Info sec блог

New attacks on OAuth: SSRF by design and Session Poisoning by https://twitter.com/artsploit: https://t.co/MCjIDMQg3q?amp=1

​​Что-то опять операторы ransomware разбушевались.

Cl0p поломали университеты Колорадо и Майями через дырку в Accellion FTA. Одна из крупнейших американских страховых компаний CNA Financial, имеющая годовой доход в 10 млрд. долларов, пострадала от атаки вымогателя, в результате которой были приостановлены ее бизнес-операции. И даже производитель отказоустойчивых серверов Stratus Technologies словил ransomware и был вынужден отключить часть систем, чтобы предотвратить распространение вредоноса.

Кстати, интересный факт, в своем заявлении Stratus сообщили, что после изолирования зараженного сегмента сети они "приступили к выполнению мероприятий плана по обеспечению непрерывности бизнеса". Это как раз то, про что мы говорили еще в прошлом году - назрела необходимость создания в крупных компаниях отдельного направления в рамках функционала подразделений Business Continuity Management (BCM), которое будет предусматривать отработку процедур восстановления бизнеса в случае атаки вымогателя.

Но круче всех выступил крупный канадский производитель IoT Sierra Wireless (нет, это не те богоспасаемые Sierra Entertainment, которые авторы The Incredible Machine и Phantasmagoria), который ухитрился запустить ransomware в технологический сегмент своей сети, в результате чего встало производство на всех его площадках. При этом еще не понятно, получили ли хакеры доступ к чувствительным данным.

Концепция "ИБ за мелкий прайс" победно шагает по планете с подачи эффективных менеджеров. А то, что потом финансовые прогнозы приходится пересматривать, - так то ерунда. Главное успеть бонус за срезание костов освоить.

Список инфосек рилейтед товаров, которые можно выгодно купить в чёрную пятницу (может кто-то прикупит что-то) https://github.com/0x90n/InfoSec-Black-Friday

New DNS Out-of-Band vector for MSSQL Injections in SELECT statement! Can be used for completely blind #sqli.

Use fn_trace_gettable and Burp Collaborator

Окей, эта история просто заслуживает войти в the best этого канала!

Короче, некто сжёг автомобиль у дома свидетеля, который проходит по делу певца R. Kelly. Федеральные органы запросили у Гугл информацию о всех пользователях, которые искали в Гугле адрес, по которому проживает этот свидетель, в рамках времени, когда произошёл поджог. Этот запрос с ордером привёл к запросу с определённого IP-адреса в соседнем штате за пару дней до поджога. IP адрес принадлежал телефону, который был записан на некоего гражданина. Который оказался родственником издателя певца R. Kelly. Затем представители правоохранительных органов проанализировали логи с базовых станций вокруг дома, где был подожжен автомобиль. Сюрприз-сюрприз, в логах БС оказался тот же телефон, принадлежащий уже установленному гражданину, и по логам он там фигурировал прямо во время поджога. Агенты арестовали его, и в телефоне обнаружилась информация о поездке в день поджога, с остановкой возле места, где произошёл поджог. Такой вот цифровой след. Детали расследования по ссылке в документе

https://www.documentcloud.org/documents/7222789-Another-R-Kelly-Search-Warrant.html

Забавная статья о взломе softserve https://ebanoe.it/2020/09/17/softserve-leaks/

Mind-blowing статья на тему предугадывания выигрышных комбинаций в рулетках онлайн казино 🎰 https://research.nccgroup.com/2020/09/18/online-casino-roulette-a-guideline-for-penetration-testers-and-security-researchers/

https://blog.twitter.com/en_us/topics/company/2020/an-update-on-our-security-incident.html

https://blog.twitter.com/en_us/topics/company/2020/an-update-on-our-security-incident.html

Опубликовал исследование на тему безопасности двухфакторной аутентификации👀 Приятного чтения!
https://habr.com/ru/post/483134/

XSS с помощью названия закладки и cookie-based XSS на странице новой вкладки в Microsoft edge
https://leucosite.com/Edge-Chromium-EoP-RCE/

Lifetime account Shodan за $1 https://shodan.io/store/member, предложение действует 24 часа

Отправил только что ещё 2 disclosure запроса, - уязвимости на Avito и Rocket Chat.

Bug bounty tip: Всегда проверяйте разрешённые сайты в CSP policy. Есть вероятность, что домен/бакет не зарегистрирован или CSP ссылается на хранилище файлового хостинга. Например, недавно обнаружил CSP, доверительный домен в которой был raw.githubusercontent.com.

Раскрыл старый, но тем не менее актуальный репорт на hackerone "Blind SQL injection in third-party software, that allows to reveal user statistic from rocket.chat and possibly hack into the rocketchat.agilecrm.com" https://hackerone.com/reports/433792. Изначально разработчики отказывались от раскрытия, но удалось их убедить. Попытаюсь раскрыть еще несколько репортов в ближайшем будущем.

Отпечаток пальца был отключен в последнем обновлении два дня назад, устройство, на котором наблюдается - IOS

Спустя несколько лет после выпуска приложения Приват24 разработчики Приватбанка удалили с приложения вход по отпечатку пальца. Ранее отправлял уязвимости в Bug Bounty, связанные со злоупотреблением данного функционала, но мне ответили что это фича и баг не собираются исправлять. Теперь его закрыли 🤷‍♂️

На самом деле, такой подход к клиентам действует намного лучше, чем любая платная реклама в соцсетях/рекламных сетях/билбордах/etc. Из-за должного отношения люди советуют твой продукт и он распространяется со скоростью света из-за коммуникации между людьми.

Насколько я помню, такого принципа придерживается Павел Дуров. Он не тратит деньги на рекламу Телеграм, а надеется на распространение с помощью пользователей, так как мессенджер удобный и конкурентноспособный.