Курьёзней трендовой январской уязвимости в GitLab, позволяющей восстанавливать пароль от аккаунта на левый email (CVE-2023-7028), только то, что в CISA заметили признаки активной эксплуатации этой уязвимости через 3,5 месяца после её публикации и появления тривиального эксплоита. 🐢 Если верить Shadowserver, то сейчас в России больше всего в мире уязвимых GitLab хостов доступных из Интернет (367). На втором месте США (356), а далее Китай (350).
Прожектор по ИБ, выпуск №21 (03.02.2024): LEXXus Якубовича
🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"
00:00 Здороваемся, радуемся хорошим просмотрам прошлого эпизода, разгоняем про Поле Чудес и Якубовича
02:42 Обсуждаем большое количество мероприятий по ИБ в начале февраля, вспоминаем финку НКВД от кизлярских мастеров
06:12 Qualys нашли очередные EoP уязвимости GNU C / glibc (CVE-2023-6246, CVE-2023-6779 и CVE-2023-6780), позволяющие непривилегированному пользователю получать root-доступ
08:46 Arbitrary File Write уязвимость в GitLab (CVE-2024-0402)
09:41 Обход аутентификации + EoP в Ivanti Connect Secure, Policy Secure VPN и Ivanti Neurons for ZTA (CVE-2024-21893, CVE-2024-21888)
13:21 В доменной зоне .ru сломался DNSSEC
17:16 Слив данных из Cloudflare
21:05 Мемчик 🤡: Lazarus использует новую малварь
22:31 Avast полностью ушёл из России
25:05 В Бразилии мошенники развели одну из поклонниц сэра Льюиса Хэмилтона на деньги. Внезапно вспоминаем и про сэра Элтона Джона.
28:19 Подозреваемого в убийстве по ошибке выпустили из тюрьмы после киберинцидента, прямо как в первой серии LEXX-а (Yo Way Yo Home Va Ya Ray… 🙂🪲)
31:29 Обсуждаем пост Алексея Лукацкого про сурдопереводчицу-мошенницу и показатели квалификации нанимаемого на работу ИБшника
49:59 В Москве арестовали хакера за DDoS-атаки на объекты критической информационной инфраструктуры. Я там зачитываю из 274.1 УК РФ, но из первой части, а не из четвертой, так что не до 5 лет, а до 8. #
54:09 Mr. X посмотрел новую Мастер и Маргариту и прощается с вами
После продолжительного перерыва выпустил англоязычную видяшку и блогопост. Разбираю там то, что произошло за последние 3 месяца. В первую очередь в плане улучшений Vulristics. Во вторую - смотрю какие были интересные уязвимости в Microsoft Patch Tuesday, Linux Patch Wednesday и из остальных. Ну и подвожу итоги 2023, а также намечаю направления работы на 2024.
Из занимательного:
🔻 Подсветил 7 уязвимостей из Microsoft Patch Tuesday, для которых за последние 3 месяца появились PoC-и/эксплоиты. Как правило это совсем не те уязвимости, на которые указывали VM-вендоры в своих обзорах. 😏
🔻 В Linux Patch Wednesday за последние 3 месяца было 90 уязвимостей с PoC-ами/эксплоитами (и это не считая тех, про которые известно, что они в активной эксплуатации). 🙈
Постараюсь по англоязычным блогопостам с видяшками вернуться в ежемесячный режим. 😇 Формат хоть и муторный, но полезный.
November 2023 – January 2024: New Vulristics Features, 3 Months of Microsoft Patch Tuesdays and Linux Patch Wednesdays, Year 2023 in Review
Hello everyone! It has been 3 months since the last episode. I spent most of this time improving my Vulristics project. So in this episode, let’s take a look at what’s been done.
Also, let’s take a look at the Microsoft Patch Tuesdays vulnerabilities, Linux Patch Wednesdays vulnerabilities and some other interesting vulnerabilities that have been released or updated in the last 3 months. Finally, I’d like to end this episode with a reflection on how my 2023 went and what I’d like to do in 2024.
New Vulristics Features
00:32 Vulristics JSON input and output
02:37 CPE-based vulnerable product names detection
04:16 CWE-based vulnerability type detection
3 Months of Vulnerabilities
07:03 Linux Patch Wednesday
11:22 Microsoft Patch Tuesdays
13:59 Other Vulnerabilities
Прожектор по ИБ, выпуск №19 (22.01.2024): VM-щик на час и это печать
🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"
🔸 Антон Bo0oM 💣 Лопаницын, "Кавычка"
Снова в усиленном составе. В этом выпуске обсуждали художественную литературу 🧐📕, импортозамес (тем кто активно хейтил мой пост на эту тему - зацените, вполне возможно Антон и Лев критиковали мои предложения именно с ваших позиций; если нет, то оставьте коммент 😉), громкие критичные уязвимости, инциденты, интересные новости и статьи. А под конец выпуска Максим зачитал суровую рэпчину в свой новый микрофон. 😎🎤
00:00 Смотрим статистику по просмотрам и продолжение к "Двухфакторка рулит. GitLab - решето."
02:16 Обсуждаем художественную литературу: "Девушка с татуировкой дракона" Стиг Ларссон, романы Пелевина, "Задача трёх тел" Лю Цысинь, романы про попаданцев на AuthorToday
13:15 Импортозамещаем MS SharePoint
14:53 Импортозамещаем Cisco Unity Connection и обсуждаем использование решений из дружеских стран
20:34 Импортозамещаем GitLab и обсуждаем есть ли в этом смысл
24:16 Импортозамещаем Ivanti Connect Secure и Cisco AnyConnect
29:08 Мемасики
31:56 В Juniper-ах очередная preAuth RCE (CVE-2024-21591) с возможностью получить root-а на устройстве
34:10 Подмена прошивки в умном термостате Bosch BCC100 (CVE-2023-49722) и услуга VM-щик на час
38:06 Microsoft обвинила русских хакеров в атаке по своим системам
40:11 Очередная критичная RCE в Confluence (CVE-2023-22527)
41:43 Январский Linux Patch Wednesday
43:13 Лев комментирует пост Алекся Лукацкого: У традиционных SIEM, архитектура которых создавалась совсем в другое время, существует целый ряд проблем, которые заставляют задуматься об их будущем
47:46 В блоге Qualys вышел занимательный пост про проблемы детектирования "глубоко встроенных уязвимостей"
50:05 Исследователь, который в прошлый раз взломал «Хонду», продолжает рассказывать о своих находках
52:29 Пришёл Максим с новым микрофоном
53:29 Студент сингапурского ВУЗа автоматизировал процесс взлома с использованием чат-бота ChatGPT
55:45 ОреnАI плотно работает с военными США над инструментами кибербезопасности
59:43 Роскомнадзор создаст базу данных геолокации отечественных IP-адресов
1:01:26 Суровая заключительная рэпчина от Mr. X 🎤
Прожектор по ИБ, выпуск №18 (13.01.2024): Герои Оземпика in-the-middle
🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"
Первый выпуск в новом году, накопилось много новостей. 🙂
00:00 Здороваемся, обсуждаем новый ноутбук Льва без камеры, радуемся относительно большому количеству просмотров прошлого выпуска
03:10 Внезапно про обновление Heroes III с новыми замками
05:15 Несколько минут здорового самопиара. Говорим про видео-проекты: Ответь за 5 секунд (в последнем я участвовал), ИИ несёт бред, Собираем карьеру
09:20 Закладка в прошивке светодиодной гирлянды
13:04 NVD включили заднюю в вопросе отключения СVЕ-фидов
15:39 Итоги 2023 года от Qualys Threat Research Unit
21:47 Январский Microsoft Patch Tuesday и MitM
29:14 Июньская Authentication Bypass уязвимость Sharepoint (CVE-2023-29357) в активной эксплуатации; конкурс: на что заменить Sharepoint?
32:15 Cisco исправили критичную Arbitrary File Upload / RCE уязвимость в Unity Connection (CVE-2024-20272); конкурс: на что заменить CUC?
37:45 Атаки на Ivanti Connect Secure / lvanti Policy Secure с использованием 0Day RCE уязвимости (CVE-2023-46805, CVE-2024-21887)
41:06 Курьёзная критичная уязвимость в GitLab - восстановление пароля от аккаунта на левый email (CVE-2023-7028); конкурс стихов 😅
44:10 ИС Антифишинг от Минцифры
45:38 Всемирный совет церквей (WCC) был атакован вымогателями
48:50 МВД России предупреждает о новых способах мошенничества
50:24 Цукерберг берет деньги за отказ от сбора и использования личных данных под целевую рекламу
51:29 Почти 170 случаев утечек персональных данных россиян зафиксированы в 2023 году
54:41 Прощание от Mr.X про Оземпик
Курьёзная критичная уязвимость в GitLab - восстановление пароля от аккаунта на левый email (CVE-2023-7028). 🤦♂️🙂 Уязвимы версии GitLab CE/EE с 16.1.0. CVSS 10. Патчи доступны.
"Как это произошло?
В версии 16.1.0 было внесено изменение, позволяющее пользователям сбрасывать свой пароль используя дополнительный адрес электронной почты. Уязвимость является результатом ошибки в процессе верификации электронной почты."
В микроблогах пишут, что PoC буквально такой:
user[email][]=valid@email.com&user[email][]=attacker@email.com
upd. Эксплоит на GitHub
"Пользователи, у которых включена двухфакторная аутентификация, уязвимы для сброса пароля, но не для захвата учетной записи, поскольку для входа в систему требуется второй фактор аутентификации."
Двухфакторка рулит. GitLab - решето. 🙂
Чтение произвольных файлов в GitLab (CVE-2023-2825), CVSS Base Score 10 (!). К счастью, уязвимость существует только в версии 16.0.0 и ранние версии не затронуты. А версия 16.0.0 вышла только 3 дня назад, поэтому пострадали только "ранние пташки".
Неаутентифицированный пользователь может читать произвольные файлы на сервере, когда "an attachment exists in a public project nested within at least five groups" 🤔
Кажется разбираться с этим доп. условием напряжнее, чем просто обновиться.
К слову, вот так выглядит CVSS вектор для Base Score 10: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N, на скриншоте в развернутом виде.
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.