Skip to content

Tag: rce

Ataki na Cisco RV320/RV325

25 stycznia pojawił się w sieci eksploit na podatności routerów Cisco RV320 i RV325: CVE-2019-1652 oraz CVE-2019-1653. Wykorzystanie eksploita pozwala wykonać zdalnie dowolne polecenie na urządzeniu oraz pobrać konfigurację urządzeń z danymi uwierzytelniającymi (hash MD5). Praktycznie natychmiast pułapki (honeypots) utrzymywane przez zespół Bad Packets zaczęły wykrywać skanowanie w poszukiwaniu podatnych urządzeń. Szacuje się, ze jest ich ponad dziewięć tysięcy z czego 233 w Polsce (stan na 26 stycznia). Przejęcie kontroli na routerem umożliwia jego wykorzystanie w botnecie – zdalnie zarządzanej sieci urządzeń wykorzystywanych do ataków, w tym DDoS. Należy jak najszybciej zastosować aktualizacje opublikowane przez Cisco: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190123-rv-inject https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190123-rv-info

Jest grubo: Zero Click RCE przez WiFi

Denis Selianin z Embedi opublikował sposób wykorzystania luki w systemach czasu rzeczywistego opartego o ThreadX. Luka pozwala na zdalne wykonanie kodu (RCE) bez interakcji użytkownika. ThreadX? Nie znam. To na pewno nie na moim sprzęcie. ThreadX to system czasu rzeczywistego wykorzystywany w oprogramowaniu układowym (firmware) wielu urządzeń, także układów zintegrowanych do komunikacji bezprzewodowej (WiFi/Bluetooth/NFC). Na stronie producenta podana jest liczba … 6,2 miliarda urządzeń używających ThreadX. Badacz bezpieczeństwa postanowił „wziąć na warsztat” układ Marvell 88W8897, który działa właśnie w oparciu o ThreadX. Jest to bardzo popularny chip instalowany w wielu urządzeniach znanym głównie graczom. SteamLink, Surface, Chromebook, Xbox, Playsation, Galaxy…

Pierwszy Patch Tuesday Microsoftu w 2019

Microsoft opublikował comiesięczne biuletyny bezpieczeństwa, aktualizacje likwidują 49 podatności. Osiem z nich oznaczone jest jako krytyczne: Zdalne wykonanie kodu w silniku skryptów Chakra (w przeglądarce Microsoft Edge): CVE-2019-0539, CVE-2019-0567, CVE-2019-0568 Systemowy stosu usług: ADV990001 Zdalne wykonanie kodu przez błąd obsługi pamięci w Microsoft Edge: CVE-2019-0565 Zdalne wykonanie kodu w kliencie DHCP, przez spreparowany komunikat: CVE-2019-0547 Zdalne wykonanie kodu na hoście Hyper-V przez spreparowaną aplikację na systemie gościa: CVE-2019-0550, CVE-2019-0551 Pomimo informacji o braku dowodów na obecność eksploitów na wykryte podatności zalecamy jak najszybsze przetestowanie i wdrożenie aktualizacji systemów. Istnieją firmy, które skupują eskploity wykorzystujące takie podatności za ogromne pieniądze i…