W biegu

Po dwóch miesiącach od poprzednich problemów, które opisywaliśmy, GitLab wydał kolejne poprawione wersje, zarówno Community Edition, jak i Enterprise Edition, oznaczone numerami 17.3.2, 17.2.5 oraz 17.1.7. Podobnie jak poprzednio, najpoważniejszy błąd, oznaczony symbolem CVE-2024-6678, pozwala – w pewnych okolicznościach, które nie zostały sprecyzowane w ogłoszeniu na stronie GitLab – na zdalne wykonanie…

Backdoor Android.Vo1d infekuje TV boxy, pracujące na niezaktualizowanych, starych wersjach Androida. Atakujący mają zdalny dostęp do administratora / roota na przejętych TV boxach. Potencjalnie to oznacza dostęp do plików, możliwość instalowania appek, czy dalszą infiltrację sieci ofiary. Na razie nie wiadomo jaki jest sposób infekcji (wskazuje się oczywiste podatności w…

Wg tej relacji również zdjęcia w książce były wygenerowane przez sztuczną inteligencję. Książka została użyta do identyfikacji grzybów na przechadzce, a po spożyciu rodzina wylądowała w szpitalu z zatruciem. W szczególności w książce można znaleźć takie „kwiatki”: In conclusion, morels are delicious mushrooms which can be consumed from August to…

Ataki “bocznego kanału” (ang. side-channel) wykorzystują nieoczywiste poszlaki do eksploitacji systemu. Czytelnikom znane są pewnie metody ataków wykorzystujące pomiary zużycia prądu procesorów, czasu odpowiedzi aplikacji czy też wykonania poszczególnych niskopoziomowych operacji (np. kryptograficznych). Nieszablonowe techniki ataków typu side-channel opisywaliśmy już nie raz na sekuraku (polecamy ostatni artykuł o Yubikeyach). Tym…

Uwaga na krytyczną podatność CVE-2024-36401. Luka umożliwia na zdalne wykonanie kodu / poleceń na serwerze i nie wymaga żadnego uwierzytelnienia Sam exploit jest prosty i polega w zasadzie na ustawieniu pewnego parametru w żądaniu HTTP GET lub POST, na wartość: exec(java.lang.Runtime.getRuntime(),’touch /tmp/success2′) A dokładniej wygląda to tak: Atakujący w powyższym…

TLDR: zostaliśmy patronem medialnym wydarzenia Cyberdojrzali. 25 września 2024 r. w Warszawie, w Hotelu Sofitel Warszawa Victoria. Wejście bezpłatne, ale ograniczona liczba miejsc. Zapisy i szczegóły tutaj. Organizator pisze o wydarzeniu w ten sposób: cyberzagrożenia stają się coraz bardziej powszechne i wyrafinowane. Zapewne coraz częściej zdarza się nam odebrać podejrzany…

Najpierw samo zdjęcie, o którym ostrzegano już jakiś czas temu: Kod QR na wierzchu jest fałszywy – tj. prowadzi do strony, która wykrada $$$ Ten pod spodem (zielony) jest prawdziwy. Jak się można domyślić, cała akcja miała miejsce w Wielkiej Brytanii, ale mieliśmy również tego typu przypadki w Polsce…

Całkiem niedawno opisywaliśmy ciekawą podatność pozwalającą na przejęcie konta w WordPressie przez popularną wtyczkę LiteSpeed Cache. Niestety nie był to najlepszy czas dla developerów tego rozszerzenia, ponieważ bardziej szczegółowa analiza poprzedniej podatności doprowadziła do odkrycia nowej luki pozwalającej na przejęcie konta przez nieuwierzytelnionego atakującego. Podatność została szczegółowo opisana w serwisie…

Jakiś czas temu ogłosiliśmy konkurs na złamanie hasła: Hasło to pięć słów w języku polskim układających się w jedno sensowne zdanie. Tylko małe litery. PL literki zastąpione znakami bez ogonków np. mąka = maka. 535be00fc31ff6612ee8fcc3d80aaf35ffb2c1e6487fac88bb81ab04a8ead089 Nikomu nie udało się go złamać w zakładanym czasie (3 tygodnie). Teraz osłabiona wersja konkursu,…

Pokazał się detaliczny opis podatności oraz exploit. Luka występuje w chipsecie MediaTek MT6890, MT7915, MT7916, MT7981, MT7986 (a dokładniej w oprogramowaniu, które jest do niego dołączane przez producenta , a jeszcze dokładniej w linuksowym wappd). Przykładowy exploit został pokazany dla Netgear WAX206. Producent w opisie łatki podaje taką informację: In…

Całość w wyniku dwóch hacków systemów firmy Verkada, o jednym z nich pisaliśmy już dłuższy czas temu. Jeszcze raz zwracam uwagę na fakt, że atakujący otrzymali również dostęp do nagrań audio z kamer (często nawet nie wiemy, że kamery mają wbudowane mikrofony) Nota amerykańskiej agencji FTC mówi, że w szczególności…

Podatne było oprogramowanie służące zarządzaniu swoją instalacją solarną (od firmy Enphase systems). Sama firma chwali się że obsługuje 4 miliony instalacji solarnych w 150 krajach. Badacz testowo zakupił dwa inwertery i… pokazał jak mając dostęp do administratora jednego z nich, może wykonywać operacje na zupełnie innym koncie. Zakładam, że mogło…

Przygotowaliśmy dla Was aktualizację materiału (uzupełnienie o wersję EN), który udostępniliśmy jakiś czas temu – tj. skondensowaną grafikę o wybranych, aktualnych scamach / oszustwach internetowych. Całość możesz pobrać: Grafikę możesz zupełnie bezpłatnie przesłać do znajomych / w firmie / wydrukować (też w firmie) i powiesić np. nad biurkiem :-) Jedyny…

Mastodon to oprogramowanie, które w Fediwersum miało zastąpić Twittera (obecnie X). Instancje Mastodona tworzą zdecentralizowaną federację składającą się z niezależnych instancji. Każda z instancji posiada swojego administratora, serwer, domenę i… politykę wymiany danych z innymi instancjami. W ramach pojedynczej instancji nie ma ograniczeń widoczności, jednak w Fediversum powstał specyficzny podział pomiędzy instancjami, który w uproszczeniu…

W kampanii grupy Citrine Sleet wykorzystywane są podatności 0day. Chrome załatał CVE-2024-7971 parę dni temu. Microsoft błąd CVE-2024-38106 – dwa tygodnie temu. Obie podatności umożliwiają atakującemu na pełną infekcję Windowsa, zaledwie po wejściu na odpowiednio spreparowaną stronę. Są to podatności 0day, więc działają nawet na załatanym w pełni Windows/Chrome. Napastnicy…