CVE-2019-19521 - обход подсистемы аутентификации в OpenBSD (ldapd/radiusd/smtpd как минимум).
Ресерчеры из Qualys обнаружили документированные особенности в реализации аутентификации в обертках
без проблем завершится успешной аутентификацией!
В репорте показали обход аутентификации в smtpd, ldapd и radiusd, просто передавая имя пользователя -schallenge
sshd, благодаря дополнительной проверке, не подвержен, хотя через него и можно проверить наличие уязвимости в системе.
⚠️Читайте детали https://www.qualys.com/2019/12/04/cve-2019-19521/authentication-vulnerabilities-openbsd.txt
#openbsd #login_passwd
Ресерчеры из Qualys обнаружили документированные особенности в реализации аутентификации в обертках
/usr/libexec/auth/login_*
Например /usr/libexec/auth/login_passwd работает так: login_passwd [-s service] [-v wheel=yes|no] [-v lastchance=yes|no] user
[class]
И получается, что если передать на аутентификацию юзернейм -schallenge или -schallenge:passwd, то login_passwdбез проблем завершится успешной аутентификацией!
В репорте показали обход аутентификации в smtpd, ldapd и radiusd, просто передавая имя пользователя -schallenge
sshd, благодаря дополнительной проверке, не подвержен, хотя через него и можно проверить наличие уязвимости в системе.
⚠️Читайте детали https://www.qualys.com/2019/12/04/cve-2019-19521/authentication-vulnerabilities-openbsd.txt
#openbsd #login_passwd
Помните тот 0-day в Google Chrome, который использовался в кампании, которую обнаружили GReAT, которые прозвали все это WizardOpium?
Так вот. Выяснилось, что там эксплуатировалось две уязвимости:
* CVE-2019-13720 в Google Chrome
* CVE-2019-1458 в win32k.sys
Сбежать из песочницы хрома в том эксплоите помогала CVE-2019-1458 в win32k.sys, позволяющая оперировать GDI примитивами (классика sandbox escaping последних лет, почитайте разборы после pwn2own, и j00ru).
GReAT заявляют, что эксплоит очень похож на то, что делает Volodya aka BuggyCorp.
Этот разработчик давненько продает зеродеи заинтересованным лицам, активно дрючит win32k.sys и при любом удобном случае сбегает прямо в ядро.
* https://securelist.com/windows-0-day-exploit-cve-2019-1458-used-in-operation-wizardopium/95432/
* https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1458
* https://www.zdnet.com/article/mysterious-hacker-has-been-selling-windows-0-days-to-apt-groups-for-three-years/
#wizardopium #volodya #0day
Так вот. Выяснилось, что там эксплуатировалось две уязвимости:
* CVE-2019-13720 в Google Chrome
* CVE-2019-1458 в win32k.sys
Сбежать из песочницы хрома в том эксплоите помогала CVE-2019-1458 в win32k.sys, позволяющая оперировать GDI примитивами (классика sandbox escaping последних лет, почитайте разборы после pwn2own, и j00ru).
GReAT заявляют, что эксплоит очень похож на то, что делает Volodya aka BuggyCorp.
Этот разработчик давненько продает зеродеи заинтересованным лицам, активно дрючит win32k.sys и при любом удобном случае сбегает прямо в ядро.
* https://securelist.com/windows-0-day-exploit-cve-2019-1458-used-in-operation-wizardopium/95432/
* https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1458
* https://www.zdnet.com/article/mysterious-hacker-has-been-selling-windows-0-days-to-apt-groups-for-three-years/
#wizardopium #volodya #0day
Багбаунтеры, смотрите. Есть в убунте ErrorTracker
Когда на убунте что-то внезапно падает, он пуляет креш-репорт в виде bson на daisy.ubuntu.com
Код бекенда конечно открыт, и код этот воняет.
Например есть там такое место:
https://bazaar.launchpad.net/~daisy-pluckers/daisy/trunk/view/head:/daisy/submit.py#L366
Так формируется crash_signature на клиенте:
https://bazaar.launchpad.net/~apport-hackers/apport/trunk/view/head:/apport/report.py#L1292
Последний коммит намекает, что там есть проблема с бекслешем:
https://bazaar.launchpad.net/~daisy-pluckers/daisy/trunk/revision/907
Похоже там такое:
Когда на убунте что-то внезапно падает, он пуляет креш-репорт в виде bson на daisy.ubuntu.com
Код бекенда конечно открыт, и код этот воняет.
Например есть там такое место:
https://bazaar.launchpad.net/~daisy-pluckers/daisy/trunk/view/head:/daisy/submit.py#L366
crash_signature = report.crash_signature()
...
cql_crash_sig = crash_signature.replace("'", "''")
_session.execute(
SimpleStatement("INSERT INTO \"%s\" (key, column1, value) VALUES (%s, 'DuplicateSignature', '%s')"
% ('OOPS', hex_oopsid, cql_crash_sig)))
Так формируется crash_signature на клиенте:
https://bazaar.launchpad.net/~apport-hackers/apport/trunk/view/head:/apport/report.py#L1292
Последний коммит намекает, что там есть проблема с бекслешем:
https://bazaar.launchpad.net/~daisy-pluckers/daisy/trunk/revision/907
Похоже там такое:
INSERT INTO \"%s\" (key, column1, value) VALUES (%s, 'DuplicateSignature', '\''[SQLI]')
⚠️Обновляйте Firefox
CVE-2019-17026: IonMonkey type confusion with StoreElementHole and FallibleStoreElement
Incorrect alias information in IonMonkey JIT compiler for setting array elements could lead to a type confusion.
⭕️ We are aware of targeted attacks in the wild abusing this flaw.
Схожая уязвимость в прошлом году была на на pwn2own:
https://www.thezdi.com/blog/2019/4/18/the-story-of-two-winning-pwn2own-jit-vulnerabilities-in-mozilla-firefox
Даже патчи идентичны:
1. https://github.com/mozilla/gecko-dev/commit/369406707f9fef96ac8405fb9cbb58da4bcc4f1d
2. https://github.com/mozilla/gecko-dev/commit/2e7bcc8dfa4fce5c8f3d8b224abde0627e1dee0e
Подробный разбор и эксплоит:
https://doar-e.github.io/blog/2019/06/17/a-journey-into-ionmonkey-root-causing-cve-2019-9810/
https://www.mozilla.org/en-US/security/advisories/mfsa2020-03/
CVE-2019-17026: IonMonkey type confusion with StoreElementHole and FallibleStoreElement
Incorrect alias information in IonMonkey JIT compiler for setting array elements could lead to a type confusion.
⭕️ We are aware of targeted attacks in the wild abusing this flaw.
Схожая уязвимость в прошлом году была на на pwn2own:
https://www.thezdi.com/blog/2019/4/18/the-story-of-two-winning-pwn2own-jit-vulnerabilities-in-mozilla-firefox
Даже патчи идентичны:
1. https://github.com/mozilla/gecko-dev/commit/369406707f9fef96ac8405fb9cbb58da4bcc4f1d
2. https://github.com/mozilla/gecko-dev/commit/2e7bcc8dfa4fce5c8f3d8b224abde0627e1dee0e
Подробный разбор и эксплоит:
https://doar-e.github.io/blog/2019/06/17/a-journey-into-ionmonkey-root-causing-cve-2019-9810/
https://www.mozilla.org/en-US/security/advisories/mfsa2020-03/
⚠️Обновляйте Google Chrome до 80.0.3987.122
CVE-2020-6418: type confusion vulnerability in V8, Google Chrome’s open-source JavaScript and WebAssembly engine. It was discovered and reported by Clément Lecigne, security engineer of Google’s Threat Analysis Group (TAG). Last year, Lecigne was credited with finding and reporting CVE-2019-5786, a use-after-free vulnerability in Google Chrome that was also exploited in the wild.
https://www.tenable.com/blog/cve-2020-6418-google-chrome-type-confusion-vulnerability-exploited-in-the-wild
https://bugs.chromium.org/p/chromium/issues/detail?id=1053604
#chrome #exploit #in_the_wild
CVE-2020-6418: type confusion vulnerability in V8, Google Chrome’s open-source JavaScript and WebAssembly engine. It was discovered and reported by Clément Lecigne, security engineer of Google’s Threat Analysis Group (TAG). Last year, Lecigne was credited with finding and reporting CVE-2019-5786, a use-after-free vulnerability in Google Chrome that was also exploited in the wild.
https://www.tenable.com/blog/cve-2020-6418-google-chrome-type-confusion-vulnerability-exploited-in-the-wild
https://bugs.chromium.org/p/chromium/issues/detail?id=1053604
#chrome #exploit #in_the_wild
Занимательный сериал Spying on the Scammers!
Ресерчер под псевдонимом Jim Browning сдеанонил колл-центр скаммеров в Индии, оказывающих "услуги по поддержке Windows" англоговорящим пользователям Европы и США.
Скрытое наблюдение за скамерами, контроль звонков, контроль рабочих станций, контроль доходов (а их там под 3 млн. долларов в год!), наблюдение с дрона, и конечно же полный деанон сотрудников.
1️⃣ https://youtu.be/le71yVPh4uk
2️⃣ https://youtu.be/uV-qa9M-o4E
3️⃣ https://youtu.be/jTXN9iTKHc8
4️⃣ https://youtu.be/G15xjQM-rGc
Ресерчер под псевдонимом Jim Browning сдеанонил колл-центр скаммеров в Индии, оказывающих "услуги по поддержке Windows" англоговорящим пользователям Европы и США.
Скрытое наблюдение за скамерами, контроль звонков, контроль рабочих станций, контроль доходов (а их там под 3 млн. долларов в год!), наблюдение с дрона, и конечно же полный деанон сотрудников.
1️⃣ https://youtu.be/le71yVPh4uk
2️⃣ https://youtu.be/uV-qa9M-o4E
3️⃣ https://youtu.be/jTXN9iTKHc8
4️⃣ https://youtu.be/G15xjQM-rGc
In this paper, we introduce novel low-cost attacks against
the Xilinx 7-Series (and Virtex-6) bitstream encryption, resulting in the total loss of authenticity and confidentiality. We
exploit a design flaw which piecewise leaks the decrypted bitstream. In the attack, the FPGA is used as a decryption oracle,
while only access to a configuration interface is needed. The
attack does not require any sophisticated tools and, depending
on the target system, can potentially be launched remotely. In
addition to the attacks, we discuss several countermeasures.
https://www.usenix.org/system/files/sec20fall_ender_prepub.pdf
the Xilinx 7-Series (and Virtex-6) bitstream encryption, resulting in the total loss of authenticity and confidentiality. We
exploit a design flaw which piecewise leaks the decrypted bitstream. In the attack, the FPGA is used as a decryption oracle,
while only access to a configuration interface is needed. The
attack does not require any sophisticated tools and, depending
on the target system, can potentially be launched remotely. In
addition to the attacks, we discuss several countermeasures.
https://www.usenix.org/system/files/sec20fall_ender_prepub.pdf
Посмотрите, какой удобный сервис для парсинга фейсбука - а точнее для получения в удобном CSV виде комментариев, лайков от поста.
#osint #facebook
https://zxfacebook.com
#osint #facebook
https://zxfacebook.com
Актуальный сборник различных трюков и техник по пентесту без лишней воды.
☝️https://book.hacktricks.xyz/
☝️https://book.hacktricks.xyz/
⭕️ CVE-2020-10713 GRUB2 - BootHole
В GNU GRUB2 обнаружили эпичную уязвимость.
Затрагивает системы с Secure Boot и стандартным CA UEFI CA, все подписанные версии GRUB2.
Уязвимы почти все дистры Linux, куча других embedded операционок и решений вроде Xen, большинство современных операционных систем, сервера и рабочие станции, немало IoT`ов.
Уязвимость как из учебника, переполнение кучи при чтении слишком длинного параметра из
Проверку на длину конечно же добавили, и на такой случай вызвали макрос
И это всё за пределами контекста операционной системы, никаких ASLR, DEP и nx mitigation нет, зато есть полный контроль над загрузкой оси. Идеально для буткитов.
Репорт подтолкнул поаудитить код GRUB, и оказалось, что там еще ряд неприятных багов.
👉 https://eclypsium.com/2020/07/29/theres-a-hole-in-the-boot/
В GNU GRUB2 обнаружили эпичную уязвимость.
Затрагивает системы с Secure Boot и стандартным CA UEFI CA, все подписанные версии GRUB2.
Уязвимы почти все дистры Linux, куча других embedded операционок и решений вроде Xen, большинство современных операционных систем, сервера и рабочие станции, немало IoT`ов.
Уязвимость как из учебника, переполнение кучи при чтении слишком длинного параметра из
grub.cfg.Проверку на длину конечно же добавили, и на такой случай вызвали макрос
fatal_error, и как оказалось fatal_error громко ругается, но не останавливает исполнение кода (а все надеялись), отсюда контроль над памятью. И это всё за пределами контекста операционной системы, никаких ASLR, DEP и nx mitigation нет, зато есть полный контроль над загрузкой оси. Идеально для буткитов.
Репорт подтолкнул поаудитить код GRUB, и оказалось, что там еще ряд неприятных багов.
👉 https://eclypsium.com/2020/07/29/theres-a-hole-in-the-boot/
Forwarded from Anton Kirsanov
CVE-2021-41773: Apache 2.4.49 Path Traversal
Уязвимость позволяет выйти за пределы директории вебсайта и без проблем считать, ну например,
В реализации с проверкой обработки символа '.' в пути и закрался баг в 571 строке - программист не учел, что в контексте еще не произошел url decode.
В итоге возникла ситуация, когда все проверки на обход каталога через
Уязвимость позволяет выйти за пределы директории вебсайта и без проблем считать, ну например,
/etc/passwd
К уязвимости привел обычный рефакторинг - разработчики в версии 2.4.49 решили унифицировать простыню с нормализацией пути, и вынесли обработку в отдельную функцию ap_normalize_path. В реализации с проверкой обработки символа '.' в пути и закрался баг в 571 строке - программист не учел, что в контексте еще не произошел url decode.
В итоге возникла ситуация, когда все проверки на обход каталога через
%2e%2e попали в условие, которое не обрабатывалось, и доверенная функция по нормализации пути ap_normalize_path, которая и должна срезать ситуации вроде ../, стала возвращать ненормализованный путь.⭕️ CVE-2021-4034: pwnkit: Local Privilege Escalation in polkit's pkexec
Внезапно подъехала действительно серьезная проблема повышения привилегий (LPE) до рута практически во всех линукс дистрибутивах, за счет наличия по-умолчанию утилиты
Бага с первого коммита аж в мае 2009 года, и ресерчеры Qalys заявляют, что хоть это и повреждение памяти, но эксплуатация уязвимости быстра, надежна, и независима от архитектуры.
Обнаружилось, что при обработке переменной
Просто до жути.
Это и делает CVE-2021-4034 весьма реальной угрозой, связанной с повышением привилегий в Linux.
🧟 Эксплоит уже в комментариях.
Быстрый фикс:
Исправление:
https://gitlab.freedesktop.org/polkit/polkit/-/commit/a2bf5c9c83b6ae46cbd5c779d3055bff81ded683
Подробно:
👉 https://www.openwall.com/lists/oss-security/2022/01/25/11
Внезапно подъехала действительно серьезная проблема повышения привилегий (LPE) до рута практически во всех линукс дистрибутивах, за счет наличия по-умолчанию утилиты
pkexec с суидным битом.Бага с первого коммита аж в мае 2009 года, и ресерчеры Qalys заявляют, что хоть это и повреждение памяти, но эксплуатация уязвимости быстра, надежна, и независима от архитектуры.
Обнаружилось, что при обработке переменной
PATH специального вида существуют условия перезаписи за пределы границ envp[0], что дает возможность внедрить какбэ свою особенную LD_PRELOAD прям в суидник.Просто до жути.
Это и делает CVE-2021-4034 весьма реальной угрозой, связанной с повышением привилегий в Linux.
🧟 Эксплоит уже в комментариях.
Быстрый фикс:
🔥chmod 0755 /usr/bin/pkexec
Исправление:
https://gitlab.freedesktop.org/polkit/polkit/-/commit/a2bf5c9c83b6ae46cbd5c779d3055bff81ded683
Подробно:
👉 https://www.openwall.com/lists/oss-security/2022/01/25/11
С последними событиями мы вступили в новую эпоху.
Пришло время говорить. И безопасность, бессердечная ты, мне есть что тебе сказать.
Годами ты была другой.
Одну тебя, продажную, рисовали нам на слайдах шустрые прикольные ребята из богатых компаний, придумывающие страшные цифры для острастки публики прям за 5 минут до выступления. Все громко охали, ахали, пили шампанское, в коридорах - улыбались.
Другую тебя, запретную, показывали нам суровые люди с прописными буквами и бумажными лицами, в требованиях которых было много такого непонятного и даже непонятного в непонятном, в соответствии с нормами и положениями которого читать бы-ы-ы-ы-ы-стро сервера лучше было не включать, а если и включать, то не включать и в соответствии с этим. Так точно!
Непонятно.
Все ахали, охали, в коридорах - мялись. Пили водку, молча. Думали, но на утро отпускало.
Продолжение - https://news.1rj.ru/str/secinfosex/44
Пришло время говорить. И безопасность, бессердечная ты, мне есть что тебе сказать.
Годами ты была другой.
Одну тебя, продажную, рисовали нам на слайдах шустрые прикольные ребята из богатых компаний, придумывающие страшные цифры для острастки публики прям за 5 минут до выступления. Все громко охали, ахали, пили шампанское, в коридорах - улыбались.
Другую тебя, запретную, показывали нам суровые люди с прописными буквами и бумажными лицами, в требованиях которых было много такого непонятного и даже непонятного в непонятном, в соответствии с нормами и положениями которого читать бы-ы-ы-ы-ы-стро сервера лучше было не включать, а если и включать, то не включать и в соответствии с этим. Так точно!
Непонятно.
Все ахали, охали, в коридорах - мялись. Пили водку, молча. Думали, но на утро отпускало.
Продолжение - https://news.1rj.ru/str/secinfosex/44
Мир слайдов и презентаций воевал с угрозами там, где-то в нейтральных водах, тут изредко цепляло кого-то где то, но это сам дурак, кто ж в ядре системы с домен-контроллера в интернете в танки шпилит. Идиоты. Кто? Я тоже? Ну у меня же... Но у нас же там надо было... Ну ты откуда знаешь?... Эээх...
Все все понимали.
Понимали что ты есть, где-то, но конкретно у нас тебя давно не видели. Остались где-то фотки, записи со встреч, но настоящую тебя уже никто особо не помнил, вроде была, вроде не была, кто как скажет. Запах был, но вперемешку с колбасой.
Зато у нас теперь программки. Приложения. Сперва неудобные такие, некоторые даже хрюкали, но не долго, а потом научились молчать и похрустывать дисками, а с приходом ссд хруст ушел, и пришло успокоение.
На каждую проблемку нам дали программку. Стало удобно, сидишь себе, работаешь на благо. Штук 5 программок надежным куполом прикрывают тылы, вирусов особо не стало, добрые дяди с голубыми глазами дали нам умиротворение и понимание того, что любую нашу проблему решают они, сами, молча, главное - покупай.
И так у всех.
Продолжение - https://news.1rj.ru/str/secinfosex/45
Все все понимали.
Понимали что ты есть, где-то, но конкретно у нас тебя давно не видели. Остались где-то фотки, записи со встреч, но настоящую тебя уже никто особо не помнил, вроде была, вроде не была, кто как скажет. Запах был, но вперемешку с колбасой.
Зато у нас теперь программки. Приложения. Сперва неудобные такие, некоторые даже хрюкали, но не долго, а потом научились молчать и похрустывать дисками, а с приходом ссд хруст ушел, и пришло успокоение.
На каждую проблемку нам дали программку. Стало удобно, сидишь себе, работаешь на благо. Штук 5 программок надежным куполом прикрывают тылы, вирусов особо не стало, добрые дяди с голубыми глазами дали нам умиротворение и понимание того, что любую нашу проблему решают они, сами, молча, главное - покупай.
И так у всех.
Продолжение - https://news.1rj.ru/str/secinfosex/45
Мир продаж превратил тебя в удобную услугу, быстро покупаемую руководителями и ответственными, легким мановением руки переносящим миллионы денег на счета компаний, превративших тебя в это. Оттуда хорошо показывали, где, у кого и сколько покупать, чтоб было хорошо. Так точно!
И всем было хорошо. Вот только тебя там не было.
И тут пришла она. Та, которую нам нельзя называть по имени, но мы понимаем, мы давно привыкли.
И началась правда.
Все существующие меры и софты в 99 % не работают и сработают, так как годами делались не ради безопасности, а ради соответствия бумажкам с формулировками, написанными людьми из дотехнологической эпохи.
Делались ради откатов и покупки предметов роскоши людьми, задействованными в цепочках поставок и требований. Годами.
Устраивались званные мероприятия по продвижению ПО, вывозили тех. директоров и ИБшников на отдых за счет компаний, дарили дорогие подарки за лояльность бренду. Годами.
Техническое качество решений не проходило экспертной оценки, не думало даже прийти в опенсорс и встать лицом к аудиту, достаточно было соответствовать требованию тех, кто требует, и набиванию пуза тех, то платит, но не своими. А что там и как внутри, оно им виднее, головастикам, написали же Полная Безопасность.
Теперь этот карточный домик начнет сыпаться.
Имитация безопасности еще никогда не была так близка к провалу.
И всем было хорошо. Вот только тебя там не было.
И тут пришла она. Та, которую нам нельзя называть по имени, но мы понимаем, мы давно привыкли.
И началась правда.
Все существующие меры и софты в 99 % не работают и сработают, так как годами делались не ради безопасности, а ради соответствия бумажкам с формулировками, написанными людьми из дотехнологической эпохи.
Делались ради откатов и покупки предметов роскоши людьми, задействованными в цепочках поставок и требований. Годами.
Устраивались званные мероприятия по продвижению ПО, вывозили тех. директоров и ИБшников на отдых за счет компаний, дарили дорогие подарки за лояльность бренду. Годами.
Техническое качество решений не проходило экспертной оценки, не думало даже прийти в опенсорс и встать лицом к аудиту, достаточно было соответствовать требованию тех, кто требует, и набиванию пуза тех, то платит, но не своими. А что там и как внутри, оно им виднее, головастикам, написали же Полная Безопасность.
Теперь этот карточный домик начнет сыпаться.
Имитация безопасности еще никогда не была так близка к провалу.
Тут ребята сделали сканер обфусцированных JavaScript файлов с определением использованных NPM пакетов (с точностью до конкретной версии) с целью поиска известных уязвимостей для известных версий пакетов.
Бета-версию можно здесь:
https://gradejs.com/ (пароль: gradejs)
Бетка сейчас работает только для вебпака. В дальнейшем обещают поддерживать и другие системы сборки.
Проект бесплатный и в опенсорсе: https://github.com/fingerprintjs/gradejs
Бета-версию можно здесь:
https://gradejs.com/ (пароль: gradejs)
Бетка сейчас работает только для вебпака. В дальнейшем обещают поддерживать и другие системы сборки.
Проект бесплатный и в опенсорсе: https://github.com/fingerprintjs/gradejs
⭕️ CVE-2022-26134: Confluence Server and Data Center - Critical severity unauthenticated remote code execution vulnerability 🤦♂️
Внезапно подвезли RCE, во всех версиях, без аутентификации и "лишних" торчащих портов в сеть.
Чисто веб, эксплоит уже in the wild, ну как вы любите.
Прячьте свои конфлюенсы.
Подробно:
👉 https://www.volexity.com/blog/2022/06/02/zero-day-exploitation-of-atlassian-confluence/
👉 https://www.rapid7.com/blog/post/2022/06/02/active-exploitation-of-confluence-cve-2022-26134/
👉 https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html
Внезапно подвезли RCE, во всех версиях, без аутентификации и "лишних" торчащих портов в сеть.
Чисто веб, эксплоит уже in the wild, ну как вы любите.
Прячьте свои конфлюенсы.
Подробно:
👉 https://www.volexity.com/blog/2022/06/02/zero-day-exploitation-of-atlassian-confluence/
👉 https://www.rapid7.com/blog/post/2022/06/02/active-exploitation-of-confluence-cve-2022-26134/
👉 https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html