[CERT-daily] Tageszusammenfassung - 03.04.2023

Mon Apr 3 19:13:51 CEST 2023

=====================
= End-of-Day report =
=====================

Timeframe:   Freitag 31-03-2023 18:00 − Montag 03-04-2023 18:00
Handler:     Robert Waldner
Co-Handler:  Stephan Richter

=====================
=       News        =
=====================

∗∗∗ New Money Message ransomware demands million dollar ransoms ∗∗∗
---------------------------------------------
A new ransomware gang named Money Message has appeared, targeting victims worldwide and demanding million-dollar ransoms not to leak data and release a decryptor.
---------------------------------------------
https://www.bleepingcomputer.com/news/security/new-money-message-ransomware-demands-million-dollar-ransoms/


∗∗∗ Hacken ist für alle: Die Austria Cyber Security Challenge startet ∗∗∗
---------------------------------------------
Der Hackerwettbewerb will heuer verstärkt Frauen für die IT-Security begeistern.
---------------------------------------------
https://futurezone.at/digital-life/austria-cyber-security-challenge-acsc-bewerb-it-anmeldung-teilnahme-hacker-2023/402383030


∗∗∗ With KEYPLUG, China’s RedGolf Spies On, Steals From Wide Field of Targets ∗∗∗
---------------------------------------------
The group remains highly active within a wide range of geographies and industry verticals, targeting aviation, automotive, education, government, media, information technology, and religious organizations. [..] Insikt Group has identified a wider cluster of KEYPLUG samples and infrastructure used by RedGolf from at least 2021 to 2023. (Anm.: das Paper enthält etliche beobachtenswerte IOCs).
---------------------------------------------
https://go.recordedfuture.com/hubfs/reports/cta-2023-0330.pdf


∗∗∗ Angriffe auf hochriskante Sicherheitslücke in Wordpress-Plug-in Elementor Pro ∗∗∗
---------------------------------------------
Angreifer missbrauchen eine Sicherheitslücke im Wordpress-Plug-in Elementor Pro zum Einbrechen in Webseiten. Admins sollten die Updates umgehend installieren.
---------------------------------------------
https://heise.de/-8384344


∗∗∗ IT-Forscher: Mehr als 15 Millionen verwundbare Systeme offen im Netz ∗∗∗
---------------------------------------------
IT-Forscher haben den Known-Exploited-Vulnerabilities-Catalog der CISA mit der Datenbank Sh0dan abgeglichen und Millionen verwundbarer Systeme gefunden.
---------------------------------------------
https://heise.de/-8511852


∗∗∗ Jetzt updaten: Kritische Schwachstelle in Nextcloud ∗∗∗
---------------------------------------------
Eine als kritisch eingestufte Sicherheitslücke in der Kollaborationssoftware Nextcloud könnte Angreifern das Ausführen von Schadcode ermöglichen.
---------------------------------------------
https://heise.de/-8515005


∗∗∗ Microsoft OneNote Starts Blocking Dangerous File Extensions ∗∗∗
---------------------------------------------
Microsoft is boosting the security of OneNote users by blocking embedded files with extensions that are considered dangerous.
---------------------------------------------
https://www.securityweek.com/microsoft-onenote-starts-blocking-dangerous-file-extensions/


∗∗∗ Money Mule: Geldwäsche-Jobs über WhatsApp ∗∗∗
---------------------------------------------
Nehmen Sie sich vor betrügerischen Job-Angeboten auf WhatsApp in Acht. Kriminelle kontaktieren teils wahllos, teils gezielt Menschen auf Job-Suche über die bekannte Chat-Plattform. Ein Tageslohn von 50 bis 300 Euro täglich bei Arbeit aus dem Home-Office mag verlockend klingen. Doch Vorsicht: Sie werden hier zum Money Mule, helfen Kriminellen bei der Geldwäsche und machen sich womöglich selbst strafbar!
---------------------------------------------
https://www.watchlist-internet.at/news/money-mule-geldwaesche-jobs-ueber-whatsapp/


∗∗∗ Malicious ISO File Leads to Domain Wide Ransomware ∗∗∗
---------------------------------------------
IcedID continues to deliver malspam emails to facilitate a compromise. This case covers the activity from a campaign in late September of 2022.
---------------------------------------------
https://thedfirreport.com/2023/04/03/malicious-iso-file-leads-to-domain-wide-ransomware/


∗∗∗ Bi(n)gBang: Microsoft Azure-Schwachstelle ermöglicht Bing Search Hijacking und Office 365-Datenklau ∗∗∗
---------------------------------------------
Unschöne Geschichte, auf die alle gewartet haben, und die die Gefahren der Cloud aufzeigt. Microsoftsd Azure-Cloud-Dienste ermöglichten eine Fehlkonfigurierung, die dann eine Sicherheitslücke schuf. In der Folge konnten Angreifer potentiell Schadcode in die Suchergebnisseiten von Bing einschleusen, um diese zu [...]
---------------------------------------------
https://www.borncity.com/blog/2023/03/30/bigbang-microsoft-azure-schwachstelle-ermglicht-bing-search-hijacking-und-office-365-datenklau/


∗∗∗ Design-Schwäche im WiFi-Protokoll ermöglicht Angreifern das Abfangen des Netzwerkverkehrs ∗∗∗
---------------------------------------------
Noch ein kleiner Nachtrag von Ende März 2023. Sicherheitsforscher sind auf eine gravierende Design-Schwäche im IEEE 802.11 WiFi-Protokollstandards gestoßen. Diese Schwäche könnte es Angreifern ermöglichen, WLAN-Zugangspunkte abzuhören und Netzwerk-Frames im Klartext zu übermitteln.
---------------------------------------------
https://www.borncity.com/blog/2023/04/02/design-schwche-im-wifi-protokoll-ermglicht-angreifern-das-abfangen-des-netzwerkverkehrs/


=====================
=  Vulnerabilities  =
=====================

∗∗∗ Multiple vulnerabilities in Aten PE8108 power distribution unit (CVE-2023-25413, CVE-2023-25415, CVE-2023-25407, CVE-2023-25409, CVE-2023-25414, CVE-2023-25411) ∗∗∗
---------------------------------------------
Pentagrid identified several vulnerabilities in the PE8108 rack power distribution unit (PDU) manufactured by Aten. [..] At the time of publication, the most recent firmware is version v2.4.232 from 2022-11-22 and there is no new firmware available via Atens website.
---------------------------------------------
https://www.pentagrid.ch/en/blog/multiple-vulnerabilities-in-aten-PE8108-power-distribution-unit/


∗∗∗ Nvidia schließt Sicherheitslücken in Treibern und Verwaltungssoftware ∗∗∗
---------------------------------------------
Nvidia hat zum Monatswechsel aktualisierte Treiber und Verwaltungssoftware veröffentlicht. Damit schließt der Hersteller teils hochriskante Sicherheitslecks.
---------------------------------------------
https://heise.de/-8511759


∗∗∗ Geräteverwaltung HCL Bigfix dichtet DoS-Lücke ab ∗∗∗
---------------------------------------------
Die Geräteverwaltungssoftware HCL Bigfix enthält eine Schwachstelle, die Angreifern das Lahmlegen der Software auf Endpoints ermöglicht.
---------------------------------------------
https://heise.de/-8514805


∗∗∗ Security updates for Monday ∗∗∗
---------------------------------------------
Security updates have been issued by Debian (duktape, firmware-nonfree, intel-microcode, svgpp, and systemd), Fedora (amanda, dino, flatpak, golang, libldb, netconsd, samba, tigervnc, and vim), Red Hat (nodejs:14), Slackware (ruby and seamonkey), SUSE (drbd, flatpak, glibc, grub2, ImageMagick, kernel, runc, thunderbird, and xwayland), and Ubuntu (amanda).
---------------------------------------------
https://lwn.net/Articles/928204/


∗∗∗ Multiple Vulnerabilities in the Autodesk® FBX® SDK software ∗∗∗
---------------------------------------------
Applications and services utilizing the Autodesk® FBX® SDK software have been affected by an Out-Of-Bounds Write and Stack Buffer Overflow vulnerabilities. Exploitation of these vulnerabilities may lead to information disclosure, code execution and/or denial-of-service.
---------------------------------------------
https://www.autodesk.com/trust/security-advisories/adsk-sa-2023-0004


∗∗∗ Vulnerabilities for Autodesk® Maya® USD plugin ∗∗∗
---------------------------------------------
USD (Universal Scene Description) plugin for Autodesk® Maya® has been affected by a file uninitialized variable, out-of-bounds read, and out-of-bounds write vulnerabilities.
---------------------------------------------
https://www.autodesk.com/trust/security-advisories/adsk-sa-2023-0003


∗∗∗ Vulnerability Spotlight: Buffer overflow vulnerability in ADMesh library ∗∗∗
---------------------------------------------
https://blog.talosintelligence.com/vulnerability-spotlight-buffer-overflow-vulnerability-in-admesh-library/


∗∗∗ IBM Security Bulletins ∗∗∗
---------------------------------------------
https://www.ibm.com/support/pages/bulletin/


∗∗∗ HAProxy vulnerable to HTTP request/response smuggling ∗∗∗
---------------------------------------------
https://jvn.jp/en/jp/JVN38170084/


∗∗∗ Multiple vulnerabilities in Seiko Solutions SkyBridge MB-A100/A110/A200/A130 SkySpider MB-R210 ∗∗∗
---------------------------------------------
https://jvn.jp/en/jp/JVN40604023/


∗∗∗ Cisco Identity Services Engine Vulnerabilities ∗∗∗
---------------------------------------------
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-7Q4TNYUx


∗∗∗ Cisco Identity Services Engine Cross-Site Scripting Vulnerability ∗∗∗
---------------------------------------------
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-xss-twLnpy3M


∗∗∗ Cisco Secure Web Appliance Content Encoding Filter Bypass Vulnerabilities ∗∗∗
---------------------------------------------
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-wsa-bypass-bwBfugek


∗∗∗ ZDI-23-348: Bentley View SKP File Parsing Out-Of-Bounds Write Remote Code Execution Vulnerability ∗∗∗
---------------------------------------------
https://www.zerodayinitiative.com/advisories/ZDI-23-348/


∗∗∗ ZDI-23-347: Bentley View SKP File Parsing Use-After-Free Information Disclosure Vulnerability ∗∗∗
---------------------------------------------
https://www.zerodayinitiative.com/advisories/ZDI-23-347/


∗∗∗ ZDI-23-346: Bentley View SKP File Parsing Use-After-Free Remote Code Execution Vulnerability ∗∗∗
---------------------------------------------
https://www.zerodayinitiative.com/advisories/ZDI-23-346/


∗∗∗ ZDI-23-345: Bentley View FBX File Parsing Out-Of-Bounds Read Information Disclosure Vulnerability ∗∗∗
---------------------------------------------
https://www.zerodayinitiative.com/advisories/ZDI-23-345/


∗∗∗ ZDI-23-344: Bentley View FBX File Parsing Heap-based Buffer Overflow Remote Code Execution Vulnerability ∗∗∗
---------------------------------------------
https://www.zerodayinitiative.com/advisories/ZDI-23-344/

-- 
CERT.at Daily mailing list
Listinfo: https://lists.cert.at/cgi-bin/mailman/listinfo/daily