dice.camp is one of the many independent Mastodon servers you can use to participate in the fediverse.
A Mastodon server for RPG folks to hang out and talk. Not owned by a billionaire.

Administered by:

Server stats:

1.5K
active users

#PatchNOW

0 posts0 participants0 posts today

🚨 Major zero-day alert: A vulnerability is being actively exploited in AMI’s MegaRAC BMC software, potentially impacting thousands of servers across AMD, ARM, Supermicro, and more.
🧠 Redfish interface flaw enables full root access
🔓 Attackers can bypass authentication entirely
🖥️ Supply chain vendors affected
🌐 BMCs exposed to the internet = catastrophic risk
📆 CISA deadline for mitigation: July 16

This isn’t theoretical. Exploitation is happening now. If you haven’t patched and locked down your out-of-band server management, you’re leaving the door wide open.

💬 Is your team treating BMCs as a core part of your threat surface?

#CyberSecurity #ZeroDay #VulnerabilityManagement #CISO #PatchNow
arstechnica.com/security/2025/

Ars Technica · Actively exploited vulnerability gives extraordinary control over server fleetsBy Dan Goodin

Hundreds of Brother printer models are affected by a critical, unpatchable vulnerability (CVE-2024-51978) that allows attackers to generate the default admin password using the device’s serial number—information that’s easily discoverable via other flaws.

748 total models across Brother, Fujifilm, Ricoh, Toshiba, and Konica Minolta are impacted, with millions of devices at risk globally.

Attackers can:
• Gain unauthenticated admin access
• Pivot to full remote code execution
• Exfiltrate credentials for LDAP, FTP, and more
• Move laterally through your network

Brother says the vulnerability cannot be fixed in firmware and requires a change in manufacturing. For now, mitigation = change the default admin password immediately.

Our pentest team regularly highlights printer security as a critical path to system compromise—and today’s news is another example that underscores this risk. This is your reminder: Printers are not “set-and-forget” devices. Treat them like any other endpoint—monitor, patch, and lock them down.

Need help testing your network for exploitable print devices? Contact us and our pentest team can help!

Read the Dark Reading article for more details on the Brother Printers vulnerability: darkreading.com/endpoint-secur

🚨 The Apache Software Foundation has uncovered critical vulnerabilities in MINA, HugeGraph-Server, and Traffic Control, with one flaw scoring a maximum 10/10! 🛡️ Admins are urged to patch ASAP to avoid potential exploits, especially during the busy holiday season. 🎄🔒 Read more here: techradar.com/pro/security/apa #CyberSecurity #Apache #PatchNow #InfoSec #newz

TechRadar pro · Apache Foundation urges users to patch now and fix major security worriesBy Sead Fadilpašić

🚨 Critical OpenVPN Vulnerabilities Expose Millions of Devices to RCE Attack 🚨

Microsoft researchers have identified multiple vulnerabilities in OpenVPN, a widely used open-source VPN software. These flaws can be exploited for remote code execution (RCE) and local privilege escalation (LPE), potentially allowing attackers to take full control of affected devices.

🔑 Key Vulnerabilities:

• CVE-2024-27459: Stack overflow leading to DoS and LPE on Windows.
• CVE-2024-24974: Unauthorized access to the OpenVPN service named pipe on Windows.
• CVE-2024-27903: Plugin mechanism flaw causing RCE on Windows and LPE on multiple platforms.
• CVE-2024-1305: Memory overflow in the Windows TAP driver leading to DoS.

🛡 Protect Your Systems:
Update to OpenVPN versions 2.6.10 or 2.5.10 immediately to mitigate these risks. Regularly monitor your network for unusual activities and ensure all security measures are up to date.

Microsoft Patch Tuesday July 2024

(Pic 1) List of KBs released corresponding to each OS

(Pic 2) List of Zero-days released(2 of them exploited in-the-wild already)

**Patch CVE-2024-38080 and CVE-2024-38112 NOW !!

CVE-2024-38080(Zero-day Exploited-in-the-wild): msrc.microsoft.com/update-guid

CVE-2024-38112(Zero-day Exploited-in-the-wild): msrc.microsoft.com/update-guid

CVE-2024-35264: msrc.microsoft.com/update-guid

CVE-2024-37985: msrc.microsoft.com/update-guid

List of Vulnerabilities addressed in Patch Tuesday July 2024:

msrc.microsoft.com/update-guid

#PatchTuesday
#Microsoft
#PatchNOW
#cybersecurity
#CyberSec
#hacked
#Cyberattack
#infosec
#informationsecurity
#CyberSecurityAwareness
#DataBreach
#zeroday
#tech
#Privacy

❗#CERTWarnung❗
Microsoft gab bekannt, dass auf eine kritische #Schwachstelle in #Exchange, die im Rahmen des Februar-Patchdays geschlossen wurde, bereits Angriffe stattfinden. #PatchNow
bsi.bund.de/SharedDocs/Cybersi

Bundesamt für Sicherheit in der InformationstechnikVersion 1.0: Microsoft Exchange - Aktive Ausnutzung einer Zero-Day-SchwachstelleAm 14. Februar 2024 aktualisierte Microsoft sein Advisory zu einer Schwachstelle in Microsoft Exchange Server (CVE-2024-21410), die der Hersteller im Rahmen des Februar Patchdays geschlossen hatte. Ergänzt wurde der Hinweis, dass die Sicherheitslücke bereits aktiv ausgenutzt wird. Die Schwachstelle ermöglicht es externen Angreifenden im Zusammenhang mit potenziellen weiteren Verwundbarkeiten in NTLM-Clients (wie Outlook), sich mit entwendeten Net-NTLMv2-Hashwerten bei einem verwundbaren Exchange Server zu authentifizieren und Aktionen mit den Berechtigungen des ursprünglichen Opfers durchzuführen. Die Bewertung nach dem Common Vulnerability Scoring System (CVSS) in Version 3.1 ist mit einem Wert von 9.8 daher "kritisch". Diese sogenannten NTLM-Relay-Angriffe können durch die Schutzfunktion Extended Protection (EP), auch Extended Protection for Authentication (EPA) genannt, unterbunden werden, die das Update Exchange Server 2019 CU14 standardmäßig aktiviert. Betroffen sind Versionen von Microsoft Exchange Server vor Cumulative Update 14 für Exchange Server 2019, ohne aktiviertes Extended-Protection-Feature.

"⚠️ Windows SmartScreen Bypass Alert: CVE-2024-21351 Unveiled 🔓"

A new vulnerability, CVE-2024-21351, exposes a security feature bypass in Windows SmartScreen, enabling attackers to execute arbitrary code by tricking users into opening a malicious file. This flaw, with a CVSS score of 7.6, follows the previously patched CVE-2023-36025, indicating a method to circumvent Microsoft's efforts in securing its SmartScreen feature. Attackers exploit this vulnerability actively in the wild, despite Microsoft's release of an official fix.

Technical breakdown: CVE-2024-21351 allows code injection into SmartScreen, bypassing protections and potentially leading to data exposure or system unavailability. Cybersecurity professionals must understand the attack vector, which requires social engineering to convince a user to open a malicious file.

Tags: #CyberSecurity #WindowsSecurity #CVE2024-21351 #SmartScreenBypass #Vulnerability #PatchNow #InfoSecCommunity #ThreatIntelligence 🛡️💻🔧

Mitre CVE Summary: CVE-2024-21351

cve.mitre.orgCVE - CVE-2024-21351 The mission of the CVE® Program is to identify, define, and catalog publicly disclosed cybersecurity vulnerabilities.

❗#CERTWarnung❗
Für eine OS Command Injection #Schwachstelle in den sehr weitverbreiteten #QNAP NAS-Lösungen wurde #PoC-Code veröffentlicht. Betreiber sollten schnellstmöglich die empfohlenen Schutzmaßnahmen prüfen! #PatchNow
bsi.bund.de/SharedDocs/Cybersi

Bundesamt für Sicherheit in der InformationstechnikVersion 1.0: QNAP - Proof-of-Concept für Schwachstelle in QNAP QTS, QuTS hero und QuTScloud veröffentlichtAm 13. Februar 2024 veröffentlichte der Hersteller QNAP ein Advisory zu mehreren Schwachstellen in den Betriebssystemen QTS, QuTS hero und QuTScloud. Diese kommen in zahlreichen Network Attached Storage (NAS)-Lösungen des Herstellers zum Einsatz. Den Hinweisen des Unternehmens zufolge könnte es Angreifenden gelingen, aus der Ferne ohne Authentifizierung Befehle auf QNAP-Geräten auszuführen. Ausschlaggebend hierfür ist zum einen die Schwachstelle CVE-2023-50358, zum anderen die Sicherheitslücke CVE-2023-47218. Beide Verwundbarkeiten wurden nach dem Common Vulnerability Scoring System (CVSS) zwar nur mit einer mittleren Kritikalität (5.8) bewertet, die äußerst hohe Anzahl an über das Internet erreichbaren Geräten - sowohl in Deutschland als auch im Allgemeinen - könnte jedoch zu großen Schäden führen. Zusätzlich begünstigt wird diese Bedrohung aufgrund der Tatsache, dass die IT-Sicherheitsforschenden von Unit42 nun Proof of Concept (PoC)-Hinweise zu den Schwachstellen herausgegeben haben. Die Veröffentlichung erfolgte, nachdem die Sicherheitsforschenden seit November 2023 mit QNAP bezüglich des o.g. Sachverhalts im vertraulichen Austausch waren. Grund dafür waren Beobachtungen von Unit42, die das Team im Rahmen eines IT-Sicherheitsvorfalls gemacht hatte.