Tageszusammenfassung - 07.02.2024

End-of-Day report

Timeframe: Dienstag 06-02-2024 18:00 - Mittwoch 07-02-2024 18:00 Handler: Michael Schlagenhaufer Co-Handler: n/a

News

Fortinet snafu: Critical FortiSIEM CVEs are duplicates, issued in error

It turns out that critical Fortinet FortiSIEM vulnerabilities tracked as CVE-2024-23108 and CVE-2024-23109 are not new and have been published this year in error.

https://www.bleepingcomputer.com/news/security/fortinet-snafu-critical-fortisiem-cves-are-duplicates-issued-in-error/

Schlüssel ausgelesen: Bastler umgeht Bitlocker-Schutz mit Raspberry Pi Pico

Möglich war ihm dies durch das Abfangen der Kommunikation des auf dem Mainboard des Notebooks verlöteten TPM-Chips mit der CPU. [..] Auf die Möglichkeit solcher Angriffe auf Systeme mit externen TPM-Chips wiesen Sicherheitsforscher schon im Sommer 2021 hin. Grund dafür sei die unverschlüsselte Übertragung des Verschlüsselungsschlüssels, so dass sich der Schlüssel einfach über die Kontakte des TPMs abfangen lasse, hieß es schon damals.

https://www.golem.de/news/schluessel-ausgelesen-bastler-umgeht-bitlocker-schutz-mit-raspberry-pi-pico-2402-181969.html

Unleashing the Power of Scapy for Network Fuzzing

Cybersecurity is a critical aspect of any network or software system, and fuzzing is arguably one of the most potent techniques used to identify such security vulnerabilities. Fuzzing involves injecting unexpected or invalid data into the system, which can trigger unforeseen behaviours, potentially leading to security breaches or crashes. Scapy is one of the many tools that can be used for fuzzing, and it stands out as a versatile and efficient option.

https://www.darkrelay.com/post/unleashing-the-power-of-scapy-for-network-fuzzing

Anydesk-Einbruch: Französisches BSI-Pendant vermutet Dezember als Einbruchsdatum

Der IT-Sicherheitsvorfall bei Anydesk datiert womöglich auf den Dezember 2023, wie den Hinweisen der französischen IT-Sicherheitsbehörde zu entnehmen ist.

https://www.heise.de/news/Anydesk-Einbruch-datiert-vermutlich-auf-Dezember-2023-9621134.html?wt_mc=rss.red.ho.ho.atom.beitrag.beitrag

E-Mail von DNS EU ist betrügerisch

Derzeit erhalten viele Website-Betreiber:innen E-Mails von einer vermeintlichen Firma namens DNS EU. Im E-Mail behauptet das Unternehmen, dass es einen -Registrierungsantrag- für eine Domain erhalten hat, die Ihrer eigenen Domain sehr ähnlich ist. Ihnen wird angeboten, diese Domain für - 297,50 zu kaufen. Ignorieren Sie dieses E-Mail, das Angebot ist Fake.

https://www.watchlist-internet.at/news/e-mail-von-dns-eu-ist-betruegerisch/

Vermehrte Ransomware-Angriffe mit Lockbit 3.0

In den letzten Tagen sind österreichische Unternehmen und Organisationen vermehrt von Angriffen mit der Ransomware Lockbit 3.0 betroffen. Dabei handelt es sich um Ransomware-as-a-Service, was es einer Vielzahl von Kriminellen ermöglicht, unabhängig voneinander zu agieren und eine grössere Anzahl von Zielen zu attackieren. Bedrohungsakteure, die im Rahmen ihrer Angriffe Lockbit 3.0 einsetzen erlangen vor allem über den Missbrauch von RDP-Verbindungen (beispielsweise unter Einsatz anderweitig gestohlener Zugangsdaten) und die Ausnutzung von Schwachstellen in aus dem Internet erreichbaren Applikationen Zugang zu den Netzwerken ihrer Opfer. Wir empfehlen nachdrücklich, die eigenen Sicherheitsmaßnahmen zu überprüfen [..]

https://cert.at/de/aktuelles/2024/2/vermehrte-ransomware-angriffe-mit-lockbit-30

Cyber Security Glossary: The Ultimate List

If you have anything to do with cyber security, you know it employs its own unique and ever-evolving language. Jargon and acronyms are the enemies of clear writing-and are beloved by cyber security experts. So Morphisec has created a comprehensive cyber security glossary that explains commonly used cybersecurity terms, phrases, and technologies. We designed this list to demystify the terms that security professionals use when describing security tools, threats, processes, and techniques. We will periodically update it, and hope you find it useful.

https://blog.morphisec.com/cyber-security-glossary

Vulnerabilities

Kritische Sicherheitslücke in JetBrains TeamCity On-Premises

Das Softwareunternehmen JetBrains hat Informationen über eine kritische Sicherheitslücke in JetBrains TeamCity On-Premises veröffentlicht. Eine Ausnutzung der Schwachstelle, CVE-2024-23917, erlaubt unauthentifizierten Angreifer:innen mit HTTP(s)-Zugriff auf eine verwundbare Instanz von TeamCity das Umgehen von Authentifizierungskontrollen und somit die vollständige Übernahme der betroffenen Installation.

https://cert.at/de/aktuelles/2024/2/kritische-sicherheitslucke-in-jetbrains-teamcity-on-premises

Shim: Kritische Schwachstelle gefährdet Secure Boot unter Linux

In einer von den meisten gängigen Linux-Distributionen verwendeten EFI-Anwendung namens Shim wurde eine kritische Schwachstelle entdeckt, die es Angreifern ermöglicht, Schadcode auszuführen und die vollständige Kontrolle über ein Zielsystem zu übernehmen. Ausgenutzt werden könne der Fehler durch eine speziell gestaltete HTTP-Anfrage, die zu einem kontrollierten Out-of-bounds-Schreibvorgang führe, heißt es in der Beschreibung zu CVE-2023-40547.

https://www.golem.de/news/shim-kritische-schwachstelle-gefaehrdet-secure-boot-unter-linux-2402-181956.html

Zeroshell vulnerable to OS command injection

Zeroshell Linux distribution contains an OS command injection vulnerability. This vulnerability was reported on August 2020. The Zeroshell project reached EOL on April 2021. The communication with the developer was established on November 2023, and this JVN publication was agreed upon.

https://jvn.jp/en/jp/JVN44033918/

Cisco: (High) ClamAV OLE2 File Format Parsing Denial of Service Vulnerability

A vulnerability in the OLE2 file format parser of ClamAV could allow an unauthenticated, remote attacker to cause a denial of service (DoS) condition on an affected device. CVE-2024-20290

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-clamav-hDffu6t

Cisco: (Critical) Cisco Expressway Series Cross-Site Request Forgery Vulnerabilities

Multiple vulnerabilities in the Cisco Expressway Series could allow an unauthenticated, remote attacker to conduct cross-site request forgery (CSRF) attacks, which could allow the attacker to perform arbitrary actions on an affected device. CVE-2024-20255, CVE-2024-20254, CVE-2024-20252

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-expressway-csrf-KnnZDMj3

SolarWinds Platform 2024.1 Release Notes

SQL Injection Remote Code Execution Vulnerability was found using an update statement in the SolarWinds Platform. This vulnerability requires user authentication to be exploited and has not been reported outside of the initial report by the researcher. 8.0 High, CVE-2023-50395, CVE-2023-35188

https://documentation.solarwinds.com/en/success_center/orionplatform/content/release_notes/solarwinds_platform_2024-1_release_notes.htm

VMware Aria: Sicherheitslücken erlauben etwa Rechteausweitung

Insgesamt fünf Sicherheitslücken dichtet VMware in Aria Operations for Networks - ehemals mit dem Namen vRealize im Umlauf - mit aktualisierter Software ab. Der Schweregrad reicht nach Einschätzung der Entwickler des Unternehmens bis zur Risikostufe "hoch". Bösartige Akteure können durch die Schwachstellen unbefugt ihre Rechte an verwundbaren Systemen erhöhen.

https://www.heise.de/-9621415

Rechtausweitung durch Lücken in Veeam Recovery Orchestrator möglich

Veeam flickt die Recovery Orchestrator-Software. Sicherheitslücken darin erlauben bösartigen Akteuren die Ausweitung von Rechten.

https://www.heise.de/-9621609

Sicherheitsupdates: Dell schließt ältere Lücken in Backuplösungen wie Avamar

Schwachstellen in Komponenten von Drittanbietern gefährden die Sicherheit von Dell-Backup-Software. Sicherheitsupdates sind verfügbar.

https://www.heise.de/9621283

Security updates for Wednesday

Security updates have been issued by Red Hat (gimp) and Ubuntu (firefox, linux-oracle, linux-oracle-5.15, and python-django).

https://lwn.net/Articles/961173/

IBM Security Bulletins

https://www.ibm.com/support/pages/bulletin/

Google Chrome 121.0.6167.160/161 / 120.0.6099.283 mit Sicherheitsfixes

https://www.borncity.com/blog/2024/02/07/google-chrome-121-0-6167-160-161-120-0-6099-283-mit-sicherheitsfixes/

[R1] Nessus Version 10.7.0 Fixes Multiple Vulnerabilities

https://www.tenable.com/security/tns-2024-01