Nord Nord Sec #41

Moin, Hallo, Ahoi und Herzlich Willkommen zur neuesten Ausgabe von Nord-Nord-Sec - Ich hoffe ihr seid gut ins neue Jahr 2025 gestartet.

Zwischen den Jahren gab es wieder einiges an Talks und Veröffentlichungen im Rahmen des 38c3 - und natürlich habe ich da einige Highlights mit für euch dabei. Aber auch abseits davon, gab es einiges interessantes: AI-Jailbreak Algorithmen, eine Sicherheitslücke in iterm2 und nuclei, erste AI-Botnet-Experimente und und und. Viel Spass bein lesen!

Artikel

Exploits, Hacks und Schwachstellen

⚡️404 Media | APpaREnTLy THiS iS hoW yoU JaIlBreAk AI Forscher von Anthropic haben einen Algorithmus entwickelt, der Jailbreak in KI Systemen generiert. Der Algorithmus wurde Best-of-N getauft, und versucht durch zufälliges groß- und kleinschreiben von Buchstaben, dem einbau von Rechtschreibfehlern, Grammatikfehlern etc. die Guard Rails zu überwinden.

Im Test bei verschiedenen, aktuellen Modellen gelang den Forschern dabei eine Erfolgsrate von über 50%. 🤯 

⚡️iterm2 | Information Leak in iterm2’ ssh integration Das neue Jahr ist noch keine Woche alt und schon haben wir eine Sicherheitslücke mit einem ordentlichen Impact. iterm2 ist in meinem Umfeld der meistgenutzte Terminal Emulator auf macos - und scheinbar ist das pendant zum printf-debugging da reingerutscht.

Unter bestimmten Voraussetzungen schreibt iterm2 sämtlichen In- und Output auf /tmp/framer.txt auf dem remote-Host, zu dem man eine ssh Verbindung aufgebaut hat.

Folgende Bedingungen müssen dabei zutreffen:

Prüft eure Server, ob ihr /tmp/framer.txt findet - und updated euer iterm2!

⚡️ wunderwuzzi | AI Domination: Remote Controlling ChatGPT ZombAI Instances

Schöner Write-Up einer persistenten Prompt Injection in ChatGPT, die die jeweiligen ChatGPT Sessions also Zombie-Systeme in ein neuartiges KI-Botnetz eingebettet hat. Der Schlüssel für den erfolgreichen Exploit war hier die eingeführte url_safe Mitigation, die eine Allow-Liste darstellt, die ChatGPT besuchen darf.

Da hier github darauf zu finden war - wie sollte man da auch drum rum kommen, wenn ein Grossteil der (Open Source) Entwicklung auf dieser Plattform stattfindet. So konnte github als C2 missbraucht werden.

Um dann Daten zu exfiltrieren, musste eine erlaubte Domain gefunden werden, die eine API bietet zu der via HTTP GET Daten gesendet werden können - Beispielsweise log files.

🚗 38c3 | Wir wissen wo dein Auto steht Ein weiterer Fall von “Bullshit made in Germany”. Kann man leider nicht anders sagen. Sinnloses Sammeln von Daten, Zugriff via falsch konfigurierter “Enterprise-Standard Software” (Spring Boot Actuator) und gib ihm.

⚡️ WIZ | Breaking the Chain: Wiz Uncovers a Signature Verification Bypass in Nuclei, the Popular Vulnerability Scanner (CVE-2024-43405) Der Artikel von Guy Goldenberg beschreibt eine interessante Sicherheitslücke in Nuclei. Diese entsteht durch eine Diskrepanz zwischen der Regex-Implementierung in Go und dem YAML-Parser.

Die Schwachstelle ermöglicht es, zusätzliche # digest:-Zeilen in Templates einzufügen, die die Signaturüberprüfung umgehen - und trotzdem vom YAML-Interpreter ausgeführt werden.

Spannender Research mit einem großen Potenziellen Impact. Security Tooling sollte zwar oft in isolierten und gut gewarteten Sandboxen laufen, bekommt aber oft doch einen Gewissen Vertrauensvorschuss. Oder es wird gezielt versucht, Sicherheitsforscher zu kompromittieren und da ist so eine Schwachstelle eine willkommene Gelegenheit. Also Augen auf beim Template-ausführen. 🤌 

Konzepte, Reports und Ideen

🛍️ 38c3 | Fake-Shops von der Stange: BogusBazaar Nachdem Ich aktuell das Vergnügen habe, mich mit einem Fall in der Familie zu befassen, bei dem so ein Shop zum Einsatz kam, war das eine unglaublich Interessante Datenreise. Passt auf euch und eure Kreditkartendaten auf, wenn ihr im Netz was kaufen wollt. Besondern ab Black Friday.

🪜 38c3 | Was macht ein IT-Systemadministrator in einem Alu-Schmelzwerk (Schafft die Deutsche Industrie die Digitalisierung) Absolut sehenswerter Vortrag aus mehreren Gründen. Erstmal ist der Vortragende ist ein klasse Entertainer. Lachen garantiert - wer schon einmal im deutschen Mittelstand “EDV” gemacht hat, wird sich wieder finden. Zum anderen regt sowohl der Humor als auch die offensichtliche Begeisterung für den Job dazu an, die eigene Arbeits-Situation mal wieder zu reflektieren.

Tech

🧑‍🔬 reddit | How We are Self Hosting Code Scanning at Reddit Ein unglaublich ausführlicher Post vom Reddit AppSec Team über ihren Code Scanner. Darin werden verschieden Tools integriert, z.B. OSV und trufflehog, und so behält das Team jeden Commit im Auge - und das ganze auch noch mit einer beeindruckenden Performance. Leseempfehlung für alle AppSec interessierten 😻 

👻 mitchellh.com | Talk: Introducing Ghostty and useful zig patterns Ghotty, das neue cool kid on the terminal-block, ist im Dezember released worden - und hier gibt der Main-Entwickler einen Einblick in den Tech Stack und die Design Patterns, die sich als besonders hilfreich und effizient herausgestellt haben.

Das Projekt finde ich generell recht interessant - allerdings bin ich mit kitty viel zu zufrieden, als das ich jetzt meinen Terminal Emulator wechseln wollen würde.

Testes jemand von euch schon ghostty?

Tools und Co.

🧬 helix-editor/helix Als großer Freund von vim (und natürlich nvim), bin ich über eine interessant aussehende Alternative entdeckt: helix. Ich werd’s mir mit Sicherheit mal ansehen - schon allein weil es (mal wieder) ein potenzielles Drop-In Replacement in Rust ist. Laut der dokumentierten default Keymap sollte das “einfach so” klappen 🙃 🦀 

📈 kellyshortridge.com | Deciduous-VS: Local Decision Tree Threat Modelling in VS Code Eine Extension um lokal in VS Code Threat Modelling Graphen zu erstellen - Count me in. Hat mir sehr gut gefallen - und fühlte sich definitiv besser an, als Miro-Boards zu malen. Wird weiter verwendet und weiter empfohlen. Wenn ihr Threat Modelling in euren Werkzeugkasten aufnehmen wollt, schaut euch das ganze einmal an 👍️ 

Das Zitat der Woche kommt diese Woche - wer hätte das gedacht - direkt vom Congress. Und zwar aus einem der Talks, die mittlerweile schon ganz traditionell alle Jahre wieder auftauchen: Den Security Nightmares. Dem IT-Sicherheitsalptraum-Rückblick.

Und da der Weihnachtliche IT Support eben auch für viele IT’ler ein Alptraum ist, genau wie die Einrichtung oder Bedienung von Druckern, ist das einfach hängen geblieben.

In diesem Sinne wünsche Ich euch wenig notwendigkeit zu (IT) Support, funktionierende Drucker und auch sonst ein erfolgreiches, gesundes und gute Jahr 2025.

Cheers,

Martin

PS: Euch gefällt was ihr hier lest? Schaut auch mal bei meinen Empfehlungen vorbei und meldet euch an. ❤️