Nord Nord Sec #17

Ivanti CEO bekennt sich zu mehr Sicherheit - Vier neue Ivanti Schwachstellen. Bitdefender, Exchange Server, OWASP, europäische Diplomat*innen. Zero-Day Exploits im Jahr 2023, Deutschland schlecht vorbereitet auf Cyberangriffe , Open Source Qualität, DevOps vs. Security und und und

Nord Nord Sec #17

Moin Hallo und Herzlich Willkommen - Eine neue Woche und wieder eine neue Ausgabe von Nord Nord Sec.

It’s meeting time (Generiert mit leonardo.ai)

Diese Woche habe Ich sowohl ein Bekenntnis des Ivanti CEO’s für mehr Security dabei - als auch vier neue gefixte Schwachstellen bei Ivanti Produkten.

Ausserdem gibt es weitere unangenehme News: Eine schwachstelle in Bitdefender, Europäische Diplomat*innen werden angegriffen, Hashicorp Vault mit einer Schwachstelle, ein Datenbreach bei der OWASP und massenweise Verwundbare Exchange Server.

Breaches und Schwachstellen

⚡️Vier neue Ivanti Schwachstellen gefixt Nachdem in den letzten Monaten bereits einige schwere Sicherheitslücken in Ivanti-Produkten gefixt wurden, sind Anfang April vier neue Schwachstellen abgedichtet wurden.

  • CVE-2024-21894: CVSS 8.2 - Eine Heap-Overflow Schwachstelle in Ivanti Connect Secure (9.x, 22.x) und Ivanti Policy Secure. Erlaubt unauthentifizierten Angreifer*innen einen DOS Angriff - und unter bestimmten Bedingungen auch Remote Code Execution.

  • CVE-2024-22052: CVSS: 7.5 - Eine Null-Pointer Dereference Schwachstelle in Ivanti Connect Secure (9.x, 22.x) und Ivanti Policy Secure. Erlaubt unauthentifizierten Angreifer*innen einen DOS Angriff.

  • CVE-2024-22053: CVSS: 8.2 - Eine Heap-Overflow Schwachstelle in Ivanti Connect Secure (9.x, 22.x) und Ivanti Policy Secure. Erlaubt unauthentifizierten Angreifer*innen einen DOS Angriff - und unter bestimmten Bedingungen auch Zugriff auf den Speicher.

  • CVE-2024-22023 CVSS: 5.3 - Eine XEE Schwachstelle in der SAML Komponente für Ivanti Connect Secure (9.x, 22.x) and Ivanti Policy Secure erlaubt unauthentifizierten Angreifer*innen eine DOS Attacke durch Ressource Exhaustion.

⚡️ Bitdefender Schwachstelle erlaubt lokale Privilegien-Ausweitung Ein Konfigurationsproblem in seccenter.exe, das in Bitdefender Total Security, Bitdefender Internet Security, Bitdefender Antivirus Plus und Bitdefender Antivirus Free verwendet wird, ermöglicht es einem Angreifer, das erwartete Verhalten des Produkts zu ändern und fremde DLLs bei der Ausführung zu laden.

Dieses Problem betrifft Total Security: 27.0.25.114; Internet Security: 27.0.25.114; Antivirus Plus: 27.0.25.114; Antivirus Free: 27.0.25.114.

Eine Aktualisierung auf Version 27.0.25.115 behebt die Schwachstelle.

⚡️Europäische Diplomaten mit raffinierter Cyberattacke konfrontiert Europäische Diplomat*innen wurden Opfer eines ausgeklügelten Cyberangriffs. Eine gefälschte Einladung zu einer Weinverkostung, die als PDF verbreitet wurde, enthielt einen bösartigen Link zu einem gefälschten Fragebogen. Dieser initiierte eine Infektionskette, die mit dem Download eines schädlichen HTA-Files namens "wine.hta" von einer kompromittierten Webseite weitergeführt wurde. Die Analyse des PDFs zeigte, dass es am 29. Januar 2024 mit LibreOffice 6.4 erstellt wurde.

Das HTA-File führte versteckten JavaScript-Code aus, der eine Base64-kodierte Textdatei herunterlud, diese entschlüsselte und zwei Dateien extrahierte: sqlwriter.exe, ein legitimes Microsoft-Binary, und vcruntime140.dll, eine schädliche DLL, die für ein DLL-Side-Loading verwendet wurde.

Die Ausführung von sqlwriter.exe löste die Infektionskette aus, indem die schädliche DLL geladen wurde, die wiederum das WINELOADER-Modul entschlüsselte und ausführte.

WINELOADER setzte Verschlüsselungs- und DLL-Hollowing-Techniken ein, um eine Erkennung zu vermeiden. Die Malware vermied die Injektion in bestimmte kritische DLLs und wählte stattdessen eine zufällige DLL aus dem Windows-Systemverzeichnis für die Injektion aus, bevor sie mit dem Command-and-Control-Server kommunizierte.

Ein Beacon-Request an den C2-Server wurde mittels eines HTTP GET-Requests mit verschlüsseltem Inhalt gesendet. Zusätzlich sorgte ein vom C2-Server erhaltenes Persistenzmodul dafür, dass sqlwriter.exe täglich ausgeführt wurde, um die Kontrolle über das infizierte System zu behalten.

Eine volle Liste IOCs befindet sich im verlinkten Artikel von zscaler - inklusive einiger Bilder von der PDF.

⚡️Schwachstelle in Hashicorp Vault Eine Schwachstelle in der Authentifizierung via TLS-Zertifikat ermöglichte unberechtigten Zugriff aufgrund einer unsachgemäßen Validierung von OCSP-Antworten.

Dieses Problem betrifft die Versionen 1.14.0 und höher, wurde jedoch in Vault 1.16.0 und Vault Enterprise 1.16.1, 1.15.7 und 1.14.11 behoben.

Benutzer*innen wird empfohlen, auf die gepatchten Versionen zu aktualisieren!

⚡️Databreach bei der OWASP entdeckt Auch Security Experten sind nicht vor Fehlkonfigurationen gefeit. Die OWASP Foundation entdeckte einen Konfigurationsfehler bei einem alten Wiki-Server. Dieser erlaubte es, auf Daten zuzugreifen, die nicht für die öffentlichkeit gedacht waren.

Die Art der durch die Datenpanne preisgegebenen Informationen beinhaltete persönliche Daten von Mitgliedern, die zwischen 2006 und 2014 in ihren Lebensläufen angegeben wurden. Diese Informationen umfassten Namen, E-Mail-Adressen und Telefonnummern.

In der Zwischenzeit wurde die Fehlkonfiguration behoben und sowohl der CDN-Cache gelöscht als auch die Einträge im Webarchiv.

⚡️BSI warnt vor 17.000 Angreifbaren Exchange Servern Das BSI warnt vor Sicherheitsrisiken bei über 17.000 Microsoft Exchange Servern in Deutschland. Ursächlich sind veraltete Versionen und fehlende Aktualisierungen, welche kritische Lücken offenlassen. Besonders betroffen sind Versionen von 2010 und 2013, aber auch neuere, nicht gepatchte Systeme.

Das BSI empfiehlt dringend, nicht mehr unterstützte Versionen zu ersetzen, aktuelle Sicherheitsupdates einzuspielen und erweiterte Schutzmaßnahmen zu aktivieren.

Kritik erfährt auch Microsoft, dessen Unterstützungsangebote oft hinter den Bedürfnissen der Betreiber*innen zurückbleiben.

Böse Zungen behaupten, dass das vielleicht ein Argument ist, um Kunden zur Nutzung der SaaS-Variante zu bringen.

Text

🔍️A review of zero-day in-the-wild exploits in 2023 Im Jahr 2023 beobachtete Google einen Anstieg der ausgenutzten Zero-Day-Schwachstellen im Vergleich zum Vorjahr, jedoch nicht so viele wie 2021. Fortschritte im Kampf gegen Zero-Days wurden durch Investitionen von Endnutzer-Plattformanbietern wie Apple, Google und Microsoft erzielt, die die Arten und Anzahl der ausnutzbaren Zero-Days deutlich beeinflussten. Angreifer*innen verlagern ihren Fokus nun auf Drittanbieterkomponenten und -bibliotheken.

Auf der Unternehmensseite wurden eine größere Vielfalt an Anbietern und Produkten sowie spezifische Unternehmens-Technologien zunehmend ins Visier genommen. Handelsübliche Überwachungsanbieter*innen (CSVs) führten 75 Prozent der bekannten Zero-Day-Ausnutzungen bei Google-Produkten sowie Android-Ökosystemgeräten durch. Die Volksrepublik China bleibt führend in staatlich unterstützter Ausnutzung, während finanziell motivierte Akteur*innen proportional abnehmen. Bedrohungsgruppe FIN11 und mindestens vier Ransomware-Gruppen nutzten neue Zero-Days aus. Empfehlungen umfassen den Aufbau starker Sicherheitsgrundlagen, die Förderung von Transparenz und Offenlegung sowie die Aktivierung von Schutzfunktionen für Nutzer*innen mit hohem Risiko, wie den Lockdown-Modus für iPhone-Nutzer*innen und den "HTTPS-First Mode" sowie das Deaktivieren des v8-Optimierers für Chrome-Nutzer*innen mit hohem Risiko.

🇩🇪 Claudia Plattner: Deutschland ist auf Cyberangriffe nicht gut vorbereitet Claudia Plattner, die Leiterin des Bundesamtes für Sicherheit in der Informationstechnik (BSI), hat ihre Besorgnis darüber geäußert, dass Deutschland nicht ausreichend auf Cyberangriffe vorbereitet ist. Besonders betont sie das Fehlen eines gemeinsamen Lagebildes zwischen Bund und Ländern sowie das Mangel an Strukturen für eine effektive Koordinierung in Krisensituationen. Plattner hebt die Dringlichkeit hervor, Maßnahmen für den Fall gravierender Cybervorfälle, wie gleichzeitige Stromausfälle in verschiedenen Städten durch geopolitische Spannungen, zu ergreifen. Sie weist darauf hin, dass das Grundgesetz eine gemeinsame Datenbank für solche Zwecke ausschließt, was die Situation kompliziert.

Die BSI-Chefin appelliert an die Politik, dem Thema Cybersicherheit Priorität zu geben, um katastrophale Auswirkungen, wie den Ausfall von Geldautomaten, zu verhindern. Für das Wahljahr legt das BSI den Fokus auf die Bekämpfung von Desinformation, um die Integrität des demokratischen Prozesses zu schützen.

Gut dass sich der Konsens der Sicherheitsforschenden mittlerweile auch schon bis zum BSI herumgesprochen hat, was den Status der IT Sicherheit angeht.

😡 Aggressive Scanning in Bug Bounty Aggressives Scannen kann zwar effektiver sein, birgt jedoch Risiken wie Service Degradation oder Ausfallzeiten. Es wird betont, dass die Einhaltung der Regeln des jeweiligen Programms entscheidend ist, um negative Folgen zu vermeiden. Sei es der Ausschluss aus dem Programm, oder rechtliche Konsequenzen - gerade in Deutschland winkt sonst schnell der Hackerparagraf.

Wichtig ist die Konfiguration der Tools gemäß den Anforderungen des Programms, insbesondere hinsichtlich der Anzahl der Anfragen pro Sekunde (RPS). Organisationen legen diese Beschränkungen fest, um Leistungseinbußen und übermäßige Alarme zu vermeiden. Forschende sollten daher die Dokumentation ihrer Tools gründlich prüfen und Einstellungen bezüglich der Anfragerate anpassen, um im Rahmen der Vorgaben zu bleiben und die Zusammenarbeit mit Programmverantwortlichen zu erleichtern.

🛩️ Open Source Quality Institute Im Zuge des xz Backdoors, hat Tim Bray über ein Open Source Quality Institute nachgedacht, und seine Gedanken dazu festgehalten.

Die vorgeschlagene Bildung von Open Source Quality Institutes (OSQI) zielt darauf ab, die Sicherheit und Qualität weit verbreiteter Open-Source-Software zu verbessern. Diese staatlich finanzierten Institute sollen von Software-Ingenieur*innen betrieben werden und sich auf Sicherheit, Wartung, Benchmarking und Bildung konzentrieren, um kritische Probleme in der Open-Source-Infrastruktur anzugehen.

Das Hauptziel ist der Schutz vor Angriffen, die Verbesserung von Softwarewerkzeugen und die Gewährleistung der Zuverlässigkeit essenzieller Software, die eine grundlegende Rolle in der modernen Gesellschaft spielt. Wesentliche Ziele umfassen Transparenz, Sicherheit, Werkzeugentwicklung, Wartung, Benchmarking und Bildung. Nicht-Ziele sind Lizenzierung, Zertifizierung, Features hinzufügen, Standards setzen und Litigation.

Die Notwendigkeit für OSQIs ergibt sich aus der zunehmenden Abhängigkeit von Open-Source-Software in kritischen Infrastrukturen und der gleichzeitigen Vernachlässigung dieser Software aufgrund fehlender Geschäftsmodelle für deren Wartung, während gleichzeitig eine starke Motivation für Angreifer besteht, diese zu kompromittieren.

🌅 Eclipse Foundation startet eine Foundation zur Schaffung von Cybersecurity Standards im Open Source Umfeld Verschiedenen Foundations (Apache, Blender, OpenSSL, PHP, Python, Rust und Eclipse) starten eine gemeinsame Initiative unter dem Dach der Eclipse Foundation, um den Grundstein zu legen, Angriffe auf Open Source Tools, Libraries und Maintainer (wie zuletzt bei xz bekannt geworden) zu verhindern.

🌎️ Failure to restrict URL access: It’s still a thing Geoff Walton beleuchtet die eine der klassischsten Sicherheitslücken in Web Applikationen. Dabei geht er auf Methoden wie Forced Browsing und Deep-Link-Discovery ein.

Tools wie Burp Suite und Techniken zum Aufspüren von Pfaden (Path Hunting) helfen, Sicherheitslücken aufzudecken.

Die Analyse von JavaScript-Bundles mittels regulärer Ausdrücke und die Nutzung von Burp-Erweiterungen wie JS Link Finder und JS Miner ermöglichen das Finden versteckter Pfade und Features. Die Manipulation von Feature-Flags über Burp Suite bietet weitere Möglichkeiten.

Nicht ohne Grund sind Broken Access Controls das häufigste Problem das durch die OWASP erfasst wurde.

⚙️ Spannungen zwischen DevOps und Cybersecurity Teammitgliedern Sean Wright thematisiert häufig auftretende Spannungen zwischen DevOps- und IT Security Teams. Grund dafür sind häufig die verschiedenen Ziele der Teams: DevOps fokussieren sich hauptsächlich auf schnelle Releases von Software, während Sicherheitsteams die Sicherheit der Anwendungen sichern wollen.

Diese unterschiedlichen Prioritäten führen oft zu Missverständnissen und Konflikten. Es wird betont, dass beide Teams letztendlich das gleiche Ziel haben: die effiziente und sichere Bereitstellung von Diensten.

Die Komplexität und Vernetzung von Software-Systemen sowie der verstärkte Einsatz von Open-Source-Software erhöhen die Notwendigkeit, die Software-Supply-Chain sicher zu gestalten.

Eine Schlüsselherausforderung dabei ist die Verwaltung von Risiken, die mit Sicherheitslücken verbunden sind. Eine enge Zusammenarbeit und Abstimmung der Sicherheitsmaßnahmen während des gesamten Entwicklungsprozesses sind entscheidend, um effektiv vor Schwachstellen zu schützen. Konflikte entstehen besonders dann, wenn Sicherheitsbedenken die Freigabe verzögern oder wenn DevOps-Teams Sicherheitsprüfungen umgehen, was zu Sicherheitsrisiken führen kann.

Sean Wright kommt dabei zu dem selben Schluss, der sich mir bei ähnlichen Fragen auch immer aufdrängt - nämlich dass der wichtigste Skill für Menschen in der IT Sicherheit ist, das gegenüber zu verstehen. Sich in die Rolle der anderen Hineinversetzen und die Kolleg*innen in der Entwicklung dabei unterstützen, ihre Software sicher zu releasen.

Video

🧠 4 Ways to Chat with your Notes Der Auto des Plugins obsidian-copilot für Obsidian, zeigt vier verschiedene Wege, wie das Plugin (und ein entsprechendes LLM) es ermöglichen, mit den Notizen

⚡️Ivanti’s Commitment to Security CEO Jeff Abbott bekräftigt den Einsatz für mehr IT Sicherheit in ihren Produkten. Die Zeit wird zeigen, wieviel das Wert ist.

Tools und Co.

🧠 Generative AI for Beginners Ein Einstiegskurs von Microsoft zum Thema Generative KI. Dabei werden in 18 Lektionen verschiedenste Bereiche abgedeckt: Von Prompt Engineering über die Entwicklung von Applikationen und Integration externer Applikationen. Natürlich gibt es auch ein Kapitel zur Absicherung von KI Applikationen - und am Ende noch einen Ausflug in die Welt der Open Source Modelle, KI Agenten und wie man ein LLM fine tunen kann.

🐧 cddmp/enum4linux-ng Rewrite von enum4linux - einem absoluten Standardtool zur Enumeration von Windows und Samba-Systemen von einem Linux-System aus. Diese Version unterstützt parsen und exportieren aller Findings.

🛥️ mrphazer/reverser_ai Ein Forschungsprojekt zur Automatisierung und Verbesserung von Reverse-Engineering-Aufgaben durch den Einsatz von lokal gehosteten großen Sprachmodellen (LLMs). Definitiv interessant - und wird zeitnah getestet.

🖲️montysecurity/C2-Tracker Ein kostenloser IOC Feed für C2 Infrastruktur, Malware etc.

Das Zitat der Woche kommt dieses Mal aus einem meiner absoluten Lieblingsbücher: The Unicorn Project von Gene Kim. Einem super Buch, das alle lesen sollten, die beruflich mit Softwareentwicklung zu tun haben. Gene Kim verpackt dabei die Methoden und Lösungsansätze, die die dysfunktionale Firma transformiert und rettet.

As Sensei W. Edwards Deming once observed, ‘a bad system will beat a good person every time.’

Gene Kim, The Unicorn Project

Cheers,

Martin