Command Injection Vulnerability in VMware Workspace One Access, Access Connector, Identity Manager, and Identity Manager Connector administrative configurator (CVE-2020-4006)

https://www.vmware.com/security/advisories/VMSA-2020-0027.html

Power Pepper - новый Windows вредонос

https://securelist.com/what-did-deathstalker-hide-between-two-ferns/99616/

Docker support in the kubelet is now deprecated and will be removed in a future release. 

kubernetes/CHANGELOG-1.20.md at master

https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOG-1.20.md?utm_source=thenewstack&utm_medium=website&utm_campaign=platform#deprecation

Add storage to your Fedora system with LVM
https://fedoramagazine.org/add-storage-to-your-fedora-system-with-lvm/

Osquery and JA3: Detecting Malicious Encrypted Connections Locally
https://www.uptycs.com/blog/osquery-and-ja3-detecting-malicious-encrypted-connections-locally

Утечка информации о установленных браузерных приложениях в Chrome, Firefox и Edge

Важным этапом любой целевой атаки является разведка. Чем больше информации злоумышленник может получить о жертве, тем больше получается шансов на успешную эксплуатацию и проникновение. Недавно были обнаружены две уязвимости раскрытия информации, затрагивающие три основных веб-браузера, которые могут быть использованы для утечки широкого спектра установленных приложений, включая наличие продуктов безопасности, позволяющих злоумышленнику получить критическую информацию о цели

Платформы - Windows, Linux

PoC

https://www.fortinet.com/blog/threat-research/leaking-browser-url-protocol-handlers

Кроссплатформенное удаленное выполнение кода в Microsoft Teams приводящее к утечке, в том числе и секретных данных

- злоумышленник отправляет или редактирует существующее сообщение, которое для жертвы выглядит совершенно нормально
- жертва выполняет код при просмотре сообщения

Пиф-паф, собственно и все. После этих действий внутренняя сеть компании, личные документы, документы / почта / заметки O365, секретные чаты полностью скомпрометированы.

Напомню, что в MS Teams в этом году уже было обнаружено несколько серьезных багов которые так-же способствовали утечке данных. Как и говорил ранее - не отправляйте и не храните чувствительные данные в Тимсе хотя бы в этом году :D

PoC

https://github.com/oskarsve/ms-teams-rce/blob/main/README.md

Home Assistant - Домашняя автоматизация с открытым исходным кодом с приоритетом на локальный контроль и конфиденциальность. 

https://www.home-assistant.io/

Understanding the HAProxy Statistics for MySQL & PostgreSQL | Severalnines
https://severalnines.com/database-blog/understanding-haproxy-statistics-mysql-postgresql

Foxconn - зашифрован, бэкапы удалены, выкуп $34млн

Очень известная фирма, производит/собирает много железа (в том числе iPhone) около ~1млн сотрудников, операционная прибыль +$100млрд

В принципе $34 млн вполне нормальный выкуп, тем более при такой прибыли, так прошляпить ransomware 🤦‍♂

https://www.bleepingcomputer.com/news/security/foxconn-electronics-giant-hit-by-ransomware-34-million-ransom/

https://twake.app/ open source платформа для совместной работы

Можно размещать он-премис или использовать облако разработчиков за небольшую плату

DSR Family Products :: DSR-250 :: Rev. Ax :: F/W v3.17 & Older :: Unauthenticated & Authenticated Command Injection Vulnerabilities (D-Link)

https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10195

Конец CentOS Linux 8 в 2021 году с переключением фокуса на CentOS Stream

CentOS - это аббревиатура от Community Enterprise Operating System, это 100% реконструкция RHEL (Red Hat Enterprise Linux). В то время как RHEL стоит денег, CentOS предлагается в качестве бесплатного корпоративного дистрибутива Linux, поддерживаемого сообществом. Разработчики и компании, которые хорошо разбираются в Linux и не хотят платить за поддержку RHEL, всегда выбирали CentOS, чтобы сэкономить деньги и получить программное обеспечение корпоративного класса. Тем не менее, бесплатный экскурс теперь под вопросом. Red Hat объявила, что CentOS Linux 8, как реконструкция RHEL 8, закончится в 2021 году. CentOS Stream продолжается после этой даты, выступая в качестве основной ветки разработки Red Hat Enterprise Linux.

https://lists.centos.org/pipermail/centos-announce/2020-December/048208.html

Со слов говорят мейнтейнеров (https://centos.org/distro-faq/) CentOS не станет бетой RHEL, ожидается, что в него будут попадать более свежие пакеты с меньшим количеством ошибок (CentOS Stream будет получать исправления и доп. функции раньше RHEL), но при этом изначальная бинарная, точная совместимость с RHEL будет утеряна

Что такое CentOS Stream - кратко, это дистрибутив для RHEL, который действует как шлюз/посредник между Fedora и RHEL

При этом CentoS 7 будет продолжать производиться до конца жизненного цикла RHEL 7, таким образом, никакого влияния на пользователей CentOS 7 оказано не будет.

Плохо все вышесказанное или хорошо, покажет время, но это явно будет шаг вперед для других дистрибутивов. Похоже, пора переключаться/изучать Debian в более полной мере, но это никак не повад переходить на OL/OEL 🙂

Новость в официальном блоге - https://blog.centos.org/2020/12/future-is-centos-stream

Microsoft Guidance for Addressing Spoofing Vulnerability in DNS Resolver

https://msrc.microsoft.com/update-guide/vulnerability/ADV200013

Google выпустил набор патчей для RCE, EoP, ID, DoS - Android

Включая наборы для уязвимостей связанных с WiFi

https://source.android.com/security/bulletin/2020-12-01#asterisk

Краткая справка по аббревиатурам:
- RCE - Remote code execution
- EoP - Elevation of privilege
- ID - Information disclosure
- DoS - Denial of service

ICS Advisory (ICSA-20-343-01)
Multiple Embedded TCP/IP Stacks (AMNESIA:33)

CISA предупреждает об уязвимостях в TCP/IP библиотеках, которые затрагивают миллилнвы устройств включая смартфоны, принтеры, маршрутизаторы, IP-камеры и тп и тд

https://us-cert.cisa.gov/ics/advisories/icsa-20-343-01

Есть видео от первого лица:

https://youtu.be/AM21YSuK78w

И информация от первого лица (тех, кто нашел эти 33 уязвимости):

https://www.forescout.com/research-labs/amnesia33/

Dark mode public beta - GitHub Changelog
https://github.blog/changelog/2020-12-08-dark-mode-public-beta/

Тот случай, когда тестировщиков на проникновение - хакнули.

Оговорка, это не просто тестировщики, это достаточно серьезная, богатая и крупная компания, которая оказывает услуги связанные с кибербезопасностью.

Понятно, что никто не застрахован от атак. Фирма кибербезопасности FireEye сообщила, что она была взломана сторонним государством.

FireEye обслуживает более 8 800 клиентов, включая федеральные правительственные агентства США и достаточно большое количество компаний из списка Forbes Global 2000.

Американская компания заявила, что атакующие ворвались в ее сеть и украли "инструменты красной команды (red team tools)", которые используются компанией по всему миру для тестирования среды своих клиентов.

Однако не было подтверждений кражи информации о клиентах, ответных мерах или данных об угрозах.

Информации о времени взлома пока нет, но похоже, что компания сбрасывала пароли пользователей в течение последних двух недель.

Кевин Мандиа, генеральный директор FireEye, заявил в блоге, что компания недавно подверглась атаке "очень изощренного злоумышленника", который показал высокую организованность, грамотность, дисциплину одной из хакерских групп государства, которое FireEye регулярно отслеживает для своих клиентов.

В заявлении на веб-сайте компании говорится: "В ходе нашего расследования на сегодняшний день мы обнаружили, что злоумышленник нацелился на определенные инструменты оценки Red Team, которые мы используем для проверки безопасности наших клиентов, и получил доступ к ним. Эти инструменты имитируют поведение многих киберугроз и позволяют FireEye предоставлять нашим клиентам необходимые диагностические услуги безопасности. Ни один из инструментов не содержит эксплойтов нулевого дня. В соответствии с нашей целью защитить сообщество, мы активно выпускаем методы и средства для обнаружения использования наших украденных инструментов Red Team"

FireEye сообщила, что они уже внедрили средства контроля в свои продукты безопасности для обнаружения и блокировки использования инструментов красной команды.

https://www.cybersecurityadvice.com.au/news/fireeye-hacked-one-of-the-top-cyber-security-firm-in-the-world

DNS с помощью Oblivious DoH в 1.1.1.1

ODoH - отделяет IP-адреса от запросов, так что ни один объект не может связан одновременно. Более того, будет доступным исходный код, так что любой может попробовать ODoH или запустить свой собственный сервис ODoH

ODoH - это новый протокол, разрабатываемый IETF . ODoH работает, добавляя уровень шифрования с открытым ключом, а также сетевой прокси между клиентами и серверами DoH, (например 1.1.1.1). Комбинация этих двух дополнительных элементов гарантирует, что только пользователь имеет доступ как к сообщениям DNS, так и к собственному IP-адресу одновременно.

https://blog.cloudflare.com/oblivious-dns

За ссылку/напоминание спасибо подписчику канала ✌️