Архивы автора: Alexander Leonov

Об авторе Alexander Leonov

Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно прочитать здесь. Приглашаю подписаться на мой канал в Telegram @avleonovrus. Я обновляю его чаще, чем этот сайт. Вы можете обсудить мои посты или задать вопросы в @avleonovchat или в группе ВКонтакте. And I invite all English-speaking people to another telegram channel @avleonovcom.

Что известно про уязвимость 0.0.0.0_Day?

Добавить комментарий

Что известно про уязвимость 0.0.0.0_Day? Оригинальный пост вышел 7 августа в блоге компании Oligo Security. Это израильская компания, которая наделала шуму в прошлом году с исследованием ShellTorch. В этот раз снова про локальные сервисы, доступные снаружи.

Когда жертва заходит на зловредный веб-сайт, этот сайт JS-ом может взаимодействовать с веб-сервисами на localhost жертвы, используя адрес 0.0.0.0_. Финт работает с Chromium, Firefox и Safari в MacOS и Linux. Это не круто, браузеры запросы к localhost должны блокировать.

Ну допустим сайт взаимодействует с какими-то сервисами на localhost (если они есть), и что? Ну, если сервис плохо написан, то это весьма потенциально может привести к RCE. 🤷‍♂️ Для демонстрации исследователи взяли уязвимость в AI фреймворке Ray (ShadowRay), которая эксплуатируется вживую, и показали, что 0.0.0.0_Day может быть вектором для атаки на локальный Ray-сервер. 🤔

❌ В общем, потенциал для трендовости у 0.0.0.0_Day пока не просматривается.

Мастер-класс по росписи ёлочных игрушек прошёл успешно

Добавить комментарий

Мастер-класс по росписи ёлочных игрушек прошёл успешно. 👍 Сказали, что можно рисовать всё что угодно. 😏 Нарисовал Elevation of Privilege (Local Privilege Escalation) - Linux Kernel (CVE-2024-1086). 😅

Qualys анонсировали модуль TotalAI для обеспечения безопасности искусственного интеллекта (AI) и больших языковых моделей (LLM)

Добавить комментарий

Qualys анонсировали модуль TotalAI для обеспечения безопасности искусственного интеллекта (AI) и больших языковых моделей (LLM). Модуль будет доступен в Q4 2024 в рамках платформы Enterprise TruRisk.

Заявленные фичи:

🔹 Обнаружение и мониторинг AI инфраструктуры организаций. Чтобы не было "shadow LLM".

🔹 Vulnerability Management с фокусом на угрозы AI. Делают акцент на противодействии воровству (извлечению) данных и моделей. Будут предлагать разнообразные способы исправления уязвимостей.

🔹 Специализированное сканирование LLM с упором на prompt injection, воровство модели и раскрытие конфиденциальной информации.

🔹 Compliance Management и управление рисками. Делают акцент на утечках данных. Упоминают GDPR, PCI, CCPA.

Есть скриншот интерфейса со статистикой по моделям и их угрозам. Также там угрозы для связанных активов и занимательные информеры для AI Workloads, AI Software и GPU.

Перезалил "В Тренде VM" за 5 месяцев

Добавить комментарий

Перезалил "В Тренде VM" за 5 месяцев. Я тут затих в последние дни, потому что всё свободное время на это уходило. Вырезать, подправлять, размечать, оформлять и описывать ролики было довольно муторно, но результатом я доволен. 🙂

Теперь "В Тренде VM" это не только рубрика внутри новостных выпусков SecLab-а, но и отдельные ролики на моём канале с таймкодами по конкретным уязвимостям и описаниями. 😊 Т.е. теперь для каждой трендовой уязвимости, начиная с февраля, есть краткое видео-обоснование почему мы считаем её трендовой. Надеюсь, что и индексироваться это будет неплохо.

По договоренности новые ролики буду добавлять через неделю после выхода рубрики "В Тренде VM" в видео-новостях SecLab-а.

В моменте выкладываю только в плейлист моего канала на YouTube. Иронично, что руки дошли этим заняться аккурат к завершению работы платформы в России. 🙂

Upd. Залил ролики в плейлисты "В Тренде VM" на российские площадки:
🔹 RuTube
🔹 VK Видео

В прошлую пятницу прошла церемония награждения Pentest Award 2024 от Awillix

Добавить комментарий

В прошлую пятницу прошла церемония награждения Pentest Award 2024 от Awillix. Есть видео и отчёт на хабре.

Первые места по номинациям:

🥇 Пробив WEB - shin0_by "Multiple Take Over". Изменение логина и пароля через перебор значения cookie.
"Bypass Restrict User Registration → Bypass EDR → RCE WebApp → RCE SQL Server"

🥇 Пробив Инфраструктуры - Im10n "FreeIPA". Анализ инфраструктуры на базе FreeIPA. Уязвимость, позволяющая сделать перебор заведена как CVE-2024-3183.
"Initial Access to FreeIPA → TGT Request → Salt Extraction → TGS Brute-forcing → Domain Admin Password Retrieval → DC Compromise"

🥇 Девайс - N0um3n0n "SMS Heap Overflow". Выполнение произвольного кода на модеме путем отправки специально сформированных SMS.
"SMS Heap Overflow → Controlled Memory Read → Primitives for Memory Write → Execution of Arbitrary Code → Memory Unlocking → Deployment of Custom Driver → Persistent Application Installation"

🥇 Hack The Logic - only4u2day "From Bot to Admin". Получение прав администратора для бота в Mattermost .
"Bot Creation → Privilege Escalation with Admin Roles → Bot-to-User Conversion → Full Admin Panel Access".

🥇 Раз bypass, два bypass - snovvcrash "SafetyNDump". Обход AV для создания дампа процесса LSASS с повышенными привилегиями.
"Impersonation via TokenDuplicator → Elevated Handle with NanoDump → LSASS Dump Creation → MiniDump Parsing"

🥇 Ловись рыбка - X0red "Advanced Rogue RDP". Фишинговое письмо с RDP-файлом, который автоматически подключается к внешнему серверу и создаёт прокси-туннель.
"Phishing Email with Rogue RDP → User Connects to Rogue RDP Server → Proxy Tunnel Establishment → Network Scanning → Exploitation of Internal Services"

Про остальных победителей читайте в отчёте на хабре. В отчёте упоминается эксплуатация известных уязвимостей:

🔻 AuthBypass - Hikvision Wi-Fi IP camera (CVE-2017-14953)
🔻 RCE - Hikvision IP camera/NVR (CVE-2021-36260)
🔻 RCE - D-Link DNS-320 (CVE-2019-16057)
🔻 Spoofing - Windows LSA "PetitPotam" (CVE-2021-36942)

Ожидаемый вопрос: а где же подробности и пруфы? 😏 Особых деталей ждать не приходится, так как работа пентестеров обычно проходит под NDA. Статьи тех, кто согласиться поделиться подробностями, выйдут в журнале Xakep.

20 августа пройдёт совместный вебинар K2 Cloud и Positive Technologies, на котором будут обсуждать защиту веб-приложений и PT Cloud Application Firewall

Добавить комментарий

20 августа пройдёт совместный вебинар K2 Cloud и Positive Technologies, на котором будут обсуждать защиту веб-приложений и PT Cloud Application Firewall. Канал "Управление Уязвимостями и прочее" в информационных партнёрах мероприятия, буду смотреть и комментировать. 😉

Думаю, онпрем продукт PT Application Firewall (PT AF) многим хорошо знаком, а вот его облачный вариант, представленный в прошлом году, всё ещё новинка. Он предназначен для защиты cloud‑native инфраструктуры и доступен по подписке через авторизованных сервисных и облачных провайдеров (отсюда и K2 Cloud).

Функциональность:

🔻 Выявление цепочек атак
🔻 Защита от DoS-атак уровня приложений
🔻 Механизмы противодействия вредоносным ботам
🔻 Модуль для защиты от атак на пользователей
🔻 Модуль предотвращения загрузки вредоносного ПО
🔻 Блокирование 0day атак
🔻 Защита API
🔻 Виртуальный патчинг

Ну и, естественно, отчётность/аналитика.

В общем, приглашаю послушать про продукт и AppSec практики. 😉

Автоматические обновления ПО устанавливают зловред

Добавить комментарий

Автоматические обновления ПО устанавливают зловред. Занимательный кейс опубликовали эксперты компании Volexity. Допустим у вас есть какое-то ПО на хосте. Оно периодически лезет в инет проверять обновления и потом устанавливает их… И вместо обновления вам устанавливается зловред. 😱👾

И нет, это не кейс про скомпрометированный сайт вендора ПО, с ним всё в порядке. 🙂

Для получения такого результаты злодеи из StormBamboo проводили DNS poisoning атаку на уровне интернет-провайдера (ISP). Злоумышленники изменяли ответы на DNS-запросы для определенных доменов. Соответственно "обновление" подгружалось с IP-адресов злодеев. 😈

Естественно, для того чтобы финт сработал ПО должно использовать небезопасные механизмы обновления: соединяться по HTTP, не проверять цифровые подписи инсталлера и т.п. Но такого ПО, хватает. 🤷‍♂️ Volexity фиксировали атаку через обновление медиа-плеера 5KPlayer. Жертвам устанавливали малвари MACMA и POCOSTICK / MGBot.