Архив метки: Fortinet

На сайте Positive Technologies вышел дайджест по трендовым уязвимостям марта

1 комментарий

На сайте Positive Technologies вышел дайджест по трендовым уязвимостям мартаНа сайте Positive Technologies вышел дайджест по трендовым уязвимостям мартаНа сайте Positive Technologies вышел дайджест по трендовым уязвимостям мартаНа сайте Positive Technologies вышел дайджест по трендовым уязвимостям мартаНа сайте Positive Technologies вышел дайджест по трендовым уязвимостям марта

На сайте Positive Technologies вышел дайджест по трендовым уязвимостям марта. Для наглядности я также сгенерил отчёт Vulristics по ним. Всего 5 уязвимостей.

🔻 По 3 уязвимостям есть эксплоиты и подтвержденные признаки эксплуатации вживую: AuthBypass - TeamCity (CVE-2024-27198), RCE - FortiClientEMS (CVE-2023-48788), EoP - Windows Kernel (CVE-2024-21338).

🔻 Ещё по 2 уязвимостям признаков эксплуатации вживую пока нет, но есть эксплоиты: EoP - Windows CLFS Driver (CVE-2023-36424), RCE - Microsoft Outlook (CVE-2024-21378).

Будет ещё видео-версия с мемасиками в новостном выпуске секлаба. Снимали в конце марта, ждём на следующей неделе. И будет ещё пост на хабре по контенту из этой видяшки. 😇

🟥 Пост в канале PT

Для SQLi/RCE уязвимости FortiClientEMS (CVE-2023-48788) появился PoC и Fortinet отметили, что уязвимость эксплуатируется вживую

1 комментарий

Для SQLi/RCE уязвимости FortiClientEMS (CVE-2023-48788) появился PoC и Fortinet отметили, что уязвимость эксплуатируется вживую
Для SQLi/RCE уязвимости FortiClientEMS (CVE-2023-48788) появился PoC и Fortinet отметили, что уязвимость эксплуатируется вживую

Для SQLi/RCE уязвимости FortiClientEMS (CVE-2023-48788) появился PoC и Fortinet отметили, что уязвимость эксплуатируется вживую. Write-up c PoC-ом выпустили исследователи из Horizon3AI.

"FortiClient Enterprise Management Server — централизованный сервер, предназначенный для управления программами FortiClient, установленными на контролируемых рабочих станциях. Он позволяет распространять необходимые настройки FortiClient (антивируса, веб фильтрации, телеметрии, контроля съемных устройств) на все подключенные к нему рабочие станции."

🇷🇺 В России это должен быть редкий зверь, но, судя по статьям на русском, где-то его всё-таки внедряли.

📊 Согласно ShadowServer, в Интернет торчит немного уязвимых серверов. Всего 130, больше всего в США (30) и Китае (11). Но возможно это ещё неполные результаты. Судя по графикам, они начали детектить эту уязвимость только с 22 марта.

На днях прошла новость об RCE уязвимости в FortiOS и FortiProxy (CVE-2023-42789)

Добавить комментарий

На днях прошла новость об RCE уязвимости в FortiOS и FortiProxy (CVE-2023-42789)
На днях прошла новость об RCE уязвимости в FortiOS и FortiProxy (CVE-2023-42789)На днях прошла новость об RCE уязвимости в FortiOS и FortiProxy (CVE-2023-42789)

На днях прошла новость об RCE уязвимости в FortiOS и FortiProxy (CVE-2023-42789). Она "позволяет злоумышленнику выполнять несанкционированный код или команды с помощью специально созданных HTTP-запросов". Уязвимость эксплуатируется в captive portal, который, по идее, не должен быть доступен из Интернет. Поэтому в бюллетене Fortinet пишут про "inside attacker". Признаков эксплуатации вживую пока нет. Вендор отмечает, что уязвимость найдена исследователями Fortinet Product Security Team.

На GitHub есть репозиторий якобы с PoC-ом, но достоверность его сомнительная. Выложенный код только реализует проверку доступности портала, пейлоада там нет. Репозиторий создал пользователь без какой-либо репутации и предыдущей активности. Полный код эксплоита он предлагает приобрести за ~$262. Выглядит это как скам, но если вдруг это действительно рабочий эксплоит, то вполне вероятно, что он быстро утечет в паблик.

В любом случае стоит обновляться/импортозамещаться.

Выхожу на широкую аудиторию: рассказываю про трендовые уязвимости в выпуске новостей SecLab-а

1 комментарий

Выхожу на широкую аудиторию: рассказываю про трендовые уязвимости в выпуске новостей SecLab-а. 🤩 Рубрика "В тренде VM" начинается с 16:05. 🎞

По контенту это февральский дайджест трендовых уязвимостей, но поданный в более живом формате: простыми фразами, со всякими прикольными перебивками, мемасиками, шутейками и прочим. Как это сейчас принято в эдьютейнменте. 😏 Уровень продакшена у команды SecLab News, конечно, потрясный. Круче я пока не видел. Очень профессиональные ребята, работать одно удовольствие. 🔥

В общем, пробный шар пущен - дальнейшая судьба рубрики (а может и не только рубрики 😉) зависит от вас.

➡️ Перейдите, пожалуйста, по ссылке, посмотрите выпуск, поставьте лайк, оставьте комментарий по поводу рубрики. Что понравилось, что можно было бы и получше сделать.

Прям очень ждём ваш фидбек. 🫠

Закругляю февраль традиционным англоязычным постом и видяшкой

1 комментарий

Закругляю февраль традиционным англоязычным постом и видяшкой. 🙂 Чуть-чуть поговорил про опенсурсные проекты (признаться, не было особо времени ими заниматься, пока одни намётки), про PT-шные активности и, естественно, про уязвимости (трендовые и не очень).

———

February 2024: Vulremi, Vuldetta, PT VM Course relaunch, PT TrendVulns digests, Ivanti, Fortinet, MSPT, Linux PW

Hello everyone! In this episode, I will talk about the February updates of my open source projects, also about projects at my main job at Positive Technologies and interesting vulnerabilities.

My Open Source projects
00:14 Vulremi - a simple vulnerability remediation utility
00:55 Vuldetta - an API for detecting vulnerabilities based on a list of Linux packages

Positive Technologies
01:22 Two new video modules for the relaunch of the Vulnerability Management training course
02:00 Monthly digests of trending vulnerabilities

Vulnerabilities
02:17 RCEs in the Ivanti Connect Secure, Ivanti Policy Secure and Ivanti Neurons for ZTA (CVE-2024-21887, CVE-2023-46805, CVE-2024-21893)
03:47 Arbitrary Code Execution vulnerability in Fortinet FortiOS and FortiProxy (CVE-2024-21762)
04:11 Cisco ASA Information Disclosure vulnerability (CVE-2020-3259) is used by the Akira ransomware
04:55 February Microsoft Patch Tuesday
07:14 February Linux Patch Wednesday

🎞 Video
📘 Blogpost
🎞 VKVideo

На сайте Positive Technologies вышел дайджест по трендовым уязвимостям февраля, к которому я тоже приложил руку

1 комментарий

На сайте Positive Technologies вышел дайджест по трендовым уязвимостям февраля, к которому я тоже приложил руку

На сайте Positive Technologies вышел дайджест по трендовым уязвимостям февраля, к которому я тоже приложил руку. 😇 Всего 8 уязвимостей:

🔻 Наиболее громкими в мировом масштабе были 3 уязвимости Ivanti (CVE-2024-21887, CVE-2023-46805, CVE-2024-21893), которые позволяют полностью скомпрометировать аппаратные и виртуальные апплаенсы. Хорошо, что в России Ivanti это экзотика.
🔻 Уязвимость выполнения произвольного кода в Fortinet FortiOS и FortiProxy (CVE-2024-21762). По мнению вендора, может активно эксплуатироваться.
🔻 4 уязвимости из февральского Microsoft Patch Tuesday:
- Обход функций безопасности в Windows SmartScreen (CVE-2024-21351) и Internet Shortcut Files (CVE-2024-21412) эксплуатируются в фишинговых атаках.
- Повышение привилегий в Microsoft Exchange (CVE-2024-21410) и выполнение произвольного кода в Microsoft Outlook (CVE-2024-21413) эксплуатируются в NTLM Relay атаках.

➡️ Читайте подробнее

🟥 Пост в канале PT

Странная история двух новых критичных RCE-уязвимостей в FortiSIEM (CVE-2024-23108, CVE-2024-23109)

1 комментарий

Странная история двух новых критичных RCE-уязвимостей в FortiSIEM (CVE-2024-23108, CVE-2024-23109)
Странная история двух новых критичных RCE-уязвимостей в FortiSIEM (CVE-2024-23108, CVE-2024-23109)

Странная история двух новых критичных RCE-уязвимостей в FortiSIEM (CVE-2024-23108, CVE-2024-23109). Злоумышленник может выполнить несанкционированный код или команды с помощью специальных запросов к API. Есть пруфы получения root-ового shell-а.

🔻 5 февраля эти две CVE с идентичным описанием появляются в NVD. CVSS 10/10. Все подпрыгнули. Смущала только ссылка на старый бюллетень вендора от 10 октября прошлого года и схожесть со старой CVE-2023-34992 с точностью до версий и опечатки "via via".
🔻 В тот же день Fortinet сообщают, что произошла ошибка и эти уязвимости дубликаты CVE-2023-34992. "В данном случае из-за проблемы с API, которую мы в настоящее время изучаем, произошло не редактирование [старой уязвимости], а создание двух новых CVE, дубликатов исходного CVE-2023-34992". 🤷‍♂️ Все выдыхают и ждут отзывы этих новых CVE-шек.
🔻 7 февраля исследователь Zach Hanley из Horizon3 сообщает, что уязвимости есть и это он их нашёл. Это байпасы фикса оригинальной CVE-2023-34992. Пруфает перепиской с Fortinet и скриншотом root-ового shell-а. 😈
🔻 Вскоре после этого Fortinet выпускают ещё одно заявление, что да, новые уязвимость есть и это действительно байпассы. А в предыдущем сообщении они неверно выразились ("misstated"). 🤡🤦‍♂️

На вчерашнем Прожекторе по ИБ выяснили, что инсталляции FortiSIEM в России хоть и редко, но встречались. И даже в окологосах. Если у вас FortiSIEM ещё используется, то обязательно обновитесь (а лучше импортозаместитесь).