#news Неправильная конфигурация по-прежнему входит в топ распространённых уязвимостей, и Google Firebase вновь тому хороший пример. С помощью простенького сканера исследователи нашли больше 900 сайтов с публично доступными данными пользователей. 125 миллионов юзеров, включая 20 миллионов паролей, в том числе простым текстом, и 27 миллионов реквизитов.
Из 842 уведомленных владельцев сайтов лишь 24% исправили конфигурацию. При этом только 8 человек ответили на письма, а награду за обнаружение уязвимости предложили 2 (два) или 0,2% от оповещённых. Такой вот он неблагодарный, труд белошляпочника-энтузиаста. Так ведь в следующий раз товарищи найденные данные просто на Breached отнесут.
@tomhunter
Из 842 уведомленных владельцев сайтов лишь 24% исправили конфигурацию. При этом только 8 человек ответили на письма, а награду за обнаружение уязвимости предложили 2 (два) или 0,2% от оповещённых. Такой вот он неблагодарный, труд белошляпочника-энтузиаста. Так ведь в следующий раз товарищи найденные данные просто на Breached отнесут.
@tomhunter
🤡4🔥1😁1💯1
#news Новости инфобеза из финтеха далёкой Эфиопии. В крупнейшем банке страны произошёл сбой, позволивший снимать средства независимо от баланса на счету. Президент банка заверил клиентов, что их деньги в безопасности и кибератаки не было — просто ошибка во время рутинного обновления систем. В общем, кто-то не туда нажал, и всё пропало. А именно 42 миллиона долларов.
Такую сумму успели снять со счетов находчивые эфиопцы. В основном это были студенты, выписавшие себе внеочередных стипендий на все годы обучения вперёд. Теперь банк призывает вернуть деньги, обещая не выдвигать обвинений. Но радеющие за улучшение ИБ-стандартов родного финтеха эфиопцы деньги возвращать не спешат и не собираются. Ну или уже планируют на полученное уехать в страны с финтехом более качественным.
@tomhunter
Такую сумму успели снять со счетов находчивые эфиопцы. В основном это были студенты, выписавшие себе внеочередных стипендий на все годы обучения вперёд. Теперь банк призывает вернуть деньги, обещая не выдвигать обвинений. Но радеющие за улучшение ИБ-стандартов родного финтеха эфиопцы деньги возвращать не спешат и не собираются. Ну или уже планируют на полученное уехать в страны с финтехом более качественным.
@tomhunter
😁10🤯3👍1🔥1
#news На Украине арестовали троих хакеров, занимавшихся брутфорсом аккаунтов и их перепродажей. Как сообщает один из арестованных на видео с задержания, он занимался «трiшки брутом». Но «немного» – это мягко сказано. Как утверждает полиция, злоумышленники за год операции взломали больше ста миллионов аккаунтов.
Профили в Стиме, Инстаграме и аккаунты на прочих площадках шли на продажу, в том числе под классические схемы «Дружище, займи 500 рублей до выходных». По итогам операции арестованы три человека, изъяты 70 компьютеров, 14 телефонов и прочее по мелочи. Любителям немного позаниматься брутфорсом грозит до 15 лет тюремного срока и бонусные приключения с СБУ в счёт предполагаемой продажи аккаунтов под нужды клиентов из России, заинтересованных совсем не в сотке гривен от доверчивых пользователей. Слабоумие и отвага как они есть.
@tomhunter
Профили в Стиме, Инстаграме и аккаунты на прочих площадках шли на продажу, в том числе под классические схемы «Дружище, займи 500 рублей до выходных». По итогам операции арестованы три человека, изъяты 70 компьютеров, 14 телефонов и прочее по мелочи. Любителям немного позаниматься брутфорсом грозит до 15 лет тюремного срока и бонусные приключения с СБУ в счёт предполагаемой продажи аккаунтов под нужды клиентов из России, заинтересованных совсем не в сотке гривен от доверчивых пользователей. Слабоумие и отвага как они есть.
@tomhunter
😁9💩7❤1🔥1🤡1
#news На Гитхабе для премиум-юзеров пошёл открытый бета-тест фичи по автоматическому исправлению уязвимостей в коде. Code Scanning Autofix на основе ИИ-модели исправляет 90% процентов ошибок по следам предупреждений в JavaScript, Typescript, Java и Python.
Как утверждает Гитхаб, две трети уязвимостей новая фича будет править с минимальным вмешательством юзера или вообще без него. К найденным багам также идут объяснения предложенного фикса и превью кода для текущего файла, нескольких и зависимостей проекта. Подразумевается, что как Copilot избавил разработчиков от рутины, так и Autofix облегчит возню с отслеживанием багов в разрастающихся проектах. Бонусом от фичи также потенциально станет менее потрёпанная психика джунов, которым вместо усталого и злого сеньора ошибки в коде будет объяснять неутомимый и дружелюбный искусственный болванчик.
@tomhunter
Как утверждает Гитхаб, две трети уязвимостей новая фича будет править с минимальным вмешательством юзера или вообще без него. К найденным багам также идут объяснения предложенного фикса и превью кода для текущего файла, нескольких и зависимостей проекта. Подразумевается, что как Copilot избавил разработчиков от рутины, так и Autofix облегчит возню с отслеживанием багов в разрастающихся проектах. Бонусом от фичи также потенциально станет менее потрёпанная психика джунов, которым вместо усталого и злого сеньора ошибки в коде будет объяснять неутомимый и дружелюбный искусственный болванчик.
@tomhunter
💩5🔥3😁2💯1
#news Мартовские обновления Windows Server 2016 и 2022 принесли сюрприз для админов: от них падают и перезапускаются контроллеры домена. Проблема распространённая. И давно знакомая: вместе с патчами в очередной раз подвезли утечку памяти в сервис LSASS. Он привычно сжирает всю память и вешает контроллеры.
Впрочем, пока админы ждут официального ответа от Microsoft, доступно и временное решение. Техподдержка советует недовольным пользователям патчи просто откатить. В общем, Microsoft вернула себе декабрь 2022-го: тогда патчи точно также шли с бонусом в виде утечки памяти в LSASS и падением серверов. Правда, тогда в Редмонд предложили более элегантное решение. В этот раз пока не заморачиваются: нет патча — нет проблемы.
@tomhunter
Впрочем, пока админы ждут официального ответа от Microsoft, доступно и временное решение. Техподдержка советует недовольным пользователям патчи просто откатить. В общем, Microsoft вернула себе декабрь 2022-го: тогда патчи точно также шли с бонусом в виде утечки памяти в LSASS и падением серверов. Правда, тогда в Редмонд предложили более элегантное решение. В этот раз пока не заморачиваются: нет патча — нет проблемы.
@tomhunter
😁7🔥1
#news Pwn2Own 2024 в Ванкувере завершился на мажорной ноте: за два дня безопасники вскрыли 29 нулевых дней и унесли 1,132,500 долларов. Взломали Windows 11, Ubuntu, Oracle VirtualBox и другой софт, включая Safari, Mozilla и Chrome — во всех крупных браузерах нашлись нулевые дни на произвольный код.
Всем браузерам досталось от Манфреда Пола — он занял первое место и получил чуть больше 200 тысяч долларов. На втором месте Synacktiv с круглой суммой в 200к и бонусной Tesla 3. В первый же день команда вскрыла электрокар уязвимостью на целочисленное переполнение и укатила его с собой с конференции. В прошлом году Synacktiv также взломала Теслу. И в позапрошлом. Так что у команды, судя по всему, хитрый план собрать компании целый автопарк из взломанных детищ Маска. Ну или просто добрая ИБ-традиция — каждый год мы с друзьями на Pwn2Own взламываем Теслу.
@tomhunter
Всем браузерам досталось от Манфреда Пола — он занял первое место и получил чуть больше 200 тысяч долларов. На втором месте Synacktiv с круглой суммой в 200к и бонусной Tesla 3. В первый же день команда вскрыла электрокар уязвимостью на целочисленное переполнение и укатила его с собой с конференции. В прошлом году Synacktiv также взломала Теслу. И в позапрошлом. Так что у команды, судя по всему, хитрый план собрать компании целый автопарк из взломанных детищ Маска. Ну или просто добрая ИБ-традиция — каждый год мы с друзьями на Pwn2Own взламываем Теслу.
@tomhunter
😁11🔥7❤3🎉1
#news Критическая RCE-уязвимость
Уязвимость на внедрение SQL-кода позволяет злоумышленникам добиться произвольного исполнения кода с системными правами. Атака простенькая и взаимодействия со стороны пользователя не требует. Между тем после публикации предупреждения о CVE Fortinet тихонько обновила пост, добавив, что в сетевых дебрях идёт активный эксплойт уязвимости. Shodan насчитал 440 доступных в сети EMS-серверов. Но это всё ещё 440 векторов атаки. Например, как было с китайскими хакерами, пробравшимися в голландскую оборонку с помощью уязвимости в FortiOS. Так что пока админ спит, трудолюбивый китаец стучит по уязвимым серверам.
@tomhunter
CVE-2023-48788 в FortiClientEMS версий 7.0 и 7.2 обзавелась публичным эксплойтом. Horizon3's Attack Team опубликовала теханализ и проверку концепции, которая лёгким движением кода превращается в рабочий эксплойт.Уязвимость на внедрение SQL-кода позволяет злоумышленникам добиться произвольного исполнения кода с системными правами. Атака простенькая и взаимодействия со стороны пользователя не требует. Между тем после публикации предупреждения о CVE Fortinet тихонько обновила пост, добавив, что в сетевых дебрях идёт активный эксплойт уязвимости. Shodan насчитал 440 доступных в сети EMS-серверов. Но это всё ещё 440 векторов атаки. Например, как было с китайскими хакерами, пробравшимися в голландскую оборонку с помощью уязвимости в FortiOS. Так что пока админ спит, трудолюбивый китаец стучит по уязвимым серверам.
@tomhunter
🔥6🤯2🤔1
#news Занятное развитие истории с белорусским борцом за приватность днём и брокером данных ночью. После публикации Кребса товарищ Шелест признал, что владеет сайтами по продаже данных. Его заявление звучит буквально как «Чтобы поймать брокера данных, нужно мыслить как брокер данных». Мол если бы не знали внутреннюю кухню бизнеса, мы бы не понимали, как лучше с ней бороться.
Тем не менее, Mozilla это не убедило, и компания мгновенно отказалась от сотрудничества с Onerep. С прошлого месяца их услуги по удалению данных шли по подписке в их Mozilla Monitor Plus. Как сообщили в компании: «Подход Onerep к ведению бизнеса не соответствует нашим ценностям». В общем, сомнительные практики белорусской айтишечки не нашли понимания у западного человека, к таким оригинальным методам достижения айтишной мечты в 300к в наносекунду не приученного.
@tomhunter
Тем не менее, Mozilla это не убедило, и компания мгновенно отказалась от сотрудничества с Onerep. С прошлого месяца их услуги по удалению данных шли по подписке в их Mozilla Monitor Plus. Как сообщили в компании: «Подход Onerep к ведению бизнеса не соответствует нашим ценностям». В общем, сомнительные практики белорусской айтишечки не нашли понимания у западного человека, к таким оригинальным методам достижения айтишной мечты в 300к в наносекунду не приученного.
@tomhunter
😁5🔥1
#news Гугл пустил в народ новые поисковые алгоритмы на основе ИИ-модели, Search Generative Experience. Но помощник оказался с подвохом: предлагаемые им ссылки ведут на всевозможные скам-сайты. Подозрительные расширения для Хрома, липовые раздачи айфонов, подписки на спам, мошенничество с техподдержкой — вредонос на любой вкус.
Судя по схожим шаблонам сайтов, под индексацию они попали через отравление поисковой выдачи. Пикантности проблеме придаёт формат, в котором алгоритм выдаёт результаты поиска: обернув их в убедительное описание текстом. Что невольно повышает правдоподобность выдачи. Впрочем, натасканный на гуглопоиске ИИ-болванчик просто не может не распространять малварь. Это уже не баг, а фича.
@tomhunter
Судя по схожим шаблонам сайтов, под индексацию они попали через отравление поисковой выдачи. Пикантности проблеме придаёт формат, в котором алгоритм выдаёт результаты поиска: обернув их в убедительное описание текстом. Что невольно повышает правдоподобность выдачи. Впрочем, натасканный на гуглопоиске ИИ-болванчик просто не может не распространять малварь. Это уже не баг, а фича.
@tomhunter
😁8❤2🔥2🤡1
This media is not supported in your browser
VIEW IN TELEGRAM
1️⃣ собирать и исследовать электронно-цифровые следы пользователей
2️⃣ получать сведения о соединении и геолокации устройств
3️⃣ устанавливать личности пользователей по цифровым идентификаторам
4️⃣ выявлять социальные аккаунты, получать доступ к микрофону и камере
5️⃣ создавать и использовать средства логирования (ханипоты)
📖 Сбор и анализ цифровых следов преступления: практическое пособие — СПб: Издательство Санкт-Петербургской академии Следственного комитета
📖 Методы и приемы получения электронно-цифрового следов пользователей онлайн-сервисов (логирование) — СПб: ИСАС
📖 Использование обезличенных рекламных идентификаторов для получения социального графа пользователя поисковых машин и отслеживания его перемещений (ADINT) — СПб: ИСАС
@tomhunter
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6🔥4🎉1💩1
27 Марта в Санкт-Петербургском университете телекоммуникаций при поддержке T.Hunter впервые состоится «Битва на Неве» — конкурс для студентов колледжей в области информационной безопасности. Соревнования пройдут в формате OSINT, и участники смогут отработать свои навыки поиска, сбора и анализа разведывательной информации из общедоступных источников.
В этот же день на площадке СПбГУТ пройдет конференция по информационной безопасности «Дефкон на Неве». Помимо прочего, на ней руководитель нашего департамента расследований Игорь Бедеров представит доклад по теме «Как Пентагон научился использовать таргетированную рекламу для слежки за российскими чиновниками». Подробнее о программе «Дефкона на Неве» читайте по ссылке.
@tomhunter
В этот же день на площадке СПбГУТ пройдет конференция по информационной безопасности «Дефкон на Неве». Помимо прочего, на ней руководитель нашего департамента расследований Игорь Бедеров представит доклад по теме «Как Пентагон научился использовать таргетированную рекламу для слежки за российскими чиновниками». Подробнее о программе «Дефкона на Неве» читайте по ссылке.
@tomhunter
💩9🔥6❤3😁2
#news Очередная громкая атака на цепочку поставок: на этот раз досталось боту в Дискорде Top[.]gg. 170,000 пользователей сообщества получили сомнительное удовольствие обзавестись вредоносным PyPI-пакетом. Который, собственно, подтягивал многофункциональный инфостилер. Примеры успешного эксплойта на многочисленных жертвах в наличии.
Вредонос затесался на GitHub Top[.]gg после перехвата аккаунта мейнтейнера и через фейковую Python-инфраструктуру. Злоумышленник добавил зависимость от тайпсквот-пакета в репозиторий бота, и малварь понеслась по пользователям. Тайпсквот получился таким убедительным, что один юзер открыл тикет с жалобой на упавший домен, переставший доставлять вредонос. На скрине разработчик с удивлением узнаёт об атаке. А подробнее о ней в отчёте.
@tomhunter
Вредонос затесался на GitHub Top[.]gg после перехвата аккаунта мейнтейнера и через фейковую Python-инфраструктуру. Злоумышленник добавил зависимость от тайпсквот-пакета в репозиторий бота, и малварь понеслась по пользователям. Тайпсквот получился таким убедительным, что один юзер открыл тикет с жалобой на упавший домен, переставший доставлять вредонос. На скрине разработчик с удивлением узнаёт об атаке. А подробнее о ней в отчёте.
@tomhunter
🔥5🤯4😁1🤡1
#news У злоумышленников набирает популярность фишинговый AitM-кит Tycoon 2FA — он стал одним из самых распространённых в сетевых дебрях в последние месяцы. Во многом этому поспособствовала новая версия, выпущенная разработчиками в феврале.
Обновлённый Tycoon 2FA может похвастаться серьёзными изменениями в коде для улучшения возможностей и маскировки. На конец февраля под кит засветились больше 1,100 доменных имён, а биткоин-кошелёк разработчиков набрал транзакций почти на 400 тысяч долларов. Так что масштабы у операции серьёзные, и клиентов этот PhaaS набрал прилично. Подробнее о Tycoon 2FA в отчёте, а на Гитхабе лежат индикаторы компрометации.
@tomhunter
Обновлённый Tycoon 2FA может похвастаться серьёзными изменениями в коде для улучшения возможностей и маскировки. На конец февраля под кит засветились больше 1,100 доменных имён, а биткоин-кошелёк разработчиков набрал транзакций почти на 400 тысяч долларов. Так что масштабы у операции серьёзные, и клиентов этот PhaaS набрал прилично. Подробнее о Tycoon 2FA в отчёте, а на Гитхабе лежат индикаторы компрометации.
@tomhunter
❤3🔥3😁1
#news Бесплатные VPN’ы в Google Play оказались с подвохом. В них был вредоносный кит, превращающий устройства в резидентские прокси. Почти два десятка приложений с заходом под угон трафика юзеров и их невольное соучастие в киберпреступных делах.
Виновником стал SDK от LumiApps с Proxylib — библиотекой на Голанге под создание прокси. В общем, тот редкий случай, когда страшилки про VPN-порталы в ад оказываются правдой. Вот только один неловкий момент: исследователи считают, что вредоносные VPN’ы связаны с небезызвестным поставщиком прокси Asocks — по их сайту стучат приложения. А из какой страны и для кого он работает, напоминать, наверное, не нужно. Подробнее в отчёте. Только одной печально известной мадам его не показывайте.
@tomhunter
Виновником стал SDK от LumiApps с Proxylib — библиотекой на Голанге под создание прокси. В общем, тот редкий случай, когда страшилки про VPN-порталы в ад оказываются правдой. Вот только один неловкий момент: исследователи считают, что вредоносные VPN’ы связаны с небезызвестным поставщиком прокси Asocks — по их сайту стучат приложения. А из какой страны и для кого он работает, напоминать, наверное, не нужно. Подробнее в отчёте. Только одной печально известной мадам его не показывайте.
@tomhunter
😁11🔥8💯2
#news Безопасники Гугла опубликовали отчёт по нулевым дням 2023-го. Прошлый год отметился 97 уязвимостями, которые эксплойтили в сетевых дебрях. На 50 с лишним процентов больше, чем в 2022-м, но рекордные 106 из 2021-го не побиты.
Из ключевого: вложения в инфобез оправдывают себя (кто бы мог подумать), злоумышленники переключились на сторонние компоненты и библиотеки, а число атак по корпоративному софту продолжает расти. По части спонсирования госгруппировок по-прежнему ожидаемо лидирует Китай. А эксплойты от финансово-мотивированных злоумышленников пошли на спад, в то время как производители спайвари отметились использованием 50 процентов нулевых дней за прошлый год, лидируя в браузерных и мобильных эксплойтах. Сомнительный спайварь-пьедестал делят израильтяне и итальянцы, разрабатывающие Pegasus c Predator и Epeius, Hermit, Skygofree и VBiss, соответственно. Подробнее о нулевых днях 2023-го в отчёте (PDF).
@tomhunter
Из ключевого: вложения в инфобез оправдывают себя (кто бы мог подумать), злоумышленники переключились на сторонние компоненты и библиотеки, а число атак по корпоративному софту продолжает расти. По части спонсирования госгруппировок по-прежнему ожидаемо лидирует Китай. А эксплойты от финансово-мотивированных злоумышленников пошли на спад, в то время как производители спайвари отметились использованием 50 процентов нулевых дней за прошлый год, лидируя в браузерных и мобильных эксплойтах. Сомнительный спайварь-пьедестал делят израильтяне и итальянцы, разрабатывающие Pegasus c Predator и Epeius, Hermit, Skygofree и VBiss, соответственно. Подробнее о нулевых днях 2023-го в отчёте (PDF).
@tomhunter
🔥7❤2😁1
#news В даркнете набирает обороты новый фишинговый сервис-как-услуга Darcula. Целью атак является кража данных пользователей Android и IPhone в более чем 100 странах. В активе у злоумышленников 20 тысяч доменов для имитации популярных брендов и больше 200 шаблонов под фейковые страницы.
Что примечательно, операторы отошли от привычной рассылки фишинговых сообщений через SMS. Вместо этого они используют RCS-протоколы для Google Messages и iMessage. Что, в свою очередь, повышает убедительность рассылки и её устойчивость к блокировкам. В ход также идут фермы из устройств для обхода ограничений на массовую рассылку и социнженерия, чтобы побудить юзера ответить на сообщение и разблокировать ссылку в iMessage. Судя по жалобам на /r/phishing,Dankula Darcula уже успел засветиться в нескольких крупных кампаниях. Подробнее о сервисе в отчёте.
@tomhunter
Что примечательно, операторы отошли от привычной рассылки фишинговых сообщений через SMS. Вместо этого они используют RCS-протоколы для Google Messages и iMessage. Что, в свою очередь, повышает убедительность рассылки и её устойчивость к блокировкам. В ход также идут фермы из устройств для обхода ограничений на массовую рассылку и социнженерия, чтобы побудить юзера ответить на сообщение и разблокировать ссылку в iMessage. Судя по жалобам на /r/phishing,
@tomhunter
🔥7😁2😢2
#news Новости инфобеза из Германии. Точнее, его отсутствия: согласно оценкам, больше трети серверов Microsoft Exchange в стране критически уязвимы. 17 тысяч из 45 доступных в сети. И суммарно больше половины с уязвимостями в целом.
А разгадка проста: отсутствие обновлений. Около трети серверов не патчили минимум четыре месяца, и на них найдётся хотя бы одна критическая уязвимость под RCE. Более того, 12 процентов серверов работают на версиях Exchange 2010 и 2013, которые не получали обновлений с октября 2020-го и апреля 2023-го соответственно. Под угрозой школы и университеты, медучреждения и госконторы, где традиционно не особо беспокоятся о таких мелочах как ИБ. Полностью пропатченных серверов насчитали всего лишь 15 процентов. Иными словами, на инфобез пресловутый орднунг не распространяется.
@tomhunter
А разгадка проста: отсутствие обновлений. Около трети серверов не патчили минимум четыре месяца, и на них найдётся хотя бы одна критическая уязвимость под RCE. Более того, 12 процентов серверов работают на версиях Exchange 2010 и 2013, которые не получали обновлений с октября 2020-го и апреля 2023-го соответственно. Под угрозой школы и университеты, медучреждения и госконторы, где традиционно не особо беспокоятся о таких мелочах как ИБ. Полностью пропатченных серверов насчитали всего лишь 15 процентов. Иными словами, на инфобез пресловутый орднунг не распространяется.
@tomhunter
🔥5🤯2😁1
#news Пятничная новость о награде, нашедшей антигероя. Один из виновников криптозимы последних лет, владелец биржи FTX Сэм Бэнкман-Фрид, вчера был приговорён судом. И получил драконовский срок: 25 лет за одну из крупнейших финансовых афёр в истории США.
Напомню, человек с говорящей фамилией Бэнкман обвинялся в краже $8 миллиардов со своей обанкротившейся биржи. Последствия этого дела почувствовали не только вкладчики FTX, но и вся блокчейн-индустрия, по которой вслед за криптозимой, начало чему положил крах TerraLuna, прошла волна массовых увольнений и прочих неприятностей. В общем, громкая история бывшего миллиардера-вундеркинда, полная пикантных подробностей из криптобиржевого закулисья (привет, Кэролайн) подошла к концу. И следующие 25 лет Сэм Бэнкман-Фрид будет известен как Сэм Призонман-Конфайнд.
@tomhunter
Напомню, человек с говорящей фамилией Бэнкман обвинялся в краже $8 миллиардов со своей обанкротившейся биржи. Последствия этого дела почувствовали не только вкладчики FTX, но и вся блокчейн-индустрия, по которой вслед за криптозимой, начало чему положил крах TerraLuna, прошла волна массовых увольнений и прочих неприятностей. В общем, громкая история бывшего миллиардера-вундеркинда, полная пикантных подробностей из криптобиржевого закулисья (привет, Кэролайн) подошла к концу. И следующие 25 лет Сэм Бэнкман-Фрид будет известен как Сэм Призонман-Конфайнд.
@tomhunter
😁8🔥2🤡2
#news Неделю закрывает уязвимость в Linux, остававшаяся незамеченной 11 лет. Проблема в команде wall пакета util-linux, идущего со всеми дистрибутивами. В ней с 2013-го скрывается возможность для непривилегированных атакующих красть пароли и изменять буфер жертв.
Уязвимость сводится к неправильной нейтрализации последовательностей управления в команде. Тем не менее, её эксплойт ограничен специфическими условиями. Так, злоумышленнику нужен доступ к серверу с терминалом на несколько пользователей. Кроме того, у wall должны быть разрешения setgid плюс активна утилита mesg. Удаление разрешений и отключение функции рассылки сообщений через mesg проблему устраняет. Ну или можно для разнообразия просто накатить патч. Можно, конечно, и не накатывать. Но PoC к эксплойту уже опубликовали.
@tomhunter
Уязвимость сводится к неправильной нейтрализации последовательностей управления в команде. Тем не менее, её эксплойт ограничен специфическими условиями. Так, злоумышленнику нужен доступ к серверу с терминалом на несколько пользователей. Кроме того, у wall должны быть разрешения setgid плюс активна утилита mesg. Удаление разрешений и отключение функции рассылки сообщений через mesg проблему устраняет. Ну или можно для разнообразия просто накатить патч. Можно, конечно, и не накатывать. Но PoC к эксплойту уже опубликовали.
@tomhunter
🔥5🤯3😁2
#news Вчерашний баг в Linux меркнет на фоне подоспевших новостей. В XZ Utils версий 5.6.0 и 5.6.1 обнаружили бэкдор под SSH. Об этом сообщает RedHat и не стесняется в выражениях: «Немедленно вырубайте все инстансы Fedora Rawhide на работе и дома». Капслоком. Знакомьтесь, CVE-2024-3094, 10 из 10.
История пока только разворачивается. Судя по всему, один из мейнтейнеров XZ добавил в него бэкдор под очень нишевые конфигурации и таргетированную атаку по opensshd через systemd и пытался добиться добавления XZ 5.6.x в Fedora 40-41 и не только. Под эту конфигурацию попала свежая Debian Sid, начал лагать SSH, и бэкдор нашли в процессе анализа проблемы. Бэкдор под удалённый доступ, у мейнтейнера многолетняя история коммитов с версии 5.4.0, и масштабы компрометации пока неизвестны. В общем,crazy fed shit запасайтесь попкорном, выходные будут яркими. Здесь в комментах подборка постов по основным дистрибутивам. А здесь подробный таймлайн по кроту-мейнтейнеру с 2021-го.
@tomhunter
История пока только разворачивается. Судя по всему, один из мейнтейнеров XZ добавил в него бэкдор под очень нишевые конфигурации и таргетированную атаку по opensshd через systemd и пытался добиться добавления XZ 5.6.x в Fedora 40-41 и не только. Под эту конфигурацию попала свежая Debian Sid, начал лагать SSH, и бэкдор нашли в процессе анализа проблемы. Бэкдор под удалённый доступ, у мейнтейнера многолетняя история коммитов с версии 5.4.0, и масштабы компрометации пока неизвестны. В общем,
@tomhunter
🤯17🔥7
#news Рубрика «Их нравы». По следам утечки в открытый доступ базы на 73 миллиона записей телекоммуникационный провайдер AT&T в США всё же признал, что это его данные. Отрицали в 2019-м, когда база пошла на продажу, отрицали вновь после слива. И наконец, после его изучения исследователями отмалчиваться больше не получается.
Но изворотливость на этом не заканчивается. Откуда слив, упорно скрывают. И как сообщает компания, из 73 миллионов клиентов 65,4 миллиона якобы уже бывшие. У оставшихся 7,6 утекли ещё и пасскоды, но их им сбросили. Остальных уведомят. Видимо, в планах у AT&T было подождать, пока текущих клиентов в слитой базе вообще не останется, но помешали настырные журналисты. А если дождаться, пока они все скончаются от естественных причин, так не нужно и о взломе никого уведомлять.
@tomhunter
Но изворотливость на этом не заканчивается. Откуда слив, упорно скрывают. И как сообщает компания, из 73 миллионов клиентов 65,4 миллиона якобы уже бывшие. У оставшихся 7,6 утекли ещё и пасскоды, но их им сбросили. Остальных уведомят. Видимо, в планах у AT&T было подождать, пока текущих клиентов в слитой базе вообще не останется, но помешали настырные журналисты. А если дождаться, пока они все скончаются от естественных причин, так не нужно и о взломе никого уведомлять.
@tomhunter
😁4🔥1