Ловите вкусные баги прошедшей недели
#CVE #Java #AEM #Cisco #Android #Microsoft
➡️ SAP NetWeaver AS Java / Insecure deserialization (CVE-2025-42944, CVSS 10.0)
Критическая уязвимость в модуле RMI-P4. Имея доступ к открытому RMI-интерфейсу, можно доставить на открытый RMI-порт специально сформированные сериализованные объекты и добиться RCE без аутентификации.
➡️ Adobe Experience Manager (AEM) / misconfiguration (CVE-2025-54253, CVSS 10.0)
Проблема связана с небезопасной конфигурацией/режимом разработки (devMode) и взаимодействием со Struts/OGNL. Специально сформированные запросы могут привести к выполнению выражений и RCE без аутентификации и без участия пользователя.
➡️ Cisco ASA/FTD (CVE-2025-20362 CVSS 6.5, CVE-2025-20333, CVSS 9.9)
Недостаточная валидация пользовательского ввода в веб-компоненте VPN + неправильная проверка входа в VPN/WebVPN web-сервере соответственно. Эта пара используется в атаках по меньшей мере с мая 2025 года. Позволяет получать доступ к URL-эндпойнтам, которые должны требовать аутентификацию, и выполнять RCE под root на устройстве.
➡️ Android Framework / information disclosure (CVE-2025-48561, CVSS 8.3)
Локальное приложение может использовать побочные графические/рендер-сигналы, чтобы восстановить отображаемые на экране данные (2FA-коды, уведомления и т.д.). 0-click + не требует дополнительных прав. Достаточно запустить вредоносный APK на устройстве.
➡️ Microsoft Patch Tuesday
Microsoft выпустила крупнейший в истории Patch Tuesday с исправлениями 170+ уязвимостей, включая шесть zero-day. Исчерпывающий обзор обновлений с перечислением самых критичных багов есть у Bleeping Computers, Talos и Qualys.
🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч
#CVE #Java #AEM #Cisco #Android #Microsoft
Критическая уязвимость в модуле RMI-P4. Имея доступ к открытому RMI-интерфейсу, можно доставить на открытый RMI-порт специально сформированные сериализованные объекты и добиться RCE без аутентификации.
Проблема связана с небезопасной конфигурацией/режимом разработки (devMode) и взаимодействием со Struts/OGNL. Специально сформированные запросы могут привести к выполнению выражений и RCE без аутентификации и без участия пользователя.
Недостаточная валидация пользовательского ввода в веб-компоненте VPN + неправильная проверка входа в VPN/WebVPN web-сервере соответственно. Эта пара используется в атаках по меньшей мере с мая 2025 года. Позволяет получать доступ к URL-эндпойнтам, которые должны требовать аутентификацию, и выполнять RCE под root на устройстве.
Локальное приложение может использовать побочные графические/рендер-сигналы, чтобы восстановить отображаемые на экране данные (2FA-коды, уведомления и т.д.). 0-click + не требует дополнительных прав. Достаточно запустить вредоносный APK на устройстве.
Microsoft выпустила крупнейший в истории Patch Tuesday с исправлениями 170+ уязвимостей, включая шесть zero-day. Исчерпывающий обзор обновлений с перечислением самых критичных багов есть у Bleeping Computers, Talos и Qualys.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9👍3
LinkPro: Новая эра eBPF-руткитов с "магическими пакетами"
#malware #eBPF #linux #kernel #hardening
Исследователи Synacktiv обнаружили изощренный руткит LinkPro, написанный на Golang и использующий технологию eBPF для сокрытия в ядре Linux. Этот backdoor демонстрирует качественный скачок в техниках сокрытия вредоносного ПО, сочетая kernel-level hiding с удаленной активацией через "magic packets" и представляя новый уровень сложности для систем обнаружения.
➡️ Hide&Seek
Руткит состоит из двух ключевых eBPF модулей: Hide модуль для сокрытия процессов, файлов и артефактов, и Knock модуль для удаленной активации. Такая модульная архитектура позволяет гибко управлять функциональностью и обеспечивает отказоустойчивость системы сокрытия.
"Магические пакеты" для активации
Уникальная особенность LinkPro — активация через TCP SYN-пакеты с размером окна 54321. Этот механизм позволяет злоумышленнику удаленно "пробуждать" спящий backdoor без необходимости поддерживать постоянные сетевые соединения или открытые порты.
При получении такого пакета Knock модуль перенаправляет трафик на внутренний порт для установления C2-связи, обеспечивая полностью пассивное прослушивание без демаскирующих признаков активной сетевой активности.
🔗 blog.poxek
🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч
#malware #eBPF #linux #kernel #hardening
Исследователи Synacktiv обнаружили изощренный руткит LinkPro, написанный на Golang и использующий технологию eBPF для сокрытия в ядре Linux. Этот backdoor демонстрирует качественный скачок в техниках сокрытия вредоносного ПО, сочетая kernel-level hiding с удаленной активацией через "magic packets" и представляя новый уровень сложности для систем обнаружения.
Руткит состоит из двух ключевых eBPF модулей: Hide модуль для сокрытия процессов, файлов и артефактов, и Knock модуль для удаленной активации. Такая модульная архитектура позволяет гибко управлять функциональностью и обеспечивает отказоустойчивость системы сокрытия.
"Магические пакеты" для активации
Уникальная особенность LinkPro — активация через TCP SYN-пакеты с размером окна 54321. Этот механизм позволяет злоумышленнику удаленно "пробуждать" спящий backdoor без необходимости поддерживать постоянные сетевые соединения или открытые порты.
# Концептуальный пример magic packet
# TCP SYN с window size 54321 активирует Knock модуль
tcpdump -i any 'tcp[tcpflags] & tcp-syn != 0 and tcp[14:2] = 54321'
При получении такого пакета Knock модуль перенаправляет трафик на внутренний порт для установления C2-связи, обеспечивая полностью пассивное прослушивание без демаскирующих признаков активной сетевой активности.
Please open Telegram to view this post
VIEW IN TELEGRAM
🤯17
Утечка данных из тенанта через Microsoft 365 Copilot в Mermaid-диаграмму
#Copilot #Mermaid #PromptInjection #LLMSecurity #LLMSecOps #MLSecOps #SupplyChain #IncidentResponse
Исследователь описал вариант косвенной инъекции промпта, заставляющий Microsoft 365 Copilot извлекать данные из тенанта, кодировать их в hex и вставлять в сгенерированную Mermaid-диаграмму с кликабельной ссылкой, которая затем передает данные на C2.
➡️ Уязвимость дает сочетание двух факторов
- Copilot может вызывать инструменты типа
- Mermaid-артефакты поддерживают кликабельные ссылки на ресурсы, что дает неочевидный exfil-канал.
➡️ Цепочка эксплуатации
- В документ встраиваются скрытые инструкции (progressive / indirect prompt injection), например, для сбора email.
- Copilot собирает данные тенанта через доступные инструменты.
- Данные кодируются (hex) и подставляются в текст, который Copilot генерирует как Mermaid-диаграмму.
- Mermaid-диаграмма рендерится в интерфейсе как интерактивный объект с ссылками.
- При открытии или при клике клиент/браузер делает запрос к серверу C2, в логах сервера собираются куски hex-строки и восстанавливаются данные.
➡️ Что сделано
- Уязвимость продемонстрирована и задокументирована (Coordinated Disclosure с MSRC), в материале описан процесс взаимодействия с Microsoft и работа над фиксом
- Баг исправлен (без CVE)
- Похожие уязвимости в рендерах Mermaid были исправлены в других продуктах, например, в Cursor IDE (CVE-2025-54132)
➡️ Рекомендации
- Отключить автодоступ Copilot к чувствительным источникам или ограничить scope инструментов.
- Блокировать/фильтровать внешние вызовы из рендерера (запрет fetch/images/iframe в Mermaid и других визуальных плагинах).
- Внедрить детекцию в eDiscovery/archived-exports: искать mermaid + click + длинные hex-строки.
- Не кликать на неожиданные интерактивные элементы в сгенерированных отчетах/диалогах Copilot.
🔗 Источник
🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч
#Copilot #Mermaid #PromptInjection #LLMSecurity #LLMSecOps #MLSecOps #SupplyChain #IncidentResponse
Исследователь описал вариант косвенной инъекции промпта, заставляющий Microsoft 365 Copilot извлекать данные из тенанта, кодировать их в hex и вставлять в сгенерированную Mermaid-диаграмму с кликабельной ссылкой, которая затем передает данные на C2.
- Copilot может вызывать инструменты типа
search_enterprise_emails в контексте тенанта и включать результаты в сгенерированный вывод.- Mermaid-артефакты поддерживают кликабельные ссылки на ресурсы, что дает неочевидный exfil-канал.
- В документ встраиваются скрытые инструкции (progressive / indirect prompt injection), например, для сбора email.
- Copilot собирает данные тенанта через доступные инструменты.
- Данные кодируются (hex) и подставляются в текст, который Copilot генерирует как Mermaid-диаграмму.
- Mermaid-диаграмма рендерится в интерфейсе как интерактивный объект с ссылками.
- При открытии или при клике клиент/браузер делает запрос к серверу C2, в логах сервера собираются куски hex-строки и восстанавливаются данные.
- Уязвимость продемонстрирована и задокументирована (Coordinated Disclosure с MSRC), в материале описан процесс взаимодействия с Microsoft и работа над фиксом
- Баг исправлен (без CVE)
- Похожие уязвимости в рендерах Mermaid были исправлены в других продуктах, например, в Cursor IDE (CVE-2025-54132)
- Отключить автодоступ Copilot к чувствительным источникам или ограничить scope инструментов.
- Блокировать/фильтровать внешние вызовы из рендерера (запрет fetch/images/iframe в Mermaid и других визуальных плагинах).
- Внедрить детекцию в eDiscovery/archived-exports: искать mermaid + click + длинные hex-строки.
- Не кликать на неожиданные интерактивные элементы в сгенерированных отчетах/диалогах Copilot.
Please open Telegram to view this post
VIEW IN TELEGRAM
GATEBLEED — первая аппаратная утечка данных в AI-ускорителях
#AI #LLM #HardwareSecurity #HardwareHacking #AIsafety #MLsecurity
➡️ Суть уязвимости
Исследователи из North Carolina State University (NC State) обнаружили побочный канал, возникающий из-за power-gating — механизма экономии энергии, в зависимости от нагрузки динамически включающего и выключающего вычислительные блоки AI-ускорителя. Во время выполнения различных участков нейросетевого инференса активируются разные кластеры матричных вычислителей (tensor tiles). Эти активации создают измеримые вариации потребляемой мощности и задержек, которые можно наблюдать локально через доступные счетчики, телеметрию или тайминги.
По статистике этих вариаций исследователям удалось определить, какие данные обрабатываются. Например, входил ли конкретный образец в тренировочный датасет или какой фрагмент модели используется в момент времени.
➡️ Ключевые особенности
• Это не программная ошибка, а аппаратная утечка на уровне микроархитектуры, возникающая из-за особенностей дизайна энергоменеджмента.
• Эффект сильнее выражен на архитектурах с агрессивным и блочным power-gating, где отдельные вычислительные кластеры физически обесточиваются.
• На платформах с более гладким энергоменеджментом сигнал слабее и может требовать физического доступа.
• Уязвимость не универсальна и зависит от конкретной микрокодовой реализации и топологии ускорителя. Но сам модельный риск применим ко многим современным AI-чипам.
➡️ PoC
Исследователи построили PoC на платформах с поддержкой аппаратных AI-инструкций, включая Intel Xeon 4-го поколения с модулем AMX, где power-gating используется для включения матричных блоков.
• На тестовой системе выполнялись batched runs под управлением обычного пользовательского кода без привилегий ядра.
• Параллельно записывались доступные микроархитектурные и временные показатели — latency, IPC, счетчики инструкций, паттерны включения и выключения блоков, вариации энергопотребления.
• Формировались два набора батчей: с целевыми примерами и без них. Измерения показали статистически значимую разницу в поведении power-gating между этими классами.
• Собранные временные ряды проходили фильтрацию, нормализацию и извлечение признаков, после чего подавались в ML-классификатор, способный определять наличие чувствительного примера в батче. То есть реализуется membership inference на уровне железа.
🔗 Источник
🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч
#AI #LLM #HardwareSecurity #HardwareHacking #AIsafety #MLsecurity
Исследователи из North Carolina State University (NC State) обнаружили побочный канал, возникающий из-за power-gating — механизма экономии энергии, в зависимости от нагрузки динамически включающего и выключающего вычислительные блоки AI-ускорителя. Во время выполнения различных участков нейросетевого инференса активируются разные кластеры матричных вычислителей (tensor tiles). Эти активации создают измеримые вариации потребляемой мощности и задержек, которые можно наблюдать локально через доступные счетчики, телеметрию или тайминги.
По статистике этих вариаций исследователям удалось определить, какие данные обрабатываются. Например, входил ли конкретный образец в тренировочный датасет или какой фрагмент модели используется в момент времени.
• Это не программная ошибка, а аппаратная утечка на уровне микроархитектуры, возникающая из-за особенностей дизайна энергоменеджмента.
• Эффект сильнее выражен на архитектурах с агрессивным и блочным power-gating, где отдельные вычислительные кластеры физически обесточиваются.
• На платформах с более гладким энергоменеджментом сигнал слабее и может требовать физического доступа.
• Уязвимость не универсальна и зависит от конкретной микрокодовой реализации и топологии ускорителя. Но сам модельный риск применим ко многим современным AI-чипам.
Исследователи построили PoC на платформах с поддержкой аппаратных AI-инструкций, включая Intel Xeon 4-го поколения с модулем AMX, где power-gating используется для включения матричных блоков.
• На тестовой системе выполнялись batched runs под управлением обычного пользовательского кода без привилегий ядра.
• Параллельно записывались доступные микроархитектурные и временные показатели — latency, IPC, счетчики инструкций, паттерны включения и выключения блоков, вариации энергопотребления.
• Формировались два набора батчей: с целевыми примерами и без них. Измерения показали статистически значимую разницу в поведении power-gating между этими классами.
• Собранные временные ряды проходили фильтрацию, нормализацию и извлечение признаков, после чего подавались в ML-классификатор, способный определять наличие чувствительного примера в батче. То есть реализуется membership inference на уровне железа.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11👾5🔥3
ChatGPT Atlas от OpenAI оказался уязвим перед простым indirect prompt injection
#ChatGPT #promptinjection #AI #LLM
21 октября 2025 года OpenAI представила ChatGPT Atlas — автономный Chromium-браузер с интегрированным LLM-агентом. Всего через нескольких часов после релиза багхантер
Это не баг, а архитектурная особенность agentic-браузеров: кроме пользовательских запросов агент анализирует DOM, метаданные, буфер обмена и OCR-результаты содержимое веб-страниц. Если они содержат невидимые элементы CSS, HTML-комментарии или скрипты, помещающие текст в clipboard, агент способен воспринять их как команду и выполнить с правами текущего пользователя.
➡️ Что сделал Pliny
Создал веб-страницу-демонстрацию со скрытым prompt-payload — текстовые узлы и DOM-элементы, визуально неотличимые от обычного контента, но семантически оформленные как инструкции для агента.
Реализовал JavaScript-логику, автоматически копирующую этот payload в буфер обмена (clipboard) при загрузке или взаимодействии со страницей без уведомления пользователя.
Открыл страницу в ChatGPT Atlas, где агент, формируя системный prompt, включил содержимое clipboard/DOM в запрос к LLM, трактуя этот текст как часть пользовательского ввода.
В payload находился jailbreak-prompt, переписывающий контекст агента и заставляющий его выполнить нежелательное действие.
➡️ Статус проблемы
OpenAI официально подтвердила, что prompt-injection остается unsolved security problem и относится к классу нерешенных архитектурных рисков agentic-систем.
Компания внедрила временные меры: режим logged-out mode (LLM-агент без доступа к cookies и аккаунтам), усиленные фильтры входных данных и систему детекции аномальных действий агента.
На момент публикации подтвержденных массовых случаев эксплуатации in wild нет.
🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч
#ChatGPT #promptinjection #AI #LLM
21 октября 2025 года OpenAI представила ChatGPT Atlas — автономный Chromium-браузер с интегрированным LLM-агентом. Всего через нескольких часов после релиза багхантер
@elder_plinius (Pliny the Liberator) уломал LLM-агент браузера выдать ему инструкции с запрещенкой и даже представил рабочий PoC.Это не баг, а архитектурная особенность agentic-браузеров: кроме пользовательских запросов агент анализирует DOM, метаданные, буфер обмена и OCR-результаты содержимое веб-страниц. Если они содержат невидимые элементы CSS, HTML-комментарии или скрипты, помещающие текст в clipboard, агент способен воспринять их как команду и выполнить с правами текущего пользователя.
Создал веб-страницу-демонстрацию со скрытым prompt-payload — текстовые узлы и DOM-элементы, визуально неотличимые от обычного контента, но семантически оформленные как инструкции для агента.
Реализовал JavaScript-логику, автоматически копирующую этот payload в буфер обмена (clipboard) при загрузке или взаимодействии со страницей без уведомления пользователя.
Открыл страницу в ChatGPT Atlas, где агент, формируя системный prompt, включил содержимое clipboard/DOM в запрос к LLM, трактуя этот текст как часть пользовательского ввода.
В payload находился jailbreak-prompt, переписывающий контекст агента и заставляющий его выполнить нежелательное действие.
OpenAI официально подтвердила, что prompt-injection остается unsolved security problem и относится к классу нерешенных архитектурных рисков agentic-систем.
Компания внедрила временные меры: режим logged-out mode (LLM-агент без доступа к cookies и аккаунтам), усиленные фильтры входных данных и систему детекции аномальных действий агента.
На момент публикации подтвержденных массовых случаев эксплуатации in wild нет.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥10
Думаю завести отдельный канал, чисто по тематике AI cybersec (offensive + defensive). А на основном канале уменьшить кол-во AI тем
Anonymous Poll
63%
Да
37%
Нет
💔4
Похек
Думаю завести отдельный канал, чисто по тематике AI cybersec (offensive + defensive). А на основном канале уменьшить кол-во AI тем
@poxek_ai
Пока контента нет, будет появляться по мере моей учебы
Пока контента нет, будет появляться по мере моей учебы
🐳7
Ловите вкусные баги прошедшей недели
#подборка #CVE #Kestrel #Oracle #Windows #Microsoft
➡️ Kestrel (ASP[.]NET Core) (CVE-2025-55315, CVSS 9,9) — несогласованность в HTTP request/response smuggling. Сервер и промежуточные компоненты по-разному интерпретируют границы запросов, что позволяет авторизованному злоумышленнику спрятать вторичный HTTP-запрос внутри легитимного. В итоге появляется возможность протащить скрытый запрос, обходящий фронтэнд-проверки (WAF, прокси, маршрутизатор), и выполнить его в контексте бэкенда.
➡️ Первая публичная цепочка VM escape для VirtualBox на ARM — BI.ZONE выявили цепочку уязвимостей для побега из гостя на хост (macOS ARM). CVE-2025-62592 (CVSS 6.0) — integer underflow в виртуальном графическом адаптере QemuRamFB (обработчик MMIO qemuFwCfgMmioRead), позволяющий читать память за пределами массива и вытащить адреса (bypass ASLR/утечка указателей). CVE-2025-61760 (CVSS 7.5) — stack buffer overflow в функции virtioCoreR3VirtqInfo, позволяющий выполнить произвольный код на хосте и реализации VM-escape.
➡️ Windows Domain Controllers (CVE-2025-54918, CVSS 8,8) — баг в обработке NTLM/LDAP на контроллерах домена, позволяющий злоумышленнику при определенных условиях (сетевой доступ к LDAP/LDAPS и соответствующие NTLM-последовательности) эскалировать привилегии от domain user до SYSTEM на контроллере или заставить контроллер принять подмененную аутентификацию, открывая путь к дальнейшей компрометации AD (добыча krbtgt, relay/перехват сессий, репликация и т.д.).
➡️ Windows-драйвер Agere/ltmdm64.sys (CVE-2025-24990, CVSS 7,8) — локальная LPE-уязвимость типа untrusted pointer dereference/untrusted memory access в стороннем Agere-modem-драйвере, поставляемым с Windows. Драйвер выполняет операции в контексте ядра, принимая указатели из пользовательского режима без должной валидации. Атакующий с локальным доступом может инициировать произвольную запись в адресное пространство ядра и получить SYSTEM.
➡️ Windows Server Update Services (CVE-2025-59287, CVSS 9,8) — unsafe deserialization в WSUS-web-service (reporting/processing). Удаленный неаутентифицированный атакующий может отправить специально сконструированный запрос, вызвать небезопасную десериализацию .NET-объекта и добиться RCE под SYSTEM на сервере с ролью WSUS (порт по умолчанию 8530/8531).
🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч
#подборка #CVE #Kestrel #Oracle #Windows #Microsoft
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥10👍1
Edera
CVE-2025-62518 Shows the Cost of Open Source Abandonware
Edera uncovers TARmageddon (CVE-2025-62518), a Rust async-tar RCE flaw exposing the real dangers of open-source abandonware and supply chain security.
TARmageddon — баг в библиотеке async-tar и ее форках (Rust)
#TARmageddon #devsecops #CVE #Rust #tar
TARmageddon (CVE-2025-62518) — логическая уязвимость в экосистеме async-tar и ее форках tokio-tar и astral-tokio-tar. Парсер ориентируется на значение из ustar-заголовка, которое может быть нулевым, при этом игнорируется или не согласуется PAX-size. В результате реальный блок данных остается в потоке и его заголовки интерпретируются как новые записи внешнего архива.
➡️ Что дает эксплуатация
RCE/hijack сборки — при установке/распаковке пакета атакующий может привести к перезаписи файлов конфигурации сборки, что позволяет перенаправить сборку на вредоносный backend и исполнить код в CI/локальной среде.
Bypass сканеров/supply-chain contamination — сканер проверяет чистый внешний TAR и помечает пакет как безопасный, затем уязвимый распаковщик вносит незадекларированные файлы в результирующий артефакт/deploy.
➡️ Эксплуатация
Создаем внешний TAR, где для одной записи в PAX-extended-header указано size > 0, а в стандартном ustar-заголовке поле размера равно 0 (ustar size хранится в восьмеричном виде).
В теле этой записи лежит вложенный TAR, начинающийся с корректных TAR-заголовков (в PoC помечены как INNER_FILE).
Корректные реализации (например, GNU tar) при распаковке дадут последовательность normal.txt -> blob.bin -> marker.txt, уязвимые парсеры — normal.txt -> blob.bin -> INNER_FILE -> marker.txt.
Появление INNER_FILE в выводе уязвимого парсера — индикатор бага.
➡️ Как защититься
Обновить до патченых версий или заменить на активно поддерживаемую реализацию, например на патч-ветку/форк, рекомендованный исследователями.
Распаковывать архивы в изолированные песочницы, валидировать содержимое против ожидаемого манифеста/контента до переезда в рабочую директорию, запрет перезаписи ключевых файлов и post-extract-сканирование на неожиданные записи.
Идентифицировать проекты, использующие уязвимые библиотеки, и приоритезировать обновления/ремедиацию в supply-chain.
🔗 Источник
🪲 PoC
🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч
#TARmageddon #devsecops #CVE #Rust #tar
TARmageddon (CVE-2025-62518) — логическая уязвимость в экосистеме async-tar и ее форках tokio-tar и astral-tokio-tar. Парсер ориентируется на значение из ustar-заголовка, которое может быть нулевым, при этом игнорируется или не согласуется PAX-size. В результате реальный блок данных остается в потоке и его заголовки интерпретируются как новые записи внешнего архива.
RCE/hijack сборки — при установке/распаковке пакета атакующий может привести к перезаписи файлов конфигурации сборки, что позволяет перенаправить сборку на вредоносный backend и исполнить код в CI/локальной среде.
Bypass сканеров/supply-chain contamination — сканер проверяет чистый внешний TAR и помечает пакет как безопасный, затем уязвимый распаковщик вносит незадекларированные файлы в результирующий артефакт/deploy.
Создаем внешний TAR, где для одной записи в PAX-extended-header указано size > 0, а в стандартном ustar-заголовке поле размера равно 0 (ustar size хранится в восьмеричном виде).
В теле этой записи лежит вложенный TAR, начинающийся с корректных TAR-заголовков (в PoC помечены как INNER_FILE).
Корректные реализации (например, GNU tar) при распаковке дадут последовательность normal.txt -> blob.bin -> marker.txt, уязвимые парсеры — normal.txt -> blob.bin -> INNER_FILE -> marker.txt.
Появление INNER_FILE в выводе уязвимого парсера — индикатор бага.
Обновить до патченых версий или заменить на активно поддерживаемую реализацию, например на патч-ветку/форк, рекомендованный исследователями.
Распаковывать архивы в изолированные песочницы, валидировать содержимое против ожидаемого манифеста/контента до переезда в рабочую директорию, запрет перезаписи ключевых файлов и post-extract-сканирование на неожиданные записи.
Идентифицировать проекты, использующие уязвимые библиотеки, и приоритезировать обновления/ремедиацию в supply-chain.
Please open Telegram to view this post
VIEW IN TELEGRAM
Как работает Blind LDAP Injection — на примере реального CTF-задания
#Microsoft #AD #LDAP #CTF
Сегодня я предлагаю вместе разобраться с довольно сложным CTF-заданием, посвящённому слепой LDAP-инъекции (Blind LDAP Injection).
Оно будет особенно интересным, ведь его смогли решить всего около 50 человек из примерно 500. Мне удалось получить флаг одним из первых десяти участников — за 2 часа, причём без глубокого опыта работы с LDAP протоколами.
Решение и код лежат также на Github
🔗 Источник
🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч
#Microsoft #AD #LDAP #CTF
Сегодня я предлагаю вместе разобраться с довольно сложным CTF-заданием, посвящённому слепой LDAP-инъекции (Blind LDAP Injection).
Оно будет особенно интересным, ведь его смогли решить всего около 50 человек из примерно 500. Мне удалось получить флаг одним из первых десяти участников — за 2 часа, причём без глубокого опыта работы с LDAP протоколами.
Решение и код лежат также на Github
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥20
RCE в сетевых принтерах Canon через стандартный механизм печати и TTF-шрифт
#RCE #Canon #принтеры #ThreatHunting
В стандартном сценарии работы с принтерами Canon клиент формирует задачу на печать (print-job) в формате XPS/POSTSCRIPT/PJL, отправляет ее устройству, после чего встроенный парсер XPS/TTF обрабатывает ресурсы: страницы, изображения и шрифты. Встраивание в XPS специально сконструированного TTF-шрифта может вызвать некорректную обработку в прошивке и привести к RCE на устройстве.
➡️ Технические нюансы
• Принтеры принимают задания в формате XPS (ZIP + XML) или по RAW/PJL (порт 9100). XPS поддерживает embedded-ресурсы, включая TTF.
• Уязвимость кроется в обработке таблиц TrueType (head, cmap, maxp, loca, glyf, kern и др.). Парсер не всегда валидирует границы смещения и количество записей, что приводит к out-of-bounds-чтению/записи и потенциальной memory corruption.
• Типичные триггеры: неконсистентные поля numTables/offset/length, аномально большие glyf/loca или специально составленные composite glyphs/instructions.
➡️ Последовательность атаки
• Формируется XPS/print-job с embedded TTF, содержащим неконсистентные поля.
• Отправка job-а на принтер напрямую по TCP/9100 через HTTP(S)/SNMP-интерфейс, SMB или через print-server.
• Устройство распаковывает XPS, парсер TTF проходит таблицы и сталкивается с некорректными полями, что приводит к нарушению работы.
• При управляемой коррумпции памяти возможен захват управления потоком исполнения (RCE) либо DoS.
• При успешном RCE можно попытаться записать модифицированную прошивку, установить C2 или использовать принтер как pivot-точку в сети.
➡️ Последствия
• DoS: падение/перезагрузка принтера или print-server, потеря возможности печати.
• Foothold: при RCE — интерактивный доступ в сеть (мост между VLAN/DMZ) + persistence.
• Утечка данных: доступ к очередям печати, документам, эксфильтрация по сети.
Масштаб риска зависит от доли уязвимых прошивок в парке устройств. Массовая эксплуатация экспонированных принтеров — возможна.
➡️ Как защититься
• Поместить принтеры в отдельный VLAN с ограничением входящих и исходящих соединений.
• Разрешать печать только с доверенных хостов через контролируемый print-server.
• Блокировать/ограничить порт 9100 (RAW/PJL) снаружи и на границе сети.
• Принимать XPS/ZIP через print-server, который проверяет и фильтрует встроенные ресурсы (включая TTF).
• Отключить/фильтровать XPS где это возможно. Если нельзя — сканировать вложенные шрифты на аномалии.
🔗 Источник
🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч
#RCE #Canon #принтеры #ThreatHunting
В стандартном сценарии работы с принтерами Canon клиент формирует задачу на печать (print-job) в формате XPS/POSTSCRIPT/PJL, отправляет ее устройству, после чего встроенный парсер XPS/TTF обрабатывает ресурсы: страницы, изображения и шрифты. Встраивание в XPS специально сконструированного TTF-шрифта может вызвать некорректную обработку в прошивке и привести к RCE на устройстве.
• Принтеры принимают задания в формате XPS (ZIP + XML) или по RAW/PJL (порт 9100). XPS поддерживает embedded-ресурсы, включая TTF.
• Уязвимость кроется в обработке таблиц TrueType (head, cmap, maxp, loca, glyf, kern и др.). Парсер не всегда валидирует границы смещения и количество записей, что приводит к out-of-bounds-чтению/записи и потенциальной memory corruption.
• Типичные триггеры: неконсистентные поля numTables/offset/length, аномально большие glyf/loca или специально составленные composite glyphs/instructions.
• Формируется XPS/print-job с embedded TTF, содержащим неконсистентные поля.
• Отправка job-а на принтер напрямую по TCP/9100 через HTTP(S)/SNMP-интерфейс, SMB или через print-server.
• Устройство распаковывает XPS, парсер TTF проходит таблицы и сталкивается с некорректными полями, что приводит к нарушению работы.
• При управляемой коррумпции памяти возможен захват управления потоком исполнения (RCE) либо DoS.
• При успешном RCE можно попытаться записать модифицированную прошивку, установить C2 или использовать принтер как pivot-точку в сети.
• DoS: падение/перезагрузка принтера или print-server, потеря возможности печати.
• Foothold: при RCE — интерактивный доступ в сеть (мост между VLAN/DMZ) + persistence.
• Утечка данных: доступ к очередям печати, документам, эксфильтрация по сети.
Масштаб риска зависит от доли уязвимых прошивок в парке устройств. Массовая эксплуатация экспонированных принтеров — возможна.
• Поместить принтеры в отдельный VLAN с ограничением входящих и исходящих соединений.
• Разрешать печать только с доверенных хостов через контролируемый print-server.
• Блокировать/ограничить порт 9100 (RAW/PJL) снаружи и на границе сети.
• Принимать XPS/ZIP через print-server, который проверяет и фильтрует встроенные ресурсы (включая TTF).
• Отключить/фильтровать XPS где это возможно. Если нельзя — сканировать вложенные шрифты на аномалии.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9🔥5
Sliver C2: изучение, демонстрация работы, детект
#sliver #C2 #yara #blue_team #red_team #suricata #wazuh
Sliver C2 - это фреймворк Red Team с открытым исходным кодом, разработанный компанией BishopFox, занимающейся кибербезопасностью, и представляет собой кроссплатформенную среду постэксплуатации. Он используется для выполнения второго этапа выполнения цепочки атак на внутреннюю сеть (когда компьютер жертвы уже был скомпрометирован доступными способами) и является альтернативой такого коммерческого инструмента как CobaltStrike, как утверждают сами производители.
➡️ Архитектура Sliver C2
Архитектура Sliver C2 состоит из трёх частей:
1. Сервер Sliver C2. Является частью исполняемого файла sliver-server, управляет внутренней базой данных, а также запускает и останавливает сетевые прослушиватели. Основным интерфейсом взаимодействия с сервером является интерфейс gRPC, через него реализуются все функции.
2. Клиентская консоль. Это основной пользовательский интерфейс для взаимодействия с сервером Sliver C2.
3. Импланты. Это вредоносный код, нагрузка, (exe, ps1 и т. д.), запускаемая в целевой системе.
🔗 blog.poxek
🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч
#sliver #C2 #yara #blue_team #red_team #suricata #wazuh
Sliver C2 - это фреймворк Red Team с открытым исходным кодом, разработанный компанией BishopFox, занимающейся кибербезопасностью, и представляет собой кроссплатформенную среду постэксплуатации. Он используется для выполнения второго этапа выполнения цепочки атак на внутреннюю сеть (когда компьютер жертвы уже был скомпрометирован доступными способами) и является альтернативой такого коммерческого инструмента как CobaltStrike, как утверждают сами производители.
Архитектура Sliver C2 состоит из трёх частей:
1. Сервер Sliver C2. Является частью исполняемого файла sliver-server, управляет внутренней базой данных, а также запускает и останавливает сетевые прослушиватели. Основным интерфейсом взаимодействия с сервером является интерфейс gRPC, через него реализуются все функции.
2. Клиентская консоль. Это основной пользовательский интерфейс для взаимодействия с сервером Sliver C2.
3. Импланты. Это вредоносный код, нагрузка, (exe, ps1 и т. д.), запускаемая в целевой системе.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7❤🔥3
Тачка на прокачку. Эксплуатируем RCE в головном устройстве автомобиля
#car #RCE
Мы изучили безопасность типичного «мозга» китайского автомобиля — SoC со встроенным сотовым модемом. Низкоуровневая ошибка переполнения стека позволила удаленно выполнить код на ранней стадии соединения — до срабатывания защит. Следом мы получили доступ к процессору приложений и смогли запустить произвольный код с максимальными привилегиями — то есть получили полный контроль над бортовым компьютером.
🔗 Источник
🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч
#car #RCE
Мы изучили безопасность типичного «мозга» китайского автомобиля — SoC со встроенным сотовым модемом. Низкоуровневая ошибка переполнения стека позволила удаленно выполнить код на ранней стадии соединения — до срабатывания защит. Следом мы получили доступ к процессору приложений и смогли запустить произвольный код с максимальными привилегиями — то есть получили полный контроль над бортовым компьютером.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Похек AI (Сергей Зыбнев)
Разбор OWASP TOP10 for LLM Applications
#OWASP #llm #top10
LLM01: Prompt Injection (Инъекция промпта)
Это атака, при которой злоумышленник внедряет в пользовательский запрос (промпт) вредоносные инструкции, которые переопределяют исходные задачи модели и заставляют ее выполнять непредусмотренные действия. Уязвимость занимает первое место из-за исключительной простоты эксплуатации и высокой степени потенциального ущерба. По сути, это напоминает социальную инженерию, только нацеленную на AI.
LLM02: Sensitive Information Disclosure (Раскрытие чувствительной информации)
LLM может непреднамеренно раскрыть конфиденциальные данные, на которых она обучалась или которые получила в текущем контексте диалога. Модель не всегда способна отличить общедоступную информацию от частной.
LLM03: Supply Chain Vulnerabilities (Уязвимости в цепочке поставок)
Уязвимости, связанные со сторонними компонентами, которые используются в LLM-приложении. Это могут быть плагины, датасеты или даже скомпрометированные предобученные модели.
LLM04: Data and Model Poisoning (Отравление данных и модели)
Целенаправленное манипулирование обучающими данными или процессом дообучения модели с целью создания бэкдоров, снижения ее производительности или внедрения определенной предвзятости.
LLM05: Improper Output Handling (Небезопасная обработка вывода)
Эта уязвимость возникает, когда вывод LLM напрямую и без должной проверки передается в другие компоненты системы (например, в frontend для рендеринга или в бэкенд для выполнения). Это аналог классических веб-уязвимостей, таких как XSS или CSRF.
LLM06: Excessive Agency (Чрезмерные полномочия)
Предоставление LLM-агентам слишком широких прав, доступа к инструментам или возможности действовать автономно без надлежащего контроля и подтверждения со стороны человека.
LLM07: System Prompt Leakage (Утечка системного промпта)
Эта атака направлена на то, чтобы заставить LLM раскрыть свой «системный промпт» — набор первоначальных инструкций, определяющих ее поведение: конфигурационную информацию, правила безопасности, а иногда, по неосторожности разработчиков, конфиденциальные данные, такие как API-ключи или внутренние идентификаторы.
LLM08: Vector and Embedding Weaknesses (Слабости векторов и эмбеддингов)
Описание: Атаки на системы Retrieval-Augmented Generation (RAG), которые используют векторные базы данных для поиска релевантной информации.
LLM09: Misinformation (Дезинформация)
Генерация LLM фактически неверной, предвзятой или полностью вымышленной информации, которая при этом выглядит правдоподобно. Хотя это не всегда является результатом злонамеренной атаки, оно представляет собой серьезную проблему, поскольку пользователи склонны доверять авторитетно звучащим ответам машины.
LLM10: Unbounded Consumption (Неограниченное потребление)
Атака, при которой злоумышленник заставляет LLM-приложение выполнять чрезмерно ресурсоемкие операции, что приводит к исчерпанию бюджета на API и/или отказу в обслуживании (DoS).
🔗 Данный пост выжимка моей статьи на Habr, где я для каждой категории расписал сценарий атаки, с примерами промптов, рекомендаций и т.д. Очень советую прочитать всё
Будет вторая часть, про другой OWASP TOP10, ожидайте после праздников)
🌚 @poxek_ai
#OWASP #llm #top10
LLM01: Prompt Injection (Инъекция промпта)
Это атака, при которой злоумышленник внедряет в пользовательский запрос (промпт) вредоносные инструкции, которые переопределяют исходные задачи модели и заставляют ее выполнять непредусмотренные действия. Уязвимость занимает первое место из-за исключительной простоты эксплуатации и высокой степени потенциального ущерба. По сути, это напоминает социальную инженерию, только нацеленную на AI.
LLM02: Sensitive Information Disclosure (Раскрытие чувствительной информации)
LLM может непреднамеренно раскрыть конфиденциальные данные, на которых она обучалась или которые получила в текущем контексте диалога. Модель не всегда способна отличить общедоступную информацию от частной.
LLM03: Supply Chain Vulnerabilities (Уязвимости в цепочке поставок)
Уязвимости, связанные со сторонними компонентами, которые используются в LLM-приложении. Это могут быть плагины, датасеты или даже скомпрометированные предобученные модели.
LLM04: Data and Model Poisoning (Отравление данных и модели)
Целенаправленное манипулирование обучающими данными или процессом дообучения модели с целью создания бэкдоров, снижения ее производительности или внедрения определенной предвзятости.
LLM05: Improper Output Handling (Небезопасная обработка вывода)
Эта уязвимость возникает, когда вывод LLM напрямую и без должной проверки передается в другие компоненты системы (например, в frontend для рендеринга или в бэкенд для выполнения). Это аналог классических веб-уязвимостей, таких как XSS или CSRF.
LLM06: Excessive Agency (Чрезмерные полномочия)
Предоставление LLM-агентам слишком широких прав, доступа к инструментам или возможности действовать автономно без надлежащего контроля и подтверждения со стороны человека.
LLM07: System Prompt Leakage (Утечка системного промпта)
Эта атака направлена на то, чтобы заставить LLM раскрыть свой «системный промпт» — набор первоначальных инструкций, определяющих ее поведение: конфигурационную информацию, правила безопасности, а иногда, по неосторожности разработчиков, конфиденциальные данные, такие как API-ключи или внутренние идентификаторы.
LLM08: Vector and Embedding Weaknesses (Слабости векторов и эмбеддингов)
Описание: Атаки на системы Retrieval-Augmented Generation (RAG), которые используют векторные базы данных для поиска релевантной информации.
LLM09: Misinformation (Дезинформация)
Генерация LLM фактически неверной, предвзятой или полностью вымышленной информации, которая при этом выглядит правдоподобно. Хотя это не всегда является результатом злонамеренной атаки, оно представляет собой серьезную проблему, поскольку пользователи склонны доверять авторитетно звучащим ответам машины.
LLM10: Unbounded Consumption (Неограниченное потребление)
Атака, при которой злоумышленник заставляет LLM-приложение выполнять чрезмерно ресурсоемкие операции, что приводит к исчерпанию бюджета на API и/или отказу в обслуживании (DoS).
Будет вторая часть, про другой OWASP TOP10, ожидайте после праздников)
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥18🔥2👍1