no more cubes

Category: Security & Privacy

  • “Secret” Agent Exposes Azure Customers To RCE

    This week, again Azure makes the news with cloud security issues. Following the linked article, Microsoft secretly installed a “management agent” on customer VMs. As if the act itself was not severe enough, the agent is reachable from the network.

    Source: “Secret” Agent Exposes Azure Customers To Unauthorized Code Execution | Wiz Blog

    And, if this does not seem bad enough, the said agent will an attacker root access when the authentication header is missing:

    When working with the cloud, do your threat modelling before choosing a vendor.

  • cloud based CI/CD issues – travis-ci

    Travis-CI published a security bulletin the other day, describing a special condition that would allow to access secrets belonging to a foreign repository in Github or Bitbucket. The condition requires a fork from a public repository. That’s how open source work, and very central functionality. Not a corner case.

    Turns out, the cloud service did address the issue, still plenty of secrets have been affected:

    While cloud technology is all great economically, this is another sample of why commercial software vendors need to consider third party vendors in their threat profiles.

  • Nevermind

    The CISO Ran-som-ware. Nevermind.

  • LockBit Group published Proof for Accenture Hack

    Proof of Hack

    darkfeed.io has published material the LockBit Group provided to proof their hack of the Accenture Network.
    At first glance, it looks huge and worrying. Social media response at this time appears to acknowledge the proof.

    More here: LockBit 2.0 Proof for Accenture Hack – DeepWeb intelligence Feed

  • AI Wrote Better Phishing Emails

    Phishing Email (from the article)

    WIRED schreibt, dass es Forschern gelungen ist, mit Hilfe von GPT3, dem Generative Pre-trained Transformer 3 ML Netzwerk, Phishing Mails zu erzeugen, die deutlich wirksamer sind als von Menschen geschriebene Mails.

    Endlich ein Einsatzbereich für AI, der sich auch ohne VC Geld lohnt.

    Source: AI Wrote Better Phishing Emails Than Humans in a Recent Test | WIRED

  • Amazon schaltet NSO ab

    heise schreibt, dass Amazon NSOs, das ist der Hersteller der Pegasus Spyware, Infrastruktur abschaltet und deren Accounts löscht.

    Nun bin ich sicher kein Freund von so fraglicher Software und ganz sicher kein Unterstützer der dazugehörigen Hersteller.

    Allerdings ist an der Stelle auch ein anderes Problem deutlich: die Abhängigkeit unabhängiger Hersteller vom Wohlwollen von Cloud-Providern. Soweit ich die Berichterstattung übersehe ist der Vorgang durch die (berechtigte) Beschwerde von Medien und Aktivisten eingeitet worden. Weder bei Heise noch bei dem zitierten Artikel des Vice Magazin ist eine weitere Erklärung zu finden. Mindestens wäre ein Verstoß gegen “Acceptable Use Policies” in der Stellungnahme zu erwarten, oder besser ein Richterspruch.

    So haben private Unternehmen die Rolle von Staaten übernommen, der global in der Digitalisierung immer noch um eine angemessene Rolle ringt.

    Heise Artikel: www.heise.de/amp/news/Spyware-Pegasus-Amazon-kappt-NSO-Infrastruktur-und-loescht-Accounts-6142529.html

  • Malicious PyPI Packages

    It was a matter of time. After the npm-repository was hit later last year and ruby gems were found mining crypto-currency, this times it’s PyPI that spreads bad code. Supply chain attacks, as this vector is typically referred to, becomes an increasing problem. Foremost for software vendors.

    The rich supply of community maintained packages make particular languages attractive to businesses. Plenty of ready made packages allow to rapidly build the most important components required to bootstrap any SaaS business. Authentication, database connectivity, model view abstraction layers, web request routing, html templating, it all can be found in either of these, at no added cost.

    However, nothing in life is free and the price vendors pay is the added risk of unvalidated or unverified sources.

    (more…)

  • Clubhouse leakt 3,8 Milliarden Telefonnummern

    Cloubhouse
    Clubhouse App (source: future zone.at)

    Clubhouse. Das war diese App, die vor einem halben oder ganzen Jahr so unglaublich gehyped worden ist. Man kam nicht rein, das war Invite Only. Man kam nicht von alleine rein, cool waren nur die, die drin waren. Alle in meiner Bubble hatten FOMO, Fear Of Missing Out.

    Diesen menschlichen Effekt haben vor 15 Jahren schon Facebook und Google mit seinem Mail Produkt sehr erfolgreich bedient. Das Ergebnis war, dass JEDER unbedingt eine Einladung wollte. Und mit Erhalt der gleichen wirklich äußerst bereitwillig Ihre Adressbücher freigegeben haben.

    Für die Experience.

    Zwischenzeitlich kann man verbale Ansprachen auch auf Twitter halten und kein Hahn kräht mehr nach Clubhouse.

    Trotzdem sind der App jetzt 3,8 Milliarden Telefonnummern weggekommen. Und so wies aussieht seid Ihr auch dabei, wenn Ihr jemanden kennt, der das damals toll fand.

    via futurezone.at

  • Styra Extends Open Policy Agent Security to Public Clouds

    Once upon a time, we tried to code policy positions into our programs. It didn’t — it really didn’t — work well. Then in 2016, some developers at a company they called Styra came up with Open Policy Agent (OPA, pronounced “oh-pa”) for cloud native environments.

    Source: Styra Extends Open Policy Agent Security to Public Clouds

  • Fastly Global CDN Disruption

    Fastly is one of the major CDN vendors globally. As a regular consumer you wouldn’t be aware of their service, until a failure hits. Today the service faced a configuration issue, that apparently hit global pages like NYTimes and Bloomberg, but also Amazon, Reddit and Twitter, as reported in multiple sources. The issue is reported resolved by the vendor as of this writing. Details on their status page:

    Fastly’s Status Page – Global CDN Disruption.

    Source: Fastly Status – Global CDN Disruption