-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Aktualności

[Aktualizacja: jednak cyberatak] Awaria systemu ŚKUP. Nie działają kasowniki w autobusach/tramwajach, automaty biletowe, Portal ŚKUP, tablice elektroniczne na przystankach.

08 lutego 2023, 18:15 | W biegu | komentarzy 9
[Aktualizacja: jednak cyberatak] Awaria systemu ŚKUP.  Nie działają kasowniki w autobusach/tramwajach, automaty biletowe, Portal ŚKUP, tablice elektroniczne na przystankach.

O awarii można poczytać tutaj, tutaj oraz tutaj: ze względu na awarię systemu ŚKUP nie działają kasowniki w pojazdach, automaty biletowe, Portal ŚKUP, System Dynamicznej Informacji Pasażerskiej i aplikacja Mobilny ŚKUP. Awaria nie wpływa na działanie aplikacji zewnętrznych: SkyCash, Mobilet, zbiletem.pl, jakdojade i mPay. Przepraszamy za niedogodności. Pracujemy nad ich…

Czytaj dalej »

Cyberatak na Centralny Szpital Kliniczny Uniwersytetu Medycznego w Łodzi

07 lutego 2023, 20:04 | W biegu | komentarze 22
Cyberatak na Centralny Szpital Kliniczny Uniwersytetu Medycznego w Łodzi

Od jednego z czytelników otrzymaliśmy dość lakoniczną informację o „ogólnej awarii całego systemu” w Centralnym Szpitalu Klinicznym w Łodzi. Niedługo później Rynek Zdrowia potwierdził informację o cyberataku na szpital: w dniu 6 lutego 2023 r. około godziny 5 rano doszło do cyberataku na system informatyczny placówki. Natychmiast udało się zlokalizować…

Czytaj dalej »

Jak przez upload zwykłego pliku .png można czytać dowolne pliki z serwera? Podatność w bibliotece ImageMagick (CVE-2022-44268)

03 lutego 2023, 17:03 | W biegu | komentarze 4
Jak przez upload zwykłego pliku .png można czytać dowolne pliki z serwera? Podatność w bibliotece ImageMagick (CVE-2022-44268)

W telegraficznym skrócie: ImageMagick to popularna biblioteka służąca do obróbki obrazów. Podatność, o której mowa w tytule została załatana w listopadzie 2022 roku. W tytule posta jest małe oszustwo ;-] sam upload obrazka nic nie daje, obrazek musi być jeszcze przetworzony przez podatną bibliotekę ImageMagick (wystarczy np. zmiana rozmiarów uploadowanego…

Czytaj dalej »

::ffff:127.0.0.1 – co to za dziwny adres IP? Ano taki, którym udało się zgarnąć od Cloudflare $7500 nagrody bug bounty

03 lutego 2023, 16:26 | W biegu | 0 komentarzy
::ffff:127.0.0.1 – co to za dziwny adres IP? Ano taki, którym udało się zgarnąć od Cloudflare $7500 nagrody bug bounty

Opis na serwisie Hackerone jest dość enigmatyczny: By using IPv4-mapped IPv6 addresses there was a way to bypass Cloudflare server’s network protections and start connections to ports on the loopback (127.0.0.1) or internal IP addresses (such as 10.0.0.1) Cloudflare zdecydował się jednak przygotować nieco dłuższy opis podatności, która została zgłoszona…

Czytaj dalej »

„Pilne zamówienie nr…” – czyli kampania mailowa celowana na polskich internautów. Atakujący wykradają dane bankowe / VPN / poczty elektronicznej, ciasteczka z przeglądarek…

02 lutego 2023, 20:18 | Aktualności | komentarze 4

Tym razem otrzymaliśmy od jednego z naszych Czytelników próbkę złośliwego oprogramowania wykradającego poświadczenia przechowywane w przeglądarkach i jest to stealer podobny do opisywanego już wcześniej. Nota bene: przed publikacją artykułu, wysłaliśmy powiadomienia do zespołów CERT Polska, CSIRT KNF oraz CERT Orange. Tak jak w poprzednim przypadku, malware rozsyłany jest e-mailami…

Czytaj dalej »

Właśnie załatano grubą podatność w domyślniej konfiguracji OpenSSH. Ale nie ma paniki (podatna konkretna wersja, eksploitacja co najmniej bardzo trudna)

02 lutego 2023, 18:57 | W biegu | komentarzy 7
Właśnie załatano grubą podatność w domyślniej konfiguracji OpenSSH. Ale nie ma paniki (podatna konkretna wersja, eksploitacja co najmniej bardzo trudna)

Jak czytamy: Changes since OpenSSH 9.1 fix a pre-authentication double-free memory fault introduced in OpenSSH 9.1. This is not believed to be exploitable, and it occurs in the unprivileged pre-auth process that is subject to chroot(2) and is further sandboxed on most major platforms. Nieco więcej o problemie pisze Qualys:…

Czytaj dalej »

Banalna podatność w systemie zarządzania telefonami IP (Avaya Aura). Uwierzytelnienie… User-Agentem :]

01 lutego 2023, 20:04 | W biegu | komentarze 4
Banalna podatność w systemie zarządzania telefonami IP (Avaya Aura). Uwierzytelnienie… User-Agentem :]

Zazwyczaj telefony IP nie działają w całkowitej próżni – tzn. mogą z centralnego miejsca pobierać konfigurację, wysyłać tam swoje kopie zapasowe, … Badacze ekipy AssetNote znaleźli prostą możliwość wykonania dowolnego kodu na takim „centralnym miejscu” (serwer Avaya Aura, a dokładniej: Avaya Aura Device Services (AADS)). Wystarczyło następujące żądanie HTTP, które…

Czytaj dalej »

Jak scamerzy omijają filtry antyspamowe / próbują uśpić czujność ofiar? Wysyłając maila z domeny Google Docs

01 lutego 2023, 15:29 | W biegu | komentarzy 6
Jak scamerzy omijają filtry antyspamowe / próbują uśpić czujność ofiar? Wysyłając maila z domeny Google Docs

Jeden z czytelników podesłał nam taką próbkę: No właśnie, jeśli kogoś „wspomnimy” w dokumencie Google Docs, otrzyma on stosowne powiadomienie mailowe (przychodzi ono z domeny @docs.google.com) Sam link – ponownie dla niepoznaki prowadzi do domeny script.google.com (gdzie można za pomocą JavaScriptu programować proste czynności na platformie Google). Atak nie jest…

Czytaj dalej »

Pokazał jak ominąć dwuczynnikowe uwierzytelnienie (2FA) na Facebooku. Wystarczyło co nieco pobruteforsować. Nagroda: $27000

01 lutego 2023, 15:05 | W biegu | komentarzy 6
Pokazał jak ominąć dwuczynnikowe uwierzytelnienie (2FA) na Facebooku. Wystarczyło co nieco pobruteforsować. Nagroda: $27000

Podatność została zlokalizowana w Accounts Center, gdzie można było dodać do swojego konta numer telefonu. Na telefon wysyłany był 6-cyfrowy kod potwierdzający, że dana osoba jest właścicielem numeru. Ale – i tu dochodzimy do istoty problemu – Facebook (czy raczej Meta) nie zaimplementował mechanizmu anty-bruteforce. Zatem: Wybranie numeru telefonu konta-celu…

Czytaj dalej »

Podatność w testowym serwerze PHP – można prostym trickiem czytać źródła plików PHP

31 stycznia 2023, 18:52 | W biegu | komentarze 2
Podatność w testowym serwerze PHP – można prostym trickiem czytać źródła plików PHP

Większy research tematu znajdziecie w tym poście: PHP Development Server <= 7.4.21 – Remote Source Disclosure W formie graficznej, stosowne żądanie które wyświetli źródło pliku PHP wygląda tak: Co tu się wydarzyło? Od strony technicznej mamy tu do czynienia z całkiem normalną funkcją HTTP Pipelining (czyli wysyłanie kilku żądań HTTP…

Czytaj dalej »

Deep fake audio jest już w zasięgu ręki każdego. Uruchomili serwis, gdzie można uploadować próbkę głosu i generować dowolną wypowiedzianą nim frazę

31 stycznia 2023, 16:22 | W biegu | komentarzy 14
Deep fake audio jest już w zasięgu ręki każdego. Uruchomili serwis, gdzie można uploadować próbkę głosu i generować dowolną wypowiedzianą nim frazę

Serwis Elevenlabs ogłasza się następująco: Jak widać potrzebna jest aż (tylko?) minuta głosu – aby go sklonować (tj. wypowiadać nim dowolną frazę, którą wpisujemy z klawiatury): Oczywiście wymagane jest odznaczenie potwierdzenia, że mamy prawo do używania danego głosu, ale część osób niezbyt się przejmuje tego typu checkboxami. Engadget donosi np….

Czytaj dalej »

Podsumowanie cyber-wydarzeń stycznia

30 stycznia 2023, 18:42 | Aktualności | komentarzy 5
Podsumowanie cyber-wydarzeń stycznia

Poniżej subiektywny wybór newsów / ciekawostek / ostrzeżeń, które publikowaliśmy w styczniu 2023r. na sekuraku. Jeśli podoba się Wam zestawienie – podeślijcie linka znajomym oraz koniecznie dajcie znać w komentarzu. Jeśli Wasz odzew będzie pozytywny – będziemy kontynuować tego typu zestawienia (częściej niż raz na miesiąc :-) SEKURAK (scamy, ciekawostki,…

Czytaj dalej »

Przeoczyłeś malutką kropkę w adresie? Możesz wylądować na stronie-scamie, a Chrome tym razem Cię nie ochroni

30 stycznia 2023, 17:08 | W biegu | komentarzy 14
Przeoczyłeś malutką kropkę w adresie? Możesz wylądować na stronie-scamie, a Chrome tym razem Cię nie ochroni

Być może pamiętacie scamy które opisywaliśmy w kontekście prób ataków na klientów mBanku: Uważne oko dostrzeże w adresie kropkę lub przecinek (więcej o temacie: punycode). Tymczasem zobaczcie na ten (cały czas aktywny) scam, próbujący nabrać użytkowników Ledgera: Wprawne oko wykrywacza scamów wyłapie dziwną literę i w adresie powyżej. Nieco dokładniej…

Czytaj dalej »

Ciekawy przykład malware infekującego pendrivey. Windows zupełnie nie widzi „ukrytego” katalogu ze szkodnikiem oraz skradzionymi danymi!

27 stycznia 2023, 22:17 | W biegu | komentarze 2
Ciekawy przykład malware infekującego pendrivey. Windows zupełnie nie widzi „ukrytego” katalogu ze szkodnikiem oraz skradzionymi danymi!

Palo Alto opublikowało właśnie analizę wariantów pewnego malware. Otwierasz pendrive i widzisz coś takiego jak na zrzucie ekranowym poniżej. Kliknąłbyś w ten „folder” czy „dysk”? Błąd – bo zainfekowałbyś swój komputer. Co więcej, malware automatycznie infekuje kolejne dyski przenośne, które podłączasz do komputera… Jak widać powyżej, jedyny normalnie widoczny zasób…

Czytaj dalej »

Darmowy pentest / audyt bezpieczeństwa od Sekuraka. W ramach nagród pocieszenia są nasze kubeczki.

27 stycznia 2023, 20:10 | Aktualności | komentarzy 14
Darmowy pentest / audyt bezpieczeństwa od Sekuraka. W ramach nagród pocieszenia są nasze kubeczki.

Do tej pory nasze publicznie raporty z testów bezpieczeństwa możecie pobrać tutaj, tutaj, tutaj czy tutaj (wszystkie te firmy wyraziły formalną zgodę na publikację raportów). Wszystkich komercyjnych projektów realizujemy całkiem sporo, w 2022 roku było to około 6500 pełnych dni hackowania (pentestowania), które dostarczyliśmy w ramach Securitum komercyjnie. Jeśli chciałbyś dla…

Czytaj dalej »