Про уязвимость Remote Code Execution - FortiManager "FortiJump" (CVE-2024-47575)

Про уязвимость Remote Code Execution - FortiManager FortiJump (CVE-2024-47575)

Про уязвимость Remote Code Execution - FortiManager "FortiJump" (CVE-2024-47575). FortiManager - решение для централизованного конфигурирования, применение политик, обновление и мониторинга сетевых устройств Fortinet.

🔻 Уязвимость вышла 23 октября. Отсутствие аутентификации для критической функции в демоне fgfmd (FortiGate-to-FortiManager) на устройствах FortiManager позволяет удалённому злоумышленнику выполнять произвольный код или команды с помощью специальных запросов. Сразу были признаки эксплуатации вживую и уязвимость добавили в CISA KEV.

🔻 15 ноября WatchTowr Labs опубликовали пост об этой уязвимости, которую они назвали "FortiJump". В посте есть видео эксплуатации и ссылка на PoC эксплоита. Исследователи указали, что индикаторы компрометации из бюллетеня Fortinet можно обходить. А сам патч оказался неполным. На пропатченном устройстве можно повышать привилегии, эксплуатируя уязвимость, которую watchTowr Labs назвали "FortiJump Higher".

Cyber Media выпустили аналитическое сравнение российских продуктов по Управлению Уязвимостями

Cyber Media выпустили аналитическое сравнение российских продуктов по Управлению Уязвимостями

Cyber Media выпустили аналитическое сравнение российских продуктов по Управлению Уязвимостями. В сравнение попали 8 on-prem продуктов:

🔹 MaxPatrol 8
🔹 MaxPatrol VM
🔹 R-Vision VM
🔹 RedCheck
🔹 ScanFactory VM
🔹 ScanOVAL
🔹 Security Vision VM
🔹 Сканер-ВС 7 (непубличная бета)

Подготовка таких сравнений дело трудоёмкое, неблагодарное, я бы даже сказал рискованное. Обязательно найдутся недовольные. Особенно, если сравнение предполагает какое-то ранжирование. 🥇🥈🥉 В документе в явном виде оценки решений не приводятся, но порядок перечисления решений в выводах наводит на некоторые предпочтения авторов. 😏 По самим выводам могу сказать только то, что я обращал бы внимание на другие моменты. Вот не думаю, что сканирование портов nmap-ом (или не nmap-ом) является чем-то определяющим для VM-решения. 🙂

Основная часть документа это 2 сравнительные таблицы по "Основным критериям" и "Расширенным критериям". Основные критерии авторы сформировали сами, расширенные - с учётом предложений от участников. Заполнение таблицы делалось путём общения с вендорами, клиентами, интеграторами, экспертами-консультантами. Если что, меня к этому ни в каком виде не привлекали. 😅

Определение критериев сравнения - суперсубъективная вещь. Какие критерии выберешь, такие результаты и получишь. 😏 Как по мне, это сравнение очень слабо отражает возможности решений по непосредственному детектированию уязвимостей, буквально только одним пунктом "5.18. Список поддерживаемых для сканирования систем/решений" (плюс пара пунктов про Docker). Здесь я хотел бы видеть гораздо большую детализацию, хотя и понимаю, что это весьма трудоёмко.

В целом, документ очень интересный, объёмный и, я уверен, полезный для российского VM-сообщества. И для клиентов, и для вендоров. Как минимум как основа для собственных сравнений. 😉 Рекомендую ознакомиться.

13 ноября NIST NVD наконец признали очевидное: им не удалось разобрать бэклог по анализу CVE до конца фискального года (30 сентября)

13 ноября NIST NVD наконец признали очевидное: им не удалось разобрать бэклог по анализу CVE до конца фискального года (30 сентября)

13 ноября NIST NVD наконец признали очевидное: им не удалось разобрать бэклог по анализу CVE до конца фискального года (30 сентября). Что, в общем-то, видно в их же статистике. На текущий момент в бэклоге 19860 идентификаторов. За эту неделю новых CVE поступило 1136, а проанализировали они только 510. И это не какая-то аномальная неделя, это сейчас норма. Они не справляются с разбором нового, чего уже говорить о бэклоге. Кризис продолжается.

При этом в сообщении они почему-то пишут, что у них полная команда аналитиков, и они обрабатывают все входящие CVE по мере их загрузки в систему. Но почему тогда их статистика показывает обратное?

Они пишут, что теперь обрабатывают все уязвимости из CISA KEV. И это хорошо. Но в CISA KEV за 2024 год добавили пока только 162 CVE. Круто, что они осилили эти идентификаторы, но достижение, мягко говоря, не впечатляет.

Почему NVD не справляются с бэклогом?

Они пишут, что дело в формате данных от Authorized Data Providers (ADPs), видимо имея в виду под этим CISA Vulnrichment. NVD не могут эффективно импортировать и улучшать данные в этом формате. Чтобы это делать они разрабатывают какие-то "новые системы".

То есть мало того, что они расписались в неспособности анализировать уязвимости самостоятельно и готовы использовать чужие данные as is, они ещё и не могут парсеры-конвертеры писать за адекватное время. 🐾 Просто удивительные. 🤦‍♂️

И тут ещё прошла новость, что сенатор Рэнд Пол, новый председатель Senate Homeland Security Committee пообещал серьезно сократить полномочия CISA или полностью их ликвидировать. Наш слоняра! 😁🐘 Весь движ там из-за работы CISA "по противодействию дезинформации" перед американскими выборами. Но под это дело могут угробить единственного американского ИБ-регулятора, который делает хоть что-то полезное и в адекватные сроки. Молодцы, так держать. 👍

Ничего кроме дальнейшей деградации ждать не приходится.

Qualys выпустили QScanner - консольный сканер уязвимостей для образов контейнеров

Qualys выпустили QScanner - консольный сканер уязвимостей для образов контейнеров

Qualys выпустили QScanner - консольный сканер уязвимостей для образов контейнеров. Натравляем его на образ и получаем список уязвимостей (а-ля Trivy).

Поддерживает:

"Local Runtimes: Scan images from Docker, Containerd, or Podman.
Local Archives: Analyze Docker images or OCI layouts from local files.
Remote Registries: Connect to AWS ECR, Azure Container Registry, JFrog, GHCR, and more."

Возможности:

🔹 детектирует уязвимости пакетов ОС
🔹 Software Composition Analysis (SCA) для приложений на Ruby, Rust, PHP, Java, Go, Python, .NET и Node.js.
🔹 детектирует секреты (пароли, ключи API и токены)

Но не бесплатно. 🤷‍♂️💸🙂 Все кейсы, кроме генерации SBOM, требуют ACCESS_TOKEN и Platform POD. Т.е. нужен Qualys Container Security, где будут сохраняться результаты сканирования QScanner-ом.

Можно использовать для:

🔸 сканирования локальных образов на десктопах разрабоов
🔸 интеграции в CI/CD пайплайны
🔸 интеграции с реестрами

Концепция интересная. 👍

Участвовал сегодня в записи подкаста Global Digital Space про сканеры уязвимостей

Участвовал сегодня в записи подкаста Global Digital Space про сканеры уязвимостей

Участвовал сегодня в записи подкаста Global Digital Space про сканеры уязвимостей. Моими собеседниками были Владимир Иванов (ScanFactory), Кирилл Селезнев (CICADA8). Модерировал Лука Сафонов.

Меня сегодня больше всего поразило насколько разные подходы к сканеру уязвимостей могут быть у

🔹 дефенсеров и оффенсеров
🔹 вендоров EASM-а и вендоров VM-а
🔹 апсеков и инфрасеков

Я, естественно, был со стороны дефенса-VM-инфры 🙂. Получилось дискуссионно и местами жарко. 🔥🙂 С минимумом маркетинга и максимумом техники.

От записи остались очень приятные впечатления. Надеюсь, что после монтажа (и отрезания всего того, что в паблик лучше не выкладывать 😅), окончательный результат будет интересным. Когда ждать итоговое видео пока непонятно, но думаю через месяц-полтора.

Кстати, у GDS вышло несколько подкастов про уязвимости. В основном это, правда, не в сторону VM-а, а в сторону пентестов-багбаунти-триажа, но тоже любопытно посмотреть. 😉📺

Сегодня только и разговоров, что о кибербезе в Индонезии

Сегодня только и разговоров, что о кибербезе в Индонезии

Сегодня только и разговоров, что о кибербезе в Индонезии. 🙂 🇮🇩 Алексей Лукацкий выступает там с презентациями про утечки, шифровальщики и киберпреступность. Погружение в региональный контекст - очень круто, но с этнорелигиозными отсылками стоит быть аккуратнее, даже если с Бали не выезжать. 😉

Канал Кибервойна отмечает, что Индонезия в пятёрке стран по числу утечек данных, но при этом возглавляет индекс кибербезопасности МСЭ. 🤷‍♂️ Такие вот индексы. Также у них вышла подборка событий в сфере индонезийского кибербеза.

Евгений Баклушин напоминает о своей статье про ИБ Индонезии, из которой я делал выжимку.

Очень радует, что российские ИБ компании начали проявлять интерес к Индонезии. Появляются образовательные проекты. Kaspersky недавно провёл там конфу. 👍 Имхо, страна очень перспективная.

Приглашаю ИБшников, связанных с Индонезией, синхронизироваться в закрытом чатике Нусантара Кибербез (добавляю через личку). 😉

Ноябрьский Microsoft Patch Tuesday

Ноябрьский Microsoft Patch Tuesday

Ноябрьский Microsoft Patch Tuesday. 125 CVE, из которых 35 были добавлены с октябрьского MSPT. 2 уязвимости с признаками эксплуатации вживую:

🔻 Elevation of Privilege - Windows Task Scheduler (CVE-2024-49039)
🔻 Disclosure/Spoofing - NTLM Hash (CVE-2024-43451)

Без признаков эксплуатации, но с приватным PoC-ом эксплоита:

🔸 Remote Code Execution - Microsoft Edge (CVE-2024-43595, CVE-2024-43596)
🔸 Authentication Bypass - Azure Functions (CVE-2024-38204)
🔸 Authentication Bypass - Microsoft Dataverse (CVE-2024-38139)
🔸 Spoofing - Microsoft Exchange (CVE-2024-49040)

Из остальных можно выделить:

🔹Remote Code Execution - Windows Kerberos (CVE-2024-43639)
🔹Elevation of Privilege - Windows Win32k (CVE-2024-43636)
🔹Elevation of Privilege - Windows DWM Core Library (CVE-2024-43629)
🔹Elevation of Privilege - Windows NT OS Kernel (CVE-2024-43623)

🗒 Полный отчёт Vulristics