0day джекпот: как мы нашли четыре критические дыры в SSO и ждали патчей
#0day #SSO #patch

Представьте: вы открываете письмо, кликаете по безобидной ссылке, и ваш корпоративный аккаунт теперь принадлежит кому-то другому. И это лишь один из четырех критических багов в коробочном SSO-решении, которые мы обнаружили во время рутинного пентеста.

Мы покажем, как одна логическая ошибка в продукте может привести к полному захвату аккаунтов, и объясним, как действовать, когда находишь подобный «подарок» в своей инфраструктуре.

Статья от коллеги из Бастиона, за что ему респект)

🔗Источник

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч

NANOREMOTE: Windows-бэкдор с туннелированием через Google Drive API
#NANOREMOTE #REF7707 #WMLOADER #MalwareAnalysis #C2

Обнаружен в октябре этого года. Показывает сильное архитектурное сходство с имплантом FINALDRAFT китайской группировки REF7707: совпадает логика генерации GUID, структура HTTP-запросов, пейлоады из сэмплов на VirusTotal расшифровываются идентичным статичным AES-ключом.

Ключевая особенность заключается в использовании Google Drive API в качестве скрытого транспортного уровня для C2. Это позволяет обходить DPI и маскировать эксфильтрацию под легитимный TLS-трафик.

➡️Структура атаки

Загрузчик WMLOADER реализует технику Masquerading, скрываясь под именем компонента Bitdefender (BDReinit.exe) с невалидной подписью. Декодирует шеллкод (Rolling XOR), который расшифровывает пейлоад из файла wmsetup.log (AES-CBC) и инъецирует его в память.
Пейлоад (NANOREMOTE) — 64-битный имплант на C++ без обфускации. Поддерживает 22 типа команд. Основной C2-канал использует HTTP POST-запросы (/api/client) с шифрованием AES-CBC и сжатием Zlib.

➡️Google Drive API Exfiltration

Бэкдор строит скрытый туннель через REST API Google Drive, используя OAuth 2.0 Refresh Tokens для поддержки персистентной сессии.

Используются нативные вызовы WinHttpSendRequest к эндпоинтам типа /upload/drive/v3/files. Это позволяет доставлять пейлоады и выгружать данные внутри защищенного TLS-соединения с доверенным хостом.
Учетные данные парсятся из кастомной pipe-delimited структуры (|*|, |-|) или переменной окружения NR_GOOGLE_ACCOUNTS. Есть поддержка ротации клиентов.
Встроенный менеджер очередей обеспечивает асинхронное выполнение задач с возможностью управления состоянием транзакции и верификацией целостности по MD5.

➡️Детектируемые аномалии

Несмотря на использование легитимного сервиса, реализация содержит специфические индикаторы:

User-Agent NanoRemote/1.0 в запросах к API (если не изменен в билде),
специфический паттерн API-вызовов: перед скачиванием всегда запрашиваются метаданные через /drive/v3/files/%s?alt=media.

🔗Подробности и IoC

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч

ReDisclosure. Разбираем инъекции в полнотекстовый поиск на примере MyBB
#mybb #php #sqli #sast #waf

В течение мно­гих лет ата­ки с исполь­зовани­ем SQL-инъ­екций в основном сво­дились к попыт­кам нарушить син­таксис зап­росов. Одна­ко с раз­вити­ем инс­тру­мен­тов акцент смес­тился на соз­дание «кру­тых наг­рузок» и раз­бор пре­дуп­режде­ний SAST, которые мно­гие игно­риру­ют. Я же поп­робовал поис­кать воз­можность инъ­екции без экра­ниро­вания — с мыслью о том, что на это у SAST или WAF не будет пра­вил.

Так я нащупал новую тех­нику для внед­рения в регуляр­ные выраже­ния. Сна­чала я нем­ного рас­ска­жу о тра­дици­онных методах, которые были нам извес­тны рань­ше, затем перей­дем к моим наход­кам. В ходе тес­тирова­ния мне уда­лось вскрыть уяз­вимость в MyBB, которая поз­воляла прос­матри­вать наз­вания уда­лен­ных тем без аутен­тифика­ции.

🔓 Ксакеп

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч

Ловите вкусные баги прошедшей недели
#CVE #RCE #WebKit #Apple #ANGLE #NXLog #Plesk #LPE #DoS #Tomado

➡️WebKit/ANGLE (CVE-2025-14174, CVSS 8.8) — memory corruption/out-of-bounds access при обработке веб-контента. Изначально проблема была обнаружена в компоненте ANGLE — графическом движке Chrome, транслирующем WebGL в нативные API. Позже выяснилось, что она затрагивает и движок WebKit в экосистеме Apple. Атакующий может использовать специально созданную веб-страницу (HTML/JS) для вызова ошибки доступа за границами памяти, что ведет к RCE на устройстве жертвы. Есть случаи использования in wild.

➡️NXLog (CVE-2025-67900, CVSS 8.1) — untrusted configuration loading в агенте. Приложение избыточно доверяет переменной окружения OPENSSL_CONF и позволяет подгружать произвольный конфигурационный файл OpenSSL. Локальный злоумышленник с низкими привилегиями может создать вредоносный конфиг, указывающий на поддельную динамическую библиотеку, чтобы заставить NXLog загрузить и выполнить ее с правами процесса.

➡️Typora (CVE-2024-14010, CVSS 9.8) — уязвимость в популярном Markdown-редакторе, связанная с настройками экспорта в PDF. В интерфейсе есть опция Run Command, необходимая для пост-обработки экспортированного файла и уязвимая к внедрению системных команд. Если атакующий заставит пользователя открыть вредоносный файл настроек или импортировать конфигурацию, где в поле Run Command прописана инъекция, при следующем экспорте любого документа в PDF произойдет выполнение произвольного кода с правами текущего пользователя.

➡️Plesk Obsidian 18.0 для Linux (CVE-2025-66430, CVSS 9.1) — уязвимость связана с функцией Password-Protected Directories. Из-за некорректного контроля доступа авторизованный пользователь Plesk с ограниченными правами может внедрить произвольные директивы в конфигурацию веб-сервера Apache. Это позволяет локальному атакующему повысить привилегии до root и получив полный контроль над сервером.

➡️Python веб-фреймворк Tornado (CVE-2025-67725, CVSS 7.5) — проблема кроется в методе HTTPHeaders.add, необходимом для обработки HTTP-заголовков. При получении запроса с множеством повторяющихся заголовков с одинаковым именем, функция использует конкатенацию строк для объединения их значений. Атакующий может отправить специально сформированный запрос с большим количеством дублирующихся заголовков, чтобы вызвать экспоненциальный рост нагрузки на CPU и заблокировать основной Event Loop сервера. Итог — DoS для всех клиентов.

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч

Asahi Group Ransomware: технический разбор
#malware #ransomware #deepdive

Активность семейства Asahi Group ransomware привлекла внимание благодаря редкому сочетанию скрытности, модульности и агрессивного подхода к извлечению данных. Несмотря на вводящее в заблуждение название, не связанное с японским концерном, Asahi представляет собой комплексную платформу для атак на корпоративные сети. Его архитектура ориентирована на две ключевые задачи: максимально незаметное проникновение и масштабный сбор информации до этапа шифрования.

В отличие от таких известных семейств, как LockBit или Conti, где основной упор делается на быструю эскалацию и моментальное шифрование, Asahi выделяется усиленным этапом разведки и постэксплуатации. Он активно использует модуль DataCollector, который собирает документы, сетевую конфигурацию, журналы и учётные данные ещё до начала разрушительной фазы. Кроме того, Asahi демонстрирует более гибкую структуру загрузки: через Initial Access модуль заражение переходит к Loader, затем — к DataCollector, только после чего запускаются механизмы Lateral Movement, связь с C2 и финальное шифрование.

Такой подход делает Asahi более «разведывательно-ориентированным» по сравнению с традиционными шифраторами, что усложняет раннее обнаружение и увеличивает ценность украденной информации для злоумышленников.

🔗blog.poxek

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч

Почему утечка данных через ИИ-сервисы стала проблемой и как ее решать без тотальных запретов?
#ИИ #ai #llm #ml #ciso

Мне близка проблема ShadowAI, поэтому думаю стоит поделиться хорошим материал и CISO Club и HiveTrace

Корпоративные ИИ-ассистенты создали новые каналы для утечки данных. Исследования показывают, что генеративным ИИ активно пользуются 45% сотрудников крупных компаний, при этом две трети этой активности происходят через личные аккаунты, создавая новую «слепую зону» корпоративной безопасности. Этот скрытый, но массовый оборот данных заставляет более половины российских компаний опасаться утечек через ИИ. Неудивительно: исследование LayerX показало, что ИИ стал главным каналом утечки данных в 2025 году.

🔗Источник

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч

CVE-2025-13780 — критический RCE-баг pgAdmin 4
#CVE #RCE #pgAdmin #PostgreSQL #SQLi #PoC

Позволяет выполнять произвольные shell-команды на сервере через обход regex-валидации при восстановлении plain-text SQL-дампов.​

➡️Суть проблемы

Функция has_meta_commands() в pgAdmin использовала regex-паттерн (^|\\n)[ \\t]*\\ для блокировки опасных psql-метакоманд в загружаемых SQL-файлах:

\! — для shell-команд,
\copy ... PROGRAM — для запуска процессов,
\include — для включения файлов.

Проблема в том, что регулярное выражение ищет последовательность «начало строки или newline (\n) → опциональные пробелы/табы → backslash (\)», но не учитывает CR, carriage return (\r). Если поместить последовательность ‘\n\r\! команда’ в SQL-дамп, regex не сработает из-за символа \r между \n. А вот утилита psql проигнорирует CR и исполнит строку как валидную метакоманду.​

➡️Пример атаки

Атакующий создает вредоносный SQL-дамп, используя CRLF-последовательность для обхода валидации.

CREATE TABLE test (id int);
\n\r\! /bin/sh -c "команда"
INSERT INTO test VALUES (1);

Между \n (новая строка) и \ (начало команды) должен быть вставлен \r (carriage return), который делает паттерн невидимым для regex-фильтра pgAdmin.

Далее:
▪️Атакующий логинится в pgAdmin с низкими привилегиями.
▪️Через интерфейс pgAdmin загружает crafted SQL-файл в функцию Plain Text Restore.
▪️Функция has_meta_commands() проверяет файл regex-паттерном, не находит совпадений из-за CR-символа и пропускает файл как безопасный​.
▪️pgAdmin запускает psql для восстановления БД, передавая содержимое файла.
▪️psql интерпретирует \n\r\! как валидную метакоманду \!, игнорируя CR, и выполняет shell-команду с правами процесса pgAdmin на хосте.

По итогу атакующий получает RCE на сервере с правами, под которыми запущен pgAdmin, с возможностью чтения данных, изменения конфигурации и дальнейшего продвижения по сети.

В качестве решения в версии 9.11 валидация заменена на флаг --restrict при запуске psql. Он аппаратно блокирует метакоманды.

⚡️⚡️⚡️ Есть PoC

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч

1C-Bitrix <= 25.100.500 (Translate Module / Модуль Перевод) RCE CVE-2025-67887
Bitrix24 <= 25.100.300 (Translate Module / Модуль Перевод) RCE CVE-2025-67886
#1сbitrix #bitrix #1c #rce #php

Уязвимость находится в Модуль Перевод, который позволяет пользователям загружать и извлекать архивные файлы во временный каталог. Однако приложение не проверяет содержимое этих архивов перед их извлечением. Это может быть использовано злоумышленниками для загрузки и выполнения произвольного PHP-кода путем включения PHP-файла вместе со специально созданным файлом .htaccess в архив.

Для успешного использования этой уязвимости требуется учетная запись с правами SOURCE и WRITE для Модуль Перевод.

🔗PoC CVE-2025-67887 (не тестировал)
🔗PoC CVE-2025-67886 (не тестировал)

🔥 Принцип работы эксплойта
Скрипт автоматизирует процесс эксплуатации уязвимости, который можно разбить на следующие этапы:
1️⃣Аутентификация: Скрипт начинает с попытки аутентификации в системе 1C-Bitrix, используя логин и пароль, которые вы должны предоставить при запуске. Для этого он отправляет POST-запрос на страницу авторизации.
2️⃣Получение CSRF-токена: После успешного входа в систему скрипт извлекает сессионный ключ (bitrix_sessid), который необходим для защиты от межсайтовой подделки запросов (CSRF). Этот токен будет использоваться во всех последующих запросах к защищенным разделам системы.
3️⃣Загрузка вредоносного архива: Далее скрипт создает и загружает на сервер вредоносный архив rce.tar.gz. Этот архив содержит PHP-веб-шелл (shell.php). Загрузка осуществляется через AJAX-метод translate.asset.grabber.upload, который, по всей видимости, не выполняет должных проверок безопасности содержимого загружаемых файлов.
4️⃣Распаковка архива и активация шелла: После загрузки архива скрипт последовательно вызывает два других AJAX-метода: translate.asset.grabber.extract и translate.asset.grabber.apply. Эти действия приводят к распаковке архива во временную директорию на сервере, делая веб-шелл доступным по прямому URL.
5️⃣Интерактивная сессия с сервером: На последнем этапе скрипт определяет путь к загруженному веб-шеллу и входит в бесконечный цикл, предоставляя вам интерактивную командную строку для выполнения произвольных команд на целевом сервере. Каждая введенная вами команда кодируется в Base64, отправляется на веб-шелл через специальный HTTP-заголовок, выполняется на сервере, и результат возвращается вам в консоль.

p.s. Пришла 1С Битрикс и попросили написать, что они не подтверждают этой уязвимости

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч

CVE-2025-66039 (CVSS 9.3) — обход аутентификации в FreePBX Endpoint Manager
#CVE #FreePBX #AuthBypass #PHP

В модуле Endpoint Manager обнаружилась логическая ошибка при обработке аутентификации, позволяющая получить админа без пароля. Система некорректно верифицирует входящие запросы если в настройках выбран тип аутентификации webserver.

ℹ️Техническая суть

Когда FreePBX настроен с AUTHTYPE=webserver, система слепо доверяет заголовку Authorization: Basic — достаточно указать валидное имя пользователя (например, admin) с любым паролем.

Пример уязвимого запроса:

GET /admin/config.php?display=epm_advanced&view=settings HTTP/1.1
Host: target-freepbx.com
User-Agent: Mozilla/5.0...
Authorization: Basic YWRtaW46YWRtaW4=
Content-Type: application/x-www-form-urlencoded
Connection: close

❗️Защита

Обновить модуль Endpoint Manager до версий 16.0.44 / 17.0.23 или выше или, как временная мера, отключить webserver, если он не требуется.

🪲 Инструменты для детекта (nuclei правило чекает просто версию)

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч