Архив за месяц: Май 2024

Вышла запись вебинара Positive Technologies по безопасности электронной почты и решению PT Knockin

Вышла запись вебинара Positive Technologies по безопасности электронной почты и решению PT Knockin
Вышла запись вебинара Positive Technologies по безопасности электронной почты и решению PT KnockinВышла запись вебинара Positive Technologies по безопасности электронной почты и решению PT KnockinВышла запись вебинара Positive Technologies по безопасности электронной почты и решению PT Knockin

Вышла запись вебинара Pos­i­tive Tech­nolo­gies по безопасности электронной почты и решению PT Knockin. В чём суть сервиса:

🔹 В веб-интерфейсе набираете атаки на ящик электронной почты (on-prem!) вашей организации. Например, письмо с "зловредным" вложением, которое эксплуатирует RCE уязвимость Win­RAR (CVE-2023–38831). Открытие архива опасности НЕ несёт, но механизм эксплуатации там как у реального вредоносного ПО. Запускаете отправку писем.
🔹 Открываете почтовый ящик и смотрите какие письма долетели и не были остановлены средствами безопасности почты (например, песочницей).
🔹 Отмечаете в опроснике в каком виде долетели письма: был ли удалён текст письма, было ли изменено или удалено вложение. Если лень руками, можно настроить автоматическую интеграцию.
🔹 Смотрите отчёт, подкручиваете безопасность почты. Повторяете регулярно.

Сервис стоит денег, но можно попробовать бесплатно с ограниченным набором атак. 😉

Канал команды сервиса @knckn. Подписывайтесь!

Время начала моего выступления и дискуссии по базам уязвимостей на PHDays сместилось на 35 минут: теперь стартуем 24 мая (пятница) в 16:25 в локации Галактика

Время начала моего выступления и дискуссии по базам уязвимостей на PHDays сместилось на 35 минут: теперь стартуем 24 мая (пятница) в 16:25 в локации Галактика

Время начала моего выступления и дискуссии по базам уязвимостей на PHDays сместилось на 35 минут: теперь стартуем 24 мая (пятница) в 16:25 в локации Галактика. Надеюсь, что больше изменений не будет, но если что, отпишу в канал. 🙂 Также можете уточнять в интерактивной программе мероприятия (выделил фильтрами день и трек "Государство").

Уязвимость RCE — Fluent Bit (CVE-2024–4323) "Linguistic Lumberjack"

Уязвимость RCE - Fluent Bit (CVE-2024-4323) Linguistic Lumberjack

Уязвимость RCE — Flu­ent Bit (CVE-2024–4323) "Lin­guis­tic Lum­ber­jack". Flu­ent Bit — это многоплатформенный опенсурсный инструмент для сбора и обработки логов. Он прост в использовании, хорошо масштабируется и может обрабатывать большие объемы данных. Flu­ent Bit часто применяют в инфраструктурах крупных компаний, особенно в инфраструктурах облачных провайдеров.

Уязвимость, которую обнаружили исследователи Ten­able Research, связана с повреждением памяти во встроенном HTTP-сервере Flu­ent Bit. Этот HTTP-сервер используется для мониторинга состояния Flu­ent Bit: аптайм, метрики плагинов, проверки работоспособности и т.д. Оказалось, что пределенные неаутентифицированные запросы к API сервера могут привести к отказу в обслуживании (DoS), утечке информации или удаленному выполнению кода (RCE). По мнению исследователей, сделать надёжный RCE эксплоит будет не просто, но PoC для DoS уже в паблике и, возможно, его докрутят до RCE.

Фикс ожидается в версии 3.0.4.

По поводу идеи Jacob Williams использовать "Accepted Insecure Time" вместо "Service-level Agreement" при обсуждении уязвимостей и патчей

По поводу идеи Jacob Williams использовать Accepted Insecure Time вместо Service-level Agreement при обсуждении уязвимостей и патчей

По поводу идеи Jacob Williams использовать "Accept­ed Inse­cure Time" вместо "Ser­vice-lev­el Agree­ment" при обсуждении уязвимостей и патчей. Логика в этом есть. Действительно, термин SLA скрывает суть проблемы: пока уязвимость не исправлена (даже если IT укладывается в SLA), компанию могут ВЗЛОМАТЬ. И это уже не выполнение сервисных операций, а что-то другое, что-то более важное.

С другой стороны, а где этот новый термин употреблять?

🔹 IT понимают про сервисы. Предлагаете идти к ним со своим новоязом? Выглядит неконструктивно. Сейчас же принято с бизнесом разговаривать на их языке. Почему с IT разговариваете на ИБшном? 🤔
🔹 Или приходить с этим к бизнесу, а потом транслировать в SLA для IT? Не слишком ли избыточно? 🙂

В любом случае, я бы переводил не как "разрешенное время незащищенности", а как "принятое время незащищённости". По аналогии с "принятым риском". И сокращённо это будет ПВН, что создаёт дополнительные аллюзии на PWN. 😉

Уточнил у автора статьи откуда именно были цитаты Tanya Brewer из NIST

Уточнил у автора статьи откуда именно были цитаты Tanya Brewer из NIST

Уточнил у автора статьи откуда именно были цитаты Tanya Brew­er из NIST. Она это говорила в сессии "NVD Sym­po­sium". Эта сессия есть в программе, но её запись в канал Vul­nCon 2024 НЕ выложили, несмотря на "TLP:CLEAR". Такие дела. 😏

Коллеги по PT ESC обнаружили раннее неизвестный кейлоггер для Microsoft Exchange OWA

Коллеги по PT ESC обнаружили раннее неизвестный кейлоггер для Microsoft Exchange OWA

Коллеги по PT ESC обнаружили раннее неизвестный кейлоггер для Microsoft Exchange OWA. Встроенный код собирает логины/пароли, которые вводят пользователи для доступа в веб-интерфейс Exchange, и сохраняет их в специальный файл. Доступ к этому файлу открыт извне. Вот так просто злоумышленники собирают учётки для получения конфиденциальной информации и дальнейшего развития атаки. 🙂

👾 Установка зловреда производится через эксплуатацию старой уязвимости Prox­yShell (CVE-2021–34473, CVE-2021–34523, CVE-2021–31207).

🏛️ Всего обнаружили 30 жертв, среди которых правительственные структуры, банки, IT-компании, учебные учреждения.

🌍 Атакованные страны: Россия, ОАЭ, Кувейт, Оман, Нигер, Нигерия, Эфиопия, Маврикий, Иордания, Ливан и другие. 

🕵️‍♂️ Определить факт компрометации можно по характерной строчке в файле logon.aspx.

Записи c VulnCon 2024 доступны на Youtube

Записи c VulnCon 2024 доступны на Youtube

Записи c Vul­nCon 2024 доступны на Youtube. Я об этой конфе уже писал ранее, она прошла в конце марта.

Там много интересного контента связанного с уязвимостями: их описание, приоритизация, ответственное разглашение, разнообразные связанные стандарты. 🤩 Кейсы про управление уязвимостями в организациях тоже есть. В России такого контента пока маловато. У нас если и говорят об уязвимостях, то скорее обсуждают конкретные ресерчи или атаки, а не то, как работать с уязвимостями более-менее массово и систематически. 😔

Описание докладов также доступно в программе конференции. Там удобно подыскивать интересное, а потом уже смотреть запись в Youtube канале.

Есть там и панельная дискуссия с Tanya Brew­er из NIST. Но что-то откровений про кризис NVD, которые ей приписывали в статье по итогам Vul­nCon ("sto­ry behind it, it is long, con­vo­lut­ed and very admin­istriv­ia" и т.п.) я не нашёл. Искал по автоматическим субтитрам. Ну, может это было сказано не на панельке, а где-то ещё. 🤷‍♂️