Fragen? Antworten! Siehe auch: Alternativlos
Three of the four most exploited vulns were zero days, all were in cybersecurity products (Palo-Alto, Ivanti Connect Secure, Ivanti Policy Secure and Fortinet). In most of the cases documented, it was ransomware groups running rings around security vendors, ie the security vendors were the cause of the victims woes due to defective products.Ach. Ach was. Das ist ja grauenhaft! Hätte uns da nicht jemand warnen können?!Eine andere Sache, über die ich mich seit Jahren lustig mache, ist wie die Leute alle teures Monitoring-Equipment kaufen, und dann keiner die Logs davon liest. Googles Beobachtung ist, dass man über eine Woche zwischen Einbruch und dem Ransomware-Einschlag hat, in dem man die Eindringlinge finden könnte, wenn man denn die Logs lesen würde. Liest man aber nicht.
Und mit Security hat das natürlich auch nichts zu tun, wenn man Eindringlinge findet. Security wäre, sie vom Eindringen abzuhalten. Aber hey, whatever. Auf mich hört ja immer keiner.
Der nächste Mython, mit dem Google abräumt, ist "KI"-Phishing. Phishing spielt eine immer geringere Rolle, mit oder ohne "KI". Das sind alles Katzenminze-Kindermobiles für "Entscheider", damit die was attraktives haben, das ihre Aufmerksamkeit auf sich zieht.
Desweiteren stellt sich völlig überraschend raus, das wenn du Daten über die Angreifbarkeit deiner Produkte und Infrastruktur in die Cloud hochlädst, zu Jira und co, dass Angreifer das dann lesen und deine Produkte und Infrastruktur mit dem gewonnenen Wissen penetrieren.
Lasst euch nicht von dem ganzen MFA-Scheiß blenden. Das ist auch ein Katzenminze-Kindermobile. Die Frage sollte nicht sein, ob ihr MFA an dem Clouddienst aktiviert habt, sondern wieso ihr überhaupt diesen völlig überflüssigen, schädlichen, kostspieligen und Angreifern helfenden Clouddienst betreibt.
Mir ist auch völlig unklar, wieso alle Leute glauben, ein VPN zu brauchen. Das ist Perimetersicherheit, das ist als Konzept vollständig diskreditiert. Ich habe kein VPN und meine Firma auch nicht.
Update: Dieses Zero-Day-Gefasel geht mir auch zunehmend auf den Sack. Bei seriösen Anbietern gibt es keine Zero-Days, weil die keine Software einsetzen, bei der Sicherheitslücken im Umlauf sind, die der Hersteller noch nicht sofort gepatcht hat, und seriöse Firmen rollen Patches zeitnah aus. Eine "Security-Firma", die jemals in ihrer Geschichte einen Bug so lange wegignoriert hat, bis er extern ausgenutzt wird, sollte nie wieder einen Cent von irgendjemandem sehen.
Update: Ich glaube ja, dass wir hier neue Begrifflichkeiten brauchen. 0day ist ja ein Begriff aus der Hackerszene. Er bezeichnet Exploits für Sicherheitslücken, die so frisch sind, dass der Hersteller nichts von ihnen weiß. Der Hersteller der Software, die man exploiten will.
0day heißt nicht, dass Microsoft seit Jahren leugnet, dass das ein Bug ist, oder dass Ivanti keinen Patch hat, weil ihnen die Sicherheit und das Überleben ihrer Kunden voll am Arsch vorbeigeht.
Im Sprachgebrauch bei Nicht-Hackern hat sich das aber komplett gewandelt und 0day heißt "war halt schlechtes Wetter, kann keiner was für". Da ist das rein exkulpativ und wird auch für andere Situationen verwendet. Warum schlage ich neue Nomenklatur vor? Weil Hersteller 0day zur Exkulpation verwenden, und von außen kannst du das ja nicht sehen, ob der Hersteller von dem Bug wusste und ihn bloß nicht fixen wollte, oder tatsächlich nichts davon wusste. Meiner Erfahrung nach schieben alle Hersteller eine riesige Bugwelle aus bekannten Bugs in ihrem Bugtracker vor sich her, und die Wahrscheinlichkeit dafür, dass ein Bug tatsächlich unbekannt ist, ist sehr nahe Null. Schlimmer noch: Wenn es tatsächlich vorkommt, dass ein Bug dem Hersteller unbekannt war, dann kann das eigentlich nur heißen, dass der Hersteller absichtlich nicht hingeguckt hat, weil er Kundenreports nicht als Bugs versteht, sondern als Vertriebskanal für "Support"-Abofallen. Das sollte man nicht belohnen, indem man sagt, dass das dann wohl ein 0day war. Nein. Das war Herstellerversagen.
Update: Oder Fortinet.
Lustig auch:
may allow a remote attacker to gain super-admin privileges via crafted requests to Node.js websocket moduleIch weiß gar nicht, was ich da lustiger finden soll. "super-admin" oder dass die auch noch Node einsetzen. PHP haben sie ihre Kunden ja auch schon ungebeten untergejubelt, und jetzt auch noch Node.Kommt, Fortinet, da kriegt ihr auch noch ein Rails rein, und ein Perl! Unsicherer geht immer!! (Danke, Robert)
Fortinet has disclosed a critical vulnerability in Fortinet Wireless Manager (FortiWLM) that allows remote attackers to take over devices by executing unauthorized code or commands through specially crafted web requests.[...]
The flaw, tracked as CVE-2023-34990, is a relative path traversal flaw rated with a score of 9.8.
Path traversal! Da haben wir in den 1990er Jahren schon drüber gelacht!Bemerkenswert ist an diesen Ding aber nicht nur die Peinlichkeit des technischen Versagens, sondern auch wie lange Fortinet auf der Lücke saß und ihre Kunden ans Messer geliefert hat.
Horizon3 researcher Zach Hanley discovered and disclosed the vulnerability to Fortinet in May 2023. However, the flaw remained unfixed ten months later, and Hanley decided to disclose information and a POC it on March 14, 2024 in a technical writeup about other Fortinet flaws he discovered.Fortinet weiß seit anderthalb Jahren davon, die Welt weiß seit 9 Monaten davon, und Fortinet tat ... nichts. (Danke, Andy)
Schritt 2: Kann mal jemand IBMs Bier halten?
IBM Security Verify Access Appliance contains hard-coded credentials
Genau mein Humor!
When I think Security Verify Access, I think hard-coded credentials!!
Von Cisco lernen heißt Siegen lernen!
Wobei. Das ist ungerecht. Solarwinds macht das auch. Fortinet baut ihre Backdoors gleich ganz ohne Credentials. Und Okta verteilt Credentials per Named Pipe oder hat einen Auth Bypass bei zu langen Usernamen. Das ist einmal der Gartner-Exzellenzcluster, meine Damen und Herren. Da will IBM natürlich auch mitspielen!!1! (Danke, Micha)
Chinese hackers exploit Fortinet VPN zero-day to steal credentialsUnd natürlich ist Fortinet genau so drauf wie der Rest der Industrie, wenn es um Bug-Fix-Geschwindigkeit geht."Volexity reported this vulnerability to Fortinet on July 18, 2024, and Fortinet acknowledged the issue on July 24, 2024," explains the report."At the time of writing, this issue remains unresolved and Volexity is not aware of an assigned CVE number."
Aber Fortinet ist nicht Microsoft, also kolportiert die Presse nicht das übliche unerträgliche Gewinsel von Microsoft, dass hier unschuldige Kunden gefährdet würden und man doch Responsible Disclosure fordert. Da krieg ich jedesmal Zucken in der Faust, wenn ich das lese. Die Kunden werden ja nicht von der Disclosure gefährdet sondern von der beschissenen Produktqualität ihrer versifften Zulieferer. (Danke, Dino)
Wieviele KRITIS-Organisationen setzen eigentlich Fortinet oder Palo Alto ein? Und sind damit durch diverse Audits und Pentests gekommen?
Wir haben doch umfangreiche Dokumentationspflichten jetzt. Erzählt doch mal, wie gut die geholfen haben!
Wie viele Firmen haben ISO-27001 und Fortinet/Palo Alto?
Fällt euch selber was auf oder muss ich weiterreden?
Update: Leserbrief:
Ich arbeite in einem Kritis-Unternehmen (Strom). Habe heute im Flurfunk mitbekommen, dass wir in unserem neuen Rechenzentrum nicht mehr auf Fortinet setzen.
Wir werden da etwas einsetzen von:
Palo Alto
Badumm Tsssss
Ich persönlich wundere mich ja nicht, dass wir ständig gehackt werden. Ich wundere mich, dass wir nur so wenig gehackt werden. Das liegt wahrscheinlich daran, dass unsere Spezialexperten wegen des ganzen Checklistenballetts nicht bemerken, dass und wie lange und von wie vielen parallel sie schon kompromittiert wurden.
Das Problem habe ich leider jedes Jahr aber so schlimm wie diesmal war es noch nie. Und es hört auch nicht auf! Guckt euch nur mal Palo Alto an. So blöde ist ja hoffentlich keiner von euch, bei denen zu kaufen. Die Meldung da ist vom Juni.
Die stellen also ihr "Expedition"-Produkt ein, das noch nie durch eine vertrauenswürdige Qualitätssimulation aufgefallen ist.
Warum? Nun, das könnte etwas hiermit zu tun haben: auth bypass (schöner Writeup dazu) SQL Injection OS Command Injection.
Ich applaudiere ja Palo Alto, dass sie erkennen, das ihr Produkt Schrott ist und weggeschmissen gehört. Das sollten viel mehr Hersteller machen. Aber wieso bei Expedition aufhören? PAN-OS hat genau solche Bugs auch gehabt. Von anderen Herstellern wie Fortinet oder Cisco mal ganz zu schweigen.
Mich fragte heute jemand, ob die das abreißen, weil zu viele Bugs reinkamen, und sie daher gemerkt haben, wie schrottig das ist. Meiner Erfahrung nach wissen alle Hersteller, wie schlecht ihre Produkte sind. Einige wollen es auf Management-Schicht nicht wahrhaben, und ganz, GANZ selten gibt es auch Produkte, bei denen die Ingenieure nicht wissen, wie Scheiße ihr Produkt ist, aber das ist echt die Ausnahme. Habe ich in knapp 30 Berufsjahren zweimal erlebt. Die meisten Firmen wissen das, und die sehen das als Gelegenheit, mit Supportverträgen Profit zu machen.
Häufig ist das so, dass ein Produkt ein Team hat, das über die Jahre technical debt aufgehäuft hat, und häufig geht der Verantwortliche dann, weil ein Mann von meiner Statur muss sich nicht mit brennenden Mülltonnen herumärgern, und der Rest des Teams erzählt mir beim Audit dann "das ist nicht mein Code, ich habe den bloß geerbt" (soll heißen: Ich habe keine Ahnung, was der tut, und traue mich nicht den anzufassen). Da kann ich echt die Uhr nach stellen bei Audits.
Natürlich will niemand in den Rückbau von technical debt investieren, daher wird das immer teurer und träger und am Ende sitzt man Monate auf Bugfixes (das Palo-Alto-Dingens gerade wurde denen im Juni gemeldet). Und guckt euch mal an, was das für ein geiler Bug ist. Die haben da eine PHP-Datei, per Web erreichbar, die das Admin-Passwort auf "paloalto" zurücksetzt. Ohne Authentisierung, versteht sich. Kann man einfach aufrufen und ist Admin.
Sorry, aber das ist kein "Bug". Das wusste die Firma auch, dass sie das haben. Dafür müsste in einer gerechten Welt jemand in den Knast.
Übrigens, am Rande: Falls ihr euch dachtet, Programmierer würden doch von ihrer Ethik und ihrer guten Erziehung davon abgehalten, brennende Mülltonnen in der Landschaft zu verteilen, dann solltet ihr diesen Artikel lesen. Programmierer sind von allen Berufsgruppen die unethischsten. Alle haben ein schlechtes Gewissen und fühlen sich als Betrüger, wenn sie "KI" fragen und dann so tun als sei das ihre Arbeit gewesen. Außer Programmierern. Die finden das normal.
Zentrale Gründe für das Unbehagen seien das Gefühl, Nutzung generativer KI fühle sich wie Mogeln an (47 Prozent), sowie Ängste, als weniger kompetent (46 Prozent) oder gar faul gesehen zu werden (46 Prozent).Coder sind schlechte Menschen. Nur schlechte Menschen wie Scammer, Spammer, Marketing-Kokser und Coder lassen sich von "KI" helfen und haben kein schlechtes Gewissen.In Deutschland waren es hauptsächlich Nachrichten an Chef (31 Prozent) oder an Kollegen auf der gleichen Hierarchiestufe (27 Prozent), Leistungsbeurteilungen (24 Prozent) oder Ideen-Brainstormings (22 Prozent), bei denen Befragte keine KI-Nutzung eingestehen mochten. Sich beim Coden von der KI helfen zu lassen, wäre hingegen nur neun Prozent peinlich.
in the process of doing so, we came across some new issues that changed our view of the vulnerability significantly. In particular, we found a new vulnerability, which we’ve termed ‘FortiJump Higher’. We also found two file overwrite vulnerabilities which could be leveraged to crash the system. The low complexity of these vulnerabilities brings into question the overall quality of the FortiManager codebase.Ich weiß was ihr jetzt denkt! "question the overall quality of the FortiManager codebase"?! Was sind denn da bitte noch für Fragen offen!?Jedenfalls keine bei Angreifern, denn völlig überraschend stellt sich raus, dass die frisch entdeckten Lücken schon von Kriminellen als Breitensport ausgenutzt wurden.
Most importantly, the original FortiJump vulnerability is under active, mass exploitation right now.Aber nicht doch, mein Herr!Mit Freunden wie Fortinet brauchst du keine Feinde mehr. Überlegt mal, was das heißt, wenn die Angreifer nicht mehr nach Lücken in MS Office suchen, weil Fortinet exploiten so viel leichter ist.
Additionally, we firmly believe that, based on our analysis and in our opinion, Fortinet’s patch for FortiJump vulnerability is incompleteUn-denk-bar! Fortinet kann nicht nur beim Entwickeln nichts sondern die sind auch beim Patchen bloß herumtölpelnde Pfuscher?! NA SOWAS! Hätte uns nur jemand vor Schlangenöl-Produkten gewarnt!Update: Die technisch versierteren unter euch sollten sich den Bug mal angucken, den sie da beschreiben. Die nehmen unvalidierte Eingaben vom Angreifer und rufen damit system() auf. So haben wir schon vor 40 Jahren Rechner aufgemacht. Kannst du dir nicht ausdenken.
Update: Bei Heise ist Fortinet inzwischen nicht mehr unter Security sondern unter WTF eingeordnet :-) (Danke, Christopher)
Wer kauft diesen ganzen Pfuschern eigentlich ihre Produkte ab? Wieso sind die nicht pleite?!
Ein aktueller Hohlphrasen-Trend heißt "Secure by Design". Klingt eigentlich erstmal wie eine gute Idee, bis einem auffällt, dass da niemand etwas konkretes oder hilfreiches drunter versteht. Das ist einfach wie so ein Bullshit-Prüfsiegel-GIF im Web, das man auf seine Webseite pappt, damit die Kunden ein wohliges Gefühl haben.
Man kann das auch ernsthaft betreiben, klar. Ich halte seit einiger Zeit Vorträge darüber, wie ich konkret mein Blog so gebaut habe, wie ich mir Secure by Design vorstelle. Das ist allerdings transformativ. Das ist nichts, was man nachträglich dranflanscht. Man überlegt sich die Dinge vorher, damit das am Ende passt.
In meinem Blog habe ich eine Kombination aus Self-Sandboxing (Blog hat keinen Zugriff aufs Dateisystem, darf nur nach stdout schreiben und keine Sockets aufmachen) implementiert, und beim Anmelden prüft das Blog gar nichts sondern reicht die Credentials durch zum LDAP. Blog-Prozesse können sich gegenseitig nicht sehen.
Ergebnis: Ich könnte euch eine Shell-Kommandozeile im Blog einbauen und ihr könntet damit nichts machen, weil das Blog auch keine Prozesse starten kann und gegenüber dem LDAP nur mit den Zugriffsrechten angemeldet ist, die ihr über Bedienung des Blog-CGIs auslösen könnt. Das verstehe ich unter Secure by Design.
Wieso hole ich diese alten Kamellen raus? Weil mir gerade jemand diesen Artikel zu Secure by Design in der Industrie geschickt hat. Wie immer, wenn man inhaltlich nichts in der Hand hat, greift der Marketing-Experte zu "social proof" und listet zufriedene oder erfolgreiche Kunden. In diesem Fall Firmen, die Secure by Design erfolgreich umgesetzt haben.
Setzt euch mal stabil hin kurz:
The Cybersecurity and Infrastructure Security Agency’s (CISA) secure-by-design pledge has hit its six-month mark, and companies that took the pledge say they’ve made significant security improvements since they signed onto the initiative.CISA ist sowas wie das BSI der USA. Eine Bundesbehörde. Und CISA ist hochzufrieden, dass ihr Compliance-Theater von der Industrie Kunstförderung erhält:Jack Cable, a senior technical adviser at CISA, told Recorded Future News in a newly published Q&A about the project, which he said has “exceeded expectations.”Gut, das heißt natürlich nichts. Die Erwartungen könnten auch negativ gewesen sein, so dass schon "keiner tut was" die Erwartungen übertroffen hätte. Aber seien wir mal kurz nicht so zynisch. Er nennt fünf konkrete Firmen.Amazon Web ServicesNein, wirklich! Das sind die fünf hervorstechenden Erfolgsgeschichten für Secure by Design!Fortinet
Microsoft
Okta
Sophos
Und was haben die am Ende gemacht, um Secure by Design behaupten zu können jetzt? Sie haben ihren Opfern, äh, Kunden MFA reingedrückt!
Und MFA ist meiner Ansicht nach Security-Theater. Tut nichts für eure Sicherheit und erlaubt den gehackten Firmen so zu tun, als sei das deine Schuld, weil du ihnen Passwörter anvertraut hast statt MFA zu machen.
Wenn eine Firma dich zu MFA nötigen will, denkt immer daran, wie Firmen nach Hacks sagen, "aber die Kreditkartennummern sind nicht weggekommen". Warum sind die nicht weggekommen? Weil das teuer würde für die Firma. Alle anderen Daten? Da scheißen die drauf, wenn die wegkommen. Ist ja euer Schaden, nicht ihrer.
Hey, wie wäre es damit, mal wieder Fortinet-Kunden und Ivanti-Kunden auszulachen?
*Toast*!
Alleine für den Hostnamen "trust.okta.com" für ihre Security Advisories müsste eigentlich ein Regulator diese Firma zerschlagen. Aber ignoriert das mal kurz. Lest mal das Advisory. Das ist so bizarr, dass mir gerade echt die Worte fehlen. Ich zitiere mal:
Okta AD/LDAP Delegated Authentication - Username Above 52 Characters Security AdvisoryNein, wirklich!
On October 30, 2024, a vulnerability was internally identified in generating the cache key for AD/LDAP DelAuth. The Bcrypt algorithm was used to generate the cache key where we hash a combined string of userId + username + password. During specific conditions, this could allow users to authenticate by only providing the username with the stored cache key of a previous successful authentication.Note: A precondition for this vulnerability is that the username must be or exceed 52 characters any time a cache key is generated for the user.
Das klingt jetzt gerade nicht wie ein Buffer Overflow, eher das Gegenteil. Die kleben drei Strings hintereinander, der dritte ist das Passwort. Aber bcrypt hat ein Limit von 56 Bytes. Am Anfang ist die User-ID, die packen sie offenbar als 32-bit-Integer in das bcrypt rein. Bleiben besagte 52 Zeichen, wenn man noch nie von UTF-8 gehört hat. Fucking Amis ey.Einmal mit Profis arbeiten!
Update: Die sind übrigens nicht völlig unfähig bei Okta. Die Krisenkommunikations-Abteilung ist top notch. Die haben wie beim letzten Mal schön alles zurückgehalten bis Freitag nach Dienstschluss. Schön den Schaden maximieren, und hoffen, dass das am Wochenende verdampft, bis die Leute am Montag andere Dinge zu tun haben.
Wisst ihr, wer das jetzt auch sagt? Sophos.
For years, it's been an inconvenient truth within the cybersecurity industry that the network security devices sold to protect customers from spies and cybercriminals are, themselves, often the machines those intruders hack to gain access to their targets. Again and again, vulnerabilities in “perimeter” devices like firewalls and VPN appliances have become footholds for sophisticated hackers trying to break into the very systems those appliances were designed to safeguard.Ach. Ach was. Wartet, das war noch nicht Sophos. Das war die Einleitung von Wired.Wieso sagen die Leute das eigentlich immer erst, wenn es nicht mehr zu leugnen ist?
Sophos versucht es natürlich anders zu spinnen. Sie sind hier die glorreichen Helden, die gegen die verruchten fiesen Chinesen "zurückhacken". Da werden sich aber die üblichen Kompetenzgranaten in Deutschland freuen, die meinen Vortrag dazu noch nicht gesehen haben.
The company went as far as discreetly installing its own “implants” on the Chinese hackers' Sophos devices to monitor and preempt their attempts at exploiting its firewalls.Das ist selbstverständlich illegal, und zwar sowohl unter chinesischen wie auch unter britischem oder EU-Recht. Sophos gibt hier also unumwunden Straftaten zu. Das könnt ihr ja mal mit eurer Einkaufsabteilung besprechen, wenn die bei Sophos eingekauft haben.Aber mal abgesehen davon. Was fand Sophos denn da?
In the process, Sophos analysts identified a series of hacking campaigns that had started with indiscriminate mass exploitation of its products but eventually became more stealthy and targeted, hitting nuclear energy suppliers and regulators, military targets including a military hospital, telecoms, government and intelligence agencies, and the airport of one national capital. While most of the targets—which Sophos declined to identify in greater detail—were in South and Southeast Asia, a smaller number were in Europe, the Middle East, and the United States.Das ist schön ausweichend formuliert, daher lasst es mich noch mal betonen. Alle diese Organisationen wurden über Sophos-Pfusch-Produkte angegriffen. Wenn die auf mich gehört und kein Schlangenöl gekauft hätten, wären die Chinesen auf dem Weg nicht reingekommen.Sophos says it’s telling that story now [...] to break the cybersecurity industry's awkward silence around the larger issue of vulnerabilities in security appliances serving as entry points for hackers.Absolut an der Zeit. Hätten sie auch 20 Jahre früher machen können. Am besten direkt auf ihre Produkte eine fette Warnung aufdrucken! Wer das hier kauft, öffnet den Chinesen eine Hintertür in sein Netz.Ist jetzt natürliche in bisschen ungerecht, so auf Sophos herumzuhauen. Die sind ja nur einer der Player, und der erste, der ein bisschen Anflüge von Ehrlichkeit zeigt in der Beziehung.
In just the past year, for instance, flaws in security products from other vendors including Ivanti, Fortinet, Cisco, and Palo Alto have all been exploited in mass hacking or targeted intrusion campaigns.No shit.Bleibt mir nur eines zu sagen:
TOLD YOU SO. (via)
Cisco meldet mehr als 35 Sicherheitslücken in Firewall-ProduktenImmer dran denken: Firewalls sind Security-Produkte in der TCB. Die werden mit besonderer Sorgfalt entwickelt, damit gar keine Lücken rin sind, denn die sind da, um Lücken anderswo zu kompensieren.
A missing authentication for critical function vulnerability [CWE-306] in FortiManager fgfmd daemon may allow a remote unauthenticated attacker to execute arbitrary code or commands via specially crafted requests.Wohlgemerkt: Nicht "die haben den Erlaubnis-Check verkackt" oder "man kann sich vorbeimogeln". Nein. Es gibt keinen Check.Das ist schlimmer als Cisco! Die haben einen Check aber das Passwort ist fixiert.
Fortinet hat nicht mal einen Backdoor-Acccount. Es gibt keine Accounts an der Stelle.
Das ist wirklich unglaublich. Denkt dran, dass wir hier von einer Firewall reden. Von einer Security-Komponente. Von der TCB. Das ist die kritische Infrastruktur in euren Netzen. Und da haben die "vergessen", nach einem Login zu fragen.
Unfassbar.
Der Laden hat es echt geschafft, in zwei Jahren Cisco Konkurrenz zu machen in Sachen peinliche Sicherheitslöcher. Die haben ja wohl echt mal GAR keine Qualitätssicherung. Unfassbar, was für Pfuscher vor sich hin versagen.
Oh, wo wir gerade bei Fortinet waren. Ratet doch mal, mit wem die sich gerade zusammengetan haben.
Kommt ihr NIE drauf!
Nein, nicht Cisco. Noch großartiger: Crowdstrike!
Genau mein Humor!
Ein Vögelchen flüstert mir gerade, dass die gerade aktiv exploitet werden, aber Fortinet nur den Kunden Bescheid gibt, die ein NDA unterschrieben haben.
Trustworthy computing, wie es im Buche steht! Noch seriöseres Geschäftsgebahren geht ja kaum!1!!
Unter uns: You had me at "Fortinet".
Fortinet confirms data breach after hacker claims to steal 440GB of filesToller Laden. Da will man doch einkaufen!!1!
Ich freu mich gerade besonders über diese Formulierung in dem Artikel:
Critical code-execution flaw was under exploitation 2 months before company disclosed it.So sieht das nämlich aus. Hersteller sitzen gerne monatelang auf Sicherheitslücken, bevor es einen Patch gibt. Der Kunde kriegt normalerweise gar nicht mit, wie lange der Hersteller schon von der Lücke wusste.Auch in diesem Fall weiß man das nicht genau. Aber man weiß, dass das schon monatelang aktiv ausgenutzt wurde, und der Hersteller fand es nicht nötig, ihre Kunden davon zu unterrichten.
Oder vielleicht doch dieses hier?
Warum kaufen Leute bei solchen Anbietern?! Mein Kumpel Kris wundert sich auch.
Immerhin kriege ich immer weniger Gegenwind für meinen Kategorienbegriff "Schlangenöl". Ihr glaubt ja gar nicht, was ich mir da früher für anhören musste. Das sei ja unseriös, die Hersteller alle über einen Kamm zu scheren, und im Übrigen seien das ja dekorierte Experten, die Erfahrung in Kriegszonen haben. Nee, klar.
Ich frage mich ja schon eine Weile, wieso die Leute ihr Geld lieber Ransomware-Gangs geben als meinen (öffentlichen! kostenlos verfügbaren!) Vorschlägen zu folgen. Denen geht es halt allen noch zu gut.
Ich schlage als Indikator für den Ernst der Lage vor, wie viele Active-Directory-Webinare Heise anbietet. Wir sind glaube ich bei vier gerade. Da geht also noch was. Techstage hat noch keines im Angebot.
Mir ist ja immer wichtig, dass niemand sagen kann, er sei nicht rechtzeitig von mir gewarnt worden. *zurücklehn*
Lasst mich bei der Gelegenheit noch eine Sache sagen, nach der ich neulich gefragt wurde. Nein, SBOM wird uns nicht vor der Supply-Chain-Apokalypse retten. Das ist Compliance-Theater von verängstigten alten Leuten, die in ihrer selbstverschuldeten Unmündigkeit verharren.
Wieso verbreiten die jetzt diesen Schwachsinn mit den DDoS-Zahnbürsten? Ich weiß es auch nicht. Aber ich habe Vermutungen.
Erstens mal, der Vollständigkeit halber. Nein, es gab da keinen DDoS. Das war ein hypothetisches Szenario. Muss wohl bei der Übersetzung verloren gegangen sein.
Zweitens: Die hatten noch nie einen guten Ruf. Die hatten damals behauptet, sie hätten ein eigenes Realtime-OS gehackt, was sich dann als ein Linux herausstellte, wenn man das Image gegen den hartkodierten Wert XORt. Aber das sind ja alte Kamellen. Neuer ist "FortiSIEM - Multiple remote unauthenticated os command injection". Ah, die Königsklasse! In der "oh Mann ist das peinlich"-Liga!
Aber warte, Fefe, das war doch letztes Jahr. Das haben die doch bestimmt schnell gefixt.
Klar! Microsoft-Style! Der Patch war rottig und jetzt mussten sie für dieselben Bugs neue Patches machen.
Wer kauft bei solchen Leuten?!
Überlegt mal, wie einfach sich das BSI das machen könnte! Einfach gucken, was Gartner empfiehlt, und jeweils direkt eine Warnung raushauen. Fertig!
Update: Die Aargauer Zeitung sieht sich übrigens als Opfer und bestätigt, dass es sich um ein hypothetisches Szenario gehandelt habe. Das war bestimmt mit "KI"-Hilfe übersetzt. Softwarefehler. Kann man nichts machen.
Unter den Fehlern befinden sich neben SQL-Injections auch Möglichkeiten für Angreifer, beliebige Kommandos auf Appliances des kalifornischen Unternehmens auszuführen.Wie, gar keine Backdoors mit hartkodierten Credentials? So wird das nicht mit der Cisco-Konkurrenz.
Ich habe ja gerade mal herauszufinden versucht, was die eigentlich machen. Google sagt:
Fortinet bietet automatisierten Security-Betrieb in einer konsolidierten Cyber-Sicherheitsplattform.Hmm hmm. OK. Yes, but what do you DO?
Fortinet hilft Unternehmen, die digitale Fortentwicklung ihrer Anwendungswege in die Cloud, aber auch zwischen und über Clouds hinweg zu sichern.Hmm hmm. OK. Yes, but what do you DO?
Die Fortinet Security Fabric integriert branchenführende Sicherheitslösungen, die einen umfassenden Einblick in die IT-OT-Angriffsfläche ermöglichen.Hmm hmm. OK. Yes, but what do you DO?
Die Fortinet Security Fabric ist die leistungsstärkste Cyber-Security-Mesh-Plattform der Branche.OK. Yes. But. What. Do. You. DO?
Ich habe ja noch nie verstanden, wieso Firmen solches Goobledigook publizieren. Wollen die ihre Kunden einschläfern? Hypnotisieren vielleicht?
Noch unverständlicher ist mir, wieso Leute bei solchen Firmen kaufen. Wenn die Firma nicht mal selber sagen kann, was ihre Produkte eigentlich tun, wieso würde man die dann kaufen? Weil man mal eine Indiana-Jones- oder Lara-Croft-Phantasie ausleben will?
Oh, die Lücke. Die Lücke ist wohl ein pre-auth remote code execution in deren VPN-Modul. Also DIE EINE Sache, die der absolut maximale GAU für ein VPN-Produkt ist.
Update: Fortinet-Kunden kennen das schon. CVE 2023-25610, CVE 2022-42475. Insofern: Wer deren Produkte immer noch im Einsatz hat, hat kein Mitleid verdient.
So langsam muss man sich ja fragen, ob das eine Sache der Mentalität oder behördlicher Drohungen ist.
Fortinet products, including FortiGate and Forticlient regularly send information to Fortinet servers (DNS: guard.fortinet.com) on - UDP ports 53, 8888 and - TCP port 80 (HTTP POST /fgdsvc) This cloud communication is used for the FortiGuard Web Filter feature (https://fortiguard.com/webfilter), FortiGuard AntiSpam feature (https://fortiguard.com/updates/antispam) and FortiGuard AntiVirus feature (https://fortiguard.com/updates/antivirus). The messages are encrypted using XOR "encryption" with a static key.
"Sophos Web Protection" blockt die Killswitch-Domain für Wannacrypt. Das ist die Domain, die das Teil zu erreichen versucht, um zu gucken, ob er sich selbst umbringen soll. Die erreicht er dann dank Sophos wohl nicht und verbreitet sich doch weiter.
Und mir wollten die Leute auf der Heise-Show nicht glauben, dass Schlangenöl das Risiko sogar steigern kann.
Update: Auch Fortinet und Kaspersky finden die Domain böse.
Update: Ein Einsender schickt einen Screenshot, dass auch Cisco Ironport die Domain filtert. (Danke, Christian)
Ihr werdet euch sicher fragen, welcher "Forscher" sich wohl zu so einer bekloppten Aussage hinreißen lassen könnte, damit ihr die Firma weiträumig meiden könnt in Zukunft.
"We are really on the border between the living and the not living," said Guillaume Lovet, senior manager of Fortinet's Threat Research and Response CenterOh, Senior Manager, nix Forscher. Trotzdem, wer lässt denn so ne Knalltüte eine Keynote geben?Fortinet was the main sponsor of the Black Hat Europe security conference in Amsterdam last week.Ah, der Platin-Sponsor. Gut, der hat natürlich gewissen Freiheiten, sich um Kopf und Kragen zu reden in der Keynote *hust*Diese Branche ist echt eine Lachnummer.