentials to breach the networks of educational organizations in the U.S.
https://www.bleepingcomputer.com/news/security/new-fog-ransomware-targets-us-education-sector-via-breached-vpns/
Hackers exploit 2018 ThinkPHP flaws to install -Dama- web shells
Chinese threat actors are targeting ThinkPHP applications vulnerable to CVE-2018-20062 and CVE-2019-9082 to install a persistent web shell named Dama.
https://www.bleepingcomputer.com/news/security/hackers-exploit-2018-thinkphp-flaws-to-install-dama-web-shells/
Ukraine says hackers abuse SyncThing tool to steal data
The Computer Emergency Response Team of Ukraine (CERT-UA) reports about a new campaign dubbed "SickSync," launched by the UAC-0020 (Vermin) hacking group in attacks on the Ukrainian ..
https://www.bleepingcomputer.com/news/security/ukraine-says-hackers-abuse-syncthing-tool-to-steal-data/
In Bad Company: JScript RAT and CobaltStrike
Remote Access Trojans (RATs) that are based in JScript are gaining traction. We have looked at a recent example that emerged in mid-May. It turns out that this RAT has some companions on the way that we are familiar with.
https://feeds.feedblitz.com/~/899072462/0/gdatasecurityblog-en~In-Bad-Company-JScript-RAT-and-CobaltStrike
Angriffswelle: Hacker löscht Github-Repos und fordert Lösegeld
Für die Kontaktaufnahme verweist der Angreifer auf Telegram. Er gibt sich als "Analyst für Cybervorfälle" aus und behauptet, ein Back-up erstellt zu haben.
https://www.golem.de/news/angriffswelle-hacker-loescht-github-repos-und-fordert-loesegeld-2406-185827.html
Commando Cat Cryptojacking Attacks Target Misconfigured Docker Instances
The threat actor known as Commando Cat has been linked to an ongoing cryptojacking attack campaign that leverages poorly secured Docker instances to deploy cryptocurrency miners for financial gain.
https://thehackernews.com/2024/06/commando-cat-cryptojacking-attacks.html
POC exploit code published for 9.8-rated Apache HugeGraph RCE flaw
You upgraded when this was fixed in April, right? Right?? If you havent yet upgraded to version 1.3.0 of Apache HugeGraph, nows a good time because at least two proof-of-concept exploits for a CVSS 9.8-rated remote command execution bug ..
www.theregister.com/2024/06/07/poc_apache_hugegraph/
Ethical hacker releases tool to exploit Microsofts Recall AI, says its not rocket science
Recall AI hasnt launched yet but its already a target.
https://www.zdnet.com/article/ethical-hacker-says-his-windows-11-recall-ai-extraction-tool-is-not-rocket-science/
Ransomware: Hacker greifen überwiegend außerhalb der Arbeitszeiten an
Der Anteil liegt bei rund 76 Prozent. Auch nehmen die Ransomware-Aktivitäten deutlich zu.
https://www.zdnet.de/88416372/ransomware-hacker-greifen-ueberwiegend-ausserhalb-der-arbeitszeiten-an/
CERT-Bund warnt vor Schwachstelle WID-SEC-2024-131 in Microsoft Azure
Ein Leser hat mich auf eine Warnung vom 7. Juni 2024 des CERT-Bund (BSI) vor einer Schwachstelle in Microsoft Azure hingewiesen. Diese Schwachstelle wird vom BSI mit einem CVSS-Score von 10.0 eingestuft, da sie ..
https://www.borncity.com/blog/2024/06/07/cert-bund-warnt-vor-schwachstelle-wid-sec-2024-131-in-microsoft-azure/
Howling at the Inbox: Sticky Werewolfs Latest Malicious Aviation Attacks
Morphisec Labs has been monitoring increased activity associated with Sticky Werewolf, a group suspected to have geopolitical and/or hacktivist ties. While the group-s geographical origin and home base remain unclear, recent attack techniques suggest espionage and data exfiltration intent.
https://blog.morphisec.com/sticky-werewolfs-aviation-attacks
Jetzt patchen! Exploitcode für kritische Lücke in Apache HugeGraph in Umlauf
Admins sollten aus Sicherheitsgründen das Tool zum Erstellen von Diagrammen HugeGraph von Apache zügig auf den aktuellen Stand bringen.
https://heise.de/-9751687
Forschungsteam: Herzimplantat-Patienten müssen mehr über Cyberrisiken erfahren
Mit besseren technologischen Möglichkeiten steige auch das Risiko eines Cyberangriffs auf Herzimplantate, sagt ein Forschungsteam und fordert mehr Aufklärung.
https://heise.de/-9752245
Ausgeblockt: Antispam-Blockliste SORBS ist abgeschaltet
Mit der DNS-Blockliste wollte Gründerin Michelle Sullivan seit 2001 das Internet vor Spam bewahren. Die Gründe für die Schließung sind vage, Nachfolger unklar.
https://heise.de/-9752366
Vulnerabilities
Security updates for Thursday
https://lwn.net/Articles/977442/
MISP 2.4.193 released with many bugs fixed, API improvements and security fixes
https://github.com/MISP/MISP/releases/tag/v2.4.193