End-of-Day report
Timeframe: Mittwoch 26-11-2025 18:00 - Donnerstag 27-11-2025 18:00
Handler: Michael Schlagenhaufer
Co-Handler: Felician Fuchs
News
Ein kurzer Blick auf das NISG 2026
Wirklich viel hat sich zwischen dem abgelehnten Entwurf von 2024 und dem am 20. November eingebrachten Text nicht geändert. Ich will hier nur kurz zwei Punke ansprechen. Recital 44: [..] Wie schon im Sommer angemerkt, ist uns nicht klar, was der EU-Gesetzgeber uns damit sagen will. [..] Eine kurze Umfrage im CSIRTs Network hat gezeigt, dass auch die anderen Teams an dieser Frage kiefeln.
https://www.cert.at/de/blog/2025/11/ein-kurzer-blick-auf-das-nisg-2026
Shai-Hulud v2 Spreads From npm to Maven, as Campaign Exposes Thousands of Secrets
The second wave of the Shai-Hulud supply chain attack has spilled over to the Maven ecosystem after compromising more than 830 packages in the npm registry. The Socket Research Team said it identified a Maven Central package named org.mvnpm:posthog-node:4.18.1 that embeds the same two components associated with Sha1-Hulud: the "setup_bun.js" loader and the main payload "bun_environment.js.
https://thehackernews.com/2025/11/shai-hulud-v2-campaign-spreads-from-npm.html
New ShadowV2 botnet malware used AWS outage as a test opportunity
A new Mirai-based botnet malware named ShadowV2 has been observed targeting IoT devices from D-Link, TP-Link, and other vendors with exploits for known vulnerabilities.
https://www.bleepingcomputer.com/news/security/new-shadowv2-botnet-malware-used-aws-outage-as-a-test-opportunity/
Zendesk users targeted as Scattered Lapsus$ Hunters spin up fake support sites
ReliaQuest finds fresh crop of phishing domains and toxic tickets Scattered Lapsus$ Hunters may be circling Zendesk users for its latest extortion campaign, with new phishing domains and weaponized helpdesk tickets uncovered by ReliaQuest.
https://go.theregister.com/feed/www.theregister.com/2025/11/27/scattered_lapsus_hunters_zendesk/
Rituals Adventkalender zu gewinnen? Vorsicht vor der Phishing-Falle!
Die neueste virale Variante: Ein angeblich kostenloser Adventkalender von Rituals. Dahinter versteckt sich allerdings eine Kombination aus unterschiedlichen Betrugsmaschen: Abo-Falle & Diebstahl von Kreditkartendaten, garniert mit einem Kettenbrief.
https://www.watchlist-internet.at/news/rituals-adventkalender-phishing/
Vulnerabilities
Security updates for Thursday
Security updates have been issued by Debian (kdeconnect, libssh, and samba), Fedora (7zip, docker-buildkit, and docker-buildx), Oracle (bind, buildah, cups, delve and golang, expat, firefox, gimp, go-rpm-macros, haproxy, kernel, lasso, libsoup, libtiff, mingw-expat, openssl, podman, python-kdcproxy, qt5-qt3d, runc, squid, thunderbird, tigervnc, valkey, webkit2gtk3, xorg-x11-server, and xorg-x11-server-Xwayland), SUSE (buildah, cloudflared, containerd, expat, firefox, gnutls, helm, kernel, libxslt, mysql-connector-java, ongres-scram, openbao, openexr, openssh, podman, python311, python312, ruby2.5, rubygem-rack, runc, samba, sssd, tiff, unbound, and yelp), and Ubuntu (edk2, ffmpeg, h2o, python3.13, rust-openssl, and valkey)
https://lwn.net/Articles/1048448/
GitLab Patch Release: 18.6.1, 18.5.3, 18.4.5
GitLab releases fixes for vulnerabilities in patch releases. [..] We strongly recommend that all installations running a version affected by the issues described below are upgraded to the latest version as soon as possible.
https://about.gitlab.com/releases/2025/11/26/patch-release-gitlab-18-6-1-released/
Sicherheitsupdates: Angreifer können Anmeldung von Asus-Routern umgehen
Unter anderem eine kritische Sicherheitslücke gefährdet Router von Asus. Es kann Schadcode auf Geräte gelangen. [..] Welche Modelle konkret betroffen sind, geht aus dem Sicherheitsbereich der Asus-Website nicht hervor. Dort wird nur -Asus-Router-Firmware- als verwundbar genannt. [..] Am gefährlichsten gilt eine -kritische- Schwachstelle (CVE-2025-59366) in der AiCloud-Komponente. [..] Drei weitere Lücken (CVE-2025-59370, CVE-2025-59371, CVE-2025-12003) sind mit dem Bedrohungsgrad -hoch- versehen.
https://heise.de/-11093767
ABB Ability Camera Connect Vulnerabilities in outdated 3rd party component (VLC)
https://search.abb.com/library/Download.aspx?DocumentID=4HZM000603&LanguageCode=en&DocumentPartId=&Action=Launch
Splunk: SVD-2025-1104: Third-Party Package Updates in Splunk SOAR - November 2025
https://advisory.splunk.com//advisories/SVD-2025-1104