В плагине AI Engine для WordPress была обнаружена критическая уязвимость, которая, в частности, влияет на его бесплатную версию с более чем 50 000 активными установками 🖥

◽️Плагин широко известен своими разнообразными функциями, связанными с искусственным интеллектом, позволяющими пользователям создавать чат-ботов, управлять контентом и использовать различные инструменты искусственного интеллекта, такие как перевод, SEO и многое другое

◽️Проблема безопасности, о которой идет речь, заключается в уязвимости при загрузке произвольных файлов без проверки подлинности в функции rest_upload плагина в модуле files.php.

◽️Уязвимость позволяет любому пользователю, не прошедшему проверку подлинности, загружать произвольные файлы, включая потенциально вредоносные PHP-файлы, что может привести к удаленному выполнению кода в уязвимой системе.

◽️В свете этих выводов пользователям настоятельно рекомендуется обновить свой плагин AI Engine как минимум до версии 1.9.99, чтобы гарантировать, что их системы защищены от потенциального использования. Для отслеживания проблемы был присвоен идентификатор CVE-2023-51409.

Всегда проверяйте параметры каждого использования $ _FILES в коде плагина или темы. Обязательно примените проверку имени файла и расширения перед загрузкой . Также обратите особое внимание на проверки разрешений на пользовательских REST API

#forensics #soc #tools

Forensictools - это набор инструментов, предназначенный для цифровой криминалистики и предлагающий широкий спектр возможностей для сотрудника расследования инцидентов 🔍

Его основная цель - упростить создание виртуальной среды для проведения криминалистических экспертиз.

➡️ Это своего рода чемоданчик, собранный в готовый exe, в котором лежат базовые инструменты криминалиста: от hex editor до работы с хэшем, анализ бинарных файлов ( знаменитый detect it easy) и обработка артефактов windows, а также многое и многое другое.

Скачать данный набор и изучить весь его спектр можно по ссылочке на GitHub.

📶 Поделиться мнением о данном инструменте или обсудить волнующий вопрос с единомышленниками можно в чате канала AP Security.

Короткий 6-минутный ролик, цель которого зарядить на плодотворную работу и настроиться на продуктивный период 🟡

А как Вы справляетесь с выгоранием на рабочем месте? Как преодолевали трудности на своих проектах? ❔

🗣 Делитесь своим опытом в комментариях к этому посту !!!

#pentest #socialengineering

Социальная инженерия является одним из важных этапов в проведении тестирования на проникновение. Успешно проведённая атака позволяет развить дальнейшее распространение по сети, либо же извлечь важную информацию, если атакованный хост был плохо изолирован или защищён ☎️

Конечно же, для успешной реализации атакующие должны включать максимум креатива и играть на психологических аспектах сотрудников, чтобы заставить их выполнить необходимое для получения обратной оболочки действие. Именно поэтому в каждой рекомендации руководителям советуют почаще проводить киберучения среди своих сотрудников, повышать уровень цифровой гигиены и отслеживать последние тенденции фишинга и других способов социальной инженерии.

В свою очередь делимся свежей статьёй, в которой приводятся различные интересные примеры уловок, на которые попадаются сотрудники организаций

Приятного прочтения📌

#cve

CVE-2023-38831 winrar exploit generator ⚡️

Как работает уязвимость?

➡️ В ОС Windows нельзя иметь два файла с одинаковым именем в каталоге. Также нельзя иметь каталог и файл с одинаковым именем. Но это возможно в программах для сжатия файлов, таких как WinRar/7zip. В сжатом файле, независимо от того, есть ли у вас файлы с одинаковыми именами, они записываются в специальную структуру.
Поэтому в файле ZIP/RAR может быть два объекта (File/Dir) с одинаковыми именами.

Как описано в PoC, когда у вас есть файл и каталог с одинаковым именем в архивном файле и Вы хотите временно открыть этот файл, дважды щелкнув на нем (на целевой файл) в открытом архивном файле, Winrar извлекает этот файл для Вас, а вместе с ним и все файлы, которые имеют то же имя, что и целевой файл. Все они записываются во временный каталог по пути %tmp%. Такое извлечение влечёт за собой исполнение вредоносного кода в системе.

Причём здесь ShellExecuteExA и пробелы можно изучить в статьях репозитория, а также в дополнительных источниках

⚡️ Следует отметить, что уязвимости подвержена версия 6.22 и ниже ( последняя же 6.24) , а сам PoC был продемонстрирован в конце 2023 года, что доказывает необходимость регулярно проверять обновления на софт в организации.

#itnews

Обнаружена критическая уязвимость RCE в брандмауэрах Juniper SRX и коммутаторах серии EX 🗣

Компания Juniper Networks выпустила обновления для исправления критической уязвимости удаленного выполнения кода (RCE) в своих брандмауэрах серии SRX и коммутаторах серии EX ⚡️

Проблема, отслеживаемая как CVE-2024-21591, имеет оценку 9,8 в системе оценки CVSS.

Уязвимость с возможностью записи за пределы J-Web в Juniper Networks ОС Junos SRX серий и EX серий позволяет злоумышленнику, не прошедшему проверку подлинности в сети, вызвать отказ в обслуживании (DoS) или удаленное выполнение кода (RCE) и получить права root на устройстве

Эта проблема вызвана использованием небезопасной функции, позволяющей злоумышленнику перезаписывать произвольную память.

Данная уязвимость затрагивает следующие версии:
◽️Junos OS versions < 20.4R3-S9
◽️Junos OS 21.2 versions < 21.2R3-S7
◽️ Junos OS 21.3 versions < 21.3R3-S5
◽️ Junos OS 21.4 versions < 21.4R3-S5
◽️Junos OS 22.1 versions < 22.1R3-S4
◽️ Junos OS 22.2 versions < 22.2R3-S3
◽️ Junos OS 22.3 versions < 22.3R3-S2
◽️Junos OS 22.4 versions < 22.4R2-S2, 22.4R3

В качестве временных мер, пока не будут развернуты исправления, компания рекомендует пользователям отключить J-Web или ограничить доступ только доверенными узлами.

#forensics #soc

Легитимные процессы Windows: страшно ли это и как начать разбираться?✅

➡️ Коротко, ясно, с внимание к деталям автор делится базой, расширяет кругозор обычного пользователя и приучает к анализу системных процессов Windows ( в том числе речь заходит и про пресловутый svchost.exe 🖥)

В этой статье моей целью будет быстро и понятно внести памятку о легитимных процессах Windows. Немного расскажу, какой процесс за что отвечает, какие нормальные свойства имеют процессы, и приправлю это все небольшим количеством краткой, но полезной информации.

Приятного прочтения 📌

#beginners

Что такое прокси и в чём же их отличие?👋

Прокси-сервер - промежуточный сервер (комплекс программ) в компьютерных сетях, выполняющий роль посредника между пользователем и целевым сервером

◽️Обратный прокси-сервер (Reverse Proxy) — это тип прокси-сервера, который ретранслирует запросы клиентов из внешней сети на один или несколько серверов, логически расположенных во внутренней сети. При наличии обратного прокси-сервера вряд ли удастся напрямую поразить реальный сервер — это потому, что только IP-адрес обратного прокси является общедоступным

◽️Прямой прокси (Forward Proxy) - прямые прокси также обеспечивают анонимность. Прямой прокси-сервер будет скрывать исходный IP-адрес клиента при подключении к публичным серверам

#itnews

Компания по анализу угроз Recorded Future предупредила, что атакующие все чаще используют сервисы GitHub для проведения скрытых кибератак, и призвала ИТ-команды принять меры 👩‍💻

В новом отчете об использовании GitHub в качестве вредоносной инфраструктуры выявлены наиболее популярные сервисы GitHub для участников угроз.

Анализ данных об угрозах в период с марта по ноябрь 2023 года показал, что в атаках чаще всего использовались GitHub Raw (40%), GitHub Objects (35%) и GitHub Pages (14%).

В ближайшей перспективе защитникам следует придерживаться стратегии учёта сервисов, помечая или даже блокируя определенные сервисы GitHub, которые обычно не задействуются в среде организации и, как известно, используются злонамеренно”,

В Recorded Future заявили, что субъекты угроз используют сервисы GitHub, чтобы сливаться с безопасным сетевым трафиком, таким образом скрывая вредоносную активность.

#pentest #phishing

BobTheSmuggler - реализуем HTML Smuggling Attack и прячемся от детектирования 👌

Bob the Smuggler - это инструмент, в основе которого лежит реализация HTML Smuggling Attack.

➡️Утилита позволяет создавать HTML-файлы со встроенными 7z/zip-архивами. Инструмент сжимает ваши двоичные файлы (EXE/DLL) в формат 7z/zip, затем архив шифруется с использованием XOR, а затем утилита прячет его внутри файла изображения формата PNG/GIF (Image Polyglots). JavaScript, встроенный в HTML, загрузит PNG/GIF-файл и сохранит его в кэше.
➡️После этого JavaScript извлечет данные, встроенные в PNG/GIF, соберет их, выполнит XOR-дешифрование, а затем сохранит в виде блока в памяти.

#avbypass #pentest #redteam

Bypass AV: учимся обходить антивирус на практике✅

Обход антивируса является неотъемлемой частью любого пентеста. Для дальнейшей успешной эксплуатации необходимо знать и уметь применять на практике основные техники обхода программ защиты

В статье рассмотрены основные способы и утилиты для обфускации и шифрования кода: как классические (Shellter, Chimera), так и не самые распространенные, но не менее эффективные (Simple Loader)

Ссылка на статью🧘‍♀️

#phishing #pentest #cheatsheet

Техники фишинга с OLE😩

OLE-объект: суть метода заключается в том, что в легитимный Office-документ встраивается скрипт, запускающийся по клику. Скрипт может быть совершенно любой, обычно это просто полезная нагрузка

В данных заметках будут рассмотрены основные способы встраивания нагрузки в документы☠️

Red Team Notes 👩‍💻

#itnews #infosec #malware

Новая кампания вредоносного ПО использует 9hits для нападения на Docker🖥

Обнаруженная лабораторией Cado Security Labs кампания развертывает на уязвимом экземпляре Docker два контейнера - стандартный майнер XMRig и приложение 9hits viewer. Последнее используется для генерации кредитов для злоумышленника на платформе 9hits

Платформа 9hits, описываемая как:

Уникальное решение для обмена веб-трафиком", позволяющее участникам приобретать кредиты для обмена трафиком веб-сайтов

Атака начинается с развертывания контейнеров на уязвимом хосте Docker через интернет с помощью контролируемого злоумышленником сервера. Хотя исследователи Cado не смогли получить доступ к спредеру, они предположили, что злоумышленники могли обнаружить honeypot через такие платформы, как Shodan. Спредер использует API Docker для запуска двух контейнеров, получая готовые образы с Dockerhub для программного обеспечения 9hits и XMRig

#pentest #фишинг #redteam

Полное руководство по Smuggling HTML👺

Smuggling HTML - техника доставки вредоносной нагрузки через "безопасные" HTML-страницы

Данная статья объясняет, что представляет из себя данная техника, а также подробно описан алгоритм создания данного вида вредоносной нагрузки. Мы также ранее выкладывали утилиту для проведения данной атаки

Smuggling HTML

#pentest #redteam #phishing

Крадем NTLM-креды👁

Статья содержит подробное руководство о способах закладки вредоносной нагрузки и атаках для кражи NTLM-хеша: вложение в xml,docx,pdf, а также LFI, XXE и различные инъекции

HackTricks

#itnews #infosec #hackers

Китайские хакеры незаметно использовали уязвимость нулевого дня VMware в течение 2 лет🏚

Передовая китайская группа кибершпионажа, ранее связанная с эксплуатацией недостатков безопасности в устройствах VMware и Fortinet, с конца 2021 года занимается использованием критической уязвимости в VMware vCenter Server в качестве уязвимости нулевого дня

В отчете Google упоминается:

У UNC3886 есть опыт использования уязвимостей нулевого дня для незаметного выполнения своих задач, и этот последний пример еще раз демонстрирует их возможности

Речь идет об уязвимости CVE-2023-34048 (CVSS score: 9.8), которая представляет собой запись за пределы границ и может быть использована злоумышленником, имеющим сетевой доступ к vCenter Server. Она была исправлена компанией, принадлежащей Broadcom, 24 октября 2023 года

#soc #phishing #apt

Как защищаться от APT-группировок🛡

Каждый сотрудник любой компании, будь он техническим специалистом или просто HR-ом, важно быть осведомленным о том, какими способами хакерские группировки проникают в вашу инфраструктуру

Данная статья не содержит подробных технических разъяснений и разборов, а рассказывает о базовых моментах предотвращения целевых атак. Для начинающих свое знакомство с миром ИБ будет очень полезно, а для опытных специалистов повторение - мать учения☯️

Статья Лаборатории Касперского

Обнаружен новый эксплойт для Outlook: CVE-2023-35636 приводит к краже паролей NTLM v2💻

CVE-2023-35636 - это уязвимость безопасности, обнаруженная в Microsoft Outlook, а именно в функции совместного использования календаря. Этот эксплойт позволяет злоумышленникам перехватывать хэши NTLM v2, которые используются для аутентификации в системах Microsoft Windows. NTLM v2, хотя и более безопасен, чем его предшественник, все еще подвержен автономным атакам перебора и повторной пересылке данных аутентификации.

Эксплойт для Outlook заключается в добавлении определенных заголовков в письмо, что заставляет Outlook делиться содержимым и взаимодействовать с указанным компьютером. Эта манипуляция создает возможность для злоумышленников перехватить хэши NTLM v2 в процессе аутентификации. Эксплойт требует наличия двух заголовков: "Content-Class" и "x-sharing-config-url", которые указывают на машину злоумышленника.

Помимо Outlook, злоумышленники могут использовать Windows Performance Analyzer (WPA) и Windows File Explorer для получения доступа к хэшам NTLM v2. Используя обработчики URI и специфические параметры, злоумышленники могут обманом заставить эти приложения раскрыть конфиденциальную информацию.

Microsoft устранила уязвимость Outlook (CVE-2023-35636) с помощью патча, выпущенного 12 декабря 2023 года, отнеся его к категории "важных". Однако уязвимости, связанные с WPA и Windows File Explorer, были признаны Microsoft "умеренно серьезными".

➡️ Чтобы обезопасить свои системы и данные от атак NTLM v2, рассмотрите возможность применения следующих мер безопасности:

1. Подписание SMB: Включите функцию подписи SMB для защиты SMB-трафика от несанкционированного доступа и атак типа "человек посередине". Эта функция подписывает все SMB-сообщения цифровой подписью, что позволяет получателям обнаруживать и отклонять любые поддельные сообщения.

2. Блокировка исходящего NTLM v2: Начиная с Windows 11 (сборка 25951), можно блокировать исходящую аутентификацию NTLM, добавляя дополнительный уровень безопасности.

3. Принудительная аутентификация Kerberos: По возможности применяйте аутентификацию Kerberos и блокируйте NTLM v2 как на сетевом уровне, так и на уровне приложений. Это поможет предотвратить использование NTLM v2 там, где это не требуется.

Приняв эти меры предосторожности, вы сможете значительно снизить риск стать жертвой атак NTLM v2 и обеспечить безопасность своих систем и данных.