Nord Nord Sec #11

Moin, Hallo und Herzlich Willkommen zur ELFTEN Ausgabe von Nord Nord Sec - Und auch diese Woche, habe ich einiges im Gepäck für euch. Unter anderem mal wieder etwas zu den Ivanti Schwachstellen, die in letzter Zeit ans Licht kamen - Beziehungsweise das eine der “Schwachstellen” wohl eher eine Backdoor ist/war.

Aber auch sonst gab es wieder einiges Neues an Breaches, Schwachstellen und Exploits: Atlassian, Tipeeestream, einen iOS Trojaner der dir dein Gesicht stielt und mal wieder ein Wordpress Plugin mit Problemen.

Zur Abwechslung kann ich euch auch direkt sagen, was es nicht in diese Ausgabe geschafft hat: Der Lockbit-Takedown und diverse Analysen im Nachgang. Das war zwar vermutlich das grosse Ereignis der letzten Woche, aber um das aufzuarbeiten hat mir die Zeit gefehlt.

Aber trotz allem gibt es wieder einiges zu lesen. Neben den bereits erwähnten Schwachstellen habe ich einen CfP, Analysen zur Passwort-Qualität, Docker Hardening, einen Rant zur Hacker Kultur und Social Media sowie Canary-Token-Detection und eine Incident Response mit im Gepäck.

Breaches und Schwachstellen

⚡️🌏️ Atlassian Jira und Confluence mit verschiedenen Sicherheitslücken The gift that keeps on giving. Jira und Confluence mal wieder mit diversen (schweren) Sicherheitslücken: Stored XXS, Denial of Service, Request Smuggling und Code Injection.

⚡️Tipeeestream Breach - Leicht verspätete Information der User:Innen Der beliebte Donation-Service Tipeeestream hat Nutzende Informiert, das es im August 2020 zu einem Databreach gekommen ist. Auf ihrer Website ist davon allerdings (noch) nichts zu finden. Folgende Daten waren betroffen:

- Personal information: username, e-mail address (linked to the Twitch / YouTube account connected to your TipeeeStream account), last name, first name, postal address, nationality, date of birth, telephone number (if available)

- Donation information: donator username, donation amount, donation date (if donations received)

- Account information used to receive donations: IBAN number used to transfer weekly bank transfers to you (if available), e-mail address of the PayPal account used to transfer PayPal donations (if available), total amount collected regarding donations to be transferred to your bank account

- Other data: if you opened a support ticket before August 2020, some of the data you sent may have been compromised. You can contact us for further investigation.

Und natürlich: We take your security seriously! Zumindest über drei Jahre nach dem Breach. (╯°□°)╯︵ ┻━┻

⚡️GoldRush is Back - First iOS Trojan Stealing Your Face Ein neuer iOS-Trojaner, entwickelt von einer chinesischsprachigen Bedrohungsgruppe mit dem Codenamen GoldFactory, zielt darauf ab, Gesichtserkennungsdaten, Identitätsdokumente und SMS-Nachrichten von Nutzern zu stehlen. GoldFactory ist bekannt für die Entwicklung von Banking-Trojanern wie GoldDigger, GoldDiggerPlus, GoldKefu und GoldPickaxe. Die Gruppe nutzt gestohlene biometrische Daten und setzt KI-Dienste ein, um Deepfakes zu erstellen, die die Gesichter der Zielpersonen auf die eigenen Köpfe packt. Dazu werden unter Anderem umfassende biometrische Profile angelegt, Ausweisdokumente kopiert und Telefonnummern gesammelt, um möglichst detailliertere Informationen über die Opfer zur Hand zu haben.

Die Gruppe ist hautpsächlich im APAC-Raum aktiv - aber auch hiesige Gruppen werden diese Entwicklung mit Interesse beobachten und zeitnah ähnliches versuchen.

⚡️Unauthentifizierte SQL-Injection in wordpress Plugin Ultimate Member Am 30. Januar wurde die Lücke im Ultime Member Plugin an das Wordfence Bug Bounty Programm gemeldet - und mittlerweile mit einer Bounty über $2,063 belohnt. Die CVE-2024-1071 schlägt mit einer CVSS Score von 9,8 ein. Passt auf euch und eure Wordpress Instanzen auf!

Wenn ihr das Plugin nutzt und noch nicht auf Version 2.8.3 seid - legt los, spielt das Update ein und checkt eure Logs. Ansonsten wird das Zeitnah in Botnetzen automatisiert integriert sein. 🔥 

⚡️ Schwachstelle im Wordpress Theme “Bricks” wird aktiv ausgenutzt Das Bricks-Theme für WordPress weist eine kritische Sicherheitslücke (CVE-2024-25600, CVSS-Score: 9.8) auf, die es Angreifern ermöglicht, ohne Authentifizierung beliebigen PHP-Code auszuführen. Die Schwachstelle, die in allen Versionen bis einschließlich 1.9.6 vorhanden ist, wird aktiv ausgenutzt, betrifft rund 25.000 Installationen und wurde in der Version 1.9.6.1 am 13. Februar 2024 behoben. Technische Details, insbesondere zur betroffenen Funktion prepare_query_vars_from_settings(), wurden von den Sicherheitsfirmen Snicco und Patchstack veröffentlicht. Ein Proof-of-Concept-Exploit ist zwar noch nicht öffentlich verfügbar - aber das ist nur eine Frage der Zeit. Nutzern wird dringend empfohlen, das Update einzuspielen, um sich vor möglichen Angriffen zu schützen.

⚡️Code injection or backdoor: A new look at Ivanti’s CVE-2021-44529 Ron Bowes hat sich die angebliche Code Injection genauer angesehen - und kommt zu dem Schluss, dass das keine zufällige Schwachstelle ist, sonder es sich hier um eine alte Backdoor handelt. Es wird einfach immer unangenehmer. Ich möchte gerade wirklich nicht in der Haut der Produkverantwortlichen Person bei Ivanti stecken…

⚡️ 8,000+ Subdomains of Trusted Brands Hijacked for Massive Spam Operation Die Kampagne, bekannt unter dem Namen SubdoMailing und betrieben von der Bedrohungsgruppe ResurrecAds, nutzt über 8.000 gekaperte Subdomains bekannter Marken und Institutionen zur Verbreitung von Spam. ResurrecAds setzt eine umfangreiche Infrastruktur ein, die Hosts, SMTP-Server, IP-Adressen und private Internetverbindungen enthält. Dabei werden täglich Millionen von Spam- und Phishing-E-Mails versendet, die aufgrund des Vertrauens in die missbrauchten Domains Sicherheitsmaßnahmen umgehen können. Es werden gezielt Weiterleitungen basierend auf Gerätetyp und geografischer Lage der Opfer genutzt, um den Nutzen zu maximieren. Zudem können die E-Mails SPF, DKIM und DMARC-Überprüfungen passieren, was ihre Glaubwürdigkeit erhöht und verhindert, dass sie als Spam markiert werden.

⚡️VMWare empfielt EAP zu deinstallieren. JETZT. VMware empfiehlt Nutzern dringend, das veraltete Enhanced Authentication Plugin (EAP) zu deinstallieren, nachdem eine kritische Sicherheitslücke entdeckt wurde. Diese Schwachstelle, identifiziert als CVE-2024-22245 mit einem CVSS-Score von 9.6, ermöglicht einen willkürlichen Authentifizierungs-Relay-Angriff. Angreifer könnten Zielbenutzer dazu verleiten, Diensttickets für beliebige Active Directory Service Principal Names (SPNs) anzufordern und weiterzuleiten, wenn EAP in ihrem Webbrowser installiert ist. Zusätzlich wurde im selben Tool ein Session-Hijacking-Fehler (CVE-2024-22250, CVSS-Score: 7.8) gefunden, der es Angreifern mit unprivilegiertem lokalen Zugriff auf ein Windows-Betriebssystem ermöglicht, eine privilegierte EAP-Sitzung zu übernehmen. Diese Schwachstellen betreffen nur Benutzer, die EAP zu Microsoft Windows-Systemen hinzugefügt haben, um sich über den vSphere Client mit VMware vSphere zu verbinden. VMware hat sich gegen eine Behebung der Sicherheitslücken entschieden und stattdessen empfohlen, das Plugin zur Minderung potenzieller Bedrohungen vollständig zu entfernen. Frühjahrsputz im Serverrack 🧹 

Text

🫡 TROOPERS - Call for Papers - Konferenz in Heidelberg vom 24. bis 28. Juni 2024 Falls ihr Zeit und Lust habt, auf eine DER grossen Cyber Security Konferenzen zu fahren und einen Vortrag zu halten: Hier ist eure Gelegenheit.

🔐 I know what your password was last Summer Interessante Analyse zu echten, real beobachteten Passwörtern - nachdem Sie gecracked wurden. Besonders Interessant für alle, die Ihre Password-Policy schon ein paar Jahre nicht mehr angepasst haben. Nach sechs Monaten der Forschung über die in den letzten zwei Jahren geknackten Passwörter, wurden verschiedene Muster und Tendenzen in der Passworterstellung identifiziert. Die Erkenntnisse über die psychologischen Aspekte hinter der Wahl von Passwörtern sind entscheidend für die Entwicklung effektiverer Sicherheitsstrategien und die Sensibilisierung der Benutzer für sicherere Passwortpraktiken. Sie spielen auch eine wichtige Rolle bei der Erstellung von Methoden zum Knacken von Passwörtern.

Es wurde festgestellt, dass Organisationen das Prinzip der „Verteidigung in der Tiefe“ annehmen sollten, indem sie mehrere Verteidigungsmechanismen einsetzen. Zu den empfohlenen Ansätzen gehört das Verlangen, dass Benutzer bei ihrer ersten Anmeldung ihr Passwort ändern, die Förderung und Durchsetzung der Nutzung von Passwortmanagern, die Implementierung von Multi-Faktor-Authentifizierung (MFA) und die Erkenntnis, dass eine starke Passwortrichtlinie nicht die einzige Verteidigungslinie einer Organisation sein sollte.

In der Industrie wurden branchenspezifische Muster in der Passworterstellung und Richtliniendurchsetzung aufgedeckt. Beim Knacken von Passwörtern hängt die Strategie vom Hash-Typ ab, wobei für leichter zu knackende Hashes wie NTLM zuerst Wortlisten, dann Regeln und schließlich unternehmens- oder branchenspezifische Begriffe verwendet werden. Die Länge des Passworts ist dabei entscheidend; es wird empfohlen, eine Mindestlänge von 16 Zeichen für eine Active Directory-Richtlinie anzustreben.

Die durchschnittliche Passwortlänge von 11 Zeichen zeigt eine Verbesserung in den Passwortrichtlinien der Organisationen Jahr für Jahr. Zur Unterstützung der Benutzer bei der Erstellung langer Passwörter wird vorgeschlagen, vier zufällige Wörter mit einem speziellen Zeichen zu verbinden. Bei der Einrichtung von Standard- oder Anfangspasswörtern für die Organisation sollte ein Algorithmus zur Generierung einzigartiger Benutzerpasswörter verwendet werden.

Bezüglich der Passworterstellung wird empfohlen, die Länge gegenüber der Komplexität zu priorisieren und weniger häufige Änderungen vorzunehmen, um die Adoption von Passphrasen zu fördern, die leicht zu merken, aber schwer zu knacken sind. Die Erfolge beim Knacken eines erheblichen Teils der Hashes zeigen, dass viele Benutzer weiterhin auf schwache Passwörter setzen.

🐳 Docker Security - Step by Step Hardening Auf der Suche nach einem Guide, wie ihr Docker Härtet? Hier ist er! Von der Sicherung des Docker-Hosts, des Docker-Daemons, der Zugriffskontrolle, Privilege Escalation, die Isolierung von Containern und generelle Anwendungssicherheit sind Teil des Guides. Zu den Empfehlungen gehört die Verwendung von Tools wie Lynis und Docker Bench, um das Sicherheitsniveau zu verbessern. Absolute Lese-Empfehlung!

🏴‍☠️ 🐮 Rants on Social Media Hackers piratemoo ist so richtig angefressen von dem ganzen Social Media-Gedöhns. Stellt euch vor, da draußen gibt's Leute, die denken, sie wären die absoluten Rockstars, nur weil ihre Follower-Zahlen durch die Decke schießen. Piratemoo sagt: "Lasst uns diesen Rockstar-Kram zusammen mit dem Corporate-Bullshit verbrennen!" Echt jetzt, wer braucht schon Follower-Zahlen, wenn am Ende doch alle Meinungen – Achtung, Spoiler – ziemlich Banane sind?Am Ende sind alle zu beschäftigt damit, die neueste Botnetz-Simulation von Zahnbürsten zu hypen – WTF? Das war übrigens schlicht und einfach nicht wahr - es gibt kein Botnetz aus Zahnbürsten.
Aber Moment, es wird noch besser: Die Big Player versuchen jetzt auch noch, uns zu erzählen, was ein "Hacker" ist und was "Sicherheit" bedeutet – natürlich alles aus ihrer ganz speziellen, corporate-geprägten Perspektive. Und während sie dabei sind, würden sie am liebsten alle mit einer etwas schmutzigen Vergangenheit aussortieren und durch frischgebackene Absolventen mit den "richtigen" Zertifikaten ersetzen. Weil, weißt du, die kann man noch so richtig schön formen.

Und dann, als Sahnehäubchen, diese ganze Hacktivismus-Sache. Erinnert ihr euch, als es tatsächlich noch darum ging, eine Stimme zu haben und Veränderungen anzustoßen? Jetzt ist es eher so: "Kauf dir diese Zertifikate, dann bist du was Besonderes – nicht!" Spoiler-Alarm: Wir sind das Produkt, Leute.

Langer Rede, kurzer Sinn: Der ganze Social-Media-Zirkus und der ganze "Du musst dieses Zertifikat haben, um cool zu sein"-Quatsch nervt. Es geht darum, echt zu bleiben, sich nicht von Follower-Zahlen blenden zu lassen und sich nicht von Big Tech sagen zu lassen, was richtig und was falsch ist.

Die Message ist also: Jede:r hat etwas zu bieten - jede:r ist wertvoll. Menschen aus allen Schichten, Kulturen, aller Geschlechter, jedem Neurotyps etc etc. Lasst euch nicht von den “grossen” Influencern oder LinkedIn Power-Postern abschrecken. Bleibt neugierig, steckt eure Nase in Dinge, die euch nix angehen und teilt euer Wissen bitte weiter!

🐦️ Detecting AWS Canaries without Detonating them Eine neuartige Methode ermöglicht die statische Identifizierung von Canary Tokens, wie sie von canarytokens.org angeboten werden, ohne diese auszulösen.

Diese Forschung basiert auf den Erkenntnissen von Tal Be’ery, der es geschafft hat, AWS-Konten-IDs aus Zugangsschlüsseln zu entschlüsseln. Dadurch war es möglich, die AWS-Konten-IDs, die von canarytokens.org verwendet werden, zu erfassen und festzustellen, welche Schlüssel zu AWS-Konten von Thinkst gehören. Thinkst bietet sowohl selbst gehostete als auch bezahlte Alternativen an, die gegen diese Techniken geschützt sind. Diese Fähigkeit wird nun öffentlich gemacht und in TruffleHog integriert. Die Entdeckung dieser statischen Identifizierungsmethode wird als unvermeidlich angesehen - vermutlich wird die ein oder andere APT Crew auch schon darauf gestossen sein. Dementsprechend wird ein Ansatz der Transparenz und Offenheit als die effektivste Strategie für die langfristige Sicherheitsentwicklung der Branche betrachtet.

🧠 Micorosoft AI Red Team Die Sachen über die man so stolpert: Microsoft hat in ihrer Dokumentation einen eigenen Bereich für KI Red Teaming gestartet - Ich hab mir das auf meine Hausaufgaben-Liste gelegt und werden das bald™ mal angehen. Bestimmt. Versprochen! 🤓 

👑 RCE to Sliver - IR Tales From the Field Das Incident Response Team von Rapid7 hat eine kleine aber feine War Story aufgeschrieben. Dabei sollte unautorisierter Zugriff auf zwei öffentlich zugängliche Confluence-Server untersucht werden, nachdem auf diesen Malware bemerkt wurde. Bei der Untersuchung fanden sie Beweise für die Ausnutzung der Sicherheitslücke CVE-2023-22527. Auf den betroffenen Servern wurden Kryptomining-Software und eine Sliver Command and Control (C2) Payload identifiziert. Die Untersuchung begann mit der Sichtung verfügbarer forensischer Artefakte auf den beiden betroffenen Servern. Diese liefen auf anfälligen Versionen der Confluence-Software, die eine Remote Code Execution Schwachstelle enthielt. Über Sliver wurden dann verschiedene Tools nachgeladen, um laterales Movement im Netz zu ermöglichen - was nach den Analysen der Incident Responder nicht von Erfolg gekrönt war.

Video

☁️ 💻️ My Entire Neovim + tmux Workflow As A DevOps Engineer On MacOS Mischa van den Burg führt uns hier durch sein Terminal-Setup und erklärt, warum er die Dinge so nutzt, wie er sie nutzt. Die zugehörigen dotfiles sind online auf github verfügbar - Ihr könnt euch also bedienen, wenn euch etwas anspricht.

🙋 👩‍🦱 Personas Datengetrieben Modellieren Stefan und Holger von Papperlapapp sprechen über Personas - und vor allem darüber, wie man Personas datengetrieben erstellt, statt sich einfach Key-User auszudenken und zu mutmaßen, wie diese Nutzer:Innen aussehen und was sie antreibt. Tolle Folge auf dem sowieso sehens- und hörenswerten Kanal 👍️ 

🧠 Introducing Fabrid - A Human AI Augmentation Framework Daniel Miessler stellt Fabric vor. Super hilfreich um das Projekt zu verstehen, aufzusetzen und möglichst effizient und sinnvoll zu nutzen.

Tools und Co.

🧠dnakov/r2d2 radare2 Plugin zur Integration von Chat-GPT4 - und zwar komplett automatisch. Chat-GPT übernimmt die Kontrolle über euer r2 und führt Kommandos aus, deren Output dann interpretiert wird. Absolut verrückt, das so in Aktion zu sehen. Ich bin gespannt, wie dass das Verhalten von Malware Devs verändern wird. Ob wir in Zukunft prompts in nicht benutzten Speicherbereichen sehen, die KI-Analysten beeinflussen sollen?

🦶 boostsecurityio/lotp Analog zu den GTFObins eine Übersicht, wie man in CI/CD Pipelines benutzte Tools nutzen kann, um Code Execution nutzen zu können. Hier haben viele Organisationen definitiv noch blinde Flecken, selbst wenn Sie Ihre AppSec Infrastruktur schon gut im Griff haben.

🧠 Azure/PyRIT Microsoft hat sein Red Teaming Toolkit für generative KI veröffentlicht. Das Toolkit ist dazu da, generative KI Systeme anzugreifen - nicht mit generativer KI beliebige Systeme anzugreifen.

Das Zitat der Woche ist diesmal von Pirate Moo aus dem verlinkten Artikel zu Social Media Hackern

Jepp, auch wenn man alles zerlegen möchte und schon dabei ist - manchmal ist es gut, kurz inne zu halten und etwas übrig zu lassen.

In diesem Sinne: Macht es gut und wir lesen uns nächste Woche!

Cheers,

Martin