Nord Nord Sec #8

Neue Kategorie, Neue Breaches, Neue Tools: Auth-Token in die öffentlichkeit, Ivanti Exploits, Cloudflare Breach, AnyDesk for everyone, AppSec Karriere, Jira-Lens, git-dumper

Nord Nord Sec #8

Ahoi und Herzlich Willkommen! Auch heute heisst es wieder Leinen Los! und auf Richtung Nord Nord Sec.
Diese Woche gab es so viel an Material, das der Newsletter um eine neue Kategorie erweitert wurde: Breaches und Schwachstellen. Wer hätte das Gedacht - auch in 2024 gibt es immer noch die ein oder andere Schwachstelle, die auftaucht. APT Crews haben den Weihnachtsurlaub beendet, die Researcher kommen langsam auch wieder im Flow - bin gespannt, wie das die nächsten Wochen und Monate weiter läuft.

Diese Woche war scheinbar wild - deshalb gibt es auch eine neue Kategorie: Breaches und Schwachstellen. Also falls jemand keinen Bedarf hat, zu lesen was aktuell alles aufgemacht wurde, solltet ihr das skippen.

Breaches und Schwachstellen

⚡️ Mercedes hat versehentlich einen GitHub Acces Token veröffentlicht Der geleakte Token ermöglichte Zugang zu dem gesamten, auf dem GitHub Enterprise Server des Autoherstellers gespeicherten, Quellcode. Der Token wurde während eines Scans entdeckt und in dem GitHub-Repository des Mitarbeiters gefunden. Mercedes-Benz bestätigte den Leak und erkannte die Schwere des Vorfalls an. Sie reagierten sofort, indem sie den betreffenden API-Token invalidiert haben. Zuvor konnte potenzielle Angreifer den Token verwendet haben, um auf API-Schlüssel, Blaupausen, Cloud-Zugangsschlüssel, Datenbankverbindungsstrings, Design-Dokumente, Dateien, Berichte, Quellcode, SSO-Passwörter und andere kritische interne Informationen zuzugreifen. Der Vorfall ereignete sich im September 2023, wurde jedoch erst im Januar 2024 entdeckt. Das bedeutet wohl 1x Forensik auf intensiv.

⚡️ Neue Malware im Zusammenhang mit Ivanti-Exploits aufgetaucht Mandiant hat eine neue Malware identifiziert, die unter anderem von der chinesischen APT Gruppe UNC5221 eingesetzt wird, um Ivanti Connect Secure VPN und Policy Secure Geräte zu attackieren. Die Malware beinhaltet maßgeschneiderte Web-Shells wie BUSHWALK, CHAINLINE, FRAMESTING und eine Variante von LIGHTWIRE. CHAINLINE ist eine Python-Web-Shell-Backdoor, die in einem Ivanti Connect Secure Python-Paket eingebettet ist und die Ausführung beliebiger Befehle ermöglicht. Zudem wurde der passive Backdoor namens ZIPLINE entdeckt, die Funktionalität zur Authentifizierung und Kommunikation mit Command and Controll Infrastruktur verwendet. Die Angriffe nutzen Open-Source-Utilities wie Impacket, CrackMapExec, Iodine und Enum4linux zur Unterstützung der Post-Exploitation-Aktivität auf Ivanti Devices. Die Infektionsketten beinhalten eine erfolgreiche Ausnutzung der Schwachstellen CVE-2023-46805 und CVE-2024-21887.

⚡️Kritische Mastodon-CVE ermöglicht Account Takeover 9,4 von 10 CVSS-Punkten. Die Meldung wurde letzte Woche - bewusst Detailarm - veröffentlicht, um Instanz-Administratoren zu ermöglichen zu patchen, bevor die Automatisierten Angriffe starten. Die betroffenen Mastodon-Versionen umfassen 3.5.16 und älter, 4.0.12 und älter, 4.1.12 und älter sowie 4.2.4 und älter. Die aktualisierten Versionen 3.5.17, 4.0.13, 4.1.13 und 4.2.5 beheben das Problem.
Administratoren großer Mastodon-Instanzen, wie zum Beispiel der von infosec.exchange, begannen nur wenige Minuten nach der Veröffentlichung mit den notwendigen Updates. Die Sicherheitslücke ermöglicht es Angreifern, beliebige Konten zu übernehmen und Identitäten zu stehlen, was aufgrund der Beliebtheit von Mastodon als Alternative zu anderen sozialen Netzwerken besonders besorgniserregend ist. Wer Lust hat die Schwachstelle zu analysieren, kann hier in das Patchset kucken.

⚡️ Cloudflare im November 2023 gebreached Cloudflare wurde zwischen dem 14. und 24. November 2023 Ziel eines Angriffs. Die Angreifer erlangten durch gestohlene Zugangsdaten unbefugten Zugang zu einem Atlassian-Server von Cloudflare - also auf einige Dokumente und Quellcode. Daraufhin rotierte Cloudflare mehr als 5.000 Prod-Credentials, trennte Test- und Staging-Systeme physisch voneinander, führte forensische Untersuchungen an fast FÜNFTAUSEND Systemen durch und startete alle Maschinen im globalen Netzwerk neu.

⚡️ AnyDesk Breach - 18k Accounts in Untergrund-Markt angeboten Produktionssysteme der Fernzugriffs-Lösung sind durch einen Cyberangriff kompromittiert wurden. Es handelte sich dabei nicht um einen Ransomware-Angriff, und die zuständigen Behörden wurden informiert. Das deutsche Unternehmen hat als Reaktion auf den Angriff alle sicherheitsrelevanten Zertifikate widerrufen.
Alle Passwörter zum Webportal my.anydesk.com widerrufen und fordert Benutzer auf, ihre Passwörter zu ändern, sollten diese auch auf anderen Online-Diensten verwendet worden sein. Nutzer werden zudem aufgefordert, die neueste Version der Software herunterzuladen, die mit einem neuen Code-Signaturzertifikat versehen ist.
Falls ihr Passwörter generell wieder verwendet: Hört auf damit und fangt an, einen Passwort Manager zu benutzen!
⚡️🚢 Leaky Vessels: Docker and runc container breakout vulnerabilities Mehrere Schwachstellen wurden in den Docker-Tools Runc und BuildKit entdeckt. Getauft wurde die Sammlung als Leaky Vessels. Diese Schwachstellen könnten es Angreifern ermöglichen, aus Containern auszubrechen und auf das darunterliegende Host-Betriebssystem zuzugreifen, was unbefugten Zugriff auf Daten und weitere Angriffe zur Folge haben könnte. Die Sicherheitslücken sind mit den Kennungen CVE-2024-21626, CVE-2024-23651, CVE-2024-23653 und CVE-2024-23652 erfasst. Snyk, ein Sicherheitsunternehmen, hat diese Schwachstellen entdeckt, bisher jedoch keine Beweise für eine Ausnutzung dieser Lücken in der Praxis gefunden. Dennoch wird vor potenziellen Gefahren gewarnt, die entstehen, wenn Nutzer aktiv mit bösartigem Inhalt interagieren, sei es durch dessen Einbindung in den Build-Prozess oder durch das Ausführen eines Containers aus einem verdächtigen Image.

Die möglichen Auswirkungen umfassen unbefugten Zugriff auf das Dateisystem des Hosts, Kompromittierung der Integrität des Build-Caches und im Falle von CVE-2024-21626 ein Szenario, das zu einem vollständigen Containerausbruch führen könnte. Sicherheitsberatungen zu den Leaky Vessels Schwachstellen wurden von Google Cloud, AWS und Ubuntu veröffentlicht. Nutzer werden dazu angehalten, Patches und Minderungsmaßnahmen zu installieren und auf dem neuesten Stand zu bleiben, um sich vor diesen Sicherheitslücken zu schützen.

Text

💻️ A Carreer in AppSec Sean Wright beschreibt die Tatsache, dass viele Menschen nicht erkennen, wie vielfältig die Cybersicherheit ist. Aufgrund eines Mangels an Fachkräften konkurrieren Organisationen miteinander, um geeignete Kandidaten zu finden - was für Arbeitnehmer natürlich immer Vorteile hat. AppSec mag nicht für die "glamourösen" oder "Rockstar"-Typen von Rollen sein, die man oft im Fernsehen sieht, aber es ist eine entscheidende Rolle, die eine grosse Spanne von Aufgaben umfasst.

🇰🇵 Nordkoreanische APT Crew nimmt Cybersecurity Profis ins Visier ScarCruft, eine Nordkoreanische APT Gruppe, konzentriert sich darauf, Medienorganisationen und Experten in nordkoreanischen Angelegenheiten zu ins Visier zu nehmen. Ihre jüngsten Aktivitäten umfassen die Entwicklung und das Testen von Malware, wobei sie neue Infektionsketten ausprobieren. Ein bemerkenswerter Ansatz ist die Verwendung technischer Forschungsberichte über Bedrohungen als Köder. Das deutet darauf hin, dass ScarCruft versucht, Einblicke in nicht öffentliche Cyber-Bedrohungsabwehrstrategien zu erlangen. Der Artikel beinhaltet weitere Details zu den analysierten Malware samples - inklusive einer Liste an IOCs.

👮‍♂️ Rechtswidriger Test von Palantir in Bayern Der Testbetrieb der Datenanalysesoftware Palantir durch das Bayerische Landeskriminalamt, der seit März 2023 läuft, steht vor rechtlichen Problemen. Der Bayerische Rundfunk berichtete, dass dieser Testbetrieb rechtswidrig sei und gestoppt werden müsse, da eine spezifische Rechtsgrundlage fehlt. Das System, bekannt als VeRA ("Verfahrensübergreifendes Recherche- und Analysesystem"), führt zu erheblichen Grundrechtseingriffen, für die detaillierte verfassungsrechtliche Vorgaben existieren. Der bayerische Gesetzgeber hat jedoch vor dem Test keine entsprechende gesetzliche Grundlage geschaffen.
Die Nutzung von Echtdaten tatsächlicher Menschen im Testbetrieb verstärkt die rechtlichen Bedenken, insbesondere da das aktuelle bayerische Polizeiaufgabengesetz nicht als ausreichende Rechtsgrundlage angesehen wird. Da kann man einfach nur mal wieder mit dem Kopf schütteln.

💻️ I’m not a pentester and you might not want to be one either Interessanter (aber langer) Artikel bei dem ich sehr relaten kann. Vor fünf Jahren wollte der Autor unbedingt in der Cybersecurity arbeiten, ist aber kein Pentester geworden. Er warnt davor, dass viele Dinge, die man auf Plattformen wie HTB, THM oder bei Schulungen lernt oder selbst macht, wahrscheinlich nicht in der Praxis angewendet werden können. Generell könnte man meinen, dass in der Schulungs-Industrie mehr Geld zu holen ist als durch Pentesting und Hacking. Immerhin spriessen da die letzten Jahre immer neue Anbieter aus dem Boden. Wenn man Pentester werden möchte, sollte man sich bewusst sein, dass man nicht nur an seiner Kali-Box sitzen und anfangen kann, wild drauf los zu hacken. Man muss sich auch auf Kundengespräche, Verkaufsgespräche und die Akquise von Kunden einstellen.

🔍️Bulletproof Hosting: A Critical Cybercriminal Service Cyberkriminelle haben Dienstleistungen und Produkte entwickelt, die an andere Cyberkriminelle verkauft werden. Dies hat die Einstiegshürde gesenkt und ermöglicht es Cyberkriminellen, sich zu spezialisieren. Internetdienstanbieter (ISPs) spielen eine Schlüsselrolle bei der Verhinderung von bösartigen Aktivitäten. Wenn eine Maschine in ihrem Netzwerk Malware verbreitet, kann diese offline genommen und das Konto des Täters gesperrt werden. Es gibt jedoch auch Fälle, in denen der Dienstleister auf eine Missbrauchsanfrage nicht reagiert. Die Antwort auf diese mittlerweile standardisierte und grösstenteils automatisierte Vorgehensweise, ist das so genannte "Bulletproof Hosting" (BPH). Diese Hosting Provider nutzen komplexe technische Arrangements und ändern ständig ihre Infrastruktur, um Abschalt- und Missbrauchsanfragen zu umgehen. BPH-Anbieter operieren oft in Regionen, in denen die Strafverfolgungsbehörden weniger Interesse haben oder nur wenige Ressourcen zur Verfügung stehen, um ihre Operationen zu untersuchen. Einige bekannte BPH-Anbieter sind yalishanda, PQ Hosting und ccweb. Das Blockieren von IP-Bereichen, die mit bekannten BPH-Anbietern in Verbindung stehen, kann eine wirksame Verteidigungsmaßnahme sein, um bösartige Aktivitäten zu verhindern und die Kosten für die Angreifer zu erhöhen.

🧙 Cyber Threat Landscape: 7 Key Findings von Axur Der Axur Threat Landscape Report 2023/2024 zeigt einen bemerkenswerten Anstieg von Cyberangriffen und eine Integration von Cyberrisiken mit Geschäftsrisiken. Künstliche Intelligenz wurde als wirksame Waffe in Cyber-Angriffen eingesetzt, von Deepfake-Videos mit Prominenten bis hin zur automatisierten Social Engineering. Hacktivisten machten ebenfalls auf sich aufmerksam und nahmen während globaler Konflikte verschiedene Positionen ein. Das war vermutlich zu erwarten - und wird im nächsten Jahr vermutlich noch weiter zunehmen.

🤦 Gaming: Warum Lootboxen in Deutschland (noch) kein Glücksspiel sind Lootboxen sind aktuell ein umstrittenes Thema in der deutschen Gaming-Industrie, da es unklar ist, ob sie als Glücksspiel gelten oder nicht. Das Problem liegt darin, dass die Spieler oft nicht wissen, was sie in den Lootboxen erhalten können, weshalb sie oft als virtuelles Glücksspiel bezeichnet werden. Trotz dieser Kontroversen werden sie in Deutschland offiziell nicht als Glücksspiel eingestuft. Es gibt Bedenken hinsichtlich der Auswirkungen von Lootboxen auf Kinder und Jugendliche, und es wird empfohlen, dass Eltern die Verantwortung für die Überwachung des Spielkonsums und der Nutzung von Lootboxen durch ihre Kinder übernehmen.
Wobei das natürlich immer sinnvoll ist. Also zu wissen, was die Kinder so am zocken sind etc.

🧹 Schlechte Hygiene und der letzte Microsoft-Breach Tenable hat sich den letzten Breach von Microsoft nochmal genauer angesehen. Dabei unterstreichen Sie erneut die Bedeutung von präventiven Sicherheitsmaßnahmen. Zu den ausgenutzten Schwächen gehört schlechte Passworthygiene, Fehlen von Multifaktor-Authentifizierung (MFA) und übermäßige Berechtigungen. Setzen, sechs.
Die Angreifer konnten über zwei Monate lang auf die Mailboxen wichtiger Microsoft-Führungskräfte zugreifen. Der erste Zugriff der Angreifer erfolgte durch Password Spraying in einer Nicht-Produktionsumgebung. Bereits hier hätte der Angriff enden können - mit aktiviertem MFA. Anschließend wechselten die Angreifer von der Testumgebung in die produktive Firmenumgebung, indem sie die Graph API-Berechtigungen ausnutzten. Einen sauber aufbereiteten Deep Dive haben die Leute bei SpecterOps hingelegt. Wer da Bedarf hat - hier rein. Und falls ihr euch fragt, wie das in BloodHound aussieht, dann gibt’s das auch noch.

 

Video

🔍️ Finding security vulnerabilities with GitHubs new codesearch Hakluke führt uns durch die Möglichkeiten, mit GitHubs neuer Suchfunktion direkt Schwachstellen zu finden. Kurz, knackig und direkt anwendbar für alle, die bei GitHub sind.

🛖 Primitive Technology: One Way Spinning, Rope Stick Blower Ich liebe diesen Kanal. Kein Gelaber, keine Placements, keine Werbung - nur jemand der offensichtlich seiner Passion nachgeht. Kein Plan, ich

Tools und Co.

  • 🧠 deadbits/vigil-llm Eine Python library und REST API zum Prüfen von LLM Prompts auf Angriffe wie Injections, Jailbreaks etc.

  • 🔍️ElevenPaths/FOCA Metadaten und versteckte Informationen aus Dokumenten ziehen? Mit FOCA kann da einiges extrahiert werden. Nach wie vor eines meiner liebsten Tools für diesen Zweck.

  • 🥟 arthaud/git-dumper Mal wieder ein .git Folder im Web entdeckt? Dank git-dumper könnt ihr das ganze einfach, schnell und effizient dumpen und analysieren. Let’s got bug bounty!

  • 🔥 MayankPandey01/Jira-Lens Ein Schwachstellenscanner extra für Jira - und ihr wisst alle, dass das etwas ist was wir brauchen.

  • 🧠 linexjlin/GPTs Eine Sammlung geleakter Prompts - Ist sicher eine nette Sache, um sich inspirieren zu lassen.

Das Zitat der Woche ist - zur Abwechslung mal - aus einem Song. Auch abseits von dem zitierten Teil ist das ein sehr amüsanter Song. Und eine angenehme Abwechslung zur retrospektiv verklärten Romantisierung der (eigenen) Vergangenheit.

Lass das Gestern endlich ruhen
Trinkt auf eine bessre Zeit
Hoch die Tassen, lasst uns feiern
Früher ist seit heute tot
Nichts war damals wirklich besser
Wer das glaubt
Ist ein Idiot

Kuckt nach vorne, ändert was ihr ändern könnt, jammert nicht nur, wenn es Herausforderungen, Probleme oder Katastrophen kommt. Morgen geht’s weiter. Volle Kraft voraus in eine Zukunft, die wir selbst noch formen können!

Cheers,

Martin