End-of-Day report
Timeframe: Freitag 26-07-2024 18:00 - Montag 29-07-2024 18:00
Handler: Michael Schlagenhaufer
Co-Handler: Thomas Pribitzer
News
Mehr als 3.000 Hotels betroffen: API-Lücke lässt Angreifer Hoteltüren öffnen
In vielen Hotels können Gäste heute per Smartphone einchecken und die Türen der gebuchten Zimmer öffnen. Eine API-Schwachstelle zeigt, wie schnell das zum Problem werden kann.
https://www.golem.de/news/mehr-als-3-000-hotels-betroffen-api-luecke-laesst-angreifer-hoteltueren-oeffnen-2407-187485.html
Sicherheitslücke: Whatsapp für Windows führt Skripte ohne Warnung aus
In der Regel blockiert Whatsapp das Öffnen ausführbarer Dateien direkt aus dem Chat heraus. Bei Python- und PHP-Skripten ist das offenkundig nicht der Fall. [..] Ein Patch ist vorerst nicht zu erwarten, so dass Nutzer achtsam bleiben sollten.
https://www.golem.de/news/sicherheitsluecke-whatsapp-fuer-windows-fuehrt-skripte-ohne-warnung-aus-2407-187515.html
Mandrake spyware sneaks onto Google Play again, flying under the radar for two years
Mandrake spyware threat actors resume attacks with new functionality targeting Android devices while being publicly available on Google Play.
https://securelist.com/mandrake-apps-return-to-google-play/113147/
Create Your Own BSOD: NotMyFault, (Sat, Jul 27th)
With all the Blue Screen Of Death screenshots we saw lately, I got the idea to write about Sysinternals' tool NotMyFault.
https://isc.sans.edu/diary/rss/31120
CrowdStrike Outage Themed Maldoc, (Mon, Jul 29th)
I found a malicious Word document with VBA code using the CrowdStrike outage for social engineering purposes. It's an .ASD file (AutoRecover file).
https://isc.sans.edu/diary/rss/31116
Proofpoint Email Routing Flaw Exploited to Send Millions of Spoofed Phishing Emails
An unknown threat actor has been linked to a massive scam campaign that exploited an email routing misconfiguration in email security vendor Proofpoints defenses to send millions of messages spoofing various legitimate companies.
https://thehackernews.com/2024/07/proofpoint-email-routing-flaw-exploited.html
Millions of Websites Susceptible XSS Attack via OAuth Implementation Flaw
Researchers discovered and published details of an XSS attack that could potentially impact millions of websites around the world.
https://www.securityweek.com/millions-of-websites-susceptible-xss-attack-via-oauth-implementation-flaw/
CISA Adds Three Known Exploited Vulnerabilities to Catalog
CVE-2024-4879 ServiceNow Improper Input Validation Vulnerability,
CVE-2024-5217 ServiceNow Incomplete List of Disallowed Inputs Vulnerability,
CVE-2023-45249 Acronis Cyber Infrastructure (ACI) Insecure Default Password Vulnerability
https://www.cisa.gov/news-events/alerts/2024/07/29/cisa-adds-three-known-exploited-vulnerabilities-catalog
Angreifer nutzen Schadcode-Lücke in Acronis Cyber Infrastructure aus
In mehreren aktualisierten Versionen von Acronis Cyber Infrastructure haben die Entwickler eine kritische Lücke geschlossen.
https://heise.de/-9816667
Vulnerabilities
Wiedergabe reicht aus: MacOS-Lücke ermöglicht Schadcode-Attacke per Video
Das Abspielen eines Videos im Browser oder einer anderen Anwendung reicht aus, um sich unter MacOS eine Malware einzufangen. Ursache ist eine Lücke in einem Videodecoder.
https://www.golem.de/news/wiedergabe-reicht-aus-macos-luecke-ermoeglicht-schadcode-attacke-per-video-2407-187489.html
Security updates for Monday
Security updates have been issued by AlmaLinux (java-11-openjdk), Debian (bind9), Fedora (darkhttpd, mod_http2, and python-scrapy), Red Hat (python3.11, rhc-worker-script, and thunderbird), SUSE (assimp, gh, opera, python-Django, and python-nltk), and Ubuntu (edk2, linux, linux-aws, linux-gcp, linux-gke, linux-gkeop, linux-gkeop-5.15, linux-hwe-5.15, linux-intel-iotg, linux-intel-iotg-5.15, linux-kvm, linux-lowlatency, linux-lowlatency-hwe-5.15, linux-nvidia, linux-oracle, linux-azure, linux-azure-5.15, linux-azure-fde, linux-azure-fde-5.15, linux-nvidia-6.5, linux-oracle, linux-raspi, and lua5.4).
https://lwn.net/Articles/983816/
Sicherheitsupdate schützt SolarWinds Platform vor möglichen Attacken
Angreifer können die IT-Verwaltungssoftware SolarWinds Platform attackieren. Die Entwickler haben mehrere Schwachstellen geschlossen. [..] Aus den Details zur Version 2024.2.1 geht hervor, dass eine Lücke (CVE-2022-37601) in webpack.js als "kritisch" gilt. Hier können Angreifer auf einem nicht näher beschriebenen Weg eigenen Code ausführen.
https://heise.de/-9816342
ABB: 2024-07-26: Cyber Security Advisory - CODESYS OPC DA Server 3.5 Insecure storage of passwords
https://search.abb.com/library/Download.aspx?DocumentID=3ADR011267&LanguageCode=en&DocumentPartId=&Action=Launch