Nord Nord Sec #16

Moin, Hallo und Herzlich Willkommen! Ich hab den Urlaub erfolgreich überstanden und bin langsam wieder dabei, mich einzulesen und einzuarbeiten.

Natürlich habe ich auch ein paar Infos zum grossen aktuellen Schwachstellen-Hammer xz dabei.

Breaches und Schwachstellen

⚡️Geheime Backdoor in xz utils library gefunden In der XZ Utils-Bibliothek, einer weit verbreiteten Datenkompressionsbibliothek unter Linux, wurde eine schwerwiegende Sicherheitslücke entdeckt.

Diese Schwachstelle, gekennzeichnet als CVE-2024-3094 mit einem CVSS-Score von 10.0, erlaubt unbefugten Fernzugriff durch eine Backdoor in den Versionen 5.6.0 und 5.6.1 der Bibliothek. RedHat hat vor dieser kritischen Sicherheitslücke gewarnt, die durch eine komplexe Tarnung innerhalb des Build-Prozesses von liblzma eingeführt wurde. Diese Backdoor zielt speziell darauf ab, die Interaktion mit dem sshd-Daemon über das systemd-Softwarepaket zu stören.

Die Entdeckung dieser Schwachstelle wurde Microsoft-Sicherheitsforscher Andres Freund zugeschrieben. Die Analyse legt nahe, dass entweder eine direkte Beteiligung oder ein schwerwiegender Kompromiss im System der Person, die den schädlichen Code eingeführt hat, vorliegen könnte. Bisherige Untersuchungen zeigen, dass nur Fedora 41 und Fedora Rawhide betroffen sind, während andere große Distributionen wie Red Hat Enterprise Linux (RHEL), Debian Stable, Amazon Linux und SUSE Linux Enterprise und Leap nicht betroffen sind. Nutzer*innen der betroffenen Versionen werden dringend dazu aufgerufen, auf sichere Versionen der XZ Utils-Bibliothek herabzustufen.

Wer mehr Wissen möchte, sollte sich das Write Up von Evan Boehs ansehen - dort gibt es einiges an (rekonstruierten) Informationen.

⚡️AI Hallucinated Packages Fool Unsuspecting Developers Sicherheitsrisiken durch "halluzinierte" Softwarepakete, die von KI-Chatbots empfohlen werden, stellen eine neue Herausforderung für Entwickler*innen dar. Eine Studie von Lasso Security hebt hervor, dass solche nicht existierenden Pakete von KI-Tools empfohlen und von Entwickler*innen unabsichtlich genutzt werden können. Diese Praxis birgt das Risiko, dass Cyberkriminelle gefälschte, schädliche Pakete unter denselben Namen veröffentlichen. Die Forschung zeigt, dass über 20% der von Chatbots gelieferten Paketempfehlungen solche Halluzinationen sind, mit einem Spitzenwert von 64,5% bei einem bestimmten Anbieter. Entwickler*innen wird dringend empfohlen, die Authentizität von Softwarepaketen zu überprüfen, bevor sie diese in ihre Projekte integrieren.

⚡️Datenleck bei Urban Sports Club: Tausende von Mitglieder exponiert Bei Urban Sports Club kam es zu einem erheblichen Datenleck, von dem Zehntausende von Mitgliedern betroffen waren. Diese waren in einem öffentlich zugänglichen Google Cloud Storage Verzeichnis zu finden, inklusive persönlicher Identifikationsdokumente und tausender Buchhaltungs-PDFs.

Insgesamt entdeckte ein Betroffener 900.000 Dateien in dem Cloud-Speicher, die sogar im Darknet zum Verkauf angeboten wurden. Viele der Daten stammen aus den Jahren 2017 und 2018, die letzte Dateiänderung fand jedoch im Oktober 2022 statt. Die Reaktion des Urban Sports Club auf das Sicherheitsproblem und das Übersehen eines offenen Google-Storage-Kontos durch die technischen Teams und externe Sicherheitsprüfer*innen wirft Fragen zur Datensicherheitspraxis des Unternehmens auf.

Aktuell geht die Firma davon aus, dass das Datenleck kein Ergebnis eines Hacks war, sondern auf individuelle Fehlkonfigurationen zurückgeführt werden kann.

Text

🧫 Creating a Culture of Ownership Breaking Free From Hierarchy Ownership bedeutet Investment - Das Gefühl, das man selbst für Wohl und Wehe Verantwortung trägt. Die Traditionellen Organisationsstrukturen kommen noch aus der Zeit der Industrialisierung. Arbeiter sollten einfach nur ihre Tätigkeit am Fliessband erledigen, sich nicht um die Geschicke der Firma kümmern.

Studien haben dann gezeigt, das ein Gefühl von Ownership zu mehr Zufriedenheit mit der eigenen Arbeit, einem stärkeren Zugehörigkeitsgefühl und so zu deutlich besseren Ergebnissen führt.

👮 LKA schaltet Nemesis Market ab Die deutschen Behörden haben den illegalen Darknet-Marktplatz Nemesis Market erfolgreich stillgelegt, der Drogen, gestohlene Daten und Cyberkriminalitätsdienste anbot. Die Operation, an der Strafverfolgungsbehörden aus Deutschland, Litauen und den USA beteiligt waren, fand am 20. März 2024 statt. Dabei wurden die digitale Infrastruktur des Marktplatzes in Deutschland und Litauen beschlagnahmt und Kryptowährungsvermögen in Höhe von €94.000 sichergestellt. Nemesis Market hatte über 150.000 Benutzerkonten und 1.100 Verkäuferkonten weltweit. Fast 20% der Verkäufer stammten aus Deutschland.

Die Ermittlungen gegen kriminelle Nutzer und Verkäufer laufen weiter. Zuvor hatten deutsche Behörden bereits die Darknet-Marktplätze Kingdom Market und Crimemarket stillgelegt.

😎 Efficient Security Principle Die Efficient Security Principle (ESP) von Daniel Miessler erklärt, dass das Sicherheitsniveau in Systemen oft auf einem Punkt gesetzt wird, an dem Nutzer das System aufgrund seiner Unsicherheit nicht verlassen.

Es besagt, dass je besser ein Angebot ist, desto niedriger kann die Sicherheitsbasis sein, ohne Kunden zu verlieren. Das deutet darauf hin, dass Sicherheit nur so gut ist, wie es nötig ist, um Nutzer davon abzuhalten, einen Dienst aufzugeben, und dass Fortschritte in der Sicherheit oft schrittweise erfolgen oder als Reaktion auf größere Vorfälle.

Es rät technischen Experten und Sicherheitsleitern zu verstehen, dass Nutzer Funktionalität über Sicherheitsrisiken priorisieren. Verbesserungen in der Sicherheit können sich im Laufe der Zeit natürlich ergeben, aber größere Änderungen könnten politische Änderungen oder Vorschriften erfordern.

Video

🥦 Diese Gartenarbeiten solltest du im April erledigen Die Gartensaison steht direkt vor der Tür - bald kann es losgehen und die vorgezogenen Pflanzen können raus in die Beete! Also, los geht’s - Boden bereit machen, Beete vorbereiten und dann kann bald eingepflanzt werden.

🤑 Lootboxen: Wie FIFA und Co. an Kids verdienen Gut gemachte Dokumentation über das Suchtmittel, das Kinder abhängig macht.

Tools und Co.

🔍️Shodan Dorks Eine Sammlung praktischer Shodan-Dorks - Ich bin sicher nicht der einzige, der ansonsten immer wieder neu am suchen ist, wie sich shodan am besten bedienen lässt.

💻️ Web Check Schnelles Tool für kurze Überprüfungen von Webseiten. Eine URL ins Suchfeld - und zurück kommen Server Location, SSL Infos, security.txt, die benutzten Security Header und viel mehr.

Das Zitat der Woche stammt diese Woche von einem grossen Musiker - und hat vielleicht etwas mit dem Cannabis-Gesetz zu tun, das in Deutschland Marihuana teil-legalisiert hat.

Übertreibt es nicht mit dem Bubatz - wir lesen uns nächste Woche wieder 👋

Cheers,

Martin