Начался приём заявок на ежегодную премию Pentest Award от Awillix. Подать заявку можно до 30 июня. Победителей наградят 1 августа. Помимо статуэток подарят технику Apple (ноут, смарфон, часы) , а также спец-призы от спонсоров BIZONE и CyberEd.
Жюри будут оценивать заявки по полноте описания и пруфам, сложности эксплуатации, использованию нестандартных подходов, качеству рекомендаций по устранению уязвимостей и субъективному вау-эффекту. 🙂 Интересны необычные подходы, ресерчи и методики. Чувствительные данные можно не раскрывать.
Номинации:
🔻 Пробив web 🔻 Пробив инфраструктуры 🔻 Мобильный разлом: от устройства до сервера 🔻 Девайс 🔻 «**ck the logic» 🔻 «Раз bypass, два bypass» 🔻 «Ловись рыбка» (фишинг) 🔻 Out of Scope ("нестандартные offensive-находки и открытия")
🔹 Антиноминация: Осторожно грабли ("самые ценные неудачи и полезные уроки в сфере ИБ")
Как и в прошлом году, собираюсь отслеживать и подсвечивать интересное. 😏
Взгляд на Offensive со стороны Vulnerability Management специалиста. В канале Just Security вышел ролик про церемонию награждения Pentest Awards 2024 от Awillix. В ролике организаторы, жюри и победители рассуждают что это за мероприятие и для чего оно нужно - в первую очередь для нетворкинга специалистов по наступательной кибербезопасности и обмена опытом.
Я, как VM-щик, смотрю на этот движ несколько со стороны, но всегда с интересом.
🔹 Имхо, VM-щику лучше устраняться от игры в "докажи-покажи" с IT-шниками, т.к. это сжирает ресурсы необходимые для поддержания VM-процесса.
🔹 А у оффенсеров (pentest, bug bounty) суть работы как раз в "докажи-покажи" и заключается. Т.е. проломить здесь и сейчас хотя бы в одном месте.
Поэтому VM-щику обязательно нужно дружить с оффенсерами и отслеживать какие векторы популярны, эксплоиты для каких уязвимостей работают надёжно и "не шумят". Чтобы устранять такие уязвимости в первую очередь. 😉
🥇 Пробив WEB - shin0_by "Multiple Take Over". Изменение логина и пароля через перебор значения cookie. "Bypass Restrict User Registration → Bypass EDR → RCE WebApp → RCE SQL Server"
🥇 Пробив Инфраструктуры - Im10n "FreeIPA". Анализ инфраструктуры на базе FreeIPA. Уязвимость, позволяющая сделать перебор заведена как CVE-2024-3183. "Initial Access to FreeIPA → TGT Request → Salt Extraction → TGS Brute-forcing → Domain Admin Password Retrieval → DC Compromise"
🥇 Девайс - N0um3n0n "SMS Heap Overflow". Выполнение произвольного кода на модеме путем отправки специально сформированных SMS. "SMS Heap Overflow → Controlled Memory Read → Primitives for Memory Write → Execution of Arbitrary Code → Memory Unlocking → Deployment of Custom Driver → Persistent Application Installation"
🥇 Hack The Logic - only4u2day "From Bot to Admin". Получение прав администратора для бота в Mattermost . "Bot Creation → Privilege Escalation with Admin Roles → Bot-to-User Conversion → Full Admin Panel Access".
🥇 Раз bypass, два bypass - snovvcrash "SafetyNDump". Обход AV для создания дампа процесса LSASS с повышенными привилегиями. "Impersonation via TokenDuplicator → Elevated Handle with NanoDump → LSASS Dump Creation → MiniDump Parsing"
🥇 Ловись рыбка - X0red "Advanced Rogue RDP". Фишинговое письмо с RDP-файлом, который автоматически подключается к внешнему серверу и создаёт прокси-туннель. "Phishing Email with Rogue RDP → User Connects to Rogue RDP Server → Proxy Tunnel Establishment → Network Scanning → Exploitation of Internal Services"
Про остальных победителей читайте в отчёте на хабре. В отчёте упоминается эксплуатация известных уязвимостей: 🔻 AuthBypass - Hikvision Wi-Fi IP camera (CVE-2017-14953) 🔻 RCE - Hikvision IP camera/NVR (CVE-2021-36260) 🔻 RCE - D-Link DNS-320 (CVE-2019-16057) 🔻 Spoofing - Windows LSA "PetitPotam" (CVE-2021-36942)
Ожидаемый вопрос: а где же подробности и пруфы? 😏 Особых деталей ждать не приходится, так как работа пентестеров обычно проходит под NDA. Статьи тех, кто согласиться поделиться подробностями, выйдут в журнале Xakep.
🔻 Remote Code Execution - Microsoft Exchange "ProxyNotShell" (CVE-2022-41040, CVE-2022-41080, CVE-2022-41082) 🔻 Remote Code Execution - Bitrix Site Manager "PollsVotes" (CVE-2022-27228) 🔻 Elevation of Privilege - Polkit "PwnKit" (CVE-2021-4034)
Дальше в рифмованном виде. 😉 Трек сгенерировал в Suno.
---
По пентестам за прошедший год отчёт Вышел у Позитивов. Каждый кто его прочтёт, Увидит, что там всё красиво. 28 проектов, есть что показать. Статистика и результаты. Умеют защищать и умеют ломать - Молодцы ребята! (Молодцы ребята!)
К отчёту они подошли всерьёз. Ознакомьтесь без спешки! Но у меня всегда один вопрос: Где там CVE-шки? (Где там CVE-шки?)
По отчёту уязвимости не сложно сосчитать. Их совсем немного. Их конкретно пять.
Топ пять критичных уязвимостей. Эксплуатируют их чаще всего в ходе пентестов. Ужас пробирает до костей, Когда видишь их в инфре: им не должно быть места! Давно известны они все, И что опасны они никто не возразит: PollsVotes в Битриксе, ProxyNotShell в Эксчендже, А на Linux-ах PwnKit.
Самый популярный почтовый сервак MS Exchange - лакомая цель любых атак. 3 уязвимости ProxyNotShell - по сути одна Remote Code Execution. Опасность наглядно видна.
Bitrix Site Manager - популярная в России CMS. И к тому же отечественная. Импортозамeс! RCE в модуле "Опросы, голосования" - Причина массовых дефейсов и для атак на инфру основание.
Ну а если злоумышленник На Linux хост проник И там спокойно сидит, Нет надёжнее стратегии, Чем поднять до root-a привилегии Через уязвимость Polkit, PwnKit.
Топ пять критичных уязвимостей. Эксплуатируют их чаще всего в ходе пентестов. Ужас пробирает до костей, Когда видишь их в инфре: им не должно быть места! Давно известны они все, И что опасны они никто не возразит: PollsVotes в Битриксе, ProxyNotShell в Эксчендже, А на Linux-ах PwnKit.
Это были результаты за 2023 год. Что за тренды нам текущий год принесёт? Кто подаст надёжный патчиться сигнал? Подпишись на @avleonovrus "Управление Уязвимостями и прочее", Telegram канал.
Три богатыря и Bug Bounty. Сходили в кино на анимационный фильм "Три богатыря. Ни дня без подвига". Три короткие истории. Первая, думаю, ИБшникам зайдёт. 😉
Князь с подачи коня Юлия внедряет во дворце систему безопасности и объявляет багбаунти программу для выявления уязвимостей в ней: кто проникнет во дворец и выполнит реализацию недопустимого события (кражу короны), тот получит 100 сладких пряников.
В результате недопустимое событие реализуют, но за наградой никто не обращается. 😱🫣
Пришлось Алёше Поповичу проводить ресёрч как же злоумышленнику получилось обойти средства защиты. 😏
В итоге оказалось, что был реализован совсем не тот вектор, от которого защищались. 🤷♂️ Как это и бывает.
Мораль? 🙂 Тщательнее оговаривайте условия Bug Bounty программы. Она не обязательно должна быть публичной, зачастую приватная программа с ограниченным количеством проверенных участников (или даже обычный пентест) получается эффективнее и безопаснее. 😉
Заканчивается приём заявок на Pentest Award 2024 от Awillix. Заявки принимаются до 23 июня.
Если у вас или у ваших коллег есть ресёрчи подходящие под следующие номинации, обязательно подавайтесь:
🔹 Hack the logic 🔹 Раз bypass, два bypass 🔹 Ловись рыбка 🔹 Пробив WEB 🔹 Пробив инфраструктуры 🔹 Девайс
"Не упускайте шанс побороться за звание лучшего этичного хакера, получить призы и потусить с единомышленниками в камерной атмосфере на церемонии награждения."
Awillix открыли приём заявок на Pentest Award 2024. Собирают заявки до 23 июня, награждать будут 2 августа. В этот раз будет 6 номинаций, по 3 призовых места в каждой.
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.