logo
Хроники кибер-безопасника  Ничто так не говорит о безопасности, как сотни ИБ-продуктов и биометрический сканер
О проекте Просмотр Уровни подписки Фильтры Обновления проекта Контакты Поделиться Метки
Все проекты
О проекте
Профессиональный блог на различные ИТ и ИБ-темы. Минимум хайпа и максимум вдумчивого анализа и разбора различных материалов.

📌Не знаете какой уровень вам подходит, прочтите пост https://sponsr.ru/chronicles_security/55295/Platnye_urovni/

Все площадки
➡️Тексты и прочие форматы: TG, Boosty, Sponsr, Teletype.in, VK, Dzen
➡️Аудио: Mave, здесь можно найти ссылки на доступные подкаст площадки, например, Яндекс, Youtube Подкасты, ВК подкасты или Apple с Amazon
➡️Видео: Youtube, Rutube, Dzen, VK

основные категории материалов — используйте теги:

Q& A — лично или chronicles_qa@mail.ru
Публикации, доступные бесплатно
Уровни подписки
Единоразовый платёж

Каждый донат способствует прогрессу в области ИБ, позволяя предоставлять самые актуальные исследования и профессиональные рекомендации. Поддержите ценность контента

* не предоставляет доступ к закрытому контенту и не возращается

Помочь проекту
Праздничный промо 750₽ месяц
Доступны сообщения

Подписка "Постоянный читатель" за полцены!

В течение ограниченного времени мы предлагаем подписку по выгодной цене - со скидкой 50%! Будьте в курсе последних тенденций кибербезопасности благодаря нашим материалам

Предложение действительно до конца этого месяца.

Оформить подписку
Постоянный читатель 1 500₽ месяц 16 200₽ год
(-10%)
При подписке на год для вас действует 10% скидка. 10% основная скидка и 0% доп. скидка за ваш уровень на проекте Хроники кибер-безопасника
Доступны сообщения

Идеально подходит для постоянных читателей, которые заинтересованы быть в курсе последних тенденций в мире кибербезопасности

Оформить подписку
Профессионал 3 000₽ месяц 30 600₽ год
(-15%)
При подписке на год для вас действует 15% скидка. 15% основная скидка и 0% доп. скидка за ваш уровень на проекте Хроники кибер-безопасника
Доступны сообщения

Предназначено для ИТ-специалистов, экспертов, и энтузиастов, которые готовы погрузится в сложный мир ИБ + Q&A

Оформить подписку
Фильтры
Обновления проекта
Поделиться
Метки
хроникикибербезопасника 143 хроникикибербезопасникаpdf 50 новости 47 заметки 38 АНБ 27 разбор 26 fbi 25 nsa 25 фбр 25 adapt tactics 11 LOTL 11 уязвимость 11 кибер атаки 10 lolbin 9 lolbins 9 EdgeRouters 8 ubiquiti 8 дайджест 8 исследование 8 модель зрелости 8 IoT 7 кибер безопасность 7 soho 6 вредоносный код 6 Ransomware 5 криминалистика 5 фишинг 5 authToken 4 BYOD 4 MDM 4 OAuth 4 медицина 4 распаковка 4 IoMT 3 malware 3 аутентификация 3 Интернет вещей 3 потребление энергии 3 AnonSudan 2 console architecture 2 cve 2 Google 2 Living Off the Land 2 MITM 2 mqtt 2 Velociraptor 2 vmware 2 windows 2 антивирус 2 архитектура консолей 2 видео 2 Винтаж 2 ИИ 2 инцидент 2 инциденты 2 ключи доступа 2 машинное обучение 2 переполнение буфера 2 Реагирование на инциденты 2 ретро 2 1981 1 8bit 1 ADCS 1 ai 1 airwatch 1 AlphV 1 AMSI 1 android 1 Android-устройства 1 Android15 1 AntiPhishStack 1 Apple 1 Atlassian 1 AttackGen 1 av 1 BatBadBut 1 BianLian 1 bite 1 bitlocker 1 bitlocker bypass 1 Black Lotus Labs 1 blackberry 1 blizzard 1 BucketLoot 1 Buffer Overflow 1 BYOVD 1 checkpoint 1 chisel 1 cpu 1 CVE-2023-22518 1 CVE-2023-35080 1 CVE-2023-38043 1 CVE-2023-38543 1 CVE-2024-0204 1 CVE-2024-21111 1 CVE-2024-21345 1 cve-2024-21447 1 CVE-2024-24919 1 CVE-2024-26218 1 cve-2024-27129 1 cve-2024-27130 1 cve-2024-27131 1 cve-2024-3400 1 cvss 1 Cyber Toufan Al-Aqsa 1 D-Link 1 dark pink apt 1 dcrat 1 DevSecOps 1 Dex 1 DOS 1 EDR 1 EntraID 1 ESC8 1 Event ID 4663 1 Event ID 4688 1 Event ID 5145 1 Evilginx 1 EvilLsassTwin 1 FBI IC3 1 FIDO2 1 filewave 1 Firebase 1 fortra goanywhere mft 1 fuxnet 1 game console 1 GeminiNanoAI 1 genzo 1 go 1 GoogleIO2024 1 GooglePlayProtect 1 GoPhish 1 gpu 1 ICS 1 ICSpector 1 IDA 1 jazzer 1 jvm 1 KASLR 1 KillNet 1 LeftOverLocals 1 Leviathan 1 LG SmartTV 1 lockbit 1 LSASS 1 m-trends 1 Mallox 1 MalPurifier 1 mandiant 1 MediHunt 1 Meta Pixel 1 mobileiron 1 nes 1 nexus 1 Nim 1 Nimfilt 1 NtQueryInformationThread 1 OFGB 1 panos 1 PingFederate 1 PlayIntegrityAPI 1 PlayStation 1 playstation 2 1 playstation 3 1 plc 1 ps2 1 ps3 1 PulseVPN 1 qcsuper 1 qemu 1 Raytracing 1 rodrigo copetti 1 rust 1 Sagemcom 1 sandworm 1 SharpADWS 1 SIEM 1 Siemens 1 skimming 1 Smart Devices 1 snes 1 SSO 1 TA427 1 TA547 1 TDDP 1 Telegram 1 telerik 1 TeleTracker 1 TEMP.Periscope 1 Terminator 1 threat intelligence 1 threat intelligence analysis 1 tp-link 1 UserManagerEoP 1 virtualbox 1 VPN 1 webos 1 What2Log 1 Windows 11 1 Windstream 1 WSUS 1 wt-2024-0004 1 wt-2024-0005 1 wt-2024-0006 1 xbox 1 xbox 360 1 xbox original 1 xss 1 Yubico 1 Z80A 1 ZXSpectrum 1 Анализ мобильных сетей 1 анализ поведения 1 анализ угроз 1 анонс 1 антифишинг 1 безопасность 1 Безопасность телекоммуникаций 1 биокибербезопасность 1 биометрия 1 ботнет 1 ВВС США 1 веб аутентификация 1 великобритания 1 ВМС 1 Геймификация 1 Демосцена 1 дизассемблер 1 женщины 1 игровые консоли 1 имитация угроз 1 Исследование сетей 5G 1 категории контента 1 кибер операции 1 китай 1 контент 1 кража данных 1 Лом 1 модели угроз 1 модификация реестра 1 нко 1 обучение сотрудников 1 осведомленность о безопасности 1 перехват радиокадров 1 Платные уровни 1 Подкаст 1 Протокол Qualcomm Diag 1 прошивка 1 риск 1 роутер 1 роутеры 1 сетевой анализ 1 скам 1 софт 1 удаление рекламы 1 управление рисками 1 устойчивость к фишингу 1 утечка 1 утилиты 1 учётные данные 1 Уявзимость 1 фаззер 1 фрод 1 ЦРУ 1 шеллкод 1 Больше тегов
Читать: 5+ мин
logo Хроники кибер-безопасника

Уязвимость CVE-2024-21111. Послевкусие

Этот ‎документ‏ ‎погружает ‎в ‎захватывающий ‎мир ‎CVE-2024-21111,‏ ‎восхитительной ‎уязвимости‏ ‎в‏ ‎Oracle ‎VM ‎VirtualBox,‏ ‎которая ‎просто‏ ‎обожает ‎сеять ‎хаос ‎на‏ ‎хостингах‏ ‎Windows. ‎Мы‏ ‎рассмотрим ‎эту‏ ‎жемчужину ‎со ‎всех ‎возможных ‎сторон,‏ ‎потому‏ ‎что ‎кому‏ ‎не ‎понравится‏ ‎хороший ‎кошмар ‎с ‎точки ‎зрения‏ ‎безопасности?

В‏ ‎этом‏ ‎документе ‎содержится‏ ‎подробное ‎описание‏ ‎уязвимости, ‎предлагающее‏ ‎информацию‏ ‎специалистам ‎по‏ ‎безопасности ‎и ‎другим ‎заинтересованным ‎сторонам,‏ ‎которые ‎просто‏ ‎не‏ ‎могут ‎нарадоваться ‎на‏ ‎подобные ‎проблемы.‏ ‎Этот ‎анализ ‎является ‎обязательным‏ ‎для‏ ‎прочтения ‎всем,‏ ‎кто ‎хочет‏ ‎понять ‎риски, ‎связанные ‎с ‎CVE-2024-21111,‏ ‎и‏ ‎принять ‎меры‏ ‎для ‎предотвращения‏ ‎того, ‎чтобы ‎их ‎системы ‎не‏ ‎стали‏ ‎следующей‏ ‎жертвой. ‎Наслаждайтесь!

-------

документ‏ ‎содержит ‎анализ‏ ‎CVE-2024–2111, ‎уязвимости‏ ‎в‏ ‎Oracle ‎VM‏ ‎VirtualBox, ‎влияющей ‎на ‎хосты ‎Windows.‏ ‎Анализ ‎охватывает‏ ‎различные‏ ‎аспекты ‎уязвимости, ‎включая‏ ‎её ‎технические‏ ‎детали, ‎механизмы ‎использования, ‎потенциальное‏ ‎воздействие‏ ‎на ‎различные‏ ‎отрасли.

Этот ‎документ‏ ‎содержит ‎высококачественное ‎описание ‎уязвимости, ‎предлагая‏ ‎ценную‏ ‎информацию ‎специалистам‏ ‎по ‎безопасности‏ ‎и ‎другим ‎заинтересованным ‎сторонам ‎из‏ ‎различных‏ ‎отраслей.‏ ‎Анализ ‎полезен‏ ‎для ‎понимания‏ ‎рисков, ‎связанных‏ ‎с‏ ‎CVE-2024–2111, ‎и‏ ‎внедрения ‎эффективных ‎мер ‎по ‎защите‏ ‎систем ‎от‏ ‎потенциальных‏ ‎атак.

CVE-2024-2111 ‎— ‎это‏ ‎уязвимость ‎системы‏ ‎безопасности, ‎выявленная ‎в ‎Oracle‏ ‎VM‏ ‎VirtualBox, ‎которая,‏ ‎в ‎частности,‏ ‎затрагивает ‎хосты ‎Windows ‎и ‎присутствует‏ ‎в‏ ‎версиях ‎до‏ ‎версии ‎7.0.16.‏ ‎Это ‎позволяет ‎злоумышленнику ‎с ‎низкими‏ ‎привилегиями,‏ ‎имеющему‏ ‎доступ ‎для‏ ‎входа ‎в‏ ‎систему, ‎к‏ ‎инфраструктуре,‏ ‎где ‎выполняется‏ ‎Oracle ‎VM ‎VirtualBox, ‎потенциально ‎захватить‏ ‎систему

Злоумышленник, ‎использующий‏ ‎эту‏ ‎уязвимость, ‎может ‎получить‏ ‎несанкционированный ‎контроль‏ ‎над ‎уязвимой ‎виртуальной ‎машиной‏ ‎Oracle‏ ‎VirtualBox. ‎Конкретный‏ ‎технический ‎механизм‏ ‎включает ‎локальное ‎повышение ‎привилегий ‎посредством‏ ‎перехода‏ ‎по ‎символической‏ ‎ссылке, ‎что‏ ‎может ‎привести ‎к ‎произвольному ‎удалению‏ ‎и‏ ‎перемещению‏ ‎файла.

📌 Тип ‎уязвимости:‏ ‎локальное ‎повышение‏ ‎привилегий ‎(LPE)‏ ‎позволяет‏ ‎злоумышленнику ‎с‏ ‎низкими ‎привилегиями, ‎у ‎которого ‎уже‏ ‎есть ‎доступ‏ ‎к‏ ‎системе, ‎получить ‎более‏ ‎высокие ‎привилегии.

📌 Вектор‏ ‎атаки ‎и ‎сложность: Вектор ‎CVSS‏ ‎3.1‏ ‎для ‎этой‏ ‎уязвимости ‎равен‏ ‎(CVSS: ‎3.1/AV: ‎L/AC: ‎L/PR: ‎L/‏ ‎UI:‏ ‎N/ ‎S:‏ ‎U/C: ‎H/I:‏ ‎H ‎/A: ‎H). ‎Это ‎указывает‏ ‎на‏ ‎то,‏ ‎что ‎вектор‏ ‎атаки ‎локальный‏ ‎(AV: ‎L),‏ ‎что‏ ‎означает, ‎что‏ ‎злоумышленнику ‎необходим ‎локальный ‎доступ ‎к‏ ‎хосту. ‎Сложность‏ ‎атаки‏ ‎низкая ‎(AC: ‎L),‏ ‎и ‎никакого‏ ‎взаимодействия ‎с ‎пользователем ‎(UI:‏ ‎N)‏ ‎не ‎требуется.‏ ‎Требуемые ‎привилегии‏ ‎невелики ‎(PR: ‎L), ‎что ‎предполагает,‏ ‎что‏ ‎базовые ‎привилегии‏ ‎позволяют ‎воспользоваться‏ ‎этой ‎уязвимостью.

📌 Воздействие: ‎Все ‎показатели ‎воздействия‏ ‎на‏ ‎конфиденциальность,‏ ‎целостность ‎и‏ ‎доступность ‎оцениваются‏ ‎как ‎высокие‏ ‎(C:‏ ‎H/I: ‎H/A:‏ ‎H), ‎что ‎указывает ‎на ‎то,‏ ‎что ‎эксплойт‏ ‎может‏ ‎привести ‎к ‎полному‏ ‎нарушению ‎конфиденциальности,‏ ‎целостности ‎и ‎доступности ‎уязвимой‏ ‎системы.

📌 Способ‏ ‎эксплуатации: Уязвимость ‎реализуется‏ ‎атакой ‎с‏ ‎символическими ‎ссылкам ‎(symlink). ‎Это ‎включает‏ ‎в‏ ‎себя ‎манипулирование‏ ‎ссылками ‎для‏ ‎перенаправления ‎операций, ‎предназначенных ‎для ‎легитимных‏ ‎файлов‏ ‎или‏ ‎каталогов, ‎на‏ ‎другие ‎подконтрольные‏ ‎цели, ‎приводя‏ ‎к‏ ‎произвольному ‎удалению‏ ‎или ‎перемещению ‎файла, ‎и ‎позволяя‏ ‎выполнять ‎произвольный‏ ‎код‏ ‎с ‎привилегиями.

📌 Конкретный ‎механизм: Уязвимость‏ ‎конкретно ‎связана‏ ‎с ‎манипуляциями ‎с ‎файлами‏ ‎журналов‏ ‎системной ‎службой‏ ‎VirtualBox ‎(VboxSDS).‏ ‎Служба, ‎работающая ‎с ‎системными ‎привилегиями,‏ ‎управляет‏ ‎файлами ‎журнала‏ ‎в ‎каталоге,‏ ‎не ‎имеющими ‎строгого ‎контроля ‎доступа,‏ ‎что‏ ‎потенциально‏ ‎приводит ‎к‏ ‎повышению ‎привилегий.‏ ‎Служба ‎выполняет‏ ‎операции‏ ‎переименования ‎/‏ ‎перемещения ‎файлов ‎рекурсивно, ‎что ‎позволяет‏ ‎этим ‎злоупотреблять.

📌 Меры‏ ‎по‏ ‎устранению ‎этой ‎уязвимости: Пользователям‏ ‎рекомендуется ‎обновить‏ ‎свои ‎установки ‎Oracle ‎VM‏ ‎VirtualBox‏ ‎до ‎версии‏ ‎7.0.16 ‎или‏ ‎более ‎поздней, ‎которая ‎содержит ‎необходимые‏ ‎исправления‏ ‎для ‎устранения‏ ‎этой ‎уязвимости




Читать: 5+ мин
logo Хроники кибер-безопасника

CVE-2024-0204 in Fortra’s GoAnywhere MFT

CVE-2024-0204 ‎как‏ ‎ключ ‎под ‎ковриком, ‎не ‎прошедших‏ ‎проверку ‎подлинности,‏ ‎и‏ ‎желающих ‎создать ‎своего‏ ‎собственного ‎пользователя-администратора.‏ ‎Эта ‎уязвимость ‎может ‎быть‏ ‎использована‏ ‎удаленно ‎и‏ ‎является ‎классическим‏ ‎примером ‎CWE-425: ‎«Принудительный ‎доступ, ‎когда‏ ‎веб-приложение‏ ‎просто ‎слишком‏ ‎вежливое, ‎чтобы‏ ‎обеспечить ‎надлежащую ‎авторизацию». ‎Уязвимые ‎версии‏ ‎6.x‏ ‎начиная‏ ‎с ‎6.0.1‏ ‎и ‎версии‏ ‎7.x ‎до‏ ‎7.4.1,‏ ‎которая ‎была‏ ‎исправлена, ‎а ‎для ‎уязвимых ‎версией‏ ‎необходимо ‎удалить‏ ‎файл‏ ‎/InitialAccountSetup.xhtml ‎или ‎заменить‏ ‎на ‎пустой‏ ‎с ‎перезапуском ‎службы.


Теперь ‎давайте‏ ‎поговорим‏ ‎о ‎самом‏ ‎GoAnywhere ‎MFT.‏ ‎Это ‎защищённое ‎программное ‎решение, ‎которое,‏ ‎как‏ ‎предполагается, ‎упрощает‏ ‎обмен ‎данными‏ ‎и ‎повышает ‎безопасность, ‎что ‎довольно‏ ‎забавно,‏ ‎учитывая‏ ‎обстоятельства. ‎Оно‏ ‎может ‎быть‏ ‎развёрнуто ‎локально,‏ ‎в‏ ‎облаке ‎или‏ ‎в ‎гибридных ‎средах ‎и ‎поддерживает‏ ‎множество ‎операционных‏ ‎систем‏ ‎и ‎протоколов


CVE-2024-0204, ‎уязвимость‏ ‎в ‎GoAnywhere‏ ‎MFT ‎от ‎Fortra, ‎практически‏ ‎является‏ ‎VIP-пропуском ‎для‏ ‎злоумышленников, ‎не‏ ‎прошедших ‎проверку ‎подлинности. ‎Зачем ‎утруждать‏ ‎себя‏ ‎взломом, ‎когда‏ ‎вы ‎можете‏ ‎просто ‎создать ‎свою ‎собственную ‎учётную‏ ‎запись‏ ‎администратора,‏ ‎верно? ‎Система‏ ‎как ‎будто‏ ‎говорит: ‎«Пожалуйста,‏ ‎заходите,‏ ‎чувствуйте ‎себя‏ ‎как ‎дома, ‎и ‎пока ‎вы‏ ‎этим ‎занимаетесь,‏ ‎не‏ ‎стесняйтесь ‎все ‎контролировать».


А‏ ‎последствия ‎этой‏ ‎уязвимости ‎подобны ‎альбому ‎величайших‏ ‎хитов‏ ‎о ‎кошмарах‏ ‎кибербезопасности:

❇️Создание ‎неавторизованных‏ ‎пользователей-администраторов ‎(акция ‎«избавляемся ‎от ‎складских‏ ‎запасов‏ ‎аутентификационных ‎ключей»)

❇️Потенциальная‏ ‎утечка ‎данных‏ ‎(для ‎повышения ‎популярности ‎компании)

❇️Внедрение ‎вредоносных‏ ‎программ‏ ‎(вместо‏ ‎традиционных ‎схем‏ ‎распространения)

❇️Риск ‎вымогательства‏ ‎(минутка ‎шантажа)

❇️Сбои‏ ‎в‏ ‎работе ‎(разнообразие‏ ‎от ‎повелителя ‎хаоса)

❇️Комплаенс ‎и ‎юридические‏ ‎вопросы ‎(ничто‏ ‎так‏ ‎не ‎оживляет ‎зал‏ ‎заседаний, ‎как‏ ‎старый ‎добрый ‎скандал ‎с‏ ‎комплаенсом‏ ‎и ‎потенциальная‏ ‎юридическая ‎драма)


Планка‏ ‎«сложности ‎атаки» ‎установлена ‎так ‎низко,‏ ‎что‏ ‎даже ‎малыш‏ ‎может ‎споткнуться‏ ‎об ‎неё. ‎Мы ‎говорим ‎о‏ ‎той‏ ‎простоте,‏ ‎которая ‎заставляет‏ ‎задуматься, ‎не‏ ‎является ‎ли‏ ‎«безопасность»‏ ‎просто ‎модным‏ ‎словом, ‎которым ‎они ‎пользуются, ‎чтобы‏ ‎казаться ‎важными.


Сценарий‏ ‎атаки

Итак,‏ ‎вот ‎сценарии ‎блокбастерной‏ ‎атаки ‎для‏ ‎этой ‎феерии ‎обхода ‎аутентификации:

❇️Первоначальный‏ ‎доступ: наш‏ ‎неустрашимый ‎злоумышленник,‏ ‎вооружённый ‎цифровым‏ ‎эквивалентом ‎пластикового ‎брелка, ‎заходит ‎на‏ ‎портал‏ ‎администрирования ‎GoAnywhere‏ ‎MFT ‎без‏ ‎вашего ‎разрешения.

❇️Эксплуатация: далее ‎наш ‎злодей ‎использует‏ ‎проблему‏ ‎обхода‏ ‎пути, ‎которая‏ ‎в ‎основном‏ ‎похожа ‎на‏ ‎поиск‏ ‎секретного ‎прохода‏ ‎в ‎эпизоде ‎«Скуби-Ду», ‎ведущего ‎прямо‏ ‎к ‎конечной‏ ‎точке‏ ‎/InitialAccountSetup.xhtml. ‎К ‎сожалению,‏ ‎поблизости ‎нет‏ ‎назойливых ‎детей, ‎которые ‎могли‏ ‎бы‏ ‎их ‎остановить.

❇️Создание‏ ‎пользователя-администратора: как ‎только‏ ‎они ‎на ‎цыпочках ‎пройдут ‎по‏ ‎секретному‏ ‎проходу, ‎они‏ ‎могут ‎создать‏ ‎пользователя-администратора. ‎Заметьте, ‎это ‎не ‎просто‏ ‎любой‏ ‎пользователь;‏ ‎это ‎тот,‏ ‎у ‎которого‏ ‎есть ‎все‏ ‎навороты‏ ‎— ‎чтение,‏ ‎запись, ‎выполнение ‎команд. ‎Это ‎все‏ ‎равно ‎что‏ ‎дать‏ ‎грабителю ‎ключи ‎от‏ ‎сейфа, ‎коды‏ ‎сигнализации ‎и ‎чашку ‎хорошего‏ ‎чая.

❇️Потенциальная‏ ‎дальнейшая ‎эксплуатация: С‏ ‎ключами ‎от‏ ‎королевства ‎наш ‎злоумышленник ‎теперь ‎может‏ ‎делать‏ ‎все ‎самое‏ ‎интересное: ‎получать‏ ‎доступ ‎к ‎конфиденциальным ‎данным, ‎внедрять‏ ‎вредоносное‏ ‎ПО‏ ‎или ‎просто‏ ‎получать ‎полный‏ ‎контроль, ‎потому‏ ‎что,‏ ‎почему ‎бы‏ ‎и ‎нет? ‎Это ‎бесплатно ‎для‏ ‎всех!


Короче ‎говоря,‏ ‎CVE-2024-0204‏ ‎достойное ‎внимания ‎напоминание‏ ‎о ‎том,‏ ‎что, ‎возможно, ‎просто ‎возможно,‏ ‎следует‏ ‎отнестись ‎ко‏ ‎всей ‎этой‏ ‎истории ‎с ‎«безопасностью» ‎немного ‎серьёзнее.


Подробный‏ ‎разбор


Читать: 5+ мин
logo Overkill Security

Oops, We Did It Again. CVE-2024-21111 Strikes


This ‎document‏ ‎dives ‎into ‎the ‎thrilling ‎world‏ ‎of ‎CVE-2024-21111,‏ ‎a‏ ‎delightful ‎vulnerability ‎in‏ ‎Oracle ‎VM‏ ‎VirtualBox ‎that ‎just ‎loves‏ ‎to‏ ‎wreak ‎havoc‏ ‎on ‎Windows‏ ‎hosts. ‎We’ll ‎be ‎dissecting ‎this‏ ‎gem‏ ‎from ‎every‏ ‎possible ‎angle,‏ ‎because ‎who ‎doesn’t ‎love ‎a‏ ‎good‏ ‎security‏ ‎nightmare?

This ‎document‏ ‎provides ‎a‏ ‎top-notch ‎summary‏ ‎of‏ ‎the ‎vulnerability,‏ ‎offering ‎insights ‎for ‎security ‎professionals‏ ‎and ‎other‏ ‎stakeholders‏ ‎who ‎just ‎can’t‏ ‎get ‎enough‏ ‎of ‎dealing ‎with ‎these‏ ‎kinds‏ ‎of ‎issues.‏ ‎The ‎analysis‏ ‎is ‎a ‎must-read ‎for ‎anyone‏ ‎who‏ ‎enjoys ‎understanding‏ ‎the ‎risks‏ ‎associated ‎with ‎CVE-2024-21111 ‎and ‎implementing‏ ‎measures‏ ‎to‏ ‎prevent ‎their‏ ‎systems ‎from‏ ‎becoming ‎the‏ ‎next‏ ‎victim. ‎Enjoy!

----

This‏ ‎document ‎provides ‎a ‎comprehensive ‎analysis‏ ‎of ‎CVE-2024-21111,‏ ‎a‏ ‎critical ‎vulnerability ‎in‏ ‎Oracle ‎VM‏ ‎VirtualBox ‎affecting ‎Windows ‎hosts.‏ ‎The‏ ‎analysis ‎will‏ ‎cover ‎various‏ ‎aspects ‎of ‎the ‎vulnerability, ‎including‏ ‎its‏ ‎technical ‎details,‏ ‎exploitation ‎mechanisms,‏ ‎potential ‎impacts ‎on ‎different ‎industries.

This‏ ‎document‏ ‎provides‏ ‎a ‎high-quality‏ ‎summary ‎of‏ ‎the ‎vulnerability,‏ ‎offering‏ ‎valuable ‎insights‏ ‎for ‎security ‎professionals ‎and ‎other‏ ‎stakeholders ‎across‏ ‎various‏ ‎industries. ‎The ‎analysis‏ ‎is ‎beneficial‏ ‎for ‎understanding ‎the ‎risks‏ ‎associated‏ ‎with ‎CVE-2024-21111‏ ‎and ‎implementing‏ ‎effective ‎measures ‎to ‎safeguard ‎systems‏ ‎against‏ ‎potential ‎attacks.

CVE-2024-21111‏ ‎is ‎a‏ ‎significant ‎security ‎vulnerability ‎identified ‎in‏ ‎Oracle‏ ‎VM‏ ‎VirtualBox, ‎specifically‏ ‎affecting ‎Windows‏ ‎hosts. ‎This‏ ‎vulnerability‏ ‎is ‎present‏ ‎in ‎versions ‎of ‎VirtualBox ‎prior‏ ‎to ‎7.0.16.‏ ‎It‏ ‎allows ‎a ‎low‏ ‎privileged ‎attacker‏ ‎with ‎logon ‎access ‎to‏ ‎the‏ ‎infrastructure ‎where‏ ‎Oracle ‎VM‏ ‎VirtualBox ‎is ‎executed ‎to ‎potentially‏ ‎take‏ ‎over ‎the‏ ‎system

An ‎attacker‏ ‎exploiting ‎this ‎vulnerability ‎could ‎achieve‏ ‎unauthorized‏ ‎control‏ ‎over ‎the‏ ‎affected ‎Oracle‏ ‎VM ‎VirtualBox.‏ ‎The‏ ‎specific ‎technical‏ ‎mechanism ‎involves ‎local ‎privilege ‎escalation‏ ‎through ‎symbolic‏ ‎link‏ ‎following, ‎which ‎can‏ ‎lead ‎to‏ ‎arbitrary ‎file ‎deletion ‎and‏ ‎movement.


📌 Vulnerability‏ ‎Type: ‎Local‏ ‎Privilege ‎Escalation‏ ‎(LPE) ‎allows ‎a ‎low ‎privileged‏ ‎attacker‏ ‎who ‎already‏ ‎has ‎access‏ ‎to ‎the ‎system ‎to ‎gain‏ ‎higher‏ ‎privileges.

📌 Attack‏ ‎Vector ‎and‏ ‎Complexity: ‎The‏ ‎CVSS ‎3.1‏ ‎vector‏ ‎(CVSS: ‎3.1/AV:‏ ‎L/AC: ‎L/PR: ‎L/UI: ‎N/S: ‎U/C:‏ ‎H/I: ‎H/A:‏ ‎H)‏ ‎indicates ‎that ‎the‏ ‎attack ‎vector‏ ‎is ‎local ‎(AV: ‎L),‏ ‎meaning‏ ‎the ‎attacker‏ ‎needs ‎local‏ ‎access ‎to ‎the ‎host. ‎The‏ ‎attack‏ ‎complexity ‎is‏ ‎low ‎(AC:‏ ‎L), ‎and ‎no ‎user ‎interaction‏ ‎(UI:‏ ‎N)‏ ‎is ‎required.‏ ‎The ‎privileges‏ ‎required ‎are‏ ‎low‏ ‎(PR: ‎L),‏ ‎suggesting ‎that ‎an ‎attacker ‎with‏ ‎basic ‎user‏ ‎privileges‏ ‎can ‎exploit ‎this‏ ‎vulnerability.

📌 Impact: The ‎impacts‏ ‎on ‎confidentiality, ‎integrity, ‎and‏ ‎availability‏ ‎are ‎all‏ ‎rated ‎high‏ ‎(C: ‎H/I: ‎H/A: ‎H), ‎indicating‏ ‎that‏ ‎an ‎exploit‏ ‎could ‎lead‏ ‎to ‎a ‎complete ‎compromise ‎of‏ ‎the‏ ‎affected‏ ‎system’s ‎confidentiality,‏ ‎integrity, ‎and‏ ‎availability.

📌 Exploitation ‎Method: The‏ ‎vulnerability‏ ‎can ‎be‏ ‎exploited ‎through ‎symbolic ‎link ‎(symlink)‏ ‎attacks. ‎This‏ ‎involves‏ ‎manipulating ‎symbolic ‎links‏ ‎to ‎redirect‏ ‎operations ‎intended ‎for ‎legitimate‏ ‎files‏ ‎or ‎directories‏ ‎to ‎other‏ ‎targets, ‎which ‎the ‎attacker ‎controls.‏ ‎This‏ ‎can ‎lead‏ ‎to ‎arbitrary‏ ‎file ‎deletion ‎or ‎movement, ‎potentially‏ ‎allowing‏ ‎the‏ ‎attacker ‎to‏ ‎execute ‎arbitrary‏ ‎code ‎with‏ ‎elevated‏ ‎privileges.

📌 Specific ‎Mechanism: The‏ ‎vulnerability ‎specifically ‎involves ‎the ‎manipulation‏ ‎of ‎log‏ ‎files‏ ‎by ‎the ‎VirtualBox‏ ‎system ‎service‏ ‎(VboxSDS). ‎The ‎service, ‎which‏ ‎runs‏ ‎with ‎SYSTEM‏ ‎privileges, ‎manages‏ ‎log ‎files ‎in ‎a ‎directory‏ ‎that‏ ‎does ‎not‏ ‎have ‎strict‏ ‎access ‎controls. ‎This ‎allows ‎a‏ ‎low‏ ‎privileged‏ ‎user ‎to‏ ‎manipulate ‎these‏ ‎files, ‎potentially‏ ‎leading‏ ‎to ‎privilege‏ ‎escalation. ‎The ‎service ‎performs ‎file‏ ‎rename/move ‎operations‏ ‎recursively,‏ ‎and ‎if ‎manipulated‏ ‎correctly, ‎this‏ ‎behavior ‎can ‎be ‎abused‏ ‎to‏ ‎perform ‎unauthorized‏ ‎actions.

📌 Mitigation: Users ‎are‏ ‎advised ‎to ‎update ‎their ‎VirtualBox‏ ‎to‏ ‎version ‎7.0.16‏ ‎or ‎later,‏ ‎which ‎contains ‎the ‎necessary ‎patches‏ ‎to‏ ‎mitigate‏ ‎this ‎vulnerability






Читать: 5+ мин
logo Overkill Security

CVE-2024-0204 in Fortra’s GoAnywhere MFT

CVE-2024-0204 ‎is‏ ‎like ‎a ‎key ‎under ‎the‏ ‎mat ‎that‏ ‎has‏ ‎not ‎been ‎authenticated‏ ‎and ‎wants‏ ‎to ‎create ‎its ‎own‏ ‎administrator‏ ‎user. ‎This‏ ‎vulnerability ‎can‏ ‎be ‎exploited ‎remotely ‎and ‎is‏ ‎a‏ ‎classic ‎example‏ ‎of ‎CWE-425:‏ ‎«Forced ‎access ‎when ‎a ‎web‏ ‎application‏ ‎is‏ ‎simply ‎too‏ ‎polite ‎to‏ ‎provide ‎proper‏ ‎authorization.»‏ ‎Vulnerable ‎versions‏ ‎6.x ‎starting ‎from ‎6.0.1 ‎and‏ ‎version ‎7.x‏ ‎up‏ ‎to ‎7.4.1, ‎in‏ ‎which ‎they‏ ‎decided ‎to ‎hang ‎a‏ ‎lock‏ ‎on ‎the‏ ‎door. ‎If‏ ‎you’re ‎feeling ‎DIY, ‎the ‎advisory‏ ‎suggests‏ ‎a ‎workaround:‏ ‎delete ‎the‏ ‎endpoint ‎/InitialAccountSetup.xhtml ‎and ‎restart ‎the‏ ‎service.‏ ‎For‏ ‎those ‎fancy‏ ‎container-deployed ‎instances,‏ ‎just ‎replace‏ ‎the‏ ‎file ‎with‏ ‎an ‎empty ‎one ‎and ‎give‏ ‎it ‎a‏ ‎good‏ ‎ol' ‎reboot.

Now, ‎let’s‏ ‎talk ‎about‏ ‎GoAnywhere ‎MFT ‎itself. ‎It’s‏ ‎a‏ ‎secure ‎software‏ ‎solution ‎that’s‏ ‎supposed ‎to ‎streamline ‎data ‎exchange‏ ‎and‏ ‎improve ‎security,‏ ‎which ‎is‏ ‎kind ‎of ‎hilarious ‎given ‎the‏ ‎circumstances.‏ ‎It’s‏ ‎like ‎having‏ ‎a ‎state-of-the-art‏ ‎vault ‎with‏ ‎the‏ ‎door ‎wide‏ ‎open. ‎It ‎can ‎be ‎deployed‏ ‎on-premises, ‎in‏ ‎the‏ ‎cloud, ‎or ‎in‏ ‎hybrid ‎environments‏ ‎and ‎supports ‎a ‎plethora‏ ‎of‏ ‎operating ‎systems‏ ‎and ‎protocols.

CVE-2024-0204,‏ ‎a ‎vulnerability ‎in ‎Fortra’s ‎GoAnywhere‏ ‎MFT,‏ ‎is ‎practically‏ ‎a ‎VIP‏ ‎pass ‎for ‎unauthenticated ‎attackers. ‎Why‏ ‎bother‏ ‎with‏ ‎the ‎hassle‏ ‎of ‎hacking‏ ‎when ‎you‏ ‎can‏ ‎just ‎create‏ ‎your ‎own ‎admin ‎account, ‎right?‏ ‎It’s ‎like‏ ‎the‏ ‎system ‎is ‎saying,‏ ‎«Please, ‎come‏ ‎in, ‎make ‎yourself ‎at‏ ‎home,‏ ‎and ‎while‏ ‎you’re ‎at‏ ‎it, ‎feel ‎free ‎to ‎take‏ ‎control‏ ‎of ‎everything.»

The‏ ‎impacts ‎of‏ ‎this ‎vulnerability ‎are ‎like ‎a‏ ‎greatest‏ ‎hits‏ ‎album ‎of‏ ‎cybersecurity ‎nightmares:

❇️Creation‏ ‎of ‎Unauthorized‏ ‎Admin‏ ‎Users: ‎Because‏ ‎why ‎wouldn’t ‎we ‎want ‎random‏ ‎strangers ‎to‏ ‎have‏ ‎the ‎keys ‎to‏ ‎the ‎kingdom?

❇️Potential‏ ‎for ‎Data ‎Breach: ‎It’s‏ ‎like‏ ‎leaving ‎your‏ ‎diary ‎open‏ ‎in ‎a ‎crowded ‎cafe ‎and‏ ‎being‏ ‎surprised ‎when‏ ‎someone ‎reads‏ ‎it.

❇️Malware ‎Deployment: ‎Who ‎needs ‎traditional‏ ‎malware‏ ‎distribution‏ ‎methods ‎when‏ ‎you ‎can‏ ‎just ‎drop‏ ‎your‏ ‎ransomware ‎directly‏ ‎into ‎the ‎system ‎like ‎it’s‏ ‎hot?

❇️Complete ‎System‏ ‎Takeover:‏ ‎It’s ‎not ‎just‏ ‎a ‎visit;‏ ‎it’s ‎a ‎full-blown ‎takeover.‏ ‎Why‏ ‎rent ‎when‏ ‎you ‎can‏ ‎own?

❇️Risk ‎of ‎Extortion: ‎With ‎access‏ ‎this‏ ‎easy, ‎why‏ ‎not ‎throw‏ ‎in ‎a ‎little ‎blackmail? ‎It’s‏ ‎the‏ ‎cherry‏ ‎on ‎top‏ ‎of ‎the‏ ‎cybersecurity ‎disaster‏ ‎sundae.

❇️Operational‏ ‎Disruption: ‎Because‏ ‎who ‎doesn’t ‎love ‎a ‎little‏ ‎chaos ‎in‏ ‎their‏ ‎day-to-day ‎operations?

❇️Compliance ‎and‏ ‎Legal ‎Issues:‏ ‎Nothing ‎spices ‎up ‎the‏ ‎boardroom‏ ‎like ‎a‏ ‎good ‎old-fashioned‏ ‎compliance ‎scandal ‎and ‎the ‎potential‏ ‎for‏ ‎legal ‎drama.

The‏ ‎bar ‎for‏ ‎«attack ‎complexity» ‎is ‎set ‎so‏ ‎low,‏ ‎even‏ ‎a ‎toddler‏ ‎could ‎trip‏ ‎over ‎it.‏ ‎We’re‏ ‎talking ‎about‏ ‎the ‎kind ‎of ‎simplicity ‎that‏ ‎makes ‎you‏ ‎wonder‏ ‎if ‎«security» ‎is‏ ‎just ‎a‏ ‎fancy ‎word ‎they ‎throw‏ ‎around‏ ‎to ‎sound‏ ‎important.

Attack ‎Flow

So,‏ ‎here’s ‎the ‎blockbuster ‎attack ‎flow‏ ‎for‏ ‎this ‎authentication‏ ‎bypass ‎extravaganza:

❇️Initial‏ ‎Access: ‎Our ‎intrepid ‎attacker, ‎armed‏ ‎with‏ ‎the‏ ‎digital ‎equivalent‏ ‎of ‎a‏ ‎plastic ‎spork,‏ ‎strolls‏ ‎into ‎the‏ ‎GoAnywhere ‎MFT ‎administration ‎portal ‎without‏ ‎so ‎much‏ ‎as‏ ‎a ‎by-your-leave. ‎Thanks‏ ‎to ‎the‏ ‎path ‎traversal ‎issue, ‎it’s‏ ‎less‏ ‎«breaking ‎and‏ ‎entering» ‎and‏ ‎more ‎«please ‎enter ‎and ‎make‏ ‎yourself‏ ‎at ‎home.»

❇️Exploitation:‏ ‎Next, ‎our‏ ‎villain ‎exploits ‎the ‎path ‎traversal‏ ‎issue,‏ ‎which‏ ‎is ‎basically‏ ‎like ‎finding‏ ‎a ‎secret‏ ‎passage‏ ‎in ‎a‏ ‎Scooby-Doo ‎episode, ‎leading ‎straight ‎to‏ ‎the ‎/InitialAccountSetup.xhtml‏ ‎endpoint.‏ ‎No ‎meddling ‎kids‏ ‎in ‎sight‏ ‎to ‎stop ‎them, ‎unfortunately.

❇️Creation‏ ‎of‏ ‎Admin ‎User:‏ ‎Once ‎they’ve‏ ‎tiptoed ‎through ‎the ‎secret ‎passage,‏ ‎they‏ ‎can ‎create‏ ‎an ‎admin‏ ‎user. ‎This ‎isn’t ‎just ‎any‏ ‎user,‏ ‎mind‏ ‎you; ‎it’s‏ ‎the ‎kind‏ ‎with ‎all‏ ‎the‏ ‎bells ‎and‏ ‎whistles—read, ‎write, ‎command ‎execution. ‎It’s‏ ‎like ‎giving‏ ‎a‏ ‎burglar ‎the ‎keys‏ ‎to ‎the‏ ‎safe, ‎the ‎alarm ‎codes,‏ ‎and‏ ‎a ‎nice‏ ‎cup ‎of‏ ‎tea.

❇️Potential ‎Further ‎Exploitation: ‎With ‎the‏ ‎keys‏ ‎to ‎the‏ ‎kingdom, ‎our‏ ‎attacker ‎can ‎now ‎do ‎all‏ ‎the‏ ‎fun‏ ‎stuff: ‎access‏ ‎sensitive ‎data,‏ ‎deploy ‎malware,‏ ‎or‏ ‎just ‎take‏ ‎complete ‎control ‎because, ‎why ‎not?‏ ‎It’s ‎a‏ ‎free-for-all!

In‏ ‎short, ‎CVE-2024-0204 ‎is‏ ‎the ‎gift‏ ‎that ‎keeps ‎on ‎giving—if‏ ‎you’re‏ ‎an ‎attacker,‏ ‎that ‎is.‏ ‎For ‎the ‎rest ‎of ‎us,‏ ‎it’s‏ ‎a ‎facepalm-worthy‏ ‎reminder ‎that‏ ‎maybe, ‎just ‎maybe, ‎we ‎should‏ ‎take‏ ‎this‏ ‎whole ‎«security»‏ ‎thing ‎a‏ ‎bit ‎more‏ ‎seriously.


Unpacking‏ ‎in ‎more‏ ‎detail


Обновления проекта

Метки

хроникикибербезопасника 143 хроникикибербезопасникаpdf 50 новости 47 заметки 38 АНБ 27 разбор 26 fbi 25 nsa 25 фбр 25 adapt tactics 11 LOTL 11 уязвимость 11 кибер атаки 10 lolbin 9 lolbins 9 EdgeRouters 8 ubiquiti 8 дайджест 8 исследование 8 модель зрелости 8 IoT 7 кибер безопасность 7 soho 6 вредоносный код 6 Ransomware 5 криминалистика 5 фишинг 5 authToken 4 BYOD 4 MDM 4 OAuth 4 медицина 4 распаковка 4 IoMT 3 malware 3 аутентификация 3 Интернет вещей 3 потребление энергии 3 AnonSudan 2 console architecture 2 cve 2 Google 2 Living Off the Land 2 MITM 2 mqtt 2 Velociraptor 2 vmware 2 windows 2 антивирус 2 архитектура консолей 2 видео 2 Винтаж 2 ИИ 2 инцидент 2 инциденты 2 ключи доступа 2 машинное обучение 2 переполнение буфера 2 Реагирование на инциденты 2 ретро 2 1981 1 8bit 1 ADCS 1 ai 1 airwatch 1 AlphV 1 AMSI 1 android 1 Android-устройства 1 Android15 1 AntiPhishStack 1 Apple 1 Atlassian 1 AttackGen 1 av 1 BatBadBut 1 BianLian 1 bite 1 bitlocker 1 bitlocker bypass 1 Black Lotus Labs 1 blackberry 1 blizzard 1 BucketLoot 1 Buffer Overflow 1 BYOVD 1 checkpoint 1 chisel 1 cpu 1 CVE-2023-22518 1 CVE-2023-35080 1 CVE-2023-38043 1 CVE-2023-38543 1 CVE-2024-0204 1 CVE-2024-21111 1 CVE-2024-21345 1 cve-2024-21447 1 CVE-2024-24919 1 CVE-2024-26218 1 cve-2024-27129 1 cve-2024-27130 1 cve-2024-27131 1 cve-2024-3400 1 cvss 1 Cyber Toufan Al-Aqsa 1 D-Link 1 dark pink apt 1 dcrat 1 DevSecOps 1 Dex 1 DOS 1 EDR 1 EntraID 1 ESC8 1 Event ID 4663 1 Event ID 4688 1 Event ID 5145 1 Evilginx 1 EvilLsassTwin 1 FBI IC3 1 FIDO2 1 filewave 1 Firebase 1 fortra goanywhere mft 1 fuxnet 1 game console 1 GeminiNanoAI 1 genzo 1 go 1 GoogleIO2024 1 GooglePlayProtect 1 GoPhish 1 gpu 1 ICS 1 ICSpector 1 IDA 1 jazzer 1 jvm 1 KASLR 1 KillNet 1 LeftOverLocals 1 Leviathan 1 LG SmartTV 1 lockbit 1 LSASS 1 m-trends 1 Mallox 1 MalPurifier 1 mandiant 1 MediHunt 1 Meta Pixel 1 mobileiron 1 nes 1 nexus 1 Nim 1 Nimfilt 1 NtQueryInformationThread 1 OFGB 1 panos 1 PingFederate 1 PlayIntegrityAPI 1 PlayStation 1 playstation 2 1 playstation 3 1 plc 1 ps2 1 ps3 1 PulseVPN 1 qcsuper 1 qemu 1 Raytracing 1 rodrigo copetti 1 rust 1 Sagemcom 1 sandworm 1 SharpADWS 1 SIEM 1 Siemens 1 skimming 1 Smart Devices 1 snes 1 SSO 1 TA427 1 TA547 1 TDDP 1 Telegram 1 telerik 1 TeleTracker 1 TEMP.Periscope 1 Terminator 1 threat intelligence 1 threat intelligence analysis 1 tp-link 1 UserManagerEoP 1 virtualbox 1 VPN 1 webos 1 What2Log 1 Windows 11 1 Windstream 1 WSUS 1 wt-2024-0004 1 wt-2024-0005 1 wt-2024-0006 1 xbox 1 xbox 360 1 xbox original 1 xss 1 Yubico 1 Z80A 1 ZXSpectrum 1 Анализ мобильных сетей 1 анализ поведения 1 анализ угроз 1 анонс 1 антифишинг 1 безопасность 1 Безопасность телекоммуникаций 1 биокибербезопасность 1 биометрия 1 ботнет 1 ВВС США 1 веб аутентификация 1 великобритания 1 ВМС 1 Геймификация 1 Демосцена 1 дизассемблер 1 женщины 1 игровые консоли 1 имитация угроз 1 Исследование сетей 5G 1 категории контента 1 кибер операции 1 китай 1 контент 1 кража данных 1 Лом 1 модели угроз 1 модификация реестра 1 нко 1 обучение сотрудников 1 осведомленность о безопасности 1 перехват радиокадров 1 Платные уровни 1 Подкаст 1 Протокол Qualcomm Diag 1 прошивка 1 риск 1 роутер 1 роутеры 1 сетевой анализ 1 скам 1 софт 1 удаление рекламы 1 управление рисками 1 устойчивость к фишингу 1 утечка 1 утилиты 1 учётные данные 1 Уявзимость 1 фаззер 1 фрод 1 ЦРУ 1 шеллкод 1 Больше тегов

Фильтры

Подарить подписку

Будет создан код, который позволит адресату получить бесплатный для него доступ на определённый уровень подписки.

Оплата за этого пользователя будет списываться с вашей карты вплоть до отмены подписки. Код может быть показан на экране или отправлен по почте вместе с инструкцией.

Будет создан код, который позволит адресату получить сумму на баланс.

Разово будет списана указанная сумма и зачислена на баланс пользователя, воспользовавшегося данным промокодом.

Добавить карту
0/2048