Про атаки на Битрикс и прочие CMS-ки. Пошла волна обсуждений как же так получается, что сайты на Битриксе массово ломают, несмотря на доступность обновлений и бюллетени регуляторов. Основной проблемой видится отсутствие автоматического обновления CMS-ки или выделенного человека, который занимается обновлением.

Есть ли возможность автоматического обновления в CMS Битрикс? Я не пользователь Битрикса, поиском такую опцию не нашел. Нашел только запрос в разделе с идеями:

Автообновление сайта (08.11.2011). Сделать опциональную возможность автообновления сайта. Часть ошибок устраняются через обновления и хотелось бы чтобы при установке определенной опции производилось автоматическое обновление сайта.

Ответ (15.11.2011): Мы считаем что обновление - это достаточно ответственная процедура и требует контроля. Поэтому в ближайшее время вряд ли появится данный функционал.

Не знаю, может за 10+ лет что-то и поменялось. 🤷‍♂️ Если такую функциональность добавили, то нужно пользоваться.

Автообновление вещь хорошая, мой бложик периодически присылает мне сообщения на почту:

"Your site has updated to WordPress <версия>. No further action is needed on your part".

Плагины также находятся в состоянии Auto-updates Enabled.

Конечно, это не защитит от уязвимости в плагине или в ядре, для которой ещё нет патча, но основную часть проблем с известными уязвимостями это закрывает.

А может что-то отъехать от обновлений? Может, но тут 2 момента:

1. Если сайт настолько критичный, что прекращение его работы приведет к серьезным последствиям, то может нужно отдельного человека выделить, который будет заниматься проверкой есть ли обновления, их тестированием и установкой?
2. Если вендор выпускает такие обновления, что при установке что-то регулярно отъезжает, может ну его нафиг такого вендора и его продукты?

@avleonovrus #1CBitrix #Bitrix #WordPress #CMS

Невозможно автоматически обновлять CMSку! 😏 Во всяком случае об этом пишет 1С-Битрикс в своём пресс-релизе.

"Не стоит повторять их путь — никто не обновит ваш сайт кроме вас. Вендор не может принудительно обновить сайт всех клиентов. Это невозможно. Ни технически, ни юридически. Доступ есть только у администратора на стороне владельца."

Ну не знаааю. Как я уже в прошлый раз писал, в том же WordPress автоматические обновления работают вполне неплохо. 😉

Решения те же: либо выделяйте человека на обновления, либо пользуйтесь CMSкой, которая может сама безопасно обновляться (а значит вендор считает эту функциональность критичной и вкладывается в неё).

@avleonovrus #1CBitrix #Bitrix #WordPress #CMS

Фишинговая атака на администраторов сайтов на WordPress. Гениально и просто. 🙂 Админам сайтов приходит поддельное письмо, якобы от WordPressOrg, с призывом установить плагин для исправления RCE уязвимости CVE-2023-45124. На NVD для этой уязвимости CVE ID Not Found, но, учитывая какой там сейчас бардак, это бы и меня не особо смутило. 😅

В письме ссылка на фишинговый сайт с описанием вредоносного плагина, отзывами, оценками, всё как на официальном сайте с плагинами. Плагин скачивается как zip-архив. После установки и активации плагина создаётся админская учётка wpsecuritypatch, пароль от неё передается на сервер злоумышленников, устанавливается P.A.S. бэкдор, плагин и учётка скрываются в админке. 😈

Разумеется, похожую атаку могут проворачивать и для какой-нибудь другой CMS-ки, того же Битрикса. Будьте внимательнее.

@avleonovrus #Phishing #WordPress #NVD

Вышло обновление, исправляющее RCE уязвимость в WordPress. Уязвимость исправляется в версии 6.4.2. CVE-шки нет и вендор характеризует её неопределенно:

"Уязвимость удаленного выполнения кода, которая не может быть использована напрямую в ядре, однако команда безопасности считает, что существует потенциал высокой критичности (severity) в сочетании с некоторыми плагинами, особенно при мультисайтовых инсталляций (multisite installs)." 🤷‍♂️

Patchstack пишут, что уязвимость экслуатабельна только в сочетании с другой PHP object injection уязвимостью. Пишут, что уязвимы версии 6.4.0 и 6.4.1, однако рекомендуют:

"как можно скорее обновить свой сайт до версии 6.4.2, даже если вы не используете версию 6.4.0 или 6.4.1."

При этом 6.4.2 это не security release, и автоматическое обновление, как видно на скриншоте, может не отрабатывать. 🤔

Имхо, лучше всё же перестраховаться и

🔹 прожать обновление до 6.4.2
🔹 перевести в сайт в режим "Automatic updates for all WordPress versions"

@avleonovrus #WordPress #RCE

Прожектор по ИБ, выпуск №15 (09.12.2023): Нейролингвистические атаки на ИИ

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"

00:00 Здороваемся и смотрим статистику по прошлому эпизоду
01:56 Про конференцию Код ИБ Итоги 2023
08:14 Фишинговая атака на админов WordPress и настоящая RCE
13:39 У NVD превратятся в тыкву фиды и API 1.0, что делать?
17:36 Нейролингвистические атаки на ИИ и автоматическая конвертация BASH в Python
26:00 Стратегия развития области связи
34:17 Премия Киберпросвет
38:59 Прощание от Mr.X

@avleonovrus #ПрожекторПоИБ #CodeIB #WordPress #phishing #RCE #NVD #НЛП #BASH #Python #Минцифры #Киберпросвет

Официально запускаю зеркало телеграмм-канала на домене avleonov.ru (сайт на WordPress). В конце сентября у меня был пост о том, что неплохо бы разместить контент из телеграмм-канала на собственной площадке, потому как рано или поздно у ТГ в России начнутся проблемы.

В итоге получилось разработать скрипт, который по выгрузке из телеграмм-канала обновляет сайт на WordPress-е через API-шку с учётом всех базовых фич: форматирование, теги, категории (на основе тегов), кросс-ссылки на посты, иллюстрации (в т.ч. когда их несколько и когда они идут отдельными сообщениями), встроенные плеер YouTube и кликабельные таймстемпы. Было много подводных камней. Но текущим результатом доволен. 😇

Хотя впереди ещё много задач. Нужно сделать синхронизацию постов полностью автоматической, без подкладывания архива руками. Выяснилось, что через API (telethon) ТГ отдаёт выгрузку в другом формате, чем та, что отдаётся через клиент. 🤷‍♂️🤦‍♂️ Но это решаемо. 🙂

@avleonovrus #Telegram #Mirror #Wordpress

После продолжительного перерыва выпустил англоязычную видяшку и блогопост. Разбираю там то, что произошло за последние 3 месяца. В первую очередь в плане улучшений Vulristics. Во вторую - смотрю какие были интересные уязвимости в Microsoft Patch Tuesday, Linux Patch Wednesday и из остальных. Ну и подвожу итоги 2023, а также намечаю направления работы на 2024.

Из занимательного:

🔻 Подсветил 7 уязвимостей из Microsoft Patch Tuesday, для которых за последние 3 месяца появились PoC-и/эксплоиты. Как правило это совсем не те уязвимости, на которые указывали VM-вендоры в своих обзорах. 😏
🔻 В Linux Patch Wednesday за последние 3 месяца было 90 уязвимостей с PoC-ами/эксплоитами (и это не считая тех, про которые известно, что они в активной эксплуатации). 🙈

Постараюсь по англоязычным блогопостам с видяшками вернуться в ежемесячный режим. 😇 Формат хоть и муторный, но полезный.

———

November 2023 – January 2024: New Vulristics Features, 3 Months of Microsoft Patch Tuesdays and Linux Patch Wednesdays, Year 2023 in Review

Hello everyone! It has been 3 months since the last episode. I spent most of this time improving my Vulristics project. So in this episode, let’s take a look at what’s been done.

Also, let’s take a look at the Microsoft Patch Tuesdays vulnerabilities, Linux Patch Wednesdays vulnerabilities and some other interesting vulnerabilities that have been released or updated in the last 3 months. Finally, I’d like to end this episode with a reflection on how my 2023 went and what I’d like to do in 2024.

New Vulristics Features
00:32 Vulristics JSON input and output
02:37 CPE-based vulnerable product names detection
04:16 CWE-based vulnerability type detection

3 Months of Vulnerabilities
07:03 Linux Patch Wednesday
11:22 Microsoft Patch Tuesdays
13:59 Other Vulnerabilities

16:14 About the results of 2023
18:45 What about 2024?

📘 Blogpost
🎞 VKVideo

@avleonovrus #Vulristics #PatchTuesday #LinuxPatchWednesday #SecurityNews #Video #Vulnerability #VulnerabilityManagement #ActiveMQ #ApacheStruts #ArbitraryFileWriting #AtlassianConfluence #AttackerKB #Chromium #CPE #CVE #CWE #Debian #DWM #Excel #exploit #Gitlab #html #HVCI #HyperV #IncorrectCalculation #json #Linux #Microsoft #music #NVD #OVAL #PathTraversal #Perl #PoC #Roundcube #Safari #SharePoint #SmartScreen #SQLite #Struts2 #SUSE #TheDFIRReport #UnRAR #VisualStudio #VMmap #WordPress

WordPress не отъедет? В сегодняшнем посте Алексея Лукацкого про новые американские санкции зацепился глазами за WordPress. Так как это меня самого касается. 🙂

"В частности, с 12 сентября 2024 года в Россию будут запрещены поставки:
...
услуг поддержки и облачные сервисы («IT support services and cloud-based services»)
...
для ПО, которое американцы называют «enterprise management software and design and manufacturing software».
...
Но проблема в том, что термин «enterprise management software«, упомянутый в новых санкциях очень широк и под него подпадает почти любое ПО, которое используется в корпоративном сегменте.
...
Кто-то к решениям класса EMS относит продукты CRM, ПО для e-mail-рассылок, CMS для поддержки и управления сайтами, ПО для управления проектами и, конечно, решения класса ERP.
...
Какой-нибудь WordPress, являющийся одной из самых популярных площадок для работы сайтов в Интернет, попадет ли под этот запрет?"

Имхо, расклад примерно такой (отсортировано по уменьшению вероятности):

🔻 Облачный WordPress (который на домене com), вполне вероятно, будет поблочен для России. Кажется, нужно оттуда спешно съезжать, если ещё нет.
🔻 Для CMS-ок на внешних хостингах могут перестать работать обновления. Вполне возможный расклад, т.к. разрабы в своём праве и могут отключать обновления как хотят. Например, просто фильтрацией по IP. Пользоваться WordPress без автоматических обновлений или обновлений в один клик вроде и можно, но муторно.
🔻 Для CMS-ок на внешних хостингах разрабы WordPress могут пропихнуть автоустанавливаемое зловредное обновление. Например, прокламацию на сайте разместят, заблокируют сайт или вайпнут сайт. Теоретически возможно, но пока выглядит маловероятным.

Т.к. мои сайты на WordPress на внешних хостингах это просто личные блоги, то пока не вижу причин дёргаться. Пока просто делаю бэкапы и неспешно думаю об альтернативах.

В идеале хотелось бы отечественный форк WordPress-а (благо он GNU GPL), с сопоставимым уровнем безопасности и удобства, на который можно было бы безболезненно перейти. Пусть даже и за денежку. Но пока я такой не наблюдаю. 🤷‍♂️

@avleonovrus #sanctions #WordPress

Про уязвимость Unauthenticated Elevation of Privilege - WordPress LiteSpeed Cache Plugin (CVE-2024-28000).

🔹 WordPress - это популярная CMS-ка (835 млн. сайтов) с открытым исходным кодом и поддержкой сторонних плагинов.

🔹 LiteSpeed Cache - один из таких плагинов. Он повышает скорость загрузки страниц сайта за счёт их кэширования. Бесплатная версия используется на 5 млн. сайтов.

13 августа стало известно о критичной уязвимости в этом плагине. Удалённый неаутентифицированный злоумышленник может получить права администратора. 😱 Согласно write-up-у, эксплуатации уязвимости сводится к подбору хеша, используемого для аутентификации. Этот хеш небезопасно генерируется, поэтому существует только миллион его возможных значений. Если делать 3 запроса к сайту в секунду, то перебор и получения прав админа занимает от нескольких часов до недели.

👾 На GitHub выложили PoC и злоумышленники уже активно эксплуатируют уязвимость.

Обновляйтесь до версии 6.4.1 и выше.

@avleonovrus #WordPress #LiteSpeedCache

Пара занятных подробностей по поводу Unauthenticated Elevation of Privilege - WordPress LiteSpeed Cache Plugin (CVE-2024-28000).

🔹 Уязвимость нашёл исследователь John Blackbourn и сдал её по программе багбаунти, получив $14400. То есть где-то 1.3 млн. рублей. Сумма за одну уязвимость, согласитесь, весьма приличная. 👏

🔹 Уязвимость не эксплуатируется на Windows инсталляциях, т.к. там отсутствует функция, которая необходима для генерации хэша. Так пишут во write-up-е. Правда не пишут, а как тогда вообще этот плагин на Windows инсталляциях работает и работает ли вообще. 🤔 Но если плагин работает и уязвимость не эксплуатируется, то получается иногда использовать Windows вместо Linux в качестве хостинга для вебсайтов это не такая уж странная затея. 🙃

@avleonovrus #WordPress #LiteSpeedCache

Августовский выпуск "В тренде VM": 5 уязвимостей в Microsoft Windows и одна в WordPress. Мы отпочковались от новостного выпуска Seclab-а и стали выходить отдельным роликом. Ура-ура! 🥳😎 Если будет достаточно просмотров, то продолжим выходить так и дальше. Тут от вас зависит, перейдите, пожалуйста, по ссылке на видеоплатформу и поставьте лайк и/или оставьте комментарий. 🥺

📹 Ролик "В тренде VM" на YouTube и VK Видео
🗞 Пост на Хабре, фактически это несколько расширенный сценарий рубрики "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT

Список уязвимостей:

🔻 00:48 Remote Code Execution - Windows Remote Desktop Licensing Service "MadLicense" (CVE-2024-38077)
🔻 02:22 Security Feature Bypass - Windows Mark of the Web "Copy2Pwn" (CVE-2024-38213)
🔻 03:23 Elevation of Privilege - Windows Ancillary Function Driver for WinSock (CVE-2024-38193), Windows Kernel (CVE-2024-38106), Windows Power Dependency Coordinator (CVE-2024-38107)
🔻 04:50 Unauthenticated Elevation of Privilege - WordPress LiteSpeed Cache Plugin (CVE-2024-28000)

@avleonovrus #втрендеVM #TrendVulns #PositiveTechnologies #Microsoft #Windows #MadLicense #RDP #RDL #MoTW #Copy2Pwn #ZDI #WebDAV #DarkGate #AFDsys #GenDigital #Lazarus #Fudmodule #WordPress #LiteSpeedCache

Про уязвимость SQL Injection - The Events Calendar plugin for WordPress (CVE-2024-8275). Этот плагин для WordPress CMS позволяет заводить странички мероприятий с возможностями поиска и фильтрации. Плагин используется на более чем 700 000 вебсайтов.

Плагин предлагает широкие возможности кастомизации, включая использование отдельных функций плагина в своём коде. В одной из таких функции, tribe_has_next_event(), была обнаружена SQL инъекция, которая позволяет неаутентифицированному злоумышленнику извлекать конфиденциальную информацию из базы данных веб-сайта. На GitHub доступен эксплоит.

❗️ Разработчики обращают внимание, что эта функция самим плагином не используется ("unused code"). Уязвимы будут только сайты, на которые вручную добавили вызов tribe_has_next_event().

Если у вас используется WordPress c плагином The Events Calendar, проверьте нет ли там какой-то хитрой кастомизации с использованием этой уязвимой функции и обновитесь до v.6.6.4.1 и выше.

@avleonovrus #WordPress #TheEventsCalendar

Сентябрьский выпуск "В тренде VM": 7 трендовых уязвимостей, фальшивая рекапча, ливанские пейджеры, годовые премии IT-шников. Начиная с этого месяца, мы решили несколько расширить тематику и увеличить длительность роликов. Я рассказываю не только про трендовые уязвимости сентября, но и про примеры использования социальной инженерии, эксплуатацию уязвимостей реального мира и практики процесса Управления Уязвимостями. В конце объявляем конкурс вопросов по Управлению Уязвимостями с подарками. 🎁

Этот эпизод мы сначала выпускаем на ВК Видео и RUTUBE. Ролик на YouTube появится ориентировочно на следующей неделе.

📹 Ролик "В тренде VM" на VK Видео и RUTUBE
🗞 Пост на Хабре на основе сценария ролика "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT

Содержание:

🔻 00:58 Elevation of Privilege - Windows Installer (CVE-2024-38014) и уточнения по этой уязвимости
🔻 02:49 Security Feature Bypass - Windows Mark of the Web "LNK Stomping" (CVE-2024-38217)
🔻 03:57 Spoofing - Windows MSHTML Platform (CVE-2024-43461)
🔻 05:14 Remote Code Execution - VMware vCenter (CVE-2024-38812)
🔻 06:27 Remote Code Execution - Veeam Backup & Replication (CVE-2024-40711), пока монтировали ролик появились данные об эксплуатации вживую
🔻 08:40 Cross Site Scripting - Roundcube Webmail (CVE-2024-37383)
🔻 09:38 SQL Injection - The Events Calendar plugin for WordPress (CVE-2024-8275)
🔻 10:40 Человеческие уязвимости: фальшивая reCAPTCHA
🔻 11:57 Уязвимости реального мира: взрывы пейджеров и других электронных устройств в Ливане, последствия для всего мира
🔻 14:53 Практики процесса управления уязвимостями: привязать годовые премии IT-специалистов к выполнению SLA по устранению уязвимостей
🔻 16:10 Финал и объявление конкурса
🔻 16:31 Бэкстейдж

@avleonovrus #втрендеVM #TrendVulns #PositiveTechnologies #Microsoft #WindowsInstaller #SECConsult #msiscan #MSI #LNKStomping #MotW #MSHTML #ZDI #VoidBanshee #DCERPC #VMware #vCenter #Veeam #Backup #Replication #CODEWHITE #watchTowrLabs #Sophos #Akira #Fog #Roundcube #WordPress #TheEventsCalendar #reCAPTCHA #Phishing #HumanVM #pager #GoldApollo #AR924 #ICOM #ICV82 #smartphone #VMprocess #PTVMcourse #Remediation #SLA