Nord Nord Sec #9

Bitlocker knacken, 45k Jenkins Instanzen verwundbar, TeamCity Exploit, AnyDesk Breach, Shim-Schwachstelle betrifft beinahe alle Linux Distributionen - und viel mehr.

Nord Nord Sec #9

Moin, Hallo, Ahoi und Herzlich Willkommen! Guten Morgen und hoffentlich entspanntes auskatern an alle Karnevalisten.

Diese Woche gab es wieder einiges an Neuigkeiten. Die Breaches und Schwachstellen der Woche sind wieder Prall gefüllt - diesmal allerdings nicht wieder mit Ivanti. Auch wenn da weitere CVEs aufgetaucht sind und wie zu erwarten war die Exploitation weiter geht. Solltet ihr ungepatchte Ivantis am Netz haben: Geht davon aus, das ihr gebreached wurdet.

Das gleiche gilt für euren Jenkins-Server. Für die kürzlich veröffentlichte Schwachstelle CVE-2024-23897 ist das Metasploit-Modul bereit zum merge, der Code ist also öffentlich auf Github verfügbar.

Jenkins im Fokus (Generiert mit https://leonardo.ai/)

Aber bevor wir uns länger als nötig aufhalten - hier die Themen die mich letzte Woche bewegt haben.

Breaches und Schwachstellen

⚡️ 📺️ Sniffing Bitlocker Keys with $10 of equipment Es ist möglich (mit Hardware-Zugriff) die Encryption-Keys für die Bitlocker Verschlüsselung zu extrahieren. Dazu wird ein Raspberry Pi Pico benötigt, der beim starten des Rechners an die richtigen Pins gehalten wird. Warum ist das möglich? Die CPU kommuniziert mit dem TPM in Klartext. 🤯 
Hier ist die volle 10 Minuten Version des Videos. Research dazu gibt es bereits seit 2019.

⚡️🤖 45.000 Jenkins Server Verwundbar für CVE-2024-23897 Die Shadowserver Foundation hat 45.000 im Internet sichtbare Jenkins-Instanzen entdeckt, die von einer kritischen Sicherheitslücke betroffen zu sein scheinen. Die Schwachstelle, bekannt als CVE-2024-23897, ermöglicht es Angreifern, den Inhalt von Dateien zu lesen, was potenziell zu einer Ausweitung von Privilegien und remote code execution führen kann. Die Firma Sonar veröffentlichte technische Details sowie einen Proof-of-Concept-Exploit für die Schwachstelle. Der Forscher Chaofan Shou berichtete über eine Ausnutzung dieser Sicherheitslücke in the wild, bevor der Exploit veröffentlicht wurde. Bei den beobachteten Versuchen, ging es häufig darum, Jenkins-Schlüsseldateien oder SSH-Schlüssel auszulesen. Die meisten der betroffenen Instanzen befinden sich in den Vereinigten Staaten und China.

⚡️🤖 TeamCity Schwachstelle ermöglicht Angreifern Zugang ohne Authentifizierung JetBrains hat einen wichtigen Patch für TeamCity, ihre Software-Build-Plattform, veröffentlicht, um eine kritische Sicherheitslücke zu schließen. Diese Lücke (CVE-2024-23917 CVSS Score 9.8), ermöglichte es Angreifern, die Authentifikationsmechanismen bei On-Premises-Installationen von TeamCity zu umgehen. Betroffen waren alle Versionen des CI/CD-Servers von 2017.1 bis 2023.11.2. Die Cloud-Version von TeamCity war ebenfalls von dieser Schwachstelle betroffen, jedoch hat JetBrains hierfür bereits einen Patch bereitgestellt. Solltet ihr also Nutzer:innen der On-Premises-Variante sein, aktualisiert unbedingt auf Version 2023.11.3.

Ähnlich zu dem aktuell exploiteten Jenkins-CVE können Angreifer, sobald Sie im Build sind, extrem viel Schaden verursachen - schliesslich haben Sie Zugriff auf den Build. Vielleicht ist das eine gute Gelegenheit, die OWASP CI/CD Top 10 zu nehmen und die eigenen Build-Prozesse zu reviewen.

⚡️🤖 AnyDesk Breach: Angreifer hatten bereits im Dezember Zugang erlangt Der Einbruch in die Produktivsysteme von Anydesk hat bereits im Dezember stattgefunden. Diese Information wurde in der aktualisierten FAQ-Liste offiziell bestätigt. Die genauen Umstände des Einbruchs und die Identität der Täter bleiben weiterhin unklar - ebenso zu welchen Daten Sie zugang hatten.
Als Reaktion auf den Vorfall hat Anydesk die Passwörter zurückgesetzt und neue Versionen seiner Anwendung veröffentlicht, die ein neues Zertifikat verwenden.

⚡️ 🐧 Shim-Schwachstelle betrifft fast alle Linux Distributionen Die Maintainer von shim haben Version 15.8 veröffentlicht, um sechs Sicherheitslücken zu beheben, darunter einen kritischen Fehler (CVE-2023-40547 CVSS 9.8), der eine Umgehung von Secure Boot ermöglichen könnte. Dieser kritische Fehler betrifft die Behandlung des HTTP-Protokolls im httpboot.c-Teil von shim, wo Angreifer-kontrollierte Werte bei der Verarbeitung einer HTTP-Antwort zu einem vollständig kontrollierbaren out-of-bounds Schreibvorgang führen können. Besonders besorgniserregend ist, dass diese Schwachstelle in jedem in den letzten zehn Jahren signierten Linux-Bootloader vorhanden ist.
Die fünf weiteren in Version 15.8 behobenen Schwachstellen umfassen: CVE-2023-40549, CVE-2023-40550, CVE-2023-40551, CVE-2023-40546 und CVE-2023-40548.

Text

🧑‍🎓 Healthy Study Habits (to become a Pentester) Trifft sicher nicht nur für Pentester zu. Genug Schlaf, dedizierte Zeit und Raum schaffen, gute Notizen und (Pomodoro-)Timer zu nutzen, hat sich auch für mich bewährt.

🍳 A Recipe for Scaling Security Ein interessanter, langer und dabei kurzweiliger Artikel, wie Google bei der Entwicklung und vor allem der Skalierung ihrer Secure Coding Practices und der Implementierung von Sicherheitsfeatures vorging. Die Initiative erkannte, dass eine Denkweise, die sich auf den gesamten Lebenszyklus konzentriert und eben nicht nur auf die Entwicklung. Dazu wurden eigene Datenquellen und Werkzeuge entwickelt, um Ausfälle zu vermeiden, um die Anpassung in der Denkweise in Richtung einer Gesamt-Verantwortung für die Sicherheit zu vollziehen.
Darüber hinaus wurde durch Sicherheitsforschung und die Zusammenarbeit mit Browserherstellern, sowie durch komplexe Integrationen über Frameworks, Vorlagensysteme und benutzerdefinierte Infrastrukturen zur Sammlung von Berichten gearbeitet. Es wurde bewiesen, dass CSP (Content Security Policy) implementiert werden können - über hunderte von Services!
Insgesamt zeigt dieser Ansatz, wie Google auf die Herausforderungen reagiert, Sicherheitsverbesserungen über sein umfangreiches Portfolio von Diensten hinweg vorzunehmen.

🧠 NetsecExplained/chatgpt-your-redteaming-ally Schneller Einstieg ins Prompt-Engineering mit Fokus auf Red Teaming. Die gezeigten Beispiele funktionieren unter Umständen nicht mehr - weil OpenAI stets daran arbeitet, einen Missbrauch von ChatGPT zu erschweren. Allerdings gibt es ja noch genügend andere Möglichkeiten - am einfachsten und ohne Jailbreak sind hier lokale LLMs geeignet. In einer früheren Ausgabe des Newsletters, hatten wir da bereits ein Beispiel.

🧠 Everything I’ll forget about prompting LLMs Ein Umfangreicher Prompting-Guide zum Umgang mit LLMs. Lesen lohnt sich für alle, die ihr Prompting vebessern möchten. Aber Vorsicht: LANG! Deshalb hier meine Key-Takeaways:
1. Schritt-für-Schritt-Denken als Ausgangspunkt: Dieser Ansatz hilft dabei, komplexe Aufgaben effektiver zu bewältigen. Es ist wichtig, eine Aufgabe in kleinere Schritte zu unterteilen, um den Lösungsprozess zu vereinfachen.
2. Aufgabenkomplexität und ihre Reduzierung: Die Komplexität einer Aufgabe kann durch das Aufteilen in einfachere Teilaufgaben verringert werden.
3. Wichtigkeit der Reihenfolge bei der Problembehandlung: Es kann hilfreich sein, zuerst den Teil des Problems zu identifizieren und zu lösen, der am einfachsten oder logischsten ist. Dies erleichtert den Umgang mit komplexeren Aufgaben.
4. Richtlinien und spezifische Regeln für die Aufgabenerfüllung: Die Festlegung klarer Regeln und Richtlinien kann die Ausführung von Aufgaben erleichtern.
5. Strukturierung von Kontext mit CAPITAL_UNDERSCORED_HEADINGS 

🥼Embracing Neurodiversity Within Information Society Interessanter Artikel von Melodie Wilson und Scott Behrens, der sich mit Neurodiversität in der Cybersicherheit beschäftigt - und welche Erfahrungen Sie bei Netflix damit gemacht haben.
Die Kernbotschaft ist, das verschiedene Neurotypen eben verschiedene Stärken haben. Durch das integrieren Neurodivergenter Menschen in gemischte Teamsist es möglich die verschiedensten Tasks in der IT Sicherheit mit Menschen zu besetzen, die dafür hervorragend geeignet sind. Beispielsweise ist die Fähigkeit, Muster zu erkennen sehr gut dazu geeignet, verschiedene Angriffspfade zu simulieren und die optimale Platzierung für die Verteidigung zu identifizieren. Auch Incident Response Teams profitieren von Personen, die sich sehr tief auf die erforderlichen Aufgaben konzentrieren und mutig Entscheidungen treffen können, wenn schwierige Kompromisse erforderlich sind. Dies führt oft zu detaillierten Untersuchungen, bei denen eine detailorientierte, fokussierte Untersuchung von Logs, Code und Mustern notwendig ist.

Zum Abschluss des Artikels präsentieren die Autoren dann noch ein paar Tips, wie ein angenehmes Umfeld für neurodiverse Menschen geschaffen werden kann. Die will Ich euch natürlich nicht vorenthalten:
1. Bedenkt, dass Menschen Informationen auf unterschiedliche Weise verarbeiten. Wenn du wichtige Informationen, wie z. B. Feedback, weitergibst, frage die Person, wie sie Informationen am besten empfängt und verarbeitet, ob schriftlich oder mündlich, per E-Mail oder Text usw.
2. Legt klare Verhaltensrichtlinien fest, um Mitarbeiter Erfolgreich zu machen.
3. Flexibilität und Rücksicht auf Fokus-Zeiten individueller Mitarbeitenden (wenn es möglich ist)
4. Bei Leistungsbeurteilungen darauf achten, dass der angelegte Massstab inklusiv ist. Beispielsweise ist die Erwartung von Augenkontakt während Meetings genannt. Das Vermeiden von Augenkontakt kann jemanden, der ansonsten stets top-Leistungen bringt, von einer fairen Bewertung ausschliessen.
5. Feedback von neurodivergenten Personen einholen, um herauszufinden was man an sich selbt ändern kann, um ihren Erfolg

Video

🧑‍🎓 Learn Application Security Testing in 2024 Schöne Zehnminütige zusammenfassung, wie man sich in AppSec einarbeiten kann. Obsidian als Markdown-Editor kann ich übrigens komplett empfehlen - macht euch aber am besten vorher mit dem Zettelkasten-System etwas vertraut, nutzt PARA oder denkt kurz darüber nach, wie ihr eure Notizen sortieren wollt.

🗺️ World of Hackers Hacker-Ethik, Free Software, Löten, Hackercamps und eine ganze Menge Infos - gerade auch für alle, die mit der Hacker-Kultur nicht oft in Kontakt kommen. Definitiv eine der besseren Dokus, die ich in letzter Zeit gesehen habe.

🦀 The Four Horsemen of Bad Rust Code Mal wieder etwas Rust-Content von Matthias Endler. Der Talk stammt von der FOSDEM Konferenz und behandelt klassische Fehler-Muster, die Matthias bei seiner Arbeit aufgefallen sind: Overengineering, vereinfachendes Design, verfrühte Optimierung und Vernachlässigen von Dokumentation und Tests (i feel seen… 👀).

🤯 14 Tage um 4:30 aufstehen Ein Selbstexperiment zum Thema frühaufstehen. Ich kann die beobachtungen (teilweise) bestätigen. Alles in allem, bin ich grosser Fan geworden von “früher aufstehen”. Aber 4:30 ist mir definitiv zu extrem. Probiert es ruhig mal aus, einfach eine oder zwei Stunden vorher aufstehen, ein bisschen Zeit für euch nehmen. Sei es in Ruhe lesen, etwas (neues) lernen - oder eben tatsächlich Arbeiten. Die Zeit vor dem ersten Meeting ist definitiv auch mein Produktivitäts-Hoch.

🧑‍🎓 Bellingcat startet eine neue Serie: Bellincat Tech Die OSINT Experten von Bellingcat haben das erste Video ihrer neuen Serie veröffentlich: Eine Einführung in die Kommandozeile.

Tools und Co.

🔓️ nnposter/nndefaccts Ein Alternatives Skript für nmaps http-default-accounts Skript. Hab mir das direkt mal in meine CTF Kali-VM gezogen und werde mal beobachten, ob mir das Ergebnisse liefert.

🔥 CVE-2024-23897 Unauthenticated Arbitrary File Read Exploit POC Es werden schon Exploits in the wild der letzten kritischen Jenkins-Vulnerability gesichtet: Hier ist der Pull Request für das dazugehörige Metasploit Modul. Patch faster or get pwned 💀 

Das Zitat der Woche stammt von Hector Berlioz, einem französischen Dichter und Musikkritiker der Romantik. Natürlich hat er das wundervoll auf französisch gesagt - aber da ich das weder Spreche noch sonderlich gerne höre, hier die Übersetzung

Die Zeit ist ein großartiger Lehrer, doch leider bringt sie all ihre Schüler um.

Hector Berlioz

Die Botschaft, das es Zeit braucht um zu lernen und an Erfahrung zu gewinnen, bekommt aktuell noch mehr Gewicht - schliesslich halten viele die Zeit der KI für angebrochen. Warum also noch etwas lernen, man kann ja auch einfach das nächste LLM befragen. Allerdings ist das vielleicht eine Erleichterung in vielen Aspekten, aber eigene Erfahrungen, Erlebnisse, Fehlversuche und Momente des Triumphes werden nicht ersetzt werden können.
Und am Ende, wenn die individuelle Weisheit ihr Hoch erreicht, ist die Zeit vorbei und der Tod wartet.

Das liest sich im ersten Moment zwar eher traurig - aber für mich bedeutet das viel mehr, das es jeden Tag wieder neues zu lernen gibt.

In diesem Sinne - bleibt dran, lernt weiter, bleibt neugierig. Wir lesen uns nächste Woche wieder.

Cheers,

Martin