Архив за месяц: Май 2023

Чтение произвольных файлов в GitLab (CVE-2023-2825), CVSS Base Score 10 (!)

Чтение произвольных файлов в GitLab (CVE-2023-2825), CVSS Base Score 10 (!)
Чтение произвольных файлов в GitLab (CVE-2023-2825), CVSS Base Score 10 (!)Чтение произвольных файлов в GitLab (CVE-2023-2825), CVSS Base Score 10 (!)

Чтение произвольных файлов в GitLab (CVE-2023-2825), CVSS Base Score 10 (!). К счастью, уязвимость существует только в версии 16.0.0 и ранние версии не затронуты. А версия 16.0.0 вышла только 3 дня назад, поэтому пострадали только "ранние пташки".

Неаутентифицированный пользователь может читать произвольные файлы на сервере, когда "an attachment exists in a public project nested within at least five groups" 🤔

Кажется разбираться с этим доп. условием напряжнее, чем просто обновиться.

К слову, вот так выглядит CVSS вектор для Base Score 10: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N, на скриншоте в развернутом виде.

Вавилон 5 и информационная безопасность

Вавилон 5 и информационная безопасность

Вавилон 5 и информационная безопасность. Этим летом выходит анимационный фильм "Вавилон 5: Дорога домой". Я как фанат франшизы безусловно его жду. Все-таки с 2007-го ничего нового не выходило. 😅 Пока кадр с нарисованной станцией это всё, что есть. В связи с этим задумался, а чего в В5 есть на тему ИБ.

1. Компьютерная безопасность. В5 это, конечно, не франшиза про хакеров. Что-то там иногда взламывают, двери например. Но какого-то определяющего влияния на сюжет это не оказывает. Однако там есть существа прошаренные технологически настолько сильно, что это становится неотличимым от магии - техномаги. "Любая достаточно развитая технология неотличима от магии" (с)

2. Информационная безопасность. Наличие во вселенной B5 телепатов создаёт угрозу конфиденциальности информации похлеще любых хакеров. Зачем лезть в информационную систему, если можно залезть непосредственно человеку в голову. Не удивительно, что таких скилловых товарищей стараются поставить на учет и организовать в общественно полезный Psi Corps.

3. Инсайдеры. Вот что есть, то есть. Близкие друзья с промытыми мозгами, предающие неосознанно. Близкие друзья несущие в себе скрытую личность-шпиона. Близкие друзья, предающие осознанно, но вынужденно (подсаженному keeper-у особенно не посопротивляешься).

4. Недоверенные инструменты. Это моё любимое, оракул "Apocalypse Box" из спиноффа Крестовый Поход. Артефакт, который обладает личностью и может раскрывать информацию, датируемую тысячами лет. «Он дает вам преимущества. Он знает то, чего не знает никто другой. […] Но вы должны быть очень осторожны, потому что… он врёт. Не все время. Но этого достаточно». Как современные ChatGPT, которые вроде как и полезны, только периодически врут. 😏

Безопашка про уязвимости и новый R-Vision VM

Безопашка про уязвимости и новый R-Vision VM
Безопашка про уязвимости и новый R-Vision VMБезопашка про уязвимости и новый R-Vision VM

Безопашка про уязвимости и новый R-Vision VM. Вчера на PHDays 12 взял детский журнал от R-Vision для дочки, а там оказывается контент по нашей теме. Отличная метафора с забором и объяснение сложностей детектирования. Отсылку с кибержуликом тоже оценил. 👍😅 Предыдущие выпуски есть в электронном виде.

На стенде поговорили про новый R-Vision VM. Релиз ждем к сентябрю. R-Vision VM будет не только агрегатором уязвимостей от сторонних решений, в нем будут собственные детекты и они уже работают. Пока только в агентном режиме (Windows, Linux, MacOS). К сентябрю должно появиться и активное безагентное сканирование. Звучит весьма интригующе, ждем.

Вчера на PHDays 12 посетил "тайную комнату", в которой показывали продукты PT

Вчера на PHDays 12 посетил тайную комнату, в которой показывали продукты PTВчера на PHDays 12 посетил тайную комнату, в которой показывали продукты PTВчера на PHDays 12 посетил тайную комнату, в которой показывали продукты PTВчера на PHDays 12 посетил тайную комнату, в которой показывали продукты PTВчера на PHDays 12 посетил тайную комнату, в которой показывали продукты PTВчера на PHDays 12 посетил тайную комнату, в которой показывали продукты PT

Вчера на PHDays 12 посетил "тайную комнату", в которой показывали продукты PT. Приятно пообщались про MaxPatrol VM, в основном в части реализации оценки критичности уязвимостей по методике ФСТЭК.

Сейчас это реализовано через PDQL запросы, в которые добавили математические функции. Есть 2 варианта:

1. Через активы и группы. За счёт группы можно показать находится ли хост в DMZ, либо внутри. Но если с этим бардак и опубликованные активы могут находиться в произвольных сетках, то тут уж сами виноваты. 😏
2. Через пользовательские поля в карточке уязвимости. Практически ручной способ.

Основная проблема в CVSS. Методика требует "расчета базовых, временных и контекстных метрик". Базовые есть в NVD/БДУ. Временные иногда предоставляет вендор или их можно пробовать генерить. Контекстных по определению готовых нет и генерить их сложно. Поэтому, строго говоря, требования методики по учёту CVSS в MaxPatrol VM пока не реализуются в полной мере.

Positive Community Talent Award

Positive Community Talent Award
Positive Community Talent Award

Positive Community Talent Award. Вот такие штуки вручили. Видео на Youtube. Хороший повод немного порефлексировать.

1. Большое спасибо PT, а особенно команде VM! Понимаю, что вы здесь сильно поспособствовали. 🙂 Спасибо, что вы адекватно воспринимаете критику, которая с моей стороны иногда исходит. Вы крутые и по праву являетесь лидерами российского VM рынка. Я горжусь, что продолжительное время работал в PT, это мой бэкграунд и PT всегда в моём сердечке. ❤️

2. Большое спасибо подписчикам! Я считаю, что это наша общая награда. Судите сами, другие награды были за непосредственную работу связанную с комьюнити пользователей продуктов PT. А мне дали по сути за посты. Стал бы я их писать, если бы вас тут не было? Вряд ли. Когда вы читаете, ставите реакции, репостите, коментите в вк, вы тем самым участвуете в российском VM комьюнити, которое пока формируется, но обязательно оформится во что-то вполне осязаемое и функциональное.

Спасибо!

CyberOK делает "российский Shodan" - проект Rooster

CyberOK делает российский Shodan - проект RoosterCyberOK делает российский Shodan - проект Rooster

CyberOK делает "российский Shodan" - проект Rooster. Презентация "Интернет-картография в 2023 году. Чего не может Shodan." по названию может показаться не особенно интересной, но на самом деле там скрывается топовый контент обязательный для просмотра VM-щикам!

Начинается всё предсказуемо с обзора Global ASM (Attack Surface Management) решений. А затем идет подробный технический рассказ про то, как команда CyberOK делала свой высокопроизводительный сканер сетевого периметра, который способен сканировать всё адресное пространство IPv4 за 24 часа. Эта разработка шла для Минцифры, так что видимо это и есть начинка того самого "российского Shodanа" для рунета. Только, в отличие от Shodan-а, Rooster сканирует все TCP порты, а детекты уязвимостей у него не баннерные, а с активными "безопасными проверками"! Также там есть интересные решения по приоритизациии уязвимостей.

Меня презентация сильно впечатлила - активно рекомендую!

2023 год: точка бифуркации

2023 год: точка бифуркации

2023 год: точка бифуркации. В пике́ или на пи́ке?

Алексей Волков, VK: "Все последние инциденты, которые я знаю, которые произошли за последний год, были достаточно длительны во времени. С момента проникновения в инфраструктуру и до момента вредоносных действий проходило очень долгое время. 4-5 месяцев, а то и больше. Мне известны случаи, когда и по 1,5 года сидели в инфраструктуре и наблюдали. Самое главное, что причиной подавляющего числа инцидентов были НЕ использование каких-то серьезных инструментов, каких-то 0day, каких-то супер-техник и тактик. Причина большинства инцидентов - это банальный IT-шный бардак. Антивирус есть - не обновляется. Операционные системы - патчи не ставятся. Второй фактор не прикручен. Админки торчат наружу. Никакого управления доступом там в помине нет. Я уж не говорю о каких-то SSDLC. Когда мы говорим про то, что нужно делать прямо сейчас, все очень просто. Идите засучите рукава и наведите порядок в базе!"