Kolejne zaskakująco proste podatności w PAN-OS są używane przez zewnętrznych aktorów. Badacze z grupy WatchTowr sprawdzili, jakich metod używają przestępcy oraz jakie środki zaradcze podjął producent.
Czytaj dalej »
EU CERT wydał właśnie ostrzeżenie o wzmożonych atakach, które są obserwowane w ostatnich dniach: Although the vulnerabilities have been reported to the vendors much earlier, and they have since been fixed, many services remain unpatched. Recently, significant amount of scanning and exploitation could be seen in the wild. Hence, it…
Czytaj dalej »
Super prezentacja o hackowaniu SSLVPN-ów tutaj. W tym miejscu z kolei garść podatności SSLVPN od Fortigate. Co my tu mamy? Czytanie dowolnych plików bez uwierzytelnienia (CVE-2018-13379: Pre-auth arbitrary file reading). Jest to dość „ostra podatność” – zobaczcie np. tutaj możliwość pobrania loginu i hasła (w formie jawnej) zalogowanego użytkownika: Podatność…
Czytaj dalej »
Pierwsza podatność wygląda mało zabawnie – zmiana haseł innym użytkownikom…: An Improper Authorization vulnerability in the SSL VPN web portal may allow an unauthenticated attacker to change the password of an SSL VPN web portal user via specially crafted HTTP requests. Podatne systemy: FortiOS 6.0.0 to 6.0.4 FortiOS 5.6.0 to…
Czytaj dalej »