Od dłuższego czasu współpracujemy w różnych obszarach z bankiem BGK, a tym razem to oni poszukują pentesterów. Jeśli tylko dobrze czujesz się w ofensywnym testowaniu aplikacji webowych i masz doświadczenie na podobnym stanowisku, czytaj dalej. W trakcie pracy będziesz atakował systemy bankowe, wspierał wdrożenia od strony bezpieczeństwa (więc również testy…
Czytaj dalej »
![Naciskasz F5 i masz dostęp do zarządzania cudzymi sieciami / dostęp do feedów z obcych kamer. A mówili, że w cloudzie jest tak bezpieczenie… [awaria / luka w Ubiquiti]](https://sekurak.pl/wp-content/uploads/2023/12/Zrzut-ekranu-2023-12-15-o-11.06.16-150x150.png "Naciskasz F5 i masz dostęp do zarządzania cudzymi sieciami / dostęp do feedów z obcych kamer. A mówili, że w cloudzie jest tak bezpieczenie… [awaria / luka w Ubiquiti]")
Zobaczcie na to zgłoszenie: Niedawno zalogowałem się na https://unifi.ui.com/consoles, aby uzyskać dostęp do moich konsol, tak jak to robię każdego dnia. Jednak tym razem otrzymałem 88 konsol z innego konta. Miałem pełny dostęp do tych konsol, w taki sam sposób jak do swoich własnych, Zostało to zatrzymane dopiero, gdy wymusiłem…
Czytaj dalej »
Nasza nowa książka – Wprowadzenie do bezpieczeństwa IT sprzedała się już w liczbie ~8500 egzemplarzy :-) Jeśli ktoś się chce dowiedzieć o niej nieco więcej, zapraszam tutaj – znajdziesz tam przykładowy rozdział do pobrania oraz spis treści. Tymczasem mamy aż 20 książek do rozdania (z opcjonalną dedykacją od Michała Sajdaka)….
Czytaj dalej »
Jak czytamy w oświadczeniu: Agencje stojące za publikacją rekomendują, aby wszystkie podmioty wykorzystujące oprogramowanie JetBrains, które nie wdrożyły na czas aktualizacji lub innych mechanizmów zapobiegających eksploitacji, założyły, że SVR [Rosyjska Służba Wywiadu Zagranicznego] mogła uzyskać dostęp do ich systemów informatycznych, oraz rozpoczęły proaktywny proces wykrywania zagrożenia w oparciu o zawarte…
Czytaj dalej »
Wg doniesień realizowane są już próby exploitacji, a załatane wersje biblioteki wskazane zostały tutaj. Ci którzy używają starszych wersji (Struts 2.0.0 – Struts 2.3.37 (EOL)) mają problem – bo dla nich nie wyszła łatka. Od strony technicznej podatne są ~formularze uploadu, można wyjść np. od zwykłego uploadu pliku txt, a…
Czytaj dalej »
WordPress to jeden z najpopularniejszych silników do zarządzania treścią. O ile krytyczne błędy w samym silniku zdarzają się coraz rzadziej, o tyle platforma ta umożliwia korzystanie z wielu pomocnych pluginów, co zwiększa powierzchnię ataku. 11 grudnia na Wordfence opublikowany został krytyczny błąd, zgłoszony w ramach programu bug bounty. Podatność zlokalizowana…
Czytaj dalej »
Dzisiaj pojawiły się liczne doniesienia o wykryciu podatności XSS (wstrzyknięcie JavaScriptu) w Counter Strike 2: Raczej jest/było to coś nieco słabszego – tj. HTML injection, co i tak umożliwia np. na poznanie adresu IP innych graczy. Idea jest/była prosta: ~ms
Czytaj dalej »
Dostępna jest już wersja 17.2 oraz 16.7.3 iOS. Mamy tutaj łatki kilku dość istotnych podatności: ImageIO. Impact: Processing an image may lead to arbitrary code executionKernel: Impact: An app may be able to break out of its sandboxWebKit: Impact: Processing web content may lead to arbitrary code execution ~ms
Czytaj dalej »
O temacie można poczytać nieco więcej w tym miejscu. W jednym z zestrzelonych rosyjskich dronów odnaleziono modem 4G oraz ukraińską kartę SIM: Ciężko dokładnie stwierdzić w jakim celu zostało wykorzystane takie oprzyrządowanie. Być może chodziło o „zniknięcie” w gąszczu innych kart SIM logujących się do sieci na terenie Ukrainy? (przy…
Czytaj dalej »
Sprawę relacjonuje właśnie lubelska Policja: 71-latek z Lublina (…) chciał zarobić na handlu kryptowalutami. W związku z tym zgodził się na ofertę firmy internetowej. Przedstawiciele namówili go do zainwestowania pieniędzy w nową kryptowalutę. Pokrzywdzony wykonał wszystkie polecenia przestępców i przekazał im około 3 mln złotych. Wszystko stracił. Wygląda to jak…
Czytaj dalej »
Opis podatności w mówi niemal wszysto: CVE-2023-45866: Unauthenticated Bluetooth keystroke-injection in Android, Linux, macOS and iOS. Po ludzku – ktoś może sparować z Twoim telefonem czy Linuksem zewnętrzną klawiaturę i wpisywać na niej dowolne ciągi znaków (tj. np. ściągnąć malware i go uruchomić). Cała operacja nie wymaga uwierzytelnienia ani potwierdzenia….
Czytaj dalej »
TLDR: zapisy tutaj. Rozpoczynamy nowy cykl szkoleń o bezpieczeństwie Active Directory. Część pierwsza już 1.12.2023 (online). Start 20:00, dostępne będzie też nagranie. Zapisy tutaj: https://sklep.securitum.pl/wprowadzenie-do-bezpieczenstwa-w-active-directory (model płać ile chcesz, możesz również 0 zł, chociaż zachęcamy do wsparcia naszych inicjatyw). Agenda: Co dalej w planach? Kto prowadzi? Robert Przybylski (Microsoft MVP –…
Czytaj dalej »
![Hackerzy włamali się do infrastruktury wodociągu. Hasło do sterownika: 1111 [USA]](https://sekurak.pl/wp-content/uploads/2023/11/water2-150x150.jpeg "Hackerzy włamali się do infrastruktury wodociągu. Hasło do sterownika: 1111 [USA]")
Organizacja CISA ostrzega przed aktywną eksploitacją systemów należących do instytucji związanych z dostawą / oczyszczaniem wody. W szczególności wskazany jest jeden z zakładów, który po wykryciu ataku wyłączył swój system i przeszedł na „ręczne sterowanie”: CISA is responding to active exploitation of Unitronics programmable logic controllers (PLCs) used in the Water and Wastewater…
Czytaj dalej »
Szczegóły dostępne są tutaj. Sumarycznie w najnowszej wersji Chrome załatano w sumie 6 podatności oznaczonych jako istotne (high). Jedna z nich może budzić pewien niepokój: Google is aware that an exploit for CVE-2023-6345 exists in the wild. Trudno jednoznacznie stwierdzić czy luka jest wykorzystywana przez jednego z dostawców oprogramowania klasy…
Czytaj dalej »
O wycieku napisała kompleksowo Zaufana Trzecia Strona, sama dotknięta firma przygotowała stosowne oświadczenie. Ne tę chwilę nie mamy więcej do dodania, a w skrócie: Interface na razie nie jest super oczywisty. Aby sprawdzić czy Twoje dane znalazły się w ostatnim wycieku z ALAB Laboratoria – wystarczy: a) zalogować się w…
Czytaj dalej »
