Joint advi­so­ry AA22-279A (1/4)

Пожалуй хватит общих слов, давайте про уязвимости. 🙂 Очередная двадцатка уязвимостей от CISA, NSA и FBI. Joint cyber­se­cu­ri­ty advi­so­ry (CSA) AA22-279A. Не могут американцы просто выпустить список "20 уязвимостей через которые чаще всего ломают американские организации". Обязательно нужно вставить геополитику и указать на какую-то страну. Поэтому вопрос атрибуции атак оставляю без комментариев.

Но сами такие списки люблю по ряду причин:

1) Они показывают на какие CVE нужно обратить внимание. Это самое очевидное. Заметили такое в инфраструктуре — бегите исправлять.
2) Они показывают софты, за которыми нужно следить в первую очередь. А ваш сканер уязвимостей должен хорошо эти софты поддерживать.
3) Они показывают группы софтов, за которыми нужно следить в первую очередь. Обычно это то, что доступно широкому кругу пользователей или что неудобно обновлять.
4) Они показывают типы уязвимостей, на которые нужно обращать внимание в первую очередь.
5) Такие листы уязвимостей относительно компактные, их даже руками можно разобрать.

Не могу не отметить, насколько халтурно выполнен репорт. Описание уязвимостей подтянули автоматом с NVD. Включая такое: "Microsoft Exchange Serv­er remote code exe­cu­tion vul­ner­a­bil­i­ty. This CVE ID dif­fers from CVE-2021–26412, CVE-2021–26854, CVE-2021–26855, CVE-2021–26858, CVE-2021–27065, and CVE-2021–27078". Могли бы потрудиться и написать уникальный текст по каждой из 20 CVE-шек, ну правда. Joint advi­so­ry от трех серьезных организаций, но кажется всем настолько наплевать.

Исходный список:

1) Apache Log4j CVE-2021–44228 Remote Code Exe­cu­tion
2) Pulse Con­nect Secure CVE-2019–11510 Arbi­trary File Read
3) Git­Lab CE/EE CVE-2021–22205 Remote Code Exe­cu­tion
4) Atlass­ian CVE-2022–26134 Remote Code Exe­cu­tion
5) Microsoft Exchange CVE-2021–26855 Remote Code Exe­cu­tion
6) F5 Big-IP CVE-2020–5902 Remote Code Exe­cu­tion
7) VMware vCen­ter Serv­er CVE-2021–22005 Arbi­trary File Upload
8) Cit­rix ADC CVE-2019–19781 Path Tra­ver­sal
9) Cis­co Hyper­flex CVE-2021–1497 Com­mand Line Exe­cu­tion
10) Buf­fa­lo WSR CVE-2021–20090 Rel­a­tive Path Tra­ver­sal
11) Atlass­ian Con­flu­ence Serv­er and Data Cen­ter CVE-2021–26084 Remote Code Exe­cu­tion
12) Hikvi­sion Web­serv­er CVE-2021–36260 Com­mand Injec­tion
13) Sitecore XP CVE-2021–42237 Remote Code Exe­cu­tion
14) F5 Big-IP CVE-2022–1388 Remote Code Exe­cu­tion
15) Apache CVE-2022–24112 Authen­ti­ca­tion Bypass by Spoof­ing
16) ZOHO CVE-2021–40539 Remote Code Exe­cu­tion
17) Microsoft CVE-2021–26857 Remote Code Exe­cu­tion
18) Microsoft CVE-2021–26858 Remote Code Exe­cu­tion
19) Microsoft CVE-2021–27065 Remote Code Exe­cu­tion
20) Apache HTTP Serv­er CVE-2021–41773 Path Tra­ver­sal

Я конечно не отказал себе в удовольствии загнать список CVE-шек в свой Vul­ris­tics, чтобы посмотреть как он справится и подтюнить его при необходимости.

$ python3.8 vulristics.py –report-type "cve_list" –cve-project-name "AA22-279A" –cve-list-path joint_cves.txt –cve-data-sources "ms,nvd,vulners,attackerkb" –cve-com­ments-path comments.txt –rewrite-flag "True"

Отчет здесь: https://avleonov.com/vulristics_reports/aa22-279a_report_with_comments_ext_img.html

Дальше будут некоторые комментарии про то, что в итоге получилось.