📈 Zabbix шаблон для NetBotz Rack Monitor 250

Делюсь полезным шаблоном для мониторинга APC NetBotz Rack Monitor 250.

Стоечное устройство мониторинга — NetBotz Rack Monitor 250. Отлично подходит для организации СКУД в стойках APC для сертификации PCI DSS. В комплекте с двумя ручками обеспечивает доступ к стойке по бесконтактным картам.

#zabbix #security #apc

https://internet-lab.ru/zabbix_template_netbotz_250

⛏️ Event ID 2887 — LDAP signing

Можно значительно повысить безопасность AD, настроив на контроллерах доменов отклонение привязок LDAP уровня простой проверки подлинности и безопасности (SASL), которые не запрашивают подпись (проверка целостности), или отклонение простых привязок LDAP, выполняемых при соединении с незашифрованным текстом (без шифрования SSL/TLS). Привязки SASL могут включать такие протоколы, как Negotiate, Kerberos, NTLM и Digest.

Отсутствие подписи пакетов LDAP может позволить злоумышленникам провести атаки типа NTLM-Relay.

#windows #security

https://internet-lab.ru/ldap_signing

🏴‍☠️ CTF — User-Agent

Заскучали? Продолжаем решать задачки по информационной безопасности web-серверов. Сегодня задачка с портала root-me.org, называется "User-agent". За решение задачки дают 10 баллов, начальная сложность.

#ctf #security #web

https://internet-lab.ru/ctf_user_agent

🚨 Мошеннические письма от МТС

Просто предупредите своих близких, чтобы не велись на мошенническую схему. Уже три недели точно идёт массовая рассылка. На mail.ru пришло.

Якобы от МТС приходят письма: "МТС Москва. Счёт на предоплату по ЛС бла-бла-бла". Внутри PDF файл. В файле текст с ссылками, в котором намешаны и ваши задолженности, и, неожиданно, ваши дивиденды. И ссылка на Телеграм с документом, в названии которого есть "Тинькофф". Мошенники забыли приплести Газпром, Госуслуги и Роскосмос.

Самое интересное не это. Мне попало в руки такое письмо, я посмотрел служебные заголовки, а там всё в порядке, письмо от МТС. Ну, не совсем от МТС, а от домена третьего уровня, какой-то поддомен mts.ru. И тут есть варианты:

🔸Или почту МТС проломили.
🔸Или комп сотрудника МТС проломили.
🔸Или один из легитимных для рассылки ресурсов МТС проломили.
🔸Или домен третьего уровня у МТС увели, на какой-нибудь Тильде.
🔸Или DNS у МТС криво настроен.
🔸Или уязвимость в почтовике mail.ru, было что-то недавно такое, с возможностью прикрепить к рассылке второе письмо от кого угодно.

В любом случае, вы — не ведитесь, просто удаляйте такие письма. Родственников предупредите. А вот к ИБ mail.ru и МТС есть вопросики... За три недели давно пора было вычислить проблему и устранить.

#news #security #beginner

https://internet-lab.ru/mts_fake

☁ Уязвимости в vCenter Server — 9.8 баллов

Нет повода не обновиться. Новые уязвимости в vCenter Server 7.0 и 8.0. От 7.8 до 9.8 баллов CVSS Base Score.

CVE-2024-37079, CVE-2024-37080 — RCE уязвимости переполнения кучи в реализации протокола DCERPC. 9.8 баллов. Злоумышленник, имеющий сетевой доступ к vCenter Server, может отправить специально созданный сетевой пакет, который потенциально может привести к удаленному выполнению кода.

CVE-2024-37081 — множественные локальные уязвимости повышения привилегий из-за неправильной настройки sudo. 7.8 баллов. Прошедший проверку подлинности локальный пользователь с неадминистративными привилегиями может повысить привилегий до уровня root на vCenter Server Appliance.

Компенсирующих мер нет, только обновление.

VMware осторожно пишет у себя "потенциально может привести к удаленному выполнению кода", а PoC уже в сети...

#vmware #виртуализация #security #news

https://internet-lab.ru/vcenter_CVE-2024-37079_CVE-2024-37080_CVE-2024-37081

🪲 Windows Defender — бесплатный антивирус

Windows Defender (Защитник Windows) — встроенный в операционную систему бесплатный антивирус.

Windows Defender по умолчанию встроен в операционные системы:

🔹Windows XP
🔹Windows Server 2003
🔹Windows Vista
🔹Windows 7
🔹Windows 8
🔹Windows 10
🔹Windows 11

Я буду смотреть в сторону Windows 10 и немножечко серверов.

Если вы устанавливаете какой-то другой антивирус, то Защитник Windows автоматически отключается.

#windows #security #soft #beginner

https://internet-lab.ru/antivirus_windows_defender

🔍 Shodan — то, чего нет в обычных поисковиках

"Если люди не могут найти что-то в Google, они думают, что это не сможет найти никто. Это не так", – Джон Мэзерли, создатель Shodan.

Shodan принято называть поисковиком по интернету вещей. Другими словами, это поисковая система которая ищет устройства подключенные к интернету. Устройства и информацию о них.

Использовать Shodan немного сложнее чем тот же Google. Но и предназначен он не для простых обывателей. Самым главным отличием является то, что Shodan анализирует Интернет, а Google анализирует World Wide Web. Устройств, подключенных к Всемирной паутине, значительно меньше, чем тек, которые действительно подключены к Интернету. И с каждым готом количество устройств Интернета вещей всё больше.

Сейчас всё больше устройств с подключением к сети. Принтеры, сканеры, веб-камеры, датчики и сенсоры, серверы, роутеры и другие сетевые устройства, системы умных домов, светофоры, системы отопления. Нагнетём немного: кардиостимуляторы, датчики паровых турбин на электростанциях, электронные дилдо... Все эти устройства формируют малоизученную "серую зону" сети, в которой находится не менее 4.8 млрд умных устройств с уникальными IP-адресами.

Сразу после появления поисковик Shodan стали называть в прессе "Чёрный Google для хакеров". Это понятно, к примеру, индустриальные системы управления (SCADA) и их базовые элементы — программируемые логические контроллеры — разработаны еще до эпохи Интернета. Сейчас они светят своими портами в Сеть и становятся целью для злоумышленников.

#special #web #network #security

https://internet-lab.ru/shodan_for_site

🏴‍☠️ CTF — Weak password

Продолжаем решать задачки по информационной безопасности web-серверов. Сегодня задачка с портала roo-tme.org, называется "Weak password". За решение задачки дают 10 баллов, ничего сложного.

🔸🔸🔸

— Пароль не должен быть таким же как логин.
— Пароль должен быть длинным.
— Можно воспользоваться генератором паролей.
Для надёжности пароль может содержать заглавные и строчные буквы, цифры, пробелы и специальные — символы.
— Пароль не должен содержать личную информацию, которую легко узнать. Например: имя, фамилию или дату рождения, девичью фамилию.
— Пароль не должен содержать простые слова, фразы, устойчивые выражения и наборы символов, которые легко подобрать. 123456, QWERTY.Пароль нужно периодически менять.
— Никому не говорите свой пароль.
— Пользуйтесь средствами двухфакторной аутентификации.
— Используйте разные пароли для разных сервисов.
— Нигде в Интернете не проверяйте свой пароль на сложность или не проверяйте на содержание в различных базах украденных паролей.
— Обеспечьте себе возможность восстановления аккаунта в случае, если пароль украдут.
— Пароль "ВБулькеБонусКартонныйТыщщаДва" легко придумать, просто запомнить, практически невозможно взломать.

#security #ctf #web

https://internet-lab.ru/ctf_weak_password

📧 Exim — уязвимость CVE-2024-39929

Нет повода не обновиться. Новая критическая уязвимость в почтовом сервере Exim — CVE-2024-39929. 9.1 балла по шкале CVSS, однако, 5.4 балла по шкале CVSS:3.1.

Уязвимость позволяет доставить вредоносное вложение в почтовый ящик пользователя. Атакующий может обойти фильтр MIME filename, который которые анализирует имена вложенных файлов, и доставить исполняемый файл.

Рекомендуется обновить Exim до последней версии.

#mail #security #news

https://internet-lab.ru/CVE-2024-39929

📈 Zabbix — безопасный мониторинг iBMC через IPMI

Несколько прописных истин для организации безопасного мониторинга серверов Huawei FusionServer Pro через IPMI. В данном примере мы используем систему мониторинга Zabbix.

Для мониторинга устройств через IPMI сервер Zabbix сохраняет имя пользователя и пароль, под которыми он логинится в IPMI и получает значения сенсоров. Пароль хранится в открытом виде, поэтому, если какой-то злоумышленник или просто сотрудник, получит доступ к интерфейсу Zabbix или к базе данных, то он просто может посмотреть этот пароль.

#huawei #zabbix #security

https://internet-lab.ru/ibmc_zabbix_ipmi

🏴‍☠️ CTF — File upload - ZIP

Тренируем мозг, продолжаем решать задачки по информационной безопасности web-серверов. Сегодня задачка с портала root-me.org, называется "File upload - ZIP". За решение задачки дают 30 баллов, средний уровень.

Наша цель — прочитать содержимое файла index.php. Всё понятно.

В процессе поиска решения мы столкнёмся в уязвимостью Zip-symlink. Суть уязвимости заключается в том, что в архив можно вложить символьную ссылку, которая ссылается на нужный нам файл системы. При распаковке архива ссылка будет указывать на файл, прописанный в ней. Таким образом можно получить доступ к любому файлу на уязвимом сервере.

#ctf #security #web

https://internet-lab.ru/ctf_file_upload_zip

🔓 Google Chrome — отключаем HSTS

Google Chrome начал при входе на сайт выдавать ошибку:

NET::ERR_CERT_AUTHORITY_INVALID

Веб-сайт example.com использует механизм HSTS. Открыть сайт в настоящее время нельзя. Сбой мог быть вызван сетевой ошибкой или действиями злоумышленников. Скорее всего, сайт заработает через некоторое время.

HSTS (HTTP Strict Transport Security) — это механизм защиты от даунгрейд-атак на TLS, указывающий браузеру всегда использовать TLS для сайтов с соответствующими политиками. Работает так, что после первого успешного захода на HTTPS версию сайта браузер вместо HTTP начинает всегда использовать HTTPS.

#web #security

https://internet-lab.ru/google_chrome_hsts

📮 Postfix — saslauthd и multi instance

У нас есть работающий сервер postfix с несколькими экземплярами multi instance на Ubuntu 20.04 LTS, задача — настроить SMTP аутентификацию для каждого инстанса.

#linux #mail #security

https://internet-lab.ru/postfix_saslauthd_multi_instance

🕶 Easy-RSA 3 — Failed create CA private key

Статья имеет косвенное отношение к технологии V*N, про которую нельзя писать.

При генерации ключа и сертификата центра сертификации с помощью Easy-RSA 3 происходит ошибка:

Extra arguments given.
genrsa: Use -help for summary.

Easy-RSA error:

Failed create CA private key

Исправим этот баг.

#security

https://internet-lab.ru/easy-rsa_3_failed_create_ca_private_key

🔑 КриптоПРО — работа по RDP

КриптоПро позволяет получить доступ к локальным токенам и смарт-картам при работе по RDP.

Пользователь втыкает на работе токен в USB порт, а уже из дома подключается по RDP к рабочей машине и работает с токеном.

Доступно это удовольствие начиная со сборки КриптоПро CSP 5.0.12600 и выше. Для включения функционала доступа к локальным смарт-картам запускаем КриптоПро CSP, вкладка Безопасность, раздел "Доступ к локальным смарт-картам через RDP". Нажимаем кнопку "Включить службу локальных смарт-карт". Понадобятся права локального администратора.

#security

https://internet-lab.ru/csp_rdp

🔑 KeePass — храним пароли

KeePass (KeePass Password Safe) — кроссплатформенная программа для хранения паролей, свободная, распространяемая по лицензии GPL.

Программа разработана Домиником Райхлом (Dominik Reichl), изначально только для операционной системы Windows. Позже появились версии для других ОС.

KeePass имеет архитектуру, расширяемую сторонними модулями — плагинами. Существующие плагины доступны на домашней странице KeePass (импорт/экспорт из/в различные форматы данных, резервное копирование баз данных, интеграция и автоматизация и т. д.). Обратите внимание, что плагины могут поставить под угрозу безопасность KeePass, потому что они написаны независимыми авторами и имеют полный доступ к базе данных KeePass.

KeePass поддерживает алгоритмы AES-256, ChaCha20 и Twofish для шифрования паролей своих баз данных. Программа переведена более чем на 40 языков, включая русский.

KeePass имеет портативную версию программы, устанавливать которую не обязательно. Экспорт в форматы TXT, HTML, XML и CSV, а также импорт из множества различных форматов.

#soft #security

https://internet-lab.ru/keepass_soft

🗡 Purple Knight — проверка безопасности Active Directory

Purple Knight — это бесплатный инструмент, предоставляемый Semperis, который позволяет провести проверку безопасности AD. Этот инструмент ищет слабые параметры и конфигурации, которые могут привести к взлому Active Directory. После прохождения тестов безопасности формируется отчёт. В отчете о результатах представлены карты уязвимостей к фреймворкам MITRE ATT&CK и ANSSI. Сопоставление с фреймворками MITRE ATT&CK и ANSSI добавляет контекст к уязвимости, чтобы вы могли увидеть, как злоумышленник может ей воспользоваться.

Purple Knight можно скачать бесплатно, правда потребуется регистрация, при которой нельзя использовать публичный e-mail адрес.

Установка не требуется, изменение данных не производится, данные не отправляются в облако, вы получаете HTML отчёт. Возможны ложные срабатывания, потому как Purple Knight учитывает потенциальные риски в том числе.

Может тестировать Azure AD. Для этого требуется дополнительная настройка. Доступно несколько форматов экспорта отчетов; PDF, CSV, HTML.

#security #soft #windows

https://internet-lab.ru/purple_knight_soft

🍇 Маршрутизатор Dionis DPS-3006

Dionis DPS-3006 — это современный российский маршрутизатор, сертифицированный ФСТЭК (МЭ2, НДВ2, СОВ2) и ФСБ (СКЗИ КС1, КС3) России. Ну как российский, ПО российское на базе ядра Linux, а железо сделано в Тайване американской компанией American Portwell Technology, Inc, модель CAR-3040. Маршрутизатор является частью ПАК Дионис NX. Программно-аппаратный комплекс включает в себя маршрутизатор и управляющее его работой ПО Dionis NX.

Dionis NX входит в Единый реестр российских программ для электронных вычислительных машин и баз данных.

#network #special #security

https://internet-lab.ru/dionis_dps_3006

🌍 Edge — отключаем HSTS

Edge начал при входе на сайт выдавать ошибку:

You cannot visit example.com right now because the website uses HSTS

HSTS (HTTP Strict Transport Security) — это механизм защиты от даунгрейд-атак на TLS, указывающий браузеру всегда использовать TLS для сайтов с соответствующими политиками. Работает так, что после первого успешного захода на HTTPS версию сайта браузер вместо HTTP начинает всегда использовать HTTPS.

Не совсем понимаю с какой стати я не могу зайти на собственный тестовый сайт с самоподписанными сертификатами. Но исправить проблему можно.

#web #security

https://internet-lab.ru/edge_hsts

🏴‍☠️ CTF — HTTP Directory indexing

Разгружаем мозг.

Продолжаем решать задачки по информационной безопасности web-серверов. Сегодня задачка с портала root-me.org, называется "HTTP - Directory indexing". За решение задачки дают 15 баллов, чуть посложнее начального уровня.

#web #ctf #security

https://internet-lab.ru/ctf_http_directory_indexing