[CERT-daily] Tageszusammenfassung - 07.06.2024

Fri Jun 7 18:06:57 CEST 2024

=====================
= End-of-Day report =
=====================

Timeframe:   Donnerstag 06-06-2024 18:00 − Freitag 07-06-2024 18:00
Handler:     Thomas Pribitzer
Co-Handler:  Alexander Riepl

=====================
=       News        =
=====================

∗∗∗ Sicherheitslücke (CVE-2024-4577) für Remote-Code Ausführung in PHP-CGI / XAMPP entdeckt ∗∗∗
---------------------------------------------
In PHP-CGI wurde eine Sicherheitslücke (CVE-2024-4577) entdeckt, die es Angreifern ermöglicht, aus der Ferne und ohne Authentifizierung beliebigen Code auf betroffenen Servern auszuführen. Die Schwachstelle betrifft PHP-Installationen auf Windows-Systemen und erlaubt es Angreifern, durch spezifische Zeichenfolgen den Schutz einer früheren ..
---------------------------------------------
https://www.cert.at/de/aktuelles/2024/6/sicherheitslucke-cve-2024-4577-fur-remote-code-ausfuhrung-in-php-cgi-xampp-entdeckt


∗∗∗ New Fog ransomware targets US education sector via breached VPNs ∗∗∗
---------------------------------------------
A new ransomware operation named Fog launched in early May 2024, using compromised VPN credentials to breach the networks of educational organizations in the U.S.
---------------------------------------------
https://www.bleepingcomputer.com/news/security/new-fog-ransomware-targets-us-education-sector-via-breached-vpns/


∗∗∗ Hackers exploit 2018 ThinkPHP flaws to install ‘Dama’ web shells ∗∗∗
---------------------------------------------
Chinese threat actors are targeting ThinkPHP applications vulnerable to CVE-2018-20062 and CVE-2019-9082 to install a persistent web shell named Dama.
---------------------------------------------
https://www.bleepingcomputer.com/news/security/hackers-exploit-2018-thinkphp-flaws-to-install-dama-web-shells/


∗∗∗ Ukraine says hackers abuse SyncThing tool to steal data ∗∗∗
---------------------------------------------
The Computer Emergency Response Team of Ukraine (CERT-UA) reports about a new campaign dubbed "SickSync," launched by the UAC-0020 (Vermin) hacking group in attacks on the Ukrainian ..
---------------------------------------------
https://www.bleepingcomputer.com/news/security/ukraine-says-hackers-abuse-syncthing-tool-to-steal-data/


∗∗∗ In Bad Company: JScript RAT and CobaltStrike ∗∗∗
---------------------------------------------
Remote Access Trojans (RATs) that are based in JScript are gaining traction. We have looked at a recent example that emerged in mid-May. It turns out that this RAT has some companions on the way that we are familiar with.
---------------------------------------------
https://feeds.feedblitz.com/~/899072462/0/gdatasecurityblog-en~In-Bad-Company-JScript-RAT-and-CobaltStrike


∗∗∗ Angriffswelle: Hacker löscht Github-Repos und fordert Lösegeld ∗∗∗
---------------------------------------------
Für die Kontaktaufnahme verweist der Angreifer auf Telegram. Er gibt sich als "Analyst für Cybervorfälle" aus und behauptet, ein Back-up erstellt zu haben.
---------------------------------------------
https://www.golem.de/news/angriffswelle-hacker-loescht-github-repos-und-fordert-loesegeld-2406-185827.html


∗∗∗ Commando Cat Cryptojacking Attacks Target Misconfigured Docker Instances ∗∗∗
---------------------------------------------
The threat actor known as Commando Cat has been linked to an ongoing cryptojacking attack campaign that leverages poorly secured Docker instances to deploy cryptocurrency miners for financial gain.
---------------------------------------------
https://thehackernews.com/2024/06/commando-cat-cryptojacking-attacks.html


∗∗∗ POC exploit code published for 9.8-rated Apache HugeGraph RCE flaw ∗∗∗
---------------------------------------------
You upgraded when this was fixed in April, right? Right?? If you havent yet upgraded to version 1.3.0 of Apache HugeGraph, nows a good time because at least two proof-of-concept exploits for a CVSS 9.8-rated remote command execution bug ..
---------------------------------------------
www.theregister.com/2024/06/07/poc_apache_hugegraph/


∗∗∗ Ethical hacker releases tool to exploit Microsofts Recall AI, says its not rocket science ∗∗∗
---------------------------------------------
Recall AI hasnt launched yet but its already a target.
---------------------------------------------
https://www.zdnet.com/article/ethical-hacker-says-his-windows-11-recall-ai-extraction-tool-is-not-rocket-science/

∗∗∗ Ransomware: Hacker greifen überwiegend außerhalb der Arbeitszeiten an ∗∗∗
---------------------------------------------
Der Anteil liegt bei rund 76 Prozent. Auch nehmen die Ransomware-Aktivitäten deutlich zu.
---------------------------------------------
https://www.zdnet.de/88416372/ransomware-hacker-greifen-ueberwiegend-ausserhalb-der-arbeitszeiten-an/


∗∗∗ CERT-Bund warnt vor Schwachstelle WID-SEC-2024-131 in Microsoft Azure ∗∗∗
---------------------------------------------
Ein Leser hat mich auf eine Warnung vom 7. Juni 2024 des CERT-Bund (BSI) vor einer Schwachstelle in Microsoft Azure hingewiesen. Diese Schwachstelle wird vom BSI mit einem CVSS-Score von 10.0 eingestuft, da sie ..
---------------------------------------------
https://www.borncity.com/blog/2024/06/07/cert-bund-warnt-vor-schwachstelle-wid-sec-2024-131-in-microsoft-azure/


∗∗∗ Howling at the Inbox: Sticky Werewolfs Latest Malicious Aviation Attacks ∗∗∗
---------------------------------------------
Morphisec Labs has been monitoring increased activity associated with Sticky Werewolf, a group suspected to have geopolitical and/or hacktivist ties. While the group’s geographical origin and home base remain unclear, recent attack techniques suggest espionage and data exfiltration intent.
---------------------------------------------
https://blog.morphisec.com/sticky-werewolfs-aviation-attacks


∗∗∗ Jetzt patchen! Exploitcode für kritische Lücke in Apache HugeGraph in Umlauf ∗∗∗
---------------------------------------------
Admins sollten aus Sicherheitsgründen das Tool zum Erstellen von Diagrammen HugeGraph von Apache zügig auf den aktuellen Stand bringen.
---------------------------------------------
https://heise.de/-9751687


∗∗∗ Forschungsteam: Herzimplantat-Patienten müssen mehr über Cyberrisiken erfahren ∗∗∗
---------------------------------------------
Mit besseren technologischen Möglichkeiten steige auch das Risiko eines Cyberangriffs auf Herzimplantate, sagt ein Forschungsteam und fordert mehr Aufklärung.
---------------------------------------------
https://heise.de/-9752245


∗∗∗ Ausgeblockt: Antispam-Blockliste SORBS ist abgeschaltet ∗∗∗
---------------------------------------------
Mit der DNS-Blockliste wollte Gründerin Michelle Sullivan seit 2001 das Internet vor Spam bewahren. Die Gründe für die Schließung sind vage, Nachfolger unklar.
---------------------------------------------
https://heise.de/-9752366

=====================
=  Vulnerabilities  =
=====================

∗∗∗ Security updates for Thursday ∗∗∗
---------------------------------------------
https://lwn.net/Articles/977442/


∗∗∗ MISP 2.4.193 released with many bugs fixed, API improvements and security fixes ∗∗∗
---------------------------------------------
https://github.com/MISP/MISP/releases/tag/v2.4.193

-- 
CERT.at Daily mailing list
Listinfo: https://lists.cert.at/cgi-bin/mailman/listinfo/daily