Архив за месяц: Октябрь 2023

Прожектор по ИБ, выпуск №9 (30.10.2023)

Прожектор по ИБ, выпуск №9 (30.10.2023). С небольшим опозданием записали очередной эпизод. В этот раз в основном были новости про актуальные уязвимости. Но, как мне показалось, интереснее были побочные обсуждения: про балансировщики, национальный Anti-DDoS, опасность утекших учёток от Госуслуг и лучший вариант для второго фактора.

Мы это:

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"

00:00 Здороваемся и смотрим статистику по просмотрам. Прошлый выпуск посмотрело больше 100 человек — нормально
01:26 Обсуждаем мемный ролик про Privilege Escalation в Cisco IOS XE (CVE-2023–20198), 30к поломанных устройств и смену импланта, чтобы затруднить детектирование
05:47 iPhone три года сливали MAC-адрес из-за дефектной функции приватности. Насколько вообще опасно, что MAC вашего устройства узнают?
10:12 Про уязвимости "Citrix Bleed" NetScaler ADC/Citrix ADC, NetScaler Gateway (CVE-2023–4966) и актуальные уязвимости VMware: RCE в vCenter Server (CVE-2023–34048) и обход аутентификации в Aria Operations for Logs (CVE-2023–34051). Насколько в России популярны NetScaler ADC и Aria Operations? Лев интересно рассказывает про NGINX и про балансировщики, в том числе отечественные.
14:26 Читаем блог Алексея Лукацкого из 2013 года: Кто захватит мировой рынок кибербезопасности к 2023 году? Мэтр всё предсказал!
17:21 В России создают суперантивирус с динамическим анализом трафика с оригинальным названием "Мультисканер". Здесь же обсудили и национальный Anti-DDoS.
21:55 Компания Miercom выпустила отчёт "Конкурентная Оценка Управления Уязвимостями" — сканеры детектируют не все существующие уязвимости
24:36 Vulners представили AI Score v2 — предсказание CVSS Base Score
28:28 Доступ к "Госуслугам" станет возможен только по двухэтапной аутентификации. Обсудили как злоумышленники могут взять на вас микрокредит или продать вашу квартиру через госуслуги и какой второй фактор самый лучший.
37:17 Мем недели — кресло для безопасника в каждом номере отеля
39:38 Прощание от Mr. X

11 ноября стартует ещё один онлайн-курс по Управлению Уязвимостями, на этот раз от компании Инсека

1 комментарий

11 ноября стартует ещё один онлайн-курс по Управлению Уязвимостями, на этот раз от компании Инсека. Продлится он 6 недель. Обещают 30 часов теории, 30 часов практики, стоимость удовольствия 64 800 ₽.

Судя по общему описанию модулей, из практики будет подробно про CVSS, эксплуатацию EternalBlue, сканирование инфры с помощью Nessus Essentials, сканирование веб-приложения с помощью Acunetix, сканирование периметра с помощью Metascan, экспорт данных из Vulners API для приоритизации уязвимостей. По теории вроде все основные темы заявлены. Про ФСТЭК-овские методики аж 1,5 модуля. 👍 На мой вкус было бы неплохо побольше добавить про Asset Management (про критичность активов вижу только в 5.1) и согласование безусловных регулярных обновлений.

Бесплатно дают доступ к 4 урокам: про публичные источники данных об уязвимостях (увидел там скриншот с моим телеграмм-каналом — приятно 😊), различные виды сканирований (внешнее, внутреннее, в режиме белого и чёрного ящика), лаба на сканирование уязвимостей (образы для VirtualBox c Nessus Essentials и Windows-таргетом дают готовые; по итогам нужно скинуть результаты детекта), особенности сканирования внешнего периметра и веб-приложений.

В целом, выглядит как вполне неплохой начальный курс для вкатывания в тему Vulnerability Management‑а. Без особой жести и нагрузки. И вендерно-нейтральный. Почитать, потыкать лабы, понять нравится таким заниматься или не особо. Ну или как повод освежить знания и получить сертификат тоже почему бы и нет. 😉 Говорят, что самое эффективное обучение, когда большая часть материала вам уже знакома. Nessus Essentials с ограничением на 16 IP-адресов и без комплаенс-сканов это, конечно, совсем не для реальной жизни. Да и все продукты Tenable и Acunetix сейчас в России не особо актуальны. Но для учебных целей, в качестве первого опыта, почему бы и нет. А Metascan и Vulners это вполне себе практически полезные инструменты.

Если дадут доступ курсу, то тоже пройду и поделюсь впечатлениями. Мне это в первую очередь интересно со стороны "как люди учат VM‑у", но вполне возможно почерпну там что-то такое, с чем раньше не сталкивался. 🙂

Больше курсов по Vulnerability Management‑у хороших и разных!

Лекцию в Физтехе успешно отчитал

Добавить комментарий

Лекцию в Физтехе успешно отчитал. Но без косяков не обошлось. 😅 В основном из-за того, что это был онлайн.

🔹 Во-первых, соседи снизу решили прекрасным субботним утром посверлить монолит.👷‍♂️ Поэтому приходилось несколько раз прерываться, чтобы всей аудиторией послушать чарующие звуки перфоратора. 🤦‍♂️

🔹 Во-вторых, как видно на фото, моя физиономия всё время была на экране, слайдам оставалось мало места и текст на них, видимо, плохо читался, особенно с задних рядов. 🔍🤷‍♂️

Онлайн это очень удобно для спикера. Не нужно никуда ехать, можно выспаться, нет возни с заказом пропуска и т.д. 😇 Но с другой стороны, вероятность накладок выше. Будем иметь в виду.

В остальном же прошло удачно. Рассказывал вполне связно, фидбек был позитивный. Опять же, прибавилось 8 новых подписчиков из числа студентов и канал уверенно перевалил за 3000. Ура! 🥳

У моего коллеги Дмитрия Фёдорова, автора телеграмм-канала "Кибербез образование", вышла обновленная диаграмма треков развития карьеры в ИБ и там есть отдельный трек по Управлению Уязвимостями

Добавить комментарий

У моего коллеги Дмитрия Фёдорова, автора телеграмм-канала "Кибербез образование", вышла обновленная диаграмма треков развития карьеры в ИБ и там есть отдельный трек по Управлению Уязвимостями.

Похоже на правду, но хотелось бы расставить акценты.

1. По мне так скиллы IT-администратора для VMщика первичны, т.к. именно с админами ему придётся контактировать больше всего. Важно, чтобы они не водили его за нос.

2. Необходимо разбираться в VM-ной методологии, т.к. ваш замечательный VM процесс, построенный из соображений реальной безопасности, должен как-то биться с требованиями регуляторов. Как минимум чтобы аудиты проходить.

3. Нужны ли Offensive скиллы? Неплохо бы для базового понимания контекста того, с чем мы боремся, и более адекватной приоритизации уязвимостей. Но помогут ли эти знания в ежедневном пропушивании фиксов для уязвимостей, о которых мы знаем только пару строк описания на NVD? Да вряд ли. 🌝 VM это не про докажи-покажи. С Offensive скиллами лучше в RedTeam.

Буду завтра читать лекцию по Управлению Уязвимостями в Физтехе

1 комментарий

Буду завтра читать лекцию по Управлению Уязвимостями в Физтехе. Уже во второй раз, первый был 5 лет назад. На этот раз удалённо. По случаю обновил учебную презентацию. В отличие от материала для Бауманского курса, выделил 4 примерно равные части:

🔹 Анализ Защищённости — уязвимости и детект уязвимостей
🔹 Управление Активами — избавляемся от хаоса в инфраструктуре
🔹 Управление Уязвимостями — построение процесса с фокусом на приоритизацию уязвимостей
🔹 Управление Обновлениями — всё, что касается исправления уязвимостей и взаимоотношений с IT

В основном переработал Управление Активами и Управление Уязвимостями. Кажется, получилось неплохо сопрячь РезБез/PTшный подход, методические указания регуляторов и собственные соображения. Пойдёт и для гостевых лекций, и понятно как это с пользой расширить до 4 отдельных лекций (а то и побольше). Доволен. 🙂

Кстати, Физтех под санкциями ЕС, США, Великобритании, Японии, Швейцарии и Новой Зеландии. Достойное заведение. 🙂👍

Актуальные уязвимости VMware: RCE в vCenter Server (CVE-2023–34048) и обход аутентификации в Aria Operations for Logs (CVE-2023–34051)

2 комментария

Актуальные уязвимости VMware: RCE в vCenter Server (CVE-2023–34048) и обход аутентификации в Aria Operations for Logs (CVE-2023–34051).

🔴 RCE в vCenter Server (CVE-2023–34048). Злоумышленник с сетевым доступом к vCenter Server может потенциально получить RCE из-за out-of-bounds write уязвимости в реализации протокола DCERPC. CVSSv3 Base Score 9,8. Судя по CVSS вектору, сложность атаки низкая, аутентификация не нужна, взаимодействие с пользователем не требуется. Есть патчи (даже для EOL продуктов), workaround‑а нет. Публичного POCа и признака эксплуатации вживую пока нет.

🟡 Обход аутентификации в Aria Operations for Logs (CVE-2023–34051). Неаутентифицированный злоумышленник может внедрить файлы в операционную систему уязвимого устройства, что может привести к RCE. Есть публичный PoC. Признаков эксплуатации вживую пока нет. Кажется в России этот продукт для управления логами встречается редко. Если в вашей практике попадался, ставьте посту 🐳.

Ребята из команды Vulners представили новую версию автоматической метрики для оценки критичности уязвимостей — AI Score v2

2 комментария

Ребята из команды Vulners представили новую версию автоматической метрики для оценки критичности уязвимостей — AI Score v2. Как видно из названия, обработка данных там идёт с использованием машинного обучения, а конкретно с использованием библиотеки CatBoost. Анализируются связи между объектами (в Vulners более 3 млн. объектов), значения CVSS Base Score объектов-предков, тип объекта, текстовое описание объекта и прочее. Механизм расчёта довольно хитрый. 🤯 В итоге получается что-то вроде предсказанного CVSS Base Score.

Зачем это нужно, если уже есть CVSS на NVD или EPSS?

1. Зачастую у новых уязвимостей нет ни CVSS, ни EPSS, а приоритизацию уже надо как-то делать. AI Score есть всегда и сразу.
2. Второе мнение. Это как с врачом или юристом. Лучше не полагаться полностью на одно мнение, а сходить проконсультироваться к другому специалисту. Если будут расхождения, будет повод серьезнее покопаться.

А главное AI Score бесплатно доступен всем пользователям Vulners! 😉

Александр В. Леонов

Управление Уязвимостями и прочее