Эксплойт разбивает кучу: Критическая уязвимость оставляет брандмауэры FortiGate открытыми для атак
Специалисты ИБ-компании Bishop Fox сообщают , что более 300 000 брандмауэров FortiGate подвержены критической уязвимости CVE-2023-27997 (CVSS: 9.8) несмотря на то, что Fortinet месяц назад выпустила обновление, устраняющее этот недостаток.
Чтобы продемонстрировать, что уязвимость можно использовать для удаленного выполнения кода на уязвимых устройствах, Bishop Fox создал эксплойт , который позволяет подключаться к серверу злоумышленника, загружать двоичный файл BusyBox и открывать интерактивную оболочку.
#FortiGate, #CVE-2023-27997, #RCE @SecLabNews
Специалисты ИБ-компании Bishop Fox сообщают , что более 300 000 брандмауэров FortiGate подвержены критической уязвимости CVE-2023-27997 (CVSS: 9.8) несмотря на то, что Fortinet месяц назад выпустила обновление, устраняющее этот недостаток.
Чтобы продемонстрировать, что уязвимость можно использовать для удаленного выполнения кода на уязвимых устройствах, Bishop Fox создал эксплойт , который позволяет подключаться к серверу злоумышленника, загружать двоичный файл BusyBox и открывать интерактивную оболочку.
#FortiGate, #CVE-2023-27997, #RCE @SecLabNews
SecurityLab.ru
Когда обновление игнорируется: отказ от исправления оставляет 300 тысяч брандмауэров FortiGate под угрозой
По словам экспертов, многие из открытых устройств FortiGate не обновлялись в течение 8-ми лет.
🔥9🥱6👍5🤣4❤2👎2⚡1🌚1💯1
Forwarded from 0day Alert
Критическая RCE-уязвимость в Tinyproxy затронула 50 000 серверов
☠️ Более 50% из 90 310 серверов, использующих прокси-инструмент Tinyproxy, уязвимы из-за критической ошибки, получившей обозначение CVE-2023-49606 и оценку в 9,8 из 10 баллов по шкале CVSS. Ошибка классифицируется как уязвимость типа «Use-After-Free» в версиях Tinyproxy 1.10.0 и 1.11.1.
🌚 Согласно отчету Cisco Talos, отправка специально сформированного HTTP-заголовка может привести к повторному использованию уже освобожденной памяти, вызывая ее повреждение, что может привести к выполнению удаленного кода.
😲 Хотя Talos сообщила об уязвимости 22 декабря 2023 года, команда Tinyproxy узнала о проблеме только 5 мая 2024 года из-за ошибки в коммуникации. Таким образом, серверы оставались уязвимыми почти полгода из-за сбоя в процессе оповещения.
#Tinyproxy #RCE #0day #УязвимостьВПО
@ZerodayAlert
#Tinyproxy #RCE #0day #УязвимостьВПО
@ZerodayAlert
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
Tinyproxy: как «поломанный» канал связи стал причиной уязвимости 50 000 серверов
Коротко о том, к чему может привести неэффективная коммуникация между исследователями и разработчиками.
👍9🌚6💯4❤3⚡2😁2👏1👀1👾1
Forwarded from 0day Alert
Удалённый запуск кода в TP-Link ER605 без входа в систему
🧩 В маршрутизаторе TP-Link Omada ER605 выявлена цепочка уязвимостей, позволяющая выполнять код удалённо и без авторизации. Речь идет не об одной ошибке, а о связанной группе проблем в служебном механизме обновления DDNS, который обычно работает «в тени» и редко проверяется отдельно. На текущий момент исправляющего обновления от производителя ещё нет.
🔬 Сервис обработки DDNS-ответов запущен с максимальными правами и избыточно доверяет входящим данным. Ошибки проверки длины полей приводят к переполнению буфера, а особенности внутреннего кодирования и зашитый в бинарный файл ключ позволяют формировать правдоподобные ответы сервера. В результате обходится рандомизация адресного пространства и управление выполнением перехватывается через цепочку вызовов.
⚠️ Атака особенно реалистична в сценариях с позицией посредника в сети через поддельный DHCP и DNS. Это уже воспроизводимая модель эксплуатации, а не теоретический риск. Пока патча нет, стоит как минимум проверить версии прошивок, сегментацию сети и контроль исходящих DNS-запросов с таких устройств.
#tp-link #rce #ddns #уязвимости
@ZerodayAlert
🧩 В маршрутизаторе TP-Link Omada ER605 выявлена цепочка уязвимостей, позволяющая выполнять код удалённо и без авторизации. Речь идет не об одной ошибке, а о связанной группе проблем в служебном механизме обновления DDNS, который обычно работает «в тени» и редко проверяется отдельно. На текущий момент исправляющего обновления от производителя ещё нет.
🔬 Сервис обработки DDNS-ответов запущен с максимальными правами и избыточно доверяет входящим данным. Ошибки проверки длины полей приводят к переполнению буфера, а особенности внутреннего кодирования и зашитый в бинарный файл ключ позволяют формировать правдоподобные ответы сервера. В результате обходится рандомизация адресного пространства и управление выполнением перехватывается через цепочку вызовов.
⚠️ Атака особенно реалистична в сценариях с позицией посредника в сети через поддельный DHCP и DNS. Это уже воспроизводимая модель эксплуатации, а не теоретический риск. Пока патча нет, стоит как минимум проверить версии прошивок, сегментацию сети и контроль исходящих DNS-запросов с таких устройств.
#tp-link #rce #ddns #уязвимости
@ZerodayAlert
SecurityLab.ru
Пароль больше не нужен. В роутерах TP-Link нашли «чёрный ход» размером с грузовик
Оказалось, что даже запертая на все замки дверь не гарантирует приватности.
⚡23🔥6
Forwarded from 0day Alert
& вместо |. Рассказываем, как крошечный баг в движке SpiderMonkey привел к критической уязвимости
Критическая уязвимость в движке SpiderMonkey возникла из-за опечатки в один символ. В коде сборщика мусора для WebAssembly разработчик поставил & вместо |. На вид мелочь, побитовое И вместо побитового ИЛИ, а на деле ломается метка. Вместо выставленного младшего бита в указателе переадресации в заголовок записывался ноль. Из-за этого сборщик мусора и оптимизирующий компилятор Ion начинали по-разному понимать, где лежат данные массива. Дальше открывался прямой путь к удаленному выполнению кода.
Механика такая. Когда GC переносит массив WebAssembly в другую область памяти, старый буфер должен получить указатель на новое место с выставленным младшим битом. Это сигнал для Ion. Но из-за & 1 вместо | 1 в заголовок попадал ноль, который еще и проходил проверку на встроенный массив. Ion продолжал ходить по старому адресу, хотя память уже освободили. Дальше все по учебнику для use-after-free: распыление кучи, перехват потока выполнения, запуск командной оболочки.
И отдельно пугает скорость. Ошибку внесли 19 января, а уже 3 февраля два независимых исследователя прислали отчеты с рабочими PoC. То есть баг появился, его нашли и довели до эксплуатации буквально за считанные дни. Повезло только в одном: проблема успела попасть лишь в Firefox 149 Nightly и не доехала до стабильных релизов.
#firefox #rce #webassembly
Критическая уязвимость в движке SpiderMonkey возникла из-за опечатки в один символ. В коде сборщика мусора для WebAssembly разработчик поставил & вместо |. На вид мелочь, побитовое И вместо побитового ИЛИ, а на деле ломается метка. Вместо выставленного младшего бита в указателе переадресации в заголовок записывался ноль. Из-за этого сборщик мусора и оптимизирующий компилятор Ion начинали по-разному понимать, где лежат данные массива. Дальше открывался прямой путь к удаленному выполнению кода.
Механика такая. Когда GC переносит массив WebAssembly в другую область памяти, старый буфер должен получить указатель на новое место с выставленным младшим битом. Это сигнал для Ion. Но из-за & 1 вместо | 1 в заголовок попадал ноль, который еще и проходил проверку на встроенный массив. Ion продолжал ходить по старому адресу, хотя память уже освободили. Дальше все по учебнику для use-after-free: распыление кучи, перехват потока выполнения, запуск командной оболочки.
И отдельно пугает скорость. Ошибку внесли 19 января, а уже 3 февраля два независимых исследователя прислали отчеты с рабочими PoC. То есть баг появился, его нашли и довели до эксплуатации буквально за считанные дни. Повезло только в одном: проблема успела попасть лишь в Firefox 149 Nightly и не доехала до стабильных релизов.
#firefox #rce #webassembly
SecurityLab.ru
Разработчик Firefox перепутал два символа — и подарил хакерам RCE-уязвимость в движке JavaScript
Как один неправильный символ довел Mozilla до истерики.
🔥30👀11