Архив метки: Ivanti

Прожектор по ИБ, выпуск №22 (10.02.2024): Вижу MacBook — мне неприятно

Добавить комментарий

Прожектор по ИБ, выпуск №22 (10.02.2024): Вижу Mac­Book — мне неприятно

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Glob­al Dig­i­tal Space"

00:00 Здороваемся, смотрим статистику, разгоняем про продукты Apple
03:31 Где был Лев: Собираем карьеру с Евгением Питолиным и дебаты на AM Live
09:42 4 апреля состоится форум "Территория Безопасности — 2024: все pro ИБ"
13:42 Мем про тяжелую неделю для Fortinet
14:21 RCE-уязвимость в Fortinet For­tiOS и For­tiProxy (CVE-2024–21762) эксплуатируется вживую
19:16 Fortinet исправила две критические уязвимости максимальной степени серьезности в For­tiSIEM
21:06 Очередная Auth­By­pass уязвимость в Ivan­ti Con­nect Secure, Ivan­ti Pol­i­cy Secure и ZTA (CVE-2024–22024)
23:02 Занимательная статья от исследователей уязвимостей из PT SWARM
28:51 Взлом компании Any­Desk и рекомендации от НКЦКИ
33:51 Нужен ли Антивирус (или шире — End­point Pro­tec­tion) на Lin­ux хостах?
41:33 Бывшего сотрудника Apple приговорили к тюремному заключению за кражу данных об автомобиле
44:47 Исследователя безопасности обвинили в попытке получить около $3 млн долларов от Apple в виде продукции и услуг компании
49:38 Что такое Игры Будущего 2024?
53:03 Банк России составил портрет жертвы кибермошенников
55:26 🎤 Mr. X и Олег Тиньков (признан иностранным агентом 16.02.2024, уже после публикации видео) поясняют за этот эпизод Прожектора по ИБ

Да они издеваются: очередная AuthBypass в Ivanti Connect Secure, Ivanti Policy Secure и ZTA (CVE-2024–22024)

Добавить комментарий

Да они издеваются: очередная AuthBypass в Ivanti Connect Secure, Ivanti Policy Secure и ZTA (CVE-2024-22024)

Да они издеваются: очередная Auth­By­pass в Ivan­ti Con­nect Secure, Ivan­ti Pol­i­cy Secure и ZTA (CVE-2024–22024). 🤩 Правда для этой пока нет признаков эксплуатации вживую. Да и перечень уязвимых версий невелик. К тому же исправление выпущенное 31 января должно защищать и от этой уязвимости тоже. На общем фоне вроде не такая уж и беда. Но какое же этот Con­nect Secure лютое решето. 😁

В последнем прожекторе по ИБ мы говорили, что недавняя SSRF уязвимость (а фактически обход аутентификации) в Ivanti Connect Secure (CVE-2024–21893) эксплуатируется в таргетированных атаках — УЖЕ НЕ ТОЛЬКО

Добавить комментарий

В последнем прожекторе по ИБ мы говорили, что недавняя SSRF уязвимость (а фактически обход аутентификации) в Ivanti Connect Secure (CVE-2024-21893) эксплуатируется в таргетированных атаках - УЖЕ НЕ ТОЛЬКОВ последнем прожекторе по ИБ мы говорили, что недавняя SSRF уязвимость (а фактически обход аутентификации) в Ivanti Connect Secure (CVE-2024-21893) эксплуатируется в таргетированных атаках - УЖЕ НЕ ТОЛЬКО

В последнем прожекторе по ИБ мы говорили, что недавняя SSRF уязвимость (а фактически обход аутентификации) в Ivan­ti Con­nect Secure (CVE-2024–21893) эксплуатируется в таргетированных атаках — УЖЕ НЕ ТОЛЬКО. 🙂 Пошли массовые атаки. Этому поспособствовала публикация PoC‑а исследователями из Rapid7. 🤷‍♂️ Shad­owserv­er сообщает о 170 засветившихся атакующих IP.

Требование CISA от 31 января поотключать эти инстансы в двухдневный срок выглядит теперь более чем мудро. Правда они рекомендовали отключить их для полного ресета, обновления и возврата в эксплуатацию, а надо было бы отключить совсем. Потому что проклятье Ivan­ti однозначно есть. 🧙‍♀️

С интересом наблюдаю за развитием событий. 🙂🍿

Прожектор по ИБ, выпуск №21 (03.02.2024): LEXXus Якубовича

Добавить комментарий

Прожектор по ИБ, выпуск №21 (03.02.2024): LEXXus Якубовича

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Glob­al Dig­i­tal Space"

00:00 Здороваемся, радуемся хорошим просмотрам прошлого эпизода, разгоняем про Поле Чудес и Якубовича
02:42 Обсуждаем большое количество мероприятий по ИБ в начале февраля, вспоминаем финку НКВД от кизлярских мастеров
06:12 Qualys нашли очередные EoP уязвимости GNU C / glibc (CVE-2023–6246, CVE-2023–6779 и CVE-2023–6780), позволяющие непривилегированному пользователю получать root-доступ
08:46 Arbi­trary File Write уязвимость в Git­Lab (CVE-2024–0402)
09:41 Обход аутентификации + EoP в Ivan­ti Con­nect Secure, Pol­i­cy Secure VPN и Ivan­ti Neu­rons for ZTA (CVE-2024–21893, CVE-2024–21888)
13:21 В доменной зоне .ru сломался DNSSEC
17:16 Слив данных из Cloud­flare
21:05 Мемчик 🤡: Lazarus использует новую малварь
22:31 Avast полностью ушёл из России
25:05 В Бразилии мошенники развели одну из поклонниц сэра Льюиса Хэмилтона на деньги. Внезапно вспоминаем и про сэра Элтона Джона.
28:19 Подозреваемого в убийстве по ошибке выпустили из тюрьмы после киберинцидента, прямо как в первой серии LEXX‑а (Yo Way Yo Home Va Ya Ray… 🙂🪲)
31:29 Обсуждаем пост Алексея Лукацкого про сурдопереводчицу-мошенницу и показатели квалификации нанимаемого на работу ИБшника
49:59 В Москве арестовали хакера за DDoS-атаки на объекты критической информационной инфраструктуры. Я там зачитываю из 274.1 УК РФ, но из первой части, а не из четвертой, так что не до 5 лет, а до 8. #
54:09 Mr. X посмотрел новую Мастер и Маргариту и прощается с вами

Прожектор по ИБ, выпуск №19 (22.01.2024): VM-щик на час и это печать

Добавить комментарий

Прожектор по ИБ, выпуск №19 (22.01.2024): VM-щик на час и это печать

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Glob­al Dig­i­tal Space"
🔸 Антон Bo0oM 💣 Лопаницын, "Кавычка"

Снова в усиленном составе. В этом выпуске обсуждали художественную литературу 🧐📕, импортозамес (тем кто активно хейтил мой пост на эту тему — зацените, вполне возможно Антон и Лев критиковали мои предложения именно с ваших позиций; если нет, то оставьте коммент 😉), громкие критичные уязвимости, инциденты, интересные новости и статьи. А под конец выпуска Максим зачитал суровую рэпчину в свой новый микрофон. 😎🎤

00:00 Смотрим статистику по просмотрам и продолжение к "Двухфакторка рулит. Git­Lab — решето."
02:16 Обсуждаем художественную литературу: "Девушка с татуировкой дракона" Стиг Ларссон, романы Пелевина, "Задача трёх тел" Лю Цысинь, романы про попаданцев на Author­To­day
13:15 Импортозамещаем MS Share­Point
14:53 Импортозамещаем Cis­co Uni­ty Con­nec­tion и обсуждаем использование решений из дружеских стран
20:34 Импортозамещаем Git­Lab и обсуждаем есть ли в этом смысл
24:16 Импортозамещаем Ivan­ti Con­nect Secure и Cis­co Any­Con­nect
29:08 Мемасики
31:56 В Juniper-ах очередная preAuth RCE (CVE-2024–21591) с возможностью получить root‑а на устройстве
34:10 Подмена прошивки в умном термостате Bosch BCC100 (CVE-2023–49722) и услуга VM-щик на час
38:06 Microsoft обвинила русских хакеров в атаке по своим системам
40:11 Очередная критичная RCE в Con­flu­ence (CVE-2023–22527)
41:43 Январский Lin­ux Patch Wednes­day
43:13 Лев комментирует пост Алекся Лукацкого: У традиционных SIEM, архитектура которых создавалась совсем в другое время, существует целый ряд проблем, которые заставляют задуматься об их будущем
47:46 В блоге Qualys вышел занимательный пост про проблемы детектирования "глубоко встроенных уязвимостей"
50:05 Исследователь, который в прошлый раз взломал «Хонду», продолжает рассказывать о своих находках
52:29 Пришёл Максим с новым микрофоном
53:29 Студент сингапурского ВУЗа автоматизировал процесс взлома с использованием чат-бота Chat­G­PT
55:45 ОреnАI плотно работает с военными США над инструментами кибербезопасности
59:43 Роскомнадзор создаст базу данных геолокации отечественных IP-адресов
1:01:26 Суровая заключительная рэпчина от Mr. X 🎤

Прожектор по ИБ, выпуск №18 (13.01.2024): Герои Оземпика in-the-middle

Добавить комментарий

Прожектор по ИБ, выпуск №18 (13.01.2024): Герои Оземпика in-the-mid­dle

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Glob­al Dig­i­tal Space"

Первый выпуск в новом году, накопилось много новостей. 🙂

00:00 Здороваемся, обсуждаем новый ноутбук Льва без камеры, радуемся относительно большому количеству просмотров прошлого выпуска
03:10 Внезапно про обновление Heroes III с новыми замками
05:15 Несколько минут здорового самопиара. Говорим про видео-проекты: Ответь за 5 секундпоследнем я участвовал), ИИ несёт бред, Собираем карьеру
09:20 Закладка в прошивке светодиодной гирлянды
13:04 NVD включили заднюю в вопросе отключения СVЕ-фидов
15:39 Итоги 2023 года от Qualys Threat Research Unit
21:47 Январский Microsoft Patch Tues­day и MitM
29:14 Июньская Authen­ti­ca­tion Bypass уязвимость Share­point (CVE-2023–29357) в активной эксплуатации; конкурс: на что заменить Share­point?
32:15 Cis­co исправили критичную Arbi­trary File Upload / RCE уязвимость в Uni­ty Con­nec­tion (CVE-2024–20272); конкурс: на что заменить CUC?
37:45 Атаки на Ivan­ti Con­nect Secure / lvan­ti Pol­i­cy Secure с использованием 0Day RCE уязвимости (CVE-2023–46805, CVE-2024–21887)
41:06 Курьёзная критичная уязвимость в Git­Lab — восстановление пароля от аккаунта на левый email (CVE-2023–7028); конкурс стихов 😅
44:10 ИС Антифишинг от Минцифры
45:38 Всемирный совет церквей (WCC) был атакован вымогателями
48:50 МВД России предупреждает о новых способах мошенничества
50:24 Цукерберг берет деньги за отказ от сбора и использования личных данных под целевую рекламу
51:29 Почти 170 случаев утечек персональных данных россиян зафиксированы в 2023 году
54:41 Прощание от Mr.X про Оземпик

Все пишут про атаки на Ivanti Connect Secure / Ivanti Policy Secure с использованием 0Day RCE уязвимости (CVE-2023–46805, CVE-2024–21887)

Добавить комментарий

Все пишут про атаки на Ivanti Connect Secure / Ivanti Policy Secure с использованием 0Day RCE уязвимости (CVE-2023-46805, CVE-2024-21887)

Все пишут про атаки на Ivan­ti Con­nect Secure / Ivan­ti Pol­i­cy Secure с использованием 0Day RCE уязвимости (CVE-2023–46805, CVE-2024–21887). Там одна CVE это Authen­ti­ca­tion Bypass, вторая Com­mand Injec­tion, а вместе дают RCE. Первые атаки зарегистрировали 3 декабря. В ходе атак злоумышленники устанавливали вебшелл GLASSTOKEN. Публичного PoC‑а пока нет. Обновлений пока нет, но есть mit­i­ga­tion file.

На Ivan­ti прям проклятье какое-то. 🫣 В прошлом году была эпопея с Ivan­ti EPMM (CVE-2023–35078). До этого несколько лет выходило множество критичных эксплуатабельных уязвимостей Ivan­ti Pulse Con­nect Secure. У Ten­able в блоге прикольная историческая подборочка на эту тему.