Информация от SANS - Creating an Active Defense PowerShell Framework to Improve Security Hygiene and Posture

Недавно писал про уязвимости VMware - https://news.1rj.ru/str/sysadm_in_channel/2796

Подъехал PoC для VMware vCenter RCE (CVE-2021-21972):

https://swarm.ptsecurity.com/unauth-rce-vmware/

Критические уязвимости Cisco

Cisco ACI Multi-Site Orchestrator Application Services Engine Deployment Authentication Bypass Vulnerability

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-mso-authbyp-bb5GmBQv

Cisco Application Services Engine Unauthorized Access Vulnerabilities

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-case-mvuln-dYrDPC6w#details

Cisco NX-OS Software Unauthenticated Arbitrary File Actions Vulnerability

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-3000-9000-fileaction-QtLzDRy2

Уязвимость Microsoft DirectWrite позволяет выполнить вредоносный код из вредоносного шрифта

Microsoft DirectWrite - это Windows API для высококачественного рендеринга текста. Большая часть его кода находится в библиотеке DWrite.dll, которая используется в качестве растеризатора шрифтов для различных широко используемых настольных программ, таких как Chrome, Firefox и Edge в Windows. Когда эти браузеры отображают глифы из веб-шрифтов, они передают двоичные данные веб-шрифтов в DirectWrite и выполняют их в своих процессах рендеринга. Таким образом, возможность использовать повреждение памяти для выполнения кода представляется удаленному злоумышленнику при условии, что такой злоумышленник успешно направляет пользователя к контенту, который загружает и отображает вредоносный шрифт:

https://bugs.chromium.org/p/project-zero/issues/detail?id=2123

Информация по CVE на сайте вендора - Windows Graphics Component Remote Code Execution Vulnerability (CVE-2021-24093)

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-24093

Kali Linux 2021.1 Release

https://www.kali.org/blog/kali-linux-2021-1-release/

Проект экономической безопасности пытается привлечь внимание людей к крупным технологическим монополистам, выпустив плагин для браузера, который будет блокировать любые сайты, которые обращаются к IP-адресам, принадлежащим Google, Facebook, Microsoft или Amazon.

Расширение называется Big Tech Detective , и после использования Интернета в течение дня (или, точнее, попыток и неудач в использовании), получается, что почти невозможно избежать этих компаний на современном пространстве Интернет...

Исследование от TheVerge (ссылка на плагин и страницу проекта плагина там же):

https://www.theverge.com/2021/2/24/22297686/browser-extension-blocks-sites-using-google-facebook-microsoft-amazon

LastPass Android app tracking users, says researcher [updated]

Password manager has seven trackers while rivals have far fewer

Тот случай когда в одном приложении напихано куча треккеров:

- AppsFlyer
- Google Analytics
- Google CrashLytics
- Google Firebase Analytics
- Google Tag Manager
- MixPanel
- Segment

https://www.tomsguide.com/news/lastpass-android-app-tracking

Исследование (de)
https://www.kuketz-blog.de/lastpass-android-drittanbieter-ueberwachen-jeden-schritt/

ICS Advisory (ICSA-21-056-03)
Rockwell Automation Logix Controllers

Exploitable remotely/low skill level to exploit

https://us-cert.cisa.gov/ics/advisories/icsa-21-056-03

P.S. Продукция Rockwell используется как правило в промышленной автоматизации

Ghygen is a GitHub actions Yaml Generator

https://github.com/Hi-Folks/gh-actions-yaml-generator/blob/main/README.md

CVE-2020-8625: A vulnerability in BIND's GSSAPI security policy negotiation can be targeted by a buffer overflow attack

Эта уязвимость затрагивает только серверы, настроенные на использование GSS-TSIG. GSS-TSIG - это расширение протокола TSIG, которое предназначено для поддержки безопасного обмена ключами с целью проверке подлинности коммуникаций между элементами в сети.

SPNEGO - это механизм согласования, используемый GSSAPI, интерфейсом прикладного протокола для GSS-TSIG. Реализация SPNEGO, используемая BIND, была признана уязвимой для атаки переполнение буфера.

Уязвимость эксплуатируется удаленно, не требует аутентификации, затрагивает версии BIND с 9.11 по 9.16, а так же dev ветку 9.17.

Уязвимость оставалась незамеченной много лет и это очередной раз говорит о том, что нужно внимательно следить за используемым ПО и его модулями в своем окружении.

Информация об уязвимости:

https://kb.isc.org/docs/cve-2020-8625

Cisco NX-OS Software Unauthenticated Arbitrary File Actions Vulnerability

A vulnerability in the implementation of an internal file management service for Cisco Nexus 3000 Series Switches and Cisco Nexus 9000 Series Switches in standalone NX-OS mode that are running Cisco NX-OS Software could allow an unauthenticated, remote attacker to create, delete, or overwrite arbitrary files with root privileges on the device.

Status - Critical

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-3000-9000-fileaction-QtLzDRy2

Данные 21 миллиона пользователей из 3 Android VPN выставлены на онлайн продажу

Из различныз VPN сервисов утекали данные. За последние годы неоднократно. Теперь список пополнили - SuperVPN (100 000 000+ установок в Google Play), GeckoVPN (10 000 000+ установок), ChatVPN (50 000+ установок), по крайней мере якобы данные пользователей этих сервисов содержатся в продаваемых базах…

Авторы поста (ссылка ниже) связались с представителями указанных выше VPN сервисов для получения сведений об утечке, но на момент написания статьи подтверждения не получили.

Какие данные продаются:
- Адреса электронной почты
- Имена пользователей (включая полные имена)
- Названия стран
- Случайно сгенерированные строки пароля
- Данные, связанные с оплатой
- Статус премиум-участника и срок его действия
- Серийные номера мобильных устройств
- Типы телефонов и производители
- Идентификаторы устройств
- Номера IMSI (International Mobile Subscriber Identity — международный идентификатор мобильного абонента) устройств

Что самое интересное, если данные, продаваемые субъектом, являются подлинными, кажется, что поставщики VPN, о которых идет речь, регистрируют гораздо больше информации о своих пользователях, чем указано в их Политиках конфиденциальности (выдержки из политик приведены так же в статье). Стоит также отметить, что злоумышленники могли получить полный удаленный доступ к VPN-серверам…

https://cybernews.com/security/one-of-the-biggest-android-vpns-hacked-data-of-21-million-users-from-3-android-vpns-put-for-sale-online/

Уязвимость в файерволе одобренном НАТО

PoC присутствует:

https://sec-consult.com/vulnerability-lab/advisory/authentication-bypass-genua-genugate/

[Fish-users] fish 3.2.0 released

Новый релиз fish user shell (как альтернатива zsh, bash)

https://github.com/fish-shell/fish-shell/releases/tag/3.2.0

Еще про fish:
- https://news.1rj.ru/str/sysadm_in_channel/2413
- https://news.1rj.ru/str/sysadm_in_channel/1958

RYUK RANSOMWARE (анализ)

“Gootloader” expands its payload delivery options

Инфраструктура заражения на основе Javanoscript для Gootkit RAT все чаще предоставляет более широкий спектр вредоносного ПО, включая payload программ-вымогателей, без использования файлов...

Gootloader использует вредоносные методы поисковой оптимизации (SEO), чтобы попасть в результаты поиска Google, через которые потенциальная жертва по сценарию в дальнейшем загружает вредоносное ПО...

Оригинально. Анализ/Описание:

https://news.sophos.com/en-us/2021/03/01/gootloader-expands-its-payload-delivery-options/

Linux From Scratch (Version 10.1)
Published March 1st, 2021

http://www.linuxfromscratch.org/lfs/view/10.1/

Beyond Linux® From Scratch (System V Edition. Version 10.1)

http://www.linuxfromscratch.org/blfs/view/10.1/