PoC 2-х уязвимостей нулевого дня в сетевых девайсах DrayTek Broadband CPE:
https://blog.netlab.360.com/two-zero-days-are-targeting-draytek-broadband-cpe-devices-en/
https://blog.netlab.360.com/two-zero-days-are-targeting-draytek-broadband-cpe-devices-en/
360 Netlab Blog - Network Security Research Lab at 360
Two zero days are Targeting DrayTek Broadband CPE Devices
Author: Yanlong Ma, Genshen Ye, Hongda Liu
Background
From December 4, 2019, 360Netlab Threat Detection System has observed two different attack groups using two 0-day vulnerabilities of DrayTek[1] Vigor enterprise routers and switch devices to conduct…
Background
From December 4, 2019, 360Netlab Threat Detection System has observed two different attack groups using two 0-day vulnerabilities of DrayTek[1] Vigor enterprise routers and switch devices to conduct…
Всемирный день бэкапа
- проверь резервные копии
- проверь расписание резервного копирования
- задумайся над тем, все ли, что необходимо находится в резервной копии
- вообще, есть ли у тебя бэкапы?)
Не будь дураком в апреле:
http://www.worldbackupday.com
- проверь резервные копии
- проверь расписание резервного копирования
- задумайся над тем, все ли, что необходимо находится в резервной копии
- вообще, есть ли у тебя бэкапы?)
Не будь дураком в апреле:
http://www.worldbackupday.com
World Backup Day
Home
Be prepared against data loss and data theft. March 31st is the day to backup and better protect your data.
Фикс для проблемы отображения неправильного состояния подключения к интернету, подключения VPN, препятсвия подключению некоторых приложений к интернету
(чего они там “мутят” постоянно?)
https://support.microsoft.com/en-us/help/4554364/windows-10-update-kb4554364
(чего они там “мутят” постоянно?)
https://support.microsoft.com/en-us/help/4554364/windows-10-update-kb4554364
Microsoft
March 30, 2020—KB4554364 (OS Builds 18362.753 and 18363.753) - Microsoft Support
Learn more about update KB4554364, including improvements and fixes, any known issues, and how to get the update.
Понятно, что сейчас золотое время систем онлайн конференций, с другой стороны эти системы хороший таргет для проведения атак, фишинга и тп
Фишинг, как правило все начинается с него, сейчас активно муссируются *zoom* домены
Крайне важно понимать, что помимо зума, есть тимс, скайп, и тп, поэтому необходимо:
- Быть осторожным с электронными письмами и файлами, полученными от неизвестных отправителей
- Не открывать неизвестные вложения, не нажимать на ссылки в сообщениях электронной почты
- Остерегаться похожих доменов, быть внимательным к адресной строке браузера, alt'ам и href'am в ссылках)
- Внимательно смотреть на орфографию в корреспонденции (этот момент часто используют фишеры)
zoom-трендинг:
https://blog.checkpoint.com/2020/03/30/covid-19-impact-cyber-criminals-target-zoom-domains/
Фишинг, как правило все начинается с него, сейчас активно муссируются *zoom* домены
Крайне важно понимать, что помимо зума, есть тимс, скайп, и тп, поэтому необходимо:
- Быть осторожным с электронными письмами и файлами, полученными от неизвестных отправителей
- Не открывать неизвестные вложения, не нажимать на ссылки в сообщениях электронной почты
- Остерегаться похожих доменов, быть внимательным к адресной строке браузера, alt'ам и href'am в ссылках)
- Внимательно смотреть на орфографию в корреспонденции (этот момент часто используют фишеры)
zoom-трендинг:
https://blog.checkpoint.com/2020/03/30/covid-19-impact-cyber-criminals-target-zoom-domains/
Check Point Blog
COVID-19 Impact: Cyber Criminals Target Zoom Domains - Check Point Blog
While the world is struggling with the Coronavirus outbreak, many countries have implemented precautionary measures. Schools are being closed, communities
Как работает Stuxnet червь (полный расклад с дизассемблингом):
https://airbus-cyber-security.com/applying-a-stuxnet-type-attack-to-a-modicon-plc/
Что это за червь:
https://ru.wikipedia.org/wiki/Stuxnet
Кратко
Stuxnet, червь, атаковавший ядерные объекты Ирана (реакторы). Что характерно, червь использовал 0day-уязвимость при обработке файлов ярлыков
(.lnk), ЭТО БЫЛ 2010 ГОД! Почему заглавными, да потому что в Windows 10 недавно был обнаружен зеродей тоже связанный с LNK и его обработкой, Карл - ПРОШЛО 10 ЛЕТ!
Расклад по LNK уязвимости 2020
https://www.zerodayinitiative.com/blog/2020/3/25/cve-2020-0729-remote-code-execution-through-lnk-files
Как оно работало в 2010 году
https://xakep.ru/2010/11/18/53950/
https://airbus-cyber-security.com/applying-a-stuxnet-type-attack-to-a-modicon-plc/
Что это за червь:
https://ru.wikipedia.org/wiki/Stuxnet
Кратко
Stuxnet, червь, атаковавший ядерные объекты Ирана (реакторы). Что характерно, червь использовал 0day-уязвимость при обработке файлов ярлыков
(.lnk), ЭТО БЫЛ 2010 ГОД! Почему заглавными, да потому что в Windows 10 недавно был обнаружен зеродей тоже связанный с LNK и его обработкой, Карл - ПРОШЛО 10 ЛЕТ!
Расклад по LNK уязвимости 2020
https://www.zerodayinitiative.com/blog/2020/3/25/cve-2020-0729-remote-code-execution-through-lnk-files
Как оно работало в 2010 году
https://xakep.ru/2010/11/18/53950/
Когда бизнес стоит (например по причине шифровальщика), он теряет деньги (простои в среднем обходятся организациям в $250,000 в час Source (Commvault) ©)
Не забываем делать бэкапы, проверять бэкапы, планировать бэкапы, etc...
Сегодня всемирный день бэкапов. Не забываем;)
С другой стороны:
Не забываем делать бэкапы, проверять бэкапы, планировать бэкапы, etc...
Сегодня всемирный день бэкапов. Не забываем;)
С другой стороны:
Глобальная безопасность на уровне провайдеров, в альянс вошли CDN провайдеры
Кратко о целях альянса, цитирую:
...
Ни один день не проходит без десятков инцидентов, влияющих на систему маршрутизации. Захват маршрута, утечки маршрута, подмена IP-адреса и другие вредные действия могут привести к DDoS-атакам, проверке трафика, потерянному доходу, репутационному ущербу и т. д. Эти инциденты являются глобальными по своему масштабу,причем проблемы маршрутизации одного оператора каскадно влияют на другие.
...
Собственно вот такой вот есть альянс, посмотрим к чему это все приведёт - к глобальной безопасности? глобальному контролю? к глобальной слежке? (напомню что крупные корпорации тоже создали подобный альянс но только в разрезе передачи данных, участники довольно внушительные - Apple, MS, Google, FB, Twitter)
Но все будет хорошо же, а?)
https://www.manrs.org/
Кратко о целях альянса, цитирую:
...
Ни один день не проходит без десятков инцидентов, влияющих на систему маршрутизации. Захват маршрута, утечки маршрута, подмена IP-адреса и другие вредные действия могут привести к DDoS-атакам, проверке трафика, потерянному доходу, репутационному ущербу и т. д. Эти инциденты являются глобальными по своему масштабу,причем проблемы маршрутизации одного оператора каскадно влияют на другие.
...
Собственно вот такой вот есть альянс, посмотрим к чему это все приведёт - к глобальной безопасности? глобальному контролю? к глобальной слежке? (напомню что крупные корпорации тоже создали подобный альянс но только в разрезе передачи данных, участники довольно внушительные - Apple, MS, Google, FB, Twitter)
Но все будет хорошо же, а?)
https://www.manrs.org/
MANRS
MANRS - MANRS
Protect the Internet Mutually Agreed Norms for Routing Security (MANRS) is a global initiative that helps reduce the most common routing threats.
OPENWRT REMOTE CODE EXECUTION (уже как три года эксплуатируется)
https://blog.forallsecure.com/uncovering-openwrt-remote-code-execution-cve-2020-7982
CVE - https://nvd.nist.gov/vuln/detail/CVE-2020-7982
https://blog.forallsecure.com/uncovering-openwrt-remote-code-execution-cve-2020-7982
CVE - https://nvd.nist.gov/vuln/detail/CVE-2020-7982
www.mayhem.security
Uncovering OpenWRT Remote Code Execution (CVE-2020-7982) | Mayhem
ForAllSecure Researcher, Guido Vranken walks readers through his workflow for uncovering for OpenWRT remote code execution vulnerability.
42 миллиона иранских пользователей Телеграм просочились в интернет, это:
- идентификаторы учетных записей пользователей
- имена пользователей
- телефонные номера
- хэши и секретные ключи
говорят, во всем виноват third-party Телеграм мессенджер, ну конечно, а как иначе то? )
https://securityaffairs.co/wordpress/100810/data-breach/unofficial-telegram-fork-leak.html
За ссылку спасибо @ldviolet
- идентификаторы учетных записей пользователей
- имена пользователей
- телефонные номера
- хэши и секретные ключи
говорят, во всем виноват third-party Телеграм мессенджер, ну конечно, а как иначе то? )
https://securityaffairs.co/wordpress/100810/data-breach/unofficial-telegram-fork-leak.html
За ссылку спасибо @ldviolet
Security Affairs
42 million records of Iranian users of unofficial Telegram fork leaked online
Security expert Bob Diachenko discovered that 42 million Iranian 'Telegram' user IDs and phone numbers have been leaked online.
Cloudflare DNS, теперь защищает от малвари и контента для взрослых. Родительский контроль? Написано, что подходит аккурат для семей)
Блокировка только от вредоносных программ
основной DNS: 1.1.1.2
дополнительный DNS: 1.0.0.2
Вредоносные программы и контент для взрослых
основной DNS: 1.1.1.3
вторичный DNS: 1.0.0.3
https://blog.cloudflare.com/introducing-1-1-1-1-for-families/
Блокировка только от вредоносных программ
основной DNS: 1.1.1.2
дополнительный DNS: 1.0.0.2
Вредоносные программы и контент для взрослых
основной DNS: 1.1.1.3
вторичный DNS: 1.0.0.3
https://blog.cloudflare.com/introducing-1-1-1-1-for-families/
The Cloudflare Blog
Introducing 1.1.1.1 for Families
Introducing 1.1.1.1 for Families — the easiest way to add a layer of protection to your home network and protect it from malware and adult content.
Linux Kernel eBPF Improper Input Validation Privilege Escalation Vulnerability
https://www.zerodayinitiative.com/advisories/ZDI-20-350/
Есть патч (https://lore.kernel.org/bpf/20200330160324.15259-1-daniel%40iogearbox.net/T/), пока ждем доставки, можно митигировать так:
https://people.canonical.com/~ubuntu-security/cve/2020/CVE-2020-8835.html
https://www.zerodayinitiative.com/advisories/ZDI-20-350/
Есть патч (https://lore.kernel.org/bpf/20200330160324.15259-1-daniel%40iogearbox.net/T/), пока ждем доставки, можно митигировать так:
https://people.canonical.com/~ubuntu-security/cve/2020/CVE-2020-8835.html
Zerodayinitiative
ZDI-20-350
(Pwn2Own) Linux Kernel eBPF Improper Input Validation Privilege Escalation Vulnerability
Ни у немного исследования про троянизированный Zoom под Android
https://labs.bitdefender.com/2020/03/infected-zoom-apps-for-android-target-work-from-home-users/
https://labs.bitdefender.com/2020/03/infected-zoom-apps-for-android-target-work-from-home-users/
Bitdefender Labs
Daily source of cyber-threat information. Established 2001.
MS SQL сервера под атакой
Брутофорс > Раскатка бэкдоров с вредоносными модулями - RAT, криптомайнеры
PoC:
https://www.guardicore.com/2020/04/vollgar-ms-sql-servers-under-attack/
Брутофорс > Раскатка бэкдоров с вредоносными модулями - RAT, криптомайнеры
PoC:
https://www.guardicore.com/2020/04/vollgar-ms-sql-servers-under-attack/
Akamai
Cloud Computing, Security, Content Delivery (CDN) | Akamai
Akamai is the cybersecurity and cloud computing company that powers and protects business online.
Ansible Tower вебинар, базовые навыки (7 апреля)
Кому интересно:
https://events.redhat.com/profile/form/index.cfm?PKformID=0x149436abcd
За ссылку спасибо @bessmertnyiponi
Кому интересно:
https://events.redhat.com/profile/form/index.cfm?PKformID=0x149436abcd
За ссылку спасибо @bessmertnyiponi
Посде выпуска обновления 10.14.6 для macOS, пользователи MacBook 2019 & 2018 15" стали жаловаться на Kernel Panic вовремя использования FaceTime
https://mrmacintosh.com/10-14-6-update-causes-kernel-panic-when-using-facetime-camera/
За ссылку спасибо @ldviolet
https://mrmacintosh.com/10-14-6-update-causes-kernel-panic-when-using-facetime-camera/
За ссылку спасибо @ldviolet
Mr. Macintosh
10.14.6 Update Causes Kernel Panic When Using FaceTime Camera (UPDATE!)
After the 10.14.6 Update was released, users of 2019 & 2018 15" MBPs started reporting a Kernel Panic when using the Built-In FaceTime Camera. + Workaround!
Критическая уязвимость в HTTP/2 HPACK HAProxy, которая может быть использована для того, чтобы вызвать запись вне границ памяти, потенциально приводящую к повреждению данных, сбою или выполнению кода:
https://www.haproxy.com/blog/haproxy-1-8-http-2-hpack-decoder-vulnerability-fixed/
За ссылку спасибо @ldviolet
https://www.haproxy.com/blog/haproxy-1-8-http-2-hpack-decoder-vulnerability-fixed/
За ссылку спасибо @ldviolet
HAProxy Technologies
HAProxy 1.8+ HTTP/2 HPACK Decoder Vulnerability Fixed
Security researcher Felix Wilhelm has disclosed a critical vulnerability in HAProxy's HTTP/2 HPACK decoder in versions 1.8 and above which is now fixed.
Win32k Smash the Ref.pdf
837.4 KB
Новый класс Windows уязвимостей связанный с ошибкой влияния пользовательского интерфейса ядра win32 (win32k). Уязвимости существовали десятилетиями. Связаны с функционалом обратной совместимости. Содержится во всех последних версиях Windows 10.
Всего уязвимостей около 25. Некоторые связанны с возможностью повышения привилегий в системе.
PoC
Доп данные в git репозитории ресерчера:
https://github.com/gdabah/win32k-bugs/tree/master/SmashTheRef
Анонс о багах в блоге автора:
https://www.ragestorm.net/blogs
Всего уязвимостей около 25. Некоторые связанны с возможностью повышения привилегий в системе.
PoC
Доп данные в git репозитории ресерчера:
https://github.com/gdabah/win32k-bugs/tree/master/SmashTheRef
Анонс о багах в блоге автора:
https://www.ragestorm.net/blogs
100k + установок уязвимого плагина WP
https://www.wordfence.com/blog/2020/04/high-severity-vulnerability-leads-to-closure-of-plugin-with-over-100000-installations/
https://www.wordfence.com/blog/2020/04/high-severity-vulnerability-leads-to-closure-of-plugin-with-over-100000-installations/
Wordfence
High Severity Vulnerability Leads to Closure of Plugin with Over 100,000 Installations
On April 1, 2020, the Wordfence Threat Intelligence team discovered a stored Cross Site Scripting (XSS) vulnerability in Contact Form 7 Datepicker, a WordPress plugin installed on over 100,000 sites. As the plugin developer’s github page indicated that the…
RedHat is providing free courses for 30 days.
1. RH Enterprise Linux Technical Overview (RH024) - https://www.redhat.com/en/services/training/rh024-red-hat-linux-technical-overview
2. RH Agile integration Technical Overview (DO040) - https://www.redhat.com/en/services/training/do040-red-hat-agile-integration-technical-overview
3. Ansible Essentials (DO007) - https://www.redhat.com/en/services/training/do007-ansible-essentials-simplicity-automation-technical-overview
4. Deploying Containerized Applications Tech Overview (DO080) - https://www.redhat.com/en/services/training/do080-deploying-containerized-applications-technical-overview
5. RH Satellite Technical Overview (RH053) - https://www.redhat.com/en/services/training/rh053-red-hat-satellite-technical-overview
6. RH OpenStack Technical Overview (CL010) - https://www.redhat.com/en/services/training/cl010-red-hat-openstack-technical-overview
7. Virtualisation & Infrastructure Migration Technical Overview (RH018) - https://www.redhat.com/en/services/training/rh018-virtualization-and-infrastructure-migration-technical-overview
Make most of it and leverage your knowledge with redhat products.
За ссылки спасибо @telpek @redhat_architect
1. RH Enterprise Linux Technical Overview (RH024) - https://www.redhat.com/en/services/training/rh024-red-hat-linux-technical-overview
2. RH Agile integration Technical Overview (DO040) - https://www.redhat.com/en/services/training/do040-red-hat-agile-integration-technical-overview
3. Ansible Essentials (DO007) - https://www.redhat.com/en/services/training/do007-ansible-essentials-simplicity-automation-technical-overview
4. Deploying Containerized Applications Tech Overview (DO080) - https://www.redhat.com/en/services/training/do080-deploying-containerized-applications-technical-overview
5. RH Satellite Technical Overview (RH053) - https://www.redhat.com/en/services/training/rh053-red-hat-satellite-technical-overview
6. RH OpenStack Technical Overview (CL010) - https://www.redhat.com/en/services/training/cl010-red-hat-openstack-technical-overview
7. Virtualisation & Infrastructure Migration Technical Overview (RH018) - https://www.redhat.com/en/services/training/rh018-virtualization-and-infrastructure-migration-technical-overview
Make most of it and leverage your knowledge with redhat products.
За ссылки спасибо @telpek @redhat_architect
Redhat
Red Hat Enterprise Linux Technical Overview | RH024
This course is a series of no-cost, on-demand, online videos that provide a technical introduction to Red Hat Enterprise Linux 10 for IT professionals.
Уязвимости HP Support Assistant работающим под Windows
Целый букет:
- Эскалация привилегий (несколько уязвимостей)
- Произвольное удаление файлов (несколько уязвимостей)
- Удалённое выполнение кода (несколько уязвимостей)
Напомню, что этот чудо-ассистент предустанавливался на компьютеры HP, поступавших в продажу после октября 2012 года, работающих под управлением операционных систем Windows 7, Windows 8, Windows 10
Детальное описание от первого лица + PoC видео:
https://d4stiny.github.io/Several-Critical-Vulnerabilities-on-most-HP-machines-running-Windows/
Целый букет:
- Эскалация привилегий (несколько уязвимостей)
- Произвольное удаление файлов (несколько уязвимостей)
- Удалённое выполнение кода (несколько уязвимостей)
Напомню, что этот чудо-ассистент предустанавливался на компьютеры HP, поступавших в продажу после октября 2012 года, работающих под управлением операционных систем Windows 7, Windows 8, Windows 10
Детальное описание от первого лица + PoC видео:
https://d4stiny.github.io/Several-Critical-Vulnerabilities-on-most-HP-machines-running-Windows/
Bill Demirkapi's Blog
Several Critical Vulnerabilities on most HP machines running Windows
I always have considered bloatware a unique attack surface. Instead of the vulnerability being introduced by the operating system, it is introduced by the manufacturer that you bought your machine from. More tech-savvy folk might take the initiative and remove…