Docker malware is now common, so devs need to take Docker security seriously

Докер в опасности, снова:

https://www.zdnet.com/google-amp/article/docker-malware-is-now-common-so-devs-need-to-take-docker-security-seriously/

Xanthe - майнер с поддержкой Docker

Атакует "не осекуренные" контейнеры Docker

Что интересно, имеет несколько модулей:

- Модуль скрытия процессов
- Сценарий для отключения других майнеров и служб безопасности
- Сценарий для удаления контейнеров Docker с конкурирующими троянами для майнинга криптовалюты

https://blog.talosintelligence.com/2020/12/xanthe-docker-aware-miner.html?m=1#more

Необходимо помнить - контроль конфигураций, мониторинг - не забывай об этих вещах уважаемый подписчик :)

Удаленная эксплуатация уязвимости повреждения памяти ядра без проверки подлинности, которая приводит к перезагрузке устройств iOS

В случае успешной эксплуатации уязвимости на любом близлежащем устройстве iOS (да “виноват” wifi) возможно кража/просмотр всех пользовательских данных в том числе

Большая статья, много и подробно рассказывается о данной уязвимости и сопутсвующих механизмах связанных с ее эксплуатацией, есть демонстрация работы, уявимость закрыта в iOS 13.5 в мае текущего года:

https://googleprojectzero.blogspot.com/2020/12/an-ios-zero-click-radio-proximity.html

Более 50% образов в Docker Hub содержат критические уязвимости

Компания по обеспечению безопасности контейнеров Prevasio проанализировала 4 миллиона общедоступных образов контейнеров Docker, размещенных в Docker Hub, и обнаружила, что более половины из них имеют критические уязвимости, а тысячи образов содержат вредоносные или потенциально опасные элементы

Отчёт на эту тему

Исследование - как DarkIRC атакует Oracle WebLogic

Не пропатченных серверов достаточно большое количество (только доступных из сети Интернет авторы статьи нашли 3109 штук), уязвимость в случае успешного использования позволяет выполнять удаленный код без проверки подлинности.

Во время атаки DarkIRC в том числе с целью защиты от песочницы пытается распознать тип гипервизора который обслуживает сервера с WebLogic

- VMware
- VirtualBox
- Qemu
- Xen

Если это не так, загружает зашифрованную копию себя на сервер, добавляется в автозагрузку, выдает за chrome, собирает данные:

- вводимые с клавиатуры
- хищение данных из браузера (ов)
- подмена bitcoin кошельков (кража транзакций)
- удалённое выполнение команд
- хищение файлов
- дальнейшее распространение по сети

Полный список возможностей и детальное исследование приведено в статье ниже:

https://blogs.juniper.net/en-us/threat-research/darkirc-bot-exploits-oracle-weblogic-vulnerability

Xerox DocuShare - Уязвимость внедрения строннего XML неаутентифицированным пользователем

Доступны патчи для Windows, Linux, Solaris:

https://securitydocs.business.xerox.com/wp-content/uploads/2020/11/cert_Security_Mini_Bulletin_XRX20W_for-DocuShare-6.61_7.0_7.5.pdf

Андроид в опасности

Благодаря приложениям использующим библиотеку Google Play Core:

- Google Chrome
- Facebook
- Instagram
- WhatsApp
- SnapChat
- Booking
- Edge

Таким образом, данная библиотека - это шлюз для взаимодействия со службами Google Play из самого приложения, начиная с динамической загрузки кода (например, загрузки дополнительных данных только при необходимости), до доставки ресурсов для конкретных языков и взаимодействия с ними.

https://research.checkpoint.com/2020/vulnerability-in-google-play-core-library-remains-unpatched-in-google-play-applications/

О самой библиотеке и ее уязвимости:

https://blog.oversecured.com/Oversecured-automatically-discovers-persistent-code-execution-in-the-Google-Play-Core-Library/

Linux Command Basics: 7 commands for process management

https://www.redhat.com/sysadmin/linux-command-basics-7-commands-process-management

Advanced Persistent Threat Actors Targeting U.S. Think Tanks | CISA

Предупреждение CISA о таргетированных атаках на аналитические центры США. В документе даются рекомендации по снижению рисков с привязкой к MITRE

https://us-cert.cisa.gov/ncas/alerts/aa20-336a

Profit Security Day 2020 - В котором я принимал участие

Есть несколько интересных моментов:

- абсолютная адекватность и внятность практически всех участников (ожидал другого если честно)
- в начале мероприятия, под конец первого доклада сессия вопросов и ответов на предмет оборота персональных данных в РК (куда и как обращаться при обнаружении нарушений, что делать когда у субъекта запрашивают (по мнению субъекта) избыточные данные) (примерно начало моих вопросов здесь - https://youtu.be/QWhsN8tSNgo?t=2463)
- после второго доклада, на панельной дискусии я добился того, что бы представители от вендоров (check point, palo alto, fortinet) выслали ссылки на бесплатные курсы (обещали выслать в чат трансляции). Как оказалось у некоторых вендоров есть и бесплатные курсы и бесплатная сертификация (!) может подойти тем, кто хочет продвинуться в этом направлении (где-то от сюда - https://youtu.be/QWhsN8tSNgo?t=6200)
- к каждому докладу у меня были вопросы иногда даже по теме)

Кому интересно, можно глянуть здесь:

https://www.youtube.com/watch?v=QWhsN8tSNgo

Анонсы дистрибутивов последних дней - Debian и Manjaro

https://www.debian.org/News/2020/20201205

https://forum.manjaro.org/t/manjaro-20-2-nibia-got-released/41034

Перехват https трафика в Казахстане - новая инициация глобального MiTM'а

Утверждается, что это временно, в рамках киберучений. Здесь вспоминается народная мудрость - нет ничего более постоянного, чем временное..

https://www.gov.kz/memleket/entities/mdai/press/news/details/132113?lang=ru

Command Injection Vulnerability in VMware Workspace One Access, Access Connector, Identity Manager, and Identity Manager Connector administrative configurator (CVE-2020-4006)

https://www.vmware.com/security/advisories/VMSA-2020-0027.html

Power Pepper - новый Windows вредонос

https://securelist.com/what-did-deathstalker-hide-between-two-ferns/99616/

Docker support in the kubelet is now deprecated and will be removed in a future release. 

kubernetes/CHANGELOG-1.20.md at master

https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOG-1.20.md?utm_source=thenewstack&utm_medium=website&utm_campaign=platform#deprecation

Add storage to your Fedora system with LVM
https://fedoramagazine.org/add-storage-to-your-fedora-system-with-lvm/

Osquery and JA3: Detecting Malicious Encrypted Connections Locally
https://www.uptycs.com/blog/osquery-and-ja3-detecting-malicious-encrypted-connections-locally

Утечка информации о установленных браузерных приложениях в Chrome, Firefox и Edge

Важным этапом любой целевой атаки является разведка. Чем больше информации злоумышленник может получить о жертве, тем больше получается шансов на успешную эксплуатацию и проникновение. Недавно были обнаружены две уязвимости раскрытия информации, затрагивающие три основных веб-браузера, которые могут быть использованы для утечки широкого спектра установленных приложений, включая наличие продуктов безопасности, позволяющих злоумышленнику получить критическую информацию о цели

Платформы - Windows, Linux

PoC

https://www.fortinet.com/blog/threat-research/leaking-browser-url-protocol-handlers

Кроссплатформенное удаленное выполнение кода в Microsoft Teams приводящее к утечке, в том числе и секретных данных

- злоумышленник отправляет или редактирует существующее сообщение, которое для жертвы выглядит совершенно нормально
- жертва выполняет код при просмотре сообщения

Пиф-паф, собственно и все. После этих действий внутренняя сеть компании, личные документы, документы / почта / заметки O365, секретные чаты полностью скомпрометированы.

Напомню, что в MS Teams в этом году уже было обнаружено несколько серьезных багов которые так-же способствовали утечке данных. Как и говорил ранее - не отправляйте и не храните чувствительные данные в Тимсе хотя бы в этом году :D

PoC

https://github.com/oskarsve/ms-teams-rce/blob/main/README.md

Home Assistant - Домашняя автоматизация с открытым исходным кодом с приоритетом на локальный контроль и конфиденциальность. 

https://www.home-assistant.io/