[CERT-daily] Tageszusammenfassung - 25.01.2024

[Daily end-of-shift report]

=====================
= End-of-Day report =
=====================

Timeframe:   Mittwoch 24-01-2024 18:00 − Donnerstag 25-01-2024 18:00
Handler:     Michael Schlagenhaufer
Co-Handler:  Thomas Pribitzer

=====================
=       News        =
=====================

∗∗∗ New CherryLoader Malware Mimics CherryTree to Deploy PrivEsc Exploits ∗∗∗
---------------------------------------------
A new Go-based malware loader called CherryLoader has been discovered by threat hunters in the wild to deliver additional payloads onto compromised hosts for follow-on exploitation.
---------------------------------------------
https://thehackernews.com/2024/01/new-cherryloader-malware-mimics.html


∗∗∗ SystemBC Malwares C2 Server Analysis Exposes Payload Delivery Tricks ∗∗∗
---------------------------------------------
Cybersecurity researchers have shed light on the command-and-control (C2) server of a known malware family called SystemBC.
---------------------------------------------
https://thehackernews.com/2024/01/systembc-malwares-c2-server-analysis.html


∗∗∗ Memory Scanning for the Masses ∗∗∗
---------------------------------------------
In this blog post we will go into a user-friendly memory scanning Python library that was created out of the necessity of having more control during memory scanning.
---------------------------------------------
https://research.nccgroup.com/2024/01/25/memory-scanning-for-the-masses/


∗∗∗ ADCS Attack Paths in BloodHound — Part 1 ∗∗∗
---------------------------------------------
This blog post details the ESC1 domain escalation requirements and explains how BloodHound incorporates the relevant components.
---------------------------------------------
https://posts.specterops.io/adcs-attack-paths-in-bloodhound-part-1-799f3d3b03cf


∗∗∗ CERT.at/GovCERT Austria PGP Teamkey Rotation ∗∗∗
---------------------------------------------
Da diese in einem Monat ablaufen, haben wir gestern neue PGP Keys für team at cert.at, reports at cert.at, team at govcert.gv.at sowie reports at govcert.gv.at generiert und ausgerollt.
---------------------------------------------
https://cert.at/de/aktuelles/2024/1/certatgovcert-austria-pgp-teamkey-rotation


∗∗∗ Ablauf einer Schwachstellen-Information durch CERT.at am Beispiel Ivanti Connect Secure VPN (CVE-2024-21887, CVE-2023-46805) ∗∗∗
---------------------------------------------
Nach der Veröffentlichung begann nun der normale Prozess für CERTs weltweit, ebenso natürlich für CERT.at ... die Verbreitung der Information über die Schwachstellen vorzubreiten beziehungsweise zu finalisieren. Die CERTs veröffentlichten und sendeten ihre Warnung aus. Unsere Warnung, die laufend aktualisiert wird, wurde Donnerstag 11.01.24 gegen Mittag ins Netz gestellt, über den freien RSS-Feed für Abonnenten zugänglich gemacht und ausgesandt.
---------------------------------------------
https://cert.at/de/blog/2024/1/ablauf-einer-schwachstellen-information-durch-certat-am-beispiel-ivanti-connect-secure-vpn-cve-2024-21887-cve-2023-46805



=====================
=  Vulnerabilities  =
=====================

∗∗∗ Konfigurationsfehler: Unzählige Kubernetes-Cluster sind potenziell angreifbar ∗∗∗
---------------------------------------------
Viele Nutzer räumen der Gruppe system:authenticated ihres GKE-Clusters aufgrund einer Fehlannahme zu viele Rechte ein - mit gravierenden Folgen.
---------------------------------------------
https://www.golem.de/news/konfigurationsfehler-unzaehlige-kubernetes-cluster-sind-potenziell-angreifbar-2401-181537.html


∗∗∗ Trend Micro Apex Central: Update schließt im zweiten Anlauf Sicherheitslücken ∗∗∗
---------------------------------------------
Mehrere Sicherheitslücken in Trend Micros Apex Central ermöglichen Angreifern etwa, Schadcode einzuschleusen. Ein erstes Update machte Probleme.
---------------------------------------------
https://www.heise.de/news/Trend-Micro-Apex-Central-Update-schliesst-im-zweiten-Anlauf-Sicherheitsluecken-9607948.html


∗∗∗ Tausende Gitlab-Server noch für Zero-Click-Kontoklau anfällig ∗∗∗
---------------------------------------------
IT-Forscher haben das Netz durchforstet und dabei mehr als 5000 verwundbare Gitlab-Server gefunden. Angreifer können dort einfach Konten übernehmen.
---------------------------------------------
https://www.heise.de/news/Tausende-Gitlab-Server-noch-fuer-Zero-Click-Kontoklau-anfaellig-9608050.html


∗∗∗ Cisco: Lücke erlaubt komplette Übernahme von Unified Communication-Produkten ∗∗∗
---------------------------------------------
Cisco warnt vor einer kritischen Lücke in Unified Communication-Produkten, durch die Angreifer die Kontrolle übernehmen können.
---------------------------------------------
https://www.heise.de/news/Cisco-Luecke-erlauben-komplette-Uebernahme-von-Unified-Communication-Produkten-9608518.html


∗∗∗ Security updates for Thursday ∗∗∗
---------------------------------------------
Security updates have been issued by Debian (chromium, firefox-esr, php-phpseclib, phpseclib, thunderbird, and zabbix), Fedora (dotnet7.0, firefox, fonttools, and python-jinja2), Mageia (avahi and chromium-browser-stable), Oracle (java-1.8.0-openjdk, java-11-openjdk, LibRaw, openssl, and python-pillow), Red Hat (gnutls, kpatch-patch, php:8.1, and squid:4), SUSE (apache-parent, apache-sshd, bluez, cacti, cacti-spine, erlang, firefox, java-11-openjdk, opera, python-Pillow, tomcat, tomcat10, [...]
---------------------------------------------
https://lwn.net/Articles/959455/


∗∗∗ Potentielle Remote Code Execution in Jenkins - Patch verfügbar ∗∗∗
---------------------------------------------
Mit der neuesten Version der CI/CD-Plattform Jenkins haben die Entwickler:innen neun Sicherheitslücken behoben - darunter befindet sich auch eine kritische Schwachstelle, CVE-2024-23987.
---------------------------------------------
https://cert.at/de/aktuelles/2024/1/potentielle-remote-code-execution-in-jenkins-patch-verfugbar


∗∗∗ Swift Mailer - Moderately critical - Access bypass - SA-CONTRIB-2024-006 ∗∗∗
---------------------------------------------
https://www.drupal.org/sa-contrib-2024-006


∗∗∗ Open Social - Moderately critical - Information Disclosure - SA-CONTRIB-2024-005 ∗∗∗
---------------------------------------------
https://www.drupal.org/sa-contrib-2024-005


∗∗∗ Open Social - Moderately critical - Access bypass - SA-CONTRIB-2024-004 ∗∗∗
---------------------------------------------
https://www.drupal.org/sa-contrib-2024-004


∗∗∗ Two-factor Authentication (TFA) - Moderately critical - Access bypass - SA-CONTRIB-2024-003 ∗∗∗
---------------------------------------------
https://www.drupal.org/sa-contrib-2024-003


∗∗∗ IBM Security Bulletins ∗∗∗
---------------------------------------------
https://www.ibm.com/support/pages/bulletin/


∗∗∗ Publish SBA-ADV-20200707-02: CloudLinux CageFS Insufficiently Restric… ∗∗∗
---------------------------------------------
https://github.com/sbaresearch/advisories/commit/fd86295907334f9cd81d8c1a7f2f1034793b8a85


∗∗∗ Publish SBA-ADV-20200707-01: CloudLinux CageFS Token Disclosure ∗∗∗
---------------------------------------------
https://github.com/sbaresearch/advisories/commit/c2db0b1da76486e2876f1c64f952439eecdee313


∗∗∗ SystemK NVR 504/508/516 ∗∗∗
---------------------------------------------
https://www.cisa.gov/news-events/ics-advisories/icsa-24-025-02

-- 
CERT.at Daily mailing list
Listinfo: https://lists.cert.at/cgi-bin/mailman/listinfo/daily