Архив рубрики: Уязвимость

Инфразитор (часть 1)

Инфразитор (часть 1)

Инфразитор (часть 1). Выкладываю рассказ 2022 года. Посвящается памяти Владимира Безмалого.

Штурм замка Барона фон Вагнера войсками Епископа Оснабрюкского длился уже третий час. Под градом стрел крестьяне Епископа засыпали участок защитного рва перед подвесным мостом. Таран со скрипом подъехал к воротам замка и с десятого удара разбил их. Рыцари Епископа хлынули внутрь и ввязались в схватку с булавоносцами и лучниками Барона. Ряды защитников замка редели, им пришлось отойти в каменную башню. Лучник третьего отряда Брайен Гофман вбежал в башню предпоследним. Кованые двери башни захлопнулись, и их тотчас заперли на тяжёлые засовы. Брайен бегом поднялся к бойницам пятого этажа. Враги приближались. Он без остановки заряжал лук, наскоро целился и отпускал тетиву. Брайен стрелял метко, но усталость накапливалась, а стрелы заканчивались. До подхода подкрепления паре десятков бойцов нужно было продержаться ещё полчаса.

Внезапно яркая вспышка ослепила Брайена. Когда зрение восстановилось, он обнаружил себя сидящим в металлическом кресле в комнате со светящимися белыми стенами. Напротив Брайена сидел мужчина в чёрной робе с медальоном на груди. Рядом с ним в воздухе парило странное существо. Существо представляло собой четыре горящих колеса, вращающихся в различных направлениях вокруг единого центра. Колёса были покрыты глазами, которые смотрели на Брайена.

- Что происходит?! Кто вы?!

Ответа не последовало. Брайен попытался встать. Неудачно. Металлические пластины крепко фиксировали его руки и ноги.

- Компьютер, выход в главное меню! Компьютер, аварийный выход! - прокричал Брайен.

- Добрый день, мистер Гофман, - произнёс мужчина в чёрном. - Пожалуйста, успокойтесь. Вы уже не в игре. И нам придётся побеседовать. Меня зовут Максимилиан Дерайсон. Я представляю корпорацию TEMPLA. А это, - он указал на летающее существо, - мой коллега. Курувим, объясните, пожалуйста, мистеру Гофману суть дела.

- 29 января в 01:35 GMT с Гипернет адресов, закреплённых за устройствами мистера Гофмана была осуществлена сетевая атака на инфраструктуру LifeBank, - проговорило существо нейтральным, скорее женским голосом. - Было выполнено полное сканирование портов на 50 хостах, 237 попыток аутентификации со стандартными учётными записями, 45 попыток применения эксплоитов для известных уязвимостей, рассылки писем 73 сотрудникам LifeBank с вредоносным содержимым. Все письма были обнаружены и отозваны до прочтения.

- Это всё какой-то бред, - произнёс Брайен растерянно. - Я не имею к этому никакого отношения! Я требую адвоката!

Дерайсон улыбнулся.

- Ну что вы, какой адвокат. Вы же не на допросе. А имеете ли вы отношение к атаке мы сейчас проверим.

На стене появились изображения с камер видеонаблюдения в квартире Брайена Гофмана. В одной из комнат стояло рабочее кресло, в котором находилось тело Брайена в VR-шлеме. Дверь в квартиру открылась и в неё въехали 4 робота. У каждого было по 6 рук-манипуляторов и по несколько камер на головах. Роботы разъехались по комнатам и стали производить осмотр и разбор вещей.

- У вас есть ордер на обыск? Вы не имеете права! Это какой-то произвол! - не унимался Брайен.

- Разве это обыск? Это инвентаризация, - усмехнулся Максимилиан. - Все активные хосты мы можем проверить, подключившись к внутренней сети вашей квартиры. И мы это уже сделали. Но нас также интересует и то, что может быть выключено или может подключаться к сети периодически.

Роботы фиксировали все электронные устройства с поддержкой Гипернет, подключались и копировали с них данные. Домашний сервер, ноутбуки, смартфоны, камеры, бытовая техника. Через 15 минут они закончили и покинули квартиру Брайена.

- Инвентаризация и анализ завершён, - произнёс Курувим. - Внутренняя сеть содержит следы компрометации. Точка входа - необновлённые камеры наблюдения доступные через Гипернет. Получив доступ к камерам, злоумышленники смогли попасть в сеть квартиры, скомпрометировали необновлённый домашний сервер, а затем использовали его в атаках на LifeBank.

Часть 2

Новогодняя VM-ная песенка

🎶 Новогодняя VM-ная песенка. 🙂

В Новый Год на ёлочке огоньки горят.
В этот день подарку каждый будет рад.
Что же нам достанется? Непростой вопрос,
Ведь сюрприз готовит нам не только Дед Мороз!

В мрачной тёмной комнате у компа сидит
В худи и наушниках асоциальный тип.
Ему не нужен праздник, весёлый шум и гам.
Write up-ы он читает и ревёрсит патчи сам.

Как от уязвимости разраб избавил код
Этот тип асоциальный обязательно поймёт.
Эксплоит разработает, добавит его в малварь,
Тем расширив свой зловредный инвентарь.

Чтобы этот тип не нанёс тебе вреда,
Обновляй свои системы своевременно!

Всех с Новым Годом! С праздником, друзья!
Счастья, здоровья, удачи во всём! 🎉

Upd. Выложил клип на VK видео, RUTUBE и YouTube.

Про уязвимость Denial of Service - PAN-OS (CVE-2024-3393)

Про уязвимость Denial of Service - PAN-OS (CVE-2024-3393)

Про уязвимость Denial of Service - PAN-OS (CVE-2024-3393). PAN-OS - операционная система, используемая во всех NGFW от Palo Alto Network. Бюллетень вендора вышел 27 декабря. Неаутентифицированный злоумышленник может отправить вредоносный DNS-пакет через плоскость данных (data plane) файервола, что вызовет перезагрузку устройства. А повторная эксплуатация уязвимости переведёт устройство в режим обслуживания (maintenance mode). Для эксплуатации на NGFW должна быть включена опция логирования функции "DNS Security".

👾 Palo Alto уже детектировали атаки с использованием этой уязвимости. Публичных эксплоитов пока не видно.

👀 CyberOK детектируют в Рунете более 500 инсталляций с PAN-OS, из которых 32 потенциально уязвимы. Кроме того, на 218 узлах используется PAN-OS версии 11.0.x, которые с 17 ноября уже не поддерживаются вендором.

🔧 Для устранения уязвимости необходимо обновить устройство или, как workaround, отключить опцию логирования функции "DNS Security".

Коллеги из Код ИБ отметили меня в номинации "Лучший Спикер Года" на Котуснике

Коллеги из Код ИБ отметили меня в номинации Лучший Спикер Года на Котуснике

Коллеги из Код ИБ отметили меня в номинации "Лучший Спикер Года" на Котуснике. Очень приятненько. 😇 Большое спасибо! Всех поздравил, рассказал про запомнившиеся кейсы года, пожелал своевременно устранять критичные уязвимости в наступающем году (а критичные уязвимости будут обязательно). 😉

Новый выпуск "В тренде VM": горячие уязвимости ноября, управление уязвимостями без бюджета и кто должен искать патчи

Новый выпуск "В тренде VM": горячие уязвимости ноября, управление уязвимостями без бюджета и кто должен искать патчи. Конкурс на лучший вопрос по теме VM-а продолжается. 😉🎁

📹 Ролик на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Содержание:

🔻 00:33 Уязвимость раскрытия хеша NTLMv2 в Windows (CVE-2024-43451)
🔻 01:20 Уязвимость повышения привилегий в Windows Task Scheduler (CVE-2024-49039)
🔻 02:20 Уязвимость подмены отправителя в Microsoft Exchange (CVE-2024-49040)
🔻 03:07 Уязвимости повышения привилегий в утилите needrestart (CVE-2024-48990)
🔻 04:15 Уязвимость удаленного выполнения кода в FortiManager (CVE-2024-47575)
🔻 05:23 Уязвимость обхода аутентификации в веб-интерфейсе PAN-OS (CVE-2024-0012)
🔻 06:36 Уязвимость повышения привилегий в PAN-OS (CVE-2024-9474)
🔻 07:46 Уязвимость обхода каталога в межсетевых экранах Zyxel (CVE-2024-11667)
🔻 08:41 Можно ли заниматься Управлением Уязвимостями без бюджета?
🔻 09:57 Кто должен искать патчи для устранения уязвимостей?
🔻 10:55 Полный дайджест с трендовыми уязвимостями
🔻 11:22 Бэкстейдж

Декабрьский Linux Patch Wednesday

Декабрьский Linux Patch Wednesday

Декабрьский Linux Patch Wednesday. Всего 316 уязвимостей. По сравнению с ноябрьским - по-божески. 🙂 Из них 119 в Linux Kernel.

Две уязвимости
с признаками эксплуатации вживую. Обе в Safari:

🔻 RCE - Safari (CVE-2024-44308)
🔻 XSS - Safari (CVE-2024-44309)

В Linux дистрибутивах эти уязвимости исправляют не в Safari, а в пакетах опенсурсного браузерного движка WebKit.

Для 19 уязвимостей признаков эксплуатации вживую пока нет, но есть эксплоиты. Можно выделить следующие:

🔸 RCE - Moodle (CVE-2024-43425). Исправлена в августе, но первый фикс в репозитории Linux-вендора появился 2024-11-21 (RedOS)
🔸 Command Injection - Grafana (CVE-2024-9264)
🔸 Command Injection - virtualenv (CVE-2024-53899)
🔸 SQLi - Zabbix (CVE-2024-42327)
🔸 Data Leakage - Apache Tomcat (CVE-2024-52317)

🗒 Отчёт Vulristics по декабрьскому Linux Patch Wednesday

🎉🆕 Зарелизил Vulristics 1.0.9 с улучшенным детектированием уязвимого софта по описанию CVE.

Вчера выступал на итоговой пресс-конференции Positive Technologies за 2024 год

Вчера выступал на итоговой пресс-конференции Positive Technologies за 2024 год

Вчера выступал на итоговой пресс-конференции Positive Technologies за 2024 год. В зале боксёрского клуба The Corner собралось 40 журналистов. Кроме того, была трансляция для журналистов из регионов. С короткими докладами выступали 20 спикеров от Positive Technologies: директора и руководители направлений. Кажется среди всех рядовым экспертом был только я один. 😅 Благодарен коллегам за оказанное доверие! Уровень ощутил! 👍

Я рассказывал про трендовые уязвимости года. Примерно как на конфе VK, только очень сжато, буквально за 5 минут. Всё прошло вполне успешно. 🙂

На этом публичные выступления в этом году завершаю. 🎉😌