End-of-Day report
Timeframe: Mittwoch 24-01-2024 18:00 - Donnerstag 25-01-2024 18:00
Handler: Michael Schlagenhaufer
Co-Handler: Thomas Pribitzer
News
New CherryLoader Malware Mimics CherryTree to Deploy PrivEsc Exploits
A new Go-based malware loader called CherryLoader has been discovered by threat hunters in the wild to deliver additional payloads onto compromised hosts for follow-on exploitation.
https://thehackernews.com/2024/01/new-cherryloader-malware-mimics.html
SystemBC Malwares C2 Server Analysis Exposes Payload Delivery Tricks
Cybersecurity researchers have shed light on the command-and-control (C2) server of a known malware family called SystemBC.
https://thehackernews.com/2024/01/systembc-malwares-c2-server-analysis.html
Memory Scanning for the Masses
In this blog post we will go into a user-friendly memory scanning Python library that was created out of the necessity of having more control during memory scanning.
https://research.nccgroup.com/2024/01/25/memory-scanning-for-the-masses/
ADCS Attack Paths in BloodHound - Part 1
This blog post details the ESC1 domain escalation requirements and explains how BloodHound incorporates the relevant components.
https://posts.specterops.io/adcs-attack-paths-in-bloodhound-part-1-799f3d3b03cf
CERT.at/GovCERT Austria PGP Teamkey Rotation
Da diese in einem Monat ablaufen, haben wir gestern neue PGP Keys für team@cert.at, reports@cert.at, team@govcert.gv.at sowie reports@govcert.gv.at generiert und ausgerollt.
https://cert.at/de/aktuelles/2024/1/certatgovcert-austria-pgp-teamkey-rotation
Ablauf einer Schwachstellen-Information durch CERT.at am Beispiel Ivanti Connect Secure VPN (CVE-2024-21887, CVE-2023-46805)
Nach der Veröffentlichung begann nun der normale Prozess für CERTs weltweit, ebenso natürlich für CERT.at ... die Verbreitung der Information über die Schwachstellen vorzubreiten beziehungsweise zu finalisieren. Die CERTs veröffentlichten und sendeten ihre Warnung aus. Unsere Warnung, die laufend aktualisiert wird, wurde Donnerstag 11.01.24 gegen Mittag ins Netz gestellt, über den freien RSS-Feed für Abonnenten zugänglich gemacht und ausgesandt.
https://cert.at/de/blog/2024/1/ablauf-einer-schwachstellen-information-durch-certat-am-beispiel-ivanti-connect-secure-vpn-cve-2024-21887-cve-2023-46805
Vulnerabilities
Konfigurationsfehler: Unzählige Kubernetes-Cluster sind potenziell angreifbar
Viele Nutzer räumen der Gruppe system:authenticated ihres GKE-Clusters aufgrund einer Fehlannahme zu viele Rechte ein - mit gravierenden Folgen.
https://www.golem.de/news/konfigurationsfehler-unzaehlige-kubernetes-cluster-sind-potenziell-angreifbar-2401-181537.html
Trend Micro Apex Central: Update schließt im zweiten Anlauf Sicherheitslücken
Mehrere Sicherheitslücken in Trend Micros Apex Central ermöglichen Angreifern etwa, Schadcode einzuschleusen. Ein erstes Update machte Probleme.
https://www.heise.de/news/Trend-Micro-Apex-Central-Update-schliesst-im-zweiten-Anlauf-Sicherheitsluecken-9607948.html
Tausende Gitlab-Server noch für Zero-Click-Kontoklau anfällig
IT-Forscher haben das Netz durchforstet und dabei mehr als 5000 verwundbare Gitlab-Server gefunden. Angreifer können dort einfach Konten übernehmen.
https://www.heise.de/news/Tausende-Gitlab-Server-noch-fuer-Zero-Click-Kontoklau-anfaellig-9608050.html
Cisco: Lücke erlaubt komplette Übernahme von Unified Communication-Produkten
Cisco warnt vor einer kritischen Lücke in Unified Communication-Produkten, durch die Angreifer die Kontrolle übernehmen können.
https://www.heise.de/news/Cisco-Luecke-erlauben-komplette-Uebernahme-von-Unified-Communication-Produkten-9608518.html
Security updates for Thursday
Security updates have been issued by Debian (chromium, firefox-esr, php-phpseclib, phpseclib, thunderbird, and zabbix), Fedora (dotnet7.0, firefox, fonttools, and python-jinja2), Mageia (avahi and chromium-browser-stable), Oracle (java-1.8.0-openjdk, java-11-openjdk, LibRaw, openssl, and python-pillow), Red Hat (gnutls, kpatch-patch, php:8.1, and squid:4), SUSE (apache-parent, apache-sshd, bluez, cacti, cacti-spine, erlang, firefox, java-11-openjdk, opera, python-Pillow, tomcat, tomcat10, [...]
https://lwn.net/Articles/959455/
Potentielle Remote Code Execution in Jenkins - Patch verfügbar
Mit der neuesten Version der CI/CD-Plattform Jenkins haben die Entwickler:innen neun Sicherheitslücken behoben - darunter befindet sich auch eine kritische Schwachstelle, CVE-2024-23987.
https://cert.at/de/aktuelles/2024/1/potentielle-remote-code-execution-in-jenkins-patch-verfugbar
Swift Mailer - Moderately critical - Access bypass - SA-CONTRIB-2024-006
https://www.drupal.org/sa-contrib-2024-006
Open Social - Moderately critical - Information Disclosure - SA-CONTRIB-2024-005
https://www.drupal.org/sa-contrib-2024-005
Open Social - Moderately critical - Access bypass - SA-CONTRIB-2024-004
https://www.drupal.org/sa-contrib-2024-004
Two-factor Authentication (TFA) - Moderately critical - Access bypass - SA-CONTRIB-2024-003
https://www.drupal.org/sa-contrib-2024-003
IBM Security Bulletins
https://www.ibm.com/support/pages/bulletin/
Publish SBA-ADV-20200707-02: CloudLinux CageFS Insufficiently Restric-
https://github.com/sbaresearch/advisories/commit/fd86295907334f9cd81d8c1a7f2f1034793b8a85
Publish SBA-ADV-20200707-01: CloudLinux CageFS Token Disclosure
https://github.com/sbaresearch/advisories/commit/c2db0b1da76486e2876f1c64f952439eecdee313
SystemK NVR 504/508/516
https://www.cisa.gov/news-events/ics-advisories/icsa-24-025-02