[CERT-daily] Tageszusammenfassung - 13.01.2023
Daily end-of-shift report
team at cert.at
Fri Jan 13 18:34:08 CET 2023
=====================
= End-of-Day report =
=====================
Timeframe: Donnerstag 12-01-2023 18:00 − Freitag 13-01-2023 18:00
Handler: Robert Waldner
Co-Handler: Michael Schlagenhaufer
=====================
= News =
=====================
∗∗∗ Fortinet says hackers exploited critical vulnerability to infect VPN customers ∗∗∗
---------------------------------------------
Remote code-execution bug was exploited to backdoor vulnerable servers.
---------------------------------------------
https://arstechnica.com/?p=1909594
∗∗∗ NortonLifeLock warns that hackers breached Password Manager accounts ∗∗∗
---------------------------------------------
Gen Digital, formerly Symantec Corporation and NortonLifeLock, is sending data breach notifications to customers, informing them that hackers have successfully breached Norton Password Manager accounts in credential-stuffing attacks.
---------------------------------------------
https://www.bleepingcomputer.com/news/security/nortonlifelock-warns-that-hackers-breached-password-manager-accounts/
∗∗∗ Malware: Android-TV-Box mit vorinstallierter Schadsoftware gekauft ∗∗∗
---------------------------------------------
Auf Amazon hat ein Sicherheitsforscher eine Android-TV-Box gekauft - und entdeckte eine tief ins System integrierte Schadsoftware.
---------------------------------------------
https://www.golem.de/news/malware-android-tv-box-mit-vorinstallierter-schadsoftware-gekauft-2301-171170.html
∗∗∗ Cybercriminals Using Polyglot Files in Malware Distribution to Fly Under the Radar ∗∗∗
---------------------------------------------
Remote access trojans such as StrRAT and Ratty are being distributed as a combination of polyglot and malicious Java archive (JAR) files, once again highlighting how threat actors are continuously finding new ways to fly under the radar.
---------------------------------------------
https://thehackernews.com/2023/01/cybercriminals-using-polyglot-files-in.html
∗∗∗ Keeping the wolves out of wolfSSL ∗∗∗
---------------------------------------------
Trail of Bits is publicly disclosing four vulnerabilities that affect wolfSSL: CVE-2022-38152, CVE-2022-38153, CVE-2022-39173, and CVE-2022-42905. The four issues, which have CVSS scores ranging from medium to critical, can all result in a denial of service (DoS).
---------------------------------------------
https://blog.trailofbits.com/2023/01/12/wolfssl-vulnerabilities-tlspuffin-fuzzing-ssh/
∗∗∗ Bad things come in large packages: .pkg signature verification bypass on macOS ∗∗∗
---------------------------------------------
Besides signing applications, it is also possible to sign installer packages (.pkg files). During a short review of the xar source code, we found a vulnerability (CVE-2022-42841) that could be used to modify a signed installer package without invalidating its signature. This vulnerability could be abused to bypass Gatekeeper, SIP and under certain conditions elevate privileges to root. [..] This was fixed by Apple with a 2 character fix: changing uint32_t to uint64_t in macOS 13.1.
---------------------------------------------
https://sector7.computest.nl/post/2023-01-xar/
∗∗∗ Crassus Windows privilege escalation discovery tool ∗∗∗
---------------------------------------------
Accenture made a tool called Spartacus, which finds DLL hijacking opportunities on Windows. Using Spartacus as a starting point, we created Crassus to extend Windows privilege escalation finding capabilities beyond simply looking for missing files. The ACLs used by files and directories of privileged processes can find more than just looking for missing files to achieve the goal.
---------------------------------------------
https://github.com/vullabs/Crassus
∗∗∗ Cyber-Attacken auf kritische Lücke in Control Web Panel ∗∗∗
---------------------------------------------
Cyberkriminelle greifen eine kritische Sicherheitslücke in CWP (Control Web Panel, ehemals CentOS Web Panel) an. Sie kompromittieren die verwundbaren Systeme.
---------------------------------------------
https://heise.de/-7458440
∗∗∗ Red Hat ergänzt Malware-Erkennungsdienst für RHEL ∗∗∗
---------------------------------------------
Im Rahmen von Red Hat Insights ergänzt das Unternehmen nun einen Malware-Erkennungsdienst. Der ist für RHEL 8 und 9 verfügbar.
---------------------------------------------
https://heise.de/-7458189
∗∗∗ Most Cacti Installations Unpatched Against Exploited Vulnerability ∗∗∗
---------------------------------------------
Most internet-exposed Cacti installations have not been patched against a critical-severity command injection vulnerability that is being exploited in attacks.
---------------------------------------------
https://www.securityweek.com/most-cacti-installations-unpatched-against-exploited-vulnerability
∗∗∗ Bestellen Sie nicht auf Cardione.at! ∗∗∗
---------------------------------------------
Cardione ist ein Nahrungsergänzungsmittel, das angeblich bei Bluthochdruck helfen soll. Cardione.at wirbt mit gefälschten Empfehlungen eines Arztes, es gibt keine Impressums- oder sonstige Unternehmensdaten. Wir raten: Bestellen Sie keine Cardione Tabletten!
---------------------------------------------
https://www.watchlist-internet.at/news/vorsicht-vor-bestellung-auf-cardioneat/
∗∗∗ Fake-Shop alvensleben.net imitiert Sofortüberweisung und fragt TANs ab! ∗∗∗
---------------------------------------------
Nehmen Sie sich vor Fake-Shops wie alvensleben.net in Acht. Der Shop hat insbesondere Kinderspielzeug, Brettspiele und Sportgeräte im Sortiment, bietet aber auch Gartenmöbel und Klettergerüste sowie Bettwäsche an. Bezahlt werden soll per Sofortüberweisung. Achtung: Die Daten werden nicht an den Zahlungsdienstleister weitergeleitet, sondern von den Kriminellen abgegriffen. Später werden Sie zur Übermittlung von TAN-Codes überredet und dadurch um Ihr Geld gebracht!
---------------------------------------------
https://www.watchlist-internet.at/news/fake-shop-alvenslebennet-imitiert-sofortueberweisung-und-fragt-tans-ab/
∗∗∗ Microsoft ASR/Defender Update kann Desktop-/Startmenü-Verknüpfungen löschen ∗∗∗
---------------------------------------------
Wie aktuell in mehreren Medien berichtet wird, scheint das letzte Update von MS ASR/Defender Auswirkungen auf Desktop-/Startmenüverknüpfungen zu haben, und kann unter anderem dazu führen dass O365 Applikationen nicht mehr gestartet werden können. Gängiger Workaround scheint momentan zu sein, die entsprechenden Regeln auf "Audit" zu setzen. Microsoft hat die Regel wieder entfernt, es kann aber noch dauern, bis das global wirksam wird. Inzwischen wird empfohlen, im Admin Center auf SI MO497128 zu schauen.
---------------------------------------------
https://cert.at/de/aktuelles/2023/1/microsoft-asrdefender-update-kann-desktop-startmenu-verknupfungen-loschen
=====================
= Vulnerabilities =
=====================
∗∗∗ Security updates for Friday ∗∗∗
---------------------------------------------
Security updates have been issued by Fedora (cacti, cacti-spine, mbedtls, postgresql-jdbc, and rust), Oracle (.NET 6.0, dbus, expat, grub2, kernel, kernel-container, libtasn1, libtiff, sqlite, and usbguard), Red Hat (rh-postgresql10-postgresql), SUSE (php7), and Ubuntu (heimdal, linux, linux-aws, linux-aws-5.15, linux-azure, linux-azure-5.15, linux-gcp, linux-gcp-5.15, linux-hwe-5.15, linux-ibm, linux-kvm, linux-oracle, linux-raspi,, linux, linux-aws, linux-aws-hwe, linux-azure, [...]
---------------------------------------------
https://lwn.net/Articles/919907/
∗∗∗ IBM Security Bulletins 2023-01-13 ∗∗∗
---------------------------------------------
IBM Cloud Pak for Data, IBM Cloud Pak for Security, IBM Security Verify Access Appliance, IBM Watson Speech Services, IBM Watson Speech Services Cartridge for IBM Cloud Pak for Data, IBM Watson Text to Speech and Speech to Text (IBM Watson™ Speech Services 1.1), ICP Speech to Text and Text to Speech
---------------------------------------------
https://www.ibm.com/support/pages/bulletin/
∗∗∗ CISA Releases Twelve Industrial Control Systems Advisories ∗∗∗
---------------------------------------------
https://us-cert.cisa.gov/ncas/current-activity/2023/01/12/cisa-releases-twelve-industrial-control-systems-advisories
∗∗∗ Juniper Networks Releases Security Updates for Multiple Products ∗∗∗
---------------------------------------------
https://us-cert.cisa.gov/ncas/current-activity/2023/01/12/juniper-networks-releases-security-updates-multiple-products
--
CERT.at Daily mailing list
Listinfo: https://lists.cert.at/cgi-bin/mailman/listinfo/daily
More information about the Daily
mailing list