Apache Airflow SSTI to RCE (CVE-2024-39877)

Сегодня рассмотрим CVE-2024-39877 (оценка по CVSS=8.8), которая позволяет получить RCE через эксплуатацию SSTI в контексте компонента Scheduler Apache Airflow

Apache Airflow - это ПО на python для создания, выполнения, отслеживания и управления операциями по обработке данных, созданное в 2014 году в Airbnb, которое получило широкое распространение в различных компаниях по всему миру.

Суть уязвимости заключается в отсутствии санитизации при обработке параметра doc_md, который создает описание DAG (Directed Acyclic Graph) в веб-интерфейсе Apache Airflow. Если doc_md не имеет расширения .md Airflow создает темплейт из содержимого jinja2.Template(doc_md) что приводит к SSTI:

doc_md=""" {{ ''.__class__.__mro__[1].__subclasses__() }} """

Этот пейлоад позволяет получить список всех классов с помощью MRO (resolution order), далее докручиваем до command injection с помощью доступных опасных методов (popen, run, call, check_call и пр)

Для успешной эксплуатации необходимо иметь права на создание DAG'ов на сервере Apache Airflow, что не позволяет использовать багу для пробива, но в качестве способа нестандартного закрепления вполне рабочий метод?

? Уязвимые версии ПО: Apache Airflow 2.4.0 до версии 2.9.3
✅ Рекомендации: Патч уже доступен, необходимо обновиться до версии 2.9.3

Penetration Testing and CyberSecurity Solution - SecureLayer7

CVE-2024-39877: Apache Airflow Arbitrary Code Execution

Apache Airflow is an open-source platform for programmatically authoring, scheduling, and monitoring workflows. While it offers robust features for managing complex workflows, it has experienced...

В конце прошлой недели состоялась церемония вручения наград победителям премии Pentest Award by Awillix

Мероприятие прошло на высшем уровне, море позитивных эмоций, было очень приятно встретить старых друзей и завести новых!

Огромное спасибо ребятам из компании Awillix за организацию такого крутого ивента❤️
Благодаря вам наша отрасль растет и развивается, в пентест приходят новые люди вдохновленные подобными инициативами. Это очень круто, респект!?

Еще раз хотел поздравить всех победителей! ?
А также поблагодарить всех участников за крутые кейсы, которые было очень интересно читать и оценивать❤️‍?

До встречи на Pentest Award 2025?

award.awillix.ru

Awillix Award

Первая в России премия для пентестеров. Мы сделали Pentest Awards, чтобы этичные хакеры наконец смогли заявить о себе, рассказать о своих достижениях и получить признание отрасли.

На Positive Hack Days Fest 2 участвую в дискуссии - Как защитить основной канал бизнес-коммуникаций

Мы с коллегами поговорим о методах и стратегиях обеспечения безопасности электронной почты как основного средства коммуникации в современных организациях. Обсудим актуальные угрозы и вызовы и поделимся лучшими практиками и инновационными подходами к защите.

Ключевые вопросы для обсуждения:

✅ Какие основные угрозы и уязвимости существуют в сфере безопасности электронной почты и как их можно преодолеть?
✅ Какие технические и организационные меры защиты можно применить для обеспечения конфиденциальности, целостности и доступности электронной почты?
✅ Как обучить персонал организации основам безопасности электронной почты и повысить их осведомленность о потенциальных угрозах?
✅ Какие инновационные технологии и методы могут помочь в обнаружении и предотвращении атак (фишинг и спам)?
✅ Какие стратегии мониторинга и реагирования можно применить для быстрого обнаружения инцидентов безопасности и реагирования на них?
✅ Как проверить, что электронная почта действительно защищена?

⏰ 23 мая, 12:25–13:25
? Киберарена, зал Галактика

До встречи на PHDays Fest 2 ???

phdays.com

Positive Hack Days

Международный фестиваль по кибербезопасности для всех, кто хочет погрузиться в мир кибербеза и круто провести время

From Zero to Hero: Phishing Campaign

Сегодня хотел бы поделиться отличным гайдом от ребят из Onsec по подготовке и проведению фишинговых кампаний в рамках тестирований на проникновение.

Руководство представляет собой серию постов содержащих подробные инструкции:

? Preparation
Цели, сбор информации и подготовка списка контактов, ожидаемые результаты кампании, метрики и отчет
? Technical Implementation
Инфраструктура, конфигурация компонентов GoPhish и Evilginx3, настройка Cloudflare Turnstile, подготовка сценария и претекста, готовый phishlet для Google Auth, необходимая кастомизация и скрипты автоматизации для создания групп и уникальных идентификаторов (unique_id) для каждого получателя в списке контактов через API GoPhish
? Results & Recommendations
Результаты кампании и рекомендации

Таким образом, получилось детальное руководство по проведению эффективных фишинговых кампаний без лишней воды и неактуальной информации, очень рекомендую?

PS: Отдельное спасибо за рекомендацию ZOHO Mail и особый респект за сценарий с Awareness Training?

ONSEC.io

From Zero to Hero: Phishing Campaign. Part 1

Chapter 0: Introduction Warning: This material is provided for informational purposes only. Only repeat these actions in practice with proper authorization and agreement! The author is not responsible for the consequences of applying the information obtained…

В этом году на Positive Hack Days Fest 2 выступаю с докладом Trust no one: Red Teaming инфраструктура на стероидах

Многие современные компании успешно реализуют концепции Zero Trust и BeyondCorp относительно сегментирования сетей, управления и контроля доступов в соответствии с принципами наименьших привилегий для уменьшения поверхности потенциальных атак. Но к сожалению злоумышленники тоже стараются следовать модным трендам в дизайне архитектуры своей атакующей инфраструктуры и подходах к разработке и распространению вредоносного ПО. Также используют подходы к автоматизированному анализу украденных данных с использованием ML алгоритмов и постоянно совершенствуют способы сокрытия взаимодействия имплантов с серверами управления. В этой бесконечной игре в кошки-мышки для любой зрелой компании крайне важно быть готовыми к противостоянию с атакующими, которые используют подобные методы.

В докладе речь пойдет о создании архитектуры и администрированию инфраструктуры для проведения тестирований на проникновение в формате Red Teaming в соответствии с лучшими практиками Zero Trust, инструментах автоматизации Malware development и развертыванию атакующей инфраструктуры в лучших традициях DevOps. Мы поговорим о способах обеспечения максимально скрытной коммуникации с С2 серверами атакующих для противодействия обнаружению.
Познакомимся с инструментами для структурирования и автоматизированной аналитики полученных в ходе тестирования данных в разрезе возможностей их обогащения и использования для развития дальнейших атак.

Таким образом, на основе результатов подобного Red Teaming тестирования оценивается возможность противостоять продвинутым злоумышленникам и формируются рекомендации и актуальные способы своевременного обнаружения и противодействия группировкам использующим в своем арсенале подобные технологии.

Увидимся на PHDays Fest 2 ???

phdays.com

Positive Hack Days

Международный фестиваль по кибербезопасности для всех, кто хочет погрузиться в мир кибербеза и круто провести время

Summoning RAGnarok With Your Nemesis

Такой провокационный заголовок получил пост SpecterOps с описанием функциональности LLM чат бота RAGnarok для удобного поиска по индексу данных, которые агрегирует Nemesis.
RAGnarok - это ~~такой Судный день, если бы Терминатора? снимали в Скандинавии~~ чат бот, который использует RAG (retrieval\-augmented generation) метод работы с LLM, когда пользователь пишет свой вопрос, а под капотом к этому вопросу добавляется дополнительная информация из каких‑то внешних источников и подается все целиком на вход как промт для языковой модели. Другими словами RAG должен найти соответствующую информацию в проиндексированных Nemesis данных и подать на вход LLM не только вопрос пользователя, но и релевантную запросу часть содержимого базы данных, чтобы LLM могла сформировать правильный и релевантный ответ.

RAGnarok использует openchat\-3.5\-0106, intel/neural\-chat\-7b\-v3\-3, Starling\-LM\-7b\-alpha, reranker на основе BAAI/bge\-reranker\-base и embedding model на основе TaylorAI’s gte\-tiny. Остальные подробности относительно архитектуры и выбора компонентов можно найти в блоге?
Простыми словами, это просто чатик в веб-интерфейсе, который поднимается локально и подключается к API Nemesis. Он с трудом работает без GPU, падает когда упирается в потолок по RAM при обработке тяжелых запросов и позволяет искать информацию по данным Nemesis через интерфейс чат бота?

Мое мнение после экспериментов с RAGnarok - это прикольно? Но практической пользы от его использования не много, за исключением формулировок для Executive Summary части отчета по проекту? Все тоже самое можно делать через поиск по интерфейсу Nemesis, хотя если добавить бота для Telegram, прикрутить OpenAI Whisper API для распознавания голосовых сообщений и какой-нибудь аналог GPT\-4 Vision может получится такой личный "AI секретарь" Red Team оператора?

Medium

Summoning RAGnarok With Your Nemesis

With the explosion of large language model (LLM) use, everyone is rushing to apply LLMs to their specific industry and it’s the same for…

Исследователи из WIZ сделали небольшой онлайн CTF "Kubernetes LAN Party" на тему Kubernetes Security. Он довольно обширно и нетривиально покрывает вопросы сетевой безопасности в Кубере. Разведка в скомпропетированном Pod, обход Istio и Lateral Movement с помощью Kyverno – всё это есть в этом CTF. Ничего дополнительно устанавливать не требуется, терминал доступен прямо из браузера.

Сами мы уже прошли челлендж, и однозначно рекомендуем пройти его всем, кто так или иначе имеет дело с безопасностью контейнеров и Kubernetes.

P.S – Хотите увидеть прохождение данного CTF от нас?