Ciekawy opis podatności w ManageEngine ADAudit Plus (służącym do monitorowania zmian w Active Directory) możecie znaleźć tutaj. Mając dostęp do kodów źródłowych aplikacji badacze najpierw poszukali URLi, które nie wymagają uwierzytelnienia. Jednym z ciekawszych okazał się być: /cewolf/ w którym udało się namierzyć RCE poprzez deserializację obiektów. Przy okazji mamy…
Czytaj dalej »
Jeśli przeczytacie ten opis to może się wydawać że w sumie wszystko OK. No może poza tym zdaniem: We recommend that customers who run Java applications in containers, and use either the hotpatch or Hotdog, update to the latest versions of the software immediately. Jeśli z kolei zobaczymy materiał źródłowy,…
Czytaj dalej »
Badacze zaprezentowali Proof of Concept exploit na Struts2 Showcase (2.5.27) z nową Javą: root@c9b80b027e02:~# java -version openjdk version „11.0.13” 2021-10-19 OpenJDK Runtime Environment 18.9 (build 11.0.13+8) OpenJDK 64-Bit Server VM 18.9 (build 11.0.13+8, mixed mode, sharing) Atak (uważni dostrzegą, że nie ma tutaj użycia ciągu ldap, jak w klasycznych atakach…
Czytaj dalej »
Jest spora szansa, że historia tej podatności w log4j właśnie zaczyna się od exploitów na Minecrafta (i co więcej dotyczy to zarówno serwerów jak i klientów): Jeśli wierzyć tej relacji – gorzej już być nie mogło: Ten exploit jest bardzo poważny w Minecraft Java Edition. Każdy może wysłać wiadomość na…
Czytaj dalej »
Szczegóły podatności dostępne są tutaj, a wg relacji podatne są również (oczywiście) biblioteki czy rozwiązania wykorzystujące Apache log4j (mowa jest m.in. o Steam, iCloud czy serwerach Minecraft). Prawdopodobnie podatne są też rozwiązania wykorzystujące bibliotekę Struts. Podatne wersje log4j: 2.0 <= Apache log4j <= 2.14.1 Exploit jest bardzo prosty i wymaga…
Czytaj dalej »
Sami badacze piszą tak: CVE-2020-28052 is an authentication bypass vulnerability discovered in Bouncy Castle’s OpenBSDBcrypt class. It allows attackers to bypass password checks. O co dokładnie chodzi? Zerknijcie tutaj. Użytkownik loguje się, podając hasło. Aplikacja liczy hash hasła i porównuje go z wartością w bazie. W jaki sposób porównuje? Mniej…
Czytaj dalej »
Tym razem nie jest to jakaś skoordynowana pod względem jednej konkretnej podatności akcja (choć w kilku miejscach przewija się deserializacja). Na początek podatność (krytyczność 9.8/10) w RichFaces, który wchodzi w skład JBossa: The RichFaces Framework 3.X through 3.3.4 is vulnerable to Expression Language (EL) injection via the UserResource resource. A…
Czytaj dalej »
JMeter to popularne narzędzie służące głównie do realizacji testów wydajnościowych. Można go uruchomić lokalnie, ale jeśli potrzebujemy zasymulować większą ilość ruchu, popularną instalacją jest wystartowanie wielu serwerów JMetera a następnie uruchomienie równoległych testów właśnie z tych serwerów. Jednak… w takiej instalacji możliwe jest zdalne wykonanie dowolnego kodu na serwerze a…
Czytaj dalej »
Tytuł może być nieco mylący, bo chodzi nie tyle o aktualizowanie czy łatanie samej aplikacji, ale o monitorowanie wersji biblioteki Struts (czy ogólnie bibliotek). Popularny Apache Struts, właśnie załatał podatność umożliwiającą wykonanie kodu w OS na serwerze. Tymczasem w sieci realizowane są już próby exploitowania buga: Co robić? Po pierwsze…
Czytaj dalej »
Kolejna część cyklu tekstów o deserializacji w Javie. Jak już wiemy, całość może prowadzić do wykonania kodu w OS ale również do zDoS-owania naszej aplikacji…
Czytaj dalej »
Deserializacja niezaufanych danych pochodzących od użytkownika większości developerów nie powinna wydawać się problematyczna. Dlaczego miałaby być? W końcu co najwyżej serwer dostanie dane, które po zdeserializowaniu stworzą obiekt inny od oczekiwanego, co spowoduje błąd aplikacji i przerwanie wykonania…
Czytaj dalej »
Popularna biblioteka Stuts2, w ostatnim czasie zaliczyła kilka podatności klasy Remote Code Execution, z czego część doczekała się nawet modułu w Metasploicie. Przed naciśnięciem przycisku >panic< oczywiście warto wczytać się w szczegóły błędu, i sprawdzić choćby czy w naszym przypadku jest jak w opisie podatności – czyli atak nie wymaga…
Czytaj dalej »
Niedawno pokazano ataki na popularne javowe serwery aplikacyjne (Jboss, WebLogic, Websphere, itd), wskazując na bardziej ogólny problem – tj. z niewalidowaną deserializacją prowadzącą często do nieautoryzowanego wykonania kodu w systemie operacyjnym (problem zresztą nie dotyczy jedynie Javy). Obecnie dostępny jest nawet dodatek do popularnego narzędzia pentesterskiego burp suite, umożliwiający większą automatyzację ataków…
Czytaj dalej »
Jak już wiemy od wielu lat, Java + przeglądarka, to nie wygląda bezpiecznie… zresztą nie lepiej jest choćby z Flashem, w którym podatności chętnie wykorzystuje rozmaity malware. Tymczasem Oracle oficjalnie ogłosił, że w JRE / JDK 9 (początek 2017) kończy wsparcie dla appletów (które bazują na odpowiednim przeglądarkowym pluginie) i rekomenduje rozważenie innej technologii – Java Web…
Czytaj dalej »
Pisaliśmy już o problemach deserializacji – w Pythonie czy Javie. I dokładnie tego typu przykład można było znaleźć na jednym z serwerów PayPala. Czy macie już teraz jakieś wątpliwości do tego że niekontrolowana deserializacja to zuo? ;) Dla lubiących obrazki, reverse shell na PayPalu w filmiku poniżej: –ms
Czytaj dalej »