Архив за месяц: Август 2024

Про конкуренцию и тестирование

Добавить комментарий

Про конкуренцию и тестирование

Про конкуренцию и тестирование. Частенько натыкаюсь на размышления, что в России слишком много каких-то IT/ИБ продуктов (например, Linux-дистрибутивов или NGFW) и нужно их подсократить.

Имхо, конкуренция внутри страны - всегда благо. Но нужно регуляторно контролировать, что и как может называться. 🙂

🔹 Отечественная ОС у вас? 👍 А кто апстримы? Пакеты сами собираете? А как быстро уязвимости апстримов фиксите? У нас тут тестовые эксплоиты есть, прогоним? 🙂 А где ваши бюллетени безопасности? А как вы проверяете, что от апстрима бэкдор не придёт? А у нас тут Challenge Projects, проверите бэкдоры в них? 😎

🔹 NGFW у вас? 👍 А что детектить умеет? А какую нагрузку держит? А у нас есть тестовый трафик с атаками, прогоним? 😉

🔹 Сканер уязвимостей у вас? 👍 У нас тут есть стенды с известными уязвимостями, просканим? 😏

Для конкретных задач, где конкуренцию нужно усилить, неплохо бы и конкурсы проводить с финансированием достаточным "для поддержки штанов".

DARPA раздала 14 миллионов долларов семи полуфиналистам AI Cyber ​​Challenge (AIxCC)

2 комментария

DARPA раздала 14 миллионов долларов семи полуфиналистам AI Cyber ​​Challenge (AIxCC)

DARPA раздала 14 миллионов долларов семи полуфиналистам AI Cyber ​​Challenge (AIxCC). Каждой команде по $2 млн.

Целью конкурса является поиск автоматических систем принятия решения (Cyber Reasoning Systems), позволяющих успешно находить и устранять уязвимости в ПО с открытым исходным кодом. Организаторы получили около 40 таких систем.

🔹 Каждую систему протестировали на идентичном наборе проектов (Challenge Projects), созданных на основе критичного опенсурсного ПО: Jenkins, ядро ​​Linux, Nginx, SQLite3 и Apache Tika.

🔹 Challenge Projects содержали синтетические уязвимости, которые нужно было найти и исправить.

🔹 Работу систем проверяли в соответствии с общедоступным алгоритмом оценки.

Финал AIxCC пройдет в августе 2025 года. Будут оценивать насколько конкурсанты смогут усовершенствовать свои технологии.

🥇🥈🥉 3 победителя получат 4, 3 и 1.5 млн. долларов соответственно.

В партнёрах (коллабораторах) конкурса Anthropic, Google, Microsoft и OpenAl.

Трендовые уязвимости июля по версии Positive Technologies

1 комментарий

Трендовые уязвимости июля по версии Positive Technologies.

Съемочная команда SecLab-а ушла на каникулы. Поэтому был выбор: пропускать выпуск в Тренде VM про июльские уязвимости, либо попробовать рассказать о них самостоятельно. Что я и постарался сделать. А со следующего выпуска мы снова вернемся на SecLab. 😉

📹 Ролик "В тренде VM" на YouTube, RuTube и VK Видео
🗞 Пост на Хабре, фактически это несколько расширенный сценарий рубрики "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT

Список уязвимостей:

🔻 00:33 Spoofing в Windows MSHTML Platform (CVE-2024-38112)
🔻 02:23 RCE в Artifex Ghostscript (CVE-2024-29510)
🔻 03:55 RCE в Acronis Cyber Infrastructure (CVE-2023-45249)

Про уязвимость Remote Code Execution - Windows Remote Desktop Licensing Service "MadLicense" (CVE-2024-38077)

Добавить комментарий

Про уязвимость Remote Code Execution - Windows Remote Desktop Licensing Service MadLicense (CVE-2024-38077)

Про уязвимость Remote Code Execution - Windows Remote Desktop Licensing Service "MadLicense" (CVE-2024-38077). Уязвимость исправили в июльском Patch Tuesday. Неаутентифицированный атакующий может вызвать RCE, посылая сообщения RDL. CVSS 9.8. Обновления доступны для Windows Server от 2008 до 2022.

Что за сервис RDL? По умолчанию Remote Desktop Services разрешают только два одновременных подключения по RDP к Windows серверу. Если нужно больше, то требуется докупать лицензии. Управление этими лицензиями осуществляет сервис RDL. Зачастую админы включают RDL и на серверах, где он не нужен. 🙄🤷‍♂️

9 августа на GitHub выложили write-up и PoC для Server 2025. Пока только псевдокод на Python без критичных частей, чисто для разработки правил детектирования.

Пишут, что 170000 хостов с RDL доступны из Интернет. 🤷‍♂️ В интранетах их должно быть без счёта.

❗️ Выглядит как долгоиграющая трендовая история.

Исследователи обещают нам ещё BadLicense и DeadLicense. 😉

Что известно про уязвимость 0.0.0.0_Day?

Добавить комментарий

Что известно про уязвимость 0.0.0.0_Day?

Что известно про уязвимость 0.0.0.0_Day? Оригинальный пост вышел 7 августа в блоге компании Oligo Security. Это израильская компания, которая наделала шуму в прошлом году с исследованием ShellTorch. В этот раз снова про локальные сервисы, доступные снаружи.

Когда жертва заходит на зловредный веб-сайт, этот сайт JS-ом может взаимодействовать с веб-сервисами на localhost жертвы, используя адрес 0.0.0.0_. Финт работает с Chromium, Firefox и Safari в MacOS и Linux. Это не круто, браузеры запросы к localhost должны блокировать.

Ну допустим сайт взаимодействует с какими-то сервисами на localhost (если они есть), и что? Ну, если сервис плохо написан, то это весьма потенциально может привести к RCE. 🤷‍♂️ Для демонстрации исследователи взяли уязвимость в AI фреймворке Ray (ShadowRay), которая эксплуатируется вживую, и показали, что 0.0.0.0_Day может быть вектором для атаки на локальный Ray-сервер. 🤔

❌ В общем, потенциал для трендовости у 0.0.0.0_Day пока не просматривается.

Мастер-класс по росписи ёлочных игрушек прошёл успешно

Добавить комментарий

Мастер-класс по росписи ёлочных игрушек прошёл успешно
Мастер-класс по росписи ёлочных игрушек прошёл успешноМастер-класс по росписи ёлочных игрушек прошёл успешноМастер-класс по росписи ёлочных игрушек прошёл успешно

Мастер-класс по росписи ёлочных игрушек прошёл успешно. 👍 Сказали, что можно рисовать всё что угодно. 😏 Нарисовал Elevation of Privilege (Local Privilege Escalation) - Linux Kernel (CVE-2024-1086). 😅

Qualys анонсировали модуль TotalAI для обеспечения безопасности искусственного интеллекта (AI) и больших языковых моделей (LLM)

Добавить комментарий

Qualys анонсировали модуль TotalAI для обеспечения безопасности искусственного интеллекта (AI) и больших языковых моделей (LLM)

Qualys анонсировали модуль TotalAI для обеспечения безопасности искусственного интеллекта (AI) и больших языковых моделей (LLM). Модуль будет доступен в Q4 2024 в рамках платформы Enterprise TruRisk.

Заявленные фичи:

🔹 Обнаружение и мониторинг AI инфраструктуры организаций. Чтобы не было "shadow LLM".

🔹 Vulnerability Management с фокусом на угрозы AI. Делают акцент на противодействии воровству (извлечению) данных и моделей. Будут предлагать разнообразные способы исправления уязвимостей.

🔹 Специализированное сканирование LLM с упором на prompt injection, воровство модели и раскрытие конфиденциальной информации.

🔹 Compliance Management и управление рисками. Делают акцент на утечках данных. Упоминают GDPR, PCI, CCPA.

Есть скриншот интерфейса со статистикой по моделям и их угрозам. Также там угрозы для связанных активов и занимательные информеры для AI Workloads, AI Software и GPU.