[CERT-daily] Tageszusammenfassung - 11.01.2024

[Daily end-of-shift report]

=====================
= End-of-Day report =
=====================

Timeframe:   Mittwoch 10-01-2024 18:00 − Donnerstag 11-01-2024 18:00
Handler:     Thomas Pribitzer
Co-Handler:  n/a

=====================
=       News        =
=====================

∗∗∗ Atomic Stealer rings in the new year with updated version ∗∗∗
---------------------------------------------
Mac users should be aware of an active distribution campaign via malicious ads delivering Atomic Stealer. The latest iteration of the malware is stealthy thanks to added encryption and obfuscation of its code.
---------------------------------------------
https://www.malwarebytes.com/blog/threat-intelligence/2024/01/atomic-stealer-rings-in-the-new-year-with-updated-version


∗∗∗ SECGlitcher (Part 1) - Reproducible Voltage Glitching on STM32 Microcontrollers ∗∗∗
---------------------------------------------
Voltage glitching is a technique used in hardware security testing to try to bypass or modify the normal operation of a device by injecting a glitch.
---------------------------------------------
https://sec-consult.com/blog/detail/secglitcher-part-1-reproducible-voltage-glitching-on-stm32-microcontrollers/


∗∗∗ Achtung Nachahmer: Gefahren durch gefälschte Messaging-Apps und App-Mods ∗∗∗
---------------------------------------------
Klone und Mods von WhatsApp, Telegram und Signal sind nach wie vor ein beliebtes Mittel zur Verbreitung von Malware. Lassen Sie sich nicht für dumm verkaufen.
---------------------------------------------
https://www.welivesecurity.com/de/mobile-sicherheit/achtung-nachahmer-gefahren-durch-gefalschte-messaging-apps-und-app-mods/


∗∗∗ Vorsicht vor Promi-Klonen auf Social Media: So täuschen Kriminelle treue Fans ∗∗∗
---------------------------------------------
Christina Stürmer, Hubert von Goisern oder Christopher Seiler: Das sind nur 3 von zahlreichen österreichischen Prominenten, die auf Facebook und Instagram vertreten sind -allerdings nicht nur mit einem einzigen Profil. Denn Kriminelle erstellen Fake-Profile, auf denen sie sich als diese Stars ausgeben, um den treuen Fans das Geld aus der Tasche zu ziehen.
---------------------------------------------
https://www.watchlist-internet.at/news/vorsicht-vor-promi-klonen-auf-social-media-so-taeuschen-kriminelle-treue-fans/


∗∗∗ Medusa Ransomware Turning Your Files into Stone ∗∗∗
---------------------------------------------
Medusa ransomware gang has not only escalated activities but launched a leak site. We also analyze new TTPS encountered in an incident response case.
---------------------------------------------
https://unit42.paloaltonetworks.com/medusa-ransomware-escalation-new-leak-site/



=====================
=  Vulnerabilities  =
=====================

∗∗∗ Kein Patch verfügbar: Ivanti Connect Secure und Policy Secure sind angreifbar ∗∗∗
---------------------------------------------
In Ivanti Connect Secure und Policy Secure klaffen aktiv ausgenutzte Sicherheitslücken. Patches gibt es bisher nicht - nur einen Workaround.
---------------------------------------------
https://www.golem.de/news/kein-patch-verfuegbar-ivanti-connect-secure-und-policy-secure-sind-angreifbar-2401-181065.html


∗∗∗ Zoho ManageEngine: Codeschmuggel in ADSelfService Plus möglich ∗∗∗
---------------------------------------------
In Zoho ManageEngine ADSelfService Plus klafft eine kritische Sicherheitslücke. Angreifer können dadurch Schadcode einschleusen.
---------------------------------------------
https://www.heise.de/news/Zoho-ManageEngine-Codeschmuggel-in-ADSelfService-Plus-moeglich-9594221.html


∗∗∗ Sicherheitspatch: API-Fehler in Cisco Unity Connection macht Angreifer zum Root ∗∗∗
---------------------------------------------
Verschiedene Netzwerkprodukte von Cisco sind verwundbar. Eine Lücke gilt als kritisch.
---------------------------------------------
https://www.heise.de/news/Sicherheitspatch-API-Fehler-in-Cisco-Unity-Connection-macht-Angreifer-zum-Root-9593930.html


∗∗∗ BIOS-Sicherheitsupdates von Dell und Lenovo ∗∗∗
---------------------------------------------
Dell stellt aktualisierte BIOS-Versionen für einige Geräte bereit. AMI schließt mehrere Sicherheitslücken, Lenovo reicht diese durch.
---------------------------------------------
https://www.heise.de/news/BIOS-Sicherheitsupdates-von-Dell-und-Lenovo-9594096.html


∗∗∗ Sicherheitspatch: IBM Security Verify für Root-Attacken anfällig ∗∗∗
---------------------------------------------
Die Entwickler haben in IBMs Zugriffsmanagementlösung Security Verify mehrere Sicherheitslücken geschlossen.
---------------------------------------------
https://www.heise.de/news/Sicherheitspatch-IBM-Security-Verify-fuer-Root-Attacken-anfaellig-9594439.html


∗∗∗ Juniper Networks bessert zahlreiche Schwachstellen aus ∗∗∗
---------------------------------------------
Juniper Networks hat 27 Sicherheitsmitteilungen veröffentlicht. Sie betreffen Junos OS, Junos OS Evolved und diverse Hardware.
---------------------------------------------
https://www.heise.de/news/Juniper-Networks-bessert-zahlreiche-Schwachstellen-aus-9594717.html


∗∗∗ Security updates for Thursday ∗∗∗
---------------------------------------------
Security updates have been issued by Debian (chromium), Fedora (chromium, python-paramiko, tigervnc, and xorg-x11-server), Oracle (ipa, libxml2, python-urllib3, python3, and squid), Red Hat (.NET 6.0, .NET 7.0, .NET 8.0, container-tools:4.0, fence-agents, frr, gnutls, idm:DL1, ipa, kernel, kernel-rt, libarchive, libxml2, nss, openssl, pixman, python-urllib3, python3, tigervnc, tomcat, and virt:rhel and virt-devel:rhel modules), SUSE (gstreamer-plugins-bad), and Ubuntu (firefox, Go, linux-aws, [...]
---------------------------------------------
https://lwn.net/Articles/958029/


∗∗∗ Active Exploitation of Two Zero-Day Vulnerabilities in Ivanti Connect Secure VPN ∗∗∗
---------------------------------------------
Volexity analyzed one of the collected memory samples and uncovered the exploit chain used by the attacker. Volexity discovered two different zero-day exploits which were being chained together to achieve unauthenticated remote code execution (RCE).
---------------------------------------------
https://www.volexity.com/blog/2024/01/10/active-exploitation-of-two-zero-day-vulnerabilities-in-ivanti-connect-secure-vpn/


∗∗∗ Cisco TelePresence Management Suite Cross-Site Scripting Vulnerabilities ∗∗∗
---------------------------------------------
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-tms-portal-xss-AXNeVg3s


∗∗∗ Apache ActiveMQ OpenWire Protocol Class Type Manipulation Arbitrary Code Execution Vulnerability affects Atos Unify OpenScape UC and Atos Unify Common Management Platform ∗∗∗
---------------------------------------------
https://networks.unify.com/security/advisories/OBSO-2401-02.pdf


∗∗∗ ZDI Security Advisories ∗∗∗
---------------------------------------------
https://www.zerodayinitiative.com/advisories/published/


∗∗∗ IBM Security Bulletins ∗∗∗
---------------------------------------------
https://www.ibm.com/support/pages/bulletin/


∗∗∗ Rapid Software LLC Rapid SCADA ∗∗∗
---------------------------------------------
https://www.cisa.gov/news-events/ics-advisories/icsa-24-011-03


∗∗∗ Horner Automation Cscape ∗∗∗
---------------------------------------------
https://www.cisa.gov/news-events/ics-advisories/icsa-24-011-04

-- 
CERT.at Daily mailing list
Listinfo: https://lists.cert.at/cgi-bin/mailman/listinfo/daily