End-of-Day report
Timeframe: Mittwoch 10-12-2025 18:00 - Donnerstag 11-12-2025 18:00
Handler: Guenes Holler
Co-Handler: n/a
News
Identitätsklau möglich: Gravierende Sicherheitsmängel bei eID-Karten aufgedeckt
Seit 2021 können EU-Bürger in Deutschland eine sogenannte eID-Karte beantragen, um sich beispielsweise bei Onlinediensten auszuweisen. Recherchen der Süddeutschen Zeitung zufolge gibt es bei der Beantragung dieser Karten aber erhebliche Sicherheitsprobleme, weil Ämter wohl oft nicht sauber prüfen können, wer eigentlich der Antragsteller ist. Mögliche Folgen sind Missbrauch für Geldwäsche und andere betrügerische Aktivitäten.
https://www.golem.de/news/identitaetsklau-moeglich-gravierende-sicherheitsmaengel-bei-eid-karten-aufgedeckt-2512-203151.html
Brisantes Datenleck auf Docker Hub: Über 10.000 Docker-Images leaken Zugangsdaten
Sicherheitsforscher von Flare haben auf Docker Hub bereitgestellte Docker-Images auf enthaltene Anmeldeinformationen durchsucht und sind fündig geworden. Laut eigenem Blogbeitrag fanden die Forscher bei einem einmonatigen Suchlauf in mehr als 10.000 Images unzählige Geheimnisse von über 100 verschiedenen Organisationen - darunter ein Fortune-500-Unternehmen und eine große staatliche Bank.
https://www.golem.de/news/docker-hub-zugangsdaten-in-ueber-10-000-docker-images-entdeckt-2512-203160.html
NANOREMOTE Malware Uses Google Drive API for Hidden Control on Windows Systems
Cybersecurity researchers have disclosed details of a new fully-featured Windows backdoor called NANOREMOTE that uses the Google Drive API for command-and-control (C2) purposes.
https://thehackernews.com/2025/12/nanoremote-malware-uses-google-drive.html
SMS vom Bundeskanzleramt? Phishing-Falle statt Rückerstattung
Eine SMS-Nachricht, versendet im Namen des Bundeskanzleramts, verspricht eine Rückerstattung von über 100 Euro. Dahinter verbirgt sich aber wenig überraschend nichts anderes als eine Phishing-Falle. Kriminelle wollen über diesen Weg an Login-Daten für Onlinebanking gelangen.
https://www.watchlist-internet.at/news/bundeskanzleramt-phishing-rueckerstattung/
Scammers Sent 40,000 E-Signature Phishing Emails to 6,000 Firms in Just 2 Weeks
Phishing campaign: Scammers sent over 40,000 spoofed SharePoint, DocuSign and e-sign emails to companies, hiding malicious links behind trusted redirect services.
https://hackread.com/scammers-e-signature-phishing-emails/
New -DroidLock- Android Malware Locks Users Out, Spies via Front Camera
Zimperium zLabs reveals DroidLock, a new Android malware acting like ransomware that can hijack Android devices, steal credentials via phishing, and stream your screen via VNC.
https://hackread.com/droidlock-android-malware-users-spy-camera/
Active Attacks Exploit Gladinets Hard-Coded Keys for Unauthorized Access and Code Execution
Huntress is warning of a new actively exploited vulnerability in Gladinet's CentreStack and Triofox products stemming from the use of hard-coded cryptographic keys that have affected nine organizations so far.
https://thehackernews.com/2025/12/hard-coded-gladinet-keys-let-attackers.html
.NET SOAPwn Flaw Opens Door for File Writes and Remote Code Execution via Rogue WSDL
New research has uncovered exploitation primitives in the .NET Framework that could be leveraged against enterprise-grade applications to achieve remote code execution. WatchTowr Labs, which has codenamed the "invalid cast vulnerability" SOAPwn, said the issue impacts Barracuda Service Center RMM, Ivanti Endpoint Manager (EPM), and Umbraco 8. But the number of affected vendors is likely to be longer given the widespread use of .NET.
https://thehackernews.com/2025/12/net-soapwn-flaw-opens-door-for-file.html
New ConsentFix attack hijacks Microsoft accounts via Azure CLI
A new variation of the ClickFix attack dubbed 'ConsentFix' abuses the Azure CLI OAuth app to hijack Microsoft accounts without the need for a password or to bypass multi-factor authentication (MFA) verifications.
https://www.bleepingcomputer.com/news/security/new-consentfix-attack-hijacks-microsoft-accounts-via-azure-cli/
Hackers exploit unpatched Gogs zero-day to breach 700 servers
An unpatched zero-day vulnerability in Gogs, a popular self-hosted Git service, has enabled attackers to gain remote code execution on Internet-facing instances and compromise hundreds of servers.
https://www.bleepingcomputer.com/news/security/unpatched-gogs-zero-day-rce-flaw-actively-exploited-in-attacks/
Vulnerabilities
Security updates for Thursday
Security updates have been issued by Debian (ffmpeg, firefox-esr, libsndfile, and rear), Fedora (httpd, perl-CGI-Simple, and tinyproxy), Oracle (firefox, kernel, libsoup, mysql8.4, tigervnc, tomcat, tomcat9, and uek-kernel), SUSE (alloy, curl, dovecot24, fontforge, glib2, himmelblau, java-17-openjdk, java-21-openjdk, kernel, krb5, lasso, libvirt, mozjs128, mysql-connector-java, nvidia-open-driver-G07-signed-check, openssh, poppler, postgresql17, postgresql18, python-cbor2, python-Django, python310, python311-Django, runc, strongswan, tomcat11, and xwayland), and Ubuntu (binutils, libpng1.6, linux, linux-aws, linux-aws-5.4, linux-gcp, linux-gcp-5.4, linux-hwe-5.4, linux-ibm, linux-ibm-5.4, linux-kvm, linux-oracle, linux-xilinx-zynqmp, linux, linux-aws, linux-aws-6.14, linux-gcp, linux-hwe-6.14, linux-raspi, linux, linux-aws, linux-gcp, linux-realtime, and qtbase-opensource-src).
https://lwn.net/Articles/1050117/
Google warnt vor Sicherheitslücke: Chrome-Nutzer werden attackiert
Ein Notfallupdate für den Webbrowser Chrome schließt mehrere gefährliche Sicherheitslücken. Mindestens eine davon wird bereits ausgenutzt.
https://www.golem.de/news/google-warnt-vor-sicherheitsluecke-chrome-nutzer-werden-attackiert-2512-203129.html
Barracuda RMM: Kritische Sicherheitslücken erlauben Codeschmuggel
IT-Verantwortliche, die ihre IT mit Barracuda RMM - ehemals unter dem Namen Managed Workplace bekannt - verwalten, sollten schleunigst den bereitstehenden Hotfix 2025.1.1 installieren, sofern das noch nicht geschehen ist. Er schließt mehrere Sicherheitslücken, von denen gleich drei die Höchstwertung CVSS 10 erhalten und damit ein großes Risiko darstellen.
https://heise.de/-11111274
WinRAR: Codeschmuggel-Lücke wird attackiert
Im Packprogramm WinRAR klafft bis zur Version 7.12 Beta 1 eine Sicherheitslücke, die Angreifern das Einschleusen von Schadcode erlaubt. Attacken auf diese Lücken wurden nun beobachtet. Wer WinRAR einsetzt, sollte daher zügig auf eine neuere Version aktualisieren.
https://heise.de/-11111474
ZDI-25-1060: Senstar Symphony FetchStoredLicense Information Disclosure Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-25-1060/
MISP v2.5.28 Release: Security, Dashboard Upgrade, and Community Enhancements
https://github.com/MISP/MISP/releases/tag/v2.5.28