Архив за месяц: Март 2024

Узнал про услугу Kaspersky "Поток машиночитаемых данных Kaspersky Industrial Vulnerability Data Feed в формате OVAL"

Добавить комментарий

Узнал про услугу Kaspersky Поток машиночитаемых данных Kaspersky Industrial Vulnerability Data Feed в формате OVAL

Узнал про услугу Kaspersky "Поток машиночитаемых данных Kaspersky Industrial Vulnerability Data Feed в формате OVAL". Оказывается у них есть компетенции в разработке OVAL-контента, круто! 🙂👍

Доступна свежая видяшка, в которой они демонстрируют работу проверок на Windows 7 хосте. Причём для демонстрации используется утилита ovaldi (заброшенная с 2015 года 😏). И всё работает! 😳 Судя по видяшке, в контенте 1021 дефишен, получается где-то 819 детектов уязвимостей для 202 продуктов от Siemens, Schneider Electric, Yokogawa, ABB, Emerson, GE, ARC, Codesys, AVEVA, OPC, ЭКРА, НПФ «ИнСАТ» и других вендоров.

Я так понимаю, что контент демонстрировали на ovaldi, чтобы показать его валидность. В проде же предлагают использовать этот контент в Kaspersky Security Center, который, оказывается, поддерживает OVAL проверки через Endpoint Agent (но нужна доп. лицензия на ICS Audit 🤷‍♂️).

В блоге Trend Micro пишут о том, с какими целями злодеи эксплуатируют AuthBypass - TeamCity (CVE-2024-27198, CVE-2024-27199)

1 комментарий

В блоге Trend Micro пишут о том, с какими целями злодеи эксплуатируют AuthBypass - TeamCity (CVE-2024-27198, CVE-2024-27199)

В блоге Trend Micro пишут о том, с какими целями злодеи эксплуатируют AuthBypass - TeamCity (CVE-2024-27198, CVE-2024-27199). Напомню, что информация об уязвимости вышла на первой неделе марта вместе с подробным описанием от компании Rapid7. Благодаря этому описанию, скрипт для эксплуатации уязвимости появился на гитхабе всего через несколько часов. Скрипт очень простой и сводится к созданию аккаунта администратора одним запросом. Естественно после этого уязвимость начали активно эксплуатировать злоумышленники. 😈

Согласно Trend Micro, делают они это для:

🔻 Распространения программы-вымогателя Jasmin
🔻 Развертывания криптомайнера XMRig
🔻 Развертывания маяков Cobalt Strike
🔻 Развертывания бэкдора SparkRAT
🔻 Выполнения команд для закрепления в инфраструктуре (domain discovery and persistence)

Для каждой цели эксплуатации приводят описание как именно это происходит.

Аналитика Угроз и Управление Уязвимостями

Добавить комментарий

Аналитика Угроз и Управление Уязвимостями

Аналитика Угроз и Управление Уязвимостями. Во вторник смотрел вебинар Positive Technologies "PT ESC. Эпизод 1: погружение в Threat Intelligence". Там было в основном про атаки, но про уязвимости и совместную работу PT Threat Analyzer с MaxPatrol VM тоже немного было (34:11).

🔹 MaxPatrol VM знает всё про уязвимости, которые актуальны для инфраструктуры заказчика.
🔹 PT Threat Analyser забирает список этих уязвимостей и делает сопоставление уязвимостей и индикаторов компрометации для вредоносного ПО, которое эти уязвимости эксплуатирует.

Таким образом заказчики могут фильтровать угрозы, актуальные именно для их инфраструктуры.

Сгенерил отчёт по мартовскому Linux Patch Wednesday

Добавить комментарий

Сгенерил отчёт по мартовскому Linux Patch Wednesday
Сгенерил отчёт по мартовскому Linux Patch WednesdayСгенерил отчёт по мартовскому Linux Patch WednesdayСгенерил отчёт по мартовскому Linux Patch WednesdayСгенерил отчёт по мартовскому Linux Patch WednesdayСгенерил отчёт по мартовскому Linux Patch Wednesday

Сгенерил отчёт по мартовскому Linux Patch Wednesday. 134 уязвимости, из них 68 в ядре. С признаком эксплуатации вживую уязвимостей нет. Есть 15 уязвимостей с PoC-ами (все кроме одной это ссылки из NVD).

🔸 В топе Command Injection - libuv (CVE-2024-24806). Это мультиплатформенная библиотека для асинхронного ввода-вывода. Злоумышленник может потенциально получить доступ к внутренним API.

🔸 Для aiohttp пачка Command Injection (CVE-2023-37276, CVE-2023-47627, CVE-2023-49082) и Security Feature Bypass (CVE-2023-47641, CVE-2023-49081) с PoC-ами. Это асинхронный HTTP-фреймворк (клиент/сервер). Уязвимости запатчены только в российской RedOS (18 марта) и Debian (непонятно когда).

🔸Многовато проблем с детектами типа уязвимости и продукта, т.к. из-за кризиса NVD для части уязвимостей нет CPE и CWE. 🤷‍♂️

🔸 Команда Linux Kernel теперь CNA и заводят массу CVEшек с чудовищно большими дескрипшенами. Потому что могут! 😏

🗒 Мартовский Linux Patch Wednesday

Касательно грядущих блокировок от Microsoft пока ничего не понятно

Добавить комментарий

Касательно грядущих блокировок от Microsoft пока ничего не понятно

Касательно грядущих блокировок от Microsoft пока ничего не понятно. Похоже, что наиболее полная и актуальная информация сейчас в канале софтлайна, но там она очень противоречивая.

🔹 На облачные редакторы, мессенджеры, сервисы аналитики, CRM и прочее, о чем все пишут и беспокоятся, строго пофиг. Те, кто продолжали пользоваться этим барахлом, оплачивая через третьи страны, сами себе злые буратины. 🤷‍♂️

🔹 Интересно то, что в телеге софтлайна пишут про отзывы ключей и про то, что WSUS не будет работать:

"⁉️ Заблокируют ли ключи на MS Visio и Office?
Ключи будут заблокированы.
⁉️ Будут ли доставляться security updates (WSUS)?
Не будут доставляться. "

Более того, там обсуждают загадочную блокировку on-prem продуктов:

"Как будет реализована блокировка локально установленных продуктов, в т.ч. SQL?
Нет информации."

Выглядит как "испорченный телефон". Но если всё действительно так, то нас ждёт очень интересное завершение месяца и переосмысление методов работы с виндовой инфрой. 😏

Посмотрел эфир Awillix про оценку стоимости пентеста

Добавить комментарий

Посмотрел эфир Awillix про оценку стоимости пентеста

Посмотрел эфир Awillix про оценку стоимости пентеста. Основная идея, насколько я понял, в следующем. У вас есть организация с некоторым уровнем развития ИБ. Прежде чем заказывать пентест нужно реалистично прикинуть от какого рода злоумышленников имеет смысл её защищать:

🔻 Script kiddie (а кто покруче всё равно проломит 🤷‍♂️)
🔻 Хакер-одиночка (а кто покруче всё равно проломит 🤷‍♂️)
🔻 APT-группировка

После того как выявили уровень злоумышленника, атаку которого имеет смысл сымитировать, прикидываем сколько и каких специалистов нам нужно привлечь:

🔸 Script kiddie
🛡 пентестер-джун на 5-7 рабочих дней, 200-400 тыс.р.

🔸 Хакер-одиночка
🛡 2 мидла и сениор на 15-20 рабочих дней, 400 тыс. -1 млн.р.

🔸 APT-группировка
🛡 3-5 сениоров и лид на >3 месяцев, 4-12+ млн.р.

Это чисто из примерных грейдов специалистов и времени. Дальше зависит от модели тестирования, скоупа и т.д.

➡️ У Awillix есть прикольный интерактивный лендинг, где они подробно всю методологию оценки показывают.

У Checkmarx вышел отчёт "The Future of APPLICATION SECURITY 2024" содержащий чудесный ТОП3 отмазок "почему уязвимый код ушёл в прод?" (от AppSec менеджеров, CISO и разработчиков)

Добавить комментарий

У Checkmarx вышел отчёт The Future of APPLICATION SECURITY 2024 содержащий чудесный ТОП3 отмазок почему уязвимый код ушёл в прод? (от AppSec менеджеров, CISO и разработчиков)
У Checkmarx вышел отчёт The Future of APPLICATION SECURITY 2024 содержащий чудесный ТОП3 отмазок почему уязвимый код ушёл в прод? (от AppSec менеджеров, CISO и разработчиков)

У Checkmarx вышел отчёт "The Future of APPLICATION SECURITY 2024" содержащий чудесный ТОП3 отмазок "почему уязвимый код ушёл в прод?" (от AppSec менеджеров, CISO и разработчиков).

AppSec менеджеры
1. Чтобы уложиться в дедлайны, связанные с бизнесом, выкаткой фич или безопасностью.
2. Уязвимость должна была быть исправлена в более позднем релизе.
3. Уязвимость не была критической.

CISO
1. Надеялись, что уязвимость не будет эксплуатабельной. 🤞
2. Чтобы уложиться в дедлайны, связанные с бизнесом, выкаткой фич или безопасностью.
3. Уязвимость не была эксплуатабельной.

Разработчики
1. Уязвимость должна была быть исправлена в более позднем релизе.
2. Уязвимость не была критической.
3. Чтобы уложиться в дедлайны, связанные с бизнесом, выкаткой фич или безопасностью.

Варианты AppSec менеджеров и Разработчиков различаются только порядком. А вот CISO больше про реальную эксплуатабельность (чтобы это не привело к большому скандалу) и надежду на лучшее. 😏😅