Бэкдоры на заднем дворе D-Link: часть 2
Продолжение первой части отчета об анализе роутера, который достался от провайдера. Помимо зашитых в код учетных записей, бедолага без авторизации отдавал содержимое конфигурационного файла с паролями.
CVE-2018-12677 хранит все учетные данные пользователя в открытом виде в конфиге внутри прошивки. И это не было бы так критично, если бы вторая уязвимость (CVE-2018-12419) не сохраняла этот конфиг в JS-переменной, которая доступна для гостя. Без авторизации. В исходном коде страницы.
Продолжение первой части отчета об анализе роутера, который достался от провайдера. Помимо зашитых в код учетных записей, бедолага без авторизации отдавал содержимое конфигурационного файла с паролями.
CVE-2018-12677 хранит все учетные данные пользователя в открытом виде в конфиге внутри прошивки. И это не было бы так критично, если бы вторая уязвимость (CVE-2018-12419) не сохраняла этот конфиг в JS-переменной, которая доступна для гостя. Без авторизации. В исходном коде страницы.
👍4
И еще один бэкдор в прошивке роутера D-Link DIR-620, который достался вместе с договором от провайдера услуг.
Как мы выяснили вчера, прошивка хранит пароли в конфигурационном файле в открытом виде. Помимо пользовательских данных в нем можно найти строку формата “support<substring>”. Это логин предустановленной учетной записи для веб-панели администратора, предназначенный для нужд сервис-провайдера, а пароль лежит рядом в открытом виде. Вот так появилась CVE-2018–12676.
Если встретил нечто подобное в своем кофигурационном файле, то лучше обнови роутер до актуальной версии заводской прошивки.
Как мы выяснили вчера, прошивка хранит пароли в конфигурационном файле в открытом виде. Помимо пользовательских данных в нем можно найти строку формата “support<substring>”. Это логин предустановленной учетной записи для веб-панели администратора, предназначенный для нужд сервис-провайдера, а пароль лежит рядом в открытом виде. Вот так появилась CVE-2018–12676.
Если встретил нечто подобное в своем кофигурационном файле, то лучше обнови роутер до актуальной версии заводской прошивки.
Итогом исследования стал отчет об уязвимостях, который был отправлен производителю, провайдеру связи и MITRE.
На фото я показываю примерный размер обнаруженной проблемы.
Результат: производитель выпустил новую версию прошивки с исправлениями для устройства, которое уже давно снято с поддержки.
На фото я показываю примерный размер обнаруженной проблемы.
Результат: производитель выпустил новую версию прошивки с исправлениями для устройства, которое уже давно снято с поддержки.
👏2
XSS в каждом роутере.
Буквально в каждой модели и вне зависимости от производителя. От старенького Netgear до свеженького Keenetic Air. Какое бы устройство я не покупал - там находились XSS. И зачастую хранимые.
Именно поэтому, если ты прочитал гайды по поиску и эксплуатации этой категории уязвимостей и хочешь попрактиковаться где-то в дикой природе, то бери IoT-устройство, ищи баги и отправляй производителю отчет об обнаруженных проблемах.
Буквально в каждой модели и вне зависимости от производителя. От старенького Netgear до свеженького Keenetic Air. Какое бы устройство я не покупал - там находились XSS. И зачастую хранимые.
Именно поэтому, если ты прочитал гайды по поиску и эксплуатации этой категории уязвимостей и хочешь попрактиковаться где-то в дикой природе, то бери IoT-устройство, ищи баги и отправляй производителю отчет об обнаруженных проблемах.
👍1
Следующий объект исследования: Digital Video Recorder китайского производства, распространяемый по модели “white label”.
Чем примечателен: низкобюджетная, но чрезвычайно популярная модель DVR, экспортируемая китайским производителем на внешние рынки.
Ландшафт угрозы: более 120000 устройств, доступных в Интернет.
Шансы на успешный анализ защищенности: 100%. Еще бы, там на поверхности неприкрытый auth bypass в административной веб-панели: просто меняем ссылку на “http://<IP>/<video_stream>.html”, чтобы получить доступ к видеопотокам.
Чем примечателен: низкобюджетная, но чрезвычайно популярная модель DVR, экспортируемая китайским производителем на внешние рынки.
Ландшафт угрозы: более 120000 устройств, доступных в Интернет.
Шансы на успешный анализ защищенности: 100%. Еще бы, там на поверхности неприкрытый auth bypass в административной веб-панели: просто меняем ссылку на “http://<IP>/<video_stream>.html”, чтобы получить доступ к видеопотокам.
👍3
Не стань частью IoT-ботнета: уязвимости в Network Video Recorder.
Результатом анализа DVR/NVR системы китайского производителя стали следующие уязвимости:
- обход аутентификации в веб-панели администратора;
- зашитая в прошивку административная учетная запись для Telnet;
- зашитые в прошивку учетные записи для веб-панели и RTSP-сервера.
Отчет с описанием обнаруженных проблем и рекомендациями по их исправлению отправлен вендору и в китайский национальный центр реагирования на компьютерные инциденты (CNCERT).
Результатом анализа DVR/NVR системы китайского производителя стали следующие уязвимости:
- обход аутентификации в веб-панели администратора;
- зашитая в прошивку административная учетная запись для Telnet;
- зашитые в прошивку учетные записи для веб-панели и RTSP-сервера.
Отчет с описанием обнаруженных проблем и рекомендациями по их исправлению отправлен вендору и в китайский национальный центр реагирования на компьютерные инциденты (CNCERT).
Medium
Do not join IoT-botnet: Multiple vulnerabilities in Network Video Recorders
In one of the previous articles, we have already described the continuous activity of botnets, consisting of vulnerable IoT-devices…
Рабочий процесс киберпреступников для пополнения ботнета:
- мониторинг новой версии прошивки;
- извлечение содержимого прошивки;
- поиск в файловой системе и добавление зашитых учетных записей в брут-лист.
Рабочий процесс исследователя для борьбы с ботнетом:
- поиск уязвимости;
- уведомление производителя и CERT;
- обучение пользователей.
Затяжная война с разными целями.
- мониторинг новой версии прошивки;
- извлечение содержимого прошивки;
- поиск в файловой системе и добавление зашитых учетных записей в брут-лист.
Рабочий процесс исследователя для борьбы с ботнетом:
- поиск уязвимости;
- уведомление производителя и CERT;
- обучение пользователей.
Затяжная война с разными целями.
👍3❤1
Вторая открытая лекция в рамках курса безопасности приложений НИЯУ МИФИ: “Безопасность алгоритмов машинного обучения”
Иван Капунин, исследователь команды Advanced Security Research крупного R&D центра (днем - студент факультета ВМК МГУ, ночью - игрок CTF), познакомит слушателей с историей и основными понятиями Adversarial Machine Learning. Иван рассмотрит виды атак и особенности их применения в разных сферах, а также разберет несколько практических примеров, чтобы в итоге сделать выводы о методах и средствах защиты.
Место: трансляция в телеграм-канале @makrushind
Время: 18:00, 2 декабря.
Запрыгивай на лекцию и присоединяйся к обсуждению!
Иван Капунин, исследователь команды Advanced Security Research крупного R&D центра (днем - студент факультета ВМК МГУ, ночью - игрок CTF), познакомит слушателей с историей и основными понятиями Adversarial Machine Learning. Иван рассмотрит виды атак и особенности их применения в разных сферах, а также разберет несколько практических примеров, чтобы в итоге сделать выводы о методах и средствах защиты.
Место: трансляция в телеграм-канале @makrushind
Время: 18:00, 2 декабря.
Запрыгивай на лекцию и присоединяйся к обсуждению!
👍6🔥4
Интересный ответ на вопрос «Что дальше?» дала языковая модель ChatGPT, которую Омар Ганиев привел в комментарии к записи в Linkedin.
Короткий ответ: если разработчик не исправляет проблему, то информацию нужно публиковать, придерживаясь политики ответственного разглашения.
Важный нюанс: модель также отметила, что над исправлением важно работать вместе с «соответствующими органами власти, чтобы обеспечить принятие всех необходимых мер предосторожности для защиты людей и организаций от уязвимости».
Короткий ответ: если разработчик не исправляет проблему, то информацию нужно публиковать, придерживаясь политики ответственного разглашения.
Важный нюанс: модель также отметила, что над исправлением важно работать вместе с «соответствующими органами власти, чтобы обеспечить принятие всех необходимых мер предосторожности для защиты людей и организаций от уязвимости».
👍5
Доклад о том, как злодеи пополняют ботнеты и эксплуатируют уязвимые IoT-устройства на периметре корпоративных сетей. Выступление в Сеуле на мероприятии “International Symposium on Cybercrime Response”.
Задача мероприятия: обсудить новые методы, которые используют киберпреступники. Задача выступления: напомнить об актуальности старых методов.
Задача мероприятия: обсудить новые методы, которые используют киберпреступники. Задача выступления: напомнить об актуальности старых методов.
👍4👀1
Вот эта штука точно поинтереснее домашнего роутера. Оборудование для биохимического анализа - дорогой девайс, подключенный к сети.
Если помнишь атаки, в которых атакующий закреплялся в корпоративной сети с помощью подключенного принтера, то представляешь, какие бы возможности он для себя открыл в медицинской инфраструктуре.
С этой фотки началось исследование медицинских организаций и устройств.
Если помнишь атаки, в которых атакующий закреплялся в корпоративной сети с помощью подключенного принтера, то представляешь, какие бы возможности он для себя открыл в медицинской инфраструктуре.
С этой фотки началось исследование медицинских организаций и устройств.
🔥2🤔1🤯1
Media is too big
VIEW IN TELEGRAM
Иван Капунин познакомил студентов МИФИ и подписчиков нашего канала с темой безопасности алгоритмов машинного обучения.
Ключевые мысли, которые Иван озвучил в своей лекции:
* Любые модели машинного обучения, начиная с простых линейных классификаторов и заканчивая Visual Transformers, подвержены атакам.
* Подбор архитектуры и гиперпараметров модели не будет давать полноценной защиты от adversarial examples.
* Чтобы модель была действительно устойчива к возмущениям, придется пожетвовать или временем обучения, или ресурсами для дополнительной проверки входных данных.
* В действительности мы практически всегда будем иметь дело с ограниченным знанием об устройстве целевой модели, что существенно усложняет эксплуатацию.
Ресурсы, которые были упомянуты в лекции:
* Краткое знакомство / Survey по AML
* Пошаговый туториал с объяснениями, как работают атаки
* Почему атаки работают
* Потенциальные методы защиты (1 и 2)
Ключевые мысли, которые Иван озвучил в своей лекции:
* Любые модели машинного обучения, начиная с простых линейных классификаторов и заканчивая Visual Transformers, подвержены атакам.
* Подбор архитектуры и гиперпараметров модели не будет давать полноценной защиты от adversarial examples.
* Чтобы модель была действительно устойчива к возмущениям, придется пожетвовать или временем обучения, или ресурсами для дополнительной проверки входных данных.
* В действительности мы практически всегда будем иметь дело с ограниченным знанием об устройстве целевой модели, что существенно усложняет эксплуатацию.
Ресурсы, которые были упомянуты в лекции:
* Краткое знакомство / Survey по AML
* Пошаговый туториал с объяснениями, как работают атаки
* Почему атаки работают
* Потенциальные методы защиты (1 и 2)
🔥3👏1
Чтобы привлечь внимание производителей и регуляторов к проблемам кибербезопасности в сфере здравоохранения, было недостаточно отправить отчет с уязвимостями вендору.
Инструкция для исследователя:
1. Обнаружить уязвимость.
2. Подготовить отчет и отправить производителю.
3. Дождаться исправления и проверить патч.
4. Отправить отчет в CERT (в зависимости от масштабов обнаруженной проблемы).
5. Дождаться ответа CERT и опубликовать отчет.
6. Рассказать о публикации: подготовить доклад для отраслевых мероприятий, в котором описать объект исследования, методы исследования, полученные результаты и рекомендации для исправления проблем.
7. Организовать турне с докладом и отчетом: выбрать профильные и индустриальные мероприятия.
8. Подать заявки для доклада (абстракт).
9. Выступить, опубликовать материалы доклада.
10. Повторить.
Инструкция для исследователя:
1. Обнаружить уязвимость.
2. Подготовить отчет и отправить производителю.
3. Дождаться исправления и проверить патч.
4. Отправить отчет в CERT (в зависимости от масштабов обнаруженной проблемы).
5. Дождаться ответа CERT и опубликовать отчет.
6. Рассказать о публикации: подготовить доклад для отраслевых мероприятий, в котором описать объект исследования, методы исследования, полученные результаты и рекомендации для исправления проблем.
7. Организовать турне с докладом и отчетом: выбрать профильные и индустриальные мероприятия.
8. Подать заявки для доклада (абстракт).
9. Выступить, опубликовать материалы доклада.
10. Повторить.
👍3❤1