Архив метки: Akira

Закругляю февраль традиционным англоязычным постом и видяшкой

Добавить комментарий

Закругляю февраль традиционным англоязычным постом и видяшкой. 🙂 Чуть-чуть поговорил про опенсурсные проекты (признаться, не было особо времени ими заниматься, пока одни намётки), про PT-шные активности и, естественно, про уязвимости (трендовые и не очень).

———

Feb­ru­ary 2024: Vul­re­mi, Vuldet­ta, PT VM Course relaunch, PT Trend­Vulns digests, Ivan­ti, Fortinet, MSPT, Lin­ux PW

Hel­lo every­one! In this episode, I will talk about the Feb­ru­ary updates of my open source projects, also about projects at my main job at Pos­i­tive Tech­nolo­gies and inter­est­ing vul­ner­a­bil­i­ties.

My Open Source projects
00:14 Vul­re­mi — a sim­ple vul­ner­a­bil­i­ty reme­di­a­tion util­i­ty
00:55 Vuldet­ta — an API for detect­ing vul­ner­a­bil­i­ties based on a list of Lin­ux pack­ages

Pos­i­tive Tech­nolo­gies
01:22 Two new video mod­ules for the relaunch of the Vul­ner­a­bil­i­ty Man­age­ment train­ing course
02:00 Month­ly digests of trend­ing vul­ner­a­bil­i­ties

Vul­ner­a­bil­i­ties
02:17 RCEs in the Ivan­ti Con­nect Secure, Ivan­ti Pol­i­cy Secure and Ivan­ti Neu­rons for ZTA (CVE-2024–21887, CVE-2023–46805, CVE-2024–21893)
03:47 Arbi­trary Code Exe­cu­tion vul­ner­a­bil­i­ty in Fortinet For­tiOS and For­tiProxy (CVE-2024–21762)
04:11 Cis­co ASA Infor­ma­tion Dis­clo­sure vul­ner­a­bil­i­ty (CVE-2020–3259) is used by the Aki­ra ran­somware
04:55 Feb­ru­ary Microsoft Patch Tues­day
07:14 Feb­ru­ary Lin­ux Patch Wednes­day

🎞 Video
📘 Blog­post
🎞 VKVideo

Прожектор по ИБ, выпуск №24 (24.02.2024): Душнилово про уязвимости, банки и никакого рэпа

Добавить комментарий

Прожектор по ИБ, выпуск №24 (24.02.2024): Душнилово про уязвимости, банки и никакого рэпа

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Максим Хараск, "Glob­al Dig­i­tal Space"
🔸 Антон Bo0oM 💣 Лопаницын, "Кавычка"

По-моему классный получился выпуск. Особенно здорово было послушать мнение Антона про уязвимости, сервисы сканирования интернета и борьбу с утечками. 👍😊🔥

00:00 Здороваемся, смотрим статистику, призываем всех подписываться, ставить лайки и шарить выпуск с друзьями
01:47 Для уязвимости Remote Code Exe­cu­tion — Microsoft Out­look (CVE-2024–21413) появился PoC на GitHub, который скорее всего уже используется в атаках и RedTeam-ерами
03:50 Можно ли верить Shad­owserv­er, что большая часть уязвимых Exchange серверов находится в Германии? И что там с российскими аналогами Shad­owserv­er и Shodan?
09:38 Уязвимость Cis­co ASA (CVE-2020–3259), обнаруженная исследователями Pos­i­tive Tech­nolo­gies 4 года назад, используется шифровальщиком Aki­ra для получения первоначального доступа
11:54 "Oper­a­tion Cronos" против группировки вымогателей Lock­Bit, возможная эксплуатация уязвимости Remote Code Exe­cu­tion — PHP (CVE-2023–3824) и насколько адекватно кодить на PHP в 2024 ("PHP снова жив!")
17:11 Февральский Lin­ux Patch Wednes­day и конспирология вокруг DNSSEC и Qualys-овских уязвимостей glibc 🙂
21:47 CVE-шки, которые упоминаются в "Check Point 2024 Cyber Secu­ri­ty Report".
25:20 RCE в Screen­Con­nect (CVE-2024–1708, CVE-2024–1709)
29:18 Поминаем Кивятничек и, ВНЕЗАПНО, обсуждаем стратегии инвестирования в акции/облигации (кулстори от Антона и Максима)
36:32 Перевозчиков хотят обязать передавать в единую базу много разных данных о пассажирах. Здесь же эксклюзивные рекомендации от Антона по добавлению pay­load-ов в пароли на случай утечек. 😉
40:55 Обратная новость: проект по запрету сбора избыточной информации о гражданах. Будет ли это работать и как сделать так, чтобы персональные данные не утекали?
46:53 «Тинькофф» научился выявлять заявки на кредиты, поданные под влиянием мошенников
51:53 Операторы программы-вымогателя Cac­tus украли 1,5 ТБ внутренних данных техногиганта Schnei­der Elec­tric
55:53 Прощание от Mr. X

Уязвимость Cisco ASA (CVE-2020–3259), обнаруженная исследователями Positive Technologies 4 года назад, используется шифровальщиком Akira для получения первоначального доступа

Добавить комментарий

Уязвимость Cisco ASA (CVE-2020-3259), обнаруженная исследователями Positive Technologies 4 года назад, используется шифровальщиком Akira для получения первоначального доступа

Уязвимость Cis­co ASA (CVE-2020–3259), обнаруженная исследователями Pos­i­tive Tech­nolo­gies 4 года назад, используется шифровальщиком Aki­ra для получения первоначального доступа.

🔸 Об этом 29 января сообщила команда форенсики шведской компании Truesec. Они обнаружили, что как минимум в 6 инцидентах связанных с шифровальщиком Aki­ra точкой входа была Cis­co Any­con­nect с уязвимостью CVE-2020–3259. 15 февраля уязвимость добавили в CISA KEV.

🔸 Уязвимость была обнаружена исследователями PT SWARM компании Pos­i­tive Tech­nolo­gies, Михаилом Ключниковым и Никитой Абрамовым, 6 мая 2020 года:

"Ее эксплуатация позволяет читать некоторые части динамической памяти устройства и получить актуальный идентификатор сессии пользователя, подключенного к Cis­co VPN. Используя клиент для Cis­co VPN, злоумышленник может указать украденный идентификатор сессии и войти во внутреннюю сеть организации. Кроме того, в памяти Cis­co ASA может храниться и другая конфиденциальная информация, которая поможет при дальнейших атаках, например имена пользователей, адреса электронной почты, сертификаты. Данная уязвимость также может быть реализована удаленно и не требует авторизации".

🔸 До этого информации об общедоступных эксплоитах для этой уязвимости не было. Но, как видим, использованию в атаках это не мешало. Причём непонятно когда именно началась эксплуатация. Truesec считают логины/пароли пользователей Cis­co Any­con­nect, которые существовали в системе до фикса CVE-2020–3259, скомпромитированными. Как и другие данные, которые могли засветиться на Anyconnect‑е. Также рекомендуют подключить двухфакторку и журналирование. И если вы вдруг не патчили эту уязвимость, то патчите конечно. А лучше импортозамещайтесь поскорее. 😉