Январский Microsoft Patch Tuesday. Всего-то 49 уязвимостей и ещё 13 набежало с декабрьского.
В ТОПе опять странное.
🔻 Самая критичная - Buffer Overflow в Chromium (CVE-2023-7024), т.к. эксплуатируется вживую.
🔻 Затем Array-bounds Overflow в SQLite (CVE-2022-35737), т.к. есть подробное описание, которое NVD классифицирует как эксплоит. 🤷♂️
Остальное без признаков эксплуатации вживую и эксплоитов. Из занимательного:
🔸 RCE - Microsoft Office (CVE-2024-20677). В Preview Pane не эксплуатируется.
🔸 Security Feature Bypass - Windows Kerberos (CVE-2024-20674). Злоумышленник сможет MitM делать. (лол, а они теперь реально все "man-in-the-middle" как "machine-in-the-middle" расшифровывают 😅)
🔸 RCE - Microsoft SharePoint Server (CVE-2024-21318). Требуется Site Owner.
🔸 RCE - Windows Hyper-V (CVE-2024-20700). Вряд ли будет активно эксплуатироваться "requires an attacker to win a race condition".
🔸 Пачка EoP: Windows Kernel (CVE-2024-20698), Windows Win32k (CVE-2024-20683, CVE-2024-20686), Windows Cloud Files Mini Filter Driver (CVE-2024-21310), Microsoft Common Log File System (CVE-2024-20653)
🗒 Vulristics report
@avleonovrus #Vulristics #PatchTuesday #Microsoft
В ТОПе опять странное.
🔻 Самая критичная - Buffer Overflow в Chromium (CVE-2023-7024), т.к. эксплуатируется вживую.
🔻 Затем Array-bounds Overflow в SQLite (CVE-2022-35737), т.к. есть подробное описание, которое NVD классифицирует как эксплоит. 🤷♂️
Остальное без признаков эксплуатации вживую и эксплоитов. Из занимательного:
🔸 RCE - Microsoft Office (CVE-2024-20677). В Preview Pane не эксплуатируется.
🔸 Security Feature Bypass - Windows Kerberos (CVE-2024-20674). Злоумышленник сможет MitM делать. (лол, а они теперь реально все "man-in-the-middle" как "machine-in-the-middle" расшифровывают 😅)
🔸 RCE - Microsoft SharePoint Server (CVE-2024-21318). Требуется Site Owner.
🔸 RCE - Windows Hyper-V (CVE-2024-20700). Вряд ли будет активно эксплуатироваться "requires an attacker to win a race condition".
🔸 Пачка EoP: Windows Kernel (CVE-2024-20698), Windows Win32k (CVE-2024-20683, CVE-2024-20686), Windows Cloud Files Mini Filter Driver (CVE-2024-21310), Microsoft Common Log File System (CVE-2024-20653)
🗒 Vulristics report
@avleonovrus #Vulristics #PatchTuesday #Microsoft
Периодически у меня возникает идея: а почему бы не сделать простую опенсурсную утилиту для контроля исправления уязвимостей в организации? Имею ввиду часть VM-процесса когда у нас уже есть данные по активам в каком-то виде (включая их критичность и ответственных за них) и данные по уязвимостям для этих активов. И дело, казалось бы, за малым - чтобы эти уязвимости начали исправляться. 🙂
На этом этапе требуется перейти из уютного ИБшного мирка к суровой IT-шной реальности. Согласованию (а затем отслеживанию и отстаиванию) договоренностей по регулярным апдейтам и дедлайнов по исправлению супер-критичных уязвимостей. Хорошо, когда у вас все инструменты для этого есть в рамках вашего энтерпрайзного VM-решения, а что если их по каким-то причинам нет или они вас не устраивают? А активов у вас десятки тысяч со множеством групп ответственных. 🤩
Я на самом деле даже несколько раз такое запиливал и оно работало с ощутимой пользой. Но потом начиналось - в проде такое нельзя держать, несерьёзно. 🫣 Нужно делать по красоте, с проработкой сложной архитектуры, многопользовательскими интерфейсами, правильным оптимизированным кодом и всем прочим. Короче, нормальный серьезный проект, а не поделье наколеночное. И это, конечно, справедливо. Однако такой серьезный проект требует серьезных ресурсов, выделенной команды и всё это начинает жутко буксовать и перерождается в нечто совсем иное. 🙂 Может и неплохое, но уже с другим замыслом и принципами.
Мне же хотелось бы, чтобы было примитивно и наглядно. Вот как OVAL/SCAP в части правил детектирования. Казалось бы возня с нелепыми XML-ками, ха-ха. А насколько живучая тема вышла! 🤔
Какие бы принципы я сформулировал:
🔹 Чтобы всё описывалось JSON-файликами: активы, инвентаризационные объекты на активах, уязвимости, таски на исправление.
🔹 Чтобы были простые скрипты, которые эти файлики молотили в автоматическом режиме и отображали текущее состояние процесса в организации.
🔹 Чтобы не было никаких архитектурных и технических ограничений на логику работы с файликами и можно было гибко настроить любой воркфлоу.
🔹 Чтобы с этим можно было поиграться и понять, какие фичи было бы неплохо получить в рамках полноценного "взрослого" VM-решения. Ну или если какой-то небольшой организации без бюджетов и такое зайдет as is для старта или на постоянку - ну круто. 🙂
Так вот, как считаете, имеет смысл поописывать и покодякать такой наколеночный "игрушечный" Vulnerability Remediation? 🙂
@avleonovrus #VMprocess #simplicity #Vulremi #Remediation
На этом этапе требуется перейти из уютного ИБшного мирка к суровой IT-шной реальности. Согласованию (а затем отслеживанию и отстаиванию) договоренностей по регулярным апдейтам и дедлайнов по исправлению супер-критичных уязвимостей. Хорошо, когда у вас все инструменты для этого есть в рамках вашего энтерпрайзного VM-решения, а что если их по каким-то причинам нет или они вас не устраивают? А активов у вас десятки тысяч со множеством групп ответственных. 🤩
Я на самом деле даже несколько раз такое запиливал и оно работало с ощутимой пользой. Но потом начиналось - в проде такое нельзя держать, несерьёзно. 🫣 Нужно делать по красоте, с проработкой сложной архитектуры, многопользовательскими интерфейсами, правильным оптимизированным кодом и всем прочим. Короче, нормальный серьезный проект, а не поделье наколеночное. И это, конечно, справедливо. Однако такой серьезный проект требует серьезных ресурсов, выделенной команды и всё это начинает жутко буксовать и перерождается в нечто совсем иное. 🙂 Может и неплохое, но уже с другим замыслом и принципами.
Мне же хотелось бы, чтобы было примитивно и наглядно. Вот как OVAL/SCAP в части правил детектирования. Казалось бы возня с нелепыми XML-ками, ха-ха. А насколько живучая тема вышла! 🤔
Какие бы принципы я сформулировал:
🔹 Чтобы всё описывалось JSON-файликами: активы, инвентаризационные объекты на активах, уязвимости, таски на исправление.
🔹 Чтобы были простые скрипты, которые эти файлики молотили в автоматическом режиме и отображали текущее состояние процесса в организации.
🔹 Чтобы не было никаких архитектурных и технических ограничений на логику работы с файликами и можно было гибко настроить любой воркфлоу.
🔹 Чтобы с этим можно было поиграться и понять, какие фичи было бы неплохо получить в рамках полноценного "взрослого" VM-решения. Ну или если какой-то небольшой организации без бюджетов и такое зайдет as is для старта или на постоянку - ну круто. 🙂
Так вот, как считаете, имеет смысл поописывать и покодякать такой наколеночный "игрушечный" Vulnerability Remediation? 🙂
@avleonovrus #VMprocess #simplicity #Vulremi #Remediation
Cisco исправили критичную Arbitrary File Upload / RCE уязвимость в Unity Connection (CVE-2024-20272). Cisco Unity Connection это виртуализованная платформа обмена сообщениями и система голосовой почты. На официальном сайте пишут, что "Cisco Unity Connection is highly secure". 😏
Неаутентифицированный удаленный злоумышленник может загружать произвольные файлы в уязвимую CUC систему и выполнять команды в базовой операционной системе. Также пишут, что злоумышленник может поднять привилегии до root-а (подозреваю, что имеют ввиду, гипотетически, если загрузят руткит и запустят его). 🤔
Эксплуатации вживую и эксплоита пока нет, но если у вас вдруг всё ещё используется Cisco Unity Connection (версии до 12.5.1.19017-4 и с 14 до 14.0.1.14006-5), имеет смысл пропатчиться.
CVSS странный: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L (Base 7.3)
Как при таком описании может быть Unchanged Scope и низкий импакт на конфиденциальность, целостность и доступность я не особо понимаю. 🤷♂️
@avleonovrus #Сisco #CiscoCUC
Неаутентифицированный удаленный злоумышленник может загружать произвольные файлы в уязвимую CUC систему и выполнять команды в базовой операционной системе. Также пишут, что злоумышленник может поднять привилегии до root-а (подозреваю, что имеют ввиду, гипотетически, если загрузят руткит и запустят его). 🤔
Эксплуатации вживую и эксплоита пока нет, но если у вас вдруг всё ещё используется Cisco Unity Connection (версии до 12.5.1.19017-4 и с 14 до 14.0.1.14006-5), имеет смысл пропатчиться.
CVSS странный: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L (Base 7.3)
Как при таком описании может быть Unchanged Scope и низкий импакт на конфиденциальность, целостность и доступность я не особо понимаю. 🤷♂️
@avleonovrus #Сisco #CiscoCUC
Перед самым новым годом поучаствовал в Кибербез-квизе "Ответь за 5 секунд". Вроде миленько получилось. 🎄🙂 И за свои ответы мне (почти) не стыдно. 😅
В комментариях на ютубе собирают новогодние кибербез-пожелания на 2024 год. За самый оригинальный подарят худи из коллекции кибердома. 🙂
@avleonovrus #Кибердом #ОтветьЗа5секунд #GlobalDigitalSpace #ny2024
В комментариях на ютубе собирают новогодние кибербез-пожелания на 2024 год. За самый оригинальный подарят худи из коллекции кибердома. 🙂
@avleonovrus #Кибердом #ОтветьЗа5секунд #GlobalDigitalSpace #ny2024
YouTube
Кибербез-квиз «Ответь за 5 секунд» / Выпуск #6 [Леонов, Масалович, Трохимец, Седов, Шапиро]
Это шестой новогодний выпуск развлекательного онлайн-проекта, созданного Максимом Хараск, кибербез-экспертами и Кибердомом в содружестве с Global Digital Space.
В этот раз участниками шоу стали:
- Александр Леонов, ведущий эксперт лаборатории PT Expert…
В этот раз участниками шоу стали:
- Александр Леонов, ведущий эксперт лаборатории PT Expert…
Все пишут про атаки на Ivanti Connect Secure / Ivanti Policy Secure с использованием 0Day RCE уязвимости (CVE-2023-46805, CVE-2024-21887). Там одна CVE это Authentication Bypass, вторая Command Injection, а вместе дают RCE. Первые атаки зарегистрировали 3 декабря. В ходе атак злоумышленники устанавливали вебшелл GLASSTOKEN. Публичного PoC-а пока нет. Обновлений пока нет, но есть mitigation file.
На Ivanti прям проклятье какое-то. 🫣 В прошлом году была эпопея с Ivanti EPMM (CVE-2023-35078). До этого несколько лет выходило множество критичных эксплуатабельных уязвимостей Ivanti Pulse Connect Secure. У Tenable в блоге прикольная историческая подборочка на эту тему.
@avleonovrus #Ivanti #IvantiConnectSecure #IvantiPolicySecure
На Ivanti прям проклятье какое-то. 🫣 В прошлом году была эпопея с Ivanti EPMM (CVE-2023-35078). До этого несколько лет выходило множество критичных эксплуатабельных уязвимостей Ivanti Pulse Connect Secure. У Tenable в блоге прикольная историческая подборочка на эту тему.
@avleonovrus #Ivanti #IvantiConnectSecure #IvantiPolicySecure
Июньская Authentication Bypass уязвимость Sharepoint (CVE-2023-29357) в активной эксплуатации. Её добавили в CISA KEV. У Microsoft эта уязвимость идёт как EoP, но описание у неё говорит об AuthBypass. Удаленный неутентифицированный злоумышленник может получить привилегии аутентифицированного пользователя на уязвимом сервере, отправив поддельный токен аутентификации JWT. Для того, чтобы злоумышленник мог воспользоваться этой уязвимостью, не требуется никакого взаимодействия с пользователем.
Уязвимость была продемонстрирована Pwn2Own Vancouver в марте 2023. И вот где-то через полгода после выхода патча пошли реальные атаки.
Если у вас в инфре есть Sharepoint сервер, который более полугода не обновлялся - обратите внимание.
@avleonovrus #Microsoft #Sharepoint #CISAKEV
Уязвимость была продемонстрирована Pwn2Own Vancouver в марте 2023. И вот где-то через полгода после выхода патча пошли реальные атаки.
Если у вас в инфре есть Sharepoint сервер, который более полугода не обновлялся - обратите внимание.
@avleonovrus #Microsoft #Sharepoint #CISAKEV
Курьёзная критичная уязвимость в GitLab - восстановление пароля от аккаунта на левый email (CVE-2023-7028). 🤦♂️🙂 Уязвимы версии GitLab CE/EE с 16.1.0. CVSS 10. Патчи доступны.
"Как это произошло?
В версии 16.1.0 было внесено изменение, позволяющее пользователям сбрасывать свой пароль используя дополнительный адрес электронной почты. Уязвимость является результатом ошибки в процессе верификации электронной почты."
В микроблогах пишут, что PoC буквально такой:
upd. Эксплоит на GitHub
"Пользователи, у которых включена двухфакторная аутентификация, уязвимы для сброса пароля, но не для захвата учетной записи, поскольку для входа в систему требуется второй фактор аутентификации."
Двухфакторка рулит. GitLab - решето. 🙂
@avleonovrus #GitLab
"Как это произошло?
В версии 16.1.0 было внесено изменение, позволяющее пользователям сбрасывать свой пароль используя дополнительный адрес электронной почты. Уязвимость является результатом ошибки в процессе верификации электронной почты."
В микроблогах пишут, что PoC буквально такой:
user[email][]=valid@email.com&user[email][]=attacker@email.com
upd. Эксплоит на GitHub
"Пользователи, у которых включена двухфакторная аутентификация, уязвимы для сброса пароля, но не для захвата учетной записи, поскольку для входа в систему требуется второй фактор аутентификации."
Двухфакторка рулит. GitLab - решето. 🙂
@avleonovrus #GitLab
Прожектор по ИБ, выпуск №18 (13.01.2024): Герои Оземпика in-the-middle
🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"
Первый выпуск в новом году, накопилось много новостей. 🙂
00:00 Здороваемся, обсуждаем новый ноутбук Льва без камеры, радуемся относительно большому количеству просмотров прошлого выпуска
03:10 Внезапно про обновление Heroes III с новыми замками
05:15 Несколько минут здорового самопиара. Говорим про видео-проекты: Ответь за 5 секунд (в последнем я участвовал), ИИ несёт бред, Собираем карьеру
09:20 Закладка в прошивке светодиодной гирлянды
13:04 NVD включили заднюю в вопросе отключения СVЕ-фидов
15:39 Итоги 2023 года от Qualys Threat Research Unit
21:47 Январский Microsoft Patch Tuesday и MitM
29:14 Июньская Authentication Bypass уязвимость Sharepoint (CVE-2023-29357) в активной эксплуатации; конкурс: на что заменить Sharepoint?
32:15 Cisco исправили критичную Arbitrary File Upload / RCE уязвимость в Unity Connection (CVE-2024-20272); конкурс: на что заменить CUC?
37:45 Атаки на Ivanti Connect Secure / lvanti Policy Secure с использованием 0Day RCE уязвимости (CVE-2023-46805, CVE-2024-21887)
41:06 Курьёзная критичная уязвимость в GitLab - восстановление пароля от аккаунта на левый email (CVE-2023-7028); конкурс стихов 😅
44:10 ИС Антифишинг от Минцифры
45:38 Всемирный совет церквей (WCC) был атакован вымогателями
48:50 МВД России предупреждает о новых способах мошенничества
50:24 Цукерберг берет деньги за отказ от сбора и использования личных данных под целевую рекламу
51:29 Почти 170 случаев утечек персональных данных россиян зафиксированы в 2023 году
54:41 Прощание от Mr.X про Оземпик
@avleonovrus #ПрожекторПоИБ #Heroes3 #DIY #NVD #Qualys #Vulristics #Microsoft #PatchTuesday #Sharepoint #Cisco #Ivanti #GitLab #Минцифры #Антифишинг
🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"
Первый выпуск в новом году, накопилось много новостей. 🙂
00:00 Здороваемся, обсуждаем новый ноутбук Льва без камеры, радуемся относительно большому количеству просмотров прошлого выпуска
03:10 Внезапно про обновление Heroes III с новыми замками
05:15 Несколько минут здорового самопиара. Говорим про видео-проекты: Ответь за 5 секунд (в последнем я участвовал), ИИ несёт бред, Собираем карьеру
09:20 Закладка в прошивке светодиодной гирлянды
13:04 NVD включили заднюю в вопросе отключения СVЕ-фидов
15:39 Итоги 2023 года от Qualys Threat Research Unit
21:47 Январский Microsoft Patch Tuesday и MitM
29:14 Июньская Authentication Bypass уязвимость Sharepoint (CVE-2023-29357) в активной эксплуатации; конкурс: на что заменить Sharepoint?
32:15 Cisco исправили критичную Arbitrary File Upload / RCE уязвимость в Unity Connection (CVE-2024-20272); конкурс: на что заменить CUC?
37:45 Атаки на Ivanti Connect Secure / lvanti Policy Secure с использованием 0Day RCE уязвимости (CVE-2023-46805, CVE-2024-21887)
41:06 Курьёзная критичная уязвимость в GitLab - восстановление пароля от аккаунта на левый email (CVE-2023-7028); конкурс стихов 😅
44:10 ИС Антифишинг от Минцифры
45:38 Всемирный совет церквей (WCC) был атакован вымогателями
48:50 МВД России предупреждает о новых способах мошенничества
50:24 Цукерберг берет деньги за отказ от сбора и использования личных данных под целевую рекламу
51:29 Почти 170 случаев утечек персональных данных россиян зафиксированы в 2023 году
54:41 Прощание от Mr.X про Оземпик
@avleonovrus #ПрожекторПоИБ #Heroes3 #DIY #NVD #Qualys #Vulristics #Microsoft #PatchTuesday #Sharepoint #Cisco #Ivanti #GitLab #Минцифры #Антифишинг
YouTube
Прожектор по ИБ, выпуск №18 (13.01.2024): Герои Оземпика in-the-middle
🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"
Первый выпуск в новом году, накопилось много новостей. 🙂
00:00 Здороваемся, обсуждаем новый ноутбук Льва без камеры, радуемся относительно…
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"
Первый выпуск в новом году, накопилось много новостей. 🙂
00:00 Здороваемся, обсуждаем новый ноутбук Льва без камеры, радуемся относительно…
Подсвечу отдельно, что мы ждём ваши комментарии к 18ому эпизоду Прожектора по ИБ с предложениями по импортозамещению и стихами. 🙂
➡️ На какие российские продукты можно заменить западный продукты с недавними критичными уязвимостями (Microsoft SharePoint, Cisco Unity Connection, GitLab, Ivanti Connect Secure)?
➡️ Стихотворение, которое начинается с "Двухфакторка рулит. GitLab - решето."
Писать можно на YouTube или в VK.
@avleonovrus #ПрожекторПоИБ #конкурс #интерактивчик
➡️ На какие российские продукты можно заменить западный продукты с недавними критичными уязвимостями (Microsoft SharePoint, Cisco Unity Connection, GitLab, Ivanti Connect Secure)?
➡️ Стихотворение, которое начинается с "Двухфакторка рулит. GitLab - решето."
Писать можно на YouTube или в VK.
@avleonovrus #ПрожекторПоИБ #конкурс #интерактивчик
Интересная конфа по Vulnerability Management-у пройдёт в Штатах в конце марта - CVE/FIRST VulnCon 2024 & Annual CNA Summit.
Организаторы там FIRST (которые CVSS и EPSS) и CVEorg (фактически MITRE). Мероприятие платное, но открытое. $100 за онлайн, $250 за оффлайн. 💵 Ставят целью разобраться в экосистеме Vulnerability Management-а: какие важные стейкхолдеры и программы там есть, как можно эту экосистему улучшать. Среди спонсоров больших VM-вендоров (пока?) нет. Только нишевые Nucleus и VulnCheck.
До 31 января открыт CFP по темам: идентификаторы и бюллетени уязвимостей, фреймворки для оценки уязвимостей, инструменты для координированного раскрытия уязвимостей, базы уязвимостей, SBoMы и VEXы (Vulnerability EXchange), атаки на цепочки поставок, способы борьбы с классами уязвимостей. 🔥🤩
Думаю подаваться на CFP из России, с учётом текущих реалий, дело малоперспективное (только если по фану 😅).
Нам в России тоже такое неплохо было бы проводить. В контексте БДУ ФСТЭК, например.
@avleonovrus #VULNCON24
Организаторы там FIRST (которые CVSS и EPSS) и CVEorg (фактически MITRE). Мероприятие платное, но открытое. $100 за онлайн, $250 за оффлайн. 💵 Ставят целью разобраться в экосистеме Vulnerability Management-а: какие важные стейкхолдеры и программы там есть, как можно эту экосистему улучшать. Среди спонсоров больших VM-вендоров (пока?) нет. Только нишевые Nucleus и VulnCheck.
До 31 января открыт CFP по темам: идентификаторы и бюллетени уязвимостей, фреймворки для оценки уязвимостей, инструменты для координированного раскрытия уязвимостей, базы уязвимостей, SBoMы и VEXы (Vulnerability EXchange), атаки на цепочки поставок, способы борьбы с классами уязвимостей. 🔥🤩
Думаю подаваться на CFP из России, с учётом текущих реалий, дело малоперспективное (только если по фану 😅).
Нам в России тоже такое неплохо было бы проводить. В контексте БДУ ФСТЭК, например.
@avleonovrus #VULNCON24
В Juniper-ах очередная preAuth RCE (CVE-2024-21591) с возможностью получить root-а на устройстве. Снова в интерфейсе J-Web. Об атаках с использованием уязвимости пока не пишут. Но в прошлый раз выложили PoC и начали эксплуатировать вживую весьма оперативно. Посмотрим как будет в этот. 🙂
По данным Shadowserver в интернет выставлено ~8k веб-интерфейсов Juniper-ов. Причём в основном почему-то в Южной Корее (~3k). 🤷♂️ В России 106.
@avleonovrus #Juniper #JunOS #JWeb
По данным Shadowserver в интернет выставлено ~8k веб-интерфейсов Juniper-ов. Причём в основном почему-то в Южной Корее (~3k). 🤷♂️ В России 106.
@avleonovrus #Juniper #JunOS #JWeb
В умном термостате Bosch BCC100 нашли уязвимость CVE-2023-49722, которая позволяет неаутентифицированному злоумышленнику подменить прошивку устройства на зловредную. Для этого злоумышленник должен находиться в одной Wi-Fi сети с устройством. Потенциально можно установить в такой термостат бэкдор, использовать для перехвата трафика, перемещаться с него на другие устройства и прочее. Всё потому, что на устройстве был открытый отладочный порт 8899, который забыли убрать. 🤷♂️
Почему я скептически отношусь к "умным домам"? Потому что непонятно, а кто это безобразие должен контролировать и как. Допустим сейчас вам нужно следить за роутерами, десктопами, смартфонами, телевизорами. Но с увеличением этого подключенного "умного" барахла растет и потребность в его контроле и обслуживании. А не то стиралка начнёт 3 Гб непонятного трафика в сутки прогонять, а гирлянда лозунги демонстрировать. В организациях такой бардак разгребают VM-щики, а у вас дома кто? Сами точно потянете? 🌝
@avleonovrus #Bosch #IOT #SmartHome
Почему я скептически отношусь к "умным домам"? Потому что непонятно, а кто это безобразие должен контролировать и как. Допустим сейчас вам нужно следить за роутерами, десктопами, смартфонами, телевизорами. Но с увеличением этого подключенного "умного" барахла растет и потребность в его контроле и обслуживании. А не то стиралка начнёт 3 Гб непонятного трафика в сутки прогонять, а гирлянда лозунги демонстрировать. В организациях такой бардак разгребают VM-щики, а у вас дома кто? Сами точно потянете? 🌝
@avleonovrus #Bosch #IOT #SmartHome
Очередная критичная RCE в Confluence (CVE-2023-22527). CVSS 10.
"Уязвимость внедрения шаблона (template injection) в устаревших версиях Confluence Data Center и Server позволяет неаутентифицированному злоумышленнику получить RCE в уязвимой версии."
Пишут, что уязвимы версии, выпущенные до 5 декабря 2023 года (8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x, 8.5.0-8.5.3) и EoL версии. По поводу 7.19 LTS, которая должна поддерживаться до 28 июля 2024 года, пишут, что патч выпустят, но пока его нет.
Про эксплоиты и эксплуатацию вживую пока не пишут. Но с обновлением (а лучше миграцией на другое решение 😉) лучше не затягивать. До эксплуатабельного состояния подобные уязвимости Confluence докручивают довольно быстро.
@avleonovrus #Confluence
"Уязвимость внедрения шаблона (template injection) в устаревших версиях Confluence Data Center и Server позволяет неаутентифицированному злоумышленнику получить RCE в уязвимой версии."
Пишут, что уязвимы версии, выпущенные до 5 декабря 2023 года (8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x, 8.5.0-8.5.3) и EoL версии. По поводу 7.19 LTS, которая должна поддерживаться до 28 июля 2024 года, пишут, что патч выпустят, но пока его нет.
Про эксплоиты и эксплуатацию вживую пока не пишут. Но с обновлением (а лучше миграцией на другое решение 😉) лучше не затягивать. До эксплуатабельного состояния подобные уязвимости Confluence докручивают довольно быстро.
@avleonovrus #Confluence
В блоге Qualys вышел занимательный пост про детектирование "глубоко встроенных уязвимостей" на примере недавней RCE в Apache Struts (CVE-2023-50164). Суть там в следующем:
1. Есть такие "глубоко встроенные уязвимости" (deep-embedded vulnerabilities) типа Log4Shell или RCE-шек в Apache Struts. Их недостаточно детектить просто по версиям пакетов, т.к. такие уязвимые либы и фреймворки могут встраиваться в самый разнообразный софт, в том числе и какой-то самописный, используемый только в вашей организации. Нужен комплексный подход к детектированию: по пакетам, через попытку активной эксплуатации и через композиционный анализ с помощью агентов. На последнем пункте наибольший акцент, т.к. это их относительно свежая фича - надо продвигать. 😏 Ещё отдельным пунктом идёт поиск в контейнерах, но в принципе это тот же поиск по пакетам и композиционный анализ.
2. Парочка проблем с композиционным анализом, которые есть у традиционных безагентных сканеров (потому что время сканирования одного хоста ограничено) и которые могут решаться с помощью агентов (работающих тихонько в фоне сколько потребуется):
🔹 Честный поиск по файловой системе find-ом будет занимать слишком много времени, что приводит к вынужденному ограничению глубины поиска или использованию стандартных директорий. А уязвимые компоненты могут засунуть куда угодно.
🔹 Детектирование активных процессов при помощи ps даст вам ситуацию только в моменте. А надо бы постоянно мониторить.
3. Довольно прикольная метафора композиционного анализа:
"В области обнаружения уязвимостей традиционные методы сродни навигации по городу по заранее заданным маршрутам. Эти маршруты могут охватывать главные улицы и известные районы, но не подходят для изучения каждого уголка города. Аналогично, традиционные методы обнаружения полагаются на стандартные каталоги и активные процессы, следуя заранее определенным путям, и поэтому могут не заметить уязвимости, скрытые в нетрадиционных местах.
Откройте для себя Qualys Software Composition Analysis (SwCA) , который революционизирует процесс обнаружения уязвимостей, применяя технику сканирования файловой системы. Этот метод аналогичен автомобилям Google Street View, которые тщательно проезжают по каждой улице, захватывая подробный вид всего городского пейзажа.
Точно так же, как автомобили Street View обеспечивают комплексное визуальное представление города, Qualys SwCA систематически просматривает файловую систему, не оставляя ни одной части неисследованной. Такой исчерпывающий подход гарантирует обнаружение уязвимостей независимо от их местоположения в цифровом городе. Подобно просмотру улиц, который фиксирует каждый угол и переулок, Qualys SwCA выявляет уязвимости, глубоко внедренные в сложные структуры каталогов, обеспечивая панорамное представление о программном ландшафте.
Аналогия распространяется и на идею полноты и точности. Подобно тому, как Street View стремится отразить истинное отражение реального мира, Qualys SwCA стремится обеспечить подлинное и полное представление программной среды. Всеобъемлющий характер обоих подходов гарантирует, что ничто не ускользнет от пристального внимания, предлагая уровень тщательности, которого с трудом достигают традиционные методы."
Ох уж этот чарующий аромат беспощадного американского маркетинга. ☕️😅 Но спору нет. Если есть возможность, то лучше не ограничиваться детектами только по пакетам, а смотреть вглубь и улучшать качество детектирования насколько это возможно. Ради этого, собственно, сканеры уязвимостей и покупают. 😉
@avleonovrus #Qualys #QualysSwCA #SCA #Apache #Struts #Struts2
1. Есть такие "глубоко встроенные уязвимости" (deep-embedded vulnerabilities) типа Log4Shell или RCE-шек в Apache Struts. Их недостаточно детектить просто по версиям пакетов, т.к. такие уязвимые либы и фреймворки могут встраиваться в самый разнообразный софт, в том числе и какой-то самописный, используемый только в вашей организации. Нужен комплексный подход к детектированию: по пакетам, через попытку активной эксплуатации и через композиционный анализ с помощью агентов. На последнем пункте наибольший акцент, т.к. это их относительно свежая фича - надо продвигать. 😏 Ещё отдельным пунктом идёт поиск в контейнерах, но в принципе это тот же поиск по пакетам и композиционный анализ.
2. Парочка проблем с композиционным анализом, которые есть у традиционных безагентных сканеров (потому что время сканирования одного хоста ограничено) и которые могут решаться с помощью агентов (работающих тихонько в фоне сколько потребуется):
🔹 Честный поиск по файловой системе find-ом будет занимать слишком много времени, что приводит к вынужденному ограничению глубины поиска или использованию стандартных директорий. А уязвимые компоненты могут засунуть куда угодно.
🔹 Детектирование активных процессов при помощи ps даст вам ситуацию только в моменте. А надо бы постоянно мониторить.
3. Довольно прикольная метафора композиционного анализа:
"В области обнаружения уязвимостей традиционные методы сродни навигации по городу по заранее заданным маршрутам. Эти маршруты могут охватывать главные улицы и известные районы, но не подходят для изучения каждого уголка города. Аналогично, традиционные методы обнаружения полагаются на стандартные каталоги и активные процессы, следуя заранее определенным путям, и поэтому могут не заметить уязвимости, скрытые в нетрадиционных местах.
Откройте для себя Qualys Software Composition Analysis (SwCA) , который революционизирует процесс обнаружения уязвимостей, применяя технику сканирования файловой системы. Этот метод аналогичен автомобилям Google Street View, которые тщательно проезжают по каждой улице, захватывая подробный вид всего городского пейзажа.
Точно так же, как автомобили Street View обеспечивают комплексное визуальное представление города, Qualys SwCA систематически просматривает файловую систему, не оставляя ни одной части неисследованной. Такой исчерпывающий подход гарантирует обнаружение уязвимостей независимо от их местоположения в цифровом городе. Подобно просмотру улиц, который фиксирует каждый угол и переулок, Qualys SwCA выявляет уязвимости, глубоко внедренные в сложные структуры каталогов, обеспечивая панорамное представление о программном ландшафте.
Аналогия распространяется и на идею полноты и точности. Подобно тому, как Street View стремится отразить истинное отражение реального мира, Qualys SwCA стремится обеспечить подлинное и полное представление программной среды. Всеобъемлющий характер обоих подходов гарантирует, что ничто не ускользнет от пристального внимания, предлагая уровень тщательности, которого с трудом достигают традиционные методы."
Ох уж этот чарующий аромат беспощадного американского маркетинга. ☕️😅 Но спору нет. Если есть возможность, то лучше не ограничиваться детектами только по пакетам, а смотреть вглубь и улучшать качество детектирования насколько это возможно. Ради этого, собственно, сканеры уязвимостей и покупают. 😉
@avleonovrus #Qualys #QualysSwCA #SCA #Apache #Struts #Struts2