Архив рубрики: Темы

SSRF/AuthBypass-уязвимость Ivanti Connect Secure, Policy Secure и ZTA (CVE-2024-21893) используются злоумышленниками для установки ранее неизвестного бэкдора под кодовым названием DSLog

2 комментария

SSRF/AuthBypass-уязвимость Ivanti Connect Secure, Policy Secure и ZTA (CVE-2024-21893) используются злоумышленниками для установки ранее неизвестного бэкдора под кодовым названием DSLog

SSRF/AuthBypass-уязвимость Ivanti Connect Secure, Policy Secure и ZTA (CVE-2024-21893) используются злоумышленниками для установки ранее неизвестного бэкдора под кодовым названием DSLog. Об этом сообщает Orange Cyberdefense. Бэкдор добавляется в легитимный модуль логирования.

🔻 Бэкдор позволяет выполнять команды от root-а, не возвращает статус/код при попытке соединиться с ним (усложняет обнаружение), использует уникальный ключ аутентификации для каждого скомпрометированного апплаенса.

🔻 По состоянию на 3 февраля Orange Cyberdefense обнаружили 670 скомпрометированных устройств.

В статье описывается работа бэкдора, приводятся IOC-и.

Стоит ли использовать в вашей организации пиратское VM-решение?

Добавить комментарий

Стоит ли использовать в вашей организации пиратское VM-решение?

Стоит ли использовать в вашей организации пиратское VM-решение? На аргументах про этичность и законность останавливаться не буду (см. 146, 272, 273 УК РФ и штрафы для юрлиц). 🙂 По технике:

🔻 Как вы можете гарантировать, что в скаченную откуда-то сборку не внесли НДВ? Троян, майнер, криптолокер с отложенным запуском. Это вполне естественный способ монетизации для релиз-команды. И чем вы оправдаетесь в случае инцидента?
🔻 В развернутое VM-решение будут забивать учётки для сканирования. Оно будет заходить на таргет-хосты и выполнять произвольные команды (как правило, с привилегиями рута/админа). Вы точно хотите "ZVER-сборку" туда пускать?
🔻 Если у вас правила детектирования уязвимостей не обновляются, то вы сможете определить с помощью такого решения только старый ли таргет-хост как гуано мамонта или нет. Полезность сомнительная. 🙂

А главное нафига рисковать, если можно официально запросить у вендора триалку и тестить сколько потребуется с поддержкой и прочим. 😉

Странная история двух новых критичных RCE-уязвимостей в FortiSIEM (CVE-2024-23108, CVE-2024-23109)

1 комментарий

Странная история двух новых критичных RCE-уязвимостей в FortiSIEM (CVE-2024-23108, CVE-2024-23109)
Странная история двух новых критичных RCE-уязвимостей в FortiSIEM (CVE-2024-23108, CVE-2024-23109)

Странная история двух новых критичных RCE-уязвимостей в FortiSIEM (CVE-2024-23108, CVE-2024-23109). Злоумышленник может выполнить несанкционированный код или команды с помощью специальных запросов к API. Есть пруфы получения root-ового shell-а.

🔻 5 февраля эти две CVE с идентичным описанием появляются в NVD. CVSS 10/10. Все подпрыгнули. Смущала только ссылка на старый бюллетень вендора от 10 октября прошлого года и схожесть со старой CVE-2023-34992 с точностью до версий и опечатки "via via".
🔻 В тот же день Fortinet сообщают, что произошла ошибка и эти уязвимости дубликаты CVE-2023-34992. "В данном случае из-за проблемы с API, которую мы в настоящее время изучаем, произошло не редактирование [старой уязвимости], а создание двух новых CVE, дубликатов исходного CVE-2023-34992". 🤷‍♂️ Все выдыхают и ждут отзывы этих новых CVE-шек.
🔻 7 февраля исследователь Zach Hanley из Horizon3 сообщает, что уязвимости есть и это он их нашёл. Это байпасы фикса оригинальной CVE-2023-34992. Пруфает перепиской с Fortinet и скриншотом root-ового shell-а. 😈
🔻 Вскоре после этого Fortinet выпускают ещё одно заявление, что да, новые уязвимость есть и это действительно байпассы. А в предыдущем сообщении они неверно выразились ("misstated"). 🤡🤦‍♂️

На вчерашнем Прожекторе по ИБ выяснили, что инсталляции FortiSIEM в России хоть и редко, но встречались. И даже в окологосах. Если у вас FortiSIEM ещё используется, то обязательно обновитесь (а лучше импортозаместитесь).

Прожектор по ИБ, выпуск №22 (10.02.2024): Вижу MacBook — мне неприятно

Добавить комментарий

Прожектор по ИБ, выпуск №22 (10.02.2024): Вижу MacBook — мне неприятно

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"

00:00 Здороваемся, смотрим статистику, разгоняем про продукты Apple
03:31 Где был Лев: Собираем карьеру с Евгением Питолиным и дебаты на AM Live
09:42 4 апреля состоится форум "Территория Безопасности - 2024: все pro ИБ"
13:42 Мем про тяжелую неделю для Fortinet
14:21 RCE-уязвимость в Fortinet FortiOS и FortiProxy (CVE-2024-21762) эксплуатируется вживую
19:16 Fortinet исправила две критические уязвимости максимальной степени серьезности в FortiSIEM
21:06 Очередная AuthBypass уязвимость в Ivanti Connect Secure, Ivanti Policy Secure и ZTA (CVE-2024-22024)
23:02 Занимательная статья от исследователей уязвимостей из PT SWARM
28:51 Взлом компании AnyDesk и рекомендации от НКЦКИ
33:51 Нужен ли Антивирус (или шире - Endpoint Protection) на Linux хостах?
41:33 Бывшего сотрудника Apple приговорили к тюремному заключению за кражу данных об автомобиле
44:47 Исследователя безопасности обвинили в попытке получить около $3 млн долларов от Apple в виде продукции и услуг компании
49:38 Что такое Игры Будущего 2024?
53:03 Банк России составил портрет жертвы кибермошенников
55:26 🎤 Mr. X и Олег Тиньков (признан иностранным агентом 16.02.2024, уже после публикации видео) поясняют за этот эпизод Прожектора по ИБ

RCE-уязвимость в Fortinet FortiOS и FortiProxy (CVE-2024-21762) эксплуатируется вживую

2 комментария

RCE-уязвимость в Fortinet FortiOS и FortiProxy (CVE-2024-21762) эксплуатируется вживую

RCE-уязвимость в Fortinet FortiOS и FortiProxy (CVE-2024-21762) эксплуатируется вживую. Неаутентифицированный злоумышленник может удалённо выполнять произвольный код с использованием вредоносных HTTP-запросов. В качестве воркэраунда можно отключить SSL VPN на уязвимых устройствах. Публичного эксплоита пока нет.

Если у вас по каким-то причинам всё ещё используются фортики, то нужно оперативно патчиться. На днях CISA выпустили подробный отчёт об использовании похожей RCE уязвимости FortiOS SSL-VPN (CVE-2022-42475) в атаках группировки Volt Typhoon. Также Tenable выпустили подборку из 6 CVE уязвимостей FortiOS разных лет используемых в реальных атаках.

Кроме CVE-2024-21762, также вышли фиксы для менее критичных уязвимостей FortiOS: CVE-2024-23113 (Format String Vulnerability), CVE-2023-47537 (Improper Certificate Validation), CVE-2023-44487 (против атаки HTTP/2 Rapid Reset)

На сайте Positive Technologies вышла занимательная статья от крутых ресерчеров из PT SWARM

1 комментарий

На сайте Positive Technologies вышла занимательная статья от крутых ресерчеров из PT SWARM

На сайте Positive Technologies вышла занимательная статья от крутых ресерчеров из PT SWARM.

🔹 За 2022–2023 годы PT SWARM выявили более 250 уязвимостей (70% уровня high и critical) в ПО 84 вендоров.
🔹 Половина вендоров из США, остальные из Китая (14%), Великобритании (13%), России (13%) и Франции (10%).
🔹 В процессе координированного раскрытия уязвимостей участвуют исследователи, вендор, регуляторы, организации-посредники (для общения с вендором или получения идентификаторов уязвимостей).
🔹 Если вендор не выходит на связь и не устраняет уязвимость, исследователи информируют государственные и международные организации (регуляторы, CERT-ы, базы уязвимостей) и влияют на вендора через них.
🔹 В желательный интервал по выходу вендора на связь от 1 дня до недели укладываются 57% вендоров. 16% вообще не отвечают.
🔹 В желательный интервал по выпускую патча для уязвимости от 1 дня до 2 недель укладываются 14% вендоров. 49% вендоров требуется на это три месяца.