/ Poisoned PowerShell

Securonix Threat Research team recently discovered a new covert attack campaign targeting multiple military/weapons contractor companies, including likely a strategic supplier to the F-35 Lightning II fighter aircraft. The stager mostly employed the use of PowerShell and while stagers written in PowerShell are not unique, the procedures involved featured an array of interesting tactics, persistence methodology, counter-forensics and layers upon layers of obfuscation to hide its code…

https://www.securonix.com/blog/detecting-steepmaverick-new-covert-attack-campaign-targeting-military-contractors/

/ ProxyNotShell— the story of the claimed zero days in Microsoft Exchange

https://doublepulsar.com/proxynotshell-the-story-of-the-claimed-zero-day-in-microsoft-exchange-5c63d963a9e9

/ Linux 6.0 Released

https://lkml.org/lkml/2022/10/2/255

/ … The attackers deployed several malicious tools on each system, including droppers, loaders, fully featured HTTP(S) backdoors, HTTP(S) uploaders and downloaders. The commonality between the droppers was that they are trojanized open-source projects that decrypt the embedded payload using modern block ciphers with long keys passed as command line arguments. In many cases, malicious files are DLL components that were side-loaded by legitimate EXEs, but from an unusual location in the file system…:

https://www.welivesecurity.com/2022/09/30/amazon-themed-campaigns-lazarus-netherlands-belgium/

Open SysConf'22 - Сети, Ansible шаблонизация и не только
 
До нашей встречи на Open SysConf в г.Алматы осталось практически 10 дней и я рад презентовать Вам финальные темы докладов:

Сети (хуети) в современном датацентре
- Автор: Айдар Оспанбеков. Архитектор облака PS.kz.
- Краткое описание: С какими проблемами мы столкнулись при эксплуатации сети в публичном облаке; Как и для чего мы отказывались от VLAN в пользу VxLAN; Как строили сеть по топологии spine-leaf с BGP и FRRouting

Шаблонизация Linux систем в организациях
- Автор: Нурбиби "R0b0Cat". Системный администратор.
- Краткое описание: Доклад для тех кому нужно произвести в единый формат linux дистрибутивы в организации

Неявный превентинг констракшн
- Автор: Yevgeniy "sysadminkz". Sys-Adm.in
- Краткое описание: Неявный превентинг - такого термина в интернете не нашел, поэтому расскажу о том, как я вижу defencive подход с позиции неявной превентивной защиты. Создадим новый термин и его понимание прямо в реалтайме ✌️

Голова чтобы думать, ноги чтобы ходить - приходи на Open SysConf 14 октября в SmartPoint, г.Алматы.

Детали на сайте: https://sysconf.io
 

/ Bitbucket Critical severity command injection vulnerability - CVE-2022-36804

https://jira.atlassian.com/browse/BSERV-13438

/ Customer Guidance for Reported Zero-day Vulnerabilities in Microsoft Exchange Server

https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

/ An integer underflow in WhatsApp for Android prior to v2.22.16.2, WhatsApp for iOS v2.22.15.9 could have caused remote code execution when receiving a crafted video file.

https://www.whatsapp.com/security/advisories/2022/

Open SysConf'22 - Анонс всех докладов на завтра (14 Октября)
 
До дня Х осталось меньше суток, завтра по плану будет:

— 11:00 - Вступительное слово
— 11:15 - Сабыржан "novitoll" Тасболатов: Практический опыт с 4G, 5G
— 12:15 - Нурбиби "R0b0Cat": Шаблонизация Linux систем в организациях
— 13:00 - Обед
— 14:00 - Дмитрий "ватман": CDC
— 14:50 - Kutlymurat "manfromkz" Mambetniyazov: История одного CVE
— 15:20 - Roman "sysroman": Ansible AWX by Oracle
— 15:45 - кофе-брейк
— 16:00 - Shelldon "Sh3lldon": DEP vs ROP
— 16:50 - Ilyas B Arinov "t2micro": Старый... Но не бесполезный IRC
— 17:20 - Айдар Оспанбеков: Сети (хуети) в современном датацентре
— 18:05 - Yevgeniy "sysadminkz": Неявный превентинг констракшн

План может меняться, уж не обессудьте. Заряжаем себя и друзей, находим силы и возможности и проводим нашу встречу в добром здравии и отношении.

☀️ Завтра встречаем Вас на первом этаже - ул. Байзакова 280 в SmartPoint, г.Алматы
⚡️ Кто не зарегистрировался, зарегистрируйтесь пожалуйста иначе мест Вам может не хватить, детали здесь: https://sysconf.io

Всем Peace ✌️

P.S. Зал SmartArt

/ Alchimist: A new attack framework in Chinese for Mac, Linux and Window

https://blog.talosintelligence.com/2022/10/alchimist-offensive-framework.html

/ Various Linux Kernel WLAN security issues (RCE/DOS) found

https://www.openwall.com/lists/oss-security/2022/10/13/2

/ Threat Alert: Private npm Packages Disclosed via Timing Attacks

https://blog.aquasec.com/private-packages-disclosed-via-timing-attack-on-npm

FortiOS, FortiProxy, and FortiSwitchManager Authentication Bypass Technical Deep Dive (CVE-2022-40684)

PoC

https://www.horizon3.ai/fortios-fortiproxy-and-fortiswitchmanager-authentication-bypass-technical-deep-dive-cve-2022-40684/

/ Zimbra - Attacker managed to upload files into Web Client directory

https://forums.zimbra.org/viewtopic.php?t=71153

/ A vulnerability was found in Zoom Client for Meetings up to 5.11.x on macOS (Unified Communication Software). It has been classified as critical

...debugging port misconfiguration..:

https://vuldb.com/?id.210867

/ Introducing the Fleet Public Preview

I tried it.. Not bad.. not bad:

https://blog.jetbrains.com/fleet/2022/10/introducing-the-fleet-public-preview/

Additional info:

https://www.jetbrains.com/fleet/

/ Microsoft Office 365 Message Encryption Insecure Mode of Operation

https://labs.withsecure.com/advisories/microsoft-office-365-message-encryption-insecure-mode-of-operation

/ Git security vulnerabilities announced

Today, the Git project released new versions to address a pair of security vulnerabilities (CVE-2022-39253, and CVE-2022-39260) that affect versions 2.38 and older. These affect Git’s --local clone optimization and git shell‘s interactive command mode:

https://github.blog/2022-10-18-git-security-vulnerabilities-announced