Forwarded from APT
🔥 VMware vCenter Server RCE + PrivEsc
Multiple heap-overflow vulnerabilities in the implementation of the DCE/RPC protocol. They could allow a bad actor with network access to vCenter Server to achieve remote code execution by sending a specially crafted network packet.
— CVE-2024-37079: A heap-overflow vulnerability in the DCERPC protocol implementation of vCenter Server that allows a malicious actor with network access to send specially crafted packets, potentially leading to remote code execution. (CVSS v3.1 score: 9.8 "critical");
— CVE-2024-37080: Another heap overflow vulnerability in the DCERPC protocol of vCenter Server. Similar to CVE-2024-37079, it allows an attacker with network access to exploit heap overflow by sending crafted packets, potentially resulting in remote code execution. (CVSS v3.1 score: 9.8 "critical");
— CVE-2024-37081: This vulnerability arises from a misconfiguration of sudo in vCenter Server, permitting an authenticated local user to exploit this flaw to elevate their privileges to root on the vCenter Server Appliance. (CVSS v3.1 score: 7.8 "high").
Nuclei Template (PoC):
🔗 https://gist.github.com/tothi/0ff034b254aca527c3a1283ff854592a
Shodan
FOFA
#vmware #vcenter #rce #lpe #cve
Multiple heap-overflow vulnerabilities in the implementation of the DCE/RPC protocol. They could allow a bad actor with network access to vCenter Server to achieve remote code execution by sending a specially crafted network packet.
— CVE-2024-37079: A heap-overflow vulnerability in the DCERPC protocol implementation of vCenter Server that allows a malicious actor with network access to send specially crafted packets, potentially leading to remote code execution. (CVSS v3.1 score: 9.8 "critical");
— CVE-2024-37080: Another heap overflow vulnerability in the DCERPC protocol of vCenter Server. Similar to CVE-2024-37079, it allows an attacker with network access to exploit heap overflow by sending crafted packets, potentially resulting in remote code execution. (CVSS v3.1 score: 9.8 "critical");
— CVE-2024-37081: This vulnerability arises from a misconfiguration of sudo in vCenter Server, permitting an authenticated local user to exploit this flaw to elevate their privileges to root on the vCenter Server Appliance. (CVSS v3.1 score: 7.8 "high").
Nuclei Template (PoC):
🔗 https://gist.github.com/tothi/0ff034b254aca527c3a1283ff854592a
Shodan
product:"VMware vCenter Server"
FOFA
app="vmware-vCenter"
#vmware #vcenter #rce #lpe #cve
Forwarded from APT
The Qualys Threat Research Unit has discovered a Remote Unauthenticated Code Execution vulnerability in OpenSSH’s server (sshd) in glibc-based Linux systems. CVE assigned to this vulnerability is CVE-2024-6387.
The vulnerability, which is a signal handler race condition in OpenSSH’s server (sshd), allows unauthenticated remote code execution (RCE) as root on glibc-based Linux systems.
🔗 Research:
https://blog.qualys.com/vulnerabilities-threat-research/2024/07/01/regresshion-remote-unauthenticated-code-execution-vulnerability-in-openssh-server
🔗 PoC:
https://github.com/7etsuo/cve-2024-6387-poc
#openssh #glibc #rce #cve
Please open Telegram to view this post
VIEW IN TELEGRAM
SecuriXy.kz
Onother one #CVE-2024-6409: Affects the privilege separation child process with limited privileges, which affects OpenSSH in versions 8.7 and 8.8.
Состояние гонки в функции grace_alarm_handler() создает возможность удаленного выполнения кода в дочернем процессе privsep. Новая уязвимость имеет меньшее непосредственное влияние, но по-прежнему представляет собой значительный риск для безопасности.
Patch Now:
В
Ребутните sshd
Этот костыль эффективен для устранения обеих уязвимостей CVE-2024-6387 и CVE-2024-6409...
Состояние гонки в функции grace_alarm_handler() создает возможность удаленного выполнения кода в дочернем процессе privsep. Новая уязвимость имеет меньшее непосредственное влияние, но по-прежнему представляет собой значительный риск для безопасности.
Patch Now:
В
/etc/ssh/sshd_config
, задайте:
LoginGraceTime 0
Ребутните sshd
systemctl restart sshd
Этот костыль эффективен для устранения обеих уязвимостей CVE-2024-6387 и CVE-2024-6409...
Forwarded from APT
This media is not supported in your browser
VIEW IN TELEGRAM
PoC for:
— CVE-2024-38094
— CVE-2024-38024
— CVE-2024-38023
🔗 Source:
https://github.com/testanull/MS-SharePoint-July-Patch-RCE-PoC
#sharepoint #poc #rce #cve
Please open Telegram to view this post
VIEW IN TELEGRAM
#CVE-2024-21007 Weblogic Server RCE & #CVE-2024-21006 unauthorized access to critical data
├ Published: 2024-04-16
├ Base Score: 7.5 (HIGH)
├ Affected Versions: 12.2.1.4.0, 14.1.1.0.0
https://www.oracle.com/security-alerts/cpuapr2024.html
https://securityboulevard.com/2024/04/weblogic-t3-iiop-information-disclosure-vulnerability-cve-2024-21006-cve-2024-21007/?utm_source=dlvr.it&utm_medium=twitter
├ Published: 2024-04-16
├ Base Score: 7.5 (HIGH)
├ Affected Versions: 12.2.1.4.0, 14.1.1.0.0
https://www.oracle.com/security-alerts/cpuapr2024.html
https://securityboulevard.com/2024/04/weblogic-t3-iiop-information-disclosure-vulnerability-cve-2024-21006-cve-2024-21007/?utm_source=dlvr.it&utm_medium=twitter
This media is not supported in your browser
VIEW IN TELEGRAM
PoC: #CVE-2024-38396 & #CVE-2024-38395 for iTerm2 arbitrary command execution
Вы можете выполнять произвольные команды, просто управляя данными, выводимыми в консоль. Вводимые в консоль команды работают в обновленной на текущий момент версии Build 3.5.3.
Вы можете выполнять произвольные команды, просто управляя данными, выводимыми в консоль. Вводимые в консоль команды работают в обновленной на текущий момент версии Build 3.5.3.
]2;s&open -aCalculator&[21t P1000p%session-changed s
#CVE-2024-22274: Privilege Escalation: #VMware #vCenter Server Authenticated #RCE
https://github.com/l0n3m4n/CVE-2024-22274-RCE
https://github.com/l0n3m4n/CVE-2024-22274-RCE
Apache Superset - CVE-2024-34693.pdf
2.2 MB
#CVE-2024-34693 Apache Superset Arbitrary File Read Vulnerability
Затронутые версии:
Apache Superset до версии 3.1.3; Apache Superset 4.0.0 до версии 4.0.1
Описание: Уязвимость Improper Input Validation в Apache Superset позволяет аутентифицированному злоумышленнику создать соединение MariaDB с включенным local_infile. Если и сервер MariaDB (по умолчанию выключен), и локальный клиент mysql на веб-сервере настроены на разрешение local infile, злоумышленник может выполнить определенную SQL-команду MySQL/MariaDB, способную читать файлы с сервера и вставлять их содержимое в таблицу базы данных MariaDB. Пользователям рекомендуется обновиться до версии 4.0.1 или 3.1.3, в которых проблема устранена.
Nuclei template: https://github.com/projectdiscovery/nuclei-templates/blob/main/http/exposed-panels/superset-login.yaml
Затронутые версии:
Apache Superset до версии 3.1.3; Apache Superset 4.0.0 до версии 4.0.1
Описание: Уязвимость Improper Input Validation в Apache Superset позволяет аутентифицированному злоумышленнику создать соединение MariaDB с включенным local_infile. Если и сервер MariaDB (по умолчанию выключен), и локальный клиент mysql на веб-сервере настроены на разрешение local infile, злоумышленник может выполнить определенную SQL-команду MySQL/MariaDB, способную читать файлы с сервера и вставлять их содержимое в таблицу базы данных MariaDB. Пользователям рекомендуется обновиться до версии 4.0.1 или 3.1.3, в которых проблема устранена.
Nuclei template: https://github.com/projectdiscovery/nuclei-templates/blob/main/http/exposed-panels/superset-login.yaml
Исследователи Fortinet FortiGuard Labs https://www.fortinet.com/blog/threat-research/exploiting-cve-2024-21412-stealer-campaign-unleashed кампанию, нацеленную на Испанию, Таиланд и США с использованием уязвимости CVE-2024-21412 (оценка CVSS: 8,1).
Исправленная уязвимость безопасности в Microsoft Defender SmartScreen использовалась для распространения вредоносных программ таких как ACR Stealer, Lumma и Meduza.
Уязвимость высокой степени серьезности позволяет злоумышленнику обойти защиту SmartScreen и доставить вредоносные вредоносные нагрузки. Microsoft устранила ее еще в феврале 2024 года.
В ходе наблюдаемых атак злоумышленники заманивают жертву, заставляя ее пройти по созданной ссылке на URL-файл, предназначенный для загрузки LNK-файла. Затем LNK-файл загружает исполняемый файл, содержащий скрипт (HTML-приложения). Файл HTA служит каналом для декодирования и расшифровки кода PowerShell, отвечающего за извлечение поддельного PDF-файла и инжектора шелл-кода.
Он, в свою очередь, приводит к развертыванию Meduza Stealer или Hijack Loader, которые впоследствии запускают CR Stealer или Lumma.
Полезные forensics artifacts для #CVE_2024_21412 : .url файлы в WebDAV папке для детекта:
Исправленная уязвимость безопасности в Microsoft Defender SmartScreen использовалась для распространения вредоносных программ таких как ACR Stealer, Lumma и Meduza.
Уязвимость высокой степени серьезности позволяет злоумышленнику обойти защиту SmartScreen и доставить вредоносные вредоносные нагрузки. Microsoft устранила ее еще в феврале 2024 года.
В ходе наблюдаемых атак злоумышленники заманивают жертву, заставляя ее пройти по созданной ссылке на URL-файл, предназначенный для загрузки LNK-файла. Затем LNK-файл загружает исполняемый файл, содержащий скрипт (HTML-приложения). Файл HTA служит каналом для декодирования и расшифровки кода PowerShell, отвечающего за извлечение поддельного PDF-файла и инжектора шелл-кода.
Он, в свою очередь, приводит к развертыванию Meduza Stealer или Hijack Loader, которые впоследствии запускают CR Stealer или Lumma.
Полезные forensics artifacts для #CVE_2024_21412 : .url файлы в WebDAV папке для детекта:
C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\TfsStore\Tfs_DAV\*.url