[CERT-daily] Tageszusammenfassung - 19.07.2024

Daily end-of-shift report team at cert.at
Fri Jul 19 18:13:00 CEST 2024


=====================
= End-of-Day report =
=====================

Timeframe:   Donnerstag 18-07-2024 18:00 − Freitag 19-07-2024 18:00
Handler:     Thomas Pribitzer
Co-Handler:  Michael Schlagenhaufer

=====================
=       News        =
=====================

∗∗∗ Wieso weltweit zahlreiche IT-Systeme durch zwei Fehler am 19. Juli 2024 ausfielen ∗∗∗
---------------------------------------------
Am 19. Juli 2024 kam es weltweit zu zahlreichen Störungen an IT-Systemen. Der Betrieb an Flughäfen stand, Banken konnten nicht mehr arbeiten, Züge fielen aus, und Firmen schickten ihre Mitarbeiter nach Hause (z.B. Tegut), weil die IT-Systeme nicht mehr gingen. Es war aber kein Cyberangriff, sondern das gleichzeitige Auftreten zweier Fehler – unabhängig voneinander, die zum Ausfall von Funktionen führte.
---------------------------------------------
https://www.borncity.com/blog/2024/07/19/wieso-weltweit-zahlreiche-it-systeme-durch-zwei-fehler-am-19-juli-2024-ausfielen/


∗∗∗ Recent Splunk Enterprise Vulnerability Easy to Exploit: Security Firm ∗∗∗
---------------------------------------------
SonicWall warns that a simple GET request is enough to exploit a recent Splunk Enterprise vulnerability.
---------------------------------------------
https://www.securityweek.com/recent-splunk-enterprise-vulnerability-easy-to-exploit-security-firm/


∗∗∗ Fake-SMS: „Ihre Registrierung für die Unternehmensservice Portal ID läuft ab“ ∗∗∗
---------------------------------------------
Kriminelle senden aktuell SMS an Unternehmer:innen und geben sich dabei als Unternehmensservice Portal (USP) aus. Es wird behauptet, dass die ID für das Portal abläuft - und zwar schon morgen. Tatsächlich versuchen Kriminelle hier, an Ihre Daten zu kommen.
---------------------------------------------
https://www.watchlist-internet.at/news/fake-sms-ihre-registrierung-fuer-die-unternehmensservice-portal-id-laeuft-ab/


∗∗∗ HotPage: Story of a signed, vulnerable, ad-injecting driver ∗∗∗
---------------------------------------------
The analysis of this rather generic-looking piece of malware has proven, once again, that adware developers are still willing to go the extra mile to achieve their goals. Not only that, these have developed a kernel component with a large set of techniques to manipulate processes, but they also went through the requirements imposed by Microsoft to obtain a code-signing certificate for their driver component.
---------------------------------------------
https://www.welivesecurity.com/en/eset-research/hotpage-story-signed-vulnerable-ad-injecting-driver/


∗∗∗ Play Ransomware Group’s New Linux Variant Targets ESXi, Shows Ties With Prolific Puma ∗∗∗
---------------------------------------------
Trend Micro threat hunters discovered that the Play ransomware group has been deploying a new Linux variant that targets ESXi environments.
---------------------------------------------
https://www.trendmicro.com/en_us/research/24/g/new-play-ransomware-linux-variant-targets-esxi-shows-ties-with-p.html


∗∗∗ APT41 Has Arisen From the DUST ∗∗∗
---------------------------------------------
In collaboration with Google’s Threat Analysis Group (TAG), Mandiant has observed a sustained campaign by the advanced persistent threat group APT41 targeting and successfully compromising multiple organizations operating within the global shipping and logistics, media and entertainment, technology, and automotive sectors. The majority of organizations were operating in Italy, Spain, Taiwan, Thailand, Turkey, and the United Kingdom.
---------------------------------------------
https://cloud.google.com/blog/topics/threat-intelligence/apt41-arisen-from-dust/



=====================
=  Vulnerabilities  =
=====================

∗∗∗ Security updates for Friday ∗∗∗
---------------------------------------------
Security updates have been issued by AlmaLinux (firefox, java-1.8.0-openjdk, java-17-openjdk, java-21-openjdk, libndp, openssh, qt5-qtbase, ruby, skopeo, and thunderbird), Debian (thunderbird), Fedora (dotnet6.0, httpd, python-django, python-django4.2, qt6-qtbase, rapidjson, and ruby), Red Hat (389-ds-base, firefox, java-1.8.0-openjdk, java-11-openjdk, libndp, qt5-qtbase, and thunderbird), Slackware (httpd), SUSE (apache2, chromium, and kernel), and Ubuntu (apache2, linux-aws, linux-azure-fde, linux-azure-fde-5.15, linux-hwe-5.15, linux-aws-6.5, linux-lowlatency-hwe-6.5, linux-oracle-6.5, linux-starfive-6.5, and linux-raspi, linux-raspi-5.4).
---------------------------------------------
https://lwn.net/Articles/982559/


∗∗∗ SonicWall SMA100 NetExtender Windows Client Remote Code Execution Vulnerability ∗∗∗
---------------------------------------------
Vulnerability in SonicWall SMA100 NetExtender Windows (32 and 64-bit) client 10.2.339 and earlier versions allows an attacker to arbitrary code execution when processing an EPC Client update. SonicWall strongly advises SSL VPN NetExtender client users to upgrade to the latest release version. IMPORTANT: This vulnerability does not affect SonicWall firewall (SonicOS) products. CVE: CVE-2024-29014
---------------------------------------------
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2024-0011


∗∗∗ Atlassian Bamboo: Angreifer können Entwicklungsumgebungen kompromittieren ∗∗∗
---------------------------------------------
Es sind Attacken auf Atlassian Bamboo Data Center und Server vorstellbar. Dagegen abgesicherte Version sind erschienen.
---------------------------------------------
https://heise.de/-9806185


∗∗∗ Schlupfloch für Schadcode in Ivanti Endpoint Manager geschlossen ∗∗∗
---------------------------------------------
Stimmen die Voraussetzungen, sind Attacken auf Ivanti Endpoint Manager möglich. Ein Sicherheitspatch schafft Abhilfe. [..] In einem Beitrag schreiben die Entwickler, dass von der Lücke (CVE-2024-37381 "hoch") EPM 2024 flat betroffen ist. Unklar ist, ob davon auch andere Versionen bedroht sind. Im späteren Verlauf schreiben sie, dass das Sicherheitsproblem in zukünftigen EPM-Ausgaben gelöst wird.
---------------------------------------------
https://heise.de/-9806384


∗∗∗ Bosch: "regreSSHion" OpenSSH vulnerability in PRC7000 ∗∗∗
---------------------------------------------
https://psirt.bosch.com/security-advisories/bosch-sa-258444.html

-- 
CERT.at Daily mailing list
Listinfo: https://lists.cert.at/cgi-bin/mailman/listinfo/daily




More information about the Daily mailing list