cvss4

exploding security #26 – CVSS v4 – Darknet Geschichte – Nginx Alias Traversal – Rootkits

sral

7 min read
exploding security #26 – CVSS v4 – Darknet Geschichte – Nginx Alias Traversal – Rootkits
Photo by Humphrey Muleba / Unsplash

Wir (oder waren es doch nur E-Mails) sind wohl dem Ende geweiht, denn mit WormGPT wurde diese Woche das erste KI BlackHat Hacker Tool von Slashnext untersucht. Das an ChatGPT angelegte Tool erzeugt perfide Phishing Mails, die bemerkenswert überzeugend und strategisch raffiniert sein sollen. Da stellen sich dir sicher gleich die Nackenhaare auf. Das teuflische Tool ist in Version 1 schon für monatlich 100 € buchbar, Version 2, mit persönlicher Note, für schlappe 5000 €, bezahlbar in BTC, ETH, LTC und Co.

Peak AI scheint also doch noch nicht ganz erreicht, zumindest nicht in den Untiefen des Netzes. Ich entlasse dich nun aber erst mal in die heiße neue Woche, mit explodingsecurity #26 und den vielleicht relevanteren Themen 🤷. Schnapp dir nen Pina Colada und los gehts.

rueckblick-2
Rückblick: Was gibt es Neues zu den Themen der letzten Woche?

BlackLotus Sourcecode leaked

Es ist schon ein paar Tage her … in #07 hatte ich dir das neue Rootkit BlackLotus vorgestellt. Das UEFI Bootkit sorgte damals für etwas Aufsehen, da es den Secure Boot Mechanismus unter Windows aushebelt. Vergangene Woche wurden der Source Code auf Github veröffentlicht und erlaubt dir einen etwas tieferen Einblick in Funktionsweise der Schadsoftware.

Banken – Kundendatenleck weitet sich aus

Nach der Deutschen Bank und der Postbank im letzten Newsletter mussten auch ING und Comdirect einräumen, dass über eine Sicherheitslücke bei einem Servicepartner Kundendaten abgeflossen sind. Ich hatte dir schon letzte Woche prophezeit, dass es ähnlich wie bei der Barmer laufen wird. Erst von nichts wissen wollen, dann weitet es sich doch aus. Es hat sich inzwischen bestätigt, dass auch hier der Anbieter Majorel der Ursprung ist und von der Cl0p Cybergang über die MOVEit Lücke Daten herausgetragen wurden.

oeffnungszeiten-2
In der Sektion Öffnungszeiten werde ich über einen Teil der Security Breaches der letzten Woche berichten.

Keine Woche ohne Cl0p, so wurden auch diese Woche wieder mal größere Firmen von der Cybergang exposed. Mit Arvato ist ein gut vernetztes Unternehmen dabei. Auch in der Schweiz hat es mit Japan Tobacco International mal wieder einen Hersteller erwischt.

Im Bereich der Überlastungsangriffe lag der Fokus aufgrund des NATO-Gipfels auf NATO Webseiten und Webseiten des Ausrichters Litauen. Zusätzlich wurden österreichische Regierungsseiten angegriffen.

Arvato AG

  • Angreifer: Cl0p
  • Angriffsart: Ransomware

VOSS Holding GmbH

  • Angreifer: Cl0p
  • Angriffsart: Ransomware

VRM Holding GmbH & Co. KG

  • Angreifer: Cl0p
  • Angriffsart: Ransomware

SMA Solar Technology AG

  • Angreifer: Cl0p
  • Angriffsart: Ransomware

KONRAD Mess– und Regeltechnik GmbH

  • Angreifer: Lockbit
  • Angriffsart: Ransomware

schadstoffe-1
Der Bereich Schadstoffe soll analog zum Bereich Öffnungszeiten von Tools und Angriffen handeln. Allerdings sind Ransomware, Erpressungstrojaner, DDoS und Co im Fokus. Die genannten Methoden und Werkzeuge dienen dem Bildungszweck zur Verbesserung der IT-Sicherheit. Das Ausspähen und Abfangen von Daten sowie die Computersabotage sind strafbar.

MalasLocker und neue Zimbra Lücken

In ES18 hatte ich dir von der Cybergang MalasLocker berichtet, welche es hauptsächlich auf Zimbra Systeme abgesehen hat. Seither ist es um die Gruppe etwas ruhiger geworden.

Das könnte sich bald ändern, denn es wurde eine neue Zimbra Sicherheitslücke in Version 8.8.15 entdeckt, die manuelles Eingreifen seitens eines Admins benötigt. Die Zero-Day-Lücke wird laut Entwickler bereits angegriffen und sollte schnell gefixt werden, alternativ kann auch auf den Juli Patch gewartet werden, davon rate ich aber ab. Entdeckt wurde die Lücke von Clement Lecigne von der Google’s Threat Analysis Group (TAG)

schulbank-1
Der Klassenraum soll nicht abschrecken, sondern dir eine Möglichkeit geben, Wissen im IT-Security-Bereich anzureichern oder aufzufrischen.
Die genannten Methoden und Werkzeuge dienen dem Bildungszweck zur Verbesserung der IT-Sicherheit. Das Ausspähen und Abfangen von Daten sowie die Computersabotage sind strafbar

CVSS v4

Das Common Vulnerability Scoring System wird in v4 veröffentlicht. CVSS Version 4.0 ist die nächste Generation des Common Vulnerability Scoring System-Standards. Das Allgemeines Bewertungssystem für Schwachstellen sollte dir von den vielen Sicherheitslücken eigentlich bekannt sein. Kurz gesagt, CVSS zeigt dir den Schwergrad einer Sicherheitslücke mit Werten von 0 bis 10 auf.

Was ist CVSS?

Gebildet wird der Score bei Version 3.1 aus drei Hauptkriterien (Base, Temporal und Environmental). Die Basisgruppe beinhaltet den Angriffsvektor, die Komplexität, benötigte Privilegien und Nutzerbeteiligung. Weiter wird der Impact auf das System in die Bewertung aufgenommen. Dieser setzt sich aus Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability) zusammen. Neu seit Version 3.x ist der Scope, welcher anzeigen soll, ob die Schwachstelle Auswirkungen auf angrenzende Systeme hat. (Beispielsweise, wenn durch eine Sicherheitslücke im E-Mailprogramm auf das System zugegriffen werden kann)

Die Berechnung des finalen Wertes findet durch den Entdecker statt und kann mithilfe eines Online-Tools kalkuliert werden. Um ein besseres Verständnis dafür zu bekommen, steht dir ein Lernpfad zur Verfügung. Final fällt am Ende der bekannte Score raus, den du im Netz zu den betroffenen Sicherheitslücken findest.

Du fragst dich nun sicher, was ist mit der temporären Metrik und der Environmental Gruppe ist. Die temporäre Metrik erlaubt es im Nachgang den Score anzupassen, allerdings nur in absenkenderweise, warum erklärt sich mir nicht. Die Environmental Metriken sind dagegen für die Anpassung an firmenspezifische Umgebungen gedacht und erlauben es, den Score beliebig auf die eigene IT herunterzubrechen.

CVSS Version 3.1 - Quelle - FIRST

Na, kannst du noch folgen oder siehst du vor lauter Scores die Gefahr nicht mehr? Genau das ist auch die Kritik an der aktuellen Version 3.1, welche vom Forum of Incident Response and Security Teams (FIRST) gepflegt wird. Komplex und unflexibel hört man an vielen Ecken des Internets.

Änderungen CVSS 4

Seit einiger Zeit steht die Public Beta der neuen Variante 4 zur Verfügung. Diese bringt neben einem neuen Kalkulator auch ein paar Änderungen im Vergleich zu 3.1 mit sich, die Kritiker besänftigen dürfte. Patrick Garrity hat diese Anpassungen in einer schönen Infografik zusammengefasst. Auf den ersten Blick scheint CVSS granularer, aber nicht weniger komplex zu werden.

CVSS3 vs CVSS4 - Quelle Patrick Garrity

Zu den Änderungen gibt es aufseiten von FIRST bereits eine ausführliche Dokumentation, die dir die neuen Begrifflichkeiten genau darlegt. Erwähnen möchte ich auf jeden Fall die neue Nomenklatur. CVSS v.4 erweitert den Base-Score um weitere Punkte:

  • CVSS-B: CVSS Base Score
  • CVSS-BT: CVSS Base + Threat Score
  • CVSS-BE: CVSS Base + Environmental Score
  • CVSS-BTE: CVSS Base + Threat + Environmental Score

Folgende Metriken sind im Base-Bereich dazu gekommen oder wurden angepasst:

  • Attack Requirements (Angriffsanforderungen (AT)), was die Voraussetzungen für eine verwundbare Komponente widerspiegelt
  • Drei neue Impact Submetriken wurden aufseiten der Impact-Metriken eingebunden
  • User Interaction (UI) können nun granularer definiert werden, so wurde die Unterkategorien Keine (N), Passive (P) und Active (A) eingeführt
  • Der Scope wurde abgeschafft
  • Die Supplemental Metric Group wurden eingeführt, um zusätzliche Informationen einfließen zu lassen, die sich allerdings nicht auf den Score auswirken.

Final wird es mit CVSS4 möglich, Sicherheitsrisiken präziser abzubilden, Sicherheitslücken können somit genauer beschrieben und im besten Fall eingeschätzt und behoben werden.

Geschichte des Darknets interaktiv

Das Darknet ist dir sicherlich ein Begriff. Sei es für böse Machenschaften, Zensurumgehung oder vom bekannten Eisbergbild, was oft als Vergleich herhalten muss. Doch wann ist dieses mystische Ding eigentlich entstanden und was ist seither passiert? Darkowl hat eine interaktive Grafik mit der Geschichte des Darknets erstellt und liefert dir alle wichtigen Datenpunkte inklusive Popups. Ein schöner Überblick, wie ich finde.

Wie funktionieren Linux Rootkits?

Es gibt immer wieder Meldungen über Linux Rootkits, die mal mehr, mal weniger Schaden anrichten. Alle Varianten sind doof, doch um besser dagegen vorzugehen, musst du sie verstehen. Genau das hat sich Wiz auf die Fahnen geschrieben und hat mit "Linux rootkits explained" eine neue Serie zu dieser Thematik ins Netz gestellt. Der erste Part handelt von "Dynamic linker hijacking via LD_PRELOAD". Sagt dir vielleicht im ersten Moment nichts, mit ein Grund mal in den Artikel reinzuschauen.

Nginx Alias Traversal

Nginx sollte dir sicher ein Begriff sein und vielleicht hast du schon damit gearbeitet und die ein oder andere Webseite online gebracht. Bei der Konfiguration des Webservers solltest du allerdings immer genau darauf achten, wie du unter anderem deine Locations definierst. Der Artikel über Nginx Alias Traversals zeigt dir, was für Gefahren das mit sich bringen kann. Dont forget the / sage ich da nur.

werkzeugkasten-1
Im Bereich Werkzeugkasten werden dir Tools aus dem IT-Security-Universum vorgestellt. Bitte beachte, dass die genannten Methoden und Werkzeuge dem Bildungszweck zur Verbesserung der IT-Sicherheit dienen. Das Ausspähen und Abfangen von Daten sowie die Computersabotage sind strafbar.

Kali Linux - Environement is externally managed

Hast du in letzter Zeit Python auf einem neueren Linux System verwendet? Dann ist dir sicherlich aufgefallen, dass bei einem pip install packet eine Fehlermeldung erscheint. Kali geht auf seinem Blog kurz auf die Thematik ein und wird zwangsweise ab Python 3.12 (vermutlich Ende 2023), den Vorgang nicht mehr unterstützen. Als Alternative steht pipx bereit, welches für jedes Paket eine eigene virtuelle Umgebung erstellt und automatisch Links auf /bin setzt.

Mantra

Mantra ist ein Tool, um API Geheimnisse in JavaScript oder HTML aufzudecken. Das Programm ist in Go geschrieben und erlaubt dir Quellcode und Co auf mögliche Sicherheitsprobleme zu scannen.

Mailpit

Mailpit ist eher ein Entwicklertool. Denn es erlaubt dir E-Mail und SMTP Tests via API. Es ist im Prinzip eine gute Alternative zu Mailhog. Das ausführliche Wiki hilft dir bei der Umsetzung.

AtlasReaper

Confluence und Jira sind in vielen Unternehmen Standardtools und wurden in der Vergangenheit bereits von Remote Code Execution Lücken durchgeschüttelt (CVE-2022-26134). Wie schnell deine Atlassian Umgebung ausgekundschaftet werden kann, zeigt das Red Team Tool AtlasReaper. Es erlaubt das Auslesen von Informationen via Rest API. In einem Medium Artikel zeigt der Ersteller Craig Wright, was es kann und warum es auch für Blue Teams interessant sein kann.

endladung

abschluss
Das war es schon für diese Woche, vielen Dank fürs Durchscrollen.
Solltest du Feedback oder Vorschläge haben, darfst du mich gerne direkt via E-Mail oder Twitter @explodingsec anschreiben.
Kaffee trinke ich übrigens auch gerne.