VMware - command injection vulnerability (critical)
Испоавлений нет, есть workaround, уязвимость влияет как на операционные системы Windows, так и дистрибутивы Linux, так и на Workspace One.
https://www.vmware.com/security/advisories/VMSA-2020-0027.html
Информация об уязвимости на сайте CISA
https://us-cert.cisa.gov/ncas/current-activity/2020/11/23/vmware-releases-workarounds-cve-2020-4006
Испоавлений нет, есть workaround, уязвимость влияет как на операционные системы Windows, так и дистрибутивы Linux, так и на Workspace One.
https://www.vmware.com/security/advisories/VMSA-2020-0027.html
Информация об уязвимости на сайте CISA
https://us-cert.cisa.gov/ncas/current-activity/2020/11/23/vmware-releases-workarounds-cve-2020-4006
Найдена публичная БД Elasticsearch содержащую более 380 миллионов записей, включая учетные данные для входа, проверяемые с помощью сервиса Spotify
Возможно это какая-то компания, так как БД похоже не имеет отношения к самому Spotify. БД весит 72Гб и содержит:
- Имена пользователей и пароли учетных записей проверяются на Spotify
- Адреса электронной почты
- Страну проживания
- Множество IP адресов (возможно адреса прокси-серверов операторов компании)
Потенциальные последствия могут быть разные:
- фишинговые атаки
- финансовые мошеннические операции
- злоупотребление счетами пользователей сервиса
Рекомендуется пользователям Spotify сменить как минимум пароли от своих учетных записей
Информация от первого лица:
https://www.vpnmentor.com/blog/report-spotify-scam/
Возможно это какая-то компания, так как БД похоже не имеет отношения к самому Spotify. БД весит 72Гб и содержит:
- Имена пользователей и пароли учетных записей проверяются на Spotify
- Адреса электронной почты
- Страну проживания
- Множество IP адресов (возможно адреса прокси-серверов операторов компании)
Потенциальные последствия могут быть разные:
- фишинговые атаки
- финансовые мошеннические операции
- злоупотребление счетами пользователей сервиса
Рекомендуется пользователям Spotify сменить как минимум пароли от своих учетных записей
Информация от первого лица:
https://www.vpnmentor.com/blog/report-spotify-scam/
vpnMentor
Report: Spotify Targeted in Potential Fraud Scheme
Led by Noam Rotem and Ran Locar, vpnMentor’s research team has discovered a possible credential stuffing operation whose origins are unknown, but that affected some online users
WAPDropper - вредоносное ПО для Android, подписывающее жертв на премиальные услуги
WAPDropper начинает со сбора данных об устройстве и системе жертвы, включая:
- Идентификатор устройства
- MAC-адрес
- ID подписчика
- Модель устройства
- Список всех установленных приложений
- Список запущенных сервисов
- Количество свободного места для хранения
- Общий объем RAM и доступная RAM
- Список несистемных приложений
А подписывает он на поставщиков телекоммуникационных услуг Таиланда и Малайзии
Детальный PoC:
https://research.checkpoint.com/2020/enter-wapdropper-subscribe-users-to-premium-services-by-telecom-companies/
WAPDropper начинает со сбора данных об устройстве и системе жертвы, включая:
- Идентификатор устройства
- MAC-адрес
- ID подписчика
- Модель устройства
- Список всех установленных приложений
- Список запущенных сервисов
- Количество свободного места для хранения
- Общий объем RAM и доступная RAM
- Список несистемных приложений
А подписывает он на поставщиков телекоммуникационных услуг Таиланда и Малайзии
Детальный PoC:
https://research.checkpoint.com/2020/enter-wapdropper-subscribe-users-to-premium-services-by-telecom-companies/
Check Point Research
Enter WAPDropper – An Android Malware Subscribing Victims To Premium Services By Telecom Companies - Check Point Research
Research by: Aviran Hazum, Danil Golubenko, Ohad Mana Overview Check Point researchers recently encountered WAPDropper, a new malware which downloads and executes an additional payload. In the current campaign, it drops a WAP premium dialer which subscribes…
Blackrota - запутанный бэкдор, написанный на Go
А использует этот бэкдор уязвимость несанкционированного доступа в Docker Remote API
PoC:
https://blog.netlab.360.com/blackrota-an-obfuscated-backdoor-written-in-go-en/
А использует этот бэкдор уязвимость несанкционированного доступа в Docker Remote API
PoC:
https://blog.netlab.360.com/blackrota-an-obfuscated-backdoor-written-in-go-en/
Вредоносное ПО создает мошеннические интернет-магазины на взломанных сайтах WordPress
Исследование от первого лица:
https://blogs.akamai.com/sitr/2020/11/wordpress-malware-setting-up-seo-shops.html
Исследование от первого лица:
https://blogs.akamai.com/sitr/2020/11/wordpress-malware-setting-up-seo-shops.html
GitHub - yardenshafir/CVE-2020-1034: PoC demonstrating the use of cve-2020-1034 for privilege escalation
https://github.com/yardenshafir/CVE-2020-1034
https://github.com/yardenshafir/CVE-2020-1034
GitHub
GitHub - yardenshafir/CVE-2020-1034: PoC demonstrating the use of cve-2020-1034 for privilege escalation
PoC demonstrating the use of cve-2020-1034 for privilege escalation - yardenshafir/CVE-2020-1034
HiddenWasp Malware Stings Targeted Linux Systems
PoC
https://www.intezer.com/blog/linux/hiddenwasp-malware-targeting-linux-systems/
PoC
https://www.intezer.com/blog/linux/hiddenwasp-malware-targeting-linux-systems/
Intezer
HiddenWasp Malware Stings Targeted Linux Systems
Overview • Intezer has discovered a new, sophisticated malware that we have named “HiddenWasp”, targeting Linux systems. • The malware is still active and has a zero-detection rate in all major anti-virus systems. • Unlike common Linux malware, HiddenWasp…
Linux прокси-троян (Stantinko)
В чем особенность - троян маскируется под httpd (apache) сервер...
Технический анализ:
https://www.intezer.com/blog/research/stantinkos-proxy-after-your-apache-server/
В чем особенность - троян маскируется под httpd (apache) сервер...
Технический анализ:
https://www.intezer.com/blog/research/stantinkos-proxy-after-your-apache-server/
Intezer
Stantinko’s Proxy After Your Apache Server
Intro It is common for threat actors to evolve their Linux malware. BlackTech with their new ELF_PLEAD malware and Winnti’s PWNLNX tool are recent examples. On par with this trend, we have discovered a new version of a Linux proxy trojan related to Stantinko…
2 декабря VIRTUAL CONNECTIONS, конференция на тему защиты данных
Что интересно, среди гостей конференции будут - эксперт по контейнерам, автор и один из лучших инструкторов по Kubernetes Найджел Поултон, 9-кратный обладатель Гран-при Формулы-1 Марк Уэббер, трехкратный победитель гонок Le Mans Алан Макниш
На конференции эксперты по управлению данными и клиенты Commvault расскажут о важных особенностях наиболее востребованных продуктов Commvault портфолио и обсудят лучшую формулу защиты данных на 2021 год.
Резервация места, детали конференции - https://www.virtualconnectionsemea.com
2 декабря VIRTUAL CONNECTIONS, конференция на тему защиты данных
Что интересно, среди гостей конференции будут - эксперт по контейнерам, автор и один из лучших инструкторов по Kubernetes Найджел Поултон, 9-кратный обладатель Гран-при Формулы-1 Марк Уэббер, трехкратный победитель гонок Le Mans Алан Макниш
На конференции эксперты по управлению данными и клиенты Commvault расскажут о важных особенностях наиболее востребованных продуктов Commvault портфолио и обсудят лучшую формулу защиты данных на 2021 год.
Резервация места, детали конференции - https://www.virtualconnectionsemea.com
Forwarded from Sys-Admin Up (Yevgeniy Goncharov)
New LibSSH Connection Plugin for Ansible Network Replaces Paramiko, Adds FIPS Mode Enablement
https://www.ansible.com/blog/new-libssh-connection-plugin-for-ansible-network
https://www.ansible.com/blog/new-libssh-connection-plugin-for-ansible-network
Redhat
Open source communities
Discover how communities and organizations contribute to the open source ecosystem
Сегодня упал AWS Kinesis Data Stream
Кто не знает эту штуку обычно используют для отсылки логов в эластик
У кого этот сервис используется могут испытывать (или испытывали) проблемы, которые в том числе коснулись:
...
ACM, Amplify Console, API Gateway, AppStream2, AppSync, Athena, Cloudformation, Cloudtrail, CloudWatch, Cognito, Connect, DynamoDB, EventBridge, IoT Services, Lambda, LEX, Managed Blockchain, Resource Groups, SageMaker, Support Console, and Workspaces
...
https://status.aws.amazon.com/
Кто не знает эту штуку обычно используют для отсылки логов в эластик
У кого этот сервис используется могут испытывать (или испытывали) проблемы, которые в том числе коснулись:
...
ACM, Amplify Console, API Gateway, AppStream2, AppSync, Athena, Cloudformation, Cloudtrail, CloudWatch, Cognito, Connect, DynamoDB, EventBridge, IoT Services, Lambda, LEX, Managed Blockchain, Resource Groups, SageMaker, Support Console, and Workspaces
...
https://status.aws.amazon.com/
"Атака" на ФБР - Многочисленные поддельные интернет-домены ФБР наполнили Интернет
ФБР выпустило официальное заявление в котором сказано, что:
"неустановленные кибер-субъекты регистрировали многочисленные домены, подделывающие веб-сайты ФБР, что указывает на потенциал будущей оперативной деятельности"
Мало того, сюда еще приплюсовываются поддельные email адреса...
Из чего следует достаточно логическое заключение, что будут атаки с целью вредоносных рассылок (фишинг, соц. инженерия), выманивание всевозможных персональных данных.
Интересно, а "местные" органы власти (да и вообще любые крупные холдинги и организации) проводят такие проверки? Ведь это было и есть отличным вектором атаки.. 🤔
https://www.ic3.gov/Media/Y2020/PSA201123#:~:text=The%20FBI%20observed%20unattributed%20cyber,potential%20for%20future%20operational%20activity.&text=Members%20of%20the%20public%20could,%2C%20services%2C%20or%20news%20coverage.
ФБР выпустило официальное заявление в котором сказано, что:
"неустановленные кибер-субъекты регистрировали многочисленные домены, подделывающие веб-сайты ФБР, что указывает на потенциал будущей оперативной деятельности"
Мало того, сюда еще приплюсовываются поддельные email адреса...
Из чего следует достаточно логическое заключение, что будут атаки с целью вредоносных рассылок (фишинг, соц. инженерия), выманивание всевозможных персональных данных.
Интересно, а "местные" органы власти (да и вообще любые крупные холдинги и организации) проводят такие проверки? Ведь это было и есть отличным вектором атаки.. 🤔
https://www.ic3.gov/Media/Y2020/PSA201123#:~:text=The%20FBI%20observed%20unattributed%20cyber,potential%20for%20future%20operational%20activity.&text=Members%20of%20the%20public%20could,%2C%20services%2C%20or%20news%20coverage.
Анонсирован WireGuard 0.3 под Windows / ARM платформы
https://lists.zx2c4.com/pipermail/wireguard/2020-November/006075.html
https://lists.zx2c4.com/pipermail/wireguard/2020-November/006075.html
То, что у Sophos (в том числе известен, как антивирус, поставляет решения для киберзащиты) вытекли данные о клиентах, это конечно плохо, но ещё хуже - отсутствие механизмов для отслеживания мисконфигов, как показывает ситуация таким ошибкам подвержены даже компании такого плана.
Со слов Sophos именно благодаря ошибке в конфигурации системы для хранения данных о клиентах, была допущена ошибка конфигурация связанной с доступом к оной системе.
Со слов Sophos именно благодаря ошибке в конфигурации системы для хранения данных о клиентах, была допущена ошибка конфигурация связанной с доступом к оной системе.
What’s new in Zabbix 5.2 – Zabbix Blog
https://blog.zabbix.com/whats-new-in-zabbix-5-2/12550/
https://blog.zabbix.com/whats-new-in-zabbix-5-2/12550/
Zabbix Blog
What's new in Zabbix 5.2 - Zabbix Blog
Zabbix is a universal open-source enterprise-level monitoring solution, therefore Zabbix has all the enterprise-grade features included: SSO, distributed monitoring,…
Для 0-day уязвимости Windows 7 / Server 2008 вышел неофициальный микропатч
https://blog.0patch.com/2020/11/0day-in-windows-7-and-server-2008-r2.html
Напомню, что баг кроется в нескольких ключах реестра, изменение данных ключей приводит к возможности выполнения динамических библиотек с уровнем SYSTEM привилегий
PoC
https://itm4n.github.io/windows-registry-rpceptmapper-eop/
https://blog.0patch.com/2020/11/0day-in-windows-7-and-server-2008-r2.html
Напомню, что баг кроется в нескольких ключах реестра, изменение данных ключей приводит к возможности выполнения динамических библиотек с уровнем SYSTEM привилегий
PoC
https://itm4n.github.io/windows-registry-rpceptmapper-eop/
0Patch
0day in Windows 7 and Server 2008 R2 Gets a Micropatch
by Mitja Kolsek, the 0patch Team [Update 1/22/2021: This vulnerability did not get patched by December 2020 or January 2021 Extended Se...
Forwarded from Sys-Admin Up (Yevgeniy Goncharov)
Tracee - Container and system tracing using eBPF
https://github.com/aquasecurity/tracee#getting-started
https://github.com/aquasecurity/tracee#getting-started
GitHub
GitHub - aquasecurity/tracee: Linux Runtime Security and Forensics using eBPF
Linux Runtime Security and Forensics using eBPF. Contribute to aquasecurity/tracee development by creating an account on GitHub.
Анонсировано SMB сжатие под Linux
Экономит трафик, увеличивает скорость и тп, в статье приведен график и описание на примере всем изместной утилиты robocopy
https://blocksandfiles.com/2020/11/26/tuxera-smb-compression-linux/
Ув. Подписчик. Спасибо за ссылку ✌️
Экономит трафик, увеличивает скорость и тп, в статье приведен график и описание на примере всем изместной утилиты robocopy
https://blocksandfiles.com/2020/11/26/tuxera-smb-compression-linux/
Ув. Подписчик. Спасибо за ссылку ✌️
Blocks and Files
Tuxera makes SMB compression available for Linux – Blocks and Files
Tuxera, a Finnish software firm, has introduced Microsoft SMB file compression to Linux. “We can open up entirely new use cases for enterprise customers – especially for hosted storage and software-defined storage vendors,” Heinrich von Keler, director of…
Forwarded from Sys-Admin Up (Yevgeniy Goncharov)
CWiCCS (Check Windows and Control Configs and Security) - PowerShell инструмент для проверки и контроля Windows конфигураций
CWiCCS - это аббревиатура от полного названия инструмента - Check Windows and Control Configs and Security. В базовом варианте, это PowerShell инструмент для проверки и контроля Windows конфигураций, в том числе конфигураций связанных с безопасностью ОС.
CWiCCS можно использовать в том числе для поиска мисконфигов в ОС Windows, или как ПО для сканирования GPO Security Options, Passwords / Audit политик АД / Локальных политик на соответствия требованиям ИБ (или собственным требованиям, которые можно определять к кастомных профилях проверки систем). Работает локально и из сетевых шар, может складывать HTML отчеты туда-же в шары.
- Тестировано на Windows 2012 - 2019. PowerShell v5-v6
- Скоро будет вариант под Windows 10 и адаптация под PowerShell v7
https://sys-adm.in/systadm/windows/933-cwiccs-check-windows-and-control-configs-and-security-powershell-instrument-dlya-proverki-i-kontrolya-windows-konfiguratsij.html
CWiCCS - это аббревиатура от полного названия инструмента - Check Windows and Control Configs and Security. В базовом варианте, это PowerShell инструмент для проверки и контроля Windows конфигураций, в том числе конфигураций связанных с безопасностью ОС.
CWiCCS можно использовать в том числе для поиска мисконфигов в ОС Windows, или как ПО для сканирования GPO Security Options, Passwords / Audit политик АД / Локальных политик на соответствия требованиям ИБ (или собственным требованиям, которые можно определять к кастомных профилях проверки систем). Работает локально и из сетевых шар, может складывать HTML отчеты туда-же в шары.
- Тестировано на Windows 2012 - 2019. PowerShell v5-v6
- Скоро будет вариант под Windows 10 и адаптация под PowerShell v7
https://sys-adm.in/systadm/windows/933-cwiccs-check-windows-and-control-configs-and-security-powershell-instrument-dlya-proverki-i-kontrolya-windows-konfiguratsij.html
lab.sys-adm.in
Sys-Admin Laboratory
Open Sys-Admin BLD DNS - Focus on information for free with adblocking and implicit cybersecurity threat prevention.
Sys-Admin InfoSec pinned «CWiCCS (Check Windows and Control Configs and Security) - PowerShell инструмент для проверки и контроля Windows конфигураций CWiCCS - это аббревиатура от полного названия инструмента - Check Windows and Control Configs and Security. В базовом варианте, это…»