Säkerhetspodcasten #262 - Ostrukturerat V.21
Lyssna
- mp3, längd: 01:05:46
Plugs
Konferenser:
- Maj 30-31 2024: Security Fest
- Juni 4-5 2024: BSides Conference, Umeå
- September 10-13 2024: SEC-T 0x10sion
Kvantkrypto
- Prata säkerhet med oss 2024-05-02 kvantkrypto
Tomas Gustavsson, Keyfactor och Joachim Strömbergson, Assured AB.
video - Säkerhetspodcasten #256 - Nyår 2023 - ser dåligt ut för Peters spaning…
Avrunding XZ
- Kodsnack 578 - Inte personens första bakdörr, med Peter Magnusson - shameless self plug, 90 minuter med Peter & Kodsnack!
- Take-aways
- Denzel Farmer: Deep Dive into XZ Utils Backdoor - Columbia Engineering, Advanced Systems Programming Guest Lecture -
hur funkade länk-hacket egentligen?
video
Lyssnarfråga: Vad gör man när ingen bryr sig?
Lyssnaren “Jesper” blev lite illamående:
Jag besökte en webshop för att ladda ner en manual, då hamnade jag på en Azure Storage (eller vad nu mikromjuk kallar sin s3-motsvarighet).
Intressant tänkte jag, och gick tillbaka några steg.
Där låg fakturor, diverse kundtjänstscreenshots, ett antal Klarna-utrdag etc. En sjujäkla massa personuppgifter helt enkelt.
Har i snart 2 veckor försökt kontakta företaget, som helt ignorerar mig.
Till frågan då, vad gör man när företaget inte vill veta av situationen? Vad är nästa steg? Känns ju helt absurt med tanke på b.la gdpr och att företaget egentligen inte bryr sig om kundernas personuppgifter.
Förslag:
- Anmälla till Integritetsskyddsmyndigheten (IMY.SE)
- Kontakta grävande IT-journalister, t.ex. Dagens Nyheters Kristoffer Örstadius.
- Försöka hitta kontakt med rätt person via t.ex. Linkedin, Twitter.
I teorin skall ju sajer implementera SECURITY.TXT, men eh, det gör ju typ ingen.
RFC 9116 A File Format to Aid in Security Vulnerability Disclosure.
Viktigt att sätta gränser för hur mycket man orkar bry sig. Lätt att bli tokig om man lägger för mycket energi på alla IT-slarv/hål. Inte värt att dö ung av hjärtattack över andras slarv.
Generalisera och titta brett istället för att gräva ner sig i detaljer. Som t.ex. Lucas Lundgren och andra gör. Fånga och belysa de stor strömmarna av mass-fel istället för att gå i djupet på enstaka fel.
AI är nu multi-modal, sexig och det döda sprider sig
- GPT-4o (omni) Hello GPT-4o: We’re announcing GPT-4o, our new flagship model that can reason across audio, vision, and text in real time.
- Internet Today: ChatGPT is Flirty Now For Some Reason
video- Två herrar som inte ens är “säkerhet” nördar inser att AI är perfekt för scams
- Behöver verkligen en AI vara sexig?
- Dead Internet Theory via AI: Döden sprider sig och skogen blir allt tommare
TunnelVision: Sårbarheten som typ publicerades 2002, och återupptäcktes 2024
Vicken timeline! vi är oss aldrig :)
- 2002 - Sårbarheten dokumenteras i RFC3442 - “det här felet finns ju typ innan vår RFC ändå” :)
- 2015 - Hardening OpenVPN for Def Con
- 2016 - Samy Kamkar’s
- 2017 - Jomo’s Mastodon
- 2023 - Lowend talk thread
Länkar:
- TunnelVision (CVE-2024-3661): How Attackers Can Decloak Routing-Based VPNs For a Total VPN Leak
- Leviathan Security Group: TunnelVision - CVE-2024-3661 - Decloaking Full and Split Tunnel VPNs
video - RFC3442: The Classless Static Route Option for Dynamic Host Configuration Protocol (DHCP) version 4
The Classless Static Routes option can be used to misdirect network traffic by providing incorrect IP addresses for routers This can be either a Denial of Service attack, where the router IP address given is simply invalid, or can be used to set up a man-in-the-middle attack by providing the IP address of a potential snooper. This is not a new problem - the existing Router and Static Routes options defined in RFC 2132 [4] exhibit the same vulnerability.
SolarWinds
En ny sårbarhet:
- SolarWinds ARM Deserialization of Untrusted Data Remote Code Execution Vulnerability (CVE-2024-28075)
- CVSS: CVSS:9.0/AV:A/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
En intressant månad med SolarWinds:
| Sårbarhet | CVE | CVSS | Severity |
|---|---|---|---|
| SolarWinds ARM Deserialization of Untrusted Data Remote Code Execution Vulnerability | CVE-2024-28075 | 9.0 | Critical |
| SolarWinds Access Rights Manager (ARM) Hard-Coded Credentials Authentication Bypass Vulnerability | CVE-2024-23473 | 8.6 | High |
| Arbitrary File Overwrite Vulnerability | CVE-2024-28072 | 5.7 | Medium |
| SolarWinds Platform Arbitrary Open Redirection Vulnerability | CVE-2024-28076 | 7.0 | High |
| SolarWinds Platform Cross Site Scripting Vulnerability | CVE-2024-29003 | 7.5 | High |
| SolarWinds Platform SWQL Injection Vulnerability | CVE-2024-29001 | 7.5 | High |
| SolarWinds Serv-U Directory Traversal Remote Code Execution Vulnerability | CVE-2024-28073 | 8.4 | High |
Gamla avsnitt:
- Säkerhetspodcasten avs.195 – Ostrukturerat V.3
- Säkerhetspodcasten avs.197 – Ostrukturerat V.7
- Säkerhetspodcasten #226 - Riskanalys
SBOM-lagen:
Specifically, contractors are to provide DHS with a software bill of materials that identifies key information, such as the origin of each part or component of new or reused software supplied to the Department. Contractors are also required to certify that each item listed on the software bill of materials is free from all known vulnerabilities or defects that affect the security of supplied ICT(S) capabilities and to notify DHS of any identified issues and plans for addressing them.
Amazon S3 briljerar!
one of the popular open-source tools had a default configuration to store their backups in S3. And, as a placeholder for a bucket name, they used… the same name that I used for my bucket.
Firebase: 900 sajter och 125 miljoner konton
- mrbruh, xyzeva and logykk: 900 Sites, 125 million accounts, 1 vulnerability
- ThePrimeTime: 125 Million Effected Accounts By FireBase Configuration
video
GPS Spoofing och Jamming attacks
- Scott Manley: GPS Jamming & Spoofing - How Does It Work, And Who’s Doing It?
video - Mentour Now!: The END of GPS for Aviation?! Spoofing At Work
video - Mentour Now!: Russia GPS-Jamming Civilian Aircraft!
video
Off-topic: Alaska Airlines 1282
Initialt fel:
- Flygplanet var felaktigt nitat, det satt inte ihopp rätt
- Nitarna målades först bara över
- Vit färg löser ju inget…
- Det är väldigt blandat vem som jobbar med planet, om de har kompetens, förstod de vad de skulle göra.
Sen blir det värre, ta bort bultarna till flygplansdörren utan att sätta tillbaka dem:
- Öppna dörren av okänt skäl, sannolikt för att komma åt bättre när man nitar om flygplanet
- Jätteviktiga bultar tas ut för att öppna dörren
- Ingen bokför att man öppnat dörren
- Ingen verkar veta vem som öppnat dörren
- Ingen sätter tillbaka bultarna
- Ingen gör QA eftersom inget bokfört öppningen
- Synns tydligt i fotona som dokumenterar arbetet med initala felet (nitarna) att det andra felet (tagit bort bultar) aldrig åtgärdas…
Länkar:
- NTSB Aviation Investigation Preliminary Report: DCA24MA063
- blancolirio: NTSB Preliminary Report Alaska #1282 Door Plug Blowout
video - Mentour Pilot: Boeing 737MAX BlowOut!! The Scandal behind Alaska Airlines flight 1282
video - Forbes Breaking News: Moran Presses NTSB Chair On Boeing’s ‘Lack Of Cooperation’ In Alaska Airlines Blowout Investigation
video
Off-Topic: Boeings fall
- Mentour Now!: Boeing’s Downfall - Before the McDonnell Douglas Merger
video - Mentour Now!: Boeing’s Downfall - “Greed is Good” the McDonnell Douglas Merger
video - Mentour Now!: Boeing’s Downfall - Going for the MAX!!
video - Last Week Tonight with John Oliver (HBO): Boeing
video