Tageszusammenfassung - 25.01.2024

End-of-Day report

Timeframe: Mittwoch 24-01-2024 18:00 - Donnerstag 25-01-2024 18:00 Handler: Michael Schlagenhaufer Co-Handler: Thomas Pribitzer

News

New CherryLoader Malware Mimics CherryTree to Deploy PrivEsc Exploits

A new Go-based malware loader called CherryLoader has been discovered by threat hunters in the wild to deliver additional payloads onto compromised hosts for follow-on exploitation.

https://thehackernews.com/2024/01/new-cherryloader-malware-mimics.html


SystemBC Malwares C2 Server Analysis Exposes Payload Delivery Tricks

Cybersecurity researchers have shed light on the command-and-control (C2) server of a known malware family called SystemBC.

https://thehackernews.com/2024/01/systembc-malwares-c2-server-analysis.html


Memory Scanning for the Masses

In this blog post we will go into a user-friendly memory scanning Python library that was created out of the necessity of having more control during memory scanning.

https://research.nccgroup.com/2024/01/25/memory-scanning-for-the-masses/


ADCS Attack Paths in BloodHound - Part 1

This blog post details the ESC1 domain escalation requirements and explains how BloodHound incorporates the relevant components.

https://posts.specterops.io/adcs-attack-paths-in-bloodhound-part-1-799f3d3b03cf


CERT.at/GovCERT Austria PGP Teamkey Rotation

Da diese in einem Monat ablaufen, haben wir gestern neue PGP Keys für team@cert.at, reports@cert.at, team@govcert.gv.at sowie reports@govcert.gv.at generiert und ausgerollt.

https://cert.at/de/aktuelles/2024/1/certatgovcert-austria-pgp-teamkey-rotation


Ablauf einer Schwachstellen-Information durch CERT.at am Beispiel Ivanti Connect Secure VPN (CVE-2024-21887, CVE-2023-46805)

Nach der Veröffentlichung begann nun der normale Prozess für CERTs weltweit, ebenso natürlich für CERT.at ... die Verbreitung der Information über die Schwachstellen vorzubreiten beziehungsweise zu finalisieren. Die CERTs veröffentlichten und sendeten ihre Warnung aus. Unsere Warnung, die laufend aktualisiert wird, wurde Donnerstag 11.01.24 gegen Mittag ins Netz gestellt, über den freien RSS-Feed für Abonnenten zugänglich gemacht und ausgesandt.

https://cert.at/de/blog/2024/1/ablauf-einer-schwachstellen-information-durch-certat-am-beispiel-ivanti-connect-secure-vpn-cve-2024-21887-cve-2023-46805

Vulnerabilities

Konfigurationsfehler: Unzählige Kubernetes-Cluster sind potenziell angreifbar

Viele Nutzer räumen der Gruppe system:authenticated ihres GKE-Clusters aufgrund einer Fehlannahme zu viele Rechte ein - mit gravierenden Folgen.

https://www.golem.de/news/konfigurationsfehler-unzaehlige-kubernetes-cluster-sind-potenziell-angreifbar-2401-181537.html


Trend Micro Apex Central: Update schließt im zweiten Anlauf Sicherheitslücken

Mehrere Sicherheitslücken in Trend Micros Apex Central ermöglichen Angreifern etwa, Schadcode einzuschleusen. Ein erstes Update machte Probleme.

https://www.heise.de/news/Trend-Micro-Apex-Central-Update-schliesst-im-zweiten-Anlauf-Sicherheitsluecken-9607948.html


Tausende Gitlab-Server noch für Zero-Click-Kontoklau anfällig

IT-Forscher haben das Netz durchforstet und dabei mehr als 5000 verwundbare Gitlab-Server gefunden. Angreifer können dort einfach Konten übernehmen.

https://www.heise.de/news/Tausende-Gitlab-Server-noch-fuer-Zero-Click-Kontoklau-anfaellig-9608050.html


Cisco: Lücke erlaubt komplette Übernahme von Unified Communication-Produkten

Cisco warnt vor einer kritischen Lücke in Unified Communication-Produkten, durch die Angreifer die Kontrolle übernehmen können.

https://www.heise.de/news/Cisco-Luecke-erlauben-komplette-Uebernahme-von-Unified-Communication-Produkten-9608518.html


Security updates for Thursday

Security updates have been issued by Debian (chromium, firefox-esr, php-phpseclib, phpseclib, thunderbird, and zabbix), Fedora (dotnet7.0, firefox, fonttools, and python-jinja2), Mageia (avahi and chromium-browser-stable), Oracle (java-1.8.0-openjdk, java-11-openjdk, LibRaw, openssl, and python-pillow), Red Hat (gnutls, kpatch-patch, php:8.1, and squid:4), SUSE (apache-parent, apache-sshd, bluez, cacti, cacti-spine, erlang, firefox, java-11-openjdk, opera, python-Pillow, tomcat, tomcat10, [...]

https://lwn.net/Articles/959455/


Potentielle Remote Code Execution in Jenkins - Patch verfügbar

Mit der neuesten Version der CI/CD-Plattform Jenkins haben die Entwickler:innen neun Sicherheitslücken behoben - darunter befindet sich auch eine kritische Schwachstelle, CVE-2024-23987.

https://cert.at/de/aktuelles/2024/1/potentielle-remote-code-execution-in-jenkins-patch-verfugbar


Swift Mailer - Moderately critical - Access bypass - SA-CONTRIB-2024-006

https://www.drupal.org/sa-contrib-2024-006


Open Social - Moderately critical - Information Disclosure - SA-CONTRIB-2024-005

https://www.drupal.org/sa-contrib-2024-005


Open Social - Moderately critical - Access bypass - SA-CONTRIB-2024-004

https://www.drupal.org/sa-contrib-2024-004


Two-factor Authentication (TFA) - Moderately critical - Access bypass - SA-CONTRIB-2024-003

https://www.drupal.org/sa-contrib-2024-003


IBM Security Bulletins

https://www.ibm.com/support/pages/bulletin/


Publish SBA-ADV-20200707-02: CloudLinux CageFS Insufficiently Restric-

https://github.com/sbaresearch/advisories/commit/fd86295907334f9cd81d8c1a7f2f1034793b8a85


Publish SBA-ADV-20200707-01: CloudLinux CageFS Token Disclosure

https://github.com/sbaresearch/advisories/commit/c2db0b1da76486e2876f1c64f952439eecdee313


SystemK NVR 504/508/516

https://www.cisa.gov/news-events/ics-advisories/icsa-24-025-02