За последние годы скорость интернета для обычного пользователя значительно выросла. Однако с соединением по-прежнему случаются провисания, сбои и ошибки — и скорость остаётся требующей решения проблемой. Рассмотрим, как узнать и увеличить скорость сети от популярного провайдера «Дом.ру».
CVE-2017-1000367: серьезная уязвимость позволяет злоумышленнику/хакеру получить доступ к команде sudo, которая предоставляет права root с помощью учетной записи оболочки.
Например: если у вас есть учетная запись пользователя с правами локального пользователя и которая не выполняет команды root.
Но с этой уязвимостью или изъяном, позволяется любому увеличить свои привилегии до прав root.
Она работает с системами, поддерживающими SELinux, такими как CentOS / RHEL и другими.
Во-первых, убедитесь, что ваш sudo обновлен, иначе вы уязвимы для этого эксплойта.
# sudo -v
Если вы уязвимы обязательно обновите дистрибутив:
# sudo apt update # sudo apt upgrade
Запустите следующую команду:
# sudo yum update
Запустите команду dnf:
Запустите команду zypper:
# sudo zypper update
Запустите команду pacman:
# sudo pacman -Syu
# apk update && apk upgrade
Запустите команду updateepkg:
# upgradepkg sudo-1.8.20p1-i586-1_slack14.2.txz
Запустить команду emerge:
# emerge --sync # emerge --ask --oneshot --verbose ">=app-admin/sudo-1.8.20_p1"
Считается, что циски весьма отличаются секурностью, но и на старуху найдется проруха.
И не какая-то, а вполне себе полноценное RCE.
В данном случае речь о недавно анонсированной уязвимости CVE-2018-0101 в Cisco ASA, связанной с ошибками в обработке XML. Уязвимость позволяет без аутентификации удаленно выполнить произвольный код, ну или хотя бы вызвать отказ в обслуживании. Эсплуатируется через HTTPS сервисы или IKE2 RemoteAccess VPN. Эксплойтов не дам, сорян, ребята, они есть, но стоят $25k-$100k.
Далее имеем два пути – правильный и ленивый.
Правильный:
Вендор выпустил патчи уязвимости, надо их установить.
Исправленные версии: 9.1.7.23, 9.2.4.27, 9.4.4.16, 9.6.4.3, 9.7.1.21, 9.8.2.20, 9.9.1.2 и выше в ветках 9.1, 9.2, 9.4, 9.6, 9.7, 9.8 и 9.9. Другие ветки не поддерживаются и не обновлены.
Ленивый “не хотим ничего тестировать и обновлять”:
Можно отключить/ограничить доступ к уязвимым сервисам. Надо заметить, что способ ОЧЕНЬ неправильный, потому что сервисы когда-то могут оказаться внезапно включенными. Да и вообще нужны.
ASDM – скорей всего отключать не хочется, но можно ограничить доступ адресами админов:
http <remote_ip_address> <remote_subnet_mask> <interface_name>
AnyConnect IKEv2 Remote Access, AnyConnect SSL VPN и Clientless SSL VPN – либо отключить, либо повесить ACL для списка легитимных клиентов (доступ к портам TCP/443, UDP/500 и где у вас настроен Client Services) . Можно юзать IPSec Remote Access с IKEv1, но он совместим только со старым VPN-клиентом Cisco, мда…
Local Certificate Authority – либо отключить (но тогда отвалится аутентификация по сертификатам, если не используется сторонний центр сертификации), либо повесить ACL для тех же клиентов (порт TCP/443).
Mobile Device Manager (MDM) Proxy – выключить или повесить ACL.
Mobile User Security (MUS) – та же фигня, порт конфигурируем, найти можно в строке конфигурации mus server enable port <port #>.
Proxy Bypass – опять же выключить или ACL (порт TCP/443 или другие, если настроены).
Все еще не хочется обновляться? =)
Источник : https://t.me/informhardening
Арсенал хакеров пополнился новым крутым эксплойтом уязвимостей EternalChampion, EternalRomance и EternalSynergy (это все входит в MS17-010, как и широкоизвестный EternalBlue).
Эксплойт доступен в виде двух модулей метасплойта https://github.com/rapid7/metasploit-framework/blob/master/modules/exploits/windows/smb/ms17_010_psexec.rb и https://github.com/rapid7/metasploit-framework/blob/master/modules/auxiliary/admin/smb/ms17_010_command.rb.
Работает для всех Windows от 2000, как 32, так и 64-битных. Более надежен, чем EternalBlue!
Вот так то, без обновлений дальше жить никак нельзя. (Ну вообще то и раньше нельзя было, но таки убедимся, что все хорошо)
PowerShell способ проверки:
При установке патча обновляется версия файла %systemroot%system32driverssrv.sys и по ее значению можно точно определить, установлено ли обновление.
Windows XP – 5.1.2600.7208 и выше
Windows Server 2003 с пакетом обновления 2 (SP2) – 5.2.3790.6021 и выше
Windows Vista, Windows Server 2008 с пакетом обновления 2 (SP2) – GDR:6.0.6002.19743, LDR:6.0.6002.24067 и выше
Windows 7, Windows Server 2008 R2 – 6.1.7601.23689 и выше
Windows 8, Windows Server 2012 – 6.2.9200.22099 и выше
Windows 8.1, Windows Server 2012 R2 – 6.3.9600.18604 и выше
Windows 10 TH1 v1507 – 10.0.10240.17319 и выше
Windows 10 TH2 v1511 – 10.0.10586.839 и выше
Windows 10 RS1 v1607, Windows Server 2016 – 10.0.14393.953 и выше
Прилагается PowerShell скрипт, который автоматически проверяет соответствие версии.
Сетевой способ проверки:
# nmap -p445 --script smb-vuln-ms17-010 -Pn -n <target>
Проверка по KB, содержащим патч:
Их десятки. Перечислены вот тут: https://support.microsoft.com/ru-ru/help/4023262/how-to-verify-that-ms17-010-is-installed
Источник : https://t.me/informhardening
У некоторых дистрибутивов Linux отсутствует пакет wget из коробки. Поэтому могут возникнуть сложности с установкой и работой других программ и обновлений. Читать
Mozilla решил дополнительно подсуетиться о приватности пользователей.
В 59-м Firefoxе заголовок Referer будет содержать не полный URL страницы, а только имя домена. Это при условиях, что включен private browsing и запрос на сторонний домен.
А что вообще стоит включить в Firefoxe для приватности?
network.http.sendSecureXSiteReferrer=false – можно отключить отправку Referer на HTTPS-сайтах
network.cookie.cookieBehavior=1 – отключает использование сторонних cookie
privacy.trackingprotection.enabled=true, privacy.trackingprotection.pbmode=true – включает защиту от отслеживания, которая реализуется в блокировке контента с определенного списка сайтов, замеченных в слежке за пользователями (формируется by Disconnect и встроен в Firefox)
geo.enabled=false – отключает геолокацию
Все настроечки доступны в about:config. Ну и че? А если 100 браузеров надо настроить?
Фаерфокс умеет считывать настроечки из файла, ага, даже не из реестра =/ Считывает он .js файлы из папки defaults/pref (Win, Linux) или Firefox.app/Contents/Resources/defaults/pref (Mac). Однако тут должна быть только ссылка на файл конфигурации, в общем надо создать .js файл со следующим содержанием:
// Any comment. You must start the file with a single-line comment!
pref("general.config.filename", "mozilla.cfg");
pref("general.config.obscure_value", 0);
Ну а теперь в директории, где лежит бинарь Фаерфокса, создаем файл mozilla.cfg уже с интересующими настройками, примерно так:
// Any comment. You must start the file with a comment!
lockPref("network.http.sendSecureXSiteReferrer", false);
lockPref("network.cookie.cookieBehavior", 1);
lockPref("privacy.trackingprotection.enabled ", true);
lockPref("privacy.trackingprotection.pbmode", true);
lockPref("geo.enabled", false);
Тут можно использовать разные уровни применения натроек:
lockPref – юзер не может изменить настройку
pref – настройка считывается при каждом запуске браузера, но юзер может ее перенастроить на время сессии
defaultPref – если юзер задаст новое значение настройки, оно будет использоваться и в новых сессиях
Источник: https://t.me/informhardening