Архив за месяц: Октябрь 2023

Компания Miercom выпустила отчёт "Конкурентная Оценка Управления Уязвимостями"

1 комментарий

Компания Miercom выпустила отчёт Конкурентная Оценка Управления Уязвимостями

Компания Miercom выпустила отчёт "Конкурентная Оценка Управления Уязвимостями". Исследование они делали по заказу Tenable, поэтому особой интриги кто из Tenable, Qualys и Rapid7 победит быть не могло. 😏 В отличие от подобных маркетинговых сравнений, Miercom решили не делать опрос клиентов и не сравнивать по высокоуровневым фичам. Они сравнивали по базовой функциональности, а именно по полноте базы детектов:

1. Покрытие CVE-шек из NVD с 1999 по 2022. FYI, даже лидер покрывает только 71к из 192к на конец 2022. 😉
2. Покрытие CVE-шек для 24 топовых IT-вендоров (видимо по CPE).
3. Покрытие эксплуатируемых вживую CVE-шек из CISA KEV. Также сравнили по среднему времени добавления детекта, но абсолютные величины не написали, только разницу на сколько Tenable быстрее. 😏🤷‍♂️
3. Покрытие по CIS-бенчмаркам.

Методику сравнения, в целом, одобряю. Приятно осознавать, что я сам занимался сравнением баз знаний по CVE и выявлением "слепых пятен" до того, как это стало мейнстримом. 😅

Про уязвимость "Citrix Bleed" NetScaler ADC/Citrix ADC и NetScaler Gateway (CVE-2023-4966)

2 комментария

Про уязвимость Citrix Bleed NetScaler ADC/Citrix ADC и NetScaler Gateway (CVE-2023-4966)

Про уязвимость "Citrix Bleed" NetScaler ADC/Citrix ADC и NetScaler Gateway (CVE-2023-4966). Обновления вышли 10 октября, вендор сразу заявил об эксплуатации вживую (перехват сессии, session hijacking). Вчера Assetnote выпустили подробный обзор этой уязвимости и выложили PoC для утечки памяти. Так что эксплуатаций должно стать ещё больше.

Уязвимы продукты:

NetScaler ADC and NetScaler Gateway 14.1 before 14.1-8.50
NetScaler ADC and NetScaler Gateway 13.1 before 13.1-49.15
NetScaler ADC and NetScaler Gateway 13.0 before 13.0-92.19
NetScaler ADC 13.1-FIPS before 13.1-37.164
NetScaler ADC 12.1-FIPS before 12.1-55.300
NetScaler ADC 12.1-NDcPP before 12.1-55.300
NetScaler ADC и NetScaler Gateway version 12.1

В конфигурациях

Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy)
и
AAA virtual server

Если у вас эти продукты ещё используются, обновляйтесь и импортозамещайтесь.

Добавил кастомный источник данных в Vulristics

2 комментария

Добавил кастомный источник данных в Vulristics

Добавил кастомный источник данных в Vulristics. Небольшое, но довольно полезное дополнение. Иногда точно знаешь, что для уязвимости есть эксплоит или признак эксплуатации вживую, но в тех источниках, который Vulristics поддерживает, этих данных нет. 🤷‍♂️ Как же их учесть в отчёте Vulristics?

Теперь есть custom data source. Он не делает никакие запросы к внешним источникам, просто читает файлы из директории data/custom_cve. Можно добавить в эту директорию JSON-чик для CVEшки и задать в нём параметры, которые хочется определить для уязвимости. Все параметры задавать необязательно, можно только нужные. Например, только ссылки на эксплоиты.

А можно не руками, а нагенерить такие файлы скриптом на основе тех данных, которые у вас есть. 😉

Пример такого файла:

Прожектор по ИБ, выпуск №8 (22.10.2023)

1 комментарий

Прожектор по ИБ, выпуск №8 (22.10.2023). Записали очередной эпизод. Из основного: обсуждали Аврору ОС и отечественные смартфоны/планшеты, разобрали актуальные уязвимости с упором на Linux, немного коснулись регуляторики. К сожалению, у нас был какой-то сбой с видео, поэтому с 35:37 мы без камер. 🤷‍♂️

Мы это:

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"

00:00 Здороваемся и радуемся, что прошлый выпуск вроде неплохо смотрели 🙂
01:45 Лев поучаствовал в IVADAY 2023 и ему подарили отечественный планшет от БайтЭрг
08:40 Кажется, что смартфоны нa Авроре для физиков могут появиться в ноябре. Обсуждаем зачем и кому это вообще нужно
19:23 Телеканалы и операторов связи обяжут создать ИБ-подразделения
23:17 Auth bypass в Cisco IOS ХЕ (CVE-2023-20198)
27:47 13 эксплоитов ботнета Mirai
30:37 RCE уязвимость в JetBrains TeamCity (CVE-2023-42793)
33:56 Женщина сама себя сняла с электронной очереди в детский сад в Астане
35:37 Смотрим отчёт по октябрьскому Linux Patch Wednesday
37:52 GNOME уязвим перед RCE-атаками из-за ошибки в библиотеке libcue
41:20 Охарактеризуйте олдскульную ИБ одним словом и шлите нам свои мемасики
42:38 ФБР предупредила о хакерах-вымогателях, атакующих клиники пластической хирургии в США и мире
43:43 В CISA KEV появилась новая колонка, отвечающая за использование уязвимости в атаках шифровальщиков
45:13 Практический вопрос использования методики оценки уровня критичности уязвимостей ФСТЭК
49:43 Сходка "ПоИБэшечка: К истокам" 31 октября
51:50 Прощание от Mr. X

Прослушал второй эпизод подкаста КиберДуршлаг с Эльманом Бейбутовым

Добавить комментарий

Прослушал второй эпизод подкаста КиберДуршлаг с Эльманом Бейбутовым

Прослушал второй эпизод подкаста КиберДуршлаг с Эльманом Бейбутовым. Выписал тезисы.

1. Об управлении уязвимостями должно болеть у SOCоводов, т.к. активность закрепившегося злоумышленника будет выглядеть как более-менее легитимная активность пользователя и они её не поймают.
2. Людям склонно заниматься тем, что проще. Внедрять антивирусы гораздо проще, чем VM процесс.
3. VM не панацея. Нужен контроль конфигураций и действий внутреннего напушителя, нужно реагирование, нужна экосистема.
4. SIEM для VMа позволяет актуализировать инфу об активах, VM для SIEMа позволяет подсветить активы с высокой вероятностью эксплуатации (где нужно обмазать детектами).
5. Связка VM с EDR позволяет использовать EDR в качестве агента для инвентаризации и response (погасить хост, собрать инфу на доп. расследование)
6. В VM нужно интегрировать и апсечные уязвимости, и куберовые.
7. Можно такие интеграции замутить не в экосистеме одного вендора, а из разных решений через APIшки? Можно, но сложно. Из опенсурса ещё сложнее.
8. Куда дальше? Виртуальный патчинг, автоматический патчинг, детект любых уязвимостей и везде, анализ MLем.
9. Много фидов это хорошо, т.к. они друг друга дополняют, но должна быть Threat Intelligence платформа, чтобы эффективно с ними работать.
10. Вершина эволюции VMа - автопилот. Автоматизированный Patch Management, сквозной virtual patching, построение цепочки атак и отслеживание действий злоумышленника. Реализуется в метапродуктах PT.

Кажется, что смартфоны на Авроре для физиков могут появиться раньше Р-фона на Роса Мобайл

2 комментария

Кажется, что смартфоны на Авроре для физиков могут появиться раньше Р-фона на Роса Мобайл

Кажется, что смартфоны на Авроре для физиков могут появиться раньше Р-фона на Роса Мобайл. 🧐 Ъ со ссылкой на неназыванные источники сообщает, что холдинг Fplus собирается в ноябре начать продажи своих планшетов и смартфонов на ОС «Аврора» в потребительском сегменте. Ожидаемая стоимость устройств до 20 000 руб. Также сообщается, что в розницу выйдут устройства на Авроре от Аквариуса и Байтэрг. Гендиректор ОМП Павел Эйгес подтвердил выход устройств на ОС «Аврора» в розничных сетях электроники в ближайшее время.

Круто, что решили форсировать выход на потребительский рынок. 👍 Если действительно начнут продавать до конца года, то вероятнее всего возьму себе для экспериментов устройство на Авроре, а Р-фон ждать не буду.

Получил неофициальное разъяснение от ФСТЭКа по поводу использования методики оценки уровня критичности уязвимостей

2 комментария

Получил неофициальное разъяснение от ФСТЭКа по поводу использования методики оценки уровня критичности уязвимостей. Это по вопросу расчета Iinfr, который я вчера поднимал:

"Изначально задумывалось, что уязвимость оценивается для всей ИС. Но, поскольку это не прописано в методике явно, то допускаются оба сценария оценки."

Т.е. основной вариант 1 (единый Iinfr для всей инфраструктуры/информационной системы, через максимизацию значения показателей) но можно использовать и 1, и 2 (считаем Iinfr независимо для каждого уязвимого актива).