Архив за месяц: Октябрь 2023

Про уязвимости curl

4 комментария

Про уязвимости curl

Про уязвимости curl. 11-ое число пришло. Обещанные уязвимости в cURL и libcurl вышли. 🧐 Под "худшая уязвимость за длительное время" Daniel Stenberg видимо имел ввиду, что curl насколько безопасен, что даже худшие уязвимости там не особо впечатляют.

SOCKS5 heap buffer overflow (CVE-2023-38545), High. Уязвимость существует, если curl/libcurl используется вместе c SOCKS5 прокси-сервером (в режиме proxy-resolver-mode) и пользователь соединяется с зловредным HTTP сервером, который делает редирект на специальный URL. Происходящее переполнение буфера может привести к RCE. В общем, должны сойтись звёзды. 🤷‍♂️ Но если вы используете cURL/libcurl через SOCKS5 прокси, то обновляйтесь конечно.

Cookie injection with none file (CVE-2023-38546), Low. Злоумышленник может вставлять cookie в работающую программу с помощью libcurl, если соблюдается ряд условий. Как дальше использовать этот Cookie injection не очевидно, но если ваше приложение использует libcurl, то обновитесь.

Выпустил отчёт Vulristics по октябрьскому Microsoft Patch Tuesday

3 комментария

Выпустил отчёт Vulristics по октябрьскому Microsoft Patch Tuesday

Выпустил отчёт Vulristics по октябрьскому Microsoft Patch Tuesday. Что в ТОПе:

1. Memory Corruption - Microsoft Edge (CVE-2023-5217). Уязвимость в библиотеке libvpx, которая отвечает за проигрывание видео в формате VP8. Как и в недавнем случае с libwebp, аффектит уйму софтов, но в первую очередь браузеры. Публичного эксплоита пока нет, но есть признаки эксплуатации вживую.

2. Elevation of Privilege - Skype for Business (CVE-2023-41763). По факту скорее information disclosure. Неаутентифицированный злоумышленник может отправить специальный запрос на уязвимый сервер Skype для бизнеса, что приведёт к раскрытию конфиденциальной информации, которая может быть использована для получения доступа к внутренним сетям. 🤷‍♂️ Есть признаки эксплуатации вживую, публичного эксплоита нет. Для Skype for Business вышло также и несколько RCE.

3. Information Disclosure - Microsoft WordPad (CVE-2023-36563). Пользователь открывает зловредный файл, в результате чего злоумышленник может получить NTLM хэши. Или, если у злоумышленника есть доступ к хосту, он сам может запустить зловредное ПО на хосте с тем же результатом. Выглядит опасно. Есть признаки эксплуатации вживую, публичного эксплоита нет.

4. Denial of Service - HTTP/2 protocol (CVE-2023-44487). Фикс для IIS (HTTP.sys), .NET (Kestrel) и Windows против новой эффективной DDoS-атаки "HTTP/2 Rapid Reset". Проблема универсальная, о том, что их атаковали через "HTTP/2 Rapid Reset" сообщали на днях Amazon, Cloudflare и Google, так что признаки эксплуатации вживую присутствуют.

Больше ничего в активной эксплуатации или с публичным эксплоитом пока нет. Можно ещё обратить внимание на:

🔻 20 уязвимостей Microsoft Message Queuing, среди которых есть и RCE.
🔻 Remote Code Execution - Microsoft Exchange (CVE-2023-36778). "Для успешной эксплуатации необходимо, чтобы злоумышленник находился в той же сети, что и хост Exchange Server, и использовал валидные учетные данные пользователя Exchange в удаленной сессии PowerShell". Не выглядит особенно критичной, хотя "Exploitation More Likely".
🔻 Elevation of Privilege - Windows IIS Server (CVE-2023-36434). Достигается через упрощённый брутфорс пароля. 🤷‍♂️
🔻 Пачка Elevation of Privilege в Windows Win32k и Windows Graphics Component. Успешная эксплуатация уязвимости может позволить злоумышленнику получить привилегии SYSTEM.

upd. 🟥 PT относит уязвимости Information Disclosure - Microsoft WordPad (CVE-2023-36563) и Denial of Service - HTTP/2 protocol (CVE-2023-44487) к трендовым.

🗒 Vulristics report

Изменения в источнике данных NVD для Vulristics

3 комментария

Изменения в источнике данных NVD для Vulristics

Изменения в источнике данных NVD для Vulristics. В NVD стали гораздо менее толерантно подходить к использованию своего API. После 5 последовательных запросов начинает отдаваться такое:

Это аффектило, в том числе и мой скрипт в Vulristics, который запрашивает данные из NVD. 😐

Согласно документации:

Публичный rate limit (без ключа API) составляет 5 запросов в скользящем 30-секундном окне; rate limit с ключом API составляет 50 запросов в скользящем 30-секундном окне.

Поэтому, если вы используете NVD API, ставьте sleep-ы. 🤷‍♂️

✅ Для Vulristics сделал поддержку аутентификации по ключу NVD и sleep-ы в 0.6 секунд при использовании ключа и 6 секунды без использования ключа.

Для получения ключа NVD API нужно указать организацию, тип организации и email в форме. Через несколько секунд на email придёт одноразовая ссылка, по которой отдаётся ключ.

АЛТЭКС-СОФТ выпустили beta-версию RedCheck под AstraLinux и приглашают принять участие в тестировании

Добавить комментарий

АЛТЭКС-СОФТ выпустили beta-версию RedCheck под AstraLinux и приглашают принять участие в тестировании

АЛТЭКС-СОФТ выпустили beta-версию RedCheck под AstraLinux и приглашают принять участие в тестировании. Linux-овый сканер пока сможет сканировать Windows-хосты только в агентном режиме (особенность агентного сканирования RedCheck в том, что соединение инициирует сервер, а не таргет-хост; т.е. агент это своя реализация транспорта по сути). Безагентное сканирование тоже планируют реализовать, но это пока прорабатывается. Все остальные функции такие же, включая пентест и комплаенс. Релиз планируют до конца года. Также планируют поддержать другие дистрибутивы, как минимум Debian.

В целом, все российские VM-вендоры либо поддерживали установку на Linux изначально, либо активно работают сейчас на тем, чтобы полностью отвязать свои решения от Windows. И это, безусловно, здорово. 👍

Если, что MaxPatrol VM с прошлого года поддерживает установку на Astra Linux и Debian. 😉

По поводу подозрительной EoP в Confluence (CVE-2023-22515), которая вышла на прошлой неделе, опасения подтвердились

5 комментариев

По поводу подозрительной EoP в Confluence (CVE-2023-22515), которая вышла на прошлой неделе, опасения подтвердились

По поводу подозрительной EoP в Confluence (CVE-2023-22515), которая вышла на прошлой неделе, опасения подтвердились. Злоумышленнику действительно не требуется предварительно иметь пользователя в Confluence, чтобы получить администратора. Действительно имеет место обход аутентификации.

Коллеги из PT SWARM воспроизвели эту уязвимость и записали видео с демонстрацией. На видео они показывают, что пользователя в инсталляции Confluence нет, затем они запускают python скрипт с логином/паролем желаемого пользователя и тут же получают его в Confluence с правами админа. Magic. 🪄

Что я вынес из доклада "Успеть за 24 часа: как работать с трендовыми уязвимостями"

Добавить комментарий

Что я вынес из доклада Успеть за 24 часа: как работать с трендовыми уязвимостямиЧто я вынес из доклада Успеть за 24 часа: как работать с трендовыми уязвимостямиЧто я вынес из доклада Успеть за 24 часа: как работать с трендовыми уязвимостями

Что я вынес из доклада "Успеть за 24 часа: как работать с трендовыми уязвимостями".

1. Публичное подтверждение: MaxPatrol EDR будет собирать инвентаризационную информацию для расчета уязвимостей. Т.е. это полноценное агентное сканирование! EDR агент будет регулярно отправлять данные в сторону сервера и не надо будет запариваться активными сканами, заведением учёток, пропиливанием сетевых доступов и т.п. Крутейшая долгожданная фича. 🥳
2. Определение трендовых уязвимостей: "Уязвимости, которые представляют наибольшую опасность для организации или активно эксплуатируются злоумышленниками, либо уязвимости нулевого дня, для которых есть подтвержденные механизмы эксплуатации". Т.е. в фокусе
🔻 контекст клиентов, применяются ли уязвимые продукты в их инфраструктуре;
🔻 злоумышленники, какие уязвимости они эксплуатируют в атаках;
🔻 технические средства, которые позволяют эксплуатировать уязвимости.
3. Достижения этого года: Compliance Management (HCC), поддержка методики ФСТЭК по оценке критичности уязвимостей, SLA в 12 часов по доставке детектов для трендовых уязвимостей, поддержка LAPS, публичный API, новый сайзинг-гайд.
4. В следующем году собираются представить: сканирование веб-приложений, Linux collector для всех режимов сканирования (коллектор это новое название для сканирующей ноды, ранее это называлось агентом), сканирование в технологические окна, сканирование docker, новые форматы отчетов, проверка подключения и тестирование транспортов, патчи на уязвимости, поддержка иерархических инсталляций, мобильный сканер 2.0, сертифицированная сборка, приоритизация задач сбора, добавление PDQL-запросов в задачи, возможность настроить права только для чтения.
5. Из более отдаленных планов наиболее интригует прямоугольничек "Свои детекты и уязвимости". 😏

Непосредственно по нашей VM-ной теме на сегодняшнем Positive Security Day будет вот этот доклад

1 комментарий

Непосредственно по нашей VM-ной теме на сегодняшнем Positive Security Day будет вот этот доклад

Непосредственно по нашей VM-ной теме на сегодняшнем Positive Security Day будет вот этот доклад.

Успеть за 24 часа: как работать с трендовыми уязвимостями
Зал 1, 15:10 - 15:30
Speaker: Павел Попов, Анна Цыбина
Расскажем, почему важно быстро реагировать на самые опасные уязвимости, как в этом может помочь MaxPatrol VM и почему vulnerability management — неотъемлемый компонент РКБ

РКБ - Результативная Кибербезопасность