Исследование - как DarkIRC атакует Oracle WebLogic
Не пропатченных серверов достаточно большое количество (только доступных из сети Интернет авторы статьи нашли 3109 штук), уязвимость в случае успешного использования позволяет выполнять удаленный код без проверки подлинности.
Во время атаки DarkIRC в том числе с целью защиты от песочницы пытается распознать тип гипервизора который обслуживает сервера с WebLogic
- VMware
- VirtualBox
- Qemu
- Xen
Если это не так, загружает зашифрованную копию себя на сервер, добавляется в автозагрузку, выдает за chrome, собирает данные:
- вводимые с клавиатуры
- хищение данных из браузера (ов)
- подмена bitcoin кошельков (кража транзакций)
- удалённое выполнение команд
- хищение файлов
- дальнейшее распространение по сети
Полный список возможностей и детальное исследование приведено в статье ниже:
https://blogs.juniper.net/en-us/threat-research/darkirc-bot-exploits-oracle-weblogic-vulnerability
Не пропатченных серверов достаточно большое количество (только доступных из сети Интернет авторы статьи нашли 3109 штук), уязвимость в случае успешного использования позволяет выполнять удаленный код без проверки подлинности.
Во время атаки DarkIRC в том числе с целью защиты от песочницы пытается распознать тип гипервизора который обслуживает сервера с WebLogic
- VMware
- VirtualBox
- Qemu
- Xen
Если это не так, загружает зашифрованную копию себя на сервер, добавляется в автозагрузку, выдает за chrome, собирает данные:
- вводимые с клавиатуры
- хищение данных из браузера (ов)
- подмена bitcoin кошельков (кража транзакций)
- удалённое выполнение команд
- хищение файлов
- дальнейшее распространение по сети
Полный список возможностей и детальное исследование приведено в статье ниже:
https://blogs.juniper.net/en-us/threat-research/darkirc-bot-exploits-oracle-weblogic-vulnerability
Juniper Networks
DarkIRC
Juniper Threat Labs is seeing active attacks on Oracle WebLogic software using CVE-2020-14882. This vulnerability, if successfully exploited, allows unauthenticated remote code execution. As of this writing, we found 3,109 open Oracle WebLogic servers using…
Xerox DocuShare - Уязвимость внедрения строннего XML неаутентифицированным пользователем
Доступны патчи для Windows, Linux, Solaris:
https://securitydocs.business.xerox.com/wp-content/uploads/2020/11/cert_Security_Mini_Bulletin_XRX20W_for-DocuShare-6.61_7.0_7.5.pdf
Доступны патчи для Windows, Linux, Solaris:
https://securitydocs.business.xerox.com/wp-content/uploads/2020/11/cert_Security_Mini_Bulletin_XRX20W_for-DocuShare-6.61_7.0_7.5.pdf
Андроид в опасности
Благодаря приложениям использующим библиотеку Google Play Core:
- Google Chrome
- Facebook
- Instagram
- WhatsApp
- SnapChat
- Booking
- Edge
Таким образом, данная библиотека - это шлюз для взаимодействия со службами Google Play из самого приложения, начиная с динамической загрузки кода (например, загрузки дополнительных данных только при необходимости), до доставки ресурсов для конкретных языков и взаимодействия с ними.
https://research.checkpoint.com/2020/vulnerability-in-google-play-core-library-remains-unpatched-in-google-play-applications/
О самой библиотеке и ее уязвимости:
https://blog.oversecured.com/Oversecured-automatically-discovers-persistent-code-execution-in-the-Google-Play-Core-Library/
Благодаря приложениям использующим библиотеку Google Play Core:
- Google Chrome
- SnapChat
- Booking
- Edge
Таким образом, данная библиотека - это шлюз для взаимодействия со службами Google Play из самого приложения, начиная с динамической загрузки кода (например, загрузки дополнительных данных только при необходимости), до доставки ресурсов для конкретных языков и взаимодействия с ними.
https://research.checkpoint.com/2020/vulnerability-in-google-play-core-library-remains-unpatched-in-google-play-applications/
О самой библиотеке и ее уязвимости:
https://blog.oversecured.com/Oversecured-automatically-discovers-persistent-code-execution-in-the-Google-Play-Core-Library/
Check Point Research
Vulnerability in Google Play Core Library Remains Unpatched in Google Play Applications - Check Point Research
Research by: Aviran Hazum, Jonathan Shimonovich Overview: A new vulnerability for the Google Play Core Library was published in late August, which allows Local-Code-Execution (LCE) within the scope of any application that has the vulnerable version of the…
Forwarded from Sys-Admin Up (Yevgeniy Goncharov)
Linux Command Basics: 7 commands for process management
https://www.redhat.com/sysadmin/linux-command-basics-7-commands-process-management
https://www.redhat.com/sysadmin/linux-command-basics-7-commands-process-management
Redhat
Linux Command Basics: 7 commands for process management
Suppose you find yourself exploring the Linux command line for the first time or entering into Linux administration. In that case, a low-level understanding ...
Advanced Persistent Threat Actors Targeting U.S. Think Tanks | CISA
Предупреждение CISA о таргетированных атаках на аналитические центры США. В документе даются рекомендации по снижению рисков с привязкой к MITRE
https://us-cert.cisa.gov/ncas/alerts/aa20-336a
Предупреждение CISA о таргетированных атаках на аналитические центры США. В документе даются рекомендации по снижению рисков с привязкой к MITRE
https://us-cert.cisa.gov/ncas/alerts/aa20-336a
Cybersecurity and Infrastructure Security Agency CISA
Advanced Persistent Threat Actors Targeting U.S. Think Tanks | CISA
CISA and the FBI have observed persistent continued cyber intrusions by advanced persistent threat actors targeting U.S. think tanks, often (but not exclusively) directed at individuals and organizations that focus on international affairs or national security…
Forwarded from Sys-Admin Up (Yevgeniy Goncharov)
Profit Security Day 2020 - В котором я принимал участие
Есть несколько интересных моментов:
- абсолютная адекватность и внятность практически всех участников (ожидал другого если честно)
- в начале мероприятия, под конец первого доклада сессия вопросов и ответов на предмет оборота персональных данных в РК (куда и как обращаться при обнаружении нарушений, что делать когда у субъекта запрашивают (по мнению субъекта) избыточные данные) (примерно начало моих вопросов здесь - https://youtu.be/QWhsN8tSNgo?t=2463)
- после второго доклада, на панельной дискусии я добился того, что бы представители от вендоров (check point, palo alto, fortinet) выслали ссылки на бесплатные курсы (обещали выслать в чат трансляции). Как оказалось у некоторых вендоров есть и бесплатные курсы и бесплатная сертификация (!) может подойти тем, кто хочет продвинуться в этом направлении (где-то от сюда - https://youtu.be/QWhsN8tSNgo?t=6200)
- к каждому докладу у меня были вопросы иногда даже по теме)
Кому интересно, можно глянуть здесь:
https://www.youtube.com/watch?v=QWhsN8tSNgo
Есть несколько интересных моментов:
- абсолютная адекватность и внятность практически всех участников (ожидал другого если честно)
- в начале мероприятия, под конец первого доклада сессия вопросов и ответов на предмет оборота персональных данных в РК (куда и как обращаться при обнаружении нарушений, что делать когда у субъекта запрашивают (по мнению субъекта) избыточные данные) (примерно начало моих вопросов здесь - https://youtu.be/QWhsN8tSNgo?t=2463)
- после второго доклада, на панельной дискусии я добился того, что бы представители от вендоров (check point, palo alto, fortinet) выслали ссылки на бесплатные курсы (обещали выслать в чат трансляции). Как оказалось у некоторых вендоров есть и бесплатные курсы и бесплатная сертификация (!) может подойти тем, кто хочет продвинуться в этом направлении (где-то от сюда - https://youtu.be/QWhsN8tSNgo?t=6200)
- к каждому докладу у меня были вопросы иногда даже по теме)
Кому интересно, можно глянуть здесь:
https://www.youtube.com/watch?v=QWhsN8tSNgo
YouTube
Profit Security Day 2020. Прямой эфир конференции о кибербезопасности в Казахстане
Запись прямой онлайн-трансляции конференции об информационной безопасности для бизнеса «Profit Security Day 2020: удаленная безопасность», которая прошла 4 декабря 2020 года.
Репортаж с главными выводами конференции читайте на ИТ-портале Profit.kz - htt…
Репортаж с главными выводами конференции читайте на ИТ-портале Profit.kz - htt…
Анонсы дистрибутивов последних дней - Debian и Manjaro
https://www.debian.org/News/2020/20201205
https://forum.manjaro.org/t/manjaro-20-2-nibia-got-released/41034
https://www.debian.org/News/2020/20201205
https://forum.manjaro.org/t/manjaro-20-2-nibia-got-released/41034
Manjaro Linux Forum
Manjaro 20.2 Nibia got released
We are happy to announce our latest release of Manjaro we call Nibia. Some might want to shoot for the moon - well, we shoot for the four moons of Nibia. Nibia is a planet with multiple moons. In the year 2285, during his mission of vengeance against…
Перехват https трафика в Казахстане - новая инициация глобального MiTM'а
Утверждается, что это временно, в рамках киберучений. Здесь вспоминается народная мудрость - нет ничего более постоянного, чем временное..
https://www.gov.kz/memleket/entities/mdai/press/news/details/132113?lang=ru
Утверждается, что это временно, в рамках киберучений. Здесь вспоминается народная мудрость - нет ничего более постоянного, чем временное..
https://www.gov.kz/memleket/entities/mdai/press/news/details/132113?lang=ru
www.gov.kz
О проведении учений «Информационная безопасность Нур-Султан - 2020»
Министерство цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан совместно с Комитетом национальной безопасности Республики Казахстан сообщает о предстоящих учениях в г.Нур-Султан «Кибер-безопасность Нур-Султан-2020» с 6 декабря…
Command Injection Vulnerability in VMware Workspace One Access, Access Connector, Identity Manager, and Identity Manager Connector administrative configurator (CVE-2020-4006)
https://www.vmware.com/security/advisories/VMSA-2020-0027.html
https://www.vmware.com/security/advisories/VMSA-2020-0027.html
Docker support in the kubelet is now deprecated and will be removed in a future release.
kubernetes/CHANGELOG-1.20.md at master
https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOG-1.20.md?utm_source=thenewstack&utm_medium=website&utm_campaign=platform#deprecation
kubernetes/CHANGELOG-1.20.md at master
https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOG-1.20.md?utm_source=thenewstack&utm_medium=website&utm_campaign=platform#deprecation
GitHub
kubernetes/CHANGELOG/CHANGELOG-1.20.md at master · kubernetes/kubernetes
Production-Grade Container Scheduling and Management - kubernetes/kubernetes
Add storage to your Fedora system with LVM
https://fedoramagazine.org/add-storage-to-your-fedora-system-with-lvm/
https://fedoramagazine.org/add-storage-to-your-fedora-system-with-lvm/
Fedora Magazine
Add storage to your Fedora system with LVM - Fedora Magazine
Learn how to add disk space to your Fedora system with an extra disk drive and Logical Volume Management (LVM) in this Magazine article.
Forwarded from Sys-Admin Up (Yevgeniy Goncharov)
Osquery and JA3: Detecting Malicious Encrypted Connections Locally
https://www.uptycs.com/blog/osquery-and-ja3-detecting-malicious-encrypted-connections-locally
https://www.uptycs.com/blog/osquery-and-ja3-detecting-malicious-encrypted-connections-locally
Uptycs
Osquery & JA3: Detecting Malicious Encrypted Connections Locally
Learn about malware detection using JA3! See how leveraging it's functionality on the endpoint gives more robust detail than provided on the network level.
Утечка информации о установленных браузерных приложениях в Chrome, Firefox и Edge
Важным этапом любой целевой атаки является разведка. Чем больше информации злоумышленник может получить о жертве, тем больше получается шансов на успешную эксплуатацию и проникновение. Недавно были обнаружены две уязвимости раскрытия информации, затрагивающие три основных веб-браузера, которые могут быть использованы для утечки широкого спектра установленных приложений, включая наличие продуктов безопасности, позволяющих злоумышленнику получить критическую информацию о цели
Платформы - Windows, Linux
PoC
https://www.fortinet.com/blog/threat-research/leaking-browser-url-protocol-handlers
Важным этапом любой целевой атаки является разведка. Чем больше информации злоумышленник может получить о жертве, тем больше получается шансов на успешную эксплуатацию и проникновение. Недавно были обнаружены две уязвимости раскрытия информации, затрагивающие три основных веб-браузера, которые могут быть использованы для утечки широкого спектра установленных приложений, включая наличие продуктов безопасности, позволяющих злоумышленнику получить критическую информацию о цели
Платформы - Windows, Linux
PoC
https://www.fortinet.com/blog/threat-research/leaking-browser-url-protocol-handlers
Fortinet Blog
Leaking Browser URL/Protocol Handlers
FortiGuard Labs uncovers two information disclosure vulnerabilities affecting three web browsers. Read more to learn how an attacker could identify the presence of applications that may be installe…
Кроссплатформенное удаленное выполнение кода в Microsoft Teams приводящее к утечке, в том числе и секретных данных
- злоумышленник отправляет или редактирует существующее сообщение, которое для жертвы выглядит совершенно нормально
- жертва выполняет код при просмотре сообщения
Пиф-паф, собственно и все. После этих действий внутренняя сеть компании, личные документы, документы / почта / заметки O365, секретные чаты полностью скомпрометированы.
Напомню, что в MS Teams в этом году уже было обнаружено несколько серьезных багов которые так-же способствовали утечке данных. Как и говорил ранее - не отправляйте и не храните чувствительные данные в Тимсе хотя бы в этом году :D
PoC
https://github.com/oskarsve/ms-teams-rce/blob/main/README.md
- злоумышленник отправляет или редактирует существующее сообщение, которое для жертвы выглядит совершенно нормально
- жертва выполняет код при просмотре сообщения
Пиф-паф, собственно и все. После этих действий внутренняя сеть компании, личные документы, документы / почта / заметки O365, секретные чаты полностью скомпрометированы.
Напомню, что в MS Teams в этом году уже было обнаружено несколько серьезных багов которые так-же способствовали утечке данных. Как и говорил ранее - не отправляйте и не храните чувствительные данные в Тимсе хотя бы в этом году :D
PoC
https://github.com/oskarsve/ms-teams-rce/blob/main/README.md
GitHub
ms-teams-rce/README.md at main · oskarsve/ms-teams-rce
Contribute to oskarsve/ms-teams-rce development by creating an account on GitHub.
Home Assistant - Домашняя автоматизация с открытым исходным кодом с приоритетом на локальный контроль и конфиденциальность.
https://www.home-assistant.io/
https://www.home-assistant.io/
Home Assistant
Open source home automation that puts local control and privacy first. Powered by a worldwide community of tinkerers and DIY enthusiasts. Perfect to run on a Raspberry Pi or a local server.
Forwarded from Sys-Admin Up (Yevgeniy Goncharov)
Understanding the HAProxy Statistics for MySQL & PostgreSQL | Severalnines
https://severalnines.com/database-blog/understanding-haproxy-statistics-mysql-postgresql
https://severalnines.com/database-blog/understanding-haproxy-statistics-mysql-postgresql
Severalnines
Understanding the HAProxy Statistics for MySQL & PostgreSQL
HAProxy is one of the most common Load Balancing technologies nowadays. It is powerful open-source software and has many metrics to monitor to know how everything is going on. In this blog, we will look at the HAProxy statistics and how to monitor them.
[CentOS-announce] Release for CentOS Linux 8 (2011)
https://www.mail-archive.com/centos-announce@centos.org/msg11827.html
https://www.mail-archive.com/centos-announce@centos.org/msg11827.html
Foxconn - зашифрован, бэкапы удалены, выкуп $34млн
Очень известная фирма, производит/собирает много железа (в том числе iPhone) около ~1млн сотрудников, операционная прибыль +$100млрд
В принципе $34 млн вполне нормальный выкуп, тем более при такой прибыли, так прошляпить ransomware 🤦♂
https://www.bleepingcomputer.com/news/security/foxconn-electronics-giant-hit-by-ransomware-34-million-ransom/
Очень известная фирма, производит/собирает много железа (в том числе iPhone) около ~1млн сотрудников, операционная прибыль +$100млрд
В принципе $34 млн вполне нормальный выкуп, тем более при такой прибыли, так прошляпить ransomware 🤦♂
https://www.bleepingcomputer.com/news/security/foxconn-electronics-giant-hit-by-ransomware-34-million-ransom/
BleepingComputer
Foxconn electronics giant hit by ransomware, $34 million ransom
Foxconn electronics giant suffered a ransomware attack at a Mexican facility over the Thanksgiving weekend, where attackers stole unencrypted files before encrypting devices.
https://twake.app/ open source платформа для совместной работы
Можно размещать он-премис или использовать облако разработчиков за небольшую плату
Можно размещать он-премис или использовать облако разработчиков за небольшую плату
twake.app
Twake WorkPlace
Privacy-First Open Source Workplace. All in one — Chat, Drive and Mail