Архив за месяц: Октябрь 2025

Завершая тему компрометации F5, стоит отметить, что подобные атаки неизбежно будут проводиться и против отечественных IT/ИБ вендоров

Добавить комментарий

Завершая тему компрометации F5, стоит отметить, что подобные атаки неизбежно будут проводиться и против отечественных IT/ИБ вендоров

Завершая тему компрометации F5, стоит отметить, что подобные атаки неизбежно будут проводиться и против отечественных IT/ИБ вендоров. У них также могут слить незакрытые задачи на устранение уязвимостей и исходный код, что приведёт к массовой эксплуатации 0day уязвимостей. 😱 Как снизить такие риски? 🙂

Имхо, государству стоит определить вендоров, наиболее интересных злоумышленникам - прежде всего разработчиков решений, доступных из Интернет: систем удалённого доступа, CMS, CRM, e-learning, почты, мессенджеров и т.п.

Помимо повышенных требований к этим "периметровым" продуктам (отсутствие НДВ), необходимо ужесточить требования к вендорам:

🔻 Их инфраструктура должна соответствовать современным требованиям ИБ (хотя бы в объёме 117 приказа ФСТЭК).
🔻 Они обязаны отвечать за уязвимости и их сокрытие, а данные об уязвимостях должны быть доступны для изучения.
🔻 Их продукты должны быть выставлены на багбаунти.

Кто не тянет - тем не место в "импортозамещательных" реестрах. 😉

Про уязвимость Remote Code Execution - Windows Server Update Services (WSUS) (CVE-2025-59287)

Добавить комментарий

Про уязвимость Remote Code Execution - Windows Server Update Services (WSUS) (CVE-2025-59287)

Про уязвимость Remote Code Execution - Windows Server Update Services (WSUS) (CVE-2025-59287). WSUS - легаси компонент Windows Server, который позволяет IT-администраторам управлять загрузкой и установкой обновлений продуктов Microsoft на компьютерах в локальной сети. Суть уязвимости: неаутентифицированный удалённый злоумышленник может запустить код с привилегиями SYSTEM на Windows-сервере с включенной WSUS Server Role (по умолчанию она выключена), отправив на него специально подготовленные POST-запросы. Это возможно из-за ошибки десериализации недоверенных данных.

⚙️ Первоначально исправления вышли 14 октября в рамках октябрьского Microsoft Patch Tuesday.

🛠 С 18 октября на GitHub доступен публичный эксплойт.

⚙️ 24 октября Microsoft выпустили дополнительные исправления для полного устранения уязвимости (требуют перезагрузки сервера).

👾 24 октября уязвимость добавили в CISA KEV, есть сообщения о зафиксированных попытках эксплуатации уязвимости.

Исследователей могут обязать репортить уязвимости, найденные в программном обеспечении, некоторому регулятору

Добавить комментарий

Исследователей могут обязать репортить уязвимости, найденные в программном обеспечении, некоторому регулятору

Исследователей могут обязать репортить уязвимости, найденные в программном обеспечении, некоторому регулятору. Об этом сообщает РБК:

"Также предлагается ввести обязанность для всех, кто обнаружил уязвимость, сообщать о ней не только владельцу программного обеспечения, но и силовым ведомствам. В ст. 274 Уголовного кодекса («Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации») предлагается внести поправку, по которой «неправомерная передача уязвимостей», то есть не соответствующая установленным правилам, будет квалифицироваться как преступление."

Как я понимаю, под "владельцем ПО" понимается его вендор. Таким образом это НЕ централизованный репортинг уязвимостей, когда решение о том, сообщать ли об уязвимости вендру принимает сам регулятор, а скорее параллельный репортинг, когда вендор и регулятор узнают об уязвимости одновременно.

Но и такой вариант, имхо, гораздо лучше нерегулируемого репортинга уязвимости, как есть сейчас. 👍

На прошлой неделе Tenable выпустили два больших материала с критикой продуктов класса Exposure Management, развившихся из EDR

Добавить комментарий

На прошлой неделе Tenable выпустили два больших материала с критикой продуктов класса Exposure Management, развившихся из EDR

На прошлой неделе Tenable выпустили два больших материала с критикой продуктов класса Exposure Management, развившихся из EDR.

🔻 Критическая статья и сравнительная таблица таких решений с EM-решением Tenable. Там ещё есть видео от вице-президента Tenable (Gavin Millard). 📺

🔻 Едкая критика EDR-вендоров в рамках статьи о компрометации вендора F5.

Похоже, конкуренты EDR-щики успешно перетягивают на себя тему Exposure Management-а, и Tenable пришлось начать маркетинговую войну. ⚔️

В которой я, безусловно, на стороне Tenable. 🙂 Endpoint-ы - важная часть инфраструктуры, но, естественно, не вся. И для качественного детектирования экспозиций нужен фокус на этой теме. Если реализовывать это в виде побочной функциональности EDR-решения, получится так себе. 😒

Хотя, говоря о качестве детектирования, западные VM-вендоры сами виноваты, что долгое время замалчивали эту тему, и у пользователей могло сложиться впечатление, что это всё коммодити и никакой разницы нет. 😉

В связи с кейсом F5 не могу в очередной раз не порадоваться, что Россию он задевает "по касательной"

Добавить комментарий

В связи с кейсом F5 не могу в очередной раз не порадоваться, что Россию он задевает по касательной

В связи с кейсом F5 не могу в очередной раз не порадоваться, что Россию он задевает "по касательной". Если во всём мире наблюдается около 269 000 инсталляций продуктов F5, доступных из Интернет, из которых больше половины находятся в США, то в России их только 100. Хотелось бы, конечно, чтобы их количество снизилось до нуля. Но в любом случае каких-то катастрофических последствий их прогнозируемая компрометация не принесёт. А вот в других локациях будет куда веселее. 🙂

И всё это благодаря политике планомерного отказа от западных IT/ИБ-продуктов в пользу отечественных аналогов, иными словами, благодаря импортозамещению. 😉

Пусть не так быстро, как хотелось бы, пусть через противодействие и недовольство, но инфраструктуры российских организаций очищаются от западных (американских) вендоров и связанных с ними глобальных киберкатаклизмов.

За бесконечным цирком SonicWall, Ivanti, Palo Alto, CrowdStrike, Cisco, F5 и прочими-прочими гораздо приятнее наблюдать со стороны. 😏

Думают люди в Ленинграде и Риме, что инсайдер, внедряющий бэкдор в ваш продукт, - это то, что бывает с другими

Добавить комментарий

Думают люди в Ленинграде и Риме, что инсайдер, внедряющий бэкдор в ваш продукт, - это то, что бывает с другими

Думают люди в Ленинграде и Риме, что инсайдер, внедряющий бэкдор в ваш продукт, - это то, что бывает с другими. 😈 Сегодня в чате поддержки VM-вендора Metascan появилось официальное уведомление об инциденте с разработчиком, находящимся на испытательном сроке. Этому разработчику удалось закоммитить в рабочий проект зловредный код, но до продакшена этот код не дошёл - успели выявить.

Потом, в ходе расследования, выяснилось, что этот разраб ещё и исходники конкурентам сливал. А если бы не засветился с бэкдором, может, и не заметили бы. 🤔

К расследованию подключили компьютерных криминалистов из Лаборатории Касперского. Пишут, что данные клиентов и другие "административные данные" не утекли. Про дальнейшую судьбу злодея не пишут, но, подозреваю, что испытательный срок он не прошёл. 😅

Мораль? Вы своим дорогим коллегам доверяйте, но и контролируйте их. Особенно привилегированных. И не только разработчиков. 😉

А есть ли инновация в Qualys TruConfirm?

Добавить комментарий

А есть ли инновация в Qualys TruConfirm?

А есть ли инновация в Qualys TruConfirm? По поводу этой функциональности можно сказать: "Ну и что? Это ж просто переупакованные детекты сейфчеками! Им же 100 лет в обед! Чем это отличается от Nmap-плагинов или шаблонов Nuclei?!"

И действительно, если соглашаться с Qualys-ами, что "TruConfirm - это прорыв" (в посте "Game Changer"), то в основном маркетинговый. Впервые за долгое время лидирующий мировой VM-вендор обратил внимание на ключевую функциональность своего продукта - качественное детектирование уязвимостей. 😏

И, как по мне, это здорово. Давно пора нести в массы идею: детекты уязвимостей различаются по принципам работы, достоверности и информативности вывода.

Качественные детекты на базе эксплоитов делать сложно и дорого. Не грех это всячески подчёркивать и придумывать способы получения дополнительного финансирования для развития этой функциональности в VM-продукте. В том числе через переупаковку в премиальную фичу аналогичную Qualys TruConfirm. 😉