[CERT-daily] Tageszusammenfassung - 16.01.2024

Tue Jan 16 18:14:49 CET 2024

=====================
= End-of-Day report =
=====================

Timeframe:   Montag 15-01-2024 18:00 − Dienstag 16-01-2024 18:00
Handler:     Stephan Richter
Co-Handler:  Thomas Pribitzer

=====================
=       News        =
=====================

∗∗∗ A lightweight method to detect potential iOS malware ∗∗∗
---------------------------------------------
Analyzing Shutdown.log file as a lightweight method to detect indicators of infection with sophisticated iOS malware such as Pegasus, Reign and Predator.
---------------------------------------------
https://securelist.com/shutdown-log-lightweight-ios-malware-detection-method/111734/


∗∗∗ DORA: Noch ein Jahr bis zur vollständigen Einhaltung des neuen Rechtsrahmens ∗∗∗
---------------------------------------------
In einem Jahr, am 17. Januar 2025, wird die EU-Verordnung über die über die digitale operationale Resilienz im Finanzsektor (DORA) in Kraft treten.
---------------------------------------------
https://sec-consult.com/de/blog/detail/dora-noch-ein-jahr-bis-zur-vollstaendigen-einhaltung-des-neuen-rechtsrahmens/


∗∗∗ Phemedrone-Infostealer umgeht Windows Defender Smartscreeen-Filter ∗∗∗
---------------------------------------------
Trend Micro hat den Phemedrone-Infostealer analysiert. Der schaffte es durch eine Lücke im Windows Defender Smartscreen-Filter auf Rechner.
---------------------------------------------
https://www.heise.de/news/Phemedrone-Infostealer-umgeht-Windows-Defender-Smartscreeen-Filter-9599002.html


∗∗∗ Deepfake-Videos mit bekannten Gesichtern locken in Investmentfallen ∗∗∗
---------------------------------------------
Kriminelle greifen bei der Bewerbung betrügerischer Finanzangebote besonders tief in die Trickkiste. Website-Kopien von Zeitungen mit gefälschten Promi-Artikel kennen wir nur zu gut. Mittlerweile kommen aber auch zum Teil sehr professionelle Deep-Fake-Videos zum Einsatz. Darin erklären Ihnen bekannte Promis, Moderator:innen oder Politiker:innen, wie Sie mit einer „geheimen“ Plattform schnell reich werden.
---------------------------------------------
https://www.watchlist-internet.at/news/deepfake-videos-mit-bekannten-gesichtern-locken-in-investmentfallen/


∗∗∗ Vorsicht vor Kryptoscams, die in Wien auf der Straße liegen ∗∗∗
---------------------------------------------
Ein seltsamer Fund in der Nähe der Wiener Karlskirche legt nahe, dass Passanten derzeit mit gefälschten Paper-Wallets geködert werden
---------------------------------------------
https://www.derstandard.at/story/3000000203274/vorsicht-vor-kryptoscams-die-in-wien-auf-der-strasse-liegen


∗∗∗ CISA and FBI Release Known IOCs Associated with Androxgh0st Malware ∗∗∗
---------------------------------------------
Today, CISA and the Federal Bureau of Investigation (FBI) released a joint Cybersecurity Advisory (CSA), Known Indicators of Compromise Associated with Androxgh0st Malware, to disseminate known indicators of compromise (IOCs) and tactics, techniques, and procedures (TTPs) associated with threat actors deploying Androxgh0st malware.
---------------------------------------------
https://www.cisa.gov/news-events/alerts/2024/01/16/cisa-and-fbi-release-known-iocs-associated-androxgh0st-malware


∗∗∗ Ivanti Connect Secure VPN Exploitation Goes Global ∗∗∗
---------------------------------------------
Important: If your organization uses Ivanti Connect Secure VPN and you have not applied the mitigation, then please do that immediately! Organizations should immediately review the results of the built-in Integrity Check Tool for log entries indicating mismatched or new files.
---------------------------------------------
https://www.volexity.com/blog/2024/01/15/ivanti-connect-secure-vpn-exploitation-goes-global/


=====================
=  Vulnerabilities  =
=====================

∗∗∗ Sonicwall: Angreifer können über 178.000 Firewalls zum Absturz bringen ∗∗∗
---------------------------------------------
Die beiden Schwachstellen, über die der DoS-Angriff gelingt, sind eigentlich schon lange bekannt. Auch ein Exploit steht seit Monaten bereit.
---------------------------------------------
https://www.golem.de/news/sonicwall-angreifer-koennen-ueber-178-000-firewalls-zum-absturz-bringen-2401-181212.html


∗∗∗ Cross-Site-Scripting in Monitoringsoftware PRTG erlaubt Sessionklau ∗∗∗
---------------------------------------------
Mit einem präparierten Link können Angreifer PRTG-Nutzer in die Irre führen und die Authentifizierung umgehen. Ein Update schafft Abhilfe.
---------------------------------------------
https://www.heise.de/news/Cross-Site-Scripting-in-Monitoringsoftware-PRTG-erlaubt-Sessionklau-9598174.html


∗∗∗ Atlassian: Updates zum Patchday schließen 28 hochriskante Schwachstellen ∗∗∗
---------------------------------------------
Atlassian veranstaltet einen Patchday und schließt dabei 28 Sicherheitslücken in diversen Programmen, die als hohes Risiko gelten.
---------------------------------------------
https://www.heise.de/news/Atlassian-Updates-zum-Patchday-schliessen-28-hochriskante-Schwachstellen-9598439.html


∗∗∗ Kritische Sicherheitslücke: VMware vergaß Zugriffskontrollen in Aria Automation ∗∗∗
---------------------------------------------
Angreifer mit einem gültigen Konto können sich erweiterte Rechte verschaffen. VMWare bietet Patches an, Cloud-Kunden bleiben verschont.
---------------------------------------------
https://www.heise.de/news/Kritische-Sicherheitsluecke-VMware-vergass-Zugriffskontrollen-in-Aria-Operations-9598732.html


∗∗∗ Codeschmuggel in Juniper JunOS: Weltweit tausende Geräte betroffen ∗∗∗
---------------------------------------------
Ist auf einer Firewall der SRX-Serie oder einem Switch der EX-Reihe das Web-Management-Interface aktiviert, drohen Angriffe. Juniper hat Updates in petto.
---------------------------------------------
https://www.heise.de/news/Codeschmuggel-in-Juniper-JunOS-Weltweit-tausende-Geraete-betroffen-9599033.html


∗∗∗ Security updates for Tuesday ∗∗∗
---------------------------------------------
Security updates have been issued by Gentoo (KTextEditor, libspf2, libuv, and Nettle), Mageia (hplip), Oracle (container-tools:4.0, gnutls, idm:DL1, squid, squid34, and virt:ol, virt-devel:rhel), Red Hat (.NET 6.0, krb5, python3, rsync, and sqlite), SUSE (chromium, perl-Spreadsheet-ParseXLSX, postgresql, postgresql15, postgresql16, and rubygem-actionpack-5_1), and Ubuntu (binutils, libspf2, libssh2, mysql-5.7, w3m, webkit2gtk, and xerces-c).
---------------------------------------------
https://lwn.net/Articles/958416/


∗∗∗ VU#132380: Vulnerabilities in EDK2 NetworkPkg IP stack implementation. ∗∗∗
---------------------------------------------
https://kb.cert.org/vuls/id/132380


∗∗∗ VU#302671: SMTP end-of-data uncertainty can be abused to spoof emails and bypass policies ∗∗∗
---------------------------------------------
https://kb.cert.org/vuls/id/302671


∗∗∗ IBM Security Bulletins ∗∗∗
---------------------------------------------
https://www.ibm.com/support/pages/bulletin/


∗∗∗ VMSA-2024-0001 - VMware Aria Automation (formerly vRealize Automation) update addresses a Missing Access Control vulnerability (CVE-2023-34063) ∗∗∗
---------------------------------------------
https://www.vmware.com/security/advisories/VMSA-2024-0001.html


∗∗∗ NetScaler ADC and NetScaler Gateway Security Bulletin for CVE-2023-6548 and CVE-2023-6549 ∗∗∗
---------------------------------------------
https://support.citrix.com/article/CTX584986/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20236548-and-cve20236549


∗∗∗ Citrix Session Recording Security Bulletin for CVE-2023-6184 ∗∗∗
---------------------------------------------
https://support.citrix.com/article/CTX583930/citrix-session-recording-security-bulletin-for-cve20236184


∗∗∗ Citrix StoreFront Security Bulletin for CVE-2023-5914 ∗∗∗
---------------------------------------------
https://support.citrix.com/article/CTX583759/citrix-storefront-security-bulletin-for-cve20235914


∗∗∗ SFPMonitor.sys KOOB Write vulnerability ∗∗∗
---------------------------------------------
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2023-6340


∗∗∗ SEW-EURODRIVE MOVITOOLS MotionStudio ∗∗∗
---------------------------------------------
https://www.cisa.gov/news-events/ics-advisories/icsa-24-016-01


∗∗∗ Integration Objects OPC UA Server Toolkit ∗∗∗
---------------------------------------------
https://www.cisa.gov/news-events/ics-advisories/icsa-24-016-02

-- 
CERT.at Daily mailing list
Listinfo: https://lists.cert.at/cgi-bin/mailman/listinfo/daily