End-of-Day report
Timeframe: Dienstag 25-03-2025 18:00 - Mittwoch 26-03-2025 18:00
Handler: Michael Schlagenhaufer
Co-Handler: Felician Fuchs
News
New npm attack poisons local packages with backdoors
Two malicious packages were discovered on npm (Node package manager) that covertly patch legitimate, locally installed packages to inject a persistent reverse shell backdoor. This way, even if the victim removes the malicious packages, the backdoor remains on their system.
https://www.bleepingcomputer.com/news/security/new-npm-attack-poisons-local-packages-with-backdoors/
NCSC taps influencers to make 2FA go viral
The world's biggest brands have benefited from influencer marketing for years - now the UK's National Cyber Security Centre (NCSC) has hopped on the bandwagon to preach two-factor authentication (2FA) to the masses.
https://go.theregister.com/feed/www.theregister.com/2025/03/26/ncsc_influencers_2fa/
CoffeeLoader: A Brew of Stealthy Techniques
Zscaler ThreatLabz has identified a new sophisticated malware family that we named CoffeeLoader, which originated around September 2024. The purpose of the malware is to download and execute second-stage payloads while evading detection by endpoint-based security products. The malware uses numerous techniques to bypass security solutions, including a specialized packer that utilizes the GPU, call stack spoofing, sleep obfuscation, and the use of Windows fibers.
https://www.zscaler.com/blogs/security-research/coffeeloader-brew-stealthy-techniques
Have I Been Pwned: Projektbetreiber Troy Hunt gepwned
Troy Hunt, Betreiber des Dienstes Have-I-Been-Pwned (HIBP), wurde Opfer einer Phishing-Attacke und damit selbst "Pwned". Es sind 16.627 E-Mail-Adressen der Mailingliste für den Newsletter zu Troys persönlichen Blog dadurch in unbefugte Hände abgeflossen. In einem Blog-Beitrag erklärt Hunt, wie es zu dem Vorfall kommen konnte.
https://heise.de/-10328970
Vulnerabilities
Kritische Sicherheitslücken in Kubernetes Ingress NGINX Controller - Updates verfügbar
Im Kubernetes Ingress NGINX Controller, einer Kernkomponente von Kubernetes, wurden mehrere kritische Sicherheitslücken entdeckt. Diese ermöglichen unter anderem unauthentifizierte Remote Code Execution (RCE) und unberechtigten Zugriff auf Secrets.
https://www.cert.at/de/warnungen/2025/3/kubernetes-ingress-nginx-controller-vulnerabilities
Dringend patchen: Gefährliche Zero-Day-Lücke in Chrome für Spionage ausgenutzt
Nachdem Google in seinem Webbrowser Chrome erst in der vergangenen Woche eine kritische Sicherheitslücke geschlossen hatte, legt der Konzern jetzt nochmal nach. Mit einem am Dienstag veröffentlichten Update beseitigt Google eine Schwachstelle, die bereits im Rahmen gezielter Spionageangriffe aktiv ausgenutzt wird. [..] Die Ausnutzung der als CVE-2025-2783 registrierten Chrome-Lücke wurde Mitte März von Sicherheitsforschern von Kaspersky entdeckt. [..] Den Angaben zufolge lässt sich die Sicherheitslücke durch speziell präparierte Webseiten ausnutzen, die die jeweilige Zielperson lediglich aufrufen muss. [..] Einen Bericht mit weiteren technischen Details wollen die Sicherheitsforscher zu einem späteren Zeitpunkt veröffentlichen.
https://www.golem.de/news/dringend-patchen-gefaehrliche-zero-day-luecke-in-chrome-fuer-spionage-ausgenutzt-2503-194682.html
VMware Tools ermöglichen Rechteausweitung in VMs
In der Sicherheitsmitteilung von Broadcom erörtern die Autoren, dass aufgrund unzureichender Zugriffskontrollen die Umgehung der Authentifizierung möglich ist (CVE-2025-22230, CVSS 7.8, Risiko "hoch"). Bösartige Akteure mit nicht-administrativen Rechten in einem Windows-Gastsystem können dadurch Operationen, die höhere Zugriffsrechte benötigen, ausführen.
https://www.heise.de/-10328819
Security updates for Wednesday
Security updates have been issued by Debian (nginx and ruby-rack), Fedora (expat and libxslt), Mageia (bluez, dcmtk, ffmpeg, and radare2), Red Hat (container-tools:rhel8, gvisor-tap-vsock, kernel, kernel-rt, libreoffice, and podman), SUSE (buildah, forgejo, gitleaks, google-guest-agent, google-osconfig-agent, govulncheck-vulndb, grafana, helm, libxslt, php8, python-gunicorn, and python-Jinja2), and Ubuntu (freerdp2 and varnish).
https://lwn.net/Articles/1015464/
MISP v2.4.206 and v2.5.8 Released - new workflow modules, improved graph object relationship management and many other improvements
[security] Fixed stored XSS in event reports (mermaid rendering function).
https://github.com/MISP/MISP/releases/tag/v2.5.8
ZDI-25-181: (0Day) Arista NG Firewall User-Agent Cross-Site Scripting Remote Code Execution Vulnerability
This vulnerability allows remote attackers to execute arbitrary code on affected installations of Arista NG Firewall. Minimal user interaction is required to exploit this vulnerability. CVE-2025-2767
http://www.zerodayinitiative.com/advisories/ZDI-25-181/
Huawei: Security Advisory - Authentication Bypass Vulnerability in Huawei PC Products
http://www.huawei.com/en/psirt/security-advisories/2025/huawei-sa-20250325-01-pc-en
ZDI-25-180: (0Day) 70mai A510 Use of Default Password Authentication Bypass Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-25-180/
ZDI-25-178: (0Day) CarlinKit CPC200-CCPA update.cgi Improper Verification of Cryptographic Signature Code Execution Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-25-178/
Inaba Denki Sangyo CHOCO TEI WATCHER mini
https://www.cisa.gov/news-events/ics-advisories/icsa-25-084-04