Время начала моего выступления и дискуссии по базам уязвимостей на PHDays сместилось на 35 минут: теперь стартуем 24 мая (пятница) в 16:25 в локации Галактика. Надеюсь, что больше изменений не будет, но если что, отпишу в канал. 🙂 Также можете уточнять в интерактивной программе мероприятия (выделил фильтрами день и трек "Государство").
Уязвимость RCE - Fluent Bit (CVE-2024-4323) "Linguistic Lumberjack". Fluent Bit - это многоплатформенный опенсурсный инструмент для сбора и обработки логов. Он прост в использовании, хорошо масштабируется и может обрабатывать большие объемы данных. Fluent Bit часто применяют в инфраструктурах крупных компаний, особенно в инфраструктурах облачных провайдеров.
Уязвимость, которую обнаружили исследователи Tenable Research, связана с повреждением памяти во встроенном HTTP-сервере Fluent Bit. Этот HTTP-сервер используется для мониторинга состояния Fluent Bit: аптайм, метрики плагинов, проверки работоспособности и т.д. Оказалось, что пределенные неаутентифицированные запросы к API сервера могут привести к отказу в обслуживании (DoS), утечке информации или удаленному выполнению кода (RCE). По мнению исследователей, сделать надёжный RCE эксплоит будет не просто, но PoC для DoS уже в паблике и, возможно, его докрутят до RCE.
Фикс ожидается в версии 3.0.4.
По поводу идеи Jacob Williams использовать "Accepted Insecure Time" вместо "Service-level Agreement" при обсуждении уязвимостей и патчей. Логика в этом есть. Действительно, термин SLA скрывает суть проблемы: пока уязвимость не исправлена (даже если IT укладывается в SLA), компанию могут ВЗЛОМАТЬ. И это уже не выполнение сервисных операций, а что-то другое, что-то более важное.
С другой стороны, а где этот новый термин употреблять?
🔹 IT понимают про сервисы. Предлагаете идти к ним со своим новоязом? Выглядит неконструктивно. Сейчас же принято с бизнесом разговаривать на их языке. Почему с IT разговариваете на ИБшном? 🤔
🔹 Или приходить с этим к бизнесу, а потом транслировать в SLA для IT? Не слишком ли избыточно? 🙂
В любом случае, я бы переводил не как "разрешенное время незащищенности", а как "принятое время незащищённости". По аналогии с "принятым риском". И сокращённо это будет ПВН, что создаёт дополнительные аллюзии на PWN. 😉
Коллеги по PT ESC обнаружили раннее неизвестный кейлоггер для Microsoft Exchange OWA. Встроенный код собирает логины/пароли, которые вводят пользователи для доступа в веб-интерфейс Exchange, и сохраняет их в специальный файл. Доступ к этому файлу открыт извне. Вот так просто злоумышленники собирают учётки для получения конфиденциальной информации и дальнейшего развития атаки. 🙂
👾 Установка зловреда производится через эксплуатацию старой уязвимости ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207).
🏛️ Всего обнаружили 30 жертв, среди которых правительственные структуры, банки, IT-компании, учебные учреждения.
🌍 Атакованные страны: Россия, ОАЭ, Кувейт, Оман, Нигер, Нигерия, Эфиопия, Маврикий, Иордания, Ливан и другие.
🕵️♂️ Определить факт компрометации можно по характерной строчке в файле logon.aspx.
Записи c VulnCon 2024 доступны на Youtube. Я об этой конфе уже писал ранее, она прошла в конце марта.
Там много интересного контента связанного с уязвимостями: их описание, приоритизация, ответственное разглашение, разнообразные связанные стандарты. 🤩 Кейсы про управление уязвимостями в организациях тоже есть. В России такого контента пока маловато. У нас если и говорят об уязвимостях, то скорее обсуждают конкретные ресерчи или атаки, а не то, как работать с уязвимостями более-менее массово и систематически. 😔
Описание докладов также доступно в программе конференции. Там удобно подыскивать интересное, а потом уже смотреть запись в Youtube канале.
Есть там и панельная дискуссия с Tanya Brewer из NIST. Но что-то откровений про кризис NVD, которые ей приписывали в статье по итогам VulnCon ("story behind it, it is long, convoluted and very administrivia" и т.п.) я не нашёл. Искал по автоматическим субтитрам. Ну, может это было сказано не на панельке, а где-то ещё. 🤷♂️
Бейдж на Positive Hack Days можно получить заранее и не стоять в очереди на регистрацию. В офисе Positive Technologies и кассе Лужников.
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.
