Qualys TRU выявили 9 уязвимостей в AppArmor, названных "CrackArmor"

Добавить комментарий

Qualys TRU выявили 9 уязвимостей в AppArmor, названных CrackArmor

Qualys TRU выявили 9 уязвимостей в AppArmor, названных "CrackArmor".

🔻 AppArmor - это механизм Mandatory Access Control, который используется по умолчанию в Ubuntu, Debian, SUSE и многих облачных платформах. Он повсеместно применяется в корпоративных средах, Kubernetes, IoT и edge-средах.

🔻 CrackArmor позволяет непривилегированным пользователям обходить ограничения user-namespace и выполнять произвольный код в ядре, локально повышать привилегии до root через взаимодействие с Sudo и Postfix, вызывать DoS-атаки из-за переполнения стека и обходить KASLR с помощью чтения за пределами допустимых границ памяти.

🔻 Уязвимы все версии ядра Linux, начиная с v4.11, на любых дистрибутивах с AppArmor - Ubuntu, Debian, SUSE и производные.

🔻 CVE-шек ещё нет, ждём команду Linux Kernel. 🤷‍♂️ Текущий статус: "2026-03-12: The patches are published upstream in Linus's tree."

🔻 У Qualys есть все PoC-и, но в паблик они их пока не выкладывали. Есть технический бюллетень.

Rapid7 презентуют Metasploit Pro 5.0.0 - коммерческую платформу для тестирования на проникновение

Добавить комментарий

Rapid7 презентуют Metasploit Pro 5.0.0 - коммерческую платформу для тестирования на проникновениеRapid7 презентуют Metasploit Pro 5.0.0 - коммерческую платформу для тестирования на проникновениеRapid7 презентуют Metasploit Pro 5.0.0 - коммерческую платформу для тестирования на проникновениеRapid7 презентуют Metasploit Pro 5.0.0 - коммерческую платформу для тестирования на проникновениеRapid7 презентуют Metasploit Pro 5.0.0 - коммерческую платформу для тестирования на проникновениеRapid7 презентуют Metasploit Pro 5.0.0 - коммерческую платформу для тестирования на проникновениеRapid7 презентуют Metasploit Pro 5.0.0 - коммерческую платформу для тестирования на проникновение

Rapid7 презентуют Metasploit Pro 5.0.0 - коммерческую платформу для тестирования на проникновение.

🔴 Основной мессадж "The Face of Penetration Testing is Changing": Red-teaming становится непрерывным процессом. С ростом числа эксплуатируемых CVE ежегодные тесты недостаточны. Нужна постоянная оценка экспозиций и защищенности. Metasploit Pro 5.0.0 предлагает новый подход с простым рабочим процессом, мощными модулями и критическими улучшениями, позволяя опережать растущие угрозы.

Подчёркивают:

🔹 Интуитивный интерфейс и визуализация сетевой топологии.
🔹 Детектирование уязвимостей, позволяющее видеть полную информацию до попытки эксплуатации.
🔹 Улучшенный рабочий процесс: умные подсказки параметров, ручная настройка payload-ов, быстрый повторный запуск модулей.
🔹 Обнаружение и эксплуатация уязвимостей AD CS, включая ESC9, ESC10 и ESC16.
🔹 Тегирование сессий.
🔹 SAML SSO для единого входа с корпоративной аутентификацией и MFA.

На сайте ФСТЭК 10 марта был опубликован документ с рекомендациями по защите сетевого периметра информационных (автоматизированных) систем

Добавить комментарий

На сайте ФСТЭК 10 марта был опубликован документ с рекомендациями по защите сетевого периметра информационных (автоматизированных) систем

На сайте ФСТЭК 10 марта был опубликован документ с рекомендациями по защите сетевого периметра информационных (автоматизированных) систем. Документ на 6 страниц, содержит требования, оформленные в 8 групп (символом ✳️ я отметил то, что непосредственно относится к Управлению Уязвимостями):

1. Администрирование, управление конфигурацией и эксплуатацией сетевых устройств: 1.1 администрировать пограничные устройства с изолированных рабочих мест; 1.2 использовать сертификаты или сложные пароли; 1.3 применять уникальные пароли; 1.4 контролировать и журналировать изменения конфигурации; ✳️ 1.5 выявлять и блокировать нелегитимные внешние сервисы; ✳️ 1.6 вести учёт устройств на сетевом периметре; ✳️ 1.7 управлять устройствами с истекающей поддержкой; 1.8 запретить внешнее удалённое администрирование; 1.9 согласовывать изменения с ИБ; 1.10 использовать безопасные протоколы мониторинга.

2. Повышение устойчивости к DDoS-атакам: 2.1 настроить блокировку неразрешённого трафика; 2.2 фильтровать трафик через WAF; 2.3 включить защиту от DDoS; 2.4 ограничивать подключения с одного IP; 2.5 взаимодействовать с оператором связи для противодействия DDoS.

3. Сегментация сети и контроль доступа для защиты ключевых сегментов: 3.1 сегментировать сеть VLAN и локальными сетями; 3.2 контролировать трафик через ACL; 3.3 внедрить ZTNA; 3.4 запретить удалённое администрирование ядра сети; 3.5 создать DMZ с ограниченным доступом к внутренним сегментам.

4. Резервное копирование конфигов: 4.1 назначить ответственного за резервное копирование; 4.2 хранить ≥3 копий на разных носителях, одну отдельно; 4.3 копировать ежемесячно; 4.4 определить права на копирование; 4.5 сохранять критичные конфигурации (ACL, VLAN, NAT, учетные записи); 4.6 проверять восстановление каждые три месяца.

✳️ 5. Управление уязвимостями: 5.1 реализовать управление уязвимостями по Методике анализа защищенности (ФСТЭК 25.11.2025) и Руководству по управлению уязвимостями (ФСТЭК 17.05.2023); 5.2 устанавливать обновления безопасности на пограничных устройствах и тестировать их по Методике тестирования обновлений безопасности (ФСТЭК 28.10.2022) и Методике оценки критичности уязвимостей (ФСТЭК 30.06.2025).

6. Аутентификация и управление доступом: 6.1 централизованный контроль доступа через NAC и межсетевые экраны; 6.2 многофакторная аутентификация для админ-доступа; 6.3 разграничение ролей с минимальными привилегиями.

7. Регистрация и анализ событий ИБ: 7.1 централизованный сбор и анализ событий через SIEM; 7.2 хранение детальных журналов безопасности с временными метками; 7.3 оповещение администраторов о подозрительных действиях и изменениях.

8. Регулярные учения по реагированию на инциденты для проверки их эффективности и восстановления инфраструктуры.

Интересный и подробный документ. 👍 По VM-ной части весьма примечательно, что VM-процесс для периметра рекомендуют строить в соответствии с

🔹 Руководством по Анализу защищённости. Имеются в виду периодические внешние аудиты периметра сторонней организацией с соответствующими критериями успешности? 🤔

🔹 Руководством по организации процесса управления уязвимостями в органе/организации. Был весьма удивлён, т.к. давненько не встречал прямую ссылку на него в документах ФСТЭК. 😲 Всё больше общие требования к VM-процессу, как в 117 приказе или проекте "Мероприятий и мер". 🤷‍♂️

Про уязвимость Elevation of Privilege - Desktop Window Manager (CVE-2026-21519)

Добавить комментарий

Про уязвимость Elevation of Privilege - Desktop Window Manager (CVE-2026-21519)

Про уязвимость Elevation of Privilege - Desktop Window Manager (CVE-2026-21519). Уязвимость из февральского Microsoft Patch Tuesday. Desktop Window Manager - это композитный оконный менеджер, входящий в состав Windows, начиная с Windows Vista. Ошибка Type Confusion (CWE-843) в Desktop Window Manager позволяет авторизованному злоумышленнику локально повысить привилегии до уровня SYSTEM. Устраняя эту уязвимость, Microsoft, с высокой вероятностью, противодействовали тому же злоумышленнику, который эксплуатировал январскую уязвимость Information Disclosure (CVE-2026-20805) в том же компоненте. Возможно, первоначальное исправление не устранило проблему полностью.

👾 Microsoft сообщают об эксплуатации уязвимости в реальных атаках. Уязвимость в CISA KEV с 10 февраля.

🛠 Публичных эксплоитов пока нет.

Про уязвимость Elevation of Privilege - Windows RDS (CVE-2026-21533)

Добавить комментарий

Про уязвимость Elevation of Privilege - Windows RDS (CVE-2026-21533)

Про уязвимость Elevation of Privilege - Windows RDS (CVE-2026-21533). Уязвимость из февральского Microsoft Patch Tuesday. Remote Desktop Services (RDS) - это один из компонентов Microsoft Windows, который позволяет пользователю инициировать и управлять интерактивной сессией на удалённом компьютере или виртуальной машине через сетевое соединение с использованием протокола Remote Desktop Protocol (RDP). Неправильное управление привилегиями (CWE-269) в Windows Remote Desktop позволяет локальному злоумышленнику получить привилегии SYSTEM. По сообщению CrowdStrike, бинарный эксплойт изменяет ключ конфигурации службы ("service configuration key"), позволяя злоумышленнику повысить привилегии и добавить пользователя в группу Administrators.

👾 Microsoft сообщают об эксплуатации уязвимости в реальных атаках. Уязвимость в CISA KEV с 10 февраля.

🛠 Публичных эксплоитов пока нет. Но есть сообщения о продаже эксплоита за $220 000 на теневом форуме.

Мартовский Microsoft Patch Tuesday

Добавить комментарий

Мартовский Microsoft Patch Tuesday

Мартовский Microsoft Patch Tuesday. Всего 79 уязвимостей, примерно в полтора раза больше, чем в феврале. Совершенно аномально то, что в этот раз не было ни одной уязвимости с признаками эксплуатации или публичным эксплоитом! 🤔 Ну, во всяком случае пока. 😏

Можно выделить уязвимости:

🔹 RCE - Print Spooler (CVE-2026-23669), Office (CVE-2026-26110, CVE-2026-26113), Excel (CVE-2026-26107, CVE-2026-26108, CVE-2026-26109, CVE-2026-26112), SharePoint Server (CVE-2026-26106, CVE-2026-26114)
🔹 EoP - SQL Server (CVE-2026-21262, CVE-2026-26115, CVE-2026-26116), Windows Kernel (CVE-2026-24287, CVE-2026-24289, CVE-2026-26132), Windows Win32k (CVE-2026-24285), SMB Server (CVE-2026-24294, CVE-2026-26128), Windows Graphics Component (CVE-2026-23668), .NET (CVE-2026-26131)
🔹 DoS - .NET (CVE-2026-26127)

🗒 Полный отчёт Vulristics

На прошлой неделе у Jonathan Risto из SANS был занимательный пост о том, что на самом деле определяет, будет ли процесс Управления Уязвимостями/Экспозициями работать в организации или нет - это наличие эффективного принуждения к исполнению (enforcement)

Добавить комментарий

На прошлой неделе у Jonathan Risto из SANS был занимательный пост о том, что на самом деле определяет, будет ли процесс Управления Уязвимостями/Экспозициями работать в организации или нет - это наличие эффективного принуждения к исполнению (enforcement)На прошлой неделе у Jonathan Risto из SANS был занимательный пост о том, что на самом деле определяет, будет ли процесс Управления Уязвимостями/Экспозициями работать в организации или нет - это наличие эффективного принуждения к исполнению (enforcement)

На прошлой неделе у Jonathan Risto из SANS был занимательный пост о том, что на самом деле определяет, будет ли процесс Управления Уязвимостями/Экспозициями работать в организации или нет - это наличие эффективного принуждения к исполнению (enforcement). Jonathan описывает ситуацию, когда в организаций вроде как есть всё необходимое для нормального VM/EM процесса: сканеры, дашборды, SLA, процессы эскалации. Но принуждение к исполнению в организации слабое, и система постепенно адаптируется: дедлайны превращаются в рекомендации, ответственность ("ownership") становится предметом обсуждений, а принятые риски годами не пересматриваются ("stops being revisited"). 🫠 При этом вроде какая-то активность есть, но экспозиции практически не устраняются, растёт exposure debt.

Что имеет смысл делать в такой ситуации VM/EM-специалисту?

🔊 Попробовать достучаться до руководства. Подсветить управленческую проблему: решения принимаются, но не исполняются, поэтому экспозиции не снижаются и это приведёт к инцидентам.

📝 Формализовать всё. Фиксировать владельцев активов, конкретные задачи по исправлению, этапы исправления, risk acceptance, нарушения SLA и т.д. Это делает процессы максимально прозрачными и вы, как VM-щик, с меньшей вероятностью окажитесь "крайними".

🎯 Фокусироваться на реальном риске. Если всё не исправить, закрывать то, что действительно эксплуатируется (в первую очередь трендовые уязвимости) на наиболее критичных для бизнеса системах.

🚪 Если система не меняется - задуматься о смене работы. Это весьма грустно, но если в организации сплошная "электрификация" ("всем всё до лампочки" 😉), снизу это исправить практически нереально. А вот стать в итоге "козлом отпущения" можно запросто. Обязательно это учитывайте.