Архив метки: WinRAR

Бизоны пишут, что злодеи из Mysterious Werewolf начали использовать новый кастомный бэкдор RingSpy, написанный на Python и использующий бота в Telegram в качестве командного сервера

Добавить комментарий

Бизоны пишут, что злодеи из Mysterious Werewolf начали использовать новый кастомный бэкдор RingSpy, написанный на Python и использующий бота в Telegram в качестве командного сервера
Бизоны пишут, что злодеи из Mysterious Werewolf начали использовать новый кастомный бэкдор RingSpy, написанный на Python и использующий бота в Telegram в качестве командного сервера

Бизоны пишут, что злодеи из Mys­te­ri­ous Were­wolf начали использовать новый кастомный бэкдор RingSpy, написанный на Python и использующий бота в Telegram в качестве командного сервера. Но интересно другое. Какую уязвимость они используют для первоначального доступа? А всё ту же Remote Code Exe­cu­tion — Win­RAR (CVE-2023–38831), что и в ноябре прошлого года. Видимо всё ещё норм работает. 🤷‍♂️ Уязвимость активно эксплуатируется с апреля прошлого года, а публичный PoC доступен с августа прошлого года.

Безусловно, возиться с обновлением/удалением/запрещением WinRAR‑а на десктопах это не та задача, которой хотелось бы заниматься прошаренному безопаснику, но именно такие уязвимости в реальности эксплуатируются злодеями. 😏

"Лично я люблю землянику со сливками, но рыба почему-то предпочитает червяков. Вот почему, когда я иду на рыбалку, я думаю не о том, что люблю я, а о том, что любит рыба." (с) Дейл Карнеги

Посмотрел какие CVE упоминаются в вышедшем вчера "Check Point 2024 Cyber Security Report"

Добавить комментарий

Посмотрел какие CVE упоминаются в вышедшем вчера Check Point 2024 Cyber Security ReportПосмотрел какие CVE упоминаются в вышедшем вчера Check Point 2024 Cyber Security ReportПосмотрел какие CVE упоминаются в вышедшем вчера Check Point 2024 Cyber Security Report

Посмотрел какие CVE упоминаются в вышедшем вчера "Check Point 2024 Cyber Secu­ri­ty Report".

Всего 20 CVE.

🔸 17 с формальным признаком активной эксплуатации и только 3 без признака (в Microsoft Mes­sage Queu­ing).
🔸 Публичные PoC‑и есть для всего, кроме RCE в Cis­co IOS (CVE-2017–6742), Auth­By­pass в Cis­co ASA (CVE-2023–20269) и DoS в Microsoft Mes­sage Queu­ing (CVE-2023–21769, CVE-2023–28302).

Если убрать те уязвимости, которые упоминались в отчёте Qualys за 2023 год, остаётся 13 "оригинальных" CVE:

🔻 Remote Code Exe­cu­tion — Apache Tom­cat (CVE-2023–47246)
🔻 Remote Code Exe­cu­tion — Win­RAR (CVE-2023–38831)
🔻 Remote Code Exe­cu­tion — ESXi (CVE-2021–21974)
🔻 Remote Code Exe­cu­tion — NetScaler Appli­ca­tion Deliv­ery Con­troller (CVE-2023–3519)
🔻 Ele­va­tion of Priv­i­lege — Win­dows Win32k (CVE-2021–1732)
🔻 Ele­va­tion of Priv­i­lege — Win­dows Win32k (CVE-2020–1054)
🔻 Infor­ma­tion Dis­clo­sure — NetScaler Appli­ca­tion Deliv­ery Con­troller (CVE-2023–4966)
🔻 Mem­o­ry Cor­rup­tion — ESXi (CVE-2019–5544)
🔻 Remote Code Exe­cu­tion — Microsoft Mes­sage Queu­ing (CVE-2023–21554)
🔻 Remote Code Exe­cu­tion — Cis­co IOS (CVE-2017–6742)
🔻 Authen­ti­ca­tion Bypass — Cis­co ASA (CVE-2023–20269)
🔻 Denial of Ser­vice — Microsoft Mes­sage Queu­ing (CVE-2023–21769)
🔻 Denial of Ser­vice — Microsoft Mes­sage Queu­ing (CVE-2023–28302)

Выпустил 2 версии отчёта Vul­ris­tics с комментариями Check Point:

🗒 Vul­ris­tics Check Point 2024 Cyber Secu­ri­ty Report (20)
🗒 Vul­ris­tics Check Point 2024 Cyber Secu­ri­ty Report WITHOUT Qualys (13)

Размышляю о детектировании имени уязвимого продукта в Vulristics

1 комментарий

Размышляю о детектировании имени уязвимого продукта в Vulristics

Размышляю о детектировании имени уязвимого продукта в Vul­ris­tics. Коллеги из PT ESC выложили крутую статью про атаки группировки (Ex)Cobalt на российские компании. Там, среди прочего, упоминается, что злоумышленники эксплуатируют уязвимости CVE-2023–38831 и CVE-2023–3519. Забил их в Vul­ris­tics.

🔻 Win­RAR-ную уязвимость CVE-2023–38831 я уже тут подсвечивал и по ней всё более-менее неплохо продетектилось.
🔻А для уязвимости Cit­rix CVE-2023–3519 Vul­ris­tics не смог продетектировать уязвимый продукт по описанию уязвимости. Потому что всё описание в NVD это: "Unau­then­ti­cat­ed remote code exe­cu­tion". И всё. 😄 NVD не перестаёт удивлять.

Чем такое скомпенсировать?

🔹 Брать название продукта и тип уязвимости из CISA KEV. Решение только для ~1000 уязвимостей и +1 коннектор. Такое себе.
🔹 Детектить уязвимый продукт на основе cpe. ⬅️ склоняюсь к этому, т.к. можно разом получить черновые детекты для множества продуктов из cpe dic­tio­nary.

Прожектор по ИБ, выпуск №11 (12.11.2023): не верь описаниям, периметр и Аврора для физиков

Добавить комментарий

Прожектор по ИБ, выпуск №11 (12.11.2023): не верь описаниям, периметр и Аврора для физиков. Записали очередной эпизод нашего еженедельного подкаста. В этот раз записывали таким составом:

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Иван Шубин

00:00 Здороваемся и смотрим статистику
02:29 Как Лев съездил на Цифротех
07:52 Не верь описанию уязвимости — может внезапно поменяться (на примере недавней Improp­er Autho­riza­tion в Con­flu­ence CVE-2023–22518)
11:36 Специалисты из Check Point Research раскрыли уязвимость в Microsoft Access, которая может быть использована злоумышленниками для получения NTLM-токенов пользователя Win­dows
15:31 Парочка занимательных аномалий из Nation­al Vul­ner­a­bil­i­ty Data­base
18:27 Про возраст уязвимости и её трендовость
29:38 Ещё один экран Бесконечного VM‑a про сетевой периметр
40:05 Делюсь впечатлениями от покупки первого смартфона на Авроре для физиков
55:19 В преддверии Черной пятницы число веб-атак на ретейл России возросло на 50%
57:27 Минцифры России запускает второй этап программы bug boun­ty, распространив ее на все ресурсы и системы электронного правительства
01:00:47 В Южной Корее робот насмерть прижал мужчину
01:06:11 Иван рекомендует книгу "How vCISOs, MSPs and MSSPs Can Keep their Cus­tomers Safe from Gen AI Risks"
01:10:21 Прощание от Льва

Парочка занимательных аномалий из National Vulnerability Database

3 комментария

Парочка занимательных аномалий из National Vulnerability Database

Парочка занимательных аномалий из Nation­al Vul­ner­a­bil­i­ty Data­base. Помните в августе была RCE уязвимость в Win­RAR CVE-2023–40477? Так вот, NVD не знает такой уязвимости! CVE ID Not Found. 🤤 Сам RARLAB пишет про эту CVE, ZDI пишет, а NVD типа не при делах. Нет такой CVEшки, потеряли. 🤷‍♂️ Вот уж действительно 404. 😄

А вот помните совсем недавно, в октябре, RCE в Exim CVE-2023–42115 была? Трендовая, все дела. Куча публикаций. А чего NVD? Аналогично! CVE ID Not Found. 🙃

У NVD (вместе с Mitre) была всего одна задача, поддерживать реестр CVEшек, и они фейлятся из раза в раз. 😏

Обе уязвимости заводили, кстати, через ZDI, так что подозреваю здесь ошибку на стороне гениев из Trend Micro. А NVD что, им вообще пофиг.

PS: в BDU есть и первая, и вторая. 👍

Прожектор по ИБ, выпуск №1 (01.09.2023)

Добавить комментарий

Прожектор по ИБ, выпуск №1 (01.09.2023). Вроде в прошлый раз неплохо получилось, записали ещё один эпизод тем же составом:

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Glob­al Dig­i­tal Space"

01:13 Публичные эксплоиты для уязвимостей Juniper и Win­RAR
08:34 Брешь протокола BGP может привести к длительным сбоям в работе интернета
12:45 Подозрительные изменения в британском Inves­ti­ga­to­ry Pow­ers Act 2016 (IPA)
21:13 НеУязвимость curl
27:18 Google удалила пиратские URL из личных сохранённых ссылок пользователей
34:17 Взлом национального центра готовности к инцидентам и стратегии кибербезопасности Японии
36:59 Блокировка ПО со стороны Microsoft стала бы благом?

Выпустил новую англоязычную видяшечку

Добавить комментарий

Выпустил новую англоязычную видяшечку. Так получилось, что за последний год мой англоязычный блог (а вместе с ним и ютюб канал, и подкаст) окончательно свёлся к ежемесячным обзорам Microsoft Patch Tues­day. 🤷‍♂️🤦‍♂️ А остальной контент оседал только в моих телеграмм-каналах @avleonovcom и @avleonovrus. В основном, конечно, в русскоязычном. Постараюсь эту тенденцию переломить. Теперь буду выпускать один англоязычный эпизод по итогам месяца без особого фокуса на Patch Tues­day. Так должно быть поадекватнее и повеселее. 🙂

Подумывал делать эпизоды и на русском тоже, но решил не браться, т.к. получается двойная работа. Автоматический перевод яндекс-браузером могу порекомендовать только для смеха (например, отдельностоящее "CVЕ" распознает как "CV" и переводит как "резюме"). Но планирую тащить новости из канала на обсуждение в Прожектор по ИБ. Так что русскоязычные видяшки тоже в каком-то виде будут. 🙂
___

Hel­lo every­one! This month I decid­ed NOT to make an episode com­plete­ly ded­i­cat­ed to Microsoft Patch Tues­day. Instead, this episode will be an answer to the ques­tion of how my Vul­ner­a­bil­i­ty Man­age­ment month went. A ret­ro­spec­tion of some kind.

GitHub exploits and Vul­ris­tics
00:44 PoC in Github
02:19 Vul­ris­tics vul­ners-use-github-exploits-flag

VM ven­dors updates
04:39 Qualys First-Par­ty Appli­ca­tion Risk Detec­tion and Reme­di­a­tion
06:18 Ten­able Expo­sureAI
07:23 SC Awards and Rapid7

Vul­ner­a­bil­i­ties
09:04 Anglo-Sax­on vul­ner­a­bil­i­ty lists AA23-215A
12:32 August Microsoft Patch Tues­day
14:40 Win­RAR Exten­sion Spoof­ing (CVE-2023–38831)
15:16 Juniper RCE (CVE-2023–36844)

📘 Blog­post
🎞 Video
🎞 Video2 (for Rus­sia)