End-of-Day report
Timeframe: Dienstag 01-04-2025 18:00 - Mittwoch 02-04-2025 18:00
Handler: Michael Schlagenhaufer
Co-Handler: n/a
News
Unitree Go1: Gefährliche Backdoor in populärem Roboterhund entdeckt
Konkret geht es um das Modell Go1, das in der Vergangenheit bereits von den US-Marines für Testzwecke mit einem Waffensystem ausgestattet wurde. [..] Anhand der Backdoor konnte der Hersteller sowie auch jeder andere Akteur, der im Besitz des erforderlichen API-Schlüssels war, aus der Ferne die vollständige Kontrolle über den Unitree Go1 übernehmen. Der Zugriff erfolgte dabei über einen Cloudsail genannten Fernwartungsdienst.
https://www.golem.de/news/unitree-go1-gefaehrliche-backdoor-in-populaerem-roboterhund-entdeckt-2504-194933.html
Enterprise Gmail Users Can Now Send End-to-End Encrypted Emails to Any Platform
On the 21st birthday of Gmail, Google has announced a major update that allows enterprise users to send end-to-end encrypted (E2EE) to any user in any email inbox in a few clicks. The feature is rolling out starting today in beta, allowing users to send E2EE emails to Gmail users within an organization, with plans to send E2EE emails to any Gmail inbox in the coming weeks and to any email inbox later this year.
https://thehackernews.com/2025/04/enterprise-gmail-users-can-now-send-end.html
Administrative Windows Shares (C$, ADMIN$) mit Revoke-SmbShareAccess absichern
Windows erstellt standardmäßig spezielle, versteckte Freigaben (z. B. C$, ADMIN$, IPC$) für den Remote-Zugriff von Administratoren. Diese sind im Explorer grundsätzlich nicht sichtbar (ausgeblendet), können aber z.B. mittels folgendem PowerShell-CmdLet angezeigt werden: Was vielen nicht bewusst ist: Auch interaktiv angemeldet Benutzer (ohne Administrator-Rechte) können auf diese administrativen Freigaben lokal zugreifen ...
https://hitco.at/blog/administrative-windows-shares-c-admin-mit-revoke-smbshareaccess-absichern/
Konzert der Lieblingsband ausverkauft? Vorsicht vor Fake-Angeboten auf Facebook!
Egal ob Superstars in riesigen Arenen oder interessante Newcomer in kleinen Clubs - Musik zieht Menschen an. Ist das Konzert der Lieblingsband allerdings ausverkauft, ist guter Rat teuer - und Vorsicht geboten! Betrüger:innen nutzen besonders die Anonymität sozialer Medien und locken dort Musikfans auf der Suche nach Tickets in die Falle. Woran die Fake-Angebote zu erkennen sind und wann unbedingt eine Anzeige bei der Polizei nötig ist.
https://www.watchlist-internet.at/news/lieblingsband-ausverkauft-faketickets-facebook/
European Commission takes aim at end-to-end encryption and proposes Europol become an EU FBI
The Commission said it would create roadmaps regarding both the -lawful and effective access to data for law enforcement- and on encryption.
https://therecord.media/european-commission-takes-aim-encryption-europol-fbi-proposal
Deutsche Industrie warnt vor Ende des EU-US-Datentransfer-Abkommens
Der Datentransfer in die US-Cloud oder zu US-Unternehmen von Daten europäischer Nutzer ist durch ein Abkommen zwischen der EU und den USA geregelt. Nun droht dieses Abkommen durch die USA gekippt zu werden - und deutsche Unternehmen geraten dadurch in arge Probleme, wenn sie auf US-Tech-Produkte und die Cloud gesetzt haben. Verbände "warnen vor dem Ende des Abkommens" - die europäischen Cloud-Anbieter (CISPE) sehen aber eine Chance, in Europa digital souverän zu werden.
https://www.borncity.com/blog/2025/04/02/deutsche-industrie-zittert-vor-ende-des-eu-us-datentransfer-abkommens/
Jailbreaking Every LLM With One Simple Click
In the past two years, large language models (LLMs), especially chatbots, have exploded onto the scene. Everyone and their grandmother are using them these days. Generative AI is pervasive in movies, academic papers, legal briefs and much more. There is intense competition among major players, ranging from closed-model vendors such as OpenAI, Anthropic, Google and xAI to open-source providers like Meta, Mistral, Alibaba and DeepSeek.
https://www.cyberark.com/resources/threat-research-blog/jailbreaking-every-llm-with-one-simple-click
Heightened In-The-Wild Activity On Key Technologies Observed On March 28
On March 28, GreyNoise observed a significant spike in activity targeting multiple edge technologies, including SonicWall, Zoho, Zyxel, F5, Linksys, and Ivanti systems. While some of these technologies are edge systems, others are primarily internal management tools.
https://www.greynoise.io/blog/heightened-in-the-wild-activity-key-technologies
Tomcat in the Crosshairs: New Research Reveals Ongoing Attacks
News headlines reported that it took just 30 hours for attackers to exploit a newly discovered vulnerability in Apache Tomcat servers. But what does this mean for workloads relying on Tomcat? Aqua Nautilus researchers discovered a new attack campaign targeting Apache Tomcat. In this blog, we shed light on newly discovered malware that targets Tomcat servers to hijack resources.
https://blog.aquasec.com/new-campaign-against-apache-tomcat
Vulnerabilities
Security updates for Wednesday
Security updates have been issued by Debian (firefox-esr, jetty9, openjpeg2, and tomcat9), Fedora (dokuwiki, firefox, php-kissifrot-php-ixr, php-phpseclib3, and rust-zincati), Red Hat (kernel and pki-core), Slackware (mozilla), SUSE (apparmor, atop, docker, docker-stable, firefox, govulncheck-vulndb, libmodsecurity3, openvpn, upx, and warewulf4), and Ubuntu (inspircd, linux, linux-aws, linux-gcp, linux-gke, linux-gkeop, linux-ibm, linux-lowlatency, linux-lowlatency-hwe-6.8, linux-oem-6.8, linux-oracle, linux-oracle-6.8, linux-aws, linux-aws-5.4, linux-aws-fips, linux-azure-6.8, linux-hwe-6.8, linux-raspi, linux-realtime, nginx, phpseclib, and vim).
https://lwn.net/Articles/1016205/
Sicherheitsupdates: Netzwerkmonitoringtool Zabbix bietet Angriffsfläche
Fünf Sicherheitslücken gefährden Computer, auf denen Zabbix installiert ist. [..] Am gefährlichsten gilt eine Schwachstelle (CVE-2024-36465 "hoch") in Zabbix API. Hier könnte ein Angreifer mit einem regulären Nutzerkonto ansetzen, um eigene SQL-Befehle auszuführen. Außerdem sind Reflected-XSS-Attacken (CVE-2024-45699 "hoch") möglich. Über diesen Weg können Angreifer Schadcode in Form einer JavaScript-Payload ausführen.
https://heise.de/-10337461
VMware Aria Operations: Sicherheitslücke erlaubt Rechteausweitung
In einer Sicherheitsmitteilung erörtern die VMware-Entwickler die Schwachstelle. Demnach wurde in einer "Responsible Disclosure" eine lokale Rechteausweitungslücke an VMware gemeldet. "Bösartige Akteure können ihre Rechte zu 'root' auf der Appliance ausweiten, auf der VMware Aria Operations läuft", erklärt das Unternehmen (CVE-2025-22231, CVSS 7.8, Risiko "hoch").
https://heise.de/-10336721
VPN-Lücken in HPE Aruba Networking Virtual Intranet Access Client geschlossen
In einer Warnmeldung führen die Entwickler aus, dass der VIA-Client bis inklusive Version 4.7.0 verwundbar ist. Sie geben an, in der Ausgabe 4.7.2 zwei Sicherheitslücken (CVE-2024-3661 "hoch", CVE-2025-25041 "hoch") geschlossen zu haben.
https://heise.de/-10336851
Rockwell Automation Lifecycle Services with Veeam Backup and Replication
https://www.cisa.gov/news-events/ics-advisories/icsa-25-091-01