Не верь описанию уязвимости - может внезапно поменяться (на примере недавней Improper Authorization в Confluence CVE-2023-22518). Как только эта уязвимость появилась, нам обещали, что злоумышленник никаких данных не получит, максимум повайпает (у вас же дампы есть - восстановите 😏).
"There is no impact to confidentiality as an attacker cannot exfiltrate any instance data."
В итоге через неделю оказалось, что с помощью этой уязвимости можно админа получить.
"This Improper Authorization vulnerability allows an unauthenticated attacker to reset Confluence and create a Confluence instance administrator account."
Упс. Ошибочка вышла. И выяснилось это, когда пошли реальные эксплуатации. 🤷♂️
Мораль: если видишь обновление безопасности в критичном софте, то не вчитывайся в описание, а тестируй и катай. Даже, если там про бла-бла-бла Memory Corruption, EoP или DoS. Не жди пока злоумышленники докрутят уязвимость до чего-то полезного. Целее будешь.
Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно прочитать здесь. Приглашаю подписаться на мой канал в Telegram @avleonovrus. Я обновляю его чаще, чем этот сайт. Вы можете обсудить мои посты или задать вопросы в @avleonovchat или в группе ВКонтакте.
And I invite all English-speaking people to another telegram channel @avleonovcom.
Уведомление: Прожектор по ИБ, выпуск №11 (12.11.2023): не верь описаниям, периметр и Аврора для физиков | Александр В. Леонов