Архив метки: Vulristics

Уязвимость Cisco ASA (CVE-2020-3259), обнаруженная исследователями Positive Technologies 4 года назад, используется шифровальщиком Akira для получения первоначального доступа

Уязвимость Cisco ASA (CVE-2020-3259), обнаруженная исследователями Positive Technologies 4 года назад, используется шифровальщиком Akira для получения первоначального доступа

Уязвимость Cisco ASA (CVE-2020-3259), обнаруженная исследователями Positive Technologies 4 года назад, используется шифровальщиком Akira для получения первоначального доступа.

🔸 Об этом 29 января сообщила команда форенсики шведской компании Truesec. Они обнаружили, что как минимум в 6 инцидентах связанных с шифровальщиком Akira точкой входа была Cisco Anyconnect с уязвимостью CVE-2020-3259. 15 февраля уязвимость добавили в CISA KEV.

🔸 Уязвимость была обнаружена исследователями PT SWARM компании Positive Technologies, Михаилом Ключниковым и Никитой Абрамовым, 6 мая 2020 года:

"Ее эксплуатация позволяет читать некоторые части динамической памяти устройства и получить актуальный идентификатор сессии пользователя, подключенного к Cisco VPN. Используя клиент для Cisco VPN, злоумышленник может указать украденный идентификатор сессии и войти во внутреннюю сеть организации. Кроме того, в памяти Cisco ASA может храниться и другая конфиденциальная информация, которая поможет при дальнейших атаках, например имена пользователей, адреса электронной почты, сертификаты. Данная уязвимость также может быть реализована удаленно и не требует авторизации".

🔸 До этого информации об общедоступных эксплоитах для этой уязвимости не было. Но, как видим, использованию в атаках это не мешало. Причём непонятно когда именно началась эксплуатация. Truesec считают логины/пароли пользователей Cisco Anyconnect, которые существовали в системе до фикса CVE-2020-3259, скомпромитированными. Как и другие данные, которые могли засветиться на Anyconnect-е. Также рекомендуют подключить двухфакторку и журналирование. И если вы вдруг не патчили эту уязвимость, то патчите конечно. А лучше импортозамещайтесь поскорее. 😉

Галя, у нас отмена: Microsoft убрали галку "эксплуатируются вживую" для Remote Code Execution - Microsoft Outlook (CVE-2024-21413)

Галя, у нас отмена: Microsoft убрали галку эксплуатируются вживую для Remote Code Execution - Microsoft Outlook (CVE-2024-21413)Галя, у нас отмена: Microsoft убрали галку эксплуатируются вживую для Remote Code Execution - Microsoft Outlook (CVE-2024-21413)

Галя, у нас отмена: Microsoft убрали галку "эксплуатируются вживую" для Remote Code Execution - Microsoft Outlook (CVE-2024-21413). 🤡😅 Видимо всё-таки эта галка за ночь переехала к уязвимости Exchange.

Но и у уязвимости Outlook, судя по простоте POC-а, который был описан в статье CheckPoint-а, признак эксплуатации вживую вполне возможно скоро опять появится.

У нас новый лидер в февральском Microsoft Patch Tuesday - Elevation of Privilege - Microsoft Exchange (CVE-2024-21410)

У нас новый лидер в февральском Microsoft Patch Tuesday - Elevation of Privilege - Microsoft Exchange (CVE-2024-21410)

У нас новый лидер в февральском Microsoft Patch Tuesday - Elevation of Privilege - Microsoft Exchange (CVE-2024-21410). 🚀 Как и в случае с RCE в Outlook, Microsoft изменили описание уязвимости, обозначив эксплуатацию вживую и наличие функционального эксплоита (пока непубличного). Microsoft пишут про использование уязвимости в NTLM relay атаках. Какого-то более подробного исследования этой уязвимости в паблике пока не наблюдается.

Не удивлюсь, если окажется, что эта уязвимость использовалась в атаках совместно с Remote Code Execution - Microsoft Outlook (CVE-2024-21413) #MonikerLink. Уж больно синхронно у них статус поменялся и исследователи Check Point в своей статье тоже про NTLM relay атаки писали.

В общем, пока подробностей немного, но понятно, что Exchange нужно оперативно обновлять.

Обновление в февральском Microsoft Patch Tuesday: резкое повышение критичности Remote Code Execution - Microsoft Outlook (CVE-2024-21413)

Обновление в февральском Microsoft Patch Tuesday: резкое повышение критичности Remote Code Execution - Microsoft Outlook (CVE-2024-21413)

Обновление в февральском Microsoft Patch Tuesday: резкое повышение критичности Remote Code Execution - Microsoft Outlook (CVE-2024-21413). 🚀 Microsoft признали, что эта уязвимость оказывается эксплуатировалась вживую (упс), а исследователи из Check Point выпустили подробный write-up с PoC-ом. Исследователи Check Point называют уязвимость #MonikerLink и рекомендуют обновить Outlook ASAP.

Я эту уязвимость в своём обзоре подсветил, но буквально последней в списке. Вот так предполагаем по описанию, что одни уязвимости будут эксплуатироваться в атаках. А потом может оказаться, что реально эксплуатироваться будут совсем другие уязвимости. 🤷‍♂️ Очень сложно предугадать, что за какой-то CVE оказывается ресерчер, который завтра выложит write-up с PoC-ом, а послезавтра начнутся массовые атаки. Поэтому про уязвимости, конечно, читаем, гадаем что выстрелит, но обновления устанавливаем для всего!

upd. Отменили

Февральский Microsoft Patch Tuesday

Февральский Microsoft Patch TuesdayФевральский Microsoft Patch TuesdayФевральский Microsoft Patch TuesdayФевральский Microsoft Patch TuesdayФевральский Microsoft Patch TuesdayФевральский Microsoft Patch TuesdayФевральский Microsoft Patch TuesdayФевральский Microsoft Patch Tuesday

Февральский Microsoft Patch Tuesday. 105 уязвимостей (это с учётом 32 набежавших с январского).

С признаком эксплуатации вживую, но пока без публичных эксплоитов:

🔻 Memory Corruption - Chromium (CVE-2024-0519). В V8.
🔻 Security Feature Bypass - Windows SmartScreen (CVE-2024-21351). Ещё один обход Mark-of-the-Web.
🔻 Security Feature Bypass - Internet Shortcut Files (CVE-2024-21412). По факту тоже обход Microsoft Defender SmartScreen. Есть видео с демонстрацией и write-up от Trend Micro.

Из остальных можно отметить:

🔹 Elevation of Privilege - Microsoft Exchange (CVE-2024-21410). Возможность атаки NTLM relay.
🔹 Elevation of Privilege - Windows Kernel (CVE-2024-21338, CVE-2024-21345, CVE-2024-21371)
🔹 Remote Code Execution - Microsoft Outlook (CVE-2024-21413). Есть обход Office Protected View.
🔹 Remote Code Execution - Microsoft Outlook (CVE-2024-21378)

🗒 Отчёт Vulristics

🟥 PT относит CVE-2024-21351 и CVE-2024-21412 к трендовым

Странная история двух новых критичных RCE-уязвимостей в FortiSIEM (CVE-2024-23108, CVE-2024-23109)

Странная история двух новых критичных RCE-уязвимостей в FortiSIEM (CVE-2024-23108, CVE-2024-23109)
Странная история двух новых критичных RCE-уязвимостей в FortiSIEM (CVE-2024-23108, CVE-2024-23109)

Странная история двух новых критичных RCE-уязвимостей в FortiSIEM (CVE-2024-23108, CVE-2024-23109). Злоумышленник может выполнить несанкционированный код или команды с помощью специальных запросов к API. Есть пруфы получения root-ового shell-а.

🔻 5 февраля эти две CVE с идентичным описанием появляются в NVD. CVSS 10/10. Все подпрыгнули. Смущала только ссылка на старый бюллетень вендора от 10 октября прошлого года и схожесть со старой CVE-2023-34992 с точностью до версий и опечатки "via via".
🔻 В тот же день Fortinet сообщают, что произошла ошибка и эти уязвимости дубликаты CVE-2023-34992. "В данном случае из-за проблемы с API, которую мы в настоящее время изучаем, произошло не редактирование [старой уязвимости], а создание двух новых CVE, дубликатов исходного CVE-2023-34992". 🤷‍♂️ Все выдыхают и ждут отзывы этих новых CVE-шек.
🔻 7 февраля исследователь Zach Hanley из Horizon3 сообщает, что уязвимости есть и это он их нашёл. Это байпасы фикса оригинальной CVE-2023-34992. Пруфает перепиской с Fortinet и скриншотом root-ового shell-а. 😈
🔻 Вскоре после этого Fortinet выпускают ещё одно заявление, что да, новые уязвимость есть и это действительно байпассы. А в предыдущем сообщении они неверно выразились ("misstated"). 🤡🤦‍♂️

На вчерашнем Прожекторе по ИБ выяснили, что инсталляции FortiSIEM в России хоть и редко, но встречались. И даже в окологосах. Если у вас FortiSIEM ещё используется, то обязательно обновитесь (а лучше импортозаместитесь).

RCE-уязвимость в Fortinet FortiOS и FortiProxy (CVE-2024-21762) эксплуатируется вживую

RCE-уязвимость в Fortinet FortiOS и FortiProxy (CVE-2024-21762) эксплуатируется вживую

RCE-уязвимость в Fortinet FortiOS и FortiProxy (CVE-2024-21762) эксплуатируется вживую. Неаутентифицированный злоумышленник может удалённо выполнять произвольный код с использованием вредоносных HTTP-запросов. В качестве воркэраунда можно отключить SSL VPN на уязвимых устройствах. Публичного эксплоита пока нет.

Если у вас по каким-то причинам всё ещё используются фортики, то нужно оперативно патчиться. На днях CISA выпустили подробный отчёт об использовании похожей RCE уязвимости FortiOS SSL-VPN (CVE-2022-42475) в атаках группировки Volt Typhoon. Также Tenable выпустили подборку из 6 CVE уязвимостей FortiOS разных лет используемых в реальных атаках.

Кроме CVE-2024-21762, также вышли фиксы для менее критичных уязвимостей FortiOS: CVE-2024-23113 (Format String Vulnerability), CVE-2023-47537 (Improper Certificate Validation), CVE-2023-44487 (против атаки HTTP/2 Rapid Reset)