Про уязвимость Path Traversal - Zyxel firewall (CVE-2024-11667)

Про уязвимость Path Traversal - Zyxel firewall (CVE-2024-11667)

Про уязвимость Path Traversal - Zyxel firewall (CVE-2024-11667). Уязвимость обхода директорий в веб-интерфейсе управления файерволов Zyxel позволяет неаутентифицированному злоумышленнику загружать или выгружать файлы через специальный URL-адрес. Уязвимости подвержены версии прошивки Zyxel ZLD от 5.00 до 5.38, используемые в сериях устройств ATP, USG FLEX, USG FLEX 50(W) и USG20(W)-VPN.

👾 Специалисты из компании Sekoia обнаружили на своих ханипотах эксплуатацию этой уязвимости рансомварщиками из группы Helldown. Публичных эксплоитов пока нет.

Zyxel рекомендуют:

🔹Обновить прошивку до версии 5.39, которая вышла 3 сентября 2024
🔹Отключить удалённый доступ до обновления устройств
🔹Изучить лучшие практики по конфигурированию устройств

Если в вашей компании используются файерволы Zyxel, обратите внимание. 😉

Мои коллеги по PT Expert Security Center (PT ESC, @ptescalator) собрали папку с 15 каналами по ИБ

Мои коллеги по PT Expert Security Center (PT ESC, @ptescalator) собрали папку с 15 каналами по ИБ

Мои коллеги по PT Expert Security Center (PT ESC, @ptescalator) собрали папку с 15 каналами по ИБ. "Управление Уязвимостями и прочее" тоже туда добавили, за что большое спасибо! 😇

Честно говоря, я из этой подборки знал только, собственно, ESCalator и SecAtor. 😅 Добавил себе эту папку, прошёлся по каналам. В основном там всякие крутые ребята-исследователи, которые пишут о хардкорных вещах на умном. 🤯👍 Не то, что всякие ИБ блогеры-шоумены, пересказывающие одни и те же новости по 20 раз для ширнармасс. 🙃

🗂 Натаскал себе в папочку ИБ экспертов, буду просвещаться. Рекомендую подписаться и пошарить папку со знакомыми. 😉

Про уязвимость Elevation of Privilege - PAN-OS (CVE-2024-9474)

Про уязвимость Elevation of Privilege - PAN-OS (CVE-2024-9474)

Про уязвимость Elevation of Privilege - PAN-OS (CVE-2024-9474). Злоумышленник, имеющий доступ к веб-интерфейсу управления устройств Palo Alto с правами администратора PAN-OS, может выполнять действия на устройстве от root-а. Эксплуатация строится на том, что в одном из скриптов (createRemoteAppwebSession.php) не проверяются входные данные и это позволяет делать инъекцию Linux-овых команд.

Необходимость аутентификации и получения админских прав делали бы уязвимость малополезной. Но тут вспоминаем про предыдущую уязвимость Authentication Bypass - PAN-OS (CVE-2024-0012). 😏 В Palo Alto заметили эксплуатацию цепочки этих уязвимостей 17 ноября. После 19 ноября, когда вышла статья от watchTowr Labs и появились рабочие эксплоиты, начались массовые атаки.

21 ноября Shadowserver сообщали о компрометации ~2000 хостов, в основном в США и Индии. По данным Wiz, злоумышленники развёртывали на них веб-шеллы, импланты Sliver и криптомайнеры.

В следующий четверг, 5 декабря, буду модерировать секцию "Анализ защищённости и расследование инцидентов" на КОД ИБ ИТОГИ 2024

В следующий четверг, 5 декабря, буду модерировать секцию Анализ защищённости и расследование инцидентов на КОД ИБ ИТОГИ 2024

В следующий четверг, 5 декабря, буду модерировать секцию "Анализ защищённости и расследование инцидентов" на КОД ИБ ИТОГИ 2024. По формату: 5 докладов по 15 минут + дискуссия. Поговорим об изменения ландшафта уязвимостей и методов, используемых злоумышленниками для проведения кибератак, а также о развитии технологий расследования, противодействия и профилактики инцидентов ИБ.

Вопросы на обсуждение:

🔹 Каким был год с точки зрения описания, детектирования, приоритизации и устранения уязвимостей?
🔹 Какие уязвимости стали трендовыми в 2024 году?
🔹 Какие типы атак были самыми популярными в 2024 году?
🔹 Как изменились цели и методы хакеров по сравнению с предыдущими годами?
🔹 Какие уязвимости оказались наиболее востребованными у злоумышленников?
🔹 Примеры реальных инцидентов
🔹 Как изменились методы расследования инцидентов?
🔹 Прогнозы на 2025 год

Регистрация на мероприятие с 9:30. Начало нашей секции в 12:00, приходите. 🙂

Про уязвимость Authentication Bypass - PAN-OS (CVE-2024-0012)

Про уязвимость Authentication Bypass - PAN-OS (CVE-2024-0012)

Про уязвимость Authentication Bypass - PAN-OS (CVE-2024-0012). Неаутентифицированный злоумышленник, имеющий сетевой доступ к веб-интерфейсу управления устройств Palo Alto, может получить привилегии администратора PAN-OS для выполнения административных действий, изменения конфигурации или эксплуатации других уязвимостей, для которых требуется аутентификация. Уязвимы файерволы серий PA, VM, CN и платформа управления Panorama. Вендор рекомендует ограничить доступ к веб-интерфейсу управления только доверенными внутренними IP-адресами.

🔻 8 ноября был опубликован бюллетень Palo Alto
🔻 15 ноября появились признаки атак, которые Palo Alto обозначили как "Operation Lunar Peek"
🔻 18 ноября уязвимость была добавлена в CISA KEV
🔻 19 ноября исследователи watchTowr Labs выпустили пост с техническими деталями ("укажите значение off в заголовке HTTP-запроса X-PAN-AUTHCHECK, и сервер любезно отключит аутентификацию") 😏 и на GitHub практически сразу появились эксплоиты

11 декабря в Москве пройдёт конференция по ИБ "VK Security Сonfab Max", осталась пара дней до завершения CFP!

11 декабря в Москве пройдёт конференция по ИБ VK Security Сonfab Max, осталась пара дней до завершения CFP!

11 декабря в Москве пройдёт конференция по ИБ "VK Security Сonfab Max", осталась пара дней до завершения CFP! Раньше коллеги из VK-шечки проводили только ИБ-митапы (весьма крутые 🙂), а теперь замахнулись на полноценную собственную конфу на целый день с 11:00 до 19:00 + Афтепати до 22:00.

📩 До 29 ноября можно успеть подать доклад на CFP. Форматы выступления 15, 30 и 50 минут (+10 минут на вопросы).

Приятная фишечка: обещают выделить тихую зону коворкинга с розетками и столами, чтобы можно было поработать в течение дня. 👍

➡️ Бесплатная регистрация на сайте

Уютненький канал "Управления Уязвимостями и прочее" в информационных партнерах мероприятия, поэтому буду подсвечивать интересное. 😉

Посмотрел вебинар по HScan

Посмотрел вебинар по HScan

Посмотрел вебинар по HScan. Выглядит как приличный сканер. С таким Nessus-ным вайбом, но с активами. Выросли из пентестов и аудитов ИБ в Крайон. Говорят, что ядро полностью своё. Первая версия была 2 года назад. Сертификата ФСТЭКа пока нет, но в процессе.

Из интересного:

🔹 Аудит DC. Похоже на отстройку от Tenable Identity Exposure (бывший Tenable AD).

🔹 Локальный AI, обучающийся на результатах сканов для повышения качества детекта сервисов, служб и ОС в случаях сканирования без аутентификации.

По полноте базы детектов уязвимостей непонятно. 🤷‍♂️ Linux/Windows могут (SSH/WinRM). 1С-Битрикс, Astra Linux могут. Конкретнее нужно смотреть. 🔍 Обновление базы раз в 6 часов. Описание уязвимостей на английском и русском.

Есть энтерпрайзные фишки: API, 2FA, роли для учёток.

💵 Стоит 2400 р. за хост в год, закупка от 300 000 р. Сканы в режимах "Маппинг cети" и "Поиск хостов" без лицензионных ограничений.

Роадмап закрытый.