Forwarded from purple shift
Утилита sudo даёт пользователям Linux и UNIX-подобных систем возможность выполнять команды от имени суперпользователя root, если это нужно для решения определённых задач. В норме такое повышение привилегий контролируется админами через правила конфигурации sudo и не создаёт проблем.
Однако этим летом в sudo были найдены уязвимости CVE-2025-32462 и CVE-2025-32463, которые позволяют атакующему производить локальное повышение привилегий.
В новых версиях sudo обе уязвимости исправлены. Но sudo инсталлируется по умолчанию на большинстве популярных дистрибутивов Linux – и не исключено, что вы ещё используете неисправленную версию. Поэтому рекомендуем изучить наши инструкции по детектированию и защите.
Что такое CVE-2025-32462?
Данной уязвимости подвержены версии sudo с 1.8.8 до 1.9.17. Опция -h / --host используется при запуске sudo в сочетании с ключом -l (просмотр привилегий) для проверки привилегий на удаленном хосте. Однако в уязвимых версиях эту опцию можно использовать с любой командой.
Поэтому, если в конфигурациях sudoers параметр "host" выставлен в значение, отличное от ALL или имени текущего хоста, атакующий может при вызове sudo указать любой хост и обойти ограничение правил sudoers, связанных с именем хоста.
Как защититься:
– Установить версию, в которой исправлена данная уязвимость – sudo 1.9.17p1;
– Проверить правила в
Как детектировать эксплуатацию:
Отслеживайте попытки выполнить sudo с ключом -h / --host без применения ключа -l в командной строке запуска процессов sudo. Например, так будет выглядеть попытка эксплуатации, ведущая к запуску whoami:
Что такое CVE-2025-32463?
Эта уязвимость затрагивает версии sudo с 1.9.14 по 1.9.17. Уязвимость связана с опцией -R / --chroot. При выполнении команды в chroot-окружении файл конфигурации /etc/nsswitch.conf загружается не в контексте системного каталога, а в контексте корневого каталога, которым может послужить любой пользовательский каталог с размещенным там файлом
Файл
Атакующий может создать вредоносную библиотеку
Как защититься:
– Установить версию, в которой исправлена данная уязвимость – sudo 1.9.17p1;
– По возможности ограничить доступ для непривилегированных пользователей к общедоступным каталогам в части опций mount, nosuid, nodev, noexec;
– Опционально добавить параметр
Как детектировать попытки атак:
– Обращайте внимание на запуск sudo с ключами --chroot / -R;
– Отслеживайте активности, связанные с компиляцией библиотек с паттерном
– Мониторьте попытки создания конфигурационного файла
– Отслеживайте активности, связанные с переименованием файлов, где целевое имя файла содержит паттерн
Однако этим летом в sudo были найдены уязвимости CVE-2025-32462 и CVE-2025-32463, которые позволяют атакующему производить локальное повышение привилегий.
В новых версиях sudo обе уязвимости исправлены. Но sudo инсталлируется по умолчанию на большинстве популярных дистрибутивов Linux – и не исключено, что вы ещё используете неисправленную версию. Поэтому рекомендуем изучить наши инструкции по детектированию и защите.
Что такое CVE-2025-32462?
Данной уязвимости подвержены версии sudo с 1.8.8 до 1.9.17. Опция -h / --host используется при запуске sudo в сочетании с ключом -l (просмотр привилегий) для проверки привилегий на удаленном хосте. Однако в уязвимых версиях эту опцию можно использовать с любой командой.
Поэтому, если в конфигурациях sudoers параметр "host" выставлен в значение, отличное от ALL или имени текущего хоста, атакующий может при вызове sudo указать любой хост и обойти ограничение правил sudoers, связанных с именем хоста.
Как защититься:
– Установить версию, в которой исправлена данная уязвимость – sudo 1.9.17p1;
– Проверить правила в
/etc/sudoers*, использующие привязку к узлу, и по возможности переписать их на другие виды, не использующие host-параметр, например, на групповые правила (%group).Как детектировать эксплуатацию:
Отслеживайте попытки выполнить sudo с ключом -h / --host без применения ключа -l в командной строке запуска процессов sudo. Например, так будет выглядеть попытка эксплуатации, ведущая к запуску whoami:
sudo -h random-hostname whoami
Что такое CVE-2025-32463?
Эта уязвимость затрагивает версии sudo с 1.9.14 по 1.9.17. Уязвимость связана с опцией -R / --chroot. При выполнении команды в chroot-окружении файл конфигурации /etc/nsswitch.conf загружается не в контексте системного каталога, а в контексте корневого каталога, которым может послужить любой пользовательский каталог с размещенным там файлом
/etc/nsswitch.conf.Файл
/etc/nsswitch.conf (Name Service Switch configuration) в Linux и UNIX-подобных системах определяет порядок и источники, из которых система будет получать информацию о пользователях, группах, хостах, именах доменов, паролях, сетевых сервисах и других ресурсах. Атакующий может создать вредоносную библиотеку
libnss_*.so в любом каталоге, к которому текущий пользователь имеет доступ (например /tmp), и там же разместить поддельный файл /etc/nsswitch.conf с настройками для запуска этой библиотеки. Если после этого запустить команду sudo с ключом -R / --chroot и указанием расположения каталога с подменённой конфигурацией и вредоносной библиотекой, произойдёт выполнение вредоноса с правами root. Как защититься:
– Установить версию, в которой исправлена данная уязвимость – sudo 1.9.17p1;
– По возможности ограничить доступ для непривилегированных пользователей к общедоступным каталогам в части опций mount, nosuid, nodev, noexec;
– Опционально добавить параметр
Defaults !use_chroot в файл /etc/sudoers, отвечающий за отключение возможности использования chroot для sudo, и пересмотреть правила runchroot=*, отвечающие за разрешение использования chroot.Как детектировать попытки атак:
– Обращайте внимание на запуск sudo с ключами --chroot / -R;
– Отслеживайте активности, связанные с компиляцией библиотек с паттерном
libnss_*.so в имени. Например, атакующий может использовать набор компиляторов gcc для компиляции вредоносной библиотеки непосредственно на атакованном узле. Пример такой команды: gcc -shared -fPIC -Wl,-init,test -o libnss_/test.so.2 test.c;
– Мониторьте попытки создания конфигурационного файла
nsswitch.conf и библиотек libnss_*.so в директориях, отличных от расположения легитимных файлов системы;– Отслеживайте активности, связанные с переименованием файлов, где целевое имя файла содержит паттерн
libnss_*.so.Forwarded from Пентестер на мотоцикле
Web Application Penetration Testing Course URLs.docx
30.4 KB
🔥 Вечерняя подборочка
Чем можно ещё заниматься поздним вечером? Правильно — искать для вас контентик. Материал ценен для новичков и тех, кто желает освежить память. Здесь подборка ссылок на различные источники с обучающей информацией по веб-пентесту.
▎ Содержимое материала:
> History;
> Web and Server Technology;
> Setting up the lab with BurpSuite and bWAPP;
> Mapping the application and attack surface;
> Understanding and exploiting OWASP top 10 vulnerabilities;
> Session management testing;
> Bypassing client-side controls;
> Attacking authentication/login;
> Attacking access controls (IDOR, Priv esc, hidden files and directories);
> Attacking Input validations (All injections, XSS and mics);
> Generating and testing error codes;
> Weak cryptography testing;
> Business logic vulnerability.
#материал
Чем можно ещё заниматься поздним вечером? Правильно — искать для вас контентик. Материал ценен для новичков и тех, кто желает освежить память. Здесь подборка ссылок на различные источники с обучающей информацией по веб-пентесту.
▎ Содержимое материала:
> History;
> Web and Server Technology;
> Setting up the lab with BurpSuite and bWAPP;
> Mapping the application and attack surface;
> Understanding and exploiting OWASP top 10 vulnerabilities;
> Session management testing;
> Bypassing client-side controls;
> Attacking authentication/login;
> Attacking access controls (IDOR, Priv esc, hidden files and directories);
> Attacking Input validations (All injections, XSS and mics);
> Generating and testing error codes;
> Weak cryptography testing;
> Business logic vulnerability.
#материал
Forwarded from Adaptix Framework
AdaptixC2 v0.7 is out
https://github.com/Adaptix-Framework/AdaptixC2
* Поддержка скриптов AxScript
* Менеджер учетных данных
* Поддержка BOF в агенте gopher
* Новые BOF: potato-dcom, nanodump, noconsolation
Полная информация по обновлению: https://adaptix-framework.gitbook.io/adaptix-framework/changelog-and-updates/v0.6-greater-than-v0.7
https://github.com/Adaptix-Framework/AdaptixC2
* Поддержка скриптов AxScript
* Менеджер учетных данных
* Поддержка BOF в агенте gopher
* Новые BOF: potato-dcom, nanodump, noconsolation
Полная информация по обновлению: https://adaptix-framework.gitbook.io/adaptix-framework/changelog-and-updates/v0.6-greater-than-v0.7
👍2
Forwarded from Threat Hunting Father 🦔
Fire Ant — гипервизорная APT-угроза👽
С начала 2025 года Sygnia расследует масштабную шпионскую кампанию, нацеленную на инфраструктурный уровень:
• VMware vCenter
• VMware ESXi
• Сетевые устройства (F5, Linux pivot-хосты)
Главный вектор — эксплуатация уязвимостей в гипервизоре и инфраструктуре. Это позволяет атакующим:
• обойти EDR/AV
• двигаться между сегментами сети
• сохранять доступ после зачистки
Этапы атаки⌨️
1. Первичный доступ
CVE‑2023‑34048 (vCenter RCE)
• Атака через DCERPC → OOB Write → RCE без аутентификации
• Краш
Подделка сессии в vCenter UI
• Скрипт
• Использует сертификаты, извлечённые с хоста
• Позволяет получить админ-доступ без логина или логов аутентификации (сессия создаётся через поддельный cookie, это критично)
Кража учётных данных vpxuser
• Служебный аккаунт с root-доступом к ESXi
• Не отключается Lockdown Mode’ом
2. Устойчивость в инфраструктуре
Backdoor в vCenter (ksmd)
• Путь:
• TCP порт 7475
• Позволяет выполнять команды и передавать файлы
• Связан с семейством VIRTUALPITA
Malicious VIBs на ESXi
• Установлены вручную с флагом
• Прописывают исполняемые файлы в
• Бесподписные, уровень доверия — "partner"
Backdoor autobackup.bin
• Прописывается в
• Запускает web-сервер на порту 8888
• Поддерживает RCE, загрузку и скачивание файлов
• Совместим с Python 2/3, работает как background-демон через double-fork и редирект stdout/stderr в /dev/null
Отключение логов (vmsyslogd)
• Убийство процесса лишает ESXi логирования
• Нет ни локальных, ни удалённых журналов
3. Атаки на гостевые ВМ с гипервизора
CVE‑2023‑20867 (VMware Tools)
• Позволяет выполнять команды внутри ВМ без логина
• Используется PowerCLI и
• Команды исполняются через
Патчинг VMX-процесса через ELF tools
• Модификация памяти ESXi-хоста
• Отключает необходимость аутентификации гостя
Дамп хэшей из памяти ВМ
• Snapshot с
• Извлекаются NTLM-хэши, в том числе с DC
EDR tampering (updatelog.exe)
• Вызывается через
• Нарушает работу SentinelOne
Нарушает видимость процессов у EDR без его остановки — агент остаётся активен, но ничего не видит
V2Ray туннель (update.exe)
• Устанавливает прослушку на TCP 58899
• Используется как C2 и обход прокси/фильтров
Незарегистрированные ВМ (vmx -x)
• Прямой запуск VM без vCenter
• MAC spoofing → не отслеживается админкой
• Только через L2-инвентаризацию можно отследить
4. Сетевая экспансия и туннелирование
F5 Load Balancer: CVE‑2022‑1388
• Выполнение команд без логина
• Webshell в
Туннель Neo-reGeorg
• Устанавливается на внутренних веб-серверах
• Создаёт HTTPS-туннель через firewall
Medusa Rootkit на Linux pivot-хостах
• Скрытый shell
• Логгирует SSH-пароли в
netsh portproxy на admin-хостах
• Проброс портов к системам
• Используется для обхода ACL и firewall
IPv6 bypass
• В большинстве сетей IPv6 не фильтруется
• Атакующий использует этот канал для туннелей
5. Устойчивость к зачистке
• Повторный вход после очистки
• Переименование малвари под forensic-инструменты
• Отслеживание действий защитников и адаптация
• Только одновременная, скоординированная зачистка эффективна
🗺 Детект и защита
Что искать
• Внезапное отключение
• Старт процессов от
• Новые бинарники в
• ВМ без регистрации в vCenter (через
• ВМ активна, но EDR не отдаёт телеметрию
🔐 Как защититься
• Патчить: vCenter, ESXi, F5, VMware Tools
• Включить Lockdown Mode и Secure Boot
• Доступ к vCenter — только через jump/PAM
• Регулярная ротация паролей, хранение в vault
• Включить syslog и форвардить логи централизованно
🔗 https://www.sygnia.co/blog/fire-ant-a-deep-dive-into-hypervisor-level-espionage
🦔 THF
С начала 2025 года Sygnia расследует масштабную шпионскую кампанию, нацеленную на инфраструктурный уровень:
• VMware vCenter
• VMware ESXi
• Сетевые устройства (F5, Linux pivot-хосты)
Главный вектор — эксплуатация уязвимостей в гипервизоре и инфраструктуре. Это позволяет атакующим:
• обойти EDR/AV
• двигаться между сегментами сети
• сохранять доступ после зачистки
Этапы атаки
1. Первичный доступ
CVE‑2023‑34048 (vCenter RCE)
• Атака через DCERPC → OOB Write → RCE без аутентификации
• Краш
vmdird зафиксирован до начала активностиПодделка сессии в vCenter UI
• Скрипт
vCenter_GenerateLoginCookie.py• Использует сертификаты, извлечённые с хоста
• Позволяет получить админ-доступ без логина или логов аутентификации (сессия создаётся через поддельный cookie, это критично)
Кража учётных данных vpxuser
• Служебный аккаунт с root-доступом к ESXi
• Не отключается Lockdown Mode’ом
2. Устойчивость в инфраструктуре
Backdoor в vCenter (ksmd)
• Путь:
/usr/libexec/setconf/ksmd• TCP порт 7475
• Позволяет выполнять команды и передавать файлы
• Связан с семейством VIRTUALPITA
Malicious VIBs на ESXi
• Установлены вручную с флагом
--force• Прописывают исполняемые файлы в
/bin, скрипты в rc.local.d/• Бесподписные, уровень доверия — "partner"
Backdoor autobackup.bin
• Прописывается в
/etc/rc.local.d/local.sh для автозапуска• Запускает web-сервер на порту 8888
• Поддерживает RCE, загрузку и скачивание файлов
• Совместим с Python 2/3, работает как background-демон через double-fork и редирект stdout/stderr в /dev/null
Отключение логов (vmsyslogd)
• Убийство процесса лишает ESXi логирования
• Нет ни локальных, ни удалённых журналов
3. Атаки на гостевые ВМ с гипервизора
CVE‑2023‑20867 (VMware Tools)
• Позволяет выполнять команды внутри ВМ без логина
• Используется PowerCLI и
Invoke-VMScript• Команды исполняются через
vmtoolsd.exeПатчинг VMX-процесса через ELF tools
• Модификация памяти ESXi-хоста
• Отключает необходимость аутентификации гостя
Дамп хэшей из памяти ВМ
• Snapshot с
vim-cmd, затем анализ .vmem с UpdateApp (Volatility fork)• Извлекаются NTLM-хэши, в том числе с DC
EDR tampering (updatelog.exe)
• Вызывается через
vmtoolsd.exe• Нарушает работу SentinelOne
Нарушает видимость процессов у EDR без его остановки — агент остаётся активен, но ничего не видит
V2Ray туннель (update.exe)
• Устанавливает прослушку на TCP 58899
• Используется как C2 и обход прокси/фильтров
Незарегистрированные ВМ (vmx -x)
• Прямой запуск VM без vCenter
• MAC spoofing → не отслеживается админкой
• Только через L2-инвентаризацию можно отследить
4. Сетевая экспансия и туннелирование
F5 Load Balancer: CVE‑2022‑1388
• Выполнение команд без логина
• Webshell в
/xui/common/css/css.phpТуннель Neo-reGeorg
• Устанавливается на внутренних веб-серверах
• Создаёт HTTPS-туннель через firewall
Medusa Rootkit на Linux pivot-хостах
• Скрытый shell
• Логгирует SSH-пароли в
remote.txtnetsh portproxy на admin-хостах
• Проброс портов к системам
• Используется для обхода ACL и firewall
IPv6 bypass
• В большинстве сетей IPv6 не фильтруется
• Атакующий использует этот канал для туннелей
5. Устойчивость к зачистке
• Повторный вход после очистки
• Переименование малвари под forensic-инструменты
• Отслеживание действий защитников и адаптация
• Только одновременная, скоординированная зачистка эффективна
Что искать
• Внезапное отключение
vmsyslogd• Старт процессов от
vmtoolsd.exe внутри ВМ• Новые бинарники в
/tmp, /scratch, /bin, /etc• ВМ без регистрации в vCenter (через
vmx -x)• ВМ активна, но EDR не отдаёт телеметрию
• Патчить: vCenter, ESXi, F5, VMware Tools
• Включить Lockdown Mode и Secure Boot
• Доступ к vCenter — только через jump/PAM
• Регулярная ротация паролей, хранение в vault
• Включить syslog и форвардить логи централизованно
Please open Telegram to view this post
VIEW IN TELEGRAM
www.opennet.ru
Релиз ядра Linux 6.16
После двух месяцев разработки Линус Торвальдс представил релиз ядра Linux 6.16. Среди наиболее заметных изменений: драйвер для ускорения OpenVPN, механизм Kexec HandOver, включение по умолчанию пятиуровневых таблиц страниц памяти для x86, удаление протокола…
🔗Ссылка:
https://opennet.ru/63632/
https://opennet.ru/63632/
Forwarded from PRO:PENTEST
Атака на «Аэрофлот»: один из самых громких киберинцидентов года.
Хак-группа Silent Crow и «Киберпартизаны BY» заявили, что почти год находились внутри IT-инфраструктуры перевозчика, прежде чем уничтожить 7 000 серверов и похитить до 20 ТБ данных. В результате - отмены и задержки более 100 рейсов, сбои в аэропортах и официальный комментарий Кремля о «тревожной ситуации».
Почти все уже написали об этом, но интересно взглянуть под другим углом. Если злоумышленники действительно находились в сети так долго, это наводит на мысль: могла ли атака готовиться с помощью внутреннего доступа? Инсайдер, устроившийся в компанию, либо уязвимость в цепочке доверия?
Это не просто атака на компанию - это демонстрация того, насколько уязвим может быть даже гигант с государственным участием. ИБ-командам - ещё один повод пересмотреть принципы Zero Trust, мониторинг активности персонала и контроль привилегий. Потому что в следующий раз это может быть не авиа. А энергетика. Или транспорт.
На одном из ресурсов видел, что виной всему хосты с древней виндой.
А вы как считаете почему так получилось?
Хак-группа Silent Crow и «Киберпартизаны BY» заявили, что почти год находились внутри IT-инфраструктуры перевозчика, прежде чем уничтожить 7 000 серверов и похитить до 20 ТБ данных. В результате - отмены и задержки более 100 рейсов, сбои в аэропортах и официальный комментарий Кремля о «тревожной ситуации».
Почти все уже написали об этом, но интересно взглянуть под другим углом. Если злоумышленники действительно находились в сети так долго, это наводит на мысль: могла ли атака готовиться с помощью внутреннего доступа? Инсайдер, устроившийся в компанию, либо уязвимость в цепочке доверия?
Это не просто атака на компанию - это демонстрация того, насколько уязвим может быть даже гигант с государственным участием. ИБ-командам - ещё один повод пересмотреть принципы Zero Trust, мониторинг активности персонала и контроль привилегий. Потому что в следующий раз это может быть не авиа. А энергетика. Или транспорт.
На одном из ресурсов видел, что виной всему хосты с древней виндой.
А вы как считаете почему так получилось?
🍓1😭1
Forwarded from Caster
Релиз моего нового инструмента: Ibex
Это инструмент для проведения MITM-атак в сетях IPv6.
Возможности Ibex:
RA Spoofing и RDNSS-инъекции
Обход RA Guard c помощью Hop-by-Hop фрагментации
Полная автоматизация NAT64 и DNS64
Интерактивная CLI с автокомплитом
Автотюнинг сетевых параметров и маршрутизации
Анализ NDP трафика для сбора информации о сети
Killswitch для аварийной остановки и восстановления сети
Link: https://github.com/casterbyte/Ibex
Это инструмент для проведения MITM-атак в сетях IPv6.
Возможности Ibex:
RA Spoofing и RDNSS-инъекции
Обход RA Guard c помощью Hop-by-Hop фрагментации
Полная автоматизация NAT64 и DNS64
Интерактивная CLI с автокомплитом
Автотюнинг сетевых параметров и маршрутизации
Анализ NDP трафика для сбора информации о сети
Killswitch для аварийной остановки и восстановления сети
Link: https://github.com/casterbyte/Ibex
www.opennet.ru
Лидера проекта OpenPrinting уволили из Canonical
Компания Canonical уволила Тилля Кампетера (Till Kamppeter), лидера проекта OpenPrinting, развивающего компоненты для обеспечения вывода на печать в Linux (среди прочего, с 2021 года в проект OpenPrinting переведена разработка сервера печати CUPS, после того…
🔗Ссылка:
https://opennet.ru/63638/
https://opennet.ru/63638/
Fsecurity | HH
Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈
P.s. тут идёт набор, залетайте 👾
Forwarded from purple shift
Часто на проектах без латиницы (русский, 漢語, اللُّغَةُ العَرَبِيَّة, 👄🗣💬🔤) встречается ситуация, когда API отдаёт json-ы с экранированным текстом (Unicode Escaped). В таком тексте символы Unicode закодированы в виде последовательностей типа \u043f\u0440\u0438\u0432\u0435\u0442. Так обеспечивается поддержка национальных языков в системах, которые работают только на дефолтном языке.
Чтобы понять содержимое подобного текста, обычно приходится либо настраивать Hackvertor, либо декодировать контент через Python, что не очень удобно. Также на просторах Интернета можно найти плагины для Burp, которые преобразовывают Unicode Escaped-последовательности – однако написаны они были давно и уже не работают в последних версиях Burp.
Поэтому наш эксперт Евгений Великоиваненко написал свой плагин UnUnicode, позволяющий лёгким движением руки преобразовывать json-ы с экранированными символами в удобочитаемый формат. Плагин может работать во вкладках Proxy и Repeater, а также работает с вебсокетами.
Скачать UnUnicode можно в нашем Гитхабе либо в BappStore.
Чтобы понять содержимое подобного текста, обычно приходится либо настраивать Hackvertor, либо декодировать контент через Python, что не очень удобно. Также на просторах Интернета можно найти плагины для Burp, которые преобразовывают Unicode Escaped-последовательности – однако написаны они были давно и уже не работают в последних версиях Burp.
Поэтому наш эксперт Евгений Великоиваненко написал свой плагин UnUnicode, позволяющий лёгким движением руки преобразовывать json-ы с экранированными символами в удобочитаемый формат. Плагин может работать во вкладках Proxy и Repeater, а также работает с вебсокетами.
Скачать UnUnicode можно в нашем Гитхабе либо в BappStore.