Aktualności

Daniel przesłał nam taką historię: Kilka dni temu otrzymałem propozycję współpracy w zakresie konsultacji dotyczącej płatnej kampanii na FB od tego gościa https://lnkd[.]in/dqG_ieqr W wielkim skrócie. Na początku zwyczajna rozmowa, linki do profili, strony www. Zaproponowałem spotkanie na Google Meet, w odpowiedzi dostałem link do iCloud z materiałami do zapoznania się….

Dziękujemy wszystkim za liczny udział w akcji darmowy pentest / audyt bezpieczeństwa od sekuraka. TLDR: realizujemy pentest bezpłatnie, ale za zgodę na upublicznienie raportu po takich pracach (po załataniu podatności). Przykład takiego raportu tutaj (pentesty CANAL+) – mamy nadzieję, że takie raporty będą miały ciekawą wartość edukacyjną dla czytelników sekuraka….

Historia zaczyna się od pewnej dziury w DOTA2, na którą ktoś przygotował exploita. Z exploita (w ciemno) korzystali cheaterzy, więc producent gry postanowił przygotować na nich zasadzkę: Today, we permanently banned over 40,000 accounts that were using third-party software to cheat in Dota over the last few weeks. This software…

Zazwyczaj Chrome łata maksymalnie podatności zaklasyfikowane jako „High” (wysokie zagrożenie). W najnowszej łatce też jest kilka takich, z czego za jedną wypłacono zgłaszającemu aż $31 000: [$31000][1414738] High CVE-2023-0927: Use after free in Web Payments API. Reported by Rong Jian of VRI on 2023-02-10 Tu mamy jednak coś o wiele…

Historie jak ta świeżo opisywana przez Policję, gościły na sekuraku wielokrotnie. W sumie można założyć, że wszyscy wiedzą o temacie. Nie ma zatem co dalej spamować, nuda. Jednak mamy wrażenie, że po pierwsze akcje z „fałszywym konsultantem z banku” przybierają na intensywności oraz jest coraz więcej ofiar. W każdym razie:…

Jeśli jesteś przedsiębiorcą i chcesz zapewnić swoim pracownikom możliwość rozwoju oraz zwiększyć ich kompetencje, możemy Ci zaoferować wszystkie nasze szkolenia za darmo. Ich pełna lista znajduje się tutaj. Zapraszamy do przeczytania poniżej co trzeba zrobić by skorzystać z dofinansowania programu KFS. Czym jest KFS? Krajowy Fundusz Szkoleniowy to program rządowy, którego…

Jeden z czytelników powiadomił nas o pewnej podejrzanej kampanii rekrutacyjnej, która kończyła się takim oto formularzem: W jaki sposób przesyłane są „namiary” na ten formularz? W wiadomości e-mail wyglądającej tak: Dzień dobry, W związku z zainteresowaniem Pani osobą, Przesyłam link do formularza.Po zalogowaniu, proszę wypełnić wszystkie rubryki.Po poprawnym uzupełnieniu formularza…

Zazwyczaj nie spamujemy Was alertami o kolejnych scamach mailowych, realizowanych na zasadzie copy-paste, ale ten – podesłany przez Michała – ma swój językowy urok. Wiadomość wysłana z adresu SantanderBank[at]vret.justsomehosting.com wygląda tak: Z dodatkowych ciekawostek, link prowadzi do domeny www.google.li, po kliknięciu którego gdzie następuje automatyczne przekierowanie (realizowane przez Google) do…

Warto zapisać w swoich zakładkach ten zasób, gdzie autor w dość rozbudowany sposób omawia projekt OWASP Kubernetes Top 10: Mamy tu przejście od tematów związanych z brakiem segmentacji na poziomie sieciowym, przez np. błędne zarządzanie sekretami aż po konkretne podatności – czy błędy konfiguracyjne – umożliwiające np. wyskakiwanie z kontenerów….

Z naszych doświadczeń – bezpieczeństwo paneli webowych urządzeń sieciowych (nie tylko Fortinetu) – delikatnie mówiąc – nie należy do najlepszych. Szczególnie martwi to jednak w przypadku sprzętu zapewniającego bezpieczeństwo – a do takich należy FortiNAC (Network Access Control). Szczegóły załatanej niedawno podatności możecie prześledzić tutaj. Na szczęście czytasz właśnie sekuraka…

Krótki news do kawy dla technicznych czytelników :-) Badacz na początek wziął w jedną dłoń Shodana z takimi filtrami „ssl:apple.com”, „org:Apple Inc*”, „ssl:apple” i udało mu się zlokalizować usługę: Cisco Smart Install Jak wiadomo, każda duża firma wszystko solidnie łata ;-) Zatem badacz wziął w drugą dłoń kilkuletnie już narzędzie…

Opis problemu tutaj. W praktyce, jeśli ktoś używa narzędzia do „przycinania obrazów” w Google Docs: Oraz udostępni taki dokument (w trybie tylko do odczytu), to można podglądnąć pełen, oryginalny obraz. Sprawdźcie zresztą sami: 1. Prawy przycisk na obrazku + kopiuj: 2. Wklejenie do nowego (swojego) dokumentu (ctrl+v lub cmd+v). 3….

Ciekawa historia, która rozpoczyna się od adresu do którego kierowały masowo wysyłane SMSy: Dalej, badacze weszli ręcznie przeglądarką do katalogu /2 otrzymując listę plików / katalogów w nim się znajdujących (wszystko to w wyniku błędu konfiguracyjnego serwera, umożliwiającego Directory Listing) Coż to za dziwny plik ar22.zip? Pliki źródłowe aktualnego phishingu….

Usługi systemowe systemu Windows są z punktu widzenia atakującego bezcennym mechanizmem. Wynika to z paru niezależnych, dobrze uzupełniających się cech: Oczywiście atakujący najpierw musi mieć wysokie uprawnienia, dopiero później może zmieniać konfigurację usług. Zwykły użytkownik jest zazwyczaj ograniczony do ich przeglądania, ewentualnie pytania o aktualny stan. Jednak w przypadku, kiedy…

Trochę pechowo – podatność RCE zlokalizowano w produkcie FortiNAC („Secure Network Access Control”). No więc w przypadku tej podatności nie było żadnego „access control”, bo bez logowania można uzyskać dostęp roota na urządzeniu: Jak widać, jedyne co jest potrzebne to dostęp sieciowy do urządzenia. PoC / Exploit ma pojawić się…