OnHex

2023-01-12 10:28:28 P@s$w0rds at the U.S. Department of the Interior: Easily Cracked Passwords, Lack of Multifactor Authentication, and Other Failures Put Critical DOI Systems at Risk

دفتر بازرس کل وزارت کشور آمریکا یه گزارشی در خصوص وضعیت پسوردهای وزارت کشور منتشر کرده.

این آژانس هش پسورد 85,944 اکانت اکتیودایرکتوری کارمندان وزارتخونه رو جمع آوری کرده. بعدش شروع به کرک این هش ها از طریق 1.5 میلیارد کلمه ، کردن.

این کلمات رو از موارد زیر بدست آوردن :
- کلمات موجود در فرهنگ لغت از چندین زبان
- اصطلاحات دولت آمریکا
- کلمات عامیانه
- لیست پسوردهای افشا شده قبلی
- الگوهای رایج صفحه کلید . (مثلا qwer)

در مجموع 18174 هش ، یعنی 21 درصد ، از 85944 هش ، کرک شد. از موارد کرک شده ، 288 موردش دارای امتیاز بالا بودن.362 موردش متعلق به کارمندان ارشد بودن. تو این بررسی در عرض 90 دقیقه تونستن 16 درصد از هش ها رو کرک کنن.

تو این بررسی متوجه شدن که از 28 دارایی با ارزش ، 25 موردش یعنی حدود 89 درصد ، از MFA استفاده نمیکنن.

متداولترین پسوردهای استفاده شده ، بهمراه میزان استفاده اونا :

Password-1234 | 478
Br0nc0$2012 | 389
Password123$ | 318
Password1234 | 274
Summ3rSun2020! | 191
0rlando_0000 | 160
Password1234! | 150
ChangeIt123 | 140
1234password$ | 138
ChangeItN0w! | 130

برای شکستن این پسوردها در کل کمتر از 15000 دلار هزینه شده. برای کرک اینا از یه دستگاه با دو ریگ که هر کدوم 8 تا GPU داشته و یه کنسول مدیریتی استفاده کردن.

با استفاده از GPU های نسل دو و سه که هم اکنون تو بازار هستش ، اینا توسنستن با این دستگاه با سرعت 240GHs هش های NTLM با 12 کارکتر و 25.6GHs تونستن 10 گیگ دیکشنری و یه فایل قوانین 3 مگی رو تست کنن. البته سرعت در طول آزمایش متفاوت بوده.

99.99 درصد پسوردهای شکسته شده با الزامات پسورد این سازمان مطاقبت داشته . یعنی حداقل 12 کاراکتر و دارای حروف بزرگ و کوچک و عدد و کاراکتر خاص.

این بررسی این نکته رو نشون میده که این الزامات در برابر حملات بروت فورس جوابگو هستن ، که در اون مهاجم کاراکترها رو دونه به دونه بررسی میکنه. اما الان مهاجمین با استفاده از قدرت پردازشی و پسوردها و کلمات رایج میتونن اونارو راحتتر کرک کنن.

علاوه بر موارد بالا ، عدم تعویض پسورد هر 60 روز هم یکی از موارد امنیتی بوده.

توصیه شده از پسوردهای طولانی ، با کلمات تصادفی استفاده بشه. همچنین برای هر حساب یه پسورد منحصر به فرد استفاده بشه و در صورت امکان از برنامه های مدیریت پسورد خوب استفاده بشه.

گزارش هم در ادامه در کانال قرار دادم.

@onhex_ir باز کردن / نظر دهید

2023-01-11 13:30:00 Cyber Intelligence Briefing Special: Lorenz Opens Old Backdoors

محققای S-RM یه گزارشی منتشر کردن و اعلام کردن که رفع آسیب پذیری های حیاتی در حملات باج افزاری ممکنه کافی نباشه.

علت این امر هم بررسی حملات باج افزار Lorenz هستش. این گروه با استفاده از آسیب پذیری CVE-2022-29499 یه هفته قبل از اصلاح آسیب پذیری ، یک بکدور در سیستم قرار داده و بعد از 5 ماه شروع به حرکات جانبی ، سرقت داده و رمزگذاری داده های قربانی کردن.

وقتی حمله اصلی رخ داده ، هیچ آسیب پذیری تو سیستم نبوده و گروه بعد از 5 ماه ، ظرف 48 ساعت ، باج افزار رو رو سیستم های قربانی مستقر کردن.

محققا گفتن به دلیل غیرفعال بودن طولانی دسترسی، ممکنه این گروه این دسترسی رو از یه واسط خریده.

محققا گفتن که بازیگران تهدید با گزارش آسیب پذیری های جدید ، اینترنت رو برای کشف و حمله به اونا بررسی میکنن و بعد از گرفتن دسترسی اولیه ، اونارو نگه میدارن تا در یه فرصت مناسب حمله اصلی رو روشون پیاده کنن.

به همین دلیل توصیه شده علاوه بر اصلاح آسیب پذیری های حیاتی ، محیط هم بررسی بشه تا احتمال سوء استفاده و دسترسی اولیه در صورت وجود ، شناسایی بشه.

@onhex_ir باز کردن / نظر دهید

2023-01-11 11:30:00 TROJANPUZZLE: Covertly Poisoning Code-Suggestion Models

با ظهور پروژه های هوش مصنوعی مانند GitHub's Copilot و OpenAI's ChatGPT ، این ایده مطرح شد که این پروژه ها امکان ایجاد کدهای ناامن رو هم ممکنه داشته باشن.

این پروژه ها با یسری کد عمومی آموزش داده میشن و در نتیجه ممکنه تو این کد ها موارد ناامن هم باشه و سیستم بتونه کد ناامن ایجاد کنه. برای رفع این مورد از تکنیک های مبتنی بر امضای و آنالیز استاتیک استفاده میکنن.

حالا تو این مقاله یه روشی رو پیدا کردن که از طریق رشته های Docstrings برای آموزش دادن استفاده میکنن. این رشته ها ، برای توضیحات در کد استفاده میشن و ابزار های استاتیک اونارو نادیده میگیرن، اما مدل یادگیرنده، یاد میگیره که اونارو هم جز مدل یادگیری حساب بکنه. در نتیجه امکان پیشنهاد کدهای ناامن رو هم پیدا میکنه.

@onhex_ir باز کردن / نظر دهید

2023-01-11 10:06:18 lexmark printer haxx

رایت آپ و اکسپلویت برای پرینترهای Lexmark 'MC3224adwe'

این آسیب پذیری در طول مسابقات Pwn2Own Toronto 2022 کشف شده اما اکسپلویتش اونجا کار نکرده و ZDI مبلغ کمی رو برای خرید داده. طرفم شاکی شده ، همه رو گذاشته تو گیت هابش.

@onhex_ir باز کردن / نظر دهید

2023-01-10 16:30:00 Awesome IDA, Ghidra, x64DBG, GDB & OllyDBG plugins

تو این مخزن پلاگینهای جالب و کاربردی برای IDA و Ghidra و x64DBG و GDB و OllyDBG رو لیست کرده.

@onhex_ir باز کردن / نظر دهید

2023-01-10 13:30:00 UK gov website being used to phish porn site creds

بازیگران تهدید با استفاده از آسیب پذیری open redirect روی سایت رسمی دپارتمان محیط‌زیست، غذا و امور روستایی بریتانیا (DEFRA) برای هدایت بازدیدکنندگان به یه سایت جعلی OnlyFans سوء استفاده کردن.

محققای Pen Test Partners این آسیب پذیری رو کشف و گزارش دادن. نحوه کشفشون هم اینجوری بوده که تو نتایج جستجوی گوگل مشاهده کردن که این سایت داره محتوای بزرگسالان رو تبلیغ میکنه ، که با بررسی متوجه این آسیب پذیری شدن.

نمونه آسیب پذیری :

http://riverconditions.environment-agency.gov.uk/relatedlink.html?class=link&link=https://pentestpartners.com

از جمله سایتهای جعلی هم :

kap5vo.cyou
https://rvzqo.impresivedate[.]com

اغلب سایتهای gov.uk گزارشهای امنیتی رو از طریق هکروان دریافت میکنن اما این سایت تو برنامه باگ بانتی این سایت نبوده.بنابراین 24 ساعت زمان کشیده تا آسیب پذیری کشف و گزارش و به دستشون برسه. بعد از گزارش هم مجبور شدن سایت رو افلاین کنن.

تو این فاصله یه محقق دیگه هم این آسیب پذیری رو کشف کرده و در توییتر منتشر کرده.

@onhex_ir باز کردن / نظر دهید

2023-01-10 11:30:00 Leaked a secret? Check your GitHub alerts…for free گیتهاب تو بخش امنیتش یسری بهبودهایی داده از جمله اجباری کردن 2FA برای توسعه دهندگان و اسکن رایگان اطلاعات حساس برای مخازن عمومی. برنامه اسکن اطلاعات حساس ، میتونه توکن ها ، اعتبارنامه ها و ... رو تو… باز کردن / نظر دهید

2023-01-10 09:57:05 Initial access techniques in Kubernetes environments used by Kinsing malware

تیم Defender for Cloud مایکروسافت یه هشداری در خصوص افزایش فعالیت بدافزار Kinsing داده.

این بدافزار لینوکسی با استفاده از آسیب پذیری های شناخته شده در کانتینرها و پیکربندی اشتباه که منجر به افشای کانتینرهای PostgreSQL میشه ، به کلاسترهای Kubernetes حمله میکنه و از منابع اونها برای استخراج کریپتو استفاده میکنه.

این بدافزار به دلیل استفاده از آسیب پذیری های Log4Shell و Atlassian Confluence RCE در گذشته ، معروف هستن.

تله متری Defender for Cloud مایکروسافت گفته که بازیگران تهدید برای دسترسی اولیه اغلب سراغ آسیب پذیری های اجرای کد هستن و بیشتر از اکسپلویت برنامه های زیر استفاده میکنن :
- PHPUnit
- Liferay
- Oracle WebLogic (CVE-2020-14882 , CVE-2020-14750,CVE-2020-14883)
- WordPress

برای رفع این مشکلات ، بروزرسانی و بررسی امنیتی کلاسترها و imageها میتونه کمک کنه.

در خصوص پیکربندی اشتباه PostgreSQL ، عوامل تهدید اغلب سراغ trust authentication میرن. تو این پیکربندی هرکسی که بتونه به سرور متصل بشه مجاز به دسترسی به پایگاه داده هستش.

پیکربندی اشتباه بعدی اختصاص رنج IP گسترده برای دسترسی هستش که به عوامل تهدید امکان دسترسی رو میده.

مایکروسافت گفته اگه پیکربندی IP هم سخت گیرانه باشه ، Kubernetes همچنان تحت تاثیر حملات ARP poisoning هستش که امکان جعل برنامه های داخل کلاستر رو برای دسترسی میده.

برای رفع این آسیب پذیری ها توصیه شده از دستورالعمل های امنیتی خود پروژه استفاده بشه.

مایکروسافت گفته که Defender for Cloud امکان شناسایی پیکربندی های اشتباه در کانتینرهای PostgreSQL رو داره.

همچنین با استفاده از این مقاله از BigBinary ، میتونید این بدافزار رو از کانتینرهاتون پاک کنید.

@onhex_ir باز کردن / نظر دهید

2023-01-09 11:29:59 Centos Web Panel 7 Unauthenticated Remote Code Execution - CVE-2022-44877

آسیب پذیری با شناسه CVE-2022-44877 در Control Web Panel (CWP) کشف شده که امکان اجرا دستورات سیستمی رو به مهاجم احراز هویت نشده میده.

این پنل قبلا CentOS Web Panel نامیده میشد و در هر دو نسخه رایگان و تجاری استفاده میشد. پنل بصورت متن باز هستش و برای مدیریت راحت و سریع سرورها (اختصاصی و مجازی) بدون نیاز به SSH بکار میرفت. گزینه های مختلفی هم برای اینکار داره مثلا مدیریت phpMyAdmin ، Apache و MySQL و SSL و DNS و مدیریت دسترسی ادمین و کلاینتها و ...

آسیب پذیری در مولفه /login/index.php هستش و نسخه های Centos Web Panel 7 قبل از v0.9.8.1147 رو تحت تاثیر قرار میده.

مهاجم میتونه با ارسال درخواست HTTP این آسیب پذیری رو اکسپلویت کنه. یه POC و ویدیو هم براش منتشر شده.

برای اصلاح این آسیب پذیری ، باید به نسخه v0.9.8.1147 یا بالاتر بروزرسانی بکنید. نسخه های جدید رو میتونید از اینجا مشاهده کنید.

@onhex_ir باز کردن / نظر دهید

2023-01-09 09:59:27 Analysing Shellcode to understand how they call windows API's

تو این پست به بررسی نحوه فراخوانی Windows APIها توسط شل کدها پرداخته.

@onhex_ir باز کردن / نظر دهید