Вышел выпуск новостей SecLab-а с моей рубрикой по трендовым уязвимостям марта. 🙂 Пятиминутная рубрика "В тренде VM" начинается с 16:43. 🎞
По сравнению с прошлым месяцем, в рубрике чуть поменьше мемчиков и шутеек, чуть побольше фактологии.
Основным ведущим выпуска в этот раз был Денис Батранков, Александр Антипов пока в отпуске.
Подробности по трендовым уязвимостям марта читайте в дайджесте и на Хабре.
Новый трек про потенциальную апрельскую zero-click RCE уязвимость в Telegram. 🙂 Рифмованная переработка предыдущего поста.
На прошлой неделе разыгралась драма:
Якобы zero-click RCE в Windows клиенте Телеграма.
Злодей засылает картинку тебе, друже,
И запускает калькулятор или что похуже.
Или даже не конкретно тебе, не столь важен адресат,
Это может быть и какой-нибудь общий чат.
Главное, включенная автозагрузка изображений.
Неужели правда?! Есть несколько мнений.
Разрабы Телеграма отрицают фаталити.
Есть что показать? Шлите на bug bounty!
За 10к баксов. Верить ли видео? Решай сам.
Вполне может быть и какой-то скам.
Однако, как по мне, это видео реальное,
Хотя и ситуация не такая фатальная.
Это не zero-click, а запускает зловреда тушку
Беспечный клик жертвы на превьюшку.
Этот клик запускает файл .pyzw,
Если не знаешь что это, сейчас поясню.
Исполняемый zip-архив с программой на Питон.
Запускать такое по клику в мессенджере - страшный сон.
И Телеграм такое должен бы блокировать вроде
Если бы не досадная опечатка в коде…
Но почему это файл показывается как картинка?
Похоже наложилась в детeкте по Mime-type ошибка.
Короче, по в вопросу zero-click RCE в Telegram ставим пока многоточие…
А ты подпишись на канал avleonovrus "Управление Уязвимостями и прочее". 😉
Эксплуатируемая вживую уязвимость Remote Code Execution - Palo Alto Networks PAN-OS (CVE-2024-3400) с CVSS 10/10. Продолжаю играться с музыкальной подачей. 😅
RCE в NGFW от Palo Alto…
Максимальная критичность и атаки in the wild…
Palo Alto шлёт горячий пятничный привет
Инъекция команды в фиче GlobalProtect
Без аутентификации и без хлопот
Злодей исполнит от root-а произвольный код
(chorus)
RCE в файрволе от Пальто
Реальное Next Generation решето
CVSS десятка - опять!
Давно пора его импортозамещать!
Согласно ShadowServer в России в данный момент
600 хостов с Palo Alto доступно из Интернет
На общем фоне немного, это да
Но ты проверь своё пальто, чтоб не случилась беда
Хорошего уикенда, планета Земля!
Удачи с фиксом CVE-2024-3400!
Уязвимые версии:
🔹 PAN-OS 11.1: версии 11.1.2-h3
🔹 PAN-OS 11.0: версии 11.0.4-h1
🔹 PAN-OS 10.2: версии 10.2.9-h1
Upd. 15.04 "Исправления PAN-OS теперь доступны, и на подходе новые исправления, разъяснены workaround-ы и меры по снижению рисков при использовании шаблонов Panorama".
Эксплуатация трендовой RCE уязвимости в Outlook (CVE-2024-21378) с помощью утилиты Ruler работает! В статье на хабре по трендовым уязвимостям марта я писал буквально следующее:
"Кроме того, исследователи обещают добавить функциональность по эксплуатации в опенсорсную утилиту Ruler.
Ruler — это инструмент, который позволяет удаленно взаимодействовать с серверами Exchange через протокол MAPI/HTTP или RPC/HTTP.
Основная задача утилиты — злоупотреблять клиентскими функциями Outlook и получать удаленный шелл.
Эта утилита используется для проведения пентестов. Но разумеется, ее могут эксплуатировать в своих атаках и злоумышленники."
И вот эту функциональность добавили. А коллеги из PT SWARM её протестировали. Работает. 🔥 📐📏
Ждём сообщений об эксплуатации вживую. 😈
В видяшке я балуюсь с нейросеточкой от SUNO AI, которая генерит песню по любому тексту и описанию стиля меньше чем за минуту. 😇 Не обязательно по зарифмованному тексту, вот например абсолютно генеальный трек по рецепту шашлыка в аджике. 😅 Вот ещё песня Винни-Пуха крутая. Или вот "Встань, страх преодолей" в стиле блюз, это я сам генерил. 🙂 В день можно запускать 5 бесплатных генераций. С российских IP сервис иногда не работает. 🤷♂️
Как мы предполагали,
И как NetSPI писали,
Они закантрибьютили
В Ruler свой эксплоит.
(RCE в Outlook)
PT SWARM всё проверил –
Pаботает, как надо.
No back connect required!
Для Outlook вектор надежный и простой.
Но ты услышав это не паникуй не плач
Заставь айтишников поставить патч!
Outlook запатчить не такая канитель
Ведь патч февральский, а сейчас апрель.
Пока в вашу инфру не влез злодей…
Хороший концерт. Больше всего понравилось красивое симфоническое вступление перед "Великаном" (24:33), мощное "У шамана три руки" (1:19:07) и трогательное "Там, на самом на краю Земли" c фонариками (1:34:51).
Всем невинно убиенным в Крокусе царствие небесное и светлая память!
Здоровья и скорейшего выздоровления раненым.
Самой лютой кары всем причастным к ужасному злодеянию.
Выхожу на широкую аудиторию: рассказываю про трендовые уязвимости в выпуске новостей SecLab-а. 🤩 Рубрика "В тренде VM" начинается с 16:05. 🎞
По контенту это февральский дайджест трендовых уязвимостей, но поданный в более живом формате: простыми фразами, со всякими прикольными перебивками, мемасиками, шутейками и прочим. Как это сейчас принято в эдьютейнменте. 😏 Уровень продакшена у команды SecLab News, конечно, потрясный. Круче я пока не видел. Очень профессиональные ребята, работать одно удовольствие. 🔥
В общем, пробный шар пущен - дальнейшая судьба рубрики (а может и не только рубрики 😉) зависит от вас.
➡️ Перейдите, пожалуйста, по ссылке, посмотрите выпуск, поставьте лайк, оставьте комментарий по поводу рубрики. Что понравилось, что можно было бы и получше сделать.
Прям очень ждём ваш фидбек. 🫠
Закругляю февраль традиционным англоязычным постом и видяшкой. 🙂 Чуть-чуть поговорил про опенсурсные проекты (признаться, не было особо времени ими заниматься, пока одни намётки), про PT-шные активности и, естественно, про уязвимости (трендовые и не очень).
———
February 2024: Vulremi, Vuldetta, PT VM Course relaunch, PT TrendVulns digests, Ivanti, Fortinet, MSPT, Linux PW
Hello everyone! In this episode, I will talk about the February updates of my open source projects, also about projects at my main job at Positive Technologies and interesting vulnerabilities.
My Open Source projects
00:14 Vulremi - a simple vulnerability remediation utility
00:55 Vuldetta - an API for detecting vulnerabilities based on a list of Linux packages
Positive Technologies
01:22 Two new video modules for the relaunch of the Vulnerability Management training course
02:00 Monthly digests of trending vulnerabilities
Vulnerabilities
02:17 RCEs in the Ivanti Connect Secure, Ivanti Policy Secure and Ivanti Neurons for ZTA (CVE-2024-21887, CVE-2023-46805, CVE-2024-21893)
03:47 Arbitrary Code Execution vulnerability in Fortinet FortiOS and FortiProxy (CVE-2024-21762)
04:11 Cisco ASA Information Disclosure vulnerability (CVE-2020-3259) is used by the Akira ransomware
04:55 February Microsoft Patch Tuesday
07:14 February Linux Patch Wednesday