Архив за месяц: Март 2024

Посмотрел выпуск Application Security Weekly с Emily Fox про Vulnerability Management

Посмотрел выпуск Application Security Weekly с Emily Fox про Vulnerability Management

Посмотрел выпуск Application Security Weekly с Emily Fox про Vulnerability Management. Как это сейчас модно, ведущие и гостья накидывали в ту сторону, что известных уязвимостей сейчас слишком много, реально эксплуатируются из них 3-4%, а поэтому исправлять нужно не все уязвимости. А чтобы понимать, что именно не нужно исправлять, требуется

🔹 Учитывать слои безопасности препятствующие эксплуатации уязвимости.
🔹 Учитывать зависимость риска эксплуатации от типа уязвимого актива.
🔹 Оценивать вероятность эксплуатации в контексте конкретной организации.

Тут как бы слова-то все хорошие, и я даже с ними бы согласился. Но только откуда возьмутся надёжные знания (об уязвимостях, инфраструктуре, механизмах безопасности) и инструменты для их обработки, чтобы это всё работало надёжно?

Чтобы можно было бы дать руку на отсечение, что вот эту уязвимость исправлять 100% не нужно и эта уязвимость никогда не будет активно эксплуатироваться в атаках. 🙋‍♂️ И проделывать это не для одной уязвимости, а массово. Есть такие смельчаки с лишними руками? Имхо, если ты не готов так делать, то не должен и утверждать, что какие-то уязвимости можно оставить без исправления.

Если уязвимость (даже потенциально) есть и она может быть исправлена обновлением, то она ДОЛЖНА быть исправлена обновлением. Планово или быстрее, чем планово. Но исправлять нужно всё. При этом отказ от уязвимых активов, софтов, компонентов, образов это вполне себе хороший способ исправления. Чем меньше поверхность атаки, тем лучше. Если обновляться по каким-то причинам сложно и больно, то в первую очередь нужно решать с этим вопрос. А почему это сложно и больно? Что не так с базовыми процессами организации, что мы не можем обновляться? Может в сторону более правильной архитектуры нужно посмотреть?

Это лучше, чем делать ненадежные предположения, что возможно эта уязвимость не настолько критичная, чтобы её исправлять. Потому что, как правило, об этих уязвимостях мы практически ничего не знаем: сегодня она неэксплуатабельная, а завтра станет эксплуатабельной, а послезавтра её будут эксплуатировать все скрипткидисы. Возможно, что эту уязвимость уже несколько лет как активно используют в таргетированных атаках. Кто может сказать, что это не так?

Весьма симптоматично, кстати, что в этом эфире рекомендовали использовать EPSS для выборки наиболее потенциально опасных уязвимостей. 🤦‍♂️ Инструмент, который, к моему глубокому сожалению, просто не работает и показывает низкие значения вероятности появления эксплоита для активно эксплуатирующихся уязвимостей и высокие значения для тех уязвимостей, эксплоиты для которых не появляются годами. 🤷‍♂️

Посмотрите например в моём отчёте Vulristics для Февральского Microsoft Patch Tuesday. Elevation of Privilege - Windows Kernel (CVE-2024-21338) в CISA KEV, а значения EPSS у неё низкие (EPSS Probability is 0.00079, EPSS Percentile is 0.32236). 🤡 С тем же успехом можно на кофейной гуще гадать, может даже эффективнее будет. Поэтому и остальная "магия триажа" также вызывает скепсис.

Ещё раз:

🔻 Исправлять нужно все продетектированные уязвимости в соответствии с рекомендациями вендора.
🔻 В первую очередь нужно исправлять то, что реально эксплуатируется в атаках или будет эксплуатироваться в ближайшее время (трендовые уязвимости).

13–14 марта пройдёт онлайн-конференция SafeCode 2024

13–14 марта пройдёт онлайн-конференция SafeCode 2024

13–14 марта пройдёт онлайн-конференция SafeCode 2024. Как понятно из названия, конференция в основном AppSec-овская. Но тут 2 момента:

🔸 Динамический и статический анализ кода это тоже часть Управления Уязвимостями (в широком смысле). 😏
🔸 В программе есть доклады, касающиеся работы и с известными уязвимостями.

Мне приглянулись вот эти:

🔹 Архивы уязвимостей и как их готовить. Андрей Кулешов, Huawei. "Поделится своим опытом создания нового формата для представления и хранения уязвимостей под названием COSV".
🔹 Безопасность контейнерных сред. Как мы встали на путь разработки собственного решения и что из этого получилось. Игорь Вербицкий и Александр Рахманный из Lamoda Tech. "Доклад будет полезен и интересен всем, кто задумывался о выборе сканера уязвимостей для контейнеризации".

🫰 Конфа платная, зарегаться и купить билет можно тут.

🆓 Но часть докладов второго дня конференции будет доступна бесплатно:

🔻 «Безопасность контейнерных сред. Как мы встали на путь разработки собственного решения и что из этого получилось» — Игорь Вербицкий, Александр Рахманный (Lamoda Tech)
🔻 «WAF — необходимое звено в защите веб-приложений или навязанная коробка? Взгляд интегратора» — Аскар Добряков (К2 Кибербезопасность)
🔻 «Ответственное использование авторизационных токенов» — Кирилл Мухов (VK Tech)
🔻 «Как построить DevSecOps по ГОСТу» — Виталий Астраханцев (СберТех)
🔻 «Как аппсеки в Авито API собирали» — Александр Трифанов (Авито)

Регистрация открыта до 14 марта включительно.

Хо-хо-хо или небольшой оффтоп про трудности перевода/произношения и сельское хозяйство

Хо-хо-хо или небольшой оффтоп про трудности перевода/произношения и сельское хозяйство

Хо-хо-хо или небольшой оффтоп про трудности перевода/произношения и сельское хозяйство. Для английского эпизода искал вчера корректный перевод для слова "мотыга" или "тяпка". Слово это однозначно переводится как "hoe". Теперь вопрос: а как это слово произнести так, чтобы это не звучало как "женщина с низкой социальной ответственностью"? 🤔

Не то чтобы я был настолько щепетилен в вопросе использования нецензурной лексики, но у меня везде стоит галка, что "explicit language" я не использую - непорядочек.

В общем, в произношении разница есть, но весьма  тонкая: /hoʊ/ и /hɔː/
По сути уходит ли звук немного в "у" на конце или нет.

Но засада в том, что даже если попасть в нужное произношение, то не поможет. Походу носители тоже не особо эту разницу слышат и эта самая мотыга "hoe" тоже имеет устойчивое сленговое значение как "женщина с низкой социальной ответственностью". 🤷‍♂️🤦‍♂️ Со всех сторон демоны обложили.

Может всё-таки другое слово для данного сельхоз инвентаря подобрать? А вот нету. Есть ещё "cultivator", но это именно тяпка с зубьями для разрыхления. А мотыга больше про сорняки и окучивание.

В общем, кое-как компромиссно сформулировал мотыгу как "long-handled farming weeding tool". И по такому запросу даже ищется что-то более-менее релевантное.

Хотя к английскому слову "сорняк" у меня, разумеется, тоже есть вопросики, но все же несколько меньшие. 😅

Upd. В комментах подсказали, что есть ещё слово "mattock", которое родственное "мотыге". Сила соцсетей! 💪

Закругляю февраль традиционным англоязычным постом и видяшкой

Закругляю февраль традиционным англоязычным постом и видяшкой. 🙂 Чуть-чуть поговорил про опенсурсные проекты (признаться, не было особо времени ими заниматься, пока одни намётки), про PT-шные активности и, естественно, про уязвимости (трендовые и не очень).

———

February 2024: Vulremi, Vuldetta, PT VM Course relaunch, PT TrendVulns digests, Ivanti, Fortinet, MSPT, Linux PW

Hello everyone! In this episode, I will talk about the February updates of my open source projects, also about projects at my main job at Positive Technologies and interesting vulnerabilities.

My Open Source projects
00:14 Vulremi - a simple vulnerability remediation utility
00:55 Vuldetta - an API for detecting vulnerabilities based on a list of Linux packages

Positive Technologies
01:22 Two new video modules for the relaunch of the Vulnerability Management training course
02:00 Monthly digests of trending vulnerabilities

Vulnerabilities
02:17 RCEs in the Ivanti Connect Secure, Ivanti Policy Secure and Ivanti Neurons for ZTA (CVE-2024-21887, CVE-2023-46805, CVE-2024-21893)
03:47 Arbitrary Code Execution vulnerability in Fortinet FortiOS and FortiProxy (CVE-2024-21762)
04:11 Cisco ASA Information Disclosure vulnerability (CVE-2020-3259) is used by the Akira ransomware
04:55 February Microsoft Patch Tuesday
07:14 February Linux Patch Wednesday

🎞 Video
📘 Blogpost
🎞 VKVideo

На сайте Positive Technologies вышел дайджест по трендовым уязвимостям февраля, к которому я тоже приложил руку

На сайте Positive Technologies вышел дайджест по трендовым уязвимостям февраля, к которому я тоже приложил руку

На сайте Positive Technologies вышел дайджест по трендовым уязвимостям февраля, к которому я тоже приложил руку. 😇 Всего 8 уязвимостей:

🔻 Наиболее громкими в мировом масштабе были 3 уязвимости Ivanti (CVE-2024-21887, CVE-2023-46805, CVE-2024-21893), которые позволяют полностью скомпрометировать аппаратные и виртуальные апплаенсы. Хорошо, что в России Ivanti это экзотика.
🔻 Уязвимость выполнения произвольного кода в Fortinet FortiOS и FortiProxy (CVE-2024-21762). По мнению вендора, может активно эксплуатироваться.
🔻 4 уязвимости из февральского Microsoft Patch Tuesday:
- Обход функций безопасности в Windows SmartScreen (CVE-2024-21351) и Internet Shortcut Files (CVE-2024-21412) эксплуатируются в фишинговых атаках.
- Повышение привилегий в Microsoft Exchange (CVE-2024-21410) и выполнение произвольного кода в Microsoft Outlook (CVE-2024-21413) эксплуатируются в NTLM Relay атаках.

➡️ Читайте подробнее

🟥 Пост в канале PT

Как и предполагалось, скриптик для эксплуатации Authentication Bypass - TeamCity (CVE-2024-27198, CVE-2024-27199) появился на GitHub через несколько часов после выхода статьи Rapid7

Как и предполагалось, скриптик для эксплуатации Authentication Bypass - TeamCity (CVE-2024-27198, CVE-2024-27199) появился на GitHub через несколько часов после выхода статьи Rapid7

Как и предполагалось, скриптик для эксплуатации Authentication Bypass - TeamCity (CVE-2024-27198, CVE-2024-27199) появился на GitHub через несколько часов после выхода статьи Rapid7. 🙂 Весь скрипт это создание аккаунта администратора одним запросом. 🤷‍♂️

Свеженький Authentication Bypass - TeamCity (CVE-2024-27198, CVE-2024-27199)

Свеженький Authentication Bypass - TeamCity (CVE-2024-27198, CVE-2024-27199)
Свеженький Authentication Bypass - TeamCity (CVE-2024-27198, CVE-2024-27199)Свеженький Authentication Bypass - TeamCity (CVE-2024-27198, CVE-2024-27199)

Свеженький Authentication Bypass - TeamCity (CVE-2024-27198, CVE-2024-27199). Формально публичного PoC-а пока нет, но Rapid7 выпустили подробный write-up, так что ждем очень скоро. Они такими финтами славятся. 😉

Похожая уязвимость в TeamCity (CVE-2023-42793) активно эксплуатировалась в атаках в прошлом году. Посмотрим как будет на этот раз. 🫠

Уязвимы все версии меньше 2023.11.4. Обновляйтесь! 😇