Архивы автора: Alexander Leonov

Об авторе Alexander Leonov

Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно прочитать здесь. Приглашаю подписаться на мой канал в Telegram @avleonovrus. Я обновляю его чаще, чем этот сайт. Вы можете обсудить мои посты или задать вопросы в @avleonovchat или в группе ВКонтакте. And I invite all English-speaking people to another telegram channel @avleonovcom.

Августовский Linux Patch Wednesday

1 комментарий

Августовский Linux Patch Wednesday

Августовский Linux Patch Wednesday. 658 уязвимостей. Из них 380 в Linux Kernel. Около 10 c признаками эксплуатации вживую. Можно выделить:

🔻 Уязвимости IT Asset Management системы GLPI: AuthBypass (CVE-2023-35939, CVE-2023-35940) и Code Injection (CVE-2023-35924, CVE-2023-36808, CVE-2024-27096, CVE-2024-29889). Фиксы в RedOS.
🔻 InfDisclosure - Minio (CVE-2023-28432). Старая и трендовая, но также фиксы засветились только в RedOS.
🔻 DoS - PHP (CVE-2024-2757). Если бы я учитывал бюллетени Fedora или Alpine, то эта ушла бы в более ранний LPW. 🤔 В 2DO.

Около 30 без эксплуатации вживую, но с эксплоитами. Можно выделить:

🔸 Command Injection - Apache HTTP Server (CVE-2024-40898)
🔸 AuthBypass - Apache HTTP Server (CVE-2024-40725)
🔸 AuthBypass - Neat VNC (CVE-2024-42458)
🔸 RCE - Calibre (CVE-2024-6782); да, та самая софтина для электронных книжек 🙂

🗒 Отчёт Vulristics по августовскому Linux Patch Wednesday

В канале Рекриптор вышел пост про Linux-антивирусы

Добавить комментарий

В канале Рекриптор вышел пост про Linux-антивирусы

В канале Рекриптор вышел пост про Linux-антивирусы. В продолжение моего поста про инвестиции в IT. 😅

Основная мысль там:

🔹 У Windows и Linux "разные сценарии использования и администрирования, разные пользователи, разные подходы к разработке, существенно отличающиеся модели угроз, сценарии и техники проникновения, закрепления, повышения привилегий".

🔹Полноценный Endpoint Protection под Linux нужно писать с нуля "со своей командой, отдельной экспертизой, кодовой базой, техподдержкой и т.д."

Со всем согласен. Имхо, Linux это во многом ещё Terra Incognita и игроки начали тут развитие +- с чистого листа и без форы. Поэтому ничего не мешает сделать нишу более конкурентной. Она такой и становится. Вот PT в прошлом году EDR выпустили. 😉

Поэтому, если тренд на импортозамещение ОС не изменится (а пока предпосылок к этому не видно), нас ждёт появление и развитие разноформатных средств безопасности Linux. В ответ на развитие атак злоумышленников, естественно. 😏

Если есть ИБ-бюджет, потрать его в первую очередь на Vulnerability Management и Hardening

Добавить комментарий

Если есть ИБ-бюджет, потрать его в первую очередь на Vulnerability Management и Hardening

Если есть ИБ-бюджет, потрать его в первую очередь на Vulnerability Management и Hardening. 😉 По поводу этой картинки Mads Bundgaard Nielsen-а, о которой писали Александр Редчиц и Алексей Лукацкий, у меня вопросов нет. Ну, во всяком случае, по моей части. 😏

Видим у Vulnerability Management-а и Compliance Management-а (Наrdening-а) очень высокую эффективность при средней цене. И это должен быть первый приорититет у CISO. ⚡️

После Firewall-а. 🙄 Тут спорно, но пусть будет так. Без NGFW заниматься безопасностью действительно не сладко.

В общем, одобряю картинку. 🙂👍

Вышло обновление R‑Vision VM 5.4

Добавить комментарий

Вышло обновление R‑Vision VM 5.4

Вышло обновление R‑Vision VM 5.4. В блог-посте его называют "первое масштабное обновление", видимо с момента релиза в конце сентября прошлого года. 🤔 Проверил, что новостей про VM действительно с того времени не было. Что представлено:

🔹 Сканирование в режиме "чёрного ящика" с возможностью брутфорса SSH, RDP, Telnet, SMB, FTP и др.
🔹 Сканирование 50 видов third-party ПО (зарубежного и российского), включая Adobe Acrobat, Google Chrome, Mozilla Firefox, WinRAR, продуктов Microsoft.
🔹 Интеграция с БДУ ФСТЭК.
🔹 Дополнительное поле с информацией об активно эксплуатируемых уязвимостях. Трендовые уязвимости в тренде. 😅

Вот так вроде стараешься мониторить новости российских VM-ных вендоров, а тут оп - уже версия 5.4. И, судя по списку софта, виндовый сканер незаметно появился, на старте не было. 🙂👍

По поводу Remote Code Execution - Scripting Engine (CVE-2024-38178)

Добавить комментарий

По поводу Remote Code Execution - Scripting Engine (CVE-2024-38178)

По поводу Remote Code Execution - Scripting Engine (CVE-2024-38178). Уязвимость из августовского Patch Tuesday. Жертва переходит по ссылке злоумышленника, происходит повреждение памяти и выполнение произвольного кода злоумышленника.

Тонкость в том, что жертва должна открывать ссылку в браузере Edge от Microsoft в режиме совместимости с Internet Explorer. Но зачем жертве настраивать браузер в такой режим?

🔻 Жертва может по работе пользоваться каким-то старым веб-приложением, которое работает только в Internet Explorer, поэтому браузер так настроен. Не такая уж редкая ситуация. 😏

🔻Злоумышленник может попытаться убедить жертву включить настройку "Allow sites to be reloaded in Internet Explorer mode (IE mode)" в Edge. 🤷‍♂️

Так или иначе, уязвимость эксплуатируется вживую и для неё уже есть (полу?🤔)публичный эксплоит. Мои коллеги по PT ESC поделились сегодня в канале @ptESCalator как они этот эксплоит нашли и протестировали. 🔍

Посмотрел вчера совместный вебинар K2 Cloud и Positive Technologies про PT Cloud Application Firewall

Добавить комментарий

Посмотрел вчера совместный вебинар K2 Cloud и Positive Technologies про PT Cloud Application Firewall

Посмотрел вчера совместный вебинар K2 Cloud и Positive Technologies про PT Cloud Application Firewall.

Понравилась формулировка для чего вообще нужен WAF.

Для того чтобы заблокировать атаки на 100%? Нет, это вряд ли возможно. 🤷‍♂️

➡️ Нужен он для того, чтобы злоумышленник, поняв, что сервис защищён WAF-ом, сказал себе "да ну нафиг это обходить" и занялся целью попроще. 😉 А тем, кто пришёл конкретно по вашу душу, максимально усложнить атаку, чтобы "овчинка перестала стоить выделки". 😈

Что ещё интересного было:

🔹 Рассказали про коллаборацию облачного WAF-а PT Cloud AF и облачного DAST сканера-а PT Cloud BBS. Это позволяет учесть особенности приложения и найденные уязвимости.

🔹 Показали живое демо с защитой OWASP Juice Shop от XSS, SQLi, дефейса и множественных попыток аутентификации.

🔹 Подчеркнули собственный продвинутый модуль распознавания языковых внедрений, а также готовые шаблоны политик и правил для приложений разных типов.

В какое направление ИТ вы бы сейчас в России инвестировали?

1 комментарий

В какое направление ИТ вы бы сейчас в России инвестировали?

В какое направление ИТ вы бы сейчас в России инвестировали? Такой вот интересный вопрос у Дмитрия Комиссарова в VK.

Я бы, наверное, инвестировал в антивирусы / Endpoint Protection с фокусом на отечественные Linux дистрибутивы. Доля Linux-десктопов растёт, хотя и не так быстро, как хотелось бы, но вполне ощутимо. Регуляторы установку антивирусов требуют (ещё и от разных вендоров 🙂). Решений на рынке по пальцам одной руки пересчитать. А так, чтобы были Freemium для домашних пользователей а-ля Avira или Avast, так и вообще нет. Вполне себе достойная ниша. Особенно с учётом рекомендаций американских Think Tank-ов.

Постепенно Compliance и Vulnerability Management можно туда подтянуть. 🤔

📊 В феврале проводил опрос в канале "нужен ли Антивирус на Linux-хостаx?" - больше половины ответили, что нужен. 😉