Интернет Контроль Сервер (ИКС) — интернет-шлюз на базе операционной системы FreeBSD
⁠
Отечественная разработка, есть бесплатная редакция на 8 пользователей. Судя по демо, довольно много и гибко можно настраивать доступ в интернет для пользователей, есть предустановленные правила для школ, встроенные антивирусы, фаервол, встроенный модуль IP-телефонии (входящие, исходящие, переадресация), утилита авторизации xauth, fail2ban, отчеты и сбор статистики по активности юзеров и много чего еще 🙂

Есть демо-доступ - https://demo.a-real.ru/#/ (root, 00000)

Документация здесь - https://doc.a-real.ru/doku.php (есть инструкции как установить в виртуальную среду, например VirtualBox, ESXi, Hyper-V)

Полезность для удаленки. Пошаговая настройка VPN и OpenVPN - https://youtu.be/7jXH03Hy7cA

Скачать и протестировать можно здесь
⁠

Вышел новый Sysmon:

https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

Для чего он и как может быть полезен в работе системного администратора / специалиста информационной безопасности:

https://m.habr.com/ru/company/microsoft/blog/352692/

Новый релиз Parrot 4.9, дистрибутив для проведения пентестов, альтернатива Kali Linux. В качесте DE используется MATE. В качестве ключевых обновлений:
- Linux 5.5
- Испраления ошибок WIFI / intel GPU
- Включает исправления Debian
- Включает исправления для Anonsurf
- GUI фиксы

Новости релиза:
https://parrotsec.org/blog/parrot-4.9-release-notes/

Произвольное чтение файлов на серверах в результате кривой обработки Markdown, удалённое выполнение кода, возможность получения доступа к конфиденциальным данным в GitLab.

PoC:

https://hackerone.com/reports/827052

Выход из песочницы Chrome в Windows. Метод использует механизм управления маркерами доступа Windows.

Если кратко, для побега из песочницы необходимо

- получить неограниченный токен
- продублировать его маркер, с целью создать новый основной маркер, сделать его доступным для записи
- вызвать CreateProcessAsUser с новым маркером
- совершить побег из песочницы

Технические детали. PoC:

https://googleprojectzero.blogspot.com/2020/04/you-wont-believe-what-this-one-line.html

Механизм песочницы Chrome работает годами и как это уже в порядке вещей, все сломал хотфикс от Microsoft, они (MS) это признали и выпустили в рамках апрельских обновлений хотфикс для хотфикса:

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-0981

Между тем, как произошло изменение кода касающегося обработки маркеров остается загадкой "конечно, это не было намеренно, так как Microsoft быстро выпустила исправление для него" отметил исследователь Google Project Zero Джеймс Форшоу

7 уязвимостей, которые исправлены в новой версии WordPress:

- проблема маркеров (опять маркеры безопасности) сброса пароля
- просмотр сообщений пользователей не аутентифицированными пользователями
- набор XSS уязвимостей

https://www.wordfence.com/blog/2020/04/unpacking-the-7-vulnerabilities-fixed-in-todays-wordpress-5-4-1-security-update/

Новый релиз WordPress вышел пару дней назад (кто не обновился > обновляйтесь), новости релиза

https://wordpress.org/news/2020/04/wordpress-5-4-1/

EventBot ворует с Android устройств максимально возможный набор информации включая данные банковских карт, платежных приложений, SMS...

Троян EventBot ориентирован на более чем 200 различных финансовых приложений, включающих банковские услуги, услуги по переводу денег, криптовалютные кошельки (Paypal Business , Revolut , Barclays , UniCredit , CapitalOne UK , HSBC UK , Santander UK , TransferWise , Coinbase , paysafecard и многие другие)

Пока ориентирован (пока) на страны Европы, США.

Маскируется под известные приложения (Microsoft Word, Антивирусы, продукты Adobe)

Основные рекомендации по профилактике угроз:

- обновлённый Android / установленные приложения
- включенный Google Play Protect
- не загружайте приложения из неизвестных источников
- анализируйте предоставляемые разрешения для приложений
- если ставите неизвестный APK, проверяйте на VirusTotal
- антивирус или любое анти-малварное решение

https://www.cybereason.com/blog/eventbot-a-new-mobile-banking-trojan-is-born

Уязвимости в TP-Link камерах

Набор. Захардкоженные ключи шифрования и не только:

https://seclists.org/fulldisclosure/2020/May/4

https://seclists.org/fulldisclosure/2020/May/2

https://seclists.org/fulldisclosure/2020/May/3

Топовый инженер и вице-президент AWS Тим Брей уходит с работы, из-за политики Amazon в отношении бастующих рабочих которые топили за поддержку защиты рабочих от коронавируса

Собственно говоря инженер-программист, работавший в Sun Microsystems и Google, уволился из-за всей этой ситуции и собственно главной причиной послужило не этичное отношение Amazon к требованиям своих работников

К слову сказать ЗП у Тима была $1млн+ денег:

https://www.zdnet.com/article/top-aws-engineer-tim-bray-quits-1m-plus-job-over-amazon-firing-employees/

Множественные уязвимости в Zyxel CNM SecuManager

Довольно много хардкодинга. Отчет уже отправлен вендору.

Технические детали, что, где и как:

https://pierrekim.github.io/blog/2020-03-09-zyxel-secumanager-0day-vulnerabilities.html

Уже который раз за сегодня встречаю эту новость. Знаю многие пользуются сервисом GoDaddy (сертификаты, хостинг и тп)

Так вот, порядка 19 миллионов пользователей сервиса пострадали от утечки данных. Не все детали известны, но владельцы сервиса подтверждают сей факт:

https://www.forbes.com/sites/daveywinder/2020/05/05/godaddy-confirms-data-breach-what-19-million-customers-need-to-know/

Intel выпустил Windows патчи для Wireless адаптеров

Всего в апреле было обнаруженно несколько уязвимостей, ключевой особенностью объединяющей уязвимости являлось - возможность позволяющая злоумышленникам выполнять произвольный код на машинах, где были установлены драйвера Intel Wi-Fi Link Driver (для эксплуатации этих уязвимостей не требовалась проверка подлинности)

https://downloadcenter.intel.com/download/29455?v=t

GitHub c PoC

https://github.com/thezdi/PoC/tree/master/CVE-2020-0558

Почти миллион WordPress сайтов. Уязвимости в плагинах. XSS. Подборка и описание того, что, где и как:

- Easy2Map
- Blog Designer
- WP GDPR
- Total Donations

https://www.wordfence.com/blog/2020/05/nearly-a-million-wp-sites-targeted-in-large-scale-attacks/

Проблемы безопасности Citrix ShareFile позволяют злоумышленнику, не прошедшему проверку подлинности потенциально получить доступ к документам и папкам пользователей ShareFile

Патчи + описание от вендора:

https://support.citrix.com/article/CTX269106

Любителям / Пользователям сторонних (не своих) VPN сервисов посвящается

Критические уязвимости в PrivateVPN и Betternet могут позволить хакерам пушить поддельные обновления и устанавливать вредоносные программы / красть пользовательские данные

https://vpnpro.com/blog/privatevpn-betternet-vulnerabilities/

GitHub анонсировал новые фичи, в частности сканирование кода на CVE при каждом push'е. Всего анонсировано 4 фичи (включая сканирование), некоторые еще в бете:

https://github.blog/2020-05-06-new-from-satellite-2020-github-codespaces-github-discussions-securing-code-in-private-repositories-and-more/

TinkaOTP для macOS, как вариант доставки RAT. Тот случай, когда 2FA имеет полезную нагрузку 🙂

PoC:

https://blog.malwarebytes.com/threat-analysis/2020/05/new-mac-variant-of-lazarus-dacls-rat-distributed-via-trojanized-2fa-app/

Samsung Android несколько RCE

Кратко обработчик изображений Skia обрабатывает изображения из таких источников, как электронная почта, месенджеры, MMS сообщения, что в итоге позволяет исполнить вышеозвученный вектор атаки

Форматы файлов обрабатываемые гнусмас библиотекой (skia):
* BMP
* WBMP
* ICO
* PNG
* JPEG
* GIF
* WEBP
* HEIF
* RAW (изместные как DNG, использующие структуру TIFF)
* QM (version 1)
* QG (versions 1.0, 1.1 and 2.0)
* ASTC
* PIO (a variant of PNG)

https://bugs.chromium.org/p/project-zero/issues/detail?id=2002

Множественные уязвимости Cisco Firepower, здесь и DoS и path traversal и много чего еще. Приоритет High

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-ftd-ospf-dos-RhMQY8qx

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-path-JE3azWw43

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-ssl-vpn-dos-qY7BHpjN

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-asa-kerberos-bypass-96Gghe2sS

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-mgcp-SUqB8VKH

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-ipv6-67pA658k

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-info-disclose-9eJtycMB

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ftd-tls-dos-4v5nmWtZ

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ftd-dos-N2vQZASR

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ftd-dos-2-sS2h7aWe

Samsung выпустил патчи для множества найденных уязвимостей в своих устройствах. Ждём доставки.

https://security.samsungmobile.com/securityUpdate.smsb