Vào những ngày bận rộn của cuối năm 2020, tôi thấy dân tình xôn xao về sự việc có vài trường hợp nhận được tin nhắn từ ngân hàng rủ rê chơi cờ bạc, lô đề:

Ngày đó cũng là do khá bận với sự việc khác nên chưa có xem qua, ban đầu theo suy đoán của mình và ae trong team thì có thể là do API SMS Brandname đã bị lộ ở đâu đó, và gây ra sự việc bắn sms lừa đảo như trên.

Tuy nhiên đó cũng chỉ là nhận định chủ quan, do chưa…


Tuần đầu tháng 3 vừa rồi có khá nhiều biến động trong giới bảo mật, 4 lỗ hổng 0day của Mail Exchange bị sử dụng trong thực tế để chiếm quyền điều khiển các server mail này. Thông tin chi tiết tại đây: https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/

Các lỗ hổng bị phát hiện trong đợt tấn công APT này là:

  • CVE-2021–26855: Mail Exchange Pre-Auth SSRF
  • CVE-2021–26857: Post-Auth Deserialization
  • CVE-2021–26858: Post-Auth arbitrary file write
  • CVE-2021–27065: Post-Auth arbitrary file write

Khi mới đọc tin này thì mình không có quan tâm gì mấy (nghĩ bụng: chắc nó trừ mình ra), chỉ khi mà người anh…


Trong suốt quãng thời gian học đại học tới tận thời điểm hiện tại đã đi làm, hầu như mọi người ở quê đều không có ai biết mình đang học và làm gì ở ngoài Hà Nội.

Không phải vì gia đình không quan tâm, mà là ngành ATTT ở VN hiện tại còn khá là lạ lẫm đối với cộng đồng,

Nhắc tới CNTT thì có thể còn biết là mấy ô hay làm việc với máy tính, còn nhắc tới ATTT thì ít ai có thể biết được thực tế nghề này là làm gì.

Nếu search…


Ở phần trước, chúng ta đang dừng lại ở việc tìm ra tiến trình xử lý chính của công đoạn Extractor, chung quy lại thì phần core của nó vẫn được xử lý bằng java, với main class com.semmle.extractor.java.JavaExtractor.

Tiến hành debug tại bước này để tìm hiểu cách hoạt động của nó,

Để dựng lại môi trường, cần phải copy các file yêu cầu trong folder: “/log/ext/*“ (có thể tìm thấy trong folder database sau khi chạy lệnh create xong):


Mình được biết đến Semmle/CodeQL từ một người anh trong làng bảo mật, theo như quảng cáo của ông anh này thì đây sẽ là “tương lai của việc tìm lỗ hổng bảo mật”.

Vào khoảng thời gian đó, mình đang trong trạng thái betak khi nghiên cứu về 1 công cụ tự động tìm kiếm lỗ hổng — GadgetInspector.

Không lâu sau đó, vào tháng 9–2019, Github mua lại Semmle và đổi tên thành CodeQL như hiện tại. (https://techcrunch.com/2019/09/18/github-acquires-code-analysis-tool-semmle/).

Cũng vừa đúng lúc vào mùa đồ án tốt nghiệp, mình đề xuất luôn đề tài nghiên cứu về CodeQL…


Vài ngày vừa rồi, khi lượn lờ trên 1 group bảo mật, mình có đọc được bài báo nói về HPE vừa release bản vá cho 0day nào đó có CVSS 9.8/10.

Có thể với những người làm về java đủ lâu sẽ nhận ra CVSS 9.8/10 thì chỉ có Deserialization chứ còn gì nữa ¯\_(ツ)_/¯.

Product bị ảnh hưởng ở đây là một enterprise product có tên: HPE System Insight Manager (SIM).

Product này có thể dùng ở dạng trial, link down tại đây:

Và tình cờ khi lướt qua ZDI, mình cũng thấy bug này xuất hiện trên…


//Vì dường như là vendor không quan tâm lắm về cái 0day này nên mình quyết định uncensor và publish toàn bộ content,

Mấy ngày nay mình có lượn lờ quanh các trang mạng để tìm kiếm nguồn cảm hứng mới cho công việc, hết twitter, reddit, ròi tới facebook …

Tình cờ có liếc qua published advisories của ZDI thì thấy khá nhiều bug về deserialization được publish, đếm sơ sơ thì từ đầu năm đến giờ cũng đã có tới ~100 bug về deserialization được report cho ZDI:

Hmm, nếu vậy thì con số bug ngoài thực tế…


TL;DR

Mới đó mà đã ngót nghét 1 năm, tầm này năm ngoái mình đang loay hoay với GadgetInspector, tìm ra CVE-2020–2555 và report cho ZDI.

//Tản mạn ltinh xíu, ai muốn đọc thì kéo xuống dưới luôn cũng được

Ngày đó, mỗi lần Oracle CPU release là lại ngóng chờ, xem bug của mình đã được vá chưa, tầm nào thì được public PoC … Cuối cùng, sau 6 tháng, Oracle cũng đã release bản vá cho cái bug mình report.

Hồi đó cũng hơi ngây ngô, ko nghĩ việc tìm ra 1 cái chain deserialization mới cũng được…


[Tiếng Việt phía dưới]

It’s been a while since last blog post,
Partly because of work, another is I have lost motivation to write :(, so there is no more writing since the project until now.
Last week, there was an IBM Qradar SIEM Java Deser bug released — CVE-2020–4280 (details at: https://www.securify.nl/advisory/java-deserialization-vulnerability-in-qradar-remotejavascript-servlet ). Right into the product I am using for several months now, so let take a look at it!

#SETUP
Previously, I mistakenly thought that Qradar only had Enterprise version, until I read the detailed blog about this bug that it actually has a Community Edition.

The…


Kết thúc đồ án tốt nghiệp và quay trở lại với công việc thường ngày, mình được giao job hỗ trợ audit 1 product IoT. Do tâm trạng còn đang rối bời nên ko dám nhận xử lý chính vụ này.

Policy của bên X (bên yêu cầu audit) hơi ngặt nghèo và cồng kềnh vô lý, do đó bọn mình ko thể có đc source code của product để audit thực tế. Bên họ cho người xách 1 con lap chứa source code sang, bắt team audit bằng cơm … nhưng đó chưa là gì, ngày xưa họ còn…

Jang

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store