Tageszusammenfassung - 07.05.2025

End-of-Day report

Timeframe: Dienstag 06-05-2025 18:00 - Mittwoch 07-05-2025 18:00 Handler: Alexander Riepl Co-Handler: n/a

News

Samsung MagicINFO 9 Server RCE flaw now exploited in attacks

Hackers are exploiting an unauthenticated remote code execution (RCE) vulnerability in the Samsung MagicINFO 9 Server to hijack devices and deploy malware.

https://www.bleepingcomputer.com/news/security/samsung-magicinfo-9-server-rce-flaw-now-exploited-in-attacks/


Apache Parquet exploit tool detect servers vulnerable to critical flaw

A proof-of-concept exploit tool has been publicly released for a maximum severity Apache Parquet vulnerability, tracked as CVE-2025-30065, making it easy to find vulnerable servers.

https://www.bleepingcomputer.com/news/security/apache-parquet-exploit-tool-detect-servers-vulnerable-to-critical-flaw/


Millionenstrafe für Firma nach WhatsApp-Hack

Die NSO Group aus Israel hatte einen Bug in WhatsApp genutzt, um Spyware zu installieren. Meta klagte und gewann.

https://futurezone.at/digital-life/meta-whatsapp-nso-group-spionagesoftware-strafe-sebastian-kurz-shalev-hulio/403038736


Zero Day: Windows-Lücke von mindestens zwei Hackergruppen ausgenutzt

Mindestens zwei Cyberbanden haben sich einer Schwachstelle im CLFS-Treiber von Windows bedient, bevor Microsoft einen Patch ausliefern konnte.

https://www.golem.de/news/zero-day-windows-luecke-von-mindestens-zwei-hackergruppen-ausgenutzt-2505-195988.html


State of ransomware in 2025

Kaspersky researchers review ransomware trends for 2024, analyze the most active groups and forecast how this threat will evolve in 2025.

https://securelist.com/state-of-ransomware-in-2025/116475/


Lights Out and Stalled Factories: Using M.A.T.R.I.X to Learn About Modbus Vulnerabilities

Let-s explore the critical role of Modbus in energy and manufacturing systems, then demonstrate real-world exploitation techniques using Docker-based simulations and the custom-built Python tool M.A.T.R.I.X.

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/lights-out-and-stalled-factories-using-matrix-to-learn-about-modbus-vulnerabilities/


Backupsoftware Commvault: Weitere Lücke angegriffen, Patch offenbar unwirksam

Zum Wochenende wurden Angriffe auf eine weitere Commvault-Sicherheitslücke bekannt. Das Update zum Abdichten wirkt wohl nicht.

https://www.heise.de/news/Backupsoftware-Commvault-Weitere-Luecke-angegriffen-Patch-offenbar-unwirksam-10374380.html


Wegen Sicherheitslücken: LibreOffice rät von OpenOffice ab

Die Entwickler von LibreOffice raten vom Konkurrenten OpenOffice ab. Die Apache-Software enthalte Sicherheitslücken und werde nicht weiterentwickelt.

https://www.heise.de/news/Wegen-Sicherheitsluecken-LibreOffice-raet-von-OpenOffice-ab-10374548.html


NIS2 nicht umgesetzt: EU-Strafe für Deutschland rückt einen Schritt näher

Die EU-Kommission hat die zweite Stufe des Vertragsverletzungsverfahren gegen Deutschland eingeleitet, weil es die NIS2-Richtlinie noch nicht umgesetzt hat.

https://www.heise.de/news/NIS2-nicht-umgesetzt-EU-Strafe-fuer-Deutschland-rueckt-einen-Schritt-naeher-10375456.html


Exploiting Copilot AI for SharePoint

TL;DR AI Assistants are becoming far more common Copilot for SharePoint is Microsoft-s answer to generative AI assistance on SharePoint Attackers will look to exploit anything they can get their ..

https://www.pentestpartners.com/security-blog/exploiting-copilot-ai-for-sharepoint/


Meta lässt sich sechs Wochen Zeit, bis Betrug entfernt wird

Postings über Kryptoscams oder betrügerische Influencer-Aktionen bleiben auf Facebook und Instagram am längsten von allen online

https://www.derstandard.at/story/3000000268532/meta-laesst-sich-sechs-wochen-zeit-bis-betrug-entfernt-wird


Ransomware Attackers Leveraged Privilege Escalation Zero-day

Exploit used by Play-linked attackers targets the CVE-2025-29824 zero-day vulnerability patched on April 8.

https://www.security.com/threat-intelligence/play-ransomware-zero-day


Unsophisticated Cyber Actor(s) Targeting Operational Technology

CISA is increasingly aware of unsophisticated cyber actor(s) targeting ICS/SCADA systems within U.S. critical Infrastructure sectors (Oil and Natural Gas), specifically in Energy and Transportation Systems. Although these activities often include basic and elementary intrusion techniques, the presence of poor cyber hygiene and exposed assets can escalate ..

https://www.cisa.gov/news-events/alerts/2025/05/06/unsophisticated-cyber-actors-targeting-operational-technology


Poland arrests four in global DDoS-for-hire takedown

The suspects allegedly operated six platforms that offered distributed denial-of-service attacks for as little as 10 euros.

https://therecord.media/poland-arrests-four-ddos-hire


Achtung bei iVentoy, es werden obskure Zertifikate und Treiber installiert

Kurze Warnung an Leute aus der Blog-Leserschaft, die das Tool iVentoy zur Verteilung von Betriebssystem-Images über ein Netzwerk und einen PXE-Server einsetzen. Es gibt aktuell eine Diskussion, dass das Tool ..

https://www.borncity.com/blog/2025/05/07/achtung-bei-iventoy-es-werden-obskure-zertifikate-und-treiber-installiert/


ClickFix Scam: How to Protect Your Business Against This Evolving Threat

Cybercriminals aren-t always loud and obvious. Sometimes, they play it quiet and smart. One of the tricks of ..

https://hackread.com/clickfix-scam-how-to-protect-business-againt-threat/


COLDRIVER Using New Malware To Steal Documents >From Western Targets and NGOs

Google Threat Intelligence Group (GTIG) has identified a new piece of malware called LOSTKEYS, attributed to the Russian government-backed threat group COLDRIVER (also known as UNC4057, Star Blizzard, and Callisto). LOSTKEYS is capable of stealing files from a hard-coded list of extensions and directories, along with sending system ..

https://cloud.google.com/blog/topics/threat-intelligence/coldriver-steal-documents-western-targets-ngos/


Vulnerabilities

Honeywell MB Secure Authenticated Command Injection

https://sec-consult.com/de/vulnerability-lab/advisory/authenticated-command-injection/


Langflow Missing Authentication Vulnerability

https://fortiguard.fortinet.com/threat-signal-report/6085