Tageszusammenfassung - 25.01.2024

End-of-Day report

Timeframe: Mittwoch 24-01-2024 18:00 - Donnerstag 25-01-2024 18:00 Handler: Michael Schlagenhaufer Co-Handler: Thomas Pribitzer

News

New CherryLoader Malware Mimics CherryTree to Deploy PrivEsc Exploits

A new Go-based malware loader called CherryLoader has been discovered by threat hunters in the wild to deliver additional payloads onto compromised hosts for follow-on exploitation.

https://thehackernews.com/2024/01/new-cherryloader-malware-mimics.html

SystemBC Malwares C2 Server Analysis Exposes Payload Delivery Tricks

Cybersecurity researchers have shed light on the command-and-control (C2) server of a known malware family called SystemBC.

https://thehackernews.com/2024/01/systembc-malwares-c2-server-analysis.html

Memory Scanning for the Masses

In this blog post we will go into a user-friendly memory scanning Python library that was created out of the necessity of having more control during memory scanning.

https://research.nccgroup.com/2024/01/25/memory-scanning-for-the-masses/

ADCS Attack Paths in BloodHound - Part 1

This blog post details the ESC1 domain escalation requirements and explains how BloodHound incorporates the relevant components.

https://posts.specterops.io/adcs-attack-paths-in-bloodhound-part-1-799f3d3b03cf

CERT.at/GovCERT Austria PGP Teamkey Rotation

Da diese in einem Monat ablaufen, haben wir gestern neue PGP Keys für team@cert.at, reports@cert.at, team@govcert.gv.at sowie reports@govcert.gv.at generiert und ausgerollt.

https://cert.at/de/aktuelles/2024/1/certatgovcert-austria-pgp-teamkey-rotation

Ablauf einer Schwachstellen-Information durch CERT.at am Beispiel Ivanti Connect Secure VPN (CVE-2024-21887, CVE-2023-46805)

Nach der Veröffentlichung begann nun der normale Prozess für CERTs weltweit, ebenso natürlich für CERT.at ... die Verbreitung der Information über die Schwachstellen vorzubreiten beziehungsweise zu finalisieren. Die CERTs veröffentlichten und sendeten ihre Warnung aus. Unsere Warnung, die laufend aktualisiert wird, wurde Donnerstag 11.01.24 gegen Mittag ins Netz gestellt, über den freien RSS-Feed für Abonnenten zugänglich gemacht und ausgesandt.

https://cert.at/de/blog/2024/1/ablauf-einer-schwachstellen-information-durch-certat-am-beispiel-ivanti-connect-secure-vpn-cve-2024-21887-cve-2023-46805

Vulnerabilities

Konfigurationsfehler: Unzählige Kubernetes-Cluster sind potenziell angreifbar

Viele Nutzer räumen der Gruppe system:authenticated ihres GKE-Clusters aufgrund einer Fehlannahme zu viele Rechte ein - mit gravierenden Folgen.

https://www.golem.de/news/konfigurationsfehler-unzaehlige-kubernetes-cluster-sind-potenziell-angreifbar-2401-181537.html

Trend Micro Apex Central: Update schließt im zweiten Anlauf Sicherheitslücken

Mehrere Sicherheitslücken in Trend Micros Apex Central ermöglichen Angreifern etwa, Schadcode einzuschleusen. Ein erstes Update machte Probleme.

https://www.heise.de/news/Trend-Micro-Apex-Central-Update-schliesst-im-zweiten-Anlauf-Sicherheitsluecken-9607948.html

Tausende Gitlab-Server noch für Zero-Click-Kontoklau anfällig

IT-Forscher haben das Netz durchforstet und dabei mehr als 5000 verwundbare Gitlab-Server gefunden. Angreifer können dort einfach Konten übernehmen.

https://www.heise.de/news/Tausende-Gitlab-Server-noch-fuer-Zero-Click-Kontoklau-anfaellig-9608050.html

Cisco: Lücke erlaubt komplette Übernahme von Unified Communication-Produkten

Cisco warnt vor einer kritischen Lücke in Unified Communication-Produkten, durch die Angreifer die Kontrolle übernehmen können.

https://www.heise.de/news/Cisco-Luecke-erlauben-komplette-Uebernahme-von-Unified-Communication-Produkten-9608518.html

Security updates for Thursday

Security updates have been issued by Debian (chromium, firefox-esr, php-phpseclib, phpseclib, thunderbird, and zabbix), Fedora (dotnet7.0, firefox, fonttools, and python-jinja2), Mageia (avahi and chromium-browser-stable), Oracle (java-1.8.0-openjdk, java-11-openjdk, LibRaw, openssl, and python-pillow), Red Hat (gnutls, kpatch-patch, php:8.1, and squid:4), SUSE (apache-parent, apache-sshd, bluez, cacti, cacti-spine, erlang, firefox, java-11-openjdk, opera, python-Pillow, tomcat, tomcat10, [...]

https://lwn.net/Articles/959455/

Potentielle Remote Code Execution in Jenkins - Patch verfügbar

Mit der neuesten Version der CI/CD-Plattform Jenkins haben die Entwickler:innen neun Sicherheitslücken behoben - darunter befindet sich auch eine kritische Schwachstelle, CVE-2024-23987.

https://cert.at/de/aktuelles/2024/1/potentielle-remote-code-execution-in-jenkins-patch-verfugbar

Swift Mailer - Moderately critical - Access bypass - SA-CONTRIB-2024-006

https://www.drupal.org/sa-contrib-2024-006

Open Social - Moderately critical - Information Disclosure - SA-CONTRIB-2024-005

https://www.drupal.org/sa-contrib-2024-005

Open Social - Moderately critical - Access bypass - SA-CONTRIB-2024-004

https://www.drupal.org/sa-contrib-2024-004

Two-factor Authentication (TFA) - Moderately critical - Access bypass - SA-CONTRIB-2024-003

https://www.drupal.org/sa-contrib-2024-003

IBM Security Bulletins

https://www.ibm.com/support/pages/bulletin/

Publish SBA-ADV-20200707-02: CloudLinux CageFS Insufficiently Restric-

https://github.com/sbaresearch/advisories/commit/fd86295907334f9cd81d8c1a7f2f1034793b8a85

Publish SBA-ADV-20200707-01: CloudLinux CageFS Token Disclosure

https://github.com/sbaresearch/advisories/commit/c2db0b1da76486e2876f1c64f952439eecdee313

SystemK NVR 504/508/516

https://www.cisa.gov/news-events/ics-advisories/icsa-24-025-02