How Command and Control Servers Are Used In Cyberattacks https://www.securityblue.team/blog/posts/command-and-control-servers-cyberattacks
slh
@slh@infosec.exchange
- 200 Followers
- 85 Following
- 767 Posts
Cybersecurity Engineer
All the #deals for #InfoSec #CyberSecurity related software/tools this #BlackFriday
https://github.com/0x90n/InfoSec-Black-Friday
https://github.com/0x90n/InfoSec-Black-Friday
🚨 #Vulnerability in #Okta AD/LDAP Delegated Authentication: Passwordless Authentication (under certain conditions) between July 23 and October 30, 2024 🚨
🔍 DESCRIPTION OF THE VULNERABILITY
The vulnerability results from the use of the Bcrypt key derivation function, which allows a cache key to be generated by combining: user ID + username + password.
Under certain conditions, a user could authenticate by providing only the username, relying on the cache key stored during a previous successful authentication.
⚠️ EXPLOITATION CONDITIONS
The username must be 52 characters or more, thus triggering the generation of the cache key.
Authentication service must be offline (agent disconnected) OR experiencing high traffic. This will result in the DelAuth (Delegated Authentication) hitting the cache first.
âś… RESOLUTION
Introduced on July 23, 2024 as a standard release, this vulnerability was discovered and patched by Okta on October 30, 2024 by replacing Bcrypt with PBKDF2.
đź“Ś RECOMMENDATIONS
Organizations using Okta AD/LDAP DelAuth are advised to:
- Analyze system logs between July 23 and October 30, 2024 to identify any access attempts that may be related to this vulnerability.
- Contact Okta Support for further assistance.
đź•’ TIMELINE
July 23, 2024: Vulnerability introduced as part of a standard Okta release.
October 30, 2024: Vulnerability discovered internally.
October 30, 2024: Vulnerability fixed by changing Bcrypt key derivation function to PBKDF2.
đź”— OKTA SECURITY ADVISORY: https://trust.okta.com/security-advisories/okta-ad-ldap-delegated-authentication-username/
🚨 #Vulnérabilité dans l'authentification déléguée AD/LDAP #Okta : authentification sans mot de passe (sous certaines conditions) entre le 23 juillet et le 30 octobre 2024 🚨
🔍 DESCRIPTION DE LA VULNÉRABILITÉ
La vulnérabilité résulte de l'utilisation de la fonction de dérivation de clé Bcrypt, qui permet de générer une clé de cache en combinant : ID utilisateur + nom d’utilisateur + mot de passe.
Sous certaines conditions, un utilisateur pourrait s'authentifier en fournissant uniquement le nom d'utilisateur, en s'appuyant sur la clé de cache stockée lors d'une précédente authentification réussie.
⚠️ CONDITIONS D’EXPLOITATION
Le nom d’utilisateur doit contenir 52 caractères ou plus, déclenchant ainsi la génération de la clé de cache.
Le service d’authentification doit être hors ligne (agent déconnecté) OU soumis à un trafic élevé. Cela entraînera l'accès de DelAuth (Delegated Authentication) au cache en premier.
✅ RÉSOLUTION
Introduite le 23 juillet 2024 par une mise à jour, cette vulnérabilité a été découverte et corrigée par Okta le 30 octobre 2024 en remplaçant Bcrypt par PBKDF2.
đź“Ś RECOMMANDATIONS
Pour les organisations qui utilisent Okta AD/LDAP DelAuth, il est conseillé de :
- Analyser les journaux système entre le 23 juillet et le 30 octobre 2024 pour identifier toute tentative d’accès potentiellement liée à cette vulnérabilité.
- Contacter le support Okta pour toute assistance complémentaire.
đź•’ CHRONOLOGIE
23 juillet 2024 : Vulnérabilité introduite dans le cadre d'une mise à jour standard d'Okta.
30 octobre 2024 : Vulnérabilité découverte en interne.
30 octobre 2024 : Vulnérabilité corrigée en changeant la fonction de dérivation de clé Bcrypt par PBKDF2.
🔗 AVIS DE SÉCURITÉ OKTA : https://trust.okta.com/security-advisories/okta-ad-ldap-delegated-authentication-username/
Fortinet : la faille de sécurité FortiJump CVE-2024-47575 est exploitée par les pirates depuis juin 2024 !
https://www.it-connect.fr/fortinet-faille-fortijump-exploitee-depuis-juin-2024/
https://www.it-connect.fr/fortinet-faille-fortijump-exploitee-depuis-juin-2024/
CrowdStrike announced a strategic partnership with Fortinet to unify best-in-class endpoint and firewall protection
https://www.fortinet.com/corporate/about-us/newsroom/press-releases/2024/crowdstrike-and-fortinet-deliver-industry-leading-protection-from-endpoint-to-firewall
https://www.fortinet.com/corporate/about-us/newsroom/press-releases/2024/crowdstrike-and-fortinet-deliver-industry-leading-protection-from-endpoint-to-firewall
@AnyRun #webinar on threat investigations
🗓️ Wed, Oct 23rd 2024, 2 PM GMT
Registration link: https://event.webinarjam.com/register/14/0ogqxi7
🔍 Learn how to discover in-depth threat context, enrich your investigations with #IOCs, and search through #TI database with 40+ parameters
MITRE ATT&CKMITRE ATT&CKCON5 is going live tomorrow! We're at capacity in person but virtual registration is still live and IT'S FREE. Check it out: https://www.mitre.org/events/attackcon-5
EDRSilencer red team tool used in attacks to bypass security
https://www.bleepingcomputer.com/news/security/edrsilencer-red-team-tool-used-in-attacks-to-bypass-security/
https://www.bleepingcomputer.com/news/security/edrsilencer-red-team-tool-used-in-attacks-to-bypass-security/
