Архив за месяц: Декабрь 2023

Экспорт данных из MaxPatrol VM через API по PDQL-запросу

2 комментария

Экспорт данных из MaxPatrol VM через API по PDQL-запросу

Экспорт данных из MaxPatrol VM через API по PDQL-запросу. К завтрашнему выступлению выкладываю небольшой мануал и пример скрипта.

1. Для работы с API вам понадобится логин и пароль пользователя, а также параметр ClientSecret, который лежит на сервере в /var/lib/deployer/role_instances/Core/params.yaml

2. Делаем запрос к mpvm_url + ':3334/connect/token', получаем токен, который подставляем в хидер authorization в виде 'Bearer ' + token. ⚠️ Получение токена у идёт по порту 3334, а дальнейшая работа с API по порту 443!

3. Делаем запрос к assets_grid с PDQL-запросом, получаем pdql_token. Затем с этим токеном делаем запросы к assets_grid/data увеличивая offset. Упёрлись в лимит 50000 результатов? Добавьте "| limit(0)" в конец PDQL-запроса.

🧠 Отлаживать PDQL-запросы удобнее в web-gui и затем смотреть какие запросы браузер шлёт, т.к. используется тот же API.

📄 Пример python-скрипта для экcпорта всех трендовых уязвимостей.

О достижениях

Добавить комментарий

О достижениях

О достижениях. У меня в декабре будет ещё одна лекция по VM-у. На этот раз не в учебном заведении, а в компании. И там для внутренней рассылки нужно заполнить анкету. Над одним вопросом я залип: "3 достижения эксперта". Ну вот так чтобы три и при этом себе не врать. 🧐

Склоняюсь к следующему:

1. Занимаюсь Vulnerability Management-ом 14 лет, всё это время приносил пользу немаленьким компаниям, не выгорел и не двинулся окончательно головушкой. 🎉👍

2. Запустил несколько open-source проектов, наиболее успешный из которых Vulristics. Ну так, весьма ограниченно успешный, на 74 звёздочки. Не Nmap чай. 🌝

3. Ресерчил всякое, выступал на всяких конфах, писал всякое в свой блог и telegram-каналы. Что-то из этого даже до сих пор актуально. Не сказать, что прям успешный успех, но в целом норм. 🗿

В общем, это почти эталонный бесячий вопрос, особенно под кризис среднего возраста. 🙂 Гораздо жёстче "вашего наиболее сложного проекта" и "кем видите себя через 5 лет". 😈

Фишинговая атака на администраторов сайтов на WordPress

1 комментарий

Фишинговая атака на администраторов сайтов на WordPress

Фишинговая атака на администраторов сайтов на WordPress. Гениально и просто. 🙂 Админам сайтов приходит поддельное письмо, якобы от WordPressOrg, с призывом установить плагин для исправления RCE уязвимости CVE-2023-45124. На NVD для этой уязвимости CVE ID Not Found, но, учитывая какой там сейчас бардак, это бы и меня не особо смутило. 😅

В письме ссылка на фишинговый сайт с описанием вредоносного плагина, отзывами, оценками, всё как на официальном сайте с плагинами. Плагин скачивается как zip-архив. После установки и активации плагина создаётся админская учётка wpsecuritypatch, пароль от неё передается на сервер злоумышленников, устанавливается P.A.S. бэкдор, плагин и учётка скрываются в админке. 😈

Разумеется, похожую атаку могут проворачивать и для какой-нибудь другой CMS-ки, того же Битрикса. Будьте внимательнее.

Собираюсь выступить на Код ИБ 2023 | ИТОГИ в этот четверг с мини-докладом про трендовые уязвимости

3 комментария

Собираюсь выступить на Код ИБ 2023 | ИТОГИ в этот четверг с мини-докладом про трендовые уязвимости

Собираюсь выступить на Код ИБ 2023 | ИТОГИ в этот четверг с мини-докладом про трендовые уязвимости. Зачем нужно выделять трендовые уязвимости и почему делать это по открытым данным весьма непросто. Плюс пара слайдов про то, какие трендовые уязвимости выделил в 2023 году один отечественный 🟥 VM вендор (конспиративная формулировка, т.к. иду как "независимый эксперт" 😉🤷‍♂️) .

Выступление будет в секции "Анализ защищенности и расследование инцидентов", начало в 12:00. Внезапно попал в одну секцию с Андреем Масаловичем (КиберДед)! 🙂 После коротких выступлений там ожидается "Дискуссия с экспертами", должно быть занимательно.

Прожектор по ИБ, выпуск №14 (02.12.2023): 5000 р компенсации за утечку ПД и легализация белых шляп

Добавить комментарий

Прожектор по ИБ, выпуск №14 (02.12.2023): 5000 р компенсации за утечку ПД и легализация белых шляп

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"

00:00 Смотрим статистику по прошлому эпизоду
03:26 Максим сходил на Технологии SOC
05:45 Финансирование государственных ИБ систем
08:52 Интересная уязвимость раскрытия данных в ownCloud (CVE-2023-49103)
11:59 Уязвимость Chrome в распространенной библиотеке Skia (CVE-2023-6345).
15:25 «Яндекс.Еда» заплатит по 5 тысяч рублей двум пострадавшим от утечки данных
19:00 Персональный заход: аферисты обновили схему для доступа к аккаунтам на «Госуслугах»
20:44 Легализации «белых» хакеров
23:22 Прощание от Mr.X

Поучаствовал в вебинаре с Давидом Ордяном, CEO Metascan, про безопасность периметра

1 комментарий

Поучаствовал в вебинаре с Давидом Ордяном, CEO Metascan, про безопасность периметра

Поучаствовал в вебинаре с Давидом Ордяном, CEO Metascan, про безопасность периметра. Вебинар проходил в рамках курса Inseca по VM, который я сейчас активно прохожу (3 недели уже прошло, осталось ещё 3). 🙂 Выписал тезисы по вебинару.

Цель в том, чтобы прийти к идеальному состоянию периметра:

🔹 Периодичность проверки каждого хоста на внешнем периметре составляет 24 часов.
🔹 На периметре отсутствуют уязвимости критичностью выше X.
🔹 Назначение каждого порта на внешнем периметре известно ИБ, понятно с какими активами во внутрянке он связан и кто за них отвечает.

Чтобы этого достичь нужны ресурсы, а значит нужно начать с продажи идеи ИБ руководству компании. Как это сделать?

🔻 Нужны союзники со стороны сетевиков и админов. Хорошо помогает сбор рабочей группы с ними.
🔻 Контроль периметра со стороны ИБ должен быть регулярным процессом организации с планерками, реагированием на аномалии и т.д.
🔻 Нужно научиться говорить на бизнес-языке. Идеально продемонстрировать возможность совершения недопустимого события. Но даже XSS-ки с потенциальным имиджевым риском может быть достаточно.

На что обратить внимание:

🔸 ИБ должно участвовать в управлении DNS и публикации сервисов.
🔸 Должен быть реестр сетевых портов. Отдельно выделяем сервисы, которых не должно быть на периметре в принципе (telnet, ssh, rpc, sql и т.д.), и сервисы, которые не были нормально продетектированы - нужно дорабатывать детекты.
🔸 Брутилки, как правило, заточены под конкретные протоколы - разбирайтесь с утилитами (или берите коммерческие сервисы-комбайны). В Метаскане, например, 28 инструментов.
🔸 Вендор настолько хорош, насколько хорош его RnD. Пусть покажет, что умеет писать детект. Готовые движки не пойдут: "в Nessus никогда не будет Битрикса". И что вы будете с этим делать?
🔸 Ошибочная выкладка файлов на периметре (папка с логами, дампами, скрипт с захардкоженными паролями и т.п.), чем вы это будете ловить? Это не CVE.
🔸 Случайно опубликованную админку сканер не найдет, нужны специальные инструменты.
🔸 Сканеры web-приложений должны поддерживать web2.0. В современных приложениях client-side rendering. Должен использоваться виртуальный браузер.