Kritische Sicherheitslücken in Cisco Webex
Das IBM Research-Team entdeckte Schwachstellen in der Cisco Webex-Anwendung, die ausgenutzt werden konnten, um einem Angreifer die Teilnahme an einer Besprechung zu ermöglichen und Gespräche als "Geist" zu belauschen, ohne entdeckt zu werden. Sicherheitslücken können ausgenutzt werden, wenn ein Angreifer die URL des Webex-Meetings oder den persönlichen Raum der Benutzer kennt. Cisco hat bereits Fixes veröffentlicht, die in der neuesten Version des Produkts verfügbar sind.
Kritische Schwachstellen in einer Reihe von ICS-Systemen
Die Technologieunternehmen Real Time Automation, Paradox, Sensormatic Electronics und Schneider Electric haben vor kritischen Schwachstellen in ihren Produkten gewarnt . Der höchste CVSS-Wert von 9,8 von 10 wurde für eine Sicherheitsanfälligkeit durch Pufferüberlauf (CVE-2020-251590) in der Echtzeitautomatisierungssoftware ermittelt.
Neuer Angriff der Lazarus-Fraktion
ESET-Forscher haben mit der legitimen WIZVERA VeraPort-Software einen neuen Lazarus-Supply-Chain-Angriff entdeckt. WIZVERA VeraPort wurde entwickelt, um Installationsprogramme im Zusammenhang mit Internetbanking in Südkorea zu integrieren und zu verwalten. Die Angreifer haben mehrere Websites kompromittiert, die VeraPort unterstützen, und die Installationspakete manipuliert. Die Malware wurde mithilfe des WIZVERA VeraPort-Softwarefehlers bei der Überprüfung der Signatur auf die Computer der Opfer heruntergeladen. Infolge des Angriffs hat VeraPort Malware unbemerkt von Benutzern heruntergeladen.