- NordNordSec
- Posts
- Nord Nord Sec #13
Nord Nord Sec #13
Spass mit TeamCity, Jenkins Plugin Exploits, Ransomware Kampagnen, tmux, nuclei und haveibeenpwned
Nord Nord Sec #13
Hallo, Moin moin und schönen Mittag - die verflixte 13 hat mir tatsächlich meine Streak kaputt gemacht. Ich hab schlicht und einfach verpeilt, gestern Abend den Newsletter zu schedulen. Ich hoffe ihr habt euren Morgen-Kaffee auch ohne geniessen können.
(CI/CD) Pipeline Sabotage Crew (Generiert mit leonardo.ai)
Also dann - ab dafür und viel Spass mit TeamCity, Jenkins, Ransomware, tmux und viel mehr!
Breaches und Schwachstellen
⚡️TeamCity Schwachstellen werden aktiv ausgenutzt Die kürzlich öffentlich gemachten Schwachstellen für TeamCity (CVE-2024-27198 und CVE-2024-27199) werden aktiv ausgenutzt - seit der Veröffentlichung läuft die Zeit. Von ca. 1700 öffentlich erreichbaren Systemen sollen bereits mehr als 1300 kompromittiert sein!
Deutschland führt die Liste mit 330 öffentlich erreichbaren Systemen an - falls ihr dazu gehört und noch nicht gepatcht habt: Prüft die Logs, geht von einer Kompromittierung aus und handelt dementsprechend.
⚡️Jenkins Security Advisory mit diversen Plugin-Schwachstellen Neben TeamCity ist noch ein weiterer CI Server diese Woche im Fokus: Jenkins. Folgende Plugins enthalten Schwachstellen und sollten so bald wie möglich gepatcht werden:
AppSpider Plugin CVE-2024-28155
Bitbucket Branche Source Plugin CVE-2024-28152
Build Monitor View Plugin CVE-2024-28156
Delphix Plugin CVE-2024-28161, CVE-2024-28162
docker-build-step Plugin CVE-2024-2215, CVE-2024-2216
GitBucket Plugin CVE-2024-28157
HTML Publisher Plugin CVE-2024-28149, CVE-2024-28150, CVE-2024-28151
iceScrum Plugin CVE-2024-28160
MQ Notifier Plugin CVE-2024-28154
OWASP Dependency-Check Plugin CVE-2024-28153
Subversion Partial Release Manager Plugin CVE-2024-28158, CVE-2024-28159
Trilead API Plugin CVE-2023-48795
Allerdings gibt es für
build monitor view Plugin
docker-build-step Plugin
GitBucket Plugin
iceScrum Plugin
Subversion Partial Release Manager Plugin
noch keine Patches.
⚡️ GhostSec und Stormous starten große Ransomware-Kampagne GhostSec und Stormous, zwei Cybercrime-Gruppen, haben sich zusammengeschlossen, um in über 15 Ländern Ransomware-Angriffe durchzuführen. Sie zielen auf verschiedene Geschäftsbereiche ab und haben ein Ransomware-as-a-Service-Programm namens STMX_GhostLocker gestartet. Die Gruppen entwickelten GhostLocker 2.0, das in Go geschrieben ist und schnelle Verschlüsselungsfähigkeiten sowie eine überarbeitete Lösegeldforderung bietet. Affiliate-Partner erhalten Werkzeuge zur Überwachung der Operationen und zur Anpassung der Ransomware-Last. Die Angriffe betreffen Länder wie 🇨🇺Cuba, 🇦🇷Argentinien, 🇵🇱 Polen, 🇨🇳China und viele mehr. GhostSec hat Werkzeuge entwickelt, um legitime Websites zu kompromittieren, einschließlich eines Tools für Cross-Site-Scripting-Angriffe, das sich auf WordPress-Seiten konzentriert. Diese Entwicklungen deuten auf ein zunehmendes Engagement und eine Weiterentwicklung der Fähigkeiten von GhostSec im Bereich der Cyberkriminalität hin.
⚡️American Express Data Breach American Express hat einen Datenschutzverstoß bekannt gegeben, der durch einen Drittanbieter verursacht wurde und Kundendaten betrifft. Darin enthalten seien Namen, Kartennummern und Ablaufdaten von Karten. Das Unternehmen betont, dass seine eigenen Systeme nicht betroffen waren, überwacht betroffene Konten auf Betrug und versichert Kunden, dass sie für unbefugte Belastungen nicht haftbar gemacht werden. Solche Aussagen hört man nach Breaches ja öfter - mal sehen, ob da irgendwann noch mehr Bekannt wird, oder ob es dabei bleibt, das die eigenen Systeme nicht betroffen sind.
⚡️ Schwachstelle in Aruba Clearpass Policy Manager ermöglicht Codeschmuggel Die Sicherheitssoftware Clearpass Policy Manager von Aruba weist mehrere kritische Sicherheitslücken auf, die es Angreifern ermöglichen könnten, Schadcode einzuschleusen und auszuführen. Unter den Schwachstellen befindet sich eine besonders kritische im Apache Struts-Server (CVE-2023-50164, CVSS 9.8), sowie fünf hoch eingestufte Lücken in der webbasierten Verwaltungsoberfläche (CVE-2024-26294 bis CVE-2024-26298, CVSS 7.2). Zusätzlich gibt es Cross-Site-Scripting-Schwachstellen und Lücken, die Informationsabfluss ermöglichen, mit mittleren Risikobewertungen. Betroffen sind die Versionen 6.12.0, 6.11.6, 6.10.8 und 6.9.13 des ClearPass Policy Managers sowie ältere Releases, einschließlich Systeme am End-of-Life. Aruba hat Updates bereitgestellt und empfiehlt, den Zugriff auf die Verwaltungsoberfläche durch Netzwerksegmentierung und Firewall-Richtlinien zu beschränken, um das Risiko von Angriffen zu mindern.
Sollte man ohnehin machen, um so kritische Systeme nicht unnötig stark zu exponieren. 🤓
Text
🇩🇪 CERTbund bindet haveibeenpwned ein Troy Hunt meldet, das mit Deutschland das 35. Land haveibeenpwned integriert - und so für alle Domains unter deren Verwaltung.
0️⃣ The Rising Threat: A Surge in Zero-Day Exploits Zero-Day-Exploits, also vorher unbekannte Schwachstellen in Software oder Hardware, stellen eine wachsende Bedrohung dar. Cyberkriminelle und Advanced Persistent Threats (APTs) investieren erhebliche Ressourcen, um diese zu entdecken und nutzen verschiedene Methoden wie Fuzzing und Schwachstellenscans. Einige Akteure kaufen Zero-Day-Exploits auch im Dark Web ein. Die Veröffentlichung von Proof of Concept (POC) Code in Foren kann Chaos verursachen und Hersteller bloßstellen.
Um das Problem der Zero-Day-Exploits einzudämmen, schlägt der Artikel mehrere proaktive Maßnahmen vor:
1. Informiert bleiben: Es ist wichtig, sich kontinuierlich über Cybersicherheitsnachrichten und die Bekanntmachung neuer Schwachstellen auf dem Laufenden zu halten. Dies hilft, potenzielle Bedrohungen frühzeitig zu erkennen. Ihr seid hier also schon genau richtig 😉
2. Schnelles Patchen: Eine robuste Patch-Management-Strategie ist entscheidend, um bekannte Schwachstellen umgehend zu adressieren. Dies verringert das Fenster der Anfälligkeit gegenüber Zero-Day-Exploits. Je schneller die Schwachstellen gepatcht werden - desto kleiner ist die Wahrscheinlichkeit, dass die Schwachstelle bemerkt und ausgenutzt wird.
3. Defense-in-Depth: Eine mehrschichtige Sicherheitsstrategie, die Firewalls, Intrusion-Detection-Systeme und Endpoint Protection umfasst, kann das Risiko von Angriffen nach der Ausnutzung von Zero-Day-Schwachstellen reduzieren. Und natürlich das Netzwerk vernünftig segmentieren, Principle of Least-Privilege implementieren und und und.
4. Threat Hunting: Da Zero-Day-Exploits oft Wochen oder Monate vor ihrer Bekanntmachung von Angreifern genutzt werden, ist es entscheidend, proaktiv nach Anzeichen für Kompromittierungen im Netzwerk zu suchen.
5. Testen: Regelmäßige Tests der vorhandenen Kontrollen und Systeme sind unerlässlich, um ihre Effektivität zu überprüfen. Dies schließt "Assumed Breach"-Engagements ein, bei denen nicht nur bekannte Techniken des Erstzugriffs, sondern auch nachfolgende Aktivitäten nach einem Zugriff getestet werden.
🥦 Kiffer-Listen: Datenschutzalbtraum Legalisierung Die Legalisierung von Cannabis in Deutschland durch die Ampelkoalition erfolgt in stark regulierter Form, vor allem über Anbauvereinigungen, die Cannabis an ihre Mitglieder abgeben dürfen. Diese Vereinigungen müssen detaillierte Aufzeichnungen über ihre Mitglieder führen, einschließlich persönlicher Daten und Informationen zum Cannabisverbrauch, die sie fünf Jahre lang speichern müssen.
Es besteht die Befugnis, diese Daten ohne spezifische Verdachtsmomente oder richterliche Anordnung an andere Behörden weiterzugeben, was erhebliche Datenschutzbedenken hervorruft. Kritiker sehen in der Datenhaltung und -weitergabe einen Verstoß gegen Datenschutzstandards und befürchten eine staatliche Überwachung.
Die Regulierung und die damit verbundenen Datenschutzprobleme könnten potenziell Konsumenten von einer legalen Teilnahme abhalten - und sollten das vermutlich auch. Vor allem da die nächste Regierung vermutlich direkt versuchen wird, die legalisierung wieder zurück zu nehmen. ¯\ (ツ) /¯
🛑 Fritz.box Domain aus dem Verkehr gezongen Nachdem letztens viele Fritzbox-User:innen sich gewundert hatten, warum sie durch die URL fritz.box
nicht zu ihrem Router gekommen sind sondern zu einer NFT-Plattform, gibt es hier neues. Ein Streitbeilegungsverfahren via Uniform Rapid Suspension Systems (URS) führte zur Entfernung des Namens aufgrund offensichtlicher Markenverletzungen.
🧠 AI is already becoming like reading Daniel trifft mit seinem Gedanken mal wieder den Nagel auf den Kopf. Nach einem kurzen Hype, verschwindet KI bei vielen Menschen schon wieder aus dem Gedächtnis. Ich habe ebenfalls in den letzten Monaten beobachten können, das nach einer kurzen Begeisterung - oder auch nur Interesse - für das Thema und die Möglichkeiten, weiter wie bisher gemacht wird. Hier wird massenhaft potenzial liegen gelassen. Genau so wie bei Büchern bzw. Bildung allgemein. Jede und Jeder kann sich weiter bilden. Auch und gerade nach der Schule bzw. dem Studium, der Ausbildung, whatever. Let’s go, haut rein und tut es!
🔍️Is Nuclei Any Good for API Hacking? Dana Epp nimmt uns (mal wieder) mit auf eine kurze Tour durch sein Arsenal und seine Gedanken. Diesmal wird eines meiner Lieblings-Tools auf seine API-Hacking-tauglichkeit geprüft. Long Story Short: Ja, nuclei
kann auch im API Hacking Kontext genutzt werden - und zwar ganz gezielt mit einigen Templates wie http/exposed-panels
, http-technologies
und http/token-spray
.
Die Tatsache das es sich aufgrund seiner leichtgewichtigkeit und modularität auch in Burp integriert, macht es nur noch nützlicher.
Bin gespannt, wann der erste nuclei
in caido
integriert.
Video
🖋️ tmux will skyrocket your productivity In letzter Zeit zieht es mich immer wieder weiter zurück auf die Basis-Technologien (und meine Unfähigkeit, diese Effizient zu nutzen).
Tools und Co.
💪 projectdiscovery/nuclei Performanter und konfigurierbarer Schwachstellen-Scanner. Falls ihr nuclei
noch nicht kennt - probiert es aus. Ich bin mir sicher, ihr werdet des öfteren darauf zurück greifen.
Das Zitat der Woche kam mir beim vorlesen für meine Kinder vor die Augen. Als wir (mal wieder) Pippi Langstrumpf gelesen haben, sind wir nach diesem Zitat ins plaudern gekommen. Meine Kinder haben mir dann wieder einmal gezeigt, dass es eigentlich ganz einfach ist, auch mal dankbar zu sein, wenn es einem gut geht. Gesund, Dach übern Kopf und Essen auf dem Tisch - die wichtigsten Sachen sind abgedeckt, alles andere ist erstmal Bonus.
„Wie schön ist es doch zu leben“, sagte Pippi und streckte ihre Beine weit von sich.
Geniesst die Sonne, wenn Sie bei euch scheint - oder entspannt bei Regen mit einem guten Buch, Video oder euren liebsten an einem gemütlichen Ort.
Bis nächste Woche!
Cheers,
Martin