Cisco фиксит уязвимость в Emergency Responder (CER), которая позволяет злоумышленникам входить в неисправленные системы с использованием жестко закодированные учетные данные.

CVE-2023-20101 позволяет злоумышленникам, не прошедшим проверку подлинности, получить доступ к целевому устройству с использованием рутовой учетной записи с дефолтными данными, которые нельзя ни изменить, ни удалить.

Компания пояснила, что статические учетные данные были зарезервированы для использования в процессе разработки.

Злоумышленник может воспользоваться этой уязвимостью, используя учетку для входа в уязвимую систему.

Успешный эксплойт может позволить злоумышленнику войти в уязвимую систему и выполнить произвольные команды с правами root.

Дефект был обнаружен внутри компании в рамках тестирования продукта.

При этом PSIRT не располагает информацией о публичном раскрытии информации или каких-либо злонамеренных эксплуатациях, связанных с CVE-2023-20101.

Для ошибки не существует обходных путей, поэтому администраторам рекомендуется как можно скорее обновить уязвимые установки.

Cisco

Cisco Security Advisory: Cisco Emergency Responder Static Credentials Vulnerability

A vulnerability in Cisco Emergency Responder could allow an unauthenticated, remote attacker to log in to an affected device using the root account, which has default, static credentials that cannot be changed or deleted. This vulnerability is due to the…

Сегодня 0-day не только у Apple: австралийская Atlassian тоже была вынуждена озаботиться экстренными обновлениями безопасности для исправления уязвимости максимальной степени серьезности в Confluence.
Как заявили в компании, о проблеме стало известно после того, как несколько клиентов сообщили об инцидентах, когда злоумышленники смогли создать получить доступ к Confluence и расшарить себе админские учетные записи.

Критическая уязвимость повышения привилегий CVE-2023-22515 затрагивает Confluence Data Center и Server 8.0.0 и более поздние версии и описывается как возможность удаленного использования в атаках низкой сложности, не требующих взаимодействия с пользователем. При этом Atlassian Cloud не затронут.

Клиентам, использующим уязвимые версии Confluence Data Center и Server, рекомендуется как можно скорее обновить свои экземпляры до одной из фиксированных версий (8.3.3 или новее, 8.4.3 или новее, 8.5.2 или новее). 

Помимо обновления и применения мер по смягчению применения мер по смягчению последствий, Atlassian также призывает клиентов отключать затронутые экземпляры или изолировать их от Интернет, если немедленное исправление невозможно.

Администраторы могут удалить известные векторы атак, связанные с этой уязвимостью, запретив доступ к конечным точкам /setup/ в экземплярах Confluence,* а также проверить все экземпляры на наличие признаков компрометации.

Исследователи полагают, что в самое ближайшее время злоумышленники будут разбирать патчи, чтобы понять суть проблемы для разработки рабочего эксплойта, учитывая особую востребованность решения среди киберподполья.

Apple выпустила экстренные обновления безопасности для исправления серьезных уязвимостей, включая и новую 0-day, которая использовалась в цепочке эксплойтов в рамках атак на владельцев iPhone и iPad в версиях iOS до iOS 16.6.

CVE-2023-42824 затрагивает ядро XNU и позволяет локальным злоумышленникам повышать привилегии на непропатченных iPhone и iPad.

Несмотря на то, что Apple устранила проблему безопасности в iOS 17.0.3 и iPadOS 17.0.3 с помощью улучшенных проверок, она еще не раскрыла, кто нашел и сообщил об уязвимости.

Список затронутых устройств довольно обширен и включает: iPhone XS и новее, iPad Pro 12,9 дюйма 2-го поколения и новее, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 6-го поколения и новее, iPad mini 5-го поколения и новее.

Вслед за Google и Microsoft Apple также закрыла CVE-2023-5217, вызванную проблемой переполнения буфера кучи в кодировке VP8 библиотеки видеокодеков libvpx с открытым исходным кодом, которая могла допускать RCE после успешной эксплуатации.

CVE-2023-42824 — это уже 17-я уязвимость нулевого дня, используемая в атаках, которые Apple исправила с начала года, причем большая часть из них была связана со spyware.

Как заявили в Apple, обновленная iOS 17.0.3 также устраняет известную проблему, вызывающую перегрев iPhone, который наблюдался в iOS 17.0.2 и более ранних версиях.

Так что обновляемся и ждем подробностей озвученных инцидентов с использованием CVE-2023-42824.

Apple Support

About the security content of iOS 17.0.3 and iPadOS 17.0.3

This document describes the security content of iOS 17.0.3 and iPadOS 17.0.3.

͏Минутка чтения на канале SecAtor

Предлагаем ознакомиться с самыми интересными Telegram-каналами в сфере информационной безопасности и сетевых технологий:

💀 Этичный Хакер — один из крупнейших ресурсов по информационной безопасности в СНГ. Книги, видеоуроки, гайды по пентесту, СИ, защите устройств.

📚 infosec — редкая литература для специалистов в области информационной безопасности любого уровня и направления. Читайте, развивайтесь, практикуйте.

👾 CyberYozh — подборка бесплатных лекций по анонимности, безопасности, хакингу, мультиаккаунтингу от известных экспертов (КиберДед, Люди PRO, Codeby, BespalePhone, VektorT13 и др.).

💻 ServerAdmin — канал практикующего системного администратора и devops инженера, автора сайта serveradmin[.]ru. Авторские заметки, личный опыт и рекомендации.

🤖 Open Source — крупнейший в Telegram агрегатор полезных программ и скриптов с открытым исходным кодом.

͏Пака👋

Группа исследователей из Калифорнийского университета в Ирвине и Университета Цинхуа на Black Hat 2023 представила новую мощную атаку MaginotDNS, которая нацелена на распознаватели условных DNS (CDNS) и может компрометировать целые домены верхнего уровня TLD.

Атака стала возможной благодаря несоответствиям в реализации проверок безопасности в различном ПО DNS и режимах сервера (рекурсивные распознаватели и серверы пересылки), в результате чего уязвима примерно треть всех серверов CDNS.

Концепция включает внедрение поддельных ответов в кеш распознавателя DNS, в результате чего сервер направляет пользователей, которые входят в домен, на неправильные IP-адреса, потенциально приводя их к вредоносным веб-сайтам без их ведома.

Предыдущие атаки подобного типа (атака Кашпурева в 1997 или атака Каминского в 2008) были смягчены путем добавления защиты в реализацию распознавателей и стали достаточно сложными.

Однако MaginotDNS может обойти эту защиту, атакуя режим пересылки CDNS либо по пути, либо вне пути.

Резолверы CDNS поддерживают как рекурсивный, так и режим переадресации запросов, которые используются провайдерами для снижения затрат и контроля доступа.

Исследователи обнаружили, что контрольные проверки адекватно применяются в рекурсивном режиме, однако сервер пересылки уязвим.

Поскольку используется один и тот же глобальный кеш DNS, атака на режим пересылки может открыть путь к нарушению рекурсивного режима, по существу нарушая границу защиты кеша DNS.

Исследователи выявили несоответствия в контрольной проверке известного ПО DNS, включая BIND9 (CVE-2021-25220), Knot Resolver (CVE-2022-32983), Microsoft DNS и Technitium (CVE-2021-43105).

Для большей убедительности своих выводов исследователи продемонстрировали атаку MaginotDNS на примере Microsoft DNS на видео.

Помимо этого, в ходе презентации также привели примеры атак как на пути, так и вне пути, причем последние являются более сложными, но и гораздо более ценными для злоумышленников.

Просканировав глобальную сеть они обнаружили 1 200 000 преобразователей DNS, из которых 154 955 - серверы CDNS. Дальнейший анализ показал, что 54 949 из них уязвимы и подвержены атакам на пути, а 88,3% - атакам вне пути.

Все затронутые поставщики ПО, в свою очередь, подтвердили и исправили недостатки, а Microsoft даже наградила исследователей за отчет.

cve.mitre.org

CVE -CVE-2021-25220

The mission of the CVE***®*** Program is to identify, define, and catalog publicly disclosed cybersecurity vulnerabilities.

Дорогие подписчики, хотелось бы обратиться по поводу вчерашнего поста. К сожалению, мы остались непонятыми.

А ведь вся информация, которую мы хотели довести, была внутри поста.

Сачкуете, подписчики, сачкуете!

Telegram

SecAtor

Долго мы смотрели-смотрели, никак не комментировали, но в конце концов не вытерпели. Хотим обратиться к товарищам из некоторых скороспелых инфосек каналов. Товарищи, зачем же вы так палитесь? Ваш четко выраженный негатив в отношении одних игроков российского…

Очередное утро, когда держатели криптоактивов проснулись в мокром поту после того, как исследователи обнаружили несколько 0-day, затрагивающих крупные платформы, такие как Coinbase, ZenGo и Binance.
Исследователи из Fireblocks сообщили о нарбое недостатков под общим названием BitForge, влияющих на различные популярные криптокошельки, использующие технологию многосторонних вычислений (MPC).

Прозвучит громко, но выявленные недостатки позволяют хакерам красть цифровые активы, хранящиеся на уязвимых кошельках за несколько секунд, причем не зная ни пользователя, ни поставщика. Но пока данных об инцидентах не получено.

Три самых популярных протокола MPC подверженных уязвимостям — это GG-18, GG-20 и Lindell 17.
Пока все же суть проблем - как тайна за семью печатями и в случае если не будут решены, то потенциально приведут к серьезным последствиям для миллионов розничных и институциональных клиентов. Правда PoC на GitHub уже доступны.

Учитывая, что цепочки блоков общедоступны, то держателям крипты действительно есть, о чем переживать.

Известно, что первая уязвимость (CVE-2023-33241), затрагивает пороговые схемы подписи (TSS) GG18 и GG20, которые считаются новаторскими, а также основополагающими для индустрии кошельков MPC, позволяя нескольким сторонам генерировать ключи и совместно подписывать транзакции.

Уязвимость, обнаруженная в протоколе Lindell17 2PC (CVE-2023-33242), имеет аналогичную природу и позволяет злоумышленнику извлечь весь закрытый ключ примерно после 200 попыток подписи.

Второй сценарий нацелен на секретный ключ клиента, используя скомпрометированный сервер для его получения с помощью специально созданных сообщений. Опять же, для полного извлечения ключа требуется 256 запросов.

Если масштаб бедствия подтвердится, то для обнаруживших недостатки специалистов должно быть отдельное место в раю.

FinanceFeeds

Fireblocks warns most popular crypto wallets are exposed to BitForge

Dubbed BitForge, the series of vulnerabilities had impacted popular wallet providers like Coinbase WaaS, Zengo, and Binance. Of these three, only Binance hasn't fixed and resolved the identified issues following the industry-standard 90-day responsible disclosure…

Исследователи Cisco Talos предупреждают о десятках критических и особо серьезных RCE-уязвимостей, затрагивающих промышленный маршрутизатор Milesight UR32L.
Все проблемы были выявлены в рамках более широкого исследования по изучению маршрутизаторов SOHO.
По результатам которого с 2018 года было в общей сложности раскрыто 289 уязвимостей в Asus, D-Link, InHand Network, Linksys, Netgear, Robustel, Sierra Wireless, Siretta, Synology, TCL, TP-Link и ZTE, а OpenWrt, FreshTomato, Asuswrt и NetUSB.
Маршрутизатор UR32L обеспечивает поддержку WCDMA и 4G LTE, порты Ethernet и удаленное управление устройствами, что делает его востребованным для широкого спектра приложений M2M/IoT.

В ходе исследования маршрутизатора UR32L и связанного с ним решения для удаленного доступа MilesightVPN ресерчеры представили более 20 отчетов об уязвимостях, в результате которых было присвоено 69 CVE, из которых 63 влияют именно на промышленный маршрутизатор.

Наиболее серьезной из выявленных проблем является CVE-2023-23902 (оценка CVSS 9,8) и связана с переполнением буфера удаленного стека перед аутентификацией, которая может привести к RCE через сетевые запросы.

За исключением двух ошибок, остальные уязвимости, влияющие на маршрутизатор UR32L, представляют собой недостатки высокой степени серьезности, большинство из которых также могут привести к выполнению произвольного кода или команд.

Уязвимости, затрагивающие MilesightVPN, могут быть использованы для выполнения команд, чтения произвольных файлов, обхода аутентификации и внедрения произвольного кода Javascript.

Злоумышленник может использовать обход аутентификации в программном обеспечении VPN (отслеживается как CVE-2023-22319), а затем выполнять произвольный код на устройстве, используя CVE-2023-23902.

Поставщика уведомили о недостатках в феврале 2023 года, и по началу Milesight не спешили их исправлять. Потом исправились и уже отправили в Talos тестовую версию обновления.