Cisco Issues Warning Over IOS XR Zero-Day [CVE-2020-3566] Flaw Being Targeted in the Wild
https://thehackernews.com/2020/09/cisco-issue-warning-over-ios-xr-zero.html
https://thehackernews.com/2020/09/cisco-issue-warning-over-ios-xr-zero.html
Blue Team Techniques:
Top 20 Microsoft Azure Vulnerabilities and Misconfigurations
https://www.infosecmatter.com/top-20-microsoft-azure-vulnerabilities-and-misconfigurations/
Top 20 Microsoft Azure Vulnerabilities and Misconfigurations
https://www.infosecmatter.com/top-20-microsoft-azure-vulnerabilities-and-misconfigurations/
InfosecMatter
Top 20 Microsoft Azure Vulnerabilities and Misconfigurations - InfosecMatter
List of 20 common Microsoft Azure cloud vulnerabilities and misconfigurations found during security audits and architecture reviews, with screenshots and examples.
Comunidad Pen7esting
Photo
📃 "25 técnicas de persistencia (Windows) de Pentest Lab" https://www.hackplayers.com/2020/07/25-tecnicas-de-persistencia-en-windows.html
Hackplayers
25 técnicas de persistencia (Windows) de Pentest Lab
Grandísima recopilación de técnicas de persistencia recogidas en el blog de Penetration Testing Lab y mapeadas con Mitre, indicando además...
Cisco advierte de una vulnerabilidad Zero-day en IOS XR
https://unaaldia.hispasec.com/2020/09/cisco-advierte-de-una-vulnerabilidad-zero-day-en-ios-xr.html
https://unaaldia.hispasec.com/2020/09/cisco-advierte-de-una-vulnerabilidad-zero-day-en-ios-xr.html
Una al Día
Cisco advierte de una vulnerabilidad Zero-day en IOS XR
La vulnerabilidad, catalogada como CVE-2020-3566 y con una puntuación CVSS de 8.6 podría dar lugar a un consumo descontrolado de recursos, haciendo que los dispositivos afectados dejen de funcionar.
Cisco IOS XR Software DVMRP Memory Exhaustion Vulnerabilities
First Published: 2020 August 29 03:00 GMT
Last Updated: 2020 August 31 21:32 GMT
Version 2.0:Interim
Workarounds: No workarounds available
Cisco Bug IDs:
CSCvr86414
CSCvv54838
CVE-2020-3566
CVE-2020-3569
CWE-400
CVSS Score:Base 8.6
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxr-dvmrp-memexh-dSmpdvfz
First Published: 2020 August 29 03:00 GMT
Last Updated: 2020 August 31 21:32 GMT
Version 2.0:Interim
Workarounds: No workarounds available
Cisco Bug IDs:
CSCvr86414
CSCvv54838
CVE-2020-3566
CVE-2020-3569
CWE-400
CVSS Score:Base 8.6
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxr-dvmrp-memexh-dSmpdvfz
Cisco
Cisco Security Advisory: Cisco IOS XR Software DVMRP Memory Exhaustion Vulnerabilities
Multiple vulnerabilities in the Distance Vector Multicast Routing Protocol (DVMRP) feature of Cisco IOS XR Software could allow an unauthenticated, remote attacker to either immediately crash the Internet Group Management Protocol (IGMP) process or make it…
Vulnerabilidad de inyección de código en IBM Spectrum Protect Operations Center
Fecha de publicación: 02/09/2020
Importancia: 5 - Crítica
Recursos afectados:
IBM Spectrum Protect Operations Center versiones: desde 8.1.0.000 hasta 8.1.9.xxx y desde 7.1.0.000 hasta 7.1.10.xxx.
Descripción:
Desde IBM se ha informado de una vulnerabilidad provocada por una validación incorrecta de los datos antes de la exportación en IBM Spectrum Protect Operations Center, que puede permitir que un atacante ejecute código arbitrario en el sistema.
https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/vulnerabilidad-inyeccion-codigo-ibm-spectrum-protect-operations
Fecha de publicación: 02/09/2020
Importancia: 5 - Crítica
Recursos afectados:
IBM Spectrum Protect Operations Center versiones: desde 8.1.0.000 hasta 8.1.9.xxx y desde 7.1.0.000 hasta 7.1.10.xxx.
Descripción:
Desde IBM se ha informado de una vulnerabilidad provocada por una validación incorrecta de los datos antes de la exportación en IBM Spectrum Protect Operations Center, que puede permitir que un atacante ejecute código arbitrario en el sistema.
https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/vulnerabilidad-inyeccion-codigo-ibm-spectrum-protect-operations
INCIBE-CERT
Vulnerabilidad de inyección de código en IBM Spectrum Protect
Desde IBM se ha informado de una vulnerabilidad provocada por una validación incorrecta de los datos antes de la exportación en IBM Spectrum Protect Operations Center, que puede permitir que un
☠Matriz de Ataque de Mitre☠
🔰Acceso inicial🔰
El adversario está tratando de ingresar a su red.
El acceso inicial consiste en técnicas que utilizan varios vectores de entrada para obtener su punto de acceso inicial dentro de una red. Las técnicas utilizadas para establecerse incluyen el phishing y el ataque a servidores web. Los puntos de acceso obtenidos mediante el acceso inicial pueden permitir el acceso continuo, como cuentas válidas y el uso de servicios remotos externos, o pueden tener un uso limitado debido al cambio de contraseñas.
🔰Ejecución🔰
El adversario está intentando ejecutar código malicioso.
La ejecución consiste en técnicas que dan como resultado un código controlado por el adversario que se ejecuta en un sistema local o remoto. Las técnicas que ejecutan código malicioso a menudo se combinan con técnicas de todas las demás tácticas para lograr objetivos más amplios, como explorar una red o robar datos. Por ejemplo, un adversario podría usar una herramienta de acceso remoto para ejecutar una secuencia de comandos de PowerShell que realiza detección remota de sistemas dentro de la red.
🔰Persistencia🔰
El adversario está tratando de mantenerse en la red.
La persistencia consiste en técnicas que los adversarios utilizan para mantener el acceso a los sistemas a través de reinicios, credenciales modificadas y otras interrupciones que podrían bloquear su acceso. Las técnicas utilizadas para la persistencia incluyen cualquier cambio de acceso, acción o configuración que les permita mantener su posición en los sistemas.
🔰Escalación de privilegios🔰
El adversario está tratando de obtener permisos de mayor nivel.
La escalación de privilegios consiste en técnicas que los adversarios utilizan para obtener permisos de mayor nivel en un sistema o red. Los adversarios a menudo pueden ingresar y explorar una red con acceso sin privilegios, pero requieren permisos elevados para cumplir sus objetivos. Los enfoques comunes son aprovechar las debilidades del sistema, las configuraciones incorrectas y las vulnerabilidades.
🔰Evasión de defensas🔰
El adversario está tratando de evitar ser detectado.
La evasión de defensa consiste en técnicas que los adversarios utilizan para evitar ser detectados durante la intrusión. Las técnicas utilizadas para la evasión de la defensa incluyen la desinstalación o desactivación del software de seguridad o la ofuscación y cifrado de datos y scripts. Los adversarios también aprovechan y abusan de procesos confiables para ocultar y enmascarar su malware.
🔰Acceso a credenciales🔰
El adversario está tratando de robar nombres de cuenta y contraseñas.
Acceso a Credenciales consiste en técnicas para robar credenciales como nombres de cuenta y contraseñas. Las técnicas utilizadas para obtener credenciales incluyen el registro de claves o el volcado de credenciales. El uso de credenciales legítimas puede dar a los adversarios acceso a los sistemas, hacerlos más difíciles de detectar y brindar la oportunidad de crear más cuentas para ayudarlos a alcanzar sus objetivos.
🔰Movimiento lateral🔰
El adversario está tratando de moverse a través de la red.
El movimiento lateral consiste en técnicas que los adversarios usan para ingresar y controlar sistemas remotos en una red. Seguir adelante con su objetivo principal a menudo requiere explorar la red para encontrar su objetivo y, posteriormente, obtener acceso a él. Alcanzar su objetivo a menudo implica moverse a través de múltiples sistemas. Los adversarios pueden instalar sus propias herramientas de acceso remoto para lograr el Movimiento Lateral o usar credenciales legítimas con herramientas ya instaladas dentro del sistema operativo, lo cual las hace más sigilosas.
🔰Descubrimiento🔰
El adversario está tratando de descubrir el entorno de tu red.
El descubrimiento consiste en técnicas que un adversario puede usar para obtener conocimiento sobre el sistema y la red interna. Estas técnicas ayudan a los adversarios a observar el entorno y a orientarse antes de decidir cómo actuar. También exploran lo que pueden controlar y lo q
🔰Acceso inicial🔰
El adversario está tratando de ingresar a su red.
El acceso inicial consiste en técnicas que utilizan varios vectores de entrada para obtener su punto de acceso inicial dentro de una red. Las técnicas utilizadas para establecerse incluyen el phishing y el ataque a servidores web. Los puntos de acceso obtenidos mediante el acceso inicial pueden permitir el acceso continuo, como cuentas válidas y el uso de servicios remotos externos, o pueden tener un uso limitado debido al cambio de contraseñas.
🔰Ejecución🔰
El adversario está intentando ejecutar código malicioso.
La ejecución consiste en técnicas que dan como resultado un código controlado por el adversario que se ejecuta en un sistema local o remoto. Las técnicas que ejecutan código malicioso a menudo se combinan con técnicas de todas las demás tácticas para lograr objetivos más amplios, como explorar una red o robar datos. Por ejemplo, un adversario podría usar una herramienta de acceso remoto para ejecutar una secuencia de comandos de PowerShell que realiza detección remota de sistemas dentro de la red.
🔰Persistencia🔰
El adversario está tratando de mantenerse en la red.
La persistencia consiste en técnicas que los adversarios utilizan para mantener el acceso a los sistemas a través de reinicios, credenciales modificadas y otras interrupciones que podrían bloquear su acceso. Las técnicas utilizadas para la persistencia incluyen cualquier cambio de acceso, acción o configuración que les permita mantener su posición en los sistemas.
🔰Escalación de privilegios🔰
El adversario está tratando de obtener permisos de mayor nivel.
La escalación de privilegios consiste en técnicas que los adversarios utilizan para obtener permisos de mayor nivel en un sistema o red. Los adversarios a menudo pueden ingresar y explorar una red con acceso sin privilegios, pero requieren permisos elevados para cumplir sus objetivos. Los enfoques comunes son aprovechar las debilidades del sistema, las configuraciones incorrectas y las vulnerabilidades.
🔰Evasión de defensas🔰
El adversario está tratando de evitar ser detectado.
La evasión de defensa consiste en técnicas que los adversarios utilizan para evitar ser detectados durante la intrusión. Las técnicas utilizadas para la evasión de la defensa incluyen la desinstalación o desactivación del software de seguridad o la ofuscación y cifrado de datos y scripts. Los adversarios también aprovechan y abusan de procesos confiables para ocultar y enmascarar su malware.
🔰Acceso a credenciales🔰
El adversario está tratando de robar nombres de cuenta y contraseñas.
Acceso a Credenciales consiste en técnicas para robar credenciales como nombres de cuenta y contraseñas. Las técnicas utilizadas para obtener credenciales incluyen el registro de claves o el volcado de credenciales. El uso de credenciales legítimas puede dar a los adversarios acceso a los sistemas, hacerlos más difíciles de detectar y brindar la oportunidad de crear más cuentas para ayudarlos a alcanzar sus objetivos.
🔰Movimiento lateral🔰
El adversario está tratando de moverse a través de la red.
El movimiento lateral consiste en técnicas que los adversarios usan para ingresar y controlar sistemas remotos en una red. Seguir adelante con su objetivo principal a menudo requiere explorar la red para encontrar su objetivo y, posteriormente, obtener acceso a él. Alcanzar su objetivo a menudo implica moverse a través de múltiples sistemas. Los adversarios pueden instalar sus propias herramientas de acceso remoto para lograr el Movimiento Lateral o usar credenciales legítimas con herramientas ya instaladas dentro del sistema operativo, lo cual las hace más sigilosas.
🔰Descubrimiento🔰
El adversario está tratando de descubrir el entorno de tu red.
El descubrimiento consiste en técnicas que un adversario puede usar para obtener conocimiento sobre el sistema y la red interna. Estas técnicas ayudan a los adversarios a observar el entorno y a orientarse antes de decidir cómo actuar. También exploran lo que pueden controlar y lo q
ue hay alrededor de su punto de entrada para descubrir cómo podría beneficiar su objetivo. Las herramientas instaladas del sistema operativo a menudo se utilizan para alcanzar este objetivo de recopilación de información.
🔰Recolección🔰
El adversario está tratando de recopilar datos de interés para extracción.
La recopilación consiste en técnicas que los adversarios pueden usar para recopilar información. Con frecuencia, el siguiente objetivo después de recopilar datos es exfiltrar los datos. Los métodos comunes de recolección incluyen extracción de archivos, extracción de base de datos, toma de pantallazos, y registro del teclado.
🔰Comando y control🔰
El adversario está tratando de comunicarse con sistemas hackeados para controlarlos.
El comando y control consiste en técnicas que los adversarios pueden usar para comunicarse con los sistemas bajo su control dentro de una red Los adversarios suelen intentar imitar el tráfico normal esperado para evitar la detección. Hay muchas formas en que un adversario puede establecer el comando y el control con varios niveles de sigilo dependiendo de la estructura de red y las defensas de la víctima.
🔰Exfiltración🔰
El adversario está tratando de robar datos.
La exfiltración consiste en técnicas que los adversarios pueden usar para robar datos de tu red. Una vez que han recopilado datos, los adversarios a menudo los empaquetan para evitar ser detectados mientras se extraen. Esto puede incluir compresión y encriptación. Las técnicas para extraer datos de una red generalmente incluyen transferirlos a través de su canal de comando y control o un canal alternativo.
🔰Impacto🔰
El adversario está tratando de manipular, interrumpir o destruir tus sistemas y datos.
El impacto consiste en técnicas que los adversarios utilizan para interrumpir la disponibilidad o comprometer la integridad al manipular los procesos comerciales y operativos. Las técnicas utilizadas para el impacto pueden incluir destruir o alterar los datos.
🔰Recolección🔰
El adversario está tratando de recopilar datos de interés para extracción.
La recopilación consiste en técnicas que los adversarios pueden usar para recopilar información. Con frecuencia, el siguiente objetivo después de recopilar datos es exfiltrar los datos. Los métodos comunes de recolección incluyen extracción de archivos, extracción de base de datos, toma de pantallazos, y registro del teclado.
🔰Comando y control🔰
El adversario está tratando de comunicarse con sistemas hackeados para controlarlos.
El comando y control consiste en técnicas que los adversarios pueden usar para comunicarse con los sistemas bajo su control dentro de una red Los adversarios suelen intentar imitar el tráfico normal esperado para evitar la detección. Hay muchas formas en que un adversario puede establecer el comando y el control con varios niveles de sigilo dependiendo de la estructura de red y las defensas de la víctima.
🔰Exfiltración🔰
El adversario está tratando de robar datos.
La exfiltración consiste en técnicas que los adversarios pueden usar para robar datos de tu red. Una vez que han recopilado datos, los adversarios a menudo los empaquetan para evitar ser detectados mientras se extraen. Esto puede incluir compresión y encriptación. Las técnicas para extraer datos de una red generalmente incluyen transferirlos a través de su canal de comando y control o un canal alternativo.
🔰Impacto🔰
El adversario está tratando de manipular, interrumpir o destruir tus sistemas y datos.
El impacto consiste en técnicas que los adversarios utilizan para interrumpir la disponibilidad o comprometer la integridad al manipular los procesos comerciales y operativos. Las técnicas utilizadas para el impacto pueden incluir destruir o alterar los datos.
Cómo funcionan los ataques de DDoS usando "Amplificación DNS" con consultas tipo Root sobre UDP y cómo fortificar el servicio
http://feedproxy.google.com/~r/ElLadoDelMal/~3/qK_y_FPTIus/como-funcionan-los-ataques-de-ddos.html
http://feedproxy.google.com/~r/ElLadoDelMal/~3/qK_y_FPTIus/como-funcionan-los-ataques-de-ddos.html
Elladodelmal
Cómo funcionan los ataques de DDoS usando "Amplificación DNS" con consultas tipo Root sobre UDP y cómo fortificar el servicio
Blog personal de Chema Alonso, CDCO Telefónica, 0xWord, MyPublicInbox, sobre seguridad, hacking, hackers y Cálico Electrónico.
CVE-2020-7460:
FreeBSD Kernel Privilege Escalation (PoC)
https://www.zerodayinitiative.com/blog/2020/9/1/cve-2020-7460-freebsd-kernel-privilege-escalation
PoC code:
https://github.com/thezdi/PoC/tree/master/CVE-2020-7460
FreeBSD Kernel Privilege Escalation (PoC)
https://www.zerodayinitiative.com/blog/2020/9/1/cve-2020-7460-freebsd-kernel-privilege-escalation
PoC code:
https://github.com/thezdi/PoC/tree/master/CVE-2020-7460
Zero Day Initiative
Zero Day Initiative — CVE-2020-7460: FreeBSD Kernel Privilege Escalation
In August, an update to FreeBSD was released to address a time-of-check to time-of-use (TOCTOU) bug that could be exploited by an unprivileged malicious userspace program for privilege escalation. This vulnerability was reported to the ZDI program by a researcher…
Pulse Secure Windows Client <9.1.6 (CVE-2020-13162) - Exploit
https://www.redtimmy.com/privilege-escalation/pulse-secure-windows-client/
PoC:
https://github.com/redtimmy/tu-TOCTOU-kaiu-TOCMEU-CVE-2020-13162-
https://www.redtimmy.com/privilege-escalation/pulse-secure-windows-client/
PoC:
https://github.com/redtimmy/tu-TOCTOU-kaiu-TOCMEU-CVE-2020-13162-
La alianza de seguridad Five Eyes publica recomendaciones para detectar y detener el malware en redes empresariales. ( ojo que lo dice una de las redes de espionaje mas sofisticada que existe) https://t.co/72cIqSkApP
— September 3, 2020
— September 3, 2020
Vulnerabilidad crítica en Cisco Jabber permite ejecución remota de código
https://unaaldia.hispasec.com/2020/09/vulnerabilidad-critica-en-cisco-jabber-permite-ejecucion-remota-de-codigo.html
https://unaaldia.hispasec.com/2020/09/vulnerabilidad-critica-en-cisco-jabber-permite-ejecucion-remota-de-codigo.html
Una al Día
Vulnerabilidad crítica en Cisco Jabber permite ejecución remota de código
La vulnerabilidad, debida a una incorrecta validación de los datos de entrada, puede emplearse para ejecutar comandos del sistema en la máquina de los clientes
CVE-2020-1247:
Windows 10 x64 1909 (OS Build 18363.719) / 10.0.18362.719 (WinBuild.160101.0800) - Win32k Elevation of Privilege Vulnerability (Out Of Bound Read and Write)
https://cpr-zero.checkpoint.com/vulns/cprid-2154/
PoC:
https://cpr-zero.checkpoint.com/assets/attachments/cprid-2154/poc.c
Windows 10 x64 1909 (OS Build 18363.719) / 10.0.18362.719 (WinBuild.160101.0800) - Win32k Elevation of Privilege Vulnerability (Out Of Bound Read and Write)
https://cpr-zero.checkpoint.com/vulns/cprid-2154/
PoC:
https://cpr-zero.checkpoint.com/assets/attachments/cprid-2154/poc.c
CPR-Zero
CPR-Zero: CVE-2020-1247
Check Point Research Vulnerability Repository