#benutzthierjemand

fefebot@diasp.org

[l] Benutzt hier jemand Icinga?

In der Sicherheitsmitteilung schreiben die Programmierer der Open-Source-Software, dass die Icinga-2-Master, -Satelliten und -Agents in unterschiedlichen Setups von einer fehlerhaften Zertifikatsüberprüfung betroffen sind. In allen Icinga-Versionen ab 2.4.0 können Angreifer die Prüfung umgehen und so vertrauenswürdige Cluster-Knoten sowie jedweden API-Nutzer, der TLS-Client-Zertifikate zur Authentifizierung nutzt, imitieren (CVE-2024-49369, CVSS 9.8, Risiko "kritisch").

You had ONE Job!

#fefebot #benutzthierjemand

fefebot@diasp.org

[l] Benutzt hier jemand Fortinet-Produkte?

Ein Vögelchen flüstert mir gerade, dass die gerade aktiv exploitet werden, aber Fortinet nur den Kunden Bescheid gibt, die ein NDA unterschrieben haben.

Trustworthy computing, wie es im Buche steht! Noch seriöseres Geschäftsgebahren geht ja kaum!1!!

Unter uns: You had me at "Fortinet".

#fefebot #benutzthierjemand

fefebot@diasp.org

[l] Benutzt hier jemand die eID-Funktion des neuen Personalausweises?

Ein unter dem Pseudonym CtrlAlt auftretender Sicherheitsforscher hat einem Spiegel-Bericht zufolge eine Schwachstelle im eID-Verfahren aufgedeckt. Damit sei es ihm gelungen, im Namen einer fremden Person ein Konto bei einer großen deutschen Bank zu eröffnen.

Nota bene: Das war genau das Szenario, das das Verfahren verhindern sollte.

Vielleicht sollte da doch mal jemand jemanden fragen, der sich mit sowas auskennt?

Ich könnte ja viel gelassener auf sowas reagieren, wenn es nicht meine Steuergelder wären, die da für Cyberclown-Securitytheater verbrannt würden.

Aus dem Blogpost des Forschers:

A responsible disclosure process was conducted with the BSI (Bundesamt für Sicherheit in der Informationstechnik), during which the BSI acknowledged the presence of the vulnerability. Their defense centers on the user’s responsibility for maintaining the security of their client devices.

War ja klar. BSI so: Habt ihr auch alle 17 Lagen Schlangenöl gestapelt? Ja? Dann macht mal sicherheitshalber noch eine 18. Lage drüber!1!!

Lasst mich das an dieser Stelle nochmal absolut unmissverständlich sagen: Wenn du davon ausgehst, dass die Endgeräte sicher sind, DANN BRAUCHST DU KEINEN NPA ZU VERTEILEN! Vollpfosten, allesamt.

However, users typically exhibit poor security practices. In addition, this paper demonstrates that the attack remains successful even when all BSI recommendations are followed and client devices are updated.

Ach. Ach was. Das war bloß Ass-Covering? Nur Security-Theater? Hätte uns nur rechtzeitig jemand gewarnt!!1!

Hey, Fefe, ich habe gehört, die neue BSI-Chefin kommt aus der Informatik. Die ist gar kein Cyberclown! Mit der wird bestimmt alles besser jetzt!1!!

Kommt, liebes Publikum, rollt noch eine Ehrenrunde Schlangenöl über eurer Infrastruktur aus. Wer zuerst über sein Schlangenöl geransomwared wird, muss eine Runde ausgeben!

#fefebot #benutzthierjemand

fefebot@diasp.org

[l] Benutzt hier jemand Outlook?

Ich habe kein Mitleid. Ich habe euch alle ausreichend gewarnt.

Es handelt sich um ein zero click pre-auth remote code execution, d.h. wurmbar.

Microsoft hampelt jetzt rum, ob das bereits exploitet wird oder nicht. Kann mir keiner erzählen, dass das nicht in null komma nichts exploitet wird.

Viel Spaß beim Aufwischen!

Hey, wenn euch eure Cyberversicherungen nicht auszahlen, muss dann vielleicht doch mal irgendwann Microsoft haften für die verkackte Software, die sie euch verkauft haben? Würde mich ja wundern. Ich glaube langsam, ihr WOLLT alle ständig über Microsoft-Lücken exploitet werden. Damit endlich mal nicht ihr Schuld ist sondern der Mann im Mond, äh, in Redmond.

Hey, wieso migriert ihr nicht in die Cloud? Am besten die von Microsoft!! Danach könnt ihr mir ja was erzählen von dass das damals ja alle gemacht haben, als ob das irgendwas an eurem Versagen ändert.

#fefebot #benutzthierjemand #microsoft

fefebot@pod.dapor.net

[l] Benutzt hier jemand Sharepoint?

Das ist eine wirklich ultra-peinliche Nummer. Wenn ihr Webentwicklung macht, habt ihr von JWT gehört, das ist ein Standard für Tokens, wie man sie für Authentisierung und Sessionmanagement verwendet. Diese Tokens sind im Wesentlichen JSON mit Base64 vom Output von ein paar Krypto-Primitiven. Weil der Standard von Vollpfosten entwickelt wurde, kann man als Teil des Tokens den Algorithmus einstellen, und es gibt einen "none"-Algorithmus. Zum Testen. Der hat dann halt keine Signatur.

Seit echt vielen Jahren, im Grunde seit es JWT gibt, fallen jetzt immer wieder Idioten negativ auf, die "none" tatsächlich implementieren, und wenn man ihnen ein Token hinhält, wo der Algorithmus auf "none" steht, das dann halt einfach akzeptieren.

Sharepoint ist einer dieser Idioten. m(

Viel tiefer kann man als Web-Dev eigentlich gar nicht sinken. Wüsste jedenfalls gerade nicht wie.

#fefebot #benutzthierjemand