Nord Nord Sec #14

Spring Security CVE, Fortinet Schwachstellen, Roku Datenleck, Terraform State Manipulationen, LLM Security, Pairing-Rotationen und viel mehr. Featuring Will Ramos, Tanya Janca und Jan Marsalek

Nord Nord Sec #14

Moin, Hallo, Guten Morgen, Mittag oder Abend. Willkommen bei der nächsten Ausgabe Nord-Nord-Sec!

Die letzte Woche war (für mich) eher weniger dominiert von Breaches und Hacks - dafür haben mich Entwicklungs-Nahere Themen wieder etwas mehr eingenommen. Wie oft man Pairing-Partner*innen wechselt, ein Tool zum json-greppen und Terraform-State-Manipulationen - alles mit dabei im Newsletter!

Eine der grössten News ansonsten: Am 1. April geht der Microsoft Copilot for Security an den Start. Ich bin gespannt und hoffe, mir das ganze Zeitnah ansehen zu können.

Cyber-Pairing über den Wolken (Generiert mit leonardo.ai)

Also dann, starten wir! Viel Spass beim lesen 👋 

Breaches und Schwachstellen

🫘 Spring Security Zugriffskontrollmechanismen kaputt Im Spring Framework wurde eine Sicherheitslücke identifiziert, die Authentifizierungsprobleme in Java-Applikationen hervorrufen kann. Die betroffene Klasse AuthenticatedVoter gibt fälschlicherweise true bei leeren Authentifizierungsparametern zurück.

Diese Klasse ist in neueren Versionen von Spring Security durch AuthorizationManager ersetzt worden. Die Sicherheitslücke ist unter der CVE-ID CVE-2024-22257 registriert und hat einen CVSS-Score von 8,2, was ein hohes Risiko darstellt. Sie betrifft folgende Versionen von Spring Security:

  • 6.2.0 to 6.2.2

  • 6.1.0 to 6.1.7

  • 6.0.0 to 6.0.9

  • 5.8.0 to 5.8.10

  • 5.7.0 to 5.7.11

  • Ältere Versions, die nicht mehr im Support-Zeitraum liegen, sind ebenfalls betroffen!

Entwickelnde, die ältere, nicht mehr unterstützte Versionen verwenden, sollten auf eine neuere Version aktualisieren, um das Sicherheitsrisiko zu minimieren.

⚡️ Fortinet FortiOS und FortiProxy sammeln weiter CVEs. Es existiert auch bereits ein (kleiner) PoC - automatisierte Exploits sind also lediglich eine Frage der Zeit!

Die neu entdeckten Schwachstellen sind:

Klingt alles nicht so prall - vor allem wenn man bedenkt, das die beiden Produkte potenziell eher am Edge des eigenen Netzes eingesetzt werden. Not cool. 🚒 

📺️ 15.000 Roku-Accounts kompromittiert Roku, ein Streaming-Unternehmen, wurde Opfer eines Hackerangriffs, bei dem 15.000 Kundenkonten durch die Verwendung gestohlener Login-Daten aus anderen Datenlecks kompromittiert wurden. Die Hacker konnten vom 28. Dezember 2023 bis zum 21. Februar 2024 auf die Konten von 15.363 US-Bürgern zugreifen, da einige Roku-Konteninhaber dieselben Passwörter wie auf anderen Websites verwendet hatten. Durch den Zugriff auf die gekaperten Konten war es möglich, weitere Einkäufe über Roku zu tätigen, indem gespeicherte Kreditkartendaten verwendet wurden. Roku betonte jedoch, dass durch den Zugriff auf die betroffenen Konten keine Sozialversicherungsnummern, vollständigen Zahlungskontonummern, Geburtsdaten oder andere ähnlich sensible persönliche Informationen eingesehen werden konnten. Das Unternehmen hat Maßnahmen ergriffen, um betroffene Konten zu sichern und zwingt Nutzer zum Zurücksetzen ihrer Passwörter. Roku's Sicherheitsteam überwacht weiterhin auf verdächtige Aktivitäten und fordert Nutzer auf, wachsam zu bleiben. Betroffene oder besorgte Kunden können sich telefonisch unter 1-816-272-8106 oder per E-Mail an [email protected] an Roku wenden.

🧑‍💼 Hacks beim Internationalen Währungsfonds und dem NHS Mehrere große Organisationen, einschließlich des Internationalen Währungsfonds (IWF) und des National Health Service (NHS) in Schottland, waren kürzlich Ziel von Cyberangriffen. Beim IWF wurden elf E-Mail-Konten kompromittiert, eine Untersuchung wurde eingeleitet und Gegenmaßnahmen sind umgesetzt worden. Der NHS Dumfries und Galloway berichtet von einer fortwährenden Cyberattacke.

Ein weiterer Vorfall betrifft das irische Covid-Impfportal, das aufgrund einer unsicheren Konfiguration unbefugte Datenzugriffe zuließ, was personenbezogene Informationen und interne Dokumente betraf. Die Sicherheitslücke im Impfportal wurde identifiziert und geschlossen.

Text

🪖 Hacking Terraform State for Privilege Escalation Die meisten Entwickler*Innen wissen es - Finger weg vom terraform.state - denn das kann sehr schnell sehr problematisch werden.

Hier gibt es jetzt den passenden Perspektivwechsel auf die Seite der Angreifer, die Zugriff zu einem terraform state erlangt haben. Die Manipulation vom terraform.state in einem AWS-Umfeld kann Angreifern ermöglichen, ihre Privilegien zu erweitern. Dies erfolgt durch spezifische Änderungen in der Zustandsdatei, die Terraform dazu veranlassen können, Ressourcen wie AWS EC2-Instanzen zu löschen. Die Struktur von Zustandsdateien und die Risiken unbefugter Modifikationen werden erläutert. Zudem wird die Erstellung benutzerdefinierter Anbieter zur Ausführung bösartigen Codes innerhalb von Terraform beschrieben. Der Prozess des Bereitstellens benutzerdefinierter Anbieter und die Folgen der Modifikation von Zustandsdateien für die Privilege Escalation werden dargelegt, und Maßnahmen zur Minderung dieser Risiken werden vorgeschlagen, darunter das Festlegen von Anbietern außerhalb von Einsatzpipelines, die Sicherung der Zustandsdatei und das Aktivieren der Zustandssperre.

Definitiv ein interessanter Einblick - und ein weiterer Appell dafür, Defense in Depth Prinzipien im gesamten Entwicklungszyklus umzusetzen. Wenn das Statefile nicht manipuliert werden kann, gibt es hier keinen Angriff.

🤠 Microsoft kündigt “Copilot for Security” an - am 1. April geht’s los! Microsoft Copilot for Security wird am 1. April 2024 allgemein verfügbar sein. Diese Lösung zielt darauf ab, die Sicherheitsoperationen zu verbessern und maßgeschneiderte Einblicke zu bieten. Ein Schlüsselaspekt der neuen Funktionen ist die Möglichkeit für Benutzer, eigene Prompts für gängige Sicherheitsarbeitsabläufe zu erstellen und zu speichern. Darüber hinaus können Integrationen mit Wissensdatenbanken genutzt werden, um Copilot for Security mit dem firmeneigenen Know-How zu nutzen.

Zusätzlich wird Copilot for Security in der Microsoft Defender-Plattform für SIEM und XDR nutzbar sein, die Nutzende bei Threat Hunting und Mitigationen von gefundenen Sicherheitslücken unterstützen soll.

🐉 Summoning RAGnarok With Your Nemesis Spannender WriteUp von SpectreOps (Bloodhound), wie Sie ihre Nemeis Plattform mit einem RAG erweitert haben und nun ein Chat-Interface nutzen können. Damit können Fragen über Dateien, die von einem Command-and-Control (C2)-Agenten heruntergeladen wurden, gestellt werden und das Red Team kann sich so im idealfall einiges an Zeit sparen.

Die RAG-Architektur nutzt eine Kombination aus Textdokumenten, die in Textstücke zerlegt, indiziert und dann zur Beantwortung von Fragen mit Large Language Models (LLMs) verwendet werden. Die Hauptkomponenten umfassen das Chunking von Dokumenten, die Erstellung von Vektor-Embeddings mittels eines speziell trainierten Modells, die Speicherung dieser Vektoren in einer Vektordatenbank und die Anwendung von Ähnlichkeitssuchen, um relevante Textstücke für die Eingabeprompt eines LLM zu finden.

Das Projekt Nemesis nutzt speziell das gte-tiny-Embedding-Modell und Elasticsearch als Vektordatenbank. Zur Verbesserung der Suchergebnisse wird die Reciprocal Rank Fusion (RRF) Methode eingesetzt, sowie Re-Ranker zur Feinabstimmung der Ergebnisse. Aufgrund von Datenschutzbedenken werden kommerzielle Dienste mit unzureichenden Privatsphäre-Garantien vermieden. Die Implementierung erfolgt auf Basis des Intel/neural-chat-7b-v3–3 Modells, und die Bereitstellung wird durch ein einfaches Setup-Skript ermöglicht.

Die beiden Tools (RAGnarok und Nemesis) sind Open Source und ihr könnt euch das ganze dann auch direkt live anschauen - entsprechende Hardware vorausgesetzt.

🧑‍🚀 Two Bytes is plenty: FortiGate RCE with CVE-2024-21762 Super detailierter Writeup, wie aus einer Veröffentlichten CVE mit “out-of-bounds write” eine RCE wird. Dylan Pindur von Assetnote lässt dabei einen tiefen Blick in den Werkzeugkasten pfiffiger Reverse-Engineers und Exploit-Developer zu. Auch das Debugging Setup, verwendete Tools etc werden detailiert erklärt. Wer ein passendes Fortinet Device zur Hand hat, könnte die Schritte parallel nachvollziehen.

👾 LLM Side-Channel Angriff erfolgreich demonstriert Forscher der Ben-Gurion Universität demonstrierten, dass es möglich ist, aus verschlüsselt übertragenen Daten Antworten von ChatGPT und anderen GPTs mit hoher Zuverlässigkeit zu rekonstruieren. Dies beruht darauf, dass die Sprach-KIs Antworten in einzelnen Wörtern (Tokens) übermitteln und die verwendete Stream Cipher Verschlüsselung lediglich Zeichen ersetzt, was die Länge der Wörter erkennbar lässt. Diese Längeninformation, kombiniert mit den typischen Mustern in KI-Antworten, ermöglichte es den Forschern, eigene KIs zu trainieren, die in 29% der Fälle exakte und in etwa 55% sinngemäße Rekonstruktionen der KI-Antworten aus den Datenpaketgrößen erstellen konnten. Der Angriff betrifft nur die KI-Antworten, da die Benutzerfragen als Ganzes gesendet werden und keine Wortlängeninformationen preisgeben.

Wenn man sich das einmal vor Augen führt, ist das ganz schön kafkaesk. Menschen sprechen mit Maschinen - und andere Menschen nutzen andere Maschinen, um die Antworten der Maschinen erfolgreich entschlüsseln zu können. 🤯 

🐧 Neue BIFROSE Malware Variante aufgetaucht Cybersecurity-Forscher haben eine neue Linux-Variante des BIFROSE (auch bekannt als Bifrost) Remote Access Trojan (RAT) entdeckt, die sich durch die Verwendung einer Typo-Domain auszeichnet, die VMware nachahmt. BIFROSE ist seit 2004 aktiv und wird mit einer staatlich unterstützten Hackergruppe aus China in Verbindung gebracht, die als BlackTech bekannt ist. Diese Malware wird durch E-Mail-Anhänge oder bösartige Websites verbreitet und ermöglicht Angreifern, sensible Informationen von Opfern zu sammeln. Die neueste Variante zeichnet sich dadurch aus, dass sie eine typo Domain zur Tarnung als VMware verwendet, was auf den Versuch hinweist, die Angriffsfläche mit neuen Taktiken wie Typosquatting zu erweitern. Die Domain führt zu einem öffentlichen DNS-Resolver in Taiwan mit der IP-Adresse 168.95.1[.]1, um sich mit einem Command-and-Control (C2) Server unter dem Namen "download.vmfare[.]com" zu verbinden.

💃 🕺 What if We Rotate Pairs Every Day Die Untersuchung "What if We Rotate Pairs Every Day?" von Martin Fowler erforscht die Auswirkungen täglicher Pairing-Partner-Wechsel in der Softwareentwicklung. Teams begegneten anfänglich Herausforderungen, darunter Unterbrechungen und Schwierigkeiten beim Kontextwechsel. Um diesen zu begegnen, wurden Kernarbeitszeiten eingeführt und Meetings zeitlich angepasst.

Trotz anfänglicher Bedenken bezüglich einer potenziellen Verlangsamung der Arbeitsprozesse zeigte sich, dass häufige Rotationen den Austausch von Kontextinformationen und das Verständnis für laufende Aufgaben verbesserten. Die Dokumentation des Arbeitsfortschritts unterstützte zusätzlich den Kontextaustausch und förderte die Reflexion.

Die Praxis der täglichen Rotation führte zu einer effizienteren Problemlösung und einer besseren Verteilung des Wissens im Team, indem Wissenssilos aufgebrochen wurden. Letztlich entschieden sich die Teams jedoch gegen die Fortführung der täglichen Rotationen und wählten stattdessen einen 2- oder 3-tägigen Rhythmus. Die Erfahrung verbesserte dennoch generell die Häufigkeit der Paarrotationen und enthüllte Engpässe und Reibungspunkte im Entwicklungsprozess, die adressiert werden konnten.

Zusammenfassend zeigt die Studie, dass häufige Paarwechsel trotz anfänglicher Herausforderungen zu einer gesteigerten Effizienz, besserem Wissensaustausch und verstärkter Problemlösungskompetenz innerhalb von Entwicklungsteams führen können. Also - Probiert es mal aus. Verteilt das Wissen im Team!

🤖 ChatGPT Plugin Vulnerabilities Salt Security hat Schwachstellen in ChatGPT-Plugins identifiziert, die sensible Daten und Benutzerkonten auf Drittseiten gefährden könnten. Diese Sicherheitslücken betrafen hauptsächlich die OAuth-Authentifizierung, wodurch Angreifende ohne Bestätigung durch die Nutzenden schädliche Plugins installieren und unautorisierten Zugriff auf Konten erhalten konnten.

Eine spezifische Schwachstelle im AskTheCode Plugin ermöglichte potenziell die Übernahme von GitHub-Konten und den Zugriff auf Code-Repositories durch eine Zero-Click-Exploit.

Die betroffenen Parteien wurden informiert und haben Patches veröffentlicht. Zukünftige Maßnahmen umfassen die Entwicklung anpassbarer GPTs als Ersatz für die betroffenen Plugins.

Das Write-Up ist zwar recht lang, aber lohnt sich definitiv für alle, die sich für LLM Security interessieren!

Video

🤘 Will Ramos reagiert auf “Every Time We Touch” von Electric Callboy Will Ramos ist einfach so ein sweeter Mensch - und wie er das Lied feiert. Unglaublich. Find’s immer wieder schön, wenn Künstler auch abseits der eigenen Kunst begeisterungsfähig sind.

📅 What Do Hackers Do With Your Data Shannon nimmt die geneigten Zuschauer*Innen mit um aufzuzeigen, wie Hacker denn Daten gegen ihre legitiment Nutzer verwendet werden können. TODO

🕵️ Jan Marsalek: Vom Wirecard-Betrüger zum Spion? Es ist einfach ein unglaublich faszinierendes Dumpsterfire, was sich da nach dem Wirecard-Crash in der Nähe von München abspielt. Die bisherige Storyline hätte sich Tom Clancy nicht besser ausdenken können. Und das muss ich wissen - Ich hab die Romane letztens alle erst wieder gelesen 🤓 

💃 SheHacksPurple: Closer to Prod (a parody video) Tanya Janca hat zur Abwechslung mal nicht “nur” Educational Content gedroppt, sondern ein herrlich Unterhaltsames Video. Anschalten, Zurücklehnen und geniessen.

Tools und Co.

☠️ SpectreOps/Nemesis Eine offensive Data-Enrichment-Pipeline und Systeme zur Unterstützung der Red Team Operator. Basis für RAGnarok - ein Retrieval-Augmented Generation Chatbot-Frontend. Dem System können Fragen zu Text gestellt werden, der aus kompatiblen Dokumenten extrahiert und von Nemesis verarbeitet wurde. Faszinierende Technologie! 🔥 

🤯 tomnomnom/gron Kennt ihr das Problem, wenn ihr mit JSON Objekten arbeitet und “nur mal kurz” was sucht? Verzweifelt nicht länger - jq ist ja schon ganz nett, aber gron wird euch umhauen! Die Tagline make json greppable beschreibt es ganz gut. Übersichtlich, flott und easy to use. TomNomNom hat einfach mal wieder ein Problem gelöst, das viele Menschen haben.

Das Zitat der Woche stammt von Cory Doctorow. Der prämierte Science Fiction Autor, der bisher komplett an mir vorbei gegangen ist, wurde mit einem üppigem Humble Bundle bedacht. Und da habe Ich zugeschlagen und werde die nächsten Wochen lesen.

The important thing about security systems isn’t how they work, it’s how they fail.

Cory Doctorow

Da kann man nichts mehr hinzufügen. Solange alles wie geplant (oder gehofft) funktioniert, spielt es keine Rolle. Wenn dem nicht so ist - da wird es interessant.

Quasi “Im Westen nichts Neues” - but for IT Security!

Macht es gut, wir lesen uns nächste Woche wieder ❤️ 

Cheers,

Martin