GreyTeam | Хакеры

«Сегодня мы поговорим о системе FreeIPA, которая является одной из немногих альтернатив такого «комбайна», как Microsoft Active Directory (AD).»

#security@greyteam

«В мае 2024 года мы обнаружили новую продолжительную атаку повышенной сложности, нацеленную на российские государственные организации. Мы дали ей название CloudSorcerer. Это сложное средство кибершпионажа, предназначенное для скрытого мониторинга, сбора и эксфильтрации данных через облачные службы Microsoft Graph, Yandex Cloud и Dropbox.»

#forensic@greyteam
#windows@greyteam

«В ходе своего анализа ВПО, я наткнулся на вредонос, который ещё не был никем проанализирован. Его имя – YoungLotus, в Интернете очень мало информации по нему. Именно поэтому я решил изучить его и написать эту статью.»

#reverse@greyteam
#windows@greyteam

«28 июня специалисты нашей внутренней службы информационной безопасности обнаружили инцидент — подмену главной страницы сайта на другую. В этом посте рассказываем о том, что мы делали, и о предварительных результатах расследования.»

#forensic@greyteam
#web@greyteam

«Атака As-rep Roasting позволяет злоумышленнику воспользоваться отключенной преаутентификацией Kerberos для пользователя с целью компрометации УЗ.»

#forensic@greyteam
#ad@greyteam

«Небо голубое, вода мокрая, а Linux — самая защищенная операционная система. С этим не поспоришь. Однако утверждать, что защита здесь работает на 100%, нельзя.»

#security@greyteam
#linux@greyteam

«Сегодня я хочу поговорить про вредоносное ПО, известное среди экспертов как HIDDENSHOVEL, или GHOSTENGINE. Примечательно то, какие техники используют атакующие на различных этапах его доставки и развертывания для запуска обычного майнера XMRig.»

#forensic@greyteam
#reverse@greyteam
#windows@greyteam

«В этой подборке представлены самые интересные уязвимости за июнь 2024 года. Подведем вместе итоги первого месяца лета, поехали!»

#security@greyteam

«Публикуем наш традиционный дайджест ключевых новостей ушедшего месяца. Июнь выдался богатым на события. Так, китайская CDN-фирма выкупила опенсорс-проект и устроила атаку на цепочку поставок, которая могла затронуть сотни миллионов сайтов. А взлом облачного провайдера Snowflake рискует стать самой масштабной утечкой данных в истории.»

#security@greyteam

Новая уязвимость!

CVE-2024-6653

В code-projects Simple Task List 1.0 (Project Management Software) обнаружена уязвимость. Она объявлена ​​критической. Эта уязвимостьShow more затрагивает неизвестную обработку файла loginForm.php компонента Login. Информация о возможных известных контрмерах отсутствует. Можно предложить заменить уязвимый объект альтернативным продуктом.

Манипулирование аргументом имени пользователя с неизвестным вводом приводит к неизвестной слабости. Определение уязвимости CWE — CWE-89. Продукт создает всю или часть команды SQL, используя внешние входные данные от вышестоящего компонента, но он не нейтрализует или неправильно нейтрализует специальные элементы, которые могут изменить предполагаемую команду SQL при ее отправке нижестоящему компоненту.

Exploit: https://github.com/hantianj/cve/issues/1

Новая уязвимость!

CVE-2023-6813

Уязвимость, классифицированная как проблемная, была обнаружена в плагине входа Auth0 до версии 4.6.0 на WordPress (плагин WordPress). Это влияет наShow more некоторые неизвестные функции. Информации о возможных мерах противодействия пока нет. Может быть предложено заменить затронутый объект альтернативным продуктом.

Манипулирование аргументом с неизвестными входными данными приводит к неизвестной слабости. CWE классифицирует проблему как CWE-79. Продукт не нейтрализует или неправильно нейтрализует вводимые пользователем данные, прежде чем они будут помещены в выходные данные, которые используются в качестве веб-страницы, предоставляемой другим пользователям.

Exploit: Неизвестно

«В этой статье я расскажу, как выполнил джейлбрейк семейства устройств Cisco C195, чтобы запускать на нем произвольный код. В частности, я объясню, как обнаружил уязвимость в body management controller CIMC, затрагивающую широкий спектр устройств.»

#pentest@greyteam
#wireless@greyteam
#reverse@greyteam

Новая уязвимость!

CVE-2024-6410

Уязвимость была обнаружена в плагине ProfileGrid до версии 5.8.9 на WordPress (плагин WordPress) и классифицирована как критическая. ЭтаShow more проблема связана с какой-то неизвестной обработкой. Информации о возможных мерах противодействия пока нет. Может быть предложено заменить затронутый объект альтернативным продуктом.

Использование CWE для объявления проблемы приводит к CWE-99. Продукт получает входные данные от вышестоящего компонента, но он не ограничивает или некорректно ограничивает входные данные, прежде чем они будут использованы в качестве идентификатора ресурса, который может находиться за пределами предполагаемой сферы контроля.

Exploit: Неизвестно

«В этой статье для вас подготовили инструменты, которые неплохо помогут в решении задач сетевой разведки. Попробуем автоматизировать поиск по электронной почте и рассмотрим многофункциональный инструмент по поиску никнейма.»

#osint@greyteam

«Этой весной группировка вновь стала заметна на киберпреступной арене и занесла в актив любопытную вредоносную программу, ранние версии которой нам уже встречались во время реагирования на инциденты в ряде российских компаний. Мы назвали найденный бэкдор GoRed — такое имя носил его первый образец, обнаруженный нашей командой.»

#reverse@greyteam
#forensic@greyteam

Новая уязвимость!

CVE-2024-23562

Уязвимость безопасности в HCL Domino может привести к раскрытию конфиденциальной информации о конфигурации. УдаленныйShow more злоумышленник, не прошедший проверку подлинности, может воспользоваться этой уязвимостью для получения информации для дальнейших атак на уязвимую систему.

Определение уязвимости CWE — CWE-287. Когда актер утверждает, что обладает определенной личностью, продукт не доказывает или недостаточно доказывает, что это утверждение верно.

Exploit: Неизвестно

«В этой статье я рассмотрю кейсы-ловушки, в которые можно попасть практически в любом из стандартов, и покажу, что меняется в С++20/23/26, — уменьшается ли количество кейсов с неопределенным поведением, и становится ли С++ безопаснее.»

#security@greyteam

Новая уязвимость!

CVE-2024-34603

Неправильный контроль доступа в Samsung Message до версии 1 SMR, июль 2024 г., позволяет локальным злоумышленникам получить доступ к данным оShow more местоположении.

Определение уязвимости CWE — CWE-284. Продукт не ограничивает или некорректно ограничивает доступ к ресурсу со стороны неавторизованного субъекта.

Exploit: Неизвестно

«Sql Injection cookie session manipulation - именно так я прозвал эту уязвимость. Здесь не будет мануала по взлому какого-то ресурса с данным багом. Я буду разбирать уязвимости как пример, без ссылок на конкретные cms и сайты. То, о чём хочу написать в этом цикле статей - мой опыт, то что я встречал и мне показалось интересным.»

#security@greyteam
#web@greyteam

Новая уязвимость!

CVE-2024-5711

Уязвимость была обнаружена в stitionai devika (затронутая версия неизвестна) и классифицирована как проблемная. Эта проблема затрагиваетShow more неизвестную часть. Применение патча 6acce21fb08c3d1123ef05df6a33912bf0ee77c2 способно устранить эту проблему. Исправление готово для загрузки на github.com.

Использование CWE для объявления проблемы приводит к CWE-79. Продукт не нейтрализует или неправильно нейтрализует вводимые пользователем данные, прежде чем они будут помещены в выходные данные, которые используются в качестве веб-страницы, предоставляемой другим пользователям.

Exploit: Неизвестно

Новая уязвимость!

CVE-2024-6229

В функции «Загрузка знаний» в stangirard/quivr существует уязвимость, связанная с сохранением межсайтовых сценариев (XSS), которая затрагиваетShow more последнюю версию. Пользователи могут загружать файлы через URL-адрес, что позволяет вставлять вредоносные полезные нагрузки JavaScript. Эти полезные данные хранятся на сервере и выполняются всякий раз, когда какой-либо пользователь нажимает на ссылку, содержащую полезные данные, что приводит к потенциальной краже данных, перехвату сеанса и ущербу репутации.

Использование CWE для объявления проблемы приводит к CWE-79. Продукт не нейтрализует или неправильно нейтрализует вводимые пользователем данные, прежде чем они будут помещены в выходные данные, которые используются в качестве веб-страницы, предоставляемой другим пользователям.

Exploit: Неизвестно

Новая уязвимость!

CVE-2024-40614

Уязвимость, классифицированная как проблемная, была обнаружена в EGroupware (Groupware Software). Этой уязвимости подвержена некотораяShow more неизвестная обработка компонента ORDER BY Handler. Обновление до версии 23.1.202406 устраняет эту уязвимость.

Exploit: Неизвестно

«В этой статье я расскажу, что делает модуль BAD не просто новым инструментом, а полноценным игроком в вашей команде кибербезопасности. Поговорим о перспективах, которые открывает его использование.»

#security@greyteam
#ai@greyteam

Новая уязвимость!

CVE-2024-40597

Проблема была обнаружена в расширении CheckUser для MediaWiki до версии 1.42.1. Он может предоставлять скрытую информацию для событийShow more журнала. (Атрибут log_deleted не учитывается.)

Манипулирование аргументом log_deleted с неизвестным входом приводит к неизвестной слабости. Использование CWE для объявления проблемы приводит к CWE-200. Продукт предоставляет конфиденциальную информацию субъекту, у которого нет явных полномочий на доступ к этой информации.

Exploit: Неизвестно

«Заглянем внутрь бинарника и рассмотрим отдельные составляющие, а это секции и оверлей. В силу того, что РЕ-файлы могут содержать в себе аж 17 типов объектов, мы остановимся лишь на секциях кода, данных и импорта, которые встречаются буквально во-всех файлах EXE/DLL.»

#reverse@greyteam

Новая уязвимость!

CVE-2024-37554

Неправильная нейтрализация ввода во время создания веб-страницы (XSS или «межсайтовый сценарий») в CodeAstrology Team UltraAddonsShow more Elementor Lite (построитель верхнего и нижнего колонтитула, построитель меню, значок корзины, короткий код). Эта проблема затрагивает UltraAddons Elementor Lite (верхний и нижний колонтитул). Конструктор, Конструктор меню, Значок корзины, Шорткод): от н/д до 1.1.6.

CWE классифицирует проблему как CWE-79. Продукт не нейтрализует или неправильно нейтрализует вводимые пользователем данные, прежде чем они будут помещены в выходные данные, которые используются в качестве веб-страницы, предоставляемой другим пользователям.

Exploit: Неизвестно

Новая уязвимость!

CVE-2024-37546

Неправильная нейтрализация ввода во время создания веб-страницы (XSS или «межсайтовый скриптинг») в biplob018. Эффекты при наведении наShow more изображение — наведение на заголовок с помощью карусели позволяет использовать сохраненный XSS. Эта проблема затрагивает эффекты наведения на изображение — наведение на заголовок с каруселью: от н/д до 3.0.2.

Определение уязвимости CWE — CWE-79. Продукт не нейтрализует или неправильно нейтрализует вводимые пользователем данные, прежде чем они будут помещены в выходные данные, которые используются в качестве веб-страницы, предоставляемой другим пользователям.

Exploit: Неизвестно

«В данной статье мы в технических подробностях рассмотрим протокол DHCP 4 версии, поговорим о его недостатках, а также проведем атаку DHCP Starvation.»

#pentest@greyteam
#wireless@greyteam

Новая уязвимость!

CVE-2024-5616

Уязвимость межсайтовой подделки запросов (CSRF) существует в версиях Mudler/LocalAI до 2.15.0 включительно, что позволяетShow more злоумышленникам обманом заставить жертв удалить установленные модели. Создав вредоносную HTML-страницу, злоумышленник может вызвать удаление модели, например gpt-4-vision-preview, без согласия жертвы. Уязвимость связана с недостаточными механизмами защиты CSRF для функции удаления модели.

Использование CWE для объявления проблемы приводит к CWE-352. Веб-приложение не обеспечивает или не может в достаточной степени проверить, был ли правильно сформированный, действительный и согласованный запрос намеренно предоставлен пользователем, отправившим запрос.

Exploit: Неизвестно