Архив за месяц: Декабрь 2023

Официально запускаю зеркало телеграмм-канала на домене avleonov.ru (сайт на WordPress)

1 комментарий

Официально запускаю зеркало телеграмм-канала на домене avleonov.ru (сайт на WordPress)

Официально запускаю зеркало телеграмм-канала на домене avleonov.ru (сайт на WordPress). В конце сентября у меня был пост о том, что неплохо бы разместить контент из телеграмм-канала на собственной площадке, потому как рано или поздно у ТГ в России начнутся проблемы.

В итоге получилось разработать скрипт, который по выгрузке из телеграмм-канала обновляет сайт на WordPress-е через API-шку с учётом всех базовых фич: форматирование, теги, категории (на основе тегов), кросс-ссылки на посты, иллюстрации (в т.ч. когда их несколько и когда они идут отдельными сообщениями), встроенные плеер YouTube и кликабельные таймстемпы. Было много подводных камней. Но текущим результатом доволен. 😇

Хотя впереди ещё много задач. Нужно сделать синхронизацию постов полностью автоматической, без подкладывания архива руками. Выяснилось, что через API (telethon) ТГ отдаёт выгрузку в другом формате, чем та, что отдаётся через клиент. 🤷‍♂️🤦‍♂️ Но это решаемо. 🙂

Прожектор по ИБ, выпуск №15 (09.12.2023): Нейролингвистические атаки на ИИ

Добавить комментарий

Прожектор по ИБ, выпуск №15 (09.12.2023): Нейролингвистические атаки на ИИ

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"

00:00 Здороваемся и смотрим статистику по прошлому эпизоду
01:56 Про конференцию Код ИБ Итоги 2023
08:14 Фишинговая атака на админов WordPress и настоящая RCE
13:39 У NVD превратятся в тыкву фиды и API 1.0, что делать?
17:36 Нейролингвистические атаки на ИИ и автоматическая конвертация BASH в Python
26:00 Стратегия развития области связи
34:17 Премия Киберпросвет
38:59 Прощание от Mr.X

Вышло обновление, исправляющее RCE уязвимость в WordPress

1 комментарий

Вышло обновление, исправляющее RCE уязвимость в WordPress

Вышло обновление, исправляющее RCE уязвимость в WordPress. Уязвимость исправляется в версии 6.4.2. CVE-шки нет и вендор характеризует её неопределенно:

"Уязвимость удаленного выполнения кода, которая не может быть использована напрямую в ядре, однако команда безопасности считает, что существует потенциал высокой критичности (severity) в сочетании с некоторыми плагинами, особенно при мультисайтовых инсталляций (multisite installs)." 🤷‍♂️

Patchstack пишут, что уязвимость экслуатабельна только в сочетании с другой PHP object injection уязвимостью. Пишут, что уязвимы версии 6.4.0 и 6.4.1, однако рекомендуют:

"как можно скорее обновить свой сайт до версии 6.4.2, даже если вы не используете версию 6.4.0 или 6.4.1."

При этом 6.4.2 это не security release, и автоматическое обновление, как видно на скриншоте, может не отрабатывать. 🤔

Имхо, лучше всё же перестраховаться и

🔹 прожать обновление до 6.4.2
🔹 перевести в сайт в режим "Automatic updates for all WordPress versions"

Вчера на Код ИБ был интересный вопрос про единственный трендовый Cross Site Scripting

Добавить комментарий

Вчера на Код ИБ был интересный вопрос про единственный трендовый Cross Site Scripting

Вчера на Код ИБ был интересный вопрос про единственный трендовый Cross Site Scripting. Это уязвимость в Zimbra Collaboration (CVE-2023-37580).

"Zimbra Collaboration (ZCS) 8 before 8.8.15 Patch 41 allows XSS in the Zimbra Classic Web Client."

В случае реализации атаки, злоумышленник выполнит вредоносные сценарии в веб-браузере жертвы.

ZCS можно описать как аналог MS Exchange, Google Docs и Google Apps. Компонент Zimbra Web Client - веб-клиент для работы с электронной почтой, групповыми календарями и т.д. Продукт коммерческий, но есть и бесплатная open source версия.

Согласно отчёту группы анализа угроз Google (TAG) уязвимость использовали для кражи данных электронной почты, учётных данных пользователей и токенов аутентификации в атаках на гос. учреждения 5 стран.

Есть все признаки 🟥 трендовости:

🔹 эксплуатация вживую с существенным импактом
🔹 есть PoC в статье TAG
🔹 достаточно популярный в наших широтах продукт, можно поискать "Вход в веб-клиент Zimbra"

Фиды NVD и API v1.0 превратятся в тыкву через неделю

2 комментария

Фиды NVD и API v1.0 превратятся в тыкву через неделю

Фиды NVD и API v1.0 превратятся в тыкву через неделю.

"The NVD plans to retire the remaining legacy data feeds as well as all 1.0 APIs on December 15th."

Если ваша организация забирает уязвимости из NVD напрямую, скачивая архивчики с JSON или используя API v1.0, то всё это поломается с 15 декабря. Имеет смысл проверить и перейти на NVD API v2.0 (учитывайте rate limits) или другие источники данных по CVE.

Выкачивать данные по всем CVE разом было очень удобно. Можно такой экспериенс сохранить? Видятся опции:

🔹 Бесплатный неофициальный NVD CVE фид от немецкого института FKIE на GitHub. Всё как у NVD, обновления раз в 2 часа.

🔹 Бесплатный официальный CVE фид от Mitre на GitHub. Нет CPE (есть affected продукты в другом формате), CWE и CVSS вендорский и не везде.

🔹 Платная коллекция данных NVD от Vulners, обогащённая инфой по активной эксплуатации, эксплоитам, AI Score и т.д. Требуется платный API и расширенная подписка. Про работу с коллекциями у меня был давнишний пост.

Испытал вчера wow-эффект от того как бесплатный AI сервис для написания кода переписал мой Bash-скрипт на Python

1 комментарий

Испытал вчера wow-эффект от того как бесплатный AI сервис для написания кода переписал мой Bash-скрипт на Python

Испытал вчера wow-эффект от того как бесплатный AI сервис для написания кода переписал мой Bash-скрипт на Python. Bash-скрипт был примитивный: скачать zip-архив с XML-выгрузкой из БДУ ФСТЭК, распаковать, поискать уязвимости, которые были добавлены в этом году. Я такое накидываю быстро и на автомате. Расплачиваюсь за это последующим рутинным переписыванием на Python. 😕 Автоматизированную же трансляцию толком не сделаешь - слишком много утилит и их особенностей. Или сделаешь? 😏

На удачу забил этот bash-скрипт в сервис с комментарием "rewrite in python" и железяка практически справилась. 🤩 Скачала архив по урлу, распаковала, циклически прошлась по файлу и поискала то, что нужно. Было только несколько минорных ошибок. Magic. 🪄

Продолжу эксперименты с чем-то посложнее, с кучей sed-ов и awk. Но похоже, что будет можно по кайфу фигачить парсеры на Bash-е и влегкую превращать это потом в приличный Python. 😊 Если не прямо сейчас, то в обозримом будущем.

Выступил на КодИБ ИТОГИ с докладом про трендовые уязвимости

2 комментария

Выступил на КодИБ ИТОГИ с докладом про трендовые уязвимости

Выступил на КодИБ ИТОГИ с докладом про трендовые уязвимости. Вполне успешно, но чуток экстремально. Аккурат перед моим выступлением экран перестал работать. ⬛️ Поэтому моя презентация стартовала как стендап. 🤷‍♂️🙂 Объяснять словами диаграмму Эйлера про различия CISA KEV и трендовых уязвимостей от PT, которую зрители не видят, это такое себе. Но вроде справился. 😅 К счастью, где-то на середине выступления экран ожил и дальше всё пошло по плану, все картинки были продемонстрированы.

Под конец "дискуссии с экспертами" предложили сформулировать пожелание для всех зрителей по итогам выступления. Вспомнил наши выпуски "Прожектора по ИБ" и выдал универсальное: "Обновляйтесь!" 🙂

Неважно, корпоративная у вас инфраструктура или домашняя, регулярные обновления решат большую часть проблем с уязвимостями, а значит и с ИБ в целом. Ну а если уязвимостей слишком много, то в первую очередь исправляйте наиболее критичные трендовые уязвимости, подсвеченные надёжным VM-вендором. 😉