Архив метки: CISAKEV

Повышение критичности уязвимости Elevation of Privilege - Windows Error Reporting Service (CVE-2024-26169)

2 комментария

Повышение критичности уязвимости Elevation of Privilege - Windows Error Reporting Service (CVE-2024-26169)

Повышение критичности уязвимости Elevation of Privilege - Windows Error Reporting Service (CVE-2024-26169). В случае успешной эксплуатации злоумышленник может получить привилегии SYSTEM. Уязвимость была исправлена в мартовском Microsoft Patch Tuesday. Как это частенько бывает, тогда эту уязвимость никто не выделял. 🤷‍♂️

Однако, через 3 месяца, 12 июня, исследователи Symantec сообщили об атаках, связанных с известным шифровальщиком Black Basta, в которых использовались эксплоиты для данной уязвимости. Если верить меткам времени компиляции, эти эксплоиты были созданы задолго до выхода патчей от Microsoft, в феврале 2024 или даже в декабре 2023 года. Конечно, эти временные метки злоумышленники могли и подделать, но зачем? 🤔

13 июня уязвимость была добавлена в CISA KEV. В паблике эксплоита пока не видно.

Мораль та же: оценка и приоритизация уязвимостей хорошо, а регулярная безусловная установка обновлений - лучше.

Распишу по поводу эксплуатируемой вживую уязвимости Information Disclosure - Check Point Security Gateway (CVE-2024-24919)

Добавить комментарий

Распишу по поводу эксплуатируемой вживую уязвимости Information Disclosure - Check Point Security Gateway (CVE-2024-24919)

Распишу по поводу эксплуатируемой вживую уязвимости Information Disclosure - Check Point Security Gateway (CVE-2024-24919). 28 мая Check Point выпустили бюллетень безопасности, в котором сообщили о критичной уязвимости Check Point Security Gateway, сконфигурированных с программными блейдами "IPSec VPN" или "Mobile Access".

📖 Практически сразу появились технические подробности по уязвимости. Уязвимость позволяет неаутентифицированному удаленному злоумышленнику прочитать содержимое произвольного файла, расположенного на уязвимом устройстве. Таким образом злоумышленник может прочитать файл /etc/shadow и хэши паролей локальных учетных записей, включая учетные записи, используемые для подключения к Active Directory. Злоумышленник может получить пароли по хэшам, и затем использовать эти пароли для аутентификации и дальнейшего развития атаки. Если, конечно, Security Gateway разрешает аутентификацию только по паролю.

🔨 Эксплуатация уязвимости тривиальная - достаточно одного Post-запроса, на GitHub-е уже множество скриптов для этого.

👾 Попытки эксплуатации уязвимости были зафиксированы с 7 апреля, т.е. за 1,5 месяца до появления исправления от вендора. Уязвимость уже в CISA KEV.

Уязвимы продукты:

🔻 CloudGuard Network
🔻 Quantum Maestro
🔻 Quantum Scalable Chassis
🔻 Quantum Security Gateways
🔻 Quantum Spark Appliances

🔍 Сколько может быть уязвимых хостов? Qualys-ы нашли 45 000 в Fofa и около 20 000 в Shodan. Больше всего, разумеется, находится в Израиле. России в ТОП-5 стран нет. Для России Fofa показывает 408 хостов. 🤷‍♂️

🩹 На сайте вендора приводятся хотфиксы, скрипт для проверки на компрометацию и рекомендации по харденингу устройств.

Курьёзней трендовой январской уязвимости в GitLab, позволяющей восстанавливать пароль от аккаунта на левый email (CVE-2023-7028), только то, что в CISA заметили признаки активной эксплуатации этой уязвимости через 3,5 месяца после её публикации и появления тривиального эксплоита

Добавить комментарий

Курьёзней трендовой январской уязвимости в GitLab, позволяющей восстанавливать пароль от аккаунта на левый email (CVE-2023-7028), только то, что в CISA заметили признаки активной эксплуатации этой уязвимости через 3,5 месяца после её публикации и появления тривиального эксплоита

Курьёзней трендовой январской уязвимости в GitLab, позволяющей восстанавливать пароль от аккаунта на левый email (CVE-2023-7028), только то, что в CISA заметили признаки активной эксплуатации этой уязвимости через 3,5 месяца после её публикации и появления тривиального эксплоита. 🐢 Если верить Shadowserver, то сейчас в России больше всего в мире уязвимых GitLab хостов доступных из Интернет (367). На втором месте США (356), а далее Китай (350).

26 марта CISA добавили в KEV уязвимость Remote Code Execution - Microsoft SharePoint Server (CVE-2023-24955)

Добавить комментарий

26 марта CISA добавили в KEV уязвимость Remote Code Execution - Microsoft SharePoint Server (CVE-2023-24955)
26 марта CISA добавили в KEV уязвимость Remote Code Execution - Microsoft SharePoint Server (CVE-2023-24955)

26 марта CISA добавили в KEV уязвимость Remote Code Execution - Microsoft SharePoint Server (CVE-2023-24955).

🔹 Эта уязвимость из майского Patch Tuesday 2023 года. Я её тогда выделил в обзоре, т.к. эту уязвимость показали на Pwn2Own Vancouver, а значит для неё был приватный эксплоит, который рано или поздно появился бы в паблике.
🔹 В паблике эксплоит появился 26 сентября 2023 года.
🔹 19 января 2024 года вышел модуль для метасплоита, который эксплуатировал эту уязвимость вместе с обходом аутентификации SharePoint (CVE-2023-29357), исправленную в июне 2023 года.
🔹 Сейчас видимо пошли подтвержденные атаки именно для CVE-2023-24955. 👾

Мораль? Обновляйтесь заранее, обращайте внимание на уязвимости продемонстрированные на Pwn2Own мероприятиях.

🟥 Positive Technologies относит эту уязвимость к трендовым с 27 сентября 2023 года. Т.е. мы отметили её как супер-критичную за полгода до появления в CISA KEV.

Посмотрел VulnCheck KEV

Добавить комментарий

Посмотрел VulnCheck KEV
Посмотрел VulnCheck KEVПосмотрел VulnCheck KEVПосмотрел VulnCheck KEVПосмотрел VulnCheck KEVПосмотрел VulnCheck KEVПосмотрел VulnCheck KEV

Посмотрел VulnCheck KEV. Это аналог CISA KEV (Know Exploited Vulnerabilities) от компании VulnCheck.

🔹 В отличие от общедоступного CISA KEV, доступ к VulnCheck KEV имеют только зарегистрированные пользователи. Сам сайт VulnCheck доступен с российских IP 🇷🇺, но при регистрации пишут, что "заявка на модерации" (никакой модерации там нет, заявки просто блокируют 🥸). С нероссийских IP регистрируют автоматически. Хитрецы. 🌝
🔹 В базе в ~2 раза больше CVE, чем в CISA KEV.
🔹 Штатных средств для выгрузки всех этих CVE через web-gui нет. Возможно можно через API. 🤷‍♂️
🔹 Для CVE есть ссылки на эксплоиты. Вроде без особого мусора. 👌
🔹 Есть признаки эксплуатации вживую. Иногда там что-то понятное, типа ссылки на pdf-репорт а-ля "Outbreak Alerts 2023". Иногда непонятное типа ссылки на дашборд Shadowserver или блогпост, в котором эксплуатация CVE не упоминается. 🤷‍♂️

В общем, подборка CVE довольно интересная, но нужно улучшать обоснования эксплуатации вживую. 😉

Прожектор по ИБ, выпуск №19 (22.01.2024): VM-щик на час и это печать

Добавить комментарий

Прожектор по ИБ, выпуск №19 (22.01.2024): VM-щик на час и это печать

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"
🔸 Антон Bo0oM 💣 Лопаницын, "Кавычка"

Снова в усиленном составе. В этом выпуске обсуждали художественную литературу 🧐📕, импортозамес (тем кто активно хейтил мой пост на эту тему - зацените, вполне возможно Антон и Лев критиковали мои предложения именно с ваших позиций; если нет, то оставьте коммент 😉), громкие критичные уязвимости, инциденты, интересные новости и статьи. А под конец выпуска Максим зачитал суровую рэпчину в свой новый микрофон. 😎🎤

00:00 Смотрим статистику по просмотрам и продолжение к "Двухфакторка рулит. GitLab - решето."
02:16 Обсуждаем художественную литературу: "Девушка с татуировкой дракона" Стиг Ларссон, романы Пелевина, "Задача трёх тел" Лю Цысинь, романы про попаданцев на AuthorToday
13:15 Импортозамещаем MS SharePoint
14:53 Импортозамещаем Cisco Unity Connection и обсуждаем использование решений из дружеских стран
20:34 Импортозамещаем GitLab и обсуждаем есть ли в этом смысл
24:16 Импортозамещаем Ivanti Connect Secure и Cisco AnyConnect
29:08 Мемасики
31:56 В Juniper-ах очередная preAuth RCE (CVE-2024-21591) с возможностью получить root-а на устройстве
34:10 Подмена прошивки в умном термостате Bosch BCC100 (CVE-2023-49722) и услуга VM-щик на час
38:06 Microsoft обвинила русских хакеров в атаке по своим системам
40:11 Очередная критичная RCE в Confluence (CVE-2023-22527)
41:43 Январский Linux Patch Wednesday
43:13 Лев комментирует пост Алекся Лукацкого: У традиционных SIEM, архитектура которых создавалась совсем в другое время, существует целый ряд проблем, которые заставляют задуматься об их будущем
47:46 В блоге Qualys вышел занимательный пост про проблемы детектирования "глубоко встроенных уязвимостей"
50:05 Исследователь, который в прошлый раз взломал «Хонду», продолжает рассказывать о своих находках
52:29 Пришёл Максим с новым микрофоном
53:29 Студент сингапурского ВУЗа автоматизировал процесс взлома с использованием чат-бота ChatGPT
55:45 ОреnАI плотно работает с военными США над инструментами кибербезопасности
59:43 Роскомнадзор создаст базу данных геолокации отечественных IP-адресов
1:01:26 Суровая заключительная рэпчина от Mr. X 🎤

Июньская Authentication Bypass уязвимость Sharepoint (CVE-2023-29357) в активной эксплуатации

4 комментария

Июньская Authentication Bypass уязвимость Sharepoint (CVE-2023-29357) в активной эксплуатацииИюньская Authentication Bypass уязвимость Sharepoint (CVE-2023-29357) в активной эксплуатации

Июньская Authentication Bypass уязвимость Sharepoint (CVE-2023-29357) в активной эксплуатации. Её добавили в CISA KEV. У Microsoft эта уязвимость идёт как EoP, но описание у неё говорит об AuthBypass. Удаленный неутентифицированный злоумышленник может получить привилегии аутентифицированного пользователя на уязвимом сервере, отправив поддельный токен аутентификации JWT. Для того, чтобы злоумышленник мог воспользоваться этой уязвимостью, не требуется никакого взаимодействия с пользователем.

Уязвимость была продемонстрирована Pwn2Own Vancouver в марте 2023. И вот где-то через полгода после выхода патча пошли реальные атаки.

Если у вас в инфре есть Sharepoint сервер, который более полугода не обновлялся - обратите внимание.