https://tree-map.nycgovparks.org/

Интересная находка для осинтеров и не только. Карта всех деревьев в Нью-Йорке, составленная местной парковой службой. Вместе с волонтерами они разметили 861 304 (!) дерева во всем округе. У каждого есть снимок и краткое описание.

Цвет каждого круга на карте указывает на вид дерева, а его размер отражает диаметр.

https://www.qualys.com/2023/10/03/cve-2023-4911/looney-tunables-local-privilege-escalation-glibc-ld-so.txt

Fedora 37 и 38, Ubuntu 22.04 и 23.04, Debian 12 и 13, и все остальные дистрибутивы, использующие Glibc.

Проверить у себя

env -i "GLIBC_TUNABLES=glibc.malloc.mxfast=glibc.malloc.mxfast=A" "Z=`printf '%08192x' 1`" /usr/bin/su --help

UPD.: PoC https://github.com/leesh3288/CVE-2023-4911

CVE-2023-36845
Fileless Remote Code Execution on Juniper Firewalls

Blog: https://vulncheck.com/blog/juniper-cve-2023-36845
PoC: https://github.com/kljunowsky/CVE-2023-36845
Shodan: title:"Juniper" http.favicon.hash:2141724739

CVE-2023-36845 represents a notable PHP environment variable manipulation vulnerability that impacts Juniper SRX firewalls and EX switches. While Juniper has categorized this vulnerability as being of medium severity, in this article, we will elucidate how this singular vulnerability can be leveraged for remote, unauthenticated code execution.

O'Reilly Cybersecurity Month. Mega Bundle

В октябре отмечается месяц знаний о кибербезопасности, и эксперты по технологиям из O'Reilly готовы помочь программистам, инженерам и ИТ-специалистам обеспечить безопасность систем в течение всего года. Узнайте об управлении доступом и реагировании на инциденты. Ознакомьтесь с принципами проектирования хаос-инжиниринга и методологией security-as-code. Получите знания, необходимые для создания систем, способных противостоять современным постоянно меняющимся угрозам кибербезопасности.

Мега-сборник книг по кибербезопасности:
— Безопасность разработки в Agile-проектах
— Intelligence Driven Incident Response
— Security Chaos Engineering
— Defensive Security Handbook. Best Practices for Securing
— Network Security Assessment. Know Your Network
— Certified Kubernetes Security Specialist (CKS) Study Guide
— Practical Data Privacy. Enhancing Privacy and Security in Data
— Security and Microservice Architecture on AWS
— 97 Things Every Information Security Professional Should
— Modern Data Protection. Ensuring Recoverability of All
— The Cybersecurity Manager's Guide. The Art of Building Your
— Threat Modeling. A Practical Guide for Development Teams
— Безопасность веб-приложений. Разведка, защита, нападение
— Bash и кибербезопасность. Атака, защита и анализ
— Изучение Kali Linux. Тестирование безопасности
— Zero trust networks. Building secure systems in untrusted

StreetCLIP

Базовая модель для геолокации изображений, обученная на миллионе городских и сельских изображений с геотегами. Позволяет с высокой точностью определить страну и город, где была сделана искомая фотография.

https://secdim.com/

Платформа для изучения безопасной разработки на практике. Вместо того, чтобы искать баги (как, например, в академии Portswigger), игроку предлагают запатчить уже найденные уязвимости на примере реальных кейсов.

Предотвратить утечку 100 миллион пользователей CapitalOne; исправить переполнение, из-за которого Boeing 787 приходится перезагружать каждые 248 дней; пофиксить баг с повышением привилегий с помощью Steam и многое другое.

https://github.com/snyk/socketsleuth

Так как в Burp мало инструментов для работы с вебсокетами (по сравнению с HTTP/S), Snyk написали новое расширение, которое устраняет эти недостатки.

SocketSleuth добавляет:
— собственный диспетчер подключений
— возможность задавать правила перехвата и замены данных "на лету"
— AutoRepeater - альтернативу Authorize, позволяющую находить недостатки в ACL
— WebSocket Intruder с двумя типами запуска: традиционный Sniper и JSON RPC method discovery

https://github.blog/2023-10-09-coordinated-disclosure-1-click-rce-on-gnome-cve-2023-43641/

CVE-2023-43641
PoC

RCE по клику в библиотеке libcue, которую использует один из компонентов Gnome. Переполнение, как и в Looney Tunables

https://github.com/DataDog/KubeHound

Bloodhound, но для Kubernetes. Позволяет строить графы и вычислять пути атак между активами в кластере.

Сначала данные парсятся через k8s API, затем вычисляются вектора (полный список тут), кладутся в графовую БД JanusGraph и визуализируются.

Jenkins Attack Vector

Jenkins, an open-source automation server, is widely utilized for building, deploying, and automating any project, making it a valuable target for Advanced Persistent Threat (APT) actors. Understanding the attack vectors and surfaces within Jenkins is crucial to safeguarding the platform and protecting organizational assets. This article delves into the potential attack vectors and surfaces within Jenkins, providing insights into securing your CI/CD pipeline.

Баг на бесконечные деньги

Такие логические ошибки часто встречается на сервисах, которые проводят расчеты: банки, биржи, казино, магазины и не только. В этот раз уязвимость была найдена на сайте известной букмекерской конторы и являлась цепочкой из двух этапов.

1. Валидация на стороне клиента
Нашлась при ставках на одиночные события (одинары). Когда игрок выбирает исход и выигрывает деньги, умноженные на коэффициент, если он сбудется.

Коэффициент на событие был 1.28, ставки были от $0.1. Отправляя запрос на сервер, можно было сделать ставку, которая меньше этого числа, но больше нуля.

Отправил $0.007 — в ответе получил "gain": 0.01. Значение gain — это сумма, которую можно выиграть.

Посчитаем руками
$0.007 (ставка) * 1,28 (коэффициент) = $0.00896 (выигрыш) ~ $0.01

Gain округлилось в большую сторону. Теперь проверим сам вектор, о котором я говорил в начале статьи.

2. Алгоритм округления

А что будет с другими значениями?

Попробуем отправить $0.003, в ответе получаем "gain": 0.00.

$0.003 (ставка) * 1.28 (коэффициент) = $0.00384 ~ $0 (выигрыш)

А здесь уже в меньшую. О чем это говорит?

О том, что значение округляется по разному. Давайте поставим $0.004. Сервер отвечает "gain": 0.1.

Посчитаем
$0.004 (ставка) * 1.28 (коэффициент) = $0.00512 ~ $0.01 (выигрыш)

В ответе также возвращается еще одно значение, amount. Это деньги, которые мы поставили. Сервер вернул "amount": 0.00, так как округлил не только выигрыш, но и нашу ставку в меньшую сторону тоже!

$0.004 (значение, отправленное клиентом)
"amount": 0.00 (ставка, по мнению сервера, округление к меньшему)
"gain": 0.1 (выигрыш, округление к большему)

Мы сделали ставку, но не потратили деньги. И выиграем $0.1, если она сыграет. Можно делать бесконечное количество ставок бесплатно (с условием, что они будут меньше $0.005) и получать за это награду (если сумма выигрыша будет больше 0.005), не тратя ни копейки.

https://github.com/r4wd3r/Suborner

A simple program to create a Windows account you will only know about :)

— Create invisible local accounts without net user or Windows OS user management applications (e.g. netapi32::netuseradd)
— Works on all Windows NT Machines (Windows XP to 11, Windows Server 2003 to 2022)
— Impersonate through RID Hijacking any existing account (enabled or disabled) after a successful authentication

https://hackerone.com/reports/1274695

RCE of Burp Scanner / Crawler via Clickjacking

Красиво

https://github.com/last-byte/PersistenceSniper

Powershell-модуль для Blue Team, предназначенный для поиска всех методов закрепления, которые хакер использовал на взломанной машине.

Умеет находить 52 техники, начиная от распространенных способов с реестром, заканчивая специфичной Suborner-атакой.

https://blog.pksecurity.io/2023/10/04/microsoft-office.html

В Microsoft Office можно вставлять видео с Youtube, Microsoft Stream и SlideShare. После того, как ты указал ссылку, загружаются метаданные (разрешение, превью и заголовок), а дальше и сам ролик.

Над валидацией ссылок потрудились и проверяют их такой регуляркой https?://(www\.)?youtube\.\w{2,3}/.*|https?://(www\.)?youtube-nocookie\.\w{2,3}/.*|https?://youtu\.be/.*|https?://(player\.)?vimeo\.com/.*|https?://(\w+\.)?slideshare\.net/.*|https?://(\w+\.)?microsoftstream\.com/.*. , а вот про метаданные, как всегда, забыли.

Ролик с названием " onload="alert()" вызовет безобидный alert() через Edge Webview, window.open("calculator://") — калькулятор, а заголовок, в котором будет указан протокол ms-msdt: порой может привести и к RCE.

https://github.com/mdulin2/head_req_server

@app.route("/unsafe", methods=["GET", "POST"]) 
def log_in_unsafe():
if(request.method == "GET"): 
    print("GET") 
    return "GET" 
  else: 
    print("POST") 
    return "POST"

Код уязвим, хоть этого и не видно на первый взгляд. Есть интересная особенность, связанная с обработкой запросов — большинство современных веб-фреймворков автоматически интерпретируют HEAD-запросы, как GET.

Эндпоинт на самом деле принимает не только GET и POST, но и и OPTIONS, и HEAD, хотя мы это и не указывали в коде. Программист допускает ошибку, потому что не знает об этой логике. А злоумышленник, отправив HEAD-запрос, сможет запустить сценарий, предназначенный для POST-запроса.

Но как быть с CSRF? Подключаемые библиотеки для проверки CSRF-токенов, такие как Flask-WTF (самый известный) не проверяют их в HEAD-запросах, поэтому такую логику можно использовать:
— для обхода CSRF
— для обхода CORS

Благодаря этой особенности, в Github была найдена уязвимость на $25000.