Die vergangene Woche wurde vom (nicht) Fliegen geprägt. Wobei ich dieses Mal selbst betroffen war, vermutlich auch nicht allein, denn es lag so einiges am Boden. IT-Ausfall durch Baggerarbeiten, hieß es diese Woche bei der Lufthansa, keine 24 Stunden davor wurde ein Security-Vorfall bei Scandinavian Airlines (SAS) bekannt. Dazu wurden weitere sieben deutsche Flughafenwebseiten gegrounded, es war also wie so oft reger Betrieb.
Los gehts mit ES#05

Rückblick

Häfele ist wieder online und hat die IT-Landschaft neu aufgebaut. Laut eigenen Angaben wurde intensiv investiert, um die Cyberresilienz zu verbessern.

GEZE ist weiterhin nicht zu erreichen, vermutlich wird hier das gleiche Prozedere durchlaufen.

Zahlenblock

In diesem Bereich werden Reports, Statistiken und andere Zahlenwerke behandelt.

Cloudflare meldete diese Woche eine rekordverdächtige DDoS Attacken Mitigation von 71 Millionen rps (Requests per Second). Damit wurde der alte Rekord aus dem Juni 2022 mit 46 Millionen rps locker eingestellt. Es handelte sich um eine HTTP/2 Attacke mit ca. 30000 Quell-IPs auf Cloudflare Kundenwebseiten.
Ich nehme gerne Wetten an, wie lange dieser Rekord halten wird. Meine Einschätzung ist maximal bis Q3/23.

Öffnungszeiten

In der Sektion Öffnungszeiten werde ich über einen Teil der Security Breaches der letzten Woche berichten

Scandinavian Airlines

Wie Eingangs bereits erwähnt, wurde SAS Opfer eines Cyberangriffs. Obwohl die Fluggesellschaft mit der Lufthansa in der Star Alliance ist, hatte dieser Angriff nichts mit den Problemen der Lufthansa zu tun. Laut SAS waren persönliche Details sowie anstehende Flüge und die letzten 3 Ziffern der Kreditkarte für Dritte einsehbar.
Ob es sich wirklich um einen Cyberangriff oder nur um eine Fehlkonfiguration/Verhalten gehandelt hatte, ist nicht bekannt. Durch die Koran-Verbrennungen in Schweden stehen skandinavische Länder allerdings gerade im Fokus von diversen Untergrund-Gruppen. Anonymous Sudan scheint hier in den letzten Tagen eine treibende Kraft zu sein.

GoDaddy

Der Domain-Registrar und Webhoster hat es gerade nicht leicht. Nach einem Angriff von vielen (12/22, 11/21, 03/20) wurde bekannt, dass Source Code abhandengekommen ist und dritte Zugang zur cPanel Umgebung erlangt haben. Mit diesem Zugang wurde Malware installiert und verbreitet, so die Angaben von GoDaddy selbst: "Ziel der Kampagne war es, Websites und Server mit Malware für Phishing-Kampagnen, Malware-Verteilung und andere bösartige Aktivitäten zu infizieren."

Der Anbieter kämpft seit Jahren mit Problemen, die neuesten Entwicklungen werfen kein gutes Licht auf dessen Hostingangebot. Zum Glück gibt es viele Alternativen am Markt.

Finaport

Der Schweizer Vermögensverwalter Finaport wurde Opfer einer Cyberattacke. Angeblich kursieren bis zu 1.2 Terabyte an Daten im Darknet. Die Webseite ist für die Öffentlichkeit nicht erreichbar und wird zurzeit mit Cloudflare Zero Trust geschützt. Das genaue Ausmaß lässt sich momentan nur erahnen. Bei den Angreifern soll es sich um Alphv (früher bekannt als BlackCat) handeln, was wiederum ein Reboot von BlackMatter ist. ... gut hier gehe ich nun nicht tiefer ... Auf jeden Fall handelt es sich bei Alphv um Ransomware-as-a-Service (RaaS), etwas mehr Details könnt ihr der Malpedia entnehmen, dort sind einige Deep Dives zur Thematik verlinkt.

Schadstoffe

Der Bereich Schadstoffe soll analog zum Bereich Öffnungszeiten von Angriffen handeln. Allerdings ist Ransomware, Erpressungstrojaner, DDoS und Co im Fokus. Die genannten Methoden und Werkzeuge dienen dem Bildungszweck zur Verbesserung der IT-Sicherheit. Das Ausspähen und Abfangen von Daten sowie die Computersabotage sind strafbar

Hypoport/Smart InsurTech

Smart InsurTech eine Tochter der Hypoport Gruppe wurde verschlüsselt. Betroffen sind die Produkte Smart Cloud und Smart Consult. Ob hinter den Cloud-Produkten ungepatchte ESXi Server stecken (siehe Newsletter #04), ist nicht bekannt. Ein Datenabfluss hat nicht stattgefunden, meldete das Unternehmen.

Karlsruhe

Sieben auf einen Streich - so oder so ähnlich dürften sich einige Schüler der Stadt Karlsruhe fühlen. Laut der Stadt sind die Adam-Remmele-Schule, die Hardtschule, die Schule am Turmberg, die Grundschule Wolfartsweier, das Markgrafen-Gymnasium, die Realschule Neureut sowie die Erich-Kästner-Schule von einem Hackerangriff betroffen und wurden aus Sicherheitsgründen erst einmal vom Netz getrennt. Da die Faschingsferien anstehen, sollte genug Zeit sein, um die Systeme neu aufzubauen.

Flughäfen

Auch diese Woche waren mehrere deutsche Flughafenwebseiten teilweise etwas schwerer zu erreichen. Hintergrund war ein erneuter Killnet Aufruf, die Webseiten der Flughäfen Erfurt/Weimar, Hannover, Düsseldorf, Dortmund, Nürnberg und Karlsruhe/Baden-Baden zu attackieren. Es handelte sich um klassische DDoS Angriffe. Die jeweiligen Flughafenbetreiber meldeten die Vorfälle via Twitter und verwiesen für Flug-Informationen auf die jeweiligen Apps, sofern vorhanden. Ein größerer Impact auf den Flughafenbetrieb ist nicht bekannt.

Ziegler

Den Giengener Hersteller Ziegler dürften einige schon gesehen haben. Die Firma stellt Feuerwehrbedarf und Feuerwehrfahrzeuge her und wurde bereits letzte Woche (9.2.23) Opfer eines Ransomwareangriffs. Betroffene IT-Systeme sind abgeschaltet, selbst die Webseite ist nach wie vor teilweise nicht erreichbar. Es wurde eine Notfallhotline geschaltet. Die Firma ist 2011 in die Insolvenz gegangen und wurde 2013 an China International Marine Containers veräußert.

Schulbank

Die Schulbank soll nicht abschrecken, sondern euch eine Möglichkeit geben, Wissen im IT-Security Bereich anzureichern oder aufzufrischen.
Die genannten Methoden und Werkzeuge dienen dem Bildungszweck zur Verbesserung der IT-Sicherheit. Das Ausspähen und Abfangen von Daten sowie die Computersabotage sind strafbar

Saltstack

Das ist ein Infrastracture-as-Code Tool, welches in einem Zug mit Ansible, Chef oder Puppet genannt werden kann. Salt gehört mittlerweile zu VMware und ermöglicht, Infrastruktur automatisch zu verwalten. Dies bringt Risiken mit sich, da fehlerhafte Konfiguration oder einsehbare Passwörter eine ganze Infrastruktur gefährden könnten. Alex Hill hat mit A-Salt: attacking SaltStack einen tollen Artikel zu dieser Thematik verfasst und gibt einen kurzen Einblick in mögliche Konfigurationsfehler bei der Automatisierung oder Passwortgefahren in States oder Pillars.

Github Dorks Cheatsheet

Dorks kennt ihr bestimmt von Google, denn das sogenannte Google-Dorking ist so alt wie die Suchmaschine selbst. Mithilfe von Dorks lassen sich geheime oder versteckte Inhalte mittels der Suche auffinden. Diese Technik existiert ebenfalls für andere Dienste und Webseiten beziehungsweise deren Suchfelder. Hier ein Cheatsheet zu dieser Thematik speziell für Github.

Flugtickets

Nicht sehr technisch, aber passend zu den aktuellen Problemen im Flugverkehr ist dieser Security Write Up zu Flugtickets. Er zeigt einfach auf, dass es für Informationen zu persönlichen Flugdaten nicht zwingend eine gehackte, genauer gesagt fehlerhafte Homepage/App wie bei Scandinavian Airlines benötigt. Es reicht schlicht und einfach der BCBP (bar-coded boarding pass), um ein paar Informationen zu erlangen.

Werkzeugkasten

Im Bereich Werkzeugkasten werden euch Tools aus dem IT-Security Universum vorgestellt. Bitte beachtet, dass die genannten Methoden und Werkzeuge dem Bildungszweck zur Verbesserung der IT-Sicherheit dienen. Das Ausspähen und Abfangen von Daten sowie die Computersabotage sind strafbar.

TruffleHog

Passend zum Github Dorks Cheatsheet, hier ein Tool dazu. TruffleHog findet mithilfe von Patterns Passwörter oder Zugangsdaten in Git, Github, GitLab und AWS. Nicht nur Repositorys können durchsucht werden, sondern auch die Commits mit History und mehr.

Gitleaks

Gitleaks fällt wie TruffleHog in die Kategorie SAST (Static Application Security Testing) Tools. Durch vorgegebene Regeln werden auch hier mögliche Passwörter oder API-Keys im Code gesucht und somit die Sicherheit eures Projektes erhöht.

Secrets Patterns Database

Trufflehog oder Gitleaks sind sehr hilfreiche Tools, um automatisiert kritische Inhalte aufzuspüren. Allerdings bieten die Entwickler nur eine beschränkte Anzahl von Patterns an. Um diese um weitere Regeln zu ergänzen, könnt ihr auf eine Open Source Secrets Patterns Database zurückgreifen. Ihr findet dort über 1600 reguläre Ausdrücke für Passwörter, Tokens und Co.

Ghostwriter

Diese Woche wurde Ghostwriter 3.2.x veröffentlicht. Dabei handelt es sich um ein Open Source Projektmanagement Tool von SpecterOps für Pentester. Ob das Tool für dich und dein Projekt nützlich sein könnten, erfährst du in der Dokumentation.

Ffuf

Einer der bekanntesten Open Source Web Fuzzer wurde in Version 2.0 veröffentlicht. Der neuen Version des Go Tools zur Softwareanalyse durch randomisierte Eingaben hat der Entwickler einen eigenen Beitrag gewidmet. Die neuen Funktionen Scraper und Ffufhash mapping werden im Wiki ausführlich erklärt. Fuzzing ist eine Methode zur Qualitätssicherung von Software.

Abschluss

Geschafft, vielen Dank fürs Durchscrollen.
Solltest du Feedback oder Vorschläge haben, darfst du mich gerne direkt via E-Mail oder Twitter @explodingsec anschreiben.
Kaffee trinke ich übrigens auch gerne.