Уязвимость нулевого дня в Cisco IOS XR

Позволяет удаленному атакующему переполнить память уязвимого устройства, что соответсвенно аффектит сам девайс и его работоспособность.

Степень уязвимости - Высокая:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxr-dvmrp-memexh-dSmpdvfz

Уязвимость в IBM WEBSPHERE

PoC:

https://www.zerodayinitiative.com/blog/2020/7/20/abusing-java-remote-protocols-in-ibm-websphere

Что такое IBM вебсфера:

https://www.ibm.com/developerworks/ru/websphere/newto/index.html

Гайд от Microsoft на тему "защита от Zerologon"

https://support.microsoft.com/en-us/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc

Заметки на предмет тюнинга sysctl networking

Интересный сабж на тему оптимизации:

https://bl.ocks.org/magnetikonline/2760f98f6bf654d5ad79

Массовый сбой Outlook

Страдают если не все, то многие… Это так же касается моментов аутентификации завязанной через MS:

https://www.theverge.com/platform/amp/2020/10/1/21496667/microsoft-outlook-down-outage-service-issues

thks @aslan_im

Linux - Быстрое восстановление файлов, на примере восстановления .ICEauthority

Бывает так, что файлы удаляются, особенно часто этот факт имеет место на десктопных рабочих станциях, особенно момент восстановления файлов может быть затруднителен, если это Linux, восстанавливаем быстро, без шума и пыли:

https://sys-adm.in/systadm/nix/922-linux-vosstanovlenie-fajlov-na-primere-iceauthority.html

Bitwarden (credentials manager) launches SSO

https://bitwarden.com/blog/post/bitwarden-launches-sso-authentication/

Тестирование / Скрапинг сайтов

Книги, документация (en):

- Selenium Testing Tools Cookbook
- Selenium Practical Guide
- Wedsite Scraping with Python

(см. файлы ниже)

- https://news.1rj.ru/str/sysadm_in_up/154
- https://news.1rj.ru/str/sysadm_in_up/155
- https://news.1rj.ru/str/sysadm_in_up/156

#selenium #scrapy #docs

Кстати, еще есть время (несколько дней) получить призы за несколько минут своего времени)

P.S. Power Bank норм, в виде маленького маршрутизатора, реально пару раз выручил

Пост про опрос - https://news.1rj.ru/str/sysadm_in_channel/2207

Хищение SUDO паролей пользователей в Linux / macOS при помощи BASH

Простой пример хищения паролей у пользователей используюущих sudo, с отправкой обернутых паролей в base64 на удаленный web-сервер:

https://sys-adm.in/security/923-khishchenie-sudo-parolej-polzovatelej-v-linux-macos-pri-pomoshchi-bash.html

Злые Антивирусы

Уязвимости в антивирусах (список ниже) позволяют повышать привилегии, оперировать с файлами, логами систем в которых они работают и тп, полный список продуктов, которые призваны "защищать" системы конечных пользователей:

- Kaspersky CVE-2020-25045, CVE-2020-25044, CVE-2020-25043
- McAfee CVE-2020-7250, CVE-2020-7310
- Symantec CVE-2019-19548
- Fortinet CVE-2020-9290
- Checkpoint CVE-2019-8452
- Trend Micro CVE-2019-19688, CVE-2019-19689 +3
- Avira – CVE-2020-13903
- Microsoft-CVE-2019-1161
- Avast + F-Secure – Waiting for Mitre

Исследование:

https://www.cyberark.com/resources/threat-research-blog/anti-virus-vulnerabilities-who-s-guarding-the-watch-tower

P.S. Возможно уже есть смысл заменить слова "обнаружена уязвимость" на "обнаружен скрытый функционал" или "бэкдор функционал, позволяет..." в новостях подобного рода...

Проверка Kubernetes согласно CIS (security-бенчмаркам)

Написано на Go, сами тесты описаны в yaml формате:

https://github.com/aquasecurity/kube-bench#running-kube-bench

Tldr - Ну прям очень содержательный аналог man для множества инструментов

Собственно цель проекта - коротко и по делу вывести информацию о той или иной команде. Это CLI утилита, в некоторых дистрибутивах и ОС ставится из командной строки буквально из "коробки”, Продукт поддерживается более чем 1к контрибьюторов, содержит краткую и содержательную информацию о разных инструментах, утилитах и тп., основная суть - предоставить нужную информацию без "воды”:

https://sys-adm.in/systadm/924-tldr-nu-pryam-ochen-soderzhatelnyj-analog-man.html

⁠
OFFZONE ищет Спикеров
⁠
Обещают бесплатную доставку (билеты на самолет туда-обратно), проживание + доп. билет на конференцию. Никакой рекламы, контакт непосредственно спикера с комитетом конференции.

Кто не знает. OFFZONE — международная конференция по практической кибербезопасности. В центре внимания — технический контент и практические исследования в области кибербезопасности. Никаких пиджаков и бизнеса — только hardcore research. Участие в конференции (независимо в какой роли), в любом случае прекрасная возможность для знакомств, общения, получения/предоставления новых знаний 🙂

Детали - https://offzone.moscow/ru/2021-call-for-papers/
⁠

⁠
Краткий дайджест новостей

HEH - Новый ботнет нацеленный на IoT
• Написан на Go, содержит несколько функциональных модулей - P2P, HTTP-сервис, модуль распространения, что в итоге тушит ряд сервисов на конечных устройствах, запускает свой сервис с которым могут коммуницировать другие участники ботнет-сети - детали (от первого лица)...

Обход аутентификации маршрутизатора D-Link
• Детальная анатомия процесса аутентификации протокола HNAP - детали (от первого лица)...

Kraken атака, использует службу отчетов об ошибках Windows (WER) для обхода механизмов защиты
• Механика - вредоносный word документ (присланный например по почте) выполняет макрос, что в итоге приводит к инжекту в WER (WerFault.exe). PoC - детали (от первого лица)...
⁠

Порядка ~50ти уязвимостей Андроид

Октябрьский бюллетень безопасности:

https://source.android.com/security/bulletin/2020-10-01.html

Azure DevOps - несколько часов дауна

Не работали пайплайны и много чего еще:

https://build5nines.com/azure-devops-down-outage-microsoft-not-your-cicd-builds-october-6-2020/

Отчет об угрозах в облачных средах и в частности мисконфигах Amazon IAM - как работает, как может быть эксплуатирован злоумышленниками и тп

Emotet Malware | CISA
https://us-cert.cisa.gov/ncas/alerts/aa20-280a

SUDO_KILLER - инструмент, который можно использовать для повышения привилегий в среде linux, злоупотребляя некоторыми способами SUDO.

Инструмент помогает идентифицировать неправильную конфигурацию в правилах sudo, уязвимость в используемой версии sudo (CVE, vulns) и использование опасных двоичных файлов, все что может быть использовано для повышения привилегий до root’a

Так же SUDO_KILLER предоставляет список команд или локальных эксплойтов, которые могут быть использованы для повышения привилегий. Стоит отметить, что инструмент не выполняет никакой эксплуатации

Демонстрации, как работает, описание, все здесь:

https://github.com/TH3xACE/SUDO_KILLER

up

В довесок:
https://github.com/cervoise/linuxprivcheck

Open Source IdM, сокращённо от Identity Management

Управление доступом, учетными записями, ролями, оказывается есть такой класс open source решений, которые могут обеспечить (согласно представленной документации по ссылке ниже) весь жизненный цикл связанный с управлением идентификаторами:

https://syncope.apache.org/

Для справки, коммерческие решения такого класса стоят достаточно серьезных денег, есть такие, которые "просят" за 100 пользователей порядка ~$10к...