Эксплуатация трендовой RCE уязвимости в Outlook (CVE-2024-21378) с помощью утилиты Ruler работает! В статье на хабре по трендовым уязвимостям марта я писал буквально следующее:

"Кроме того, исследователи обещают добавить функциональность по эксплуатации в опенсорсную утилиту Ruler.
Ruler — это инструмент, который позволяет удаленно взаимодействовать с серверами Exchange через протокол MAPI/HTTP или RPC/HTTP.
Основная задача утилиты — злоупотреблять клиентскими функциями Outlook и получать удаленный шелл.
Эта утилита используется для проведения пентестов. Но разумеется, ее могут эксплуатировать в своих атаках и злоумышленники."

И вот эту функциональность добавили. А коллеги из PT SWARM её протестировали. Работает. 🔥 📐📏
Ждём сообщений об эксплуатации вживую. 😈

В видяшке я балуюсь с нейросеточкой от SUNO AI, которая генерит песню по любому тексту и описанию стиля меньше чем за минуту. 😇 Не обязательно по зарифмованному тексту, вот например абсолютно генеальный трек по рецепту шашлыка в аджике. 😅 Вот ещё песня Винни-Пуха крутая. Или вот "Встань, страх преодолей" в стиле блюз, это я сам генерил. 🙂 В день можно запускать 5 бесплатных генераций. С российских IP сервис иногда не работает. 🤷‍♂️

Как мы предполагали,
И как NetSPI писали,
Они закантрибьютили
В Ruler свой эксплоит.
(RCE в Outlook)

PT SWARM всё проверил –
Pаботает, как надо.
No back connect required!
Для Outlook вектор надежный и простой.

Но ты услышав это не паникуй не плач
Заставь айтишников поставить патч!

Outlook запатчить не такая канитель
Ведь патч февральский, а сейчас апрель.

Пока в вашу инфру не влез злодей...

@avleonovrus #Microsoft #PatchTuesday #Outlook #NetSPI #Ruler #TrendVulns #втрендеVM #поёмCVE #fun #music

Эксплуатируемая вживую уязвимость Remote Code Execution - Palo Alto Networks PAN-OS (CVE-2024-3400) с CVSS 10/10. Продолжаю играться с музыкальной подачей. 😅

RCE в NGFW от Palo Alto...
Максимальная критичность и атаки in the wild...

Palo Alto шлёт горячий пятничный привет
Инъекция команды в фиче GlobalProtect
Без аутентификации и без хлопот
Злодей исполнит от root-а произвольный код

(chorus)
RCE в файрволе от Пальто
Реальное Next Generation решето
CVSS десятка - опять!
Давно пора его импортозамещать!

Согласно ShadowServer в России в данный момент
600 хостов с Palo Alto доступно из Интернет
На общем фоне немного, это да
Но ты проверь своё пальто, чтоб не случилась беда

Хорошего уикенда, планета Земля!
Удачи с фиксом CVE-2024-3400!

Уязвимые версии:
🔹 PAN-OS 11.1: версии < 11.1.2-h3
🔹 PAN-OS 11.0: версии < 11.0.4-h1
🔹 PAN-OS 10.2: версии < 10.2.9-h1

Upd. 15.04 "Исправления PAN-OS теперь доступны, и на подходе новые исправления, разъяснены workaround-ы и меры по снижению рисков при использовании шаблонов Panorama".

@avleonovrus #PaloAlto #PANOS #TrendVulns #втрендеVM #поёмCVE #fun #music

Новый трек про потенциальную апрельскую zero-click RCE уязвимость в Telegram. 🙂 Рифмованная переработка предыдущего поста.

На прошлой неделе разыгралась драма:
Якобы zero-click RCE в Windows клиенте Телеграма.
Злодей засылает картинку тебе, друже,
И запускает калькулятор или что похуже.
Или даже не конкретно тебе, не столь важен адресат,
Это может быть и какой-нибудь общий чат.
Главное, включенная автозагрузка изображений.
Неужели правда?! Есть несколько мнений.

Разрабы Телеграма отрицают фаталити.
Есть что показать? Шлите на bug bounty!
За 10к баксов. Верить ли видео? Решай сам.
Вполне может быть и какой-то скам.

Однако, как по мне, это видео реальное,
Хотя и ситуация не такая фатальная.
Это не zero-click, а запускает зловреда тушку
Беспечный клик жертвы на превьюшку.
Этот клик запускает файл .pyzw,
Если не знаешь что это, сейчас поясню.
Исполняемый zip-архив с программой на Питон.
Запускать такое по клику в мессенджере - страшный сон.
И Телеграм такое должен бы блокировать вроде
Если бы не досадная опечатка в коде...

Но почему это файл показывается как картинка?
Похоже наложилась в детeкте по Mime-type ошибка.

Короче, по в вопросу zero-click RCE в Telegram ставим пока многоточие...
А ты подпишись на канал avleonovrus "Управление Уязвимостями и прочее". 😉

@avleonovrus #Telegram #RCE #pyzw #Python #поёмCVE #fun #music

Выпустил базированный трек про Vulnerability Management. 🙂 Это на основе поста "На что похожа работа специалиста по Управлению Уязвимостями".

[verse]
В ИБшном департаменте есть специалист,
Чей рабочий путь опасен и тернист.
В IT, разрабах, бизнесе ему никто не рад.
Его задача изменить привычный всем расклад.

[chorus]
Конкретен как сигнал "Внимание Всем"!
Это норма! Это база! Это VM! Это VM!
Конкретен как сигнал "Внимание Всем"!
Это норма! Это база! Это VM! Это VM!

[verse]
На обсуждениях патчинга стоит ажиотаж:
Скепсис, обвинения и скрытый саботаж.
"Мы обновить не можем", лукавят хитрецы.
А в случае инцидента - "мы ж не знали, не спецы".

[chorus]
На ропот наш ответ - "Внимание Всем"!
Это норма! Это база! Это VM! Это VM!
Включаем наш сигнал "Внимание Всем"!
Наша норма! Наша база! Это VM! Это VM!

@avleonovrus #поёмCVE #VMprocess #fun #music

Сделал трек для прошлогодней темы - концепту визуальной новеллы про Vulnerability Management. 🙂

"Свеженанятый VM-щик Олег Игнатов взялся за анализ безопасности сетевого периметра и зашёл проконсультироваться к Светлане Надеждиной, руководителю департамента IT.

На всякий случай Disclaimer. Все персонажи, события и конфигурации являются вымышленными, любые совпадения случайны. То, что говорит Светлана, это фантазия на тему типичного периметра типичной организации."

Светлана Надеждина:

С сетевым периметром всё как бы просто, но не совсем...
В основном хостим в нашем датацентре, но и в облаках есть часть систем.
С одних облаков мы съезжаем достаточно срочно.
Другие мы тестим, чтоб в них заехать. Почти выбрали, но это не точно.

Часть проектов поднимали когда-то подрядчики на разных хостингах VPS,
А мы к ним только вязали домены. Что там живо не знаю, там лютый замес.
Часть web-сайтов самописные, часть на CMS-ках делали,
Часть за Anti-DDoS-ом, часть за WAF-ом, часть просто так торчит - мы смелые.

То, что хостится у нас проходит через балансеров цепочку.
Куда в итоге запросы летят в конфигах читай - там свои заморочки.
Чаще в Docker-контейнеры в Kubernetes или на виртуалке,
Могут без контейнера на виртуалке развернуть - им хватит наглости и смекалки.

Корпоративные сервисы наружу торчат, без них никак:
VPN, мессенджер, файлопомойка, почтовый сервак.
Сетевые устройства всякие. Мы всё на wiki описываем, когда время есть.
Но там, конечно, не всё актуально - это нужно учесть.

А ещё у нас 5 филиалов и мелкие компании, купленные за кэш.
Вроде наши, а вроде автономны - наверняка там тоже тот ещё трэш.
А ещё сотрудники-удалёнщики со своих компов - таких где-то треть.
Это тоже сетевой периметр, или нет? Тут ведь как посмотреть.

Ну вот как-то так. Ты, Олег, главное не переживай.
Со временем разберёшься. А пока что, бывай!

@avleonovrus #fun #anime #game #education #VMprocess #EverlastingVM #perimeter #music #поёмCVE

Докажи - покажи! Сгенерил трек в Suno про популярный способ саботажа Vulnerability Management процесса. Который в итоге приводит к утечкам данных и пошифрованной инфре. 🤷‍♂️ В этот раз схалтурил, так что без рифм. 🙂 Кидайте вашим IT-шникам, если заметили, что они с вами в докажи-покажи начали играть. 😉

Мы уже исправили уязвимость, это сканер наверное фолсит. Да мы уже запатчили всё. Это сканер наверное фолсит... Мы уверены в том, что ваш сканер всё время фолсит. А тыыыы...

Докажи - покажи! Докажи - покажи! Докажи нам! Давай - давай!

ОК, уязвимость действительно есть. Да, похоже, уязвимость действительно есть. Но она не эксплуатабельна! Точно, она не эксплуатабельна! Сто пудов не эксплуатабельна! А тыыыы...

Докажи - покажи! Докажи - покажи! Докажи нам! Давай - давай!

Ок, уязвимость в принципе эксплуатабельна. Вроде да, она эксплуатабельна. Но только не у нас! Нет, точно не у нас! Только не в нашей инфре! А тыыыы...

Докажи - покажи! Докажи - покажи! Докажи нам! Давай - давай!

Ок, в нашей инфре эксплуатабельна. Доказали, и в нашей инфре эксплуатабельна. Но это некритичный хост! Даже если сломают - не страшно! Мы точно считаем - не страшно! А тыыыы...

Докажи - покажи! Докажи - покажи! Докажи нам! Давай - давай!

Ладно - ладно, сломают - будет плохо. Потратил кучу времени и сил, и нам доказал, будет плохо. Ты молодец, мы уязвимость эту исправим. Конкретно эту уязвимость исправим. А в остальном ваш сканер наверное фолсит... Так что даваай!

Докажи - покажи! Докажи - покажи! Докажи нам! Давай - давай!

@avleonovrus #exploitability #VMprocess #fun #music #поёмCVE

Сгенерил в Suno трек про PHDays 2 - Позитивные Дни. 🙂 Футажи взял из трансляций и выложенных роликов в youtube-канале Positive Events.

Никогда не думал, что буду готов
Выступать перед зрителями на арене Лужников.
И я не про спорт или музыку, вовсе нет:
Мы вещаем со сцены ИБэшный контент.

Второй кибер-фестиваль зажигает огни...
Это PHDays 2, позитивные дни!
Позитивные дни! Позитивные дни!
То самое место, где мы не одни.
Это PHDays 2, позитивные дни!
Позитивные дни! Позитивные дни!

Мы снова здесь все вместе без деления на нации
Излучаем в пространство позитивные вибрации.
Мы здесь всем миром развиваем ИБ культуру,
Чтоб не было жестоко к нам Mirabile Futurum

Второй кибер-фестиваль зажигает огни...
Это PHDays 2, позитивные дни!
Позитивные дни! Позитивные дни!
То самое место, где мы не одни.
Конец мая, Москва, позитивные дни!
Позитивные дни! Позитивные дни!

🔹 Позитивные вибрации - отсылка к "Positive Vibration" Боб Мали и The Wailers, которая когда-то давно была практически неофициальным гимном PT. 😅
🔹 Mirabile Futurum - отсылка к каверу "Прекрасное далёко" на латыни.

@avleonovrus #phd2024 #phd2 #phdays #event #fun #music #поёмCVE

Не удержался, побаловался с Suno - встречайте трек "Непреодолимые силы". 😅 В стиле "happy hardcore, rave, techno, house, trance". Все персонажи и события вымышлены, любые совпадения случайны. 😉

Мы выполнили все требования действующего
законодательства по обеспечению кибербезопасности
Все требования действующего законодательства.
Мы их честно выполнили.

А тут...

Припев:
Непреодолимые силы...
Непреодолимые силы...
Непреодолимые силы...
Непреодолимые!

Мы имеем соответствующие лицензии и сертификаты.
Все лицензии и все сертификаты.
И лицензии, и сертификаты.
Они всем соответствуют. И мы их имеем.

Но тут...

[припев]

Вопреки всем принятым мерам безопасности
Злоумышленники получили неправомерный доступ.
Неправомерный доступ. Вопреки всему.
Они получили. Вопреки лицензиям. И сертификатам.

Такие вот...

[припев]

Они зашифровали собственным программным обеспечением всю имеющуюся информацию.
Своим собственным программным обеспечением.
Они принесли его сами. Какие нахалы!
И данные клиентов пошифровали в наших облаках.

Мы тут ни при чём!

[припев]

@avleonovrus #fun #incident #ransomware #music #поёмCVE

Трек про "regreSSHion" RCE от root-а в OpenSSH (CVE-2024-6387). 🙂 Трек сгенерировал в сервисе Suno.

(regreSSHion! regreSSHion!)
В OpenSSH CVE-2024-6387.
Удалённое выполнение произвольного кода без аутентификации от root-а - опасность понятна всем.

Это не шутка,
Звучит достаточно жутко.
(regreSSHion! regreSSHion!)

Уязвимость нашли эксперты компании Qualys.
И написали подробный write-up, как они на эту уязвимость напоролись.

Эта уязвимость - регресс старой уязвимости CVE-2006-5051 ранее исправленной.
Для неё признаков эксплуатации вживую и эксплоитов так и не было представлено.

Регресс произошёл в октябре, 2020 год,
Когда случился на версию OpenSSH 8.5p1 переход.

Уязвимы "glibc-based Linux systems" в конфигурации по умолчанию,
А OpenBSD не подвержена, согласно описанию.

Насколько это критично? Расклад таков:
В Интернете 14 миллионов потенциально уязвимых хостов.

Это не шутка,
Звучит достаточно жутко.
(Regression! Regression!)

Qualys обещают exploit не публиковать ибо
Злоумышленники начнут атаки - и на том спасибо!

Но весьма вероятно, что эксплоит напишут другие нахрапом.
Им хватит и публичного подробного write-up-а.

Но возможно, что атак не будет, а всё это просто пиар:
6-8 часов занимает атака на 32-битную Linux систему с ASLR.

Но, чтобы отбросить сомнения,
Лучше обновиться и мониторить попытки подключения.

Запатчи уязвимости на зло врагам
И подпишись на avleonovrus "Управление Уязвимостями и прочее" в Телеграм!

MP3 файл

Upd. Судя по реакциям, трек получился неоднозначный. 😅 Согласен, с первого раза на слух воспринимается тяжело. Учту на будущее, что рифмовать нужно тщательнее и грайм не очень подходит для подобных треков, лучше что-то поспокойнее. Но сам трек пусть остаётся, если отслеживать текст в видяшке, то вроде вполне норм. 😉

@avleonovrus #fun #music #поёмCVE #OpenSSH #Qualys #regreSSHion

ТОП 5 CVE, которые чаще других эксплуатировались пентестерами Positive Technologies в 2023 году. Отчёт вышел 2 июля.

Список уязвимостей:

🔻 Remote Code Execution - Microsoft Exchange "ProxyNotShell" (CVE-2022-41040, CVE-2022-41080, CVE-2022-41082)
🔻 Remote Code Execution - Bitrix Site Manager "PollsVotes" (CVE-2022-27228)
🔻 Elevation of Privilege - Polkit "PwnKit" (CVE-2021-4034)

Дальше в рифмованном виде. 😉 Трек сгенерировал в Suno.

---

По пентестам за прошедший год отчёт
Вышел у Позитивов.
Каждый кто его прочтёт,
Увидит, что там всё красиво.
28 проектов, есть что показать.
Статистика и результаты.
Умеют защищать и умеют ломать -
Молодцы ребята!
(Молодцы ребята!)

К отчёту они подошли всерьёз.
Ознакомьтесь без спешки!
Но у меня всегда один вопрос:
Где там CVE-шки?
(Где там CVE-шки?)

По отчёту уязвимости не сложно сосчитать.
Их совсем немного. Их конкретно пять.

Топ пять критичных уязвимостей.
Эксплуатируют их чаще всего в ходе пентестов.
Ужас пробирает до костей,
Когда видишь их в инфре: им не должно быть места!
Давно известны они все,
И что опасны они никто не возразит:
PollsVotes в Битриксе,
ProxyNotShell в Эксчендже,
А на Linux-ах PwnKit.

Самый популярный почтовый сервак
MS Exchange - лакомая цель любых атак.
3 уязвимости ProxyNotShell - по сути одна
Remote Code Execution. Опасность наглядно видна.

Bitrix Site Manager - популярная в России CMS.
И к тому же отечественная. Импортозамeс!
RCE в модуле "Опросы, голосования" -
Причина массовых дефейсов и для атак на инфру основание.

Ну а если злоумышленник
На Linux хост проник
И там спокойно сидит,
Нет надёжнее стратегии,
Чем поднять до root-a привилегии
Через уязвимость Polkit, PwnKit.

Топ пять критичных уязвимостей.
Эксплуатируют их чаще всего в ходе пентестов.
Ужас пробирает до костей,
Когда видишь их в инфре: им не должно быть места!
Давно известны они все,
И что опасны они никто не возразит:
PollsVotes в Битриксе,
ProxyNotShell в Эксчендже,
А на Linux-ах PwnKit.

Это были результаты за 2023 год.
Что за тренды нам текущий год принесёт?
Кто подаст надёжный патчиться сигнал?
Подпишись на @avleonovrus "Управление Уязвимостями и прочее", Telegram канал.

MP3 файл

@avleonovrus #поёмCVE #fun #music #PositiveTechnologies #pentest #Microsoft #Exchange #ProxyNotShell #Bitrix #BitrixSiteManager #PollsVotes #Polkit #PwnKit #Linux

No Boot - No Hacker! Обновлённый трек. Кажется кейс с инцидентом CrowdStrike BSODStrike подходит к логическому завершению. По причинам уже всё более-менее понятно. Остались только долгие судебные тяжбы клиентов с вендором. Поэтому закрываю для себя эту тему обновлённым треком, сделанным в Suno.

Добавил свою позицию, что дело не столько в проблемах конкретной компании, сколько в проблемах облачных ИБ сервисов с агентами, архитектура которых уязвима, и которым клиенты слишком доверяют. 🤷‍♂️ Замалчивать это мне не кажется правильным, нужно пытаться хоть как-то это компенсировать. Следует понимать, что сейчас был всего лишь небольшой и относительно безобидный сбой, но когда-нибудь мы увидим кейс с полномасштабной атакой злоумышленников через облачного вендора. И, как мне кажется, в настоящий момент онпрем решения имеют свои преимущества.

CrowdStrike - это успех!
Поверь мне, это так.
Защищает он лучше всех
От любых кибератак.
Проактивный подход,
Секретное оружие:
Не справится хакер,
Если ОСь не загружена!

Припев:
Синий экран отражает атаки!
No boot - No Hacker!
No boot - No Hacker!

CrowdStrike работает по лучшей из схем,
С которой не может быть никаких проблем!
На ваших хостах Falcon сенсоры. Их привилегии максимальны.
А CrowdStrike управляют ими из своих облаков. И это нормально!
(Якобы...)
Команда CrowdStrike даже ночью не спит,
Автоматом заливает вам Rapid Response Content "at operational speed".
(Когда захочет...)

И если вам кажется, что всё это как-то страшновато,
Не переживайте: CrowdStrike пропускает контент через валидатор!
(Великий ВАЛИДАТОР!)

Не работает биржа, не летают самолёты - это всё детали...
Всего лишь маленький баг в апдейтах, злодеи через вендора вас не атаковали...
(Пока что...)
За полтора часа сломать 8.5 миллионов хостов - задача нелегка...
С таким не справится устаревший онпрем, для такого нужны облака...

А если серьёзно... В 22-ом CrowdStrike из России ушёл...
И, как по мне, это очень, очень, ну просто ооочень хорошо!

MP3 файл

@avleonovrus #fun #music #поёмCVE #CrowdStrike #BSODStrike #Microsoft #Windows #CloudAgent #SecurityContent #Detection #onprem