Защо хостинг
Sys-Admin & InfoSec Channel
14.7K subscribers
109 photos
2 videos
61 files
2.46K links
Посты/Материалы с ИТ-ресурсов, новости информационной безопасности, информационных технологий, статьи по теме (утечки данных, хаки, тулзы, обучение)
* Our forum - https://forum.sys-adm.in
* Our chat - @sysadm_in
* Job - @sysadm_in_job
* All questions - @
Download Telegram
to view and join the conversation
Защо хостинг
VMware ESXi and vCenter Server updates address multiple security vulnerabilities

Уязвимость удаленного выполнения кода (CVSSv3 base score of 9.8)

- VMware ESXi
- VMware vCenter Server (vCenter Server)
- VMware Cloud Foundation (Cloud Foundation)

Вектор

Злоумышленник с сетевым доступом к порту 443 может использовать уязвимости для выполнения команд с неограниченными привилегиями в базовой операционной системе, на которой размещен vCenter Server

https://www.vmware.com/security/advisories/VMSA-2021-0002.html

VMware vCenter Server Workaround Instructions for CVE-2021-21972 and CVE-2021-21973 (82374)

https://kb.vmware.com/s/article/82374
Forwarded from Sys-Admin Up (Yevgeniy Goncharov)
DUF - Кроссплатформенный инструмент проверки использования дисков

DUF - CLI утилита, поддерживает работу в Linux, BSD, macOS, Windows написан на Go устанавливается / собирается в считанные минуты после чего готов к использованию

Основные возможности
- Понятный, табличный вывод информации
- Вывод регулируется под ширину терминала
- Сортировка вывода по различным критериям
- Вывод данных в JSON
- Поддержка цветовых схем

https://sys-adm.in/systadm/nix/946-duf-krossplatformennyj-instrument-proverki-ispolzovaniya-diskov.html
Forwarded from Sys-Admin Up (Yevgeniy Goncharov)
creating_active_defense_powershell_framework_improve_security_hygiene.pdf
3.7 MB
Информация от SANS - Creating an Active Defense PowerShell Framework to Improve Security Hygiene and Posture
Уязвимость Microsoft DirectWrite позволяет выполнить вредоносный код из вредоносного шрифта

Microsoft DirectWrite - это Windows API для высококачественного рендеринга текста. Большая часть его кода находится в библиотеке DWrite.dll, которая используется в качестве растеризатора шрифтов для различных широко используемых настольных программ, таких как Chrome, Firefox и Edge в Windows. Когда эти браузеры отображают глифы из веб-шрифтов, они передают двоичные данные веб-шрифтов в DirectWrite и выполняют их в своих процессах рендеринга. Таким образом, возможность использовать повреждение памяти для выполнения кода представляется удаленному злоумышленнику при условии, что такой злоумышленник успешно направляет пользователя к контенту, который загружает и отображает вредоносный шрифт:

https://bugs.chromium.org/p/project-zero/issues/detail?id=2123

Информация по CVE на сайте вендора - Windows Graphics Component Remote Code Execution Vulnerability (CVE-2021-24093)

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-24093
Проект экономической безопасности пытается привлечь внимание людей к крупным технологическим монополистам, выпустив плагин для браузера, который будет блокировать любые сайты, которые обращаются к IP-адресам, принадлежащим Google, Facebook, Microsoft или Amazon.

Расширение называется Big Tech Detective , и после использования Интернета в течение дня (или, точнее, попыток и неудач в использовании), получается, что почти невозможно избежать этих компаний на современном пространстве Интернет...

Исследование от TheVerge (ссылка на плагин и страницу проекта плагина там же):

https://www.theverge.com/2021/2/24/22297686/browser-extension-blocks-sites-using-google-facebook-microsoft-amazon
LastPass Android app tracking users, says researcher [updated]

Password manager has seven trackers while rivals have far fewer

Тот случай когда в одном приложении напихано куча треккеров:

- AppsFlyer
- Google Analytics
- Google CrashLytics
- Google Firebase Analytics
- Google Tag Manager
- MixPanel
- Segment

https://www.tomsguide.com/news/lastpass-android-app-tracking

Исследование (de)
https://www.kuketz-blog.de/lastpass-android-drittanbieter-ueberwachen-jeden-schritt/
CVE-2020-8625: A vulnerability in BIND's GSSAPI security policy negotiation can be targeted by a buffer overflow attack

Эта уязвимость затрагивает только серверы, настроенные на использование GSS-TSIG. GSS-TSIG - это расширение протокола TSIG, которое предназначено для поддержки безопасного обмена ключами с целью проверке подлинности коммуникаций между элементами в сети.

SPNEGO - это механизм согласования, используемый GSSAPI, интерфейсом прикладного протокола для GSS-TSIG. Реализация SPNEGO, используемая BIND, была признана уязвимой для атаки переполнение буфера.

Уязвимость эксплуатируется удаленно, не требует аутентификации, затрагивает версии BIND с 9.11 по 9.16, а так же dev ветку 9.17.

Уязвимость оставалась незамеченной много лет и это очередной раз говорит о том, что нужно внимательно следить за используемым ПО и его модулями в своем окружении.

Информация об уязвимости:

https://kb.isc.org/docs/cve-2020-8625
Cisco NX-OS Software Unauthenticated Arbitrary File Actions Vulnerability

A vulnerability in the implementation of an internal file management service for Cisco Nexus 3000 Series Switches and Cisco Nexus 9000 Series Switches in standalone NX-OS mode that are running Cisco NX-OS Software could allow an unauthenticated, remote attacker to create, delete, or overwrite arbitrary files with root privileges on the device.

Status - Critical

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-3000-9000-fileaction-QtLzDRy2
Данные 21 миллиона пользователей из 3 Android VPN выставлены на онлайн продажу

Из различныз VPN сервисов утекали данные. За последние годы неоднократно. Теперь список пополнили - SuperVPN (100 000 000+ установок в Google Play), GeckoVPN (10 000 000+ установок), ChatVPN (50 000+ установок), по крайней мере якобы данные пользователей этих сервисов содержатся в продаваемых базах…

Авторы поста (ссылка ниже) связались с представителями указанных выше VPN сервисов для получения сведений об утечке, но на момент написания статьи подтверждения не получили.

Какие данные продаются:
- Адреса электронной почты
- Имена пользователей (включая полные имена)
- Названия стран
- Случайно сгенерированные строки пароля
- Данные, связанные с оплатой
- Статус премиум-участника и срок его действия
- Серийные номера мобильных устройств
- Типы телефонов и производители
- Идентификаторы устройств
- Номера IMSI (International Mobile Subscriber Identity — международный идентификатор мобильного абонента) устройств

Что самое интересное, если данные, продаваемые субъектом, являются подлинными, кажется, что поставщики VPN, о которых идет речь, регистрируют гораздо больше информации о своих пользователях, чем указано в их Политиках конфиденциальности (выдержки из политик приведены так же в статье). Стоит также отметить, что злоумышленники могли получить полный удаленный доступ к VPN-серверам…

https://cybernews.com/security/one-of-the-biggest-android-vpns-hacked-data-of-21-million-users-from-3-android-vpns-put-for-sale-online/
CERTFR-2021-CTI-006.pdf
1.1 MB
RYUK RANSOMWARE (анализ)
“Gootloader” expands its payload delivery options

Инфраструктура заражения на основе Javascript для Gootkit RAT все чаще предоставляет более широкий спектр вредоносного ПО, включая payload программ-вымогателей, без использования файлов...

Gootloader использует вредоносные методы поисковой оптимизации (SEO), чтобы попасть в результаты поиска Google, через которые потенциальная жертва по сценарию в дальнейшем загружает вредоносное ПО...

Оригинально. Анализ/Описание:

https://news.sophos.com/en-us/2021/03/01/gootloader-expands-its-payload-delivery-options/