Understanding the HAProxy Statistics for MySQL & PostgreSQL | Severalnines
https://severalnines.com/database-blog/understanding-haproxy-statistics-mysql-postgresql

Foxconn - зашифрован, бэкапы удалены, выкуп $34млн

Очень известная фирма, производит/собирает много железа (в том числе iPhone) около ~1млн сотрудников, операционная прибыль +$100млрд

В принципе $34 млн вполне нормальный выкуп, тем более при такой прибыли, так прошляпить ransomware 🤦‍♂

https://www.bleepingcomputer.com/news/security/foxconn-electronics-giant-hit-by-ransomware-34-million-ransom/

https://twake.app/ open source платформа для совместной работы

Можно размещать он-премис или использовать облако разработчиков за небольшую плату

DSR Family Products :: DSR-250 :: Rev. Ax :: F/W v3.17 & Older :: Unauthenticated & Authenticated Command Injection Vulnerabilities (D-Link)

https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10195

Конец CentOS Linux 8 в 2021 году с переключением фокуса на CentOS Stream

CentOS - это аббревиатура от Community Enterprise Operating System, это 100% реконструкция RHEL (Red Hat Enterprise Linux). В то время как RHEL стоит денег, CentOS предлагается в качестве бесплатного корпоративного дистрибутива Linux, поддерживаемого сообществом. Разработчики и компании, которые хорошо разбираются в Linux и не хотят платить за поддержку RHEL, всегда выбирали CentOS, чтобы сэкономить деньги и получить программное обеспечение корпоративного класса. Тем не менее, бесплатный экскурс теперь под вопросом. Red Hat объявила, что CentOS Linux 8, как реконструкция RHEL 8, закончится в 2021 году. CentOS Stream продолжается после этой даты, выступая в качестве основной ветки разработки Red Hat Enterprise Linux.

https://lists.centos.org/pipermail/centos-announce/2020-December/048208.html

Со слов говорят мейнтейнеров (https://centos.org/distro-faq/) CentOS не станет бетой RHEL, ожидается, что в него будут попадать более свежие пакеты с меньшим количеством ошибок (CentOS Stream будет получать исправления и доп. функции раньше RHEL), но при этом изначальная бинарная, точная совместимость с RHEL будет утеряна

Что такое CentOS Stream - кратко, это дистрибутив для RHEL, который действует как шлюз/посредник между Fedora и RHEL

При этом CentoS 7 будет продолжать производиться до конца жизненного цикла RHEL 7, таким образом, никакого влияния на пользователей CentOS 7 оказано не будет.

Плохо все вышесказанное или хорошо, покажет время, но это явно будет шаг вперед для других дистрибутивов. Похоже, пора переключаться/изучать Debian в более полной мере, но это никак не повад переходить на OL/OEL 🙂

Новость в официальном блоге - https://blog.centos.org/2020/12/future-is-centos-stream

Microsoft Guidance for Addressing Spoofing Vulnerability in DNS Resolver

https://msrc.microsoft.com/update-guide/vulnerability/ADV200013

Google выпустил набор патчей для RCE, EoP, ID, DoS - Android

Включая наборы для уязвимостей связанных с WiFi

https://source.android.com/security/bulletin/2020-12-01#asterisk

Краткая справка по аббревиатурам:
- RCE - Remote code execution
- EoP - Elevation of privilege
- ID - Information disclosure
- DoS - Denial of service

ICS Advisory (ICSA-20-343-01)
Multiple Embedded TCP/IP Stacks (AMNESIA:33)

CISA предупреждает об уязвимостях в TCP/IP библиотеках, которые затрагивают миллилнвы устройств включая смартфоны, принтеры, маршрутизаторы, IP-камеры и тп и тд

https://us-cert.cisa.gov/ics/advisories/icsa-20-343-01

Есть видео от первого лица:

https://youtu.be/AM21YSuK78w

И информация от первого лица (тех, кто нашел эти 33 уязвимости):

https://www.forescout.com/research-labs/amnesia33/

Dark mode public beta - GitHub Changelog
https://github.blog/changelog/2020-12-08-dark-mode-public-beta/

Тот случай, когда тестировщиков на проникновение - хакнули.

Оговорка, это не просто тестировщики, это достаточно серьезная, богатая и крупная компания, которая оказывает услуги связанные с кибербезопасностью.

Понятно, что никто не застрахован от атак. Фирма кибербезопасности FireEye сообщила, что она была взломана сторонним государством.

FireEye обслуживает более 8 800 клиентов, включая федеральные правительственные агентства США и достаточно большое количество компаний из списка Forbes Global 2000.

Американская компания заявила, что атакующие ворвались в ее сеть и украли "инструменты красной команды (red team tools)", которые используются компанией по всему миру для тестирования среды своих клиентов.

Однако не было подтверждений кражи информации о клиентах, ответных мерах или данных об угрозах.

Информации о времени взлома пока нет, но похоже, что компания сбрасывала пароли пользователей в течение последних двух недель.

Кевин Мандиа, генеральный директор FireEye, заявил в блоге, что компания недавно подверглась атаке "очень изощренного злоумышленника", который показал высокую организованность, грамотность, дисциплину одной из хакерских групп государства, которое FireEye регулярно отслеживает для своих клиентов.

В заявлении на веб-сайте компании говорится: "В ходе нашего расследования на сегодняшний день мы обнаружили, что злоумышленник нацелился на определенные инструменты оценки Red Team, которые мы используем для проверки безопасности наших клиентов, и получил доступ к ним. Эти инструменты имитируют поведение многих киберугроз и позволяют FireEye предоставлять нашим клиентам необходимые диагностические услуги безопасности. Ни один из инструментов не содержит эксплойтов нулевого дня. В соответствии с нашей целью защитить сообщество, мы активно выпускаем методы и средства для обнаружения использования наших украденных инструментов Red Team"

FireEye сообщила, что они уже внедрили средства контроля в свои продукты безопасности для обнаружения и блокировки использования инструментов красной команды.

https://www.cybersecurityadvice.com.au/news/fireeye-hacked-one-of-the-top-cyber-security-firm-in-the-world

DNS с помощью Oblivious DoH в 1.1.1.1

ODoH - отделяет IP-адреса от запросов, так что ни один объект не может связан одновременно. Более того, будет доступным исходный код, так что любой может попробовать ODoH или запустить свой собственный сервис ODoH

ODoH - это новый протокол, разрабатываемый IETF . ODoH работает, добавляя уровень шифрования с открытым ключом, а также сетевой прокси между клиентами и серверами DoH, (например 1.1.1.1). Комбинация этих двух дополнительных элементов гарантирует, что только пользователь имеет доступ как к сообщениям DNS, так и к собственному IP-адресу одновременно.

https://blog.cloudflare.com/oblivious-dns

За ссылку/напоминание спасибо подписчику канала ✌️

Обмен информацией об угрозах при помощи STIX и TAXII

STIX - выражение структурированной информации об угрозах - это язык и формат сериализации, используемый для обмена информацией о киберугрозах (CTI). STIX позволяет организациям обмениваться CTI друг с другом согласованным и машиночитаемым способом, позволяя сообществам специалистов по безопасности лучше понимать, какие компьютерные атаки они могут увидеть, и лучше подготовиться к этим атакам и / или отреагировать на них быстрее и эффективнее. STIX разработан для улучшения множества различных возможностей, таких как совместный анализ угроз, автоматический обмен угрозами, автоматическое обнаружение и реагирование и многое другое.

TAXII - доверенный автоматизированный обмен разведывательной информацией - это протокол прикладного уровня для передачи CTI простым и масштабируемым способом по HTTPS. TAXII позволяет организациям совместно использовать CTI, определяя стандартный API, который согласуется с общими моделями совместного использования. TAXII специально разработан для поддержки обмена CTI, представленного в STIX.

Кто контролирует STIX и TAXII - Стандарты STIX и TAXII регулируются техническим комитетом OASIS, комитетом по анализу киберугроз (CTI TC). STIX и TAXII были созданы в 2012 году под эгидой министерства внутренней безопасности США. В июне 2015 года DHS предоставило лицензию на всю интеллектуальную собственность и товарные знаки, связанные с STIX и TAXII, некоммерческому консорциуму OASIS, который способствует развитию, сближению и принятию открытых стандартов для глобального информационного общества. С июня 2015 года CTI TC работает над созданием стандартов STIX и TAXII следующего поколения.

Довольно много полезной информации может быть на тему данного сабжа:

https://oasis-open.github.io/cti-documentation/

После выпуска патчей для OpenSSL, некоторые организации опубликовали алерты на эту тему, как например:
IBM - https://www.ibm.com/blogs/psirt/?s=openssl
Red Hat - https://access.redhat.com/security/cve/cve-2020-1971
Debian - https://security-tracker.debian.org/tracker/CVE-2020-1971
Ubuntu - https://ubuntu.com/security/CVE-2020-1971

Во многих странах (Европы и даже Японии) были выпущены алерты от CERT организаций (странно или наооборот не странно, но постсовок молчит)

OpenSSL Security Advisory:
https://www.openssl.org/news/secadv/20201208.txt

Патчи:
- https://www.openssl.org/source/
- https://www.libressl.org/releases.html

OpenWrt 19.07.5 service release

https://lists.infradead.org/pipermail/openwrt-devel/2020-December/032616.html

18.06.9
https://lists.infradead.org/pipermail/openwrt-devel/2020-December/032615.html

How to Speed Up Apache with Varnish Cache on Ubuntu 18.04

https://www.alibabacloud.com/blog/how-to-speed-up-apache-with-varnish-cache-on-ubuntu-18-04_595878

Microsoft O365 не может блокировать поддельные электронные письма, отправленные с Microsoft.com

https://ironscales.com/blog/Microsoft-O365-Fails-to-Block-Spoofed-Emails/

#краткий_дайджест

Множественные уязвимости в Cisco Jabber для Windows, Jabber для MacOS и Jabber для мобильных платформ

Могут позволить злоумышленнику выполнять произвольные программы в базовой операционной системе (ОС) с повышенными привилегиями или получить доступ к конфиденциальной информации.

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-jabber-ZktzjpgO

===

Portable Data exFiltration: XSS for PDFs

PDF-документы и генераторы PDF распространены в Интернете, HTTP-гиперссылка закрепленная внутри PDF-файла может компрометировать содержимое PDF, отправить данные на удаленный сервер, или исполнить JS код

https://portswigger.net/research/portable-data-exfiltration

===

CVE-2020-27897: APPLE MACOS KERNEL OOB WRITE PRIVILEGE ESCALATION VULNERABILITY

https://www.thezdi.com/blog/2020/12/9/cve-2020-27897-apple-macos-kernel-oob-write-privilege-escalation-vulnerability

WPKG - автоматизация развертывания, обновления и удаления ПО для Windows

Можно использовать тихую установку, работу с АД, поддерживает инсталляторы MSI, InstallShield, PackagefortheWeb, Inno Setup, Nullsoft, сценарии (скрипты)

Open Source (прога довольно “старая”), но полагаю админу (и не только) такая тулза должна попасть в закладки

https://wpkg.org/Main_Page

Есть даже web фронт-энд (последний комит в сентябре текущего года) - https://github.com/anklimsk/wpkg-express-2
GP клиент - https://github.com/sonicnkt/wpkg-gp

PoC PsExec - Повышение привилегий

https://github.com/tenable/poc/blob/master/Microsoft/Sysinternals/PsExecEscalate.cpp

Детали:

https://medium.com/tenable-techblog/psexec-local-privilege-escalation-2e8069adc9c8