Nord Nord Sec #7

Moin, Ahoi und herzlich willkommen bei der nächsten Fahrt mit Nord Nord Sec 🚢 👋 

Auch diese Woche gab es wieder eine Menge Bewegung in der (Unter)Welt der IT Sicherheit. Und natürlich auch abseits davon - In den Videos gibt es ein paar Ausflüge auf die CES, zu nachhaltigen Möbeln und einem Interview zur Arbeit als Videogame und Linux-fokussierte Journalistin.

But first things first: Die IT Security News der Woche werden präsentiert von 9.8er CVEsf, Remote Code Execution in Jenkins, dem wertschätzenden Entfernen von Open Source Maintainern, einem Vergleichstest von Statischen Code-Analysetools, Data Breaches und Sammelkarten - und noch einigem mehr.

Text

•  ⚡️ Fortra GoAnywhere MFT Authentication Bypass Eine neue Woche - und natürlich gibt es wieder neue Exploits. Die File-Transfer Lösung Fortra GoAnywhere MFT hat einen Authentication Bypass, der aktiv ausgenutz wird. Der CVE hat nach CVSSv3.1 einen Score von 9.8. Solltet ihr das Tool nutzen und noch nicht auf Version 7.4.1 oder höher sein - unbedingt patchen und prüfen, ob ihr schon exploited wurdet. Mittlerweile gibt es auch auf Github erste POCs.

• ⚡️ Kritische Jenkins-Schwachstelle ermöglicht potenziell Remote Code Execution Erneut ist Vorsicht geboten, wenn ihre eure Jenkins-Server online exponiert habt. Die Lücke mit der CVE Nummer CVE-2024-23897 ermöglicht es Angreifern, Dateien vom File-System auszulesen. Zum Beispiel auch kryptografische Schlüssel o.Ä. Die einzige Restriktion dabei ist, das es lediglich drei Zeilen ausgibt.
  Sollte das ausreichen um Schlüsselmaterial zu exfiltrieren, stehen allerdings Tür und Tor offen für Angreifer. Wenn ihr, wie bisher empfohlen, den Zugriff auf die CLI deaktiviert habt, könnt ihr jetzt patchen. Schnell! Es sind nämlich Exploits verfügbar.

• 🧑‍🏭 Seth Larsons überlegungen, wie man Maintainer von Open Source Projekten wertschätzend entfernt. Dabei geht es um den Kompromiss zwischen Sicherheit und Anerkennung. Der Autor unterscheidet zwischen operativer und feierlicher Anerkennung und schlägt vor, bei der Entfernung von Mitwirkenden auf eine ausreichende feierliche Anerkennung zu achten. Außerdem empfiehlt er, sich aktiv mit dem Thema Nachfolge auseinanderzusetzen und neue Mitwirkende zu rekrutieren.

• 🥹 Tim Bray trauert um Google - zumindest um das Google, das er von seiner Zeit dort ab 2010 kennt. Und er hat einige gute Punkte. Larry und Sergey waren keine Corporate-Dudes und wollten es auch nicht sein. Also haben sie Leute eingestellt, die das waren. Und im Lauf der Zeit, haben diese die Firma angetrieben. Und mittlerweile? Google, eine Firma die einst von vielen geliebt wurde für ihre innovativen und coolen Produkte? Hat sich zu einer Firma entwickelt, deren (neue) Produkte man nur noch widerwillig nutzt. Immerhin könnte es jederzeit abgeschaltet werden. Und bei vielen anderen Sachen, gibt es kaum irgend welche innovationen etc. Es wird einfach immer schlechter. Mal sehen, wie es mit Google in den nächsten Jahren weiter geht.

• 🩻 SCA Tools auf dem Prüfstand Die IT Sicherheitsfirma Doyensec hat einen Vergleich zwischen Dependabot, snyk und semgrep durchgeführt, welches SCA Tool die besten Ergebnisse bei der Analyse der Dependencies und die enthaltenen Schwachstellen liefert. Long Paper short: Semgrep hat die beste Signal-to-noise Ration durch eine sehr geringe Anzahl an false-positives.

• 🍿 23andMe hat Daten über fünf Monate abfliessen lassen. Das Statement von 23andMe vom Oktober war nur der erste Schritt - Laut einer Mitteilung an das Justizministerium von Kalifornien erfolgte der Angriff von April bis September 2023. Nutzer*innen der Plattform fordern Schadensersatz und die Plattform wurde bereits mehrfach verklagt. Grund dafür ist vor allem der Umgang mit dem Breach.

• 🧠 MattJay sammelt Nominierungen für das beste “AI Security Tool 2023” - Ich bin auf jeden Fall gespannt, was am Ende das Rennen macht. Von den Nominierungen kenne ich zumindest einige (noch) nicht.
  Btw: Der Newsletter ist auch einen Follow wert. 😉 

• ⚡️ Outlook Vulnerability kann zu Passwortverlust führen - durch die Annahme eines Termins. Die Researcher von Varonis haben eine neue Lücke in Outlook entdeckt, die Angreifern ermöglicht, NTLMv2 Hashes von Passwörtern abzugreifen. Microsoft hat bereits im Dezember einen Patch veröffentlicht.

• 🃏 Was Data Breaches mit Sammelkarten zu tun haben Troy Hunt stellt den (passenden) Vergleich zwischen Sammelkarten und Datenlecks an - die auch in den jeweiligen Kreisen an Enthusiasten zirkulieren und so eine Schatten-Ökonomie aufbauen. Angebot und Nachfrage zwischen bereits veröffentlichten Leaks treiben Preise nach oben oder unten. Die Tatsache das Leaks generell gekauft werden können, schafft Anreiz, in Firmen bzw. deren Daten(banken) einzubrechen. Die Lösung für das Problem? Keine Ahnung.

Video

• 🛋️ Nachhaltige Möbel - von Sperrmüllbergen und Wegen, diese zu vermeiden. Mal wieder eine richtig gute und Interessante Arte-Dokumentation.

• 🧑‍💻 Cool Tech from CES 2024 Coole Neue Technik von der CES 2024 - die genau so gekauft werden kann. Füllt die Wunschzettel, der Weihnachtsmann freut sich bestimmt 🎅 

• 🆒 OK COOL trifft Liane Dubowy Ein unterhaltsames und kurzweiliges Interview von Dom Schott mit Liane Dubowy - die seit mehreren Jahren für die c’t über Linux und Games schreibt.

• 🎨 Instant Color Palettes Richtig toller Quick-Tip für Farbpaletten in Procreate. Das habe ich bisher für jedes Bild genutzt.

• 🐛 Every FREE resource you need to become a bug bounty hunter Interessiert an IT Security und keine Lust oder kein Budget, Kurse für tausende Euro zu machen - Kuckt euch an, was Ben euch vorschlägt. Hab da auch viele ausprobiert.

Tools und Co.

• 🔎 jerlendds/osintbuddy Ein Open Source Replacement für Maltego - noch in einer frühen Alpha-Version aber mit viel Potential. Für OSINT-Enthusiasten sicherlich einen Blick wert.

• 🧠 danielmiessler/fabric Open Source Framework zur Unterstützung von Menschen durch KI. Viele fertige Prompts/Personas zur Benutzung in LLMs. extwis nutze ich schon seit einiger Zeit - und es wird da sicher noch mehr dazu kommen. Ich bin gespannt.

• 🛑 redhuntlabs/antisquat KI-unterstützte Entdeckung von Typosquat und Phishing-Domains. Nutzt die OpenAI API, um sich weitere Vorschläge zu potenziellen typo-domains generieren zu lassen. Weitere Infos gibt es von Redhuntlabs im zugehörigen Blog-Artikel.

• 🧲 0x4D31/galah Ein Honeypot, der durch ein LLM generierte Antworten liefert - laut dem Autor ein spassiges Wochenend-Projekt und definitiv nicht production-ready. Also spielt ein bisschen damit rum, aber lasst es nicht unbeaufsichtigt im Internet honey-potten 💩

• 🛳️ s0med3v/smap Drop-In Replacement für nmap - passiv via shodan.io. Schöne Möglichkeit, um bei regelmässigen recon-runs nicht immer aktiv Portscans ausführen zu müssen.

• CVEcrowd.com Eine Liste von CVEs, die auf Mastodon diskutiert/genannt werden. Vermutlich am ehesten eine nette Spielerei.

Das Zitat der Woche stammt heute aus einem meiner Lieblingsbücher vom letzten Jahr: Razorblade Tears von S.A. Cosby. Es erzählt die Geschichte von Ike Randolph und Buddy Lee Williams, die sich bei der Beerdigung ihrer Söhne treffen. Die beiden waren verheiratet und sind brutal ermordet worden. Die beiden Väter ziehen los um antworten zu finden. Und die finden sie…

Und damit bleibt mir nur noch, euch eine Gute Reise zu wünschen - auf der Strasse, die euch zu eurer Bestimmung führt. Passt auf euch und eure liebsten auf.

Wir lesen uns nächste Woche wieder.

Cheers,

Martin