Шерон ‎снова‏ ‎уснула, ‎а ‎вскоре ‎проснулась ‎от‏ ‎жуткой ‎головной‏ ‎боли.

«Так‏ ‎больше ‎не ‎может‏ ‎продолжаться!» ‎—‏ ‎подумала ‎про ‎себя ‎Шерон.‏ ‎—‏ ‎«Нужно ‎действовать‏ ‎немедленно.»

Сначала ‎Шерон‏ ‎подумала ‎обратиться ‎в ‎полицию ‎и‏ ‎сообщить‏ ‎о ‎пропаже‏ ‎сестры. ‎Потом‏ ‎она ‎вспомнила, ‎что ‎не ‎знает‏ ‎даже‏ ‎ее‏ ‎адреса ‎местожительства,‏ ‎да ‎и‏ ‎на ‎вопрос‏ ‎полицейского‏ ‎«Когда ‎вы‏ ‎в ‎последний ‎раз ‎видели ‎сестру?»‏ ‎она ‎сможет‏ ‎сказать‏ ‎только ‎«Никогда…».

Получалось ‎так,‏ ‎что ‎она‏ ‎общалась ‎со ‎своей ‎сестрой,‏ ‎но‏ ‎ни ‎разу‏ ‎не ‎видела‏ ‎ее ‎вживую ‎и ‎не ‎знает‏ ‎ничего‏ ‎о ‎последнем‏ ‎месте ‎ее‏ ‎нахождения ‎в ‎стране…

Да ‎и ‎была‏ ‎ли‏ ‎она‏ ‎вообще ‎в‏ ‎Канаде, ‎где‏ ‎жила ‎сейчас‏ ‎Шерон?..

Действительно,‏ ‎Шерон ‎очень‏ ‎мало ‎знала ‎о ‎своей ‎двоюродной‏ ‎сестре… ‎За‏ ‎два‏ ‎месяца ‎общения ‎онлайн‏ ‎Шерон ‎узнала,‏ ‎что ‎та ‎работает ‎юристом,‏ ‎у‏ ‎нее ‎есть‏ ‎муж ‎Дэвид,‏ ‎который ‎тоже ‎работает ‎вместе ‎с‏ ‎Сати‏ ‎в ‎одной‏ ‎фирме ‎программистом.‏ ‎Что ‎у ‎них ‎нет ‎детей.‏ ‎Мать‏ ‎Сати,‏ ‎которая ‎присутствовала‏ ‎на ‎похоронах,‏ ‎как ‎раз‏ ‎дала‏ ‎контакты ‎Сати,‏ ‎чтобы ‎девушки ‎могли ‎наконец ‎узнать‏ ‎друг ‎о‏ ‎друге‏ ‎и ‎возможно ‎найти‏ ‎взаимную ‎поддержку‏ ‎при ‎утрате ‎близкого ‎человека.

Шерон,‏ ‎припоминая‏ ‎общение ‎с‏ ‎сестрой, ‎вдруг‏ ‎поняла, ‎что ‎по ‎большей ‎части‏ ‎именно‏ ‎она ‎рассказывала‏ ‎Сати ‎о‏ ‎своей ‎жизни, ‎начиная ‎с ‎детства,‏ ‎про‏ ‎студенческие‏ ‎годы ‎и‏ ‎нынешнюю ‎ситуацию,‏ ‎про ‎то,‏ ‎как‏ ‎ей ‎тяжело‏ ‎после ‎смерти ‎отца, ‎ведь ‎это‏ ‎был ‎единственный‏ ‎человек‏ ‎в ‎ее ‎жизни,‏ ‎кому ‎она‏ ‎доверяла ‎и ‎кто ‎о‏ ‎ней‏ ‎заботился ‎(к‏ ‎сожалению, ‎судьба‏ ‎распорядилась ‎так, ‎что ‎мать ‎Шерон‏ ‎умерла‏ ‎при ‎родах).

23-летняя‏ ‎Шерон ‎с‏ ‎трудом ‎понимала ‎всю ‎ситуацию, ‎в‏ ‎которой‏ ‎она‏ ‎оказалась ‎теперь.

«Мать‏ ‎Сати ‎должна‏ ‎знать, ‎где‏ ‎ее‏ ‎дочь?». ‎Шерон‏ ‎схватила ‎телефон ‎и, ‎не ‎думая‏ ‎о ‎том,‏ ‎который‏ ‎сейчас ‎час, ‎стала‏ ‎набирать ‎номер.

«Абонент‏ ‎находится ‎вне ‎зоны ‎действия‏ ‎сети…»‏ ‎— ‎услышала‏ ‎Шерон ‎в‏ ‎ответ.

«Наберу ‎позднее…в ‎течение ‎дня ‎точно‏ ‎до‏ ‎нее ‎дозвонюсь!»

Шерон‏ ‎встала ‎с‏ ‎кровати ‎и ‎пошла ‎на ‎кухню‏ ‎проглотить‏ ‎таблетку‏ ‎от ‎головной‏ ‎боли. ‎Открыв‏ ‎шкафчик ‎и‏ ‎увидев‏ ‎Нужную ‎Таблетку‏ ‎(НТ), ‎Шерон ‎протянула ‎руку ‎к‏ ‎ней ‎и,‏ ‎не‏ ‎успев ‎ее ‎взять,‏ ‎упала ‎в‏ ‎обморок…

Шерон ‎проснулась ‎в ‎кровати.‏ ‎На‏ ‎мобильном ‎телефоне‏ ‎все ‎также‏ ‎3 ‎часа ‎ночи.

«Что ‎делать? ‎Сколько‏ ‎я‏ ‎спала?»

Шерон ‎пыталась‏ ‎припомнить ‎свой‏ ‎вчерашний ‎день, ‎но ‎в ‎памяти‏ ‎была‏ ‎пустота…такое‏ ‎ощущение, ‎как‏ ‎будто ‎кто-то‏ ‎стер ‎всю‏ ‎информацию‏ ‎из ‎нее…

Она‏ ‎взяла ‎телефон ‎в ‎руки ‎и‏ ‎решила ‎полистать‏ ‎информацию‏ ‎с ‎контактами ‎и‏ ‎узнать, ‎были‏ ‎ли ‎от ‎кого ‎пропущенные‏ ‎звонки.‏ ‎Входящих ‎звонков‏ ‎и ‎сообщений‏ ‎за ‎последние ‎сутки ‎не ‎было.‏ ‎Тогда‏ ‎она ‎открыла‏ ‎данные ‎по‏ ‎исходящим ‎звонкам ‎и ‎сообщениям. ‎И‏ ‎опять‏ ‎в‏ ‎телефоне ‎информация,‏ ‎что ‎за‏ ‎последние ‎сутки‏ ‎ничего‏ ‎не ‎изменилось…каких-либо‏ ‎цифровых ‎следов ‎нет.

Шерон ‎встала, ‎чтобы‏ ‎сходить ‎попить‏ ‎воды.‏ ‎В ‎голове ‎возникла‏ ‎снова ‎мысль‏ ‎«Найти ‎Сати».

«Где ‎моя ‎сестра‏ ‎и‏ ‎что ‎с‏ ‎ней ‎произошло?»‏ ‎— ‎не ‎успокаивалась ‎Шерон.

А ‎в‏ ‎ответ‏ ‎только ‎внутренний‏ ‎голос ‎говорил:

Найти‏ ‎Сати…найти ‎Сати…найти ‎Сати!

#сказкотерапия ‎#уязвимость

Шерон ‎проснулась‏ ‎в ‎3 ‎часа ‎ночи ‎и‏ ‎долго ‎не‏ ‎могла‏ ‎уснуть. ‎Много ‎мыслей‏ ‎мелькало ‎в‏ ‎ее ‎голове ‎уже ‎на‏ ‎протяжении‏ ‎7 ‎дней.‏ ‎Она ‎чувствовала‏ ‎напряжение ‎в ‎теле, ‎но ‎все‏ ‎никак‏ ‎не ‎могла‏ ‎понять ‎его‏ ‎причины.

Ее ‎двоюродная ‎сестра ‎Сати, ‎о‏ ‎существовании‏ ‎которой‏ ‎она ‎узнала‏ ‎только ‎2‏ ‎месяца ‎назад‏ ‎на‏ ‎похоронах ‎отца,‏ ‎уже ‎не ‎выходила ‎на ‎связь‏ ‎8 ‎дней.‏ ‎Девушки‏ ‎очень ‎сильно ‎сблизились‏ ‎за ‎эти‏ ‎месяцы, ‎и ‎неожиданно ‎вдруг‏ ‎их‏ ‎дружба ‎оборвалась…

Шерон‏ ‎пыталась ‎по‏ ‎следам ‎в ‎Сети ‎найти ‎Сати,‏ ‎но‏ ‎все ‎попытки‏ ‎поиска ‎были‏ ‎безуспешными. ‎С ‎сестрой ‎девушка ‎разговаривала‏ ‎последний‏ ‎раз‏ ‎по ‎телефону‏ ‎через ‎звонки‏ ‎в ‎мессенджере‏ ‎13‏ ‎дней ‎назад,‏ ‎а ‎сообщение ‎от ‎нее ‎получила‏ ‎в ‎социальной‏ ‎сети‏ ‎8 ‎дней ‎назад,‏ ‎и ‎оно‏ ‎было ‎последним…

Сати ‎отправила ‎его‏ ‎в‏ ‎07:07, ‎где‏ ‎сообщила ‎своей‏ ‎дорогой ‎сестренке, ‎что ‎у ‎нее‏ ‎все‏ ‎хорошо, ‎и‏ ‎что ‎она‏ ‎собирается ‎в ‎одно ‎увлекательное ‎путешествие‏ ‎на‏ ‎озеро‏ ‎Титикака. ‎Сати‏ ‎звала ‎Шерон‏ ‎с ‎собой‏ ‎в‏ ‎это ‎путешествие…

Однако‏ ‎Шерон, ‎прочитав ‎сообщение, ‎ответила ‎ей,‏ ‎что ‎из-за‏ ‎работы‏ ‎и ‎домашних ‎дел,‏ ‎связанных ‎с‏ ‎ремонтом ‎в ‎новом ‎доме,‏ ‎доставшемся‏ ‎ей ‎после‏ ‎смерти ‎отца‏ ‎по ‎наследству, ‎не ‎сможет ‎вместе‏ ‎с‏ ‎ней ‎поехать…‏ ‎Сати ‎это‏ ‎сообщение ‎от ‎Шерон ‎так ‎и‏ ‎не‏ ‎прочитала,‏ ‎по ‎крайней‏ ‎мере, ‎отметки‏ ‎о ‎прочтении‏ ‎не‏ ‎было…

И ‎возможно‏ ‎сейчас ‎Шерон ‎эта ‎ситуация ‎беспокоила…непрочитанное‏ ‎сообщение…отсутствие ‎какой-либо‏ ‎связи‏ ‎с ‎Сати…а ‎может‏ ‎что-то ‎и‏ ‎еще, ‎о ‎чем ‎Шерон‏ ‎пока‏ ‎еще ‎не‏ ‎догадывалась…

Продолжение ‎сказки‏ ‎в ‎публикации ‎22 ‎марта ‎2025‏ ‎года…

А‏ ‎какую ‎концовку‏ ‎сказки ‎Вы‏ ‎ждете?..

Со ‎счастливым ‎концом ‎или ‎трагическим?

#сказкотерапия‏ ‎#уязвимость

представлен ‎анализ‏ ‎рекомендаций ‎Агентства ‎национальной ‎безопасности ‎(АНБ)‏ ‎по ‎борьбе‏ ‎с‏ ‎LOTL-атаками; ‎включает ‎в‏ ‎себя ‎изучение‏ ‎подхода ‎к ‎тактике ‎LOTL,‏ ‎подразумевающей‏ ‎использование ‎легитимных‏ ‎инструментов ‎в‏ ‎различных ‎целях ‎и ‎служит ‎ценным‏ ‎ресурсом‏ ‎для ‎специалистов‏ ‎по ‎безопасности,‏ ‎ИТ-персонала, ‎политиков ‎и ‎заинтересованных ‎сторон‏ ‎в‏ ‎различных‏ ‎отраслях, ‎предоставляя‏ ‎им ‎знания‏ ‎для ‎защиты‏ ‎от‏ ‎сложных ‎LOTL-угроз.

Уязвимости ‎Telerik‏ ‎Report ‎Server, ‎идентифицированные ‎как ‎CVE-2024-4358 и‏ ‎CVE-2024-1800, позволяют ‎злоумышленникам,‏ ‎не‏ ‎прошедшим ‎проверку ‎подлинности,‏ ‎выполнять ‎произвольный‏ ‎код ‎на ‎уязвимых ‎серверах.

Схема‏ ‎атаки

📌Первоначальный‏ ‎доступ: злоумышленник ‎идентифицирует‏ ‎уязвимый ‎экземпляр‏ ‎сервера ‎отчетов ‎Telerik.

📌Использование ‎CVE-2024-4358: Злоумышленник ‎отправляет‏ ‎обработанный‏ ‎запрос ‎на‏ ‎конечную ‎точку‏ ‎/Startup/Register ‎для ‎создания ‎новой ‎учетной‏ ‎записи‏ ‎администратора.

📌Повышение‏ ‎привилегий: ‎Злоумышленник‏ ‎входит ‎в‏ ‎систему, ‎используя‏ ‎только‏ ‎что ‎созданную‏ ‎учетную ‎запись ‎администратора.

📌Использование ‎CVE-2024-1800: ‎Злоумышленник‏ ‎создает ‎вредоносный‏ ‎отчет,‏ ‎который ‎использует ‎уязвимость‏ ‎десериализации ‎для‏ ‎выполнения ‎произвольного ‎кода.

📌Выполнение ‎команды:‏ ‎Злоумышленник‏ ‎выполняет ‎произвольные‏ ‎команды ‎на‏ ‎сервере, ‎добиваясь ‎удаленного ‎выполнения ‎кода.

Сценарий‏ ‎атаки

Идентификация‏ ‎цели:

📌Злоумышленник ‎идентифицирует‏ ‎уязвимый ‎экземпляр‏ ‎сервера ‎отчетов ‎Telerik, ‎как ‎правило,‏ ‎путем‏ ‎сканирования‏ ‎общедоступных ‎экземпляров‏ ‎с ‎помощью‏ ‎таких ‎инструментов,‏ ‎как‏ ‎Shodan.

Обход ‎проверки‏ ‎подлинности ‎(CVE-2024-4358):

📌Злоумышленник ‎использует ‎уязвимость ‎в‏ ‎мастере ‎настройки‏ ‎сервера‏ ‎отчетов ‎Telerik ‎для‏ ‎обхода ‎проверки‏ ‎подлинности. ‎Эта ‎уязвимость ‎позволяет‏ ‎злоумышленнику‏ ‎создать ‎новую‏ ‎учетную ‎запись‏ ‎администратора ‎без ‎предварительной ‎проверки ‎подлинности.

📌Конкретной‏ ‎используемой‏ ‎конечной ‎точкой‏ ‎является ‎Telerik.ReportServer.Web.dll!‏ ‎Telerik.ReportServer.Web.Controllers.StartupController.Register, ‎которая ‎не ‎проверяет, ‎был‏ ‎ли‏ ‎процесс‏ ‎установки ‎уже‏ ‎завершен.

📌Злоумышленник ‎отправляет‏ ‎созданный ‎HTTP-запрос‏ ‎на‏ ‎конечную ‎точку‏ ‎/Startup/Register ‎для ‎создания ‎новой ‎учетной‏ ‎записи ‎администратора:

curl‏ ‎'http://TARGET_HERE/Startup/Register'‏ ‎-d ‎'Username=USERNAME_HERE& ‎Password=PASSWORD_HERE&‏ ‎ConfirmPassword=PASSWORD_HERE& ‎Email=backdoor%http://40admin.com&‏ ‎FirstName=backdoor& ‎LastName=user'

Создание ‎учетной ‎записи‏ ‎и‏ ‎проверка ‎подлинности:

📌После‏ ‎успешной ‎эксплуатации‏ ‎злоумышленник ‎получает ‎привилегированный ‎доступ ‎к‏ ‎серверу‏ ‎отчетов ‎Telerik,‏ ‎используя ‎только‏ ‎что ‎созданную ‎учетную ‎запись ‎администратора.

📌Злоумышленник‏ ‎входит‏ ‎в‏ ‎систему, ‎используя‏ ‎учетные ‎данные‏ ‎учетной ‎записи‏ ‎backdoor,‏ ‎созданной ‎на‏ ‎предыдущем ‎шаге.

Эксплойт ‎десериализации ‎(CVE-2024-1800):

📌Имея ‎административный‏ ‎доступ, ‎злоумышленник‏ ‎использует‏ ‎уязвимость ‎десериализации ‎на‏ ‎сервере ‎отчетов‏ ‎Telerik ‎для ‎выполнения ‎произвольного‏ ‎кода‏ ‎на ‎сервере.

📌Злоумышленник‏ ‎создает ‎вредоносный‏ ‎отчет, ‎который ‎запускает ‎ошибку ‎десериализации,‏ ‎позволяя‏ ‎выполнять ‎произвольные‏ ‎команды ‎на‏ ‎сервере.

📌Скрипт ‎PoC ‎автоматизирует ‎этот ‎процесс,‏ ‎включая‏ ‎генерацию‏ ‎случайных ‎имен‏ ‎пользователей ‎и‏ ‎паролей ‎для‏ ‎бэкдорской‏ ‎учетной ‎записи‏ ‎и ‎создание ‎отчета ‎о ‎вредоносных‏ ‎программах:

python ‎http://CVE-2024-4358.py --target‏ ‎http://192.168.253.128:83 -c‏ ‎«whoami»

Технические ‎подробности‏ ‎и ‎практика ‎использования ‎CVE-2024-24919 в ‎реальных‏ ‎условиях ‎подчеркивают‏ ‎критический‏ ‎характер ‎этой ‎уязвимости‏ ‎и ‎важность‏ ‎оперативного ‎устранения ‎для ‎защиты‏ ‎от‏ ‎потенциальных ‎утечек‏ ‎данных ‎и‏ ‎сетевых ‎компрометаций.

Описание ‎уязвимости

📌 CVE-2024-24919 ‎— ‎уязвимость,‏ ‎связанная‏ ‎с ‎раскрытием‏ ‎информации, ‎которая‏ ‎позволяет ‎удаленному ‎злоумышленнику, ‎не ‎прошедшему‏ ‎проверку‏ ‎подлинности,‏ ‎считывать ‎содержимое‏ ‎произвольных ‎файлов‏ ‎на ‎уязвимом‏ ‎устройстве.

📌 Уязвимость‏ ‎классифицируется ‎как‏ ‎«Передача ‎конфиденциальной ‎информации ‎неавторизованному ‎субъекту».

📌 Уязвимость‏ ‎затрагивает ‎системы‏ ‎с‏ ‎удаленным ‎доступом ‎мобильным‏ ‎или ‎VPN.

Уязвимые‏ ‎Продукты

📌CloudGuard ‎Network

📌Quantum ‎Maestro

📌Quantum ‎Scalable‏ ‎Chassis

📌Quantum‏ ‎Security ‎Gateways

📌Quantum‏ ‎Spark ‎Appliances

Подробности‏ ‎Эксплуатации

📌 Уязвимостью ‎можно ‎воспользоваться, ‎отправив ‎созданный‏ ‎запрос‏ ‎на ‎конечную‏ ‎точку ‎/clients/MyCRL,‏ ‎которая ‎предназначена ‎для ‎обработки ‎статических‏ ‎файлов‏ ‎из‏ ‎файловой ‎системы.

📌 Включая‏ ‎в ‎текст‏ ‎запроса ‎последовательности‏ ‎обхода‏ ‎пути, ‎такие‏ ‎как ‎././etc/passwd, ‎злоумышленник ‎может ‎считывать‏ ‎конфиденциальные ‎файлы,‏ ‎такие‏ ‎как ‎/etc/shadow, ‎для‏ ‎получения ‎хэшей‏ ‎паролей.

📌 Уязвимость ‎позволяет ‎считывать ‎любой‏ ‎файл‏ ‎в ‎системе,‏ ‎а ‎не‏ ‎только ‎конкретные ‎файлы, ‎указанные ‎поставщиком.

PoC

📌 Исследователи‏ ‎в‏ ‎области ‎безопасности‏ ‎опубликовали ‎общедоступный‏ ‎PoC-эксплойт ‎для ‎CVE-2024-24919, ‎содержащий ‎технические‏ ‎подробности‏ ‎о‏ ‎том, ‎как‏ ‎использовать ‎уязвимость.

📌 PoC‏ ‎демонстрирует ‎способность‏ ‎считывать‏ ‎произвольные ‎файлы,‏ ‎включая ‎извлечение ‎хэшей ‎паролей ‎и‏ ‎другой ‎конфиденциальной‏ ‎информации.

Практическое‏ ‎применение

📌 Компания ‎Check ‎Point‏ ‎наблюдала ‎активную‏ ‎эксплуатацию ‎этой ‎уязвимости ‎вживую‏ ‎с‏ ‎начала ‎апреля‏ ‎2024 ‎года.

📌 Злоумышленники‏ ‎использовали ‎уязвимость ‎для ‎извлечения ‎хэшей‏ ‎паролей,‏ ‎перемещения ‎по‏ ‎сетям ‎и‏ ‎компрометации ‎серверов ‎Active ‎Directory ‎путем‏ ‎извлечения‏ ‎файла‏ ‎ntds.dit.

Анализ ‎кода

Первоначальный‏ ‎анализ:

📌 Уязвимый ‎код‏ ‎выполняет ‎операции‏ ‎ввода-вывода‏ ‎файлов, ‎на‏ ‎которые ‎указывают ‎ссылки ‎на ‎такие‏ ‎функции, ‎как‏ ‎_fopen‏ ‎и ‎_fread.

📌 Код ‎сравнивает‏ ‎запрошенный ‎URL-адрес‏ ‎со ‎списком ‎жестко ‎заданных‏ ‎строк‏ ‎из ‎таблицы‏ ‎строк, ‎чтобы‏ ‎определить, ‎может ‎ли ‎файл ‎быть‏ ‎обработан.

Ошибка‏ ‎сравнения ‎строк:

📌 В‏ ‎коде ‎используется‏ ‎функция ‎strstr ‎для ‎проверки ‎того,‏ ‎содержит‏ ‎ли‏ ‎запрашиваемый ‎URL-адрес‏ ‎какие-либо ‎строки‏ ‎из ‎таблицы.‏ ‎Эта‏ ‎функция ‎выполняет‏ ‎поиск ‎подстроки, ‎а ‎не ‎строгое‏ ‎сравнение.

📌 Это ‎позволяет‏ ‎злоупотреблять‏ ‎кодом, ‎включив ‎допустимую‏ ‎подстроку ‎в‏ ‎последовательность ‎обхода ‎пути, ‎такую‏ ‎как‏ ‎http://icsweb.cab/././etc/passwd.

Использование ‎обхода‏ ‎пути:

📌 Первоначальные ‎попытки‏ ‎использовать ‎обход ‎пути ‎путем ‎включения‏ ‎в‏ ‎URL-адрес ‎последовательностей‏ ‎типа ‎././etc/passwd‏ ‎завершились ‎неудачей, ‎поскольку ‎операционная ‎система‏ ‎правильно‏ ‎определила‏ ‎путь ‎как‏ ‎недопустимый.

📌 Была ‎найдена‏ ‎вторая ‎таблица‏ ‎строк,‏ ‎содержащая ‎записи,‏ ‎указывающие ‎на ‎пути ‎к ‎каталогам,‏ ‎такие ‎как‏ ‎CSHELL/.

Эксплуатация:

📌 Создав‏ ‎запрос, ‎который ‎включал‏ ‎строку ‎каталога‏ ‎CSHELL/, ‎за ‎которой ‎следовала‏ ‎последовательность‏ ‎обхода ‎пути,‏ ‎исследователи ‎смогли‏ ‎обойти ‎проверки.

📌 Запрос ‎был ‎выполнен ‎успешно:

POST‏ ‎/clients/MyCRL‏ ‎HTTP/1.1

Host: ‎<redacted>

Content-Length:‏ ‎39

aCSHELL/./././././././etc/shadow

📌 Этот ‎запрос‏ ‎вернул ‎содержимое ‎файла ‎/etc/shadow, ‎подтвердив‏ ‎уязвимость‏ ‎для‏ ‎произвольного ‎чтения‏ ‎файла.

Последствия:

📌 Возможность ‎чтения‏ ‎файла ‎/etc/shadow‏ ‎указывает‏ ‎на ‎то,‏ ‎что ‎злоумышленник ‎обладает ‎правами ‎суперпользователя,‏ ‎позволяющими ‎ему‏ ‎читать‏ ‎любой ‎файл ‎в‏ ‎файловой ‎системе.

📌 Это‏ ‎более ‎серьезная ‎проблема, ‎чем‏ ‎рекомендация‏ ‎поставщика, ‎которая‏ ‎предполагала ‎ограниченный‏ ‎доступ ‎к ‎информации.

CVE-2024-3400 (+ url + github ‎url#1, url#2) — это‏ ‎критическая ‎уязвимость ‎при ‎внедрении ‎команд‏ ‎в ‎программное‏ ‎обеспечение‏ ‎Palo ‎Alto ‎Networks‏ ‎для ‎PAN-OS,‏ ‎которая, ‎в ‎частности, ‎влияет‏ ‎на‏ ‎функцию ‎GlobalProtect.‏ ‎Эта ‎уязвимость‏ ‎позволяет ‎удаленному ‎злоумышленнику, ‎не ‎прошедшему‏ ‎проверку‏ ‎подлинности, ‎выполнить‏ ‎произвольный ‎код‏ ‎с ‎правами ‎суперпользователя ‎на ‎уязвимом‏ ‎брандмауэре.‏ ‎Уязвимость‏ ‎затрагивает ‎версии‏ ‎PAN-OS ‎10.2,‏ ‎11.0 ‎и‏ ‎11.1‏ ‎при ‎настройке‏ ‎с ‎помощью ‎GlobalProtect ‎gateway ‎или‏ ‎GlobalProtect ‎portal.

Первоначальное‏ ‎обнаружение‏ ‎и ‎использование:

📌Уязвимость ‎была‏ ‎впервые ‎обнаружена‏ ‎Volexity ‎26 ‎марта ‎2024‏ ‎года.

📌Злоумышленники,‏ ‎идентифицированные ‎как‏ ‎поддерживаемая ‎государством‏ ‎группа ‎UTA0218, ‎воспользовались ‎уязвимостью ‎для‏ ‎получения‏ ‎несанкционированного ‎доступа‏ ‎к ‎устройствам‏ ‎брандмауэра.

Вектор ‎атаки:

📌Уязвимость ‎используется ‎с ‎помощью‏ ‎ошибки‏ ‎фильтрации‏ ‎команд ‎в‏ ‎функции ‎GlobalProtect.‏ ‎Злоумышленники ‎могут‏ ‎манипулировать‏ ‎cookie ‎SESSID‏ ‎для ‎создания ‎произвольных ‎файлов ‎в‏ ‎системе, ‎которые‏ ‎затем‏ ‎могут ‎быть ‎использованы‏ ‎для ‎выполнения‏ ‎команд ‎с ‎правами ‎суперпользователя.

📌Атака‏ ‎не‏ ‎требует ‎аутентификации,‏ ‎что ‎делает‏ ‎ее ‎чрезвычайно ‎опасной ‎ввиду ‎низкой‏ ‎сложности‏ ‎применения.

Последовательность ‎действий:

Шаг‏ ‎1: ‎Разведка:

📌Злоумышленники‏ ‎сканируют ‎уязвимые ‎устройства ‎PAN-OS, ‎настроенные‏ ‎с‏ ‎помощью‏ ‎GlobalProtect ‎gateway‏ ‎или ‎портала.

📌Они‏ ‎используют ‎простые‏ ‎команды‏ ‎для ‎размещения‏ ‎в ‎системе ‎файлов ‎размером ‎в‏ ‎ноль ‎байт‏ ‎для‏ ‎проверки ‎уязвимости.

Шаг ‎2:‏ ‎Первоначальное ‎использование:

📌Злоумышленники‏ ‎отправляют ‎на ‎уязвимое ‎устройство‏ ‎специально‏ ‎созданные ‎сетевые‏ ‎запросы, ‎манипулируя‏ ‎cookie-файлом ‎SESSID ‎для ‎создания ‎файла‏ ‎в‏ ‎определенном ‎каталоге.

📌Пример:‏ ‎Cookie: ‎SESSID=/./././var/appweb/sslvpndocs/global-protect/portal/images/poc.txt.

Шаг‏ ‎3: ‎Выполнение ‎команды:

📌Созданный ‎файл ‎используется‏ ‎для‏ ‎ввода‏ ‎и ‎выполнения‏ ‎произвольных ‎команд‏ ‎с ‎правами‏ ‎суперпользователя.

📌Злоумышленники‏ ‎создают ‎reverseshell‏ ‎и ‎устанавливают ‎дополнительные ‎инструменты, ‎такие‏ ‎как ‎пользовательский‏ ‎Python-бэкдор‏ ‎UPSTYLE, ‎для ‎обеспечения‏ ‎закрепления ‎в‏ ‎системе.

Шаг ‎4: ‎Последующая ‎эксплуатация:

📌Злоумышленники‏ ‎извлекают‏ ‎конфиденциальные ‎данные,‏ ‎включая ‎текущую‏ ‎конфигурацию ‎брандмауэра ‎и ‎учетные ‎данные‏ ‎пользователя.

📌Они‏ ‎также ‎могут‏ ‎использовать ‎взломанное‏ ‎устройство ‎для ‎распространения ‎по ‎сети.

Обнаруженная‏ ‎вредоносная‏ ‎активность:

📌Всплеск‏ ‎вредоносной ‎активности‏ ‎наблюдался ‎вскоре‏ ‎после ‎публичного‏ ‎раскрытия‏ ‎уязвимости ‎и‏ ‎публикации ‎сценария ‎эксплойта ‎на ‎GitHub.

📌Злоумышленники‏ ‎использовали ‎бэкдор‏ ‎UPSTYLE‏ ‎для ‎косвенного ‎взаимодействия‏ ‎со ‎взломанным‏ ‎устройством, ‎отправляя ‎команды ‎через‏ ‎журналы‏ ‎ошибок ‎и‏ ‎получая ‎выходные‏ ‎данные ‎через ‎общедоступную ‎таблицу ‎стилей.

Этот ‎документ‏ ‎погружает ‎в ‎захватывающий ‎мир ‎CVE-2024-21111,‏ ‎восхитительной ‎уязвимости‏ ‎в‏ ‎Oracle ‎VM ‎VirtualBox,‏ ‎которая ‎просто‏ ‎обожает ‎сеять ‎хаос ‎на‏ ‎хостингах‏ ‎Windows. ‎Мы‏ ‎рассмотрим ‎эту‏ ‎жемчужину ‎со ‎всех ‎возможных ‎сторон,‏ ‎потому‏ ‎что ‎кому‏ ‎не ‎понравится‏ ‎хороший ‎кошмар ‎с ‎точки ‎зрения‏ ‎безопасности?

В‏ ‎этом‏ ‎документе ‎содержится‏ ‎подробное ‎описание‏ ‎уязвимости, ‎предлагающее‏ ‎информацию‏ ‎специалистам ‎по‏ ‎безопасности ‎и ‎другим ‎заинтересованным ‎сторонам,‏ ‎которые ‎просто‏ ‎не‏ ‎могут ‎нарадоваться ‎на‏ ‎подобные ‎проблемы.‏ ‎Этот ‎анализ ‎является ‎обязательным‏ ‎для‏ ‎прочтения ‎всем,‏ ‎кто ‎хочет‏ ‎понять ‎риски, ‎связанные ‎с ‎CVE-2024-21111,‏ ‎и‏ ‎принять ‎меры‏ ‎для ‎предотвращения‏ ‎того, ‎чтобы ‎их ‎системы ‎не‏ ‎стали‏ ‎следующей‏ ‎жертвой. ‎Наслаждайтесь!

-------

документ‏ ‎содержит ‎анализ‏ ‎CVE-2024–2111, ‎уязвимости‏ ‎в‏ ‎Oracle ‎VM‏ ‎VirtualBox, ‎влияющей ‎на ‎хосты ‎Windows.‏ ‎Анализ ‎охватывает‏ ‎различные‏ ‎аспекты ‎уязвимости, ‎включая‏ ‎её ‎технические‏ ‎детали, ‎механизмы ‎использования, ‎потенциальное‏ ‎воздействие‏ ‎на ‎различные‏ ‎отрасли.

Этот ‎документ‏ ‎содержит ‎высококачественное ‎описание ‎уязвимости, ‎предлагая‏ ‎ценную‏ ‎информацию ‎специалистам‏ ‎по ‎безопасности‏ ‎и ‎другим ‎заинтересованным ‎сторонам ‎из‏ ‎различных‏ ‎отраслей.‏ ‎Анализ ‎полезен‏ ‎для ‎понимания‏ ‎рисков, ‎связанных‏ ‎с‏ ‎CVE-2024–2111, ‎и‏ ‎внедрения ‎эффективных ‎мер ‎по ‎защите‏ ‎систем ‎от‏ ‎потенциальных‏ ‎атак.

CVE-2024-2111 ‎— ‎это‏ ‎уязвимость ‎системы‏ ‎безопасности, ‎выявленная ‎в ‎Oracle‏ ‎VM‏ ‎VirtualBox, ‎которая,‏ ‎в ‎частности,‏ ‎затрагивает ‎хосты ‎Windows ‎и ‎присутствует‏ ‎в‏ ‎версиях ‎до‏ ‎версии ‎7.0.16.‏ ‎Это ‎позволяет ‎злоумышленнику ‎с ‎низкими‏ ‎привилегиями,‏ ‎имеющему‏ ‎доступ ‎для‏ ‎входа ‎в‏ ‎систему, ‎к‏ ‎инфраструктуре,‏ ‎где ‎выполняется‏ ‎Oracle ‎VM ‎VirtualBox, ‎потенциально ‎захватить‏ ‎систему

Злоумышленник, ‎использующий‏ ‎эту‏ ‎уязвимость, ‎может ‎получить‏ ‎несанкционированный ‎контроль‏ ‎над ‎уязвимой ‎виртуальной ‎машиной‏ ‎Oracle‏ ‎VirtualBox. ‎Конкретный‏ ‎технический ‎механизм‏ ‎включает ‎локальное ‎повышение ‎привилегий ‎посредством‏ ‎перехода‏ ‎по ‎символической‏ ‎ссылке, ‎что‏ ‎может ‎привести ‎к ‎произвольному ‎удалению‏ ‎и‏ ‎перемещению‏ ‎файла.

📌 Тип ‎уязвимости:‏ ‎локальное ‎повышение‏ ‎привилегий ‎(LPE)‏ ‎позволяет‏ ‎злоумышленнику ‎с‏ ‎низкими ‎привилегиями, ‎у ‎которого ‎уже‏ ‎есть ‎доступ‏ ‎к‏ ‎системе, ‎получить ‎более‏ ‎высокие ‎привилегии.

📌 Вектор‏ ‎атаки ‎и ‎сложность: Вектор ‎CVSS‏ ‎3.1‏ ‎для ‎этой‏ ‎уязвимости ‎равен‏ ‎(CVSS: ‎3.1/AV: ‎L/AC: ‎L/PR: ‎L/‏ ‎UI:‏ ‎N/ ‎S:‏ ‎U/C: ‎H/I:‏ ‎H ‎/A: ‎H). ‎Это ‎указывает‏ ‎на‏ ‎то,‏ ‎что ‎вектор‏ ‎атаки ‎локальный‏ ‎(AV: ‎L),‏ ‎что‏ ‎означает, ‎что‏ ‎злоумышленнику ‎необходим ‎локальный ‎доступ ‎к‏ ‎хосту. ‎Сложность‏ ‎атаки‏ ‎низкая ‎(AC: ‎L),‏ ‎и ‎никакого‏ ‎взаимодействия ‎с ‎пользователем ‎(UI:‏ ‎N)‏ ‎не ‎требуется.‏ ‎Требуемые ‎привилегии‏ ‎невелики ‎(PR: ‎L), ‎что ‎предполагает,‏ ‎что‏ ‎базовые ‎привилегии‏ ‎позволяют ‎воспользоваться‏ ‎этой ‎уязвимостью.

📌 Воздействие: ‎Все ‎показатели ‎воздействия‏ ‎на‏ ‎конфиденциальность,‏ ‎целостность ‎и‏ ‎доступность ‎оцениваются‏ ‎как ‎высокие‏ ‎(C:‏ ‎H/I: ‎H/A:‏ ‎H), ‎что ‎указывает ‎на ‎то,‏ ‎что ‎эксплойт‏ ‎может‏ ‎привести ‎к ‎полному‏ ‎нарушению ‎конфиденциальности,‏ ‎целостности ‎и ‎доступности ‎уязвимой‏ ‎системы.

📌 Способ‏ ‎эксплуатации: Уязвимость ‎реализуется‏ ‎атакой ‎с‏ ‎символическими ‎ссылкам ‎(symlink). ‎Это ‎включает‏ ‎в‏ ‎себя ‎манипулирование‏ ‎ссылками ‎для‏ ‎перенаправления ‎операций, ‎предназначенных ‎для ‎легитимных‏ ‎файлов‏ ‎или‏ ‎каталогов, ‎на‏ ‎другие ‎подконтрольные‏ ‎цели, ‎приводя‏ ‎к‏ ‎произвольному ‎удалению‏ ‎или ‎перемещению ‎файла, ‎и ‎позволяя‏ ‎выполнять ‎произвольный‏ ‎код‏ ‎с ‎привилегиями.

📌 Конкретный ‎механизм: Уязвимость‏ ‎конкретно ‎связана‏ ‎с ‎манипуляциями ‎с ‎файлами‏ ‎журналов‏ ‎системной ‎службой‏ ‎VirtualBox ‎(VboxSDS).‏ ‎Служба, ‎работающая ‎с ‎системными ‎привилегиями,‏ ‎управляет‏ ‎файлами ‎журнала‏ ‎в ‎каталоге,‏ ‎не ‎имеющими ‎строгого ‎контроля ‎доступа,‏ ‎что‏ ‎потенциально‏ ‎приводит ‎к‏ ‎повышению ‎привилегий.‏ ‎Служба ‎выполняет‏ ‎операции‏ ‎переименования ‎/‏ ‎перемещения ‎файлов ‎рекурсивно, ‎что ‎позволяет‏ ‎этим ‎злоупотреблять.

📌 Меры‏ ‎по‏ ‎устранению ‎этой ‎уязвимости: Пользователям‏ ‎рекомендуется ‎обновить‏ ‎свои ‎установки ‎Oracle ‎VM‏ ‎VirtualBox‏ ‎до ‎версии‏ ‎7.0.16 ‎или‏ ‎более ‎поздней, ‎которая ‎содержит ‎необходимые‏ ‎исправления‏ ‎для ‎устранения‏ ‎этой ‎уязвимости

Oops, We Did It Again. CVE-2024-21111 Strikes. [RU].pdf

553,94 KB

Скачать

Эксплойт ‎UserManager‏ ‎EoP нацелен ‎на ‎уязвимость, ‎идентифицированную ‎как‏ ‎CVE-2023-36047, ‎которая‏ ‎позже‏ ‎была ‎отслежена ‎как‏ ‎CVE-2024-21447 ‎после‏ ‎дополнительных ‎исправлений ‎Microsoft.

Эксплойт ‎UserManager‏ ‎EoP

📌Обнаружение‏ ‎уязвимости: Эксплойт ‎был‏ ‎обнаружен ‎владельцем‏ ‎репозитория ‎в ‎прошлом ‎году ‎и‏ ‎влияет‏ ‎на ‎работу‏ ‎службы ‎UserManager‏ ‎в ‎Windows.

📌Характер ‎уязвимости: ‎Уязвимость ‎заключается‏ ‎в‏ ‎том,‏ ‎что ‎служба‏ ‎UserManager ‎неправильно‏ ‎копирует ‎файлы‏ ‎из‏ ‎каталога, ‎которым‏ ‎может ‎управлять ‎пользователь, ‎что ‎приводит‏ ‎к ‎повышению‏ ‎уровня‏ ‎привилегий ‎(EoP).

📌Частичное ‎исправление‏ ‎и ‎повторное‏ ‎использование: ‎Изначально ‎Microsoft ‎обращалась‏ ‎только‏ ‎к ‎аспекту‏ ‎записи ‎в‏ ‎операции ‎копирования ‎файлов. ‎Однако ‎операция‏ ‎чтения‏ ‎продолжала ‎выполняться‏ ‎с ‎правами‏ ‎доступа ‎NT ‎AUTHORITY\SYSTEM, ‎что ‎не‏ ‎было‏ ‎защищено‏ ‎в ‎первом‏ ‎обновлении.

📌Механизм ‎эксплойта:‏ ‎Эксплойт ‎использует‏ ‎незащищенную‏ ‎операцию ‎чтения‏ ‎для ‎доступа ‎к ‎критически ‎важным‏ ‎системным ‎файлам,‏ ‎таким‏ ‎как ‎SAM, ‎SYSTEM‏ ‎и ‎SECURITY‏ ‎hives, ‎из ‎теневой ‎копии.

📌Текущее‏ ‎состояние: Недавно‏ ‎корпорация ‎Майкрософт‏ ‎полностью ‎устранила‏ ‎уязвимость, ‎и ‎теперь ‎она ‎занесена‏ ‎в‏ ‎каталог ‎под‏ ‎новым ‎идентификатором‏ ‎CVE-2024-21447.

Анализ ‎кода

В ‎репозитории ‎GitHub ‎содержится‏ ‎код‏ ‎эксплойта,‏ ‎который ‎демонстрирует,‏ ‎как ‎манипулировать‏ ‎обработкой ‎файлов‏ ‎службой‏ ‎UserManager ‎для‏ ‎повышения ‎привилегий.

📌Идентификация ‎уязвимых ‎операций: код ‎для‏ ‎идентификации ‎и‏ ‎нацеливания‏ ‎на ‎конкретную ‎уязвимую‏ ‎операцию ‎чтения,‏ ‎выполняемую ‎UserManager.

📌Использование ‎уязвимости: ‎скрипты‏ ‎или‏ ‎команды, ‎которые‏ ‎манипулируют ‎файловыми‏ ‎операциями ‎для ‎перенаправления ‎или ‎доступа‏ ‎к‏ ‎несанкционированным ‎данным.

📌Использование‏ ‎системных ‎привилегий:‏ ‎Использование ‎повышенных ‎привилегий, ‎полученных ‎с‏ ‎помощью‏ ‎эксплойта,‏ ‎для ‎выполнения‏ ‎несанкционированных ‎действий,‏ ‎таких ‎как‏ ‎доступ‏ ‎к ‎системным‏ ‎файлам ‎и ‎настройкам ‎или ‎их‏ ‎изменение.

PureVPN ‎позиционирует‏ ‎себя ‎как ‎маяк ‎онлайн-конфиденциальности ‎и‏ ‎безопасности ‎в‏ ‎бескрайних‏ ‎и ‎мутных ‎водах‏ ‎Интернета. ‎Следуя‏ ‎великой ‎традиции ‎«безопасность ‎превыше‏ ‎всего»,‏ ‎можно ‎восхищаться‏ ‎последними ‎достижениями‏ ‎в ‎области ‎кибербезопасности, ‎внесёнными ‎в‏ ‎зал‏ ‎славы: ‎CVE-2023-38043,‏ ‎CVE-2023-35080 ‎и‏ ‎CVE-2023-38543. ‎Эти ‎уязвимости, ‎обнаруженные ‎в‏ ‎клиенте‏ ‎Avanti‏ ‎Secure ‎Access,‏ ‎ранее ‎известном‏ ‎как ‎Pulse‏ ‎Secure‏ ‎VPN, ‎открыли‏ ‎новую ‎главу ‎в ‎саге ‎«Как‏ ‎не ‎использовать‏ ‎VPN».

-------

В‏ ‎документе ‎представлен ‎анализ‏ ‎уязвимостей, ‎выявленных‏ ‎в ‎Ivanti ‎Secure ‎Access‏ ‎VPN‏ ‎(Pulse ‎Secure‏ ‎VPN) ‎с‏ ‎их ‎потенциальным ‎воздействием ‎на ‎использующие‏ ‎ПО‏ ‎организации. ‎В‏ ‎анализе ‎рассматриваются‏ ‎различные ‎аспекты ‎этих ‎уязвимостей, ‎включая‏ ‎методы‏ ‎их‏ ‎использования, ‎потенциальные‏ ‎последствия ‎и‏ ‎проблемы, ‎с‏ ‎которыми‏ ‎сталкиваются ‎в‏ ‎процессе ‎эксплуатации.

Документ ‎предоставляет ‎ценную ‎информацию‏ ‎специалистам ‎по‏ ‎кибербезопасности,‏ ‎ИТ-администраторам ‎и ‎другим‏ ‎заинтересованным ‎сторонам‏ ‎в ‎различных ‎отраслях. ‎Понимая‏ ‎технические‏ ‎нюансы, ‎методы‏ ‎эксплуатации ‎и‏ ‎стратегии ‎смягчения ‎последствий, ‎становится ‎возможно‏ ‎повысить‏ ‎уровень ‎безопасности‏ ‎своей ‎организации‏ ‎от ‎подобных ‎угроз.

Этот ‎анализ ‎особенно‏ ‎полезен‏ ‎специалистам‏ ‎по ‎безопасности,‏ ‎стремящимся ‎разобраться‏ ‎в ‎тонкостях‏ ‎уязвимостей‏ ‎VPN ‎и‏ ‎их ‎последствиях ‎для ‎безопасности ‎предприятия.‏ ‎Он ‎также‏ ‎служит‏ ‎ресурсом ‎для ‎ИТ-администраторов,‏ ‎ответственных ‎за‏ ‎поддержание ‎безопасных ‎конфигураций ‎VPN,‏ ‎и‏ ‎для ‎заинтересованных‏ ‎сторон ‎отрасли,‏ ‎заинтересованных ‎в ‎более ‎широком ‎влиянии‏ ‎таких‏ ‎уязвимостей ‎на‏ ‎цифровую ‎безопасность‏ ‎и ‎соответствие ‎требованиям.

Подробный ‎разбор

PulseVPN [RU].pdf

572,58 KB

Скачать

Каким ‎радостным‏ ‎был ‎день ‎31 ‎октября ‎2023‏ ‎года, ‎когда‏ ‎компания‏ ‎Atlassian ‎любезно ‎сообщила‏ ‎миру ‎о‏ ‎CVE-2023–22518, ‎восхитительной ‎маленькой ‎странности‏ ‎во‏ ‎всех ‎версиях‏ ‎центров ‎обработки‏ ‎данных ‎и ‎серверов ‎Confluence. ‎Этот‏ ‎незначительный‏ ‎сбой, ‎всего‏ ‎лишь ‎уязвимость,‏ ‎которая ‎при ‎неправильной ‎авторизации, ‎открывает‏ ‎перед‏ ‎любым‏ ‎незнакомцем, ‎не‏ ‎прошедшим ‎проверку‏ ‎подлинности, ‎захватывающую‏ ‎возможность‏ ‎войти, ‎перезагрузить‏ ‎Confluence ‎и, ‎возможно, ‎только ‎возможно,‏ ‎взять ‎всю‏ ‎систему‏ ‎под ‎свой ‎доброжелательный‏ ‎контроль. ‎Изначально‏ ‎этой ‎игре ‎была ‎присвоена‏ ‎скромная‏ ‎оценка ‎CVSS‏ ‎в ‎9,1‏ ‎балла, ‎но, ‎поскольку ‎все ‎мы‏ ‎любим‏ ‎немного ‎драматизма,‏ ‎она ‎была‏ ‎доведена ‎до ‎идеальных ‎10 ‎баллов,‏ ‎благодаря‏ ‎нескольким‏ ‎ярким ‎достижениям‏ ‎группе ‎энтузиастов,‏ ‎известной ‎как‏ ‎«Storm-0062».

В‏ ‎качестве ‎героического‏ ‎ответа ‎Atlassian ‎выпустила ‎не ‎одну,‏ ‎а ‎целых‏ ‎пять‏ ‎блестящих ‎новых ‎версий‏ ‎Confluence ‎(7.19.16,‏ ‎8.3.4, ‎8.4.4.4, ‎8.5.3 ‎и‏ ‎8.6.1),‏ ‎чтобы ‎немного‏ ‎разрядить ‎атмосферу‏ ‎праздника. ‎Они ‎любезно ‎предположили, ‎что‏ ‎организации‏ ‎могут ‎захотеть‏ ‎перейти ‎на‏ ‎эти ‎версии, ‎чтобы ‎избежать ‎появления‏ ‎незваных‏ ‎гостей.‏ ‎И, ‎в‏ ‎гениальном ‎порыве,‏ ‎они ‎рекомендуют‏ ‎соблюдать‏ ‎строгость, ‎ограничив‏ ‎внешний ‎доступ ‎к ‎серверам ‎Confluence‏ ‎до ‎тех‏ ‎пор,‏ ‎пока ‎такие ‎обновления‏ ‎не ‎будут‏ ‎применены. ‎Пользователи ‎облачных ‎сервисов,‏ ‎вы‏ ‎можете ‎расслабиться‏ ‎и ‎сидеть‏ ‎сложа ‎руки; ‎эта ‎вечеринка ‎проводится‏ ‎исключительно‏ ‎на ‎территории‏ ‎компании.

Вся ‎эта‏ ‎эпопея ‎действительно ‎подчёркивает ‎острые ‎ощущения‏ ‎от‏ ‎жизни‏ ‎на ‎грани‏ ‎в ‎цифровом‏ ‎мире, ‎напоминая‏ ‎всем‏ ‎нам ‎о‏ ‎том, ‎как ‎важно ‎своевременно ‎вносить‏ ‎исправления ‎и‏ ‎принимать‏ ‎надёжные ‎меры ‎безопасности.

-------

В‏ ‎этом ‎документе‏ ‎представлен ‎анализ ‎уязвимости ‎CVE-2023–22518,‏ ‎связанной‏ ‎с ‎неправильной‏ ‎авторизацией ‎в‏ ‎Atlassian ‎Confluence ‎Data ‎Center ‎and‏ ‎Server.‏ ‎Анализ ‎будет‏ ‎охватывать ‎различные‏ ‎аспекты ‎уязвимости, ‎включая ‎её ‎обнаружение,‏ ‎воздействие,‏ ‎методы‏ ‎эксплуатации ‎и‏ ‎стратегии ‎смягчения‏ ‎последствий.

Специалисты ‎по‏ ‎безопасности‏ ‎найдут ‎этот‏ ‎анализ ‎особенно ‎полезным, ‎поскольку ‎он‏ ‎предоставляет ‎оперативную‏ ‎информацию,‏ ‎включая ‎показатели ‎компрометации‏ ‎и ‎подробные‏ ‎шаги ‎по ‎смягчению ‎последствий.‏ ‎Понимая‏ ‎первопричины, ‎методы‏ ‎эксплуатации ‎и‏ ‎эффективные ‎контрмеры, ‎эксперты ‎по ‎безопасности‏ ‎могут‏ ‎лучше ‎защитить‏ ‎свои ‎организации‏ ‎от ‎подобных ‎угроз ‎в ‎будущем.

Подробный‏ ‎разбор

CVE-2023-22518 [RU].pdf

389,25 KB

Скачать

По ‎иронии‏ ‎судьбы, ‎та ‎самая ‎технология, ‎которая‏ ‎поддерживает ‎наши‏ ‎модели‏ ‎искусственного ‎интеллекта ‎и‏ ‎машинного ‎обучения,‏ ‎теперь ‎стала ‎объектом ‎новой‏ ‎уязвимости,‏ ‎получившей ‎название‏ ‎«LeftoverLocals». ‎Как‏ ‎сообщает ‎Trail ‎of ‎Bits, ‎этот‏ ‎недостаток‏ ‎безопасности ‎позволяет‏ ‎восстанавливать ‎данные‏ ‎из ‎локальной ‎памяти ‎графического ‎процессора,‏ ‎созданные‏ ‎другим‏ ‎процессом, ‎и‏ ‎влияет ‎на‏ ‎графические ‎процессоры‏ ‎Apple,‏ ‎Qualcomm, ‎AMD‏ ‎и ‎Imagination

-------

В ‎документ ‎приводится ‎подробный‏ ‎анализ ‎уязвимости‏ ‎«LeftoverLocals»‏ ‎CVE-2023–4969, ‎которая ‎имеет‏ ‎значительные ‎последствия‏ ‎для ‎целостности ‎приложений ‎с‏ ‎графическим‏ ‎процессором, ‎особенно‏ ‎для ‎больших‏ ‎языковых ‎моделях ‎(LLM) ‎и ‎машинного‏ ‎обучения‏ ‎(ML), ‎выполняемых‏ ‎на ‎затронутых‏ ‎платформах ‎с ‎графическим ‎процессором, ‎включая‏ ‎платформы‏ ‎Apple,‏ ‎Qualcomm, ‎AMD‏ ‎и ‎Imagination.

Этот‏ ‎документ ‎предоставляет‏ ‎ценную‏ ‎информацию ‎для‏ ‎специалистов ‎по ‎кибербезопасности, ‎команд ‎DevOps,‏ ‎ИТ-специалистов ‎и‏ ‎заинтересованных‏ ‎сторон ‎в ‎различных‏ ‎отраслях. ‎Анализ‏ ‎призван ‎углубить ‎понимание ‎проблем‏ ‎безопасности‏ ‎графических ‎процессоров‏ ‎и ‎помочь‏ ‎в ‎разработке ‎эффективных ‎стратегий ‎защиты‏ ‎конфиденциальных‏ ‎данных ‎от‏ ‎аналогичных ‎угроз‏ ‎в ‎будущем.

Подробный ‎разбор

LeftOverLocals [RU].pdf

409,30 KB

Скачать

Исследователи ‎из‏ ‎Bitdefender ‎выявили ‎множество ‎уязвимостей ‎в‏ ‎WebOS ‎от‏ ‎LG,‏ ‎влияющих ‎на ‎различные‏ ‎модели ‎смарт-телевизоров‏ ‎компании. ‎Использование ‎этих ‎уязвимостей‏ ‎может‏ ‎позволить ‎злоумышленникам‏ ‎получить ‎несанкционированный‏ ‎root-доступ ‎к ‎устройствам.

Уязвимые ‎версии ‎и‏ ‎модели:

📌Уязвимости‏ ‎затрагивают ‎телевизоры‏ ‎LG, ‎работающие‏ ‎под ‎управлением ‎WebOS ‎версий ‎с‏ ‎4.9.7‏ ‎по‏ ‎7.3.1, ‎в‏ ‎таких ‎моделях,‏ ‎как ‎LG43UM7000PLA,‏ ‎OLED55CXPUA,‏ ‎OLED48C1PUB ‎и‏ ‎OLED55A23LA

Конкретные ‎уязвимости:

📌CVE-2023-6317: Позволяет ‎обойти ‎проверку ‎PIN-кода‏ ‎и ‎добавить‏ ‎профиль‏ ‎привилегированного ‎пользователя ‎без‏ ‎участия ‎пользователя

📌CVE-2023-6318:‏ ‎Позволяет ‎повысить ‎свои ‎привилегии‏ ‎и‏ ‎получить ‎root-доступ

📌CVE-2023-6319:‏ ‎Позволяет ‎внедрять‏ ‎команды ‎операционной ‎системы, ‎манипулируя ‎библиотекой‏ ‎для‏ ‎отображения ‎музыкальных‏ ‎текстов

📌CVE-2023-6320: ‎Позволяет‏ ‎вводить ‎команды, ‎прошедшие ‎проверку ‎подлинности,‏ ‎используя‏ ‎com.webos.конечная‏ ‎точка ‎API‏ ‎service.connectionmanager/tv/setVlanStaticAddress

Масштабы ‎воздействия:

📌Более‏ ‎91 ‎000‏ ‎устройств‏ ‎были ‎идентифицированы‏ ‎как ‎потенциально ‎уязвимые. ‎В ‎основном‏ ‎эти ‎устройства‏ ‎расположены‏ ‎в ‎Южной ‎Корее,‏ ‎Гонконге, ‎США,‏ ‎Швеции ‎и ‎Финляндии

Меры ‎по‏ ‎устранению‏ ‎уязвимостей ‎и‏ ‎действия ‎пользователей:

📌Компания‏ ‎LG ‎выпустила ‎исправления ‎для ‎этих‏ ‎уязвимостей,‏ ‎которые ‎доступны‏ ‎в ‎меню‏ ‎настроек ‎телевизора ‎в ‎разделе ‎«Обновление‏ ‎программного‏ ‎обеспечения»

📌Пользователям‏ ‎рекомендуется ‎включить‏ ‎автоматическое ‎обновление‏ ‎ПО, ‎чтобы‏ ‎обеспечить‏ ‎получение ‎на‏ ‎свои ‎устройства ‎последних ‎исправлений ‎безопасности

Потенциальные‏ ‎риски:

📌В ‎случае‏ ‎использования‏ ‎эти ‎уязвимости ‎позволяют‏ ‎получить ‎контроль‏ ‎над ‎телевизором, ‎получить ‎доступ‏ ‎к‏ ‎конфиденциальным ‎пользовательским‏ ‎данным ‎и‏ ‎потенциально ‎использовать ‎скомпрометированное ‎устройство ‎как‏ ‎часть‏ ‎ботнета ‎или‏ ‎для ‎других‏ ‎вредоносных ‎действий

Рекомендации ‎по ‎безопасности:

📌 Помимо ‎применения‏ ‎последних‏ ‎обновлений‏ ‎встроенного ‎ПО,‏ ‎пользователи ‎должны‏ ‎использовать ‎надежные‏ ‎уникальные‏ ‎пароли ‎для‏ ‎своих ‎устройств ‎и ‎защищать ‎свои‏ ‎сети ‎Wi-Fi,‏ ‎чтобы‏ ‎еще ‎больше ‎снизить‏ ‎риск ‎их‏ ‎использования

CVE-2024-0204 ‎как‏ ‎ключ ‎под ‎ковриком, ‎не ‎прошедших‏ ‎проверку ‎подлинности,‏ ‎и‏ ‎желающих ‎создать ‎своего‏ ‎собственного ‎пользователя-администратора.‏ ‎Эта ‎уязвимость ‎может ‎быть‏ ‎использована‏ ‎удаленно ‎и‏ ‎является ‎классическим‏ ‎примером ‎CWE-425: ‎«Принудительный ‎доступ, ‎когда‏ ‎веб-приложение‏ ‎просто ‎слишком‏ ‎вежливое, ‎чтобы‏ ‎обеспечить ‎надлежащую ‎авторизацию». ‎Уязвимые ‎версии‏ ‎6.x‏ ‎начиная‏ ‎с ‎6.0.1‏ ‎и ‎версии‏ ‎7.x ‎до‏ ‎7.4.1,‏ ‎которая ‎была‏ ‎исправлена, ‎а ‎для ‎уязвимых ‎версией‏ ‎необходимо ‎удалить‏ ‎файл‏ ‎/InitialAccountSetup.xhtml ‎или ‎заменить‏ ‎на ‎пустой‏ ‎с ‎перезапуском ‎службы.

Теперь ‎давайте‏ ‎поговорим‏ ‎о ‎самом‏ ‎GoAnywhere ‎MFT.‏ ‎Это ‎защищённое ‎программное ‎решение, ‎которое,‏ ‎как‏ ‎предполагается, ‎упрощает‏ ‎обмен ‎данными‏ ‎и ‎повышает ‎безопасность, ‎что ‎довольно‏ ‎забавно,‏ ‎учитывая‏ ‎обстоятельства. ‎Оно‏ ‎может ‎быть‏ ‎развёрнуто ‎локально,‏ ‎в‏ ‎облаке ‎или‏ ‎в ‎гибридных ‎средах ‎и ‎поддерживает‏ ‎множество ‎операционных‏ ‎систем‏ ‎и ‎протоколов

CVE-2024-0204, ‎уязвимость‏ ‎в ‎GoAnywhere‏ ‎MFT ‎от ‎Fortra, ‎практически‏ ‎является‏ ‎VIP-пропуском ‎для‏ ‎злоумышленников, ‎не‏ ‎прошедших ‎проверку ‎подлинности. ‎Зачем ‎утруждать‏ ‎себя‏ ‎взломом, ‎когда‏ ‎вы ‎можете‏ ‎просто ‎создать ‎свою ‎собственную ‎учётную‏ ‎запись‏ ‎администратора,‏ ‎верно? ‎Система‏ ‎как ‎будто‏ ‎говорит: ‎«Пожалуйста,‏ ‎заходите,‏ ‎чувствуйте ‎себя‏ ‎как ‎дома, ‎и ‎пока ‎вы‏ ‎этим ‎занимаетесь,‏ ‎не‏ ‎стесняйтесь ‎все ‎контролировать».

А‏ ‎последствия ‎этой‏ ‎уязвимости ‎подобны ‎альбому ‎величайших‏ ‎хитов‏ ‎о ‎кошмарах‏ ‎кибербезопасности:

❇️Создание ‎неавторизованных‏ ‎пользователей-администраторов ‎(акция ‎«избавляемся ‎от ‎складских‏ ‎запасов‏ ‎аутентификационных ‎ключей»)

❇️Потенциальная‏ ‎утечка ‎данных‏ ‎(для ‎повышения ‎популярности ‎компании)

❇️Внедрение ‎вредоносных‏ ‎программ‏ ‎(вместо‏ ‎традиционных ‎схем‏ ‎распространения)

❇️Риск ‎вымогательства‏ ‎(минутка ‎шантажа)

❇️Сбои‏ ‎в‏ ‎работе ‎(разнообразие‏ ‎от ‎повелителя ‎хаоса)

❇️Комплаенс ‎и ‎юридические‏ ‎вопросы ‎(ничто‏ ‎так‏ ‎не ‎оживляет ‎зал‏ ‎заседаний, ‎как‏ ‎старый ‎добрый ‎скандал ‎с‏ ‎комплаенсом‏ ‎и ‎потенциальная‏ ‎юридическая ‎драма)

Планка‏ ‎«сложности ‎атаки» ‎установлена ‎так ‎низко,‏ ‎что‏ ‎даже ‎малыш‏ ‎может ‎споткнуться‏ ‎об ‎неё. ‎Мы ‎говорим ‎о‏ ‎той‏ ‎простоте,‏ ‎которая ‎заставляет‏ ‎задуматься, ‎не‏ ‎является ‎ли‏ ‎«безопасность»‏ ‎просто ‎модным‏ ‎словом, ‎которым ‎они ‎пользуются, ‎чтобы‏ ‎казаться ‎важными.

Сценарий‏ ‎атаки

Итак,‏ ‎вот ‎сценарии ‎блокбастерной‏ ‎атаки ‎для‏ ‎этой ‎феерии ‎обхода ‎аутентификации:

❇️Первоначальный‏ ‎доступ: наш‏ ‎неустрашимый ‎злоумышленник,‏ ‎вооружённый ‎цифровым‏ ‎эквивалентом ‎пластикового ‎брелка, ‎заходит ‎на‏ ‎портал‏ ‎администрирования ‎GoAnywhere‏ ‎MFT ‎без‏ ‎вашего ‎разрешения.

❇️Эксплуатация: далее ‎наш ‎злодей ‎использует‏ ‎проблему‏ ‎обхода‏ ‎пути, ‎которая‏ ‎в ‎основном‏ ‎похожа ‎на‏ ‎поиск‏ ‎секретного ‎прохода‏ ‎в ‎эпизоде ‎«Скуби-Ду», ‎ведущего ‎прямо‏ ‎к ‎конечной‏ ‎точке‏ ‎/InitialAccountSetup.xhtml. ‎К ‎сожалению,‏ ‎поблизости ‎нет‏ ‎назойливых ‎детей, ‎которые ‎могли‏ ‎бы‏ ‎их ‎остановить.

❇️Создание‏ ‎пользователя-администратора: как ‎только‏ ‎они ‎на ‎цыпочках ‎пройдут ‎по‏ ‎секретному‏ ‎проходу, ‎они‏ ‎могут ‎создать‏ ‎пользователя-администратора. ‎Заметьте, ‎это ‎не ‎просто‏ ‎любой‏ ‎пользователь;‏ ‎это ‎тот,‏ ‎у ‎которого‏ ‎есть ‎все‏ ‎навороты‏ ‎— ‎чтение,‏ ‎запись, ‎выполнение ‎команд. ‎Это ‎все‏ ‎равно ‎что‏ ‎дать‏ ‎грабителю ‎ключи ‎от‏ ‎сейфа, ‎коды‏ ‎сигнализации ‎и ‎чашку ‎хорошего‏ ‎чая.

❇️Потенциальная‏ ‎дальнейшая ‎эксплуатация: С‏ ‎ключами ‎от‏ ‎королевства ‎наш ‎злоумышленник ‎теперь ‎может‏ ‎делать‏ ‎все ‎самое‏ ‎интересное: ‎получать‏ ‎доступ ‎к ‎конфиденциальным ‎данным, ‎внедрять‏ ‎вредоносное‏ ‎ПО‏ ‎или ‎просто‏ ‎получать ‎полный‏ ‎контроль, ‎потому‏ ‎что,‏ ‎почему ‎бы‏ ‎и ‎нет? ‎Это ‎бесплатно ‎для‏ ‎всех!

Короче ‎говоря,‏ ‎CVE-2024-0204‏ ‎достойное ‎внимания ‎напоминание‏ ‎о ‎том,‏ ‎что, ‎возможно, ‎просто ‎возможно,‏ ‎следует‏ ‎отнестись ‎ко‏ ‎всей ‎этой‏ ‎истории ‎с ‎«безопасностью» ‎немного ‎серьёзнее.

Подробный‏ ‎разбор

CVE. Fortra's GoAnywhere MFT [RU].pdf

483,95 KB

Скачать