Nord Nord Sec #42

Moin, Hallo, Ahoi und Herzlich Willkommen zur Zweiundvierzigsten Ausgabe von Nord-Nord-Sec. Leider kann ich euch nicht mit dem Sinn des Lebens beglücken - aber dafür mit dem ein oder anderen Interessanten Artikel, Video oder Podcast aus der weiten Welt des Cybernets.

Dieses mal gibt es wieder eine bunte Mischung aus Sicherheitslücken, Credential-Leaks, einem Hardware-Bastel Projekt, ein bisschen Cloud-Security und Supply-Chain Security Themen.

Viel Spass beim lesen!

Artikel

Exploits, Hacks und Schwachstellen

⚡️Bug Bounty Reports Explained | GitLab’s First Critical SSRF since 2020 Ein neues Feature in Gitlab - das Analytic Dashboard - beinhaltete die erste Kritische SSRF Schwachstelle die in Gitlab seit 2020 gefunden wurde. Keine Schlechte Quote, wenn Ihr mich fragt.

Durch einen Fehler im JSON Parsing, gab es die Möglichkeit, unter einer bestimmten kubernetes URL eine Full-Read SSRF zu exploiten, und so Cluster-interne Daten zu extrahieren - wie Beispielsweise Keys aus einer Redis Instanz.

Ein paar weitere Details findet hier 🧠hier.

⛲️ bleepingcomputer | Hackers leak configs and VPN credentials for 15,000 FortiGate devices Es gab einen grösseren Leak an Fortinet Configs und VPN Credentials - Der Link geht laut Kevin Beaumont vermutlich auf einen 2022er Zero Day zurück: CVE-2022-40684.

Solltet ihr FortGate nutzen, hoffe Ich ihr habt die Credentials bereits rotiert. Ansonsten schnell, schnell - und Logs checken, ob da nicht schon jemand bei euch drin ist.

⚡️ Dhole Moments | Don’t Use Session (Signal Fork) Soatok führt aus, warum es keine gute Idee ist, den Signal Fork Session einzusetzen. Long Story Short: Das Session Team hat unter anderem Perfect Forward Secrecy entfernt… 🤦 

Desweiteren werden noch Schwachstellen in der implementierten Kryptografie aufgeführt. Also: Bleibt beim Original und nutzt den Signal Client für Signal. e

Konzepte, Reports und Ideen

🧠 AWS | Neuer AWS Skill Builder Kurs: Securing Generative AI on AWS Das dürfte einige von euch Interessieren: AWS hat einen neuen Kurs auf ihrer Skill Builder Website veröffentlicht, der sich mit dem absichern von KI-Infrastruktur auf AWS beschäftigt.

Ich habe bisher viel positives von diesen Trainings gehört. Falls den Kurs jemand nimmt, gebt Bescheid wie er war!

👑 Joseph Thacker (rezo) | Huge Life Update and The Best of 2024 Joseph gibt bekannt, das er das Leben eines Angestellten hinter sich gelassen hat und jetzt als Full Time Bug Bounty Hunter, Solo Founder und neuer Co-Host des Critical Thinking Bug Bounty Podcasts seine Brötchen verdient.

Auch seine Tops aus 2024 sind Interessant - schaut gerne rein und lasst euch inspirieren. 👍️ 

Tech

🔐 1Password | Confidential computing at 1Password 

Wie stellt 1Password eigentlich sicher, dass die Daten der Kund*innen auch privat bleiben? Einen Teil der Antwort liefert dieser Artikel, in dem beschrieben wird, wie bei 1Password Confidential Computing in AWS implementiert und umgesetzt wird. Daten werden in einer isolierten Umgebung, der sogenannten „Enclave“, geschützt. Die Architektur gewährleistet ein hohes Maß an Sicherheit und Privatsphäre durch verifizierbare Garantien, während Administratoren keinen Zugriff auf den Code und die Daten innerhalb des Enclaves haben.

⌨️ Keyboard Builders’ Digest | Fragaria-27 Sehr sehr cooles Konzept für ein Makro Pad - der Form-Faktor ist nämlich passend zu einem iPhone 13/14 Pro Max und kann so in einer dazu passenen Schutzhülle Platz finden. Der Stecker passt natürlich ebenfalls dazu. 👍️ 

🐍 PyPi.org | Project Quarantine In einer der letzten Ausgaben hatte ich das Quarantine-Feature schon einmal kurz beleuchtet, das von pypi eingeführt wurde, um Malware in ihren Repositories zu bekämpfen.

Mike Fiedler, PyPi Admin, Safety & Security Engineer nimmt uns hier mit auf einen Deep Dive in die Implementierung und gibt einen Ausblick auf folgende Verbesserungen.

Tools und Co.

🩻 kulkansecurity/gitxray Ein nettes Tool, um sich über ein Repository - oder eine ganze Organisation und deren Repositories - auf github zu informieren. Auch über einzelne Nutzer können detailierte Informationen extrahiert werden.

Auch verdächtige Assoziationen zwischen Github Accounts werden versucht zu identifizieren. Dazu werden unter anderem SSH und PGP Schlüssel FIngerprints, Account und Schlüsselerstellungs-Daten verglichen.

Das Zitat der Woche stammt diesmal aus einem meiner Lieblingspodcasts. Die, bei denen sich eine neue Folge direkt an die Spitze der Queue setzen.

In der Best-of Folge 105 geht Justin durch seine Lieblingsmomente des letzten Jahres - unter anderem

Und mit diesen Worten, verabschiede Ich euch - bis bald 👋 

Cheers,

Martin

PS: Euch gefällt was ihr hier lest? Schaut auch mal bei meinen Empfehlungen vorbei und meldet euch an. ❤️