Архив рубрики: Проекты

Презентую расширенную поддержку БДУ ФСТЭК в моей утилите для приоритизации уязвимостей Vulristics

1 комментарий

Презентую расширенную поддержку БДУ ФСТЭК в моей утилите для приоритизации уязвимостей Vulristics
Презентую расширенную поддержку БДУ ФСТЭК в моей утилите для приоритизации уязвимостей VulristicsПрезентую расширенную поддержку БДУ ФСТЭК в моей утилите для приоритизации уязвимостей Vulristics

Презентую расширенную поддержку БДУ ФСТЭК в моей утилите для приоритизации уязвимостей Vulristics. 🎉

🔻 Данные из БДУ выгружаются массово, а не по одному идентификатору. Если в data source указан "bdu" и значение rewrite-flag "True", то скачается и обработается вся выгрузка из БДУ (55879 идентификаторов). Кроме того, создадутся сущности по связанным CVE (47261), чтобы можно было использовать данные БДУ при приоритизации CVE-шек (см. скриншот). Вся процедура занимает несколько секунд. ⚡️ Затем можно приоритизировать любые наборы БДУшек в оффлайне (rewrite-flag "False").
🔻 Я использую эти данные БДУ для приоритизации: имя продукта, описание, cvss, cwe, признак активной эксплуатации (vul_incident, аналог CISA KEV❗️) и признак наличия публичного/приватного эксплоита (exploit_status).
🔻 Идентификаторы БДУ подаются на вход также как CVE (например через --cve-list-path), их можно миксовать.

Особенно полезно для приоритизации уникальных БДУ уязвимостей без ссылок на CVE. 😉

Для январской Elevation of Privilege (Local Privilege Escalation) - Linux Kernel (CVE-2024-1086) 26 марта вышел write-up и PoC

1 комментарий

Для январской Elevation of Privilege (Local Privilege Escalation) - Linux Kernel (CVE-2024-1086) 26 марта вышел write-up и PoC
Для январской Elevation of Privilege (Local Privilege Escalation) - Linux Kernel (CVE-2024-1086) 26 марта вышел write-up и PoC

Для январской Elevation of Privilege (Local Privilege Escalation) - Linux Kernel (CVE-2024-1086) 26 марта вышел write-up и PoC. Видео демка работы скрипта выглядит эффектно: запускают скрипт от обычного пользователя и через пару секунд получают рутовый шелл. ⚡️ По заявлениям автора эксплоит работает с большинством ядер Linux между версиями 5.14 и 6.6, включая Debian, Ubuntu и KernelCTF.

🔻 Эксплойт требует kconfig CONFIG_USER_NS=y; sh command sysctl kernel.unprivileged_userns_clone = 1; kconfig CONFIG_NF_TABLES=y. Автор пишет, что это по дефолту выполняется для Debian, Ubuntu, and KernelCTF, а для других дистрибов нужно тестить.
🔹 Эксплойт не работает на ядрах v6.4> с kconfig CONFIG_INIT_ON_ALLOC_DEFAULT_ON=y (включая Ubuntu v6.5)

NSFOCUS пишет, что Redhat тоже подвержен уязвимости. 🤷‍♂️

Кажется разобрался с проблемой с EPSS API

Добавить комментарий

Кажется разобрался с проблемой с EPSS APIКажется разобрался с проблемой с EPSS API

Кажется разобрался с проблемой с EPSS API. Они ежедневно пересчитывают показатель EPSS для каждой CVE. Видимо пока они его не посчитали для текущего дня, они отдают пустое значение. Отдавать в API последнее доступное значение они видимо не догадались. 🤷‍♂️

Поэтому в случае, если вернулись пустые данные можно повторить запрос, указав в параметрах вчерашнюю дату, и тогда требуемое значение скорее всего вернётся. 👍

В Vulristics пофикшу таким образом пока.

Я обнаружил, что EPSS (Exploit Prediction Scoring System) API может НЕ возвращать данные по каким-то CVE уязвимостям, несмотря на то, что эти данные в общей выгрузке присутствуют

1 комментарий

Я обнаружил, что EPSS (Exploit Prediction Scoring System) API может НЕ возвращать данные по каким-то CVE уязвимостям, несмотря на то, что эти данные в общей выгрузке присутствуют
Я обнаружил, что EPSS (Exploit Prediction Scoring System) API может НЕ возвращать данные по каким-то CVE уязвимостям, несмотря на то, что эти данные в общей выгрузке присутствуютЯ обнаружил, что EPSS (Exploit Prediction Scoring System) API может НЕ возвращать данные по каким-то CVE уязвимостям, несмотря на то, что эти данные в общей выгрузке присутствуютЯ обнаружил, что EPSS (Exploit Prediction Scoring System) API может НЕ возвращать данные по каким-то CVE уязвимостям, несмотря на то, что эти данные в общей выгрузке присутствуютЯ обнаружил, что EPSS (Exploit Prediction Scoring System) API может НЕ возвращать данные по каким-то CVE уязвимостям, несмотря на то, что эти данные в общей выгрузке присутствуют

Я обнаружил, что EPSS (Exploit Prediction Scoring System) API может НЕ возвращать данные по каким-то CVE уязвимостям, несмотря на то, что эти данные в общей выгрузке присутствуют. 🤷‍♂️ Заметил, что в основном проблема касается уязвимостей CVE-2023-*. При этом никакая ошибка не возвращается. Я не знаю в чём там причина, но видимо лучше не использовать API, а использовать файл с данными для всех CVE, благо его размер всего 1,4 мб. Во всяком случае я планирую сделать так для Vulristics.

Повышение критичности для Elevation of Privilege - Windows Common Log File System Driver (CVE-2023-36424): 3 дня назад на GitHub появился технический анализ и код эксплоита

1 комментарий

Повышение критичности для Elevation of Privilege - Windows Common Log File System Driver (CVE-2023-36424): 3 дня назад на GitHub появился технический анализ и код эксплоита

Повышение критичности для Elevation of Privilege - Windows Common Log File System Driver (CVE-2023-36424): 3 дня назад на GitHub появился технический анализ и код эксплоита.

Уязвимость из ноябрьского Microsoft Patch Tuesday. На момент выхода уязвимость никто не выделял, только Qualys мельком упомянули. 🤷‍♂️

👾 Сообщений об эксплуатации вживую пока нет, но теперь видимо ждём.

Для SQLi/RCE уязвимости FortiClientEMS (CVE-2023-48788) появился PoC и Fortinet отметили, что уязвимость эксплуатируется вживую

1 комментарий

Для SQLi/RCE уязвимости FortiClientEMS (CVE-2023-48788) появился PoC и Fortinet отметили, что уязвимость эксплуатируется вживую
Для SQLi/RCE уязвимости FortiClientEMS (CVE-2023-48788) появился PoC и Fortinet отметили, что уязвимость эксплуатируется вживую

Для SQLi/RCE уязвимости FortiClientEMS (CVE-2023-48788) появился PoC и Fortinet отметили, что уязвимость эксплуатируется вживую. Write-up c PoC-ом выпустили исследователи из Horizon3AI.

"FortiClient Enterprise Management Server — централизованный сервер, предназначенный для управления программами FortiClient, установленными на контролируемых рабочих станциях. Он позволяет распространять необходимые настройки FortiClient (антивируса, веб фильтрации, телеметрии, контроля съемных устройств) на все подключенные к нему рабочие станции."

🇷🇺 В России это должен быть редкий зверь, но, судя по статьям на русском, где-то его всё-таки внедряли.

📊 Согласно ShadowServer, в Интернет торчит немного уязвимых серверов. Всего 130, больше всего в США (30) и Китае (11). Но возможно это ещё неполные результаты. Судя по графикам, они начали детектить эту уязвимость только с 22 марта.

Сгенерил отчёт по мартовскому Linux Patch Wednesday

Добавить комментарий

Сгенерил отчёт по мартовскому Linux Patch Wednesday
Сгенерил отчёт по мартовскому Linux Patch WednesdayСгенерил отчёт по мартовскому Linux Patch WednesdayСгенерил отчёт по мартовскому Linux Patch WednesdayСгенерил отчёт по мартовскому Linux Patch WednesdayСгенерил отчёт по мартовскому Linux Patch Wednesday

Сгенерил отчёт по мартовскому Linux Patch Wednesday. 134 уязвимости, из них 68 в ядре. С признаком эксплуатации вживую уязвимостей нет. Есть 15 уязвимостей с PoC-ами (все кроме одной это ссылки из NVD).

🔸 В топе Command Injection - libuv (CVE-2024-24806). Это мультиплатформенная библиотека для асинхронного ввода-вывода. Злоумышленник может потенциально получить доступ к внутренним API.

🔸 Для aiohttp пачка Command Injection (CVE-2023-37276, CVE-2023-47627, CVE-2023-49082) и Security Feature Bypass (CVE-2023-47641, CVE-2023-49081) с PoC-ами. Это асинхронный HTTP-фреймворк (клиент/сервер). Уязвимости запатчены только в российской RedOS (18 марта) и Debian (непонятно когда).

🔸Многовато проблем с детектами типа уязвимости и продукта, т.к. из-за кризиса NVD для части уязвимостей нет CPE и CWE. 🤷‍♂️

🔸 Команда Linux Kernel теперь CNA и заводят массу CVEшек с чудовищно большими дескрипшенами. Потому что могут! 😏

🗒 Мартовский Linux Patch Wednesday