[CERT-daily] Tageszusammenfassung - 29.07.2024

Mon Jul 29 18:20:16 CEST 2024

=====================
= End-of-Day report =
=====================

Timeframe:   Freitag 26-07-2024 18:00 − Montag 29-07-2024 18:00
Handler:     Michael Schlagenhaufer
Co-Handler:  Thomas Pribitzer

=====================
=       News        =
=====================

∗∗∗ Mehr als 3.000 Hotels betroffen: API-Lücke lässt Angreifer Hoteltüren öffnen ∗∗∗
---------------------------------------------
In vielen Hotels können Gäste heute per Smartphone einchecken und die Türen der gebuchten Zimmer öffnen. Eine API-Schwachstelle zeigt, wie schnell das zum Problem werden kann.
---------------------------------------------
https://www.golem.de/news/mehr-als-3-000-hotels-betroffen-api-luecke-laesst-angreifer-hoteltueren-oeffnen-2407-187485.html


∗∗∗ Sicherheitslücke: Whatsapp für Windows führt Skripte ohne Warnung aus ∗∗∗
---------------------------------------------
In der Regel blockiert Whatsapp das Öffnen ausführbarer Dateien direkt aus dem Chat heraus. Bei Python- und PHP-Skripten ist das offenkundig nicht der Fall. [..] Ein Patch ist vorerst nicht zu erwarten, so dass Nutzer achtsam bleiben sollten.
---------------------------------------------
https://www.golem.de/news/sicherheitsluecke-whatsapp-fuer-windows-fuehrt-skripte-ohne-warnung-aus-2407-187515.html


∗∗∗ Mandrake spyware sneaks onto Google Play again, flying under the radar for two years ∗∗∗
---------------------------------------------
Mandrake spyware threat actors resume attacks with new functionality targeting Android devices while being publicly available on Google Play.
---------------------------------------------
https://securelist.com/mandrake-apps-return-to-google-play/113147/


∗∗∗ Create Your Own BSOD: NotMyFault, (Sat, Jul 27th) ∗∗∗
---------------------------------------------
With all the Blue Screen Of Death screenshots we saw lately, I got the idea to write about Sysinternals' tool NotMyFault.
---------------------------------------------
https://isc.sans.edu/diary/rss/31120


∗∗∗ CrowdStrike Outage Themed Maldoc, (Mon, Jul 29th) ∗∗∗
---------------------------------------------
I found a malicious Word document with VBA code using the CrowdStrike outage for social engineering purposes. It's an .ASD file (AutoRecover file).
---------------------------------------------
https://isc.sans.edu/diary/rss/31116


∗∗∗ Proofpoint Email Routing Flaw Exploited to Send Millions of Spoofed Phishing Emails ∗∗∗
---------------------------------------------
An unknown threat actor has been linked to a massive scam campaign that exploited an email routing misconfiguration in email security vendor Proofpoints defenses to send millions of messages spoofing various legitimate companies.
---------------------------------------------
https://thehackernews.com/2024/07/proofpoint-email-routing-flaw-exploited.html


∗∗∗ Millions of Websites Susceptible XSS Attack via OAuth Implementation Flaw ∗∗∗
---------------------------------------------
Researchers discovered and published details of an XSS attack that could potentially impact millions of websites around the world.
---------------------------------------------
https://www.securityweek.com/millions-of-websites-susceptible-xss-attack-via-oauth-implementation-flaw/


∗∗∗ CISA Adds Three Known Exploited Vulnerabilities to Catalog ∗∗∗
---------------------------------------------
CVE-2024-4879 ServiceNow Improper Input Validation Vulnerability, 
CVE-2024-5217 ServiceNow Incomplete List of Disallowed Inputs Vulnerability, 
CVE-2023-45249 Acronis Cyber Infrastructure (ACI) Insecure Default Password Vulnerability
---------------------------------------------
https://www.cisa.gov/news-events/alerts/2024/07/29/cisa-adds-three-known-exploited-vulnerabilities-catalog


∗∗∗ Angreifer nutzen Schadcode-Lücke in Acronis Cyber Infrastructure aus ∗∗∗
---------------------------------------------
In mehreren aktualisierten Versionen von Acronis Cyber Infrastructure haben die Entwickler eine kritische Lücke geschlossen.
---------------------------------------------
https://heise.de/-9816667


=====================
=  Vulnerabilities  =
=====================

∗∗∗ Wiedergabe reicht aus: MacOS-Lücke ermöglicht Schadcode-Attacke per Video ∗∗∗
---------------------------------------------
Das Abspielen eines Videos im Browser oder einer anderen Anwendung reicht aus, um sich unter MacOS eine Malware einzufangen. Ursache ist eine Lücke in einem Videodecoder.
---------------------------------------------
https://www.golem.de/news/wiedergabe-reicht-aus-macos-luecke-ermoeglicht-schadcode-attacke-per-video-2407-187489.html


∗∗∗ Security updates for Monday ∗∗∗
---------------------------------------------
Security updates have been issued by AlmaLinux (java-11-openjdk), Debian (bind9), Fedora (darkhttpd, mod_http2, and python-scrapy), Red Hat (python3.11, rhc-worker-script, and thunderbird), SUSE (assimp, gh, opera, python-Django, and python-nltk), and Ubuntu (edk2, linux, linux-aws, linux-gcp, linux-gke, linux-gkeop, linux-gkeop-5.15, linux-hwe-5.15, linux-intel-iotg, linux-intel-iotg-5.15, linux-kvm, linux-lowlatency, linux-lowlatency-hwe-5.15, linux-nvidia, linux-oracle, linux-azure, linux-azure-5.15, linux-azure-fde, linux-azure-fde-5.15, linux-nvidia-6.5, linux-oracle, linux-raspi, and lua5.4).
---------------------------------------------
https://lwn.net/Articles/983816/


∗∗∗ Sicherheitsupdate schützt SolarWinds Platform vor möglichen Attacken ∗∗∗
---------------------------------------------
Angreifer können die IT-Verwaltungssoftware SolarWinds Platform attackieren. Die Entwickler haben mehrere Schwachstellen geschlossen. [..] Aus den Details zur Version 2024.2.1 geht hervor, dass eine Lücke (CVE-2022-37601) in webpack.js als "kritisch" gilt. Hier können Angreifer auf einem nicht näher beschriebenen Weg eigenen Code ausführen.
---------------------------------------------
https://heise.de/-9816342


∗∗∗ ABB: 2024-07-26: Cyber Security Advisory - CODESYS OPC DA Server 3.5 Insecure storage of passwords ∗∗∗
---------------------------------------------
https://search.abb.com/library/Download.aspx?DocumentID=3ADR011267&LanguageCode=en&DocumentPartId=&Action=Launch

-- 
CERT.at Daily mailing list
Listinfo: https://lists.cert.at/cgi-bin/mailman/listinfo/daily