Архив за месяц: Август 2023

Выпустил новую англоязычную видяшечку

Добавить комментарий

Выпустил новую англоязычную видяшечку. Так получилось, что за последний год мой англоязычный блог (а вместе с ним и ютюб канал, и подкаст) окончательно свёлся к ежемесячным обзорам Microsoft Patch Tues­day. 🤷‍♂️🤦‍♂️ А остальной контент оседал только в моих телеграмм-каналах @avleonovcom и @avleonovrus. В основном, конечно, в русскоязычном. Постараюсь эту тенденцию переломить. Теперь буду выпускать один англоязычный эпизод по итогам месяца без особого фокуса на Patch Tues­day. Так должно быть поадекватнее и повеселее. 🙂

Подумывал делать эпизоды и на русском тоже, но решил не браться, т.к. получается двойная работа. Автоматический перевод яндекс-браузером могу порекомендовать только для смеха (например, отдельностоящее "CVЕ" распознает как "CV" и переводит как "резюме"). Но планирую тащить новости из канала на обсуждение в Прожектор по ИБ. Так что русскоязычные видяшки тоже в каком-то виде будут. 🙂
___

Hel­lo every­one! This month I decid­ed NOT to make an episode com­plete­ly ded­i­cat­ed to Microsoft Patch Tues­day. Instead, this episode will be an answer to the ques­tion of how my Vul­ner­a­bil­i­ty Man­age­ment month went. A ret­ro­spec­tion of some kind.

GitHub exploits and Vul­ris­tics
00:44 PoC in Github
02:19 Vul­ris­tics vul­ners-use-github-exploits-flag

VM ven­dors updates
04:39 Qualys First-Par­ty Appli­ca­tion Risk Detec­tion and Reme­di­a­tion
06:18 Ten­able Expo­sureAI
07:23 SC Awards and Rapid7

Vul­ner­a­bil­i­ties
09:04 Anglo-Sax­on vul­ner­a­bil­i­ty lists AA23-215A
12:32 August Microsoft Patch Tues­day
14:40 Win­RAR Exten­sion Spoof­ing (CVE-2023–38831)
15:16 Juniper RCE (CVE-2023–36844)

📘 Blog­post
🎞 Video
🎞 Video2 (for Rus­sia)

Знаете ли вы, что папками с каналами телеграмма можно делиться? @secmedia подготовили такую папку с каналами по ИБ

Добавить комментарий

Знаете ли вы, что папками с каналами телеграмма можно делиться? @secmedia подготовили такую папку с каналами по ИБ. Каналы годные, на большую часть я уже был подписан, но про некоторые не слышал и подписался только сейчас. Ну и самое приятное, что мой канал там тоже есть! 😊 (В одном списке с самими Seca­tor-ами, wow! 😁) За что большое спасибо! Поэтому всячески прошу эту папочку шарить. 😉

Довольно занимательный кейс с Integer overflow в curl (CVE-2020–19909)

1 комментарий

Довольно занимательный кейс с Integer overflow в curl (CVE-2020-19909)

Довольно занимательный кейс с Inte­ger over­flow в curl (CVE-2020–19909). Уязвимость недавно завели на NVD с описанием:

"Уязвимость целочисленного переполнения в tool_operate.c в curl 7.65.2 из-за большого значения задержки повторной попытки."

Другой бы вендор взял, да добавил эту уязвимость куда-нибудь в бюллетень как давно исправленную. Но разрабы curl‑а вступили в борьбу. Основное, что они пишут: мы не знаем кто завел эту CVE, у нас был похожий кейс на hackerone, мы его пофиксили в 7.66.0 в Сентябре 2019, но это была просто бага, а не уязвимость (явно не CVSS 9.8), CVE не заводили.

Ну и основной посыл: это наш софт, и мы должны решать уязвимость это или нет.

Согласен ли я с этим? Ну, скорее нет. Как VM-щику мне бы хотелось в NVD видеть в базе уязвимостей ВСЕ уязвимости независимо от позиции вендора. Даже, если это приведёт к какому-то количеству фолсов и публичных диспутов. Вендоры и так сдерживают заведение CVE как могут.

Для недавних критичных уязвимостей Juniper (CVE-2023–36844 и 3 других), позволяющих сделать RCE , вышло подробное техническое описание и публичный PoC

1 комментарий

Для недавних критичных уязвимостей Juniper (CVE-2023-36844 и 3 других), позволяющих сделать RCE , вышло подробное техническое описание и публичный PoC

Для недавних критичных уязвимостей Juniper (CVE-2023–36844 и 3 других), позволяющих сделать RCE , вышло подробное техническое описание и публичный PoC.

"Мы надеемся, что это кропотливое исследование будет полезно администраторам, которым нужна дополнительная информация об уязвимостях, прежде чем принять решение о необходимости их исправления, и (если они решат это сделать), что оно также будет полезно для тех, кому необходимо проверить, были ли исправления применены."

Если вы в прошлый раз закинули информацию по этим уязвимостям своим сетевикам и они вас проигнорировали, киньте им ещё раз. 😉

По мнению автора статьи на сайте Just Security, изменения в британском Investigatory Powers Act 2016 (IPA) могут упростить использование 0day уязвимостей устройств для слежки

1 комментарий

По мнению автора статьи на сайте Just Security, изменения в британском Investigatory Powers Act 2016 (IPA) могут упростить использование 0day уязвимостей устройств для слежки

По мнению автора статьи на сайте Just Secu­ri­ty, изменения в британском Inves­ti­ga­to­ry Pow­ers Act 2016 (IPA) могут упростить использование 0day уязвимостей устройств для слежки.

"Производителям устройств, вероятно, также придется уведомлять правительство, прежде чем делать доступными важные обновления безопасности, которые устраняют известные уязвимости и обеспечивают безопасность устройств. Соответственно, госсекретарь (Sec­re­tary of State), получив такое предварительное уведомление, теперь может попросить операторов, например, воздержаться от исправления брешей в безопасности, чтобы позволить правительству сохранить доступ в целях слежки (sur­veil­lance)."

Пока это выглядит как спекуляция автора статьи. Может вендоров обяжут уведомлять о планируемых патчах, а может нет. Может вендоров будут просить повременить с патчами, а может нет. Но направление мысли достаточно интересное, и кажется вполне в духе времени.

Можно, например, вспомнить китайское "Положение об управлении уязвимостями безопасности сетевых продуктов" (2021), в котором вендоров обязывают оперативно сообщать об выявленных уязвимостях: "информация об уязвимостях должна быть отправлена на платформу обмена информацией об угрозах сетевой безопасности и уязвимостях Министерства промышленности и информационных технологий в течение 2 дней" (статья 7, п.2).

Так что используя зарубежные продукты нужно иметь в виду, что зарубежный вендор имеет с зарубежным государственным регулятором вполне отчётливые связи, зачастую вполне формальные и нескрываемые. Используешь зарубежное — принимай риски. Не хочешь принимать — не используй. 🤷‍♂️

Для Extension Spoofing в WinRAR (CVE-2023–38831) на GitHub‑е выложили PoC

2 комментария

Для Extension Spoofing в WinRAR (CVE-2023-38831) на GitHub-е выложили PoCДля Extension Spoofing в WinRAR (CVE-2023-38831) на GitHub-е выложили PoC

Для Exten­sion Spoof­ing в Win­RAR (CVE-2023–38831) на GitHub‑е выложили PoC. Судя по количеству звездочек (266) и вполне впечатляющему послужному списку автора, PoC должен быть вполне рабочим. А что это значит? То, что теперь архивы закамуфлированными зловредами будут массово слать все подряд скрипт-кидисы. Обновляйте/выпиливайте Win­RAR, если ещё нет.

В прошедшую пятницу, 25 августа, мы записали пилотный эпизод ток-шоу с рабочим названием "Прожектор по ИБ"

2 комментария

В прошедшую пятницу, 25 августа, мы записали пилотный эпизод ток-шоу с рабочим названием "Прожектор по ИБ". 🙂 Мы это:

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Glob­al Dig­i­tal Space"

В этот раз темы накидывали экспромтом, в итоге получилось такое:

00:00 CVSS и приоритизация уязвимостей
07:05 МФМСЭУС и нейминг вендоров
12:58 Уязвимости умных лампочек TPLink, умного дома и как админы стопорят VM
27:11 Недавние уязвимости Win­RAR и других архиваторов
33:38 Самое ломаемое ПО, англосаксонский отчёт, Office RCE и Zerol­o­gon, уязвимости по отраслям
42:41 Снова про умные дома, АСУ ТП и регуляторику

Если вам зашло, полайкайте пожалуйста и мы тогда запустим это в регулярном режиме, в нормальном качестве, с заставками и всем нужным. 🙂 Если кто-то хочет поучаствовать в таких посиделках — пишите в личку. 😉 И если у вас идея названия получше чем "Прожектор по ИБ", то тоже пишите.