Архив за месяц: Июнь 2023

Про ехать-не ехать

Добавить комментарий

Про ехать-не ехать. Сегодня интересное интервью президента Чехии вышло. Ссылку давать не буду, найдите-почитайте. Там он высказывается за "меры безопасности в отношение российских граждан" и строгий режим наблюдения со стороны спецслужб. Привел пример:

"во времена, когда началась Вторая мировая война, - тогда всё японское население, проживающее в Соединенных Штатах, также находилось под строгим режимом наблюдения".

Что было с японцами в США во время WW2 президент Чехии, генерал армии в отставке, не может не знать. Об этом можно почитать в википедии:

"Интернирование японцев в США — насильственное перемещение около 120 тысяч японцев (из которых 62 % имели американское гражданство) с западного побережья Соединённых Штатов Америки во время Второй мировой войны в концентрационные лагеря, официально называвшиеся «военными центрами перемещения»."

Намёк вполне прозрачный. Ехать-не ехать это пусть каждый сам для себя решает, но для российских граждан находиться сейчас на территории глобального Запада (особенно в восточных лимитрофах) кажется очень большой ошибкой, возможно фатальной. Берегите себя, выбирайте более безопасные локации для жизни.

Алексей Лукацкий задаётся вопросом: будет ли ФСТЭК переходить на CVSS 4.0?

4 комментария

Алексей Лукацкий задаётся вопросом: будет ли ФСТЭК переходить на CVSS 4.0?

Алексей Лукацкий задаётся вопросом: будет ли ФСТЭК переходить на CVSS 4.0? Мне это тоже интересно.

Имхо, CVSS это не священная корова и держаться за него не стоит:

1. CVSS это результат заполнения довольно сомнительного и субъективного опросника. То, что у ресерчера, вендора и у NVD не совпадают CVSS для одной и той же уязвимости это норма.
2. CVSS v2, v3 и v4 несовместимы между собой. Сейчас в NVD есть уязвимости без CVSS, только с v2, с v2 и с v3, только с v3. Будьте уверены, что переход на v4 зоопарк усугубит. Нужно ли это и в БДУ тянуть?
3. Положа руку на сердце, кто при приоритизации уязвимостей полагается исключительно на CVSS? Это один из факторов. И не самый важный. Основная ценность CVSS, что Base метрики предоставляются NIST-ом открыто и бесплатно. А Temporal метрики никто не предоставляет, поэтому их и не используют. Не говоря уж об Environmental, которые надо самим заполнять.

Поэтому я бы рекомендовал не переходить на CVSS v4, а сделать следующее:

1. Создать свой опросник с калькулятором а-ля CVSS. Также с векторами (записываемыми в строчку) и скорами. Назвать как-нибудь оригинально, например "Общая Система Оценки Критичности Автоматизируемая" (ОСОКА). 😉 Какой конкретно это должен быть опросник - предмет отдельного обсуждения. Я бы делал его максимально простым и кратким, пусть даже в ущерб точности оценки. Лишь бы базовый скор явно критичных уязвимостей был около 10, а явно некритичных был около 0. Инфраструктурный компонент из методики оценки критичности уязвимостей также учесть в ОСОКА (сделать как в Environmental метриках CVSS).
2. САМОЕ ГЛАВНОЕ! Выпустить методические указания как использовать CVSS v2, v3, v4 в качестве входящих данных для получения вектора ОСОКА. Очень желательно, чтобы базовая часть ОСОКА автоматом получалась из Base метрик CVSS v2, v3, v4, иначе скорее всего это не взлетит.
3. В перспективе заменить все упоминания CVSS и методику оценки критичности уязвимостей ФСТЭК на ОСОКА.

Невозможно автоматически обновлять CMSку! 😏

1 комментарий

Невозможно автоматически обновлять CMSку! 😏

Невозможно автоматически обновлять CMSку! 😏 Во всяком случае об этом пишет 1С-Битрикс в своём пресс-релизе.

"Не стоит повторять их путь — никто не обновит ваш сайт кроме вас. Вендор не может принудительно обновить сайт всех клиентов. Это невозможно. Ни технически, ни юридически. Доступ есть только у администратора на стороне владельца."

Ну не знаааю. Как я уже в прошлый раз писал, в том же WordPress автоматические обновления работают вполне неплохо. 😉

Решения те же: либо выделяйте человека на обновления, либо пользуйтесь CMSкой, которая может сама безопасно обновляться (а значит вендор считает эту функциональность критичной и вкладывается в неё).

Первые впечатления от июньского Microsoft Patch Tuesday

3 комментария

Первые впечатления от июньского Microsoft Patch Tuesday

Первые впечатления от июньского Microsoft Patch Tuesday. Вроде ничего интересного. 100 CVE с учетом набежавших за месяц. При этом практически нет уязвимостей в активной эксплуатации или с публичным эксплоитом. Поэтому в ТОП отчета Vulristics вылез всякий трэш.

1. Memory Corruption - Microsoft Edge (CVE-2023-3079). Потому что есть активная эксплуатация, содержится в CISA KEV.
2. Remote Code Execution - GitHub (CVE-2023-29007). GitHub, конечно, запатчили разово и всё, критична уязвимость самого git-а, т.к. эксплоит в паблике.
3. Remote Code Execution - .NET (CVE-2023-33128, CVE-2023-29331). Только потому что в CVSS Temporal есть Proof-of-Concept Exploit.

Просто нечего подсвечивать. 🤷‍♂️ Среди остального есть более интересные уязвимости, но пока это всё очень потенциальное:

1. Remote Code Execution - Microsoft Exchange (CVE-2023-32031, CVE-2023-28310). Требуется аутентификация!
2. Remote Code Execution - Windows Pragmatic General Multicast (PGM) (CVE-2023-29363, CVE-2023-32014, CVE-2023-32015)
3. Elevation of Privilege - Microsoft SharePoint (CVE-2023-29357)

🗒 Полный отчёт Vulristics

С Днём России! 🇷🇺

Добавить комментарий

С Днём России! 🇷🇺

С Днём России! 🇷🇺 Этот праздник учредили в день принятия декларации о государственном суверенитете. А государственный суверенитет немыслим без суверенитета технологического, в том числе в IT. Неплохой повод задуматься о том, а всё ли возможное мы делаем для того, чтобы как можно быстрее избавиться от западных IT и ИБ решений в инфраструктурах российских компаний. Убеждён, что мы, VM-щики, должны топить за это всеми возможными способами, т.к. только отказ от недоверенных (в первую очередь западных) решений может позволить нам отказаться от крайне затруднительных проверок безопасности обновлений и процессов принятия решения какой риск больше: от уязвимости или от обновления. Если вы этим не заморачиваетесь, то очень зря, т.к. если в результате дальнейшей эскалации риск зловредного обновления реализуется, то угадайте кто окажется крайним и будет иметь бледный вид. 😉 Поэтому только последовательная девестернизация российского IT, товарищи! 🧹

FYI, пример как выпустить отчет для одной уязвимости в

Добавить комментарий

FYI, пример как выпустить отчет для одной уязвимости в

FYI, пример как выпустить отчет для одной уязвимости в Vulristics

$ echo "CVE-2023-29336" > analyze_cve_list.txt
$ echo "" > analyze_cve_comments.txt
$ python3 vulristics.py --report-type "cve_list" --cve-project-name "CVE-2023-29336" --cve-list-path "analyze_cve_list.txt" --cve-comments-path "analyze_cve_comments.txt" --cve-data-sources "ms,nvd,epss,vulners,attackerkb" --rewrite-flag "True"
                      /$$           /$$             /$$     /$$                    
                     | $$          |__/            | $$    |__/                    
 /$$    /$$ /$$   /$$| $$  /$$$$$$  /$$  /$$$$$$$ /$$$$$$   /$$  /$$$$$$$  /$$$$$$$
|  $$  /$$/| $$  | $$| $$ /$$__  $$| $$ /$$_____/|_  $$_/  | $$ /$$_____/ /$$_____/
 \  $$/$$/ | $$  | $$| $$| $$  \__/| $$|  $$$$$$   | $$    | $$| $$      |  $$$$$$ 
  \  $$$/  | $$  | $$| $$| $$      | $$ \____  $$  | $$ /$$| $$| $$       \____  $$
   \  $/   |  $$$$$$/| $$| $$      | $$ /$$$$$$$/  |  $$$$/| $$|  $$$$$$$ /$$$$$$$/
    \_/     \______/ |__/|__/      |__/|_______/    \___/  |__/ \_______/|_______/ 
Reading existing Patch Tuesday profile...
Exclude CVEs: 0
No specified products to analyze set in profile, reporting everything
All CVEs: 1
Counting CVE scores...
Collecting MS CVE data...
1/1 - CVE-2023-29336
Requesting CVE-2023-29336 from Microsoft website
Collecting NVD CVE data...
1/1 - CVE-2023-29336
Requesting CVE-2023-29336 from NVD website
Collecting EPSS CVE data...
1/1 - CVE-2023-29336
Requesting CVE-2023-29336 from epss website
Collecting AttackerKB CVE data...
1/1 - CVE-2023-29336
Requesting CVE-2023-29336 from AttackerKB website WITHOUT authorization key
Collecting Vulners CVE data...
1/1 - CVE-2023-29336
Requesting CVE-2023-29336 from Vulners website WITH authorization key
Combining CVE data...
1/1 CVE-2023-29336
Counting CVE scores...
Making vulnerability reports for each reports config...
Report config: with_comments_ext_img
Report generated: reports/cve-2023-29336_report_with_comments_ext_img.html

Для EoP уязвимости CVE-2023-29336 из майского Patch Tuesday теперь есть подробный анализ и публичный эксплоит

Добавить комментарий

Для EoP уязвимости CVE-2023-29336 из майского Patch Tuesday теперь есть подробный анализ и публичный эксплоитДля EoP уязвимости CVE-2023-29336 из майского Patch Tuesday теперь есть подробный анализ и публичный эксплоит

Для EoP уязвимости CVE-2023-29336 из майского Patch Tuesday теперь есть подробный анализ и публичный эксплоит. На картинках изменение критичности в отчёте Vulristics от High к Critical. EPSS продолжает показывать для этой уязвимости что-то абсолютно неадекватное, ну да и ладно. 🫠