End-of-Day report
Timeframe: Donnerstag 18-07-2024 18:00 - Freitag 19-07-2024 18:00
Handler: Thomas Pribitzer
Co-Handler: Michael Schlagenhaufer
News
Wieso weltweit zahlreiche IT-Systeme durch zwei Fehler am 19. Juli 2024 ausfielen
Am 19. Juli 2024 kam es weltweit zu zahlreichen Störungen an IT-Systemen. Der Betrieb an Flughäfen stand, Banken konnten nicht mehr arbeiten, Züge fielen aus, und Firmen schickten ihre Mitarbeiter nach Hause (z.B. Tegut), weil die IT-Systeme nicht mehr gingen. Es war aber kein Cyberangriff, sondern das gleichzeitige Auftreten zweier Fehler - unabhängig voneinander, die zum Ausfall von Funktionen führte.
https://www.borncity.com/blog/2024/07/19/wieso-weltweit-zahlreiche-it-systeme-durch-zwei-fehler-am-19-juli-2024-ausfielen/
Recent Splunk Enterprise Vulnerability Easy to Exploit: Security Firm
SonicWall warns that a simple GET request is enough to exploit a recent Splunk Enterprise vulnerability.
https://www.securityweek.com/recent-splunk-enterprise-vulnerability-easy-to-exploit-security-firm/
Fake-SMS: -Ihre Registrierung für die Unternehmensservice Portal ID läuft ab-
Kriminelle senden aktuell SMS an Unternehmer:innen und geben sich dabei als Unternehmensservice Portal (USP) aus. Es wird behauptet, dass die ID für das Portal abläuft - und zwar schon morgen. Tatsächlich versuchen Kriminelle hier, an Ihre Daten zu kommen.
https://www.watchlist-internet.at/news/fake-sms-ihre-registrierung-fuer-die-unternehmensservice-portal-id-laeuft-ab/
HotPage: Story of a signed, vulnerable, ad-injecting driver
The analysis of this rather generic-looking piece of malware has proven, once again, that adware developers are still willing to go the extra mile to achieve their goals. Not only that, these have developed a kernel component with a large set of techniques to manipulate processes, but they also went through the requirements imposed by Microsoft to obtain a code-signing certificate for their driver component.
https://www.welivesecurity.com/en/eset-research/hotpage-story-signed-vulnerable-ad-injecting-driver/
Play Ransomware Group-s New Linux Variant Targets ESXi, Shows Ties With Prolific Puma
Trend Micro threat hunters discovered that the Play ransomware group has been deploying a new Linux variant that targets ESXi environments.
https://www.trendmicro.com/en_us/research/24/g/new-play-ransomware-linux-variant-targets-esxi-shows-ties-with-p.html
APT41 Has Arisen From the DUST
In collaboration with Google-s Threat Analysis Group (TAG), Mandiant has observed a sustained campaign by the advanced persistent threat group APT41 targeting and successfully compromising multiple organizations operating within the global shipping and logistics, media and entertainment, technology, and automotive sectors. The majority of organizations were operating in Italy, Spain, Taiwan, Thailand, Turkey, and the United Kingdom.
https://cloud.google.com/blog/topics/threat-intelligence/apt41-arisen-from-dust/
Vulnerabilities
Security updates for Friday
Security updates have been issued by AlmaLinux (firefox, java-1.8.0-openjdk, java-17-openjdk, java-21-openjdk, libndp, openssh, qt5-qtbase, ruby, skopeo, and thunderbird), Debian (thunderbird), Fedora (dotnet6.0, httpd, python-django, python-django4.2, qt6-qtbase, rapidjson, and ruby), Red Hat (389-ds-base, firefox, java-1.8.0-openjdk, java-11-openjdk, libndp, qt5-qtbase, and thunderbird), Slackware (httpd), SUSE (apache2, chromium, and kernel), and Ubuntu (apache2, linux-aws, linux-azure-fde, linux-azure-fde-5.15, linux-hwe-5.15, linux-aws-6.5, linux-lowlatency-hwe-6.5, linux-oracle-6.5, linux-starfive-6.5, and linux-raspi, linux-raspi-5.4).
https://lwn.net/Articles/982559/
SonicWall SMA100 NetExtender Windows Client Remote Code Execution Vulnerability
Vulnerability in SonicWall SMA100 NetExtender Windows (32 and 64-bit) client 10.2.339 and earlier versions allows an attacker to arbitrary code execution when processing an EPC Client update. SonicWall strongly advises SSL VPN NetExtender client users to upgrade to the latest release version. IMPORTANT: This vulnerability does not affect SonicWall firewall (SonicOS) products. CVE: CVE-2024-29014
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2024-0011
Atlassian Bamboo: Angreifer können Entwicklungsumgebungen kompromittieren
Es sind Attacken auf Atlassian Bamboo Data Center und Server vorstellbar. Dagegen abgesicherte Version sind erschienen.
https://heise.de/-9806185
Schlupfloch für Schadcode in Ivanti Endpoint Manager geschlossen
Stimmen die Voraussetzungen, sind Attacken auf Ivanti Endpoint Manager möglich. Ein Sicherheitspatch schafft Abhilfe. [..] In einem Beitrag schreiben die Entwickler, dass von der Lücke (CVE-2024-37381 "hoch") EPM 2024 flat betroffen ist. Unklar ist, ob davon auch andere Versionen bedroht sind. Im späteren Verlauf schreiben sie, dass das Sicherheitsproblem in zukünftigen EPM-Ausgaben gelöst wird.
https://heise.de/-9806384
Bosch: "regreSSHion" OpenSSH vulnerability in PRC7000
https://psirt.bosch.com/security-advisories/bosch-sa-258444.html