Архив за месяц: Январь 2025

Агрегаторы обсуждаемых уязвимостей

Добавить комментарий

Агрегаторы обсуждаемых уязвимостей

Агрегаторы обсуждаемых уязвимостей. Александр Редчиц обновил свою подборку CVE-шных ТОПов и залил её с описаниями на телетайп. Теперь их 11:

1. Intruder's Top CVE Trends & Expert Vulnerability Insights
2. Cytidel Top Trending
3. CVE Crowd
4. Feedly Trending Vulnerabilities
5. CVEShield
6. CVE Radar (блочат РФ)
7. Vulners "Discussed in social networks"
8. Vulmon Vulnerability Trends
9. SecurityVulnerability Trends
10. CVESky
11. Vulnerability-lookup

Разнообразие радует. 👍 Но по большей части эти ТОП-ы не про реальные атаки и эксплуатабельность, а про желание ИБ-комьюнити обсуждать какие-то уязвимости. Не всегда то, что обсуждают, будет для вас важно. Да и концентрация внимания у ИБ-комьюнити как у золотой рыбки: разобрали уязвимость/инцидент, экспертность продемонстрировали и сразу забыли. 🤷‍♂️😏

Смотреть эти ТОП-ы увлекательно, но руководствоваться ими при приоритизации уязвимостей в VM-процессе - идея так себе. Лучше ориентироваться на трендовые уязвимости от PT. 😉😇

Про уязвимость Remote Code Execution - Apache Struts (CVE-2024-53677)

Добавить комментарий

Про уязвимость Remote Code Execution - Apache Struts (CVE-2024-53677)

Про уязвимость Remote Code Execution - Apache Struts (CVE-2024-53677). Apache Struts - это открытая программная платформа для создания веб-приложений на языке Java. Она позволяет разработчикам разделять бизнес-логику приложения от пользовательского интерфейса. Благодаря масштабируемости и гибкости, Apache Struts часто используется в крупных корпоративных проектах.

Бюллетень безопасности с описанием уязвимости вышел 14 декабря. Ошибка в логике загрузки файлов позволяет неаутентифицированному злоумышленнику выполнить Path Traversal, загрузить зловредный файл и, при определенных условиях, выполнить Remote Code Execution. 20 декабря для уязвимости появился публичный эксплойт. Есть сообщения о попытках эксплуатации, но информации об успешных атаках пока нет.

Вендор рекомендует обновиться до версии 6.4.0 или выше и мигрировать приложения на новый безопасный механизм File Upload.

Про уязвимость Remote Code Execution - Windows Lightweight Directory Access Protocol (LDAP) (CVE-2024-49112)

Добавить комментарий

Про уязвимость Remote Code Execution - Windows Lightweight Directory Access Protocol (LDAP) (CVE-2024-49112)

Про уязвимость Remote Code Execution - Windows Lightweight Directory Access Protocol (LDAP) (CVE-2024-49112). Уязвимость из декабрьского Microsoft Patch Tuesday. Через три недели, 1 января, исследователи из компании SafeBreach выпустили write-up по этой уязвимости, обозначенной ими как LDAPNightmare, а также PoC эксплоита.

Эксплойт вызывает принудительную перезагрузку уязвимых Windows-серверов. Необходимое условие - DNS-сервер контроллера домена-жертвы должен иметь доступ к Интернет.

Атака начинается с отправки DCE/RPC запроса на сервер жертвы, вызывающего сбой LSASS (Local Security Authority Subsystem Service) и принудительную перезагрузку сервера, когда злоумышленник отправляет специальный реферальный пакет ответа CLDAP (Connectionless Lightweight Directory Access Protocol).

Но это же DoS, а где RCE? 🤔 Исследователи отмечают, что RCE можно добиться модификацией CLDAP пакета.

Инфразитор (часть 2)

Добавить комментарий

Инфразитор (часть 2)

Инфразитор (часть 2). Начало рассказа.

Максимилиан Дерайсон в упор смотрел на Брайена.

- Мистер Гофман, чем вы можете объяснить такое состояние вашей домашней инфраструктуры?

- Я не знал. Я не специалист. Я не разбираюсь в этом.

- Владение устройствами накладывает ответственность, - произнёс Максимилиан назидательно. - Не выполняя элементарные правила цифровой гигиены, вы поставили под угрозу собственную безопасность, а также безопасность других людей и организаций. И, как видите, стали соучастником преступления. Если вы не хотели или не могли следить за состоянием своих устройств сами, что мешало вам обратиться к тем, кто мог бы оказать вам такую услугу. Ничто, кроме вашей собственной беспечности.

Брайен молчал. Максимилиан продолжил.

- Итак, ваша вина вполне очевидна. Дальше возможны следующие варианты. Первый: вы признаёте власть корпорации TEMPLA в решении вопроса, признаёте свою вину в ненадлежащем контроле инфраструктуры, принимаете наказание и возложенные на вас обязательства. Второй вариант: вы не признаёте власть корпорации TEMPLA в решении вопроса, и мы передаём все материалы в государственные органы. И в этом случае, вероятнее всего, вас признают соучастником атаки на критическую инфраструктуру. Возможно, даже организатором атаки. Решение за вами.

Брайен вздохнул.

- Видимо, вариантов у меня не много. Признаю власть TEMPLA и свою вину.

Максимилиан улыбнулся.

- Разумный выбор. Брайен Гофман, вы признаётесь виновным в ненадлежащем контроле принадлежащей вам инфраструктуры. Мы принимаем в расчёт, что для вас это первое выявленное нарушение подобного рода, а атака на LifeBank не привела к значительному ущербу. Вам назначается штраф 5000 конвертируемых коинов. Ваши устройства, которые могут быть обновлены, будут обновлены до последней версии. Там где возможно, будет включён режим принудительного обновления. Скомпрометированные устройства будут очищены. Устройства, которые больше не поддерживаются вендором, будут реквизированы и утилизированы. Вы должны в течение недели заключить договор сервисного обслуживания с авторизованным центром, включающий постоянную инвентаризацию принадлежащий вам инфраструктуры и её обновление. Мы информируем вас, что в случае повторного нарушения последствия будут гораздо более серьёзными. Вы всё поняли, мистер Гофман?

Брайен кивнул.

- Хорошо. Настоятельно рекомендуем вам не забывать о возложенных на вас обязательствах. А теперь прощайте!

В тот же момент кресло с Брайеном опустело. На стене продолжали выводиться изображения с камер наблюдения, установленных в квартире. Было видно, что Брайен очнулся в своей комнате и снял VR-шлем.

- Чрезмерно мягко, - произнёс Курувим.

- Милосердная эра, - Максимилиан улыбнулся. - На костёр всегда успеется, а так, может, он и извлечёт из этого урок. Ну да ладно. Выдёргивай сюда следующего.

Инфразитор (часть 1)

Добавить комментарий

Инфразитор (часть 1)

Инфразитор (часть 1). Выкладываю рассказ 2022 года. Посвящается памяти Владимира Безмалого.

Штурм замка Барона фон Вагнера войсками Епископа Оснабрюкского длился уже третий час. Под градом стрел крестьяне Епископа засыпали участок защитного рва перед подвесным мостом. Таран со скрипом подъехал к воротам замка и с десятого удара разбил их. Рыцари Епископа хлынули внутрь и ввязались в схватку с булавоносцами и лучниками Барона. Ряды защитников замка редели, им пришлось отойти в каменную башню. Лучник третьего отряда Брайен Гофман вбежал в башню предпоследним. Кованые двери башни захлопнулись, и их тотчас заперли на тяжёлые засовы. Брайен бегом поднялся к бойницам пятого этажа. Враги приближались. Он без остановки заряжал лук, наскоро целился и отпускал тетиву. Брайен стрелял метко, но усталость накапливалась, а стрелы заканчивались. До подхода подкрепления паре десятков бойцов нужно было продержаться ещё полчаса.

Внезапно яркая вспышка ослепила Брайена. Когда зрение восстановилось, он обнаружил себя сидящим в металлическом кресле в комнате со светящимися белыми стенами. Напротив Брайена сидел мужчина в чёрной робе с медальоном на груди. Рядом с ним в воздухе парило странное существо. Существо представляло собой четыре горящих колеса, вращающихся в различных направлениях вокруг единого центра. Колёса были покрыты глазами, которые смотрели на Брайена.

- Что происходит?! Кто вы?!

Ответа не последовало. Брайен попытался встать. Неудачно. Металлические пластины крепко фиксировали его руки и ноги.

- Компьютер, выход в главное меню! Компьютер, аварийный выход! - прокричал Брайен.

- Добрый день, мистер Гофман, - произнёс мужчина в чёрном. - Пожалуйста, успокойтесь. Вы уже не в игре. И нам придётся побеседовать. Меня зовут Максимилиан Дерайсон. Я представляю корпорацию TEMPLA. А это, - он указал на летающее существо, - мой коллега. Курувим, объясните, пожалуйста, мистеру Гофману суть дела.

- 29 января в 01:35 GMT с Гипернет адресов, закреплённых за устройствами мистера Гофмана была осуществлена сетевая атака на инфраструктуру LifeBank, - проговорило существо нейтральным, скорее женским голосом. - Было выполнено полное сканирование портов на 50 хостах, 237 попыток аутентификации со стандартными учётными записями, 45 попыток применения эксплоитов для известных уязвимостей, рассылки писем 73 сотрудникам LifeBank с вредоносным содержимым. Все письма были обнаружены и отозваны до прочтения.

- Это всё какой-то бред, - произнёс Брайен растерянно. - Я не имею к этому никакого отношения! Я требую адвоката!

Дерайсон улыбнулся.

- Ну что вы, какой адвокат. Вы же не на допросе. А имеете ли вы отношение к атаке мы сейчас проверим.

На стене появились изображения с камер видеонаблюдения в квартире Брайена Гофмана. В одной из комнат стояло рабочее кресло, в котором находилось тело Брайена в VR-шлеме. Дверь в квартиру открылась и в неё въехали 4 робота. У каждого было по 6 рук-манипуляторов и по несколько камер на головах. Роботы разъехались по комнатам и стали производить осмотр и разбор вещей.

- У вас есть ордер на обыск? Вы не имеете права! Это какой-то произвол! - не унимался Брайен.

- Разве это обыск? Это инвентаризация, - усмехнулся Максимилиан. - Все активные хосты мы можем проверить, подключившись к внутренней сети вашей квартиры. И мы это уже сделали. Но нас также интересует и то, что может быть выключено или может подключаться к сети периодически.

Роботы фиксировали все электронные устройства с поддержкой Гипернет, подключались и копировали с них данные. Домашний сервер, ноутбуки, смартфоны, камеры, бытовая техника. Через 15 минут они закончили и покинули квартиру Брайена.

- Инвентаризация и анализ завершён, - произнёс Курувим. - Внутренняя сеть содержит следы компрометации. Точка входа - необновлённые камеры наблюдения доступные через Гипернет. Получив доступ к камерам, злоумышленники смогли попасть в сеть квартиры, скомпрометировали необновлённый домашний сервер, а затем использовали его в атаках на LifeBank.

Часть 2