Новая потенциально горячая уязвимость CVE-2022-42889 (9.8 CVSS) в версиях Apache Commons Text с 1.5 до 1.9. Proof-of-concept эксплоит в паблике, но про атаки вживую пока не пишут. Проблема может развиться в "Log4Shell а миниатюре".
Joint advisory AA22-279A (4/4)
3. Продетектированные типы уязвимостей.
Remote Code Execution
Command Injection
Arbitrary File Reading
Authentication Bypass
Path Traversal
Как видим все уязвимости очевидно критичные за исключением одного "Path Traversal":
Path Traversal - Citrix Application Delivery Controller (CVE-2019-19781)
Описание уязвимости не оставляет никаких возможностей для детектирования другого типа:
"An issue was discovered in Citrix Application Delivery Controller (ADC) and Gateway 10.5, 11.1, 12.0, 12.1, and 13.0. They allow Directory Traversal".
Этот же тип указывается в отчете AA22-279A: Citrix ADC CVE-2019-19781 Path Traversal
И только в описании эксплоита мы можем видеть, что это по факту RCE: "This tool exploits a directory traversal bug within Citrix ADC (NetScalers) which calls a perl script that is used to append files in an XML format to the victim machine. This in turn allows for remote code execution."
Что ж, это очередное напоминание о том, что жестко фильтроваться по типу уязвимости нельзя и доверять описанию из nvd тоже нельзя. Тип уязвимости может уточняться со временем, а изменения в NVD никто не вносит.
В части случаев Vulristics может помочь более точно определить тип уязвимости:
AA22-279A: Apache HTTP Server CVE-2021-41773 Path Traversal
Vulristics: Remote Code Execution - Apache HTTP Server (CVE-2021-41773)
Почему? Потому что в описании "If CGI scripts are also enabled for these aliased pathes, this could allow for remote code execution."
Но конечно Vulristics это не серебряная пуля и кроме ручного разбора публикаций об уязвимостях и эксплоитах тут ничего не придумаешь.
Также не могу не указать, что ещё для части уязвимостей Vulrisitcs определил типы уязвимостей более корректно в соответствии с описанием:
AA22-279A: GitLab CE/EE CVE-2021-22205 Remote Code Execution
Vulristics: Command Injection - GitLab (CVE-2021-22205) - Urgent [947]
"… which resulted in a remote command execution."
AA22-279A: Sitecore XP CVE-2021-42237 Remote Code Execution
Vulristics: Sitecore Experience Platform (XP) (CVE-2021-42237)
"… it is possible to achieve remote command execution on the machine."
AA22-279A: VMware vCenter Server CVE-2021-22005 Arbitrary File Upload
Vulristics: Remote Code Execution - VMware vCenter (CVE-2021-22005)
"…may exploit this issue to execute code on vCenter Server by uploading a specially crafted file."
AA22-279A: F5 Big-IP CVE-2022-1388 Remote Code Execution
Vulristics: Authentication Bypass - BIG-IP (CVE-2022-1388)
… undisclosed requests may bypass iControl REST authentication"
AA22-279A: Apache HTTP Server CVE-2021-41773 Path Traversal
Vulristics: Remote Code Execution - Apache HTTP Server (CVE-2021-41773)
"… this could allow for remote code execution."
AA22-279A: Apache CVE-2022-24112 Authentication Bypass by Spoofing
Vulristics: Remote Code Execution - Apache APISIX (CVE-2022-24112)
"… is vulnerable to remote code execution."
AA22-279A: Buffalo WSR CVE-2021-20090 Relative Path Traversal
Vulristics: Authentication Bypass - Buffalo WSR (CVE-2021-20090)
"… allow unauthenticated remote attackers to bypass authentication."
Поэтому не спешите доверять типу уязвимости из CISA Known Exploited Vulnerabilities Catalog и учитывать его при приоритизации.
Joint advisory AA22-279A (3/4)
2. Vulristics определил все уязвимости как уязвимости наивысшего уровня критичности (Urgent). Для всех уязвимостей нашлись публичные эксплоиты.
При этом если смотреть по CVSS, то там такое:
All vulnerabilities: 20
Critical: 16
High: 4
Medium: 0
Low: 0
Если вы используете CVSS для приоритизации, не забывайте про уязвимости уровня High.
Joint advisory AA22-279A (2/4)
1. Уязвимые софты.
Если смотреть на список уязвимых софтов, то часть из них очевидно должны были попасть в этот репорт. В последнее время было очень много публикаций об использовании уязвимостей этих софтов в реальных атаках:
Apache HTTP Server
Apache Log4j2
GitLab
Microsoft Exchange
Confluence Server
Zoho ManageEngine ADSelfService Plus
Pulse Connect Secure
По софтам из другой группы тоже были публикации об атаках, но кажется они более нишевые и меньше воспринимаются как цели для злоумышленников (а зря):
BIG-IP
Citrix Application Delivery Controller
VMware vCenter
Cisco HyperFlex HX
И наконец есть достаточно экзотичные софты и продукты, видимо отражающие специфику американского IT:
Sitecore Experience Platform (XP)
Hikvision Web Server
Apache APISIX
Buffalo WSR
Joint advisory AA22-279A (1/4)
Пожалуй хватит общих слов, давайте про уязвимости. 🙂 Очередная двадцатка уязвимостей от CISA, NSA и FBI. Joint cybersecurity advisory (CSA) AA22-279A. Не могут американцы просто выпустить список "20 уязвимостей через которые чаще всего ломают американские организации". Обязательно нужно вставить геополитику и указать на какую-то страну. Поэтому вопрос атрибуции атак оставляю без комментариев.
Но сами такие списки люблю по ряду причин:
1) Они показывают на какие CVE нужно обратить внимание. Это самое очевидное. Заметили такое в инфраструктуре - бегите исправлять.
2) Они показывают софты, за которыми нужно следить в первую очередь. А ваш сканер уязвимостей должен хорошо эти софты поддерживать.
3) Они показывают группы софтов, за которыми нужно следить в первую очередь. Обычно это то, что доступно широкому кругу пользователей или что неудобно обновлять.
4) Они показывают типы уязвимостей, на которые нужно обращать внимание в первую очередь.
5) Такие листы уязвимостей относительно компактные, их даже руками можно разобрать.
Не могу не отметить, насколько халтурно выполнен репорт. Описание уязвимостей подтянули автоматом с NVD. Включая такое: "Microsoft Exchange Server remote code execution vulnerability. This CVE ID differs from CVE-2021-26412, CVE-2021-26854, CVE-2021-26855, CVE-2021-26858, CVE-2021-27065, and CVE-2021-27078". Могли бы потрудиться и написать уникальный текст по каждой из 20 CVE-шек, ну правда. Joint advisory от трех серьезных организаций, но кажется всем настолько наплевать.
Исходный список:
1) Apache Log4j CVE-2021-44228 Remote Code Execution
2) Pulse Connect Secure CVE-2019-11510 Arbitrary File Read
3) GitLab CE/EE CVE-2021-22205 Remote Code Execution
4) Atlassian CVE-2022-26134 Remote Code Execution
5) Microsoft Exchange CVE-2021-26855 Remote Code Execution
6) F5 Big-IP CVE-2020-5902 Remote Code Execution
7) VMware vCenter Server CVE-2021-22005 Arbitrary File Upload
8) Citrix ADC CVE-2019-19781 Path Traversal
9) Cisco Hyperflex CVE-2021-1497 Command Line Execution
10) Buffalo WSR CVE-2021-20090 Relative Path Traversal
11) Atlassian Confluence Server and Data Center CVE-2021-26084 Remote Code Execution
12) Hikvision Webserver CVE-2021-36260 Command Injection
13) Sitecore XP CVE-2021-42237 Remote Code Execution
14) F5 Big-IP CVE-2022-1388 Remote Code Execution
15) Apache CVE-2022-24112 Authentication Bypass by Spoofing
16) ZOHO CVE-2021-40539 Remote Code Execution
17) Microsoft CVE-2021-26857 Remote Code Execution
18) Microsoft CVE-2021-26858 Remote Code Execution
19) Microsoft CVE-2021-27065 Remote Code Execution
20) Apache HTTP Server CVE-2021-41773 Path Traversal
Я конечно не отказал себе в удовольствии загнать список CVE-шек в свой Vulristics, чтобы посмотреть как он справится и подтюнить его при необходимости.
$ python3.8 vulristics.py --report-type "cve_list" --cve-project-name "AA22-279A" --cve-list-path joint_cves.txt --cve-data-sources "ms,nvd,vulners,attackerkb" --cve-comments-path comments.txt --rewrite-flag "True"
Отчет здесь: https://avleonov.com/vulristics_reports/aa22-279a_report_with_comments_ext_img.html
Дальше будут некоторые комментарии про то, что в итоге получилось.
Теперь давайте посмотрим на Tenable One, который представили на прошлой неделе.
Это "Exposure Management Platform". Адекватного перевода на русский для "exposure management" так и нет. Часто не заморачиваются и переводят как "управления рисками". Я тоже к этому склоняюсь. Хотя в отечественном VM-е с подачи Postive Technologies использовать слово "риск" теперь не комильфо, теперь в ходу "неприемлемые события". 🧐 С терминологией всё непросто. 🙂
Этот Tenable One это верхний уровень над 6 базовыми продуктами Tenable:
1. Tenable Lumin
2. Tenable.io Vulnerability Management
3. Tenable.io Web Application Scanning
4. Tenable.cs Cloud Security
5. Tenable.ad Active Directory Security
6. Tenable.asm Attack Surface Management
Кстати, вы видите среди продуктов Tenable.sc (Security Center), не говоря уже о Nessus? On-Prem за бортом. Развивается только облако.
Tenable One объединяет данные из этих продуктов "в единое представление, помогающее организациям получать информацию, расставлять приоритеты и сообщать о киберрисках".
А фактически помогает отчитываться перед руководством, рассказывать как там у нас вообще дела с безопасностью. 😉 "Tenable One предоставляет руководителям служб безопасности и бизнес-руководителям централизованное и ориентированное на бизнес представление о кибер-рисках с четкими ключевыми показателями эффективности (KPI)"
Что в рамках Tenable One предлагают:
1. Asset Inventory - искалка по активам. Вроде достаточно удобная. По факту GUI над эластикой. Нужна потому, что продуктов уже куча и большая часть этих продуктов это стартапы приобретенные. Без единого инструмента для управления активами никуда. Доступно в Tenable One Standard.
2. Exposure View - дашбордики для руководства. Красиво, загадочно. Есть графики, которые вверх идут или вниз и светофорчик с большой буквой-оценкой. Это по сути развитие продукта Lumin. По задумке Tenable это должно отвечать на вопросы "Насколько мы в безопасности? Где мы находимся в наших усилиях по предотвращению и смягчению последствий? Как у нас дела с течением времени и каковы ключевые события?" Доступно в Tenable One Enterprise.
3. Attack Path Analysis - для этого ещё даже обзоров пока нет. Будут как-то цепочки атак анализировать. А как они будут это делать без анализа сетевых конфигов? Они же не Skybox. Или будут с хостов будут пробовать соединения устанавливать и на этом основании делать вывод? Пока непонятно. Доступно в Tenable One Enterprise.
К релизу у них вышло 2 ролика: в одном про горы, общие слова, шутейки, а в другом про дружную команду и дайверсити. В целом, не сказать что в релизе есть что-то вызывающее wow-эффект. Скорее попытка объединить кучу разрозненных закупленных решений во что-то единое и мало-мальски юзабельное. Типа давайте хоть какую-то аналитику по собранным данным изобразим на скорую руку. Но про Attack Path Analysis было довольно интригующе, как будут подробности ознакомлюсь.
"Skybox Security представляют первое в отрасли решение SaaS для Security Policy и Vulnerability Management в гибридных средах". Норм заголовок. Первое! Вот в Qualys и Tenable удивятся. У них-то не было SaaS решений для Security Policy и Vulnerability Management. И облака они оказывается не поддерживают. 😏 Бессмысленный и беспощадный маркетинг.
На что можно обратить внимание:
1. Skybox продолжают фокусироваться на сетевой доступности: "hybrid network modeling, path analysis, and automation".
2. Очередная модная аббревиатура от Gartner - Cyber Asset Attack Surface Management (CAASM) пошла в дело. В прошлый раз у нас тут проскакивал EASM.
3. Делают акцент на интеграции со сторонними API (150 интеграции) и рекомендациях по настройке ("automatically provides remediation options").
4. "Первое в отрасли решение для автоматического сопоставления уязвимостей с типом вредоносного ПО… программы-вымогатели, Remote Access Trojans (RAT), ботнеты, майнеры криптовалюты, трояны". Витает в воздухе тема, но публичных адекватных мапингов CVE на малварь пока нет. Поэтому хорошая дополнительная фича для коммерческих решений.
Отзывы клиентов, конечно, милота.
"They were getting burned out. So, this has changed at least one of my engineers' lives. He actually said it over and over, 'This is the best thing that's ever happened to me.' Had it been anyone else, I doubt we would have kept anyone in that position for long." – Information Security Manager, Financial Services Organization
День Рождения не был на праздник похож, был скучным, был грустным, безрадостным…
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.