Issue 5

• 🗞️ Article
  • Abusing Slack for Offensive Operations
  • AWS Config ConformancePack Collections
  • NAT Slipstreaming
  • Vault Recommended Patterns
• 🧰 Tools
  • lightspin-tech/red-kube
  • LanikSJ/dfimage
• 💣 CVE
  • CVE-2020-13935 : Apache Tomcat WebSocket DoS
  • CVE-2020-15228 : Github: Widespread injection vulnerabilities in Actions
• 💰 BugBounty
  • ‘unsafe-eval’ in CSP is not properly enforced for default-src ‘self’
  • no user interaction: URL spoofing using blob + @ (iOS)
  • Rocket.Chat Desktop App RCE
  • GitLab-Runner on Windows DOCKER_AUTH_CONFIG container host Command Injection
• 🚚 Intent to Ship
  • Block HTTP(s) requests to SIP ports 5060, 5061

🗞️ Article

Abusing Slack for Offensive Operations

• https://posts.specterops.io/abusing-slack-for-offensive-operations-2343237b9282

Slack のログインクレデンシャルは SQLite ととしてローカルに保存されているため、これをコピーすることで別の端末でも Slack にログインすることができる。

AWS Config ConformancePack Collections

• https://asecure.cloud/l/p_conformance_packs/

AWS Config Rule と修復アクションのコレクション。

NAT Slipstreaming

• https://samy.pl/slipstream/

WebRTC などを利用して NAT 超えを行い、リモートマシンにアクセスするテクニック。

Vault Recommended Patterns

• https://learn.hashicorp.com/collections/vault/recommended-patterns

Vault 運用の推奨パターンとアンチパターンについて。

🧰 Tools

lightspin-tech/red-kube

• https://github.com/lightspin-tech/red-kube

Red Team のための kubectl コマンド集。

LanikSJ/dfimage

• https://github.com/LanikSJ/dfimage

Docker イメージから Dockerfile を生成するツール。

💣 CVE

CVE-2020-13935 : Apache Tomcat WebSocket DoS

• https://blog.redteam-pentesting.de/2020/websocket-vulnerability-tomcat/

Apache Tomcat の WebSocket 経由での DoS 攻撃可能な脆弱性。WebSocket の Payload 長を負の値にすることで DoS となった。

CVE-2020-15228 : Github: Widespread injection vulnerabilities in Actions

• https://bugs.chromium.org/p/project-zero/issues/detail?id=2070

GitHub Workflow Command で issue title などに環境変数として有効なシンタックスを含めることで、環境変数をインジェクションすることが可能。

💰 BugBounty

‘unsafe-eval’ in CSP is not properly enforced for default-src ‘self’

• https://bugs.chromium.org/p/chromium/issues/detail?id=1107824

CSP で eval() 呼び出し可能なバグ。

no user interaction: URL spoofing using blob + @ (iOS)

• https://bugs.chromium.org/p/chromium/issues/detail?id=1090352

Rocket.Chat Desktop App RCE

• https://hackerone.com/reports/843171

RegExp.prototype.test を c:\\ のようなローカルファイルを開くリンクも通すものに書き換えることで任意コード実行につなげることができた。

GitLab-Runner on Windows DOCKER_AUTH_CONFIG container host Command Injection

• https://hackerone.com/reports/955016

GitLab Runner で DOCKER_AUTH_CONFIG 環境変数経由でホスト側で任意のコマンドを実行できた。

🚚 Intent to Ship

Block HTTP(s) requests to SIP ports 5060, 5061

• https://groups.google.com/u/2/g/mozilla.dev.platform/c/FL-zKm4T6SA/m/vEUPOg7EAAAJ

NAT Slipstreaming への対策として 5060, 5061 へのアクセスを禁止。