Скинули мою лекцию по VM-у распознанную нейронкой: довольно забавные каламбуры выдаёт, ошибаясь в терминах. 😆
🔸 4 место. "СПЕшки" вместо "CPE-шки"
🔸 3 место: "в лабиринте Management" вместо "Vulnerability Management"
🔸 2 место: "CISO Non-Exploited Vulnerability Catalog" вместо "CISA Known Exploited Vulnerabilities Catalog"
🔸 1 место: "BDOF-стек" вместо "БДУ ФСТЭК".
Прочитал прикольный FAQ от Tenable про бэкдор в XZ Utils (CVE-2024-3094).
"По мнению Red Hat, вредоносный код изменяет функции кода liblzma, который является частью пакета XZ Utils. Этот модифицированный код затем может использоваться любым программным обеспечением, связанным с библиотекой XZ, и позволяет перехватывать и изменять данные, используемые с библиотекой. В примере, рассмотренном Фройндом [исследователь, который нашёл бэкдор], при определенных условиях этот бэкдор может позволить злоумышленнику «нарушить аутентификацию sshd», позволяя злоумышленнику получить доступ к уязвимой системе." 😱
Пока известно, что эти дистрибы точно уязвимы:
🔻 Fedora Rawhide
🔻 Fedora 41
🔻 Debian testing, unstable and experimental distributions versions 5.5.1alpha-0.1 to 5.6.1-1.
А эти точно неуязвимы:
🔹 Fedora Linux 40
🔹 Red Hat Enterprise Linux (RHEL)
🔹 Debian Stable
Ссылка на исходное сообщение исследователя.
Встроенный вредоносный код был обнаружен в XZ Utils версий 5.6.0 и 5.6.1 (CVE-2024-3094). XZ Utils - это набор утилит-архиваторов, который может присутствовать в дистрибутивах Linux. Вредоносный код может обеспечить несанкционированный доступ к затронутым системам. 🤷♂️ Норм так ушли на выходные называется. 😅
CISA рекомендует откатываться на 5.4.6 Stable.
Проверил на своей Ubuntu 23.10, что xz-utils здесь древнючие, версии 5.4.1-0.2. Живём. 🙂 RHEL-ы тоже не задеты.
Стоит ли такие инциденты заводить как CVE? Наверное всё же да. Потому что "Common Vulnerabilities and Exposures". Может это и не уязвимость, но точно экспозиция.
Интересно сколько подобных бэкдоров остаются незамеченными… 🙄
Хороший концерт. Больше всего понравилось красивое симфоническое вступление перед "Великаном" (24:33), мощное "У шамана три руки" (1:19:07) и трогательное "Там, на самом на краю Земли" c фонариками (1:34:51).
Всем невинно убиенным в Крокусе царствие небесное и светлая память!
Здоровья и скорейшего выздоровления раненым.
Самой лютой кары всем причастным к ужасному злодеянию.
Хорошая новость, что Gartner относит Vulnerability Management к "Top Strategic Technology Trends 2024". Плохо, что они придумали для него очередную дурацкую четырехбуквенную аббревиатуру, которая плохо объясняется на английском и плохо переводится на русский.
С "Exposure Management" я определился, что это "Управление Экспозициями", но что тогда такое "Continuous Threat Exposure Management"? Непрерывное Управление Экспозициями Угроз (НУЭУ)? Какие-то звуки студента перед экзаменатором. 😅 Алексею Лукацкому понравится.
На самом деле это то же Управление Уязвимостями, с поправкой на то, что "уязвимость" это не только CVE, но и мисконфигурация. А при приоритизации неплохо бы учитывать реальную эксплуатабельность и импакт (что и ёжику понятно 🦔). Остальное маркетинговый туман.
Особенно забавляет, когда стартапчик называет себя CTEM-вендором. Десяток уязвимостей продетектить не могут, кроме лендоса и экрана с дашбордами ничего за душой нет, а туда же "Экспозиции Угроз" мерить. 🤡
NIST передаст управление базой NVD отраслевому консорциуму. Заявление сделала Tanya Brewer, руководитель программы NIST NVD, на VulnCon. У меня туда доступа нет, читаю пересказы и реакции. Письменное заявление обещают опубликовать на сайте NVD до 29 марта.
Среди причин, приведших к кризиcу NVD, озвучили следующее:
🔻Годовой бюджет NIST сократили на 12%. До жалких $1,46 млрд. 😅 Интересно сколько из этого уходило на NVD.
🔻Заканчивается контракт с подрядчиком, который работал над NVD вместе с NIST. Предположительно это Huntington Ingalls Industries. Почему-то компания, которая строит военные корабли. 🤷♂️
🔻Внутренние дискуссии по отказу от одних стандартов (CPE) и внедрению других (Package URLs)
🔻И вообще "за этим стоит история, она длинная, запутанная и очень административная".
Но после передачи дел новому консорциуму всё попрёт:
"Мы не собираемся закрывать NVD; мы находимся в процессе решения текущей проблемы. А затем мы снова сделаем NVD надёжным и заставим его расти". 😏
26 марта CISA добавили в KEV уязвимость Remote Code Execution - Microsoft SharePoint Server (CVE-2023-24955).
🔹 Эта уязвимость из майского Patch Tuesday 2023 года. Я её тогда выделил в обзоре, т.к. эту уязвимость показали на Pwn2Own Vancouver, а значит для неё был приватный эксплоит, который рано или поздно появился бы в паблике.
🔹 В паблике эксплоит появился 26 сентября 2023 года.
🔹 19 января 2024 года вышел модуль для метасплоита, который эксплуатировал эту уязвимость вместе с обходом аутентификации SharePoint (CVE-2023-29357), исправленную в июне 2023 года.
🔹 Сейчас видимо пошли подтвержденные атаки именно для CVE-2023-24955. 👾
Мораль? Обновляйтесь заранее, обращайте внимание на уязвимости продемонстрированные на Pwn2Own мероприятиях.
🟥 Positive Technologies относит эту уязвимость к трендовым с 27 сентября 2023 года. Т.е. мы отметили её как супер-критичную за полгода до появления в CISA KEV.
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.