|CVE-2022-22972 + PoC + TechAnalysis|

📎Предыдущий пост про уязвимости в VMware/ Previous post about vulnerabilities in VMware.

🛡Только в ознакомительных целях!

🤙Шизо на связи!
💥Вот и вышел PoC вместе самим анализом первопричин возникновения этой уязвимости. Сама по себе уязвимость довольно таки проста для манипулирования заголовками хоста, а также не занимает труда разработка сплоита. Основными жертвами могут стать рабочие станции в здравоохранении, в сфере образования , а также в правительственных органах штатов. Анализ был произведён horizon3.ai.

Уязвимость позволяет атакующему логинизироваться, как известный local user, обходя аутентификацию в следующих продуктах: VMware Workspace ONE, vIDM, и vRealize Automation 7.6.
Происходит это таким образом, что изменяются заголовки HTTP POST запроса VMware аутентификации конечной точки хоста, который находится под контролем атакующем. В случае успеха атаки, хост должен вернуть 200 и мы можем произвести аутентификацию что тоже можно самостоятельно видоизменить.

Если они не займутся решением проблем, связанным с безопасностью в продуктах VMware, то это может плохо закончиться для всех предполагаемых жертв. Как один из возможных вариантов, есть вышедшее недавно руководство от VMware, ещё там есть патчи безопасности.

⬇️Ниже прикладываю PoC и документ от WMware
по поводу CVE-2022-22972 и CVE-2022-22973.⬇️

🛡For educational purposes only!

🤙The Shizo is in touch!
💥So the PoC came out together with the analysis of the root causes of this vulnerability. By itself, the vulnerability is quite simple to manipulate host headers, and it also does not take much to develop an exploit. The main victims may be workstations in healthcare, in education, as well as in state government agencies. The analysis was performed horizon3.ai .

The vulnerability allows the attacker to log in as a known local user, bypassing authentication in the following products: VMware Workspace ONE, vIDM, and vRealize Automation 7.6.
This happens in such a way that the headers of the HTTP POST request for VMware authentication of the endpoint of the host that is under the control of the attacker change. If the attack is successful, the host must return 200 and we can authenticate, which can also be modified independently.

If they don't address the security issues in VMware products, it could end badly for all the alleged victims. As one of the possible options, there is a recently released manual from VMware, there are also security patches.

⬇️Below I attach a PoC and a document from WMware
about CVE-2022-22972 and CVE-2022-22973.⬇️

#cve #vmware #poc

😉Всё будет хорошо, как бы тебе не казалось.
Прекрасно понимаю, что можешь думать о обратном, надеюсь ты отлично проведёшь выходные.
Шизо верит в тебя.

😉Everything will be fine, no matter how you think.
I understand perfectly well that you can think about the opposite, I hope you have a great weekend.
Shizo believes in you.

|Avilla Forensics 3.0|

🔎Очень мощный комплекс инструментов для форензик специалиста. Для полноценной работы требуется установленная Java и python(пакеты:instaloader, mvt, pycryptodome и Whacipher).
Только для работы со смартфонами должен быть у них включён режим отладки.
Но обилие возможностей, которые получаем за бесплатно - просто удивляет. Да, есть в России продукты от Oxygen Software, но они платные, хоть и не сильно лучше, наверное, только работа с облачными сервисами как у Oxygen, чего не хватает, однако не стоит забывать, что это всё полностью бесплатно.

🔎A very powerful set of tools for a forensic specialist. For full-fledged work, Java and python are required (packages:instaloader, mvt, pycryptodome and Whacipher).
Only to work with smartphones, they must have debugging mode enabled.
But the abundance of opportunities that we get for free is just amazing. Yes, there are products from Oxygen Software in Russia, but they are paid, although not much better, probably only working with cloud services like Oxygen, which is not enough, but do not forget that it's all completely free.

|XSScope|

🛡Только в ознакомительных целях!

💥Довольно интересный фреймворк с гуем для эксплуатации браузеров посредством XSS. По ощущениям действительно мощный инструмент и автор лишь чуть приукрасил.
Устанавливается очень просто, только предварительно нужно получить Ngrok Authtoken, либо если уже есть, то ввести при запуске шелл скрипта ./setup.sh.

Основные фичи:
🔓проведение ботнет-атаки XSS
🔓можно осуществлять HTTP-дудос посредством XSS-ботнетов
🔓генерирование Port Forwarding TCP и локального PHP сервера
🔓при необходимости есть генераторо пэйлоадов: Blind, Stored, Reflected и DOM XSS
🔓генерирование локального HTTP сервера
🔓есть Clickjacker(публиковал ранее, приводя ссылки на ресурсы)
🔓модули для слежки(подробнее в самом репозитории)
🔓HTML-code инъекции(фишинг сайт, который создаётся в 2 клика, как пример)

Но, так как протокол HTTP является небезопасным(писал в основном канале, трафик - открытый/незашифрованный), так что как один из вариантов решения, который выбрал для себя - обфускация трафика, пока один из самый лучших.

🛡For educational purposes only!

💥Quite an interesting framework with a GUI for operating browsers via XSS. It feels like a really powerful tool and the author has only slightly embellished.
It is installed very simply, only first you need to get Ngrok Authtoken, or if you already have it, then enter a shell noscript when you run it ./setup.sh .

Main features:
🔓 conducting an XSS botnet attack
🔓 it is possible to carry out HTTP DDoS via XSS botnets
🔓 generation of Port Forwarding TCP and local PHP server
🔓 if necessary, there are generators of payloads: Blind, Stored, Reflected and DOM XSS
🔓 generating a local HTTP server
🔓 there is a Clickjacker (published earlier, citing links to resources)
🔓 modules for spying (more details in the repository itself)
🔓 HTML-code injection (phishing site that is created in 2 clicks, as an example)

But, since the HTTP protocol is insecure (I wrote in the main channel, the traffic is open/unencrypted), so as one of the solutions I chose for myself, traffic obfuscation is still one of the best.

📼Demo

🕵️‍♂️АНБ где новые публикации? Уже не могу без ваших CSA!
Целых две недели ничего не публикуете в разделе консультации и рекомендации по кибербезопасности(CSA).
А у ФСБ такие не выходят в публичный доступ!

🕵️‍♂️NSA where are the new publications? I can't do without your CSA anymore!
For two whole weeks, you do not publish anything in the Cybersecurity Advice and Recommendations (CSA) section.
And the FSB does not have such public access.

#NSA #humor

🗃Вышло несколько сплоитов для OpenOffice DocumentServer(CVE-2022-29776 и CVE-2022-29777).
Работают в версиях 6.0 и раньше, связаны они с переполнением стека(CVE-2022-29776) и кучи(CVE-2022-29777) буфера, приводящие к RCE.

🗃Several exploits for OpenOffice DocumentServer have been released (CVE-2022-29776 and CVE-2022-29777).
They work in versions 6.0 and earlier, they are associated with stack buffer overflow(CVE-2022-29776) and heap buffer overflow(CVE-2022-29777) , leading to RCE.