CISA ostrzega, o trwającej kampanii infekującej trwale urządzenia VPN (dwie podatności 0day). Pierwsza podatność (CVE-2025-20362) umożliwia dostęp bez uwierzytelnienia do pewnych URLi na web serwerze urządzenia. Druga podatność (CVE-2025-20333) to wykonanie poleceń jako root na urządzeniu. Dzięki poprzedniej podatności, może to być zrealizowane bez uwierzytelnienia (!) Wg CISA, Infekcja jest…
Czytaj dalej »
Taki przypadek wydarzył się niedawno w Serbii, gdzie do odblokowania telefonu studenta (Samsung Galaxy) użyto oprogramowania Cellebrite: the Android phone of one student protester was exploited and unlocked by a sophisticated zero-day exploit chain targeting Android USB drivers, developed by Cellebrite. Student zatrzymany przez policję wręczył im wyłączony telefon. Po…
Czytaj dalej »
Podatność była kategorii 0-click, czyli ofiara nie musiała wykonać żadnej czynności, aby infekcja doszła do skutku. Sam atak polegał na wysłaniu do ofiary komunikatu z odpowiednio spreparowanym plikiem PDF. Podatność była też klasy 0-day – czyli istniała również w najnowszej wersji WhatsAppa, z wszystkimi aktualizacjami. Operacja infekcji telefonów była celowana…
Czytaj dalej »
Luka umożliwia pełne przejęcie urządzenia z poziomu Internetu. Tj. zdobycie uprawnień super-admina. Podatność jest wykorzystywana w realnych atakach, najprawdopodobniej od okolic grudnia 2024. Nie wiadomo dokładnie jaka grupa odpowiedzialna jest za ataki. W ramach ataków wykonywane są takie operacje jak: Podatne są FortiOS (7.0.0 do 7.0.16) oraz FortiProxy (linia 7.0.x…
Czytaj dalej »
Co ciekawe – nie pomoże nawet aktualizacja urządzenia – atakujący symulują że niby aktualizacja miała miejsce tymczasem…nic się nie dzieje (tj. atakujący dalej buszują po sieci). Luka CVE-2025-0282 daje możliwość zdalnego wykonania kodu (bez konieczności uwierzytelnienia). Podatność jest klasy buffer overflow. Luka CVE-2025-0283 to eskalacja uprawnień do uprawnień admina na…
Czytaj dalej »
Dla pewności – podatność 0day, to taka, która jest znana atakującym, ale jeszcze nieznana producentowi danego oprogramowania. W skrócie – nawet jak jesteś w pełni załatany to i tak ktoś może Cię zaatakować. Podatności, w przeglądarce Safari, o których piszę właśnie zostały załatane, wiec w zasadzie przestały być 0day (ale…
Czytaj dalej »
W kampanii grupy Citrine Sleet wykorzystywane są podatności 0day. Chrome załatał CVE-2024-7971 parę dni temu. Microsoft błąd CVE-2024-38106 – dwa tygodnie temu. Obie podatności umożliwiają atakującemu na pełną infekcję Windowsa, zaledwie po wejściu na odpowiednio spreparowaną stronę. Są to podatności 0day, więc działają nawet na załatanym w pełni Windows/Chrome. Napastnicy…
Czytaj dalej »
Zaczyna się od pliku tego typu tutajcosciekawego.pdf.url do którego link jest podrzucany użytkownikowi (np. phishingiem). Po zapisaniu pliku, wygląda on pod Windowsem tak: Ale skąd tutaj się wzięła ikonka PDFa? Wszystko za sprawą zawartości pliku .url, która wyglądała mniej więcej tak (patrz dwie ostatnie linijki, które odpowiadają za podmianę domyślnej…
Czytaj dalej »
Systemy (serwery) VPN zazwyczaj są wystawione do Internetu (bo muszą), co jednak gdy ktoś zlokalizuje podatność umożliwiającą przejęcie serwera (urządzenia) VPN i to bez uwierzytelnienia? No może samo zlokalizowanie jeszcze niewiele zmienia, ale aktywna exploitacja już tak. Po tym wstępie przechodzimy do podatności, którą niedawno zaznaczaliśmy na sekuraku (dwa zero…
Czytaj dalej »
Czy samo otwarcie PDFa może cokolwiek zainfekować? Najczęściej nie. Czy samo wysłanie PDFa może cokolwiek zainfekować? Tym bardziej nie! Jednak ta historia to wyjątek od wyjątku. Badacze z Kasperskiego analizowali przez ~pół roku skuteczny, praktycznie niewidzialny atak na firmowe iPhone-y. Od strony atakującego-infekującego sprawa była prosta (tzn. prosta w momencie…
Czytaj dalej »
Szczegóły dostępne są tutaj. Sumarycznie w najnowszej wersji Chrome załatano w sumie 6 podatności oznaczonych jako istotne (high). Jedna z nich może budzić pewien niepokój: Google is aware that an exploit for CVE-2023-6345 exists in the wild. Trudno jednoznacznie stwierdzić czy luka jest wykorzystywana przez jednego z dostawców oprogramowania klasy…
Czytaj dalej »
Podatność opisana jest względnie niewinnie: Broken Access Control. Dalej czytamy, że luka była wykorzystywana w realnych atakach: Firma Atlassian została poinformowana o problemie zgłoszonym przez kilku klientów, polegającym na tym, że zewnętrzni napastnicy mogli wykorzystać nieznaną wcześniej lukę w publicznie dostępnych instancjach Confluence Data Center / Server – w celu…
Czytaj dalej »
Szczegóły dostępne są w tym miejscu, gdzie czytamy o problemie klasy privilege escalation: Impact: A local attacker may be able to elevate their privileges. Apple is aware of a report that this issue may have been actively exploited against versions of iOS before iOS 16.6. Druga podatność występuje w bibliotece…
Czytaj dalej »
Citizen Lab donosi o aktywności narzędzia o nazwie Predator. Atak wykryto po analizie urządzenia należącego na byłego egipskiego parlamentarzystę, a spyware dostarczany był linkami wysyłanymi SMSem / WhatsApp-em / metodą ataku Man-in-The-Middle: Between May and September 2023, former Egyptian MP Ahmed Eltantawy was targeted with Cytrox’s Predator spyware via links…
Czytaj dalej »
Chodzi o podatność CVE-2023-26369. W tym przypadku po otwarciu odpowiednio spreparowanego PDFa dochodzi do wykonania złośliwego kodu na komputerze ofiary (czytaj przejęcia komputera ofiary). Adobe zaznacza że podatność była wykorzystywana w celowanych atakach na użytkowników Adobe Readera: Adobe is aware that CVE-2023-26369 has been exploited in the wild in limited…
Czytaj dalej »