Tal vez realmente estuviéramos mucho mejor con ASCII. En mi día, tuvimos un área para 256 personajes, ni siquiera utilizamos 128 de ellos, así como tomamos lo que obtuvimos. Unicode abrió las computadoras a los idiomas del mundo, sin embargo, también abrió una puerta trasera invisible. Este es un método similar al historial de origen de Trojan de la semana pasada. Mientras que la fuente de Trojan utilizó la codificación de derecha a izquierda para manipular el código de aspecto benigno, este hacke de certitud utiliza caracteres Unicode que parecen ser espacios en blanco, sin embargo, se reconocen como nombres de variables válidos.
const {timeout, ㅤ} = req.query;
Es en realidad:
const {timeout, \ u3164} = req.query;
Sin embargo, las coma adicionales pueden proporcionarle un indicio de que algo está arriba, a menos que esté extremadamente familiarizado con un idioma, puede rechazarlo como una sintaxis de sintaxis y seguir adelante. Utilizar la misma técnica exactamente, una vez más, una vez más permite que se incluya el código malicioso oculto en un listado de comandos para ejecutarse, lo que hace que una puerta trasera difícil de detectar.
La segunda técnica es utilizar caracteres “confusores” como!, U + 01C3. Aparece como una marca de exclamación típica, por lo que no le rodea el ojo en IF (Medio ambiente! = Env_prod) {, sin embargo, en este caso, el medio ambiente es una nueva variable. Cualquier cosa en este bloqueo de código de desarrollo realmente siempre está habilitado: imagina el caos que pueda causar.
Ninguna de estas son vulnerabilidades de ruptura fundamental, sin embargo, definitivamente son métodos para desconfiar. Los autores sugieren que un trabajo podría mitigar estos métodos Unicode simplemente restringiendo su código fuente para contener solo caracteres ASCII. No es una gran solución, sin embargo, es una solución.
Más arrestos de Revil
Aparentemente, haciéndose un oponente de todo el mundo occidental es un gran método para ser arrestado, ya que los miembros de Revil continúan aprendiendo. Operación Golddust ha incorporado a siete arrestos este año, el más reciente en Rumania. Este es el mismo esfuerzo de aplicación de la legislación que ha dado lugar al proyecto NO MÁS RANSOM.
Rompiendo el PS5
No hemos escuchado nada de Fail0Verflow por un tiempo, sin embargo, están de vuelta con un nuevo trabajo dirigido a la PS5. Han descubierto los secretos de cifrado de la raíz para el sistema. Esto no es más bien como una oferta enorme, como lo pareció originalmente, ya que la clave de firma aún se necesitaría para ejecutar la aplicación de software personalizada en el dispositivo. Lo que esto debería habilitar es descifrar el firmware del gadget, así como para buscar errores en el cargador de arranque, así como firmware, lo que potencialmente conduce a un jailbreak de PS5 en el futuro. Si ha estado esperando una escena de Homebrew para la PS5, su tiempo puede venir.
Traducción: Tenemos todas las llaves de raíz (simétricas) PS5. Todos pueden ser adquiridos de la aplicación de software, incluida la clave de la raíz de la consola, ¡si se ve bastante difícil! https://t.co/ulbq4loww0
– Fail0Verflow (@ fail0verflow) 8 de noviembre de 2021
NPM de nuevo
La semana pasada, la COA, así como los paquetes RC, actualizados temporalmente a versiones que contienen código malicioso. El momento, así como el código agregado casi similar, indica que fue exactamente el mismo privado o grupo detrás de ambos paquetes. Mientras que el malware parecía ser no funcional en algunos sistemas, se debe presumir que en cualquier lugar donde se implementaron estas versiones malintencionadas. En una descarga regular de 20 millones integrados para estos dos paquetes, seguramente se ofrecen muchos compromisos, incluso proporcionados en el corto tiempo, los paquetes maliciosos se ofrecieron en el 4º. NPM sostenía la versión maliciosa de CoA por una hora, así como doce minutos. El paquete RC presionó la actualización maliciosa un par de un par de horas más tarde, así como si no está seguro de cuánto tiempo estaba disponible esa versión.
El código malicioso se ejecutó utilizando un script de preinstalación, que parece ser el vector típico para estos hacks. Ha habido consejos que configuran los scripts deben estar deshabilitados de forma predeterminada. Si bien eso evitaría estos ataques extremadamente simples, realmente no protegería contra el problema subyacente. Los ataques de la cadena de suministro son un problema creciente, sin embargo, parecen ser especialmente problemáticos en el mundo de JavaScript de pila completa. Si la popularidad de Node.js, así como las NPM, deberán continuar, requeriremos una solución mucho mejor a este problema pernicioso.
Palo Alto, así como la divulgación.
Los investigadores de Randori han encontrado un par de vulnerabilidades en los firewalls de Palo Alto, que encadenaron juntos pueden dar lugar a un gadget completo en peligro sin ninguna autorización previa requerida. Los ataques son una vulnerabilidad de contrabando de solicitud HTTP que conduce a un desbordamiento de búfer. El desbordamiento normalmente no es explotable, sin embargo, el contrabando de solicitud permite a un atacante llegar al código vulnerable. Las fallas se fijaron en la versión 8.1.17, así como las versiones 9.0+ nunca fueron vulnerables. Se debe un análisis en profundidad en diciembre, sin embargo, hay un ángulo más fascinante para esta historia. Los investigadores de Randori descubrieron los errores en noviembre de 2020, así como no los revelaron hasta septiembre.Ember 2021 – Casi un año después.
¿Qué hicieron durante ese tiempo? Obviamente, utilizaron esto, así como otras vulnerabilidades de 0 días para realizar pruebas de penetración de equipo rojo para sus clientes. La motivación parece ser que es probable que un asalto genuino utilice 0 días, así como para probar verdaderamente los ataques de defensa, desconocidos de la compañía, deben ser parte de la ecuación. ¿Qué piensas? Gran concepto o poco ético?