Profit Security Day 2020 - В котором я принимал участие

Есть несколько интересных моментов:

- абсолютная адекватность и внятность практически всех участников (ожидал другого если честно)
- в начале мероприятия, под конец первого доклада сессия вопросов и ответов на предмет оборота персональных данных в РК (куда и как обращаться при обнаружении нарушений, что делать когда у субъекта запрашивают (по мнению субъекта) избыточные данные) (примерно начало моих вопросов здесь - https://youtu.be/QWhsN8tSNgo?t=2463)
- после второго доклада, на панельной дискусии я добился того, что бы представители от вендоров (check point, palo alto, fortinet) выслали ссылки на бесплатные курсы (обещали выслать в чат трансляции). Как оказалось у некоторых вендоров есть и бесплатные курсы и бесплатная сертификация (!) может подойти тем, кто хочет продвинуться в этом направлении (где-то от сюда - https://youtu.be/QWhsN8tSNgo?t=6200)
- к каждому докладу у меня были вопросы иногда даже по теме)

Кому интересно, можно глянуть здесь:

https://www.youtube.com/watch?v=QWhsN8tSNgo

Анонсы дистрибутивов последних дней - Debian и Manjaro

https://www.debian.org/News/2020/20201205

https://forum.manjaro.org/t/manjaro-20-2-nibia-got-released/41034

Перехват https трафика в Казахстане - новая инициация глобального MiTM'а

Утверждается, что это временно, в рамках киберучений. Здесь вспоминается народная мудрость - нет ничего более постоянного, чем временное..

https://www.gov.kz/memleket/entities/mdai/press/news/details/132113?lang=ru

Command Injection Vulnerability in VMware Workspace One Access, Access Connector, Identity Manager, and Identity Manager Connector administrative configurator (CVE-2020-4006)

https://www.vmware.com/security/advisories/VMSA-2020-0027.html

Power Pepper - новый Windows вредонос

https://securelist.com/what-did-deathstalker-hide-between-two-ferns/99616/

Docker support in the kubelet is now deprecated and will be removed in a future release. 

kubernetes/CHANGELOG-1.20.md at master

https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOG-1.20.md?utm_source=thenewstack&utm_medium=website&utm_campaign=platform#deprecation

Add storage to your Fedora system with LVM
https://fedoramagazine.org/add-storage-to-your-fedora-system-with-lvm/

Osquery and JA3: Detecting Malicious Encrypted Connections Locally
https://www.uptycs.com/blog/osquery-and-ja3-detecting-malicious-encrypted-connections-locally

Утечка информации о установленных браузерных приложениях в Chrome, Firefox и Edge

Важным этапом любой целевой атаки является разведка. Чем больше информации злоумышленник может получить о жертве, тем больше получается шансов на успешную эксплуатацию и проникновение. Недавно были обнаружены две уязвимости раскрытия информации, затрагивающие три основных веб-браузера, которые могут быть использованы для утечки широкого спектра установленных приложений, включая наличие продуктов безопасности, позволяющих злоумышленнику получить критическую информацию о цели

Платформы - Windows, Linux

PoC

https://www.fortinet.com/blog/threat-research/leaking-browser-url-protocol-handlers

Кроссплатформенное удаленное выполнение кода в Microsoft Teams приводящее к утечке, в том числе и секретных данных

- злоумышленник отправляет или редактирует существующее сообщение, которое для жертвы выглядит совершенно нормально
- жертва выполняет код при просмотре сообщения

Пиф-паф, собственно и все. После этих действий внутренняя сеть компании, личные документы, документы / почта / заметки O365, секретные чаты полностью скомпрометированы.

Напомню, что в MS Teams в этом году уже было обнаружено несколько серьезных багов которые так-же способствовали утечке данных. Как и говорил ранее - не отправляйте и не храните чувствительные данные в Тимсе хотя бы в этом году :D

PoC

https://github.com/oskarsve/ms-teams-rce/blob/main/README.md

Home Assistant - Домашняя автоматизация с открытым исходным кодом с приоритетом на локальный контроль и конфиденциальность. 

https://www.home-assistant.io/

Understanding the HAProxy Statistics for MySQL & PostgreSQL | Severalnines
https://severalnines.com/database-blog/understanding-haproxy-statistics-mysql-postgresql

Foxconn - зашифрован, бэкапы удалены, выкуп $34млн

Очень известная фирма, производит/собирает много железа (в том числе iPhone) около ~1млн сотрудников, операционная прибыль +$100млрд

В принципе $34 млн вполне нормальный выкуп, тем более при такой прибыли, так прошляпить ransomware 🤦‍♂

https://www.bleepingcomputer.com/news/security/foxconn-electronics-giant-hit-by-ransomware-34-million-ransom/

https://twake.app/ open source платформа для совместной работы

Можно размещать он-премис или использовать облако разработчиков за небольшую плату

DSR Family Products :: DSR-250 :: Rev. Ax :: F/W v3.17 & Older :: Unauthenticated & Authenticated Command Injection Vulnerabilities (D-Link)

https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10195

Конец CentOS Linux 8 в 2021 году с переключением фокуса на CentOS Stream

CentOS - это аббревиатура от Community Enterprise Operating System, это 100% реконструкция RHEL (Red Hat Enterprise Linux). В то время как RHEL стоит денег, CentOS предлагается в качестве бесплатного корпоративного дистрибутива Linux, поддерживаемого сообществом. Разработчики и компании, которые хорошо разбираются в Linux и не хотят платить за поддержку RHEL, всегда выбирали CentOS, чтобы сэкономить деньги и получить программное обеспечение корпоративного класса. Тем не менее, бесплатный экскурс теперь под вопросом. Red Hat объявила, что CentOS Linux 8, как реконструкция RHEL 8, закончится в 2021 году. CentOS Stream продолжается после этой даты, выступая в качестве основной ветки разработки Red Hat Enterprise Linux.

https://lists.centos.org/pipermail/centos-announce/2020-December/048208.html

Со слов говорят мейнтейнеров (https://centos.org/distro-faq/) CentOS не станет бетой RHEL, ожидается, что в него будут попадать более свежие пакеты с меньшим количеством ошибок (CentOS Stream будет получать исправления и доп. функции раньше RHEL), но при этом изначальная бинарная, точная совместимость с RHEL будет утеряна

Что такое CentOS Stream - кратко, это дистрибутив для RHEL, который действует как шлюз/посредник между Fedora и RHEL

При этом CentoS 7 будет продолжать производиться до конца жизненного цикла RHEL 7, таким образом, никакого влияния на пользователей CentOS 7 оказано не будет.

Плохо все вышесказанное или хорошо, покажет время, но это явно будет шаг вперед для других дистрибутивов. Похоже, пора переключаться/изучать Debian в более полной мере, но это никак не повад переходить на OL/OEL 🙂

Новость в официальном блоге - https://blog.centos.org/2020/12/future-is-centos-stream

Microsoft Guidance for Addressing Spoofing Vulnerability in DNS Resolver

https://msrc.microsoft.com/update-guide/vulnerability/ADV200013

Google выпустил набор патчей для RCE, EoP, ID, DoS - Android

Включая наборы для уязвимостей связанных с WiFi

https://source.android.com/security/bulletin/2020-12-01#asterisk

Краткая справка по аббревиатурам:
- RCE - Remote code execution
- EoP - Elevation of privilege
- ID - Information disclosure
- DoS - Denial of service

ICS Advisory (ICSA-20-343-01)
Multiple Embedded TCP/IP Stacks (AMNESIA:33)

CISA предупреждает об уязвимостях в TCP/IP библиотеках, которые затрагивают миллилнвы устройств включая смартфоны, принтеры, маршрутизаторы, IP-камеры и тп и тд

https://us-cert.cisa.gov/ics/advisories/icsa-20-343-01

Есть видео от первого лица:

https://youtu.be/AM21YSuK78w

И информация от первого лица (тех, кто нашел эти 33 уязвимости):

https://www.forescout.com/research-labs/amnesia33/