Nord Nord Sec #18

Moin, Hallo und Herzlich Willkommen bei der aktuellen Ausgabe von Nord Nord Sec.

Falls euch gefällt was ihr lest, teilt den Newsletter mit Freund*innen und Kolleg*innen - Ich würde mich sehr freuen, wenn der Newsletter noch mehr Lesen bekommen würde.

Auch nach dem xz Aufreger der letzten Woche(n), ist wieder einiges los gewesen. Ein Datenleck bei einer Multi-Cloud-Business-Intelligence Firma, eine 10er CVE in Security Appliances und eine möglicherweise ungepatchte Privilegien-Eskalations-Schwachstelle im Linux Kernel.

Breaches und Schwachstellen

⚡️Palo Alto Networks: Sicherheitslücken werden aktiv ausgenutzt Palo Alot Networks hat eine Analyse zu CVE-2024-3400 veröffentlicht, die eine kritische Command Injection Schwachstelle in der PAN-OS Software von Palo Alto Networks betrifft.

Diese Schwachstelle ermöglicht es nicht authentifizierten Angreifenden, willkürlichen Code mit Root-Berechtigungen auf dem Firewall auszuführen. Betroffen sind spezifische Versionen von PAN-OS 10.2, 11.0 und 11.1, sofern diese mit GlobalProtect Gateway oder GlobalProtect Portal konfiguriert sind und Gerätetelemetrie aktiviert ist. Cloud-basierte Firewalls, Panorama-Geräte oder Prisma Access sind nicht betroffen. Die Schwere dieser Sicherheitslücke wird durch einen CVSS-Wert von 10.0 unterstrichen.

Palo Alto Networks hat bereits von bösartigen Ausnutzungen dieser Schwachstelle Berichte erhalten und reagiert mit der Bereitstellung von Hotfix-Releases für die betroffenen PAN-OS Versionen 10.2.9-h1, 11.0.4-h1 und 11.1.2-h3 sowie für zukünftige Versionen. Zusätzlich zu den Hotfixes wird empfohlen, das Netzwerk auf ungewöhnliche Aktivitäten zu überwachen und jegliche unerwarteten Netzwerkaktivitäten zu untersuchen.

Die Angreifenden, deren Aktionen im Rahmen der Analyse von Palo Alto Networks beobachtet wurden, haben nach der initialien kompromittierung einen Cronjob erstellt, der minütlich Befehle von einem externen Server mittels Bash ausführt, was eine weiterführende externe Steuerung der betroffenen Systeme ermöglicht.

Eine detailierte Analyse der Kampagne gibt es noch von Volexity - inklusive YARA Rules zur Detection.

⚡️Breach bei Business Intelligence Firma Sisense Die Cybersecurity and Infrastructure Security Agency (CISA) untersucht einen Databreach bei Sisense. Deren Produkte ermöglichen die Überwachung verschiedener Online-Dienste auf einem Dashboard. Dementsprechend interessant dürften die Daten für Angreifer sein - wie eine Spinne im Netz sitzen und die Clouddienste der Opfer anzapfen. Das Unternehmen hat Kunden in Branchen wie Finanzdienstleistungen, Telekommunikation, Gesundheitswesen und Hochschulbildung.

Die Angreifer verschafften sich unbefugt Zugriff auf das GitLab-Code-Repository des Unternehmens und konnten von dort auf Amazon S3-Speicher zuzugreifen. Von dort wurden dann mehrere Terabyte an Kundendaten kopiert und exfiltriert, einschließlich Millionen von Zugangstokens, E-Mail-Kontopasswörtern und SSL-Zertifikaten.

Sisense und CISA fordern alle Kunden auf, alle Schlüssel, Tokens und andere Anmeldedaten, die innerhalb der Sisense-Anwendung verwendet werden, zurückzusetzen. Dazu gehören das Ändern von Passwörtern, das Ersetzen von Geheimnissen in der Basis-Konfiguration, das Zurücksetzen von Datenbankanmeldeinformationen und das Rotieren von Schlüsseln für verschiedene Features und Integrationen. Sisense betont natürlich die Bedeutung der Sicherheit.

⚡️ Bisher ungepatcht: Linux Kernel Exploit erlaubt Lokale Rechteausweitung (Local Privilege Escalation/LPE) Eine kritische Sicherheitslücke im Linux-Kernel ermöglicht es Angreifenden, durch Ausnutzung einer Race Condition im GSM-Subsystem, Root-Rechte zu erlangen. Voraussetzung ist, dass sowohl die GSM-Funktionen als auch die Unterstützung für Xen-Virtualisierung aktiv sind und die angreifende Person bereits Nutzerkontozugriff hat.

Ein detailiertes Write Up zu diesem Exploit wird hier beschrieben.

Aktuell sind alle Kernelversionen betroffen und noch kein Patch verfügbar. Nutzende aktueller Linux-Distributionen sind somit einem hohen Risiko ausgesetzt.

⚡️Nutzende von Fedora 38, 39 und 40 (wieder) sicher vor xz backdoor Die Versionen 38 und 39 waren nie in Gefahr einer kompromittierung - und der befallene Patch für Version 40 wurde entfernt, bevor er in den Release gemerged wurde. Es kann also weiter aktualisiert werden 👍️ 

⚡️Lancom Setup Assistent leer root-Passwort Das tritt auf, wenn über den Windows-Setup-Assistenten von Lancom und einem zusätzlichen Administrator-Konto Änderungen an der Konfiguration vorgenommen werden, wie beispielsweise das Einrichten eines VPN-Profils.

Als Ergebnis davon, kann man sich mit einem leeren Passwort als root anmelden.

Die betroffene Firmware-Version LCOS 10.80 RU1 bis 10.80 RU3 ermöglichte, dass das Administratorpasswort root nach dem Anwenden einer vollständigen Konfiguration mittels des Setup-Assistenten gelöscht wurde. Als Lösung wurde ein Firmware-Update auf Version 10.80 RU4 veröffentlicht.

Falls ein Update nicht sofort möglich ist, rät Lancom, vorübergehend alle zusätzlichen Administrator-Konten zu deaktivieren und ausschließlich das Root-Konto zu verwenden oder alternativ ein Downgrade auf LCOS 10.72 RU7 durchzuführen.

Text

🛡️ Cl0ps Ransomware Camaping - Security Measures for 2024 Die CL0P Ransomware-Gruppe, bekannt für ihre aggressiven Cyberangriffe, hat sich als eine der aktivsten Ransomware-Crews weltweit etabliert. Sie zielt hauptsächlich auf große Unternehmen in den Branchen Finanzen, Fertigung und dem Gesundheitswesen ab.

Ihre Taktiken umfassen das Stehlen, Verschlüsseln und Veröffentlichen sensibler Daten - dabei wird die Veröffentlichung gerne als Drohkulisse aufgebaut, um die Zahlungen zu beschleunigen.

Um sich 2024 gegen CL0P zu schützen, empfiehlt SecurityHQ, die eigene IT-Umgebung genau zu beobachten, einen Incident Response Plan zu erstellen, Bedrohungsüberwachung zu implementieren und die Cybersicherheitspraktiken regelmäßig zu überprüfen.

Das sollte auch gegen andere Bedrohungsakteure ganz gut helfen. 🤓 

🦹 Neue Ransomware Gruppe verlangt Lösegeld von Alph-V Opfer Change Healthcare Ein neues Ransomware-Kollektiv namens RansomHub hat Change Healthcare ins Visier genommen und fordert ein Lösegeld nach einer früheren Attacke durch die ALPHV-Gruppe.

RansomHub behauptet, 4 TB an sensiblen Daten von Change Healthcare-Klienten erbeutet zu haben. Nachdem Change Healthcare bereits 22 Millionen Dollar an ALPHV gezahlt hatte, verschwand die Gruppe, ohne die Daten freizugeben.

Die Umstände lassen vermuten, dass RansomHub eine Neuformierung von ALPHV sein könnte. Mal sehen, ob sich das in der näheren Zukunft bewahrheitet.

🌡️ Health-Studie: ITlern in Deutschland geht es schlecht Trotz generell steigender Anzahln von Krankentagen, ist dieser Trend nicht in der IT angekommen. Liegt das am besonders gesunden Lebenswandel unsere Kolleg*innen, oder wird hier etwa krank gearbeitet? In Zeiten von Remote Work und Hybrid - was spricht denn dagegen, auch krank ein paar Emails zu schreiben oder den einen, wichtigen Call mitzumachen?

Allerdings nimmt die Anzahl der Menschen zu, die nach eigenen Angaben überforderung spüren, denen die Wertschätzung fehlt und die keine Möglichkeit haben, das behandeln zu lassen, da psychische Erkrankungen oder sogar schon die Vorsorge dagegen, immer noch stigmatisiert ist.

Video

🧑‍🚒 Staying Sane in Cybersecurity - Dealing with Burnout and Stress Wer kennt es nicht - die schöne Welt der IT Sicherheit. Am morgen denkt man noch, man hat seinen Tag gut geplant und kann verschiedene Tasks abarbeiten. Und dann - bricht der übliche Wahnsinn los. Dringende Tickets, Incident Alarme, das SIEM dreht durch und zwischendrin gibt’s noch Probleme mit der neuen Version unserer App, die gestern live ging. Hakluke erzählt in diesem Video von seinen Erfahrungen mit Burnout im Cyber-Raum und seinen Strategien, wie er diesen verhindert.

Tools und Co.

🐧 a-mass-tech/autoaudit ein Linux-Untersuchungstool zum Finden und Sammeln von Beweisen für Logmanipulationen und Identitätsangriffe in den verschiedensten Logfiles.

🦀 joaoviictorti/RustRedOps Eine Sammlung von nützlichen Red Team Tools - und zwar ausnahmslos in Rust geschrieben. Also falls jemand in die Programmiersprache einsteigen möchte und nach Projekten sucht, die im Infosec-Bereich angesiedelt sind: Kuckt euch um und legt los 🥵 

Das Zitat der Woche ist aus dem zweiten Band der Analogue-Trilogie von Eliot Pepper.

In der Reihe geht es darum, wie sich die Welt eigentlich verändern würde, wenn es einen ominpräsenten Informations-Feed gäbe - und wie das die Gesellschaft verändern würde.

Welche Konstanten gibt es für euch? Dinge, die sich seit Jahren nicht geändert haben und die euch Kopfzerbrechen bereiten?

Lasst euch nicht unter kriegen - wir lesen uns nächste Woche wieder, wenn ich von meinem Kurztrip zur Familie wieder zurück bin.

Cheers,

Martin