Статьи по уязвимостям
Давно хотел начать рассказывать о самых эпических уязвимостях и дырах, которые валят после 20х годов как из «Рога Изобилия» — с демонстрацией реального выполнения.
Ниже план по таким статьям со ссылками на конкретные CVE.
Во всех случаях речь идет про уже раскрытые для широкой публики уязвимости, не 0day.
Хотя вопрос последствий и ответственности остается открытым:
во многих случаях исправление лишь фиговый листок, приклееный наспех на причинное место.
Все описываемые уязвимости подтверждены и имеют официальный статус «Полный Пэ» (Critical), поскольку в большинстве случаев речь идет о старом добром ультранисилии RCE.
Next.js и обход авторизации
Даже если мой труп оживят через тысячу лет, вернувшись я буду четко уверен лишь в трех вещах: все вокруг пьют и воруют, а в Node.js нашли новую дыру.
Неважно кто именно будет править Землей к тому времени: роботы, рептилоиды или Илон Маск — при любом режиме и любом раскладе в Node.js и проектах на нем всегда будут самые адские дыры.
Прошлогодний CVE и то как он был исправлен — отличное тому подтверждение.
"Looney Tunables": Пониже колена повыше пупка
Локальная эскалация привилегий в ОС — редкий гость среди современных уязвимостей, можно сказать событие. Поскольку по убойности напоминает выстрел из дробовика в упор.
Еще это «старая школа» с эксплоитом на чистом С и шеллкодом на ассемблере — полный «back to roots», чистое хакерство, каким оно было в 90е.
Специально для желающих рассказать про «оно давно починено и исправлено», показываю в действии эту уязвимость именно там где нашел — в подсистеме WSL.
Не знали, что линукс внутри WSL тоже надо обновлять?
C3P0: Мал да вонюч
Новая серия «Санта Барбары» — бесконечного сериала про дыры в десериализации или как превратить ваш пул подключений в элегантный реверс-шелл:
During the deserialization process, c3p0 attempts to build the ObjectFactory to create the connectionPoolDataSource, using the values from the attacker-controlled reference. Since we provide a classFactoryLocation in the reference, the URLClassLoader will fetch the bytecode from an attacker-controlled system and instantiate a new object—just like in the good old days.
JinJava , RCE и HubSpot CMS
Этот год точно станет тяжелым для админов HubSpot CMS, поскольку в библиотеке, отвечающей за парсинг шаблонов страниц недавно нашли адски серьезную дыру:
allows arbitrary Java class instantiation and file access bypassing built-in sandbox restrictions
Поскольку JinJava используется далеко не только там, эротические приключения ожидают очень многих.
Зато «девочки, отвечающие за сайт» теперь тоже смогут стать разработчиками и писать код — ну разве не весело?
Шатаем H2O - MachineLearning Platform
(Выложен в паблик месяц назад)
Почему-то так получается, что самые широкие дыры встречаются в самом "умном" софте:
A vulnerability in h2oai/h2o-3 version 3.46.0.1 allows remote attackers to write arbitrary data to any file on the server.
Видишь плашку AI/ML — жди невообразимого масштаба «gaping hole», растягиваемую двумя руками навстречу пентестеру.
XDocReport и божья роса
Показываю на конкретном примере, почему не стоит просто так и без оглядки использовать чужие библиотеки:
A Server-Side Template Injection (SSTI) vulnerability in the FreeMarker component of opensagres XDocReport v1.0.0 to v2.1.0 allows attackers to execute arbitrary code via injecting crafted template expressions.
На сладкое добавлю, что авторы XDocReport — библиотеки, выстроенной вокруг чужого полузакрытого формата, предсказуемо плевать хотели на обратную совместимость и ломали ее множество раз.
Поэтому "in the wild" и через десять лет будут встречаться уязвимые версии.
