Архив за месяц: Март 2025

О сравнении VM-продуктов

Добавить комментарий

О сравнении VM-продуктов

О сравнении VM-продуктов. Имхо, сравнение VM-продуктов по опросникам, а-ля Cyber Media, это, конечно, лучше, чем ничего, но не сказать, что особенно полезно. 🤷‍♂️

🔻 В таких сравнениях обычно уделяют мало внимания тому, уязвимости в каких системах умеет детектировать VM-решение (а это самое главное!).

🔻 Но даже если представить, что мы вынесем в опросник все поддерживаемые системы и аккуратненько сопоставим декларируемые возможности каждого VM-решения, то и этого будет недостаточно. Декларировать можно всё что угодно, а ты поди проверь качество реализации. 😏

Имхо, при проведении сравнений необходимо выполнять практическое тестирование хотя бы на минимальном количестве стендов:

🔹 Типичный Windows десктоп и сервер
🔹 Типичный Linux десктоп и сервер
🔹 Типичное сетевое устройство (на Cisco IOS?)

Провести их сканирование в режиме с аутентификацией разными VM-продуктами, сопоставить результаты и предложить VM-вендорам объяснить расхождения. Это будет уже хоть что-то. 😉

Мартовский выпуск "В тренде VM": уязвимости Microsoft, PAN-OS, СommuniGate и кто должен патчить хосты с развёрнутым прикладом

Добавить комментарий

Мартовский выпуск "В тренде VM": уязвимости Microsoft, PAN-OS, СommuniGate и кто должен патчить хосты с развёрнутым прикладом.

📹 Ролик на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Содержание:

🔻 00:00 Вступление
🔻 00:41 Elevation of Privilege - Windows Ancillary Function Driver for WinSock (CVE-2025-21418)
🔻 01:22 Elevation of Privilege - Windows Storage (CVE-2025-21391)
🔻 02:04 Authentication Bypass - PAN-OS (CVE-2025-0108)
🔻 03:19 Remote Code Execution - CommuniGate Pro (BDU:2025-01331)
🔻 04:37 VM-ная загадка: кто должен патчить хосты с развёрнутым прикладом
🔻 07:21 Про дайджест трендовых уязвимостей

Кстати, продакшн нам делают ребята из brocast.team. Очень толковые и внимательные к деталям. 👍 Сложные приколюшечки типа 03:49 сами придумывают и реализуют. 😮 А склеечки какие аккуратненькие делают - ммм. Работать с ними одно удовольствие. 😇 Рекомендую!

Дуров в Дубае

Добавить комментарий

Дуров в Дубае

Дуров в Дубае. Сообщают, что Дурову разрешили покинуть Францию на "несколько недель" и 15 марта он вылетел в Дубай. Что это значит для перспектив Телеграма в России? Видятся 2 варианта:

🔹 Дуров мог сдать и слить всё, что только можно французам и дать подкреплённые гарантии дальнейшего сотрудничества. Если так, то послабления в мерах пресечения для Дурова ничего не значат, комментариев от него не последует, а через "несколько недель" он вернётся во Францию. При этом раскладе ничего не меняется, движемся по треку блокировок.

🔹 Это результат чьих-то договорённостей. Тогда разрешение на временный выезд может быть удобной схемой, по которой Дуров вытаскивает свою тушку из Франции, а все стороны "сохраняют лицо". Во Францию он не вернётся, его формально объявят в розыск, а через какое-то время мы увидим интервью Павла Валерьевича про то как Телеграм противостоит внешнему давлению. Тогда возможно возвращение Телеграма к развитию в качестве нейтральной договороспособной площадки.

Очень злой мир

Добавить комментарий

Очень злой мир

Очень злой мир. Невольно отслеживаю схемы IT-мошенничества (давно уже не только "телефонного"). С каждым днём схемы всё изощрённее. Нет такой гнусности на которую не пойдут злодеи, чтобы получить доступ к банковским счетам и госуслугам жертв. Звонки "от следователя" примелькались? Так вот вам про "код от домофона". И ещё миллион сценариев. 😕

На всё более сложные схемы безопасники выдают всё более сложные рекомендации. Вот, например, хабропост от коллег по PT ESC-у про угон аккаунтов в Telegram. Очень крутой. 👍 Но там ~40к символов! 😨 "Схемы, о которых все должны знать". Бабушка в преддеменции, которой смартфон с телегой нужен для общения с внучкой тоже должна это проштудировать? 🙄

Какая-то жуткая гонка на выживание. Не отвечай, не нажимай, подозревай, не расслабляйся, будь в курсе всех схем. А чуть отстал и не уяснил очередной злодейский тренд - сам виноват, лох и мамонт.

Этот наш чудный IT-мирок фундаментально сломан, ребята. 🤷‍♂️ И вина безопасников в этом тоже, безусловно, есть.

Безусловные регулярные обновления - путь реалиста

Добавить комментарий

Безусловные регулярные обновления - путь реалиста

Безусловные регулярные обновления - путь реалиста. Ставшие публичными кейсы Silent Patching-а демонстрируют беспомощность Vulnerability Management-а перед реальностью, в которой мы знаем об уязвимостях продуктов только то, что нам по доброй воле сообщает вендор. Дал информацию вендор - мы разбираем CVE-шки и умничаем о приоритетах их устранения в конкретной инфре. Не дал - мы пребываем в сладких иллюзиях, что всё безопасно вплоть до начала массовых инцидентов. 🤷‍♂️

Можно сколько угодно ворчать, что вендор не должен иметь возможности скрывать инфу по уязвимостям в собственных продуктах. Но они скрывают! 🙂

Единственный вариант снизить риски - принять реальность такой, как она есть. Наши знания об уязвимостях ограничены. Видишь в инфре не обновленный до последней версии софт - обнови его! Семь бед - один apt-get update && apt-get upgrade! 😅 Может обновление не исправляет критичную уязвимость, а может исправляет. 😉 Достоверно нам об этом знать не дано. 🤷‍♂️

Про Silent Patching на примере кейса Аспро

Добавить комментарий

Про Silent Patching на примере кейса Аспро

Про Silent Patching на примере кейса Аспро. Эта компания предлагает услуги по запуску и миграции сайтов с использованием своего решения на базе 1С-Битрикс.

14 октября 2024 года центр кибербезопасности белорусского хостинг-провайдера HosterBy сообщил об обнаружении цепочки взломов веб-сайтов на основе решения Аспро (по большей части интернет-магазинов). RCE уязвимость связана с использованием небезопасной PHP-функции unserialize. Уязвимы версии Аспро:Next до 1.9.9.

6 февраля 2025 в блоге Аспро вышел пост, в котором они презентовали бесплатный скрипт-патчер, исправляющий уязвимость. 👍 Но там же они пишут, что сами нашли и исправили эту уязвимость ещё в 2023 году, но "намеренно не афишировали детали".

✅ Те, кто платили Аспро за поддержку и обновлялись до последней версии, были в безопасности.

❌ А те, кто обновлялись только при детекте уязвимости - нет. Информации по уязвимости не было. Ни CVE, ни BDU. 😏

И вендор ответственности за сокрытие не несёт. 🤷‍♂️

Разбор VM-ной вакансии: Руководитель отдела анализа защищенности в Почту России

Добавить комментарий

Разбор VM-ной вакансии: Руководитель отдела анализа защищенности в Почту России

Разбор VM-ной вакансии: Руководитель отдела анализа защищенности в Почту России. Продолжаю разбирать профильные вакансии.

Судя по перечню задач, в Почте России к анализу защищённости помимо VM-а (и контроля периметра) включают:

🔹 контроль конфигураций
🔹 проведение Pentest-ов
🔹 развёртывание Honeypot-ов

Последнее странновато, т.к. это скорее вотчина команды детекта атак.

"Агрегирование статистики и составление отчётов по итогам этапов процесса" предполагается делать в MS PowerBI. А импортозамес? 😏

Немало интригует фраза про управление VM-процессом "без прямого использования сканирований и результатов работы сканеров уязвимостей". То ли самому сканы запускать не придётся, то ли они вообще без сканов обходятся. 🤔

VM-процесс нужно будет выстраивать по "методологии ФСТЭК", а устранение уязвимостей контролировать "с учётом реалий инфраструктуры". 😉

🟥 Вакансия из PT Career Hub - проекта Positive Technologies по подбору сотрудников в дружественные компании.