Архив метки: vulnerability

Про уязвимость Remote Code Execution - Acronis Cyber Infrastructure (CVE-2023-45249)

1 комментарий

Про уязвимость Remote Code Execution - Acronis Cyber Infrastructure (CVE-2023-45249)

Про уязвимость Remote Code Execution - Acronis Cyber Infrastructure (CVE-2023-45249). Благодаря используемым паролям по умолчанию, удалённый неаутентифицированный злоумышленник может получить доступ к серверу Acronis Cyber Infrastructure (ACI) и выполнить на нём произвольный код.

ACI - это гиперконвергентная платформа для хранения, бэкапирования, вычислений, виртуализации и сетевых функций.

🔻 Патчи, исправляющие эту уязвимость, вышли 30 октября 2023 (❗️) года.
🔻 Через 9-10 месяцев, 24 июля этого года, Acronis отметили в бюллетене, что для уязвимости появились признаки эксплуатации вживую. Пишут, что целью эксплуатации была установка криптомайнера. 29 июля уязвимость добавили в CISA KEV.

Ряд источников сообщает о 20 000 сервис-провайдеров, использующих ACI. Я не нашёл подтверждений этому. Возможно тут путаница с Acronis Cyber Protect. Однако, крупных компаний, использующих ACI, наверняка, довольно много. Если вы работаете в такой компании, обязательно обратите внимание.

Про уязвимость Remote Code Execution - Artifex Ghostscript (CVE-2024-29510)

1 комментарий

Про уязвимость Remote Code Execution - Artifex Ghostscript (CVE-2024-29510)

Про уязвимость Remote Code Execution - Artifex Ghostscript (CVE-2024-29510). Memory corruption позволяет обойти песочницу SAFER и выполнить произвольный код.

Ghostscript - это интерпретатор языка PostScript и PDF документов. Используется в ImageMagick, LibreOffice, GIMP, Inkscape, Scribus, CUPS и д.р. Доступен для множества операционных систем.

🔻 Версия Ghostscript 10.03.1, исправляющая уязвимость, вышла 2 мая.
🔻 Через 2 месяца, 2 июля, эксперты Codean Labs опубликовали подробный разбор этой уязвимости и PoC. В видео демонстрации они запускают калькулятор, открывая специальный ps-файл утилитой ghostscript или специальный odt-файл в LibreOffice.
🔻 10 июля на GitHub появился функциональный эксплоит. А 19 июля, появился и модуль в Metasploit.

👾 СМИ пишут, что уязвимость эксплуатируется вживую. Правда все они ссылаются на единственный пост в микроблоге от какого-то разраба из Портленда. 🤷‍♂️ Думаю скоро появятся и более надёжные доказательства эксплуатации в атаках.

Qualys представляют TruRisk Eliminate для дополненного Patch Management-а

2 комментария

Qualys представляют TruRisk Eliminate для дополненного Patch Management-а

Qualys представляют TruRisk Eliminate для дополненного Patch Management-а. Не стали Qualys нагнетать интригу вплоть до мероприятия и опубликовали блог-пост с анонсом. Дело оказалось не в иммутабельной инфре, и не в виртуальном патчинге. Если одним словом - это workaround-ы.

На скриншоте TruRisk Eliminate видим отфильтрованный список уязвимостей на активах, критичность уязвимостей в виде QDS, колонки Remediations и Mitigations.

🔹 Remediations - это установка патча или установка патча с переконфигурированием.

🔹 Mitigations - это workaround-ы, нейтрализующие уязвимость без патчинга: изменение ключа реестра, изменение конфига, удаление приложения, блокировка порта, изоляция устройства и т.д.

И есть кнопка для выполнения действия на активе с помощью агента с выбором Remediations/Mitigations опции.

Логичное развитие. Раз дали возможность патчить, чего бы не дать возможность применять workaround-ы. Но сложностей с этим у Qualys будет - атас. 🫣

Про уязвимость Jetpack Navigation

Добавить комментарий

Про уязвимость Jetpack Navigation

Про уязвимость Jetpack Navigation. В марте мои коллеги из PT SWARM выложили ресёрч по уязвимости Android Jetpack Navigation, которая позволяет открыть произвольный экран внутри приложения, в том числе в обход экрана аутентификации. 😨 Google уязвимость не признали (поэтому CVE нет 🤷‍♂️) и ограничились рекомендациями в документации. 😏

📃 Вчера команда экспертов из Стингрей презентовала на Хабре подробный обзор этой уязвимости с примерами и демонстрациями. 👍

📊 Кроме того, они проверили 1000 приложений разных категорий из публичных магазинов и выяснили, что 21% из них используют библиотеку Jetpack Navigation и могут быть уязвимы. Подробную статистику отдают на сайте.

Хороший повод поинтересоваться у ваших разрабов мобильных приложений под Android используют ли они Jetpack Navigation и знают ли об этой уязвимости. 😉

Заодно подпишитесь на ТГ канал Mobile AppSec World - лучший канал по мобильному аппесеку от Юры Шабалина и команды Стингрей.

"Загадка Дыры": Remote Code Execution - Internet Explorer (CVE-2012-4792)

Добавить комментарий

Загадка Дыры: Remote Code Execution - Internet Explorer (CVE-2012-4792)

"Загадка Дыры": Remote Code Execution - Internet Explorer (CVE-2012-4792). Вчера в CISA KEV добавили старую уязвимость "CDwnBindInfo" из 2012 года: пользователь открывает в MS Internet Explorer 6–8 зловредный вебсайт и злоумышленник получает RCE на его хосте. Уязвимость активно эксплуатировалась с конца 2012 года как 0day в watering hole атаках на организации США. В частности, зловредный код размещали на взломанном сайте Council on Foreign Relations (CFR).

Почему уязвимость добавили в CISA KEV только сейчас?

🔹 Обнаружили новые атаки с использованием этой уязвимости на legacy системы, для которых выпускали патчи (Win XP/Vista/7, WinServer 2003/2008)? 🤪 Вряд ли.

🔹 Для проформы: увидели уязвимость с подтверждёнными инцидентами, а в CISA KEV её нет, вот и добавили? Вероятнее, но почему только её? 🧐

🔹 В аудитах нашли уязвимые легаси-системы и не было формального предлога для их срочного обновления? Странновато. 🤷‍♂️

Будем наблюдать. 🙂

Об уязвимости "EvilVideo" в Telegram for Android

Добавить комментарий

Об уязвимости EvilVideo в Telegram for Android

Об уязвимости "EvilVideo" в Telegram for Android. Пост вышел в блоге компании ESET. Они сообщают, что эксплоит для уязвимости продаётся в даркнете.

🔻 Злоумышленник создаёт payload, который отображается в Telegram for Android не как файл, а как превьюшка видео. По умолчанию медиафайлы в Telegram скачиваются автоматически, когда пользователь видит сообщение в чате. Этот payload также скачается.
Если пользователь жмёт на превьюшку, ему показывается ошибка Telegram с предложением использовать внешний медиа плеер.
Если пользователь соглашается, идёт попытка поставить APK.
Если пользователь разрешает установку APK из Telegram и ещё раз кликает на превьюшку, высвечивается окошко об установке приложения.
Если пользователь жмёт install, то получает зловреда. 👾
🎞 Есть видео демонстрация.

🔻 Уязвимость исправили в версии 10.14.5, все версии старше уязвимы.

Это далеко не 0click, но при грамотной социалке (превьюшка, название APK приложения и т.п.), эффективность может быть высокой.

По поводу массовых сбоев Windows хостов из-за обновления CrowdStrike Falcon Sensor

3 комментария

По поводу массовых сбоев Windows хостов из-за обновления CrowdStrike Falcon Sensor

По поводу массовых сбоев Windows хостов из-за обновления CrowdStrike Falcon Sensor.

🔹 CrowdStrike Falcon - облачное endpoint security решение, объединяющее антивирус, EDR, threat hunting и прочее. Управление Уязвимостями там тоже есть - Falcon Spotlight. 😉 Данные льёт в облако легковесный агент Falcon Sensor.

🔹 Согласно ветке на Reddit, массовые BSOD-ы на Windows хостах начали фиксироваться со вчерашнего вечера (7/18/24 10:20PM PT). Есть workaround: загрузка в Safe Mode и удаление некоторых файлов.

🔹 Проблема затронула ТВ каналы, лондонскую фондовую биржу, аэропорты и авиакомпании, железные дороги.

Что сказать? Фейл эпичнейший.

🔸 Массовые автоматические обновления без тестирования - это опасно. Обновлениями нужно управлять: тестировать их и раскатывать постепенно.

🔸 Это отличная демонстрация: что будет, если Microsoft решит заблокировать работу Windows в России. Будет коллапс, но гораздо масштабнее. Нужно импортозамещать ОС. Особенно в КИИ.