Nord Nord Sec #22

Moin, Hallo und Herzlich Willkommen - Auch diese Woche heisst es wieder “Leinen Los” bei Nord Nord Sec.

Breaches und Schwachstellen

⚡️Linguistic Lumberjack: Schwachstelle in Fluent Bit Logger gefunden Ein kritischer Sicherheitsfehler wurde in dem beliebten Logging Tool Fluent Bit entdeckt. Dieser Fehler ermöglicht DoS-Angriffe, Information Leaks oder die Ausführung von Code (Remote Code Execution).

Der Fehler, (CVE-2024-4323) wurde von den Researchern von Tenable Linguistic Lumberjack getauft und betrifft die Versionen 2.0.7 bis 3.0.3.

Die Schwachstelle beruht auf einer Speicherkorruption im integrierten HTTP-Server von Fluent Bit, die durch speziell gestaltete Anfragen an die Monitoring-API ausgenutzt werden kann. Tenable Research konnte die Schwachstelle zuverlässig ausnutzen, um den Dienst zum Absturz zu bringen und so einen DoS herbeizuführen.

Die Möglichkeit zur Ausführung von Code hängt jedoch von verschiedenen Umgebungsfaktoren ab.

Solltet ihr betroffen sein: Schnellstmöglich mindestens auf Version 3.0.4 migrieren.

⚡️Cannabis-Rezepte, Krankschreibungen und ein Datenleck: Die Online-Krankschreibungs- und Rezeptplattform Dr. Ansay steht derzeit mit einem unangenehmen Datenleck (und der Reaktion darauf) in der Kritik. Ein Verzeichnis mit generierten PDF Dateien von Cannabis-Rezepten war öffentlich im Internet erreichbar und wurde dann von den Crawlern von Bing und Duckduckgo indexiert.

Mittlerweile ist das grundsätzliche Datenleck behoben.

Die Plattform stand schon öfter in der Kritik, unter anderem wegen Corona-Test-Zertifikaten ohne Kontakt mit einem Arzt. Ich muss gestehen, bis mir diese Meldung untergekommen ist, habe ich noch nie etwas von dieser Seite gehört. Spricht für mich, oder?

⚡️ Github Enterprise: CVE-2024-4985 eine glatte 10 von 10 Die Sicherheitslücke erlaubt einen vollständigen Auth-Bypass, wenn SAML SSO mit encrypted assertions genutzt werden.

Aktualisierte Versionen sind vorhanden - Patcht wenn ihr betroffen seid!

Text

🧠 Threat-Actors Use of Artificial Intelligence Ein Versuch, die Nutzung von KI Tools durch Bedrohungsakteure zu erkennen und zu mappen. Die grosse Schwierigkeit dabei ist, das die Nutzung von KI Tools nicht unbedingt erkannt werden kann. Sekundärstudien haben jedenfalls gezeigt, das z.B. Phishing-Angriffe seit dem öffentlichen Release von Chat-GPT zugenommen haben.

Wir können jedenfalls davon ausgehen, das die Cyber-Kriminellen - egal ob State-Sponsored oder Freelance - sich alle Werkzeuge zunutze machen, die sie zur Verfügung haben.

💰️ Kostenlose VDPs bei Bugcrowd Die Bug Bounty Plattform Bugcrowd hat ein neues, kostenloses Angebot für Firmen bekannt gegeben: Das VDP Compliance.

Bugcrowd ist hier lediglich die Website, auf der das Programm definiert ist. Triagieren der Reports muss dann von den jeweiligen Firmen selbst erledigt werden.

Auch wenn sich das im ersten Moment vielleicht nicht sonderlich nützlich oder revolutionär anhört - am Ende ist es ja nichts anderes, als wenn in der security.txt eine Kontaktadresse für Sicherheitsprobleme angegeben ist, gibt es einen klaren Benefit für die Kunden: Die Sichtbarkeit auf einer der grössten Bug Bounty Plattformen der Welt. Viele aktive Bug Bounty Hunter suchen nicht abseits der Plattformen nach einem neuen Ziel. Wer dort nicht gelistet ist, fällt den ethisch agierenden Hackern nicht auf.

Mit diesem Angebot kann man dort auch für kleines Geld präsent sein. Allerdings sollte dann auch die notwendige interne Infrastruktur und die zugehörigen Release- und Patchprozesse bereit stehen.

🦍 Kong API Gateway Misconfigurations: A Case Study Die Sicherheitsforscher von Trend Micro haben eine Case Study zu Kong API Gateway Fehlkonfigurationen und den etwaigen Folgen davon angefertigt.

Dabei wird betont, dass die Sicherung der Administrations-API und der Datenbank vor unberechtigtem Zugriff und potenziellen Datenverletzungen elementar ist. Fehlkonfigurationen können zur Offenlegung von Informationen und Kompromittierungen führen.

Definitiv ein Interessanter Artikel - auch weil es scheinbar mehrere Hunderttausend falsch Konfigurierter API Gateways auf shodan zu finden gibt…

🇨🇳 Microsoft bietet Mitarbeitenden in China die Versetzung in eine andere Region an Microsoft fordert fast 10% seiner Mitarbeitenden in China auf, in die USA, Irland, Australien oder Neuseeland umzuziehen. Dies betrifft insbesondere Ingenieure, die in den Bereichen Machine Learning und Cloud-Computing tätig sind.

Diese Ankündigung erfolgte kurz nach der Bekanntgabe des Weißen Hauses, die Zölle auf High-Tech-Produkte aus China zu erhöhen, und wird als Reaktion von Microsoft gesehen, um die US-Regierung zufrieden zu stellen.

Obwohl das Unternehmen nicht bestätigte, wie viele Mitarbeiter die Möglichkeit zur Versetzung erhielten, sagen interne Quellen, dass es 700 bis 800 Personen betrifft, was einen erheblichen Teil der in China ansässigen Belegschaft von Microsoft darstellt. Dies könnte zu einem erheblichen Verlust von Spitzenkräften in China führen, insbesondere angesichts ihrer hochspezialisierten Fachkenntnisse.

Video

🚪 Go Beyond Gatekeeping: A Systems Design Approach to Security Engineering Inspirierende Keynote von Karthik Rangarajan. Auch er stellt heraus, das eine enge Zusammenarbeit zwischen IT Security und Product Development Teams elementar ist, um möglichst schnell möglichst hochqualitative Software zu liefern - die nicht voll von kritischer Sicherheitslücken ist.

Tools und Co.

🔫 utkusen/urlhunter Ein Recon-Tool, das die Suche nach URLs ermöglicht, die über Link shortener wie bit.ly und goo.gl veröffentlicht wurden. Dabei nutzt das Tool Keywords, die über logische UND Verknüpfungen gesucht werden.

⚒️ Codecrafters.io Trainings/Challenge-Plattform für Entwickler*innen, die anhand echter Beispiele lernen wollen. Egal ob Implementierung eines git-Klons, eines Webservers, DNS Servers oder Bit Torrent - da sollte für jede*n etwas dabei sein 👍️ 

Das Zitat der Woche stammt von Kevin Kelly. Ich bin über seinen exzellenten Post mit 101 Life Advice gestolpert und da gab es einiges, was mich innehalten und nachdenken lassen.

Ich bin mir sicher, wir alle kennen Personen, denen wir mehr als eine Zweite Chance gegeben haben, sich uns gegenüber (oder anderen) angemessen zu verhalten. Irgendwann muss man sich dann die Frage stellen, ob das alles sein muss. Und die Antwort ist: Nein. Wenn Grenzen nicht akzeptiert werden, darf man sich nicht wundern, wenn man die Tür gezeigt bekommt.

Passt auf euch auf - lasst es euch nach Möglichkeit gut gehen und wir lesen uns kommende Woche wieder.

Cheers,

Martin