Взгляд на Offensive со стороны Vulnerability Management специалиста. В канале Just Security вышел ролик про церемонию награждения Pentest Awards 2024 от Awillix. В ролике организаторы, жюри и победители рассуждают что это за мероприятие и для чего оно нужно - в первую очередь для нетворкинга специалистов по наступательной кибербезопасности и обмена опытом.
Я, как VM-щик, смотрю на этот движ несколько со стороны, но всегда с интересом.
🔹 Имхо, VM-щику лучше устраняться от игры в "докажи-покажи" с IT-шниками, т.к. это сжирает ресурсы необходимые для поддержания VM-процесса.
🔹 А у оффенсеров (pentest, bug bounty) суть работы как раз в "докажи-покажи" и заключается. Т.е. проломить здесь и сейчас хотя бы в одном месте.
Поэтому VM-щику обязательно нужно дружить с оффенсерами и отслеживать какие векторы популярны, эксплоиты для каких уязвимостей работают надёжно и "не шумят". Чтобы устранять такие уязвимости в первую очередь. 😉
🥇 Пробив WEB - shin0_by "Multiple Take Over". Изменение логина и пароля через перебор значения cookie. "Bypass Restrict User Registration → Bypass EDR → RCE WebApp → RCE SQL Server"
🥇 Пробив Инфраструктуры - Im10n "FreeIPA". Анализ инфраструктуры на базе FreeIPA. Уязвимость, позволяющая сделать перебор заведена как CVE-2024-3183. "Initial Access to FreeIPA → TGT Request → Salt Extraction → TGS Brute-forcing → Domain Admin Password Retrieval → DC Compromise"
🥇 Девайс - N0um3n0n "SMS Heap Overflow". Выполнение произвольного кода на модеме путем отправки специально сформированных SMS. "SMS Heap Overflow → Controlled Memory Read → Primitives for Memory Write → Execution of Arbitrary Code → Memory Unlocking → Deployment of Custom Driver → Persistent Application Installation"
🥇 Hack The Logic - only4u2day "From Bot to Admin". Получение прав администратора для бота в Mattermost . "Bot Creation → Privilege Escalation with Admin Roles → Bot-to-User Conversion → Full Admin Panel Access".
🥇 Раз bypass, два bypass - snovvcrash "SafetyNDump". Обход AV для создания дампа процесса LSASS с повышенными привилегиями. "Impersonation via TokenDuplicator → Elevated Handle with NanoDump → LSASS Dump Creation → MiniDump Parsing"
🥇 Ловись рыбка - X0red "Advanced Rogue RDP". Фишинговое письмо с RDP-файлом, который автоматически подключается к внешнему серверу и создаёт прокси-туннель. "Phishing Email with Rogue RDP → User Connects to Rogue RDP Server → Proxy Tunnel Establishment → Network Scanning → Exploitation of Internal Services"
Про остальных победителей читайте в отчёте на хабре. В отчёте упоминается эксплуатация известных уязвимостей: 🔻 AuthBypass - Hikvision Wi-Fi IP camera (CVE-2017-14953) 🔻 RCE - Hikvision IP camera/NVR (CVE-2021-36260) 🔻 RCE - D-Link DNS-320 (CVE-2019-16057) 🔻 Spoofing - Windows LSA "PetitPotam" (CVE-2021-36942)
Ожидаемый вопрос: а где же подробности и пруфы? 😏 Особых деталей ждать не приходится, так как работа пентестеров обычно проходит под NDA. Статьи тех, кто согласиться поделиться подробностями, выйдут в журнале Xakep.
🔻 Remote Code Execution - Microsoft Exchange "ProxyNotShell" (CVE-2022-41040, CVE-2022-41080, CVE-2022-41082) 🔻 Remote Code Execution - Bitrix Site Manager "PollsVotes" (CVE-2022-27228) 🔻 Elevation of Privilege - Polkit "PwnKit" (CVE-2021-4034)
Дальше в рифмованном виде. 😉 Трек сгенерировал в Suno.
---
По пентестам за прошедший год отчёт Вышел у Позитивов. Каждый кто его прочтёт, Увидит, что там всё красиво. 28 проектов, есть что показать. Статистика и результаты. Умеют защищать и умеют ломать - Молодцы ребята! (Молодцы ребята!)
К отчёту они подошли всерьёз. Ознакомьтесь без спешки! Но у меня всегда один вопрос: Где там CVE-шки? (Где там CVE-шки?)
По отчёту уязвимости не сложно сосчитать. Их совсем немного. Их конкретно пять.
Топ пять критичных уязвимостей. Эксплуатируют их чаще всего в ходе пентестов. Ужас пробирает до костей, Когда видишь их в инфре: им не должно быть места! Давно известны они все, И что опасны они никто не возразит: PollsVotes в Битриксе, ProxyNotShell в Эксчендже, А на Linux-ах PwnKit.
Самый популярный почтовый сервак MS Exchange - лакомая цель любых атак. 3 уязвимости ProxyNotShell - по сути одна Remote Code Execution. Опасность наглядно видна.
Bitrix Site Manager - популярная в России CMS. И к тому же отечественная. Импортозамeс! RCE в модуле "Опросы, голосования" - Причина массовых дефейсов и для атак на инфру основание.
Ну а если злоумышленник На Linux хост проник И там спокойно сидит, Нет надёжнее стратегии, Чем поднять до root-a привилегии Через уязвимость Polkit, PwnKit.
Топ пять критичных уязвимостей. Эксплуатируют их чаще всего в ходе пентестов. Ужас пробирает до костей, Когда видишь их в инфре: им не должно быть места! Давно известны они все, И что опасны они никто не возразит: PollsVotes в Битриксе, ProxyNotShell в Эксчендже, А на Linux-ах PwnKit.
Это были результаты за 2023 год. Что за тренды нам текущий год принесёт? Кто подаст надёжный патчиться сигнал? Подпишись на @avleonovrus "Управление Уязвимостями и прочее", Telegram канал.
Три богатыря и Bug Bounty. Сходили в кино на анимационный фильм "Три богатыря. Ни дня без подвига". Три короткие истории. Первая, думаю, ИБшникам зайдёт. 😉
Князь с подачи коня Юлия внедряет во дворце систему безопасности и объявляет багбаунти программу для выявления уязвимостей в ней: кто проникнет во дворец и выполнит реализацию недопустимого события (кражу короны), тот получит 100 сладких пряников.
В результате недопустимое событие реализуют, но за наградой никто не обращается. 😱🫣
Пришлось Алёше Поповичу проводить ресёрч как же злоумышленнику получилось обойти средства защиты. 😏
В итоге оказалось, что был реализован совсем не тот вектор, от которого защищались. 🤷♂️ Как это и бывает.
Мораль? 🙂 Тщательнее оговаривайте условия Bug Bounty программы. Она не обязательно должна быть публичной, зачастую приватная программа с ограниченным количеством проверенных участников (или даже обычный пентест) получается эффективнее и безопаснее. 😉
Заканчивается приём заявок на Pentest Award 2024 от Awillix. Заявки принимаются до 23 июня.
Если у вас или у ваших коллег есть ресёрчи подходящие под следующие номинации, обязательно подавайтесь:
🔹 Hack the logic 🔹 Раз bypass, два bypass 🔹 Ловись рыбка 🔹 Пробив WEB 🔹 Пробив инфраструктуры 🔹 Девайс
"Не упускайте шанс побороться за звание лучшего этичного хакера, получить призы и потусить с единомышленниками в камерной атмосфере на церемонии награждения."
Awillix открыли приём заявок на Pentest Award 2024. Собирают заявки до 23 июня, награждать будут 2 августа. В этот раз будет 6 номинаций, по 3 призовых места в каждой.
Посмотрел эфир Awillix про оценку стоимости пентеста. Основная идея, насколько я понял, в следующем. У вас есть организация с некоторым уровнем развития ИБ. Прежде чем заказывать пентест нужно реалистично прикинуть от какого рода злоумышленников имеет смысл её защищать:
🔻 Script kiddie (а кто покруче всё равно проломит 🤷♂️) 🔻 Хакер-одиночка (а кто покруче всё равно проломит 🤷♂️) 🔻 APT-группировка
После того как выявили уровень злоумышленника, атаку которого имеет смысл сымитировать, прикидываем сколько и каких специалистов нам нужно привлечь:
🔸 Script kiddie 🛡 пентестер-джун на 5-7 рабочих дней, 200-400 тыс.р.
🔸 Хакер-одиночка 🛡 2 мидла и сениор на 15-20 рабочих дней, 400 тыс. -1 млн.р.
🔸 APT-группировка 🛡 3-5 сениоров и лид на >3 месяцев, 4-12+ млн.р.
Это чисто из примерных грейдов специалистов и времени. Дальше зависит от модели тестирования, скоупа и т.д.
➡️ У Awillix есть прикольный интерактивный лендинг, где они подробно всю методологию оценки показывают.
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.
