Архив за месяц: Ноябрь 2023

Снова эксплуатируемая вживую уязвимость Chrome и снова в распространенной библиотеке (Skia, CVE-2023-6345)

Снова эксплуатируемая вживую уязвимость Chrome и снова в распространенной библиотеке (Skia, CVE-2023-6345)

Снова эксплуатируемая вживую уязвимость Chrome и снова в распространенной библиотеке (Skia, CVE-2023-6345). Skia — это библиотека 2D-графики с открытым исходным кодом, которая предоставляет общие API-интерфейсы, работающие на различных аппаратных и программных платформах. Согласно документации, служит графическим движком для Google Chrome и ChromeOS, Android, Flutter, Mozilla Firefox и Firefox OS (лол, давно видимо доку не правили 😏), а также многих других продуктов.

"Целочисленное переполнение в Skia в Google Chrome до версии 119.0.6045.199 позволяло удаленному злоумышленнику, скомпрометировавшему процесс рендеринга, потенциально выполнить выход из песочницы с помощью вредоносного файла".

Похоже затронет множество продуктов, полный перечень которых мы толком и не узнаем. 🤷‍♂️ Можно поставить в один ряд с уязвимостями libwep и libvpx.

НПО "Эшелон" зарелизили Сканер-ВС 6

НПО Эшелон зарелизили Сканер-ВС 6

НПО "Эшелон" зарелизили Сканер-ВС 6. Это первая версия Сканер-ВС, которая не использует в качестве движка OpenVAS/GVM. К слову о том, стоит ли вам использовать OpenVAS/GVM для сканирования инфраструктуры, если даже эшелоновцы, у которых опыт использования и модификации этого опенсурсного решения был очень большой, в итоге от него отказались и сделали свой движок.

На что можно обратить внимание в пресс-релизе:

🔹 Сканер-ВС используют 5000 организаций в России. Это, видимо, по 5-ой версии.
🔹 Заявлена функциональность по управлению активами, в том числе с назначением уровня критичности узлам и инвентаризацией ПО.
🔹 База уязвимостей на основе NVD, БДУ и вендорских бюллетеней ("Debian, Red Hat, Arch, Ubuntu, Windows, Astra Linux и др."). Детект идёт хитрым быстрым поиском по этой базе "без скриптов". Где-то это наверняка cpe-детекты, где-то поиск по версиям пакетов. Это самая интересная часть и, естественно, самая закрытая.
🔹 Подчёркивают, что у них есть разнообразные брутилки.
🔹 Есть комплаенс-режим для Windows и Linux.
🔹 Работают под Astra Linux 1.7. Доступно в виде Docker Compose или ISO Live USB образа.
🔹 Стандартные фичи: API, запуск по расписанию, ежедневное обновление базы, лицензия по контролируемым активам (без привязки к конкретным хостам), триалка на 2 месяца и 16 IP.

Есть демо видео на ~8 минут. Там делают следующее:

🔻 сканят сетку
🔻 создают теги и назначают их хостам
🔻 сканируют хосты "черным ящиком" с построением карты сети
🔻 по результатам сканирования "чёрным ящиком" ищут уязвимости в NVD (по cpe - на вкладке показывают результаты cpe-match) c подсветкой уязвимых активов на карте сети
🔻 заводят SSH пользователя для актива с аутентификацией по паролю (у пользака есть опции аутентификации по ntlm, kerberos и ключам)
🔻 cканируют хост Ubuntu с аутентификацией (учётка берётся из актива)
🔻 брутят ssh пароль пользователя для актива
🔻 проводят комплаенс-скан ("Аудит") актива, для Ubuntu выполняется 10 проверок (опции монтирования файловых систем, auditd, sudo, требования к паролям, блокировка пользователя при неудачных попытках входа)
🔻 выпускают отчёт (html, pdf)

В целом, прикольный сканер вроде получился. Понятное дело, что со своими ограничениями. Перед закупкой следует его тщательно тестировать, в особенности обращать внимание на качество детектирования уязвимостей и принципиальные возможности детектирования (про сканирование сетевых устройств с аутентификацией, например, ничего не пишут). Но видно, что продукт получился самобытный и интересный. 👍

Qualys представили пассивный сенсор, встроенный в хостовой агент - Cloud Agent Passive Sensor (CAPS)

Qualys представили пассивный сенсор, встроенный в хостовой агент - Cloud Agent Passive Sensor (CAPS)

Qualys представили пассивный сенсор, встроенный в хостовой агент - Cloud Agent Passive Sensor (CAPS). Прикольная тема для развития VM-ных агентов. То, что в агент интегрируют активный сетевой сканер, я уже видел, а вот то, что снифер встроили - не припомню такого. 🙂

Как они обосновывают необходимость в нём: указывают на опасность, исходящую от неизвестных и неуправляемых активов в сетях. Это могут быть как просто старые уязвимые системы, так и закладки. Отслеживать такие активы трудоёмко.

Что предлагают: новый сенсор CAPS, встроенный в хостовой агент, который уже используется для VMDR, PM (Patch Management), FIM (File Integrity Monitoring), EDR.

Разве у них не было средств для анализа трафика? Было и есть - сетевое устройство Qualys Network Passive Sensor. Но пишут, что им 100% покрытия в современных средах сложно было достичь, т.к. сети слишком сложные стали.

Что из себя представляет CAPS: функция, которую можно включить для любого лицензированного облачного агента (Cloud Agent). Функция работает при наличии модуля Qualys CyberSecurity Asset Management (CSAM).

CAPS превращает облачный агент в пассивный сенсор (в дополнение к другим функциям, которые он выполняет регулярно), позволяя ему отслеживать broadcast и multicast трафик, такой как ARP, DHCP, SSDP, mDNS, LLDP и различные Plug-and-Play Network/Service Discovery протоколы для обеспечения широкой видимости в сети.

Затем облачные агенты собирают обширные метаданные активов и сообщают такую информацию, как MAC-адреса, IP-адреса, имя хоста, операционную систему, версию прошивки и UUID (универсальные уникальные идентификаторы). Эти данные можно использовать для создания централизованной инвентаризации сетевых активов, оценки состояния их безопасности и обнаружения аномалий или потенциальных угроз.

Данные, собранные с помощью CAPS, автоматически агрегируются на платформе Qualys Enterprise TruRisk с информацией от Network Passive Sensor-ов, активных сетевых сканеров и облачных агентов. Он обеспечивает единое, комплексное и унифицированное представление о сети.

При этом пассивным зондированием (sensing) занимаются не все агенты:

Если в одной подсети имеется более одного агента с поддержкой CAPS, агенты совместно определяют лидера (leader) и резервного (standby). Резервный обеспечивает непрерывность работы в случае выхода Лидера из сети.

А так всю работу делает Лидер.

Какие преимущества подчёркивают:

🔹 Автоматический анализ трафика и дедупликация данных из нескольких источников. Автоматически убирают мусор типа данных из домашних сетей.
🔹 Дополнительное средство детектирования для активов, которые нельзя сканировать агентно или безагентно (промышленное оборудование, Интернет вещей и медицинские устройства)
🔹 Простота интеграции, алертинга, добавления в регулярные сканы/на раскатку агентов.

Для бизнеса напирают на минимизацию рисков за счет комплексного контроля, единый взгляд на SecOps и IT Ops, снижение совокупной стоимости владения.

Интересная уязвимость раскрытия данных в ownCloud (CVE-2023-49103)

Интересная уязвимость раскрытия данных в ownCloud (CVE-2023-49103)

Интересная уязвимость раскрытия данных в ownCloud (CVE-2023-49103). А точнее в плагине-приложении graphapi, благодаря которому становится доступен URL:

"owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php"

При доступе к этому URL-адресу раскрываются детали конфигурации среды PHP (phpinfo). Эта информация включает в себя все переменные среды веб-сервера. В контейнерных развертываниях эти переменные среды могут включать конфиденциальные данные, такие как пароль администратора ownCloud, учетные данные почтового сервера и лицензионный ключ. 🤷‍♂️

Есть немудрёный PoC. 🙂 Если у вас ownCloud - проверяйтесь, обновляйтесь, меняйте креды.

Наиграл ещё одно стихотворение Роберта Рождественского "Спелый ветер дохнул напористо"

Наиграл ещё одно стихотворение Роберта Рождественского "Спелый ветер дохнул напористо". Про незнакомых юных граждан, обживающих вагон, стало уже вполне близко и понятно. 🌝 Вообще советская лирика шестидесятников как-то по-другому начала восприниматься после недавних событий, стала более злободневной что ли, актуальной. Вроде и время совсем другое, и страна сильно изменилась, а глобальные расклады остались примерно теми же. Как и рефлексия на них.

Прожектор по ИБ, выпуск №13 (26.11.2023): Метания Альтмана, кошко-девушки и тормозной CISA KEV

Прожектор по ИБ, выпуск №13 (26.11.2023): Метания Альтмана, кошко-девушки и тормозной CISA KEV

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Максим Хараск, "Global Digital Space"

00:00 Здороваемся, смотрим статистику по прошлому эпизоду и комментарии
02:30 Впечатления от Кибердома, потенциальная книга по VM от Positive Technologies
12:44 CISA KEV люто тормозит
20:19 Про спор ОМП и Ред Софт об AOSP в реестре Минцифры
31:58 USB-стиллер против Windows Hello и про биометрию вообще
41:04 8 млрд рублей перевели мошенникам жители РФ, не доверяйте входящим звонкам
47:08 Хакеры требуют кошко-девушек
49:59 Карьерные метания товарища Альтмана
54:45 Несёт ли бред ИИ?
56:57 Прощание от Mr.X

Две вещи, которые больше всего порадовали в Кибердоме

Две вещи, которые больше всего порадовали в КибердомеДве вещи, которые больше всего порадовали в КибердомеДве вещи, которые больше всего порадовали в Кибердоме

Две вещи, которые больше всего порадовали в Кибердоме.

1. ОЧЕНЬ много полок с разными книгами и ретро-девайсами. Я обожаю библиотеки и книжные магазины, так что мне такое оформление очень зашло. 😇
2. В зоне киберполигона у стендов есть планшеты с мини-игрушками, в которых нужно отражать атаки злоумышленников, иначе на стенде произойдет что-то нехорошее. Довольно увлекательно и похоже на мою задумку с Бесконечным VMом. 🙂

Здесь же напишу пару слов про выпускной вечер курса по VM в дополнение к посту Михаила. По-моему прошло душевно. Познакомились, осмотрели Кибердом, перекусили, поиграли в VM-ный квиз, всякие интересные VM-ные кейсы пообсуждали. Хороший вечер. 👍🙂 Спасибо тем, кто пришёл и кто организовал!