Уязвимости в промышленных VPN решениях

- Secomea GateManager
- Moxa EDR-G902
- EDR-G903
- eWon HMS Networks

Данные решения широко используются в нефтегазовой, коммунальной секторах. Эксплуатация уязвимостей потенциально позволяет получить доступ к устройствам внутри периметра:

https://www.claroty.com/2020/07/28/vpn-security-flaws/

https://www.claroty.com/2020/07/15/cve-2020-14511/

VHD Ransomware

Шифрует данные алгоритмами AES-256 ECB + RSA-2048, может распространяться через VPN, RDP, Email, различные уязвимости систем... Может распространяться при помощи деплоя с использованием механизмов Active Directory:

https://securelist.com/lazarus-on-the-hunt-for-big-game/97757/

Subdomain enumeration tool

https://github.com/aboul3la/Sublist3r

Удалённое выполнение кода Cisco ASA, Firepower:

https://nvd.nist.gov/vuln/detail/CVE-2020-3452

Теперь можно искать  при помощи nuclei:

https://github.com/projectdiscovery/nuclei

Уязвимость GRUB2 BootHole

Суть - обход UEFI Secure Boot. Чревато например использованием нелегитимного ПО в процессах загрузки, это могут быть например руткиты:

https://eclypsium.com/2020/07/29/theres-a-hole-in-the-boot/

up
После обновления Grub / Kernel на VPS, несколько серверов упало. Будьте внимательны.

Настраиваем top в GNU/Linux

Оказывается top может конкурировать с htop по внешнему виду:

https://www.cloud4y.ru/about/news/nastraivaem-top-v-gnu-linux/

Trickbot, банковской троян, теперь под Linux, использует DNS, для получения команд, новый порт известен, как Anchor_DNS:

https://medium.com/stage-2-security/anchor-dns-malware-family-goes-cross-platform-d807ba13ca30

Дайджест новостей за последние дни

 • Описание, диагностика, митигация Boot Hole Vulnerability - GRUB 2 boot loader - CVE-2020-10713 от Red Hat
 • Уязвимость KDE Arc позволяет при открытии архива перезаписать файлы вне каталога для распаковки - Описание, Фикс
 • GNU NANO 5.0 увидел свет - Описание релиза
 • HTTP/2 как платформа для новых типов атак - PoC
 • Новый systemd - Описание релиза
 • Debian 10.5, корректирующее обновление, которое включает фикс GRUB Boot Hole - Описание обновления
 • Microsoft Edge, это малварь которая навязывает себя и крадет данные из Google Chrome, частное мнение автора статьи на Zdnet

PE Tree - реверс-инжиниринг инструмент с открытым исходным кодом

Инструмент разработан командой BlackBerry Research and Intelligence Team, предназначен для просмотра портативных исполняемых файлов (PE) в древовидном представлении с использованием pefile и PyQt5, интегрируется с декомпилятором HexRays IDA Pro, с целью обеспечить навигацию PE-структур, а также сброс PE-файлов в память и выполнение реконструкции импорта, детали в блоге авторов

Репозиторий GitHub PE Tree:
• https://github.com/blackberry/pe_tree

Репозиторий GitHub pefile:
• https://github.com/erocarrera/pefile

Монитор ресурсов - процессор, процессы, память, диски. Работает непосредственно в терминале, во многих дистрибутивах ставится из коробки (например в Fedora - dnf install bashtop) утилита - огонь.

Репозиторий с описанием и скринами:

https://github.com/aristocratos/bashtop

Windows Defender борется с приватностью пользователей
Defender помечает Windows Hosts файл, как зловредный если в нем отключить телеметрию (HostFileHijack), а CCleaner помечает как потенциально-вредоносное ПО - Hosts as malicious, CCleaner as PUP

Августовский набор патчей Android (порядка 50-ти)
Включая серьезные уязвимости удаленного выполнения кода - Android Security Bulletin—August 2020

Уязвимый Newsletter WordPress Plugin
XSS уязвимости в плагине новостей для Wordpress с количеством более 300к установок - Newsletter Plugin Vulnerabilities

Уязвимый еxpress-fileupload NodeJs Plugin
Плагин NodeJs имеющий более 7-ми миллионов установок имеет уязвимости связанные с загрузкой шелла (remote shell), выполнения DoS атак - Express-fileupload Vulnerabilities

Red Team - Подборка скриптов

https://github.com/BankSecurity/Red_Team

⁠
Курс Junior DevOps от практикующих Dev/DevOps/Ops инженеров

Авторы обещают:
- Возможность посмотреть, как работают боевые инженеры
- Неформальное общение
- Максимум практики + Менторство / Индивидуальный подход + Еженедельные стримы
- Не учить тыкать кнопки, а разобрать до косточек как всё работает
- Брать приложение, "облеплять" его технологиями используя актуальные инструменты
- Приложение "продакшен реди", начиная от мониторинга, CI/CD и заканчивая высокими нагрузками

Цена символическая - 5000₽/мес. Цель - обучить.

Подробнее о курсе https://juneway.pro/
⁠
P.S. Детали по курсу можно спросить у авторов, в личке - @Agumilev

Заражение macOS через макросы в документах

В мире Windows атаки на основе макросов хорошо понятны (и, честно говоря, являются довольно старой новостью). Однако на macOS, хотя такие атаки становятся все более популярными и довольно модными, они получили гораздо меньше внимания со стороны сообщества исследователей информационной безопасности

Во-первых, что такое макрос? Короче говоря, это фрагмент исполняемого кода, который может быть добавлен в документы Microsoft Office (как правило, с целью автоматизации повторяющихся задач)

Анализ, расширенная эксплуатация, примеры и даже побег из песочницы. Собственно PoC:

https://objective-see.com/blog/blog_0x4B.html

Фишинг Учетных Данных Netflix

Электронное письмо рассылаемое злоумышленниками, напоминает биллинг-письмо от Netflix. Нажав на ссылку в письме, пройдя брендированную под Netflix капчу пользователь перемещается на сайт-двойник Netflix, целью которого является кража учетных данных для входа в Netflix, адресную информацию и данные кредитной карты

Пошагово, со скриншотами, как это работает:

https://www.armorblox.com/blog/blox-tales-netflix-credential-phishing/

DNS over HTTPS (DoH) в Windows

Согласно анонсу эта фича будет доступна из “коробки”

https://blogs.windows.com/windowsexperience/2020/08/05/announcing-windows-10-insider-preview-build-20185/

Что такое DoH

https://ru.wikipedia.org/wiki/DNS_%D0%BF%D0%BE%D0%B2%D0%B5%D1%80%D1%85_HTTPS

Свежий гайд по политикакм паролей от CIS

Установка / Сборка NGINX + ModSecurity c настройкой OWASP CRS в CentOS Linux

В рамках данного материала соберем ModSecurity как динамический модуль для Nginx, подключим OWASP CRS, запустим и протестируем данную связку.

ModSecurity это Web Application Firewall (WAF) с открытым исходным кодом, который может отрабатывать / блокировать различные web атаки, включая OWASP Top 10.

Агенда
- Установка Nginx
- Сборка ModSecurity
- Сборка ModSecurity-nginx
- Установка / Подключение OWASP CRS
- Тестирование
- Доп. ссылки

https://sys-adm.in/systadm/nix/918-centos-linux-ustanovka-sborka-nginx-modsecurity.html

KrØØk - еще больше чипов Wi-Fi уязвимы для подслушивания

KrØØk (формально CVE-2019-15126) - это уязвимость в чипах Broadcom и Cypress Wi-Fi, которая позволяет несанкционированно расшифровывать некоторый зашифрованный WPA2 трафик. Использование KrØØk позволяет злоумышленникам перехватывать и расшифровывать (потенциально конфиденциальные) данные.

На сегодня, как оказалось чипы Qualcomm так же оказались уязвимы перед этим типом атаки (CVE-2020–3702). Пилотное тестирование на устройствах D-Link DCH-G020 Smart Home Hub и беспроводном маршрутизаторе Turris Omnia подтверждает этот факт (остальные устройства использующие данные чипы так же подвержены данному типу атаки)

Исследование:
https://www.welivesecurity.com/2020/08/06/beyond-kr00k-even-more-wifi-chips-vulnerable-eavesdropping/

Сценарий (python скрипт для обнаружения KrØØk)
https://github.com/eset/malware-research/tree/master/kr00k

Утечка данных Intel - 20Гб исходных кодов, документации…

Со слов источника (см ниже ссылку) уже в интернете гуляет архив (почти 17Гб), в котором содержатся:
- Intel ME Bringup guides + (flash) tooling + samples for various platforms
- Binaries for Camera drivers Intel made for SpaceX
- Kabylake (Purley Platform) BIOS Reference Code and Sample Code + Initialization code (some of it as exported git repos with full history)
- Intel CEFDK (Consumer Electronics Firmware Development Kit (Bootloader stuff)) SOURCES
- Various Intel Development and Debugging Tools
- Simics Simulation for Rocket Lake S and potentially other platforms
- Various roadmaps and other documents
- Schematics, Docs, Tools + Firmware for the unreleased Tiger Lake platform
- (very horrible) Kabylake FDK training videos
- Intel Trace Hub + decoder files for various Intel ME versions
- Elkhart Lake Silicon Reference and Platform Sample Code
- Some Verilog stuff for various Xeon Platforms, unsure what it is exactly.
- Debug BIOS/TXE builds for various Platforms
- Bootguard SDK (encrypted zip)
- Intel Marketing Material Templates (InDesign)

https://www.theregister.com/2020/08/06/intel_nda_source_code_leak/

P.S. За линку спасибо другу канала ✌️