Для январской Elevation of Privilege (Local Privilege Escalation) - Linux Kernel (CVE-2024-1086) 26 марта вышел write-up и PoC. Видео демка работы скрипта выглядит эффектно: запускают скрипт от обычного пользователя и через пару секунд получают рутовый шелл. ⚡️ По заявлениям автора эксплоит работает с большинством ядер Linux между версиями 5.14 и 6.6, включая Debian, Ubuntu и KernelCTF.
🔻 Эксплойт требует kconfig CONFIG_USER_NS=y; sh command sysctl kernel.unprivileged_userns_clone = 1; kconfig CONFIG_NF_TABLES=y. Автор пишет, что это по дефолту выполняется для Debian, Ubuntu, and KernelCTF, а для других дистрибов нужно тестить. 🔹 Эксплойт не работает на ядрах v6.4> с kconfig CONFIG_INIT_ON_ALLOC_DEFAULT_ON=y (включая Ubuntu v6.5)
NSFOCUS пишет, что Redhat тоже подвержен уязвимости. 🤷♂️
Закругляю февраль традиционным англоязычным постом и видяшкой. 🙂 Чуть-чуть поговорил про опенсурсные проекты (признаться, не было особо времени ими заниматься, пока одни намётки), про PT-шные активности и, естественно, про уязвимости (трендовые и не очень).
———
February 2024: Vulremi, Vuldetta, PT VM Course relaunch, PT TrendVulns digests, Ivanti, Fortinet, MSPT, Linux PW
Hello everyone! In this episode, I will talk about the February updates of my open source projects, also about projects at my main job at Positive Technologies and interesting vulnerabilities.
My Open Source projects 00:14 Vulremi - a simple vulnerability remediation utility 00:55 Vuldetta - an API for detecting vulnerabilities based on a list of Linux packages
Positive Technologies 01:22 Two new video modules for the relaunch of the Vulnerability Management training course 02:00 Monthly digests of trending vulnerabilities
Vulnerabilities 02:17 RCEs in the Ivanti Connect Secure, Ivanti Policy Secure and Ivanti Neurons for ZTA (CVE-2024-21887, CVE-2023-46805, CVE-2024-21893) 03:47 Arbitrary Code Execution vulnerability in Fortinet FortiOS and FortiProxy (CVE-2024-21762) 04:11 Cisco ASA Information Disclosure vulnerability (CVE-2020-3259) is used by the Akira ransomware 04:55 February Microsoft Patch Tuesday 07:14 February Linux Patch Wednesday
Прошла третья среда месяца, а значит пора смотреть февральский Linux Patch Wednesday. 149 уязвимостей. Среди них нет уязвимостей с признаком активной эксплуатации. 20 уязвимостей с PoC-ами/эксплоитами. На первый взгляд все громкие уязвимости прошедшего месяца на месте:
🔻 Elevation of Privilege - GNU C Library (CVE-2023-6246). Это очередная уязвимость glibc, которую нашли Qualys. 🔻 Information Disclosure - runc (CVE-2024-21626). Побег из контейнера. 🔻 Denial of Service - dnsmasq (CVE-2023-50387). Это про атаку 'KeyTrap' на DNSSEC. 🔻 Authentication Bypass - Sudo (CVE-2023-42465). Про эту новостей не видел, её запатчили в RPM-based дистрибах на прошлой неделе.
Нужен ли Антивирус (или шире - Endpoint Protection) на Linux хостах? Мельком упомянули эту тему в последнем Прожекторе в связи с отключением продуктов Avast. Также на днях была рекомендация НКЦКИ по использованию антивирусной защиты на всех узлах сети. Но если не смотреть только на регуляторные требования, как считаете антивирус на Linux хостах это необходимость или излишество?
Предлагаю пройти опрос: На ваш взгляд, Антивирус/Endpoint Protection нужен на Linux хостах с т.з. повышения уровня реальной защищенности?
🔻 Нужен 🔻 Нужен, но только на серверах 🔻 Нужен, но только на десктопах 🔻 В организации нужен, дома не нужен 🔻 Зависит от конкретного дистрибутива: где-то нужен, а где-то достаточно встроенных средств защиты 🔻 Не нужен 🔻 Не знаю/Другое
После продолжительного перерыва выпустил англоязычную видяшку и блогопост. Разбираю там то, что произошло за последние 3 месяца. В первую очередь в плане улучшений Vulristics. Во вторую - смотрю какие были интересные уязвимости в Microsoft Patch Tuesday, Linux Patch Wednesday и из остальных. Ну и подвожу итоги 2023, а также намечаю направления работы на 2024.
Из занимательного:
🔻 Подсветил 7 уязвимостей из Microsoft Patch Tuesday, для которых за последние 3 месяца появились PoC-и/эксплоиты. Как правило это совсем не те уязвимости, на которые указывали VM-вендоры в своих обзорах. 😏 🔻 В Linux Patch Wednesday за последние 3 месяца было 90 уязвимостей с PoC-ами/эксплоитами (и это не считая тех, про которые известно, что они в активной эксплуатации). 🙈
Постараюсь по англоязычным блогопостам с видяшками вернуться в ежемесячный режим. 😇 Формат хоть и муторный, но полезный.
———
November 2023 – January 2024: New Vulristics Features, 3 Months of Microsoft Patch Tuesdays and Linux Patch Wednesdays, Year 2023 in Review
Hello everyone! It has been 3 months since the last episode. I spent most of this time improving my Vulristics project. So in this episode, let’s take a look at what’s been done.
Also, let’s take a look at the Microsoft Patch Tuesdays vulnerabilities, Linux Patch Wednesdays vulnerabilities and some other interesting vulnerabilities that have been released or updated in the last 3 months. Finally, I’d like to end this episode with a reflection on how my 2023 went and what I’d like to do in 2024.
New Vulristics Features 00:32 Vulristics JSON input and output 02:37 CPE-based vulnerable product names detection 04:16 CWE-based vulnerability type detection
3 Months of Vulnerabilities 07:03 Linux Patch Wednesday 11:22 Microsoft Patch Tuesdays 13:59 Other Vulnerabilities
16:14 About the results of 2023 18:45 What about 2024?
Снова в усиленном составе. В этом выпуске обсуждали художественную литературу 🧐📕, импортозамес (тем кто активно хейтил мой пост на эту тему - зацените, вполне возможно Антон и Лев критиковали мои предложения именно с ваших позиций; если нет, то оставьте коммент 😉), громкие критичные уязвимости, инциденты, интересные новости и статьи. А под конец выпуска Максим зачитал суровую рэпчину в свой новый микрофон. 😎🎤
00:00 Смотрим статистику по просмотрам и продолжение к "Двухфакторка рулит. GitLab - решето." 02:16 Обсуждаем художественную литературу: "Девушка с татуировкой дракона" Стиг Ларссон, романы Пелевина, "Задача трёх тел" Лю Цысинь, романы про попаданцев на AuthorToday 13:15Импортозамещаем MS SharePoint 14:53Импортозамещаем Cisco Unity Connection и обсуждаем использование решений из дружеских стран 20:34Импортозамещаем GitLab и обсуждаем есть ли в этом смысл 24:16Импортозамещаем Ivanti Connect Secure и Cisco AnyConnect 29:08 Мемасики 31:56 В Juniper-ах очередная preAuth RCE (CVE-2024-21591) с возможностью получить root-а на устройстве 34:10Подмена прошивки в умном термостате Bosch BCC100 (CVE-2023-49722) и услуга VM-щик на час 38:06 Microsoft обвинила русских хакеров в атаке по своим системам 40:11 Очередная критичная RCE в Confluence (CVE-2023-22527) 41:43 Январский Linux Patch Wednesday 43:13 Лев комментирует пост Алекся Лукацкого: У традиционных SIEM, архитектура которых создавалась совсем в другое время, существует целый ряд проблем, которые заставляют задуматься об их будущем 47:46 В блоге Qualys вышел занимательный пост про проблемы детектирования "глубоко встроенных уязвимостей" 50:05 Исследователь, который в прошлый раз взломал «Хонду», продолжает рассказывать о своих находках 52:29 Пришёл Максим с новым микрофоном 53:29 Студент сингапурского ВУЗа автоматизировал процесс взлома с использованием чат-бота ChatGPT 55:45 ОреnАI плотно работает с военными США над инструментами кибербезопасности 59:43 Роскомнадзор создаст базу данных геолокации отечественных IP-адресов 1:01:26 Суровая заключительная рэпчина от Mr. X 🎤
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.
