Уязвимость RCE - Confluence (CVE-2024-21683) c публичным эксплоитами на GitHub. Для эксплуатации требуется аутентификация. Уязвимы и Confluence Data Center, и Confluence Server. 🔻 Версия 8.5.9 LTS, исправляющая уязвимость, вышла 9 мая. 🔻 23 мая, после появление описания уязвимости в NVD и тикета от Atlassian, исследователь Huong Kieu изучил патч, описал уязвимость и сообщил, что у него получилось сделать PoC. В тот же день реализации эксплоита появились на GitHub.
Вероятно Atlassian придерживали информацию об исправлении уязвимости, чтобы больше организаций успели обновиться до начала активной эксплуатации. Правда, у них это не вполне получилось. Видимо они случайно опубликовали тикет 15 мая, а потом убрали до 23 мая. Но поисковик по уязвимостям Vulners всё запомнил. 😉 Так что информация об уязвимости всё это время была доступна. 🤷♂️
Снова в усиленном составе. В этом выпуске обсуждали художественную литературу 🧐📕, импортозамес (тем кто активно хейтил мой пост на эту тему - зацените, вполне возможно Антон и Лев критиковали мои предложения именно с ваших позиций; если нет, то оставьте коммент 😉), громкие критичные уязвимости, инциденты, интересные новости и статьи. А под конец выпуска Максим зачитал суровую рэпчину в свой новый микрофон. 😎🎤
00:00 Смотрим статистику по просмотрам и продолжение к "Двухфакторка рулит. GitLab - решето." 02:16 Обсуждаем художественную литературу: "Девушка с татуировкой дракона" Стиг Ларссон, романы Пелевина, "Задача трёх тел" Лю Цысинь, романы про попаданцев на AuthorToday 13:15Импортозамещаем MS SharePoint 14:53Импортозамещаем Cisco Unity Connection и обсуждаем использование решений из дружеских стран 20:34Импортозамещаем GitLab и обсуждаем есть ли в этом смысл 24:16Импортозамещаем Ivanti Connect Secure и Cisco AnyConnect 29:08 Мемасики 31:56 В Juniper-ах очередная preAuth RCE (CVE-2024-21591) с возможностью получить root-а на устройстве 34:10Подмена прошивки в умном термостате Bosch BCC100 (CVE-2023-49722) и услуга VM-щик на час 38:06 Microsoft обвинила русских хакеров в атаке по своим системам 40:11 Очередная критичная RCE в Confluence (CVE-2023-22527) 41:43 Январский Linux Patch Wednesday 43:13 Лев комментирует пост Алекся Лукацкого: У традиционных SIEM, архитектура которых создавалась совсем в другое время, существует целый ряд проблем, которые заставляют задуматься об их будущем 47:46 В блоге Qualys вышел занимательный пост про проблемы детектирования "глубоко встроенных уязвимостей" 50:05 Исследователь, который в прошлый раз взломал «Хонду», продолжает рассказывать о своих находках 52:29 Пришёл Максим с новым микрофоном 53:29 Студент сингапурского ВУЗа автоматизировал процесс взлома с использованием чат-бота ChatGPT 55:45 ОреnАI плотно работает с военными США над инструментами кибербезопасности 59:43 Роскомнадзор создаст базу данных геолокации отечественных IP-адресов 1:01:26 Суровая заключительная рэпчина от Mr. X 🎤
Будет ли критичная RCE в Confluence (CVE-2023-22527), о которой сообщали на прошлой неделе, активно эксплуатироваться в реальных атаках? Похоже на то. 🧐
"Уязвимость внедрения шаблона (template injection) в устаревших версиях Confluence Data Center и Server позволяет неаутентифицированному злоумышленнику получить RCE в уязвимой версии."
Пишут, что уязвимы версии, выпущенные до 5 декабря 2023 года (8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x, 8.5.0-8.5.3) и EoL версии. По поводу 7.19 LTS, которая должна поддерживаться до 28 июля 2024 года, пишут, что патч выпустят, но пока его нет.
Про эксплоиты и эксплуатацию вживую пока не пишут. Но с обновлением (а лучше миграцией на другое решение 😉) лучше не затягивать. До эксплуатабельного состояния подобные уязвимости Confluence докручивают довольно быстро.
Прожектор по ИБ, выпуск №10 (06.11.2023) с Иваном Шубиным: не суй TMUI, балансеры и Бесконечный VM. Записали новый эпизод с небольшим опозданием, но в усиленном составе:
00:00 Здороваемся и смотрим статистику по просмотрам. Меньше 100 просмотров за неделю не набрали - печаль. 😔 02:33 Лев сходил на конференцию Норникеля "обратного типа", где ему подарили табличку, а также провёл бесплатную ПоИБэшечку 09:29 RCE и SQLi в F5 BIG-IP. "Не суй наружу свой TMUI" 12:34Опрос "Что вы используете в качестве балансировщика нагрузки в вашей организации (в России)?" 19:13 Атаки на Госуслуги в Германии и России. У нас-то получше ситуация 20:23Вайпилка для Confluence 25:35 RCE в Apache ActiveMQ 27:55 У Битрикс обнаружили 8 уязвимостей, в их числе RCE 31:14 Активность небезызвестного ботнета Mozzi ушла в небытие 32:34 Более 40 стран навсегда откажутся от уплаты выкупов хакерам-вымогателям 36:10 Мем недели: Решил выпускник ВУЗа выбрать, каким направлением ИБ он будет заниматься… 38:00Аниме-новелла про Управление Уязвимостями? Обсуждаем, что бы это могла быть за игра, выбираем варианты на первом "скриншоте", приглашаем поучаствовать в разработке 😉 46:16 Скарлетт Йоханссон судится с разработчиками приложения, использовавшего ее голос без разрешения 49:50 Прощание от Максима Хараска и лучи добра для chaikae!
Прожектор по ИБ, выпуск №7 (15.10.2023). Записали очередной эпизод. Из основного: посмотрели как развивалась история с уязвимостями Confluence и curl, обсудили НТТР/2 Rapid Reset DDoS Attack в разных проявлениях, прошлись по Microsoft Patch Tuesday, пофантазировали на тему Курскводоканала и запустили проект Linux Patch Wednesday.
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.
