Security Incidents Logbook

weitere Ressourcen und Hilfsangebote (english version)

Freiwilligen-Initiativen und Hilfsangebote:


2020-06-04 [+]


2020-05-26 [+]

  • some new critical CVEs
  • eine Lücke in MariaDB ermöglicht wahrscheinlich RCE (CVE-2020-13249, siehe auch unser Bulletin); wir rechnen innerhalb der nächsten Woche mit einem PoC
  • RangeAMP: ein neues DDoS-Angriffsvektor für HTTP wurde veröffentlicht der CDNs für Refleection und Amplififcation mißbraucht


2020-05-20 [+]

  • einige neue kritische CVEs
  • ein neuer Angriffsvektor auf DNS-Server wurde unter dem Namen NXNSAttack veröffentlicht; tl;dr: ein einfacher Weg, um DNS-Resolver anzugreifen, indem man sie mit vielen NXDOMAIN-Anfragen nach Nameservern überhäuft; dies verstärkt den Angriff und setzt die DSN-Server massiv unter Druck
    updates für existierende weit verbreitete DNS-Server (ISC Bind, Unbound, PowerDNS) wurden bereits veröffentlicht
  • RubyOnRails' "actionpack_page-caching", im Rails-Core bis Version 4.0 inkludiert, hat eine kritische Sicherheitslücke, die einen Angreifer Dateien schreiben lassen, was ggfs zu RCE führt
    CVSS 9.8, CVE-2020-8159
  • wir beobachten kritische Lücken in CentOS WebPanel (CVSS 9.8), die von der ZDI für nächste Woche avisiert wurden for 2020-05-27


2020-05-14 [+]

ms-github


2020-05-07 [+]

ms-github


2020-05-07 [+]

ms-github


2020-05-06 [+]


2020-05-05 [+]

  • 38 neue CVEs, none critical
  • wir haben ein Bulletin für die SaltStack-Lücke (CVE-2020-11651) veröffentlicht, die DigiCert, Ghost-Platform und LineageOS kalt erwischt hat; der Hack war jeweils innert 24h passiert, und das waren garantiert nicht die einzigen Ziele


2020-05-04 [+]


2020-04-28 [+]

  • 51 neue CVEs, none critical
  • Fortinet hat PSIRT-Notes und CVE-Details zu der Lücke in FortiMail/FortiVoice veröffentlicht, über die wir letzte Woche berichteten; immernoch kein CVSS-Score, aber betrachtet man das überhastete Release, dann ist mit 9.0 und drüber zu rechen


2020-04-27 [+]


2020-04-24 [+]

  • 92 neue CVEs, 1 critical
  • FortiMail/FortiVoice hat anscheinend ein Sicherheitsproblem, siehe dazu auch unser Bulletin SB 20.13

reddit


2020-04-23 [+]

  • 120 neue CVEs, 1 critical
  • SysAid on_premise hat eine Bug-Chain, die am Ende RCE erlaubt, ein POC ist verfügbar
  • die SMBv3 - Lücke (SMBGhost) mit möglicher RCE wird imernoch analysiert


2020-04-22 [+]

drm 0day


frotimail


zecops


drm poc2


2020-04-21 [+]


2020-04-20 [+]


2020-04-18 [+]

  • ungezählte neu CVEs in den letzten 4 Tage, da die Patchdays von Microsoft, Oracle und Cisco in diese Woche fielen, diverse davon kritisch
  • re: VMware vCenter: POC-Code ist aufgetaucht, der das Anlegen/Zugriff auf Amdin-User in VMWare vCenter erlaubt

oracle cumulativ


  • re: Oracle -> Cisco sagt: hold my beer und veröffentlicht Advisories zu einigen kritischen Lücken (CVSS: 9.8) im UCS Director (CVE-2020-3240) und Cisco IP - Phones (CVE-2016-1421) (ja, der Bug ist seit 2016 bekannt)
  • ein POC liegt bereits für die UCS-Lücke vor, deswegen DONT PANIC

ucs

ucs


2020-04-14 [+]

  • 40 neue CVEs seit 2020-04-11, keine kritisches
  • für jene, die ggfs längere Osterferien hatten: es gab eine schwerwiegende Lücke im VMWare vCenter, die am Karfreitag veröffentlicht wurde. Online sind ca 85.000 vCenter-Installationen zu finden


2020-04-11 [+]


2020-04-10 [+]

  • 109 neue CVEs, some critical
  • Juniper veröffentlicht eine große Anzahl Advisories für verschiedene Produkte, die jeder, der Juniper/JunOS - basierte Lösungen einsetzt, sich ansehen sollte
  • das an anderer Stelle erwähnte Symantec-Problem ist nicht ganz so tragisch, da es ein EOL-Produkt betrifft:
    Symantec Secure Web Gateay hat anscheinend einen PreAuth und einen PostAuth - 0day, der in beiden Fällen zu RCE führt


2020-04-08 [+]


2020-04-06 [+]

  • 12 neue CVEs, einige kritische
  • CVE-2020-11527 + CVE-2020-11518 Zoho ManageEngine RCE and arbitrary file read
  • CVE-2020-10199 Nexus Repository Manager RCE
  • wir werden im Laufe des Tages Alerts dazu veröffentlichen
  • (Old News, Replay): ein russischer Provider hat ein paar ASNs von Google, Cloudflare und AWS gehighjacked: Rostelecom involved in BGP hijacking incident this week impacting more than 200 CDNs and cloud providers.


2020-04-04 [+]

haproxy


2020-04-03 [+]

  • 124 neue CVEs, 1 Critical HAPROXY, (CVE-2020-11100)
    Link zur Ankündigung
  • wir untersuchen gerade die Lage (460.000 Installations finden sich online) und werden später eine Analyse bereitstellen

haproxy


2020-04-02 [+]

  • 31 neue CVEs, none critical
  • vermehrt Angriffe auf RDP und Firmenzugänge
    "Sadly we have seen some orgs drop "domain users" into their VPN groups to scale up WFH. We're discovering more valid creds during brute forcing with generic usernames such as meeting-room, conference, vendor, and other dormant but not disabled accounts."


2020-04-01 [+]

draytek2 cve-2020-8515


2020-03-31 [+]

draytek cve-2020-8515


2020-03-30 [+]

  • 43 neue CVEs, none critical (über's Wochenende)


2020-03-26 [+]

  • 104 neue CVEs, none critical
  • Google (Cloud, GPC, Apps) hatte ein paar Probleme um 6Uhr UTC, die aber schnell gefixt wurden, Story via ycombinator
  • massive Zunahme von Scans nach angreifbaren Appliances (VPN-Gateways) und RDP-Brute-Force von verschiedenen Stellen beobachtet
    PulseSecure, Netscaler, RDP


2020-03-25 [+]

  • 134 neue CVEs, none critical
  • kleiner Schluckauf im DNSSEC bei älteren BIND9-Installationen ( =< 9.11.2 ) mit einer veralteten Validation-Methode aktiviert (DLV, gefixed nach 6 Stunden)
    Link to short analysis


2020-03-24 [+]

  • 120 neue CVEs, none critical
  • ein Problem mit memcached DOS, RCE möglich, aber nur eine Handvoll betroffen (v1.6.[0,1])
    Twitter-Link


2020-03-23 [+]


2020-03-22 [+]


2020-03-21 [+]

  • 3 neue CVEs, keine kritischen
  • COVID - bezogenes Malware/Scam/Phishing nimmt weiter stark zu (via RiskIQ)
  • wir arbeiten an weiteren internationalen Kooperationen zum Schutz vor und Hilfe bei Angriffen

2020-03-20 [+]


2020-03-19 [+]


2020-03-18 [+]

Kurzeinschätzung Ausfall Pizza.de

  • DDoS-Angriff oder Überlastung, beides möglich
  • pizza.de/lieferando sollten mit solch einem Ansturm eig. umgehen können, Stichwort Fußball-WM
  • Lieferdienste sind in der Anfangsphase durch DDoS-Wars gegangen und sind gut gegen Angriffe aufgestellt
  • beide Dienste sind via Fastly/Cloudflare geschützt

  • wenn DDoS, dann hat der Angreifer auf jeden Fall seine Hausaufgaben gemacht: das FrontEnd lief noch normal weiter, Bestellungen konnten plaziert und bezahlt werden, nur der Datenfluß Richtung Restaurants fand nicht mehr statt, dh der Angreifer hat es geschafft, das Backend zu finden und anzugreifen

--------[ ASN_INFO        -> lieferando.de  ]---------
AS      | IP               | BGP Prefix           | AS Name 
54113   | 151.101.194.135  | 151.101.192.0/22     | FASTLY, US 



--------[ ASN_INFO        -> pizza.de  ]---------
AS      | IP               | BGP Prefix           | AS Name 
13335   | 104.25.129.24    | 104.25.128.0/20      | CLOUDFLARENET, US 

pizza.de 1


pizza.de 2






Fragen? Kontakt: info@zero.bs