Архив за месяц: Ноябрь 2023

Снова эксплуатируемая вживую уязвимость Chrome и снова в распространенной библиотеке (Skia, CVE-2023-6345)

3 комментария

Снова эксплуатируемая вживую уязвимость Chrome и снова в распространенной библиотеке (Skia, CVE-2023-6345)

Снова эксплуатируемая вживую уязвимость Chrome и снова в распространенной библиотеке (Skia, CVE-2023-6345). Skia — это библиотека 2D-графики с открытым исходным кодом, которая предоставляет общие API-интерфейсы, работающие на различных аппаратных и программных платформах. Согласно документации, служит графическим движком для Google Chrome и ChromeOS, Android, Flutter, Mozilla Firefox и Firefox OS (лол, давно видимо доку не правили 😏), а также многих других продуктов.

"Целочисленное переполнение в Skia в Google Chrome до версии 119.0.6045.199 позволяло удаленному злоумышленнику, скомпрометировавшему процесс рендеринга, потенциально выполнить выход из песочницы с помощью вредоносного файла".

Похоже затронет множество продуктов, полный перечень которых мы толком и не узнаем. 🤷‍♂️ Можно поставить в один ряд с уязвимостями libwep и libvpx.

НПО "Эшелон" зарелизили Сканер-ВС 6

Добавить комментарий

НПО Эшелон зарелизили Сканер-ВС 6

НПО "Эшелон" зарелизили Сканер-ВС 6. Это первая версия Сканер-ВС, которая не использует в качестве движка OpenVAS/GVM. К слову о том, стоит ли вам использовать OpenVAS/GVM для сканирования инфраструктуры, если даже эшелоновцы, у которых опыт использования и модификации этого опенсурсного решения был очень большой, в итоге от него отказались и сделали свой движок.

На что можно обратить внимание в пресс-релизе:

🔹 Сканер-ВС используют 5000 организаций в России. Это, видимо, по 5-ой версии.
🔹 Заявлена функциональность по управлению активами, в том числе с назначением уровня критичности узлам и инвентаризацией ПО.
🔹 База уязвимостей на основе NVD, БДУ и вендорских бюллетеней ("Debian, Red Hat, Arch, Ubuntu, Windows, Astra Linux и др."). Детект идёт хитрым быстрым поиском по этой базе "без скриптов". Где-то это наверняка cpe-детекты, где-то поиск по версиям пакетов. Это самая интересная часть и, естественно, самая закрытая.
🔹 Подчёркивают, что у них есть разнообразные брутилки.
🔹 Есть комплаенс-режим для Windows и Linux.
🔹 Работают под Astra Linux 1.7. Доступно в виде Docker Compose или ISO Live USB образа.
🔹 Стандартные фичи: API, запуск по расписанию, ежедневное обновление базы, лицензия по контролируемым активам (без привязки к конкретным хостам), триалка на 2 месяца и 16 IP.

Есть демо видео на ~8 минут. Там делают следующее:

🔻 сканят сетку
🔻 создают теги и назначают их хостам
🔻 сканируют хосты "черным ящиком" с построением карты сети
🔻 по результатам сканирования "чёрным ящиком" ищут уязвимости в NVD (по cpe - на вкладке показывают результаты cpe-match) c подсветкой уязвимых активов на карте сети
🔻 заводят SSH пользователя для актива с аутентификацией по паролю (у пользака есть опции аутентификации по ntlm, kerberos и ключам)
🔻 cканируют хост Ubuntu с аутентификацией (учётка берётся из актива)
🔻 брутят ssh пароль пользователя для актива
🔻 проводят комплаенс-скан ("Аудит") актива, для Ubuntu выполняется 10 проверок (опции монтирования файловых систем, auditd, sudo, требования к паролям, блокировка пользователя при неудачных попытках входа)
🔻 выпускают отчёт (html, pdf)

В целом, прикольный сканер вроде получился. Понятное дело, что со своими ограничениями. Перед закупкой следует его тщательно тестировать, в особенности обращать внимание на качество детектирования уязвимостей и принципиальные возможности детектирования (про сканирование сетевых устройств с аутентификацией, например, ничего не пишут). Но видно, что продукт получился самобытный и интересный. 👍

Qualys представили пассивный сенсор, встроенный в хостовой агент - Cloud Agent Passive Sensor (CAPS)

1 комментарий

Qualys представили пассивный сенсор, встроенный в хостовой агент - Cloud Agent Passive Sensor (CAPS)

Qualys представили пассивный сенсор, встроенный в хостовой агент - Cloud Agent Passive Sensor (CAPS). Прикольная тема для развития VM-ных агентов. То, что в агент интегрируют активный сетевой сканер, я уже видел, а вот то, что снифер встроили - не припомню такого. 🙂

Как они обосновывают необходимость в нём: указывают на опасность, исходящую от неизвестных и неуправляемых активов в сетях. Это могут быть как просто старые уязвимые системы, так и закладки. Отслеживать такие активы трудоёмко.

Что предлагают: новый сенсор CAPS, встроенный в хостовой агент, который уже используется для VMDR, PM (Patch Management), FIM (File Integrity Monitoring), EDR.

Разве у них не было средств для анализа трафика? Было и есть - сетевое устройство Qualys Network Passive Sensor. Но пишут, что им 100% покрытия в современных средах сложно было достичь, т.к. сети слишком сложные стали.

Что из себя представляет CAPS: функция, которую можно включить для любого лицензированного облачного агента (Cloud Agent). Функция работает при наличии модуля Qualys CyberSecurity Asset Management (CSAM).

CAPS превращает облачный агент в пассивный сенсор (в дополнение к другим функциям, которые он выполняет регулярно), позволяя ему отслеживать broadcast и multicast трафик, такой как ARP, DHCP, SSDP, mDNS, LLDP и различные Plug-and-Play Network/Service Discovery протоколы для обеспечения широкой видимости в сети.

Затем облачные агенты собирают обширные метаданные активов и сообщают такую информацию, как MAC-адреса, IP-адреса, имя хоста, операционную систему, версию прошивки и UUID (универсальные уникальные идентификаторы). Эти данные можно использовать для создания централизованной инвентаризации сетевых активов, оценки состояния их безопасности и обнаружения аномалий или потенциальных угроз.

Данные, собранные с помощью CAPS, автоматически агрегируются на платформе Qualys Enterprise TruRisk с информацией от Network Passive Sensor-ов, активных сетевых сканеров и облачных агентов. Он обеспечивает единое, комплексное и унифицированное представление о сети.

При этом пассивным зондированием (sensing) занимаются не все агенты:

Если в одной подсети имеется более одного агента с поддержкой CAPS, агенты совместно определяют лидера (leader) и резервного (standby). Резервный обеспечивает непрерывность работы в случае выхода Лидера из сети.

А так всю работу делает Лидер.

Какие преимущества подчёркивают:

🔹 Автоматический анализ трафика и дедупликация данных из нескольких источников. Автоматически убирают мусор типа данных из домашних сетей.
🔹 Дополнительное средство детектирования для активов, которые нельзя сканировать агентно или безагентно (промышленное оборудование, Интернет вещей и медицинские устройства)
🔹 Простота интеграции, алертинга, добавления в регулярные сканы/на раскатку агентов.

Для бизнеса напирают на минимизацию рисков за счет комплексного контроля, единый взгляд на SecOps и IT Ops, снижение совокупной стоимости владения.

Интересная уязвимость раскрытия данных в ownCloud (CVE-2023-49103)

1 комментарий

Интересная уязвимость раскрытия данных в ownCloud (CVE-2023-49103)

Интересная уязвимость раскрытия данных в ownCloud (CVE-2023-49103). А точнее в плагине-приложении graphapi, благодаря которому становится доступен URL:

"owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php"

При доступе к этому URL-адресу раскрываются детали конфигурации среды PHP (phpinfo). Эта информация включает в себя все переменные среды веб-сервера. В контейнерных развертываниях эти переменные среды могут включать конфиденциальные данные, такие как пароль администратора ownCloud, учетные данные почтового сервера и лицензионный ключ. 🤷‍♂️

Есть немудрёный PoC. 🙂 Если у вас ownCloud - проверяйтесь, обновляйтесь, меняйте креды.

Наиграл ещё одно стихотворение Роберта Рождественского "Спелый ветер дохнул напористо"

1 комментарий

Наиграл ещё одно стихотворение Роберта Рождественского "Спелый ветер дохнул напористо". Про незнакомых юных граждан, обживающих вагон, стало уже вполне близко и понятно. 🌝 Вообще советская лирика шестидесятников как-то по-другому начала восприниматься после недавних событий, стала более злободневной что ли, актуальной. Вроде и время совсем другое, и страна сильно изменилась, а глобальные расклады остались примерно теми же. Как и рефлексия на них.

Прожектор по ИБ, выпуск №13 (26.11.2023): Метания Альтмана, кошко-девушки и тормозной CISA KEV

Добавить комментарий

Прожектор по ИБ, выпуск №13 (26.11.2023): Метания Альтмана, кошко-девушки и тормозной CISA KEV

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Максим Хараск, "Global Digital Space"

00:00 Здороваемся, смотрим статистику по прошлому эпизоду и комментарии
02:30 Впечатления от Кибердома, потенциальная книга по VM от Positive Technologies
12:44 CISA KEV люто тормозит
20:19 Про спор ОМП и Ред Софт об AOSP в реестре Минцифры
31:58 USB-стиллер против Windows Hello и про биометрию вообще
41:04 8 млрд рублей перевели мошенникам жители РФ, не доверяйте входящим звонкам
47:08 Хакеры требуют кошко-девушек
49:59 Карьерные метания товарища Альтмана
54:45 Несёт ли бред ИИ?
56:57 Прощание от Mr.X

Две вещи, которые больше всего порадовали в Кибердоме

1 комментарий

Две вещи, которые больше всего порадовали в КибердомеДве вещи, которые больше всего порадовали в КибердомеДве вещи, которые больше всего порадовали в Кибердоме

Две вещи, которые больше всего порадовали в Кибердоме.

1. ОЧЕНЬ много полок с разными книгами и ретро-девайсами. Я обожаю библиотеки и книжные магазины, так что мне такое оформление очень зашло. 😇
2. В зоне киберполигона у стендов есть планшеты с мини-игрушками, в которых нужно отражать атаки злоумышленников, иначе на стенде произойдет что-то нехорошее. Довольно увлекательно и похоже на мою задумку с Бесконечным VMом. 🙂

Здесь же напишу пару слов про выпускной вечер курса по VM в дополнение к посту Михаила. По-моему прошло душевно. Познакомились, осмотрели Кибердом, перекусили, поиграли в VM-ный квиз, всякие интересные VM-ные кейсы пообсуждали. Хороший вечер. 👍🙂 Спасибо тем, кто пришёл и кто организовал!