Рекомендации Zyxel по безопасности для уязвимости системной учетной записи CVE-2020-29583
https://support.zyxel.eu/hc/ru/articles/360018524720
FAQ по уязвимости от вендора:
http://support.zyxel.eu/hc/ru/articles/360018610460
https://support.zyxel.eu/hc/ru/articles/360018524720
FAQ по уязвимости от вендора:
http://support.zyxel.eu/hc/ru/articles/360018610460
Zyxel Support Campus EMEA
Рекомендации Zyxel по безопасности для уязвимости системной учетной записи CVE-2020-29583
CVE: CVE-2020-29583
Обновлено: 07.01 - 15:00 CET
Резюме
Zyxel выпустила исправление для уязвимости системной учетной записи затрагивающей шлюзы безопасности и контроллеры точек доступа о которой не...
Обновлено: 07.01 - 15:00 CET
Резюме
Zyxel выпустила исправление для уязвимости системной учетной записи затрагивающей шлюзы безопасности и контроллеры точек доступа о которой не...
Вредоносное ПО, использующее новый загрузчик памяти Ezuri
https://cybersecurity.att.com/blogs/labs-research/malware-using-new-ezuri-memory-loader
https://cybersecurity.att.com/blogs/labs-research/malware-using-new-ezuri-memory-loader
LevelBlue
Malware using new Ezuri memory loader
This blog was written by Ofer Caspi and Fernando Martinez of LevelBlue Labs Multiple threat actors have recently started using a Go language (Golang) tool to act as a packer and avoid Antivirus detection. Additionally, the Ezuri memory loader tool acts as…
Nissan source code leaked online after Git repo misconfigurationСледить нужно не только за бэкапами, но и за настройками (настройками всего, не только git'а) по возможности:
https://www.zdnet.com/google-amp/article/nissan-source-code-leaked-online-after-git-repo-misconfiguration/
How to configure iptables on CentOS - Tutorialhttps://upcloud.com/community/tutorials/configure-iptables-centos/
UpCloud
Tutorials - UpCloud
Tutorials Archive - UpCloud
Hackers can clone Google Titan 2FA keys using a side channel in NXP chipshttps://arstechnica.com/information-technology/2021/01/hackers-can-clone-google-titan-2fa-keys-using-a-side-channel-in-nxp-chips
Ars Technica
Hackers can clone Google Titan 2FA keys using a side channel in NXP chips
Yubico and Feitian keys that use the same chip are likely susceptible, too.
A malicious peer could have modified a COOKIE-ECHO chunk in a SCTP packet in a way that potentially resulted in a use-after-free. We presume that with enough effort it could have been exploited to run arbitrary code.Статус critical. Аналогичные проблемы существуют в chrome, egde. Ставим патчи.
https://www.mozilla.org/en-US/security/advisories/mfsa2021-01/
Mozilla
Security Vulnerabilities fixed in Firefox 84.0.2, Firefox for Android 84.1.3, and Firefox ESR 78.6.1
После обновления до Windows 10 версии 20H2 появляются ошибки при доступе к параметрам входа или пользовательской оснастке MMC
В том числе это могут быть автоматические перезагрузки:
Workaround на оф. сайте:
https://support.microsoft.com/en-us/help/4592802/error-when-accessing-the-sign-in-options-or-users-mmc-snap-in
В том числе это могут быть автоматические перезагрузки:
Windows 10, version 20H2, you might receive the error in LSASS.exe with the text "Your PC will automatically restart in one minute"Workaround на оф. сайте:
https://support.microsoft.com/en-us/help/4592802/error-when-accessing-the-sign-in-options-or-users-mmc-snap-in
Microsoft
After updating to Windows 10, version 20H2, you might receive an error when accessing the sign-in options or users MMC snap-in…
Learn about an error with LSASS when accessing dialogs with user accounts
Технический осмотр бэкдоров Kazuar и Sunburst
Включая сравнение указанием факторов сходства между ними
https://securelist.com/sunburst-backdoor-kazuar/99981/
Примечание: эти два бэкдора использовались для взлома SolarWinds
Включая сравнение указанием факторов сходства между ними
https://securelist.com/sunburst-backdoor-kazuar/99981/
Примечание: эти два бэкдора использовались для взлома SolarWinds
Securelist
Sunburst backdoor – code overlaps with Kazuar
While looking at the Sunburst backdoor, we discovered several features that overlap with a previously identified .NET backdoor known as Kazuar.
Появился декриптор для Darkside
Darkside, это облачный ramsomware сервис который направлен на продажу “шифровальных” услуг по корпоративной бизнес-модели (детали можно прочитать здесь - https://www.digitalshadows.com/blog-and-research/darkside-the-new-ransomware-group-behind-highly-targeted-attacks/)
Детали в отношении декриптора:
https://labs.bitdefender.com/2021/01/darkside-ransomware-decryption-tool/
Darkside, это облачный ramsomware сервис который направлен на продажу “шифровальных” услуг по корпоративной бизнес-модели (детали можно прочитать здесь - https://www.digitalshadows.com/blog-and-research/darkside-the-new-ransomware-group-behind-highly-targeted-attacks/)
Детали в отношении декриптора:
https://labs.bitdefender.com/2021/01/darkside-ransomware-decryption-tool/
ReliaQuest
DarkSide: The New Ransomware Group Behind Highly Targeted Attacks
We’ve recently observed the emergence of a new ransomware operation named DarkSide. The nuance of the operation includes corporate-like methods and customized ransomware executables, which have made headlines.
Windows Process Herpaderping
https://jxy-s.github.io/herpaderping/
Method of obscuring the intentions of a process by modifying the content on disk after the image has been mapped. This results in curious behavior by security products and the OS itself.https://jxy-s.github.io/herpaderping/
herpaderping
Process Herpaderping
Detection Evasion Exploit
Sysmon v13.00 - Новый релиз
https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon
Основная фишка релиза - Process tampering detection (детектирование подложных процессов windows)
https://medium.com/falconforce/sysmon-13-process-tampering-detection-820366138a6c
https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon
Основная фишка релиза - Process tampering detection (детектирование подложных процессов windows)
https://medium.com/falconforce/sysmon-13-process-tampering-detection-820366138a6c
Docs
Sysmon - Sysinternals
Monitors and reports key system activity via the Windows event log.
Microsoft Defender Remote Code Execution Vulnerability
Уязвимость активно эксплуатируется
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-1647
Уязвимость активно эксплуатируется
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-1647
Обход блокировок фильтрации при помощи AWS API
Многие компании используют черные или белые списки IP-адресов для фильтрации чего-либо...
Однако облачные сервисы могут быстро и легко помочь обойти эту защиту
https://medium.com/stage-2-security/aws-api-gateway-fronting-for-command-and-control-45d03dffb24e
Многие компании используют черные или белые списки IP-адресов для фильтрации чего-либо...
Однако облачные сервисы могут быстро и легко помочь обойти эту защиту
https://medium.com/stage-2-security/aws-api-gateway-fronting-for-command-and-control-45d03dffb24e
Medium
AWS API Gateway fronting for Command and Control
Often during pen-testing engagements we run into clients who utilize IP blacklists or IP whitelists to filter outbound communications…
Networking equipment manufacturer Ubiquiti sent out an email to warn users about a possible data breach.https://blog.malwarebytes.com/iot/2021/01/ubiquiti-breach-and-other-iot-security-problems/
Malwarebytes
Ubiquiti breach, and other IoT security problems
Ubiquiti informed their customers about unauthorized access to their online customer portal. What do you need to know about this?
SAP Security Patch Day – January 2021
Набор "саперных" январских патчей, включающих заплатки от внедрения стороннего кода, DoS уязвимостей
https://wiki.scn.sap.com/wiki/plugins/servlet/mobile?contentId=564760476#content/view/564760476
Набор "саперных" январских патчей, включающих заплатки от внедрения стороннего кода, DoS уязвимостей
https://wiki.scn.sap.com/wiki/plugins/servlet/mobile?contentId=564760476#content/view/564760476
FADE DEAD | Adventures in Reversing Malicious Run-Only AppleScripts
macOS malware technical details:
https://labs.sentinelone.com/fade-dead-adventures-in-reversing-malicious-run-only-applenoscripts/
macOS malware technical details:
https://labs.sentinelone.com/fade-dead-adventures-in-reversing-malicious-run-only-applenoscripts/
SentinelOne
FADE DEAD | Adventures in Reversing Malicious Run-Only AppleScripts - SentinelLabs
We show how to statically reverse run-only AppleScripts for the first time, and in the process reveal new IoCs of a long-running macOS Cryptominer campaign.
Symbolic link attack in SELinux-enabled sudoedit
https://www.sudo.ws/alerts/sudoedit_selinux.html
Fixed release: https://www.sudo.ws
Security fixes: https://www.openwall.com/lists/oss-security/2021/01/11/2
https://www.sudo.ws/alerts/sudoedit_selinux.html
Fixed release: https://www.sudo.ws
Security fixes: https://www.openwall.com/lists/oss-security/2021/01/11/2
Sudo
Symbolic link attack in SELinux-enabled sudoedit
On systems where SELinux is enabled, sudo’s RBAC support allows a command to be run with a user-specified role and/or type. In order to transition to the target SELinux security context, sudo runs the command through the sesh helper program. When sudo is…
CISA - Злоумышленники нацелены на организации использующие облачные сервисы
Обходят MFA, используют различные техники в виде фишинга, правил перенаправления в почте и тп
В рекоммендациях даётся описание базовых превентивных шагов и описание используемых методов в атаках
https://us-cert.cisa.gov/ncas/analysis-reports/ar21-013a
Ранее на подробную тему было похожее по содержанию уведомление от ФБР:
https://beta.documentcloud.org/documents/20418317-fbi-pin-bc-cyber-criminals-exploit-email-rule-vulerability-11252020
Лишний раз это говорит о том, что:
- нужно быть внимательнее
- проводить awareness
- следовать общим/базовым рекоммендациям по безопасности
Обходят MFA, используют различные техники в виде фишинга, правил перенаправления в почте и тп
В рекоммендациях даётся описание базовых превентивных шагов и описание используемых методов в атаках
https://us-cert.cisa.gov/ncas/analysis-reports/ar21-013a
Ранее на подробную тему было похожее по содержанию уведомление от ФБР:
https://beta.documentcloud.org/documents/20418317-fbi-pin-bc-cyber-criminals-exploit-email-rule-vulerability-11252020
Лишний раз это говорит о том, что:
- нужно быть внимательнее
- проводить awareness
- следовать общим/базовым рекоммендациям по безопасности
Cisco Small Business Routers Management Interface Remote Command Execution and Denial of Service Vulnerabilities (high)https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv-overflow-WUnUgv4U
Cisco
Cisco Security Advisory: Cisco Small Business RV110W, RV130, RV130W, and RV215W Routers Remote Command Execution and Denial of…
Multiple vulnerabilities in the Universal Plug and Play (UPnP) service and the web-based management interface of Cisco Small Business RV110W, RV130, RV130W, and RV215W Routers could allow a remote attacker to execute arbitrary code or cause an affected device…