End-of-Day report
Timeframe: Dienstag 18-02-2025 18:00 - Mittwoch 19-02-2025 18:00
Handler: Alexander Riepl
Co-Handler: Michael Schlagenhaufer
News
Ransomware nutzt Sicherheitslücke in FortiOS/FortiProxy Management-Interfaces
CERT.at hat kürzlich Aktivitäten beobachtet, bei denen die Schwachstelle CVE-2024-55591 in FortiOS/FortiProxy als initialer Angriffsvektor für Ransomware-Angriffe genutzt wird. Die Sicherheitslücke ist seit Mitte Jänner bekannt, Patches stehen bereits zur Verfügung.
https://www.cert.at/de/aktuelles/2025/2/ransomware-nutzt-sicherheitslucke-in-fortiosfortiproxy-management-interfaces
WinRAR 7.10 boosts Windows privacy by stripping MoTW data
WinRAR 7.10 was released yesterday with numerous features, such as larger memory pages, a dark mode, and the ability to fine-tune how Windows Mark-of-the-Web flags are propagated when extracting files.
https://www.bleepingcomputer.com/news/security/winrar-710-boosts-windows-privacy-by-stripping-motw-data/
Spam and phishing in 2024
We analyze 2024s key spam and phishing statistics and trends: the hunt for crypto wallets, Hamster Kombat, online promotions via neural networks, fake vacation schedules, and more.
https://securelist.com/spam-and-phishing-report-2024/115536/
Achtung Finanzbetrug: Van der Bellen gibt keine Anlageempfehlung in Kronen Zeitung!
Derzeit sind betrügerische E-Mails im Umlauf, die auf eine gefälschte Website im Stil der Kronen Zeitung verlinken. Diese Seiten enthalten ein angebliches Interview mit Bundespräsident Alexander Van der Bellen, in dem er die Investitionsplattform Bitcoin Bank Breaker empfiehlt. Vorsicht: Es handelt sich um Betrug! Statt finanzieller Freiheit droht der Totalverlust des Geldes.
https://www.watchlist-internet.at/news/achtung-finanzbetrug-mit-fake-van-der-bellen-interview/
Start der Austria Cyber Security Challenge 2025
Auch heuer unterstützt CERT.at die Austria Cyber Security Challenge, quasi die Österreichische Staatsmeisterschaft der Cybersicherheit. Hier die wichtigsten Eckpunkte [..]
https://www.cert.at/de/blog/2025/2/start-der-austria-cyber-security-challenge-2025
Pegasus spyware infections found on several private sector phones
Mobile security company iVerify says that it discovered about a dozen new infections of the powerful Pegasus spyware on phones mostly used by people in private industry.
https://therecord.media/pegasus-spyware-infections-iverify
ACRStealer Infostealer Exploiting Google Docs as C2
AhnLab SEcurity intelligence Center (ASEC) monitors the Infostealer malware disguised as illegal programs such as cracks and keygens being distributed, and publishes related trends and changes through the Ahnlab TIP and ASEC Blog posts. While the majority of the malware distributed in this manner has been the LummaC2 Infostealer, the ACRStealer Infostealer has seen an increase in distribution.
https://asec.ahnlab.com/en/86390/
Rhadamanthys Infostealer Being Distributed Through MSC Extension
AhnLab SEcurity intelligence Center (ASEC) has confirmed that Rhadamanthys Infostealer is being distributed as a file with the MSC extension. The MSC extension is an XML-based format that is executed by the Microsoft Management Console (MMC), and it can register and execute various tasks such as script code and command execution, and program execution.
https://asec.ahnlab.com/en/86391/
$10 Infostealers Are Breaching Critical US Security: Military and Even the FBI Hit
A new report reveals how cheap Infostealer malware is exposing US military and defense data, putting national security at risk. Hackers exploit human error to gain access.
https://hackread.com/infostealers-breach-us-security-military-fbi-hit/
Technical Advisory - Hash Denial-of-Service Attack in Multiple QUIC Implementations
This technical advisory describes a class of vulnerabilities affecting several QUIC implementations.
https://www.nccgroup.com/us/research-blog/technical-advisory-hash-denial-of-service-attack-in-multiple-quic-implementations/
Vulnerabilities
Juniper Session Smart Router: Sicherheitsleck ermöglicht Übernahme
Juniper warnt außer der Reihe vor einer kritischen Sicherheitslücke in Junipers Session Smart Router. Angreifer können die Geräte übernehmen. [..] Demnach können Angreifer aus dem Netz die Authentifizierung umgehen und administrative Kontrolle über die Geräte übernehmen, da eine Schwachstelle des Typs "Authentifizierungsumgehung auf einem alternativen Pfad oder Kanal" in der Firmware der Geräte besteht (CVE-2025-21589, CVSS 9.8, Risiko "kritisch").
https://www.heise.de/-10287396
Bootloader U-Boot: Sicherheitslücken ermöglichen Umgehen der Chain-of-Trust
Der Universal Boot Loader U-Boot ist von Schwachstellen betroffen, durch die Angreifer beliebigen Code einschleusen können. [..] "Auf Systemen, die auf einen verifizierten Boot-Prozess setzen, ermöglichen diese Lücken Angreifern, die Chain of Trust zu umgehen und eigenen Code auszuführen", erklären die Entdecker. Eine der Lücken (CVE-2024-57258) ermöglicht das zudem mit anderen Subsystemen als ext4 oder SquashFS.
https://www.heise.de/-10287480
Sicherheitsupdates: Lernplattform Moodle vielfältig angreifbar
Die Moodle-Entwickler haben mehrere Sicherheitslücken geschlossen. Bislang gibt es keine Berichte zu Attacken.
https://www.heise.de/-10288147
Security updates for Wednesday
Security updates have been issued by AlmaLinux (gcc-toolset-14-gcc, nodejs:18, and nodejs:22), Fedora (bootc), Gentoo (OpenSSH), Oracle (doxygen, libxml2, mingw-glib2, and NetworkManager), Red Hat (bind, bind9.16, bind9.18, kernel, kernel-rt, mysql, and mysql:8.0), Slackware (openssh), SUSE (buildah, emacs, glibc, google-osconfig-agent, grub2, java-11-openj9, kernel, netty, netty-tcnative, openssh, openvswitch, podman, and ucode-intel), and Ubuntu (atril, libsndfile, libtasn1-6, openssh, python-virtualenv, and symfony).
https://lwn.net/Articles/1010853/
Multiple Vulnerabilities Discovered in NVIDIA CUDA Toolkit
Unit 42 researchers detail nine vulnerabilities discovered in NVIDIA-s CUDA-based toolkit. The affected utilities help analyze cubin (binary) files.The post Multiple Vulnerabilities Discovered in NVIDIA CUDA Toolkit appeared first on Unit 42.
https://unit42.paloaltonetworks.com/nvidia-cuda-toolkit-vulnerabilities/
Cisco BroadWorks Application Delivery Platform Cross-Site Scripting Vulnerability
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-broadworks-xss-GDPgJ58P
Cisco Video Phone 8875 and Desk Phone 9800 Series Information Disclosure Vulnerability
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-phone-info-disc-YyxsWStK
Cisco Secure Email Gateway Email Filter Bypass Vulnerability
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-esa-mailpol-bypass-5nVcJZMw