Fragen? Antworten! Siehe auch: Alternativlos
Three of the four most exploited vulns were zero days, all were in cybersecurity products (Palo-Alto, Ivanti Connect Secure, Ivanti Policy Secure and Fortinet). In most of the cases documented, it was ransomware groups running rings around security vendors, ie the security vendors were the cause of the victims woes due to defective products.Ach. Ach was. Das ist ja grauenhaft! Hätte uns da nicht jemand warnen können?!Eine andere Sache, über die ich mich seit Jahren lustig mache, ist wie die Leute alle teures Monitoring-Equipment kaufen, und dann keiner die Logs davon liest. Googles Beobachtung ist, dass man über eine Woche zwischen Einbruch und dem Ransomware-Einschlag hat, in dem man die Eindringlinge finden könnte, wenn man denn die Logs lesen würde. Liest man aber nicht.
Und mit Security hat das natürlich auch nichts zu tun, wenn man Eindringlinge findet. Security wäre, sie vom Eindringen abzuhalten. Aber hey, whatever. Auf mich hört ja immer keiner.
Der nächste Mython, mit dem Google abräumt, ist "KI"-Phishing. Phishing spielt eine immer geringere Rolle, mit oder ohne "KI". Das sind alles Katzenminze-Kindermobiles für "Entscheider", damit die was attraktives haben, das ihre Aufmerksamkeit auf sich zieht.
Desweiteren stellt sich völlig überraschend raus, das wenn du Daten über die Angreifbarkeit deiner Produkte und Infrastruktur in die Cloud hochlädst, zu Jira und co, dass Angreifer das dann lesen und deine Produkte und Infrastruktur mit dem gewonnenen Wissen penetrieren.
Lasst euch nicht von dem ganzen MFA-Scheiß blenden. Das ist auch ein Katzenminze-Kindermobile. Die Frage sollte nicht sein, ob ihr MFA an dem Clouddienst aktiviert habt, sondern wieso ihr überhaupt diesen völlig überflüssigen, schädlichen, kostspieligen und Angreifern helfenden Clouddienst betreibt.
Mir ist auch völlig unklar, wieso alle Leute glauben, ein VPN zu brauchen. Das ist Perimetersicherheit, das ist als Konzept vollständig diskreditiert. Ich habe kein VPN und meine Firma auch nicht.
Update: Dieses Zero-Day-Gefasel geht mir auch zunehmend auf den Sack. Bei seriösen Anbietern gibt es keine Zero-Days, weil die keine Software einsetzen, bei der Sicherheitslücken im Umlauf sind, die der Hersteller noch nicht sofort gepatcht hat, und seriöse Firmen rollen Patches zeitnah aus. Eine "Security-Firma", die jemals in ihrer Geschichte einen Bug so lange wegignoriert hat, bis er extern ausgenutzt wird, sollte nie wieder einen Cent von irgendjemandem sehen.
Update: Ich glaube ja, dass wir hier neue Begrifflichkeiten brauchen. 0day ist ja ein Begriff aus der Hackerszene. Er bezeichnet Exploits für Sicherheitslücken, die so frisch sind, dass der Hersteller nichts von ihnen weiß. Der Hersteller der Software, die man exploiten will.
0day heißt nicht, dass Microsoft seit Jahren leugnet, dass das ein Bug ist, oder dass Ivanti keinen Patch hat, weil ihnen die Sicherheit und das Überleben ihrer Kunden voll am Arsch vorbeigeht.
Im Sprachgebrauch bei Nicht-Hackern hat sich das aber komplett gewandelt und 0day heißt "war halt schlechtes Wetter, kann keiner was für". Da ist das rein exkulpativ und wird auch für andere Situationen verwendet. Warum schlage ich neue Nomenklatur vor? Weil Hersteller 0day zur Exkulpation verwenden, und von außen kannst du das ja nicht sehen, ob der Hersteller von dem Bug wusste und ihn bloß nicht fixen wollte, oder tatsächlich nichts davon wusste. Meiner Erfahrung nach schieben alle Hersteller eine riesige Bugwelle aus bekannten Bugs in ihrem Bugtracker vor sich her, und die Wahrscheinlichkeit dafür, dass ein Bug tatsächlich unbekannt ist, ist sehr nahe Null. Schlimmer noch: Wenn es tatsächlich vorkommt, dass ein Bug dem Hersteller unbekannt war, dann kann das eigentlich nur heißen, dass der Hersteller absichtlich nicht hingeguckt hat, weil er Kundenreports nicht als Bugs versteht, sondern als Vertriebskanal für "Support"-Abofallen. Das sollte man nicht belohnen, indem man sagt, dass das dann wohl ein 0day war. Nein. Das war Herstellerversagen.
In Ottobrunn sitzen gleich mehrere Rüstungsbetriebe.
Gut zu wissen, dass die so hohe Sicherheit fahren! Citrix und Active Directory!
Aber sorgt euch nicht. Sie haben eine *umblätter* Netzwerkarchitektur!1!!
Was meint ihr, setzen die auch Ivanti, Crowdstrike und Cisco ein?
Update: Oder Fortinet.
Sicher ein Softwareproblem. Kann man nichts machen.
Hey, ob die Solarwinds oder Ivanti fahren? (Danke, Peter)
Wer kauft diesen ganzen Pfuschern eigentlich ihre Produkte ab? Wieso sind die nicht pleite?!
Hey, wie wäre es damit, mal wieder Fortinet-Kunden und Ivanti-Kunden auszulachen?
*Toast*!
Alleine für den Hostnamen "trust.okta.com" für ihre Security Advisories müsste eigentlich ein Regulator diese Firma zerschlagen. Aber ignoriert das mal kurz. Lest mal das Advisory. Das ist so bizarr, dass mir gerade echt die Worte fehlen. Ich zitiere mal:
Okta AD/LDAP Delegated Authentication - Username Above 52 Characters Security AdvisoryNein, wirklich!
On October 30, 2024, a vulnerability was internally identified in generating the cache key for AD/LDAP DelAuth. The Bcrypt algorithm was used to generate the cache key where we hash a combined string of userId + username + password. During specific conditions, this could allow users to authenticate by only providing the username with the stored cache key of a previous successful authentication.Note: A precondition for this vulnerability is that the username must be or exceed 52 characters any time a cache key is generated for the user.
Das klingt jetzt gerade nicht wie ein Buffer Overflow, eher das Gegenteil. Die kleben drei Strings hintereinander, der dritte ist das Passwort. Aber bcrypt hat ein Limit von 56 Bytes. Am Anfang ist die User-ID, die packen sie offenbar als 32-bit-Integer in das bcrypt rein. Bleiben besagte 52 Zeichen, wenn man noch nie von UTF-8 gehört hat. Fucking Amis ey.Einmal mit Profis arbeiten!
Update: Die sind übrigens nicht völlig unfähig bei Okta. Die Krisenkommunikations-Abteilung ist top notch. Die haben wie beim letzten Mal schön alles zurückgehalten bis Freitag nach Dienstschluss. Schön den Schaden maximieren, und hoffen, dass das am Wochenende verdampft, bis die Leute am Montag andere Dinge zu tun haben.
Wisst ihr, wer das jetzt auch sagt? Sophos.
For years, it's been an inconvenient truth within the cybersecurity industry that the network security devices sold to protect customers from spies and cybercriminals are, themselves, often the machines those intruders hack to gain access to their targets. Again and again, vulnerabilities in “perimeter” devices like firewalls and VPN appliances have become footholds for sophisticated hackers trying to break into the very systems those appliances were designed to safeguard.Ach. Ach was. Wartet, das war noch nicht Sophos. Das war die Einleitung von Wired.Wieso sagen die Leute das eigentlich immer erst, wenn es nicht mehr zu leugnen ist?
Sophos versucht es natürlich anders zu spinnen. Sie sind hier die glorreichen Helden, die gegen die verruchten fiesen Chinesen "zurückhacken". Da werden sich aber die üblichen Kompetenzgranaten in Deutschland freuen, die meinen Vortrag dazu noch nicht gesehen haben.
The company went as far as discreetly installing its own “implants” on the Chinese hackers' Sophos devices to monitor and preempt their attempts at exploiting its firewalls.Das ist selbstverständlich illegal, und zwar sowohl unter chinesischen wie auch unter britischem oder EU-Recht. Sophos gibt hier also unumwunden Straftaten zu. Das könnt ihr ja mal mit eurer Einkaufsabteilung besprechen, wenn die bei Sophos eingekauft haben.Aber mal abgesehen davon. Was fand Sophos denn da?
In the process, Sophos analysts identified a series of hacking campaigns that had started with indiscriminate mass exploitation of its products but eventually became more stealthy and targeted, hitting nuclear energy suppliers and regulators, military targets including a military hospital, telecoms, government and intelligence agencies, and the airport of one national capital. While most of the targets—which Sophos declined to identify in greater detail—were in South and Southeast Asia, a smaller number were in Europe, the Middle East, and the United States.Das ist schön ausweichend formuliert, daher lasst es mich noch mal betonen. Alle diese Organisationen wurden über Sophos-Pfusch-Produkte angegriffen. Wenn die auf mich gehört und kein Schlangenöl gekauft hätten, wären die Chinesen auf dem Weg nicht reingekommen.Sophos says it’s telling that story now [...] to break the cybersecurity industry's awkward silence around the larger issue of vulnerabilities in security appliances serving as entry points for hackers.Absolut an der Zeit. Hätten sie auch 20 Jahre früher machen können. Am besten direkt auf ihre Produkte eine fette Warnung aufdrucken! Wer das hier kauft, öffnet den Chinesen eine Hintertür in sein Netz.Ist jetzt natürliche in bisschen ungerecht, so auf Sophos herumzuhauen. Die sind ja nur einer der Player, und der erste, der ein bisschen Anflüge von Ehrlichkeit zeigt in der Beziehung.
In just the past year, for instance, flaws in security products from other vendors including Ivanti, Fortinet, Cisco, and Palo Alto have all been exploited in mass hacking or targeted intrusion campaigns.No shit.Bleibt mir nur eines zu sagen:
TOLD YOU SO. (via)
Wenn ja: BWAHAHAHAHA IHR DEPPEN! Wie oft müsst ihr eigentlich gepwnt werden, bevor ihr den Lieferanten wechselt?
Ich fühle mich an Sony erinnert :-)
Neulich so: Furchtbare Sicherheitslücken bei Ivanti.
Heute so, ihr ahnt es wahrscheinlich schon… Furchtbare Sicherheitslücken bei Ivanti.
Tja, wenn ihr solche Anbieter nicht rausschmeißt, dann nehmt ihr halt jedes Schlagloch auf der Strecke mit.
Heute so: Kritisches Securityproblem in Ivanti!
The flaw (CVE-2024-22024) is due to an XXE (XML eXternal Entities) weakness in the gateways' SAML component that lets remote attackers gain access to restricted resources on unpatched appliances in low-complexity attacks without requiring user interaction or authentication.Hey, von denen willst du doch deine Enterprise-VPN-Lösung kaufen!1!!Ivanti VPN appliances have been targeted in attacks chaining the CVE-2023-46805 authentication bypass and the CVE-2024-21887 command injection flaws as zero-days since December 2023.The company warned of a third actively exploited zero-day (a server-side request forgery vulnerability now tracked as CVE-2024-21893) that's now also under mass exploitation by multiple threat actors, allowing attackers to bypass authentication on unpatched ICS, IPS, and ZTA gateways.
Ja gut, bei so vielen apokalyptischen Totalschaden-Sicherheitslücken kann man schon mal die Übersicht verlieren.Endlich nimmt das mal jemand ernst mit "die Zukunft ist passwordless" *wieher*
Jetzt so: Mal aufmachen, was da so läuft.
Ein Kollege kommentierte: Nicht jeder Schimmel ist Edelschimmel! Dazu einen schönen Spätburgunder?
Ich finde ja immer bemerkenswert, wie Leute einfach annehmen, dass ein Spezialist das schon ordentlich machen wird. Der Spezialist hat irgendwann ein ranziges Studenten-Startup gegründet und quetscht da jetzt solange Geld raus, wie welches zu quetschen ist. Danach kaufen sie halt die nächste Studenten-Klitsche.
Das BSI warnte eine Woche lang vergeblich vor einer maximal schädlichen Lücke in Ivanti-Schlangenöl, über die bereits 12 Ministerien in Norwegen hopsgenommen wurden. Das Digitalministerium tat nichts.
Bis jemand dann der Süddeutschen ein paar Daten gegeben hat, die er über die Lücke aus dem Digitalministerium befreit hatte. Ich würde hier auf die Süddeutsche linken, aber die haben das hinter Paywall und sich damit selbst ins Aus geschossen. Schlaue Strategie!
Was mich bei sowas ja immer am meisten ärgert: Alle sind schockiert, dass das Ministerium den Patch nicht eingespielt hat. Niemand ist schockiert, dass das Ministerium diese Software überhaupt installiert hatte. WARUM?!