[CERT-daily] Tageszusammenfassung - 05.02.2024

Mon Feb 5 18:24:06 CET 2024

=====================
= End-of-Day report =
=====================

Timeframe:   Freitag 02-02-2024 18:00 − Montag 05-02-2024 18:00
Handler:     Michael Schlagenhaufer
Co-Handler:  Stephan Richter

=====================
=       News        =
=====================

∗∗∗ Newest Ivanti SSRF zero-day now under mass exploitation ∗∗∗
---------------------------------------------
An Ivanti Connect Secure and Ivanti Policy Secure server-side request forgery (SSRF) vulnerability tracked as CVE-2024-21893 is currently under mass exploitation by multiple attackers.
---------------------------------------------
https://www.bleepingcomputer.com/news/security/newest-ivanti-ssrf-zero-day-now-under-mass-exploitation/


∗∗∗ Cyberangriff: Fernwartungssoftware-Anbieter Anydesk gehackt ∗∗∗
---------------------------------------------
Anydesk ist Opfer eines Cyberangriffs geworden. Die Folgen sind noch nicht klar, aber möglicherweise gravierend.
---------------------------------------------
https://www.golem.de/news/cyberangriff-fernwartungssoftware-anbieter-anydesk-gehackt-2402-181848.html


∗∗∗ Darknet: Anydesk-Zugangsdaten in Hackerforen aufgetaucht ∗∗∗
---------------------------------------------
Quelle der Daten ist nach aktuellen Erkenntnissen wohl nicht der jüngste Sicherheitsvorfall bei Anydesk. Ein Passwortwechsel wird dennoch empfohlen.
---------------------------------------------
https://www.golem.de/news/darknet-anydesk-zugangsdaten-in-hackerforen-aufgetaucht-2402-181868.html


∗∗∗ How to hack the Airbus NAVBLUE Flysmart+ Manager ∗∗∗
---------------------------------------------
Airbus Navblue Flysmart+ Manager allowed attackers to tamper with the engine performance calculations and intercept data. Flysmart+ is a suite of apps for pilot EFBs, helping deliver efficient and safe departure and arrival of flights. Researchers from Pen Test Partners discovered a vulnerability in Navblue Flysmart+ Manager that can be exploited [...]
---------------------------------------------
https://securityaffairs.com/158661/hacking/airbus-flysmart-flaw.html


∗∗∗ Encrypted Attacks: Impact on Public Sector ∗∗∗
---------------------------------------------
Following FBI and CISA warnings to public sector defenders in November regarding increased targeting by infamous ransomware groups, the imperative to understand and defend against evolving - and increasingly covert - cyber threats has intensified. According to Zscaler ThreatLabz analysis of the 2023 threat landscape, 86% of threats hide within encrypted traffic. What does this mean for the public sector?
---------------------------------------------
https://www.zscaler.com/blogs/security-research/encrypted-attacks-impact-public-sector


∗∗∗ Hacking a Smart Home Device ∗∗∗
---------------------------------------------
How I reverse engineered an ESP32-based smart home device to gain remote control access and integrate it with Home Assistant.
---------------------------------------------
https://jmswrnr.com/blog/hacking-a-smart-home-device


∗∗∗ Videokonferenz voller KI-Klone: Angestellter schickt Betrügern 24 Millionen Euro ∗∗∗
---------------------------------------------
Bislang werden im Rahmen der "Chef-Masche" Angestellte zumeist von einer Person überzeugt, Geld herauszugeben. Ein Fall in Hongkong hat nun eine neue Qualität.
---------------------------------------------
https://www.heise.de/-9618064.html


∗∗∗ Hartkodiertes Passwort: Wärmepumpen von Alpha Innotec und Novelan angreifbar ∗∗∗
---------------------------------------------
Ein IT-Forscher hat in der Firmware von Alpha Innotec- und Novelan-Wärmepumpen das hartkodierte Root-Passwort gefunden. Updates bieten Abhilfe.
---------------------------------------------
https://www.heise.de/-9618846.html


∗∗∗ Ivanti Zero Day – Threat Actors observed leveraging CVE-2021-42278 and CVE-2021-42287 for quick privilege escalation to Domain Admin ∗∗∗
---------------------------------------------
TL;dr NCC Group has observed what we believe to be the attempted exploitation of CVE-2021-42278 and CVE-2021-42287 as a means of privilege escalation, following the successful compromise of an Ivanti Secure Connect VPN using the following zero-day vulnerabilities reported by Volexity1 on 10/01/2024: [...]
---------------------------------------------
https://research.nccgroup.com/2024/02/05/ivanti-zero-day-threat-actors-observed-leveraging-cve-2021-42278-and-cve-2021-42287-for-quick-privilege-escalation-to-domain-admin/


∗∗∗ Achtung: E-Card mit 500 Euro Guthaben für Apothekenkäufe ist Fake ∗∗∗
---------------------------------------------
Auf Facebook wird eine „E-Card-Gutscheinkarte“ beworben. Wenn Sie eine kurze Umfrage ausfüllen und 2 Euro überweisen, erhalten Sie angeblich 500 Euro für Apothekeneinkäufe. Achtung, dabei handelt es sich um Betrug. Ein solches Angebot gibt es nicht!
---------------------------------------------
https://www.watchlist-internet.at/news/achtung-e-card-mit-500-euro-guthaben-fuer-apothekenkaeufe-ist-fake/


∗∗∗ Sicherheitsvorfall bei der AnyDesk Software GmbH ∗∗∗
---------------------------------------------
Der deutsche Softwarehersteller AnyDesk Software GmbH, Entwickler der Fernwartungssoftware AnyDesk, hat am Abend des 02.02.2024 im Rahmen einer Pressemeldung über einen erfolgreichen Angriff gegen seine Infrastruktur informiert. Laut dem Unternehmen wurde direkt nach Entdeckung des Vorfalles ein externer Sicherheitsdienstleister zur Behandlung des Vorfalls hinzugezogen und die zuständigen Behörden informiert. Weiters gibt das Unternehmen an, dass keinerlei private Schlüssel, [...]
---------------------------------------------
https://cert.at/de/aktuelles/2024/2/sicherheitsvorfall-bei-der-anydesk-software-gmbh


=====================
=  Vulnerabilities  =
=====================

∗∗∗ Docker, Kubernetes und co.: Hacker können aus Containern auf Hostsysteme zugreifen ∗∗∗
---------------------------------------------
Die Schwachstellen dafür beziehen sich auf Buildkit und das CLI-Tool runc. Eine davon erreicht mit einem CVSS von 10 den maximal möglichen Schweregrad.
---------------------------------------------
https://www.golem.de/news/docker-kubernetes-und-co-hacker-koennen-aus-containern-auf-hostsysteme-zugreifen-2402-181875.html


∗∗∗ Security updates for Monday ∗∗∗
---------------------------------------------
Security updates have been issued by Debian (rear, runc, sudo, and zbar), Fedora (chromium, grub2, libebml, mingw-python-pygments, and python-aiohttp), Gentoo (FreeType, GNAT Ada Suite, Microsoft Edge, NBD Tools, OpenSSL, QtGui, SDDM, Wireshark, and Xen), Mageia (dracut, glibc, nss and firefox, openssl, packages, perl, and thunderbird), Slackware (libxml2), SUSE (java-11-openjdk, java-17-openjdk, perl, python-uamqp, slurm, and xerces-c), and Ubuntu (libssh and openssl).
---------------------------------------------
https://lwn.net/Articles/960952/


∗∗∗ 2024-02-05: Cyber Security Advisory - B&R Automation Runtime FTP uses unsecure encryption mechanisms ∗∗∗
---------------------------------------------
https://www.br-automation.com/fileadmin/SA23P004_FTP_uses_unsecure_encryption_mechanisms-f57c147c.pdf


∗∗∗ Canon: CPE2024-001 – Regarding vulnerabilities for Small Office Multifunction Printers and Laser Printers – 05 February 2024 ∗∗∗
---------------------------------------------
https://www.canon-europe.com/support/product-security-latest-news/


∗∗∗ IBM Security Bulletins ∗∗∗
---------------------------------------------
https://www.ibm.com/support/pages/bulletin/


∗∗∗ QNAP: Neue Firmware-Versionen beheben Befehlsschmuggel-Lücke ∗∗∗
---------------------------------------------
https://www.heise.de/-9617332.html


∗∗∗ IT-Sicherheitsüberwachung Juniper JSA für mehrere Attacken anfällig ∗∗∗
---------------------------------------------
https://www.heise.de/-9617677.html


∗∗∗ HCL schließt Sicherheitslücken in Bigfix, Devops Deploy und Launch ∗∗∗
---------------------------------------------
https://www.heise.de/-9618224.html

-- 
CERT.at Daily mailing list
Listinfo: https://lists.cert.at/cgi-bin/mailman/listinfo/daily