Архив метки: WordPress

Сентябрьский выпуск "В тренде VM": 7 трендовых уязвимостей, фальшивая рекапча, ливанские пейджеры, годовые премии IT-шников

Сентябрьский выпуск "В тренде VM": 7 трендовых уязвимостей, фальшивая рекапча, ливанские пейджеры, годовые премии IT-шников. Начиная с этого месяца, мы решили несколько расширить тематику и увеличить длительность роликов. Я рассказываю не только про трендовые уязвимости сентября, но и про примеры использования социальной инженерии, эксплуатацию уязвимостей реального мира и практики процесса Управления Уязвимостями. В конце объявляем конкурс вопросов по Управлению Уязвимостями с подарками. 🎁

📹 Ролик "В тренде VM" на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре на основе сценария ролика "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT

Содержание:

🔻 00:58 Elevation of Privilege - Windows Installer (CVE-2024-38014) и уточнения по этой уязвимости
🔻 02:49 Security Feature Bypass - Windows Mark of the Web "LNK Stomping" (CVE-2024-38217)
🔻 03:57 Spoofing - Windows MSHTML Platform (CVE-2024-43461)
🔻 05:14 Remote Code Execution - VMware vCenter (CVE-2024-38812)
🔻 06:27 Remote Code Execution - Veeam Backup & Replication (CVE-2024-40711), пока монтировали ролик появились данные об эксплуатации вживую
🔻 08:40 Cross Site Scripting - Roundcube Webmail (CVE-2024-37383)
🔻 09:38 SQL Injection - The Events Calendar plugin for WordPress (CVE-2024-8275)
🔻 10:40 Человеческие уязвимости: фальшивая reCAPTCHA
🔻 11:57 Уязвимости реального мира: взрывы пейджеров и других электронных устройств в Ливане, последствия для всего мира
🔻 14:53 Практики процесса управления уязвимостями: привязать годовые премии IT-специалистов к выполнению SLA по устранению уязвимостей
🔻 16:10 Финал и объявление конкурса
🔻 16:31 Бэкстейдж

Про уязвимость SQL Injection - The Events Calendar plugin for WordPress (CVE-2024-8275)

Про уязвимость SQL Injection - The Events Calendar plugin for WordPress (CVE-2024-8275)

Про уязвимость SQL Injection - The Events Calendar plugin for WordPress (CVE-2024-8275). Этот плагин для WordPress CMS позволяет заводить странички мероприятий с возможностями поиска и фильтрации. Плагин используется на более чем 700 000 вебсайтов.

Плагин предлагает широкие возможности кастомизации, включая использование отдельных функций плагина в своём коде. В одной из таких функции, tribe_has_next_event(), была обнаружена SQL инъекция, которая позволяет неаутентифицированному злоумышленнику извлекать конфиденциальную информацию из базы данных веб-сайта. На GitHub доступен эксплоит.

❗️ Разработчики обращают внимание, что эта функция самим плагином не используется ("unused code"). Уязвимы будут только сайты, на которые вручную добавили вызов tribe_has_next_event().

Если у вас используется WordPress c плагином The Events Calendar, проверьте нет ли там какой-то хитрой кастомизации с использованием этой уязвимой функции и обновитесь до v.6.6.4.1 и выше.

Августовский выпуск "В тренде VM": 5 уязвимостей в Microsoft Windows и одна в WordPress

Августовский выпуск "В тренде VM": 5 уязвимостей в Microsoft Windows и одна в WordPress. Мы отпочковались от новостного выпуска Seclab-а и стали выходить отдельным роликом. Ура-ура! 🥳😎 Если будет достаточно просмотров, то продолжим выходить так и дальше. Тут от вас зависит, перейдите, пожалуйста, по ссылке на видеоплатформу и поставьте лайк и/или оставьте комментарий. 🥺

📹 Ролик "В тренде VM" на YouTube и VK Видео
🗞 Пост на Хабре, фактически это несколько расширенный сценарий рубрики "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT

Список уязвимостей:

🔻 00:48 Remote Code Execution - Windows Remote Desktop Licensing Service "MadLicense" (CVE-2024-38077)
🔻 02:22 Security Feature Bypass - Windows Mark of the Web "Copy2Pwn" (CVE-2024-38213)
🔻 03:23 Elevation of Privilege - Windows Ancillary Function Driver for WinSock (CVE-2024-38193), Windows Kernel (CVE-2024-38106), Windows Power Dependency Coordinator (CVE-2024-38107)
🔻 04:50 Unauthenticated Elevation of Privilege - WordPress LiteSpeed Cache Plugin (CVE-2024-28000)

Пара занятных подробностей по поводу Unauthenticated Elevation of Privilege - WordPress LiteSpeed Cache Plugin (CVE-2024-28000)

Пара занятных подробностей по поводу Unauthenticated Elevation of Privilege - WordPress LiteSpeed Cache Plugin (CVE-2024-28000)

Пара занятных подробностей по поводу Unauthenticated Elevation of Privilege - WordPress LiteSpeed Cache Plugin (CVE-2024-28000).

🔹 Уязвимость нашёл исследователь John Blackbourn и сдал её по программе багбаунти, получив $14400. То есть где-то 1.3 млн. рублей. Сумма за одну уязвимость, согласитесь, весьма приличная. 👏

🔹 Уязвимость не эксплуатируется на Windows инсталляциях, т.к. там отсутствует функция, которая необходима для генерации хэша. Так пишут во write-up-е. Правда не пишут, а как тогда вообще этот плагин на Windows инсталляциях работает и работает ли вообще. 🤔 Но если плагин работает и уязвимость не эксплуатируется, то получается иногда использовать Windows вместо Linux в качестве хостинга для вебсайтов это не такая уж странная затея. 🙃

Про уязвимость Unauthenticated Elevation of Privilege - WordPress LiteSpeed Cache Plugin (CVE-2024-28000)

Про уязвимость Unauthenticated Elevation of Privilege - WordPress LiteSpeed Cache Plugin (CVE-2024-28000)

Про уязвимость Unauthenticated Elevation of Privilege - WordPress LiteSpeed Cache Plugin (CVE-2024-28000).

🔹 WordPress - это популярная CMS-ка (835 млн. сайтов) с открытым исходным кодом и поддержкой сторонних плагинов.

🔹 LiteSpeed Cache - один из таких плагинов. Он повышает скорость загрузки страниц сайта за счёт их кэширования. Бесплатная версия используется на 5 млн. сайтов.

13 августа стало известно о критичной уязвимости в этом плагине. Удалённый неаутентифицированный злоумышленник может получить права администратора. 😱 Согласно write-up-у, эксплуатации уязвимости сводится к подбору хеша, используемого для аутентификации. Этот хеш небезопасно генерируется, поэтому существует только миллион его возможных значений. Если делать 3 запроса к сайту в секунду, то перебор и получения прав админа занимает от нескольких часов до недели.

👾 На GitHub выложили PoC и злоумышленники уже активно эксплуатируют уязвимость.

Обновляйтесь до версии 6.4.1 и выше.

WordPress не отъедет?

WordPress не отъедет?

WordPress не отъедет? В сегодняшнем посте Алексея Лукацкого про новые американские санкции зацепился глазами за WordPress. Так как это меня самого касается. 🙂

"В частности, с 12 сентября 2024 года в Россию будут запрещены поставки:

услуг поддержки и облачные сервисы («IT support services and cloud-based services»)

для ПО, которое американцы называют «enterprise management software and design and manufacturing software».

Но проблема в том, что термин «enterprise management software«, упомянутый в новых санкциях очень широк и под него подпадает почти любое ПО, которое используется в корпоративном сегменте.

Кто-то к решениям класса EMS относит продукты CRM, ПО для e-mail-рассылок, CMS для поддержки и управления сайтами, ПО для управления проектами и, конечно, решения класса ERP.

Какой-нибудь WordPress, являющийся одной из самых популярных площадок для работы сайтов в Интернет, попадет ли под этот запрет?"

Имхо, расклад примерно такой (отсортировано по уменьшению вероятности):

🔻 Облачный WordPress (который на домене com), вполне вероятно, будет поблочен для России. Кажется, нужно оттуда спешно съезжать, если ещё нет.
🔻 Для CMS-ок на внешних хостингах могут перестать работать обновления. Вполне возможный расклад, т.к. разрабы в своём праве и могут отключать обновления как хотят. Например, просто фильтрацией по IP. Пользоваться WordPress без автоматических обновлений или обновлений в один клик вроде и можно, но муторно.
🔻 Для CMS-ок на внешних хостингах разрабы WordPress могут пропихнуть автоустанавливаемое зловредное обновление. Например, прокламацию на сайте разместят, заблокируют сайт или вайпнут сайт. Теоретически возможно, но пока выглядит маловероятным.

Т.к. мои сайты на WordPress на внешних хостингах это просто личные блоги, то пока не вижу причин дёргаться. Пока просто делаю бэкапы и неспешно думаю об альтернативах.

В идеале хотелось бы отечественный форк WordPress-а (благо он GNU GPL), с сопоставимым уровнем безопасности и удобства, на который можно было бы безболезненно перейти. Пусть даже и за денежку. Но пока я такой не наблюдаю. 🤷‍♂️

После продолжительного перерыва выпустил англоязычную видяшку и блогопост

После продолжительного перерыва выпустил англоязычную видяшку и блогопост. Разбираю там то, что произошло за последние 3 месяца. В первую очередь в плане улучшений Vulristics. Во вторую - смотрю какие были интересные уязвимости в Microsoft Patch Tuesday, Linux Patch Wednesday и из остальных. Ну и подвожу итоги 2023, а также намечаю направления работы на 2024.

Из занимательного:

🔻 Подсветил 7 уязвимостей из Microsoft Patch Tuesday, для которых за последние 3 месяца появились PoC-и/эксплоиты. Как правило это совсем не те уязвимости, на которые указывали VM-вендоры в своих обзорах. 😏
🔻 В Linux Patch Wednesday за последние 3 месяца было 90 уязвимостей с PoC-ами/эксплоитами (и это не считая тех, про которые известно, что они в активной эксплуатации). 🙈

Постараюсь по англоязычным блогопостам с видяшками вернуться в ежемесячный режим. 😇 Формат хоть и муторный, но полезный.

———

November 2023 – January 2024: New Vulristics Features, 3 Months of Microsoft Patch Tuesdays and Linux Patch Wednesdays, Year 2023 in Review

Hello everyone! It has been 3 months since the last episode. I spent most of this time improving my Vulristics project. So in this episode, let’s take a look at what’s been done.

Also, let’s take a look at the Microsoft Patch Tuesdays vulnerabilities, Linux Patch Wednesdays vulnerabilities and some other interesting vulnerabilities that have been released or updated in the last 3 months. Finally, I’d like to end this episode with a reflection on how my 2023 went and what I’d like to do in 2024.

New Vulristics Features
00:32 Vulristics JSON input and output
02:37 CPE-based vulnerable product names detection
04:16 CWE-based vulnerability type detection

3 Months of Vulnerabilities
07:03 Linux Patch Wednesday
11:22 Microsoft Patch Tuesdays
13:59 Other Vulnerabilities

16:14 About the results of 2023
18:45 What about 2024?

📘 Blogpost
🎞 VKVideo