Aktuelle Sicherheitslücken

HaBa

Vereinsmitglied
Dr. Funkenstein

Registered: Mar 2001
Location: St. Speidl / Gle..
Posts: 19783

11.11.2024 - 14:19

Heute ist nicht sooo der Tag des sicheren Netzwerkzeugs

PaloAlto Networks PAN-OS: Vulnerability allows code execution
Extreme Networks ExtremeXOS: Vulnerability allows Denial of Service
D-LINK Router DSL6740C (EoL): Multiple Vulnerabilities
NetApp StorageGRID: Vulnerability allows Denial of Service

Viper780

Elder
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 50746

11.11.2024 - 22:38

The S in Firewall stands for Security

semteX

begehrt die rostschaufel

Registered: Oct 2002
Location: Pre
Posts: 14809

11.11.2024 - 22:54

ja das is halt die krux wenn bei dir der blitz einmal einschlägt. plötzlich stehen hunderte leute gewehr bei fuß und zerlegen dein mühsam zamgfrickelte lösung

Jedimaster

Here to stay

Registered: Dec 2005
Location: Linz
Posts: 3654

11.11.2024 - 23:30

Ach was, Burschn, eh alles Ok !

mr.nice.

differential image maker

Registered: Jun 2004
Location: Wien
Posts: 6577

11.11.2024 - 23:50

Zitat aus einem Post von wergor
Analyse und Kommentar: Sophos und der gebrochene Schwur

Sophos hat über Jahre Überwachungssoftware auf Systemen seiner Kunden installiert – natürlich im Namen der Sicherheit. Jürgen Schmidt sieht das kritisch.

Link: www.heise.de
sophos installiert rootkits auf von ihnen "gesicherte" systeme um kunden auszuspionieren - natürlich nur die "bösen", eh klar

Ich bin nicht überrascht, dass es sowas gibt bei Sophos, begeistert bin ich nicht darüber. Sie wohl auch nicht, da es aufgeflogen ist. Die Frage die ich mir allerdings stelle, welcher andere security Hersteller hat definitiv keine Möglichkeit eines "kernel implants"? Ich denke, dass diese Liste sehr kurz sein könnte.

Viper780

Elder
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 50746

12.11.2024 - 08:46

Die Anti-Virus Software rennt immer mit Systemrechten und arbeitet mit Kernel Hooks bzw injected code in alle möglichen Prozesse. Sonst können die ihre Arbeit nicht machen.

Problem ist dass sie Beide Seiten als Geschäftsmodell bedienen.
Kommentar aus dem heise Artikel

Zitat
Sie haben selbst Spionage-Software entwickelt und die gezielt auf Systemen von Kunden platziert, um diese auszuforschen. Das war eigentlich ein ungeschriebenes Gesetz der Branche: Wir entwickeln keine Malware und insbesondere setzen wir sie nicht ein, um unsere Kunden auszuspionieren.

Wenn dein Lieferant beides macht weißt du eben nicht ob du Kunde oder Produkt bist

Smut

takeover&ether

Registered: Feb 2003
Location: VIE
Posts: 16867

12.11.2024 - 08:54

Schwer sich ein klares Bild bei dem Artikel zu machen. Dann doch mehr ein Kommentar.

wergor

connoisseur de mimi

Registered: Jul 2005
Location: vulkanland
Posts: 4137

18.11.2024 - 13:54

Palo-Alto: Ungepatchter Zero-Day für Security-Appliances wird ausgenutzt

In der vergangenen Woche hatte Palo Alto Kunden über eine ungepatchte Lücke im Webinterface verschiedener Firewalls informiert. Diese wird nun ausgenutzt.

Link: www.heise.de

keine cve-id, das dürfte ihnen ja echt peinlich sein

Smut

takeover&ether

Registered: Feb 2003
Location: VIE
Posts: 16867

18.11.2024 - 20:16

CVE steht zumindest jetzt auch in der URL.
https://security.paloaltonetworks.com/CVE-2024-0012

Sammle CVE.
Im Artikel dann ua. Diese CVE-2024-9474

Bearbeitet von Smut am 18.11.2024, 20:18

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 12586

18.11.2024 - 20:30

thx muss ich morgen dann updaten

mr.nice.

differential image maker

Registered: Jun 2004
Location: Wien
Posts: 6577

11.12.2024 - 08:33

Die B2B- und supply chain software von der Firma Cleo hat ein paar Sicherheitslücken die aktuell massig exploitet werden.
Selbst fully patched und future releases sollen angeblich angreifbar sein, hoffentlich kommt es zu keinen größeren Disruptionen im Warenfluss.

https://support.cleo.com/hc/en-us/a...-CVE-2024-50623
https://support.cleo.com/hc/en-us/a...ory-CVE-Pending

sichNix

Here to stay

Registered: Nov 2014
Location: 1230
Posts: 1087

22.01.2025 - 20:18

Großflächige Brute-Force-Angriffe auf M365 – vorsichtshalber Log-ins checken

In den vergangenen Wochen gab es großflächige Angriffe auf Zugangsdaten zur Microsoft-Cloud. IT-Admins sollten prüfen, ob diese eventuell erfolgreich waren.

Link: www.heise.de

-Melden Sie sich beim Azure-Portal an.
-Navigieren Sie zu Microsoft Entra ID Users Sign-in Logs
-Wenden Sie den Filter Client-App an: "Andere Clients" und suchen Sie nach "fasthttp"

MarilusSoll

Bloody Newbie

Registered: Sep 2024
Location: /home
Posts: 41

05.02.2025 - 17:17

Netgear warns users to patch critical WiFi router vulnerabilities

Netgear has fixed two critical remote code execution and authentication bypass vulnerabilities affecting multiple WiFi routers and warned customers to update their devices to the latest firmware as soon as possible.

[...]

Although the American computer networking company did not disclose more details about the two bugs, it did reveal that unauthenticated threat actors can exploit them for remote code execution (tracked internally as PSV-2023-0039) and authentication bypass (PSV-2021-0117) in low-complexity attacks that don't require user interaction.

Link: www.bleepingcomputer.com

Jedimaster

Here to stay

Registered: Dec 2005
Location: Linz
Posts: 3654

13.02.2025 - 09:25

Zitat aus einem Post von sichNix
Großflächige Brute-Force-Angriffe auf M365 – vorsichtshalber Log-ins checken

In den vergangenen Wochen gab es großflächige Angriffe auf Zugangsdaten zur Microsoft-Cloud. IT-Admins sollten prüfen, ob diese eventuell erfolgreich waren.

Link: www.heise.de

-Melden Sie sich beim Azure-Portal an.
-Navigieren Sie zu Microsoft Entra ID Users Sign-in Logs
-Wenden Sie den Filter Client-App an: "Andere Clients" und suchen Sie nach "fasthttp"

Kleines Update aus eigener Erfahrung: Entweder läuft grad wieder ein großes Botnetz in Überstunden oder jemand sucht was ganz dringend oder ... ka ... jedenfalls hab ich diese Woche zigtausend Einlogversuche (bruteforce) auf meine Server.

Snip MANAGER 194.180.49.207 13/02/2025 08:57:02
ROOT 194.180.49.207 13/02/2025 08:56:58
IT 194.180.49.207 13/02/2025 08:56:53
BACKUP 194.180.49.207 13/02/2025 08:56:49
SQL 37.27.236.104 13/02/2025 08:56:48
ADMIN 194.180.49.207 13/02/2025 08:56:45
ADMINISTRATOR 194.180.49.207 13/02/2025 08:56:40
SERVER 194.180.49.207 13/02/2025 08:56:36
Administrator 43.224.226.26 13/02/2025 08:56:34
SUPPORT 194.180.49.207 13/02/2025 08:56:31
SQL 194.180.49.207 13/02/2025 08:56:27
MANAGER 194.180.49.207 13/02/2025 08:56:22
ROOT 194.180.49.207 13/02/2025 08:56:18
IT 194.180.49.207 13/02/2025 08:56:14
BACKUP 194.180.49.207 13/02/2025 08:56:09
ADMIN 194.180.49.207 13/02/2025 08:56:05
ADMINISTRATOR 194.180.49.207 13/02/2025 08:56:01

Versuche kommen via RDP, VPN, SSH - sämtliche Remotezugriffsmöglichkeiten halt die von außen erreichbar sind.

Einfach nur als Hinweis - unbedingt Administrator-Benutzer deaktivieren, keine "sprechenden" Usernamen verwenden wie "SQL","Admin","Backup" usw. weil wenns den Usernamen gibt, ist es eine Zeitfrage wie lange Bruteforce braucht. (Ja bei guten Kennwörtern üblicherweise Jahre, aber man weiß nicht welche "Wörterbücher" oder Passwortsammlungen für den Bruteforce verwendet werden, was das deutlich beschleunigen kann)

Hat jemand von euch selbst Server laufen und sich da die Zugriffslogs die letzten Tage angesehn ?

sichNix

Here to stay

Registered: Nov 2014
Location: 1230
Posts: 1087

13.02.2025 - 09:34

Schaut nach einem ganz normalen bruteforce Versuch aus, haben wir nahezu rund um die Uhr und nicht nur auf "well known ports".

HaBa Vereinsmitglied Dr. Funkenstein Registered: Mar 2001 Location: St. Speidl / Gle.. Posts: 19783	11.11.2024 - 14:19 Heute ist nicht sooo der Tag des sicheren Netzwerkzeugs PaloAlto Networks PAN-OS: Vulnerability allows code execution Extreme Networks ExtremeXOS: Vulnerability allows Denial of Service D-LINK Router DSL6740C (EoL): Multiple Vulnerabilities NetApp StorageGRID: Vulnerability allows Denial of Service
Viper780 Elder Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 50746	11.11.2024 - 22:38 The S in Firewall stands for Security
semteX begehrt die rostschaufel Registered: Oct 2002 Location: Pre Posts: 14809	11.11.2024 - 22:54 ja das is halt die krux wenn bei dir der blitz einmal einschlägt. plötzlich stehen hunderte leute gewehr bei fuß und zerlegen dein mühsam zamgfrickelte lösung
Jedimaster Here to stay Registered: Dec 2005 Location: Linz Posts: 3654	11.11.2024 - 23:30 Ach was, Burschn, eh alles Ok !
mr.nice. differential image maker Registered: Jun 2004 Location: Wien Posts: 6577	11.11.2024 - 23:50 Zitat aus einem Post von wergor Analyse und Kommentar: Sophos und der gebrochene Schwur Sophos hat über Jahre Überwachungssoftware auf Systemen seiner Kunden installiert – natürlich im Namen der Sicherheit. Jürgen Schmidt sieht das kritisch. Link: www.heise.de sophos installiert rootkits auf von ihnen "gesicherte" systeme um kunden auszuspionieren - natürlich nur die "bösen", eh klar Ich bin nicht überrascht, dass es sowas gibt bei Sophos, begeistert bin ich nicht darüber. Sie wohl auch nicht, da es aufgeflogen ist. Die Frage die ich mir allerdings stelle, welcher andere security Hersteller hat definitiv keine Möglichkeit eines "kernel implants"? Ich denke, dass diese Liste sehr kurz sein könnte.
Viper780 Elder Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 50746	12.11.2024 - 08:46 Die Anti-Virus Software rennt immer mit Systemrechten und arbeitet mit Kernel Hooks bzw injected code in alle möglichen Prozesse. Sonst können die ihre Arbeit nicht machen. Problem ist dass sie Beide Seiten als Geschäftsmodell bedienen. Kommentar aus dem heise Artikel Zitat Sie haben selbst Spionage-Software entwickelt und die gezielt auf Systemen von Kunden platziert, um diese auszuforschen. Das war eigentlich ein ungeschriebenes Gesetz der Branche: Wir entwickeln keine Malware und insbesondere setzen wir sie nicht ein, um unsere Kunden auszuspionieren. Wenn dein Lieferant beides macht weißt du eben nicht ob du Kunde oder Produkt bist
Smut takeover&ether Registered: Feb 2003 Location: VIE Posts: 16867	12.11.2024 - 08:54 Schwer sich ein klares Bild bei dem Artikel zu machen. Dann doch mehr ein Kommentar.
wergor connoisseur de mimi Registered: Jul 2005 Location: vulkanland Posts: 4137	18.11.2024 - 13:54 Palo-Alto: Ungepatchter Zero-Day für Security-Appliances wird ausgenutzt In der vergangenen Woche hatte Palo Alto Kunden über eine ungepatchte Lücke im Webinterface verschiedener Firewalls informiert. Diese wird nun ausgenutzt. Link: www.heise.de keine cve-id, das dürfte ihnen ja echt peinlich sein
Smut takeover&ether Registered: Feb 2003 Location: VIE Posts: 16867	18.11.2024 - 20:16 CVE steht zumindest jetzt auch in der URL. https://security.paloaltonetworks.com/CVE-2024-0012 Sammle CVE. Im Artikel dann ua. Diese CVE-2024-9474 Bearbeitet von Smut am 18.11.2024, 20:18
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 12586	18.11.2024 - 20:30 thx muss ich morgen dann updaten
mr.nice. differential image maker Registered: Jun 2004 Location: Wien Posts: 6577	11.12.2024 - 08:33 Die B2B- und supply chain software von der Firma Cleo hat ein paar Sicherheitslücken die aktuell massig exploitet werden. Selbst fully patched und future releases sollen angeblich angreifbar sein, hoffentlich kommt es zu keinen größeren Disruptionen im Warenfluss. https://support.cleo.com/hc/en-us/a...-CVE-2024-50623 https://support.cleo.com/hc/en-us/a...ory-CVE-Pending
sichNix Here to stay Registered: Nov 2014 Location: 1230 Posts: 1087	22.01.2025 - 20:18 Großflächige Brute-Force-Angriffe auf M365 – vorsichtshalber Log-ins checken In den vergangenen Wochen gab es großflächige Angriffe auf Zugangsdaten zur Microsoft-Cloud. IT-Admins sollten prüfen, ob diese eventuell erfolgreich waren. Link: www.heise.de -Melden Sie sich beim Azure-Portal an. -Navigieren Sie zu Microsoft Entra ID Users Sign-in Logs -Wenden Sie den Filter Client-App an: "Andere Clients" und suchen Sie nach "fasthttp"
MarilusSoll Bloody Newbie Registered: Sep 2024 Location: /home Posts: 41	05.02.2025 - 17:17 Netgear warns users to patch critical WiFi router vulnerabilities Netgear has fixed two critical remote code execution and authentication bypass vulnerabilities affecting multiple WiFi routers and warned customers to update their devices to the latest firmware as soon as possible. [...] Although the American computer networking company did not disclose more details about the two bugs, it did reveal that unauthenticated threat actors can exploit them for remote code execution (tracked internally as PSV-2023-0039) and authentication bypass (PSV-2021-0117) in low-complexity attacks that don't require user interaction. Link: www.bleepingcomputer.com
Jedimaster Here to stay Registered: Dec 2005 Location: Linz Posts: 3654	13.02.2025 - 09:25 Zitat aus einem Post von sichNix Großflächige Brute-Force-Angriffe auf M365 – vorsichtshalber Log-ins checken In den vergangenen Wochen gab es großflächige Angriffe auf Zugangsdaten zur Microsoft-Cloud. IT-Admins sollten prüfen, ob diese eventuell erfolgreich waren. Link: www.heise.de -Melden Sie sich beim Azure-Portal an. -Navigieren Sie zu Microsoft Entra ID Users Sign-in Logs -Wenden Sie den Filter Client-App an: "Andere Clients" und suchen Sie nach "fasthttp" Kleines Update aus eigener Erfahrung: Entweder läuft grad wieder ein großes Botnetz in Überstunden oder jemand sucht was ganz dringend oder ... ka ... jedenfalls hab ich diese Woche zigtausend Einlogversuche (bruteforce) auf meine Server. Snip MANAGER 194.180.49.207 13/02/2025 08:57:02 ROOT 194.180.49.207 13/02/2025 08:56:58 IT 194.180.49.207 13/02/2025 08:56:53 BACKUP 194.180.49.207 13/02/2025 08:56:49 SQL 37.27.236.104 13/02/2025 08:56:48 ADMIN 194.180.49.207 13/02/2025 08:56:45 ADMINISTRATOR 194.180.49.207 13/02/2025 08:56:40 SERVER 194.180.49.207 13/02/2025 08:56:36 Administrator 43.224.226.26 13/02/2025 08:56:34 SUPPORT 194.180.49.207 13/02/2025 08:56:31 SQL 194.180.49.207 13/02/2025 08:56:27 MANAGER 194.180.49.207 13/02/2025 08:56:22 ROOT 194.180.49.207 13/02/2025 08:56:18 IT 194.180.49.207 13/02/2025 08:56:14 BACKUP 194.180.49.207 13/02/2025 08:56:09 ADMIN 194.180.49.207 13/02/2025 08:56:05 ADMINISTRATOR 194.180.49.207 13/02/2025 08:56:01 Versuche kommen via RDP, VPN, SSH - sämtliche Remotezugriffsmöglichkeiten halt die von außen erreichbar sind. Einfach nur als Hinweis - unbedingt Administrator-Benutzer deaktivieren, keine "sprechenden" Usernamen verwenden wie "SQL","Admin","Backup" usw. weil wenns den Usernamen gibt, ist es eine Zeitfrage wie lange Bruteforce braucht. (Ja bei guten Kennwörtern üblicherweise Jahre, aber man weiß nicht welche "Wörterbücher" oder Passwortsammlungen für den Bruteforce verwendet werden, was das deutlich beschleunigen kann) Hat jemand von euch selbst Server laufen und sich da die Zugriffslogs die letzten Tage angesehn ?
sichNix Here to stay Registered: Nov 2014 Location: 1230 Posts: 1087	13.02.2025 - 09:34 Schaut nach einem ganz normalen bruteforce Versuch aus, haben wir nahezu rund um die Uhr und nicht nur auf "well known ports".

Aktuelle Sicherheitslücken

Forum Index > Software > Applications, Apps & Drivers

HaBa

Viper780

semteX

Jedimaster

mr.nice.

Viper780

Smut

wergor

Smut

davebastard

mr.nice.

sichNix

MarilusSoll

Jedimaster

sichNix