Архив рубрики: Темы

Очередная Privilege Escalation c CVSS 10, на этот раз в Cisco IOS XE (CVE-2023-20198)

2 комментария

Очередная Privilege Escalation c CVSS 10, на этот раз в Cisco IOS XE (CVE-2023-20198)

Очередная Privilege Escalation c CVSS 10, на этот раз в Cisco IOS XE (CVE-2023-20198). Как и в случае с Confluence, это значит полную компрометацию актива неаутентифицированным злоумышленником.

"Cisco известно об активной эксплуатации ранее неизвестной уязвимости в функции веб-интерфейса Cisco IOS XE, когда его выставляли в Интернет или в ненадежные сети. Эта уязвимость позволяет удаленному злоумышленнику, не прошедшему аутентификацию, создать учетную запись в уязвимой системе с уровнем привилегий 15. Затем злоумышленник может использовать эту учетную запись для получения контроля над уязвимой системой." 🤷‍♂️

Есть IOCи, патчей нет. Рекомендуют клиентам отключать функцию HTTP-сервера во всех системах доступных из Интернет.

Cisco IOS XE - усовершенствованная версия Cisco IOS, построенная на базе Linux, которую Cisco представила в 2008 коду в продуктах ASR и Catalyst.

Обнаружил фичу в Телеграмме, о которой не могу молчать

Добавить комментарий

Обнаружил фичу в Телеграмме, о которой не могу молчать. Хоть она напрямую с уязвимостями и безопасностью не связана. Ну, почти. Оказывается мало того, что контакту можно принудительно выставить имя и фамилию (это я давно знал и практиковал), ему оказывается можно выставить ещё и аватарку! 🤩 И эти данные будут видны только вам.

Edit contact -> Set Photo for …

Вот так просто. То есть понимаете, больше не надо держать, в голове, что пользователь с ником c00lhazker377 и аватаркой Нео из Матрицы это твой коллега Вася Иванов. Можно выставить ему имя Василий Иванов и настоящую фотку анфас. И никто об этом не узнает, Вася так и продолжит думать, что он самый анонимный аноним и оригинал.

Восхитительно, просто восхитительно. 😇 Причесал основной контакт-лист - прям залюбуешься теперь.

PS: с безопасностью-то это конечно связано - через эту фичу администрация Телеграмма вполне вероятно получит от ваших контактов вашу реальную внешность и имя-фамилию. 🤫🤷‍♂️

В CISA KEV, каталоге эксплуатируемых уязвимостей, появилась новая колонка, отвечающая за использование уязвимости в атаках шифровальщиков

1 комментарий

В CISA KEV, каталоге эксплуатируемых уязвимостей, появилась новая колонка, отвечающая за использование уязвимости в атаках шифровальщиков

В CISA KEV, каталоге эксплуатируемых уязвимостей, появилась новая колонка, отвечающая за использование уязвимости в атаках шифровальщиков. Колонка называется "Known to be Used in Ransomware Campaigns". Возможные значения: Known и Unknown. Сейчас там 184 уязвимости, которые Known. В JSON-выгрузке также есть это поле. Неплохо, но хотелось бы, конечно, не только флажок, но и подробности какие именно шифровальщики эксплуатируют уязвимости.

Также CISA завели новую страничку с мисконфигурациями, которые используются в атаках шифровальщиков. Пока там только таблица с сервисами, использование которых может быть небезопасно (RDP, FTP, TELNET, SMB, VNC). Но, возможно, эта тема разовьётся во что-то более интересное.

Прожектор по ИБ, выпуск №7 (15.10.2023)

2 комментария

Прожектор по ИБ, выпуск №7 (15.10.2023). Записали очередной эпизод. Из основного: посмотрели как развивалась история с уязвимостями Confluence и curl, обсудили НТТР/2 Rapid Reset DDoS Attack в разных проявлениях, прошлись по Microsoft Patch Tuesday, пофантазировали на тему Курскводоканала и запустили проект Linux Patch Wednesday.

Мы это:

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"

00:00 Здороваемся и обсуждаем просмотры прошлого выпуска
02:49 Воспроизведенная EoP/AuthBypass уязвимость Confluence (CVE-2023-22515)
05:22 Rate limit-ы в National Vulnerability Database и куда ситуация движется
11:21 НТТР/2 Rapid Reset DDoS Attack и NGINX
14:23 НТТР/2 Rapid Reset DDoS Attack и Google
15:11 Октябрьский Microsoft Patch Tuesday (и НТТР/2 Rapid Reset DDoS Attack)
21:56 Центр мониторинга и реагирования UserGate предупреждает о множественных уязвимостях в продукте Sangfor's Next Gen Application Firewall
24:18 Игры с кальмаром: full disclosure для незафикшенных уязвимостей Squid
28:06 В США кот случайно отключил государственную IT-систему
30:09 Обещанные уязвимости в CURL и libcurl вышли.
34:26 Хакеры оставили МУП «Курскводоканал» без данных по показаниям счетчиков
37:12 Запуск проекта Linux Patch Wednesday: что это и зачем нужно
42:57 Прощание от Mr. X

Запустил проект Linux Patch Wednesday! 🚀

2 комментария

Запустил проект Linux Patch Wednesday! 🚀

Запустил проект Linux Patch Wednesday! 🚀🥳 В июне я вкидывал идею, аналога Microsoft Patch Tuesday для Linux. Т.е. такого дня, когда мы смотрим на уязвимости Linux и выделяем из них наиболее критичные. 🕵️‍♂️

Полной аналогии с Microsoft Patch Tuesday здесь, конечно, быть не может, т.к. обновления для Linux выпускаются непрерывно и независимо различными вендорами Linux-дистрибутивов. Но мы можем самостоятельно выбрать какой-то день месяца (например каждую третью среду - по аналогии с MS PT) и смотреть какие Linux-уязвимости начали исправляться в течение прошедшего месяца. 😏

Я проанализировал публичный OVAL контент 5 вендоров Linux дистрибутивов и загрузил получившиеся ежемесячные Linux Patch Wednesday бюллетени на Github. С марта 2007 года и до октября 2023. Приглашаю заценить и, если понравится, поставить звёздочку. 🙂⭐

"Аленький цветочек" и приоритизация уязвимостей в условиях неполной информации

Добавить комментарий

Аленький цветочек и приоритизация уязвимостей в условиях неполной информации

"Аленький цветочек" и приоритизация уязвимостей в условиях неполной информации. Когда нашего сомнительного купца просят привести цветочек "краше не было на белом свете" он отвечает ровно так, как стоило бы отвечать Vulnerability Management специалисту на просьбу найти самую критичную уязвимость в инфраструктуре:

"— Ну, задала ты мне работу потяжеле сестриных: коли знаешь, что искать, то как не сыскать, а как найти то, чего сам не знаешь? Аленький цветочек не хитро найти, да как же узнать мне, что краше его нет на белом свете? Буду стараться, а на гостинце не взыщи."

Какую-то критичную уязвимость выделим, а вот гарантировать, что эта уязвимость будет наиболее критичной из существующих - тут извините. Способы детектирования и наши знания о характеристиках уязвимостей существенно ограничены. Не взыщите. И занимайтесь лучше безусловным патчингом. 😉

Игры с кальмаром: full disclosure для незафикшенных уязвимостей Squid

2 комментария

Игры с кальмаром: full disclosure для незафикшенных уязвимостей Squid

Игры с кальмаром: full disclosure для незафикшенных уязвимостей Squid.

1. Squid это кеширующий web прокси-сервер. Может использоваться, например, для ограничения доступа сотрудников организации к определенным сайтам в Интернете. Очень популярная штука.
2. В феврале 2021 года ресерчер Joshua Rogers провёл аудит безопасности Squid, обнаружил 55 уязвимостей в C++ коде проекта. 35 из них за 2 года не пофиксили, поэтому Роджерс вывалил всё в паблик. 🤷‍♂️ Ну типа, а почему бы и нет, сколько можно ждать-то. 🙂
3. В основном там, судя по названиям, ошибки работы с памятью, некоторые приводят к крашам. Описания выглядят детальными, хотя я особенно не вчитывался. Роджерс пишет, что на гитхабе есть PoC-и, но видимо имеются ввиду примеры в описаниях. Утилиты "введи ip-адрес и сломай Squid полностью" пока не наблюдается. Но, возможно, кто-то вдохновится выложенным и запилит.

Что с этим делать не особенно понятно. Фиксов-то нет. На большую часть даже CVEшек нет. Видимо остаётся только ждать фиксов (и эксплоитов 😏) или отказываться от Squid. Классическая тема с опенсурсом: вроде всё классно, бесплатно, а случись что, то и спросить не с кого. Вся поддержка и разработка на энтузиастах-волонтерах.