Wissen

MS-SQL: Betriebssystem Übernahme durch xp_cmdshell und CLR-Assembly

Microsoft SQL Server (MS-SQL) sind ein bevorzugtes Ziel für Brute-Force-Angriffe. Ein Blogbeitrag von secoia.io zeigt auf warum das so ist. Die MS-SQL Features xp_cmdshell und CLR-Assembly erlauben es Angreifern, Rechte zu eskalieren und Befehle auf Betriebssystemebene auszuführen - ideale Vorraussetzungen für Ransomware und Malware Deployments.

Read More

Dell: Erneutes Datenleck innerhalb von 2 Wochen betrifft Supporttickets

Das Online Magazin TechCrunch berichtet von einem erneuten Datenleck bei Dell, nachdem erst vor 2 Wochen bekannt wurde, dass Dell Datensätze von 49 Mio Kunden gestohlen worden sind. Der selbe Angreifer behauptet nun, ca. 30.000 Datensätze aus dem Supportticket Portal entwendet zu haben. Die diesmal kompromittierten Daten umfassen Namen, Telefonnummern und E-Mail-Adressen von Dell-Kunden. Diese persönlichen Daten befinden sich in Kundendienstberichten, die auch Informationen zu Ersatzteilen, Kommentaren von Vor-Ort-Technikern, Auftragsnummern und in einigen Fällen Diagnoselogs von den Computern der Kunden enthalten. Laut Aussage von TechCrunch sind die Daten echt. Noch ist uns kein offizielles Statement von Dell zum neuen Datenleck bekannt.

Read More

Trojaner nutzt GoTo Meeting als Rust Shellcode Loader

Laut einer Malware Studie von GData wird die Anwendung GoTo Meeting ausgenutzt, um Malware auf Windows zu installieren. Threat Actors nutzten dabei GoTo Meeting zur Verbreitung des Remcos RAT (Remote Access Trojan). Angreifer verwenden dabei Dateien, wie Software-Setup-Dateien und Steuerformulare, oft mit Dateinamen in russischer und englischer Sprache, um Opfer anzulocken. Der Bericht zeigt folgende Infektionskette auf:

Read More

SIMATIC RTLS Locating Manager: Hardcoded Key Sicherheitslücke

Siemens hat kritische Sicherheitslücken im SIMATIC RTLS Locating Manager identifiziert und ein Update veröffentlicht. Das Unternehmen empfiehlt allen Nutzern dringend, auf die neueste Version 3.0.1.1 zu aktualisieren, denn unter den Lücken findet sich auch ein Hard-Coded Crypto-Key mit CVSS Score 10/10. Damit könnten Angreifer die Kommunikation zwischen Client und Server abhören.

Read More

DNS-Tunneling: verdeckte Kommunikation und Tracking möglich

Eine Fallstudie von Unit42 zeigt zwei Anwendungen von DNS-Tunneling die über die bisher bekannten Verwendungen von DNS-Tunneling für Command-and-Control (C2) und virtuelle private Netzwerke (VPN) hinausgehen.

Read More

Sicherheitslücke in SAP NetWeaver Application Server ABAP und ABAP Platform

Am 23. April 2024 wurde eine kritische Sicherheitslücke in SAP NetWeaver Application Server ABAP und ABAP Platform (Version unbekannt) entdeckt und als CVE-2024-33006 identifiziert. Diese Schwachstelle ermöglicht eine unbeschränkte Dateiupload-Attacke, klassifiziert unter CWE-434.

Read More

Bösartige Go-Binärdatei mittels Steganografie in PyPI verteilt

Am 10. Mai 2024 alarmierte die Risikodetektionsplattform von Phylum über eine verdächtige Veröffentlichung auf PyPI. Das Paket namens requests-darwin-lite erschien als ein Fork des beliebten requests-Pakets, jedoch mit einer kritischen Abweichung: einer bösartigen Go-Binärdatei, die in eine große Version des tatsächlichen requests-Seitenleisten-Logos (PNG) eingebettet war.

Read More

VMware schließt mehrere Sicherheitslücken in Workstation und Fusion

VMware hat Updates für VMware Workstation und Fusion veröffentlicht, die mehrere kritische Sicherheitslücken beheben. Diese Sicherheitsanfälligkeiten wurden als CVE-2024-22267, CVE-2024-22268, CVE-2024-22269 und CVE-2024-22270 identifiziert und am 14. Mai 2024 bekannt gegeben.

Read More

Command injection im Network Monitoring Tool Cacti möglich

Das Github Security Advisory GHSA-cr28-x256-xf5m beschreibt eine kritische Command Injection Schwachstelle im beliebten Open Source Network Monitoring Tool Cacti. Diese Schwachstelle CVE-2024-29895 betrifft die Version 1.3.x DEV, während die gepatchte Version ebenfalls 1.3.x DEV ist.

Read More

Sicherheitslücke in Linksys-Routern ermöglicht Command Injection

Am 6. Mai 2024 wurden zwei Sicherheitslücken in Linksys-Routern entdeckt: CVE-2024-33788 und CVE-2024-33789. Diese Schwachstellen betreffen die Möglichkeit zur Command Injection in Linksys-Routern. Die Schwere dieser Sicherheitslücken hat laut BSI einen CVSS Base Score von 9.8/10, aber ein Proof-of-Concept wurde bereits veröffentlicht.

Read More