Архив за месяц: Март 2025

Patch Management в Vulns.io VM

Patch Management в Vulns.io VM. Попалась на глаза новая раздатка. 🙂 В ней делают акцент на том, что в Vulns.io добавили не просто автопатчилку, а систему управления обновлениями, работающую в некотором процессе:

1. Сбор и отображение информации об обновлениях, исправляющих детектируемые уязвимости.

2. Загрузка обновлений в локальное хранилище с проверкой целостности. Обновления для прикладного ПО под Linux и Windows сейчас скачиваются с сайтов вендоров, но скоро будут скачиваться централизованно из облака Vulns.io. Системные обновления берутся напрямую из MS Updates/WSUS или Linux-репозиториев.

3. Проверка безопасности обновлений и ручной перевод обновления в "доверенное". Проверку нужно выполнять самостоятельно, возможно по методике ФСТЭК.

4. Создание задач на автоматическую установку "доверенных" обновлений.

Актуальный перечень систем и софтов, для которых поддерживается обновление, содержится в файле (раздел "Обновляемое программное обеспечение"). 😉

Про уязвимость Remote Code Execution - Kubernetes (CVE-2025-1974)

Добавить комментарий

Про уязвимость Remote Code Execution - Kubernetes (CVE-2025-1974). Неаутентифицированный злоумышленник с доступом к сети подов может выполнить произвольный код в контексте контроллера ingress-nginx. Это может привести к утечке секретов, доступных контроллеру. А при стандартной установке контроллер имеет доступ ко всем секретам кластера.

🔹 24 марта в блоге компании Wiz вышел write-up по этой уязвимости, названной IngressNightmare (наряду с CVE-2025-1097, CVE-2025-1098 и CVE-2025-24514). Исследователи Wiz зафиксировали 6500 уязвимых контроллеров, доступных непосредственно из Интернет. 😱 Кроме того, в блоге Kubernetes сообщают, что сеть подов часто может быть доступна для всех рабочих нагрузок в частном облаке (VPC), или даже для всех, кто подключен к корпоративной сети. А сам ingress-nginx используется в 40% кластеров Kubernetes.

🔹 С 25 марта для этой уязвимости доступен публичный эксплойт на GitHub. 😈

Обновите ingress-nginx до версий v1.12.1, v1.11.5 или выше!

Посмотрел вебинар по применению BI.ZONE GRC для управления уязвимостями и комплаенсом

Добавить комментарий

Посмотрел вебинар по применению BI.ZONE GRC для управления уязвимостями и комплаенсом. Очень толковое и насыщенное мероприятие. 👍

🔹 Много времени уделили управлению IT-активами как основе для всех доменов практической безопасности, включая комплаенс, защиту инфраструктуры и данных. Для эффективного учёта активов IT и ИБ необходимо действовать сообща и наращивать автоматизацию.

🔹 Говоря о VM-е Кирилл Карпиевич покритиковал цикл Gartner-а и игру IT-шников в докажи-покажи. 🔥 Я оценил. 🙂👍 Он рассказал, как СберTex использует BI.ZONE GRC для поддержания единого реестра активов, собирая в него данные из изолированных ЦОД-ов с помощью MaxPatrol VM, Kaspersky KSC и Сканер-ВС.

🔹 Андрей Шаврин рассказал, что в комплаенсе важно искать пересечение требований, а работы по внедрению начинать с аудита. С помощью BI.ZONE GRC в дочерних компаниях "МУЗ‑ТВ" автоматизировали работу с ПДН.

Сами интерфейсы GRC-системы не показали, надеюсь на live-демо в следующий раз. 😉

Расскажу про свой проект Vulristics на киберфестивале PHDays

Добавить комментарий

Расскажу про свой проект Vulristics на киберфестивале PHDays. CFP на PHDays завершился, все доклады отобрали. 👍

Меня спросили недавно: "Неужели сотрудники Positive Technologies тоже проходят через CFP?!" Да, тоже! 🙂 Квот нет и заявки отбирают по общим для всех правилам. А заявок в этом году было более 800!

❌ Моя основная заявка на доклад "Руководство ФСТЭК по Управлению Уязвимостями в 2025 году и его расширение" не прошла CFP в Defense трек. 😔 Бывает. 🤷‍♂️ Про усиление роли Руководства в работе государственных и финансовых организаций и сочетание его с БОСПУУ я обязательно расскажу в другой раз. 🙂

✅ Зато прошла заявка на доклад "Vulristics - утилита для анализа и приоритизации уязвимостей" в трек OpenSource & OpenSecurity. 🎉 Расскажу, как я 5 лет развиваю этот проект и использую его практически ежедневно. 😎

🎟 Билеты на закрытую часть уже в продаже. Это пожертвование от 1500 р. в один из благотворительных фондов. 👍

25 апреля в Казахстане пройдёт третий AppSecFest

Добавить комментарий

25 апреля в Казахстане пройдёт третий AppSecFest. На мероприятии будет 2 конференц-зоны:

🔹 Sec Zone посвящена безопасности приложений: SAST, DAST, IAST, API, IaC, Cloud Security, Pentesting, Bug Bounty, Vault, WAF, Web 3.0 Security, Secure SDLC, DevSecOps, управление уязвимостями, угрозы, регуляторные требования, атака/защита приложений.

🔹 App Zone посвящена разработке ПО: Mobile, Web, X-Platform, Frontend/Backend, Microservices, Docker/K8s, Big Data, Cloud, Blockchain, AI, ML, Web 3.0, архитектура, DevOps, CI/CD, Agile, UI/UX, качество кода.

🚩 В рамках мероприятия пройдут CTF-соревнования.

➡️ Call For Papers до 1 апреля включительно. Отличная возможность выступить и понетворкиться за пределами РФ. 😉 Ожидается 1000+ участников.

Канал "Управление Уязвимостями и прочее" в информационных партнёрах мероприятия. 🙂

Про уязвимость Remote Code Execution - Veeam Backup & Replication (CVE-2025-23120)

Добавить комментарий

Про уязвимость Remote Code Execution - Veeam Backup & Replication (CVE-2025-23120). Veeam B&R - клиент-серверное ПО для централизованного резервного копирования виртуальных машин в средах VMware vSphere и Microsoft Hyper-V.

Уязвимость, вызванная ошибкой десериализации (CWE-502), позволяет злоумышленнику выполнить произвольный код на уязвимом сервере. Необходимые условия: сервер Veeam должен быть в домене Active Directory, а злоумышленник должен быть аутентифицирован в этом домене.

Бюллетень вендора вышел 19 марта. А уже 20 марта в блоге компании watchTowr Labs появился разбор уязвимости. Скорее всего, скоро появится PoC эксплоита на основе этого описания.

До 2022 года продукты Veeam были популярны в России, и, вероятно, ещё остались активные инсталляции.

❗️ Компрометация системы бэкапирования помешает быстрому восстановлению инфраструктуры после атаки шифровальщика. 😉

Обновитесь до версии 12.3.1 и, по возможности, отключите сервер B&R от домена.

В этот четверг, 27 марта, в 11:00 состоится вебинар по использованию BI.ZONE GRC для управления уязвимостями и комплаенсом

Добавить комментарий

В этот четверг, 27 марта, в 11:00 состоится вебинар по использованию BI.ZONE GRC для управления уязвимостями и комплаенсом.

Выступать будут:

🔹 Андрей Быков, руководитель BI.ZONE GRC. Расскажет про само решение.

🔹 Кирилл Карпиевич, специалист по анализу уязвимостей "СберТех". Расскажет о сложностях управления уязвимостями в крупнейшем облачном провайдере.

🔹 Андрей Шаврин, начальник отдела информационной безопасности "МУЗ‑ТВ". Расскажет как выстроить комплаенс по ПДН и КИИ для группы компаний.

Обещают сделать упор на управление активами и рассказать "какие процессы можно автоматизировать минимум на 80%". Звучит интригующе. 🙂

Телеграм-канал "Управление Уязвимостями и прочее" в информационных партнёрах мероприятия. Собираюсь посмотреть и поделиться впечатлениями.

➡️ Регистрация на сайте