По поводу критичной уязвимости Authentication Bypass - Veeam Backup & Replication (CVE-2024-29849). Veeam B&R - клиент-серверное ПО для централизованного резервного копирования виртуальных машин в средах VMware vSphere и Microsoft Hyper-V.
Уязвимость нашли в компоненте Backup Enterprise Manager - веб-консоль для управления и создания отчетов. Неаутентифицированный злоумышленник может войти в веб-консоль от имени любого пользователя. CVSS 9.8.
🔸 Уязвимость была исправлена вендором 21 мая.
🔸 Через 3 недели, 10 июня, исследователь под ником SinSinology выложил в своём блоге разбор этой уязвимости (на основе анализа патча) и PoC для неё.
Подтверждений эксплуатации уязвимости в реальных атаках пока нет, но, вероятнее всего, скоро будут. Компрометация бэкапов не менее лакомая цель, чем компрометация виртуальной инфраструктуры.
До 2022 года продукты Veeam были популярны в России и наверняка остаётся ещё много инсталляций. 🤔
Обязательно обновляйтесь!
@avleonovrus #Veeam #Backup #Replication
Уязвимость нашли в компоненте Backup Enterprise Manager - веб-консоль для управления и создания отчетов. Неаутентифицированный злоумышленник может войти в веб-консоль от имени любого пользователя. CVSS 9.8.
🔸 Уязвимость была исправлена вендором 21 мая.
🔸 Через 3 недели, 10 июня, исследователь под ником SinSinology выложил в своём блоге разбор этой уязвимости (на основе анализа патча) и PoC для неё.
Подтверждений эксплуатации уязвимости в реальных атаках пока нет, но, вероятнее всего, скоро будут. Компрометация бэкапов не менее лакомая цель, чем компрометация виртуальной инфраструктуры.
До 2022 года продукты Veeam были популярны в России и наверняка остаётся ещё много инсталляций. 🤔
Обязательно обновляйтесь!
@avleonovrus #Veeam #Backup #Replication
Трендовые уязвимости июня по версии Positive Technologies. Традиционно в 3 форматах:
📹 Рубрика "В тренде VM" в новостном ролике SecLab-а (начинается с 15:03)
🗞 Пост на Хабре, фактически это несколько расширенный сценарий рубрики "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT
Список уязвимостей:
🔻 EoP в Microsoft Windows CSC (CVE-2024-26229)
🔻 EoP в Microsoft Windows Error Reporting (CVE-2024-26169)
🔻 EoP в Microsoft Windows Kernel (CVE-2024-30088)
🔻 RCE в PHP (CVE-2024-4577)
🔻 EoP в Linux Kernel (CVE-2024-1086)
🔻 InfDisclosure в Check Point Security Gateways (CVE-2024-24919)
🔻 RCE в VMware vCenter (CVE-2024-37079, CVE-2024-37080)
🔻 AuthBypass в Veeam Backup & Replication (CVE-2024-29849)
@avleonovrus #втрендеVM #TrendVulns #SecLab #PositiveTechnologies #CSC #Microsoft #Windows #Symantec #CISAKEV #BlackBasta #ransomware #WindowsKernel #ZDI #NtQueryInformationToken #PHP #TellYouThePass #Imperva #nftables #Linux #EoP #LPE #MakeMeRoot #DirtyPagedirectory #CheckPoint #CheckPointSecurityGateway #CISAKEV #vCenter #VMware #vSphere #DCERPC #Veeam #Backup #Replication
📹 Рубрика "В тренде VM" в новостном ролике SecLab-а (начинается с 15:03)
🗞 Пост на Хабре, фактически это несколько расширенный сценарий рубрики "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT
Список уязвимостей:
🔻 EoP в Microsoft Windows CSC (CVE-2024-26229)
🔻 EoP в Microsoft Windows Error Reporting (CVE-2024-26169)
🔻 EoP в Microsoft Windows Kernel (CVE-2024-30088)
🔻 RCE в PHP (CVE-2024-4577)
🔻 EoP в Linux Kernel (CVE-2024-1086)
🔻 InfDisclosure в Check Point Security Gateways (CVE-2024-24919)
🔻 RCE в VMware vCenter (CVE-2024-37079, CVE-2024-37080)
🔻 AuthBypass в Veeam Backup & Replication (CVE-2024-29849)
@avleonovrus #втрендеVM #TrendVulns #SecLab #PositiveTechnologies #CSC #Microsoft #Windows #Symantec #CISAKEV #BlackBasta #ransomware #WindowsKernel #ZDI #NtQueryInformationToken #PHP #TellYouThePass #Imperva #nftables #Linux #EoP #LPE #MakeMeRoot #DirtyPagedirectory #CheckPoint #CheckPointSecurityGateway #CISAKEV #vCenter #VMware #vSphere #DCERPC #Veeam #Backup #Replication
YouTube
AirPods подслушивают / Трекеры убивают / Мир сходит с ума / 156
— Шпион в ушной раковине. Как AirPods предали миллионы пользователей.
— Polyfill.io внедряет вредоносное ПО. Покупка домена привела ко взлому более 100 тысяч сайтов.
— Фотобаттлы в сети. Участие в конкурсе может обернуться потерей аккаунта в WhatsApp.
…
— Polyfill.io внедряет вредоносное ПО. Покупка домена привела ко взлому более 100 тысяч сайтов.
— Фотобаттлы в сети. Участие в конкурсе может обернуться потерей аккаунта в WhatsApp.
…
Про уязвимость Remote Code Execution - Veeam Backup & Replication (CVE-2024-40711). Бюллетень вендора вышел 4 сентября. В описании уязвимости её причиной называют десериализацию ненадежных данных с вредоносной полезной нагрузкой. Уязвимость обнаружил исследователь из компании CODE WHITE.
Через 5 дней, 9 сентября, исследователи из другой компании, watchTowr Labs, выложили в своём блоге подробный write-up, код эксплоита и видео с демонстрацией его работы.
Признаков эксплуатации вживую этой уязвимости пока не наблюдается. Как и для июньской уязвимости в Veeam B&R (CVE-2024-29849). Это не значит, что злоумышленники эти уязвимости не эксплуатируют. Возможно, что таргетированные атаки с использованием этих уязвимостей просто не были пока надёжно зафиксированы. Так, например, в CISA KEV есть уязвимости Veeam B&R исправленные в марте 2022-го года, которые добавили в каталог только в декабре 2023-го. 😉
Обновляйтесь заранее!
@avleonovrus #Veeam #Backup #Replication #CODEWHITE #watchTowrLabs
Через 5 дней, 9 сентября, исследователи из другой компании, watchTowr Labs, выложили в своём блоге подробный write-up, код эксплоита и видео с демонстрацией его работы.
Признаков эксплуатации вживую этой уязвимости пока не наблюдается. Как и для июньской уязвимости в Veeam B&R (CVE-2024-29849). Это не значит, что злоумышленники эти уязвимости не эксплуатируют. Возможно, что таргетированные атаки с использованием этих уязвимостей просто не были пока надёжно зафиксированы. Так, например, в CISA KEV есть уязвимости Veeam B&R исправленные в марте 2022-го года, которые добавили в каталог только в декабре 2023-го. 😉
Обновляйтесь заранее!
@avleonovrus #Veeam #Backup #Replication #CODEWHITE #watchTowrLabs
RCE уязвимость Veeam B&R CVE-2024-40711 эксплуатируется в атаках. 24 сентября признаков эксплуатации вживую этой уязвимости ещё не было. А 10 октября Sophos X-Ops сообщили, что в течение месяца они наблюдали серию атак с эксплуатацией этой уязвимости, целью которых была установка программ-вымогателей Akira и Fog. 🤷♂️
Тезис моего исходного поста подтвердился. Отсутствие сообщений об эксплуатации уязвимостей в реальных атаках не повод их игнорировать.
"Это не значит, что злоумышленники эти уязвимости не эксплуатируют. Возможно, что таргетированные атаки с использованием этих уязвимостей просто не были пока надёжно зафиксированы."
🟥 Positive Technologies относит уязвимость к трендовым с 10 сентября.
@avleonovrus #Veeam #Backup #Replication #PositiveTechnologies #Sophos #TrendVulns #Akira #Fog
Тезис моего исходного поста подтвердился. Отсутствие сообщений об эксплуатации уязвимостей в реальных атаках не повод их игнорировать.
"Это не значит, что злоумышленники эти уязвимости не эксплуатируют. Возможно, что таргетированные атаки с использованием этих уязвимостей просто не были пока надёжно зафиксированы."
🟥 Positive Technologies относит уязвимость к трендовым с 10 сентября.
@avleonovrus #Veeam #Backup #Replication #PositiveTechnologies #Sophos #TrendVulns #Akira #Fog
Сентябрьский выпуск "В тренде VM": 7 трендовых уязвимостей, фальшивая рекапча, ливанские пейджеры, годовые премии IT-шников. Начиная с этого месяца, мы решили несколько расширить тематику и увеличить длительность роликов. Я рассказываю не только про трендовые уязвимости сентября, но и про примеры использования социальной инженерии, эксплуатацию уязвимостей реального мира и практики процесса Управления Уязвимостями. В конце объявляем конкурс вопросов по Управлению Уязвимостями с подарками. 🎁
Этот эпизод мы сначала выпускаем на ВК Видео и RUTUBE. Ролик на YouTube появится ориентировочно на следующей неделе.
📹 Ролик "В тренде VM" на VK Видео и RUTUBE
🗞 Пост на Хабре на основе сценария ролика "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT
Содержание:
🔻 00:58 Elevation of Privilege - Windows Installer (CVE-2024-38014) и уточнения по этой уязвимости
🔻 02:49 Security Feature Bypass - Windows Mark of the Web "LNK Stomping" (CVE-2024-38217)
🔻 03:57 Spoofing - Windows MSHTML Platform (CVE-2024-43461)
🔻 05:14 Remote Code Execution - VMware vCenter (CVE-2024-38812)
🔻 06:27 Remote Code Execution - Veeam Backup & Replication (CVE-2024-40711), пока монтировали ролик появились данные об эксплуатации вживую
🔻 08:40 Cross Site Scripting - Roundcube Webmail (CVE-2024-37383)
🔻 09:38 SQL Injection - The Events Calendar plugin for WordPress (CVE-2024-8275)
🔻 10:40 Человеческие уязвимости: фальшивая reCAPTCHA
🔻 11:57 Уязвимости реального мира: взрывы пейджеров и других электронных устройств в Ливане, последствия для всего мира
🔻 14:53 Практики процесса управления уязвимостями: привязать годовые премии IT-специалистов к выполнению SLA по устранению уязвимостей
🔻 16:10 Финал и объявление конкурса
🔻 16:31 Бэкстейдж
@avleonovrus #втрендеVM #TrendVulns #PositiveTechnologies #Microsoft #WindowsInstaller #SECConsult #msiscan #MSI #LNKStomping #MotW #MSHTML #ZDI #VoidBanshee #DCERPC #VMware #vCenter #Veeam #Backup #Replication #CODEWHITE #watchTowrLabs #Sophos #Akira #Fog #Roundcube #WordPress #TheEventsCalendar #reCAPTCHA #Phishing #HumanVM #pager #GoldApollo #AR924 #ICOM #ICV82 #smartphone #VMprocess #PTVMcourse #Remediation #SLA
Этот эпизод мы сначала выпускаем на ВК Видео и RUTUBE. Ролик на YouTube появится ориентировочно на следующей неделе.
📹 Ролик "В тренде VM" на VK Видео и RUTUBE
🗞 Пост на Хабре на основе сценария ролика "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT
Содержание:
🔻 00:58 Elevation of Privilege - Windows Installer (CVE-2024-38014) и уточнения по этой уязвимости
🔻 02:49 Security Feature Bypass - Windows Mark of the Web "LNK Stomping" (CVE-2024-38217)
🔻 03:57 Spoofing - Windows MSHTML Platform (CVE-2024-43461)
🔻 05:14 Remote Code Execution - VMware vCenter (CVE-2024-38812)
🔻 06:27 Remote Code Execution - Veeam Backup & Replication (CVE-2024-40711), пока монтировали ролик появились данные об эксплуатации вживую
🔻 08:40 Cross Site Scripting - Roundcube Webmail (CVE-2024-37383)
🔻 09:38 SQL Injection - The Events Calendar plugin for WordPress (CVE-2024-8275)
🔻 10:40 Человеческие уязвимости: фальшивая reCAPTCHA
🔻 11:57 Уязвимости реального мира: взрывы пейджеров и других электронных устройств в Ливане, последствия для всего мира
🔻 14:53 Практики процесса управления уязвимостями: привязать годовые премии IT-специалистов к выполнению SLA по устранению уязвимостей
🔻 16:10 Финал и объявление конкурса
🔻 16:31 Бэкстейдж
@avleonovrus #втрендеVM #TrendVulns #PositiveTechnologies #Microsoft #WindowsInstaller #SECConsult #msiscan #MSI #LNKStomping #MotW #MSHTML #ZDI #VoidBanshee #DCERPC #VMware #vCenter #Veeam #Backup #Replication #CODEWHITE #watchTowrLabs #Sophos #Akira #Fog #Roundcube #WordPress #TheEventsCalendar #reCAPTCHA #Phishing #HumanVM #pager #GoldApollo #AR924 #ICOM #ICV82 #smartphone #VMprocess #PTVMcourse #Remediation #SLA
VK Видео
В тренде VM: уязвимости сентября
Эксперты Positive Technologies выделили семь критичных уязвимостей сентября. Некоторые из них уже используют злоумышленники, а остальные могут стать их следующей мишенью. В этом выпуске разбираем трендовые уязвимости, включая повышение привилегий в установщике…