W telegraficznym skrócie: ImageMagick to popularna biblioteka służąca do obróbki obrazów. Podatność, o której mowa w tytule została załatana w listopadzie 2022 roku. W tytule posta jest małe oszustwo ;-] sam upload obrazka nic nie daje, obrazek musi być jeszcze przetworzony przez podatną bibliotekę ImageMagick (wystarczy np. zmiana rozmiarów uploadowanego…

Opis na serwisie Hackerone jest dość enigmatyczny: By using IPv4-mapped IPv6 addresses there was a way to bypass Cloudflare server’s network protections and start connections to ports on the loopback (127.0.0.1) or internal IP addresses (such as 10.0.0.1) Cloudflare zdecydował się jednak przygotować nieco dłuższy opis podatności, która została zgłoszona…

Tym razem otrzymaliśmy od jednego z naszych Czytelników próbkę złośliwego oprogramowania wykradającego poświadczenia przechowywane w przeglądarkach i jest to stealer podobny do opisywanego już wcześniej. Nota bene: przed publikacją artykułu, wysłaliśmy powiadomienia do zespołów CERT Polska, CSIRT KNF oraz CERT Orange. Tak jak w poprzednim przypadku, malware rozsyłany jest e-mailami…

Jak czytamy: Changes since OpenSSH 9.1 fix a pre-authentication double-free memory fault introduced in OpenSSH 9.1. This is not believed to be exploitable, and it occurs in the unprivileged pre-auth process that is subject to chroot(2) and is further sandboxed on most major platforms. Nieco więcej o problemie pisze Qualys:…

Zazwyczaj telefony IP nie działają w całkowitej próżni – tzn. mogą z centralnego miejsca pobierać konfigurację, wysyłać tam swoje kopie zapasowe, … Badacze ekipy AssetNote znaleźli prostą możliwość wykonania dowolnego kodu na takim „centralnym miejscu” (serwer Avaya Aura, a dokładniej: Avaya Aura Device Services (AADS)). Wystarczyło następujące żądanie HTTP, które…

Jeden z czytelników podesłał nam taką próbkę: No właśnie, jeśli kogoś „wspomnimy” w dokumencie Google Docs, otrzyma on stosowne powiadomienie mailowe (przychodzi ono z domeny @docs.google.com) Sam link – ponownie dla niepoznaki prowadzi do domeny script.google.com (gdzie można za pomocą JavaScriptu programować proste czynności na platformie Google). Atak nie jest…

Podatność została zlokalizowana w Accounts Center, gdzie można było dodać do swojego konta numer telefonu. Na telefon wysyłany był 6-cyfrowy kod potwierdzający, że dana osoba jest właścicielem numeru. Ale – i tu dochodzimy do istoty problemu – Facebook (czy raczej Meta) nie zaimplementował mechanizmu anty-bruteforce. Zatem: Wybranie numeru telefonu konta-celu…

Większy research tematu znajdziecie w tym poście: PHP Development Server <= 7.4.21 – Remote Source Disclosure W formie graficznej, stosowne żądanie które wyświetli źródło pliku PHP wygląda tak: Co tu się wydarzyło? Od strony technicznej mamy tu do czynienia z całkiem normalną funkcją HTTP Pipelining (czyli wysyłanie kilku żądań HTTP…

Serwis Elevenlabs ogłasza się następująco: Jak widać potrzebna jest aż (tylko?) minuta głosu – aby go sklonować (tj. wypowiadać nim dowolną frazę, którą wpisujemy z klawiatury): Oczywiście wymagane jest odznaczenie potwierdzenia, że mamy prawo do używania danego głosu, ale część osób niezbyt się przejmuje tego typu checkboxami. Engadget donosi np….

Poniżej subiektywny wybór newsów / ciekawostek / ostrzeżeń, które publikowaliśmy w styczniu 2023r. na sekuraku. Jeśli podoba się Wam zestawienie – podeślijcie linka znajomym oraz koniecznie dajcie znać w komentarzu. Jeśli Wasz odzew będzie pozytywny – będziemy kontynuować tego typu zestawienia (częściej niż raz na miesiąc :-) SEKURAK (scamy, ciekawostki,…

Być może pamiętacie scamy które opisywaliśmy w kontekście prób ataków na klientów mBanku: Uważne oko dostrzeże w adresie kropkę lub przecinek (więcej o temacie: punycode). Tymczasem zobaczcie na ten (cały czas aktywny) scam, próbujący nabrać użytkowników Ledgera: Wprawne oko wykrywacza scamów wyłapie dziwną literę i w adresie powyżej. Nieco dokładniej…

Palo Alto opublikowało właśnie analizę wariantów pewnego malware. Otwierasz pendrive i widzisz coś takiego jak na zrzucie ekranowym poniżej. Kliknąłbyś w ten „folder” czy „dysk”? Błąd – bo zainfekowałbyś swój komputer. Co więcej, malware automatycznie infekuje kolejne dyski przenośne, które podłączasz do komputera… Jak widać powyżej, jedyny normalnie widoczny zasób…

Do tej pory nasze publicznie raporty z testów bezpieczeństwa możecie pobrać tutaj, tutaj, tutaj czy tutaj (wszystkie te firmy wyraziły formalną zgodę na publikację raportów). Wszystkich komercyjnych projektów realizujemy całkiem sporo, w 2022 roku było to około 6500 pełnych dni hackowania (pentestowania), które dostarczyliśmy w ramach Securitum komercyjnie. Jeśli chciałbyś dla…

Celem była baza danych należąca do austriackiej organizacji GIS (zajmującej się zbieraniem opłat abonamentowych za posiadanie telewizora / radia / etc). Baza została stworzona do tego, aby namierzać osoby uchylające się od płacenia abonamentu. No więc restrukturyzacja bazy, podwykonawca, środowisko testowe… ale z danymi produkcyjnymi. Środowisko testowe, wiec „nie ma…

Całość to pokłosie wspólnej operacji Europolu oraz FBI. Grupa Hive działała w dość standardowym modelu: ekipa atakująca / wymuszająca okup (inkasowała ona 80% okupu) oraz deweloperzy głównego „produktu” (20%). Historycznie, czasem udawało się odszyfrować pliki zainfekowane Hive (patrz: Przyspieszony kurs łamania kryptografii Hive ransomware ;-)), ale teraz nie ma to…