[l] Benutzt hier jemand Fortinet-Produkte?
Ein Vögelchen flüstert mir gerade, dass die gerade aktiv exploitet werden, aber Fortinet nur den Kunden Bescheid gibt, die ein NDA unterschrieben haben.
Trustworthy computing, wie es im Buche steht! Noch seriöseres Geschäftsgebahren geht ja kaum!1!!
Unter uns: You had me at "Fortinet".
[l] Benutzt hier jemand Visual Studio Code unter Linux?Was passiert, wenn Microsoft Linux-Software produziert?Eine Weile nichts, dann regnet es Remote Code Execution! :-)
[l] Benutzt hier jemand ein Smartphone mit Qualcomm-SOC?
Für viele Android-Geräte da draußen ist die Antwort: Ja.
The zero-day vulnerability, officially designated CVE-2024-43047, “may be under limited, targeted exploitation,” according to Qualcomm, citing unspecified “indications” from Google’s Threat Analysis Group, the company’s research unit that investigates government hacking threats.
[l] Benutzt hier jemand Fortinet-Produkte? Vielleicht um sich gegen Angriffe und Data Breaches zu wehren?
Fortinet confirms data breach after hacker claims to steal 440GB of files
Toller Laden. Da will man doch einkaufen!!1!
[l] Benutzt hier jemand Apple Airpods?
Anyone who knows the Bluetooth MAC address (which is somewhat public) can connect to your AirPods and listen to the microphone or play music.
[l] Benutzt hier jemand die eID-Funktion des neuen Personalausweises?
Ein unter dem Pseudonym CtrlAlt auftretender Sicherheitsforscher hat einem Spiegel-Bericht zufolge eine Schwachstelle im eID-Verfahren aufgedeckt. Damit sei es ihm gelungen, im Namen einer fremden Person ein Konto bei einer großen deutschen Bank zu eröffnen.
Nota bene: Das war genau das Szenario, das das Verfahren verhindern sollte.
Vielleicht sollte da doch mal jemand jemanden fragen, der sich mit sowas auskennt?
Ich könnte ja viel gelassener auf sowas reagieren, wenn es nicht meine Steuergelder wären, die da für Cyberclown-Securitytheater verbrannt würden.
Aus dem Blogpost des Forschers:
A responsible disclosure process was conducted with the BSI (Bundesamt für Sicherheit in der Informationstechnik), during which the BSI acknowledged the presence of the vulnerability. Their defense centers on the user’s responsibility for maintaining the security of their client devices.
War ja klar. BSI so: Habt ihr auch alle 17 Lagen Schlangenöl gestapelt? Ja? Dann macht mal sicherheitshalber noch eine 18. Lage drüber!1!!
Lasst mich das an dieser Stelle nochmal absolut unmissverständlich sagen: Wenn du davon ausgehst, dass die Endgeräte sicher sind, DANN BRAUCHST DU KEINEN NPA ZU VERTEILEN! Vollpfosten, allesamt.
However, users typically exhibit poor security practices. In addition, this paper demonstrates that the attack remains successful even when all BSI recommendations are followed and client devices are updated.
Ach. Ach was. Das war bloß Ass-Covering? Nur Security-Theater? Hätte uns nur rechtzeitig jemand gewarnt!!1!
Hey, Fefe, ich habe gehört, die neue BSI-Chefin kommt aus der Informatik. Die ist gar kein Cyberclown! Mit der wird bestimmt alles besser jetzt!1!!
Kommt, liebes Publikum, rollt noch eine Ehrenrunde Schlangenöl über eurer Infrastruktur aus. Wer zuerst über sein Schlangenöl geransomwared wird, muss eine Runde ausgeben!
[l] Benutzt hier jemand Outlook?
Ich habe kein Mitleid. Ich habe euch alle ausreichend gewarnt.
Es handelt sich um ein zero click pre-auth remote code execution, d.h. wurmbar.
Microsoft hampelt jetzt rum, ob das bereits exploitet wird oder nicht. Kann mir keiner erzählen, dass das nicht in null komma nichts exploitet wird.
Viel Spaß beim Aufwischen!
Hey, wenn euch eure Cyberversicherungen nicht auszahlen, muss dann vielleicht doch mal irgendwann Microsoft haften für die verkackte Software, die sie euch verkauft haben? Würde mich ja wundern. Ich glaube langsam, ihr WOLLT alle ständig über Microsoft-Lücken exploitet werden. Damit endlich mal nicht ihr Schuld ist sondern der Mann im Mond, äh, in Redmond.
Hey, wieso migriert ihr nicht in die Cloud? Am besten die von Microsoft!! Danach könnt ihr mir ja was erzählen von dass das damals ja alle gemacht haben, als ob das irgendwas an eurem Versagen ändert.
[l] Benutzt hier jemand Linux mit glibc?
We discovered a heap-based buffer overflow in the GNU C Library's __vsyslog_internal() function, which is called by both syslog() and vsyslog(). This vulnerability was introduced in glibc 2.37 (in August 2022)
2024 ist das Jahr von Linux auf dem Desktop, habe ich gehört!
[l] Benutzt hier jemand Linux mit glibc?
We discovered a heap-based buffer overflow in the GNU C Librarys
[l] Benutzt hier jemand Die SSH-Library von Go? Da scheint was größeres geplatzt zu sein. Morgen gibt es einen Patch.
[l] Benutzt hier jemand Atlassian-Produkte?
Ich hab ja nur noch Gelächter übrig. Ihr setzt bestimmt auch Windows, Outlook und Active Directory ein. Und wundert euch über die Ransomware.
[l] Benutzt hier jemand Bluetooth?
Researchers at Eurecom have developed six new attacks collectively named 'BLUFFS' that can break the secrecy of Bluetooth sessions, allowing for device impersonation and man-in-the-middle (MitM) attacks.
Das sind keine Implementationsfehler. Die Spec ist schon Scheiße.
[l] Benutzt hier jemand Fortinet-Produkte? Die wollen endlich auch mal ernst genommen werden, wollen in der Großen Liga mitspielen!
Unter den Fehlern befinden sich neben SQL-Injections auch Möglichkeiten für Angreifer, beliebige Kommandos auf Appliances des kalifornischen Unternehmens auszuführen.
Wie, gar keine Backdoors mit hartkodierten Credentials? So wird das nicht mit der Cisco-Konkurrenz.
[l] Benutzt hier jemand curl? Es gibt ein außerplanmäßiges Release am 11. Oktober.
The one rated HIGH is probably the worst curl security flaw in a long time.
[l] Benutzt hier jemand Linux mit glibc? Wenn ihr Linux benutzt, dann ist die Antwort höchstwahrscheinlich: Ja.
glibc hat in ihrem ld.so tolle neue GNU-Features eingebaut und darin einen Buffer Overflow.
Die glibc-Leute haben noch keine neue Version veröffentlicht.
[l] Benutzt hier jemand Sharepoint?
Das ist eine wirklich ultra-peinliche Nummer. Wenn ihr Webentwicklung macht, habt ihr von JWT gehört, das ist ein Standard für Tokens, wie man sie für Authentisierung und Sessionmanagement verwendet. Diese Tokens sind im Wesentlichen JSON mit Base64 vom Output von ein paar Krypto-Primitiven. Weil der Standard von Vollpfosten entwickelt wurde, kann man als Teil des Tokens den Algorithmus einstellen, und es gibt einen "none"-Algorithmus. Zum Testen. Der hat dann halt keine Signatur.
Seit echt vielen Jahren, im Grunde seit es JWT gibt, fallen jetzt immer wieder Idioten negativ auf, die "none" tatsächlich implementieren, und wenn man ihnen ein Token hinhält, wo der Algorithmus auf "none" steht, das dann halt einfach akzeptieren.
Sharepoint ist einer dieser Idioten. m(
Viel tiefer kann man als Web-Dev eigentlich gar nicht sinken. Wüsste jedenfalls gerade nicht wie.
[l] Benutzt hier jemand Winrar?
BleepingComputer tested a malicious archive shared by Group-IB, who discovered the campaign, and simply double-clicking on a PDF caused a CMD script to be executed to install malware.
Damit wurden offenbar über Monate Crypto-Wallets aufgemacht und ihr Inhalt gestohlen. Schnell updaten also, wenn ihr das einsetzt.
[l] Benutzt hier jemand Rust? In einem Projekt mit "serde" vielleicht (das sind gefühlt 100%)?
Dann hat euch letzte Woche jemand einen Binär-Blob ins Projekt gedrückt, der auch noch kein reproducable build ist.
Gut, für Rust-Leute wahrscheinlich kein Problem, denn die lassen sich ja auch den Compiler schon als Binary reindrücken. Einen Bootstrap-Prozess ohne Binary kennt Rust nicht, obwohl Ocaml seit gefühlt 30 Jahren zeigt, wie es geht.
Bei allen tollen Ideen in Rust ist die Umsetzung schon an einigen Stellen eher traurig.
[l] Benutzt hier jemand Discord?
An unidentified individual has listed the data of 760,000 Discord.io (the site is dead at the moment, so you can see an Archive.org snapshot here) users for sale on a darknet forum.