Архив метки: TCPIP

Прогресс в эксплуатации Remote Code Execution - Windows TCP/IP IPv6 (CVE-2024-38063)

Прогресс в эксплуатации Remote Code Execution - Windows TCP/IP IPv6 (CVE-2024-38063)

Прогресс в эксплуатации Remote Code Execution - Windows TCP/IP IPv6 (CVE-2024-38063). Уязвимость из августовского Patch Tuesday. 2 недели назад я уже писал почему она потенциально опасна. Теперь опасность значительно повысилась:

🔻 24 августа на GitHub появился PoC эксплоита. Есть видео с запуском небольшого python-скрипта (39 строк), вызывающего падение Windows с ошибкой "KERNEL SECURITY CHECK FAILURE". Выглядит скорее как DoS, чем RCE. Но это пока.

🔻 Известный исследователь Marcus Hutchins выложил в своём блоге статью "CVE-2024-38063 - Remotely Exploiting The Kernel Via IPv6". В ней описаны технические подробности эксплуатации уязвимости.

В общем, уже есть детали и первый работающий код. Вероятность того, что уязвимость докрутят до практической эксплуатации RCE значительно повысилась.

❗️ Проверьте, что уязвимость у вас запатчена и повысьте приоритет задаче на исправление, если ещё нет.

Про уязвимость Remote Code Execution - Windows TCP/IP IPv6 (CVE-2024-38063)

Про уязвимость Remote Code Execution - Windows TCP/IP IPv6 (CVE-2024-38063)

Про уязвимость Remote Code Execution - Windows TCP/IP IPv6 (CVE-2024-38063). Уязвимость из августовского Patch Tuesday. Эксплоитов и признаков эксплуатации вживую пока не видно, но описание уязвимости выглядит страшновато. 😱

Неаутентифицированный злоумышленник отправляет пакеты IPv6 на компьютер под управлением Windows и это приводит к удаленному выполнению кода. CVSS 9.8, "Exploitation More Likely".

🔹 Если IPv6 отключен, то уязвимость не эксплуатируется. Но по умолчанию он включен. 😏
🔹 Блокировка IPv6 на локальном фаерволе Windows не помешает эксплуатации (эксплуатация происходит до обработки фаерволом). 🤷‍♂️

Уязвимость нашли эксперты из китайской ИБ-компании Cyber Kunlun. Когда появятся технические детали и эксплоиты, это может быть очень критично и "wormable". 🪱

Update

По поводу российского аналога TCP/IP, часть 3

По поводу российского аналога TCP/IP, часть 3. Нашли о чем речь? 2 дня назад на Секлабе вышла статья "Секреты нового российского транспортного протокола RUSTP/UDTP", где утверждается, что технология, которая описывается на сайте ipv17.ru это как раз то, о чем шла речь на встрече с президентом. Могу предположить, что логика была такая:

1. С президентом разговаривал Александр Владимирович Селютин, председатель совета директоров группы компаний «Техноджет».
2. В интернете нашли презентацию 2019 года под авторством Александра Селютина "Проект .v17 ИНТЕРНЕТ+". Там фигурирует некий протокол rustp/udtp.
3. Делается предположение, что директор Техноджет и автор презентации это один и тот же Александр Селютин, а проект .v17 это как раз и есть тот самый "российский аналог TCP/IP".
4. Дальше по ".v17" и "rustp/udtp" ничего не находится, но находится проект с похожим названием http://ipv17.ru/ (последний пост с видео 6 лет назад). Делается второе предположение, что ".v17" и "ipv17" это одно и тоже. При том, что по "rustp", "Селютин", "Selytin" на сайте ничего не ищется. И вся дальнейшая техническая критика идет в сторону ipv17 и OOO Инкомтех.

Т.е. вполне допускаю, что Александр Владимирович Селютин, председатель совета директоров ГК «Техноджет», действительно имел в виду ipv17 в своём выступлении, но пока это не видится таким очевидным. Ждем более весомых пруффов. Желательно от самого Александра Владимировича.

Часть 2

По поводу российского аналога TCP/IP, часть 2

По поводу российского аналога TCP/IP, часть 2. Появилась видеозапись и стенограмма мероприятия. Что там видно.

1. Инициатива от руководителя ГК «Техноджет» из Нижнего Новгорода. Утверждается, что они разрабатывают беспилотные летательные аппараты и космические системы. Они "приступили к разработке системы управления этими аппаратами и модема связи, который будет работать на нашем собственном протоколе связи". Об этом протоколе и речь.

2. То, что они предлагают это "собственные протоколы передачи данных, внедрение которых позволит отказаться от использования стека американских сетевых протоколов TCP/IP" и "высокоскоростная технология приёма-передачи данных на базе низкоорбитальных спутников" (видимо что-то а-ля Starlink). Утверждают, что для широкополосной системы спутниковой связи уже есть испытанные прототипы.

3. Утверждают, что проводили испытания своих протоколов и они показали себя "лучше, чем TCP/IP на сети. Я приведу цифру. Если задержка или потеря пакетов в TCP происходит в размере одного процента, то TСP восстанавливает эти пакеты в течение 360 секунд. Мы восстанавливаем – 5,7 секунды." 🧐

4. Чего хотят: "Конкретно нужно финансирование, нужно решение об утверждении хотя бы на равных правах российского протокола связи с американскими сетевыми протоколами". Пишут, что общались с Роскомнадзором и с «Ростелекомом». "Всё новое, что предлагается, сразу же отметается".

В общем, выглядит как частная инициатива, которую вынесли наверх. Есть некоторые сомнения, что компания, для которой сетевое оборудование не является основным фокусом деятельности смогла реализовать что-то очень универсальное и эффективное, но почему бы, собственно, и нет. Будет интересно ознакомиться с техническими подробностями, если будут. Пока не выглядит так, что финансирование они получат без предварительной экспертизы наработок.

Часть 1

По поводу российского аналога TCP/IP

По поводу российского аналога TCP/IP. Какая-то чересчур эмоциональная реакция на это в интернетиках пошла. Хотя никаких технических деталей пока не наблюдается. Из того, что я видел, можно сказать следующее:

1. Контекст: "мероприятие в индустриальном парке "Руднево", на котором обсуждались особенности развития отечественных беспилотных летательных систем". Зачем вообще при управлении беспилотниками или тем более спутниковой группировкой использовать TCP/IP? Конечно нужно другие протоколы использовать, которые лучше для этих целей подходят, где, например, задержки меньше, а встроенных функций безопасности больше.

2. Даже если речь идет о том, чтобы в какой-то отдаленной перспективе заменить TCP/IP на что-то другое, так это тоже не является чем-то экстраординарным. Например, Huawei развивает свой протокол NEW IP с IP-адресами переменной длины, возможностью определение разной семантики адресов, возможностью определения произвольных полей в заголовке IP-пакета. Может быть он станет международным стандартом и заменой IPv4/IPv6 (мы же все дружно на IPv6 1996-го года перешли, да 😏), а возможно будет использоваться для построения каких-то локальных сетей.

3. В порядке юмора можно вспомнить время, когда никакого TCP/IP в РФ практически не было, а все общались в Fido и на BBSках, а также лазили по x.25 сетям. И было норм. 😆

Часть 2