Архив за месяц: Январь 2024

Прожектор по ИБ, выпуск №20 (30.01.2024): Байдена нет

Прожектор по ИБ, выпуск №20 (30.01.2024): Байдена нет

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"

00:00 Здороваемся, смотрим статистику по прошлому эпизоду, читаем коммент, выясняем, что Байдена давно нет 😱
02:33 Обсуждаем мою новую статью на сайте Positive Technologies "Трендовые уязвимости 2023"
05:58 Про признак "эксплуатации вживую" на примере RCE в VMware vCenter Server (CVE-2023-34048)
11:14 Arbitrary File Reading уязвимость в Jenkins (CVE-2024-23897), приводящая к RCE
15:28 Мемчик: Поставщик объясняет, как формируется стоимость решения, которое он просто перепродает
19:27 Всё, что происходит сейчас, было уже предсказано Алексеем Лукацким много лет назад
21:41 Как найти 18 000 API Token-ов в интернете?
24:52 Книжный клуб 📕: "Прикладные квантовые технологии для защиты информации" ИнфоТеКС, "17 мгновений зимы, или Сказка для ИБэшника, который давно не верит в сказки" Майя Геваль, "Нунчи. Корейское искусство предугадывать поступки людей и мягко управлять любой ситуацией" Юни Хонг
33:26 Маск сообщил об успешной имплантации человеку чипа Neuralink
41:23 Хакерам дважды удалось взломать Tesla и выявить 49 0-day уязвимостей в ходе первого соревнования Pwn2Own Automotive в Токио
45:12 Российским компаниям из IТ-кадров больше всего нужны специалисты по кибербезопасности
48:58 10 лет без права: топ-менеджеров банков дисквалифицируют за утечки данных
54:35 Mr. X читает стихотворение Эдуарда Асадова

Ну, с почином: моя первая статья на сайте Positive Technologies, подсвеченная в том числе и на официальном канальчике

Ну, с почином: моя первая статья на сайте Positive Technologies, подсвеченная в том числе и на официальном канальчике

Ну, с почином: моя первая статья на сайте Positive Technologies, подсвеченная в том числе и на официальном канальчике. 😊 Статья посвящена трендовым уязвимостям за 2023 год. По контенту примерно то, что я рассказывал на Код ИБ ИТОГИ.

🔻 Так как это была первая статья такого рода, упор был на то, что такое трендовые уязвимости, зачем нужно их выделять и почему это сложно (почему нельзя использовать публичные источники as is).
🔻 Привёл статистику по типам уязвимостей, продуктам и группам продуктов.
🔻 Все уязвимости в отчёте не перечислял, указывал только некоторые яркие кейсы. Пока список трендовых уязвимостей доступен только пользователям MaxPatrol VM. Также о некоторых трендовых уязвимостях выходят посты в телеграмм-канале PT (искать можно по тегу #втрендеVM).

➡️ В общем, милости прошу ознакомиться со статьёй. 😉

PS: Только не спрашивайте меня зачем крутить точку гаечным ключём. Видимо это про тщету мирского бытия или что-то такое. 😅

Arbitrary File Reading уязвимость в Jenkins (CVE-2024-23897), приводящая к RCE

Arbitrary File Reading уязвимость в Jenkins (CVE-2024-23897), приводящая к RCEArbitrary File Reading уязвимость в Jenkins (CVE-2024-23897), приводящая к RCEArbitrary File Reading уязвимость в Jenkins (CVE-2024-23897), приводящая к RCE

Arbitrary File Reading уязвимость в Jenkins (CVE-2024-23897), приводящая к RCE. Jenkins — программная система с открытым исходным кодом для обеспечения процесса непрерывной интеграции ПО. Т.е. это про DevOps, CI/CD и прочее.

🔻 Уже доступна масса вариаций рабочих эксплоитов для этой уязвимости, в том числе и в сплоит-паках.
🔻 Подтвержденных сообщений об эксплуатации вживую пока нет, но в соцсеточках уже пишут, что замечали эксплуатацию на своих ханипотах. Видимо формальное подтверждение вопрос небольшого времени.
🔻 По данным Shadowserver в Интернет торчат 45000 уязвимых серверов. В основном в США и Китае, но, судя по карте, в России тоже около 1000 есть.
🔻 CVSS вектора от NVD тоже пока нет. NVD тормозит. 🦥

Прочитал пост Алексея Лукацкого про мерч, приуроченный к опросу от Positive Technologies

Прочитал пост Алексея Лукацкого про мерч, приуроченный к опросу от Positive Technologies

Прочитал пост Алексея Лукацкого про мерч, приуроченный к опросу от Positive Technologies. Имхо, вообще любой сувенирчик это приятно. 😊 Не могу согласиться с тем, что классика себя изжила. Для меня всё наоборот.

🔻 Футболки - топ! Основа моего гардероба. Главное, чтобы достаточно качественные, с нормальным принтом (без эффекта горчичника) и не белые (чтобы со стиркой не заморачиваться). Ну и без каких-то совсем уж провокационных надписей.
🔻 Если вдруг худи, то ещё лучше. Но тут важно, чтобы не большемерили. Оверсайз ещё ок, но что-то откровенно гигантское а-ля баленсиага носить вряд ли будет возможно.
🔻 Блокноты и ручки - отлично. Я когда работаю люблю разбивать большие задачки на как можно более мелкие, организоваывать их в "диаграммы" с прямоугольничками и стрелочками, а по завершении каждой задачки перечеркивать её прямоугольничек и переходить к следующей. Такой вот простенький GTD метод, чтобы разделить микропланирование и непосредственное выполнение. Поэтому блокнотики у меня расходуются только в путь. Ну и вообще я люблю всякую канцелярщину. 🤤
🔻 Носки? Мне пока такое не перепадало, но если годные, то почему бы и нет.

По остальному даже и не знаю. Из вишлиста Алексея Викторовича меня что-то ничего не впечатляет. То есть я такое приму безусловно с благодарностью, но пользоваться вряд ли буду и постараюсь кому-то поскорее передарить. 😇

Правда ли, что 96% компаний в России можно взломать с помощью старых эксплуатабельных уязвимостей на периметре?

Правда ли, что 96% компаний в России можно взломать с помощью старых эксплуатабельных уязвимостей на периметре?

Правда ли, что 96% компаний в России можно взломать с помощью старых эксплуатабельных уязвимостей на периметре? Статья CNews выглядит забавно потому, что там тезис из аналитического отчёта опровергается одним неаргументированным мнением эксперта. Типа завышено и всё тут. Но когда я смотрю на эту цифирь, то я тоже думаю, что она с реальностью не особо бьётся. 🙂 Попробую аргументировать.

🔻Если мы просто посмотрим организации из ЕГРЮЛ, очевидно, что там будет значимое число организаций типа ООО "Вектор", у которых весь условный "сетевой периметр" это сайт-визитка с телефоном и email-ом на бесплатном сервисе. Очевидно, что если у вас нет периметра, уязвимости ему не страшны. 😏

🔻В отчёте Джеты не пишут, что это статистика по всем российским организациям. Они пишут, что отчёт на основе работ с клиентами и опроса более 100 организаций. В статье CNews это тоже пишут "Все данные из отчета относятся к клиентам и сервисам компании «Инфосистемы Джет», но представитель компании объяснил CNews, что эти данные могут быть релевантны для экстраполяции на российские компании в целом, поскольку компания давно на рынке и обслуживает крупнейших клиентов из самых разных сфер, а в статистику вошло около 500 крупных компаний". Т.е. "96% компаний используют на внешнем периметре версии ПО, имеющие уязвимости уровня «Critical» и «High», для которых существуют публично доступные эксплойты" это не про все российские компании, а про некоторую выборку. А оценку для всех российских компаний можно получить путём какой-то хитрой экстраполяции. Но там будет уже не 96%.

🔻 Так от какого числа компаний посчитаны эти 96% и достоверна ли информация, что у них на периметре эксплутабельные уязвимости? Учитывая, что в отчёте ссылаются на сервис Jet Nautilus (надо ж было назваться как и популярная модель раций - в поиске фиг найдёшь 🙂), видимо речь о клиентах этого сервиса. Сколько этих клиентов непонятно. Но цифра 96% может быть, к примеру, получена, если у вас 25 клиентов и у 24 у них вы продетектировали эксплутабельные уязвимости. Если посмотреть описание сервиса, то в части детектирования уязвимостей он проводит "Пассивное сканирование внешней инфраструктуры компании без прямого контакта с ней. Обеспечивает оценку потенциальных векторов атак и инвентаризацию внешнего периметра". Что это за пассивное сканирование без прямого контакта стоит уточнять у Джетов, но я при таких словах воображаю себе, что у них есть доступ к условному Shodan/Censys и они смотрят результаты баннерных детектов через API-шку и ищут для продетектированных CVE-шек эксплоиты. Метод простой, но достоверность таких детектов, конечно, низкая. Но это не более чем мои домыслы на основе чтения лендинга, конкретно нужно у вендора узнавать.

➡️ Так что, имхо, нет. Доля российских компаний, которых можно взломать с помощью старых эксплуатабельных уязвимостей на периметре, меньше 96%. А для того, чтобы оценить сколько конкретно таких компаний нужно уметь активно и достоверно сканировать весь рунет на уязвимости и понимать какие IP-адреса к каким организациям относятся. А до этого это всё прикидки уровня пол-палец-потолок.

Снова забавное от CNews: cтатья "96% компаний в России можно взломать с помощью старых уязвимостей, которые уже описаны в Сети"

Снова забавное от CNews: cтатья 96% компаний в России можно взломать с помощью старых уязвимостей, которые уже описаны в Сети

Снова забавное от CNews: cтатья "96% компаний в России можно взломать с помощью старых уязвимостей, которые уже описаны в Сети". 🙂

🔹 Половина статьи про то, что Джеты выпустили отчет за 2023 г. и там якобы написано, что "96% компаний в России используют на внешнем периметре версии софта, имеющие уязвимости критического либо высокого уровня". Ссылку на отчёт Cnews почему-то не приводят, но вот этот отчёт. В нём 96% относятся к несколько другому: "96% компаний используют на внешнем периметре версии ПО, имеющие уязвимости уровня «Critical» и «High», для которых существуют публично доступные эксплойты". Согласитесь, что важную часть месседжа проглотили. Сами данные на основе анализа инфраструктур компаний-клиентов Джета. Как бы ок - аудиты, пентесты, статистика.

🔹 Вторая половина статьи (которая собственно меня и позабавила) озаглавлена "Но всё не так критично". Ага. Т.е. на периметре организаций эксплуатабельные уязвимости, но это не так критично. Тут должна быть интересная аргументация. 🧐 Возможно там нам расскажут про какие-то компенсирующие меры, которые повсюду в организациях внедрены, Zero Trust или что-нибудь такое… Но нет, на самом деле аргументация там такая: "Ведущий инженер CorpSoft24 Михаил Сергеев считает, что уязвимости такого уровня действительно присутствуют у большого количества компаний, но цифра в 96% явно завышена". Во как! Явно завышена. 😅 Джеты пишут так, а Михаил Сергеев, ведущий инженер CorpSoft24, считает иначе. 🤷‍♂️ Шах и мат, аналитики. ♟

Дальше приводятся цитаты Михаила, которые не про "не всё так критично", а про то что Vulnerability Management это слооожна, а у админов лапки: 🐾

🔻 "Для закрытия уязвимостей необходимо чуть ли не ежедневно обновлять ПО, но это очень трудоемкий и требовательный к ресурсам процесс"

🔻 "Обычно компании обновляются когда им требуется дополнительный функционал или возникают проблемы, которые они хотят решить с помощью патча. Многие информационные системы работают в режиме "работает, не трогай" "

А раз так, давайте закроем глазки и не будем нагнетать. 🙈 Так что ли должно следовать по логике автора статьи? 😁

В общем, CNews такой CNews. Что ни материал, то радость, веселье и хорошее настроение. 🤩

Но к 96% из отчёта есть, конечно, вопросики. 🧐

Про признак "эксплуатации вживую" на примере RCE в VMware vCenter Server (CVE-2023-34048)

Про признак эксплуатации вживую на примере RCE в VMware vCenter Server (CVE-2023-34048)

Про признак "эксплуатации вживую" на примере RCE в VMware vCenter Server (CVE-2023-34048). Про эту уязвимость я уже писал в октябре 2023:

"Злоумышленник с сетевым доступом к VMware vCenter Server может потенциально получить RCE из-за out-of-bounds write уязвимости в реализации протокола DCERPC. CVSSv3 Base Score 9,8. Судя по CVSS вектору, сложность атаки низкая, аутентификация не нужна, взаимодействие с пользователем не требуется. Есть патчи (даже для EOL продуктов), workaround-а нет. Публичного POCа и признака эксплуатации вживую пока нет."

В таком состоянии эта уязвимость пребывала до 18 января 2024 года, когда Mandiant написали, что оказывается CVE-2023-34048 с конца 2021 года эксплуатируется в таргетированных атаках. И всё заверте… 22 января уязвимость добавили в CISA KEV. ИБшные СМИ начали верещать, что уязвимость-то оказывается критичная и её нужно срочно патчить. 😏

Патчить её, конечно, нужно было ещё в октябре прошлого года, сразу как вышел бюллетень вендора, а не ждать пока какие-то исследователи в ходе расследования инцидентов сделают вывод, что именно эта CVE-шка эксплуатировалась. Они могут сделать такой вывод через много лет активного использования уязвимости или вообще никогда не сделать. Тем более не следует ждать эксплоита в паблике и массовых атак. Это же касается и других уязвимостей без доказанных случаев эксплуатации и публичных эксплоитов.

Если есть обновление безопасности для сколько-нибудь подозрительной уязвимости - тестируй его и ставь! Не жди железобетонных пруффов.