Уязвимости и атаки на CMS Bitrix

1. Особенности
2. Уязвимости
3. Методы атак

Приятного чтения!

Добрый день, Коллеги!

8 октября принимаем участие на митапе от Spectr в Пермском Технопарке. Будем выступать с близкими нам темами, а именно: безопасность веб приложений и OSINT при пентестах.

Антон и Алексей поделятся своим опытом. До встречи на митапе. Не забудьте пройти регистрацию по ссылке!

Вышел новый релиз LMS.NetMap
Мы значительно переписали код.

https://github.com/lmsecure/LMS.NetMap/releases/tag/v0.2a

LMS.NetMap - сетевой сканер и анализатор трафика с возможностью автоматического построения топологии сети. Приложение является графической оберткой nmap-а и scapy. Эта утилита - швейцарский нож для проведения теста на проникновение.

Сейчас приложение умеет:
- сканировать сеть nmap-ом;
- парсить xml логи nmap-а;
- записывать полученный результат в базу (SQLite);
- автоматический строить топологию сети;
- прослушивать трафик с использование scapy;
- потрошить пакеты и извлекать полезную информацию, поддерживает pcap файлы;
- выводить полученную информацию в табличном виде;
- достраивать карту в ручном режиме.

Парольная политика из 8 символов считается слабой. Полный перебор NTLM хэша занимает 10 часов.

Персональные данные простыми словами

Если посмотреть на официальное определение, то Персональные Данные это — любая информация, относящаяся к определенному или определяемому на основе такой информации физическому лицу (субъекту персональных данных).

Определение достаточно туманное, и, вероятно, именно поэтому руководителям не до конца понятно, что же такое ПДн, а необходимость их защищать выглядит досадной препоной, которая мешает работе.

https://news.lianmedia.ru/2022/12/29/personalnye-dannye-prostymi-slovami/

Каникулы - это здорово. Есть возможность сделать то, что не можешь в рабочее время. За время каникул мы проехали несколько горнолыжных комплексов Пермского края, с новой игрушкой. Протестировали скипассы. И обнаружили то, что на большинстве комплексов NFC карты используются как RFID метки, т.е. вся информация о поездках хранится не на карте, как это сделано в транспортных картах, а централизованно, на сервере. Жебреи, единственные где используется RFID. Кто-то тестировал скипассы на других горнолыжках?

Организационно-распорядительная документация при обработке ПДн

Многие руководители не понимают необходимости организационно-распорядительной документации при обработке персональных данных субъектов. В этой статье мы попробуем разобраться что это, почему это важно, и насколько это важно.

https://news.lianmedia.ru/2023/01/26/organizaczionno-rasporyaditelnaya-dokumentacziya-pri-obrabotke-pdn/

Привет всем Пермякам!

Особенно тем, кто флипперов приобрел. Продолжаем тестировать хак-тул.

Всем Пермякам известно такое место, как "Парк Горького". Так вот, вход на аттракционы осуществляется через rfid метку. Карты закупаются, как правило - партиями. Следовательно номера там идут по порядку.

В флиппере (Unleashed firmware) есть такое приложение, как "rfid fuzzer". Очень занимательно выходит, если приложить флиппер к терминалу для пополнения карт. )

Как думаете, стоит снять демонстрацию?

Приветствуем!!!

Сегодня статья по нашей основной услуге - Пентесту.
Коротко о том, что это такое и что мы делаем.

https://news.lianmedia.ru/2023/02/02/test-na-proniknovenie/

В прошлый раз мы рассказывали о том, как взлом сайта может привести к компрометации корпоративной переписки через контроль содержимого трафика.

В этой статье будет более захватывающе и интереснее. Прямо как в детективном романе.

Мы расскажем, как злоумышленник с навыками Конкурентной Разведки (OSINT) может попасть в локальную сеть.

https://habr.com/ru/post/714562/

Импортозамещение. Популярная в последние несколько месяцев тема. Её обсуждают как вендоры, так и конечные потребители. И, конечно, обсуждают не просто так, ведь тема действительно важная и насущная.

Импортозамещение обязано проводиться согласно указа президента № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».

Шаг ожидаемый и даже неизбежный. Большинство производителей и поставщиков средств защиты информации из России ушли, остановили продажи и поддержку, закрыли представительства, а сами средства защиты производились в недружественных, теперь уже, государствах.

В этой статье мы обсудим наше видение импортозамещения средств защиты информации.

Зачастую на пентест-проектах по внешке или внутрянке нам удается захватить хеши паролей. Это могут быть как соленые MD5, SHA* хеши в вебе, так и NTLMv2/NTLM хеши во внутрянке.

Конечно, успех дальнейшего продвижения напрямую зависит от успеха в атаке на перебор паролей (перебор по словарю или полный перебор по маске). Атаку на подбор паролей обычно называют брутфорс или брут от английского выражения «brute force» или же грубая сила. В последствии мы также будем придерживаться общепринятой терминологии.

И все бы ничего, пароли в латинице отлично перебираются как полным перебором по маске всех символов с инкрементом, так и по заранее сгенерированным региональным и отраслевым словарям с дополнительными правилами и без, но как быть с полным перебором кириллических символов?

https://habr.com/ru/post/716160/

Первого мая 2022 года был принят 250 указ Президента РФ, небольшой документ на 4 страницы, очень сильно меняющий требования к защите информации.

Несложно догадаться, что предпосылкой для данного указа стала геополитическая ситуация, вызвавшая переход в «недружественный» лагерь и полный уход с рынка основных мировых поставщиков решений в сфере информационной безопасности. Также повысились риски кибератак против инфраструктуры Российской Федерации.

В статье рассказываем что же делать дальше.

https://news.lianmedia.ru/2023/02/16/250-ukaz/

Завтра (03.03) в Перми состоится мероприятие по безопасности PermCTF23!

В программе:
- конференция с 4 докладами
- круглые столы на животрепещущие темы
- соревнование в формате CTF (можно участвовать в онлайн этапе)

Вся информация по ссылке выше ^

Поздравляем с 8 марта Дам, а всех остальных с новым релизом LMS.NetMap

Репозиторий:
https://github.com/lmsecure/LMS.NetMap/releases/tag/v0.3a

Докер контейнер:
https://hub.docker.com/r/lmsecure/lms.netmap

docker pull lmsecure/lms.netmap

Что нового:
- Стабилизирована работа приложения, добавлено много обработок ошибок
- Переделана структура хранения и работы с проектами
- Добавлены вебсокеты для своевременного уведомления пользователя
- Добавлен дополнительный функционал для взаимодействия с топологией сети: можно выбрать иконку для сетевого узла, экспорт и импорт карты сети в различных форматах
- Для отображения данных в таблице используется Tabulator, переработана логика редактирования, создания и удаления записей
- Добавлена оптимизация работы приложения
- Добавлена валидация входных данных

Часто при проведении пентестов большой корпоративной инфрастуктуры нам не хватало визуального отображения карты сети. Zenmap - это, конечно, хорошо, но с момента последнего релиза прошло уже около 8 лет. Другие свободные решения зачастую не отличаются функционалом, а платное решение стоит денег. Плюсом множество готовых решений нацелены на мониторинг и администрирование, что является избыточным для решения наших задач.

Также по статистике проведенных пентестов около 70% ИТ и ИБ отделов клиентов не имели карту сети. То есть админы даже представления не имели как устроена топология сети и что там происходит. А ведь корпоративные информационные системы давно стали неотъемлемой частью любого бизнеса, являются основой множества бизнес-процессов.

О том почему и как мы создали свой продукт LMS.Netmap читайте в новой статье:
https://habr.com/ru/post/722526/

Друзья!

Проект LMS.NetMap развивается, отклик от ИТ сообщества показал (обзор в предыдущем посте), что есть неравнодушные люди, готовые вместе участвовать в развитии нашего open-source проекта.

Поэтому мы решили организовать чатик для всех неравнодушных. Здесь можно будет задать вопросы, внести предложения по развитию, пообщаться с разработчиками, предложить свои идеи и многое другое, а самое главное - координироваться в развитии. Welcome!

https://t.iss.one/netmap_chat

https://www.roseltorg.ru/procedure/RT27032300032
Ростелеком захотели славы дешевой... Вот черти. 👹 😃
Поможем коллегам в нелегком деле. 😃
#рткчертыхайп

Коллеги, мы проводим опрос с целью выявления потребностей на предприятиях в сфере системного администрирования 🤓

Очень хотим услышать вашу боль 😖 и чем-то помочь. Уделите, пожалуйста, 5 минут своего драгоценного времени.

Также большая просьба. Перешлите этот пост коллегам сисадминам или сетевикам и попросите заполнить, спасибо.

https://yandex.ru/poll/NHqRuy8kQEY5ZpkbNZFJSN