Архив за месяц: Октябрь 2024

Октябрьский Linux Patch Wednesday

Добавить комментарий

Октябрьский Linux Patch Wednesday

Октябрьский Linux Patch Wednesday. Всего 248 уязвимостей. Из них 92 в Linux Kernel.

5 уязвимостей с признаками эксплуатации вживую:

🔻 Remote Code Execution - CUPS (CVE-2024-47176) и ещё 4 уязвимости CUPS, которые могут использоваться также для усиления DoS-атак
🔻 Remote Code Execution - Mozilla Firefox (CVE-2024-9680)

Для 10 уязвимостей признаков эксплуатации вживую пока нет, но есть эксплоиты. Из них можно выделить:

🔸 Remote Code Execution - Cacti (CVE-2024-43363)
🔸 Elevation of Privilege - Linux Kernel (CVE-2024-46848)
🔸 Arbitrary File Reading - Jenkins (CVE-2024-43044)
🔸 Denial of Service - CUPS (CVE-2024-47850)
🔸 Cross Site Scripting - Rollup JavaScript module (CVE-2024-47068)

🗒 Отчёт Vulristics по октябрьскому Linux Patch Wednesday

CVE-идентификаторы с пробелом в OVAL-контенте RedOS

Добавить комментарий

CVE-идентификаторы с пробелом в OVAL-контенте RedOS

CVE-идентификаторы с пробелом в OVAL-контенте RedOS. В ходе подготовки отчёта по октябрьскому Linux Patch Wednesday обнаружил, что у меня откуда-то лезут невалидные CVE-идентификаторы с пробелом в конце. Источником оказался OVAL-контент RedOS (7.6 мб). По находится 115 таких проблемных ссылок на CVE. Вряд ли это ошибки при ручном заполнении, видимо ошибка в последних версиях генератора OVAL-контента.

Если вы используете OVAL-контент RedOS, обратите внимание, что такое может быть и потенциально может аффектить Vulnerability Management процесс.

Просьба коллегам из РЕД СОФТ пофиксить проблему и накрутить тесты, что используемые CVE-идентификаторы матчатся регуляркой.

Upd. Коллеги из РЕД СОФТ быстро отреагировали и проблему исправили. 🙂👍

Про уязвимость Cross Site Scripting - Roundcube Webmail (CVE-2024-37383)

Добавить комментарий

Про уязвимость Cross Site Scripting - Roundcube Webmail (CVE-2024-37383)

Про уязвимость Cross Site Scripting - Roundcube Webmail (CVE-2024-37383). Roundcube - клиент для работы с электронной почтой с веб-интерфейсом, сравнимый по функциональным возможностям с настольными почтовыми клиентами, такими как Outlook Express или Mozilla Thunderbird.

Уязвимость вызвана ошибкой в обработке SVG-элементов в теле письма. Жертва открывает письмо от злоумышленника, в результате чего в контексте страницы пользователя выполняется зловредный JavaScript-код.

В сентябре 2024 года специалисты TI-департамента экспертного центра безопасности Positive Technologies (PT ESC) обнаружили вредоносное письмо с признаками эксплуатации этой уязвимости, направленное на электронную почту одного из государственных органов стран СНГ.

Атаки на Roundcube не редкость. В конце прошлого года были новости об эксплуатации похожей уязвимости CVE-2023-5631 в таргетированных атаках.

Обновляйтесь своевременно!

Solar купили Digital Security

Добавить комментарий

Solar купили Digital Security

Solar купили Digital Security. Пишут, что для развития своего пентест-направления.

С теплотой вспоминаю пикировки ПТшников и Дсеков конца нелевых и начала десятых. 😇 И мощный старт ERPScan и Embedi. А ZeroNights! Какое значимое мероприятие было. Судя по сайту, крайний раз проводили в 2021 году.

В общем, ушла эпоха, совсем ушла…

Поздравляю всех участников сделки и желаю успешного завершения acquisition-а. 🙂

F

Малышарики и Управление Уязвимостями на опенсурсе

Добавить комментарий

Малышарики и Управление Уязвимостями на опенсурсе

Малышарики и Управление Уязвимостями на опенсурсе. Ходили вчера в кино на "Малышарики. День рождения". Прикольный милый фильм про родительство. По сюжету Хабенский покупает на день рождения дочки набор игрушек малышариков, приносит их в квартиру. Ожившие игрушки вылезают из коробки и путешествуют по квартире в поисках домика. С перерывами на песенки типа "у кота 4 лапы и усы как у Френка Заппы". 😅

Они забираются на стол и видят праздничный торт. Рассудив, что "крыша есть, стены есть, похоже на домик", они начинают дербанить несчастный десерт с помощью "палки-прорубалки". Через некоторое время им приходит озарение: "стойте, это же не домик, это торт". 😲😏🤷‍♂️

Частенько наблюдал в организациях похожие порывы замутить VM-решение на основе бесплатного опенсурсного проекта. С таким же результатом. Потратив кучу времени и сил на допиливание, инициаторы признавали, что довести ЭТО до юзабельного состояния невозможно и лучше выбить бюджет на коммерческое решение. 🙃

Посмотрел выступление про MaxPatrol VM и HCC на PSDay

Добавить комментарий

Посмотрел выступление про MaxPatrol VM и HCC на PSDay

Посмотрел выступление про MaxPatrol VM и HCC на PSDay. Если резюмировать, то за год было 3 большие новые фичи:

🔻 Web-сканирование
🔻 Сканирование Docker
🔻 Возможность добавления своего контента в HCC

Уже сейчас на портале доступны бесплатные курсы по расширению аудита и добавлению пользовательских требований и стандартов. В следующем году процесс добавления контента упростится: выйдет SDK для расширения аудита и графический интерфейс для редактирования стандартов. Про добавление своих правил детектирования уязвимостей пока молчат, но ждём. 😇

Активно внедряется ML. В ближайшее время появится возможность делать запросы по уязвимостям и активам на естественном языке. 🤖

Для больших организаций с несколькими инсталляциями MaxPatrol VM выйдет обновленный Reporting Portal.

Были и будут многочисленные улучшения для оптимизации работы PDQL и генератора отчётов, более быстрой доставки правил детектирования, улучшения веб-интерфейса и т.д.

CSAM от Positive Technologies

Добавить комментарий

CSAM от Positive Technologies

CSAM от Positive Technologies. Посмотрел 2 выступления про Asset Management с PSDay. Если совсем коротко, то было сказано много очень правильных слов про то, что Asset Management это основа практически всех IT-шных и ИБшных процессов (включая управление уязвимостями и инцидентами). Непрерывное детектирование, инвентаризация и классификация разнообразных активов (не только сетевых хостов) это сама по себе важная работа. Главные моменты выступлений, на мой взгляд это то, что:

🔻 Анонсировали новое направление по управлению активами. Выделили команду. Отстраиваются от класса CSAM (CyberSecurity Asset Management). Продукт такого класса есть у одного западного VM-вендора, что +- даёт представление на что это может быть в итоге похоже.

🔻 Представили ранний драфт интерфейса. На нём показана некоторая таблица активов: ОС, скоринг актива, теги, группы, в которые он входит, инструменты безопасности на данном активе и т.д.