End-of-Day report
Timeframe: Freitag 05-07-2024 18:00 - Montag 08-07-2024 18:00
Handler: Michael Schlagenhaufer
Co-Handler: n/a
News
Fast 10 Milliarden Passwörter: Gigantischer Passwort-Leak wirft Fragen auf
In einem Hackerforum ist eine fast 50 GByte große Passwortliste namens Rockyou2024 aufgetaucht. [..] Das erhebliche Sicherheitsrisiko, vor dem einige Medien warnen, scheint von Rockyou2024 allerdings nicht auszugehen. [..] "Sorry, hier gibt es nichts zu sehen. Das ist einfach nur minderwertiger Müll - sowohl die 'geleakte' Datei als auch die Berichterstattung darüber", so Karlslunds Fazit.
https://www.golem.de/news/fast-10-milliarden-passwoerter-gigantischer-passwort-leak-wirft-fragen-auf-2407-186798.html
Nach Cyberangriff: Warnmail von Microsoft landet bei vielen Kunden im Spam
Seit Juni informiert Microsoft betroffene Kunden über bei einem Cyberangriff abgeflossene E-Mails. So ganz reibungslos läuft das offenbar noch nicht. [..] "Überprüfen Sie Ihre E-Mail-Protokolle (einschließlich Exchange Online) auf eine E-Mail von mbsupport@microsoft.com", warnt der Forscher.
https://www.golem.de/news/nach-cyberangriff-warnmail-von-microsoft-landet-bei-vielen-kunden-im-spam-2407-186818.html
Nach Cyberangriff: Hacker erpressen Ticketmaster und verschenken Tickets
Die Angreifer behaupten, Ticket-Barcodes im Gesamtwert von mehr als 22 Milliarden US-Dollar erbeutet zu haben. Für Taylor-Swift-Konzerte stehen schon einige im Netz.
https://www.golem.de/news/nach-cyberangriff-hacker-erpressen-ticketmaster-und-verschenken-tickets-2407-186777.html
Booking.com: Aufforderung zur erneuten Buchungsbestätigung ist Betrug
Vorsicht, wenn Sie im Nachrichtenportal von booking.com trotz bestätigter Buchung aufgefordert werden, die Buchung erneut zu bestätigen. Dahinter stecken Kriminelle, die sich Zugang zum Buchungssystem des Hotels verschafft haben. Klicken Sie nicht auf den Link und antworten Sie nicht!
https://www.watchlist-internet.at/news/bookingcom-aufforderung-zur-erneuten-buchungsbestaetigung-ist-betrug/
Schadcode-Attacken auf Multifunktionsdrucker von Toshiba und Sharp möglich
Angreifer können hunderte Multifunktionsdrucker von Toshiba und Sharp ins Visier nehmen. Sicherheitsupdates sind verfügbar. [..] Toshiba hat bereits Mitte Juni 2024 Informationen zu den Schwachstellen und betroffenen Modellen bekannt gegeben. Der Sicherheitsforscher hat seine Informationen erst kürzlich veröffentlicht.
https://heise.de/-9793179
Kunai: Keep an Eye on your Linux Hosts Activity, (Mon, Jul 8th)
Last week, I attended « Pass The Salt », a conference focussing on open-source software and cybersecurity. I participated in a very interesting workshop about « Kunai ». This tool, developed by Quentin Jérôme from CIRCL (the Luxembourg CERT) aims to replace SysmonForLinux. Its goal is to record and log system activity but in a more «Linux-oriented» flavor. It was presented for the first time at hack.lu in 2023 and it now reaches enough maturity to be tested and deployed on some Linux hosts.
https://isc.sans.edu/diary/rss/31054
Polyfill[.]io Attack Impacts Over 380,000 Hosts, Including Major Companies
The supply chain attack targeting the widely-used Polyfill[.]io JavaScript library is broader in scope than previously thought, with new findings from Censys showing that over 380,000 hosts are embedding a polyfill script linking to the malicious domain as of July 2, 2024. [..] "Approximately 237,700, are located within the Hetzner network (AS24940), primarily in Germany," it noted. "This is not surprising - Hetzner is a popular web hosting service, and many website developers leverage it."
https://thehackernews.com/2024/07/polyfillio-attack-impacts-over-380000.html
Tool: AtomDucky
Atom Ducky is a HID device controlled through a web browser. Its designed to function as a wirelessly operated Rubber Ducky, personal authenticator, or casual keyboard. Its primary aim is to help ethical hackers gain knowledge about Rubber Ducky devices while integrating their use into everyday life.
https://www.reddit.com/r/netsec/comments/1drhkc0/atom_ducky_wifi_rubber_ducky_open_source/
Shelltorch Explained: Multiple Vulnerabilities in Pytorch Model Server (Torchserve) (CVSS 9.9, CVSS 9.8) Walkthrough
In July 2023, the Oligo Research Team disclosed multiple new critical vulnerabilities to Pytorch maintainers Amazon and Meta, including CVE-2023-43654 (CVSS 9.8). [..] Want the deep dive, full story with technical walkthrough for the PyTorch (TorchServe) ShellTorch vulnerabilities CVE-2023-43654 (CVSS: 9.8) and CVE-2022-1471 (CVSS: 9.9)? You-re in the right place.
https://www.oligo.security/blog/shelltorch-explained-multiple-vulnerabilities-in-pytorch-model-server
Kimsuky Group-s New Backdoor (HappyDoor)
This report is a summarized version of -Analysis Report of Kimsuky Group-s HappyDoor Malware- introduced in AhnLab Threat Intelligence Platform (TIP), containing key information for analyzing breaches. The report in AhnLab TIP includes details on encoding & encryption methods, packet structure, and more in addition to the characteristics and features of the malware.
https://asec.ahnlab.com/en/67660/
The Current State of Browser Cookies
Well, almost every other website uses cookies. According to W3Techs, as of June 24, 2024, 41.3% of all websites use cookies with some of the most prominent providers included in that list, such as Google, Facebook, Microsoft and Apple. [..] Although cookies are being used to save sensitive data, they are still stored in a way that enables attackers to leak them easily and use them for malicious purposes.
https://www.cyberark.com/resources/threat-research-blog/the-current-state-of-browser-cookies
Vulnerabilities
Security updates for Monday
Security updates have been issued by AlmaLinux (openssh), Debian (krb5), Fedora (yt-dlp), Gentoo (firefox, KDE Plasma Workspaces, Stellarium, thunderbird, and X.Org X11 library), Mageia (python-js2py and znc), Oracle (389-ds, c-ares, container-tools, cups, go-toolset, httpd:2.4/httpd, iperf3, kernel, less, libreoffice, libuv, nghttp2, openldap, openssh, python-idna, python-jinja2, python-pillow, python3, python3.11-PyMySQL, and xmlrpc-c), Red Hat (kernel, kernel-rt, openssh, and virt:rhel and virt-devel:rhel modules), and SUSE (go1.21, go1.22, krb5, kubevirt, virt-api-container, virt-controller-container, virt-exportproxy-container, virt-exportserver-container, virt-handler-container, virt-launcher-container, virt-libguestfs-t, netty3, opera, and python-urllib3).
https://lwn.net/Articles/981119/
Mastodon: Sicherheitslücke ermöglicht unbefugten Zugriff auf Posts
Neue Versionen der Mastodon-Serversoftware schließen eine als hochriskant eingestufte Sicherheitslücke. Angreifer können sich unbefugten Zugriff auf Posts verschaffen. [..] Der Fehler tritt demnach ab Mastodon 2.6.0 auf. Die Entwickler haben die Versionen Mastodon 4.2.10 sowie 4.1.18 veröffentlicht. [..] Nähere Details wollen die Mastodon-Entwickler laut Sicherheitsmitteilung am Montag kommender Woche, den 15. Juli, veröffentlichen.
https://heise.de/-9792706
Mattermost security updates 9.9.1 / 9.8.2 / 9.7.6 / 9.5.7 (ESR) released
https://mattermost.com/blog/mattermost-security-updates-9-9-1-9-8-2-9-7-6-9-5-7-esr-released/
MSI Center: Schwachstelle CVE-2024-37726 ermöglicht System-Privilegien
https://www.borncity.com/blog/2024/07/06/msi-center-schwachstelle-cve-2024-37726-ermglicht-system-privilegien/
K000140257: OpenSSL vulnerability CVE-2024-4741
https://my.f5.com/manage/s/article/K000140257
Vulnerability Summary for the Week of July 1, 2024
https://www.cisa.gov/news-events/bulletins/sb24-190