Архив за месяц: Май 2024

4 RCE в оборудовании HPE Aruba Networking

4 RCE в оборудовании HPE Aruba Networking4 RCE в оборудовании HPE Aruba Networking4 RCE в оборудовании HPE Aruba Networking4 RCE в оборудовании HPE Aruba Networking4 RCE в оборудовании HPE Aruba Networking

4 RCE в оборудовании HPE Aruba Networking. Все 4 уязвимости касаются переполнения буфера в различных сервисах ArubaOS - это специализированная операционная система для сетевого оборудования (коммутаторы, точки доступа, шлюзы и т.д.). В основном фокус у компании на беспроводных сетях.

Все 4 уязвимости эксплуатируются через запросы к Process Application Programming Interface (PAPI), UDP порт 8211, аутентификация не требуется. У всех СVSS 9.8.

Уязвимые продукты:

🔻 Mobility Conductor (formerly Mobility Master)
🔻 Mobility Controllers
🔻 Aruba Central manages WLAN Gateways and SD-WAN Gateways

Обновления доступны для минорных версий ArubaOS 8 и 10. Также уязвимости подвержены легаси-версии ArubaOS и SD-WAN.

Самое время проверить нет ли в вашей сетке чего-нибудь от HPE Aruba, пока не появились публичные эксплоиты. 😉

Получил сертификат о прохождении бесплатного онлайн-курса по тестированию защищённости и применению Сканер-ВС 6 от учебного центра «Эшелон»

Получил сертификат о прохождении бесплатного онлайн-курса по тестированию защищённости и применению Сканер-ВС 6 от учебного центра «Эшелон»

Получил сертификат о прохождении бесплатного онлайн-курса по тестированию защищённости и применению Сканер-ВС 6 от учебного центра «Эшелон». Готичненький такой. 🙂👍 Для получения сертификата нужно было сдать итоговый тест с первой попытки. Тест прикольный, больше всего понравились вопросы про Metasploit, Nmap и Netcat.

Посмотрел выпуск подкаста КиберДуршлаг с Алексеем Лукацким

Посмотрел выпуск подкаста КиберДуршлаг с Алексеем Лукацким

Посмотрел выпуск подкаста КиберДуршлаг с Алексеем Лукацким. У Алексея Викторовича очень необычный взгляд на вопросы Vulnerability Management-а и мастерские формулировки. 👍🙂📝 Отметил для себя 3 темы, которые было бы интересно подробнее разобрать:

🔻 VM и облачные SaaS-провайдеры. Как контролировать, что провайдер имеет адекватный VM-процесс (да и вообще ИБ) у себя, учитывая, что в случае инцидента отвечать будет не провайдер, а клиент-жертва.

🔻 Статьи о гос. измене / шпионаже (УК РФ 275, 276) и репортинг уязвимостей зарубежным вендорам, организациям и базам уязвимостей. Насколько реальна опасность для исследователя, как поступать правильно и безопасно?

🔻VM-вендорам интересно поддерживать не все продукты. Что делать клиентам (навскидку: пушить VM-вендора, пилить свои детекты, выбирать решения с учётом возможностей VM)?

"Патчить абсолютно всё невозможно и безыдейно" меня, конечно, триггернуло. 🙄

Курьёзней трендовой январской уязвимости в GitLab, позволяющей восстанавливать пароль от аккаунта на левый email (CVE-2023-7028), только то, что в CISA заметили признаки активной эксплуатации этой уязвимости через 3,5 месяца после её публикации и появления тривиального эксплоита

Курьёзней трендовой январской уязвимости в GitLab, позволяющей  восстанавливать пароль от аккаунта на левый email (CVE-2023-7028), только то, что в CISA заметили признаки активной эксплуатации этой уязвимости через 3,5 месяца после её публикации и появления тривиального эксплоита

Курьёзней трендовой январской уязвимости в GitLab, позволяющей восстанавливать пароль от аккаунта на левый email (CVE-2023-7028), только то, что в CISA заметили признаки активной эксплуатации этой уязвимости через 3,5 месяца после её публикации и появления тривиального эксплоита. 🐢 Если верить Shadowserver, то сейчас в России больше всего в мире уязвимых GitLab хостов доступных из Интернет (367). На втором месте США (356), а далее Китай (350).

Дугин луддит? Чтобы дополнить предыдущий пост посмотрел часть "Эмпатии Манучи" с Дугиным месячной давности

Дугин луддит? Чтобы дополнить предыдущий пост посмотрел часть Эмпатии Манучи с Дугиным месячной давности

Дугин луддит? Чтобы дополнить предыдущий пост посмотрел часть "Эмпатии Манучи" с Дугиным месячной давности. Там ему вопрос "в России не будет сильного ИИ, роботизации и трансгуманизма?" тоже не задали, но он подробно поясняет почему это плохо:

🔻 (цитирует Хайдеггера) "В технике как таковой заложен фундаментальный подвох: когда человек перестаёт трогать рукой дерево, воду, землю, хлеб, врага, ставит между ними определенный инструмент (самый простой), то он сам утрачивает в этот момент человечность". 👉🌳
🔻 "Техника как таковая есть абсолютное проклятие нашего рода, это чистое метафизическое зло". 🙄
🔻"Техника должна быть под контролем духа, иначе она превращается в зверя, дьявола, нового господина, нового субъекта". 👌
🔻 "Искусственный интеллект это рукотворный дьявол". 👨‍💻

Философы это вам не технари. 😅 В сухом остатке: будет у нас тоже самое, что и на Западе, но белое, пушистое и "закрепощённое". Нужно только "изгнать из Искусственного Интеллекта западного дьявола". 😉

Посмотрел интервью Дугина Карлсону

Посмотрел интервью Дугина Карлсону

Посмотрел интервью Дугина Карлсону. Интервью на 20 минут. Основная идея Дугина, в том, что современный западный (нео)либерализм сформировался в результате поступательного движения к всё более экстремальным формам индивидуализма путём поэтапного избавления от всех традиционных форм групповой идентичности: религии, имперского сознания, национального государства, семьи, ориентации, пола. Следующий шаг это переход от "gender optional" к "human optional" через трансгуманизм, роботизацию и сильный ИИ. А Россия представляет этому альтернативу.

И тут бы Карлсону подловить Дугина и спросить: значит ли это, что в России не будет сильного ИИ, роботизации и трансгуманизма (хотя бы в форме продвинутого протезирования)? 🙂 Но нет. 🤷‍♂️

Имхо, зря Дугин всё к технологиям сводит, т.к. и сильный ИИ, и роботы, и импланты, и прочая дополненная реальность в России, разумеется, будут ничуть не в меньшей степени, чем на Западе. И традиционализм технологическому развитию не мешает.