Ребята из Guardicore разобрали уязвимость прошлого четверга (CVE-2020-3952) в VMware vCenter 6.7, которая позволяет получить доступ к vCenter с помощью создания привелигированного пользователя VMware. Проблема кроится в службе каталогов VMware Directory Service (vmdir).
В материале описан полный цикл эксплуатации CVE-2020-3952, а также приложен свеженький POC.
Уязвимы vCenter Server 6.7, которые были обновлены с 6.0 или 6.5. Установленный с нуля 6.7 уязвимости не подвержен.
> https://www.guardicore.com/2020/04/pwning-vmware-vcenter-cve-2020-3952/
> https://www.vmware.com/security/advisories/VMSA-2020-0006.html
В материале описан полный цикл эксплуатации CVE-2020-3952, а также приложен свеженький POC.
Уязвимы vCenter Server 6.7, которые были обновлены с 6.0 или 6.5. Установленный с нуля 6.7 уязвимости не подвержен.
> https://www.guardicore.com/2020/04/pwning-vmware-vcenter-cve-2020-3952/
> https://www.vmware.com/security/advisories/VMSA-2020-0006.html
Akamai
Cloud Computing, Security, Content Delivery (CDN) | Akamai
Akamai Connected Cloud is a massively distributed edge and cloud platform that keeps experiences closer to users — and threats farther away.
Материал про использование последовательностей ANSI/VT для обмана терминала
$
$
echo -e '#!/bin/sh\n\necho "evil!"\nexit 0\n\033[2Aecho "Hello World!"\n' > script.sh
$ chmod 700 script.sh
$ cat script.sh
$ ./script.sh
https://www.infosecmatter.com/terminal-escape-injection/InfosecMatter
Terminal Escape Injection - InfosecMatter
Terminal escape injection vulnerability (ANSI/VT escapse sequences) can result into arbitrary command execution (ACE) on every modern system including Windows, Linux or Mac OS.
Если вдруг кто-то прямо сейчас думает или уже готовится к сдаче OSCP и ему не хватает немного уверенности (бывает хочется помучить коллегу или где-нибудь почитать об успешных кейсах, чтобы добавить себе уверенности), так вот на хабре появился неплохой пост о пути к сдаче OSCP, подготовке к нему, и наконец успешной сдаче.
> https://habr.com/ru/company/acribia/blog/497806/
> https://habr.com/ru/company/acribia/blog/497806/
Хабр
Как я сдавал OSCP
Мы с коллегами прошли курс OSCP и сдали экзамен. В этой статье я подробно расскажу, как проходит экзамен, какие подводные камни и стоит ли игра свеч вообще. С чего всё началось Мой коллега c4n...
Ребята в прямом эфире рассказывают про атаки на интерфейс USB. Отличный вариант разнообразить воскресенье 🙂
https://www.youtube.com/watch?v=0bMxAdq1adc
https://www.youtube.com/watch?v=0bMxAdq1adc
YouTube
[Мастер-класс] Практические атаки на интерфейс USB
Через обычный USB-интерфейс можно делать необычные вещи. Мы разберем практические способы анализа USB-протоколов, железо и софт для отладки USB, а также специализированные инструменты для атак.
План мероприятия: https://github.com/xairy/hardware-village…
План мероприятия: https://github.com/xairy/hardware-village…
Небольшое исследование на тему популярности security.txt спустя 3 года после его появления.
Кто не в курсе это .well-known файл, позволяющий в кратчайшие сроки найти способ связаться с службой ИБ исследуемого домена для обсуждения вопросиков.
Если коротко — пока все плохо, но постепенно ситуация начинает улучшаться. Исследователь проанализировал около миллиона сайтов на предмет наличия security.txt, включая различные поля и, например, на топ 1000 сайтов приходится только 10% соответствующих.
https://community.turgensec.com/security-txt-progress-in-ethical-security-research/
Понятно, что на сегодняшний день security.txt не успел стать стандартом со всеми вытекающими и еще находится на стадии интернет-проекта, но ничего не мешает уже сейчас делать интернет чуточку безопаснее и прозрачнее.
Короче JUST DO IT > https://securitytxt.org/
Кто не в курсе это .well-known файл, позволяющий в кратчайшие сроки найти способ связаться с службой ИБ исследуемого домена для обсуждения вопросиков.
Если коротко — пока все плохо, но постепенно ситуация начинает улучшаться. Исследователь проанализировал около миллиона сайтов на предмет наличия security.txt, включая различные поля и, например, на топ 1000 сайтов приходится только 10% соответствующих.
https://community.turgensec.com/security-txt-progress-in-ethical-security-research/
Понятно, что на сегодняшний день security.txt не успел стать стандартом со всеми вытекающими и еще находится на стадии интернет-проекта, но ничего не мешает уже сейчас делать интернет чуточку безопаснее и прозрачнее.
Короче JUST DO IT > https://securitytxt.org/
Есть такой проект OSS-Fuzz от Google, платформа непрерывного фазинга, куда Google приглашает проекты с открытым исходном кодом и позволяет искать уязвимости, баги и сообщать о них непосредственно разработчикам.
С момента запуска OSS-Fuzz найдены тысячи уязвимостей, и их количество только увеличивается, естественно многие из них даже не имеют никакого CVE идентификатора, и лишь сотни из них по-настоящему исправляются, большинством никто даже не занимается. Проблема усложняется тем, что для категоризации работы OSS-Fuzz требуется слишком много ресурсов: не все найденные проблемы опасны, и не на все в результате получат CVE и какие-либо исправления.
Этот вопрос сообществу еще предстоит решить, но для проблем, на которые все же обратили внимание, и они стали публичными, есть рекомендации по исправлению.
Короче, ребята из Vulners анонсировали, что интегрировали OSS-Fuzz и теперь можно проверять конкретные версии используемых в разработке пакетов/библиотек на наличие в них известных проблем с безопасностью.
https://vulners.blog/2020/04/17/ossfuzz-from-vulners/
С момента запуска OSS-Fuzz найдены тысячи уязвимостей, и их количество только увеличивается, естественно многие из них даже не имеют никакого CVE идентификатора, и лишь сотни из них по-настоящему исправляются, большинством никто даже не занимается. Проблема усложняется тем, что для категоризации работы OSS-Fuzz требуется слишком много ресурсов: не все найденные проблемы опасны, и не на все в результате получат CVE и какие-либо исправления.
Этот вопрос сообществу еще предстоит решить, но для проблем, на которые все же обратили внимание, и они стали публичными, есть рекомендации по исправлению.
Короче, ребята из Vulners анонсировали, что интегрировали OSS-Fuzz и теперь можно проверять конкретные версии используемых в разработке пакетов/библиотек на наличие в них известных проблем с безопасностью.
https://vulners.blog/2020/04/17/ossfuzz-from-vulners/
Очень красивый бесплатный курс по OWASP Top 10 с элементами геймификации.
https://application.security/free-application-security-training
https://application.security/free-application-security-training
Kontra
Application Security Training For Developers | Kontra
Kontra is an Application Security Training platform built for modern development teams.
Для любителей пострелять по своим веб-сервисам и приложениям делюсь своей подборкой средств для нагрузочного и стресс-тестирования.
Каждый инструмент имеет свои плюсы и минусы, и честно признаться не с каждым мне удалось поработать, поэтому рекомендовать что-то конкретное сложно, но когда есть выбор каждый может найти себе инструмент под необходимую задачу :)
https://yandex.ru/dev/tank/ [Tool | Free]
https://jmeter.apache.org/ [Tool | Free]
http://tsung.erlang-projects.org/ [Tool | Free]
https://gatling.io/ [Tool | Free/$]
https://k6.io/ [Tool | Free/SaaS]
https://locust.io/ [Tool | Free]
https://loader.io/ [SaaS | Free/$]
https://artillery.io [Tool | Free/$]
https://github.com/wg/wrk [Tool | Free]
Каждый инструмент имеет свои плюсы и минусы, и честно признаться не с каждым мне удалось поработать, поэтому рекомендовать что-то конкретное сложно, но когда есть выбор каждый может найти себе инструмент под необходимую задачу :)
https://yandex.ru/dev/tank/ [Tool | Free]
https://jmeter.apache.org/ [Tool | Free]
http://tsung.erlang-projects.org/ [Tool | Free]
https://gatling.io/ [Tool | Free/$]
https://k6.io/ [Tool | Free/SaaS]
https://locust.io/ [Tool | Free]
https://loader.io/ [SaaS | Free/$]
https://artillery.io [Tool | Free/$]
https://github.com/wg/wrk [Tool | Free]
Хм. Ресурс ZecOps опубликовал информацию о найденных уязвимостях в iOS, позволяющих с помощью отправки письма выполнить удаленное выполнение кода на устройстве жертвы. Атаке подвержены только пользователи, работающие с почтой через стандартный почтовый клиент на iOS. Проблема кроется в реализация функции MFMutableData в библиотеке MIME, которая приводит к переполнению буфера кучи.
Забавно, но как заверяют авторы материала, одна из уязвимостей предположительно эксплуатируется начиная с января 2018 еще с iOS 11.2.2 и по сей день, включая iOS 13.4.1.
Есть патч, но пока в формате бета-версии iOS 13.4.5.
Ну и как это обычно бывает на iOS, сами по себе найденные проблемы причинить вред пользователям iOS не могут т.к для получения полного доступа к устройству жертвы потребуется дополнительная ошибка в ядре и утечка информации.
Подробности: https://blog.zecops.com/vulnerabilities/unassisted-ios-attacks-via-mobilemail-maild-in-the-wild/
Забавно, но как заверяют авторы материала, одна из уязвимостей предположительно эксплуатируется начиная с января 2018 еще с iOS 11.2.2 и по сей день, включая iOS 13.4.1.
Есть патч, но пока в формате бета-версии iOS 13.4.5.
Ну и как это обычно бывает на iOS, сами по себе найденные проблемы причинить вред пользователям iOS не могут т.к для получения полного доступа к устройству жертвы потребуется дополнительная ошибка в ядре и утечка информации.
Подробности: https://blog.zecops.com/vulnerabilities/unassisted-ios-attacks-via-mobilemail-maild-in-the-wild/
wstg-v4.1.pdf
9.2 MB
OWASP спустя 6 лет (только вдумайтесь где был вебчик 6 лет назад и сейчас!) наконец обновило свое руководство по тестированию безопасности веб-приложений — OWASP Web Security Testing Guide v4.1.
Из основного — обновили внешний вид, добавили несколько новых разделов и уже набросали план для будущей 5 версии документа. Правда несмотря на то, что сейчас документ неплохо обновили, фундаментальных изменений все таки стоит ждать только в следующей версии руководства.
https://owasp.org/www-project-web-security-testing-guide/
Из основного — обновили внешний вид, добавили несколько новых разделов и уже набросали план для будущей 5 версии документа. Правда несмотря на то, что сейчас документ неплохо обновили, фундаментальных изменений все таки стоит ждать только в следующей версии руководства.
https://owasp.org/www-project-web-security-testing-guide/
Russian-Security-CISO-Benchmark-Report_2020.pdf
16.5 MB
Компания Cisco опросила руководителей ИБ и ИТ в различных индустриях по всему миру и выпустила отчет с текущими тенденциями, рекомендациями и прогнозами на 2020 год.
Технической информации не ждите, отчет построен на базе ответов CISO, поэтому присутствует очень много бизнес-аналитики, рассуждений на тему эффективности ИБ и минимизации рисков.
В целом проблема актуальная и интересная, руководитель службы не всегда способен доносить и адаптировать свои идеи руководству, отсюда и проблема с ценностью ИБ в организациях, которая вроде как и не нужна, лучше мы нормального админа возьмем, который все настроит.
Интересно, если бы опрашивали исключительно российских CISO, такой отчет получилось бы сделать?
Технической информации не ждите, отчет построен на базе ответов CISO, поэтому присутствует очень много бизнес-аналитики, рассуждений на тему эффективности ИБ и минимизации рисков.
В целом проблема актуальная и интересная, руководитель службы не всегда способен доносить и адаптировать свои идеи руководству, отсюда и проблема с ценностью ИБ в организациях, которая вроде как и не нужна, лучше мы нормального админа возьмем, который все настроит.
Интересно, если бы опрашивали исключительно российских CISO, такой отчет получилось бы сделать?
Ребята из Positive Technologies прямо сейчас рассказывают про внутрянку PHDays, и в частности про то, как изнутри устроен Standoff.
https://www.youtube.com/watch?v=0T6WI1Jbm9A
https://www.youtube.com/watch?v=0T6WI1Jbm9A
Все мы любим свеженькие Proof of Concepts, но часто ли мы проверяем их код перед эксплуатацией, хотя бы бегло?
Очень увлекательный материал, где исследователь выложил на GitHub несколько "фейковых" PoC под разные CVE, которые при эксплуатации во время полезной нагрузки отбивали на его C&C-Honeypot, и возвращали ответ, создавая иллюзию, что эксплуатируемый находится на уязвимом хосте.
Какого было удивление, когда интерес к PoC на GitHub начал распространяться по всему интернету, а на Honeypot посыпались первые данные. Понятно, что сработало это не для всех, но ситуация очень забавная и лишний раз демонстрирует неосторожность и некомпетентность многих представителей разноцветных шляп.
https://medium.com/@curtbraz/exploiting-the-exploiters-46fd0d620fd8
Очень увлекательный материал, где исследователь выложил на GitHub несколько "фейковых" PoC под разные CVE, которые при эксплуатации во время полезной нагрузки отбивали на его C&C-Honeypot, и возвращали ответ, создавая иллюзию, что эксплуатируемый находится на уязвимом хосте.
Какого было удивление, когда интерес к PoC на GitHub начал распространяться по всему интернету, а на Honeypot посыпались первые данные. Понятно, что сработало это не для всех, но ситуация очень забавная и лишний раз демонстрирует неосторожность и некомпетентность многих представителей разноцветных шляп.
https://medium.com/@curtbraz/exploiting-the-exploiters-46fd0d620fd8
Medium
Honeysploit: Exploiting the Exploiters
A Case for Always Checking Source
На экзамены Palo Alto PCCSA, PCNSA и PCNSE сейчас действует скидка в 50% по промокодам PANWOP50 (для нескольких экзаменов) и PANW50WEB (для одного).
Экзамен нужно запланировать до 30 июня, а сдавать можно онлайн дома при наличии камеры и микрофона, правда придется поставить еще спец. ПО, которое позволит экзаменаторам убедиться, что вы честны.
Особые умельцы сообщают, что коды можно суммировать и тем самым получить один полностью бесплатный экзамен. Стоимость PCNSE, например, составляет 160$.
https://www.paloaltonetworks.com/services/education/certification
Экзамен нужно запланировать до 30 июня, а сдавать можно онлайн дома при наличии камеры и микрофона, правда придется поставить еще спец. ПО, которое позволит экзаменаторам убедиться, что вы честны.
Особые умельцы сообщают, что коды можно суммировать и тем самым получить один полностью бесплатный экзамен. Стоимость PCNSE, например, составляет 160$.
https://www.paloaltonetworks.com/services/education/certification
Palo Alto Networks
Education Services
Expand your knowledge and skills with a wealth of world-class training, certification and accreditation, including digital learning options. Strengthen the security of your networks, endpoints and clouds, get more out of your security investments, and increase…
GitHub на своей онлайн-конференции Satellite анонсировали несколько интересных нововведений.
1. Функция сканирования кода на базе CodeQL теперь может быть включена по-умолчанию, но только для открытых репозиториев.
2. Сканирование секретов (чувствительной информации) стало доступно для частных репозиториев.
3. Анонсировали GitHub Private Instances, сервис для корпоративных клиентов, позволяющий запускать инстансы GitHub у себя в частном облаке, включающие расширенные требования безопасности и комплайнса. Цен еще нет.
4. Показали бета-версию своей IDE для совместной разработки, основанную на Visual Studio Code Online - GitHub Codespaces. Пока бесплатно.
5. Анонсировали новый раздел GitHub Discussions.
Описание всех фич: https://github.blog/2020-05-06-new-from-satellite-2020-github-codespaces-github-discussions-securing-code-in-private-repositories-and-more/
Полная запись выступлений: https://githubsatellite.com/
1. Функция сканирования кода на базе CodeQL теперь может быть включена по-умолчанию, но только для открытых репозиториев.
2. Сканирование секретов (чувствительной информации) стало доступно для частных репозиториев.
3. Анонсировали GitHub Private Instances, сервис для корпоративных клиентов, позволяющий запускать инстансы GitHub у себя в частном облаке, включающие расширенные требования безопасности и комплайнса. Цен еще нет.
4. Показали бета-версию своей IDE для совместной разработки, основанную на Visual Studio Code Online - GitHub Codespaces. Пока бесплатно.
5. Анонсировали новый раздел GitHub Discussions.
Описание всех фич: https://github.blog/2020-05-06-new-from-satellite-2020-github-codespaces-github-discussions-securing-code-in-private-repositories-and-more/
Полная запись выступлений: https://githubsatellite.com/
Slack Watchman — поиск чувствительной информации в вашем рабочем пространстве Slack с помощью API: расшаренные скрытые каналы, секреты, ключи, банковские карты, сертификаты и пр.
https://github.com/PaperMtn/slack-watchman
https://github.com/PaperMtn/slack-watchman
Вышел релиз Pi-hole v5.0!
Это такой продвинутый DNS-сервер для домашнего использования (ну у кого-то и не только для домашнего), который изначально задумывался, как блокировщик рекламы, но сейчас это настоящий швейцарский нож.
В 5 версии:
• Добавили возможность создания правил блокировки для конкретного клиента или групп клиентов. Наконец я смогу накидывать запрещающие правила для разных групп устройств, и умный дом не будет мешать работе остальных.
• Прикрутили глубокую инспекцию CNAME, позволяющую выполнять блокировку, если в CNAME цепочке присутствует известный заблокированный домен.
• Внедрили поддержку Regex/wildcard в белых списках.
• Оптимизировали использования памяти.
У меня Pi-hole стоит дома на Raspberry Pi, но вы можете хоть в докере на ноуте развернуть и туда перенаправить весь DNS трафик, короче 5 версия отличный повод познакомиться с Pi-hole :)
Полный список изменений: https://pi-hole.net/2020/05/10/pi-hole-v5-0-is-here
Это такой продвинутый DNS-сервер для домашнего использования (ну у кого-то и не только для домашнего), который изначально задумывался, как блокировщик рекламы, но сейчас это настоящий швейцарский нож.
В 5 версии:
• Добавили возможность создания правил блокировки для конкретного клиента или групп клиентов. Наконец я смогу накидывать запрещающие правила для разных групп устройств, и умный дом не будет мешать работе остальных.
• Прикрутили глубокую инспекцию CNAME, позволяющую выполнять блокировку, если в CNAME цепочке присутствует известный заблокированный домен.
• Внедрили поддержку Regex/wildcard в белых списках.
• Оптимизировали использования памяти.
У меня Pi-hole стоит дома на Raspberry Pi, но вы можете хоть в докере на ноуте развернуть и туда перенаправить весь DNS трафик, короче 5 версия отличный повод познакомиться с Pi-hole :)
Полный список изменений: https://pi-hole.net/2020/05/10/pi-hole-v5-0-is-here
Достаточно интересное исследование от голландского инженера Бьёрна Райтенберга (Björn Ruytenberg), раскрывшего новые векторы атак на протокол Intel Thunderbolt 3.
Thunderspy, так исследователь назвал свои новые вектора атак, позволяющие злоумышленнику осуществить кражу данных с зашифрованных дисков или выполнить чтение и запись всей системной памяти, даже если компьютер заблокирован или находится в спящем режиме.
Да, для осуществления атаки необходим физический доступ до устройства, набор инструментов и около 5 минут времени, но когда речь идет о данных, представляющих реальную ценность, этот метод кажется вполне реализуемым.
Уязвимы ПК под управлением Windows, Linux и частично MacOS.
Единственный способ защиты "наверняка" — отключение всех портов Thunderbolt.
Подробнее об Thunderspy > https://thunderspy.io/
Thunderspy, так исследователь назвал свои новые вектора атак, позволяющие злоумышленнику осуществить кражу данных с зашифрованных дисков или выполнить чтение и запись всей системной памяти, даже если компьютер заблокирован или находится в спящем режиме.
Да, для осуществления атаки необходим физический доступ до устройства, набор инструментов и около 5 минут времени, но когда речь идет о данных, представляющих реальную ценность, этот метод кажется вполне реализуемым.
Уязвимы ПК под управлением Windows, Linux и частично MacOS.
Единственный способ защиты "наверняка" — отключение всех портов Thunderbolt.
Подробнее об Thunderspy > https://thunderspy.io/