#cisco

fefebot@diasp.org

[l] Wenn sich Cisco, Fortinet, Crowdstrike und Ivanti ein Rennen liefern, da kann Okta nicht einfach tatenlos herumstehen!1!!

Alleine für den Hostnamen "trust.okta.com" für ihre Security Advisories müsste eigentlich ein Regulator diese Firma zerschlagen. Aber ignoriert das mal kurz. Lest mal das Advisory. Das ist so bizarr, dass mir gerade echt die Worte fehlen. Ich zitiere mal:

Okta AD/LDAP Delegated Authentication - Username Above 52 Characters Security Advisory

Nein, wirklich!

On October 30, 2024, a vulnerability was internally identified in generating the cache key for AD/LDAP DelAuth. The Bcrypt algorithm was used to generate the cache key where we hash a combined string of userId + username + password. During specific conditions, this could allow users to authenticate by only providing the username with the stored cache key of a previous successful authentication.

Note: A precondition for this vulnerability is that the username must be or exceed 52 characters any time a cache key is generated for the user.

Das klingt jetzt gerade nicht wie ein Buffer Overflow, eher das Gegenteil. Die kleben drei Strings hintereinander, der dritte ist das Passwort. Aber bcrypt hat ein Limit von 56 Bytes. Am Anfang ist die User-ID, die packen sie offenbar als 32-bit-Integer in das bcrypt rein. Bleiben besagte 52 Zeichen, wenn man noch nie von UTF-8 gehört hat. Fucking Amis ey.

Einmal mit Profis arbeiten!

#fefebot #einmalmitprofisarbeiten #cisco

fefebot@diasp.org

[l] Ich erzähle ja seit Jahrzehnten inzwischen, dass Schlangenöl nicht nur keine Sicherheit gegen Malware bringt, sondern im Gegenteil die Angriffsoberfläche vergrößert und daher unter dem Strich sogar kontraproduktiv ist.

Wisst ihr, wer das jetzt auch sagt? Sophos.

For years, it's been an inconvenient truth within the cybersecurity industry that the network security devices sold to protect customers from spies and cybercriminals are, themselves, often the machines those intruders hack to gain access to their targets. Again and again, vulnerabilities in “perimeter” devices like firewalls and VPN appliances have become footholds for sophisticated hackers trying to break into the very systems those appliances were designed to safeguard.

Ach. Ach was. Wartet, das war noch nicht Sophos. Das war die Einleitung von Wired.

Wieso sagen die Leute das eigentlich immer erst, wenn es nicht mehr zu leugnen ist?

Sophos versucht es natürlich anders zu spinnen. Sie sind hier die glorreichen Helden, die gegen die verruchten fiesen Chinesen "zurückhacken". Da werden sich aber die üblichen Kompetenzgranaten in Deutschland freuen, die meinen Vortrag dazu noch nicht gesehen haben.

The company went as far as discreetly installing its own “implants” on the Chinese hackers' Sophos devices to monitor and preempt their attempts at exploiting its firewalls.

Das ist selbstverständlich illegal, und zwar sowohl unter chinesischen wie auch unter britischem oder EU-Recht. Sophos gibt hier also unumwunden Straftaten zu. Das könnt ihr ja mal mit eurer Einkaufsabteilung besprechen, wenn die bei Sophos eingekauft haben.

Aber mal abgesehen davon. Was fand Sophos denn da?

In the process, Sophos analysts identified a series of hacking campaigns that had started with indiscriminate mass exploitation of its products but eventually became more stealthy and targeted, hitting nuclear energy suppliers and regulators, military targets including a military hospital, telecoms, government and intelligence agencies, and the airport of one national capital. While most of the targets—which Sophos declined to identify in greater detail—were in South and Southeast Asia, a smaller number were in Europe, the Middle East, and the United States.

Das ist schön ausweichend formuliert, daher lasst es mich noch mal betonen. Alle diese Organisationen wurden über Sophos-Pfusch-Produkte angegriffen. Wenn die auf mich gehört und kein Schlangenöl gekauft hätten, wären die Chinesen auf dem Weg nicht reingekommen.

Sophos says it’s telling that story now [...] to break the cybersecurity industry's awkward silence around the larger issue of vulnerabilities in security appliances serving as entry points for hackers.

Absolut an der Zeit. Hätten sie auch 20 Jahre früher machen können. Am besten direkt auf ihre Produkte eine fette Warnung aufdrucken! Wer das hier kauft, öffnet den Chinesen eine Hintertür in sein Netz.

Ist jetzt natürliche in bisschen ungerecht, so auf Sophos herumzuhauen. Die sind ja nur einer der Player, und der erste, der ein bisschen Anflüge von Ehrlichkeit zeigt in der Beziehung.

In just the past year, for instance, flaws in security products from other vendors including Ivanti, Fortinet, Cisco, and Palo Alto have all been exploited in mass hacking or targeted intrusion campaigns.

No shit.

Bleibt mir nur eines zu sagen:

TOLD YOU SO. (via)

#fefebot #EU #malware #cisco

fefebot@diasp.org

[l] Der aktuelle "höchste kriminelle Energie nötig!1!!" Fortinet-Exploit hat jetzt ein Advisory mit sowas wie Details.

A missing authentication for critical function vulnerability [CWE-306] in FortiManager fgfmd daemon may allow a remote unauthenticated attacker to execute arbitrary code or commands via specially crafted requests.

Wohlgemerkt: Nicht "die haben den Erlaubnis-Check verkackt" oder "man kann sich vorbeimogeln". Nein. Es gibt keinen Check.

Das ist schlimmer als Cisco! Die haben einen Check aber das Passwort ist fixiert.

Fortinet hat nicht mal einen Backdoor-Acccount. Es gibt keine Accounts an der Stelle.

Das ist wirklich unglaublich. Denkt dran, dass wir hier von einer Firewall reden. Von einer Security-Komponente. Von der TCB. Das ist die kritische Infrastruktur in euren Netzen. Und da haben die "vergessen", nach einem Login zu fragen.

Unfassbar.

#fefebot #ccc #cisco

fefebot@diasp.org

[l] Gute Nachrichten! Fortinet hat endlich die letzte Sicherheitslücke gefunden!1!!Der Laden hat es echt geschafft, in zwei Jahren Cisco Konkurrenz zu machen in Sachen peinliche Sicherheitslöcher. Die haben ja wohl echt mal GAR keine Qualitätssicherung. Unfassbar, was für Pfuscher vor sich hin versagen.Oh, wo wir gerade bei Fortinet waren. Ratet doch mal, mit wem die sich gerade zusammengetan haben.Kommt ihr NIE drauf!Nein, nicht Cisco. Noch großartiger: Crowdstrike!

Genau mein Humor!

#fefebot #gutenachrichten #cisco

fefebot@diasp.org

[l] Datenreichtum bei Cisco.

"Compromised data: Github projects, Gitlab Projects, SonarQube projects, Source code, hard coded credentials, Certificates, Customer SRCs, Cisco Confidential Documents, Jira tickets, API tokens, AWS Private buckets, Cisco Technology SRCs, Docker Builds, Azure Storage buckets, Private & Public keys, SSL Certificates, Cisco Premium Products & More!," reads the post to a hacking forum.

Auffällig: Alles Cloud-Dienste. Ist das am Ende gar keine tolle Idee, seine kritischen Daten in die Cloud hochzuladen?! Hätte uns nur rechtzeitig jemand gewarnt!1!!

#fefebot #datenreichtum #cisco

fefebot@diasp.org

[l] Gute Nachrichten von Cisco!

Cisco Systems mit Hauptsitz in San José will in einer zweiten Entlassungsrunde in diesem Jahr noch einmal Tausende von Arbeitsplätzen abbauen, berichten die Nachrichtenagenturen Reuters und Bloomberg. Der Hersteller von Routern und Switches wolle seinen Schwerpunkt auf wachstumsstärkere Bereiche wie Künstliche Intelligenz (KI) und Cybersicherheit verlagern.

WENN sich jemand mit Cybersicherheit auskennt, besonders mit hartkodierten Hintertür-Passwörtern, dann ist es ja wohl Cisco!

Ich bin kein Freund von "KI", aber wenn Cisco dann aufhört, unsichere Router und Software zu bauen, dann unterstütze ich das nachdrücklich.

Das klingt jetzt wie eine Strategieänderung, aber es ist keine. Ciscos Geschäftsmodell war schon immer, dumme Idioten von ihrem Geld zu trennen. Das machen sie weiter, aber halt mit anderen Triggerwörtern.

Am Ende ist es eh egal. Wer E-Mail-Gateways von Cisco kaufen würde, würde auch "KI" von Cisco kaufen. Kein Mitleid.

#fefebot #cisco

fefebot@diasp.org

[l] Ich erzähle ja seit Jahrzehnten, dass Antiviren und Filter-Gateways die Angriffsoberfläche erhöhen, nicht senken.

Speziell Antiviren sollen ja jedes Dateiformat kennen und aufmachen können — eine Anforderung, die nicht mal der jeweilige Hersteller schafft! Und die machen nichts anderes!

Aktuelles Beispiel für meine Told-You-So-Reihe: Cisco "Secure" E-Mail Gateway. Diese Produktkategorie ist, wir erinnern uns, dafür da, die von bösen E-Mails ausgehende Gefahr zu bannen. Und tatsächlich stürzt sich Ciscos "Secure" E-Mail Gateway heldenhaft ins Messer. Aber leider leider ist das Design so schlecht, dass ein erfolgreicher Angriff auf das "Secure" E-Mail Gateway eben nicht in irgendeiner Sandbox ohne Zugriff auf irgendwas anderes verendet, sondern das komplette Gateway übernehmen kann.

Herzlichen Glückwunsch!

Da kann man beim Zustand der Industrie leider gerade von ausgehen, dass die Produkte alle so Scheiße sind. Und insgeheim wissen das ja auch alle. Das ist ja im Wesentlichen Theater, wenn mir Leute widersprechen.

#fefebot #cisco

anonymiss@despora.de

#CVE-2024-20356: #Jailbreaking a #Cisco appliance to run #DOOM

In this adventure, the Cisco #C195 device family was jailbroken in order to run unintended code. This includes the discovery of a vulnerability in the #CIMC body management controller which affects a range of different devices, whereby an authenticated high privilege user can obtain underlying root access to the server’s #BMC (CVE-2024-20356) which in itself has high-level access to various other components in the system. The end goal was to run DOOM – if a smart fridge can do it, why not Cisco?

source: https://labs.nettitude.com/blog/cve-2024-20356-jailbreaking-a-cisco-appliance-to-run-doom/

#software #security #bug #network #game #news #vulnerability #exploit #hack #hacker

fefebot@diasp.org

[l] Ich hab ja schon länger keinen Bock mehr, jeden dampfenden Ransomware-Scheißhaufen zu kommentieren, aber ab und zu muss ich. Denn wenn ich es nicht tue, fragt die Presse irgendwelche "Experten" und die sagen dann Dinge wie:

Der Angriff erfolgte in der Nacht zum 30.Oktober 2023 über den Zugang, mit dem auch die Kommunen und Kreise in das Netzwerk von Südwestfalen-IT gelangen. Diese so genannte "softwarebasierte VPN-Lösung" war nur mit einem einfachen Passwort gesichert.

"Die Südwestfalen-IT hat es den Angreifern sehr leicht gemacht", sagte IT-Experte Philipp Rothmann dem WDR. Üblich wäre hier eine "Multifaktor-Authentifizierung" gewesen, also eine Abfolge von mehreren Passwörtern. So aber mussten die Hacker nur lange genug verschiedene Varianten durchprobieren.

Das ist so falsch, dass nicht mal das Gegenteil stimmt. Glücklicherweise ist der Incident-Response-Bericht öffentlich, so kann man sich selbst ein Bild machen.Punkt 1: Das war ein 0day! Da konnte man nichts machen!Nope. Der Angriff war am 29. Oktober. für die Lücke gab es am 6. September einen Patch, an dem auch noch dranstand, dass das in der freien Wildbahn von Ransomware-Gangs genutzt worde. Das ist also das glatte Gegenteil von 0day.2. ist das natürlich kein Problem, wenn jemand durch das VPN durchkommt, weil man ja die Security der Dienste dahinter so auslegt, als hingen sie mit nacktem Arsch im Internet. Das ist das Zero Trust, von dem ihr in den letzten Jahren so viel gehört habt. War hier offensichtlich nicht der Fall.3. war der erste "Angriff" in dem CVE, dass man Accountnamen und Passwörter durchprobieren kann. Das sollte keine Rolle spielen, weil man ja extra aus dem Grund komplexe Passwörter vergibt. Und weil ein Accountname und ein Passwort noch nicht reicht, um sich dann damit auf irgendeinem Rechner zu authentisieren, nur beim VPN. Außer du warst so blöde und hast Single-Sign-On gemacht, aber das ist ja offensichtlich eine ganz furchtbare Idee, also macht das sicher keiner. Oder? ODER? Ich meine, so bekloppt kann man doch gar nicht sein, hoffe ich!4. Mit einem gültigen Account konnte man sich dann im VPN als andere User anmelden. Sollte auch keine Auswirkungen haben, weil man ja Zero Trust macht und kein SSO hat. Außer man ist auffallend schlecht beraten und kann dann auf niemanden außer sich selber zeigen, wenn Ransomware vorbeikommt.5. behauptet dieser "Experte" der Tagesschau, dass MFA geholfen hätte. Das ist natürlich Blödsinn. Wenn die Ransomware erst den Firmenlaptop eines Mitarbeiters kompromittiert, kann sie von dort die MFA-Anmeldung einfach mitbenutzen. MFA ist Compliance-Theater und dient hauptsächlich der Beweislastumkehr. Damit man sagen kann: Sehr her, wir hatten MFA, also war der User Schuld. Als ob der User sich Windows, Outlook und Active Directory ausgesucht hätte! Und in diesem Fall: Cisco-Produkte!6. Ja, richtig gelesen. Active Directory. Völlig überraschend hatten die Angreifer noch am selben Tag Admin-Berechtigung im AD und haben sich dann ungestört im Netz ausgebreitet. Wie konnte das sein? Na weil niemand (auch nicht Microsoft selbst) Active Directory sicher konfiguriert kriegt.6. Die hatten sogar multiple advanced next-gen endpoint security solutions im Einsatz, von Symantec und den Windows Defender. Hat ihnen beides nicht den Angriff vom Hals gehalten. Dabei macht Symantec explizit Werbung damit, dass sie vor 0days, Exploits und papierraschel Ransomware schützen! Und Defender macht sogar was mit "KI" in der Cloud!1!! Und trotzdem kamen die rein und konnten sich ungestört ausbreiten?! Das ist ja merkwürdig!1!! Ist ja fast so, als sei das bloß Schlangenöl?! Hätte uns doch nur jemand gewarnt!Mich nervt ja vor allem, dass offenbar niemand verstanden hat, was 0day heißt. 0day heißt: Lücke dem Hersteller nicht bekannt, gibt keinen Patch und keine Warnung.Das mit "gibt keine Warnung" ist bei Cisco natürlich immer Unfug. Wie oft soll ich denn noch vor deren Produkten warnen?!Die versuchen hier mit 0day-Nebelkerzen die Schuld von sich abzulenken. Erfolglos. Genau niemand außer ihnen selbst trägt die Verantwortung. Immerhin hatten sie wohl Backups und haben kein Lösegeld gezahlt. Immerhin. Aber auch dann stellt sich die Frage, wieso das dann so große Auswirkungen haben konnte ("Die Arbeit dauert bis heute an"). Haben die das Szenario nie geübt?

Auch ansonsten haben die ziemlich großflächig verkackt. Laut Bericht stand das Domänen-Admin-Passwort im Klartext in der Group Policy, und zwar seit 2014.

Falls also nicht auf Nebelkerzen mit Schlangenölgeschmack und 0day-Blablah rein.

Am Ende ist es immer dasselbe Muster. Ransomware kommt da rein, wo sie das System besser verstehen als der Betreiber. Wenn das Verständnisniveau der Betreiber also nicht so unglaublich schlecht wäre bei uns, hätten wir keine Ransomware-Problematik.

#fefebot #Hätteunsdochnurjemandgewarnt #microsoft #cisco

fefebot@pod.dapor.net

[l] Gruselpaper zu einem Angriff auf SSH-Server. Der Hintergrund ist ein Angriff, der schon länger für aktive Fault-Angriffe verwendet wird. Das sind Angriffe, bei denen man physischen Zugriff auf die Hardware hat und z.B. bei einer Smartcard die Stromversorgung gezielt stören kann, damit ein bestimmter Teil der Berechnung fehlerhaft wird.

RSA digital signatures can reveal a signer’s secret key if a computational or hardware fault occurs during signing with an unprotected implementation using the Chinese Remainder Theorem and a deterministic padding scheme like PKCS#1 v1.5.

Der Angriff ist mächtig genug, dass ein einziger beobachteter Fehler reicht.

Dann fiel jemandem auf, dass es solche Fehler auch "natürlich" vorkommen, weil Hardware kaputt geht oder vielleicht ist es zu heiß an dem Tag oder irgendein Softwarebug triggert das. Tja und in diesem Paper haben sie mal passiv Verkehr mitgeschnitten und nach solchen Fehlern gesucht, und ... das hat geklappt.

Nun macht SSH aber nicht rohes RSA sondern hat einen Diffie-Hellman-Schritt darüber, und man nahm an, dass es deshalb gegen diesen Angriff immun ist. Ist es aber nicht, sagt dieses Paper jetzt.

In this paper, we show that passive RSA key recovery from a single PKCS#1 v1.5-padded faulty signature is possible in the SSH and IPsec protocols using a lattice attack described by Coron et al. [16 ]. In this context, a passive adversary can quietly monitor legitimate connections without risking detection until they observe a faulty signature that exposes the private key. The attacker can then actively and undetectably impersonate the compromised host to intercept sensitive data.

Das ist eines dieser Papers aus der Kategorie "vielleicht doch lieber Rosenzüchter werden?"

Der Angriff betrifft SSH und IKE (Schlüsselaustausch für IPsec). Sie haben dann geguckt, was für Geräte betroffen waren, und das waren ein paar alte Cisco und Zyxel Appliances, und dann noch Geräte von Hillstone Networks und Mocana (beides nie gehört), die sie nicht kontaktieren konnten. Cisco und Zyxel meinten, das betrifft nur Versionen, die seit Jahren out of service sind. Immerhin.

Die Prävalenz dieser Fehlerart ist aber bestürzend groß finde ich:

Our combined dataset of around 5.2 billion SSH records contained more than 590,000 invalid RSA signatures. We used our lattice attack to find that more than 4,900 revealed the factorization of the corresponding RSA public key, giving us the private keys to 189 unique RSA public keys.

#fefebot #cisco

fefebot@pod.dapor.net

[l] Gerade macht ein Angriff auf Safari die Runde. Ich hab das nur überflogen, aber für mich liest sich das jetzt nicht sonderlich spektakulär. Sie haben gezeigt, dass der Angriff, den wir jetzt seit Jahren diskutieren, auch gegen Safari auf Apple Silicon funktioniert.

Meine Überraschung hält sich in Grenzen.

Ich fasse mal die wesentlichen Punkte zusammen:

we can defeat Apple’s low-resolution timer, compressed
35-bit addressing, and value poisoning countermeasures, allowing
us to read any 64-bit address within the address space of Safari’s
rendering process

Apple hat, wie vor ihnen Microsoft und andere, auf irgendwelche mehr oder weniger nutzlosen Mitigations gesetzt, ohne ihre tatsächlichen Probleme zu lösen. Seit Jahren meine Rede, dass das nicht gut ist.

Combining this with a new technique for con-
solidating websites from different domains into the same renderer
process

Das erzähle ich in meinen Vorträgen seit Jahren, dass man einen Prozess pro Request braucht, damit die sich nicht gegenseitig die Daten extrahieren können.

Finally, we note that Safari
/ WebKit is the only browser engine permitted on iOS devices re-
gardless of web browser app.

Dass DAS eine bekloppte Idee ist, war schon klar, bevor Apple es angekündigt hat. Apple-Kunden war das immer egal, ob Apple Dinge tut, die zu ihren Ungunsten sind. You are holding it wrong.

Was an dem Angriff jetzt besonders ist, ist dass das halt mal jemand alles gemacht hat. Dass das prinzipiell geht, und dass Apple nichts tun wird, bis jemand die Arbeit investiert, um das zu zeigen, war auch offensichtlich.

Was ich an der Sache am gruseligsten finde:

This research was supported by the Air Force Office of Scientific Research (AFOSR) under award number FA9550-20-1-0425; an ARC Discovery Project number DP210102670; the Defense Advanced Research Projects Agency (DARPA) under contract HR00112390029 and W912CG-23-C-0022; the Deutsche Forschungsgemeinschaft (DFG, German Research Foundation) under Germany's Excellence Strategy - EXC 2092 CASA - 390781972; the National Science Foundation under grant CNS-1954712; and gifts by Cisco and Qualcomm.

Wer fehlt auf der Liste? Richtig! Apple!

Apple-User lügen sich immer selbst einen in die Tasche, dass Apple schon irgendwie der einzige Tech-Konzern ist, der edel und rein ist und für seine Kunden nur das Beste will.

Kurz: Aus meiner Sicht ist das die Aufregung gerade nicht wert. Ist alles genau so, wie es schon lange klar war. Apple verkauft Mist und weiß es, sitzt auf unfassbaren Bargeldbergen und weiß nicht wohin damit, aber überlässt die Finanzierung derartiger Forschung dem Steuerzahler, Konkurrenten und dem Militär. Ja geil. Da willste doch deine Geräte kaufen!!

#fefebot #microsoft #apple #cisco