Critical - VMware ESXi, Workstation

Privilege escalation vulnerabilities 

https://www.vmware.com/security/advisories/VMSA-2020-0026.html

Setting up a Dev VM with Vagrant

Детальный гайд по работе с Vagrant

https://laredoute.io/blog/setting-up-a-dev-vm-with-vagrant/

Smartdump - создаёт дампы выбранных таблиц MySQL вместе с зависимостями

https://github.com/BenMorel/smartdump

⁠
Подборка ссылок по PCI DSS AWS

- FAQ - https://aws.amazon.com/ru/compliance/pci-dss-level-1-faqs/
- Подборка сервисов, которые соответствуют PCI - https://aws.amazon.com/ru/compliance/services-in-scope/
- Модель общей ответственности - https://aws.amazon.com/ru/compliance/shared-responsibility-model/
⁠
Еще

- https://aws.amazon.com/compliance/pci-dss-level-1-faqs/#:~:text=Yes%2C%20Amazon%20Web%20Services%20(AWS,Qualified%20Security%20Assessor%20(QSA).

VMware - command injection vulnerability (critical)

Испоавлений нет, есть workaround, уязвимость влияет как на операционные системы Windows, так и дистрибутивы Linux, так и на Workspace One.

https://www.vmware.com/security/advisories/VMSA-2020-0027.html

Информация об уязвимости на сайте CISA

https://us-cert.cisa.gov/ncas/current-activity/2020/11/23/vmware-releases-workarounds-cve-2020-4006

Найдена публичная БД Elasticsearch содержащую более 380 миллионов записей, включая учетные данные для входа, проверяемые с помощью сервиса Spotify

Возможно это какая-то компания, так как БД похоже не имеет отношения к самому Spotify. БД весит 72Гб и содержит:

- Имена пользователей и пароли учетных записей проверяются на Spotify
- Адреса электронной почты
- Страну проживания
- Множество IP адресов (возможно адреса прокси-серверов операторов компании)

Потенциальные последствия могут быть разные:
- фишинговые атаки
- финансовые мошеннические операции
- злоупотребление счетами пользователей сервиса

Рекомендуется пользователям Spotify сменить как минимум пароли от своих учетных записей

Информация от первого лица:

https://www.vpnmentor.com/blog/report-spotify-scam/

WAPDropper - вредоносное ПО для Android, подписывающее жертв на премиальные услуги

WAPDropper начинает со сбора данных об устройстве и системе жертвы, включая:

- Идентификатор устройства
- MAC-адрес
- ID подписчика
- Модель устройства
- Список всех установленных приложений
- Список запущенных сервисов
- Количество свободного места для хранения
- Общий объем RAM и доступная RAM
- Список несистемных приложений

А подписывает он на поставщиков телекоммуникационных услуг Таиланда и Малайзии

Детальный PoC:

https://research.checkpoint.com/2020/enter-wapdropper-subscribe-users-to-premium-services-by-telecom-companies/

Blackrota - запутанный бэкдор, написанный на Go

А использует этот бэкдор уязвимость несанкционированного доступа в Docker Remote API

PoC:

https://blog.netlab.360.com/blackrota-an-obfuscated-backdoor-written-in-go-en/

Вредоносное ПО создает мошеннические интернет-магазины на взломанных сайтах WordPress

Исследование от первого лица:

https://blogs.akamai.com/sitr/2020/11/wordpress-malware-setting-up-seo-shops.html

GitHub - yardenshafir/CVE-2020-1034: PoC demonstrating the use of cve-2020-1034 for privilege escalation
https://github.com/yardenshafir/CVE-2020-1034

HiddenWasp Malware Stings Targeted Linux Systems

PoC

https://www.intezer.com/blog/linux/hiddenwasp-malware-targeting-linux-systems/

Linux прокси-троян (Stantinko)

В чем особенность - троян маскируется под httpd (apache) сервер...

Технический анализ:

https://www.intezer.com/blog/research/stantinkos-proxy-after-your-apache-server/

⁠
2 декабря VIRTUAL CONNECTIONS, конференция на тему защиты данных

Что интересно, среди гостей конференции будут - эксперт по контейнерам, автор и один из лучших инструкторов по Kubernetes Найджел Поултон, 9-кратный обладатель Гран-при Формулы-1 Марк Уэббер, трехкратный победитель гонок Le Mans Алан Макниш

На конференции эксперты по управлению данными и клиенты Commvault расскажут о важных особенностях наиболее востребованных продуктов Commvault портфолио и обсудят лучшую формулу защиты данных на 2021 год.

Резервация места, детали конференции - https://www.virtualconnectionsemea.com
⁠

New LibSSH Connection Plugin for Ansible Network Replaces Paramiko, Adds FIPS Mode Enablement
https://www.ansible.com/blog/new-libssh-connection-plugin-for-ansible-network

Сегодня упал AWS Kinesis Data Stream

Кто не знает эту штуку обычно используют для отсылки логов в эластик

У кого этот сервис используется могут испытывать (или испытывали) проблемы, которые в том числе коснулись:
...
ACM, Amplify Console, API Gateway, AppStream2, AppSync, Athena, Cloudformation, Cloudtrail, CloudWatch, Cognito, Connect, DynamoDB, EventBridge, IoT Services, Lambda, LEX, Managed Blockchain, Resource Groups, SageMaker, Support Console, and Workspaces
...
https://status.aws.amazon.com/

"Атака" на ФБР - Многочисленные поддельные интернет-домены ФБР наполнили Интернет

ФБР выпустило официальное заявление в котором сказано, что:

"неустановленные кибер-субъекты регистрировали многочисленные домены, подделывающие веб-сайты ФБР, что указывает на потенциал будущей оперативной деятельности"

Мало того, сюда еще приплюсовываются поддельные email адреса...

Из чего следует достаточно логическое заключение, что будут атаки с целью вредоносных рассылок (фишинг, соц. инженерия), выманивание всевозможных персональных данных.

Интересно, а "местные" органы власти (да и вообще любые крупные холдинги и организации) проводят такие проверки? Ведь это было и есть отличным вектором атаки.. 🤔

https://www.ic3.gov/Media/Y2020/PSA201123#:~:text=The%20FBI%20observed%20unattributed%20cyber,potential%20for%20future%20operational%20activity.&text=Members%20of%20the%20public%20could,%2C%20services%2C%20or%20news%20coverage.

Анонсирован WireGuard 0.3 под Windows / ARM платформы

https://lists.zx2c4.com/pipermail/wireguard/2020-November/006075.html

То, что у Sophos (в том числе известен, как антивирус, поставляет решения для киберзащиты) вытекли данные о клиентах, это конечно плохо, но ещё хуже - отсутствие механизмов для отслеживания мисконфигов, как показывает ситуация таким ошибкам подвержены даже компании такого плана.

Со слов Sophos именно благодаря ошибке в конфигурации системы для хранения данных о клиентах, была допущена ошибка конфигурация связанной с доступом к оной системе.

What’s new in Zabbix 5.2 – Zabbix Blog
https://blog.zabbix.com/whats-new-in-zabbix-5-2/12550/

Для 0-day уязвимости Windows 7 / Server 2008 вышел неофициальный микропатч

https://blog.0patch.com/2020/11/0day-in-windows-7-and-server-2008-r2.html

Напомню, что баг кроется в нескольких ключах реестра, изменение данных ключей приводит к возможности выполнения динамических библиотек с уровнем SYSTEM привилегий

 PoC

https://itm4n.github.io/windows-registry-rpceptmapper-eop/