Новые CVE в runc позволяют обойти изоляцию контейнера и получить root на хост-системе
#CVE #racecondition #runc #Docker #Kubernetes #root

runc (базовый инструмент запуска контейнеров в Docker и Kubernetes) содержит три критические уязвимости типа race condition. При успешной эксплуатации они позволяют обойти проверки монтирования и записи в системные интерфейсы procfs и sysfs, что открывает возможность выполнения кода с правами root на хосте.

1. CVE-2025-31133 — некорректнаяя обработка maskedPaths позволяет перенаправлять монтируемые пути, обеспечивая доступ к критичным ресурсам хоста и запись в procfs из контейнера. Есть PoC.
2. CVE-2025-52565 и CVE-2025-52881 — гонки при монтировании /dev/console или /dev/null позволяют обходить механизмы LSM и монтировать защищенные файлы /proc для последующей модификации. Публичных PoC для этих CVE не найдено.

➡️Как проходит атака

1. Атакующий запускает контейнер на уязвимой версии runc с контролем параметров монтирования.
2. Внутри контейнера инициируется серия операций монтирования, специально спроектированных как TOCTOU гонка.
3. В окне гонки злоумышленник подменяет монтируемый источник или вызывает последовательность операций, в результате чего проверки пропускают некорректное примонтирование на /proc или /sys.
4. После успешной подмены атакующий записывает значения в файлы вроде /proc/sys/kernel/core_pattern или вызывает sysctl-подобные интерфейсы, что приводит к выполнению кода/эскалации на хосте.

🪲Пример PoC на bash лежит в комментариях.

➡️Как защититься

1. Срочно обновить runc до версии 1.2.8, 1.3.3, 1.4.0-rc.3 или выше.
2. Включить user namespaces для контейнеров (ограничивает права на запись в procfs).
3. Использовать rootless контейнеры, чтобы минимизировать возможности атак.
4. Ограничить права запуска контейнеров и тщательно аудитировать параметры монтирования.
5. Следить за обновлениями платформ Docker, Kubernetes и runc, применять рекомендованные патчи и конфигурации безопасности.

🔗 Источник

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч

Django: критическая SQLi-уязвимость с обходом аутентификации
#django #sqli #CVE #python

CVE-2025-64459 - критическая SQL-инъекция в Django (CVSS 9.1), затрагивающая методы QuerySet.filter(), QuerySet.exclude(), QuerySet.get() и класс Q(). Позволяет удаленному не аутентифицированному атакующему получить админский доступ в обход аутентификации, эксфильтровать конфиденциальные данные и эскалировать привилегии.​

Имеет низкую сложность эксплуатации, не требует аутентификации и взаимодействия с пользователем.

Под угрозой находятся версии Django 5.2 < 5.2.8, Django 5.1 < 5.1.14, Django 4.2 < 4.2.26, ветка 6.0 (beta). Старые неподдерживаемые версии также могут быть уязвимы.

➡️Структура атаки

Уязвимость возникает при использовании dictionary expansion с пользовательским вводом. Для проведения атаки необходимо поместить нужные параметры в URL query string (GET-параметры) или POST-данные API-запросов, которые затем попадают в Django QuerySet методы через dictionary expansion.

Типичный уязвимый паттерн

filters = request.GET.dict()  # user-controlled data
users = User.objects.filter(**filters)  # passes all params

Сценарии эксплуатации
Обход аутентификации - _connector=OR&is_superuser=True возвращает первого найденного суперпользователя, минуя проверку кредов
Эксфильтрация данных - _connector=OR&confidential=True дает доступ ко всем конфиденциальным документам​
Эскалация привилегий - _negated=True дает инверсию логики контроля доступа

➡️Защита и срочные действия

1. Обновиться до патченных версий (5.2.8, 5.1.14, 4.2.26)​
2. Проверить логи на _connector и _negated в запросах​
3. Аудит кода: grep -r "\.filter(\*\*" --include="*.py" .​
4. Никогда не передавать request.GET.dict() напрямую в QuerySet​
5. Использовать Django Forms для валидации​
6. Внедрить whitelisting параметров фильтрации​
7. Явное маппирование полей вместо dictionary expansion

🔗 Источник

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч

Ловите вкусные баги прошедшей недели
#CVE #IBM #unauthRCE #0click #IBM #Tenda #FortiWeb

➡️IBM AIX 7.2, 7.3 и IBM VIOS 3.1, 4.1 (CVE-2025-36250, CVSS 10,0) — критическая 0-click уязвимость, затрагивающая NIM server service (nimesis, ранее NIM master) и связанная с некорректным контролем процессов. Позволяет неаутентифицированному атакующему выполнить произвольные команды на системе через URL-запрос. Имеет низкую сложность эксплуатации, не требует привилегий и позволяет выйти за пределы контекста безопасности с полной компрометацией конфиденциальности, целостности и доступности enterprise-grade систем.​ Расширяет вектора атаки ранее закрытой CVE-2024-56346.

➡️Роутер D-Link DIR-816L (CVE-2025-13191, CVSS 8,8) — stack-based buffer overflow в функции soapcgi_main файла /soap.cgi. Позволяет аутентифицированному удаленному атакующему с низкими привилегиями выполнить произвольный код через манипуляцию входными данными SOAP-запроса без взаимодействия с пользователем. Затрагивает beta-версию firmware 2_06_b09_beta, которая больше не поддерживается производителем, так что патча не будет.

➡️MFortinet FortiWeb (CVE-2025-64446, CVSS 9.8/10.0) — критическая 0day с активной эксплуатацией. Relative path traversal в CGI endpoint /api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi позволяет неаутентифицированному атакующему создавать административные аккаунты и выполнять произвольные команды через HTTP POST-запросы. Есть PoC.

➡️Typebot, open-source платформа для создания чатботов (CVE-2025-64709, CVSS 9.6) — Server-Side Request Forgery (SSRF) в webhook block (HTTP Request component). Аутентифицированный пользователь может выполнять произвольные HTTP-запросы с сервера, включая доступ к AWS Instance Metadata Service (IMDS). Обход защиты IMDSv2 через инъекцию кастомных заголовков позволяет извлечь временные AWS IAM credentials для EKS node role и получить полный контроль над Kubernetes-кластером.

➡️Tenda AC20 роутеры на firmware (CVE-2025-13258, CVSS 8.8) — stack-based buffer overflow в эндпоинте /goform/WifiExtraSet. Параметр wpapsk_crypto копируется в фиксированный стековый буфер через небезопасные функции типа strcpy без проверки длины. Неаутентифицированный атакующий может отправить HTTP POST-запрос с избыточно длинным значением для переполнения буфера и достижения RCE или DoS. Есть PoC.

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч

Venom C2 — легкое кроссплатформенное решение для командного управления
#redteam #Venom #Python #Flask

Проект позиционируется как утилитарный инструмент для постэксплуатации в условиях, где установка пакетов нежелательна: сервер на Flask, операторский GUI на Electron и однобайтовый (single-file) агент на чистом Python, который передаёт AES-зашифрованные JSON-сообщения по HTTP(S).

➡️Архитектура разделена на три части

▪️Сервер (Flask-приложение) — управляет соединениями агентов, хранит историю команд, предоставляет API для GUI и выдает конфигурации.
▪️Операторский клиент (Electron) — кроссплатформенная оболочка для работы с сервером: просмотр сессий, выполнение команд, загрузка/выкачка файлов и создание туннелей SSH.
▪️Агент (single-file Python) — минималистичный скрипт без внешних библиотек, выполняющий команды оболочки, работу с файлами, создание reverse-SSH, sleep с джиттером и пр.

Ключевая идея — запуск агента на хосте без установки зависимостей. Это упрощает развертывание на экзотических дистрибутивах или минимальных образах, где инструментам вроде Go-бинарников найти место проблематично.

Это делает Venom удобным вариантом для быстрых red-team-кампаний и для ситуаций, когда на целевых хостах доступен только базовый стек Python.

🔗blog.poxek

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч

Хватит страдать в токсичных отношениях с Burp Suite. Пора быть счастливым с Caido
#caido #burpsuite #portswigger #intruder #repeater

Полезная статья от Слонсера и посвящена прокси Caido. Я сам этот прокси юзал в этом и прошлом году. Если в прошлом году показалось совсем сырым, хоть и перспективным инструментов, то в этом году распробовал кайдо получше. Лично для себя отмечу, что клиент-серверная архитектура ТОП и особенно раскрывается, когда работаешь не один. В своё время не хватало встроенного Collaborator, Слонсер в статье привёл его аналог Omnioast. А вот workflow я не смог раскрыть за несколько проектов, но в статье описаны неплохие примеры его использования

🔗Статья

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч

BloodHoundIPA. Как мы разработали инструмент для анализа FreeIPA при помощи BloodHound
#AD #BloodHound #FreeIPA

В рам­ках импорто­заме­щения заказ­чики пос­тепен­но отка­зыва­ются от Active Directory и перехо­дят на FreeIPA. Эта сис­тема похожа по воз­можнос­тям, но работа­ет на Linux. Для пен­тесте­ра это зна­чит, что при­выч­ный инс­тру­мен­тарий нуж­но адап­тировать. Поэто­му, не най­дя ничего похоже­го в откры­том дос­тупе, мы решили соз­дать собс­твен­ный ана­лог BloodHound для FreeIPA.

Глав­ный воп­рос при раз­работ­ке такого инс­тру­мен­та: делать всё с нуля или дорабо­тать BloodHound? В ито­ге решили пой­ти по вто­рому пути. При­чина оче­вид­на — во мно­гих ком­пани­ях вмес­те работа­ют домены FreeIPA и Active Directory. Гораз­до удоб­нее ана­лизи­ровать их в одном общем интерфей­се, а не перек­лючать­ся меж­ду раз­ными инс­тру­мен­тами.

🔓 Ксакеп

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч

ILOVEYOU: червь из 2000-х или мерч из 2025-го?
#malware #merch

5 мая 2000 года почтовый червь ILOVEYOU за считанные часы превратил email в оружие массового поражения: миллионы заражений, остановка процессов в банках, госструктурах и корпорациях, многомиллиардный ущерб.

Фишинговая приманка была предельно простой и эффективной: «любовное письмо» с вредоносным вложением LOVE-LETTER-FOR-YOU.TXT.vbs (.vbs расширение скрывалось настройками Windows) побуждало пользователя из 2000-х открыть файл и прочитать заветное признание. Последовавший эффект домино обеспечили автоматическая рассылка через Outlook и заражение по IRC, низкая цифровая грамотность и доверие к письмам «от знакомых».

Инцидент стал триггером для создания и введения жестких почтовых политик, изменений в Outlook и укрепления антивирусной индустрии — суровый урок социальной инженерии, актуальный до сих пор.

🔗Подробный технический разбор структуры и принципа работы червя ILOVEYOU

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч