Gartner: Vulnerability Management - это база для обеспечения безопасности серверов и десктопов! Вместе с управлением харденингом, конфигурациями и экспозицями (весьма рад, что Александр Редчиц тоже калькирует этот термин при переводе 🙂👍).
Про уязвимость Remote Code Execution - VMware vCenter (CVE-2024-38812). Уязвимость была опубликована 17 сентября. Злоумышленник, имеющий сетевой доступ к vCenter Server, может отправить специальный сетевой пакет и получить RCE. Всё из-за переполнения кучи в реализации протокола DCERPC.
По самой уязвимости данных пока мало. Уязвимость была обнаружена в рамках соревнований The Matrix Cup командой из университета Tsinghua. Write-up-а пока нет. На GitHub один репозиторий, в котором какой-то ноунейм предлагает купить эксплоит за $105 (upd. Проверено - это скам). На AttackerKB другой ноунейм утверждает, что видел эксплуатацию уязвимости вживую. Достоверность сомнительная.
С другой стороны, мы помним похожую RCE уязвимость vCenter DCERPC CVE-2023-34048, которая скрытно эксплуатировалась в таргетированных атаках с 2021 года. Censys сообщали тогда о 293 vCenter хостов с DCERPC доступных из Интернет.
Велики шансы, что и с этой уязвимостью будет громкая история. Обновляйтесь!
Есть такая работа - желать. Вчера делал перевод августовского эпизода "В Тренде VM" для англоязычного канала и соцсеточек. Поймал себя на мысли, что я крепко подсел на разнообразные AI-сервисы:
🔹 Перевод субтитров - Google Translate
🔹 Генерация звуковой дорожки на английском - subtivo с подключенным сервисом генерации речи
🔹 Фоновая картинка для иллюстрации - Ideogram
🔹 Апофеоз: генерация заключительного джингла 🎶 с QR-кодом для англоязычного канала: рифмованный текст сгенерировал с помощью ToolBaz, а трек сделал в Suno
Это похоже на то, что у тебя есть множество помощников-аутсорсеров, которые делают свою работу очень быстро и очень дёшево (даже бесплатно). Остаётся только принять результаты. Сказать: "отлично, подходит" или "не, всё фигня, давай переделывай".
Т.е. роль человека сводится к тому, чтобы сформулировать своё желание и оценить было ли оно выполнено или пока нет. По сути все мы становимся менеджерами, только управляем не живыми людьми, а сервисами на нейронках.
А твой смартфон точно без "сюрпризов"? Основной вопрос, на которой необходимо получить ответ в ходе расследования кейса с пейджерами: эти НДВ не обнаружили из-за халатности или потому, что существующие методы не позволяют их эффективно обнаруживать? 🤔
Хорошо, если первое. Весьма скверно, если второе. Как тогда покупать электронные устройства и гарантировать их физическую безопасность (не говоря уже об информационной)?
Вы уверены, что в устройство, с которого вы читаете этот текст не заложено ничего подобного? Вы внутрь заглядывали? И внутрь аккумулятора? 😏 (Disclamer: не делайте этого, это опасно!)
Это же по сути на доверии всё. И вот некоторые вполне очевидные акторы это доверие сознательно уничтожили. Открыли ящик Пандоры в общемировом масштабе ради каких-то своих сиюминутных военно-политических целей. 🤷♂️
Если в результате в самолётах запретят перевозить электронные устройства, знаете кому за это нужно сказать "спасибо".
Так чего там с пейджерами? Честно говоря, всё также непонятно. Судя по всему, никакой штатной функции ликвидации устройств там действительно не было (восток дело тонкое, но всё-таки не настолько), а были "сюрпризы" заложенные злоумышленниками внутри некоторых устройств на этапе их производства или доставки. Но как именно эти "сюрпризы" были устроены и как осуществлялась их активация достоверных сведений пока нет. Ждём результаты экспертиз, а не домыслы говорящих голов.
Номенклатура хлопающих устройств точно включает пейджеры Gold Apollo AR924 и, скорее всего, рации ICOM IC-V82. К новостям, что хлопают вообще все электронные устройства (ноутбуки, телефоны, скутеры, бытовая техника и т.п.) отношусь скептически. Это уже не атака на цепочку поставок, а какой-то тотальный контроль поставок или мистическое вундерваффе. Вспоминается реклама из 90х про "выпил фанты и тормознул поезд". Пока в этой части больше похоже на слухи и дезинформацию.
Сентябрьский Linux Patch Wednesday. 460 уязвимостей. Из них 279 в Linux Kernel.
2 уязвимости c признаками эксплуатации вживую, но без публичных эксплоитов:
🔻 Security Feature Bypass - Chromium (CVE-2024-7965)
🔻 Memory Corruption - Chromium (CVE-2024-7971)
29 уязвимостей без признака эксплуатации вживую, но со ссылкой на публичный эксплоит или признаком его наличия. Можно выделить:
🔸 Remote Code Execution - pgAdmin (CVE-2024-2044), SPIP (CVE-2024-7954), InVesalius (CVE-2024-42845)
🔸 Command Injection - SPIP (CVE-2024-8517)
Среди них уязвимости 2023 года, пофикшенные в репах только сейчас (в RedOS):
🔸 Remote Code Execution - webmin (CVE-2023-38303)
🔸 Code Injection - webmin (CVE-2023-38306, CVE-2023-38308)
🔸 Information Disclosure - KeePass (CVE-2023-24055)
Проблему с явно виндовыми уязвимостями RedOS больше НЕ наблюдаю. 👍 Upd. Зато Debian принёс уязвимости "Google Chrome on Windows". 😣
На портале @CISOCLUB вышло большое интервью со мной "Все об уязвимостях и как ими управлять". Знаковое событие для меня. 🥳 Фактически там всё, что я сейчас считаю важным в Vulnerability Management-е.
Подробно отвечаю на вопросы:
🔹 Что такое процесс управления уязвимостями и из каких этапов он состоит?
🔹 В чём состоят сложности при выявлении уязвимостей в современных IT-инфраструктурах?
🔹 Как понять, какие активы в организации требуется покрывать VM-ом?
🔹 В чём состоят сложности детектирования уязвимостей и как оценивать полноту/достаточность способов детектирования уязвимостей для организации?
🔹 Как оценивать и приоритизировать уязвимости и все ли их нужно устранять?
🔹 Кто и как должен определять SLA по устранению уязвимостей?
🔹 Как оценивать эффективность процесса управления уязвимостями?
🔹 Какие источники наиболее эффективны для отслеживания уязвимостей в России?
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.