Частичное раскрытие данных пользователей Digital Ocean

Некоторым пользователям Digital Ocean пришло письмо в котором сказано, что информация о них была скомпрометирована путем шаринга публичной ссылки на документацию, которая содержала информацию о них.

Безопасность - безопасностью, а человеческий фактор - это человеческий фактор

Pi-Hole RCE. PoC + описание:

https://github.com/Frichetten/CVE-2020-11108-PoC/blob/master/README.md

Новый, 5-тый релиз в аккурат:

https://pi-hole.net/2020/05/10/pi-hole-v5-0-is-here/

Как обновиться:

https://sys-adm.in/sections/adm/899-kak-obnovit-pi-hole-c-4-na-5.html

Что такое Pi-Hole:

https://pi-hole.net/

Сначала был Thunderclap (2019 год):

https://software.intel.com/security-software-guidance/insights/more-information-thunderclap

Теперь Thunderspy - серия атак на Thunderbolt

https://thunderspy.io/

WordPress + Page Builder = миллион+ уязвимых сайтов

PoC от первого лица с описанием + видео:

https://www.wordfence.com/blog/2020/05/vulnerabilities-patched-in-page-builder-by-siteorigin-affects-over-1-million-sites/

Опрос с розыгрышем призов из простеньких 9-ти вопросов на тему ИБ (какое оборудование, какой функционал и т.п.) можно отмечать галочки, максимум 3 минуты времени

- Функциональный рюкзак (2шт, говорят качественный и надежный)
- Пауэрбанк для мобильной техники 1 шт

Линка - https://ankt.cc/iElFDQ
⁠

Zabbix 5.0 LTS, новый релиз open source решения для мониторинга.

Встречаем:

https://www.zabbix.com/ru/rn/rn5.0.0

Документация (что нового):

https://www.zabbix.com/documentation/current/manual/introduction/whatsnew500

TON'a не будет

https://telegra.ph/What-Was-TON-And-Why-It-Is-Over-05-12

Adobe Acrobat - множественные уязвимости и соответсвенно патчи. В общем Adobe Reader требует обновления

https://helpx.adobe.com/security/products/acrobat/apsb20-24.html

Свежая подборка майских патчей от Microsoft закрывающих более 100 уязвимостей, 16 из которых помечены, как критические

Какие продукты:
- Офисные продукты (MS Office 2016 - 2019, MS Office 365, Sharepoint 2016 - 2019, Power BI)
- ОС Windows (7 - 10, Server 2008 - 2019)

Наборы уязвимостей:
- Повышение привилегий
- Удаленное выполнение кода
- DoS

https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-May

Специально для любителей писать Питон в Visual Studio Code (удаленное выполнение кода):
- https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1192

Тысячи приложений (порядка 24к) в результате мисконфига Google Firebase позволяли сторонним лицам / приложениям получать доступ к данным пользователей мобильных приложений

https://www.comparitech.com/blog/information-security/firebase-misconfiguration-report/

Немного о Firebase, что это и для чего:

https://developer.android.com/distribute/best-practices/develop/build-with-firebase?hl=ru

WordPress и повышение привилегий с помощью плагина Google Site Kit

PoC

https://www.wordfence.com/blog/2020/05/vulnerability-in-google-wordpress-plugin-grants-attacker-search-console-access/

Тут как-то на днях решил разобраться с кастомным действием для Fail2ban, с целью помещать блокируемый IP в drop зону firewalld:

https://sys-adm.in/sections/adm/900-fail2ban-pomeshchenie-blokiruemogo-ip-v-drop-zonu-firewalld.html

Кому интересно, так же немного написал про ipset, как создавать новый ipset для firewalld, добавлять туда элементы:

https://sys-adm.in/sections/adm/898-centos-fedora-ban-ip-adresov-pri-pomoshchi-ipset-firewalld.html

Сенат США голосует за разрешение для ФБР на просмотр истории просмотра веб-страниц без ордера

Складываем - карантин дома + возросший трафик + просмотр веб-страниц без надлежащего разрешения != право на неприкосновенность частной жизни, личную и семейную тайну

https://www.vice.com/en_us/article/jgxxvk/senate-votes-to-allow-fbi-to-look-at-your-web-browsing-history-without-a-warrant

Hyper-V backdoor

https://github.com/Cr4sh/s6_pcie_microblaze/blob/master/python/payloads/DmaBackdoorHv/README.MD

up
https://t.iss.one/sysadm_in_channel/1786
фото рюкзака не удалось заполучить, божатся, что рюкзак очень хорош… (простенький опрос из 9-ти вопросов который https://ankt.cc/iElFDQ)

MS не успел произвести анонс нового интерфейса в продуктах о365 ( https://techcommunity.microsoft.com/t5/azure-active-directory-identity/upcoming-changes-to-the-azure-ad-sign-in-experience/ba-p/1185161 ) как его (новый интефейс) начали использовать в фишинговых компаниях о чем сетует-твитует сам MS ( https://twitter.com/MsftSecIntel/status/1260975500911980544 )

На моей памяти компаний связанных с фишингом интерфейсов MS великое множество, поэтому остаемся внимательными:

- с электронными письмами и файлами, полученными от неизвестных отправителей
- с неизвестными вложениями, ссылками в сообщениях электронной почты
- с фальшивыми доменными именами похожими на легитимные
- с орфографией и синтаксисом во входящих сообщениях (этот момент часто используют фишеры)

Некоторое время назад в службе удаленных рабочих столов Windows (RDP - remote desktop connection) была обнаружена уязвимость, позволяющя выполнить код удаленно, этот код мог выполнить любой неавторизованный пользователь ( https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0887 )

Для этой уязвимость MS выпустил патч (ссылка выше), собственно как казалось бы, что все хорошо, но суслик все же есть - патч оказался поверхностным и не решает корень проблемы, мало того фунция API используемая в Windows и наверняка используемая во многих проектах может по сути быть обманута одним символом (обратным слешем)

Уязвимость существует по сей день, MS размыто отвечает на прямые вопросы об этой уязвимости.

Основная суть - используя эту уязвимость, потенциально можно захватить контроль над подключаемым RDP клиентом

Детали расследования, ответ Microsoft и предыстория от первых лиц:

https://research.checkpoint.com/2020/reverse-rdp-the-path-not-taken/

Какое-то время назад был опрос от Positive Technologies (https://t.iss.one/sysadm_in_channel/1694), на который я обещал выложить результаты

Собственно специалисты по IT / ИБ рассказали, как изменилась инфраструктура в их компаниях в связи с переходом на удаленку, какое самое популярное ПО для организации удаленного доступа, как много сотрудников работают с домашних устройств и много чего еще...

В общем, все результаты можно прочитать / просмотреть в отчете
⁠

В новом релизе Kali Linux - PowerShell включен в метапакет kali-linux-large, а инсталлятор предлагает возможность выбора DE (xfce, mate, gnome, kde, lxde) ну и выбор того самого метепакета с pwsh)

Новости релиза:

https://www.kali.org/news/kali-linux-2020-2-release/

Пивной пример того, как работает резервирование в ЦОДе 🙂

https://habr.com/ru/company/dataline/blog/501848/

WordPress, интернет магазинов на нем - тьма, реализуется это при помощи плагинов один из которых WooCommerce, этот плагин активно используется для эксплуатации и получения чувствительных данных из БД, которые в том числе относятся к покупателям, заказам и покупкам (хорошо, что хоть данные платежных карт (по умолчанию) не хранятся в базе)

PoC

https://blog.sucuri.net/2020/05/wordpress-malware-collects-sensitive-woocommerce-data.html