exploding security #21 - Code Credentials Scanner - Standardzugänge - MOVEit Schwachstelle - Retire.js

Vergangene Woche wurde der Newsletter wohl bei manchen als Spam markiert. Ich konnte nicht feststellen, was der Grund gewesen sein könnte. Links zu dubiosen Seiten werden hier nicht gesetzt, aber verlinkte Seiten auch nicht dauerhaft kontrolliert.
Dubios klingt dagegen die Meldung der letzten Woche, dass das Hackerkollektiv Killnet an einem eigenen Film arbeitet. Thema ist die Gruppe selbst, na wer hätte das gedacht. Viel Spaß mit explodingsecurity #21

Rückblick: Was gibt es Neues zu den Themen der letzten Woche?

Operation Triangulation

Vergangene Woche hatte ich dir über Operation Triangulation berichtet. Die von Kaspersky neu entdeckte Malware für iOS-Geräte wird immer noch untersucht. Zwischenzeitlich hat Kaspersky mit dem Triangle Check ein Python Tool bereitgestellt, um betroffene Geräte zu identifizieren. Die Firma berichtet in einem ausführlichen Artikel über die Funktionsweise des Scripts.

In der Sektion Öffnungszeiten werde ich über einen Teil der Security Breaches der letzten Woche berichten.

Die Jobbörse Pflegia meldete diese Woche einen Datenabfluss. Cybernews entdeckte eine falsch konfigurierte Amazon Web Services (AWS) Instanz mit Bewerbungsunterlagen von Plattform Nutzern. Die Daten enthalten Echtnamen, Privatadressen und Telefonnummern.

Bei den DDoS Botnetzen da draußen standen in der KW23 Webseiten von europäischen Hafenbetreibern im Fokus. In Deutschland war nur ein Hafen in Niedersachsen betroffen.

Niedersachsen Ports GmbH & Co. KG

• Angreifer: NoName057 (16)
• Angriffsart: DDoS

IK Industrievereinigung Kunststoffverpackungen e. V.

• Angreifer: Bloodnet
• Angriffsart: DDoS

ChemCologne e. V.

• Angreifer: Bloodnet
• Angriffsart: DDoS

Auswärtiges Amt

• Angreifer: Bloodnet
• Angriffsart: DDoS

hep global GmbH

• Angreifer: Darkrace
• Angriffsart: Ransomware

Storopack Hans Reichenecker GmbH

• Angreifer: Black Basta
• Angriffsart: Ransomware

ASZ GmbH & Co. KG

• Angreifer: Quilin
• Angriffsart: Ransomware

Deutsche Leasing AG

• Angreifer: unbekannt
• Angriffsart: unbekannt

Landkreis Aurich

• Angreifer: unbekannt
• Angriffsart: unbekannt

Der Bereich Schadstoffe soll analog zum Bereich Öffnungszeiten von Tools und Angriffen handeln. Allerdings sind Ransomware, Erpressungstrojaner, DDoS und Co im Fokus. Die genannten Methoden und Werkzeuge dienen dem Bildungszweck zur Verbesserung der IT-Sicherheit. Das Ausspähen und Abfangen von Daten sowie die Computersabotage sind strafbar.

MOVEit Sicherheitslücke

Die letzte Woche dominierte die MOVEit Sicherheitslücke die Medien. Bei MOVEit handelt es sich um ein Tool zur Datenübertragen der Firma Progress Software Corporation (IPswitch). Das Tool wird oft in Ämtern und Behörden oder anderen Institution verwendet, um Daten zwischen Partnern auszutauschen. Ein Austausch erfolgt über SFTP, SCP und HTTP/S.

Nun wurde eine SQL-Injektion-Schwachstelle (CVE-2023-34362) in der Managed File Transfer (MFT)-Lösung entdeckt, die es erlaubt, Daten abzuziehen. Ausgenutzt haben soll das die Gruppe so Lace Tempest (FIN11, TA505) auch bekannt als Cl0p Ransomware so Microsoft.

Die Gruppe Clop hat inzwischen eine Frist für die bisher unbekannte Anzahl an betroffenen Unternehmen gesetzt. Diese soll am 14. Juni 2023 ablaufen und abgezogene Daten veröffentlicht werden. Laut meinen Recherchen via Censys könnten allein in Deutschland 130 Server betroffen sein. Wie viele anfällig auf die Sicherheitslücken waren oder sind, ist bisher unbekannt. Clop selbst hat bekannte Namen wie BBC, British Airways und Boots auf seiner Darknet Seite gelistet. Ein bekanntes deutsches Opfer ist die Mainzer Verlagsgruppe VRM, wie Günter Born berichtet.

Auf Github gibt es inzwischen ein Repository, welches den zeitlichen Ablauf der Vorgänge auflistet und eine schicke Infografik von Bushido Token beinhaltet.

Vermutlich wird die Sicherheitslücke ähnliche Auswirkungen haben, wie die Clopocalypse im März (siehe ES#10), als die Gruppe die GoAnywhere Zero-Day-Lücke ausnutze. Ich halte dich auf dem Laufenden.

Inzwischen wurde vom Hersteller eine weitere kritische MOVEit Schwachstelle aufgedeckt, aktuell hat sie noch keine CVE Nummer.

GitLab 16.0.0 - Path Traversal

Ende Mai wurde von Gitlab ein Sicherheitsupdate auf 16.0.1 veröffentlicht. Grund war eine kritische Path Traversal Lücke (CVE-2023-2825). Für diese Lücke wurde ein Proof of Concept auf GitHub veröffentlicht. Nicht authentifizierte Benutzer können diese Schwachstelle nur in öffentlichen Repositorys ausnutzen. Dennoch rate ich dir zu einem schnellen Update, solltest du Gitlab on Premise betreiben.

Der Klassenraum soll nicht abschrecken, sondern dir eine Möglichkeit geben, Wissen im IT-Security-Bereich anzureichern oder aufzufrischen.
Die genannten Methoden und Werkzeuge dienen dem Bildungszweck zur Verbesserung der IT-Sicherheit. Das Ausspähen und Abfangen von Daten sowie die Computersabotage sind strafbar

QUIC, TLS und Co Byte by Byte

Michael Driscoll hat sich auf die Animation von verschlüsselten Verbindungen spezialisiert. Auf seiner Webseite findest du verschiedene Protokolle inklusive passender Animation der Funktionsweise. Dazu nimmt er verschlüsselte Verbindungen wie QUIC, DTLS, TLS 1.3 oder TLS 1.2 Byte für Byte auseinander. Für einen Deep Dive genau die richtige Kost. Zusätzlich steht der Code auf Github zur Verfügung.

Infosecurity Konzepte extrem vereinfacht

Security Zines bietet dir auf seiner Seite tolle Informationsflyer zu diversen Konzepten und Protokollen an. Von DNS, über JSON Web Token, bis Log4j sind die Infoflyer kompakt, aber super informativ und nett umgesetzt.

So wird auch das vorletzte Woche erwähnte Konzept der Canary Tokens bildlich wiedergegeben. Schau mal rein.

Wie hacke ich eigentlich meine Zahnbürste?

Diese Frage hat sich Cyrill Künzi gestellt und kurzerhand seine Philips Sonicare genauer unter die Lupe genommen. Solch eine elektronische Zahnbürste sorgt nicht nur für ein strahlendes Gebiss, sondern jeder Bürstenkopf hat auch ein einzigartiges Passwort.

Im Bereich Werkzeugkasten werden dir Tools aus dem IT-Security-Universum vorgestellt. Bitte beachte, dass die genannten Methoden und Werkzeuge dem Bildungszweck zur Verbesserung der IT-Sicherheit dienen. Das Ausspähen und Abfangen von Daten sowie die Computersabotage sind strafbar.

Code Credential Scanner (ccs)

Die NCC Group hat einen neuen Open-Source Code Credential Scanner zur Erkennung fest codierter Anmeldeinformationen veröffentlicht. Angedacht ist, dass Entwickler das SAST Tool direkt in die CI/CD Pipeline integrieren.

Default Credentials Datenbank

Fast jede Software hat Standardzugangsdaten. Fast, weil manche einfach gar keine haben und Felder wie Nutzername oder Passwort einfach leer bleiben. Bei all diesen Produkten ist es notwendig, die Standardeinstellungen anzupassen und durch eigene, sichere Zugangsdaten zu ersetzen.

Das Default Credentials Cheatsheet soll dir bei der Identifizierung solcher Default Zugänge helfen, zum Beispiel bei einem Pentest. Momentan befinden sich 1231 Hersteller in der Datenbank, mit 3514 Standardpasswörtern.

retire.js – JavaScript Sicherheitsscanner

JavaScript-Bibliotheken werden im Web oft verwendet, beispielsweise in Zusammenhang mit NodeJS. Allerdings kümmern sich wenige um die Aktualität dieser Libraries. Genau hier setzt retire.js an. Das Tool scannt deine Web-App oder Node-App auf die Verwendung anfälliger JavaScript-Bibliotheken und/oder Node.JS-Module. Der Sicherheitsscanner retire.js kann auf verschiedene Arten eingebunden werden:

1. command line scanner
2. grunt plugin
3. gulp task
4. Chrome extension
5. Firefox extension (Deprecated)
6. Burp Extension
7. OWASP ZAP Add-on

Heute mal was für dein Smartphone. Ganze 30 schnieke Hintergrundbilder angelehnt an Hacker und Co hat Rez0 mit Midjourney generiert und stellt sie dir auf Twitter frei zur Verfügung.

Das war es schon für diese Woche, vielen Dank fürs Durchscrollen.
Solltest du Feedback oder Vorschläge haben, darfst du mich gerne direkt via E-Mail oder Twitter @explodingsec anschreiben.
Kaffee trinke ich übrigens auch gerne.