Mega Sekurak Hacking Party w Krakowie! 20.10.2025 r. Bilety -30%

W biegu

Walidacja wejścia od użytkownika (hackera) tylko po stronie frontendu (tj. w tylko w JavaScript)? Takie rzeczy się cały czas zdarzają i to w polskich systemach rządowych.

28 sierpnia 2024, 10:35 | W biegu | 1 komentarz
Walidacja wejścia od użytkownika (hackera) tylko po stronie frontendu (tj. w tylko w JavaScript)? Takie rzeczy się cały czas zdarzają i to w polskich systemach rządowych.

Tytułowa ciekawostka z raportu „o stanie bezpieczeństwa cyberprzestrzeni RP” opublikowanego przez ABW: W aplikacji WWW podlegającej ocenie bezpieczeństwa, w jednym z jej formularzy, istniała możliwość wgrywania plików przez użytkownika. Funkcjonalność weryfikacji rozszerzenia wgrywanych plików zaimplementowana była wyłącznie po stronie frontend-u , tj. przeglądarki. Przechwycenie pliku JavaScript odpowiedzialnego za ten mechanizm…

Czytaj dalej »

Jak przejąć sieć operatora telekomunikacyjnego oraz dane jego klientów poprzez upload favicona?

28 sierpnia 2024, 10:01 | W biegu | 0 komentarzy
Jak przejąć sieć operatora telekomunikacyjnego oraz dane jego klientów poprzez upload favicona?

Niedawno wykryto kampanię hackerską celującą w amerykańskich dostawców sieci (zainfekowano w ten sposób minimum czterech ISP). W tym celu wykorzystano podatność w rozwiązaniu SD-WAN firmy Versa Networks. Podatność występuje w mechanizmie uploadu favicona w aplikacji webowej. Ale zamiast favicona można zuploadować webshella w Javie… Upload favicona wymaga jednak posiadania dostępu…

Czytaj dalej »

Sfałszował swoją śmierć, ~hackując amerykański system rejestracji zgonów.

27 sierpnia 2024, 16:21 | W biegu | komentarzy 9

Jak czytamy w informacji prasowej opublikowanej przez departament sprawiedliwości USA – Jesse Kipf został skazany na 81 miesięcy więzienia. Na początek pozyskał on dane logowania jednego z lekarzy – do rejestru śmierci na Hawajach. W kolejnym kroku zalogował się do tego systemu, a następnie utworzył „zdarzenie śmierci”. Finalnie certyfikował to…

Czytaj dalej »

Podatność w jednym z API dużej korporacji (Honeywell). Można było zdobyć superadmina w trzech prostych krokach

26 sierpnia 2024, 22:07 | W biegu | komentarze 2
Podatność w jednym z API dużej korporacji (Honeywell). Można było zdobyć superadmina w trzech prostych krokach

Jak opisali badacze: 1. Endpoint /api/users był dostępny bez uwierzytelnienia – można było wylistować wszystkich użytkowników w systemie (w szczególności poznać ich flagi, np. czy user jest adminem – o czym za chwilę). 2. W API była możliwość zarejestrowania nowego (niskouprawnionego) użytkownika. 3. Niskouprawniony użytkownik miał możliwość edycji dowolnego użytkownika…

Czytaj dalej »

Zapraszamy na cyberpaździernik z sekurakiem – szkolenia PL/EN, konferencja MSHP, drugi tom książki

26 sierpnia 2024, 00:52 | Aktualności, W biegu | 1 komentarz
Zapraszamy na cyberpaździernik z sekurakiem – szkolenia PL/EN, konferencja MSHP, drugi tom książki

W październiku rusza coroczna akcja ECSM (Europejski Miesiąc Cyberbezpieczeństwa) czyli, ogólnoeuropejska kampania poświęcona cyberbezpieczeństwu. W ramach akcji sekurak/Securitum przygotowało sporo inicjatyw skierowanych zarówno do osób technicznych (IT) jak i wszystkich pracowników firm.  Część wydarzeń dostępna jest w formie otwartej, a wszystkie także w formie zamkniętej (realizacja dla zamkniętych grup w…

Czytaj dalej »

SolarWinds łata krytyczną lukę w Web Help Desk

26 sierpnia 2024, 00:21 | W biegu | komentarze 2
SolarWinds łata krytyczną lukę w Web Help Desk

Niecałe 4 lata temu, pod koniec 2020 roku, w mediach na całym świecie głośno było o ataku na firmę SolarWinds – popularnego dostawcę oprogramowania do monitorowania i zarządzania infrastrukturą IT. Napastnikom udało się podmienić na oficjalnej stronie producenta pliki oprogramowania SolarWinds Orion na zainfekowane, co pozwoliło im dostać się do…

Czytaj dalej »

Możliwość wstrzyknięcia złośliwego promptu w Slack AI

23 sierpnia 2024, 15:03 | W biegu | 0 komentarzy
Możliwość wstrzyknięcia złośliwego promptu w Slack AI

Na łamach sekuraka nieraz opisywaliśmy wpadki związane z szeroko pojętym AI, które szturmem zdobywa kolejne rynki. Zachwyt technologią oraz jej powszechne wdrażanie, sprowadza na użytkowników końcowych produktów nowe zagrożenia. Tak też stało się tym razem – badacze odkryli sposób na doprowadzenie do wycieku informacji z prywatnych kanałów popularnego rozwiązania do…

Czytaj dalej »

Google załatał poważną lukę w V8 dla Chrome – zalecamy aktualizację

23 sierpnia 2024, 07:05 | W biegu | 0 komentarzy
Google załatał poważną lukę w V8 dla Chrome – zalecamy aktualizację

Google wydał aktualizację dla przeglądarki Google Chrome łatającą poważną lukę bezpieczeństwa w V8 – silniku JavaScript i WebAssembly używanym we wszystkich przeglądarkach bazujących na Chromium. Błąd oznaczony jako CVE-2024-7971 został sklasyfikowany według standardu CVSS v3 na 8.8, co w skrócie mocno sugeruje jak najszybszą aktualizację do najnowszej (czyli spatchowanej) wersji….

Czytaj dalej »

Krytyczna podatność we wtyczce Litespeed Cache – łatajcie swoje WordPressy

22 sierpnia 2024, 16:03 | W biegu | komentarzy 9
Krytyczna podatność we wtyczce Litespeed Cache – łatajcie swoje WordPressy

Krytyczna podatność w wordpressowej wtyczce Litespeed Cache (podatne są wersje do 6.3.0.1 włącznie), oznaczona jako CVE-2024-28000, została właśnie załatana. Według statystyk dodatek ten jest używany przez przeszło 5 milionów stron (z czego zaktualizowanych do tej pory zostało na razie około połowy).  Podatność została opisana jako podniesienie uprawnień, ponieważ pozwala nieuwierzytelnionemu…

Czytaj dalej »

Można już zgłaszać oszustwa internetowe w appce mObywatel. Otrzymasz też alerty o najpoważniejszych zagrożeniach.

21 sierpnia 2024, 11:47 | W biegu | 1 komentarz
Można już zgłaszać oszustwa internetowe w appce mObywatel. Otrzymasz też alerty o najpoważniejszych zagrożeniach.

Nowy moduł/usługa nazywa się: 'Bezpiecznie w sieci’; część rodzajów oszustw (np. lewe / podejrzane strony internetowe) można zgłosić bezpośrednio w appce. Dla części rodzajów oszustw appka pokazuje sposób zgłoszenia oszustwa (np. wysłanie SMSa na nr 8080) Docelowo ma być też udostępniona baza wiedzy dotycząca bezpiecznych zachowań w sieci. PSJeśli nie…

Czytaj dalej »

Microsoft łata RCE przez IPv6 w Windows

14 sierpnia 2024, 12:56 | W biegu | komentarzy 9

Microsoft w ostatnim Patch Tuesday (termin określający drugi wtorek miesiąca, w którym część producentów oprogramowania wypuszcza łatki i aktualizacje – pojęcie dotyczy zwłaszcza firmy Microsoft) wydał poprawkę, która łata podatność CVE-2024-38063. Uzyskała ona bardzo wysoką punktację CVSS wynoszącą 9.8. W ocenie badaczy atak jest łatwy technicznie do przeprowadzenia, nie wymaga uwierzytelnienia od atakującego,…

Czytaj dalej »

Prawnicy otrzymują dzisiaj takie SMSy, niektórzy kliknęli w linka i zastanawiają się czy ich telefon jest zainfekowany… Z czym mamy tutaj do czynienia?

31 lipca 2024, 12:26 | W biegu | komentarze 3
Prawnicy otrzymują dzisiaj takie SMSy, niektórzy kliknęli w linka i zastanawiają się czy ich telefon jest zainfekowany… Z czym mamy tutaj do czynienia?

Oto wspomniany w tytule SMS: Nazwa nadawcy została sprytnie ustawiona przez wysyłającego SMSy (w tym przypadku: Adwokatura; jako wysyłający SMSa można tu wpisać w zasadzie wszystko). Ten link na 99.999% :) nie infekuje telefonu. Dlaczego? Możliwe, ale raczej mało prawdopodobne w tym przypadku scenariusze: Kilka rad na koniec: ~ms

Czytaj dalej »

Ciekawe potknięcia bezpieczeństwa przy popularnym startupie Rabbit R1

31 lipca 2024, 03:25 | W biegu | komentarze 3
Ciekawe potknięcia bezpieczeństwa przy popularnym startupie Rabbit R1

Firmy technologiczne nie przestają przedstawiać AI jako rozwiązania większości problemów ludzkości. Do czatów bazujących na dużych modelach językowych (LLM), użytkownicy Internetu zdążyli już przywyknąć. Asystenci głosowi stali się kolejną funkcją smartfona. Nic więc dziwnego, że aby jeszcze bardziej ułatwić codzienne życie, powstały startupy rozwijające projekty takie jak Rabbit R1. Czym…

Czytaj dalej »

PKfail – czyli jak drobne przeoczenie może naruszyć bezpieczeństwo setek urządzeń

30 lipca 2024, 11:03 | W biegu | komentarzy 5
PKfail – czyli jak drobne przeoczenie może naruszyć bezpieczeństwo setek urządzeń

Wpadka dziesięciu głównych producentów sprzętu, może wydawać się kuriozalna i nawet zabawna, gdyby nie fakt, że narusza kluczowy łańcuch zaufania, mający na celu zabezpieczenie integralności wykorzystywanych systemów operacyjnych.  Unified Extensible Firmware Interface (w skrócie UEFI) to interfejs pomiędzy sprzętem, a systemem operacyjnym – nowoczesny zamiennik Basic Input/Output System (BIOS). Do…

Czytaj dalej »

Uważaj co wrzucasz do prywatnych repozytoriów na GitHubie – podatność opisana jako CFOR

26 lipca 2024, 15:49 | W biegu | 1 komentarz
Uważaj co wrzucasz do prywatnych repozytoriów na GitHubie – podatność opisana jako CFOR

Zespół trufflesecurity opisał bardzo ciekawy, ale bardzo nieintuicyjny i nieoczywisty na pierwszy rzut oka, design wykorzystywany przez GitHuba do zarządzania zależnościami między repozytoriami i forkami. Architektura tego rozwiązania pozwala, w pewnych okolicznościach użytkownikom na dostęp do commitów przesyłanych nie tylko do prywatnych repozytoriów ale także tych usuniętych. Nie jest to…

Czytaj dalej »