Архив за месяц: Февраль 2024

Стоит ли использовать в вашей организации пиратское VM-решение?

Стоит ли использовать в вашей организации пиратское VM-решение?

Стоит ли использовать в вашей организации пиратское VM-решение? На аргументах про этичность и законность останавливаться не буду (см. 146, 272, 273 УК РФ и штрафы для юрлиц). 🙂 По технике:

🔻 Как вы можете гарантировать, что в скаченную откуда-то сборку не внесли НДВ? Троян, майнер, криптолокер с отложенным запуском. Это вполне естественный способ монетизации для релиз-команды. И чем вы оправдаетесь в случае инцидента?
🔻 В развернутое VM-решение будут забивать учётки для сканирования. Оно будет заходить на таргет-хосты и выполнять произвольные команды (как правило, с привилегиями рута/админа). Вы точно хотите "ZVER-сборку" туда пускать?
🔻 Если у вас правила детектирования уязвимостей не обновляются, то вы сможете определить с помощью такого решения только старый ли таргет-хост как гуано мамонта или нет. Полезность сомнительная. 🙂

А главное нафига рисковать, если можно официально запросить у вендора триалку и тестить сколько потребуется с поддержкой и прочим. 😉

Странная история двух новых критичных RCE-уязвимостей в FortiSIEM (CVE-2024-23108, CVE-2024-23109)

Странная история двух новых критичных RCE-уязвимостей в FortiSIEM (CVE-2024-23108, CVE-2024-23109)
Странная история двух новых критичных RCE-уязвимостей в FortiSIEM (CVE-2024-23108, CVE-2024-23109)

Странная история двух новых критичных RCE-уязвимостей в FortiSIEM (CVE-2024-23108, CVE-2024-23109). Злоумышленник может выполнить несанкционированный код или команды с помощью специальных запросов к API. Есть пруфы получения root-ового shell-а.

🔻 5 февраля эти две CVE с идентичным описанием появляются в NVD. CVSS 10/10. Все подпрыгнули. Смущала только ссылка на старый бюллетень вендора от 10 октября прошлого года и схожесть со старой CVE-2023-34992 с точностью до версий и опечатки "via via".
🔻 В тот же день Fortinet сообщают, что произошла ошибка и эти уязвимости дубликаты CVE-2023-34992. "В данном случае из-за проблемы с API, которую мы в настоящее время изучаем, произошло не редактирование [старой уязвимости], а создание двух новых CVE, дубликатов исходного CVE-2023-34992". 🤷‍♂️ Все выдыхают и ждут отзывы этих новых CVE-шек.
🔻 7 февраля исследователь Zach Hanley из Horizon3 сообщает, что уязвимости есть и это он их нашёл. Это байпасы фикса оригинальной CVE-2023-34992. Пруфает перепиской с Fortinet и скриншотом root-ового shell-а. 😈
🔻 Вскоре после этого Fortinet выпускают ещё одно заявление, что да, новые уязвимость есть и это действительно байпассы. А в предыдущем сообщении они неверно выразились ("misstated"). 🤡🤦‍♂️

На вчерашнем Прожекторе по ИБ выяснили, что инсталляции FortiSIEM в России хоть и редко, но встречались. И даже в окологосах. Если у вас FortiSIEM ещё используется, то обязательно обновитесь (а лучше импортозаместитесь).

Прожектор по ИБ, выпуск №22 (10.02.2024): Вижу MacBook — мне неприятно

Прожектор по ИБ, выпуск №22 (10.02.2024): Вижу MacBook — мне неприятно

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"

00:00 Здороваемся, смотрим статистику, разгоняем про продукты Apple
03:31 Где был Лев: Собираем карьеру с Евгением Питолиным и дебаты на AM Live
09:42 4 апреля состоится форум "Территория Безопасности - 2024: все pro ИБ"
13:42 Мем про тяжелую неделю для Fortinet
14:21 RCE-уязвимость в Fortinet FortiOS и FortiProxy (CVE-2024-21762) эксплуатируется вживую
19:16 Fortinet исправила две критические уязвимости максимальной степени серьезности в FortiSIEM
21:06 Очередная AuthBypass уязвимость в Ivanti Connect Secure, Ivanti Policy Secure и ZTA (CVE-2024-22024)
23:02 Занимательная статья от исследователей уязвимостей из PT SWARM
28:51 Взлом компании AnyDesk и рекомендации от НКЦКИ
33:51 Нужен ли Антивирус (или шире - Endpoint Protection) на Linux хостах?
41:33 Бывшего сотрудника Apple приговорили к тюремному заключению за кражу данных об автомобиле
44:47 Исследователя безопасности обвинили в попытке получить около $3 млн долларов от Apple в виде продукции и услуг компании
49:38 Что такое Игры Будущего 2024?
53:03 Банк России составил портрет жертвы кибермошенников
55:26 🎤 Mr. X и Олег Тиньков (признан иностранным агентом 16.02.2024, уже после публикации видео) поясняют за этот эпизод Прожектора по ИБ

RCE-уязвимость в Fortinet FortiOS и FortiProxy (CVE-2024-21762) эксплуатируется вживую

RCE-уязвимость в Fortinet FortiOS и FortiProxy (CVE-2024-21762) эксплуатируется вживую

RCE-уязвимость в Fortinet FortiOS и FortiProxy (CVE-2024-21762) эксплуатируется вживую. Неаутентифицированный злоумышленник может удалённо выполнять произвольный код с использованием вредоносных HTTP-запросов. В качестве воркэраунда можно отключить SSL VPN на уязвимых устройствах. Публичного эксплоита пока нет.

Если у вас по каким-то причинам всё ещё используются фортики, то нужно оперативно патчиться. На днях CISA выпустили подробный отчёт об использовании похожей RCE уязвимости FortiOS SSL-VPN (CVE-2022-42475) в атаках группировки Volt Typhoon. Также Tenable выпустили подборку из 6 CVE уязвимостей FortiOS разных лет используемых в реальных атаках.

Кроме CVE-2024-21762, также вышли фиксы для менее критичных уязвимостей FortiOS: CVE-2024-23113 (Format String Vulnerability), CVE-2023-47537 (Improper Certificate Validation), CVE-2023-44487 (против атаки HTTP/2 Rapid Reset)

На сайте Positive Technologies вышла занимательная статья от крутых ресерчеров из PT SWARM

На сайте Positive Technologies вышла занимательная статья от крутых ресерчеров из PT SWARM

На сайте Positive Technologies вышла занимательная статья от крутых ресерчеров из PT SWARM.

🔹 За 2022–2023 годы PT SWARM выявили более 250 уязвимостей (70% уровня high и critical) в ПО 84 вендоров.
🔹 Половина вендоров из США, остальные из Китая (14%), Великобритании (13%), России (13%) и Франции (10%).
🔹 В процессе координированного раскрытия уязвимостей участвуют исследователи, вендор, регуляторы, организации-посредники (для общения с вендором или получения идентификаторов уязвимостей).
🔹 Если вендор не выходит на связь и не устраняет уязвимость, исследователи информируют государственные и международные организации (регуляторы, CERT-ы, базы уязвимостей) и влияют на вендора через них.
🔹 В желательный интервал по выходу вендора на связь от 1 дня до недели укладываются 57% вендоров. 16% вообще не отвечают.
🔹 В желательный интервал по выпускую патча для уязвимости от 1 дня до 2 недель укладываются 14% вендоров. 49% вендоров требуется на это три месяца.

Форум "Территория Безопасности – 2024: все pro ИБ" (4 апреля) - заявка на главное мероприятие по Управлению Уязвимостями в России

Форум Территория Безопасности – 2024: все pro ИБ (4 апреля) - заявка на главное мероприятие по Управлению Уязвимостями в России

Форум "Территория Безопасности – 2024: все pro ИБ" (4 апреля) - заявка на главное мероприятие по Управлению Уязвимостями в России. Там под это выделили отдельный трек (считай отдельную конференцию) на весь день! 😮🤩

Вы где-нибудь ещё видели такое? И я нет. Поэтому всячески рекомендую посетить. И сам буду там активно участвовать. Программа пока в драфте, но я как минимум поучаствую в двух круглых столах и выступлю с докладом про одну любопытную подборку уязвимостей (подробности позже). 😉

Помимо Управления Уязвимостями там будут отдельные треки (конференции) про расследование инцидентов, обнаружение угроз и безопасную разработку. Всему департаменту по ИБ будет интересно.

📍 Мероприятие пройдет в HYATT REGENCY MOSCOW PETROVSKY PARK

➡️ Регистрироваться здесь. Для руководителей ИБ-департаментов участие бесплатное!

PS: Telegram-канальчик "Управление Уязвимостями и прочее" официальный медиа-партнер форума. Собираюсь активно обозревать происходящее. 🙂 Не халявщик, а партнер. (с) 😅

Заношу хвосты

Заношу хвосты. 🙂 То самое ночное интервью понравилось. Только вводный исторический ликбез несколько длинноват получился. Невольно вспомнилось про "Авраам родил Исаака" из Неуловимых Мстителей. Но целевой аудитории полезно будет послушать. 😉 Как и про всё остальное. Не могу не отметить про Индонезию 🇮🇩:

"Посмотрите, как развивается Индонезия! 600 миллионов человек [тут оговорка, на самом деле 273.8 млн., но всё равно очень много, 4-ая в мире страна по населению; рост стремительный, в 2000 было только 214 млн.]. Куда от этого деться? Никуда. Надо просто исходить из того, что Индонезия войдёт, она уже входит, в клуб ведущих экономик мира, как бы то ни было – нравится это кому-то или не нравится".

Исходим, интересуемся.