Архив метки: Pentest

ТОП 5 CVE, которые чаще других эксплуатировались пентестерами Positive Technologies в 2023 году

Добавить комментарий

ТОП 5 CVE, которые чаще других эксплуатировались пентестерами Pos­i­tive Tech­nolo­gies в 2023 году. Отчёт вышел 2 июля.

Список уязвимостей:

🔻 Remote Code Exe­cu­tion — Microsoft Exchange "Prox­yNot­Shell" (CVE-2022–41040, CVE-2022–41080, CVE-2022–41082)
🔻 Remote Code Exe­cu­tion — Bitrix Site Man­ag­er "PollsVotes" (CVE-2022–27228)
🔻 Ele­va­tion of Priv­i­lege — Polk­it "PwnKit" (CVE-2021–4034)

Дальше в рифмованном виде. 😉 Трек сгенерировал в Suno.

По пентестам за прошедший год отчёт
Вышел у Позитивов.
Каждый кто его прочтёт,
Увидит, что там всё красиво.
28 проектов, есть что показать.
Статистика и результаты.
Умеют защищать и умеют ломать —
Молодцы ребята!
(Молодцы ребята!)

К отчёту они подошли всерьёз.
Ознакомьтесь без спешки!
Но у меня всегда один вопрос:
Где там CVE-шки?
(Где там CVE-шки?)

По отчёту уязвимости не сложно сосчитать.
Их совсем немного. Их конкретно пять.

Топ пять критичных уязвимостей.
Эксплуатируют их чаще всего в ходе пентестов.
Ужас пробирает до костей,
Когда видишь их в инфре: им не должно быть места!
Давно известны они все,
И что опасны они никто не возразит:
PollsVotes в Битриксе,
Prox­yNot­Shell в Эксчендже,
А на Lin­ux-ах PwnKit.

Самый популярный почтовый сервак
MS Exchange — лакомая цель любых атак.
3 уязвимости Prox­yNot­Shell — по сути одна
Remote Code Exe­cu­tion. Опасность наглядно видна.

Bitrix Site Man­ag­er — популярная в России CMS.
И к тому же отечественная. Импортозамeс!
RCE в модуле "Опросы, голосования" -
Причина массовых дефейсов и для атак на инфру основание.

Ну а если злоумышленник
На Lin­ux хост проник
И там спокойно сидит,
Нет надёжнее стратегии,
Чем поднять до root‑a привилегии
Через уязвимость Polk­it, PwnKit.

Топ пять критичных уязвимостей.
Эксплуатируют их чаще всего в ходе пентестов.
Ужас пробирает до костей,
Когда видишь их в инфре: им не должно быть места!
Давно известны они все,
И что опасны они никто не возразит:
PollsVotes в Битриксе,
Prox­yNot­Shell в Эксчендже,
А на Lin­ux-ах PwnKit.

Это были результаты за 2023 год.
Что за тренды нам текущий год принесёт?
Кто подаст надёжный патчиться сигнал?
Подпишись на @avleonovrus "Управление Уязвимостями и прочее", Telegram канал.

MP3 файл

Три богатыря и Bug Bounty

Добавить комментарий

Три богатыря и Bug Bounty

Три богатыря и Bug Boun­ty. Сходили в кино на анимационный фильм "Три богатыря. Ни дня без подвига". Три короткие истории. Первая, думаю, ИБшникам зайдёт. 😉

Князь с подачи коня Юлия внедряет во дворце систему безопасности и объявляет багбаунти программу для выявления уязвимостей в ней: кто проникнет во дворец и выполнит реализацию недопустимого события (кражу короны), тот получит 100 сладких пряников.

В результате недопустимое событие реализуют, но за наградой никто не обращается. 😱🫣

Пришлось Алёше Поповичу проводить ресёрч как же злоумышленнику получилось обойти средства защиты. 😏

В итоге оказалось, что был реализован совсем не тот вектор, от которого защищались. 🤷‍♂️ Как это и бывает.

Мораль? 🙂 Тщательнее оговаривайте условия Bug Boun­ty программы. Она не обязательно должна быть публичной, зачастую приватная программа с ограниченным количеством проверенных участников (или даже обычный пентест) получается эффективнее и безопаснее. 😉

Заканчивается приём заявок на Pentest Award 2024 от Awillix

Добавить комментарий

Заканчивается приём заявок на Pentest Award 2024 от Awillix

Заканчивается приём заявок на Pen­test Award 2024 от Awillix. Заявки принимаются до 23 июня.

Если у вас или у ваших коллег есть ресёрчи подходящие под следующие номинации, обязательно подавайтесь:

🔹 Hack the log­ic
🔹 Раз bypass, два bypass
🔹 Ловись рыбка
🔹 Пробив WEB
🔹 Пробив инфраструктуры
🔹 Девайс

"Не упускайте шанс побороться за звание лучшего этичного хакера, получить призы и потусить с единомышленниками в камерной атмосфере на церемонии награждения."

Awillix открыли приём заявок на Pentest Award 2024

Добавить комментарий

Awillix открыли приём заявок на Pentest Award 2024

Awillix открыли приём заявок на Pen­test Award 2024. Собирают заявки до 23 июня, награждать будут 2 августа. В этот раз будет 6 номинаций, по 3 призовых места в каждой.

3 номинации остались с прошлого года:

🔸 Hack the log­ic
🔸 Раз bypass, два bypass
🔸 Ловись рыбка

3 новых:

🔻 Пробив WEB (от BIZONE Bug Boun­ty)
🔻 Пробив инфраструктуры (от VK)
🔻 Девайс

Заявлены прикольные призы: макбуки, айфоны, смарт-часы, умные колонки и прочее.

Уютный канальчик "Управление Уязвимостями и прочее" в инфопартнёрах. 😉

Подавайтесь!

Посмотрел эфир Awillix про оценку стоимости пентеста

Добавить комментарий

Посмотрел эфир Awillix про оценку стоимости пентеста

Посмотрел эфир Awillix про оценку стоимости пентеста. Основная идея, насколько я понял, в следующем. У вас есть организация с некоторым уровнем развития ИБ. Прежде чем заказывать пентест нужно реалистично прикинуть от какого рода злоумышленников имеет смысл её защищать:

🔻 Script kid­die (а кто покруче всё равно проломит 🤷‍♂️)
🔻 Хакер-одиночка (а кто покруче всё равно проломит 🤷‍♂️)
🔻 APT-группировка

После того как выявили уровень злоумышленника, атаку которого имеет смысл сымитировать, прикидываем сколько и каких специалистов нам нужно привлечь:

🔸 Script kid­die
🛡 пентестер-джун на 5–7 рабочих дней, 200–400 тыс.р.

🔸 Хакер-одиночка
🛡 2 мидла и сениор на 15–20 рабочих дней, 400 тыс. ‑1 млн.р.

🔸 APT-группировка
🛡 3–5 сениоров и лид на >3 месяцев, 4–12+ млн.р.

Это чисто из примерных грейдов специалистов и времени. Дальше зависит от модели тестирования, скоупа и т.д.

➡️ У Awillix есть прикольный интерактивный лендинг, где они подробно всю методологию оценки показывают.

Почитал пентестерские байки от Rapid7

Добавить комментарий

Почитал пентестерские байки от Rapid7

Почитал пентестерские байки от Rapid7.

1. Инвентаризация активов через AD.
2. Активное сканирование сети.
3. Распространенные способы не прошли ("BNS poi­son­ing, SMB Sign­ing not required, or IPv6-based attacks").
4. Атака на IPMI — интерфейс для управления функциями, встроенными в аппаратное и микроПО серверных платформ. Сбор IPMI хешей и их анализ. Нашли стандартные учётки типа "admin:admin" и "root:root".
5. Зашли в веб-интерфейс на трёх IPMI активах, увидели инстансы VMware ESXi, а также ip и url для админки VMware ESXi.
6. Получили доступ к VMware ESXi консолям (учётка такая же, что и для IPMI!), нашли на них основной контроллер домена (DC) и сервер Exchange.
7. Получили доступ к файловой системе DC, достали NTDS.DIT файл с NTLM хешами.
8. Демонстрация импакта: поиск критичной информации в email-ах и на шарах, рассылка писем от имени пользователей, сброс второго фактора.

В общем, основное это головотяпство. Хотя очень шумно делали, особенно сканирование.

Доклад Рустэма Хайретдинова про багбаунти

Добавить комментарий

Доклад Рустэма Хайретдинова про багбаунтиДоклад Рустэма Хайретдинова про багбаунтиДоклад Рустэма Хайретдинова про багбаунтиДоклад Рустэма Хайретдинова про багбаунти

Доклад Рустэма Хайретдинова про багбаунти. Доклад был секретный про внутреннюю кухню багбаунти-сервисов. Видео для него не будет. Были интересные подробности. 👍 Из того, что можно было сфоткать это 3 слайда со сравнением пентеста и багбаунти. Что в итоге выбрать? "И то, и другое, и можно без хлеба" (с)