RT CERT

@RostelecomCERT Like 0
Is this your channel? Confirm ownership for additional features

twitter: @RostelecomCERT
Channel's geo & Language
Russian, Russian


Channel's geo
Russian
Channel language
Russian
Category
Technologies
Added to index
08.06.2018 14:14
advertising
TGStat Bot
Bot to get channel statistics without leaving Telegram
SearcheeBot
Your guide in the world of telegram channels
Telegram Analytics
Subscribe to stay informed about TGStat news.
393
members
~895
avg post reach
~40
daily reach
~8
posts per month
227.7%
ERR %
0.08
citation index
Recent posts
Deleted
With mentions
Forwards
RT CERT 14 Jul, 23:25
Сегодня в очередной Patch Tuesday Microsoft опубликовал информацию о новой RCE уязвимости в Microsoft DNS server. Уязвимость, обнаруженная исследователями из компании Check Point, получила название SIGRed, идентификатор CVE-2020-1350 и максимальный уровень критичности - CVSS score 10.0 Такой высокий рейтинг обусловлен простотой эксплуатации и крайне высокой вирулентностью. Уязвимость затронула все версии Windows Server с 2003 по 2019.
По данным экспертов исследовательского центра Check Point для ее эксплуатации достаточно послать определенным образом составленный DNS запрос по протоколу TCP.

Патч для закрытия уязвимости доступен по ссылке:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350

Так же есть способ предотвратить эксплуатацию уязвимости, без установки обновления: необходимо изменить ключ в реестре, отвечающий за максимальную длину пакетов, принимаемых DNS сервером со значения по-умолчанию (0xFFFF) на 0xFF00.
Ключ - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\TcpReceivePacketSize

Подобная манипуляция с ключом может привести к тому, что некоторые DNS запросы не будут обрабатываться сервером, однако, по заверениям Microsoft это должно повлиять только на случаи нестандартного использования протокола DNS. Для того, чтобы избежать некорректной работы, Microsoft рекомендует предварительно включить Debug логирование на сервере и записать трафик сервера для формирования достаточно репрезентативной выборки, отвечающей его штатной работе, и проанализировать их на предмет наличия ответов на DNS запросы вашего сервера больше, чем 65,280 байт.

Подробнее:
https://msrc-blog.microsoft.com/2020/07/14/july-2020-security-update-cve-2020-1350-vulnerability-in-windows-domain-name-system-dns-server/
https://blog.checkpoint.com/2020/07/14/sigred-this-is-not-just-another-vulnerability-patch-now-to-stop-the-next-cyber-pandemic/
https://vulners.com/thn/THN:DBFCCEBE2752BA05D9181D55D3477666

#dns #windows #sigred #rce #microsoft
Read more
RT CERT 8 Jun, 18:07
Уязвимость CallStranger (CVE-2020-12695) в работе сервиса UPnP (SUBSCRIBE Callback) грозит серьезными последствиями для сети Интернет. Новая уязвимость позволяет злоумышленнику проводить атаки вида Reflected Amplified TCP DDOS Attack с использованием миллионов устройств с включенным сервисом UPnP.

Что такое UPnP? Universal Plug and Play (UPnP) — набор сетевых протоколов для универсальной автоматической настройки сетевых устройств для домашнего и корпоративного использования. Данный сервис работает как в домашних роутерах, так и во множестве IoT-устройствах, которыми так богат современный дом.
Сервис UPnP не предусматривает авторизацию и почти всегда включен по умолчанию.

Уязвимость заключается в возможности указать произвольный URL в качестве заголовка Callback, на который (URL) будет отправлен ответ. Сервис UPnP не выполняет каких-либо проверок о нахождение адресата сообщения и адреса, указанного в заголовке, в одном адресном пространстве, что позволяет указать любой узел назначения.
Злоумышленник, выполнив массовую рассылку "легких" сообщений (100-200 байт), может получить на выходе амплификацию с различным PAF (Packet Amplification Factor).

Анализ различных устройств с UPnP-сервисом показал следующие PAF:
Xbox One в 4 раза,
AVTransport в 8-16 раз,
ConnectionManager в 22-92 раза,
Media Player в 3.5 раза,
Philips TV в 14 раз,
HP Deskjet 6940 (PrintBasic) в 6 раз,
HP Deskjet 6940 (PrintEnhanced) в 8 раз,

Так же уязвимость сервиса UPnP позволяет выполнять выполнять эксфильтрацию данных. Так как злоумышленник контролирует заголовок Callback, он может выполнять скрытную передачу информации на подконтрольный ему сервер. Исследователи успешно смогли использовать телевизор с функционалом smart tv и принтер как скрытную точку передачи данных во внешнюю среду.

По данным аналитиков сервиса AntiDDoS Ростелеком: случаи использования данной уязвимости при атаках на клиентов Ростелеком не зафиксированы.

Мы рекомендуем отключить сервис UPnP, если он не используется. Если такая возможность отсутствует и ваше устройство позволяет детально настраивать работу сервиса - установить ограничение для сообщений SUBSCRIBE/NOTIFY на принятие и отправку данных только по локальным (приватным) адресам согласно RFC 1918.

Подробнее: https://callstranger.com/
https://kb.cert.org/vuls/id/339275 (данные обновляются)

#upnp #iot #callstranger #subscribe #ddos #dos #callback #dataexfiltration #CVE-2020-12695
Read more
RT CERT 22 May, 11:32
Новый тип атаки DoS-атаки с помощью протокола DNS получил название NXNSAttack.
Коротко: Злоумышленник отправляет запрос в сторону Openresolver сервера, перенаправляя его на свой подконтрольный авторитативный сервер, который отвечает длинным списком NS серверов жертвы (чаще всего спуфленные имена).
Openresolver берет этот список и начинает опрашивать DNS жертвы на предмет информации об эти адресах, что вызывает большое количество NXDomain сообщений, которое приводит к росту нагрузки на сервер.
Фактически атака направлена только на целевые DNS сервера.
В настоящий момент спасение только установить патчи на свои DNS-сервера и настроить лимиты на опрос.

По данным исследований усиление при атаке на сервер BIND (9.12.3) позволяет увеличить атаку в 1000 раз (Packet Amplification Factor, PAF).
Анализ публичных DNS-серверов показал следующие PAF:
CloudFlare (1.1.1.1) в 48 раз,
Google (8.8.8.8) - 30 раз,
FreeDNS (37.235.1.174) - 50 раз,
OpenDNS (208.67.222.222) - 32 раза.
Level3 (209.244.0.3) - 273 раза,
Quad9 (9.9.9.9) - 415 раз
SafeDNS (195.46.39.39) - 274 раза,
Verisign (64.6.64.6) - 202 раза,
Ultra (156.154.71.1) - 405 раз,
Comodo Secure (8.26.56.26) - 435 раз,
DNS.Watch (84.200.69.80) - 486 раз,
Norton ConnectSafe (199.85.126.10) - 569 раз.

Уязвимы:
BIND (CVE-2020-8616),
Knot (CVE-2020-12667),
PowerDNS (CVE-2020-10995),
Windows DNS Server,
Unbound (CVE-2020-12662),
а также публичные DNS-сервисы Google, Cloudflare, Amazon, Quad9, ICANN и других компаний.

Подробнее:
https://www.opennet.ru/opennews/art.shtml?num=52995
https://xakep.ru/2020/05/20/nxnsattack/
https://en.blog.nic.cz/2020/05/19/nxnsattack-upgrade-resolvers-to-stop-new-kind-of-random-subdomain-attack/

#dns #amplification #bind #NXNSAttack #dos #NXDomain
Read more
RT CERT 13 Mar, 08:49
Вышел патч для устранения уязвимости переполнения буфера в механизме обработки сжатых пакетов с данными в протоколе SMBv3.1.1 (CVE-2020-0796).

Microsoft присвоил данной уязвимости статус «критическая» (CVSS base-10.0, CVSS temporal -9.0).

Уязвимы следующие версии Windows:
- Windows 10 (v1903, v1909)
- Windows Server (v1903, v1909)

Патч доступен для всех уязвимых версий.

Подробнее:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

#smb #rce #worm #windows #patch
Read more
RT CERT 10 Mar, 23:38
Очередная ошеломляющая новость! В механизме обработки сжатых пакетов с данными протокола SMBv3 обнаружен bug, который позволяет хакеру выполнить атаку типа Buffer Overflow. В социальных сетях активно обсуждают развитие данной атаки до удаленного выполнения кода (RCE). Уязвимость, получившая идентификатор CVE-2020-0796, позволяет злоумышленнику послать специально сформированный пакет на tcp-порт 445 уязвимого сервера без аутентификации и выполнить эксплуатацию.

Microsoft рекомендует отключить компрессию в настройках SMBv3 и отключить доступность порта 445 с помощью сетевого и встроенного межсетевого экрана на серверах и на клиентских устройствах. Исследователи из MalwareHunterTeam, нашедшие уязвимость, считают что данная уязвимость может активно использоваться таким зловредным программным обеспечением как сетевые черви.

Пока данный CVE номер находится в статусе Reserved, так что больше подробностей мы не знаем.

P.S. Информация касательно данной уязвимости активно обсуждается в социальных сетях.

Подробнее:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0796
https://fortiguard.com/encyclopedia/ips/48773
https://twitter.com/malwrhunterteam/status/1237438376032251904

#smb #rce #worm #windows
Read more
RT CERT 4 Mar, 23:09
Let's Encrypt в течение 24 часов отзывает 3 миллиона TLS-сертификатов, которые были выданы по ошибке.

Баг был обнаружен 29 февраля 2019 года и устранен в течении двух часов после обнаружения. Сервис Let's Encrypt не выполнял проверку принадлежности домена пользователю перед выпуском TLS-сертификата.
В результате баг позволил реализовать сценарий по получению сертификата для доменного имени без валидации владельца домена.

Провайдер TLS сертификатов предоставил сайт для проверки необходимости замены сертификата для Вашего доменного имени
https://checkhost.unboundtest.com/

Возможна проверка так же с помощью curl запроса:

сurl -XPOST -d 'fqdn=domain.example' https://checkhost.unboundtest.com/checkhost

Подробнее:
https://community.letsencrypt.org/t/2020-02-29-caa-rechecking-bug/114591
https://thehackernews.com/2020/03/lets-encrypt-certificate-revocation.html?m=1
https://letsencrypt.org/caaproblem/


#tls #ssl #https #LetsEncrypt
Read more
RT CERT 15 Jan, 13:00
Вышел патч для устранения уязвимости (CVE-2020-0601) в CryptoAPI криптографической библиотеки crypt32.dll. Microsoft не присвоил данной уязвимости статус "критический" и ограничился уровнем "важная", так как она не относится к RCE и есть другие ограничения в ее эксплуатации. Уязвимы следующие версии Windows:
- Windows 10
- Windows Server 2016
- Windows Server 2019
Так же уязвимость затрагивает все ПО, которое в вопросах валидации сертификатов полагается на механизмы Windows и, соответственно, их CryptoAPI.

Уязвимость, обнаруженная экспертами АНБ, касается процесса валидации сертификата и позволяет спуфить сертификаты, выпущенные доверенными источниками.
В описании уязвимости от MS упор делается на цифровую подпись вредоносного ПО и вскользь упоминается возможность реализации MITM. АНБ же наоборот почти всю свою статью посветили вопросу доверия при сетевом взаимодействии (в частности HTTPS) и рекомендуют прятать уязвимые хосты за Proxy с TLS инспекцией, на которые ложится вопрос валидации.

Некоторые антивирусные решения уже выпустили соответствующие сигнатуры детектирования. Например Microsoft Defender сообщит Вам о Exploit:Win32/CVE-2020-0601.A(B)
Так же в статьях Microsoft и АНБ по ссылкам ниже описаны методы детектирования попыток реализации атаки.

Подробнее:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601
https://media.defense.gov/2020/Jan/14/2002234275/-1/-1/0/CSA-WINDOWS-10-CRYPT-LIB-20190114.PDF
https://gist.github.com/SwitHak/62fa7f8df378cae3a459670e3a18742d

#windows #crypto #crypt32
Read more
RT CERT 14 Jan, 13:53
По данным KrebsOnSecurity в криптографической библиотеке crypt32.dll нашли серьезную уязвимость, которая актуальна для всех версий Windows.
Пока мы все ждем подробностей, но потенциально возможные уязвимости в данном компоненте шокируют уже сейчас.

Подробнее:
https://krebsonsecurity.com/2020/01/cryptic-rumblings-ahead-of-first-2020-patch-tuesday/

#windows #crypto #crypt32
RT CERT 13 Jan, 13:53
Набирает обороты серьезная уязвимость (CVE-2019-19781) в Citrix ADC и Citrix gateway. Уязвимость позволяет злоумышленникам выполнять удаленный код (RCE) на Citrix серверах, что может привести с катастрофическим последствиям для компании.
ВНИМАНИЕ: Экплойт находится в открытом доступе.

Разработчик рекомендует незамедлительно обновить уязвимые версии устройств. Для различных версий ПО (10.5,11.1,12.0,12.1,13) планируется выход исправляющих патчей с 20-31 января. До момента выхода патчей рекомендуется выполнить шаги: https://support.citrix.com/article/CTX267679

По данным портала badpackets: в мире уязвимы порядка 25000 серверов Citrix. На данный момент активное сканирование на предмет наличия уязвимости идет в глобальной сети. Наибольшее количество уязвимых серверов на данный моменты в США. Россия в ТОП 10 не попала, что не может не радовать.

На наших устройствах Citrix с выполненными рекомендациями производителя - мы зафиксировали уже более 380 срабатываний политики, отвечающей за исправление уязвимости.

Подробнее:
https://support.citrix.com/article/CTX267027
https://badpackets.net/over-25000-citrix-netscaler-endpoints-vulnerable-to-cve-2019-19781/
https://www.mdsec.co.uk/2020/01/deep-dive-to-citrix-adc-remote-code-execution-cve-2019-19781/

#citrix #adc #rce #exploit
Read more
RT CERT 13 Jan, 10:31
Forwarded from: Denis Avdeev
http://vshkolu.online/
RT CERT 21 Nov 2019, 09:23
В DNS-сервере Bind обнаружена уязвимость в механизме обработки TCP-сообщений (TCP-pipeline), приводящая к возможной DoS-атаке.

При включенном функционале TCP-pipeline каждый входящий запрос по TCP-соединению требует выделения ресурсов, аналогичного запросу, полученному через UDP или через TCP без pipepline.
Клиент, использующий TCP-pipeline соединение с сервером, может потреблять больше ресурсов, чем сервер выделил для обработки.
Когда TCP-соединение с большим количеством pipeline-запросов закрыто, нагрузка на сервер, освобождающая выделенненые ресурсы, может привести к тому, что сервер перестает принимать какие-либо запросы.
Уязвимость получила индентификатор: CVE-2019-6477.

Производители рекомендуют обновить версии DNS-серверов или отключить функционал TCP-pipeline

Подробнее:
https://kb.isc.org/docs/cve-2019-6477

#dns #dos #bind #tcp
Read more
RT CERT 20 Nov 2019, 13:45
Уязвимость RCE в популярном DNS-сервере Unbound (с 1.6.4 по 1.9.4) получила CVE-2019-18934

Под ударом сервера с включенным модулем ipsec (--enable-ipsecmod). Злоумышленник может отправить специально сформированный пакет, который может привести к удаленному исполнению произвольного кода злоумышленника.
Для успешной компрометации сервера необходимо совпадение нескольких условий:
1) сервер собран (скомпилирован) с опцией --enable-ipsecmod;
2) ipsecmod включен и используется в конфигурации;
3) DNS-сервер принимает запросы А/AAAA записей домена, у которого доступны записи А/AAAA/IPSECKEY

Подробнее:
https://nvd.nist.gov/vuln/detail/CVE-2019-18934
https://www.nlnetlabs.nl/news/2019/Nov/19/unbound-1.9.5-released/

#dns #unbound #rce #ipsecmod
Read more
RT CERT 15 Oct 2019, 19:24
Исследователи из Fortinet обнаружили уязвимость в оборудовании D-Link позволяющую выполнять инъекцию команд неавторизованным пользователям. Потенциально уязвимость может быть развита до RCE.

Уязвимость получила номер:
CVE-2019-16920

Уязвимые устройства:
DIR-655
DIR-866L
DIR-652
DHP-1565

Данные устройства находятся в статусе EOL, то есть выпуск патчей вендором не запланирован.

На наших honeypot'ах активности злоумышленников не наблюдается. Возможно, в данный момент, злоумышленники не взяли на вооружение данную уязвимость.

Подробнее:
https://www.fortinet.com/blog/threat-research/d-link-routers-found-vulnerable-rce.html?fbclid=IwAR1vapaPsC7W4idiiCKDMC6I-pTN_Vsqf12F41-EYBdXY8L2Yr1b_fZ9DpI

#rce #cominj #d-link #cpe #fortinet
Read more
RT CERT 15 Oct 2019, 08:55
Серьезная уязвимость обнаружена в Sudo - одна из наиболее важных, мощных и часто используемых утилит, которая установлена практически во всех операционных системах на основе UNIX и Linux.
Уязвимость позволяет обойти (bypass) политику безопасности данного компонента и позволить злоумышленнику выполнять команды с привилегиями супер-пользователя (root) на системе, даже если конфигурация sudoers исключает предоставления root доступа.

Для эксплуатации уязвимости злоумышленнику необходимо подменить user ID на "-1" или "4294967295." в функции, которая отвечает за конвертацию данного значения, возникает ошибка, которая позволяет осуществить атаку.

Уязвимость получила номер: CVE-2019-14287
На данный момент уязвимость охватывает все версии компонента Sudo включая 1.8.28. Разработчики ОС выпускают оперативно патчи.
Мы настоятельно рекомендуем выполнить обновления серверов как можно скорее

Подробнее: https://thehackernews.com/2019/10/linux-sudo-run-as-root-flaw.html

https://access.redhat.com/security/cve/cve-2019-14287

https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-14287.html

#sudo #linux #uid #bypass
Read more
RT CERT 9 Jul 2019, 16:08
Найдена серьезная уязвимость в Mac Zoom Client'e, которая позволяет любому веб-сайту выполнить подключение к сессии Zoom Call пользователя и включить его веб-камеру без разрешения.
В дополнение злоумышленник может вызвать произвольный DoS пользователя посылая запросы множество раз.

Подробнее:
https://medium.com/@jonathan.leitschuh/zoom-zero-day-4-million-webcams-maybe-an-rce-just-get-them-to-visit-your-website-ac75c83f4ef5

#zoom #rce #webcam #dos
Read more
RT CERT 18 Jun 2019, 16:06
В данный момент на конференции практической информационной безопасности Offzone (@offzone_moscow) в главном зале выступает Алексей Черных, сотрудник подразделения RT-CERT.
Алексей расскажет про работу киберразведки, поиск утечек информации в глобальной сети, а также о том, как хранить и обрабатывать такие данные.

#rtcert #offzone #ti #leak
RT CERT 18 Jun 2019, 15:33
Уязвимость в процессе SACK, о которой мы писали выше, получила сразу несколько индентификаторов:
CVE-2019-11477 SACK Panic
CVE-2019-11478 SACK Slowness (Linux < 4.15) or Excess Resource Usage (all Linux versions)
CVE-2019-11479

Подробнее:
https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md
https://lore.kernel.org/netdev/20190617170354.37770-1-edumazet@google.com/T/
https://patchwork.ozlabs.org/project/netdev/list/?series=114310&state=*
https://access.redhat.com/security/vulnerabilities/tcpsack

#sack #tcp #linux #cve
Read more
RT CERT 14 Jun 2019, 16:43
Disclaimer:

Поступила информация о возможной серьезной уязвимости в работе стека TCP/IP в системах Linux. Уязвимость присутствует в работе процесса SACK (Selective Acknowledgements/Выборочное Подтверждение).
SACK используется для облегчения работы мобильных пользователей с публично доступными сервисами. SACK позволяет производить повторную
передачу лишь отдельных, не подтвержденных фрагментов, а не всего TCP-окна, как это реализовано в старых стандартах. По-умолчанию данная опция включена в новых версия Linux.

На данный момент CVE нет, но ожидается в ближайшие время. Мы рекомендуем вам выключить поддержку данной опции (net.ipv4.tcp_sack=0), если в ней нет необходимости.

Подробнее про SACK:
https://tools.ietf.org/html/rfc2883
Read more
RT CERT 7 Jun 2019, 13:31
Исследователь безопасности (Renato Marinho at Morphus Labs) обнаружил новый ботнет, который выполняет брутфорс публичных доступных Windows RDP-сервисов.

После успешного подбора пароля, злоумышленник выполняет установку приложения GoldBrute написанного на Java.
Каждая взломанная машина после старта сканирования возвращает список из как минимум 80 публично доступных RDP сервисов C&C-серверу.
Информацию об успешно подобранном пароле агент ботнета возращает на С&C-сервер.
Исследователи связывают возможное использование эксплойта к уязвимости CVE-2019-0708 (BlueKeep) и неисправленной уязвимости CVE-2019-9510 (bypass the lock screen on remote desktop (RD) sessions) с данным ботнетом.

Подробнее:
https://morphuslabs.com/goldbrute-botnet-brute-forcing-1-5-million-rdp-servers-371f219ec37d
https://thehackernews.com/2019/06/windows-rdp-brute-force.html

IOC:
Files (SHA256)

af07d75d81c36d8e1ef2e1373b3a975b9791f0cca231b623de0b2acd869f264e (bitcoin.dll)

Network

104[.]248[.]167[.]144 (Zip download)
104[.]156[.]249[.]231:8333 (C2 server)


#goldbrute #bluekeep #rdp #windows #lockscreen
Read more
RT CERT 29 May 2019, 15:40
В ПО Docker выявлена уязвимость типа race condition (CVE-2018-15664),
которая при определённом стечении обстоятельств позволяет получить доступ к хост-окружению из контейнера при наличии возможности запуска своих образов в системе или при доступе к выполняемому контейнеру.
Проблема проявляется во всех версиях Docker, патч на данный момент еще не принят.

Уязвимость позволяет извлечь файлы из контейнера в произвольную часть файловой системы хоста при выполнении команды "docker cp". Извлечение файлов выполняется с правами root, что даёт возможность прочитать или записать любые файлы в хост-окружении, чего достаточно для получения контроля за хост-системой. Например, можно переписать /etc/shadow

Подробнее:
http://www.opennet.ru/opennews/art.shtml?num=50765
https://security-tracker.debian.org/tracker/CVE-2018-15664

#CVE-2018-15664 #docker #rc #linux
Уязвимость в Docker, позволяющая выбраться из контейнера
В инструментарии для управления изолированными Linux-контейнерами Docker выявлена уязвимость (CVE-2018-15664), которая при определённом стечении обстоятельств позволяет получить доступ к хост-окружению из контейнера при наличии возможности запуска своих образов в системе или при доступе к выполняемому контейнеру. Проблема проявляется во всех версиях Docker и остаётся неисправленной (предложен, но пока не принят, патч, реализующий приостановку работы контейнера на время выполнения операций с ФС).
Read more