Tageszusammenfassung - 05.02.2024

End-of-Day report

Timeframe: Freitag 02-02-2024 18:00 - Montag 05-02-2024 18:00 Handler: Michael Schlagenhaufer Co-Handler: Stephan Richter

News

Newest Ivanti SSRF zero-day now under mass exploitation

An Ivanti Connect Secure and Ivanti Policy Secure server-side request forgery (SSRF) vulnerability tracked as CVE-2024-21893 is currently under mass exploitation by multiple attackers.

https://www.bleepingcomputer.com/news/security/newest-ivanti-ssrf-zero-day-now-under-mass-exploitation/

Cyberangriff: Fernwartungssoftware-Anbieter Anydesk gehackt

Anydesk ist Opfer eines Cyberangriffs geworden. Die Folgen sind noch nicht klar, aber möglicherweise gravierend.

https://www.golem.de/news/cyberangriff-fernwartungssoftware-anbieter-anydesk-gehackt-2402-181848.html

Darknet: Anydesk-Zugangsdaten in Hackerforen aufgetaucht

Quelle der Daten ist nach aktuellen Erkenntnissen wohl nicht der jüngste Sicherheitsvorfall bei Anydesk. Ein Passwortwechsel wird dennoch empfohlen.

https://www.golem.de/news/darknet-anydesk-zugangsdaten-in-hackerforen-aufgetaucht-2402-181868.html

How to hack the Airbus NAVBLUE Flysmart+ Manager

Airbus Navblue Flysmart+ Manager allowed attackers to tamper with the engine performance calculations and intercept data. Flysmart+ is a suite of apps for pilot EFBs, helping deliver efficient and safe departure and arrival of flights. Researchers from Pen Test Partners discovered a vulnerability in Navblue Flysmart+ Manager that can be exploited [...]

https://securityaffairs.com/158661/hacking/airbus-flysmart-flaw.html

Encrypted Attacks: Impact on Public Sector

Following FBI and CISA warnings to public sector defenders in November regarding increased targeting by infamous ransomware groups, the imperative to understand and defend against evolving - and increasingly covert - cyber threats has intensified. According to Zscaler ThreatLabz analysis of the 2023 threat landscape, 86% of threats hide within encrypted traffic. What does this mean for the public sector?

https://www.zscaler.com/blogs/security-research/encrypted-attacks-impact-public-sector

Hacking a Smart Home Device

How I reverse engineered an ESP32-based smart home device to gain remote control access and integrate it with Home Assistant.

https://jmswrnr.com/blog/hacking-a-smart-home-device

Videokonferenz voller KI-Klone: Angestellter schickt Betrügern 24 Millionen Euro

Bislang werden im Rahmen der "Chef-Masche" Angestellte zumeist von einer Person überzeugt, Geld herauszugeben. Ein Fall in Hongkong hat nun eine neue Qualität.

https://www.heise.de/-9618064.html

Hartkodiertes Passwort: Wärmepumpen von Alpha Innotec und Novelan angreifbar

Ein IT-Forscher hat in der Firmware von Alpha Innotec- und Novelan-Wärmepumpen das hartkodierte Root-Passwort gefunden. Updates bieten Abhilfe.

https://www.heise.de/-9618846.html

Ivanti Zero Day - Threat Actors observed leveraging CVE-2021-42278 and CVE-2021-42287 for quick privilege escalation to Domain Admin

TL;dr NCC Group has observed what we believe to be the attempted exploitation of CVE-2021-42278 and CVE-2021-42287 as a means of privilege escalation, following the successful compromise of an Ivanti Secure Connect VPN using the following zero-day vulnerabilities reported by Volexity1 on 10/01/2024: [...]

https://research.nccgroup.com/2024/02/05/ivanti-zero-day-threat-actors-observed-leveraging-cve-2021-42278-and-cve-2021-42287-for-quick-privilege-escalation-to-domain-admin/

Achtung: E-Card mit 500 Euro Guthaben für Apothekenkäufe ist Fake

Auf Facebook wird eine -E-Card-Gutscheinkarte- beworben. Wenn Sie eine kurze Umfrage ausfüllen und 2 Euro überweisen, erhalten Sie angeblich 500 Euro für Apothekeneinkäufe. Achtung, dabei handelt es sich um Betrug. Ein solches Angebot gibt es nicht!

https://www.watchlist-internet.at/news/achtung-e-card-mit-500-euro-guthaben-fuer-apothekenkaeufe-ist-fake/

Sicherheitsvorfall bei der AnyDesk Software GmbH

Der deutsche Softwarehersteller AnyDesk Software GmbH, Entwickler der Fernwartungssoftware AnyDesk, hat am Abend des 02.02.2024 im Rahmen einer Pressemeldung über einen erfolgreichen Angriff gegen seine Infrastruktur informiert. Laut dem Unternehmen wurde direkt nach Entdeckung des Vorfalles ein externer Sicherheitsdienstleister zur Behandlung des Vorfalls hinzugezogen und die zuständigen Behörden informiert. Weiters gibt das Unternehmen an, dass keinerlei private Schlüssel, [...]

https://cert.at/de/aktuelles/2024/2/sicherheitsvorfall-bei-der-anydesk-software-gmbh

Vulnerabilities

Docker, Kubernetes und co.: Hacker können aus Containern auf Hostsysteme zugreifen

Die Schwachstellen dafür beziehen sich auf Buildkit und das CLI-Tool runc. Eine davon erreicht mit einem CVSS von 10 den maximal möglichen Schweregrad.

https://www.golem.de/news/docker-kubernetes-und-co-hacker-koennen-aus-containern-auf-hostsysteme-zugreifen-2402-181875.html

Security updates for Monday

Security updates have been issued by Debian (rear, runc, sudo, and zbar), Fedora (chromium, grub2, libebml, mingw-python-pygments, and python-aiohttp), Gentoo (FreeType, GNAT Ada Suite, Microsoft Edge, NBD Tools, OpenSSL, QtGui, SDDM, Wireshark, and Xen), Mageia (dracut, glibc, nss and firefox, openssl, packages, perl, and thunderbird), Slackware (libxml2), SUSE (java-11-openjdk, java-17-openjdk, perl, python-uamqp, slurm, and xerces-c), and Ubuntu (libssh and openssl).

https://lwn.net/Articles/960952/

2024-02-05: Cyber Security Advisory - B&R Automation Runtime FTP uses unsecure encryption mechanisms

https://www.br-automation.com/fileadmin/SA23P004_FTP_uses_unsecure_encryption_mechanisms-f57c147c.pdf

Canon: CPE2024-001 - Regarding vulnerabilities for Small Office Multifunction Printers and Laser Printers - 05 February 2024

https://www.canon-europe.com/support/product-security-latest-news/

IBM Security Bulletins

https://www.ibm.com/support/pages/bulletin/

QNAP: Neue Firmware-Versionen beheben Befehlsschmuggel-Lücke

https://www.heise.de/-9617332.html

IT-Sicherheitsüberwachung Juniper JSA für mehrere Attacken anfällig

https://www.heise.de/-9617677.html

HCL schließt Sicherheitslücken in Bigfix, Devops Deploy und Launch

https://www.heise.de/-9618224.html