Архив метки: RCE

Новый трек про потенциальную апрельскую zero-click RCE уязвимость в Telegram

Добавить комментарий

Новый трек про потенциальную апрельскую zero-click RCE уязвимость в Telegram. 🙂 Рифмованная переработка предыдущего поста.

На прошлой неделе разыгралась драма:
Якобы zero-click RCE в Win­dows клиенте Телеграма.
Злодей засылает картинку тебе, друже,
И запускает калькулятор или что похуже.
Или даже не конкретно тебе, не столь важен адресат,
Это может быть и какой-нибудь общий чат.
Главное, включенная автозагрузка изображений.
Неужели правда?! Есть несколько мнений.

Разрабы Телеграма отрицают фаталити.
Есть что показать? Шлите на bug boun­ty!
За 10к баксов. Верить ли видео? Решай сам.
Вполне может быть и какой-то скам.

Однако, как по мне, это видео реальное,
Хотя и ситуация не такая фатальная.
Это не zero-click, а запускает зловреда тушку
Беспечный клик жертвы на превьюшку.
Этот клик запускает файл .pyzw,
Если не знаешь что это, сейчас поясню.
Исполняемый zip-архив с программой на Питон.
Запускать такое по клику в мессенджере — страшный сон.
И Телеграм такое должен бы блокировать вроде
Если бы не досадная опечатка в коде…

Но почему это файл показывается как картинка?
Похоже наложилась в детeкте по Mime-type ошибка.

Короче, по в вопросу zero-click RCE в Telegram ставим пока многоточие…
А ты подпишись на канал avleonovrus "Управление Уязвимостями и прочее". 😉

Начитался про RCE уязвимость Telegram прошлой недели

Добавить комментарий

Начитался про RCE уязвимость Telegram прошлой недели

Начитался про RCE уязвимость Telegram прошлой недели. Bleep­ing­Com­put­er, Хабр1, Хабр2. Пока всё ещё очень противоречиво. Мне кажется вероятным такой расклад:

🔹 Видео настоящее.
🔹 Это не zero-click RCE, калькулятор запускается после клика на превьюшку.
🔹 После клика на превьюшку скачивается и выполняется .pyzw файл (exe­cutable Python zip archive). Так что недавний фикс разработчиков Telegram, добавляющий нотификацию о потенциальной опасности при клике на .pyzw файлы (нотификации не было из-за курьёзной опечатки), на самом деле касался именно этой уязвимости.
🔹 Bleep­ing­Com­put­er пишет про довольно сомнительную работу с файлами в Telegram: "неизвестные типы файлов, опубликованные в Telegram, будут автоматически запускаться в Win­dows, позволяя операционной системе решить, какую программу использовать". Файлы .pyzw были как раз такими "неизвестными" из-за опечатки. Кажется тут будет много граблей ещё и лучше бы по клику никогда ничего не запускать. 🤔
🔹 Почему .pyzw файл выглядит как превьюшка изображения — отдельная загадочная тема. Bleep­ing­Com­put­er пишет: "Чтобы замаскировать файл, исследователи придумали использовать бот Telegram для отправки файла с mime-типом «video/mp4», в результате чего Telegram отображает файл как общедоступное видео." Пользователь Хабра пишет, что механизм там несколько другой. Мне, честно говоря, именно эти подробности не очень интересны. Научились как-то маскировать и ладно.

Что делать? Win­dows зло и клиент Telegram под Win­dows тоже зло, сносите. 🙂

А если серьёзно, то

🔸 Отключить автоматическое скачивание картинок и видео выглядят разумной предосторожностью. Вполне допускаю в будущем наличие уязвимости именно в обработке изображений или видео Telegram-клиентом.
🔸 Веб-версия Telegram, по идее, должна быть безопаснее десктопного приложения. 🤷‍♂️
🔸 Идеально мессенджер, как и браузер, в виртуалке запускать, чтобы ещё больше осложнить злоумышленнику жизнь. 😏

А так, в первую очередь у разработчиков Telegram должна голова об этом болеть, а дело пользователей регулярно его обновлять. 😉

Прожектор по ИБ, выпуск №15 (09.12.2023): Нейролингвистические атаки на ИИ

Добавить комментарий

Прожектор по ИБ, выпуск №15 (09.12.2023): Нейролингвистические атаки на ИИ

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Glob­al Dig­i­tal Space"

00:00 Здороваемся и смотрим статистику по прошлому эпизоду
01:56 Про конференцию Код ИБ Итоги 2023
08:14 Фишинговая атака на админов Word­Press и настоящая RCE
13:39 У NVD превратятся в тыкву фиды и API 1.0, что делать?
17:36 Нейролингвистические атаки на ИИ и автоматическая конвертация BASH в Python
26:00 Стратегия развития области связи
34:17 Премия Киберпросвет
38:59 Прощание от Mr.X

Вышло обновление, исправляющее RCE уязвимость в WordPress

1 комментарий

Вышло обновление, исправляющее RCE уязвимость в WordPress

Вышло обновление, исправляющее RCE уязвимость в Word­Press. Уязвимость исправляется в версии 6.4.2. CVE-шки нет и вендор характеризует её неопределенно:

"Уязвимость удаленного выполнения кода, которая не может быть использована напрямую в ядре, однако команда безопасности считает, что существует потенциал высокой критичности (sever­i­ty) в сочетании с некоторыми плагинами, особенно при мультисайтовых инсталляций (mul­ti­site installs)." 🤷‍♂️

Patch­stack пишут, что уязвимость экслуатабельна только в сочетании с другой PHP object injec­tion уязвимостью. Пишут, что уязвимы версии 6.4.0 и 6.4.1, однако рекомендуют:

"как можно скорее обновить свой сайт до версии 6.4.2, даже если вы не используете версию 6.4.0 или 6.4.1."

При этом 6.4.2 это не secu­ri­ty release, и автоматическое обновление, как видно на скриншоте, может не отрабатывать. 🤔

Имхо, лучше всё же перестраховаться и

🔹 прожать обновление до 6.4.2
🔹 перевести в сайт в режим "Auto­mat­ic updates for all Word­Press ver­sions"

Прожектор по ИБ, выпуск №9 (30.10.2023)

1 комментарий

Прожектор по ИБ, выпуск №9 (30.10.2023). С небольшим опозданием записали очередной эпизод. В этот раз в основном были новости про актуальные уязвимости. Но, как мне показалось, интереснее были побочные обсуждения: про балансировщики, национальный Anti-DDoS, опасность утекших учёток от Госуслуг и лучший вариант для второго фактора.

Мы это:

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Glob­al Dig­i­tal Space"

00:00 Здороваемся и смотрим статистику по просмотрам. Прошлый выпуск посмотрело больше 100 человек — нормально
01:26 Обсуждаем мемный ролик про Priv­i­lege Esca­la­tion в Cis­co IOS XE (CVE-2023–20198), 30к поломанных устройств и смену импланта, чтобы затруднить детектирование
05:47 iPhone три года сливали MAC-адрес из-за дефектной функции приватности. Насколько вообще опасно, что MAC вашего устройства узнают?
10:12 Про уязвимости "Cit­rix Bleed" NetScaler ADC/Citrix ADC, NetScaler Gate­way (CVE-2023–4966) и актуальные уязвимости VMware: RCE в vCen­ter Serv­er (CVE-2023–34048) и обход аутентификации в Aria Oper­a­tions for Logs (CVE-2023–34051). Насколько в России популярны NetScaler ADC и Aria Oper­a­tions? Лев интересно рассказывает про NGINX и про балансировщики, в том числе отечественные.
14:26 Читаем блог Алексея Лукацкого из 2013 года: Кто захватит мировой рынок кибербезопасности к 2023 году? Мэтр всё предсказал!
17:21 В России создают суперантивирус с динамическим анализом трафика с оригинальным названием "Мультисканер". Здесь же обсудили и национальный Anti-DDoS.
21:55 Компания Mier­com выпустила отчёт "Конкурентная Оценка Управления Уязвимостями" — сканеры детектируют не все существующие уязвимости
24:36 Vul­ners представили AI Score v2 — предсказание CVSS Base Score
28:28 Доступ к "Госуслугам" станет возможен только по двухэтапной аутентификации. Обсудили как злоумышленники могут взять на вас микрокредит или продать вашу квартиру через госуслуги и какой второй фактор самый лучший.
37:17 Мем недели — кресло для безопасника в каждом номере отеля
39:38 Прощание от Mr. X

Время побеспокоить отдел, который у вас в компании ML-ем балуется, SSRF/RCE в TorchServe (CVE-2023–43654, CVE-2022–1471), ShellTorch

Добавить комментарий

Время побеспокоить отдел, который у вас в компании ML-ем балуется, SSRF/RCE в TorchServe (CVE-2023-43654, CVE-2022-1471), ShellTorch

Время побеспокоить отдел, который у вас в компании ML-ем балуется, SSRF/RCE в Torch­Serve (CVE-2023–43654, CVE-2022–1471), Shell­Torch. CVSS 9.8 и 9.9. Torch­Serve это опенсурсная платформа, которая позволяет развертывать обученные модели PyTorch. Например, чтобы автомобильные номера распознавать. Израильтяне из Oli­go Secu­ri­ty обнаружили, что из-за дефолтного конфига интерфейсы управления Torch­Serve часто наружу торчат без какой-либо аутентификации. 🤷‍♂️ С помощью сетевого сканера они десятки тысяч IP-адресов нашли, которые подвержены атаке. А атака это комбинация SSRF в Torch­Serve и небезопасной десериализации в SnakeYAML (библиотека анализа YAML).

Пишут, что обновление до пропатченной версии 0.8.2 и выше по факту SSRF не лечит, только warn­ing добавляет. Предлагают митигировать правильной настройкой конфига Torch­Serve. Есть проверочная утилита.

По поводу RCE без аутентификации в почтовом сервере Exim (CVE-2023–42115)

2 комментария

По поводу RCE без аутентификации в почтовом сервере Exim (CVE-2023-42115)

По поводу RCE без аутентификации в почтовом сервере Exim (CVE-2023–42115). Уязвимость зарепортили через ZDI. На первый взгляд выглядит страшновато, CVSS 9.8. Но пишут со ссылкой на разрабов, что уязвимы не все инсталляции, а только те, где используется "внешняя" схема аутентификации. 🤷‍♂️ Так что это, по идее, НЕ повторение CVE-2019–10149 "The Return of the WIZ­ard", которая успешно и широко эксплуатировалась на дефолтных конфигурациях, а что-то менее критичное. Но в любом случае, если у вас почтовый сервер на Exim (да и вообще на чём-то нетривиальном, не на MS Exchange), лучше лишний раз "подпрыгнуть" и разобраться как оно там работает и как обновляется. Наверняка будут сюрпризы. Тем более, что в этой пачке для Exim ещё 5 уязвимостей, которые неплохо бы зафиксить.

На текущий момент Vul­ners показывает для CVE-2023–42115 только бюллетень безопасности/пакеты с исправлением под Debian. А остальные дистрибы видимо пока без фиксов, ждём.

🟥 PT относит уязвимость к трендовым.