Tageszusammenfassung - 25.03.2025

End-of-Day report

Timeframe: Montag 24-03-2025 18:00 - Dienstag 25-03-2025 18:00 Handler: Michael Schlagenhaufer Co-Handler: Felician Fuchs

News

Browser-in-the-Browser attacks target CS2 players Steam accounts

A new phishing campaign targets Counter-Strike 2 players utilizing Browser-in-the-Browser (BitB) attacks that display a realistic window that mimics Steams login page.

https://www.bleepingcomputer.com/news/security/browser-in-the-browser-attacks-target-cs2-players-steam-accounts/

Open-sourcing OpenPubkey SSH (OPKSSH): integrating single sign-on with SSH

OPKSSH (OpenPubkey SSH) is now open-sourced as part of the OpenPubkey project.

https://blog.cloudflare.com/open-sourcing-openpubkey-ssh-opkssh-integrating-single-sign-on-with-ssh/

Zero Day: Russische Firma zahlt für Telegram-Lücken Millionen

Die stetig wachsende Nutzerbasis macht die Plattform auch für Cyberangriffe immer interessanter. Aus diesem Grund bietet der russische Schwachstellenhändler Operation Zero mittlerweile bis zu vier Millionen US-Dollar für ungepatchte Sicherheitslücken in Telegram.

https://www.golem.de/news/zero-day-russische-firma-zahlt-millionen-fuer-telegram-luecken-2503-194649.html

Achtung: Phishing-Mails im Namen des Wiener Tourismusverbands!

Aktuell kursieren E-Mails im Namen der Buchhaltung, die dazu auffordern, Rechnungen aufgrund technischer Probleme direkt per E-Mail zu senden. Vorsicht: Diese E-Mails stammen nicht von Mitarbeitenden des Wiener Tourismusverband sondern von Kriminellen!

https://www.watchlist-internet.at/news/achtung-phishing-mails-im-namen-des-wiener-tourismusverbands/

Oracle angeblich gehackt: Nutzerdaten im Darknet zum Verkauf

Sicherheitsforscher von CloudSEK berichten, dass im Darknet sensible Daten von rund 140.000 Oracle-Kunden zum Verkauf stehen. Diese Informationen sollen aus einer Cyberattacke stammen. Dem Hard- und Softwarehersteller zufolge hat es keinen IT-Sicherheitsvorfall gegeben.

https://heise.de/-10327980

US-Behörde stoppt Gelder für Lets Encrypt und Tor - Open Tech Fund wehrt sich

Nach einem Dekret von US-Präsident Trump erhält der Open Technology Fund keine Fördermittel mehr. Deswegen zieht die Organisation jetzt vor Gericht.

https://heise.de/-10328226

Fake Hiring Challenge for Developers Steals Sensitive Data

Cyble threat intelligence researchers have uncovered a GitHub repository masquerading as a hiring coding challenge that tricks developers into downloading a backdoor to steal sensitive data. [..] There is evidence that the campaign may be expanding beyond a fake hiring challenge for developers, as Cyble Research and Intelligence Labs (CRIL) researchers also found invoice-themed lures.

https://thecyberexpress.com/fake-hiring-challenge-targets-developers/

Vulnerabilities

Notable vulnerabilities in Next.js (CVE-2025-29927) and CrushFTP

On Friday, March 21, 2025, file transfer software maker CrushFTP disclosed a new vulnerability to customers via email. While the email [...] indicates only CrushFTP v11 is affected by the still-CVE-less (as of March 25) unauthenticated port access vulnerability, the extremely sparse vendor advisory indicates that both CrushFTP v10 and v11 are affected. According to the vendor, the issue is not exploitable if customers have the DMZ function of CrushFTP in place.

https://www.rapid7.com/blog/post/2025/03/25/etr-notable-vulnerabilities-in-next-js-cve-2025-29927/

RCE Vulnerabilities in k8s Ingress NGINX (9.8 CVE for ingress-nginx)

Wiz Research discovered CVE-2025-1097, CVE-2025-1098, CVE-2025-24514 and CVE-2025-1974, a series of unauthenticated Remote Code Execution vulnerabilities in Ingress NGINX Controller for Kubernetes dubbed #IngressNightmare. Exploitation of these vulnerabilities leads to unauthorized access to all secrets stored across all namespaces in the Kubernetes cluster by attackers, which can result in cluster takeover.

https://www.wiz.io/blog/ingress-nginx-kubernetes-vulnerabilities