Архив рубрики: Проекты

На сайте Positive Technologies вышел дайджест по трендовым уязвимостям марта

1 комментарий

На сайте Positive Technologies вышел дайджест по трендовым уязвимостям мартаНа сайте Positive Technologies вышел дайджест по трендовым уязвимостям мартаНа сайте Positive Technologies вышел дайджест по трендовым уязвимостям мартаНа сайте Positive Technologies вышел дайджест по трендовым уязвимостям мартаНа сайте Positive Technologies вышел дайджест по трендовым уязвимостям марта

На сайте Positive Technologies вышел дайджест по трендовым уязвимостям марта. Для наглядности я также сгенерил отчёт Vulristics по ним. Всего 5 уязвимостей.

🔻 По 3 уязвимостям есть эксплоиты и подтвержденные признаки эксплуатации вживую: AuthBypass - TeamCity (CVE-2024-27198), RCE - FortiClientEMS (CVE-2023-48788), EoP - Windows Kernel (CVE-2024-21338).

🔻 Ещё по 2 уязвимостям признаков эксплуатации вживую пока нет, но есть эксплоиты: EoP - Windows CLFS Driver (CVE-2023-36424), RCE - Microsoft Outlook (CVE-2024-21378).

Будет ещё видео-версия с мемасиками в новостном выпуске секлаба. Снимали в конце марта, ждём на следующей неделе. И будет ещё пост на хабре по контенту из этой видяшки. 😇

🟥 Пост в канале PT

Важное уточнение по поводу БДУ уязвимостей Astra Linux без CVE идентификаторов

Добавить комментарий

Важное уточнение по поводу БДУ уязвимостей Astra Linux без CVE идентификаторов

Важное уточнение по поводу БДУ уязвимостей Astra Linux без CVE идентификаторов. Я пообщался в личке с руководителем анализа защищённости ОС Astra Linux Олегом Кочетовым по поводу кейса из вчерашнего поста.

🔹 Это может выглядеть как уязвимость, исправление которой пришло из апстрима Bash, которую зачем-то завели в БДУ по бюллетеню Астры, потеряв по дороге CVE. Но ситуация там совсем другая! Эту уязвимость обнаружили специалисты Астры, но так как она аффектила только Astra Linux, то в апстрим её не репортили (и не получали CVE), а зарепортили только в БДУ. Такие уязвимости можно отличать по идентификаторам "ASE" (ранее "ALV").

🔹 В бюллетенях, исправляющих CVE-шные уязвимости, ссылки на CVE проставляются, но могут быть накладки, когда одну и ту же уязвимость репортят разные вендоры.

Подробнее Олег расскажет 12 апреля на CISO Forum в докладе "Как не утонуть в море уязвимостей или как мы управляем кораблем «ОС Astra Linux»"

Завершаю серию постов про свой мини-ресерч уязвимостей БДУ без ссылок на CVE следующими выводами

Добавить комментарий

Завершаю серию постов про свой мини-ресерч уязвимостей БДУ без ссылок на CVE следующими выводами

Завершаю серию постов про свой мини-ресерч уязвимостей БДУ без ссылок на CVE следующими выводами.

🔹 Vulristics теперь умеет работать с БДУ, его можно использовать для приоритизации продетектированных уязвимостей и поиска аномалий в базе БДУ.
🔹 Уязвимостей в БДУ без ссылок на CVE около 2.4% от общего количества, но они представляют большой интерес, т.к. они в других базах уязвимостей не описаны. Особенно интересны уязвимости в отечественных продуктах и те, что с эксплоитами и эксплуатацией вживую.
🔹 Уязвимости в БДУ без CVE это не только уязвимости в отечественных продуктах, но и в Open Source, и в западных проприетарных продуктах.
🔹 Иногда для «уязвимости без CVE» на самом деле есть CVE. 🤷‍♂️ Нужно выявлять такое и репортить.

Для дальнейшего анализа было бы интересно собрать детальную статистику по уязвимым продуктам (тип, назначение, лицензия и т.д), но это осложняется отсутствием формализованных источников данных с описанием продуктов. 🤔

Продолжаю рассказ про уязвимости БДУ без ссылок на CVE идентификаторы разбором конкретных кейсов

2 комментария

Продолжаю рассказ про уязвимости БДУ без ссылок на CVE идентификаторы разбором конкретных кейсовПродолжаю рассказ про уязвимости БДУ без ссылок на CVE идентификаторы разбором конкретных кейсовПродолжаю рассказ про уязвимости БДУ без ссылок на CVE идентификаторы разбором конкретных кейсовПродолжаю рассказ про уязвимости БДУ без ссылок на CVE идентификаторы разбором конкретных кейсовПродолжаю рассказ про уязвимости БДУ без ссылок на CVE идентификаторы разбором конкретных кейсовПродолжаю рассказ про уязвимости БДУ без ссылок на CVE идентификаторы разбором конкретных кейсов

Продолжаю рассказ про уязвимости БДУ без ссылок на CVE идентификаторы разбором конкретных кейсов.

🔹 Почему так много уязвимостей Astra Linux? Upd 0704. В основном это результат собственного ресёрча.
🔹 Для EMIAS OS уязвимости Linux Kernel, но даже без ссылки на бюллетень. Откуда именно уязвимость непонятно.
🔹 Откуда уязвимости Windows? Их Microsoft выпускали не как CVE-шки, а как ADVisories. Потом для них могут добавлять CVE, которые не пробрасываются в БДУ. 🤷‍♂️
🔹 Для уязвимостей Debian Linux аналогично. Они заводятся по бюллетеням DSA без ссылки на CVE на момент публикации. Затем ссылка добавляется, но в БДУ она не пробрасывается. 🤷‍♂️
🔹 Почему много уязвимостей Open Source продуктов? Потому что они заводятся по эксплойтам, в описании которых нет ссылки на CVE.
🔹 Некоторые виндоры не любят заводить CVE идентификаторы. Например, SAP часто выпускают только непубличные SAP Notes.

К сегодняшнему докладу на конференции Территория Безопасности я выпустил 3 отчёта Vulristics по БДУ уязвимостям без ссылки на CVE

1 комментарий

К сегодняшнему докладу на конференции Территория Безопасности я выпустил 3 отчёта Vulristics по БДУ уязвимостям без ссылки на CVEК сегодняшнему докладу на конференции Территория Безопасности я выпустил 3 отчёта Vulristics по БДУ уязвимостям без ссылки на CVEК сегодняшнему докладу на конференции Территория Безопасности я выпустил 3 отчёта Vulristics по БДУ уязвимостям без ссылки на CVEК сегодняшнему докладу на конференции Территория Безопасности я выпустил 3 отчёта Vulristics по БДУ уязвимостям без ссылки на CVE

К сегодняшнему докладу на конференции Территория Безопасности я выпустил 3 отчёта Vulristics по БДУ уязвимостям без ссылки на CVE.

🔹 Уязвимости без CVE с инцидентами (зафиксированной эксплуатацией вживую): 17
🔹 Уязвимости без CVE с эксплоитами (публичными или приватными): 584
🔹 Уязвимости без CVE: 1364 (1365)

Лучше всего я, естественно, "причесал" первый отчёт по 17 уязвимостям с известными инцидентами в 16 продуктах. 🙂 Но даже он общую картину даёт. Среди уязвимостей без CVE идентификаторов есть не только уязвимости в российских продуктах (что естественно предположить), но и в Open Source проектах, и в проприетарных западных продуктах. Некоторые причины рассмотрю.

Все 1364 уязвимости без CVE касаются уже 377 продуктов (руками не раскидаешь). Количество отечественных продуктов можно крайне грубо оценить по использованию кириллицы в названиях - таких продуктов 63. В лидерах Astra Linux (причина на поверхности, в докладе указываю 😉).

Презентую расширенную поддержку БДУ ФСТЭК в моей утилите для приоритизации уязвимостей Vulristics

1 комментарий

Презентую расширенную поддержку БДУ ФСТЭК в моей утилите для приоритизации уязвимостей Vulristics
Презентую расширенную поддержку БДУ ФСТЭК в моей утилите для приоритизации уязвимостей VulristicsПрезентую расширенную поддержку БДУ ФСТЭК в моей утилите для приоритизации уязвимостей Vulristics

Презентую расширенную поддержку БДУ ФСТЭК в моей утилите для приоритизации уязвимостей Vulristics. 🎉

🔻 Данные из БДУ выгружаются массово, а не по одному идентификатору. Если в data source указан "bdu" и значение rewrite-flag "True", то скачается и обработается вся выгрузка из БДУ (55879 идентификаторов). Кроме того, создадутся сущности по связанным CVE (47261), чтобы можно было использовать данные БДУ при приоритизации CVE-шек (см. скриншот). Вся процедура занимает несколько секунд. ⚡️ Затем можно приоритизировать любые наборы БДУшек в оффлайне (rewrite-flag "False").
🔻 Я использую эти данные БДУ для приоритизации: имя продукта, описание, cvss, cwe, признак активной эксплуатации (vul_incident, аналог CISA KEV❗️) и признак наличия публичного/приватного эксплоита (exploit_status).
🔻 Идентификаторы БДУ подаются на вход также как CVE (например через --cve-list-path), их можно миксовать.

Особенно полезно для приоритизации уникальных БДУ уязвимостей без ссылок на CVE. 😉

Для январской Elevation of Privilege (Local Privilege Escalation) - Linux Kernel (CVE-2024-1086) 26 марта вышел write-up и PoC

1 комментарий

Для январской Elevation of Privilege (Local Privilege Escalation) - Linux Kernel (CVE-2024-1086) 26 марта вышел write-up и PoC
Для январской Elevation of Privilege (Local Privilege Escalation) - Linux Kernel (CVE-2024-1086) 26 марта вышел write-up и PoC

Для январской Elevation of Privilege (Local Privilege Escalation) - Linux Kernel (CVE-2024-1086) 26 марта вышел write-up и PoC. Видео демка работы скрипта выглядит эффектно: запускают скрипт от обычного пользователя и через пару секунд получают рутовый шелл. ⚡️ По заявлениям автора эксплоит работает с большинством ядер Linux между версиями 5.14 и 6.6, включая Debian, Ubuntu и KernelCTF.

🔻 Эксплойт требует kconfig CONFIG_USER_NS=y; sh command sysctl kernel.unprivileged_userns_clone = 1; kconfig CONFIG_NF_TABLES=y. Автор пишет, что это по дефолту выполняется для Debian, Ubuntu, and KernelCTF, а для других дистрибов нужно тестить.
🔹 Эксплойт не работает на ядрах v6.4> с kconfig CONFIG_INIT_ON_ALLOC_DEFAULT_ON=y (включая Ubuntu v6.5)

NSFOCUS пишет, что Redhat тоже подвержен уязвимости. 🤷‍♂️